Persónuvernd

 Upplýsingar vegna gildistöku Persónuverndarreglugerðar ESB (GDPR)

Inngangur

Traust og heiðarleiki eru grundvallargildi Valitors. Við leggjum ríka áherslu  á að tryggja öryggi og gæði þeirra gagna sem okkur er treyst fyrir. 
 
Hér munum við fara yfir endurbætur á persónuverndar- og upplýsingaöryggisstefnu okkar sem endurspeglar breytingar á laga- og tækniumhverfi sem snertir friðhelgi, persónuverndog gagnaöryggi.
 

Mikilvægar staðreyndir

Hvað er Persónuverndarreglugerð ESB (GDPR)?
Persónuverndarreglugerð ESB (GDPR) setur reglur um meðferð persónuupplýsinga sem eiga uppruna sinn innan Evrópska efnahagssvæðisins (EES) og athafnir þeirra sem vinna úr og hafa eftirlit með þessum gögnum. 
 
Nýja reglugerðin kemur í stað eldri tilskipunar um persónuvernd frá 1995. Þó að flest ákvæði nýju reglugerðarinnar séu byggð á eldri löggjöf er nýja löggjöfin mun ítarlegri og gerir auknar kröfur til fyrirtækja til þess að sýna fram á framfylgni við persónuverndarlöggjöfina. Fyrirtæki sem fram að þessu hafa fylgt öllum reglum sem gilda um meðferð persónuupplýsinga verða að aðlaga starfsemi sína að auknum kröfum um reglufylgni og breyta núgildandi persónuverndarstefnu sinni. Á Íslandi var almenna persónuverndarreglugerðin (GDPR) innleidd í lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, sem samþykkt voru á Alþingi 13. júní 2018.
 
Hvenær tekur GDPR  gildi?
Reglugerðin tók gildi í ríkjum Evrópusambandsins 25. maí 2018 og á Íslandi hinn 15. júlí 2018.
 
Hverjar eru nýjungarnar?
Helstu nýjungarnar sem taka gildi með  GDPR eru m.a.: aðgangur einstaklinga að persónuupplýsingum; rétturinn til að fá aðgang að upplýsingum um sig, rétturinn til að mótmæla vinnslu persónuupplýsinga og rétturinn til að fá upplýsingum eytt, nýjar skyldur er varða meðferð persónuupplýsinga, skipun persónuverndarfulltrúa og ný sektarákvæði.
 
GDPR mun sennilega hafa mest áhrif á þig sem söluaðila og þína viðskiptamenn og því viljum við gefa þér yfirlit yfir nýju löggjöfina og hvaða áhrif hún hefur á þig. 
 

Yfirlit

 
Í janúar 2012 setti framkvæmdastjórn ESB af stað vinnu um endurskoðun á löggjöf um persónuvernd til að undirbúa Evrópu fyrir nýrri tækniþróun. Tæplega fjórum árum síðar náðist samkomulag um hvað fælist í þessu og hvernig hrinda skyldi áætluninni í framkvæmd og nýja persónuverndarreglugerðin leit dagsins ljós. Hin nýja löggjöf gildir fyrir starfsemi í öllum löndum innan EES-svæðisins og fyrir fyrirtæki sem vinna með persónuupplýsingar er varða ríkisborgara innan EES-svæðisins.
 
Nær öll þjónusta sem við notum felur í sér söfnun og úrvinnslu persónuupplýsinga, þar á meðal upplýsingar sem notaðar eru af samfélagsmiðlum, bönkum, verslunum og ríkisstofnunum. Nöfnum, heimilisföngum og fleiri upplýsingum er safnað saman og þessar upplýsingar eru greindar og svo varðveittar hjá fyrirtækjum. GDPR hefur að markmiði að samræma löggjöf um alla Evrópu og endurspegla notkun og vinnslu persónuupplýsinga miðað við nýjustu tækni.
 
Í stuttu máli er GDPR ný reglugerð sem samin var til að veita einstaklingum meira frelsi til að stjórna eigin persónuupplýsingum og til að tryggja að fyrirtæki tryggi öryggi þeirra persónuupplýsinga sem þau vinna með. 

