gögnin þín sníða stakkinn þinn › bitstream › 1946 › 29597 › 1 ›...
TRANSCRIPT
ML í lögfræði
Gögnin þín sníða stakkinn þinn Gerð persónusniða og sjálfvirkar einstaklingsmiðaðar
ákvarðanatökur í skilningi GDPR
Febrúar, 2018
Nafn nemanda: Kristinn Ásgeir Gylfason
Kennitala: 050691-3309
Leiðbeinandi: Jóhanna Katrín Magnúsdóttir
i
Úrdráttur Ritgerð þessi fjallar um tvö hugtök í persónuvernd. Þau eru gerð persónusniða annars
vegar og sjálfvirkar einstaklingsmiðaðar ákvarðanatökur hins vegar. Leitast var við að
skilgreina þessi hugtök og gera grein fyrir því hvað er líkt með þeim og hvar megi finna
mun sem á þeim. Eins var kannað hvort þau væri að finna í núgildandi lögum um
persónuvernd og meðferð persónuupplýsinga nr. 77/2000.
Þá var gerð grein fyrir því jafnvægi sem þarf að vera á milli tjáningarfrelsis og friðhelgi
einkalífs. Til skýringar á hagsmunamatinu sem þarf að framkvæma, leitaði höfundur til
dóma Mannréttindadómstóls Evrópu sem og dóma Hæstaréttar Íslands. Þá var
sérstakur kafli fjallað um gerð persónusniða sem tók á vinnslu persónuupplýsinga
almennt eins og reglum er háttað í GDPR. Ásamt því að skoða þær heimildir sem eru
til staðar fyrir vinnslu persónuupplýsinga og hvernig þeim er beitt. Því næst var
sérstakur kafli um sjálfvirkar einstaklingsmiðaðar ákvarðanatökur þar sem sérstök
áhersla var lög á þær undantekningar sem mögulega má beita til að vinna
persónuupplýsingar í skilningi ákvæðisins um sjálfvirkar einstaklingsmiðaðar
ákvarðanir. Því næst voru hugtökin svo borin saman og réttindi sem þau kunna að
virkja könnuð og undir lokin voru sett fram raunveruleg dæmi þar sem umfjöllunin sem
á undan kemur er sett í samhengi.
Lokaorð ritgerðarinnar taka svo saman umfjöllunina og fjalla um að frumvarp að nýjum
persónuverndarlögum er væntanlegt innan skamms. Það verður áhugavert að sjá
hvernig háttað verður til við innleiðingu GDPR í landsrétt.
Abstract This thesis takes on two concepts in the field of data protection. They are firstly
profiling and secondly automated individual decision making. The thesis seeks to
define these concepts and underline their similarities and their differences. Their
existence was examined in regard to current national law on data protection and the
handling of personal data no. 77/2000.
ii
The balancing act between the right to freedom of expression and the right to respect
for private and family life was accounted for. To give a good view on the assessment
of interests the author looked at rulings of the European Human rights Court and the
Supreme Court of Iceland. There is a chapter specifically on profiling and the rules
concerning profiling and data processing in general in the GDPR. Next up there is a
chapter on automatic individual decision making with emphasis on the exceptions that
make automatic decision making possible in accordance with the GDPR. Next, there
is a comparison of the concepts and discussion on the rights of the data subject and
finally, there are some case study where the coverage is compared to real cases for
context.
The final chapter of the thesis sums up the subject and there is to be found a mention
of a bill for new national legislation on data protection that is expected soon. It will be
interesting to see how the GDPR will be put into law in Iceland.
iii
Formáli
Ritgerð þessi er lokaverkefni til ML gráðu í lögfræði við Háskólann í Reykjavík. Við
skrif ritgerðarinnar kynntist ég betur réttarsviði sem ég hafði lítið skoðað fram að
haustmánuðum 2017. Það var afar áhugavert að setja sig inn í persónuvernd sem er
sennilega það réttarsvið sem mun vaxa hvað mest á næstu árum. Ritgerðin er skrifuð
undir handleiðslu Jóhönnu Katrínar Magnúsdóttur og kann ég henni hinar mestu þakkir
fyrir. Þá hefur sambýliskona mín, Ásdís Ósk Heimisdóttir veitt mér mikla hvatningu og
aðstoð við skrif ritgerðarinnar ásamt því að lesa yfir frumdrög, gefa góð ráð og sýna
ómælda þolinmæði fyrir fjarveru minni á meðan á skrifum stóð. Þá lásu móðir mín,
Svanhildur Guðrún Leifsdóttir og amma, Kristín Elísabet Kristjánsdóttir yfir ritgerðina
á síðust dögum skrifa og vil ég þakka þeim kærlega fyrir aðstoðina.
13. desember 2017, Reykjavík
iv
Efnisyfirlit KAFLI1:INNGANGUR.....................................................................................................................1
1.1ALMENNTUMEFNIRITGERÐARINNAR...................................................................................................1
1.2ÞRÓUNPERSÓNUVERNDARÍEVRÓPU...................................................................................................1
1.3HELSTUHUGTÖKRITGERÐARINNAR......................................................................................................2
1.4RANNSÓKNARSPURNINGOGAFMÖRKUNEFNIS......................................................................................3
KAFLI2:LAGAUMGJÖRÐPERSÓNUVERNDAR.................................................................................4
2.1ALMENNT........................................................................................................................................4
2.2STJÓRNARSKRÁLÝÐVELDISINSÍSLANDSOGFRIÐHELGIEINKALÍFS................................................................5
2.3LÖGNR.77/2000............................................................................................................................8
2.3.1Almennt................................................................................................................................8
2.3.2Tilurðlagaumpersónuverndogmeðferðpersónuupplýsinga.............................................9
2.3.3Efnilagaumpersónuverndogmeðferðpersónuupplýsinga................................................9
2.4GDPR..........................................................................................................................................10
2.4.1AlmenntumGDPR..............................................................................................................10
2.4.2ÁstæðurendurskoðunarogtilurðGDPR.............................................................................11
2.4.2.1Almennarástæðurendurskoðunar..................................................................................11
2.4.2.2AlmenntumtilurðGDPR..................................................................................................11
2.4.3MikilvægiGDPR..................................................................................................................13
2.4.4Innleiðingííslenskanrétt....................................................................................................15
KAFLI3.HUGTÖKOGSKILGREININGAR.........................................................................................17
3.1ALMENNT......................................................................................................................................17
3.2.HUGTÖK......................................................................................................................................17
3.2.1Persónuupplýsingarípul.....................................................................................................17
3.2.2PersónuupplýsingaríGDPR................................................................................................19
3.2.2.1Persónuupplýsingarbarna...............................................................................................20
3.2.2.2Viðkvæmarpersónuupplýsingarípul..............................................................................21
3.2.2.3ViðkvæmarpersónuupplýsingaríGDPR..........................................................................22
3.2.3Vinnslapersónuupplýsinga.................................................................................................22
3.2.3.1Vinnslapersónuupplýsingaípul......................................................................................22
3.2.3.2VinnslapersónuupplýsingaíGDPR..................................................................................23
3.2.3.3LögmæturgrundvöllurvinnsluGDPR...............................................................................23
v
3.2.3.4AðrarheimildirtilvinnsluíGDPR.....................................................................................25
2.6.3Ábyrgðaraðili......................................................................................................................26
2.6.5Vinnsluaðili.........................................................................................................................27
KAFLI4-GERÐPERSÓNUSNIÐA....................................................................................................28
4.1INNGANGUR..................................................................................................................................28
4.2PERSÓNUSNIÐÍÍSLENSKUMRÉTTIÍDAG..............................................................................................30
4.4PERSÓNUSNIÐÍGDPR....................................................................................................................33
4.4.1Almennt..............................................................................................................................33
4.4.1Skilgreining.........................................................................................................................34
4.5HEIMILDTILVINNSLUPERSÓNUUPPLÝSINGA........................................................................................35
4.5.1 Meginreglurumvinnslupersónuupplýsinga.................................................................36
4.5.2 Samþykkisemheimildtilgrundvallarvinnslupersónuupplýsinga...............................38
4.5.3 Vinnslanauðsynlegvegnaframkvæmdarsamnings....................................................41
4.5.4 Lagaskylda....................................................................................................................42
4.5.5 Brýnirhagsmunirhinsskráðaeðaannarseinstaklings................................................44
4.5.6 Verkefniíþágualmannahagsmunaeðaviðbeitinguopinbersvalds...........................45
4.5.7 Lögmætirhagsmunirábyrgðaraðilaeðaþriðjaaðila...................................................45
4.5.8Vinnslaviðkvæmrapersónuupplýsinga..............................................................................47
4.6NOTKUNPERSÓNUSNIÐA.................................................................................................................48
4.4.1Uppruniupplýsingasemerugrundvöllurpersónusniða.....................................................49
KAFLI5SJÁLFVIRKARÁKVARÐANATÖKUR....................................................................................51
5.1INNGANGUR..................................................................................................................................51
5.2SJÁLFVIRKARÁKVARÐANATÖKURÍPUL................................................................................................51
5.2.1Almennt..............................................................................................................................51
5.2.2Sértækákvörðun.................................................................................................................52
5.3SKILGREININGÁSJÁLFVIRKRIÁKVARÐANATÖKUÍGDPR.........................................................................53
5.3.1Sjálfvirkgagnavinnsla.........................................................................................................55
5.3.2Réttaráhrifeðasambærilegáhrif.......................................................................................55
5.4HEIMILDIRTILAÐTAKAÁKVARÐANIRÁGRUNDVELLISJÁLFVIRKRARGAGNAVINNSLU....................................58
5.4.1Samningur...........................................................................................................................59
5.4.2Lagaheimild........................................................................................................................60
5.4.3Samþykki.............................................................................................................................60
5.5RÖKINAÐBAKISJÁLFVIRKRIEINSTAKLINGSMIÐAÐRIÁKVÖRÐUNARTÖKU...................................................61
KAFLI6.SAMSPILSJÁLFVIRKRAÁKVARÐANAOGPERSÓNUSNIÐA................................................63
vi
6.1INNGANGUR..................................................................................................................................63
6.2SKILÁMILLISJÁLFVIRKRAÁKVARÐANAOGGERÐAPERSÓNUSNIÐA...........................................................63
6.2.1Samanburðuráheimildumtilvinnslu.................................................................................64
6.3RÉTTURHINSSKRÁÐA......................................................................................................................65
6.3.1Almennt..............................................................................................................................65
6.3.2RéttindihinsskráðaíGDPR................................................................................................66
6.3.2.1Rétturtilupplýsinga.........................................................................................................66
6.3.2.2Upplýsingarumrökinaðbakivinnslunni.........................................................................68
6.3.2.3Þýðingvinnslunnarogafleiðingarhennar.......................................................................69
6.3.2.4Rétturtilaðgangs............................................................................................................69
6.3.2.5Rétturtilleiðréttingar,eyðingarogtakmörkunarvinnslu...............................................71
6.3.2.6Rétturtilandmæla...........................................................................................................72
6.4MATÁÁHRIFUMÁPERSÓNUVERND...................................................................................................73
6.4.1Líklegamikiláhætta...........................................................................................................75
6.5RÉTTURINNTILAÐVERÐAEKKIANDLAGSJÁLFVIRKRARÁKVÖRÐUNAR.......................................................76
6.6AUGLÝSINGARÁINTERNETINU..........................................................................................................77
6.7UPPLÝSINGASÖFNUNÁINTERNETINU.................................................................................................78
KAFLI7.LOKAORÐ........................................................................................................................81
7.1ALMENNT......................................................................................................................................81
7.2SVARVIÐRANNSÓKNARSPURNINGU...................................................................................................82
7.2.1Gerðpersónusniða..............................................................................................................82
7.2.2Sjálfvirkarákvarðanatökur.................................................................................................82
7.2.3Samspilogsamhjálp...........................................................................................................83
7.3NÆSTUSKREF.................................................................................................................................83
vii
Lagaskrá Íslensk lög Lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka nr. 64/2006. Lög um evrópska efnahagssvæðið 2/1993. Lög um fasteignalán til neytenda nr. 118/2016. Lög um persónuvernd og meðferð persónuupplýsinga nr. 77/2000. Lög um tekjuskatt nr. 90/2003. Stjórnarskrá lýðveldisins Íslands nr. 33/1944 Stjórnskipunarlög nr. 97/1995. Lög um mannréttindasáttmála Evrópu nr. 62/1994. Alþingistíðindi Alþt. 1994-95, A-deild. Alþt. 1999-2000, A-deild. Reglugerð og tilskipanir úr Evrópurétti Tilskipun Evrópuþingsins og ráðsins 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin). Tilskipun Evrópuþingsins og ráðsins 48/2008/EB um neytendalánasamninga Brottfallin lög Íslensk lög Lög um skráningu á upplýsingum er varða einkamálefni nr. 63/1981. Lög um kerfisbundna skráningu á upplýsingum er varða einkamálefni nr. 39/1985. Lög um skráningu og meðferð persónuupplýsinga nr. 121/1989. Dómaskrá Hæstiréttur Íslands Hrd. 541/2005 frá 1. júní 2006. Hrd. 37/2007 frá 4. október 2007. Mannréttindadómstóll Evrópu Von Hannover g. Germany App no 59320/00 (ECHR, 28. júlí 2005) Evrópudómstóllinn Breyer g. þýska ríkinu í máli C-582/14 frá 19. október 2016.
viii
Weltimmo s.r.o. g. Nemzeti Adavédelmi ési Információszabadsá Hatóság í máli C230/14 frá 1. október 2015. Úrskurðir, ákvarðanir og álit Ákvörðun Persónuverndar í máli nr. 2011/968 frá 12. október 2011. Álit Persónuverndar nr. 2009/635 frá 16. desember 2009. Úrskurður Persónuverndar í máli nr. 2010/708 frá 9. nóvember 2010.
1
Kafli 1: Inngangur 1.1 Almennt um efni ritgerðarinnar Gagnaöflun fyrirtækja hefur aukist undanfarin ár. Með henni geta fyrirtæki búið til
verðmætar upplýsingar um viðskiptavini sína og notendur þeirrar vöru og þjónustu
sem fyrirtæki bjóða. Fyrirtæki nota persónuupplýsingar fólks til þess að kortleggja
framtíðar óskir og þarfir viðskiptavina sinna og taka ákvarðanir sem varða notendur
og viðskiptavini.1
Ritgerð þessari er ætla að skoða stöðu einstaklinga út frá sjónarhorni persónuverndar
með áherslu á gerð persónusniða og sjálfvirkar einstaklingsmiðaðar ákvarðanatökur.
Þegar þessi ritgerð er skrifuð er undirbúningur fyrirtækja og fræðasamfélagsins í
fullum gangi og mörgum spurningum hefur enn ekki verið svarað.
1.2 Þróun persónuverndar í Evrópu Allt frá upphafi sjöunda áratugar síðustu aldar fór að verða tæknilega mögulegt fyrir
fyrirtæki og opinbera aðila að safna miklu magni gagna um einstaklinga. Þróunin sem
var að eiga sér stað leiddi til mikillar hagræðingar fyrir þá sem öfluðu gagnanna og
unnu með þau en einstaklingar voru skyndilega hættir að hafa yfirsýn yfir hver vissi
hvað um þá. Þetta kallaði á regluverk sem myndi vernda rétt einstaklinga og tryggja
að ekki yrði traðkað á rétti þeirra.2
Fyrsti alþjóðlegi samningurinn um persónuvernd voru samþykktir sem gerðar voru á
ráðstefnu Evrópuráðsins sem nefnd hefur verið Ráðstefna nr. 108 og samningurinn
fengið nafnið Samningur nr. 108 en fullt nafn ráðstefnunnar er: ráðstefna um vernd
einstaklinga við vélræna vinnslu persónuupplýsinga. Samþykktir ráðstefnunnar voru
undirritaðar í Strassborg 28. janúar 1981. Samningur nr. 108 verndaði einstaklinga
gegn misnotkun á persónuupplýsingum um þá og setti upp regluverk um frjálst flæði
upplýsinga. Þar að auki lagði samningurinn á bann við vinnslu viðkvæmra
1 Datatilsynet, „The Great Data Race - How commercial utilisation of personal data challenges privacy.“ (Datatilsynet nóvember 2015) 5 <https://www.datatilsynet.no/globalassets/global/english/engelsk-kommersialisering-endelig.pdf> skoðað 4. desember 2017. 2 „Background“ (Data Protection) <https://www.coe.int/en/web/data-protection/background> skoðað 7. desember 2017.
2
persónuupplýsinga og tryggði einstaklingum rétt á vitneskju um upplýsingar sem
geymdar voru og ef þurfti, rétt til að leiðrétta þær.3
Síðan 1981 hefur þróunin verið gríðar hröð. Helstu valdar þess eru tilkoma
tölvutækninnar inn á nánast hvert heimili og almennt aðgengi að Interneti frá miðjum
tíunda áratug síðustu aldar. Upplýsingar safnast hraðar og flæða meira en nokkru sinni
fyrr. Árið 1995 settu Evrópuþingið og ráðið tilskipun 95/46/EB um vernd einstaklinga í
tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga.4
Samningur Evrópuráðsins frá 1981 var að miklu leyti lagður til grundvallar.5
Tilskipun 95/46/EB hefur helst að markmiðum sínum að stuðla að frjálsu flæði
upplýsinga á milli aðildarríkjanna, tryggja samræmda stjórnsýslu í tengslum við
persónuvernd til þess að samvinna aðildarríkjanna geti blómstrað og að stuðla að því
að persónuvernd sé á háum stalli í hugum fólks eins og önnur mannréttindi sem
vernda ber.6
Nú er svo komið að reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl
2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga7 er reiðubúin og
raunar búin að taka gildi, þó hún komi ekki til framkvæmda fyrr en 25. maí 2018. Efni
nýju reglugerðarinnar er afar umfangsmikið. Hér verður leitast við að halda umfjöllun
við takmarkað efni sem er gerð persónusniða og sjálfvirkar einstaklingsmiðaðar
ákvörðunartökur. Tilurð GDPR verður útlistuð nánar í kafla 2.3.2.
1.3 Helstu hugtök ritgerðarinnar Hugtökin sem mest áhersla verður lög á eru gerð persónusniða og sjálfvirkar
einstaklingsmiðaðar ákvarðanatökur.8 Til þess að hægt sé að gera ítarlega grein fyrir
3 „Full list“ (Treaty Office) <https://www.coe.int/en/web/conventions/full-list> skoðað 7. desember 2017. 4 Hér eftir „tilskipun 95/46/EB“. 5 Sigrún Jóhannesdóttir, Persónuverndarlög: skýringarrit (Fons Juris 2015) 30. 6 sama heimild 31. 7 Fullt heiti reglugerðarinnar: REGLUGERÐ EVRÓPUÞINGSINS OG RÁÐSINS (ESB) 2016/679 FRÁ 27. APRÍL 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin eða GDPR). Hér verður „GDPR“ notað um reglugerðina til styttingar. 8 Hér eftir „sjálfvirkar ákvarðanatökur“.
3
þeim hugtökum þá verður að skýra önnur hugtök samhliða, sem og að taka dæmi,
hvort sem er raunveruleg eða ímynduð dæmi.
Gerð persónusniða nær til þess verknaðar að safna saman persónuupplýsingum um
fólk og mynda úr því sniðmát sem fólk fellur undir sem hefur sameiginlega eiginleika
eða sambærilegan lífstíl, til dæmis. Markmiðið með gerð persónusniða getur verið að
meta framtíðarmöguleika fólks til að ná vissum markmiðum eða spá fyrir um framtíðar
heilsufar fólks sem dæmi.9
Sjálfvirkar einstaklingsmiðaðar ákvarðanatökur eru form vinnslu sem lýtur í GDPR öllu
strangari skilyrðum, enda er það hugtaksskilyrði að sjálfvirkar ákvarðanatökur hafi
réttaráhrif á hinn skráða eða sambærilega veruleg áhrif, samanber 22. gr. GDPR. Það
er því talsvert inngrip í líf hins skráða að taka um hann sjálfvirka ákvörðun sem fellur
að skilgreiningu 22. gr. GDPR sem nánar verður gerð grein fyrir í kafla 5.3.
Önnur grundvallarhugtök sem þarf að skoða eru persónuupplýsingar og samþykki.
Meðal annars verður skoðað hvað fellur undir hugtakið persónuupplýsingar og hvað
þarf að felst í samþykki fyrir því að unnið sé með persónuupplýsingar um hinn skráða
og hvaða heimildir aðrar eru til vinnslunnar. Leitast verður við að finna raunveruleg
dæmi úr daglegu lífi til að varpa sem bestu ljósi á hvað breytist með nýrri reglugerð.
1.4 Rannsóknarspurning og afmörkun efnis Rannsóknarspurningin sem lögð er til grundvallar í ritgerð þessari er: Hvað eru
persónusnið og sjálfvirkar einstaklingsmiðaðar ákvarðanatökur í skilningi GDPR? Þá
verður leitast við að greina skilin á milli þessara hugtaka og einnig skoða raunveruleg
dæmi um notkun þessara hugtaka í framkvæmd.
Til að ná því markmiði að svara spurningunni er í mörg horn að líta. Fyrst stendur til
að skoða hvers vegna tími þótti til kominn að setja nýja reglugerð um meðferð
persónuupplýsinga. Þá verður litið til svokallaðs 29. gr. starfshóps ESB10 sem lagði
9 Alþt. 1999-2000, A-deild, 2734, 2735. 10 29. gr. starfshópurinn (hér eftir 29. gr. starfshópurinn) er nefndur eftir grunni þeim sem hann var reistur á. 29. gr. tilskipunar 95/46/EB. Fullt nafn hópsins er “Starfshópur um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga“ líkt og kemur fram í 29. gr. tilskipunarinnar. Tilgangur hópsins er skv. 2. ml. 1. mgr. 29. gr. að gegna ráðgjafarhlutverki, gagnvart framkvæmdastjórninni og vinna sjálfstætt að ráðleggingum um gagnavernd og aðstoða við þróun samrændrar stefnu á sviðið
4
grunninn að GDPR. Þar að auki benti 29. gr. starfshópurinn á ýmsar mögulegar og oft
á tíðum nauðsynlegar breytingar á reglum um persónuupplýsingar.
Þá verður næst lagður grunnur að umfjöllun þeirri sem á eftir kemur með því að
skilgreina nauðsynleg hugtök og skýra lagaumgjörðina eins og hún er í dag á Íslandi.
Þar á eftir verður framkvæmdur samanburður á gildandi lögum nr. 77/2000 um
persónuvernd og meðferð persónuupplýsinga11 og þeim reglum sem munu taka gildi
með GDPR. Meginmál ritgerðar þessarar verður reist á þeim grunni sem finna má í
fyrri köflum. Meginmálinu er ætlað að svara þeirri spurningu sem lagt var af stað með
í upphafi.
Að því loknu verður dregið saman hver staðan verður þegar GDPR kemur til
framkvæmda hér á landi sem og annarsstaðar.
Kafli 2: Lagaumgjörð persónuverndar 2.1 Almennt Í þessum kafla verða tekin til skoðunar ákvæði um friðhelgi einkalífs í stjórnarskrá
lýðveldisins Íslands nr. 33/1944, pul. og svo GDPR. Farið er nánar út í tilurð og tilefni
nýrra persónuverndarlöggjafar Evrópusambandsins sem og innleiðingu hennar í
íslenskan rétt.
Þegar kemur að persónuvernd er almennt þema að þar togist á réttindi hins skráða til
friðhelgi einkalífs og önnur grundvallarréttindi hans annars vegar og réttindi þess sem
vill nota upplýsingarnar til að vinna þær eða birta hins vegar. Það er því ákveðið
jafnvægispróf sem þarf að framkvæma og eru því gerð nánari skil og reifaðir dómar
Hæstaréttar Íslands og Mannréttindadómstóls Evrópu um jafnvægisprófið í kafla 2.2
hér síðar. Hagsmunirnir togast á og yfirleitt fela vinnsluheimildir í sér undanþágur og
undanþáguheimildir skal almennt túlka þröngt.12
gagnaverndar í Evrópusambandinu.„About Article 29 Working Party - European Commission“ (12. desember 2017) <http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=59485> skoðað 12. desember 2017. 11 Hér eftir „pul.“ 12 Davíð Þór Björgvinsson, Lögskýringar (Háskólinn í Reykjavík : JPV útgáfa 2008) 183.
5
2.2 Stjórnarskrá lýðveldisins Íslands og friðhelgi einkalífs Persónuvernd byggir á grunnreglunni um friðhelgi einkalífs sem verndað er í 71. gr.
stjórnarskrá lýðveldisins Íslands í lögum nr. 33/1944.13 Í 71. gr. er öllum gert að njóta
friðhelgi einkalífs, heimilis og fjölskyldu. Í 2. mgr. 71. gr. er kveðið á um að meðal
annars megi ekki gera rannsókn á skjölum, póstsendingum, símtölum eða öðrum
fjarskiptum svo skert sé einkalíf manns. Í 3. mgr. er veitt undanþága frá banninu og
takmarkanir á friðhelgi einkalífs, heimils eða fjölskyldu heimilaðar ef lagaheimildar
nýtur við og ef brýna nauðsyn ber til vegna réttinda annarra.
Skýringar við 71. gr. stjskr. er að finna í athugasemdum við 9. gr. frumvarps þess sem
varð að stjórnskipunarlögum nr. 97/1995 og þær hefjast á þessum orðum:
Mjög raunhæft dæmi um svið, þar sem álitaefni vaknar um hvort brotið er gegn friðhelgi einkalífs, er skráning persónuupplýsinga um einstaklinga, en í því sambandi reynir á hve langt megi ganga í skipulagðri skráningu á lífsháttum manns og högum og meðferð slíkra upplýsinga.14
Helstu kveikjur að breytingum þeim sem gerðar voru á stjórnarskrá lýðveldisins Íslands
með stjórnskipunarlögum nr. 97/1995 voru þjóðréttarlegar skuldbindingar sem Ísland
hafði gengist undir með aðild að alþjóðlegum mannréttindasáttmálum. Þar fer fremstur
í flokki Mannréttindasáttmáli Evrópu15 sem var lögfestur á Íslandi með lögum nr.
62/1994. En auk hans voru teknir í lög Félagssáttmáli Evrópu, sáttmáli Sameinuðu
þjóðanna um borgaraleg og stjórnmálaleg réttindi og annar sáttmáli Sameinuðu
þjóðanna um efnahagsleg, félagsleg og menningarleg réttindi.16 Með breytingunum
sem fólust í stjórnskipunarlögum nr. 97/1995 var viðbót sett í 71. gr. stjskr. sem áður
kvað á um friðhelgi heimilis en kveður nú á um friðhelgi einkalífs, heimilis og
fjölskyldu.17 Sambærilegt ákvæði er að finna í 8. gr. MSE en er í 1. mgr. tryggður réttur
hvers manns til „friðhelgi einkalífs síns, fjölskyldu, heimilis og bréfaskipta“ og í 2. mgr.
segir um möguleika til að skerða réttindin sem tryggð eru í 1. mgr. að:
Opinber stjórnvöld skulu eigi ganga á rétt þennan nema samkvæmt því sem lög mæla fyrir um og nauðsyn ber til í lýðræðislegu þjóðfélagi vegna þjóðaröryggis, almannaheilla eða efnahagslegrar farsældar þjóðarinnar,
13 Hér eftir „stjskr.“ 14 Alþt. 1994-95, A-deild, 2099,2102. 15 Hér eftir „MSE“. 16 Björg Thorarensen, Stjórnskipunarréttur: mannréttindi (Bókaútgáfan Codex 2008) 33. 17 sama heimild 34.
6
til þess að firra glundroða eða glæpum, til verndar heilsu manna eða siðgæði eða réttindum og frelsi annarra.
Einkalíf er yfirheiti yfir allt sem lýtur að persónulegum högum manns. Kjarni hugtaksins
er sá að hver og einn hefur rétt til yfirráða yfir lífi sínu og líkama, til friðar um lífshætti
og einkahagi sína sem og tilfinningalíf og sambönd við aðra.18 Ekki er hér um að ræða
tæmandi talningu atriða sem falla undir skilgreiningu einkalífs.19
Í 73. gr. stjskr. er tjáningarfrelsi tryggt öllum, að því gefnu líkt og kemur fram í 2. mgr.
að hver maður geti þurft að ábyrgjast skoðanir sínar og hugsanir fyrir dómi. Í 3. mgr.
73. gr. er svo kveðið á um skorður á tjáningarfrelsinu. Því má setja skorður með lögum
sem miða að því að halda uppi allsherjarreglu, öryggi ríkis eða í þágu verndar heilsu,
siðgæðis, réttinda eða mannorðs annarra, enda teljist skorðurnar nauðsynlegar og
samrýmast lýðræðishefðum. Alþjóðleg samvinna hefur komist á legg um regluverk í
kringum rafræna vinnslu persónuupplýsinga eins og áður hefur verið gerð grein fyrir.
Hefur löggjafanum þótt tilefni til að taka tillit til þeirrar samvinnu í lagasetningu, þar
sem ætlunin er að skýra hvaða persónuupplýsingum er heimilt að safna sem og rétt
manna til að fá aðgang að upplýsingum um sjálfa sig. Persónuvernd er raunar
viðfangsefni samnefndrar fræðigreinar innan lögræðinnar. Sú fræðigrein grundvallast
á pul. sem fjallað er um í kafla 2.3 og er lögum um persónuvernd almennt ætlað að
kveða nánar á um jafnvægi tjáningarfrelsis og friðhelgi einkalífs.
Í þessu samhengi má nefna dóm Hæstaréttar frá 4. október 2007 í máli nr. 37/2007
þar sem dagblaðið DV hafði greint frá ástarsambandi stefnanda og nafngreinds
manns. Áður hafði Fréttablaðið birt upplýsingar um tölvupóstsamskipti þeirra sem lutu
að upphafi lögreglurannsóknar. Hæstiréttur taldi að réttur dagblaðsins til að miðla
upplýsingum sem þessum gæti ekki talist ríkari en réttur stefnanda til friðhelgi einkalífs.
Í dómi Hæstaréttar kom eftirfarandi fram:
Þegar virt er sú ríka vernd, sem 1. mgr. 71. gr. stjórnarskrárinnar veitir einkalífi manna, verður á hinn bóginn ekki séð hvaða erindi upplýsingar þessu til viðbótar hafi átt til almennings um önnur og persónuleg samskipti gagnáfrýjanda við nefndan B, enda var hvorki leitast við í fréttaflutningi DV 26. september 2005 að skýra gildi þeirra fyrir málefnið, sem til umræðu var í þjóðfélaginu, né hafa aðaláfrýjendur fært fyrir því haldbærar skýringar í máli þessu. Af þessum sökum verður að fallast á
18 sama heimild 288. 19 sama heimild 290.
7
að aðaláfrýjendur hafi brotið gegn 229. gr. almennra hegningarlaga [nr. 19/1940] með því að birta umræddan dag þær fyrirsagnir sem vörðuðu einkamálefni gagnáfrýjanda og áður var getið.
Ákvæði 229. gr. almennra hegningarlaga leggur bann við því að skýra opinberlega frá
einkamálefnum annars manns. Í tilfellum sem reynir á ákvæðið þarf að vega og meta
rétt manna til friðhelgi einkalífs á móti tjáningarfrelsisákvæði stjórnarskrárinnar. Af
dómaframkvæmd má ráða ef um er að ræða málefni sem varða mikilvæga
samfélagslega hagsmuni þá er tjáningarfrelsinu gefið hætta undir höfuð en friðhelgi
einkalífs.Til eru fjölmörg dæmi úr dómaframkvæmd þar sem niðurstaðan er sú að
tjáningarfrelsinu skuli gefið hærra undir höfuð en friðhelgi einkalífs. Niðurstöður þess
efnis grundvallast yfirleitt á því að um er að ræða málefni sem varðar mikilvæga
samfélagslega hagsmuni.
Í dómi Hæstaréttar frá 1. júní 2006 í máli nr. 541/2005 var um að ræða mál til
staðfestingar lögbanni sem stefnandi hafði fengið við birtingu Fréttablaðsins á
upplýsingum úr tölvupóstsamskiptum hennar við nafngreindan mann er lutu að
lögreglurannsókn. Málsatvik voru því sambærileg þeim sem voru í áður reifuðu máli
nr. 37/2007. Í dómi Hæstaréttar sagði í þessu máli:
Skrif blaðsins höfðu að geyma efni, sem átti erindi til almennings og varðaði það mál, sem miklar deilur höfðu staðið um í þjóðfélaginu. Þótt jafnframt hafi verið greint í umfjöllun blaðsins frá fjárhagsmálefnum áfrýjanda voru þau svo samfléttuð fréttaefninu í heild að ekki varð greint á milli. Verður fallist á með stefnda að ekki hafi verið gengið nær einkalífi áfrýjanda en óhjákvæmilegt var í opinberri umræðu um málefni sem varðaði almenning.
