ML í lögfræði

Gögnin þín sníða stakkinn þinn Gerð persónusniða og sjálfvirkar einstaklingsmiðaðar

ákvarðanatökur í skilningi GDPR

Febrúar, 2018

Nafn nemanda: Kristinn Ásgeir Gylfason

Kennitala: 050691-3309

Leiðbeinandi: Jóhanna Katrín Magnúsdóttir

i

Úrdráttur Ritgerð þessi fjallar um tvö hugtök í persónuvernd. Þau eru gerð persónusniða annars

vegar og sjálfvirkar einstaklingsmiðaðar ákvarðanatökur hins vegar. Leitast var við að

skilgreina þessi hugtök og gera grein fyrir því hvað er líkt með þeim og hvar megi finna

mun sem á þeim. Eins var kannað hvort þau væri að finna í núgildandi lögum um

persónuvernd og meðferð persónuupplýsinga nr. 77/2000.

Þá var gerð grein fyrir því jafnvægi sem þarf að vera á milli tjáningarfrelsis og friðhelgi

einkalífs. Til skýringar á hagsmunamatinu sem þarf að framkvæma, leitaði höfundur til

dóma Mannréttindadómstóls Evrópu sem og dóma Hæstaréttar Íslands. Þá var

sérstakur kafli fjallað um gerð persónusniða sem tók á vinnslu persónuupplýsinga

almennt eins og reglum er háttað í GDPR. Ásamt því að skoða þær heimildir sem eru

til staðar fyrir vinnslu persónuupplýsinga og hvernig þeim er beitt. Því næst var

sérstakur kafli um sjálfvirkar einstaklingsmiðaðar ákvarðanatökur þar sem sérstök

áhersla var lög á þær undantekningar sem mögulega má beita til að vinna

persónuupplýsingar í skilningi ákvæðisins um sjálfvirkar einstaklingsmiðaðar

ákvarðanir. Því næst voru hugtökin svo borin saman og réttindi sem þau kunna að

virkja könnuð og undir lokin voru sett fram raunveruleg dæmi þar sem umfjöllunin sem

á undan kemur er sett í samhengi.

Lokaorð ritgerðarinnar taka svo saman umfjöllunina og fjalla um að frumvarp að nýjum

persónuverndarlögum er væntanlegt innan skamms. Það verður áhugavert að sjá

hvernig háttað verður til við innleiðingu GDPR í landsrétt.

Abstract This thesis takes on two concepts in the field of data protection. They are firstly

profiling and secondly automated individual decision making. The thesis seeks to

define these concepts and underline their similarities and their differences. Their

existence was examined in regard to current national law on data protection and the

handling of personal data no. 77/2000.

ii

The balancing act between the right to freedom of expression and the right to respect

for private and family life was accounted for. To give a good view on the assessment

of interests the author looked at rulings of the European Human rights Court and the

Supreme Court of Iceland. There is a chapter specifically on profiling and the rules

concerning profiling and data processing in general in the GDPR. Next up there is a

chapter on automatic individual decision making with emphasis on the exceptions that

make automatic decision making possible in accordance with the GDPR. Next, there

is a comparison of the concepts and discussion on the rights of the data subject and

finally, there are some case study where the coverage is compared to real cases for

context.

The final chapter of the thesis sums up the subject and there is to be found a mention

of a bill for new national legislation on data protection that is expected soon. It will be

interesting to see how the GDPR will be put into law in Iceland.

iii

Formáli

Ritgerð þessi er lokaverkefni til ML gráðu í lögfræði við Háskólann í Reykjavík. Við

skrif ritgerðarinnar kynntist ég betur réttarsviði sem ég hafði lítið skoðað fram að

haustmánuðum 2017. Það var afar áhugavert að setja sig inn í persónuvernd sem er

sennilega það réttarsvið sem mun vaxa hvað mest á næstu árum. Ritgerðin er skrifuð

undir handleiðslu Jóhönnu Katrínar Magnúsdóttur og kann ég henni hinar mestu þakkir

fyrir. Þá hefur sambýliskona mín, Ásdís Ósk Heimisdóttir veitt mér mikla hvatningu og

aðstoð við skrif ritgerðarinnar ásamt því að lesa yfir frumdrög, gefa góð ráð og sýna

ómælda þolinmæði fyrir fjarveru minni á meðan á skrifum stóð. Þá lásu móðir mín,

Svanhildur Guðrún Leifsdóttir og amma, Kristín Elísabet Kristjánsdóttir yfir ritgerðina

á síðust dögum skrifa og vil ég þakka þeim kærlega fyrir aðstoðina.

13. desember 2017, Reykjavík

iv

Efnisyfirlit KAFLI1:INNGANGUR.....................................................................................................................1

1.1ALMENNTUMEFNIRITGERÐARINNAR...................................................................................................1

1.2ÞRÓUNPERSÓNUVERNDARÍEVRÓPU...................................................................................................1

1.3HELSTUHUGTÖKRITGERÐARINNAR......................................................................................................2

1.4RANNSÓKNARSPURNINGOGAFMÖRKUNEFNIS......................................................................................3

KAFLI2:LAGAUMGJÖRÐPERSÓNUVERNDAR.................................................................................4

2.1ALMENNT........................................................................................................................................4

2.2STJÓRNARSKRÁLÝÐVELDISINSÍSLANDSOGFRIÐHELGIEINKALÍFS................................................................5

2.3LÖGNR.77/2000............................................................................................................................8

2.3.1Almennt................................................................................................................................8

2.3.2Tilurðlagaumpersónuverndogmeðferðpersónuupplýsinga.............................................9

2.3.3Efnilagaumpersónuverndogmeðferðpersónuupplýsinga................................................9

2.4GDPR..........................................................................................................................................10

2.4.1AlmenntumGDPR..............................................................................................................10

2.4.2ÁstæðurendurskoðunarogtilurðGDPR.............................................................................11

2.4.2.1Almennarástæðurendurskoðunar..................................................................................11

2.4.2.2AlmenntumtilurðGDPR..................................................................................................11

2.4.3MikilvægiGDPR..................................................................................................................13

2.4.4Innleiðingííslenskanrétt....................................................................................................15

KAFLI3.HUGTÖKOGSKILGREININGAR.........................................................................................17

3.1ALMENNT......................................................................................................................................17

3.2.HUGTÖK......................................................................................................................................17

3.2.1Persónuupplýsingarípul.....................................................................................................17

3.2.2PersónuupplýsingaríGDPR................................................................................................19

3.2.2.1Persónuupplýsingarbarna...............................................................................................20

3.2.2.2Viðkvæmarpersónuupplýsingarípul..............................................................................21

3.2.2.3ViðkvæmarpersónuupplýsingaríGDPR..........................................................................22

3.2.3Vinnslapersónuupplýsinga.................................................................................................22

3.2.3.1Vinnslapersónuupplýsingaípul......................................................................................22

3.2.3.2VinnslapersónuupplýsingaíGDPR..................................................................................23

3.2.3.3LögmæturgrundvöllurvinnsluGDPR...............................................................................23

v

3.2.3.4AðrarheimildirtilvinnsluíGDPR.....................................................................................25

2.6.3Ábyrgðaraðili......................................................................................................................26

2.6.5Vinnsluaðili.........................................................................................................................27

KAFLI4-GERÐPERSÓNUSNIÐA....................................................................................................28

4.1INNGANGUR..................................................................................................................................28

4.2PERSÓNUSNIÐÍÍSLENSKUMRÉTTIÍDAG..............................................................................................30

4.4PERSÓNUSNIÐÍGDPR....................................................................................................................33

4.4.1Almennt..............................................................................................................................33

4.4.1Skilgreining.........................................................................................................................34

4.5HEIMILDTILVINNSLUPERSÓNUUPPLÝSINGA........................................................................................35

4.5.1 Meginreglurumvinnslupersónuupplýsinga.................................................................36

4.5.2 Samþykkisemheimildtilgrundvallarvinnslupersónuupplýsinga...............................38

4.5.3 Vinnslanauðsynlegvegnaframkvæmdarsamnings....................................................41

4.5.4 Lagaskylda....................................................................................................................42

4.5.5 Brýnirhagsmunirhinsskráðaeðaannarseinstaklings................................................44

4.5.6 Verkefniíþágualmannahagsmunaeðaviðbeitinguopinbersvalds...........................45

4.5.7 Lögmætirhagsmunirábyrgðaraðilaeðaþriðjaaðila...................................................45

4.5.8Vinnslaviðkvæmrapersónuupplýsinga..............................................................................47

4.6NOTKUNPERSÓNUSNIÐA.................................................................................................................48

4.4.1Uppruniupplýsingasemerugrundvöllurpersónusniða.....................................................49

KAFLI5SJÁLFVIRKARÁKVARÐANATÖKUR....................................................................................51

5.1INNGANGUR..................................................................................................................................51

5.2SJÁLFVIRKARÁKVARÐANATÖKURÍPUL................................................................................................51

5.2.1Almennt..............................................................................................................................51

5.2.2Sértækákvörðun.................................................................................................................52

5.3SKILGREININGÁSJÁLFVIRKRIÁKVARÐANATÖKUÍGDPR.........................................................................53

5.3.1Sjálfvirkgagnavinnsla.........................................................................................................55

5.3.2Réttaráhrifeðasambærilegáhrif.......................................................................................55

5.4HEIMILDIRTILAÐTAKAÁKVARÐANIRÁGRUNDVELLISJÁLFVIRKRARGAGNAVINNSLU....................................58

5.4.1Samningur...........................................................................................................................59

5.4.2Lagaheimild........................................................................................................................60

5.4.3Samþykki.............................................................................................................................60

5.5RÖKINAÐBAKISJÁLFVIRKRIEINSTAKLINGSMIÐAÐRIÁKVÖRÐUNARTÖKU...................................................61

KAFLI6.SAMSPILSJÁLFVIRKRAÁKVARÐANAOGPERSÓNUSNIÐA................................................63

vi

6.1INNGANGUR..................................................................................................................................63

6.2SKILÁMILLISJÁLFVIRKRAÁKVARÐANAOGGERÐAPERSÓNUSNIÐA...........................................................63

6.2.1Samanburðuráheimildumtilvinnslu.................................................................................64

6.3RÉTTURHINSSKRÁÐA......................................................................................................................65

6.3.1Almennt..............................................................................................................................65

6.3.2RéttindihinsskráðaíGDPR................................................................................................66

6.3.2.1Rétturtilupplýsinga.........................................................................................................66

6.3.2.2Upplýsingarumrökinaðbakivinnslunni.........................................................................68

6.3.2.3Þýðingvinnslunnarogafleiðingarhennar.......................................................................69

6.3.2.4Rétturtilaðgangs............................................................................................................69

6.3.2.5Rétturtilleiðréttingar,eyðingarogtakmörkunarvinnslu...............................................71

6.3.2.6Rétturtilandmæla...........................................................................................................72

6.4MATÁÁHRIFUMÁPERSÓNUVERND...................................................................................................73

6.4.1Líklegamikiláhætta...........................................................................................................75

6.5RÉTTURINNTILAÐVERÐAEKKIANDLAGSJÁLFVIRKRARÁKVÖRÐUNAR.......................................................76

6.6AUGLÝSINGARÁINTERNETINU..........................................................................................................77

6.7UPPLÝSINGASÖFNUNÁINTERNETINU.................................................................................................78

KAFLI7.LOKAORÐ........................................................................................................................81

7.1ALMENNT......................................................................................................................................81

7.2SVARVIÐRANNSÓKNARSPURNINGU...................................................................................................82

7.2.1Gerðpersónusniða..............................................................................................................82

7.2.2Sjálfvirkarákvarðanatökur.................................................................................................82

7.2.3Samspilogsamhjálp...........................................................................................................83

7.3NÆSTUSKREF.................................................................................................................................83

vii

Lagaskrá Íslensk lög Lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka nr. 64/2006. Lög um evrópska efnahagssvæðið 2/1993. Lög um fasteignalán til neytenda nr. 118/2016. Lög um persónuvernd og meðferð persónuupplýsinga nr. 77/2000. Lög um tekjuskatt nr. 90/2003. Stjórnarskrá lýðveldisins Íslands nr. 33/1944 Stjórnskipunarlög nr. 97/1995. Lög um mannréttindasáttmála Evrópu nr. 62/1994. Alþingistíðindi Alþt. 1994-95, A-deild. Alþt. 1999-2000, A-deild. Reglugerð og tilskipanir úr Evrópurétti Tilskipun Evrópuþingsins og ráðsins 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin). Tilskipun Evrópuþingsins og ráðsins 48/2008/EB um neytendalánasamninga Brottfallin lög Íslensk lög Lög um skráningu á upplýsingum er varða einkamálefni nr. 63/1981. Lög um kerfisbundna skráningu á upplýsingum er varða einkamálefni nr. 39/1985. Lög um skráningu og meðferð persónuupplýsinga nr. 121/1989. Dómaskrá Hæstiréttur Íslands Hrd. 541/2005 frá 1. júní 2006. Hrd. 37/2007 frá 4. október 2007. Mannréttindadómstóll Evrópu Von Hannover g. Germany App no 59320/00 (ECHR, 28. júlí 2005) Evrópudómstóllinn Breyer g. þýska ríkinu í máli C-582/14 frá 19. október 2016.

viii

Weltimmo s.r.o. g. Nemzeti Adavédelmi ési Információszabadsá Hatóság í máli C230/14 frá 1. október 2015. Úrskurðir, ákvarðanir og álit Ákvörðun Persónuverndar í máli nr. 2011/968 frá 12. október 2011. Álit Persónuverndar nr. 2009/635 frá 16. desember 2009. Úrskurður Persónuverndar í máli nr. 2010/708 frá 9. nóvember 2010.

1

Kafli 1: Inngangur 1.1 Almennt um efni ritgerðarinnar Gagnaöflun fyrirtækja hefur aukist undanfarin ár. Með henni geta fyrirtæki búið til

verðmætar upplýsingar um viðskiptavini sína og notendur þeirrar vöru og þjónustu

sem fyrirtæki bjóða. Fyrirtæki nota persónuupplýsingar fólks til þess að kortleggja

framtíðar óskir og þarfir viðskiptavina sinna og taka ákvarðanir sem varða notendur

og viðskiptavini.1

Ritgerð þessari er ætla að skoða stöðu einstaklinga út frá sjónarhorni persónuverndar

með áherslu á gerð persónusniða og sjálfvirkar einstaklingsmiðaðar ákvarðanatökur.

Þegar þessi ritgerð er skrifuð er undirbúningur fyrirtækja og fræðasamfélagsins í

fullum gangi og mörgum spurningum hefur enn ekki verið svarað.

1.2 Þróun persónuverndar í Evrópu Allt frá upphafi sjöunda áratugar síðustu aldar fór að verða tæknilega mögulegt fyrir

fyrirtæki og opinbera aðila að safna miklu magni gagna um einstaklinga. Þróunin sem

var að eiga sér stað leiddi til mikillar hagræðingar fyrir þá sem öfluðu gagnanna og

unnu með þau en einstaklingar voru skyndilega hættir að hafa yfirsýn yfir hver vissi

hvað um þá. Þetta kallaði á regluverk sem myndi vernda rétt einstaklinga og tryggja

að ekki yrði traðkað á rétti þeirra.2

Fyrsti alþjóðlegi samningurinn um persónuvernd voru samþykktir sem gerðar voru á

ráðstefnu Evrópuráðsins sem nefnd hefur verið Ráðstefna nr. 108 og samningurinn

fengið nafnið Samningur nr. 108 en fullt nafn ráðstefnunnar er: ráðstefna um vernd

einstaklinga við vélræna vinnslu persónuupplýsinga. Samþykktir ráðstefnunnar voru

undirritaðar í Strassborg 28. janúar 1981. Samningur nr. 108 verndaði einstaklinga

gegn misnotkun á persónuupplýsingum um þá og setti upp regluverk um frjálst flæði

upplýsinga. Þar að auki lagði samningurinn á bann við vinnslu viðkvæmra

1 Datatilsynet, „The Great Data Race - How commercial utilisation of personal data challenges privacy.“ (Datatilsynet nóvember 2015) 5 <https://www.datatilsynet.no/globalassets/global/english/engelsk-kommersialisering-endelig.pdf> skoðað 4. desember 2017. 2 „Background“ (Data Protection) <https://www.coe.int/en/web/data-protection/background> skoðað 7. desember 2017.

2

persónuupplýsinga og tryggði einstaklingum rétt á vitneskju um upplýsingar sem

geymdar voru og ef þurfti, rétt til að leiðrétta þær.3

Síðan 1981 hefur þróunin verið gríðar hröð. Helstu valdar þess eru tilkoma

tölvutækninnar inn á nánast hvert heimili og almennt aðgengi að Interneti frá miðjum

tíunda áratug síðustu aldar. Upplýsingar safnast hraðar og flæða meira en nokkru sinni

fyrr. Árið 1995 settu Evrópuþingið og ráðið tilskipun 95/46/EB um vernd einstaklinga í

tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga.4

Samningur Evrópuráðsins frá 1981 var að miklu leyti lagður til grundvallar.5

Tilskipun 95/46/EB hefur helst að markmiðum sínum að stuðla að frjálsu flæði

upplýsinga á milli aðildarríkjanna, tryggja samræmda stjórnsýslu í tengslum við

persónuvernd til þess að samvinna aðildarríkjanna geti blómstrað og að stuðla að því

að persónuvernd sé á háum stalli í hugum fólks eins og önnur mannréttindi sem

vernda ber.6

Nú er svo komið að reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl

2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga7 er reiðubúin og

raunar búin að taka gildi, þó hún komi ekki til framkvæmda fyrr en 25. maí 2018. Efni

nýju reglugerðarinnar er afar umfangsmikið. Hér verður leitast við að halda umfjöllun

við takmarkað efni sem er gerð persónusniða og sjálfvirkar einstaklingsmiðaðar

ákvörðunartökur. Tilurð GDPR verður útlistuð nánar í kafla 2.3.2.

1.3 Helstu hugtök ritgerðarinnar Hugtökin sem mest áhersla verður lög á eru gerð persónusniða og sjálfvirkar

einstaklingsmiðaðar ákvarðanatökur.8 Til þess að hægt sé að gera ítarlega grein fyrir

3 „Full list“ (Treaty Office) <https://www.coe.int/en/web/conventions/full-list> skoðað 7. desember 2017. 4 Hér eftir „tilskipun 95/46/EB“. 5 Sigrún Jóhannesdóttir, Persónuverndarlög: skýringarrit (Fons Juris 2015) 30. 6 sama heimild 31. 7 Fullt heiti reglugerðarinnar: REGLUGERÐ EVRÓPUÞINGSINS OG RÁÐSINS (ESB) 2016/679 FRÁ 27. APRÍL 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin eða GDPR). Hér verður „GDPR“ notað um reglugerðina til styttingar. 8 Hér eftir „sjálfvirkar ákvarðanatökur“.

3

þeim hugtökum þá verður að skýra önnur hugtök samhliða, sem og að taka dæmi,

hvort sem er raunveruleg eða ímynduð dæmi.

Gerð persónusniða nær til þess verknaðar að safna saman persónuupplýsingum um

fólk og mynda úr því sniðmát sem fólk fellur undir sem hefur sameiginlega eiginleika

eða sambærilegan lífstíl, til dæmis. Markmiðið með gerð persónusniða getur verið að

meta framtíðarmöguleika fólks til að ná vissum markmiðum eða spá fyrir um framtíðar

heilsufar fólks sem dæmi.9

Sjálfvirkar einstaklingsmiðaðar ákvarðanatökur eru form vinnslu sem lýtur í GDPR öllu

strangari skilyrðum, enda er það hugtaksskilyrði að sjálfvirkar ákvarðanatökur hafi

réttaráhrif á hinn skráða eða sambærilega veruleg áhrif, samanber 22. gr. GDPR. Það

er því talsvert inngrip í líf hins skráða að taka um hann sjálfvirka ákvörðun sem fellur

að skilgreiningu 22. gr. GDPR sem nánar verður gerð grein fyrir í kafla 5.3.

Önnur grundvallarhugtök sem þarf að skoða eru persónuupplýsingar og samþykki.

Meðal annars verður skoðað hvað fellur undir hugtakið persónuupplýsingar og hvað

þarf að felst í samþykki fyrir því að unnið sé með persónuupplýsingar um hinn skráða

og hvaða heimildir aðrar eru til vinnslunnar. Leitast verður við að finna raunveruleg

dæmi úr daglegu lífi til að varpa sem bestu ljósi á hvað breytist með nýrri reglugerð.

1.4 Rannsóknarspurning og afmörkun efnis Rannsóknarspurningin sem lögð er til grundvallar í ritgerð þessari er: Hvað eru

persónusnið og sjálfvirkar einstaklingsmiðaðar ákvarðanatökur í skilningi GDPR? Þá

verður leitast við að greina skilin á milli þessara hugtaka og einnig skoða raunveruleg

dæmi um notkun þessara hugtaka í framkvæmd.

Til að ná því markmiði að svara spurningunni er í mörg horn að líta. Fyrst stendur til

að skoða hvers vegna tími þótti til kominn að setja nýja reglugerð um meðferð

persónuupplýsinga. Þá verður litið til svokallaðs 29. gr. starfshóps ESB10 sem lagði

9 Alþt. 1999-2000, A-deild, 2734, 2735. 10 29. gr. starfshópurinn (hér eftir 29. gr. starfshópurinn) er nefndur eftir grunni þeim sem hann var reistur á. 29. gr. tilskipunar 95/46/EB. Fullt nafn hópsins er “Starfshópur um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga“ líkt og kemur fram í 29. gr. tilskipunarinnar. Tilgangur hópsins er skv. 2. ml. 1. mgr. 29. gr. að gegna ráðgjafarhlutverki, gagnvart framkvæmdastjórninni og vinna sjálfstætt að ráðleggingum um gagnavernd og aðstoða við þróun samrændrar stefnu á sviðið

4

grunninn að GDPR. Þar að auki benti 29. gr. starfshópurinn á ýmsar mögulegar og oft

á tíðum nauðsynlegar breytingar á reglum um persónuupplýsingar.

Þá verður næst lagður grunnur að umfjöllun þeirri sem á eftir kemur með því að

skilgreina nauðsynleg hugtök og skýra lagaumgjörðina eins og hún er í dag á Íslandi.

Þar á eftir verður framkvæmdur samanburður á gildandi lögum nr. 77/2000 um

persónuvernd og meðferð persónuupplýsinga11 og þeim reglum sem munu taka gildi

með GDPR. Meginmál ritgerðar þessarar verður reist á þeim grunni sem finna má í

fyrri köflum. Meginmálinu er ætlað að svara þeirri spurningu sem lagt var af stað með

í upphafi.

Að því loknu verður dregið saman hver staðan verður þegar GDPR kemur til

framkvæmda hér á landi sem og annarsstaðar.

Kafli 2: Lagaumgjörð persónuverndar 2.1 Almennt Í þessum kafla verða tekin til skoðunar ákvæði um friðhelgi einkalífs í stjórnarskrá

lýðveldisins Íslands nr. 33/1944, pul. og svo GDPR. Farið er nánar út í tilurð og tilefni

nýrra persónuverndarlöggjafar Evrópusambandsins sem og innleiðingu hennar í

íslenskan rétt.

Þegar kemur að persónuvernd er almennt þema að þar togist á réttindi hins skráða til

friðhelgi einkalífs og önnur grundvallarréttindi hans annars vegar og réttindi þess sem

vill nota upplýsingarnar til að vinna þær eða birta hins vegar. Það er því ákveðið

jafnvægispróf sem þarf að framkvæma og eru því gerð nánari skil og reifaðir dómar

Hæstaréttar Íslands og Mannréttindadómstóls Evrópu um jafnvægisprófið í kafla 2.2

hér síðar. Hagsmunirnir togast á og yfirleitt fela vinnsluheimildir í sér undanþágur og

undanþáguheimildir skal almennt túlka þröngt.12

gagnaverndar í Evrópusambandinu.„About Article 29 Working Party - European Commission“ (12. desember 2017) <http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=59485> skoðað 12. desember 2017. 11 Hér eftir „pul.“ 12 Davíð Þór Björgvinsson, Lögskýringar (Háskólinn í Reykjavík : JPV útgáfa 2008) 183.

5

2.2 Stjórnarskrá lýðveldisins Íslands og friðhelgi einkalífs Persónuvernd byggir á grunnreglunni um friðhelgi einkalífs sem verndað er í 71. gr.

stjórnarskrá lýðveldisins Íslands í lögum nr. 33/1944.13 Í 71. gr. er öllum gert að njóta

friðhelgi einkalífs, heimilis og fjölskyldu. Í 2. mgr. 71. gr. er kveðið á um að meðal

annars megi ekki gera rannsókn á skjölum, póstsendingum, símtölum eða öðrum

fjarskiptum svo skert sé einkalíf manns. Í 3. mgr. er veitt undanþága frá banninu og

takmarkanir á friðhelgi einkalífs, heimils eða fjölskyldu heimilaðar ef lagaheimildar

nýtur við og ef brýna nauðsyn ber til vegna réttinda annarra.

Skýringar við 71. gr. stjskr. er að finna í athugasemdum við 9. gr. frumvarps þess sem

varð að stjórnskipunarlögum nr. 97/1995 og þær hefjast á þessum orðum:

Mjög raunhæft dæmi um svið, þar sem álitaefni vaknar um hvort brotið er gegn friðhelgi einkalífs, er skráning persónuupplýsinga um einstaklinga, en í því sambandi reynir á hve langt megi ganga í skipulagðri skráningu á lífsháttum manns og högum og meðferð slíkra upplýsinga.14

Helstu kveikjur að breytingum þeim sem gerðar voru á stjórnarskrá lýðveldisins Íslands

með stjórnskipunarlögum nr. 97/1995 voru þjóðréttarlegar skuldbindingar sem Ísland

hafði gengist undir með aðild að alþjóðlegum mannréttindasáttmálum. Þar fer fremstur

í flokki Mannréttindasáttmáli Evrópu15 sem var lögfestur á Íslandi með lögum nr.

62/1994. En auk hans voru teknir í lög Félagssáttmáli Evrópu, sáttmáli Sameinuðu

þjóðanna um borgaraleg og stjórnmálaleg réttindi og annar sáttmáli Sameinuðu

þjóðanna um efnahagsleg, félagsleg og menningarleg réttindi.16 Með breytingunum

sem fólust í stjórnskipunarlögum nr. 97/1995 var viðbót sett í 71. gr. stjskr. sem áður

kvað á um friðhelgi heimilis en kveður nú á um friðhelgi einkalífs, heimilis og

fjölskyldu.17 Sambærilegt ákvæði er að finna í 8. gr. MSE en er í 1. mgr. tryggður réttur

hvers manns til „friðhelgi einkalífs síns, fjölskyldu, heimilis og bréfaskipta“ og í 2. mgr.

segir um möguleika til að skerða réttindin sem tryggð eru í 1. mgr. að:

Opinber stjórnvöld skulu eigi ganga á rétt þennan nema samkvæmt því sem lög mæla fyrir um og nauðsyn ber til í lýðræðislegu þjóðfélagi vegna þjóðaröryggis, almannaheilla eða efnahagslegrar farsældar þjóðarinnar,

13 Hér eftir „stjskr.“ 14 Alþt. 1994-95, A-deild, 2099,2102. 15 Hér eftir „MSE“. 16 Björg Thorarensen, Stjórnskipunarréttur: mannréttindi (Bókaútgáfan Codex 2008) 33. 17 sama heimild 34.

6

til þess að firra glundroða eða glæpum, til verndar heilsu manna eða siðgæði eða réttindum og frelsi annarra.

Einkalíf er yfirheiti yfir allt sem lýtur að persónulegum högum manns. Kjarni hugtaksins

er sá að hver og einn hefur rétt til yfirráða yfir lífi sínu og líkama, til friðar um lífshætti

og einkahagi sína sem og tilfinningalíf og sambönd við aðra.18 Ekki er hér um að ræða

tæmandi talningu atriða sem falla undir skilgreiningu einkalífs.19

Í 73. gr. stjskr. er tjáningarfrelsi tryggt öllum, að því gefnu líkt og kemur fram í 2. mgr.

að hver maður geti þurft að ábyrgjast skoðanir sínar og hugsanir fyrir dómi. Í 3. mgr.

73. gr. er svo kveðið á um skorður á tjáningarfrelsinu. Því má setja skorður með lögum

sem miða að því að halda uppi allsherjarreglu, öryggi ríkis eða í þágu verndar heilsu,

siðgæðis, réttinda eða mannorðs annarra, enda teljist skorðurnar nauðsynlegar og

samrýmast lýðræðishefðum. Alþjóðleg samvinna hefur komist á legg um regluverk í

kringum rafræna vinnslu persónuupplýsinga eins og áður hefur verið gerð grein fyrir.

Hefur löggjafanum þótt tilefni til að taka tillit til þeirrar samvinnu í lagasetningu, þar

sem ætlunin er að skýra hvaða persónuupplýsingum er heimilt að safna sem og rétt

manna til að fá aðgang að upplýsingum um sjálfa sig. Persónuvernd er raunar

viðfangsefni samnefndrar fræðigreinar innan lögræðinnar. Sú fræðigrein grundvallast

á pul. sem fjallað er um í kafla 2.3 og er lögum um persónuvernd almennt ætlað að

kveða nánar á um jafnvægi tjáningarfrelsis og friðhelgi einkalífs.

Í þessu samhengi má nefna dóm Hæstaréttar frá 4. október 2007 í máli nr. 37/2007

þar sem dagblaðið DV hafði greint frá ástarsambandi stefnanda og nafngreinds

manns. Áður hafði Fréttablaðið birt upplýsingar um tölvupóstsamskipti þeirra sem lutu

að upphafi lögreglurannsóknar. Hæstiréttur taldi að réttur dagblaðsins til að miðla

upplýsingum sem þessum gæti ekki talist ríkari en réttur stefnanda til friðhelgi einkalífs.

Í dómi Hæstaréttar kom eftirfarandi fram:

Þegar virt er sú ríka vernd, sem 1. mgr. 71. gr. stjórnarskrárinnar veitir einkalífi manna, verður á hinn bóginn ekki séð hvaða erindi upplýsingar þessu til viðbótar hafi átt til almennings um önnur og persónuleg samskipti gagnáfrýjanda við nefndan B, enda var hvorki leitast við í fréttaflutningi DV 26. september 2005 að skýra gildi þeirra fyrir málefnið, sem til umræðu var í þjóðfélaginu, né hafa aðaláfrýjendur fært fyrir því haldbærar skýringar í máli þessu. Af þessum sökum verður að fallast á

18 sama heimild 288. 19 sama heimild 290.

7

að aðaláfrýjendur hafi brotið gegn 229. gr. almennra hegningarlaga [nr. 19/1940] með því að birta umræddan dag þær fyrirsagnir sem vörðuðu einkamálefni gagnáfrýjanda og áður var getið.

Ákvæði 229. gr. almennra hegningarlaga leggur bann við því að skýra opinberlega frá

einkamálefnum annars manns. Í tilfellum sem reynir á ákvæðið þarf að vega og meta

rétt manna til friðhelgi einkalífs á móti tjáningarfrelsisákvæði stjórnarskrárinnar. Af

dómaframkvæmd má ráða ef um er að ræða málefni sem varða mikilvæga

samfélagslega hagsmuni þá er tjáningarfrelsinu gefið hætta undir höfuð en friðhelgi

einkalífs.Til eru fjölmörg dæmi úr dómaframkvæmd þar sem niðurstaðan er sú að

tjáningarfrelsinu skuli gefið hærra undir höfuð en friðhelgi einkalífs. Niðurstöður þess

efnis grundvallast yfirleitt á því að um er að ræða málefni sem varðar mikilvæga

samfélagslega hagsmuni.

Í dómi Hæstaréttar frá 1. júní 2006 í máli nr. 541/2005 var um að ræða mál til

staðfestingar lögbanni sem stefnandi hafði fengið við birtingu Fréttablaðsins á

upplýsingum úr tölvupóstsamskiptum hennar við nafngreindan mann er lutu að

lögreglurannsókn. Málsatvik voru því sambærileg þeim sem voru í áður reifuðu máli

nr. 37/2007. Í dómi Hæstaréttar sagði í þessu máli:

Skrif blaðsins höfðu að geyma efni, sem átti erindi til almennings og varðaði það mál, sem miklar deilur höfðu staðið um í þjóðfélaginu. Þótt jafnframt hafi verið greint í umfjöllun blaðsins frá fjárhagsmálefnum áfrýjanda voru þau svo samfléttuð fréttaefninu í heild að ekki varð greint á milli. Verður fallist á með stefnda að ekki hafi verið gengið nær einkalífi áfrýjanda en óhjákvæmilegt var í opinberri umræðu um málefni sem varðaði almenning.

