Morgunblaðið - 25.02.2001, Blaðsíða 26
26 SUNNUDAGUR 25. FEBRÚAR 2001 MORGUNBLAÐIÐ
E
KKI eru nema tæp þrjá-
tíu ár síðan fyrstu lögin
um vernd persónuupp-
lýsinga voru sett í
heiminum. Var það í
Svíþjóð árið 1973. Nú er hins vegar
svo komið að þessi málaflokkur er
orðinn einn mikilvægasti þátturinn í
vernd grundvallarréttinda borgar-
anna í hverju lýðræðisríki.
Lög um vernd persónuupplýsinga
voru fyrst sett hér á landi árið 1981.
Var sérstakri nefnd, tölvunefnd, falið
eftirlit með lögunum. Verkefni nefnd-
arinnar hafa vaxið jafnt og þétt og
löngu var orðið tímabært að bæta
starfsskilyrði hennar.
Evrópusambandið samþykkti til-
skipun um vernd perónuupplýsinga
árið 1995. Gerir hún strangari kröfur
til verndar persónuupplýsinga heldur
en tíðkaðist í mörgum aðildarríkj-
anna. Það þarf því ekki að koma á
óvart að það hefur tekið mörg ríkin
langan tíma að lögtaka tilskipunina
og eru sum reyndar ekki enn búin að
því þótt frestur hafi runnið út árið
1998. Tilskipunin gerir það að verk-
um að verulegur munur er á löggjöf
Evrópuríkja og Bandaríkjanna. Hafa
staðið yfir stífar samningaviðræður
milli Evrópusambandsins og Banda-
ríkjastjórnar um hvernig megi af-
stýra því að nýja tilskipunin torveldi
viðskipti milli landanna þar sem per-
sónuupplýsingar eru í húfi.
Tilskipunin fellur undir EES-
samninginn og því stóð upp á Íslend-
inga að laga sína löggjöf að henni. Er
það gert með nýjum lögum um per-
sónuvernd og meðferð persónuupp-
lýsinga sem tóku gildi 1. janúar síð-
astliðinn. Þau eru gott dæmi um þau
áhrif sem aðild okkar að samningnum
um Evrópska efnahagssvæðið hefur –
jafnvel á sviðum sem tengjast fjór-
frelsinu svokallaða (frjálst flæði fjár-
magns, vöru, þjónustu og vinnuafls)
einungis óbeint. Nýju lögin fylgja til-
skipuninni nokkuð nákvæmlega. Er
það nokkuð hyggilegt því hún geymir
mörg mjög matskennd ákvæði. Það á
eftir að skýrast betur þegar fram líða
stundir hvernig hún verður skýrð af
Evrópustofnunum sem í hlut eiga. Þá
verður gott að hafa ekki um of vikið
frá texta tilskipunarinnar.
Hvaða gæði?
En hvaða gæði eru það nánar til-
tekið sem verið er að vernda með lög-
um af þessu tagi? Vernd persónuupp-
lýsinga tengist beint ákvæðum
stjórnarskrár um friðhelgi einkalífs.
Ef vinnsla persónuupplýsinga væri
óheft þýddi það endalok friðhelgi
einkalífs. Þarna er í húfi rétturinn til
að fá að vera í friði með sína kosti og
lesti – lifa óáreittur. Hefur það ekki
einmitt verið talið einkenni alræðis-
þjóðfélaga eins og sovétkommúnism-
ans að þar voru stundaðar persónu-
njósnir og skráning persónuupplýs-
inga í áður óþekktum mæli?
Það er því rík ástæða til að standa
vörð um friðhelgi einkalífs og rétt
manna til að ákveða sjálfir hvernig
þeir birtist samferðamönnum sínum.
Aldrei hefur samt verið meiri ástæða
til árvekni. Er nú svo komið að örðugt
er að taka sér nokkurn skapaðan hlut
fyrir hendur, hvort sem það er að
leigja myndband, hringja símtal,
kaupa í matinn, fara í göngutúr án
þess að það sé skráð einhvers staðar,
annaðhvort hjá einkafyrirtækjum,
verslunum, bönkum eða hinu opin-
bera.
