Velkomin á vef Stjórnartíðinda
Setja síðu í 1024px vídd Setja síðu í 1280px vídd Setja síðu í 1400px vídd Fyrir sjónskerta Venjulegt letur Stækka letur Stækka letur enn meira

Sé munur á uppsetningu texta hér að neðan og í PDF skjali gildir PDF skjalið.
 828/2019
Nr. 828/2019 29. ágúst 2019

AUGLÝSING
um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.

1. gr.

Almennt.

Ábyrgðaraðili skal í ákveðnum tilfellum ávallt framkvæma mat á áhrifum fyrirhugaðra vinnslu­aðgerða á vernd persónuupplýsinga, áður en vinnslan hefst.

Persónuvernd skal, samkvæmt 2. mgr. 29. gr. laga nr. 90/2018, sbr. 4. mgr. 35. gr. almennu persónu­verndarreglugerðarinnar (ESB) 2016/679, útbúa og birta skrá yfir þær tegundir vinnslu­aðgerða þar sem krafist er mats á áhrifum á persónuvernd. Slíkt mat skal framkvæmt áður en vinnsla persónu­upplýsinganna hefst.

Það er mat Persónuverndar að þær tegundir vinnslu á persónuupplýsingum sem tilgreindar eru í 3. gr. séu þess eðlis að líklegt sé að þær geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Þessi listi er byggður á greiningu svokallaðs 29. gr. vinnuhóps Evrópusambandsins, sem staðfest hefur verið af Evrópska persónuverndarráðinu (European Data Protection Board - EDPB), nr. WP-248, sem litið hefur verið til sem grundvallarþáttar til að tryggja samræmda fram­kvæmd innan Evrópska efnahagssvæðisins.

Það er eðli lista sem þessa að hann er ekki tæmandi um þær tegundir vinnslu sem líklegt er að geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Af þeim sökum er það á ábyrgð ábyrgðaraðila að meta í hvert og eitt sinn hvort vinnsla felur í sér slíka áhættu, hvort sem hún er tilgreind í 3. gr. eða ekki.

2. gr.

Viðmið í leiðbeiningum 29. gr. vinnuhópsins nr. WP-248.

Í flestum tilfellum þar sem framkvæma þarf mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga, líkt og vísað er til í leiðbeiningum 29. gr. vinnuhópsins nr. WP-248, er um að ræða vinnslu persónuupplýsinga er lýtur að tveimur eða fleiri flokkum sem tilgreindir eru hér að neðan. Í ákveðnum tilfellum er þó nægjanlegt að vinnslan falli undir einn flokk til að hún kalli á slíkt mat.

  1. Mat eða einkunnagjöf/stigagjöf.
  2. Sjálfvirk ákvarðanataka sem hefur áhrif á réttindi hins skráða.
  3. Kerfisbundið eftirlit.
  4. Viðkvæmar persónuupplýsingar eða aðrar persónuupplýsingar viðkvæms eðlis.
  5. Umfangsmikil gagnavinnsla.
  6. Samkeyrsla og sameining gagnasafna.
  7. Upplýsingar um aðila sem standa höllum fæti.
  8. Vinnsla þar sem beitt er nýrri tækni eða skipulagslausnum eða eldri tækni er beitt á nýjan hátt.
  9. Vinnsla persónuupplýsinga sem kemur í veg fyrir að hinn skráði geti notið réttinda, fái fyrir­greiðslu, þjónustu eða samning.

3. gr.

Skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.

