I. KAFLI
Hlutverk og starfssvið.
1. gr.
Hlutverk Persónuverndar.
Persónuvernd er eftirlitsstjórnvald samkvæmt VI. kafla reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin) eins og hún er tekin upp í samninginn um Evrópska efnahagssvæðið, sbr. 2. mgr. 1. gr. og 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
2. gr.
Verkefni Persónuverndar.
Persónuvernd annast eftirlit með framkvæmd reglugerðar (ESB) 2016/679, laga nr. 90/2018, laga nr. 75/2019, sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga og annarra reglna um efnið. Í því felst meðal annars að stofnunin:
- aflar gagna í þeim málum sem eru til umfjöllunar hverju sinni,
- leitar sjónarmiða aðila í málum sem eru til umfjöllunar,
- gefur fyrirmæli um vinnsluaðgerðir eða stöðvun vinnslu,
- tekur bráðabirgðaákvarðanir þegar sérstakar aðstæður krefjast þess,
- tekur endanlegar ákvarðanir um afgreiðslu einstakra mála,
- veitir Alþingi, stjórnvöldum og öðrum aðilum ráðgjöf á sviði lagasetningar og stjórnsýslu sem tengist vernd einstaklinga við vinnslu persónuupplýsinga,
- sinnir samstarfi við erlendar persónuverndarstofnanir, aðrar erlendar stofnanir og samtök eftir því sem við á,
- annast önnur verkefni, sbr. nánari ákvæði 39. gr. laga nr. 90/2018.
3. gr.
Gildissvið.
Reglur þessar taka til mála sem Persónuvernd fjallar um á grundvelli 3. mgr. 39. gr. laga nr. 90/2018 eða 3. mgr. 30. gr. laga nr. 75/2019. Reglurnar taka ekki til stjórnvaldsákvarðana sem stofnunin kann að taka á grundvelli annarra laga, svo sem laga nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins, upplýsingalaga nr. 140/2012 o.fl.
II. KAFLI
Málsmeðferð – Upphaf máls.
4. gr.
Móttaka og flokkun erinda.
Þegar Persónuvernd berst erindi skal stofnað um það mál í málaskrá stofnunarinnar í samræmi við innri verklagsreglur stofnunarinnar. Leitast skal við að skrá mál samdægurs og að jafnaði innan tveggja virkra daga frá móttöku erindis.
Persónuvernd tekur til meðferðar mál þar sem álitaefni er hvort vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 eða reglugerð (ESB) 2016/679. Tildrög þess að mál eru tekin til meðferðar geta meðal annars verið eftirfarandi:
- Kvörtun skráðs einstaklings eða stofnunar, samtaka eða félags í samræmi við 80. gr. reglugerðar (ESB) 2016/679.
- Tilkynning um öryggisbrest.
- Beiðni um fyrirframsamráð.
- Beiðni um samþykkt hátternisreglna.
- Ábending um vinnslu persónuupplýsinga sem mögulega telst ólögmæt.
- Upplýsingar sem birtast í fjölmiðlum.
- Beiðni um álit eða umsögn.
- Umsókn um leyfi eða beiðni um ráðgjöf Persónuverndar á sviði lagasetningar og stjórnsýslu,
- Ákvörðun að frumkvæði Persónuverndar um að gera athugun eða úttekt á vinnslu persónuupplýsinga.
- Önnur erindi sem falla undir verksvið Persónuverndar.
5. gr.
Kröfur um form erinda og áreiðanleika upplýsinga.
Erindi sem berast Persónuvernd skulu að jafnaði vera skrifleg. Þau skulu vera skýr og hnitmiðuð eftir því sem unnt er. Séu erindi til Persónuverndar óhæfilega löng eða óskýr getur stofnunin farið fram á að þau verði dregin saman og sett fram á hnitmiðaðan hátt.
Persónuvernd leiðbeinir málsaðilum um úrbætur ef einhverjir annmarkar eru á framsetningu erinda.
Erindi sem berast frá ábyrgðaraðilum eða öðrum sem hyggjast vinna persónuupplýsingar skulu vera rökstudd eftir því sem við á.
Upplýsingar sem fram koma í erindum til Persónuverndar eða fylgja þeim til stuðnings skulu vera skýrar, réttar og uppfærðar eftir því sem við á.
6. gr.
Könnun á formskilyrðum.
Þegar erindi berst Persónuvernd framkvæmir stofnunin almenna könnun á formskilyrðum. Það sem er skoðað er meðal annars hvort:
- erindi fellur innan gildissviðs þeirra laga sem Persónuvernd hefur eftirlit með,
- erindi er sent innan tilskilinna tímafresta, ef við á,
- erindi er frá réttum fyrirsvarsmanni eða styðst við fullnægjandi umboð og á það jafnframt við þegar lögmenn koma fram fyrir hönd umbjóðenda sinna,
- málshefjandi getur átt aðild að því stjórnsýslumáli sem erindið lýtur að,
- sama álitaefni milli sömu málsaðila er til meðferðar hjá öðru stjórnvaldi eða dómstóli á sama tíma,
- skorið hefur verið úr sama álitaefni milli sömu aðila í öðru máli hjá Persónuvernd,
- málshefjandi hefur veitt fullnægjandi upplýsingar um álitaefnið og lagt fram nauðsynleg gögn og upplýsingar eftir því sem við á.
Telji Persónuvernd að eitt eða fleiri skilyrði bresti fyrir því að taka erindi til frekari stjórnsýslumeðferðar gerir hún málshefjanda grein fyrir því og tilkynnir honum um ákvörðun sína þar að lútandi, eftir atvikum eftir að honum hefur verið veittur kostur á að tjá sig um fyrirhugaða ákvörðun. Ekki er þó veittur kostur á athugasemdum ef slíkt er augljóslega óþarft.
Persónuvernd kannar hvort einhver atriði eða atvik eru til staðar sem geta valdið vanhæfi þeirra starfsmanna og stjórnarmanna Persónuverndar sem koma að meðferð málsins hjá stofnuninni. Starfsmenn skulu upplýsa næsta yfirmann sinn um mögulegt vanhæfi um leið og þeir verða þess varir. Starfsmenn og stjórnarmenn sem teljast vanhæfir til meðferðar málsins taka ekki þátt í meðferð þess. Um hæfi starfsmanna og stjórnarmanna fer að öðru leyti eftir II. kafla stjórnsýslulaga nr. 37/1993.
