Viðgerðartrygd

Tað er dátuábyrgdarin, sum hevur ábyrgdina av, at trygdin er í lagi.

Sambært dátuverndarlógini skal dátuábyrgdarin seta hóskandi tøknilig og bygnaðarlig tiltøk í verk fyri at tryggja og kunna vísa á, at viðgerð er í samsvari við løgtingslógina.

Tá metast skal um, hvørji tiltøk skulu setast í verk, skal útgangsstøðið takast í eini váðagrundaðari tilgongd. Hetta merkir, at dátuábyrgdarin skal hava fyrilit fyri verandi tøkniliga støði, verksetanarkostnaði og slagi av viðgerð, vavi, samanhangi og endamáli, umframt sannlíku váðunum fyri rættindini hjá tí skrásetta.

Metingin av, hvørji trygdartiltøk, sum skulu setast í verk, er sostatt ítøkilig í hvørjum einstøkum føri.

Les meira

Les meira um viðgerðartrygd her. Til ber eisini at lesa meira í vegleiðingini hjá Dátueftirlitinum. Vegleiðingin um viðgerðartrygd og aðrar vegleiðingar og skabelónir eru tøkar her.

Rættindi hjá skrásetta

Dátuverndarlógin tryggjar teimum, sum eru skrásett, nøkur rættindi. Tað er dátuábyrgdarin, sum hevur ábyrgdina av at tryggja, at hesi rættindi verða fylgd.

Dátuábyrgdarin skal yvirskipað tryggja, at allar upplýsingar um viðger av persónupplýsingum, sum verða latnar skrásetta, verða latnar á ein stuttorðaðan, gjøgnumskygdan, lætt skilligan og lætt atkomiligan hátt. Harumframt skal dátuábyrgdarin gera tað ómakaleyst hjá skrásetta at brúka síni rættindi og kann í útgangsstøðinum ikki nokta umbøn frá skrásetta. Dátuverndarlógin ásetur harumframt nakrar freistir, sum dátuábyrgdarin skal halda, tá skrásett gera síni rættindi galdandi.

Rættindini hjá skrásetta eru:

• Rætturin til kunning
• Rætturin til innlit
• Rætturin til rætting
• Rætturin til striking
• Rætturin til viðgerðaravmarking
• Rætturin til dátuflutning
• Rætturin til mótmæli
• Rætturin til ikki at vera fyri automatiskum avgerðum

Harumframt hevur dátuábyrgdarin skyldu at geva øllum móttakarum, sum persónupplýsingar eru víðarigivnar til, boð um allar rættingar, strikingar ella viðgerðaravmarkingar, sum eru gjørdar, uttan so at hetta vísir seg at vera ógjørligt ella órímiliga torført. Dátuábyrgdarin skal eisini kunna skrásetta um hesar móttakarar, um skrásetti biður um tað.

Les meira

Les meira um rættindini her. Til ber eisini at lesa meira í vegleiðingunum um rættindini hjá Dátueftirlitinum. Vegleiðingarnar um rættindini og skabelónir til kunning og innlit eru tøkar her.

Dátuvernd ígjøgnum sniðgeving

Dátuábyrgdarin skal seta hóskandi tøknilig og bygnaðarlig tiltøk í verk, bæði tá tólini til viðgerð verða løgd føst, og tá viðgerðin fer fram, sum eru sniðgivin á ein slíkan hátt, at viðgerðin lýkur krøvini í løgtingslógini.

Hetta er eitt krav um dátuvernd ígjøgnum sniðgeving (data protection by design), sum merkir, at dátuábyrgdarin hevur eina skyldu at innrætta seg tøkniliga og bygnaðarliga á ein slíkan hátt, at dátuverndarlógin verður hildin.

Hendan skyldan er ikki galdandi fyri skipanir, sum vóru í brúk og viðgjørdu persónupplýsingar, tá dátuverndarlógin kom í gildi 1. januar 2021. Tað merkir, at tað ikki er eitt krav um, at skipanir, sum dátuábyrgdarin nýtti áðrenn dátuverndarlógin kom í gildi, skulu sniðgevast av nýggjum.

Dátuvernd ígjøgnum sniðgeving byggir á váðagrundaða tilgongd til dátuvernd. Dátuábyrgdarin skal tí í sniðgevingini gera eina samlaða meting av verandi tøkniliga støði, íverksetingarkostnaði og slagi, vavi, samanhangi og endamáli við viðgerðini, umframt teimum váðunum, sum viðgerðin hevur við sær fyri tann skrásetta. Dátuábyrgdarin skal sostatt í hvørjum einstøkum føri meta um váðan við viðgerðini í mun til, hvørji tiltøk eru fyri neyðini, og hvussu hetta kann sniðgevast inn í skipanir.

