Faglegt efni

Persónuverndarfulltrúi

Nýtt hlutverk, nýjar skyldur, ný tækifæri

Ný reglulegerð um persónuvernd

Birna María Sigurðardóttir & Ásdís Auðunsdóttir - október 2017

Persónuverndarfulltrúinn (e. Data Protection Officer, DPO) er nýr leikmaður sem reglugerð ESB um vernd einstaklinga í tenglum við vinnslu persónuupplýsinga (GDPR), kynnir til sögunnar.

Ljóst má vera af þeim verkefnum sem honum hefur verið úthlutað í reglugerðinni, að hlutverk hans er sennilega umfangsmeira en margir átta sig á, enda er tilkoma hans flokkuð sem ein af stóru breytingunum í kjölfar nýrrar löggjafar.

Komandi persónuverndarfulltrúar munu m.a. fylgjast með að fyrirtæki og stofnanir uppfylli skyldur sínar gagnvart reglugerðinni og því mikilvægt að vanda valið á þeim sem hlýtur verkefnið. Það getur jú enda reynst dýrkeypt að sofna á verðinum kjósi Persónuvernd í kjölfarið að beita sektarákvæðum sínum.

Hverjir þurfa að tilnefna persónuverndarfulltrúa?

Mikil umræða átti sér stað um stöðu og hlutverk persónuverndarfulltrúans við undirbúningsvinnu reglugerðarinnar og í upphaflegri útgáfu hennar var aðeins gerð krafa um að slíkur fulltrúi yrði skipaður í fyrirtækjum þar sem störfuðu 250 starfsmenn eða fleiri. Lokaútgáfan setur hinsvegar enga slíka kröfu, þvert á það sem margir virðast halda.

Reglugerðin gerir ráð fyrir að fyrirtæki sem eru ábyrgðaraðilar eða vinnsluaðilar með persónuupplýsingar tilnefni persónuverndarfulltrúa í sérhverju tilviki þar sem:

  1. Vinnslan er í höndum opinbers yfirvalds eða stofnunar. Dómstólar eru hér sérstaklega undanskildir þegar þeir fara með dómsvald sitt. 
  2. Meginstarfsemi fyrirtækja felst í vinnsluaðgerðum sem krefjast umfangsmikils, reglubundins og kerfisbundins eftirlits með skráðum einstaklingum eða
  3. Meginstarfsemi ábyrgðaraðila eða vinnsluaðila felst í umfangsmikilli vinnslu sérstakra flokka upplýsinga skv. 9. gr. Reglugerðarinnar og persónuupplýsinga er varða sakfellingar í refsimálum og refsiverð brot sem um getur í 10. gr. hennar.

Fyrirtækjasamstæðu er heimilt að skipa einn persónuverndarfulltrúa að því tilskildu að sérhver starfstöð hafi greiðan aðgang að honum.
Með sérstökum flokkum persónuupplýsinga er hér átt við upplýsingar sem varða kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu. Þá falla upplýsingar um aðild að verkalýðsfélagi og vinna með erfðafræðilegar upplýsingar og lífkennaupplýsingar í því skyni að persónugreina einstaklinga með einkvæmum hætti, heilsufarsupplýsingar eða upplýsingar er varða kynlíf einstaklings eða kynhneigð einnig hér undir.

Hvað þarf persónuverndarfulltrúi að hafa til brunns að bera?

Fyrirtæki geta ákveðið að ráða sérstakan starfsmann til að sinna hlutverki persónuverndarfulltrúa eða tilnefna persónuverndarfulltrúa úr hópi núverandi starfsmanna sinna. Er þá mikilvægt að honum sé tryggt viðeigandi starfsumhverfi, t.d. hvað varðar sjálfstæði í starfi.

Einnig er hægt að fara þá leið að ráða utanaðkomandi persónuverndarfulltrúa á grundvelli þjónustusamnings. 

Leiðbeiningar um það hvað persónuverndarfulltrúi þarf að hafa til brunns að bera eru ekki sérstaklega ítarlegar en í reglugerðinni segir aðeins að hann skuli tilnefndur á grundvelli faglegrar hæfni sinnar. Þá einkum sérþekkingar á lögum og lagaframkvæmd á sviði persónuverndar og getu sinnar til að vinna þau verkefni sem um getur í lögunum.

Þegar litið er nánar til þeirra verkefna sem persónuverndarfulltrúi skal sinna má draga nokkra ályktun um hverskonar einstaklingur hentar í verkefnið.

