Velkomin á vef Stjórnartíðinda
Setja síðu í 1024px vídd Setja síðu í 1280px vídd Setja síðu í 1400px vídd Fyrir sjónskerta Venjulegt letur Stækka letur Stækka letur enn meira

Sé munur á uppsetningu texta hér að neðan og í PDF skjali gildir PDF skjalið.
 337/2019
Nr. 337/2019 27. mars 2019

AUGLÝSING
um skrá yfir vinnsluaðgerðir þar sem krafist er mats á áhrifum á persónuvernd.

1. gr.

Gildissvið.

Persónuvernd skal samkvæmt 2. mgr. 29. gr. laga nr. 90/2018, sbr. 4. mgr. 35. gr. almennu persónuverndarreglugerðarinnar (ESB 2016/679), útbúa og birta lista yfir þær tegundir vinnslu þar sem skylt er að framkvæma mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga, áður en vinnslan hefst.

Auglýsing þessi öðlast þegar gildi.

2. gr.

Almennt.

Ábyrgðaraðili skal í ákveðnum tilfellum ávallt framkvæma mat á áhrifum fyrirhugaðra vinnslu­aðgerða á vernd persónuupplýsinga, áður en hafin er vinnsla persónuupplýsinga.

Það er mat Persónuverndar að tegundir vinnslu á persónuupplýsingum sem að neðan greinir, séu þess eðlis að þær útheimti mat á áhrifum á persónuvernd. Þessi listi er byggður á greiningu svokallaðs „29. gr. vinnuhóps“ Evrópusambandsins, sem staðfest hefur verið af Evrópsku persónu­verndar­stofnuninni (EDPB), nr. WP-248, sem litið hefur verið til sem grundvallar samræm­ingar­þáttar, með það að markmiði að samræma framkvæmd innan hins evrópska efnahags­svæðis.

Það er eðli lista sem þessa að hann er ekki tæmandi um þær tegundir vinnslu sem geta falið í sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Af þeim sökum er það á ábyrgð vinnsluaðila að meta í hvert og eitt sinn, hvort vinnsla felur í sér slíka hættu, hvort sem hún er á þessum lista eða ekki.

3. gr.

Viðmið í leiðbeiningum „29. gr. vinnuhópsins“ nr. WP-248.

Í flestum tilfellum þar sem framkvæma þarf mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga, líkt og vísað er til í leiðbeiningum „29. gr. vinnuhópsins“ nr. WP-248, er um að ræða vinnslu persónuupplýsinga er lúta að tveimur eða fleiri flokkum sem tilgreindir eru hér að neðan. Í ákveðnum tilfellum er þó nægjanlegt að vinnslan falli undir einn flokk til að kalla á slíkt mat:

  1. Mat eða einkunnagjöf.
  2. Sjálfvirk ákvarðanataka sem hefur áhrif á réttindi hins skráða.
  3. Kerfisbundin vinnsla eða eftirlit.
  4. Viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis.
  5. Umfangsmikil gagnavinnsla.
  6. Samkeyrsla gagnagrunna.
  7. Upplýsingar um aðila sem standa höllum fæti, gagnvart vinnsluaðila eða almennt.
  8. Vinnsla þar sem beitt er nýrri tækni eða eldri tækni er beitt á nýjan hátt.
  9. Vinnsla persónuupplýsinga sem kemur í veg fyrir að hinn skráði geti notið réttinda, fái fyrirgreiðslu, þjónustu eða samning.

4. gr.

Vinnsla persónuupplýsinga þar sem mat á áhrifum fyrirhugaðra vinnsluaðgerða
á vernd persónuupplýsinga, verður að fara fram áður en vinnslan hefst.