Línan getur því verið afar þunn sem feta þarf og oft á tíðum óljóst hvoru megin
markanna upplýsingar eru.
Dómar Mannréttindadómstóls Evrópu20 geta gefið góða skýringu á þessari þunni línu.
Í málum Von Hannover gegn Þýskalandi er gerð skýrlega grein fyrir því hvar jafnvægið
er að finna milli friðhelgi einkalífs og tjáningarfrelsis. Fyrsta málið er frá 2004 nr.
59320/00. Deilt var um myndbirtingu af prinsessunni af Mónakó (Von Hannover) í
þýskum glanstímaritum. Málið var höfðað gegn þýska ríkinu vegna athafnaleysis við
að stöðva birtingu myndanna sem von Hannover taldi stangast á við 8. gr.
20 Hér eftir „MDE“.
8
mannréttindasáttmála Evrópu um friðhelgi einkalífs. Þýskir dómstólar höfðu talið að
myndbirtingin fæli ekki í sér brot á rétti von Hannover til friðhelgi einkalífs. Í framhaldinu
höfðaði hún því mál fyrir Mannréttindadómstól Evrópu. Myndirnar sem voru andlag
málsins sem hér er til umræðu voru af von Hannover að stunda ýmsar athafnir daglegs
lífs. Þýskir dómstólar voru almennt þeirrar skoðunar því að prinsessan væri opinber
persóna og mætti því þurfa að þola meira ónæði en aðrir venjulegir borgarar.
Stjórnarskrárdómstóll Þýskalands komst þó að þeirri niðurstöðu að birting myndanna
þar sem hún var á afskekktum stað, til að mynda inn á veitingastað væru brot á rétti
prinsessunnar til friðhelgi einkalífs og því væri birting þeirra ekki tæk. Dómstóllinn taldi
það sama gilda um myndir af prinsessunni með börnum sínum enda ætti hún rétt til
friðhelgi fjölskyldulífs. Myndir af henni einni á almannafæri, fælu hins vegar ekki í sér
brot á rétti hennar til friðhelgi einkalífs.21
MDE tók aðra nálgun á málið, dómstóllinn taldi að í jafnvægisæfingum friðhelgi
einkalífs og tjáningarfrelsis verði að felast mat á því hvort líklegt sé að framlag til
gagnlegrar þjóðfélagsumræðu felist í því sem birt skuli. Ekki þótti svo vera enda snertu
myndirnar og textinn sem þeim fylgdi eingöngu einkalíf von Hannover.22 Þá mat
dómstóllinn það sem svo að almenningur hefði ekki lögvarða hagsmuni af því að vita
hvar von Hannover væri og hvernig hún hagaði sínu daglega einkalífi, jafnvel þó hún
hafist við á almanna færi og þrátt fyrir að hún sé vel þekkt meðal almennings.
Hagsmunir rekstraraðila tímaritanna af sölu og dreifingu þeirra urðu að víkja fyrir rétti
von Hannover til friðhelgi einkalífs að mati dómsins.23 Að því sögðu var það mat
dómsins að brotið hefði verið gegn rétti von Hannover til friðhelgi einkalífs sem
verndað er í 8. gr. mannréttindasáttmála Evrópu.24
2.3 Lög nr. 77/2000
2.3.1 Almennt
Almennur hluti persónuréttar á við um höfuðreglurnar um persónuvernd eins og þær
birtast í fræðigreininni persónurétti. Sérstökum hluta persónuréttar er ætlað að fást við
sérgreind eða afmörkuð viðfangsefni innan persónuréttarins. Til að mynda þau sem
falla undir efnissvið laga nr. 77/2000 um persónuvernd og meðferð
21 Von Hannover g. Germany App no 59320/00 (ECHR, 28. júlí 2005) 38. 22 sama heimild mgr. 76. 23 sama heimild mgr. 77. 24 sama heimild mgr. 80.
9
persónuupplýsinga. Löggjöf um persónuvernd er ætlað að feta þröngan stíg en hafa
þarf í huga að í samspili tjáningarfrelsis og friðhelgi einkalífs er rétt að bera hag
einstaklingsins fyrir brjósti enda gengur friðhelgi einkalífs eins, framar tjáningarfrelsi
annarra um einkalífs hins fyrra samanber:
Eitt vandmeðfarnasta viðfangsefnið, þar sem reynir á takmarkanir á friðhelgi einkalífs, lýtur að því að finna jafnvægi á milli þess og annarra stjórnarnskrárverndaðra réttinda og þar kemur tjáningarfrelsi annarra oftast til álita. Verður niðurstaða hagsmunamats að ráðast af atvikum í hverju máli og þá einkum af því hvort vega þyngra hagsmunir einstaklings að njóta friðar um einkahagi sínu og mannorð eða nauðsyn þess að viðhalda frjálsri lýðræðislegri umræðu um málefni sem varða almenning.25
2.3.2 Tilurð laga um persónuvernd og meðferð persónuupplýsinga
Lög nr. 77/2000 hafa verið í gildi síðan 1. janúar 2001. Hér á landi voru fyrst sett lög í
ætt við lög um persónuvernd árið 1981, með lögum um skráningu á upplýsingum er
varða einkamálefni nr. 63/1981. Þrátt fyrir að ekki séu liðin nema 36 ár hafa síðan þrír
lagabálkar tekið gildi á sviði persónuverndar sem allir hafa leyst fyrirrennara sinn af
hólmi. Lög nr. 39/1985 um kerfisbundna skráningu á upplýsingum er varða
einkamálefni og nr. 121/1989 um skráningu og meðferð persónuupplýsinga tóku við
af þeim sem fyrst ruddu brautina hér á landi. Lög nr. 121/1989 voru sett á grundvelli
samnings Evrópuráðsins frá 28. janúar 1981 um vernd einstaklinga varðandi vélræna
vinnslu persónuupplýsinga, sá samningur er enn bindandi hér á landi.26 Gildandi lög
tóku svo við keflinu 1. janúar 2001.
2.3.3 Efni laga um persónuvernd og meðferð persónuupplýsinga
Með pul. var tilskipun 95/46/EB leidd í lög hér á landi.27 Grundvallar sjónarmiðin í
tilskipun 95/46/EB voru þó sambærileg gildandi lögum á þeim tíma nr. 121/1989.
Helsta breytingin á milli laganna frá 1989 og þeirra sem nú gilda var á gildissviði þeirra.
28 Gildissviðið var rýmkað og taka núgildandi lög til allra persónuupplýsinga en lögin
frá 1989 tóku einungis til fjárhagsupplýsinga og upplýsinga sem sanngjarnt væri og
eðlilegt að færu leynt samkvæmt 3. mgr. 1. gr. laganna. Vinnsla persónuupplýsinga
var að mestu leyti gerð tilkynningarskyld með tilkomu gildandi laga. Áður hafði vinnsla
25 Björg Thorarensen (n. 16) 305. 26 Alþt. 1999-2000, A-deild, 2689,2690. 27 Páll Hreinsson, Rafræn vinnsla persónuupplýsinga við meðferð stjórnsýslumála (Lagastofnun Háskóla Íslands 2007) 7. 28 Sigrún Jóhannesdóttir (n. 5) 35.
10
verið leyfisskyld að miklu leyti.29 Byrðin á herðum ábyrgðaraðila var því minnkuð. Enda
einfaldara í framkvæmd að tilkynna vinnslu en að sækja um og bíða eftir að fá leyfi
fyrir henni. Frá setningu laga nr. 77/2000 hefur þeim verið breytt 11 sinnum.
Markmið laganna er að finna í 1. mgr. 1. gr. þeirra og er:
Markmið laga þessara er að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins.
Markmiðinu er lýst frekar almennt.
Markmiðsákvæðinu skal bæði beita með hliðsjón af 8. gr. mannréttindasáttmála Evrópu, sbr. lög nr. 62/1994, um friðhelgi einkalífs og fjölskyldu, um að sérhver maður eigi rétt til friðhelgi einkalífs síns, fjölskyldu, heimilis og bréfaskipta, og 71. gr. Stjórnarskrár íslenska lýðveldisins nr. 33/1944, eins og henni var breytt með lögum 97/1995.30
2.4 GDPR
2.4.1 Almennt um GDPR
GDPR er ætlað viðamikið hlutverk eins og áður hefur verið getið, sérstaklega þegar
kemur að nútímavæðingu persónuverndar. GDPR er ætlað að efla vitund lögaðila jafnt
sem einstaklinga um persónuvernd. Helsta vitundarvakningin hefur orðið vegna þeirra
sektarákvæða sem er að finna í 83. gr. GDPR og fela í sér heimildir til álagningu
stjórnvaldssekta sem jafngilda allt að 20 milljónum evra eða 4% af ársveltu á
heimsgrundvelli, eftir því hvor upphæðin er hærri, þó fyrir ítrekuð og alvarleg brot.31
Aukinn áhugi er þegar farinn að gera vart við sig á sviði persónuverndar, hjá
einstaklingum, fyrirtækjum og fjölmiðlum.32
29 sama heimild 34. 30 sama heimild 40. 31 Persónuvernd, „Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ (Persónuvernd, 28. apríl 2017) 4 <https://www.personuvernd.is/media/frettir/146-1003.pdf> skoðað 10. október 2017. 32 „Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ 24 <https://www.personuvernd.is/media/frettir/146-1003.pdf> skoðað 10. október 2017.
11
2.4.2 Ástæður endurskoðunar og tilurð GDPR
2.4.2.1 Almennar ástæður endurskoðunar
Helstu drifkraftar breytinganna sem ráðist hefur verið í voru í fyrsta lagi viljinn til að
auka virkni og samræmingu persónuverndar í Evrópu. GDPR er ætlað að samræma
reglur á sviði persónuverndar og stuðla að markmiðum evrópska markaðarins.33 Í öðru
lagi var nauðsynlegt að nútímavæða löggjöfina um persónuupplýsingar. Tilgangurinn
er einnig „að færa sjálfsákvörðunarrétt um vinnslu persónuupplýsinga nær
einstaklingum.“34
Þegar fráfarandi tilskipun frá 1995 var samin var Internetið á frumstigum sínum.
Notkunarmöguleikar þess og aðgengi að Internetinu hafa tekið stakkaskiptum síðan
og því tímabært að uppfæra reglur um persónuupplýsingar til samræmis við
samtímann. Í þriðja lagi er ætlunin að færa valdið yfir persónuupplýsingum aftur til
réttmætra eiganda með því að leggja enn ríkari áherslu á skýrleika tilgangs vinnslu
persónuupplýsinga.35 Réttmætur eigandi er sú persóna sem upplýsingarnar lúta að.
Eitt helsta markmið hennar [GDPR] er að auka og styrkja réttindi einstaklinga þannig að þeir ákveði hverjir geti unnið persónuupplýsingar um sig, hvenær og í hvaða tilgangi.36
2.4.2.2 Almennt um tilurð GDPR
Þann 25. janúar 2012 lagði framkvæmdastjórnin37 til að umfangsmiklar endurbætur
yrðu gerðar á reglum um upplýsingavernd sem voru frá 1995. Markmið endurbótanna
yrði að auka öryggi persónuupplýsinga á internetinu og ýta undir stafrænt hagkerfi
Evrópu. Evrópska persónuverndarráðið38 gaf frá sér álit um tillögur
33 Persónuvernd, „Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ (n. 31) 23. 34 sama heimild. 35 European Parliament, „Data protection reform - Parliament approves new rules fit for the digital era | News | European Parliament“ (14. apríl 2016) <http://www.europarl.europa.eu/news/en/press-room/20160407IPR21776/data-protection-reform-parliament-approves-new-rules-fit-for-the-digital-era> skoðað 24. október 2017. 36 Persónuvernd, „Ársskýrsla 2016“ (júl 2017) Ársskýrsla 6 <https://www.personuvernd.is/media/arsskyrslur/Arsskyrsla-2016ny.pdf> skoðað 17. október 2017. 37 Hlutverk framkvæmdastjónar Evrópusamabandsins eru skilgreind í 17. gr. sáttmálans um Evrópusambandið. Hún er handhafi framkvæmdavalds, verndari sáttmála ESB, hún hefur frumkvæðisrétt að samningu löggjafar og hún er fulltrúi ESB út á við. „Hvað gerir framkvæmdastjórn ESB?“ (Evrópuvefurinn) <http://www.evropuvefur.is/svar.php?id=25169> skoðað 24. október 2017. 38 Hér eftir „Persónuverndarráðið“. Persónuverndarráðið er stofnun á vegum Evrópusambandsins sem komið var á fót með 1. mgr. 68. gr. GDPR. Stofnunin samanstendur af yfirmanni eins eftirlitsyfirvalds hvers aðildarríkis og Evrópsku persónuverndarastofnunarinnar, skv. 3. mgr. 68. gr. Persónuverndarráðið skal njóta sjálfstæðis í störfum sínum og þegar það beitir valdheimildum sínum
12
framkvæmdastjórnarinnar að breytingum þann 7. mars 2012. Það sama gerði 29. gr.
hópurinn, 23. mars sama ár. Starfshópurinn skilaði viðbótar athugasemdum við tillögur
framkvæmdastjórnarinnar í október 2012. Greidd voru atkvæði um GDPR á
Evrópuþinginu þann 12. mars 2014 þar sem nánast var einhugur um samþykki
reglugerðarinnar.39 Evrópska persónuverndarráðið sendi frá sér athugsemdir og
tillögur að viðbótum við endanlegan texta reglugerðarinnar þann 27. júlí 2015.
Ráðherraráðið40 hafði sett saman og gefið út drög að endanlegum texta 15. júní 2015.
Pólitískt samkomulag náðist þann 15. desember 2015, meðal framkvæmdastjórnar
Evrópusambandsins, Evrópuþingsins og ráðherraráðs Evrópusambandsins um efni
og innihald GDPR, reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27.
apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um
frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB.41
Aðgerðaráætlun fyrir innleiðingu GDPR var gefin út af 29. gr. starfshópnum þann 2.
febrúar 2016. Reglugerðin tók gildi þann 24. maí 2016, 20 dögum eftir birtingu hennar
í Stjórnartíðindum Evrópusambandsins. Reglugerðin kemur til framkvæmda 25. maí
2018.42
Hlutverk nýrrar reglugerðar er auk samræmingar að auka réttarvernd einstaklinga,
m.a. með því að auka gagnsæi í vinnslu persónuupplýsinga og auka kröfur til aðila
sem ábyrgjast og/eða vinna með slíkar upplýsingar. Í aukinni réttarvernd einstaklinga
felst til að mynda heimild til að leita til persónuverndarstofnunar í búsetulandi, eða því
landi þar sem vinnslan á sér stað. Reglugerðinni er einnig ætlað að létta
stjórnsýslulega byrði fjölþjóðlegra fyrirtækja. Að sama skapi eru lagðar skyldur á
fyrirtæki sem og stofnanir, til að mynda að skipa sér persónuverndarfulltrúa og óska
sbr. 1. mgr. 69. gr. GDPR. Verkefni Evrópska persónuverndarráðsins eru skv. 1. mgr. 70. gr. GDPR að tryggja samræmi í beitingu reglugerðarinnar. 39 Atkvæðin skiptust svona: 621 með, 10 á móti og 22 fjarverandi. Ernst-Oliver Wilhelm, „A brief history of the General Data Protection Regulation“ <https://iapp.org/resources/article/a-brief-history-of-the-general-data-protection-regulation/> skoðað 24. október 2017. 40 Ráðherraráðið fer með löggjafarvald í sambandinu ásamt Evrópuþinginu og samræmir stefnur og aðgerðir aðildarríkja í ýmsum málaflokkum. Ráðherraráðið er skipað einum ráðherra frá hverju aðildarríki.Evrópuvefur, „Ráðið“ (Evrópuvefurinn - Upplýsingaveita um Evrópusambandið og Evrópumál, 2. september 2012) <http://www.evropuvefur.is/svar.php?id=60019> skoðað 24. október 2017. 41 European Parliament, „Data protection package: Parliament and Council now close to a deal | News | European Parliament“ (15. desember 2015) <http://www.europarl.europa.eu/news/en/press-room/20151215IPR07597/data-protection-package-parliament-and-council-now-close-to-a-deal> skoðað 24. október 2017. 42 Wilhelm (n. 39).
13
forálits Persónuverndar svo dæmi séu tekin.43 Minni byrði á fjölþjóðleg fyrirtæki
útskýrist einna helst með því sem kallað hefur verið einn viðkomustaður (e. one-stop-
shop). Það felur í sér að fyrirtæki sem starfa í fleiri EES-ríkjum en einu geta ákveðið
að leita til Persónuverndar á Íslandi og þurfa ekki að leita annað. Þetta er gert með
einföldun regluverks að leiðarljósi. Sama gildir um einstaklinga sem geta snúið sér til
persónuverndarstofnunar í heimaríki sínu, án þess að þurfa að velta fyrir sér eða vita
hvar vinnsla persónuupplýsinganna fer fram.44
Weltimmo málið C-230/14, kom fyrir Evrópudómstólinn í aðdraganda GDPR og hafði
áhrif á reglugerðina. Málið snerist um deilu fyrirtækisins Weltimmo og Persónuverndar
Ungverjalands. Weltimmo sem skráð var í Slóvakíu hélt úti heimasíðu þar sem eignir
í Ungverjalandi voru auglýstar til sölu. Eigna auglýsingar á síðunni voru fríar fyrsta
mánuðinn en eftir það þurfti að borga. Margir auglýsendur sendu tölvupóst þar sem
óskað var eftir því að auglýsingu þeirra og persónuupplýsingum um þá yrði eytt.
Weltimmo varð ekki við því. Þegar þeir greiddu svo ekki sendi Weltimmo upplýsingar
um auglýsendurna til innheimtufyrirtækja sem önnuðust innheimtu greiðslna fyrir
Weltimmo. Deilan snérist um hvort Persónuvernd í Ungverjalandi gæti tekið á
málinu.45 Niðurstaða Evrópudómstólsins var að þar sem heimasíðan væri ætluð
ungverskum kaupendum og seljendum, á ungversku og Weltimmo hafði aðila á sínum
snærum í Ungverjalandi sem átti að innheimta skuldir auglýsenda, þá skiptir
skráningarland Weltimmo ekki máli og ungverskum persónuverndarlögum því beitandi
gegn hinu slóvakíska félagi.46 Þetta mál hafði áhrif á það sem á frummálinu kallast
hinu grípandi nafni „one-stop-shop“47 og gerð var grein fyrir hér fyrir ofan.
2.4.3 Mikilvægi GDPR
Giovanni Buttarelli, yfirmaður EDPS (Evrópsku persónuverndarstofnunarinnar)
skrifaði í grein sem hann birti 20. september 2017 að þrjú mál væru í forgangi á
skrifstofu hans næstu 12 mánuðina. Það fyrsta væri, að tryggja að samvinna við
43 Persónuvernd, „Ársskýrsla 2016“ (n. 36) 6. 44 „Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ (n. 32) 23. 45 Mál C-230/14 Weltimmo s.r.o. g. Nemzeti Adavédelmi ési Információszabadsá Hatóság [2015] ECLI:EU:C:2015:639, mgr. 11-13. 46 sama heimild mgr. 52. 47 „EU GDPR: How did we get here?“ <http://www.eugdpr.org/how-did-we-get-here-.html> skoðað 26. september 2017.
14
persónuverndarskrifstofur allra aðildarríkja væri hafin, til að tryggja að Evrópska
persónuverndarnefndin fari hnökralaust af stað 25. maí næstkomandi. Það næsta að
stofnanir Evrópusambandsins sem falla undir Evrópsku persónuverndarstofnunina
taki af fullum krafti þátt í og að æðstu stjórnendur þeirra átti sig fyllilega á því hvernig
upplýsingar um fólk eru meðhöndlaðar. Þriðja forgangsatriðið að mati Buttarelli er að
árið 2018 verði haldin ráðstefna um öryggi gagna og vernd þeirra í Brussel, þar sem
ætlunin er að stefna saman framúrstefnuþenkjandi sérfræðingum í gervigreind og
umhverfiseftirliti.48
Mikilvægi reglugerðarinnar felst einna helst í tveimur atriðum sem hún leggur áherslu
á. Í fyrsta lagi þá er gildissvið hennar afar vítt og nær hún til allra aðila sem stjórna eða
vinna með persónuupplýsingar um íbúa Evrópusambandsins þegar vinnslan er tengd
framboði á vörum og þjónustu, hvort sem varan eða þjónustan fæst gegn greiðslu eður
ei. Eins er allt eftirlit sem á sér stað innan Evrópusambandsins innan gildissviðs
reglugerðarinnar. Það eitt að ábyrgðaraðili sé staðsettur utan Evrópusambandsins
þýðir ekki að hann falli utan gildissviðs reglugerðarinnar.49 Í öðru lagi eru
sektarheimildirnar í reglugerðinni. Þær eru mögulega mjög íþyngjandi fyrir aðila sem
gerast brotlegir við reglugerðina eins og áður verið rakið.50
Munurinn á hinni nýju reglugerð, GDPR og hinni fráfarandi tilskipun 95/46/EB,
kristallast einna helst í því að með tilskipuninni var aðildarríkjum veitt talsvert svigrúm
til að ákveða með hvaða hætti þau vildu innleiða reglur hennar í sinn rétt. Raunar dugði
að efnisleg niðurstaða yrði sú sama og ef tilskipunin myndi gilda sem lög. Hvað varðar
GDPR þá hafa aðildarríkin ekki nema að nokkru leyti svigrúm til mats á því hvernig
þau vilja hátta eftirfylgni við reglugerðina.51 Það felst í eðli hennar að um er að ræða
meiri þungavigtar löggjöf enda stigsmunur á tilskipun og reglugerð. Reglugerðir eru
48 Giovanni Buttarelli, „The State of the Data Protection Union“ (European Data Protection Supervisor, 20. september 2017) </press-publications/press-news/blog/state-data-protection-union_en> skoðað 25. september 2017. 49 Osterman Research, „GDPR Compliance and Its Impact on Security and Data Protection Programs“ White Paper 2 <https://4b0e0ccff07a2960f53e-707fda739cd414d8753e03d02c531a72.ssl.cf5.rackcdn.com/wp-content/uploads/2017/02/GDPR-Compliance-and-Its-Impact-on-Security-and-Data-Protection-Programs-HPE.pdf?v=20> skoðað 6. september 2017. 50 sama heimild. 51 sama heimild.
15
þýðingarmestar afleiddra gerða að því er varðar efni, gildissvið og réttaráhrif.52
Reglugerðir hafa í aðalatriðum sömu stöðu og almenn lög aðildarríkja. Þær fela í sér
lagalega bindandi texta og þær verða sjálfkrafa hluti að lögum aðildarríkja ESB.53 Í
GDPR er að finna dæmi um ákvæð þar sem aðildarríki þurfa að taka afstöðu til þeirrar
efnisreglu sem þau vilja að gildi hjá sér.54
Hvað varðar efni ritgerðar þessarar þá eru með tilkomu GDPR sett nákvæmari ákvæði
um gerð persónusniða og sjálfvirkar ákvarðanatökur. Þá er sérstaklega vert að huga
að skilgreiningum á hugtökunum tveimur. GDPR nær ekki eingöngu til þeirra afleiðinga
sem geta orðið af völdum gerðar persónusniða eða töku sjálfvirkra ákvarðana. Heldur
setur GDPR einnig reglur um öflun upplýsinga til að hægt sé að gera persónusnið og
beitingu sniðanna á einstaklinga.55
2.4.4 Innleiðing í íslenskan rétt
Ísland gerðist aðili að Evrópska efnahagssvæðinu með undirritun á EES-samningnum
þann 2. maí 1992 í Óportó. Hann tók gildi 1. janúar 1994. Til að ná markmiði sínu gerir
samningurinn ráð fyrir því að EFTA-ríkin sem eru innan EES taki yfir þá löggjöf sem
stafar frá ESB og fellur undir gildissvið samningsins.56
EES-samningurinn er potturinn og pannan í samskiptum Íslands við ESB. Kjarninn í
EES-samningnum er sá að EFTA-ríkin taka upp reglur Evrópusambandsins um
fjórfrelsið57 og stuðla að einsleitni með því að grunnákvæði um fjórfrelsi taki til EFTA-
ríkjanna. Með því verða EFTA-ríkin þátttakendur í sameiginlegum innri markaði
Evrópubandalagsins. Undanskildir eru þó nokkrir veigamiklir þættir ESB, þar á meðal
„sameiginlega tolla- og viðskiptastefna ESB og landbúnaðar- og sjávarútvegsstefna“.
Undantekningar eru þó á þessu, sem dæmi hefur hindrunum á flutning
52 Afleiddar gerðir eru tilskipanir og reglugerðir sem teknar eru upp í EES samninginn úr ESB rétti í smræmi við 7. gr. EES-samningsins (stundum þó aðrar gerðir nefndar í viðaukum). Davíð Þór Björgvinsson, EES-réttur og landsréttur (Codex 2006) 86. 53 sama heimild 87. 54 Sem dæmi um þetta má nefna 1. mgr. 8. gr. GDPR þar segir „Aðlidarríki geta í lögum kveðið á um lægri aldur að því er þetta varðar [vísast til fyrri texta sömu málsgreinar] en þó ekki lægri en 13 ár.“ 55 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679“ (The Article 29 Working Party 10. mars 2017) 6 <http://ec.europa.eu/newsroom/document.cfm?doc_id=47742> skoðað 5. desember 2017. 56 „Stjórnarráðið | Samningurinn um Evrópska efnahagssvæðið (EES-samningurinn)“ <https://www.stjornarradid.is/verkefni/utanrikismal/evropusamvinna/ees-samningurinn/> skoðað 8. nóvember 2017. 57 Davíð Þór Björgvinsson (n. 52) 31.
16
landbúnaðarafurða og fiskafurða til að mynda verið aflétt og EES-samningurinn leitast
við að stuðla að frjálsu flæði fjármagns.58
Í lögum um evrópska efnahagssvæðið nr. 2/1993 er greinilegur stigsmunur gerður í 7.
gr. Þar er í a-lið 1. mgr. gerð krafa um að gerðir sem jafnast á við reglugerðir skuli
innleiddar sem slíkar í landsrétt. Í b-lið 1. mgr. er að finna heimild til handa yfirvöldum
samningsaðila til að velja form og aðferð við framkvæmd gerðarinnar, sem svipar til
eða er tilskipun.
Texti reglugerða er iðulega innleiddur í íslenskan rétt eftir að hann hefur verið þýddur
og aðlagaður að íslenskum aðstæðum. Raunar er þá texti reglugerðarinnar í heild
lögfestur í fylgiskjali við lög eða stjórnvaldsfyrirmæli með svokallaðri tilvísunaraðferð.59
Reglugerðir ESB eru gjarnan teknar upp í heild sinni og gerðar að almennum
stjórnvaldsfyrirmælum eða lögum. Með þessum hætti er markmiðunum náð,
reglugerður ESB hafa lagaáhrif í einstökum EFTA-ríkjum og skipta máli við úrlausn
deilumála.60
Munurinn á innleiðingu reglugerðar sem stafar frá ESB og tilskipun sem stafar frá ESB
í rétt EFTA-ríkja er einna helst sá að þegar kemur að tilskipunum dugar að endanleg
niðurstaða verði að markmiði hennar sé náð en hverju ríki fyrir sig er eftirlátið að
ákveða hvernig markmiðinu verður náð.61 Hins vegar þegar kemur að reglugerð verður
almennt að taka hana beint upp með einum eða öðrum hætti líkt og áður kom fram.
Sú tilskipun sem pul. byggja á númer 95/46/EB er felld undir 5. gr. e. í 11. viðauka við
EES-samninginn. Það er kafli sem heitir gagnavernd (e. data protection). Þá verður
GDPR einnig felld þar undir þegar drög sameiginlegu EES nefndarinnar hafa verið
lögð fyrir, samþykkt og tekin upp í EES-samninginn.62 Reglugerðir fá þó ekki beint
lagagildi innan EFTA-ríkjanna. Þær fara í gegnum innleiðingarferli, falli þær á annað
58 Sigurður Líndal og Skúli Magnússon, Réttarkerfi Evrópusambandsins og Evrópska efnahagssvæðisins: megindrættir (Hið íslenska bókmenntafélag 2011) 124. 59 Davíð Þór Björgvinsson (n. 52) 88. 60 sama heimild 90. 61 sama heimild 93. 62 EFTA, „EEA-Lex: tracking incorporation of EU law into the EEA Agreement | European Free Trade Association“ (EEA-Lex: tracking incorporation of EU law intothe EEA Agreement, 27. janúar 2014) <http://www.efta.int/eea/news/eea-lex-tracking-incorporation-eu-law-eea-agreement-2659> skoðað 8. nóvember 2017.
17
borð innan sviðs EES-samningsins. Þá verða þær teknar upp í samninginn með
ákvörðun Sameiginlegu EES-nefndarinnar og skuldbindur sú ákvörðun öll EFTA-ríkin,
þar á meðal Ísland, til að leiða þær orðrétt í lög í samræmi við 7. gr. EES-samningsins.
Yfirleitt verður tilvísun fyrir valinu sem innleiðingaraðferð við þessar aðstæður.63 Hinn
möguleikinn er svokölluð umritunaraðferð þar sem ákvæði gerðarinnar eru tekin
efnislega upp í lög eða stjórnvaldsfyrirmæli.64
Kafli 3. Hugtök og skilgreiningar 3.1 Almennt Í þessum kafla er ætlunin að gera grein fyrir þeim hugtökum sem skipta mestu máli
fyrir áframhaldandi umfjöllun ritgerðarinnar. Til að svara þeirri spurningu sem lagt var
upp með er ljóst að skilgreina þarf gerð persónusniða, sjálfvirkar ákvarðanatökur en
það verður gert í sérstökum köflum síðar þegar fjallað verður um hugtökin. Til nánari
glöggvunar er í kaflanum hér á eftir umfjöllun um persónuupplýsingar, ábyrgðaraðila,
vinnsluaðila og lögmætar heimildir til vinnslu persónuupplýsinga, þar á meðal
samþykki sem er algengasta vinnsluheimildin.65 Í umfjölluninni verða hugtökin skoðuð
frá sjónarhorni pul. sem og GDPR með það fyrir augum að greina breytinguna sem
felst í GDPR og varpa ljósi á þróunina sem er að eiga sér stað.
3.2. Hugtök
3.2.1 Persónuupplýsingar í pul.
Persónuupplýsingar eru skilgreindar í 1. tl. 1. mgr. 2. gr. pul. samkvæmt ákvæðinu eru
sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e.
upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi,
persónuupplýsingar. Skilgreiningunni er ætlað að samræma íslensk lög og alþjóðlegar
skuldbindingar.66 Ætla má að orðið sérhverjar vísi til þess að hugtakið
63 Tilvísunaraðferðin er þannig að sett eru lög sem staðfesta gildi gerðarinnar og þá vísað til heildartexta hennar í fylgiskjali við lögin. Davíð Þór Björgvinsson (n. 52) 89. 64 sama heimild 94. 65 Persónuvernd, „Grundvallarhugtök“ (Persónuvernd. Þínar upplýsingar, þitt einkalíf.) <https://www.personuvernd.is/spurningar-og-svor/grundvallarhugtok/> skoðað 25. október 2017. 66 Alþt. 1999-2000, A-deild, 2697.
18
persónuupplýsingar eigi að túlka rúmt.67 Undir hugtakið falla einungis upplýsingar í
tengslum við einstaklinga, ekki lögaðila.68
Öll lögvernd persónulegra réttinda snýst í reynd um tiltekin grundvallarréttindi einstaklinga enda þótt sum þeirra lúti reyndar, samkvæmt bókstaf laganna, að vernda ákveðinna hópa einstaklinga, sbr. lagaákvæði sem ætlað er að vernda ýmsa minnihlutahópa fyrir árásum eða aðkasti, t.d. vegna kynhneigðar eða trúarbragða fólks, sem þann hóp myndar. Þegar allt er til enda rakið eru það einstaklingar, sem hópnum tilheyra, er njóta réttindanna.69
Dæmi um upplýsingar sem geta fallið undir skilgreiningu pul. á persónuupplýsingum
eru IP-tölur, slíkar upplýsingar sem og kennileiti á tölvum eða netbeinum eru
rekjanlegar til einstaklinga með greiningarlyklum. Þótt einungis séu skráðar slíkar
upplýsingar. Þær eru talnarunur sem hafa litla merkingu nema fyrir handhafa
greiningarlykla, þá má vera að um persónuupplýsingar sé að ræða. Enda hægt að
tengja þær við einstakling með greiningarlyklum.70 Í áliti Persónuverndar nr. 2009/635
frá 16. desember 2009 var talið að skoðun Vinnumálastofnunar á hluta af IP-tölu K
sem kom fram í rafrænum tilkynningum sem K sendi til V, fæli í sér vinnslu
persónuupplýsinga. Fram kom í niðurstöðu Persónuverndar að:
Á meðal þeirra upplýsinga sem IP-tölur hafa að geyma, er í hvaða landi sú tölva er sem IP-talan stafar frá. Í samskiptum á Netinu er iðulega óhjákvæmilegt að IP-tölur skráist vegna tæknilegs eðlis Netsins. Það að skoða þann hluta IP-tölu, sem hefur að geyma auðkenni tiltekins lands, getur verið sambærilegt því að skoða póststimpil á umslögum. Af atvikum máls þessa má hins vegar ráða að IP-tölur tilkynnenda séu skráðar með kerfisbundnum hætti og telst því vera um að ræða vinnslu persónuupplýsinga í skilningi laga nr. 77/2000.
