I. KAFLI
Hlutverk og starfssvið.
1. gr.
Hlutverk Persónuverndar.
Persónuvernd er eftirlitsstjórnvald samkvæmt VI. kafla reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin) eins og hún er tekin upp í samninginn um Evrópska efnahagssvæðið, sbr. 2. mgr. 1. gr. og 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
2. gr.
Verkefni Persónuverndar.
Persónuvernd annast eftirlit með framkvæmd reglugerðar (ESB) 2016/679, laga nr. 90/2018, laga nr. 75/2019, sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga og annarra reglna um efnið. Í því felst meðal annars að stofnunin:
- aflar gagna í þeim málum sem eru til umfjöllunar hverju sinni,
- leitar sjónarmiða aðila í málum sem eru til umfjöllunar,
- gefur fyrirmæli um vinnsluaðgerðir eða stöðvun vinnslu,
- tekur bráðabirgðaákvarðanir þegar sérstakar aðstæður krefjast þess,
- tekur endanlegar ákvarðanir um afgreiðslu einstakra mála,
- veitir Alþingi, stjórnvöldum og öðrum aðilum ráðgjöf á sviði lagasetningar og stjórnsýslu sem tengist vernd einstaklinga við vinnslu persónuupplýsinga,
- sinnir samstarfi við erlendar persónuverndarstofnanir, aðrar erlendar stofnanir og samtök eftir því sem við á,
- annast önnur verkefni, sbr. nánari ákvæði 39. gr. laga nr. 90/2018.
3. gr.
Gildissvið.
Reglur þessar taka til mála þar sem leyst er úr ágreiningi með stjórnvaldsákvörðun, eða þar sem til greina kemur að taka stjórnvaldsákvörðun, á grundvelli 3. mgr. 39. gr. laga nr. 90/2018 eða 3. mgr. 30. gr. laga nr. 75/2019. Reglurnar taka til þeirra stjórnvaldsákvarðana sem varða faglegt verksvið Persónuverndar en ekki til stjórnvaldsákvarðana sem stofnunin kann að taka á grundvelli annarra laga, svo sem laga nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins, upplýsingalaga nr. 140/2012 o.fl.
II. KAFLI
Málsmeðferð – Upphaf máls.
4. gr.
Móttaka og flokkun erinda.
Þegar Persónuvernd berst erindi skal stofnað um það mál í málaskrá stofnunarinnar í samræmi við innri verklagsreglur stofnunarinnar. Leitast skal við að skrá mál samdægurs og að jafnaði innan tveggja virkra daga frá móttöku erindis.
Persónuvernd tekur til meðferðar mál þar sem álitaefni er hvort vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 eða reglugerð (ESB) 2016/679. Tildrög þess að mál eru tekin til meðferðar geta meðal annars verið eftirfarandi:
- Kvörtun skráðs einstaklings eða stofnunar, samtaka eða félags í samræmi við 80. gr. reglugerðar (ESB) 2016/679.
- Tilkynning um öryggisbrest.
- Beiðni um fyrirframsamráð.
- Beiðni um samþykkt hátternisreglna.
- Ábending um vinnslu persónuupplýsinga sem mögulega telst ólögmæt.
- Upplýsingar sem birtast í fjölmiðlum.
- Beiðni um álit eða umsögn.
- Umsókn um leyfi eða beiðni um ráðgjöf Persónuverndar á sviði lagasetningar og stjórnsýslu.
- Ákvörðun að frumkvæði Persónuverndar um að gera athugun eða úttekt á vinnslu persónuupplýsinga.
- Önnur erindi sem falla undir verksvið Persónuverndar.
5. gr.
Kröfur um form erinda og áreiðanleika upplýsinga.
Erindi sem berast Persónuvernd skulu að jafnaði vera skrifleg.
Erindi sem berast frá ábyrgðaraðilum eða öðrum sem hyggjast vinna persónuupplýsingar skulu vera rökstudd eftir því sem við á.
Persónuvernd leitast við að leiðbeina málsaðilum um úrbætur ef einhverjir annmarkar eru á framsetningu erinda.
Upplýsingar sem fram koma í erindum til Persónuverndar eða fylgja þeim til stuðnings skulu vera skýrar, réttar og uppfærðar eftir því sem við á.
6. gr.
Könnun á formskilyrðum.
Þegar erindi berst Persónuvernd framkvæmir stofnunin almenna könnun á formskilyrðum. Það sem er skoðað er meðal annars hvort:
- erindi fellur innan gildissviðs þeirra laga sem Persónuvernd hefur eftirlit með,
- erindi er sent innan tilskilinna tímafresta, ef við á,
- erindi er frá réttum fyrirsvarsmanni eða styðst við fullnægjandi umboð og á það jafnframt við þegar lögmenn leggja fram erindi fyrir hönd umbjóðenda sinna,
- málshefjandi getur átt aðild að því stjórnsýslumáli sem erindið lýtur að,
- sama álitaefni milli sömu málsaðila er til meðferðar hjá öðru stjórnvaldi eða dómstóli á sama tíma,
- skorið hefur verið úr sama álitaefni milli sömu aðila í öðru máli hjá Persónuvernd,
- málshefjandi hefur veitt fullnægjandi upplýsingar um álitaefnið og lagt fram nauðsynleg gögn og upplýsingar eftir því sem við á.
Telji Persónuvernd að eitt eða fleiri skilyrði bresti fyrir því að taka erindi til frekari stjórnsýslumeðferðar gerir hún málshefjanda grein fyrir því og tilkynnir honum um ákvörðun sína þar að lútandi, eftir atvikum eftir að honum hefur verið veittur kostur á að tjá sig um fyrirhugaða ákvörðun. Ekki er þó veittur kostur á athugasemdum ef slíkt er augljóslega óþarft.