Línan getur því verið afar þunn sem feta þarf og oft á tíðum óljóst hvoru megin

markanna upplýsingar eru.

Dómar Mannréttindadómstóls Evrópu20 geta gefið góða skýringu á þessari þunni línu.

Í málum Von Hannover gegn Þýskalandi er gerð skýrlega grein fyrir því hvar jafnvægið

er að finna milli friðhelgi einkalífs og tjáningarfrelsis. Fyrsta málið er frá 2004 nr.

59320/00. Deilt var um myndbirtingu af prinsessunni af Mónakó (Von Hannover) í

þýskum glanstímaritum. Málið var höfðað gegn þýska ríkinu vegna athafnaleysis við

að stöðva birtingu myndanna sem von Hannover taldi stangast á við 8. gr.

20 Hér eftir „MDE“.

8

mannréttindasáttmála Evrópu um friðhelgi einkalífs. Þýskir dómstólar höfðu talið að

myndbirtingin fæli ekki í sér brot á rétti von Hannover til friðhelgi einkalífs. Í framhaldinu

höfðaði hún því mál fyrir Mannréttindadómstól Evrópu. Myndirnar sem voru andlag

málsins sem hér er til umræðu voru af von Hannover að stunda ýmsar athafnir daglegs

lífs. Þýskir dómstólar voru almennt þeirrar skoðunar því að prinsessan væri opinber

persóna og mætti því þurfa að þola meira ónæði en aðrir venjulegir borgarar.

Stjórnarskrárdómstóll Þýskalands komst þó að þeirri niðurstöðu að birting myndanna

þar sem hún var á afskekktum stað, til að mynda inn á veitingastað væru brot á rétti

prinsessunnar til friðhelgi einkalífs og því væri birting þeirra ekki tæk. Dómstóllinn taldi

það sama gilda um myndir af prinsessunni með börnum sínum enda ætti hún rétt til

friðhelgi fjölskyldulífs. Myndir af henni einni á almannafæri, fælu hins vegar ekki í sér

brot á rétti hennar til friðhelgi einkalífs.21

MDE tók aðra nálgun á málið, dómstóllinn taldi að í jafnvægisæfingum friðhelgi

einkalífs og tjáningarfrelsis verði að felast mat á því hvort líklegt sé að framlag til

gagnlegrar þjóðfélagsumræðu felist í því sem birt skuli. Ekki þótti svo vera enda snertu

myndirnar og textinn sem þeim fylgdi eingöngu einkalíf von Hannover.22 Þá mat

dómstóllinn það sem svo að almenningur hefði ekki lögvarða hagsmuni af því að vita

hvar von Hannover væri og hvernig hún hagaði sínu daglega einkalífi, jafnvel þó hún

hafist við á almanna færi og þrátt fyrir að hún sé vel þekkt meðal almennings.

Hagsmunir rekstraraðila tímaritanna af sölu og dreifingu þeirra urðu að víkja fyrir rétti

von Hannover til friðhelgi einkalífs að mati dómsins.23 Að því sögðu var það mat

dómsins að brotið hefði verið gegn rétti von Hannover til friðhelgi einkalífs sem

verndað er í 8. gr. mannréttindasáttmála Evrópu.24

2.3 Lög nr. 77/2000

2.3.1 Almennt

Almennur hluti persónuréttar á við um höfuðreglurnar um persónuvernd eins og þær

birtast í fræðigreininni persónurétti. Sérstökum hluta persónuréttar er ætlað að fást við

sérgreind eða afmörkuð viðfangsefni innan persónuréttarins. Til að mynda þau sem

falla undir efnissvið laga nr. 77/2000 um persónuvernd og meðferð

21 Von Hannover g. Germany App no 59320/00 (ECHR, 28. júlí 2005) 38. 22 sama heimild mgr. 76. 23 sama heimild mgr. 77. 24 sama heimild mgr. 80.

9

persónuupplýsinga. Löggjöf um persónuvernd er ætlað að feta þröngan stíg en hafa

þarf í huga að í samspili tjáningarfrelsis og friðhelgi einkalífs er rétt að bera hag

einstaklingsins fyrir brjósti enda gengur friðhelgi einkalífs eins, framar tjáningarfrelsi

annarra um einkalífs hins fyrra samanber:

Eitt vandmeðfarnasta viðfangsefnið, þar sem reynir á takmarkanir á friðhelgi einkalífs, lýtur að því að finna jafnvægi á milli þess og annarra stjórnarnskrárverndaðra réttinda og þar kemur tjáningarfrelsi annarra oftast til álita. Verður niðurstaða hagsmunamats að ráðast af atvikum í hverju máli og þá einkum af því hvort vega þyngra hagsmunir einstaklings að njóta friðar um einkahagi sínu og mannorð eða nauðsyn þess að viðhalda frjálsri lýðræðislegri umræðu um málefni sem varða almenning.25

2.3.2 Tilurð laga um persónuvernd og meðferð persónuupplýsinga

Lög nr. 77/2000 hafa verið í gildi síðan 1. janúar 2001. Hér á landi voru fyrst sett lög í

ætt við lög um persónuvernd árið 1981, með lögum um skráningu á upplýsingum er

varða einkamálefni nr. 63/1981. Þrátt fyrir að ekki séu liðin nema 36 ár hafa síðan þrír

lagabálkar tekið gildi á sviði persónuverndar sem allir hafa leyst fyrirrennara sinn af

hólmi. Lög nr. 39/1985 um kerfisbundna skráningu á upplýsingum er varða

einkamálefni og nr. 121/1989 um skráningu og meðferð persónuupplýsinga tóku við

af þeim sem fyrst ruddu brautina hér á landi. Lög nr. 121/1989 voru sett á grundvelli

samnings Evrópuráðsins frá 28. janúar 1981 um vernd einstaklinga varðandi vélræna

vinnslu persónuupplýsinga, sá samningur er enn bindandi hér á landi.26 Gildandi lög

tóku svo við keflinu 1. janúar 2001.

2.3.3 Efni laga um persónuvernd og meðferð persónuupplýsinga

Með pul. var tilskipun 95/46/EB leidd í lög hér á landi.27 Grundvallar sjónarmiðin í

tilskipun 95/46/EB voru þó sambærileg gildandi lögum á þeim tíma nr. 121/1989.

Helsta breytingin á milli laganna frá 1989 og þeirra sem nú gilda var á gildissviði þeirra.

28 Gildissviðið var rýmkað og taka núgildandi lög til allra persónuupplýsinga en lögin

frá 1989 tóku einungis til fjárhagsupplýsinga og upplýsinga sem sanngjarnt væri og

eðlilegt að færu leynt samkvæmt 3. mgr. 1. gr. laganna. Vinnsla persónuupplýsinga

var að mestu leyti gerð tilkynningarskyld með tilkomu gildandi laga. Áður hafði vinnsla

25 Björg Thorarensen (n. 16) 305. 26 Alþt. 1999-2000, A-deild, 2689,2690. 27 Páll Hreinsson, Rafræn vinnsla persónuupplýsinga við meðferð stjórnsýslumála (Lagastofnun Háskóla Íslands 2007) 7. 28 Sigrún Jóhannesdóttir (n. 5) 35.

10

verið leyfisskyld að miklu leyti.29 Byrðin á herðum ábyrgðaraðila var því minnkuð. Enda

einfaldara í framkvæmd að tilkynna vinnslu en að sækja um og bíða eftir að fá leyfi

fyrir henni. Frá setningu laga nr. 77/2000 hefur þeim verið breytt 11 sinnum.

Markmið laganna er að finna í 1. mgr. 1. gr. þeirra og er:

Markmið laga þessara er að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins.

Markmiðinu er lýst frekar almennt.

Markmiðsákvæðinu skal bæði beita með hliðsjón af 8. gr. mannréttindasáttmála Evrópu, sbr. lög nr. 62/1994, um friðhelgi einkalífs og fjölskyldu, um að sérhver maður eigi rétt til friðhelgi einkalífs síns, fjölskyldu, heimilis og bréfaskipta, og 71. gr. Stjórnarskrár íslenska lýðveldisins nr. 33/1944, eins og henni var breytt með lögum 97/1995.30

2.4 GDPR

2.4.1 Almennt um GDPR

GDPR er ætlað viðamikið hlutverk eins og áður hefur verið getið, sérstaklega þegar

kemur að nútímavæðingu persónuverndar. GDPR er ætlað að efla vitund lögaðila jafnt

sem einstaklinga um persónuvernd. Helsta vitundarvakningin hefur orðið vegna þeirra

sektarákvæða sem er að finna í 83. gr. GDPR og fela í sér heimildir til álagningu

stjórnvaldssekta sem jafngilda allt að 20 milljónum evra eða 4% af ársveltu á

heimsgrundvelli, eftir því hvor upphæðin er hærri, þó fyrir ítrekuð og alvarleg brot.31

Aukinn áhugi er þegar farinn að gera vart við sig á sviði persónuverndar, hjá

einstaklingum, fyrirtækjum og fjölmiðlum.32

29 sama heimild 34. 30 sama heimild 40. 31 Persónuvernd, „Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ (Persónuvernd, 28. apríl 2017) 4 <https://www.personuvernd.is/media/frettir/146-1003.pdf> skoðað 10. október 2017. 32 „Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ 24 <https://www.personuvernd.is/media/frettir/146-1003.pdf> skoðað 10. október 2017.

11

2.4.2 Ástæður endurskoðunar og tilurð GDPR

2.4.2.1 Almennar ástæður endurskoðunar

Helstu drifkraftar breytinganna sem ráðist hefur verið í voru í fyrsta lagi viljinn til að

auka virkni og samræmingu persónuverndar í Evrópu. GDPR er ætlað að samræma

reglur á sviði persónuverndar og stuðla að markmiðum evrópska markaðarins.33 Í öðru

lagi var nauðsynlegt að nútímavæða löggjöfina um persónuupplýsingar. Tilgangurinn

er einnig „að færa sjálfsákvörðunarrétt um vinnslu persónuupplýsinga nær

einstaklingum.“34

Þegar fráfarandi tilskipun frá 1995 var samin var Internetið á frumstigum sínum.

Notkunarmöguleikar þess og aðgengi að Internetinu hafa tekið stakkaskiptum síðan

og því tímabært að uppfæra reglur um persónuupplýsingar til samræmis við

samtímann. Í þriðja lagi er ætlunin að færa valdið yfir persónuupplýsingum aftur til

réttmætra eiganda með því að leggja enn ríkari áherslu á skýrleika tilgangs vinnslu

persónuupplýsinga.35 Réttmætur eigandi er sú persóna sem upplýsingarnar lúta að.

Eitt helsta markmið hennar [GDPR] er að auka og styrkja réttindi einstaklinga þannig að þeir ákveði hverjir geti unnið persónuupplýsingar um sig, hvenær og í hvaða tilgangi.36

2.4.2.2 Almennt um tilurð GDPR

Þann 25. janúar 2012 lagði framkvæmdastjórnin37 til að umfangsmiklar endurbætur

yrðu gerðar á reglum um upplýsingavernd sem voru frá 1995. Markmið endurbótanna

yrði að auka öryggi persónuupplýsinga á internetinu og ýta undir stafrænt hagkerfi

Evrópu. Evrópska persónuverndarráðið38 gaf frá sér álit um tillögur

33 Persónuvernd, „Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ (n. 31) 23. 34 sama heimild. 35 European Parliament, „Data protection reform - Parliament approves new rules fit for the digital era | News | European Parliament“ (14. apríl 2016) <http://www.europarl.europa.eu/news/en/press-room/20160407IPR21776/data-protection-reform-parliament-approves-new-rules-fit-for-the-digital-era> skoðað 24. október 2017. 36 Persónuvernd, „Ársskýrsla 2016“ (júl 2017) Ársskýrsla 6 <https://www.personuvernd.is/media/arsskyrslur/Arsskyrsla-2016ny.pdf> skoðað 17. október 2017. 37 Hlutverk framkvæmdastjónar Evrópusamabandsins eru skilgreind í 17. gr. sáttmálans um Evrópusambandið. Hún er handhafi framkvæmdavalds, verndari sáttmála ESB, hún hefur frumkvæðisrétt að samningu löggjafar og hún er fulltrúi ESB út á við. „Hvað gerir framkvæmdastjórn ESB?“ (Evrópuvefurinn) <http://www.evropuvefur.is/svar.php?id=25169> skoðað 24. október 2017. 38 Hér eftir „Persónuverndarráðið“. Persónuverndarráðið er stofnun á vegum Evrópusambandsins sem komið var á fót með 1. mgr. 68. gr. GDPR. Stofnunin samanstendur af yfirmanni eins eftirlitsyfirvalds hvers aðildarríkis og Evrópsku persónuverndarastofnunarinnar, skv. 3. mgr. 68. gr. Persónuverndarráðið skal njóta sjálfstæðis í störfum sínum og þegar það beitir valdheimildum sínum

12

framkvæmdastjórnarinnar að breytingum þann 7. mars 2012. Það sama gerði 29. gr.

hópurinn, 23. mars sama ár. Starfshópurinn skilaði viðbótar athugasemdum við tillögur

framkvæmdastjórnarinnar í október 2012. Greidd voru atkvæði um GDPR á

Evrópuþinginu þann 12. mars 2014 þar sem nánast var einhugur um samþykki

reglugerðarinnar.39 Evrópska persónuverndarráðið sendi frá sér athugsemdir og

tillögur að viðbótum við endanlegan texta reglugerðarinnar þann 27. júlí 2015.

Ráðherraráðið40 hafði sett saman og gefið út drög að endanlegum texta 15. júní 2015.

Pólitískt samkomulag náðist þann 15. desember 2015, meðal framkvæmdastjórnar

Evrópusambandsins, Evrópuþingsins og ráðherraráðs Evrópusambandsins um efni

og innihald GDPR, reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27.

apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um

frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB.41

Aðgerðaráætlun fyrir innleiðingu GDPR var gefin út af 29. gr. starfshópnum þann 2.

febrúar 2016. Reglugerðin tók gildi þann 24. maí 2016, 20 dögum eftir birtingu hennar

í Stjórnartíðindum Evrópusambandsins. Reglugerðin kemur til framkvæmda 25. maí

2018.42

Hlutverk nýrrar reglugerðar er auk samræmingar að auka réttarvernd einstaklinga,

m.a. með því að auka gagnsæi í vinnslu persónuupplýsinga og auka kröfur til aðila

sem ábyrgjast og/eða vinna með slíkar upplýsingar. Í aukinni réttarvernd einstaklinga

felst til að mynda heimild til að leita til persónuverndarstofnunar í búsetulandi, eða því

landi þar sem vinnslan á sér stað. Reglugerðinni er einnig ætlað að létta

stjórnsýslulega byrði fjölþjóðlegra fyrirtækja. Að sama skapi eru lagðar skyldur á

fyrirtæki sem og stofnanir, til að mynda að skipa sér persónuverndarfulltrúa og óska

sbr. 1. mgr. 69. gr. GDPR. Verkefni Evrópska persónuverndarráðsins eru skv. 1. mgr. 70. gr. GDPR að tryggja samræmi í beitingu reglugerðarinnar. 39 Atkvæðin skiptust svona: 621 með, 10 á móti og 22 fjarverandi. Ernst-Oliver Wilhelm, „A brief history of the General Data Protection Regulation“ <https://iapp.org/resources/article/a-brief-history-of-the-general-data-protection-regulation/> skoðað 24. október 2017. 40 Ráðherraráðið fer með löggjafarvald í sambandinu ásamt Evrópuþinginu og samræmir stefnur og aðgerðir aðildarríkja í ýmsum málaflokkum. Ráðherraráðið er skipað einum ráðherra frá hverju aðildarríki.Evrópuvefur, „Ráðið“ (Evrópuvefurinn - Upplýsingaveita um Evrópusambandið og Evrópumál, 2. september 2012) <http://www.evropuvefur.is/svar.php?id=60019> skoðað 24. október 2017. 41 European Parliament, „Data protection package: Parliament and Council now close to a deal | News | European Parliament“ (15. desember 2015) <http://www.europarl.europa.eu/news/en/press-room/20151215IPR07597/data-protection-package-parliament-and-council-now-close-to-a-deal> skoðað 24. október 2017. 42 Wilhelm (n. 39).

13

forálits Persónuverndar svo dæmi séu tekin.43 Minni byrði á fjölþjóðleg fyrirtæki

útskýrist einna helst með því sem kallað hefur verið einn viðkomustaður (e. one-stop-

shop). Það felur í sér að fyrirtæki sem starfa í fleiri EES-ríkjum en einu geta ákveðið

að leita til Persónuverndar á Íslandi og þurfa ekki að leita annað. Þetta er gert með

einföldun regluverks að leiðarljósi. Sama gildir um einstaklinga sem geta snúið sér til

persónuverndarstofnunar í heimaríki sínu, án þess að þurfa að velta fyrir sér eða vita

hvar vinnsla persónuupplýsinganna fer fram.44

Weltimmo málið C-230/14, kom fyrir Evrópudómstólinn í aðdraganda GDPR og hafði

áhrif á reglugerðina. Málið snerist um deilu fyrirtækisins Weltimmo og Persónuverndar

Ungverjalands. Weltimmo sem skráð var í Slóvakíu hélt úti heimasíðu þar sem eignir

í Ungverjalandi voru auglýstar til sölu. Eigna auglýsingar á síðunni voru fríar fyrsta

mánuðinn en eftir það þurfti að borga. Margir auglýsendur sendu tölvupóst þar sem

óskað var eftir því að auglýsingu þeirra og persónuupplýsingum um þá yrði eytt.

Weltimmo varð ekki við því. Þegar þeir greiddu svo ekki sendi Weltimmo upplýsingar

um auglýsendurna til innheimtufyrirtækja sem önnuðust innheimtu greiðslna fyrir

Weltimmo. Deilan snérist um hvort Persónuvernd í Ungverjalandi gæti tekið á

málinu.45 Niðurstaða Evrópudómstólsins var að þar sem heimasíðan væri ætluð

ungverskum kaupendum og seljendum, á ungversku og Weltimmo hafði aðila á sínum

snærum í Ungverjalandi sem átti að innheimta skuldir auglýsenda, þá skiptir

skráningarland Weltimmo ekki máli og ungverskum persónuverndarlögum því beitandi

gegn hinu slóvakíska félagi.46 Þetta mál hafði áhrif á það sem á frummálinu kallast

hinu grípandi nafni „one-stop-shop“47 og gerð var grein fyrir hér fyrir ofan.

2.4.3 Mikilvægi GDPR

Giovanni Buttarelli, yfirmaður EDPS (Evrópsku persónuverndarstofnunarinnar)

skrifaði í grein sem hann birti 20. september 2017 að þrjú mál væru í forgangi á

skrifstofu hans næstu 12 mánuðina. Það fyrsta væri, að tryggja að samvinna við

43 Persónuvernd, „Ársskýrsla 2016“ (n. 36) 6. 44 „Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ (n. 32) 23. 45 Mál C-230/14 Weltimmo s.r.o. g. Nemzeti Adavédelmi ési Információszabadsá Hatóság [2015] ECLI:EU:C:2015:639, mgr. 11-13. 46 sama heimild mgr. 52. 47 „EU GDPR: How did we get here?“ <http://www.eugdpr.org/how-did-we-get-here-.html> skoðað 26. september 2017.

14

persónuverndarskrifstofur allra aðildarríkja væri hafin, til að tryggja að Evrópska

persónuverndarnefndin fari hnökralaust af stað 25. maí næstkomandi. Það næsta að

stofnanir Evrópusambandsins sem falla undir Evrópsku persónuverndarstofnunina

taki af fullum krafti þátt í og að æðstu stjórnendur þeirra átti sig fyllilega á því hvernig

upplýsingar um fólk eru meðhöndlaðar. Þriðja forgangsatriðið að mati Buttarelli er að

árið 2018 verði haldin ráðstefna um öryggi gagna og vernd þeirra í Brussel, þar sem

ætlunin er að stefna saman framúrstefnuþenkjandi sérfræðingum í gervigreind og

umhverfiseftirliti.48

Mikilvægi reglugerðarinnar felst einna helst í tveimur atriðum sem hún leggur áherslu

á. Í fyrsta lagi þá er gildissvið hennar afar vítt og nær hún til allra aðila sem stjórna eða

vinna með persónuupplýsingar um íbúa Evrópusambandsins þegar vinnslan er tengd

framboði á vörum og þjónustu, hvort sem varan eða þjónustan fæst gegn greiðslu eður

ei. Eins er allt eftirlit sem á sér stað innan Evrópusambandsins innan gildissviðs

reglugerðarinnar. Það eitt að ábyrgðaraðili sé staðsettur utan Evrópusambandsins

þýðir ekki að hann falli utan gildissviðs reglugerðarinnar.49 Í öðru lagi eru

sektarheimildirnar í reglugerðinni. Þær eru mögulega mjög íþyngjandi fyrir aðila sem

gerast brotlegir við reglugerðina eins og áður verið rakið.50

Munurinn á hinni nýju reglugerð, GDPR og hinni fráfarandi tilskipun 95/46/EB,

kristallast einna helst í því að með tilskipuninni var aðildarríkjum veitt talsvert svigrúm

til að ákveða með hvaða hætti þau vildu innleiða reglur hennar í sinn rétt. Raunar dugði

að efnisleg niðurstaða yrði sú sama og ef tilskipunin myndi gilda sem lög. Hvað varðar

GDPR þá hafa aðildarríkin ekki nema að nokkru leyti svigrúm til mats á því hvernig

þau vilja hátta eftirfylgni við reglugerðina.51 Það felst í eðli hennar að um er að ræða

meiri þungavigtar löggjöf enda stigsmunur á tilskipun og reglugerð. Reglugerðir eru

48 Giovanni Buttarelli, „The State of the Data Protection Union“ (European Data Protection Supervisor, 20. september 2017) </press-publications/press-news/blog/state-data-protection-union_en> skoðað 25. september 2017. 49 Osterman Research, „GDPR Compliance and Its Impact on Security and Data Protection Programs“ White Paper 2 <https://4b0e0ccff07a2960f53e-707fda739cd414d8753e03d02c531a72.ssl.cf5.rackcdn.com/wp-content/uploads/2017/02/GDPR-Compliance-and-Its-Impact-on-Security-and-Data-Protection-Programs-HPE.pdf?v=20> skoðað 6. september 2017. 50 sama heimild. 51 sama heimild.

15

þýðingarmestar afleiddra gerða að því er varðar efni, gildissvið og réttaráhrif.52

Reglugerðir hafa í aðalatriðum sömu stöðu og almenn lög aðildarríkja. Þær fela í sér

lagalega bindandi texta og þær verða sjálfkrafa hluti að lögum aðildarríkja ESB.53 Í

GDPR er að finna dæmi um ákvæð þar sem aðildarríki þurfa að taka afstöðu til þeirrar

efnisreglu sem þau vilja að gildi hjá sér.54

Hvað varðar efni ritgerðar þessarar þá eru með tilkomu GDPR sett nákvæmari ákvæði

um gerð persónusniða og sjálfvirkar ákvarðanatökur. Þá er sérstaklega vert að huga

að skilgreiningum á hugtökunum tveimur. GDPR nær ekki eingöngu til þeirra afleiðinga

sem geta orðið af völdum gerðar persónusniða eða töku sjálfvirkra ákvarðana. Heldur

setur GDPR einnig reglur um öflun upplýsinga til að hægt sé að gera persónusnið og

beitingu sniðanna á einstaklinga.55

2.4.4 Innleiðing í íslenskan rétt

Ísland gerðist aðili að Evrópska efnahagssvæðinu með undirritun á EES-samningnum

þann 2. maí 1992 í Óportó. Hann tók gildi 1. janúar 1994. Til að ná markmiði sínu gerir

samningurinn ráð fyrir því að EFTA-ríkin sem eru innan EES taki yfir þá löggjöf sem

stafar frá ESB og fellur undir gildissvið samningsins.56

EES-samningurinn er potturinn og pannan í samskiptum Íslands við ESB. Kjarninn í

EES-samningnum er sá að EFTA-ríkin taka upp reglur Evrópusambandsins um

fjórfrelsið57 og stuðla að einsleitni með því að grunnákvæði um fjórfrelsi taki til EFTA-

ríkjanna. Með því verða EFTA-ríkin þátttakendur í sameiginlegum innri markaði

Evrópubandalagsins. Undanskildir eru þó nokkrir veigamiklir þættir ESB, þar á meðal

„sameiginlega tolla- og viðskiptastefna ESB og landbúnaðar- og sjávarútvegsstefna“.

Undantekningar eru þó á þessu, sem dæmi hefur hindrunum á flutning

52 Afleiddar gerðir eru tilskipanir og reglugerðir sem teknar eru upp í EES samninginn úr ESB rétti í smræmi við 7. gr. EES-samningsins (stundum þó aðrar gerðir nefndar í viðaukum). Davíð Þór Björgvinsson, EES-réttur og landsréttur (Codex 2006) 86. 53 sama heimild 87. 54 Sem dæmi um þetta má nefna 1. mgr. 8. gr. GDPR þar segir „Aðlidarríki geta í lögum kveðið á um lægri aldur að því er þetta varðar [vísast til fyrri texta sömu málsgreinar] en þó ekki lægri en 13 ár.“ 55 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679“ (The Article 29 Working Party 10. mars 2017) 6 <http://ec.europa.eu/newsroom/document.cfm?doc_id=47742> skoðað 5. desember 2017. 56 „Stjórnarráðið | Samningurinn um Evrópska efnahagssvæðið (EES-samningurinn)“ <https://www.stjornarradid.is/verkefni/utanrikismal/evropusamvinna/ees-samningurinn/> skoðað 8. nóvember 2017. 57 Davíð Þór Björgvinsson (n. 52) 31.

16

landbúnaðarafurða og fiskafurða til að mynda verið aflétt og EES-samningurinn leitast

við að stuðla að frjálsu flæði fjármagns.58

Í lögum um evrópska efnahagssvæðið nr. 2/1993 er greinilegur stigsmunur gerður í 7.

gr. Þar er í a-lið 1. mgr. gerð krafa um að gerðir sem jafnast á við reglugerðir skuli

innleiddar sem slíkar í landsrétt. Í b-lið 1. mgr. er að finna heimild til handa yfirvöldum

samningsaðila til að velja form og aðferð við framkvæmd gerðarinnar, sem svipar til

eða er tilskipun.

Texti reglugerða er iðulega innleiddur í íslenskan rétt eftir að hann hefur verið þýddur

og aðlagaður að íslenskum aðstæðum. Raunar er þá texti reglugerðarinnar í heild

lögfestur í fylgiskjali við lög eða stjórnvaldsfyrirmæli með svokallaðri tilvísunaraðferð.59

Reglugerðir ESB eru gjarnan teknar upp í heild sinni og gerðar að almennum

stjórnvaldsfyrirmælum eða lögum. Með þessum hætti er markmiðunum náð,

reglugerður ESB hafa lagaáhrif í einstökum EFTA-ríkjum og skipta máli við úrlausn

deilumála.60

Munurinn á innleiðingu reglugerðar sem stafar frá ESB og tilskipun sem stafar frá ESB

í rétt EFTA-ríkja er einna helst sá að þegar kemur að tilskipunum dugar að endanleg

niðurstaða verði að markmiði hennar sé náð en hverju ríki fyrir sig er eftirlátið að

ákveða hvernig markmiðinu verður náð.61 Hins vegar þegar kemur að reglugerð verður

almennt að taka hana beint upp með einum eða öðrum hætti líkt og áður kom fram.

Sú tilskipun sem pul. byggja á númer 95/46/EB er felld undir 5. gr. e. í 11. viðauka við

EES-samninginn. Það er kafli sem heitir gagnavernd (e. data protection). Þá verður

GDPR einnig felld þar undir þegar drög sameiginlegu EES nefndarinnar hafa verið

lögð fyrir, samþykkt og tekin upp í EES-samninginn.62 Reglugerðir fá þó ekki beint

lagagildi innan EFTA-ríkjanna. Þær fara í gegnum innleiðingarferli, falli þær á annað

58 Sigurður Líndal og Skúli Magnússon, Réttarkerfi Evrópusambandsins og Evrópska efnahagssvæðisins: megindrættir (Hið íslenska bókmenntafélag 2011) 124. 59 Davíð Þór Björgvinsson (n. 52) 88. 60 sama heimild 90. 61 sama heimild 93. 62 EFTA, „EEA-Lex: tracking incorporation of EU law into the EEA Agreement | European Free Trade Association“ (EEA-Lex: tracking incorporation of EU law intothe EEA Agreement, 27. janúar 2014) <http://www.efta.int/eea/news/eea-lex-tracking-incorporation-eu-law-eea-agreement-2659> skoðað 8. nóvember 2017.

17

borð innan sviðs EES-samningsins. Þá verða þær teknar upp í samninginn með

ákvörðun Sameiginlegu EES-nefndarinnar og skuldbindur sú ákvörðun öll EFTA-ríkin,

þar á meðal Ísland, til að leiða þær orðrétt í lög í samræmi við 7. gr. EES-samningsins.

Yfirleitt verður tilvísun fyrir valinu sem innleiðingaraðferð við þessar aðstæður.63 Hinn

möguleikinn er svokölluð umritunaraðferð þar sem ákvæði gerðarinnar eru tekin

efnislega upp í lög eða stjórnvaldsfyrirmæli.64

Kafli 3. Hugtök og skilgreiningar 3.1 Almennt Í þessum kafla er ætlunin að gera grein fyrir þeim hugtökum sem skipta mestu máli

fyrir áframhaldandi umfjöllun ritgerðarinnar. Til að svara þeirri spurningu sem lagt var

upp með er ljóst að skilgreina þarf gerð persónusniða, sjálfvirkar ákvarðanatökur en

það verður gert í sérstökum köflum síðar þegar fjallað verður um hugtökin. Til nánari

glöggvunar er í kaflanum hér á eftir umfjöllun um persónuupplýsingar, ábyrgðaraðila,

vinnsluaðila og lögmætar heimildir til vinnslu persónuupplýsinga, þar á meðal

samþykki sem er algengasta vinnsluheimildin.65 Í umfjölluninni verða hugtökin skoðuð

frá sjónarhorni pul. sem og GDPR með það fyrir augum að greina breytinguna sem

felst í GDPR og varpa ljósi á þróunina sem er að eiga sér stað.

3.2. Hugtök

3.2.1 Persónuupplýsingar í pul.

Persónuupplýsingar eru skilgreindar í 1. tl. 1. mgr. 2. gr. pul. samkvæmt ákvæðinu eru

sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e.

upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi,

persónuupplýsingar. Skilgreiningunni er ætlað að samræma íslensk lög og alþjóðlegar

skuldbindingar.66 Ætla má að orðið sérhverjar vísi til þess að hugtakið

63 Tilvísunaraðferðin er þannig að sett eru lög sem staðfesta gildi gerðarinnar og þá vísað til heildartexta hennar í fylgiskjali við lögin. Davíð Þór Björgvinsson (n. 52) 89. 64 sama heimild 94. 65 Persónuvernd, „Grundvallarhugtök“ (Persónuvernd. Þínar upplýsingar, þitt einkalíf.) <https://www.personuvernd.is/spurningar-og-svor/grundvallarhugtok/> skoðað 25. október 2017. 66 Alþt. 1999-2000, A-deild, 2697.

18

persónuupplýsingar eigi að túlka rúmt.67 Undir hugtakið falla einungis upplýsingar í

tengslum við einstaklinga, ekki lögaðila.68

Öll lögvernd persónulegra réttinda snýst í reynd um tiltekin grundvallarréttindi einstaklinga enda þótt sum þeirra lúti reyndar, samkvæmt bókstaf laganna, að vernda ákveðinna hópa einstaklinga, sbr. lagaákvæði sem ætlað er að vernda ýmsa minnihlutahópa fyrir árásum eða aðkasti, t.d. vegna kynhneigðar eða trúarbragða fólks, sem þann hóp myndar. Þegar allt er til enda rakið eru það einstaklingar, sem hópnum tilheyra, er njóta réttindanna.69

Dæmi um upplýsingar sem geta fallið undir skilgreiningu pul. á persónuupplýsingum

eru IP-tölur, slíkar upplýsingar sem og kennileiti á tölvum eða netbeinum eru

rekjanlegar til einstaklinga með greiningarlyklum. Þótt einungis séu skráðar slíkar

upplýsingar. Þær eru talnarunur sem hafa litla merkingu nema fyrir handhafa

greiningarlykla, þá má vera að um persónuupplýsingar sé að ræða. Enda hægt að

tengja þær við einstakling með greiningarlyklum.70 Í áliti Persónuverndar nr. 2009/635

frá 16. desember 2009 var talið að skoðun Vinnumálastofnunar á hluta af IP-tölu K

sem kom fram í rafrænum tilkynningum sem K sendi til V, fæli í sér vinnslu

persónuupplýsinga. Fram kom í niðurstöðu Persónuverndar að:

Á meðal þeirra upplýsinga sem IP-tölur hafa að geyma, er í hvaða landi sú tölva er sem IP-talan stafar frá. Í samskiptum á Netinu er iðulega óhjákvæmilegt að IP-tölur skráist vegna tæknilegs eðlis Netsins. Það að skoða þann hluta IP-tölu, sem hefur að geyma auðkenni tiltekins lands, getur verið sambærilegt því að skoða póststimpil á umslögum. Af atvikum máls þessa má hins vegar ráða að IP-tölur tilkynnenda séu skráðar með kerfisbundnum hætti og telst því vera um að ræða vinnslu persónuupplýsinga í skilningi laga nr. 77/2000.