Dómur Evrópudómstólsins frá 19. október 2016 í máli C-582/14 Breyer gegn þýska
ríkinu, staðfesti að fastar og breytilegar IP-tölur geta talist til persónuupplýsinga.
Aðgangsauðkenni þráðlausra korta (e.mac addresses) hafa verið talin falla undir
skilgreiningu persónuupplýsinga. Ekki hefur verið tekin afstaða til þess hér á landi en
franska persónuverndarstofnunin (CNIL) komst að þeirri niðurstöðu þann 17. mars
2011 að Google hafi brotið frönsk lög með söfnun upplýsinga um aðgangsauðkenni
67 Sigrún Jóhannesdóttir (n. 5) 43. 68 Páll Hreinsson (n. 27) 8. 69 Páll Sigurðsson, Mannhelgi: höfuðþættir almennrar persónuverndar (Codex 2010) 23. 70 Sigrún Jóhannesdóttir (n. 5) 59.
19
þráðlausra korta. Söfnunin hafði farið fram án vitundar einstaklinga í gegnum þráðlaust
netkerfi þeirra í þeim tilgangi að bjóða þjónustu á grundvelli staðsetningar. CNIL
sektaði Google um 100.000 evrur fyrir ólögmæta söfnun persónuupplýsinga.71
Úrskurður Persónuverndar í máli nr. 2010/708 um ökurita í bílum Áhaldahúss
Kópavogs tekur meðal annars á upplýsingum um akstur starfsmanns á vinnutíma sem
fást með notkun ökurita í bíl og vinnutæki starfsmanns. Persónuvernd kemst að því í
úrskurði sínum að slíkar upplýsingar teljist til persónuupplýsinga.72
3.2.2 Persónuupplýsingar í GDPR
Þegar litið er til GDPR er ljóst að persónuupplýsingar teljast allar upplýsingar um
einstakling sem er hægt að bendla við hinn skráða einstakling, sbr. 4. gr. GDPR.
Nánari útlistun á hugtakinu er að finna í aðfararorðum að GDPR.
Í 26. gr. aðfararorða GDPR er fjallað um persónuupplýsingar sem færðar hafa verið
undir gerviauðkenni, ef hægt er að rekja þær til einstaklings með einhverjum
viðbótarupplýsingum skulu þær teljast persónuupplýsingar, þrátt fyrir að sigla undir
flaggi gerviauðkennis. Við mat á persónugreinanleika þá skal taka mið af öllum
aðferðum sem ætla má að mögulegt sé að beita til að bera kennsl á viðkomandi
einstakling. Til að ákvarða hvort aðferð er möguleg er rétt að taka tillit til allra hlutlægra
þátta hennar, til dæmis kostnaðar vegna hennar, tíma sem hún tæki, tækninnar sem
þyrfti og tækniþróunar svo dæmi séu tekin.
Álykta má út frá skilgreiningunni í 4. gr. GDPR að nafnlausar upplýsingar, það er
ópersónurekjanlegar upplýsingar falli almennt utan gildissviðs persónuverndar og
GDPR. Slíkt er þar að auki fullyrt í 26. gr. aðfararorða GDPR. Þar segir:
Meginreglur um persónuvernd ættu því ekki að eiga við um nafnlausar upplýsingar ... Þessi reglugerð varðar því ekki vinnslu slíkra nafnlausra upplýsinga, s.s. í tölfræðilegum tilgangi eða vegna rannsókna.
71 Mark Burdon og Alissa McKillop, „The Google Street View Wi-Fi Scandal and its Reprecussions for Privacy Regulation“ 39 (3) Monash 708 <https://www.monash.edu/__data/assets/pdf_file/0011/141230/vol-39-3-burdon-and-mckillop.pdf> skoðað 25. október 2017. 72 Úrskurður Persónuverndar 9. nóvember 2010 í máli nr. 2010/708.
20
Á því er beinlínis tekið í 30. gr. aðfararorðanna að netauðkenni sem skilja eftir sig spor,
svo sem IP-tölur, smygildi (e. cookies) og önnur auðkenni eru möguleg tæki til að
smíða persónusnið um einstaklinga og tæki og tól eru til sem gera viljugum kleift að
bera kennsl á þá, með samspili sporanna og einkvæmra auðkenna, sem og annarra
upplýsinga sem berast netþjónum.
Erfðafræðilegar upplýsingar ætti samkvæmt 34. gr. aðfararorða GDPR að skilgreina
sem persónuupplýsingar. Sama má segja um upplýsingar sem varða heilsufar
einstaklings og öll göng tengd heilsufari hans, án tillits til uppruna gagnanna, það er
að segja hvort sem þau koma frá lækni eða örðum heilbrigðisstarfsmanni, sjúkrahúsi,
lækningatæki eða með greiningarprófun í glasi, samanber 35. gr. aðfararorða.
3.2.2.1 Persónuupplýsingar barna
Ekki er minnst á persónuupplýsingar barna í pul. eða börn í lögunum yfir höfuð. Við
undirbúning GDPR þótti rétt að veita börnum sérstaklega ríka vernd. Sérstök áhersla
er lögð á vernd barna gegn söfnun upplýsinga um börn sem nota skal í beinum
markaðslegum tilgangi til að ná til barna og við gerð persónusniða um börn. Þá skal
veita starfsemi sem beinist að börnum sérstakan gaum samanber b-lið 1. mgr. 57. gr.
GDPR. Ástæður þess að tilefni þótti til að fjalla sérstaklega um vernd
persónuupplýsinga barna eru að börn kunna samkvæmt 38. gr. aðfararorða GDPR að
vera:
[S]íður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga. Þessi sérstaka vernd ætti einkum að eiga við um notkun persónuupplýsinga barna í markaðssetningarskyni eða þegar búin eru til persónu- eða notendasnið og um söfnun persónuupplýsinga er varða börn þegar þau nota þjónustu sem börnum er boðin beint.
Skilyrði sem gilda um samþykki barns í tengslum við þjónustu í upplýsingasamfélaginu
eru talin upp í 8. gr. GDPR. Til að barn geti talist fært um að samþykkja vinnslu
persónuupplýsinga er að lágmarki gert ráð fyrir að það sé orðið 16 ára samkvæmt 1.
mgr. 8. gr. GDPR. Þó er heimild til handa aðildarríkjum að lækka aldurinn niður í 13
ár, en ekki neðar en það í 2. ml. 1. mgr. 8. gr. Að öðrum kosti verður samþykki
handhafa foreldraábyrgðar að koma til. Ábyrgðaraðili skal samkvæmt 2. mgr. 8. gr.
gera hvaðeina það sem sanngjarnt má telja til að sannreyna að samþykki stafi frá
handhafa foreldraábyrgðar sé þess á annað borð þörf.
21
3.2.2.2 Viðkvæmar persónuupplýsingar í pul.
Viðkvæmar persónuupplýsingar teljast þær upplýsingar sem snerta einstaklinga á
hvað persónulegustum nótum. Í 8. tl. 1. mgr. 2. gr. pul. er tæmandi talningu viðkvæmra
persónuupplýsinga að finna. Í a-lið 8. tl. 1. mgr. 2. gr. er kveðið á um að upplýsingar
um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir
séu meðal viðkvæmra persónuupplýsinga. Upptalningin heldur áfram í b-lið sem tekur
til upplýsinga um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir
refsiverðan verknað, c-liður telur fram upplýsingar um heilsuhagi, þar á meðal um
erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun, d-liður flokkar upplýsingar um
kynlíf og kynhegðan manna sem viðkvæmar upplýsingar og að lokum tekur e-liður á
upplýsingum um stéttarfélagsaðild manna, í e-lið felast nýmæli. Ekki var kveðið á um
það í eldri lögum að stéttarfélagsaðild teldist til viðkvæmra persónuupplýsinga.73
Skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga er að finna í 9. gr. pul. Samkvæmt
5. mgr. 9. gr. er það Persónuvernd sem sker úr um ágreining um hvort
persónuupplýsingar teljist viðkvæmar eða ekki.
Vinnsla viðkvæmra persónuupplýsinga er skv. 1. mgr. 8. gr. tilskipunar 95/46/EB
bönnuð. Í 2.-5. mgr. 8. gr. tilskipunarinnar eru þó taldar upp undantekningar frá
bannreglunni. Þessar undantekningar er að finna í 9. gr. pul. og samkvæmt greininni
er stjórnvöldum heimil söfnun og vinnsla með viðkvæmar persónuupplýsingar í
stjórnsýslu sinni ef eitthvað skilyrða 1. mgr. 8. gr. laganna á við. Því til viðbótar verður
vinnslan að eiga sér stoð í 1.-9. tl. 1. mgr. 9. gr. pul. Vinnsla viðkvæmra
persónuupplýsinga þarf því að standast tvennskonar síur til að geta talist lögmæt í
skilningi pul.
Hagsmunir almennings af vinnslu með viðkvæmar persónuupplýsingar þurfa að vera meiri en óhagræði þeirra einstaklinga sem í hlut eiga, þ.e. hagsmunir samfélagsins þurfa að vega þyngra en hugsanlegt óhagræði fyrir hina skráðu. ... Í fyrsta lagi þarf að meta hversu viðkvæmar upplýsingarnar eru fyrir hina skráðu, því viðkvæmari sem upplýsingar eru þeim mun meiri kröfur verður að gera til mikilvægis almannahagsmuna. ... Í öðru lagi þarf að kanna hvort vinnslan hafi þýðingu fyrir breiðan hóp og eftir atvikum hagsmuni þjóðfélagsins í heild.
73 Ingi Snær Einarsson, „Sérstök skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga skv. 1. mgr. 9. gr. laga nr. 77/2000“ (2005) 58 Úlfljótur – tímarit laganema 41, 50.
22
Ekki er þó gert að skilyrði í þessu sambandi að vinnslan fari fram á vegum hins opinbera. ... Í þriðja lagi eru í 34.-36. lið formála tilskipunar EB, sbr. einnig ákvæði í 5. og 8. og 9. tl. 1. mgr. 9. gr. pul., tiltekin svið sem teljast grundvallast að miklu leyti á mikilvægum almannahagsmunum. Sem dæmi má nefna vinnslu á heilbrigðis- og almannatryggingasviði, á sviði vísindarannsókna og opinberra hagskýrslna.74
3.2.2.3 Viðkvæmar persónuupplýsingar í GDPR
Viðkvæmar persónuupplýsingar eru nefndar í 9. gr. GDPR sérstakir flokkar
persónuupplýsinga. Þar segir í 1. mgr. að:
Bannað er að vinna persónuupplýsingar er varða kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu eða aðild að verkalýðsfélagi og að vinna erfðafræðilegar upplýsingar, lífkennaupplýsingar í því skyni að persónugreina einstakling með einkvæmum hætti, heilsufarsupplýsingar eða upplýsingar er varða kynlíf einstaklings eða kynhneigð.
Af þessu má sjá að sérstakir flokkar 9. gr. GDPR eiga margt skylt með viðkvæmum
persónuupplýsingum sem listaðar eru upp í 8. tl. 1. mgr. 2. gr. pul. Þá segir enn frekar
í 51. gr. aðfararorða GDPR að ef persónuupplýsingar eru í eðli sínu sérlega
viðkvæmar að því leyti er varðar grundvallarréttindi og mannfrelsi, skuli þær njóta
sérstakrar verndar.
3.2.3 Vinnsla persónuupplýsinga
3.2.3.1 Vinnsla persónuupplýsinga í pul.
Vinnsla persónuupplýsinga verður ávallt að lúta meginreglum 7. gr. pul. um gæði
gagna og vinnslu. Auk þess sem vinnslan þarf að eiga sér stoð í 8. gr. laganna ellegar
eftir atvikum 9. gr. þeirra.
Skv. 2. tl. 1. mgr. 2. gr. pul. er vinnsla sérhver aðgerð eða röð aðgerða þar sem unnið
er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn.
Ómögulegt er að telja upp með tæmandi hætti allar mögulega vinnsluaðferðir sem
kann að vera beitt á persónuupplýsingar. Áhugavert er að líta til þess að skv.
útskýringu í b-lið 2. gr. tilskipunar 95/46/EB sem er grundvöllur pul. hljóðar hún svo:
Vinnsla persónuupplýsinga („vinnsla“): aðgerð eða röð aðgerða, rafrænna eða annarra en rafrænna, svo sem með söfnun, skráningu,
74 sama heimild 71.
23
kerfisbinding, geymsla, aðlögun eða breyting, heimt, leit, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, afmáun eða eyðilegging.
Heimildir til lögmætrar vinnslu persónuupplýsinga er að finna í 6. gr. GDPR. Rétt er að
áætla af upptalningu b-liðar 2. gr. GDPR að túlka skuli hugtakið vinnslu mjög rúmt. Eitt
er þó afgerandi í upptalningunni. Það er að hugatakið nær aðeins yfir aðgerðir eða
athöfn í tengslum við persónuupplýsingar en ekki athafnaleysi.75 Ábyrgðaraðili sem
vinnur rafrænt með persónuupplýsingar skal skv. 1. mgr. 31. gr. pul. tilkynna
Persónuvernd um vinnsluna áður en hún hefst. Þegar metið er hvort vinnsla
persónuupplýsinga er samkvæmt lögum er vert að athuga að meta þarf hvern þátt
vinnslunnar og hver þáttur hennar þarf að vera samkvæmur lögum.76 Í 7. gr. pul. eru
settar fram grunnreglur sem gilda um alla vinnslu persónuupplýsinga. Þó er
athugunarvert að 7. gr. felur ekki í sér neinar heimildir til vinnslu persónuupplýsinga.
Öll vinnsla persónuupplýsinga verður að vera á grundvelli heimildar sem fyrirfinnst í 8.
eða 9. gr. pul. Vinnslan sem heimiluð er í 8. og 9. gr. verður að vera í samræmi við
efnisreglur 7. gr.
3.2.3.2 Vinnsla persónuupplýsinga í GDPR
Vinnsla í skilningi GDPR er sambærileg þeirri skilgreiningu sem finna má í 2. tl. 1. mgr.
2. gr. pul. en þó er gerð tilraun til að nefna mögulegar gerðir vinnslu en vísast til
orðanna svo sem í 2. tl. 4. gr. reglugerðarinnar sem vísbendingar um það að ekki skuli
telja möguleika til vinnslu tæmandi talda í ákvæðinu.
3.2.3.3 Lögmætur grundvöllur vinnslu GDPR.
Ábyrgðaraðilar þurfa að hafa á hreinu hver er lögmætur grundvöllur þeirrar vinnslu
sem þeir standa að, hvort sem þeir vinna sjálfir úr persónuupplýsingum eða aðrir
vinnsluaðilar á þeirra vegum sbr. 2. mgr. 5. gr. GDPR, áður hefur verið vikið að
lögmætum grundvelli vinnslu samkvæmt pul. Algengasta heimildin til vinnslu
persónuupplýsinga er samþykki.77
75 Sigrún Jóhannesdóttir (n. 5) 71. 76 Páll Hreinsson (n. 27) 13. 77 Persónuvernd, „Grundvallarhugtök“ (n. 65).
24
Þá er í 6. gr. GDPR kveðið á um hvaða skilyrði vinnslan þurfi að uppfylla til að teljast
lögmæt. Hún þarf samkvæmt 1. mgr. 6. gr. að uppfylla að lágmarki eitt skilyrði af þeim
sex mögulegu skilyrðum sem sett eru fram í a - f-liðum 1. mgr. 6. gr.
3.2.3.3.1 Samþykki í pul.
Öll vinnsla persónuupplýsinga verður sem áður segir í kafla 3.2.3.2 að lúta
meginreglum um gæði gagna og vinnslu sem finna má í 7. gr. pul. Þar að auki verður
að vera fyrir hendi heimild til vinnslunnar en tækar heimildir er að finna í 8. gr. pul. og
eftir atvikum ef um viðkvæmar persónuupplýsingar er að ræða 9. gr. laganna.
Samþykki er í framkvæmd algengasta heimildin til vinnslu persónuupplýsinga.78
Samþykki er samkvæmt 7. tl. 1. mgr. 2. gr. pul. sérstök, ótvíræð yfirlýsing sem
einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu
tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún
fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla
samþykki sitt o.s.frv. Álit 29. gr. starfshópsins nr. 15/2011 (WP187) leggur áherslu á
það hvenær yfirlýsing er gefin. Í álitinu eru talin upp skilyrði fyrir því að yfirlýsing feli í
sér samþykki. Hún þarf að hafa komið til áður en vinnsla hófst. Ef breyting verður á
tilgangi vinnslunnar þarf að afla nýs samþykkis samkvæmt áliti 29. gr. starfshópsins.
Samþykki í skilningi 7. tl. 2. gr. þarf að uppfylla nokkur skilyrði. Það þarf að vera sérstakt, ótvírætt og veitt af fúsum og frjálsum vilja. Þá þarf það að vera upplýst en til þess þarf hinum skráða að vera kunnugt um tilgang vinnslu, hvernig hún fari fram, hvernig persónuvernd verði tryggð og að sér sé heimilt að skipta um skoðun. Samþykki þarf ekki að vera skriflegt, þótt það geti verið æskilegt af sönnunarástæðum.79
3.2.3.3.2 Samþykki í GDPR
Ein af stóru breytingunum sem fylgja nýrri reglugerð eru auknar kröfur til samþykkis
vegna vinnslu á persónuupplýsingum.80 Í 11. tl. 4. gr. GDPR er samþykki skilgreint
sem:
78 sama heimild. 79 Sigrún Jóhannesdóttir (n. 5) 114. 80 Sally Annereau, „Understanding consent under the GDPR“ (TaylorWessing, nóvember 2016) <https://united-kingdom.taylorwessing.com/globaldatahub/article-understanding-consent-under-the-gdpr.html> skoðað 23. september 2017.
25
[Ó]þvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um hann sjálfan …
Kröfur til samþykkis hafa því aukist töluvert. Óþvinguð og sértæk, upplýst og ótvíræð
viljayfirlýsing felur í sér að hinn skráði þarf að hafa val um að samþykkja vinnsluna eða
ekki, yfirlýsingin þarf að vera skýr fyrir hverja aðferð, hvern þátt og hvern aðila
vinnslunnar enda þarf hún að vera sértæk. Hugtaksskilyrðið upplýst, felur í sér að
yfirlýsingin þurfi að bera þess vott að hinn skráði átti sig á hvað hann er að samþykkja,
hann viti eða geti áttað sig á hver mun meðhöndla upplýsingarnar og hver tilgangur
vinnslunnar er. Gert er að skilyrði í 3. mgr. 7. gr. GDPR að hinum skráða sé gerð grein
fyrir rétti hans til að draga samþykki sitt til baka hvenær sem er. Ótvíræð viljayfirlýsing
þýðir að liggja þarf skýrt fyrir hver vilji hins skráða er nákvæmlega um þá vinnslu sem
til stendur að framkvæma.81 Nánar er gerð grein fyrir samþykki í GDPR í kafla 4.5.2.
3.2.3.4 Aðrar heimildir til vinnslu í GDPR
Aðrar heimildir til vinnslu persónuupplýsinga byggja að mestu leyti á skyldu gagnvart
lögum, nauðsyn til að tryggja mikilvæga hagsmuni og nauðsyn til að samningur komi
til framkvæmda.82
Í b-lið 1. mgr. 6. gr. GDPR er til staðar heimild fyrir vinnslu á grundvelli þess að vera
nauðsynleg til að framkvæma samning og slíka heimild er að finna í b-lið 1. mgr. 6. gr.
Slíkt myndi þó ekki fela í sér nauðsyn til að gera persónusnið um viðkomandi. Til
dæmis mætti nefna að ef einstaklingur verslar vöru í netverslun og velur að greiða
með korti, þá er nauðsynlegt að ábyrgðaraðilinn, verslunin í þessu tilfelli fái
kortaupplýsingar viðkomandi, til að geta uppfyllt samninginn sem kemst á. Það felur
þó ekki í sér að versluninni sé nauðsyn að gera persónusnið um viðkomandi til að spá
fyrir um kauphegðun hans næst þegar hann heimsækir netverslunina til dæmis. Til
þess þyrfti sérstaka heimild og einhverskonar ákvæði um heimild til handa versluninni
til að gera persónusnið sem væri í smáaletrinu yrði ekki talið duga.83
81 sama heimild. 82 Alan Calder, EU GDPR: A Pocket Guide (2016) 39 <http://public.eblib.com/choice/publicfullrecord.aspx?p=4647636> skoðað 13. desember 2017. 83 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 21.
26
Vinnsla persónuupplýsinga getur að auki farið fram á grundvelli þess að hún sé
nauðsynleg til að vernda mikilvæga hagsmuni hins skráða eða annarra einstaklinga,
samanber d-lið 6. gr. GDPR. Sem dæmi um þetta má nefna útbreiðslu sjúkdóms sem
getur smitast hratt á milli manna og þá er oft mikilvægt að finna út hver er orðinn beri
sjúkdómsins og þeim upplýsingum verður stundum að deila á milli aðila til að auka
líkur á að hægt verði að koma böndum á útbreiðslu. Ef vinnslan eins og í dæminu um
útbreiðslu sjúkdóma byggir á heilsufarsupplýsingum um einstaklinga eða öðrum
viðkæmum persónuupplýsingum þá þarf vinnslan einnig að uppfylla skilyrði c-liðar 2.
mgr. 9. gr. GDPR. Þessu úrræði skal einungis beitt sem grundvelli vinnslu ef önnur
eru ekki tæk. Vinnsla til beitingar opinberu valdi og/eða með hagsmuni almennings að
leiðarljósi getur átt sér stað, samkvæmt e-lið 1. mgr. 6. gr. GDPR.
Vinnsla persónuupplýsinga á grundvelli lögmætra hagsmuna á rétt á sér samanber f-
lið 1. mgr. 6. gr. GDRP. Hins vegar er þörf á frekari skýringum um hvað felur í sér
lögmæta hagsmuni. Ekki er sjálfgefið að ef lögmætir hagsmunir eru í húfi að þá sé
vinnsla heimil. Heldur þarf að fara fram ákveðið hagsmunamat, á milli lögmætra
hagsmuna ábyrgðaraðila, vinnsluaðila eða þriðja aðila annars vegar og
grundvallarréttar hins skráða hins vegar. Þá kemur til skoðunar hversu nákvæm
flokkun hins skráða er, hversu víðtækt það er, áhrif þess á hinn skráða og þær
verndarráðstafanir sem gripið hefur verið til, með sanngirni og nákvæmni að leiðarljósi
og með það að markmiði að koma í veg fyrir mismunun.84
2.6.3 Ábyrgðaraðili
Um ábyrgðaraðila er fjallað í 4. tl. 1. mgr. 2. gr. pul., það er sá aðili sem ákveður tilgang
vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra
ráðstöfun upplýsinganna. Við athugun Persónuverndar er það yfirleitt fyrsta atriði sem
þarf að skoða hver ábyrgðaraðili á vinnslu upplýsinganna er. Enda veltur niðurstaðan
um hvort heimild var til vinnslu á því hver ábyrgðaraðilinn er.85 Ábyrgðaraðilum ber að
gæta þess að vinnsla persónuupplýsinga fari eftir lögum, áður en vinnsla
upplýsinganna hefst.86 Í tilskipun 95/46/EB, nánar tiltekið d-lið 2. gr. er ábyrgðaraðili
skilgreindur sem einstaklingur eða lögpersóna, opinbert yfirvald, stofnun eða annar
84 sama heimild 22. 85 Sigrún Jóhannesdóttir (n. 5) 85. 86 sama heimild 86.
27
aðili sem ákveður87, einn og sér eða í samvinnu við aðra, markmið og aðferðir við
vinnslu persónuupplýsinga. Nú sinnir ábyrgðaraðili ekki skyldum sem honum ber að
sinna, og getur hann þá bakað sér refsi- og/eða bótaábyrgð auk þess sem
Persónuvernd hefur heimild til að stöðva frekari vinnslu persónuupplýsinga og mælt
svo fyrir um að þeim upplýsingum sem unnar hafa verið skuli eytt, að heild eða hluta.
Persónuvernd getur einnig lagt bann við notkun upplýsinganna skv. 40. gr. pul.
Ábyrgðaraðili er sá sem ákvarðar tilgang og aðferðir við vinnslu persónuupplýsinga
skv. 7. tl. 4. gr. GDPR. Hugtakið ábyrgðaraðili hefur því ekki breyst að neinu marki
með tilkomu nýrrar reglugerðar. Ábyrgðaraðili er afar lýsandi hugtak, það er sá sem
ber ábyrgðina á meðhöndlun upplýsinganna.
Ábyrgðaraðila ber skv. 1. mgr. 15. gr. GDPR að upplýsa hinn skráða skv. a. lið 1. mgr.
um tilgang vinnslunnar og skv. b. lið um þá flokka persónuupplýsinga sem vinnslan
nær til. Fyrst skulu þessar upplýsingar veittar við upphaf söfnunar upplýsinganna frá
hinum skráða eða innan skynsamlegs tímaramma. Í 60. gr. aðfararorða er fjallað um
að upplýsa skuli hinn skráða svo vel um vinnslu persónuupplýsinga um hann að
sanngjarnt geti talist að vinnslan fari fram. Það veltur á eðli þeirra persónuupplýsinga
sem til stendur að vinna hversu mikla fræðslu þarf að veita hinum skráða um ferlið.
2.6.5 Vinnsluaðili
Um vinnsluaðila er fjallað í 5. tl. 1. mgr. 2. gr. pul. það er sá sem vinnur
persónuupplýsingar á vegum ábyrgðaraðila. Vinnsluaðili er háður því að ábyrgðaraðili
hafi heimildir til að gera það sem hann setur vinnsluaðila fyrir. Framsalið þarf þar að
auki að vera rétt úr garði gert, þ.e.a.s. lögmæti vinnslu vinnsluaðila á upplýsingum
getur ráðist á umboði því sem ábyrgðaraðili veitir vinnsluaðila. Samningur um vinnslu
persónuupplýsinga þarf að vera skriflegur. Í samningnum skal koma fram að
vinnsluaðila sé einungis heimilt að haga sér í samræmi við fyrirmæli ábyrgðaraðila.
Ákvæði pul. um skyldur ábyrgðaraðila gilda einnig um verk vinnsluaðila.88 Í 3. mgr. 13.
gr. pul. er skýrt kveðið á um að vinnsluaðila er einungis heimilt að vinna með
persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila, nema lög kveði á um
87 ART 29 WP, „Opinion 1/2010 on the concepts of „controller“ and „processor““ (16. febrúar 2010) 1/2010 7,8 <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf> skoðað 12. desember 2017. Þetta er nýjasta álit 29. gr. starfshópsins um hugtökin ábyrgðar- og vinnsluaðili. 88 sama heimild 25.
28
annað. Skilgreining á vinnsluaðila er sambærileg í 8. tl. 4. gr. GDPR. Þar er
vinnsluaðila lýst sem „aðila sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.“
Hver sem er getur raunar verið vinnsluaðili skv. 8. tl. 4. gr.: einstaklingur, lögaðili,
opinber aðili, sérstofnun eða annar aðili.
Vinnsluaðila er ætlað veigameira hlutverk með tilkomu GDPR. Samkvæmt 13. gr.
aðfararorða GDPR er lögð sambærileg ábyrgð á herðar vinnsluaðila og á herðar
ábyrgðaraðila. Með það að markmiði að samræma vernd einstaklinga. Þá bera
ábyrgðar- og vinnsluaðilar báðir ábyrgð á tjónum sem þeir kunna að valda með vinnslu
sem fer gegn ákvæðum GDPR, samanber 146. gr. aðfararorða GDPR. Ítarlega er gerð
fyrir reglum um vinnsluaðila í 28. gr. GDPR.
Kafli 4 - Gerð persónusniða 4.1 Inngangur Persónusnið fela það í sér að upplýsingar eru teknar, oft frá ýmsum stöðum og raðað
saman í einskonar bútasaumsteppi úr upplýsingum. Bútarnir í teppinu geta svo breyst
um leið og nýjar eða uppfærðar upplýsingar liggja til grundvallar. Þannig verður til
persónusnið sem felur í sér þau hugtaksskilyrði sem almennt eru lögð til grundvallar
í 4. tl. 1. mgr. 4. gr. GDPR, það er að sjálfvirk vinnsla persónuupplýsinga sem hefur
þann tilgang að meta persónulega þætti manneskju að einhverju leyti. Gerð
persónusniða er sjálfstæð birtingarmynd vinnslu persónuupplýsinga samanber 6. gr.
GDPR.
Gerð persónusniða er hægt að skipta upp í þrjú stig, í fyrsta lagi felur hún í sér
gagnaöflun, í öðru lagi sjálfvirka greiningu gagnanna til að skilgreina og finna fylgni í
upplýsingunum sem aflað hefur verið og í þriðja lagi heimfærslu fylgninnar á
einstakling til að álykta um hegðun hans hvort sem er í nútíð eða framtíð.89
Notkun persónusniða sem gerð hafa verið fer einkum fram með þrennum hætti. Í fyrsta
lagi er um að ræða almenna kortlagningu, í öðru lagi eru ákvarðanir gjarnan byggðar
á persónusniðum og í þriðja lagi eru ákvarðanir sem eru með öllu sjálfvirkar byggðar
89 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 7.
29
á persónusniðum, samanber 22. gr. GDPR en þær ákvarðanir verða efni næsta
kafla.90
Munurinn á því hvort notkun persónusniðs fellur undir annan eða þriðja flokk
endurspeglast í því hvort mannleg aðkoma er að endanlegri ákvörðun eður ei. Sem
dæmi um slíkt má nefna lánaumsókn. Ef það er starfsmaður lánastofnunnar sem
ákveður hvort umsókn um lán skuli samþykkt eða hafnað og mat hans byggir á
persónusniði sem var sjálfvirkt unnið upp úr persónuupplýsingum, þá er um að ræða
notkun persónusniðs sem fellur í annan flokkinn. Ef hins vegar algrímur (e. algorithm)
ákveður á grundvelli persónusniðs hvort lánið skuli veitt og kemur þeirri ákvörðun til
skila til umsækjanda, án mannlegrar aðkomu sem hefur einhverja þýðingu, þá er það
sjálfvirk ákvarðanataka sem fellur undir 22. gr. GDPR91 sem nánar verður vikið að í
kafla 5.3.
Almennt séð er gerð persónusniða ekki eins gagnsæ og önnur vinnsla
persónuupplýsinga. Þó gerð persónusniða byggi á hlutlausu ferli þá getur
ábyrgðaraðili notað persónusnið til að taka ákvarðanir um einstaklinga sem geta
reynst afdrifamiklar og hugsanlega haft ófyrirséðar afleiðingar. Gerð persónusniða
getur ýtt undir staðalímyndir, skiptingu og flokkun í samfélaginu sem og skert valfrelsi
einstaklings, auk þess að minnka líkurnar á jöfnum tækifærum. Í persónusniðinu sjálfu
felast nýjar persónuupplýsingar sem verða að falla að reglum GDPR.92
Fyrirtæki, stofnanir eða aðrir haghafar kunna að telja að gerð persónusniða sé þeim
til hagsbóta. Það er þó engin trygging fyrir því að hún sé sanngjörn gagnvart hinum
skráða. Né takmarkar það skyldur ábyrgðaraðila til að veita upplýsingar um vinnsluna
og rétt einstaklinga í sambandi við hana. Gerð persónusniða getur haft áhrif jafnvel þó
engar ákvarðanir séu byggðar á framkvæmdinni. Slíkt gæti t.d. átt við söfnun
upplýsinga sem ekki eru notaðar en hugsanlega hafa fjárhagslegt gildi.93
90 sama heimild 8. 91 sama heimild. 92 ICO, „ICO´s Feedback request - profiling and automated decision-making“ (6. apríl 2017) 9 <https://ico.org.uk/media/about-the-ico/consultations/2013894/ico-feedback-request-profiling-and-automated-decision-making.pdf> skoðað 13. desember 2017. 93 sama heimild 6.
