Stofnunin Persónuvernd hefur eftirlit með því að einkalífsréttur sé virtur og annast eftirlit með öryggi í tengslum við vinnslu og meðferð persónuupplýsinga. Einnig fylgist stofnunin með almennri þróun persónuupplýsingaverndar á innlendum og erlendum vettvangi og leiðbeinir þeim sem ráðgera að vinna með eða þróa kerfi fyrir persónuupplýsingar, um persónuvernd. Er ritun þessarar greinar liður í þeirri starfsemi. Persónuupplýsingar eru unnar á einn eða annan hátt af öllum fyrirtækjum, stofnunum og í ákveðnum tilvikum einstaklingum í upplýsingatæknisamfélagi nútímans. Aðgengi, söfnun, samtenging, varðveisla og vinnsla persónuupplýsinga í gagnaverum eða skýjum um allan heim er nánast óendanleg.

Upplýsingatækni býður upp á óþrjótandi tækifæri, t.d. til hagræðingar í rekstri, aukinnar framleiðni, skilvirkari og öruggari starfsemi og þess að stjórnendur hafi betri yfirsýn yfir reksturinn svo eitthvað sé nefnt. Eftir því sem umfang vinnslu verður meira og aðferðir fjölbreyttari getur hún hins vegar ógnað friðhelgi einkalífs. Fjöldamörg raftæki, snjallforrit og upplýsingakerfi safna umfangsmiklum upplýsingum um einstaklinga á degi hverjum auk þess sem lífshættir, neyslusnið og hegðun manna er greind með hjálp háþróaðra stærðfræðiformúla og forritunarkóða. Verðmæti þessara upplýsinga er mikið og öflug upplýsingakerfi eru hornsteinn í rekstri margra fyrirtækja og geta veitt þeim verulegt forskot í samkeppni.

Persónuupplýsingaréttur er í sífelldri þróun samhliða tæknibyltingunni og þeim möguleikum sem felast í hvers kyns upplýsingavinnslu. Í eftirfarandi umfjöllun verður greint frá þeirri þróun sem á sér stað innan Evrópusambandsins um persónuvernd og friðhelgi einkalífsins þegar kemur að hönnun og þróun hugbúnaðar og upplýsingakerfa. Þá verður einnig greint frá hugtökunum innbyggð friðhelgi (e. Data Protection by Design) og sjálfgefin friðhelgi (e. Data Protection by Default)  og þeim kröfum um vernd upplýsinga og friðhelgi einstaklinga sem ný almenn Evrópureglugerð um vernd persónuupplýsinga  mun koma til með að gera til þeirra sem hanna og þróa hugbúnað og upplýsingakerfi.

Ný reglugerð ESB um persónuvernd – breytingar í vændum?

Sú löggjöf sem aðildarríki Evrópusambandsins og EES-ríkjanna byggja á í dag er frá 1995 og því var kominn tími á nýjar reglur sem endurspegla þá tæknilegu framþróun sem átt hefur sér stað síðustu áratugi. Í janúar 2012 kynnti framkvæmdastjórn Evrópusambandsins drög að reglugerð um persónuvernd sem felur í sér umfangsmiklar umbætur á reglum um persónuvernd. Tilgangur hinnar nýju reglugerðar er að uppfæra regluverkið í samræmi við  tækniframfarir og aukna hnattvæðingu, styrkja persónuvernd á netinu og stuðla að vexti hins stafræna efnahagskerfis innan Evrópusambandsins. Nýju reglugerðinni er einnig ætlað að samræma reglur aðildarríkja Evrópska efnahagssvæðisins, draga úr misræmi í framkvæmd, einfalda regluverkið og færa sjálfsákvörðunarrétt um vinnslu persónuupplýsinga nær einstaklingum.

Í dag hvílir ábyrgð á öryggi persónuupplýsinga á þeim sem, eftir atvikum, kaupir eða notar upplýsingakerfi í starfsemi sinni og mun svo verða áfram. Ábyrgðaraðili, þ.e. sá sem tekur ákvörðun um vinnslu persónuupplýsinga, þann búnað sem notaður er eða aðra ráðstöfun upplýsinga, skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar, t.d. gegn óleyfilegum aðgangi. Það er lagt í hendur hans að meta hvaða ráðstafanir eru best til þess fallnar að tryggja öryggi miðað við áhættu af vinnslunni og eðli upplýsinga sem skal verja.

