Með tilkomu internetsins og þeirrar upplýsinga- og tölvuvæðingar sem hefur átt sér stað síðustu ár hefur rafræn upplýsingamiðlun nær tekið við, þar sem áður var handvirkt unnið. Flestir miðla upplýsingum daglega og jafnvel oft á dag, t.d. á samfélagsmiðlum og með notkun tölvupósts. Stjórnsýslan hefur ennfremur rafrænst að miklu leyti undanfarin ár og nýtir sér nú oftar rafrænan samskiptamiðil í samskiptum sínum við einstaklinga, jafnvel þegar teknar eru stjórnvaldsákvarðanir. Samfara aukinni upplýsingatækni á sér stað sífellt aðlögunarferli í samfélaginu, sem leitast við að ná fram jafnvægi milli þeirra möguleika sem fylgja tölvum og tækni annars vegar og þeirra leikreglna sem samfélagið hefur ákveðið að setja sér og virða hins vegar. Árangurinn er misjafn, enda fyrirfinnast nú langtum fleiri leiðir til miðlunar en áður og nær víst að löggjafinn á í sumt hvað erfitt með að halda í við þá þróun.

Árið 2000 tóku gildi lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, hér eftir skammstöfuð pvl., og hafa þau tekið breytingum sex sinnum, síðast árið 2006. Þrátt fyrir að pvl. hafi verið við líði um fimmtán ára skeið, virðist sem brestur sé á að þeim sé fylgt í hvívetna, bæði innan stjórnsýslunnar sem og hjá almenningi. Því til staðfestingar liggja fyrir fjöldi úrskurða Persónuverndar um ólögmætar miðlanir [1], auk þess sem fallið hafa dómar um sama atriði. Ekki er útilokað að menn hreinlega þekki ekki nægilega vel löggjöf um persónuvernd eða tengi jafnvel ekki saman núgildandi lög við þær nýjungar sem tæknin býður okkur upp á. Á hinn bóginn er vart hægt að bera fyrir sig þekkingarleysi ef brotið er á friðhelgi annars, sér í lagi þegar um ræðir stjórnsýsluna. Því er vert að fara yfir hverjar séu helstu íslensku reglur sem gilda um miðlanir persónuupplýsinga.

Hugtakið „persónuupplýsingar“ og „miðlun“
Í almennri orðræðu eru gjarnan notuð hugtök sem eru svo aftur skilgreind með öðrum og oft sértækari hætti í lögum. Í lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, hér eftir skammstöfuð pvl. má finna skilgreiningar ákveðinna lykilhugtaka sem koma endurtekið fyrir þegar um ræðir upplýsingatækni, persónufrelsi og persónuvernd. Hugtakið „persónuupplýsingar“ er í 1. tölul. 2. gr. pvl. skýrt sem, sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Þannig þurfa upplýsingar ekki einvörðungu að snúa að einkamálefnum viðkomandi aðila heldur nægir að fyrir hendi sé ákveðið samband milli upplýsinganna og hins skráða, jafnvel með óbeinum hætti, líkt og segir í sjálfu lagaákvæðinu. 3

Dulkóðaðar upplýsingar, sem hægt væri að afkóða og tengja við persónu, væru þannig persónuupplýsingar í skilningi pvl. Persónuupplýsingar geta jafnframt verið á hvaða formi sem er, s.s. stafrænu, myndrænu, í formi skriflegra gagna o.s.frv.
Ekki er að finna sérstaka skýrgreiningu í pvl. á hugtakinu miðlun, heldur fellur miðlun undir hugtakið „vinnsla“, sem skýrð er sem, sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Hugtakið er þannig rúmt og nær til fjölda aðgerða og atvika, m.a. miðlun með framsendingu, dreifingu og aðrar aðferðir sem myndu gera upplýsingar tiltækar öðrum með einum eða öðrum hætti.

Í pvl. er gerður greinarmunur á annars vegar því sem flokka má sem almennar persónuupplýsingar, líkt og rætt var hér ofar, og hins vegar því sem flokka má sem viðkvæmar persónuupplýsingar. Í 8. tölul. 2. gr. pvl teljast eftirfarandi upplýsingar viðkvæmar:
a)    Upplýsingar um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir.
b)    Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað.
c)    Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun.
d)    Upplýsingar um kynlíf manna og kynhegðan
e)    Upplýsingar um stéttarfélagsaðild

Viðkvæmar persónuupplýsingar eru tæmandi upptaldar í lagaákvæðinu og aðrar upplýsingar myndu því flokkast sem almennar persónuupplýsingar. Skiptir sérstöku máli að átta sig á í hvaða flokki persónuupplýsingar tilheyra, þar sem mun strangari kröfur eru gerðar til vinnslu viðkvæmra persónuupplýsinga, t.d. miðlun þeirra, en þegar um ræðir almennar persónuupplýsingar.