Aukin rafræn vinnsla hvers kyns
upplýsinga um einstaklinga felur í sér
nýjar hættur. Þannig skapast sá
möguleiki að mörgum smávægilegum
upplýsingum sé safnað saman í eina
heild sem gefur mun meiri vísbend-
ingar um einkalíf manna en þeir kæra
sig um að láta í ljós. Tökum sem dæmi
að einn aðili réði yfir upplýsingum um
notkun greiðslukorts, lyfja, síma og
Netsins hjá einum og sama einstak-
lingnum. Þótt hver og ein færsla eða
upplýsingar um hvert og eitt símtal
(þ.e. í hvaða númer hafi verið hringt
og hve lengi) sé fáfengileg má nota
mikið safn slíkra upplýsinga yfir
lengra tímabil til að draga heilmiklar
ályktanir um persónu viðkomandi og
þá um atriði sem hver og einn myndi
helst vilja hafa út af fyrir sig.
Vernd persónuupplýsinga þýðir
auðvitað ekki að fólk eigi skilyrðis-
laust rétt á að afmá spor sín ef svo má
að orði komast. Það eru mikilsverðir
hagsmunir tengdir því til dæmis að
hægt sé að rekja símtöl. Dæmin sýna
að það getur auðveldað rannsókn
sakamála. En verndin felst í því að
fólk þarf ekki að una því að hver sem
er hnýsist í þeirra einkamál. Þá á
skráning ekki að fara fram nema að
því marki sem nauðsynlegt er til að
þjóna tilteknum lögmætum hags-
munum.
Ýmsar breytingar
Nýju lögin fela í sér töluverðar
breytingar frá eldri lögum. Skýrar er
tekið fram en áður hvaða meginregl-
ur eigi að gilda um vinnslu persónu-
upplýsinga, með öðrum orðum, hvað
sé „vönduð meðferð persónuupplýs-
inga“. Kjarni málsins er sá að söfnun,
úrvinnsla og geymsla persónuupplýs-
inga eigi ekki að fara fram nema
nauðsyn krefji. Verður þá að gæta
þess að þær upplýsingar sem unnið
er með séu sem réttastar og að þeim
sé eytt eða komið á ópersónugrein-
anlegt form þegar þær hafa þjónað
tilgangi sínum. Meginstefið er sem-
sagt að það sé út af fyrir sig hætta
fólgin í allri skráningu persónuupp-
lýsinga og því verði að halda henni í
lágmarki.
Samt sem áður er gerður greinar-
munur á almennum og viðkvæmum
persónuupplýsingum. Um þær síðar-
nefndu gilda hertar reglur. Með við-
kvæmum persónuupplýsingum er átt
við upplýsingar um uppruna, litar-
hátt, kynþátt, stjórnmála- eða lífs-
skoðanir, um afbrotaferil, heilsuhagi,
þar á meðal erfðaeiginleika, lyfja-,
áfengis- og vímefnanotkun og um
stéttarfélagsaðild. Allt eru þetta upp-
lýsingar sem annaðhvort eru við-
kvæmar í eðli sínu eða bjóða heim
sérstakri hættu á misnotkun.
Þá eru ýmsar breytingar sem
framþróun tækninnar hefur kallað á.
Gömlu lögin tóku einungis til upplýs-
inga sem sanngarnt var og eðlilegt að
leynt færu. Nýju lögin ná hins vegar
yfir hvers konar upplýsingar um ein-
staklinga, jafnvel þær sem eru á allra
vitorði. Nafn, heimilisfang, kennitala
og símanúmer eru dæmigerðar per-
sónuupplýsingar samkvæmt lögun-
um. Sama er að segja um upplýsingar
um ferðir manna, atferli og neyslu-
hætti. Viðhorfið er það að ástæða er
til að vernda allar upplýsingar um
einstaklinga því samtengingarmögu-
leikar gera það að verkum að ætíð er
hætta á misnotkun.
Ættfræðiundanþágan víkur
Það er athyglisvert að áður voru
ættfræðiupplýsingar undanþegnar
lögunum en nú gegnir öðru máli – sú
séríslenska regla verður að víkja. Það
gerir það að verkum til dæmis að
þeim sem gefa út ættar- og starfs-
greinatöl er nú skylt að gæta að því að
leita samþykkis hlutaðeigandi fyrir
birtingu upplýsinga þar sem það á
við.
