Lögmannablaðið - 2018, Blaðsíða 4
4 LÖGMANNABLAÐIÐ TBL 02/18
EVA HALLDÓRSDÓTTIR LÖGMAÐUR
RITSTJÓRI
ÉG Á MITT
SJÁLF
Hinn 27. apríl 2016 skrifuðu forsetar Evrópuþingsins og
-ráðsins undir nýja persónuverndarreglugerð 2016/679,
sem í almennri umræðu hefur verið vísað til sem almenna
persónuverndarreglugerðin eða „GDPR“ (e. General Data
Protection Regulation). Reglugerðinni er í grunninn ætlað
að samræma og styrkja persónuvernd í Evrópu, og færa
rétt yfir persónuupplýsingum aftur til einstaklinganna
frá fyrirtækjum sem hafa aflað þeirra. Þá er þar einnig
að finna ákvæði um rétt einstaklinga til að gleymast, sem
hefur verið nokkuð fyrirferðamikill í opinberri umræðu
um reglugerðina.
Það hafa líklega flestir orðið þess varir þegar reglugerðin
kom til framkvæmda hjá Evrópusambandinu 25. maí sl. með
tilheyrandi umfjöllun í fjölmiðlum og á samfélagsmiðlum.
Varla hefur farið framhjá neinum sem notar tölvupóst
að innleiðingin vofði yfir þar sem pósthólf fylltust af
tölvupóstum frá hinum ýmsu fyrirtækjum með upplýsingum
um áhrif GDPR á skilmála, beiðnum um samþykki
o.s.frv. Þá brugðu forsvarsmenn tiltekinna vefsíðna í
Bandaríkjunum á það ráð að takmarka evrópska umferð
um síðurnar eða einfaldlega loka á evrópska notendur
vegna reglugerðarinnar þar til búið væri að greiða úr því
hvernig mætti birta síðurnar evrópskum viðskiptavinum.
Í kjölfar gildistökunnar hafa fjölmiðlar síðan greint frá
því að notendur vefsíða á borð við Facebook og Google
hafi gert formlegar athugasemdir við starfsemi félaganna
á innri markaði Evrópusambandsins sem kvartendur telja
ekki vera í samræmi við hið nýja regluverk, m.a. með því að
þeir hafi, að sögn, verið neyddir til að samþykkja uppfærða
notendaskilmála. Í því hafi falist brot þar sem slíkt samþykki
eigi að vera veitt með fúsum og frjálsum vilja.
GDPR hefur enn ekki verið innleidd í EES-samninginn, en
samkvæmt fréttatilkynningu frá dómsmálaráðuneytinu er
þess vænst að að það gerist á næstunni.
Dómsmálaráðherra hefur svo lagt fram á Alþingi frumvarp til
nýrra laga um persónuvernd og vinnslu persónuupplýsinga
sem byggð er á GDPR. Þegar þetta er ritað hefur frumvarpið
ekki verið afgreitt, en ráðherra batt vonir við að það yrði
afgreitt áður en Alþingi fer í sumarfrí.
Frumvarpið var upphaflega kynnt í mars síðastliðnum á
svokallaðri samráðsgátt og sitt sýnist hverjum um það. Eftir
því sem nær dró gildistöku GDPR í Evrópu vakti regluverkið
og fyrirhuguð lagasetning meiri athygli og umræðu hér
á landi. Þannig hefur það verið gagnrýnt að innleiðingu
gerðarinnar hafi seinkað. Sú staða sé óneitanlega óheppileg
fyrir þau fyrirtæki sem starfa að einhverju leyti við að
afhenda eða móttaka persónuupplýsingar á innri markaði
Evrópusambandsins þar sem þau þurfa nú, í einhverjum
skilningi að minnsta kosti, að búa við tvöfalt kerfi um stund.
Þá hafa athugasemdir verið gerðar við hvaða aðferð hefur
verið beitt við innleiðinguna og ennfremur hefur því verið
haldið fram að frumvarpshöfundar hafi gengið of langt í
lagasetningunni og lengra en GDPR gerir ráð fyrir.
En hvað sem lagasetningunni og athugasemdum við hana
líður virðist mega ganga út frá því að reglugerðin muni
með einum eða öðrum hætti taka hér gildi innan skamms.
Hið nýja regluverk mun hafa í för með sér umtalsverðar
breytingar á starfsumhverfi íslenskra fyrirtækja og stofnana
sem vinna með persónuupplýsingar. Lögmannsstofur
munu ekki fara varhluta af því og er sérstaklega fjallað
um þessi áhrif löggjafarinnar á lögmannsstofur í hugvekju
Áslaugar Björgvinsdóttur lögmanns sem finna má í blaðinu,
en þar rekur hún hvað hafa þurfi í huga við kortlagningu og
vinnslu persónuupplýsinga. Það er því ekki seinna vænna
fyrir forsvarsmenn lögmannsstofa að kynna sér málið og
setja sig í stellingar til að tryggja að stofurnar fullnægi þeim
skyldum sem lögin kveða á um.
Þann 25. maí kom til framkvæmda hjá aðildarríkum ESB ný reglugerð um varðveislu
persónuupplýsinga. Unnið er að upptöku reglugerðarinnar í EES-samninginn og gert
ráð fyrir að Alþingi samþykki ný persónuvernadarlög og þar með ljúki innleiðingu
reglugerðarinnar fyrir haustið.
Reglugerðin kallar á breytt vinnubrögð hvað varðar söfnun, skráningu, vistun, miðlun
og eyðingu persónuupplýsinga.
Samkvæmt reglugerðinni eru fyrirtæki og stofnanir ábyrgðaraðilar persónuupplýsinga
sem þau hafa aflað í starfsemi sinni, bæði um starfsmenn og viðskiptavini. Þegar
slíkum upplýsingum er fargað þarf að gera það með rekjanlegum hætti og þannig að
uppfylli kröfur um öryggi gagnanna. Sé utanaðkomandi aðili fenginn til að eyða
gögnunum telst hann vinnsluaðili gagna og þarf að uppfylla viðurkenndar kröfur
um aðstöðu, verklag og trúnað.
Gagnaeyðing er AAA vottað af NAID, alþjóðlegum samtökum eyðingarfyrirtækja
sem hafa sammælst um bestu aðferðir við eyðingu gagna.
Bæjarflöt 7
112 Reykjavík
Sími: 568 9095
www.gagnaeyding.is
Er þitt fyrirtæki tilbúið fyrir nýja
löggjöf um persónuvernd?
Við vinnum eftir
vottuðu gæðakerfi