Þann 25. maí 2018 kom ný reglugerð um persónuvernd einstaklinga (GDPR) til framkvæmda innan Evrópusambandsins og leysti af hólmi eldri tilskipun um sama efni. Í kjölfarið samþykkti Alþingi ný persónuverndarlög, lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, þann 27. júní 2018.

Þessar lagabreytingar vöktu mikla eftirtekt og umtal hér á landi og þá helst auknar sektarheimildir vegna brota á lögunum. Mýmörg námskeið hafa verið haldin í tilefni af innleiðingu nýrra reglna, bæði fyrir opinbera starfsmenn og almennan vinnumarkað.Vafalaust hefur vitund um tilvist persónuverndarreglna aukist undanfarin misseri.

Þrátt fyrir umfangsmikla kynningu á gildissviði og efni reglnanna bendir reynsla mín af framkvæmd upplýsingamála hins vegar til þess að langflestir hafi í raun bara dregið þríþættan lærdóm af innleiðingarferlinu:Það eru til reglur um persónuvernd. Reglurnar banna hitt og þetta í tengslum við persónuupplýsingar. Það má alls ekki brjóta reglurnar því þá geta komið til sektargreiðslur.

Afleiðing þessa er að persónuvernd, persónuverndarlög og GDPR-reglugerð ESB eru orðin að hálfgerðri grýlu í umræðu um ýmis samfélagsleg málefni. Öfgakenndustu dæmin birtast þegar fólk heldur jafnvel að hinar nýju reglur feli í sér að alls ekki megi vinna með persónuupplýsingar á nokkurn hátt.

Þannig hefur t.d. heyrst af því að starfsfólk grunnskóla hafi hætt að taka bekkjarmyndir af börnunum með vísan til persónuverndar. Þá er algengt að opinberar stofnanir telji sér ófært að veita aðgang að gögnum með vísan til persónuverndarreglna. Fæstir geta þó vísað til einhverra tiltekinna ákvæða í persónuverndarlögum sem raunverulega banna þessa hluti.

Staðreyndin er sú að persónuverndarlög gera beinlínis ráð fyrir því og heimila að unnið sé með persónuupplýsingar á ýmsan hátt. Lykilatriðin eru að til staðar sé heimild til að vinna með þær og að vinnslan eigi sér málefnalegan tilgang. Í langflestum tilvikum eru þessi atriði í góðu lagi.

Við þurfum því að tileinka okkur gagnrýna hugsun þegar kemur að persónuvernd. Næst þegar einhver heldur því fram að eitthvað sé „bannað samkvæmt persónuverndarlögum“ er tilvalið að spyrja á móti: Hvaða ákvæði er það þá helst í lögunum sem bannar það?