30
4.2 Persónusnið í íslenskum rétti í dag Í pul. er einungis að finna eina grein sem fjallar um persónusnið, 23. gr. Í henni er því
að finna útlistun á þeim leiðum sem tækar eru til að gera persónusnið.
Það fyrsta sem gera þarf til að tryggja að persónusið séu gerð með lögmætum hætti
samkvæmt pul., er að byrja á að tryggja að vinnsla persónuupplýsinganna sem
persónusniðið á að grundvallast á standist þær lágmarkskröfur sem pul. gera. Þær
eru, að vinnslan standist meginreglurnar sem finna má í 7. gr. pul. og að hún
grundvallist á einhverjum þeim heimildum sem finna má í 8. eða 9. gr. pul.
Í 1. mgr. 23. gr. pul. er útlistað að persónusnið skilgreini tiltekið hátterni, smekk,
hæfileika eða þarfir og þegar það er lagt til grundvallar við annað hvort sértæka
ákvörðun samkvæmt 9. tl. 1. mgr. 2. gr. laganna eða þegar persónusnið er notað til
að nálgast hinn skráða, velja úrtak, markhóp og svo framvegis. Í þessari vinnslu
persónuupplýsinga felst samkvæmt athugasemdum við frumvarp til pul. meðal annars
að finna hóp fólks sem fellur í eitthvað sameiginlegt form. Dæmi er tekið í
athugasemdunum við frumvarpið um fólk sem vinnur eftir klukkan 19:00 þrisvar í viku
og hefur meira en 100.000 kr. í mánaðarlaun og býr í tilteknu hverfi. Mynstrið sem hér
er hefur verið sett upp býr til hóp fólks, hóp sem hugsanlega gæti viljað nýta sér tiltekna
pöntunarþjónustu.94 Persónusnið eru einkum notuð til að finna og greina markhópa en
þau eru einnig notuð víðar. Til dæmis við töku sértækra ákvarðana eins og um
lánveitingar samanber umfjöllun um Creditinfo Lánstraust hf. síðar í þessum kafla.
Þá getur Persónuvernd ákveðið að ábyrgðaraðili vinnslunnar geri hinum skráða
viðvart. Þegar henni berst tilkynning um slíka vinnslu, hvaða upplýsingar
ábyrgðaraðilinn noti og hvaðan þær koma. Persónuvernd skal samkvæmt 2. mgr. 23.
gr. pul. meðal annars líta til þess og meta hvort viðvörun sem getið er í 1. mgr. 23. gr.
sé óframkvæmanleg eða til þess fallin að leggja þyngri byrgðar á ábyrgðaraðila en
sanngjarnt sé. Við mat á því hvort viðvaranir skuli sendar út samkvæmt 2. mgr. getur
Persónuvernd lagt til grundvallar ályktun sína um það hvort ætla megi að hinum skráða
hafi þegar borist viðvörun vegna vinnslunnar.95 Það myndi ekki teljast hafa áhrif á
skylduna til viðvörunar þótt hluti vinnslunnar hefði verið handunnin. Ákvæði 23. gr. pul.
er ætlað að leggja frekari skyldur á ábyrgðaraðila, fram yfir þær sem þegar gilda um
94 Alþt. 1999-2000, A-deild, 2734, 2735. 95 Alþt. 1999-2000, A-deild, 2734, 2735.
31
vinnslu í 20., 21. og 22. gr. pul. Í þeim ákvæðum felast skyldur til að fræða og upplýsa
hinn skráða um tiltekna vinnslu persónuupplýsinga, þar með talið gerð persónusniða
og réttur hans til að krefjast rökstuðnings vegna sértækra ákvarðana sem byggjast á
sjálfvirkri upplýsingavinnslu.96
Tilkynningarskylda er lögð á ábyrgðaraðila í 1. mgr. 31. gr. pul., vinni hann
persónuupplýsingar með rafrænni tækni og með heimild í 8. gr. eða 1. mgr. 9. gr. pul.
Af ákvæðum 23. gr. og 31. gr. pul. leiðir að gerð og notkun persónusniða er
tilkynningarskyld. Ábyrgðaraðilanum ber að upplýsa hinn skráða um notkun
persónusniða, hvaðan þau eru fengin, tegund þeirra upplýsinga sem notaðar eru og
hver er ábyrgðaraðili fyrir persónusniðinu.97 Gildir 23. gr. bæði um notkun
persónusniða við töku sértækra ákvarðana og sem dæmi þegar gera á úrtak vegna
markaðssetningar eða skoðanakannana. Þá þarf ekki að gera grein fyrir hvers vegna
hinn skráði fellur undir tiltekið persónusnið.98 Tilkynna skal til Persónuverndar vinnslu
persónuupplýsinga með rafrænum hætti samanber 1. mgr. 31. gr. og allar breytingar
sem verða á vinnslunni frá því sem greinir í upphaflegri tilkynningu. Samkvæmt 2. mgr.
getur Persónuvernd tekið af skarið og ákveðið að vissar tegundir vinnslu almennra
upplýsinga séu undanþegnar tilkynningarskyldu eða að um þær gildi einfaldari
tilkynningarskylda, þá getur Persónuvernd ákveðið í fyrirmælum meðal annars hvernig
tryggt sé að hinn skráði geti nýtt réttindi sín samkvæmt lögunum, meðal annars til að
hætta þátttöku í verkefnum og eftir atvikum fá eytt skráðum persónuupplýsingum og
fleira sem finna má í 2. mgr. 35. gr. pul. Á hinn bóginn getur Persónuvernd einnig
samkvæmt 2. mgr. 31. gr. ákveðið að tilkynning ein og sér dugi ekki í vissum tilfellum
heldur þurfi að sækja um leyfi fyrir vinnslunni. Persónuvernd getur einnig mælt fyrir um
ráðstafanir sem ætlað er að draga úr óhagræði sem rafræn vinnsla persónuupplýsinga
kann að hafa í för með sér fyrir hinn skráða.
Ekki verður séð af athugun á réttarframkvæmd að reynt hafi á 23. gr. pul. með nokkrum
hætti, nema að undanskildum tveimur atvikum þar sem Persónuvernd hafði aðkomu
að máli.
96 Alþt. 1999-2000, A-deild, 2734, 2735. 97 sama heimild. 98 sama heimild.
32
Þar er í fyrsta lagi um að ræða kvörtun frá einstakling síðan í mars árið 2008 og erindi
sem barst frá Neytendasamtökunum á sama tíma um sama efni. Umkvörtunarefnið
voru nýir kortaskilmálar Kaupþings sem áttu að taka gildi 10. mars 2008. Þeir sneru
að gerð persónusniða, auk þess að fjalla um rétt Kaupþings til að hafa samband við
korthafa með SMS skilaboðum. Sá hluti sem sneri að persónusniðum var
svohljóðandi:
Korthafi veitir Kaupþing heimild til að vinna persónuupplýsingar til þess að búa til persónusnið. Persónusnið verður til þegar persónuupplýsingum er steypt saman til að finna hóp fólks sem fellur inn í sameiginlegt mynstur að því er varðar hátterni og þarfir. Korthafi veitir Kaupþingi heimild til að vinna persónuupplýsingar í persónusnið í þeim tilgangi að geta haft samband við og boðið korthafa vörur og þjónustu með samstarfsaðilum sem tekur mið af framangreindri vinnslu persónuupplýsinga. Heimildin til vinnslu gildir í 5 ár en Kaupþingi er heimilt að vinna upplýsingarnar áfram eftir að þær hafa verið gerðar ópersónugreinanlegar.99
Persónuvernd óskaði eftir afstöðu Kaupþings vegna fram kominnar kvörtunar. Nánar
til tekið var óskað eftir afstöðu Kaupþings til lögmætis vinnslunnar, þ.e. hvort bankinn
teldi skilmálana standast 7. – 9. gr. pul. Ennfremur var kallað eftir afstöðu Kaupþings
til þess að fresta gildistöku skilmálanna sem kvörtunin beindist að meðan á afgreiðslu
málsins stæði. Í svari Kaupþings kom fram að skilmálarnir yrðu ekki látnir taka gildi.
Persónuvernd sá þar með ekki ástæðu til að aðhafast neitt frekar og tók ekki afstöðu
til þess hvort skilmálarnir stæðust pul.
Í öðru lagi er ákvörðun Persónuverndar frá 12. október 2011 í máli nr. 2011/968.100
Þar hafði Creditinfo Lánstraust hf. selt upplýsingar um áhættumat á einstakling. Þar
hafði Creditinfo gert áhættumat á greiðslugetu einstaklings sem byggði á söfnun og
skráningu upplýsinga er vörðuðu fjárhag og lánstraust hans. Fyrirætlan Creditinfo með
gerð áhættumatsins var að selja það til annars aðila. Slík vinnsla, það er söfnun og
skráning fjárhagsupplýsinga og lánstraust, sem hefur þann tilgang að verða söluvara
þarf að byggjast á starfsleyfi Persónuverndar samkvæmt 1. mgr. 2. gr. reglugerðar nr.
246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust sem á
sér stoð í 45. gr. pul. Creditinfo Lánstraust hf. hafði leyfi samkvæmt fyrrgreindum
ákvæðum. Svo segir í ákvörðun Persónuverndar:
99 Persónuvernd, „Kortaskilmálar Kaupþings“ (Persónuvernd. Þínar upplýsingar, þitt einkalíf., 22. apríl 2008) <https://www.personuvernd.is/efst-a-baugi/nr/760> skoðað 22. nóvember 2017. 100 Ákvörðun Persónuverndar 11. október 2011 í máli nr. 2011/968.
33
Varðandi þá vinnslu, sem um ræðir í máli þessu, verður hins vegar að líta til 1. mgr. 1. gr. áðurnefndrar reglugerðar, en þar segir að hún taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi. Gerð áhættumats, sem felur í sér gerð slíkra skýrslna, er því ekki leyfisskyld. Hún er hins vegar tilkynningarskyld og ber félaginu að senda um hana sérstaka tilkynningu í samræmi við 31. gr. [pul.].
Vinnsla persónuupplýsinga í tengslum við gerð áhættumats verður að fullnægja öllum kröfum [pul.]. það felur m.a. í sér að fullnægt þarf að vera einhverju skilyrðanna í 1. mgr. 8. gr. laganna eins og ávallt við vinnslu persónuupplýsinga.
Hægt var að heimfæra vinnsluna undir 1. mgr. 8. gr. Evróputilskipunar nr. 48/2008/EB
um neytendalánasamninga. Þar var kveðið á um skyldu til að tryggja að áður en
lánssamningur væri gerður yrði lánshæfi neytanda metið á grundvelli fullnægjandi
gagna. Þrátt fyrir að tilskipunin hefði ekki verið komin inn í íslenskan rétt á þeim tíma,
hún hafði verið tekinn upp í EES-samninginn og að virtum efnislegum ákvæðum
hennar taldi Persónuvernd að fallast mætti á gerð áhættumatsins þegar sótt hefur
verið um neytendalán, geta átt sér stoð í 2. tl. 1. mgr. 8. gr. pul.,101 enda grundvallist
vinnslan á beiði hins skráða áður en samið er um lánveitingu hjá fyrirtæki sem lýtur
eftirliti Fjármálaeftirlitsins og neytandinn hefur fengið viðeigandi fræðslu um vinnsluna.
Lánveitandi skal veita hinum skráða fullnægjandi fræðslu, þ. á. m. um notkun áhættumats og hvaðan það komi. Creditinfo Lánstraust hf. ber ábyrgð á gæðum áhættumatsins og áreiðanleika. Því ber að gera hinum skráða aðvart um að það hafi verið gert áhættumat á honum og bjóða honum að fá afrit af því.
Creditinfo Lánstraust hf. ber að senda Persónuvernd tilkynningu um gerð áhættumats í samræmi við 31. gr. [pul.]. Sama á við um einstaka lánveitendur sem afla slíkra persónuupplýsinga um einstakling og vinna með þær.
Í þessari vinnslu Creditinfo Lánstraust felst gerð persónusniða. Slík vinnsla kann að
vera tilkynningarskyld samanber tilvitnun.
4.4 Persónusnið í GDPR
4.4.1 Almennt
Í GDPR er að finna fjölmörg nýmæli sem taka til persónusniða. Þau standa sjálfstætt
sem tegund vinnslu persónuupplýsinga en geta einnig verið grundvöllur sjálfvirkra
101 2. tl. 1. mgr. 8. gr. pul. kveður á um að vinnsla persónuupplýsinga sé heimil, enda sé hún nauðsynleg til að efna samning sem hinn skráð er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.
34
ákvarðana í samræmi við 22. gr. GDPR. Reglurnar um persónusnið miða að því að
þau séu gerð á sanngjarnan hátt og að vinnslan sem í gerð þeirra felst standist kröfur
sem almennt eru gerðar þegar vinnsla persónuupplýsinga er annars vegar. Vinnslan
þarf að ganga í gegnum hagsmunamat. Vinnslan felur í sér inngrip í friðhelgi einkalífs
og grundvallarréttindi hins skráða. Jafnvægi þarf að vera á milli þess inngrips sem felst
í vinnslunni og þeirra hagsmuna sem ábyrgðaraðili hefur af vinnslunni. Vegna þess að
persónusnið eru raunar ein tegund almennrar vinnslu persónuupplýsinga er athugunin
gerð á vinnslu persónuupplýsinga almennt en áhersla á gerð persónusniða. Í þessum
kafla verður tekin til skoðunar sú skilgreining á gerð persónusniða sem felst í GDPR,
eins verða heimildir til vinnslu persónuupplýsinga raktar, meginreglur þar að lútandi
teknar til skoðunar, vinnsla viðkvæmra persónuupplýsinga verður athuguð og að
lokum verður notkun persónusniða tekin fyrir.
4.4.1 Skilgreining
Skilgreininguna á persónusniða, er eins og áður segir að finna í 4. mgr. 4. gr.
reglugerðarinnar:
[G]erð persónusniðs: hvers kyns sjálfvirk vinnsla persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika.
Þessi skilgreining leggur þrjá þætti til grundvallar. Það er í fyrsta lagi að um sjálfvirka
vinnslu sé að ræða, í öðru lagi að um vinnslu persónuupplýsinga sé að ræða sem og
í þriðja lagi að mat á persónuþætti manneskju fari fram.102 Þá verður ekki ályktað sem
svo að um tæmandi talningu persónuþátta sé að ræða í skilgreiningunni en þeir sem
taldir eru upp geta gefið vísbendingar um hvers eðlis persónusnið eru og gerð þeirra.
Í 4. mgr. segir að einkum sé um að ræða aðferð til:
[A]ð greina eða spá fyrir um þætti er varða frammistöðu hans [hins skráða] í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu og hreyfanleika.
Ekki verður séð af skilgreiningunni að mannleg aðkoma að gerð persónusniða geri
það að verkum að vinnslan falli utan skilgreiningar á hugtakinu persónusnið.103 Hins
102 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 6. 103 sama heimild.
35
vegar er ljóst af skilgreiningunni að einhvers konar sjálfvirk vinnsla persónuupplýsinga
verður að eiga sér stað.104 Fullkomlega handvirk vinnsla yrði ekki felld undir
skilgreininguna að mati höfundar.
Það eitt að flokka einstaklinga út frá grunnupplýsingum svo lengi sem þær teljast
persónuupplýsingar, gæti falli undir gerð persónusniða. Það þarf ekki að vera
tilgangurinn að spá fyrir um hegðun einstaklinganna. Enda er það ekki hugtaksskilyrði
að forspá um framtíðar persónuþætti felist í persónusniðum. Því má telja að einföld
flokkun eftir aldri, kyni og hæð geti talist til gerðar persónusniða.105
Túlka má 4. mgr. 4. gr. GDPR sem svo að notkun og mat á þekktum staðreyndum um
einhvern og greining eða forspá byggð á þeim staðreyndum er grundvöllur ákvörðunar
sem beinist að þeim einstaklingi. Í þessu felst greining á persónulegum þáttum sem
og vinnsla sem hefur gildi forspár. Ábyrgðaraðili eða vinnsluaðili gætu þannig notað
upplýsingar sem hinn skráði hefur beinlínis látið í té og staðfastlega eru réttar. Þessar
upplýsingar frá hinum skráða mætti svo samtvinna opinberum gögnum sem dæmi.106
Það er hugtaksskilyrði fyrir gerð persónusniða að mat fari fram. Í 60. og 63. gr.
aðfararorða GDPR er hinum skráða er tryggður réttur til upplýsinga um afleiðingar
gerðar persónusniða. Sem dæmi má nefna að hinn skráði fái upplýsingar um að hann
falli innan ákveðins markhóps vegna þess að hann sé á þennan eða annan veg. Eins
og dæmið sem áður hefur verið notað, starfsmaður sem starfar að lágmarki þrjú kvöld
í viku eftir klukkan 19:00 og hefur yfir 100.000 kr. í mánaðarlaun og býr í ákveðnu
hverfi og að þær staðreyndir þýði eitthvað ákveðið fyrir hinn skráða. Um réttindin
skráðra einstaklinga verður nánar fjallað í kafla 6.3.
4.5 Heimild til vinnslu persónuupplýsinga Gerð persónusniða sem slík er ein birtingamynd af vinnslu persónuupplýsinga. Eins
og á við um aðra vinnslu persónuupplýsinga, þá þarf gerð persónusniða að fara fram
í skjóli heimildar fyrir vinnslunni. Um lögmæti almennrar vinnslu er fjallað í 6. gr. GDPR.
104 Rita Heimes, „Top 10 operational impacts of the GDPR: Part 5 - Profiling“ <https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-5-profiling/> skoðað 27. september 2017. 105 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 7. 106 ICO (n. 92) 8.
36
Í a – f-liðum 1. mgr. 6. gr. GDPR er kveðið á um heimildir til vinnslu persónuupplýsinga.
Nánar verður gerð grein fyrir hverri heimild til gerðar persónusniða í næstu köflum.
4.5.1 Meginreglur um vinnslu persónuupplýsinga
Auk þess að grundvallast á heimild í 6. gr. GDPR þarf vinnsla persónuupplýsinga að
lúta meginreglum þeim sem finna má í 5. gr. GDPR. Í þessum kafla er ætlunin að fjalla
um þær meginreglur sem finna má í 5. gr. um vinnslu persónuupplýsinga með áherslu
á gerð persónusniða. Eins og áður hefur verið útlistað er gerð persónusniða eitt form
vinnslu persónuupplýsinga og því rétt að álykta sem svo að meginreglur þær sem
almennt gilda um vinnslu persónuupplýsinga eigi við um gerð persónusniða. Nema þá
að annað sé tekið fram. Þessu til stuðnings vísast til 72. gr. aðfararorða GDPR sem
segir:
Gerð persónusniðs fellur undir reglurnar um vinnslu persónuupplýsinga í þessari reglugerð, m.a. hvað varðar lagagrundvöll vinnslunnar eða meginreglur um persónuvernd.
Þegar kemur að meginreglum um vinnslu persónuupplýsinga er rétt að byrja á þeirri í
4. gr. aðfararorða GDPR. Þar er kveðið á um að vinnsla persónuupplýsinga ætti alltaf
að hafa það að markmiði að þjóna mannkyninu. Ígrunda þurfi vel hlutverk
persónuupplýsinga og vernd þeirra í samfélaginu og vega og meta réttinn til verndar
persónuupplýsingum með tilliti til meðalhófsreglunnar.
Í 26. gr. aðfararorðanna, segir að „meginreglur um persónuvernd ættu að gilda um
hvers kyns upplýsingar varðandi persónugreindan eða persónugreinanlegan
einstakling.“
Meginreglum á sviði persónuverndar er því ætlað viðamikið hlutverk. Bæði er þeim
ætlað að ná utan um alla leikendur og gerendur á sviði persónuverndar sem og að
vinna að því að vernda samfélagið og þjóna mannkyninu, göfugt markmið. Þeim er þó
ekki ætlað að ná til ópersónugreinanlegra upplýsinga samanber 5. málsl. 26. gr.
aðfararorðanna.
Af 72. gr. aðfararorða er ljóst að 5. gr. GDPR um vinnslu persónuupplýsinga á við,
sem og 6. gr. GDPR um lögmæti vinnslunnar. Í 5. gr. er farið yfir helstu meginreglur
og skilyrði fyrir vinnslu persónuupplýsinga, þ.e. hvers eðlis upplýsingarnar þurfa að
37
vera ásamt vinnsluháttum. Í a-lið 1. mgr. 5. gr. eru talin upp skilyrði sem vinnsla
persónuupplýsinga þarf að uppfylla, þær ber að vinna með lögmætum, sanngjörnum
og gagnsæjum hætti gagnvart hinum skráða. Þá segir í 39. gr. aðfararorðanna að
gagnsæi í þessu samhengi eigi einkum við upplýsingar til hins skráða um hver sé
ábyrgðaraðili, tilgang vinnslunnar og aðrar frekari upplýsingar sem miða að því að gera
vinnsluna gagnsæja fyrir hinn skráða.
Í b-lið er fjallað um tilurð upplýsinganna og vinnslu þeirra en þær skulu fengnar í skýrt
tilgreindum og lögmætum tilgangi og ekki unnar frekar á þann hátt að ósamrýmanlegt
sé þeim tilgangi; frekari vinnsla persónuupplýsinga vegna skjalavistunar í þágu
almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum
tilgangi skal, í samræmi við 1. mgr. 89. gr., ekki teljast ósamrýmanleg upphaflegum
tilgangi. Þá skal einungis heimilt að vinna persónuupplýsingar í öðrum tilgangi en
upphaflega var markmiðið við söfnun þeirra ef sá síðari samrýmist þeim upprunalega
samanber 50. gr. aðfararorðanna.
Kveðið er á um lágmarkskröfur til persónuupplýsinga sem vinna á í c-, og d-lið:
upplýsingarnar skulu vera nægilegar, viðeigandi og takmarkast við það sem
nauðsynlegt er miðað við tilganginn með vinnslunni. Þar undir fellur vinnsla sem er
nauðsynleg til að vernda hagsmuni sem varða líf hins skráða eða annars einstaklings
samkvæmt 46. gr. aðfararorðanna. Hvað varðar meginregluna í c-lið 1. mgr. 5. gr. þá
nær þetta einna helst til geymslutíma upplýsinganna og þess áskilanaðar að hann sé
í lágmarki samanber 39. gr. aðfararorðanna. Eins skulu þær vera áreiðanlegar og ef
nauðsyn krefur, uppfærðar; gera skal allar eðlilegar ráðstafanir til að tryggja að
persónuupplýsingum, sem eru óáreiðanlegar, með hliðsjón af tilganginum með vinnslu
þeirra verði eytt eða þær leiðréttar án tafar. Notagildi upplýsinganna á að vera ljóst við
söfnun og ekki má safna upplýsingum sem hugsanlega verða notadrjúgar seinna.107
Í f-lið 1. mgr. 5. gr. er fjallað um að upplýsingar skulu unnar með það að leiðarljósi að
viðeigandi öryggi sé tryggt, þar með talið að óleyfileg eða ólögmæt vinnsla fari ekki
fram. Einnig að unnið verði gegn glötun, eyðileggingu eða tjóni sem kemur til fyrir
107 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 19.
38
slysni. Til að reyna að koma í veg fyrir þetta skulu vera til staðar viðeigandi tæknilegar
og skipulagslegar ráðstafanir.
Ábyrgðin fyrir því að vinnsla fari fram samkvæmt 1. mgr. 5. gr. er í 2. mgr. lögð á
ábyrgðaraðilann. Skal ábyrgðaraðilinn geta sýnt fram á fylgni við reglur 1. mgr.
4.5.2 Samþykki sem heimild til grundvallar vinnslu persónuupplýsinga
Samþykki er eins og áður segir algengasta heimildin til vinnslu persónuupplýsinga en
alls ekki sú eina.108 Samþykki er ein leið fyrir hinn skráða til að hafa stjórn á vinnslu
upplýsinga um sig, þegar vinnsla byggir á samþykki hefur hann valið.109 Í samhengi
við gerð persónusniða er mikilvægt að athuga hvernig samþykki fyrir þeirri vinnslu
getur komið til. Skilyrði samþykkis eru sett fram í 11. mgr. 4. gr. GDPR. Þar segir:
[S]amþykki skráðs einstaklings: óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um hann sjálfan.
Samþykkið þarf að lúta sérstaklega að gerð persónusniðs, almennt samþykki til
vinnslu persónuupplýsinga dugar ekki til.110 Það þarf með öðrum orðum að upplýsa
hinn skráða um að samþykki hans feli í sér að heimilt verði að gera persónusnið sem
grundvallast á persónuupplýsingum þeim sem hann hefur veitt samþykki fyrir.111 Við
þetta tilefni er ábyrgðaraðilum rétt að hafa hugfastan þann boðskap sem fram kemur
í 58. gr. aðfararorða GDPR um skýrleika upplýsinga til hins skráða þær skulu vera
gagnorðar, aðgengilegar og auðskiljanlegar, á skýru og einföldu máli og skal
sjónrænum aðferðum beitt ef við á.
Samþykki telst ekki vera óþvingað ef það er ekki hægt veita samþykki fyrir einstaka
hluta vinnslunnar heldur verður að samþykkja alla vinnsluna sem ábyrgðaraðili óskar
108 Persónuvernd, „Grundvallarhugtök“ (n. 65). 109 European Digital Rights, „GDPR Key Issues Explained“ 4 <https://edri.org/files/GDPR-key-issues-explained.pdf> skoðað 11. desember 2017. 110 ART 29 WP, „Guidelines on Consent under Regulation 2016/679“ (28. nóvember 2017) WP259 12 <http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48849>. 111 Andrej Savin, „Profiling and Automatic Decision Making in the Present and New EU Data Protection Frameworks“ 7 <http://openarchive.cbs.dk/bitstream/handle/10398/8914/Savin.pdf?sequence=1> skoðað 29. október 2017.
39
samþykkis fyrir í heild. Eins er mikilvægt að hinn skráði einstaklingur hafi möguleika á
að draga samþykki sitt til baka hvenær sem er.112
Til að samþykki geti talist sértækt þá þarf að vera ljóst við veitingu þess, hvaða vinnslu
hinn skráði er að samþykkja. Þegar tilgangur vinnslu er margþættur, þá skal samþykki
liggja fyrir, fyrir hvern þátt hennar. Ef ætlunin er að vinna viðkvæmar
persónuupplýsingar þá þarf sérstakt samþykki fyrir því sem er ekki hluti af öðru
samþykki.113
Í skilgreiningunni á samþykki felst að það þarf að vera upplýst. Til þess að samþykki
geti talist upplýst þarf að liggja fyrir hver ábyrgðaraðilinn er og hver tilgangur
vinnslunnar er. Ekki má felast í samþykkinu óþarft rask á þeirri þjónustu sem
ábyrgðaraðilinn er að veita hinum skráða. Hinum skráða skal vera ljóst hvernig vinnslu
er háttað og á hvaða heimildum er byggt hverju sinni. Beiðnin um samþykki fyrir
vinnslu persónusniða skal ekki vera umlukin öðrum skilmálum heldur standa ein og
sér.114
Viljayfirlýsingin sem lýst er í skilgreiningu samþykkis hér að ofan og í 11. mgr. 4. gr.
GDPR er kjarni málsins. Aðferðin við að veita samþykki, það er að setja fram
viljayfirlýsingu sem er óþvinguð, sértæk, upplýst og ótvíræð getur verið mjög formleg.
Þá gæti hún farið fram með þeim hætti að hinn skráði undirriti formlega viljayfirlýsingu
sem uppfyllir allar kröfur sem eru gerðar, raunveruleg eða rafræn undirskrift hins
skráða gæti verið ein leiðin til að veita samþykki. Á hinn bóginn gæti samþykki verið
veitt í verki.115
Aðfararorð GDPR veita frekari skýringar á því hvernig samþykki skal veitt. Í 32. gr.
aðfararorðanna er tekið af skarið um veitingu samþykkis í verki. Þar segir að veiting
samþykkis sem uppfyllir kröfur 11. mgr. 4 gr. GDPR, gæti falið í sér:
[A]ð haka við reit þegar farið er inn á vefsetur á Netinu, velja tæknilegar stillingar fyrir þjónustu í upplýsingasamfélagi eða aðra yfirlýsingu eða
112 Information Commissioner Isle of Man, „Consent“ <https://www.inforights.im/information-centre/data-protection/the-general-data-protection-regulation/gdpr-in-depth/principles/lawfulness-fairness-and-transparency/lawfulness/consent/> skoðað 27. nóvember 2017. 113 sama heimild. 114 ART 29 WP, „Guidelines on Consent under Regulation 2016/679“ (n. 110) 13. 115 Savin (n. 111) 10.
40
athöfn sem gefur skýrt til kynna í þessu samhengi að skráður einstaklingur samþykki fyrirhugaða vinnslu á persónuupplýsingum. Þögn, reitir sem þegar er búið að haka við eða aðgerðarleysi ætti því ekki að fela í sér samþykki.
Í þessari lýsingu felast nokkur grunnatriði er varða veitingu samþykkis í verki. Það
liggur ljóst fyrir að athafnar er þörf til að hinn skráði geti talist hafa veitt samþykki sitt,
athafnaleysi getur ekki jafngilt samþykki. Það er því skilyrði að athöfn komi til frá hendi
hins skráða. Að öðru leyti er ekki gerð frekari krafa til hins skráða um samþykkið, það
er svo á ábyrgð ábyrgðaraðila að tryggja að upplýsingarnar til hins skráða um hvað
hann er að samþykkja séu skýrar og samþykkið sé óþvingað. Munnlegt samþykki
kemur því til vel til greina, að því gefnu að það uppfylli að öðru leyti skilyrði 11. mgr. 4.
gr.116
Í 42. gr. aðfararorða GDPR er sönnunarbyrðinni fyrir því að samþykki hins skráða
standist kröfur sem gerðar eru til þess, varpað á ábyrgðaraðila. Þar segir enn frekar:
Til þess að samþykki teljist upplýst ætti skráður einstaklingur að vita deili á a.m.k. ábyrgðaraðilanum og vera kunnugt um tilgang þeirrar vinnslu sem persónuupplýsingunum er ætlað að þjóna.
Í því ljósi að sönnunarbyrðin er á ábyrgðaraðilanum er rétt að athuga möguleikana til
sönnunar á munnlegu samþykki fyrir vinnslu persónuupplýsinga. Það væri því
ábyrgðaraðilanum í hag að notast sem minnst við munnlegt samþykki sem heimildir til
vinnslu. Enda almennt erfitt að sanna tilvist upplýsts samþykkis sem munnlega var
gefið.
Samþykki þarf að vera til staðar við gerð persónusniða þegar þau grundvallast á
viðkvæmum persónuupplýsingum samanber a-lið 2. mgr. 9. gr. GDPR, þó að því gefnu
að aðrir stafliðir 2. mgr. heimili ekki gerð persónusniða. Samþykki þarf einnig að vera
til staðar ef á að taka sjálfvirkar ákvarðanatökur á grundvelli persónusniðs samanber
c-lið 2. mgr. 22. gr. nema þá að a eða b-liður 2. mgr. eigi við og að því gefnu að
ákvarðanatakan geti skorið úr um réttaráhrif eða sambærilega mikilsverð efni fyrir hinn
skráða, samanber 1. mgr. 22. gr.
116 Information Commissioner Isle of Man (n. 112); ART 29 WP, „Guidelines on Consent under Regulation 2016/679“ (n. 110) 16.
41
4.5.3 Vinnsla nauðsynleg vegna framkvæmdar samnings
Gerð persónusniða getur grundvallast á samningum milli ábyrgðaraðila og hins
skráða. Þá er vinnslan nauðsynleg vegna framkvæmdar samnings, nú eða í þágu
nauðsynlegrar undirbúningsvinnu svo að samningur geti komist á, líkt og segir í 44.
gr. aðfararorðanna við GDPR að „Vinnsla [persónuupplýsinga] ætti að teljast lögmæt
þegar hún er nauðsynleg í tengslum við samning eða fyrirætlun um að gera samning.“
Mörkin á milli þess hvenær hinn skráði er að veita samþykki fyrir vinnslunni og hvenær
hún byggir á samningi geta verið óskýr. Eðli þeirra aðstæðna sem leiða til þess að
samningur kemst á eða er líklegur til að komast á er sennilega helsti greinarmunurinn
á þessum tveimur heimildum til vinnslu. Telja má að þegar um samning er að ræða þá
geti frumkvæðið á samningsumleitan komið frá báðum aðilum, það er að segja bæði
frá hinum skráða og ábyrgðaraðilanum. Þegar um samþykki er að ræða er líklegra
hinn skráði vilji nýta þjónustu sem stafar frá ábyrgðaraðilanum og þá komi frumkvæðið
fyrir vinnslunni frá ábyrgðaraðilanum. Sem dæmi um þetta má nefna samfélagsmiðla,
þegar einstaklingur skráir sig þar inn er hann ekki beinlínis að gera samning um vinnslu
persónuupplýsinga heldur getur hann valið um að veita samþykki fyrir vinnslu þeirra.
