Blaðagrein um nýja persónuverndarlöggjöf

Umfangsmiklar breytingar á persónuverndarlöggjöfinni framundan

Ný persónuverndarlöggjöf frá Evrópusambandinu var undirrituð þann 27. apríl 2016 og mun taka gildi þann 25. maí nk. í Evrópu. Löggjöfin felur í sér umfangsmestu breytingar sem gerðar hafa verið á persónuverndarlöggjöfinni í tvo áratugi. Nýja löggjöfin felur í sér stórauknar kröfur á öll fyrirtæki og aðra aðila sem vinna með persónuupplýsingar. Þá fylgja löggjöfinni víðtækar sektarheimildir, allt að 4% af árlegri heildarveltu fyrirtækis eða 20 milljónum evra. Vegna þessa hafa fyrirtæki innan Evrópusambandsins markvisst undirbúið sig fyrir gildistöku löggjafarinnar undanfarin tvö ár.

 

Fyrirtæki, stofnanir og félagasamtök sem veita velferðarþjónustu á Íslandi vinna daglega með mikið magn viðkvæmra heilsufarsupplýsinga, hvort heldur sem er hjúkrunarheimili, spítalar eða aðrir. Ný löggjöf verður því mikil áskorun fyrir hlutaðeigandi, jafnvel þótt þjónustuveitendur uppfylli allar kröfur núgildandi persónuverndarlöggjafar. Sem dæmi um nýjar og kostnaðarsamar kröfur má nefna kröfu um skipun persónuverndarfulltrúa, auknar kröfur um skipulags- og tæknilegar ráðstafanir til að sýna fram á að farið sé að meginreglunum, svo sem með skrásetningu á allri vinnslu persónuupplýsinga. Þá eru einnig gerðar meiri kröfur um öryggi og gagnsæi við vinnslu persónuupplýsinga og aukin réttindi varðandi aðgengi einstaklinga að upplýsingum um sig. Þessar kröfur geta og munu að öllum líkindum hafa í för með sér töluverðar kerfis- og hugbúnaðaruppfærslur eða jafnvel endurnýjun á slíkum búnaði.

 

Þrátt fyrir að veitendur heilbrigðisþjónustu viti að umrædd löggjöf taki gildi í maí nk. og að uppfylla þurfi ákvæði löggjafarinnar frá fyrsta degi er undirbúningurinn því miður kominn skammt á veg hjá flestum þessara aðila. Ástæðurnar eru margar, en þessar hvað veigamestar:

 

1.      Engin fjárveiting liggur fyrir

Tekjur þjónustuveitenda í heilbrigðisþjónustu koma nánast að öllu leyti frá ríkinu í formi þjónustugjalda eða annarra greiðslna. Þær greiðslur eru mjög naumt skammtaðar og yfirleitt ítarlega skilgreint í hvað þær mega fara. Að engu leyti var gert ráð fyrir viðbótarkostnaði vegna innleiðingar umræddrar löggjafar á árinu 2017. Samtök fyrirtækja í velferðarþjónustu (SFV) hafa ítrekað óskað eftir upplýsingum frá opinberum aðilum um hvort og þá að hvaða leyti verði gert ráð fyrir viðbótarkostnaði vegna þessa á árinu 2018. Engin formleg svör hafa borist. Innleiðing löggjafarinnar felur í sér að hlutaðeigandi aðilar þurfa að kaupa mjög sérhæfða þjónustu, auk mikillar vinnu hjá starfsmönnum umræddra fyrirtækja og stofnana. Þessir aðilar geta ekki stofnað til þessa nauðsynlega kostnaðar nema fyrir liggi að hann verði greiddur.

 

2.      Lagafrumvarp liggur ekki fyrir

Þrátt fyrir að umrædd löggjöf hafi verið samþykkt af ESB um mitt ár 2016 hefur hún enn ekki verið lögleidd í íslenskan rétt. Drög að lagafrumvarpi hafa heldur ekki verið lögð fram á Alþingi eða til umsagnar á vegum dómsmálaráðuneytisins. Af 99 greinum löggjafarinnar gefa um 50 svigrúm til mismunandi útfærslu að einhverju leyti við innleiðingu í innlendan rétt. Hvernig löggjöfin verður útfærð á Íslandi liggur því ekki enn fyrir og veldur erfiðleikum við innleiðingu regluverksins.

 

3.      Skortur á fræðslu og leiðbeiningum stjórnvalda

Samkvæmt stjórnsýslulögum hvílir sú leiðbeiningarskylda á stjórnvöldum að veita þeim sem leita til þeirra nauðsynlega aðstoð og leiðbeiningar varðandi mál sem snerta starfssvið viðkomandi aðila. Eitt af mörgum hlutverkum Persónuverndar er að veita slíkar leiðbeiningar. Þrátt fyrir að þetta umrædda verkefni hafi legið fyrir frá árinu 2016 virðist sem Persónuvernd hafi ekki verið úthlutað því fjármagni sem henni er nauðsynlegt til að geta stutt við innleiðingu regluverksins með fullnægjandi hætti. Í maí 2017 kölluðu SFV eftir því að Persónuvernd héldi fund með veitendum heilbrigðisþjónustu til að ræða þau álitamál er snúa að þjónustu þessara aðila. Sá fundur hefur ekki enn verið haldinn. Einnig hefur verið kallað eftir fullnægjandi formum frá Persónuvernd, meðal annars er varðar kortlagningu á vinnslu og vinnsluskrár, en þau gögn hafa ekki fengist. Þá hefur gengið erfiðlega að fá svör við fyrirspurnum. Það er enginn vafi á því að Persónuvernd er skipuð hæfu fólki sem reynir af fremsta megni að sinna verkefnum sínum. Það er hins vegar alveg ljóst eigi stofnunin að geta sinnt skyldum sínum við innleiðingu löggjafarinnar verður að bæta þar við starfsfólki.

 

Ofangreindir þættir hafa allir leitt til þess að flestir opinberir aðilar, eða aðilar sem starfa á grundvelli greiðslna frá ríkinu, eru ekki komnir nægilega langt á veg í undirbúningi sínum fyrir gildistöku nýrrar löggjafar. Viljinn er til staðar hjá öllum þjónustuveitendum að framkvæma nauðsynlegar úrbætur en tíminn er naumur og fjármunir, leiðbeiningar og úrræði af skornum skammti. Samtök fyrirtækja í velferðarþjónustu skora því á stjórnvöld að veita þessu verkefni þá athygli og fjármuni sem þarf, svo öllum hlutaðeigandi aðilum sé gert kleift að sinna þessu nauðsynlega verkefni með sómasamlegum hætti. 

 

Eybjörg Hauksdóttir, framkvæmdastjóri Samtaka fyrirtækja í velferðarþjónustu

Gunnhildur E. Kristjánsdóttir sérfræðingur í persónurétti hjá SFV.

 

Greinin birtist í Morgunblaðinu þann 21. desember 2017.