Raunhæf persónuvernd Hafliði K. Lárusson skrifar 28. febrúar 2018 07:00 Innan tíðar munu ný persónuverndarlög taka gildi og leggjast með fullum þunga á fyrirtæki og atvinnulíf. Enda þótt nýja löggjöfin muni að mestu byggja á þeim meginreglum persónuverndar, sem gilt hafa frá síðustu aldamótum, hefur hún einnig að geyma mörg nýmæli, auk þess sem hún er miklum mun ítarlegri en núgildandi lög. Eins og búast mátti við, miða nýju reglurnar að því að auka réttindi og öryggi einstaklinga. Þá hefur því verið haldið fram, að nýju reglurnar séu fyrirtækjum einnig til hagsbóta. Ef til vill má taka undir slík sjónarmið með það í huga, að reglunum er almennt ætlað að auka öryggi og traust á sviði persónuverndar í atvinnulífinu. Engu að síður er staðreynd að flestar nýju reglurnar eru íþyngjandi fyrir fyrirtæki og munu auka bæði fyrirhöfn og kostnað á þessu sviði. Þó má segja að „ljósið í myrkrinu“ sé að finna í 25. gr. Evrópureglugerðarinnar, sem segir meðal annars: „Með hliðsjón af nýjustu tækni, kostnaði við framkvæmd og eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðilinn, bæði þegar ákveðnar eru aðferðir við vinnsluna og þegar vinnslan sjálf fer fram, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, s.s. notkun gerviauðkenna, sem hannaðar eru til að framfylgja meginreglum um persónuvernd … og fella nauðsynlegar verndarráðstafanir inn í vinnsluna?…“ Þrátt fyrir fremur tyrfið orðalag, setur þetta ákvæði persónuvernd í raunhæft samhengi, þ.e. það fer eftir aðstæðum hverju sinni hvaða kröfur eru gerðar til fyrirtækja um persónuvernd og þannig á persónuvernd að vera „sérsniðin“ að vinnslu persónuupplýsinga hjá hverju fyrirtæki fyrir sig. Enda þótt margir líti á 25. gr. reglugerðarinnar sem íþyngjandi, er hún í raun það tæki, sem fyrirtæki geta beitt til að halda persónuvernd innan skynsamlegra marka og hafa hana raunhæfa miðað við starfsemina. Þá leggur Evrópusambandið sérstaka áherslu á að íþyngja minni fyrirtækjum ekki um of þegar kemur að kröfum um persónuvernd. Þannig segir í 13. inngangsákvæði reglugerðarinnar: „Enn fremur eru stofnanir og aðilar Sambandsins og aðildarríkin og eftirlitsyfirvöld þeirra hvött til að taka tillit til sérstakra þarfa örfyrirtækja, lítilla og meðalstórra fyrirtækja við beitingu þessarar reglugerðar.“ Í íslensku samhengi er rétt að hafa í huga að í ofangreindan flokk falla öll fyrirtæki, sem eru með færri en 250 starfsmenn og minna en 50 milljónir evra í ársveltu. Í persónuverndarúttekt, sem er fyrsta skref fyrirtækja við að meta áhrif nýju laganna, er þess vegna nauðsynlegt að afmarka með nákvæmum hætti hvaða reglur eiga í raun við um starfsemina og með þeim hætti má „grisja“ regluverkið og meta hvar helstu skyldur, áhætta og ábyrgð liggja í raun. Í þessu sambandi er einnig rétt að hafa í huga (enda þótt það sé yfirleitt ekki nefnt berum orðum) að 100% reglufylgni á sviði persónuverndar er útilokuð og þess vegna þarf að vega og meta áhættu annars vegar og kostnað við ýtrustu reglufylgni hins vegar og þannig að komast að niðurstöðu um raunhæfa persónuvernd. Sem dæmi má nefna eftirfarandi atriði í slíkri úttekt:Tegundir persónuupplýsinga: Ríkari kröfur og þar með meiri áhætta fylgir því að vinna persónuupplýsingar sem t.d. tengjast börnum, líftækni eða mikilvægum einkahagsmunum, en persónuupplýsingar um heimilisfang fólks og símanúmer.Tegundir vinnslu: Vinnsla persónuupplýsinga, sem tengist gerð persónusniða (e. profiling), eftirliti með einstaklingum í stórum stíl eða felur í sér flutning persónuupplýsinga yfir landamæri og einkum út fyrir EES, lýtur mun strangari reglum en vinnsla persónuupplýsinga, sem felst í einfaldri vinnslu innan fyrirtækis á grunnupplýsingum um starfsmenn.Hætta á öryggisbroti: Hér koma ýmsir þættir til skoðunar, t.d. þau kerfi og hugbúnaður, sem notuð eru til vinnslunnar, hvort vinnslunni (t.d. hýsingu) er útvistað til þriðja aðila, hversu margir hafa aðgang að persónuupplýsingunum, hvernig aðgengi er takmarkað og hvernig því er stýrt, hvort kerfin eru opin eða lokuð, hvort skýþjónusta er notuð o.s.frv. Allir framangreindir þættir hafa áhrif á hversu mikil og líkleg raunveruleg áhætta er og þar með hvaða aðgerðir eru raunhæfar til að ná ásættanlegri reglufylgni. Með ofangreint í huga, er rétt að fyrirtæki „ýti á móti“ þeim þunga, sem ný persónuverndarlög hafa í för með sér. Þannig geta fyrirtæki lágmarkað fyrirhöfn og kostnað, á sama tíma og þess er gætt, að þau mæti öllum helstu kröfum, sem ný persónuverndarlög gera til þeirra.Höfundur er lögmaður hjá Fjeldsted & Blöndal og sérfræðingur í persónuverndarrétti Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Birtist í Fréttablaðinu Markaðir Tengdar fréttir Aðeins fjórðungur fyrirtækja undirbúinn fyrir gildistöku nýrra persónuverndarlaga 72 prósent aðildarfyrirtækja Samtaka iðnaðarins hafa ekki hafið undirbúning fyrir gildistöku nýrra persónuverndarlaga. Þar segir að 24 prósent fyrirtækja hafi hafið undirbúning vegna laganna. 12. desember 2017 16:16 Mest lesið Heilbrigðiskerfið logar og er að hrynja: Þú áttir betra skilið Gísli Hvanndal Jakobsson Skoðun Grasker mannréttinda á degi hinna framliðnu Anna Kristín Jensdóttir Skoðun Treystir þú konum? Hópur 72 kvenna úr sex stjórnmálaflokkum Skoðun Fræðsluskylda í stað skólaskyldu Eldur Smári Kristinsson Skoðun Græðgin er komin út fyrir öll mörk Sigurjón Þórðarson Skoðun Ummæli borgarstjóra og óbragð í munni Kristín Björnsdóttir Skoðun Að vera ung kona á Íslandi árið 2024 Eden Ósk Eyjólfsdóttir Skoðun Hvaða aukna aðgengi, Willum Þór? Trausti Breiðfjörð Magnússon Skoðun Ungt fólk er að missa trúna á stjórnmálum – og um leið á framtíðinni París Anna Bergmann Skoðun Þetta lítur ekki vel út Jón Ingi Hákonarson Skoðun Skoðun Skoðun Umræða á villigötum Diljá Matthíasardóttir skrifar Skoðun Treystir þú konum? Hópur 72 kvenna úr sex stjórnmálaflokkum skrifar Skoðun Eigum við ekki bara að klára þetta Hafdís Hrönn Hafsteinsdóttir skrifar Skoðun Löggilding iðngreina stuðlar að auknum gæðum og öryggi Kristján Þórður Snæbjarnarson skrifar Skoðun Draumalandið Björn Þorláksson skrifar Skoðun Að vera ung kona á Íslandi árið 2024 Eden Ósk Eyjólfsdóttir skrifar Skoðun Ferðaþjónusta og orkuvinnsla fara vel saman Guðmundur Finnbogason skrifar Skoðun Hvaða aukna aðgengi, Willum Þór? Trausti Breiðfjörð Magnússon skrifar Skoðun Hvers vegna skortir hjúkrunarrými á Íslandi? Jónína Björk Óskarsdóttir skrifar Skoðun Þegar Vestfjörðum gengur vel, gengur Íslandi vel Jón Páll Hreinsson skrifar Skoðun Ummæli borgarstjóra og óbragð í munni Kristín Björnsdóttir skrifar Skoðun Þegar að nauðsynjar snúast um viðskipti Davíð Routley skrifar Skoðun Grasker mannréttinda á degi hinna framliðnu Anna Kristín Jensdóttir skrifar Skoðun Sköpun er efnahagsmál: Tími fyrir öðruvísi nálgun Björn Leví Gunnarsson skrifar Skoðun Ungt fólk er að missa trúna á stjórnmálum – og um leið á framtíðinni