Hvað er GDPR?
Hinn 14. apríl 2016 samþykkti löggjafinn hina almennu persónuverndarreglugerð Evrópusambandsins (e. Genereal Data Protection Regulation, GDPR) endanlega eftir fjögurra ára ferli og var lokagerð hennar birt í Stjórnartíðindum Evrópusambandsins hinn 4. maí 2016.
Reglugerðin tók gildi í Evrópusambandinu frá og með 25. maí 2018 og kom í stað innlendra laga og reglugerða hinnar virtu tilskipunar ESB frá 1995 um gagnavernd og nær til fyrirtækja utan Sambandsins er beina spjótum sínum að neytendum innan ESB.
Þó að almenna persónuverndarreglugerðin haldi að mestu leyti meginreglum og hugtakanotkun tilskipaninnar frá 1995 bætir hún við nýjum meginreglum með óljósum afleiðingum, eins og strangari merkingu hugtaksins um samþykki, kröfur um auðflytjanleika gagna og „rétt til að gleymast“. Um leið vekur hún væntingar um samræmi um alla Evrópu en þessu gætu fjölþjóðleg fyrirtæki tekið fagnandi og einnig um ívilnun frá skráningarbyrði sem hefur reynst þráföst í mörgum löndum (þó að þetta jafnist út með nýrri skyldu um að tilkynna öryggisrof (e. security breaches)).
Fyrirtæki ættu að horfa til framtíðar varðandi nýjar aðstæður varðandi eigin reglufylgni í vöruhönnun, gerð starfsáætlana, stefnu um friðhelgi einkalífs, öryggiskerfi og samninga sem gerðir verða frá þeim tíma þegar reglugerðin tekur gildi — á Íslandi er þar miðað við 15. júlí 2018.
Er vefurinn þinn klár fyrir nýju persónuverndarreglugerð Evrópusambandsins?
Hvers vegna reglugerð?
Frá 1995 hafa Evrópubúar fallið undir innlend (í sumum löndum ríkis- eða svæðisbundin) og yfirgripsmikil lög um upplýsingar um friðhelgi einkalífs sem stýra einkageiranum og eru grundvölluð á „rammatilskipun“ Evrópusambandsins, tilskipun 95/46/EB („gagnaverndartilskipuninni“) með viðbótum frá tilskipun 2002/58/EB („tilskipun um friðhelgi einkalífs á Netinu“) á sviði rafrænna samskipta.
Í janúar 2012 lagði framkvæmdastjórn Evrópusambandsins fram tillögur sem vörðuðu umbætur á lagalegri uppbyggingu á verndun friðhelgis einkalífs í Evrópu til að fjalla um eftirfarandi þætti:
- útrýma misræmi í innlendum lögum,
- auka kröfur um að vernda friðhelgi einkalífs einstaklinga betur en áður,
- uppfæra lögin til að fjalla betur um áskoranir í nútímanum varðandi friðhelgi einkalífs, eins og þær sem komu til vegna Netsins, samfélagsmiðla, smáforrita í farsímum, meiriháttar gagnasöfnunar í tölvuskýjum og markaðssetningu sem byggist á nethegðun fólks en slíkt hafði vart náð að slíta barnsskónum þegar gagnaverndartilskipunin var samin,
- draga úr kostnaðarsömu stjórnsýsluálagi hjá fyrirtækjum sem þurfa að kljást við mörg gagnaverndaryfirvöld.
Framkvæmdastjórnin lagði fram tillögu um að semja almenna persónuverndarreglugerð sem kæmi í stað tilskipunarinnar frá 1995. Að lokum samþykkti Evrópuþingið og leiðtogaráðið tillöguna eftir ítarleg skoðanaskipti um einstaka efnisþætti almenna persónuverndarfrumvarpsins og meðfylgjandi umræður um sérstaka tilskipun sem stjórna mun alþjóðlegu lögreglu- og dómsmálasamstarfi í sakamálum sem hluta af umbótapakkanum.
Almenna persónuverndarreglugerðin, sem slík, mun hafa bein réttaráhrif um allt Evrópusambandið og hafa innlend gagnaverndaryfirvöld og dómstólar eftirlit með framkvæmd þeirra án þess að krefjast lögleiðingar hennar í innlendri löggjöf (ferli sem tók mörg ár í tilfelli tilskipunarinnar frá 1995 og skilaði það misjöfnum árangri).