1.   Þegar gagna er aflað frá þriðja aðila í samhengi við a.m.k. einn af framangreindum flokkum í 3. gr.:
      Til dæmis söfnun og samkeyrsla persónuupplýsinga frá þriðja aðila í því skyni að ákveða hvort hinum skráða skuli boðið, hann hljóti áfram, eða verði neitað um vöru, þjónustu eða tilboð. (Aðili sem stendur höllum fæti og mat/einkunnagjöf).
      Til dæmis kerfisbundin samkeyrsla upplýsinga frá fjarskiptatækjum, t.a.m. um stað­setn­ingu, við önnur gögn. (Viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis og kerfisbundin vinnsla).
2.   Umfangsmikið kerfisbundið eftirlit, að meðtalinni rafrænni vöktun, á svæðum opnum almenn­ingi. (Kerfisbundin vinnsla og umfangsmikil vinnsla).
3.   Rafrænt eftirlit við skóla eða leikskóla á skóla-/vistunartíma. (Kerfisbundin vinnsla og aðili sem stendur höllum fæti).
4.   Vinnsla persónuupplýsinga í því skyni að leggja mat á árangur, líðan eða velferð nemenda í skóla eða leikskóla. Jafnt á skólaskyldualdri sem utan hans. (Aðili sem stendur höllum fæti og kerfisbundin vinnsla).
5.   Vinnsla lífkennaupplýsinga í því skyni að gera það kleift að greina eða staðfesta deili á ein­staklingi með ótvíræðum hætti:
      Til dæmis umfangsmikil vinnsla upplýsinga um lífkenni. (Viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis og umfangsmikil vinnsla).
6.   Vinnsla þar sem samkeyrðar eru erfðafræðilegar upplýsingar við a.m.k. einn af framan­greindum flokkum í 3. gr.:
      Til dæmis umfangsmikil vinnsla erfðafræðilegra upplýsinga. (Viðkvæmar persónu­upplýs­ingar eða aðrar upplýsingar viðkvæms eðlis og umfangsmikil vinnsla).
7.   Vinnsla persónuupplýsinga í því skyni að vakta vinnuskil eða hegðun starfsmanna:
      Til dæmis að fylgjast, á kerfisbundinn hátt, með hegðun starfsmanna á Netinu, rafrænum samskiptum þeirra eða með rafrænni vöktun. (Aðili sem stendur höllum fæti og kerfis­bundin vinnsla).
8.   Vinnsla persónuupplýsinga þar sem beitt er nýrri tækni eða eldri tækni er beitt á nýjan hátt og fram fer samkeyrsla við a.m.k. einn af framangreindum flokkum í 3. gr.:
      Til dæmis vinnsla persónuupplýsinga sem fengnar eru með tækjum sem fylgjast með ástandi og hreyfingu einstaklinga, s.s. snjallúrum. (Vinnsla þar sem beitt er nýrri tækni og viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis).
9.   Vinnsla persónuupplýsinga í því skyni að leggja mat á hæfni, andlega heilsu eða þroska. (Við­kvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis og kerfisbundin vinnsla).
10.   Vinnsla persónuupplýsinga sem fer fram án samþykkis hins skráða í vísindalegum eða sagn­fræði­legum tilgangi þar sem upplýsingar eru samkeyrðar við a.m.k. einn af framan­greindum flokkum í 3. gr.:
      Til dæmis vinnsla persónuupplýsinga í tengslum við vísindarannsóknir. (Mat eða einkunnagjöf og viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis).
11.   Vinnsla persónuupplýsinga í þeim tilgangi að veita eða þróa, þjónustu eða vöru, í viðskiptatilgangi, þar sem lagt er mat á eða spáð fyrir um, starfsgetu, efnahagslega stöðu, heilsu, skoðanir eða hugðarefni, áreiðanleika í viðskiptum, hegðun, staðsetningu eða ferða­leiðir. (Viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis og mat eða eink­unna­gjöf).
12.   Umfangsmikil vinnsla með viðkvæmar persónuupplýsingar, eða aðrar persónuupplýsingar viðkvæms eðlis, í því skyni að þróa algríma. (Umfangsmikil vinnsla og viðkvæmar persónu­upplýsingar eða aðrar upplýsingar viðkvæms eðlis).
13.   Umfangsmikil söfnun persónuupplýsinga, sem fer fram í gegnum „Internet hlutanna“ eða lausnir sem fylgjast með ástandi og hreyfingu einstaklinga, s.s. snjallúr. (Umfangsmikil vinnsla og viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis).
14.   Vinnsla persónuupplýsinga sem kemur í veg fyrir að hinn skráði fái fyrirgreiðslu, þjónustu eða samning:
      Til dæmis notkun persónusniðs eða sjálfvirkrar ákvarðanatöku t.a.m. við forskoðun á ein­staklingum vegna fyrirhugaðrar samningsgerðar eða lánafyrirgreiðslu. (Mat eða einkunna­gjöf og viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis).

F.h. Persónuverndar, 27. mars 2019,

Björg Thorarensen.

Helga Þórisdóttir.
B deild - Útgáfud.: 10. apríl 2019

Dómsmálaráðuneytið - Stjórnartíðindi - Borgartúni 26, 105 Reykjavík
Sími 545 9000 - Netfang: [email protected]