26 SUNNUDAGUR 25. FEBRÚAR 2001 MORGUNBLAÐIÐ E KKI eru nema tæp þrjá- tíu ár síðan fyrstu lögin um vernd persónuupp- lýsinga voru sett í heiminum. Var það í Svíþjóð árið 1973. Nú er hins vegar svo komið að þessi málaflokkur er orðinn einn mikilvægasti þátturinn í vernd grundvallarréttinda borgar- anna í hverju lýðræðisríki. Lög um vernd persónuupplýsinga voru fyrst sett hér á landi árið 1981. Var sérstakri nefnd, tölvunefnd, falið eftirlit með lögunum. Verkefni nefnd- arinnar hafa vaxið jafnt og þétt og löngu var orðið tímabært að bæta starfsskilyrði hennar. Evrópusambandið samþykkti til- skipun um vernd perónuupplýsinga árið 1995. Gerir hún strangari kröfur til verndar persónuupplýsinga heldur en tíðkaðist í mörgum aðildarríkj- anna. Það þarf því ekki að koma á óvart að það hefur tekið mörg ríkin langan tíma að lögtaka tilskipunina og eru sum reyndar ekki enn búin að því þótt frestur hafi runnið út árið 1998. Tilskipunin gerir það að verk- um að verulegur munur er á löggjöf Evrópuríkja og Bandaríkjanna. Hafa staðið yfir stífar samningaviðræður milli Evrópusambandsins og Banda- ríkjastjórnar um hvernig megi af- stýra því að nýja tilskipunin torveldi viðskipti milli landanna þar sem per- sónuupplýsingar eru í húfi. Tilskipunin fellur undir EES- samninginn og því stóð upp á Íslend- inga að laga sína löggjöf að henni. Er það gert með nýjum lögum um per- sónuvernd og meðferð persónuupp- lýsinga sem tóku gildi 1. janúar síð- astliðinn. Þau eru gott dæmi um þau áhrif sem aðild okkar að samningnum um Evrópska efnahagssvæðið hefur – jafnvel á sviðum sem tengjast fjór- frelsinu svokallaða (frjálst flæði fjár- magns, vöru, þjónustu og vinnuafls) einungis óbeint. Nýju lögin fylgja til- skipuninni nokkuð nákvæmlega. Er það nokkuð hyggilegt því hún geymir mörg mjög matskennd ákvæði. Það á eftir að skýrast betur þegar fram líða stundir hvernig hún verður skýrð af Evrópustofnunum sem í hlut eiga. Þá verður gott að hafa ekki um of vikið frá texta tilskipunarinnar. Hvaða gæði? En hvaða gæði eru það nánar til- tekið sem verið er að vernda með lög- um af þessu tagi? Vernd persónuupp- lýsinga tengist beint ákvæðum stjórnarskrár um friðhelgi einkalífs. Ef vinnsla persónuupplýsinga væri óheft þýddi það endalok friðhelgi einkalífs. Þarna er í húfi rétturinn til að fá að vera í friði með sína kosti og lesti – lifa óáreittur. Hefur það ekki einmitt verið talið einkenni alræðis- þjóðfélaga eins og sovétkommúnism- ans að þar voru stundaðar persónu- njósnir og skráning persónuupplýs- inga í áður óþekktum mæli? Það er því rík ástæða til að standa vörð um friðhelgi einkalífs og rétt manna til að ákveða sjálfir hvernig þeir birtist samferðamönnum sínum. Aldrei hefur samt verið meiri ástæða til árvekni. Er nú svo komið að örðugt er að taka sér nokkurn skapaðan hlut fyrir hendur, hvort sem það er að leigja myndband, hringja símtal, kaupa í matinn, fara í göngutúr án þess að það sé skráð einhvers staðar, annaðhvort hjá einkafyrirtækjum, verslunum, bönkum eða hinu opin- bera. Aukin rafræn vinnsla hvers kyns upplýsinga um einstaklinga felur í sér nýjar hættur. Þannig skapast sá möguleiki að mörgum smávægilegum upplýsingum sé safnað saman í eina heild sem gefur mun meiri vísbend- ingar um einkalíf manna en þeir kæra sig um að láta í ljós. Tökum sem dæmi