Persónuvernd: Aukin réttindi einstaklinga

Ein krafa nýju löggjafarinnar kveður á um að einstaklingar skuli hafa greiðan aðgang að persónuupplýsingum sem þeir hafa látið viðkomandi fyrirtæki í té, óski þeir eftir því.

Áætlað er að ný evrópsk perónuverndarlöggjöf (GDPR) muni taka gildi í Evrópu, þar á meðal á Íslandi, þann 25. maí 2018. Nýja löggjöfin mun leggja auknar skyldur á fyrirtæki hvað varðar öflun og vinnslu persónuupplýsinga. Hér verður fjallað stuttlega um nýjar eða breyttar kröfur varðandi þau auknu réttindi sem einstaklingar fá og hvernig fyrirtæki geta brugðist við þeim.

Réttur til aðgangs, leiðréttinga o.fl.

Áður en fyrirtæki þitt getur hafist handa við vinnslu persónuupplýsinga er nauðsynlegt að einstaklingurinn sem gögnin lúta að fái upplýsingar um að vinnslan sé að hefjast. Ein krafa nýju löggjafarinnar kveður á um að einstaklingar skuli hafa greiðan aðgang að persónuupplýsingum sem þeir hafa látið viðkomandi fyrirtæki í té, óski þeir eftir því. Þá skal vera hægt að upplýsa um tilgang vinnslunnar, flokka upplýsinga sem og viðtakendur þeirra og afrit af gögnunum þurfa að vera aðgengileg þeim einstaklingum sem eiga í hlut.

Í þeim tilfellum sem gögn eru óáreiðanleg eða ófullnægjandi eiga einstaklingar rétt á því að fara fram á leiðréttingu. Hafi óáreiðanlegum eða ófullnægjandi upplýsingum verið deilt með þriðja aðila þá er fyrirtækjum einnig skylt að upplýsa þá aðila um leiðréttu upplýsingarnar, nema í þeim tilvikum þar sem slíkt krefst óhóflegrar fyrirhafnar með tilliti til aðstæðna. Fyrirtækjum mun verða skylt að bregðast við öllum slíkum beiðnum innan mánaðar, en frestinn er þó hægt að framlengja um tvo mánuði ef eðli beiðninnar og umfang krefst þess.

Einstaklingum sem perónuupplýsingarnar lúta að verður auk þess heimilt að mótmæla vinnslu upplýsinganna og ber þá fyrirtækinu að stöðva vinnsluna. Ef vinnslan er þess eðlis að nauðsynlegt þykir að halda áfram að vinna með gögnin, þrátt fyrir mótmæli, þá verður vinnsluaðili að geta sýnt fram á aðkallandi lögmætar ástæður sem ganga framar hagsmunum, réttindum og frelsi þess einstaklings sem upplýsingarnar varða.

Rétturinn til að gleymast

Rétturinn til að gleymast hefur verið þónokkuð í umræðunni undanfarin misseri en misskilnings hefur þó gætt um raunveruleg áhrif ákvæðisins. Samkvæmt því ber fyrirtækjum skylda til að eyða persónuupplýsingum innan mánaðar frá því að ósk um slíkt berst frá einstaklingi (skráðum aðila), ef eftirfarandi á við:

• Persónuupplýsingar eru ekki lengur nauðsynlegar í þeim tilgangi sem upphaflega lá að baki söfnun þeirra
• Skráður aðili dregur samþykki sitt fyrir vinnslunni til baka
• Skráður aðili mótmælir vinnslu gagnanna
• Vinnsla persónuupplýsinganna var ólögmæt

Eigi eitthvað af þessum atriðum við verður fyrirtækinu skylt að grípa til eðlilegra ráðstafana til eyðingar persónuupplýsinganna án ótilhlýðilegrar tafar. Eins fellur skylda á þriðja aðila um að eyða þeim gögnum sem hann gæti haft undir höndum. Ef fyrirtækið hefur gert þessi gögn opinber þá þarf að láta þá aðila vita af eyðingarferlinu. Um ákvæðið gilda þó undantekningar, en til að mynda er hægt að hafna beiðni um eyðingu ef vinnslan er nauðsynleg til að neyta réttarins til tjáningar- og upplýsingafrelsis eða ef vinnslan er í þágu almannahagsmuna.

Réttur til að flytja eigin gögn

Ákvæði um hreyfanleika gagna er nýtt af nálinni en það veitir skráðum einstaklingi heimild til að fá aðgang að persónuupplýsingum sem varða hann sjálfan, endurnýta þær og senda þær til annars ábyrgðaraðila. Gögnin skulu afhent á hnitmiðuðu, almennu og stafrænu formi þannig að endurnotkun þeirra sé möguleg.

Handhægast er að skipta innleiðingarferlinu varðandi ákvæði um hreyfanleika gagna í nokkur skref. Í fyrsta lagi þarf fyrirtækið að aðlaga upplýsingakerfi svo þau eigi auðvelt með að taka á móti og vinna úr beiðnum um slíkan gagnaflutning. Upplýsingakerfi þurfa að tryggja aðgengileika gagna, takmarkað aðgengi, eytt gögnum og gert leiðréttingar á gögnum ef þess gerist þörf.

Í öðru lagi þá þarf að innleiða skipulagt ferli til þess að verða við beiðnum á auðveldan og skjótan hátt. Til þess að geta orðið við beiðnum innan skilgreinds tímaramma er mikilvægt að samskiptin á milli mismunandi deilda í fyrirtækinu séu skilvirk og góð.
Rétturinn til að flytja gögnin er ekki algildur og verður ákvörðun varðandi beiðnina að vera í takt við lögmæti hennar og ætti til að mynda að vera tekin með tilliti til réttinda og frelsi annarra. Vinnslan verður einnig að byggjast á samþykki notenda eða samningi ella ber fyrirtækinu ekki skylda til þess að verða við slíkri beiðni.

Umrætt ákvæði um rétt skráðra einstaklinga til að flytja eigin gögn leggur vissulega þónokkrar kvaðir á fyrirtæki en þó er vert að hafa í huga að ef tekst að uppfylla þau skilyrði sem gera slíkan flutning mögulegan hefur fyrirtækinu á sama tíma tekist að uppfylla ýmis önnur skilyrði gagnvart skráðum einstaklingum sem sett eru fram í nýrri löggjöf. Ef fyrirtæki eru að sama skapi komin vel á veg með að innleiða skilvirkt ferli sem gerir fyrirtækinu kleift að bregðast við beiðnum um eyðingu, aðgang eða takmörkun á gögnum þá er fyrirtækið einnig komið vel á veg með að uppfylla skilyrði reglugerðarinnar um hreyfanleika gagna.

Höfundar:

Ásdís Auðunsdóttir, verkefnastjóri og lögfræðingur í Áhættuþjónustu Deloitte.
Birna María Sigurðardóttir, meðeigandi í Áhættuþjónustu Deloitte.