Eftirlit án eftirlits

Eftirlit án eftirlits

Í sveitarfélaginu Billund í Danmörku kom nýverið upp mál þar sem þiggjandi fjárhagsaðstoðar kvartaði yfir eftirliti starfsfólks á vegum sveitarfélagsins á persónulegum högum hans. Eftirlitið hófst eftir að upp vaknaði grunur um að hann væri að svíkja út fjárhagsaðstoð.

Um var að ræða eftirlit með hversu mikið hann keyrði, hvað hann borðaði, hreyfingar á bankareikningum hans og notkun á streymisveitum líkt og Netflix, Viaplay og iTunes.

Einstaklingurinn kvartaði undan umræddu eftirliti og eftir athugun taldi sveitarfélagið að eftirlitið hefði verið innan lagaramma stofnunarinnar en þó var talið að gengið hefði verið of langt út fyrir siðferðisleg mörk lagarammans með því að hafa eftirlit með streymisveitum sem einstaklingurinn var áskrifandi að.

Aðstoðarbæjarstjóri Billund, Per Nyhus, taldi að kvörtun einstaklingsins og niðurstaða sveitarfélagsins í kjölfarið myndi ekki hafa teljanleg áhrif á verklag innan sveitarfélagsins varðandi eftirlit en tók fram að það þyrfti mögulega að skoða að upplýsa þá sem þiggja aðstoð frá sveitarfélaginu um að slíkt eftirlit ætti sér stað. Hann taldi að þetta væri mikilvægt til þess að koma í veg fyrir að fólk væri að svindla á félagslega kerfinu.

Það vekur einnig athygli að sveitarfélagið ákvað að stöðva formlegan framgang málsins, þannig að það gekk ekki til formlegs úrskurðar hjá viðeigandi stjórnsýslunefnd sem kom í veg fyrir það að einstaklingurinn sem kvartaði gæti fengið formlega stjórnvaldsákvörðun um að eftirlitið hefði ekki samræmst lögum.

Á Íslandi hafa mál af svipuðum toga komið til umfjöllunar Persónuverndar. Í máli nr. 2015/612 11. janúar 2016 fjallaði Persónuvernd um upplýsingar sem Vinnumálastofnun (VMST) hafði fengið um meinta dvöl einstaklings, sem var á atvinnuleysisskrá, erlendis. Kvartandi krafðist útskýringa á því afhverju VMST hafði talið að hann væri erlendis og vildi hann meina að VMST hefði fylgst með IP-tölu sinni, sem hann hafði ekki veitt heimild fyrir. Kvartandi hélt því fram að það væri ómögulegt fyrir VMST að vita fyrir víst staðsetningu einstaklinga út frá IP-tölu, auk þess þar sem hann hafði áður nýtt sér erlenda vefþjóna í samskiptum við stofnunina. Því vildi hann vita hvort og hvaða aðrar upplýsingar stofnunin hefði notað til þess að staðreyna það að hann hefði verið erlendis á umræddu tímabili.

Niðurstaða Persónuverndar var eftirfarandi:

“Persónuvernd hefur úrskurðað að Vinnumálastofnun hafi verið heimilt að kanna IP-tölu kvartanda í málinu í rafrænni staðfestingu hans á að hann væri í atvinnuleit. Hins vegar hafi honum verið veitt ófullnægjandi fræðsla um slíka könnun stofnunarinnar á IP-tölum.”

Samkvæmt niðurstöðu Persónuverndar í máli þessu er sem sagt tekið fram að eftirlitið hafi verið í lagi en það vantaði upp á upplýsingaskyldu. Benda má á það að úrskurðað var í málinu fyrir gildistöku almennu persónuverndarreglugerðarinnar nr. 2016/679 og gera má ráð fyrir að tilkynninga- og upplýsingaskylda sé strangari nú eftir gildistöku reglugerðarinnar.

