Upplýsingar og leiðbeiningar fyrir fyrirtæki, stofnanir og aðra sem vinna persónuupplýsingar um nýjar persónuverndarreglur

Á árinu 2018 er áætlað að ný persónuverndarlöggjöf taki gildi á Íslandi þegar ný reglugerð Evrópusambandsins (ESB) um persónuvernd leysir af hólmi núgildandi Evrópulöggjöf. Öll fyrirtæki, stofnanir og aðrir sem vinna með persónuupplýsingar, hvort heldur um eigið starfsfólk, viðskiptavini, notendur eða aðra, verða að fylgja hinni nýju löggjöf. 

Nýja löggjöfin mælir fyrir um fleiri og strangari skuldbindingar en áður. Brot á persónuverndarlöggjöfinni munu geta haft miklar efnahagslegar afleiðingar í för með sér fyrir þá sem vinna með persónuupplýsingar. Persónuvernd mun sem fyrr framfylgja persónuverndarlöggjöfinni.

Persónuvernd mun sem fyrr framfylgja persónuverndarlöggjöfinni.

S.k. 29. gr. vinnuhópur hefur gefið út ýmsar leiðbeiningar sem tengjast hinni nýju löggjöf. Þær má nálgast hér til vinstri á síðunni.

HVAÐ ER NÝTT?

1. Nýjar skyldur verða lagðar á alla sem vinna með persónuupplýsingar

Öll fyrirtæki, stofnanir og aðrir sem vinna með persónuupplýsingar þurfa að kynna sér nýju löggjöfina og finna út hvaða nýju skuldbindingum fara verður eftir. Stjórnendum ber að tryggja að settar verði verklagsreglur til að framfylgja löggjöfinni og allir starfsmenn þurfa að vinna í samræmi við hana þegar hún tekur gildi.

Hreyfanleiki gagna (e. Data Portability):

Í desember 2016 gaf evrópskur vinnuhópur í persónuverndarmálefnum, s.k. 29. gr. vinnuhópur, út fyrstu leiðbeiningarnar vegna hinnar nýju Evrópulöggjafar m.a. leiðbeiningar um hreyfanleika gagna (e. Data Portability) sem unnt er að nálgast hér (uppfærðar 5. apríl 2017).

Einnig gaf vinnuhópurinn út yfirlit með algengum spurningum og svörum um hreyfanleika gagna sem unnt er að nálgast hér.

2. Öll fyrirtæki skulu hafa auðskiljanlega persónuverndarstefnu – auknar kröfur um fræðslu 

Upplýsingar um hvernig unnið er með persónuupplýsingar í þinni starfsemi skulu vera á aðgengilegu og auðskiljanlegu formi. Nýja löggjöfin gerir strangari kröfur til framsetningar og innihalds fræðslu en núgildandi löggjöf. Allar upplýsingar sem ætlaðar eru börnum skulu miðast við skilning þeirra og þroska.

3. Öll fyrirtæki skulu meta áhættu af vinnslu persónuupplýsinga og mögulegar afleiðingar fyrir friðhelgi einstaklinga 

Ef tilteknar vinnsluaðferðir skapa mikla hættu fyrir friðhelgi einstaklinga verður ábyrgðaraðili að gera grein fyrir þeirri hættu og mögulegum afleiðingum hennar. Ef þá verður ljóst að áhættan sé mikil og að honum sé sjálfum ekki fært að draga úr henni verður að leita forálits Persónuverndar á vinnslunni. 

4. Persónuvernd skal vera innbyggð í nýjan hugbúnað og upplýsingakerfi 

Nýja löggjöfin krefst þess að nýr hugbúnaður og upplýsingakerfi séu útfærð með sérstaka áherslu á friðhelgi einstaklinga og á þann hátt að hún sé innbyggð í viðkomandi lausn. Gengið verður út frá því að hámarksáhersla á persónuvernd sé sjálfgefin í öllum kerfum.

Í nóvember 2015 rituðu Alma Tryggvadóttir, skrifstofustjóri upplýsingaöryggis hjá Persónuvernd og Vigdís Eva Líndal, sérfræðingur í EES-málum hjá Persónuvernd, grein í tímaritið Tölvumál um innbyggða og sjálfgefna friðhelgi sem unnt er að nálgast hér.