Dómur Evrópudómstólsins frá 19. október 2016 í máli C-582/14 Breyer gegn þýska

ríkinu, staðfesti að fastar og breytilegar IP-tölur geta talist til persónuupplýsinga.

Aðgangsauðkenni þráðlausra korta (e.mac addresses) hafa verið talin falla undir

skilgreiningu persónuupplýsinga. Ekki hefur verið tekin afstaða til þess hér á landi en

franska persónuverndarstofnunin (CNIL) komst að þeirri niðurstöðu þann 17. mars

2011 að Google hafi brotið frönsk lög með söfnun upplýsinga um aðgangsauðkenni

67 Sigrún Jóhannesdóttir (n. 5) 43. 68 Páll Hreinsson (n. 27) 8. 69 Páll Sigurðsson, Mannhelgi: höfuðþættir almennrar persónuverndar (Codex 2010) 23. 70 Sigrún Jóhannesdóttir (n. 5) 59.

19

þráðlausra korta. Söfnunin hafði farið fram án vitundar einstaklinga í gegnum þráðlaust

netkerfi þeirra í þeim tilgangi að bjóða þjónustu á grundvelli staðsetningar. CNIL

sektaði Google um 100.000 evrur fyrir ólögmæta söfnun persónuupplýsinga.71

Úrskurður Persónuverndar í máli nr. 2010/708 um ökurita í bílum Áhaldahúss

Kópavogs tekur meðal annars á upplýsingum um akstur starfsmanns á vinnutíma sem

fást með notkun ökurita í bíl og vinnutæki starfsmanns. Persónuvernd kemst að því í

úrskurði sínum að slíkar upplýsingar teljist til persónuupplýsinga.72

3.2.2 Persónuupplýsingar í GDPR

Þegar litið er til GDPR er ljóst að persónuupplýsingar teljast allar upplýsingar um

einstakling sem er hægt að bendla við hinn skráða einstakling, sbr. 4. gr. GDPR.

Nánari útlistun á hugtakinu er að finna í aðfararorðum að GDPR.

Í 26. gr. aðfararorða GDPR er fjallað um persónuupplýsingar sem færðar hafa verið

undir gerviauðkenni, ef hægt er að rekja þær til einstaklings með einhverjum

viðbótarupplýsingum skulu þær teljast persónuupplýsingar, þrátt fyrir að sigla undir

flaggi gerviauðkennis. Við mat á persónugreinanleika þá skal taka mið af öllum

aðferðum sem ætla má að mögulegt sé að beita til að bera kennsl á viðkomandi

einstakling. Til að ákvarða hvort aðferð er möguleg er rétt að taka tillit til allra hlutlægra

þátta hennar, til dæmis kostnaðar vegna hennar, tíma sem hún tæki, tækninnar sem

þyrfti og tækniþróunar svo dæmi séu tekin.

Álykta má út frá skilgreiningunni í 4. gr. GDPR að nafnlausar upplýsingar, það er

ópersónurekjanlegar upplýsingar falli almennt utan gildissviðs persónuverndar og

GDPR. Slíkt er þar að auki fullyrt í 26. gr. aðfararorða GDPR. Þar segir:

Meginreglur um persónuvernd ættu því ekki að eiga við um nafnlausar upplýsingar ... Þessi reglugerð varðar því ekki vinnslu slíkra nafnlausra upplýsinga, s.s. í tölfræðilegum tilgangi eða vegna rannsókna.

71 Mark Burdon og Alissa McKillop, „The Google Street View Wi-Fi Scandal and its Reprecussions for Privacy Regulation“ 39 (3) Monash 708 <https://www.monash.edu/__data/assets/pdf_file/0011/141230/vol-39-3-burdon-and-mckillop.pdf> skoðað 25. október 2017. 72 Úrskurður Persónuverndar 9. nóvember 2010 í máli nr. 2010/708.

20

Á því er beinlínis tekið í 30. gr. aðfararorðanna að netauðkenni sem skilja eftir sig spor,

svo sem IP-tölur, smygildi (e. cookies) og önnur auðkenni eru möguleg tæki til að

smíða persónusnið um einstaklinga og tæki og tól eru til sem gera viljugum kleift að

bera kennsl á þá, með samspili sporanna og einkvæmra auðkenna, sem og annarra

upplýsinga sem berast netþjónum.

Erfðafræðilegar upplýsingar ætti samkvæmt 34. gr. aðfararorða GDPR að skilgreina

sem persónuupplýsingar. Sama má segja um upplýsingar sem varða heilsufar

einstaklings og öll göng tengd heilsufari hans, án tillits til uppruna gagnanna, það er

að segja hvort sem þau koma frá lækni eða örðum heilbrigðisstarfsmanni, sjúkrahúsi,

lækningatæki eða með greiningarprófun í glasi, samanber 35. gr. aðfararorða.

3.2.2.1 Persónuupplýsingar barna

Ekki er minnst á persónuupplýsingar barna í pul. eða börn í lögunum yfir höfuð. Við

undirbúning GDPR þótti rétt að veita börnum sérstaklega ríka vernd. Sérstök áhersla

er lögð á vernd barna gegn söfnun upplýsinga um börn sem nota skal í beinum

markaðslegum tilgangi til að ná til barna og við gerð persónusniða um börn. Þá skal

veita starfsemi sem beinist að börnum sérstakan gaum samanber b-lið 1. mgr. 57. gr.

GDPR. Ástæður þess að tilefni þótti til að fjalla sérstaklega um vernd

persónuupplýsinga barna eru að börn kunna samkvæmt 38. gr. aðfararorða GDPR að

vera:

[S]íður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga. Þessi sérstaka vernd ætti einkum að eiga við um notkun persónuupplýsinga barna í markaðssetningarskyni eða þegar búin eru til persónu- eða notendasnið og um söfnun persónuupplýsinga er varða börn þegar þau nota þjónustu sem börnum er boðin beint.

Skilyrði sem gilda um samþykki barns í tengslum við þjónustu í upplýsingasamfélaginu

eru talin upp í 8. gr. GDPR. Til að barn geti talist fært um að samþykkja vinnslu

persónuupplýsinga er að lágmarki gert ráð fyrir að það sé orðið 16 ára samkvæmt 1.

mgr. 8. gr. GDPR. Þó er heimild til handa aðildarríkjum að lækka aldurinn niður í 13

ár, en ekki neðar en það í 2. ml. 1. mgr. 8. gr. Að öðrum kosti verður samþykki

handhafa foreldraábyrgðar að koma til. Ábyrgðaraðili skal samkvæmt 2. mgr. 8. gr.

gera hvaðeina það sem sanngjarnt má telja til að sannreyna að samþykki stafi frá

handhafa foreldraábyrgðar sé þess á annað borð þörf.

21

3.2.2.2 Viðkvæmar persónuupplýsingar í pul.

Viðkvæmar persónuupplýsingar teljast þær upplýsingar sem snerta einstaklinga á

hvað persónulegustum nótum. Í 8. tl. 1. mgr. 2. gr. pul. er tæmandi talningu viðkvæmra

persónuupplýsinga að finna. Í a-lið 8. tl. 1. mgr. 2. gr. er kveðið á um að upplýsingar

um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir

séu meðal viðkvæmra persónuupplýsinga. Upptalningin heldur áfram í b-lið sem tekur

til upplýsinga um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir

refsiverðan verknað, c-liður telur fram upplýsingar um heilsuhagi, þar á meðal um

erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun, d-liður flokkar upplýsingar um

kynlíf og kynhegðan manna sem viðkvæmar upplýsingar og að lokum tekur e-liður á

upplýsingum um stéttarfélagsaðild manna, í e-lið felast nýmæli. Ekki var kveðið á um

það í eldri lögum að stéttarfélagsaðild teldist til viðkvæmra persónuupplýsinga.73

Skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga er að finna í 9. gr. pul. Samkvæmt

5. mgr. 9. gr. er það Persónuvernd sem sker úr um ágreining um hvort

persónuupplýsingar teljist viðkvæmar eða ekki.

Vinnsla viðkvæmra persónuupplýsinga er skv. 1. mgr. 8. gr. tilskipunar 95/46/EB

bönnuð. Í 2.-5. mgr. 8. gr. tilskipunarinnar eru þó taldar upp undantekningar frá

bannreglunni. Þessar undantekningar er að finna í 9. gr. pul. og samkvæmt greininni

er stjórnvöldum heimil söfnun og vinnsla með viðkvæmar persónuupplýsingar í

stjórnsýslu sinni ef eitthvað skilyrða 1. mgr. 8. gr. laganna á við. Því til viðbótar verður

vinnslan að eiga sér stoð í 1.-9. tl. 1. mgr. 9. gr. pul. Vinnsla viðkvæmra

persónuupplýsinga þarf því að standast tvennskonar síur til að geta talist lögmæt í

skilningi pul.

Hagsmunir almennings af vinnslu með viðkvæmar persónuupplýsingar þurfa að vera meiri en óhagræði þeirra einstaklinga sem í hlut eiga, þ.e. hagsmunir samfélagsins þurfa að vega þyngra en hugsanlegt óhagræði fyrir hina skráðu. ... Í fyrsta lagi þarf að meta hversu viðkvæmar upplýsingarnar eru fyrir hina skráðu, því viðkvæmari sem upplýsingar eru þeim mun meiri kröfur verður að gera til mikilvægis almannahagsmuna. ... Í öðru lagi þarf að kanna hvort vinnslan hafi þýðingu fyrir breiðan hóp og eftir atvikum hagsmuni þjóðfélagsins í heild.

73 Ingi Snær Einarsson, „Sérstök skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga skv. 1. mgr. 9. gr. laga nr. 77/2000“ (2005) 58 Úlfljótur – tímarit laganema 41, 50.

22

Ekki er þó gert að skilyrði í þessu sambandi að vinnslan fari fram á vegum hins opinbera. ... Í þriðja lagi eru í 34.-36. lið formála tilskipunar EB, sbr. einnig ákvæði í 5. og 8. og 9. tl. 1. mgr. 9. gr. pul., tiltekin svið sem teljast grundvallast að miklu leyti á mikilvægum almannahagsmunum. Sem dæmi má nefna vinnslu á heilbrigðis- og almannatryggingasviði, á sviði vísindarannsókna og opinberra hagskýrslna.74

3.2.2.3 Viðkvæmar persónuupplýsingar í GDPR

Viðkvæmar persónuupplýsingar eru nefndar í 9. gr. GDPR sérstakir flokkar

persónuupplýsinga. Þar segir í 1. mgr. að:

Bannað er að vinna persónuupplýsingar er varða kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu eða aðild að verkalýðsfélagi og að vinna erfðafræðilegar upplýsingar, lífkennaupplýsingar í því skyni að persónugreina einstakling með einkvæmum hætti, heilsufarsupplýsingar eða upplýsingar er varða kynlíf einstaklings eða kynhneigð.

Af þessu má sjá að sérstakir flokkar 9. gr. GDPR eiga margt skylt með viðkvæmum

persónuupplýsingum sem listaðar eru upp í 8. tl. 1. mgr. 2. gr. pul. Þá segir enn frekar

í 51. gr. aðfararorða GDPR að ef persónuupplýsingar eru í eðli sínu sérlega

viðkvæmar að því leyti er varðar grundvallarréttindi og mannfrelsi, skuli þær njóta

sérstakrar verndar.

3.2.3 Vinnsla persónuupplýsinga

3.2.3.1 Vinnsla persónuupplýsinga í pul.

Vinnsla persónuupplýsinga verður ávallt að lúta meginreglum 7. gr. pul. um gæði

gagna og vinnslu. Auk þess sem vinnslan þarf að eiga sér stoð í 8. gr. laganna ellegar

eftir atvikum 9. gr. þeirra.

Skv. 2. tl. 1. mgr. 2. gr. pul. er vinnsla sérhver aðgerð eða röð aðgerða þar sem unnið

er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn.

Ómögulegt er að telja upp með tæmandi hætti allar mögulega vinnsluaðferðir sem

kann að vera beitt á persónuupplýsingar. Áhugavert er að líta til þess að skv.

útskýringu í b-lið 2. gr. tilskipunar 95/46/EB sem er grundvöllur pul. hljóðar hún svo:

Vinnsla persónuupplýsinga („vinnsla“): aðgerð eða röð aðgerða, rafrænna eða annarra en rafrænna, svo sem með söfnun, skráningu,

74 sama heimild 71.

23

kerfisbinding, geymsla, aðlögun eða breyting, heimt, leit, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, afmáun eða eyðilegging.

Heimildir til lögmætrar vinnslu persónuupplýsinga er að finna í 6. gr. GDPR. Rétt er að

áætla af upptalningu b-liðar 2. gr. GDPR að túlka skuli hugtakið vinnslu mjög rúmt. Eitt

er þó afgerandi í upptalningunni. Það er að hugatakið nær aðeins yfir aðgerðir eða

athöfn í tengslum við persónuupplýsingar en ekki athafnaleysi.75 Ábyrgðaraðili sem

vinnur rafrænt með persónuupplýsingar skal skv. 1. mgr. 31. gr. pul. tilkynna

Persónuvernd um vinnsluna áður en hún hefst. Þegar metið er hvort vinnsla

persónuupplýsinga er samkvæmt lögum er vert að athuga að meta þarf hvern þátt

vinnslunnar og hver þáttur hennar þarf að vera samkvæmur lögum.76 Í 7. gr. pul. eru

settar fram grunnreglur sem gilda um alla vinnslu persónuupplýsinga. Þó er

athugunarvert að 7. gr. felur ekki í sér neinar heimildir til vinnslu persónuupplýsinga.

Öll vinnsla persónuupplýsinga verður að vera á grundvelli heimildar sem fyrirfinnst í 8.

eða 9. gr. pul. Vinnslan sem heimiluð er í 8. og 9. gr. verður að vera í samræmi við

efnisreglur 7. gr.

3.2.3.2 Vinnsla persónuupplýsinga í GDPR

Vinnsla í skilningi GDPR er sambærileg þeirri skilgreiningu sem finna má í 2. tl. 1. mgr.

2. gr. pul. en þó er gerð tilraun til að nefna mögulegar gerðir vinnslu en vísast til

orðanna svo sem í 2. tl. 4. gr. reglugerðarinnar sem vísbendingar um það að ekki skuli

telja möguleika til vinnslu tæmandi talda í ákvæðinu.

3.2.3.3 Lögmætur grundvöllur vinnslu GDPR.

Ábyrgðaraðilar þurfa að hafa á hreinu hver er lögmætur grundvöllur þeirrar vinnslu

sem þeir standa að, hvort sem þeir vinna sjálfir úr persónuupplýsingum eða aðrir

vinnsluaðilar á þeirra vegum sbr. 2. mgr. 5. gr. GDPR, áður hefur verið vikið að

lögmætum grundvelli vinnslu samkvæmt pul. Algengasta heimildin til vinnslu

persónuupplýsinga er samþykki.77

75 Sigrún Jóhannesdóttir (n. 5) 71. 76 Páll Hreinsson (n. 27) 13. 77 Persónuvernd, „Grundvallarhugtök“ (n. 65).

24

Þá er í 6. gr. GDPR kveðið á um hvaða skilyrði vinnslan þurfi að uppfylla til að teljast

lögmæt. Hún þarf samkvæmt 1. mgr. 6. gr. að uppfylla að lágmarki eitt skilyrði af þeim

sex mögulegu skilyrðum sem sett eru fram í a - f-liðum 1. mgr. 6. gr.

3.2.3.3.1 Samþykki í pul.

Öll vinnsla persónuupplýsinga verður sem áður segir í kafla 3.2.3.2 að lúta

meginreglum um gæði gagna og vinnslu sem finna má í 7. gr. pul. Þar að auki verður

að vera fyrir hendi heimild til vinnslunnar en tækar heimildir er að finna í 8. gr. pul. og

eftir atvikum ef um viðkvæmar persónuupplýsingar er að ræða 9. gr. laganna.

Samþykki er í framkvæmd algengasta heimildin til vinnslu persónuupplýsinga.78

Samþykki er samkvæmt 7. tl. 1. mgr. 2. gr. pul. sérstök, ótvíræð yfirlýsing sem

einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu

tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún

fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla

samþykki sitt o.s.frv. Álit 29. gr. starfshópsins nr. 15/2011 (WP187) leggur áherslu á

það hvenær yfirlýsing er gefin. Í álitinu eru talin upp skilyrði fyrir því að yfirlýsing feli í

sér samþykki. Hún þarf að hafa komið til áður en vinnsla hófst. Ef breyting verður á

tilgangi vinnslunnar þarf að afla nýs samþykkis samkvæmt áliti 29. gr. starfshópsins.

Samþykki í skilningi 7. tl. 2. gr. þarf að uppfylla nokkur skilyrði. Það þarf að vera sérstakt, ótvírætt og veitt af fúsum og frjálsum vilja. Þá þarf það að vera upplýst en til þess þarf hinum skráða að vera kunnugt um tilgang vinnslu, hvernig hún fari fram, hvernig persónuvernd verði tryggð og að sér sé heimilt að skipta um skoðun. Samþykki þarf ekki að vera skriflegt, þótt það geti verið æskilegt af sönnunarástæðum.79

3.2.3.3.2 Samþykki í GDPR

Ein af stóru breytingunum sem fylgja nýrri reglugerð eru auknar kröfur til samþykkis

vegna vinnslu á persónuupplýsingum.80 Í 11. tl. 4. gr. GDPR er samþykki skilgreint

sem:

78 sama heimild. 79 Sigrún Jóhannesdóttir (n. 5) 114. 80 Sally Annereau, „Understanding consent under the GDPR“ (TaylorWessing, nóvember 2016) <https://united-kingdom.taylorwessing.com/globaldatahub/article-understanding-consent-under-the-gdpr.html> skoðað 23. september 2017.

25

[Ó]þvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um hann sjálfan …

Kröfur til samþykkis hafa því aukist töluvert. Óþvinguð og sértæk, upplýst og ótvíræð

viljayfirlýsing felur í sér að hinn skráði þarf að hafa val um að samþykkja vinnsluna eða

ekki, yfirlýsingin þarf að vera skýr fyrir hverja aðferð, hvern þátt og hvern aðila

vinnslunnar enda þarf hún að vera sértæk. Hugtaksskilyrðið upplýst, felur í sér að

yfirlýsingin þurfi að bera þess vott að hinn skráði átti sig á hvað hann er að samþykkja,

hann viti eða geti áttað sig á hver mun meðhöndla upplýsingarnar og hver tilgangur

vinnslunnar er. Gert er að skilyrði í 3. mgr. 7. gr. GDPR að hinum skráða sé gerð grein

fyrir rétti hans til að draga samþykki sitt til baka hvenær sem er. Ótvíræð viljayfirlýsing

þýðir að liggja þarf skýrt fyrir hver vilji hins skráða er nákvæmlega um þá vinnslu sem

til stendur að framkvæma.81 Nánar er gerð grein fyrir samþykki í GDPR í kafla 4.5.2.

3.2.3.4 Aðrar heimildir til vinnslu í GDPR

Aðrar heimildir til vinnslu persónuupplýsinga byggja að mestu leyti á skyldu gagnvart

lögum, nauðsyn til að tryggja mikilvæga hagsmuni og nauðsyn til að samningur komi

til framkvæmda.82

Í b-lið 1. mgr. 6. gr. GDPR er til staðar heimild fyrir vinnslu á grundvelli þess að vera

nauðsynleg til að framkvæma samning og slíka heimild er að finna í b-lið 1. mgr. 6. gr.

Slíkt myndi þó ekki fela í sér nauðsyn til að gera persónusnið um viðkomandi. Til

dæmis mætti nefna að ef einstaklingur verslar vöru í netverslun og velur að greiða

með korti, þá er nauðsynlegt að ábyrgðaraðilinn, verslunin í þessu tilfelli fái

kortaupplýsingar viðkomandi, til að geta uppfyllt samninginn sem kemst á. Það felur

þó ekki í sér að versluninni sé nauðsyn að gera persónusnið um viðkomandi til að spá

fyrir um kauphegðun hans næst þegar hann heimsækir netverslunina til dæmis. Til

þess þyrfti sérstaka heimild og einhverskonar ákvæði um heimild til handa versluninni

til að gera persónusnið sem væri í smáaletrinu yrði ekki talið duga.83

81 sama heimild. 82 Alan Calder, EU GDPR: A Pocket Guide (2016) 39 <http://public.eblib.com/choice/publicfullrecord.aspx?p=4647636> skoðað 13. desember 2017. 83 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 21.

26

Vinnsla persónuupplýsinga getur að auki farið fram á grundvelli þess að hún sé

nauðsynleg til að vernda mikilvæga hagsmuni hins skráða eða annarra einstaklinga,

samanber d-lið 6. gr. GDPR. Sem dæmi um þetta má nefna útbreiðslu sjúkdóms sem

getur smitast hratt á milli manna og þá er oft mikilvægt að finna út hver er orðinn beri

sjúkdómsins og þeim upplýsingum verður stundum að deila á milli aðila til að auka

líkur á að hægt verði að koma böndum á útbreiðslu. Ef vinnslan eins og í dæminu um

útbreiðslu sjúkdóma byggir á heilsufarsupplýsingum um einstaklinga eða öðrum

viðkæmum persónuupplýsingum þá þarf vinnslan einnig að uppfylla skilyrði c-liðar 2.

mgr. 9. gr. GDPR. Þessu úrræði skal einungis beitt sem grundvelli vinnslu ef önnur

eru ekki tæk. Vinnsla til beitingar opinberu valdi og/eða með hagsmuni almennings að

leiðarljósi getur átt sér stað, samkvæmt e-lið 1. mgr. 6. gr. GDPR.

Vinnsla persónuupplýsinga á grundvelli lögmætra hagsmuna á rétt á sér samanber f-

lið 1. mgr. 6. gr. GDRP. Hins vegar er þörf á frekari skýringum um hvað felur í sér

lögmæta hagsmuni. Ekki er sjálfgefið að ef lögmætir hagsmunir eru í húfi að þá sé

vinnsla heimil. Heldur þarf að fara fram ákveðið hagsmunamat, á milli lögmætra

hagsmuna ábyrgðaraðila, vinnsluaðila eða þriðja aðila annars vegar og

grundvallarréttar hins skráða hins vegar. Þá kemur til skoðunar hversu nákvæm

flokkun hins skráða er, hversu víðtækt það er, áhrif þess á hinn skráða og þær

verndarráðstafanir sem gripið hefur verið til, með sanngirni og nákvæmni að leiðarljósi

og með það að markmiði að koma í veg fyrir mismunun.84

2.6.3 Ábyrgðaraðili

Um ábyrgðaraðila er fjallað í 4. tl. 1. mgr. 2. gr. pul., það er sá aðili sem ákveður tilgang

vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra

ráðstöfun upplýsinganna. Við athugun Persónuverndar er það yfirleitt fyrsta atriði sem

þarf að skoða hver ábyrgðaraðili á vinnslu upplýsinganna er. Enda veltur niðurstaðan

um hvort heimild var til vinnslu á því hver ábyrgðaraðilinn er.85 Ábyrgðaraðilum ber að

gæta þess að vinnsla persónuupplýsinga fari eftir lögum, áður en vinnsla

upplýsinganna hefst.86 Í tilskipun 95/46/EB, nánar tiltekið d-lið 2. gr. er ábyrgðaraðili

skilgreindur sem einstaklingur eða lögpersóna, opinbert yfirvald, stofnun eða annar

84 sama heimild 22. 85 Sigrún Jóhannesdóttir (n. 5) 85. 86 sama heimild 86.

27

aðili sem ákveður87, einn og sér eða í samvinnu við aðra, markmið og aðferðir við

vinnslu persónuupplýsinga. Nú sinnir ábyrgðaraðili ekki skyldum sem honum ber að

sinna, og getur hann þá bakað sér refsi- og/eða bótaábyrgð auk þess sem

Persónuvernd hefur heimild til að stöðva frekari vinnslu persónuupplýsinga og mælt

svo fyrir um að þeim upplýsingum sem unnar hafa verið skuli eytt, að heild eða hluta.

Persónuvernd getur einnig lagt bann við notkun upplýsinganna skv. 40. gr. pul.

Ábyrgðaraðili er sá sem ákvarðar tilgang og aðferðir við vinnslu persónuupplýsinga

skv. 7. tl. 4. gr. GDPR. Hugtakið ábyrgðaraðili hefur því ekki breyst að neinu marki

með tilkomu nýrrar reglugerðar. Ábyrgðaraðili er afar lýsandi hugtak, það er sá sem

ber ábyrgðina á meðhöndlun upplýsinganna.

Ábyrgðaraðila ber skv. 1. mgr. 15. gr. GDPR að upplýsa hinn skráða skv. a. lið 1. mgr.

um tilgang vinnslunnar og skv. b. lið um þá flokka persónuupplýsinga sem vinnslan

nær til. Fyrst skulu þessar upplýsingar veittar við upphaf söfnunar upplýsinganna frá

hinum skráða eða innan skynsamlegs tímaramma. Í 60. gr. aðfararorða er fjallað um

að upplýsa skuli hinn skráða svo vel um vinnslu persónuupplýsinga um hann að

sanngjarnt geti talist að vinnslan fari fram. Það veltur á eðli þeirra persónuupplýsinga

sem til stendur að vinna hversu mikla fræðslu þarf að veita hinum skráða um ferlið.

2.6.5 Vinnsluaðili

Um vinnsluaðila er fjallað í 5. tl. 1. mgr. 2. gr. pul. það er sá sem vinnur

persónuupplýsingar á vegum ábyrgðaraðila. Vinnsluaðili er háður því að ábyrgðaraðili

hafi heimildir til að gera það sem hann setur vinnsluaðila fyrir. Framsalið þarf þar að

auki að vera rétt úr garði gert, þ.e.a.s. lögmæti vinnslu vinnsluaðila á upplýsingum

getur ráðist á umboði því sem ábyrgðaraðili veitir vinnsluaðila. Samningur um vinnslu

persónuupplýsinga þarf að vera skriflegur. Í samningnum skal koma fram að

vinnsluaðila sé einungis heimilt að haga sér í samræmi við fyrirmæli ábyrgðaraðila.

Ákvæði pul. um skyldur ábyrgðaraðila gilda einnig um verk vinnsluaðila.88 Í 3. mgr. 13.

gr. pul. er skýrt kveðið á um að vinnsluaðila er einungis heimilt að vinna með

persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila, nema lög kveði á um

87 ART 29 WP, „Opinion 1/2010 on the concepts of „controller“ and „processor““ (16. febrúar 2010) 1/2010 7,8 <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf> skoðað 12. desember 2017. Þetta er nýjasta álit 29. gr. starfshópsins um hugtökin ábyrgðar- og vinnsluaðili. 88 sama heimild 25.

28

annað. Skilgreining á vinnsluaðila er sambærileg í 8. tl. 4. gr. GDPR. Þar er

vinnsluaðila lýst sem „aðila sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.“

Hver sem er getur raunar verið vinnsluaðili skv. 8. tl. 4. gr.: einstaklingur, lögaðili,

opinber aðili, sérstofnun eða annar aðili.

Vinnsluaðila er ætlað veigameira hlutverk með tilkomu GDPR. Samkvæmt 13. gr.

aðfararorða GDPR er lögð sambærileg ábyrgð á herðar vinnsluaðila og á herðar

ábyrgðaraðila. Með það að markmiði að samræma vernd einstaklinga. Þá bera

ábyrgðar- og vinnsluaðilar báðir ábyrgð á tjónum sem þeir kunna að valda með vinnslu

sem fer gegn ákvæðum GDPR, samanber 146. gr. aðfararorða GDPR. Ítarlega er gerð

fyrir reglum um vinnsluaðila í 28. gr. GDPR.

Kafli 4 - Gerð persónusniða 4.1 Inngangur Persónusnið fela það í sér að upplýsingar eru teknar, oft frá ýmsum stöðum og raðað

saman í einskonar bútasaumsteppi úr upplýsingum. Bútarnir í teppinu geta svo breyst

um leið og nýjar eða uppfærðar upplýsingar liggja til grundvallar. Þannig verður til

persónusnið sem felur í sér þau hugtaksskilyrði sem almennt eru lögð til grundvallar

í 4. tl. 1. mgr. 4. gr. GDPR, það er að sjálfvirk vinnsla persónuupplýsinga sem hefur

þann tilgang að meta persónulega þætti manneskju að einhverju leyti. Gerð

persónusniða er sjálfstæð birtingarmynd vinnslu persónuupplýsinga samanber 6. gr.

GDPR.

Gerð persónusniða er hægt að skipta upp í þrjú stig, í fyrsta lagi felur hún í sér

gagnaöflun, í öðru lagi sjálfvirka greiningu gagnanna til að skilgreina og finna fylgni í

upplýsingunum sem aflað hefur verið og í þriðja lagi heimfærslu fylgninnar á

einstakling til að álykta um hegðun hans hvort sem er í nútíð eða framtíð.89

Notkun persónusniða sem gerð hafa verið fer einkum fram með þrennum hætti. Í fyrsta

lagi er um að ræða almenna kortlagningu, í öðru lagi eru ákvarðanir gjarnan byggðar

á persónusniðum og í þriðja lagi eru ákvarðanir sem eru með öllu sjálfvirkar byggðar

89 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 7.

29

á persónusniðum, samanber 22. gr. GDPR en þær ákvarðanir verða efni næsta

kafla.90

Munurinn á því hvort notkun persónusniðs fellur undir annan eða þriðja flokk

endurspeglast í því hvort mannleg aðkoma er að endanlegri ákvörðun eður ei. Sem

dæmi um slíkt má nefna lánaumsókn. Ef það er starfsmaður lánastofnunnar sem

ákveður hvort umsókn um lán skuli samþykkt eða hafnað og mat hans byggir á

persónusniði sem var sjálfvirkt unnið upp úr persónuupplýsingum, þá er um að ræða

notkun persónusniðs sem fellur í annan flokkinn. Ef hins vegar algrímur (e. algorithm)

ákveður á grundvelli persónusniðs hvort lánið skuli veitt og kemur þeirri ákvörðun til

skila til umsækjanda, án mannlegrar aðkomu sem hefur einhverja þýðingu, þá er það

sjálfvirk ákvarðanataka sem fellur undir 22. gr. GDPR91 sem nánar verður vikið að í

kafla 5.3.

Almennt séð er gerð persónusniða ekki eins gagnsæ og önnur vinnsla

persónuupplýsinga. Þó gerð persónusniða byggi á hlutlausu ferli þá getur

ábyrgðaraðili notað persónusnið til að taka ákvarðanir um einstaklinga sem geta

reynst afdrifamiklar og hugsanlega haft ófyrirséðar afleiðingar. Gerð persónusniða

getur ýtt undir staðalímyndir, skiptingu og flokkun í samfélaginu sem og skert valfrelsi

einstaklings, auk þess að minnka líkurnar á jöfnum tækifærum. Í persónusniðinu sjálfu

felast nýjar persónuupplýsingar sem verða að falla að reglum GDPR.92

Fyrirtæki, stofnanir eða aðrir haghafar kunna að telja að gerð persónusniða sé þeim

til hagsbóta. Það er þó engin trygging fyrir því að hún sé sanngjörn gagnvart hinum

skráða. Né takmarkar það skyldur ábyrgðaraðila til að veita upplýsingar um vinnsluna

og rétt einstaklinga í sambandi við hana. Gerð persónusniða getur haft áhrif jafnvel þó

engar ákvarðanir séu byggðar á framkvæmdinni. Slíkt gæti t.d. átt við söfnun

upplýsinga sem ekki eru notaðar en hugsanlega hafa fjárhagslegt gildi.93

90 sama heimild 8. 91 sama heimild. 92 ICO, „ICO´s Feedback request - profiling and automated decision-making“ (6. apríl 2017) 9 <https://ico.org.uk/media/about-the-ico/consultations/2013894/ico-feedback-request-profiling-and-automated-decision-making.pdf> skoðað 13. desember 2017. 93 sama heimild 6.

