Persónuvernd

Í leiðbeiningum um nýjar persónuverndarreglur sem sambandið birti á heimasíðu sinni í júlí 2017 og í endurbættu formi í nóvember sama ár, var mælt með að vinna sveitarfélaga við undirbúning hæfist sem fyrst væri hún ekki þegar komin af stað. Mælt var með því að hvert sveitarfélag setji saman teymi sem stýri umræddu verkefni en einnig gætu sveitarfélög unnið saman að verkefninu. Í nóvember útgáfu af leiðbeiningum var vinna sveitarfélaga greind niður í fyrstu, næstu og lokaskref sem eru hér að neðan ásamt tímaramma sem sambandið telur hægt að vinna eftir miðað við áætlaða gildistöku nýrra laga 25. maí 2018.

Áskoranir í persónuvernd - er þitt sveitarfélag tilbúið?

Þann 25. maí 2018, á evrópska persónuverndardeginum, tekur gildi reglugerð Evrópuþingsins og ráðsins (ESB) nr. 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Reglugerðin öðlast gildi á Íslandi eftir að Alþingi setur lög um málið. Hér á landi voru drög að frumvarpi kynnt fyrir stuttu og hafa stjórnvöld lýst því yfir að stefnt sé að innleiðingu nýrra laga um persónuvernd eins nálægt deginum í dag og hægt er. Er því ljóst að ástæða er fyrir sveitarfélög landsins að spýta í lófana enda er sá tími sem er til stefnu, frá því að frumvarp er kynnt og þar til lögin munu öðlast gildi, afar stuttur.

Sveitarfélög fara með mikið af viðkvæmum persónuupplýsingum sem hluta af lögbundinni þjónustu þeirra, m.a. við rekstur grunnskóla, leikskóla, félagsþjónustu, öldrunarþjónustu, leyfisveitingar, starfsmannahald o.fl. Sveitarfélög bera ábyrgð á meðferð allra þessara upplýsinga og að farið sé að lögum um persónuvernd. Innleiðing nýrra persónuverndarlöggjafar kallar auk þess á umfangsmiklar breytingar og því má heita ljóst að innleiðing nýrra laga felur í sér sérlega umfangsmikið verkefni innan stjórnsýslu sveitarfélaga. Afar mikilvægt er því að sveitarstjórnarmenn geri sér grein fyrir þeim ríku skyldum sem hvíla á þeim í þessum efnum og taki nauðsynleg skref við innleiðingu og undirbúning fyrir ný lög til að verja sveitarfélögin gegn mögulegum málaferlum og stjórnsýslusektum.

Hér er um að ræða verkefni sem nýjar sveitarstjórnir verða að setja framarlega í forgangsröðina strax að kosningum loknum, en á meðal þess sem öll sveitarfélög þurfa að fara yfir, hvert í sínu ranni, er eftirfarandi:

 

  • Er kominn persónuverndarfulltrúi hjá sveitarfélaginu, sem uppfyllir þær ríku kröfur sem gerðar eru í lögunum?
  • Hefur vinnsla sveitarfélagsins verið skoðuð og vinnsluskrá gerð?
  • Hafa öryggiskerfi og skjalakerfi sveitarfélagsins verið skoðuð m.v. kröfur í nýjum lögum?
  • Hafa samningar við vinnsluaðila verið yfirfarnir?
  • Hefur sveitarfélagið sett sér persónuverndarstefnu og önnur skjöl sem lögin gera ráð fyrir?
  • Er sveitarfélagið með áætlun um innleiðingu og hlítingu?

 

Sé undirbúningur skammt á veg kominn, er mikilvægt að tímasett verkefnaáætlun verði gerð sem sýnir hvernig sveitarfélagið ætli sér að uppfylla kröfur laganna. Þar sem þessi vinna er ekki bara tímafrek heldur líka kostnaðarsöm skiptir skipulag höfuðmáli.

Samband íslenskra sveitarfélaga hefur unnið mikið starf við undirbúning nýju laganna og má finna bæði leiðbeiningar og hagnýta fyrirlestra um efnið á vef þess. Einnig hafa stöðluð skjöl verið mótuð og aðlöguð að löggjöfinni af lögfræðingahópi um persónuvernd og UT hópi um persónuvernd hjá sambandinu sem nýtast sveitarfélögunum.

Þá hefur með stuðningi Jöfnunarsjóðs sveitarfélaga mikið starf verið unnið að undanförnu í grunnskólum landsins vegna rafrænna kerfa, áhættumats o.fl. Frekari vinna er svo að fara af stað við innleiðingu í grunnskólum, leikskólum og frístundastarfi í samvinnu við Reykjavíkurborg sem deilt verður með öllum sveitarfélögum.

Ljóst er að verkefnið er stórt, en tækifæri til úrbóta eru jafnframt mikil. Sameiginlegir hagsmunir bæði sveitarfélaga og íbúa eru augljóslega að gætt sé að persónuverndarupplýsingum og meðferð þeirra.

Persónuvernd hefur birt leiðbeiningar um persónuverndarfulltrúa, um öryggisbrest fyrir vinnsluaðila á vefsíðu sinni.