Um mitt ár 2018 tekur ný og mun strangari persónuverndarlöggjöf gildi í öllum aðildarríkjum ESB og EES og þar með á Íslandi. Í nýju reglunum er lögð mun meiri áhersla á ábyrgð fyrirtækja og réttindi einstaklinga. Persónuverndaryfirvöld fá víðtækar heimildir til að sekta fyrirtæki sem brjóta gegn lögunum.

7. september 2017 - Alma Tryggvadóttir

Breytingarnar eru viðamiklar og það er mjög mikilvægt að allir sem vinna með persónuupplýsingar séu þeim viðbúnir og taki þær alvarlega.


Nýja löggjöfin nefnist GDPR sem stendur fyrir General Data Protection Regulation eða almenna persónuverndar-reglugerðin. Tilgangurinn með lögunum er að bregðast við tækniframförum í vinnslu persónuupplýsinga og tryggja réttindi almennings. Lögin gilda um allan heim og ná til allra fyrirtækja sem bjóða vörur eða þjónustu til einstaklinga innan Evrópu eða hafa eftirlit með þeim.



Upplýsingamyndband um nýja persónuverndarlöggjöf og þýðingu hennar

„Fyrirtæki þurfa að taka upp viðskipta-ferla sem tryggja rétta meðferð persónu-upplýsinga.“

Flóknar kröfur til fyrirtækja

Til að ná þessum markmiðum eru í lögunum lagðar nýjar kvaðir á alla sem vinna með persónuupplýsingar á einn eða annan hátt. Kröfurnar eru flóknar og ekki er hægt að bregðast við þeim með tæknilausnum eingöngu. Fyrirtæki þurfa að taka upp viðskiptaferla sem tryggja rétta meðferð persónuupplýsinga með hliðsjón af viðeigandi tæknilausnum, setja sér skýra stefnu um persónuvernd og skjalfesta verklag sem sýnir fram á hvernig þau muni fylgja hinni nýju löggjöf í framkvæmd.

Það er lykilatriði fyrir fyrirtæki að vita hvaða persónuupplýsingar eru meðhöndlaðar í starfseminni, hvernig og í hvaða tilgangi er unnið með þær og tryggja að öll meðferð þeirra, öryggi og varðveislu sé ávallt hagað í samræmi við kröfur persónuverndarlaga. Dæmi um nýjar skyldur varða m.a.:


  • Gagnsæi og fræðslu til einstaklinga
  • Hönnun og gerð upplýsingakerfa, hugbúnaðar og nýrra vörutegunda
  • Tilkynningarskyldu til yfirvalda og einstaklinga ef öryggisbrestur verður
  • Rafræna skráningu vinnslu persónuupplýsinga
  • Mat á áhrifum slíkrar vinnslu á réttindi einstaklinga

Aukinn réttur einstaklinga

Annað megin markmið nýju persónuverndarlaganna er að veita einstaklingum betri stjórn yfir persónuupplýsingum sínum, þ.e.a.s hvaða upplýsingar eru unnar, af hverjum og í hvaða tilgangi. Í þeim tilgangi eru ný réttindi kynnt til leiks og eiga einstaklingar m.a. rétt á:


  • Aðgangi að persónuupplýsingum sem fyrirtæki búa yfir og nota
  • Upplýsingum og fræðslu um hvernig persónuupplýsingar þeirra eru notaðar
  • Að afturkalla veitt samþykki fyrir vinnslu persónuupplýsinga með einföldum hætti
  • Flutningi persónuupplýsinga sinna á milli þjónustuaðila
  • Að andmæla sjálfvirkri ákvarðanatöku er varðar þá og greiningu á hegðun þeirra eða atferli s.s. með gerð persónusniða
  • Leiðréttingu og eyðingu persónuupplýsinga í ákveðnum tilvikum


Fyrirtæki mega hvorki búa til persónusnið af viðskiptavinum sínum né hagnast á sölu persónuupplýsinga þeirra til annarra aðila án vitundar viðskiptavina. Þá er fyrirtækjum ekki heldur heimilt að safna eins umfangsmiklum upplýsingum og mögulegt er teljist þær ekki nauðsynlegar fyrir starfsemi þeirra. Hafi fyrirtæki ekki nægilega skýra heimild til að vinna persónuupplýsingar geta einstaklingar krafist þess að þeim sé eytt. Þessum réttindum má fylgja eftir með kvörtun til persónuverndaryfirvalda eða fyrir dómstólum.


Landsbankinn hefur hafið undirbúning og sett í forgang verkefni sem miðar að því að aðlaga starfsemi bankans að nýju reglunum. Landsbankinn mun fram að gildistöku nýju persónuverndarlöggjafarinnar birta fleiri greinar og fróðleik um einstök efnisatriði laganna hér á Umræðunni, m.a. um einstök réttindi og skyldur, breyttar kröfur til samþykkis, hvernig fyrirtæki geti sýnt fram á ábyrgð og reglufylgni í verki og breytt eftirlitsumhverfi, svo dæmi séu tekin.

Upplýsingasíða Evrópusambandsins um GDPR


Höfundur er lögfræðingur í regluvörslu Landsbankans og sérfræðingur í persónurétti.