Persónuvernd stendur á tímamótum um þessar mundir í umhverfi gríðarlegra tækniframfara síðustu ára þar sem upplýsingaöflun og vinnsla persónuupplýsinga er orðin meiri en nokkru sinni fyrr. Til að bregðast við breyttum raunveruleika hefur Evrópusambandið samþykkt nýja reglugerð um persónuvernd sem kemur til með að leysa fyrri persónuverndarreglur af hólmi, en áætlanir gera ráð fyrir að breytingarnar verði lögfestar hér á landi í maí á næsta ári.
Að sögn forstjóra Persónuverndar, Helgu Þórisdóttur, er hér um að ræða umfangsmiklar breytingar sem fyrirtæki geti ekki litið framhjá, enda felur löggjöfin í sér fleiri og strangari skuldbindingar fyrir fyrirtæki og stofnanir en áður. Þar má meðal annars nefna skyldu til ráðningar persónuverndarfulltrúa, ritun auðskiljanlegrar persónuverndarstefnu hjá hverju fyrirtæki og stofnun og mun Persónuvernd koma til með að geta beitt sektum gagnvart þeim aðilum sem ekki uppfylla skyldur sínar. Áætlanir gera ráð fyrir að sú skylda að hver ábyrgðaraðili þurfi að ráða til sín persónuverndarfulltrúa kalli á um 28.000ný störf í Evrópu og eru erlend fyrirtæki mörg hver nú þegar farin að undirbúa sig undir breytta tíma.
Allir þurfa að kynna sér löggjöfina
„Já, tímamótin eru í stuttu máli sagt þau að hvert einasta fyrirtæki þarf að staldra við og kanna hvort það fari að gildandi persónuverndarlögum og tilvonandi löggjöf. Breytingar á evrópskri persónuverndarlöggjöf voru samþykktar í maí 2016 og mun löggjöfin koma til framkvæmda í Evrópu í maí 2018. Stefnt er að sama innleiðingartíma hérlendis. Hvert einasta fyrirtæki landsins, öll stjórnvöld og allir ábyrgðaraðilar að vinnslu persónuupplýsinga munu þurfa að kynna sér nýju löggjöfina og setja sér verklagsreglur um þá vinnslu persónuupplýsinga sem fram fer á hverjum stað.
Auk þessa þurfa sömu aðilar að setja sér persónuverndarstefnu, þ.e. upplýsingar um hvernig viðkomandi fyrirtæki meðhöndlar persónuupplýsingar. Hver einasti vinnustaður landsins mun þannig þurfa að staldra við og huga að því hvaða persónuupplýsingar er verið að vinna með, hvers vegna eru þær unnar og hvernig er unnið með þær. Upplýsingar um hvernig fyrirtæki meðhöndlar persónuupplýsingar þurfa að vera á aðgengilegu og auðskiljanlegu formi.
Það eru gerðar strangari kröfur til framsetningar og innihalds fræðslu um hvernig unnið er með persónuupplýsingar og allar upplýsingar sem ætlaðar eru börnum þurfa t.d. að miðast við aldur þeirra og þroska. Það er því ekki lengur í boði að þekkja ekki lögin því þetta eru skyldur sem þurfa að fara í gátlista hvers einasta vinnustaðar á landinu. Öll fyrirtæki munu síðan þurfa að meta áhættu af vinnslu persónuupplýsinga og mögulegar afleiðingar fyrir persónuvernd ef út af bregður. Vinnustaðir þurfa t.d. að átta sig á því hvort þeir séu einungis að vinna með starfsmannaupplýsingar eða hvort þeir séu að meðhöndla viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í persónuverndarlöggjöfinni.
Þær reglur sem gilda í dag munu gilda áfram en í nýju löggjöfinni felast viðbætur og breytingar, t.d. hvað varðar samþykki. Það má svo dæmi sé tekið ekki lengur fyrirfram gefa sér samþykki fyrir vinnslu viðkvæmra persónuupplýsinga og fyrirfram hakað box verður til að mynda óheimilt þegar unnið er með slíkar persónuupplýsingar.“
Viðtalið við Helgu Þórisdóttur má lesa í heild sinni í nýjasta tölublaði Viðskiptablaðsins. Áskrifendur geta nálgast eintak af blaðinu á pdf-formi með því að smella á hlekkinn Tölublöð.
