Hægt er að sækja Word Perfect útgáfu af skjalinu, sjá
upplýsingar um uppsetningu á Netscape fyrir Word Perfect skjöl.
1989. – 1059 ár frá stofnun Alþingis.
112. löggjafarþing. –
51
. mál.
Ed.51. Frumvarp til laga
um skráningu og meðferð persónuupplýsinga.
(Lagt fyrir Alþingi á 112. löggjafarþingi 1989.)
I. KAFLI
Gildissvið laganna.
1. gr.
Lög þessi taka til hvers konar kerfisbundinnar skráningar og annarrar meðferðar á
persónuupplýsingum. Lögin eiga við hvort heldur sem skráning er vélræn eða handunnin.
Lögin taka til skráningar af hálfu atvinnurekenda, fyrirtækja, félaga, stofnana og til
skráningar á vegum opinberra aðila.
Með kerfisbundinni skráningu upplýsinga er átt við söfnun og skráningu ákveðinna
og afmarkaðra upplýsinga í skipulagsbundna heild.
Með persónuupplýsingum er átt við upplýsingar sem varða einkamálefni,
fjárhagsmálefni eða önnur málefni einstaklinga, stofnana, fyrirtækja eða annarra
lögpersóna sem sanngjarnt er og eðlilegt að leynt fari.
Ákvæði laganna eiga við um upplýsingar um einkamálefni er varða tiltekinn aðila,
þótt hann sé ekki nafngreindur, ef hann er sérgreindur með nafnnúmeri, kennitölu eða
öðru skráningarauðkenni sem unnt er að persónugreina með eða án greiningarlykils.
2. gr.
Skráning samkvæmt lögum nr. 30/1956 og skráning í þágu ættfræðirannsókna og
æviskrárrita fellur utan marka laga þessara.
II. KAFLI
Almennar reglur um heimild til skráningar.
3. gr.
Kerfisbundin skráning persónuupplýsinga, er 1. gr. tekur til, er því aðeins heimil að
skráningin sé eðlilegur þáttur í starfsemi viðkomandi aðila og taki einungis til þeirra er
tengjast starfi hans eða verksviði, svo sem viðskiptamanna, starfsmanna eða
félagsmanna.
4. gr.
Óheimilt er að skrá eftirtaldar upplýsingar er varða einkamálefni einstaklinga:
a. upplýsingar um litarhátt, kynþátt, stjórnmálaskoðanir og trúarbrögð,
b. upplýsingar um það hvort maður hafi verið grunaður, ákærður eða dæmdur fyrir
refsiverðan verknað,
c. upplýsingar um kynlíf manna og heilsuhagi, lyfja-, áfengis- og vímuefnanotkun,
d. upplýsingar um veruleg félagsleg vandamál,
e. upplýsingar um svipuð einkalífsatriði og greinir í a–d.
Skráning upplýsinga þeirra, er greinir í 1. mgr., er heimil standi til þess sérstök heimild samkvæmt öðrum lögum. Þá er skráning upplýsinga skv. 1. mgr. og heimil ef
hinn skráði hefur sjálfur látið upplýsingar í té eða upplýsinga er aflað með samþykki
hans. Það er skilyrði slíkrar skráningar að upplýsinga sé aflað við þær aðstæður að hinum
skráða geti eigi dulist að ætlunin er að skrá viðkomandi upplýsingar.
Þótt skilyrðum 2. mgr. sé eigi fullnægt getur tölvunefnd heimilað skráningu
upplýsinga þeirra er greinir í 1. mgr. ef ótvírætt er að skráningaraðila sé brýn nauðsyn
vegna starfsemi sinnar að skrá upplýsingarnar. Tölvunefnd bindur heimild til slíkrar
skráningar þeim skilyrðum sem hún metur nauðsynleg hverju sinni.
III. KAFLI
Um aðgang að skráðum upplýsingum.
5. gr.
Án sérstakrar heimildar í öðrum lögum er eigi heimilt að skýra frá upplýsingum þeim
sem nefndar eru í 1. mgr. 4. gr. nema með samþykki hins skráða eða einhvers er heimild
hefur til að skuldbinda hann.
Þrátt fyrir ákvæði 1. mgr. þessarar greinar getur tölvunefnd þó heimilað að skýra megi
frá upplýsingum þeim er greinir í 1. mgr. 4. gr. ef sýnt er fram á að brýnir
almannahagsmunir eða hagsmunir einstaklinga, þar með taldir hagsmunir hins skráða,
krefjist þess. Skal þá ótvírætt að þörfin á að fá upplýsingarnar vegi þyngra en tillitið til
þess að þeim sé haldið leyndum.
Öðrum upplýsingum, sem falla undir ákvæði laga þessara en þeim sem nefndar eru í
1. mgr. 4. gr., er því aðeins heimilt að skýra frá án samþykkis hins skráða að slík
upplýsingamiðlun sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans.
Án sérstakrar lagaheimildar er eigi heimilt að skýra frá upplýsingum um atvik sem
eldri eru en fimm ára nema sýnt sé fram á að aðgangur að upplýsingunum geti haft
úrslitaþýðingu við mat á tilteknu atriði sem upplýsingarnar tengjast.
Heimilt er að skýra frá upplýsingum ef eigi er unnt að rekja þær til ákveðinna
einstaklinga eða lögpersóna.
Samtenging skráa.
6. gr.