Persónuvernd kannar hvort einhver atriði eða atvik eru til staðar sem geta valdið vanhæfi þeirra starfsmanna og stjórnarmanna Persónuverndar sem koma að meðferð málsins hjá stofnuninni. Starfsmenn skulu upplýsa næsta yfirmann sinn um mögulegt vanhæfi um leið og þeir verða þess varir. Starfsmenn og stjórnarmenn sem teljast vanhæfir til meðferðar málsins taka ekki þátt í meðferð þess. Um hæfi starfsmanna og stjórnarmanna fer að öðru leyti eftir II. kafla stjórnsýslulaga nr. 37/1993.
7. gr.
Aðgangur að gögnum og takmörkun á upplýsingarétti.
Um aðgang málsaðila að gögnum og upplýsingum fer eftir ákvæðum stjórnsýslulaga nr. 37/1993.
Ef aðilar máls láta Persónuvernd í té gögn eða upplýsingar sem að mati þeirra eiga að fara leynt skulu þeir óska eftir því að farið verði með upplýsingarnar eða gögnin sem trúnaðarmál. Málsaðilar skulu rökstyðja ósk þess efnis og tilgreina hvaða hluti gagnanna eða upplýsinganna eru að þeirra mati trúnaðarmál. Persónuvernd ákveður hvort fallist er á beiðni málsaðila um trúnað með hliðsjón af ákvæðum stjórnsýslulaga.
8. gr.
Ábendingar um brot á lögum og reglum .
Öllum er heimilt að snúa sér til Persónuverndar og vekja athygli á atvikum sem viðkomandi telur brjóta í bága við lög og reglur um persónuvernd. Slíkar ábendingar geta verið settar fram skriflega eða munnlega. Þegar ábending lýtur að nafngreindum einstaklingum skal hún sett fram undir nafni.
Ábendingar samkvæmt 1. mgr. geta leitt til þess að Persónuvernd hefji frumkvæðisathugun eða úttekt. Sá sem setur fram ábendingu telst ekki vera aðili að máli sem hefst í kjölfar ábendingar hans.
Sá sem beinir ábendingu til Persónuverndar samkvæmt 1. mgr. getur óskað eftir því að nafni hans verði haldið leyndu gagnvart öðrum en starfsmönnum og stjórn Persónuverndar. Ef telja má líklegt að hagsmunir hans skaðist ef greint er frá nafni hans skal fallast á ósk um nafnleynd. Ef ekki eru forsendur til að fallast á nafnleynd skal gefa viðkomandi kost á að draga erindi sitt til baka. Um hagsmunamat samkvæmt þessari málsgrein fer eftir ákvæðum 17. gr. stjórnsýslulaga nr. 37/1993, 3. mgr. 14. gr. upplýsingalaga nr. 140/2012 og 3. mgr. 17. gr. laga nr. 90/2018.
Ef Persónuvernd getur sýnt fram á að sá sem nýtur nafnleyndar samkvæmt 3. mgr. hafi vísvitandi komið á framfæri röngum eða villandi upplýsingum getur stofnunin ákveðið að aflétta nafnleyndinni. Áður skal þó gefa viðkomandi kost á að tjá sig. Að öðrum kosti verður nafnleyndinni ekki aflétt nema viðkomandi veiti afdráttarlaust samþykki sitt.
Ef Persónuvernd kærir brot á persónuverndarlöggjöfinni til lögreglu samkvæmt 49. gr. laga nr. 90/2018 skal hún ekki miðla til lögreglunnar persónuupplýsingum þess sem nýtur nafnleyndar, samkvæmt 3. mgr. þessarar greinar, nema nauðsyn eða lög krefji. Áður skal Persónuvernd upplýsa þann sem nýtur nafnleyndar um miðlun persónuupplýsinga hans og kynna lögreglu ákvörðun sína um nafnleynd.
Berist Persónuvernd ábending samkvæmt 2. gr. laga nr. 40/2020 um vernd uppljóstrara skal stofnunin gæta leyndar um persónuupplýsingar þess sem miðlar upplýsingum eða gögnum í góðri trú, nema viðkomandi veiti afdráttarlaust samþykki sitt fyrir öðru.
Aðgangur að persónuupplýsingum þeirra, sem veita ábendingar samkvæmt þessari grein og njóta nafnleyndar, skal takmarkaður við þá starfsmenn Persónuverndar sem þurfa hann vegna starfa sinna.
9. gr.
Vinnsla persónuupplýsinga yfir landamæri.
Ef erindi varðar vinnslu persónuupplýsinga yfir landamæri innan EES fer um meðferð þess samkvæmt nánari fyrirmælum í 56. gr. og VII. kafla reglugerðar (ESB) 2016/679.
III. KAFLI
Málsmeðferð – Rannsókn máls.
10. gr.
Tilkynning um upphaf máls.
Þegar Persónuvernd tekur mál til efnislegrar meðferðar á grundvelli kvörtunar eða þegar athugun hefst af öðru tilefni tilkynnir Persónuvernd þeim sem hún beinist að, einstaklingi, lögaðila eða stjórnvaldi, um efni hennar og veitir kost á að koma að andmælum samkvæmt 13. gr. stjórnsýslulaga, þegar við á, sbr. nánari fyrirmæli 12. gr. þessara reglna.
11. gr.
Skrifleg málsmeðferð, samskipti við málsaðila o.fl.
Málsmeðferð hjá Persónuvernd skal vera skrifleg.
Þegar skriflegri gagnaöflun í máli er lokið getur Persónuvernd boðað málsaðila á sinn fund í þágu rannsóknar málsins ef sérstakar ástæður mæla með því. Slíkir fundir geta jafnframt komið til að frumkvæði málsaðila og metur Persónuvernd þá nauðsyn þeirra í þágu rannsóknar málsins.
