Í maí á næsta ári (nánar tiltekið 25. maí 2018) mun ný persónuverndarlöggjöf (hér eftir nefnd reglugerðin) taka gildi í Evrópu (tilv. Persónuvernd). Hvaða vægi og gildi hefur þessi reglugerð fyrir fyrirtæki og einstaklinga? Hvers konar undirbúning þurfa fyrirtæki að fara í gegnum til að átta sig á hvar þau standa gagnvart reglugerðinni?

Áður en við hefjum samantektina þá er vert að geta þess að ÖLL fyrirtæki sem meðhöndla persónugreinanleg gögn með einum eða öðrum hætti ættu að vera byrjuð að huga að því hvaða áhrif reglugerðin kann að hafa og hver möguleg áhrif hennar yrði ef fyrirtækið uppfyllir ekki skilyrði hennar.

Hér er fjallað um reglugerðina (GDPR) í stuttu máli, farið í gegnum helstu mýtur og tekin nokkur dæmi um réttarvernd einstaklingsins svo fólk átti sig á um hvað er verið að tala. Dæmin eru á engan hátt algild og ekki ber að taka þeim bókstaflega. Það á vissulega eftir að koma reynsla á beitingu reglugerðarinnar og er dæmunum ætlað að varpa ljósi á hvaða aðstæður geta komið upp.

GDPR í hnotskurn

Hér er samantekt á því sem við teljum að GDPR er í hnotskurn. Reglugerðina er svo sannarlega ekki fyrir alla að lesa. Þetta er meira okkar túlkun á því í hverju reglugerðin felst og sett fram á mannamáli.

  • GDPR reglugerðin tekur gildi í Evrópu 25. maí 2018
  • GDPR er reglugerðin er endurbætur á vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og frjálst flæði slíkra upplýsinga (tilmæli um persónuvernd frá 1995)
  • Tilgangur var meðal annars að einfalda regluverkið og auðvelda samvinnu persónuverndarstofnana í Evrópu
  • Aukin réttarvernd einstaklings er veruleg (sjá dæmin hér síðar)
  • Sektir á fyrirtæki geta numið allt að 20 milljónum evra eða allt að 4% af ársveltu fyrirtækis

Misskilningur og mýtur

Það er margur misskilningurinn eða mýturnar í gangi varðandi reglugerðina. Hér eru nokkur dæmi.

Fyrsti misskilningurinn er sá að hún gildi ekki um öll fyrirtæki, aðallega stærri fyrirtæki (250+) en ekki minni. Það er ekkert til í þessu. Öll fyrirtæki sem á einn eða annan hátt meðhöndla persónugreinanleg gögn þurfa að gera mat á stöðu sinni gagnvart reglugerðinni. Sjá nánar næstu skref hér síðar. Eina krafan sem gildir ekki um minni fyrirtæki er að persónuverndarfulltrúinn þurfi að vera starfsmaður fyrirtækisins.

Öll fyrirtæki þurfi að ráða til sín persónuverndarfulltrúa (DPO) og hann þarf að vera löglærður. Það er heldur ekki rétt. Það er hins vegar mikilvægt að þau fyrirtæki sem þurfa að mæta kröfum reglugerðarinnar, þurfa að tilnefna persónuverndarfulltrúa sem getur staðið utan fyrirtækisins (ekki ósvipað og endurskoðandi) og hann þarf að vera með reglugerðina á hreinu og hafa góðan skilning á högun upplýsingatækniumhverfa að okkar mati.

Fyrirtæki þurfa að kaupa dýr og flókin kerfi til að aðstoða við það að mæta kröfum reglugerðarinnar. Aftur, ekki satt. Þetta er mjög misjafnt milli fyrirtækja og hversu víðtæk notkun og meðhöndlun gagna er. Fyrsta skrefið er að meta upplýsingatækniumhverfið og sjá hversu víðtæk gagnanotkun og meðhöndlun er. Næsta er að skoða hvaða breytingar og úrbætur eru nauðsynlegar til að geta afhent gögn og gefið upplýsingar um meðhöndlun gagna. Þriðja skrefið er svo að skoða hvort fyrirtækið þurfi nýjan hugbúnað eða verulega breytingar á núverandi hugbúnaði til að mæta kröfum reglugerðarinnar. En það er ekki ólíklegt að fyrirtæki þurfi að gera breytingar eða aðlaganir á sínum kerfum til að mæta reglugerðinni.

