Ágæti innihalds nýrrar persónuverndarlöggjafar (GDPR) er mörgum hugleikin. Ekki að ástæðulausu enda framkallar hugsunin um 81 bls af flóknu regluverki úr hugsmiðju Evrópusambandsins oftar en ekki upp myndir eins og pappakassa, Georg Bjarnfreðarson að sveifla öllum sínum fimm háskólagráðum framan í Indriða sem heyrir ekkert nema bank í ofnum.

Má ekkert lengur? Er allt bannað? Hver borgar þessar sektir Persónuverndar, er það ég? Hvar afskrái ég mig af þessum óþolandi póstlista? Afhverju er ég að drukkna í tölvupóstum með persónuverndarstefnum? Við erum ekki í ESB, afhverju þurfum við þessi lög? Hver í ósköpunum er þessi blessaði persónuverndarfulltrúi og hvað getur hann gert?

Persónuvernd er í eldlínunni um þessar mundir, þvert á landið eins og það leggur sig enda er verið að endurskapa á mjög ýktan og dramatískan máta landslag persónuupplýsinga. Nú gera lögin kröfu um að farið sé með persónuupplýsingar á ákveðinn hátt, og þér sem fyrirtæki eða stofnun ber skylda til að bregðast við.

Stökk inn í hinn stafræna heim

Með nýjum lögum tökum við saman þetta eina stóra skref fyrir Evrópu inn í hinn stafræna heim. Heimur sem við vitum öll af, en erum nú fyrst að kanna af einhverri alvöru og munum á endanum koma til með að nýta okkur töluvert betur. Hingað til höfum við haft takmarkaða vitneskju um afdrif persónuupplýsinga okkar þegar þær rata á alnetið. Nú er öldin önnur.

Þar sem undirrituð er þekkt fyrir að taka oft á tíðum heldur djúpt í árinni þá leyfi ég mér að segja að hagnýting persónuupplýsinga eftir tilkomu persónuverndarlaga sé okkar fyrsta ferð á tunglið. Nýr heimur, ókannaður og haugafullur af ónýttum tækifærum.

Förum, skoðum, nýtum og sköpum!

Ógrynni spurninga hafa vaknað eftir gildistöku þessarar ágætu löggjafar sem rætur á að rekja til reglugerðar Evrópusambandsins. Mikilvægar spurningar sem mörgum hverjum enn er ekki hægt að svara, enda framkvæmdin og túlkunin eitthvað sem mun koma til með að reyna á á næstu misserum.

Eitt er þó víst, öll fyrirtæki og stofnanir þurfa að bregðast við hið snarasta og því tilvalið að kynna sér þjónustuleið Dattaca Labs, leiðina til innleiðingar.

Við skulum kíkja á nokkur einföld dæmi sem vonandi munu hjálpa þér, lesandi góður, að ná með einhverjum hætti utan um hin nýju lög.

Fyrirtæki og stofnanir bera ábyrgð

Fyrsta skrefið er að átta sig á ábyrgðinni sem ný lög setja á herðar fyrirtækja og stofnana. Grundvallaratriði er að axla þá ábyrgð heilshugar með því að huga að innleiðingu laganna sem allra fyrst.

Þarf ég sem fyrirtæki að spá í þessu? Svarið er í 99% tilfella einfaldlega já. Ekki skorast undan ábyrgð eða fallast í freistni og sannfæra sjálfan þig um að líklegast sé best að bíða og sjá til. Hið svokallaða Þetta reddast hugarfar kemur þér hugsanlega eitthvað áleiðis en þó ekki svo langt að komast hjá því að greiða sektir Persónuverndar. Bið og vanvirðing í garð laganna getur því verið ansi dýrkeypt.

Ekki bara Evrópa

Þó svo að um evrópska reglugerð sé að ræða og nú einnig íslensk lög, þá eru ákvæði þeirra þannig úr garði gerð að hattur eru settur yfir ýmsa starfsemi sem á sér stað utan Evrópu.

Dæmi: Fyrirtæki þitt er staðsett og skráð í Bandaríkjunum en þjónustar íbúa á Skotlandi. Lögin gilda.

Dæmi: Fyrirtæki þitt hefur höfuðstöðvar í Kína en með starfsemi á Íslandi. Lögin gilda.

Ekki bara viðkvæmar persónuupplýsingar

Lögin gilda ekki einungis um viðkvæmar persónuupplýsingar eins og heilsufarsupplýsingar, trúarskoðanir, þjóðerni o.fl., heldur einnig um upplýsingar á borð við nöfn, netföng, innlegg á samfélagsmiðlum, bankaupplýsingar og annað í svipuðum dúr.

Persónuupplýsingar starfsfólks

Við fyrstu sýn er alls ekki óeðlilegt að álykta sem svo að lögin gildi einungis um upplýsingar sem fyrirtæki eða stofnun hefur út á við, þ.e. um B2B og B2C viðskiptavini sína sem dæmi. Algeng byrjendamistök eru því að undanskilja upplýsingar um starfsfólk sitt og er því sérlega mikilvægt að huga að þeim upplýsingum sömuleiðis.

Dæmi um persónuupplýsingar sem fyrirtæki getur átt um starfsfólk sitt: ráðningarsamningar, tímaskráningar, ferilskrár, sakavottorð o.fl.

Tjaaa, við hljótum nú að fá smá aðlögunartíma?

Já vissulega fékkst þú aðlögunartíma en því miður lauk honum nú í sumar. Fyrirtækjum og stofnunum var gefinn rúmur tími, eða frá 2016-2018 til að aðlaga starfsemi sína. Nú er tími til að láta hendur standa fram úr ermum enda ekki seinna vænna.

Þekktu vinnsluaðilana

Ábyrgðaraðili er sá aðili sem tekur ákvörðun um að safna ákveðnum persónuupplýsingum, afhverju safna skal tilteknum upplýsingum, hvað gert er við þær upplýsingar og með hvaða hætti upplýsingarnar eru meðhöndlaðar. Vinnsluaðili er sá aðili sem tekur við skipunum frá ábyrgðaraðila og aðstoðar hann við að framkvæma vinnsluna. Mikilvægt er að ábyrgðaraðilar og vinnsluaðilar geri með sér svokallaða vinnslusamninga svo að ljóst liggi fyrir hvernig persónuupplýsingar eru meðhöndlaðar frá upphafi til enda.

Dæmi: Grunnskóli er ábyrgðaraðili þegar kennari skráir niður mætingu barns í Mentor. Mentor er hér í hlutverki vinnsluaðila.

Dæmi: Skósmiðurinn á horninu er ábyrgðaraðili þegar starfsmaður sendir tölvupóst á viðskiptavin og notar til þess Gmail. Google er hér í hlutverki vinnsluaðila.

Vonandi ert þú einhverju nær, ef ekki þá skora ég á þig að kíkja til mín í kaffi og við getum rætt persónuvernd í þaula. En til að svara stóru spurningunni, þá er svarið nei. Georg Bjarnfreðarson samdi ekki nýju persónuverndarlögin, heldur hugsuðir sem kjósa að sjá heildarmyndina, framtíðina og tækifærin sem felast í hagnýtingu persónugagna og virðingu fyrir persónuupplýsingum.

Þar til næst,

Eyrún Viktorsdóttir