Heimildina til að vinna persónuupplýsingar ef vinnslan er nauðsynleg vegna
framkvæmdar samnings er að finna í b-lið 1. mgr. 6. gr. GDPR, þar segir:
[V]innsla er nauðsynleg vegna framkvæmdar samnings sem skráður einstaklingur á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.
Efni samnings skiptir máli. Hann getur fjallað um allt mögulegt en til þess að vinnsla
geti grundvallast á honum verður að vera ljóst í samningnum að í honum felist heimild
til handa ábyrgðaraðila að vinna persónuupplýsingar. Þá þarf að koma sérstaklega
fram að vinnslan fari fram í því ljósi að samningnum verði framfylgt.117 Samningur getur
þannig fjallað um að einhver vinna fari fram, sem dæmi má nefna að grassláttur fari
fram heima hjá hinum skráða. Þá þarf alla jafnan að vinna persónuupplýsingar sem
eru þá heimilisfang, símanúmer, greiðslukortaupplýsingar og hugsanlega
heimilisaðstæður að öðru leyti. Í því felst raunar að hinn skráði þarf að láta þessar
upplýsingar í té til ábyrgðaraðilans til að ábyrgðaraðilinn geti efnt samninginn. Í þessu
tilfelli garðyrkjufyrirtækisins sem vinnur svo enn frekar með þær, sendir út reikninga
117 ART 29 WP, „Guidelines on Consent under Regulation 2016/679“ (n. 110) 16.
42
og ratar í garðinn sem á að slá og svo framvegis, hringir í viðkomandi þegar búið er
að slá eða sendir tölvupóst. Þessar upplýsingar væri heimilt að vinna á grunvelli
nauðsynjar til að uppfylla samning.
Ábyrgðaraðilinn þarf almennt að sýna fram á að gerð persónusniðs vegna samnings
sé nauðsynlegt til að hægt sé að framfylgja samningnum. Þá ber ábyrgðaraðila að
athuga hvort önnur tæk leið, sem hefði í för með sér vægara inngrip í einkalíf hins
skráða, sé möguleg í átt að sama markmiði.118 Þessa nauðsyn er kveðið á um í
skilgreiningunni í b-lið 1. mgr. 6. gr. Samningur er því einungis mögulegur sem heimild
til vinnslu ef sú vinnsla er nauðsynleg vegna samningsins. Samanber dæmi um gerð
greiðslumats hjá Creditinfo Lánstrausti í kafla 4.2.
4.5.4 Lagaskylda
Heimildina til að vinna persónuupplýsingar vegna lagaskyldu er að finna í c-lið 1. mgr.
6. gr. GDPR. Þar segir að vinnslan sé heimil ef „vinnslan er nauðsynleg til að uppfylla
lagaskyldu sem hvílir á ábyrgðaraðila“.
Í þessu felst líkt og þegar um samning er að ræða að nauðsyn þarf að koma til svo
vinnsla persónuupplýsinga geti grundvallast, í þessu tilfelli á lagaskyldu sem hvílir á
ábyrgðaraðila.
Í 45. gr. aðfararorða við GDPR segir um vinnslu sem grundvallast á lagaskyldu að lög
Sambandsins eða lög aðildarríkja ættu að ákvarða tilgang vinnslunnar og tilgreina
almenn skilyrði sem finnast í GDPR um lögmæti vinnslunnar og hvernig ákvarða skuli
hver er ábyrgðaraðili, hvaða tegund persónuupplýsinga er unnið með,
varðveislutímabil og aðrar ráðstafanir til að tryggja að vinnslan fari fram á lögmætan
og sanngjarnan hátt. Lagagrundvöllur vinnslunnar skal samkvæmt 41. gr.
aðfararorðanna að vera skýr og nákvæmur og beitingin þarf að vera fyrirsjáanleg.
Skilgreiningin í c-lið er hvorki bundinn við einkaréttarlega ábyrgðaraðila eða opinbera,
það kann því að vera fyrir hendi lagaskylda á öllum mögulegum ábyrgðaraðilum til að
vinna persónuupplýsingar. Í tilskipun 95/46/EB er að finna samhljóða ákvæði í c-lið 7.
118 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 13.
43
gr. Umfjöllun 29. gr. starfshópsins um ákvæði tilskipunarinnar er lýtur að lagaskyldu
verður tekin til skoðunar hér, enda ákvæðin samhljóða. Álit 29. gr. starfsópsins um
sjálfvirkar ákvarðanatökur og gerð persónusniða í GDPR vísar til álits starfshópsins
um lögmæta hagsmuni þar sem umfjöllun um c-lið 7. gr. tilskipunarinnar er að finna.
Sem dæmi um vinnslu persónuupplýsinga sem byggir á lagaskyldu nefnir 29. gr.
hópurinn í áliti sínu afhendingu tekjuupplýsinga frá launagreiðanda til skattyfirvalda,
sem og skyldur fjármálafyrirtækja til að tilkynna um grunsamlegar færslur fjármuna.119
Slíkar skyldur eru lagðar á í lögum um tekjuskatt nr. 90/2003 og lögum um aðgerðir
gegn peningaþvætti og fjármögnun hryðjuverka nr. 64/2006.
Til að lagaskyldan geti verið til staðar þurfa lögin að fela í sér skyldu sem er í réttu
hlutfalli við það markmið sem stefnt er að. Ekki má kveða á um í lögum víðtækari
heimildir til vinnslu persónuupplýsinga en nauðsynlegar eru til ná markmiðinu, gæta
þarf meðalhófs í lagasetningu á þessu sviði og meta nauðsyn þeirra aðgerða sem
grípa á til eða heimila að gripið sé til samkvæmt lögum.120
Ábyrgðaraðili skal ekki hafa valkost um hvort hann vinnur persónuupplýsingarnar eður
ei. Slíkt er nauðsynlegt til að koma í veg fyrir að ábyrgðaraðilar stundi vinnslu
persónuupplýsinga til nota fyrir sjálfan sig í skjóli lagaskyldu. Það er einnig gert til að
koma í veg fyrir einhverskonar sambönd á milli einkaréttarlegra aðila og opinberra
aðila sem standa fyrir vinnslu persónuupplýsinga í skjóli lagaskyldu.121 Þá er rétt að
minna á að nauðsyn vegna lagaskyldu þarf að vera til staðar, það er að segja það er
ekki nóg að kveðið sé á um vinnslu í lögum heldur þarf að vera nauðsynlegt að sú
vinnsla sem kveðið er á í lögum fari fram. Sem dæmi um slíka skyldu má nefna
lánshæfismat122 sem er skylt að framkvæma samkvæmt 1. mgr. 20. gr. laga nr.
118/2016 um fasteignalán til neytenda. Einnig er lögð upplýsingaskylda á lánveitanda
119 ART 29 WP, „Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC“ (The Article 29 Working Party 4. september 2014) 844/14 19 <http://www.dataprotection.ro/servlet/ViewDocument?id=1086> skoðað 28. nóvember 2017. 120 sama heimild. 121 sama heimild. 122 Lánshæfismat er skilgreint í 15. tl. 1. mgr. 4. gr. laga nr. 118/2016 um fasteignalán til neytenda sem „mat lánveitanda á lánshæfi neytenda byggt á upplýsingum sem eru til þess fallnar að veita áreiðanlegar vísbendingar um líkindi þess hvort hann geti efnt samning um fasteignalán. Lánshæfismat skal byggt á viðskiptasögu aðila á milli eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust. Lánshæfismat felur ekki í sér greiðslumat nema slíkt sé áskilið sérstaklega.“
44
til að upplýsa neytanda ef lánshæfismat felur í sér uppflettingu í gagnagrunni um
lánshæfi samanber 3. mgr. 20. gr. laganna.
4.5.5 Brýnir hagsmunir hins skráða eða annars einstaklings
Vinnsla getur verið nauðsynleg til að vernda brýna hagsmuni sem varða líf eða limi
hins skráða eða annarra einstaklinga, samanber orðalagið brýnir hagsmunir.123 Undir
þennan flokk vinnsluheimilda, sem finnst í d-lið 1. mgr. 6. gr. GDPR, getur til dæmis
fallið gerð persónusniða sem miða að því að setja upp líkan sem spáir fyrir um
útbreiðslu lífshættulegra sjúkdóma, þá með skráningu á ferðamáta og ferðalögum hins
skráða, staðsetningu, við hverja hann hafði samskipti og svo framvegis.
Það er þó alltaf nauðsynlegt að útiloka að vinnsla geti farið fram í skjóli annarrar
heimildar áður en hún getur verið grundvölluð á brýnum hagsmunum.124 Einnig er
kveðið á um þessa skyldu til að tæma aðrar mögulegar vinnsluheimildir í 46. gr.
aðfararorðanna við GDPR. Fari vinnsla fram og persónuupplýsingarnar sem til
athugunar eru falla undir flokk viðkvæmra persónuupplýsinga þá er rétt að athuga að
ábyrgðaraðili verður að tryggja að vinnslan samræmist skilyrðum 2. mgr. 9. gr. GDPR.
Þar er í c-lið kveðið á um að vinnsla sérstakra flokka persónuupplýsinga megi fara
fram ef:
[V]innslan er nauðsynleg til að vernda brýna hagsmuni skráða einstaklingsins eða annars einstaklings ef hinn skráði er af líkamlegum ástæðum eða í lagalegum skilningi ófær um að veita samþykki sitt ...
Í h-lið 2. mgr. 9. gr. er kveðið á um að vinnsla sérstakra flokka persónuupplýsinga geti
farið fram á þeim grundvelli að hún sé nauðsynleg til að fyrirbyggja sjúkdóma. Frekari
heimildir eru í i-lið en þar segir að ef vinnslan er nauðsynleg af ástæðum er varða
almannahagsmuni á sviði lýðheilsu þá megi hún fara fram. Ætla má að á þessum
grundvelli væri hægt að gera persónusnið með það fyrir augum að koma í veg fyrir
útbreiðslu hættulegra sjúkdóma.
123 ART 29 WP, „Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC“ (n. 119) 20. 124 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 21.
45
4.5.6 Verkefni í þágu almannahagsmuna eða við beitingu opinbers valds
Vinnsla persónuupplýsinga vegna verkefnis í þágu almannahagsmuna eða verkefnis
í tengslum við beitingu opinbers valds er heimiluð er í e-lið 1. mgr. 6. gr. GDPR. Rétt
eins og á við um lagaskyldu sem hvílir á ábyrgðaraðila og fjallað var um hér áður þá
ætti vinnsla persónuupplýsinga vegna verkefnis í þágu almannahagsmuna eða við
beitingu opinbers valds að byggja á lögum Sambandsins eða lögum aðildarríkis.
Vísast til umfjöllunar í kafla 4.5.4 um 45. gr. aðfararorðanna hvað þetta varðar.
Þessi heimild gæti átt við um einkafyrirtæki sem aðstoða opinber yfirvöld við að fylgjast
með og greina meint svik og peningaþvætti sem dæmi.125 Það getur verið mögulegt
fyrir opinbera aðila að gera persónusnið á grunvelli e-liðar 1. mgr. 6. gr. að því gefnu
að skilyrðum um nauðsyn er fylgt. Þó hefur hinn skráði andmælarétt við slíkri vinnslu
persónuupplýsinga samkvæmt 69. gr. aðfararorða GDPR.
4.5.7 Lögmætir hagsmunir ábyrgðaraðila eða þriðja aðila
Í f-lið 1. mgr. 6. gr. GDPR er beinlínis að finna útlistun á þeirri jafnvægisæfingu sem
þarf að fara fram þegar stendur til að vinna persónuupplýsingar og meta þarf hversu
mikið má skerða friðhelgi einkalífs hins skráða með vinnslu.
Vinnsla persónuupplýsinga skal teljast lögmæt ef samkvæmt f-lið:
[V]innsla er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji aðili gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra, einkum þegar hinn skráði er barn ...
Lögmætir hagsmunir geta ekki leitt til þess að gerð persónusniða teljist lögmæt ef
ætlunin er að byggja sjálfvirka ákvarðanatöku á persónusniðinu samanber 1. mgr. 22.
gr. GDPR, nánar um það í kafla 5.3. Ávallt skal framkvæma mat á því hvort skuli vega
þyngra, lögmætir hagsmunir ábyrgðaraðila eða þriðja aðila annars vegar, eða
grundvallarréttindi og frelsi hins skráða hins vegar. Við mat á því ber einkum að líta til
þess hversu ítarlegt persónusniðið er, ef um er að ræða almenna flokkun, til dæmis
örventur karlmaður á höfuðborgarsvæðinu, þá væri það líklegra til að teljast
ásættanleg vinnsla. Hins vegar eftir því sem vinnslan og persónuupplýsingarnar sem
125 ART 29 WP, „Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC“ (n. 119) 22.
46
persónusniðið byggir á verður nákvæmara og tengdara hinum skráða þá þarf þeim
mun veigameiri lögmæta hagsmuni ábyrgðaraðila eða þriðja aðila til að réttlæta þá
vinnslu í skjóli f-liðar.
Eins þarf að skoða hver áhrif gerðar persónusniðsins verða á hinn skráða og þær
varúðarráðstafanir sem ráðist hefur verið í til að tryggja sanngirni og að ekki verði
mismunun og nákvæmni persónusniðsins.
Hinn skráði skal hafa rétt til að andmæla vinnslu persónuupplýsinga sem varða hann
samanber 69. gr. aðfararorða GDPR. Í 69. gr. aðfararorðanna er ábyrgðaraðila gert
að „sýna fram á að mikilvægir lögmætir hagsmunir hans gangi framar hagsmunum
eða grundvallarréttindum og frelsi hins skráða“
Við mat á því hvort lögmætir hagsmunir ábyrgðaraðila eða þriðja aðila eigi að vega
þyngra en grundvallarréttindi hins skráða og frelsi hans skal taka tillit til þess hverjar
eðlilegar væntingar hins skráða eru á grundvelli tengsla við ábyrgðaraðilann. Um
lögmæta hagsmuni getur verið að ræða samkvæmt 47. gr. aðfararorða GDPR þegar:
[V]iðeigandi tengsl sem máli skipta eru á milli skráða einstaklingsins og ábyrgðaraðilans, t.d. í tilvikum þar sem hinn skráði er viðskiptavinur ábyrgðaraðilans eða í þjónustu hans. Hvað sem öðru líður þyrfti að meta af kostgæfni hvort um lögmæta hagsmuni er að ræða, m.a. hvort skráður einstaklingur getur, þegar söfnun persónuupplýsinganna fer fram og í samhengi við hana, haft gilda ástæðu til að ætla að vinnsla muni fara fram í þeim tilgangi. Hagsmunir hins skráða og grundvallarréttindi hans gætu einkum gengið framar hagsmunum ábyrgðaraðila gagna þegar vinnsla persónuupplýsinga fer fram við aðstæður þar sem skráðir einstaklingar hafa ekki ástæðu til að ætla að um frekari vinnslu verði að ræða. ... Líta má svo á að vinnsla persónuupplýsinga vegna beinnar markaðssetningar sé í þágu lögmætra hagsmuna.
Dæmi um grundvöll þar sem ábyrgðaraðilar hafa lögmæta hagsmuni af miðlun
persónuupplýsinga er innan fyrirtækjasamstæðu í þágu innri stjórnunar. Þar með talið
vegna vinnslu persónuupplýsinga um viðskiptavini eða starfsmenn samanber 48. gr.
aðfararorðanna. Eins má telja samkvæmt 48. gr. aðfararorðanna að vinnsla
persónuupplýsinga sem er nauðsynleg til að koma í veg fyrir svik geti grundvallast á
lögmætum hagsmunum ábyrgðaraðila.
47
Þá er enn ósvarað hvað gerir það að verkum að hagsmunir teljist lögmætir eða
ólögmætir. Til að ákvarða um það er eins og áður hefur komið fram nauðsynlegt að
fara í mat á því hvort eigi að gera hærra undir höfði hagsmunum hins skráða,
grundvallarréttindum hans og frelsi eða hagsmunum ábyrgðaraðila. Til að um lögmæta
hagsmuni sé að ræða verða þeir að falla að lögum og ekki ganga gegn þeim. Eins þarf
að vera skýrt hver mögulegur hagnaður er fyrir ábyrgðaraðila svo hægt sé að meta
hvort vegi þyngra í hverju tilfelli hagsmunir ábyrgðaraðila eða grundvallarréttindi og
frelsi hins skráða. Að endingu þarf að liggja skýrt fyrir að um raunverulega hagsmuni
sé að ræða og að þeir séu yfirvofandi. Hagsmunir ábyrgðaraðilans mega ekki vera
liðnir hjá þegar að vinnslunni kemur eða henni líkur.126
Þá er rétt að ítreka að ákvæði f-liðar gilda ekki um vinnslu opinberra yfirvalda við störf
sín. Enda öllu jafnan í höndum löggjafans að kveða á um lagagrundvöll vegna vinnslu
opinberra yfirvalda þegar þau sinna verkefnum sínum samanber 48. gr.
aðfararorðanna. Löggjafanum er því í lófa lagið að kveða á um það í lögum hvenær
opinberum aðilum er heimilt að vinna persónuupplýsingar.
4.5.8 Vinnsla viðkvæmra persónuupplýsinga
Skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga eru strangari en eiga við um
vinnslu almennra persónuupplýsinga. Í 9. gr. GDPR er fjallað um þær aðstæður sem
mögulegt er að vinna sérstaka flokka persónuupplýsinga við. Í 1. mgr. 9. gr. er þó
raunar lagt blátt bann við vinnslu persónuupplýsinganna sem teljast til þeirra sérstöku
flokka sem þar eru taldir upp. Flokkarnir sem um getur í 1. mgr. eru einnig nefndir
viðkvæmar persónuupplýsingar. Bannað er samkvæmt 1. mgr. að:
[V]inna persónuupplýsingar er varða kynþátt eða þjóðernislegan uppruna,
stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu eða aðild að
verkalýðsfélagi og vinna erfðafræðilegar upplýsingar, lífkennaupplýsingar í því skyni
að persónugreina einstakling með einkvæmum hætti, heilsufarsupplýsingar eða
upplýsingar er varða kynlíf einstaklings eða kynhneigð.
Í 2. mgr. 9. gr. er fjallað um undantekningar við banni því sem fyrirfinnst í 1. mgr. og í
a – j-liðum 2. mgr. eru taldar upp tækar heimildir fyrir vinnslu viðkvæmra
126 sama heimild 25.
48
persónuupplýsinga. Það er þó ekki næg heimild til vinnslu viðkvæmra
persónuupplýsinga að hún eigi sér stoð í einum stafliða 2. mgr. 9. gr. heldur þarf
vinnslan einnig að grundvallast á að minnsta kosti einni þeirri heimilda sem finna má í
a – f-liðum 1. mgr. 6. gr. GDPR og gerð hefur verið skil í kafla 4.5.8.
Gerð persónusniða getur skapað persónuupplýsingar sem teljast viðkvæmar
samkvæmt 1. mgr. 9. gr. með því að tvinna saman upplýsingum sem í sitthvoru lagi
væru almennt ekki taldar viðkvæmar. Mögulega uppgötvast fylgni á milli
upplýsinganna sem varpa ljósi á upplýsingar um hinn skráða sem teljast falla undir
áður nefnda flokka.127
Sem dæmi um það má nefna rannsókn þar sem atriði sem hinum skráðu líkaði við á
Facebook voru borin saman við grunn upplýsingar og gátu rannsakendur ályktað með
88% nákvæmni hver kynhneigð hins skráða var, í 95% tilvika höfðu rannsakendur rétt
fyrir sér um þjóðernislegan uppruna og í 82% tilvika hvort viðkomandi væri Kristni-trúar
eða Múslima-trúar.128
Upplýsingar til hins skráða eru einkar mikilvægar þegar kemur að vinnslu viðkvæmra
persónuupplýsinga. Ábyrgðaraðili skal gera hinum skráða viðvart að verið sé að vinna
upplýsingar hvort sem það eru viðkvæmar eða almennar persónuupplýsingar.
4.6 Notkun persónusniða Persónusnið eru ekki lengur einungis notuð í þeim tilgangi að flokka fólk með
hefðbundnum leiðum í kassa eftir áhugasviðum sem byggja á kauphegðun t.d. listir
og menning eða íþróttir. Í stafrænni samtíð okkar er háþróuð tækni notuð til að púsla
saman úr ýmsum áttum vönduðu persónusniði sem er afar nákvæmt tæki til að meta
skráða einstaklinga á ýmsa vegu.129 Markaðssetning byggir núorðið að miklu leyti á
persónusniðum. Einstaklingsmiðaðar auglýsingar geta meira að segja haft áhrif á
meira en kauphegðun. Rannsókn sem unnin var við Ohio háskóla sýndi að auglýsingar
sem birtar eru völdum einstaklingum eftir hegðunarmynstri þeirra geta haft áhrif á
127 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 22. 128 Michal Kosinski, David Stiwell og Thore Graepel, „Private traits and attributes are predictable from digital records of human behavior.“ (2013) 110 (15) PNAS 5803 <http://www.pnas.org/content/110/15/5802.full.pdf?sid=4145ce18-04a3-4d15-ad3e-e2c6736b1cb0> skoðað 12. desember 2017. 129 ICO (n. 92) 3.
49
sjálfsmynd einstaklinga, auk þess að hafa áhrif á kauphegðun viðkomandi.130 Sem
dæmi um þetta má nefna að ef einstaklingar trúa því að þeim séu birtar auglýsingar
sem valdar eru út frá hegðunarmynstri þeirra á internetinu þá getur auglýsing fyrir
líkamsræktarkort og megrunarvörur ýtt undir að einstaklingarnir taki sig tak og hefji að
stunda hreyfingu og bæti líkamlegt form sitt. Á hinn bóginn gæti þó verið að
einstaklingunum fari að líða eins og þeir lifi óheilbrigðu líferni og þurfi að léttast, slíkur
hugsunarháttur gæti leitt til lægra sjálfsálits samkvæmt rannsókninni.
Margbreytilegur uppruni gagna sem gerð persónusniða grundvallast á getur valdið
vandræðum á borð við skyldur til að vinnsla sé skilvirk og innan skynsamlegs tíma og
vandræðum með væntingar einstaklinga til vinnslunnar. Noti vinnsluaðilar almennar
og aðgengilegar upplýsingar eða upplýsingar sem fengnar eru frá þriðja aðila, ættu
þeir að athuga notkunarskilmála þriðja aðila og kanna hvort heimild er til notkunar
persónuupplýsinga þeirra sem þriðji aðili hefur, með þeim hætti sem vinnsluaðili ætlar
og hvort notkunin stangist á við upphaflegan tilgang söfnunar upplýsinganna. Nánar
er fjallað um rétt hins skráða í kafla 6.3 hér síðar.
4.4.1 Uppruni upplýsinga sem eru grundvöllur persónusniða
Einstaklingar sem hafa litla sem enga tilveru á internetinu eða samfélagsmiðlum, geta
lent í því að ákvarðanir eru teknar sem varða þá, án þess að tekið sé tillit til þeirra á
nokkurn hátt enda ekki grundvöllur til staðar, litlar eða engar persónuupplýsingar
aðgengilegar hjá vinnsluaðila til að meta afstöðu, áhuga, mögulegan árangur eða hvað
eina annað sem kann að vera markmiðið með gerð persónusniða. Gerð persónusniða
þarf ekki að grundvallast á upplýsingum sem fást í gegnum Internet notkun. Þeir
einstaklingar deila með ábyrgðaraðilum upplýsingum um þá, þ.e. persónuupplýsingum
geta fengið of mikið vægi við ákvarðanatökur á móti hinum sem engar upplýsingar
liggja fyrir um hjá ábyrgðaraðila sem munu þá ekki fá nægjanlega mikið vægi.
Upplýsingarnar geta verið grundvöllur ákvarðana sem raunar eiga alls ekki við um
einstaklinginn sem þeim er beint að. Ábyrgðaraðilar og vinnsluaðilar ættu að beita sér
fyrir því að slíkt hendi ekki enda kveður d-liður 1. mgr. 5. gr. GDPR á um að upplýsingar
skuli vera áreiðanlegar og ef á þarf að halda uppfærðar. Slíkt eftirlit með nákvæmi
130 Rebecca Walker Reczek, Christopher Summers og Robert Smith, „Targeted Ads Don’t Just Make You More Likely to Buy — They Can Change How You Think About Yourself“ (Harvard Business Review, 4. apríl 2016) <https://hbr.org/2016/04/targeted-ads-dont-just-make-you-more-likely-to-buy-they-can-change-how-you-think-about-yourself> skoðað 10. október 2017.
50
upplýsinganna ætti að fara fram við söfnun, greiningu, útbúnings persónusniðs
einstaklings og við notkun persónusniðs þegar ákvörðun er tekin er varðar hinn skráða
á grundvelli persónusniðsins. Réttast væri að ferlar væru til staðar til að tryggja öryggi
upplýsinganna og gæði þeirra, nákvæmni og trúverðugleika.
Engar reglur er að finna í GDPR í tengslum við líftíma persónusniða. Enda eru
persónusnið í eðli sínu lifandi fyrirbæri sem taka stöðugum breytingum með tilkomu
nýrra upplýsinga eða brottfalli gamalla upplýsinga. Persónusnið eru í stöðugri þróun
og geta breyst hratt og jafnvel oft án þess að nein ákvörðun sé tekin sem byggir á
persónusniðinu.131 Ef upplýsingar sem persónusnið grundvallast á eru rangar þá felur
það í sér að persónusniðið verður ómarktækt, ákvarðanir verða teknar á röngum
grundvelli og slíkt getur leitt til þess að hinn skráði verður af mikilvægum réttindum eða
ráðstöfunum sem grundvallast á persónusniði. Sem dæmi má ímynda sér útreikninga
á mögulegri greiðslugetu vegna fasteignalána. Ef greiðslumatið byggir á persónusniði
og er reiknað sjálfvirkt út en inniheldur rangar forsendur, má ætla að hinn skráði geti
orðið af íbúð sem hann hefði hugsanlega með réttum upplýsingum geta fengið lánað
fyrir. Draumaheimilið farið fyrir bí af því að upplýsingarnar voru rangar.
Persónusnið geta á vissan hátt dregið ályktanir út frá einum flokki upplýsinga sem
ábyrgðaraðili hefur aðgang að, til að mynda má ætla að viðkvæmar
persónuupplýsingar geti legið fyrir þrátt fyrir að ekki hafi verið veitt heimild til vinnslu á
slíkum upplýsingum. Það má ímynda sér að ef fyrir liggja til að mynda upplýsingar um
kauphegðun einstaklings við matarinnkaup, þá megi út frá þeim draga vissar ályktanir
og spá fyrir um heilsufar viðkomandi. Það væri þá með sameiginlegum kröftum
persónuupplýsinga, staðreynda um innihald matvöru og rannsókna á sviði
heilbrigðisvísinda sem spá mætti fyrir um heilsubresti eða líkamlegt ástand hins
skráða út frá neysluvenjum og almennt aðgengilegum rannsóknarniðurstöðum.
Upplýsingar sem notaðar eru til gerðar persónusniðs geta upphaflega haft allt annan
tilgang. Söfnun þeirra hefur þá farið fram á öðrum forsendum. Í b-lið. 1. mgr. 5. gr.
GDPR er kveðið á um að upplýsingar skuli fengnar í skýrt tilgreindum og lögmætum
tilgangi og ekki unnar frekar á þann hátt að það fáist ekki samrýmst upphaflegum
131 ICO (n. 92) 11.
51
tilgangi söfnunar. Í b-liðnum felst því takmörkun notkunar upplýsinga vegna tilgangs.
Þegar kemur að því að meta hvort seinni tíma vinnsla falli innan upphaflegs tilgangs
vinnslunnar eru nokkrir þættir sem þarf að skoða. Vert er að athuga sambandið á milli
tilgangsins með söfnun upplýsinganna og seinni tíðar tilgangs. Eins er vert að líta til
þeirra aðstæðna sem uppi voru við öflun og eðlilegra væntinga hins skráða til frekari
notkunar gagnanna, þá kemur eðli gagnanna að auki til athugunar sem og þær
verndarráðstafanir sem gerðar hafa verið af hálfu ábyrgðaraðila til að tryggja
sanngjarna vinnslu og koma í veg fyrir óþarfa áhrif vinnslunnar á hina skráðu.132
Kafli 5 Sjálfvirkar ákvarðanatökur 5.1 Inngangur Sjálfvirkar ákvörðunartökur byggja á vinnslu persónuupplýsinga og oft á tíðum eins og
segir í 1. mgr. 22. gr. GDPR á gerð persónusniða. Sjálfvirkar ákvarðanatökur leiða,
samkvæmt orðanna hljóðan af sér að ákvörðun er tekin um eitthvað málefni. Skilgreina
má sjálfvirkar ákvarðanatökur líkt og áður hefur verið gert í kafla 5.3 sem ákvarðanir
teknar af sjálfvirkri tækni sem við ákvörðunartökuna naut ekki mannlegrar íhlutunar.
Slíkar ákvarðanir geta verið byggðar á hverskyns upplýsingum, sem geta til að mynda
stafað beint frá hinum skráða einstakling til dæmis í gegnum spurningalista. Eins geta
upplýsingarnar verið fengnar frá tækjum og tólum sem veita til að mynda upplýsingar
um staðsetningu viðkomandi og þar að auki gætu þær stafað frá fyrirliggjandi gögnum
um einstaklinginn, svo sem lánstrausti hans.133 Sjálfvirkar ákvarðanir eru gjarnan
byggðar á persónusniðum sem unnin hafa verið og en við það ber að minnast eins
mikilvægasta hugtaksskilyrðis sjálfvirkra ákvarðanataka. Það er að ákvarðanirnar
sjálfar eru sjálfvirkar, óháð því hvort upplýsingarnar eru fengnar sjálfvirkt eða handvirkt
slegnar inn í kerfið sem að endingu tekur ákvörðunina.
5.2 Sjálfvirkar ákvarðanatökur í pul.
5.2.1 Almennt
Hver er staðan á sjálfvirkum einstaklingsmiðuðum ákvörðunartökum eins og þær heita
í GDPR, í íslenskum rétti í dag? Hér verða ákvæði sem fjalla um sambærilega vinnslu
132 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 19. 133 sama heimild 8.
52
persónuupplýsinga í pul. til umræðu og ályktanir dregnar út frá ákvörðunum
Persónuverndar sem og dómum Hæstaréttar.
Orðið sjálfvirkar ákvarðanatökur er ekki að finna í íslenskum lögum og ekkert í pul.
sem sérstaklega varðar sjálfvirkar ákvarðanatökur. Þessi gerð af vinnslu
persónuupplýsinga myndi falla undir reglur sem varða rafræna vinnslu samkvæmt 2.
tl. 1. mgr. 2. gr. pul. Í rökstuðningi skal ábyrgðaraðili gera grein fyrir þeim reglum sem
hin rafræna vinnsla byggist á og liggja henni til grundvallar. Þá er tekið á því í 22. gr.
pul. að ef sértæk ákvörðun liggur fyrir og var að öllu leyti byggð á rafrænni vinnslu
persónuupplýsinga getur sá sem ákvörðunin beinist að krafist rökstuðnings fyrir
niðurstöðunni.
5.2.2 Sértæk ákvörðun
Sértæk ákvörðun er samkvæmt 9. tl. 1. mgr. 2. gr. pul. ákvörðun sem afmarkar rétt
og/eða skyldur eins eða fleiri tilgreindra einstaklinga. Sértæk ákvörðun er það þegar
ákvörðun er beint að einum aðila. Raunar er einfaldast að átta sig á hugtakinu ef því
er stillt upp gegn andstæðu sinni sem er almenn ákvörðun, sem tekur til allra
viðkomandi. Sérstaklega reynir á hugtakið í tengslum við 22. gr. pul. sem fjallar um
rétt hins skráða til rökstuðnings vegna sértækrar ákvörðunar sem byggir á sjálfvirkri
upplýsingavinnslu. Hinn skráði hefur rétt til að vita hvaða forsendur liggja að baki hinni
sértæku ákvörðun sem að öllu leyti byggir á rafrænni vinnslu persónuupplýsinga það
er að segja, hver rökfræðin á bak við ákvörðunina er. Stjórnvaldsákvarðanir teljast til
sértækra ákvarðana í skilningi pul.134 Það er einungis sá skráði, sem er andlag
ákvörðunarinnar sem getur krafist rökstuðnings skv. 22. gr. pul. Ekki er þó um að ræða
að rökstuðningur þurfi að fullnægja skilyrðum 22. gr. stjórnsýslulaga nr. 37/1993 þó að
hugsanlega sé um stjórnvaldsákvörðun að ræða. „Af þeim sökum hefur réttur
málsaðila til rökstuðnings samkvæmt persónuupplýsingalögum sjálfstæða
þýðingu.“135
Sértæk ákvörðun getur einnig komið við sögu í samspili við 23. gr. sem fjallar um
viðvaranir vegna notkunar persónusniða.136
134 Páll Hreinsson (n. 27) 58. 135 sama heimild 59. 136 Sigrún Jóhannesdóttir (n. 5) 149.
53
Fjallað er um rétt hins skráða til að fá sértæka ákvörðun sem snýr að honum og byggir
að öllu leyti á sjálfvirkri ákvörðunartöku, handunna í 27. gr. pul.