Hvaða þýðingu hefur Persónuverndarreglugerðin fyrir þig?

Persónuverndarreglugerðin lýtur að meðferð persónuupplýsinga fyrir ríkisborgara innan EES-svæðisins. Þetta þýðir að einstaklingar og fyrirtæki sem eru staðsett utan EES-svæðisins en selja vörur og þjónustu til einstaklinga sem búa á EES-svæðinu verða einnig að fara að nýju lögunum. Persónuverndarreglugerðin gildir fyrir ábyrgðaraðila persónuupplýsinga, sameiginlega ábyrgðaraðila og vinnsluaðila sem vinna upplýsingarnar fyrir hönd ábyrgðaraðila. Mikilvægt er að gera greinarmun á þessum hlutverkum því ábyrgð þeirra er ekki sú sama.
 

Ert þú ábyrgðaraðili, sameiginlegur ábyrgðaraðili eða vinnsluaðili?

Ábyrgð þín fer eftir því hvaða hlutverki þú gegnir. GDPR gerir ráð fyrir þremur flokkum: ábyrgðaraðilum, sameiginlegum ábyrgðaraðilum og vinnsluaðilum.
 

Ábyrgðaraðili

Ábyrgðaraðili er sá aðili (persóna eða fyrirtæki) sem ákveður í hvaða tilgangi og hvernig skuli meðhöndla persónuupplýsingar. Þessi aðili ákvarðar þetta einn eða með öðrum.
 

Sameiginlegur ábyrgðaraðili

Þar sem tvö eða fleiri fyrirtæki ákveða saman í hvaða tilgangi skuli meðhöndla persónuupplýsingar, þ.e. tilgang, ástæðu, tækifæri, eðli og umfang gagnavinnslunnar.
 

Vinnsluaðili

Einstaklingur eða fyrirtæki sem vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila. Vinnsla felur m.a. í sér að útvista, hljóðrita, aðlaga eða varðveita persónuupplýsingar.
 
Sami aðilinn getur verið ábyrgðar- og vinnsluaðili, allt eftir því hverjar aðstæður eru. Sem dæmi má nefna að þegar tæknifyrirtæki útvega gagnagreiningu fyrir söluaðila á netinu teljast söluaðilarnir vera ábyrgðaraðilar og tæknifyrirtækin vinnsluaðilar. Ef tæknifyrirtækin nota sömu persónuupplýsingar til að selja auglýsingar á eigin vegum eru fyrirtækin í hlutverki ábyrgðaraðila.
 

Mikilvægar nýjungar

Mikilvægar nýjungar sem geta haft áhrif á starfsemi ykkar eru m.a.:
 
Innbyggð friðhelgi 
        Friðhelgin á að vera innbyggð í alla viðskiptaferla og kerfi.
 
Skylda að tilkynna brot á friðhelgi 
        Öll brot á friðhelgi persónuupplýsinga skal tafarlaust tilkynna til yfirvalda og til þess einstaklings
 
Refsing fyrir brot á reglum
        Persónuverndarreglugerðin gerir ráð fyrir sektum sem nema allt að 20 milljónum evra eða 4% af árlegri veltu
        fyrirtækisins, hvor upphæðin sem er hærri.
 
Aukin réttindi einstaklinga
        Til dæmis rétturinn til aðgangs að persónuupplýsingum, rétturinn til leiðréttingar og eyðingar (rétturinn til
        að gleymast), rétturinn til  takmörkunar á vinnslu og rétturinn til að fá gögn færð.
 
Þó að einhver takmörk séu á þessum réttindum endurspegla þau mikilvægi réttinda einstaklingsins sem tryggð eru í hinni nýju löggjöf.

Hvernig á að undirbúa innleiðingu Persónuverndarreglugerðarinnar?

