Margir hafa und­an­farna daga fengið ógrynni af til­kynn­ingum frá fyr­ir­tækjum sem nú eru í óða önn við að upp­færa örygg­is- og per­sónu­vernd­ar­kerfi sín og þurfa sam­þykki not­enda fyrir breyttum skil­mál­um.

Ástæðan er ný per­sónu­vernd­ar­reglu­gerð tekur gildi í Evr­ópu í dag. Reglu­gerðin gengur undir nafn­inu GDPR sem er stytt­ing á enska heit­inu General Data Prot­ect­ion Reg­ul­ation og á íslensku heitir hún reglu­gerð um vernd ein­stak­linga í tengslum við vinnslu per­sónu­upp­lýs­inga og um frjálsa miðlum slíkra upp­lýs­inga.

­Miklar breyt­ingar munu fylgja þess­ari reglu­gerð á sviði per­sónu- og gagna­vernd­ar. Fyr­ir­tæki hafa haft langan aðdrag­anda til að gera sig klár en reglu­gerðin var sam­þykkt af Evr­ópu­þing­inu og Evr­ópu­ráð­inu í apríl 2016. Fyr­ir­tæki munu þurfa að sýna fram á að þau geti verndað allar per­sónu­grein­an­legar upp­lýs­ingar ein­stak­linga. Þau þurfa einnig að geta upp­lýst fólk um alla með­ferð fyr­ir­tæk­is­ins og vinnslu per­sónu­upp­lýs­inga þeirra, sé eftir því leit­að.

Fyr­ir­tækin bregð­ast við

„Það sem þessi fyr­ir­tæki eru að gera er að bregð­ast við nýju per­sónu­vernd­ar­lög­gjöf­inni sem tók í gildi í Evr­ópu í dag,“ segir Helga Þór­is­dóttir for­stjóri Per­sónu­verndar í sam­tali við Kjarn­ann aðspurð um öll þessi skila­boð og breyt­ingar á skil­málum sam­fé­lags­miðla og ann­arra net­þjón­ustu­fyr­ir­tækja. Hún segir þetta oft fyr­ir­tæki utan Evr­ópu sem eru að reyna að missa ekki þessar 500 millj­ónir neyt­enda sem Evr­ópu­mark­að­ur­inn er.

Helga segir sam­fé­lags­miðla og önnur fyr­ir­tæki sem fólk þiggur þjón­ustu frá vera oft vera að vinna upp­lýs­ingar um ein­stak­linga langt umfram það sem flestir hafa gert sér grein fyr­ir. Nýju skil­mál­arnir séu nú allt öðru­vísi heldur en löngu not­enda­skil­mál­arnir sem not­endur hafa hingað til átt að venjast, og fæstir lásu þar sem þeir voru oft og tíðum upp á hund­ruðir blað­síðna. „Nýja lög­gjöfin lætur þessi fyr­ir­tæki lýsa í mjög stuttu og auð­skilj­an­legu máli hvað þau eru að gera hvað varðar vinnslu per­sónu­upp­lýs­inga.“

Helga segir að í til­felli sam­fé­lags­miðl­anna séu þau oft með sam­starfs­að­ila. Það geti þýtt að eitt smá­forrit geti verið í sam­starfi við hátt í 200 önnur fyr­ir­tæki. „Ef að fólk hleður slíku niður þá getur verið bara bein áfram­send­ing á gögnum um hegðun og alls kyns grein­ing til þess­ara fyr­ir­tækja, sem geta verið per­sónu­grein­an­leg um hegðun og notkun fólks á alls kyns efni. Það er þetta sem er verið að ráð­ast gegn. Þú vilt kannski vera í sam­skiptum við eitt fyr­ir­tæki en ekki 199 önn­ur.“

Ekki búið að taka regl­urnar upp í íslenskan rétt

Vernd per­sónu­upp­lýs­inga er tal­inn hluti af EES-­samn­ingnum og mun lög­gjöfin því vera tekin upp í íslenskan rétt. Það náð­ist ekki þegar þingið fór í frí núna fyrir sveit­ar­stjórn­ar­kosn­ingar en Helga segir að von­ast sé til að það sé bara daga­spurs­mál eftir að þingið kemur saman nú eftir kosn­ing­ar.

