Starfsmenn Facto hafa áratuga reynslu hver á sínu sviði. Facto veitir alhliða viðskipta- og lögfræðiráðgjöf með áherslu á:

  • Fasteignakaup
  • Kaup og sölu fyrirtækja
  • Fjármögnun fyrirtækja
  • Innleiðingu Evrópureglugerðar um meðferð persónuupplýsinga (GDPR)
  • Samningagerð
  • Ráðgjöf um uppsetningu bókhalds
  • Ráðgjöf um val á bókhalds- og upplýsingakerfum
  • Þjálfun starfsmanna sem koma að bókhaldsmálum og meðferð persónuupplýsinga

Facto aðstoðar viðskiptamenn sína við innleiðingu nýrra laga um persónuvernd nr. 90/2018, sem byggja á reglugerð frá Evrópusambandinu – GDPR – sem fjallar um um vistun og nýtingu persónuupplýsinga.

Nýju persónuverndarlögin fjalla um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga í Evrópu. Frá gildisdegi munu fyrirtæki þurfa að sýna fram á að þau geti verndað persónugreinanlegar upplýsingar einstaklinga, auk þess að vera í stakk búin til að upplýsa einstaklinga um vinnslu og meðferð persónuupplýsinga þeirra. Þetta mun kalla á miklar breytingar hjá mörgum í vinnuferlum og upplýsingakerfum.

Sérfræðingar Facto geta boðið upp á margvíslega þjónustu er varðar innleiðingu á þessum reglum. Mikilvægt er að innleiðingin sé bæði hagkvæm og markviss.  Facto getur boðið litlum og meðalstórum fyrirtækjum hagkvæmar lausnir á þessu sviði.

Persónuverndarstefna
Facto

Facto fagnar nýrri persónuverndarlöggjöf (GDPR) sem lögfest var í Evrópu þann  25. maí sl. Persónuvernd og öryggi því tengt er lykilatriði í starfsemi Facto sem og í starfsemi viðskiptamanna okkar.  Nauðsyn var á skarpari reglum sem snúa að meðferð fyrirtækja og stofnanna á persónuupplýsingum og eru reglurnar því kærkomin réttarbót. 

Ný persónuverndarstefna Facto er eftirfarandi:

Almennt

  • Facto leggur áherslu á öryggi persónuupplýsinga viðskiptamanna sinna.
  • Facto leggur áherslu á að farið sé með allar persónuupplýsingar í samræmi við lög og reglur um persónuvernd og úrvinnslu persónuupplýsinga (Persónuverndarlögin).
  • Facto leggur áherslu á að vinnsla á persónugreinanlegum upplýsingum sér takmörkuð, að því marki að hægt sé að veita þá þjónustu sem félaginu ber að veita viðskiptamönnum.
  • Facto  leggur áherslu á ábyrga vinnslu upplýsinga um viðskiptamenn og að sú vinnsla sé gerð á ábyrgan, öruggan og löglegan hátt.
  • Facto leggur áherslu á að allar upplýsingar um viðskiptamenn Facto, sem þeir láta félaginu í té eða sem félagið sækir með þeirra leyfi til þriðja aðila séu eingöngu sóttar í þeim tilgangi að hægt sé að veita þeim þá þjónustu sem þeir eiga rétt á.

Persónuupplýsingarnar

Facto ábyrgist;

Að nota aðeins persónuupplýsingar í lögmætum tilgangi.

Að þegar deilt er persónuupplýsingum viðskiptamanna með þriðja aðila, í lögmætum tilgangi, t.d. vegna tæknilegs viðhalds eða þjónustu vegna greiðslu, skuldbindur Facto að vinnsla slíkra upplýsinga takmarkist við þá þjónustu sem inna skal af hendi.

Að tryggja fullan trúnað þriðju aðila við vinnslu persónugreinanlegra upplýsinga.

Að virða að viðskiptamenn Facto eru eigendur að sínum eigin persónuupplýsingum og hafi einir aðgang að slíkum upplýsingum, ásamt tilnefndum starfmönnum Facto.

Tölfræðilegar samantektir

Facto áskilur sér rétt til að útbúa ópersónugreinanlegar tölfræðilegar samantektir og aðrar afleiddar upplýsingar sem án alls vafa eru ekki persónugreinanlegar og nota sér þær í starfi félagsins, til dæmis fyrir ársskýrslu Facto, fréttabréf og á fundum á vegum félagsins.