að einn aðili réði yfir upplýsingum um notkun greiðslukorts, lyfja, síma og Netsins hjá einum og sama einstak- lingnum. Þótt hver og ein færsla eða upplýsingar um hvert og eitt símtal (þ.e. í hvaða númer hafi verið hringt og hve lengi) sé fáfengileg má nota mikið safn slíkra upplýsinga yfir lengra tímabil til að draga heilmiklar ályktanir um persónu viðkomandi og þá um atriði sem hver og einn myndi helst vilja hafa út af fyrir sig. Vernd persónuupplýsinga þýðir auðvitað ekki að fólk eigi skilyrðis- laust rétt á að afmá spor sín ef svo má að orði komast. Það eru mikilsverðir hagsmunir tengdir því til dæmis að hægt sé að rekja símtöl. Dæmin sýna að það getur auðveldað rannsókn sakamála. En verndin felst í því að fólk þarf ekki að una því að hver sem er hnýsist í þeirra einkamál. Þá á skráning ekki að fara fram nema að því marki sem nauðsynlegt er til að þjóna tilteknum lögmætum hags- munum. Ýmsar breytingar Nýju lögin fela í sér töluverðar breytingar frá eldri lögum. Skýrar er tekið fram en áður hvaða meginregl- ur eigi að gilda um vinnslu persónu- upplýsinga, með öðrum orðum, hvað sé „vönduð meðferð persónuupplýs- inga“. Kjarni málsins er sá að söfnun, úrvinnsla og geymsla persónuupplýs- inga eigi ekki að fara fram nema nauðsyn krefji. Verður þá að gæta þess að þær upplýsingar sem unnið er með séu sem réttastar og að þeim sé eytt eða komið á ópersónugrein- anlegt form þegar þær hafa þjónað tilgangi sínum. Meginstefið er sem- sagt að það sé út af fyrir sig hætta fólgin í allri skráningu persónuupp- lýsinga og því verði að halda henni í lágmarki. Samt sem áður er gerður greinar- munur á almennum og viðkvæmum persónuupplýsingum. Um þær síðar- nefndu gilda hertar reglur. Með við- kvæmum persónuupplýsingum er átt við upplýsingar um uppruna, litar- hátt, kynþátt, stjórnmála- eða lífs- skoðanir, um afbrotaferil, heilsuhagi, þar á meðal erfðaeiginleika, lyfja-, áfengis- og vímefnanotkun og um stéttarfélagsaðild. Allt eru þetta upp- lýsingar sem annaðhvort eru við- kvæmar í eðli sínu eða bjóða heim sérstakri hættu á misnotkun. Þá eru ýmsar breytingar sem framþróun tækninnar hefur kallað á. Gömlu lögin tóku einungis til upplýs- inga sem sanngarnt var og eðlilegt að leynt færu. Nýju lögin ná hins vegar yfir hvers konar upplýsingar um ein- staklinga, jafnvel þær sem eru á allra vitorði. Nafn, heimilisfang, kennitala og símanúmer eru dæmigerðar per- sónuupplýsingar samkvæmt lögun- um. Sama er að segja um upplýsingar um ferðir manna, atferli og neyslu- hætti. Viðhorfið er það að ástæða er til að vernda allar upplýsingar um einstaklinga því samtengingarmögu- leikar gera það að verkum að ætíð er hætta á misnotkun. Ættfræðiundanþágan víkur Það er athyglisvert að áður voru ættfræðiupplýsingar undanþegnar lögunum en nú gegnir öðru máli – sú séríslenska regla verður að víkja. Það gerir það að verkum til dæmis að þeim sem gefa út ættar- og starfs- greinatöl er nú skylt að gæta að því að leita samþykkis hlutaðeigandi fyrir birtingu upplýsinga þar sem það á við. Eins og gefur að skilja er gagna- grunnur á heilbrigðissviði undanskil- inn nýju lögunum vegna þess að um hann hafa verið sett sérlög. Þau sér- lög stinga að mörgu leyti í stúf við meginsjónarmiðin á bak við tilskipun Evrópusambandsins. Það er nokkuð þversagnakennt þegar haft er í