Mikið vatn hefur runnið til sjávar frá því að tölvunarfræðingurinn Tim Berners-Lee hannaði fyrstu heimasíðuna árið 1989. Vefsíður sem voru í upphafi statískar upplýsingasíður og birtust öllum notendum á sama sniði, hafa þróast yfir í að vera dínamískar, snjallar, gagnvirkar og gagnadrifnar, þar sem innihaldið er oft og tíðum sérsniðið að notendum þeirra með tilheyrandi söfnun persónuupplýsinga.
Stafræn fótspor
Með tækniframförum tengdum fjórðu iðnbyltingunni hefur starfsemi fyrirtækja og stofnana tekið miklum breytingum, með áherslu á stafræna umbreytingu. Verslun og þjónusta hefur færst á Netið og breytt viðskiptamódel sem byggjast á persónugreiningu, hafa litið dagsins ljós. Athafnir notenda eru nú skráðar við hvert stafrænt fótspor á Netinu í þeim tilgangi að fylgjast með nethegðun einstaklinga.
Með sporum í stafrænu umhverfi er átt við þær upplýsingar sem einstaklingur skilur eftir á Netinu, viljandi eða óviljandi, sem lýsir athöfnum viðkomandi, smekk og óskum. Með því að mæla með vörum eða þjónustu á Netinu, deila myndum eða skrifa athugasemdir, er einstaklingur að upplýsa um persónueinkenni sín. Þegar einstaklingur leitar að upplýsingum á Netinu eða kaupir vörur, þá skilur hann eftir sig stafræn fótspor. Þessum breytingum fylgja óhjákvæmilega nýjar áskoranir varðandi persónuvernd og friðhelgi einkalífs.
Persónuverndarlöggjöfin
Með setningu núgildandi laga um persónuvernd nr. 90/2018, var Evrópureglugerðin um persónuvernd, jafnan kölluð GDPR-reglugerðin, innleidd í íslenskan rétt. Fylgni við persónuverndarlög er því skylda en ekki val. Reglugerðin markar tímamót í sögu persónuverndar og nær til allra lögaðila sem vinna með persónuupplýsingar einstaklinga innan Evrópu. Markmið reglugerðarinnar er að stuðla að aukinni réttarvernd einstaklinga í kjölfar örrar tækniþróunar, meðal annars með auknum rétti til fræðslu, aðgengi að eigin upplýsingum, skýrari kröfum til samþykkis og réttinum til að gleymast.
Söfnun persónuupplýsinga
Mikil upplýsingasöfnun á sér stað í gegnum vafrakökur og alls kyns skráningarform á vefsíðum landsins, þar sem persónusnið eru jafnvel útbúin og notuð án vitundar einstaklingsins. Þá getur innfellt efni á vefsíðu frá þriðja aðila innihaldið rakningartækni sem skráir nethegðun notenda. Má þar nefna streymisveitur eins og YouTube og Vimeo, kort frá Google Maps, ýmis tölfræðitól og spjallmenni.
Ábyrgð vefsíðurekenda
Hugtakið ábyrgðaraðili er skilgreint í lögum um persónuvernd nr. 90/2018. Ábyrgðaraðili ber höfuðábyrgð á vinnslu persónuupplýsinga, en það er sá aðili sem tekur ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga. Þegar kemur að rekstri vefsvæða, þá er það vefsíðurekandinn/eigandinn sem er ábyrgðaraðili og á honum hvíla ýmsar skyldur samkvæmt persónuverndarlöggjöfinni. Sem ábyrgðaraðili þarf vefsíðurekandi meðal annars að tryggja bæði innbyggða og sjálfgefna persónuvernd, deila ábyrgð með öðrum ábyrgðaraðila ef við á og gera viðeigandi tæknilegar og skipulagslegar ráðstafanir. Þá ber vefsíðurekanda að uppfylla fræðsluskyldu um vinnslu persónuupplýsinga og tryggja fylgni við persónuverndarlöggjöfina.
Sektir og aðrar afleiðingar
Eins og áður sagði þá er fylgni við persónuverndarlög skylda en ekki val. Afleiðingar þess að vanrækja þær skyldur sem persónuverndarlöggjöfin kveður á um geta meðal annars falið í sér sektir og orðsporsáhættu auk þess sem möguleiki er á að aðili baki sér bótaábyrgð. Það er því mikilvægt að vefsíðurekendur hugi að persónuvernd allt frá hönnunarferli til hýsingar.
Þar til næst…