Reglugerðardrögin hafa tekið ýmsum breytingum frá því þau voru fyrst lögð fram og er reglugerðin nú  á lokastigum samningaferilsins. Þannig standa nú yfir samningaviðræður milli Evrópuþingsins, –ráðsins og framkvæmdastjórnar ESB um endanlegan texta hennar og er niðurstöðu að vænta í desember 2015. Því næst hefst innleiðingarferli og má því búast við að reglugerðin taki gildi á næstu árum hér á Íslandi, en gert hefur verið ráð fyrir þriggja ára aðlögunartíma fyrir aðildarríki, og fyrirtæki og stofnanir innan þeirra, til að aðlaga löggjöf, starfsemi og framkvæmd sína að kröfum reglugerðarinnar.

Með væntanlegri lagasetningu, sem mun að öllum líkindum verða tekin upp óbreytt í íslenskum rétti, má búast við töluverðum breytingum á því umhverfi sem fyrirtæki í hugbúnaðarþróun og önnur fyrirtæki starfa við í dag.

Innbyggð og sjálfgefin friðhelgi í upplýsingakerfum

Í formálsorðum nýju reglugerðarinnar eru hönnuðir upplýsingakerfa hvattir til þess að hanna hugbúnað sinn og þjónustu frá upphafi með vernd persónuupplýsinga í huga, t.d. með innbyggðum eða sjálfgefnum friðhelgisstillingum. Þetta er gert í þeim tilgangi að ábyrðaraðilar geti í kjölfarið mætt þeim kröfum sem lög og reglur gera til þeirra.

Nýju ákvæðin um innbyggða friðhelgi og sjálfgefna friðhelgi munu, af fyrrnefndum ástæðum, koma til með að hafa mikil áhrif á upplýsingatækni, hönnun og endurhönnun hugbúnaðar í framtíðinni.

Innbyggð friðhelgi gerir ráð fyrir að vernd persónuupplýsinga sé innbyggð í vörur og þjónustu, t.d. hugbúnað og upplýsingakerfi, strax frá upphafi, með því að koma í veg fyrir öryggisbrot innan fyrirtækja áður en þau eiga sér stað, s.s. með aðgerðaskráningu. Sjálfgefin friðhelgi miðast við að persónuupplýsingar verði ekki sjálfkrafa gerðar aðgengilegar almenningi, nema á grundvelli mannlegrar íhlutunar. Sem dæmi um sjálfgefnar friðhelgisstillingar má nefna að við birtingu ljósmynda á vefsíðu eða samfélagsmiðli verði friðhelgisstillingar í upphafi stilltar þannig að tiltekin mynd sé einungis sýnileg eiganda en ekki opin almenningi, þannig að viðkomandi þurfi ekki sjálfur að grípa til aðgerða til að vernda upplýsingar sínar gegn óviðkomandi.

Sú aukna áhersla sem lögð er á innleiðingu innbyggðrar og sjálfgefinnar friðhelgi í drögum reglugerðarinnar getur haft ótvíræða kosti í för með sér, m.a. með því að:

• Draga úr hættu á því að misfarið verði með upplýsingar sem unnið er með á síðari stigum.
• Auka traust á viðkomandi vöru/upplýsingakerfi og þannig fela í sér verðmætasköpun fyrir fyrirtæki.
• Mögulegt er að koma auga á hugsanleg vandkvæði í upphafi með því að hanna upplýsingakerfi með innbyggða friðhelgi í huga. Á þeim tímapunkti er einfaldara að leysa vandkvæði og oft með minni tilkostnaði en ef þau koma til á síðari stigum.
• Auka vitund innan fyrirtækja um vernd persónuupplýsinga og líkur á því að hugbúnaður/upplýsingakerfi sé í samræmi við gildandi lög og reglur.
• Að lokum eru taldar meiri líkur á að vinnsla taki nákvæmlega til þess tilgangs sem henni er ætlað að vinna að og hafi því minni neikvæð áhrif fyrir einstaklinga og þær upplýsingar sem unnið er með.  

