Úrskurður Persónuverndar í Grundarmáli

Birt á Moggablogginu 9.7.2008 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd

Persónuvernd birti í gær úrskurð sinn í máli sem snýst um rétt elliheimilisins Grundar til að láta InPro, áður Heilsuvernd og nú Heilsuverndarstöðin, skrá upplýsingar um fjarvistir og veikindi starfsmanns síns.  Niðurstaða Persónuverndar er að ,,[v]innsla upplýsinga um fjarvistir [starfsmanns] frá vinnu á elliheimilinu Grund vegna veikinda var ekki í samræmi við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga."  Persónuvernd vísar annars vegar til þess að vinnslusamningur InPro/Heilsuverndarstöðvarinnar við Grund hafi ekki verið fullnægjandi, þar sem skyldur vinnsluaðila höfðu ekki verið afmarkaðar og hins vegar að starfsmaðurinn hafi ekki gefið yfirlýst samþykki sitt fyrir vinnslunni.  Sjá má úrskurðinn á síðu Persónuverndar (www.personuvernd.is) eða með því að smella hér.

Ég ætla hér ekki að fjalla um þetta tiltekna mál, en verð þó að viðurkenna að það hefur lengi verið skoðun mín, að vinnuveitandi þyrfti að afla yfirlýsts samþykkis starfsmanns áður en þriðji aðili gæti aflað og unnið með slíkar upplýsingar.  Nú hefur Persónuvernd staðfest þessa skoðun mína.

Það er talsvert algengt að fyrirtæki og stofnanir safni alls konar persónuupplýsingum án þess að gæta þeirra atriða sem Persónuvernd nefnir í úrskurði sínu, þ.e.

  1. Fá yfirlýst samþykki fyrir söfnun upplýsinganna og vinnslu þeirra.

  2. Fræða viðkomandi um tilgang og eðli vinnslunnar.

  3. Gæta þess að þeir sem vinna með upplýsingarnar hafi rétt til þess og vinni með þær á þann hátt sem gefið var upp þegar söfnun þeirra var samþykkt.

Ég verð oft var við þetta bæði í starfi mínu sem ráðgjafi um upplýsingaöryggi og persónuvernd og sem viðskiptavinur fyrirtækja og stofnana.  Það er eins og menn telji að það sé leyfilegt og öllum finnist sjálfsagt að upplýsingar sem gefnar eru upp séu skráðar í upplýsingakerfi og unnið sé með þær á allan mögulegan hátt án þess að skilgreint sé hvað gert er með upplýsingarnar, hver vinni með þær, hve lengi þær verða varðveittar og hverjir hafi aðgang að þeim, svo fátt eitt sé nefnt af ákvæðum persónuverndarlaga.  Það sem ég geri því með viðskiptavinum mínum er að skilgreina þessa þætti.  Þetta snýst m.a. um að fá samþykki fyrir skráningunni, veita fræðslu um það hvað á að gera við upplýsingarnar og rétt hins skráða, aðgangsstjórnun, skilgreiningu á verkferlum, skilgreiningu á varðveislutíma og verkferli sem tryggja eiga að upplýsingarnar séu ekki geymdar lengur en þörf er og örugga förgun þeirra eftir það.

Það er of flókið að fara nánar út í þetta verkferli hér, en þeir sem vilja frekari upplýsingar geta sent póst á oryggi@internet.is

Lög um persónuvernd nr. 77/2000 eru oftast brotin vegna þess að menn þekkja lögin ekki nægilega vel.  Það er ekki vegna þess að það sé flókið að fylgja lögunum, því þau eru í eðli sínu einföld og leiðbeiningar þeirra skýrar, heldur er það vegna þess að menn hafa ekki fyrir því að kynna sér þau.  Það góða við þessi lög er að þau eru sambærileg, og mér liggur við að segja samhljóma, persónuverndarlögum í flestum nágrannalöndum okkar (að Bretlandi undanskyldu), enda byggja þau á tilskipun Evrópusambandsins 95/46/EC.  Hafa skal þó þann vara á að túlkun tilskipunarinnar er mjög mismunandi milli landa.  Þannig er margt sem þykir sjálfsagður hlutur á Íslandi alveg fráleitt á Ítalíu.  Það sem er algengt í Bretlandi er bannað í Frakklandi.  Spánverjar túlka viss ákvæði gjörsamlega andstætt við venjur á Norðurlöndum og þannig mætti lengi telja. Þetta er það sem gerir útfærslu verkferla vegna persónuverndar bæði krefjandi og áhugavert viðfangsefni sem kallar á góða þekkingu á ákvæðum persónuverndarlaga.