Persónuvernd mun færast ofar á gátlista fyrirtækja

Landslag persónuverndar mun breytast með afgerandi hætti þegar ný persónuverndarlöggjöf tekur gildi á vormánuðum. Löggjöfin var samþykkt innan Evrópusambandsins í apríl 2016 og kemur til framkvæmda 25. maí næstkomandi í aðildarríkjum Evrópusambandsins. Þar sem vernd persónuupplýsinga er hluti af EES-samningnum verður löggjöfin tekin upp í íslensk lög eftir að hafa hlotið þinglega meðferð, en áætlað er að löggjöfin kom til framkvæmda hér á landi vorið 2018.

Löggjöfin er ein sú umfangsmesta sem komið hefur frá ESB í langan tíma og felur þar af leiðandi í sér mestu breytingar sem orðið hafa á persónuverndarlöggjöf í tvo áratugi. Löggjöfin var um fjögur ár í smíðum. „Það hefur verið sagt um persónuverndarlöggjöfina að hún sé yfir og allt um kring. Þetta eru orð að sönnu, enda gildir hún um alla vinnslu persónuupplýsinga, hvort sem um er að ræða hið opinbera eða einkageirann,“ segir Helga Þórisdóttir, forstjóri Persónuverndar. „Það gerir þessa löggjöf svolítið sérstaka að hún er ekki eins sérgreind eða hólfuð og lög eru almennt. Hún teygir anga sína svo víða að það eru um hundrað lagabálkar sem vísa í persónuverndarlögin á einn eða annan hátt. Það má segja að öll fyrirtæki, stofnanir og sveitarfélög falli undir löggjöfina. Til að átta sig á umfanginu er mikilvægt að hafa í huga að hugtökin persónuupplýsingar og vinnsla eru skilgreind á mjög víðtækan hátt í lögunum. Þannig eru persónuupplýsingar skilgreindar sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings hvort sem hann er látinn eða lifandi, sem þýðir einfaldlega að ef þú ert með upplýsingar sem með einhverju móti verða raktar til einstaklings eru þær persónuupplýsingar, t.d. IP-tala og raðnúmer snjalltækis. Vinnsla er í raun sérhver aðgerð eða röð aðgerða þar sem unnið er með upplýsingarnar, hvort heldur sem vinnslan er handvirk eða rafræn, og nær því yfir skráningu og alla almenna meðhöndlun persónuupplýsinga.“

Undanfarin ár hefur meðvitund um persónuvernd aukist mikið og Persónuvernd hefur staðið fyrir fjölmörgum kynningum á nýju löggjöfinni. „Í stuttu máli má segja að það hafi verið slegin aðsóknarmet á öllum kynningum sem við höfum komið að undanfarna mánuði. Það hefur verið gríðarlegur áhugi og vitundarvakningin mikil. Eðli málsins samkvæmt er meðvitundin um mikilvægi persónuverndarlöggjafar þó misjöfn. Margir eru orðnir mjög vel meðvitaðir en síðan eru væntanlega margir sem eru það ekki. Vinnsla persónuupplýsinga er skilgreind á það víðtækan hátt að það má vel vera að einhverjir átti sig í raun ekki á því að þeir séu að vinna með persónuupplýsingar. Við heyrum kannski mest í þeim sem eru vel meðvitaðir og eru að óska eftir leiðbeiningum. Slíkum beiðnum höfum við undanfarið ekki náð að sinna nema að takmörkuðu leyti vegna þess að við erum svo fámennur vinnustaður. Kynningum höfum við hagað þannig að við náum til sem flestra í hvert sinn,“ segir Helga.

Ætlað að mæta tækniframförum

Núgildandi löggjöf um persónuvernd tók gildi í byrjun árs 2000 og byggir á tilskipun Evrópusambandsins frá 1995. Hún er því komin til ára sinna en nýju löggjöfinni er ætlað að mæta þeirri framþróun sem hefur átt sér stað í tækni undanfarin ár. „Í dag er í raun ekkert hagkerfi án gagna. Gögn eru verðmætar upplýsingar og eru að verða gífurlega verðmætur gjaldmiðill.“ segir Helga.

