Postskipan
Læringsumhvørvi
Tímaglasið
Intranet (starvsfólk)
Teams

{{result.post_title}}

{{handleContent(result.content)}}

{{result.title}}

{{postTypeMapping[result.post_type]}}
Onki úrslit
Aftur til miðnámsrit

Personupplýsingar og dátuvernd - ein innleiðsla í dátuverndarrættin

Eftir John Nolsøe Olsen í miðnámsrit 20, oktober 2020

Dátuvernd í samfelagnum

Øll hava eina fatan av, at summar upplýsingar eru privatar, meðan aðrar kunnu nógv ella øll fáa atgongd til. Her verður skilt í millum alment og privat. Tað kann vera trupult at gera av, hvussu hesi bæði skulu skiljast at, tí vit hava ymiska fatan, og mørkini flyta seg við samfelagsligu og tøkni­ligu menningini. Modernaða kunningartøknin hevur skert ta privatu sferuna, har møguleiki er fyri at hava eftirlit og halda eyga við borgaranum. Privat­lívið er hótt á sama hátt sum umhvørvið.[i] Charles Jennings lýsir hetta væl:

Privacy is a lot like clean air. There was plenty of both once, but technology has made each considerably less plentiful.[ii]

Dátuverndarrætturin ella persónupplýsingarrætturin inni­heldur rættarligar reglur um persónupplýsing við atliti at privatlívi. Í Føroyum hevur persónupplýsingar­lógin[iii] regulerað hetta økið síðani 1. januar 2002.

Tað eru ymiskar hugsanir um, hvat dátuvernd er. Sambært ognar­hugtakinum “eigur” ein­staklingurin upp­lýsingar um seg sjálvan. Hetta sjónarmið hevur tó ikki vunnið serligan frama í Evropa, har siðvenjan hevur lagt dent á ræðisrættin á persón­upp­lýsingum. Í GDPR (General Data Protection Regulation)[iv], præambel nr. 2, stendur:

Principperne og reglerne for beskyttelse af fysiske personer i forbindelse med be­handling af deres personoplysninger bør, uanset deres nationalitet eller bopæl, respektere deres grundlæggende rettigheder og frihedsrettigheder, navnlig deres ret til beskyttelse af personoplysninger.

Dátuvernd snýr seg um menniskju og upplýsingar um tey. Í Føroyum er sama siðvenja, sum sæst í verandi persón­upp­lýsingarlóg, sum sigur, at lógin hevur til endamáls, at

tryggja persónsvernd hins einstaka, tá persónupplýsingar verða viðgjørdar, so­leiðis at persónupplýsingar verða viðgjørdar við virðing fyri tí persónliga frælsi­num og heimafriðinum og grundað á persónupplýsingar við høgari góðsku.[v]

Dátuverndarrætturin hevur til endamáls at verja upplýsingar um ein og hvønn likamligan persón. Einstaklingurin – persónurin – er í miðdeplinum.[vi] Hesin likamligi persónurin verður nevndur “tann skrá­setti”. Endamálið við dátuverndini er at forða fyri, at persón­upplýsingar verða misnýttar. Tann skrásetti kann vera ein næmingur, sum skúlin viðger upplýsingar um, ella ein um­søkjari til starv, sum ein stjóri viðger umsóknina hjá.

Dátuvernd hongur saman við rættinum til privatlív, sum vit kenna frá § 72 í grundlógini, sum ásetir, at bústaðurin er friðhalgaður, og at húsarannsókn (t.e. at leggja hald á ognir, kanna brøv og onnur pappír, bróta post-, telegraf- og telefonloyndarmál) bert kann fara fram sam­bært dómi. Rætturin til privatlív víkir bert fyri dómi ella serstøkum lógligum undantaki.

