Persónuverndarreglugerðin (ESB 2016/679) tók gildi 25. maí 2018 og bætti við nýjum þáttum og verulegum úrbótum á núverandi kerfi um persónuvernd.
Persónuverndarlögin frá 2018, sem tóku gildi 23. maí 2018, innleiddu GDPR en bættu einnig við ákvæði um að bresk lög gætu útvíkkað GDPR til sviða eins og öryggisþjónustu og ríkisstofnana, sem féllu ekki eingöngu undir GDPR.
Eftir Brexit (eftir að Brexit-aðlögunartímabilinu lauk frá 1. janúar 2021) er breska persónuverndarreglugerðin sú útgáfa af reglugerð ESB sem hefur verið haldið í gildi samkvæmt 3. gr. úrsagnarákvæðis Evrópusambandsins frá 2018 og eins og hún var breytt með reglugerð um gagnavernd, friðhelgi einkalífs og rafræn samskipti (breyting o.fl.) (útganga úr ESB) frá 2020.
Breska persónuverndarreglugerðin verndar réttindi breskra ríkisborgara varðandi gögn þeirra, en persónuverndarreglugerð ESB verndar réttindi ríkisborgara ESB. Fyrir stofnanir sem meðhöndla gögn um bæði breska og ESB ríkisborgara gilda báðar persónuverndarreglugerðirnar.
Meginreglur og kröfur persónuverndarreglugerðar ESB gilda enn í Bretlandi eftir Brexit og hér skoðum við helstu gildissvið hennar og nokkrar skilgreiningar.
Ábyrgðaraðilar og vinnsluaðilar
Persónuverndarreglugerðin (GDPR) á við um bæði ábyrgðaraðila og vinnsluaðila gagna. Ábyrgðaraðilar tilgreina hvernig og hvers vegna persónuupplýsingar eru unnar. Vinnsluaðilinn vinnur úr gögnunum fyrir hönd ábyrgðaraðilans. Fyrirtækið þitt getur verið vinnsluaðili gagna, ábyrgðaraðili gagna, eða hvort tveggja.
Sérstakar lagalegar skyldur hvíla á bæði ábyrgðaraðilum og vinnsluaðilum:
- Ábyrgðaraðilar verða sérstaklega að tryggja að samningar við vinnsluaðila séu í samræmi við GDPR; og
- Ábyrgðaraðilar og vinnsluaðilar hafa aðskildar, en skýrar, kröfur um að halda skrár yfir persónuupplýsingar og vinnslustarfsemi
- Örgjörvar bera einnig lagalega ábyrgð og eru ábyrgir fyrir öllum öryggisbrotum.
Vinsamlegast skoðið upplýsingablaðið okkar „Öryggi gagna – Almenna reglugerðin um gagnavernd – Að tryggja samræmi“ fyrir nánari upplýsingar um kröfur um skjöl.
Meginreglur um gagnavernd
Persónuupplýsingar skulu vera:
- unnið með löglega, sanngjarna og gagnsæja gögn
- safnað í tilgreindum, skýrum og lögmætum tilgangi
- fullnægjandi, viðeigandi og takmarkað við það sem nauðsynlegt er í þeim tilgangi
- nákvæm og uppfærð. Ónákvæmar upplýsingar ættu að vera eytt eða leiðréttar
- geymt á auðgreinanlegu formi ekki lengur en nauðsyn krefur
- unnar á öruggan hátt og varnar gegn óheimilri eða ólöglegri vinnslu, óviljandi tapi, eyðileggingu eða tjóni.
Réttindi einstaklinga í GDPR
Rétturinn til að vera upplýstur
Einstaklingar eiga rétt á að vita hvernig persónuupplýsingar þeirra verða unnar. Persónuverndarreglugerðin stuðlar að gagnsæi í vinnslu með persónuverndaryfirlýsingu sem inniheldur (meðal annars) upplýsingar um ábyrgðaraðila, uppruna gagnanna, viðtakendur gagnanna, gagnaflutninga utan ESB og varðveislutíma gagnanna.
Réttur til aðgangs (beiðni um aðgang að upplýsingum)
Einstaklingar eiga rétt á að fá staðfestingu á því að verið sé að vinna með persónuupplýsingar þeirra, aðgang að persónuupplýsingum þeirra og öðrum upplýsingum, svo sem þeim sem fram koma í persónuverndaryfirlýsingu.
Hámarkstími sem heimilt er að afgreiða beiðni um aðgang að persónuupplýsingum er 30 dagar og rétturinn til að innheimta gjald fyrir aðgang að persónuupplýsingum hefur verið fjarlægður, nema beiðnin sé tilefnislaus, óhófleg eða endurtekin.
Réttur til leiðréttingar
Einstaklingar eiga rétt á að fá leiðréttar rangar eða ófullkomnar persónuupplýsingar. Þetta á einnig við um persónuupplýsingar sem eru deilt eða afhentar þriðja aðila.
Rétturinn til eyðingar
Einstaklingar eiga rétt á að óska eftir eyðingu eða fjarlægingu persónuupplýsinga ef engin sannfærandi ástæða er fyrir áframhaldandi vinnslu þeirra. Þetta verður einnig að ná til persónuupplýsinga sem eru deilt eða afhentar þriðja aðila.
Mikilvægt er að hafa í huga að það eru til viðbótar kröfur þegar beiðnin varðar barn.
Það eru nokkrar undantekningar frá rétti til eyðingar, til dæmis þegar gögn eru geymd til að uppfylla lagaskyldu.