huga að þegar gagnagrunnurinn verður að veruleika verður þar um að ræða einhverja umfangsmestu vinnslu „persónuupplýsinga“ í víðum skilingi hér á landi. (Er rétt að taka fram að forsvarsmenn gagnagrunnsins og stjórnvöld myndu auðvitað ekki fall- ast á að þar sé um persónuupplýs- ingar að ræða í skilningi tilskipunar Evrópusambandsins. En það mat þeirra er umdeilanlegt.) Aukin réttindi einstaklinga Áherslubreyting felst í því að í auknum mæli er byggt á því að ein- staklingurinn ákveði sjálfur hvað verði um upplýsingar um hann. Þann- ig fækkar þeim tilfellum þar sem leyfi þarf fyrirfram til vinnslu persónu- upplýsinga. Það kemur í hlut einstak- lingsins sjálfs að gæta réttar síns. Hann verður að ákveða hvort hann sé samþykkur vinnslu eður ei. Þessi stefnubreyting er auðvitað jákvæð að því leyti að dregið er úr forsjárhyggju ríkisins. Það er ekki lengur ríkisstofnun sem fyrst og fremst gætir hagsmuna einstaklings- ins heldur verður hann að gera það sjálfur. Hans aðalvopn verður réttur- inn til að synja um vinnslu persónu- upplýsinga. Þar sem lögin krefjast samþykkis er alltaf átt við upplýst og afdráttarlaust samþykki. Á hinn bóginn er auðvitað hætt við að fólk láti undir höfuð leggjast að gæta hagsmuna sinna. Hagsmunir af einkalífsvernd kunna að virðast svo óáþreifanlegir að fólk sinni þeim ekki í hversdagslegu amstri. Þess vegna er ekki að ófyrirsynju að lögin gera ráð fyrir að sum vinnsla persónuupp- lýsinga verði áfram leyfisskyld jafn- vel þótt samþykki einstaklinga liggi fyrir. Þá veita lögin einstaklingum ýmis önnur úrræði til að gæta réttar síns. Þegar persónuupplýsingum er safnað frá öðrum en hinum skráða skal ábyrgðaraðili samtímis gera hin- um skráða viðvart. Sé upplýsinga afl- að beint frá hinum skráða skal fræða hann meðal annars um hver sé ábyrg- ur fyrir skráningunni, hvert sé mark- mið söfnunarinnar, hverjum upplýs- ingar verði afhentar og hvort honum sé skylt að veita upplýsingarnar eður ei. Hver sem er getur krafið ábyrgð- araðila upplýsinga um þá vinnslu per- sónuupplýsinga sem fram fer á hans vegum. Jafnframt á hinn skráði rétt á að fá vitneskju um hvaða upplýsingar um hann er unnið með og hvaðan þær koma, tilgang vinnslunnar, hver fær, hefur fengið eða mun fá upplýsingar um hann og loks hvaða öryggisráð- stafanir eru viðhafðar við vinnslu. Ef hinn skráði er ósáttur við þær upplýsingar sem fyrir liggja um hann getur hann krafist leiðréttingar eða eyðingar. Margbrotið eftirlitskerfi Sjálfstæð stofnun, Persónuvernd, leysir tölvunefnd af hólmi. Gegnir hún fjölþættu hlutverki við eftirlit með því að lögunum sé framfylgt. Hún afgreiðir leyfisumsóknir, tekur við tilkynningum, heldur skrá um vinnslu persónuupplýsinga sem verð- ur aðgengileg almenningi og leiðbein- ir þeim sem ráðgera að vinna með slíkar upplýsingar, svo fátt eitt sé nefnt. Auknar skyldur eru lagðar á þá sem vinna með persónuupplýsingar eins og atvinnurekendur, vísinda- menn og markaðsfyrirtæki. Auk til- kynningaskyldu ber þeim að tryggja öryggi við vinnsluna og gæði upplýs- inga. Skylda er lögð á þá að viðhafa innra eftirlit og gera reglulega skýrslu um það. Þá verða þeir auðvit- að að standa einstaklingum og Per- sónuvernd reikningsskil gjörða sinna. Pjatt? Það er sjálfsagt viðhorfið hjá mörg- um, að þeir hafi ekkert að fela og sé alveg