persónuvernd og vinnsla persónuupplýsinga.
Virðulegi forseti. Við ræðum þennan doðrant sem datt inn hjá okkur í gærkvöldi. Mig langaði að fara yfir nokkur atriði sem maður rekur augun í við fyrstu sýn í þessu frumvarpi. Hér er fjallað um ýmis áhugaverð atriði, það er t.d. bætt hérna við notkun kennitölu sem ég geri ráð fyrir að sé ekki endilega í upprunalegu reglugerðinni. Það er talað um rafræna vöktun og vinnslu upplýsinga um fjárhagsmálefni og lánstraust og svo framvegis. Svo er í skemmtilegum kafla fjallað um réttindi hins skráða og takmarkanir á þeim, sem mig langar aðeins að vekja athygli á áður en ég fer út í hin atriði. Í 17. gr. stendur að heimilt sé að víkja frá ákvæðum reglugerðarinnar á grundvelli ákveðinna atriða og þar segir í 4. tölulið, með leyfi forseta, að víka megi frá þeim til þess að „koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot …“
Það eru ákveðnar meginreglur um gagnsæi upplýsinga og rétt hins skráða. En það má víkja frá þeim ákvæðum til þess að koma í veg fyrir, koma upp um eða saksækja fyrir refsiverð brot. Þetta hljómar pínulítið fyrir mér eins og forvirkar rannsóknarheimildir. Það væri mjög áhugavert að nefndin færi betur yfir hvort svo sé og hvað þetta þýðir í raun og veru og hvort þetta sé hluti af upprunalegu reglugerðinni og hverjar takmarkanirnar á þessu eru.
Mig langar að taka smá kennslustund sem tengist rafrænni vöktun, tengist í rauninni friðhelgi einkalífs og því að notendur búa oft til gögn sem snerta þeirra eigin friðhelgi, eigin persónu. Það er nokkuð sem heitir á ensku „location tracking“, eða að gefa upp staðsetningu og fylgjast með staðsetningu viðkomandi notanda. Það eru margir með þetta í gangi í símanum sínum til dæmis en þetta á líka við um staðsetningu og notkun hvers notanda á vefsíðum. Það er tækni sem heitir kökur eða vefkökur. Þetta er mjög áhugaverð viðbót fyrir notendur og vefsíður til að geyma upplýsingar um notandann, geyma hjá sér ákveðnar upplýsingar sem er hægt að endurnota næst þegar hann heimsækir síðuna, t.d. tákn fyrir innskráningu, þannig að hann þurfi ekki að endurtaka innskráningu á einhvern hátt og þar fram eftir götunum. Það er fullt af flækjum í þessu.
En í þessari reglugerð er kveðið á um að það verði að taka fram hvort vefkökurnar noti þessa, á ensku, „tracking“-tækni eða þennan möguleika til að fylgjast með notandanum. Þetta virkar nokkurn veginn á þann hátt, ef ég reyni að útskýra þetta, að þegar notandi fer á vefsíðu nær hann ekki bara í eina vefköku frá vefsíðunni sem hann er að fara að nota heldur getur hann náð í fullt af öðrum vefkökum. Ég fór t.d. á einfalda vefsíðu sem fjallar aðeins um hvernig GDPR, persónuverndarlöggjöfin, virkar og útskýrir hana. Þar býður vefsíðan upp á að samþykkja að hún megi skrá þessar vefkökur um mig og gefur mér litla möguleika til að hafna því, það var bara einn takki, að samþykkja. Maður þarf að fara sérstaklega ákveðna bakdyraleið í gegnum aðra síðu þessa vefseturs sem útskýrir betur hvaða vefkökur er þar um að ræða. Á þessari einstöku síðu eru heilar 56 vefkökur sem tengjast mjög mörgum öðrum vefsvæðum, t.d. mjög mörgum Google-vefsvæðum og þarna eru AdaptTv, AddThis, AdMeta, Advertising.com, Aggregate Knowledge, Amazon Associates — þetta er heill haugur af öðrum aðilum sem fá að vita að þú eða þinn vafri heimsótti þessa fréttasíðu. Þá virkar það dálítið á þann hátt sem fólk kannast kannski við þegar það fer t.d. á Amazon og kaupir eða skoðar einhverjar vörur og þegar það fer síðan á þessa fréttasíðu eða margar aðrar síður sem tengjast Amazon, þessum vefkökum, þá kemur upp auglýsing frá t.d. Amazon eða Google sem veit um þessar upplýsingar, hvaða hlutur var skoðaður, og getur gefið tilboð eða auglýsingu eða því um líkt sem tengist notkun þess sem fer á vefsíðuna.
Í þessari persónuverndarlöggjöf er sérstaklega fjallað um rétt notanda til að fá að vita af því hverjir fá upplýsingar um vefnotkun hans. En eins og var ljóst á t.d. þessari síðu er ekki endilega svo auðvelt að slökkva á því, ekki endilega sjálfsagt að fólk hugsi um það. Viðmótið sem mætir manni er í raun bara: Viltu nota vefköku eða ekki? Svo er lítill hjálpartakki ef fólk vill komast að einhverjum meiri upplýsingum. Upplýsingarnar sem mæta fólki eru einfaldlega risavaxið skjal af upplýsingum eins og allir kannast við þegar þeir eru búnir að setja upp nýjan hugbúnað, maður fær langan texta af notendaskilmálum sem hefur sýnt sig að fólk les ekki alla jafna. Fólk er gjarnt á að smella á Já.
