31FLE BLAÐIÐ JANÚAR 2018 ábyrgðar- eða Vinnsluaðili? Samkvæmt hinni nýju löggjöf er mikilvægt að skilgreina í upp- hafi hvort að fyrirtæki, eða deildir innan fyrirtækja, sem vinna með persónugreinanlegar upplýsingar teljist vera ábyrgðaraðil- ar eða vinnsluaðilar þeirra upplýsinga sem unnið er með. Á grundvelli þeirrar ákvörðunar er í kjölfarið hægt að skilgreina þá ábyrgð sem á fyrirtækinu hvílir. Ábyrgðaraðili telst í stuttu máli vera sá lögaðili eða einstaklingur sem ákvarðar tilgang og aðferð við vinnslu persónuupplýsinga. Vinnsluaðili er svo sá einstaklingur eða lögaðili sem vinnur persónuupplýsingarnar á vegum ábyrgðaraðilans. Skyldur ábyrgðaraðila eru töluvert umfangsmeiri en skyldur vinnsluaðila og afmarkar hann að nokkru leyti einnig skyldur vinnsluaðilans. Það getur verið matsatriði í hvort hlutverkið fyrirtækjum ber að skipa sér og skiptar skoðanir virðast vera uppi um það hvert hlutverk endurskoðenda á að vera í þessum skilningi. Nú þegar hefur Alþjóðaviðskiptastofnunin í Bretlandi sent frá sér álit þar sem hún flokkar endurskoðunarskrifstofur sem ábyrgðaraðila og byggir hún það álit á eðli og sjálfstæði starfsstéttarinnar í störfum sínum. Þrátt fyrir það hafa stéttir endurskoðenda í öðrum löndum einnig fært góð rök fyrir því að eðlilegast væri að flokka slík fyrirtæki sem vinnsluaðila. Ekki verður tekin afstaða til þess hér hvort endurskoðunarskrifstofur skuli teljast vera vinnsluaðilar eða ábyrgðaraðilar í skilningi hinna nýju laga en eðlilegt hlýtur að teljast að eftirlitsyfirvöld hér á landi sendi frá sér leiðbeinandi álit hvað það varðar. helstu atriði sem endurskoðendur þurFa að beina sjónum að Hin nýja reglugerð mun ná jafnt til endurskoðenda sem og annarra sem vinna á einhvern hátt með persónugreinanleg gögn, hvort sem það eru viðskiptamenn eða starfsmenn. Endurskoðendur munu því að öllum líkindum þurfa að breyta starfsháttum sínum töluvert til að uppfylla ákvæði GDPR. Auknar skyldur samkvæmt GDPR munu fela í sér aukna og nákvæmari skjölun en áður, auk þess sem upplýsingaskylda þeirra gagnvart hinum skráða einstaklingi er meiri en áður. Eftirfarandi atriði er meðal þess sem endurskoðendur þurfa að gera til þess að uppfylla þær nýju kröfur sem til þeirra verða gerðar: • Skilgreina þau persónugreinanlegu gögn sem unnið er með. Mikilvægt er að fyrirtæki séu meðvituð um með hvaða leiðum gögnin berast, hvernig vinnsla þeirra fer fram og hvaða upplýsingakerfi eru notuð, hvernig og hversu lengi þau eru vistuð og hvernig er staðið að eyð- ingu. • Útbúa þarf ítarlega vinnsluskrá þar sem haldið er utan um hvernig vinnslu persónuupplýsinga er háttað innan fyrir- tækisins. • Huga þarf að því á hvaða heimild vinnsla persónuupplýs- inga grundvallast. Ef hún grundvallast á samþykki hins skráða einstaklings er mikilvægt að slíks samþykkis sé aflað með fullnægjandi hætti. Starfshópur á vegum Evrópusambandsins hefur nú sent frá sér nánari upplýs- ingar um það hvernig slíkt samþykki skuli útfært. Líklega er algengara hjá endurskoðendum að vinnslan byggi á samningi eða lagaheimild og í þeim tilfellum þarf að ganga úr skugga um að þeir samningar uppfylli kröfur GDPR. Hér er líka mikilvægt að tekið sé tillit til krafna annarra laga sem endurskoðendur starfa eftir, s.s. krafna um geymslu- tíma gagna. • Í þeim tilvikum sem tiltekin vinnsla persónuupplýsinga getur haft í för með sér mikla áhættu fyrir einstaklinga ber fyrirtækjum að framkvæma svokallað mat á áhrifum á persónuvernd (e. Privacy Impact Assessments). Mikilvægt er að fyrirtæki átti sig á því hvenær nauðsynlegt er að framkvæma slíkt mat og geti brugðist við með fyrirfram ákveðnum aðgerðum. • Mikilvægt er að yfirfara öll öryggismál er varða persónu- vernd, fræða starfsfólk um meðferð persónuupplýsinga og útbúa verkferla um hvernig brugðist skuli við öryggis- brestum í samræmi við ströng skilyrði GDPR. • Tryggja þarf að fyrirtækið sé í stakk búið til að bregðast við auknum réttindum þeirra einstaklinga sem persónuupp- lýsingarnar lúta að. Einstaklingurinn mun þannig hafa mun meiri rétt til upplýsinga um vinnslu upplýsinganna og aukið aðgengi að þeim gögnum sem unnið er með. Viðskiptamenn gætu einnig í ákveðnum tilvikum átt rétt á því að „gleymast“, þ.e. að persónuupplýsingum um þá verði eytt. Eins getur hann átt rétt á því að vinnsla gagnanna verði takmörkuð eða gögnin leiðrétt, sé þess þörf. • Endurskoða þarf allt markaðsstarf sem beint er að ein- staklingum svo tryggt sé að það uppfylli kröfur hinnar nýju löggjafar. • Yfirfara þarf persónuverndarstefnur og yfirlýsingar á þann hátt að þær uppfylli gerðar kröfur um upplýsingar sem þurfa að vera aðgengilegar einstaklingum. • Yfirfara þarf og uppfæra þá samninga sem gerðir hafa verið við þriðju aðila og tryggja að vinnslusamningar séu ávallt til staðar. langhlaup en ekki sprettur Það er ljóst að ákvæði GDPR fela í sér kröfur um aukna og nákvæmari skjölun um vinnslu persónuupplýsinga hjá endur- skoðendum og líkt og sjá má hér að ofan er í mörg horn að líta. Það er mikilvægt að stjórnendum fyrirtækja og endurskoðend- um sé það ljóst að innleiðing fullnægjandi persónuverndar í samræmi við hina nýju löggjöf er ekki afmarkað og tímabundið verkefni. Þvert á móti er nauðsynlegt að fyrirtæki tileinki sér breytta starfshætti til framtíðar sem fléttast inn í dagleg verk- efni stjórnenda og starfsmanna. Starfsmenn þurfa þannig að vera meðvitaðir um hlutverk sín og skyldur og þær afleiðingar sem brot gegnum persónuverndarlögum geta haft í för með sér. Hér er því um sannkallað langhlaup að ræða ef vel á að vera. Birna María Sigurðardóttir og Ásdís Auðunsdóttir

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40