sama um þetta „pjatt“. Á Ís- landi hafi það alltaf verið svo að „allir viti allt um alla“ og því verði ekki breytt. Það er hins vegar vanhugsað. Í fyrsta lagi getur það komið niður á fólki ef rangar eða ófullnægjandi upp- lýsingar liggja fyrir um það. Í öðru lagi er alltaf hætta á misnotkun réttra persónuupplýsinga. Fólk getur til dæmis óverðskuldað misst af at- vinnutækifærum vegna upplýsinga um ættgengan sjúkdóm eða æsku- brek sem vinnuveitandi kemst á snoð- ir um. Í þriðja lagi er almenn árvekni nauðsynleg til að halda „eftirlitsþjóð- félaginu“ í skefjum. Taka má dæmi af eftirlitsmyndavélum sem sífellt fer fjölgandi á almannafæri og vinnu- stöðum. Auðvitað þjóna þær göfugu markmiði, sem sé að draga úr glæp- um. En þær hafa einnig þá hlið að það fækkar stöðugt þeim stöðum þar sem fólk getur um frjálst höfuð strokið. Athafnafrelsi manna minnkar í viss- um skilningi. Það er líka töluverður munur á kunningjasamfélaginu, „þar sem allir vita allt um alla“, og hinu tölvuvædda eftirlitsþjóðfélagi. Annars vegar er eftirlitið tilviljanakennt og gloppótt framkvæmt af jafningjum ef svo má að orði komast. Hins vegar er það reglubundið, óskeikult og andlits- laust. Taka má dæmi af innkaupaferð. Sá sem fer út í kaupfélag að versla má auðvitað búast við því að nágranninn taki eftir því sem er í innkaupakörf- unni og að verslunarstjórinn þekki neysluvenjur viðskiptavina sinna. Ekki er hins vegar hægt að bera þá upplýsingasöfnun saman við þá sem fram fer þegar viðskipti færast yfir á Netið. Þar er allt nákvæmlega skráð, hvenær „verslunarleiðangur“ hefst, hvaða vörur eru skoðaðar, hversu margar lenda í innkaupakörfunni, hvaða auglýsingar eru skoðaðar á meðan o.s.frv. Enginn hefur hug- mynd um hvar þær upplýsingar enda. Eins og Netið býður upp á stór- kostlega möguleika er mikil ástæða til að vera á varðbergi vegna þess hve hentugt tæki það er fyrir Stóra bróð- ur – eða skyldum við frekar segja fyr- ir hið „hnattræna samfélag litlu bræðra“. Sjálfsákvörðunarréttur um persónuupplýsingar Morgunblaðið/Kristinn „Það er athyglisvert að áður voru ættfræðiupplýsingar undanþegnar lögunum en nú gegnir öðru máli – sú sér- íslenska regla verður að víkja.“ Helstu breytingar frá eldri lögum Sjálfstæð stofnun, „Persónuvernd“, leysir „tölvunefnd“ af hólmi. Skilgreining persónuupplýsinga víðtækari. Tilkynningaskylda kemur í stað leyfisskyldu. Fyrirtæki þurfa að sinna innra eftirliti og skýrslugjöf. Reglur um eftirlitsmyndavélar á almannafæri. Aukinn sjálfsákvörðunarréttur borgaranna. Hvað er vönduð meðferð persónuupplýsinga? Gæta þarf sanngirni við meðferð upplýsinga. Markmið með vinnslunni þurfa að vera skýr. Upplýsingar má ekki nota í öðru skyni en til stóð upphaflega. Upplýsingar skal uppfæra reglulega til að tryggja áreiðanleik þeirra. Upplýsingar skal ekki varðveita lengur en þörf krefur. Lög og réttur eftir Pál Þórhallsson Höfundur er lögfræðingur hjá Evrópuráðinu. Skoðanir sem kunna að koma fram í þessari grein eru alfarið á ábyrgð höfundar. Vinsam- legast sendið ábendingar um efni til pall@evc.net.

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48
Blaðsíða 49
Blaðsíða 50
Blaðsíða 51
Blaðsíða 52
Blaðsíða 53
Blaðsíða 54
Blaðsíða 55
Blaðsíða 56
Blaðsíða 57
Blaðsíða 58
Blaðsíða 59
Blaðsíða 60
Blaðsíða 61
Blaðsíða 62
Blaðsíða 63
Blaðsíða 64