Það virðist stundum vefjast fyrir mönnum hvaða reglur og lög gilda um hýsingu/vistun opinberra gagna stjórnvalda í svokölluðu skýi. Opinber skjöl eru ekki öll aðgengileg almenningi, þau eru öll þau gögn sem myndast við starfsemi stjórnvalda hvort heldur trúnaðargögn eða gögn sem eru aðgengileg án takmarkana, óháð áritunarformi. Um vörslu gagnanna/skjalanna gilda lög um opinber skjalasöfn nr. 77/2014.
Svokölluð „ský“ (á ensku „cloud“) til vistunar skjala eða skjalasafna hins opinbera eru annmörkum háð og koma ekki til greina á erlendri grundu. Þar koma til ýmsir þættir sem erfitt er að festa við ábyrgð eins þjónustusala með samningi, gögnin eru jafnvel varðveitt hjá öðrum (undirverktökum) að nokkru í ýmsum lögsagnarumdæmum ólíkra landa. Því er vandkvæðum bundið að halda tilteknum lögpersónum við þá ábyrgð sem nauðsynlegt er að sé á vörslu skjala/gagna miðað við opinberar skyldur við vörslu þeirra.
Framsal þeirrar ábyrgðar er takmarkað, forstöðumaður má aðeins afsala sér skjalavörsluábyrgð með afhendingu gagna/skjala til opinbers skjalasafns.
Framsal á skjalavörsluskyldum forstöðumanna verður að vera skv. lögum. Hætt er við að lögbundið eftirlit með vörslu og umsýslu stjórnvalda á skjölum verði torveldað mjög og jafnvel gert óhugsandi með þjónustukaupum sem fela í sér vistun opinberra gagna í skýi. Að öllu samanlögðu sem hér segir virðist ekki heimilt, miðað við lög, reglur og gott stjórnsýslusiðferði, að viðhöfð sé skýjavistun rafrænna gagna af hálfu stjórnsýslu og stofnana hins opinbera sem aðkeypt þjónusta.
Ský – skilgreining og markmið
Ský (enska: Cloud) er orð sem notað er í auglýsingaskyni við markaðssetningu tiltekinnar þjónustu og mun fyrst hafa verið notað sem slíkt af Amazon.com árið 2006. Um er að ræða tölvuþjónustukaup yfir net þar sem keypt eru afnot af hýsingu gagna, netþjónum, forritum og þjónustu. Hýsing getur t.d. farið fram í stórum samtengdum gagnaverum. Öryggisafritum er að jafnaði komið fyrir á fleiri en einum stað. Í stað hefðbundinnar fjárfestingar í búnaði er um þjónustukaup að ræða. Stofnunin Free Software Foundation Europe gengur svo langt á vefsíðu sinni að segja „There is no cloud, just other people‘s computers“ (Ekkert ský er til, aðeins annarra manna tölvur) og í því felst kjarni málsins.
Ástæða þess að taka upp þjónustu af þessu tagi er fjárhagslegur sparnaður, en það þarfnast þó nánari athugunar þar sem fleira er í húfi hjá opinberum stjórnvöldum. Hætt er við að sá sparnaður sem horft yrði til við kaup stjórnvalda á hýsingarþjónustu fremur en að takast hýsinguna á hendur sjálf kynni jafnvel, þegar upp er staðið, að skila sér í meiri kostnaði með þeim vandkvæðum sem slík kaup hefðu í för með sér.
Skjalavörsluábyrgð og eftirlitsskylda
Vert er að rifja upp þann þátt í skjalavörslu sveitarfélaga sem opinberum skjalasöfnum er ætlað að sinna skv. lögum. Miðað er við að öll skjöl sveitarfélags rati í vörslu héraðsskjalasafns þegar þau eru 30 ára eða fyrr eftir atvikum, og þá einkum þegar stofnun, nefnd, ráð eða starfseining er lögð niður. Aðgengi almennings að skjölum hins opinbera er skv. upplýsingalögum nr. 140/2012 í 30 ár, en fer að lögum um opinber skjalasöfn nr. 77/2014 eftir það. Aðgengistakmarkanir gilda um skjölin skv. þessum lögum og lögum um persónuvernd nr. 77/2000 o.fl. eftir atvikum. Vegna vörsluhlutverks héraðsskjalasafna færist ábyrgðin á aðgengi að skjölunum til þeirra með afhendingu opinberra skjala. Af þessum sökum er eftirlit með skjalahaldi sveitarfélaga í höndum viðeigandi héraðsskjalasafna skv. lögum. Þar er litið til efnislegrar varðveislu þ.e. skráningar, umbúða og geymsluaðstæðna en einnig til upplýsingaöryggis. Verði misbrestur á varðveislu skjala hjá stjórnvaldi þannig að um tjón er að ræða eða upplýsingaleka á trúnaðargögnum verður viðeigandi héraðsskjalasafn að fá vitneskju um það sem eftirlitsstofnun og skýrist það af þeirri ábyrgð sem það verður að takast á hendur sem vörslustofnun skjalanna síðar.
Í lögum um opinber skjalasöfn nr. 77/2014 er kveðið á um eftirlitsskyldu opinberra skjalasafna með skjalavörslu og skjalahaldi (skjalastjórn) stjórnvalda. Héraðsskjalasafn sveitarfélags/sveitarfélaga fer með þetta eftirlit í sínu umdæmi.
Ábyrgðarákvæði íslenskra laga um skjalasöfn stjórnvalda eru í 22. grein laga nr. 77/2014. Í þeim felst að sá sem ber ábyrgð á skjalavörslu afhendingarskyldra stjórnvalda og stofnana þ.e. hlutaðeigandi forstöðumaður skuli tryggja skjöl fyrir ólöglegri eyðileggingu, breytingu og óleyfilegum aðgangi. Þannig er skýrt að forstöðumaður ber skjalavörsluábyrgð skv. lögum. Á þeim grundvelli er ætlast til þess af hálfu opinberra skjalasafna að skjalasöfnum í stjórnsýslu og stofnunum sé haldið í sundur í samræmi við þá ábyrgð og því fylgir að vald forstöðumanna yfir skjalahaldi því er þeir eru ábyrgir fyrir sé óskorað á grundvelli 22. greinar laga nr. 77/2014. Skjöl ólíkra skjalamyndara eiga ekki að blandast saman yfir valdmörk eftir geðþótta starfsmanna eða vegna hentugleika í skrifstofurekstri.
Allt aðgengi að trúnaðargögnum og aðgengistakmörkuðum gögnum verður að skrá af nákvæmni og verður að vera alfarið í höndum þess stjórnvalds sem lög kveða á um og á forræði þess forstöðumanns sem fer með skjalavörsluábyrgð skv. 22. grein laga nr. 77/2014. Hliðsjón verður að hafa af áliti Persónuverndar 22. september 2015 um vinnslu og öryggi persónuupplýsinga í vefkerfinu Mentor með vísun til 6. tölul. 3. mgr. 37. gr. laga nr. 77/2000 í máli nr. 2015/1203. Þar er og vísað til laga nr. 77/2014 um opinber skjalasöfn en ekki farið út í túlkun þeirra.
Opinber skjalavörsluábyrgð og öryggisþættir gagnvart vistun í skýi
Við hýsingu skjala utan opinberrar stofnunar og á ábyrgð annars en þess sem fer með ábyrgð á skjalavörslu að lögum er um framsal á skjalavörsluábyrgð að ræða. Ekki er framsalsheimild á henni í lögum nema til opinbers skjalasafns. Slík ráðstöfun kann að fela í sér afsal á möguleikum til þess að axla lögbundna ábyrgð forstöðumanns í þessu tilliti. Slíkt kann að hafa eftirmál í för með sér og örugglega komi eitthvað upp á. Starfsmaður forstöðumannsins getur sinnt vörslunni í umboði yfirmanns síns, en framsal út fyrir stofnunina er ekki heimilað. Þegar rafræn gögn eru komin í hendur hýsingarfyrirtækis á það í reynd allskostar við viðskiptavininn hvað varðar hverskonar ráðstöfun þeirra. Sjálfstæði stjórnvaldsins er þá í uppnámi því raunverulegt forræði gagnanna er á annarri hendi.
Skýjaþjónusta sem felur í sér hýsingu rafrænna gagna á erlendri grundu er talin óhugsandi hjá sænskum stjórnvöldum. Í upplýsingariti frá Almannavörnum sænska ríkisins (Myndigheten för samhälsskydd och beredskap), Vägledning-informationssäkerhet i upphandling. Informationssäkerhet i upphandling av system, outsourcing och molntjänster, (Leiðarvísir-upplýsingaöryggi í innkaupum. Upplýsingaöryggi í innkaupum á kerfum, útvistun og skýþjónustu) útgefnu í apríl 2013, má glöggva sig á sænsku kröfunum.
