Ársskýrsla Persónuverndar 2022
28. júní 2023
Ársskýrsla Persónuverndar fyrir árið 2022 er komin út. Í ársskýrslunni má meðal annars finna tölfræðilegar upplýsingar og ýmsan fróðleik um hlutverk og starfsemi Persónuverndar, auk formála forstjóra, þar sem farið er yfir helstu verkefni stofnunarinnar á árinu.
Ársskýrsla Persónuverndar 2022
Formáli forstjóra
Helga Þórisdóttir, forstjóri Persónuverndar
VERKEFNASTAÐAN HJÁ PERSÓNUVERND
Árið 2022 færði Persónuvernd mörg ný verkefni auk þess sem traustum mannskap hennar tókst enn eitt árið að ná miklum árangri í afgreiðslu mála. Nýskráð mál á árinu voru 2.160. Við þessa tölu bættust óafgreidd mál frá fyrri árum og heildarfjöldi mála til meðferðar hjá Persónuvernd árið 2022 var því 2.731 mál. Á árinu lauk Persónuvernd 2.290 málum, en óafgreidd mál við árslok 2022 voru 441 talsins.
Heildarfjöldi mála hefur dregist ögn saman frá árinu 2020, þegar nýskráð mál voru flest rúmlega 2.500 talsins. Þessi fækkun á sér ákveðna skýringu. Annars vegar hefur verið lögð mikil vinna í að auka fræðslu á vefsíðu í þeim tilgangi að fækka almennum fyrirspurnum sem berast stofnuninni. Hins vegar var gerð breyting á þeirri reglu að allar umsóknir til Vísindasiðanefndar eða siðanefnda heilbrigðisrannsókna um vísindarannsóknir ættu að berast Persónuvernd til umsagnar. Voru þessar umsóknir 527 árið 2021 en 448 árið 2022. Sú breyting hefur nú verið gerð að minni háttar breytingar á rannsóknaráætlunum eru nú einungis tilkynningarskyldar til siðanefnda og koma ekki lengur til umsagnar hjá Persónuvernd. Persónuvernd hefur hins vegar einnig óskað eftir frekari breytingum á lagaumhverfi vísindarannsókna í því skyni að draga úr álagi hjá stofnuninni, en það er mat Persónuverndar að stofnunin ætti einungis að fá til sín stærri rannsóknir og rannsóknir þar sem t.d. er undir samkeyrsla stærri gagnagrunna eða genarannsóknir.
Á það skal hins vegar bent í þessu sambandi að kvörtunum fjölgaði milli áranna 2021 og 2022 og enn er staðan sú að Persónuvernd nær ekki að sinna mikilvægum lögbundnum verkefnum. Eitt af þeim varðar mál í svokölluðu IMI-kerfi, sem er samræmt samvinnukerfi persónuverndarstofnana á EES-svæðinu. Hér er um að ræða mál sem gætu varðað mikla hagsmuni íslenskra ríkisborgara, aðallega vegna starfsemi fyrirtækja á EES-svæðinu sem vinna persónuupplýsingar landsmanna, sem brýnt er að sinna. Persónuvernd er því enn undirmönnuð og hefur því ekki getað sinnt öllum sínum lögbundnu verkefnum.
STAFRÆN FRAMTÍÐ EVRÓPU
Á þeim tímamótum þegar Evrópa fagnar fimm ára afmæli hinnar evrópsku persónuverndarlöggjafar er kynnt til sögunnar á vettvangi Evrópusambandsins ný löggjöf á sex sviðum, sem tryggja á stafræna framtíð Evrópu (e. The Digital Services Act Package). Markmið þessara gerða er annars vegar að skapa öruggara stafrænt umhverfi þar sem grundvallarréttindi notenda eru tryggð. Hins vegar er stefnt að því að tryggja jarðveg fyrir nýsköpun, vöxt og samkeppnishæfni, bæði á innri markaði EES sem og hnattrænt. Fyrir liggur mat um að þessar gerðir falli allar undir EES-samninginn og verði þar með teknar inn í íslenska löggjöf. Þessi löggjöf hefur sterkan snertiflöt við starfsemi Persónuverndar – hún varðar gögn sem rekjanleg eru til einstaklinga og öryggi þeirra, meðal annars heilbrigðisupplýsingar. Miklu máli skiptir að vandað sé til verka við innleiðingu á þessari löggjöf hérlendis og tryggt að verkefni á þessum sviðum fari til þeirra stofnana sem besta sérþekkingu hafa til að tryggja að unnt sé að hlúa að stafrænum íslenskum hagsmunum, bæði fyrir einstaklinga, fyrirtæki og stofnanir.
