Margir hafa undanfarna daga fengið ógrynni af tilkynningum frá fyrirtækjum sem nú eru í óða önn við að uppfæra öryggis- og persónuverndarkerfi sín og þurfa samþykki notenda fyrir breyttum skilmálum.
Ástæðan er ný persónuverndarreglugerð tekur gildi í Evrópu í dag. Reglugerðin gengur undir nafninu GDPR sem er stytting á enska heitinu General Data Protection Regulation og á íslensku heitir hún reglugerð um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlum slíkra upplýsinga.
Miklar breytingar munu fylgja þessari reglugerð á sviði persónu- og gagnaverndar. Fyrirtæki hafa haft langan aðdraganda til að gera sig klár en reglugerðin var samþykkt af Evrópuþinginu og Evrópuráðinu í apríl 2016. Fyrirtæki munu þurfa að sýna fram á að þau geti verndað allar persónugreinanlegar upplýsingar einstaklinga. Þau þurfa einnig að geta upplýst fólk um alla meðferð fyrirtækisins og vinnslu persónuupplýsinga þeirra, sé eftir því leitað.
Fyrirtækin bregðast við
„Það sem þessi fyrirtæki eru að gera er að bregðast við nýju persónuverndarlöggjöfinni sem tók í gildi í Evrópu í dag,“ segir Helga Þórisdóttir forstjóri Persónuverndar í samtali við Kjarnann aðspurð um öll þessi skilaboð og breytingar á skilmálum samfélagsmiðla og annarra netþjónustufyrirtækja. Hún segir þetta oft fyrirtæki utan Evrópu sem eru að reyna að missa ekki þessar 500 milljónir neytenda sem Evrópumarkaðurinn er.
Helga segir samfélagsmiðla og önnur fyrirtæki sem fólk þiggur þjónustu frá vera oft vera að vinna upplýsingar um einstaklinga langt umfram það sem flestir hafa gert sér grein fyrir. Nýju skilmálarnir séu nú allt öðruvísi heldur en löngu notendaskilmálarnir sem notendur hafa hingað til átt að venjast, og fæstir lásu þar sem þeir voru oft og tíðum upp á hundruðir blaðsíðna. „Nýja löggjöfin lætur þessi fyrirtæki lýsa í mjög stuttu og auðskiljanlegu máli hvað þau eru að gera hvað varðar vinnslu persónuupplýsinga.“
Helga segir að í tilfelli samfélagsmiðlanna séu þau oft með samstarfsaðila. Það geti þýtt að eitt smáforrit geti verið í samstarfi við hátt í 200 önnur fyrirtæki. „Ef að fólk hleður slíku niður þá getur verið bara bein áframsending á gögnum um hegðun og alls kyns greining til þessara fyrirtækja, sem geta verið persónugreinanleg um hegðun og notkun fólks á alls kyns efni. Það er þetta sem er verið að ráðast gegn. Þú vilt kannski vera í samskiptum við eitt fyrirtæki en ekki 199 önnur.“
Ekki búið að taka reglurnar upp í íslenskan rétt
Vernd persónuupplýsinga er talinn hluti af EES-samningnum og mun löggjöfin því vera tekin upp í íslenskan rétt. Það náðist ekki þegar þingið fór í frí núna fyrir sveitarstjórnarkosningar en Helga segir að vonast sé til að það sé bara dagaspursmál eftir að þingið kemur saman nú eftir kosningar.
Á heimasíðu Persónuverndar segir að samþykkt þessara endurbóta muni marka tímamót í sögu persónuverndarlöggjafar í Evrópu. Um er að ræða umfangsmestu breytingar sem gerðar hafa verið á persónuverndarlöggjöfinni í tvo áratugi sem staðfesta að sá grundvallarréttur sem felst í vernd persónuupplýsinga einstaklinga verði tryggður fyrir alla. Reglurnar munu einnig efla hinn stafræna innri markað Evrópu með því að tryggja öryggi í þjónustu sem veitt er yfir netið og veita fyrirtækjum réttarvissu sem byggist á skýrum og samræmdum reglum. Þessar lagabreytingar eiga að gagnast öllum borgurum Evrópu og að einstaklingum þurfi að vera veitt vald til að þekkja rétt sinn svo þeir viti hvernig unnt sé að verja þann rétt ef hann er ekki virtur.
„Það sem er merkilegt við þessa breytingu er að hún teygir anga sína út fyrir Evrópu. Fyrirtæki sem eru að fylgjast með evrópskum ríkisborgurum eða eru starfrækt á því svæði falla undir þessar breytingar líka. Fyrirtæki sem eru að fylgjast með hegðun fólks, bjóða vöru eða þjónustu óháð því hvort endurgjald komi fyrir, þurfa að sína fram á hvernig þeir nota og fara með þessar upplýsingar,“ segir Helga.