Á vefsíðu VMST er ekki að finna neinar reglur um hvernig eftirliti er háttað ef upp vaknar grunur um misnotkun á atvinnuleysisbótum. Um þetta segir einungis:

“Eitt af hlutverkum Vinnumálastofnunar er að standa vörð um íslenska velferðarkerfið og verja það misnotkun. Markmiðið með að starfrækja eftirlit í atvinnuleysistryggingakerfinu er að tryggja eins og kostur er að aðeins þeir sem uppfylla skilyrði laga um  atvinnuleysistryggingar fái greiddar atvinnuleysisbætur og koma í veg fyrir og uppræta sannanlega misnotkun á atvinnuleysisbótum.”

Hvað varðar fjárhagsaðstoð sveitarfélaga er ekki að finna neitt í reglum Sambands sveitarfélaga um eftirlit með þiggjendum fjárhagsaðstoðar. Í starfsreglum Reykjavíkurborgar, sem hér er litið til þar sem um er að ræða stærsta sveitarfélagið á landinu, er vissulega tekið fram hvaða upplýsinga má afla þegar sótt er um fjárhagsaðstoð, en ekkert segir um eftirfarandi eftirlit með einstaklingum eftir að umsókn þeirra er samþykkt.

Burt séð frá upplýsingaskyldu stofnana varðandi eftirlit þá verður að velta þeirri spurningu upp hvort að eðlilegt sé að þeir sem þiggja atvinnuleysisbætur, fjárhagsaðstoð eða annan stuðning frá félagslega kerfinu þurfi að hætta á það að gengið sé allverulega inn á mannréttindi þeirra. Hvað varðar eftirlit þá er þar tekið stórt skref inn á friðhelgi einkalífs fólks. Að bera fyrir sig að það þurfi að vernda félagslega kerfið frá misnotkun stenst vart skoðun þar sem það hefur margsýnt sig að bótasvik og misnotkun á félagslega kerfinu er ekki mjög algeng og samfélagslegur ávinningur af því að bjóða fólki upp á félagslega þjónustu þegar það þarf á því að halda hlýtur að vera meiri en að eyða tíma og fjármagni í ólögmætt eftirlit með einstaklingum.

Hér er skortur á gagnsæi varðandi verklag um eftirlit með þeim sem þiggja aðstoð frá félagslega kerfinu. Auk þess verður markmiðið líka að vera skýrt. Eftirlit með fólki er ávallt inngrip í líf fólks og ef grípa á inn í mannréttindi einstaklinga þarf að vera til staðar skýr lagagrundvöllur. Reglur þarf að setja varðandi hvernig starfsfólk á að haga umræddu eftirliti og auk þess þarf verklagið að vera skýrt og aðgengilegt þeim sem það beinist að. Ef þessir varnaglar eru ekki staðar er hætta á geðþóttaákvörðunum og að gengið sé of langt í að brjóta á réttindum einstaklinga.

Frétt Fagbladets um málið í Billund má finna hér.

Úrskurð Persónuverndar nr. 2015/612 má nálgast í heild sinni hér.

Mynd: “The state is watching” by Nick in exsilio is licensed under CC BY-NC-SA 2.0


Höfundur: Olga Margrét Cilia, ráðgjafi future404
olga@future404.is

Sameiginlegir ábyrgðaraðilar

Sameiginlegir ábyrgðaraðilar

Samkvæmt niðurstöðu Evrópudómstólsins frá 5. júní 2018 bera stjórnendur Facebook “like” síðna sameiginlega ábyrgð með Facebook vegna söfnunar og notkunar persónuupplýsinga á samfélagsmiðlinum. Þessi ákvörðun hefur bein áhrif á þau fyrirtæki sem halda úti “like” síðum á Facebook og getur einnig haft afleiðingar fyrir þá einstaklinga sem halda úti slíkum síðum.

Samkvæmt Evrópudómstólnum þá geta stjórnendur “like” síðna fengið aðgang að miklu magni af tölfræðiupplýsingum um þá sem heimsækja síðurnar, í gegnum “Facebook Insights”. Facebook safnar þessum upplýsingum í gegnum kökur (e. cookies) sem eru geymdar í tæki notanda í tvö ár. Stjórnendurnir geta svo notað þessar upplýsingar til þess að búa til persónusnið yfir þá markhópa sem þau vilja ná til.

