Ný persónuverndarlöggjöf (hvort heldur sem er GDPR eða lög nr. 90/2018) felur í sér aukin réttindin til handa einstaklingum. Á næstunni mun ég reyna að útlista með sem nákvæmustum hætti hvaða réttindi felast í löggjöfinni.

Réttindin eru margslungin. Helstu réttindi einstaklinga eru aðgangsréttur, andmælaréttur, flutningsréttur, réttur til leiðréttinga og réttur til eyðingar. Auk framangreindra réttinda er að finna önnur réttindin sem ef til vill hafa fengið minni athygli. Þar er vert að nefna réttindi hins skráða til mannlegrar aðkomu að sjálfvirkum ákvarðanatökum ef þær hafa áhrif á viðkomandi sem jafna má til réttaráhrifa.

Hér verður gerð tilraun til að setja réttindi einstaklinga fram á skipulegan hátt. Fyrsti hluti mun fjalla um réttindi einstaklinga skv. 13. og 14. gr. GDPR réttur til upplýsinga um vinnslu persónuupplýsinga. Munurinn á 13. og 14. gr. er sá að í 13. gr. er fjallað um fræðslu sem veita skal hinum skráða þegar persónuupplýsinga er aflað beint frá honum, í 14. gr. er á hinn bóginn fjallað um fræðslu sem veita skal hinum skráða þegar persónuupplýsinga er um hann er safnað frá öðrum en hinum skráða.

Ábyrgðaraðili skal fræða einstaklinga um vinnslu persónuupplýsinga. Í þessari fræðslu skal koma fram:

-heiti og samskiptaupplýsingar ábyrgðaraðilans

-upplýsingar um persónuverndarfulltrúa aðilans, ef við á

-tilgangur vinnslu

-tegundir upplýsinga (t.d. nafn, heimilisfang, kennitala, menntunarupplýsingar)

-hver varðveislutími upplýsinganna er (þ.e. hversu lengi upplýsingarnar verða geymdar, ef hægt er að ákvarða það. Annars er þess óskað að regla sé sett fram t.d. að upplýsingum sé eytt X mörgum árum eftir starfslok)

-hver heimildin sé sem vinnslan byggir á (t.d. samþykki, samningur, lagaskylda, lögmætir hagsmunir, brýnir hagsmunir hins skráða eða annars einstaklings eða  almannahagsmunir)

-hvort upplýsingar séu fluttar til þriðja aðila ef við á, þá nafn aðila og ástæðu flutnings

-hvort persónuupplýsingar séu fluttar út fyrir EES, þá hvert og hvað skal gera við gögnin þar

-önnur réttindi einstaklinga sem vakna vegna vinnslunnar (t.d. aðgangsréttur, réttur til leiðréttinga og eyðingar, takmörkunar og andmæla, auk réttarins til að flytja gögn)

-ef upplýsingarnar stafa ekki frá hinum skráða, þá þarf að greina hinum skráða frá því hvaðan þær koma

-hvort unnin eru persónusnið* um hinn skráða, hvort ákvarðanir séu teknar séu sjálfvirkar ákvarðanir sem varða hinn skráða að svo miklu leyti að jafna megi við réttaráhrif (t.d. sjálfvirkt greiðslumat)

Þá þarf einnig að upplýsa hinn skráða um að ef vinnslan byggir á samþykki, þá er einstaklingnum heimilt að draga það til baka hvenær sem er. Þegar lögmætir hagsmunir eru lagðir til grundvallar þarf að greina frá því hvaða lögmætu hagsmunir það eru sem eru lagðir til grundvallar.

Tímafrestur

Almenna reglan er að ábyrgðaraðili skuli veita upplýsingarnar sem taldar eru upp hér að ofan við upphaf söfnunarinnar.

Ábyrgðaraðili hefur að hámarki mánuð til að láta hinn skráða vita ef vinnslu persónuupplýsinga er háttað skv. 14. gr. Þó ekki síðar en fyrst er haft samband við hinn skráða vegna vinnslunnar, ef hún hefur þann tilgang að hægt sé að eiga samskipti við hinn skráða.

Undantekningar

Þetta eru jú lög, þar af leiðandi eru alltaf einhverjar skemmtilegar undantekningar sem koma til með að hafa áhrif.

Gildi 14. gr. GDPR er til að mynda takmarkað við einstaklinga sem ekki hafa fengið upplýsingarnar sem raktar hafa verið að ofan. Eins gildir 14. gr. ekki ef ómögulegt er að veita upplýsingarnar, það kostar óhóflega mikið, upplýsingarnar eru unnar í lögbundnum skjalavistunartilgangi eða rannsóknum á sviði vísinda, sagnfræði og/eða tölfræði. Það þýðir í stuttu máli t.d. að þegar stofnanir skila upplýsingum á opinber skjalasöfn þá þarf skjalasafnið ekki að tilkynna hinum skráða það, enda lögbundin skylda stofnanna að gera slíkt.

Eins gildir 14. gr. ekki ef lagaskylda er til öflunar eða miðlunar upplýsinganna eða ef þegar persónuupplýsingar eru bundnar trúnaði á grundvelli þagnarskyldu í samræmi við lög Sambandsins eða aðildarríkis, þ.m.t. lögbundinnar þagnarskyldu.

*4. tl. 1. mgr. 4. gr. GDPR skilgreinir gerð persónusniða sem „hvers kyns sjálfvirk vinnsla persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika“.