Reglugerðir ESB eru notaðar á mörgum öðrum sviðum, eins og við samþykki á lyfjum, þegar settir eru heilbrigðis- og öryggisstaðlar fyrir neysluvörur og samkeppnislög og lög gegn einokun og hringamyndun. Reglugerðir ESB gefa fyrirheit um aukið samræmi í stöðlum og túlkunum en rammatilskipun getur leitt af sér og er það almennt talið til hagsbóta fyrir félög sem stunda viðskipti í fleiri en einu Evrópuríki.
Samræming og samkvæmni GDPR
Samkvæmt tilskipuninni er til staðar ákveðið stig samræmingar og samkvæmni við túlkun og fullnustu. Nokkrar valfrjálsar álitsgerðir voru, til viðbótar við óformleg samskipti milli viðkomandi yfirvalda, gefnar út hverjar á fætur annarri af hálfu „29. greinar starfshóps um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga“, ráðgjafanefndar sem sett var saman af fulltrúum innlendra eftirlitsyfirvalda (sem eru almennt kölluð „gagnaverndaryfirvöld“) ásamt Evrópsku persónuverndarstofnuninni sem framkvæmdastjórnin skipaði.
Samkvæmt reglugerðinni verður hópur sá að sjálfstæðri og valdamikilli eftirlitsstofnun sem kallast Evrópska persónuverndarráðið og fær það hlutverk að tryggja „samræmda beitingu“ á almennu persónuverndarreglugerðinni. Heill kafli í reglugerðinni (55.–63. gr.) er settur undir samstarf og samkvæmni með verklagsreglum frá mörgum gagnaverndaryfirvöldum til að samræma rannsóknir og koma á framfæri samræmdum ákvörðunum og stefnu sem Persónuverndarráðið skoðar og gefur skýrslu um til framkvæmdastjórnarinnar.
Einn samræmingarþáttur sem ætti að reynast til bóta fyrir fjölþjóðleg fyrirtæki snýr að því að fyrirtæki geta nú starfað með „forystueftirlitsyfirvaldi“ innan þess lands þar sem yfirstjórn fyrirtækisins hefur aðsetur. Yfirvald þetta mun síðan samræma aðgerðir með yfirvöldum í öðrum löndum þar sem fyrirtækið starfar og reyna þannig að ná samstöðu um þætti sem snerta þau öll.
Hvað eru persónugreinanleg gögn?
Reglugerðin skýrir að nokkru leyti og eykur jafnvel stundum við hið ógreinilega hugtak sem persónugreinanlegar upplýsingar þar sem „skráður aðili“ er skilgreindur sem einstaklingur sem hægt er að auðkenna „á hátt sem líklegt er að ábyrgðaraðili eða einhver annar einstaklingur eða lögðaðili gæti notað“, þ.m.t. með tilvísun „til kennitölu, staðsetningargagna, rafrænna auðkenna eða eins eða fleiri þátta sem eru sérstakir fyrir líkamleg, lífeðlisfræðileg, erfðafræðileg, sálræn, efnahagsleg, menningarleg eða félagsleg auðkenni umrædds einstaklings“ (1. mgr. 4. gr.).
Með því að bæta staðsetningargögnum og rafrænum auðkennum við tilfallandi tungumál tilskipunarinnar verður líklegra að reglugerð þessi munu ná yfir ýmis form auðkenna sem notuð er í færanlegum búnaði og smáforritum, dreifikerfum auglýsinga og greiningartækjum vefsetra.
Útvíkkun lögsögu
Hugsanlegt athugunarefni fyrir fyrirtæki utan Evrópusambandsins er að gildissvið lögsögunnar víkkar með tilkomu almennu persónuverndarreglugerðarinnar. Við núverandi lög (sem byggjast á 4. gr. tilskipunarinnar frá 1995) fellur fyrirtæki, sem hefur ekki lagalega staðfestu í aðildarríki ESB, ekki undir gagnaverndarlög þess nema fyrirtæki þetta notist við búnað sem er staðsettur í því landi við vinnslu gagna. Því er almennt engin lögsaga án þess að fyrirtækin hafi starfsmenn eða vefþjóna á jörðu niðri.