Það var álit Evrópudómstólsins að vegna möguleikans fyrir stjórnenda “like” síðu að taka ákvörðun um tilgang vinnslunnar og hvernig upplýsingarnar eru unnar og notaðar, bæru stjórnendur slíkra síðna og Facebook sameiginlega ábyrgð á meðför persónuupplýsinganna.

Einnig tók dómstóllinn það fram að ekki væri um að ræða jafna ábyrgð Facebook og síðustjórnenda í öllum tilvikum og færi það eftir hvers konar síðu væri um að ræða og hvernig upplýsingar um notendur væru notaðar.

Dómurinn á ekki einvörðungu við um Facebook heldur er um að ræða grundvallarákvörðun um skyldur ábyrgðaraðila og umfang sameiginlegrar ábyrgðar. Niðurstaðan getur þannig átt við annars konar miðla og þjónustur og þarf að meta hvar ábyrgðin liggur í hverju tilviki fyrir sig.

Hér má nálgast álit Evrópudómstólsins

Réttur barna til friðhelgi einkalífs

Réttur barna til friðhelgi einkalífs

Forúrskurður Evrópudómstólsins í máli Google Spain lagði grundvöllinn að því að rétturinn til að gleymast var skráður sem hluti af evrópsku persónuverndarlöggjöfinni. Það fól ekki í sér að það ætti að eyða upplýsingunum beint, heldur að koma í veg fyrir að upplýsingarnar birtust í leitarniðurstöðum leitarvéla fyrirtækisins. Telja verður að þetta sé mjög mikilvægur réttur í ljósi þess magns af persónuupplýsingum sem ratar á Internetið sérstaklega í ljósi mikillar notkun samfélagsmiðla. Bæði getur verið um að ræða upplýsingar sem einstaklingar setja sjálfviljugir á Internetið en einnig upplýsingar sem þangað hafa verið settar af þriðju aðilum.

Rétturinn til að gleymast einna mikilvægastur fyrir einstaklinga sem deila upplýsingum um sig sem börn, eða sem er deilt um þau af þriðja aðila. Foreldrar setja inn myndir og upplýsingar um börn sín á samfélagsmiðla, sem getur verið góð leið til þess að leyfa fjölskyldumeðlum og vinum að fylgjast með uppvexti barnanna. Foreldrar átta sig hins vegar ekki alltaf á hvaða langtímaáhrif það getur haft að deila slíkum upplýsingum á Internetið. Oft er um að ræða myndir af börnum þar sem þau eru sofandi, í skólanum eða upplýsingar um hvernig verið er að taka á hegðunarvandmálum þeirra.

Rétturinn til að gleymast er mikilvægur fyrir sjálfsákvörðunarrétt einstaklinga og gott er að hafa í huga að börn eiga einnig rétt til friðhelgi einkalífs.

Alþingi ekki undanskilið

Alþingi ekki undanskilið

Persónuvernd fær alveg nokkur rokkstig í þessu máli! Þegar nýju persónuverndarlögin tóku gildi var ákveðið að undanskilja Alþingi frá gildissviði laganna – allt til að gæta vel að þrískiptingu valdsins.

Í þessu máli, sem fjallar um birtingu upplýsinga um fyrrum þingmann á vef Alþingis, tekur Persónuvernd þá afstöðu að Alþingi sé ekki undanskilið gildissviði laganna nema þegar það fer með lögformlegt hlutverk sitt skv. stjórnarskrá og því falli þessi tiltekna vinnsla Alþingis undir persónuverndarlögin sem og valdsvið Persónuverndar. Auðvitað ætti þetta að vera svona og eiga við um upplýsingalögin líka!

Réttindi einstaklinga rokka!

Hér má nálgast úrskurð Persónuverndar .