Aukin persónuvernd í breyttum heimi

Aukin persónuvernd í breyttum heimi

Meginreglur um meðferð persónuupplýsinga má rekja til Mannréttindayfirlýsingar Sameinuðu þjóðanna frá 1948 og Mannréttindasáttmála Evrópu frá 1950. Með ákvæðum um friðhelgi einkalífsins og tjáningarfrelsi var lagður grunnur að þeirri þróun sem síðan hefur orðið á sviði laga um persónuvernd og meðferð persónuupplýsinga.

Með hraðri þróun tölvutækni og meðfylgjandi aukningu á gagnasöfnun á 7. og 8. áratugnum jókst þörfin fyrir nákvæmari lagasetningu á sviðinu.

Árið 1980 gaf OECD út leiðbeiningar um meðferð persónuupplýsinga og flutning þeirra milli landa. Í leiðbeiningunum koma fram margar af þeim meginreglum sem enn er farið eftir í dag, s.s. að söfnun persónuupplýsinga skuli byggja á lögmætum grunni og á vitneskju eða samþykki einstaklingsins og að gögn skuli vera áreiðanleg og rétt og ekki notuð í öðrum tilgangi en þeim sem þeirra var safnað til. Leiðbeiningarnar hafa ekkert lagalegt gildi en er ætlað að vera grunnur sem ríki geta byggt á við setningu laga um meðferð persónuupplýsinga.

Árið 1981, setti Evrópuráðið (Council of Europe) fram samning um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga. Sá samningur byggði mikið til á þeim meginreglum sem settar höfðu verið fram í leiðbeiningum OECD og var fyrsta alþjóðlega löggjöfin á sviði persónuverndar. Ísland fullgilti samninginn árið 1991. 

Megintilgangur leiðbeininga OECD og samnings Evrópuráðsins hafði verið að samræma nálgun á meðferð persónuupplýsinga milli landa. Evrópuráðssamningurinn hafði hins vegar aðeins að geyma lágmarksreglur en aðildarríkjum var heimilt að veita hinum skráðu víðtækari réttindi í löggjöf sinni. Þetta leiddi til þess að mikið misræmi var á persónuverndarlöggjöf milli landa ESB.

Samningur Evrópuráðsins lagði hins vegar mikilvægan grundvöll að tilskipun Evrópusambandsins sem sett var árið 1995 (95/46 EC) með það að markmiði að samræma reglur um meðferð persónuupplýsinga á hinum innri markaði. Tilskipunin var tekin upp á Íslandi árið 2001 með lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Fyrstu lögin sem sett voru um meðferð persónuupplýsinga hérlendis árið 1980 höfðu fyrirfram afmarkaðan gildistíma þar sem að mönnum þótti tölvutækni þróast svo hratt að ástæða þótti til að tryggja endurskoðun laganna innan ákveðins tíma. Það sama gilti um lögin sem sett voru í kjölfarið árið 1985. Nú eru hins vegar liðin rúm 20 ár frá gildistöku tilskipunar 95/46 og 16 ár frá gildistöku laga 77/2000 og á þeim tíma hefur upplýsingatækni tekið algjörum stakkaskiptum.

Það er því óhætt að segja að tími sé kominn á nýja og bætta löggjöf á sviði persónuverndar og meðferðar persónuupplýsinga.

  • Hraði og skilvirkni löggjafans mun seint standast tækni- og tölvusnillingum morgundagsins snúning. – Við verðum alltaf árum eða áratugum á eftir þeim.
    – Quote from EU Parliament member