Hvati er fyrir fyrirtæki að fylgja hinum nýju reglum enda kunna brot að hafa umtalsverðar fjárhagslegar afleiðingar í för með sér.

Fyrirtæki taka við ógrynni persónuupplýsinga á degi hverjum. Óhætt er að fullyrða að fyrirtækjum er ekki í sjálfsvald sett hvernig þau meðhöndla þessar upplýsingar, en um skyldur þeirra gilda lög nr. 77/2000 um persónuvernd og meðhöndlun persónuupplýsinga. Nú styttist í að ný reglugerð Evrópusambandsins nr. 2016/679 um vernd einstaklinga við vinnslu persónuupplýsinga og frjálst flæði slíkra upplýsinga komi til framkvæmda, nánar tiltekið hinn 25. maí 2018. Af hálfu íslenskra stjórnvalda er gert ráð fyrir að frumvarp verði lagt fram næsta haust þar sem ákvæði reglugerðarinnar verða innleidd í íslensk lög. Innleiðingin mun hafa umtalsverð áhrif á réttarstöðu einstaklinga og fyrirtækja og verður hér gerð grein fyrir þeim helstu breytingum sem hún mun hafa í för með sér.

Hinar nýju reglur munu hafa áhrif á öll fyrirtæki, stofnanir og aðra sem vinna með persónuupplýsingar einstaklinga. Reglurnar munu því gilda um viðskiptavini og starfsfólk fyrirtækja, notendur hvers kyns hugbúnaðar, nemendur menntastofnana o.m.fl. Eitt helsta markmið þessara endurbóta á reglum um persónuvernd er að veita einstaklingum betri réttarvernd og færa þeim aukinn ákvörðunarrétt yfir persónuupplýsingum. Eftir gildistöku reglnanna munu því einstaklingar hafa aukna stjórn á því hver vinnur upplýsingarnar, hvenær upplýsingavinnslan á sér stað og hver tilgangur vinnslunnar sé.

Ótækt er í grein þessari að gera tæmandi grein fyrir því hvaða nýjungum þessum reglum er ætlað að innleiða, en þó skulu eftirfarandi atriði tiltekin sérstaklega . Í fyrsta lagi munu reglurnar leiða til aukins hreyfanleika persónuupplýsinga en í því felst annars vegar að einstaklingur getur óskað eftir afriti af þeim persónuupplýsingum sem safnað hefur verið saman um hann og hins vegar að þessar upplýsingar séu fluttar til annarra aðila, s.s. samfélagsmiðla, netþjónusta o.s.frv. Í öðru lagi gera hinar nýju reglur auknar kröfur til samþykkis fyrir söfnun og vinnslu persónuupplýsinganna. Samþykki einstaklings verður samkvæmt þessu að vera veitt með skýrum hætti – m.ö.o. samþykkið þarf að vera ótvírætt og ná til allrar þeirrar úrvinnslu sem vinnsluaðili persónuupplýsinganna framkvæmir. Þögn eða aðgerðaleysi einstaklings getur aldrei flokkast sem samþykki . Í þriðja lagi munu einstaklingar eiga skýran rétt til þess að hver sá sem safnað hefur persónuupplýsingum afhendi þær til einstaklingsins, komi fram beiðni þar að lútandi. Afrit persónuupplýsinganna skulu veitt innan eins mánaðar frá því að beiðni er afhent. Í fjórða lagi er börnum veitt sérstök vernd samkvæmt nýju reglunum. Þannig verða netþjónustur, s.s. samfélagsmiðlar, að afla samþykkis foreldra þegar börn yngri en 16 ára skrá sig fyrir þjónustu á þeirra vegum. Í fimmta lagi gera reglurnar ráð fyrir því að rísi ágreiningur um vinnslu eða meðferð persónuupplýsinga geti einstaklingur valið hvert hann leitar til að leita réttar síns. Ef t.d. íslenskur ríkisborgari teldi erlendan aðila, t.d. írska netþjónustu, brjóta gegn reglunum þá gæti hann leitað til Persónuverndar á Íslandi (stjórnvalds í heimalandi sínu) eða til Data Protection Commissioner á Írlandi (stjórnvalds í landi þar sem brot á sér stað, systurstofnunar Persónuverndar). Í sjötta lagi mæla reglurnar fyrir um að einstaklingur eigi í tilteknum tilvikum rétt á því að persónuupplýsingum sé breytt eða þeim eytt, komi fram beiðni um slíkt. Þetta tilvik á við ef upplýsingarnar eru ekki lengur nauðsynlegar í þágu þess tilgangs sem þeirra var upphaflega aflað. Umrædd regla hefur gilt allt frá því að Evrópudómstóllinn féllst á málatilbúnað spænsks ríkisborgara í máli nr. 131/12 um að Google í Evrópu bæri að afmá allar leitarniðurstöður um að hann hefði misst fasteign á nauðungaruppboði.

Umræddar nýjungar munu hafa víðtækar afleiðingar í framkvæmd og af þeim mun hljótast umtalsverður kostnaður. Hvati er fyrir fyrirtæki að fylgja hinum nýju reglum enda kunna brot að hafa umtalsverðar fjárhagslegar afleiðingar í för með sér. Með hinni nýju reglugerð munu stjórnvöld fá auknar sektarheimildir en stjórnvaldssektir munu geta numið allt að 20 milljónum evra eða 4% af heildarveltu fyrirtækis. Það dugar ekkert minna á tímum gífurlegrar söfnunar persónuupplýsinga.