Ný persónuverndarlöggjöf 259 dagar til stefnu Alma Tryggvadóttir Sérfræðingur í persónurétti
Yfirlit Stóra myndin Skyldur GDPR Aðlögunarferli Áskoranir og praktísk ráð 2
3
Yfirlit: Hvað er GDPR?» GDPR lýst sem byltingu, stærstu löggjöf upplýsingaaldarinnar og tifandi tímasprengju» Markmið GDPR skýrt Jafna leikinn á milli einstaklinga og fyrirtækja varðandi eignarhald, notkun á og virðisaukningu persónuupplýsinga þeirra. Aukið vald til neytenda Einfalda og samræma regluverkið» Virðing fyrir friðhelgi og persónuvernd einstaklinga nú orðin að ófrávíkjanlegri kröfu allra fyrirtækja sem vinna persónuupplýsingar. 4
Yfirlit: Hvenær? 2012 2016 2016 2016 2016 2018 2018 2012 25. janúar 2012: Fyrstu drög að GDPR lögð fram af framkvæmdastjórn ESB 8. apríl 2016: Evrópuráðið samþykkir GDPR 14. apríl 2016: GDPR birt í Stjórnartíðindum ESB 4. maí 2016: Endanlegur texti GDPR birtur á öllum opinberum tungumálum ESB 24. maí 2016: GDPR samþykkt og tekur formlega gildi 25. maí 2018 GDPR kemur til framkvæmda í ESB (2 ára aðlögunartímabili lokið) [ódags.] 2018 Íslensk lög afgreidd af Alþingi eftir upptöku í EES-samninginn 5
Yfirlit: Hvers vegna?» Persónuverndaryfirvöld geta lagt gríðarlega háar sektir á íslensk fyrirtæki 4% af árlegri heildarveltu eða 20 milljónir evra Brot gegn réttindum einstaklinga og grundvallarreglum 2% af árlegri heildarveltu eða 10 milljónir evra Brot gegn skyldum bankans og reglum er lúta að upplýsingaöryggi» Önnur réttarúrræði Málshöfðun, þ.m.t. hópmálshöfðun með stofnun/samtök/félag í fyrirsvari fyrir einstaklinga Skaðabætur eftir almennum reglum» Orðspors- og rekstraráhætta 6
Yfirlit: Hverjir?» Æðstu stjórnendur Stjórn, forstjóri, framkvæmdastjórn, forstöðumenn o.fl.» Lögfræðideild/Regluvarsla/Áhættustýring Persónuverndarfulltrúi, regluvörður, yfirlögfræðingur og lögfræðiráðgjöf, sérfræðingar í áhættugreiningu og - stýringu» Upplýsingatækni Öryggisstjóri, gagnagrunnssérfræðingar, stjórnendur kerfa og hugbúnaðarlausna» Aðrir sem vinna persónuupplýsingar í störfum sínum 7
Kröfur GDPR 8
Kröfur GDPR 9
Aðlögunarferli https://www.nymity.com/workshops-and-webinars/gdpr-webinar-series/less-than-a-year-until-gdpr-compliance-trends-and-analysis.aspx 10
Aðlögunarferli https://www.nymity.com/workshops-and-webinars/gdpr-webinar-series/less-than-a-year-until-gdpr-compliance-trends-and-analysis.aspx 11
Aðlögunarferli https://www.nymity.com/workshops-and-webinars/gdpr-webinar-series/less-than-a-year-until-gdpr-compliance-trends-and-analysis.aspx 12
Aðlögunarferli https://www.nymity.com/workshops-and-webinars/gdpr-webinar-series/less-than-a-year-until-gdpr-compliance-trends-and-analysis.aspx 13
Aðlögunarferli https://www.nymity.com/workshops-and-webinars/gdpr-webinar-series/less-than-a-year-until-gdpr-compliance-trends-and-analysis.aspx 14
Aðlögunarferli hjá Landsbankanum» Sérfræðingur í persónurétti ráðinn í vor» Stýrihópur og 12 manna undirbúningshópur með fjölbreytta reynslu» Tíma-, verkefna- og kostnaðaráætlun Greiningar- og hönnunarfasi Fjölbreyttir vinnupakkar Aðkoma enn fleiri aðila ef þörf er á Tillögur að lausn settar fram út frá kröfum GDPR og starfseminni sjálfri Framkvæmdafasi Tillögur að lausnum úr greiningarfasa innleiddar í framkvæmd Breytingar á verkferlum, reglum, kerfum, framkvæmd o.s.frv. 15
Áskoranir» Einstaklingurinn er raunverulegur eigandi persónuupplýsinga» Hugarfarsbreyting!» Kröfur GDPR skýrar en framkvæmdin óljósari Engin töfralausn og það tekur tíma að finna aðferðafræði» Tilnefning persónuverndarfulltrúa» Öflun trausts 16
Praktísk ráð» Afla sér þekkingar» Kortleggja stöðu fyrirtækis og vinnslu persónuupplýsinga Raunhæf nálgun út frá eðli og stærð starfseminnar Skrá yfir vinnsluaðgerðir» Búa til svigrúm og hefjast handa» Samþætta persónuvernd og daglegan rekstur» Ef einstaklingar vita af hverju persónuupplýsingum þeirra er safnað og hvernig þær eru notaðar þá mun viðeigandi vinnslu og miðlun þessara upplýsinga aukast. 17
The majority of the change needs to be cultural, rather than box-ticking. GDPR is the biggest legal change of the digital age. Mark Lomas, Cap Gemini - Andrew McClellend, The Interactive Media Retail Group (IMRG) For many organizations, it may mean revisiting the core business model. - Vivienne Artz, Citi For any business that touches Europe, no calculation of financial potential, market opportunity, or technology soundness is complete or meaningful if it excludes the GDPR. - Tim Walters, GDPR Consultant 18