„Magn gagna hefur aukist gífurlega undanfarin ár auk þess sem tækniframfarir hafa kallað fram nýja möguleika í gagnavinnslu og dreifingu gagna. Þetta hefur leitt af sér ýmsar hættur fyrir persónuvernd sem geta leitt til þess að það sé misfarið með upplýsingar og þær gerðar að söluvöru án vitundar einstaklingsins. Þar af leiðandi var farið af stað með undirbúning nýrrar löggjafar hjá Evrópusambandinu til að mæta þessum ógnum. Nýja löggjöfin er helmingi lengri en núgildandi löggjöf og þar sem hún er í formi reglugerðar verður hún að miklu leyti innleidd í íslenskan rétt orðrétt en það er þó ákveðinn sveigjanleiki varðandi innleiðingu margra ákvæða. Þetta þýðir að helstu reglur í persónuverndarlöggjöfinni verða samræmdar um alla Evrópu, sem er nauðsynlegt á þessu sviði og leiðir jafnframt til þess að stjórnsýsluleg byrði fyrirtækja léttist vegna þess að það verður nóg fyrir fyrirtæki sem starfa á evrópskum markaði að leita til einnar persónuverndarstofnunar í stað þess að leita til viðeigandi stofnunar í hverju landi fyrir sig eins og nú þarf að gera,“ segir Helga.

Að sögn Helgu eru útgangspunktar nýju löggjafarinnar tveir. Annars vegar er henni ætlað að auka réttindi einstaklinga og tryggja þeim meiri sjálfstjórn á eigin upplýsingum þannig að þeir viti hver vinni upplýsingarnar, hvenær þær séu unnar og í hvaða tilgangi. Hins vegar er löggjöfinni ætlað að greiða fyrir þróun á hinum innri stafræna markaði.

Lykilatriði í rekstri

Með nýju löggjöfinni er ljóst að vernd persónuupplýsinga mun í mörgum tilfellum færast ofar á gátlista fyrirtækja enda geta háar sektir legið við brotum gegn ákvæðum nýju löggjafarinnar. Í dag hefur Persónuvernd heimild til að beita dagsektum en með nýju löggjöfinni eru Persónuvernd veittar heimildir til að leggja á sektir sem nema allt að 4% af árlegri heildarveltu fyrirtækis á heimsmarkaði, eða allt að 20 milljónum evra, en fjárhæð sekta fer eftir eðli og alvarleika brots.

„Þegar við sáum stærðargráðuna á nýju löggjöfinni fórum við af stað með kynningarstarfsemi, gáfum út bæklinga með yfirliti yfir hvað þarf að gera og við höfum verið að kynna vernd persónuupplýsinga sem lykilatriði í rekstri fyrirtækja. Það má í raun segja að löggjöfin færi vernd persónuupplýsinga skör ofar í rekstri fyrirtækja, sem þurfa þar af leiðandi að huga jafn vel að persónuverndarreglum og til dæmis samkeppnisréttarreglum. Það er í raun sama hvar þig ber niður, vinnslu persónuupplýsinga á sér stað hjá nær öllum fyrirtækjum þrátt fyrir að vinnslan sé vissulega mismikil,“ segir Helga.

Helstu nýjungar í löggjöfinni eru þær að öll fyrirtæki sem vinna persónuupplýsingar munu þurfa að setja sér verklagsreglur til að framfylgja löggjöfinni og hafa auðskiljanlega persónuverndarstefnu um það hvernig unnið er með persónuupplýsingar í starfseminni. Nýja löggjöfin gerir einnig auknar kröfur um fræðslu, þannig að fyrirtæki þurfa jafnframt að fræða viðskiptavini sína um hvernig unnið er með upplýsingar um þá. Til viðbótar þurfa mörg fyrirtæki sem vinna með persónuupplýsingar að meta áhættu af vinnslu persónuupplýsinga og mögulegar afleiðingar fyrir friðhelgi einstaklinga. Þá munu mörg fyrirtæki einnig þurfa að útnefna sérstakan persónuverndarfulltrúa, auk þess sem öll fyrirtæki munu þurfa að uppfylla kröfur um viðbrögð við öryggisbrestum.