Eins og gefur að skilja er gagna-
grunnur á heilbrigðissviði undanskil-
inn nýju lögunum vegna þess að um
hann hafa verið sett sérlög. Þau sér-
lög stinga að mörgu leyti í stúf við
meginsjónarmiðin á bak við tilskipun
Evrópusambandsins. Það er nokkuð
þversagnakennt þegar haft er í huga
að þegar gagnagrunnurinn verður að
veruleika verður þar um að ræða
einhverja umfangsmestu vinnslu
„persónuupplýsinga“ í víðum skilingi
hér á landi. (Er rétt að taka fram að
forsvarsmenn gagnagrunnsins og
stjórnvöld myndu auðvitað ekki fall-
ast á að þar sé um persónuupplýs-
ingar að ræða í skilningi tilskipunar
Evrópusambandsins. En það mat
þeirra er umdeilanlegt.)
Aukin réttindi
einstaklinga
Áherslubreyting felst í því að í
auknum mæli er byggt á því að ein-
staklingurinn ákveði sjálfur hvað
verði um upplýsingar um hann. Þann-
ig fækkar þeim tilfellum þar sem leyfi
þarf fyrirfram til vinnslu persónu-
upplýsinga. Það kemur í hlut einstak-
lingsins sjálfs að gæta réttar síns.
Hann verður að ákveða hvort hann sé
samþykkur vinnslu eður ei.
Þessi stefnubreyting er auðvitað
jákvæð að því leyti að dregið er úr
forsjárhyggju ríkisins. Það er ekki
lengur ríkisstofnun sem fyrst og
fremst gætir hagsmuna einstaklings-
ins heldur verður hann að gera það
sjálfur. Hans aðalvopn verður réttur-
inn til að synja um vinnslu persónu-
upplýsinga. Þar sem lögin krefjast
samþykkis er alltaf átt við upplýst og
afdráttarlaust samþykki.
Á hinn bóginn er auðvitað hætt við
að fólk láti undir höfuð leggjast að
gæta hagsmuna sinna. Hagsmunir af
einkalífsvernd kunna að virðast svo
óáþreifanlegir að fólk sinni þeim ekki
í hversdagslegu amstri. Þess vegna
er ekki að ófyrirsynju að lögin gera
ráð fyrir að sum vinnsla persónuupp-
lýsinga verði áfram leyfisskyld jafn-
vel þótt samþykki einstaklinga liggi
fyrir.
Þá veita lögin einstaklingum ýmis
önnur úrræði til að gæta réttar síns.
Þegar persónuupplýsingum er
safnað frá öðrum en hinum skráða
skal ábyrgðaraðili samtímis gera hin-
um skráða viðvart. Sé upplýsinga afl-
að beint frá hinum skráða skal fræða
hann meðal annars um hver sé ábyrg-
ur fyrir skráningunni, hvert sé mark-
mið söfnunarinnar, hverjum upplýs-
ingar verði afhentar og hvort honum
sé skylt að veita upplýsingarnar eður
ei.
Hver sem er getur krafið ábyrgð-
araðila upplýsinga um þá vinnslu per-
sónuupplýsinga sem fram fer á hans
vegum. Jafnframt á hinn skráði rétt á
að fá vitneskju um hvaða upplýsingar
um hann er unnið með og hvaðan þær
koma, tilgang vinnslunnar, hver fær,
hefur fengið eða mun fá upplýsingar
um hann og loks hvaða öryggisráð-
stafanir eru viðhafðar við vinnslu.
Ef hinn skráði er ósáttur við þær
upplýsingar sem fyrir liggja um hann
getur hann krafist leiðréttingar eða
eyðingar.
Margbrotið eftirlitskerfi
Sjálfstæð stofnun, Persónuvernd,
leysir tölvunefnd af hólmi. Gegnir
hún fjölþættu hlutverki við eftirlit
með því að lögunum sé framfylgt.
Hún afgreiðir leyfisumsóknir, tekur
við tilkynningum, heldur skrá um
vinnslu persónuupplýsinga sem verð-
ur aðgengileg almenningi og leiðbein-
ir þeim sem ráðgera að vinna með
slíkar upplýsingar, svo fátt eitt sé
nefnt.
Auknar skyldur eru lagðar á þá
sem vinna með persónuupplýsingar
eins og atvinnurekendur, vísinda-
menn og markaðsfyrirtæki. Auk til-
kynningaskyldu ber þeim að tryggja
öryggi við vinnsluna og gæði upplýs-
inga. Skylda er lögð á þá að viðhafa
innra eftirlit og gera reglulega
skýrslu um það. Þá verða þeir auðvit-
að að standa einstaklingum og Per-
sónuvernd reikningsskil gjörða sinna.
