Ferill 520. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.

---

152. löggjafarþing 2021–2022.
Þingskjal 980  —  520. mál.

Svar

dómsmálaráðherra við fyrirspurn frá Diljá Mist Einarsdóttur um njósnaauglýsingar.

     1.      Hvaða persónuverndarreglur gilda um netauglýsingar sem byggjast á persónusniði og eftirliti með notendum, svonefndar njósnaauglýsingar?
    Dómsmálaráðuneytið óskaði eftir upplýsingum frá Persónuvernd varðandi svar við fyrirspurninni. Í svari stofnunarinnar kemur fram að við alla notkun persónusniða, óháð því í hvaða tilgangi notkunin er, þurfi að fullnægja ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679 (persónuverndarreglugerðin). Samkvæmt 10. tölul. 3. gr. laga nr. 90/2018 nái gerð persónusniðs til hvers kyns sjálfvirkrar vinnslu persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika, sbr. einnig 4. tölul. 4. gr. persónuverndarreglugerðarinnar.
    Í svari Persónuverndar kemur jafnframt fram að vefkaka sé lítil textaskrá, sem er vistuð í tölvu eða í öðru snjalltæki þegar notandi heimsækir vefsíðu í fyrsta sinn. Í 30. lið formálsorða persónuverndarreglugerðarinnar sé tekið fram að vefkökur geti skilið eftir spor sem hægt sé að nota til að útbúa persónusnið um einstaklinga, einkum þegar sporunum er bætt við önnur auðkenni og aðrar upplýsingar sem berast netþjónum. Svo að vinnsla persónuupplýsinga sé heimil þurfi hún ávallt að falla undir einhverja þeirra heimilda sem taldar séu upp í 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
    Þá tekur Persónuvernd fram í svari sínu að sú vinnsla sem felst í því að útbúa persónusnið um einstaklinga á grundvelli upplýsinga sem aflað hefur verið með vefköku, sem og þegar persónusnið eru útbúin á samfélagsmiðlum, hafi verið talin geta stuðst við 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða vegi þyngra. Þá geti vinnslan verið heimil á grundvelli 1. tölul. 9. gr. laganna um að vinna megi með persónuupplýsingar á grundvelli samþykkis hins skráða, sbr. a-lið 1. mgr. 6. gr. reglugerðarinnar.
    Sé unnið með viðkvæmar persónuupplýsingar nægi ekki heimild skv. 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðarinnar, heldur þurfi einnig að vera fullnægt einhverri af viðbótarkröfunum skv. 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Þegar unnið sé með upplýsingar sem leiddar séu af virkni notenda á samfélagsmiðlum og hegðun þeirra á Netinu, svo sem um það sem þeir hafa líkað við á samfélagsmiðli eða flett upp í leitarvél, í því skyni að beina auglýsingum til þeirra, geti slíkar afleiddar persónuupplýsingar veitt vísbendingu um t.d. stjórnmálaskoðun eða kynhneigð, sem teljist viðkvæmar samkvæmt lögunum. Komi þá einkum til greina 1. tölul. lagaákvæðisins, þess efnis að vinna megi með viðkvæmar persónuupplýsingar hafi hinn skráði veitt afdráttarlaust samþykki sitt fyrir vinnslunni, sbr. einnig a-lið reglugerðarákvæðisins.
    Persónuvernd tilgreinir einnig í svari sínu að auk heimildar samkvæmt framangreindu þurfi vinnsla sem felst í því að útbúa persónusnið um einstaklinga að fullnægja 5. gr. reglugerðar (ESB) 2016/679, þar á meðal um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða. Hin almenna gagnsæisregla feli í sér ríka fræðsluskyldu ábyrgðaraðila til hins skráða til að gera honum kleift að gæta réttar síns og standa vörð um eigin hagsmuni. Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 eigi skráður einstaklingur rétt til upplýsinga um vinnslu persónuupplýsinga hans, hvort sem persónuupplýsinganna er aflað hjá honum sjálfum eða ekki, samkvæmt nánari fyrirmælum 13. og 14. gr. reglugerðar (ESB) 2016/679. Í 13. gr. reglugerðarinnar sé kveðið á um að þegar persónuupplýsinga sé aflað hjá hinum skráða skuli meðal annars veita honum upplýsingar um tilganginn með fyrirhugaðri vinnslu, lagagrundvöll vinnslunnar og hvaða lögmætu hagsmuni ábyrgðaraðili eða þriðji maður gæti, ef við á. Í leiðbeiningum 29. gr. vinnuhóps Evrópusambandsins, sem leystur hefur verið af hólmi með tilkomu Evrópska persónuverndarráðsins sem Ísland á sæti í, segi að birta þurfi á vefsíðum sem nota vefkökur skýra og tæmandi stefnu um notkun á vefkökum. Lagt sé til að í vefkökuborða komi fram í hvaða tilgangi sé notast við vefkökur á síðunni en svo sé hægt að birta tengil á frekari fræðslu þar sem meðal annars skuli koma fram í hvaða tilgangi vefkökur séu notaðar og hvort þriðju aðilar fái aðgang að þeim.

     2.      Hyggst ráðherra tryggja betur réttindi einstaklinga með tilliti til þessara svonefndu njósnaauglýsinga?
    Ekki liggur fyrir ákvörðun af hálfu ráðherra um að leggja til breytingar á ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, í tengslum við gerð persónusniðs. Rétt er að nefna að ein af mikilvægustu leiðunum til að tryggja réttindi einstaklinga við vinnslu persónuupplýsina, þar á meðal við gerð og notkun persónusniðs, er að fyrirtæki fari eftir þeim reglum sem gilda um málefnið. Þá er jafnframt mikilvægt að eftirlitsstofnanir viðhafi skilvirkt eftirlit með því að lögunum sé framfylgt. Hér á landi fer Persónuvernd með það hlutverk að hafa eftirlit með framkvæmd laga nr. 90/2018. um persónuvernd og vinnslu persónuupplýsinga. og reglugerðar (ESB) 2016/679. Persónuvernd og dómsmálaráðuneytið fylgjast grannt með þróun mála á þessu sviði, úrlausnum annarra persónuverndarstofnana og dómaframkvæmd sem geta haft áhrif hér á land auk þróunar á breytingum á regluverki á vettvangi EES, svo sem breytingum á persónuverndarreglugerð ESB.