Svana Helen Björnsdóttir, framkvæmdastjóri Stika skrifar:

Ný reglugerð um persónuvernd í upplýsingakerfum sem nefnd er GDPR (General Data Protection Regulation) tekur gildi á Evrópska efnahagssvæðinu 25. maí nk. Markmið reglugerðarinnar er að vernda neytendur betur en áður gegn misnotkun persónuupplýsinga og draga úr söfnun þeirra og útbreiðslu. Stjórnendur fyrirtækja og stofnana sem vinna með persónuupplýsingar þurfa að kunna góð skil á nýju reglunum enda eru ströng viðurlög við brotum á henni. Hér er fjallað um nokkur atriði nýju reglnanna og áhrifin sem þær geta haft á rekstur fyrirtækja og stofnana.

Margar af vinsælustu og útbreiddustu tæknilausnum síðustu ára byggja á söfnun og vinnslu upplýsinga. Þegar eru í boði tæknilausnir sem byggja á gríðargagnafræðum (e. Big Data). Þá er gögnum safnað í gagnasöfn og upplýsingar af ýmsu tagi búnar til í rauntíma, allt eftir óskum notenda. Sem dæmi má nefna Google translate og Google maps, sem t.d. getur sýnt umferðarmagn á einstökum leiðum. Einnig er hægt að nýta gríðargögn til að spá um útbreiðslu farsótta. Hægt er að veita þjónustu á borð við þessa ef tekst að safna nægilega miklu af gögnum um t.d. ferðir almennings. Fólk samþykkir gjarnan hugsunarlítið skilmála til þess að fá tiltekna þjónustu, en í þeim felast oft leyfi til þess að viðkomandi fyrirtæki geti fylgst með ferðum fólks eða skoðað neytendahegðun um t.d. kaup á vöru og þjónustu. Hingað til hefur víða nægt að samþykki væri ætlað, ef viðskiptavinur hefur ekki hakað í box þar sem hann hafnar samþykki. Með nýju reglunum verður samþykki að vera ótvírætt. Hér verður fjallað um áhrif nýju reglnanna í sjö liðum.

Samþykki

Upplýst samþykki er ein af meginkröfum nýju reglnanna. Þögn, óvirkni og þannig ætlað samþykki, er ekki lengur hægt að túlka sem samþykki. Samþykki tiltekins gagnaefnis verður að fela í sér frjálsa og skýra staðfestingu. Á sama tíma verður ákvörðun einstaklings um samþykki að byggja á nákvæmum og ótvíræðum upplýsingum.

Tilkynning um brot

Tæknin getur brugðist og tölvur bilað. Öryggisbrestur getur valdið leka eða stuldi á persónuupplýsingum. Í slíku tilviki skal fyrirtæki eða stofnun tilkynna um brot innan 72 klst. og samstundis ef um alvarlegan öryggisbrest er að ræða. Þetta mun tæplega minnka skaða notenda en upplýstir eru þeir betur komnir.

Réttur til að hafa aðgang að upplýsingum

Það fyrirtæki eða stofnun sem geymir persónuupplýsingar um viðskiptavin er skylt að veita þeim viðskiptavini upplýsingar, honum að kostnaðarlausu. Hann á rétt að vita hvaða upplýsingar eru geymdar um hann, hvar og hvernig unnið er með þær og í hvaða tilgangi. Sem stendur geta fyrirtæki og stofnanir farið fram á gjald fyrir að veita þessar upplýsingar. Þetta breytist með nýju reglunum.

Vistun upplýsinga í tölvuský eykst hratt. Eigendur upplýsinganna hafa litla vitneskju um hvar þær eru raunverulega geymdar. Hér eftir skiptir máli hvort upplýsingar eru geymdar á Evrópska efnahagssvæðinu þar sem þær njóta verndar reglnanna eða í Bandaríkjunum þar sem þarlend stjórnvöld hafa í raun óskertan aðgang að þeim.

