Hvenær má ég vinna með persónuupplýsingar?

Óheimilt er að vinna með persónuupplýsingar nema heimild samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“) sé fyrir hendi. Sem dæmi um vinnslu á persónuupplýsingum má nefna söfnun þeirra, skráningu, varðveislu, breytingu, miðlun, notkun, skoðun og fleira. Hér má finna upplýsingar um hvenær heimilt er að vinna með persónuupplýsingar. Samkvæmt 9. gr. persónuverndarlaga má vinna með þær ef einhver eftirfarandi þátta er fyrir hendi:

  • Samþykki einstaklings liggur fyrir.
  • Vinnslan er nauðsynleg til að efna samning sem viðkomandi einstaklingur er aðili að.
  • Vinnslan er nauðsynleg til að uppfylla lagaskyldu sem hvílir á ábyrgðaraðila.
  • Vinnslan er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings.
  • Vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem viðkomandi fer með.
  • Vinnslan er nauðsynleg vegna lögmætra hagsmuna viðkomandi eða þriðja manns (sem vega þyngra en hagsmunir þess sem upplýsingarnar varða).

Hvenær get ég byggt á samþykki?

Hægt er að byggja á samþykki þegar aðrar heimildir koma ekki til greina. Til dæmis er rétt að byggja á samþykki ef þú vilt senda einstaklingum sem ekki eru í viðskiptum við þig tölvupóst með upplýsingum um vöru eða þjónustu sem þú ert að selja.

Hvenær get ég byggt á samningi?

Hægt er að byggja á samningi ef þú þarft að uppfylla samningsskyldur gagnvart einhverjum. Hér má til dæmis ímynda sér aðila sem rekur vefverslun. Vilji einstaklingur kaupa vöru í gegnum hana verður söluaðili að fá tilteknar upplýsingar, svo sem um að greiðsla hafi borist og hvernig kaupandi vilji fá hana afhenda. Að öðrum kosti gæti söluaðili ekki staðið við skuldbindingar sínar gagnvart kaupanda.

Hvenær get ég byggt á lagaskyldu?

Lagaskylda á yfirleitt við um aðila sem starfa á grundvelli laga. Hér má til dæmis hugsa sér einstakling sem sækir um tiltekna þjónustu hjá sveitarfélagi. Sveitarfélagið verður þá að taka umsóknina til meðferðar og afgreiða hana með hliðsjón af því sem ákveðið hefur verið með lögum. Er slíkt ómögulegt án þess að vinna með viðeigandi persónuupplýsingar umsækjanda og byggir vinnslan þá á nauðsyn vegna lagaskyldu sem hvílir á sveitarfélaginu.

Hvenær get ég byggt á brýnum hagsmunum? 

Hægt er að byggja á brýnum hagsmunum ef vinnslan verður að fara fram vegna hagsmuna sem hafa grundvallarþýðingu fyrir einstaklinginn, til dæmis forða honum frá verulegu fjárhagstjóni eða öðrum skaða. Viðkomandi verður einnig að vera ófær um að veita samþykki sitt, til dæmis vegna sjúkdóms, fjarveru eða annarrar sambærilegrar ástæðu. 

Hvenær get ég byggt á opinberu valdi?

Opinbert vald á yfirleitt einnig við um opinbera aðila og helst það oft í hendur við lagaskyldu sem hvílir á þeim. Dæmið með sveitarfélagið að framan á hér einnig vel við en það fer með vald til að taka ákvörðun sem varðar réttindi einstaklinga. Ómögulegt er að beita slíku valdi án þess að fullnægjandi upplýsingar liggi til grundvallar og byggir vinnslan á nauðsyn vegna beitingar opinbers valds.

Hvenær get ég byggt á lögmætum hagsmunum?

Hægt er að byggja á lögmætum hagsmunum þegar réttindi þess einstaklings sem upplýsingarnar eru um vega ekki þyngra. Hagsmunamat þarf alltaf að fara fram.

Hér má hugsa sér aðila sem selur einstaklingi vöru í gegnum vefverslun og kaupandi hefur gefið honum upp netfangið sitt. Söluaðili getur haft lögmæta hagsmuni af því að senda kaupanda síðar tölvupóst með upplýsingum um nýjar sambærilegar vörur. Getur vinnsla persónuupplýsinga þá verið nauðsynleg á grundvelli lögmætra hagsmuna seljanda.

Einnig má hugsa sér aðila sem á í viðskiptum við fyrirtæki og vinnur með persónuupplýsingar um tengiliði þess. Viðskiptasamband gæti aldrei gengið án slíkrar vinnslu og byggir hún þá á lögmætum hagsmunum viðkomandi.

Það skal athuga að hér er ekki um tæmandi talningu að ræða og ekki er víst að framangreindar heimildir dugi alltaf til, til dæmis ef viðkomandi vinnur með viðkvæmar persónuupplýsingar á borð við heilsufar, stéttarfélag eða stjórnmálaskoðun. Í slíkum tilfellum þurfa auknir heimildir að koma til.

Er svarið við spurningunni þinni ekki að finna hér? Ekki hika við að hafa samband við okkur í gegnum netfangið sekretum@sekretum.is og við svörum þér eins fljótt og auðið er.