7. gr.
Aðgangur að gögnum og takmörkun á upplýsingarétti.
Um aðgang málsaðila að gögnum og upplýsingum fer eftir ákvæðum stjórnsýslulaga nr. 37/1993.
Ef aðilar máls láta Persónuvernd í té gögn eða upplýsingar sem að mati þeirra eiga að fara leynt skulu þeir óska eftir því að farið verði með upplýsingarnar eða gögnin sem trúnaðarmál. Málsaðilar skulu rökstyðja ósk þess efnis og tilgreina hvaða hluti gagnanna eða upplýsinganna eru að þeirra mati trúnaðarmál. Persónuvernd ákveður hvort fallist er á beiðni málsaðila um trúnað með hliðsjón af ákvæðum stjórnsýslulaga.
8. gr.
Ábendingar um brot á lögum og reglum.
Öllum er heimilt að snúa sér til Persónuverndar og vekja athygli á atvikum sem viðkomandi telur brjóta í bága við lög og reglur um persónuvernd. Slíkar ábendingar geta verið settar fram skriflega eða munnlega. Þegar ábending lýtur að nafngreindum einstaklingum skal hún sett fram undir nafni.
Ábendingar samkvæmt 1. mgr. geta leitt til þess að Persónuvernd hefji frumkvæðisathugun eða úttekt. Sá sem setur fram ábendingu telst ekki vera aðili að máli sem hefst í kjölfar ábendingar hans.
Sá sem beinir ábendingu til Persónuverndar samkvæmt 1. mgr. getur óskað eftir því að nafni hans verði haldið leyndu gagnvart öðrum en starfsmönnum og stjórn Persónuverndar. Ef telja má líklegt að hagsmunir hans skaðist ef greint er frá nafni hans skal fallast á ósk um nafnleynd. Ef ekki eru forsendur til að fallast á nafnleynd skal gefa viðkomandi kost á að draga erindi sitt til baka. Um hagsmunamat samkvæmt þessari málsgrein fer eftir ákvæðum 17. gr. stjórnsýslulaga nr. 37/1993, 3. mgr. 14. gr. upplýsingalaga nr. 140/2012 og 3. mgr. 17. gr. laga nr. 90/2018.
Ef Persónuvernd getur sýnt fram á að sá sem nýtur nafnleyndar samkvæmt 3. mgr. hafi vísvitandi komið á framfæri röngum eða villandi upplýsingum getur stofnunin ákveðið að aflétta nafnleyndinni. Áður skal þó gefa viðkomandi kost á að tjá sig. Að öðrum kosti verður nafnleyndinni ekki aflétt nema viðkomandi veiti afdráttarlaust samþykki sitt.
Ef Persónuvernd kærir brot á persónuverndarlöggjöfinni til lögreglu samkvæmt 49. gr. laga nr. 90/2018 skal hún ekki miðla til lögreglunnar persónuupplýsingum þess sem nýtur nafnleyndar, samkvæmt 3. mgr. þessarar greinar, nema nauðsyn eða lög krefji. Áður skal Persónuvernd upplýsa þann sem nýtur nafnleyndar um miðlun persónuupplýsinga hans og kynna lögreglu ákvörðun sína um nafnleynd.
Berist Persónuvernd ábending samkvæmt 2. gr. laga nr. 40/2020 um vernd uppljóstrara skal stofnunin gæta leyndar um persónuupplýsingar þess sem miðlar upplýsingum eða gögnum í góðri trú, nema viðkomandi veiti afdráttarlaust samþykki sitt fyrir öðru.
Aðgangur að persónuupplýsingum þeirra, sem veita ábendingar samkvæmt þessari grein og njóta nafnleyndar, skal takmarkaður við þá starfsmenn Persónuverndar sem þurfa hann vegna starfa sinna.
9. gr.
Vinnsla persónuupplýsinga yfir landamæri.
Ef erindi varðar vinnslu persónuupplýsinga yfir landamæri innan EES fer um meðferð þess samkvæmt nánari fyrirmælum í 56. gr. og VII. kafla reglugerðar (ESB) 2016/679.
III. KAFLI
Málsmeðferð – Rannsókn máls.
10. gr.
Tilkynning um upphaf máls.
Þegar Persónuvernd tekur mál til rannsóknar á grundvelli kvörtunar eða þegar stjórnsýslumál hefst af öðru tilefni tilkynnir Persónuvernd þeim sem málið beinist að, einstaklingi, lögaðila eða stjórnvaldi, um það og veitir kost á að koma að andmælum samkvæmt 13. gr. stjórnsýslulaga, þegar við á, sbr. nánari fyrirmæli 12. gr. þessara reglna.
11. gr.
Skrifleg málsmeðferð, samskipti við málsaðila o.fl.
Málsmeðferð stjórnsýslumála hjá Persónuvernd skal vera skrifleg.
Þegar skriflegri gagnaöflun í máli er lokið getur Persónuvernd boðað málsaðila á sinn fund í þágu rannsóknar málsins ef sérstakar ástæður mæla með því. Slíkir fundir geta jafnframt komið til að frumkvæði málsaðila og metur Persónuvernd þá nauðsyn þeirra í þágu rannsóknar málsins.
Ef málsaðilar óska þess að Persónuvernd taki afstöðu til sjónarmiða sem fram hafa komið á fundi en er ekki að finna í skriflegum gögnum máls, og/eða ef það er ætlun stofnunarinnar að leggja til grundvallar slík sjónarmið, skal rita fundargerð og gefa aðilum málsins kost á að tjá sig um hana.
Eftir að Persónuvernd hefur lokið rannsókn máls gefur stofnunin málsaðilum almennt ekki kost á því að funda með stofnuninni um ágreiningsefni í viðkomandi máli.
12. gr.
Framkvæmd andmælaréttar.
