Að hverju eiga stjórnendur að spyrja í tengslum við persónuvernd?

Öll fyrirtæki og stofnanir ættu nú að hafa hafist handa við innleiðingu krafna nýrra persónuverndarlaga. Eins og margir hafa fundið á eigin skinni er í mörg horn að líta og getur reynst erfitt fyrir stjórnendur að ná yfirsýn yfir gang mála og hversu nálægt fyrirtækið er settum markmiðum í tengslum við persónuvernd. 

Engum dylst að stjórnvöld hafa undanfarið lagt aukna áherslu á perónuvernd m.a. með auknum vald- og sektarheimildum persónuverndaryfirvalda. Á sama tíma hefur umræða og athygli almennings beinst í auknu mæli að málaflokknum og því ljóst að vanræksla í tengslum við ákvæði nýrra persónuverndarlaga felur allt í senn í sér fjárhags- og orðsporsáhættu fyrir fyrirtæki og stofnanir landsins.  Yfirsýn og eftirlit stjórnenda og endurskoðunarnefnda með framkvæmd og stöðu persónuverndarmála er því mikilvægur partur af áhættustýringu í hvaða fyrirtæki eða stofnun sem er.

Til þess að öðlast slíka yfirsýn er nausynlegt að átta sig á því hverjar kröfurnar eru í raun og hvaða spurninga þarf að spyrja.

Dæmi um spurningar til að spyrja þegar mat er lagt á fylgni við persónuverndarlög:

• Er til staðar heildstæð persónuverndarstefna innanhúss og hafa verklagsreglur verið útbúnar og innleiddar í samræmi við hana?
• Hefur fyrirtækið/stofnunin lagt mat á það hvort því beri að skipa persónuverndarfulltrúa?
• Hefur fyrirtækið/stofnunin skilgreint í hvaða tilvikum það er vinnsluaðili og hvenær það er ábyrgðaraðili?, og gert vinnslusamninga við vinnsluaðila sína? 
• Hvernig er miðlun persónuupplýsinga úr landi, ef einhver er, háttað?
• Er meginreglu um lágmörkun gagnavinnslu fylgt?
• Hefur verið lagt mat á það hvernig skuli brugðist við nýjum og ítarlegri réttindum skráðra einstaklinga?
• Hefur verið útbúin skrá yfir vinnslustarfsemi fyrirtækisins/stofnunarinnar?
• Eru til staðar verklagsreglur og ferlar í tengslum við mögulega öryggisbresti?
• Hefur verið skilgreindur lagagrundvöllur þeirrar vinnslu persónuupplýsinga sem á sér stað í fyrirtækinu?
• Er heimild fyrir vinnslu persónuupplýsinga í einhverjum tilvikum byggð á samþykki? Er örugglega rétt að því staðið?
• Hafa verið birtar opinberar persónuverndarstefnur á viðeigandi stöðum og er tryggt að staðið sé rétt að upplýsingagjöf gagnvart einstaklingum?
• Hefur verið ráðist í einhverjar aðgerðir til að tryggja að vinnsla persónuupplýsinga uppfylli gerðar kröfur um öryggi?
  Hefur starfsfólk hlotið viðeigandi fræðslu um persónuvernd og öryggisbresti og er það meðvitað um hlutverk sín því tengdu?
• Eru til staðar ferlar sem tryggja áreiðanleika þeirra persónuupplýsinga sem unnið er með?
• Hefur fyrirtækið/stofnunin skilgreint í hvaða tilvikum þarf að framkvæma mat á áhrifum á persónuvernd (e. DPIA)?
• Hefur verið hugað að innbyggðri og sjálfgefinni persónuvernd þar sem þess er þörf?