Heimasíða Facto

Á heimasíðu (vefsvæði) Facto, kann félagið að safna tæknilegum upplýsingum um notkun, t.d. um tegund vafra, hvaða vefsíður notendur heimsækja á vefsvæðinu, heildartímann sem notendur verja á vefnum o.s.frv. Þess konar upplýsingar eru eingöngu notaðar til að bæta upplifun notenda af þjónustunni, t.d. með því að bæta hönnun þjónustunnar eða láta notendur vita af hugsanlegum tæknilegum vandamálum í búnaði þeirra. Engum pesónugreinanlegum upplýsingum er safnað saman við slíka vinnslu.

Upplýsingar til 3. aðila

Facto skuldbindur sig að afhenda ekki gögn um viðskiptamenn félagsins til þriðja aðila nema félaginu sé það skylt samkvæmt lögum eða samkvæmt skriflegri beiðni viðskiptamanns.

Bókhaldsgögn

Bókhaldsgögn Facto eru vistuð í samræmi við öryggiskröfur persónuverndarlaganna og laga um færslu bókhalds og varðveislu þess.  Geymsla og vistun slíkra upplýsinga miðast við lög þess efnis.

Takmörkun ábyrgðar

Að því marki sem gildandi lög heimila, ber Facto enga skaðabótaábyrgð vegna atvika sem upp kunna að koma við vinnslu persónuupplýsinga, nema ef hægt er að rekja slík atvik til stórfeldrar/vítaverðrar vanrækslu eða misferlisaf hálfu félagsins.

Facto ber enga ábyrgð á töfum sem verða á þjónustunni eða því að þjónustan virki ekki sem skyldi vegna óviðráðanlegra atvika (force majeure).

Lög og lögsaga

Þessi persónuverndarstefna fellur undir íslensk lög. Leysa skal úr ágreiningi sem kann að rísa eða í tengslum við persónuverndarstefnuna fyrir Héraðsdómi Reykjavíkur ef ekki er hægt að leysa úr honum á annan hátt.

Breytingar

Facto áskilur sér rétt til þess að breyta og uppfæra persónuverndarstefnu þessa hvenær sem er. Við látum vita af slíkum breytingum á heimasíðu Facto.

Tengiliðaupplýsingar

Allar frekari upplýsingar varðandi persónuverndarstefnu Facto eru veittar á  skrifstofu félagsins og eða í gegnum netfang; facto@facto.is

Traust og trúnaður er eitt af einkunnarorðum Facto og leggur félagið mikla áherslu á að tryggja öryggi persónuupplýsinga,  sem viðskiptamenn Facto treysta félaginu fyrir í starfsemi sinni.

Samþykkt af stjórn Facto  þann 3. febrúar 2018

Facto is a dynamic young company with an experienced and knowledgable
group of staff. Our team consists of well versed specialists in many areas –
providing solutions oriented services to businesses and individuals alike.

Clients come to us for:

  • International experience
  • Representation in Iceland
  • Exploration of business and investment opportunities
  • Extensive local business knowledge and relationships
  • Corporate and individual finances
  • Premier legal councelling and representation
  • Currency matters
  • Capital markets experience
  • Real Estate research and perspectives, evaluation and sales
  • Mergers and Acquisitions
  • Issues regarding implementation and preparation for the General Data Protection Regulation (GDPR)

Your business is our business.

Google áfrýjar 50 milljón EUR sekt – fyrirfram samþykki ekki talið nægjanlegt

Núna í lok janúar sektaði franska Persónuverndarstofnunin (CNIL) bandaríska netrisann Google um hvorki meira né minna en 50 milljón EUR vegna brota á persónuverndarlögum.  Var þetta í fyrsta sinn sem stofnunin beitti sektarákvæði persónuverndarlaga í máli sem þessu.  Sektin er tilkomin vegna ófullnægjandi upplýsinga, ógagnsæis og ófullnægjandi vinnubragða við öflun samþykkis.  Hér er um að ræða langhæstu sektarfjárhæðina, sem fallið hefur í Evrópu eftir gildistöku nýju persónuverndarreglnanna – GDPR.  Google hefur tekið ákvörðun um að áfrýja úrskurðinum.