Við erum með allt í hýsingu þar með þurfum við ekki að hafa áhyggjur. Því miður þá getum við ekki varpað ábyrgðinni á vinnsluaðilann (data processor). Ábyrgðaraðilinn (data controller) ákveður hvernig nota á gögnin fyrir hönd einstaklingsins, vinnsluaðilinn vinnur úr gögnum fyrir hönd ábyrgðaraðilans. Til einföldunar, fyrirtæki sem notar gögn er ábyrgðaraðili, en þjónustuaðili sem veitir aðgang að kerfum, t.d. hýsingaraðili er vinnsluaðili. Hlutverk og skyldur þessara aðila eru útskýrð nánar í grein 24 og 28 í reglugerðinni.

Aukin réttarvernd einstaklingsins

Hér eru tekin nokkur dæmi um réttarvernd einstaklingsins. Alls ekki tæmandi listi og það eru ýmsar aðrar hliðar sem er nauðsynlegt að skoða vel, t.d. sérstök vernd fyrir börn, sem ekki verður farið út í hér.

Upplýst samþykki

Ólíkt því sem við þekkjum í dag, þ.e. “blindandi” samþykki skilmála sem við þekkjum flest, þá þarf ábyrgðaraðilinn (fyrirtækið sem við eigum viðskipti við) að vera mjög skýr varðandi það hvers konar meðhöndlun persónuupplýsinga hann er að biðja um. Það er jafnframt ekki leyfilegt að sjóða saman langa skilmálalýsingu þar sem öllu er blandað saman og einstaklingurinn getur ekki samþykkt eitt án þess að þurfa að samþykja allt.

Bæði ábyrgðaraðili og vinnsluaðili þurfa svo að geta sýnt og sannað að þeir séu að meðhöndla og vinna persónugreinanleg gögn með þeim hætti sem þeir segjast vera gera og ekki meira.

Einstaklingur getur svo á hvaða tímapunkti sem er afturkallað leyfi sitt og er þá ábyrgðaraðila skylt að taka hann út úr menginu, þeas í þeim tilfellum þar sem gögnin eru persónugreinanleg.

Hreyfanleiki gagna

Einstaklingur sem á í viðskiptum við fyrirtæki A hefur nú rétt til að óska eftir því að fyrirtækið (eða vinnsluaðili hans) afhendi honum öll gögn sem það á um hann á lesanlegu formi (machine readable form). Einstaklingurinn á þar með að geta afhent fyrirtæki B gögnin til meðhöndlunar og án hindrana.

Í reglugerðinni (grein 20) er fjallað ítarlega um þennan þátt þar sem hann er nýr í samanburði við áður skilgreind tilmæli og reglugerðir. En grundvallarskilyrðið er þessi réttur einstaklingsins að fá gögnin sín á lesanlegu formi svo hann geti notað þau áfram á öðrum stað, hjá öðrum aðila. Það eru vissulega margar spurningar sem vakna, hvað með samkeppnissjónarmið. Hvað með formið á gögnunum, hvað merkir lesanlegt form í raun of veru, hversu langt þurfa fyrirtæki að ganga í því að afhenda gögnin á lesanlegu formi? Að afhenda gögn á ákveðnu formi, gæti það talist ógn á einkaleyfi/höfundarrétti hugbúnaðarlausnar?

Réttur til upplýsinga og aðgangs

Jón labbar inn í bankann og fær samtal við þjónustufulltrúann sinn. Jón segir að nú sé hann að fara með öll sín viðskipti yfir í annan banka og hann vilji fá að sjá öll gögn sem bankinn á um hann. Auk þess óskar hann eftir því að hann fái gögnin afhent þar sem hann þurfi að láta nýja bankann fá gögnin. Hann vill líka fá að vita hvort bankinn hafi deilt upplýsingum um hann með öðrum tengdum aðilum, t.d. CreditInfo, Lífeyrissjóði í eigu bankans, osfrv. Að lokum óskar hann eftir því að öllum gögnum um hann sé eytt.