Eigi er heimilt að tengja saman skrár er falla undir ákvæði laga þessara nema um sé
að ræða skrár sama skráningaraðila. Með sama aðila er hér átt við sama einstakling,
fyrirtæki, félag eða stofnun hins opinbera. Með samtengingu skráa er jafnt átt við vélræna
sem handunna færslu upplýsinga milli skráa.
Þrátt fyrir ákvæði 1. mgr. er heimilt að tengja við skrá upplýsingar um nafn,
nafnnúmer, kennitölu, fyrirtækjanúmer, heimilisfang, aðsetur og póstnúmer enda þótt
slíkar upplýsingar séu sóttar í skrár annars aðila.
Tölvunefnd getur veitt undanþágu frá samtengingarbanni 1. mgr. ef fullnægt er
skilyrðum þeim, sem fram koma í 2.–4. mgr. 5. gr., um heimild tölvunefndar til að veita
aðgang að skráðum upplýsingum. Skal þá ótvírætt að þeir hagsmunir, sem ætlunin er að
vernda með samtengingunni, vegi þyngra en tillitið til hagsmuna hinna skráðu.
Tölvunefnd getur bundið heimild til samtengingar nánari skilyrðum, þar með talið
skilyrðum um það hvernig upplýsingarnar verði notaðar og að skýra beri hinum skráða
frá því að samtenging kunni að fara fram.
7. gr.
Heimilt er að veita lækni eða tannlækni, er hefur mann til læknismeðferðar,
upplýsingar úr sjúkraál sjúkrahúss eða öðrum sjúklingaskrám varðandi hinn skráða. Þá
er og heimilt, þegar læknir á í hlut, að veita upplýsingar um aðra menn, einkum
vandamenn hins skráða, þegar slíkt er talið skipta máli vegna læknismeðferðar á hinum
skráða manni.
8. gr.
Nú sýnir tiltekinn aðili fram á að honum sé þörf á ákveðnum skráðum upplýsingum,
er falla undir ákvæði laga þessara, vegna dómsmáls eða annarra slíkra laganauðsynja og
getur tölvunefnd þá heimilað að þeim er slíka hagsmuni hefur verði látnar upplýsingarnar
í té, enda sé þá ótvírætt að þörfin á því að fá upplýsingarnar vegi þyngra en tillitið til þess
að upplýsingunum verði haldið leyndum. Þetta á þó ekki við um upplýsingar sem
þagnarskylda ríkir um samkvæmt sérstökum lagaákvæðum.
IV. KAFLI
Um rétt skráðra aðila.
9. gr.
Telji aðili að persónuupplýsingar um hann séu færðar í tiltekna skrá getur hann óskað
þess við skrárhaldara að honum sé skýrt frá efni upplýsinganna. Er skylt að verða við
þeim tilmælum án ástæðulausrar tafar.
Ákvæði 1. mgr. gilda ekki ef hagsmunir hins skráða af því að fá vitneskju um efni
upplýsinga þykja eiga að víkja að nokkru eða öllu fyrir ótvíræðum almannahagsmunum
eða einkahagsmunum, þar með talið hagsmunum hins skráða sjálfs. Ef svo er háttað um
nokkurn hluta upplýsinga, en eigi aðra, skal beiðanda veitt vitneskja um þá hluta sem eigi
þykir varhugavert að skýra frá.
10. gr.
Um skyldu læknis til þess að afhenda sjúkraskrá, alla eða að hluta, sjúklingi eða
forráðamanni hans, fer eftir ákvæðum læknalaga nr. 53 frá 19. maí 1988.
11. gr.
Ákvæði 9. gr. taka ekki til skrár eða skráningar sem einvörðungu er stofnað til í þágu
tölfræðilegra útdrátta. Tölvunefnd getur einnig ákveðið að aðrar skrár séu undanþegnar
ákvæðum þessum ef ætla má að ákvæði 2. mgr. 9. gr. muni hafa í för með sér að tilmælum
um upplýsingar úr slíkum skrám verði almennt hafnað.
12. gr.
Upplýsingar skv. 9. gr. skulu veittar skriflega ef þess er óskað. Skrárhaldari skal verða
við tilmælum skráðs aðila og skýra honum frá efni upplýsinga innan fjögurra vikna frá
því að krafa um slíkt kom fram, en skýra ella hinum skráða skriflega frá ástæðum þess að
tilmælum hans hefur eigi verið sinnt.
Ef skrárhaldari hafnar kröfum aðila um að skýra frá efni skráðra upplýsinga, sbr.
ákvæði 1. og 2. mgr. 9. gr., er skrárhaldara skylt að vekja athygli hins skráða á rétti hans
til þess að bera ágreininginn undir úrlausn tölvunefndar, sbr. ákvæði 13. gr.
13. gr.
Heimilt er að bera ágreining um rétt til aðgangs að upplýsingum samkvæmt þessum
kafla laganna undir tölvunefnd sem úrskurðar um ágreininginn.
Dómsmálaráðuneytið getur að fenginni umsögn tölvunefndar sett reglur um
sanngjarnt gjald er greiða skal fyrir veitingu skráðra upplýsinga.
14. gr.
Nú telur skráður aðili að upplýsingar um hann í skrám, er lög þessi taka til, séu rangar
eða villandi. Getur hann þá krafist þess að sá er ábyrgur er fyrir skráningu færi þær í rétt
horf, afmái þær eða bæti við þær, eftir því sem við á hverju sinni. Hið sama gildir ef aðili
telur að á skrá séu upplýsingar sem eigi er heimilt að skrásetja eða upplýsingar sem eigi
hafa lengur þýðingu.
