Gransking grundað á skráir
Gransking við útgangsstøði í skráum er ein serligur háttur at gera kanningar. Slík gransking kann vera við til at vísa á samanhangir millum t.d. nýtslu av heilivági og aldur, sjúku og tilknýti til arbeiðsmarknaðin o.s.fr. Endamálið við gransking í skráum er at síggja almennar tendensir og ikki at leggja fast viðurskifti fyri hvønn einstakan persón.
Hvussu fæst atgongd til upplýsingar í einari skrá?
§ 18 í dátuverndarlógini er ætlað sum viðgerðarheimild, tá viðgerð av viðkvomum persónupplýsingum í skráum skal fara fram til søgulig, hagfrøðilig og vísindalig endamál, eisini kallað (á donskum) registerforskning.
Tá støða skal takast til, um gransking við støði í upplýsingum í skráum kann fara fram, skal dátuábyrgdarin gera eina ítøkiliga meting, har samfelagsligi týdningurin av viðgerðini verður vigaður upp ímóti báganum fyri tann einstaka.
Ítøkiliga metingin, sum dátuábyrgdarin skal gera í hvørjum einstøkum føri, vil í útgangsstøðinum hava við sær, at t.d. landsumfatandi vísindaligar kanningar, sum alment viðurkendir stovnar ella granskarar ynskja at seta í verk, og har nøktandi trygdartiltøk verða framd, t.d. við at dulnevna ella brongla persónupplýsingarnar, kunnu fara fram.
At samfelagsligi týdningurin skal vera munandi hevur hinvegin við sær, at ikki ein og hvør kann fáa atgongd til upplýsingarnar til eitt og hvørt endamál. Tað krevst, at ætlanin hevur eitt ávíst vísindaligt støðið, og at endamálini, sum verða fylgd, koma samfelagnum til góðar so ella so.
Tað er dátuábyrgdarin, sum ger av, um atgongd verður givin til upplýsingarnar í eini skrá. Dátuábyrgdarin hevur ikki skyldu at geva atgongd og skal tí nokta, um metingin er, at bágin fyri tann einstaka er størri enn samfelagsligi týdningurin.
Persónupplýsingarnar, sum verða viðgjørdar til vísindalig endamál, sbrt. § 18, kunnu ikki viðgerast seinni til onnur endamál og kunnu í útgangsstøðinum ikki gevast víðari.
Hvør hevur ábyrgdina av viðgerðini?
Dátuábyrgdarin er tann, sum ásetur hví og hvussu persónupplýsingarnar skulu viðgerast. Tann, sum “eigur” skránna, er dátuábyrgdari.
Um kanningar skulu gerast grundað á upplýsingar í skráum, kunnu hugsast tvær ymsar støður.
Fyri tað fyrsta, at tann, sum “eigur” skránna, skal gera kanningina og fyri tað næsta, at tað er ein eksternur partur – t.d. ein granskari – sum skal gera kanningina.
Tann, sum eigur skránna, kann gera kanningar eftir somu treytum, sum onnur.
Um ein eksternur partur – ein granskari – vil hava atgongd til upplýsingar í eini skrá, kann eigarin av skránni (sum er dátuábyrgdari) víðarigeva upplýsingarnar, um treytirnar, m.a. um munandi samfelagsligan týdning, eru uppfyltar.
Um upplýsingarnar ikki verða anonymiseraðar, áðrenn tær verða víðarigivnar, verður móttakarin (t.e. granskarin) sjálvstøðugur dátuábyrgdari fyri tær upplýsingar, sum viðkomandi móttekur. Hetta hevur við sær, at viðkomandi skal fylgja reglunum í dátuverndarlógini og m.a. tryggja, at upplýsingar verða viðgjørdar á ein tryggan hátt.
Um dátuábyrgdari fær onkran at viðgera persónupplýsingar fyri seg, verður viðkomandi dátuviðgeri. Tit skulu tá hava eina dátuviðgeraravtalu. Legg merki til, at starvsfólk ikki eru dátuviðgerar hjá tær. Tíni starvsfólk eru dátuábyrgdarar eins og arbeiðsgevarin.
Ein góðkend standard dátuviðgeraravtala er at finna undir "Standardavtalur" her.
Greiðar mannagongdir fyri viðgerð
Tá persónupplýsingar verða viðgjørdar er tað umráðandi, at greiðar mannagongdir eru fyri handfaringini av upplýsingunum.
Um persónupplýsingar skulu viðgerast í sambandi við eina kanning, eigur dátuábyrgdarin í øllum førum at hava mannagongdir, sum lýsa hesi viðurskifti:
- Hvussu verða upplýsingar savnaðar?
- Hvør hevur atgongd til upplýsingarnar?
- Hvussu verða upplýsingarnar goymdar?
- Hvussu verða rættindi hjá skrásetta handfarin?
- Hvussu/nær skulu upplýsingar strikast (møgulig anonymisering)
- Nær byrjar viðgerðin og nær endar hon?