Þetta dæmi hér að ofan er tilbúningur og aðstæður verulega einfaldaðar. Því er fyrst og fremst ætlað að vekja upp spurningar og vangaveltur um hvers konar aðstæðum við gætum verið í. Tilvikið er ekki óeðlilegt og alls ekki óraunsæ og heldur ekki óraunhæf miðað við réttarvernd einstaklingsins samkvæmt nýju reglugerðinni.

Í samskonar aðstæðum þurfa fyrirtæki að vera undirbúin og búin að skilgreina eftirfarandi:

  • Hvaða gögn þau þurfa að afhenda
  • Hvert form gagna þarf að vera
  • Hver vinnslutími og afhendingartími gagna sé
  • Hvaða gögnum þarf fyrirtækið að eyða
  • Hvaða gögn hefur fyrirtækið rétt á að geyma/varðveita
  • Hvað með afrit af gögnum, hvernig ber að meðhöndla þau
  • Hvernig gögnum verði eytt

Það er jafnframt sér klásúla um réttinn til að gleymast sem tengist þeim lið hér að ofan um það hvernig gögnum er eytt og hverju sé eytt.  Einstaklingar getur nýtt sér réttinn til að gleymast en það geta verið lagalegar hindranir fyrir því að öllu sé eytt. En fyrirtæki og stofnanir þurfa í þeim tilfellum að geta fært rök fyrir eða sýnt fram á með tilvísun í lög og reglur að þeim beri að varðveita gögn. Dæmi um þetta eru t.d. varðveisluskylda opinberra gagna.

Næstu skref

Það er ákveðin vitunarvakning í gangi núna varðandi reglugerðina (GDPR) og búin að vera í gangi í nokkurn tíma. Ég las nýverið grein sem kom út í ágúst á þessu ári (2017) þar sem kom fram að aðeins 6% fyrirtækja væru formlega byrjuð undirbúning fyrir reglugerðina. Mig grunar að talan sé jafnvel lægri hér heima. Margir byrjaðir að kynna sér áhrifin en fáir formlega byrjaðir á undirbúningi og aðgerðum til að mæta kröfum reglugerðarinnar.

Það hefur kannski helst verið á lagalegum nótum. Verkefnin sem tengjast reglugerðinni er af ýmsum toga, einna helst hefur verið rætt um breytingar á verkferlum, skilgreiningu persónuverndarstefnu og uppfærslu á öryggisstefnu og áhættumati. Minna hefur verið rætt um breytingar og endurbætur á upplýsingatæknikerfum. Við teljum að fyrirtæki átti sig mögulega ekki nógu vel á hversu stórt verkefni það getur verið og því nauðsynlegt að skoða þann þátt sérstaklega.

Við hvetjum fyrirtæki til að skoða vel upplýsingar Persónuverndar um reglugerðina og hefjast handa við undirbúning. Fyrsta skrefið er að meta stöðuna og átta sig á því hvar fyrirtækið stendur gagnvart reglugerðina. Næsta skref er að átta sig á því hvaða aðgerða er þörf.

Verkefni fyrirtækja er í grunninn fjórþætt:

  • Framkvæmd á mati og greiningu til undirbúnings fyrir reglugerðina
  • Uppsetning á umgjörð persónuverndar, s.s. persónuverndarstefnu, tilnefningu persónuverndarfulltrúa, reglulegu áhættumati, atvika og umbótaferli
  • Skilgreiningu verkferla, bæði almennra og tæknilegra
  • Uppsetningu aðgerðaáætlunar, s.s. vegna endurbóta og vinnu við upplýsingatæknikerfi til að mæta kröfum reglugerðar.

Við hjá OZIO ehf höfum áralanga reynslu af vinnu með fyrirtækjum við úttekt/mat á upplýsingatækniumhverfi, innleiðingu upplýsingatæknikerfa og á uppsetningu upplýsingahögunar. Við aðstoðum fyrirtæki við mat á upplýsingatækniumhverfi fyrirtækisins og undirbúning fyrir reglugerðina í sérstöku ferli.

Ef þið viljið fá frekari upplýsingar um ráðgjöf okkar í þessum efnum, ekki hika við að hafa samband.

Leave a Reply

%d bloggers like this: