Umsögn um þingsályktunartillögu um breytingu á kennitölukerfinu
Umsögn til allsherjarnefndar Alþingis, dags. 22. nóvember 2004
Umsögnum tillögu til þingsályktunar um
breytingu á kennitölukerfinu 1.
Persónuvernd vísar til bréfs allsherjarnefndar Alþingis, dags. 21. október 2004, þar sem óskað er umsagnar stofnunarinnar um tillögu til þingsályktunar um breytingu á kennitölukerfinu. Tillagan er svohljóðandi:
"Alþingi ályktar að fela ráðherra Hagstofu Íslands að gera úttekt á þeim forsendum sem liggja að baki kennitölukerfi einstaklinga hér á landi. Borið verði saman form kennitölu einstaklinga hér á landi og í nágrannaríkjum með tilliti til þess hvort þar sé notast við sambærileg kerfi til auðkenningar og hvort í þeim felist augljósar persónuupplýsingar. Þá verði metnir kostir og gallar þess að taka upp nýtt kerfi sem væri laust við persónuupplýsingar og gæti staðið við hlið núverandi kennitölukerfis þannig að fólk hefði val um kennitölu."
2.
Í greinargerð með framangreindri þingsályktunartillögu kemur fram að þær persónuupplýsingar, sem þar er átt við, eru upplýsingar um fæðingardag og -ár. Þess skal getið til upplýsingar að kennitölur, sem sýna þessar upplýsingar, eru ekki aðeins notaðar á Íslandi heldur einnig í Danmörku, Noregi, Svíþjóð og Finnlandi. Persónuvernd hefur ekki kannað hvort slíkar kennitölur séu notaðar í öðrum löndum, en þess skal getið að víða, m.a. í Hollandi, Þýskalandi, Frakklandi, Portúgal og Grikklandi, hafa einstaklingar nokkur númer sem miðast við mismunandi svið opinberrar starfsemi, t.d. eitt númer fyrir heilbrigðis- og félagsþjónustu, annað vegna skattgreiðslna o.s.frv. Eru þessi númer þá oft lítið – eða jafnvel alls ekki – notuð utan hins opinbera. Með því að nota fleira en eitt númer er og girt fyrir ýmsa samkeyrslumöguleika sem ella væru fyrir hendi. Í ljósi þessa er það svo í Þýskalandi og Portúgal að ein alhliða kennitala talin brjóta gegn stjórnarskrá (sjá vinnuskjal starfshóps samkvæmt 29. gr. tilskipunar 95/46/EB frá 8. maí 2003 á eftirfarandi slóð: http://europa.eu.int/comm/internal_market/privacy/workingroup/wp2003/wpdocs03_en.htm (bls. 8)).
Persónuvernd telur þá hugmynd að veittur verði kostur á nýju persónuauðkenni, sem ekki veitir neinar persónuupplýsingar um viðkomandi einstakling og komi í stað kennitölu, vera í anda þeirra sjónarmiða sem íslensk löggjöf um vernd persónuupplýsinga er reist á, einkum þeirra reglna sem kveðið er á um í tilskipun 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Í því sambandi bendir Persónuvernd á að skv. c-lið 1. mgr. 6. gr. tilskipunarinnar, sbr. 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, skulu persónuupplýsingar vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við markmiðin með söfnuninni og/eða vinnslunni.
Tekið skal hins vegar fram að Persónuvernd telur helsta álitaefnið, sem tengist kennitölum hér á landi, ekki vera að þær sýna fæðingardag viðkomandi heldur hina miklu notkun þeirra og hið almenna aðgengi sem að þeim er. Hafa verður í huga að kennitölur eru notaðar sem lykill að upplýsingum um einstaklinga í margvíslegum skrám. Sá sem veit kennitölu einstaklings og hefur aðgang að slíkri skrá getur því á mjög einfaldan hátt kannað hvort hann sé á skránni og hvað þar sé skráð um hann. Í mörgum tilvikum er og unnt að samkeyra tvær eða fleiri skrár og finna allar þær færslur um tiltekinn einstakling sem þar er að finna.
Í þessu ljósi má m.a. spyrja sig þess hvort eðlilegt sé að fólk, sem vegna starfa sinna hefur aðgang að skrám byggðum á kennitölum, hafi um leið aðgang að kennitölum allra Íslendinga. Ætla má að oft á tíðum sé t.a.m. nægilegt að fólk í þjónustustörfum, sem vinnur með slíkar skrár, fái upplýsingar um kennitölur viðskiptavina eða skjólstæðinga frá þeim sjálfum þegar þeir æskja þjónustu. Þetta starfsfólk þurfi þar af leiðandi ekki að geta fundið kennitölurnar eftir öðrum leiðum. Eins og staðan er nú er það hins vegar svo að flestir Íslendingar, þ. á m. fólk sem vinnur við skrár byggðar á kennitölum, geta fundið kennitölu allra annarra Íslendinga á einfaldan hátt.