Á heima­síðu Per­sónu­verndar segir að sam­þykkt þess­ara end­ur­bóta muni marka tíma­mót í sögu per­sónu­vernd­ar­lög­gjafar í Evr­ópu. Um er að ræða umfangs­mestu breyt­ingar sem gerðar hafa verið á per­sónu­vernd­ar­lög­gjöf­inni í tvo ára­tugi sem stað­festa að sá grund­vall­ar­réttur sem felst í vernd per­sónu­upp­lýs­inga ein­stak­linga verði tryggður fyrir alla. Regl­urnar munu einnig efla hinn staf­ræna innri markað Evr­ópu með því að tryggja öryggi í þjón­ustu sem veitt er yfir netið og veita fyr­ir­tækjum rétt­ar­vissu sem bygg­ist á skýrum og sam­ræmdum regl­um. Þessar laga­breyt­ingar eiga að gagn­ast öllum borg­urum Evr­ópu og að ein­stak­lingum þurfi að vera veitt vald til að þekkja rétt sinn svo þeir viti hvernig unnt sé að verja þann rétt ef hann er ekki virt­ur.

„Það sem er merki­legt við þessa breyt­ingu er að hún teygir anga sína út fyrir Evr­ópu. Fyr­ir­tæki sem eru að fylgj­ast með evr­ópskum rík­is­borg­urum eða eru starf­rækt á því svæði falla undir þessar breyt­ingar líka. Fyr­ir­tæki sem eru að fylgj­ast með hegðun fólks, bjóða vöru eða þjón­ustu óháð því hvort end­ur­gjald komi fyr­ir, þurfa að sína fram á hvernig þeir nota og fara með þessar upp­lýs­ing­ar,“ segir Helga.

Nær yfir vítt svið okkar dag­lega lífs

Helga segir reglu­gerðin ná yfir mjög vítt svið okkar dag­lega lífs. „Eitt eru sam­fé­lags­miðl­arnir sem fólk er að verða með­vit­að­ara um. En þessi lög­gjöf fer þvert á alla mála­flokka sam­fé­lags­ins, heil­brigð­is­málin til dæm­is. Þar stefnir í að boðið verði upp á mun meiri fjar­þjón­ust­u,“ segir Helga og nefnir sem dæmi að fólk sé þegar farið að geta spjallað við geð­lækn­inn sinn yfir net­ið. Einnig nefnir hún í dæma­skyni ýmis­konar heilsu­öpp sem fólk not­ast við. „Heilsu­öpp sem til dæmis mælir skref, en fólk veit kannski ekki að það mælir líka hjart­slátt­inn þinn. Það getur verið auð­velt að brjót­ast inn í þetta til að nálg­ast heilsu­fars­upp­lýs­ingar og -gögn og trygg­ing­ar­fé­lög gætu verið að nota sér þetta.“

Helga segir skóla­sam­fé­lag­ið, frá leik­skóla til háskóla, einnig vinna með gríð­ar­legt magn af per­sónu­upp­lýs­ing­um. „Þar hafa margir tekið athuga­semda­laust í notkun ýmis smá­forrit sem eiga rætur sínar að rekja til Banda­ríkj­anna þar sem er mjög létt per­sónu­verndar lög­gjöf.“

Fjár­mála­kerfið allt sé undir líka sem og íslensk nýsköp­un­ar­fyr­ir­tæki. Gæta þurfi að öllum örygg­is­við­miðum og gera nauð­syn­legar áhættu­grein­ingar áður en kerfi sem vinna með per­sónu­upp­lýs­ingar eru sett í notkun og passa að kapp er best með for­sjá.

