Ert þú klár fyrir GDPR 2018? < Origo

 
 

Ert þú klár fyrir GDPR 2018?

06.12.2017

Brýnt að hefja undirbúning núna

Loksins er búið að taka af allan vafa um hina nýju persónuverndarlöggjöf Evrópusambandsins. Í síðustu viku birti Dómsmálaráðuneytið á heimasíðu sinni frétt þess efnis að upptökuferli á reglugerðinni sé í fullum gangi og að vinna að innleiðingu reglugerðarinnar í landsrétt sé hafin.

Fréttina í heild sinni má lesa hér, en í henni kemur fram:

„Þrátt fyrir að ekki liggi fyrir á þessari stundu hver verður dagsetning á gildistöku á skuldbindingum Íslands er brýnt að allir sem vinna með persónuupplýsingar hefji eigin undirbúning fyrir hið nýja regluverk. Víðtækt landfræðilegt gildissvið reglugerðarinnar gerir það að verkum að frá og með 25. maí 2018 mun efni reglugerðarinnar undir ákveðnum kringumstæðum taka til íslenskra aðila sem vinna með persónuupplýsingar einstaklinga innan ESB, jafnvel þótt gerðin verði ekki komin í EES-samninginn á þeim tíma.

Í fyrsta lagi mun reglugerðin gilda um þá vinnslu persónuupplýsinga af hálfu íslenskra aðila sem tengist því að bjóða einstaklingum innan ESB vöru eða þjónustu, án tillits til þess hvort það er gert gegn greiðslu eða ekki. Í öðru lagi mun reglugerðin gilda um vinnslu íslenskra aðila í tengslum við eftirlit með hegðun einstaklinga að svo miklu leyti sem hegðun þeirra á sér stað innan ESB, s.s. til að rekja slóð einstaklinga á Netinu eða þegar notuð eru persónusnið.

Þau fyrirtæki og stofnanir sem stunda framangreinda vinnslu persónuupplýsinga einstaklinga innan ESB þurfa því að standast kröfur reglugerðarinnar frá og með 25. maí 2018 jafnvel þótt upptöku- og innleiðingarvinnu verði ekki lokið.“

Þetta ætti að kæfa niður allar umræður og efasemdarraddir sem vilja daga úr mikilvægi undirbúningsvinnunnar fyrir GDPR, vegna upplýsingaleysis frá EES og íslenska ráðuneytinu. Það er kominn tími til að bretta upp ermarnar! 

Í komandi röð bloggfærslna munum við fjalla um eftirfarandi þætti:

  1. Undirbúningurinn
  2. Persónuverndarstefnan
  3. Áhættumat og persónuverndaráhrif
  4. Innleiðingarferlið
  5. Þjálfun starfsmanna

 

 

1. Undirbúningurinn fyrir GDPR – Langhlaup og teymisvinna

Mikilvægt er að átta sig á því að GDPR er ákveðin vegferð sem líkja má við langhlaup, en hún krefst bæði tíma og athygli starfsmanna. Við þurfum að hugsa lengra en bara til 25. maí, þ.e. hvernig við ætlum að viðhalda hlítingu eftir að reglugerðin hefur tekið gildi.

Þó vinnan sé umfangsmikil þá má ekki gleyma því að þetta er kjörið tækifæri til að taka til í kringum okkur, rýna ferlana okkar og betrumbæta verklag og þjónustu. Að hafa stöðugar umbætur að leiðarljósi hefur líklega aldrei verið jafn brýnt. 

Skipa GDPR teymi

Þeir sem þekkja gæðastjórnun vita að samvinna ólíkra aðila og stuðningur frá stjórn fyrirtækisins eru mikilsverð. Þegar kemur að undirbúningi fyrir GDPR er nauðsynlegt að samvinna náist á milli stjórnenda, forsjáraðila kerfa, verkefnastjóra, tæknilegra sérfræðinga og hýsingar- og vinnsluaðila.

Ein af kröfum reglugerðarinnar er að í fyrirtækjum, þar sem meginstarfsemin felur í sér vinnslu persónugreinanlegra gagna, sé skipaður sérstakur persónuverndarfulltrúi. Hlutverk þessa fulltrúa er að fylgjast með hlítingu fyrirtækisins gagnvart GDPR og annast samskipti við eftirlitsyfirvald. Það er því mikilvægt að lögfræðileg og tæknileg sérþekking nái saman. 

Uppgötvun og flokkun persónuupplýsinga

Nýja löggjöfin segir til um að fyrirtæki sem vinna með persónuupplýsingar þurfi að hafa yfirsýn yfir hverjar upplýsingarnar eru, hvar þær eru geymdar og hvernig þær eru meðhöndlaðar. Einstaklingar hafa núna aukinn ákvörðunarrétt yfir persónuupplýsingum sínum og geta betur stýrt því hverjir vinna upplýsingar um þá og í hvaða tilgangi. Kröfur eru gerðar um skýrt samþykki einstaklinga, þeir hafa núna „réttinn til að gleymast“ og búið er að setja strangari reglur um varðveislutíma gagna þeirra.

Það er því ekki úr vegi að fyrirtæki hefji ákveðna greiningarvinnu á núverandi rekstri. Safni saman viðeigandi verkferlum og verklagsreglum, átti sig á hvaða kerfi þau eru með í notkun í dag og hver þeirra geymi persónugreinanleg gögn. Til að flýta fyrir þessari greiningarvinnu, er nauðsynlegt að fá lögfræðilega aðstoð og útbúa ákveðna spurningalista með tilliti til nýju GDPR reglnanna. 

Það er því alveg ljóst að um fleiri og strangari skuldbindingar er að ræða, en brot á löggjöfinni geta haft drjúgar efnahagslegar afleiðingar í för með sér. CCQ gæðastjórnunarlausnin auðveldar fyrirtækjum innleiðingarferlið og gefur þeim betri yfirsýn yfir hversu vel þau hlíta kröfum GDPR og hvaða skref þurfi að stíga til frekari undirbúnings.

Í næstu viku fjöllum við svo um persónuverndarstefnu GDPR.