Í andmælaréttarbréfi skal gera grein fyrir helstu álitamálum sem eru undir í málinu. Ef eðli og umfang máls krefjast þess óskar Persónuvernd eftir svörum við nánar tilgreindum spurningum í þágu rannsóknar málsins. Um andmælarétt fer að öðru leyti samkvæmt 13. gr. stjórnsýslulaga.
Málsaðilum skal alla jafna veittur minnst tveggja vikna frestur til þess að afhenda gögn og koma sjónarmiðum sínum á framfæri. Í umfangsmeiri málum er heimilt að lengja þann frest ef þörf er á. Ef brýnar ástæður eru fyrir hendi, eða ef unnt er að nýta rafrænar lausnir til samskipta milli Persónuverndar og málsaðila, er jafnframt heimilt að stytta andmælafrestinn. Ávallt skal senda afrit af nauðsynlegum gögnum máls til þeirra sem njóta andmælaréttar.
Persónuvernd er heimilt að framlengja frest til andmæla eða framlagningar gagna ef málsaðilar biðja um það. Slíkur frestur skal almennt vera að hámarki þrjár vikur hverju sinni.
Um andmælarétt vegna mögulegrar álagningar stjórnvaldssektar fer samkvæmt 45. gr. þessara reglna.
13. gr.
Vettvangsathugun.
Gefi gögn eða atvik máls tilefni til getur Persónuvernd framkvæmt vettvangsathugun í þágu rannsóknar máls, sbr. 5. og 6. tölul. 1. mgr. 41. gr. laga nr. 90/2018.
Áður en vettvangsathugun fer fram á starfsstöð ábyrgðaraðila eða vinnsluaðila skal honum almennt tilkynnt um það og tekið fram til hvers sé ætlast af honum, svo sem:
- Hvaða starfsmenn ábyrgðaraðila eða vinnsluaðila þurfa að vera tiltækir á þeim tíma sem áætlað er að vettvangsathugun fari fram.
- Hvaða gögn verða að vera tiltæk og aðgengileg.
- Hversu lengi er áætlað að vettvangsathugun standi yfir.
Persónuvernd er heimilt að víkja frá tilkynningarskyldu um vettvangsathugun ef líkur eru á að tilkynning verði til þess að rannsóknarhagsmunir fari forgörðum.
14. gr.
Lok rannsóknar.
Rannsókn máls telst lokið þegar allra viðeigandi upplýsinga og gagna hefur verið aflað, andmælaréttur verið veittur eins og við á og mál telst nægjanlega upplýst að mati Persónuverndar.
15. gr.
Tilkynning um tafir á málsmeðferð.
Persónuvernd leitast við að leysa úr málum eins skjótt og kostur er.
Persónuvernd skal birta tilkynningu á vefsíðu sinni um áætlaðan málsmeðferðartíma eftir málategundum.
Sjái stofnunin fram á að afgreiðsla máls muni tefjast umfram áætlaðan málsmeðferðartíma samkvæmt 2. mgr. tilkynnir hún málsaðilum um það og upplýsir um leið hvenær megi vænta niðurstöðu, eftir því sem unnt er.
16. gr.
Athafnaleysi málsaðila.
Berist engin svör frá þeim aðila sem mál beinist að getur Persónuvernd tekið ákvörðun í því á grundvelli fyrirliggjandi gagna, hafi málsaðilanum áður verið tilkynnt um að það kunni að vera gert. Slík ákvörðun getur þá til að mynda verið byggð á upphafserindi málshefjanda og öðrum gögnum sem kunna að hafa verið lögð fram eða aflað í tengslum við rannsókn málsins.
Ef um er að ræða athafnaleysi málshefjanda, svo sem ef kvartandi tjáir sig ekki um sjónarmið og skýringar frá þeim aðila sem kvörtun beinist að innan tilskilins frests, eða svarar ekki beiðni Persónuverndar um nánari skýringar eða upplýsingar sem nauðsynlegar eru í þágu málsmeðferðarinnar, er að jafnaði litið svo á að málshefjandi hafi fallið frá erindi sínu og er málið þá fellt niður og málsaðilar upplýstir um þau málalok. Málshefjanda skal gerð grein fyrir því fyrir fram, svo sem í andmælaréttarbréfi, að málið verði fellt niður við þessar aðstæður.
IV. KAFLI
Úrlausn mála.
17. gr.
Úrlausn máls.
Taki Persónuvernd mál til efnislegrar úrlausnar skal stofnunin semja rökstudda úrlausn eða, eftir atvikum, leiðbeina um heimild til að óska eftir rökstuðningi.
Bera skal undir stjórn þær úrlausnir sem taldar eru í 2. gr. reglna um störf stjórnar Persónuverndar og skiptingu starfa gagnvart skrifstofu nr. 876/2018.
Stjórnin getur falið forstjóra að ljúka máli.
18. gr.
Ritun og efni rökstuddrar úrlausnar.
Í rökstuddri úrlausn skal gera grein fyrir tildrögum máls, helstu málavöxtum og sjónarmiðum aðila, forsendum og niðurstöðum stofnunarinnar.
Þegar við á skulu í niðurstöðu úrlausnar sett fram fyrirmæli á grundvelli 42. gr. laga nr. 90/2018, svo sem um ráðstafanir til úrbóta, eftir atvikum innan tilgreinds tímafrests. Ef við á skal jafnframt gera grein fyrir beitingu annarra valdheimilda, meðal annars samkvæmt 42. og 46. gr. laga nr. 90/2018, í niðurstöðu úrlausnar.
19. gr.
Birting úrlausnar.
Niðurstöðu máls skal senda málsaðilum og er hún bindandi eftir að hún er komin til þeirra. Veita skal leiðbeiningar um að ákvörðun verði ekki skotið til annarra stjórnvalda en að aðilum máls sé heimilt að bera ákvarðanir og málsmeðferð stofnunarinnar undir dómstóla með venjubundnum hætti.
