4 LÖGMANNABLAÐIÐ TBL 02/18 EVA HALLDÓRSDÓTTIR LÖGMAÐUR RITSTJÓRI ÉG Á MITT SJÁLF Hinn 27. apríl 2016 skrifuðu forsetar Evrópuþingsins og -ráðsins undir nýja persónuverndarreglugerð 2016/679, sem í almennri umræðu hefur verið vísað til sem almenna persónuverndarreglugerðin eða „GDPR“ (e. General Data Protection Regulation). Reglugerðinni er í grunninn ætlað að samræma og styrkja persónuvernd í Evrópu, og færa rétt yfir persónuupplýsingum aftur til einstaklinganna frá fyrirtækjum sem hafa aflað þeirra. Þá er þar einnig að finna ákvæði um rétt einstaklinga til að gleymast, sem hefur verið nokkuð fyrirferðamikill í opinberri umræðu um reglugerðina. Það hafa líklega flestir orðið þess varir þegar reglugerðin kom til framkvæmda hjá Evrópusambandinu 25. maí sl. með tilheyrandi umfjöllun í fjölmiðlum og á samfélagsmiðlum. Varla hefur farið framhjá neinum sem notar tölvupóst að innleiðingin vofði yfir þar sem pósthólf fylltust af tölvupóstum frá hinum ýmsu fyrirtækjum með upplýsingum um áhrif GDPR á skilmála, beiðnum um samþykki o.s.frv. Þá brugðu forsvarsmenn tiltekinna vefsíðna í Bandaríkjunum á það ráð að takmarka evrópska umferð um síðurnar eða einfaldlega loka á evrópska notendur vegna reglugerðarinnar þar til búið væri að greiða úr því hvernig mætti birta síðurnar evrópskum viðskiptavinum. Í kjölfar gildistökunnar hafa fjölmiðlar síðan greint frá því að notendur vefsíða á borð við Facebook og Google hafi gert formlegar athugasemdir við starfsemi félaganna á innri markaði Evrópusambandsins sem kvartendur telja ekki vera í samræmi við hið nýja regluverk, m.a. með því að þeir hafi, að sögn, verið neyddir til að samþykkja uppfærða notendaskilmála. Í því hafi falist brot þar sem slíkt samþykki eigi að vera veitt með fúsum og frjálsum vilja. GDPR hefur enn ekki verið innleidd í EES-samninginn, en samkvæmt fréttatilkynningu frá dómsmálaráðuneytinu er þess vænst að að það gerist á næstunni. Dómsmálaráðherra hefur svo lagt fram á Alþingi frumvarp til nýrra laga um persónuvernd og vinnslu persónuupplýsinga sem byggð er á GDPR. Þegar þetta er ritað hefur frumvarpið ekki verið afgreitt, en ráðherra batt vonir við að það yrði afgreitt áður en Alþingi fer í sumarfrí. Frumvarpið var upphaflega kynnt í mars síðastliðnum á svokallaðri samráðsgátt og sitt sýnist hverjum um það. Eftir því sem nær dró gildistöku GDPR í Evrópu vakti regluverkið og fyrirhuguð lagasetning meiri athygli og umræðu hér á landi. Þannig hefur það verið gagnrýnt að innleiðingu gerðarinnar hafi seinkað. Sú staða sé óneitanlega óheppileg fyrir þau fyrirtæki sem starfa að einhverju leyti við að afhenda eða móttaka persónuupplýsingar á innri markaði Evrópusambandsins þar sem þau þurfa nú, í einhverjum skilningi að minnsta kosti, að búa við tvöfalt kerfi um stund. Þá hafa athugasemdir verið gerðar við hvaða aðferð hefur verið beitt við innleiðinguna og ennfremur hefur því verið haldið fram að frumvarpshöfundar hafi gengið of langt í lagasetningunni og lengra en GDPR gerir ráð fyrir. En hvað sem lagasetningunni og athugasemdum við hana líður virðist mega ganga út frá því að reglugerðin muni með einum eða öðrum hætti taka hér gildi innan skamms. Hið nýja regluverk mun hafa í för með sér umtalsverðar breytingar á starfsumhverfi íslenskra fyrirtækja og stofnana sem vinna með persónuupplýsingar. Lögmannsstofur munu ekki fara varhluta af því og er sérstaklega fjallað um þessi áhrif löggjafarinnar á lögmannsstofur í hugvekju Áslaugar Björgvinsdóttur lögmanns sem finna má í blaðinu, en þar rekur hún hvað hafa þurfi í huga við kortlagningu og vinnslu persónuupplýsinga. Það er því ekki seinna vænna fyrir forsvarsmenn lögmannsstofa að kynna sér málið og setja sig í stellingar til að tryggja að stofurnar fullnægi þeim skyldum sem lögin kveða á um. Þann 25. maí kom til framkvæmda hjá aðildarríkum ESB ný reglugerð um varðveislu persónuupplýsinga. Unnið er að upptöku reglugerðarinnar í EES-samninginn og gert ráð fyrir að Alþingi samþykki ný persónuvernadarlög og þar með ljúki innleiðingu reglugerðarinnar fyrir haustið. Reglugerðin kallar á breytt vinnubrögð hvað varðar söfnun, skráningu, vistun, miðlun og eyðingu persónuupplýsinga. Samkvæmt reglugerðinni eru fyrirtæki og stofnanir ábyrgðaraðilar persónuupplýsinga sem þau hafa aflað í starfsemi sinni, bæði um starfsmenn og viðskiptavini. Þegar slíkum upplýsingum er fargað þarf að gera það með rekjanlegum hætti og þannig að uppfylli kröfur um öryggi gagnanna. Sé utanaðkomandi aðili fenginn til að eyða gögnunum telst hann vinnsluaðili gagna og þarf að uppfylla viðurkenndar kröfur um aðstöðu, verklag og trúnað. Gagnaeyðing er AAA vottað af NAID, alþjóðlegum samtökum eyðingarfyrirtækja sem hafa sammælst um bestu aðferðir við eyðingu gagna. Bæjarflöt 7 112 Reykjavík Sími: 568 9095 www.gagnaeyding.is Er þitt fyrirtæki tilbúið fyrir nýja löggjöf um persónuvernd? Við vinnum eftir vottuðu gæðakerfi

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36