Það er ekki til nein einföld lausn sem hentar öllum þegar verið er að undirbúa innleiðingu löggjafarinnar. Hvert fyrirtæki verður að skoða hvað þarf að gera til að koma til móts við lögin. Mikilvægast er að fyrirtæki geri sér grein fyrir því hvort þau séu vinnsluaðili, ábyrgðaraðili eða meðábyrgðaraðili. Flest fyrirtæki eru líklegust til að sinna öllum þessum hlutverkum en það fer þó eftir eðli gagnavinnslunnar. 
 
Undirbúningur
 
Byrjaðu á því að kanna hvers konar persónuupplýsingar eru varðveittar og hver hefur aðgang að þeim.  
 
Takmarkaðu aðganginn með tillit til þarfa fyrirtækisins og komdu á eftirlitskerfi sem greinir óleyfilegan
        aðgang.
 
Kannaðu hvernig eftirliti um góða starfshætti og öryggiseftirliti er háttað í tengslum við söfnun og vörslu
        gagna. Hversu vel virkar eftirlitið og eru á því einhverjir vankantar?
 
Gerðu áætlun um hvernig þú getur bætt öryggisreglurnar með tilliti til fólks, verkferla og tæknilausna. 
 
Gerðu verkferla sem grípa má til þegar tilkynna þarf brot á persónuverndarlöggjöfinni. Hvernig berum við
        kennsl á brotin og hvernig á að bregðast við þeim?
 
Sum fyrirtæki og stofnanir þurfa að tilnefna persónuverndarfulltrúa (DPO).

Hafa ber í huga

 

að setja saman starfsáætlun um að búa til heildstætt yfirliti yfir alla meðferð persónuupplýsinga 

að gera yfirlit yfir gögnin og leggja mat á hvaða áhrif þau hafa á friðhelgi einstaklinga ef þörf krefur

að leggja mat á gagnaöryggi er varðar persónuupplýsingar, einnig með tilliti til starfsemi þriðja aðila sem þú
        deilir gögnum með
 
að ganga úr skugga um að þú fylgir opinberum stöðlum kortafyrirtækja (Payment Card Industry Data Security
        Standard, PCI DSS)
til að tryggja öryggi korthafa.
 
að gera sér grein fyrir hvar og hvernig þú deilir persónuupplýsingum með þriðja aðila og að ganga úr skugga
        um að viðeigandi samningar séu til staðar
 
að sjá til þess að upplýsingarnar sem þú veitir séu skiljanlegar og skrifaðar á einföldu og skýru máli
 
að verkferlar sem meta gagnaöryggi séu til staðar
 
að gera áætlun um hvernig koma má til móts við flóknari kröfur, t.d. rétt fólks til að fá aðgang að
        upplýsingum, til að leiðrétta rangar upplýsingar, til að færa gögn á milli kerfa og til að eyða upplýsingum
 
að koma á kerfi til að finna hvort, hvenær og hvar brotið er á friðhelgi persónuupplýsinga og hvernig taka
        eigi á því  
 
að það gæti verið ráðlegt að hafa aðgang að PCI-rannsóknaraðila ef kortabrot á sér stað

Hvernig getur PCI komið til hjálpar?

Persónuverndareglugerðin tilgreinir ekkert nákvæmt öryggiskerfi en opinberir öryggisstaðlar kortafyrirtækja (PCI DSS) gefa ákveðna ramma til að bæta öryggi greiðslugagna. Öll fyrirtæki sem varðveita, meðhöndla eða senda upplýsingar um korthafa Visa og/eða Mastercard eru skyldug til að fylgja PCI DSS, þar með talið fjármálafyrirtæki, verslanir og þjónustuaðilar.
 
Mikilvægt er að hafa í huga að PCI DSS nær ekki til allra þátta sem tilgreindir eru í Persónuverndarreglugerð ESB og tryggir því ekki að fyrirtækin uppfylli öll skilyrði hennar. Staðallinn virkar þó vel sem fyrsta skref þegar verið er að endurskoða gagnaöryggi og draga úr áhættu.


Þessi síða notar vefkökur (e. cookies) m.a. til að bæta upplifun og greina umferð um vefinn. Nánari upplýsingar um vefkökur.