Persónuverndarfulltrúi (Data Protection Officer – DPO) er aðili sem opinberum stofnunum og tilteknum fyrirtækjum verður skylt að tilnefna samkvæmt nýjum lögum um persónuvernd og meðferð persónuupplýsinga. Sum fyrirtæki munu þó kjósa að tilnefna slíkan aðila þótt ekki standi skylda til þess. Kostir þess að tilnefna persónuverndarfulltrúa eru fjölmargir. Má þar meðal annars nefna að með slíkri tilnefningu gefur viðkomandi fyrirtæki út að það taki persónuvernd alvarlega. Að taka persónuvernd alvarlega getur haft mikla þýðingu fyrir orðspor fyrirtækja. Varla þarf að minnast á gjaldþrot fyrirtækisins Cambridge Analytica sem afleiðingu af ólögmætri meðferð fyrirtækisins á persónuupplýsingum þeirra sem notuðu samfélagsmiðilinn Facebook. Í dag er án nokkurs vafa að eiga sér stað mikil vitundarvakning í samfélaginu um persónuvernd og því ætti að vera forgangsatriði hjá fyrirtækjum að tryggja það að farið sé eftir lögum og reglum þar um. Að tilnefna persónuverndarfulltrúa er einn liður í þeim efnum.

Í umræðunni undanfarnar vikur hefur nokkuð borið á því hvert hlutverk persónuverndarfulltrúa sé og eigi að vera. Í þessari stuttu grein mun höfundur reyna að útskýra í stuttu máli hvað í þessu hlutverki felst. Greinin tekur mið af persónuverndarfulltrúa sem kemur inn í fyrirtæki sem ekki hefur að öðru leyti brugðist við löggjöfinni.

  1. Vitundarvakning

Persónuverndarfulltrúi mun ekki upp á sitt einsdæmi tryggja það að farið verði eftir lögum um persónuvernd og meðferð persónuupplýsinga. Í daglegu amstri fyrirtækja eru það ávallt stjórnendur og starfsmenn sem meðhöndla persónuupplýsingar. Eitt af fyrstu verkefnum persónuverndarfulltrúa er sjá til þess að aukin vitundarvakning eigi sér stað hjá þessum aðilum. Hann verður að fræða þá um meginatriði löggjafarinnar og upplýsa þá um þær skyldur sem á þeim hvíla samkvæmt henni.

  1. Kortlagning á vinnslu persónuupplýsinga

Næsta skref hjá persónuverndarfulltrúa er að kortleggja þá vinnslu persónuupplýsinga sem fram fer í viðkomandi fyrirtæki. Við kortlagningu þarf hann að hafa í huga innri og ytri þætti. Með innri þáttum er átt við að fyrirtæki hafa að öllum líkindum undir höndum persónuupplýsingar um stjórnendur og starfsmenn. Með ytri þáttum er átt við að fyrirtæki kunna að búa yfir persónuupplýsingum um utanaðkomandi þriðju aðila, til dæmis viðskiptavini. Við kortlagninguna þarf að skrá niður nauðsynlegar upplýsingar, til dæmis hvaða upplýsingum er safnað, af hverju er verið að safna þeim, hvar þær eru geymdar og hve lengi á að geyma þær.

  1. Greining á fylgni við löggjöfina

Eftir að kortlagning hefur farið fram þarf persónuverndarfulltrúi að bera þær upplýsingar saman við viðeigandi ákvæði í löggjöfinni. Hér er til dæmis átt við að hann þarf að kanna hvort heimild standi til að vinna tilteknar  persónuupplýsingar og hvort að gætt hafi verið að viðeigandi öryggi þeirra. Með viðeigandi öryggi er sem dæmi átt við að einungis þeir starfsmenn sem þurfa þess starfs sín vegna hafi aðgang að persónuupplýsingum. Eins er átt við að þær séu geymdar á öruggum stað, svo sem í læstum hirslum eða á öruggu rafrænu formi. Ef upplýsingarnar eru geymdar hjá utanaðkomandi aðila þarf persónuverndarfulltrúi einnig að kanna hvort fullnægjandi vinnslusamningur í samræmi við kröfur löggjafarinnar sé til staðar.

