Hér eru helstu hlutirnir sem þú þarft að hafa á hreinu fyrir komu reglugerðarinnar.
Nýja persónuverndarreglugerðin var gerð að lögum um alla Evrópu 25. maí, nú liggur fyrir vilji meirihluta Alþingis að ná reglugerðinni í íslensk lög fyrir þinglok í sumar.
Víðtækar breytingar munu fylgja þessari nýju reglugerð, ég vil taka svo sterkt til orða að friðhelgi einkalífsins sé nýja normið með nýju reglunum.

Hornsteinn reglugerðarinnar er að skýra eignar og umráðarétt einstaklinga yfir sínum eigin gögnum, ásamt því að færa einstaklingnum mun meira vald yfir því hvernig, hvar, hvenær og í hvaða tilgangi persónuupplýsingar viðkomandi eru notaðar.
Þetta felur í sér nýjar og auknar skyldur á þá sem safna persónuupplýsingum, hvað það er sem þú mátt safna og hvernig þú verður að upplýsa eiganda upplýsinganna um söfnunina, ásamt því að innleiða réttinn til að gleymast eru hlutir sem verður afskaplega gaman að sjá íslensk fyrirtæki leysa.
Nýju lögin munu ná yfir starfsemi allra fyrirtækja sem eru með starfsemi í Evrópu það á einnig við um þau fyrirtæki sem ekki tilheyra ESB en þjónusta með einum eða öðrum hætti borgara ESB, jafnvel þó svo að það sé þjónusta sem afhent er án þóknunar.

Hér er einfaldur listi að tíu atriðum löggjafarinnar sem ég mæli með því að einstaklingar og fyrirtæki hafi í huga:

1. Persónuvernd með hönnun(e. Privacy by design) þýðir að þegar þú hleður niður forriti/appi eða skráir þig fyrir þjónustu, ættir þú ekki að vera beðin um önnur gögn en þau sem nauðsynlegt er að hafa til að geta veitt þjónustuna. Fyrirtæki mega ekki neita þér um þjónustu neitir þú að láta af hendi gögn sem ekki eru nauðsynleg fyrir þjónustuna sem þú ert að sækjast eftir.

2. Upplýst samþykki(e. Explicit permission) þýðir þegar þú gefur leyfi fyrir því að gögnin þín séu notuð í ákveðnum tilgangi þá má ekki nota þau í neinum öðrum tilgangi.

3. Hreyfanleiki gagna(e. Data portability) gefur þér rétt til að biðja um gögn sem fyrirtæki hefur um þig á tölvulæsilegu formi þannig að þú getir endurnýtt það, til dæmis til að senda gögnin sjálfkrafa til annars þjónustuveitanda án þess að mannshöndin komi þar nærri. Ákjósanlegt væri ef það þessi afhending myndi eiga sér stað í gegnum API, jafnvel þó að reglugerðin taki ekki skýrt á því, því með þeim hætti ættu nýir þjónustuveitendur hægara um vik að nota gögnum þér og öðrum til góða. Fyrirtæki hafa 30 daga til að verða við óskum þínum um þennan flutning gagna. Þú átt jafnframt rétt á því að fá til þín öll gögn sem fyrirtækið er með um þig.

4. Rétturinn til að gleymast(e. Right to be forgotten) það að afhenda fyrirtæki gögnin þín þýðir ekki að þeir geti haldið þeim og notað að eilífu. Samkvæmt reglugerðinni átt þú rétt á því að afturkalla notkun og átt jafnframt heimtingu á því að viðkomandi eyði þeim gögnum sem þú hefur látið honum í té. Það eru þó undantekningar á þessari meginreglu, til dæmis getur verið lagaleg skylda fyrir viðkomandi að halda viðkomandi upplýsingum t.d á það við um sjúkraskrár og bókhaldsgögn.

5. Skýrt og skorinort samþykki(e. Clear and affimative consent) verður nauðsynlegt áður en vinnsla persónuupplýsinga fer fram og mun þetta krefjast beinnar þátttöku eins og að tikka í box. Löggjafinn vill hafa það mjög skýrt að fyrirfram útfyllt box eru ekki samþykkt þegar reglugerðin tekur gildi, jafnframt á að vera eins einfalt í framtíðinni að afturkalla samþykki eins og það var að gefa það upphaflega.

6. Réttur til að vera upplýstur(e. Right to be informed) á skýran og einfaldan hátt, þetta þýðir að aðalatriði skilmála má ekki fela á baksíðum heldur verður að draga þau fram og kynna sérstaklega áður en söfnun persónuupplýsinga á sér stað.

7. Skýr takmörk eru tiltekin á notkun persónusniða(e. Clear limits on the use of profiling) þar sem takmarkanir eru fyrir sjálfvirkri vinnslu persónuupplýsinga sem notuð eru til að greina/spá fyrir um árangur/hegðun/áreiðanleika einstaklinga. Persónusnið er jafnframt hlutur sem einstaklingar sem og fyrirtæki ættu að hugleiða vel og kynna sér. Í dag notar fjöldinn allur af fyrirtækjum persónusnið til að búa til mynd af einstaklingnum sem þau þjónusta. Fyrirtæki verða að hafa upplýst samþykki notenda áður en persónusnið er búið til og notað(þetta á líka við þau persónusnið sem nú þegar eru í notkun). Notkun persónusniða má heldur ekki auka líkur á mismunun t.d byggt á kynþætti, trú, skoðunum eða kynhneigð.

8. Ein lög fyrir alla Evrópu(e. One law for the entire continent) einn stærsti kostur reglugerðarinnar eru að nú munu sömu lög gilda meðal ríkja í ESB og þeirra sem tilheyra EES, þeim mun verða beitt á sama hátt alls staðar.

9. Persónuvernd í þínu eigin landi er þinn tengiliður(e. A regulatory one stop shop) þýðir að fyrirtæki þurfa aðeins að takast á við einn eftirlitsaðila en ekki 28 eins og áður, sem gerir það einfaldara og ódýrara fyrir fyrirtæki að eiga viðskipti í ESB sem og fyrir einstaklinga að leggja fram kvartanir.

10. Nýju reglurnar stuðla að og styrkja grundvöll nýrrar og betri tækni sem gerir það auðveldara fyrir almenning að passa betur upp á gögnin sín, tækni sem styður við nafnleysi(fjarlægja persónugreinanlegar upplýsingar þar sem það er ekki þörf), dulnefni(skipta út persónugreinanlegum auðkennum fyrir gervi auðkennum) og dulkóðun(kóðun skilaboða þannig að aðeins þeir sem hafa réttu lyklana geta lesið það).

Á heildina litið ættu nýju reglurnar að veita fyrirtækjum tækifæri til að endurheimta traust einstaklinga og gefa þeim tækifæri til að hefja nýtt samtal við nýja sem núverandi viðskiptavini.

Fyrirtæki ættu að fagna því að geta afhent einstaklingum þau persónugögn sem þau hafa um þá á öruggan og traustan hátt.

Fyrirtæki ættu að taka það hlutverk sitt alvarlega að leiða með góðu fordæmi og sýna samfélagslega ábyrgð í verki með því að upplýsa neytendur um rétt sinn, vera gagnsæ í því hvernig unnið er með persónugögn og hversu mikilvæg þau eru nútímafyrirtækjum til að búa til persónusniðna þjónustu.