The European Convention on Human Rights, Article 8, sum eitur “Right to respect for private and family life, home and correspondence”, sum hevur privatlív í fokus, nevnir nágreiniliga “data protection”. Ofta verður tosað um data protection og right to privacy sum tað sama, tí í okkara modernaða samfelagi hanga hesi hugtøk nú óloysiliga saman.

Tann 4. juni 2020 samtykti løgtingið uppskot um lóg um vernd av persón­upp­lýsingum, nevnd “dátuverndarlógin”, sum kemur í gildi 1. januar 2021 í staðin fyri ­verandi persón­upplýsingar­lóg. Dátuverndarlógin er eitt tillagað avrit av GDPR (General Data Protection Regulation), sum er ein evropeisk fyri­skipan (forordning), sum kom í gildi í ES, 25. mai 2018. Dátuverndarlógin skal regulera hetta økið í Føroyum.[vii]

Henda grein er ætlað sum innleiðsla til dátuverndarrættin og komandi dátuverndar­lóg, men er avmarkað til ávís grundhugtøk og dømi, sum eru ætlað at geva lesaranum eina praktiska fatan av grundhugtøkunum innan dátuverndar­rættin.

Dátuábyrgdari og dátuviðgeri

Ein dátuábyrgdari kann vera ein likamligur ella løgfrøðiligur persónur (t.d. parta­felag), ein almennur myndugleiki, ein stovnur ella ein onnur eind, sum eina ella saman við øðrum ger av, til hvørji endamál og við hvørjum hjálpitólum persónupplýsingar kunnu viðgerast. Dátuábyrgdarin er tann, sum hevur ábyrgdina av viðgerðini, sum ræður yvir persón­upp­lýsingunum, og sum ger av, hvussu hesar skulu viðgerast. Dátuábyrgdarin hevur eisini ábyrgdina av at viðgera persónupplýsingar á rættan og tryggan hátt.

Ein dátuviðgeri er ein likamligur ella løgfrøðiligur persónur, ein almennur myndugleiki, ein stovnur ella ein onnur eind, sum viðger persónupplýsingar vegna dátuábyrgdaran. Ein dátuviðgeri viðger ikki persónupplýsingarnar egna vegna og til egið endamál, men fyri dátuábyrgdaran, sum eisini hevur ábyrgdina mótvegis tí skrásetta. Tað kann vera ein, sum veitir servarar til ein skúla, og sum vegna skúlan goymir persónupplýsingar. Veitarin hevur ikki eitt sjálvstøðugt endamál at goyma upp­lýsing­ar­nar, men ger tað vegna skúlan.

Hvat eru persónupplýsingar?

Ein og hvør upplýsing og meting, sum kann verða knýtt at einum ávísum likam­ligum per­sóni, er persónupplýsing, eisini um hetta er treytað av kunnleika um p-tal, nummar­plátu, teldupost ella tílíkt. Upplýsingar í eini mynd ella einum fingra­merki eru eisini persón­upp­lýsingar.

Hóast ein upplýsing er bronglað (krypterað), er hon fram­vegis ein persónupplýsing, um kodan (krypteraða endaúrslitið) kann føra aftur til upp­runaligu persónupplýsinging­arnar. Upplýsingar, sum eru bronglaðar, eru persón­upp­lýsingar, um onkur hevur lykilin til at týða bronglingina og soleiðis eyð­merkja persónar, sum annars vóru fjaldir av bronglingini.

Um ein persónupplýsing er pseudonymiserað, er hon framvegis ein persón­upp­lýsing eftir lógini, tí har finst ein lykil, sum kann týða bronglaðu koduna. Um ein persón­upp­lýsing er anonymiserað, finst eingin koda at týða koduna, og tá dettur persónupp­lýsingin út um lógina. Tó er pseudonymisering vanliga eitt gagn­ligt amboð fyri at tryggja trygd og trúnað.

