Það er ekki ókeypis að búa sig undir umfangsmestu breytingar sem gerðar hafa verið á lögum um persónuvernd í um tvo áratugi.

Samkvæmt þeim fyrirtækjum, hagsmunasamtökum og opinberu stofnunum sem Viðskiptablaðið hefur rætt við felur innleiðing og framfylgd nýrrar persónuverndarreglugerðar Evrópusambandsins ( General Data Protection Regulation , GDPR) í sér umtalsverðan kostnað. Fyrir stærstu fyrirtæki landsins gæti kostnaður hvers fyrirtækis við innleiðingu reglugerðarinnar numið tugum milljóna króna. Allt í allt gæti bókhaldslegur kostnaður hagkerfisins við innleiðingu reglugerðarinnar hlaupið á milljörðum króna. Við það bætast háar fjárhæðir á ári hverju til framtíðar vegna framfylgdar laganna.

GDPR, sem leysir fyrri persónuverndarreglur af hólmi, felur í sér fleiri og strangari skuldbindingar um verndun gagna en áður. Reglugerðin snertir fyrirtæki, sveitarfélög, ríkisaðila og félagasamtök og alla þá sem vinna með upplýsingar sem tengja má við einstaklinga, hvort heldur um eigið starfsfólk, viðskiptavini, notendur eða aðra. Um er að ræða upplýsingar á borð við kreditkortanúmer, heimilisföng, passamyndir, lífkenni, ferðasögu, IP-tölur, leitarsögu á vefnum, kynþátt, trúarbrögð, stjórnmálaskoðanir og fleira. Meðal ákvæða reglugerðarinnar eru skylda til ritunar persónuverndarstefnu, ráðningar persónuverndarfulltrúa hjá mörgum fyrirtækjum og öllum stofnunum og áhættumats á vinnslu persónuupplýsinga út frá friðhelgi einkalífs.

Samhliða gríðarlegum tækniframförum er upplýsingaöflun fyrirtækja og stofnana og vinnsla upplýsinga sem tengja má við einstaklinga orðin meiri en nokkru sinni fyrr. GDPR, sem hefur verið í undirbúningi í áratug, er þannig svar ESB við tæknibreytingum. Reglugerðin kom til framkvæmda innan aðildarríkja ESB þann 25. maí síðastliðinn. Alþingi leiddi efni reglugerðarinnar í íslensk lög fyrir rúmlega viku, en þar sem vernd persónuupplýsinga er talin hluti af EES-samningnum bar Alþingi skylda til að taka GDPR upp í íslenskan rétt nánast eins og hún kemur af skepnunni. Nýju persónuverndarlögin taka gildi hér á landi þann 15. júlí næstkomandi.

Mjög íþyngjandi

„Allir þeir sem eru með viðskiptavini eða starfsfólk finna fyrir GDPR með einum eða öðrum hætti. Það kæmi ekki á óvart ef kostnaðurinn við þessa reglugerð væri mældur í milljörðum. Maður veltir óhjákvæmilega fyrir sér hvort allur þessi kostnaður sé þess virði og hvort einstaklingum muni líða betur með sínar persónuupplýsingar eftir þessar breytingar,“ segir Davíð Þorláksson, forstöðumaður samkeppnishæfnissviðs Samtaka atvinnulífsins (SA).

SA skrifuðu undir sameiginlega umsögn við persónuverndarfrumvarpið í vor ásamt stærstu hagsmunahópum atvinnulífsins, þar sem gerðar voru alvarlegar athugasemdir við frumvarpið. Þar kom meðal annars fram að reglugerðin leggi „verulega auknar byrðar“ á fyrirtæki og leiði óhjákvæmilega til mikils kostnaðarauka fyrir atvinnulífið.

Kostnaðurinn við GDPR, sem er óvalkvæður, skiptist í grófum dráttum á innleiðingu og aðlögun að reglugerðinni annars vegar og framfylgd hennar hins vegar.

Innleiðingin felur í sér verulegan kostnað við ráðgjöf, véla- og hugbúnaðaruppfærslur, fjölgun stöðugilda, þjálfun starfsmanna og fleira. Hún felur einnig í sér fórnarkostnað, þar sem aðföngum er mögulega ráðstafað til innleiðingar á GDPR úr tekjuskapandi verkefnum yfir nokkurra mánaða tímabil.

Kostnaðurinn við framfylgd laganna felur í sér fastan kostnað á hverju ári til framtíðar, meðal annars vegna tilnefningar persónuverndarfulltrúa. Til að mynda áætlar Landspítalinn, samkvæmt upplýsingum frá spítalanum, að fastur kostnaður vegna GDPR verði um 17,6 milljónir króna á ári.

„Þetta eru háar fjárhæðir fyrir stór fyrirtæki hér á landi, sem eru með marga viðskiptavini. Sérstaklega er þetta dýrt fyrir fjármálafyrirtæki, sem búa yfir mjög miklum og viðkvæmum persónuupplýsingum. Hlutfallslega leggst þetta þó þyngst á lítil og meðalstór fyrirtæki, sem búa síður yfir miklum fjármunum til að verja í ráðgjöf, tæknimál og persónuverndarfulltrúa,“ segir Davíð.

