Ný reglugerð Evrópusambandsins nr. 2016/679 um vernd einstaklinga við vinnslu persónuupplýsinga og frjálst flæði slíkra upplýsinga tekur gildi þann 25. maí 2018 en hún hefur í för með sér umtalsverð áhrif á íslensk fyrirtæki. Löggjöfin snertir beint öll þau fyrirtæki sem vinna á einhvern hátt með persónuupplýsingar, hvort sem þær varða starfsmenn, viðskiptavini, notendur eða aðra. Frumvarp til innleiðingar reglugerðarinnar verður að öllum líkindum lagt fyrir Alþingi í haust.
Helstu breytingar sem fylgja reglugerðinni voru kynntar á fundi Samtaka iðnaðarins í morgun en þar héldu erindi Vigdís Eva Líndal, verkefnisstjóri EES-mála hjá Persónuvernd og Hafliði K. Lárusson lögmaður og sérfræðingur í persónuverndarrétti hjá Fjeldsted&Blöndal lögmannsstofu.
Fyrirtæki hugi að undirbúningi
Á fundinum kom fram að brýnt er að fyrirtæki hér á landi fari að huga að undirbúningi, kynni sér reglurnar og uppfæri sitt verklag varðandi persónuupplýsingar til samræmis við þær.
Öll fyrirtæki munu þurfa að hafa auðskiljanlega persónuverndarstefnu auk þess sem sum þurfa að hafa sérstakan persónuverndarfulltrúa. Persónuverndarfulltrúinn verður að uppfylla tiltekin hæfisskilyrði og er hann tengiliður milli stjórnenda og Persónuverndar. Fyrirtækjum er heimilt að útvista þessari stöðu, þ.e. fela utanaðkomandi sérfræðingi að sinna starfi persónuverndarfulltrúa fyrirtækisins. Þá þurfa fyrirtæki að meta áhættu af vinnslu persónuupplýsinga og mögulegar afleiðingar fyrir friðhelgi einstaklinga. Lögð er áhersla á að persónuvernd sé innbyggð í nýjan hugbúnað og upplýsingakerfi sem og að hugað sé að persónuvernd allt frá upphafi í allri starfsemi fyrirtækis.
Einstaklingar verða að gefa samþykki
Réttarvernd einstaklinga er aukin og er í því skyni m.a. lögð aukin áhersla á samþykki einstaklings fyrir vinnslu persónuupplýsinga. Það verður að vera gefið af fúsum og frjálsum vilja og má ekki vera falið í lengri texta eða samningi. Þá verður að vera einfalt fyrir einstakling að afturkalla samþykki sitt með sama hætti og samþykkið var veitt. Í þessu ljósi þurfa fyrirtæki að kanna hvernig samþykki fyrir vinnslu persónuupplýsinga er háttað samkvæmt núverandi verkferlum og þá hvort breyta þurfi samningum og orðalagi samþykkis út frá hinum nýju reglum.
Rétturinn til að gleymast er rýmkaður en hann er sérstaklega ríkur í tilviki barna. Þá eru gerðar ríkari kröfur á fyrirtæki um að upplýsa einstaklinga um vinnslu persónuupplýsinga þeirra, t.d. umfang og tilgang. Aukinn er réttur til aðgangs að eigin persónuupplýsingum og kveðið á um rétt til að fá allar upplýsingar afhentar í aðgengilegu og flutningshæfu formi. Fyrirtæki þurfa því að tryggja verklagsferla þannig að öllum upplýsingum einstakling sé haldið á einum stað og hægt sé að veita afrit með aðgengilegum hætti.
Viðbrögð við öryggisbresti
Nýjar kröfur verða gerðar um viðbrögð við öryggisbrestum. Fyrirtæki ber að tilkynna öryggisbrest til Persónuverndar innan 72 klukkustunda og til viðkomandi einstaklings án tafar. Reglugerðin mælir fyrir um stórauknar sektarheimildir eftirlitsstofnana en stjórnvaldssektir geta numið allt að 20 milljónum evra eða 4% af heildarveltu fyrirtækis hvort sem hærra er. Fjárhæð sekta fer eftir eðli og alvarleika brots á lögunum.
Í máli Hafliða kom fram að vissulega þýði þessar breytingar auknar byrðar á fyrirtæki en það fari þó eftir stærð og starfsemi fyrirtækis hversu umfangsmiklar þær séu.
Glærur Vigdísar Evu: http://www.si.is/media/_eplica-uppsetning/Vigdis-Eva-Lindal-Fundur-um-personuvernd.pdf
Glærur Hafliða: http://www.si.is/media/_eplica-uppsetning/Haflidi-K-Larusson-Fundur-um-personuvernd.pdf
Hér eru nánari upplýsingar um nýju persónuverndarlöggjöfina á vef Persónuverndar: https://www.personuvernd.is/ny-personuverndarloggjof-2018/
