Persónuvernd

Árið 2017 hóf bankinn að innleiða persónuverndarreglugerð Evrópuþingsins og ráðsins (ESB) nr. 2016/79 (pvrg.) sem kom til framkvæmda í Evrópu 25. maí 2018. Reglugerðin var innleidd í íslenskan rétt með lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga sem tóku gildi 15. júlí 2018. Persónuverndarfulltrúi er Erla Þuríður Pétursdóttir.

Vinnu við innleiðingu reglugerðarinnar var skipt í þrjá fasa. Í fyrsta fasa var unnið að kortlagningu á vinnslu persónuupplýsinga með því að yfirfara verklag og framkvæmd. Í öðrum fasa átti sér stað úrvinnsla á fyrsta fasa og greining á því hvar bankinn væri ekki að starfa í samræmi við hina komandi löggjöf og hvaða úrbóta væri þörf. Fyrsti og annar fasi voru unnir á árinu 2017.

Í þriðja fasa, sem unninn var á árinu 2018, voru skilgreindar aðgerðir til úrbóta og þær innleiddar. Þriðji fasi var unninn í svokölluðum verkefnahraðli þar sem alls 20 starfsmenn frá fimm sviðum innan bankans unnu að verkefninu í 16 vikur. Verkefnaskil voru 7. júní 2018. Til ráðgjafar og stuðnings við innleiðinguna var samið við lögmannsstofu sem hefur sérhæft sig í persónuverndarrétti.

Helsti afrakstur innleiðingarinnar fólst í fræðslu til starfsfólks um persónuvernd og hina nýju löggjöf, vinnsluyfirliti og breytingum á vinnslu persónuupplýsinga. Ný persónuverndarstefna sem uppfyllir þá fræðsluskyldu sem hvílir á bankanum gagnvart einstaklingum var mótuð og kynnt. Skýrslur voru gerðar aðgengilegar í netbanka sem viðskiptavinir geta sótt og fengið þannig með rafrænum hætti staðfestingu á því hvaða persónuupplýsingar um þá eru unnar hjá bankanum.

Rafræn stilling til að samþykkja eða afturkalla markpóst og annað markaðsefni var sett upp í netbanka og vefkökustefna uppfærð. Auk þess var stjórnkerfi persónuverndar sett á laggirnar með því að færa atriði sem tengjast persónuverndaráhættu inn í stefnur og ferla eins og öryggisstefnuna, ferlið fyrir nýjar vörur og hugbúnaðarþróunarferli. Þá var aðgæsla persónuverndar sett inn í stjórnendaeftirlit. Verklag til að framkvæma mat á áhrifum á persónuvernd var hannað. Ráðinn var persónuverndarfulltrúi sem hóf störf um mitt árið.

Á árinu 2018 var óskað eftir 328 skýrslum um persónuupplýsingar sem afhentar voru í netbanka. Fyrirspurnir einstaklinga í kjölfar skýrsluafhendingar voru 53. Af þeim fjölda voru þrjár beiðnir um eyðingu gagna sem bankinn hefur að svo stöddu ekki getað orðið við vegna vinnu við tillögur um varðveislutíma, þ.e. hvaða gögn skuli geymd ópersónugreinanleg og hverju skuli eytt.

Bankinn móttók enga kvörtun um að vinnsla persónuupplýsinga væri óheimil og fæli í sér brot. Engin kvörtun vegna vinnslu bankans á persónuupplýsingum barst til Persónuverndar á árinu 2018 og bankinn móttók enga fyrirspurn frá Persónuvernd. Bankinn tilkynnti þrjú tilvik til Persónuverndar þar sem brotinn var trúnaður. Í öllum tilvikum skapaðist einungis lítil eða takmörkuð áhætta fyrir réttindi og frelsi einstaklinga og einungis um staka færslu að ræða. Hvorki var um að ræða þjófnað né tap á persónuupplýsingum á árinu.

Stefnu Arion banka um persónuvernd má nálgast á vefsíðu bankans.