Nú neitar sá sem ábyrgur er fyrir skrá að fallast á kröfu um leiðréttingu skv. 1. mgr.
eða hefur eigi svarað slíkri kröfu innan fjögurra vikna frá því að hún sannanlega kom
fram og getur hinn skráði þá óskað þess við tölvunefnd að nefndin kveði á um það hvort
og að hvaða marki taka beri til greina kröfu hans um að leiðrétta upplýsingarnar eða afmá
þær. Fallist tölvunefnd á kröfu manns um að afmá eða leiðrétta upplýsingar leggur hún
fyrir skrárhaldara að afmá upplýsingarnar eða leiðrétta þær.
Í neitun skrárhaldara skv. 2. mgr. um leiðréttingu eða afmáun rangra eða villandi
upplýsinga skal hinum skráða gerð grein fyrir því að ágreining í þeim efnum geti hann
borið undir tölvunefnd.
Þegar um upplýsingar um fjárhagsmálefni og lánstraust skv. V. kafla er að ræða skal
skrárhaldari senda án tafar öllum þeim, er fengið hafa slíkar upplýsingar frá honum
síðustu sex mánuði, svo og hinum skráða, skriflega leiðréttingu. Hinn skráði skal og fá
í hendur greinargerð frá skrárhaldara um hverjir hafi móttekið rangar upplýsingar og
hverjum leiðréttingar hafi verið sendar. Tölvunefnd getur, þegar um aðrar upplýsingar
er að ræða, lagt fyrir skrárhaldara að senda öllum þeim skriflega tilkynningu um
leiðréttinguna er á síðustu sex mánuðum, áður en krafa um leiðréttingu kom fram, fengu
rangar upplýsingar úr skrá. Skrárhaldari skal þá jafnframt upplýsa hinn skráða um það
hverjir fengið hafa tilkynningu um slíka leiðréttingu.
Þegar sérstaklega stendur á getur tölvunefnd ákveðið að skylda skrárhaldara skv. 4.
mgr. til þess að senda skriflega leiðréttingu er taki til lengri tíma en síðustu sex mánaða
áður en krafa um leiðréttingu kom fram.
V. KAFLI
Skráning upplýsinga um fjárhagsmálefni og lánstraust.
15. gr.
Söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga
og lögpersóna, í því skyni að miðla öðrum upplýsingum um það efni, er óheimil án
starfsleyfis er tölvunefnd veitir. Þeim einum má veita starfsleyfi sem að mati
tölvunefndar er líklegur til að geta uppfyllt skyldur skrárhaldara samkvæmt lögum
þessum.
16. gr.
Starfsleyfishafa skv. 15. gr. er einungis heimilt að skrá upplýsingar sem eðli sínu
samkvæmt geta haft þýðingu við mat á fjárhag og lánstrausti hins skráða. Aldrei er heimilt að taka í slíka skrá upplýsingar þær sem nefndar eru í 1. mgr. 4. gr. laganna.
Upplýsingar um fjárhagsmálefni og lánstraust, sem eldri eru en fimm ára, er óheimilt
að skrá eða miðla nema ótvírætt sé að viðkomandi upplýsingar hafi verulega þýðingu við
mat á fjárhag eða lánstrausti hins skráða. Áður en slíkar upplýsingar eru skráðar eða þeim
miðlað skal það tilkynnt viðkomandi aðila og honum gefinn kostur á að gera
athugasemdir innan tiltekins frests frá móttöku tilkynningar. Skal sá frestur að lágmarki
vera ein vika frá móttöku tilkynningar. Beri aðili fram andmæli er skráning eða miðlun
upplýsinga aðeins heimil að fengnu samþykki tölvunefndar.
17. gr.
Eigi er heimilt að færa í skrá samkvæmt kafla þessum aðrar upplýsingar en nafn
manns eða fyrirtækis, heimilisfang, kennitölu, nafnnúmer, fyrirtækjanúmer, stöðu og
atvinnu eða aðrar upplýsingar sem hægt er að fá úr opinberum skrám án þess að skýra
hinum skráða frá því.
Ef önnur atriði en þau sem greind eru í 1. mgr. eru tekin á skrá ber starfsleyfishafa að
skýra skráðum aðila, sem í fyrsta skipti er tekinn á skrá, frá því innan fjögurra vikna frá
skráningu og greina honum frá heimild hans til þess að fá skýrslu um efni skráningar, sbr.
18. gr.
18. gr.
Nú telur aðili að upplýsingar um hann séu skráðar skv. 15. gr. og er starfsleyfishafa
þá skylt, innan fjögurra vikna frá því að krafa kom fram um slíkt, að skýra aðila frá efni
skráðra upplýsinga og þess mats sem starfsleyfishafinn hefur látið frá sér fara á síðustu
sex mánuðum varðandi hagi beiðanda.
Ef starfsleyfishafi skv. 15. gr. hefur í vörslum sínum frekari upplýsingar um hinn
skráða en þær sem beiðni skv. 1. mgr. lýtur að er honum skylt að gera beiðanda grein fyrir
þeim og jafnframt fyrir rétti hins skráða aðila til þess að fá að kynna sér efni skrár af eigin
raun.
Hinn skráði aðili getur gert kröfu til þess að fá skrifleg svör skv. 1. mgr. frá
skrárhaldara, en skráður aðili á eigi kröfu til þess að honum sé skýrt frá hvaðan
upplýsingar eru fengnar.
19. gr.
