Ný persónuverndarlög taka gildi núna á sunnudaginn, þann 15. júlí, og eru upptaka á reglugerð ESB sem ber heitið GDPR (General Data Protection Regulation) og hefur verið í gildi frá 25. maí s.l. Efnislegt innihald er því hið sama og vísa hin nýju íslensku lög beint í GDPR.

Einhverjir vilja ganga svo langt að segja að hin nýju lög standist ekki stjórnarskrá þar sem um of víðtækt valdaframsal sé að ræða. Látum það liggja á milli hluta að sinni því eitt er víst, lögin gilda og fyrirtæki verða að bregðast við hið snarasta.

Breytingarnar snerta okkur öll sama hvaða hlutverki við gegnum hverju sinni. Sem einstaklingar, notendur, viðskiptavinir og starfsmenn eru okkur færð aukin réttindi. En réttindi eru ekki til ein og sér heldur vega upp á móti þeim skyldur. Hér setja lögin skyldur á herðar fyrirtækja og opinberra stofnana sem dæmi.

Ég hvet þig sem einstakling til að nýta þér þau völd sem lögin veita þér, að fá gögnin þín til baka og til að nýta þau þér til góða. Verum meðvituð um persónuupplýsingarnar okkar öllum stundum.

Helstu breytingar og innihald nýrra laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga

Nýjum persónuverndarlögum ber að fagna, enda löngu tímabært að uppfæra lögin í takt við nútímann. Segja má að ekki sé einungis verið að uppfæra eldri lög heldur einnig að betrumbæta umhverfi persónuupplýsinga, en sú reglugerð sem GDPR leysir af hólmi var skrifuð á öðrum tímum. Hún var skrifuð áður en internetið tók að breiða úr sér eins og lúpína. Nú liggur landið öðruvísi undir fót þar sem okkar líf fer fram að stórum hluta til í netheimi. Við greiðum reikninga í gegnum heimabanka, hringjum í ættingja sem staðsettir eru í annari heimsálfu í gegnum Skype og jafnvel sækjum við okkur sálfræðiráðgjöf í gegnum internetið þar sem sálfræðingur er hinum megin við tölvuskjáinn. Við erum sífellt að taka fleiri skref inn í netheiminn og þar erum við að skapa persónuupplýsingar ásamt því að nota þær, deila þeim og geyma þær.

Persónuupplýsingar eru framlenging á okkur sjálfum, partur af okkur sem einstaklingum og í þeim felast verðmæti sem við eigum og stjórnum nú að fullu. Ný lög hafa því ekki einungis að markmiði að klæða hin gömlu í nútímalegri búning heldur leitast þau einnig við að samræma leiðir að upplýsingaöryggi og vernd upplýsinga, þau hjálpa einstaklingum að skilja betur að í persónuupplýsingum felast verðmæti.

Réttindi og völd einstaklinga

Vera má að fyrst um sinn blasi hin ágætu lög við sem ógrynni tölvupósta sem fylla innhólf okkar þar sem fyrirtæki kynna uppfærðar persónuverndarstefnur og bjóða okkur á sama tíma gull og græna skóga fyrir það eitt að endurskrá okkur á póstlista sína. Þegar betur er að gáð má sjá að lögin eru stútfull af nýjum réttindum sem færa okkur tækifæri til að nýta eigin persónuupplýsingar okkur í hag.

Lögin færa forræði persónuupplýsinga frá fyrirtækjum og til upphaflegs eiganda þeirra, til okkar. Nú höfum við valdið að nýju. Við eigum rétt á að vera upplýst um hvernig lögaðilar standa að vinnslu persónuupplýsinga. Við eigum rétt á að vera upplýst hvort verið sé að vinna persónuupplýsingar, hvernig, hver hefur aðgang að þeim, hvar persónuupplýsingar eru vistaðar og hvaða vinnsluaðila notast er við. Einnig höfum við rétt á að fá gögnin okkar til baka, til að fá gögnin send til þriðju aðila og í vissum tilfellum eigum við rétt á að upplýsingunum sé hreinlega eytt. Við eigum rétt á að vinnsla persónuupplýsinga sé takmörkuð, við eigum rétt til að uppfæra upplýsingarnar svo að þær séu réttar og einnig höfum við andmælarétt. Við eigum rétt á gagnsæi frá lögaðilum sem vinna persónuupplýsingar, ekkert á að vera óljóst þegar kemur að meðhöndlun slíkra upplýsinga.

Þá kveða lögin einnig á um önnur réttindi sem ég hvet lesendur eindregið til að kynna sér en fyrst og fremst þá hvet ég ykkur til að óska eftir því að fá gögnin ykkar til baka. Hægt er að senda beiðni á lögaðila um að fá gögnin til baka og hafa lögaðilar mánuð til þess að verða við beiðninni og afhenda ykkur gögnin.

Sért þó óviss um hvernig best sé að standa að slíkri beiðni langar mig til að benda á Facebook hópinn „Ég vil fá persónugögnin mín“ en þar er hægt að nálgast frekari upplýsingar. Í gegnum þann hóp munu lögfræðingar og aðrir sérfræðingar Dattaca Labs astoða almenning við að senda kröfur á lögaðila þar sem óskað er eftir að fá gögnin til baka, þeim að kostnaðarlausu.

Hvaða upplýsingar eru þetta?

Persónuupplýsingar eru allar þær upplýsingar sem hægt er að tengja við einstakling, hvort heldur það sé með beinum hætti eða óbeinum. Ímyndaðu þér að þú haldir á bunka af blöðum. Á blöðunum eru allskyns upplýsingar á borð við nafn, IP tölur, upplýsingar um hvar viðkomandi fer í sund á laugardögum eða hvort viðkomandi hafi átt við áfengisvandamál að stríða. Getir þú tengt þessar upplýsingar saman við ákveðinn einstakling er um persónuupplýsingar að ræða.

Lögin fjalla um tvo mismunandi flokka persónuupplýsinga. Annars vegar almennar persónuupplýsingar sem geta t.d. verið upplýsingar um nafn, heimilisfang, símanúmer og annað. Hins vegar viðkvæmar persónuupplýsingar sem geta t.d. verið upplýsingar um þjóðerni, trú, stjórnmálaskoðanir, erfðaupplýsingar, heilsufarsupplýsingar og annað (sjá nánar í 11. gr. laga nr. 90/2018, sbr. einnig 9. gr. GDPR)

Hvort sem um er að ræða almennar eða viðkvæmar persónuupplýsingar þá gilda lögin um báða flokkana og átt þú því rétt á að fá allar persónuupplýsingar um þig til baka, að öllum skilyrðum uppfylltum.

Nýttu réttindi þín og náðu í persónugögnin þín, þú munt ekki sjá eftir því.

Þar til næst,

Eyrún Viktorsdóttir