Faglegt efni
Persónuverndarfulltrúi
Nýtt hlutverk, nýjar skyldur, ný tækifæri
Deloitte veitir sértæka aðstoð í tengslum við hlutverk persónuverndarfulltrúa.
Birna María Sigurðardóttir og Ásdís Auðunsdóttir
Persónuverndarfulltrúinn (e. Data Protection Officer, DPO) er nýr leikmaður sem nýleg persónuverndarlög kynna til sögunnar.
Deloitte veitir sértæka aðstoð í tengslum við hlutverk persónuverndarfulltrúa. Sérfræðingar Deloitte bjóða þannig upp á þjónustu sem mætir kröfum þeirra fyrirtækja og stofnana sem kjósa að útvista hlutverkinu auk þess að veita skipuðum persónuverndarfulltrúum aðstoð og ráðgjöf.
Ljóst má vera af þeim verkefnum sem persónuverndarfulltrúa hefur verið úthlutað í lögunum, að hlutverk hans er sennilega umfangsmeira en margir átta sig á, enda er tilkoma hans flokkuð sem ein af stóru breytingunum í kjölfar nýrrar löggjafar.
Persónuverndarfulltrúa ber m.a. að fylgjast með að fyrirtæki og stofnanir uppfylli skyldur sínar gagnvart lögunum og því mikilvægt að vanda valið á þeim sem hlýtur verkefnið. Það getur jú enda reynst dýrkeypt að sofna á verðinum kjósi Persónuvernd í kjölfarið að beita sektarákvæðum sínum.
Hverjir þurfa að tilnefna persónuverndarfulltrúa?
Lögin gera ráð fyrir að fyrirtæki sem eru ábyrgðaraðilar eða vinnsluaðilar með persónuupplýsingar tilnefni persónuverndarfulltrúa í sérhverju tilviki þar sem:
- Vinnslan er í höndum opinbers yfirvalds eða stofnunar. Dómstólar eru hér sérstaklega undanskildir þegar þeir fara með dómsvald sitt.
- Meginstarfsemi fyrirtækja felst í vinnsluaðgerðum sem krefjast umfangsmikils, reglubundins og kerfisbundins eftirlits með skráðum einstaklingum eða
- Meginstarfsemi ábyrgðaraðila eða vinnsluaðila felst í umfangsmikilli vinnslu viðkvæmra upplýsinga skv. lögunum og persónuupplýsinga er varða sakfellingar í refsimálum og refsiverð brot sem um getur í lögunum.
Fyrirtækjasamstæðu er heimilt að skipa einn persónuverndarfulltrúa að því tilskildu að sérhver starfstöð hafi greiðan aðgang að honum. Með viðkvæmum persónuupplýsingum er hér átt við upplýsingar sem varða kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu. Þá falla upplýsingar um aðild að verkalýðsfélagi og vinna með erfðafræðilegar upplýsingar og lífkennaupplýsingar í því skyni að persónugreina einstaklinga með einkvæmum hætti, heilsufarsupplýsingar eða upplýsingar er varða kynlíf einstaklings eða kynhneigð einnig hér undir.
Hvað þarf persónuverndarfulltrúi að hafa til brunns að bera?
Fyrirtæki og stofnanir geta ákveðið að ráða sérstakan starfsmann til að sinna hlutverki persónuverndarfulltrúa eða tilnefna persónuverndarfulltrúa úr hópi núverandi starfsmanna sinna. Er þá mikilvægt að honum sé tryggt viðeigandi starfsumhverfi, t.d. hvað varðar sjálfstæði í starfi.
Einnig er hægt að fara þá leið að ráða utanaðkomandi persónuverndarfulltrúa á grundvelli þjónustusamnings. Slík útvistun getur til að mynda hentað þeim fyrirtækjum eða stofnunum þar sem ekki er nú þegar til staðar sérfræðiþekking í persónuvernd. Eins má þannig komast hjá því að ráða og/eða þjálfa upp nýjan starfsmann með tilheyrandi kostnaði.
Leiðbeiningar um það hvað persónuverndarfulltrúi þarf að hafa til brunns að bera eru ekki sérstaklega ítarlegar en í lögunum segir aðeins að hann skuli tilnefndur á grundvelli faglegrar hæfni sinnar. Þá einkum sérþekkingar á lögum og lagaframkvæmd á sviði persónuverndar og getu sinnar til að vinna þau verkefni sem um getur í lögunum.