Upplýsingar um fjárhag og atriði, er varða mat á lánstrausti, má aðeins láta öðrum í
té skriflega, sbr. þó 1. og 2. mgr. 18. gr. Þegar fastir viðskiptavinir eiga í hlut er þó
heimilt að veita almennar upplýsingar munnlega eða á annan svipaðan hátt, en nafn og
heimilisfang fyrirspyrjanda skal þá skráð og gögn um það varðveitt í a.m.k. sex mánuði.
Upplýsingarit um fjárhagsmálefni og lánstraust mega aðeins geyma almennar
upplýsingar og þau má aðeins senda til áskrifenda. Áður en starfsleyfishafi birtir nafn
tiltekins aðila í slíku upplýsingariti skal starfsleyfishafi að eigin frumkvæði tilkynna
viðkomandi aðila skriflega um það að upplýsingar um hann muni birtast í næstu útgáfu
ritsins.
Upplýsingar um skuldastöðu manna má því aðeins veita öðrum að um sé að ræða
almennt aðgengilegar upplýsingar eða gjaldfallna skuld eða skuldir sama aðila við
tiltekinn kröfuhafa sem eru a.m.k. 10.000,00 kr. eða hærri og skuldari hefur með
aðfararhæfri sátt fallist á að greiða eða verið dæmdur til greiðslu hennar eða önnur réttargerð hafin til fullnustu hennar. Dómsmálaráðherra getur að fenginni umsögn
tölvunefndar breytt með reglugerð framangreindri fjárhæð.
Upplýsingar um skuldastöðu aðila má ekki veita með þeim hætti að þær geti verið
grundvöllur mats á fjárhagslegri stöðu annars en þess er upplýsingarnar varðar.
20. gr.
Um leiðréttingu eða afmáun rangra og villandi upplýsinga um fjárhagsmálefni og
lánstraust gilda ákvæði 14. gr.
VI. KAFLI
Nafnalistar og nafnáritanir.
Markaðs- og skoðanakannanir.
21. gr.
Sala eða önnur afhending úr skrám á nöfnum og heimilisföngum tiltekinna hópa
einstaklinga, stofnana, fyrirtækja eða félaga er óheimil án starfsleyfis sem tölvunefnd
veitir. Þá er og óheimilt án slíks starfsleyfis að annast um fyrir aðra áritanir nafna og
heimilisfanga, svo sem með límmiðaáritun, eða aðra útsendingu tilkynninga til þeirra
sem greinir í fyrri málslið þessarar málsgreinar.
Starfsleyfishafi skv. 1. mgr. má aðeins hafa á skrám sínum eftirtaldar upplýsingar:
1. nafn, heimilisfang, kennitölu, nafnnúmer, fyrirtækjanúmer og starf,
2. upplýsingar sem almennur aðgangur er að í opinberum skrám, svo sem
fyrirtækjaskrám.
Dómsmálaráðherra getur, að fenginni umsögn tölvunefndar, í reglugerð reist frekari
skorður við því hvað greina megi í skrám þessum.
Ef skrá skv. 21. gr. er notuð til áritunar og útsendingar bréfa, tilkynninga, dreifirita
eða þess háttar er skylt að fram komi á áberandi stað á útsendu efni að því sé dreift eftir
skrá í vörslu viðkomandi fyrirtækis eða stofnunar. Enn fremur að þeir sem kynnu að óska
eftir því að losna undan slíkum sendingum framvegis geti skrifað eða hringt til þessa
aðila og fengið nöfn sín afmáð af útsendingarskrá.
Skylt er skrárhaldara að verða tafarlaust við beiðnum um að nöfn einstaklinga eða
fyrirtækja séu máð af útsendingarskrá, sbr. 1. mgr. Ef beiðni um að má nafn af
útsendingarskrá berst sendanda ofangreinds pósts er honum skylt að koma slíkri kröfu
á framfæri við skrárhaldara.
Tölvunefnd getur sett reglur um merkingar skv. 1. mgr.
23. gr.
Nú fær skrárhaldari skv. 21. gr. í hendur félagaskrár eða skrár yfir fasta viðskiptamenn
eða svipaðar skrár og er honum þá óheimilt án samþykkis þess sem afhent hefur gögnin
að láta þau af hendi við aðra eða skýra öðrum frá upplýsingum sem í skránum eða
gögnunum felast.
24. gr.
Óheimilt er að framkvæma markaðs- og skoðanakannanir um atriði sem falla undir
ákvæði laga þessara nema áður hafi verið aflað heimildar tölvunefndar. Þeim sem slíkar
kannanir framkvæma ber við framkvæmd könnunar að gæta eftirtalinna atriða:
a. Gera skal þeim sem spurður er grein fyrir því að honum sé hvorki skylt að svara einstökum spurningum né spurningalistanum í heild.
b. Ef svör eru ekki eyðilögð að könnun lokinni skulu þau geymd þannig frágengin að
ekki megi rekja þau til ákveðinna aðila.
c. Aldrei skal spyrja annarra spurninga en þeirra sem hafa greinilegan tilgang með
hliðsjón af viðfangsefni því sem verið er að kanna.
d. Óheimilt er að nota upplýsingar þær, sem skráðar hafa verið, til annars en þess sem
var tilgangur könnunar.
e. Óheimilt er að veita öðrum aðgang að upplýsingum þeim sem skráðar hafa verið.
Tölvunefnd er heimilt að setja frekari skilyrði um framkvæmd slíkra kannana,
meðferð og varðveislu gagna ef hún telur það nauðsynlegt.
VII. KAFLI
Um tölvuþjónustu.
25. gr.
