Dómsmálaráðuneytið hefur boðað að frumvarp til innleiðingar reglugerðarinnar í íslenska löggjöf verði tilbúið um miðjan mánuðinn og standa vonir til þess að lögin munu taka gildi á sama tíma og reglugerðin, eða í lok maí nk.
Á grundvelli reglugerðarinnar er verið að leggja töluvert auknar skyldur á íslensk fyrirtæki og stofnanir sem vinna með persónuupplýsingar. Ein af þessum nýju skyldum er skipun á persónuverndarfulltrúa.
Hverjir þurfa að skipa persónuverndarfulltrúa?
Öllum opinberum aðilum, að undanskildum dómstólunum, verður skylt að skipa sér persónuverndarfulltrúa. Öll ráðuneyti, sveitarfélög og opinberar stofnanir falla þannig undir þá skyldu svo dæmi sé tekið. Sérfræðihópur á vegum framkvæmdastjórnar Evrópusambandsins hefur einnig lagt áherslu á að einkaaðilar sem veita opinbera þjónustu á borð við almenningssamgöngur, vegagerð, vatns- og orkusölu skipi sér persónuverndarfulltrúa, jafnvel þó slíkir aðilar falli ekki undir skilgreiningu á opinberum aðilum samkvæmt viðeigandi landslögum.
Umrædd skylda til þess að skipa sér persónuverndarfulltrúa hvílir þó ekki aðeins á opinberum aðilum eða einkaaðilum sem veita opinbera þjónustu, heldur getur öðrum einkaaðilum jafnframt verið skylt að skipa sér persónuverndarfulltrúa. Slík skylda á öðrum einkaaðilum er nánar tiltekið fyrir hendi í tveimur tilvikum og engu máli skiptir í því samhengi hversu stór fyrirtækin eru. Í fyrsta lagi er fyrirtækjum sem hafa að meginstarfsemi víðtækt reglubundið og skipulagt eftirlit með einstaklingum skylt að skipa sér persónuverndarfulltrúa. Telja verður að fjarskiptafyrirtækin og fyrirtæki sem sinna víðtæku öryggiseftirliti geti t.a.m. fallið þar undir. Í öðru lagi er fyrirtækjum sem hafa að meginstarfsemi víðtæka vinnslu viðkvæmra persónuupplýsinga, s.s. heilsufarsupplýsinga eða upplýsinga er tengjast refsidómum og brotum, skylt að skipa sér persónuverndarfulltrúa. Þar undir geta t.a.m. fallið spítalar og tryggingafélög.
Öðrum fyrirtækjum, sem ekki er skylt að skipa sér persónuverndarfulltrúa, er það hins vegar ávallt heimilt.
Hlutverk persónuverndarfulltrúa
Hlutverk persónuverndarfulltrúa er að upplýsa viðkomandi stofnun eða fyrirtæki og starfsmenn þeirra um skyldur samkvæmt persónuverndarlögum, sinna þjálfun starfsfólks, framkvæma úttektir, veita ráðgjöf og vera til staðar komi upp álitaefni á sviði persónuverndar. Persónuverndarfulltrúi tekur jafnframt á móti fyrirspurnum og beiðnum frá þeim einstaklingum sem verið er að vinna með upplýsingar um. Þá skal persónuverndarfulltrúinn vera tengiliður við Persónuvernd og vinna með henni, sem og fylgjast með því að farið sé að persónuverndarlögum. Að einhverju marki má líkja hlutverki persónuverndarfulltrúa við regluverði sem fjármálafyrirtækjum er skylt að skipa.
Hver getur verið persónuverndarfulltrúi?
Reglugerðin gerir þá kröfu að persónuverndarfulltrúi búi yfir sérþekkingu á persónuverndarlögum og lagaframkvæmd á sviði persónuverndar. Með hliðsjón af kröfunum er líklegt að í flestum tilvikum verði persónuverndarfulltrúi lögfræðingur en það er þó ekki útilokað að aðrir geti sinnt hlutverkinu ef þeir uppfylla umrædd skilyrði.