Tá mannagongdirnar verða gjørdar, skal dátuábyrgdarin serliga geva tær fær um meginreglurnar fyri viðgerð av persónupplýsingum. Meginreglurnar hava m.a. við sær, at:
- Dátuábyrgdarin eigur ikki at savna fleiri upplýsingar, enn hann hevur brúk fyri
- Dátuábyrgdarin eigur ikki at goyma upplýsingar longur enn neyðugt
- Persónupplýsingar skulu viðgerast á ein tryggan hátt og skulu ikki verða atkomuligar fyri fleiri enn neyðugt
Váðameting
Tá persónupplýsingar verða viðgjørdar, hevur dátuábyrgdarin skyldu til at seta trygdartiltøk í verk, sum leggja upp fyri váðan, sum er við viðgerðini.
Dátuverndarlógin tekur støði í eini váðagrundaðari tilgongd, sum merkir, at jú størri váðin er við viðgerðini, tess betri skal trygdin verða. Hetta merkir í útgangsstøðinum, at trygdin skal vera hægri, um viðkvæmar persónupplýsingar verða viðgjørdar, í mun til um vanligar persónupplýsingar verða viðgjørdar.
Av tí, at váðin við viðgerðini er avgerandi fyri, hvørji trygdartiltøk skulu setast í verk, skal dátuábyrgdarin gera eina váðameting fyri viðgerðina. Tað eru eingi formkrøv til slíka váðameting, men dátuábyrgdarin eigur at skjalprógva váðametingina.
Í vegleiðingini hjá Dátueftirlitinum um viðgerð av persónupplýsingum til granskingarendamál er dømi um váðameting. Vegleiðingin er at finna her.
Tað ber eisini til at lesa meira um váðameting her.
Eru nøktandi trygdartiltøk sett í verk?
Tað er umráðandi, at váðin fyri tann skrásetta er so lítil sum gjørligt, og at nøktandi trygdartiltøk verða sett í verk. Tá váðametingin er gjørd, ber til at meta um, hvørji trygdartiltøk eru neyðug.
Hesi trygdartiltøk kunnu t.d. vera:
- Brongling ella dulnevning
- Avmarking av atkomu
- Logging
- At steingja upplýsingar inni
- Anonymisering skjótast gjørligt
- At nýta eina teldu serliga til endamálið (og einki annað)
Tað ber til at lesa nærri um trygd í sambandi við viðgerð av persónupplýsingum her.
Er tað nakar, sum viðger persónupplýsingar fyri teg?
Um dátuábyrgdarin fær ein annan at viðgera upplýsingarnar fyri seg – t.d. tí, at ávísar kanningar ella greiningar skulu gerast á ein ávísan hátt, sum krevur serkunnleika – er neyðugt, at gera eina dátuviðgeraravtalu.
Dátuviðgeraravtalur skulu ikki gerast við t.d. starvsfólk ella onnur, sum eru undir tíni fyriskipan. Tá er t.d. ein starvsavtala nóg mikið. Í serligum førum kann tørvur vera á eini trúnaðarváttan.
Góðkend standard dátuviðgeraravtala er at finna undir "Standardavtalur" her.
Skulu persónupplýsingar flytast til útlond?
Tá viðgerð av persónupplýsingum fer fram, eigur dátuábyrgdarin altíð at vita, hvar upplýsingarnar eru. Eisini skal dátuábyrgdarin vera serliga varin, um persónupplýsingar verða fluttar úr Føroyum. Skulu persónupplýsingarnar flytast úr Føroyum – antin at goyma ella at viðgera á annan hátt – skal dátuábyrgdarin serliga gáa eftir, hvat land persónupplýsingarnar verða fluttar til.
Dátuverndarlógin skilir fyri tað fyrsta ímillum útlond og triðjalond. Útlond eru øll ES og EBS lond. Útlond eru at rokna sum trygg. Hetta merkir, at dátuábyrgdarin uttan serligt loyvi ella góðkenning, kann flyta persónupplýsingar til hesi lond. Dátuábyrgdarin eigur tó at vita, um persónupplýsingar verða fluttar til hesi lond, m.a. tí, at tað er eitt krav, at luttakararnir verða kunnaðir um hetta. At flyta upplýsingar úr Føroyum kann eisini hava við sær, at dátuábyrgdarin skal seta ávís eyka trygdartiltøk í verk.
Tá tað kemur til triðjalond (t.e. lond uttanfyri ES/EBS) verður skilt ímillum trygg triðjalond og ótrygg triðjalond. Trygg triðjalond eru nevnd í kunngerð nr. 175 frá 16. desember 2020. Um eitt triðjaland er mett at hava nøktandi verndarstøði, er tað sama galdandi fyri triðjalandið, sum fyri ES og EBS lond, sum greitt frá omanfyri.
Er triðjalandið ótrygt, skal dátuábyrgdarin hava eina serliga heimild fyri at flyta upplýsingarnar úr Føroyum. Hendan heimild skal finnast í einari av ásetingunum í §§ 61-64 í dátuverndarlógini. Dátuábyrgdarin skal vera serliga varin, tá persónupplýsingar verða fluttar til hesi lond, tí at orsøkin til, at tey ikki eru góðkend er, at verndarstøðið ikki er nóg høgt.
Ein heimild fyri flutningi av persónupplýsingum til ótrygg triðjalond er nágreiniligt samtykki frá skrásetta. Legg merki til, at skrásetti ítøkiliga skal kunnast um møguliga váðan, sum flutningurin kann hava við sær fyri skrásetta, av tí at triðjalandið ikki er trygt.
Tað ber til at lesa meria um flutning av persónupplýsingum úr Føroyum her.