Algengir misbrestir við meðhöndlun persónuupplýsinga


Ný persónuverndarlöggjöf mun taka gildi á vormánuðum 2018 sem krefur öll fyrirtæki og stofnanir að endurhugsa hvernig unnið er með persónuupplýsingar. Brot gegn lögunum geta haft í för með sér gríðarlega háar sektir og því er góður undirbúningur undir hið breytta regluverk afar þýðingarmikill. Undirbúningi má haga með mismunandi hætti en vitneskja hlýtur ávallt að vera fyrsta skrefið, þ.e. vitneskja um tilvist fyrirhugaðra breytinga og hvað í þeim felst. Gott annað skref er kortlagning á vinnslu persónuupplýsinga, eða úttekt. Slík úttekt felst í því að greina hvaða persónuupplýsingar unnið er með í viðkomandi fyrirtæki eða stofnun, hvort unnið er með þær í samræmi við núgildandi lög og greining á því til hvaða aðgerða þarf að grípa áður en hið breytta regluverk tekur gildi. Eftir að hafa farið í gegnum úttektir með fjölda fyrirtækja og stofnana er merkilegt að sjá hversu algengt það er að sömu atriðum sé ábótavant.

Misskilningur um efni

Algengt er að forsvarsmenn standi í þeirri trú að persónuupplýsingar varði einungis persónuleg málefni einstaklinga. Hugtakið er hins vegar miklu víðtækara en svo. Undir það falla allar upplýsingar sem hægt er að rekja til einstaklinga, beint eða óbeint, sama hversu ómerkilegar þær upplýsingar eru í sjálfu sér og sama hvort einstaklingurinn hafi birt þær opinberlega sjálfur eða ekki. Grunnupplýsingar um tengiliði, s.s. nafn, símanúmer og tölvupóstfang, teljast þannig til persónuupplýsinga. Flest allar upplýsingar sem unnið er með um starfsmenn teljast jafnframt til persónuupplýsinga, þ.á m. vinnutengdur tölvupóstur. Öll vinnsla á slíkum upplýsingum þarf að fullnægja skilyrðum persónuverndarlaga.

Upplýsingum ekki eytt

Mjög alengt er að íslensk fyrirtæki eyði litlum sem engum upplýsingum, hvort sem slíkar upplýsingar varða viðskiptamenn eða fyrrverandi starfsmenn. Það er hins vegar ekki heimilt að varðveita upplýsingar lengur en málefnalegt telst miðað við þann tilgang sem upplýsingarnar eru unnar í. Að varðveita ótímabundið tölvupóst fyrrverandi starfsmanna mun t.a.m. teljast alvarlegt brot á hinu nýja regluverki.

Einstaklingar ekki upplýstir

Sú skylda er lögð á þá sem vinna með persónuupplýsingar að upplýsa þá sem upplýsingarnar varða, hina skráðu, hvernig unnið er með þær. Þannig þarf t.a.m. að upplýsa hvaða upplýsingar unnið er með, í hvaða tilgangi, hversu lengi upplýsingarnar eru varðveittar og hvort þær eru afhentar þriðja aðila. Fyrirtæki og stofnanir þurfa almennt að veita öllum þeim einstaklingum sem þeir vinna með upplýsingar um þessa fræðslu, þ.á m. umsækjendum um starf, starfsmönnum, viðskiptavinum, verktökum og samstarfsaðilum. Mjög algengt er að fyrirtæki veiti litla sem enga fræðslu en ástæða er til að skoða þetta sérstaklega, einkum þar sem listinn yfir þau atriði sem veita á fræðslu um mun lengjast töluvert með tilkomu hins nýja regluverks.

Vinnsla þarf ekki að byggja á samþykki

Það er útbreiddur misskilningur að ávallt þurfi að afla samþykkis fyrir vinnslu persónuupplýsinga. Samþykki er aðeins ein heimild af nokkrum sem legið getur til grundvallar vinnslu. Aðrar heimildir eru t.a.m. samningur, lagaskylda og lögmætir hagsmunir þess sem vinnur með upplýsingarnar. Töluvert erfiðara verður að afla samþykkis á grundvelli nýs regluverks og auðveldara verður fyrir einstaklinga að afturkalla samþykki sitt. Af þeim sökum kann samþykki að verða óáreiðanlegur grundvöllur fyrir vinnslu auk þess sem erfitt og jafnvel útilokað getur verið að byggja vinnslu á samþykki í þeim tilvikum þar sem verulegur aðstöðumunur er á aðilum, t.a.m. í ráðningarsambandi.

Skortur á samningum við vinnsluaðila

Noti fyrirtæki eða stofnanir utanaðkomandi aðila til að vinna persónuupplýsingar eða hafi slíkur aðili aðgang að persónuupplýsingum, s.s. ráðningarskrifstofa eða hýsingaraðili, þarf að gera skriflegan samning við slíka aðila, sk. vinnsluaðila. Samningurinn þarf að geyma nánar tiltekin ákvæði en mikill misbrestur er á því hjá fyrirtækjum og stofnunum að gera slíka samninga. Jafnframt er algengt að fyrirtæki átti sig ekki á því hvaða hlutverki það gegnir með hliðsjón af persónuverndarlögum, þ.e. hvort viðkomandi sé að vinna með upplýsingar sem ábyrgðaraðili eða vinnsluaðili. Slík aðgreining er þó mikilvæg þar sem mismunandi skyldur hvíla á ábyrgðaraðila annars vegar og vinnsluaðila hins vegar.

Notkun skýjalausna

Á undanförnum árum hefur notkun skýjalausna færst í aukana. Fyrirtæki gera sér oft á tíðum ekki grein fyrir því hvar skýin eru hýst. Algengt er að ský séu vistuð utan Evrópska efnahagssvæðisins, þ.á m. í Bandaríkjunum, en með notkun á slíkri skýjaþjónustu er verið að flytja upplýsingar á þann stað þar sem skýið er hýst. Ef flutningur til ríkis utan EES styðst ekki við sérstaka heimild í persónuverndarlögunum mun slíkur flutningur teljast alvarlegt brot samkvæmt hinu nýja regluverki. Það er nánast hægt að fullyrða að öll fyrirtæki og stofnanir hér á landi þurfi að grípa til einhverra ráðstafana áður en ný persónuverndarlög taka gildi. Verkefnalistinn kann að vera mis langur eftir því hvort vinnsla persónuupplýsinga er hluti af kjarnastarfsemi, hvers konar upplýsingar er unnið með og hversu mikil meðvitund er nú þegar um þetta réttarsvið í starfseminni. Það er því full ástæða fyrir alla að fara að huga að þessari vegferð ef hún er ekki hafin nú þegar.

Höfundur: Áslaug Björgvinsdóttir hdl., LL.M., CIPP/E