CNIL komst að þeirri niðurstöðu að ekki væri staðið rétt að miðlun upplýsinga um notkun persónuupplýsinga.   Flókið væri fyrir notendur að nálgast nálgast slíkar upplýsingar og að þeim væri ekki gert kleift að skilja hvernig upplýsingarnar væru unnar og nýttar eða hvernig þeim væri deilt og þá notaðar til þess að gera persónulegt sniðmát fyrir auglýsendur.  Þar að auki væru engar upplýsingar gefnar um hversu lengi perónuupplýsingar væru geymdar.  Google staðhæfði að samþykkis væri aflað hjá notendum fyrir því að nota persónuupplýsingar til þess að sníða auglýsingar að einstaklingum.  CNIL taldi það ekki nægilegt í ljósi framangreinds.  Upplýsingarnar væru samnýttar á mörgum ólíkum vefsíðum og að notendur gætu ekki áttað sig á hversu margar síður og þjónustur notfæra sér, samnýta og samkeyra upplýsingarnar.  Þar að auki væri hakbox fyrir samþykki útfyllt fyrirfram en persónuverndarreglurnar krefjast þess að notandi samþykki hverja og eina notkun með aðgerð en ekki aðgerðarleysi.

Google hefur tekið ákvörðun um að áfrýja þessum úrskurði eins og áður segir.  En mörg álitamál hafa risið í kjölfar þessa úrskurðar og mörgum spurningum er ósvarað.  Gagnrýnendur Google segja, að ef einstaklingar skilji ekki hvernig persónuupplýsingar eru nýttar hvernig geti þeir þá tekið upplýsta ákvörðun um notkun á viðkomandi þjónustu.  Það er einnig ljóst að vafamál kann að vera að fyrirfram samþykki um að viðkomandi þjónusta noti vafrakökur eins og alþekkt er hér á landi sé nægilegt til þess að uppfylla kröfur persónuverndarreglnanna um upplýst samþykki.  Framhald málsins getur því skipt miklu máli og haft áhrif á almenna notkun samfélagsmiðla og annara netmiðla.  Eitt er ljóst að til þess að fyrirfram samþykki nægi þá þarf það að vera gefið á grundvelli gegnsærra og auðskiljanlegra upplýsinga.

Kærum og úrskurðum byggðum á nýju persónuverndarreglunum fjölgar stöðugt í Evrópu og netmiðlar og upplýsingatæknifyrirtæki eru sérstaklega viðkvæm fyrir þessum nýju reglum.

 

Fyrstu sektirnar í Evrópu: Sjúkrahús sektað um 400 þúsund EUR

Nú hafa fyrstu sektarúrskurðirnir fallið í Evrópu eftir að nýtt regluverk um persónuvernd – GDPR – tók gildi. Rétt er þó að geta þess að í febrúar höfðu yfir 60 þúsund tilkynningar um brot gegn persónuverndarreglunum borist yfirvöldum á EES svæðinu en einungis rúmlegar 90 sektarúrskurðir fallið. Þeim á hins vegar örugglega eftir að fjölga.

Þýskur spjallvefur knuddels.de var sektaður um 20.000 EUR eftir að persónuupplýsingar yfir 330.000 notenda voru hakkaðar. Stjórnendur vefsins tilkynntu um öryggisbrotið og unnu með yfirvöldum að lagfæringum og var m.a. litið til þess og sektir því mjög hóflegar.

Í Portúgal var sjúkrahús (Centro Hospitalar Barreiro Montijo) hins vegar sektað um 400.000,- EUR fyrir að gæta ekki að persónuverndarreglum við vinnslu sjúkraskýrslna. Allir læknar sjúkrahússins höfðu óheftan aðgang að sjúkraskýrslum allra sjúklinga og mun fleiri læknar höfðu aðgang að skýrslunum heldur en eingöngu þeir sem störfuðu við sjúkrahúsið svo eitthvað sé talið. Sjúkrahúsið taldi sig ekki bera ábyrgð m.a. vegna þess að notast var við miðlægt upplýsingakerfi sem heilbrigðisráðuneytið í Portúgal hafði útvegað (provided). Portúgalska persónuverndin (CNPD) hafnaði þeim rökum og taldi sjúkrahúsið ábyrgt sem ábyrgðaraðila á grundvelli persónuverndarreglna. Ekki er vitað nákvæmlega hvernig sektirnar voru útreiknaðar en flestir eru sammála því að yfirvöld hafi litið svo á að alvarleiki málsins ætti að hafa áhrif á fjárhæð sekta. Þessi úrskurður er um margt áhugaverður og verða honum gerð betri skil hér fljótlega.

 

Facto og Endor gera samstarfssamning um innleiðingu GDPR

Facto og Endor hafa gert með sér samstarfssamning um innleiðingu GDPR fyrir við viðskiptavini sína. Jafnhliða innleiðingu verður því hægt að taka út upplýsinga – og tölvukerfi og tryggja að þau séu í samræmi við GDPR reglur og þá persónuverndarstefnu viðkomandi fyrirtækis.

