Verkferli við söfnun og skráningu persónuupplýsinga - víða pottur brotinn

Birt á Moggablogginu 11.10.2007 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd

Sá úrskurður Persónuverndar sem fjallað er um í frétt mbl.is gæti líklegast átt við um nær alla aðila sem safna persónuupplýsingum beint frá hinum skráða.  Af hverju Alcan lenti í því að vera klagað fyrir sömu háttsemi og fjölmargir aðrir aðilar viðhafa sýnir fyrst og fremst hörkuna sem var í undanfara íbúakosningarinnar í Hafnarfirði.

Ég held að það sé öllum, sem safna persónuupplýsingum beint frá hinum skráða, hollt að skoða forsendur úrskurðar Persónuverndar, þannig að ég ætla að birta meginmál samantektar úrskurðarins hér:

Í málinu liggur fyrir að á tímabilinu 10. – 15. mars 2007 voru svör einstaklinga rekjanleg og að viðmælendur voru ekki upplýstir um að svör þeirra yrðu skráð niður. Alcan hefur hins vegar sagt að eftir þann tíma hafi upplýsingarnar verið gerðar ópersónugreinanlegar. Það reyndist ekki unnt að staðreyna þar sem vinnsluaðili Alcan hafði þegar eytt gögnum úr kerfinu þegar Persónuvernd fékk aðgang að því.

Í niðurstöðu Persónuverndar kemur fram að skv. 1. tölul. 1. mgr. 7. gr. laga um persónuvernd skuli persónuupplýsingar unnar með sanngjörnum, málefnalegum og lögmætum hætti og að ef vinnsla persónuupplýsinga eigi að vera með sanngjörnum hætti verði hinn skráði að geta fengið vitneskju um að skráning persónuupplýsinga og önnur vinnsla fari fram. Í þessu felist því skilyrði um ákveðinn fyrirsjáanleika og gagnsæi skráningar og vinnslu persónuupplýsinga. Meðal annars beri að veita fræðslu um það hver standi fyrir öflun upplýsinga, í hvaða tilgangi, hvað sé skráð og hvernig varðveislu sé hagað.

Þetta ákvæði sé í nánum tengslum við 20. gr. laganna sem fjallar um fræðsluskyldu þegar afla skal upplýsinga hjá hinum skráða sjálfum. Þar er kveðið á um að fræða skuli hinn skráða um nánar tiltekin atriði, þ. á m. upplýsingar að því marki sem þær séu nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríki við vinnslu upplýsinganna, svo hann geti gætt hagsmuna sinna. Þetta felur í sér jákvæða athafnaskyldu sem hvílir á ábyrgðaraðila vinnslunnar. Í málinu liggi fyrir að Alcan hafi ekki gert ráðstafanir til þess að tryggja að menn fengju fræðslu og því hafi söfnun Alcan á upplýsingum um skoðanir einstakra íbúa í Hafnarfirði brotið í bága við ákvæði laga um persónuvernd.

Ég held að það gæti líka verið gott að skoða nokkur önnur ákvæði persónuverndarlaga (þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga).  Byrjum á einni skilgreiningu.  Í 2. gr. er hugtakið samþykki skilgreint sem hér segir:

7. Samþykki: Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.

Næst er það gildissvið.  Í 3. gr. laganna um efnislegt gildissvið segir:

Lögin gilda um sérhverja rafræna vinnslu persónuupplýsinga. Lögin gilda einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá.

Í 7. gr. er fjallað um meginreglur um gæði gagna og vinnslu.  Persónuvernd hefur þegar vísað til 1. töluliðar, en ég tel einnig rétt að vekja athygli á 2. tölulið, en þar segir:

[Við meðferð persónuupplýsinga skal allra eftirfarandi þætta gætt:]

2.  að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ásamrýmanlegum tilgangi..

Í 8. gr. er fjallað um almennar reglur um heimildir fyrir vinnslu persónuupplýsinga.  Af 7 töluliðum fjalla 6 um að vinnslan sé nauðsynleg af ýmsum ástæðum (sem eiga ekki við hér) en í 1. tölulið segir:

[Vinnsla persónuupplýsinga er því aðeins heimil að einhverjir eftirfarandi þátta séu fyrir hendi:]

1. hinn skráði hafi ótvírætt samþykkt vinnsluna og veitt samþykki sk. 7. tl. 2. gr.

Þegar þetta er allt sett í samhengi, þá er það mín niðurstaða, að langsamlega flestir aðilar sem sjá um að safna upplýsingum beint frá hinum skráða eru EKKI að uppfylla þessi ákvæði.  Það sem oftast klikkar er fræðslan og að fá samþykki fyrir vinnslunni.  Oft nægir að bæta við litlum reit á umsóknareyðublöð (hvort heldur hefðbundin pappírseyðublöð eða rafræn) þar sem viðkomandi hakar við að hann samþykki frekari vinnslu og vörslu upplýsinganna.  Þar með er formlegt samþykki fengið.

Nú fyrst farið er að nefna vörslu upplýsinga, þá segir í 26. gr., þar sem fjallað er um eyðingu og bann við notkun persónuupplýsingar sem hvorki eru rangar né villandi:

Þegar ekki er lengur málefnaleg ástæða til að varðveita persónuupplýsingar skal ábyrgðaraðili eyða þeim. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða á því að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra.

Ótrúlega margir ábyrgðaraðilar vinnslu persónuupplýsinga hafa enga hugmynd um það hve lengi er eðlilegt, hvað þá leyfilegt, að varðveita persónuupplýsingar (sjá nánar:  http://www.betriakvordun.is/index.php?categoryid=24).