Persónuvernd – skref fyrir skref


Í leiðbeiningum um nýjar persónuverndarreglur sem sambandið birti á heimasíðu sinni í júlí 2017 og í endurbættu formi í nóvember sama ár, var mælt með að vinna sveitarfélaga við undirbúning hæfist sem fyrst væri hún ekki þegar komin af stað. Mælt var með því að hvert sveitarfélag setti saman teymi sem stýrði umræddu verkefni en einnig gætu sveitarfélög unnið saman að verkefninu. Í nóvember útgáfu af leiðbeiningum var vinna sveitarfélaga greind niður í fyrstu, næstu og lokaskref sem eru hér að neðan ásamt tímaramma sem sambandið telur hægt að vinna eftir miðað við áætlaða gildistöku nýrra laga 25. maí 2018.

Í leiðbeiningum er gert ráð fyrir að skipun persónuverndarfulltrúa sé í lokaskrefum og á eftir þarfagreiningu en einhver sveitarfélög kunna þó að vilja að skipa hann strax á fyrstu stigum. Sé það gert bendir sambandið á að rétt sé að viðkomandi hafi teymi sér til að aðstoðar við ferli og að tryggð séu skilyrði til að sinna þeirri vinnu sem krafin er af persónuverndarfulltrúa sbr. umfjöllun síðar.

Rétt er að geta þess að í kjölfar persónuverndardags sambandsins, sem haldinn var 1. desember 2017, hafa verið skipaðir tveir sérfræðingarhópar til að aðstoða sveitarfélög við undirbúning undir nýja persónuverndarlöggjöf. Annars vegar lögfræðingahópur undir forystu Telmu Halldórsdóttur lögfræðings hjá sambandinu og hins vegar UT sérfræðinga hópur undir forystu Völu Drafnar Hauksdóttur, deildarstjóra tölvudeildar Garðabæjar. Geta sveitarfélög leitað til þessara hópa við undirbúning sinn.

Fyrstu skref:

1.

Sveitarfélög kynni sér efni reglugerðarinnar, m.a. með lestri og dreifingu leiðbeininga og með því að sækja námskeið.

Um 170 manns tóku þátt í persónuverndardeginum sem sambandið hélt þann 1. desember 2017 í samstarfi við Persónuvernd. Eru fyrirlestrar aðgengilegir hér: http://www.samband.is/um-okkur/fundir-og-radstefnur/personuverndardagur  

 2. Hafin verði sem fyrst skoðun á því hvaða persónuupplýsingum er verið að safna og hvernig unnið er úr þeim. Við kortlagningu á vinnslu verði sérstaklega skoðað:
  1. Hvaða upplýsingum er verið að safna (almennar/viðkvæmar)?
  2. Er lagagrundvöllur til staðar fyrir söfnun? Ef svo er hver er hann?
  3. Hversu lengi er verið að geyma upplýsingar?
    Sambandið bendir á að í mörgum tilvikum fellur geymsla upplýsinga sem sveitarfélög afla undir lagaskyldu eins og lög um opinber skjalasöfn nr. 77/2014. Ef óvissa er um ákvæði laganna og hvernig haga skuli geymslu er hægt að hafa samband við lögmann Þjóðskjalasafns
    .
 3. Samhliða kortlagningu er útbúin vinnsluskrá sem er skrá yfir tegundir vinnslu
a.    Vinnsluskrá er unnin fyrir hverja deild /svið í nánu samstarfi við starfsmenn
b.    Mikilvægt er að greint sé í upphafi hver er tilgangur hennar
c.     Nokkur sveitarfélög eru langt komin með þessa vinnu og því getur borgað sig að leita í reynslubanka þeirra.
4. Við kortlagningu og gerð vinnsluskrár sé kannað hvort varsla og vinnsla upplýsinga sé hið minnsta í samræmi við núgildandi lög, ef ekki þá séu þær úrbætur settar í algjöran forgang.
Persónuvernd hefur bent á að ef svo er þá séu stofnarnir komnar hálfa leið við undirbúning.

Sambandið telur að hægt sé að ljúka þessari vinnu í lok janúar 2018 en Persónuvernd hefur ítrekar brýnt að undirbúningsvinna eigi að vera hafin og því hafa vonandi flest  sveitarfélög hafið þessa vinnu. Í þeim tilvikum sem ekki er um það að ræða er mælt með að vinna sé hafin nú þegar og starfsmenn settir í verkið.