Hvaða kröfur gerir ný Evrópureglugerð um persónuvernd?

Í drögum reglugerðarinnar er m.a. lögð sú skylda á ábyrgðaraðila að vinnsla persónuupplýsinga um innbyggða friðhelgi og sjálfgefna friðhelgi verði samþætt inn í viðskiptaferli þeirra frá upphafi þannig að þau grundvallarréttindi hins skráða, sem mælt er fyrir um í reglugerðinni, verði tryggð með fullnægjandi hætti. Gerir reglugerðin þá kröfu að gerðar séu skipulagslegar og tæknilegar öryggisráðstafanir til að tryggja að þessi réttindi séu varin, m.a. með hliðsjón af þeirri tækni sem í boði er, kostnaði við innleiðingu og eðli, samhengi, gildissviði og tilgangi vinnslunnar ásamt líkum og alvarleika áhættu á að brotið sé gegn persónuverndarhagsmunum einstaklinga.

Þetta felur m.a. í sér að þau fyrirtæki sem starfa við hönnun og þróun upplýsingakerfa þurfa að hafa í huga hvernig vernd þeirra persónuupplýsinga, sem unnið er með í kerfum þeirra, skuli vera tryggð. Ný tækni, vara og þjónusta ætti því að vera þannig úr garði gerð að hún uppfylli skilyrði hinnar nýju persónuverndarlöggjafar.  Af þeirri ástæðu þurfa þau fyrirtæki og einstaklingar sem hanna og þróa hugbúnað eða upplýsingakerfi að kynna sér vel þær kröfur sem löggjöfin gerir til vinnslu persónuupplýsinga. Það þarf því að huga að hvort upplýsingavinnsla byggist á heimild einstaklings eða lagaskyldu, sem og hvort þeim meginreglum sem ávallt ber að fylgja, um gæði gagna og vinnslu, sé fylgt. Þessar meginreglur lúta t.d. að því að upplýsingar skuli vera áreiðanlegar og réttar, að þær séu unnar í skýrum og málefnalegum tilgangi og að meðalhófs sé gætt.

Virðing fyrir grundvallar mannréttindum og upplýsingatækni getur farið saman

Enda þótt endanlegur texti Evrópureglugerðarinnar liggi ekki fyrir þegar þessi grein er rituð er ljóst að löggjöf á sviði persónuupplýsingaverndar mun koma til með að gera strangari kröfur til hönnuða upplýsingakerfa og hugbúnaðar um persónu- og einkalífsvernd í framtíðinni. Aukin krafa um skilvirkni og hagkvæmni í rekstri ásamt kröfu um samkeppnislegt forskot fyrirtækja fyrir tilstilli öflugrar upplýsingavinnslu breytir ekki mikilvægi þess að virða þarf grundvallar mannréttindi sem felast í persónuvernd og friðhelgi einkalífs þegar kemur að vinnslu persónuupplýsinga í háþróuðu upplýsingatæknisamfélagi.  

Það er enginn vafi á því að sú aukning í magni gagna sem er safnað og unnið með mun án vafa breyta heiminum á ófyrirséðan hátt. Því er mikilvægt að aðilar sem koma að hönnun og þróun hugbúnaðar og upplýsingakerfa, ásamt þeim aðilum sem bera ábyrgð á vinnslu persónuupplýsinga í starfsemi sinni og notast við slík kerfi, tryggi að friðhelgi og vernd persónuupplýsinga teljist til þeirra lykilþátta sem líta þarf til í upphafi hugbúnaðargerðar sem og út líftíma hans. Ekki er ráð nema í tíma sé tekið og því er mikilvægt að þjónustuaðilar og aðrir hér á landi fari nú þegar að huga að þeim kröfum sem gerðar verða.

Höfundar:

Alma Tryggvadóttir, skrifstofustjóri upplýsingatæknisviðs hjá Persónuvernd
Vigdís Eva Líndal, lögfræðingur hjá Persónuvernd.
Höfundar eru vottaðir stjórnendur úttekta á upplýsingaöryggiskerfum skv. ÍST/ISO 27001:2013