Úrskurðir, ákvarðanir, álit og aðrar úrlausnir Persónuverndar eru almennt birtar á vefsíðu stofnunarinnar, með þeim takmörkunum sem mælt er fyrir um í upplýsingalögum nr. 140/2012 og í samræmi við innri verklagsreglur stofnunarinnar. Nöfn einstaklinga eða aðrar upplýsingar sem hægt er að rekja til þeirra skulu þó almennt ekki birtar. Þegar sérstaklega stendur á getur Persónuvernd ákveðið að birta ekki úrlausn á vefsíðu sinni, fresta birtingunni eða takmarka hana við útdrátt úrlausnar.
20. gr.
Eftirfylgni úrskurða og ákvarðana.
Hafi Persónuvernd gefið fyrirmæli í úrskurði eða ákvörðun skal stofnunin, að liðnum þeim fresti sem veittur var til að fara að þeim samkvæmt 2. mgr. 18. gr. þessara reglna, kanna hvort fyrirmælunum hefur verið fylgt og eftir atvikum meta hvort nauðsynlegt er að beita þvingunarúrræðum, svo sem dagsektum samkvæmt 45. gr. laga nr. 90/2018, eða leggja á stjórnvaldssekt samkvæmt 46. gr. þeirra laga.
Ákveði Persónuvernd að beita þvingunarúrræðum skal málsaðila tilkynnt um það og veitt færi á andmælum.
Þegar Persónuvernd hyggst leggja á dagsektir skal málsaðila tilkynnt um það og veittur að jafnaði vikufrestur en að hámarki þriggja vikna frestur til að koma að andmælum. Að því búnu skal taka afstöðu til þess hvort dagsektir verða lagðar á málsaðila og skal ákvörðun þar að lútandi tilkynnt honum.
21. gr.
Endurupptaka máls.
Þegar mál er endurupptekið samkvæmt reglum stjórnsýsluréttar skal það tilkynnt aðilum með skriflegum hætti og þeim gefinn frestur til að tjá sig um efni málsins í samræmi við 12. gr. þessara reglna.
V. KAFLI
Málsmeðferð bráðabirgðaákvarðana.
22. gr.
Skilyrði bráðabirgðaákvarðana.
Persónuvernd getur tekið ákvarðanir til bráðabirgða um einstök mál þegar sennilegt þykir að sú vinnsla sem er til athugunar fari gegn ákvæðum laga nr. 90/2018, reglugerð (ESB) 2016/679 eða lögum nr. 75/2019 og stofnunin telur brýna nauðsyn á að grípa til aðgerða til verndar réttindum og frelsi skráðra einstaklinga.
Persónuvernd getur meðal annars gripið til eftirfarandi ráðstafana til bráðabirgða:
- Takmarkað eða bannað vinnslu tímabundið, skv. 6. tölul. 42. gr. laga nr. 90/2018.
- Gefið fyrirmæli um tímabundna stöðvun gagnaflæðis til viðtakanda í þriðja landi eða til alþjóðastofnunar, skv. 9. tölul. 42. gr. laga nr. 90/2018.
- Falið lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað, skv. 3. mgr. 41. gr. laga nr. 90/2018.
Ákvörðun til bráðabirgða gildir um tiltekinn tíma sem skal að hámarki vera þrír mánuðir en hana má endurnýja ef það er talið nauðsynlegt.
23. gr.
Styttri tímafrestir.
Þegar til álita kemur að taka bráðabirgðaákvörðun, hvort sem er á grundvelli kröfu eða að eigin frumkvæði Persónuverndar, skal þeim aðila sem slík ákvörðun beinist að gert viðvart eins skjótt og auðið er. Persónuvernd skal kynna viðkomandi aðila fyrirliggjandi gögn málsins og efni fyrirhugaðrar ákvörðunar, eftir því sem við á.
Við töku bráðabirgðaákvörðunar eru svarfrestir miðaðir við þann tíma sem þykir vera málsaðilum nauðsynlegur til að tjá sig um skilyrði hennar. Að fresti liðnum skal Persónuvernd taka afstöðu til þess hvort ástæða er til að taka ákvörðun til bráðabirgða.
24. gr.
Rökstuðningur og form bráðabirgðaákvörðunar.
Bráðabirgðaákvarðanir skulu rökstuddar eða málsaðila eftir atvikum leiðbeint um heimild til að óska eftir rökstuðningi.
Við rökstuðning bráðabirgðaákvörðunar skal litið til skilyrða hennar og þeirra hagsmuna sem eru í húfi fyrir alla málsaðila, þ.m.t. mögulegra hagsmuna þriðja aðila, t.d. hinna skráðu, sem ekki eiga beina aðild að málinu. Horft er til efnisþátta málsins einungis að því marki sem nauðsynlegt þykir til að leggja mat á skilyrði bráðabirgðaákvörðunar.
25. gr.
Tilkynning um framhald máls.
Persónuvernd skal tilkynna málsaðilum um framhald máls innan 14 daga frá því að bráðabirgðaákvörðun er tilkynnt. Að öðrum kosti fellur bráðabirgðaákvörðunin úr gildi.
VI. KAFLI
Sérreglur um málsmeðferð kvartana.
26. gr.
Aðild að máli og fyrirsvar í kvörtunarmálum.
Sérhver skráður einstaklingur eða fulltrúi hans á rétt á að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við lög nr. 90/2018 eða reglugerð (ESB) 2016/679. Ekki er hægt að kvarta yfir vinnslu upplýsinga um annan einstakling nema samkvæmt gildu umboði hans.
Stofnun, samtök eða félag, sem ekki eru rekin í hagnaðarskyni, hafa lögboðin markmið í þágu almannahagsmuna og eru virk á sviði verndar réttinda og frelsis skráðra einstaklinga að því er varðar vernd persónuupplýsinga, geta lagt fram kvörtun hjá Persónuvernd hafi þau ástæðu til að ætla að réttindi skráðs einstaklings hafi verið brotin samkvæmt nánari fyrirmælum 2. mgr. 80. gr. reglugerðar (ESB) 2016/679.
27. gr.
Könnun á formskilyrðum kvörtunar.
Könnun á því hvort formskilyrði kvörtunar eru uppfyllt fer fram við upphaf málsmeðferðar hjá Persónuvernd samkvæmt 6. gr. þessara reglna. Jafnframt skal hugað að slíkum skilyrðum eftir því sem tilefni gefst til á meðan á málsmeðferðinni stendur.
