Nýlegur dómur Hæsta­réttar Banda­ríkj­anna sem gerir ríkjum lands­ins kleift að banna alfarið þung­un­ar­rof  hefur varla farið fram hjá nein­um. Í kjöl­farið hefur farið af stað ákveðin her­ferð sem hvetur not­endur svo­kall­aðra tíða­hringsappa til að eyða þeim, þar sem mögu­legt sé að nota gögn sem skráð eru í app­inu sem sönn­un­ar­gögn gegn not­endum sem eru ákærðir fyrir að hafa farið í ólög­legt þung­un­ar­rof. Tugir millj­óna nota í dag slík öpp, t.d. Flo og Clue, til að fylgj­ast með tíða­hring sín­um.

En getur það stað­ist að banda­rísk yfir­völd geti notað gögn sem við í sak­leysi okkar og skjóli frið­helgi einka­lífs­ins setjum inn í tíða­hringsappið okk­ar? Ætt­irðu kannski bara að eyða tíða­hringsapp­inu þínu?

Stutta svarið er: Já, kannski ætt­irðu bara að eyða því.

Langa svarið er: Það er engin hætta á því að ein­hver sem býr í Evr­ópu og sækir sér aðstoð vegna óvel­kom­innar þung­unar í Evr­ópu þurfi að eyða tíða­hringsapp­inu sínu vegna hættu á lög­sókn í Banda­ríkj­un­um.

Af hverju sagði ég þá að þú ættir kannski að eyða app­inu þínu? Jú, vegna þess að öpp sem við m.a. setjum upp í símunum okkar safna í lang­flestum til­vikum ótrú­legu magni upp­lýs­inga, oft gögnum sem okkur órar ekki fyrir að verið sé að safna. Þótt okkur langi til að trúa því að gögnin séu örugg í skjóli apps­ins þá ferð­ast þau mikið lengra en okkur grun­ar. Það var t.d. mjög auð­velt fyrir blaða­mann nokkurn að kaupa sér gögn, fyrir ein­ungis 160 doll­ara, um heim­sóknir á 600 stofur sem fram­kvæma þung­un­ar­rof í Banda­ríkj­un­um. Gögnin voru að hluta til rekj­an­leg til umræddra ein­stak­linga, en þau sýndu m.a. fram á  hvaðan við­kom­andi kom, hversu lengi heim­sóknin stóð yfir og hvert við­kom­andi fór að heim­sókn lok­inni.

Tíða­hringsöpp safna m.a. per­sónu­upp­lýs­ingum sem not­andi setur inn í appið sem og ýmsum tækni­legum gögn­um, t.d. nafni, fæð­ing­ar­degi, hvenær blæð­ingar hefj­ast og hætta, upp­lýs­ingum um með­göngu, lík­ams­hita, hvenær við stundum kyn­líf, hvernig tíða­blóðið lítur út, hvað við borðum og hvenær, upp­lýs­ingum um tækið sem er notað og IP-­tölu, svo eitt­hvað sé nefnt. Og hvað verður svo um þessar upp­lýs­ingar sem þú veitir app­inu, með­vitað eða ómeð­vit­að? Get­urðu treyst því að upp­lýs­ing­arnar sem þú gefur app­inu verði ein­göngu geymdar í app­inu og ekki miðlað áfram til þriðju aðila (sem þú veist ekk­ert hverjir eru)? Ja, fyrir leik­mann getur oft verið erfitt að segja til um þetta (og nán­ast ómögu­legt reynd­ar).

Við í Evr­ópu búum við ein­hverja ströng­ustu lög­gjöf sem þekk­ist þegar kemur að vernd per­sónu­upp­lýs­inga. Sam­kvæmt henni ber þeim sem búa til öpp (eins og tíða­hringsöpp) og vinna per­sónu­upp­lýs­ingar okkar að segja okkur hvernig gögnin eru not­uð. Þetta er yfir­leitt gert í gegnum nokkuð sem fæst okkar nenna að lesa og kall­ast gjarnan „pri­vacy policy“ eða „per­sónu­vernd­ar­stefna“. Þar kemur oft­ast fram með nokkuð almennum hætti hvað fyr­ir­tæki gera við gögnin þín. Vanda­málið er bara að oft getur verið erfitt að skilja lög­fræði­málið sem per­sónu­vernd­ar­stefnan er skrifuð á og stundum er ein­fald­lega erfitt að skilja hvað við er átt.

Tíða­hringsappið Flo seg­ist t.d. í sinni stefnu ekki selja neinar per­sónu­upp­lýs­ingar til þriðja aðila.  Gall­inn er bara sá að oft eru þessar per­sónu­upp­lýs­ingar alls ekki seld­ar, heldur gefn­ar. Og það getur Flo haldið áfram að gera miðað við þessa stefnu. Sem er reyndar nákvæm­lega það sem Flo varð upp­víst að því að gera: Fyr­ir­tækið lét Face­book fá (en seldi ekki) upp­lýs­ingar um hvenær not­endur voru á blæð­ingum og hvort við­kom­andi ætl­uðu sér að verða barns­haf­andi innan skamms. Þetta gildir auð­vitað ekki bara um tíða­hringsöpp, heldur öll öpp sem við not­um, þ.e. oft og tíðum safna þau ótrú­legu magni gagna og við vitum lítið sem ekk­ert um hvar þessi mjög svo við­kvæmu heilsu­fars­gögn enda. Heilsuúr eins og Fit­bit og Apple Watch hafa t.d. látið gögn af hendi til lög­gæslu­að­ila sem farið hafa fram á það.

Í ofaná­lag hafa banda­rísk stjórn­völd, eins og öll umræðan kringum Roe vs. Wade sýn­ir, rétt á því að seil­ast mjög langt inn í per­sónu­upp­lýs­ingar sem eru geymdar í Banda­ríkj­un­um. Þannig að ef tíða­hringsappið þitt geymir gögn í Banda­ríkj­unum (sem er mjög algengt, enda hafa banda­rísk stór­fyr­ir­tæki eins og Amazon og Google mark­aðs­ráð­andi stöðu þegar kemur að geymslu gagna á net­þjónum (e. ser­vers) geta banda­rísk stjórn­völd almennt gengið langt í að krefj­ast alls konar upp­lýs­inga sem er að finna í slíkum gögn­um. Þetta gildir jafn­vel þótt appið sé búið til í Evr­ópu og seg­ist ekki láta neinar upp­lýs­ingar af hendi til landa utan Evr­ópu­sam­bands­ins.

Og þó að það sé engin hætta á því að upp­lýs­ingar úr appi, sem ein­stak­lingur sem býr í Evr­ópu og hefur farið í þung­un­ar­rof í Evr­ópu not­ar, verði not­aðar sem sönn­un­ar­gögn í máli í Banda­ríkj­unum (enda ekk­ert slíkt mál fyrir hendi í þessum aðstæð­um) þá er svo sann­ar­lega ástæða til að velta því fyrir sér hvað verður um allt það mikla magn gagna sem sett eru inn í slík öpp. Þannig að svarið við spurn­ing­unni „ætt­irðu að eyða tíða­hringsapp­inu þín­u?“ er „já, kannski“. En það er ekki út af nýlegum dómi Hæsta­réttar Banda­ríkj­anna í máli Roe vs. Wade.

Höf­undur er lög­fræð­ingur og starfar sem yfir­maður per­sónu­vernd­ar­mála hjá fjöl­miðla­fyr­ir­tæk­inu Allente í Sví­þjóð.