Dátuverndarlógin skilir í millum viðkvæmar og vanligar persónupplýsingar. Vanligar persónupplýsingar eru:

  • Navn
  • Bústaður
  • Telefonnummar
  • Teldupostur
  • P-tal (kann bert vera uppi í viðgerð, um serligar treytir eru loknar)
  • Ein mynd (um persónur kennist aftur í myndini)
  • Ljóðupptøka (hóast eingi nøvn eru nevnd í upptøkuni)
  • Biometri (so sum: fingramerki, lithinnumynstur og andlitsafturkenning)
  • Dynamiskar IP-adressur[viii]
  • Nummarpláta á bili
  • Upplýsingar um atferðarmynstur (hvat og hvar tú keypir, hvørjum sjónvarpsrøðum tú hyggur at, hvar tú fysiskt ferðast, og hvørjum tú leitar eftir á netinum)
  • Samansettar upplýsingar, sum til samans eyðmerkja ein ávísan persón

Viðkvæmar upplýsingar eru:

  • Húðarlitur
  • Ættarslag ella etniskur uppruni
  • Politisk sannføring
  • Átrúnaðarlig sannføring
  • Heimspekilig sannføring
  • Yrkisfelagsligt tilknýti
  • Ílegudátur
  • Biometriskar dátur við tí endamáli eintýtt at eyðmerkja ein persón
  • Heilsuupplýsingar
  • Upplýsingar um kynslig viðurskifti
  • Revsiverd viðurskifti
  • Upplýsingar um munandi sosialar trupulleikar
  • Onnur heilt privat viðurskifti

Bæði tá ið vanligar persónupplýsingar og viðkvæmar persónupplýsingar verða viðgjørdar, skulu meginreglur og viðgerðarreglur í lógini um heimild, trygd og trúnað fylgjast. Tó eru viðgerðarreglurnar viðvíkjandi viðkvæmum persónupplýsingum strangari.

Hvat fevnir “viðgerð” av persónupplýsingum um?

Viðgerð skal skiljast breitt. Øll nýtsla, so sum at savna, skráseta, samkoyra, goyma, geva  víðari, avhenda ella sameina hetta, um hon er auto­matisk ella ei, er viðgerð. Automatisk viðgerð er at skilja sum elektronisk viðgerð. Hetta fevnir um eina og hvørja viðgerð av persónupplýsingum, t.e. ein og hvønn aktivitet, við ella uttan automatiska viðgerð, har persónupplýsingar verða savnaðar, skrásettar, skipaðar, samskipaðar, goymdar, tillagaðar, broyttar, endurfunnar, gjøgnumleitaðar, nýttar, latnar víðari, útbreiddar ella á annan hátt gjørdar tøkar, samanbornar ella saman­koyrdar, av­markaðar, strikaðar ella fyribeindar.[ix]

Nær kunnu persónupplýsingar viðgerast?

Dátuverndarlógin ásetir seks meginreglur, sum altíð skulu fylgjast, tá ið viðgerð fer fram:

  1. Lógligheit, rímiligheit og gjøgnumskygni
  2. Endamálsavmarking
  3. Dátuavmarking
  4. Rættleiki
  5. Goymsluavmarking
  6. Sjálvræðisrættur (integritetur) og trúnaður

Ein sjeynda meginregla er um ábyrgd, sum skal hugsast inn í hinar seks meginreglurnar.

Lógligheit

Ein og hvør viðgerð av persónupplýsingum skal vera lóglig.  Ein dátuábyrgdari skal hava heimild í dátuverndarlógini til at viðgera persónligar upplýsingar hjá kundum og borgarum, t.d. við at útvega sær samtykki frá kundunum.

Rímiligheit

Viðgerð av persónupplýsingum hava atlit at áhugamálum og rímiligari væntan hjá teimum skrásettu, og hon skal vera gjøgnumskygd og skillig. Hon skal ikki vera loyndarfull ella vill­leiðandi. Upplýsingar skulu viðgerast trygt og við góðum dátuvið­gerðar­siði.