Þegar litið er nánar til þeirra verkefna sem persónuverndarfulltrúi skal sinna má draga nokkra ályktun um hverskonar einstaklingur hentar í verkefnið.
Hlutverk og skyldur
Stöðu persónuverndarfulltrúa fylgja þónokkrar veigamiklar skyldur en í lögunum segir að hann skuli a.m.k. sinna eftirfarandi verkefnum:
- Upplýsa ábyrgðaraðila eða vinnsluaðila og starfsmenn sem annast vinnslu persónuupplýsinga um skyldur sínar samkvæmt lögunum sem og öðrum lagaákvæðum um persónuvernd og veita þeim ráðgjöf þar að lútandi.
- Fylgjast með því að farið sé að ákvæðum laganna og stefnum ábyrgðaraðila eða vinnsluaðila varðandi vernd persónuupplýsinga. Í þessu felst m.a. þjálfun á starfsfólki sem tekur þátt í vinnslustarfsemi og tilheyrandi úttektir.
- Veita ráðgjöf varðandi mat á áhrifum á persónuvernd og fylgjast með framkvæmd áhættumats.
- Vinna náið með persónuverndaryfirvöldum og vera tengiliður þeirra varðandi mál sem tengjast vinnslu persónuupplýsinga
- Vera tengiliður fyrir persónuverndaryfirvöld varðandi mál sem tengjast vinnslu og leita ráða, eftir því sem við á, varðandi önnur málefni
Miðað við það sem að ofan greinir er ljóst að persónuverndarfulltrúinn þarf allt í senn að vera fær stjórnandi sem getur átt í farsælum samskiptum við mismunandi hópa innan og utan fyrirtækja, vera sérfræðingur í faginu og geta greint áhættutengda vinnslu persónuupplýsinga og forgangsraðað verkefnum í samræmi. Ekki lítið verk það.
Hvað þarf til?
Mikilvægasta verkfæri persónuverndarfulltrúa er góð þekking á efni persónuverndarlaganna en það er þó einnig ýmislegt annað sem þarf til, svo sem haldbær skilningur og yfirsýn á starfsemi fyrirtækisins eða stofnunarinnar auk ákveðinnar tækniþekkingar.
Þar sem að persónuverndarfulltrúinn mun sinna ákveðnu stjórnendahlutverki þegar kemur að persónuverndarmálum fyrirtækisins þarf hann einnig að:
- Sjá til þess að vinnustaðarmenning innanhúss sé hliðholl persónuvernd og að starfsmenn séu meðvitaðir um skyldur sínar. Þá þarf hann auk þess að tryggja að ákvæði laganna séu uppfyllt.
- Sinna leiðbeiningarhlutverki varðandi:
- hvort og hvenær nauðsynlegt sé að framkvæma mat á áhrifum tiltekinnar tegundar vinnslu á persónuvernd (DPIA) sem og hvaða aðferðafræði eigi að fylgja við slíka greiningu (DPIA)
- hvort að slík vinna skuli framkvæmd af innanhúsaðilum eða utanaðkomandi aðili ráðinn í verkið
- hvort að greiningin hafi verið rétt framkvæmd og hvort að niðurstöður hennar og afurðir séu í samræmi við ákvæði laganna
- hvaða tæknilegra eða stjórnunarlegra fyrirbyggjandi ráðstafana eigi að grípa til til að draga úr áhættu þegar kemur að réttindum eða hagsmunum skráðra aðila
Eðli hlutverksins gerir það að verkum að persónuverndarfulltrúinn þarf að vera sjálfstæður í störfum sínum og skal hann heyra undir æðsta stjórnendastig fyrirtækja. Fyrirtækinu eða stofnuninni ber einnig að veita honum allan nauðsynlegan aðgang og trygga að hann geti sinnt verkefnum sínum samkvæmt lögunum. Persónuverndarfulltrúinn má einnig sinna öðrum verkefnum og skyldustörfum en fyrirtæki og stofnanir verða að tryggja að slík verkefni og skyldustörf leiði ekki til hagsmunaárekstra.
Viltu nánari kynningu?
Sé áhugi fyrir því innan þíns fyrirtækis að fá nánari kynningu á því hvað löggjöfin þýðir fyrir þitt fyrirtæki og hvernig Deloitte nálgast vinnu við slík verkefni, hvetjum við þig til að hafa samband við okkur en tengiliðaupplýsingar má finna neðst hér á síðunni.