Tó, at tað ikki er eitt krav, at skipanir, sum vóru í brúk, áðrenn 1. januar 2021 skulu sniðgevast av nýggjum, er tað tó eitt krav, at skipanir o.a. lúka treytirnar í dátuverndarlógini, undir hesum meginreglurnar.

Víst verður til § 38, stk. 1 í dátuverndarlógini.

Dátuvernd ígjøgnum standardstillingar

Dátuábyrgdarin skal seta hóskandi tøknilig og bygnaðarlig tiltøk í verk fyri ígjøgnum standardstillingar at tryggja, at einans persónupplýsingar, sum eru neyðugar til endamálið, verða viðgjørdar.

Hetta er eitt krav um dátuvernd ígjøgnum standardstillingar (data protection by default). Kravið hevur við sær, at hvørja ferð ein skipan, tænasta el.líkn. verður tikin í nýtslu, t.d. ein online-tænasta ella ein app, skulu stillingarnar, sum útgangsstøði tryggja, at persónupplýsingar verða viðgjørdar, herundir deildar, minst møguligt.

Skyldan er galdandi bæði í mun til mongdina av persónupplýsingum, sum verða savnaðar, vavið av viðgerðini, eins og goymsluskeið og atkomu. Slík tiltøk skulu serliga tryggja, at persónupplýsingar ígjøgnum standarstillingar ikki uttan uppílegging frá einum persóni, verða atkomuligar fyri óavmarkað tal av persónum.

Kravið byggir víðari á meginregluna um dátuminimering, og kemur afturat kravinum um dátuvernd ígjøgnum sniðgeving. Kravið um dátuvernd ígjøgnum standardstillingar hevur ikki við sær eina skyldu at broyta ella skifta út KT-skipanir, sum vóru í brúk, tá ið dátuverndarlógin kom í gildi. Um tað er møguligt at broyta stillingarnar uttan stórvegis hóvasták, eigur hetta tó at verða gjørt.

Víst verður til § 38, stk. 2 í dátuverndarlógini.

Tilnevning av umboðið í Føroyum

Dátuverndarlógin er galdandi fyri viðgerð av persónupplýsingum um skrásett, sum eru í Føroyum, og verður gjørd av dátuábyrgdara, sum ikki er staðsettur í Føroyum, um viðgerðin viðvíkur útboði av vørum ella tænastum til skrásett í Føroyum, sama um gjald verður kravt frá teimum ella yvirvøku av atferðini hjá skrásettum, um teirra atferð fer fram í Føroyum.

Ein dátuábyrgdari, sum ikki er staðsettur í Føroyum, men sum viðger persónupplýsingar, sum nevnt omanfyri, skal skrivliga tilnevna eitt umboð í Føroyum.

Hetta er tó ikki galdandi fyri viðgerð, sum er viðhvørt, sum ikki í stórum fevnir um viðkvæmar persónupplýsingar, og sum sannlíkt ikki hevur við sær ein váða fyri rættindi hjá einstaklingum. Kravið er heldur ikki galdandi fyri almennar myndugleikar, stovnar og eindir.

Viðgerð við dátuviðgera

Ein dátuábyrgdari kann velja at útveita viðgerð av persónupplýsingum til ein dátuviðgera. Um so er, er talan um eina dátuviðgerarstøðu.

Allýsingarnar í dátuverndarlógini hava við sær, at tað bara kann vera ein dátuviðgerarstøða, um ein aftala ella ein partur av eini aftalu millum dátuábyrgdaran og ein annan part snýr seg um, at tann parturin skal viðgera persónupplýsingar (t.d. savna, skráseta, goyma, víðarigeva ella strika persónupplýsingar) eftir boðum frá dátuábyrgdaranum.

Um avtalan hinvegin fyrst og fremst snýr seg um veiting av eini aðrari tænastu enn viðger av persónupplýsingum, t.d. eina handverkaratænastu, har dátuábyrgdarin ikki hevur fyri neyðini at geva boð um viðgerð av persónupplýsingum, er hin parturin ikki dátuviðgeri. Hetta sjálvt um dátuábyrgdarin gevur hinum partinum persónupplýsingar (t.d. navn og bústað), sum eru neyðugar fyri, at hin parturin kann veita sína høvuðstænastu, t.e. handverkaratænastuna.

