Persónuverndarstefna ábyrgðaraðila
Hvað er persónuverndarstefna?
Persónuverndarstefna er yfirlýsing sem útskýrir hvernig fyrirtæki eða stofnun safnar, vinnur, geymir og verndar persónuupplýsingar einstaklinga. Markmið hennar er að tryggja gagnsæi og upplýsa einstaklinga um réttindi þeirra samkvæmt persónuverndarlöggjöfinni.
Þetta er því nauðsynleg skráning sem getur ýmist átt við innri starfsemi viðkomandi en einnig gagnvart almenningi og skráðum einstaklingum.
Hvað segja lögin?
Það er ekki kveðið á um persónuverndarstefnur í texta íslensku persónuverndarlaganna en í evrópsku persónuverndarreglugerðinni er vísað til þess að ábyrgðaraðili innleiði viðeigandi persónuverndarstefnur.
Hins vegar er til staðar skylda til að semja og birta slíka stefnu sem leiðir óbeint af þremur þáttum laganna:
Ábyrgðarskyldan: Samkvæmt lögunum þarf ábyrgðaraðili að tryggja að öll vinnsla persónuupplýsinga uppfylli fyrirmæli meginreglna persónuverndarlaganna og verður einnig að geta sýnt fram á það.
Sanngirnisreglan: Ein af meginreglunum sex felur í sér að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða.
Upplýsingaréttur hins skráða: Það er rík þörf á því að einstaklingar hafi aðgang að skýrum, aðgengilegum og auðskiljanlegum upplýsingum um hvernig persónuupplýsingar þeirra eru unnar. Persónuverndarstefna getur þannig upplýst einstaklinga um réttindi þeirra samkvæmt persónuverndarlöggjöfinni.
Hvað ætti að koma fram í slíkri stefnu?
Það er ekki að finna tæmandi talningu eða sérstakar kröfur í persónuverndarlögunum um hvað þurfi að koma fram en markmiðið er að hinum skráða sé ljóst:
Hvaða persónuupplýsingum er safnað og unnið með
Hvernig upplýsinganna er aflað, til dæmis beint frá einstaklingi eða með notkun vefsvæðis
Hver tilgangur vinnslu persónuupplýsinganna er
Á hvaða vinnsluheimild vinnslan byggir
Hversu lengi upplýsingarnar eru varðveittar og hvernig þeim er eytt þegar þeirra er ekki lengur þörf
Hvaða aðilar hafi aðgang að persónuupplýsingunum og hvort þeim sé miðlað til þriðju aðila
Hver réttindi hins skráða eru, til dæmis til aðgangs, leiðréttingar og andmæla
Hvaða öryggisráðstafanir eru notaðar til að vernda upplýsingarnar
Nafn ábyrgðaraðila og tengiliðaupplýsingar hans og persónuverndarfulltrúa
