Algengar spurningar

Okkur berast reglulega spurningar um einstaka þætti persónuverndarlöggjafarinnar.

Þarf skriflegt samþykki fyrir vinnslu allra upplýsinga?

Nei, samþykki þarf ekki alltaf að vera skriflegt og það þarf ekki samþykki fyrir allri vinnslu. Samþykki er eitt af sex atriðum sem nefnt er í löggjöfinni sem grundvöllur lögmætrar vinnslu. Ef samþykki er grundvöllur vinnslu þarf ábyrgðaraðili meðal annars að geta sýnt fram á að einstaklingur hafi samþykkt vinnsluna af fúsum og frjálsum vilja.

Á einstaklingur rétt á að fá allar upplýsingar sem viðkomandi aðili er með skráðar um hann?
Einstaklingur á rétt á að fá allar þær upplýsingar sem geymdar eru um hann svo lengi sem það hefur ekki áhrif á réttindi annarra til einkalífs, t.d. þegar ekki er hægt að aðgreina gögn um einstakling frá gögnum um annan einstakling.

Hver eru viðurlögin við brotum á persónuverndarreglunum?
Ef brotið er gegn ákvæðum löggjafarinnar geta persónuverndarstofnanir í Evrópu lagt sekt á viðkomandi aðila. Samkvæmt persónuverndarlögum
geta sektir numið frá 100 þús. kr. til 1,2 milljarða kr. eða ef um er að ræða fyrirtæki allt að 2% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.

Hvað er persónuverndarstefna?
Með persónuverndarstefnu er átt við skráð skipulag og verkferla ábyrgðaraðila þegar kemur að vernd persónuupplýsinga, viðbrögðum við aðgangsbeiðnum, meðferð viðkvæmra persónuupplýsinga og viðbrögðum við öryggisbrestum. Persónuverndarstefnan skal vera aðgengileg og sett fram á einföldu og auðskiljanlegu máli.

Til hvaða gagna tekur löggjöfin? 
Löggjöfin gildir um vinnslu persónuupplýsinga. Með persónuupplýsingum er átt við hvers kyns upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í nafn, kennitölu, staðsetningargögn, netauðkenni eða aðra þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, menningarlegu eða félagslegu tilliti.

Hvað er rétturinn til að gleymast?
Ef vinnsla upplýsinga er byggð á samþykki, brýtur í bága við lög eða ef persónuupplýsingarnar eru ekki lengur nauðsynlegar í þeim tilgangi sem þeirra var safnað til, geta skráðir einstaklingar nú farið fram á að upplýsingunum verði eytt, bæði hjá ábyrgðaraðila og hverjum þeim þriðja aðila sem gögnunum kann að hafa verið dreift til.

Hvað er persónuverndarfulltrúi? 
Persónuverndarfulltrúi er sérfræðingur ábyrgðaraðila eða vinnsluaðila í persónuvernd. Hlutverk hans er að gæta þess að öll vinnsla sé í samræmi við lög og reglur ásamt því að vera tengiliður milli hinna skráðu, stjórnenda og Persónuverndar. Einstaklingar eiga að geta haft samband við persónuverndarfulltrúann vegna allra mála sem tengjast vinnu á persónuupplýsingum þeirra.

Hvað er átt við með að meta áhættu af vinnslu persónuupplýsinga?
Við vinnslu á persónuupplýsingum þarf að gæta að því hver hættan sé á að gögn eyðileggist, þau glatist, verði birt opinberlega eða aðgangur veittur að þeim í leyfisleysi. Þetta á sérstaklega við þar sem unnið er með viðkvæmar persónuupplýsingar. Gera skal viðeigandi ráðstafanir til að bregðast við áhættu, t.d. með dulkóðun gagna.

Hvað er átt við með ábyrgðaraðilar og vinnsluaðilar? 
Ábyrgðaraðili er einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem ákvarðar, einn eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga. Vinnsluaðili er einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.