Ný persónuverndarlöggjöf: Tíminn er að renna út.
Þann 27. apríl 2016 undirrituðu forsetar Evrópuþingsins- og ráðsins reglugerð nr. 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB. Reglugerðin öðlaðist gildi í ESB í maí 2016 og kemur til framkvæmda þar frá og með 25. maí 2018. Tafir hafa hins vegar orðið á upptöku reglugerðarinnar í EES samninginn, en auk þess hefur íslenska ríkið ekki staðið að innleiðingunni með nægilega skilvirkum hætti. Noregur er líkt og Ísland í innleiðingarferli regluverksins á grundvelli aðildar að EES samningnum, en þar komu fram drög að löggjöf til innleiðingar á regluverkinu í júlí 2017. Á Íslandi var það fyrst í seinni hluta nóvember sl. sem skipaður var starfshópur til að innleiða umrædda reglugerð. Drög að nýju lagafrumvarpi voru kynnt hagsmunaaðilum í febrúar sl. og gerð opinber núna í mars. Þrátt fyrir þessar tafir þá er lagt upp með að reglugerðin komi til framkvæmda hér á landi á sama tíma og innan ESB, þ.e. 25. maí nk.
Þann 21. desember 2017 rituðu undirritaðar grein í Morgunblaðið sem bar yfirskriftina „Umfangsmiklar breytingar á persónuverndarlöggjöfinni framundan“. Í umræddri grein var farið yfir helstu ástæður þess að erfiðlega gengur hjá fyrirtækjum og stofnunum í landinu að innleiða regluverkið og voru stjórnvöld hvött til að láta málið til sín taka. Sérstaklega var á það bent að ekki hafði verið gert ráð fyrir viðbótarkostnaði vegna innleiðingarvinnunnar við fjárveitingar ríkisins fyrir árið 2017. Núna, þremur mánuðum síðar, hefur lítið breyst hvað varðar fjármögnun verkefnisins. Í fjárlögum ársins 2018 var ekki gert ráð fyrir viðbótarkostnaði vegna persónuverndarmála til þjónustuveitenda í heilbrigðisþjónustu. Nú hafa verið birt drög að frumvarpi til innleiðingar á reglugerðinni hér á landi en enga umsögn varðandi kostnaðarmat er þar að finna enn sem komið er.
Þetta veldur mörgum rekstraraðilum áhyggjum þar sem það liggur fyrir að innleiðing reglugerðarinnar hefur í för með sér umtalsverðan kostnað fyrir stjórnvöld, opinberar stofnanir og fyrirtækin í landinu. Sem dæmi má taka að samkvæmt reglugerðinni er ábyrgðaraðila og vinnsluaðila skylt að tilnefna persónuverndarfulltrúa í sérhverju tilviki þar sem vinnsla er í höndum opinbers yfirvalds eða stofnunar (e. public authority or body), að undanskildum dómstólum. Skyldan til tilnefningar persónuverndarfulltrúa hvílir einnig á fyrirtækjum sem hafa það að meginstarfsemi að vinna með viðkvæmar persónuupplýsingar eða viðhafa umfangsmikið, reglubundið og kerfisbundið eftirlit með skráðum einstaklingum. Undir þetta falla fjölmörg fyrirtæki sem starfa á grundvelli þjónustusamninga við hið opinbera. Þessum fyrirtækjum er sniðinn þröngur stakkur með fjárframlögum ríkisins og verkefnin sem fjármunir eru ætlaðir í eru ítarlega skilgreind í samningum.
Nú þegar hefur skapast töluverður kostnaður af verkefninu. Fyrirtæki hafa þurft að ráðast í umfangsmikla vinnu við kortlagningu á vinnslu persónuupplýsinga og gerð vinnsluskráa. Í því skyni hafa þau þurft að leita ráðgjafar utanaðkomandi sérfræðinga auk þess sem mikil auka vinna hefur orðið til hjá starfsmönnum innan þessara fyrirtækja. Þá eru fjölmargir kostnaðarsamir óvissuþættir framundan, m.a. varðandi hugsanlegar breytingar á tölvukerfum og vinnuaðstöðu. Þetta setur þessa aðila í erfiða stöðu enda geta þeir ekki stofnað til þessa nauðsynlega kostnaðar nema fyrir liggi að hann verði greiddur.
Samtök fyrirtækja í velferðarþjónustu gera þá kröfu að stjórnvöld grípi til viðeigandi ráðstafana og auki fjárframlög til veitenda heilbrigðisþjónustu til að mæta þessum auknu og íþyngjandi kröfum. Stjórnvöld geta ekki ýtt þessu lengur á undan sér, tíminn er að renna út.
Eybjörg Hauksdóttir, framkvæmdastjóri Samtaka fyrirtækja í velferðarþjónustu
Gunnhildur E. Kristjánsdóttir sérfræðingur í persónurétti hjá SFV.
Greinin birtist í Morgunblaðinu þann 23. mars 2018.