Fréttasafn11. júl. 2018 Almennar fréttir

Persónuverndarlög taka gildi

Þann 15. júlí næstkomandi taka gildi lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, sem innleiða reglugerð Evrópusambandsins nr. 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og frjálst flæði slíkra upplýsinga (svokölluð GDPR). Lögin má finna hér.

Samtök iðnaðarins, auk annarra hagsmunasamtaka atvinnulífsins, gerðu ítarlegar umsagnir um frumvarp til nýrra laga og var tekið tillit til þeirra að hluta. Hægt er að nálgast umsagnirnar inn á umsagnarvef Samtaka iðnaðarins.

Lögin leggja ríkari skyldur á fyrirtæki, en eldri lög, varðandi meðferð persónuupplýsinga og því mikilvægt að fyrirtæki kanni vel hvaða breytinga er þörf í þeirra starfsemi til að uppfylla skilyrði laganna. Helstu atriði sem þarf að huga að:

  • Aukin krafa um samþykki einstaklinga til vinnslu persónuupplýsinga

Fyrirtæki þurfa að kanna hvort lögmætur grundvöllur sé til vinnslu persónuupplýsinga og ef krafist er samþykkis, þá þarf það að vera veitt með skýrum og virkum hætti. Kanna þarf sérstaklega hvort unnið sé með viðkvæmar persónuupplýsingar en um þær gilda ríkari kröfur.

  • Fræðsla til einstaklinga og gagnsæ vinnsla

Gerðar eru auknar kröfur um að einstaklingar fái upplýsingar um umfang og tilgang vinnslu persónuupplýsinga. Gæta þarf að því uppfæra þær upplýsingar til einstaklinga auk þess að útbúa auðskiljanlega persónuverndarstefnu.

  • Aukin réttindi einstaklinga

Lögin veita einstaklingum aukin réttindi til þeirra persónuupplýsinga sem fyrirtæki halda og vinna um þá, þar á meðal aðgangsrétt, flutningsrétt og rétt til að gleymast. Fyrirtæki þurfa að vera í stakk búin að bregðast skjótt við slíkum beiðnum.

  • Framkvæma persónuverndarmat (áhættumat)

Öll fyrirtæki þurfa að framkvæmda mat á áhættu af vinnslu persónuupplýsinga og mögulegar afleiðingar fyrir friðhelgi einstaklinga.

  • Uppfæra samninga (vinnslusamningar)

Uppfæra þarf samninga til samræmis við kröfur nýrra persónuverndarreglna við alla þá þjónustuaðila sem annast vinnslu persónuupplýsinga fyrir þeirra hönd

  • Gerð vinnsluskrár

Fyrirtækjum er skylt að halda skrá á tölvutæku formi yfir vinnslustarfsemi þeirra.

Á vinnumarkaðsvef SA er að finna ítarlegri upplýsingar auk sniðmáta sem félagsmenn geta stuðst við.