Kostnaðurinn við GDPR bætist ofan á þær miklu kostnaðarhækkanir sem íslensk fyrirtæki hafa tekið á sig á undanförnum árum. Hafa þær meðal annars komið fram í formi mikilla launahækkana, sterks gengis krónunnar og hækkuðu lífeyrisframlagi.

Þeir aðilar sem uppfylla ekki kröfur GDPR þegar lögin taka gildi eða brjóta gegn ákvæðum nýju löggjafarinnar geta átt von á sektum frá Persónuvernd, sem annast eftirlit með framkvæmd laga um persónuvernd. Fyrir alvarlegustu brot getur sektin numið allt að 4% af árlegri heildarveltu fyrirtækis á heimsmarkaði eða allt að 20 milljónum evra (um 2,5 milljörðum króna), eftir því hvort er hærra. Stórfelld brot á lögunum geta einnig varðað fangelsisrefsingu allt að þremur árum. Fyrirtæki sem vanrækja skyldur sínar við meðferð persónuupplýsinga gætu þannig staðið frammi fyrir töluverðri rekstrar- og orðsporsáhættu.

Kostar evrópsk fyrirtæki um milljón

Samkvæmt könnun Intrum meðal tæplega 4.000 fyrirtækja innan ESB er áætlaður kostnaður evrópskra fyrirtækja vegna innleiðingar GDPR alls 198 milljarðar evra. Jafngildir það tæplega 25 þúsund milljörðum króna. Meðalkostnaður evrópskra fyrirtækja við innleiðinguna er tæplega ein milljón króna.

Samtök atvinnulífsins í Danmörku (Dansk Erhver) hafa metið innleiðingarkostnaðinn sem 8 milljarða danskra króna eða því sem nemur 137 milljörðum íslenskra króna. Meðalkostnaður þeirra nemur 657 þúsund íslenskum krónum, en fimmta hvert fyrirtæki var með útgjöld umfram 17 milljónir vegna GDPR. Kostnaðurinn fyrir sænsk fyrirtæki er hærri. Samkvæmt sænska viðskiptablaðinu Dagens Industri er áætlað að meðalkostnaðurinn sé því sem nemur 1,7 milljónum íslenskra króna.

Sé evrópska meðaltalið fært yfir á Ísland miðað við höfðatölu gæti heildarkostnaður íslenskra fyrirtækja vegna aðlögunar að GDPR numið alls 16,2 milljörðum króna. Einnig má gróflega áætla kostnaðinn fyrir íslenskt atvinnulíf með samanburði við það danska. Íslenskt atvinnulíf, miðað við fjölda virkra fyrirtækja, var tæplega 13% af stærð þess danska árið 2014 samkvæmt gögnum frá Hagstofu Íslands og Hagstofu Danmerkur. Miðað við það hlutfall gæti kostnaður íslensks atvinnulífs vegna GDPR numið yfir 17 milljörðum króna. Þar er þó ekki tekið tillit til fjármálafyrirtækja, tryggingafélaga, landbúnaðar, opinberrar stjórnsýslu og fjölgunar fyrirtækja frá árinu 2014.

Alþingi gekk of langt

GDPR hefur að geyma ýmis ákvæði sem heimila þjóðþingum aðildarríkja ESB og EES að setja sérreglur ásamt því að takmarka eða útfæra nánar tiltekin ákvæði reglugerðarinnar. Íslenska ríkið hafði þannig svigrúm til að ákveða með hversu íþyngjandi hætti GDPR var innleitt. Davíð segir Alþingi þó hafa gengið lengra í innleiðingu reglugerðarinnar en nauðsyn bar til.

„Íslenska ríkið ákvað að innleiða reglugerðina með mjög íþyngjandi hætti fyrir atvinnulífið, með setningu sérreglna og takmarkaðri nýtingu á undanþáguheimildum,“ segir Davíð. Dæmi um slíkar sérreglur eru vinnsla persónuupplýsinga látinna einstaklinga, leyfisskylda til vinnslu, dagsektir og að fyrirtæki í landinu standi undir kostnaði við eftirlit Persónuverndar.

„Þannig er reglugerðin dýrari fyrir íslensk fyrirtæki heldur en í flestum öðrum ríkjum. Þar með hefur Alþingi ákveðið að grafa undan samkeppnishæfni íslenskra fyrirtækja á alþjóðavettvangi, sem hefur farið versnandi.“ Skýrist það bakslag einkum af styrkingu krónunnar undanfarin ár.

Sigríður Andersen, dómsmálaráðherra sagði við fréttastofu RÚV fyrr í mánuðinum að fjöldi athugasemda hafi verið gerður við persónuverndarfrumvarpið. Sagði hún að meðal annars að ýmsar ábendingar hafi verið sprottnar af misskilningi eða vanþekkingu og að í mörgum tilfellum feli lögin í sér óbreytt réttarástand, með ákvæðum sem hafa mörg verið í lögum í 18 ár.

Nánar er fjallað um málið í Viðskiptablaðinu. Áskrifendur geta nálgast pdf-útgáfu af blaðinu með því að smella á hlekkinn Tölublöð .