Er vefurinn klár fyrir GDPR?


Í dag 15. júlí 2018 tóku gildi ný lög ( nr. 90/2018 ) um persónuvernd og vinnslu persónuupplýsinga.  

Með löggjöfinni öðlast einnig lagagildi á Íslandi reglugerð Evrópuþingsins og Ráðsins (ESB) 2016/679 frá 27. apríl 2016. (Genereal Data Protection Regulation, GDPR).

Lögin fela í sér aukin réttindi þegar kemur að persónuvernd. 

 

Öll fyrirtæki skulu hafa auðskiljanlega persónuverndarstefnu.

Gerð er sú krafa að einstaklingar séu upplýstir um hvaða upplýsingum sé safnað og í hvaða tilgangi og jafnframt að þeir veiti samþykki.

 

Persónuvernd skal vera innbyggð í nýjan hugbúnað og upplýsingakerfi.

Innleiðingin hefur óhjákvæmilega í för með sér kostnað við ráðgjöf og uppfærslur.

 

 

Brot gegn reglum geta varðað háum sektum.

Sekt fyrir alvarlegustu brot getur numið allt að 4% af árlegri heildarveltu fyrirtækis eða allt að 20 milljónum evra (um 2,5 milljörðum króna), eftir því hvort er hærra.

 

Hvaða áhrif hefur þetta á vefinn þinn?

Eins og fram kemur hér að ofan þurfa öll fyrirtæki nú að vera með persónuverndarstefnu.  Þú þarft að upplýsa notendur vefsins um hvort þú safnar persónuupplýsingum og ef svo er, í hvaða tilgangi og hvaða lagaleg forsenda sé fyrir hendi.

Ef þú notar tölfræðitól eins og Google Analytics, tekur á móti persónuupplýsingum í gegnum einfalt „Hafðu samband“ form eða rekur netverslun svo dæmi sé tekið, þá þarftu að gera ráðstafanir.

Hvað þarf að gera?

Það þarf að byrja á því að greina vefinn og athuga hvort þú ert að nota vafrakökur eða aðrar lausnir sem fylgjast með notendum og geyma persónuupplýsingar.  

Ef þú ert að nota vafrakökur í slíkum tilgangi, þá þarf að útbúa vafrakökustefnu og ganga þannig frá tæknilega að notandi geti samþykkt eða synjað notkun þeirra. 

Það er ekki nóg að segja: Með því að heimsækja eða nota vefinn samþykkir þú notkun á vafrakökum  og hafa svo bara einn hnapp fyrir Samþykkja.  Samþykkið þarf að vera óþvingað (3. grein laga) og notandi á rétt á að synja. Ef notandi synjar, þá þarf að ganga þannig frá tæknilega að vafrakakan verði óvirk hjá þessum aðila.

Ef þú ert að nota form, þá þarf að ganga þannig frá að notandi gefi samþykki fyrir skráningu og vinnslu persónuupplýsinga áður en þær eru sendar.

Þetta eru aðeins nokkur dæmi um atriði sem þarf að kanna.  Best er að fá tilboð í innleiðingu á GDPR fyrir þinn vef.

Myndirnar hér að ofan eru skjáskot úr bæklingi Persónuverndar