Hlutverk og skyldur Persónverndarfulltrúa

Ráðgjöf vegna persónuverndar felst aðallega í því að aðstoða fyrirtæki við að uppfylla ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 og svara spurningum um einstök atriði þeirra laga og GDPR reglugerðarinnar. Við ráðgjöf af þessu tagi koma upp spurningar og álitaefni af margvíslegum toga en ein algengasta spurningin varðar stöðu, verkefni og skipan persónuverndarfulltrúa. Í þessari grein verður leitast við að skoða helstu atriði varðandi stöðu persónuverndarfulltrúa.

Í lögunum koma fram tiltekin skilyrði varðandi skipan persónuverndarfulltrúa og á vef Persónuverndar segir að skipa skal persónuverndarfulltrúa ef eitt eða fleiri neðan greindra skilyrða er uppfyllt óháð stærð fyrirtækis :

  • Vinnsla fer fram hjá stjórnvaldi (óháð því hvaða persónuupplýsingar eru unnar). Það sama á við um sveitarfélög.
  • meginstarfsemi ábyrgðaraðila eða vinnsluaðila lýtur að vinnsluaðgerðum, sem fela í sér umfangsmikið, reglubundið og kerfisbundið eftirlit með einstaklingum.
  • meginstarfsemi ábyrgðaraðila eða vinnsluaðila er umfangsmikil vinnsla viðkvæmra persónuupplýsinga eða persónuupplýsingar er varða sakfellingar í refsimálum og refsiverð brot.“

Það má segja að öll þau fyrirtæki og stofnanir sem undirritaður hefur unnið fyrir, falla undir þessi ákvæði sem þýðir að skipan persónuverndarfulltrúa hefur verið nauðsynleg. Þá hafa þær spurningar komið upp hjá okkar viðskiptavinum hverjar séu hæfniskröfur og skyldur persónuverndarfulltrúa.

Upplýsingar um slíkt er einnig að finna á vef Persónuverndar er þar segir að (tilvitnun skálletrað) :

Persónuverndarfulltrúi skal tilnefndur á grundvelli faglegrar hæfni sinnar, einkum sérþekkingar á persónuverndarlögum og lagaframkvæmd á því sviði, auk getu sinnar til að vinna þau verkefni sem honum eru falin í reglugerðinni.

Við mat á því hvaða kröfur þarf að gera til sérþekkingar persónuverndarfulltrúans þarf að hafa hliðsjón af þeirri vinnslu persónuupplýsinga sem fer fram og þeim kröfum sem gerðar eru til verndar þeirra persónuupplýsinga sem vinnslan lýtur að. Þegar vinnsla persónuupplýsinga er mjög flókin eða þegar um er að ræða umfangsmikla vinnslu viðkvæmra upplýsinga þarf að gera ríkari kröfur til sérþekkingar persónuverndarfulltrúans og þess stuðnings sem hann getur þarfnast.

  • Mikilvæg hæfni og sérþekking getur t.d. verið:
  • sérþekking á innlendum og evrópskum persónuverndarlögum og lagaframkvæmd á því sviði,
  • skilningur á þeirri vinnslu sem fram fer,
  • skilningur á öryggis- og upplýsingatæknimálum,
  • þekking á starfsemi fyrirtækisins,
  • geta til að efla persónuverndarmenningu hjá viðkomandi stofnun/fyrirtæki.
  • Ef um stjórnvöld er að ræða ætti persónuverndarfulltrúinn að hafa þekkingu á stjórnsýslulögum svo og þeim lögum er varða umrædda starfsemi.

Rétt er að taka fram að persónuverndarfulltrúar þurfa ekki að hafa sérstaka vottun sem persónuverndarfulltrúar til að geta gegnt umræddu starfi, þó svo að vissulega geti slík vottun verið til marks um að viðkomandi hafi a.m.k. einhverja þekkingu á persónuverndarlöggjöf. Þá er ekki gert að skilyrði að persónuverndarfulltrúinn sé lögfræðingur, en viðkomandi þarf engu að síður að hafa greinargóða þekkingu á persónuverndarreglugerðinni og öðrum lögum sem starfsemina varða.“

Út frá þeirri meginreglu að hæfniskröfur til persónuverndarfulltrúa : „þarf að hafa hliðsjón af þeirri vinnslu persónuupplýsinga sem fer fram og þeim kröfum sem gerðar eru til verndar þeirra persónuupplýsinga sem vinnslan lýtur að.“ mætti ráða að því einfaldari sem reksturinn er og  hefur ekki í för með sér mikla áhættu fyrir persónupplýsingar, því minni kröfur væru gerðar til  persónuverndarfulltrúa.

Hins vegar er það ekki algilt því að sérstaklega er tekið fram að „að persónuverndarfulltrúinn getur ekki verið í þannig stöðu að hann ákveði tilgang og aðferð við vinnslu persónuupplýsinga.“ sem þýðir að flestir stjórnendur og milli stjórnendur eru útilokaðir jafnvel þó þeir uppfylli hæfniskröfur miðað við flækjustig fyrirtækis.

