Leiðin að settu marki í 9 skrefum

1. Fræðsla og vitundarvakning

Hin breytta persónuverndarlöggjöf mun leggja auknar skyldur á sveitarfélög. Sveitarfélög bera ábyrgð á því að starfmenn þekki persónuverndarreglurnar og vinni eftir þeim. Brot geta leitt til þess að sveitarfélögum verði gert að greiða háar sektir og/eða skapað hinum skráða bótarétt.

Jákvætt viðhorf og skýrar leiðbeiningar um kosti hinna nýju reglna eru til þess fallnar að fá stuðning starfsmanna við innleiðingaráætlunina.

2. Greining upplýsinga og verkferla

Í upphafi þarf að greina hvar innan sveitarfélagsins vinna með persónuupplýsingar fer fram, umfang vinnslunnar og hvers eðlis gögnin eru. Skoða þarf eftir hvaða viðmiðum og reglum er unnið og greina hvort þau eru í samræmi við núgildandi lög um persónuvernd. Einnig þarf að greina hvaða breytingar þarf að gera til að uppfylla skilyrði hinna nýju reglna.

Þessi vinna tekur tíma og því þarf að forgangsraða. Mælt er með því að að setja í forgang þau svið þar sem unnið er með viðkvæmustu upplýsingarnar og þar sem mesta hættan er á öryggisbrestum. 

3. Lagalegur grundvöllur vinnslu

Öll vinnsla persónuupplýsinga er óheimil ef hún byggir ekki á lögmætum grunni. Reglur nýju löggjafarinnar um lögmæti vinnslu eru að miklu leyti sambærilegar þeim sem finna má í núgildandi lögum um persónuvernd. Greina þarf á hvaða lagagrundvelli er byggt við hverja tegund vinnslu á persónuupplýsingum sem fram fer innan sveitarfélags­ins.

Til þess að vinnsla sveitarfélags á persónuupplýsingum teljist lögmæt þarf a.m.k. eitt eftirfarandi að eiga við:

  • Skráður einstaklingur hefur veitt samþykki sitt.
  • Vinnsla er nauðsynleg vegna samnings sem hinn skráði á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.
  • Vinnsla er nauðsynleg til að uppfylla lagaskyldu sem hvílir á ábyrgðaraðila.
  • Vinnsla er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings.
  • Vinnsla er nauðsynleg vegna verkefnis sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.

Í nýju löggjöfinni eru gerðar strangar kröfur til þess hvernig samþykkis er aflað og hinn skráði getur hvenær sem er afturkallað samþykki sitt. Þá eru einnig sérstakar reglur sem gilda um lögmæta vinnslu viðkvæmra persónuupplýsinga og vanda þarf sérstaklega til verks ef unnið er með slíkar upplýsingar.

Til viðkvæmra persónuupplýsinga teljast m.a. upplýsingar um kynþátt, heilsufarsupplýsingar og stjórnmálaskoðanir. Hér undir gætu einnig fallið mikið af þeim upplýsingum sem unnið er með af barnaverndarnefndum, félagsþjónustu og skólum sveitarfélaga. 

Við öflun gagna þarf ábyrgðaraðili að gera hinum skráða grein fyrir réttindum sínum, tilgangi gagnasöfnunarinnar og þeim lagagrundvelli sem hún byggir á. 

4. Tilnefning persónuverndarfulltrúa

Sveitarfélögum verður skylt að tilnefna persónuverndarfulltrúa á grundvelli faglegrar þekkingar á lögum og lagaframkvæmdar á sviði persónuverndar. Í tilviki sveitarfélaga er heimilt að tilnefna einn persónuverndarfulltrúa fyrir fleiri en eitt sveitarfélag eða stofnanir sveitarfélaga. Persónuverndarfulltrúa má ráða á grundvelli þjónustusamnings við ytri aðila, t.d. má gera þjónustusamning við lögmannsstofu um að tiltekinn lögmaður gegni hlutverki persónuverndarfulltrúa.

Til að persónuverndarfulltrúi geti sinnt starfi sínu þarf að tryggja að hann komi tímanlega að öllum málum innan sveitarfélagsins sem snerta vernd persónuupplýsinga. Ef persónuverndarfulltrúi er jafnframt starfsmaður ábyrgðaraðila eða vinnsluaðila þarf að tryggja að hann hafi m.a. góða vinnuaðstöðu, aðstoð frá upplýsingatæknisviði, nægilegt fjármagn til að gegna starfinu, aðgang að fræðiritum, aðstoðarmenn og nægan tíma til þess að sinna starfsskyldum sínum. Þá þarf að tryggja sjálfstæði persónuverndarfulltrúans, en hann heyrir beint undir æðsta stjórnunarstig hjá ábyrgðar- eða vinnsluaðila. 