Reglur um miðlun persónuupplýsinga
Um miðlun gilda, líkt og áður sagði, reglur pvl., þ.e. þegar unnið er rafrænt með persónuupplýsingar, en lögin gilda jafnframt um handvirka vinnslu persónuupplýsinga sem eru eða eiga vera hluti af skrá, sbr. 1. mgr. 3. gr. Nokkrar undantekningar eru þó frá hinni almennu reglu um gildissvið laganna, einkum þegar upplýsingar eru unnar í þágu öryggis- og löggæslumála og þegar upplýsingar varða einkahagi eða eru ætlaðar til persónulegra nota, sbr. 2. mgr. 3. gr. pvl. Þá er jafnframt að finna undantekningar í 5. gr. pvl., sem eru réttlættar með tilliti til fjölmiðlunar og fréttamennsku, lista og bókmennta. 4
Í 7. gr. pvl. er að finna ákvæði sem gildir almennt um vinnslu persónuupplýsinga, hvort sem þær eru almennar eða viðkvæmar, en ákvæðið felur í sér ákveðnar meginreglur um gæði gagna og vinnslu. Þar er t.a.m. fjallað um að upplýsingar skuli fengnar í yfirlýstum, skýrum og málefnalegum tilgangi, sbr. 2. tölul.
Er jafnframt sagt að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul.

Ofangreind atriði hafa þannig ekki síst þýðingu þegar hugað er að miðlun persónuupplýsinga. Ef miðla á persónuupplýsingum þarf ennfremur að fullnægja kröfum sem útlistaðar eru í 8. gr. pvl, sem varða einkum nauðsyn að baki miðluninni eða samþykki hins skráða. Ef miðla á viðkvæmum persónuupplýsingum þarf á hinn bóginn jafnframt að fullnægja kröfum 9. gr. pvl., sem gera frekari kröfur og leggja miðluninni þannig þrengri skorður en ella.

Auk þeirra reglna um miðlun sem fjallað er um í pvl. er til fjöldi annarra reglna, s.s. í formi reglugerða, verklagsreglna eða auglýsinga, er geta sett miðlun frekari skorður eða aukið heimildir til miðlunar, allt eftir aðstæðum hverju sinni. Vert er að nefna verklagsreglur nr. 340/2003 um afgreiðslu umsókna um aðgang að sjúkraskrám, reglugerð nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu og reglur nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Á heimasíðu Persónuverndar, sem annast m.a. eftirlit með framkvæmd pvl. og reglna settra samkvæmt þeim, má finna lista yfir ofangreindar reglur og reglugerðir [2]. Þá er til fjöldi bæði almennra laga og sérlaga sem geta haft þýðingu við meðferð persónuupplýsinga, þ.m.t. miðlun þeirra, t.d. stjórnsýslulög nr. 37/1993 og upplýsingalög nr. 140/2012 [3].

Þegar hugað er að miðlun hvers kyns persónuupplýsinga, ekki síst þegar um ræðir viðkvæmar persónuupplýsingar, ber að hafa í huga grundvallarreglu 71. gr. stjórnarskrárinnar um rétt einstaklinga til friðhelgi einkalífs og fjölskyldu, sem jafnframt er verndaður í 8. gr. mannréttindasáttmála Evrópu, sbr. lög nr. 62/1994. Fyrir kemur þó að fara þurfi fram hagsmunamat á því hvort vegi þyngra í einstöku tilfelli, friðhelgi einkalífsins eða tjáningarfrelsið, sem varið er í 73. gr. stjórnarskrárinnar og 10. gr. mannréttindasáttmála Evrópu. Persónuvernd hefur fram til þessa ekki lagt mat á framangreint, heldur talið að slíkt mat eigi undir valdsvið dómstóla [4]

Ábyrgð, eftirlit og öryggi
Líkt og að framan greinir hefur Persónuvernd eftirlit með pvl. og reglna settra samkvæmt þeim. Persónuvernd úrskurðar í ágreiningsmálum um miðlun persónuupplýsinga og getur stofnunin jafnframt haft frumkvæði að því að skoða ákveðin mál og gefa út álit.
Persónuvernd afgreiðir einnig leyfisumsóknir og gefur fyrirmæli um hvernig vinna skal með ákveðnar upplýsingar, með hliðsjón af bæði tækni, öryggi og gildandi lagareglum, svo fátt eitt sé nefnt.