Réttur til að gleymast

Ef fyrirtæki og stofnanir hafa ekki gilda ástæðu til að halda áfram að geyma eða vinna úr upplýsingum um einstakling, getur viðkomandi einstaklingur farið fram á að þeim upplýsingum verði eytt af öllum geymslumiðlum sem upplýsingar finnast á. Þetta ákvæði veldur vinnsluaðilum nokkrum áhyggjum, enda oft erfitt að finna öll gögn um tiltekinn einstakling. Hér má hugsanlega beita aðferðum dulkóðunar strax við skráningu upplýsinganna. Þá þarf að gæta þess að skrá aðeins upplýsingar sem máli skipta fyrir tilgang vinnslu. Sem dæmi má nefna að fatahreinsun þarf að skrá nafn og símanúmer en kennitala skiptir ekki máli og ætti því ekki að vera skráð.

Hönnun m.t.t. persónuverndar

Sjálfgefin persónuvernd við hönnun upplýsingakerfa felur í sér að fyrirtæki geri allar viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja gagnavernd fyrirfram. Þessi krafa þýðir að fyrirtæki og stofnanir skuli taki tillit til og þróa verklag til verndar upplýsingum áður en þeim er safnað. Hér gagnast ráðstafanir sem tilgreindar eru í öryggisstaðlinum ISO 27001, s.s. aðgangsstýring, dulkóðun gagna og nákvæm aðgerðaskráning sem tryggir rekjanleika í meðferð upplýsinga.

Persónuverndarfulltrúar

Fyrirtæki og stofnanir sem fara með persónuupplýsingar af einhverju tagi og eru með 250 starfsmenn eða fleiri skulu hafa svonefnda persónuverndarfulltrúa (e. Data Protection Officer). Slíkt starf krefst traustrar þekkingar á  gagnavernd og lagaramma sem um hana gildir. Gert er ráð fyrir að persónuverndarfulltrúar starfi líkt og regluverðir fjármálafyrirtækja og heyri beint undir æðstu stjórnendur fyrirtækjanna. Ekkert virðist því til fyrirstöðu að slíkum störfum sé útvistað eða að þeim verkefnum sé bætt við störf regluvarða eða öryggisstjóra í fyrirtækjum.

Viðkvæmar persónuupplýsingar

Hluti persónuupplýsinga er flokkaður sem sérlega viðkvæmar persónuupplýsingar. Vinnsluaðilar þurfa að meðhöndla slíkar upplýsingar með mikilli aðgát sem sérstakan undirflokk persónuupplýsinga. Aðeins má taka við og vinna með slíkar upplýsingar ef um það er sérstaklega beðið og að vinnslunni sé ætlað að tryggja mikilvæga hagsmuni notenda. Aðeins er leyfilegt að krefjast slíkra upplýsinga ef lög kveða svo á. Til þessa dags hefur flokkun viðkvæmra persónuupplýsinga m.a. náð til upplýsinga um heilsufar, aðild að stéttarfélögum, trú, kynþátt, þjóðerni, stjórnmálaskoðanir og kynhneigð. Með nýju reglunum bætast erfðaupplýsingar og lífkenni (t.d. fingraför og augnskönn) við þennan flokk.

Lokaorð

Ný persónuverndarlöggjöf breytir allri nálgun til upplýsinga um fólk. Þær verða ekki lengur ótakmörkuð auðlind fyrir fyrirtæki sem hægt er að ganga frjálst í. Bent hefur verið á að „Netið sé skrifað með bleki en ekki blýanti“ og það er löngu tímabært að fara með  upplýsingar um fólk með gát. Mörg fyrirtæki hafa þegar gert áætlanir vegna gildistöku reglugerðarinnar. Önnur eru komin skemmra á veg og veðja jafnvel á að frestir verði veittir. Slíkt er væntanlega tálsýn. Nú verða upplýsingar takmörkuð auðlind. Við höfum færst hratt fram á við í allri tækniþróun. Að mæta auknum kröfum um persónuvernd má líkja við vaxtarverki. Upplýsingatæknin mun áfram þróast hratt en það góða er að hún mun hér eftir taka meira mið af hagsmunum einstaklinga en áður.

Grein þessi birtist fyrst í Morgunblaðinu 3. febrúar 2018