Opið bréf til Helgu Þórisdóttur

Sæl Helga,

Tilefni þess að ég er að skrifa þér þetta bréf er frétt sem birtist á vefsíðu Ríkisútvarpsins þann 9. júlí síðastliðinn. Þar er sett fram eftirfarandi fullyrðing: „Óheimilt er að vinna persónuupplýsingar fólks, nema með samþykki þess.“

Nú þykist ég vita að þú veist betur, mig langar því einungis að nýta þetta tækifæri til að benda öðrum á að til eru fimm aðrar vinnsluheimildir. Ákvæði 6. gr. GDPR (General Data Protection Regulation) fjalla um heimildir til vinnslu persónuupplýsinga. Reglugerðin verður tekin upp í íslenskan rétt á sunnudaginn með lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Samþykki er sannanlega ein heimild til vinnslu persónuupplýsinga sbr. a-lið 1. mgr. 6. gr. GDPR og kröfurnar til vinnslu á grundvelli samþykkis í samræmi við það sem fram kemur í viðtali á RÚV.is.

Aðrar heimildir til vinnslu persónuupplýsinga eru eftir tilfellum tækar. Vinnslan gæti sem dæmi verið nauðsynleg til að framkvæma samning sem hinn skráði er aðili að, nú eða gera ráðstafanir að beiðni hins skráða áður en samningur er gerður eins og sjá má í b-lið 1. mgr. 6. gr. GDPR. Þetta gæti til dæmis átt við um vinnslu persónuupplýsinga í kringum starfsumsóknir sem berast fyrirtækjum.

Þá má vinna persónuupplýsingar ef slíkt er nauðsynlegt vegna lagaskyldu sem hvílir á ábyrgðaraðila sbr. c-lið 1. mgr. 6. gr. GDPR. Þessi skylda getur til að mynda orðið til þegar sveitarfélag óskar eftir upplýsingum til að ákvarða hvort einstaklingur á rétt á vissum félagslegum úrræðum.

Vinnsla persónuupplýsinga er einnig heimil ef hún er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annarra sbr. d-lið 1. mgr. 6. gr. GDPR. Á sambærilegum nótum má vinna persónuupplýsingar ef vinnslan er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.

Að endingu má vinna persónuupplýsingar ef vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili gætir eða þriðji aðili nema að grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra sbr. f-lið 1. mgr. 6. gr. GDPR. Þetta á einkum við ef hinn skráði einstaklingur er barn. En þessi heimild er ekki tæk fyrir opinbera aðila sbr. 2. mgr. 6. gr. GDPR. Lögmætir hagsmunir kunna að fela í sér beina markaðssetningu skv. 47. gr. aðfararorða GDPR. Þar segir: „Líta má svo á að vinnsla persónuupplýsinga vegna beinnar markaðssetningar sé í þágu lögmætra hagsmuna.“

Það er því ekki loku fyrir það skotið að vinna megi persónuupplýsingar án skýrs samþykkis, en það er auðvitað annað að ef vinnslunni er andmælt er erfiðara að standa fyrir henni, þó er andmælarétturinn ekki alger, en það er annað mál.

Eins vil ég að lokum gera athugasemd við orðalagið að „forráðamenn margra fyrirtækja óttast að fjöldi fólks krefji þau um aðgang að persónuupplýsingum sínum þegar ný lög taka gildi á sunnudag.“

Það má ekki gleymast í þessu öllu saman að grundvallarrétturinn og núllstaðan í öllu sem snýr að vinnslu persónuupplýsinga fólks ætti aldrei að taka sem sjálfsögðum hlut hjá fyrirtækjum. Friðhelgi einkalífsins er stjórnarskrárvarinn réttur einstaklinga sem ber að virða.

Rétt er að benda á að fyrirtæki hafa flest vitað af reglugerðinni síðan árið 2016 og það er raunar sá aðlögunartími sem fyrirtæki áttu að nýta sér.

Lausnir til að afhenda persónuupplýsingar eru til. Dattaca Labs hefur til að mynda kynnt fyrir fjölda íslenskra fyrirtækja lausn frá digi.me sem miðar að nákvæmlega þessu.

Íslensk fyrirtæki hafa því enga afsökun til að verða ekki við öllum beiðnum um afhendingu gagna, meira segja til að uppfylla óskir um hreyfingu gagna á milli ábyrgðaraðila. Sérstaklega ekki stórfyrirtæki sem öll hafa fengið beint boð um kynningu á kerfi digi.me.

Að lokum er rétt að benda á hóp á Facebook sem haldið er úti af Dattaca Labs og heitir „Ég vil fá persónugögnin mín“ en honum er ætlað að miða að því að aðstoða fólk við að óska eftir gögnum frá fyrirtækjum.

Fyrirtæki ættu að mínu viti miklu frekar að fagna því að geta loksins tekið þetta samtal við viðskiptavini sína og aðra einstaklinga sem þau kunna að vinna upplýsingar um og styrkja samböndin. Ekki gleyma því að GDPR er ekki kvöl og pína, þetta er nauðsynleg uppfærsla á regluverki sem er ætlað að taka á réttindum sem eiga að vera eins sjálfsögð og það að draga andann, rétturinn til friðhelgi einkalífs. Það eru forréttindi fyrir fyrirtæki að fá að vinna persónuupplýsingar og þeim ber að fara rétt með þær.

Höfundur er lögfræðingur og starfar hjá Dattaca Labs.