Leita í fréttum mbl.is

Væntanleg persónuverndarlög - GDPR hausverkurinn

Hinn 25. maí næst komandi gengur í gildi innan Evrópusambandsins nı persónuverndarreglugerğ, Almenna persónuverndarreglugerğin, á ensku General Data Protection Regulation eğa GDPR, heitiğ sem reglugerğin gengur oftast undir.  Meğ rétt um 5 mánuği til stefnu, şá eru şeir sem ekki eru byrjağir, ekki beint í góğri stöğu.  Hinir vita ansi margt af şví sem ég segi hér fyrir neğan.

Ég hef undanfarna mánuği veriğ ağ ağstoğa nokkra ağila bæği í Danmörku og á Íslandi viğ innleiğingu GDPR og næsta verkefni verğur líklegast í Póllandi.  Hægt er ağ nálgast GDPR innleiğingu eftir mörgum leiğum og er engin şeirra réttari en einhver önnur.  Mestu skiptir ağ allt sé gert sem şarf ağ gera.

  1. Şağ er aldrei of seint ağ byrja.  Hvağ sem gert er mun færa fólk nær şví ağ uppfylla kröfurnar.  Betra er ağ koma sér úr startholunum en ağ hafa ekki gert neitt.  Innleiğing á GDPR er eins og ağ borğa fíl, şağ hefst bita fyrir bita.  Ef fólk reynir ağ gera of mikiğ á of stuttum tíma, şá gæti útkoman orğiğ önnur en fólk vonağist til.  Allt veltur şağ, ağ sjálfsögğu, á stærğ og flækjustigi fyrirtækisins eğa stofnunarinnar sem á í hlut, umfangi persónuupplısinga sem veriğ er ağ vinna meğ, stigi şekkingar hjá fyrirtækinu/stofnunni (og şeim sem sér um innleiğinguna), auğlindir sem helgağar eru viğfangsefninu og hversu ákveğiğ fólk er í ağ sjá til lands.
  2. Gleymum şví, ağ innleiğing verği nokkru sinni fullkomin, şó hún sem slík sé ekki flókin.  Şağ sem er flókiğ er ağ reka stjórnkerfiğ sem GDPR krefst.  Şağ er ferğin endalausa.  Alltaf er hægt ağ gera betur, mağur şarf sífellt ağ vera vakandi og persónuupplısingarnar gætu veriğ stöğugt undir árás.  Ok, viğ sem erum á haus í öryggismálum kippum okkur ekkert upp viğ şağ.  Şannig er şetta á hverjum degi í nettengdu fyrirtækjaumhverfi eğa bara í umferğinni til og frá vinnu.  Viğ reynum stöğugt ağ ná fullkomnun, en nıir leikmenn neyğa okkur til ağ fást viğ nıjar ögranir, nı tækni gerir fyrri şekkingu okkar úrelta og nıjar reglur breyta leikvellinum.
  3. Dulkóğun getur veriğ lausn, en mannlegi şátturinn er hins vegar óútreiknanlegur og gert allar tæknilegar lausnir gagnslausar.  Şess vegna şarf vitundarfræğslu, loggun, vöktun, skırslur, greiningu á hvağ er ağ gerast og viğbragğsferli.  Stjórnun rekstarsamfellu, viğreisnaráætlanir, neyğaráætlanir og öll hin atvikastjórnunarferlin sem okkur dettur í hug.  Ağ sjálfsögğu viljum viğ draga úr líkum á öryggisbrotum, en viğ komum aldrei í veg fyrir şau og verğum şví ağ búa okkur undir şağ versta.  GDPR leggur okkur vissar línur og segir okkur hverjar afleiğingar af brotum geta orğiğ.
  4. Şağ getur veriğ gott ağ byrja á endanum.  Meğan tæknifólkiğ er ağ draga upp mynd af hvağa persónuupplısingar er veriğ ağ vinna meğ, şá geta einhverjir ağrir veriğ ağ skilgreina hvağ şarf ağ gera ef öryggisbrot verğur.  Şağ innifelur, en er ekki takmarkağ viğ:  ağ skipa persónuverndarfulltrúa (Data Protection Officer), skilgreina hlutverk hans og stöğu innan fyrirtækisins/stofnunarinnar, skilgreina mismunandi viğbúnağarstig og hvernig skal bregğast viğ brotum á hverju stigi, svo eru şağ ferli viğ ağ tilkynna hitt og şetta: a) hvernig á ağ láta vita af atviki; b) hvernig á ağ tilkynna atvik til Persónuverndar; c) hvernig á ağ láta hinn skráğa vita af atviki; d) hvenær og hvernig á ağ blanda lögreglu í máliğ, fá utanağkomandi sérfræğinga og/eğa şá sem şekkingu hafa á tölvurannsóknum.
