Umræða fréttir

Meginreglur persónuverndar og alþjóðleg þróun þeirra

Upphaf umræðna um persónuvernd

Umræður um persónu- og gagnavernd hófust í lýðræðisríkjum, bæði vestan hafs og austan, af alvöru á sjötta áratugnum. Fyrir því voru margar ástæður svo sem fyrirsjáanleg tölvuvæðing, vitneskja um gróf mannréttindabrot liðinna áratuga og óhugnanleg framtíðarsýn, sem meðal annars birtist í bók George Orwells 1984 en hún var fyrst gefin út árið 1949.

Fyrsta hugmyndin um víðtækan, miðlægan gagnagrunn um viðkvæmar persónuupplýsingar, sem næði til heillar þjóðar, kom fram í tillögum Rannsóknaráðs félagsvísinda í Bandaríkjunum árið 1966 (1). Hugmynd þessi náði ekki fram að ganga. Hún vakti hins vegar mikla tortryggni sem náði út fyrir Bandaríkin enda var talið líklegt að svipaðar hugmyndir mundu vakna meðal annarra þjóða.



Hvers vegna einkalíf?

Eðlilegt er að spurt sé hvers vegna þörf sé á að vernda einkalíf (privacy). Bent hefur verið á að þótt ástæðan sé tilfinningalegs eðlis þá sé hún til staðar og raunveruleg. Ekki sé um eina afmarkað ástæðu að ræða heldur margar og þeim megi skipta í þrjá meginþætti (2).

Í fyrsta lagi er það mannlegur þáttur, sem snýr að rétti til einveru (solitude), það er réttinum til að fá að vera í friði, helgun (intimacy), það er réttinum til að fá að deila vissum tilfinningum og gerðum innan takmarkaðs hóps, óþekkjanleika (anonymity) réttinum til að þekkjast ekki, til dæmis á almannafæri, og friðhelgi (reserve) réttinum til að reisa sér sálfræðilega múra gegn óvelkominni ágengni (3).

Í öðru lagi er það hinn pólitíski þáttur. Í ljósi reynslunnar er fyrir hendi ótti við að valdstjórnin geti orðið að harðstjórn. Um þennan þátt hefur verið fjallað af fræðimönnum. "Tölvan hefur gefið skifræðinu tæki til alfræði, ef ekki algetu, með því að fá því í hendur þekkingarkraft. Engar staðreyndir óskráðar, engu gleymt, engu fyrirgefið" (4). Einnig hefur verið bent á að fram sé komið nýtt Parkinsonslögmál í skrifræði og upplýsingatækni. "Framförum í upplýsingatækni hefur fylgt sú tilhneiging að stunda óhóflega meðferð og greiningu á skráðum upplýsingum. Það hefur svo leitt til þess að sóst er eftir söfnun gagna með vaxandi fjölda á breytum sem leiðir til þess að sóst er eftir æ umfangsmeiri upplýsingum um einstaklinga (5)."

Í þriðja lagi er það svo tæknilegur eða skipulagslegur þáttur sem liggur að baki þörfinni á að vernda einkalíf manna. Bent hefur verið á mikilvægi heildarskipulags einkalífs og takmörkun ráðstöfunar persónuupplýsinga. Rétta fólkið á fara með upplýsingarnar, það er þeir sem þurfa upplýsingarnar í sértækum tilgangi og þeim tilgangi einum, réttu gögnin séu notuð, það er þau séu nákvæm, heildstæð, skipti máli og séu tímanleg og að tilgangurinn sé réttur tilgangur, það er sem samþykktur er af viðkomandi eða sé studdur lögum (6).



Þróun lagasetningar, alþjóðlegra

tilmæla og tilskipana

Þrátt fyrir mismunandi lagahefð, uppbyggingu stofnana hinna ýmsu þjóðfélaga og almenn viðhorf hafa vestræn lýðræðissamfélög komist að býsna samhljóma niðurstöðum um persónuvernd. Í janúar 1991 höfðu 17 OECD þjóðir sett lög um persónuvernd og sex aðrar voru með slíka löggjöf á döfinni. Svíar riðu fyrstir á vaðið árið 1973 en íslensk löggjöf um efnið var í fyrsta sinn samþykkt af Alþingi árið 1981. Núgildandi lög um skráningu og meðferð persónuupplýsinga eru frá árinu 1989 (7). Þá voru persónuverndarákvæði tekin upp í stjórnarskrá lýðveldisins Íslands árið 1995, sbr. 71. gr. Í 3. mgr. 71. gr. segir að takmarka megi friðhelgi einkalífs, heimilis eða fjölskyldu með sérstakri lagaheimild ef brýna nauðsyn ber til vegna réttinda annarra.

