Main content
main
Ný persónuverndarlöggjöf
Almennt um nýju persónuverndarlöggjöfina
Leiðbeiningum þessum er ætlað að veita bókasöfnum upplýsingar og leiðbeiningar í tengslum við gildistöku nýrrar persónuverndarlöggjafar. Landskerfi bókasafna hf. (Landskerfið) er umhugað um persónuvernd og vinnur sjálft að því um þessar mundir að félagið uppfylli þær kröfur sem gerðar verða til þess á grundvelli laganna.
Aðdragandi setningar nýrra persónuverndarlaga á Íslandi er setning reglugerðar frá Evrópusambandinu nr. 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (reglugerðin), en hún tók gildi árið 2016. Reglugerðin kom til framkvæmda í ríkjum Evrópusambandsins þann 25. maí síðastliðinn. Hér á landi verður reglugerðin innleidd í íslenskan rétt á grundvelli aðildar Íslands að EES-samningnum. Þegar þetta er ritað hefur reglugerðin ekki verið tekin upp í EES-samninginn, en stefnt er að því að það verði gert á allra næstu dögum eða vikum. Í kjölfarið munu ný persónuverndarlög taka gildi, en frumvarp til nýrra persónuverndarlaga var samþykkt á Alþingi þann 13. júní sl. Samkvæmt frumvarpinu taka lögin gildi þann 15. júlí nk. og við það falla núgildandi lög um persónuvernd og meðferð persónuupplýsinga nr. 77/2000 úr gildi.
Þrátt fyrir að margar þeirra reglna sem gilt hafa um persónuvernd og meðferð persónuupplýsinga komi til með að gilda áfram samkvæmt hinum nýju lögum er þar einnig að finna margar nýjungar. Þessar nýjungar endurspegla aukna áherslu Evrópuríkja á vernd einstaklinga í tengslum við meðferð persónuupplýsinga þeirra og persónuvernd almennt, meðal annars með tilkomu þeirrar skyldu að ábyrgðaraðilar geti sýnt fram á að farið sé að lögunum og heimilda Persónuverndar til að leggja á háar stjórnvaldssektir fyrir brot á lögunum.
Staða Landskerfisins gagnvart bókasöfnum
Þegar Landskerfið vinnur með persónuupplýsingar á vegum bókasafnanna er Landskerfið vinnsluaðili, en bókasöfnin eru ábyrgðaraðilar þeirra persónuupplýsinga sem safnað er í tengslum við vinnsluna. Persónuupplýsingarnar geta varðað útlánasögu einstaklinga, tengiliðaupplýsingar o.fl. og þær getur verið að finna í útlánaupplýsingum og lánþegaskrám Gegnis og nemendalistum, svo eitthvað sé nefnt.
Það að Landskerfið sé vinnsluaðili fyrir bókasöfnin hvað varðar ofangreindar vinnslur hefur í för með sér að gera þarf vinnslusamninga milli Landskerfisins og hvers safns eða sveitarfélags. Landskerfið mun leggja til samningsform að slíkum vinnslusamningi.
Þeim leiðbeiningum er beint til bókasafnanna að ábyrgðaraðilum jafnt sem vinnsluaðilum ber að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga. Þá ber ábyrgðaraðilum að gera einstaklingum kleift að neyta réttinda sem þeir eiga samkvæmt gildandi persónuverndarlöggjöf, þar á meðal að þeir fái fullnægjandi fræðslu um vinnsluna sem fram fer. Bókasöfnin þurfa að sjá til þess að einstaklingar fái slíka fræðslu, m.a. um að þriðju aðilar á borð við Landskerfið geti verið viðtakendur persónuupplýsinga um þá. Fræðslan er oft veitt í formi persónuverndarstefnu eða –tilkynningar sem einstaklingar geta nálgast aðgang að og hvetur Landskerfið bókasöfnin til að leita til sinna eigenda, s.s. sveitarfélaganna, hvað varðar form að slíkri stefnu. Enn fremur er hugsanlegt að eigendur safnanna eða Samband íslenskra sveitarfélaga (ef um er um að ræða safn í eigu sveitarfélags) geti aðstoðað þau við að uppfylla fleiri skyldur sem nýja persónuverndarlöggjöfin leggur þeim á herðar, svo sem við að útbúa skrá yfir vinnslustarfsemi, en í slíkri skrá skal t.d. Landskerfið tilgreint sem viðtakandi persónuupplýsinga þar sem það á við, þ.e. í þeim tilfellum þar sem Landskerfið móttekur persónuupplýsingar um lánþega og starfsfólk bókasafnanna.