Breytingar hafa verið gerðar á evrópsku regluverki um persónuverndarlöggjöf, þ.e. annars vegar reglugerð um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og frjálst flæði slíkra upplýsinga og hins vegar að tilskipun um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga hjá löggæslu- og dómsyfirvöldum. Er um að ræða umfangsmestu breytingar sem gerðar hafa verið á persónuverndarlöggjöfinni í tvo áratugi þar sem vernd persónuupplýsinga einstaklinga er tryggð enn frekar og munu reglurnar einnig efla hinn stafræna innri markað Evrópu. Þá mun tilskipun á sviði löggæslu og refsivörslu tryggja öryggi vinnslu persónuupplýsinga ásamt því að efla samvinnu löggæsluyfirvalda í Evrópu í baráttunni gegn hryðjuverkum og öðrum alvarlegum glæpum. Í samræmi við EES-skuldbindingar íslenska ríkisins ber að innleiða þessar breyttu reglur í innlendan rétt í maí 2018.
Það ítrekast að persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem rekja má beint eða óbeint til tiltekins einstaklings, látins eða lifandi. Vinnsla slíkra upplýsinga tekur til allrar notkunar og meðferðar á persónuupplýsingum, t.d. söfnunar, skráningar, geymslu, breytingar, leitar, notkunar, miðlunar, dreifingar eða annarra aðferða til að gera upplýsingarnar tiltækilegar, samantengingar eða samkeyrslu, aðgangstakmörkunar, afmáunar eða eyðileggingar.
Aukin réttarvernd einstaklinga hefur í för með sér m.a. skýrari kröfur til samþykkis áður en persónuupplýsingar eru unnar, aukinn rétt einstaklinga til fræðslu um þá vinnslu persónuupplýsinga sem fer fram hjá fyrirtækjum og stofnunum, aðgang einstaklinga að eigin persónuupplýsingum, réttinn til að gleymast ásamt reglum um hreyfanleika gagna. Þá felast í breytingunum nýjar og breyttar skyldur í starfsemi fyrirtækja og stofnana, m.a. að þessir aðilar greini þá áhættu sem vinnsla persónuupplýsinga kann að hafa fyrir einstaklinga og grípi til viðeigandi öryggisráðstafana sökum hennar, tilnefni sérstakan persónuverndarfulltrúa og haldi í vissum tilvikum skrá yfir vinnsluaðgerðir. Því þurfa fyrirtæki að setja sér sérstaka persónuverndarstefnu, yfirfara verkferla og breyta þeim þar sem þörf er á, tryggja viðeigandi fræðslu innan fyrirtækja og útbúa sérstök eyðublöð eða form vegna samþykkis aðila. Einnig þarf að uppfæra öryggisstefnu, áhættumat og öryggisráðstafanir.
Samhliða þessum breytingum fær Persónuvernd auknar valdheimildir, þ.m.t. heimild til að leggja stjórnsýslusektir á aðila sem gerast brotlegir við hinar nýju reglur, eða allt að 4% af árlegri heildarveltu eða 20 milljón evrum fyrir alvarleg brot og 2% af árlegri veltu eða 10 milljón evrum fyrir vægari brot. Sem dæmi um alvarleg brot er að ekki er heimild fyrir vinnslu, vinnsla uppfyllir ekki grunnskilyrði, hinum skráða ekki veittar upplýsingar, flutningur til ríkis utan EES uppfyllir ekki skilyrði eða fyrirmælum Persónuverndar ekki fylgt. Sem dæmi um vægari brot eru brot á reglum um innbyggða friðhelgi, ekki er gerður vinnslusamningur, öryggisrof ekki tilkynnt eða persónuverndarfulltrúi ekki skipaður.
Ljóst er að þessar breytingar munu hafa áhrif á innlend fyrirtæki og því mikilvægt að þau kynni sér þær breytingar og hagi starfsemi sinni í samræmi við þær. Af þessu tilefni munu SVÞ halda sérstakan kynningarfund fyrir aðildarfyrirtæki samtakanna um málið 17. nóvember nk. þar sem fulltrúar frá Persónuvernd munu fjalla um áhrif þessara breytinga hér á landi.