Ný löggjöf um persónuvernd, sem tekur gildi í Evrópu í maí 2018, eykur rétt einstaklinga til að stjórna persónugreinanlegum upplýsingum sínum. Eitt mikilvægasta birtingarform þessara auknu réttinda er rétturinn um hreyfanleika gagna, þ.e. rétturinn til að fara fram á að persónuupplýsingar einstaklings séu fluttar frá einum aðila til annars. Þetta getur haft í för með sér töluverðan kostnað fyrir fyrirtæki, en þessi réttur getur líka haft í för með sér tækifæri sé rétt staðið að útfærslu og innleiðingu.

Tæknileg áskorun

Hreyfanleiki gagna krefst þess að fyrirtæki hafi getu til að flytja gögn sem þau hafa aflað og vistað stafrænt um einstakling til annarra aðila og getu til að taka á móti gögnum frá öðrum ábyrgðaraðilum. Krafan um hreyfanleika gagna snýst því bæði um tæknilega útfærslu og rétt einstaklinga. Út frá tæknilegu sjónarmiði þurfa ábyrgðaraðilar að tryggja að upplýsingakerfi þeirra sem safna og geyma upplýsingar um einstaklinga geti flutt og sent gögn á öruggan hátt. Í sumum tilfellum þá mun þetta krefjast þess að ábyrgðaraðili þurfi að aðlaga eða endurhanna ákveðin upplýsingakerfi, forrit og/eða búnað. Enn fremur er gerð krafa um það að gögn sé hægt að nálgast úr upplýsingakerfum á hnitmiðuðu, almennu og stafrænu formi þannig að endurnotkun gagnanna sé möguleg.

Frá sjónarhorni einstaklinga mun þessi réttur til hreyfanleika gagna þýða meiri stjórn yfir eigin gögnum. Þetta gerir einstaklingum kleift að nálgast þær persónugreinanlegu upplýsingar sem þeir hafa látið ábyrgðaraðilum í té. Ábyrgð­araðilar þurfa því að hanna og innleiða ferla og verklagsreglur um hvernig brugðist skuli við óskum einstaklinga um upplýsingar, auk þess að framkvæma þær breytingar sem þarf á upplýsingakerfum til að geta afhent gögnin stafrænt. Eftir að einstaklingur hefur fengið gögn sín afhent er gert ráð fyrir að hann geti sent þau til annars ábyrgðaraðila án þess að það sé íþyngjandi fyrir fyrri ábyrgðaraðila. Þar sem það er tæknilega mögulegt er gert ráð fyrir því að gögn séu send beint frá einum ábyrgðaraðila til annars. Í þessu sambandi er rétt að benda á að réttur einstaklinga til þess að óska eftir afriti af slíkum gögnum á vélrænu formi er einungis fyrir hendi ef skráði aðilinn lét ábyrgð­araðilanum gögnin í té og þau voru unnin með sjálfvirkum hætti og á grundvelli samþykkis eða til að uppfylla samningsskyldur.

Í framkvæmd

Í framkvæmd þýðir þetta að ábyrgðaraðilar verða að hafa getu til að láta viðskiptavinum sínum í té afrit af öllum þeim persónuupplýsingum sem þeir hafa um við­ komandi og getu til að flytja gögnin til annars ábyrgðaraðila eða þjónustuaðila. Til persónuupplýsinga teljast til dæmis upplýsingar sem verða til með notkun tiltekinnar þjónustu eða tækis eins og til dæmis gögn um staðsetningu eða gögn um hjartslátt úr heilsuúri. Af þessu leiðir að um gríðarstór gagnasöfn getur verið að ræða. Sem dæmi má nefna að tölvupóst verður að afhenda á þannig formi að lýsigögn varðveitist til að hægt sé að endurnýta gögnin, þannig myndi t.a.m. ekki duga að afhenda tölvupóst á pdf formi. Að verða við beiðni um hreyfanleika gagna getur verið afar tímafrekt og kostnaðarsamt hafi viðkomandi fyrirtæki ekki innleitt kröfur um innbyggða og sjálfgefna persónuvernd í upplýsingakerfi sín.

Forskot í samkeppni

Þessi réttindi geta haft mikil áhrif á fyrirtæki vegna þess að þau koma til með að breyta tengslunum milli einstaklinga og ábyrgðaraðila. Einstaklingum verður gert kleift að stýra gögnum sínum í gegnum mismunandi miðla með ýmsum hugbúnaði. Sá miðill sem einstaklingurinn kýs svo að nota skal móttaka allar upplýsingar hans. Sé það ekki miðill á vegum viðkomandi ábyrgðaraðila getur hann staðið frammi fyrir því að þurfa að flytja gögn til samkeppnisaðila, og mögulega vera beðinn um að eyða upplýsingum, sem jafnvel geta verið verðmætar og langur tími hefur farið í að afla.

Það er því mikilvægt að fyrirtæki byrji sem fyrst að innleiða verkferla til að bregðast við beiðnum um hreyfanleika gagna og kanna hvort og hvaða breytingar þarf að gera í upplýsingakerfum. Hvað það varðar þarf að hafa í huga að rétturinn um hreyfanleika gagna auðveldar einstaklingum að skipta um þjónustuaðila. Hér gæti samkeppnisforskot falist í því að hanna notendavænt viðmót sem einstaklingar geta notað til að öðlast betri yfirsýn og stjórn á sínum upplýsingum.

Birna María Sigurðardóttir, meðeigandi í Áhættuþjónustu Deloitte og Björn Ingi Victorsson, meðeigandi og sviðsstjóri Áhættuþjónustu Deloitte .