Háar sektir munu liggja við brotum á lög­gjöf­inni en Helga segir kúlt­úr­breyt­ing­una sem felist í þessum nýju reglum aðal atrið­ið. „Það sem er mik­il­væg­ast er að þetta kallar á allt aðra vinnslu og umgengni per­sónu­upp­lýs­inga en áður hefur sést. Fók­us­inn á að vera á að fyr­ir­tæki umgang­ist þetta þannig að ekki komi til sekta.“

Upp­fært:

Utan­rík­is­ráðu­neytið mun leita fyr­ir­fram­sam­þykkis Alþingis vegna máls­ins

Dóms­mála­ráðu­neytið sendi í dag, eftir að frétt þessi fór í loft­ið, frá sér eft­ir­far­andi frétta­til­kynn­ingu vegna til­d­is­töku GDPR reglu­gerð­ar­innar í Evr­ópu:

Ný reglu­gerð Evr­ópu­sam­bands­ins um per­sónu­vernd svokölluð GDPR-­reglu­gerð kemur til fram­kvæmda í Evr­ópu í dag. Þessi reglu­gerð verður hluti af EES-­samn­ingn­um.

Und­ir­bún­ingur að inn­leið­ingu GDPR-­reglu­gerð­ar­innar í EES-­Samn­ing­inn hefur staðið frá því hún var sett fyrir tveimur árum og flóknar og umfangs­miklar samn­inga­við­ræður hafa staðið milli EFTA ríkj­anna og Evr­ópu­sam­bands­ins og póli­tískt sam­komu­lag hefur náðst. Hins vegar hefur ekki tek­ist að ljúka form­legri afgreiðslu í Brus­sel og nú stefnir í að GDPR-­reglu­gerðin taki ekki gildi í EES-­samn­ingnum fyrr en í kjöl­far fundar Sam­eig­in­legu EES-­nefnd­ar­innar sem hald­inn verður þann 6. júlí n.k.

Til að flýta afgreiðslu máls­ins eins og frekast er unnt mun utan­rík­is­ráð­herra leita fyr­ir­fram sam­þykkis Alþingis til inn­leið­ingar GDPR-­reglu­gerð­ar­innar í EES-­Samn­ing­inn í næstu viku. Þá var fram­lagn­ing frum­varps dóms­mála­ráð­herra um inn­leið­ingu reglu­gerð­ar­innar í íslenskan rétt sam­þykkt á fundi rík­is­stjórn­ar­innar í morgun og verður frum­varp til nýrra per­sónu­vernd­ar­laga lagt fram á Alþingi í næstu viku.

Áform stjórn­valda eru því að upp­taka reglu­gerð­ar­innar í EES-­Samn­ing­inn og setn­ing nýrra laga um per­sónu­vernd verði lokið áður en Alþingi fer í sum­ar­hlé.

Ísland hefur þar til í dag verið með sömu rétt­ar­vernd og ríki ESB á sviði per­sónu­verndar og talist hluti hins innri mark­að­ar. Stjórn­völd EFTA-­ríkj­anna hafa nú birt yfir­lýs­ingu sem kveður á um að þar til GDPR-­reglu­gerðin taki gildi í EES-­samn­ingnum muni núgild­andi per­sónu­vernd­ar­til­skipun halda gildi sínu í sam­skiptum EFTA ríkj­anna við ríki innan ESB og hefur lög­fræði­svið Fram­kvæmd­ar­stjórnar ESB áform um að birta sam­svar­andi yfir­lýs­ingu á heima­síðu sinni. Milli­bils­á­standið sem mynd­ast milli gild­is­töku GDPR-­reglu­gerð­ar­innar í ESB og upp­töku hennar í EES-­samn­ingnum ætti því ekki að valda trufl­unum á notkun per­sónu­upp­lýs­inga á innri mark­aði EES.