Bylting Mikið hefur breyst frá því núgildandi lög um persónuupplýsingar voru sett. Nýjar reglur ESB veita almenningi meiri vernd. Mynd úr safni.
[ Smellið til að sjá stærri mynd ]
Baksvið Ásgeir Ingvarsson ai@mbl.is Íslensk fyrirtæki og stofnanir ættu að fylgjast vel með nýrri reglugerð um persónuvernd sem taka mun gildi í Evrópusambandinu 25. maí næstkomandi.

Baksvið

Ásgeir Ingvarsson

ai@mbl.is

Íslensk fyrirtæki og stofnanir ættu að fylgjast vel með nýrri reglugerð um persónuvernd sem taka mun gildi í Evrópusambandinu 25. maí næstkomandi. Von er á að þessar reglur taki gildi á Íslandi á sama tíma en með þeim verða lagðar enn ríkari skyldur á þá sem safna og vinna með persónuupplýsingar. Ströng viðurlög eru við því að brjóta ákvæði nýju Evrópureglugerðarinnar en fyrir alvarlegustu brotin er heimilt að sekta aðila um allt að 2-4% af veltu samstæðunnar sem í hlut á eða 10-20 milljónir evra, eftir því hvor talan er hærri.

Samtök upplýsingafyrirtækja efna til ráðstefnu um nýju reglurnar á Hótel Nordica á fimmtudag (www.taekniogpersonuvernd.is) en meðal ræðumanna verður forstöðumaður persónuverndar hjá eBay í Bretlandi.

Mikið hefur breyst

Elfur Logadóttir mun þar fjalla um innbyggða og sjálfgefna persónuvernd en hún er lögfræðingur, ráðgjafi í reglustjórn upplýsingatæknifyrirtækja og rekur ráðgjafarfyrirtækið ERA (www.era.is): „Það er mikilvægt að muna að þau lög sem gilda í dag hér á landi um persónuvernd byggjast á tilskipun frá ESB sem var sett árið 1995. Það segir sig sjálft að síðan þá hefur tækniumhverfið og söfnun persónuupplýsinga tekið miklum breytingum,“ segir Elfur.

Nýja ESB-reglugerðin samræmir lög um persónuvernd hjá öllum Evrópusambandsríkjunum og gerir stjórnvöldum auðveldara að fylgja lögunum eftir. Þá eru einstaklingum veitt aukin réttindi til að hafa áhrif á vinnsluna, m.a. með því að hafa aðgang að persónuupplýsingum sínum og fá þeim eytt ef svo ber undir.

„Meginreglurnar eru þær sömu og áður: öflun og vinnsla persónuupplýsinga þarf að vera unnin með lögmætum og gagnsæjum hætti, í skýrum tilgangi. Ekki skal afla meiri persónuupplýsinga en þarf né geyma þær lengur en nauðsynlegt er, og öryggi gagnanna skal tryggt. Nýja löggjöfin bætir við þeirri skyldu að fyrirtæki og stofnanir verða að geta sýnt fram á að þau séu með virkum hætti að fylgja meginreglunum eins og lögin kveða á um.“

Snýst um hugarfar

Elfur segir nýju reglugerðina ekki þýða að íslensk fyrirtæki og stofnanir verði að ráðast í dýrar fjárfestingar á nýjum hugbúnaði og sérfræðiþjónstu, ella hætta á 20 milljóna evra sekt: „Lausnin er ekki að kaupa nýjan hugbúnað, heldur að stuðla að réttu hugarfari og vinnubrögðum starfsmanna þannig að við nálgumst vinnslu persónuupplýsinga á réttan hátt og höfum góða yfirsýn yfir vinnsluna.“

Reglugerðin á ekki bara við þá sem safna miklu magni persónuupplýsinga og geyma á rafrænu formi og bendir Elfur á að jafnvel kladdi á hárgreiðslustofu þar sem fært er inn með reglubundnum hætti hvaða daga viðskiptavinir komu á stofuna og hvaða vörur og þjónustu þeir fengu falli undir lög um persónuvernd. „Reglugerðin tekur til allra sem snerta á upplýsingum um einstaklinga. Huga þarf að því hvaða upplýsingum er eðlilegt að safna, hver hefur aðgang að þeim og bæði hvernig og eftir hve langan tíma þessum gögnum er eytt.“

Nýju sektarheimildir Evrópureglugerðarinnar eru mjög háar og virðast settar til að tryggja að alþjóðleg og fjársterk fyrirtæki taki fyrirmæli laganna alvarlega. Aðspurð hvort smávægileg yfirsjón í meðferð persónuupplýsinga geti þýtt milljarða króna sektir fyrir venjuleg íslensk fyrirtæki segir Elfur að takmarkaðar líkur séu á því. „Það á eftir að koma í ljós hvernig sektarákvæðunum verður beitt en reglur stjórnsýsluréttarins um meðalhóf og leiðbeiningarskyldu eru mjög ríkar og munu hafa áhrif á beitinguna. Þess vegna skiptir það máli að vinna persónuupplýsingar með réttu hugarfari og í skýrt skilgreindum tilgangi.“