Næstu skref:

 5. Greining á nauðsynlegum úrbótum miðað við nýja löggjöf.
 
  1. Hvernig á að bregðast við upplýsingarétti hins skráða?
  2. Gildir réttur til að gleymast að einhverju leyti eða er geymsla í samræmi við lagaákvæði?
  3. Getur verið að flutningsréttur verði virkur, t.d. ef senda á gögn úr félagsþjónustu á       milli stofnana?
  4. Er persónuvernd innbyggð í tölvubúnað? Hvernig er upplýsingaöryggi háttað?
  5. Fá upplýsingar frá þeim sem veita þjónustu. Mögulega þarf að uppfæra stjórnkerfi og upplýsingaöryggisstefnu. Framkvæma áhættumat á ferlum þar sem við á.
 6.

Semja þarf verklagsreglur um persónuvernd og setja persónuverndarstefnu. Hér kæmi vel til greina að sveitarfélög vinni saman og mögulega með aðkomu sambandsins. Í slíkri persónuverndarstefnu þarf að koma fram að sveitarfélag hafi að leiðarljósi að:

 
  1. tryggja vinnslu persónuupplýsinga (má nefna meginferla, lagalega vinnslu)
  2. tryggja að fengið sé samþykki hins skráða eða að vinnsla byggi á tilgreindri lagaheimild
  3. haft sé eftirlit með öryggisbrotum og þau tilkynnt
  4. að framkvæmdar séu innri úttektir (persónuverndarfulltrúi ber ábyrgð á þeim)
  5. farið verði í úrbætur, ef þarf, í samræmi við niðurstöður innri úttektar
  6. tryggja leynd, réttleika, tiltækanleika og þol gagna.
7. Skipuleggja breytingar á vinnslu m.v. greininguna, þannig að vinnuferlar séu skráðir til að tryggja að farið verði að nýjum lögum. Mikilvægt er að tryggja rekjanleika allra samskipta við einstakling við vinnslu.

Sambandið bendir á að við kortlagningu og greiningu á nauðsynlegum úrbótum er mikilvægt að greining eigi sér stað á skyldum samkvæmt nýjum lögum eins veiting upplýsinga til einstaklinga, tilnefning persónuverndarfulltrúa og hvort framkvæma þurfi mats á áhrifum á persónuvernd o.s.frv.

Þessi vinna fer mikið eftir flækjustigi, hversu mikil vinnsla á sér stað og stærð sveitarfélaga en sambandið telur raunhæft að þessi vinna taki 1-2 mánuði með góðu skipulagi og nægum mannafla.



Lokaskref:

8. Innleiðing úrbóta
  Hér getur verið um að ræða að breytingar á ferlum séu kynntar og nýir samningar gerðir við vinnsluaðila.
Mikilvægt að sveitarfélög forgangsraði aðgerðum, á hvaða tíma og með tilliti til fjárheimilda og tíma til stefnu og vinni samkvæmt áætlun.
Ef einhverjir liðir í áætlun við innleiðingu nást ekki áður en lög taka gildi þá er mikilvægt að vera með áætlun um hvernig skuli lokið við innleiðingu á því sem ekki næst.
9. Þjálfun starfsmanna á grundvelli vinnu teymis og innleiðingu úrbóta. Ítarefni um ný lög, kynning á nýjum ferlum, öryggisatriðum o.s.frv.
10. Skipun persónuverndarfulltrúa. Skylda hvílir á öllum opinberum stofnunum þ.m.t. sveitarfélögum að skipa. Um störf hans er nánar fjallað í kafli 9.

Mikilvægt er að teymi þarfagreini hversu mikið starf slíkur sérfræðingur eigi að vinna og að honum séu veittar þær heimildir sem nýju lögin kveða á um. Ef ekki er talin þörf á heilu stöðugildi gætu sveitarfélög eða stofnanir sammælst um að nýta sameiginlega einn persónuverndarfulltrúa.

Sambandið bendir á erindi Harðar Helga Helgasonar lögmanns um farsæla innleiðingu. Þar er m.a. að finna eftirfarandi yfirlitsmynd yfir kortlagningu á vinnslu:Nalgun-GDPR

Þetta ferli er tímafrekast að mati sambandsins og ekki ólíklegt að það taki 2-4 mánuði.