Dátuábyrgdarin skal einans nýta dátuviðgerar, sum veita fullgóða trygd fyri, at hóskandi tøknilig og bygnaðarlig tiltøk verða sett í verk, sum tryggja, at viðgerðin lýkur krøvini í dátuverndarlógini.

Viðgerðin hjá einum dátuviðgera skal vera grundað á avtalu, sum er bindandi, og sum m.a. ásetir evnið fyri viðgerðini, endamál, eins og skyldur og rættindi hjá dátuábyrgdaranum. Dátuverndarlógin ásetur harumframt krøv um, hvat ein slík avtala í minsta lagi skal innihalda.

Ein dátuviðgeri hevur ikki loyvi at nýta annan dátuviðgera (ein undirdátuviðgera) uttan ítøkiligt ella alment loyvi frá dátuábyrgdaranum.

Um ein dátuviðgeri nýtir ein annan dátuviðgera (ein undirdátuviðgera) í sambandi við viðgerð fyri dátuábyrgdaran, skal hesin dátuviðgeri halda somu dátuverndarskyldur sum tær, sum eru í avtaluni millum dátuábyrgdaran og dátuviðgeran.

Les meira

Les meira um dátuábyrgdarar og dátuviðgerar í vegleiðingini hjá Dátueftirlitinum. Eisini ber til at taka eina standard dátuviðgeraravtalu niður. Vegleiðingin um dátuábyrgdarar og dátuviðgerar og standard dátuviðgeraravtala, umframt aðrar vegleiðingar og skabelónir eru tøkar her.

Yvirlit yvir viðgerðir

Dátuábyrgdarar skulu gera yvirlit yvir allar viðgerðir undir teirra ábyrgd.

Kravið um, at dátuábyrgdarar skulu hava yvirlit yvir viðgerðir merkir, at dátuábyrgdarar altíð eiga at gera sær greitt og hava yvirblikk yvir, hvørjar persónupplýsingar, sum verða viðgjørdar og hví. Yvirlitið skal hjálpa dátuábyrgdaranum at lúka krøvini, sum dátuverndarlógin annars setur í samband við viðgerð av persónupplýsingum. Endamálið við kravinum um yvirlit er sostatt at tryggja, at dátuábyrgdarin veit, hvørjar upplýsingar verða viðgjørdar og til hvørji endamál. Eisini kann yvirlitið brúkast til at vísa á, at reglurnar í dátuverndarlógini verða hildnar.

Í dátuverndarlógini er ásett, hvat hesi yvirlit í minsta lagi skulu fevna um.

Yvirlitini skulu vera skrivlig, her undir elektronisk, og skulu eftir umbøn latast Dátueftirlitinum.

Les meira

Les meira um yvirlit yvir viðgerðir her. Til ber eisini at lesa meira í vegleiðingini hjá Dátueftirlitinum. Dátueftirlitið hevur eisini gjørt eina skabelón til yvirlit yvir viðgerðir, sum kann takast niður. Vegleiðingin um yvirlit yvir viðgerðir og skabelónin, umframt aðrar vegleiðingar og skabelónir eru tøkar her.

Trygdarbrot

Eitt trygdarbrot er eitt brot á trygdina, sum førir við sær, at persónupplýsingar av tilvild ella ólógliga verða burturbeindar, burturmistar, broyttar, óheimilað givnar víðari ella at atgongd verður givin til persónupplýsingar, sum eru sendar, goymdar ella á annan hátt viðgjørdar.

Um eitt trygdarbrot ikki verður handfarið stundisliga og á ein hóskandi hátt, er vandi fyri, at brotið skaðar skrásetta.

Dátuábyrgdarin skal boða Dátueftirlitinum frá trygdarbrotinum uttan óneyðugt drál og um gjørligt innan 72 tímar eftir, at viðkomandi er vorðin kunnugur við brotið. Verður brotið ikki fráboðað innan 72 tímar skal grundgevast fyri hesum, tá fráboðanin verður givin.

Trygdarbrotið nýtist ikki at verða fráboðað til Dátueftirlitið, um tað er ósannlíkt, at brotið hevur við sær ein váða fyri rættindi hjá einstaklingum.

Um eitt trygdarbrot eftir øllum at døma hevur við sær stóran váða fyri rættindi hjá skrásettta, skal dátuábyrgdarin uttan óneyðugt drál boða viðkomandi frá brotinum. Fráboðanin til skrásetta skal á einum greiðum og skilligum máli m.a. lýsa slag av broti.

