Tölvumál - 01.11.2015, Síða 14
14
PERSÓNUVERND Í UPPLÝSINGASAMFÉLAGI
Stofnunin Persónuvernd hefur eftirlit með því að einkalífsréttur sé virtur
og annast eftirlit með öryggi í tengslum við vinnslu og meðferð
persónuupplýsinga. Einnig fylgist stofnunin með almennri þróun
persónuupplýsingaverndar á innlendum og erlendum vettvangi og
leiðbeinir þeim sem ráðgera að vinna með eða þróa kerfi fyrir
persónuupplýsingar, um persónuvernd. Er ritun þessarar greinar liður í
þeirri starfsemi.
Persónuupplýsingar eru unnar á einn eða annan hátt af öllum
fyrirtækjum, stofnunum og í ákveðnum tilvikum einstaklingum í
upplýsingatæknisamfélagi nútímans. Aðgengi, söfnun, samtenging,
varðveisla og vinnsla persónuupplýsinga í gagnaverum eða skýjum um
allan heim er nánast óendanleg. Upplýsingatækni býður upp á
óþrjótandi tækifæri, t.d. til hagræðingar í rekstri, aukinnar framleiðni,
skilvirkari og öruggari starfsemi og þess að stjórnendur hafi betri yfirsýn
yfir reksturinn svo eitthvað sé nefnt. Eftir því sem umfang vinnslu verður
meira og aðferðir fjölbreyttari getur hún hins vegar ógnað friðhelgi
einkalífs. Fjöldamörg raftæki, snjallforrit og upplýsingakerfi safna
umfangsmiklum upplýsingum um einstaklinga á degi hverjum auk þess
sem lífshættir, neyslusnið og hegðun manna er greind með hjálp
háþróaðra stærðfræðiformúla og forritunarkóða. Verðmæti þessara
upplýsinga er mikið og öflug upplýsingakerfi eru hornsteinn í rekstri
margra fyrirtækja og geta veitt þeim verulegt forskot í samkeppni.
Persónuupplýsingaréttur er í sífelldri þróun samhliða tæknibyltingunni
og þeim möguleikum sem felast í hvers kyns upplýsingavinnslu. Í
eftirfarandi umfjöllun verður greint frá þeirri þróun sem á sér stað innan
Evrópusambandsins um persónuvernd og friðhelgi einkalífsins þegar
kemur að hönnun og þróun hugbúnaðar og upplýsingakerfa. Þá verður
einnig greint frá hugtökunum innbyggð friðhelgi (e. Data Protection by
Design) og sjálfgefin friðhelgi (e. Data Protection by Default)1 og þeim
kröfum um vernd upplýsinga og friðhelgi einstaklinga sem ný almenn
Evrópureglugerð um vernd persónuupplýsinga2 mun koma til með að
gera til þeirra sem hanna og þróa hugbúnað og upplýsingakerfi.
NÝ REGLUGERÐ ESB UM PERSÓNUVERND –
BREYTINGAR Í VÆNDUM?
Sú löggjöf sem aðildarríki Evrópusambandsins og EES-ríkjanna byggja
á í dag er frá 1995 og því var kominn tími á nýjar reglur sem endurspegla
þá tæknilegu framþróun sem átt hefur sér stað síðustu áratugi. Í janúar
2012 kynnti framkvæmdastjórn Evrópusambandsins drög að reglugerð
um persónuvernd sem felur í sér umfangsmiklar umbætur á reglum um
persónuvernd. Tilgangur hinnar nýju reglugerðar er að uppfæra
regluverkið í samræmi við tækniframfarir og aukna hnattvæðingu,
styrkja persónuvernd á netinu og stuðla að vexti hins stafræna
efnahagskerfis innan Evrópusambandsins. Nýju reglugerðinni er einnig
ætlað að samræma reglur aðildarríkja Evrópska efnahagssvæðisins,
draga úr misræmi í framkvæmd, einfalda regluverkið og færa
sjálfsákvörðunarrétt um vinnslu persónuupplýsinga nær einstaklingum.