Drifkraftur persónuverndar í Evrópu hefur verið Evrópusáttmálinn (8). Árið 1990 höfðu allar aðildarþjóðirnar undirritað sáttmálann. Fram til ársins 1990 hafði Evrópuráðið forgöngu um málefni persónuverndar en eftir það tók Evrópusambandið æ meir að láta til sín taka. Átti Schengensamkomulagið frá árinu 1985, sem gerði ráð fyrir upplýsingakerfum og skiptum á upplýsingum yfir landamæri, ríkan þátt í þeirri þróun. Árið 1989 hvatti ráðstefna gagnaverndarfulltrúa sambandsins Evrópusambandið til þess að lögfesta grundvallarreglur persónuverndar Evrópusáttmálans og þar með skuldbinda allar þjóðir Evrópusambandsins (og EES) ásamt stofnunum þeirra til að fylgja reglunum. Leiddi þessi hvatning til þess að árið 1995 var samþykkt tilskipun Evrópusambandsins um persónuvernd og frjálst flæði upplýsinga (9). Íslendingum bar að setja lög um persónuvernd í samræmi við tilskipunina eigi síðar en í árslok 1999.

Evrópuráðið hefur einnig gefið út tilmæli um verndun upplýsinga á ýmsum sviðum svo sem tilmæli um DNA rannsóknir í þágu sakamála nr. R(92)1 (10) og um verndun heilsufarsupplýsinga (11).

Þá má að lokum geta þess að Sameinuðu þjóðirnar hafa gefið út leiðbeiningar um verndun persónuupplýsinga (12).



Grundvallarreglur persónuverndar

Þróun hugmyndafræði persónuverndar undanfarna áratugi, sem meðal annars hefur verið rakin til skoðana Johns Stuarts Mills þess efnis að í frjálsu samfélagi hafi hver maður fullt vald yfir sjálfum sér, líkama sínum og sál (13) hefur leitt til þess að hægt er að setja fram grundvallarreglur persónuverndar sem hafa alþjóðlega skírskotun (14,15).



1. Meðalhófsreglan

Samræmis verður að gæta milli þeirra óska sem liggja að baki vinnslu með skrár með persónuupplýsingum og skilgreindum markmiðum með skránni.



2. Takmörkunarregla söfnunar

Söfnun upplýsinga skal taka til þess sem máli skiptir fyrir skilgreind markmið með sanngjörnum og lögmætum hætti og ekki að vera umfram það sem þörf krefur. Ekki skal afla upplýsinga til öryggis um eitthvað sem kann að eiga sér stað einhvern tímann í framtíðinni.



3. Tilgangsreglan eða takmörkunarregla notkunar

Ekki má nota upplýsingar til annars en upphaflega var ætlunin að gera og er í samræmi við upprunaleg markmið upplýsingasöfnunarinnar.



4. Gæðareglan

Einungis ber að skrá réttar upplýsingar.



5. Reglan um aðgengi og leiðréttingu

Aðgengi er nauðsynlegt hinum skráða til að komið verði við leiðréttingu. Reglan er af sama toga og gæðareglan enda falla slíkar leiðréttingar undir gæðamál.



6. Öryggisreglan

Komið verði í veg fyrir að óviðkomandi hafi aðgang að persónuupplýsingum og að hann geti nýtt sér þær. Reglan er tæknilegs eðlis og er í eðli sínu til styrktar öðrum grundvallarreglum persónuverndar. Tæknimál upplýsingamiðlunar eru þó mun víðtækari en vélbúnaðurinn eingöngu. Eftirfarandi skilgreining hefur verið gefin: "Tölvutækni er flókið samsett kerfi sem samanstendur af fólki (það er notendum, tölvunarfræðingum og stjórnendum), tækjabúnaði það er vélbúnaði og tengibúnaði; hugbúnaði, svo sem stýrikerfi og notendabúnaði og gögnum) og tækni (það er fyrirkomulag, starfsreglur og skipulagsmál) (16)."