Ef málsaðilar óska þess að Persónuvernd taki afstöðu til sjónarmiða sem fram hafa komið á fundi en er ekki að finna í skriflegum gögnum máls, og/eða ef það er ætlun stofnunarinnar að leggja til grundvallar slík sjónarmið, skal rita fundargerð og gefa aðilum málsins kost á að tjá sig um hana.
Eftir að Persónuvernd hefur lokið rannsókn máls gefur stofnunin málsaðilum almennt ekki kost á því að funda með stofnuninni um ágreiningsefni í viðkomandi máli.
12. gr.
Framkvæmd andmælaréttar.
Í andmælaréttarbréfi skal gera grein fyrir helstu álitamálum sem eru undir í málinu. Ef eðli og umfang máls krefjast þess óskar Persónuvernd eftir svörum við nánar tilgreindum spurningum í þágu rannsóknar málsins. Um andmælarétt fer að öðru leyti samkvæmt 13. gr. stjórnsýslulaga.
Málsaðilum skal alla jafna veittur minnst tveggja vikna frestur til þess að afhenda gögn og koma sjónarmiðum sínum á framfæri. Í umfangsmeiri málum er heimilt að lengja þann frest ef þörf er á. Ef brýnar ástæður eru fyrir hendi er jafnframt heimilt að stytta andmælafrestinn. Ávallt skal senda afrit af nauðsynlegum gögnum máls til þeirra sem njóta andmælaréttar.
Persónuvernd er heimilt að framlengja frest til andmæla eða framlagningar gagna ef málsaðilar biðja um það. Slíkur frestur skal almennt vera að hámarki þrjár vikur hverju sinni.
Um andmælarétt vegna mögulegrar álagningar stjórnvaldssektar fer samkvæmt 45. gr. þessara reglna.
13. gr.
Vettvangsathugun.
Gefi gögn eða atvik máls tilefni til getur Persónuvernd framkvæmt vettvangsathugun í þágu rannsóknar máls, sbr. 5. og 6. tölul. 1. mgr. 41. gr. laga nr. 90/2018.
Áður en vettvangsathugun fer fram á starfsstöð ábyrgðaraðila eða vinnsluaðila skal honum almennt tilkynnt um það og tekið fram til hvers sé ætlast af honum, svo sem:
- Hvaða starfsmenn ábyrgðaraðila eða vinnsluaðila þurfa að vera tiltækir á þeim tíma sem áætlað er að vettvangsathugun fari fram.
- Hvaða gögn verða að vera tiltæk og aðgengileg.
- Hversu lengi er áætlað að vettvangsathugun standi yfir.
Persónuvernd er heimilt að víkja frá tilkynningarskyldu um vettvangsathugun ef líkur eru á að tilkynning verði til þess að rannsóknarhagsmunir fari forgörðum.
14. gr.
Lok rannsóknar.
Rannsókn máls telst lokið þegar allra viðeigandi upplýsinga og gagna hefur verið aflað, andmælaréttur verið veittur eins og við á og mál telst nægjanlega upplýst að mati Persónuverndar.
15. gr.
Tilkynning um tafir á málsmeðferð.
Persónuvernd leitast við að leysa úr málum eins skjótt og kostur er.
Persónuvernd skal reglulega birta tilkynningu á vefsíðu sinni um áætlaðan málsmeðferðartíma eftir málategundum.
Sjái stofnunin fram á að afgreiðsla máls muni tefjast umfram áætlaðan málsmeðferðartíma samkvæmt 2. mgr. tilkynnir hún málsaðilum um það og upplýsir um leið hvenær megi vænta niðurstöðu, eftir því sem unnt er.
16. gr.
Athafnaleysi málsaðila.
Berist engin svör frá þeim aðila sem mál beinist að er honum eftir atvikum tilkynnt, eftir ítrekun, að ákvörðun verði tekin á grundvelli fyrirliggjandi gagna. Slík ákvörðun getur þá til að mynda verið byggð á upphafserindi málshefjanda og öðrum gögnum sem kunna að hafa verið lögð fram eða aflað í tengslum við rannsókn málsins.
Ef um er að ræða athafnaleysi málshefjanda, svo sem ef kvartandi tjáir sig ekki um sjónarmið og skýringar frá þeim aðila sem kvörtun beinist að innan tilskilins frests, eða svarar ekki beiðni Persónuverndar um nánari skýringar eða upplýsingar sem nauðsynlegar eru í þágu málsmeðferðarinnar, er að jafnaði litið svo á að málshefjandi hafi fallið frá erindi sínu og er málinu þá lokað í málaskrá Persónuverndar og málsaðilar upplýstir um þau málalok. Málshefjanda skal gerð grein fyrir því fyrir fram, svo sem í andmælaréttarbréfi, að málið verði fellt niður við þessar aðstæður.
IV. KAFLI
Úrlausn mála.
17. gr.
Úrlausn máls.
Þegar Persónuvernd tekur mál til efnislegrar úrlausnar skal stofnunin, að lokinni gagnaöflun og málsmeðferð, semja rökstudda úrlausn eða, eftir atvikum, leiðbeina um heimild til að óska eftir rökstuðningi.
Bera skal undir stjórn þær úrlausnir sem taldar eru í 2. gr. reglna um störf stjórnar Persónuverndar og skiptingu starfa gagnvart skrifstofu nr. 876/2018.
Stjórnin getur falið forstjóra að ljúka máli.
18. gr.
Ritun og efni rökstuddrar úrlausnar.
Í rökstuddri úrlausn skal gera grein fyrir tildrögum máls, helstu málavöxtum og sjónarmiðum aðila, forsendum og niðurstöðum stofnunarinnar.
Þegar við á skulu í niðurstöðu úrlausnar sett fram fyrirmæli á grundvelli 42. gr. laga nr. 90/2018, svo sem um ráðstafanir til úrbóta, eftir atvikum innan tilgreinds tímafrests. Ef við á skal jafnframt gera grein fyrir beitingu annarra valdheimilda, meðal annars samkvæmt 42. og 46. gr. laga nr. 90/2018, í niðurstöðu úrlausnar.