Gjøgnumskygni

Viðgerð av persónupplýsingum skal vera greið. Tann skrásetti, sum persónupplýsingarnar eru um, skal kunnast um viðgerðina. Gjøgnumskygni skapar álit og kunnar skrásetta um rættindi, hann hevur. Hervið kann skrásetti varða um síni áhugamál.

Dátuábyrgdarar skulu geva viðskiftafólki sínum gjøgnumskygda kunning um, hvussu fyri­tøkan viðger persónligar upplýsingar. Hetta skal gerast í einum greiðum og týðiligum mál­burði, sum er orðaður til málbólkin.

Endamálsavmarking

Persónupplýsingar skulu bara viðgerast í samband við nágreinilig, tilskilað og lóglig enda­mál. Endamálið skal sostatt avmarkast. Hvørt endamál í sambandi við at viðgera persón­upplýsingar skal eyðmerkjast og lýsast. Øll endamál skulu verða lýst soleiðis, at allir persónar, sum við­gerðin er um, hava somu fatan av, hvat persónupplýsingarnar skulu brúkast til. At endamálið skal vera lógligt, merkir, at tað, umframt at hava heimild, eisini skal vera í sam­svari við aðrar etiskar og rættarligar reglur.

Persónupplýsingar kunnu ikki endurnýtast til onnur endamál enn upprunaliga endamálið. Endurnýtsla av persónupplýsingum at goyma í savni, sum hevur almennan áhuga, vísinda­lig ella søgulig granskingarendamál ella hagfrøðilig endamál, stríðir ikki ímóti uppruna­ligum viðgerðarendamáli, um viðgerðin hevur sett hóskandi trygdartiltøk í verk.

Dátuavmarking

Meginreglan um dátuavmarking merkir, at mongdin av innsavnaðum persónupplýsingum skal avmarkast til tað, sum er neyðugt fyri at lúka endamálið við innsavningini. Um sam­leikaupplýsingar ella persónupplýsingar ikki eru neyðugar til endamálið, talar megin­reglan um dátuavmarking fyri, at hesar upplýsingar ikki verða innsavnaðar.

Rættleiki

Persónupplýsingar, sum verða viðgjørdar, skulu vera rættar. Upplýsingarnar skulu eisini dagførast, um tað er neyðugt. Hetta merkir, at dátuábyrgdarin hevur ábyrgd av beinan­vegin at strika ella dagføra persón­­upplýsingar, sum eru skeivar, í samband við tey enda­mál, sum upplýsingarnar verða viðgjørdar.

Goymsluavmarking

Meginreglan um goymsluavmarking er, at persónupplýsingar skulu goymast soleiðis, at tær verða strikaðar ella anonymiseraðar, tá ið tær ikki longur eru neyðugar til tað enda­málið, sum tær vórðu innsavnaðar til.

Sjálvræðisrættur og trúnaður

Persónupplýsingar skulu viðgerast á slíkan hátt, at sjálvræðisrætturin og trúnaðurin, ið er tengdur at upplýsingunum, verða vardir.

Ábyrgd

Meginreglan um ábyrgd undirstrikar ábyrgdina hjá dátuviðgeranum at bera seg at í sam­svar við reglurnar um viðgerð av persónupplýsingum og at virka eftir góðum dátuviðgerð­ar­siði. Dátuviðgerin má vera forvirkin og seta øll neyðug fyriskipanarlig og tøknilig tiltøk í gildi fyri at tryggja, at gjørt verður eftir regluverkinum.

Dátuábyrgdarin skal kunna prógva, at gjørt verður eftir dátuverndarlógini. Dátu­ábyrgd­arin eigur sostatt at kunna skjalprógva sínar gerðir fyri at prógva, at viðkomandi ger eftir meginreglunum í dátuverndarlógini. Hetta er eitt umfatandi krav, og má havast í huga, tá ið ræður um áður nevndu meginreglur.

