Ný persónuverndarlög tóku gildi þann 15. júlí s.l. og eru upptaka á reglugerð ESB sem ber heitið GDPR (General Data Protection Regulation) og hefur verið í gildi frá 25. maí s.l. Efnislegt innihald er því hið sama og vísa hin nýju íslensku lög beint í GDPR.

Einhverjir vilja ganga svo langt að segja að hin nýju lög standist ekki stjórnarskrá þar sem um of víðtækt valdaframsal sé að ræða. Látum það liggja á milli hluta að sinni því eitt er víst, lögin gilda og fyrirtæki verða að bregðast við hið snarasta.

Ég hvet þig sem lögaðila til að mæta kröfum laganna, að gera það vel og til að sjá tækifærin sem í lögunum felast.

Skylda fyrirtækja að bregðast við nýrri löggjöf

Lögin fela í sér ýmis réttindi fyrir einstaklinga og sem dæmi eiga þér rétt á að vita hvort þú sem fyrirtæki sért að vinna persónuupplýsingar og í hvaða tilgangi, hve lengi gögnin eru geymd, hvar þau eru vistuð og við hvaða vinnsluaðila fyrirtæki notast við. Einnig hafa einstaklingar rétt á að fá gögnin sín afhend eða jafnvel að fá gögnum sínum eytt. Fyrirtæki þurfa að mæta þessum nýju kröfum laganna. 

Segja má að lögin séu að skora fyrirtæki á hólm og því ekkert annað í stöðunni en að taka upp sverð og skjöld. Fyrirtæki verða að bregðast við og vera fylgjandi nýjum lögum og er það gert með því að innleiða lögin í starfsemi þeirra. Gott er að byrja á því að kortleggja allar vinnslur persónuupplýsinga sem eiga sér stað og í kjölfarið er hægt að gera nauðsynlegar breytingar. Til þess að gera sér grein fyrir þeim breytingum sem gera þarf er mikilvægt að máta stöðuna eins og hún er í dag hjá fyrirtækjum við ákvæði nýrrar löggjafar.

Þau atriði sem fyrirtæki þurfa hvað helst að huga að eru t.d. að útbúa vinnsluskrá. Vinnsluskrá inniheldur lífhring persónuupplýsinga þar sem meðferð persónuupplýsinga er skrásett ásamt upplýsingum um þá vinnsluaðila sem notast er við. Einnig þarf að smíða persónuverndarstefnur og verklagsreglur, athuga hvernig tilkynna skuli öryggisbrot til Persónuverndar og hvernig staðið sé að áhættumati. Jafnframt er nauðsynlegt að finna hentugar leiðir fyrir fyrirtæki til að tryggja réttindi einstaklinga svo hægt sé að mæta kröfum laganna. Leiðir á borð við það hvernig fyrirtæki munu standa að afhendingu gagna og hvernig þau munu upplýsa einstaklinga um vinnslu persónuupplýsinga. Þá eru sumum fyrirtækjum skylt að tilnefna persónuverndarfulltrúa sem gætir þess að farið sé að persónuverndarlögum. Persónuverndarfulltrúi heyrir beint undir stjórn fyrirtækisins, nýtur sjálfstæðis í starfi, hefur góða lagalega og tæknilega þekkingu og sinnir fræðsluhlutverki ásamt öðrum mikilvægum atriðum.

Ákjósanlegast er að hafa allt uppi á borðinu þegar kemur að vinnslu persónuupplýsinga með því að upplýsa viðskiptavini um meðferð þeirra. Persónuvernd og innleiðing persónuverndarlaga er ekki tímabundið verkefni heldur þarf hún að vera partur af menningu fyrirtækja og því ekki síður mikilvægt að starfsmenn séu meðvitaðir um innihald laganna, að þeir beri virðingu fyrir persónuupplýsingum og séu upplýstir um hvernig meðhöndla skuli slíkar upplýsingar.

Séu fyrirtæki ekki í stakk búin til að verða við áskorun þessari getum við hjá Dattaca Labs aðstoðað við innleiðinguna á öllum stigum. Dattaca Labs hefur yfirgripsmikla þekkingu og góða reynslu í að gera fyrirtæki fylgjandi nýjum lögum, allt frá því að vinna með litlum fyrirtækjum og yfir í flókin sveitarfélög. Lögfræðingarnir leitast við að aðstoða fyrirtæki á skilvirkan hátt og að skilja eftir sig þekkingu á sama tíma og útlögðum kostnaði er haldið í algjöru lágmarki. Nánar um leiðina til innleiðingar hér: https://dattacalabs.com/leidin-til-innleidingar/

Einnig tekur Dattaca Labs að sér hlutverk persónuverndarfulltrúa fyrir fyrirtæki, nánar um þjónustuna hér: https://dattacalabs.com/personuverndarfulltrui-til-leigu/

Hver sinnir eftirliti?

Þver evrópskt afl hefur nú litið dagsins ljós og er nýtt af nálinni. Hin íslenska Persónuvernd sinnir eftirliti hér á landi en gerir það ekki ein, heldur hafa sambærilegar stofnanir í löndum EES einnig heimildir samkvæmt lögum til að hafa aðkomu að persónuverndarmálum hér á landi. Með þver evrópsku eftirliti er þannig verið að stuðla að samvinnu stofnana svo að þau séu betur í stakk búin til að girða fyrir brot á lögunum og til að afgreiða þau mál sem berast. Ætla má að einnig sé verið að þurrka út landamæri og samræma eftirlit og auka með þeim hætti persónuvernd. Þá hefur Evrópska persónuverndarráðið einnig tilteknar valdheimildir gagnvart EES löndum.

Undirrituð telur hið nýja afl hafa alla þá burði til að sýna vígtennur sínar, sérstaklega í ljósi þess að hin nýtilkomna sektarheimild er gríðarleg. Ný lög kveða á um sektarheimildir upp að 2,4 milljarða króna eða 4% af árlegri heildarveltu fyrirtækja á heimsvísu, hvort heldur er hærra.

Með auknum valdheimildum er verið að veita þeim fyrirtækjum og stofnunum sem vinna persónuupplýsingar aukið aðhald. Lögaðilar verða að bregðast við og þeir verða að gera það hið snarasta enda liggur ljóst fyrir að mikið er undir.

Þar til næst,

Eyrún Viktorsdóttir