  1. Gagnaöflun frá þriðja aðila í samhengi við a.m.k. einn af framangreindum flokkum í 2. gr.
    1. Til dæmis söfnun og sameining persónuupplýsinga frá þriðja aðila í því skyni að ákveða hvort hinn skráði skuli fá boðun, hann hljóti áfram, eða verði neitað um vöru, þjónustu eða tilboð. (Aðilar sem standa höllum fæti og mat eða einkunna­gjöf/stiga­gjöf)
      eða kerfisbundin sameining upplýsinga frá fjar­skiptatækjum, t.a.m. um staðsetningu, við önnur gögn, eða vinnsla persónuupplýsinga um notkun notanda á þjónustu fjarskiptafyrirtækis. (Við­kvæmar persónuupplýsingar eða aðrar upplýsingar við­kvæms eðlis og kerfisbundið eftirlit).
  2. Umfangsmikið kerfisbundið eftirlit, að meðtalinni myndavélavöktun, á svæðum opnum almenn­ingi. (Kerfisbundin vinnsla og umfangsmikil vinnsla).
  3. Rafrænt eftirlit við skóla eða leikskóla á skóla-/vistunartíma. (Kerfisbundið eftirlit og aðilar sem standa höllum fæti).
  4. Vinnsla persónuupplýsinga í því skyni að leggja mat á árangur, líðan eða velferð nemenda í skóla eða leikskóla. Þetta á við á öllum menntastigum, svo sem í leikskólum, grunnskólum, fram­halds­skólum og háskólum. (Aðilar sem standa höllum fæti og kerfisbundið eftirlit).
  5. Vinnsla lífkennaupplýsinga í því skyni að greina eða staðfesta deili á einstaklingi með ótví­ræðum hætti, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr.
    1. Til dæmis umfangsmikil vinnsla upplýsinga um lífkenni. (Viðkvæmar persónu­upplýs­ingar eða aðrar upplýsingar viðkvæms eðlis og umfangsmikil vinnsla).
  6. Vinnsla með erfðafræðilegar upplýsingar, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr.
    1. Til dæmis umfangsmikil vinnsla erfðafræðilegra upplýsinga, þar á meðal raðgreining erfða­mengja. (Viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis og umfangs­mikil vinnsla).
  7. Vinnsla persónuupplýsinga sem felur í sér vöktun vinnuskila eða hegðunar starfsmanna.
    1. Til dæmis að fylgjast, á kerfisbundinn hátt, með netnotkun starfsmanna, rafrænum samskiptum þeirra eða að fylgjast með starfsmönnum með myndavélavöktun. (Aðilar sem standa höllum fæti og kerfisbundið eftirlit).
  8. Vinnsla persónuupplýsinga þar sem beitt er nýrri tækni eða eldri tækni er beitt á nýjan hátt, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr.
    1. Til dæmis vinnsla heilsufarsupplýsinga sem fengnar eru með nýrri heilbrigðistækni, svo sem ígræðan­legum lækningatækjum. (Vinnsla þar sem beitt er nýrri tækni og viðkvæmar persónu­upplýsingar eða aðrar upplýsingar viðkvæms eðlis).
  9. Vinnsla persónuupplýsinga í því skyni að leggja, með kerfisbundnum hætti, mat á færni, hæfni, útkomu úr prófunum, andlega heilsu eða þroska. (Viðkvæmar persónuupplýsingar eða aðrar upp­lýs­ingar viðkvæms eðlis og kerfisbundið eftirlit).
  10. Vinnsla persónuupplýsinga sem fer fram án samþykkis hins skráða í vísindalegum eða sagn­fræðilegum tilgangi, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem til­greindir eru í 2. gr.
    1. Til dæmis vinnsla heilsufarsupplýsinga í tengslum við vísindarannsóknir án samþykkis hins skráða. (Mat eða einkunnagjöf/stigagjöf og viðkvæmar persónuupplýsingar eða aðrar upplýs­ingar viðkvæms eðlis).
  11. Vinnsla persónuupplýsinga í þeim tilgangi að veita þjónustu eða þróa vörur ætlaðar til notk­unar í viðskiptatilgangi, þar sem spáð er fyrir um starfsgetu, efnahagslega stöðu, heilsu, skoðanir eða hugðarefni, áreiðanleika, hegðun, staðsetningu eða ferðaleiðir, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr. (Viðkvæmar persónu­upplýsingar eða aðrar upplýsingar viðkvæms eðlis og mat eða einkunna­gjöf/stiga­gjöf).
  12. Umfangsmikil vinnsla með viðkvæmar persónuupplýsingar, eða aðrar persónuupplýsingar við­kvæms eðlis, í því skyni að þróa algrím. (Umfangsmikil vinnsla og viðkvæmar persónu­upplýs­ingar eða aðrar upplýsingar viðkvæms eðlis).
  13. Umfangsmikil söfnun persónuupplýsinga, sem fer fram í gegnum „Internet hlutanna“ eða lausnir sem fylgjast með ástandi og hreyfingu einstaklinga, svo sem snjallúr. (Umfangsmikil vinnsla og viðkvæmar persónuupplýsingar eða aðrar upplýsingar viðkvæms eðlis).
  14. Vinnsla persónuupplýsinga sem kemur í veg fyrir að hinn skráði fái notið tiltekinna réttinda eða fái fyrirgreiðslu, þjónustu eða samning, samhliða því að vinnslan lýtur að a.m.k. einum þeirra flokka sem tilgreindir eru í 2. gr.
    1. Til dæmis þegar fjármálastofnun skoðar lánshæfisupplýsingar einstaklings í þeim tilgangi að taka ákvörðun um hvort veita skuli honum lánafyrirgreiðslu. (Mat eða einkunnagjöf/stigagjöf og viðkvæmar persónuupplýsingar eða aðrar upplýsingar við­kvæms eðlis).

4. gr.

Gildistaka o.fl.

Auglýsing þessi er gefin út með stoð í 2. mgr. 29. gr. laga nr. 90/2018, sbr. 4. mgr. 35. gr. almennu persónuverndarreglugerðarinnar (ESB) 2016/679.

Auglýsing þessi öðlast þegar gildi. Á sama tíma fellur úr gildi auglýsing nr. 337/2019 um skrá yfir vinnsluaðgerðir þar sem krafist er mats á áhrifum á persónuvernd.

F.h. Persónuverndar, 29. ágúst 2019,

Björg Thorarensen.

Helga Þórisdóttir.
B deild - Útgáfud.: 19. september 2019

Dómsmálaráðuneytið - Stjórnartíðindi - Borgartúni 26, 105 Reykjavík
Sími 545 9000 - Netfang: [email protected]