FLE blaðið - 01.01.2018, Qupperneq 31
31FLE BLAÐIÐ JANÚAR 2018
ábyrgðar- eða Vinnsluaðili?
Samkvæmt hinni nýju löggjöf er mikilvægt að skilgreina í upp-
hafi hvort að fyrirtæki, eða deildir innan fyrirtækja, sem vinna
með persónugreinanlegar upplýsingar teljist vera ábyrgðaraðil-
ar eða vinnsluaðilar þeirra upplýsinga sem unnið er með. Á
grundvelli þeirrar ákvörðunar er í kjölfarið hægt að skilgreina þá
ábyrgð sem á fyrirtækinu hvílir. Ábyrgðaraðili telst í stuttu máli
vera sá lögaðili eða einstaklingur sem ákvarðar tilgang og
aðferð við vinnslu persónuupplýsinga. Vinnsluaðili er svo sá
einstaklingur eða lögaðili sem vinnur persónuupplýsingarnar á
vegum ábyrgðaraðilans. Skyldur ábyrgðaraðila eru töluvert
umfangsmeiri en skyldur vinnsluaðila og afmarkar hann að
nokkru leyti einnig skyldur vinnsluaðilans.
Það getur verið matsatriði í hvort hlutverkið fyrirtækjum ber að
skipa sér og skiptar skoðanir virðast vera uppi um það hvert
hlutverk endurskoðenda á að vera í þessum skilningi. Nú þegar
hefur Alþjóðaviðskiptastofnunin í Bretlandi sent frá sér álit þar
sem hún flokkar endurskoðunarskrifstofur sem ábyrgðaraðila
og byggir hún það álit á eðli og sjálfstæði starfsstéttarinnar í
störfum sínum. Þrátt fyrir það hafa stéttir endurskoðenda í
öðrum löndum einnig fært góð rök fyrir því að eðlilegast væri
að flokka slík fyrirtæki sem vinnsluaðila. Ekki verður tekin
afstaða til þess hér hvort endurskoðunarskrifstofur skuli teljast
vera vinnsluaðilar eða ábyrgðaraðilar í skilningi hinna nýju laga
en eðlilegt hlýtur að teljast að eftirlitsyfirvöld hér á landi sendi
frá sér leiðbeinandi álit hvað það varðar.
helstu atriði sem endurskoðendur þurFa að
beina sjónum að
Hin nýja reglugerð mun ná jafnt til endurskoðenda sem og
annarra sem vinna á einhvern hátt með persónugreinanleg
gögn, hvort sem það eru viðskiptamenn eða starfsmenn.
Endurskoðendur munu því að öllum líkindum þurfa að breyta
starfsháttum sínum töluvert til að uppfylla ákvæði GDPR.
Auknar skyldur samkvæmt GDPR munu fela í sér aukna og
nákvæmari skjölun en áður, auk þess sem upplýsingaskylda
þeirra gagnvart hinum skráða einstaklingi er meiri en áður.
Eftirfarandi atriði er meðal þess sem endurskoðendur þurfa að
gera til þess að uppfylla þær nýju kröfur sem til þeirra verða
gerðar:
• Skilgreina þau persónugreinanlegu gögn sem unnið er
með. Mikilvægt er að fyrirtæki séu meðvituð um með
hvaða leiðum gögnin berast, hvernig vinnsla þeirra fer
fram og hvaða upplýsingakerfi eru notuð, hvernig og
hversu lengi þau eru vistuð og hvernig er staðið að eyð-
ingu.
• Útbúa þarf ítarlega vinnsluskrá þar sem haldið er utan um
hvernig vinnslu persónuupplýsinga er háttað innan fyrir-
tækisins.
• Huga þarf að því á hvaða heimild vinnsla persónuupplýs-
inga grundvallast. Ef hún grundvallast á samþykki hins
skráða einstaklings er mikilvægt að slíks samþykkis sé
aflað með fullnægjandi hætti. Starfshópur á vegum
Evrópusambandsins hefur nú sent frá sér nánari upplýs-
ingar um það hvernig slíkt samþykki skuli útfært. Líklega
er algengara hjá endurskoðendum að vinnslan byggi á
samningi eða lagaheimild og í þeim tilfellum þarf að ganga
úr skugga um að þeir samningar uppfylli kröfur GDPR. Hér
er líka mikilvægt að tekið sé tillit til krafna annarra laga
sem endurskoðendur starfa eftir, s.s. krafna um geymslu-
tíma gagna.
• Í þeim tilvikum sem tiltekin vinnsla persónuupplýsinga
getur haft í för með sér mikla áhættu fyrir einstaklinga ber
fyrirtækjum að framkvæma svokallað mat á áhrifum á
persónuvernd (e. Privacy Impact Assessments). Mikilvægt
er að fyrirtæki átti sig á því hvenær nauðsynlegt er að
framkvæma slíkt mat og geti brugðist við með fyrirfram
ákveðnum aðgerðum.
• Mikilvægt er að yfirfara öll öryggismál er varða persónu-
vernd, fræða starfsfólk um meðferð persónuupplýsinga
og útbúa verkferla um hvernig brugðist skuli við öryggis-
brestum í samræmi við ströng skilyrði GDPR.
• Tryggja þarf að fyrirtækið sé í stakk búið til að bregðast við
auknum réttindum þeirra einstaklinga sem persónuupp-
lýsingarnar lúta að. Einstaklingurinn mun þannig hafa mun
meiri rétt til upplýsinga um vinnslu upplýsinganna og
aukið aðgengi að þeim gögnum sem unnið er með.
Viðskiptamenn gætu einnig í ákveðnum tilvikum átt rétt á
því að „gleymast“, þ.e. að persónuupplýsingum um þá
verði eytt. Eins getur hann átt rétt á því að vinnsla
gagnanna verði takmörkuð eða gögnin leiðrétt, sé þess
þörf.
• Endurskoða þarf allt markaðsstarf sem beint er að ein-
staklingum svo tryggt sé að það uppfylli kröfur hinnar nýju
löggjafar.
• Yfirfara þarf persónuverndarstefnur og yfirlýsingar á þann
hátt að þær uppfylli gerðar kröfur um upplýsingar sem
þurfa að vera aðgengilegar einstaklingum.
• Yfirfara þarf og uppfæra þá samninga sem gerðir hafa
verið við þriðju aðila og tryggja að vinnslusamningar séu
ávallt til staðar.
langhlaup en ekki sprettur
Það er ljóst að ákvæði GDPR fela í sér kröfur um aukna og
nákvæmari skjölun um vinnslu persónuupplýsinga hjá endur-
skoðendum og líkt og sjá má hér að ofan er í mörg horn að líta.
Það er mikilvægt að stjórnendum fyrirtækja og endurskoðend-
um sé það ljóst að innleiðing fullnægjandi persónuverndar í
samræmi við hina nýju löggjöf er ekki afmarkað og tímabundið
verkefni. Þvert á móti er nauðsynlegt að fyrirtæki tileinki sér
breytta starfshætti til framtíðar sem fléttast inn í dagleg verk-
efni stjórnenda og starfsmanna. Starfsmenn þurfa þannig að
vera meðvitaðir um hlutverk sín og skyldur og þær afleiðingar
sem brot gegnum persónuverndarlögum geta haft í för með
sér. Hér er því um sannkallað langhlaup að ræða ef vel á að
vera.
Birna María Sigurðardóttir og Ásdís Auðunsdóttir