Nú klukkan 14 hófst málþing um áhrif nýrrar löggjafar um persónuvernd á heilbrigðisgeirann á Íslandi, sem innleidd verður hér á landi í maí. Er um mestu breytingar á lögum um persónuvernd að ræða í 20 ár.
Vigdís Eva Líndal er skrifstofustjóri upplýsingaöryggis hjá Persónuvernd og frummælandi á málþinginu. Hún segir löggjöfina gera þá kröfu til íslenskra fyrirtækja og stofnana, að vera meira fyrirbyggjandi þegar kemur að notkun persónuupplýsinga:
„Verið að leggja auknar skyldur á íslensk fyrirtæki og stofnanir með því sem kallast ábyrgðarskylda. Það felur það í sér að þeir sem vinna með persónuupplýsingar þurfa að geta sýnt fram á að verið sé að fara eftir persónuverndarlöggjöfinni. Það er hægt að gera það með ýmsum hætti, til dæmis geta þau skipað persónuverndarfulltrúa, sem allar opinberar stofnanir munu þurfa að gera, en það er fyrirkomulag sem vel er þekkt í Evrópu. Nú þurfa því fyrirtæki og stofnanir að vera meira fyrirbyggjandi, við höfum verið svolítið eftiráþenkjandi hingað til hérna á Íslandi, það hefur aldrei neitt verið gert í málunum fyrr en persónuvernd bankar upp á með kvörtun, en nú þurfa menn að hafa sína ferla á hreinu.“
Vigdís segir að einstaklingar muni taka eftir ýmsum breytingum, ekki síst í samskiptum við erlend stórfyrirtæki sem sýsla með persónuupplýsingar, á borð við Facebook og Google:
„Okkar daglega líf hefur umturnast með nýrri tækni og stórfyrirtækjum sem eru að miðla persónuupplýsingum milli landa. Gamla löggjöfin, sem átti að vera tæknilega hlutlaus, var í raun farin að hindra ákveðið flæði á markaði, meðan í nýju löggjöfinni er miðað að því að einfalda ferlið gagnvart fyrirtækjum en um leið styrkja rétt einstaklinga. Upplifunin er sú að í þessu stafræna lífi sem við lifum í dag höfum við ekki alltaf nægilega stjórn á okkar eigin upplýsingum, ef við hugsum um Facebook og Google til dæmis, sem eru sífellt að greina okkur og fylgjast með okkur. Með nýju löggjöfinni er til dæmis komið í veg fyrir að notendur snjallforrita og annarrar tækniþjónustu, þurfi að lesa til hlítar hina gríðarmiklu lögfræðitextabálka fyrirtækjanna, notendaskilmálana, áður en þeir ákveða að nota þjónustuna, því þeir verða í raun bannaðir. Í staðinn verður sú útfærsla einfölduð til muna fyrir notandann og tekið fram hvað gert verður við hans persónuupplýsingar.“
Helstu breytingarnar á nýju persónuverndarlöggjöfinni má lesa hér að neðan, en þær eru fengnar af heimasíðu Persónuverndar.
Þú átt rétt á því að upplýsingar sem þú lætur af hendi, á grundvelli samþykkis eða samnings, til fyrirtækja eða annarra sem veita þjónustu á Netinu, verði fluttar að þinni beiðni til annarra aðila á borð við samfélagsmiðla, netþjónustur eða streymiþjónustur. Þú átt einnig rétt á því að fá persónuupplýsingar þínar á hefðbundnu sem og stafrænu formi.
Í desember 2016 gaf evrópskur vinnuhópur í persónuverndarmálefnum, s.k. 29. gr. vinnuhópur, út fyrstu leiðbeiningarnar vegna hinnar nýju Evrópulöggjafar m.a. leiðbeiningar um hreyfanleika gagna (e. Data Portability) sem unnt er að nálgast hér.
Einnig gaf vinnuhópurinn út yfirlit með algengum spurningum og svörum um hreyfanleika gagna sem unnt er að nálgast hér.
Samþykki þitt þarf ávallt að vera veitt með skýrri staðfestingu, s.s. með skriflegri yfirlýsingu. Yfirlýsingin þarf að vera ótvíræð, gefin af fúsum og frjálsum vilja og ná til allra aðgerða sem framkvæmdar eru. Þögn þín, aðgerðaleysi og rafrænt hak, sem gerir fyrirfram ráð fyrir samþykki þínu, flokkast ekki sem samþykki.
Þú átt rétt á því að fyrirtæki, stofnanir og aðrir veiti þér upplýsingar um vinnslu og meðferð persónuupplýsinga um þig á hnitmiðuðu, skiljanlegu og aðgengilegu formi og á skýru og einföldu máli. Upplýsingar má veita skriflega eða á annan hátt, m.a. með rafrænum hætti, og skulu þær veittar eigi síðar en mánuði frá því að ósk barst. Með þessu veist þú hvernig unnið er með persónuupplýsingar um þig og það er auðveldara fyrir þig að nýta lögbundinn rétt þinn.
Netþjónustur (t.d. samfélagsmiðlar) verða að afla samþykkis foreldra áður en börn undir 16 ára aldri skrá sig í slíka þjónustu. Einstök aðildarríki geta kveðið á um lægra aldurstakmark í landslögum en þó ekki lægra en 13 ára. Fræðsla sem ætluð er börnum skal vera á skýru og einföldu máli.
Ef ágreiningur rís um vinnslu eða meðferð persónuupplýsinga einstaklinga hafa þeir val um til hvaða persónuverndarstofnunar í Evrópu þeir leita. Í fyrsta lagi getur þú haft samband við persónuverndarstofnun í heimalandi þínu, þar sem þú hefur fasta búsetu, óháð því hvar í heiminum sá aðili er staddur sem þú telur brjóta á réttindum þínum. Í öðru lagi getur þú leitað til persónuverndarstofnunar í því landi sem þú starfar í. Í þriðja lagi getur þú leitað til persónuverndarstofnunar í því landi þar sem meint brot á meðferð persónuupplýsinga þinni átti sér stað.
Í desember 2016 gaf evrópskur vinnuhópur í persónuverndarmálefnum, s.k. 29. gr. vinnuhópur, út fyrstu leiðbeiningarnar vegna hinnar nýju Evrópulöggjafar m.a. leiðbeiningar um samvinnu evrópskra persónuverndarstofnana sem unnt er að nálgast hér.
Einnig gaf vinnuhópurinn út yfirlit með algengum spurningum og svörum um samvinnu persónuverndarstofnana sem unnt er að nálgast hér.
Þú átt rétt á því í vissum tilvikum að persónuupplýsingar um þig séu leiðréttar eða þeim eytt, t.d. ef upplýsingarnar eru ekki lengur nauðsynlegar í þágu þess tilgangs sem þeirra var upphaflega aflað í. Einnig getur þú óskað eftir því að leitarvélar á Netinu afmái leitarniðurstöðu um þig, að tilteknum skilyrðum uppfylltum, ef hún hefur neikvæð áhrif á friðhelgi einkalífs þíns.
Fyrirtæki og stofnanir verða að tryggja að þú getir notið þessara réttinda. Ef fyrirtæki brýtur gegn reglunum mun Persónuvernd hafa heimild til að sekta viðkomandi fyrirtæki eða kveða á um önnur þvingunarúrræði samkvæmt lögunum.