DATTACA LABS

Spurt og svarað

Hvað eru persónuupplýsingar?

Persónuupplýsingar eru allar persónugreindar eða persónugreinanlegar upplýsingar um einstakling. Upplýsingar teljast persónugreinanlegar ef unnt er að rekja þær til einstaklings, beint eða óbeint, t.d. með tilvísun í nafn, kennitölu, staðsetningu, auðkenni á netinu eða einn eða fleiri þætti sem einkenna hann með einhverjum hætti. Dæmi um persónuupplýsingar eru nöfn einstaklinga, heimilisföng, kennitölur, myndir, raddir, fingraför, og upplýsingar um heilsufar, fjárhagsmálefni, kynlíf og kynhegðan.

Hvað eru viðkvæmar persónuupplýsingar?
Upplýsingar er varða kynþátt eða uppruna, stjórnmálaskoðanir, trúar- eða heimspekiskoðanir, þátttöku í stéttarfélagi, erfðaefni, líffræðileg gögn í þeim tilgangi að bera kennsl á einstakling, heilsufar, kynlíf og kynhneigð teljast viðkvæmar persónuupplýsingar. Viðkvæmar persónuupplýsingar njóta aukinnar verndar lögum samkvæmt þar sem vinnsla þeirra getur vegið að grundvallarréttindum einstaklinga.
Hvað hefur breyst með nýrri persónuverndarlöggjöf?
Ný lög um persónuvernd og vinnslu persónuupplýsinga, sem byggð eru á persónuverndarreglugerð Evrópusambandsins („GDPR“), höfðu í för með sér umfangsmiklar breytingar. Nýjum reglum er ætlað að auka vald einstaklinga yfir eigin persónupplýsingum og tryggja að þær njóti fullnægjandi verndar. Aukin réttindi einstaklinga samkvæmt nýjum lögum eru t.d. rétturinn til aðgangs að eigin persónuupplýsingum og rétturinn til að gleymast. Með auknum réttindum fylgja auknar skyldur sem fyrirtæki og opinberir aðilar sem vinna persónuupplýsingar þurfa að huga að.
Hvernig veit ég hvort fyrirtækið mitt þurfi að framkvæma einhverja vinnu í tengslum við nýja persónuverndarlöggjöf?
Ef í rekstri fyrirtæki þíns eru unnar persónuupplýsingar með einhverjum hætti er fyrirtækið bundið af persónuverndarlögum við vinnslu þeirra persónuupplýsinga. Fyrirtækið þarf að leggjast í þá vinnu sem nauðsynlegt er að framkvæma í því skyni að það sé fylgjandi persónuverndarlögum. Öll fyrirtæki, nánast án undantekninga, vinna persónuupplýsingar að einhverju leyti og þurfa því öll að framkvæma ákveðna vinnu. Fyrirtæki gætu t.d. þurft að tilnefna persónuverndarfulltrúa, halda vinnsluskrá yfir vinnslu persónuupplýsinga, útbúa persónuverndaryfirlýsingu, framkvæma áhættumat og/eða mat á áhrifum persónuverndar o.s.frv.
Hvað er persónuverndarfulltrúi?
Meginhlutverk persónuverndarfulltrúa er að fylgjast með því að fyrirtæki og stofnanir fari að persónuverndarlögum. Opinber yfirvöld og stofnanir þurfa að tilnefna persónuverndarfulltrúa, sem og fyrirtæki sem stunda ákveðna umfangsmikla vinnslu persónuupplýsinga. Persónuverndarfulltrúar hafa eftirlit með reglufylgni, m.a. með innleiðingu og eftirfylgni á persónuverndarstefnu, verklagsreglum og ferlum, með því að veita starfsmönnum ráðgjöf og þjálfun og með innri úttektum. Þá veita persónuverndarfulltrúar ráðgjöf við framkvæmd mats á áhrifum á persónuvernd og eru tengiliður við einstaklinga og Persónuvernd. Persónuverndarfulltrúi þarf að vera sjálfstæður í starfi sínu og hafa nauðsynlega aðstöðu og heimildir til að geta sinnt því, þ.e. hann þarf virkan stuðning æðstu yfirmanna, nægan tíma til að sinna verkefnum sínum, fjárhagslegan stuðning, starfsaðstöðu og starfsmenn, formlega stöðu sem persónuverndarfulltrúi gagnvart öðrum starfsmönnum, stuðning frá öðrum deildum og tækifæri til að viðhalda menntun sinni.
Ég er persónuverndarfulltrúi hjá mínu fyrirtæki, hvað þarf ég að gera?
Ef þú hefur verið tilnefndur persónuverndarfulltrúi hjá þínu fyrirtæki þarftu fyrst að ganga úr skugga um að þú uppfyllir þær kröfur sem persónuverndarlögin gera til persónuverndarfulltrúa. Sömu kröfur eru gerðar óháð því hvort fyrirtækinu sé skylt að tilnefna persónuverndarfulltrúa eða ekki. Tilnefna skal persónuverndarfulltrúa á grundvelli faglegrar hæfni sinnar, einkum sérþekkingar á lögum og lagaframkvæmd á sviði persónuverndar og getu sinnar til að vinna þau verkefni sem honum ber að sinna, sbr. 39. gr. persónuverndarreglugerðar Evrópusambandsins („GDPR“). Í framkvæmd þarf persónuverndarfulltrúi að hafa skilning á vinnslustarfsemi, upplýsingatækni og öryggismálum fyrirtækisins, hafa þekkingu á heildarstarfsemi fyrirtækisins og búa yfir getu til að efla persónuverndarvitund á meðal starfsmanna. Ef þú uppfyllir öll þessi skilyrði getur þú sinnt starfi persónuverndarfulltrúa hjá þínu fyrirtæki sem m.a. felst í því
að hafa eftirlit með reglufylgni, veita ráðgjöf við framkvæmd mats á áhrifum á persónuvernd og vera tengiliður við einstaklinga og Persónuvernd.
Hvað er vinnsluskrá?
Vinnsluskrá er skrá yfir vinnslur persónuupplýsinga sem fyrirtæki/stofnun framkvæmir í rekstri sínum. Megintilgangur skrárinnar er að fá yfirsýn yfir þá vinnslu
persónuupplýsinga sem fram fer í starfseminni. Um upplýsingar sem vinnsluskrá skal innihalda, form skrár, aðgengileika o.fl. gilda fyrirmæli 30. gr. persónuverndarreglugerðar ESB („GDPR“). Helstu upplýsingar sem þurfa að koma fram í vinnsluskrá eru eftirfarandi:

