14h05563_rf

 Jón Valdimarsson

Jón Valdimarsson
Yfirverkefnastjóri á ráðgjafarsviði
Sími: 825-2511

jon.valdimarsson@is.ey.com

   

Ágústa

Ágústa Berg
Yfirverkefnastjóri á ráðgjafarsviði
Sími: 856-3130

agusta.berg@is.ey.com

Nýjar Evrópureglur um persónuvernd (GDPR)

Þann 25. maí 2018 tók gildi ný reglugerð ESB (GDPR) sem eykur kröfur um vernd persónuupplýsinga (GDPR). Þann 13. júní 2018 voru svo ný lög um persónuvernd og vinnslu persónuupplýsinga samþykkt á Alþingi, en lögin taka gildi þann 15. júlí 2018. Sjá má nýju lögin um persónuvernd með því að smella hér.

Markmið laganna er að innan evrópska efnahagssvæðisins verði samræmdar reglur um verndun persónuupplýsinga. Nýju persónuverndarlögin og GDPR reglugerðin munu hafa áhrif á vinnslu persónuupplýsinga hjá öllum fyrirtækjum.

Söfnun og vinnsla á persónuupplýsingum hefur aukist gríðarlega samhliða tækniþróun og breytingu á fyrirtækjum. Nánast í hvert skipti sem einstaklingar eru í samskiptum við fyrirtæki deila þeir persónuupplýsingum, hvort sem er á rafrænu eða öðru formi, sem fyrirtækjunum ber að vernda.

Nýju persónuverndarlögin og GDPR innihalda auknar kröfur og skyldur og er áskorun fyrir öll fyrirtæki sem vinna með persónuupplýsingar af einhverju tagi, m.a. skulu fyrirtæki:

·       Hafa auðskiljanlega persónuverndarstefnu.

·       Hafa yfirsýn yfir vinnsluaðgerðir persónuupplýsinga, t.a.m. varðveisla og notkun.

·       Leggja mat á áhættu af vinnslu persónuupplýsinga.

·       Tryggja að persónuvernd sé innbyggð í nýjan hugbúnað og upplýsingakerfi.

Ef fyrirtæki brjóta gegn ákvæðum nýju persónuverndarreglanna er hægt að leggja sekt á viðkomandi sem geta numið frá 100 þús. kr. til 1,2 milljarða kr. eða ef um er að ræða fyrirtæki allt að 2% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.

 Fyrirtæki ættu að spyrja sig eftirfarandi spurninga:

·       Hvaða persónuupplýsingar meðhöndlar fyrirtækið?

·       Hvernig aflar fyrirtækið samþykkis eða tryggir lögmæti fyrir vinnslu persónuupplýsinga?

·       Er formfesta í verndun persónuupplýsinga hjá fyrirtækinu?

·       Styðja upplýsingkerfi fyrirtækisins við persónvernd?

·       Hversu auðvelt er það fyrir fyrirtækið að eyða persónuupplýsingum að ósk hins skráða (e. the right to be forgotten)

Við innleiðingu GDPR í lög á Íslandi þá verður það skýrt að einstaklingar eiga sínar persónuupplýsingar sjálfir og fyrirtæki eru eingöngu með þau til afnota. Einstaklingar eiga rétt á því að fyrirtæki, stofnanir og aðrir veiti þeim upplýsingar um vinnslu og meðferð sinna persónuupplýsinga á auðskiljanlegu og aðgengilegu formi.  Einnig hafa einstaklingar heimild til að fara fram á að fá sínar persónuupplýsingar afhentar.

EY hefur á að skipa reynslumiklum sérfræðingum á sviði upplýsingaöryggis, persónuverndar og löggjafar sem veitt geta upplýsingar um nýju persónuverndarlögin og GDPR reglugerð ESB. Við hvetjum þig til að hafa samband við okkur ef þitt fyrirtæki hefur ekki kynnt sér þær kröfur og ábyrgð sem fylgir því að varðveita og vinna með persónuupplýsingar í samræmi við ný persónuverndarlög og GDPR reglugerðina og munum við með ánægju aðstoða ykkur eins og þið óskið eftir.