París Anna Bergmann skrifar Skoðun Máttur orðanna: Breyting á orðavali getur breytt hugarfarinu Ingrid Kuhlman skrifar Skoðun Fræðsluskylda í stað skólaskyldu Eldur Smári Kristinsson skrifar Skoðun Ríkisstjórn með útgjaldablæti er vandamál fyrir fólkið í landinu Þorbjörg S. Gunnlaugsdóttir skrifar Skoðun Þetta lítur ekki vel út Jón Ingi Hákonarson skrifar Skoðun Heilbrigðiskerfið logar og er að hrynja: Þú áttir betra skilið Gísli Hvanndal Jakobsson skrifar Skoðun Græðgin er komin út fyrir öll mörk Sigurjón Þórðarson skrifar Skoðun Glæðing vonar - ekki hjúkrunargreiningin Karen Ósk Björnsdóttir skrifar Skoðun Væri ekki í lagi að gefa Sjálfstæðisflokknum, Framsóknarflokknum og Vinstri-grænum frí? Kjartan Eggertsson skrifar Skoðun 60% landsmanna á móti vopnakaupunum Hildur Þórðardóttir skrifar Skoðun Glundroði Sjálfstæðisflokksins bitnar á hagstjórn og innviðum Árni Rúnar Þorvaldsson skrifar Skoðun Hver ætlar að taka fimmtu vaktina? Ákall til stjórnmálaflokka María Fjóla Harðardóttir,Halla Thoroddsen skrifar Skoðun Afkastadrifin menntun og verðgildi nemenda Halldóra Mogensen skrifar Skoðun Ég er deildarstjóri í leikskóla Helga Guðmundsdóttir skrifar Skoðun Draumastarfið Arnfríður Hermannsdóttir skrifar Skoðun Hjartsláttur sjávarbyggðanna Lilja Rafney Magnúsdóttir skrifar Sjá meira
Innan tíðar munu ný persónuverndarlög taka gildi og leggjast með fullum þunga á fyrirtæki og atvinnulíf. Enda þótt nýja löggjöfin muni að mestu byggja á þeim meginreglum persónuverndar, sem gilt hafa frá síðustu aldamótum, hefur hún einnig að geyma mörg nýmæli, auk þess sem hún er miklum mun ítarlegri en núgildandi lög. Eins og búast mátti við, miða nýju reglurnar að því að auka réttindi og öryggi einstaklinga. Þá hefur því verið haldið fram, að nýju reglurnar séu fyrirtækjum einnig til hagsbóta. Ef til vill má taka undir slík sjónarmið með það í huga, að reglunum er almennt ætlað að auka öryggi og traust á sviði persónuverndar í atvinnulífinu. Engu að síður er staðreynd að flestar nýju reglurnar eru íþyngjandi fyrir fyrirtæki og munu auka bæði fyrirhöfn og kostnað á þessu sviði. Þó má segja að „ljósið í myrkrinu“ sé að finna í 25. gr. Evrópureglugerðarinnar, sem segir meðal annars: „Með hliðsjón af nýjustu tækni, kostnaði við framkvæmd og eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðilinn, bæði þegar ákveðnar eru aðferðir við vinnsluna og þegar vinnslan sjálf fer fram, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, s.s. notkun gerviauðkenna, sem hannaðar eru til að framfylgja meginreglum um persónuvernd … og fella nauðsynlegar verndarráðstafanir inn í vinnsluna?…“ Þrátt fyrir fremur tyrfið orðalag, setur þetta ákvæði persónuvernd í raunhæft samhengi, þ.e. það fer eftir aðstæðum hverju sinni hvaða kröfur eru gerðar til fyrirtækja um persónuvernd og þannig á persónuvernd að vera „sérsniðin“ að vinnslu persónuupplýsinga hjá hverju fyrirtæki fyrir sig. Enda þótt margir líti á 25. gr. reglugerðarinnar sem íþyngjandi, er hún í raun það tæki, sem fyrirtæki geta beitt til að halda persónuvernd innan skynsamlegra marka og hafa hana raunhæfa miðað við starfsemina. Þá leggur Evrópusambandið sérstaka áherslu á að íþyngja minni fyrirtækjum ekki um of þegar kemur að kröfum um persónuvernd. Þannig segir í 13. inngangsákvæði reglugerðarinnar: „Enn fremur eru stofnanir og aðilar Sambandsins og aðildarríkin og eftirlitsyfirvöld þeirra hvött til að taka tillit til sérstakra þarfa örfyrirtækja, lítilla og meðalstórra fyrirtækja við beitingu þessarar reglugerðar.