Rétturinn til aðgangs að persónuupplýsingum

Skráður einstaklingur hefur rétt á að fá staðfestingu frá ábyrgðaraðila á því hvort unnið sé með persónuupplýsingar um hann, ef svo er þá hefur einstaklingur rétt á aðgangi að þeim upplýsingum ásamt upplýsingum um:

  • Tilgang vinnslunnar (hvert er markmið ábyrgðaraðila með vinnslunni)
  • Flokka upplýsinga sem unnið er með (tengiliðaupplýsingar, kaupsögu og fl.)
  • Hvort aðrir aðilar hafa fengið eða munu fá persónuupplýsingarnar og þá hverjir, einkum ef viðtakendur eru utan EES eða eru alþjóðastofnanir
  • Upplýsingar um varðveislutíma, ef ekki er hægt að setja niður nákvæman tíma, þá er rétt að upplýsa hinn skráða um þau viðmið sem notuð eru til að ákvarða varðveislutíma persónuupplýsinganna. (t.d. upplýsingar um launagreiðslur geymdar í 10 ár frá starfslokum)
  • Þá skal upplýsa hinn skráða um frekari réttindi hans. Í því felst að upplýsa um rétt viðkomandi til að láta leiðrétta persónuupplýsingar, eyða þeim eða takmarka vinnslu þeirra. Einnig getur hinn skráði almennt andmælt vinnslu.
  • Þá skal áminna hinn skráða um rétt til að bera fram kvörtun við eftirlitsyfirvald.
  • Eins og áður hefur komið fram í umfjöllun hér um réttindi hinna skráðu skal upplýsa hinn skráða um uppruna upplýsinga um hann ef þær stafa frá þriðja aðila. Sjá færslu hér.
  • Þá skal upplýsa hinn skráða um hvort sjálfvirk ákvarðanataka fari fram á grundvelli persónuupplýsinga um hann sbr. 1. og 4. mgr. 22. gr. GDPR (nánar fjallað um hana síðar).
  • Auk þess skal upplýsa hinn skráða hvort unnið sé persónusnið á grundvelli persónuupplýsinga um hann.*
  • Þegar persónuupplýsingum er miðlað til þriðja lands, (út fyrir EES) eða alþjóðastofnana, þá skal upplýsa hann um viðeigandi verndarráðstafanir skv. 46. gr. GDPR.

Þá skal athuga að ábyrgðaraðila ber að láta afrit persónuupplýsinga sem eru í vinnslu í té hinum skráða. Ábyrgðaraðili getur einungis farið fram á greiðslu úr hendi hins skráða ef hinn skráði óskar eftir fleiri afritum en einu, nú eða ef beiðnir frá skráðum einstaklingi eru augljóslega tilefnislausar eða óhóflegar, þá eins og segir í 5. mgr. 12. gr. ef beiðnir eru sí endurteknar. Þá getur ábyrgðaraðili sett upp „sanngjarnt“ gjald vegna umsýslukostnaðar eða neitað að verða við beiðninni sbr. a og b-liði 5. mgr. 12. gr.

Almennt gildir sú regla að ef hinn skráði leggur fram beiðni rafrænt, skal ábyrgðaraðili láta upplýsingarnar í té á rafrænu sniði sem almennt er notað nema ef hinn skráði fer fram á annað.

Árétta skal að samkvæmt 1. mgr. 12. gr. GDPR skulu upplýsingar um vinnslu persónuupplýsinga og afrit þeirra vera á gagnorðu, gagnsæju, skiljanlegu og aðgengilegu formi og skýru og einföldu máli, einkum þegar um er að ræða upplýsingar sem beint er sérstaklega til barns.

Þá er beinlínis lögð sú skylda á ábyrgðaraðila að auðvelda skráðum einstaklingi að neyta réttar síns skv. 15. – 22. gr. í 2. mgr. 12. gr. GDPR, en sú 15. hefur verið til umfjöllunar hér að ofan. Mikilvægt er að hægt sé að aukenna að hinn skráði, sem óskar afrits geti sýnt fram á að hann sé raunverulega sá sem hann segist vera. Sem dæmi um leiðir til þess má nefna rafræn skilríki eða innskráningu í kerfi með Íslykli.

Ábyrgðaraðilinn skal samkvæmt 3. mgr. 12. gr. GDPR veita skráðum einstaklingi upplýsingar um aðgerðir, sem gripið er til vegna beiðni um afrit án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar frá viðtöku beiðninnar. Ábyrgðaraðili getur hugsanlega lengt frestinn um tvo mánuði ef margar og flóknar beiðnir berast honum. Annars skal afgreiða beiðnir innan mánaðar frá auðkenningu einstaklings.

ATHUGAST

Rétturinn til að fá afrit af persónuupplýsingum sínum sem í vinnslu eru hjá ábyrgðaraðila skal ekki skerða réttindi og frelsi annarra.

*4. tl. 1. mgr. 4. gr. GDPR skilgreinir gerð persónusniða sem „hvers kyns sjálfvirk vinnsla persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika“.