GDPR: Nýtt landslag í persónuvernd

„Fyrirtæki þurfa að tryggja vernd þeirra gagna sem þau hafa aflað frá viðskiptavinum sínum og á sama tíma sýna stjórnvöldum fram á fylgni við löggjöfina."

Þeir sem hafa fylgst með þróun mála varðandi persónu- og gagnavernd eru líklega meðvitaðir um þær miklu breytingar sem eru fram undan. Stærsta breytingin á þessu sviði í áraraðir átti sér stað þann 27. apríl 2016 þegar forsetar Evr- ópuþingsins og -ráðsins skrifuðu undir nýja reglugerð um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, sem mun taka gildi í Evr- ópu þann 25. maí 2018. Á ensku nefnist reglugerðin General Data Protection Regulation og er í daglegu tali oft nefnd GDPR.

Frá þeim degi munu fyrirtæki þurfa að sýna fram á að þau geti verndað persónugreinanlegar upplýsingar einstaklinga, auk þess að vera í stakk búin til að upplýsa einstaklinga um vinnslu og meðferð persónuupplýsinga þeirra, sé eftir því leitað. Þetta kallar á miklar breytingar í upplýsingakerfum og ferlum. Fyrirtæki hafa nú um ár til undirbúnings áður en reglugerðin tekur gildi og líklegast eiga mörg þeirra ærið verk fyrir höndum við undirbúning.

Vernd persónuupplýsinga er talin hluti af EES-samningnum og því ljóst að reglugerðin verður tekin upp í íslenskan rétt. Nákvæm tímasetning á því hvenær hún mun hljóta þinglega meðferð hjá Alþingi liggur ekki fyrir en skynsamlegt er fyrir fyrirtæki að hefja undirbúning strax þar sem um umfangsmiklar og tímafrekar breytingar getur verið að ræða.

Aukinn réttindi

Með tilkomu nýju reglugerðarinnar fær almenningur stóraukin réttindi hvað gagnavernd varð- ar miðað við það sem áður hefur þekkst. Fyrirtæki þurfa að tryggja vernd þeirra gagna sem þau hafa aflað frá viðskiptavinum sínum og á sama tíma sýna stjórnvöldum fram á fylgni við löggjöfina. Þetta þýðir, meðal annars, að fyrirtæki þurfa sem fyrst að kynna sér vel hvaða breytingar og auknu kröfur löggjöfin mun leggja á þau, greina og flokka persónugreinanleg gögn sem unnið er með, framkvæma áhættumat og uppfæra verklagsreglur. Einnig þarf að huga að því hvernig á að eyða gögnum þar sem það getur verið erfiðara í framkvæmd en það hljómar. Hver einstaklingur mun eiga rétt á því að vita hvaða upplýsinga fyrirtækið hefur aflað, unnið með og vistað um viðkomandi og einnig, í vissum tilfellum, rétt á því að láta eyða gögnum óski hann þess. Þetta er eitthvað sem mun skapa talsverðar áskoranir fyrir fjölda fyrirtækja.

Margir stjórnendur standa nú frammi fyrir áleitnum spurningum um það hvernig fyrirtæki þeirra séu undirbúin fyrir þessar umfangsmiklu breytingar og hvaða skref þurfi að stíga til frekari undirbúnings. Í því skyni langar okkur hjá Deloitte að deila okkar reynslu og sjónarmiðum varðandi löggjöfina og munum á komandi vikum og mánuðum reglulega birta greinar og fróðleik um ýmsa þætti löggjafarinnar. Markmiðið er að veita lesendum þær upplýsingar sem þeir þurfa til þess að undirbúa sig fyrir nýtt landslag í persónuvernd.