Slík vistun eða hýsing gagna er einnig útilokuð hjá norskum stjórnvöldum skv. yfirlýsingu ríkisskjalavarðar Noregs 29. september 2014 (Riksarkivaren seier nei til skyarkivering i utlandet). Ríkisskjalasafn Noregs hefur og sent frá sér hugleiðinguna Skjalalögin og skýjaþjónusta – öryggi eða hindrun? (Arkivloven og skytjenester – sikring eller hindring? ).
Ákvæði norsku skjalalaganna um bann við útflutningi opinberra skjala vantar í íslensku lögin um opinber skjalasöfn, einu ákvæði um slíkt bann eru ákvæði laga nr. 80/2012 um menningarminjar (sem áður voru í þjóðminjalögum skv. lögum nr. 60/1996) og laga nr. 57/2011 um skil menningarverðmæta til annarra landa og ná þau til skjalasafna eldri en 50 ára.
Þarna koma til öryggishagsmunir sem varða grundvallarsjálfstæði þeirra stofnana og sveitarfélags sem í hlut eiga, og hvað ríkið snertir fullveldis-/sjálfstæðismál. Lagaumhverfi er annað í öðrum löndum, lög um opinbera skjalavörslu, stjórnsýslu, opinberar upplýsingar og persónuvernd eru þar með ýmsum hætti og horfa þá öðruvísi við gagnvart erlendum stjórnvöldum en innlendum.
Stjórnvald í öðru landi sem þjónustukaupandi á erlendri grundu fær aðeins almenna neytendavernd við þau kaup. Sama hlýtur að gilda um íslensk stjórnvöld og sænsk í þessu tilliti. Frá þessu sjónarhorni er lögbundin vörsluábyrgð og trúnaðarskyldur í uppnámi séu gögn íslensks sveitarfélags í vörslu fyrirtækja á erlendri grundu.
Má þessu til stuðnings einnig vísa til uppljóstrana Edward Snowdens um víðtækar njósnir um rafræn gögn. Einnig má benda á mál austurríska laganemans Max Schrems gegn Facebook Ireland Ltd. sem dæmt var í árið 2015 (Mál C-362/14 fyrir Evrópudómstólnum) og snerist um hýsingu gagna og lögsögu ríkja.
Efnahagsþáttur hýsingar kann að fela í sér öryggisbresti. Lendi hýsingarfyrirtækið í gjaldþroti getur reynst torvelt að endurheimta gögn og tryggja öryggi þeirra, og ábyrgð á þeim verður í uppnámi, erfitt er að meta stöðugleika fyrirtækja að þessu leyti. Gildandi gjaldskrá hýsingarfyrirtækis getur tekið breytingum sem er einnig áhættuþáttur. Sé hýsingaraðili erlendis er kostnaður í erlendum gjaldeyri, það felur í sér áhættu. Niðurhal erlendis frá kostar einnig nokkra fjármuni, þannig að upp kemur sú staða að í reynd er tekinn aðgangseyrir að skjölunum. Aðgengi að erlendri skýjavistun er háð netsambandi við Ísland sem er háð sæstrengjum.
Komi eitthvað upp á við vörslu gagna í skýi þar sem gagnaver eru erlendis kann málarekstur vegna misbrestanna að reynast torveldur. Nefna má t.d. hryðjuverk, aðgangsbrot, skemmdarverk og því um líkt. Jafnframt er torvelt að halda uppi viðunandi eftirliti með slíkri vörsluaðferð, en eftirlit felur í sér að sannreyna vörslustað gagna og skjala og aðbúnað þar og öryggisráðstafanir, ekki einvörðungu að fá svör við spurningum, tilvísun til staðla o.s.frv. Þetta varðar einnig skjalavörsluábyrgð forstöðumanna.
Eftirlitshlutverkið er sem fyrr segir skv. íslenskum lögum hjá opinberu skjalasafni hvað skjalavörslu og skjalahald varðar og að auki hjá persónuvernd þar sem það á við.
Afstaða sérfræðinga víða um heim er mjög á eina lund:
Hér má sjá umfjöllun kanadísk-ítalska skjalavarðarins Dr. Luciönu Duranti um þetta efni.
Hér má sjá ummæli fransks lögfræðings um þetta efni í frönsku heimildarmyndinni Les gardiens de la mémoire frá 2013 eftir Quentin Domart (á mínútu 27:30)
Umfjöllun bandaríska lögfræðingsins Richard T. Holland: „Public Records, Electronic Documents
and Traps for the Unwary“ í Municipal Advocate Magazine 2012 Vol. 27 Nr. 3.
H.S.