30

4.2 Persónusnið í íslenskum rétti í dag Í pul. er einungis að finna eina grein sem fjallar um persónusnið, 23. gr. Í henni er því

að finna útlistun á þeim leiðum sem tækar eru til að gera persónusnið.

Það fyrsta sem gera þarf til að tryggja að persónusið séu gerð með lögmætum hætti

samkvæmt pul., er að byrja á að tryggja að vinnsla persónuupplýsinganna sem

persónusniðið á að grundvallast á standist þær lágmarkskröfur sem pul. gera. Þær

eru, að vinnslan standist meginreglurnar sem finna má í 7. gr. pul. og að hún

grundvallist á einhverjum þeim heimildum sem finna má í 8. eða 9. gr. pul.

Í 1. mgr. 23. gr. pul. er útlistað að persónusnið skilgreini tiltekið hátterni, smekk,

hæfileika eða þarfir og þegar það er lagt til grundvallar við annað hvort sértæka

ákvörðun samkvæmt 9. tl. 1. mgr. 2. gr. laganna eða þegar persónusnið er notað til

að nálgast hinn skráða, velja úrtak, markhóp og svo framvegis. Í þessari vinnslu

persónuupplýsinga felst samkvæmt athugasemdum við frumvarp til pul. meðal annars

að finna hóp fólks sem fellur í eitthvað sameiginlegt form. Dæmi er tekið í

athugasemdunum við frumvarpið um fólk sem vinnur eftir klukkan 19:00 þrisvar í viku

og hefur meira en 100.000 kr. í mánaðarlaun og býr í tilteknu hverfi. Mynstrið sem hér

er hefur verið sett upp býr til hóp fólks, hóp sem hugsanlega gæti viljað nýta sér tiltekna

pöntunarþjónustu.94 Persónusnið eru einkum notuð til að finna og greina markhópa en

þau eru einnig notuð víðar. Til dæmis við töku sértækra ákvarðana eins og um

lánveitingar samanber umfjöllun um Creditinfo Lánstraust hf. síðar í þessum kafla.

Þá getur Persónuvernd ákveðið að ábyrgðaraðili vinnslunnar geri hinum skráða

viðvart. Þegar henni berst tilkynning um slíka vinnslu, hvaða upplýsingar

ábyrgðaraðilinn noti og hvaðan þær koma. Persónuvernd skal samkvæmt 2. mgr. 23.

gr. pul. meðal annars líta til þess og meta hvort viðvörun sem getið er í 1. mgr. 23. gr.

sé óframkvæmanleg eða til þess fallin að leggja þyngri byrgðar á ábyrgðaraðila en

sanngjarnt sé. Við mat á því hvort viðvaranir skuli sendar út samkvæmt 2. mgr. getur

Persónuvernd lagt til grundvallar ályktun sína um það hvort ætla megi að hinum skráða

hafi þegar borist viðvörun vegna vinnslunnar.95 Það myndi ekki teljast hafa áhrif á

skylduna til viðvörunar þótt hluti vinnslunnar hefði verið handunnin. Ákvæði 23. gr. pul.

er ætlað að leggja frekari skyldur á ábyrgðaraðila, fram yfir þær sem þegar gilda um

94 Alþt. 1999-2000, A-deild, 2734, 2735. 95 Alþt. 1999-2000, A-deild, 2734, 2735.

31

vinnslu í 20., 21. og 22. gr. pul. Í þeim ákvæðum felast skyldur til að fræða og upplýsa

hinn skráða um tiltekna vinnslu persónuupplýsinga, þar með talið gerð persónusniða

og réttur hans til að krefjast rökstuðnings vegna sértækra ákvarðana sem byggjast á

sjálfvirkri upplýsingavinnslu.96

Tilkynningarskylda er lögð á ábyrgðaraðila í 1. mgr. 31. gr. pul., vinni hann

persónuupplýsingar með rafrænni tækni og með heimild í 8. gr. eða 1. mgr. 9. gr. pul.

Af ákvæðum 23. gr. og 31. gr. pul. leiðir að gerð og notkun persónusniða er

tilkynningarskyld. Ábyrgðaraðilanum ber að upplýsa hinn skráða um notkun

persónusniða, hvaðan þau eru fengin, tegund þeirra upplýsinga sem notaðar eru og

hver er ábyrgðaraðili fyrir persónusniðinu.97 Gildir 23. gr. bæði um notkun

persónusniða við töku sértækra ákvarðana og sem dæmi þegar gera á úrtak vegna

markaðssetningar eða skoðanakannana. Þá þarf ekki að gera grein fyrir hvers vegna

hinn skráði fellur undir tiltekið persónusnið.98 Tilkynna skal til Persónuverndar vinnslu

persónuupplýsinga með rafrænum hætti samanber 1. mgr. 31. gr. og allar breytingar

sem verða á vinnslunni frá því sem greinir í upphaflegri tilkynningu. Samkvæmt 2. mgr.

getur Persónuvernd tekið af skarið og ákveðið að vissar tegundir vinnslu almennra

upplýsinga séu undanþegnar tilkynningarskyldu eða að um þær gildi einfaldari

tilkynningarskylda, þá getur Persónuvernd ákveðið í fyrirmælum meðal annars hvernig

tryggt sé að hinn skráði geti nýtt réttindi sín samkvæmt lögunum, meðal annars til að

hætta þátttöku í verkefnum og eftir atvikum fá eytt skráðum persónuupplýsingum og

fleira sem finna má í 2. mgr. 35. gr. pul. Á hinn bóginn getur Persónuvernd einnig

samkvæmt 2. mgr. 31. gr. ákveðið að tilkynning ein og sér dugi ekki í vissum tilfellum

heldur þurfi að sækja um leyfi fyrir vinnslunni. Persónuvernd getur einnig mælt fyrir um

ráðstafanir sem ætlað er að draga úr óhagræði sem rafræn vinnsla persónuupplýsinga

kann að hafa í för með sér fyrir hinn skráða.

Ekki verður séð af athugun á réttarframkvæmd að reynt hafi á 23. gr. pul. með nokkrum

hætti, nema að undanskildum tveimur atvikum þar sem Persónuvernd hafði aðkomu

að máli.

96 Alþt. 1999-2000, A-deild, 2734, 2735. 97 sama heimild. 98 sama heimild.

32

Þar er í fyrsta lagi um að ræða kvörtun frá einstakling síðan í mars árið 2008 og erindi

sem barst frá Neytendasamtökunum á sama tíma um sama efni. Umkvörtunarefnið

voru nýir kortaskilmálar Kaupþings sem áttu að taka gildi 10. mars 2008. Þeir sneru

að gerð persónusniða, auk þess að fjalla um rétt Kaupþings til að hafa samband við

korthafa með SMS skilaboðum. Sá hluti sem sneri að persónusniðum var

svohljóðandi:

Korthafi veitir Kaupþing heimild til að vinna persónuupplýsingar til þess að búa til persónusnið. Persónusnið verður til þegar persónuupplýsingum er steypt saman til að finna hóp fólks sem fellur inn í sameiginlegt mynstur að því er varðar hátterni og þarfir. Korthafi veitir Kaupþingi heimild til að vinna persónuupplýsingar í persónusnið í þeim tilgangi að geta haft samband við og boðið korthafa vörur og þjónustu með samstarfsaðilum sem tekur mið af framangreindri vinnslu persónuupplýsinga. Heimildin til vinnslu gildir í 5 ár en Kaupþingi er heimilt að vinna upplýsingarnar áfram eftir að þær hafa verið gerðar ópersónugreinanlegar.99

Persónuvernd óskaði eftir afstöðu Kaupþings vegna fram kominnar kvörtunar. Nánar

til tekið var óskað eftir afstöðu Kaupþings til lögmætis vinnslunnar, þ.e. hvort bankinn

teldi skilmálana standast 7. – 9. gr. pul. Ennfremur var kallað eftir afstöðu Kaupþings

til þess að fresta gildistöku skilmálanna sem kvörtunin beindist að meðan á afgreiðslu

málsins stæði. Í svari Kaupþings kom fram að skilmálarnir yrðu ekki látnir taka gildi.

Persónuvernd sá þar með ekki ástæðu til að aðhafast neitt frekar og tók ekki afstöðu

til þess hvort skilmálarnir stæðust pul.

Í öðru lagi er ákvörðun Persónuverndar frá 12. október 2011 í máli nr. 2011/968.100

Þar hafði Creditinfo Lánstraust hf. selt upplýsingar um áhættumat á einstakling. Þar

hafði Creditinfo gert áhættumat á greiðslugetu einstaklings sem byggði á söfnun og

skráningu upplýsinga er vörðuðu fjárhag og lánstraust hans. Fyrirætlan Creditinfo með

gerð áhættumatsins var að selja það til annars aðila. Slík vinnsla, það er söfnun og

skráning fjárhagsupplýsinga og lánstraust, sem hefur þann tilgang að verða söluvara

þarf að byggjast á starfsleyfi Persónuverndar samkvæmt 1. mgr. 2. gr. reglugerðar nr.

246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust sem á

sér stoð í 45. gr. pul. Creditinfo Lánstraust hf. hafði leyfi samkvæmt fyrrgreindum

ákvæðum. Svo segir í ákvörðun Persónuverndar:

99 Persónuvernd, „Kortaskilmálar Kaupþings“ (Persónuvernd. Þínar upplýsingar, þitt einkalíf., 22. apríl 2008) <https://www.personuvernd.is/efst-a-baugi/nr/760> skoðað 22. nóvember 2017. 100 Ákvörðun Persónuverndar 11. október 2011 í máli nr. 2011/968.

33

Varðandi þá vinnslu, sem um ræðir í máli þessu, verður hins vegar að líta til 1. mgr. 1. gr. áðurnefndrar reglugerðar, en þar segir að hún taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi. Gerð áhættumats, sem felur í sér gerð slíkra skýrslna, er því ekki leyfisskyld. Hún er hins vegar tilkynningarskyld og ber félaginu að senda um hana sérstaka tilkynningu í samræmi við 31. gr. [pul.].

Vinnsla persónuupplýsinga í tengslum við gerð áhættumats verður að fullnægja öllum kröfum [pul.]. það felur m.a. í sér að fullnægt þarf að vera einhverju skilyrðanna í 1. mgr. 8. gr. laganna eins og ávallt við vinnslu persónuupplýsinga.

Hægt var að heimfæra vinnsluna undir 1. mgr. 8. gr. Evróputilskipunar nr. 48/2008/EB

um neytendalánasamninga. Þar var kveðið á um skyldu til að tryggja að áður en

lánssamningur væri gerður yrði lánshæfi neytanda metið á grundvelli fullnægjandi

gagna. Þrátt fyrir að tilskipunin hefði ekki verið komin inn í íslenskan rétt á þeim tíma,

hún hafði verið tekinn upp í EES-samninginn og að virtum efnislegum ákvæðum

hennar taldi Persónuvernd að fallast mætti á gerð áhættumatsins þegar sótt hefur

verið um neytendalán, geta átt sér stoð í 2. tl. 1. mgr. 8. gr. pul.,101 enda grundvallist

vinnslan á beiði hins skráða áður en samið er um lánveitingu hjá fyrirtæki sem lýtur

eftirliti Fjármálaeftirlitsins og neytandinn hefur fengið viðeigandi fræðslu um vinnsluna.

Lánveitandi skal veita hinum skráða fullnægjandi fræðslu, þ. á. m. um notkun áhættumats og hvaðan það komi. Creditinfo Lánstraust hf. ber ábyrgð á gæðum áhættumatsins og áreiðanleika. Því ber að gera hinum skráða aðvart um að það hafi verið gert áhættumat á honum og bjóða honum að fá afrit af því.

Creditinfo Lánstraust hf. ber að senda Persónuvernd tilkynningu um gerð áhættumats í samræmi við 31. gr. [pul.]. Sama á við um einstaka lánveitendur sem afla slíkra persónuupplýsinga um einstakling og vinna með þær.

Í þessari vinnslu Creditinfo Lánstraust felst gerð persónusniða. Slík vinnsla kann að

vera tilkynningarskyld samanber tilvitnun.

4.4 Persónusnið í GDPR

4.4.1 Almennt

Í GDPR er að finna fjölmörg nýmæli sem taka til persónusniða. Þau standa sjálfstætt

sem tegund vinnslu persónuupplýsinga en geta einnig verið grundvöllur sjálfvirkra

101 2. tl. 1. mgr. 8. gr. pul. kveður á um að vinnsla persónuupplýsinga sé heimil, enda sé hún nauðsynleg til að efna samning sem hinn skráð er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.

34

ákvarðana í samræmi við 22. gr. GDPR. Reglurnar um persónusnið miða að því að

þau séu gerð á sanngjarnan hátt og að vinnslan sem í gerð þeirra felst standist kröfur

sem almennt eru gerðar þegar vinnsla persónuupplýsinga er annars vegar. Vinnslan

þarf að ganga í gegnum hagsmunamat. Vinnslan felur í sér inngrip í friðhelgi einkalífs

og grundvallarréttindi hins skráða. Jafnvægi þarf að vera á milli þess inngrips sem felst

í vinnslunni og þeirra hagsmuna sem ábyrgðaraðili hefur af vinnslunni. Vegna þess að

persónusnið eru raunar ein tegund almennrar vinnslu persónuupplýsinga er athugunin

gerð á vinnslu persónuupplýsinga almennt en áhersla á gerð persónusniða. Í þessum

kafla verður tekin til skoðunar sú skilgreining á gerð persónusniða sem felst í GDPR,

eins verða heimildir til vinnslu persónuupplýsinga raktar, meginreglur þar að lútandi

teknar til skoðunar, vinnsla viðkvæmra persónuupplýsinga verður athuguð og að

lokum verður notkun persónusniða tekin fyrir.

4.4.1 Skilgreining

Skilgreininguna á persónusniða, er eins og áður segir að finna í 4. mgr. 4. gr.

reglugerðarinnar:

[G]erð persónusniðs: hvers kyns sjálfvirk vinnsla persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika.

Þessi skilgreining leggur þrjá þætti til grundvallar. Það er í fyrsta lagi að um sjálfvirka

vinnslu sé að ræða, í öðru lagi að um vinnslu persónuupplýsinga sé að ræða sem og

í þriðja lagi að mat á persónuþætti manneskju fari fram.102 Þá verður ekki ályktað sem

svo að um tæmandi talningu persónuþátta sé að ræða í skilgreiningunni en þeir sem

taldir eru upp geta gefið vísbendingar um hvers eðlis persónusnið eru og gerð þeirra.

Í 4. mgr. segir að einkum sé um að ræða aðferð til:

[A]ð greina eða spá fyrir um þætti er varða frammistöðu hans [hins skráða] í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu og hreyfanleika.

Ekki verður séð af skilgreiningunni að mannleg aðkoma að gerð persónusniða geri

það að verkum að vinnslan falli utan skilgreiningar á hugtakinu persónusnið.103 Hins

102 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 6. 103 sama heimild.

35

vegar er ljóst af skilgreiningunni að einhvers konar sjálfvirk vinnsla persónuupplýsinga

verður að eiga sér stað.104 Fullkomlega handvirk vinnsla yrði ekki felld undir

skilgreininguna að mati höfundar.

Það eitt að flokka einstaklinga út frá grunnupplýsingum svo lengi sem þær teljast

persónuupplýsingar, gæti falli undir gerð persónusniða. Það þarf ekki að vera

tilgangurinn að spá fyrir um hegðun einstaklinganna. Enda er það ekki hugtaksskilyrði

að forspá um framtíðar persónuþætti felist í persónusniðum. Því má telja að einföld

flokkun eftir aldri, kyni og hæð geti talist til gerðar persónusniða.105

Túlka má 4. mgr. 4. gr. GDPR sem svo að notkun og mat á þekktum staðreyndum um

einhvern og greining eða forspá byggð á þeim staðreyndum er grundvöllur ákvörðunar

sem beinist að þeim einstaklingi. Í þessu felst greining á persónulegum þáttum sem

og vinnsla sem hefur gildi forspár. Ábyrgðaraðili eða vinnsluaðili gætu þannig notað

upplýsingar sem hinn skráði hefur beinlínis látið í té og staðfastlega eru réttar. Þessar

upplýsingar frá hinum skráða mætti svo samtvinna opinberum gögnum sem dæmi.106

Það er hugtaksskilyrði fyrir gerð persónusniða að mat fari fram. Í 60. og 63. gr.

aðfararorða GDPR er hinum skráða er tryggður réttur til upplýsinga um afleiðingar

gerðar persónusniða. Sem dæmi má nefna að hinn skráði fái upplýsingar um að hann

falli innan ákveðins markhóps vegna þess að hann sé á þennan eða annan veg. Eins

og dæmið sem áður hefur verið notað, starfsmaður sem starfar að lágmarki þrjú kvöld

í viku eftir klukkan 19:00 og hefur yfir 100.000 kr. í mánaðarlaun og býr í ákveðnu

hverfi og að þær staðreyndir þýði eitthvað ákveðið fyrir hinn skráða. Um réttindin

skráðra einstaklinga verður nánar fjallað í kafla 6.3.

4.5 Heimild til vinnslu persónuupplýsinga Gerð persónusniða sem slík er ein birtingamynd af vinnslu persónuupplýsinga. Eins

og á við um aðra vinnslu persónuupplýsinga, þá þarf gerð persónusniða að fara fram

í skjóli heimildar fyrir vinnslunni. Um lögmæti almennrar vinnslu er fjallað í 6. gr. GDPR.

104 Rita Heimes, „Top 10 operational impacts of the GDPR: Part 5 - Profiling“ <https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-5-profiling/> skoðað 27. september 2017. 105 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 7. 106 ICO (n. 92) 8.

36

Í a – f-liðum 1. mgr. 6. gr. GDPR er kveðið á um heimildir til vinnslu persónuupplýsinga.

Nánar verður gerð grein fyrir hverri heimild til gerðar persónusniða í næstu köflum.

4.5.1 Meginreglur um vinnslu persónuupplýsinga

Auk þess að grundvallast á heimild í 6. gr. GDPR þarf vinnsla persónuupplýsinga að

lúta meginreglum þeim sem finna má í 5. gr. GDPR. Í þessum kafla er ætlunin að fjalla

um þær meginreglur sem finna má í 5. gr. um vinnslu persónuupplýsinga með áherslu

á gerð persónusniða. Eins og áður hefur verið útlistað er gerð persónusniða eitt form

vinnslu persónuupplýsinga og því rétt að álykta sem svo að meginreglur þær sem

almennt gilda um vinnslu persónuupplýsinga eigi við um gerð persónusniða. Nema þá

að annað sé tekið fram. Þessu til stuðnings vísast til 72. gr. aðfararorða GDPR sem

segir:

Gerð persónusniðs fellur undir reglurnar um vinnslu persónuupplýsinga í þessari reglugerð, m.a. hvað varðar lagagrundvöll vinnslunnar eða meginreglur um persónuvernd.

Þegar kemur að meginreglum um vinnslu persónuupplýsinga er rétt að byrja á þeirri í

4. gr. aðfararorða GDPR. Þar er kveðið á um að vinnsla persónuupplýsinga ætti alltaf

að hafa það að markmiði að þjóna mannkyninu. Ígrunda þurfi vel hlutverk

persónuupplýsinga og vernd þeirra í samfélaginu og vega og meta réttinn til verndar

persónuupplýsingum með tilliti til meðalhófsreglunnar.

Í 26. gr. aðfararorðanna, segir að „meginreglur um persónuvernd ættu að gilda um

hvers kyns upplýsingar varðandi persónugreindan eða persónugreinanlegan

einstakling.“

Meginreglum á sviði persónuverndar er því ætlað viðamikið hlutverk. Bæði er þeim

ætlað að ná utan um alla leikendur og gerendur á sviði persónuverndar sem og að

vinna að því að vernda samfélagið og þjóna mannkyninu, göfugt markmið. Þeim er þó

ekki ætlað að ná til ópersónugreinanlegra upplýsinga samanber 5. málsl. 26. gr.

aðfararorðanna.

Af 72. gr. aðfararorða er ljóst að 5. gr. GDPR um vinnslu persónuupplýsinga á við,

sem og 6. gr. GDPR um lögmæti vinnslunnar. Í 5. gr. er farið yfir helstu meginreglur

og skilyrði fyrir vinnslu persónuupplýsinga, þ.e. hvers eðlis upplýsingarnar þurfa að

37

vera ásamt vinnsluháttum. Í a-lið 1. mgr. 5. gr. eru talin upp skilyrði sem vinnsla

persónuupplýsinga þarf að uppfylla, þær ber að vinna með lögmætum, sanngjörnum

og gagnsæjum hætti gagnvart hinum skráða. Þá segir í 39. gr. aðfararorðanna að

gagnsæi í þessu samhengi eigi einkum við upplýsingar til hins skráða um hver sé

ábyrgðaraðili, tilgang vinnslunnar og aðrar frekari upplýsingar sem miða að því að gera

vinnsluna gagnsæja fyrir hinn skráða.

Í b-lið er fjallað um tilurð upplýsinganna og vinnslu þeirra en þær skulu fengnar í skýrt

tilgreindum og lögmætum tilgangi og ekki unnar frekar á þann hátt að ósamrýmanlegt

sé þeim tilgangi; frekari vinnsla persónuupplýsinga vegna skjalavistunar í þágu

almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum

tilgangi skal, í samræmi við 1. mgr. 89. gr., ekki teljast ósamrýmanleg upphaflegum

tilgangi. Þá skal einungis heimilt að vinna persónuupplýsingar í öðrum tilgangi en

upphaflega var markmiðið við söfnun þeirra ef sá síðari samrýmist þeim upprunalega

samanber 50. gr. aðfararorðanna.

Kveðið er á um lágmarkskröfur til persónuupplýsinga sem vinna á í c-, og d-lið:

upplýsingarnar skulu vera nægilegar, viðeigandi og takmarkast við það sem

nauðsynlegt er miðað við tilganginn með vinnslunni. Þar undir fellur vinnsla sem er

nauðsynleg til að vernda hagsmuni sem varða líf hins skráða eða annars einstaklings

samkvæmt 46. gr. aðfararorðanna. Hvað varðar meginregluna í c-lið 1. mgr. 5. gr. þá

nær þetta einna helst til geymslutíma upplýsinganna og þess áskilanaðar að hann sé

í lágmarki samanber 39. gr. aðfararorðanna. Eins skulu þær vera áreiðanlegar og ef

nauðsyn krefur, uppfærðar; gera skal allar eðlilegar ráðstafanir til að tryggja að

persónuupplýsingum, sem eru óáreiðanlegar, með hliðsjón af tilganginum með vinnslu

þeirra verði eytt eða þær leiðréttar án tafar. Notagildi upplýsinganna á að vera ljóst við

söfnun og ekki má safna upplýsingum sem hugsanlega verða notadrjúgar seinna.107

Í f-lið 1. mgr. 5. gr. er fjallað um að upplýsingar skulu unnar með það að leiðarljósi að

viðeigandi öryggi sé tryggt, þar með talið að óleyfileg eða ólögmæt vinnsla fari ekki

fram. Einnig að unnið verði gegn glötun, eyðileggingu eða tjóni sem kemur til fyrir

107 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 19.

38

slysni. Til að reyna að koma í veg fyrir þetta skulu vera til staðar viðeigandi tæknilegar

og skipulagslegar ráðstafanir.

Ábyrgðin fyrir því að vinnsla fari fram samkvæmt 1. mgr. 5. gr. er í 2. mgr. lögð á

ábyrgðaraðilann. Skal ábyrgðaraðilinn geta sýnt fram á fylgni við reglur 1. mgr.

4.5.2 Samþykki sem heimild til grundvallar vinnslu persónuupplýsinga

Samþykki er eins og áður segir algengasta heimildin til vinnslu persónuupplýsinga en

alls ekki sú eina.108 Samþykki er ein leið fyrir hinn skráða til að hafa stjórn á vinnslu

upplýsinga um sig, þegar vinnsla byggir á samþykki hefur hann valið.109 Í samhengi

við gerð persónusniða er mikilvægt að athuga hvernig samþykki fyrir þeirri vinnslu

getur komið til. Skilyrði samþykkis eru sett fram í 11. mgr. 4. gr. GDPR. Þar segir:

[S]amþykki skráðs einstaklings: óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um hann sjálfan.

Samþykkið þarf að lúta sérstaklega að gerð persónusniðs, almennt samþykki til

vinnslu persónuupplýsinga dugar ekki til.110 Það þarf með öðrum orðum að upplýsa

hinn skráða um að samþykki hans feli í sér að heimilt verði að gera persónusnið sem

grundvallast á persónuupplýsingum þeim sem hann hefur veitt samþykki fyrir.111 Við

þetta tilefni er ábyrgðaraðilum rétt að hafa hugfastan þann boðskap sem fram kemur

í 58. gr. aðfararorða GDPR um skýrleika upplýsinga til hins skráða þær skulu vera

gagnorðar, aðgengilegar og auðskiljanlegar, á skýru og einföldu máli og skal

sjónrænum aðferðum beitt ef við á.

Samþykki telst ekki vera óþvingað ef það er ekki hægt veita samþykki fyrir einstaka

hluta vinnslunnar heldur verður að samþykkja alla vinnsluna sem ábyrgðaraðili óskar

108 Persónuvernd, „Grundvallarhugtök“ (n. 65). 109 European Digital Rights, „GDPR Key Issues Explained“ 4 <https://edri.org/files/GDPR-key-issues-explained.pdf> skoðað 11. desember 2017. 110 ART 29 WP, „Guidelines on Consent under Regulation 2016/679“ (28. nóvember 2017) WP259 12 <http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48849>. 111 Andrej Savin, „Profiling and Automatic Decision Making in the Present and New EU Data Protection Frameworks“ 7 <http://openarchive.cbs.dk/bitstream/handle/10398/8914/Savin.pdf?sequence=1> skoðað 29. október 2017.

39

samþykkis fyrir í heild. Eins er mikilvægt að hinn skráði einstaklingur hafi möguleika á

að draga samþykki sitt til baka hvenær sem er.112

Til að samþykki geti talist sértækt þá þarf að vera ljóst við veitingu þess, hvaða vinnslu

hinn skráði er að samþykkja. Þegar tilgangur vinnslu er margþættur, þá skal samþykki

liggja fyrir, fyrir hvern þátt hennar. Ef ætlunin er að vinna viðkvæmar

persónuupplýsingar þá þarf sérstakt samþykki fyrir því sem er ekki hluti af öðru

samþykki.113

Í skilgreiningunni á samþykki felst að það þarf að vera upplýst. Til þess að samþykki

geti talist upplýst þarf að liggja fyrir hver ábyrgðaraðilinn er og hver tilgangur

vinnslunnar er. Ekki má felast í samþykkinu óþarft rask á þeirri þjónustu sem

ábyrgðaraðilinn er að veita hinum skráða. Hinum skráða skal vera ljóst hvernig vinnslu

er háttað og á hvaða heimildum er byggt hverju sinni. Beiðnin um samþykki fyrir

vinnslu persónusniða skal ekki vera umlukin öðrum skilmálum heldur standa ein og

sér.114

Viljayfirlýsingin sem lýst er í skilgreiningu samþykkis hér að ofan og í 11. mgr. 4. gr.

GDPR er kjarni málsins. Aðferðin við að veita samþykki, það er að setja fram

viljayfirlýsingu sem er óþvinguð, sértæk, upplýst og ótvíræð getur verið mjög formleg.

Þá gæti hún farið fram með þeim hætti að hinn skráði undirriti formlega viljayfirlýsingu

sem uppfyllir allar kröfur sem eru gerðar, raunveruleg eða rafræn undirskrift hins

skráða gæti verið ein leiðin til að veita samþykki. Á hinn bóginn gæti samþykki verið

veitt í verki.115

Aðfararorð GDPR veita frekari skýringar á því hvernig samþykki skal veitt. Í 32. gr.

aðfararorðanna er tekið af skarið um veitingu samþykkis í verki. Þar segir að veiting

samþykkis sem uppfyllir kröfur 11. mgr. 4 gr. GDPR, gæti falið í sér:

[A]ð haka við reit þegar farið er inn á vefsetur á Netinu, velja tæknilegar stillingar fyrir þjónustu í upplýsingasamfélagi eða aðra yfirlýsingu eða

112 Information Commissioner Isle of Man, „Consent“ <https://www.inforights.im/information-centre/data-protection/the-general-data-protection-regulation/gdpr-in-depth/principles/lawfulness-fairness-and-transparency/lawfulness/consent/> skoðað 27. nóvember 2017. 113 sama heimild. 114 ART 29 WP, „Guidelines on Consent under Regulation 2016/679“ (n. 110) 13. 115 Savin (n. 111) 10.

40

athöfn sem gefur skýrt til kynna í þessu samhengi að skráður einstaklingur samþykki fyrirhugaða vinnslu á persónuupplýsingum. Þögn, reitir sem þegar er búið að haka við eða aðgerðarleysi ætti því ekki að fela í sér samþykki.

Í þessari lýsingu felast nokkur grunnatriði er varða veitingu samþykkis í verki. Það

liggur ljóst fyrir að athafnar er þörf til að hinn skráði geti talist hafa veitt samþykki sitt,

athafnaleysi getur ekki jafngilt samþykki. Það er því skilyrði að athöfn komi til frá hendi

hins skráða. Að öðru leyti er ekki gerð frekari krafa til hins skráða um samþykkið, það

er svo á ábyrgð ábyrgðaraðila að tryggja að upplýsingarnar til hins skráða um hvað

hann er að samþykkja séu skýrar og samþykkið sé óþvingað. Munnlegt samþykki

kemur því til vel til greina, að því gefnu að það uppfylli að öðru leyti skilyrði 11. mgr. 4.

gr.116

Í 42. gr. aðfararorða GDPR er sönnunarbyrðinni fyrir því að samþykki hins skráða

standist kröfur sem gerðar eru til þess, varpað á ábyrgðaraðila. Þar segir enn frekar:

Til þess að samþykki teljist upplýst ætti skráður einstaklingur að vita deili á a.m.k. ábyrgðaraðilanum og vera kunnugt um tilgang þeirrar vinnslu sem persónuupplýsingunum er ætlað að þjóna.

Í því ljósi að sönnunarbyrðin er á ábyrgðaraðilanum er rétt að athuga möguleikana til

sönnunar á munnlegu samþykki fyrir vinnslu persónuupplýsinga. Það væri því

ábyrgðaraðilanum í hag að notast sem minnst við munnlegt samþykki sem heimildir til

vinnslu. Enda almennt erfitt að sanna tilvist upplýsts samþykkis sem munnlega var

gefið.

Samþykki þarf að vera til staðar við gerð persónusniða þegar þau grundvallast á

viðkvæmum persónuupplýsingum samanber a-lið 2. mgr. 9. gr. GDPR, þó að því gefnu

að aðrir stafliðir 2. mgr. heimili ekki gerð persónusniða. Samþykki þarf einnig að vera

til staðar ef á að taka sjálfvirkar ákvarðanatökur á grundvelli persónusniðs samanber

c-lið 2. mgr. 22. gr. nema þá að a eða b-liður 2. mgr. eigi við og að því gefnu að

ákvarðanatakan geti skorið úr um réttaráhrif eða sambærilega mikilsverð efni fyrir hinn

skráða, samanber 1. mgr. 22. gr.

116 Information Commissioner Isle of Man (n. 112); ART 29 WP, „Guidelines on Consent under Regulation 2016/679“ (n. 110) 16.

41

4.5.3 Vinnsla nauðsynleg vegna framkvæmdar samnings

Gerð persónusniða getur grundvallast á samningum milli ábyrgðaraðila og hins

skráða. Þá er vinnslan nauðsynleg vegna framkvæmdar samnings, nú eða í þágu

nauðsynlegrar undirbúningsvinnu svo að samningur geti komist á, líkt og segir í 44.

gr. aðfararorðanna við GDPR að „Vinnsla [persónuupplýsinga] ætti að teljast lögmæt

þegar hún er nauðsynleg í tengslum við samning eða fyrirætlun um að gera samning.“

Mörkin á milli þess hvenær hinn skráði er að veita samþykki fyrir vinnslunni og hvenær

hún byggir á samningi geta verið óskýr. Eðli þeirra aðstæðna sem leiða til þess að

samningur kemst á eða er líklegur til að komast á er sennilega helsti greinarmunurinn

á þessum tveimur heimildum til vinnslu. Telja má að þegar um samning er að ræða þá

geti frumkvæðið á samningsumleitan komið frá báðum aðilum, það er að segja bæði

frá hinum skráða og ábyrgðaraðilanum. Þegar um samþykki er að ræða er líklegra

hinn skráði vilji nýta þjónustu sem stafar frá ábyrgðaraðilanum og þá komi frumkvæðið

fyrir vinnslunni frá ábyrgðaraðilanum. Sem dæmi um þetta má nefna samfélagsmiðla,

þegar einstaklingur skráir sig þar inn er hann ekki beinlínis að gera samning um vinnslu

persónuupplýsinga heldur getur hann valið um að veita samþykki fyrir vinnslu þeirra.