19. gr.
Birting úrlausnar.
Niðurstöðu máls skal senda málsaðilum og er hún bindandi eftir að hún er komin til þeirra. Allar endanlegar ákvarðanir Persónuverndar skal senda með sannanlegum hætti, svo sem með ábyrgðarpósti eða stefnuvotti. Veita skal leiðbeiningar um að ákvörðun verði ekki skotið til annarra stjórnvalda en að aðilum máls sé heimilt að leggja ágreining sinn fyrir dómstóla með venjubundnum hætti.
Úrskurðir, ákvarðanir, álit og aðrar úrlausnir Persónuverndar eru almennt birtar á vefsíðu stofnunarinnar, með þeim takmörkunum sem mælt er fyrir um í upplýsingalögum nr. 140/2012 og í samræmi við innri verklagsreglur stofnunarinnar. Nöfn einstaklinga eða aðrar upplýsingar sem hægt er að rekja til þeirra skulu þó almennt ekki birtar.
20. gr.
Eftirfylgni úrskurða og ákvarðana.
Hafi Persónuvernd gefið fyrirmæli í úrskurði eða ákvörðun skal stofnunin, að liðnum þeim fresti sem veittur var til að fara að þeim samkvæmt 2. mgr. 18. gr. þessara reglna, kanna hvort fyrirmælunum hefur verið fylgt og eftir atvikum meta hvort nauðsynlegt er að beita þvingunarúrræðum, svo sem dagsektum samkvæmt 21. gr. laga nr. 90/2018, eða leggja á stjórnvaldssekt samkvæmt 46. gr. þeirra laga.
Ákveði Persónuvernd að beita þvingunarúrræðum skal málsaðila tilkynnt um það og veitt færi á andmælum.
Þegar Persónuvernd hyggst leggja á dagsektir skal málsaðila tilkynnt um það og veittur að jafnaði vikufrestur en að hámarki þriggja vikna frestur til að koma að andmælum. Að því búnu skal taka afstöðu til þess hvort dagsektir verða lagðar á málsaðila og skal ákvörðun þar að lútandi tilkynnt honum.
21. gr.
Endurupptaka máls.
Þegar mál er endurupptekið samkvæmt reglum stjórnsýsluréttar skal það tilkynnt aðilum með skriflegum hætti og þeim gefinn frestur til að tjá sig um efni málsins í samræmi við 12. gr. þessara reglna.
V. KAFLI
Málsmeðferð bráðabirgðaákvarðana.
22. gr.
Skilyrði bráðabirgðaákvarðana.
Persónuvernd getur tekið ákvarðanir til bráðabirgða um einstök mál þegar sennilegt þykir að sú vinnsla sem er til athugunar fari gegn ákvæðum laga nr. 90/2018, reglugerð (ESB) 2016/679 eða lögum nr. 75/2019 og stofnunin telur brýna nauðsyn á að grípa til aðgerða til verndar réttindum og frelsi skráðra einstaklinga.
Persónuvernd getur meðal annars gripið til eftirfarandi ráðstafana til bráðabirgða:
- Takmarkað eða bannað vinnslu tímabundið, skv. 6. tölul. 42. gr. laga nr. 90/2018.
- Gefið fyrirmæli um tímabundna stöðvun gagnaflæðis til viðtakanda í þriðja landi eða til alþjóðastofnunar, skv. 9. tölul. 42. gr. laga nr. 90/2018.
- Falið lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað, skv. 3. mgr. 41. gr. laga nr. 90/2018.
Ákvörðun til bráðabirgða gildir um tiltekinn tíma sem skal að hámarki vera þrír mánuðir en hana má endurnýja ef það er talið nauðsynlegt.
23. gr.
Styttri tímafrestir.
Þegar til álita kemur að taka bráðabirgðaákvörðun, hvort sem er á grundvelli kröfu eða að eigin frumkvæði Persónuverndar, skal þeim aðila sem slík ákvörðun beinist að gert viðvart eins skjótt og auðið er. Persónuvernd skal kynna viðkomandi aðila fyrirliggjandi gögn málsins og efni fyrirhugaðrar ákvörðunar, eftir því sem við á.
Við töku bráðabirgðaákvörðunar eru svarfrestir miðaðir við þann tíma sem þykir vera málsaðilum nauðsynlegur til að tjá sig um skilyrði hennar. Að fresti liðnum skal Persónuvernd taka afstöðu til þess hvort ástæða er til að taka ákvörðun til bráðabirgða.
24. gr.
Rökstuðningur og form bráðabirgðaákvörðunar.
Bráðabirgðaákvarðanir skulu rökstuddar eða málsaðila eftir atvikum leiðbeint um heimild til að óska eftir rökstuðningi.
Við rökstuðning bráðabirgðaákvörðunar skal litið til skilyrða hennar og þeirra hagsmuna sem eru í húfi fyrir alla málsaðila, þ.m.t. mögulegra hagsmuna þriðja aðila, t.d. hinna skráðu, sem ekki eiga beina aðild að málinu. Horft er til efnisþátta málsins einungis að því marki sem nauðsynlegt þykir til að leggja mat á skilyrði bráðabirgðaákvörðunar.
25. gr.
Tilkynning um framhald máls.
Persónuvernd skal tilkynna málsaðilum um framhald máls innan 14 daga frá því að bráðabirgðaákvörðun er tilkynnt. Að öðrum kosti fellur bráðabirgðaákvörðunin úr gildi.
VI. KAFLI
Sérreglur um málsmeðferð kvartana.
26. gr.
Aðild að máli og fyrirsvar í kvörtunarmálum.
