Guðni Einarsson gudni@mbl.is Nýjar skyldur verða lagðar á fyrirtæki með persónuverndarlögum sem taka eiga gildi 25. maí. Samtök atvinnulífsins (SA) segja mikilvægt að stjórnendur fyrirtækja kynni sér vel væntanlegar breytingar.

Guðni Einarsson

gudni@mbl.is

Nýjar skyldur verða lagðar á fyrirtæki með persónuverndarlögum sem taka eiga gildi 25. maí. Samtök atvinnulífsins (SA) segja mikilvægt að stjórnendur fyrirtækja kynni sér vel væntanlegar breytingar. Einnig þurfi þeir að laga starfsemi sína að nýja regluverkinu. Brot á reglunum getur varðað sekt allt að 4% af árlegri heildarveltu fyrirtækis á heimsmarkaði eða 20 milljónum evra (2,47 milljörðum ÍSK) eftir því hvort er hærra.

„Þetta eru verulega íþyngjandi lög,“ sagði Halldór Benjamín Þorbergsson, framkvæmdastjóri SA. Samtökin hafa birt fræðsluefni um breytinguna á þjónustuvef sínum. Þá efndi SA til fræðslufundar í samvinnu við KPMG í haust um nýju persónuverndarlöggjöfina. Aðildarfyrirtæki SA hafa einnig staðið fyrir fræðslu.

„Mjög mörg fyrirtæki þurfa að leggja í umtalsverða vinnu. Ég óttast að of mörg fyrirtæki séu enn vanbúin að takast á við breytinguna, því miður. Samtök atvinnulífsins hafa vakið athygli sinna félagsmanna á þessu og reynt að aðstoða þá,“ sagði Halldór. Hann segir að eðli málsins samkvæmt snerti breytingin mest atvinnugreinar sem vinna með upplýsingar fólks og um fólk. Á því sviði verði veruleg breyting. Breytingin sé verulega kostnaðarsöm fyrir atvinnulífið. Í mörgum tilvikum þurfi að þróa áætlanir og eins þurfi að breyta kerfum. Halldór telur að flest stór íslensk fyrirtæki séu komin býsna langt í undirbúningi fyrir gildistöku nýju laganna. Það eigi ekki við um þau öll enda hefur reglugerðin ekki enn verið lögfest hérlendis. Drög að frumvarpinu birtust fyrst opinberlega í síðustu viku.

Mjög ríflegur refsirammi

Halldór segir að sektarrammi laganna sé mjög ríflegur. Hann bendir á að hér á landi séu til fyrirtæki sem falla undir ákvæðið um 4% sekt af veltu á heimsmarkaði. „Maður vill trúa því að gefinn verði aðlögunartími,“ segir Halldór. „Aðalatriðið er að fyrirtækin þurfa að geta sýnt fram á áætlanir í maí um hvernig þau ætla að bregðast við.“

Í frétt á vef SA í gær kom fram að nýju lögin byggðust á reglum Evrópusambandsins. „Markmið þeirra er að auka vernd og réttindi einstaklinga á Evrópska efnahagssvæðinu. Einstaklingar munu, innan ákveðinna marka, eiga rétt á að andmæla vinnslu persónuupplýsinga og óska eftir aðgangi, afriti, flutningi, leiðréttingu, takmörkun og eyðingu persónuupplýsinga um sig. Þá munu þeir geta afturkallað samþykki sitt fyrir vinnslu persónuupplýsinga, í þeim tilvikum þar sem vinnsla persónuupplýsinga styðst við samþykki.“

Fyrirtækjum verður gert skylt að halda skrá yfir vinnslu persónuupplýsinga, setja sér auðskiljanlega persónuverndarstefnu og sjá til þess að persónuvernd sé innbyggð í nýjan hugbúnað og upplýsingakerfi. Einnig verði gert mat á áhrifum á persónuvernd ef vinnsluaðferð er áhættusöm. Öll öryggisbrot verður að tilkynna Persónuvernd tafarlaust.