Les meira

Les meira um trygdarbrot her. Til ber eisini at lesa meira í vegleiðingini um trygdarbrot hjá Dátueftirlitinum. Dátueftirlitið hevur eisini gjørt eina skabelón til fráboðan av trygdarbroti, sum kann takast niður. Vegleiðingin um trygdarbrot og skabelónin, umframt aðrar vegleiðingar og skabelónir eru tøkar her.

Avleiðingargreining um dátuvernd

Dátuverndarlógin hevur eina áseting um avleiðingargreiðing, sum merkir, at tað í ávísum førum skal gerast ein avleiðingargreining um dátuvernd, áðrenn viðgerð kann fara fram. Ein avleiðingargreining um dátuvernd inniber, at dátubyrgdarin, áðrenn viðgerð verður framd, greinar og metir um teir vansar o.a., sum eru við viðgerðini. Hetta fyri at persónupplýsingar hjá tí einstaka verða vardar í mestan mun.

Um eitt slag av viðgerð, serliga tá ið nýggj tøkni verður nýtt, við atliti at slagi, vavi, samanhangi og endamáli, sannlíkt hevur við sær stóran váða fyri rættindi hjá einstaklingum, skal dátuábyrgdarin sostatt undan viðgerðini gera eina greining av, hvørjar avleiðingar ætlaða viðgerðin hevur fyri dátuverndina.

Við “nýggja tøkni” er m.a. at skilja nýtslan av biometriskum dátum, undir hesum iris-skanningum, ella samskifti við almennar myndugleikar gjøgnum “appir”. Tøknin skal objektivt verða nýggj. At tað er fyrstu ferð ein dátuábyrgdari nýtir eina elektroniska loysn er ikki í sær sjálvum nokk.

Ein avleiðingargreining um dátuvernd er m.a. kravd í sambandi við:

• eina skipaða og víðfevnda meting av persónligum viðurskiftum um einstaklingar, sum er grundað á automatiska viðgerð, og sum er grundarlag fyri avgerðum, sum hava rættarvirknað fyri einstaklingin ella á samsvarandi hátt munandi ávirka viðkomandi,
• viðgerð í stórum av viðkvæmum persónupplýsingum ella
• umfatandi og skipaða yvirvøku av alment atkomiligum øki.

Dátueftirlitið skal gera og almannakunngera ein lista yvir sløg av viðgerðum, tá avleiðingargreining um dátuvernd er neyðug. Dátueftirlitið kann eisini gera og almannakunngera ein lista yvir sløg av viðgerðum, tá avleiðingargreining um dátuvernd ikki er neyðug.

Í § 50 í dátuverndarlógini er ásett, hvat ein avleiðingargreining um dátuvernd í minsta lagi skal fevna um. Tað er m.a. eina skipaða lýsing av ætlaðu viðgerðini og endamálinum við viðgerðini og eina meting av, um viðgerðin er neyðug og stendur í rímiligum lutfalli við endamálið.

Les meira um avleiðingargreiningar í §§ 49 og 50 í dátuverndarlógini.

Um ein avleiðingargreining um dátuvernd vísir, at viðgerðin fer at hava við sær stóran váða, sum dátuábyrgdarin ikki fær avmarkað, skal dátuábyrgdarin biðja Dátueftirlitið um ummæli, áðrenn viðgerðin verður sett í verk.

Les meira um ummæli frá Dátueftirlitinum áðrenn viðgerð í § 52 í dátuverndarlógini.

Eitt dátuverndarfólk skal hjálpa dátuábyrgdaranum at halda reglurnar í dátuvernarlógini. Dátuverndarfólkið fær í tí sambandi álagt nakrar uppgávur í dátuverndarlógini.

Almennir myndugleikar, sum viðgera persónupplýsingar, skulu tilnevna eitt dátuverndarfólk.

Í flestu førum er ikki krav um at tilnevna dátuverndarfólk í privata geiranum.

Tó skulu fyritøkur tilnevna eitt dátuverndarfólk um tríggjar treytir eru uppfyltar. Treytirnar, sum allar skulu vera loknar, eru:

• Viðgerðin av persónupplýsingum skal vera kjarnuvirksemi hjá fyritøkuni
• Viðgerðin skal vera umfatandi
• Talan skal vera um yvirvøku av skrásettum, sum er reglulig og skipað ella viðgerð, sum fevnir um viðkvæmar persónupplýsingar

Les meira

Les meira um dátuverndarfólk her. Til ber eisini at lesa meira í vegleiðingini um dátuverndarfólk hjá Dátueftirlitinum. Vegleiðingin um dátuverndarfólk, umframt aðrar vegleiðingar og skabelónir eru tøkar her.