Hvað þýða nýjar persónuverndarreglur fyrir sveitarfélögin

Leiðbeiningar

Áætlað er að ný persónuverndarlöggjöf (hér eftir nefnd “löggjöfin” eða “ný lög”) taki gildi á Íslandi á árinu 2018 á grundvelli reglugerðar Evrópusambandsins (ESB) nr. 2016/679 (hér eftir nefnd reglugerðin). Ekki liggja fyrir drög að löggjöfinni en Persónuvernd hefur birt óopinbera þýðingu á reglugerðinni á heimasíðu sinni[1]. Var það gert til að auðvelda aðilum að undirbúa sig undir komu nýrrar löggjafar, en mikil áhersla hefur verið lögð á slíkan undirbúning af hálfu Persónuverndar.

Vegna þessa hefur Samband íslenskra sveitarfélaga tekið saman helstu atriði úr reglugerðinni og þýðingu á henni sem hafa áhrif á rekstur sveitarfélaga og stofnana þeirra (hér eftir nefnd einu nafni “sveitarfélög”) í þeim tilgangi að aðstoða þau við undirbúning nýrra laga.

1. Hvaða þýðingu hafa nýju persónuverndarreglurnar fyrir sveitarfélögin?

Áætlað er að ný persónuverndarlöggjöf (hér eftir nefnd “löggjöfin” eða “ný lög”) taki gildi á Íslandi á árinu 2018 á grundvelli reglugerðar Evrópusambandsins (ESB) nr. 2016/679 (hér eftir nefnd reglugerðin). Ekki liggja fyrir drög að löggjöfinni en Persónuvernd hefur birt óopinbera þýðingu á reglugerðinni á heimasíðu sinni[1]. Var það gert til að auðvelda aðilum að undirbúa sig undir komu nýrrar löggjafar, en mikil áhersla hefur verið lögð á slíkan undirbúning af hálfu Persónuverndar

Vegna þessa hefur Samband íslenskra sveitarfélaga tekið saman helstu atriði úr reglugerðinni og þýðingu á henni sem hafa áhrif á rekstur sveitarfélaga og stofnana þeirra (hér eftir nefnd einu nafni “sveitarfélög”) í þeim tilgangi að aðstoða þau við undirbúning nýrra laga.

Sambandið tekur fram að þessar leiðbeiningar eru unnar út frá þeim upplýsingum sem nú liggja fyrir um komandi nýja löggjöf. Þrátt fyrir að um reglugerð frá ESB sé að ræða, sem þýðir að íslensk stjórnvöld þurfa almennt að innleiða efni hennar orð frá orði, þá felur hún í sér 55 ákvæði af 99 sem veita ákveðið val við innleiðingu fyrir stjórnvöld. Vegna þessa og að ekki liggja fyrirfrumvarpsdrög er mögulegt að eitthvað kunni að breytast, þó ekki verði um nein grundvallaratriði að ræða. Íslensk stjórnvöld hafa jafnframt gefið út að að ætlunin sé að fylgja eftir framkvæmd annarra Norðurlandaþjóða og hefur því verið stuðst við efni frá þeim ásamt upplýsingum frá ESB, ICO í Bretlandi og fleiri stöðum við gerð þessara leiðbeininga. Vísað verður í greinar reglugerðarinnar í leiðbeiningum þessum eftir því sem við á svo sveitarstjórnir geti skoðað ítarefni og þann lagatexta sem býr að baki

Ljóst er að ný lög munu leggja ríkari kröfur á herðar sveitarfélaga að því er varðar m.a. hvaða upplýsingar eru geymdar, hvernig er unnið úr þeim og á hvaða formi þær eru geymdar. Munu nýju lögin veita einstaklingum mun meiri réttindi en núgildandi lög auk þess sem þau munu innhalda rífleg sektarákvæði sem beita má ef sveitarfélög gerast sek um öryggisbrot á persónuverndarupplýsingum.

Við lestur leiðbeininga, reglugerðar og nýrra laga þegar þau liggja fyrir er mikilvægt að sveitarfélög hafi í huga að þau geta bæði verið ábyrgðaraðilar og vinnsluaðilar í skilningi nýrra laga og er því mikilvægt að þau skoða hlutverk sín og ábyrgð út frá þessum skilgreiningum:

Ábyrgðaraðili: er einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem ákvarðar, einn eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga; ef tilgangur og aðferðir við slíka vinnslu eru ákveðin í lögum.

Vinnsluaðili: einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.