Sérhver skráður einstaklingur eða fulltrúi hans á rétt á að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við lög nr. 90/2018 eða reglugerð (ESB) 2016/679. Ekki er hægt að kvarta yfir vinnslu upplýsinga um annan einstakling nema samkvæmt gildu umboði hans.
Stofnun, samtök eða félag, sem ekki eru rekin í hagnaðarskyni, hafa lögboðin markmið í þágu almannahagsmuna og eru virk á sviði verndar réttinda og frelsis skráðra einstaklinga að því er varðar vernd persónuupplýsinga, geta lagt fram kvörtun hjá Persónuvernd hafi þau ástæðu til að ætla að réttindi skráðs einstaklings hafi verið brotin samkvæmt nánari fyrirmælum 2. mgr. 80. gr. reglugerðar (ESB) 2016/679.
27. gr.
Könnun á formskilyrðum kvörtunar.
Könnun á því hvort formskilyrði kvörtunar eru uppfyllt fer fram við upphaf málsmeðferðar hjá Persónuvernd samkvæmt 6. gr. þessara reglna. Jafnframt skal hugað að slíkum skilyrðum eftir því sem tilefni gefst til á meðan á málsmeðferðinni stendur.
Ef mál, sem varðar sama álitaefni og kvörtun, er til meðferðar hjá öðru stjórnvaldi eða dómstóli getur Persónuvernd ákveðið að setja málið í bið þangað til málsmeðferð þar er lokið. Persónuvernd getur einnig ákveðið að vísa málinu frá liggi fyrir niðurstaða um álitaefnið hjá öðru stjórnvaldi eða dómstóli.
28. gr.
Málsmeðferð kvartana.
Persónuvernd fjallar um kvartanir sem stofnuninni berast og rannsakar efni þeirra að því marki sem við á hverju sinni. Persónuvernd upplýsir kvartandann um framvindu málsins innan hæfilegs tíma, einkum ef nauðsyn er á frekari rannsóknum eða samræmingu við annað eftirlitsyfirvald innan EES.
Ef kvörtun er ekki tekin til efnislegrar meðferðar eða hún framsend til annars stjórnvalds er kvartanda tilkynnt um það og ástæður þess.
Persónuvernd gefur þeim aðila sem kvörtun beinist að kost á að tjá sig um kvörtunina eins fljótt og unnt er nema ljóst sé að hún uppfylli ekki formskilyrði og teljist því ekki tæk til efnislegrar meðferðar.
Ef kvörtun varðar álitaefni sem Persónuvernd hefur þegar tekið afstöðu til og fordæmið er þeim sem kvartað er yfir í hag, tilkynnir Persónuvernd kvartanda um það og óskar staðfestingar á því að hann telji enn þörf á úrlausn stofnunarinnar um álitaefnið.
Ef kvörtun varðar álitaefni sem Persónuvernd hefur þegar tekið afstöðu til og fordæmið er þeim sem kvartað er yfir í óhag, gerir Persónuvernd þeim aðila grein fyrir því í andmælaréttarbréfi að litið verði til fordæmisins og veitir honum kost á að koma sjónarmiðum sínum á framfæri hvað það varðar.
Málsmeðferð kvartana, þar á meðal beiting valdheimilda Persónuverndar, tekur mið af eðli máls og mati Persónuverndar á þeim hagsmunum sem eru undir hverju sinni.
29. gr.
Lok máls þegar brot er viðurkennt.
Komi fram viðurkenning á broti af hálfu ábyrgðaraðila og/eða vinnsluaðila vinnslunnar getur Persónuvernd ákveðið að ljúka málinu þar með. Persónuvernd tekur kvörtun almennt ekki til efnislegrar úrlausnar ef enginn efnislegur ágreiningur er í máli.
Þrátt fyrir 1. mgr. getur Persónuvernd tekið kvörtun til efnislegrar úrlausnar ef a.m.k. eitt af eftirtöldu á við:
- Um er að ræða ítrekuð brot sama aðila.
- Fleiri en ein kvörtun hafa borist gegn sama aðila.
- Fyrirliggjandi upplýsingar og málsgögn gefa að mati Persónuverndar tilefni til áframhaldandi málsmeðferðar.
- Persónuvernd telur brot þess eðlis að til greina komi að veita áminningu, stöðva vinnslu eða leggja stjórnvaldssekt á aðila, eða mæla fyrir um ráðstafanir til úrbóta, samkvæmt nánari fyrirmælum laga nr. 90/2018 og reglugerðar (ESB) 2016/679.
30. gr.
Málsmeðferð og úrlausn kvartana með vísan til frumkvæðisathugunar.
Berist Persónuvernd fleiri en ein kvörtun eða ábending vegna sambærilegrar vinnslu persónuupplýsinga hjá tilteknum ábyrgðaraðila eða vinnsluaðila getur stofnunin ákveðið að hefja frumkvæðisathugun á vinnslunni.
Persónuvernd getur einnig ákveðið að hefja frumkvæðisathugun í tilefni af kvörtun til stofnunarinnar telji hún að niðurstaða um lögmæti vinnslunnar geti varðað hagsmuni breiðs hóps einstaklinga.
Hefji Persónuvernd frumkvæðisathugun á tiltekinni vinnslu persónuupplýsinga getur stofnunin ákveðið að kvartanir vegna vinnslunnar verði settar í bið á meðan frumkvæðisathugunin er til lykta leidd. Hið sama á við ef frumkvæðisathugun er yfirstandandi þegar kvörtun berst. Ákvörðun um að setja kvörtun í bið vegna yfirstandandi eða fyrirhugaðrar frumkvæðisathugunar skal tilkynnt kvartendum.
Þegar niðurstaða frumkvæðisathugunarinnar liggur fyrir eru kvartanir vegna vinnslunnar teknar aftur til meðferðar. Persónuvernd getur þá leyst úr þeim með vísan til niðurstöðu frumkvæðisathugunarinnar, eftir því sem við á.
