FLE blaðið - 01.01.2018, Blaðsíða 30
30 FLE BLAÐIÐ JANÚAR 2018
Nýverið braut Evrópusambandið blað í sögu persónuverndar
þegar sambandið samþykkti nýja reglugerð um vernd einstak-
linga í tengslum við vinnslu persónuupplýsinga og um frjálsa
miðlun slíkra upplýsinga (e. General Data Protection Regulation,
hér eftir GDPR). Hin nýja reglugerð er umfangsmikil og fellir úr
gildi eldri tilskipun á þessu sviði. Litlar sem engar breytingar
höfðu verið gerðar í þessum málaflokki frá árinu 1995 og er
það m.a. markmið hinnar nýju reglugerðar að færa einstakling-
um aukin réttindi og stjórn yfir eigin persónuupplýsingum í
síbreytilegu tækniumhverfi. Óumdeilanlega er hér um að ræða
stærstu breytingar á þessu sviði í áraraðir og ljóst að nær öll
fyrirtæki þurfa að bregðast við þeim auknu kröfum sem hin
nýja löggjöf felur í sér. Dýrkeypt getur reynst að sofna á verð-
inum enda hafa yfirvöldum með reglugerðinni verið veittar
umfangsmiklar og áður óþekktar sektar- og eftirlitsheimildir.
Þrátt fyrir að reglugerðin hafi nú þegar verið samþykkt þá hefur
aðildarríkjum sambandsins verið veittur aðlögunartími til 25.
maí nk. Vernd persónuupplýsinga er talinn hluti af EES-
samningnum og mun löggjöfin því verða tekin upp í íslenskan
rétt en verður þó fyrst að hljóta þinglega meðferð Alþingis.
Þrátt fyrir að ekki liggi fyrir á þessari stundu hver verður dag-
setning á gildistöku á skuldbindingum Íslands er brýnt að allir
sem vinna með persónuupplýsingar hefji undirbúning fyrir hið
nýja regluverk. Víðtækt gildissvið reglugerðarinnar gerir það að
verkum að efni hennar mun í ákveðnum kringumstæðum taka
til íslenskra aðila sem vinna með persónuupplýsingar einstak-
linga innan ESB, jafnvel þótt reglugerðin verði ekki komin í
EES-samninginn á þeim tíma.
ný persónuVerndarlöggjöF og
áhriF á Vinnu endurskoðenda
Birna María Sigurðardóttir, Löggiltur endurskoðandi og CIPP/e (e. Certified
Information Privacy Professional) hjá Deloitte ehf. og Ásdís Auðunsdóttir,
Lögfræðingur og CIPP/e hjá Deloitte ehf.
Það er mikilvægt að stjórnendum fyrirtækja og endurskoðendum sé það ljóst
að innleiðing fullnægjandi persónuverndar í samræmi við hina nýju löggjöf er
ekki afmarkað og tímabundið verkefni. Þvert á móti er nauðsynlegt
að fyrirtæki tileinki sér breytta starfshætti til framtíðar sem
fléttast inn í dagleg verkefni stjórnenda og starfsmanna