Þetta breytist þegar almenna persónuverndarreglugerðin tekur gildi. Hún nær til vinnslu sem fer fram utan Evrópusambandsins þegar hún snýr að framboði á vörum eða þjónustu til skráðra aðila (einstaklinga) í Evrópusambandinu eða eftirliti með framferði þeirra. Því gætu ábyrgðaraðilar vefsíðna með verslunarkerfi eða smáforrit í farsímum sem hýst eru í þriðju löndum (utan bæði ESB og EES) fallið á beinan hátt undir reglugerðina ásamt margs konar þjónustuveitendum sem eru staðsettir í þriðju löndum en skipta við evrópska smásöluaðila.
Þó leikur vafi á um hvort evrópsk eftirlitsyfirvöld eða neytendur muni í raun reyna að stefna stjórnendum sem eru staðsettir í þriðju löndum fyrir dóm vegna brota á reglugerðinni. Útvíkkun á gildissviði lögsögu reglugerðarinnar gæti gert fyrirtækjum í þriðju löndum erfiðara fyrir með að hafa fyrirsvar um samninga og ábyrgðir gagnvart því að farið verði að „öllum viðeigandi lögum“ og er jafnvel hugsanlegt að gagnaverndaryfirvöld eða dómstólar fari fram á við viðskiptavini innan ESB að þeir hætti að skipta við söluaðila í þriðju löndum þegar þeir fara ekki að ákvæðum þessarar reglugerðar.
Tilskipunin krefst þess að samtök utan Evrópusambandsins tilnefni fulltrúa í Sambandinu ef þau notast við búnað í ESB til að vinna með persónuupplýsingar. Reglugerðin viðurkennir að þetta gæti orðið algengara mál þegar gildissvið lögsögunnar víkkar út. Í 25. gr. er kveðið á um að ábyrgðaraðilar sem eru staðsettir utan ESB en selja til neytenda innan Sambandsins eða taka saman auðkenni þeirra verði að tilnefna fulltrúa í Evrópusambandinu, væntanlega til að svara fyrirspurnum og kvörtunum frá gagnaverndaryfirvöldum eða einstaklingum um friðhelgi einkalífsins, þó að reglugerðin tiltaki ekki skyldustörf fulltrúanna í smáatriðum. Í 25. gr. er þó jafnframt veitt undanþága fyrir ábyrgðaraðila í löndum sem taldir eru veita fullnægjandi lagavernd (eins og Kanada) eða hafa í þjónustu sinni færri en 250 starfsmenn og bjóða íbúum Evrópusambandsins „einungis einstaka sinnum“ vörur eða þjónustu.
Strangari skilyrði fyrir samþykki
Með reglugerðinni, eins og tilskipuninni áður, er þess krafist að staðið sé löglega að vinnslu upplýsinga, en algengasti máti þess er samþykki hvers einstaks skráðs aðila. Í reglugerðinni er þó gengið harðar fram við ásættanleg skilyrði fyrir því að staðfesta samþykki sem er skilgreint sem staðfesting „á því að fyrir liggi óþvinguð, afmörkuð, upplýst og ótvíræð viljayfirlýsing hins skráða aðila um að hann samþykki vinnslu persónuupplýsinga sem varða hann sjálfan“.
Samkvæmt 7. gr. reglugerðarinnar ber stjórnandinn sönnunarbyrði þess að staðfesta samþykki og þýðir það að liggja þarf fyrir einhvers konar sönnun í formi skriflegs samþykkis, að smellt hafi verið á svar í valmynd, eða aðrar dæmigerðar verklagsreglur. Sé samþykkið gert með skírskotun til skriflegrar yfirlýsingar sem einnig snýr að öðrum málum, eins og samningur um notkunarleyfi (e. End user license agreement, EULA) eða notkunarskilmálar, verður friðhelgissamþykkið að vera „auðgreinanlegt í útliti“.