Þeim sem annast tölvuþjónustu fyrir aðra er óheimilt án starfsleyfis, sem tölvunefnd
veitir, að varðveita eða vinna úr eftirtöldum upplýsingum um einkamálefni:
a. upplýsingum sem falla undir ákvæði 1. mgr. 4. gr.,
b. upplýsingum sem falla undir ákvæði V. kafla,
c. upplýsingum sem falla undir ákvæði 3. mgr. 6. gr.
Með tölvuþjónustu er átt við sérhvern starfsþátt í sjálfvirkri gagnavinnslu með
tölvutækni.
Starfsleyfishafa skv. 1. mgr. er, án samþykkis frá skráreiganda, óheimilt að nota
upplýsingar þær, sem hann hefur veitt viðtöku, til annars en að framkvæma þá þjónustu
sem samningur hans og skráreiganda varðar eða afhenda öðrum upplýsingarnar til
vinnslu eða geymslu. Þegar sérstaklega stendur á, svo sem vegna skyndilegrar bilunar í
tölvubúnaði, er aðila þó heimilt að láta framkvæma tölvuvinnslu hjá öðrum enda þótt
síðargreindi aðilinn hafi ekki starfsleyfi til slíkrar vinnslu. Gögnin og vinnslan skulu þó
eftir sem áður vera á ábyrgð þess sem upphaflega tók að sér verkið að því er varðar
ákvæði laga þessara.
Starfsleyfishafa er skylt að beita viðeigandi ráðstöfunum til þess að koma í veg fyrir
að upplýsingar verði misnotaðar eða þær komist í hendur óviðkomandi.
Dómsmálaráðherra getur í reglugerð sett nánari ákvæði um vörslu og meðferð tölvugagna
hjá þeim sem annast tölvuþjónustu fyrir aðra.
26. gr.
Starfsmenn í þjónustu starfsleyfishafa skv. 25. gr. eru þagnarskyldir um atriði sem
þeir komast að við störf sín og skulu þeir undirrita þagnarheit áður en þeir taka til starfa.
Nú vinnur tölvuþjónustufyrirtæki, sem ekki er rekið af opinberum aðila, að verkefnum
fyrir slíkan aðila og eru starfsmenn þess þá þagnarskyldir um þau atriði, sem þeir komast
að við framkvæmd verkefnisins, með sama hætti og þeir opinberu starfsmenn sem unnið
hafa að því. Brot starfsmanns varðar, þegar svo stendur á, refsingu skv. 136. gr. almennra
hegningarlaga.
VIII. KAFLI
Söfnun upplýsinga hér á landi til úrvinnslu erlendis.
27. gr.
Kerfisbundin söfnun og skráning persónuupplýsinga hér á landi til geymslu eða
úrvinnslu erlendis er óheimil. Tölvunefnd getur þó heimilað hana ef sérstaklega stendur
á.
Skrá eða frumgögn, sem geyma upplýsingar þær sem greinir í 1. mgr. 4. gr., má eigi
láta af hendi til geymslu eða úrvinnslu erlendis nema samþykki tölvunefndar komi til.
Leyfi skv. 1. og 2. mgr. má því aðeins veita að tölvunefnd telji að afhending skráa eða
gagna skerði ekki til muna þá vernd sem lög þessi búa skráðum mönnum eða
lögpersónum.
Dómsmálaráðherra getur, að fenginni umsögn tölvunefndar, ákveðið í reglugerð að
ákvæði 1. og 2. mgr. eigi ekki við um tilteknar skrár eða upplýsingasvið eða gagnvart
tilteknum löndum ef slíkt er nauðsynlegt til efnda á þjóðréttarskuldbindingum eða tillit
til alþjóðlegrar samvinnu á þessu sviði mælir með því.
IX. KAFLI
Skráning upplýsinga og varðveisla þeirra.
28. gr.
Beita skal virkum ráðstöfunum er komi í veg fyrir að upplýsingar séu misnotaðar eða
komist til óviðkomandi manna.
Afmá skal skráðar upplýsingar sem vegna aldurs eða af öðrum ástæðum hafa glatað
gildi sínu miðað við það hlutverk sem skrá er ætlað að gegna. Skrár, sem sífellt eru í
notkun, skulu geyma upplýsingar sem á hverjum tíma eru réttar, en úreltar upplýsingar
skal afmá.
Tölvunefnd getur leyft að afrit eða útskriftir úr skrám verði varðveittar í
Þjóðskjalasafni eða öðrum skjalasöfnum með nánari ákveðnum skilmálum.
29. gr.
Nú geyma tilteknar skrár upplýsingar sem líklegt þykir að muni hafa notagildi fyrir
erlend ríki og skal þá koma við öryggisráðstöfunum sem gera kleift að eyðileggja skrár
án tafar ef styrjöld brýst út eða uggvænt þykir að til styrjaldarátaka komi.
X. KAFLI
Um eftirlit með lögum þessum.
30. gr.
Til þess að hafa eftirlit með framkvæmd laga þessara og reglum settum samkvæmt
þeim skal dómsmálaráðherra skipa fimm manna nefnd sem kölluð er tölvunefnd í lögum
þessum. Nefndina skal skipa til fjögurra ára í senn. Formaður nefndarinnar, varaformaður
og einn nefndarmaður að auki skulu vera lögfræðingar. Formaður og varaformaður skulu
fullnægja skilyrðum til að vera dómari. Einn nefndarmanna skal vera sérfróður um tölvu-
og skráningarmálefni. Hann skal tilnefndur af Skýrslutæknifélagi Íslands. Varamenn
skal skipa með sama hætti til fjögurra ára í senn og skulu þeir fullnægja sömu skilyrðum
og aðalmenn.
