Umsögn um drög að skýrslu og tillögum nefndar um rafræna stjórnsýslu (rafrænar undirskriftir o.fl.)

Umsögn til forsætisráðuneytisins, dags. 26. ágúst 2002

26.8.2002

Vísað er til erindis yðar, dags. 28. júní 2002, þar sem óskað er umsagnar Persónuverndar um drög að skýrslu og tillögum nefndar um rafræna stjórnsýslu. Erindinu fylgdi skjalið "SKÝRSLA NEFNDAR UM RAFRÆNA STJÓRNSÝSLU JÚNÍ 2002".


Persónuvernd hefur skoðað drögin í ljósi laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000 með áorðnum breytingum, hér eftir skammstöfuð pvl., 71. gr. stjórnarskrárinnar og alþjóðlegra réttarreglna á sviði einkalífsréttar, þ.á m. ákvæða forsagnar Evrópuþingsins og ráðsins nr. 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, hér eftir nefnd forsögnin.


Gerðar eru eftirfarandi athugasemdir við efnisatriði skýrsludraganna, í þeirri röð sem þau atriði koma fyrir í henni:

• (bls. 14) Í kafla IV.5. í skýrsludrögunum er fjallað um hvernig túlka megi hugtökin "frumrit" og "afrit" í ákvæðum sem lúta að meðferð stjórnsýslumála, þegar þeim ákvæðum er beitt um rafræna afgreiðslu slíkra mála. Varðandi þetta álitaefni er m.a. bent á að krafa um að skjöl séu í frumriti er almennt á því byggð að það geri kleift að ganga úr skugga um að skjalið sé óbreytt frá upprunlegri gerð eða auki a.m.k. líkurnar á því að svo sé. Segir enn fremur að hingað til hefur mátt staðreyna, að yfirlýsing, stjórnvaldsákvörðun eða samningur hafi verið undirritaður af þar til bærum aðila, með því að leita að frumriti yfirlýsingar, ákvörðunar eða samnings. Því næst segir í drögunum: "Tæknilega er mögulegt að gera rafræn gögn þannig úr garði að kanna megi hvort þeim hefur verið breytt frá því að þau voru t.d. undirrituð. Eru það einkum rafrænar undirskriftir sem gera þetta kleift, en um þær verður rætt hér síðar." Loks segir á bls. 19, um svonefndar "fullkomnar rafrænar undirskriftir", þ.e. undirskriftir sem byggja á dulkóðun með dreifilyklakerfum: "Slíkar rafrænar undirskriftir geta ótvírætt haft sama sönnunargildi og eiginhandarundirskriftir og virðast að öllu leyti geta komið í stað þeirra." Taka má undir að með rafrænum undirskriftum má leiða að því sterkar líkur hvort skjali hafi verið breytt frá því að það var undirritað. Hins vegar dvína slíkar líkur hratt með tímanum, þar sem þróun á sviði dulkóðunar, sem er undirstaða rafrænna undirskrifta, er afar hröð. Því má í ljósi reynslunnar búast við því að rafræn undirskrift sem telja má örugga nú, megi falsa með lítilli fyrirhöfn innan fárra ára. Því virðast rafrænar undirskriftir, einar og sér, ekki geta enn sem komið er veitt jafn varanlega mikil líkindi fyrir efni skjala og eiginhandarundirrituð pappírsskjöl geta gert. Af þessum sökum verður að telja nokkuð sterkt til orða tekið í síðastnefndu fullyrðingu skýrsluhöfunda. Á hinn bóginn má benda á að aðferðir til að falsa eiginhandarundirritanir eru sífellt að verða fullkomnari - auk þess sem fullyrða má að það mikla traust sem borið hefur verið til notkunar slíkra undirskrifta hefur aldrei verið í miklu samræmi við hið tiltölulega takmarkaða, raunverulega sönnunargildi þeirra. Tekið skal fram að fjallað er stuttlega um þetta fallvalta eðli rafrænna undirskrifta í síðari hluta kafla IV.12. í drögunum (bls. 20).
  