7. Tímatakmörkunarreglan

Ekki skal varðveita upplýsingar eftir að þær hafa þjónað þeim markmiðum sem sett voru við stofnun skráar.



8. Gegnsæisreglan

Tilvist skráa verður að vera öllum kunn, í það minnsta öllum þeim sem gögnum er safnað um. Öðru vísi verður ekki hægt að beita reglunni um aðgengi og leiðréttingu.



Niðurstöður

Af framansögðu má sjá að það er grundvallaratriði persónuverndar að söfnun á viðkvæmum persónuupplýsingum og vinnsla með þær verður að vera sanngjörn, málefnaleg og lögmæt. Þessar grunnhugmyndir eru í samræmi við ákvæði 3. mgr. 71. gr. Stjórnarskrár lýðveldisins Íslands, en þar segir að með sérstakri lagaheimild megi takmarka friðhelgi einkalífs, heimilis og fjölskyldu ef brýna nauðsyn beri til vegna réttinda annarra. Því er mikilvægt í allri lagasetningu sem snertir frumréttindi manna til frelsis og friðhelgis einkalífs að yfirvegað mat á hagsmunum fari ávallt fram og gætt sé vandaðra vinnubragða og sanngirnis áður en vinnsla viðkvæmra persónuupplýsinga er leyfð með lögum. Í þeim undantekningartilvikum þar sem vinnsla viðkvæmra persónuupplýsinga er leyfð með lögum, án þess að fyrir þurfi að liggja upplýst samþykki, verður að ganga tryggilega svo frá að slíkar upplýsingar séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og þá ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Miklu skiptir að tryggt sé að slíkar upplýsingar verði ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, auk þess sem mæla verður fyrir um nægjanlegt öryggi við vinnsluna.

Að gildandi lögum er tölvunefnd falið eftirlit með skráningu og meðferð persónuupplýsinga, sbr. 31. gr. laga nr. 121/ 1989. Nefndin hefur við skýringu og fyllingu matskenndra lagaákvæða meðal annars litið til framangreindra meginreglna persónuverndar.



Heimildir

1. U.S. House of Representatives, The Computer and the Invasion of Privacy, Hearings before the Special Subcommittee on Invasion of Privacy of the Committee on Government Operations, House of Representatives, 89th Cong., 2nd sess. Washington D.C.: Government Printing Office; 1966: 195.

2. Bennett CJ. Regulaing Privacy. London: Cornell University Press; 1992: 23-37.

3. Westin AF. Privacy and Freedom. New York: Atheneum; 1967: 31-2.

4. Stone MG, Warner. Politics, Privacy, and Computers. The Political Quarterly 1969; 40: 260.

5. Miller AR. The Assault on Privacy: Computers, Data Banks, and Dossiers. Ann Arbor: University of Michigan Press; 1971: 21.

6. Sieghart P. Privacy and Computer. London: Latimer; 1976: 76.

7. Lög um skráningu og meðferð persónuupplýsinga 1989 nr. 121.

8. Convention for the Protection of Individuals with Regards to Automatic Processing of Personal Data. Strasbourg: Council of Europe; 1981.

9. Directive of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data. EC 95/46.

10. Recommendation No R(92)1 of the Committee of Ministers to Member States on the Use of Analysis of Deoxyribonucleic Acid (DNA) within the Framework of the Criminal Justice System.

11. Recommendation No R(97)5 of the Committee of Ministers to Member States on the Protection of Medical Data.

12. UN Guidelines Concerning Compurized Personal Data Files. Transnational Data and Communication Report 12, 1989: 35-6.

13. Mill JS. On Liberty [frumúgáfa]. London: Parker; 1859. Frelsið, í íslenskri þýðingu Jóns Hnefils Aðalsteinssonar og Þorsteins Gylfasonar. Hið íslenska bókmenntafélag: Reykjavík; 1978: 45.

14. Bennett CJ. Regulating Privacy. London: Cornell University Press; 1992: 23, 101-11.

15. Blume P, Hartlev M. Registrering av dna-profiler. Ugeskrift for Retsvesen 1999; 1: 1-6.

16. Danziger JN, et al. Computers and Politics: High Technology in American Local Governments. New York: Colombia University Press; 1982: 4-5.

Tengd skjöl










Þetta vefsvæði byggir á Eplica