Í dag hvílir ábyrgð á öryggi persónuupplýsinga á þeim sem, eftir
atvikum, kaupir eða notar upplýsingakerfi í starfsemi sinni og mun svo
verða áfram. Ábyrgðaraðili, þ.e. sá sem tekur ákvörðun um vinnslu
persónuupplýsinga, þann búnað sem notaður er eða aðra ráðstöfun
upplýsinga, skal gera viðeigandi tæknilegar og skipulagslegar
öryggisráðstafanir til að vernda persónuupplýsingar, t.d. gegn
óleyfilegum aðgangi. Það er lagt í hendur hans að meta hvaða
ráðstafanir eru best til þess fallnar að tryggja öryggi miðað við áhættu af
vinnslunni og eðli upplýsinga sem skal verja.
Reglugerðardrögin hafa tekið ýmsum breytingum frá því þau voru fyrst
lögð fram og er reglugerðin nú á lokastigum samningaferilsins. Þannig
standa nú yfir samningaviðræður milli Evrópuþingsins, –ráðsins og
framkvæmdastjórnar ESB um endanlegan texta hennar og er niður-
stöðu að vænta í desember 2015. Því næst hefst innleiðingarferli og má
því búast við að reglugerðin taki gildi á næstu árum hér á Íslandi, en gert
hefur verið ráð fyrir þriggja ára aðlögunartíma fyrir aðildarríki, og fyrirtæki
og stofnanir innan þeirra, til að aðlaga löggjöf, starfsemi og framkvæmd
sína að kröfum reglugerðarinnar.
Með væntanlegri lagasetningu, sem mun að öllum líkindum verða tekin
upp óbreytt í íslenskum rétti, má búast við töluverðum breytingum á því
umhverfi sem fyrirtæki í hugbúnaðarþróun og önnur fyrirtæki starfa við í
dag.
INNBYGGÐ OG SJÁLFGEFIN FRIÐHELGI Í
UPPLÝSINGAKERFUM
Í formálsorðum nýju reglugerðarinnar eru hönnuðir upplýsingakerfa
hvattir til þess að hanna hugbúnað sinn og þjónustu frá upphafi með
vernd persónuupplýsinga í huga, t.d. með innbyggðum eða sjálfgefnum
friðhelgisstillingum. Þetta er gert í þeim tilgangi að ábyrðaraðilar geti í
kjölfarið mætt þeim kröfum sem lög og reglur gera til þeirra.
Nýju ákvæðin um innbyggða friðhelgi og sjálfgefna friðhelgi munu, af
fyrrnefndum ástæðum, koma til með að hafa mikil áhrif á upplýs inga-
tækni, hönnun og endurhönnun hugbúnaðar í framtíðinni.
Innbyggð friðhelgi gerir ráð fyrir að vernd persónuupplýsinga sé
innbyggð í vörur og þjónustu, t.d. hugbúnað og upplýsingakerfi, strax
frá upphafi, með því að koma í veg fyrir öryggisbrot innan fyrirtækja áður
en þau eiga sér stað, s.s. með aðgerðaskráningu. Sjálfgefin friðhelgi
miðast við að persónuupplýsingar verði ekki sjálfkrafa gerðar aðgengi
legar almenningi, nema á grundvelli mannlegrar íhlutunar. Sem dæmi
INNBYGGÐ OG
SJÁLFGEFIN FRIÐHELGI
Í UPPLÝSINGA KERFUM
– ER ÞITT FYRIRTÆKI
TILBÚIÐ?
Alma Tryggvadóttir, skrifstofustjóri upplýsingatæknisviðs hjá Persónuvernd
Vigdís Eva Líndal, lögfræðingur hjá Persónuvernd.
Höfundar eru vottaðir stjórnendur úttekta á upplýsingaöryggiskerfum skv. ÍST/ISO 27001:2013