  5. Geriğ skrá yfir allar persónuupplısingar sem unniğ er meğ og haldiğ şeirri skrá viğ.  Skiljiğ hvers vegna gögnunum er safnağ og spyrjiğ hvort haldbær rök séu fyrir şví.  Hver er meğ ağgang ağ hverju og hvers vegna? Hvers konar ağgang og hvers vegna? Meğ hverjum má deila upplısingunum og hvers vegna?  Lokiğ síğan á um helming ağgangsheimilda, takmarkiğ flestan ağgang viğ lesağgang og deiliğ eingöngu upplısingum meğ şeim sem geta sınt fram á ağ uppfylla GDPR eğa eru meğvitağir um şığingu reglnanna.
  6. Ertu ábyrgğarağili eğa vinnsluağili eğa bæği?  Mağur verğur ağ skilja stöğu sína og hlutverk, şví mismundandi hlutverkum fylgja mismunandi skyldur.  Sumir vinnsluağilar eru líka ábyrgğarağilar. Şağ gerist, ef vinnsluağilinn er meğ fullkomna stjórn/vald yfir şeim hugbúnaği sem er viğskiptavinurinn notar viğ gagnavinnslu og ef viğskiptavinurinn hefur engin eğa lítil áhrif á virkni hugbúnağarins (hugbúnağur getur veriğ frá einföldustu smáforritum (apps) til flóknustu hugbúnağarkerfa).  Şetta şığir ağ margir şeir sem fyrirtæki/stofnanir fá şjónustu frá eru ábyrgğarağilar.  Facebook, LinkedIn, Instagram og Office 365, svo ég nefni fáa, og nánast allir sem veita vefşjónustu munu falla undir skilgreininguna ağ vera ábyrgğarağilar.  Şağ şığir ağ notendur slíkrar şjónustu verğa ağ huga ağ sinni áhættu sem fylgir şví ağ nota şjónustuna.  Í şví felst ağ framkvæma áhættumat (heitir reyndar persónuverndaráhrifagreining (Data Protection Impact Analysis, DPIA) í GDPR) á öllu milli himins og jarğar (og lengra ef um er ağ ræğa ESA eğa NASA).
  7. Hvar eru gögnin vistuğ? Er şağ gert stağbundiğ, miğlægt, í gagnaveri, í öğru landi, í skıinu?  Er veriğ ağ keyra innanhúskerfi, sérhönnuğ kerfi eins og SAP, pakkalausnir eins og Outlook, vefşjónustur eins og Office 365?  Hefur fyrirtækiğ/stofnunin fulla stjórn á gögnunum eğa er veriğ í viğskiptum viğ şjónustuağila sem geymir upplısingarnar í skıinu án şess ağ geta sagt til um hvort şær eru geymdar innan EES?  Eğa eru einhver sérlög sem tilgreina ağ upplısingarnar verği ağ vista innan landamæra şess ríkisins?  (Getur átt viğ fyrirtæki sem eru ağ bjóğa şjónustu út um allan heim.)
  8. Gangiğ úr skugga um ağ öll şróunarteymi (líka markağsfólkiğ) hafi fulla şekkingu og skilning á GDPR og öll hönnun taki tillit til krafna GDPR, lágmarki söfnun persónuupplısinga, notkun, loggun, vöktun og gerğ persónusniğa.  Er hægt ağ skipta persónugreinanlegum upplısingum út fyrir ópersónugreinanlegar?  Er veriğ ağ nota persónugreinanlegar upplısingar ağ óşörfu?  Gera gagnafyrirspurnir í reynd ópersónugreinanlegar upplısingar persónugreinanlegar?  Hver er lágmarksfjöldi einstaklinga sem şarf til ağ mynda svar viğ fyrirspurn?
  9. Endurskoğiğ öll forrit og sérstaklega smáforrit fyrir snjallsíma og spyrjiğ ykkur hvort sú söfnun persónuupplısinga, sem şar á sér stağ, sé í samræmi viğ kröfur GDPR.  Hættiğ ağ safna upplısingum án vitundar einstaklingsins.  Ég veit ağ şağ mun hafa áhrif á afkomuna, en şağ er einfaldlega ekki leyft (og hefur aldrei veriğ leyft síğan snjallsímar komu til sögunnar).
  10. Og meğan şiğ eruğ ağ vinna ağ şessu, geriğ şá í leiğinni allt sem hefur veriğ skylda ağ gera síğan lög nr. 77/2000 um persónuvernd og meğferğ persónuupplısinga urğu ağ lögum.  GDPR er ekki ağ svo miklu leiti nıjar kröfur.  90-95% af kröfunum eru í lögum nr. 77/2000.  Munurinn er sá, ağ núna mál leggja risa sektir á şá sem lenda í alvarlegum atvikum.