  1. Nauðsynlegar breytingar gerðar

Eftir greiningu á fylgni við löggjöfina þarf persónuverndarfulltrúi að sjá til þess að nauðsynlegar breytingar verði gerðar. Hér til dæmis átt við að hann þarf að ganga úr skugga um að viðkomandi fyrirtæki eyði persónuupplýsingum sem það hefur enga þörf fyrir að eiga. Einnig er átt við að persónuverndarfulltrúi verður að sjá til þess að þeir einstaklingar sem persónuupplýsingarnar varða fái fullnægjandi fræðslu, þ.e. sem tiltekur nákvæmlega hvernig viðkomandi fyrirtæki meðhöndlar þeirra upplýsingar, í samræmi við þær kröfur sem löggjöfin gerir.

Á þessu stigi þarf persónuverndarfulltrúi einnig að útbúa önnur mikilvæg skjöl. Hér til dæmis átt við að hann verður að útbúa persónuverndarstefnu og verklagsreglur um meðferð persónuupplýsinga sem starfsmenn og stjórnendur fyrirtækisins verða að tileinka sér.

  1. Reglulegt eftirlit

Þegar persónuverndarfulltrúi hefur farið í gegnum þá ferla sem fjallað er um í köflum 1 – 4 er hlutverk hans nokkuð reglubundið. Með því er átt við að hann þarf að framvegis að ganga úr skugga um að viðkomandi fyrirtæki fylgi lögum um persónuvernd og meðferð persónuupplýsinga. Verkefni sem undir hann heyra eru ótímabundin og iðulega koma upp ný álitaefni í fyrirtækjum sem tengjast persónuvernd á einhvern hátt. Hér má til dæmis hugsa sér fyrirtæki sem hyggst skyndilega nýta sér þjónustu frá utanaðkomandi aðila til að hýsa gögn. Áður en það verður gert mun persónuverndarfulltrúi þurfa að kanna hvort löggjöfin heimili að notast sé við slíka þjónustu og hvort fullnægjandi vinnslusamningar á milli aðila séu fyrir hendi.

  1. Reglulegar úttektir

Persónuverndarfulltrúi verður reglulega að framkvæma úttektir til að kanna hvort löggjöfinni sé framfylgt. Hér er til dæmis átt við að persónuverndarfulltrúi þarf með reglubundnum hætti að kanna hvort verið sé að fylgja þeim verklagsreglum sem settar hafa verið, svo sem að starfsmenn séu ekki að skilja persónuupplýsingar eftir á stað þar sem óviðkomandi aðili getur nálgast þær.

  1. Regluleg fræðsla til stjórnenda og starfsmanna

Persónuvernd er ótímabundið verkefni í fyrirtækjum. Réttarsviðið er í mikilli þróun og á komandi árum verður að öllum líkindum skorið úr mörgum vafaatriðum sem tengjast lögum um persónuvernd og meðferð persónuupplýsinga. Persónuverndarfulltrúi verður að vera vakandi fyrir þeim atriðum og fræða stjórnendur og starfsmenn reglulega um þær skyldur sem á þeim hvíla og hvort ástæða sé til breytinga. Auk þess þarf persónuverndarfulltrúi að sjá til þess að nýjum starfsmönnum sé kunnugt um persónuverndarstefnu og verklagsreglur um meðferð persónuupplýsinga.

  1. Tengiliður við einstaklinga og Persónuvernd.

Persónuverndarfulltrúi er í hlutverki tengiliðar við einstaklinga sem upplýsingarnar varða. Með því er til dæmis átt við að þeim er heimilt að hafa samband við hann vegna fyrirspurna um meðferð viðkomandi fyrirtækis á persónuupplýsingum þeirra og því hvernig þeir geti neytt réttar síns.

Að sama skapi er persónuverndarfulltrúi í hlutverki tengiliðar við Persónuvernd, svo sem vegna venjubundins eftirlits af hálfu stofnunarinnar eða vegna máls sem upp hefur komið.