23 meðferð persónuupplýsinga ber honum að tilkynna það til ábyrgðaraðila án ótilhlýðilegrar tafar. Það er svo á hendi ábyrgðaraðila að tilkynna öryggisbrotið til eftirlitsyfirvaldsins innan 72 klukkustunda frá því hann varð atburðar var. Tímafrestirnir eru því naumir og ekki fullljóst hvernig túlka ber samspil tímafresta sem vinnslu­ og ábyrgðaraðilum eru gefnir í reglugerðinni. Líklega byrjar 72 klukku stunda festur ábyrgðaraðila að líða frá tíma tilkynningar vinnsluaðila, sem berast skal án ótilhlýðilegrar tafar, ef það er jafnframt sá tímapunktur sem ábyrgðaraðili fyrst veit af öryggisbroti sem á sér stað hjá vinnsluaðila. Vænta má nánari leiðbeininga um tilkynningar vegna öryggisbrota frá 29. gr. starfshópnum á þessu ári [6]. PERSÓNUVERNDARFULLTRÚAR Tilnefning persónuverndarfulltrúa hefur ekki tíðkast áður hér á landi, en þekkist í sumum nágrannalöndum okkar, t.d. í Noregi og Þýskalandi. Með tilkomu nýju persónuverndarreglnanna skulu allir opinberir aðilar og þeir einkaaðilar sem hafa sem meginstarfsemi vinnsluaðgerðir sem krefjast umgangsmikils, reglubundins og kerfisbundins eftirlits með einstaklingum eða umfangsmikla vinnslu viðkvæmra persónuupplýsinga, tilnefna persónuverndarfulltrúa. Vinnsluaðilar verða nú að meta hvort þeir uppfylli ofangreind skilyrði og að á þeim hvíli þar með skylda til að tilnefna persónuverndarfulltrúa. Þá skal bent á að aðildarríkjum er einnig heimilt að ákveða með lögum að tilnefna skuli persónuverndarfulltrúa í öðrum tilvikum en þeim sem að framan greinir, og því er mælt með að fylgst sé náið með lagasetningu hvað þetta varðar. Persónuverndar fulltrúinn getur verið starfsmaður eða utanaðkomandi aðili og skal hafa sérþekkingu á persónuverndarlöggjöf að teknu tilliti til vinnslunnar sem fram fer hjá aðilanum. Persónu verndarfulltrúinn þarf því bæði að hafa þekkingu á gildandi lögum og framkvæmd sem og vinnslustarfsemi aðilans, en ekki er gerð krafa um tiltekna menntun. Helstu verkefni persónuverndarfulltrúans eru upplýsingagjöf og eftirlit með að farið sé eftir gildandi persónu­ verndarlögum, og er hann einnig tengiliður fyrir eftirlitsyfirvöld og einstaklinga. Persónuverndarfulltrúinn skal vera sjálfstæður í störfum sínum og heyrir beint undir æðstu stjórn aðilans. Hann getur gegnt öðrum störfum svo lengi sem þau leiða ekki til hagsmunaárekstra og má þ.a.l. alla jafna ekki vera framkvæmdastjóri, mannauðsstjóri, markaðsstjóri eða gegna annars konar stöðu þar sem hann ákvarðar tilgang og aðferðir við vinnslu persónuupplýsinga. Þá má ekki refsa honum eða víkja úr starfi fyrir framkvæmd verkefna sinna sem persónuverndarfulltrúi. Viðkomandi ábyrgðar­ eða vinnsluaðili ber áfram ábyrgð á að lögunum sé fylgt. MIÐLUN PERSÓNUUPPLÝSINGA TIL ÞRIÐJU LANDA Reglur um miðlun persónuupplýsinga til þriðju landa, þ.e. landa sem ekki veita persónuupplýsingum sambærilega vernd og samkvæmt persónuverndarreglugerðinni, eiga beinlínis við um vinnsluaðila með tilkomu nýju reglnanna. Vinnsluaðilar þurfa því að athuga hvort slík miðlun eigi sér stað, t.a.m. með notkun gagnavera og skýjaþjónusta eða til fyrirtækja innan samsteypu, og hvort hún samrýmist heimildum nýju reglnanna. STJÓRNSÝSLUSEKTIR O.FL. Vinnsluaðilar geta samkvæmt almennu persónuverndarreglugerðinni borið sjálfstæða ábyrgð og orðið ábyrgir til jafns við ábyrgðaraðila ef reglunum er ekki fylgt, en hingað til hefur ábyrgðin gagnvart eftirlitsyfirvöldum og einstaklingum legið eingöngu hjá ábyrgðaraðilum. Ber þar helst að nefna heimildir eftirlitsyfirvalda til að leggja á stjórnsýslusektir vegna brota á reglunum sem geta numið þeirri fjárhæð sem hærri er, 20 milljónum Evra eða 4% af árlegri heildarveltu á heimsvísu á næstliðnu fjárhagsári. Einnig getur vinnsluaðili borið bótaábyrgð vegna tjóns sem hlýst af vinnslu sem brýtur í bága við reglugerðina eða ef hann hefur farið gegn lögmætum fyrirmælum ábyrgðaraðila. HEIMILDIR [1] Sjá heimasíðu Persónuverndar, t.d. https://www.personuvernd.is/ny­ personuverndarloggjof­2018/fyrir­logadila/ (sótt 3.5.2017). [2] e. Article 29 Working Party. Starfshópnum var komið á fót með núgildandi tilskipun og er skipaður fulltrúum frá persónuverndarstofnunum aðildarríkjanna á EES­svæðinu auk fulltrúum framkvæmdastjórnar ESB og hins evrópska persónuverndarfulltrúa. Hópurinn gegnir ráðgefandi hlutverki og hefur gefið út leiðbeiningar um ýmis lykilákvæði núgildandi tilskipunar og nú einnig almennu persónuverndarreglugerðarinnar. [3] Hér er rétt að benda á að vinnsluaðilar geta á sama tíma verið ábyrgðaraðilar gagnvart tilteknum persónuupplýsingum, t.d. um eigið starfsfólk. [4] Um nánari umfjöllun vísast til greinarinnar „Innbyggð og sjálfgefin friðhelgi í upplýsingakerfum – er þitt fyrirtæki tilbúið?“ eftir Ölmu Tryggvadóttur og Vigdísi Evu Líndal sem birtist í 1. tbl. 40. árg. Tölvumála í nóvember 2015. [5] Hér gefst ekki ráðrúm til að fara yfir öll atriðin, en vísað er til 2. mgr. 30. gr. almennu persónureglugerðarinnar þar sem upptalninguna er að finna. [6] Sjá t.d. https://www.huntonprivacyblog.com/wp­content/uploads/ sites/18/2017/01/ Pressrelease­Adoptionof2017GDPRActionPlan.pdf (sótt 3.5.2017).

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48