GÖGNIN: ELDSNEYTI GERVIGREINDAR
Persónuupplýsingar eru allar upplýsingar sem hægt er að rekja til einstaklinga. Þetta geta verið upplýsingar um heimilisfang og símanúmer, en þetta geta einnig verið upplýsingar um langanir og þrár einstaklinga, hegðunarmynstur þeirra, netnotkun, kauphegðun, pólitískar skoðanir og heilsufar.
Markaðurinn fyrir persónuupplýsingar er stór og mörg stærstu fyrirtæki heimsins byggja afkomu sína beint eða óbeint á vinnslu þeirra. Margir sérfræðingar telja að gögn, þar með talið persónuupplýsingar, séu verðmætasta auðlind heims. Því er stundum talað um persónuupplýsingar sem hina nýju olíu. En hvað getur þessi nýja olía knúið? Gervigreind þarf í flestum tilvikum að styðjast við mikið magn gagna til þess að geta lært og í mörgum tilfellum er um persónuupplýsingar að ræða. Því má segja að eldsneyti gervigreindarinnar sé að vissu leyti hin nýja olía – þ.e.a.s. gögnin – sem síðan eru oft persónugreinanleg.
Persónuverndarlöggjöfin er í eðli sínu tæknilega hlutlaus, þ.e. hún gildir um vinnslu persónuupplýsinga, óháð því hvaða tækni er nýtt til vinnslunnar. Hún gildir því einnig um vinnslu persónuupplýsinga í þágu gervigreindar. Einkum má hugsa sér tvenns konar aðstæður þar sem á þetta reynir. Annars vegar þegar persónuupplýsingar eru notaðar til að þjálfa gervigreindina. Hins vegar reynir á reglur persónuverndarréttarins þegar gervigreind er falið að taka ákvarðanir um réttindi og skyldur einstaklinga. Við þessar aðstæður gilda persónuverndarlögin. Það eru ekki allir sem átta sig á því!
Séu persónuupplýsingar að einhverju marki nýttar við þróun eða notkun gervigreindar þarf í hvívetna að huga að öllum kröfum persónuverndarlaga frá upphafi. Þetta er kjarni reglunnar um innbyggða persónuvernd, sem er lögfest. Þegar gervigreind vinnur viðkvæmar persónuupplýsingar, t.d. um heilsufar eða stjórnmálaskoðanir, gerir löggjöfin enn ríkari kröfur til vinnslunnar.
Þrátt fyrir að gervigreind færi okkur óteljandi tækifæri, þá þarf að huga að því að hún brjóti ekki samhliða því í bága við grundvallarréttindi okkar til friðhelgi einkalífs. Gervigreind og persónuvernd eru ekki andstæðir pólar – það er hægt að þróa og nota gervigreind, en huga á sama tíma að því að einstaklingar njóti einkalífsverndar. Það er á ábyrgð þeirra sem þróa og nota gervigreindarkerfi að finna leiðir til þess, en persónuverndarlöggjöfin ætti ávallt að vera vegvísirinn.
GERVIGREIND Á ÍSLENSKUM VINNUMARKAÐI
Heyrst hefur af því að hérlendis sé nú þegar farið að nýta gervigreind á vinnustöðum til að meta hæfni og framleiðni starfsmanna. Tæknin býður upp á gríðarlegt inngrip í líf fólks en svo dæmi sé tekið er nú mögulegt að greina andlega líðan og almennt ástand fólks út frá svipbrigðum, raddbeitingu og áslætti á lyklaborð. Ábyrgðaraðilar á íslenskum vinnustöðum þurfa að gera sér grein fyrir því að hafi ábyrgð einhvern tíma fylgt valdi, þá gildir það í þessu umhverfi. Gera má ráð fyrir að rýni á starfsmönnum með aðstoð tækni, hvort sem um ræðir gervigreind eða annars konar tækni, falli undir persónuverndarlög, og ljóst er að hér þarf í hvívetna að virða grundvallarréttindi einstaklinga.
Persónuvernd, júní 2023
Helga Þórisdóttir