Ekki bara stórfyrirtæki

„Það er í raun enginn eðlismunur á því hversu vel fyrirtæki þurfa að undirbúa sig fyrir nýju löggjöfina eftir stærð en það er vissulega viðbúið að væntingar til meðalstórra og stærri fyrirtækja verði meiri af hálfu Persónuverndar,“ segir Hörður Helgi Helgason, hdl. og einn eigenda á Landslögum, sem hefur undanfarið eitt og hálft ár veitt fyrirtækjum ráðgjöf vegna nýju löggjafarinnar. Hörður Helgi var fyrsti starfsmaður Persónuverndar þegar stofnunin var sett á laggirnar árið 2000 og var síðar settur forstjóri hennar. „Af hálfu Persónuverndar er ætlast til að fyrirtæki komi sér upp verklagsreglum, persónuverndarstefnu og skjalfestu upplýsingaöryggiskerfi sem verður reglulega tekið út og að hjá mörgum þeirra verði til staðar persónuverndarfulltrúi, sem er alveg nýtt hlutverk sem kemur inn með nýju löggjöfinni. Það eru undanþágur frá tilteknum atriðum nýju löggjafarinnar, til að mynda þurfa fyrirtæki með færri en 250 starfsmenn ekki að halda skrá yfir vinnslu persónuupplýsinga. Þegar undanþáguákvæðin eru aftur á móti skoðuð betur kemur í ljós að þau eru oft þröng. Til dæmis fellur vinnsluskrárskyldan á mörg fyrirtæki þrátt fyrir að hjá þeim starfi færri en 250 manns, meðal annars ef vinnsla persónuupplýsinga er ekki tilfallandi. Þannig að það eru í raun fá fyrirtæki sem þurfa ekki að viðhalda vinnsluyfirliti þrátt fyrir að hafa ekki 250 starfsmenn,“ segir Hörður.

Mörg fyrirtæki eru í dag orðin prýðilega upplýst um persónuverndarlöggjöfina og vel undirbúin fyrir breytingarnar að sögn Harðar Helga. „Strax í upphafi síðasta árs voru sumir af stærri viðskiptavinum okkar farnir að banka upp á og spyrja hvort við myndum ekki verða þeim innan handar til að hjálpa við þetta. Við fórum strax af stað með töluvert stóran hóp af fyrirtækjum og stofnunum í innleiðingarvinnu sem hefur síðan þá þróast yfir í staðlað innleiðingarprógramm sem við keyrum núna nokkuð smurt. Þetta er þriggja skrefa ferli sem við förum með fyrirtæki í gegnum. Fyrsta skrefið er að kortleggja starfsemina varðandi vinnslu persónuupplýsinga með nýju lagaskyldurnar í huga og raða starfseminni inn í vinnsluyfirlit. Þannig fæst góð yfirsýn yfir reksturinn og á grundvelli vinnsluyfirlitsins er farið í annað skrefið, sem er greiningarskref. Þar skoðum við hverja vinnslu eða flokk af vinnslum fyrir sig og hvernig þær standast ákvæði nýju laganna. Á grundvelli greiningarinnar smíðum við forgangsraðaðan lista yfir úrbætur. Þriðja skrefið er síðan hreint innleiðingarskref þar sem verkefnastjóri innan fyrirtækisins tekur við boltanum og fer eins langt niður eftir úrbótalistanum og tími og mannafli leyfa. Til að byrja með tók hvert skref fjóra til sex mánuði en við erum komin í góða æfingu og núna á hvert skref að geta klárast á innan við þremur mánuðum. Við erum með hóp fyrirtækja sem byrjaði í ferlinu nú um mánaðamótin, en það prógramm er skipulagt þannig að vinnunni eigi að verða lokið þegar reglugerðin tekur gildi í Evrópu og lögin ættu að taka gildi hér á landi,“ segir Hörður Helgi.

