Tæknibylting - er von fyrir persónuvernd?
Í dag er hinn evrópski persónuverndardagur. Af því tilefni, ritaði Helga Þórisdóttir, forstjóri Persónuverndar, grein um stöðu persónuverndarmála í miðri tæknibyltingu upplýsingasamfélagsins. Greinin birtist í Morgunblaðinu laugardaginn 28. janúar 2017.
Tæknibylting - er von fyrir persónuvernd?
Árið 2006 ákvað Evrópuráðið að halda evrópskan dag persónuverndar hátíðlegan og var hann haldinn í fyrsta skipti hinn 28. janúar 2007. Dagurinn hefur sterka skírskotun til Evrópuráðssamnings nr. 108 frá 1981, sem er hornsteinn löggjafar um persónuvernd innan og utan Evrópu. Með honum ítrekuðu Evrópuþjóðir, og síðar þjóðir utan Evrópu, skuldbindingu sína um ráðstafanir til þess að tryggja vernd réttinda og mannfrelsis, einkum einkalífsréttar, gagnvart vélrænni vinnslu persónuupplýsinga. Ísland hefur verið aðili að samningnum frá upphafi. Núgildandi lög um persónuvernd og meðferð persónuupplýsingar nr. 77/2000 eru síðan byggð á fyrstu löggjöf Evrópusambandsins á þessu sviði, þ.e. tilskipun Evrópuþingsins og ráðsins nr. 95/46/EB.
Af hverju er persónuverndardagurinn haldinn?
Segja má að sjaldan ef aldrei hafi verið jafn mikil þörf á að auka vitund einstaklinga um persónuvernd og réttinn til friðhelgi einkalífs. Álitaefni um persónuvernd eru allt um lykjandi á degi hverjum – í samskiptum einstaklinga yfir internetið, við notkun snjalltækja og smáforrita, í vinnuumhverfi og samskiptum við hið opinbera og við kaup á vörum og þjónustu.
Þrátt fyrir að vitund evrópskra þegna um persónuvernd og rétt til friðhelgi einkalífs fari vaxandi er talin þörf á frekari vitundarvakningu svo einstaklingar geti framfylgt rétti sínum á þessu sviði. Í þessu sambandi ber að hafa í huga að persónuupplýsingar eru upplýsingar sem eru rekjanlegar til tiltekins einstaklings, sbr. kennitala, bílnúmer og IP-tala tölvu, svo dæmi séu tekin.
Vernd persónuupplýsinga stendur á miklum tímamótum
Í apríl á síðasta ári voru samþykktar umfangsmestu breytingar sem gerðar hafa verið á evrópskri persónuverndarlöggjöf í tvo áratugi. Samþykkt endurbótanna markar tímamót í sögu persónuverndarlöggjafar í Evrópu. Þessi löggjöf fellur undir EES-samninginn og því er gert ráð fyrir innleiðingu á henni hérlendis. Löggjöf um persónuvernd er í grunninn ætlað að standa óháð tækniframförum. Tæknibylting undanfarinna ára hefur hins vegar leitt til þess að nýjar hættur og ógnir steðja að vinnslu og meðferð persónuupplýsinga og umbylting hefur orðið á söfnun og vinnslu þeirra, bæði hjá einkafyrirtækjum, hinu opinbera og sveitarfélögum. Það má hins vegar ekki gleyma því að einstaklingarnir sjálfir gera í auknum mæli persónuupplýsingar sínar aðgengilegar öðrum eða öllum, og það á alþjóðavísu. Það má því segja að tæknin hafi bæði breytt efnahagskerfinu og félagslífi fólks. Þessi þróun kallaði á að komið yrði á fót öflugum og heildstæðum ramma um persónuvernd í Evrópu og að þessum ramma væri fylgt kröftuglega eftir, með hliðsjón af mikilvægi þess að skapa traust – sem aftur gerir hinu stafræna hagkerfi kleift að þróast á öllum innri markaði Evrópu.