Heimildina til að vinna persónuupplýsingar ef vinnslan er nauðsynleg vegna

framkvæmdar samnings er að finna í b-lið 1. mgr. 6. gr. GDPR, þar segir:

[V]innsla er nauðsynleg vegna framkvæmdar samnings sem skráður einstaklingur á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.

Efni samnings skiptir máli. Hann getur fjallað um allt mögulegt en til þess að vinnsla

geti grundvallast á honum verður að vera ljóst í samningnum að í honum felist heimild

til handa ábyrgðaraðila að vinna persónuupplýsingar. Þá þarf að koma sérstaklega

fram að vinnslan fari fram í því ljósi að samningnum verði framfylgt.117 Samningur getur

þannig fjallað um að einhver vinna fari fram, sem dæmi má nefna að grassláttur fari

fram heima hjá hinum skráða. Þá þarf alla jafnan að vinna persónuupplýsingar sem

eru þá heimilisfang, símanúmer, greiðslukortaupplýsingar og hugsanlega

heimilisaðstæður að öðru leyti. Í því felst raunar að hinn skráði þarf að láta þessar

upplýsingar í té til ábyrgðaraðilans til að ábyrgðaraðilinn geti efnt samninginn. Í þessu

tilfelli garðyrkjufyrirtækisins sem vinnur svo enn frekar með þær, sendir út reikninga

117 ART 29 WP, „Guidelines on Consent under Regulation 2016/679“ (n. 110) 16.

42

og ratar í garðinn sem á að slá og svo framvegis, hringir í viðkomandi þegar búið er

að slá eða sendir tölvupóst. Þessar upplýsingar væri heimilt að vinna á grunvelli

nauðsynjar til að uppfylla samning.

Ábyrgðaraðilinn þarf almennt að sýna fram á að gerð persónusniðs vegna samnings

sé nauðsynlegt til að hægt sé að framfylgja samningnum. Þá ber ábyrgðaraðila að

athuga hvort önnur tæk leið, sem hefði í för með sér vægara inngrip í einkalíf hins

skráða, sé möguleg í átt að sama markmiði.118 Þessa nauðsyn er kveðið á um í

skilgreiningunni í b-lið 1. mgr. 6. gr. Samningur er því einungis mögulegur sem heimild

til vinnslu ef sú vinnsla er nauðsynleg vegna samningsins. Samanber dæmi um gerð

greiðslumats hjá Creditinfo Lánstrausti í kafla 4.2.

4.5.4 Lagaskylda

Heimildina til að vinna persónuupplýsingar vegna lagaskyldu er að finna í c-lið 1. mgr.

6. gr. GDPR. Þar segir að vinnslan sé heimil ef „vinnslan er nauðsynleg til að uppfylla

lagaskyldu sem hvílir á ábyrgðaraðila“.

Í þessu felst líkt og þegar um samning er að ræða að nauðsyn þarf að koma til svo

vinnsla persónuupplýsinga geti grundvallast, í þessu tilfelli á lagaskyldu sem hvílir á

ábyrgðaraðila.

Í 45. gr. aðfararorða við GDPR segir um vinnslu sem grundvallast á lagaskyldu að lög

Sambandsins eða lög aðildarríkja ættu að ákvarða tilgang vinnslunnar og tilgreina

almenn skilyrði sem finnast í GDPR um lögmæti vinnslunnar og hvernig ákvarða skuli

hver er ábyrgðaraðili, hvaða tegund persónuupplýsinga er unnið með,

varðveislutímabil og aðrar ráðstafanir til að tryggja að vinnslan fari fram á lögmætan

og sanngjarnan hátt. Lagagrundvöllur vinnslunnar skal samkvæmt 41. gr.

aðfararorðanna að vera skýr og nákvæmur og beitingin þarf að vera fyrirsjáanleg.

Skilgreiningin í c-lið er hvorki bundinn við einkaréttarlega ábyrgðaraðila eða opinbera,

það kann því að vera fyrir hendi lagaskylda á öllum mögulegum ábyrgðaraðilum til að

vinna persónuupplýsingar. Í tilskipun 95/46/EB er að finna samhljóða ákvæði í c-lið 7.

118 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 13.

43

gr. Umfjöllun 29. gr. starfshópsins um ákvæði tilskipunarinnar er lýtur að lagaskyldu

verður tekin til skoðunar hér, enda ákvæðin samhljóða. Álit 29. gr. starfsópsins um

sjálfvirkar ákvarðanatökur og gerð persónusniða í GDPR vísar til álits starfshópsins

um lögmæta hagsmuni þar sem umfjöllun um c-lið 7. gr. tilskipunarinnar er að finna.

Sem dæmi um vinnslu persónuupplýsinga sem byggir á lagaskyldu nefnir 29. gr.

hópurinn í áliti sínu afhendingu tekjuupplýsinga frá launagreiðanda til skattyfirvalda,

sem og skyldur fjármálafyrirtækja til að tilkynna um grunsamlegar færslur fjármuna.119

Slíkar skyldur eru lagðar á í lögum um tekjuskatt nr. 90/2003 og lögum um aðgerðir

gegn peningaþvætti og fjármögnun hryðjuverka nr. 64/2006.

Til að lagaskyldan geti verið til staðar þurfa lögin að fela í sér skyldu sem er í réttu

hlutfalli við það markmið sem stefnt er að. Ekki má kveða á um í lögum víðtækari

heimildir til vinnslu persónuupplýsinga en nauðsynlegar eru til ná markmiðinu, gæta

þarf meðalhófs í lagasetningu á þessu sviði og meta nauðsyn þeirra aðgerða sem

grípa á til eða heimila að gripið sé til samkvæmt lögum.120

Ábyrgðaraðili skal ekki hafa valkost um hvort hann vinnur persónuupplýsingarnar eður

ei. Slíkt er nauðsynlegt til að koma í veg fyrir að ábyrgðaraðilar stundi vinnslu

persónuupplýsinga til nota fyrir sjálfan sig í skjóli lagaskyldu. Það er einnig gert til að

koma í veg fyrir einhverskonar sambönd á milli einkaréttarlegra aðila og opinberra

aðila sem standa fyrir vinnslu persónuupplýsinga í skjóli lagaskyldu.121 Þá er rétt að

minna á að nauðsyn vegna lagaskyldu þarf að vera til staðar, það er að segja það er

ekki nóg að kveðið sé á um vinnslu í lögum heldur þarf að vera nauðsynlegt að sú

vinnsla sem kveðið er á í lögum fari fram. Sem dæmi um slíka skyldu má nefna

lánshæfismat122 sem er skylt að framkvæma samkvæmt 1. mgr. 20. gr. laga nr.

118/2016 um fasteignalán til neytenda. Einnig er lögð upplýsingaskylda á lánveitanda

119 ART 29 WP, „Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC“ (The Article 29 Working Party 4. september 2014) 844/14 19 <http://www.dataprotection.ro/servlet/ViewDocument?id=1086> skoðað 28. nóvember 2017. 120 sama heimild. 121 sama heimild. 122 Lánshæfismat er skilgreint í 15. tl. 1. mgr. 4. gr. laga nr. 118/2016 um fasteignalán til neytenda sem „mat lánveitanda á lánshæfi neytenda byggt á upplýsingum sem eru til þess fallnar að veita áreiðanlegar vísbendingar um líkindi þess hvort hann geti efnt samning um fasteignalán. Lánshæfismat skal byggt á viðskiptasögu aðila á milli eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust. Lánshæfismat felur ekki í sér greiðslumat nema slíkt sé áskilið sérstaklega.“

44

til að upplýsa neytanda ef lánshæfismat felur í sér uppflettingu í gagnagrunni um

lánshæfi samanber 3. mgr. 20. gr. laganna.

4.5.5 Brýnir hagsmunir hins skráða eða annars einstaklings

Vinnsla getur verið nauðsynleg til að vernda brýna hagsmuni sem varða líf eða limi

hins skráða eða annarra einstaklinga, samanber orðalagið brýnir hagsmunir.123 Undir

þennan flokk vinnsluheimilda, sem finnst í d-lið 1. mgr. 6. gr. GDPR, getur til dæmis

fallið gerð persónusniða sem miða að því að setja upp líkan sem spáir fyrir um

útbreiðslu lífshættulegra sjúkdóma, þá með skráningu á ferðamáta og ferðalögum hins

skráða, staðsetningu, við hverja hann hafði samskipti og svo framvegis.

Það er þó alltaf nauðsynlegt að útiloka að vinnsla geti farið fram í skjóli annarrar

heimildar áður en hún getur verið grundvölluð á brýnum hagsmunum.124 Einnig er

kveðið á um þessa skyldu til að tæma aðrar mögulegar vinnsluheimildir í 46. gr.

aðfararorðanna við GDPR. Fari vinnsla fram og persónuupplýsingarnar sem til

athugunar eru falla undir flokk viðkvæmra persónuupplýsinga þá er rétt að athuga að

ábyrgðaraðili verður að tryggja að vinnslan samræmist skilyrðum 2. mgr. 9. gr. GDPR.

Þar er í c-lið kveðið á um að vinnsla sérstakra flokka persónuupplýsinga megi fara

fram ef:

[V]innslan er nauðsynleg til að vernda brýna hagsmuni skráða einstaklingsins eða annars einstaklings ef hinn skráði er af líkamlegum ástæðum eða í lagalegum skilningi ófær um að veita samþykki sitt ...

Í h-lið 2. mgr. 9. gr. er kveðið á um að vinnsla sérstakra flokka persónuupplýsinga geti

farið fram á þeim grundvelli að hún sé nauðsynleg til að fyrirbyggja sjúkdóma. Frekari

heimildir eru í i-lið en þar segir að ef vinnslan er nauðsynleg af ástæðum er varða

almannahagsmuni á sviði lýðheilsu þá megi hún fara fram. Ætla má að á þessum

grundvelli væri hægt að gera persónusnið með það fyrir augum að koma í veg fyrir

útbreiðslu hættulegra sjúkdóma.

123 ART 29 WP, „Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC“ (n. 119) 20. 124 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 21.

45

4.5.6 Verkefni í þágu almannahagsmuna eða við beitingu opinbers valds

Vinnsla persónuupplýsinga vegna verkefnis í þágu almannahagsmuna eða verkefnis

í tengslum við beitingu opinbers valds er heimiluð er í e-lið 1. mgr. 6. gr. GDPR. Rétt

eins og á við um lagaskyldu sem hvílir á ábyrgðaraðila og fjallað var um hér áður þá

ætti vinnsla persónuupplýsinga vegna verkefnis í þágu almannahagsmuna eða við

beitingu opinbers valds að byggja á lögum Sambandsins eða lögum aðildarríkis.

Vísast til umfjöllunar í kafla 4.5.4 um 45. gr. aðfararorðanna hvað þetta varðar.

Þessi heimild gæti átt við um einkafyrirtæki sem aðstoða opinber yfirvöld við að fylgjast

með og greina meint svik og peningaþvætti sem dæmi.125 Það getur verið mögulegt

fyrir opinbera aðila að gera persónusnið á grunvelli e-liðar 1. mgr. 6. gr. að því gefnu

að skilyrðum um nauðsyn er fylgt. Þó hefur hinn skráði andmælarétt við slíkri vinnslu

persónuupplýsinga samkvæmt 69. gr. aðfararorða GDPR.

4.5.7 Lögmætir hagsmunir ábyrgðaraðila eða þriðja aðila

Í f-lið 1. mgr. 6. gr. GDPR er beinlínis að finna útlistun á þeirri jafnvægisæfingu sem

þarf að fara fram þegar stendur til að vinna persónuupplýsingar og meta þarf hversu

mikið má skerða friðhelgi einkalífs hins skráða með vinnslu.

Vinnsla persónuupplýsinga skal teljast lögmæt ef samkvæmt f-lið:

[V]innsla er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji aðili gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra, einkum þegar hinn skráði er barn ...

Lögmætir hagsmunir geta ekki leitt til þess að gerð persónusniða teljist lögmæt ef

ætlunin er að byggja sjálfvirka ákvarðanatöku á persónusniðinu samanber 1. mgr. 22.

gr. GDPR, nánar um það í kafla 5.3. Ávallt skal framkvæma mat á því hvort skuli vega

þyngra, lögmætir hagsmunir ábyrgðaraðila eða þriðja aðila annars vegar, eða

grundvallarréttindi og frelsi hins skráða hins vegar. Við mat á því ber einkum að líta til

þess hversu ítarlegt persónusniðið er, ef um er að ræða almenna flokkun, til dæmis

örventur karlmaður á höfuðborgarsvæðinu, þá væri það líklegra til að teljast

ásættanleg vinnsla. Hins vegar eftir því sem vinnslan og persónuupplýsingarnar sem

125 ART 29 WP, „Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC“ (n. 119) 22.

46

persónusniðið byggir á verður nákvæmara og tengdara hinum skráða þá þarf þeim

mun veigameiri lögmæta hagsmuni ábyrgðaraðila eða þriðja aðila til að réttlæta þá

vinnslu í skjóli f-liðar.

Eins þarf að skoða hver áhrif gerðar persónusniðsins verða á hinn skráða og þær

varúðarráðstafanir sem ráðist hefur verið í til að tryggja sanngirni og að ekki verði

mismunun og nákvæmni persónusniðsins.

Hinn skráði skal hafa rétt til að andmæla vinnslu persónuupplýsinga sem varða hann

samanber 69. gr. aðfararorða GDPR. Í 69. gr. aðfararorðanna er ábyrgðaraðila gert

að „sýna fram á að mikilvægir lögmætir hagsmunir hans gangi framar hagsmunum

eða grundvallarréttindum og frelsi hins skráða“

Við mat á því hvort lögmætir hagsmunir ábyrgðaraðila eða þriðja aðila eigi að vega

þyngra en grundvallarréttindi hins skráða og frelsi hans skal taka tillit til þess hverjar

eðlilegar væntingar hins skráða eru á grundvelli tengsla við ábyrgðaraðilann. Um

lögmæta hagsmuni getur verið að ræða samkvæmt 47. gr. aðfararorða GDPR þegar:

[V]iðeigandi tengsl sem máli skipta eru á milli skráða einstaklingsins og ábyrgðaraðilans, t.d. í tilvikum þar sem hinn skráði er viðskiptavinur ábyrgðaraðilans eða í þjónustu hans. Hvað sem öðru líður þyrfti að meta af kostgæfni hvort um lögmæta hagsmuni er að ræða, m.a. hvort skráður einstaklingur getur, þegar söfnun persónuupplýsinganna fer fram og í samhengi við hana, haft gilda ástæðu til að ætla að vinnsla muni fara fram í þeim tilgangi. Hagsmunir hins skráða og grundvallarréttindi hans gætu einkum gengið framar hagsmunum ábyrgðaraðila gagna þegar vinnsla persónuupplýsinga fer fram við aðstæður þar sem skráðir einstaklingar hafa ekki ástæðu til að ætla að um frekari vinnslu verði að ræða. ... Líta má svo á að vinnsla persónuupplýsinga vegna beinnar markaðssetningar sé í þágu lögmætra hagsmuna.

Dæmi um grundvöll þar sem ábyrgðaraðilar hafa lögmæta hagsmuni af miðlun

persónuupplýsinga er innan fyrirtækjasamstæðu í þágu innri stjórnunar. Þar með talið

vegna vinnslu persónuupplýsinga um viðskiptavini eða starfsmenn samanber 48. gr.

aðfararorðanna. Eins má telja samkvæmt 48. gr. aðfararorðanna að vinnsla

persónuupplýsinga sem er nauðsynleg til að koma í veg fyrir svik geti grundvallast á

lögmætum hagsmunum ábyrgðaraðila.

47

Þá er enn ósvarað hvað gerir það að verkum að hagsmunir teljist lögmætir eða

ólögmætir. Til að ákvarða um það er eins og áður hefur komið fram nauðsynlegt að

fara í mat á því hvort eigi að gera hærra undir höfði hagsmunum hins skráða,

grundvallarréttindum hans og frelsi eða hagsmunum ábyrgðaraðila. Til að um lögmæta

hagsmuni sé að ræða verða þeir að falla að lögum og ekki ganga gegn þeim. Eins þarf

að vera skýrt hver mögulegur hagnaður er fyrir ábyrgðaraðila svo hægt sé að meta

hvort vegi þyngra í hverju tilfelli hagsmunir ábyrgðaraðila eða grundvallarréttindi og

frelsi hins skráða. Að endingu þarf að liggja skýrt fyrir að um raunverulega hagsmuni

sé að ræða og að þeir séu yfirvofandi. Hagsmunir ábyrgðaraðilans mega ekki vera

liðnir hjá þegar að vinnslunni kemur eða henni líkur.126

Þá er rétt að ítreka að ákvæði f-liðar gilda ekki um vinnslu opinberra yfirvalda við störf

sín. Enda öllu jafnan í höndum löggjafans að kveða á um lagagrundvöll vegna vinnslu

opinberra yfirvalda þegar þau sinna verkefnum sínum samanber 48. gr.

aðfararorðanna. Löggjafanum er því í lófa lagið að kveða á um það í lögum hvenær

opinberum aðilum er heimilt að vinna persónuupplýsingar.

4.5.8 Vinnsla viðkvæmra persónuupplýsinga

Skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga eru strangari en eiga við um

vinnslu almennra persónuupplýsinga. Í 9. gr. GDPR er fjallað um þær aðstæður sem

mögulegt er að vinna sérstaka flokka persónuupplýsinga við. Í 1. mgr. 9. gr. er þó

raunar lagt blátt bann við vinnslu persónuupplýsinganna sem teljast til þeirra sérstöku

flokka sem þar eru taldir upp. Flokkarnir sem um getur í 1. mgr. eru einnig nefndir

viðkvæmar persónuupplýsingar. Bannað er samkvæmt 1. mgr. að:

[V]inna persónuupplýsingar er varða kynþátt eða þjóðernislegan uppruna,

stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu eða aðild að

verkalýðsfélagi og vinna erfðafræðilegar upplýsingar, lífkennaupplýsingar í því skyni

að persónugreina einstakling með einkvæmum hætti, heilsufarsupplýsingar eða

upplýsingar er varða kynlíf einstaklings eða kynhneigð.

Í 2. mgr. 9. gr. er fjallað um undantekningar við banni því sem fyrirfinnst í 1. mgr. og í

a – j-liðum 2. mgr. eru taldar upp tækar heimildir fyrir vinnslu viðkvæmra

126 sama heimild 25.

48

persónuupplýsinga. Það er þó ekki næg heimild til vinnslu viðkvæmra

persónuupplýsinga að hún eigi sér stoð í einum stafliða 2. mgr. 9. gr. heldur þarf

vinnslan einnig að grundvallast á að minnsta kosti einni þeirri heimilda sem finna má í

a – f-liðum 1. mgr. 6. gr. GDPR og gerð hefur verið skil í kafla 4.5.8.

Gerð persónusniða getur skapað persónuupplýsingar sem teljast viðkvæmar

samkvæmt 1. mgr. 9. gr. með því að tvinna saman upplýsingum sem í sitthvoru lagi

væru almennt ekki taldar viðkvæmar. Mögulega uppgötvast fylgni á milli

upplýsinganna sem varpa ljósi á upplýsingar um hinn skráða sem teljast falla undir

áður nefnda flokka.127

Sem dæmi um það má nefna rannsókn þar sem atriði sem hinum skráðu líkaði við á

Facebook voru borin saman við grunn upplýsingar og gátu rannsakendur ályktað með

88% nákvæmni hver kynhneigð hins skráða var, í 95% tilvika höfðu rannsakendur rétt

fyrir sér um þjóðernislegan uppruna og í 82% tilvika hvort viðkomandi væri Kristni-trúar

eða Múslima-trúar.128

Upplýsingar til hins skráða eru einkar mikilvægar þegar kemur að vinnslu viðkvæmra

persónuupplýsinga. Ábyrgðaraðili skal gera hinum skráða viðvart að verið sé að vinna

upplýsingar hvort sem það eru viðkvæmar eða almennar persónuupplýsingar.

4.6 Notkun persónusniða Persónusnið eru ekki lengur einungis notuð í þeim tilgangi að flokka fólk með

hefðbundnum leiðum í kassa eftir áhugasviðum sem byggja á kauphegðun t.d. listir

og menning eða íþróttir. Í stafrænni samtíð okkar er háþróuð tækni notuð til að púsla

saman úr ýmsum áttum vönduðu persónusniði sem er afar nákvæmt tæki til að meta

skráða einstaklinga á ýmsa vegu.129 Markaðssetning byggir núorðið að miklu leyti á

persónusniðum. Einstaklingsmiðaðar auglýsingar geta meira að segja haft áhrif á

meira en kauphegðun. Rannsókn sem unnin var við Ohio háskóla sýndi að auglýsingar

sem birtar eru völdum einstaklingum eftir hegðunarmynstri þeirra geta haft áhrif á

127 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 22. 128 Michal Kosinski, David Stiwell og Thore Graepel, „Private traits and attributes are predictable from digital records of human behavior.“ (2013) 110 (15) PNAS 5803 <http://www.pnas.org/content/110/15/5802.full.pdf?sid=4145ce18-04a3-4d15-ad3e-e2c6736b1cb0> skoðað 12. desember 2017. 129 ICO (n. 92) 3.

49

sjálfsmynd einstaklinga, auk þess að hafa áhrif á kauphegðun viðkomandi.130 Sem

dæmi um þetta má nefna að ef einstaklingar trúa því að þeim séu birtar auglýsingar

sem valdar eru út frá hegðunarmynstri þeirra á internetinu þá getur auglýsing fyrir

líkamsræktarkort og megrunarvörur ýtt undir að einstaklingarnir taki sig tak og hefji að

stunda hreyfingu og bæti líkamlegt form sitt. Á hinn bóginn gæti þó verið að

einstaklingunum fari að líða eins og þeir lifi óheilbrigðu líferni og þurfi að léttast, slíkur

hugsunarháttur gæti leitt til lægra sjálfsálits samkvæmt rannsókninni.

Margbreytilegur uppruni gagna sem gerð persónusniða grundvallast á getur valdið

vandræðum á borð við skyldur til að vinnsla sé skilvirk og innan skynsamlegs tíma og

vandræðum með væntingar einstaklinga til vinnslunnar. Noti vinnsluaðilar almennar

og aðgengilegar upplýsingar eða upplýsingar sem fengnar eru frá þriðja aðila, ættu

þeir að athuga notkunarskilmála þriðja aðila og kanna hvort heimild er til notkunar

persónuupplýsinga þeirra sem þriðji aðili hefur, með þeim hætti sem vinnsluaðili ætlar

og hvort notkunin stangist á við upphaflegan tilgang söfnunar upplýsinganna. Nánar

er fjallað um rétt hins skráða í kafla 6.3 hér síðar.

4.4.1 Uppruni upplýsinga sem eru grundvöllur persónusniða

Einstaklingar sem hafa litla sem enga tilveru á internetinu eða samfélagsmiðlum, geta

lent í því að ákvarðanir eru teknar sem varða þá, án þess að tekið sé tillit til þeirra á

nokkurn hátt enda ekki grundvöllur til staðar, litlar eða engar persónuupplýsingar

aðgengilegar hjá vinnsluaðila til að meta afstöðu, áhuga, mögulegan árangur eða hvað

eina annað sem kann að vera markmiðið með gerð persónusniða. Gerð persónusniða

þarf ekki að grundvallast á upplýsingum sem fást í gegnum Internet notkun. Þeir

einstaklingar deila með ábyrgðaraðilum upplýsingum um þá, þ.e. persónuupplýsingum

geta fengið of mikið vægi við ákvarðanatökur á móti hinum sem engar upplýsingar

liggja fyrir um hjá ábyrgðaraðila sem munu þá ekki fá nægjanlega mikið vægi.

Upplýsingarnar geta verið grundvöllur ákvarðana sem raunar eiga alls ekki við um

einstaklinginn sem þeim er beint að. Ábyrgðaraðilar og vinnsluaðilar ættu að beita sér

fyrir því að slíkt hendi ekki enda kveður d-liður 1. mgr. 5. gr. GDPR á um að upplýsingar

skuli vera áreiðanlegar og ef á þarf að halda uppfærðar. Slíkt eftirlit með nákvæmi

130 Rebecca Walker Reczek, Christopher Summers og Robert Smith, „Targeted Ads Don’t Just Make You More Likely to Buy — They Can Change How You Think About Yourself“ (Harvard Business Review, 4. apríl 2016) <https://hbr.org/2016/04/targeted-ads-dont-just-make-you-more-likely-to-buy-they-can-change-how-you-think-about-yourself> skoðað 10. október 2017.

50

upplýsinganna ætti að fara fram við söfnun, greiningu, útbúnings persónusniðs

einstaklings og við notkun persónusniðs þegar ákvörðun er tekin er varðar hinn skráða

á grundvelli persónusniðsins. Réttast væri að ferlar væru til staðar til að tryggja öryggi

upplýsinganna og gæði þeirra, nákvæmni og trúverðugleika.

Engar reglur er að finna í GDPR í tengslum við líftíma persónusniða. Enda eru

persónusnið í eðli sínu lifandi fyrirbæri sem taka stöðugum breytingum með tilkomu

nýrra upplýsinga eða brottfalli gamalla upplýsinga. Persónusnið eru í stöðugri þróun

og geta breyst hratt og jafnvel oft án þess að nein ákvörðun sé tekin sem byggir á

persónusniðinu.131 Ef upplýsingar sem persónusnið grundvallast á eru rangar þá felur

það í sér að persónusniðið verður ómarktækt, ákvarðanir verða teknar á röngum

grundvelli og slíkt getur leitt til þess að hinn skráði verður af mikilvægum réttindum eða

ráðstöfunum sem grundvallast á persónusniði. Sem dæmi má ímynda sér útreikninga

á mögulegri greiðslugetu vegna fasteignalána. Ef greiðslumatið byggir á persónusniði

og er reiknað sjálfvirkt út en inniheldur rangar forsendur, má ætla að hinn skráði geti

orðið af íbúð sem hann hefði hugsanlega með réttum upplýsingum geta fengið lánað

fyrir. Draumaheimilið farið fyrir bí af því að upplýsingarnar voru rangar.

Persónusnið geta á vissan hátt dregið ályktanir út frá einum flokki upplýsinga sem

ábyrgðaraðili hefur aðgang að, til að mynda má ætla að viðkvæmar

persónuupplýsingar geti legið fyrir þrátt fyrir að ekki hafi verið veitt heimild til vinnslu á

slíkum upplýsingum. Það má ímynda sér að ef fyrir liggja til að mynda upplýsingar um

kauphegðun einstaklings við matarinnkaup, þá megi út frá þeim draga vissar ályktanir

og spá fyrir um heilsufar viðkomandi. Það væri þá með sameiginlegum kröftum

persónuupplýsinga, staðreynda um innihald matvöru og rannsókna á sviði

heilbrigðisvísinda sem spá mætti fyrir um heilsubresti eða líkamlegt ástand hins

skráða út frá neysluvenjum og almennt aðgengilegum rannsóknarniðurstöðum.

Upplýsingar sem notaðar eru til gerðar persónusniðs geta upphaflega haft allt annan

tilgang. Söfnun þeirra hefur þá farið fram á öðrum forsendum. Í b-lið. 1. mgr. 5. gr.

GDPR er kveðið á um að upplýsingar skuli fengnar í skýrt tilgreindum og lögmætum

tilgangi og ekki unnar frekar á þann hátt að það fáist ekki samrýmst upphaflegum

131 ICO (n. 92) 11.

51

tilgangi söfnunar. Í b-liðnum felst því takmörkun notkunar upplýsinga vegna tilgangs.

Þegar kemur að því að meta hvort seinni tíma vinnsla falli innan upphaflegs tilgangs

vinnslunnar eru nokkrir þættir sem þarf að skoða. Vert er að athuga sambandið á milli

tilgangsins með söfnun upplýsinganna og seinni tíðar tilgangs. Eins er vert að líta til

þeirra aðstæðna sem uppi voru við öflun og eðlilegra væntinga hins skráða til frekari

notkunar gagnanna, þá kemur eðli gagnanna að auki til athugunar sem og þær

verndarráðstafanir sem gerðar hafa verið af hálfu ábyrgðaraðila til að tryggja

sanngjarna vinnslu og koma í veg fyrir óþarfa áhrif vinnslunnar á hina skráðu.132

Kafli 5 Sjálfvirkar ákvarðanatökur 5.1 Inngangur Sjálfvirkar ákvörðunartökur byggja á vinnslu persónuupplýsinga og oft á tíðum eins og

segir í 1. mgr. 22. gr. GDPR á gerð persónusniða. Sjálfvirkar ákvarðanatökur leiða,

samkvæmt orðanna hljóðan af sér að ákvörðun er tekin um eitthvað málefni. Skilgreina

má sjálfvirkar ákvarðanatökur líkt og áður hefur verið gert í kafla 5.3 sem ákvarðanir

teknar af sjálfvirkri tækni sem við ákvörðunartökuna naut ekki mannlegrar íhlutunar.

Slíkar ákvarðanir geta verið byggðar á hverskyns upplýsingum, sem geta til að mynda

stafað beint frá hinum skráða einstakling til dæmis í gegnum spurningalista. Eins geta

upplýsingarnar verið fengnar frá tækjum og tólum sem veita til að mynda upplýsingar

um staðsetningu viðkomandi og þar að auki gætu þær stafað frá fyrirliggjandi gögnum

um einstaklinginn, svo sem lánstrausti hans.133 Sjálfvirkar ákvarðanir eru gjarnan

byggðar á persónusniðum sem unnin hafa verið og en við það ber að minnast eins

mikilvægasta hugtaksskilyrðis sjálfvirkra ákvarðanataka. Það er að ákvarðanirnar

sjálfar eru sjálfvirkar, óháð því hvort upplýsingarnar eru fengnar sjálfvirkt eða handvirkt

slegnar inn í kerfið sem að endingu tekur ákvörðunina.

5.2 Sjálfvirkar ákvarðanatökur í pul.

5.2.1 Almennt

Hver er staðan á sjálfvirkum einstaklingsmiðuðum ákvörðunartökum eins og þær heita

í GDPR, í íslenskum rétti í dag? Hér verða ákvæði sem fjalla um sambærilega vinnslu

132 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 19. 133 sama heimild 8.

52

persónuupplýsinga í pul. til umræðu og ályktanir dregnar út frá ákvörðunum

Persónuverndar sem og dómum Hæstaréttar.

Orðið sjálfvirkar ákvarðanatökur er ekki að finna í íslenskum lögum og ekkert í pul.

sem sérstaklega varðar sjálfvirkar ákvarðanatökur. Þessi gerð af vinnslu

persónuupplýsinga myndi falla undir reglur sem varða rafræna vinnslu samkvæmt 2.

tl. 1. mgr. 2. gr. pul. Í rökstuðningi skal ábyrgðaraðili gera grein fyrir þeim reglum sem

hin rafræna vinnsla byggist á og liggja henni til grundvallar. Þá er tekið á því í 22. gr.

pul. að ef sértæk ákvörðun liggur fyrir og var að öllu leyti byggð á rafrænni vinnslu

persónuupplýsinga getur sá sem ákvörðunin beinist að krafist rökstuðnings fyrir

niðurstöðunni.

5.2.2 Sértæk ákvörðun

Sértæk ákvörðun er samkvæmt 9. tl. 1. mgr. 2. gr. pul. ákvörðun sem afmarkar rétt

og/eða skyldur eins eða fleiri tilgreindra einstaklinga. Sértæk ákvörðun er það þegar

ákvörðun er beint að einum aðila. Raunar er einfaldast að átta sig á hugtakinu ef því

er stillt upp gegn andstæðu sinni sem er almenn ákvörðun, sem tekur til allra

viðkomandi. Sérstaklega reynir á hugtakið í tengslum við 22. gr. pul. sem fjallar um

rétt hins skráða til rökstuðnings vegna sértækrar ákvörðunar sem byggir á sjálfvirkri

upplýsingavinnslu. Hinn skráði hefur rétt til að vita hvaða forsendur liggja að baki hinni

sértæku ákvörðun sem að öllu leyti byggir á rafrænni vinnslu persónuupplýsinga það

er að segja, hver rökfræðin á bak við ákvörðunina er. Stjórnvaldsákvarðanir teljast til

sértækra ákvarðana í skilningi pul.134 Það er einungis sá skráði, sem er andlag

ákvörðunarinnar sem getur krafist rökstuðnings skv. 22. gr. pul. Ekki er þó um að ræða

að rökstuðningur þurfi að fullnægja skilyrðum 22. gr. stjórnsýslulaga nr. 37/1993 þó að

hugsanlega sé um stjórnvaldsákvörðun að ræða. „Af þeim sökum hefur réttur

málsaðila til rökstuðnings samkvæmt persónuupplýsingalögum sjálfstæða

þýðingu.“135

Sértæk ákvörðun getur einnig komið við sögu í samspili við 23. gr. sem fjallar um

viðvaranir vegna notkunar persónusniða.136

134 Páll Hreinsson (n. 27) 58. 135 sama heimild 59. 136 Sigrún Jóhannesdóttir (n. 5) 149.

53

Fjallað er um rétt hins skráða til að fá sértæka ákvörðun sem snýr að honum og byggir

að öllu leyti á sjálfvirkri ákvörðunartöku, handunna í 27. gr. pul.

