Nú hafa ný persónuverndarlög fengið sinn skammt af athygli í kjölfar gildistökunnar í sumar og ekki að ástæðulausu. Fyrirtæki og stofnanir hafa verið, og eru, að bregðast við nýju lagaumhverfi og mörg þeirra komin vel á veg með að innleiða lögin í sína starfsemi. Lögin fela í sér aukin réttindi fyrir einstaklinga og verður áhugavert að fylgjast með viðbrögðunum á komandi misserum, þá sérstaklega hvort og hvenær almenningur fer að átta sig almennilega á verðmætum upplýsinganna.

Hin nýju lög virðast jafnframt hafa fengið holskeflu af óverðskuldaðri neikvæðri athygli og umræðan hefur því miður ekki skilað sér nægilega vel eða á málefnalegan máta út í kosmósið. Mýtur hafa myndast, hræðsluáróður er umtalaður og misskilnings gætir víða.

Er því tilvalið að impra á nokkrum algengum atriðum sem afvegaleitt hafa umræðuna og gott er, og nauðsynlegt, að leiðrétta.

Allir verða sektaðir

Nýtilkomin sektarheimild Persónuverndar virðist ógna mörgum sökum þess að nú má sekta fyrirtæki og stofnanir um 20 milljónir evra eða 4% af árlegri heildarveltu, hvort heldur er hærra. Þó má álykta sem svo að þakið sé eyrnarmerkt hinum alvarlegustu brotum, og þá sérstaklega þeim sem ekki hafa sýnt viðleitni í garð laganna.

Lögin gilda ekki um þitt fyrirtæki

Lögin taka ekki einungis til stóru risanna eins og Facebook, Google og Amazon heldur einnig um hvers konar starfsemi þar sem fyrirtæki eða stofnun býr yfir upplýsingum um viðskiptavini sína og starfsmenn.

Þú verður að fá samþykki fyrir öllu

Samþykki er vissulega mikilvæg heimild fyrir vinnslu persónuupplýsinga, en svo sannarlega ekki sú eina. Fyrirtækjum og stofnunum er einnig heimilt að safna og vinna persónuupplýsingar til að uppfylla lagaskyldu eða samning, til að vernda brýna hagsmuni einstaklingsins eða almannahagsmuni nú eða vegna lögmætra hagsmuna.

Rétturinn til að gleymast er ótvíræður og þér ber að eyða öllu, óski viðkomandi eftir því

Persónuverndarlögin bera með sér réttinn til að gleymast. Mikilvægur réttur fyrir einstaklinga, en hann skapast einungis undir ákveðnum kringumstæðum að vissum skilyrðum uppfylltum og telst því langt frá því að vera algildur.

Nóg er að birta persónuverndarstefnu og fínpússa skilmálana örlítið

Aldeilis ekki! Fyrirtækjum og stofnunum ber skylda til að innleiða persónuverndarlög í sína starfsemi, útbúa vinnsluskrár og aðlaga ferla. Þá er sömuleiðis mikilvægt að huga að aðgangsstýringum, öryggi og að skjalfesta teknar ákvarðanir sem lúta að persónuvernd og persónuupplýsingum

Lögin taka ekki til þeirra gagna sem þú nú þegar átt, eða áttir fyrir gildistöku laganna

Ef upplýsingarnar sem þú býrð yfir eru persónuupplýsingar þá gilda lögin fullum fetum – óháð því hvort upplýsingarnar fengust fyrir gildistöku laganna eða ekki!

Tilkynna þarf öll brot til Persónuverndar

Fyrirtækjum og stofnunum ber ekki skylda til að tilkynna þau brot eða bresti sem eiga sér stað nema þau feli í sér einhverskonar áhættu fyrir þann skráða. Ef brotið er líklegt til að hafa áhrif á réttindi eða frelsi viðkomandi er þó tilefni til að skoða málið, og hugsanlega getur brotið þá verið tilkynningarskylt.

Mýturnar eru fjölmargar, enda oft flókin álitaefni sem spretta upp. Ef þig vantar aðstoð við innleiðingu laganna eða ráðgjöf af einhverjum toga, ekki hika við að heyra í okkur hjá Dattaca Labs. Viðleitnin er lykillinn og því mikilvægt að taka fyrsta skrefið sem fyrst.

Þar til næst,

Eyrún Viktorsdóttir