Starfsmaður dómsmálaráðuneytisins skal vera ritari tölvunefndar.
31. gr.
Tölvunefnd hefur eftirlit með framkvæmd laga þessara. Nefndin hefur að eigin
frumkvæði, eða eftir ábendingum frá skráðum aðilum, eftirlit með því að til skráningar sé stofnað og skrár notaðar með þeim hætti sem fyrir er mælt í lögum þessum.
Tölvunefnd veitir, eftir því sem nánar er kveðið á um í lögum þessum, starfsleyfi,
heimildir eða samþykki til einstakra athafna. Þá úrskurðar nefndin í ágreiningsmálum
sem upp kunna að koma.
Úrlausnir tölvunefndar samkvæmt lögum þessum verða eigi bornar undir aðrar
stjórnvaldsstofnanir.
32. gr.
Tölvunefnd getur krafið skrárhaldara og þá er á hans vegum starfa allra þeirra
upplýsinga sem nefndinni eru nauðsynlegar til þess að rækja hlutverk sitt, þar með taldar
upplýsingar til ákvörðunar um það hvort tiltekin starfsemi falli undir ákvæði laganna.
Tölvunefnd og starfslið hennar hefur vegna eftirlitsstarfa sinna án dómsúrskurðar
aðgang að húsnæði þar sem skráning fer fram eða þar sem skráningargögn eru varðveitt
eða þau eru til vinnslu.
33. gr.
Tölvunefnd getur lagt fyrir aðila að hætta skráningu eða láta ekki öðrum í té
upplýsingar úr skrám sínum eða gögnum, enda gangi skráning eða upplýsingagjöf í
berhögg við ákvæði laga þessara að mati tölvunefndar. Þá getur tölvunefnd og, að sömu
skilyrðum fullnægðum, mælt svo fyrir að upplýsingar í skrám verði afmáðar eða skrár
í heild sinni eyðilagðar.
Tölvunefnd getur lagt fyrir skráningaraðila að afmá skráningu um einstök atriði eða
leiðrétta hana, enda sé um atriði að ræða sem annaðhvort er óheimilt að taka á skrá eða
tölvunefnd telur röng eða villandi.
Tölvunefnd getur lagt fyrir skráningaraðila að afmá eða leiðrétta upplýsingar sem
skráðar hafa verið fyrir gildistöku laga þessara ef skráning þeirra gengur í berhögg við
ákvæði laga þessara eða upplýsingarnar eru rangar eða villandi.
Tölvunefnd getur, ef sérstaklega stendur á, lagt fyrir skráningaraðila að afmá
upplýsingar sem vegna aldurs eða af öðrum ástæðum hafa glatað gildi sínu.
Tölvunefnd getur bannað skráningaraðila að viðhafa tiltekna aðferð við söfnun og
skráningu upplýsinga og miðlun þeirra, enda telji nefndin að sú aðferð, sem viðhöfð er,
hafi í för með sér verulega hættu á að skráning eða upplýsingamiðlun verði röng eða
villandi. Sömu heimild hefur tölvunefnd ef hún telur hættu á að teknar verði á skrá eða
miðlað verði úr skrám upplýsingum sem óheimilt er að skrá eða miðla.
Tölvunefnd getur lagt fyrir skráningaraðila að koma við sérstökum úrræðum til
tryggingar því að eigi verði tekin á skrá atriði sem óheimilt er að skrá eða miðlað verði
upplýsingum um slík atriði. Hinu sama gegnir um atriði sem eru röng eða villandi. Með
sama hætti getur tölvunefnd lagt fyrir skráningaraðila að koma við ráðstöfunum til
tryggingar því að skráðar upplýsingar verði ekki misnotaðar eða komist til vitundar
óviðkomandi aðila.
Ef aðili sinnir eigi fyrirmælum tölvunefndar skv. 1.–6. mgr. þessarar greinar getur
tölvunefnd afturkallað starfsleyfi, samþykki eða heimild sem hún hefur veitt samkvæmt
ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati með fullnægjandi hætti.
34. gr.
Dómsmálaráðherra getur í reglugerð kveðið á um samstarf tölvunefndar við erlendar eftirlitsstofnanir um geymslu eða úrvinnslu hér á landi á gögnum er safnað hefur verið
erlendis, þar á meðal um sérstaka tilkynningarskyldu á slíku.
35. gr.
Tölvunefnd getur sett reglur um form og efni tilkynninga og umsókna samkvæmt
lögum þessum.
Nú er tölvunefnd ætlað að veita starfsleyfi samkvæmt lögum þessum eða samþykki
til einstakra aðgerða og er henni þá heimilt að binda starfsleyfið eða samþykkið
skilyrðum eða tímabinda það.
Dómsmálaráðherra getur ákveðið gjald er greiða skal fyrir veitingu starfsleyfa og
einstakra heimilda.
36. gr.
Tölvunefnd skal árlega birta skýrslu um starfsemi sína. Í skýrslunni skal birta yfirlit
yfir þau starfsleyfi, samþykki og heimildir sem nefndin hefur veitt, reglur sem hún hefur
sett og úrskurði sem hún hefur kveðið upp. Í ársskýrslunni skal og greina frá þeirri
starfsemi nefndarinnar annarri sem ætla má að almenningur láti sig varða eða hafi
hagsmuni af að vita.
XI. KAFLI
Um refsingar og önnur viðurlög.
37. gr.