Ef mál, sem varðar sama álitaefni og kvörtun, er til meðferðar hjá öðru stjórnvaldi eða dómstóli getur Persónuvernd ákveðið að setja málið í bið þangað til málsmeðferð þar er lokið. Persónuvernd getur einnig ákveðið að vísa málinu frá liggi fyrir niðurstaða um álitaefnið hjá öðru stjórnvaldi eða dómstóli.
28. gr.
Málsmeðferð kvartana.
Persónuvernd ákveður hvort kvörtun sem berst gefur nægar ástæður til rannsóknar og getur úrskurðað um hvort brot hefur átt sér stað. Persónuvernd getur ákveðið að taka kvörtun til rannsóknar einungis að hluta til.
Við ákvörðun um hvort kvörtun gefur nægar ástæður til rannsóknar getur Persónuvernd litið til eftirfarandi atriða:
- Hversu miklar líkur eru taldar á að sú vinnsla persónuupplýsinga, sem kvörtunin lýtur að, samrýmist ekki lögum.
- Hvort úrlausn Persónuverndar er nauðsynleg til þess að hinn skráði geti neytt réttinda sinna samkvæmt persónuverndarlöggjöfinni.
- Hvort kvartandi hefur, áður en kvörtunin var lögð fram hjá Persónuvernd, haft samband við þann ábyrgðaraðila eða vinnsluaðila sem hún beinist að og veitt honum færi á að bregðast við umkvörtunarefninu, þegar við getur átt.
- Hvort Persónuvernd hefur leyst áður úr sama eða sambærilegu álitaefni eða hefur það þegar til rannsóknar, svo sem í frumkvæðisathugun.
- Hvort úrlausn um umkvörtunarefnið getur haft þýðingu fyrir breiðan hóp fólks, samfélagslega þýðingu eða fordæmisgildi.
- Eðlis þeirra upplýsinga sem undir eru hverju sinni.
- Hvort kvörtunin varðar vinnslu persónuupplýsinga um börn eða aðra viðkvæma hópa sem veitt er sérstök vernd í persónuverndarlöggjöfinni.
- Hvort úrlausn kvörtunarinnar er að öðru leyti talin líkleg til þess að gagnast kvartanda að verulegu leyti eða til þess að styðja við aukna persónuvernd í samfélaginu.
- Því svigrúmi sem Persónuvernd hefur til að taka ný mál til rannsóknar með hliðsjón af verkefnastöðu, mönnun og forgangsröðun verkefna hjá stofnuninni hverju sinni.
Ef kvörtun er framsend til annars stjórnvalds er kvartanda tilkynnt um það og ástæður þess.
Þegar kvörtun er ekki tekin til rannsóknar, í heild eða að hluta, er kvartandi upplýstur um það og sú málsmeðferð rökstudd.
Þegar kvörtun er ekki tekin til rannsóknar, í heild eða að hluta, getur Persónuvernd eftir atvikum ákveðið að áframsenda kvörtunina til þess ábyrgðaraðila eða vinnsluaðila sem hún beinist að í því skyni að gefa honum færi á að yfirfara þá vinnslu persónuupplýsinga sem kvörtunin tekur til og meta þörf á breytingum. Persónuvernd getur jafnframt ákveðið að beina leiðbeiningum um gildandi lög og reglur til þess sem kvörtunin beinist að, sem og eftir atvikum tilmælum um úrbætur, með fyrirvara um að kvörtunin eigi við rök að styðjast. Slíkar leiðbeiningar eða tilmæli kunna þá eftir atvikum að koma til skoðunar síðar hefji Persónuvernd rannsókn á sambærilegri vinnslu hjá sama aðila, svo sem á grundvelli nýrrar kvörtunar eða ábendingar.
Ákvörðun um beitingu valdheimilda Persónuverndar í þágu rannsóknar kvartana tekur mið af eðli máls og mati Persónuverndar á þeim hagsmunum sem eru undir hverju sinni.
Persónuvernd skal upplýsa kvartanda um framvindu og niðurstöður rannsóknar í kvörtunarmáli innan hæfilegs tíma, einkum ef nauðsyn er á frekari rannsóknum eða samræmingu við annað eftirlitsyfirvald á Evrópska efnahagssvæðinu.
Persónuvernd skal upplýsa kvartanda um heimild hans til að bera ákvarðanir stofnunarinnar, þ.m.t. ákvarðanir um að taka kvartanir ekki til rannsóknar að hluta til eða öllu leyti, og aðra málsmeðferð stofnunarinnar undir dómstóla með venjubundnum hætti.
29. gr.
Lok máls þegar brot er viðurkennt.
Komi fram við rannsókn kvörtunar viðurkenning á broti af hálfu ábyrgðaraðila og/eða vinnsluaðila vinnslunnar getur Persónuvernd ákveðið að ljúka málinu þar með. Persónuvernd kveður allajafna ekki upp úrskurð um kvörtun ef enginn efnislegur ágreiningur er í máli.
Þrátt fyrir 1. mgr. getur Persónuvernd tekið kvörtun til úrskurðar ef a.m.k. eitt af eftirtöldu á við:
- Um er að ræða ítrekuð brot sama aðila.
- Fleiri en ein kvörtun hafa borist gegn sama aðila.
- Fyrirliggjandi upplýsingar og málsgögn gefa að mati Persónuverndar tilefni til áframhaldandi málsmeðferðar.
- Persónuvernd telur brot þess eðlis að til greina komi að veita áminningu, stöðva vinnslu eða leggja stjórnvaldssekt á aðila, eða mæla fyrir um ráðstafanir til úrbóta, samkvæmt nánari fyrirmælum laga nr. 90/2018 og reglugerðar (ESB) 2016/679.
VII. KAFLI
Sérreglur um málsmeðferð frumkvæðisathugana og úttekta.
30. gr.
Ákvörðun um frumkvæðisathugun eða úttekt á vinnslu persónuupplýsinga.
Persónuvernd getur ákveðið að hefja frumkvæðisathugun, sbr. 3. mgr. 39. gr. laga nr. 90/2018, eða úttekt, sbr. 2. tölul. 1. mgr. 41. gr. laganna, í samræmi við birta áætlun stofnunarinnar þar að lútandi eða ef nauðsynlegt þykir, t.d. í kjölfar ábendingar eða tilkynningar um öryggisbrest.
