Internetnotkun er orðin samvaxin daglegu lífi okkar flestra og erfitt að ímynda sér tilveruna algerlega án hennar. Mörkin á milli raunheima og netheima verða sífellt óljósari en sporin sem við skiljum eftir okkur á netinu eru raunveruleg. Af þeim sökum ættum við, samkvæmt grundvallarmannréttindum, að njóta fullkominnar persónuverndar í netheimi líkt og í raunheimi. Nýja evrópska persónuverndarlöggjöfin er stórt skref í þá átt. Hér verður mikilvægi persónuverndar skoðað í samhengi við atferlismiðaða vinnslu fyrirtækja í hagnaðarskyni og öryggisbresti sem getur orðið hjá fyrirtækjum sem vanrækja skyldur sínar. Fyrst verður þörfin fyrir að vernda persónuupplýsingar dregin fram, í öðrum hluta verður atferlismiðun útskýrð og í þeim þriðja sýnt fram á að enn sem komið er hafa öryggisbrot í Bandaríkjunum haft alvarlegri afleiðingar fyrir viðskiptavini en fyrirtæki. Að lokum verða færð rök fyrir því að persónuverndarlögin stuðli að mannréttindum sem eru mikilvægari en sá hagnaður sem fyrirtæki mögulega missa af nú þegar þau verða að standa sig samkvæmt reglum um meðhöndlun persónuupplýsinga.

Þörf á verndun upplýsinga um einstaklinga

Aukin meðhöndlun stórra gagnagrunna varð til þess að Evrópuráðið gerði samning árið 1981 um vernd einstaklingsins varðandi vélræna vinnslu persónuupplýsinga (Council of Europe, 1981). Þá áttu persónuupplýsingar við um nafngreinda einstaklinga. Upplýsingar um ónafngreinda einstaklinga, sem auðvelt var að nafngreina ef út í þá vinnu væri farið, voru samt sem áður meðhöndlaðar á sama hátt og nafngreindar (van der Sloot, 2015, bls. 36). Því má segja að nokkur hefð sé orðin fyrir því að upplýsingar um einstaklinga séu álitnar persónulegar hvort sem þær eru nafngreindar eður ei.

Tilgangur persónuverndarlöggjafar Evrópuþingsins og ráðsins (European Parliament, 2016) sem kom til framkvæmda í Evrópu 25. maí 2018, þegar að öllu er á botninn hvolft, að vernda einstaklinga gegn ósvífnum ríkisstjórnum og hnýsnum fyrirtækjum. Friðhelgi einkalífsins og sjálfstæði einstaklingsins eru undirstaða reglugerðarinnar. Meðferð persónuupplýsinga fellur einnig undir löggjöfina sem gefur einstaklingum rétt á vernd í tengslum við vinnslu á nethegðun án gefins samþykkis. Reglur um takmarkanir á atferlismiðaðri vinnslu og um frjálst flæði gagna hafa verið samræmdar milli ríkja ESB. Mér finnst áhugaverðast í þessari löggjöf lögin sem gefa einstaklingum rétt til að gleymast (sjá European Parliament, 2016, bls. 43-44 og Lög um persónuvernd 90/2018, 20. gr.) sem meðal annars fela í sér réttinn til að fá leitarniðurstöður afnumdar.

Söfnun persónuupplýsinga á netinu

Með tilkomu Internetsins fór einstaklingurinn sjálfur að taka aukinn þátt í vinnslu perónuupplýsinga. Tölvupóstar, blogg og samfélagsmiðlar gerðu fólki kleift að sinna mörgum hliðum einkalífs, áhugamála, viðskipta og fleiru á Internetinu. Á sama tíma var í mun ríkari mæli hægt að safna persónuupplýsingum á kefisbundinn hátt (Steinlaug Högnadóttir, 2015, bls. 6). Tölvu- og tækniþróunin var hröð og margt breyttist á sviði upplýsingatækni sem hefur gert verndun persónuupplýsinga erfiða viðureignar fyrir eftirlitsstofnanir.