5. Mörg fyrirtæki og allar stofnanir verða að útnefna sérstakan persónuverndarfulltrúa  

Allar opinberar stofnanir og mörg einkafyrirtæki þurfa að hafa sérstakan persónuverndarfulltrúa. Hlutverk hans er að vera sérfræðingur viðkomandi aðila í persónuvernd og tengiliður milli stjórnenda, hinna skráðu og Persónuverndar. Persónuverndarfulltrúinn getur verið starfsmaður stofnunar eða fyrirtækis eða utanaðkomandi sérfræðingur. 

Í desember 2016 gaf evrópskur vinnuhópur í persónuverndarmálefnum, s.k. 29. gr. vinnuhópur, út fyrstu leiðbeiningarnar vegna hinnar nýju Evrópulöggjafar m.a. leiðbeiningar um persónuverndarfulltrúa sem unnt er að nálgast hér (uppfærðar 5. apríl 2017)

Einnig gaf vinnuhópurinn út yfirlit með algengum spurningum og svörum um persónuverndarfulltrúa sem unnt er að nálgast hér.

6. Reglurnar gilda einnig um fyrirtæki utan ESB og EES

Fyrirtæki, sem hafa aðsetur utan ESB og EES, þurfa einnig að fylgja reglunum ef þau bjóða íbúum í löndum innan ESB eða EES vörur sínar eða þjónustu eða kortleggja nethegðun Evrópubúa án þess að bjóða tiltekna þjónustu. Ef fyrirtæki starfa á fleiri en einum markaði á EES, þá þarf einungis að leita til persónuverndaryfirvalda í því landi þar sem þau hafa höfuðstöðvar.  

7. Nýjar skyldur eru lagðar á alla sem vinna með persónuupplýsingar fyrir hönd annarra

Þeir sem vinna með persónuupplýsingar fyrir hönd ábyrgðaraðila kallast vinnsluaðilar. Oft er um að ræða þá sem bjóða upplýsingatækniþjónustu. Nýja löggjöfin skyldar þessa aðila til að setja sér verklagsreglur um vinnslu og meðferð persónuupplýsinga. Vinnsluaðili má einungis fela öðrum aðilum hlutverk við vinnslu á vegum ábyrgðaraðila að fengnu samþykki hans. Vinnsluaðilinn ber sjálfstæða ábyrgð og getur orðið efnahagslega ábyrgur til jafns við ábyrgðaraðila. 

8. Öll fyrirtæki eiga að fylgja viðmiðum góðra og gegnra aðila á sínu sviði

Nýju reglurnar hvetja til þess að starfs- eða faggrein setji sér siða- og hátternisreglur innan hverrar starfsstéttar, þar sem fjallað verði um góða og viðurkennda starfshætti með tilliti til meðferðar persónuupplýsinga. Með slíkum reglum verður skýrara hvernig vinna skuli með persónuupplýsingar og vafaatriðum mun fækka. Afla verður staðfestingar Persónuverndar á reglunum. 

9. Öll fyrirtæki og stofnanir verða að uppfylla nýjar kröfur um viðbrögð við öryggisbrestum 

Reglur um hvernig bregðast skal við, þegar upp kemur öryggisbrestur, verða strangari. Löggjöfin mælir fyrir um skyldu ábyrgðaraðila til að tilkynna um slíkt, efni tilkynninga og hverjum þær skuli sendar. Í stuttu máli sagt á að tilkynna mun fyrr og oftar um öryggisbresti en nú er gert.  

10. Brot gegn reglunum geta varðað háum sektum

Ef fyrirtæki eða aðrir sem vinna með persónuupplýsingar brjóta gegn ákvæðum nýju löggjafarinnar geta persónuverndarstofnanir í Evrópu lagt á viðkomandi sekt sem nemur allt að 4% af árlegri heildarveltu fyrirtækis á heimsmarkaði eða allt að 20 milljónum evra. Fjárhæð sekta fer eftir eðli og alvarleika brots.

Í desember 2016 gaf evrópskur vinnuhópur í persónuverndarmálefnum, s.k. 29. gr. vinnuhópur, út fyrstu leiðbeiningarnar vegna hinnar nýju Evrópulöggjafar m.a. leiðbeiningar um samvinnu evrópskra persónuverndarstofnana sem unnt er að nálgast hér (uppfærðar 5. apríl 2017)

Einnig gaf vinnuhópurinn út yfirlit með algengum spurningum og svörum um samvinnu persónuverndarstofnana sem unnt er að nálgast hér.




Þetta vefsvæði byggir á Eplica