Bent er á að í leiðbeiningum þessum er stuðst við ýmsar skilgreiningar sem finna má skýringu á í núgildandi lögum um persónuvernd og meðferð persónuupplýsinga nr. 77/2000 (hér eftir lög um persónuvernd eða núgildandi lög)[2].

Sambandið vekur líka athygli á því að í gögnum sem öllum sveitarfélögum voru send vegna Mentor málsins svonefnda í lok árs 2016 er að finna ýmis stöðluð skjöl sem nýta má við undirbúning nýrrar löggjafar enda kalla þau skjöl ekki í öllum tilvikum á breytingar og í sumum tilvikum einungis á litlar breytingar.

 

2. Hvað þurfa sveitarfélögin að gera nú?  Sjö meginreglur reglugerðar

Þrátt fyrir að vinna við innleiðingu á reglugerð sé á eftir áætlun og hafi enn ekki verið tekin upp í EES samninginn eða drög að lögum kynnt hvetur sambandið sveitarfélög til að hefja undirbúning fyrir nýja löggjöf og hefur bent á eftirfarandi aðgerðir sem möguleg fyrstu skref:

  1. Hafin verði sem fyrst skoðun á því hvaða persónuupplýsingum er verið að safna.
  2. Kannað sé og tryggt að varsla og vinnsla þeirra sé hið minnsta í samræmi við núgildandi lög.
  3. Sveitarfélög kynni sér efni reglugerðarinnar, m.a. með lestri og dreifingu þessara leiðbeininga.
  4. Sveitarfélög hugi að skipun persónuverndarfulltrúa, enda verða allar opinberar stofnaðir að skipa slíkan fulltrúa. þ.m.t. sveitarfélög. Hlutverk hans er að vera sérfræðingur viðkomandi aðila í persónuvernd og tengiliður milli stjórnenda, hinna skráðu og Persónuverndar. Persónuverndarfulltrúinn getur verið starfsmaður, sveitarfélags, stofnunar eða utanaðkomandi sérfræðingur. Heimilt er að persónuverndarfulltrúi gegni öðrum störfum hjá sveitarfélagi og eins er heimilt að sami persónuverndarfulltrúinn sé yfir fleiri en einni stofnun.
  5. Sveitarfélög setji sér verklagsreglur um hvernig fara skuli með persónuverndarupplýsingar og hvernig veita skuli aðgang að gögnum á grundvelli laganna.
  6. Sveitarfélög seti sér persónuverndarstefnu á aðgengilegu og auðskiljanlegu formi.

Þá bendir sambandið í upphafi á að almennt er talað um að nýju lögin muni fela í sér sjö meginreglur, sem mikilvægt er að sveitarfélög og stofnanir þeirra tileinki sér hið fyrsta en þær eru eftirfarandi:

  1. Að unnið sé úr upplýsingum á sanngjarnan, lögmætan og gagnsæjan hátt
  2. Að upplýsingum sé einungis safnað í sérstökum, nákvæmum og lögmætum tilgangi
  3. Að upplýsingar séu fullnægjandi, viðeigandi og aðeins safnað eftir því sem nauðsynlegt er
  4. Að upplýsingarnar séu nákvæmar og réttar
  5. Að upplýsingar séu ekki geymdar lengur en sem nauðsynlegt er eða lög kveða á um
  6. Að öryggi gagna sé tryggt og að þær séu réttar og bundnar trúnaði
  7. Að upplýsingar séu unnar af vinnsluaðilum sem geta sýnt fram á að fullnægja skilyrði laganna.

Sjá nánar 5. gr. reglugerðar

 

3. Nýjar skyldur sveitarfélaga

Með nýrri löggjöf takast sveitarfélög á hendur nýjar og mun strangari skuldbindingar en þau gera samkvæmt núgildandi lögum sem m.a. felast í því að einstaklingum verða veitt víðtæk réttindi. Sveitarfélög verða því að þekkja efni nýrra laga þegar þau liggja fyrir og setja sér nýjar verklagsreglur um meðferð persónuupplýsingar í samræmi við þau.

Sambandið bendir sérstaklega á að þar sem ábyrgðin hvílir á sveitarfélögunum í nýrri löggjöf þá bera þau ábyrgð á því að allir starfsmenn þekki reglurnar og vinni eftir þeim. Verði öryggisbrot vegna meðferðar persónuupplýsinga hjá sveitarfélögum þá getur það leitt til þess að þau verði sektuð um háar fjárhæðir (sjá nánar umfjöllun í kafla 12). Hvetur sambandið því sveitarfélög að fara að kynna sér reglurnar sem fyrst og tryggja mannaforráð til vinnunnar sem er henni samhliða.

Í verklagsreglum sem sveitarfélög munu þurfa að setja sér þurfa eftirfarandi upplýsingar komi fram:

  1. Hver er persónuverndarfulltrúi ásamt samskiptaupplýsingum
  2. Hvaða vinnsla á persónuupplýsingum á sér stað
  3. Hvernig meginreglum um persónuvernd verður beitt (sjá hinar 7 meginreglur í kafla 2)
  4. Réttindi skráðra einstaklinga (sjá kafla 5)
  5. Staðfesting á því að ábyrgðaraðili/vinnsluaðili/sveitarfélög beri ábyrgð samkvæmt nýjum lögum og hafi í gildi örugg kerfi.
  6. Hvernig skráðum einstaklingum eru veittar upplýsingar (sjá kafli 4 umfang upplýsinga)
  7. Verkefni persónuverndarfulltrúa
  8. Tilkynningar vegna öryggisbrota
  9. Heimild til að kvarta til Persónuverndar og samskipti við Persónuvernd.
  10. Hvernig fer með þjálfun starfsmanna samkvæmt nýjum lögum.

 

4. Skylda til að halda utan um umfang persónuverndarupplýsinga sem geymdar eru og hvernig þær eru unnar

Sveitarfélögum er skylt við vinnslu og söfnun persónuupplýsinga að upplýsa skráða einstaklinga um söfnun og vinnslu í ríku mæli, en þessi upplýsingaskylda eykst mikið við nýja löggjöf. Á þetta sér í lagi við þegar um söfnun á viðkvæmum persónuupplýsingum er að ræða, en viðkvæmar persónuupplýsingar teljast skv. 8. tl. 2. gr. núgildandi laga vera:

  1. Upplýsingar um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir.
  2. Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað.
  3. Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun.
  4. Upplýsingar um kynlíf manna og kynhegðan.
  5. Upplýsingar um stéttarfélagsaðild.

Aðrar upplýsingar geta líka fallið hér undir og mætti sem dæmi nefna upplýsingar um hvernig fer með forsjá barns, hegðunarerfiðleikar, mætingar og aðrar skráningar hjá leik- og grunnskólum. Er þetta ótvírætt í nýrri löggjöf þar sem sérstaklega er talað um “aðrar viðkvæmar persónuupplýsingar.”

Skylt er að upplýsingar sem veittar eru um vistun og vinnslu séu nákvæmar, skýrar, ótvíræðar, auðskiljanlegar og aðgengilegar. Séu upplýsingar ætlaðar börnum eru gerðar þær kröfur að upplýsingar miðist við skilning þeirra og þroska.

Sjá nánar 12. gr reglugerðarinnar.

Að því er varðar hvaða upplýsingar þarf að veita einstaklingum um hvaða upplýsingar eru vistaðar um þá hjá sveitarfélögum þá verður þeim skylt að veita mun meiri upplýsingar. Kröfur eru þó ólíkar eftir því hvort upplýsingar koma frá skráðum einstaklingi eða frá þriðja aðila.

Upplýsingar skulu veittar innan 30 daga frá beiðni skráðs einstaklings. Náist ekki að veita umbeðnar upplýsingar, eða um er að ræða upplýsingar sem ekki er heimilt að afhenda, skal upplýst um hvers vegna ekki er orðið við beiðni innan sama tíma ásamt möguleika á að leggja fram kvörtun hjá Persónuvernd vegna neitunar sveitarfélags.

Upplýsingar skulu veittar gjaldfrjálst óháð því hvort sveitarfélög þurfi að verja tíma og peningum við öflun þeirra.

Þær upplýsingar sem skal veita skráðum einstaklingum eru eftirfarandi:

  1. Heiti og samskiptaupplýsingar sveitarfélags og persónuverndarfulltrúa.
  2. Tilgangur með fyrirhugaðri vinnslu persónuupplýsinganna og hver lagagrundvöllur hennar er.
  3. Hvaða persónuupplýsingar eru vistaðar og/eða unnið með.
  4. Grundvöllur fyrir vinnslu persónuupplýsinga.
    • Ef vinnsla byggir á samþykki skal upplýst um rétt til að draga samþykki til baka
    • Ef vinnslan byggist á lögmætum hagsmunum ábyrgðaraðila eða þriðja aðila, hvaða lögmætu hagsmunir það eru.
  5. Hver er viðtakandi persónuupplýsinga sem vistaðar og/eða unnar eru.
  6. Ef ábyrgðaraðili hyggst miðla persónuupplýsingum til þriðja lands eða alþjóðastofnunar utan EES, þarf að tilgreina hvernig gögn eru varin og hvernig hægt er að fá upplýsingarnar til baka.
  7. Hversu lengi persónuupplýsingarnar eru geymdar eða, sé það ekki mögulegt, þær viðmiðanir sem notaðar eru til að ákveða hversu lengi þær eru geymdar.
  8. Að fyrir hendi sé réttur til að fara fram á að fá aðgang að persónuupplýsingum, láta leiðrétta þær, eyða þeim, eða takmarka vinnslu þeirra og til að andmæla vinnslu, auk réttarins til að flytja eigin gögn.
  9. Réttur til að leggja fram kvörtun hjá Persónuvernd.
  10. Hvort fram fari sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs, og, a.m.k. í þeim tilvikum, marktækar upplýsingar um þau rök sem þar liggja að baki og einnig þýðingu og fyrirhugaðar afleiðingar slíkrar vinnslu fyrir hinn skráða.
  11. Hvort það að veita persónuupplýsingar sé krafa samkvæmt lögum eða samkvæmt samningi eða krafa sem er forsenda þess að hægt sé að gera samning og einnig hvort skráðum einstaklingi sé skylt að láta persónuupplýsingarnar í té og mögulegar afleiðingar þess ef hann veitir ekki upplýsingarnar,
  12. Ef upplýsingar eru fengnar frá öðrum en skráðum einstaklingi, hvaðan þær eru fengnar og hvort þær koma frá opinberum aðilum.
  13. Ef sveitarfélag hyggst vinna persónuupplýsingarnar frekar í öðrum tilgangi en þeim sem lá að baki söfnun þeirra skal það láta hinum skráða í té upplýsingar um þennan nýja tilgang áður en sú frekari vinnsla hefst, ásamt öðrum viðeigandi viðbótarupplýsingum.

Sjá nánar 13. og 14. gr. reglugerðar

 

5. Réttindi einstaklinga sem sveitarfélög verða að fara eftir

Einn megintilgangur nýrrar löggjafar er að veita einstaklingum betri vernd og færa þeim aukinn ákvörðunarrétt yfir persónuupplýsingum sínum í þeim tilgangi að fela þeim stjórn yfir því hver vinnur upplýsingar um þá, hvenær og í hvaða tilgangi. Mikilvægt er að sveitarfélög kynni sér vel réttindi einstaklinga þar sem þau verða að tryggja að skráðir einstaklingar geti notið þessara réttinda. Ef sveitarfélag brýtur gegn reglunum mun Persónuvernd hafa heimild til að sekta það eða kveða á um önnur þvingunarúrræði samkvæmt lögunum.

Ný löggjöf felur í sér þessi nýju réttindi:

1.  Rétturinn til að gleymast

Skráðir einstaklingar eiga rétt á því í vissum tilvikum að persónuupplýsingar um þá séu leiðréttar eða þeim eytt, t.d. ef upplýsingarnar eru ekki lengur nauðsynlegar í þágu þess tilgangs sem þeirra var upphaflega aflað í, ef vinnsla byggist á samþykki og samþykki er dregið til baka og ef persónuupplýsingar hafa verið meðhöndlaðar í andstöðu við ný lög.

Sjá nánar 17. gr. reglugerðar

2. Réttur til leiðréttingar

Skráður einstaklingur á rétt á að fá áreiðanlegar persónuupplýsingar leiðréttar án tafa. Hann á einnig rétt á að láta fullgera ófullkomnar eða óáreiðanlegar persónuupplýsingar.

Sjá nánar 16. gr. reglugerðar

3. Hreyfanleiki persónuupplýsinga

Skráðir einstaklingar eiga rétt á því að upplýsingar sem þeir láta af hendi, á grundvelli samþykkis eða samnings, til fyrirtækja eða annarra sem veita þjónustu á netinu, verði fluttar að beiðni skráðs einstaklings til annarra aðila á borð við samfélagsmiðla, netþjónustur eða streymisþjónustur. Skráðir einstaklingar eiga einnig rétt á því að fá persónuupplýsingar sínar á hefðbundnu sem og stafrænu formi svo framarlega sem það er tæknilega mögulegt.

Á heimasíður Persónuverndar www.personuvernd.is er að finna tengla á leiðbeiningar um um hreyfanleika gagna (e. Data Portability) og yfirlit með algengum spurningum og svörum um hreyfanleika

Sjá nánar 20. gr. reglugerðar

4. Auknar kröfur til samþykkis fyrir vinnslu

Samþykki skráðra einstaklinga þarf ávallt að vera veitt með skýrri staðfestingu, s.s. með skriflegri yfirlýsingu. Yfirlýsingin þarf hið minnsta að vera ótvíræð, gefin af fúsum og frjálsum vilja og ná til allra aðgerða sem framkvæmdar eru. Þögn, aðgerðaleysi og rafrænt hak, sem gerir fyrirfram ráð fyrir samþykki flokkast ekki sem samþykki.

Sjá nánar 8. gr. reglugerðar

5. Réttur til upplýsinga um vinnslu og til aðgangs að eigin persónuupplýsingum

Skráðir einstaklingar eiga rétt á því að sveitarfélögin veiti upplýsingar um vinnslu og meðferð persónuupplýsinga um viðkomandi á hnitmiðuðu, skiljanlegu og aðgengilegu formi og á skýru og einföldu máli. Upplýsingar má veita skriflega eða á annan hátt, m.a. með rafrænum hætti, og skulu þær veittar eigi síðar en mánuði frá því að ósk barst.

Sjá nánar 15. gr. reglugerðar

6. Börnum veitt sérstök vernd

Netþjónustur (t.d. samfélagsmiðlar) verða að afla samþykkis foreldra áður en börn undir 16 ára aldri skrá sig í slíka þjónustu. Heimilt er að kveða á um lægra aldurstakmark í landslögum en þó ekki lægra en 13 ára. Séu upplýsingar ætlaðar börnum eru gerðar þær kröfur að upplýsingar miðist við skilning þeirra og þroska.

Sjá nánar 8. gr. reglugerðar

7.  Réttur til að krefjast takmörkunar á vinnslu

Skráður einstaklingur getur í ákveðnum tilvikum krafist þess að sveitarfélag takmarki vinnslu á persónuupplýsingum hans.

Sjá nánar 18. gr. reglugerðar

8. Andmælaréttur

Skráður einstaklingur á rétt á að andmæla vinnslu persónuupplýsinga er varða hann sjálfan í ákveðnum tilvikum. Getur ábyrgðaraðili í slíkum tilvikum ekki unnið persónuupplýsingarnar frekar nema hann geti sýnt fram á mikilvægar lögmætar ástæður fyrir vinnslunni sem ganga framar hagsmunum, réttindum og frelsi hins skráða eða því að stofna, hafa uppi eða verja réttarkröfur.

Sjá nánar 21. gr. reglugerðar

6. Mikilvægi þess að meta áhættu á vinnslu persónuupplýsinga og mögulegar afleiðingar brota á friðhelgi einstaklinga

Við mat á ferlum við vinnslu persónuupplýsinga hjá sveitarfélögum verður að meta sérstaklega hvort vinnsluaðferðir skapi mikla hættu fyrir friðhelgi einstaklinga. Á þetta einkum við þar sem notast er við nýja tækni við vinnslu og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, en í þeim tilvikum skulu sveitarfélög láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst. Verður sveitarfélag að gera sér grein fyrir þeirri hættu og mögulegum afleiðingum af vinnslunni, einkum vegna öryggisbrota.

Sveitarfélög skulu einkum láta fram fara mat á áhrifum á persónuvernd, þegar um er að ræða:

  1. kerfisbundið og umfangsmikið mat á persónulegum þáttum, sem tengjast einstaklingum, sem byggist á sjálfvirkri vinnslu sem leiðir til töku ákvarðana sem hafa réttaráhrif fyrir einstaklinginn eða snerta hann verulega með svipuðum hætti,
  2. umfangsmikla vinnslu sérstakra flokka upplýsinga er varða kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu, aðild að verkalýðsfélagi, heilsufarsupplýsingar, aðrar viðkvæmar persónuupplýsingar [3] eða persónuupplýsingar er varða sakfellingar í refsimálum og refsiverð brot sem um getur (sjá nánar 9. og 10. gr. reglugerðar), eða
  3. kerfisbundið og umfangsmikið eftirlit með svæði sem er aðgengilegt almenningi.

Sé framkvæmt mat á áhrifum þá skal framkvæmd mats fela í sér að lágmarki:

  • kerfisbundna lýsingu á fyrirhuguðum vinnsluaðgerðum og tilgangi með vinnslunni, þ.m.t., eftir atvikum, lögmætum hagsmunum ábyrgðaraðilans,
  • mat á því hvort vinnsluaðgerðirnar eru nauðsynlegar og hóflegar miðað við tilganginn með þeim,
  • mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga, og
  • ráðstafanir sem fyrirhugað er að grípa til gegn slíkri áhættu, þ.m.t. verndarráðstafanir, öryggisráðstafanir og fyrirkomulag við að tryggja vernd persónuupplýsinga og sýna fram á að farið sé að þessari reglugerð, að teknu tilliti til réttinda og lögmætra hagsmuna skráðra einstaklinga og annarra einstaklinga sem í hlut eiga.