Pjatt?
Það er sjálfsagt viðhorfið hjá mörg-
um, að þeir hafi ekkert að fela og sé
alveg sama um þetta „pjatt“. Á Ís-
landi hafi það alltaf verið svo að „allir
viti allt um alla“ og því verði ekki
breytt. Það er hins vegar vanhugsað.
Í fyrsta lagi getur það komið niður á
fólki ef rangar eða ófullnægjandi upp-
lýsingar liggja fyrir um það. Í öðru
lagi er alltaf hætta á misnotkun réttra
persónuupplýsinga. Fólk getur til
dæmis óverðskuldað misst af at-
vinnutækifærum vegna upplýsinga
um ættgengan sjúkdóm eða æsku-
brek sem vinnuveitandi kemst á snoð-
ir um. Í þriðja lagi er almenn árvekni
nauðsynleg til að halda „eftirlitsþjóð-
félaginu“ í skefjum. Taka má dæmi af
eftirlitsmyndavélum sem sífellt fer
fjölgandi á almannafæri og vinnu-
stöðum. Auðvitað þjóna þær göfugu
markmiði, sem sé að draga úr glæp-
um. En þær hafa einnig þá hlið að það
fækkar stöðugt þeim stöðum þar sem
fólk getur um frjálst höfuð strokið.
Athafnafrelsi manna minnkar í viss-
um skilningi.
Það er líka töluverður munur á
kunningjasamfélaginu, „þar sem allir
vita allt um alla“, og hinu tölvuvædda
eftirlitsþjóðfélagi. Annars vegar er
eftirlitið tilviljanakennt og gloppótt
framkvæmt af jafningjum ef svo má
að orði komast. Hins vegar er það
reglubundið, óskeikult og andlits-
laust. Taka má dæmi af innkaupaferð.
Sá sem fer út í kaupfélag að versla má
auðvitað búast við því að nágranninn
taki eftir því sem er í innkaupakörf-
unni og að verslunarstjórinn þekki
neysluvenjur viðskiptavina sinna.
Ekki er hins vegar hægt að bera þá
upplýsingasöfnun saman við þá sem
fram fer þegar viðskipti færast yfir á
Netið. Þar er allt nákvæmlega skráð,
hvenær „verslunarleiðangur“ hefst,
hvaða vörur eru skoðaðar, hversu
margar lenda í innkaupakörfunni,
hvaða auglýsingar eru skoðaðar á
meðan o.s.frv. Enginn hefur hug-
mynd um hvar þær upplýsingar enda.
Eins og Netið býður upp á stór-
kostlega möguleika er mikil ástæða
til að vera á varðbergi vegna þess hve
hentugt tæki það er fyrir Stóra bróð-
ur – eða skyldum við frekar segja fyr-
ir hið „hnattræna samfélag litlu
bræðra“.
Sjálfsákvörðunarréttur um
persónuupplýsingar
Morgunblaðið/Kristinn
„Það er athyglisvert að áður voru ættfræðiupplýsingar undanþegnar lögunum en nú gegnir öðru máli – sú sér-
íslenska regla verður að víkja.“
Helstu breytingar
frá eldri lögum
Sjálfstæð stofnun, „Persónuvernd“,
leysir „tölvunefnd“ af hólmi.
Skilgreining persónuupplýsinga
víðtækari.
Tilkynningaskylda kemur í stað
leyfisskyldu.
Fyrirtæki þurfa að sinna innra
eftirliti og skýrslugjöf.
Reglur um eftirlitsmyndavélar á
almannafæri.
Aukinn sjálfsákvörðunarréttur
borgaranna.
Hvað er vönduð meðferð
persónuupplýsinga?
Gæta þarf sanngirni við
meðferð upplýsinga.
Markmið með vinnslunni
þurfa að vera skýr.
Upplýsingar má ekki nota í
öðru skyni en til stóð
upphaflega.
Upplýsingar skal uppfæra
reglulega til að tryggja
áreiðanleik þeirra.
Upplýsingar skal ekki
varðveita lengur en þörf krefur.
Lög og réttur
eftir Pál
Þórhallsson
Höfundur er lögfræðingur hjá
Evrópuráðinu. Skoðanir sem kunna
að koma fram í þessari grein eru
alfarið á ábyrgð höfundar. Vinsam-
legast sendið ábendingar um efni til
pall@evc.net.