Fréttir

Aukin neytendavernd með nýjum persónuverndarlögum

Aukin neytendavernd með nýjum persónuverndarlögum

Elsa M. Ágústsdóttir

Markaðsstjóri RB

14.09.2017

Ný persónuverndarlög, GDPR (General Data Protection Regulagion) taka gildi 25. maí 2018. Stefnt er að því að lögin taki gildi á sama tíma á Íslandi.

Breytingarnar eru víðtækar. Ein mesta breytingin er sú að lögin munu hafa áhrif á öll fyrirtæki sem halda utan um persónugreinanleg gögn í sinni starfsemi og vinna upplýsingar innan EES-svæðisins, óháð landfræðilegri staðsetningu. Í stuttu máli má segja að með nýju lögunum eignist viðskiptavinurinn gögnin sem eru vistuð hjá fyrirtækjunum.

Skilgreining á persónuupplýsingum er víkkuð út í nýju lögunum. Allar upplýsingar sem tengjast persónu (e. data subject) á einhvern hátt og hægt er að rekja til hennar á beinan eða óbeinan hátt falla nú undir persónuupplýsingar. Þær upplýsingar geta t.d. verð nafn, mynd, netfang, bankaupplýsingar, upplýsingar á samfélagsmiðlum, heilsufar- og fjármálaupplýsingar eða IP tala.

Lögin hafa tvö megin markmið:

  • Styrkja neytendavernd er varðar eigin gögn.
  • Gera fyrirtæki ábyrg fyrir því að tryggja gagnaleynd.


Markmið laganna er að vernda neytendur í breyttu landslagi stafrænnar þróunar. Gagnamagn eykst sífellt, verðmæti gagna er að aukast og notkun og vinnsla upplýsinga er að breytast, allt á meðan gagnalekum og netárásum fer fjölgandi.

Mikið verk framundan

Frá þeim degi sem lögin taka gildi munu fyrirtæki þurfa að sýna fram á að þau geti verndað persónugreinanlegar upplýsingar, auk þess að vera í stakk búin til að upplýsa einstaklinga um vinnslu og meðferð persónuupplýsinga þeirra, sé eftir því leitað. Fyrirtæki munu ekki fá neinn aðlögunartíma og því mikilvægt að setja þetta verkefni í forgang. Lögin kalla á miklar breytingar í upplýsingakerfum og ekki síst ferlum og mikið verk er framundan hjá fyrirtækjum þannig að þau uppfylli þessar kröfur.

Persónuupplýsingar skulu vera (1):
a) unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart skráðum einstaklingi („lögmæti, sanngirni og gagnsæi“),

b) fengnar í skýrt tilgreindum og lögmætum tilgangi og ekki unnar frekar á þann hátt að ósamrýmanlegt sé þeim tilgangi; frekari vinnsla persónuupplýsinga vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi skal, í samræmi við 1. mgr. 89. gr., ekki teljast ósamrýmanleg upphaflegum tilgangi („takmörkun vegna tilgangs“),

c) nægilegar, viðeigandi og takmarkast við það sem nauðsynlegt er miðað við tilganginn með vinnslunni („lágmörkun gagna“),
d) áreiðanlegar og, ef nauðsyn krefur, uppfærðar; gera skal allar eðlilegar ráðstafanir til að tryggja að persónuupplýsingum, sem eru óáreiðanlegar, með hliðsjón af tilganginum með vinnslu þeirra, verði eytt eða þær leiðréttar án tafar („áreiðanleiki“),

e) varðveittar á því formi að ekki sé unnt að persónugreina skráða einstaklinga lengur en þörf er á miðað við tilganginn með vinnslu upplýsinganna; heimilt er að geyma persónuupplýsingar lengur að því tilskildu að vinnsla þeirra þjóni einungis skjalavistun í þágu almannahagsmuna, rannsóknum á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi, í samræmi við 1. mgr. 89. gr., og sé með fyrirvara um að gerðar verði þær viðeigandi tæknilegu og skipulagslegu ráðstafanir til að vernda réttindi og frelsi skráða einstaklingsins sem reglugerð þessi krefst („geymslutakmörkun“), f) unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt, þ.m.t. vernd gegn óleyfilegri eða ólögmætri vinnslu og gegn glötun, eyðileggingu eða tjóni fyrir slysni, með viðeigandi tæknilegum og skipulagslegum ráðstöfunum („heilleiki og trúnaður“).

Lögin gera ríkar kröfur til fyrirtækja sem má skipta upp í þrjá megin flokka

• Privacy by design – kerfi þurfa að vera hönnuð, þróuð, innleidd, rekin og viðhaldið með friðhelgi í huga.
• Right to be forgotten – það verðu að vera hægt að fjarlægja upplýsingar um einstaklinga ef þeir svo óska.
• Data portability – neytendur eiga að geta endurheimt gögnin til að nota með þriðja aðila.

Fyrirtæki þurfa að kynna sér hvað löggjöfin hefur í för fyrir sína starfsemi. Síðan þarf að greina og flokka þau persónugreinanlegu gögn sem fyrirtækið vinnur með, framkvæma áhættumat og uppfæra verklagsreglur. Í nýlegri PwC könnun kom fram að 92% af bandarískum fyrirtækjum líta á GDPR sem algjört forgangsmál.

