Ríkir gagnsæi hjá þínu fyrirtæki? Þorsteinn Guðmundsson skrifar 9. desember 2022 13:31 Í persónuverndarlögum segir að markmið þeirra sé m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs. Stór þáttur í því að njóta friðhelgi einkalífsins gagnvart vinnslu persónuupplýsinga er að vinnslan teljist gagnsæ og sanngjörn, þ.e. uppfylli skilyrði sanngirnisreglu persónuverndarlaga. Það er því grundvallarskilyrði að einstaklingar viti að unnið sé með persónuupplýsingar um þá. Fyrirtækjum sem vinna persónuupplýsingar um viðskiptavini sína ber því samkvæmt persónuverndarlögum að tilkynna þeim um vinnsluna en slíkar upplýsingar hafa mikla þýðingu fyrir viðkomandi t.a.m. til að geta tekið afstöðu til vinnslunnar út frá þeim réttindum sem persónuverndarlög veita. Algengast er að slíkar tilkynningar séu færðar fyrir augu viðskiptavina með svokölluðum persónuverndarstefnum á vefsíðum fyrirtækja. Það skiptir máli hvert innihald persónuverndarstefnu er Fjölmörg atriði þarf að hafa í huga þegar slíkar persónuverndarstefnur eru settar fram en hér verður þó einungis tæpt á þeim helstu. Vart ætti að þurfa taka það fram að mikilvægast af öllu er að fyrirtæki hafi yfirhöfuð upplýsingar um vinnslu þeirra á persónuupplýsingum viðskiptavina á vefsíðu fyrirtækisins t.d. í formi persónuverndarstefnu. Það er ekki síður mikilvægt að persónuverndarstefna sé á áberandi stað og helst á aðalsíðu fyrirtækjavefsins. Þannig ætti ekki að þurfa nema einn til tvo „smelli“ til að komast í stefnuna. Miklu máli getur skipt hvernig persónuverndarstefnur eru orðaðar því skýrt þarf að koma fram hvaða upplýsingar unnið er með og hvenær. Ekki ætti því að nota orðalag eins og “… dæmi um persónuupplýsingar sem unnið er með”, “… gætum unnið með …”, „… kunnum að vinna með …“ eða „… vinnum einkum …“ þegar lýst er hvaða persónuupplýsingar eru unnar. Slíkt orðalag er þó ansi algengt þrátt fyrir að vera ófullnægjandi því eins og áður sagði er það grundvallaratriði að einstaklingar viti hvaða persónuupplýsingar eru unnar um þá og hvenær það er gert. Hér er því mikilvægt að fyrirtæki noti meira afgerandi orðalag enda ætti það ekki að vefjast fyrir fyrirtækjum, sem hafa útbúið vinnsluskrá, hvenær það vinnur persónuupplýsingar um viðskiptavini sína. Rétt er að hafa það í huga að persónuverndarstefnur eru í eðli sínu upplýsingar til hins almenna neytenda og ættu því að vera á einföldu og skýru máli. Forðast ætti að nota óútskýrð hugtök úr persónuverndarlögum og annað lagatæknimál. Því miður er alltof algengt að sjá persónuverndarstefnur þar sem notast er við langar málsgreinar, t.a.m. þar sem vinnslu persónuupplýsinga er lýst í samfelldu máli sem fyllir margar línur. Betra er að setja textann upp í punktaformi til að gera textann aðgengilegri og sporna með því við „upplýsingaþreytu“. Í því samhengi má benda á ef viðskiptavinir skilja almennt ekki efni persónuverndarstefnu og geta þannig ekki ráðið af henni hvaða persónuupplýsingar eru unnar um þá eða hvenær það er gert, þá uppfyllir vinnslan ekki kröfur persónuverndarlaga um sanngirni og gagnsæi. Staða íslenskra fyrirtækja gagnvart persónuvernd Eftir skoðun á fjölda vefsíðna er óhætt að fullyrða að stór hluti fyrirtækja á Íslandi uppfyllir ekki fyrrgreind skilyrði persónuverndarlaga. Í því sambandi ætti að vera nokkuð augljóst að fyrirtæki sem ekki birtir upplýsingar um vinnslu þeirra á persónuupplýsingum viðskiptavina á