Upplýsingar, sem hægt er að safna um einstaklinga á netinu með atferlismiðun, urðu að söluvöru. Slíkt hefur tíðkast án vitneskju eða beinu samþykki notenda Internetsins eins og fjölmörg dæmi sýna. Tilgangur atferlismiðunar er að fylgjast með hegðun á netinu, greina hana og beina spjótum sínu að henni. Fyrirtæki sem safnar slíkum upplýsingar um einstaklinga, óháð því hvort að hægt sé að tengja nafn við upplýsingarnar eða ekki, telst meðhöndla persónuupplýsingar. Nafn er bara eitt auðkenni sem hægt er að festa við einstakling og í raun er nafn ekki hentugasta auðkenni einstaklinga í atferlismiðaðri vinnslu (Zuiderveen Borgesius, 2016, bls. 270). Fyrirtæki sem græða af atferlismiðun hafa lengi haldið því fram að ef þau nafngreindu ekki upplýsingar sem þau söfnuðu þá væru þau að fara eftir lögum (bls. 256). Slíkar yfirlýsingar eru hvorki góðar né gildar.

Aðlögun lögaðila og fyrirtækja

Nýja evrópska persónuvernarlöggjöfin hefur áhrif á starfsemi fyrirtækja og stofnana sem eiga í viðskiptum eða samskiptum við einstaklinga innan Evrópska efnahagssvæðisins. Meðal annars takmarkar hún hver má hafa persónuupplýsingar um Evrópubúa undir höndum, ver þá gegn leynilegu eftirliti á netinu og óleyfilegri notkunnar á persónuupplýsingum. Broti á reglunum fylgja háar sektir. Að mæta kröfum reglugerðarinnar hefur gengið brösuglega þrátt fyrir að drjúgur tími hafi verið til aðlögunar.

Jackson (2018), lögfræðingur og blaðamaður, skrifaði grein í janúar á þessu ári um hvernig bandarísk yfirvöld standa sig á sviði verndunar persónuupplýsinga miðað við það sem er að gerast í Evrópu. Jackson nefnir sem dæmi að brotist var inn í gögn bandaríska lánafyrirtækisins Equifax fyrir tveimur árum með þeim afleiðingum að persónuupplýsingar 145 milljóna Bandaríkjamanna og tæplega 700.000 Breta voru afhúpaðar. Equifax, ábyrgðaraðili upplýsinganna, vísaði ábyrgð yfir á vinnsluaðilann sem á móti sakaði Equifax um að hafa ekki fylgt uppfærslum í öryggismálum og þar að auki ekki haft persónuupplýsingar dulkóðaðar (CBSNews.com, 2018). Auk lánþega Equifax voru persónuupplýsingar einstaklinga sem aldrei höfðu látið fyrirtækinu þær í té afhjúpaðar sem sýnir fram á að fyrirtækið safnaði og geymdi upplýsingar að ónauðsynju. Í framhaldi er talið er að einhverjir hafi orðið fórnarlömb glæpastarfsemi (Jackson, 2018). Samkvæmt fréttastofunni CBS þann 18. september síðast liðinn, hafði Equifax enn ekki svarað spurningum um hvort að persónuupplýsingarnar sem fyrirtækið ábyrgðist væru dulkóðaðar. Að nota dulkóða minnkar áhættuna sem hlýst af öryggisbresti. Hugsanlega geta allar upplýsingar orðið að persónuupplýsingum með auknum tækniframförum (van der Sloot, 2015, bls. 36) sem staðfestir mikilvægi persónuverndarlöggjafarinnar og að farið verði eftir settum reglum í sambandi við verndun einkalífsins og sjálfstæði einstaklingsins á Internetinu.

Equifax hneykslismálið opnaði augu fólks fyrir mikilvægi net- og upplýsingaöryggis og skortinum á því sviði. Þrátt fyrir það hefur bandaríska ríkisstjórnin ekki sýnt nein frumkvæði í áttina að bættri persónuvernd (Jackson, 2018) og engin embætisstofnun tilkynnt um aðgerðir sem gætu knúið fram umbætur á sviði netöryggis (CBSNews.com, 2018). Samkvæmt þessari umfjöllun virðist sem Bandaríkin séu aftarlega í netöryggismálum gagnvart kröfum evrópsku reglugerðarinnar þó að fyrirtæki séu að fjárfesta í betri tækni til að mæta auknum kröfum.

