Posted on by Þorsteinn Guðmundsson

6 mistök við persónuverndarstefnur

Í nær öllum persónuverndarstefnum er fullyrt að persónuvernd sé tekin alvarlega og að öll vinnsla persónuupplýsinga sé í samræmi við persónuverndarlög. Það sem reynist þó oft fyrsti prófsteinninn á slíkar staðhæfingar er innihald stefnanna.

Hér eru nokkur af þeim mistökum sem sést hafa í persónuverndar- stefnum á netinu.

  1. Djúpt er á stefnunni
    Persónuverndarstefna ætti að vera auðfundin á vefsíðunni og helst ætti ekki að þurfa nema 1 – 2 smelli til að nálgast hana. Lang einfaldast er að hafa hlekk neðst á fyrstu síðu fyrirtækjavefsins sem leiðir mann beint í skjalið.
  2. Blanda saman skilmálum og persónuvernd
    Persónuverndarstefna ætti að vera algerlega aðskilin frá notkunar- eða ábyrgðarskilmálum á vefsíðu. Þannig ættu upplýsingar um vinnslu persónuupplýsinga t.d. ekki að vera einn kafli eða grein í skilmálum sem gilda um notkun á vefnum eða í vefverslun.
  3. Að samþykkja þurfi persónuverndarstefnu
    Það er mikill misskilningur á tilgangi persónuverndarstefnu að gera ráð fyrir að viðskiptavinur eða aðrir þurfi að samþykkja efni stefnunnar. Klausur eins og „… með því að veita okkur persónuupplýsingar, samþykkir þú skilmála og skilyrði þessarar stefnu um persónuvernd.“ hafa enga þýðingu í sjálfu sér. Aftur á móti myndi vinnsla persónuupplýsinga sem byggð er á slíku ætluðu samþykki án efa teljast ólögmæt.
  4. Óljóst hvaða upplýsingar unnið er með og hvenær
    Skýrt þarf að koma fram hvaða upplýsingar unnið er með og hvenær það er gert. Alltof algengt er að sjá orðalag eins og “… dæmi um persónuupplýsingar sem unnið er með”, „… kunnum að vinna með …“ eða „… vinnum einkum …“. Það er lykilatriði að hægt sé að gera sér fyllilega grein fyrir því hvort og þá hvenær unnið er með persónuupplýsingar.
  5. Notað er lagatæknimál og langar málsgreinar
    Forðast ætti að nota upphafið mál eða flókið orðalag. Hinn almenni borgari á að geta skilið efni persónuverndarstefnu án sérþekkingar á persónuverndarlögum. Að sama skapi skal ekki nota langar málsgreinar eða langan samfelldan texta. Betra er að hafa textann hnitmiðaðan og nota upptalningu á punktaformi þegar það á við.
  6. Stefnan ekki uppfærð
    Persónuverndarstefna á að endurspegla starfsemina og vera uppfærð þegar vinnsla eða lög og reglur breytast. Allmörg fyrirtæki eru með persónuverndarstefnur sem hafa verið ekki uppfærðar síðan árið 2018 og sem dæmi má nefna að í mörgum þeirra er þess getið að gagnaflutningur byggi á ,,Privacy Shield” samkomulaginu. Það samkomulag var hins ógilt með dómi Evrópudómstólsins árið 2020 og því ólöglegt að byggja á því.