Ný persónuverndarlöggjöf og áhrif á vinnu endurskoðenda
Nýverið braut Evrópusambandið blað í sögu persónuverndar þegar sambandið samþykkti nýja reglugerð um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga (e. General Data Protection Regulation, hér eftir GDPR). Hin nýja reglugerð er umfangsmikil og fellir úr gildi eldri tilskipun á þessu sviði. Litlar sem engar breytingar höfðu verið gerðar í þessum málaflokki frá árinu 1995 og er það m.a. markmið hinnar nýju reglugerðar að færa einstaklingum aukin réttindi og stjórn yfir eigin persónuupplýsingum í síbreytilegu tækniumhverfi. Óumdeilanlega er hér um að ræða stærstu breytingar á þessu sviði í áraraðir og ljóst að nær öll fyrirtæki þurfa að bregðast við þeim auknu kröfum sem hin nýja löggjöf felur í sér. Dýrkeypt getur reynst að sofna á verðinum enda hafa yfirvöldum með reglugerðinni verið veittar umfangsmiklar og áður óþekktar sektar- og eftirlitsheimildir. Þrátt fyrir að reglugerðin hafi nú þegar verið samþykkt þá hefur aðildarríkjum sambandsins verið veittur aðlögunartími til 25. maí nk. Vernd persónuupplýsinga er talinn hluti af EES-samningnum og mun löggjöfin því verða tekin upp í íslenskan rétt en verður þó fyrst að hljóta þinglega meðferð Alþingis.
Þrátt fyrir að ekki liggi fyrir á þessari stundu hver verður dagsetning á gildistöku á skuldbindingum Íslands er brýnt að allir sem vinna með persónuupplýsingar hefji undirbúning fyrir hið nýja regluverk. Víðtækt gildissvið reglugerðarinnar gerir það að verkum að efni hennar mun í ákveðnum kringumstæðum taka til íslenskra aðila sem vinna með persónuupplýsingar einstaklinga innan ESB, jafnvel þótt reglugerðin verði ekki komin í EES-samninginn á þeim tíma.
Ábyrgðar- eða vinnsluaðili?
Samkvæmt hinni nýju löggjöf er mikilvægt að skilgreina í upphafi hvort að fyrirtæki, eða deildir innan fyrirtækja, sem vinna með persónugreinanlegar upplýsingar teljist vera ábyrgðaraðilar eða vinnsluaðilar þeirra upplýsinga sem unnið er með. Á grundvelli þeirrar ákvörðunar er í kjölfarið hægt að skilgreina þá ábyrgð sem á fyrirtækinu hvílir. Ábyrgðaraðili telst í stuttu máli vera sá lögaðili eða einstaklingur sem ákvarðar tilgang og aðferð við vinnslu persónuupplýsinga. Vinnsluaðili er svo sá einstaklingur eða lögaðili sem vinnur persónuupplýsingarnar á vegum ábyrgðaraðilans. Skyldur ábyrgðaraðila eru töluvert umfangsmeiri en skyldur vinnsluaðila og afmarkar hann að nokkru leyti einnig skyldur vinnsluaðilans.
Það getur verið matsatriði í hvort hlutverkið fyrirtækjum ber að skipa sér og skiptar skoðanir virðast vera uppi um það hvert hlutverk endurskoðenda á að vera í þessum skilningi. Nú þegar hefur Alþjóðaviðskiptastofnunin í Bretlandi sent frá sér álit þar sem hún flokkar endurskoðunarskrifstofur sem ábyrgðaraðila og byggir hún það álit á eðli og sjálfstæði starfsstéttarinnar í störfum sínum. Þrátt fyrir það hafa stéttir endurskoðenda í öðrum löndum einnig fært góð rök fyrir því að eðlilegast væri að flokka slík fyrirtæki sem vinnsluaðila. Ekki verður tekin afstaða til þess hér hvort endurskoðunarskrifstofur skuli teljast vera vinnsluaðilar eða ábyrgðaraðilar í skilningi hinna nýju laga en eðlilegt hlýtur að teljast að eftirlitsyfirvöld hér á landi sendi frá sér leiðbeinandi álit hvað það varðar.
Helstu atriði sem endurskoðendur þurfa að beina sjónum að
Hin nýja reglugerð mun ná jafnt til endurskoðenda sem og annarra sem vinna á einhvern hátt með persónugreinanleg gögn, hvort sem það eru viðskiptamenn eða starfsmenn. Endurskoðendur munu því að öllum líkindum þurfa að breyta starfsháttum sínum töluvert til að uppfylla ákvæði GDPR. Auknar skyldur samkvæmt GDPR munu fela í sér aukna og nákvæmari skjölun en áður, auk þess sem upplýsingaskylda þeirra gagnvart hinum skráða einstaklingi er meiri en áður.
