14. maí 2018 09:46
Faghópur um persónuvernd hélt sinn fyrsta fund í morgun í Origo og var fullbókað á fundin. Arna Hrönn Ágústsdóttir, lögfræðingur og persónuverndarfulltrúi Origo fjallaði um hlutverk persónuverndarfulltrúa, helstu verkefni persónuverndarfulltrúa, helstu áskorunum í starfi hans, hvað ber að varast o.s.frv. Jafnframt kynnti Arna ferlið að öðlast CIPP/E og CIPM vottun en hún hefur lokið CIPP/E vottun. Elfur Logadóttir LL.M. í upplýsingatæknirétti flutti erindi um muninn á Privacy policy og Privacy notice.
Arna byrjaði erindi sitt á að fjalla um hverjir þurfa að skipa persónuverndarfulltrúa. Fyrirtæki eða stofnanir geta haft sameiginlegan persónuverndarfulltrúa en hann þarf að vera aðgengilegur fyrir alla. Ef fyrirtæki skipar ekki persónuverndarfulltrúa en ber lagaleg skylda til þá liggja fyrir háar sektir. Persónuverndarfulltrúinn þarf að hafa skilning á vinnslustarfseminni sem fer fram. Miklu máli skiptir að efla vitundina hjá starfsfólkinu, hvað er verið að gera með persónuupplýsingar, fá starfsfólkið til að spila með.
Persónuverndarfulltrúi þarf ekki endilega að vera lögfræðingur en hann þarf að hafa skilning á lagaframkvæmdinni og upplýsingatækni. Mikilvægt er að hafa góðan stuðning frá lögfræðingi. Það mun koma ISO vottun fyrir GDPR.
Persónuverndarfulltrúi þarf að hafa stuðning æðstu yfirmanna og nægan tíma til að sinna starfinu. Starfið getur verið hlutastarf í sumum hlutföllum og fullt starf í öðrum. Hann þarf líka að geta myndað teymi og hann þarf stuðning frá upplýsingatæknideild og mannauðsdeild. Einnig þarf þessi fulltrúi að mennta sig stöðugt og viðhalda þekkingu sinni. Persónuverndarfulltrúi þarf sjálfstæði í störfum, á ekki að heyra undir neina deild heldur heyra beint undir forstjóra. Ekki má reka hann eða refsa honum fyrir störf sín sem persónuverndarfulltrúi en að sjálfsögðu má refsa honum fyrir annars konar brot. Persónuverndarfulltrúi skal ekki taka ákvörðun um tilgang eða aðferðir við vinnslu persónuupplýsinga. Persónuverndarfulltrúi má ekki undir neinum kringumstæðum taka sjálfan sig út s.s. vera með marga hatta.
Helstu verkefni persónuverndarfulltrúa eru að hann þarf að vera lykilmaður í að efla persónuverndarvitund, vera góður í samskiptum og fá alla til að vinna með sér. Hann þarf að innleiða og hafa eftirfylgni með verklagreglum og ferlum, veita starfsmönnum ráðgjöf, sjá um starfsmannaþjálfun er varða persónuupplýsingar, sjá um innri úttektir, hann er tengiliður við eftirlitsyfirvaldið, áhættustýring og hafa eftirlit með vinnsluskrám.
Varðandi úthýsingu þá getur verið kostur fyrir minni fyrirtæki að gera það. Ókosturinn gæti verið sá að þetta gæti verið kostnaðarsamt. Helstu áskoranir persónuverndarfulltrúans eru að starfsmenn fari eftir verklagsreglum og ferlum, framkvæmd mats á áhrifum á persónuvernd (MÁP), að sjálfstæði og óhæði í starfi PVF sé tryggt, nýtt lögbundið starfshlutverk sem fylgir óvissa um framkvæmd og brot á lögbundinni þagnaskyldu – hversu víðtæk er þagnaskyldan.
Elfur Logadóttir hjá ERA fræddi félaga um Privacy policy og Privacy notice. Er þetta það sama? Hvað segir reglugerðin? Hver eru skilaboðin sem verið er að senda okkur?
Reglugerðin segir í 2.gr. að vinnustaðir skulu gera ráðstafanir sem fela í sér að ábyrgðaraðili innleiði viðeigandi persónuverndarstefnur. Mikilvægt er að vera með stjórnkerfi í fyrirtækinu en hvað er stjórnkerfi? Það er reglustjórn fyrirtækja þ.e. að ná utan um þær reglur sem gilda fyrir reksturinn og byggja upp vinnubrögð og hugarfar til samræmis. Stjórnkerfið rammar inn starfshættina, styrkir mikilvægustu rekstrarþættina, aðstoðar við stýringu á áhættu og stuðlar að gagnæi í rekstri, gæðastjórnkerfi, öryggisstjórnkerfi, umhverfisstjórnkerfi. Í hverju einasta stjórnkerfi eru meginskjöl: stefna, verklagsregla, vinnulýsingar og eyðublöð. En hvar er þá persónuverndarstefnan? Elfur sýndi stefnuskjöl OR þ.e. gæðastefnu og upplýsingaöryggisstefnu.
Í persónuverndarstefnunni á að vera hægt að sjá hvað fyrirtæki eru að gera. Stefnur segja alltaf til um hvað fyrirtækin eru að gera og að baki þeim eru tonn af reglum. Persónuverndarstefnan á að vera á heimasíðu fyrirtækja og vera mjög auðlesanleg.