Brot á eftirtöldum ákvæðum laga þessara varða fésektum eða fangelsi allt að þremur
árum nema þyngri refsing liggi við samkvæmt öðrum lögum:
a. brot á 3.–6. gr.,
b. brot á 9. og 12. gr.,
c. brot á 2. og 4. mgr. 14. gr.,
d. brot á 15.–20. gr.,
e. brot á 21.–24. gr.,
f. brot á 26., 27. og 1. mgr. 32. gr.
Sömu refsingu varðar að vanrækja að fara að fyrirmælum tölvunefndar skv. 33. gr.
Sömu refsingu varðar enn fremur að virða ekki skilyrði sem sett eru fyrir starfsleyfi,
heimild eða samþykki samkvæmt lögum þessum eða stjórnvaldsreglum settum
samkvæmt þeim, svo og að sinna ekki boði eða banni sem sett hefur verið samkvæmt
lögunum eða stjórnvaldsreglum settum samkvæmt þeim.
Dæma má lögaðila jafnt sem einstaklinga til greiðslu sekta vegna brota á lögum
þessum. Lögaðila má ákvarða sekt án tillits til þess hvort sök verður sönnuð á starfsmann
lögaðilans. Hafi starfsmaður lögaðilans framið brot á lögum þessum eða reglum settum
samkvæmt þeim má einnig gera lögaðila þessum sekt og sviptingu starfsréttinda skv. 38.
gr., enda sé brot drýgt til hagsbóta fyrir lögðaðilann eða hann hefur notið hagnaðar af
brotinu. Lögaðili ber ábyrgð á greiðslu sektar sem starfsmaður hans er dæmdur til að
greiða vegna brota á lögum þessum, enda séu brot tengd starfi hans hjá lögðaðilanum.
38. gr.
Starfsleyfishafa skv. 15., 21. og 25. gr. má auk refsingar skv. 37. gr. með dómi svipta
starfsleyfi ef sök er mikil. Að öðru leyti eiga hér við ákvæði 1. og 2. mgr. 68. gr. almennra hegningarlaga nr. 19/1940, með síðari breytingum.
Gera má upptæk með dómi tæki sem stórfelld brot á lögum þessum hafa verið framin
með, svo og hagnað af broti, sbr. 69. gr. almennra hegningarlaga nr. 19/1940.
39. gr.
Tilraun og hlutdeild í brotum á lögum þessum er refsiverð eftir því sem segir í III.
kafla almennra hegningarlaga.
XII. KAFLI
Lagaframkvæmd og gildistaka.
40. gr.
Dómsmálaráðherra er heimilt að setja reglugerð um nánari framkvæmd laga þessara.
Lög þessi öðlast gildi 1. janúar 1990.
Athugasemdir við lagafrumvarp þetta.
Frumvarp þetta var lagt fram á síðasta þingi en varð ekki útrætt. Það er nú lagt fram
að nýju í meginatriðum óbreytt. Þeir Þorgeir Örlygsson prófessor og Tryggvi
Gunnarsson lögfræðingur, sem sömdu frumvarp þetta, hafa farið yfir athugasemdir þær
sem allsherjarnefnd neðri deildar Alþingis höfðu borist við meðferð nefndarinnar á
frumvarpinu á síðasta Alþingi.
Hafa þeir lagt til nokkrar breytingar á frumvarpinu sem eru nú teknar inn í það.
Bréf þeirra til ráðuneytisins, sem dagsett er 25. sept. 1989 og varðar þær breytingar,
skýrir nánar breytingarnar sem eru gerðar á frumvarpinu miðað við fyrra frumvarp.
Bréfið er prentað sem fylgiskjal með frumvarpinu.
Almennar athugasemdir.
I.
Íslensk löggjöf um tölvu- og skráningarmálefni.
Fyrstu lög, sem sett voru hér á landi til verndar einstaklingum vegna skráningar á
upplýsingum um einkamálefni þeirra, voru lög nr. 63/1981, um kerfisbundna skráningu
á upplýsingum, er varða einkamálefni. Höfðu þau fyrir fram afmarkaðan gildistíma og
féllu úr gildi 31. desember 1985. Þann 1. janúar 1986 tóku gildi ný lög um sama efni, lög
nr. 39/1985, og hafa þau, eins og lög nr. 63/1981, einnig fyrir fram afmarkaðan gildistíma
og falla úr gildi 31. desember 1989. Samkvæmt 31. gr. laganna skal dómsmálaráðherra
láta endurskoða þau og leggja fram nýtt frumvarp í þingbyrjun haustið 1988.
Í janúar 1988 fól dómsmálaráðherra þeim Þorgeiri Örlygssyni, prófessor og formanni
tölvunefndar, og Tryggva Gunnarssyni borgardómara að endurskoða lög nr. 39/1985, um
kerfisbundna skráningu á upplýsingum, er varða einkamálefni, og sömdu þeir frumvarp
þetta.
Mál, er varða skráningu á upplýsingum um einkamálefni manna, hafa síðustu tvo
áratugi oft borið á góma á Alþingi, einkum í tengslum við flutning
þingsályktunartillagna. Á Alþingi 1973–1974 og 1975–1976 og 1976 voru fluttar
tillögur til þingsályktunar um „tölvutækni við söfnun upplýsinga um skoðanir manna og
persónulega hagi“. Tillögurnar voru í meginatriðum sama efnis. Var skorað á ríkisstjórnina að skipa nefnd manna til að semja frumvarp til laga „um verndun
einstaklinga gagnvart því, að komið verði upp safni upplýsinga um skoðanir þeirra eða
aðra persónulega hagi með aðstoð tölvutækni“. Tillögur þessar náðu ekki fram að ganga.