“ Í íslensku samhengi er rétt að hafa í huga að í ofangreindan flokk falla öll fyrirtæki, sem eru með færri en 250 starfsmenn og minna en 50 milljónir evra í ársveltu. Í persónuverndarúttekt, sem er fyrsta skref fyrirtækja við að meta áhrif nýju laganna, er þess vegna nauðsynlegt að afmarka með nákvæmum hætti hvaða reglur eiga í raun við um starfsemina og með þeim hætti má „grisja“ regluverkið og meta hvar helstu skyldur, áhætta og ábyrgð liggja í raun. Í þessu sambandi er einnig rétt að hafa í huga (enda þótt það sé yfirleitt ekki nefnt berum orðum) að 100% reglufylgni á sviði persónuverndar er útilokuð og þess vegna þarf að vega og meta áhættu annars vegar og kostnað við ýtrustu reglufylgni hins vegar og þannig að komast að niðurstöðu um raunhæfa persónuvernd. Sem dæmi má nefna eftirfarandi atriði í slíkri úttekt:Tegundir persónuupplýsinga: Ríkari kröfur og þar með meiri áhætta fylgir því að vinna persónuupplýsingar sem t.d. tengjast börnum, líftækni eða mikilvægum einkahagsmunum, en persónuupplýsingar um heimilisfang fólks og símanúmer.Tegundir vinnslu: Vinnsla persónuupplýsinga, sem tengist gerð persónusniða (e. profiling), eftirliti með einstaklingum í stórum stíl eða felur í sér flutning persónuupplýsinga yfir landamæri og einkum út fyrir EES, lýtur mun strangari reglum en vinnsla persónuupplýsinga, sem felst í einfaldri vinnslu innan fyrirtækis á grunnupplýsingum um starfsmenn.Hætta á öryggisbroti: Hér koma ýmsir þættir til skoðunar, t.d. þau kerfi og hugbúnaður, sem notuð eru til vinnslunnar, hvort vinnslunni (t.d. hýsingu) er útvistað til þriðja aðila, hversu margir hafa aðgang að persónuupplýsingunum, hvernig aðgengi er takmarkað og hvernig því er stýrt, hvort kerfin eru opin eða lokuð, hvort skýþjónusta er notuð o.s.frv. Allir framangreindir þættir hafa áhrif á hversu mikil og líkleg raunveruleg áhætta er og þar með hvaða aðgerðir eru raunhæfar til að ná ásættanlegri reglufylgni. Með ofangreint í huga, er rétt að fyrirtæki „ýti á móti“ þeim þunga, sem ný persónuverndarlög hafa í för með sér. Þannig geta fyrirtæki lágmarkað fyrirhöfn og kostnað, á sama tíma og þess er gætt, að þau mæti öllum helstu kröfum, sem ný persónuverndarlög gera til þeirra.Höfundur er lögmaður hjá Fjeldsted & Blöndal og sérfræðingur í persónuverndarrétti
Aðeins fjórðungur fyrirtækja undirbúinn fyrir gildistöku nýrra persónuverndarlaga 72 prósent aðildarfyrirtækja Samtaka iðnaðarins hafa ekki hafið undirbúning fyrir gildistöku nýrra persónuverndarlaga. Þar segir að 24 prósent fyrirtækja hafi hafið undirbúning vegna laganna. 12. desember 2017 16:16
Skoðun Löggilding iðngreina stuðlar að auknum gæðum og öryggi Kristján Þórður Snæbjarnarson skrifar
Skoðun Ungt fólk er að missa trúna á stjórnmálum – og um leið á framtíðinni París Anna Bergmann skrifar
Skoðun Ríkisstjórn með útgjaldablæti er vandamál fyrir fólkið í landinu Þorbjörg S. Gunnlaugsdóttir skrifar
Skoðun Heilbrigðiskerfið logar og er að hrynja: Þú áttir betra skilið Gísli Hvanndal Jakobsson skrifar
Skoðun Væri ekki í lagi að gefa Sjálfstæðisflokknum, Framsóknarflokknum og Vinstri-grænum frí? Kjartan Eggertsson skrifar
Skoðun Glundroði Sjálfstæðisflokksins bitnar á hagstjórn og innviðum Árni Rúnar Þorvaldsson skrifar
Skoðun Hver ætlar að taka fimmtu vaktina? Ákall til stjórnmálaflokka María Fjóla Harðardóttir,Halla Thoroddsen skrifar