VII. KAFLI
Sérreglur um málsmeðferð frumkvæðisathugana og úttekta.
31. gr.
Ákvörðun um frumkvæðisathugun á vinnslu persónuupplýsinga.
Við mat á því hvort Persónuvernd tekur mál til meðferðar að eigin frumkvæði, sbr. 3. mgr. 39. gr. laga nr. 90/2018, skal meðal annars líta til eins eða fleiri eftirfarandi sjónarmiða:
- Hvort málið varði persónuvernd breiðs hóps manna.
- Hversu mikla áhættu vinnsla persónuupplýsinga hefur í för með sér fyrir persónuvernd manna.
- Eðlis þeirra upplýsinga sem undir eru hverju sinni.
- Hversu miklar líkur eru taldar á að vinnsla persónuupplýsinga samrýmist ekki lögum.
- Hvort umfjöllun um málið hafi almennt leiðbeiningargildi og sé til þess fallin að geta komið mörgum að notum.
- Hversu auðvelt eða erfitt er fyrir hina skráðu að láta reyna á rétt sinn varðandi vinnsluna.
- Verkefnastöðu, mönnunar og forgangsröðunar verkefna hjá Persónuvernd hverju sinni.
32. gr.
Ákvörðun um úttekt á vinnslu persónuupplýsinga.
Persónuvernd ákveður að hefja úttekt í samræmi við áætlun stofnunarinnar um úttektir eða ef nauðsynlegt þykir, t.d. í kjölfar ábendingar eða tilkynningar um öryggisbrest.
Persónuvernd skal tilkynna ábyrgðaraðila eða, eftir atvikum, vinnsluaðila um fyrirhugaða úttekt hjá honum á grundvelli 2. tölul. 1. mgr. 41. gr. laga nr. 90/2018. Í tilkynningu Persónuverndar skal koma skýrt fram til hvaða vinnslu persónuupplýsinga úttekt nær. Einnig skal tilgreina hvaða gögnum og upplýsingum stofnunin óskar eftir og veita tiltekinn frest til svara.
Gögn sem Persónuvernd getur óskað eftir eru meðal annars vinnsluskrá, niðurstaða mats á áhrifum á persónuvernd, skrá yfir öryggisbresti, öryggisstefna, áhættumat, lýsing á öryggisráðstöfunum og tilhögun innra eftirlits.
33. gr.
Ráðning sérfræðings til að framkvæma athugun eða úttekt.
Persónuvernd ákveður, með hliðsjón af umfangi og eðli vinnslu persónuupplýsinga, hvort leitað verði eftir aðstoð sérfræðings við framkvæmd athugunar eða úttektar.
Ef Persónuvernd ákveður að semja við sérfræðing skal tilkynna málsaðila um það og gefa honum kost á að gera athugasemdir við val á sérfræðingi. Persónuvernd skal einnig kynna málsaðila ákvæði 40. gr. laga nr. 90/2018 um heimild til gjaldtöku fyrir þann kostnað sem hlýst af eftirliti, sbr. einnig auglýsingu nr. 1027/2020 um gjaldskrá vegna eftirlits Persónuverndar með vinnslu persónuupplýsinga.
Komi engin andmæli fram við val á sérfræðingi eða verði ekki fallist á þau skal lagt fyrir sérfræðinginn að skila kostnaðaráætlun á grundvelli fyrirliggjandi gagna, í samræmi við auglýsingu nr. 1027/2020. Þegar hún liggur fyrir skal hún kynnt málsaðila og honum veittur kostur á að andmæla henni. Komi engin andmæli fram eða verði ekki fallist á þau er næst gerður skriflegur samningur við sérfræðinginn um þá vinnu sem hann skal inna af hendi. Í samningi skal sérstaklega kveðið á um þagnarskyldu sérfræðingsins.
34. gr.
Málsmeðferð frumkvæðisathugana og úttekta.
Ef starfsmenn Persónuverndar fara í vettvangsathugun samkvæmt 13. gr. þessara reglna skal semja minnisblað að henni lokinni þar sem fram koma helstu atriði um framkvæmd athugunar og niðurstöður hennar.
Ef starfsmenn Persónuverndar framkvæma úttekt án aðkomu sérfræðings skal semja skýrslu að henni lokinni þar sem gerð er nákvæm grein fyrir niðurstöðum úttektarinnar. Persónuvernd skal senda málsaðila drög að skýrslunni og gefa honum kost á að koma á framfæri athugasemdum sínum við efni hennar.
Hafi verið samið við sérfræðing skal hann skila Persónuvernd skýrslu um athugun sína eða úttekt þar sem hann gerir nákvæma grein fyrir niðurstöðum sínum. Persónuvernd skal senda málsaðila drög að skýrslu sérfræðings og gefa honum kost á að koma á framfæri athugasemdum sínum við efni hennar.
35. gr.
Lok frumkvæðisathugunar.
Ef Persónuvernd telur, á grundvelli fyrirliggjandi gagna, að unnt sé að fella frumkvæðismál niður án efnislegrar úrlausnar ber að tilkynna það málsaðilum.
Ef frumkvæðismál hefur ekki verið fellt niður samkvæmt 1. mgr. skal því lokið með ákvörðun í samræmi við ákvæði IV. kafla þessara reglna.
36. gr.
Lok úttekta.
Úttekt skal ljúka með ákvörðun í samræmi við ákvæði IV. kafla þessara reglna.
Þegar niðurstaða liggur fyrir skal Persónuvernd senda hana málsaðila og veita honum minnst 10 daga frest til að gera athugasemdir við birtingu hennar eða tilgreindra atriða í henni með vísan til öryggissjónarmiða, viðskipta- eða fjárhagshagsmuna. Á grundvelli þeirra athugasemda tekur Persónuvernd ákvörðun um birtingu niðurstöðunnar og hvaða atriði, ef einhver, skulu afmáð í opinberri útgáfu hennar.
