Unnið að upptöku nýrrar persónuverndarreglugerðar ESB og innleiðingu í landsrétt
Fyrir dyrum standa umfangsmestu breytingar sem gerðar hafa verið á persónuverndarlöggjöf Evrópusambandsins (ESB). Breytingarnar leiða af reglugerð (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga sem kemur til framkvæmda innan Evrópusambandsins 25. maí 2018. Dómsmálaráðuneytið hvetur fyrirtæki og stofnanir sem vinna með persónuupplýsingar til að hefja undirbúning fyrir nýtt regluverk hið fyrsta, séu þau ekki byrjuð á því.
Hin nýja reglugerð mun ekki taka til Íslands fyrr en hún hefur verið tekin upp í EES-samninginn með formlegum hætti. Upptökuferlið á reglugerðinni er í fullum gangi og er það markmið allra aðila sem koma að því að þoka því áfram eins hratt og mögulegt er til að gildistakan í lok maí 2018 muni einnig taka til Íslands og hinna EFTA-ríkjanna innan EES.
Starfshópur skipaður
Samhliða upptöku reglugerðarinnar í EES-samninginn er unnið að undirbúningi að innleiðingu reglugerðarinnar í íslensk lög. Unnið er að frumvarpi til nýrra persónuverndarlaga en dómsmálaráðuneytið hefur fengið Björgu Thorarensen, prófessor í lögfræði við Háskóla Íslands og formann stjórnar Persónuverndar, til að semja frumvarpið. Björgu til aðstoðar er starfshópur með eftirfarandi fulltrúum: Rósa Dögg Flosadóttir, frá dómsmálaráðuneyti, Vigdís Eva Líndal og Þórður Sveinsson, frá Persónuvernd og Baldur Már Bragason, frá rekstrarfélagi Stjórnarráðsins. Áformað er að frumvarpið verði tilbúið um miðjan janúar 2018. Áætlað er að hefja eiginlegt samráð í tengslum við það með almenningi og hagsmunaaðilum um svipað leyti og jafnvel nokkru fyrr.
Auk frumvarps til nýrra persónuverndarlaga verður samið frumvarp sem tekur til breytinga á þeim lögum sem vísa til gildandi persónuverndarlaga eða fela í sér heimildir eða skyldu til vinnslu persónuupplýsinga en þau eru talsvert mörg. Dómsmálaráðuneytið mun einnig halda utan um það verkefni með aðkomu annarra ráðuneyta.
Brýnt að allir aðilar hefji undirbúning
Þrátt fyrir að ekki liggi fyrir á þessari stundu hver verður dagsetning á gildistöku á skuldbindingum Íslands er brýnt að allir sem vinna með persónuupplýsingar hefji eigin undirbúning fyrir hið nýja regluverk. Víðtækt landfræðilegt gildissvið reglugerðarinnar gerir það að verkum að frá og með 25. maí 2018 mun efni reglugerðarinnar undir ákveðnum kringumstæðum taka til íslenskra aðila sem vinna með persónuupplýsingar einstaklinga innan ESB, jafnvel þótt gerðin verði ekki komin í EES-samninginn á þeim tíma. Í fyrsta lagi mun reglugerðin gilda um þá vinnslu persónuupplýsinga af hálfu íslenskra aðila sem tengist því að bjóða einstaklingum innan ESB vöru eða þjónustu, án tillits til þess hvort það er gert gegn greiðslu eða ekki. Í öðru lagi mun reglugerðin gilda um vinnslu íslenskra aðila í tengslum við eftirlit með hegðun einstaklinga að svo miklu leyti sem hegðun þeirra á sér stað innan ESB, s.s. til að rekja slóð einstaklinga á Netinu eða þegar notuð eru persónusnið. Þau fyrirtæki og stofnanir sem stunda framangreinda vinnslu persónuupplýsinga einstaklinga innan ESB þurfa því að standast kröfur reglugerðarinnar frá og með 25. maí 2018 jafnvel þótt upptöku- og innleiðingarvinnu verði ekki lokið.
Gagnlegar upplýsingar fyrir fyrirtæki og stofnanir eru á vef Persónuverndar. Þar má að auki finna tengla á vefsíður evrópskra persónuverndarstofnana, sem hafa gefið út leiðbeiningar, auk tengla á leiðbeiningar svonefnds 29. gr. vinnuhóps (samstarfsvettvangur forstjóra persónuverndarstofnana í Evrópu) um afmarkaða þætti í hinni nýju löggjöf.
- Sjá nánar á vef Persónuverndar
- Tenglar á erlendar systurstofnanir Persónuverndar