Lögmannablaðið - 2018, Qupperneq 33
LÖGMANNABLAÐIÐ TBL 02/18 33
ÁHRIF NÝRRAR
PERSÓNUVERNDAR-
LÖGGJAFAR Á
LÖGMANNSSTOFUR
Þann 25. maí sl. kom persónuverndarreglugerð Evrópu-
sambandsins nr. 2016/679 („GDPR“) til framkvæmda í
aðildarríkjum sambandsins. Drög að frumvarpi til laga
sem innleiða eiga reglugerðina hafa verið birt hér á landi
og bíður frumvarpið nú meðferðar Alþingis.
Ljóst er að nýtt persónuverndarregluverk mun hafa í
för með sér talsverðar breytingar fyrir íslensk fyrirtæki
og stofnanir sem vinna með persónuupplýsingar og eru
lögmannsstofur þar ekki undanskyldar.
Lögmannsstofur vinna umtalsvert magn af persónu-
upplýsingum og í grófum dráttum má skipta flokkum
hinna skráðu, þ.e. þeim einstaklingum sem unnið er með
persónuupplýsingar um, í tvennt. Þannig er í flestum
tilvikum annars vegar unnið með starfsmannaupplýsingar,
þ.á m. upplýsingar um umsækjendur, fyrrverandi starfs-
menn og verktaka, og hins vegar með upplýsingar um
viðskiptamenn eða umbjóðendur. Jafnvel í þeim tilvikum
þar sem umbjóðendur eru flestir lögaðilar eru ávallt
einhverjir einstaklingar sem standa þar að baki og vinnsla á
upplýsingum um þá fellur undir regluverkið. Í síðarnefnda
hópinn fellur jafnframt vinnsla á upplýsingum um gagn-
aðila og aðra þá sem viðriðnir kunna að vera einstök mál.
Öll þessi vinnsla á persónuupplýsingum verður að vera
í samræmi við ákvæði persónuverndarregluverksins. Við
mat á því til hvaða aðgerða lögmannsstofur þurfa að grípa
til þess að uppfylla skilyrði hins nýja persónuverndar-
regluverks er lykilatriði að kortleggja fyrst þá vinnslu sem
á sér stað.
Vinnsluskrá
Öllum lögmannsstofum ber að halda svokallaða vinnsluskrá
samkvæmt hinu nýja regluverki. Í hana skal fylla inn
upplýsingar um hvaða persónuupplýsingar unnið er með,
í hvaða tilgangi, í hversu langan tíma upplýsingarnar eru
varðveittar o.s.frv. Persónuvernd hefur nýlega birt form
að slíkri vinnsluskrá sem gott er að líta til. Með því að
fylla vel út í vinnsluskrá þessa er hægt að kortleggja með
ágætis hætti þá vinnslu sem á sér stað hjá viðkomandi
lögmannsstofu.
Aðgerðir sem grípa þarf til
Á grundvelli vinnsluskrár er hægt að framkvæma gloppu-
greiningu og útbúa lista yfir þau verkefni sem ráðast þarf í
til þess að skilyrði hins nýja regluverks séu uppfyllt. Ekki er
ólíklegt að flestar stofur þurfi að grípa til ýmissa aðgerða,
þ. á m. eftirfarandi;
Fræða þarf starfsmenn og umbjóðendur um vinnslu; Veita þarf
öllum þeim einstaklingum sem unnið er með persónu-
upplýsingar um, þ. á m. starfsmönnum og umbjóðendum,
fræðslu um vinnsluna, hvaða upplýsingum er safnað,
hvort þær eru afhentar þriðja aðila, á hvaða grundvelli
upplýsingarnar eru unnar, hversu lengi þær eru varðveittar
o.s.frv. Gott er að útbúa persónuverndarstefnu eða
tilkynningu sem birt er þessum mismunandi flokkum hinna
ÁSLAUG BJÖRGVINSDÓTTIR LÖGMAÐUR