Facto fagnar þessum áfanga enda er Endor öflugt fyrirtæki á sínu sviði og samningurinn mun tryggja heildstæða þjónustu fyrir viðskiptavini fyrirtækjanna og tryggja að öryggiskröfur séu í fullu samræmi við GDPR. Jafnframt mun samningurinn stytta boðleiðir og þá þann tíma sem innleiðingin tekur

Innleiðinging ekkert smámál

Er fyrirtækið þitt í stakk búið til þess að innleiða GDPR, nýja reglugerð Evrópuþingsins um persónuupplýsingar?

Starfsmenn Facto eru þessa dagana á fullu að aðstoða viðskiptavini sína við innleiðingu reglugerðarinnar. Þjónustan er margvísleg og má þar helst nefna:

  • Greiningu á núverandi stöðu og uppsetningu aðgerðaráætlunar
  • Greiningu og skráningu á persónuupplýsingum
  • Aðstoð við samningagerð milli ábyrgðar- og vinnsluaðila
  • Aðstoð við að útbúa skrá um vinnsluaðgerðir
  • Greiningu á öryggi við vinnslu og aðstoð við úrbætur
  • Skilgreiningu og fræðslu um hlutverk persónuverndarfulltrúa
  • Þjálfun starfsfólks

Reglugerðin tekur gildi þann 25. maí nk. Innleiðing reglugerðarinnar er ekki einfalt verkefni og því er eins gott að byrja strax og ekki láta þessa vinnu sitja á hakanum.

 

Eins og starfsmenn Facto vita er innleiðing GDPR ekkert smámál og nú hafa Samtök atvinnulífsins lýst yfir áhyggjum af stöðu mála:

Samtök atvinnulífsins gagnrýna aðferðarfræðina við innleiðingu reglugerðarinnar

Í fyrsta lagi hafa Samtök atvinnulífsins (SA) gagnrýnt þá leið sem farin er við innleiðingu á reglugerð Evrópusambandsins um persónuvernd (GDPR). Lagt er til að reglugerðin verði lögfest, valdar greinar úr henni umritaðar og að hún eigi að ganga framar íslenskum lögum. Á sama tíma verði vikið frá ýmsum ákvæðum reglugerðarinnar með lögum.

SA telja að þetta muni valda mikilli réttaróvissi og misskilningi í framkvæmd og efast um að þessi innleiðingaraðferð standist kröfur íslenskar stjórnskipunar og 7. gr. EES samningsins. SA leggja til að farin verði sama leið og á hinum Norðurlöndunum, þ.e. að reglugerðin verði innleidd með tilvísunaraðferð og lögfestar verði svo sérstaklega þær útfærslur, ívilnandi sérreglur og takmarkanir sem settar verða.

Samtök Atvinnulífsins hafa jafnframt áhyggjur af tímasetningunni.

Í öðru lagi þá lýsa SA yfir áhyggjum sínum af því að frumvarpið verði ekki orðið að lögum þann 25. maí nk. líkt og hjá öðrum löndum EES-svæðisins. Ef sú verður raunin mun Ísland flokkast sem svokallað þriðja ríki. Það gæti haft í för með sér umtalsvert fjárhagslegt tjón fyrir hið opinbera, atvinnulífið og viðsemjendur þeirra ásamt því að veikja samkeppnishæfni íslenskra fyrirtækja í alþjóðlegri starfsemi.

Hafa áhyggjur af of  íþyngjandi regluverki
Í þriðja lagi  lýsa SA yfir andstöðu við að í frumvarpsdrögunum sé í mörgum tilvikum gengið lengra í innleiðingu en þörf er á með setningu íþyngjandi sérreglna. Í því sambandi gagnrýna samtökin meðal annars að lagt sé til að fyrirtæki þurfi, ólíkt samkeppnislöndum sínum, að standa undir kostnaði við eftirlit. Að sama skapi er lagt til að það svigrúm sem reglugerðin heimilar til setningar ívilnandi undanþáguheimilda fyrir atvinnulífið verði lítið sem ekkert nýtt.

Skorað á Persónuvernd að gæta  hófsemdar
Ýmislegt annað er tiltalið og m.a. benda SA á að í ljósi umfangs málsins og skamms tímafrests sé afar brýnt að Persónuvernd setji fræðslu- og leiðbeiningarhlutverk sitt í forgrunn og sýni hófsemd í beitingu sekta á næstu misserum. Alltof stuttur tími sé þar til regluverkið eigi að taka gildi.