Tölvumál - 01.11.2015, Qupperneq 16
16
MIÐLUN PERSÓNU
UPPLÝSINGA
Laufey Lind Sturludóttir lögfræðingur
Jónas Hróar Jónsson íþróttafræðingur
Nemar í tölvunarfræði við Háskólann í Reykjavík
Með tilkomu internetsins og þeirrar upplýsinga- og tölvuvæðingar sem
hefur átt sér stað síðustu ár hefur rafræn upplýsingamiðlun nær tekið
við, þar sem áður var handvirkt unnið. Flestir miðla upplýsingum
daglega og jafnvel oft á dag, t.d. á samfélagsmiðlum og með notkun
tölvupósts. Stjórnsýslan hefur ennfremur rafrænst að miklu leyti
undanfarin ár og nýtir sér nú oftar rafrænan samskiptamiðil í samskiptum
sínum við einstaklinga, jafnvel þegar teknar eru stjórnvaldsákvarðanir.
Samfara aukinni upplýsingatækni á sér stað sífellt aðlögunarferli í
samfélaginu, sem leitast við að ná fram jafnvægi milli þeirra möguleika
sem fylgja tölvum og tækni annars vegar og þeirra leikreglna sem
samfélagið hefur ákveðið að setja sér og virða hins vegar. Árangurinn er
misjafn, enda fyrirfinnast nú langtum fleiri leiðir til miðlunar en áður og
nær víst að löggjafinn á í sumt hvað erfitt með að halda í við þá þróun.
Árið 2000 tóku gildi lög nr. 77/2000 um persónuvernd og meðferð
persónuupplýsinga, hér eftir skammstöfuð pvl., og hafa þau tekið
breytingum sex sinnum, síðast árið 2006. Þrátt fyrir að pvl. hafi verið við
líði um fimmtán ára skeið, virðist sem brestur sé á að þeim sé fylgt í
hvívetna, bæði innan stjórnsýslunnar sem og hjá almenningi. Því til
staðfestingar liggja fyrir fjöldi úrskurða Persónuverndar um ólögmætar
miðlanir [1], auk þess sem fallið hafa dómar um sama atriði. Ekki er
útilokað að menn hreinlega þekki ekki nægilega vel löggjöf um
persónuvernd eða tengi jafnvel ekki saman núgildandi lög við þær
nýjungar sem tæknin býður okkur upp á. Á hinn bóginn er vart hægt að
bera fyrir sig þekkingarleysi ef brotið er á friðhelgi annars, sér í lagi þegar
um ræðir stjórnsýsluna. Því er vert að fara yfir hverjar séu helstu íslensku
reglur sem gilda um miðlanir persónuupplýsinga.
HUGTAKIÐ „PERSÓNUUPPLÝSINGAR“ OG
„MIÐLUN“?
Í almennri orðræðu eru gjarnan notuð hugtök sem eru svo aftur skil-
greind með öðrum og oft sértækari hætti í lögum. Í lögum nr. 77/2000,
um persónuvernd og meðferð persónuupplýsinga, hér eftir skamm-
stöfuð pvl. má finna skilgreiningar ákveðinna lykilhugtaka sem koma
endurtekið fyrir þegar um ræðir upplýsingatækni, persónufrelsi og
persónuvernd. Hugtakið „persónuupplýsingar“ er í 1. tölul. 2. gr. pvl.
skýrt sem, sérhverjar persónugreindar eða persónugreinanlegar
upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má
rekja til tiltekins einstaklings, látins eða lifandi. Þannig þurfa upplýsingar
ekki einvörðungu að snúa að einkamálefnum viðkomandi aðila heldur
nægir að fyrir hendi sé ákveðið samband milli upplýsinganna og hins
skráða, jafnvel með óbeinum hætti, líkt og segir í sjálfu lagaákvæðinu.[3]
Dulkóðaðar upplýsingar, sem hægt væri að afkóða og tengja við
persónu, væru þannig persónuupplýsingar í skilningi pvl. Persónu-
upplýsingar geta jafnframt verið á hvaða formi sem er, s.s. stafrænu,
myndrænu, í formi skriflegra gagna o.s.frv.
Ekki er að finna sérstaka skýrgreiningu í pvl. á hugtakinu miðlun, heldur
fellur miðlun undir hugtakið „vinnsla“, sem skýrð er sem, sérhver aðgerð
eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort
heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Hugtakið
er þannig rúmt og nær til fjölda aðgerða og atvika, m.a. miðlun með
framsendingu, dreifingu og aðrar aðferðir sem myndu gera upplýsingar
tiltækar öðrum með einum eða öðrum hætti.
Í pvl. er gerður greinarmunur á annars vegar því sem flokka má sem
almennar persónuupplýsingar, líkt og rætt var hér ofar, og hins vegar því
sem flokka má sem viðkvæmar persónuupplýsingar. Í 8. tölul. 2. gr. pvl
teljast eftirfarandi upplýsingar viðkvæmar:
a) Upplýsingar um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir,
svo og trúar- eða aðrar lífsskoðanir.
b) Upplýsingar um hvort maður hafi verið grunaður, kærður,
ákærður eða dæmdur fyrir refsiverðan verknað.
c) Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika,
lyfja-, áfengis- og vímuefnanotkun.
d) Upplýsingar um kynlíf manna og kynhegðan
e) Upplýsingar um stéttarfélagsaðild
Viðkvæmar persónuupplýsingar eru tæmandi upptaldar í lagaákvæðinu
og aðrar upplýsingar myndu því flokkast sem almennar persónuupp-
lýsingar. Skiptir sérstöku máli að átta sig á í hvaða flokki persónu-
upplýsingar tilheyra, þar sem mun strangari kröfur eru gerðar til vinnslu
viðkvæmra persónuupplýsinga, t.d. miðlun þeirra, en þegar um ræðir
almennar persónuupplýsingar.
REGLUR UM MIÐLUN PERSÓNUUPPLÝSINGA
Um miðlun gilda, líkt og áður sagði, reglur pvl., þ.e. þegar unnið er
rafrænt með persónuupplýsingar, en lögin gilda jafnframt um handvirka
vinnslu persónuupplýsinga sem eru eða eiga vera hluti af skrá, sbr. 1.
mgr. 3. gr. Nokkrar undantekningar eru þó frá hinni almennu reglu um
gildis svið laganna, einkum þegar upplýsingar eru unnar í þágu öryggis-
og löggæslumála og þegar upplýsingar varða einkahagi eða eru ætlaðar
til persónulegra nota, sbr. 2. mgr. 3. gr. pvl. Þá er jafnframt að finna
undan tekningar í 5. gr. pvl., sem eru réttlættar með tilliti til fjölmiðlunar
og frétta mennsku, lista og bókmennta.4
Í 7. gr. pvl. er að finna ákvæði sem gildir almennt um vinnslu persónu-
upplýsinga, hvort sem þær eru almennar eða viðkvæmar, en ákvæðið
felur í sér ákveðnar meginreglur um gæði gagna og vinnslu. Þar er
t.a.m. fjallað um að upplýsingar skuli fengnar í yfirlýstum, skýrum og
málefnalegum tilgangi, sbr. 2. tölul.
Er jafnframt sagt að persónuupplýsingar skuli vera nægilegar, viðeigandi
og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar,
sbr. 3. tölul.