vefsíðu sinni, getur ekki talist uppfylla kröfur persónuverndarlaga um sanngjarna og gagnsæja vinnslu. Einnig er ljóst að fyrirtæki sem birtir ófullnægjandi persónuverndarstefnu, eins og hér hefur verið lýst, gerir það ekki heldur. Það er mikið í húfi fyrir rekstraraðila að hafa persónuverndarmálin á hreinu því trúverðugleiki fyrirtækja og traust viðskiptavina verða ekki metin til fjár. Það verða þó hins vegar sektarákvarðanir Persónuverndar, því samkvæmt lögunum geta sektir fyrir brot á þeim reglum sem hér um ræðir numið allt að 2,4 milljörðum eða 4% af ársveltu, eftir því hvort er hærra. Rétt er því að hvetja rekstraraðila fyrirtækja til að birta upplýsingar um vinnslu þeirra á persónuupplýsingum viðskiptavina á vefsíðum sínum. Einnig þarf að ganga úr skugga um að persónuverndarstefnan uppfylli skilyrði persónuverndarlaga. Að öðrum kosti gæti aðgerðarleysi í þessum efnum leitt til þess að bæði glatist fé og traust. Höfundur er lögfræðingur og starfar sem persónuverndarráðgjafi. Viltu birta grein á Vísi? Sendu okkur póst. Senda grein Persónuvernd Mest lesið Skattaferðalandið Ísland Björn Ragnarsson Skoðun Lýðræði eða hópeinelti? Margrét Pétursdóttir,Þórarinn Haraldsson,Þórdís Guðjónsdóttir,Sigurveig Benediktsdóttir Skoðun Öryggisgæslu í Mjódd, núna, takk fyrir! Helgi Áss Grétarsson Skoðun Erum við ennþá hrædd við Davíð Oddsson? Magnús Árni Skjöld Magnússon Skoðun Ríkisstjórnin ræðst gegn launafólki og atvinnulausum Finnbjörn A. Hermannson Skoðun Eru álverin á Íslandi útlensk? Guðríður Eldey Arnardóttir Skoðun Einkavæðing orkunnar, skattasniðganga og lífeyrissjóðir Ögmundur Jónasson Skoðun Saman getum við komið í veg fyrir slag Alma D. Möller Skoðun Er þetta virkilega svarið frá Þjóðkirkjunni? – þegar barn þarf að flýja úr helgidóm Hilmar Kristinsson Skoðun Skjáheimsókn getur dimmu í dagsljós breytt Auður Guðmundsdóttir Skoðun Skoðun Skoðun Borgarstefna kallar á aðgerðir og fjármagn Ásthildur Sturludóttir skrifar Skoðun Skjáheimsókn getur dimmu í dagsljós breytt Auður Guðmundsdóttir skrifar Skoðun Eru álverin á Íslandi útlensk? Guðríður Eldey Arnardóttir skrifar Skoðun Öryggisgæslu í Mjódd, núna, takk fyrir! Helgi Áss Grétarsson skrifar Skoðun Erum við ennþá hrædd við Davíð Oddsson? Magnús Árni Skjöld Magnússon skrifar Skoðun Saman getum við komið í veg fyrir slag Alma D. Möller skrifar Skoðun Lýðræði eða hópeinelti? Margrét Pétursdóttir,Þórarinn Haraldsson,Þórdís Guðjónsdóttir,Sigurveig Benediktsdóttir skrifar Skoðun Blóðtaka er ekki landbúnaður Guðrún Scheving Thorsteinsson,Rósa Líf Darradóttir skrifar Skoðun Svar til stjórnunarlegs ábyrgðarmanns frá Keflavík Soffía Sigurðardóttir skrifar Skoðun Ríkisstjórnin ræðst gegn launafólki og atvinnulausum Finnbjörn A. Hermannson skrifar Skoðun 764/O9A: Kannt þú að vernda barnið á netinu? Anna Bergþórsdóttir skrifar Skoðun Opinberir starfsmenn kjósa síður áminningarskyldu Ísak Einar Rúnarsson skrifar Skoðun Einkavæðing orkunnar, skattasniðganga og lífeyrissjóðir Ögmundur Jónasson skrifar Skoðun Er gervigreindarprestur trúlaus eða trúaður? Björgmundur Örn Guðmundsson skrifar Skoðun Skattaferðalandið Ísland Björn Ragnarsson skrifar Skoðun Til hamingju Víkingur Heiðar! Halla Hrund Logadóttir skrifar Skoðun Sjálfbærni með í för – Vegagerðin stígur skref í átt að loftslagsvænni framkvæmdum Hólmfríður Bjarnadóttir skrifar Skoðun Þegar krónur skipta meira máli en velferð barna: Ástæður þess að enginn bauð í skólamáltíðir í Hafnarfirði Jón Ingi Hákonarson skrifar Skoðun Líf eftir afplánun – þegar stuðningur gerir frelsið raunverulegt Steinunn Ósk Óskarsdóttir skrifar Skoðun Á hvorum endanum viljum við byrja að skera af? Davíð Már Sigurðsson skrifar Skoðun Þegar krónur skipta meira máli en velferð barna Jón Ingi Hákonarson skrifar Skoðun Bakslag í opinberri þróunarsamvinnu Gunnar Salvarsson skrifar Skoðun Fyrirmyndar forvarnarstefna í Mosfellsbæ Kjartan Helgi Ólafsson skrifar Skoðun Hvernig léttum við daglega lífið þitt? Einar Geir Þorsteinsson skrifar Skoðun Kína mun ekki bjarga Vesturlöndum að þessu sinni Sæþór Randalsson skrifar Skoðun Er þetta virkilega svarið frá Þjóðkirkjunni? – þegar barn þarf að flýja úr helgidóm Hilmar Kristinsson skrifar Skoðun Átta mýtur klesstar inn í raunveruleikann - hvað er satt og hvað er logið um gervigreindina? Sigvaldi Einarsson skrifar Skoðun Glerbrotin í ryksugupokanum Kristín Kolbrún Waage Kolbeinsdóttir skrifar Skoðun Túrverkir og hitakóf – má ræða það í vinnunni? Já endilega! Katrín Björg Ríkarðsdóttir skrifar Skoðun Draghi-skýrslan og veikleikar Íslands Pawel Bartoszek skrifar Sjá meira
Í persónuverndarlögum segir að markmið þeirra sé m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs. Stór þáttur í því að njóta friðhelgi einkalífsins gagnvart vinnslu persónuupplýsinga er að vinnslan teljist gagnsæ og sanngjörn, þ.e. uppfylli skilyrði sanngirnisreglu persónuverndarlaga. Það er því grundvallarskilyrði að einstaklingar viti að unnið sé með persónuupplýsingar um þá. Fyrirtækjum sem vinna persónuupplýsingar um viðskiptavini sína ber því samkvæmt persónuverndarlögum að tilkynna þeim um vinnsluna en slíkar upplýsingar hafa mikla þýðingu fyrir viðkomandi t.a.m. til að geta tekið afstöðu til vinnslunnar út frá þeim réttindum sem persónuverndarlög veita. Algengast er að slíkar tilkynningar séu færðar fyrir augu viðskiptavina með svokölluðum persónuverndarstefnum á vefsíðum fyrirtækja. Það skiptir máli hvert innihald persónuverndarstefnu er Fjölmörg atriði þarf að hafa í huga þegar slíkar persónuverndarstefnur eru settar fram en hér verður þó einungis tæpt á þeim helstu. Vart ætti að þurfa taka það fram að mikilvægast af öllu er að fyrirtæki hafi yfirhöfuð upplýsingar um vinnslu þeirra á persónuupplýsingum viðskiptavina á vefsíðu fyrirtækisins t.d. í formi persónuverndarstefnu. Það er ekki síður mikilvægt að persónuverndarstefna sé á áberandi stað og helst á aðalsíðu fyrirtækjavefsins. Þannig ætti ekki að þurfa nema einn til tvo „smelli“ til að komast í stefnuna. Miklu máli getur skipt hvernig persónuverndarstefnur eru orðaðar því skýrt þarf að koma fram hvaða upplýsingar unnið er með og hvenær. Ekki ætti því að nota orðalag eins og “… dæmi um persónuupplýsingar sem unnið er með”, “… gætum unnið með …”, „… kunnum að vinna með …“ eða „… vinnum einkum …“ þegar lýst er hvaða persónuupplýsingar eru unnar. Slíkt orðalag er þó ansi algengt þrátt fyrir að vera ófullnægjandi því eins og áður sagði er það grundvallaratriði að einstaklingar viti hvaða persónuupplýsingar eru unnar um þá og hvenær það er gert. Hér er því mikilvægt að fyrirtæki noti meira afgerandi orðalag enda ætti það ekki að vefjast fyrir fyrirtækjum, sem hafa útbúið vinnsluskrá, hvenær það vinnur persónuupplýsingar um viðskiptavini sína. Rétt er að hafa það í huga að persónuverndarstefnur eru í eðli