Ársskýrsla Persónuverndar 2023
2. apríl 2024
Ársskýrsla Persónuverndar fyrir árið 2023 er komin út. Í ársskýrslunni má meðal annars finna tölfræðilegar upplýsingar og ýmsan fróðleik um hlutverk og starfsemi Persónuverndar, auk formála forstjóra, þar sem farið er yfir helstu verkefni stofnunarinnar á árinu.
Ársskýrsla Persónuverndar 2023
Formáli forstjóra
Helga Þórisdóttir, forstjóri Persónuverndar
Á árinu 2023 voru fimm ár liðin frá því að tímamótabreytingar voru gerðar á persónuverndarlögum. Upplifun starfsmanna Persónuverndar er að þekking á þessum málaflokki hérlendis hafi aukist umtalsvert. Fólk gerir sér í auknum mæli grein fyrir nauðsyn þess að stjórnvöld, fyrirtæki og aðrir sem nota og vinna með persónuupplýsingar geri það af ábyrgð og í samræmi við lög. Kjarni málsins er sá að eftir því sem upplýsingar, sem hægt er að greina niður á einstaklinga, eru viðkvæmari, þeim mun varlegar þarf að fara með þær.
En um hvað snýst þetta í raun?
Heilbrigðisupplýsingar falla í flokk viðkvæmra persónuupplýsinga og einnig upplýsingar um trúarskoðanir og kynhegðun, svo dæmi séu tekin. Það eru sterk rök fyrir því að auka aðgengi almennings að læknum og öðrum heilbrigðisstarfsmönnum með alls kyns möguleikum sem tæknin býður upp á. Hins vegar þarf að passa að fara ekki af stað með stafrænar lausnir í þessu umhverfi fyrr en fyrir liggur að tæknin uppfylli kröfur persónuverndarlaga. Hér eru það sérstaklega reglur um svokallaða innbyggða og sjálfgefna persónuvernd sem þarf að huga að. Það felur í sér að þegar tæknilausnir eru hannaðar þurfa þær að virka þannig að rétt sé farið með upplýsingarnar sem eru vistaðar í þeim, til dæmis þannig að þeim sé ekki deilt með öðrum án heimildar. Þú vilt að læknirinn hlusti einn á samtalið en ekki að það sé opin rás sem allir geta hlustað á.
Þá var Grindr-niðurstaða norsku persónuverndarstofnunarinnar um árið upplýsandi. Notendur Grindr nýta forritið til að tengjast öðrum notendum í LGBTQ+-samfélaginu og margir þeirra kjósa að birta ekki fullt nafn sitt. Engu að síður var persónuupplýsingum þeirra, til dæmis upplýsingum um staðsetningu, aldur, kyn, IP-tölu og fleira, ásamt upplýsingum um að þeir notuðu umrætt forrit, deilt með hundruðum óviðkomandi aðila í markaðssetningartilgangi. Þetta var gert án heimildar og án þess að notendurnir vissu af því eða hefðu eitthvað um það að segja.
Í persónuverndarumhverfinu liggur fyrir að það þarf að fara varlega með upplýsingar um börn og það er ekki í boði að nota forrit í skólastofum sem eru þannig gerð að sveitarfélögin missa stjórnina yfir þeim upplýsingum um nemendurna sem eru vistaðar í þeim. Ljóst er því að skoða þarf hvert og eitt forrit vel út frá persónuverndarsjónarmiðum áður en það er tekið í notkun. Í þessu sambandi var sláandi að komast að því nýlega að hérlendis eru dæmi um að sveitarfélög hafi ekki fylgst nægilega vel með notkun tæknilausna í grunnskólastarfi, sem leiddi til að mynda til þess að rúmlega 800 smáforrit voru í notkun fyrir grunnskólabörn í einu tilteknu sveitarfélagi. Óþarft er að taka fram að yfirsýn vantaði þar um virkni forritanna.
Fjárhagsupplýsingar eru ekki flokkaðar sem viðkvæmar upplýsingar en samt sem áður þarf að fara með þær af varúð. Þeim tengd er starfsemi fjárhagsupplýsingastofa en slík mál hafa ítrekað komið á borð Persónuverndar. Miklu skiptir að réttarumhverfið þar sé skýrt og bundnar eru vonir við að nýleg reglugerð dómsmálaráðherra um vinnslu upplýsinga um fjárhagsmálefni og lánstraust komi hér að góðum notum. Persónuvernd hefur jafnframt hvatt til þess að gerð verði óháð úttekt á því hvernig gerð skýrslna um lánshæfismat getur verið sem áreiðanlegust, samhliða því að réttindi einstaklinga séu virt. Það getur enda haft afdrifaríkar afleiðingar fyrir einstaklinga að lánshæfi þeirra sé metið á rangan hátt.
