Valitor logo

Persónuvernd korthafa

Upplýsingar vegna gildistöku Persónuverndarreglugerðar ESB (GDPR)

Inngangur

Traust og heiðarleiki eru grundvallargildi Valitors. Við leggjum ríka áherslu á að tryggja öryggi og gæði þeirra gagna sem okkur er treyst fyrir.
Hér munum við fara yfir endurbætur á persónuverndar- og upplýsingaöryggisstefnu okkar sem endurspeglar breytingar á laga- og tækniumhverfi sem snertir friðhelgi, persónuvernd og gagnaöryggi.

Mikilvægar staðreyndir

Hvað er Persónuverndarreglugerð ESB (GDPR)?

Persónuverndarreglugerð ESB (GDPR) setur reglur um meðferð persónuupplýsinga  sem eiga uppruna sinn innan Evrópska efnahagssvæðisins (EES) og athafnir þeirra sem vinna úr og hafa eftirlit með þessum gögnum.

Nýja reglugerðin kemur í stað eldri tilskipunar um persónuvernd frá 1995. Þó að flest ákvæði nýju reglugerðarinnar séu byggð á eldri löggjöf er nýja löggjöfin mun ítarlegri og gerir aukna kröfur til fyrirtækja til þess að sýna fram á framfylgni við persónuverndarlöggjöfina.  Fyrirtæki sem fram að þessu hafa fylgt öllum reglum sem gilda um meðferð persónuupplýsinga verða að aðlaga starfsemi sína að auknum kröfum um reglufylgni og breyta núgildandi persónuverndarstefnu sinni. Á Íslandi var almenna persónuverndarreglugerðin  (GDPR) innleidd í lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, sem samþykkt voru á Alþingi 13. júní 2018.

Hvenær tekur GDPR gildi?

Reglugerðin tók gildi í ríkjum Evrópusambandsins 25. maí 2018 og á Íslandi hinn 15. júlí 2018.

Hverjar eru nýjungarnar?

Helstu nýjungarnar sem taka gildi með GDPR eru m.a.: aðgangur einstaklinga að persónuupplýsingum; rétturinn til að fá aðgang að upplýsingum um sig, rétturinn til að mótmæla vinnslu persónuupplýsinga og rétturinn til að fá upplýsingum eytt, nýjar skyldur er varða meðferð persónuupplýsinga, skipun persónuverndarfulltrúa og ný sektarákvæði.

GDPR mun sennilega hafa mest áhrif á þig sem korthafa og því viljum við gefa þér yfirlit yfir nýju löggjöfina og hvaða áhrif hún hefur á þig.

Yfirlit

Í janúar 2012 setti framkvæmdastjórn ESB af stað vinnu um endurskoðun á löggjöf um persónuvernd til að undirbúa Evrópu fyrir nýrri tækniþróun. Tæplega fjórum árum síðar náðist samkomulag um hvað fælist í þessu og hvernig hrinda skyldi áætluninni í framkvæmd og nýja persónuverndarreglugerðin leit dagsins ljós. Hin nýja löggjöf gildir fyrir starfsemi í öllum löndum innan EES-svæðisins  og fyrir fyrirtæki sem vinna með persónuupplýsingar er varða ríkisborgara innan EES-svæðisins.

Nær öll þjónusta sem við notum felur í sér söfnun og úrvinnslu persónuupplýsinga þar á meðal upplýsingar sem notaðar eru af samfélagsmiðlum, bönkum, verslunum og ríkisstofnunum. Nöfnum, heimilisföngum og fleiri upplýsingum er safnað saman og þessar upplýsingar eru greindar og svo varðveittar hjá fyrirtækjum. GDPR hefur að markmiði að samræma löggjöf um alla Evrópu  og endurspegla notkun og vinnslu persónuupplýsinga miðað við nýjustu tækni.

Í stuttu máli er GDPR ný reglugerð sem samin var til að veita einstaklingum meira frelsi til að stjórna eigin persónuupplýsingum og til að tryggja að fyrirtæki tryggi öryggi þeirra persónuupplýsinga sem þau vinna með.

Hvaða þýðingu hefur Persónuverndarreglugerðin fyrir þig?

Persónuverndarreglugerðin lýtur að meðferð persónuupplýsinga fyrir ríkisborgara innan EES-svæðisins. Þetta þýðir að einstaklingar og fyrirtæki sem eru staðsett utan EES-svæðisins en selja vörur og þjónustu til einstaklinga sem búa á EES-svæðinu verða einnig að fara að nýju lögunum. Persónuverndarreglugerðin gildir fyrir ábyrgðaraðila persónuupplýsinga, sameiginlega ábyrgðaraðila og vinnsluaðila sem vinna upplýsingar fyrir hönd ábyrgðaraðila.  Mikilvægt er að gera greinarmun á þessum hlutverkum því ábyrgð þeirra er ekki sú sama.