Skráði aðilinn verður að hafa heimild til að draga til baka samþykki sitt hvenær sem er varðandi síðari tíma vinnslu upplýsinga. Reglugerðin kveður einnig á um að samþykki má ekki nota til grundvallar löglegrar vinnslu upplýsinga þar sem „töluverður aðstöðumunur“ er á milli hins skráða aðila og ábyrgðaraðilans.
Viðkvæm gögn
Í 9. gr. er flutt áfram frá tilskipuninni hugtakið um „tiltekna flokka“ sérlega viðkvæmra gagna sem varðar kynþátt eða þjóðerni, stjórnmálaskoðanir, trúar- eða lífsskoðanir, aðild að verkalýðsfélögum, heilbrigði eða ástundun kynlífs. Að þessu leyti er krafist sérstaks samþykkis eða lagaskyldu í því skyni að safna saman eða vinna með slík gögn og þar er krafist öflugra öryggis og meiri gaumur gefinn að geymslumörkum gagnanna. Reglugerðin bætir jafnframt við erfðafræðilegum gögnum og lífkenniupplýsingum við flokk viðkvæmra gagna.
Börn
Fyrirliggjandi tilskipun fjallar ekki beinlínis um friðhelgi einkalífs barna og engin innlend lög eru í Evrópu sem eru sambærileg við Lög um verndun friðhelgis barna á Netinu (COPPA) í Bandaríkjunum. Á hinn bóginn býr nýja reglugerðin yfir sértækum ákvæðum til að vernda friðhelgi barna (8. gr.)
Mikið hefur verið rætt um viðmiðunaraldur fyrir samþykki foreldra og breyttist hann reglulega fram til loka lagasetningarmeðferðarinnar. Viðmiðunaraldurinn var að lokum miðaður sjálfgefið við 16 ára aldur en aðildarríki hafa heimild til að lækka hann niður í 13 ára aldur sem umrædd lög í Bandaríkjunum (COPPA) miða við.
Innlend frávik í viðmiðunaraldri gætu verið áskorun fyrir ábyrgðaraðila vefsetra og smáforrita í farsímum. Sér í lagi er krafist samþykkis foreldis eða forráðamanns til að vinna persónuupplýsingar um barn undir viðmiðunaraldri þegar boðin er „upplýsingaþjónusta“ þó að þetta ákvæði breyti ekki á beinan hátt sjálfræðisaldri samkvæmt innlendum lögum.
Reglugerðin gerir ráð fyrir að framkvæmdastjórn Evrópusambandsins geti komið á fót sérstökum leiðum til að fá sannreynanlegt samþykki foreldris. Búist er við að framkvæmdastjórn Evrópusambandsins kanni reynslu Alríkisviðskiptastofnunar Bandaríkjanna þar í landi til að auðkenna notagildar leiðir til að fá samþykki foreldris.
Stefnur varðandi friðhelgi einkalífsins og samskipti
Í reglugerðinni (11. gr.) er farið fram á að „gagnsæ og auðveldlega aðgengileg stefna“ og samskipti á skýru og einföldu máli verði aðlöguð skráðu aðilunum, þ.m.t. upplýsingar sem beint er að börnum (eins og reglugerðin skilgreinir þau, undir 18 ára aldri). Þegar ábyrgðaraðilinn notar sjálfvirkar leiðir verður hann að kveða á um að skráðir aðilar sendi inn þá valkosti sem þeir kusu, beiðnir og kvartanir á rafrænan hátt. Fari ábyrgðaraðilinn að óskum um leiðréttingar eða eyðingar verður hann jafnframt að greina öllum þriðju aðilum að gögnunum frá því, ef hægt er.
Rétturinn til að gleymast
Tilskipunin fól í sér rétt til að fara fram á aðgengi og leiðréttingar og til að andmæla frekari vinnslu persónuupplýsinga í sérstökum tilvikum. Reglugerðin gengur lengra að því er varðar „rétt til að gleymast og eyða upplýsingum“ og einnig til leiðréttingar (17. gr.). Í þessu felst heimild til að láta ábyrgðaraðila eyða gögnum og grípa til réttmætra aðgerða til að tilkynna þriðju aðilum um að þeim beri að eyða gögnum og tenglum þar sem gögnin eru ekki lengur nauðsynleg vegna upphaflegra eða löglegra nota, eða að skráði aðilinn hefur dregið til baka samþykki sitt eða að nefnt vörslutímabili hefur runnið út, einkum í tilfellum þegar gögnum var safnað meðan skráði aðilinn var á barnsaldri (undir 18 ára aldri).