Sjá nánar 35. gr. reglugerðar

Ef hætta við vinnslu eða vistun er mikil og erfitt að draga úr henni skal leita forálits Persónuverndar á lögmæti vinnslunnar.

Sjá nánar 36. gr. reglugerðar

 

7. Persónuvernd verður að vera innbyggð í nýjan hugbúnað og upplýsingakerfi.

Samkvæmt nýju löggjöfinni skulu nýr hugbúnaður og upplýsingakerfi vera útfærð með sérstaka áherslu á friðhelgi einkalífsins, s.s. með lágmörkun gagna og að kerfi sé valið sem feli í sér minnsta áhættu varðandi eins litlar persónuupplýsingar, og hægt er, og á þann hátt að hún er innbyggð í viðkomandi lausn. Verður gengið út frá því að hámarks áhersla á persónuvernd sé sjálfgefin í öllum kerfum og skipulagslegum ráðstöfunum.

Heimilt verður að nota samþykkt vottunarfyrirkomulag, sbr. 42. gr reglugerðar til að sýna fram á að þessar kröfur séu uppfylltar. Gera má ráð fyrir að slíku vottunarfyrirkomulagi verði komið á af hálfu dómsmálaráðuneytisins og Persónuverndar þannig að sveitarfélög geti samið við aðila með slíkar vottanir.

Á grundvelli þessa verða Sveitarfélög að ganga úr skugga um að þau tölvukerfi sem þau nota uppfylli þessar kröfur.

Sjá nánar 25. gr. og 42. gr.  reglugerðar

 

8. Hvenær þarf að skipa persónuverndarfulltrúa og nánar um störf hans

Öll opinber yfirvöld eða stofnanir, þ.m.t. sveitarfélög og stofnanir þess (fyrir utan dómstóla) verða að skipa sér persónuverndarfulltrúa.

Heimilt er að skipa sama aðila fyrir fjölda stofnana og mögulega fyrir heil sveitarfélög. Við mat á því hversu víðtækt starf persónuverndarfulltrúa er, skal tekið tilliti til stjórnskipulags og stærðar.

Persónuverndarfulltrúa er jafnframt heimilt að gegna öðrum störfum hjá sveitarfélagi en ríkar kröfur eru gerðar til þess að hann fái mikla þjálfun og miðli þekkingu til annarra starfmanna. Sveitarfélag skal tryggja að hann hafi ekki skyldustörf á höndum sem leiði til hagsmunaárekstra við starf viðkomandi sem persónuverndarfulltrúi. Persónuverndarfulltrúi skal skipaður á grundvelli faglegrar hæfni sinnar og sérþekkingar á lögum og lagaframkvæmd á sviði persónuverndar og getu til að vinna verkefni sem honum eru falin, sjá m.a. 39. gr. reglugerðar.

Persónuverndarfulltrúi skal koma að öllum málum sem varða meðferð persónuverndarupplýsinga og er hann tengiliður fyrir sveitarfélagið. Það þýðir að öllum spurningum og beiðnum frá skráðum aðilum er varða meðferð og geymslu persónuupplýsinga og hvernig þeir geta nýtt rétt sinn skal beint til hans.

Sveitarfélög skulu tryggja að persónuverndarfulltrúi hafi starfsskilyrði sem tryggi að hann geti sinnt starfi sínu í samræmi við lögin og að hann komi með viðeigandi hætti og tímanlega að öllum málum sem tengjast vernd persónuupplýsinga.

Persónuverndarfulltrúi skal vera óháður í störfum sínum sem persónuverndarfulltrúi og ekki taka við skipunum yfirmanns varðandi þau störf. Hann skal hins vegar veita upplýsingar um störf sín til yfirmanna sveitarfélaga. Persónuverndarfulltrúi er bundinn trúnaðar- og þagnarskyldu.

Helstu verkefni persónuverndarfulltrúa eru eftirfarandi:

  1. Upplýsa og ráðleggja sveitarfélagi og starfsmönnum þess um skyldur skv. lögunum
  2. Hafa eftirlit með fylgni við löggjöfina og persónuverndarstefnu sveitarfélagsins, m.a. þjálfun annarra starfsmanna
  3. Veita ráðgjöf og aðstoða við mat á áhrifum sbr. 35. gr. reglugerðarinnar
  4. Vinna með og vera tengiliður við Persónuvernd.