  
• (bls. 17) Í kafla IV.8. í skýrsludrögunum er fjallað um hugtakið "ábyrgðaraðili", í skilningi 4. tl. 2. gr. pvl. Er bent á að í ákvæðinu tekur hugtakið til þess "sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna". Því næst segir í drögunum að þegar um stjórnvöld ríkisins er að ræða sé "því ábyrgðaraðili í þessum skilningi oftast yfirmaður hlutaðeigandi stofnunar eða eftir atvikum ráðherra". Taka má undir með skýrsluhöfundum að hvað varðar stjórnarráðið sé eðlilegt að telja ráðherra vera ábyrgðaraðila þeirrar vinnslu persónuupplýsinga sem fram fer í ráðuneytum þeirra, enda eru allar stjórnvaldsákvarðanir ráðuneyta teknar í nafni eða a.m.k. umboði ráðherra. Innan þessara stjórnvalda er ekki um neina lögbundna skiptingu valda milli ráðherra og annarra embættismanna innan ráðuneyta. Ráðherrann ber ábyrgðina. Hins vegar má velta upp þeirri spurningu hvort ávallt eigi hið sama við í einstökum ríkisstofnunum, hjá fyrirtækjum eða öðrum lögaðilum. Líklega væri ákvörðunarvald um þau atriði sem talin eru upp í 4. tl. 2. gr. pvl. oft á sömu hendi. Stundum gæti slíkt þó verið óvissara, svo sem þegar stjórn stofnunar eru með lögum falin ákveðin hlutverk, t.d. stefnu stofnunarinnar og þ.m.t. að einhverju leyti tilgang vinnslu persónuupplýsinga á hennar vegum. Forstjóra stofnunarinnar kann hins vegar að vera falið að ákveða ráðstöfun fjárheimilda stofnunarinnar, þ.á m. hvaða búnaður verði keyptur til að nota við vinnsluna. Hjá fyrirtækjum og öðrum lögaðilum kann þessi ákvarðanataka að vera enn dreifðari og óljósari. Af þessum sökum má spyrja hvort ekki sé eðlilegt að líta svo á að lögaðilar geti talist ábyrgðaraðilar í skilningi pvl., en ekki þurfi í sérhverju tilviki að greina hvaða starfsmaður fari með þau verkefni sem tilgreind eru í 4. tl. 2. gr. pvl. Að vísu er oftast um að ræða sama einstakling sem gegnir umræddum hlutverkum og kemur fram fyrir hönd lögaðilans sem fyrirsvarsmaður hans. Slíkt er þó ekki einhlítt og kann þá að horfa til einföldunar að líta á lögaðilann sem ábyrgðaraðila en að samskipti vegna ábyrgðaraðilans fari fram við þann sem að lögum verður talinn fyrirsvarsmaður hans.
  
  
• (bls. 18) Bent er á það í kafla IV.10. að rafræn upplýsingatækni getur staðfest með tryggum hætti hvort og hvenær gögn teljast komin til aðila. Því næst segir í drögunum: "Með hliðsjón af þessu er ástæða til að gera rafrænar staðfestingar um móttöku jafngildar hefðbundnum aðferðum við sendingar með sannanlegum hætti." Við þessa yfirlýsingu, sbr. og 6. gr. frv. þess er fylgdi skýrsludrögunum (bls. 27), verður að setja þann fyrirvara að hér sé einungis átt við öruggar, eða óhrekjanlegar, rafrænar staðfestingar. Þrátt fyrir að taka megi undir með höfundum að möguleikar til rafrænna staðfestinga aðgerða séu miklir, þegar notast er við rafræn upplýsingakerfi, þá eru flestar slíkar staðfestingar auðfalsanlegar, hvort sem um er að ræða upplýsingar sem sjálfkrafa fylgja tölvubréfum um hvaðan þau koma eða hvenær þau voru send, eða "móttökukvittanir" úr bréfasímum og má vísa til fordæma hæstaréttar um slíkar staðfestingar. Hins vegar geta rafrænar undirskriftir nýst vel til slíkrar staðfestingar, eins og bent er á í drögunum.
  
  
• Loks vil Persónuvernd koma á framfæri þeirri ábendingu, að við flutning upplýsinga yfir á rafrænt form opnast alla jafna nýir möguleikar til meðferðar slíkra upplýsinga. Sem dæmi má nefna að auðveldara verður að flytja upplýsingar á því formi, jafnvel án vitneskju þess sem geymir upplýsingarnar, auk þess sem ný tækifæri gefast til að tengja upplýsingarnar öðrum gögnum og vinna úr þeim nýjar upplýsingar, sem ekki hefði gefist kostur á að afhjúpa ef þær væru ekki á rafrænu formi. Því telur Persónuvernd brýnt að þegar meðferð persónuupplýsinga hjá stjórnvöldum verður breytt úr því að vinna með þær á hlutlægu formi, einkum pappír, í að vinnslan fari fram með rafrænum hætti, þá verði sérstaklega hugað að þeim breyttu eiginleikum sem slík vinnsla hefur í för með sér, einkum að þeirri auknu hættu sem friðhelgi einkalífs hinna skráðu kann að geta stafað af slíkum breytingum.
  
  

Samkvæmt framansögðu laut skoðun Persónuverndar á skýrsludrögunum einkum að meðferð persónuupplýsinga samkvæmt þeim. Með þeim fyrirvara telur Persónuvernd ekki tilefni til að gera frekari athugasemdir við umrædd drög, þ.á m. við viðauka I með skýrsludrögunum, einkum í ljósi þeirrar niðurstöðu í kafla IV.15. að ekki sé tilefni á þessu stigi til að gera breytingar á lögum um persónuvernd og meðferð persónuupplýsinga vegna upptöku rafrænnar meðferðar stjórnsýslumála.