Réttur til að takmarka vinnslu
Einstaklingar eiga rétt á að takmarka vinnslu persónuupplýsinga. Við slíkar aðstæður má geyma persónuupplýsingarnar en ekki vinna þær.
Réttur til gagnaflutnings
Einstaklingar eiga rétt á að fá og endurnýta persónuupplýsingar sínar í mismunandi þjónustum. Þetta gerir þeim kleift að færa, afrita eða flytja persónuupplýsingar. Persónuupplýsingar verða að vera veittar á skipulögðu, tölvulesanlegu sniði (eins og .csv).
Rétturinn til að andmæla
Einstaklingar eiga rétt á að andmæla vinnslu persónuupplýsinga. Vinnslu skal stöðva tafarlaust nema „brýnar“ lögmætar ástæður séu fyrir vinnslunni eða ef vinnslan er til að stofna, hafa uppi eða verja réttarkröfur.
Réttindi í tengslum við sjálfvirka ákvarðanatöku og persónusnið
Einstaklingar eiga rétt á að tryggja að til staðar séu öryggisráðstafanir til að verjast því að skaðlegar ákvarðanir séu teknar án afskipta manna. Þetta nær einnig til verndar persónuupplýsinga sem notaðar eru í persónugreiningartilgangi.
Ábyrgð og stjórnarhættir
Meginreglan um ábyrgð krefst þess að viðeigandi stjórnunarráðstafanir séu til staðar til að skrá fylgni. Því þurfa stofnanir að:
- hrinda í framkvæmd ráðstöfunum sem uppfylla meginreglur um gagnavernd
- skrá stefnur og verklagsreglur varðandi geymslu og vinnslu persónuupplýsinga
- innleiða tæknilegar og skipulagslegar ráðstafanir til að tryggja og sýna fram á að farið sé að lögum.
- skipa persónuverndarfulltrúa eftir þörfum.
Vinsamlegast skoðið upplýsingablaðið okkar „Gagnaöryggi – Að tryggja samræmi við gagnavernd“ fyrir nánari upplýsingar.
Lögmæti vinnslu
Það er mikilvægt að skilja og skrá lögmætan grundvöll vinnslunnar. Það eru sex atriði:
- Samþykki
- Samningsskylda
- Lögskylda
- Mikilvæg hagsmunir
- Almannahagsmunir
- Lögmætir hagsmunir.
Hvað varðar samþykki verður það að vera sértækt, ótvírætt og gefið af fúsum og frjálsum vilja. Ekki er hægt að gera ráð fyrir jákvætt samþykki út frá aðgerðaleysi, svo sem að smella ekki á „afskrá“-reitinn á netinu, eða út frá notkun fyrirfram merktra reita. Fyrirtæki þurfa að ganga úr skugga um að þau skrái dagsetningu, tíma, aðferð og raunverulegt orðalag sem notað var til að fá samþykkið, þannig að það er mikilvægt að tryggja að fyrirtækið þitt hafi úrræði til að skrá og skjalfesta slíkar upplýsingar.
Lögmætir hagsmunir veita þér heimild til að vinna úr gögnum einstaklinganna en aðeins innan þeirra marka sem þeir búast við. Ef þú ætlar að reiða þig á lögmæta hagsmuni berð þú ábyrgð á að tryggja að:
- það er grundvöllur til að nýta lögmæta hagsmuni
- vinnsla gagna er takmörkuð við þann hagsmuni og hægt er að sýna fram á
- Réttindi einstaklingsins hafa verið tekin til greina í jafnvægisferlinu
- einstaklingnum er upplýst um lögmæta hagsmuni sína samkvæmt persónuverndarstefnu þinni.
Leiðbeiningar um lögmæta hagsmuni ICO
Tilkynning um brot
Persónuupplýsingabrot er óviljandi eða ólögmæt eyðilegging, tap, breyting, óheimil miðlun eða aðgangur að persónuupplýsingum.
Breska eftirlitsaðilinn, ICO, býður upp á sjálfsmatsverkfæri á netinu sem hjálpar til við að ákvarða alvarleika brotsins og hvort tilkynna þurfi það. Sum brot þarf að tilkynna til viðeigandi eftirlitsaðila innan 72 klukkustunda. Mikilvægt er að framkvæma matið um leið og brotið uppgötvast.
Leiðbeiningar um mat á brotum á persónuupplýsingum vegna ICO
Flutningur gagna
Þann 28. júní 2021 samþykkti framkvæmdastjórn ESB ákvörðun um fullnægjandi gögn fyrir Bretland sem þýðir að flest gögn geta haldið áfram að flæða milli Bretlands og ESB/EES án þess að þörf sé á frekari öryggisráðstöfunum. (Undantekningin er gögn sem notuð eru vegna innflytjendaeftirlits.)
Þegar gögn eru flutt til „þriðja lands“ geta viðbótarverndarráðstafanir eins og staðlaðar samningsákvæði eða bindandi fyrirtækjareglur átt við. Fyrsti tengillinn hér að neðan er frá eftirlitsaðila Bretlands – ICO. Seinni tengillinn er frá framkvæmdastjórn Evrópusambandsins.
Leiðbeiningar um samning um gagnaflutning ICO
Reglur ESB um millifærslur utan sambandsins
Heimildir og tenglar
Heimasíða ICO fyrir stofnanir
GDPR vefgátt ESB – www.gdpreu.org
