Persónuvernd

Hvað er Persónuvernd?

Persónuvernd er opinber stofnun hvers hlutverk er að hafa eftirlit með framkvæmd laga nr. 77/2000 um persónuupplýsingar og persónuvernd. Heimasíða Persónuverndar er www.personuvernd.is.

Á heimasíðu Persónuverndar segir áfram um starfsemi hennar: 
Helstu verkefni Persónuverndar eru að afgreiða leyfisumsóknir, taka við tilkynningum og gefa fyrirmæli varðandi tækni, öryggi og skipulag vinnslu persónuupplýsinga. Ennfremur er Persónuvernd ætlað að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga, fylgjast með þróun á sviði   persónuupplýsingaverndar, jafnframt á erlendum vettvangi sem innlendum, aðstoða við gerð starfs- og siðareglna og leiðbeina þeim sem ráðgera að vinna með   persónuupplýsingar um persónuvernd og þróa kerfi fyrir slíka vinnslu.

Persónuvernd úrskurðar í ágreiningsmálum sem upp koma um vinnslu persónuupplýsinga. Hún getur fjallað um einstök mál að eigin frumkvæði eða samkvæmt erindi   þess sem telur að ekki hafi verið unnið með persónuupplýsingar um hann í samræmi við lög um persónuvernd, reglur settar samkvæmt þeim eða einstök fyrirmæli.   Persónuvernd getur tjáð sig um álitamál varðandi meðferð persónuuplýsinga og veitt umsagnir við setningu laga og reglna er þýðingu hafa fyrir einkalífsrétt. 
Í 2. gr., 1. tölulið laganna eru persónuupplýsingar svo skilgreindar: „Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar   sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.“

Þar kemur einnig fram skilgreining á hvað fellur undir viðkvæmar persónulegar upplýsingar, í áttunda tölulið annarar greinar:

  • Upplýsingar um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir.

  • Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað.

  • Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun. 

  • Upplýsingar um kynlíf manna og kynhegðan. 

  • Upplýsingar um stéttarfélagsaðild.

Þó svo upplýsingar um fjárhagsmálefni og lánstraust séu ekki í ofanritaðri upptalningu er það tekið fram í 6. gr. laganna að þau ná sömuleiðis til vinnslu upplýsinga um þessi atriði.

Í 45. gr. laganna er jafnframt vísað til reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust.   

Einnig er vísað til Evróputilskipunar 95/46/EB, frá 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga.

Persónuvernd og starfsleyfi Creditinfo Lánstraust hf.

Það er skilyrði fyrir skráningu og miðlun upplýsinga um fjárhagsmálefni og lánstraust að vera með gilt starfsleyfi frá Persónuvernd. Creditinfo Lánstraust hefur verið með starfsleyfi frá upphafi starfsemi, eða frá árinu 1997. Starfsleyfin eru raunar tvö, annað fyrir einstaklinga en hitt fyrir lögaðila, og eru þau bæði að finna á vef Persónuverndar hér: http://www.personuvernd.is/efst-a-baugi/leyfisveitingar/leyfi-2007//nr/620

Í starfsleyfunum er skýrt skilgreint hvað má skrá og hverju megi miðla; skilyrði fyrir eyðingu upplýsinga; viðvörunarskyldu; öryggi upplýsingavinnslu o.fl. Þar á meðal er farið yfir réttindi hins skráða, þar sem segir: 
Um upplýsingarétt hins skráða, um rétt hans til að fá viðvaranir og um rétt hans til að fá rökstuðning fyrir ákvörðunum sem byggja á rafrænni vinnslu, fer samkvæmt III. kafla laga nr. 77/2000. 

Einstaklingur sem er skráður hjá starfsleyfishafa á hvenær sem er rétt á að fá vitneskju um hvaða upplýsingar um hann er eða hefur verið unnið með, tilgang vinnslunnar, hver fái, hafi fengið eða muni fá upplýsingar um hann, hvaðan upplýsingarnar hafi komið og hvaða öryggisráðstafanir séu viðhafðar við vinnsluna, að því marki sem það skerðir ekki öryggi vinnslunnar. 

Starfsleyfishafa er skylt að afhenda skráðum einstaklingi endurrit eða ljósrit af þeim upplýsingum sem hann hefur undir höndum um viðkomandi. Ekki má krefjast hærra endurgjalds af þessari þjónustu en sem nemur kostnaði. 

Starfsleyfishafi skal verða við beiðni hins skráða um upplýsingar svo fljótt sem verða má og afhenda þær eigi síðar en innan tveggja vikna frá móttöku beiðninnar. Ef sérstakar ástæður valda því að ómögulegt er fyrir starfsleyfishafa að afgreiða erindið innan þess frests er honum heimilt að gera það síðar. Í slíkum tilvikum skal, innan ofangreinds frests, gefa hlutaðeigandi skriflegar skýringar á ástæðum tafarinnar og hvenær svars sé að vænta. 

Hafi starfsleyfishafi í vörslum sínum frekari upplýsingar um hinn skráða en þær sem beiðni lýtur að skal starfsleyfishafi gera beiðanda grein fyrir því. Jafnframt skal gera hinum skráða grein fyrir rétti sínum til þess að fá að kynna sér efni skrár af eigin raun. 