Nær yfir vítt svið okkar daglega lífs
Helga segir reglugerðin ná yfir mjög vítt svið okkar daglega lífs. „Eitt eru samfélagsmiðlarnir sem fólk er að verða meðvitaðara um. En þessi löggjöf fer þvert á alla málaflokka samfélagsins, heilbrigðismálin til dæmis. Þar stefnir í að boðið verði upp á mun meiri fjarþjónustu,“ segir Helga og nefnir sem dæmi að fólk sé þegar farið að geta spjallað við geðlækninn sinn yfir netið. Einnig nefnir hún í dæmaskyni ýmiskonar heilsuöpp sem fólk notast við. „Heilsuöpp sem til dæmis mælir skref, en fólk veit kannski ekki að það mælir líka hjartsláttinn þinn. Það getur verið auðvelt að brjótast inn í þetta til að nálgast heilsufarsupplýsingar og -gögn og tryggingarfélög gætu verið að nota sér þetta.“
Helga segir skólasamfélagið, frá leikskóla til háskóla, einnig vinna með gríðarlegt magn af persónuupplýsingum. „Þar hafa margir tekið athugasemdalaust í notkun ýmis smáforrit sem eiga rætur sínar að rekja til Bandaríkjanna þar sem er mjög létt persónuverndar löggjöf.“
Fjármálakerfið allt sé undir líka sem og íslensk nýsköpunarfyrirtæki. Gæta þurfi að öllum öryggisviðmiðum og gera nauðsynlegar áhættugreiningar áður en kerfi sem vinna með persónuupplýsingar eru sett í notkun og passa að kapp er best með forsjá.
Háar sektir munu liggja við brotum á löggjöfinni en Helga segir kúltúrbreytinguna sem felist í þessum nýju reglum aðal atriðið. „Það sem er mikilvægast er að þetta kallar á allt aðra vinnslu og umgengni persónuupplýsinga en áður hefur sést. Fókusinn á að vera á að fyrirtæki umgangist þetta þannig að ekki komi til sekta.“
Uppfært:
Utanríkisráðuneytið mun leita fyrirframsamþykkis Alþingis vegna málsins
Dómsmálaráðuneytið sendi í dag, eftir að frétt þessi fór í loftið, frá sér eftirfarandi fréttatilkynningu vegna tildistöku GDPR reglugerðarinnar í Evrópu:
Ný reglugerð Evrópusambandsins um persónuvernd svokölluð GDPR-reglugerð kemur til framkvæmda í Evrópu í dag. Þessi reglugerð verður hluti af EES-samningnum.
Undirbúningur að innleiðingu GDPR-reglugerðarinnar í EES-Samninginn hefur staðið frá því hún var sett fyrir tveimur árum og flóknar og umfangsmiklar samningaviðræður hafa staðið milli EFTA ríkjanna og Evrópusambandsins og pólitískt samkomulag hefur náðst. Hins vegar hefur ekki tekist að ljúka formlegri afgreiðslu í Brussel og nú stefnir í að GDPR-reglugerðin taki ekki gildi í EES-samningnum fyrr en í kjölfar fundar Sameiginlegu EES-nefndarinnar sem haldinn verður þann 6. júlí n.k.
Til að flýta afgreiðslu málsins eins og frekast er unnt mun utanríkisráðherra leita fyrirfram samþykkis Alþingis til innleiðingar GDPR-reglugerðarinnar í EES-Samninginn í næstu viku. Þá var framlagning frumvarps dómsmálaráðherra um innleiðingu reglugerðarinnar í íslenskan rétt samþykkt á fundi ríkisstjórnarinnar í morgun og verður frumvarp til nýrra persónuverndarlaga lagt fram á Alþingi í næstu viku.
Áform stjórnvalda eru því að upptaka reglugerðarinnar í EES-Samninginn og setning nýrra laga um persónuvernd verði lokið áður en Alþingi fer í sumarhlé.
Ísland hefur þar til í dag verið með sömu réttarvernd og ríki ESB á sviði persónuverndar og talist hluti hins innri markaðar. Stjórnvöld EFTA-ríkjanna hafa nú birt yfirlýsingu sem kveður á um að þar til GDPR-reglugerðin taki gildi í EES-samningnum muni núgildandi persónuverndartilskipun halda gildi sínu í samskiptum EFTA ríkjanna við ríki innan ESB og hefur lögfræðisvið Framkvæmdarstjórnar ESB áform um að birta samsvarandi yfirlýsingu á heimasíðu sinni. Millibilsástandið sem myndast milli gildistöku GDPR-reglugerðarinnar í ESB og upptöku hennar í EES-samningnum ætti því ekki að valda truflunum á notkun persónuupplýsinga á innri markaði EES.