Í 11. gr. pvl. er regla um öryggi persónuupplýsinga, sem kveður m.a. á um, að gera skuli viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Ennfremur segir að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Einnig ber að virða reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Þá er fjallað um innra eftirlit i 12. gr. pvl. og trúnaðarskyldu vinnsluaðila við meðferð persónuupplýsinga í 13. gr. pvl.

Reglulega gerist það, að birtar eru myndir eða myndbrot á samfélagsmiðlum eða netinu, þar sem um ræðir meint refsivert brot hins skráða, án þess að leitað sé atbeina lögreglunnar, en slíkt kann hæglega að fela í sér miðlun viðkvæmra persónuupplýsinga. Persónuvernd hefur úrskurðað um ólögmæta miðlun á slíku efni og taldi í máli nr. 31 frá 2011, að bakarí í Hafnarfirði hefði brotið gegn pvl., þegar það birti á vefsíðunni youtube.com myndskeið, sem talið var sýna ungan dreng taka farsíma ófrjálsri hendi [5]. Þeir sem taka upp myndskeið á farsímum eða snjalltækjum og birta á netinu, feli myndin eða myndbrotið í sér miðlun viðkvæmra persónuupplýsinga, geta þannig verið að brjóta á friðhelgi einkalífs hins skráða. Og skiptir þá jafnvel ekki máli, að tilgangur miðlunarinnar sé sá að koma upp um meint brot eða meintan brotavilja hins skráða. Með því er ekki verið að draga úr gildi tiltekinnar skráningar sem sönnunargagns, ef á reyndi, heldur ber eftir atvikum að vísa slíkum gögnum til lögreglunnar.

Telji menn að brotið hafi verið gegn trúnaði eða þagnarskyldu, má finna ábyrgð um slíkt víða í lögum, t.a.m. í 136. gr. og 230. gr. almennra hegningarlaga nr. 19/1940. Ákvæðin leggja refsiábyrgð á þá, sem vegna starfa sinna eiga að gæta þagmælsku um ákveðin um persónuupplýsingar einstaklinga, en greina frá því sem leynt átti að fara, t.d. með miðlun. 6

Í sömu lögum er jafnframt að finna ákvæði sem leggur refsiábyrgð á hvern þann sem skýrir opinberlega frá einkamálefnum annars manns, án þess að nægar ástæður séu fyrir hendi er réttlæti verknaðinn, sbr. 229. gr.

Miðlun persónuupplýsinga getur varðað refsingum, bæði í formi fésektar og frelsissviptingar og framið lögbrot getur, líkt og framan greinir, varðað við fleiri en ein lög, allt eftir eðli máls.

Lekamálið
Þann 21. nóvember 2014 sagði þáverandi innanríkisráðherra af sér embætti í kjölfar svokallaðs Lekamáls, enda lá þá fyrir dómur í máli aðstoðarmanns hennar, sem var sakfelldur fyrir brot gegn þagnarskyldu sinni í starfi með því að hafa látið óviðkomandi í té efni, er innihélt viðkvæmar persónuupplýsingar um hælisleitanda. Umræddur aðstoðarmaður hafði þannig miðlað trúnaðarupplýsingum í formi minnisblaðs til fjölmiðla [6]. Upphaflega hafði minnisblaðið verið óformlegt vinnuskjal sem var vistað á opnu drifi í tölvukerfi innanríkisráðuneytisins, tekið saman af skrifstofustjóra og lögfræðingi þess. Vinnuskjalið, sem innihélt m.a. viðkvæmar persónuupplýsingar um viðkomandi hælisleitanda, var áframsent til ráðuneytisstjóra, innanríkisráðherra og tveggja aðstoðarmanna hans, en rataði jafnframt í hendur fjölmiðils.

Sá fjölmiðill skrifaði loks frétt um málið sem byggði m.a. á upplýsingum úr umræddu minnisblaði. Málið fékk mikla útreið í fjölmiðlum og vatt upp á sig eftir því sem á leið og var betur rannsakað. Ekki aðeins lá fyrir að brotið hefði verið gegn friðhelgi einkalífs hælisleitandans með upplýsingalekanum heldur var jafnframt óskýrt með hvaða hætti ráðuneytið hefði komist yfir þær upplýsingar sem fram komu í minnisblaðinu. Við nánari skoðun á því kom í ljós að aðstoðarmaður innanríkisráðherra hafði með símtali óskað eftir upplýsingum um hælisleitandann við þáverandi lögreglustjóra á Suðurnesjum, sem miðlaði til ráðuneytisins skýrsludrögum um rannsókn sakamáls, hælisleitandanum á hendur. Persónuvernd úrskurðaði um lögmæti miðlunarinnar og var niðurstaða hennar að miðlunin hefði verið ólögmæt. Að auki taldi Persónuvernd það fara í bága við kröfur um upplýsingaöryggi að skort hefði á skráningu samskipta milli lögreglu Suðurnesja og ráðuneytisins. Með sama hætti fór í bága við kröfur pvl. að ekki var beitt sérstökum ráðstöfunum á borð við dulkóðun eða læsingu með sterku lykilorði við miðlun skýrsludraganna [7].