– Nafn og samskiptaupplýsingar ábyrgðaraðila og persónuverndarfulltrúa.
– Tilgangur vinnslunnar (t.d. veiting þjónustu, ráðning starfsmanns).
– Flokkar skráðra einstaklinga (t.d. einstaklingur eða starfsmaður) og persónuupplýsinga (t.d. heilsufarsupplýsingar eða starfsferilsskrá).
– Viðtakendur upplýsinganna.
– Fyrirhuguð tímamörk fyrir eyðingu mismunandi gagnafloka.
– Almenn lýsing á tæknilegum og skipulagslegum öryggisráðstöfunum.

Fyrirtækjum og stofnunum mun í öllum tilvikum gagnast að kortleggja þær vinnslur
persónuupplýsinga sem fer fram í starfseminni, sem þátt í innra utanumhaldi og skjölun.

Hvaða fyrirtæki þurfa að halda vinnsluskrá?
Öll fyrirtæki og stofnanir, bæði í þeim tilvikum þar sem þau eru ábyrgðaraðili eða vinnsluaðili, þurfa að halda vinnsluskrá. Taka verður þó fram að samkvæmt
persónuverndarlögum er undanþága til staðar sem undanskilur fyrirtæki og stofnanir sem hafa færri en 250 starfsmenn frá því að halda vinnsluskrár að því er varðar ákveðnar vinnslur. Undanþágan er aftur á móti mjög þröng og því er afar sjaldgæft að hún eigi við að öllu leyti. Þannig þurfa fyrirtæki og stofnanir með starfsmenn undir 250 að halda slíka skrá ef vinnslan er:

– líkleg til að leiða af sér áhættu fyrir réttindi og frelsi skráðra einstaklinga,
– ekki tilfallandi, eða
– taki til viðkvæmra persónuupplýsinga eða persónuupplýsinga er varða sakfellingarí refsimálum og refsiverða háttsemi.

Í framkvæmd og nær án undantekninga, líkt og Persónuvernd hefur sjálf staðfest, skulu öll fyrirtæki og stofnanir halda skrár yfir vinnslustarfsemi sína.

Hvað er persónuverndaryfirlýsing
Persónuverndaryfirlýsing er yfirlýsing viðkomandi fyrirtækis eða stofnunar sem útskýrir hvernig það vinnur persónuupplýsingar einstaklinga. Yfirlýsingin kveður m.a. á um hvernig fyrirtækið aflar persónuupplýsinga, frá hverjum, í hvaða tilgangi, hvort þeim sé deilt með öðrum og hvernig sé gætt að öryggi þeirra. Ákvæði 12. – 14. gr. persónuverndarreglugerðar ESB („GDPR“) veita nánari leiðbeiningar hvernig hanna eigi persónuverndaryfirlýsingu sem samræmist löggjöfinni, en áhersla er lögð á að hafa hana aðgengilega og auðlæsilega.
Hvað er áhættumat?
Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum sem eiga að tryggja aukið öryggi persónuupplýsinga.
Hvað er mat á áhrifum persónuverndar?
Mat á áhrifum á persónuvernd (MÁP) er verkfæri sem hægt er að beita til að meta og lágmarka áhættu fyrir persónuvernd einstaklinga, einkum við framkvæmd nýrra verkefna. Ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta framkvæma MÁP áður en vinnslan hefst. Matið er hluti af nýjum skyldum fyrirtækja og stofnana samkvæmt persónuverndarlöggjöfinni og mikilvægur hluti af „innbyggðri og sjálfgefinni persónuvernd“ sem er eitt af grundvallaratriðunum í nýju löggjöfinni.
Hvað er ábyrgðaraðili?
Ábyrgðaraðili er sá sem ákveður, einn og sér eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga. Ábyrgðaraðilinn getur verið einstaklingur, fyrirtæki, stjórnvald eða annar aðili.
Hvað er vinnsluaðili?
Vinnsluaðili er einstaklingur, fyrirtæki, stjórnvald eða annar aðili sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.
Hvað er vinnslusamningur?
Vinnslusamningur er sérstakur samningur um vinnslu persónuupplýsinga milli ábyrgðaraðila og vinnsluaðila. Vinnslusamningur þarf að vera skriflegur og þarf m.a. að taka á eftirfarandi atriðum:

– viðfangsefni og tímalengd vinnslunnar,
– eðli og tilgangi vinnslunnar,
– tegund þeirra persónuupplýsinga sem unnar eru f.h. viðskiptavinarins,
– flokkum hinna skráðu,
– réttindum og skyldum viðskiptavinarins sem ábyrgðaraðila,
– skyldum vinnsluaðila skv. 28. gr. persónuverndarreglugerðar ESB („GDPR“)

Á einstaklingur rétt á gögnum frá okkur?
Einstaklingar eiga rétt á að fá upplýsingar um það hvort fyrirtæki eða stjórnvald vinnur með persónuupplýsingar um þá. Vinnsla persónuupplýsinga getur meðal annars falist í söfnun þeirra, notkun og varðveislu. Þessi réttur einstaklinga nefnist aðgangsréttur en í honum felst réttur til þess að fá staðfestingu á því að unnið sé með persónuupplýsingarnar þínar, afrit af þeim persónuupplýsingum um þig sem unnið er með, og aðrar upplýsingar um vinnsluna. Í einhverjum tilvikum er heimilt að neita einstaklingum um aðgang að eigin gögnum t.d. þegar beiðni um aðgang að persónuupplýsingum er augljóslega tilefnislaus eða óhófleg, einkum vegna endurtekningar. Þá gildir aðgangsrétturinn ekki ef brýnir hagsmunir einstaklinga tengdir persónuupplýsingunum, sem óskað er eftir, vega þyngra. Meta verður í hverju tilviki fyrir sig hvort þessi undanþága á við.
Hvað á ég að gera ef viðskiptavinur óskar eftir persónuupplýsingunum sínum?
Fyrirtæki eða stjórnvald, sem fær í hendur beiðni frá einstaklingi um aðgang að persónuupplýsingum sínum, er skylt að verða við þeirri beiðni, sbr. umfjöllun hér að ofan um aðgangsréttinn („Á einstaklingur rétt á gögnum frá okkur“). Afhenda skal afrit af þeim persónuupplýsingum sem unnið er með. Þetta ferli er mun auðveldara hjá þeim fyrirtækjum sem hafa útbúið vinnsluskrá, þar sem þau hafa þar skýra yfirsýn yfir allar vinnslur persónuupplýsinga sem fram fer í starfseminni. Ef aðgangsbeiðnin er sett fram rafrænt skulu upplýsingarnar látnar í té með rafrænu sniði sem er „almennt notað“, nema einstaklingurinn fari fram á annað. Hér er hægt að notast við atbeina forrita eins og t.d. digi.me til að auðvelda þetta ferli verulega. Einstaklingurinn getur hins vegar óskað eftir öðrum afhendingarmáta, svo sem að fá gögn afhent á pappírsformi eða að upplýsingar séu veittar munnlega, þegar slíkt er mögulegt.
Þarf samþykki fyrir vinnslu allra persónuupplýsinga?
Ekki þarf að afla samþykkis viðkomandi fyrir vinnslu persónuupplýsinga þeirra í öllum tilvikum. Hafa ber þó í huga að öll vinnsla persónuupplýsinga verður að byggjast á heimild í persónuverndarlögum. Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn, en samþykki er ein þeirra heimilda sem lögin kveða á um. Aðrar heimildir eru eftirfarandi:

– Vinnslan er nauðsynleg til að efna samning.
– Vinnslan er nauðsynleg til að fullnægja lagaskyldu.
– Vinnslan er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings.
– Vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.
– Vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða einhver annar gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða,
sem krefjast verndar persónuupplýsinga, vegi þyngra, einkum ef hinn skráði er barn.

Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn. Engin ein heimild er rétthærri, mikilvægari eða betri en önnur.

Hver eru viðurlögin við brotum gegn persónuverndarlögum?
Fyrir vægari brot gegn persónuverndarlögunum geta sektir numið frá 100 þúsund krónum til 1,2 milljarða króna, eða allt að 2% af árlegri heildarveltu fyrirtækis á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra. Fyrir alvarlegri brot geta sektir numið frá 100 þúsund krónum til 2,4 milljarða króna, eða allt að 4% af árlegri heildarveltu fyrirtækis á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra. Meðal þess sem haft getur áhrif á fjárhæð sektar er alvarleiki brots, hvort leitast hafi verið við að draga úr afleiðingum þess og hvort um sé að ræða til dæmis lítið fyrirtæki eða alþjóðlegt stórfyrirtæki.