Markmið ákvæðisins er að hinn skráði geti fengið ábyrgðaraðila til að endurskoða handvirkt sértæka ákvörðun sem að honum beinist og byggist á sjálfvirkri vinnslu persónuupplýsinga.137

Í athugasemdum við frumvarpið sem varð að pul. er að finna útskýringar á þessu. Það

telst sjálfvirk ákvörðunartaka þótt starfsmaður slái inn í tölvukerfi upplýsingar. Ef

starfsmaður hins vegar leysir efnislega úr málinu að einhverjum hluta er ekki lengur

um sjálfvirka ákvörðunartöku að ræða.138 Þetta rímar vel við þær kröfur um sjálfvirkni

sem gerðar eru til sjálfvirkra ákvarðana sem fjallað er um í kafla 5.3.

Fari vinnsla persónuupplýsinga fram með rafrænum hætti eins og það er orðað í 1.

mgr. 31. gr. pul. þá ber ábyrgðaraðila að tilkynna slíka vinnslu á þar til gerðu formi til

Persónuverndar tímanlega áður en hún hefst. Tilkynna skal allar breytingar sem verða

frá því sem greinir í upphaflegri tilkynningu. Í 2. mgr. 31. gr. kveður á um að

Persónuvernd geti ákveðið að vissar tegundir almennra upplýsinga skuli vera

undanþegnar tilkynningarskyldu eða tilkynningarskyldan einfölduð. Eins getur

Persónuvernd í skjóli 2. mgr. ákveðið að vissar tegundir vinnslu skuli vera

leyfisskyldar.

5.3 Skilgreining á sjálfvirkri ákvarðanatöku í GDPR Sjálfvirkar ákvarðanatökur eru nýmæli. Munurinn á því sem heitir rafræn vinnsla í pul.

og er útskýrt í kafla 4.2 er einna helst að í GDPR er vinnslunni sem felst sjálfvirkum

ákvarðanatökum gert að lúta mun þyngri skilyrðum en gilda um rafræna vinnslu í pul.

Hugmyndin að baki þessum tveimur hugtökum hlýtur meiri athygli og áherslan í GDPR

er meiri á allt sem snýr að sjálfvirkum ákvarðanatökum en er um rafræna vinnslu í pul.

Rétturinn í 27. gr. pul. lítur að því að fá mannlega aðkomu að sértækri ákvörðun sem

tekin hefur verið, nema að viðeigandi varnaðarráðstafanir hafi verið gerðar samanber.

2. mgr. Megin inntakið er því sambærilegt í 27. gr. pul. og í 22. gr. GDPR. Þó þarf að

byggja á undantekningum til að heimila sjálfvirka ákvarðanatöku í GDPR eins og nánar

137 Páll Hreinsson (n. 27) 59. 138 Alþt. 1999-2000, A-deild, 2737.

54

verður gerð fyrir í kafla 5.4. Ekki þarf að gera annað en að standa rétt að

varúðarráðstöfunum til að vinnsla samkvæmt 1. mgr. 27. gr. pul. eigi rétt á sér.

Hugtakið sjálfvirkar ákvarðanatökur er raunar mótað með GDPR. Í 71. gr. aðfararorða

GDPR er nánar útlistað hvað felst í sjálfvirkum ákvarðanatökum. Þar kemur fram að

sjálfvirkar ákvarðanatökur sem fela í sér réttaráhrif eða sambærileg áhrif geti verið

sjálfvirk höfnun lánsumsóknar á Internetinu eða ráðningarferli þar sem ekki er að finna

mannlega íhlutun. Sjálfvirkar ákvarðanatökur eru skilgreindar í kafla 5.3 í ritgerð

þessari.

Sjálfvirkar ákvarðanatökur geta grundvallast á öllum tegundum gagna, þar með talið

gögn sem stafa beint frá hinum skráða til dæmis svör hins skráða við könnunum, gögn

sem skráð eru um einstaklinginn sem til að mynda geta stafað frá smáforritum

snjalltækja og afleidd gögn sem hafa þá oft þegar falið í sér vinnslu, svo sem

persónusnið.139

Aðskilnaðurinn á milli töku sjálfvirkra ákvarðana og gerð persónusniða er ekki alltaf

svo skýr. Einföld sjálfvirk ákvörðun getur með smá breytingu orðið háð því að gerð séu

persónusnið. Sem dæmi má nefna hraðasektir sem eru með sjálfvirkum hætti sendar

út úr kerfi löggæslumyndavéla. Slíkt fæli í sér töku sjálfvirkar ákvörðunar um

sektarfjárhæð út frá hraða til að mynda. Sú ákvörðun væri almennt ekki byggð á gerð

persónusniða, fyrr en akstursvenjur hins seka væru hugsanlega orðinn grundvöllur

útreikninga sektarfjárhæðar. Ef viðkomandi hefur til dæmis áður gerst sekur um

hraðakstur og tillit er tekið til þess við útreikning sektar þá er sjálfvirka ákvörðunin farin

að byggja á persónusniði um hinn skráða, í þessu dæmi hinn seka ökumann.

Hvað varðar skilgreiningu sjálfvirkra ákvarðana þá er ljóst af hugtakinu sjálfu að allar

ákvarðanir sem ekki eru einungis teknar á grundvelli sjálfvirkrar gagnavinnslu falla

utan þess. Enda segir í 1. mgr. 22. gr. að ákvarðanirnar séu „eingöngu á grundvelli

sjálfvirkrar gagnavinnslu“.

139 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 8.

55

5.3.1 Sjálfvirk gagnavinnsla

Til grundvallar hugtakinu sjálfvirk ákvörðunartaka er augljóslega um að ræða

ákvarðanatöku sem er sjálfvirk. Í því felst að mannleg íhlutun má ekki hafa nein

raunveruleg áhrif á ákvörðunarferlið. Sem dæmi má nefna sjálfvirka vinnslu

persónuupplýsinga sem leiðir af sér að tilmæli um ákveðin atriði er varða hinn skráða

verða til. Ef það er svo hlutverk manneskju að taka tillit til þeirra tilmæla við endanlega

ákvörðun, þá er ekki hægt að segja að um sé að ræða sjálfvirka ákvarðanatöku í

skilningi 1. mgr. 22. gr. GDPR.140

Á hinn bóginn geta ábyrgðaraðilar ekki gert sér upp mannlega íhlutun til að sleppa við

það að ákvarðanatakan sem þeir standa að sé sjálfvirk og falli undir gildissvið 1. mgr.

22. gr. Nefna má sem dæmi sjálfvirkt sniðmát sem einstaklingar eru flokkaðir eftir og

ákvarðanir teknar á grundvelli flokkunarinnar og engin raunveruleg mannleg áhrif væru

á endanlega niðurstöðu þá yrði sú vinnsla talin sjálfvirk.141

Til að geta talist mannleg íhlutun yrði ábyrgðaraðilinn að tryggja að aðkoma manneskju

væri raunverulega til þess fallin að hafa áhrif, en ekki bara því yfirskyni að falla utan

gildissviðs 22. gr. Manneskjan þyrfti að hafa valdheimildir til að breyta ákvörðunum

sem teknar væru af vélum eða forritum. Manneskjan þyrfti að geta haft áhrif á allar

upplýsingarnar, þær sem koma inn í kerfið til ákvarðanatöku og þær sem fara út, það

er ákvarðanirnar sjálfar.142

5.3.2 Réttaráhrif eða sambærileg áhrif

Afleiðingar sjálfvirkrar ákvarðanatöku geta verið miklar fyrir hinn skráða einstakling.

Réttaráhrif eru ekki skilgreind nánar í GDPR en vísa til þess í þessu samhengi að

sjálfvirk ákvörðun hafi áhrif á lagalega stöðu einstaklings, til að mynda rétt hans til

félagslegra úrbóta.143 Frekari dæmi gætu verið að það lokist á sjónvarpsáskrift eða

farsímanúmer einstaklings, með sjálfvirkum hætti ef hann greiðir ekki reikninga vegna

notkunar sinnar á þjónustunni í tæka tíð. Í 75. gr. aðfararorðanna við GDPR er fjallað

um hvaða afleiðingar vinnsla persónuupplýsinga kann að hafa á hinn skráða. Þar er

tekið fram að afleiðingar vinnslunnar geta verið efnislegt tjón, eignatjón og óefnislegt

140 sama heimild 10. 141 sama heimild. 142 sama heimild. 143 sama heimild.

56

tjón, einkum þegar vinnslan hefur hugsanlega í för með sér mismunun. Það er því

mikilvægt að fara varlega í sjálfvirka vinnslu sem hefur í för með sér réttaráhrif eða

snertir hinn skráða með sambærilegum hætti.

Réttaráhrif sjálfvirkra ákvarðanna þýða í orðsins fyllstu merkingu að sjálfvirk ákvörðun

hafi þýðingu fyrir lagalega stöðu hins skráða, þá til dæmis hvort hinn skráði hafi

kosningarétt, hvort hinn skráði geti höfðað mál og svo framvegis. Eins geta réttaráhrif

tekið til þeirra samninga sem hin skráði hefur gert, getur gert eða má ekki gera.

Réttaráhrif sem sjálfvirkar ákvarðanir geta tekið til eru sem dæmi: Réttur til félagslegra

úrræða, bann við inngöngu í land, aukið eftirlit með hinum skráða frá hendi þess til

bærra yfirvalda og aftengin símanúmers vegna ógreidds reiknings.

Afleiðingar sjálfvirkra ákvarðana þurfa ekki að fela í sér réttaráhrif fyrir hinn skráða

heldur geta falist í þeim sambærileg áhrif á hinn skráða, líkt og kemur fram í 1. mgr.

22. gr. GDPR. Með öðrum orðum þá geta sjálfvirkar ákvarðanir fallið undir gildissvið

1. mgr. 22. gr. þrátt fyrir að í þeim felist ekki beinlínis réttaráhrif, heldur mjög

sambærileg áhrif.144 Til einföldunar hafa þessi áhrif verið nefnd veruleg áhrif í

meðförum 29. gr. starfshópsins og verður því haldið áfram hér.

Veruleg áhrif eru ekki skilgreind nánar í GDPR. Tilgangur orðalagsins er að ganga úr

skugga um að ekki sé öll vinnsla sem hefur einhver áhrif talin geta átt við á þeim

stöðum sem veruleg áhrif eru gerð að skilyrði.145 Hin verulegu áhrif verða að vera

líklegri til að koma fram en ekki ef vinnsla á að teljast fela þau í sér. Þrátt fyrir að

vinnsla fari fram á persónuupplýsingum gríðarfjölmenns hóps einstaklinga þá er það

ekki öruggt að í henni felist hætta á að hún hafi veruleg áhrif. Taka þarf tillit til atriða

er varða vinnsluna, til að mynda hvort líklegt sé að hún valdi: skaða, streitu, missi

réttinda eða tækifæra. Hvort hún hafi áhrif á heilsu eða velferð einstaklinga, hvort hún

hafi áhrif á fjárhag fólks, leiði til mismununar eða ósanngjarnar meðferðar og hvort hún

feli í sér notkun viðkvæmra upplýsinga og þá sérstaklega með tilliti til

144 Áður var í 15. gr. tilskipunar 95/46/EC sem er sambærilegt ákvæði og 22. gr. GDPR, ekki að finna orðið sambærileg (e. similar) sem þykir benda til þess að nú hafi þröskuldurinn um hversu mikil áhrif ákvörðunarinnar skuli vera verið hækkaður í það að ákværðun verði að hafa sambærileg áhrif og ákvörðun sem hefur lagaleg áhrif á hinn skráða. Leiðbeiningareglur 29. gr. starfshópsins bls.10. 145 ART 29 WP, „Guidelines for identifying a controller or processor´s lead supervisory authority“ (The Article 29 Working Party 13. desember 2016) 3 <http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_en_40857.pdf> skoðað 29. nóvember 2017.

57

persónuupplýsinga barna. Eins er vinnsla líkleg til að hafa veruleg áhrif sem jafna má

til réttaráhrifa ef hún orsakar verulegar hegðunarbreytingar hjá fólki eða ef hún leiðir

af sér óvæntar eða óæskilegar afleiðingar, veldur álitshnekkjum eða tekur mjög

fjölbreyttra persónuupplýsinga.146

Léttvæg áhrif sjálfvirkar gangavinnslu geta ekki talist falla undir skilgreiningu 22. gr.

Nánar er gerð grein fyrir mörkum áhrifa sjálfvirkra ákvarðana í 71. gr. aðfararorða

GDPR. Þar segir að sjálfvirk höfnun lánsumsóknar á netinu geti til að mynda talist falla

undir 22. gr. Hins vegar verður að skoða samhengi hlutanna til að meta raunveruleg

áhrif fyrir einstaklinginn og atvikið sem sjálfvirka gangavinnslan og þar með ákvörðunin

á við hverju sinni. Til að mynda má ætla að ef einstaklingur hygðist leigja borgarhjól í

fríi sínu erlendis, en fengi höfnun á kreditkort sitt, einn daginn og fengi svo höfnun á

fasteignalánaumsókn vegna fyrstu íbúðakaupa þann næsta má ætla að áhrifin á

einstaklinginn séu töluvert meiri seinni daginn.147

Þá liggur beinast við að velta upp spurningunni, hvar liggja einstaklingsmiðaðar

auglýsingar á Internetinu? Almennt verður að telja að slíkar auglýsingar hafi ekki

veruleg áhrif á einstaklinga, áhrif sem jafna má til réttaráhrifa. Sem dæmi má nefna

auglýsingu um útsölu í tískuvöruverslun sem væri miðað að konum á

höfuðborgarsvæðinu. Slík auglýsing væri almennt ekki talin til þess fallin að hafa

veruleg áhrif á markhóp hennar.148

Það er þó mögulegt að auglýsingarnar séu þess eðlis og miði að því að ná til fólks á

þann hátt að þær verða taldar geta haft veruleg áhrif á einstaklinga. Það veltur meðal

annars á því hversu nærgöngul gerð persónusniðsins er sem markhópurinn er

byggður á, væntingum og óskum einstaklinga í markhópnum, þeim aðferðum sem

notaðar eru við auglýsinguna og því hvort markhópurinn sé á einhvern hátt sérstaklega

viðkvæmur fyrir.149

Auglýsingar fyrir spilavíti eða veðmálasíður hefðu að öllum líkindum almennt frekar

lítið áhrif á fólk en einstaklingur sem væri viðkvæmur fyrir, þá hugsanlega haldinn

146 sama heimild 4. 147 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 11. 148 sama heimild. 149 sama heimild.

58

spilafíkn ellegar í alvarlegum fjárhagsvandræðum gæti verið viðkvæmur fyrir

auglýsingunni og auglýsingin þá haft veruleg áhrif á hann. Áhrif sem mætti jafna til

réttaráhrifa.

Leiði sjálfvirk ákvarðanataka til mismunandi verðlagningar á sömu vöru eftir þeim

persónuupplýsingum sem ákvarðanatakan byggir á, hvort sem það eru persónusnið

eða aðrar upplýsingar, þá má telja að slíkar ákvarðanir geti haft veruleg áhrif á hinn

skráða. Hækki verðið til hins skráða getur það leitt til þess að hann verði af vöru eða

þjónustu sem skiptir hann verulegu máli.150 Nánari umfjöllun um auglýsingar á

Internetinu er að finna í kafla 6.6.

5.4 Heimildir til að taka ákvarðanir á grundvelli sjálfvirkrar gagnavinnslu Í 1. mgr. 22. gr. GDPR er strax sett fram efnisregla sem felur í sér að almennt er

óheimilt að standa að ákvarðanatökum sem eingöngu grundvallast á sjálfvirkri

gagnavinnslu, ef vinnslan hefur réttaráhrif eða snertir hinn skráða á sambærilegan hátt

að verulegu leyti. Einu leiðirnar til sjálfvirkar ákvarðanatöku sem hefur fyrrgreindar

afleiðingar í för með sér fyrir hinn skráða er að byggja sjálfvirku ákvarðanatökurnar á

undanþágum sem finna má í a – c-lið 2. mgr. 22. gr. Það er því nauðsynlegt að hafa í

huga við túlkun reglnanna að þær eru undantekningar og ber samkvæmt

túlkunarreglum að túlka þröngt.151

Í a-lið 2. mgr. er veitt heimild til ákvörðunartöku ef hún er forsenda þess að samningur

á milli hins skráða og ábyrgðaraðila verði efndur eða komist á, b-liður heimilar slíka

ákvörðun ef hún byggir á grundvelli heimildar í lögum Sambandsins eða lögum

aðildarríkis og að þar sé einnig kveðið á um viðeigandi ráðstafanir til að tryggja vernd

réttinda, frelsis og lögmætra hagsmuna hins skráða. Að lokum er í c-lið talað um að

með afdráttarlausu samþykki hins skráða geti hann heimilað slíka ákvörðunartöku.

Nánar verður fjallað um hverja heimild í komandi köflum.

Þá er að finna í 3. mgr. áskilnað um að ef a- eða c-liður 2. mgr. teljist grundvöllur

heimildar til töku sjálfvirkra ákvarðana, þá verður ábyrgðaraðili að:

150 sama heimild. 151 Davíð Þór Björgvinsson (n. 12) 183.

59

gera viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni skráðs einstaklings, a.m.k. réttinn til mannlegrar íhlutunar af hálfu ábyrgðaraðilans, til að láta skoðun sína í ljós og til að vefengja ákvörðunina.

Ákvarðanir skulu ekki heimilar samanber 4. mgr. 22. gr., þrátt fyrir að geta talist falla

undir gildissvið 2. mgr. ef þær eru byggðar á sérstökum flokkum persónuupplýsinga,

sem finnast í 1. mgr. 9. gr. GDPR. Nema þá að a- eða g-liður 2. mgr. 9. gr. eigi við og

ráðstafanir hafi verið gerðar til að vernda réttindi og frelsi og lögmæta hagsmuni hins

skráða.

5.4.1 Samningur

Ábyrgðaraðilar vilja gjarnan geta unnið sjálfvirkar ákvarðanatökur og samningar geta

verið góð leið til að koma því í kring. Hins vegar er vert að ítreka að um

undantekningarheimild er að ræða og því ljóst að ekki verður annað hægt en að túlka

heimildina sem felst í a-lið 2. mgr. 22. gr. GDPR þröngt.

Ástæður þess að ábyrgðaraðilar vilja gjarna nota sjálfvirkar ákvarðanatökur geta verið

af ýmsum toga, til dæmis: leiða sjálfvirkar ákvarðanatökur af sér meiri stöðugleika og

samkvæmni og niðurstaðan er líklega sanngjarnari. Minni líkur eru á mannlegum

mistökum eða misnotkun valds. Þar að auki eru greiðslur fyrir vöru og þjónustu líklegri

til að berast ef þær eru sjálfvirkar enda minni líkur á að það gleymist að greiða eða því

seinki ef kerfið sér sjálft um að innheimta af greiðslukorti til að mynda. Í ofanálag verður

tímaramminn skemmri sem tekur að ákvarða það sem ákvarða þarf og ferlið sem

ákvarðanatakan felur í sér verður allt skilvirkara þegar hún verður sjálfvirk.152

Að þessu sögðu verður ekki öruggt að þó einhver þeirra ástæðna sem taldar eru upp

hér að ofan eigi við að slíkt heimili sjálfvirkar ákvarðanatökur á grundvelli samnings.

Enda skulu sjálfvirkar ákvarðanatökur samkvæmt orðalagi ákvæðisins vera

nauðsynlegar til að hægt sé að framfylgja eða koma á samning. Nauðsyn skal þröngt

túlkuð og því erfitt að sýna fyllilega fram á að hún sé til staðar.153

152 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 12. 153 sama heimild.

60

5.4.2 Lagaheimild

Sé til þess heimild í Sambandslögum eða landslögum aðildarríkis þá má byggja

sjálfvirkar ákvarðanatökur á þeim samanber b-lið 2. mgr. 22. gr. GDPR. Í 71. gr.

aðfararorða GDPR segir að slíkt gæti til að mynda komið til:

[Í] þeim tilgangi að fylgjast með og koma í veg fyrir svindl og skattsvik í samræmi við reglur, staðla og tilmæli stofnana Sambandsins eða landsbundinna eftirlitsaðila og til að tryggja öryggi og áreiðanleika þjónustu sem ábyrgðaraðili veitir.

Tilgangurinn getur einnig verið að tryggja öryggi og áreiðanleika þjónustunnar sem

ábyrgðaraðili veitir. Í b-lið 2. mgr. er sú skylda lögð á að viðeigandi ráðstafanir hafi

verið útlistaðar í þeim lögum sem byggja á réttinn til sjálfvirkar ákvarðanatöku á,

ráðstafanir sem eiga að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða.

Í 71. gr. aðfararorðanna er nánari grein gerð fyrir hvað á að felast í viðeigandi

verndarráðstöfunum. Skal þá meðal annars:

[A]ð veita hinum skráða skilmerkilegar upplýsingar og rétt hans til mannlegrar íhlutunar, að láta skoðun sína í ljós, fá útskýringar á ákvörðun sem tekin er að loknu slíku mati og vefengja ákvörðunina. Slík ráðstöfun ætti ekki að varða barn.

5.4.3 Samþykki

Gerð er krafa um að sjálfvirkar ákvarðanatökur byggi á „afdráttarlausu“ samþykki ef

byggja á á heimildinni á annað borð. Samþykki er þriðja undantekningin og hana er

að finna í c-lið. Hún að öllum líkindum sú þýðingarmesta. Samþykki er fyrir gildistöku

GDPR algengasta heimildin til vinnslu persónuupplýsinga á Íslandi hið minnsta.154

Sjálfvirkar ákvarðanatökur eru almennt þess eðlis að áhættan af vinnslu þeirra er mikil

og því talið rétt að ströng skilyrði séu fyrir því að einstaklingur geti heimilað að

persónuupplýsingar um hann séu unnar á þann hátt.155

Afdráttarlaust samþykki er ekki útskýrt nánar í GDPR en í því felst að samþykki skal

veitt sérstaklega með yfirlýsingu þess efnis. Ekki verður talið að einhverskonar jákvæð

aðgerð dugi til að veita samþykki sem teldist afdráttarlaust.156 En hér er stigsmunur á

154 Persónuvernd, „Grundvallarhugtök“ (n. 65). 155 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 13. 156 sama heimild.

61

því samþykki sem veita má í skilningi a-liðar 1. mgr. 6. gr. GDPR til að heimila vinnslu

persónuupplýsinga. Því verður ekki séð að sömu efnisreglur geti gilt um það samþykki

sem, eins og kemur fram í umfjöllun í kafla 4.5.2 getur það verið veitt í verki með

jákvæðri aðgerð. Afdráttarlausa samþykkið sem getið er í c-lið 2. mgr. 22. gr. GDPR

gerir meiri kröfur til þess sem veitir samþykkið um að það sé skýrt og greinilegt hvað

er verið að samþykkja.

5.5 Rökin að baki sjálfvirkri einstaklingsmiðaðri ákvörðunartöku Rökin að baki sjálfvirkri einstaklingsmiðaðri ákvörðunartöku (e. the logic involved) vísa

til þess hvaða upplýsingar eru notaðar af forritum til að taka ákvarðarnir, hvaða gilda

forritin horfa til og samspil þeirra gilda innbyrðis. Aukið flækjustig tækninnar getur gert

leikmanni erfitt fyrir að átta sig á hvernig sjálfvirkar ákvarðanir eða gerð persónusniða

fara fram. Það er í höndum ábyrgðaraðila að finna einfalda leið til að útskýra fyrir hinum

skráða hvernig rökfræðin er á bakvið sjálfvirkar ákvarðanatökur eða gerð

persónusniða eða hvaða forsendur eru notaðar til grundvallar vinnslunni á þess að

gera ávallt grein fyrir þeim algrímum sem eru á bakvið vinnsluna. Upplýsingarnar sem

veittar eru verða að hafa eitthvað vægi fyrir hinn skráða og vera skiljanlegar fyrir

viðkomandi.157

Flækjustig vinnslunnar er ekki á neinn hátt réttlætanleg afsökun fyrir því að veita hinum

skráða ekki upplýsingar um vinnsluna. Meginreglur um vinnslu persónuupplýsinga

sem fjallað er um í kafla 4.5.1 gilda einnig um sjálfvirkar ákvarðanatökur, enda fela

þær í sér vinnslu persónuupplýsinga. Í 58. gr. aðfararorða GDPR segir að meginreglan

um gagnsæi skipti sérstaklega miklu máli í því samhengi sem hér um ræðir. Það er

þegar það hefur mikla þýðingu fyrir hinn skráða að geta áttað sig á hvernig vinnsla á

persónuupplýsingum hans fer fram og þegar það er tæknilega flókið ferli og erfitt fyrir

hinn skráða að átta sig á tæknilegri virkni og tilgangi vinnslunnar. Þetta á til dæmis við

um auglýsingar á internetinu sem eru til umræðu í kafla 5.4 hér á eftir.

Hinn skráði hefur samkvæmt 2. mgr. 21. gr. GDPR rétt til að mótmæla vinnslu

upplýsinga í beinum markaðslegum tilgangi sem og gerð persónusniða sem hafa

einhvern beinan markaðslegan tilgang.158

157 sama heimild 14. 158 Heimes (n. 104).

62

Hinn skráði hefur samkvæmt 1. mgr. 22. gr. reglugerðarinnar ekki beinlínis rétt til að

hindra gerð persónusniða heldur frekar til að hindra það að hann verði andlag

ákvörðunar sem byggir eingöngu á sjálfvirkri vinnslu, þar með talið sjálfvirkar

ákvarðanatökur sem byggja á gerð persónusniðs, og hefur lagalegar afleiðingar fyrir

hinn skráða eða sambærileg áhrif.159 Sem dæmi um slíkt má nefna aftur dæmið um

lánveitingar sem fjallað var um áðan, þar að auki er að finna í 58. gr. aðfararorða

GDPR dæmi:

Meginreglan um gagnsæi krefst þess að hverskyns upplýsingar, sem ætlaðar eru almenningi eða skráðum einstaklingi, séu gagnorðar, aðgengilegar og auðskiljanlegar, að þær séu á skýru og einföldu máli og að auki að sjónrænum aðferðum sé beitt, eftir því sem við á. Veita mætti slíkar upplýsingar á rafrænu formi, t.d. á vefsetri, þegar þær eru ætlaðar almenningi. Þetta á einkum við í tilvikum þar sem erfitt er fyrir skráðan einstakling að vita og skilja, vegna hins mikla fjölda aðila sem koma að máli og flókinnar tækni sem notuð er, hvort, af hverjum og í hvaða tilgangi upplýsingum er safnað um hann, s.s. þegar um er að ræða auglýsingar á Netinu. Þar sem börn þurfa að njóta sérstakrar verndar ættu hvers kyns upplýsingar og tilkynningar, þegar vinnsla beinist að barni, að vera á skýru og einföldu máli sem barnið getur auðveldlega skilið.

Röð tilmæla til vinnuveitenda voru gefin út af 29. gr. starfshópnum sem mæla gegn

því að einstaklingsmiðuð ákvörðunartaka sé byggð á sjálfvirkri vinnslu upplýsinga.

Helstu rökin sem hópurinn notast við er ójafnvægi í aðstöðu vinnuveitenda annars

vegar og starfsmanna hins vegar. Starfsmenn geta vart, nema undir mjög sérstökum

kringumstæðum gefið samþykki fyrir vinnslunni sem teldist óþvingað. Það er því afar

sjaldgæft að í vinnuréttarsambandi sé samþykki grundvöllur vinnslu

persónuupplýsinga.160 Enda gefur auga leið að aðstöðumunur á milli vinnuveitandans

og launþegans töluverður.

159 sama heimild. 160 „EU Article 29 Working Party Releases Extensive GDPR Guidance on Data Processing at Work“ (Inside Privacy, 4. júlí 2017) <https://www.insideprivacy.com/international/european-union/wp29-releases-gdpr-guidance-on-data-processing-at-work/> skoðað 27. september 2017.

63

Kafli 6. Samspil sjálfvirkra ákvarðana og persónusniða 6.1 Inngangur Ætlunin er að í þessum kafla verði gerð grein fyrir því sem er sambærilegt við gerð

persónusniða og sjálfvirkar ákvarðanir. Eins er ætlunin að fjalla um það sem ekki er

sambærilegt. Því næst verður fjallað um réttindi hins skráða sem kvikna þegar hann

verður andlag persónusniðs og/eða sjálfvirkrar ákvörðunar. Að lokum verður tekið

raunverulegt dæmi um þau réttindi hins skráða sem vernda þarf.

6.2 Skil á milli sjálfvirkra ákvarðana og gerða persónusniða Sjálfvirkar ákvarðanatökur geta farið fram með og án gerðar persónusniða. Gerð

persónusniða fer fram óháð sjálfvirkri ákvarðanatöku. Það þýðir þó ekki að sjálfvirkar

ákvarðanatökur og gerð persónusniða séu með öllu aðskilin athæfi. Sem dæmi um

sjálfvirkar ákvarðanatökur sem þróast svo hugsanlega út í það að grundvallast að

einhverju leyti á gerð persónusniða má nefna dæmi um hraðasektir sem sett var fram

í kafla 6.2.

Skilin á milli sjálfvirkra ákvarðana og persónusniða eru einna helst þau að gerð

persónusniða telst vinnsla persónuupplýsinga í skilningi 6. gr. GDPR líkt og áður hefur

verið rakið í kafla. Sjálfvirkar ákvarðanatökur fela í sér vinnslu sem hefur veruleg áhrif

á hinn skráða og er raunar ekki heimil samkvæmt 1. mgr. 22. gr. GDPR nema þá í

undantekningatilvikum sem getið er í a – c-liðum 2. mgr. 22. gr. líkt og gerð hefur verið

grein fyrir í kafla 4.5. Sjálfvirkar ákvarðanatökur lúta strangari skilyrðum en gerð

persónusniða, þótt eðlis síns vegna séu bæði athæfin inngrip í grundvallarréttindi og

frelsi hins skráða, þá þykja sjálfvirkar ákvarðanatökur meira íþyngjandi, að því gefnu

að þær feli í sér veruleg áhrif. Það má því telja eðlilegt að þeim sé sniðinn þrengri

stakkur en gerð persónusniða sem raunar fer um eins og hverja aðra almenna vinnslu

persónuupplýsinga.

Til að gerð persónusniða falli undir 22. gr. GDPR þurfa þau að vera hluti af þeim

sjálfvirku gagnavinnslum sem sjálfvirkar ákvarðanatökur byggja á. Þá athugast hér að

persónusnið ein og sér geta ekki talist falla inna gildissviðs 1. mgr. 22. gr. enda er þar

kveðið á um að ákvörðun sé tekin. Það er ekki eðli persónusniða að fela í sér

ákvarðanatöku, þó oft séu ákvarðanir teknar á grundvelli þeirra. Þetta sést einnig í 1.

64

mgr. 22. gr. þar sem gerð persónusniðs er talin tilheyra gagnavinnslu. Persónusnið

þurfa því að vera skref í átti til sjálfvirkrar ákvarðanatöku sem hefur eins og 1. mgr. 22.

gr. segir „réttaráhrif að því er varðar hann sjálfan [hinn skráða] eða snertir hann á

sambærilegan hátt að verulegu leyti.“

Greinilegur eðlismunur er á sjálfvirkri ákvarðanatöku og gerð persónusniða. Ef

sjálfvirkar ákvarðanatökur eru ökumaður þá eru persónusnið bifreiðin sem kemur

honum á milli staða. Það er ekki bifreiðinni að kenna ef ökumaðurinn gerist brotlegur

við umferðarlög. Rétt eins og það er ekki persónusniðunum að kenna ef sjálfvirkar

ákvarðanatökur hafa veruleg áhrif á hinn skráða en mistekst að grundvalla heimild

sína á undantekningarákvæðum 2. mgr. 22. gr. GDPR.