Lekamálið er aðeins eitt af ótal mörgum, er varða brot á persónuverndarlögum og stjórnarskrárvörðum rétti manna til friðhelgi einkalífs og fjölskyldu.  

Það sem gerir það kannski sérstakt, fyrir utan hversu hátt upp embættisstigann það teygði anga sína, er hversu auðvelt það reyndist aðstoðarmanni ráðherrans að nálgast umræddar upplýsingar og hversu illa var staðið að tryggingu upplýsingaöryggis, með hliðsjón af þeim ströngu reglum sem um hvort tveggja gilda.

Upplýsingaþjóðfélagið býr við ný og áður óþekkt vandamál þegar kemur að því að tryggja öryggi gagna og koma í veg fyrir ólöglega miðlun upplýsinga. Vandinn felst að hluta til í þeim tækniframförum sem hafa átt sér stað, s.s. með tilkomu snjalltækja og auðveldu aðgengi að internetinu, þar sem menn miðla nú stöðugt efni sem kann að vera óæskilegt eða meiðandi fyrir aðra. Sé upplýsingum miðlað gegnum netið er nú mun líklegra en áður, að efnið nái hratt og auðveldlega dreifingu, með hugsanlegum skaðlegum afleiðingum fyrir hinn skráða. Því verður að gera þá skilyrðislausu kröfu að öryggi í gagnamiðlun sé tryggt og settir séu skýrir og agaðir verkferlar þar sem unnið er með persónuupplýsingar, t.a.m. innan stjórnsýslunnar. Aðgengi að upplýsingum þarf ennfremur að vera takmarkað með þeim hætti, að aðeins þeir sem þurfa að hafa aðgang að ákveðnum upplýsingum hafi hann og aðrir ekki. Vanda þarf til þar sem unnið er með persónuupplýsingar og þær vistaðar, s.s. með reglubundnu viðhaldi á öryggi hugbúnaðar, innleiðingu strangrar aðgangsstýringar og vakta og prófa kerfin reglulega. Lagaramminn sem er nú fyrir hendi er ágætur og virðist taka á þeim atriðum sem máli skipta í tengslum við friðhelgi einstaklinga. Það verður þó ekki framhjá því litið, að fimmtán árum eftir að lögin tóku gildi, erum við enn að sjá alvarleg brot í tengslum við meðferð persónuupplýsinga, t.d. varðandi ólögmæta miðlun. Það er því sjálfsagt að endurmeta hvers virði það sé, að vinna rafrænt með persónuupplýsingar, ekki síst innan stjórnsýslunnar, ef ekki er hægt að tryggja einstaklingum grundvallarréttinn til friðhelgi einkalífs, heimilis og fjölskyldu.

Höfundar: Laufey Lind Sturludóttir lögfræðingur og Jónas Hróar Jónsson íþróttafræðingur. Nemar í tölvunarfræði við Háskólann í Reykjavík
Heimildir
[1] Sjá t.d.: úrskurð Persónuverndar frá 22. september 2015 (2015/503), úrskurð Persónuverndar frá 22. september 2015 ( 2015/1012) og úrskurð Persónuverndar frá 25. febrúar 2015 (2015/1684).
[2] Sjá reglur og reglugerðir undir lög og reglur á www.personuvernd.is.
[3] Framangreind lög eru ekki nema brot af þeim lögum sem reynt gæti á við meðferð persónuupplýsinga. Finna má lista af lögum sem hafa umrædd tengsl á vefsíðu Persónuverndar, önnur lög, undir lög og reglur, sjá: www.personuvernd.is.
[4] Sjá svar Persónuverndar við fyrirspurn um friðhelgi einkalífs og tjáningarfrelsi á netinu, frá 11. febrúar 2010, http://www.personuvernd.is/efst-a-baugi/nr/991
[5] sjá: úrskurð Persónuverndar 3. mars 2011 (2011/31).
[6] Hérd. Rvk. 12. nóvember 2014 (S- 651/2014).
[7] Úrskurður Persónuverndar 25. febrúar 2015 (2014/1779).