Fjölmargar undantekningar koma þó til og er þessum réttindum ætlað að skapa jafnvægi gegn tjáningarfrelsi, lýðheilsuhagsmunum, lagaskyldum og þörfum vegna sagnfræði- eða vísindalegra rannsókna. Framkvæmdastjórninni er heimilt að samþykkja sértækari reglur en rétturinn til að gleymast verður þangað til á gráu svæði, einkum varðandi samfélagsmiðla.
Auðflytjanleiki gagna
Annar óvissuþáttur varðar nýjan rétt til „auðflytjanleika gagna“ (18. gr.) sem ætlað er að heimila ákveðnum skráðum einstaklingi að krefjast afrits af persónulegum upplýsingum viðkomandi og færa þær til nýs þjónustuveitanda ef gögnin eru tiltæk á skipulögðu og almennt notuðu sniði. Einnig er framkvæmdastjórninni heimilt að samþykkja framkvæmdarráðstafanir og er líklegt að þetta ákvæði reglugerðarinnar verði ónothæft þangað til svo verður.
Bein markaðssetning og gerð persónusniðs
Tilskipunin heimilar þegar skráðum aðilum að hafna notkun persónuupplýsinga í beinni markaðssetningu og krefst það gagnsæi ef teknar eru ákvarðanir með sjálfvirkum hætti, eins og að hafna viðskiptum á grundvelli áhættustigs. Ákvæði þessi eru útvíkkuð í reglugerðinni, í þáttum sem nefndir eru „Réttur til andmæla“ og „Ráðstafanir sem byggjast á gerð persónusniðs“ (19. og 20. gr.)
Höfnun á notkun persónuupplýsinga í markaðssetningu verður að vera „augljóslega aðgreinanleg frá öðrum upplýsingum“. Ákvarðanir með sjálfvirkum hætti verða að fela í sér verndarráðstafanir eins og málskot til mannlegrar íhlutunar og mega þær ekki byggjast einungis á skilgreindum viðkvæmniflokkum persónuupplýsinga eins og kynþætti eða heilbrigði.
Innbyggð eða sjálfgefin friðhelgi einkalífsins
Reglugerðin lætur í ljós nýjar meginreglur sem ábyrgðaraðilar gagna bera ábyrgð á varðandi tilhögun hönnunar og framkvæmdar til að vernda persónuupplýsingar í samkvæmni við reglugerðina og að tryggja að sjálfgefið sé að persónuupplýsingar, sem er safnað og þær notaðar eins og nauðsyn krefur í sértækum tilgangi, séu ekki geymdar lengur en þurfa þykir og séu ekki gerðar tiltækar fyrir of marga einstaklinga. Enn á ný hefur framkvæmdastjórn Evrópusambandsins heimild til að samþykkja ráðstafanir til að setja kjöt á beinin.
Stjórnunarhættir og skjalfesting á friðhelgi einkalífsins
Reglugerðin kastar fyrir róða þeim kröfum sem nú eru í gildi í mörgum löndum um suma ábyrgðaraðila að þeir skrái gagnavinnslustarfsemi sína hjá gagnaverndaryfirvöldum í löndum eða ríkjum. Þess í stað skyldar reglugerðin ábyrgðaraðila, vinnsluaðila og fulltrúa til að hafa skjalahald um meðhöndlun á tilteknum þáttum persónuupplýsinga (28. gr.) og gera skjalfestingu aðgengilega eftirlitsyfirvöldum að beiðni þeirra. Framkvæmdastjórn Evrópusambandsins er heimilt að koma fram með staðlað eyðublað fyrir skjalfestinguna.
Ábyrgðaraðilum ber einnig skylda til, samkvæmt reglugerðinni, að taka sér fyrir hendur „mat á áhrifum gagnaverndar“ þegar vinnsluaðgerðum fylgir tiltekin hætta á röskun á friðhelgi einkalífs (33. gr.); aðgerðir sem bera mikla áhættu í för með sér krefjast fyrirfram samráðs eða heimildar frá eftirlitsyfirvaldinu (34. gr.)
