11.10.2007 | 09:46
Verkferli við söfnun og skráningu persónuupplýsinga - víða pottur brotinn
Sá úrskurður Persónuverndar sem fjallað er um í frétt mbl.is gæti líklegast átt við um nær alla aðila sem safna persónuupplýsingum beint frá hinum skráða. Af hverju Alcan lenti í því að vera klagað fyrir sömu háttsemi og fjölmargir aðrir aðilar viðhafa sýnir fyrst og fremst hörkuna sem var í undanfara íbúakosningarinnar í Hafnarfirði.
Ég held að það sé öllum, sem safna persónuupplýsingum beint frá hinum skráða, hollt að skoða forsendur úrskurðar Persónuverndar, þannig að ég ætla að birta meginmál samantektar úrskurðarins hér:
Í málinu liggur fyrir að á tímabilinu 10. 15. mars 2007 voru svör einstaklinga rekjanleg og að viðmælendur voru ekki upplýstir um að svör þeirra yrðu skráð niður. Alcan hefur hins vegar sagt að eftir þann tíma hafi upplýsingarnar verið gerðar ópersónugreinanlegar. Það reyndist ekki unnt að staðreyna þar sem vinnsluaðili Alcan hafði þegar eytt gögnum úr kerfinu þegar Persónuvernd fékk aðgang að því.Í niðurstöðu Persónuverndar kemur fram að skv. 1. tölul. 1. mgr. 7. gr. laga um persónuvernd skuli persónuupplýsingar unnar með sanngjörnum, málefnalegum og lögmætum hætti og að ef vinnsla persónuupplýsinga eigi að vera með sanngjörnum hætti verði hinn skráði að geta fengið vitneskju um að skráning persónuupplýsinga og önnur vinnsla fari fram. Í þessu felist því skilyrði um ákveðinn fyrirsjáanleika og gagnsæi skráningar og vinnslu persónuupplýsinga. Meðal annars beri að veita fræðslu um það hver standi fyrir öflun upplýsinga, í hvaða tilgangi, hvað sé skráð og hvernig varðveislu sé hagað.
Þetta ákvæði sé í nánum tengslum við 20. gr. laganna sem fjallar um fræðsluskyldu þegar afla skal upplýsinga hjá hinum skráða sjálfum. Þar er kveðið á um að fræða skuli hinn skráða um nánar tiltekin atriði, þ. á m. upplýsingar að því marki sem þær séu nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríki við vinnslu upplýsinganna, svo hann geti gætt hagsmuna sinna. Þetta felur í sér jákvæða athafnaskyldu sem hvílir á ábyrgðaraðila vinnslunnar. Í málinu liggi fyrir að Alcan hafi ekki gert ráðstafanir til þess að tryggja að menn fengju fræðslu og því hafi söfnun Alcan á upplýsingum um skoðanir einstakra íbúa í Hafnarfirði brotið í bága við ákvæði laga um persónuvernd.
Ég held að það gæti líka verið gott að skoða nokkur önnur ákvæði persónuverndarlaga (þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga). Byrjum á einni skilgreiningu. Í 2. gr. er hugtakið samþykki skilgreint sem hér segir:
7. Samþykki: Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.
Næst er það gildissvið. Í 3. gr. laganna um efnislegt gildissvið segir:
Lögin gilda um sérhverja rafræna vinnslu persónuupplýsinga. Lögin gilda einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá.
Í 7. gr. er fjallað um meginreglur um gæði gagna og vinnslu. Persónuvernd hefur þegar vísað til 1. töluliðar, en ég tel einnig rétt að vekja athygli á 2. tölulið, en þar segir:
[Við meðferð persónuupplýsinga skal allra eftirfarandi þætta gætt:]
2. að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ásamrýmanlegum tilgangi..
Í 8. gr. er fjallað um almennar reglur um heimildir fyrir vinnslu persónuupplýsinga. Af 7 töluliðum fjalla 6 um að vinnslan sé nauðsynleg af ýmsum ástæðum (sem eiga ekki við hér) en í 1. tölulið segir:
[Vinnsla persónuupplýsinga er því aðeins heimil að einhverjir eftirfarandi þátta séu fyrir hendi:]
1. hinn skráði hafi ótvírætt samþykkt vinnsluna og veitt samþykki sk. 7. tl. 2. gr.
Þegar þetta er allt sett í samhengi, þá er það mín niðurstaða, að langsamlega flestir aðilar sem sjá um að safna upplýsingum beint frá hinum skráða eru EKKI að uppfylla þessi ákvæði. Það sem oftast klikkar er fræðslan og að fá samþykki fyrir vinnslunni. Oft nægir að bæta við litlum reit á umsóknareyðublöð (hvort heldur hefðbundin pappírseyðublöð eða rafræn) þar sem viðkomandi hakar við að hann samþykki frekari vinnslu og vörslu upplýsinganna. Þar með er formlegt samþykki fengið.
Nú fyrst farið er að nefna vörslu upplýsinga, þá segir í 26. gr., þar sem fjallað er um eyðingu og bann við notkun persónuupplýsingar sem hvorki eru rangar né villandi:
Þegar ekki er lengur málefnaleg ástæða til að varðveita persónuupplýsingar skal ábyrgðaraðili eyða þeim. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða á því að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra.
Ótrúlega margir ábyrgðaraðilar vinnslu persónuupplýsinga hafa enga hugmynd um það hve lengi er eðlilegt, hvað þá leyfilegt, að varðveita persónuupplýsingar (sjá nánar: http://www.betriakvordun.is/index.php?categoryid=24).
Persónuvernd til skammar | |
Tilkynna um óviðeigandi tengingu við frétt |
Flokkur: Persónuvernd | Breytt 14.12.2007 kl. 13:45 | Facebook
Heimsóknir
Flettingar
- Í dag (21.11.): 4
- Sl. sólarhring: 6
- Sl. viku: 38
- Frá upphafi: 1680019
Annað
- Innlit í dag: 4
- Innlit sl. viku: 34
- Gestir í dag: 4
- IP-tölur í dag: 4
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.