Niðurstaða

Réttur einstaklingsins til að gleymast á Internetinu er orðinn jafnfætis öðrum grundvallarmannréttindum. Fyrirtæki hafa borið fyrir sig að ef að upplýsingarnar sem þau hagnast á séu ekki nafngreindar þá eru þau ekki að brjóta lögin. Ef að fyrirtæki standa sig ekki í öryggismálum þá má búast við því að viðskiptavinirnir leiti á önnur mið. Ef að fyrirtæki getur ekki bent á að einstaklingur hafi gefið samþykki sitt fyrir að það megi geyma persónuupplýsingar hefur það engan rétt til að geyma slíkar upplýsingar, hvað þá selja þær og græða á einkalífi annarra.

Þróun í þessa áttina er jákvæð hvað varðar mannréttindi en frá efnahagslegu sjónarmiði er óvíst hvort að meiri eða minni lögleg vernd persónuupplýsinga sé betri. Hins vegar má segja að jafnvel þó að nýsköpun og hagvöxtur séu mikilvæg þá standa grundvallarmannréttindi skörinni hærra. Persónuverndarlög eru ekki aðeins miðuð að því að vernda einkalífið heldur einnig að stuðla að almennri sanngirni og réttvísi (Zuideveen Borgesius, 2016, bls. 270). Aðgangur og notkun á Internetinu er orðinn það samþættur hluti af lífi okkar og tilveru að segja má að við lifum í tveimur heimum. Hvers vegna ættum við að afhjúpa okkur í hvert skipti sem við förum yfir ósýnileg landamæri? Slíkt samræmist ekki frelsi einstaklingsins.

Höfundur: Heiðrún Hödd Guðmundsdóttir, umsjónarmaður útvarpssafns Færeyja og nemi við HÍ.

Heimildaskrá:

CBSNews.com. (2018, 11. september). Equifax data breach was a year ago – what has DC done about it? Sótt af https://www.cbsnews.com/news/equifax-data-breach-was-a-year-ago-what-has-dc-done-about-it/

Council of Europe. (1981). Convention for the protection of individuals with regard to automatic processing of personal data. Strasbourg: Council of Europe. Sótt af https://rm.coe.int/1680078b37

European Parliament. (1995). Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Official Journal of the European Communities, L. 281, 31-50. Sótt af https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:31995L0046

European Parliament. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Concil of 27 April 2016 on the protection of natural persons with regard to the procession of personal data and on the free movement of such data, an repealing Directive 95/46/EC (General Data Protection regulation). Official Journal of the European Communities, L. 119, 1-88. Sótt af https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN

Jackson, Olly. (2018). Tech keeps EU data protection rules in check. International Financial Law Review. Sótt af https://search.proquest.com/docview/2000954440?accountid=28822

Lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. https://althingi.is/lagas/148c/2018090.html

Steinlaug Högnadóttir. (2015). Hver er ábyrgur? Hugtökin ábyrgðar- og vinnsluaðili samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga (meistararitgerð). Háskóli Íslands, Reykjavík. Sótt af https://skemman.is/handle/1946/20211

van der Sloot, B. (2015). Do privacy and data protection rules apply to legal persons and should they? A proposal for a two-tiered system. Computer Law & Security Review: The International Journal of Technology Law and Practice, 31(1), 26-45. https://doi.org/10.1016/j.clsr.2014.11.002

Zuiderveen Borgesius, Frederik J. (2016). Singling out people without knowing their names - Behavioural targeting, pseudonymous data, and the new Data Protection Regulation. Computer Law & Security Review: The International journal of Technology Law and Practice, 32(2), 256-271. https://doi.org/10.1016/j.clsr.2015.12.013

Myndaskrá:

Tumisu. (e.d). Pixabay. Leyfi CC0 frá Creative Commons. Sótt af https://pixabay.com/da/spionage-data-bin%C3%A6r-kode-privatliv-3348575/