Persónuvernd

LEX hefur um árabil veitt innlendum og erlendum fyrirtækjum og opinberum stofnunum ráðgjöf á sviði persónuverndar, svo sem varðandi vinnslu persónuupplýsinga, umsóknir um leyfi og tilkynningar til Persónuverndar auk þess að aðstoða fyrirtæki og einstaklinga við að sækja rétt sinn ellegar taka til varna þegar vinnsla persónuupplýsinga er talin hafa farið í bága við lög. Fyrir dyrum standa nú umfangsmiklar breytingar á evrópskri persónuverndarlöggjöf og hefur verkefnum á sviði persónuverndar farið fjölgandi samhliða því. Um er að ræða gildistöku almennu persónuverndarreglugerðarinnar (e. General Data Protection Regulaion, GDPR), sem kemur til framkvæmda innan Evrópusambandsins þann 25. maí 2018. Reglugerðin verður tekin upp í EES-samninginn og verða nýju reglurnar því einnig innleiddar í íslenska löggjöf, en stefnt er að því að nýtt regluverk taki gildi hér á landi á svipuðum tíma og innan Evrópusambandsins.

Í persónuupplýsingum geta verið fólgin mikil verðmæti og skipar vinnsla þeirra æ ríkari sess í starfsemi margra fyrirtækja og stofnana, sér í lagi í ljósi örrar tækniþróunar á síðastliðnum áratugum. Að sama skapi verður að gæta þess að réttindi einstaklinga séu virt og að viðeigandi öryggisráðstafanir séu viðhafðar við vinnslu persónuupplýsinga. Reglugerðinni er ætlað að uppfæra gildandi regluverk með tilliti til þessa. Meðal nýjunga sem reglugerðin felur í sér eru tilnefning persónuverndarfulltrúa, auknar kröfur um skjölun, s.s. skráning vinnslustarfsemi, auknar kröfur um fræðslu til einstaklinga, krafa um að öryggisbrot séu tilkynnt til eftirlitsyfirvalda innan 72 klukkustunda og auknar sektarheimildir Persónuverndar vegna brota á ákvæðum reglugerðarinnar.

Öll fyrirtæki og stofnanir þurfa að bregðast við vegna innleiðingar almennu persónuverndarreglugerðarinnar og yfirfara meðferð sína á persónuupplýsingum. LEX býður upp á víðtæka ráðgjöf fyrir gildistöku nýrrar persónuverndarlöggjafar, þar á meðal sérsniðna og heildstæða persónuverndarúttekt, en slík úttekt felst í meginatriðum í eftirfarandi:

  • vinnsla persónuupplýsinga er kortlögð og greind, sett upp skrá yfir vinnslustarfsemi;
  • öryggisráðstafanir við vinnslu persónuupplýsinga eru greindar;
  • öryggisstefna, persónuverndarstefna, áhættumat og skjöl um afmörkun öryggisráðstafana yfirfarin og bent á nauðsynlegar úrbætur;
  • vinnslusamningar yfirfarnir eða eftir atvikum útbúnir;
  • yfirfarið hvernig réttindi skráðra einstaklinga snerta viðkomandi ábyrgðar- eða vinnsluaðila;
  • yfirfarið hvort tilteknar tegundir vinnslu séu þess eðlis að svokallað mat á áhrifum vinnslu á persónuvernd (e. Data Protection Impact Assessment, DPIA) þurfi að framkvæma;
  • afstaða tekin til þess hvort viðkomandi ábyrgðar- eða vinnsluaðili þurfi að tilnefna persónuverndarfulltrúa;
  • yfirfarið hvort flutningur persónuupplýsinga út fyrir EES-svæðið eigi sér stað og þá að hverju þurfi að huga í því sambandi;
  • leiðbeiningar um verklag, svo sem varðandi öryggisbrot og tilkynningar.

Sérfræðiteymi LEX á sviði Persónuverndar skipa Erla S. Árnadóttir hrl., Ingvi Snær Einarsson hdl., LLM., og Lena Mjöll Markusdóttir lögfr., CIPP/E. 

AlþjóÐlegt Samstarf

ViÐurkenningar og GÆÐi þjónustu