Við mat á því hvort Persónuvernd hefur frumkvæðisathugun eða úttekt skal meðal annars líta til eins eða fleiri eftirfarandi sjónarmiða:
- Hvort vinnsla persónuupplýsinga varðar persónuvernd breiðs hóps fólks.
- Hversu mikla áhættu vinnsla persónuupplýsinga hefur í för með sér fyrir persónuvernd manna.
- Eðlis þeirra upplýsinga sem undir eru hverju sinni.
- Hversu miklar líkur eru taldar á að vinnsla persónuupplýsinga samrýmist ekki lögum.
- Hvort umfjöllun um vinnsluna getur haft almennt leiðbeiningargildi og komið mörgum að notum.
- Hversu auðvelt eða erfitt er fyrir hina skráðu að láta reyna á rétt sinn varðandi vinnsluna.
- Verkefnastöðu, mönnunar og forgangsröðunar verkefna hjá Persónuvernd hverju sinni.
31. gr.
Tilkynning um fyrirhugaða frumkvæðisathugun eða úttekt og öflun upplýsinga og gagna.
Persónuvernd skal tilkynna ábyrgðaraðila eða, eftir atvikum, vinnsluaðila um fyrirhugaða frumkvæðisathugun eða úttekt. Í tilkynningu Persónuverndar skal koma skýrt fram til hvaða vinnslu persónuupplýsinga athugun eða úttekt nær. Einnig skal tilgreina hvaða gögnum og upplýsingum stofnunin óskar eftir og veita tiltekinn frest til svara.
Í tilkynningu skv. 1. mgr. skal það tilgreint sérstaklega hvort Persónuvernd lítur svo á að þegar sé hafið stjórnsýslumál, sem til greina kemur að taka stjórnvaldsákvörðun í, eða hvort ákvörðun um að hefja stjórnsýslumál verði tekin á grundvelli þeirra gagna og upplýsinga sem óskað er eftir.
32. gr.
Framhald frumkvæðisathugunar eða úttektar að lokinni frumathugun.
Ef Persónuvernd telur, á grundvelli fyrirliggjandi upplýsinga og gagna, að unnt sé að fella frumkvæðisathugun eða úttekt niður án efnislegrar úrlausnar ber að tilkynna það hlutaðeigandi ábyrgðaraðila eða vinnsluaðila.
Telji Persónuvernd að lokinni athugun á fyrirliggjandi upplýsingum og gögnum að tilefni sé til að hefja stjórnsýslumál og það hefur ekki þegar verið tilkynnt skv. 2. mgr. 32. gr. skal stofnunin tilkynna það hlutaðeigandi málsaðila. Persónuvernd skal á sama tíma tilkynna málsaðila ef frumkvæðisathugun eða úttekt stofnunarinnar hefur verið afmörkuð frekar frá því sem tilgreint var í upphafi.
33. gr.
Ráðning sérfræðings til að framkvæma athugun eða úttekt.
Persónuvernd ákveður, með hliðsjón af umfangi og eðli vinnslu persónuupplýsinga, hvort leitað verði eftir aðstoð sérfræðings við framkvæmd frumkvæðisathugunar eða úttektar.
Ef Persónuvernd ákveður að semja við sérfræðing skal tilkynna málsaðila um það og gefa honum kost á að gera athugasemdir við val á sérfræðingi. Persónuvernd skal einnig kynna málsaðila ákvæði 40. gr. laga nr. 90/2018 um heimild til gjaldtöku fyrir þann kostnað sem hlýst af eftirliti, sbr. einnig auglýsingu nr. 1027/2020 um gjaldskrá vegna eftirlits Persónuverndar með vinnslu persónuupplýsinga.
Komi engin andmæli fram við val á sérfræðingi eða verði ekki fallist á þau skal lagt fyrir sérfræðinginn að skila kostnaðaráætlun á grundvelli fyrirliggjandi gagna, í samræmi við auglýsingu nr. 1027/2020. Þegar hún liggur fyrir skal hún kynnt málsaðila og honum veittur kostur á að andmæla henni. Komi engin andmæli fram eða verði ekki fallist á þau er næst gerður skriflegur samningur við sérfræðinginn um þá vinnu sem hann skal inna af hendi. Í samningi skal sérstaklega kveðið á um þagnarskyldu sérfræðingsins.
34. gr.
Skýrsla um niðurstöður rannsóknar.
Ef starfsmenn Persónuverndar fara í vettvangsathugun samkvæmt 13. gr. þessara reglna eða afla gagna um staðreyndir máls sjálfstætt eða frá öðrum en þeim sem sætir frumkvæðisathugun eða úttekt skal semja skýrslu um það sem telst hafa verið upplýst um. Persónuvernd skal senda málsaðila skýrsluna og gefa honum kost á að koma á framfæri athugasemdum sínum við efni hennar.
Hafi verið samið við sérfræðing skal hann skila Persónuvernd skýrslu um rannsókn sína þar sem hann gerir nákvæma grein fyrir niðurstöðum sínum. Persónuvernd skal senda málsaðila skýrslu sérfræðings og gefa honum kost á að koma á framfæri athugasemdum sínum við efni hennar.
35. gr.
Ákvörðun frumkvæðisathugunar eða úttektar.
Ef frumkvæðisathugun eða úttekt hefur ekki verið felld niður samkvæmt 1. mgr. 33. gr. skal máli lokið með ákvörðun. Persónuvernd getur í ákvörðun sinni beint leiðbeiningum eða tilmælum til aðila. Ef Persónuvernd beitir valdheimildum sínum skv. 42. eða 46. gr. laga nr. 90/2018 skal ljúka máli með ákvörðun í samræmi við ákvæði IV. kafla þessara reglna.