Viðgerðarheimild

Umframt meginreglurnar er treyt, at viðgerð í hvørjum einstøkum føri hevur heimild­ar­grundarlag, t.e. eitt lógligt grundarlag undir viðgerðini. Hetta verður nevnt viðgerðar­heimild og er galdandi fyri viðgerð av vanligum og viðkvæmum upplýsingum. Hetta kann vera samtykki frá tí skrásetta ella heimild í lóg. Samtykki kann vera viðkomandi í eini verkætlan, har samrøður um heilsustøðu skulu gerast við heimildarfólk. Avtalur kunnu eisini vera heimildargrundarlag, t.d. um tú keypir eina vøru, og veitarin má hava tínar kontaktupplýsingar og bústað, um hann skal veita tær vøruna.

Dátuviðgerin hevur skyldu at upplýsa skrásetta um, hvørjum grundarlagi, t.e. við hvørji viðgerðarheimild teirra persónlýsingar verða viðgjørdar á.

Dømi um viðgerðargrundarlag:

  • Samtykki
  • Neyðugt fyri at halda eina avtalu
  • Neyðugt fyri at lúka eina rættarliga skyldu
  • Neyðugt fyri at verja lívsneyðug endamál
  • Neyðugt fyri at greiða eina uppgávu, sum hevur almennan áhuga
  • Neyðugt fyri at røkja heimilað áhugamál

Tann skrásetti hevur rættindi móti dátuábyrgdaranum. Tað eru rættindi hjá tí skrá­setta, sum skulu verjast, og dátuábyrgdarin skal virða hesi rættindi. Endamálið við rættindunum er at skapa gjøgnumskygni fyri skrásetta um, nær persónupplýsingar verða viðgjørdar, og hvørjar upplýsingar verða viðgjørdar. Harumframt geva rættindini tí skrásetta ræði yvir egnum persónupplýsingum.

Dátuverndarlógin inniheldur eina røð av rættindum til skrásetta: rætt til innlit, rætt at móttaka upplýsingar við savnan av persónupplýsingum, rætt at átala og rætt at krevja upplýsingar rættaðar, strikaðar ella stongdar, rætt til dátuflutning og reglur um individu­ellar avgerðir, undir hesum profilering. Í hesi grein draga vit trý rættindi fram, nevniliga rætt til innlit, rætt til rætting og rætt til striking.

Rættur til innlit

Sum útgangsstøði hevur tú rætt at síggja tær persónupplýsingar, ið verða viðgjørdar um teg. Á henda hátt verður gjøgnumskygni tryggjað. Eisini hevur tú rætt til at fáa eitt avrit av hesum upplýsingum útflýggjað frá dátuábyrgdaranum fyri einki. Afturat tí hevur tú rætt til innlit í, hvussu upplýsingarnar verða viðfarnar, undir hesum, hvat endamálið við við­gerð­ini er, hvaðani upplýsingarnar stava, og hvussu leingi tær verða goymdar. Endamálið er, at skrásetti kann tryggja sær, at viðgerðin er lóglig.

Rættur til rætting

Tú hevur rætt til at fáa rættað skeivar upplýsingar um teg. Eisini hevur tú rætt til at fáa lagt afturat upplýsingum um teg, sum eru ófullfíggjaðar.

Rætturin at verða strikaður ella rætturin at verða gloymdur

Rætturin at verða strikaður verður eisini nevndur rætturin at verða gloymdur. Sum út­gangsstøði hevur tú rætt til at krevja, at upplýsingar verða strikaðar, um ein av treytunum fyri hesum er lokin. Hetta kann t.d. vera, at endamálið við at viðgera tínar upplýsingar er rokkið ella ikki longur er viðkomandi. Hetta kann eisini vera, um viðgerðin er grundað á eitt samtykki frá tær, sum tú hevur tikið aftur.

Kæra

Skrásetti kann kæra til Dátueftirlitið, um viðkomandi ikki er nøgdur við, hvussu persón­upplýsingar hjá viðkomandi verða viðgjørdar.

