Persónuverndarstefna

Hvað er persónuverndarstefna?

Persónuverndarstefnu nota fyrirtæki gjarnan til að uppfylla svokallaða fræðsluskyldu sem hvílir á þeim samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“). Í þeirri skyldu felst að fyrirtæki þurfa að upplýsa einstaklinga um tiltekin atriði, til dæmis af hverju þau safna persónuupplýsingum, hvort þeim verði deilt með öðrum og hvað stendur til að geyma þær lengi.

Þegar fyrirtæki reyna að uppfylla fræðsluskylduna er ekki endilega rétt að setja það fram sem persónuverndarstefnu. Ef til vill væri eðlilegra að persónuverndarstefna innihéldi upplýsingar um markmið viðkomandi fyrirtækis þegar kemur að persónuvernd og leiðir að því. Sumir aðilar kjósa því fremur að notast við orð á borð við persónuverndaryfirlýsing.

Í framkvæmd virðist sú venja þó hafa myndast að notast við orðið persónuverndarstefna. Þess má geta að sjálf Persónuvernd notast við orðið persónuverndarstefna á heimasíðu sinni.


Hvílir skylda á fyrirtækjum að vera með persónuverndarstefnu?

Á fyrirtækjum hvílir ekki beint skylda til að vera með persónuverndarstefnu en líkt og áður er rakið ber þeim að upplýsa einstaklinga um tiltekin atriði í tengslum við söfnun og aðra meðferð á persónuupplýsingum þeirra.


Er ég fylgjandi persónuverndarlögum ef ég er með persónuverndarstefnu?

Algengur misskilningur er hjá fyrirtækjum um að persónuverndarstefna geri þau fylgjandi löggjöfinni. Persónuverndarstefnan er oftast nær eingöngu liður í að uppfylla fræðsluskylduna en fjölmörg önnur atriði þarf að hafa í huga þegar kemur að persónuverndarlögum. Þannig þurfa fyrirtæki til dæmis einnig að halda vinnsluskrá, meta hvort þau hafi heimildir til að vinna með persónuupplýsingar, framkvæma áhættumat og gera vinnslusamninga við þjónustuaðila.

Einnig er rétt að nefna að persónuverndarstefna tryggir ekki að fyrirtæki teljist hafa uppfyllt fræðsluskyldu gagnvart einstaklingum. Samkvæmt persónuverndarlögum þurfa fyrirtæki jafnframt að geta sýnt fram á reglufylgni, svo sem með því að kalla eftir staðfestingu frá viðkomandi. Þannig gæti til dæmis læknir ekki borið fyrir sig persónuverndarstefnu á heimasíðu í tengslum við skráningu á persónuupplýsingum sjúklings.


Hvernig á persónuverndarstefna að vera?

Persónuverndarstefna á að endurspegla starfsemi viðkomandi fyrirtækis. Þar eiga einnig að koma fram þær upplýsingar sem persónuverndarlögin gera kröfu um, svo sem af hverju verið er að safna persónuupplýsingum, hvað verður um þær, hvað þær verða geymdar lengi og hvaða réttindi einstaklingar hafa m.t.t. persónuverndar.

Mörg fyrirtæki eru dugleg við að afrita persónuverndarstefnu annarra fyrirtækja og birta sem sína eigin. Af augljósum ástæðum er þá sú hætta fyrir hendi að persónuverndarstefnan endurspegli ekki þá starfsemi sem um ræðir.


Við hjálpum þér

Við höfum gert persónuverndarstefnur fyrir fjölmörg fyrirtæki, sveitarfélög og stofnanir. Láttu okkur gera persónuverndarstefnu sem endurspeglar þína starfsemi. Ekki hika við að senda á okkur línu í gegnum netfangið sekretum@sekretum.is fyrir frekari upplýsingar.