Helstu skyldur ábyrgðaraðila við vinnslu persónuupplýsinga

Ábyrgðarskylda ábyrgðaraðila

Helstu skyldur ábyrgðaraðila eru að tryggja að öll vinnsla persónuupplýsinga sem fer fram á hans vegum samrýmist persónuverndarlögum og hann verður að geta sýnt fram á að hann hafi gætt að framangreindu í hvívetna.

Þetta felur til dæmis í sér að gætt sé að því að:

• vinnslan styðjist við heimild í lögunum og að uppfylltar séu skyldur sem lúta að réttindum einstaklinga.

• vinnslan uppfylli meginreglur persónuverndarlöggjafarinnar og að hægt sé að sýna fram á fylgni við þær.

Ábyrgðaraðili þarf því að skoða hverja meginreglu fyrir sig og meta hvaða kröfur persónuverndarlöggjöfin gerir til þess að þær séu uppfylltar.

Í öllum tilvikum þarf ábyrgðaraðili að taka mið af því hvers eðlis upplýsingarnar eru. Í því sambandi þarf hann að skoða:

• hvort upplýsingarnar séu almennar, viðkvæmar eða viðkvæms eðlis

• hversu mikið af upplýsingum ætlunin er að vinna með

• hvers vegna hann ætlar að vinna með upplýsingarnar.

Ábyrgðaraðili þarf til dæmis að gera umfangsmeiri ráðstafanir, ef um er að ræða vinnslu með mikið magn viðkvæmra persónuupplýsinga eða ef ætlunin er að búa til persónusnið eða láta fara fram sjálfvirka ákvarðanatöku.

Auk þess þarf að taka mið af þeirri áhættu sem viðkomandi vinnsla getur haft á réttindi og frelsi einstaklingsins, til að njóta persónuverndar og friðhelgi einkalífs.

Vinnsla sem getur haft áhrif á það hvort einstaklingur fái tiltekna þjónustu eða ekki hefur til dæmis verið metin áhættusöm.

Sérstakar skyldur hvíla á ábyrgðaraðila ef hann vinnur með persónuupplýsingar um börn.

Hvernig sýnir ábyrgðaraðili fram á að hann hafi uppfyllt ábyrgðarskyldu sína?

Það getur hann gert til dæmis með:

• skjölum, svo sem vinnsluskrá

• með því að framkvæma mat á áhrifum á persónuvernd

• með skjalfestingu verklagsreglna.

Ábyrgðaraðili þarf líka að geta sýnt fram á skilvirkni þeirra ráðstafana sem hann hefur ákveðið að beita, til dæmis með skráningu frávika og fleira.