Einstaklingar eiga að geta haft samband við persónuverndarfulltrúann vegna allra mála sem tengjast vinnu á persónuupplýsingum þeirra og um hvernig þeir geta neytt réttar síns.

5. Verkferlar og persónuverndarstefna

Þegar sveitarfélag hefur öðlast yfirsýn yfir þær persónuupplýsingar sem það býr yfir og náð utan um umfang þeirra og eðli er kominn tími til að einbeita sér að því að gera persónuverndarstefnu fyrir sveitarfélagið og byggja upp þau kerfi og þá ferla sem þarf að innleiða.

Vernd persónuupplýsinga skal vera innbyggð í verkferlana og kerfin allt frá því að upplýsinganna er aflað þar til þeim er eytt. Ábyrgðaraðila ber því að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja verndina. Ráðstafanirnar felast meðal annars í að lágmarka söfnun upplýsinga með skilvirkum hætti, fella nauðsynlegar verndarráðstafanir inn í vinnslu og notkun gerviauðkenna.

Tryggja þarf að verkferlar geri ráð fyrir því að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Í þessu samhengi þarf að skoða hversu miklum persónuupplýsingum er safnað, að hvaða marki er unnið með þær og hversu lengi þær eru varðveittar.

Við mótun verkferla þarf einnig að skoða vel hvenær á að upplýsa einstaklinga um vinnsluna og hvernig á að bregðast við beiðnum og fyrirspurnum einstaklinga, t.d. um leiðréttingu eða eyðingu gagna. Auk þess þarf að taka til skoðunar hvort halda skal skrá yfir vinnslustarfsemi, en sveitarfélög munu í nánast öllum tilfellum þurfa að halda sérstaka skrá yfir vinnsluaðgerðir sem þeir bera ábyrgð á.

Ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðrar vinnsluaðgerðar áður en vinnsla hefst. Ef matið gefur til kynna að vinnslan hafi mikla áhættu í för með sér skal ábyrgðaraðili grípa til ráðstafana til að draga úr henni eða hafa samráð við Persónuvernd áður en vinnsla hefst.

6. Samningar við vinnsluaðila

Ábyrgð á því að vinnsla sé lögmæt og í samræmi við lög og reglur hvílir á ábyrgðaraðilanum, jafnvel þó að vinnsla upplýsinganna fari fram hjá vinnsluaðila. Ábyrgðaraðili þarf því að ganga úr skugga um að vinnsluaðili uppfylli öll skilyrði hinnar nýju löggjafar. Því er mikilvægt að vandað sé til verka þegar samið er við vinnsluaðila og til dæmis taka til skoðunar ákvæði um bætur til handa ábyrgðaraðila ef vinnsluaðili brýtur gegn ákvæðum löggjafarinnar.

7. Upplýsingar sem ber að veita

Mikilvægt er að farið sé yfir allar staðlaðar tilkynningar og hvernig upplýsingum er miðlað til einstaklinga. Meðal annars þarf að upplýsa skráða einstaklinga um notkun persónuupplýsinga og hvernig þær upplýsingar eru verndaðar. Í slíkum tilkynningum skal notast við einfalt og skýrt orðalag, einkum þegar um er að ræða upplýsingar sem beint er til barna. Einnig þarf að upplýsa skráða einstaklinga um réttindi þeirra, þar á meðal um rétt til að fá aðgang að upplýsingum, láta leiðrétta þær, eyða þeim og til að andmæla vinnslu.

8. Stjórnendur og aðrir starfsmenn upplýstir

Þegar undirbúningsvinnu er að mestu lokið er ráðlegt að sveitarstjórn haldi stöðufund ásamt persónuverndarfulltrúa og lykilstarfsmönnum þar sem farið er yfir þá vinnu sem hefur þegar farið fram og hvernig vinnu verður fram haldið.

Í þessu skrefi er skynsamlegt að taka til skoðunar hvernig afrakstur vinnunnar, m.a. verkferlar, verður kynntur fyrir öðru starfsfólki og minna á að allir þurfa að taka ábyrgð á gagnaöryggi í sínum daglegu störfum. Gott er að skerpa á því sem búið er að gera og hafa skýrt að þetta sé áframhaldandi samstarfsverkefni allra starfsmanna.

Fagnið árangrinum og undirbúið framhaldið.

9. Innleiðing nýrra vinnuferla

Þegar fresturinn til gildistöku nálgast skal tryggja að nýir ferlar sem innleiddir eru verði hluti af daglegri starfsemi. Þegar starfsmenn byrja að nota hina nýju verkferla þarf að fylgjast vel með og vinna með starfsmönnum og persónuverndarfulltrúa við að breyta og aðlaga verkferla, þar sem þörf er á. Mikilvægt er að hlusta á athugasemdir þeirra starfsmanna sem vinna með hina nýju verkferla.