Hvað gerist ef fyrirtæki uppfylla ekki skilyrði GDPR?

Fyrirtæki geta verið sektuð um 4% af heildarveltu fyrirtækisins eða 20 milljónir evra ef þau gerast brotleg við lögin. Þarna er um að ræða hámarks sekt en sektir eru ákvarðar í þrepum. Fyrirtæki geta t.d. verið sektuð um 2% af heildarveltu ef þau eru ekki með gögnin sín á hreinu (e. their records in order, article 28), fyrir að láta ekki viðeigandi stjórnvaldsstofnun vita ef brotist er inn í kerfi eða ef ekki er gerð afleiðingagreining (e. impact assessment). Þessar reglur gilda bæði um ábyrgðaraðila (e. controllers) og vinnsluaðila (e. processors) og því skiptir engu máli hvort þjónustan sé boðin í skýinu.

Þó að hægt sé að sekta fyrirtæki fyrir brot á lögunum getur það haft mun meiri áhrif á fyrirtæki að þurfa að loka starfseminni á meðan verið er að gera úrbætur eða vegna tapaðs trausts viðskiptavina og annarra haghafa, enda getur verið erfitt að vinna það til baka.
Neytendur eru að verða meðvitaðri um rétt sinn og líklegt að það muni aukast á næstu mánuðum. Líklegt er að þeir muni láta fyrirtæki, sem ekki standa sig finna fyrir því hvort sem það gerist í gegnum dómstóla eða með töpuðumviðskiptum og skaðaðri ímynd

Þarf fyrirtæki að vera með persónuverndarfulltrúa (e. Data Protection Officer)?

Lögin gera kröfu um að fyrirtæki sem hafa yfir að ráða miklu magni af persónuupplýsingum þurfa að hafa persónuverndarfulltrúa en það einskorðast við fyrirtæki sem eru með 250 starfsmenn og yfir. Minni fyrirtæki sem hafa yfir að ráða miklum persónuupplýsingum þurfa þó að hafa þessa þekkingu eða ráða ráðgjafa í verkið.

Eru tækifæri í GDPR?

Hvort að GDPR sé ógn eða tækifæri fer svo að mestu eftir því hvernig fyrirtæki takast á við verkefnið sem framundan er, sbr. yfirlitið hér að neðan. (2)

Mikilvægt er fyrir fyrirtæki að nálgast þetta mál út frá viðskiptavininum en ekki aðeins sem hlítingu reglugerðarinnar. Teymið sem vinnur að útfærslu GDPR innan fyrirtækisins þarf að vera samsett úr ólíkum einingum og hafa umboð til athafna. Yfirfara þarf alla samskipta- og viðskiptaferla innan fyrirtækisins (customer journey/business processes). Einnig er fræðsla til starfsmanna sem meðhöndla persónuupplýsingar gríðarlega mikilvæg.

Fyrirtæki þurfa að útbúa samhæfðan grunn fyrir allar persónuupplýsingar sem gefur fyrirtækjum betri yfirsýn yfir viðskiptavininn en þegar þessar upplýsingar liggja á nokkrum stöðum, eins og oft er í dag. Ef gögnin eru vel skilgreind, „hrein“ og aðgengileg getur skapast tækifæri til að nota gögnin til að bæta þjónustu eða auka tekjur með virðisaukandi þjónustu.

Hægt að nota tækifærið við innleiðingu á GDPR til að yfirfara öryggismál hjá fyrirtækjum og einfalda. Öryggismál eru að verða sölu- og ímyndarvara og fyrirtæki geta nýtt sér þessar breytingar til að auka gegnsæi gagnvart viðskiptavinum og auka þannig traust.

Að lokum

Á yfirborðinu má ætla að ný samevrópsk greiðsluþjónustulög (e. PSD2) og GDPR reglugerðin vinni gegn hvor annarri. Þó er það þannig að samþykki, tilgangur og tímarammi þurfa að liggja til grundvallar í nýjum greiðsluþjónustulögum eigi þær að uppfylla ný persónuupplýsingalög og því ætti farsæl innleiðing á GDPR og PSD2 að vera unnin samhliða.

Þetta flækjustig gerir það að verkum að fyrirtæki eiga að bregðast við með hraði . Að bíða og sjá er ekki vænlegt til árangurs og getur komið niður á samkeppnisforskoti fyrirtækja. Þau fyrirtæki sem leggja áherslu á að greina innviði, gagnastrúktúr (e. data governance ), menningu og tækifærin munu vera þau sem ná samkeppnisforskoti í nýju umhverfi.

Heimildir
(1) https://www.personuvernd.is/media/frettir/DROG_thyding_GDPR_2016_679.pdf
(2) https://www.forbes.com/sites/forbestechcouncil/2017/06/02/gdpr-a-challenge-and-an-opportunity/3/#7f82695a18b6
Nick Taylor, managing director Accenture Strategy: https://www.scmagazineuk.com/gdpr-an-opportunity-for-change-rather-than-just-a-compliance-burden/article/664071/
(3) https://www.capgemini-consulting.com/resource-file-access/resource/pdf/privacy-and-cybersecurity-in-fs_dti-research-report.pdf

Nánari upplýsingar má finna á http://www.eugdpr.org/