Eitt meginmarkmið þeirra heildstæðu endurbóta sem gerðar hafa verið er að veita einstaklingum betri vernd og færa þeim aukinn ráðstöfunarrétt yfir persónuupplýsingum sínum í þeim tilgangi að fela þeim stjórn yfir því hver vinnur upplýsingar um þá, hvenær og í hvaða tilgangi. Kynntur er til sögunnar réttur til hreyfanleika persónuupplýsinga, t.d. milli samfélagsmiðla, auknar kröfur verða gerðar til samþykkis fyrir vinnslu persónuupplýsinga, réttur til upplýsinga um vinnslu og til aðgangs að eigin persónuupplýsingum er aukinn og rétturinn til að gleymast á netinu við ákveðnar aðstæður er styrktur.
Öll fyrirtæki landsins, hið opinbera, sveitarfélög og aðrir sem vinna með persónuupplýsingar, hvort heldur um eigið starfsfólk, viðskiptavini eða aðra, verða að fylgja hinni nýju löggjöf. Ný löggjöf einfaldar regluverkið fyrir fyrirtæki og léttir með því stjórnsýslulegar byrðar og dregur úr kostnaði. Hún mælir hins vegar einnig fyrir um fleiri og strangari skuldbindingar en áður og brot á persónuverndarlöggjöfinni munu geta haft í för með sér miklar efnahagslegar afleiðingar. Persónuvernd mun sem fyrr framfylgja persónuverndarlöggjöfinni en persónuverndarstofnunum í Evrópu er ætlað breytt og aukið hlutverk samkvæmt nýrri löggjöf, m.a. til að sinna aukinni þjónustu og aðstoð við einstaklinga, fyrirtæki og hið opinbera.
Er von fyrir persónuvernd á gervihnattaöld?
Tilvísun til laga um persónuvernd og meðferð persónuupplýsinga er að finna í um 100 lagabálkum á Íslandi. Málin sem berast Persónuvernd eru því eins misjöfn og þau eru mörg. Í yfirgnæfandi meirihluta tilfella eiga málin þó það sammerkt að snúast um brot á grundvallarreglum persónuverndar, þ.e. unnið hefur verið með persónuupplýsingar og þeim eftir atvikum miðlað til utanaðkomandi aðila án tilskilinna heimilda, fræðslu hefur ekki verið sinnt, viðeigandi samningar liggja ekki fyrir eða þvíumlíkt. Málum af þessum toga hefur fjölgað ár frá ári og á síðasta ári voru 1865 mál skráð í málaskrárkerfi Persónuverndar. Gera má ráð fyrir því að málum fjölgi enn frekar með tilkomu nýrra og aukinna reglna um persónuvernd.
Hér þarf einnig að hafa hugfast að flestar stóru tækninýjungar undanfarinna ára hafa snertiflöt við persónuvernd. Þetta á t.d. við um alla vinnslu persónuupplýsinga sem tengist Interneti allra hluta (e. Internet of Things), gagnagnótt (e. Big Data) og gervigreind (e. Artificial Intellligence). Dæmi um þetta eru snjallsímarnir sem hafa samskipti við aðra snjallsíma, úr og gleraugu, þar sem myndavélar, hljóðnemar og skynjarar eru settir inn til að auka virkni, skrefamælar – sem eiga einungis að mæla gengin skref en safna sumir mun umfangsmeiri heilsufarsupplýsingum sem sendar eru framleiðanda tækjanna oft án vitneskju notanda, nettengd leikföng fyrir börn og snjallúr, og að síðustu heimilissjálfvirknin, þar sem nemar geta mælt hvort notandinn sé heima og hverjar venjur hans/hennar eru. Rafnknúnir bílar munu einnig falla undir afskipti Persónuverndar, þar sem slíkir bílar eru á góðri leið með að búa yfir jafn miklum upplýsingum um einstaklinginn sem notar hann og snjallsími viðkomandi. Að síðustu skal nefnt að gervigreind hefur það sterka skírskotun til persónuverndar að heill dagur á alþjóðlegri persónuverndarráðstefnu sem haldin var í október 2016 var tileinkaður þeim hættum sem persónuvernd getur stafað af gervigreind og sjálfvirkri ákvörðunartöku véla.
Ljóst er að viðfangsefni persónuverndar hafa sjaldan verið stærri og fyrirliggjandi áskoranir eru vissulega krefjandi. Að sama skapi liggur fyrir að hugarfarsbreyting er að verða í Evrópu hvað þessi grundvallarréttindi varðar og persónuvernd er á leið með að verða eitt af lykilatriðunum í rekstri fyrirtækja, hins opinbera og sveitarfélaga.