Í þriðja kafla laganna sem þarna er vísað til, 18. gr. um upplýsingarétt hins skráða, segir eftirfarandi:

Hinn skráði á rétt á að fá frá ábyrgðaraðila vitneskju um:    

  • hvaða upplýsingar um hann er eða hefur verið unnið með   

  • tilgang vinnslunnar

  • hver fær, hefur fengið eða mun fá upplýsingar um hann   

  • hvaðan upplýsingarnar koma

  • hvaða öryggisráðstafanir eru viðhafðar við vinnslu, enda skerði það ekki öryggi vinnslunnar

Sjá nánar um réttindi hins skráða hér

Hvernig kem ég athugasemdum, kvörtunum og ábendingum á framfæri til Persónuverndar?

Hægt er að senda Persónuvernd athugasemdir, kvartanir og ábendingar, en þær verða að vera skriflegar. Bæði er einfaldlega hægt að senda Persónuvernd póst (Persónuvernd, Rauðarárstíg 10, 105 Reykjavík) og sömuleiðis er hægt að fara inn á vef Persónuverndar og fylla þar út eyðublað og senda það rafrænt áleiðis. Eyðublöð þessi má nálgast hér: http://www.personuvernd.is/umsoknir-og-eydublod/. Þar er sömuleiðis talin upp fáein atriði sem vert er að hafa í huga varðandi kvartanir, m.a. að kvörtun sé skrifleg; beinist að tilteknum aðila; hún þarf að vera rökstutt og sama mál má ekki vera til meðferðar hjá dómstól eða öðrum stjórnvöldum á sama tíma og hún er til meðferðar hjá Persónuvernd, ásamt fleirum atriðum.  

Hvað gerir Persónuvernd við athugasemdir og kvartanir? 

Persónuvernd byrjar yfirleitt á því að senda erindi til þess, sem athugasemdin eða kvörtunin beinist að, og í erindinu er spurt út í atvik máls og/eða gagna óskað. Venjulega gefur stofnunin tveggja vikna svarfrest, en kann að framlengja hann við vissar aðstæður.   Það fer svo eftir svarinu hvað gerist í framhaldinu. Bæði fer afrit svarsins til þess sem sendi athugasemdina/kvörtunina og getur hann tjáð sig um það sem þar kemur fram. Ef hann telur svarið fullnægjandi lýkur málinu. Ef svo er ekki lætur hann Persónuvernd vita af því (áfram skriflega) og með þeim hætti kann Persónuvernd að senda annað erindi. Að lokum verða þó komnar nægilega margar staðreyndir fram til þess að Persónuvernd úrskurði um ágreiningin.   

Sá úrskurður kann bæði að vera á þann veg að athugasemdin hafi átt rétt á sér. Í framhaldinu kann Persónuvernd að beina ákveðnum tilmælum til þess sem kvörtunin beindist að, sem geta eftir atvikum falist í að viðkomandi geri eitthvað sem hann gerði ekki áður, eða hætti að gera eitthvað sem hann áður gerði. Persónuvernd getur einnig breytt starfsleyfi viðkomandi, ef um er að ræða starfsemi sem er starfsleyfisskyld og sé ástæða til getur stofnuninn ógilt starfsleyfi, hvort sem er tímabundið eða til langframa. Persónuvernd getur mælt fyrir um stöðvun vinnslu, skráningu, söfnun og/eða miðlun upplýsinga og einnig fyrir um eyðingu upplýsinga. Fyrir utan starfsleyfissviptingu getur stofnunin einnig beitt dagsektum til að knýja vinnsluaðila til að fara að fyrirmælum sínum.   
Úrskurðinn kann sömuleiðis að vera á þann veg að skoðun hafi ekki leitt í ljós nein brot á persónuverndarlögum eða starfsleyfi, og að stofnunin muni ekki aðhafast frekar varðandi hana.  

Við hvaða aðstæður sendi ég Persónuvernd athugasemd eða kvörtun? 

það er breytilegt frá einum aðila til annars hvenær viðkomandi þykir ástæða til að senda Persónuvernd athugasemd eða kvörtun. Hér er e.t.v. fyrst að horfa til leiðbeininga Persónuverndar um hvað skal hafa í huga varðandi kvartanir, þannig að hún uppfylli helstu formkröfur. Annars gildir einfaldlega, að ef fyrirsvarsmaður lögaðila eða einstaklingur telur tiltekna vinnslu, skráningu, söfnun og/eða miðlun upplýsinga um sig brjóta á sér rétt í skilningi laga nr. 77/2000, þá er það eitt og sér nægilegt fyrir viðkomandi að senda athugasemd eða kvörtun.  

Ef ég kem athugasemdum eða kvörtunum á framfæri við Creditinfo, verður mér umsvifalaust vísað á Persónuvernd? 

Nei, allar athugasemdir og kvartanir eru teknar fyrir og þeim svarað eins fljótt og frekast er unnt. Flestar fyrirspurnir koma símleiðis, þannig að svör fást oftar en ekki samstundis. Einnig er hægt að senda fyrirspurnir í netfangið fyrirspurn@creditinfo.is. Þjónustusvið Creditinfo tekur við flestum fyrirspurnum en jafnframt er sumum fyrirspurnum og ágreiningsefnum vísað til umboðsmanns lántakenda.

Sé fyrirspyrjandi ekki ánægður með svör Creditinfo, þá er vitaskuld áfram sá kostur fyrir hendi að senda athugasemd eða kvörtun til Persónuverndar.