6.2.1 Samanburður á heimildum til vinnslu

Þegar hefur verið fjallað um heimildir til vinnslu bæði sjálfvirkra ákvarðana og gerða

persónusniða. Hér verður leitast við að gera á skýran hátt grein fyrir þeim stigsmun

sem er að finna á kröfum sem gerðar eru til heimilda fyrir vinnslunum.

Í tilfelli persónusniða gildir 6. gr. GDPR og þau skilyrði sem þar eru fyrir vinnslu

persónuupplýsinga. En um sjálfvirkar ákvarðanatökur er kveðið í 22. gr. GDPR. Í

báðum tilvikum má segja að vinnslan sé heimil ef samþykki, lagaheimild eða

samningur sem byggir á því að hún fari fram, séu til staðar.

Kröfurnar sem gerðar eru til samþykkis í sambandi við gerð persónusniða eru að það

sé til staðar frá hendi hins skráða og að vinnslan fari fram í þeim tilgangi, einum eða

fleiri sem hinum skráða var gerð grein fyrir við veitingu samþykkis. Eins og kemur fram

í kafla 4.5.2 þá verður að telja að samþykki í verki dugi raunar til að heimila vinnslu á

grundvelli a-liðar 1. mgr. 6. gr. GDPR. Hins vegar eru öllu stífari kröfur gerðar til

samþykkis í tengslum við sjálfvirkar ákvarðanatökur. Þar er gerð krafa um

afdráttarlaust samþykki. Sú krafa er til þess fallin að leggja á herðar ábyrgðaraðila

auknar skyldur við öflun samþykkis og ýta undir að hinn skráði sé enn frekar upplýstur

um hvað felist í þeirri vinnslu sem hann er að veita samþykki sitt fyrir.

Þegar kemur að gerð og eða framkvæmd samnings eru kröfurnar sambærilegri. Í raun

er á ensku sama orðalagið. Slíkt bendir til þess að ekki hafi verið ætlunin að breyta

65

merkingu þessara skilyrða á milli ákvæðanna.161 Í b-lið 1. mgr. 6. gr. sem snýr að

samning sem heimild fyrir gerð persónusniðs og a-lið 2. mgr. 22. gr. sem lýtur að

samningi sem heimild fyrir sjálfvirkri ákvarðanatöku er í báðum tilfellum settur fram sá

möguleiki að vinnslan eigi sér stað í aðdraganda samnings, það er að segja að hún

nái til ráðstafana sem þurfi að grípa til áður en samningur er gerður. Það segir ekki

berum orðum í a-lið 2. mgr. 22. gr. en þó segir að ef ákvörðunin er (nauðsynleg á

ensku) „forsenda þess að unnt sé að gera[...] samning“ þá megi ákvörðunin vera

sjálfvirkt tekin og hafa réttaráhrif eða sambærileg áhrif á hinn skráða.

Síðasta sameiginlega heimildin fyrir vinnslu er að ef kveðið er á um heimildina í lögum,

Sambandsins eða aðildarríkis. Í c-lið 1. mgr. 6. gr. er að finna þá heimild til að gera

persónusnið á grundvelli laga en þó einungis ef skylda þess efnis hvílir á ábyrgðaraðila

samkvæmt lögum. Í b-lið 2. mgr. 22. gr. er að finna heimild til sjálfvirkar ákvarðanatöku

sem hefur réttaráhrif eða sambærileg áhrif ef ákvörðunartakan er heimilið í

Sambandslögum eða lögum aðildarríkis. Þó er í sama staflið útlistuð nánari krafa um

lagaheimildina, en í lögunum sem heimila slíka ákvarðanatöku, þarf einnig að vera

kveðið á um viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni

hins skráða.

6.3 Réttur hins skráða

6.3.1 Almennt

Í þessum kafla verður gerð grein fyrir þeim réttindum hins skráða sem lifna við þegar

samkvæmt GDPR þegar gerð eru persónusnið eða þegar sjálfvirkar ákvarðanir eru

teknar sem hafa veruleg áhrif á hinn skráða.

161 Hér er mismunur á texta þeirra draga að þýðingu sem Persónuvernd sendi frá sér og texta GDPR á ensku. Í ensku útgáfunni er a-liður 2. mgr. 22. gr. svohljóðandi: „is necessary for entering into, or performance of, a contract between the data subject and the data controller“ en í drögum að þýðingu frá Persónuvernd segir í a-lið 2. mgr. 22. gr.: „er forsenda þess að unnt sé að gera eða framkvæma samning milli skráða einstaklingsins og ábyrgðaraðila“. Enski textinn er eins í a-lið 2. mgr. 22. gr. og hann er í b-lið 1. mgr. 6. gr. það er að segja, þar er einnig kveðið á um að „necessary“ (nauðsyn) sem skilyrði. Í íslensku drögunum er í b-lið einnig kveðið um nauðsyn líkt og í ensku útgáfunni. Það má því gera athugasemd við það að orðið forsenda sé sett inn í a-lið 2. mgr. 22. gr. í íslensku drögunum og ákvæðið því ekki samhljóða b-lið 1. mgr. 6. gr. í íslensku drögunum á meðan sama orðalag er notað í ensku útgáfu GDPR.

66

6.3.2 Réttindi hins skráða í GDPR

Vegna þeirra miklu hættu sem getur skapast við vinnslu persónuupplýsinga, þá er rétt

að huga vel að réttindum hins skráða. Enda geta verið miklir hagsmunir í húfi er varða

rétt hins skráða til að halda upplýsingum um sig og einkamálefni sín fyrir sig.

Ábyrgðaraðilar ættu því að gæta vel að því að ferlar þeirra við vinnslu

persónuupplýsinga séu gagnsæir.162 Þeir eiga til dæmis að upplýsa hinn skráða um

vinnsluna og gerð persónusniða sem og afleiðingar þeirrar vinnslu sem þeir standa að

samkvæmt 60. gr. aðfararorða GDPR. Réttur hins skráða er að styrkjast talsvert með

tilkomu GDPR. Enda leggur GDPR töluvert meiri og fleiri skyldur á ábyrgðaraðila en

áður var gert.

Gerð verður grein fyrir hverjum rétti hins skráða í næstu köflum og þá athugað hvort

munur er á réttindum hins skráða eftir því hvort um er að ræða gerð persónusniða eða

sjálfvirkar ákvarðanatökur. Falli ákvarðanatökur utan skilgreiningar 22. gr. þá annað

hvort vegna þess að þær eru ekki alveg sjálfvirkar eða vegna þess að áhrif þeirra eru

ekki talin veruleg, þá fer um þær eins og hverja aðra vinnslu sem byggir á

persónuupplýsingum og fer þá eins um réttindi sem kvikna vegna þeirra og gerð

persónusniða.163

6.3.2.1 Réttur til upplýsinga

Vinni ábyrgðaraðilinn að ákvarðanatöku sem byggir á sjálfvirkri gangavinnslu í

samræmi við 1. mgr. 22. gr. GDPR skal hann upplýsa hinn skráða um að hann sé að

gangast við því að slík vinnsla og ákvarðanataka fari fram samanber f-lið 2. mgr. 13.

gr. GDPR og þá á þeim tíma sem upplýsingum er safnað. Ef upplýsingarnar stafa frá

öðrum en hinum skráða skal samkvæmt g-lið 2. mgr. 14. gr. veita hinum skráða

upplýsingar sem eru til þess fallnar að tryggja sanngjarna og gagnsæja vinnslu

gagnvart hinum skráða. Þar að auki skal hann veita upplýsingar um rökfræðina sem

felst í vinnslunni og leiðir til ákvörðunarinnar samanber 63. gr. aðfararorða GDPR

ásamt útskýringum á mikilvægi vinnslunnar og lýsingu á fyrirsjáanlegum afleiðingum.

Tilkynningarskyldan nær í grunnatriðum til þriggja þátta. Það eru í fyrsta lagi

upplýsingar um að vinnslan fari fram og hvers kyns hún er, í öðru lagi gagnlegra

162 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 13. 163 sama heimild 23.

67

upplýsinga um rökin að baki vinnslunni og í þriðja lagi þýðingu vinnslunnar og

fyrirhugaðar afleiðingar hennar fyrir hinn skráða.164

Það eru góðir starfshættir að veita framangreindar upplýsingar óháð því hvort vinnslan

fellur undir skilgreiningu 1. mgr. 22. gr. GDPR eður ei. Ábyrgðaraðilinn þarf ávallt að

veita hinum skráða nægjanlegar upplýsingar til að vinnslan geti talist sanngjörn og þá

eru frekari skilyrði um veitingu upplýsinga í 13. og 14. gr. GDPR.165

Þá skal og samkvæmt 60. gr. aðfararorða GDPR upplýsa hinn skráða um það að gert

hafi verið persónusnið og um afleiðingar þess. Enda krefjast meginreglurnar um

sanngirni og gangsæi þess að við vinnslu persónuupplýsinga sé hinum skráða tilkynnt

um að vinnsla eigi sér stað og í hvaða tilgangi samanber 60. gr. aðfararorðanna.

Þegar persónuupplýsinga er aflað um skráðan einstakling, hjá honum sjálfum ber að

upplýsa viðkomandi við söfnun upplýsinganna samkvæmt 1. mgr. 13. gr. GDPR. Þau

atriði sem upplýsa skal um eru listuð upp í a – f-lið 1. mgr., a – f-lið 2. mgr. sem og 3.

mgr. Skiptir þar engu hvort um er að ræða gerð persónusniða eða sjálfvirkar

ákvarðanatökur sem hafa veruleg áhrif. Upplýsingarnar skulu veittar hinum skráða

innan hæfilegs frests, með hliðsjón af aðstæðum hverju sinni samkvæmt 61. gr.

aðfararorðanna. Þá segir einnig í 61. gr. aðfararorðanna að ef ekki sé hægt að skýra

hinum skráða frá uppruna upplýsinganna vegna þess að þær stafi frá mörgum

mismunandi heimildum skuli veita almennar upplýsingar. Ekki er þó samkvæmt 62. gr.

aðfararorðanna skylt að greina hinum skráða frá upplýsingum ef hann hefur þær undir

höndum, eða ef það er sérstaklega mælt fyrir um skráninguna eða birtingu

persónuupplýsinganna í lögum. Eins getur reynst ómögulegt eða óhófleg fyrirhöfn að

veita hinum skráða upplýsingar, þá sérstaklega ef um er að ræða skjalavistun í

almannaþágu og ef um marga einstaklinga er að ræða.

Þegar persónuupplýsinga er aflað um hinn skráða annars staðar frá en hjá honum

sjálfum gilda ákvæði 14. gr. GDPR um það hvaða upplýsingum hinn skráði á rétt á.

Þá er helsti munurinn á þeim upplýsingum sem veita skal hinum skráða sá að þegar

persónuupplýsingarnar stafa ekki frá honum sjálfum, þá á hann rétt á að vita hvaðan

164 sama heimild 14. 165 sama heimild.

68

þær eru fengnar samanber f-lið 2. mgr. 14. gr. og að auki á hinn skráði rétt á að vita

samkvæmt g-lið 2. mgr. 14. gr. að hvaða marki sjálfvirk ákvarðanataka fari fram á

grundvelli upplýsinganna. Með þessu hefur hinn skráði þá fengið þær upplýsingar sem

hann hefði haft ef hann hefði sjálfur veitt upplýsingarnar.

Ekki verður séð að það breyti neinu hvort standi til að gera persónusnið eða taka

sjálfvirkar ákvarðanir sem hafa veruleg áhrif á hinn skráða. Rétturinn er sá sami til

þess að vita hvaðan upplýsingarnar eru fengnar. Hinn skráði á rétt á því að vita hvort

sjálfvirk ákvarðanataka fari fram á grundvelli upplýsinga sem ekki stafa frá hinum

skráða samanber g-lið 2. mgr. 14. gr. GDPR. Ef sjálfvirk ákvarðanataka byggir á

upplýsingum sem ekki stafa frá hinum skráða á hinn skráði rétt á að fá samkvæmt g-

lið 2. mgr. upplýsingar um þau rök sem að baki ákvörðuninni liggja og einnig þýðingu

og fyrirhugaðar afleiðingar slíkrar vinnslu fyrir hinn skráða.

Standi til að vinna upplýsingar með það fyrir augum að gera persónusnið sem verður

grundvöllur ákvarðanatöku, hvort sem sú ákvarðanataka fellur undir gildissvið 22. gr.

GDPR eða ekki, þá verður að upplýsa hinn skráða um þá fyrirætlan.166

6.3.2.2 Upplýsingar um rökin að baki vinnslunni

Ábyrgðaraðila ber að finna leiðir til að útskýra fyrir hinum skráða þá rökfræði sem býr

að baki sjálfvirkum ákvörðunum eða gerð persónusniða. Það er ekki þar með sagt að

ítarlegar upplýsingar um algrímuna (e. algorithm) að baki vinnslunni séu þær

upplýsingar sem gagnast hinum skráða best. Upplýsingarnar verða að hafa þýðingu

fyrir hinn skráða. Með það fyrir augum verður að taka tillit til þess hver hinn skráði er

og hver tæknileg þekking hans er.167 Slík skylda er lögð á ábyrgðaraðila í 60. gr.

aðfararorðanna líkt og fjallað var um í kaflanum hér á undan. Í 58. gr. aðfararorðanna

er fjallað um það að meginreglan um gagnsæi geri þá kröfu að allar upplýsingar sem

ætlaðar eru almenningi eða hinum skráða séu gagnorðar, aðgengilegar og

auðskiljanlegar á skýru og einföldu máli. Þá er lagt til að sjónrænum aðferðum sé beitt

eftir því sem við á.

166 sama heimild 23. 167 sama heimild 14.

69

Í 22. gr. GDPR er hvergi minnst berum orðum á rétt hins skráða til útskýringa á þeirri

ákvörðun sem tekin var. Í GDPR er hvergi að finna rétt hins skráða sem hefur orðið

andlag sjálfvirkrar ákvörðunar til útskýringar, nema þá hugsanlega í 71. gr.

aðfararorðanna. Þar sem kveðið á um rétt hins skráða til að „fá útskýringar á ákvörðun

sem tekin er“. Aðfararorð eru ekki lagalega bindandi heldur veita þau leiðbeiningu um

hvernig túlka skuli texta ákvæða reglugerða. Aðfararorðin sjálf geta ekki stofnað nýjan

rétt og því verður að telja að þar sem ekki er kveðið á um það í berum orðum í 22. gr.

GDPR að réttur sé til upplýsinga um ákvörðun sem tekin hefur verið, að sá réttur sé

ekki til staðar.168

6.3.2.3 Þýðing vinnslunnar og afleiðingar hennar

Rétt er að veita hinum skráða upplýsingar um þýðingu þeirrar vinnslu hvers andlag

hann er og hverjar fyrirséðar afleiðingar vinnslunnar eru. Til að gera þessar

upplýsingar aðgengilegar fyrir hinn skráða er rétt að gefa dæmi um hugsanlegar

afleiðingar. Það má hugsa sér dæmi um tryggingafélag sem notar sjálfvirka vinnslu til

að taka ákvarðanir um iðgjöld af bifreiðatryggingum. Ákvarðanirnar eru byggðar á

aksturslagi ökumanns. Til að sýna fram á mögulegar afleiðingar vinnslunnar er það

útskýrt fyrir hinum skráða ökumanni að hættulegt aksturslag geti leitt til hækkunar

iðgjalds á bifreiðatryggingum hans. Í smáforriti sem tryggingafélagið stendur að má

finna dæmisögu um ökumann sem stundar glæfraakstur á borð við það að taka

harkalega af stað, aka of hratt og nauðhemla. Þá væri hægt að sýna með línuriti

hversu mikið iðgjöldin kunna að hækka ef aksturslag ökumannsins er sambærilegt

dæminu. 169

6.3.2.4 Réttur til aðgangs

Réttur hins skráða til aðgangs að upplýsingum um sjálfvirka ákvarðanatöku og þar

með talið gerð persónusniða er staðfestur í h-lið 1. mgr. 15. gr. GDPR sem og f-lið 2.

mgr. 13. gr. og g-lið 2. mgr. 14. gr.170 Þær upplýsingar skulu vera um tilvist sjálfvirkrar

168 Sandra Wachter, Brent Mittelstadt og Luciano Floridi, „Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation“ (2017) 7 (2) International Data Privacy Law 76. 169 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 15. 170 Upptalin lagaákvæði eru öll eins og í drögum að þýðingu á GDPR hljóma ákvæðin svo: [Ábyrgðaraðili skal veita skráðum einstaklingi upplýsingar um] hvort fram fari sjálfvirk ákvarðanataka, þ.m.t.. gerð persónusniðs, sem um getur í 1. og 4. mgr. 22. gr., og, a.m.k. í þeim tilvikum, marktækar upplýsingar um þau rök sem þar liggja að baki og einnig þýðingu og fyrirhugaðar afleiðingar slíkrar vinnslu fyrir hinn skráða.

70

ákvarðanatöku og þeirrar gagnavinnslu sem hún krefst og þar með talið gerð

persónusniða ef við á, upplýsingar um rökfræðina að baki vinnslunni sem hafa þýðingu

fyrir hinn skráða, það er að rökfræðin sé útskýrð á þann hátt að hinn skráði skilji hana

og upplýsingar um þýðingu og fyrirsjáanlegar afleiðingar af slíkri vinnslu á hinn skráða.

Sú yfirsýn sem 15. gr. boðar að hinn skráði skuli hafa er víðtækari en um leið almennari

en 14. gr. kveður á um. Beiting réttarins til aðgangs samanber 15. gr. er þó til þess

fallin að upplýsa hinn skráða um að verið sé að taka ákvarðanir um hann, jafnvel

ákvarðanir byggðar á persónusniði sem gert hefur verið um viðkomandi.171 Í 14. gr.

felst réttur til nákvæmari upplýsinga um hverja og eina ákvörðun og grundvöll hennar.

Það er lítill varnagli sleginn í 63. gr. aðfararorðanna þar sem segir að réttur hins skráða

til aðgangs að gögnum um sig eigi þrátt fyrir allt ekki að hafa neikvæð áhrif á réttindi

og frelsi annarra og friðhelgi einkalífs. Í greininni eru talin upp viðskiptaleyndarmál eða

hugverkaréttindi sem dæmi og tekið fram að höfundarréttur sem gildir um hugbúnað

skuli verndaður. Af þessu má þó ekki leiða að neita skuli hinum skráða um aðgang að

upplýsingum. Heldur ætti ábyrgðaraðili einungis undir vissum kringumstæðum að geta

skýlt sér á bak við réttindin sín og neitað hinum skráða um aðgang. Þá fer fram

samanburður á réttindum hins skráða til aðgangs og réttur ábyrgðaraðila til verndar,

til dæmis höfundaréttar.172

Ábyrgðaraðili skal samkvæmt 1. mgr. 12. gr. veita hinum skráða nákvæmar,

gagnsæjar, upplýsandi og aðgengilegar upplýsingar um vinnslu persónuupplýsinga

þeirra. Þegar um er að ræða upplýsingar sem safnað er beint frá hinum skráða skulu

upplýsingarnar frá ábyrgðaraðilanum liggja fyrir strax við söfnun

persónuupplýsinganna samanber 13. gr. GDPR. Hins vegar þegar um er að ræða

upplýsingar sem koma óbeint frá hinum skráða, það er í gegnum þriðja aðila þá skal

fylgja þeim tímaramma sem finna má í 3. mgr. 14. gr. GDPR. Í 3. mgr. segir að

upplýsingarnar skulu veittar hinum skráða innan hæfilegs tíma eftir að ábyrgðaraðili

fékk persónuupplýsingarnar, í síðasta lagi mánuði eftir samkvæmt a-lið 3. mgr. Ef nota

skal persónuupplýsingarnar til samskipta við hinn skráða þá skal samkvæmt b-lið 3.

171 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 24. 172 sama heimild.

71

mgr. upplýsa viðkomandi um þau atriði er talinn eru upp í 1. og 2. mgr. 14. gr. GDPR

í síðasta lagi þegar haft er samband við hinn skráða í fyrsta skipti.

Hyggist ábyrgðaraðili vinna persónuupplýsingar í öðrum tilgangi en lá að baki við

söfnun upplýsinganna þá ber honum samkvæmt 4. mgr. 14. gr. að láta hinum skráða

í té upplýsingar um hinn nýja tilgang áður en sú vinnsla hefst ásamt öðrum

viðbótarupplýsingum sem kveðið er á um í 2. mgr. 14. gr.

Þá skal aðgangur sá að upplýsingum sem hér hefur verið útlistaður veittur samkvæmt

3. mgr. 12. gr. GDPR, án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar

frá því að þess er óskað sérstaklega, komi til þess.

6.3.2.5 Réttur til leiðréttingar, eyðingar og takmörkunar vinnslu

Notkun persónusniða getur falið í sér spádóm um hegðun eða heilsu hins skráða sem

dæmi. Af því leiðir að áhætta getur falist í ónákvæmum upplýsingum. Því eru réttindin

sem 16., 17., og 18. gr. tryggja, afar mikilvæg.173 Rétturinn til leiðréttingar er tryggður

í 16. gr., rétturinn til eyðingar upplýsinga í þeirri 17. og rétturinn til takmörkunar vinnslu

upplýsinga í þeirri 18.

Verði skráður einstaklingur á einhvern hátt var við að upplýsingar um hann séu rangar

og leiði til niðurstöðu sem er ekki í samræmi við raunveruleikann, getur hann fengið

upplýsingarnar sem ákvarðanir eru byggðar á leiðréttar án ótilhlýðilegrar tafar

samkvæmt 16. gr. Sem dæmi um slíkt má nefna tölfræðileg gögn sem segja að hinn

skráði sé líklegri en aðrir til að fá hjartaáfall vegna líkamsþyngdar sinnar og

matarræðis. Hafi hinum skráða tekist að snúa við blaðinu og taka upp heilbrigðari lífstíl

hefur hann rétt á að tillit sé tekið til þess og að ný líkamsþyngd hans sé færð inn í

útreikninginn og hugsanlega verði hann því tekinn úr áhættuhópi. Rétturinn til

leiðréttingar tekur því bæði til þess sem er grundvöllur persónusniðs (líkamlegt ástand

og lífstíll) og ákvarðana sem byggðar eru á því (vera hins skráða á lista yfir fólk í

sérstökum áhættuhópi).174 Það sama gildir um réttinn til eyðingar upplýsinga, honum

er hægt að beita bæði á frumgögn og niðurstöðurnar, ef afturköllun samþykkis hefur

farið fram.

173 sama heimild. 174 sama heimild 25.

72

Rétturinn til að takmarka vinnslu getur tekið til allra stiga vinnslunnar. Samkvæmt 1.

mgr. 18. gr. skal skráður einstaklingur hafa rétt til þess að ábyrgðaraðili takmarki

vinnslu þegar eitt af þeim atriðum á við sem talin eru upp í a – d-lið 1. mgr. Takmörkun

vinnslu getur samkvæmt a-lið byggt á að persónuupplýsingarnar séu rangar, vinnslan

sé ólögmæt samkvæmt b-lið, ábyrgðaraðilinn þurfi ekki lengur á

persónuupplýsingunum að halda fyrir vinnsluna en skráði einstaklingurinn þarfnast

þeirra til að stofna, hafa uppi eða verja réttarkröfur samanber c-lið og að lokum að hinn

skráði hafi andmælt vinnslunni og það sé til athugunar hvort hagsmunir ábyrgðaraðila

gangi framar hagsmunum hins skráða.

6.3.2.6 Réttur til andmæla

Andmælaréttur hins skráða skal vera sýnilegur og skilinn frá öðrum upplýsingum þegar

skilamálar eru annars vegar. Andmælaréttinn er að finna í 21. gr. GDPR sem veitir

hinum skráða heimild til að mótmæla vinnslu persónuupplýsinga um sig, þar á meðal

gerð persónusniðs, sem snýr að aðstæðum hjá hinum skráða. Ábyrgðaraðilum ber að

setja þennan rétt skýrt fram í öllum tilvikum þar sem vinnsla byggir á heimildum sem

finna má í e- eða f-lið 1. mgr. 6. gr. GDPR, það er þegar vinnsla er nauðsynleg vegna

verkefnis sem er unnið í þágu almannahagsmuna eða þegar vinnsla er nauðsynleg

með tilliti til verulegra lögmætra hagsmuna sem ábyrgðaraðili gætir eða þriðji aðili.

Þegar hinn skráði virkjar andmæla rétt sinn verður ábyrgðaraðili að stöðva vinnslu

persónuupplýsinga eða koma í veg fyrir að vinnsla hefjist hafi hún ekki þá þegar hafist

samanber d-lið 1. mgr. 18. gr. GDPR. Þá getur ábyrgðaraðili neyðst til að eyða þeim

persónuupplýsingum sem er verið að vinna samkvæmt d-lið 1. mgr. 18. gr.

Verulegir lögmætir hagsmunir eru ekki skilgreindir frekar í GDPR. Þegar vafi leikur á

um hvort um er að ræða verulega lögmæta hagsmuni er ákveðið mat sem þarf að fara

í gegnum. Athuga þarf hvort gerð persónusniðsins hafi eitthvað fram að færa sem

gagnast stórum hluta samfélagsins. Ef gerð persónusniðsins þjónar einungis

viðskiptahagsmunum ábyrgðaraðila þá er sönnunarbyrðin fyrir mikilvægi þess á

ábyrgðaraðilanum. Hann þarf þá að sanna að áhrif gerðar persónusniðsins á hinn

skráða sé með minnsta mögulega móti til að hægt sé að ná þeim tilgangi sem stefnt

73

er að. Ábyrgðaraðili þarf einnig að sanna að markmiðið sé brýnt fyrir ábyrgðaraðilann

sjálfan.175

Jafnvægi þarf að vera á milli hagsmuna ábyrgðaraðila og þeirrar ástæðu sem hinn

skráði gefur fyrir andmælum sínum. Þær ástæður geta verið persónulegar, félagslegar

eða faglegar. Þarna er breytingu að finna frá því í tilskipun 95/46/EB. Þar var það hins

skráða að sanna að það væru ekki lögmætir hagsmunir fyrir vinnslunni, öfugt við það

sem nú segir í GDPR að það sé ábyrgðaraðila að sanna að hann hafi lögmæta

hagsmuni.176

Óskilyrta heimild hins skráða til að andmæla vinnslu persónuupplýsinga um sig er að

finna í 2. mgr. 21. gr. GDPR. Þar segir að ef vinnslan er í beinum markaðslegum

tilgangi þá geti hinn skráði einfaldlega andmælt vinnslunni. Hinn skráði getur andmælt

hvenær sem er í ferli vinnslunnar og endurgjaldslaust. Hvort sem um er að ræða

upphaflega vinnslu eða frekari vinnslu og þennan rétt hefur hinn skráði, án þess að

fram þurfi að fara prófun á hvort vegi hærra í því tilfelli, hagsmunir ábyrgðaraðila eða

hins skráða. Þetta gildir einnig um gerð persónusniða í markaðslegum tilgangi

samanber 70. gr. aðfararorða GDPR.

6.4 Mat á áhrifum á persónuvernd Mikil áhersla er lögð á ábyrgð í GDPR. Mat á áhrifum á persónuvernd er leið til að

sýna að viðeigandi öryggisráðstafanir hafi verið gerðar til að tryggja og sýna fram á

fylgni við GDPR. Mat á áhrifum á persónuvernd gerir ábyrgðaraðilum kleift að meta

áhættur sem tengjast sjálfvirkum ákvarðanatökum og gerð persónusniða.177

Matinu er ætlað að lýsa vinnslunni og leggja mat á nauðsyn og meðalhóf og aðstoða

við að stýra áhættunni sem vinnslan felur í sér fyrir friðhelgi einkalífs og

grundvallarréttindi skráðra einstaklinga. Eins stuðla möt sem þessi að því að

ábyrgðaraðilar sjá hvaða viðbrögð þurfa að koma til svo þeir séu að starfa samkvæmt

reglum GDPR. Fari mat á áhrifum á persónuvernd ekki fram þegar slíkt ber að

framkvæma, þá getur það leitt til stjórnvaldssekta upp að allt að 10 milljónum evra eða

175 sama heimild. 176 sama heimild 26. 177 sama heimild 27.

74

2% af ársveltu á heimsgrundvelli.178 Þá er rétt að benda á að skyldan til að framkvæma

mat á áhrifum á persónuvernd ef vinnslan er líkleg til að fela í sér mikla áhættu fyrir

réttindi og frelsi hins skráða, tekur ekki einungis til nýrrar vinnslu.179

Í 1. mgr. 35. gr. GDPR er kveðið á um að mat á áhrifum á persónuvernd skuli fara

fram ef:

[L]íklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðilinn láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst. Eitt og sama mat getur tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættuþætti.

Matið skal fara fram áður en til vinnslunnar kemur samanber 1. mgr. og skal hefjast

við fyrsta tækifæri og þá jafnvel þó ekki sé með öllu ljóst hvaða vinnsla felist í

fyrirætlunum ábyrgðaraðila. Sú afsökun að hugsanlega þurfi að uppfæra matið síðar

og þess vegna sé rétt að bíða með það fram til þess tíma að allt er komið fram sem

meta þar, verður ekki tekin gild að mati 29. gr. starfshópsins.180 Þá er það á ábyrgð

ábyrgðaraðila að framkvæma matið samanber 2. mgr. 35. gr. GDPR.

Þess er einkum krafist í 3. mgr. 35. gr. að matið sem skilgreint er í 1. mgr. fari fram

þegar að um er að ræða samkvæmt a-lið 3. mgr. 35. gr. „kerfisbundið og umfangsmikið

mat á persónulegum þáttum“ einstaklinga sem byggir á sjálfvirkri vinnslu. Dæmi um

slíkt gæti verið gerð persónusniða sem og sjálfvirkar ákvarðanir sem hafa veruleg áhrif

í samræmi við 22. gr. GDPR. Eins er þess krafist að mat fari fram ef um er að ræða

„umfangsmikla vinnslu“ viðkvæmra persónuupplýsinga eins og þær sem fjallað er um

í 1. mgr. 9. gr. GDPR og nánari grein er gerð fyrir í kafla 4.5.8 í ritgerð þessari. Þá skal

mat einnig fara fram ef umfangsmikil vinnsla persónuupplýsinga er varða sakfellingu í

refsimálum og refsiverð brot sem um er fjallað í 10. gr. GDPR. Að endingu skal mat

fara fram samkvæmt c-lið 3. mgr. ef um er að ræða „kerfisbundið og umfangsmikið

eftirlit með svæði sem er aðgengilegt almenningi.“

178 ART 29 WP, „Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processin is „likely to result in a high risk“ for the purposes of Regulation 2016/679“ (10. apríl 2017) WP 248 rev.01 4 <http://ec.europa.eu/newsroom/document.cfm?doc_id=47711>. 179 sama heimild 13. 180 sama heimild 14.

75

Orðið einkum í upphafsorðum 3. mgr. 35. gr. felur í sér að ekki er hægt að líta á

upptalninguna í stafliðum málsgreinarinnar sem tæmandi talningu. Það má því gera

ráð fyrir að vinnsluaðferðir séu til sem ekki eru taldar þar upp en fela í sér svipaða

áhættu fyrir réttindi og frelsi hins skráða.181

Samkvæmt 29. gr. starfshópnum má ætla að sú lýsing að matið á persónulegum

þáttum byggi á sjálfvirkri vinnslu þýði að vinnslan þurfi ekki að vera fullkomlega sjálfvirk

með öllu til að hún kalli á mat á áhrifum á persónuvernd.182

6.4.1 Líklega mikil áhætta

Í útskýringu í 1. mgr. 35. gr. GDPR á þeim aðstæðum sem kalla á að mat fari fram, er

talað um að mat á áhrifum á persónuvernd skuli fara fram ef líklegt þyki að tiltekin

vinnsla geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga.

Dæmi um tilfelli sem felur í sér meiri áhættu en ásættanlegt er fyrir réttindin og frelsi

hins skráða er þegar afleiðingarnar fyrir hinn skráða eru töluverðar og jafnvel

óafturkræfar. Sem dæmi um slíkt má nefna lífshótanir og brottrekstur úr starfi sem

hefðu ekki komið til ef öryggi persónuupplýsinga hins skráða hefði verið tryggt betur.