Álitaefni er hvort sú skipan samrýmist 10. gr. laga nr. 77/2000 þar sem segir að notkun kennitölu sé heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Í mörgum tilvikum má telja unnt að persónugreina fólk með öruggum hætti með nafni og fæðingardegi eða nafni og heimilisfangi og í sumum tilvikum jafnvel aðeins með nafni. Með það í huga má telja það æskilegt að kennitalan sé ekki birt opinberlega heldur að sá háttur sé hafður á að fólk gefi hana upp þegar nauðsyn krefur en sé ella aðeins krafið um upplýsingar um fæðingardag, heimilisfang eða annað sambærilegt – og megi um leið treysta því að ekki sé unnt að fá upplýsingar um kennitölu þess með því einu að nálgast þjóðskrá á Netinu. Þess skal getið að Persónuvernd benti Hagstofu Íslands, Þjóðskrá, á það með bréfi, dags. 16. janúar 2004, hvaða álitamál væru tengd hinni opinberu birtingu kennitalna. Í kjölfar þess hefur birtingu þjóðskrárupplýsinga, þ. á m. kennitalna, á opnum heimasíðum verið hætt, en þær eru enn aðgengilegar í heima- og einkabönkum sem mikill fjöldi fólks hefur aðgang að.
Að síðustu skal hér bent á þá kosti sem fylgja því að nota fleira en eitt númer til auðkenningar einstaklinga þannig að mismunandi sé eftir einstökum sviðum þjónustu og annars konar starfsemi hvaða númer sé notað. Eins og fram hefur komið er sá háttur hafður á í ýmsum löndum með þeirri afleiðingu að möguleikinn á samkeyrslu persónuupplýsinga er þar takmarkaðri en ella. Ljóst er að sum svið þjónustu og annars konar starfsemi eru það óskyld að sjaldan ætti að geta verið málefnaleg ástæða til að samkeyra upplýsingar sem þeim tengjast, s.s. heilsufarsupplýsingar annars vegar og fjárhagsupplýsingar hins vegar. Í ljósi viðhorfa um friðhelgi einkalífs og vernd persónuupplýsinga er þá æskilegt að notuð séu mismunandi auðkenni á þessum sviðum til að girða fyrir möguleikann á ólögmætum samkeyrslum.
Hafin er notkun persónuauðkenna sem geta falið í sér meiri möguleika á misnotkun en kennitölur, þ.e. svonefndra lífkenna (e. biometrics), t.d. fingrafara. Þó svo að slík persónuauðkenni tengist ekki beint þeirri þingsályktunartillögu, sem hér um ræðir, telur Persónuvernd rétt að fjalla nokkuð um þau allsherjarnefnd til upplýsingar. Ljóst er að þau geta, rétt eins og kennitölur, veitt víðtæka samkeyrslumöguleika, en auk þess er það svo að ef til verða stórir gagnagrunnar með lífkennum verður mjög auðvelt að bera saman margvísleg lífkenni, sem menn skilja eftir sig, s.s. fingraför, saman við slíka gagnagrunna og komast þannig að því hvaða einstakling um er að ræða og hvar hann hefur verið. Slík vinnsla hefur hingað til almennt eingöngu tíðkast við lögreglustörf. Vandséð er hvaða aðrir hagsmunir en að geta auðveldað þau störf lögreglu, sem þannig eru vaxin að gild ástæða er til notkunar lífkenna, geta réttlætt það að slóð manna sé rakin með þeim hætti sem hér um ræðir.
Önnur hætta, sem felst í notkun lífkenna, eru þær afleiðingar sem villur í auðkenningarkerfum geta haft í för með sér. Þar sem almennt er litið svo á að lífkenni veiti mjög örugga – og jafnvel fullkomna – persónuauðkenningu kann að verða mjög erfitt fyrir þann sem auðkenndur er ranglega sem annar maður, t.d. af augnskanna, að leiðrétta þann misskilning. Afleiðingarnar af því gætu orðið alvarlegar, t.d. ef viðkomandi er ranglega auðkenndur sem einstaklingur, sem settur hefur verið í flugbann, eða einstaklingur, sem ekki má koma til tiltekins lands (sjá vinnuskjal starfshóps samkvæmt 29. gr. tilskipunar 95/46/EB frá 1. ágúst 2003 á eftirfarandi slóð: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2003/wp80_en.pdf (bls. 5)).
Í ljósi framangreinds telur Persónuvernd æskilegt að reynt verði að girða fyrir notkun lífkenna á þeim sviðum þar sem hún getur ekki talist réttlætanleg í ljósi þeirrar hættu sem af henni getur stafað. Þá telur Persónuvernd æskilegt að ávallt verði metið vandlega áður en notkun lífkenna hefst hvort hún sé nauðsynleg í ljósi þess tilgangs sem að er stefnt.