Samkvæmt 1. mgr. 27. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 („pvl.“) þurfa ábyrgðaraðilar að tryggja viðunandi öryggi persónuupplýsinga. Reglan um öryggi þeirra er jafnframt meginregla, sbr. 6. tl. 1. mgr. 8. gr. pvl. En hvað með þegar ekki er unnt að tryggja viðunandi öryggi? Er hægt að grípa til annarra ráðstafana? Í starfi mínu hjá Dattaca Labs hef ég meðal annars fengið spurningar á borð við:

„Við notum tölvupóst og við vitum að það er ekki örugg samskiptaleið. Er okkur samt heimilt að senda persónuupplýsingar í tölvupósti ef samþykki hinna skráðu liggur fyrir?“

„Við geymum persónuupplýsingar í rafrænu kerfi þar sem ekki er unnt að stýra aðgengi með fullnægjandi hætti. Getum við fengið samþykki frá hinum skráðu um að geyma gögnin áfram á sama stað?“

Tilgangurinn hér er að öllum líkindum sá að geta vísað til samþykkis hinna skráðu ef eitthvað kemur upp á í framtíðinni. Því má umorða spurningarnar á eftirfarandi hátt:

„Geta hinir skráðu samþykkt að unnið verði með persónuupplýsingar í óvörðu umhverfi?“

Hér skulum við gefa okkur að hinir skráðu séu meðvitaðir um áhættuna og veiti samþykki sitt í báðum tilfellum. Gefum okkur einnig að ákveðnir atburðir gerist, þ.e. að í báðum tilfellum endi persónuupplýsingar hjá óviðkomandi aðila vegna skorts á öryggi. Ábyrgðaraðilar firra sig ábyrgð og bera fyrir sig að ekkert ólögmætt hafi átt sér stað, enda hafi hinir skráðu samþykkt framkvæmdina og áhættuna sem henni fylgdi. Skoðum nú hvernig þetta samrýmist persónuverndarlögum.

Að senda persónuupplýsingar með tölvupósti, og að geyma þær á tilteknum stað í rafrænu kerfi, felur í sér vinnslu persónuupplýsinga, sbr. 4. tl. 3. gr. pvl. Bæði tilvikin myndu því falla undir gildissvið persónuverndarlaga, sbr. 1. mgr. 4. gr. pvl.

Til þess að vinna megi með persónuupplýsingar verða ábyrgðaraðilar að ganga úr skugga um að heimild sé til staðar í 9. gr. pvl., og eftir atvikum, 1. mgr. 11. gr. pvl. Heimild getur til dæmis verið byggð á „samþykki“ einstaklinga. Hér gefur augaleið að einstaklingar geta til dæmis samþykkt að persónuupplýsingar verði sendar með tölvupósti eða að þær verði geymdar á ákveðnum stað. En hvað með hið óvarða umhverfi? Geta einstaklingar samþykkt það líka?

Hér verður að líta til þess að ekki er nóg fyrir ábyrgðaraðila að heimild standi til þess að vinna með persónuupplýsingar. Þeir verða einnig að fylgja tilteknum meginreglum, meðal annars fyrrnefndri meginreglu um öryggi, sbr. 6. tl. 1. mgr. 8. gr. pvl. Skyldan til að fylgja þeirri meginreglu hvílir á ábyrgðaraðilum en ganga verður út frá að þeir geti ekki komist hjá henni með því að kalla eftir samþykki frá hinum skráðu. Að öðrum kosti gæti meginreglan um öryggi orðið til lítils.

Bæði tilfellin sem hér eru til skoðunar myndu því brjóta gegn 6. tl. 1. mgr. 8. gr. pvl. sem ábyrgðaraðilarnir bæru ábyrgð á. Gildir einu hvort samþykki hinna skráðu lægi fyrir eða ekki. Hinir skráðu geta því ekki samþykkt að unnið verði með persónuupplýsingar í óvörðu umhverfi.

Höfundur er yfirlögfræðingur hjá Dattaca Labs en fyrirtækið veitir alhliða ráðgjöf á sviði persónuverndarmála.