Skynja tækifæri

Flestir umbjóðendur Harðar Helga eru í dag orðnir prýðilega upplýstir um persónuverndarlöggjöfina og farnir að skynja tækifæri. „Það eitt að minnka vinnslu upplýsinga á persónugreinanlegu formi þannig að hægt sé að vinna ítarlegri rannsóknarvinnu með upplýsingar á ópersónugreinanlegu formi opnar á fjölmörg tækifæri. Um leið og persónuupplýsingar verða ópersónugreinanlegar eru minni hömlur á því í hvað má nota þær og þá er hægt að draga út úr þeim mun meiri virðisaukandi upplýsingar fyrir starfsemi fyrirtækisins. Þannig opnast tækifæri fyrir fyrirtæki í virðisaukandi upplýsingavinnslu og greiningum. Þar fyrir utan eykur það vernd persónuupplýsinga að ekki sé verið að geyma upplýsingar árum saman á persónugreinanlegu formi án þess að þurfa í raun á þeim að halda og búa við þá hættu að þeim verði lekið eða stolið. Þar af leiðandi er mjög mikilvægt að nálgast þetta með opnum og jákvæðum hug,“ segir Hörður Helgi.

Ábyrgðin hjá fyrirtækjunum

Alma Tryggvadóttir, hdl. og sérfræðingur í persónurétti, var í apríl síðastliðnum ráðin til Landsbankans til að leiða starfshóp innan bankans sem hefur það meginverkefni að undirbúa og laga starfsemi bankans að nýju löggjöfinni. Að sögn Ölmu er verkefnið mjög umfangsmikið hjá fjármálafyrirtækjum, tryggingarfyrirtækjum og öðrum fyrirtækjum sem er bæði skylt og nauðsynlegt að vinna persónuupplýsingar. „Því stærri og flóknari sem starfsemi fyrirtækja er, þeim mun umfangsmeira og tímafrekara er þetta aðlögunarferli sem er fram undan. Fjármálafyrirtæki eru vissulega vön að meðhöndla persónuupplýsingar á öruggan og ábyrgan hátt eftir fastmótuðum verklagsreglum, sem hjálpar vissulega til við verkefnið. Þau fyrirtæki sem eru alveg á byrjunarreit eiga mjög stórt verkefni fyrir höndum,“ segir Alma.

„Það sem mér þykir einna merkilegast við nýju löggjöfina er hversu mikil áhersla er lögð á að fyrirtæki geti sýnt fram á ábyrgð sína og hvernig þau fylgja reglunum í framkvæmd. Þessi skylda kallar á að verklag um vinnslu persónuupplýsinga sé skjalfest t.d. með stefnum, verklagsreglum eða ferlum svo unnt sé að sanna fyrir persónuyfirvöldum hvernig reglunum sé fylgt eftir.“

Viðskiptalegt forskot

Eins og fram hefur komið er stefnt að því að nýja löggjöfin komi til framkvæmda hér á landi næsta vor. „Það er stuttur tími til stefnu og það er mikilvægt að átta sig á því að eftir að reglugerðin hefur verið tekin upp í íslensk lög þarf að fylgja þeim frá og með þeim tímapunkti. Tveggja ára aðlögunartímabil sem fyrirtækjum er veitt til að bregðast við hinum nýju reglum er rúmlega hálfnað. Maður hefur heyrt af því að einhverjir búist við lengri aðlögunartíma þar sem Ísland er ekki í Evrópusambandinu en svo er ekki. Hjá mörgum fyrirtækjum er mikil vinna fyrir höndum og það er ekki seinna vænna að hefja þá vinnu sem fyrst,“

„Í stað þess að líta á vernd persónuupplýsinga sem viðskiptalega hindrun tel ég mikilvægt að einbeita sér að tækifærunum sem geta falist í öflugri persónuvernd, sem leiða til dæmis af auknu trausti neytenda til fyrirtækja sem fara vel með persónuupplýsingar þeirra og tryggja öryggi þeirra. Þar að auki getur öflug vernd persónuupplýsinga skapað aðgreiningu á markaði og veitt fyrirtækjum samkeppnisforskot. Reglugerðin tekur af allan vafa um það að vernd persónuupplýsinga og vinnsla þeirra eru meðal grundvallarmannréttinda og það er rík ástæða til að vernda þær á alþjóðavísu og fyrirtæki þurfa einfaldlega að gangast við þeirri ábyrgð sem á þau er lögð,“ segir Alma.