Samfélagið hefur gengið í gegnum gríðarmiklar breytingar á síðastliðnum áratugum í kjölfar tæknibyltingar Netsins og alls sem það hefur í för með sér. Þessi öra tækniþróun hefur vafalaust aukið lífsgæði hins almenna borgara, en aðgengi að hvers kyns upplýsingum hefur stóraukist, hús og bílar verða í náinni framtíð „sjálfvirk“ auk þess sem samskipti og verslun heimshorna á milli er á færi hvers einstaklings.
Sá galli er hins vegar á gjöf Njarðar að þróun undanfarinna ára hefur leitt til þess að nýjar hættur og ógnir steðja að vinnslu og meðferð persónuupplýsinga. Snjalltækjanotkun einstaklinga hefur veitt fyrirtækjum tækifæri til að safna upplýsingum um einstaklinga í þeim mæli sem áður hefði talist óhugsandi. Með mikilli aukningu í interneti allra hluta (e. Internet of Things) mun þetta umfang aukast enn frekar þegar tæki á borð við brauðristir, ísskápa og bifreiðar tengjast í æ meira mæli við Netið. Sem dæmi um þessa gríðarlegu upplýsingasöfnun má nefna að samkvæmt áætlunum munu sjálfkeyrandi bílar geta búið til allt að 100 gígabæt af gögnum á sekúndu.
Hvort sem það er líkamsrækt og heilsuúr, Netflix og sjónvarpsáhorf eða einfalt netvafur þá skilja einstaklingar eftir sig slóð sem hægt er að nýta til að kortleggja og jafnvel hafa áhrif á hegðun þeirra. Í söfnun og vinnslu þessara upplýsinga felast stórar áskoranir og hættur fyrir friðhelgi einkalífs einstaklinga. Af auknum málafjölda Persónuverndar á síðustu árum má sjá að ákveðin vitundarvakning hefur átt sér stað, en ljóst er að mikilvægi persónuverndar mun aukast gríðarlega á komandi árum og áratugum.
Verðmæti gríðargagna
Því meiri upplýsingum sem fyrirtæki safna um notendur sína og notkun þeirra á sínum vörum, því meiri möguleika hafa fyrirtækin til að betrumbæta sína eigin vöru. Til skýringa má benda á að þær upplýsingar sem bílar Tesla afla um akstur veita félaginu færi á að bæta sjálfkeyrslumöguleika bílanna. Upplýsingasöfnunin og verðmæti upplýsinganna er stór þáttur í því að Tesla, sem seldi um það bil 25.000 bíla á fyrsta ársfjórðungi 2017, er nú talið verðmætara en General Motors, sem framleiddi um það bil 2,3 milljónir bíla á sama tímabili.
Á sama tíma og magn þeirra upplýsinga sem safnað er um einstaklinga eykst verulega verð ur verðmæti þessara sömu gagna meira. Ástæða þessarar aukningar á verðmæti upplýsinga er að hluta til breytt notagildi upplýsinganna. Í upphafi nýttu fyrirtækin gögnin nær eingöngu til að beina auglýsingum að einstaklingum en á síðari árum hafa gögnin í auknum mæli verið nýtt m.a. til þróunar gervigreindar, t.d. andlitsgreiningarhugbúnaðar.
Þessir möguleikar fyrirtækja til að skapa verðmæti úr upplýsingum er hvati fyrir fyrirtæki að safna sem mestum upplýsingum frá notendum. Jafnframt njóta fyrirtækin með stærstu gagnabankana og fjölmennasta notendahópinn því mikils samkeppnisforskots á önnur fyrirtæki sem ætla að reyna að hasla sér völl. Í dæmaskyni má nefna að möguleikar nýrra samfélagsmiðla til að ná útbreiðslu eru afar takmarkaðir, annars vegar vegna möguleika Facebook til að betrumbæta sína vöru á grundvelli þeirra upplýsinga sem fyrirtækið hefur þegar safnað og hins vegar vegna þeirra samlegðar áhrifa sem fjöldi notenda Facebook veitir fyrirtækinu, m.ö.o – allir eru á Facebook, ég vil ekki vera sá eini á öðrum samfélagsmiðli. Þetta má einna helst sjá í því að á undanförnum árum hefur orðið töluverð sam þjöppun á helstu tæknimörkuðum þar sem fáir stórir aðilar keppa sín á milli, sem dæmi má nefna snjallsímamarkaðinn þar sem Apple og Samsung gnæfa yfir keppinautana og markaður fyrir stýrikerfi er einokaður af Microsoft og Apple.