Það gerir að verkum að það að innleiða þessa löggjöf er í raun ekki nóg til að ná markmiðum hennar að öllu leyti. Jú, vissulega hefur fólk möguleika, ákveðna nýja möguleika, en skylda okkar að upplýsa fólk um réttindi sín liggur samt fyrir. Ef fjármálaáætlun ríkisstjórnarinnar er skoðuð er fræðsla vegna nýrrar persónuverndarlöggjafar einmitt markmið stjórnvalda, sem er gott og blessað. Þar er unnið að viðmiði 2023 að því að kynna hver réttindi fólks eru. Það eitt og sér er ágætismarkmið. En þar vantar algerlega inn eftirlitshlutann, þessa persónuverndarfulltrúa sem talað er um í frumvarpinu og hér hefur verið talað um í umræðunni að kosti þó nokkuð mikið, og alla þá fjármuni sem tengjast þeim hluta innleiðingarinnar.
Það er ekki lítið af efni hérna. Það eru ákvæði t.d. í 22. gr. um réttindi tengd einstaklingsmiðuðum ákvörðunum sem byggjast á sjálfvirkri gagnavinnslu. Nú er maður að reyna að setja þetta í samhengi við alvörudæmi sem við höfum lent í á undanförnum árum. Maður hugsar kannski til máls Cambridge Analytica þar sem voru ásakanir um kosningaspjöll. Með þess háttar starfsemi var tvímælalaust beitt ákveðnum aðferðum til að greina hópa fólks í undirhópa og síðan beint að þeim ákveðnum tegundum af auglýsingum til þess að hafa áhrif á skoðanir þeirra í kosningum. Maður veltir fyrir sér hvort þær reglur sem eru komnar hérna myndu koma í veg fyrir slíka möguleika eða ekki. Það myndi alla vega hjálpa til í frumvarpinu ef það væri farið yfir þekkt dæmi sem skapa þörfina fyrir þessa nýju persónuverndarlöggjöf. Það væri hjálplegt að setja það t.d. í búning þeirra dæma sem við þekkjum á Íslandi eins og t.d. lekann hjá Vodafone á SMS-skilaboðunum. Ég nefni lekamálið sem varð í innanríkisráðuneytinu, tengt t.d. 48. gr. frumvarpsins um refsingar. Þar var ákveðinn einstaklingur sem braut af sér og það var dæmt fyrir það. En myndi sama dæmi leiða til harðari refsingar miðað við þann refsiramma sem er í 48. gr., þó að þar sé sérstaklega tiltekið að það þurfi að vera upplýsingar um fjölda skráðra einstaklinga en ekki bara eins eða tveggja eins og var í því máli? Það væri mjög gott að ná að ramma þessa umræðu inn í alvörudæmi sem við höfum á Íslandi.
Ég myndi síðan að lokum aðeins vilja fjalla um nokkrar greinar í lokin á frumvarpinu. Þar kemur fram að lög um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000, falla brott, sem er svo sem alveg eðlilegt, en í frumvarpinu segir í ákvæði til bráðabirgða II að reglugerðir svo og reglur, fyrirmæli og leyfi sem Persónuvernd eða ráðherra hafa gefið út á grundvelli laga nr. 77/200, sem falla niður, skulu halda gildi, enda fari þau ekki í bága við þessi lög, þ.e. þetta frumvarp, og reglugerðina. Í þeim lögum er ráðherra gefin heimild til að setja reglur. Þegar þau lög falla á brott er ráðherra ekki lengur gefin heimild til að setja reglur. Ég velti fyrir mér hvort reglurnar geti þá haldið þó að það sé sagt sérstaklega að þetta sé til bráðabirgða. Ég veit ekki hversu lengi þessi bráðabirgðaákvæði eiga að gilda. Ég velti fyrir mér hvort það sé eðlilegt að þau haldi gildi sínu. Þessu tengt er 54. gr. þessa viðamikla frumvarps, sem er breyting á öðrum lögum, 42 öðrum lögum. Þetta frumvarp hefur áhrif á fullt af reglugerðum líka sem þarf mögulega að skoða með tilliti til þess hvaða breytingum frumvarpið veldur og athuga hvort þær reglugerðir séu eðlilegar eða ekki og þá hvort þetta ákvæði til bráðabirgða sé eðlilegt í því ljósi.
Eins og hefur komið fram áður er þetta ekki lítið frumvarp og ekki langur tími til að fara yfir það. Ég lít dálítið á 1. umr. sem ákveðinn samlestur okkar þingmanna sem hafa náð að fara hratt yfir það og finna einhverja ákveðna punkta þar sem við hlustum á hvað hver hefur fundið í þessu frumvarpi. Við erum einfaldlega að læra hvert af öðru. Þetta er það mikilvægt og stórt frumvarp að við megum ekki missa 1. umr. í að sleppa málinu beint til nefndar. Við verðum að nýta 1. umr. til þess að skoða þetta mál ofan í kjölinn áður en það fer inn í nefnd því að ef umsagnarfresturinn á að vera stuttur þurfum við enn frekar að nýta tímann í 1. umr. til að rýna málið ofan í kjölinn.
