Fara beint í efnið

Ísland.is appið

Með ríkið í vasanum

Samfélag og réttindi
Persónuvernd

Gildissvið persónuverndarlaganna

Persónuverndarlög segja til um hvernig samtök, fyrirtæki og stjórnvöld mega vinna með persónuupplýsingar einstaklinga.

Lög um persónuvernd og vinnslu persónuupplýsinga er innleiðing Íslands á almennri persónuverndarreglugerð Evrópusambandsins, General Data Protection Regulation (GDPR).

Persónuverndarlög gilda almennt ef eftirfarandi skilyrði eru uppfyllt:

Þegar unnið er með upplýsingar um einstaklinga

Persónuverndarlögin gilda þegar unnið er með upplýsingar um einstaklinga.

Ekki skiptir máli hvort sá sem vinnur með upplýsingarnarnar er stjórnvald, einkaaðili eða einstaklingur (nema þegar einstaklingar vinna með upplýsingar til einkanota, samanber umfjöllun að neðan).

Hugtakið „einstaklingur“ getur einnig tekið til einyrkja þegar ekki er hægt að greina á milli upplýsinga um eiganda fyrirtækisins sem 0einstakling og upplýsinga um fyrirtækið.

Þegar upplýsingarnar eru unnar sjálfkrafa eða skráðar í skrá

Þegar persónuupplýsingar eru varðveittar á þann hátt að auðvelt og fljótlegt er að fletta þeim upp og leita að þeim, falla þær að jafnaði undir persónuverndarlögin.

Þetta þýðir að lögin taka til þess þegar persónuupplýsingar eru unnar að hluta eða öllu leyti sjálfkrafa eða þegar þær eru færðar í skrá.

Þegar vinnsla upplýsinganna fer fram á Íslandi eða innan yfirráðasvæðis Evrópusambandsins

Í langflestum tilfellum fellur sú vinnsla persónuupplýsinga sem fram fer hér á landi undir íslensk persónuverndarlög.

Meginreglan er sú að fyrirtækið sem vinnur með persónuupplýsingarnar, ábyrgðaraðilinn, sé með staðfestu á Íslandi og vinnsla persónuupplýsinga fari fram innan yfirráðasvæðis ESB.

  • Það á einnig við ef erlendir aðilar vinna með upplýsingar um einstaklinga sem staðsettir eru á Íslandi, ef vinnslan tengist afhendingu vöru eða þjónustu til einstaklinga sem staðsettir eru á Íslandi eða ef fylgst er með hegðun einstaklinga á Íslandi.

  • Hins vegar geta komið upp aðstæður þar sem ábyrgðaraðili hefur staðfestu í öðru ESB landi. Í því tilviki gilda lög þess lands.

  • Sem dæmi má nefna að starfsemi Facebook fellur undir írsk lög vegna þess að Facebook er skráð með staðfestu á Írlandi.

Persónuverndarlög gilda eingöngu um upplýsingar um einstaklinga

Þau gilda því ekki þegar:

  • unnið er með upplýsingar um lögaðila svo sem fyrirtæki eða stjórnvöld

  • unnið er með upplýsingar sem ekki er hægt að rekja til einstaklinga, svo sem tölfræðiupplýsingar

  • unnið er með aðrar tegundir fyrirtækja en einyrkja

  • unnið er með upplýsingar um yfirvöld

  • ríkið vinnur með persónuupplýsinga í þágu öryggis- og varnamála

  • unnið er með persónuupplýsingar í löggæslutilgangi

  • einstaklingar vinna upplýsingar til einkanota.

    • Má þar nefna bréfaskipti og vörslu skráar eins og jólakortalista með nöfnum og heimilisfangi viðtakenda, og að vissu marki starfsemi á samfélagsmiðlum og á netinu almennt.

Í mörgum tilfellum er vinnsla einstaklinga á persónuupplýsingum algjörlega undanþegin lögunum ef hún tengist ekki til dæmis verslunar- eða atvinnustarfsemi.

Persónu­vernd

Tengt efni

Hvenær má vinna með persónuupplýsingar?
Hvenær má vinna með viðkvæmar persónuupplýsingar?
Hvernig má vinna með persónuupplýsingar?
Málaflokkar á vefsvæði Persónuverndar
Persónuverndarlög og lykilhugtök

Persónuvernd

Hafa samband

postur@personuvernd.is

Sími: 510 9600

Afgreiðslu­tími

Virka daga frá 9 til 12 og 13 til 15

Símatími lögfræðinga er alla fimmtudaga frá 9 til 12

Stað­setning

Laugavegur 166, 4. hæð

105 Reykjavík, Ísland

Kennitala: 560800-2820

Persónuverndarstefna