Markmið ákvæðisins er að hinn skráði geti fengið ábyrgðaraðila til að endurskoða handvirkt sértæka ákvörðun sem að honum beinist og byggist á sjálfvirkri vinnslu persónuupplýsinga.137
Í athugasemdum við frumvarpið sem varð að pul. er að finna útskýringar á þessu. Það
telst sjálfvirk ákvörðunartaka þótt starfsmaður slái inn í tölvukerfi upplýsingar. Ef
starfsmaður hins vegar leysir efnislega úr málinu að einhverjum hluta er ekki lengur
um sjálfvirka ákvörðunartöku að ræða.138 Þetta rímar vel við þær kröfur um sjálfvirkni
sem gerðar eru til sjálfvirkra ákvarðana sem fjallað er um í kafla 5.3.
Fari vinnsla persónuupplýsinga fram með rafrænum hætti eins og það er orðað í 1.
mgr. 31. gr. pul. þá ber ábyrgðaraðila að tilkynna slíka vinnslu á þar til gerðu formi til
Persónuverndar tímanlega áður en hún hefst. Tilkynna skal allar breytingar sem verða
frá því sem greinir í upphaflegri tilkynningu. Í 2. mgr. 31. gr. kveður á um að
Persónuvernd geti ákveðið að vissar tegundir almennra upplýsinga skuli vera
undanþegnar tilkynningarskyldu eða tilkynningarskyldan einfölduð. Eins getur
Persónuvernd í skjóli 2. mgr. ákveðið að vissar tegundir vinnslu skuli vera
leyfisskyldar.
5.3 Skilgreining á sjálfvirkri ákvarðanatöku í GDPR Sjálfvirkar ákvarðanatökur eru nýmæli. Munurinn á því sem heitir rafræn vinnsla í pul.
og er útskýrt í kafla 4.2 er einna helst að í GDPR er vinnslunni sem felst sjálfvirkum
ákvarðanatökum gert að lúta mun þyngri skilyrðum en gilda um rafræna vinnslu í pul.
Hugmyndin að baki þessum tveimur hugtökum hlýtur meiri athygli og áherslan í GDPR
er meiri á allt sem snýr að sjálfvirkum ákvarðanatökum en er um rafræna vinnslu í pul.
Rétturinn í 27. gr. pul. lítur að því að fá mannlega aðkomu að sértækri ákvörðun sem
tekin hefur verið, nema að viðeigandi varnaðarráðstafanir hafi verið gerðar samanber.
2. mgr. Megin inntakið er því sambærilegt í 27. gr. pul. og í 22. gr. GDPR. Þó þarf að
byggja á undantekningum til að heimila sjálfvirka ákvarðanatöku í GDPR eins og nánar
137 Páll Hreinsson (n. 27) 59. 138 Alþt. 1999-2000, A-deild, 2737.
54
verður gerð fyrir í kafla 5.4. Ekki þarf að gera annað en að standa rétt að
varúðarráðstöfunum til að vinnsla samkvæmt 1. mgr. 27. gr. pul. eigi rétt á sér.
Hugtakið sjálfvirkar ákvarðanatökur er raunar mótað með GDPR. Í 71. gr. aðfararorða
GDPR er nánar útlistað hvað felst í sjálfvirkum ákvarðanatökum. Þar kemur fram að
sjálfvirkar ákvarðanatökur sem fela í sér réttaráhrif eða sambærileg áhrif geti verið
sjálfvirk höfnun lánsumsóknar á Internetinu eða ráðningarferli þar sem ekki er að finna
mannlega íhlutun. Sjálfvirkar ákvarðanatökur eru skilgreindar í kafla 5.3 í ritgerð
þessari.
Sjálfvirkar ákvarðanatökur geta grundvallast á öllum tegundum gagna, þar með talið
gögn sem stafa beint frá hinum skráða til dæmis svör hins skráða við könnunum, gögn
sem skráð eru um einstaklinginn sem til að mynda geta stafað frá smáforritum
snjalltækja og afleidd gögn sem hafa þá oft þegar falið í sér vinnslu, svo sem
persónusnið.139
Aðskilnaðurinn á milli töku sjálfvirkra ákvarðana og gerð persónusniða er ekki alltaf
svo skýr. Einföld sjálfvirk ákvörðun getur með smá breytingu orðið háð því að gerð séu
persónusnið. Sem dæmi má nefna hraðasektir sem eru með sjálfvirkum hætti sendar
út úr kerfi löggæslumyndavéla. Slíkt fæli í sér töku sjálfvirkar ákvörðunar um
sektarfjárhæð út frá hraða til að mynda. Sú ákvörðun væri almennt ekki byggð á gerð
persónusniða, fyrr en akstursvenjur hins seka væru hugsanlega orðinn grundvöllur
útreikninga sektarfjárhæðar. Ef viðkomandi hefur til dæmis áður gerst sekur um
hraðakstur og tillit er tekið til þess við útreikning sektar þá er sjálfvirka ákvörðunin farin
að byggja á persónusniði um hinn skráða, í þessu dæmi hinn seka ökumann.
Hvað varðar skilgreiningu sjálfvirkra ákvarðana þá er ljóst af hugtakinu sjálfu að allar
ákvarðanir sem ekki eru einungis teknar á grundvelli sjálfvirkrar gagnavinnslu falla
utan þess. Enda segir í 1. mgr. 22. gr. að ákvarðanirnar séu „eingöngu á grundvelli
sjálfvirkrar gagnavinnslu“.
139 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 8.
55
5.3.1 Sjálfvirk gagnavinnsla
Til grundvallar hugtakinu sjálfvirk ákvörðunartaka er augljóslega um að ræða
ákvarðanatöku sem er sjálfvirk. Í því felst að mannleg íhlutun má ekki hafa nein
raunveruleg áhrif á ákvörðunarferlið. Sem dæmi má nefna sjálfvirka vinnslu
persónuupplýsinga sem leiðir af sér að tilmæli um ákveðin atriði er varða hinn skráða
verða til. Ef það er svo hlutverk manneskju að taka tillit til þeirra tilmæla við endanlega
ákvörðun, þá er ekki hægt að segja að um sé að ræða sjálfvirka ákvarðanatöku í
skilningi 1. mgr. 22. gr. GDPR.140
Á hinn bóginn geta ábyrgðaraðilar ekki gert sér upp mannlega íhlutun til að sleppa við
það að ákvarðanatakan sem þeir standa að sé sjálfvirk og falli undir gildissvið 1. mgr.
22. gr. Nefna má sem dæmi sjálfvirkt sniðmát sem einstaklingar eru flokkaðir eftir og
ákvarðanir teknar á grundvelli flokkunarinnar og engin raunveruleg mannleg áhrif væru
á endanlega niðurstöðu þá yrði sú vinnsla talin sjálfvirk.141
Til að geta talist mannleg íhlutun yrði ábyrgðaraðilinn að tryggja að aðkoma manneskju
væri raunverulega til þess fallin að hafa áhrif, en ekki bara því yfirskyni að falla utan
gildissviðs 22. gr. Manneskjan þyrfti að hafa valdheimildir til að breyta ákvörðunum
sem teknar væru af vélum eða forritum. Manneskjan þyrfti að geta haft áhrif á allar
upplýsingarnar, þær sem koma inn í kerfið til ákvarðanatöku og þær sem fara út, það
er ákvarðanirnar sjálfar.142
5.3.2 Réttaráhrif eða sambærileg áhrif
Afleiðingar sjálfvirkrar ákvarðanatöku geta verið miklar fyrir hinn skráða einstakling.
Réttaráhrif eru ekki skilgreind nánar í GDPR en vísa til þess í þessu samhengi að
sjálfvirk ákvörðun hafi áhrif á lagalega stöðu einstaklings, til að mynda rétt hans til
félagslegra úrbóta.143 Frekari dæmi gætu verið að það lokist á sjónvarpsáskrift eða
farsímanúmer einstaklings, með sjálfvirkum hætti ef hann greiðir ekki reikninga vegna
notkunar sinnar á þjónustunni í tæka tíð. Í 75. gr. aðfararorðanna við GDPR er fjallað
um hvaða afleiðingar vinnsla persónuupplýsinga kann að hafa á hinn skráða. Þar er
tekið fram að afleiðingar vinnslunnar geta verið efnislegt tjón, eignatjón og óefnislegt
140 sama heimild 10. 141 sama heimild. 142 sama heimild. 143 sama heimild.
56
tjón, einkum þegar vinnslan hefur hugsanlega í för með sér mismunun. Það er því
mikilvægt að fara varlega í sjálfvirka vinnslu sem hefur í för með sér réttaráhrif eða
snertir hinn skráða með sambærilegum hætti.
Réttaráhrif sjálfvirkra ákvarðanna þýða í orðsins fyllstu merkingu að sjálfvirk ákvörðun
hafi þýðingu fyrir lagalega stöðu hins skráða, þá til dæmis hvort hinn skráði hafi
kosningarétt, hvort hinn skráði geti höfðað mál og svo framvegis. Eins geta réttaráhrif
tekið til þeirra samninga sem hin skráði hefur gert, getur gert eða má ekki gera.
Réttaráhrif sem sjálfvirkar ákvarðanir geta tekið til eru sem dæmi: Réttur til félagslegra
úrræða, bann við inngöngu í land, aukið eftirlit með hinum skráða frá hendi þess til
bærra yfirvalda og aftengin símanúmers vegna ógreidds reiknings.
Afleiðingar sjálfvirkra ákvarðana þurfa ekki að fela í sér réttaráhrif fyrir hinn skráða
heldur geta falist í þeim sambærileg áhrif á hinn skráða, líkt og kemur fram í 1. mgr.
22. gr. GDPR. Með öðrum orðum þá geta sjálfvirkar ákvarðanir fallið undir gildissvið
1. mgr. 22. gr. þrátt fyrir að í þeim felist ekki beinlínis réttaráhrif, heldur mjög
sambærileg áhrif.144 Til einföldunar hafa þessi áhrif verið nefnd veruleg áhrif í
meðförum 29. gr. starfshópsins og verður því haldið áfram hér.
Veruleg áhrif eru ekki skilgreind nánar í GDPR. Tilgangur orðalagsins er að ganga úr
skugga um að ekki sé öll vinnsla sem hefur einhver áhrif talin geta átt við á þeim
stöðum sem veruleg áhrif eru gerð að skilyrði.145 Hin verulegu áhrif verða að vera
líklegri til að koma fram en ekki ef vinnsla á að teljast fela þau í sér. Þrátt fyrir að
vinnsla fari fram á persónuupplýsingum gríðarfjölmenns hóps einstaklinga þá er það
ekki öruggt að í henni felist hætta á að hún hafi veruleg áhrif. Taka þarf tillit til atriða
er varða vinnsluna, til að mynda hvort líklegt sé að hún valdi: skaða, streitu, missi
réttinda eða tækifæra. Hvort hún hafi áhrif á heilsu eða velferð einstaklinga, hvort hún
hafi áhrif á fjárhag fólks, leiði til mismununar eða ósanngjarnar meðferðar og hvort hún
feli í sér notkun viðkvæmra upplýsinga og þá sérstaklega með tilliti til
144 Áður var í 15. gr. tilskipunar 95/46/EC sem er sambærilegt ákvæði og 22. gr. GDPR, ekki að finna orðið sambærileg (e. similar) sem þykir benda til þess að nú hafi þröskuldurinn um hversu mikil áhrif ákvörðunarinnar skuli vera verið hækkaður í það að ákværðun verði að hafa sambærileg áhrif og ákvörðun sem hefur lagaleg áhrif á hinn skráða. Leiðbeiningareglur 29. gr. starfshópsins bls.10. 145 ART 29 WP, „Guidelines for identifying a controller or processor´s lead supervisory authority“ (The Article 29 Working Party 13. desember 2016) 3 <http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_en_40857.pdf> skoðað 29. nóvember 2017.
57
persónuupplýsinga barna. Eins er vinnsla líkleg til að hafa veruleg áhrif sem jafna má
til réttaráhrifa ef hún orsakar verulegar hegðunarbreytingar hjá fólki eða ef hún leiðir
af sér óvæntar eða óæskilegar afleiðingar, veldur álitshnekkjum eða tekur mjög
fjölbreyttra persónuupplýsinga.146
Léttvæg áhrif sjálfvirkar gangavinnslu geta ekki talist falla undir skilgreiningu 22. gr.
Nánar er gerð grein fyrir mörkum áhrifa sjálfvirkra ákvarðana í 71. gr. aðfararorða
GDPR. Þar segir að sjálfvirk höfnun lánsumsóknar á netinu geti til að mynda talist falla
undir 22. gr. Hins vegar verður að skoða samhengi hlutanna til að meta raunveruleg
áhrif fyrir einstaklinginn og atvikið sem sjálfvirka gangavinnslan og þar með ákvörðunin
á við hverju sinni. Til að mynda má ætla að ef einstaklingur hygðist leigja borgarhjól í
fríi sínu erlendis, en fengi höfnun á kreditkort sitt, einn daginn og fengi svo höfnun á
fasteignalánaumsókn vegna fyrstu íbúðakaupa þann næsta má ætla að áhrifin á
einstaklinginn séu töluvert meiri seinni daginn.147
Þá liggur beinast við að velta upp spurningunni, hvar liggja einstaklingsmiðaðar
auglýsingar á Internetinu? Almennt verður að telja að slíkar auglýsingar hafi ekki
veruleg áhrif á einstaklinga, áhrif sem jafna má til réttaráhrifa. Sem dæmi má nefna
auglýsingu um útsölu í tískuvöruverslun sem væri miðað að konum á
höfuðborgarsvæðinu. Slík auglýsing væri almennt ekki talin til þess fallin að hafa
veruleg áhrif á markhóp hennar.148
Það er þó mögulegt að auglýsingarnar séu þess eðlis og miði að því að ná til fólks á
þann hátt að þær verða taldar geta haft veruleg áhrif á einstaklinga. Það veltur meðal
annars á því hversu nærgöngul gerð persónusniðsins er sem markhópurinn er
byggður á, væntingum og óskum einstaklinga í markhópnum, þeim aðferðum sem
notaðar eru við auglýsinguna og því hvort markhópurinn sé á einhvern hátt sérstaklega
viðkvæmur fyrir.149
Auglýsingar fyrir spilavíti eða veðmálasíður hefðu að öllum líkindum almennt frekar
lítið áhrif á fólk en einstaklingur sem væri viðkvæmur fyrir, þá hugsanlega haldinn
146 sama heimild 4. 147 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 11. 148 sama heimild. 149 sama heimild.
58
spilafíkn ellegar í alvarlegum fjárhagsvandræðum gæti verið viðkvæmur fyrir
auglýsingunni og auglýsingin þá haft veruleg áhrif á hann. Áhrif sem mætti jafna til
réttaráhrifa.
Leiði sjálfvirk ákvarðanataka til mismunandi verðlagningar á sömu vöru eftir þeim
persónuupplýsingum sem ákvarðanatakan byggir á, hvort sem það eru persónusnið
eða aðrar upplýsingar, þá má telja að slíkar ákvarðanir geti haft veruleg áhrif á hinn
skráða. Hækki verðið til hins skráða getur það leitt til þess að hann verði af vöru eða
þjónustu sem skiptir hann verulegu máli.150 Nánari umfjöllun um auglýsingar á
Internetinu er að finna í kafla 6.6.
5.4 Heimildir til að taka ákvarðanir á grundvelli sjálfvirkrar gagnavinnslu Í 1. mgr. 22. gr. GDPR er strax sett fram efnisregla sem felur í sér að almennt er
óheimilt að standa að ákvarðanatökum sem eingöngu grundvallast á sjálfvirkri
gagnavinnslu, ef vinnslan hefur réttaráhrif eða snertir hinn skráða á sambærilegan hátt
að verulegu leyti. Einu leiðirnar til sjálfvirkar ákvarðanatöku sem hefur fyrrgreindar
afleiðingar í för með sér fyrir hinn skráða er að byggja sjálfvirku ákvarðanatökurnar á
undanþágum sem finna má í a – c-lið 2. mgr. 22. gr. Það er því nauðsynlegt að hafa í
huga við túlkun reglnanna að þær eru undantekningar og ber samkvæmt
túlkunarreglum að túlka þröngt.151
Í a-lið 2. mgr. er veitt heimild til ákvörðunartöku ef hún er forsenda þess að samningur
á milli hins skráða og ábyrgðaraðila verði efndur eða komist á, b-liður heimilar slíka
ákvörðun ef hún byggir á grundvelli heimildar í lögum Sambandsins eða lögum
aðildarríkis og að þar sé einnig kveðið á um viðeigandi ráðstafanir til að tryggja vernd
réttinda, frelsis og lögmætra hagsmuna hins skráða. Að lokum er í c-lið talað um að
með afdráttarlausu samþykki hins skráða geti hann heimilað slíka ákvörðunartöku.
Nánar verður fjallað um hverja heimild í komandi köflum.
Þá er að finna í 3. mgr. áskilnað um að ef a- eða c-liður 2. mgr. teljist grundvöllur
heimildar til töku sjálfvirkra ákvarðana, þá verður ábyrgðaraðili að:
150 sama heimild. 151 Davíð Þór Björgvinsson (n. 12) 183.
59
gera viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni skráðs einstaklings, a.m.k. réttinn til mannlegrar íhlutunar af hálfu ábyrgðaraðilans, til að láta skoðun sína í ljós og til að vefengja ákvörðunina.
Ákvarðanir skulu ekki heimilar samanber 4. mgr. 22. gr., þrátt fyrir að geta talist falla
undir gildissvið 2. mgr. ef þær eru byggðar á sérstökum flokkum persónuupplýsinga,
sem finnast í 1. mgr. 9. gr. GDPR. Nema þá að a- eða g-liður 2. mgr. 9. gr. eigi við og
ráðstafanir hafi verið gerðar til að vernda réttindi og frelsi og lögmæta hagsmuni hins
skráða.
5.4.1 Samningur
Ábyrgðaraðilar vilja gjarnan geta unnið sjálfvirkar ákvarðanatökur og samningar geta
verið góð leið til að koma því í kring. Hins vegar er vert að ítreka að um
undantekningarheimild er að ræða og því ljóst að ekki verður annað hægt en að túlka
heimildina sem felst í a-lið 2. mgr. 22. gr. GDPR þröngt.
Ástæður þess að ábyrgðaraðilar vilja gjarna nota sjálfvirkar ákvarðanatökur geta verið
af ýmsum toga, til dæmis: leiða sjálfvirkar ákvarðanatökur af sér meiri stöðugleika og
samkvæmni og niðurstaðan er líklega sanngjarnari. Minni líkur eru á mannlegum
mistökum eða misnotkun valds. Þar að auki eru greiðslur fyrir vöru og þjónustu líklegri
til að berast ef þær eru sjálfvirkar enda minni líkur á að það gleymist að greiða eða því
seinki ef kerfið sér sjálft um að innheimta af greiðslukorti til að mynda. Í ofanálag verður
tímaramminn skemmri sem tekur að ákvarða það sem ákvarða þarf og ferlið sem
ákvarðanatakan felur í sér verður allt skilvirkara þegar hún verður sjálfvirk.152
Að þessu sögðu verður ekki öruggt að þó einhver þeirra ástæðna sem taldar eru upp
hér að ofan eigi við að slíkt heimili sjálfvirkar ákvarðanatökur á grundvelli samnings.
Enda skulu sjálfvirkar ákvarðanatökur samkvæmt orðalagi ákvæðisins vera
nauðsynlegar til að hægt sé að framfylgja eða koma á samning. Nauðsyn skal þröngt
túlkuð og því erfitt að sýna fyllilega fram á að hún sé til staðar.153
152 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 12. 153 sama heimild.
60
5.4.2 Lagaheimild
Sé til þess heimild í Sambandslögum eða landslögum aðildarríkis þá má byggja
sjálfvirkar ákvarðanatökur á þeim samanber b-lið 2. mgr. 22. gr. GDPR. Í 71. gr.
aðfararorða GDPR segir að slíkt gæti til að mynda komið til:
[Í] þeim tilgangi að fylgjast með og koma í veg fyrir svindl og skattsvik í samræmi við reglur, staðla og tilmæli stofnana Sambandsins eða landsbundinna eftirlitsaðila og til að tryggja öryggi og áreiðanleika þjónustu sem ábyrgðaraðili veitir.
Tilgangurinn getur einnig verið að tryggja öryggi og áreiðanleika þjónustunnar sem
ábyrgðaraðili veitir. Í b-lið 2. mgr. er sú skylda lögð á að viðeigandi ráðstafanir hafi
verið útlistaðar í þeim lögum sem byggja á réttinn til sjálfvirkar ákvarðanatöku á,
ráðstafanir sem eiga að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða.
Í 71. gr. aðfararorðanna er nánari grein gerð fyrir hvað á að felast í viðeigandi
verndarráðstöfunum. Skal þá meðal annars:
[A]ð veita hinum skráða skilmerkilegar upplýsingar og rétt hans til mannlegrar íhlutunar, að láta skoðun sína í ljós, fá útskýringar á ákvörðun sem tekin er að loknu slíku mati og vefengja ákvörðunina. Slík ráðstöfun ætti ekki að varða barn.
5.4.3 Samþykki
Gerð er krafa um að sjálfvirkar ákvarðanatökur byggi á „afdráttarlausu“ samþykki ef
byggja á á heimildinni á annað borð. Samþykki er þriðja undantekningin og hana er
að finna í c-lið. Hún að öllum líkindum sú þýðingarmesta. Samþykki er fyrir gildistöku
GDPR algengasta heimildin til vinnslu persónuupplýsinga á Íslandi hið minnsta.154
Sjálfvirkar ákvarðanatökur eru almennt þess eðlis að áhættan af vinnslu þeirra er mikil
og því talið rétt að ströng skilyrði séu fyrir því að einstaklingur geti heimilað að
persónuupplýsingar um hann séu unnar á þann hátt.155
Afdráttarlaust samþykki er ekki útskýrt nánar í GDPR en í því felst að samþykki skal
veitt sérstaklega með yfirlýsingu þess efnis. Ekki verður talið að einhverskonar jákvæð
aðgerð dugi til að veita samþykki sem teldist afdráttarlaust.156 En hér er stigsmunur á
154 Persónuvernd, „Grundvallarhugtök“ (n. 65). 155 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 13. 156 sama heimild.
61
því samþykki sem veita má í skilningi a-liðar 1. mgr. 6. gr. GDPR til að heimila vinnslu
persónuupplýsinga. Því verður ekki séð að sömu efnisreglur geti gilt um það samþykki
sem, eins og kemur fram í umfjöllun í kafla 4.5.2 getur það verið veitt í verki með
jákvæðri aðgerð. Afdráttarlausa samþykkið sem getið er í c-lið 2. mgr. 22. gr. GDPR
gerir meiri kröfur til þess sem veitir samþykkið um að það sé skýrt og greinilegt hvað
er verið að samþykkja.
5.5 Rökin að baki sjálfvirkri einstaklingsmiðaðri ákvörðunartöku Rökin að baki sjálfvirkri einstaklingsmiðaðri ákvörðunartöku (e. the logic involved) vísa
til þess hvaða upplýsingar eru notaðar af forritum til að taka ákvarðarnir, hvaða gilda
forritin horfa til og samspil þeirra gilda innbyrðis. Aukið flækjustig tækninnar getur gert
leikmanni erfitt fyrir að átta sig á hvernig sjálfvirkar ákvarðanir eða gerð persónusniða
fara fram. Það er í höndum ábyrgðaraðila að finna einfalda leið til að útskýra fyrir hinum
skráða hvernig rökfræðin er á bakvið sjálfvirkar ákvarðanatökur eða gerð
persónusniða eða hvaða forsendur eru notaðar til grundvallar vinnslunni á þess að
gera ávallt grein fyrir þeim algrímum sem eru á bakvið vinnsluna. Upplýsingarnar sem
veittar eru verða að hafa eitthvað vægi fyrir hinn skráða og vera skiljanlegar fyrir
viðkomandi.157
Flækjustig vinnslunnar er ekki á neinn hátt réttlætanleg afsökun fyrir því að veita hinum
skráða ekki upplýsingar um vinnsluna. Meginreglur um vinnslu persónuupplýsinga
sem fjallað er um í kafla 4.5.1 gilda einnig um sjálfvirkar ákvarðanatökur, enda fela
þær í sér vinnslu persónuupplýsinga. Í 58. gr. aðfararorða GDPR segir að meginreglan
um gagnsæi skipti sérstaklega miklu máli í því samhengi sem hér um ræðir. Það er
þegar það hefur mikla þýðingu fyrir hinn skráða að geta áttað sig á hvernig vinnsla á
persónuupplýsingum hans fer fram og þegar það er tæknilega flókið ferli og erfitt fyrir
hinn skráða að átta sig á tæknilegri virkni og tilgangi vinnslunnar. Þetta á til dæmis við
um auglýsingar á internetinu sem eru til umræðu í kafla 5.4 hér á eftir.
Hinn skráði hefur samkvæmt 2. mgr. 21. gr. GDPR rétt til að mótmæla vinnslu
upplýsinga í beinum markaðslegum tilgangi sem og gerð persónusniða sem hafa
einhvern beinan markaðslegan tilgang.158
157 sama heimild 14. 158 Heimes (n. 104).
62
Hinn skráði hefur samkvæmt 1. mgr. 22. gr. reglugerðarinnar ekki beinlínis rétt til að
hindra gerð persónusniða heldur frekar til að hindra það að hann verði andlag
ákvörðunar sem byggir eingöngu á sjálfvirkri vinnslu, þar með talið sjálfvirkar
ákvarðanatökur sem byggja á gerð persónusniðs, og hefur lagalegar afleiðingar fyrir
hinn skráða eða sambærileg áhrif.159 Sem dæmi um slíkt má nefna aftur dæmið um
lánveitingar sem fjallað var um áðan, þar að auki er að finna í 58. gr. aðfararorða
GDPR dæmi:
Meginreglan um gagnsæi krefst þess að hverskyns upplýsingar, sem ætlaðar eru almenningi eða skráðum einstaklingi, séu gagnorðar, aðgengilegar og auðskiljanlegar, að þær séu á skýru og einföldu máli og að auki að sjónrænum aðferðum sé beitt, eftir því sem við á. Veita mætti slíkar upplýsingar á rafrænu formi, t.d. á vefsetri, þegar þær eru ætlaðar almenningi. Þetta á einkum við í tilvikum þar sem erfitt er fyrir skráðan einstakling að vita og skilja, vegna hins mikla fjölda aðila sem koma að máli og flókinnar tækni sem notuð er, hvort, af hverjum og í hvaða tilgangi upplýsingum er safnað um hann, s.s. þegar um er að ræða auglýsingar á Netinu. Þar sem börn þurfa að njóta sérstakrar verndar ættu hvers kyns upplýsingar og tilkynningar, þegar vinnsla beinist að barni, að vera á skýru og einföldu máli sem barnið getur auðveldlega skilið.
Röð tilmæla til vinnuveitenda voru gefin út af 29. gr. starfshópnum sem mæla gegn
því að einstaklingsmiðuð ákvörðunartaka sé byggð á sjálfvirkri vinnslu upplýsinga.
Helstu rökin sem hópurinn notast við er ójafnvægi í aðstöðu vinnuveitenda annars
vegar og starfsmanna hins vegar. Starfsmenn geta vart, nema undir mjög sérstökum
kringumstæðum gefið samþykki fyrir vinnslunni sem teldist óþvingað. Það er því afar
sjaldgæft að í vinnuréttarsambandi sé samþykki grundvöllur vinnslu
persónuupplýsinga.160 Enda gefur auga leið að aðstöðumunur á milli vinnuveitandans
og launþegans töluverður.
159 sama heimild. 160 „EU Article 29 Working Party Releases Extensive GDPR Guidance on Data Processing at Work“ (Inside Privacy, 4. júlí 2017) <https://www.insideprivacy.com/international/european-union/wp29-releases-gdpr-guidance-on-data-processing-at-work/> skoðað 27. september 2017.
63
Kafli 6. Samspil sjálfvirkra ákvarðana og persónusniða 6.1 Inngangur Ætlunin er að í þessum kafla verði gerð grein fyrir því sem er sambærilegt við gerð
persónusniða og sjálfvirkar ákvarðanir. Eins er ætlunin að fjalla um það sem ekki er
sambærilegt. Því næst verður fjallað um réttindi hins skráða sem kvikna þegar hann
verður andlag persónusniðs og/eða sjálfvirkrar ákvörðunar. Að lokum verður tekið
raunverulegt dæmi um þau réttindi hins skráða sem vernda þarf.
6.2 Skil á milli sjálfvirkra ákvarðana og gerða persónusniða Sjálfvirkar ákvarðanatökur geta farið fram með og án gerðar persónusniða. Gerð
persónusniða fer fram óháð sjálfvirkri ákvarðanatöku. Það þýðir þó ekki að sjálfvirkar
ákvarðanatökur og gerð persónusniða séu með öllu aðskilin athæfi. Sem dæmi um
sjálfvirkar ákvarðanatökur sem þróast svo hugsanlega út í það að grundvallast að
einhverju leyti á gerð persónusniða má nefna dæmi um hraðasektir sem sett var fram
í kafla 6.2.
Skilin á milli sjálfvirkra ákvarðana og persónusniða eru einna helst þau að gerð
persónusniða telst vinnsla persónuupplýsinga í skilningi 6. gr. GDPR líkt og áður hefur
verið rakið í kafla. Sjálfvirkar ákvarðanatökur fela í sér vinnslu sem hefur veruleg áhrif
á hinn skráða og er raunar ekki heimil samkvæmt 1. mgr. 22. gr. GDPR nema þá í
undantekningatilvikum sem getið er í a – c-liðum 2. mgr. 22. gr. líkt og gerð hefur verið
grein fyrir í kafla 4.5. Sjálfvirkar ákvarðanatökur lúta strangari skilyrðum en gerð
persónusniða, þótt eðlis síns vegna séu bæði athæfin inngrip í grundvallarréttindi og
frelsi hins skráða, þá þykja sjálfvirkar ákvarðanatökur meira íþyngjandi, að því gefnu
að þær feli í sér veruleg áhrif. Það má því telja eðlilegt að þeim sé sniðinn þrengri
stakkur en gerð persónusniða sem raunar fer um eins og hverja aðra almenna vinnslu
persónuupplýsinga.
Til að gerð persónusniða falli undir 22. gr. GDPR þurfa þau að vera hluti af þeim
sjálfvirku gagnavinnslum sem sjálfvirkar ákvarðanatökur byggja á. Þá athugast hér að
persónusnið ein og sér geta ekki talist falla inna gildissviðs 1. mgr. 22. gr. enda er þar
kveðið á um að ákvörðun sé tekin. Það er ekki eðli persónusniða að fela í sér
ákvarðanatöku, þó oft séu ákvarðanir teknar á grundvelli þeirra. Þetta sést einnig í 1.
64
mgr. 22. gr. þar sem gerð persónusniðs er talin tilheyra gagnavinnslu. Persónusnið
þurfa því að vera skref í átti til sjálfvirkrar ákvarðanatöku sem hefur eins og 1. mgr. 22.
gr. segir „réttaráhrif að því er varðar hann sjálfan [hinn skráða] eða snertir hann á
sambærilegan hátt að verulegu leyti.“
Greinilegur eðlismunur er á sjálfvirkri ákvarðanatöku og gerð persónusniða. Ef
sjálfvirkar ákvarðanatökur eru ökumaður þá eru persónusnið bifreiðin sem kemur
honum á milli staða. Það er ekki bifreiðinni að kenna ef ökumaðurinn gerist brotlegur
við umferðarlög. Rétt eins og það er ekki persónusniðunum að kenna ef sjálfvirkar
ákvarðanatökur hafa veruleg áhrif á hinn skráða en mistekst að grundvalla heimild
sína á undantekningarákvæðum 2. mgr. 22. gr. GDPR.