Sjá nánar 38. -  39. gr. reglugerðar.

 

9. Allir vinnsluaðilar takast á hendur nýjar skyldur

Vinnsluaðilar eru þeir sem vinna með persónuupplýsingar fyrir hönd ábyrgðaraðila, en sveitarfélög geta mögulega verið í báðum hlutverkum. Er þó með vinnsluaðila einkum um að ræða fyrirtæki á sviði upplýsingatækniþjónustu. Lögin munu skylda þessa aðila til að setja sér verklagsreglur um vinnslu og meðferð persónuupplýsinga.

Einungis skal leita til vinnsluaðila sem veita nægjanlegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðastafanir til að vinnsla uppfylli kröfur persónuverndarlaga og að vernd réttinda skráðra einstaklinga sé tryggð.

Vinnsluaðili ber sjálfstæða ábyrgð og getur orðið efnahagslega ábyrgur til jafns við ábyrgðaraðila ef vinnsla brýtur í bága við lögin.

Helstu skuldbindingar vinnsluaðila verða eftirfarandi:

  1. Gæta að upplýsingaöryggi, sbr. 32. gr. reglugerðar.
  2. Tilkynna þegar um í stað um öryggisbrot við meðferð persónuupplýsinga
  3. Veita persónuverndarfulltrúa allar nauðsynlegar upplýsingar og vinna með honum, sbr. 37. gr. reglugerðar.

Vinnsluaðilum er skylt að upplýsa ef þeir telja að fyrirmæli sveitarfélaga séu andstæð lögum eða persónuverndarstefnu og verður sveitarfélag að skoða slíkt sérstaklega og mögulega í samstarfi við Persónuvernd.

Vinnsluaðila er ekki heimilt að ráða annan vinnsluaðila til að sinna verkefnum sem honum eru falin án heimildar frá ábyrgðaraðila.

Sjá nánar 28.gr. og 32. – 33. gr. reglugerðar

 

10. Sveitarfélög skulu fylgja viðmiðum góðra og gegnra aðila á sínu sviði.

Lögin gera ráð fyrir því að fyrirtæki og stofnanir setji sér siða- eða hátternisreglur innan hverrar starfstéttar, þar sem fjallað verði um góða og viðurkennda starfshætti með tilliti til meðferðar persónuupplýsinga. Tilgangur með slíkum reglum er að skýra betur hvernig vinna eigi eftir lögunum og fækka vafaatriðum. Ákveði einstaka starfstéttir, t.d. skólar eða velferðarþjónustuaðilar, að setja sér slíkar reglur þá þarf að afla staðfestingar á reglunum hjá Persónuvernd.

Sjá nánar 41. – 42. gr. reglugerða

 

11. Tilkynningar og viðbrögð vegna öryggisbrota

Öryggisbrot við meðferð persónuupplýsinga eru samkvæmt reglugerð brot á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.

Reglur um tilkynningu vegna öryggisbrests verða mun meira íþyngjandi með nýrri löggjöf og því mikilvægt að verklagsreglur taki á þessu, enda verður sveitarfélögum skylt að tilkynna til Persónuverndar ef um slíkt brot er að ræða.  

Meginreglan er sú að tilkynna eigi öll öryggisbrot, eina undantekningin er sú ef ljóst þykir að brot feli ekki í sér hættu á að brjóta gegn réttindum skráðra einstaklinga.

Tilkynningar skulu sendar til Persónuverndar innan 72 tíma. Ef ekki næst að tilkynna innan tímamarka skal tilgreina ástæður þessa.

Í tilkynningu til Persónuverndar skal koma fram:

  1. lýsing á eðli öryggisbrots við meðferð persónuupplýsinga, þ.m.t., ef hægt er, þeim flokkum og áætluðum fjölda skráðra einstaklinga sem það varðar og flokkum og áætluðum fjölda skráninga persónuupplýsinga sem um er að ræða,
  2. Nafn og samskiptaupplýsingar persónuverndarfulltrúa þar sem hægt er að fá frekari upplýsingar,
  3. lýsing á sennilegum afleiðingum öryggisbrots við meðferð persónuupplýsinga,
  4. lýsing á þeim ráðstöfunum sem gripið hefur verið til eða fyrirhugar er að gera vegna öryggisbrots við meðferð persónuupplýsinga, þ.m.t. ráðstöfunum til að milda hugsanleg skaðleg áhrif þess

Ef líklegt er að öryggisbrot við meðferð persónuupplýsinga leiði af sér mikla hættu fyrir réttindi og frelsi einstaklinga skal skráðum einstaklingum tilkynnt um eðli öryggisbrots á skýru og einföldu máli og til hvaða ráðstafana hafi verið gripið í þeim tilgangi.

