Lögmannablaðið - 2018, Side 34
34 LÖGMANNABLAÐIÐ TBL 02/18
skráðu. Mikilvægt er að veita þessa fræðslu áður en vinnsla
hefst og gagnvart umbjóðendum kann að vera gott að hafa
fræðslu þessa í verkefnabréfi.
Gera þarf vinnslusamninga við utanaðkomandi vinnsluaðila;
Ef lögmannsstofa felur utanaðkomandi aðila að vinna
með persónuupplýsingar fyrir sína hönd þarf að vanda
vel valið á slíkum aðilum og þarf stofan að gera skriflegan
vinnslusamning við slíka aðila þar sem nánar tiltekin
ákvæði þurfa að koma fram. Dæmi um vinnsluaðila sem
lögmannsstofur kunna að fela vinnslu á persónuupp-
lýsingum eru hýsingaraðilar, þýðendur, gagnaeyðing og
eftir atvikum ráðningarskrifstofur.
Eyða þarf persónuupplýsingum sem ekki er ástæða til að varðveita;
Það telst alvarlegt brot á persónu verndar regluverkinu að
varðveita upplýsingar sem ekki er lengur málefnalegt að
eiga með hliðsjón af þeim tilgangi sem upplýsingarnar
eru unnar í. Ávallt verður að greina varðveislutíma út
frá tilgangi hverrar vinnsluaðgerðar en í dæmaskyni skal
nefnt að almennt fæst ekki séð að hægt sé að varðveita
umsóknargögn frá umsækjendum lengur en í sex mánuði
eftir að gengið hefur verið frá ráðningu, upplýsingum um
nánasta aðstandanda starfsmanna skal eytt við starfslok og
almennt er erfitt að færa rök fyrir varðveislu á upplýsingum
um umbjóðendur og málum þeim tengdum eftir að fyrn-
ingar frestur vegna mögulegra krafna vegna umrædds
málareksturs er liðinn.
Gæta þarf að öryggisráðstöfunum; Mikilvægt er að grípa til
fullnægjandi öryggisráðstafana til að verja þær upplýsingar
sem unnið er með. Ein ráðstöfun er að stýra aðgangi að
skjalasöfnum lögmanna og á stærri stofum getur verið
ástæða til þess að taka upp notkun á atburðaskráningum
þannig að hægt sé að skoða hverjir hafi haft aðgang að
upplýsingum og eftir atvikum breytt þeim.
Afla þarf samþykkis fyrir vinnslu; Öll vinnsla persónu-
upplýsinga verður að byggja á heimild, s.s. samningi,
lagaskyldu, lögmætum hagsmunum eða samþykki. Telja
verður að í flestum tilvikum geti lögmannsstofur byggt
á þremur fyrrnefndu lagaheimildunum en í ákveðnum
tilvikum kann að vera nauðsynlegt að afla sérstaks samþykkis
fyrir vinnslu. Dæmi um það er sending markaðsefnis til
annarra en umbjóðenda stofunnar. Spila þar saman skyldur
persónuverndarlaga sem og fjarskiptalöggjafarinnar.
Undirbúa þarf aðgangsbeiðnir og önnur réttindi hins skráða;
Í persónuverndarregluverkinu er mælt fyrir um víðtæk
réttindi þeirra einstaklinga sem unnið er með upplýsingum
um. Þ. á m. hafa einstaklingarnir rétt til aðgangs að þeim
upplýsingum sem unnið er með og rétt til afrits af þeim
upplýsingum. Takmarkaðar undantekningar eru á þeim
rétti samkvæmt frumvarpsdrögum en þó kann þagnar-
skylda lögmanna að koma í veg fyrir afhendingu lögmanna
á upplýsingum til annarra en umbjóðanda. Mikilvægt er að
huga að þessu samspili og hvernig verða eigi við beiðnum
sem þessum.
Skipa þarf persónuverndarfulltrúa; Það er eru ekki allar
lögmannsstofur sem þurfa að skipa persónuverndarfulltrúa
en þær stofur sem vinna mikið með viðkvæmar persónu-
upplýsingar, t.d. heilsufarsupplýsingar í líkamstjónamálum,
eða upplýsingar um sakfellingar og refsiverð brot í saka-
málum, gætu fallið undir slíka skyldu. Einyrkjum ber þó
tæplega skylda til að skipa slíkan fulltrúa, þar sem vinnsla
þeirra telst í fæstum tilvikum umfangsmikil í skilningi
persónuverndarlaga jafnvel þó þeir hafi með höndum
vinnslu slíkra viðkvæmra upplýsinga eða upplýsinga um
refsiverð brot.
Innleiðing
Með hliðsjón af ofangreindu er að ýmsu að huga fyrir
lögmannsstofur áður en nýtt persónuverndarregluverk
tekur gildi hér á landi. Þegar verkefnalisti liggur fyrir er
mikilvægt að forgangsraða verkefnum og hefjast handa við
innleiðingu. Í þessu ferli, sem og í allri vinnslu persónu-
upplýsinga, er skjölun lykilatriði enda er svokölluð
ábyrgðar skylda ein af meginreglum hins nýja regluverks, en
hún felur það í sér að ekki er nóg að umræddu regluverki
sé fylgt, heldur er nauðsynlegt að geta sýnt fram á slíka
framfylgni.