Hlutverk og skyldur

Stöðu persónuverndarfulltrúa fylgja þónokkrar veigamiklar skyldur en í reglugerðinni segir að hann skuli a.m.k. sinna eftirfarandi verkefnum:

  • Upplýsa ábyrgðaraðila eða vinnsluaðila og starfsmenn sem annast vinnslu persónuupplýsinga um skyldur sínar samkvæmt reglugerðinni og öðrum ákvæðum um persónuvernd og veita þeim ráðgjöf þar að lútandi. 
  • Fylgjast með því að farið sé að ákvæðum reglugerðarinnar og stefnum ábyrgðaraðila eða vinnsluaðila varðandi vernd persónuupplýsinga. Í þessu felst m.a. þjálfun á starfsfólki sem tekur þátt í vinnslustarfsemi og tilheyrandi úttektir. 
  • Veita ráðgjöf varðandi mat á áhrifum á persónuvernd og fylgjast með framkvæmd áhættumats
  • Vinna náið með persónuverndaryfirvöldum og vera tengiliður þeirra varðandi mál sem tengjast vinnslu persónuupplýsinga.
  • Vera tengiliður fyrir persónuverndaryfirvöld varðandi mál sem tengjast vinnslu og leita ráða, eftir því sem við á, varðandi önnur málefni.

Miðað við það sem að ofan greinir er ljóst að persónuverndarfulltrúinn þarf allt í senn að vera fær stjórnandi sem getur átt í farsælum samskiptum við mismunandi hópa innan og utan fyrirtækja, vera sérfræðingur í faginu og geta greint áhættutengda vinnslu persónuupplýsinga og forgangsraðað verkefnum í samræmi. Ekki lítið verk það.

Hvað þarf til?

Mikilvægasta verkfæri persónuverndarfulltrúa er góð þekking á efni GDPR en það er þó einnig ýmislegt annað sem þarf til, svo sem haldbær skilningur og yfirsýn á starfsemi stofnunarinnar auk ákveðinnar tækniþekkingar.

Þar sem að persónuverndarfulltrúinn mun sinna ákveðnu stjórnendahlutverki þegar kemur að persónuverndarmálum fyrirtækisins þarf hann einnig að:

  • Sjá til þess að vinnustaðarmenning innanhúss sé hliðholl persónuvernd og að starfsmenn séu meðvitaðir um skyldur sínar. Þá þarf hann auk þess að tryggja að ákvæði reglugerðarinnar séu uppfyllt.
  • Sinna leiðbeiningarhlutverki varðandi: 
  • hvort og hvenær er nauðsynlegt að framkvæma mat á áhrifum tiltekinnar tegundar vinnslu á persónuvernd (DPIA)    hvaða aðferðafræði eigi að fylgja við slíka greiningu (DPIA)
  • hvort að slík vinna skuli framkvæmd af innanhúsaðilum eða utan aðkomandi aðili ráðinn í verkið.
  • hvort að greiningin hafi verið rétt framkvæmd og hvort að niðurstöður hennar og afurðir séu í samræmi við ákvæði reglugerðarinnar
  • hvaða tæknilegra eða stjórnunarlegra fyrirbyggjandi ráðstafana eigi að grípa til til að draga úr áhættu þegar kemur að réttindum eða hagsmunum skráðra aðila.

Eðli hlutverksins gerir það að verkum að persónuverndarfulltrúinn þarf að vera sjálfstæður í störfum sínum og skal hann heyra undir æðsta stjórnendastig fyrirtækja. Fyrirtækinu ber einnig að veita honum allan nauðsynlegan aðgang og trygga að hann geti sinnt verkefnum sínum samkvæmt reglugerðinni. Persónuverndarfulltrúinn má einnig sinna öðrum verkefnum og skyldustörfum en fyrirtæki verða að tryggja að slík verkefni og skyldustörf leiði ekki til hagsmunaárekstra.

Verðmæt kunnátta

Það er mikilvægt að fyrirtæki átti sig á því að þau þurfa ekki að vera staðsett í Evrópu til að þau heyri undir ákvæði reglugerðarinnar. Ef þau eru staðsett utan Evrópu en eru þrátt fyrir það að vinna með persónuupplýsingar um íbúa ESB eða EES þá gætu þau þurft að skipa persónuverndarfulltrúa.
Sérfræðingar hafa áætlað að þessi ákvæði reglugerðarinnar hafi þau áhrif að að minnsta kosti 75.000 persónuverndarfulltrúar muni koma að því að hafa umsjón með vinnslu persónuupplýsinga um Evrópubúa víðsvegar í heiminum í framtíðinni. Þá sýndu niðurstöður nýlegrar rannsóknar á vegum The International Association of Privacy Professionals (IAPP) eftirspurn eftir um 28.000 persónuverndarfulltrúum fyrir vorið 2018 þegar ákvæði reglugerðarinnar taka gildi.

Það má því vera ljóst að töluverð samkeppni mun koma til með að verða um þjálfaða persónuverndarfulltrúa á komandi misserum.
 

Viltu nánari kynningu?

Sé áhugi fyrir því innan þíns fyrirtækis að fá nánari kynningu á því hvað löggjöfin þýðir fyrir þitt fyrirtæki og hvernig Deloitte nálgast vinnu við slík verkefni, hvetjum við þig til að hafa samband við okkur en tengiliðaupplýsingar má finna neðst hér á síðunni. 

Did you find this useful?

Related topics