SA telur ekki hafa verið mikla þörf fyrir nýja persónuverndarlöggjöf

Í gær var ár liðið frá því að GDPR, persónuverndarlöggjöf Evrópusambandsins tók gildi hér á landi. Um var að ræða umfangsmestu breytingar sem gerðar hafa verið á persónuverndarlöggjöfinni í tvo áratugi.

Þórður Sveinsson, skrifstofustjóri lögfræðisviðs hjá Persónuvernd, telur að áhrif löggjafarinnar séu ekki enn að fullu komin fram:

„Eins og ávallt þegar ný löggjöf tekur gildi má gera ráð fyrir að ýmis atriði mótist nánar við framkvæmd hennar.“ Þar sem um sé að ræða löggjöf frá Evrópusambandinu, beri líka að taka mið af túlkun stofnanna sambandsins og beitingu hennar í öðrum ríkjum á Evrópska efnahagssvæðinu (EES).

Þórður segir að ein helsta breytingin sem innleiðingin hafi fært með sér sé að persónuverndarlögin nái nú líka til fyrirtækja utan EES ef þau meðhöndla upplýsingar sem tengjast einstaklingum hér á landi, og sú meðhöndlun tengist vörum eða þjónustu sem Íslendingum býðst á Evrópska efnahagssvæðinu.

Einnig kveður löggjöfin á um að fyrirtæki haldi skrá um alla vinnslu persónuupplýsinga og „að í ákveðnum tilvikum skuli fara fram mat á áhrifum á persónuvernd áður en vinnsla persónuupplýsinga hefst.“

Persónuvernd glímir enn við afleiðingar undirmönnunar

Í kjölfar þess að nýja persónuverndarlöggjöfin tók gildi birti stofnunin leiðbeiningar sem ætlað var skýra betur innleiðinguna, svaraði fjölda fyrirspurna og reyndi að stuðla að almennri vitundarvakningu um áhrif laganna með fyrirlestraferð víða um land. Þórður segir að Persónuvernd vonist til að þessar aðgerðir hafi auðveldað góða innleiðingu GDPR löggjafarinnar.

Þó hafi stofnunin á sama tíma einnig þurft að glíma við mikinn fjölda uppsafnaðra eldri mála í kjölfar þess að stofnunin var mjög undirmönnuð um langt hríð. Nýlega hafi starfsmönnum fjölgað talsvert hjá Persónuvernd, en enn sé verið að vinna niður gömul mál frá því fyrir gildistökuna. Opnum málum hjá stofnuninni hafi þó fækkað úr 1200 um síðustu áramót niður í rúmlega 600.

Þórður segir jafnframt að af þeim fjölda erinda sem Persónuvernd berist megi ætla að fyrirtækjum sé almennt umhugað um að fylgja kröfum reglugerðarinnar.

Segir innleiðinguna hafa verið flókna fyrir mörg fyrirtæki

Davíð Þorláksson, forstöðumaður samkeppnishæfnisviðs hjá Samtökum atvinnulífsins segir að innleiðing löggjafarinnar hafi reynst flókin fyrir mörg fyrirtæki, en að honum sýnist að fyrirtækjum „hafi upp til hópa gengið þokkalega vel að innleiða þetta.“

Það hafi hins vegar verið mjög kostnaðarsamt fyrir mörg fyrirtæki og að erfitt sé að leggja mat á þann kostnað sem hafi fylgt nýju löggjöfinni. Mikið umstang hafi fylgt innleiðingunni fyrir fyrirtæki og hafi mörg þeirra þurft að sækja sér ráðgjöf sérstaklega vegna þessa.

Ekki viss um hvort að mikið umstang hafi skilað markverðum breytingum

„Maður spyr sig líka hvort að almenningur, bara venjulegt fólk eins og ég og þú upplifi sínar persónuupplýsingar eitthvað öruggari núna en fyrir ári síðan . Ég er ekki viss um það að þetta gríðarlega umstang hafi skilað sér þannig að upplýsingarnar séu nú eitthvað öruggari.“ Davíð segist þó vona að svo sé raunin.

„Ég held í rauninni að það hafi ekki verið mjög mikil og knýjandi þörf á þessu, almennt hafi fyrirtæki verið að ganga mjög vel um persónuupplýsingar fólks fyrir þetta. Við höfum verið með fína löggjöf.“ Hins vegar segist Davíð átta sig á því að þetta sé einfaldlega hluti af því að vera aðili að Evrópska efnahagssvæðinu.

Samtökum atvinnulífsins er ekki kunnugt um að nokkur fyrirtæki hafi þurft að gera veigamiklar breytingar á rekstri sínum með tilkomu nýju löggjafarinnar.

Davíð segir SA fagna því að Persónuvernd hafi tekið þá stefnu að reyna að aðstoða fyrirtæki við innleiðinguna:

„Auðvitað er það jákvætt þegar stjórnvöld setja sig frekar í það hlutverk að reyna að hjálpa einstaklingum og fyrirtækjum að fara að lögum, í stað þess að reyna að góma menn fyrir að brjóta á einhverjum tæknilegum reglum.“