Ekki þarf að tilkynna um brot ef:

  • Gripið hefur verið til viðeigandi tæknilegra og skipulagslegrar verndarráðstafana og upplýsingar gerðar ólæsilegar þeim sem ekki hefur aðgangsheimild s.s. með dulkóðun.
  • Gripið hefur verið til ráðstafana og ólíklegt er að hætta skapist aftur
  • Ef tilkynning hefur í för með sér óhóflega fyrirhöfn, þá má birta almenna tilkynningu eða grípa til sambærilegra ráðstafana.

Sjá nánar 33. – 34. gr. reglugerðar

 

12. Afleiðingar brota

Í nýjum lögum verður Persónuvernd veittar rúmar sektarheimildir í formi stjórnsýslusekta vegna öryggisbrota. Skulu sektir vera í réttu hlutfalli við brot og hafa varnaðaráhrif. Er því afar mikilvægt að sveitarfélög vinni heimavinnu sína á grundvelli nýrra laga og kanni hvernig vinnslu þeirra er háttað og gæti þess að:

  1. Aðeins vinna með nauðsynlegar upplýsingar.
  2. Aðeins eins lengi og þurfa þykir.
  3. Vinnsla hafi lögmætan tilgang.
  4. Upplýsingar séu eins réttar og mögulegt er.
  5. Skýrt samþykki liggi fyrir þar sem það á við.
  6. Allir ferlar og öryggismál séu í lagi.

Er þetta ekki síst mikilvægt í ljósi þeirra rúmu sektarheimilda sem Persónuvernd mun fá en samkvæmt þeim verður heimilt að sekta fyrir allt að 4% af árlegri veltu eða fyrir allt að 20 milljónir evra.

Sambandið bendir sérstaklega á að þar sem um er að ræða stjórnvaldssekt þá þarf Persónuvernd ekki að sýna fram á ásetning eða sanna tjón, heldur einungis að líta til þeirra viðmiða sem nýju lögin kveða á um.

Sjá nánar 83. gr. reglugerðar

Auk stjórnsýslusekta þá geta sveitarfélög líka orðið skaðabótaskyld gagnvart einstaklingum sem hafa orðið fyrir eignatjóni eða óefnislegu tjóni vegna brots á ákvæðum nýrra laga.

Sjá nánar 82. gr. reglugerðar

 

13. Skrár yfir vinnslustarfsemi

Hjá stærri sveitarfélögum, eða þar sem starfsmenn eru fleiri en 250 ber að halda skrá yfir vinnslustarfsemi sem fram fer á ábyrgð hans.

Þessi skylda hvílir ekki á sveitarfélögum eða stofnunum þess ef starfsmenn eru 250 eða færri, nema ef vinnslan, sem þar er innt af hendi, er líkleg til að leiða af sér áhættu fyrir réttindi og frelsi skráðra einstaklinga, vinnslan sé ekki tilfallandi eða taki til sérstakra flokka upplýsinga

Um vinnsluskrár og það sem þar þarf að koma fram er fjallað í 30. gr. reglugerðarinnar, en þar þarf að koma fram:

  • Heiti og samskiptaupplýsingar ábyrgðaraðila og persónuverndarfulltrúa
  • Tilgangur vinnslunnar
  • Lýsing á flokkum skráðra og persónuupplýsinga
  • Hverjir munu fá upplýsingarnar, þ.m.t. þriðju aðilar
  • Ef við á, flutningur til annarra landa á gögnum
  • Fyrirhuguð tímamörk fyrir eyðingu, eða lagaskylda til að geyma
  • Lýsing á öryggisráðstöfunum við geymslu og vinnslu gagna

Hér að neðan er finna dæmi um vinnsluskrá:

MyndPersonuvernd

14. Frekari upplýsingar

  • Persónuvernd Norðmanna er líka með mjög gott efni á sinni síðu, sjá: www.datatilsynet.no

 



[1] https://www.personuvernd.is/media/frettir/DROG_thyding_GDPR_2016_679.pdf

[2] http://www.althingi.is/lagas/146a/2000077.html

[3] M.a. upplýsingar um hvernig fer með forsjá barns, hegðunarerfiðleikar, mætingar og aðrar skráningar hjá leik- og grunnskólum