Stofnun verður að skipa gagnaverndarfulltrúa hafi hún 250 eða fleiri starfsmenn eða ef kjarnastarfsemi hennar krefst „reglulegs og skipulegs eftirlits með skráðum aðilum“ (35.–37. gr.) Staða gagnaverndarfulltrúa, óhæði þeirra og skyldustörf eru sams konar og hjá gagnaverndarfulltrúum samkvæmt gildandi lögum í Þýskalandi, Hollandi og Frakklandi.
Tilkynning um og skjalfesting á öryggisrofi
Tilskipunin krefst ekki sérstakrar tilkynningar á öryggisrofum. Reglugerðin tekur hins vegar bæði á tilkynningu til yfirvalda og tilkynningu til einstaklinga sem koma að máli. Í 31. gr. er þess krafist að eftirlitsyfirvaldinu sé tilkynnt um öryggisrof á persónuupplýsingum innan 24 klukkustunda og að einstaklingum sé í kjölfarið tilkynnt um brot sem „líklegt er að hafi skaðleg áhrif á persónuupplýsingar eða friðhelgi einkalífs skráðs aðila“, nema ábyrgðaraðilinn sannfæri yfirvaldið um að gögnin verði gerð óskiljanleg (svo sem með dulkóðun). Reglugerðin krefst einnig tiltölulega umfangsmikillar skjalfestingar á váatvikum.
Öryggismál
Tilskipunin talar almennt um kröfur um viðeigandi tækni- og skipulagslegar ráðstafanir til að tryggja öryggi persónuupplýsinga. Reglugerðin gengur lengra en þetta, ekki aðeins með því að krefjast tilkynningar og skjalfestingar á öryggisrofum, heldur vísar hún einnig til áhættumats og heimilda framkvæmdastjórnarinnar til að samþykkja tiltæk öryggisákvæði (30. gr.)
Siðareglur og vottanir
Reglugerðin hvetur samtök iðnaðarins til að semja siðareglur um gagnavernd og leita vottunar innlendra aðila eða Sambandsins (39. gr.) Þessi leið gæti reynst vænleg, eins og komið hefur í ljós í Bandaríkjunum, á sviðum eins og auglýsingum á Netinu, markaðsrannsóknum, klínískum rannsóknum og varðandi skemmtiefni fyrir börn.
Alþjóðlegir gagnaflutningar
Reglugerðin verndar lagalega tilhögun sem samþykkt var í tilskipuninni varðandi flutning persónuupplýsinga út fyrir ESB eða EES: „ákvarðanir um hvað sé fullnægjandi“ af hálfu framkvæmdastjórnarinnar, samþykki á bindandi reglum fyrir fyrirtæki, föst samningsákvæði („fyrirmyndarsamningar“) og aðrar undanþágur eins og um upplýst samþykki, framfylgd samninga og dómsmál (40.– 45. gr.)
Þetta svið tekur stöðugum breytingum, eins og ESB álítur nýja áætlun ESB og Bandaríkjanna um „einkalífsskjöld“ í kjölfar úrskurðar Evrópudómstólsins í svo kölluðu Schrems-máli en um þessar mundir halda flest fyrirtæki áfram að nota fyrirmyndarsamninga til að flytja gögn til þriðju landa en þau njóta ekki hagræðis af ákvörðunum ESB um „hvað sé fullnægjandi“.
Fullnusta
Reglugerðin sér fyrir, eins og tilskipunin, fullnustu bæði varðandi milligöngu eftirlitsyfirvalda og dómstóla með refsi- og stjórnsýsluviðurlög ásamt úrræðum einkamálaréttar. Reglugerðin gengur þó lengra varðandi stjórnsýsluviðurlögin sem geta numið allt að 20 milljón evrum eða 4% af árlegum tekjum fyrirtækis í ákveðnum tilfellum (79. gr.)
Innlend eftirlitsyfirvöld hafa þegar tekið við að endurskoða breytingar á stjórnsýslu- og rannsóknarmeðferðum sem reglugerðin mun knýja fram. Af því leiðir að sumir munu gera meiri fyrirbúnað en aðrir við beitingu valdheimilda.
