Ný persónuverndarreglugerð frá ESB (GDPR) hefur vakið mikla athygli í umræðunni undanfarnar vikur og þá hefur innleiðing hennar í íslensk lög einnig verið til umræðu. GDPR mun taka gildi 25. maí næstkomandi innan ESB.

Í starfi mínu sem sérfræðingur í persónuupplýsingarétti hjá Dattaca Labs hef ég átt marga fundi með mikið af fólki sem hefur margar spurningar um nýja persónuverndarlöggjöf sem er að leggjast yfir okkur. Margar þessara spurningar eru sambærilegar og hér á eftir verður gerð tilraun til að svara þeim algengustu.

GDPR er ekki orðið að lögum og ekkert öruggt að reglugerðin verði að lögum á Íslandi, við erum ekki í ESB eftir allt saman.

Það er enn óljóst hvenær nákvæmlega hún verður innleidd hér á landi. Það eitt og sér er aukaatriði í innleiðingarferli þeirra aðila sem bregðast þurfa við. Einfaldlega vegna þess að flest fyrirtæki eiga það á hættu, ef svo má að orði komast, að stunda viðskipti við ríkisborgara Evrópusambandsríkja og meðferð eða vinnsla persónuupplýsinga um viðkomandi lýtur reglum GDPR, sama hversu langt við erum komin í innleiðingu í íslenskan rétt. Það er því til mikillar einföldunar að horfa á 25. maí sem daginn sem persónuupplýsingaréttur breytist til hins betra, óháð Alþingi og sumarfríi þess.

Það er því eiginlega tvennt í stöðunni, það er í fyrsta lagi það að afgreiða íbúa Evrópusambandsins í takt við GDPR og Íslendinga á gamla mátan, eða í öðru lagi að innleiða GDPR í starfsemina og þá getur þú afgreitt alla eins.

Við í mínu fyrirtæki erum bara að þjónusta önnur fyrirtæki og þurfum ekki að pæla í þessu

Gott og vel, það kann að vera til einföldunar fyrir innleiðingu í þínu fyrirtæki. Það er þó væntanlega þannig að þú er með upplýsingar um viðskiptavini og birgja. Nafn, kennitala, símanúmer og netfang fyrirtækis eru ekki persónuupplýsingar.

Annar vinkill á þessu eru svo innri málefni, t.d. persónuupplýsingar um starfsfólk. Sem dæmi um viðkvæmar persónuupplýsingar eru upplýsingar um verkalýðsfélag/stéttarfélag sbr. 1. mgr. 9. gr. GDPR (svo við blöndum smá lagatexta inn í þetta). Viðkvæmar persónuupplýsingar eru upplýsingar sem sérstaklega þarf að standa vörð um.

Við erum með allt á hreinu, þurfum enga aðstoð

Frábært! Nei ég meina það, innilega. Mundu að þú þarft að gera fullnægjandi vinnsluskrá, tryggja að vinnslusamningar séu til staðar, taktu afstöðu til þess hvort þú þarft persónuverndarfulltrúa og svo skaltu ekki gleyma að þú þarft að tryggja rétt einstaklingana o.s.frv.

Þetta er bara enn ein leiðin til að skapa vinnu fyrir lögfræðinga og draga kraftinn úr fyrirtækjum sem skapa gjaldeyri og tekjur í landinu, allir þurfa að skipa sér persónuverndarfulltrúa og eyða peningum í þetta.

Vissulega er þörf á að fara í gegnum innleiðingaferli í starfsemi hvers fyrirtækis, hins vegar þarf það ekki að heimta mikil útgjöld og þá sérstaklega í ljósi þeirra sektarheimilda sem GDPR kveður á um, sem eru þegar mest lætur 20 milljónir evra eða 4% af ársveltu á heimsgrundvelli, eftir því hvort er hærra.

Án þess að vilja fara úr í mikinn hræðsluáróður þá verður það að teljast lítilsvægt að greiða ráðgjöfum fjárhæðir sem ná varla að vera prósentustig af mögulegum sektarheimildum.

GDPR er auk þess löðrandi í tækifærum. Við hjá Dattaca Labs horfum á GDPR sem dauðafæri sem hægt er að smella í netið með hægri fæti af meters færi. Þau fyrirtæki sem sýna það og sanna út á við að þau taki persónuvernd og réttindi einstaklinga alvarlega hljóta að hafa samkeppnisforskot yfir önnur fyrirtæki sem ekkert hafa aðhafst.