GDPR: Meginreglan um ábyrgðarskyldu

Markmið meginreglunnar um ábyrgðarskyldu er að tryggja fylgni við kröfur reglugerðarinnar. Hún felur í sér ákveðna viðhorfsbreytingu sem hvetur til gagnsæis í gagnavernd, persónuverndarstefnu og notendastýringu, skýrra ferla og verklagsreglna við framkvæmd persónuverndar og að ábyrgð gagnvart ytri hagsmunaaðilum og persónuverndaryfirvöldum sé sýnileg.

Grundvallarreglum persónuverndar þarf að vera fylgt

Nýja reglugerðin setur fram kröfu þess efnis að ábyrgðaraðili sjái til þess að öllum grundvallarreglum persónuverndar sé fylgt, og að hann geti sýnt fram á þá fylgni. Í ljósi þessa þurfa fyrirtæki að huga að því á hvaða hátt hægt er að byggja upp slíka menningu innan fyrirtækjanna og getu þeirra til að sýna fram á hvernig þau axla þessa ábyrgð.

Meginatriði löggjafarinnar

Í fyrsta lagi þá þurfa fyrirtæki að vita hvaða grundvallarreglum þarf að fylgja. Nýja reglugerðin skilgreinir sex meginatriði; lögmæti, sanngirni og gagnsæi, takmarkanir vegna tilgangs, lágmörkun gagna, nákvæmni, geymslutakmörkun og heillindi og trúnað. Rétt uppbygging stjórnskipulags persónuverndar innan fyrirtækja er ein besta leiðin til þess að tryggja að þessum grundvallarreglum sé fylgt. Kröfur nýrrar reglugerðar marka leiðina að því. Sem dæmi má nefna að í reglugerðinni er sett fram krafa um að fyrirtækjum sé skylt að nota viðeigandi tækni- og rekstrarlegar ráðstafanir. Þar má nefna ráðstafanir eins og skráða ferla og verklagsreglur, áhættumat á áhrifum á persónuvernd, leiðbeinandi öryggistilmæli, innbyggða og sjálfgefna persónuvernd, skipun persónuverndarfulltrúa (í vissum tilfellum) og að halda skrá um vinnsluaðgerðir. Einnig þarf að veita siðareglum viðkomandi atvinnugreinar athygli, ef þær eru til staðar, sem og skyldunni til að upplýsa um öryggisatvik.

Skuldbindingar frá æðstu stjórnendum er mikilvæg

Sterk stjórnskipan er mikilvæg til þess að innleiðing krafna um persónuvernd heppnist sem best. Menningar- og rekstrarlegar breytingar innan fyrirtækja verða ekki til án skuldbindingar frá æðstu stjórnendum. Með því að þróa og innleiða verklagsreglur fyrir starfsmenn er hægt að tryggja betur fylgni við reglur um vinnslu og öryggi gagna. Tryggja þarf að allir þeir sem munu koma að vinnslu persónuupplýsinga fái viðeigandi fræðslu og þjálfun. Mikilvægt er líka að siðareglur og aðrar innri stefnur sem tengjast persónuvernd séu uppfærðar. Fylgni við siðareglur er ekki krafa nýrrar reglugerðar en sterklega er mælt með því að persónuvernd sé gefinn gaumur í þeim. Sem dæmi getur verið gott að geta um verklag varðandi vinnslu persónuupplýsinga í siðareglum, þannig að þegar ráðist er í framkvæmd á nýrri vinnslu persónuupplýsinga þá sé ekki einungis spurt að því hvort lagaheimild sé til staðar heldur einnig hvort vilji sé til að ráðast í framkvæmdina og hvernig sé líklegt að viðskiptavinir upplifi hana. Áhættu af nýrri vinnslu er skynsamlegt að meta í samhengi við mögulegan ábata. Siðareglur sem útfærðar eru með tilliti til vinnslu persónuupplýsinga auka áþreifanleika þeirrar ábyrgðar sem fyrirtæki sýna viðskiptavinum sínum.

Skráning aðgerða og vinnslu

Nýja reglugerðin leggur þá skyldu á herðar fyrirtækja að halda skrá um allar vinnsluaðgerðir sínar og grípa til aðgerða til að tryggja gagnaöryggi. Skylt er að skrá tilgang vinnslunnar og lýsingu á því hvernig gögnin eru varin. Hlutverk og skyldur bæði ábyrgðaraðila og vinnsluaðila eru skilgreind í reglugerðinni. Báðum aðilum er skylt að fylgja kröfum reglugerðarinnar og báðir bera ábyrgð og því ljóst að skyldur þessara aðila eru að breytast frá því sem áður var. Allar opinberar stofnanir og mörg fyrirtæki munu einnig þurfa að útnefna persónuverndarfulltrúa og þó það sé ekki meginhlutverk starfsins mun slíkur aðili geta hjálpað til við fylgjast með vinnsluaðgerðum og að með þær sé farið eins og kröfur reglugerðarinnar kveða á um.