Vafrakökur (cookies) o.s.frv.
Reglugerðin leysir ekki af hólmi tilskipunina um friðhelgi einkalífs á Netinu, þ.m.t. breytingar árið 2009 sem leiddu af sér svokallaðar „vafrakökureglur“. Framkvæmdastjórnin athugar nú hvort breytinga sé þörf en ný fyrirtæki ættu að búast við að halda áfram að hlíta reglufylgni við kröfur sem geta verið ólíkar á milli landa varðandi birtingu sprettiglugga (e. pop-up windows) með tilkynningum, tengla á friðhelgisstefnir eða möguleika á að samþykkja vafrakökur (e. Cookies), GIF-hreyfimyndir eða aðra hugbúnaðarþætti á vefsetrum.
Áhrif reglugerðarinnar utan ESB
Reglugerðin mun gilda á Evrópska efnahagssvæðinu til viðbótar öllum 28 aðildarríkjum ESB. Ríkin þrjú í Evrópska efnahagssvæðinu sem eru ekki í ESB (Noregur, Ísland og Liechtenstein) munu falla undir reglugerðina þegar hlutaðeigandi yfirvöld í þeim löndum hafa formlega innleitt gerðina og staðfest hana (15. júlí á Íslandi).
Líklegt er að aðrar þjóðir sem hafa innleitt lög sem byggð eru að miklum hluta á gagnaverndartilskipun ESB frá 1995, þ.m.t. Sviss og Ísrael, munu íhuga alvarlega að gera breytingar í takt við þær sem endurspeglast í reglugerðinni. Að lokum gætu þau orðið að innleiða slíkar breytingar til að viðhalda ákvörðunum ESB um hvað sé fullnægjandi en ólíklegt er að ESB krefjist þess af þeim á allra næstu árum.
Hvað á nú að gera?
Fyrirtæki þurfa að huga að mörgum þáttum sem þurfa að vera komin í lag 15. júlí 2018 þegar almenna persónuverndarreglugerðin tekur gildi hér á Íslandi því að íslensk löggjöf hefur ekki enn fallið beint undir lög ESB um friðhelgi einkalífsins. Hér eru nokkrar tillögur fyrir lönd sem falla ekki undir reglugerðina:
- Fyrirtæki sem starfa í Evrópu: Undirbúningur fyrir að hlíta ákvæðum reglugerðarinnar.
- Fyrirtæki sem ekki eiga staðfestu í Evrópu en selja vörur eða þjónustu, eða fylgjast með, neytendum í Evrópu. Undirbúningur fyrir að hlíta ákvæðum reglugerðarinnar og finna fulltrúa til að starfa innan ESB, ef við á.
- Stofna til eða uppfæra skjalfestingu á meðferð persónulegra upplýsinga þinna og öryggisráðstafana, einnig tilkynningar um váatvik og málsmeðferð við tilkynningu á öryggisrofum og sniðmát fyrir mat á áhrifum á friðhelgi einkalífs og áhættumat. Góðar fyrirmyndir eru tiltækar.
- Endurskoða hvernig ákvæðum um gagnavernd er fylgt í samningum sem taka gildi í ESB frá og með 25. maí 2018 en á Íslandi 15. júlí 2018.
- Athuga hvort ekki bæri að staðfesta alþjóðlega samþykkta öryggisstjórnunarstaðla (ISO 27001/27002) þar sem auðveldara er að skilja þá í Evrópu og verður líkast til vísað til þeirra í framkvæmdarráðstöfunum framkvæmdastjórnar Evrópusambandsins.
- Endurskoða og uppfæra stefnu þína varðandi friðhelgi einkalífsins og samskipti þar sem fresturinn til breytinga nálgast (15. júlí á Íslandi) að því er varðar áheyrendur í ESB.
- Ráða til starfa og þjálfa einstaklinga sem gætu tekið að sér störf gagnaverndarfulltrúa eða greina aðila utan fyrirtækis sem gætu tekið það að sér.
- Endurskoða áætlanir um vöruþróun og markaðssetningu á ESB-markaði í ljósi hugsanlegrar reglufylgni.