Blaðagrein eftir persónuverndarsérfræðing SFV

Þessi blaðagrein eftir persónuverndarsérfræðing SFV, birtist í Morgunblaðinu þann 12. júní sl. : 

GunnhildurErla enn minni mynd

Áhrif nýrra persónuverndarlaga á ríkissjóð

Í löndum Evrópusambandsins kom til framkvæmda 25. maí ný reglugerð Evrópuþingsins og -ráðsins (2016/679) um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Hér á landi var svo að kvöldi 28. maí lagt fram á Alþingi frumvarp til laga um persónuvernd og vinnslu persónuupplýsinga (Þingskjal 1029, 622. mál), sem ætlað er að lögfesta ákvæði fyrrgreindrar reglugerðar. Fyrsta umræða fór fram daginn eftir og gekk málið því næst til allsherjar- og menntamálanefndar sem hefur kallað eftir umsögnum frá 298 hagsmunaaðilum. Frestur til að skila umsögnum var til 7. júní.

 

Áhrifin verulega vanmetin

Ljóst er að stjórnvöld ætla sér og hagsmunaaðilum skamman tíma í yfirferð á þessu umfangsmikla regluverki sem fyrirhugað er að taki gildi þegar reglugerð ESB hefur verið tekin upp í EES-samningin og birt í Stjórnartíðindum Evrópusambandsins. Líkur standa til að sameiginlega EES-nefndin taki málið fyrir í byrjun júlí og að reglugerðin verði tekin upp í EES-samninginn í kjölfarið. Í frumvarpinu sem lagt var fram á Alþingi var fyrst hægt að kynna sér umfjöllun um mat á áhrifum laganna á ríkissjóð (liður 10.3.). Niðurstöður þess koma verulega á óvart enda eru áhrifin verulega vanmetin að mati Samtaka fyrirtækja í velferðarþjónustu (SFV).

 

Í fyrsta lagi

Í matinu er aðeins gert ráð fyrir kostnaði ríkissjóðs vegna Stjórnarráðsins og ríkisstofnana í A-hluta sjóðsins, en ekkert fjallað um eða gert ráð fyrir stofnunum sem reknar eru á grundvelli fjárframlaga frá ríkinu. Mjög stór hluti heilbrigðisþjónustunnar er rekinn af stofnunum sem heyra ekki undir A-hluta ríkissjóðs enda þótt tekjur þeirra komi nánast að öllu leyti frá ríkinu og séu bundnar af ákvörðunum ríkisins um þjónustugjöld og kostnaðarhlutdeild þjónustuþega. Þessar stofnanir geta ekki farið í fjárfrekar aðgerðir á borð við innleiðingu nýju persónuverndarlaganna án sérstaks framlags til verkefnisins úr ríkissjóði.

 

Í öðru lagi

Rökstuðningur fyrir kostnaðarmati ríkisins er mjög knappur og takmarkaður. Samkvæmt greiningu SFV felast helstu kostnaðarþættir við innleiðingu á löggjöfinni í verkefnisstjórnun og skipun undirbúningsteymis, kortlagningu á allri vinnslu persónuupplýsinga, fræðslu og þjálfun starfsfólks, endurskoðun ferla og skjalagerð, innleiðingu öryggiskerfa, yfirferð og endurnýjun samninga við vinnsluaðila, skipun persónuverndarfulltrúa, úttektum og uppfærslum á kerfum og gjöldum til Persónuverndar vegna kostnaðar sem hlýst af eftirliti og úttektum stofnunarinnar. Þá má auk þess ætla að rekstrarkostnaður til framtíðar felist í starfi persónuverndarfulltrúa, verkefnisstjórnun innan félaganna, þjálfun og fræðslu starfsfólks, árlegum öryggisprófunum, hugbúnaðaruppfærslum og -endurnýjun ásamt gjöldum til Persónuverndar. Verkefnið er því afar umfangsmikið. Enga umfjöllun um þessa kostnaðarliði er að finna í kostnaðarmati ríkisins.

 

Í þriðja lagi

Samkvæmt ítarlegu kostnaðarmati Sambands íslenskra sveitarfélaga, sem einnig má finna umfjöllun um í frumvarpinu (10.4.), er kostnaðurinn við innleiðinguna talinn vera um 0,2% af áætluðum tekjum sveitarfélaga. Í kostnaðarmati ríkisins er kostnaður ríkisstofnana hins vegar metinn um 0,08% af áætluðum tekjum þeirra. Þessi margfaldi mismunur er algjörlega óútskýrður í frumvarpinu. Einnig er rétt að taka fram að innleiðingin mun fela í sér hærri hlutfallskostnað fyrir minni rekstrareiningarnar. Sem dæmi má taka eitt af aðildarfélögum SFV sem er með rekstur upp á um hálfan milljarð króna á ári. Umrædd stofnun er komin vel á veg við kortlagningu og gerð aðgerðaáætlunar. Umrædd stofnun telur kostnað við fyrsta hluta innleiðingarinnar verða um 16 milljónir króna án kostnaðar vegna persónuverndarfulltrúa og eftirfylgni með regluverkinu. Þetta kostnaðarmat nemur um 3% af heildartekjum fyrirtækisins.

 

Þörf á ítarlegri kostnaðargreiningu

Það er ljóst að gríðarleg vinna felst í innleiðingu nýju persónuverndarlaganna sem hafa mun verulegan kostnaðarauka í för með sér hjá fyrirtækjum og stofnunum landsins. Að mati Samtaka fyrirtækja í velferðarþjónustu verður að vanda betur til verka við greiningu á kostnaðaráhrifum löggjafarinnar og tryggja veitendum heilbrigðisþjónustu um land allt eðlilegt fjármagn til að standa undir þessum nýju lögbundnu kröfum.

 

Gunnhildur E. Kristjánsdóttir

Höfundur er lögfræðingur og sérfræðingur í persónurétti hjá Samtökum fyrirtækja í velferðarþjónustu.