GDPR – QUESTIONS AND ANSWERS
Hvað er GDPR?
GDPR er skammstöfun fyrir General Data Protection Regulation, reglugerð Evrópuþingsins og -ráðsins (ESB) 2016/679 frá 27. apríl 2016. Reglugerðin fjallar um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Ýmist er talað um GDPR eða almennu persónuverndarreglugerðina. Hún kom til framkvæmda innan ESB 25. maí 2018 og 15. júlí sama ár tóku í gildi lög á Íslandi nr. 90/2018 sem lögfestu reglugerðina. Við smíði laganna var einkum tekið mið af löggjöf Norðmanna um efnið en bæði ríkin standa ein Norðurlandanna utan ESB sem aðilar að samningnum um Evrópska efnahagssvæðið.
Hvað eru persónuupplýsingar?
Með persónuupplýsingum er átt við allar gerðir upplýsinga sem beint eða óbeint tilheyra einstaklingi sem er á lífi. Samkvæmt lögum telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, stað¬setn¬ingar¬gögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlis-fræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.
Myndir og hljóðupptökur af einstaklingum sem unnar eru með tölvu geta verið persónuleg gögn, jafnvel þótt ekkert nafn sé nefnt. Dulkóðuð gögn og mismunandi gerðir rafrænna auðkenna, svo sem IP-tölur, eru taldar persónuupplýsingar ef hægt er að tengja þau við einstaklinga. Persónuupplýsingar geta einnig innihaldið upplýsingar um starfsfólk eða viðskiptavini, svo og hugsanlega viðskiptavini.
Hver er tilgangurinn með GDPR?
Markmið almennu persónuverndar¬reglu¬gerðar¬innar (GDPR) er tvíþætt. Annars vegar að auka persónuvernd og veita einstaklingum meiri stjórn á eigin persónuupplýsingum. Hins vegar að greiða fyrir virkni hins innri stafræna markaðar með samræmdum reglum. Með reglugerðinni leitast ESB við að skapa sátt meðal aðildarríkja ESB í tengslum við regluverkið og túlkun þess.
Áður gilti tilskipun um persónuvernd sem veitti ríkjunum tiltekið svigrúm við innleiðingu og það skapaði ósamræmi við túlkun og beitingu hennar. Með setningu reglugerðarinnar er leitast við að komast hjá slíku ósamræmi.
Hvaða áhrif hefur GDPR á mig sem viðskiptavin InExchange?
Almennu persónuverndarreglugerðinni (GDPR) fylgja engar meiri háttar breytingar fyrir viðskiptavini InExchange nema að nú þurfa þeir að skrifa undir undir samning um vinnslu og meðferð persónuupplýsinga.
Reikningarnir mínir innihalda viðkvæmar persónuupplýsingar viðskiptavina minna. Hvernig meðhöndlar InExchange þær?
Eins og kveðið er á um í samningnum um vinnslu persónuupplýsinga vinnur InExchange persónuupplýsingar í samræmi við lög.
Hvað verður um reikninga mína ef ég kýs að hætta viðskiptum við InExchange?
Reglugerðin hefur ekki áhrif á geymslutíma upplýsinga. Gegn beiðni þar um á viðskiptavinurinn rétt á því við lok viðskipta að fá afhenta reikninga sem innihalda persónuupplýsingar.
Hvar eru upplýsingar sem verða til í viðskiptum mínum við InExchange vistaðar?
Á Íslandi.
Eru persónuupplýsingar viðskiptavina notaðar af InExchange eða öðrum aðila í einhverjum öðrum tilgangi en yfirlýstur er í upphafi? Ef svo er hverjir gera það?
Nei.
Hvað gerir InExchange hvað varðar eftirlit og stjórnun atvika?
Það er sólarhrings eftirlit með vélbúnaðinum og stýrikerfinu í gegnum hýsingaraðila okkar. Innri einingar í kerfislausnum eru vaktaðar og þeim er viðhaldið af tæknimönnum hjá InExchange.
Gildir GDPR aðeins um einstaklinga eða taka reglurnar einnig til einstaklinga sem eru einkafyrirtæki?
Já, einstaklingar sem eru einkafyrirtæki falla undir almennu persónuverndarreglugerðina (GDPR).
Hafa bókhaldslögin, þar sem segir halda þurfi bókhald á pappír og stafrænt í sjö ár, forgang fram yfir GDPR?
Nei, almenna persónuverndar¬reglu¬gerðin (GDPR) er reglugerð ESB og hún hefur forgang fram yfir íslensk lög. Hins vegar heimilar reglugerðin að vista og vinna gögn á grundvelli krafna í löggjöf ESB eða landslögum.
Hvað felst í „réttinum til að gleymast“?
Allir eiga rétt á því að fara fram á að fyrirtæki eða stjórnvald sem vinnur með persónuupplýsingar eyði gögnum sem tengjast þeim. Ef gögnum er eytt að beiðni einstaklings ber að upplýsa þá, sem hafa fengið hafa gögnin, um eyðinguna.
Hversu langan tíma tekur það InEchange að eyða gögnunum mínum?
Persónuupplýsingarnar verða merktar til eyðingar um leið og beiðni berst og þeim verður eytt eða þau gerð ópersónugreinanleg að þremur mánuðum liðnum.