VIII. KAFLI
Afgreiðsla tilkynninga um öryggisbresti.
37. gr.
Mat á öryggisbrestum og málsmeðferð.
Þegar Persónuvernd berst tilkynning um öryggisbrest skal hún yfirfarin eins fljótt og unnt er til að kanna hvort öryggisbresturinn sé þess eðlis að nauðsynlegt sé að bregðast við strax, t.d. ef beina þarf fyrirmælum til ábyrgðaraðila eða, eftir atvikum, vinnsluaðila um að stöðva vinnslu persónuupplýsinga. Komi ekki fram nægjanlegar skýringar í tilkynningu um öryggisbrest til að meta umfang hans og alvarleika getur Persónuvernd óskað eftir frekari skýringum frá ábyrgðaraðila.
Persónuvernd ákveður í hvaða farveg mál vegna tilkynningar um öryggisbrest skal fara. Við mat þar að lútandi skal meðal annars litið til eftirfarandi þátta:
- Hvort öryggisbrestur er tilkynningarskyldur.
- Hversu alvarlegur öryggisbrestur er.
- Hvort öryggisbrestur gefur tilefni til sérstakra aðgerða af hálfu Persónuverndar.
Við mat á alvarleika öryggisbrests skal meðal annars litið til fjölda hinna skráðu og þess tjóns sem þeir hafa orðið fyrir eða sem líkur eru á að þeir verði fyrir. Við mat á tjóni ber meðal annars að líta til eðlis upplýsinga, hvort þær hafi orðið aðgengilegar óviðkomandi eða glatast þannig að hagsmunir hins skráða hafi verulega skerst. Þá ber að líta til fjölda tilkynninga sem borist hafa frá sama aðila.
Ef öryggisbrestur nær yfir landamæri innan EES fer um málsmeðferð eftir VII. kafla reglugerðar (ESB) 2016/679.
38. gr.
Lok máls.
Þegar Persónuvernd berst tilkynning frá ábyrgðaraðila um atvik sem felur ekki í sér öryggisbrest samkvæmt 2. mgr. 27. gr. laga nr. 90/2018 skal hann upplýstur um það.
Berist fjöldi tilhæfulausra tilkynninga um öryggisbresti frá tilteknum ábyrgðaraðila skal honum leiðbeint um hvenær ber að tilkynna um þá.
Berist Persónuvernd tilkynning um öryggisbrest og stofnunin telur ekki tilefni til aðgerða að svo stöddu miðað við þær upplýsingar sem veittar eru í tilkynningunni skal ábyrgðaraðili upplýstur um það. Persónuvernd skal einnig upplýsa ábyrgðaraðila um að ef nýjar upplýsingar um öryggisbrestinn koma í ljós, kvörtun berst frá einstaklingi vegna hans eða nýjar tilkynningar um öryggisbrest berast frá ábyrgðaraðila kunni málið að verða tekið upp að nýju, í heild eða að hluta.
Ef öryggisbrestur er talinn alvarlegur skal Persónuvernd, eins fljótt og unnt er, gera ráðstafanir, til dæmis með fyrirmælum til ábyrgðaraðila, til að stuðla að því að girt sé fyrir alvarlegar afleiðingar hans. Persónuvernd getur við þessar aðstæður hafið frumkvæðisathugun eða úttektarmál.
Um beitingu valdheimilda vegna tilkynninga um öryggisbresti fer samkvæmt nánari fyrirmælum laga nr. 90/2018, laga nr. 75/2019 og reglugerðar (ESB) 2016/679.
IX. KAFLI
Beiðni um fyrirframsamráð.
39. gr.
Könnun á formskilyrðum.
Með beiðni ábyrgðaraðila að vinnslu persónuupplýsinga um fyrirframsamráð samkvæmt 30. gr. laga nr. 90/2018, sbr. 36. gr. reglugerðar (ESB) 2016/679 og 27. gr. laga nr. 75/2019, skulu að lágmarki fylgja upplýsingar um:
- eftir atvikum, ábyrgðarsvið ábyrgðaraðila, sameiginlegra ábyrgðaraðila og vinnsluaðila sem koma að vinnslunni, hvers um sig, einkum þegar um er að ræða vinnslu innan fyrirtækjasamstæðu,
- tilgang fyrirhugaðrar vinnslu og aðferðir við hana,
- ráðstafanir og verndarráðstafanir sem gerðar eru til að vernda réttindi og frelsi skráðra einstaklinga samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679,
- ef við á, samskiptaupplýsingar persónuverndarfulltrúa,
- mat á áhrifum á persónuvernd sem kveðið er á um í 35. gr. reglugerðarinnar og 26. gr. laga nr. 75/2019.
Að öðru leyti fer um málsmeðferð og fresti samkvæmt nánari fyrirmælum í lögum nr. 90/2018, lögum nr. 75/2019 og reglugerð (ESB) 2016/679.
X. KAFLI
Beiting valdheimilda Persónuverndar.
40. gr.
Valdheimildir Persónuverndar.
Við rannsókn mála og töku stjórnvaldsákvarðana er Persónuvernd heimilt að beita þeim valdheimildum sem hún telur nauðsynlegar hverju sinni samkvæmt 41., 42., 45. og 46. gr. laga nr. 90/2018, sbr. 58. gr. reglugerðar (ESB) 2016/679, og 31. gr. laga nr. 75/2019. Beiting valdheimilda skal vera viðeigandi, nauðsynleg og hófleg með hliðsjón af aðstæðum hverju sinni.
41. gr.
Viðvörun.