Að því leyti sem birting ákvörðunar skv. 1. mgr. getur varðað öryggissjónarmið eða virka fjárhags- eða viðskiptahagsmuni skal Persónuvernd senda hana málsaðila og veita honum minnst 10 daga frest til að gera athugasemdir við birtingu hennar eða tilgreindra atriða í henni þar að lútandi. Á grundvelli þeirra athugasemda tekur Persónuvernd ákvörðun um birtingu ákvörðunar og hvaða atriði, ef einhver, skulu afmáð í opinberri útgáfu hennar. Að öðru leyti fer um birtingu ákvörðunar samkvæmt 19. gr. þessara reglna.
VIII. KAFLI
Afgreiðsla tilkynninga um öryggisbresti.
36. gr.
Mat á öryggisbrestum og málsmeðferð.
Þegar Persónuvernd berst tilkynning um öryggisbrest skal hún yfirfarin eins fljótt og unnt er til að kanna hvort öryggisbresturinn sé þess eðlis að nauðsynlegt sé að bregðast við strax, t.d. ef beina þarf fyrirmælum til ábyrgðaraðila eða, eftir atvikum, vinnsluaðila um að stöðva vinnslu persónuupplýsinga. Komi ekki fram nægjanlegar skýringar í tilkynningu um öryggisbrest til að meta umfang hans og alvarleika getur Persónuvernd óskað eftir frekari skýringum frá ábyrgðaraðila.
Persónuvernd ákveður í hvaða farveg mál vegna tilkynningar um öryggisbrest skal fara. Við mat þar að lútandi skal meðal annars litið til eftirfarandi þátta:
- Hvort öryggisbrestur er tilkynningarskyldur.
- Hversu alvarlegur öryggisbrestur er.
- Hvort öryggisbrestur gefur tilefni til sérstakra aðgerða af hálfu Persónuverndar.
Við mat á alvarleika öryggisbrests skal meðal annars litið til fjölda hinna skráðu og þess tjóns sem þeir hafa orðið fyrir eða sem líkur eru á að þeir verði fyrir. Við mat á tjóni ber meðal annars að líta til eðlis upplýsinga, hvort þær hafi orðið aðgengilegar óviðkomandi eða glatast þannig að hagsmunir hins skráða hafi verulega skerst. Þá ber að líta til fjölda tilkynninga sem borist hafa frá sama aðila.
Ef öryggisbrestur nær yfir landamæri innan EES fer um málsmeðferð eftir VII. kafla reglugerðar (ESB) 2016/679.
37. gr.
Lok máls.
Þegar Persónuvernd berst tilkynning frá ábyrgðaraðila um atvik sem felur ekki í sér öryggisbrest samkvæmt 2. mgr. 27. gr. laga nr. 90/2018 skal hann upplýstur um það.
Berist fjöldi tilhæfulausra tilkynninga um öryggisbresti frá tilteknum ábyrgðaraðila skal honum leiðbeint um hvenær ber að tilkynna um þá.
Berist Persónuvernd tilkynning um öryggisbrest og stofnunin telur ekki tilefni til aðgerða að svo stöddu miðað við þær upplýsingar sem veittar eru í tilkynningunni skal ábyrgðaraðili upplýstur um það. Persónuvernd skal einnig upplýsa ábyrgðaraðila um að ef nýjar upplýsingar um öryggisbrestinn koma í ljós, kvörtun berst frá einstaklingi vegna hans eða nýjar tilkynningar um öryggisbrest berast frá ábyrgðaraðila kunni málið að verða tekið upp að nýju, í heild eða að hluta.
Ef öryggisbrestur er talinn alvarlegur skal Persónuvernd, eins fljótt og unnt er, gera ráðstafanir, til dæmis með fyrirmælum til ábyrgðaraðila, til að stuðla að því að girt sé fyrir alvarlegar afleiðingar hans. Persónuvernd getur við þessar aðstæður hafið frumkvæðisathugun eða úttektarmál.
Um beitingu valdheimilda vegna tilkynninga um öryggisbresti fer samkvæmt nánari fyrirmælum laga nr. 90/2018, laga nr. 75/2019 og reglugerðar (ESB) 2016/679.
IX. KAFLI
Beiðni um fyrirframsamráð.
38. gr.
Könnun á formskilyrðum.
Með beiðni ábyrgðaraðila að vinnslu persónuupplýsinga um fyrirframsamráð samkvæmt 30. gr. laga nr. 90/2018, sbr. 36. gr. reglugerðar (ESB) 2016/679 og 27. gr. laga nr. 75/2019, skulu að lágmarki fylgja upplýsingar um:
- eftir atvikum, ábyrgðarsvið ábyrgðaraðila, sameiginlegra ábyrgðaraðila og vinnsluaðila sem koma að vinnslunni, hvers um sig, einkum þegar um er að ræða vinnslu innan fyrirtækjasamstæðu,
- tilgang fyrirhugaðrar vinnslu og aðferðir við hana,
- ráðstafanir og verndarráðstafanir sem gerðar eru til að vernda réttindi og frelsi skráðra einstaklinga samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679,
- ef við á, samskiptaupplýsingar persónuverndarfulltrúa,
- mat á áhrifum á persónuvernd sem kveðið er á um í 35. gr. reglugerðarinnar og 26. gr. laga nr. 75/2019.
Að öðru leyti fer um málsmeðferð og fresti samkvæmt nánari fyrirmælum í lögum nr. 90/2018, lögum nr. 75/2019 og reglugerð (ESB) 2016/679.
X. KAFLI
Beiting valdheimilda Persónuverndar.
39. gr.
Valdheimildir Persónuverndar.
Við rannsókn mála og töku stjórnvaldsákvarðana er Persónuvernd heimilt að beita þeim valdheimildum sem hún telur nauðsynlegar hverju sinni samkvæmt 41., 42., 45. og 46. gr. laga nr. 90/2018, sbr. 58. gr. reglugerðar (ESB) 2016/679, og 31. gr. laga nr. 75/2019. Beiting valdheimilda skal vera viðeigandi, nauðsynleg og hófleg með hliðsjón af aðstæðum hverju sinni.
40. gr.
Viðvörun.
Persónuvernd getur veitt ábyrgðaraðilum og vinnsluaðilum viðvörun um að líklegt þyki að fyrirhugaðar vinnsluaðgerðir brjóti í bága við ákvæði reglugerðar (ESB) 2016/679, sbr. 1. tölul. 42. gr. laga nr. 90/2018.
