Grein eftir Áslaugu Björgvinsdóttur

Grein eftir Áslaugu Björgvinsdóttur

Nýlega birti Viðskiptablaðið grein eftir Áslaugu Björgvinsdóttur eiganda hjá LOGOS. Greinina sem ber heitið "Ný persónuverndarlög eins árs - og hvað svo?" má lesa í heild sinni hér fyrir neðan.

Ný persónuverndarlög eins árs - og hvað svo?

Í vikunni er eitt ár liðið frá gildistöku nýrra persónuverndarlaga hér á landi. Nýju lögin leggja umtalsverðar skyldur á alla þá sem vinna með persónuupplýsingar og stór hluti íslenskra fyrirtækja og stofnana hefur þurft að leggja mikið púður í að tryggja að unnið sé með persónuupplýsingar í samræmi við þessi nýju lög.

Óhætt er að fullyrða að stór drifkraftur í þeirri vinnu hefur verið hræðsla við nýjar sektarheimildir Persónuverndar, en á grundvelli nýju laganna hefur Persónuvernd heimild til þess að sekta fyrirtæki og stofnanir um allt að 2,4 milljarða kr. fyrir brot á lögunum, eða fjárhæð sem nemur 4% af heildarveltu sl. árs sé sú fjárhæð hærri.

Á því ári sem liðið er frá gildistöku persónuverndarlaganna hafa nokkur áberandi mál verið til meðferðar hjá Persónuvernd. Ber þar helst að nefna Klaustursmálið svokallaða og mál tekna.is, þar sem hægt var að nálgast með rafrænum hætti tekjur allra Íslendinga. Í báðum þessum málum var niðurstaða Persónuverndar sú að brotið hefði verið gegn persónuverndarlögum.

Í hvorugu málanna ákvað Persónuvernd þó að nýta sektarheimildir sínar og hefur stofnunin ekki nýtt þær heimildir í neinu af þeim málum sem til meðferðar hafa verið á sl. ári. Sú spurning hefur því vaknað hvort hræðsla við sektir hafi verið óþarfi, hvort um sé að ræða heimild sem Persónuvernd muni takmarkað eða lítið grípa til?

Hér er til þess að líta að íslensku persónuverndarlögin innleiddu persónuverndarreglugerð Evrópusambandsins, sem gildir í öllum aðildarríkjum Evrópska efnahagssvæðisins, en reglugerðin tók gildi í maí 2018. Í reglugerðinni er mælt fyrir um að persónuverndaryfirvöld í Evrópu skuli beita valdheimildum sínum með samrýmdum hætti.

Sérstakt Evrópuráð hefur m.a. það hlutverk að gæta að slíkri samrýmdri beitingu. Þegar reynt er að spá fyrir um hvort og þá hvernig Persónuvernd muni beita valdheimildum sínum er því mikilvægt að skoða hvað hefur gerst annars staðar í Evrópu á því ári sem liðið er frá því að persónuverndarreglugerðin tók gildi.

Samtals hafa 63 sektarákvarðarnir verið teknar af evrópskum persónuverndaryfirvöldum á undanförnu rúmlega eina ári. Flestar þeirra varða vinnslu sem ekki byggðist á neinni heimild og/eða var brot á svokölluðum meginreglum persónuverndarlaganna, auk þess sem margar ákvarðanir lúta að því að ekki hafi verið gripið til fullnægjandi öryggisráðstafana við meðferð persónuupplýsinga.

Breska persónuverndarstofnunin, ICO, er með stærri persónuverndarstofnunum í Evrópu. ICO hafði enga sektarákvörðun tekið á því rúma ári síðan persónuverndarreglugerðin tók gildi, fyrr en í síðustu viku. Þá tók ICO tvær ákvarðanir sem mæla fyrir um hæstu sektirnar í Evrópu síðan persónuverndarreglugerðin tók gildi. Báðar ákvarðanirnar varða öryggisbresti og ófullnægjandi öryggisráðstafanir.

Sektarfjárhæðirnar verða ekki endanlega staðfestar af ICO fyrr en hlutaðeigandi aðilar hafa fengið að koma að sínum athugasemdum, en um er að ræða annars vegar sektarákvörðun gegn Marriott International að fjárhæð 99.200.369 punda eða rúmlega 15,5 milljarða kr., og hins vegar gegn British Airways, að fjárhæð 183.390.000 punda, eða tæplega 29 milljarða kr. Sektarfjárhæðirnar nema 3% af heildarveltu Marriott International og 1,5% af heildarveltu British Airways, fyrir árið 2018.

Í tilviki Marriott tók félagið yfir Starwood hótelkeðjuna árið 2016 og þar með bókunarkerfi Starwood. Í kerfinu var frávik sem varð til þess að persónuupplýsingar 339 milljóna gesta urðu aðgengilegar óviðkomandi aðilum. Marriott varð vart við öryggisbrestinn 2018 og tilkynnti um hann í nóvember 2018, en talið er að frávikið í kerfinu megi rekja til ársins 2014. ICO leit til þess að Marriott hefði átt að vanda betur könnun á áreiðanleika við kaup á Starwood auk þess sem Marriott hefði átt að grípa til frekari öryggisráðstafana eftir yfirtökuna.

Í máli British Airways réðust utanaðkomandi aðilar á vefsíðu félagsins og beindu umferð um hana á gervisíðu þar sem um 500.000 viðskiptavinir gáfu upp persónuupplýsingar sínar, s.s. kortaupplýsingar, ferðaplön auk tengiliðaupplýsinga á borð við nafn og heimilisfang. Félagið tilkynnti ICO um öryggisbrestinn í september 2018. ICO komst að þeirri niðurstöðu að ófullnægjandi öryggisráðstafanir British Airways hefðu gefið utanaðkomandi aðilum færi á að hakka sig inn á vefsíðu félagsins og komast yfir persónuupplýsingar sem viðskiptavinir treystu British Airways fyrir.

Í þessu ljósi er ástæða til benda á að frá gildistöku íslensku persónuverndarlaganna hefur Persónuvernd borist a.m.k. 172 tilkynningar um öryggisbresti. Ganga má út frá því að enn sé verið að vinna í yfirferð yfir þær tilkynningar og úrvinnslu á þeim, eftir atvikum með úttektum á öryggisráðstöfunum hjá viðkomandi fyrirtækjum og/eða stofnunum.

Þrátt fyrir að ár sé liðið frá gildistöku laganna verður því að telja of snemmt að spá fyrir um beitingu Persónuverndar á sektarheimildum. Nærtækara er að líta til framkvæmdar í nágrannalöndum við mat á því hvað kann að vera í farvatninu hjá Persónuvernd og hvetja fyrirtæki og stofnanir til að halda áfram að byggja ofan á þá undirbúningsvinnu sem átti sér stað hjá flestum þeirra í kringum gildistöku laganna.

Fordæmin frá Evrópu sýna að brot gegn persónuverndarlögunum geta haft í för með sér gríðarlegar fjárhagslegar afleiðingar auk orðsporhnekkis. Framfylgni við persónuverndarlög er langtímaverkefni og mikilvægt er að tryggja stöðuga endurskoðun á vinnsluaðgerðum og verkferlum.