Eftirfarandi atriði er meðal þess sem endurskoðendur þurfa að gera til þess að uppfylla þær nýju kröfur sem til þeirra verða gerðar:
- Skilgreina þau persónugreinanlegu gögn sem unnið er með. Mikilvægt er að fyrirtæki séu meðvituð um með hvaða leiðum gögnin berast, hvernig vinnsla þeirra fer fram og hvaða upplýsingakerfi eru notuð, hvernig og hversu lengi þau eru vistuð og hvernig er staðið að eyðingu.
- Útbúa þarf ítarlega vinnsluskrá þar sem haldið er utan um hvernig vinnslu persónuupplýsinga er háttað innan fyrirtækisins.
- Huga þarf að því á hvaða heimild vinnsla persónuupplýsinga grundvallast. Ef hún grundvallast á samþykki hins skráða einstaklings er mikilvægt að slíks samþykkis sé aflað með fullnægjandi hætti. Starfshópur á vegum Evrópusambandsins hefur nú sent frá sér nánari upplýsingar um það hvernig slíkt samþykki skuli útfært. Líklega er algengara hjá endurskoðendum að vinnslan byggi á samningi eða lagaheimild og í þeim tilfellum þarf að ganga úr skugga um að þeir samningar uppfylli kröfur GDPR. Hér er líka mikilvægt að tekið sé tillit til krafna annarra laga sem endurskoðendur starfa eftir, s.s. krafna um geymslutíma gagna.
- Í þeim tilvikum sem tiltekin vinnsla persónuupplýsinga getur haft í för með sér mikla áhættu fyrir einstaklinga ber fyrirtækjum að framkvæma svokallað mat á áhrifum á persónuvernd (e. Privacy Impact Assessments). Mikilvægt er að fyrirtæki átti sig á því hvenær nauðsynlegt er að framkvæma slíkt mat og geti brugðist við með fyrirfram ákveðnum aðgerðum.
- Mikilvægt er að yfirfara öll öryggismál er varða persónuvernd, fræða starfsfólk um meðferð persónuupplýsinga og útbúa verkferla um hvernig brugðist skuli við öryggisbrestum í samræmi við ströng skilyrði GDPR.
- Tryggja þarf að fyrirtækið sé í stakk búið til að bregðast við auknum réttindum þeirra einstaklinga sem persónuupplýsingarnar lúta að. Einstaklingurinn mun þannig hafa mun meiri rétt til upplýsinga um vinnslu upplýsinganna og aukið aðgengi að þeim gögnum sem unnið er með. Viðskiptamenn gætu einnig í ákveðnum tilvikum átt rétt á því að „gleymast“, þ.e. að persónuupplýsingum um þá verði eytt. Eins getur hann átt rétt á því að vinnsla gagnanna verði takmörkuð eða gögnin leiðrétt, sé þess þörf.
- Endurskoða þarf allt markaðsstarf sem beint er að einstaklingum svo tryggt sé að það uppfylli kröfur hinnar nýju löggjafar.
- Yfirfara þarf persónuverndarstefnur og yfirlýsingar á þann hátt að þær uppfylli gerðar kröfur um upplýsingar sem þurfa að vera aðgengilegar einstaklingum.
- Yfirfara þarf og uppfæra þá samninga sem gerðir hafa verið við þriðju aðila og tryggja að vinnslusamningar séu ávallt til staðar.
Langhlaup en ekki sprettur
Það er ljóst að ákvæði GDPR fela í sér kröfur um aukna og nákvæmari skjölun um vinnslu persónuupplýsinga hjá endurskoðendum og líkt og sjá má hér að ofan er í mörg horn að líta. Það er mikilvægt að stjórnendum fyrirtækja og endurskoðendum sé það ljóst að innleiðing fullnægjandi persónuverndar í samræmi við hina nýju löggjöf er ekki afmarkað og tímabundið verkefni. Þvert á móti er nauðsynlegt að fyrirtæki tileinki sér breytta starfshætti til framtíðar sem fléttast inn í dagleg verkefni stjórnenda og starfsmanna. Starfsmenn þurfa þannig að vera meðvitaðir um hlutverk sín og skyldur og þær afleiðingar sem brot gegnum persónuverndarlögum geta haft í för með sér. Hér er því um sannkallað langhlaup að ræða ef vel á að vera.