6.2.1 Samanburður á heimildum til vinnslu
Þegar hefur verið fjallað um heimildir til vinnslu bæði sjálfvirkra ákvarðana og gerða
persónusniða. Hér verður leitast við að gera á skýran hátt grein fyrir þeim stigsmun
sem er að finna á kröfum sem gerðar eru til heimilda fyrir vinnslunum.
Í tilfelli persónusniða gildir 6. gr. GDPR og þau skilyrði sem þar eru fyrir vinnslu
persónuupplýsinga. En um sjálfvirkar ákvarðanatökur er kveðið í 22. gr. GDPR. Í
báðum tilvikum má segja að vinnslan sé heimil ef samþykki, lagaheimild eða
samningur sem byggir á því að hún fari fram, séu til staðar.
Kröfurnar sem gerðar eru til samþykkis í sambandi við gerð persónusniða eru að það
sé til staðar frá hendi hins skráða og að vinnslan fari fram í þeim tilgangi, einum eða
fleiri sem hinum skráða var gerð grein fyrir við veitingu samþykkis. Eins og kemur fram
í kafla 4.5.2 þá verður að telja að samþykki í verki dugi raunar til að heimila vinnslu á
grundvelli a-liðar 1. mgr. 6. gr. GDPR. Hins vegar eru öllu stífari kröfur gerðar til
samþykkis í tengslum við sjálfvirkar ákvarðanatökur. Þar er gerð krafa um
afdráttarlaust samþykki. Sú krafa er til þess fallin að leggja á herðar ábyrgðaraðila
auknar skyldur við öflun samþykkis og ýta undir að hinn skráði sé enn frekar upplýstur
um hvað felist í þeirri vinnslu sem hann er að veita samþykki sitt fyrir.
Þegar kemur að gerð og eða framkvæmd samnings eru kröfurnar sambærilegri. Í raun
er á ensku sama orðalagið. Slíkt bendir til þess að ekki hafi verið ætlunin að breyta
65
merkingu þessara skilyrða á milli ákvæðanna.161 Í b-lið 1. mgr. 6. gr. sem snýr að
samning sem heimild fyrir gerð persónusniðs og a-lið 2. mgr. 22. gr. sem lýtur að
samningi sem heimild fyrir sjálfvirkri ákvarðanatöku er í báðum tilfellum settur fram sá
möguleiki að vinnslan eigi sér stað í aðdraganda samnings, það er að segja að hún
nái til ráðstafana sem þurfi að grípa til áður en samningur er gerður. Það segir ekki
berum orðum í a-lið 2. mgr. 22. gr. en þó segir að ef ákvörðunin er (nauðsynleg á
ensku) „forsenda þess að unnt sé að gera[...] samning“ þá megi ákvörðunin vera
sjálfvirkt tekin og hafa réttaráhrif eða sambærileg áhrif á hinn skráða.
Síðasta sameiginlega heimildin fyrir vinnslu er að ef kveðið er á um heimildina í lögum,
Sambandsins eða aðildarríkis. Í c-lið 1. mgr. 6. gr. er að finna þá heimild til að gera
persónusnið á grundvelli laga en þó einungis ef skylda þess efnis hvílir á ábyrgðaraðila
samkvæmt lögum. Í b-lið 2. mgr. 22. gr. er að finna heimild til sjálfvirkar ákvarðanatöku
sem hefur réttaráhrif eða sambærileg áhrif ef ákvörðunartakan er heimilið í
Sambandslögum eða lögum aðildarríkis. Þó er í sama staflið útlistuð nánari krafa um
lagaheimildina, en í lögunum sem heimila slíka ákvarðanatöku, þarf einnig að vera
kveðið á um viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni
hins skráða.
6.3 Réttur hins skráða
6.3.1 Almennt
Í þessum kafla verður gerð grein fyrir þeim réttindum hins skráða sem lifna við þegar
samkvæmt GDPR þegar gerð eru persónusnið eða þegar sjálfvirkar ákvarðanir eru
teknar sem hafa veruleg áhrif á hinn skráða.
161 Hér er mismunur á texta þeirra draga að þýðingu sem Persónuvernd sendi frá sér og texta GDPR á ensku. Í ensku útgáfunni er a-liður 2. mgr. 22. gr. svohljóðandi: „is necessary for entering into, or performance of, a contract between the data subject and the data controller“ en í drögum að þýðingu frá Persónuvernd segir í a-lið 2. mgr. 22. gr.: „er forsenda þess að unnt sé að gera eða framkvæma samning milli skráða einstaklingsins og ábyrgðaraðila“. Enski textinn er eins í a-lið 2. mgr. 22. gr. og hann er í b-lið 1. mgr. 6. gr. það er að segja, þar er einnig kveðið á um að „necessary“ (nauðsyn) sem skilyrði. Í íslensku drögunum er í b-lið einnig kveðið um nauðsyn líkt og í ensku útgáfunni. Það má því gera athugasemd við það að orðið forsenda sé sett inn í a-lið 2. mgr. 22. gr. í íslensku drögunum og ákvæðið því ekki samhljóða b-lið 1. mgr. 6. gr. í íslensku drögunum á meðan sama orðalag er notað í ensku útgáfu GDPR.
66
6.3.2 Réttindi hins skráða í GDPR
Vegna þeirra miklu hættu sem getur skapast við vinnslu persónuupplýsinga, þá er rétt
að huga vel að réttindum hins skráða. Enda geta verið miklir hagsmunir í húfi er varða
rétt hins skráða til að halda upplýsingum um sig og einkamálefni sín fyrir sig.
Ábyrgðaraðilar ættu því að gæta vel að því að ferlar þeirra við vinnslu
persónuupplýsinga séu gagnsæir.162 Þeir eiga til dæmis að upplýsa hinn skráða um
vinnsluna og gerð persónusniða sem og afleiðingar þeirrar vinnslu sem þeir standa að
samkvæmt 60. gr. aðfararorða GDPR. Réttur hins skráða er að styrkjast talsvert með
tilkomu GDPR. Enda leggur GDPR töluvert meiri og fleiri skyldur á ábyrgðaraðila en
áður var gert.
Gerð verður grein fyrir hverjum rétti hins skráða í næstu köflum og þá athugað hvort
munur er á réttindum hins skráða eftir því hvort um er að ræða gerð persónusniða eða
sjálfvirkar ákvarðanatökur. Falli ákvarðanatökur utan skilgreiningar 22. gr. þá annað
hvort vegna þess að þær eru ekki alveg sjálfvirkar eða vegna þess að áhrif þeirra eru
ekki talin veruleg, þá fer um þær eins og hverja aðra vinnslu sem byggir á
persónuupplýsingum og fer þá eins um réttindi sem kvikna vegna þeirra og gerð
persónusniða.163
6.3.2.1 Réttur til upplýsinga
Vinni ábyrgðaraðilinn að ákvarðanatöku sem byggir á sjálfvirkri gangavinnslu í
samræmi við 1. mgr. 22. gr. GDPR skal hann upplýsa hinn skráða um að hann sé að
gangast við því að slík vinnsla og ákvarðanataka fari fram samanber f-lið 2. mgr. 13.
gr. GDPR og þá á þeim tíma sem upplýsingum er safnað. Ef upplýsingarnar stafa frá
öðrum en hinum skráða skal samkvæmt g-lið 2. mgr. 14. gr. veita hinum skráða
upplýsingar sem eru til þess fallnar að tryggja sanngjarna og gagnsæja vinnslu
gagnvart hinum skráða. Þar að auki skal hann veita upplýsingar um rökfræðina sem
felst í vinnslunni og leiðir til ákvörðunarinnar samanber 63. gr. aðfararorða GDPR
ásamt útskýringum á mikilvægi vinnslunnar og lýsingu á fyrirsjáanlegum afleiðingum.
Tilkynningarskyldan nær í grunnatriðum til þriggja þátta. Það eru í fyrsta lagi
upplýsingar um að vinnslan fari fram og hvers kyns hún er, í öðru lagi gagnlegra
162 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 13. 163 sama heimild 23.
67
upplýsinga um rökin að baki vinnslunni og í þriðja lagi þýðingu vinnslunnar og
fyrirhugaðar afleiðingar hennar fyrir hinn skráða.164
Það eru góðir starfshættir að veita framangreindar upplýsingar óháð því hvort vinnslan
fellur undir skilgreiningu 1. mgr. 22. gr. GDPR eður ei. Ábyrgðaraðilinn þarf ávallt að
veita hinum skráða nægjanlegar upplýsingar til að vinnslan geti talist sanngjörn og þá
eru frekari skilyrði um veitingu upplýsinga í 13. og 14. gr. GDPR.165
Þá skal og samkvæmt 60. gr. aðfararorða GDPR upplýsa hinn skráða um það að gert
hafi verið persónusnið og um afleiðingar þess. Enda krefjast meginreglurnar um
sanngirni og gangsæi þess að við vinnslu persónuupplýsinga sé hinum skráða tilkynnt
um að vinnsla eigi sér stað og í hvaða tilgangi samanber 60. gr. aðfararorðanna.
Þegar persónuupplýsinga er aflað um skráðan einstakling, hjá honum sjálfum ber að
upplýsa viðkomandi við söfnun upplýsinganna samkvæmt 1. mgr. 13. gr. GDPR. Þau
atriði sem upplýsa skal um eru listuð upp í a – f-lið 1. mgr., a – f-lið 2. mgr. sem og 3.
mgr. Skiptir þar engu hvort um er að ræða gerð persónusniða eða sjálfvirkar
ákvarðanatökur sem hafa veruleg áhrif. Upplýsingarnar skulu veittar hinum skráða
innan hæfilegs frests, með hliðsjón af aðstæðum hverju sinni samkvæmt 61. gr.
aðfararorðanna. Þá segir einnig í 61. gr. aðfararorðanna að ef ekki sé hægt að skýra
hinum skráða frá uppruna upplýsinganna vegna þess að þær stafi frá mörgum
mismunandi heimildum skuli veita almennar upplýsingar. Ekki er þó samkvæmt 62. gr.
aðfararorðanna skylt að greina hinum skráða frá upplýsingum ef hann hefur þær undir
höndum, eða ef það er sérstaklega mælt fyrir um skráninguna eða birtingu
persónuupplýsinganna í lögum. Eins getur reynst ómögulegt eða óhófleg fyrirhöfn að
veita hinum skráða upplýsingar, þá sérstaklega ef um er að ræða skjalavistun í
almannaþágu og ef um marga einstaklinga er að ræða.
Þegar persónuupplýsinga er aflað um hinn skráða annars staðar frá en hjá honum
sjálfum gilda ákvæði 14. gr. GDPR um það hvaða upplýsingum hinn skráði á rétt á.
Þá er helsti munurinn á þeim upplýsingum sem veita skal hinum skráða sá að þegar
persónuupplýsingarnar stafa ekki frá honum sjálfum, þá á hann rétt á að vita hvaðan
164 sama heimild 14. 165 sama heimild.
68
þær eru fengnar samanber f-lið 2. mgr. 14. gr. og að auki á hinn skráði rétt á að vita
samkvæmt g-lið 2. mgr. 14. gr. að hvaða marki sjálfvirk ákvarðanataka fari fram á
grundvelli upplýsinganna. Með þessu hefur hinn skráði þá fengið þær upplýsingar sem
hann hefði haft ef hann hefði sjálfur veitt upplýsingarnar.
Ekki verður séð að það breyti neinu hvort standi til að gera persónusnið eða taka
sjálfvirkar ákvarðanir sem hafa veruleg áhrif á hinn skráða. Rétturinn er sá sami til
þess að vita hvaðan upplýsingarnar eru fengnar. Hinn skráði á rétt á því að vita hvort
sjálfvirk ákvarðanataka fari fram á grundvelli upplýsinga sem ekki stafa frá hinum
skráða samanber g-lið 2. mgr. 14. gr. GDPR. Ef sjálfvirk ákvarðanataka byggir á
upplýsingum sem ekki stafa frá hinum skráða á hinn skráði rétt á að fá samkvæmt g-
lið 2. mgr. upplýsingar um þau rök sem að baki ákvörðuninni liggja og einnig þýðingu
og fyrirhugaðar afleiðingar slíkrar vinnslu fyrir hinn skráða.
Standi til að vinna upplýsingar með það fyrir augum að gera persónusnið sem verður
grundvöllur ákvarðanatöku, hvort sem sú ákvarðanataka fellur undir gildissvið 22. gr.
GDPR eða ekki, þá verður að upplýsa hinn skráða um þá fyrirætlan.166
6.3.2.2 Upplýsingar um rökin að baki vinnslunni
Ábyrgðaraðila ber að finna leiðir til að útskýra fyrir hinum skráða þá rökfræði sem býr
að baki sjálfvirkum ákvörðunum eða gerð persónusniða. Það er ekki þar með sagt að
ítarlegar upplýsingar um algrímuna (e. algorithm) að baki vinnslunni séu þær
upplýsingar sem gagnast hinum skráða best. Upplýsingarnar verða að hafa þýðingu
fyrir hinn skráða. Með það fyrir augum verður að taka tillit til þess hver hinn skráði er
og hver tæknileg þekking hans er.167 Slík skylda er lögð á ábyrgðaraðila í 60. gr.
aðfararorðanna líkt og fjallað var um í kaflanum hér á undan. Í 58. gr. aðfararorðanna
er fjallað um það að meginreglan um gagnsæi geri þá kröfu að allar upplýsingar sem
ætlaðar eru almenningi eða hinum skráða séu gagnorðar, aðgengilegar og
auðskiljanlegar á skýru og einföldu máli. Þá er lagt til að sjónrænum aðferðum sé beitt
eftir því sem við á.
166 sama heimild 23. 167 sama heimild 14.
69
Í 22. gr. GDPR er hvergi minnst berum orðum á rétt hins skráða til útskýringa á þeirri
ákvörðun sem tekin var. Í GDPR er hvergi að finna rétt hins skráða sem hefur orðið
andlag sjálfvirkrar ákvörðunar til útskýringar, nema þá hugsanlega í 71. gr.
aðfararorðanna. Þar sem kveðið á um rétt hins skráða til að „fá útskýringar á ákvörðun
sem tekin er“. Aðfararorð eru ekki lagalega bindandi heldur veita þau leiðbeiningu um
hvernig túlka skuli texta ákvæða reglugerða. Aðfararorðin sjálf geta ekki stofnað nýjan
rétt og því verður að telja að þar sem ekki er kveðið á um það í berum orðum í 22. gr.
GDPR að réttur sé til upplýsinga um ákvörðun sem tekin hefur verið, að sá réttur sé
ekki til staðar.168
6.3.2.3 Þýðing vinnslunnar og afleiðingar hennar
Rétt er að veita hinum skráða upplýsingar um þýðingu þeirrar vinnslu hvers andlag
hann er og hverjar fyrirséðar afleiðingar vinnslunnar eru. Til að gera þessar
upplýsingar aðgengilegar fyrir hinn skráða er rétt að gefa dæmi um hugsanlegar
afleiðingar. Það má hugsa sér dæmi um tryggingafélag sem notar sjálfvirka vinnslu til
að taka ákvarðanir um iðgjöld af bifreiðatryggingum. Ákvarðanirnar eru byggðar á
aksturslagi ökumanns. Til að sýna fram á mögulegar afleiðingar vinnslunnar er það
útskýrt fyrir hinum skráða ökumanni að hættulegt aksturslag geti leitt til hækkunar
iðgjalds á bifreiðatryggingum hans. Í smáforriti sem tryggingafélagið stendur að má
finna dæmisögu um ökumann sem stundar glæfraakstur á borð við það að taka
harkalega af stað, aka of hratt og nauðhemla. Þá væri hægt að sýna með línuriti
hversu mikið iðgjöldin kunna að hækka ef aksturslag ökumannsins er sambærilegt
dæminu. 169
6.3.2.4 Réttur til aðgangs
Réttur hins skráða til aðgangs að upplýsingum um sjálfvirka ákvarðanatöku og þar
með talið gerð persónusniða er staðfestur í h-lið 1. mgr. 15. gr. GDPR sem og f-lið 2.
mgr. 13. gr. og g-lið 2. mgr. 14. gr.170 Þær upplýsingar skulu vera um tilvist sjálfvirkrar
168 Sandra Wachter, Brent Mittelstadt og Luciano Floridi, „Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation“ (2017) 7 (2) International Data Privacy Law 76. 169 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 15. 170 Upptalin lagaákvæði eru öll eins og í drögum að þýðingu á GDPR hljóma ákvæðin svo: [Ábyrgðaraðili skal veita skráðum einstaklingi upplýsingar um] hvort fram fari sjálfvirk ákvarðanataka, þ.m.t.. gerð persónusniðs, sem um getur í 1. og 4. mgr. 22. gr., og, a.m.k. í þeim tilvikum, marktækar upplýsingar um þau rök sem þar liggja að baki og einnig þýðingu og fyrirhugaðar afleiðingar slíkrar vinnslu fyrir hinn skráða.
70
ákvarðanatöku og þeirrar gagnavinnslu sem hún krefst og þar með talið gerð
persónusniða ef við á, upplýsingar um rökfræðina að baki vinnslunni sem hafa þýðingu
fyrir hinn skráða, það er að rökfræðin sé útskýrð á þann hátt að hinn skráði skilji hana
og upplýsingar um þýðingu og fyrirsjáanlegar afleiðingar af slíkri vinnslu á hinn skráða.
Sú yfirsýn sem 15. gr. boðar að hinn skráði skuli hafa er víðtækari en um leið almennari
en 14. gr. kveður á um. Beiting réttarins til aðgangs samanber 15. gr. er þó til þess
fallin að upplýsa hinn skráða um að verið sé að taka ákvarðanir um hann, jafnvel
ákvarðanir byggðar á persónusniði sem gert hefur verið um viðkomandi.171 Í 14. gr.
felst réttur til nákvæmari upplýsinga um hverja og eina ákvörðun og grundvöll hennar.
Það er lítill varnagli sleginn í 63. gr. aðfararorðanna þar sem segir að réttur hins skráða
til aðgangs að gögnum um sig eigi þrátt fyrir allt ekki að hafa neikvæð áhrif á réttindi
og frelsi annarra og friðhelgi einkalífs. Í greininni eru talin upp viðskiptaleyndarmál eða
hugverkaréttindi sem dæmi og tekið fram að höfundarréttur sem gildir um hugbúnað
skuli verndaður. Af þessu má þó ekki leiða að neita skuli hinum skráða um aðgang að
upplýsingum. Heldur ætti ábyrgðaraðili einungis undir vissum kringumstæðum að geta
skýlt sér á bak við réttindin sín og neitað hinum skráða um aðgang. Þá fer fram
samanburður á réttindum hins skráða til aðgangs og réttur ábyrgðaraðila til verndar,
til dæmis höfundaréttar.172
Ábyrgðaraðili skal samkvæmt 1. mgr. 12. gr. veita hinum skráða nákvæmar,
gagnsæjar, upplýsandi og aðgengilegar upplýsingar um vinnslu persónuupplýsinga
þeirra. Þegar um er að ræða upplýsingar sem safnað er beint frá hinum skráða skulu
upplýsingarnar frá ábyrgðaraðilanum liggja fyrir strax við söfnun
persónuupplýsinganna samanber 13. gr. GDPR. Hins vegar þegar um er að ræða
upplýsingar sem koma óbeint frá hinum skráða, það er í gegnum þriðja aðila þá skal
fylgja þeim tímaramma sem finna má í 3. mgr. 14. gr. GDPR. Í 3. mgr. segir að
upplýsingarnar skulu veittar hinum skráða innan hæfilegs tíma eftir að ábyrgðaraðili
fékk persónuupplýsingarnar, í síðasta lagi mánuði eftir samkvæmt a-lið 3. mgr. Ef nota
skal persónuupplýsingarnar til samskipta við hinn skráða þá skal samkvæmt b-lið 3.
171 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 24. 172 sama heimild.
71
mgr. upplýsa viðkomandi um þau atriði er talinn eru upp í 1. og 2. mgr. 14. gr. GDPR
í síðasta lagi þegar haft er samband við hinn skráða í fyrsta skipti.
Hyggist ábyrgðaraðili vinna persónuupplýsingar í öðrum tilgangi en lá að baki við
söfnun upplýsinganna þá ber honum samkvæmt 4. mgr. 14. gr. að láta hinum skráða
í té upplýsingar um hinn nýja tilgang áður en sú vinnsla hefst ásamt öðrum
viðbótarupplýsingum sem kveðið er á um í 2. mgr. 14. gr.
Þá skal aðgangur sá að upplýsingum sem hér hefur verið útlistaður veittur samkvæmt
3. mgr. 12. gr. GDPR, án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar
frá því að þess er óskað sérstaklega, komi til þess.
6.3.2.5 Réttur til leiðréttingar, eyðingar og takmörkunar vinnslu
Notkun persónusniða getur falið í sér spádóm um hegðun eða heilsu hins skráða sem
dæmi. Af því leiðir að áhætta getur falist í ónákvæmum upplýsingum. Því eru réttindin
sem 16., 17., og 18. gr. tryggja, afar mikilvæg.173 Rétturinn til leiðréttingar er tryggður
í 16. gr., rétturinn til eyðingar upplýsinga í þeirri 17. og rétturinn til takmörkunar vinnslu
upplýsinga í þeirri 18.
Verði skráður einstaklingur á einhvern hátt var við að upplýsingar um hann séu rangar
og leiði til niðurstöðu sem er ekki í samræmi við raunveruleikann, getur hann fengið
upplýsingarnar sem ákvarðanir eru byggðar á leiðréttar án ótilhlýðilegrar tafar
samkvæmt 16. gr. Sem dæmi um slíkt má nefna tölfræðileg gögn sem segja að hinn
skráði sé líklegri en aðrir til að fá hjartaáfall vegna líkamsþyngdar sinnar og
matarræðis. Hafi hinum skráða tekist að snúa við blaðinu og taka upp heilbrigðari lífstíl
hefur hann rétt á að tillit sé tekið til þess og að ný líkamsþyngd hans sé færð inn í
útreikninginn og hugsanlega verði hann því tekinn úr áhættuhópi. Rétturinn til
leiðréttingar tekur því bæði til þess sem er grundvöllur persónusniðs (líkamlegt ástand
og lífstíll) og ákvarðana sem byggðar eru á því (vera hins skráða á lista yfir fólk í
sérstökum áhættuhópi).174 Það sama gildir um réttinn til eyðingar upplýsinga, honum
er hægt að beita bæði á frumgögn og niðurstöðurnar, ef afturköllun samþykkis hefur
farið fram.
173 sama heimild. 174 sama heimild 25.
72
Rétturinn til að takmarka vinnslu getur tekið til allra stiga vinnslunnar. Samkvæmt 1.
mgr. 18. gr. skal skráður einstaklingur hafa rétt til þess að ábyrgðaraðili takmarki
vinnslu þegar eitt af þeim atriðum á við sem talin eru upp í a – d-lið 1. mgr. Takmörkun
vinnslu getur samkvæmt a-lið byggt á að persónuupplýsingarnar séu rangar, vinnslan
sé ólögmæt samkvæmt b-lið, ábyrgðaraðilinn þurfi ekki lengur á
persónuupplýsingunum að halda fyrir vinnsluna en skráði einstaklingurinn þarfnast
þeirra til að stofna, hafa uppi eða verja réttarkröfur samanber c-lið og að lokum að hinn
skráði hafi andmælt vinnslunni og það sé til athugunar hvort hagsmunir ábyrgðaraðila
gangi framar hagsmunum hins skráða.
6.3.2.6 Réttur til andmæla
Andmælaréttur hins skráða skal vera sýnilegur og skilinn frá öðrum upplýsingum þegar
skilamálar eru annars vegar. Andmælaréttinn er að finna í 21. gr. GDPR sem veitir
hinum skráða heimild til að mótmæla vinnslu persónuupplýsinga um sig, þar á meðal
gerð persónusniðs, sem snýr að aðstæðum hjá hinum skráða. Ábyrgðaraðilum ber að
setja þennan rétt skýrt fram í öllum tilvikum þar sem vinnsla byggir á heimildum sem
finna má í e- eða f-lið 1. mgr. 6. gr. GDPR, það er þegar vinnsla er nauðsynleg vegna
verkefnis sem er unnið í þágu almannahagsmuna eða þegar vinnsla er nauðsynleg
með tilliti til verulegra lögmætra hagsmuna sem ábyrgðaraðili gætir eða þriðji aðili.
Þegar hinn skráði virkjar andmæla rétt sinn verður ábyrgðaraðili að stöðva vinnslu
persónuupplýsinga eða koma í veg fyrir að vinnsla hefjist hafi hún ekki þá þegar hafist
samanber d-lið 1. mgr. 18. gr. GDPR. Þá getur ábyrgðaraðili neyðst til að eyða þeim
persónuupplýsingum sem er verið að vinna samkvæmt d-lið 1. mgr. 18. gr.
Verulegir lögmætir hagsmunir eru ekki skilgreindir frekar í GDPR. Þegar vafi leikur á
um hvort um er að ræða verulega lögmæta hagsmuni er ákveðið mat sem þarf að fara
í gegnum. Athuga þarf hvort gerð persónusniðsins hafi eitthvað fram að færa sem
gagnast stórum hluta samfélagsins. Ef gerð persónusniðsins þjónar einungis
viðskiptahagsmunum ábyrgðaraðila þá er sönnunarbyrðin fyrir mikilvægi þess á
ábyrgðaraðilanum. Hann þarf þá að sanna að áhrif gerðar persónusniðsins á hinn
skráða sé með minnsta mögulega móti til að hægt sé að ná þeim tilgangi sem stefnt
73
er að. Ábyrgðaraðili þarf einnig að sanna að markmiðið sé brýnt fyrir ábyrgðaraðilann
sjálfan.175
Jafnvægi þarf að vera á milli hagsmuna ábyrgðaraðila og þeirrar ástæðu sem hinn
skráði gefur fyrir andmælum sínum. Þær ástæður geta verið persónulegar, félagslegar
eða faglegar. Þarna er breytingu að finna frá því í tilskipun 95/46/EB. Þar var það hins
skráða að sanna að það væru ekki lögmætir hagsmunir fyrir vinnslunni, öfugt við það
sem nú segir í GDPR að það sé ábyrgðaraðila að sanna að hann hafi lögmæta
hagsmuni.176
Óskilyrta heimild hins skráða til að andmæla vinnslu persónuupplýsinga um sig er að
finna í 2. mgr. 21. gr. GDPR. Þar segir að ef vinnslan er í beinum markaðslegum
tilgangi þá geti hinn skráði einfaldlega andmælt vinnslunni. Hinn skráði getur andmælt
hvenær sem er í ferli vinnslunnar og endurgjaldslaust. Hvort sem um er að ræða
upphaflega vinnslu eða frekari vinnslu og þennan rétt hefur hinn skráði, án þess að
fram þurfi að fara prófun á hvort vegi hærra í því tilfelli, hagsmunir ábyrgðaraðila eða
hins skráða. Þetta gildir einnig um gerð persónusniða í markaðslegum tilgangi
samanber 70. gr. aðfararorða GDPR.
6.4 Mat á áhrifum á persónuvernd Mikil áhersla er lögð á ábyrgð í GDPR. Mat á áhrifum á persónuvernd er leið til að
sýna að viðeigandi öryggisráðstafanir hafi verið gerðar til að tryggja og sýna fram á
fylgni við GDPR. Mat á áhrifum á persónuvernd gerir ábyrgðaraðilum kleift að meta
áhættur sem tengjast sjálfvirkum ákvarðanatökum og gerð persónusniða.177
Matinu er ætlað að lýsa vinnslunni og leggja mat á nauðsyn og meðalhóf og aðstoða
við að stýra áhættunni sem vinnslan felur í sér fyrir friðhelgi einkalífs og
grundvallarréttindi skráðra einstaklinga. Eins stuðla möt sem þessi að því að
ábyrgðaraðilar sjá hvaða viðbrögð þurfa að koma til svo þeir séu að starfa samkvæmt
reglum GDPR. Fari mat á áhrifum á persónuvernd ekki fram þegar slíkt ber að
framkvæma, þá getur það leitt til stjórnvaldssekta upp að allt að 10 milljónum evra eða
175 sama heimild. 176 sama heimild 26. 177 sama heimild 27.
74
2% af ársveltu á heimsgrundvelli.178 Þá er rétt að benda á að skyldan til að framkvæma
mat á áhrifum á persónuvernd ef vinnslan er líkleg til að fela í sér mikla áhættu fyrir
réttindi og frelsi hins skráða, tekur ekki einungis til nýrrar vinnslu.179
Í 1. mgr. 35. gr. GDPR er kveðið á um að mat á áhrifum á persónuvernd skuli fara
fram ef:
[L]íklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðilinn láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst. Eitt og sama mat getur tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættuþætti.
Matið skal fara fram áður en til vinnslunnar kemur samanber 1. mgr. og skal hefjast
við fyrsta tækifæri og þá jafnvel þó ekki sé með öllu ljóst hvaða vinnsla felist í
fyrirætlunum ábyrgðaraðila. Sú afsökun að hugsanlega þurfi að uppfæra matið síðar
og þess vegna sé rétt að bíða með það fram til þess tíma að allt er komið fram sem
meta þar, verður ekki tekin gild að mati 29. gr. starfshópsins.180 Þá er það á ábyrgð
ábyrgðaraðila að framkvæma matið samanber 2. mgr. 35. gr. GDPR.
Þess er einkum krafist í 3. mgr. 35. gr. að matið sem skilgreint er í 1. mgr. fari fram
þegar að um er að ræða samkvæmt a-lið 3. mgr. 35. gr. „kerfisbundið og umfangsmikið
mat á persónulegum þáttum“ einstaklinga sem byggir á sjálfvirkri vinnslu. Dæmi um
slíkt gæti verið gerð persónusniða sem og sjálfvirkar ákvarðanir sem hafa veruleg áhrif
í samræmi við 22. gr. GDPR. Eins er þess krafist að mat fari fram ef um er að ræða
„umfangsmikla vinnslu“ viðkvæmra persónuupplýsinga eins og þær sem fjallað er um
í 1. mgr. 9. gr. GDPR og nánari grein er gerð fyrir í kafla 4.5.8 í ritgerð þessari. Þá skal
mat einnig fara fram ef umfangsmikil vinnsla persónuupplýsinga er varða sakfellingu í
refsimálum og refsiverð brot sem um er fjallað í 10. gr. GDPR. Að endingu skal mat
fara fram samkvæmt c-lið 3. mgr. ef um er að ræða „kerfisbundið og umfangsmikið
eftirlit með svæði sem er aðgengilegt almenningi.“
178 ART 29 WP, „Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processin is „likely to result in a high risk“ for the purposes of Regulation 2016/679“ (10. apríl 2017) WP 248 rev.01 4 <http://ec.europa.eu/newsroom/document.cfm?doc_id=47711>. 179 sama heimild 13. 180 sama heimild 14.
75
Orðið einkum í upphafsorðum 3. mgr. 35. gr. felur í sér að ekki er hægt að líta á
upptalninguna í stafliðum málsgreinarinnar sem tæmandi talningu. Það má því gera
ráð fyrir að vinnsluaðferðir séu til sem ekki eru taldar þar upp en fela í sér svipaða
áhættu fyrir réttindi og frelsi hins skráða.181
Samkvæmt 29. gr. starfshópnum má ætla að sú lýsing að matið á persónulegum
þáttum byggi á sjálfvirkri vinnslu þýði að vinnslan þurfi ekki að vera fullkomlega sjálfvirk
með öllu til að hún kalli á mat á áhrifum á persónuvernd.182
6.4.1 Líklega mikil áhætta
Í útskýringu í 1. mgr. 35. gr. GDPR á þeim aðstæðum sem kalla á að mat fari fram, er
talað um að mat á áhrifum á persónuvernd skuli fara fram ef líklegt þyki að tiltekin
vinnsla geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga.
Dæmi um tilfelli sem felur í sér meiri áhættu en ásættanlegt er fyrir réttindin og frelsi
hins skráða er þegar afleiðingarnar fyrir hinn skráða eru töluverðar og jafnvel
óafturkræfar. Sem dæmi um slíkt má nefna lífshótanir og brottrekstur úr starfi sem
hefðu ekki komið til ef öryggi persónuupplýsinga hins skráða hefði verið tryggt betur.