Persónuvernd getur veitt ábyrgðaraðilum og vinnsluaðilum viðvörun um að líklegt þyki að fyrirhugaðar vinnsluaðgerðir brjóti í bága við ákvæði reglugerðar (ESB) 2016/679, sbr. 1. tölul. 42. gr. laga nr. 90/2018.
Viðvörun skal einkum beitt þegar ætla má að fyrirhuguð vinnsla persónuupplýsinga, sem Persónuvernd fær vitneskju um, brjóti í bága við ákvæði reglugerðarinnar, svo sem vegna þess að Persónuvernd hefur áður komist að niðurstöðu um að sambærileg vinnsluaðgerð brjóti gegn lögum.
42. gr.
Áminning.
Persónuvernd getur veitt ábyrgðaraðilum og vinnsluaðilum áminningu ef vinnsluaðgerðir hafa brotið í bága við reglugerðina, sbr. 2. tölul. 42. gr. laga nr. 90/2018.
Veita má áminningu í stað stjórnvaldssektar þegar brot er minniháttar eða ef sektin, sem líklegt er að lögð verði á, yrði óhófleg byrði fyrir einstakling. Einnig má veita áminningu í stað stjórnvaldssektar þegar ábyrgðaraðili eða vinnsluaðili hefur þegar sætt refsikenndum viðurlögum af hálfu annars stjórnvalds eða dómstóls fyrir sama brot.
43. gr.
Takmörkun eða bann við vinnslu.
Persónuvernd getur takmarkað eða bannað vinnslu tímabundið eða til frambúðar, sbr. 6. tölul. 42. gr. laga nr. 90/2018.
Um málsmeðferð í tengslum við ákvörðun um takmörkun eða bann við vinnslu tímabundið undir rekstri máls fer samkvæmt IV. kafla þessara reglna.
Persónuvernd getur mælt fyrir um takmörkun eða bann við vinnslu til frambúðar í þeim tilvikum þar sem fyrir liggur að vinnsla brýtur í bága við lögin og/eða reglugerðina.
44. gr.
Dagsektir.
Ef ekki er farið að fyrirmælum Persónuverndar samkvæmt 6., 7. og 9. tölul. 42. gr. laga nr. 90/2018 getur hún, áður en hún ákveður stjórnvaldssekt samkvæmt 46. gr. laganna, lagt dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati hennar, sbr. 45. gr. laganna.
Áður en ákvörðun er tekin um álagningu dagsekta skal þeim sem hún beinist að veitt tækifæri á að koma á framfæri andmælum sínum í samræmi við 12. gr. þessara reglna.
45. gr.
Undirbúningur ákvörðunar um stjórnvaldssekt eða stöðvun vinnslu til frambúðar.
Telji Persónuvernd að ákvörðun um stjórnvaldssekt samkvæmt 46. gr. laga nr. 90/2018 eða stöðvun vinnslu til frambúðar samkvæmt 6. tölul. 42. gr. sömu laga kunni að verða tekin í máli skal hún taka saman andmælaréttarskjal, þar sem ábyrgðaraðila og/eða vinnsluaðila er gefinn kostur á að koma á framfæri athugasemdum í aðdraganda ákvörðunar.
Andmælaréttarskjalið er ritað í því skyni að stuðla að því að málið sé að fullu upplýst áður en ákvörðun er tekin og til þess að auðvelda aðila máls að nýta sér andmælarétt sinn. Andmælaréttarskjal er liður í meðferð máls og felur ekki í sér bindandi stjórnvaldsákvörðun.
Í andmælaréttarskjalinu skal helstu atvikum málsins lýst og greint í aðalatriðum frá því á hvaða grundvelli Persónuvernd telur að vinnsla persónuupplýsinga kunni að fara gegn ákvæðum laga nr. 90/2018 eða reglugerðar (ESB) 2016/679. Ekki er nauðsynlegt að í andmælaréttarskjali Persónuverndar komi fram tæmandi lýsing á atvikum málsins eða sjónarmiðum stofnunarinnar.
Með andmælaréttarskjalinu skal afhenda lista yfir öll viðeigandi gögn máls, sem þýðingu geta haft við úrlausn þess. Þá skulu ábyrgðaraðila og/eða vinnsluaðila veittar upplýsingar um áætlaða fjárhæð fyrirhugaðrar stjórnvaldssektar eða, eftir atvikum, áætlað hámark og lágmark hennar.
Andmælaréttarskjalið skal sent þeim sem ákvörðun um sekt eða stöðvun vinnslu til frambúðar beinist að. Viðkomandi skal veittur hæfilegur frestur til að gera skriflegar athugasemdir og koma að frekari skýringum og gögnum. Frestur samkvæmt framangreindu skal ekki vera skemmri en þrjár vikur og ekki lengri en tveir mánuðir nema sérstakar aðstæður réttlæti annað.
Persónuvernd ákveður hvort stjórnvaldssekt verður lögð á ábyrgðaraðila og/eða vinnsluaðila, eða vinnsla stöðvuð til frambúðar, óháð kröfum málsaðila.
Ákvörðun um álagningu stjórnvaldssektar eða stöðvun vinnslu til frambúðar skal tekin í úrskurði eða annarri endanlegri úrlausn máls og skal hún rökstudd.
XI. KAFLI
Ýmis ákvæði.
46. gr.
Aðrar málsmeðferðarreglur.
Um meðferð annarra mála hjá Persónuvernd en þeirra sem reglur þessar taka til fer samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679, lögum nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi eða öðrum lögum eftir því sem við á.
47. gr.
Gildistaka.
Reglur þessar eru settar með stoð í 3. mgr. 38. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og öðlast þegar gildi.
Þannig samþykkt á fundi stjórnar Persónuverndar, 21. október 2021.
Ólafur Garðarsson formaður.
|
Björn Geirsson. |
Sindri M. Stephensen. |
|
|
|
|
Vilhelmína Haraldsdóttir. |
Þorvarður Kári Ólafsson. |
|