Þetta er spurning sem eflaust brennur á mörgum. Með tilkomu nýrrar persónuverndarlöggjafar er sérhverjum ábyrgðaraðila og vinnsluaðila skylt að halda skrá yfir vinnslustarfsemi sína eða svokallaða vinnsluskrá. Með skyldunni er ætlað að auka ábyrgð þeirra aðila sem vinna með perónuupplýsingar þannig að þeir hafi yfirsýn hverju sinni yfir hvaða vinnsla persónuupplýsinga á sér stað á þeirra heimavelli. Frá þessari skyldu að halda vinnsluskrá er þó að finna undantekningu ef undantekningu má kalla. Í undantekningunni er talið upp að skyldan eigi ekki við um fyrirtæki eða stofnanir sem hafa færri en 250 starfsmenn. Eflaust grípa mörg fyrirtæki þetta orðalag föstum tökum og telja að þar sem starfsmenn þeirra fyrirtækis eru undir 250 manns eigi skyldan ekki við um það. Þetta er þó því miður ekki svo einfalt. Undantekningin er ekki algjör en það eru þrjár gerðir af vinnslu þar sem hún á ekki við og skylt er að halda vinnsluskrá. Þetta er í fyrsta lagi ef vinnslan er líkleg til að leiða af sér áhættu fyrir réttindi og frelsi skráðra einstaklinga, í öðru lagi ef vinnslan er ekki tilfallandi eða í þriðja lagi ef vinnslan tekur til viðkvæmra persónuupplýsinga eða persónuupplýsinga sem varða sakfellingar í refsimálum og refsiverð brot. Ef aðeins einn þáttur af þessu á við er því skylt að halda vinnsluskrá. Við skulum taka fyrir þessa þrjá þætti og tipla aðeins á yfirborðinu til að átta okkur betur á þessu.

Áhætta fyrir réttindi og frelsi skráðra einstaklinga

Til að vinnsla sé líkleg til að leiða af sér áhættu fyrir réttindi og frelsi skráðra einstaklinga er vert að taka fram að áhættan þarf ekki að vera mikil. Vinnsla persónuupplýsinga getur leitt til misjafnlega líklegrar og alvarlegrar áhættu fyrir réttindi og frelsi hins skráða sem til að mynda getur leitt af sér eignatjón ef auðkennisþjófnaður eða svik á sér stað. Þá getur slíkt hið sama átt við þegar lagt er mat á frammistöðu starfsmanns í starfi, heilsuhagi hans, hegðun og svo framvegis. Það þarf að ákvarða hversu líkleg og alvarleg áhættan er með hliðsjón af umfangi, eðli, samhengi og tilgangi vinnslunnar.

Vinnsla ekki tilfallandi

Fyrirtæki eru alla jafna með starfsmenn í vinnu og skrá þar af leiðandi ýmsar upplýsingar um starfsmenn sína. Til að mynda er haldið utan um launagreiðslur, veikindaskráningar, starfsmannasamtöl og svo framvegis. Þannig eru laun greidd mánaðarlega út til starfsmanna en slík vinnsla telst ekki tilfallandi þar sem hún á sér reglulega stað og því ber að skrá hana í vinnsluskrá.

Viðkvæmar persónuupplýsingar og sakfellingar í refsimálum og refsiverð brot

Í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga er tæmandi talið hvað flokkast sem viðkvæmar persónuupplýsingar. Þetta eru upplýsingar um kynþátt, þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, lífsskoðanir, aðild að stéttarfélagi, heilsufarsupplýsingar, upplýsingar um kynlíf manna og kynhneigð, erfðafræðilegar upplýsingar og lífkennaupplýsingar. Líkt og að framan greinir eru fyrirtæki alla jafna með starfsmenn í vinnu og skrá þar af leiðandi niður þegar einstaklingur tilkynnir veikindi. Þegar slíkar skráningar eiga sér stað á sér stað vinnsla á persónuupplýsingum sem lúta að heilsufari. Það eitt og sér fellur því undir þennan flokk og skylt er til að halda vinnsluskrá um slíkar skráningar. Þá verður jafnframt að halda vinnsluskrá séu til persónuupplýsingar um sakfellingar í refsimálum og refsiverð brot.

Í ljósi framangreinds er ljóst að nær undantekningalaust ber fyrirtækjum sem vinna með persónuupplýsingar að halda vinnsluskrá. Það má einnig líta á vinnsluskránna sem tækifæri til að fyrirtæki geti áttað sig á umfangi þeirra persónuupplýsinga sem koma þar inn bæði hvað varðar viðskiptavini og starfsmenn. Jafnframt er fólgið í þessu tækifæri til þess að fara í gegnum hvort persónuupplýsingar séu geymdar með öruggum hætti og svo framvegis. Þrátt fyrir að ekki sé skylda til að halda skrá yfir hverja og eina vinnslu persónuupplýsinga þá verður að telja að slíkt sé samt sem áður skynsamlegt að gera. Það að fyrirtæki haldi skrá yfir hvaða persónuupplýsingum það safnar, hvers vegna það safnar þeim og hverjum það deilir þeim með hjálpar til við að stjórna hvernig farið er með persónuupplýsingar og meiri líkur á að farið sé að kröfum löggjafarinnar.

Við hjá Dattaca Labs aðstoðum fyrirtæki við að innleiða nýju persónuverndarlöggjöfina. Í því felst meðal annars að við aðstoðum við að kortleggja vinnslu persónuupplýsinga sem við skráum í grunn af vinnsluskrá. Frekari upplýsingar má finna hér.

Höfundur er lögfræðingur og starfar hjá Dattaca Labs.