Persónuverndarfulltrúi getur verið starfsmaður viðkomandi fyrirtækis eða stofnunar en hann getur einnig verið utanaðkomandi aðili sem sinnir hlutverkinu á grundvelli þjónustusamnings. Persónuverndarfulltrúinn þarf ekki að sinna starfinu í fullu starfi heldur má hann jafnframt sinna öðrum verkefnum. Slík verkefni mega hins vegar ekki leiða til hagsmunaáreksturs við störf hans sem persónuverndarfulltrúi. Persónuverndarfulltrúinn getur ekki haft eftirlit með sjálfum sér og því er mikilvægt að hann taki ekki ákvarðanir um vinnslu persónuupplýsinga í tengslum við önnur verkefni sem hann sinnir.
Telja verður að í flestum tilvikum séu upplýsingatæknistjórar útilokaðir frá því að sinna hlutverki persónuverndarfulltrúa samhliða starfi sínu með vísan í umrædda kröfu um að hagsmunaárekstur megi ekki vera til staðar. Persónuverndarstofnunin í Bæjaralandi í Þýskalandi hefur m.a. komist að þeirri niðurstöðu. Það sama verður að telja eigi við um mannauðsstjóra, fjármálastjóra og framkvæmdastjóra.
Stöðunni úthýst
Það er óhætt að fullyrða að það eru ekki mörg fyrirtæki eða stofnanir hér á landi sem hafa á launaskrá starfsmenn sem búa yfir sérþekkingu á persónuverndarlögum og lagaframkvæmd á sviði persónuverndar. Fyrir flesta þá sem þurfa eða vilja skipa persónuverndarfulltrúa er því í raun þrennt í stöðunni; senda einhvern af núverandi starfsmönnum í fullnægjandi endurmenntun, ráða inn nýjan starfsmann sem uppfyllir kröfur reglugerðarinnar, eða úthýsa verkefninu til utanaðkomandi sérfræðings.
Hver þessara þriggja leiða hefur kosti og galla sem mikilvægt er að meta í hverju tilviki fyrir sig. Ef um mjög umfangsmikla vinnslu er að ræða kann að vera betra að hafa einhvern innanhúss sem sinnir hlutverkinu, að því gefnu að viðkomandi hafi fullnægjandi þekkingu. Í öðrum tilvikum kann að vera hagkvæmara að fá utanaðkomandi sérfræðing, hvort sem það er sérfræðingur á lögmannsstofu eða annar verktaki.
Sú staðreynd að ekki má víkja persónuverndarfulltrúa úr starfi né beita viðurlögum fyrir framkvæmd verkefna sinna hefur einnig leitt til þess að í þeim ríkjum þar sem þessi skylda að skipa persónuverndarfulltrúa er nú þegar til staðar, s.s. í Þýskalandi, hafa fyrirtæki fremur kosið að fela utanaðkomandi aðila hlutverkið.
Næstu skref
Sé gengið út frá því að reglugerðin verði innleidd á réttum tíma í íslensk lög eru aðeins tæplega fimm mánuðir til stefnu til að ljúka undirbúningi fyrir breytt regluverk, þannig að fyrirtæki fullnægi þeim kröfum sem þar koma fram. Mörg fyrirtæki og stofnanir eru vel á veg komin í undirbúningi fyrir þær miklu breytingar sem framundan eru og aðrir eru að hefja undirbúning.
Ef skipa á persónuverndarfulltrúa er gott að gera það tímanlega og veita viðkomandi aðila tækifæri til að taka þátt í undirbúningi fyrir hið breytta regluverk. Með þeim hætti kynnist persónuverndarfulltrúinn vinnsluaðgerðum fyrirtækisins eða stofnunarinnar sem gerir viðkomandi kleift að vera betur í stakk búinn til að sinna hlutverkinu þegar nýja regluverkið tekur gildi.
Fyrir þau fyrirtæki sem meta það sem svo að ekki sé ástæða til að skipa persónuverndarfulltrúa er mælt með því að sú ákvörðun sé skjalfest og það rökstutt hvers vegna komist er að þeirri niðurstöðu. Það kann að vera mikilvægt að geta sýnt fram á það síðar, t.a.m. gagnvart Persónuvernd, að farið hafi verið í gegnum þetta mat.
Greinin í Viðskiptablaðinu.
