Faglegt efni
GDPR: Nýtt landslag í persónuvernd
Breyting á umhverfi persónuverndar - ferðalag fram að 25. maí 2018
Grein birtist í Viðskiptablaðinu
Birna María Sigurðardóttir
Þeir sem hafa fylgst með þróun mála varðandi persónu- og gagnavernd eru líklega meðvitaðir um þær miklu breytingar sem eru framundan.
Stærsta breytingin á þessu sviði í áraraðir átti sér stað þann 27. apríl 2016 þegar forsetar Evrópuþingsins og –ráðsins skrifuðu undir nýja reglugerð um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, sem mun taka gildi í Evrópu þann 25. maí 2018. Á ensku nefnist reglugerðin General Data Protection Regulation og er í daglegu tali oft nefnd GDPR.
Frá þeim degi munu fyrirtæki þurfa að sýna fram á að þau geti verndað persónugreinalegar upplýsingar einstaklinga, auk þess að vera í stakk búin til að upplýsa einstaklinga um vinnslu og meðferð persónuupplýsinga þeirra, sé eftir því leitað. Þetta kallar á miklar breytingar í upplýsingakerfum og ferlum. Fyrirtæki hafa nú um ár til undirbúnings áður en reglugerðin tekur gildi og líklegast eiga mörg þeirra ærið verk fyrir höndum við undirbúning.
Umfangsmiklar og tímafrekar breytingar
Vernd persónuupplýsinga er talin hluti af EES-samningnum og því ljóst að reglugerðin verður tekin upp í íslenskan rétt. Nákvæm tímasetning á því hvenær hún mun hljóta þinglega meðferð hjá Alþingi liggur ekki fyrir en skynsamlegt er fyrir fyrirtæki að hefja undirbúning strax þar sem um umfangsmiklar og tímafrekar breytingar getur verið að ræða.
Almenningur fær stóraukin réttindi
Með tilkomu nýju reglugerðarinnar fær almenningur stóraukin réttindi hvað gagnavernd varðar miðað við það sem áður hefur þekkst. Fyrirtæki þurfa að tryggja vernd þeirra gagna sem þau hafa aflað frá viðskiptavinum sínum og á sama tíma sýna stjórnvöldum fram á fylgni við löggjöfina. Þetta þýðir, meðal annars, að fyrirtæki þurfa sem fyrst að kynna sér vel hvaða breytingar og auknu kröfur löggjöfin mun leggja á þau, greina og flokka persónugreinanleg gögn sem unnið er með, framkvæma áhættumat og uppfæra verklagsreglur. Einnig þarf að huga að því hvernig á að eyða gögnum þar sem það getur verið erfiðara í framkvæmd en það hljómar. Hver einstaklingur mun eiga rétt á því að vita hvaða upplýsingar fyrirtækið hefur aflað, unnið með og vistað um viðkomandi og einnig, í vissum tilfellum, rétt á því að láta eyða gögnum óski hann þess. Þetta er eitthvað sem mun skapa talsverðar áskoranir fyrir fjölda fyrirtækja.
Næstu skref fyrir stjórnendur
Margir stjórnendur standa nú frammi fyrir áleitnum spurningum um það hvernig fyrirtæki þeirra séu undirbúin fyrir þessar umfangsmiklu breytingar og hvaða skref þurfi að stíga til frekari undirbúnings. Í því skyni langar okkur hjá Deloitte að deila okkar reynslu og sjónarmiðum varðandi löggjöfina og munum á komandi vikum og mánuðum reglulega birta greinar og fróðleik um ýmsa þætti löggjafarinnar. Markmiðið er að veita lesendum þær upplýsingar sem þeir þurfa til þess að undirbúa sig fyrir nýtt landslag í persónuvernd.
Við hjá Deloitte getum deilt reynslu okkar og ráðgjöf varðandi löggjöfina.
Við mælum með
Persónuvernd - GDPR
Greinar og fróðleiksmolar um persónuvernd