Trygdartiltøk

Dátuábyrgdari skal altíð syrgja fyri at verja persónupplýsingar við hóskandi trygdartil­tøkum innan fyriskipanarliga trygd (t.d. mannagongdir um atgongd til persónupp­lýsing­ar), tekniska trygd (t.d. mannagongdir um nýtslu av teldum, forritum og far­tele­fonum) og fysiska trygd (t.d. mannagongdir um trygdan av hølum og skipan av fjar­arbeiðsplássum).

Útgangur

Tað er týdningarmikið fyri dátuábyrgdarar at seta seg inn í lógarreglurnar á økinum, so at teir kunnu lúka øll krøv í lógini. Samstundis er týdningarmikið hjá skrásetta at vita, hvørji rættindi og hvørja verju viðkomandi hevur í lógini, so at viðkomandi um neyðugt kann krevja sín rætt.

Dátuverndarrættur kann møguliga tykjast turri­sligur, men hetta økið innan løgfrøði kemur væntandi at fylla meira komandi árini, og fyri áhugað kann verða víst til heima­síðurnar hjá føroyska Dátueftirlitinum og danska Data­tilsynet. Eftirlitini framleiða veg­leiðingar og hava ymiskt tilfar á teirra heimasíðum. Um áhugi er fyri at kava niður í dátu­verndarrættin, kann ein lesa bøkurnar Databeskyttelses­ret frá 2018 og Personen i person­dataretten frá 2019. Peter Blume hevur skrivað báðar bøkurnar, hann er professor, dr.jur. á Løgfrøðiliga Fakultetinum við Keypmannahavnar Universitet.

[i] Peter Blume, Databeskyttelsesret (Jurist- og Økonomforbundets Forlag, 5. udgave, 2018), s. 1.

[ii] Charles Jennings og Lori Fena, The hundredth window (2000), s. 22.

[iii] Løgtingslóg nr. 73 frá 8. mai 2001 um viðgerð av persónupplýsingum, sum broytt við løgtingslóg nr. 24 frá 17. mai 2004.

[iv] EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[v] Løgtingslóg nr. 73 frá 8. mai 2001 um viðgerð av persónupplýsingum, sum broytt við løgtingslóg nr. 24 frá 17. mai 2004 (persónupplýsingarlógin), § 1.

[vi] Peter Blume, Personen i persondataretten (Djøf Forlag, 1. udgave, 2019): s. 133f.

[vii] Løgtingslóg nr. 80 frá 7. juni 2020 um vernd av persónupplýsingum (dátuverndarlógin).

[viii] Court of Justice of the European Union, PRESS RELEASE No 112/16, Luxembourg, 19 October 2016, Judgment in Case C-582/14, Patrick Breyer v Bundesrepublik Deutschland: https://curia.europa.eu/jcms/upload/docs/application/pdf/2016-10/cp160112en.pdf

[ix] Viðmerkingar til løgtingslóg nr. 80 frá 7. juni 2020 um vernd av persónupplýsingum (dátuverndarlógin): https://logting.fo/files/casestate/27577/051.19%20U.t.%20ll.%20um%20vernd%20av%20personupplysingum%20-%20Datuverndarlogin.pdf

Aðrar greinar í miðnámsrit 20

Fjarundirvísing á miðnámi

Tórður Johannesarson og Olav Absalonsen

Tórður Johannesarson og Olav Absalonsen Um miðjan mars 2020 bleiv øll undir­vísi...
Finn teg í organisasjónini - tankar um tað, sum er í og ímillum okkum

Annika W. Joensen

Ummæli av vp.fo 03.10.2016 Annika W. Joensen Við bókini "Finn teg í organisasjón...
Jules Dupuit og cost benefit greiningar av almennum verkætlanum

Olav Absalonsen

Olav Absalonsen Jules Dupuit var føddur í Suður-Frankaríki í 1804. Hann tók útbú...