Hvenær eiga persónuverndarlögin við og hvenær ekki?

Persónuverndarlögin gilda almennt ef eftirfarandi skilyrði eru uppfyllt

Þegar unnið er með upplýsingar um einstaklinga
Persónuverndarlögin gildir þegar unnið er með upplýsingar um einstaklinga. Ekki skiptir máli hvort sá sem vinnur með upplýsingarnarnar er stjórnvald, einkaaðili eða einstaklingur (nema þegar einstaklingar vinna með upplýsingar til einkanota, sbr. umfjöllun að neðan). Hugtakið „einstaklingur“ getur einnig tekið til einyrkja þegar ekki er hægt að greina á milli upplýsinga um eiganda fyrirtækisins sem 0einstakling og upplýsinga um fyrirtækið.

Þegar upplýsingarnar eru unnar sjálfkrafa eða skráðar í skrá
Þegar persónuupplýsingar eru varðveittar á þann hátt að auðvelt og fljótlegt er að fletta þeim upp og leita að þeim, falla þær að jafnaði undir persónuverndarlögin. Þetta þýðir að lögin taka til þess þegar persónuupplýsingar eru unnar að hluta eða öllu leyti sjálfkrafa eða þegar þær eru færðar í skrá.

Í langflestum tilfellum fellur sú vinnsla persónuupplýsinga sem fram fer hér á landi undir íslensk persónuverndarlög. Meginreglan er sú að fyrirtækið sem vinnur með persónuupplýsingarnar, ábyrgðaraðilinn, sé með staðfestu á Íslandi og vinnsla persónuupplýsinga fari fram innan yfirráðasvæðis ESB.

Það á einnig við ef erlendir aðilar vinna með upplýsingar um einstaklinga sem staðsettir eru á Íslandi, ef vinnslan tengist afhendingu vöru eða þjónustu til einstaklinga sem staðsettir eru á Íslandi eða ef fylgst er með hegðun einstaklinga á Íslandi. Hins vegar geta komið upp aðstæður þar sem ábyrgðaraðili hefur staðfestu í öðru ESB landi. Í því tilviki gilda lög þess lands. Sem dæmi má nefna að starfsemi Facebook fellur undir írsk lög vegna þess að Facebook er skráð með staðfestu á Írlandi.

Persónuverndarlög gilda eingöngu um upplýsingar um einstaklinga.
Þau gilda því ekki þegar:

• unnið er með upplýsingar um lögaðila, s.s. fyrirtæki eða stjórnvöld
• unnið er með upplýsingar sem ekki er hægt að rekja til einstaklinga, s.s. tölfræðiupplýsingar
• unnið er með aðrar tegundir fyrirtækja en einyrkja
• unnið er með upplýsingar um yfirvöld
• ríkið vinnur með persónuupplýsinga í þágu öryggis- og varnamála
• unnið er með persónuupplýsinga í löggæslutilgangi
• einstaklingar vinna upplýsingar til einkanota

Í mörgum tilfellum er vinnsla einstaklinga á persónuupplýsingum algjörlega undanþegin lögunum ef hún tengist ekki t.d. verslunar- eða atvinnustarfsemi. Lögin taka til dæmis ekki til vinnslu persónuupplýsinga sem einstaklingur framkvæmir til einkanota. Má þar nefna bréfaskipti og vörslu skráar eins og jólakortalista með nöfnum og heimilisfangi viðtakenda, og að vissu marki starfsemi á samfélagsmiðlum og á netinu almennt.

Ísland, ESB og umheimurinn

Netið og stafvæðing (e. digitalisation) vöru og þjónustu hefur breytt hagkerfi heimsins. Miðlun upplýsinga yfir landamæri, þar á meðal persónuupplýsinga, er hluti af daglegum rekstri margra fyrirtækja, óháð stærð og geira. Það er því gríðarlega mikilvægt að huga vel að vernd persónuupplýsinga og friðhelgi einkalífs, óháð því hvar unnið er með gögnin eða til hvaða lands þau eru flutt.

Persónuverndarlögin gilda í innan Evrópska efnahagssvæðisins (EES) þ. á m. á Íslandi. Hún á fyrst og fremst við um vinnslu persónuupplýsinga sem fer fram í starfsemi sem unnin er fyrir ábyrgðaraðila eða vinnsluaðila með staðfestu innan EES. Gildir þá einu hvort meðferðin sjálf fer fram innan EES eða ekki.

Lögin gilda einnig um vinnslu persónuupplýsinga um skráða einstaklinga sem eru innan EES þó svo að ábyrgðar- eða vinnsluaðilinn sé sjálfur staðsettur utan ESB. 

Þetta á þó aðeins við ef vinnslan tengist:

• afhendingu vöru eða þjónustu til umræddra skráðra aðila innan EES, hvort sem það er gegn greiðslu eða ekki
• eftirliti með hegðun umræddra skráðra einstaklinga ef háttsemi þeirra á sér stað innan EES

Til viðbótar við persónuverlögin er auðvitað mikilvægt að vera meðvitaður um íslensku persónuverndarreglugerðina sem eru viðbót við lögin.

Flutningur til þriðju landa
Við flutning persónuupplýsinga til þriðju landa eða alþjóðastofnana gilda ýmsar sérreglur.
Reglunum er ætlað að tryggja að upplýsingum einstaklinga, s.s. viðskiptavina o.fl. sem skráðir eru í einhverju aðildarríkja EES sé tryggð vernd samkvæmt reglum persónuverndarlaga.
Hér má lesa meira um flutning persónuupplýsinga til þriðju landa.