Í GDPR er gerð krafa um að ábyrgðaraðilar geri viðeigandi varúðarráðstafanir og geti
sýnt fram á fylgni sitt við GDPR. Við það þarf meðal annars að hafa stöðugt eftirlit með
þeirri vinnslu sem fram fer og tryggja að hún feli ekki í sér líkur á mikilli áhættu og ef
vinnslan fer skyndilega að fela í sér líkur á áhættu, þá að framkvæma mat á áhrifum
vinnslunnar á persónuvernd. Það eitt að ekki þurfi að fara fram mat á áhrifum á
persónuvernd þýðir ekki að símat á áhættum og líkum á að þær verði að veruleika
þurfi ekki að vera ávallt í gangi. Í raun þurfa ábyrgðaraðilar að vera stöðugt á varðbergi
til að tryggja að vinnsla þeirra fari ekki skyndilega að teljast líkleg til að fela í sér mikla
áhættu fyrir réttindi og frelsi einstaklinga.183 Þegar óljóst er hvort nauðsynlegt sé að
framkvæma mat á áhrifum á persónuvernd, þá mælir 29. gr. starfshópurinn með því
að slíkt mat fari fram. Því í því felist naflaskoðun fyrir ábyrgðaraðila, þeir gera sér betur
181 sama heimild 9. 182 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 27. 183 ART 29 WP, „Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processin is ‘likely to result in a high risk’ for the purposes of Regulation 2016/679“ (n. 178) 6.
76
grein fyrir því hvort starfsemi þeirra standist kröfur GDPR eftir að mat hefur farið
fram.184
Við mat á því hvort vinnsla er líkleg til að fela í sér mikla áhættu verður að líta til níu
atriða að mati 29. gr. starfshópsins. Þau eru hvort: vinnslan feli í sér mat á hinum
skráða og stigagjöf, vinnslan sé sjálfvirk ákvarðanataka sem hefur veruleg áhrif í
skilningi 22. gr. GDPR, vinnslan felist í kerfisbundnu eftirliti, unnið sé með viðkvæmar
persónuupplýsingar, vinnslan sé umfangsmikil, vinnslan feli í sér samkeyrslu
gangagrunna, vinnslan lúti að viðkvæmum einstaklingum, vinnslan feli í sér notkun
nýrrar tækni og hvort vinnslan sjálf komi í veg fyrir að hinn skráði njóti réttar síns eða
nýti sér þjónustu eða gangist við samningi.185
Vinnsla sem fæli í sér mat á hinum skráða og stigagjöf, gæti til að mynda verið
persónusnið sem unnið er sem hluti af frammistöðumati í vinnu eða mat á lánstrausti.
Eins gæti spá um heilsubresti fallið þarna undir sem og markhópur auglýsenda sem
byggir á Internetnotkun.186
Dæmi um sjálfvirkar ákvarðanatökur sem kynnu að falla undir það að fela í sér líkur á
mikilli áhættu fyrir réttindi og frelsi hins skráða, væru til að mynda ákvarðanir sem fælu
í sér mismunun.Til dæmis ef mismunandi verð er lagt á vöru eins og dæmið sem rakið
var í kafla 5.3.2.
6.5 Rétturinn til að verða ekki andlag sjálfvirkrar ákvörðunar Um sjálfvirkar ákvarðanir er eins og áður segir í ritgerð þessari fjallað í 22. gr. GDPR.
Í 1. mgr. 22. gr. er beinlínis útlistaður sá réttur skráðs einstaklings að:
[E]kki sé sé tekin ákvörðun eingöngu á grundvelli sjálfvirkrar gagnavinnslu, þ.m.t. gerðar persónusnið, sem hefur réttaráhrif að því er hann sjálfan varðar eða snertir hann á sambærilegan hátt að verulegu leyti.
Þessi réttur nær ekki til gerðar persónusniða að því gefnu að heimild hafi verið til
þeirrar vinnslu sem í gerð þeirra fólst. Það verður því að álykta að í þessu felist meðal
184 sama heimild 8. 185 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 9–11. 186 ART 29 WP, „Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processin is ‘likely to result in a high risk’ for the purposes of Regulation 2016/679“ (n. 178) 9.
77
annarra atriða munurinn á sjálfvirkum ákvarðanatökum, sem hafa veruleg áhrif annars
vegar og persónusniðum hins vegar. Enda ljóst að vegna þess áskilnaðar að um
veruleg áhrif sé að ræða þá verði að álykta að inngripin sem felast í sjálfvirkum
ákvarðanatökum séu almennt meiri inn í einkalíf fólks og frelsi þess, að því gefnu að
áhrif sjálfvirku ákvarðananna séu í samræmi við 1. mgr. 22. gr.
Hvað varðar þær undanþáguheimildir sem fyrirfinnast í 2. mgr. 22. gr. til að taka
sjálfvirkar ákvarðanir er þrátt fyrir allt að finna varnagla í 3. mgr. Rétturinn til
mannlegrar íhlutunar er tryggður í 3. mgr. 22. gr. ef ákvörðunin er byggð á heimild í a-
eða c-lið 2. mgr. 22. gr.
Sjálfvirkar ákvarðanir eru efni 5. kafla og vísast þangað um nánari umfjöllun.
6.6 Auglýsingar á Internetinu Þjónusta á internetinu er gjarnan gjaldfrjáls, í þeim skilningi að engir peningar koma
frá notandanum til veitandans. Hins vegar er þjónustan iðulega einungis veitt gegn því
að einstaklingar samþykki að upplýsingum um þá sé safnað í staðinn og þá í mörgum
tilvikum í þeim tilgangi að búa til markaðsleg verðmæti.187 Hér verður til skýringar
skoðuð skýrsla norsku persónuverndarstofnunarinnar (n. Datatilsynet) um notkun
persónuganga í auglýsingatilgangi og þær áskoranir sem slík notkun býr til.188
Auglýsingar á internetinu treysta í sífellt ríkara mæli á sjálfvirka gagnavinnslu og fela í
sér vinnslu sem fellur undir skilgreiningu 22. gr. GDPR eins og hún hefur áður verið
útlistuð, enda iðulega um að ræða sjálfvirka ákvarðanatöku. Þó er alls ekki öruggt að
í þeim felist að auglýsingin hafi áhrif á viðkomandi einstakling sem jafna má að
verulegu leyti til réttaráhrifa á einstaklinginn. Slíkt veltur á því hversu ítarlegar og
viðkvæmar upplýsingar um viðkomandi eru notaðar til að móta persónusniðið sem
auglýsingarnar eru valdar út frá, væntingum og óskum viðkomandi einstaklings,
framsetningu auglýsingarinnar eða sérstökum aðstæðum hjá þeim sem auglýsingin
beinist að sem valda því að einstaklingurinn er einstaklega viðkvæmur fyrir
auglýsingunni.189
187 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 11. 188 Fullt nafn skýrslunnar er: The Great Data Race – How commercial utilisation of personal data challenges privacy. Datatilsynet (n. 1) 1. 189 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 11.
78
Í framhaldi af gerð persónusniðs er svo tekin sjálfvirk ákvörðun um hvernig auglýsing
skuli birtast viðkomandi manneskju. Fari fertug kona sem nýtur útiveru og á
sumarbústað, til að mynda inn á heimasíðu fréttamiðils sem stundar það að selja
auglýsingapláss til hæstbjóðenda gegn því að auglýsingin sé miðuð að þeim
einstakling sem kemur inn á vefsvæðið hverju sinni, má leiða líkum að því að IP-tala
viðkomandi, staðsetning, tekjur, kyn, áhugamál og sú heimasíða sem manneskjan er
að skoða og þær síður sem manneskjan hefur skoðað, fari í reikniformúlu, sem er
útbýr persónusnið. Sú reikniformúla gæti svo leitt af sér þá niðurstöðu að þessa
tilteknu konu vanti gönguskó. Þá er tekin ákvörðun um það að birta henni auglýsingu
sem tengist því. Þá fer af stað uppboð á auglýsingaréttinum til þessarar konu sem
vantar gönguskó og hæstbjóðandi getur auglýst sína vöru eða þjónustu á þeirri
heimasíðu sem konan er að heimsækja. Ferlið kann að hljóma einfalt í sjálfu sér en
það þarf að hafa hugfast að allt þetta gerist á meðan heimasíðan er að birtast á
tölvuskjá konunnar. Þar á meðal uppboðið sjálft. Sjálfvirka vinnslan er því gríðarlega
öflug og fyrirtæki keppast við að bjóða betri birtingarkosti fyrir auglýsendur og vilja öll
vinna uppboðið um að auglýsa fyrir augum konunnar sem jafnvel vissi ekki sjálf að
hana vantaði gönguskó.190
6.7 Upplýsingasöfnun á Internetinu Persónusnið og sjálfvirkar ákvarðanatökur eru almennt hluti af daglegu lífi einstaklinga
sem nota Internetið. Í þessum kafla verða dæmi tekin af tveimur stórum fyrirtækjum í
heimi Internetsins og hvernig þau safna upplýsingum um notendur þjónustu sinnar.
Fyrirtækin eru Google og WhatsApp.
Google grundvallast á notkun persónusniða sem byggja á gríðarlegu magni
persónuupplýsinga með það að markmiði að hámarka nýtni leitarvélar fyrirtækisins
sem og að hámarka nýtni þeirra auglýsingaplássa sem fyrirtækið selur og þar með
auka eftirsókn eftir auglýsingaplássum fyrirtækisins. Hagur Google liggur í því að selja
fyrirtækjum og einstaklingum aðgang að auglýsingaplássi.
190 Datatilsynet (n. 1) 11.
79
Birtingar þess eru sérstaklega sniðnar að þeim sem auglýsingin á að ná til, þar með
geta auglýsendur náð markvissari árangri og varið lægri fjárhæðum í markaðssetningu
með meiri árangri. Google beitir sjálfvirkri ákvarðanatöku til að velja hvaða auglýsingar
eiga við hvern einstakling og sú ákvarðanataka veltur á persónusniði sem byggir á
upplýsingum um Internet notkun þess einstaklings.191 Norska
persónuverndarstofnunin spáir því að innan skamms verði einstaklingsmiðaðar
auglýsingar ekki einungis að finna á Internetinu og í smáforritum heldur verði
sjónvarpsauglýsingar einstaklingsmiðaðar.192
Í bréfi193, dagsettu 27. október 2016 og undirrituðu af Isabelle Falque-Pierrotin fyrir
hönd 29. gr. starfshópsins er að finna álit 29. gr. starfshópsins á uppfærðum notenda-
og persónuverndarskilmálum WhatsApp sem teknir voru í gagnið í ágúst 2016.
WhatsApp er skilaboðaforrit sem bæði er í boði fyrir tölvur og snjalltæki, þá sem
smáforrit. Markmiðið er að gera notendum auðveldara fyrir að senda smáskilaboð en
raunin var með hefðbundinni smáskilaboðaaðferð (SMS). Með WhatsApp verða texti,
myndir, myndbönd, skjöld og staðsetningar deilanlegri með öðrum og með einfaldari
hætti en áður. Þá segir enn frekar á heimasíðu WhatsApp að skilaboð og símtöl sem
fara í gegnum forritið séu dulkóðuð frá einu tæki til annars og að enginn þriðji aðili geti
komist yfir gögnin sem um er að ræða. Þar á meðal getur WhatsApp ekki lesið eða
hlustað á hvað notendum forritsins fer á milli.194
Meðal þeirra upplýsinga sem veittar voru notendum WhatsApp við uppfærsluna var að
smáforritið hygðist deila upplýsingum innan þess sem kallað var „Facebook fyrirtækja
fjölskyldunnar“ (e. Facebook family of companies) og að sú útdeiling upplýsinganna
væri í margvíslegum tilgangi, þar á meðal í markaðslegum tilgangi og auglýsinga
miðuðum tilgangi. Þessi tilgangur var ekki til staðar í upphaflegum notenda- og
persónuverndarskilmálum þegar núverandi notendur hófu að nota þjónustuna. Þessar
breytingar eru að áliti 29. gr. starfshópsins í algjörri andstöðu við opinberar yfirlýsingar
fyrirtækjanna tveggja, WhatsApp og Facebook, um að engum gögnum yrði nokkurn
tímann deilt á milli þeirra. Með tilliti til vinsælda smáforritsins WhatsApp, sem státar af
191 sama heimild 5. 192 sama heimild 7. 193 Isabelle Falque-Pierrotin, „Letter of the Chair of the ART 29 WP to Whatsapp“ (24. október 2017) <http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47964>. 194 WhatsApp, „About WhatsApp“ (WhatsApp.com) <https://www.whatsapp.com/about/> skoðað 14. nóvember 2017.
80
rúmlega einum milljarði notenda í yfir 180 löndum,195 má ætla að breytingarnar hafi
áhrif á borgara allra ESB ríkja og muni valda mikilli óvissu á meðal notenda og þeirra
sem eru ekki notendur forritsins samkvæmt bréfi 29. gr. starfshópsins til Jan Koum,
annars forsprakka WhatsApp.196
Í bréfinu lýsir 29. gr. starfshópurinn:
[Þ]ungum áhyggjum af þeim aðferðum sem beitt var við miðlun upplýsinganna um uppfærða skilmála til notenda og jafnframt um gildi samþykkis notenda …
Í viðbót veltir 29. gr. starfshópurinn í bréfinu upp skilvirkni þeirra aðferða sem
notendum standa til boða til að beita rétti sínum samkvæmt lögum gagnvart
WhatsApp. Þar að auki tekur 29. gr. starfshópurinn til skoðunar áhrif á deilingu þessara
gagna á einhvern sem hefur ekki gerst notandi neinnar þjónustu sem fellur undir
Facebook fyrirtækja fölskylduna og þar af leiðandi ekki veitt samþykki sitt á nokkurn
hátt. Meðlimir 29. gr. starfshópsins munu samkvæmt bréfinu gera sitt besta til að fá
skýrari niðurstöðu í málið og vænta þess að grunnreglur í evrópskum lögum um
gagnavernd og landslögum verði virtar á sambærilegan hátt um allt
Evrópusambandssvæðið.197
Starfshópurinn gerir í bréfinu kröfu um það að WhatsApp afhendi þeim öll gögn sem
félagið býr yfir. Þar á meðal nöfn, símanúmer, tölvupóstföng, heimilisföng og
upplýsingar um hvaðan WhatsApp fékk þær upplýsingar. Að auki vill 29. gr.
starfshópurinn fá upplýsingar um hvert þessi gögn hafa farið og hver tók á móti þeim,
hvaða áhrif það kann að hafa á notendur og ef einhver þá hvaða áhrif það kann að
hafa á þriðja aðila. Þessar upplýsingar eru nauðsynlegar til að 29. gr. starfshópurinn
geti áttað sig á því hvort einhverra breytinga sé þörf svo vinnslan standist lagaramma
Evrópusambandsins. Að endingu hvetur 29. gr. starfshópurinn WhatsApp til að bíða
með fyrirhugaða deilingu gagna innan Facebook fyrirtækja fjölskyldunnar þangað til
starfshópurinn hefur ákvarðað hvort hún standist gildandi lög um vernd
persónuupplýsinga.
195 sama heimild. 196 Falque-Pierrotin (n. 193) 1. 197 sama heimild.
81
WhatsApp tók að mati írsku persónuverndarstofnunarinnar jákvæð skref í ágúst 2017
þegar fyrirtækið kynnti til sögunar dálk um algengar spurningar (e. FAQ – frequently
asked questions) þar sem finna mátti spurningar og svör við ýmsum álitaefnum sem
brunnu á notendum og persónuverndaryfirvöldum. Eins kemur fram að í samtali írsku
persónuverndarstofnunarinnar og Facebook á Írlandi og WhatsApp að gagnadeilingin
muni ekki fara fram að svo stöddu. Ekki verði að henni fyrr en WhatsApp geri grein
fyrir því hvað felst nákvæmlega í henni.198
Kafli 7. Lokaorð 7.1 Almennt Þegar hugmyndin að ritgerðinni kom upp á vormánuðum 2017 varð höfundi fljótlega
ljóst að gerð persónusniða og sjálfvirkar ákvarðanatökur eru höfuðið og halinn í
starfsemi margra stórra Internet fyrirtækja. Um einhver þeirra er fjallað í ritgerð þessari.
Við fyrsta lestur yfir drög Persónuverndar að þýðingu á GDPR varð höfundi ljóst að
mikil vinna væri framundan enda um afar umfangsmikla reglugerð að ræða. Álit og
leiðbeiningarreglur 29. gr. starfshópsins gáfu góða mynd af þeim hugtökum sem lögð
voru til grundvallar rannsóknarspurningu þeirri sem lagt var af stað með í upphafi.
Tilgangur þess að koma fram með nýja evrópska reglugerð á sviði persónuverndar er
einna helst sá að uppfæra þá tilskipun 95/46/EB sem þegar gildir á sviðinu.
Uppfærslan er í tvennum skilningi mikilvæg, í fyrsta lagi er um að ræða regluverk sem
stendur skör hærra sem réttarheimild en tilskipunin, einungis vegna eðlis heimildanna.
Reglugerðum er gert hærra undir höfði en tilskipunum samanber umfjöllun í kafla
2.4.4. Í öðru lagi er verið að færa regluverkið til samtímans, síðan tilskipun 95/46/EB
var sett og samin hefur tæknibylting gengið yfir Evrópu. Internetið er nánast allstaðar
og tæki og tól eru til staðar fyrir fyrirtæki til að rekja hegðun og háttalag einstaklinga í
hinum ýmsu forritum og á hinum ýmsu vefsvæðum. Því fylgir meira upplýsingaflæði
en nokkurn tíman áður.
198 Graham Doyle, „31-10-2017 Commissioners Statement on Art 29 Working Party Letter to WhatsApp. - Data Protection Commissioner - Ireland“ (Data Protection Commisioner, Ireland) <https://www.dataprotection.ie/docs/EN/31-10-2017-Commissioners-statement-on-Art-29-Working-Party-letter-to-WhatsApp-/m/1675.htm> skoðað 30. nóvember 2017.
82
Það er eilífðarverkefni fyrir handhafa lagasetningarvalds að reyna að halda í við öra
tækniþróun samtímans. GDPR er nýjasta tilraun Evrópuþingsins og ráðsins til að ná
utan um þann flaum upplýsinga um fólk sem fyrirtæki og opinberir aðilar sanka að sér
og nýta sér með einum eða öðrum hætti. Á því tímabili sem ritgerð þessi er skrifuð eru
mörg fyrirtæki og opinberir aðilar að undirbúa starfsemi sína fyrir innreið GDPR.
7.2 Svar við rannsóknarspurningu
7.2.1 Gerð persónusniða
Gerð persónusniða felur í sér það athæfi að nýta upplýsingar um einstakling til að fella
hann í form og meta ákveðna þætti í fari hans, sem svo kann að nýtast ábyrgðaraðila,
annað hvort í eigin starfsemi eða sem söluvara til annarra. Dæmi um persónusnið er
mat á lánstrausti í þeim skilningi sem settur var fram í umfjöllun um Creditinfo
Lánstraust hf. í ritgerð þessari.
Gerð persónusniða fellur undir almennar reglur um vinnslu persónuupplýsinga og því
þótti tilefni til að fjalla um meginreglur sem gilda um vinnslu persónuupplýsinga
almennt í kafla 4.5.1 sem fjallar um persónusnið. Eins var önnur umfjöllun í kaflanum
miðuð að vinnslu almennt með sérstaka áherslu á persónusnið. Almennt gildir að
framkvæma þarf hagsmunamat í þeim tilgangi að meta hvort vinnsla
persónuupplýsinga eigi rétt á sér. Hvort í henni felist of mikil skerðing á frelsi og
grundvallarréttindum hins skráða, hvort hagsmunir ábyrgðaraðila séu nógu veigamiklir
til að réttlæta vinnslu persónuupplýsinga.
7.2.2 Sjálfvirkar ákvarðanatökur
Sjálfvirkar einstaklingsmiðaðar ákvarðanatökur er lýsandi heiti á þeirri vinnslu sem í
þeim felst. Ákvarðanir eru teknar, eingöngu á grundvelli sjálfvirkrar gangavinnslu og
þær ákvarðanir hafa veruleg áhrif á hinn skráða samanber 1. mgr. 22. gr. GDPR.
Hvað varðar heimildir til að taka sjálfvirkar ákvarðanir er þeim sniðinn þrengri stakkur
en þegar heimildir til gerðar persónusniða eru annars vegar. Ástæða þess er einna
helst þær afleiðingar sem gerð er krafa um að hljótist af sjálfvirkum ákvarðanatökum.
Engar slíkar kröfur um afleiðingar eru settar fram vegna gerðar persónusniða í GDPR.
83
7.2.3 Samspil og samhjálp
Persónusnið geta orðið grundvöllur sjálfvirkara ákvarðana líkt og þegar mat á
lánstrausti, sem felur í sér gerð persónusniðs yrði lagt til grundvallar fyrir sjálfvirka
ákvörðun um hvort lánaumsókn sé samþykkt. Ef lánaumsóknin er afgreidd án
raunverulegrar mannlegrar aðkomu verður ekki séð annað en að í henni felist sjálfvirk
ákvörðun í skilningi 22. gr. GDPR. Enda áhrif ákvörðunarinnar veruleg, sama hvort
umsóknin ber árangur eða henni er hafnað.
Á hinn bóginn verða sjálfvirkar ákvarðanatökur ekki grundvöllur persónusniða.
Niðurstöður ákvarðananna geta þó orðið upplýsingar sem nýtast við gerð
persónusniða. Það má því segja að persónusnið og sjálfvirkar ákvarðanir spili saman
en geti allt eins staðið sjálfstætt. Það er því hægt að segja að um tvö aðskilin athæfi
sé að ræða, sem stundum vinna saman að einhverju marki.199 Dæmið um bifreiðina
og ökumanninn sem tekið var í kafla 6.2 er lýsandi fyrir þetta.
7.3 Næstu skref Á næstu árum má reikna með að efnisreglur GDPR skýrist í meðförum
persónuverndarstofnana aðildarríkja og dómstóla. Hvað Ísland varðar var gerð grein
fyrir því í tilkynningu frá 21. nóvember 2017, á vef dómsmálaráðuneytisins að Björg
Thorarensen veitti starfshóp vegna innleiðingar GDPR forystu og vinna hópsins væri
hafin. Samkvæmt tilkynningunni er frumvarps að vænta um miðjan janúar.200 Það
verður áhugavert að fylgjast með innleiðingu GDPR í íslenskan rétt og viðbrögðum
fyrirtækja og opinberra aðila.
199 Ekki ósvipað spretthlaupurum sem venjulega keppa um heiður einstaklingsins en taka sig svo til og hlaupa boðhlaup sem lið og keppa þá sem hluti af stærra samhengi en þeir sjálfir. 200 Dómsmálaráðuneytið, „Unnið að upptöku nýrrar persónuverndarreglugerðar ESB og innleiðingu í landsrétt“ (Efst á baugi, 21. nóvember 2017) <https://www.stjornarradid.is/efst-a-baugi/frettir/stok-frett/2017/11/21/Unnid-ad-upptoku-nyrrar-personuverndarreglugerdar-ESB-og-innleidingu-i-landsrett/> skoðað 12. desember 2017.
84
Heimildaskrá
„About Article 29 Working Party - European Commission“ (12. desember 2017) <http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=59485> skoðað 12. desember 2017
Annereau S, „Understanding consent under the GDPR“ (TaylorWessing, nóvember 2016) <https://united-kingdom.taylorwessing.com/globaldatahub/article-understanding-consent-under-the-gdpr.html> skoðað 23. september 2017
ART 29 WP, „Opinion 1/2010 on the concepts of „controller“ and „processor““ (16. febrúar 2010) 1/2010 <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf> skoðað 12. desember 2017
——, „Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC“ (The Article 29 Working Party 4. september 2014) 844/14 <http://www.dataprotection.ro/servlet/ViewDocument?id=1086> skoðað 28. nóvember 2017
——, „Guidelines for identifying a controller or processor´s lead supervisory authority“ (The Article 29 Working Party 13. desember 2016) <http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_en_40857.pdf> skoðað 29. nóvember 2017
——, „Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679“ (The Article 29 Working Party 10. mars 2017) <http://ec.europa.eu/newsroom/document.cfm?doc_id=47742> skoðað 5. desember 2017
——, „Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processin is „likely to result in a high risk“ for the purposes of Regulation 2016/679“ (10. apríl 2017) WP 248 rev.01 <http://ec.europa.eu/newsroom/document.cfm?doc_id=47711>
——, „Guidelines on Consent under Regulation 2016/679“ (28. nóvember 2017) WP259 <http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48849>
„Background“ (Data Protection) <https://www.coe.int/en/web/data-protection/background> skoðað 7. desember 2017
Björg Thorarensen, Stjórnskipunarréttur: mannréttindi (Bókaútgáfan Codex 2008)
Burdon M og McKillop A, „The Google Street View Wi-Fi Scandal and its Reprecussions for Privacy Regulation“ 39 (3) Monash <https://www.monash.edu/__data/assets/pdf_file/0011/141230/vol-39-3-burdon-and-mckillop.pdf> skoðað 25. október 2017
85
Buttarelli G, „The State of the Data Protection Union“ (European Data Protection Supervisor, 20. september 2017) </press-publications/press-news/blog/state-data-protection-union_en> skoðað 25. september 2017
Calder A, EU GDPR: A Pocket Guide (2016) <http://public.eblib.com/choice/publicfullrecord.aspx?p=4647636> skoðað 13. desember 2017
Datatilsynet, „The Great Data Race - How commercial utilisation of personal data challenges privacy.“ (Datatilsynet nóvember 2015) <https://www.datatilsynet.no/globalassets/global/english/engelsk-kommersialisering-endelig.pdf> skoðað 4. desember 2017
Davíð Þór Björgvinsson, EES-réttur og landsréttur (Codex 2006)
——, Lögskýringar (Háskólinn í Reykjavík : JPV útgáfa 2008)
Doyle G, „31-10-2017 Commissioners Statement on Art 29 Working Party Letter to WhatsApp. - Data Protection Commissioner - Ireland“ (Data Protection Commisioner, Ireland) <https://www.dataprotection.ie/docs/EN/31-10-2017-Commissioners-statement-on-Art-29-Working-Party-letter-to-WhatsApp-/m/1675.htm> skoðað 30. nóvember 2017
Dómsmálaráðuneytið, „Unnið að upptöku nýrrar persónuverndarreglugerðar ESB og innleiðingu í landsrétt“ (Efst á baugi, 21. nóvember 2017) <https://www.stjornarradid.is/efst-a-baugi/frettir/stok-frett/2017/11/21/Unnid-ad-upptoku-nyrrar-personuverndarreglugerdar-ESB-og-innleidingu-i-landsrett/> skoðað 12. desember 2017
EFTA, „EEA-Lex: tracking incorporation of EU law into the EEA Agreement | European Free Trade Association“ (EEA-Lex: tracking incorporation of EU law intothe EEA Agreement, 27. janúar 2014) <http://www.efta.int/eea/news/eea-lex-tracking-incorporation-eu-law-eea-agreement-2659> skoðað 8. nóvember 2017
„EU Article 29 Working Party Releases Extensive GDPR Guidance on Data Processing at Work“ (Inside Privacy, 4. júlí 2017) <https://www.insideprivacy.com/international/european-union/wp29-releases-gdpr-guidance-on-data-processing-at-work/> skoðað 27. september 2017
„EU GDPR: How did we get here?“ <http://www.eugdpr.org/how-did-we-get-here-.html> skoðað 26. september 2017
European Digital Rights, „GDPR Key Issues Explained“ <https://edri.org/files/GDPR-key-issues-explained.pdf> skoðað 11. desember 2017
European Parliament, „Data protection package: Parliament and Council now close to a deal | News | European Parliament“ (15. desember 2015) <http://www.europarl.europa.eu/news/en/press-room/20151215IPR07597/data-protection-package-parliament-and-council-now-close-to-a-deal> skoðað 24. október 2017
86
——, „Data protection reform - Parliament approves new rules fit for the digital era | News | European Parliament“ (14. apríl 2016) <http://www.europarl.europa.eu/news/en/press-room/20160407IPR21776/data-protection-reform-parliament-approves-new-rules-fit-for-the-digital-era> skoðað 24. október 2017
Evrópuvefur, „Ráðið“ (Evrópuvefurinn - Upplýsingaveita um Evrópusambandið og Evrópumál, 2. september 2012) <http://www.evropuvefur.is/svar.php?id=60019> skoðað 24. október 2017
Falque-Pierrotin I, „Letter of the Chair of the ART 29 WP to Whatsapp“ (24. október 2017) <http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47964>
„Full list“ (Treaty Office) <https://www.coe.int/en/web/conventions/full-list> skoðað 7. desember 2017
Heimes R, „Top 10 operational impacts of the GDPR: Part 5 - Profiling“ <https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-5-profiling/> skoðað 27. september 2017
„Hvað gerir framkvæmdastjórn ESB?“ (Evrópuvefurinn) <http://www.evropuvefur.is/svar.php?id=25169> skoðað 24. október 2017
ICO, „ICO´s Feedback request - profiling and automated decision-making“ (6. apríl 2017) <https://ico.org.uk/media/about-the-ico/consultations/2013894/ico-feedback-request-profiling-and-automated-decision-making.pdf> skoðað 13. desember 2017
Information Commissioner Isle of Man, „Consent“ <https://www.inforights.im/information-centre/data-protection/the-general-data-protection-regulation/gdpr-in-depth/principles/lawfulness-fairness-and-transparency/lawfulness/consent/> skoðað 27. nóvember 2017
Kosinski M, Stiwell D og Graepel T, „Private traits and attributes are predictable from digital records of human behavior.“ (2013) 110 (15) PNAS <http://www.pnas.org/content/110/15/5802.full.pdf?sid=4145ce18-04a3-4d15-ad3e-e2c6736b1cb0> skoðað 12. desember 2017
Osterman Research, „GDPR Compliance and Its Impact on Security and Data Protection Programs“ White Paper <https://4b0e0ccff07a2960f53e-707fda739cd414d8753e03d02c531a72.ssl.cf5.rackcdn.com/wp-content/uploads/2017/02/GDPR-Compliance-and-Its-Impact-on-Security-and-Data-Protection-Programs-HPE.pdf?v=20> skoðað 6. september 2017
Páll Hreinsson, Rafræn vinnsla persónuupplýsinga við meðferð stjórnsýslumála (Lagastofnun Háskóla Íslands 2007)
Páll Sigurðsson, Mannhelgi: höfuðþættir almennrar persónuverndar (Codex 2010)
Persónuvernd, „Kortaskilmálar Kaupþings“ (Persónuvernd. Þínar upplýsingar, þitt einkalíf., 22. apríl 2008) <https://www.personuvernd.is/efst-a-baugi/nr/760> skoðað 22. nóvember 2017
87
——, „Ársskýrsla 2016“ (júl 2017) Ársskýrsla <https://www.personuvernd.is/media/arsskyrslur/Arsskyrsla-2016ny.pdf> skoðað 17. október 2017
——, „Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ (Persónuvernd, 28. apríl 2017) <https://www.personuvernd.is/media/frettir/146-1003.pdf> skoðað 10. október 2017
——, „Grundvallarhugtök“ (Persónuvernd. Þínar upplýsingar, þitt einkalíf.) <https://www.personuvernd.is/spurningar-og-svor/grundvallarhugtok/> skoðað 25. október 2017
Reczek RW, Summers C og Smith R, „Targeted Ads Don’t Just Make You More Likely to Buy — They Can Change How You Think About Yourself“ (Harvard Business Review, 4. apríl 2016) <https://hbr.org/2016/04/targeted-ads-dont-just-make-you-more-likely-to-buy-they-can-change-how-you-think-about-yourself> skoðað 10. október 2017
Savin A, „Profiling and Automatic Decision Making in the Present and New EU Data Protection Frameworks“ <http://openarchive.cbs.dk/bitstream/handle/10398/8914/Savin.pdf?sequence=1> skoðað 29. október 2017
Sigrún Jóhannesdóttir, Persónuverndarlög: skýringarrit (Fons Juris 2015)
Sigurður Líndal og Skúli Magnússon, Réttarkerfi Evrópusambandsins og Evrópska efnahagssvæðisins: megindrættir (Hið íslenska bókmenntafélag 2011)
„Stjórnarráðið | Samningurinn um Evrópska efnahagssvæðið (EES-samningurinn)“ <https://www.stjornarradid.is/verkefni/utanrikismal/evropusamvinna/ees-samningurinn/> skoðað 8. nóvember 2017
„Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ <https://www.personuvernd.is/media/frettir/146-1003.pdf> skoðað 10. október 2017
Wachter S, Mittelstadt B og Floridi L, „Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation“ (2017) 7 (2) International Data Privacy Law 76
WhatsApp, „About WhatsApp“ (WhatsApp.com) <https://www.whatsapp.com/about/> skoðað 14. nóvember 2017
Wilhelm E-O, „A brief history of the General Data Protection Regulation“ <https://iapp.org/resources/article/a-brief-history-of-the-general-data-protection-regulation/> skoðað 24. október 2017