Ábyrgðaraðili, sameiginlegur ábyrgðaraðili eða vinnsluaðili?

Ábyrgð lögaðila fer eftir því hvaða hlutverki þeir gegna. GDPR gerir ráð fyrir þremur flokkum: ábyrgðaraðilum, sameiginlegum ábyrgðaraðilum og vinnsluaðilum.

Ábyrgðaraðili

Ábyrgðaraðili er sá aðili (persóna eða fyrirtæki) sem ákveður í hvaða tilgangi og hvernig skuli meðhöndla persónuupplýsingar. Þessi aðili ákvarðar þetta einn eða með öðrum.

Sameiginlegur ábyrgðaraðili

Þar sem tvö eða fleiri fyrirtæki ákveða saman í hvaða tilgangi skuli meðhöndla persónuupplýsingar, þ.e. tilgang, ástæðu, tækifæri, eðli og umfang gagnavinnslunnar.

Vinnsluaðili

Einstaklingur eða fyrirtæki sem vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila. Vinnsla felur m.a. í sér að útvista, hljóðrita, aðlaga eða varðveita persónuupplýsingar.

Sami aðilinn getur bæði verið ábyrgðaraðili og sameiginlegur ábyrgðaraðili, allt eftir því hverjar aðstæður eru. Sem dæmi má nefna að þegar tæknifyrirtæki útvegar vinnsluþjónustu fyrir útgáfu greiðslukorta fyrir útgefendur korta teljast útgefendur vera ábyrgðaraðilar og tæknifyrirtækin vinnsluaðilar. Ef tæknifyrirtækin nota svo sömu persónuupplýsingar til að fylgjast með og koma í veg fyrir sviksamlega notkun korta fyrir hönd útgefenda eru tæknifyrirtækin í hlutverki sameiginlegs ábyrgðaraðila.

Mikilvægar nýjungar

Mikilvægar nýjungar sem geta haft áhrif þig sem korthafa er m.a.:

 • Innbyggð friðhelgi 
  Friðhelgin á að vera innbyggð í alla viðskiptaferla og kerfi hjá þínum viðsemjendum.
 • Skylda að tilkynna brot á friðhelgi 
  Öll brot á friðhelgi persónuupplýsinga skal tafarlaust tilkynna til yfirvalda og til þess einstaklings sem brotið varðar.
 • Refsing fyrir brot á reglum
  Persónuverndarreglugerðin gerir ráð fyrir sektum sem nema allt að 20 milljónum evra eða 4% af árlegri veltu fyrirtækisins, hvor upphæðin sem er hærri.
 • Aukin réttindi einstaklinga
  Til dæmis  rétturinn til aðgangs að persónuupplýsingum, rétturinn til leiðréttingar og eyðingar (rétturinn til að gleymast), rétturinn til takmörkunar á vinnslu og rétturinn til að fá gögn færð.

Þó að einhver takmörk séu á þessum réttindum endurspegla þau mikilvægi réttinda einstaklingsins sem tryggð eru í hinni nýju löggjöf.

Hvað hefur Valitor gert til að bregðast við?

 • Valitor hefur nú þegar gert ýmsar ráðstafanir til að tryggja öryggi persónuupplýsinga  þinna fyrir gildistöku laganna en þar má m.a. nefna að:
 • Upplýsa og fræða starfsmenn um þýðingu og inntak laganna á áhrif þeirra á starfsemi Valitor
 • Samningar hafa verið endurskoðaðir, uppfærðir og endurnýjaðir í takt við hin nýju lög
 • Innri ferlar og stefnur hafa verið yfirfarnir og uppfærðir eftir þörfum
 • Gögn og gagnavinnslur innan Valitor hafa verið kortlagðar og skjöluð
 • Ferlar um öryggis- og rekstrarfrávik hafa verið yfirfarnir og aðlagaðir að nýju lögunum
 • Ferlar fyrir fyrirspurnir viðskiptavina um persónugögnin sín hafa verið settir upp
 • Upplýsingar um hvernig Valitor vinnur persónuupplýsingar hafa verið gerðar aðgengilegar og uppfærð stefna hefur verið sett um notkun á vefkökum á vefum Valitor