Það er einnig spurning út frá verkefnum persónuverndarfulltrúa hvort það geti samrýmst því hlutverki að „að sinna eftirliti með reglufylgni og aðstoða ábyrgðaraðila og vinnsluaðila við að fylgja persónuverndarreglugerðinni“  að vera yfirleitt starfsmaður viðkomandi fyrirtækis eða stofnunar út frá kröfum um óhæði. 

Á vef Persónuverndar segir varðandi reglufylgni að persónuverndarfulltrúinn þurfi að :

  • safna upplýsingum til að greina vinnslustarfsemi,
  • greina og fylgjast með reglufylgni í starfseminni
  • upplýsa, ráðleggja og koma á framfæri tillögum til ábyrgðaraðila eða vinnsluaðila.“

Í ljósi þess að gert er ráð fyrir þeim möguleika að fyrirtæki geti fengið vottun gagnvart staðli um persónuvernd þá má gera ráð fyrir því að tilvist stefnuskjala, verklagsreglna og annarra nauðsynlegra gagna séu forsenda fyrir slíkri vottun. Eins og er þá er engin „opinber“ staðall varðandi vottanir fyrir GDPR en gera má ráð fyrir því að staðlar eins og ISO/IEC 29100:2011, BS 10012 og ISO/IEC 27001:2013 verði notaðir til hliðsjónar. 

Hlutverk persónuverndarfulltrúa væri þá að sjá til þess að innri úttektir séu framkvæmdar sem uppfylla ákvæði staðalsins þannig að fyrirtækið eða stofnunin væri vottunarhæf.  Það eitt og sér gerir ráð fyrir því að viðkomandi hafi þekkingu á endurskoðun stjórnkerfa skv. ISO 19011:2018 en allir stjórnkerfis staðlar hafa tilvísun í þann staðal varðandi framkvæmd innri úttekta/endurskoðunar.

Það er því afar líklegt að til viðbótar við ofangreindar hæfniskröfur persónuverndarfulltrúa er þekking á framkvæmd innri úttekta/endurskoðunar samkvæmt ISO 19011:2018 einnig nauðsynleg.

Í 23. gr. Laga um persónuvernd og vinnslu persónuupplýsinga kemur fram að :

 Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar samkvæmt nánari fyrirmælum 24. og 25. gr. reglugerðarinnar.

Þetta hugtak „tæknilegar og skipulagslegar ráðstafanir“ kemur fyrir á fjölmörgum stöðum í bæði lögunum og reglugerðinni og vísar í meginatriðum til upplýsingaöryggis og tilvist upplýsingaöryggiskerfis hjá viðkomandi fyrirtæki eða stofnun. Þessi ákvæði gera ekki kröfu til vottunar samkvæmt ISO/IEC 27001:2013 með beinum hætti en ljóst er að meginþættir þess staðals ættu að vera til staðar engu að síður. Þar sem það er hlutverk persónuverndarfulltrúa að staðreyna reglufylgni þá leiðir af því að viðkomandi ætti að hafa góðan skilning á upplýsingaöryggi til þess að leggja mat á það hvort viðeigandi tæknilegar og skipulagslegar ráðstafanir séu til staðar við vinnslu persónuupplýsinga.

Í ljósi alls framangreinds þá hefur það oftar en ekki verið niðurstaðan að best að úthýsa þessari starfsemi og það er vissulega ákvæði um slíkt í lögunum. Í lögunum er  gefin heimild fyrir því að fleiri en eitt stjórnvald geti sameinast um einn persónuverndarfulltrúa með þeim fyrirvara þó að allir eigi jafngreiðan aðgang að viðkomandi.  Það kemur einnig fram í lögunum og leiðbeiningum á vef Persónuverndar að mögulegt sé að tilnefna lögaðila sem persónuverndarfulltrúa.

Þegar lögaðili er tilnefndur sem persónuverndarfulltrúi gagnvart viðskiptavininum þá verður að vera tilgreindur ábyrgur tengiliður og þar að auki er það gert að skilyrði að til staðar sé teymi hjá þeim aðila þar sem allir meðlimir teymisins uppfylli kröfur sem reglugerðin gerir til hæfni persónuverndarfulltrúa.  

Út frá ofangreindu þá mætti ætla að heppilegasta fyrirkomulagið hjá stærri fyrirtækjum eða þeim sem hafa vinnslu persónuupplýsinga að meginstarfsemi, að ráða lögaðila sem persónuverndarfulltrúa þar sem allir meðlimir teymisins í sameiningu hafa nægjanlega sérþekkingu á lögfræði, rekstri, endurskoðun og upplýsingatækni til þess að starfa sem persónuverndarfulltrúi.

WP2Social Auto Publish Powered By : XYZScripts.com