Í GDPR er gerð krafa um að ábyrgðaraðilar geri viðeigandi varúðarráðstafanir og geti

sýnt fram á fylgni sitt við GDPR. Við það þarf meðal annars að hafa stöðugt eftirlit með

þeirri vinnslu sem fram fer og tryggja að hún feli ekki í sér líkur á mikilli áhættu og ef

vinnslan fer skyndilega að fela í sér líkur á áhættu, þá að framkvæma mat á áhrifum

vinnslunnar á persónuvernd. Það eitt að ekki þurfi að fara fram mat á áhrifum á

persónuvernd þýðir ekki að símat á áhættum og líkum á að þær verði að veruleika

þurfi ekki að vera ávallt í gangi. Í raun þurfa ábyrgðaraðilar að vera stöðugt á varðbergi

til að tryggja að vinnsla þeirra fari ekki skyndilega að teljast líkleg til að fela í sér mikla

áhættu fyrir réttindi og frelsi einstaklinga.183 Þegar óljóst er hvort nauðsynlegt sé að

framkvæma mat á áhrifum á persónuvernd, þá mælir 29. gr. starfshópurinn með því

að slíkt mat fari fram. Því í því felist naflaskoðun fyrir ábyrgðaraðila, þeir gera sér betur

181 sama heimild 9. 182 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 27. 183 ART 29 WP, „Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processin is ‘likely to result in a high risk’ for the purposes of Regulation 2016/679“ (n. 178) 6.

76

grein fyrir því hvort starfsemi þeirra standist kröfur GDPR eftir að mat hefur farið

fram.184

Við mat á því hvort vinnsla er líkleg til að fela í sér mikla áhættu verður að líta til níu

atriða að mati 29. gr. starfshópsins. Þau eru hvort: vinnslan feli í sér mat á hinum

skráða og stigagjöf, vinnslan sé sjálfvirk ákvarðanataka sem hefur veruleg áhrif í

skilningi 22. gr. GDPR, vinnslan felist í kerfisbundnu eftirliti, unnið sé með viðkvæmar

persónuupplýsingar, vinnslan sé umfangsmikil, vinnslan feli í sér samkeyrslu

gangagrunna, vinnslan lúti að viðkvæmum einstaklingum, vinnslan feli í sér notkun

nýrrar tækni og hvort vinnslan sjálf komi í veg fyrir að hinn skráði njóti réttar síns eða

nýti sér þjónustu eða gangist við samningi.185

Vinnsla sem fæli í sér mat á hinum skráða og stigagjöf, gæti til að mynda verið

persónusnið sem unnið er sem hluti af frammistöðumati í vinnu eða mat á lánstrausti.

Eins gæti spá um heilsubresti fallið þarna undir sem og markhópur auglýsenda sem

byggir á Internetnotkun.186

Dæmi um sjálfvirkar ákvarðanatökur sem kynnu að falla undir það að fela í sér líkur á

mikilli áhættu fyrir réttindi og frelsi hins skráða, væru til að mynda ákvarðanir sem fælu

í sér mismunun.Til dæmis ef mismunandi verð er lagt á vöru eins og dæmið sem rakið

var í kafla 5.3.2.

6.5 Rétturinn til að verða ekki andlag sjálfvirkrar ákvörðunar Um sjálfvirkar ákvarðanir er eins og áður segir í ritgerð þessari fjallað í 22. gr. GDPR.

Í 1. mgr. 22. gr. er beinlínis útlistaður sá réttur skráðs einstaklings að:

[E]kki sé sé tekin ákvörðun eingöngu á grundvelli sjálfvirkrar gagnavinnslu, þ.m.t. gerðar persónusnið, sem hefur réttaráhrif að því er hann sjálfan varðar eða snertir hann á sambærilegan hátt að verulegu leyti.

Þessi réttur nær ekki til gerðar persónusniða að því gefnu að heimild hafi verið til

þeirrar vinnslu sem í gerð þeirra fólst. Það verður því að álykta að í þessu felist meðal

184 sama heimild 8. 185 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 9–11. 186 ART 29 WP, „Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processin is ‘likely to result in a high risk’ for the purposes of Regulation 2016/679“ (n. 178) 9.

77

annarra atriða munurinn á sjálfvirkum ákvarðanatökum, sem hafa veruleg áhrif annars

vegar og persónusniðum hins vegar. Enda ljóst að vegna þess áskilnaðar að um

veruleg áhrif sé að ræða þá verði að álykta að inngripin sem felast í sjálfvirkum

ákvarðanatökum séu almennt meiri inn í einkalíf fólks og frelsi þess, að því gefnu að

áhrif sjálfvirku ákvarðananna séu í samræmi við 1. mgr. 22. gr.

Hvað varðar þær undanþáguheimildir sem fyrirfinnast í 2. mgr. 22. gr. til að taka

sjálfvirkar ákvarðanir er þrátt fyrir allt að finna varnagla í 3. mgr. Rétturinn til

mannlegrar íhlutunar er tryggður í 3. mgr. 22. gr. ef ákvörðunin er byggð á heimild í a-

eða c-lið 2. mgr. 22. gr.

Sjálfvirkar ákvarðanir eru efni 5. kafla og vísast þangað um nánari umfjöllun.

6.6 Auglýsingar á Internetinu Þjónusta á internetinu er gjarnan gjaldfrjáls, í þeim skilningi að engir peningar koma

frá notandanum til veitandans. Hins vegar er þjónustan iðulega einungis veitt gegn því

að einstaklingar samþykki að upplýsingum um þá sé safnað í staðinn og þá í mörgum

tilvikum í þeim tilgangi að búa til markaðsleg verðmæti.187 Hér verður til skýringar

skoðuð skýrsla norsku persónuverndarstofnunarinnar (n. Datatilsynet) um notkun

persónuganga í auglýsingatilgangi og þær áskoranir sem slík notkun býr til.188

Auglýsingar á internetinu treysta í sífellt ríkara mæli á sjálfvirka gagnavinnslu og fela í

sér vinnslu sem fellur undir skilgreiningu 22. gr. GDPR eins og hún hefur áður verið

útlistuð, enda iðulega um að ræða sjálfvirka ákvarðanatöku. Þó er alls ekki öruggt að

í þeim felist að auglýsingin hafi áhrif á viðkomandi einstakling sem jafna má að

verulegu leyti til réttaráhrifa á einstaklinginn. Slíkt veltur á því hversu ítarlegar og

viðkvæmar upplýsingar um viðkomandi eru notaðar til að móta persónusniðið sem

auglýsingarnar eru valdar út frá, væntingum og óskum viðkomandi einstaklings,

framsetningu auglýsingarinnar eða sérstökum aðstæðum hjá þeim sem auglýsingin

beinist að sem valda því að einstaklingurinn er einstaklega viðkvæmur fyrir

auglýsingunni.189

187 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 11. 188 Fullt nafn skýrslunnar er: The Great Data Race – How commercial utilisation of personal data challenges privacy. Datatilsynet (n. 1) 1. 189 ART 29 WP, „Guidelines on Automated individual decision-making and Profiling“ (n. 55) 11.

78

Í framhaldi af gerð persónusniðs er svo tekin sjálfvirk ákvörðun um hvernig auglýsing

skuli birtast viðkomandi manneskju. Fari fertug kona sem nýtur útiveru og á

sumarbústað, til að mynda inn á heimasíðu fréttamiðils sem stundar það að selja

auglýsingapláss til hæstbjóðenda gegn því að auglýsingin sé miðuð að þeim

einstakling sem kemur inn á vefsvæðið hverju sinni, má leiða líkum að því að IP-tala

viðkomandi, staðsetning, tekjur, kyn, áhugamál og sú heimasíða sem manneskjan er

að skoða og þær síður sem manneskjan hefur skoðað, fari í reikniformúlu, sem er

útbýr persónusnið. Sú reikniformúla gæti svo leitt af sér þá niðurstöðu að þessa

tilteknu konu vanti gönguskó. Þá er tekin ákvörðun um það að birta henni auglýsingu

sem tengist því. Þá fer af stað uppboð á auglýsingaréttinum til þessarar konu sem

vantar gönguskó og hæstbjóðandi getur auglýst sína vöru eða þjónustu á þeirri

heimasíðu sem konan er að heimsækja. Ferlið kann að hljóma einfalt í sjálfu sér en

það þarf að hafa hugfast að allt þetta gerist á meðan heimasíðan er að birtast á

tölvuskjá konunnar. Þar á meðal uppboðið sjálft. Sjálfvirka vinnslan er því gríðarlega

öflug og fyrirtæki keppast við að bjóða betri birtingarkosti fyrir auglýsendur og vilja öll

vinna uppboðið um að auglýsa fyrir augum konunnar sem jafnvel vissi ekki sjálf að

hana vantaði gönguskó.190

6.7 Upplýsingasöfnun á Internetinu Persónusnið og sjálfvirkar ákvarðanatökur eru almennt hluti af daglegu lífi einstaklinga

sem nota Internetið. Í þessum kafla verða dæmi tekin af tveimur stórum fyrirtækjum í

heimi Internetsins og hvernig þau safna upplýsingum um notendur þjónustu sinnar.

Fyrirtækin eru Google og WhatsApp.

Google grundvallast á notkun persónusniða sem byggja á gríðarlegu magni

persónuupplýsinga með það að markmiði að hámarka nýtni leitarvélar fyrirtækisins

sem og að hámarka nýtni þeirra auglýsingaplássa sem fyrirtækið selur og þar með

auka eftirsókn eftir auglýsingaplássum fyrirtækisins. Hagur Google liggur í því að selja

fyrirtækjum og einstaklingum aðgang að auglýsingaplássi.

190 Datatilsynet (n. 1) 11.

79

Birtingar þess eru sérstaklega sniðnar að þeim sem auglýsingin á að ná til, þar með

geta auglýsendur náð markvissari árangri og varið lægri fjárhæðum í markaðssetningu

með meiri árangri. Google beitir sjálfvirkri ákvarðanatöku til að velja hvaða auglýsingar

eiga við hvern einstakling og sú ákvarðanataka veltur á persónusniði sem byggir á

upplýsingum um Internet notkun þess einstaklings.191 Norska

persónuverndarstofnunin spáir því að innan skamms verði einstaklingsmiðaðar

auglýsingar ekki einungis að finna á Internetinu og í smáforritum heldur verði

sjónvarpsauglýsingar einstaklingsmiðaðar.192

Í bréfi193, dagsettu 27. október 2016 og undirrituðu af Isabelle Falque-Pierrotin fyrir

hönd 29. gr. starfshópsins er að finna álit 29. gr. starfshópsins á uppfærðum notenda-

og persónuverndarskilmálum WhatsApp sem teknir voru í gagnið í ágúst 2016.

WhatsApp er skilaboðaforrit sem bæði er í boði fyrir tölvur og snjalltæki, þá sem

smáforrit. Markmiðið er að gera notendum auðveldara fyrir að senda smáskilaboð en

raunin var með hefðbundinni smáskilaboðaaðferð (SMS). Með WhatsApp verða texti,

myndir, myndbönd, skjöld og staðsetningar deilanlegri með öðrum og með einfaldari

hætti en áður. Þá segir enn frekar á heimasíðu WhatsApp að skilaboð og símtöl sem

fara í gegnum forritið séu dulkóðuð frá einu tæki til annars og að enginn þriðji aðili geti

komist yfir gögnin sem um er að ræða. Þar á meðal getur WhatsApp ekki lesið eða

hlustað á hvað notendum forritsins fer á milli.194

Meðal þeirra upplýsinga sem veittar voru notendum WhatsApp við uppfærsluna var að

smáforritið hygðist deila upplýsingum innan þess sem kallað var „Facebook fyrirtækja

fjölskyldunnar“ (e. Facebook family of companies) og að sú útdeiling upplýsinganna

væri í margvíslegum tilgangi, þar á meðal í markaðslegum tilgangi og auglýsinga

miðuðum tilgangi. Þessi tilgangur var ekki til staðar í upphaflegum notenda- og

persónuverndarskilmálum þegar núverandi notendur hófu að nota þjónustuna. Þessar

breytingar eru að áliti 29. gr. starfshópsins í algjörri andstöðu við opinberar yfirlýsingar

fyrirtækjanna tveggja, WhatsApp og Facebook, um að engum gögnum yrði nokkurn

tímann deilt á milli þeirra. Með tilliti til vinsælda smáforritsins WhatsApp, sem státar af

191 sama heimild 5. 192 sama heimild 7. 193 Isabelle Falque-Pierrotin, „Letter of the Chair of the ART 29 WP to Whatsapp“ (24. október 2017) <http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47964>. 194 WhatsApp, „About WhatsApp“ (WhatsApp.com) <https://www.whatsapp.com/about/> skoðað 14. nóvember 2017.

80

rúmlega einum milljarði notenda í yfir 180 löndum,195 má ætla að breytingarnar hafi

áhrif á borgara allra ESB ríkja og muni valda mikilli óvissu á meðal notenda og þeirra

sem eru ekki notendur forritsins samkvæmt bréfi 29. gr. starfshópsins til Jan Koum,

annars forsprakka WhatsApp.196

Í bréfinu lýsir 29. gr. starfshópurinn:

[Þ]ungum áhyggjum af þeim aðferðum sem beitt var við miðlun upplýsinganna um uppfærða skilmála til notenda og jafnframt um gildi samþykkis notenda …

Í viðbót veltir 29. gr. starfshópurinn í bréfinu upp skilvirkni þeirra aðferða sem

notendum standa til boða til að beita rétti sínum samkvæmt lögum gagnvart

WhatsApp. Þar að auki tekur 29. gr. starfshópurinn til skoðunar áhrif á deilingu þessara

gagna á einhvern sem hefur ekki gerst notandi neinnar þjónustu sem fellur undir

Facebook fyrirtækja fölskylduna og þar af leiðandi ekki veitt samþykki sitt á nokkurn

hátt. Meðlimir 29. gr. starfshópsins munu samkvæmt bréfinu gera sitt besta til að fá

skýrari niðurstöðu í málið og vænta þess að grunnreglur í evrópskum lögum um

gagnavernd og landslögum verði virtar á sambærilegan hátt um allt

Evrópusambandssvæðið.197

Starfshópurinn gerir í bréfinu kröfu um það að WhatsApp afhendi þeim öll gögn sem

félagið býr yfir. Þar á meðal nöfn, símanúmer, tölvupóstföng, heimilisföng og

upplýsingar um hvaðan WhatsApp fékk þær upplýsingar. Að auki vill 29. gr.

starfshópurinn fá upplýsingar um hvert þessi gögn hafa farið og hver tók á móti þeim,

hvaða áhrif það kann að hafa á notendur og ef einhver þá hvaða áhrif það kann að

hafa á þriðja aðila. Þessar upplýsingar eru nauðsynlegar til að 29. gr. starfshópurinn

geti áttað sig á því hvort einhverra breytinga sé þörf svo vinnslan standist lagaramma

Evrópusambandsins. Að endingu hvetur 29. gr. starfshópurinn WhatsApp til að bíða

með fyrirhugaða deilingu gagna innan Facebook fyrirtækja fjölskyldunnar þangað til

starfshópurinn hefur ákvarðað hvort hún standist gildandi lög um vernd

persónuupplýsinga.

195 sama heimild. 196 Falque-Pierrotin (n. 193) 1. 197 sama heimild.

81

WhatsApp tók að mati írsku persónuverndarstofnunarinnar jákvæð skref í ágúst 2017

þegar fyrirtækið kynnti til sögunar dálk um algengar spurningar (e. FAQ – frequently

asked questions) þar sem finna mátti spurningar og svör við ýmsum álitaefnum sem

brunnu á notendum og persónuverndaryfirvöldum. Eins kemur fram að í samtali írsku

persónuverndarstofnunarinnar og Facebook á Írlandi og WhatsApp að gagnadeilingin

muni ekki fara fram að svo stöddu. Ekki verði að henni fyrr en WhatsApp geri grein

fyrir því hvað felst nákvæmlega í henni.198

Kafli 7. Lokaorð 7.1 Almennt Þegar hugmyndin að ritgerðinni kom upp á vormánuðum 2017 varð höfundi fljótlega

ljóst að gerð persónusniða og sjálfvirkar ákvarðanatökur eru höfuðið og halinn í

starfsemi margra stórra Internet fyrirtækja. Um einhver þeirra er fjallað í ritgerð þessari.

Við fyrsta lestur yfir drög Persónuverndar að þýðingu á GDPR varð höfundi ljóst að

mikil vinna væri framundan enda um afar umfangsmikla reglugerð að ræða. Álit og

leiðbeiningarreglur 29. gr. starfshópsins gáfu góða mynd af þeim hugtökum sem lögð

voru til grundvallar rannsóknarspurningu þeirri sem lagt var af stað með í upphafi.

Tilgangur þess að koma fram með nýja evrópska reglugerð á sviði persónuverndar er

einna helst sá að uppfæra þá tilskipun 95/46/EB sem þegar gildir á sviðinu.

Uppfærslan er í tvennum skilningi mikilvæg, í fyrsta lagi er um að ræða regluverk sem

stendur skör hærra sem réttarheimild en tilskipunin, einungis vegna eðlis heimildanna.

Reglugerðum er gert hærra undir höfði en tilskipunum samanber umfjöllun í kafla

2.4.4. Í öðru lagi er verið að færa regluverkið til samtímans, síðan tilskipun 95/46/EB

var sett og samin hefur tæknibylting gengið yfir Evrópu. Internetið er nánast allstaðar

og tæki og tól eru til staðar fyrir fyrirtæki til að rekja hegðun og háttalag einstaklinga í

hinum ýmsu forritum og á hinum ýmsu vefsvæðum. Því fylgir meira upplýsingaflæði

en nokkurn tíman áður.

198 Graham Doyle, „31-10-2017 Commissioners Statement on Art 29 Working Party Letter to WhatsApp. - Data Protection Commissioner - Ireland“ (Data Protection Commisioner, Ireland) <https://www.dataprotection.ie/docs/EN/31-10-2017-Commissioners-statement-on-Art-29-Working-Party-letter-to-WhatsApp-/m/1675.htm> skoðað 30. nóvember 2017.

82

Það er eilífðarverkefni fyrir handhafa lagasetningarvalds að reyna að halda í við öra

tækniþróun samtímans. GDPR er nýjasta tilraun Evrópuþingsins og ráðsins til að ná

utan um þann flaum upplýsinga um fólk sem fyrirtæki og opinberir aðilar sanka að sér

og nýta sér með einum eða öðrum hætti. Á því tímabili sem ritgerð þessi er skrifuð eru

mörg fyrirtæki og opinberir aðilar að undirbúa starfsemi sína fyrir innreið GDPR.

7.2 Svar við rannsóknarspurningu

7.2.1 Gerð persónusniða

Gerð persónusniða felur í sér það athæfi að nýta upplýsingar um einstakling til að fella

hann í form og meta ákveðna þætti í fari hans, sem svo kann að nýtast ábyrgðaraðila,

annað hvort í eigin starfsemi eða sem söluvara til annarra. Dæmi um persónusnið er

mat á lánstrausti í þeim skilningi sem settur var fram í umfjöllun um Creditinfo

Lánstraust hf. í ritgerð þessari.

Gerð persónusniða fellur undir almennar reglur um vinnslu persónuupplýsinga og því

þótti tilefni til að fjalla um meginreglur sem gilda um vinnslu persónuupplýsinga

almennt í kafla 4.5.1 sem fjallar um persónusnið. Eins var önnur umfjöllun í kaflanum

miðuð að vinnslu almennt með sérstaka áherslu á persónusnið. Almennt gildir að

framkvæma þarf hagsmunamat í þeim tilgangi að meta hvort vinnsla

persónuupplýsinga eigi rétt á sér. Hvort í henni felist of mikil skerðing á frelsi og

grundvallarréttindum hins skráða, hvort hagsmunir ábyrgðaraðila séu nógu veigamiklir

til að réttlæta vinnslu persónuupplýsinga.

7.2.2 Sjálfvirkar ákvarðanatökur

Sjálfvirkar einstaklingsmiðaðar ákvarðanatökur er lýsandi heiti á þeirri vinnslu sem í

þeim felst. Ákvarðanir eru teknar, eingöngu á grundvelli sjálfvirkrar gangavinnslu og

þær ákvarðanir hafa veruleg áhrif á hinn skráða samanber 1. mgr. 22. gr. GDPR.

Hvað varðar heimildir til að taka sjálfvirkar ákvarðanir er þeim sniðinn þrengri stakkur

en þegar heimildir til gerðar persónusniða eru annars vegar. Ástæða þess er einna

helst þær afleiðingar sem gerð er krafa um að hljótist af sjálfvirkum ákvarðanatökum.

Engar slíkar kröfur um afleiðingar eru settar fram vegna gerðar persónusniða í GDPR.

83

7.2.3 Samspil og samhjálp

Persónusnið geta orðið grundvöllur sjálfvirkara ákvarðana líkt og þegar mat á

lánstrausti, sem felur í sér gerð persónusniðs yrði lagt til grundvallar fyrir sjálfvirka

ákvörðun um hvort lánaumsókn sé samþykkt. Ef lánaumsóknin er afgreidd án

raunverulegrar mannlegrar aðkomu verður ekki séð annað en að í henni felist sjálfvirk

ákvörðun í skilningi 22. gr. GDPR. Enda áhrif ákvörðunarinnar veruleg, sama hvort

umsóknin ber árangur eða henni er hafnað.

Á hinn bóginn verða sjálfvirkar ákvarðanatökur ekki grundvöllur persónusniða.

Niðurstöður ákvarðananna geta þó orðið upplýsingar sem nýtast við gerð

persónusniða. Það má því segja að persónusnið og sjálfvirkar ákvarðanir spili saman

en geti allt eins staðið sjálfstætt. Það er því hægt að segja að um tvö aðskilin athæfi

sé að ræða, sem stundum vinna saman að einhverju marki.199 Dæmið um bifreiðina

og ökumanninn sem tekið var í kafla 6.2 er lýsandi fyrir þetta.

7.3 Næstu skref Á næstu árum má reikna með að efnisreglur GDPR skýrist í meðförum

persónuverndarstofnana aðildarríkja og dómstóla. Hvað Ísland varðar var gerð grein

fyrir því í tilkynningu frá 21. nóvember 2017, á vef dómsmálaráðuneytisins að Björg

Thorarensen veitti starfshóp vegna innleiðingar GDPR forystu og vinna hópsins væri

hafin. Samkvæmt tilkynningunni er frumvarps að vænta um miðjan janúar.200 Það

verður áhugavert að fylgjast með innleiðingu GDPR í íslenskan rétt og viðbrögðum

fyrirtækja og opinberra aðila.

199 Ekki ósvipað spretthlaupurum sem venjulega keppa um heiður einstaklingsins en taka sig svo til og hlaupa boðhlaup sem lið og keppa þá sem hluti af stærra samhengi en þeir sjálfir. 200 Dómsmálaráðuneytið, „Unnið að upptöku nýrrar persónuverndarreglugerðar ESB og innleiðingu í landsrétt“ (Efst á baugi, 21. nóvember 2017) <https://www.stjornarradid.is/efst-a-baugi/frettir/stok-frett/2017/11/21/Unnid-ad-upptoku-nyrrar-personuverndarreglugerdar-ESB-og-innleidingu-i-landsrett/> skoðað 12. desember 2017.

84

Heimildaskrá

„About Article 29 Working Party - European Commission“ (12. desember 2017) <http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=59485> skoðað 12. desember 2017

Annereau S, „Understanding consent under the GDPR“ (TaylorWessing, nóvember 2016) <https://united-kingdom.taylorwessing.com/globaldatahub/article-understanding-consent-under-the-gdpr.html> skoðað 23. september 2017

ART 29 WP, „Opinion 1/2010 on the concepts of „controller“ and „processor““ (16. febrúar 2010) 1/2010 <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf> skoðað 12. desember 2017

——, „Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC“ (The Article 29 Working Party 4. september 2014) 844/14 <http://www.dataprotection.ro/servlet/ViewDocument?id=1086> skoðað 28. nóvember 2017

——, „Guidelines for identifying a controller or processor´s lead supervisory authority“ (The Article 29 Working Party 13. desember 2016) <http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_en_40857.pdf> skoðað 29. nóvember 2017

——, „Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679“ (The Article 29 Working Party 10. mars 2017) <http://ec.europa.eu/newsroom/document.cfm?doc_id=47742> skoðað 5. desember 2017

——, „Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processin is „likely to result in a high risk“ for the purposes of Regulation 2016/679“ (10. apríl 2017) WP 248 rev.01 <http://ec.europa.eu/newsroom/document.cfm?doc_id=47711>

——, „Guidelines on Consent under Regulation 2016/679“ (28. nóvember 2017) WP259 <http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48849>

„Background“ (Data Protection) <https://www.coe.int/en/web/data-protection/background> skoðað 7. desember 2017

Björg Thorarensen, Stjórnskipunarréttur: mannréttindi (Bókaútgáfan Codex 2008)

Burdon M og McKillop A, „The Google Street View Wi-Fi Scandal and its Reprecussions for Privacy Regulation“ 39 (3) Monash <https://www.monash.edu/__data/assets/pdf_file/0011/141230/vol-39-3-burdon-and-mckillop.pdf> skoðað 25. október 2017

85

Buttarelli G, „The State of the Data Protection Union“ (European Data Protection Supervisor, 20. september 2017) </press-publications/press-news/blog/state-data-protection-union_en> skoðað 25. september 2017

Calder A, EU GDPR: A Pocket Guide (2016) <http://public.eblib.com/choice/publicfullrecord.aspx?p=4647636> skoðað 13. desember 2017

Datatilsynet, „The Great Data Race - How commercial utilisation of personal data challenges privacy.“ (Datatilsynet nóvember 2015) <https://www.datatilsynet.no/globalassets/global/english/engelsk-kommersialisering-endelig.pdf> skoðað 4. desember 2017

Davíð Þór Björgvinsson, EES-réttur og landsréttur (Codex 2006)

——, Lögskýringar (Háskólinn í Reykjavík : JPV útgáfa 2008)

Doyle G, „31-10-2017 Commissioners Statement on Art 29 Working Party Letter to WhatsApp. - Data Protection Commissioner - Ireland“ (Data Protection Commisioner, Ireland) <https://www.dataprotection.ie/docs/EN/31-10-2017-Commissioners-statement-on-Art-29-Working-Party-letter-to-WhatsApp-/m/1675.htm> skoðað 30. nóvember 2017

Dómsmálaráðuneytið, „Unnið að upptöku nýrrar persónuverndarreglugerðar ESB og innleiðingu í landsrétt“ (Efst á baugi, 21. nóvember 2017) <https://www.stjornarradid.is/efst-a-baugi/frettir/stok-frett/2017/11/21/Unnid-ad-upptoku-nyrrar-personuverndarreglugerdar-ESB-og-innleidingu-i-landsrett/> skoðað 12. desember 2017

EFTA, „EEA-Lex: tracking incorporation of EU law into the EEA Agreement | European Free Trade Association“ (EEA-Lex: tracking incorporation of EU law intothe EEA Agreement, 27. janúar 2014) <http://www.efta.int/eea/news/eea-lex-tracking-incorporation-eu-law-eea-agreement-2659> skoðað 8. nóvember 2017

„EU Article 29 Working Party Releases Extensive GDPR Guidance on Data Processing at Work“ (Inside Privacy, 4. júlí 2017) <https://www.insideprivacy.com/international/european-union/wp29-releases-gdpr-guidance-on-data-processing-at-work/> skoðað 27. september 2017

„EU GDPR: How did we get here?“ <http://www.eugdpr.org/how-did-we-get-here-.html> skoðað 26. september 2017

European Digital Rights, „GDPR Key Issues Explained“ <https://edri.org/files/GDPR-key-issues-explained.pdf> skoðað 11. desember 2017

European Parliament, „Data protection package: Parliament and Council now close to a deal | News | European Parliament“ (15. desember 2015) <http://www.europarl.europa.eu/news/en/press-room/20151215IPR07597/data-protection-package-parliament-and-council-now-close-to-a-deal> skoðað 24. október 2017

86

——, „Data protection reform - Parliament approves new rules fit for the digital era | News | European Parliament“ (14. apríl 2016) <http://www.europarl.europa.eu/news/en/press-room/20160407IPR21776/data-protection-reform-parliament-approves-new-rules-fit-for-the-digital-era> skoðað 24. október 2017

Evrópuvefur, „Ráðið“ (Evrópuvefurinn - Upplýsingaveita um Evrópusambandið og Evrópumál, 2. september 2012) <http://www.evropuvefur.is/svar.php?id=60019> skoðað 24. október 2017

Falque-Pierrotin I, „Letter of the Chair of the ART 29 WP to Whatsapp“ (24. október 2017) <http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47964>

„Full list“ (Treaty Office) <https://www.coe.int/en/web/conventions/full-list> skoðað 7. desember 2017

Heimes R, „Top 10 operational impacts of the GDPR: Part 5 - Profiling“ <https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-5-profiling/> skoðað 27. september 2017

„Hvað gerir framkvæmdastjórn ESB?“ (Evrópuvefurinn) <http://www.evropuvefur.is/svar.php?id=25169> skoðað 24. október 2017

ICO, „ICO´s Feedback request - profiling and automated decision-making“ (6. apríl 2017) <https://ico.org.uk/media/about-the-ico/consultations/2013894/ico-feedback-request-profiling-and-automated-decision-making.pdf> skoðað 13. desember 2017

Information Commissioner Isle of Man, „Consent“ <https://www.inforights.im/information-centre/data-protection/the-general-data-protection-regulation/gdpr-in-depth/principles/lawfulness-fairness-and-transparency/lawfulness/consent/> skoðað 27. nóvember 2017

Kosinski M, Stiwell D og Graepel T, „Private traits and attributes are predictable from digital records of human behavior.“ (2013) 110 (15) PNAS <http://www.pnas.org/content/110/15/5802.full.pdf?sid=4145ce18-04a3-4d15-ad3e-e2c6736b1cb0> skoðað 12. desember 2017

Osterman Research, „GDPR Compliance and Its Impact on Security and Data Protection Programs“ White Paper <https://4b0e0ccff07a2960f53e-707fda739cd414d8753e03d02c531a72.ssl.cf5.rackcdn.com/wp-content/uploads/2017/02/GDPR-Compliance-and-Its-Impact-on-Security-and-Data-Protection-Programs-HPE.pdf?v=20> skoðað 6. september 2017

Páll Hreinsson, Rafræn vinnsla persónuupplýsinga við meðferð stjórnsýslumála (Lagastofnun Háskóla Íslands 2007)

Páll Sigurðsson, Mannhelgi: höfuðþættir almennrar persónuverndar (Codex 2010)

Persónuvernd, „Kortaskilmálar Kaupþings“ (Persónuvernd. Þínar upplýsingar, þitt einkalíf., 22. apríl 2008) <https://www.personuvernd.is/efst-a-baugi/nr/760> skoðað 22. nóvember 2017

87

——, „Ársskýrsla 2016“ (júl 2017) Ársskýrsla <https://www.personuvernd.is/media/arsskyrslur/Arsskyrsla-2016ny.pdf> skoðað 17. október 2017

——, „Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ (Persónuvernd, 28. apríl 2017) <https://www.personuvernd.is/media/frettir/146-1003.pdf> skoðað 10. október 2017

——, „Grundvallarhugtök“ (Persónuvernd. Þínar upplýsingar, þitt einkalíf.) <https://www.personuvernd.is/spurningar-og-svor/grundvallarhugtok/> skoðað 25. október 2017

Reczek RW, Summers C og Smith R, „Targeted Ads Don’t Just Make You More Likely to Buy — They Can Change How You Think About Yourself“ (Harvard Business Review, 4. apríl 2016) <https://hbr.org/2016/04/targeted-ads-dont-just-make-you-more-likely-to-buy-they-can-change-how-you-think-about-yourself> skoðað 10. október 2017

Savin A, „Profiling and Automatic Decision Making in the Present and New EU Data Protection Frameworks“ <http://openarchive.cbs.dk/bitstream/handle/10398/8914/Savin.pdf?sequence=1> skoðað 29. október 2017

Sigrún Jóhannesdóttir, Persónuverndarlög: skýringarrit (Fons Juris 2015)

Sigurður Líndal og Skúli Magnússon, Réttarkerfi Evrópusambandsins og Evrópska efnahagssvæðisins: megindrættir (Hið íslenska bókmenntafélag 2011)

„Stjórnarráðið | Samningurinn um Evrópska efnahagssvæðið (EES-samningurinn)“ <https://www.stjornarradid.is/verkefni/utanrikismal/evropusamvinna/ees-samningurinn/> skoðað 8. nóvember 2017

„Umsögn Persónuverndar um tillögu til þingsályktunar um fjármálaáætlun fyrir árin 2018-2022, 402. mál.“ <https://www.personuvernd.is/media/frettir/146-1003.pdf> skoðað 10. október 2017

Wachter S, Mittelstadt B og Floridi L, „Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation“ (2017) 7 (2) International Data Privacy Law 76

WhatsApp, „About WhatsApp“ (WhatsApp.com) <https://www.whatsapp.com/about/> skoðað 14. nóvember 2017

Wilhelm E-O, „A brief history of the General Data Protection Regulation“ <https://iapp.org/resources/article/a-brief-history-of-the-general-data-protection-regulation/> skoðað 24. október 2017