Reglur um meðferð persónuupplýsinga í ríkjum EES (þ.á m. á Íslandi) byggja á tilskipun ESB frá árinu 1995. „Persónuupplýsingar“ er víðtækt hugtak, sem tekur til allra þeirra upplýsinga, sem tengjast einstaklingi og lífi hans, s.s. nafn hans, heimilisfang, starf, áhugamál, fjárhagsupplýsingar og viðskiptahegðun. Reglurnar gilda um vinnslu persónuupplýsinga, en „vinnsla“ er einnig víðtækt hugtæk og gildir um alla meðferð persónuupplýsinga, s.s. söfnun, afritun, birtingu, flutning, breytingar og eyðingu á slíkum upplýsingum.

Frá árinu 1995 hafa miklar tæknibreytingar átt sér stað, m.a. með tilkomu ýmissa samfélagsmiðla á netinu og með aukinni stafrænni þjónustu á öllum sviðum, sem hefur leitt til stóraukinnar söfnunar, notkunar og viðskipta með persónuupplýsingar.

Af þessum sökum og sem hluti af stefnu ESB um að koma á „sameiginlegum stafrænum markaði“ innan ESB, var reglugerð um persónuvernd sett þann 27. apríl 2016, sem mun gilda í öllum ríkjum ESB. Reglugerðin tekur einnig til EES-ríkja, sem munu þurfa að innleiða efni hennar í landslög. Reglugerðin tekur gildi þann 25. maí 2018.

Að sumu leyti byggir reglugerðin á meginreglum tilskipunarinnar frá árinu 1995. Hins vegar innleiðir hún ýmsar mikilvægar breytingar á þessu sviði, sem tengjast auknum réttindum einstaklinga og auknum skyldum fyrirtækja í hinum stafræna heimi.

Helstu breytingar reglugerðarinnar frá núgildandi reglum, sem hafa áhrif á persónuverndarmál fyrirtækja, eru eftirfarandi:

Samþykki

Samþykki einstaklings til vinnslu persónuupplýsinga er grundvallarskilyrði, sem fyrirtæki þurfa að virða. Nýjar reglur um samþykki felast m.a. í því að samþykkið má ekki vera ákvæði, sem „falið“ er í stærri samningi, heldur þarf það að vera aðgreint, skýrt og ótengt öðrum skilmálum.

Gegnsæi og upplýsingar um vinnslu

Auknar kröfur eru gerðar um gegnsæi við vinnslu persónuupplýsinga og að einstaklingar séu upplýstir t.d. um umfang og tilgang vinnslunnar, hvort persónuupplýsingar verða fluttar yfir landamæri, hvaða rétt einstaklingar hafa til að fá upplýsingar leiðréttar og hvernig þeir geta afturkallað samþykki.

Flutningshæfi persónuupplýsinga

Auknar kröfur eru einnig gerðar um aðgengi einstaklinga að eigin persónuupplýsingum. Þá eru nýjar reglur um „flutningshæfi“ persónuupplýsinga, þ.e. að einstaklingur geti fengið á aðgengilegu formi og á einum stað allar persónuupplýsingar, sem fyrirtæki geymir um einstaklinginn, m.a. í því skyni að flytja þær upplýsingar annað.

Réttur til eyðingar persónuupplýsinga

Þetta hefur einnig verið nefnt „rétturinn til að gleymast“. Einstaklingur getur farið fram á eyðingu persónuupplýsinga, m.a. ef upplýsingarnar eru ekki lengur nauðsynlegar fyrir þá vinnslu, sem um ræðir eða ef einstaklingurinn tekur aftur samþykki sitt og ekki er hægt að sýna fram á að áframhaldandi vinnsla sé nauðsynleg.

Réttur barna

Börnum er veitt ýmis réttindi í ljósi þess, að talið er að þau séu sérstaklega berskjölduð þegar kemur að vinnslu persónuupplýsinga. Ekki síst á þetta við um samþykki til vinnslu og þegar netþjónustu er beint sérstaklega að börnum, er skilyrði að foreldri veiti samþykki fyrir vinnslunni.

Auknar skyldur vinnsluaðila

Reglurnar tilgreina ýmsar nýjar skyldur vinnsluaðila, í ljósi þess að vinnsla persónuupplýsinga sem þjónusta við önnur fyrirtæki hefur aukist til muna. Meðal annars skulu vinnsluaðilar halda skriflegar skrár um þá vinnslu, sem á sér stað og hafa skriflegan samning um vinnsluna.

Skipulag og eftirlit í tengslum við vinnslu persónuupplýsinga

Einhverjar viðamestu breytingarnar tengjast skipulagi og eftirliti fyrirtækja með eigin vinnslu persónuupplýsinga. Sem dæmi má nefna að fyrirtæki þurfa að tryggja bæði tæknilega þætti og innra skipulag með þeim hætti, að reglur um persónuvernd séu virtar. Í þessu sambandi þarf m.a. að upplýsa og þjálfa starfsfólk, hafa skýrar verklagsreglur fyrir hendi og laga reglufylgni sérstaklega að fyrirtækinu og þeirri vinnslu, sem þar á sér stað. Þá skulu fyrirtæki gera sér sérstaka, skriflega persónuverndarstefnu.

Brot og viðurlög

Bæði eftirlitsvald og sektarvald er aukið til muna og t.d. geta sektir numið allt að 20 milljónum evra eða 4% af ársveltu fyrirtækis. Þá munu einstaklingar geta farið fram á greiðslu skaðabóta vegna brota, sem þeim tengjast. Með ofangreinda þætti í huga, er ráðlegt að fyrirtæki undirbúi breytingar og endurskipuleggi persónuverndarmál sín til samræmis við nýjar reglur tímanlega áður en þær taka gildi.

Höfundur er lögmaður hjá Fjeldsted & Blöndal lögmannsstofu og sérfræðingur í persónuverndarrétti