Óljóst endurgjald fyrir persónuupplýsingar
Notendur hafa á síðustu árum getað gengið að fjölbreyttri þjónustu á Netinu án þess að þurfa að greiða sérstaklega fyrir hana. Í stað þess hafa þeir látið af hendi persónuupplýsingar um sig sem fyrirtækin hafa nýtt sér. Með þessu móti hafa risastór tæknifyrirtæki á borð við Alphabet (móðurfélag Google), Apple og Facebook drukkið úr Mímisbrunninum án þess að gefa annað auga sitt fyrir.
Á tímum flókinna notendaskilmála sem spanna jafnvel tugi blað síðna má þó færa rök fyrir því að einstaklingarnir geri sér ekki fyllilega grein fyrir því hvernig og hvaða upplýsingum um þá sé safnað og í hvaða tilgangi.
Auk þess er erfitt fyrir einstaklinga að henda reiður á hversu mikil verðmæti eru fólgin í þeim persónuupplýsingum sem þeir láta af hendi. Hingað til hafa fyrirtæki að mestu sjálf staðið vörð um þær persónuupplýsingar sem þau hafa safnað, bæði vegna ákvæða persónuverndarlaga og af þeirri ástæðu að gögnin gætu nýst keppninautum við vöru þróun eins og vikið var að hér að framan. Enginn skipulagður markaður hefur því myndast fyrir persónuupplýsingar og því erfitt fyrir einstaklinga að meta hvort þjónustan sem þeir fá í staðinn sé af sambærilegu verðmæti og persónuupplýsingarnar.
Á síðustu árum hefur söfnun persónuupplýsinga um einstaklinga því stóraukist án þess að allir geri sér grein fyrir umfangi upplýsingasöfnunarinnar, í hvaða tilgangi hún fari fram eða hvaða verðmæti eru fólgin í þeim upplýsingum sem einstaklingar samþykkja að veita í stað þeirrar þjónustu sem þeir fá í staðinn.
Breytingar í farvatninu
Þann 25. maí 2018 mun ný reglugerð taka gildi innan Evrópska efnahagssvæðisins. Um er að ræða umfangsmestu breytingar sem gerðar hafa verið á persónuverndarlöggjöfinni í tvo áratugi. Meðal þeirra breytinga sem mun leiða af nýrri reglugerð eru að aukið vald er fært til einstaklinga til að ráða yfir þeirra eigin persónuupplýsingum.
Reglugerðin mælir fyrir um að auknar kröfur verða lagðar á fyrirtæki að vera með auðskiljanlega, að gengilega og skýra persónuverndarstefnu. Með öðrum orðum þurfa einstaklingar að geta áttað sig á með einföldum hætti hvaða vinnsla upplýsinga mun fara fram um þá til að þeir geti tekið upplýsta ákvörð um um það hvort þeir samþykki vinnsluna.
Auk þess gerir ný reglugerð ráð fyrir að einstaklingar njóti þeirra réttinda að geta flutt eigin gögn á milli mismunandi þjónustuveitenda. Einstaklingar geta því fært, afritað eða miðlað sínum upplýsingum með auðveldum hætti frá einum þjónustuveitanda til annars, en með því aukast möguleikar hans verulega á að afla sér betri kjara.
Reglugerðin mun því annars vegar tryggja einstaklingum aðgang að þeim upplýsingum sem fyrirtæki vinna um þá og hins vegar tryggja þeim réttinn til þess að taka þær upplýsingar og afhenda þær fyrirtæki að þeirra eigin vali, þ.e. rétturinn til hreyfanleika gagna.
Reglugerðin gæti veitt smærri fyrirtækjum möguleika á að hasla sér völl þar sem markaðurinn er nú fullmettaður. Eins og vikið var að hér að framan þá njóta stærri fyrirtæki ákveðins samkeppnisforskots í krafti stærðar sinnar, og neytendum sniðinn þröngur stakkur við val á þjónustuveitendum. Réttur einstaklinga til að flytja persónuupplýsingar sínar, t.d. til nýs samfélagsmiðils, gæti skapað fyrirtækjum hvata til að boða ábyrga eða takmarkaðri vinnslu persónuupplýsinga um notendur sína til að laða að fleiri notendur. Slíkt gæti aukið verulega möguleika nýrra samfélagsmiðla til að ná markaðshlutdeild á markaði sem hefur orðið samþjappaðri á síðari árum. Einstaklingar geta því yfirgefið fyrirtæki þar sem söfnun og meðferð persónuupplýsinga er þeim ekki að skapi eða í krafti fjöldans krafið fyrirtækin um ábyrgari vinnslu persónuupplýsinga.
Ómögulegt er að segja fyrirfram hver áhrif reglugerðarinnar verða í raun og veru, en ef framangreint gengur eftir munu nýjar reglur um persónuvernd leiða til lægri aðgangshindrana á markað og aukinnar samkeppni milli þjónustuveitenda.
Höfundur er lögfræðingur hjá Persónuvernd.