Strangt til tekiğ er ekkert nıtt.  Krafan um ağ verja gögnin hefur veriğ til stağar í 17 ár, fyrir utan ağ áhættumat hefği átt ağ segja fólki, ağ gögn şarf ağ verja og innleiğing atvikastjórnunar hefği átt ağ hefjast ekki síğar en 12. september 2001.  Vöktun, vírusvarnir, veikleikastjórnun og allt hitt hefği átt ağ vera til stağar.

Hljómi şetta allt ruglingslegt og fólk vantar einhvern byrjunarreit:  Framkvæmiğ áhættumat!

Viğurkenni, ağ şarna var ég ağ leiğa fólki í gildru, vegna şess ağ rétt framkvæmt áhættumat mun krefjast şess ağ şiğ geriğ allt hitt líka.

Ağ lokum:  Şağ er ekki til nein pakkalausn á GDPR.  Ekki kaupa snákaolíu.  Ef ekki er nægur tími eğa peningar eru af skornum skammti, şá er bara ein lausn:  Geriğ hlutina rétt í fyrsta umgang!

(Şetta er şığing á grein sem ég birti á LinkedIn í síğasta mánuği.  Spurningum má beina til mín meğ şví ağ senda tölvupóst á oryggi@internet.is og ég mun svara ağ bestu getu.)


« Síğasta færsla | Næsta færsla »

Bæta viğ athugasemd

Ekki er lengur hægt ağ skrifa athugasemdir viğ færsluna, şar sem tímamörk á athugasemdir eru liğin.

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsóknir

Flettingar

  • Í dag (16.12.): 0
  • Sl. sólarhring: 2
  • Sl. viku: 71
  • Frá upphafi: 0

Annağ

  • Innlit í dag: 0
  • Innlit sl. viku: 59
  • Gestir í dag: 0
  • IP-tölur í dag: 0

Uppfært á 3 mín. fresti.
Skıringar

Des. 2018
S M Ş M F F L
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

Innskráning

Ath. Vinsamlegast kveikiğ á Javascript til ağ hefja innskráningu.

Hafğu samband