sínu upplýsingar til hins almenna neytenda og ættu því að vera á einföldu og skýru máli. Forðast ætti að nota óútskýrð hugtök úr persónuverndarlögum og annað lagatæknimál. Því miður er alltof algengt að sjá persónuverndarstefnur þar sem notast er við langar málsgreinar, t.a.m. þar sem vinnslu persónuupplýsinga er lýst í samfelldu máli sem fyllir margar línur. Betra er að setja textann upp í punktaformi til að gera textann aðgengilegri og sporna með því við „upplýsingaþreytu“. Í því samhengi má benda á ef viðskiptavinir skilja almennt ekki efni persónuverndarstefnu og geta þannig ekki ráðið af henni hvaða persónuupplýsingar eru unnar um þá eða hvenær það er gert, þá uppfyllir vinnslan ekki kröfur persónuverndarlaga um sanngirni og gagnsæi. Staða íslenskra fyrirtækja gagnvart persónuvernd Eftir skoðun á fjölda vefsíðna er óhætt að fullyrða að stór hluti fyrirtækja á Íslandi uppfyllir ekki fyrrgreind skilyrði persónuverndarlaga. Í því sambandi ætti að vera nokkuð augljóst að fyrirtæki sem ekki birtir upplýsingar um vinnslu þeirra á persónuupplýsingum viðskiptavina á vefsíðu sinni, getur ekki talist uppfylla kröfur persónuverndarlaga um sanngjarna og gagnsæja vinnslu. Einnig er ljóst að fyrirtæki sem birtir ófullnægjandi persónuverndarstefnu, eins og hér hefur verið lýst, gerir það ekki heldur. Það er mikið í húfi fyrir rekstraraðila að hafa persónuverndarmálin á hreinu því trúverðugleiki fyrirtækja og traust viðskiptavina verða ekki metin til fjár. Það verða þó hins vegar sektarákvarðanir Persónuverndar, því samkvæmt lögunum geta sektir fyrir brot á þeim reglum sem hér um ræðir numið allt að 2,4 milljörðum eða 4% af ársveltu, eftir því hvort er hærra. Rétt er því að hvetja rekstraraðila fyrirtækja til að birta upplýsingar um vinnslu þeirra á persónuupplýsingum viðskiptavina á vefsíðum sínum. Einnig þarf að ganga úr skugga um að persónuverndarstefnan uppfylli skilyrði persónuverndarlaga. Að öðrum kosti gæti aðgerðarleysi í þessum efnum leitt til þess að bæði glatist fé og traust. Höfundur er lögfræðingur og starfar sem persónuverndarráðgjafi.
Lýðræði eða hópeinelti? Margrét Pétursdóttir,Þórarinn Haraldsson,Þórdís Guðjónsdóttir,Sigurveig Benediktsdóttir Skoðun
Er þetta virkilega svarið frá Þjóðkirkjunni? – þegar barn þarf að flýja úr helgidóm Hilmar Kristinsson Skoðun
Skoðun Lýðræði eða hópeinelti? Margrét Pétursdóttir,Þórarinn Haraldsson,Þórdís Guðjónsdóttir,Sigurveig Benediktsdóttir skrifar
Skoðun Sjálfbærni með í för – Vegagerðin stígur skref í átt að loftslagsvænni framkvæmdum Hólmfríður Bjarnadóttir skrifar
Skoðun Þegar krónur skipta meira máli en velferð barna: Ástæður þess að enginn bauð í skólamáltíðir í Hafnarfirði Jón Ingi Hákonarson skrifar
Skoðun Líf eftir afplánun – þegar stuðningur gerir frelsið raunverulegt Steinunn Ósk Óskarsdóttir skrifar
Skoðun Er þetta virkilega svarið frá Þjóðkirkjunni? – þegar barn þarf að flýja úr helgidóm Hilmar Kristinsson skrifar
Skoðun Átta mýtur klesstar inn í raunveruleikann - hvað er satt og hvað er logið um gervigreindina? Sigvaldi Einarsson skrifar
Skoðun Túrverkir og hitakóf – má ræða það í vinnunni? Já endilega! Katrín Björg Ríkarðsdóttir skrifar
Lýðræði eða hópeinelti? Margrét Pétursdóttir,Þórarinn Haraldsson,Þórdís Guðjónsdóttir,Sigurveig Benediktsdóttir Skoðun
Er þetta virkilega svarið frá Þjóðkirkjunni? – þegar barn þarf að flýja úr helgidóm Hilmar Kristinsson Skoðun