Persónuvernd hefur hafið undirbúning vegna nýrra evrópskra persónuverndarreglna sem koma til með að taka gildi í Evrópu árið 2018. Regluverkið mun þurfa að innleiða þær hérlendis á grundvelli EES-samningsins. Reglubreytingin er umfangsmesta endurbót á persónuverndarlöggjöfinni í tvo áratugi og felur í sér auknar skyldur fyrir fyrirtæki og stofnanir með það fyrir augum að efla réttarvernd einstaklinga. Fyrirtæki sem ekki hlíta breyttum reglum geta átt það á hættu að vera sektuð sem nemur 4% af heildar ársveltu á heimsmarkaði. Ef marka má aðsókn á málstofu sem Persónuvernd hélt á dögunum er ljóst að áhugi manna er mikill og að fyrirtæki eru nú þegar farin að gefa yfirvofandi breytingum gaum.

Að mörgu að huga fyrir fyrirtæki og stofnanir

Helga Þórisdóttir, forstjóri Persónuverndar, segir að með lagabreytingunni sé verið að setja öllum fyrirtækjum nýjar reglur á sama tíma og verið sé að styrkja grundvallarrétt einstaklinga til persónuverndar. „Þetta eru umfangsmestu endurbætur sem gerð­ ar hafa verið á persónuverndarlöggjöfinni í um tvo áratugi og því að mörgu að hyggja fyrir bæði einstaklinga og fyrirtæki sem þurfa að gera sér grein fyrir margvíslegum nýjum skyldum sínum í kjölfar löggjafarinnar.“ Helga segir að með breytingunum sé í raun verið að setja nýjar skyldur á öll fyrirtæki sem vinna með persónuupplýsingar, hvort sem fyrirtækið sé að vinna með upplýsingar um eigið starfsfólk, viðskiptavini, notendur eða aðra óháð því hvar í heiminum vinnslan fer fram. Löggjöfin mun til að mynda hafa það í för með sér að öll fyrirtæki á Íslandi þurfi að móta sér auðskiljanlega persónuverndarstefnu. Þá verði auk þess gerð­ ar auknar kröfur um fræðslu til starfsmanna sem og viðskiptavina um það hvernig unnið sé með persónuupplýsingar í þeirri starfsemi sem um er að ræða hverju sinni.

Hefur áhrif á hugbúnaðarkerfi

„Persónuupplýsingar eru skilgreindar í stuttu máli sem allar upplýsingar sem hægt er að rekja til einstaklings, beint eða óbeint. Krafa um auðskiljanlega persónuverndarstefnu felur í sér að fyrirtæki þurfa að átta sig á því hvað felst nákvæmlega í persónuverndarlöggjöfinni og meta hvaða vinnsla persónuupplýsinga fer fram í starfsemi þeirra sem fellur undir þá löggjöf. Öll fyrirtæki munu koma til með að þurfa að meta áhættuna sem hlýst af vinnslu persónuupplýsinga hjá þeim og gera viðeigandi öryggisráðstafanir eftir því. Auk þess kemur löggjöfin til með að hafa áhrif á hönnun allra hugbúnaðarkerfa sem fyrirtæki vinna með því eftir gildistöku nýju reglnanna þarf allur hugbúnaður að hafa svokallaða innbyggða eða sjálfgefna friðhelgi. Þetta felur í sér að kerfi verða í upphafi lokuð en ekki opin eins og gjarnan er í dag. Sem dæmi má nefna birtingu upplýsinga t.d. ljósmynda á samfélagsmiðlum til ótilgreinds fjölda einstaklinga án samþykkis eða að­ gerðar einstaklinga. Þegar lögin taka gildi mun í upphafi vera lokað fyrir slíkt nema notandi heimili sérstaklega að upplýsingar verði gerðar aðgengilegar og verði þá á sama tíma krafinn umhugsunar um hvað það hefur í för með sér,“ útskýrir Helga.

Nánar er fjallað um málið í Viðskiptablaðinu. Áskrifendur geta nálgast pdf-útgáfu af blaðinu undir hlekknum Tölublöð.