Persónuverndarlög oft misskilin
Á hverju ári fá starfsmenn Persónuverndar margvíslegar ábendingar um að vegna persónuverndarlaga sé hitt og þetta bannað. Eitt best þekkta dæmið var að ekki mætti lengur merkja snaga í leikskólum með nafni barna. Það má. Annað dæmi var að í ferð eldri borgara var ekki talið heimilt að biðja þátttakendur um að bera merkispjöld með nafni hvers og eins. Það má. Nýlega óskaði einstaklingur eftir smursögu bíls vegna endursölu. Starfsmaðurinn taldi það ekki mega. Það má – enda eðlilegt að nýr eigandi bíls hafi aðgang að slíkum upplýsingum.
En af hverju allar þessar reglur og hvers vegna allt þetta umstang?
Réttarsviðið persónuverndarréttur byggir á stjórnarskrárákvæði um friðhelgi einkalífs. Umhverfið hefur því frá upphafi verið skilgreint sem réttindi einstaklinga. Tækniframfarir undanfarinna ára eru nú á góðri leið með að gjörbreyta þessu umhverfi. Það er miklu meira en réttindi einstaklinga sem hér er undir. Gögnin, flest persónugreinanleg, eru orðin að olíunni sem knýr samfélagið áfram. Voldugustu fyrirtæki heims eru með veltu sem er langt umfram verga landsframleiðslu stöndugra landa og þessi fyrirtæki eru öll að meðhöndla gögn og persónugreinanlegar upplýsingar. Þessar upplýsingar er hægt að nota gegn okkur – þ.e. með neikvæðum hætti. Óheimil notkun persónuupplýsinga okkar gæti til dæmis orðið til þess að við fengjum ekki lán, fengjum ekki vinnu og ekki tryggingar, svo dæmi séu tekin. Viljum við þetta? Flestir vilja þetta ekki. Og þetta eiga persónuverndarlögin að koma í veg fyrir. Þess vegna eru flest ríki í Evrópu að sammælast um að styrkja sínar persónuverndarstofnanir. Þess vegna eru sömu ríki að gera sér grein fyrir að samkeppnishæfni markaða er að veði ef ekki er passað upp á að fyrirtækin og aðrir fari að gildandi regluverki. Að sama skapi ættu allir að vera meðvitaðir um að það að skipta við fyrirtæki á EES-svæðinu á að vera gæðastimpill á þessu sviði, til hagsbóta fyrir okkur, því við erum svo lánsöm að búa í heimshluta þar sem ekki er í boði að selja heilsufarssögu og upplýsingar um áfengisnotkun til hæstbjóðenda. Og allar hinar upplýsingarnar líka.
Við þessar aðstæður hefur notkun gervigreindar tekið risastökk, þannig að ekki sér fyrir endann á því. Ljóst er að reynt verður að nýta hana í flestum ef ekki öllum geirum samfélagsins, vonandi alltaf til hagsbóta fyrir okkur öll. En jafnframt er ljóst að gervigreindinni fylgja ný og flókin álitaefni á sviði persónuverndar. Sú vinnsla persónuupplýsinga sem fylgir gervigreindinni er jafnframt á öðrum og stærri skala en áður hefur þekkst. Persónuvernd, eins og systurstofnanir hennar í Evrópu og víðar, býr sig nú undir að takast á við þær áskoranir sem fylgja gervigreindinni þegar kemur að því að vernda réttindi einstaklinga – okkar allra.
Viðbrögð Persónuverndar
Hjá Persónuvernd er áfram reynt að forgangsraða málum með réttum hætti og vinna eins skilvirkt og mögulega er unnt á hverjum tíma með öll þau verkefni sem koma inn á okkar borð. Það er alveg ljóst að margt hefur áunnist á þeirri vegferð, bæði hvað starfsemi stofnunarinnar varðar, sem og hjá fyrirtækjum, stjórnvöldum og öðrum, þar sem ýmislegt hefur verið fært til betri vegar. Að sama skapi þarf miklu meira ef duga skal og það gengur ekki að enn sé verið að fást við landlægan misskilning á grundvallarreglum á þessu sviði. Starfsmenn Persónuverndar geta ekki hlaupið hraðar og vegna krafna um niðurskurð var það döpur staðreynd að loka þurfti starfsstöð Persónuverndar á Húsavík. Þegar til kom reyndist ekki vera stuðningur fyrir því að fjármagna starfsemina þar áfram þótt framtakið hefði hlotið lof og reynst vel. Að sama skapi þá eru það forréttindi að fá að vinna að öryggi og vernd persónuupplýsinga á þeim ótrúlega skapandi tímum sem við nú lifum. Það er með þeim hug sem samhentir og öflugir starfsmenn Persónuverndar ganga til vinnu á degi hverjum!