Viðvörun skal einkum beitt þegar ætla má að fyrirhuguð vinnsla persónuupplýsinga, sem Persónuvernd fær vitneskju um, brjóti í bága við ákvæði reglugerðarinnar, svo sem vegna þess að Persónuvernd hefur áður komist að niðurstöðu um að sambærileg vinnsluaðgerð brjóti gegn lögum.
41. gr.
Áminning.
Persónuvernd getur veitt ábyrgðaraðilum og vinnsluaðilum áminningu ef vinnsluaðgerðir hafa brotið í bága við reglugerðina, sbr. 2. tölul. 42. gr. laga nr. 90/2018.
Veita má áminningu í stað stjórnvaldssektar þegar brot er minniháttar eða ef sektin, sem líklegt er að lögð verði á, yrði óhófleg byrði fyrir einstakling. Einnig má veita áminningu í stað stjórnvaldssektar þegar ábyrgðaraðili eða vinnsluaðili hefur þegar sætt refsikenndum viðurlögum af hálfu annars stjórnvalds eða dómstóls fyrir sama brot.
42. gr.
Takmörkun eða bann við vinnslu.
Persónuvernd getur takmarkað eða bannað vinnslu tímabundið eða til frambúðar, sbr. 6. tölul. 42. gr. laga nr. 90/2018.
Um málsmeðferð í tengslum við ákvörðun um takmörkun eða bann við vinnslu tímabundið undir rekstri máls fer samkvæmt IV. kafla þessara reglna.
Persónuvernd getur mælt fyrir um takmörkun eða bann við vinnslu til frambúðar í þeim tilvikum þar sem fyrir liggur að vinnsla brýtur í bága við lögin og/eða reglugerðina.
43. gr.
Dagsektir.
Ef ekki er farið að fyrirmælum Persónuverndar samkvæmt 6., 7. og 9. tölul. 42. gr. laga nr. 90/2018 getur hún, áður en hún ákveður stjórnvaldssekt samkvæmt 46. gr. laganna, lagt dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati hennar, sbr. 45. gr. laganna.
Áður en ákvörðun er tekin um álagningu dagsekta skal þeim sem hún beinist að veitt tækifæri á að koma á framfæri andmælum sínum í samræmi við 12. gr. þessara reglna.
44. gr.
Undirbúningur ákvörðunar um stjórnvaldssekt eða stöðvun vinnslu til frambúðar.
Telji Persónuvernd að ákvörðun um stjórnvaldssekt samkvæmt 46. gr. laga nr. 90/2018 kunni að verða tekin í máli skal hún taka saman andmælaréttarskjal, þar sem ábyrgðaraðila og/eða vinnsluaðila er gefinn kostur á að koma á framfæri athugasemdum í aðdraganda ákvörðunar.
Andmælaréttarskjalið er ritað í því skyni að stuðla að því að málið sé að fullu upplýst áður en ákvörðun er tekin og til þess að auðvelda aðila máls að nýta sér andmælarétt sinn. Andmælaréttarskjal er liður í meðferð máls og felur ekki í sér bindandi stjórnvaldsákvörðun.
Í andmælaréttarskjalinu skal helstu atvikum málsins lýst og greint í aðalatriðum frá því á hvaða grundvelli Persónuvernd telur að vinnsla persónuupplýsinga kunni að fara gegn ákvæðum laga nr. 90/2018 eða reglugerðar (ESB) 2016/679. Ekki er nauðsynlegt að í andmælaréttarskjali Persónuverndar komi fram tæmandi lýsing á atvikum málsins eða sjónarmiðum stofnunarinnar.
Með andmælaréttarskjalinu skal afhenda lista yfir öll viðeigandi gögn máls, sem þýðingu geta haft við úrlausn þess. Þá skulu ábyrgðaraðila og/eða vinnsluaðila veittar upplýsingar um áætlaða fjárhæð fyrirhugaðrar stjórnvaldssektar, eða áætlað hámark og eftir atvikum lágmark hennar, með fyrirvara um svör aðila.
Andmælaréttarskjalið skal sent þeim sem ákvörðun um stjórnvaldssekt beinist að. Viðkomandi skal veittur hæfilegur frestur til að gera skriflegar athugasemdir og koma að frekari skýringum og gögnum. Frestur samkvæmt framangreindu skal ekki vera skemmri en þrjár vikur og ekki lengri en tveir mánuðir nema sérstakar aðstæður réttlæti annað.
Persónuvernd ákveður hvort stjórnvaldssekt verður lögð á ábyrgðaraðila og/eða vinnsluaðila óháð kröfum málsaðila.
Ákvörðun um álagningu stjórnvaldssektar skal tekin í úrskurði eða annarri endanlegri úrlausn máls og skal hún rökstudd.
Persónuvernd skal jafnframt fylgja ákvæðum 1.-7. mgr. þessarar greinar þegar vinnsla persónuupplýsinga kann að verða takmörkuð eða bönnuð til frambúðar á grundvelli 6. tölul. 42. gr. laga nr. 90/2018 ef ljóst þykir að stöðvunin yrði málsaðila sérstaklega íþyngjandi, einkum þegar vinnslan snertir meginstarfsemi málsaðilans eða tekjuöflun hans að verulegu leyti.
XI. KAFLI
Ýmis ákvæði.
45. gr.
Aðrar málsmeðferðarreglur.
Um meðferð annarra mála hjá Persónuvernd en þeirra sem reglur þessar taka til fer samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679, lögum nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi eða öðrum lögum eftir því sem við á.
46. gr.
Gildistaka.
Reglur þessar eru settar með stoð í 3. mgr. 38. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og öðlast þegar gildi. Á sama tíma falla brott reglur nr. 1246/2021 um málsmeðferð Persónuverndar.
Þannig samþykkt á fundi stjórnar Persónuverndar, 17. október 2023.
Ólafur Garðarsson formaður. |
Árnína Steinunn Kristjánsdóttir. |
Björn Geirsson. |
Vilhelmína Haraldsdóttir. |
Þorvarður Kári Ólafsson. |
|