Þann 25. nóv. 1976 skipaði dómsmálaráðherra nefnd til þess að vinna að undirbúningi
löggjafar um meðferð efnis í tölvum er varða einkahagi manna. Formaður nefndarinnar
var skipaður dr. Ármann Snævarr, þá hæstaréttardómari, en aðrir nefndarmenn voru
Hjalti Zóphóníasson, þá fulltrúi í dómsmálaráðuneytinu, en nú skrifstofustjóri í því
ráðuneyti, og dr. Þorkell Helgason dósent. Í erindisbréfi til nefndarmanna var sérstaklega
bent á að þörf væri á að hyggja að reglum um söfnun upplýsinga til varðveislu í tölvum
og um vernd manna gegn misnotkun slíks efnis, svo og um skyldur þeirra manna sem
starfa við rekstur á tölvum. Skyldi höfð hliðsjón af löggjöf sem sett hafði verið í öðrum
löndum um þetta efni, svo og löggjafarundirbúningi á þessu sviði í einstökum löndum
og á alþjóðavettvangi.
Nefnd þessi samdi frumvarp til laga um kerfisbundna skráningu á upplýsingum er
varða einkamálefni og var það lagt fram á Alþingi undir þinglok 1978 (298. mál, þskj.
683), en kom aldrei til umræðu.
Í nóvember 1978 ákvað dómsmálaráðherra að framangreint frumvarp skyldi, áður en
það yrði á ný lagt fyrir Alþingi, sent til umsagnar ýmissa aðila sem málið varðaði.
Umsagnir þær, sem bárust, voru því næst sendar nefnd þeirri er samdi upphaflega
frumvarpið. Í framhaldi af þessu skilaði nefndin nokkrum tillögum til breytinga á
upphaflega frumvarpinu. Frumvarpið var lagt fram á 102. löggjafarþingi í ársbyrjun
1980, en hlaut ekki afgreiðslu.
Frumvarpið var óbreytt lagt fram á 103. löggjafarþinginu árið 1980 af
dómsmálaráðherra (þskj. 2, n. 692, 693). Var markmið þess enn sem fyrr að veita
einkamálefnum manna aukna vernd gegn hættu á misnotkun upplýsinga sem varðveittar
eru eða skráðar hafa verið í tölvum. Fylgdu frumvarpinu ítarlegar athugasemdir í
greinargerð. Allsherjarnefnd neðri deildar Alþingis flutti 57 breytingartillögur við
frumvarpið og umsamdi það í raun. Af framsöguræðu formanns allsherjarnefndar neðri
deildar, Eiðs Guðnasonar, fyrir breytingartillögunum má ráða að nefndinni þótti
upphaflegt frumvarp nokkuð viðamikið og tölvuverndarmálefnin gerð óþarflega flókin.
Miðuðu breytingartillögurnar að sögn nefndarformannsins að því að einfalda frumvarpið
og koma í veg fyrir endurtekningar sem væru margar og reyna að koma í veg fyrir að hin
svokallaða tölvunefnd yrði að stjórnsýslubákni, svo sem reyndin hafi orðið annars staðar
á Norðurlöndum. Upphaflegt frumvarp greindist í sjö þætti og 13 kafla, en samkvæmt
breytingartillögum nefndarinnar var gert ráð fyrir því að frumvarpið skiptist í 10 kafla.
Þá voru greinar upphaflega frumvarpsins 51 talsins, en þeim fækkaði í 31 í tillögum
nefndarinnar.
Breytingartillögur allsherjarnefndar neðri deildar voru allar samþykktar og var
frumvarpið þannig samþykkt sem lög nr. 63/1981. Allsherjarnefnd neðri deildar samdi
ekki nýja greinargerð með frumvarpinu, en í framsöguræðu formanns nefndarinnar er
gerð grein fyrir breytingartillögunum og ástæðum þeirra.
Lög nr. 63/1981 tóku gildi 1. jan. 1982. Samkvæmt 1. mgr. 30. gr. þeirra féllu þau úr
gildi 30. janúar 1985 og skv. 2. mgr. 30. gr. skyldi dómsmálaráðherra láta endurskoða
lögin og leggja fram frumvarp þar að lútandi fyrir Alþingi í haustbyrjun 1984.
Með bréfi 7. nóv. 1983 fól dómsmálaráðherra tölvunefnd að gera tillögur um þær
breytingar á lögum nr. 63/1981 sem nefndin teldi þörf á. Allir nefndarmenn voru sammála um að leggja til breytingar á 2. mgr. 1. gr., 2. mgr. 6. gr., 13. gr., 19. gr. og 1.
mgr. 28. gr. Er gerð grein fyrir breytingartillögum þessum í ársskýrslu tölvunefndar fyrir
árið 1984 á bls. 15–16. Þá er og í ársskýrslu þessari á bls. 16–18 gerð grein fyrir
hugmyndum einstakra nefndarmanna um breytingar á lögunum sem ekki fengu stuðning
allra nefndarmanna. Dómsmálaráðherra lagði fram á Alþingi í haustbyrjun 1984
frumvarp til breytinga á lögum nr. 63/1981. Var í frumvarpinu lagt til að gerðar yrðu á
lögunum þær breytingar sem allir nefndarmenn tölvunefndar höfðu verið sammála um.
Breytingartillögur þessar voru allar samþykktar og voru ný lög um kerfisbundna
skráningu á upplýsingum er varða einkamálefni samþykkt sem lög nr. 39 frá 15. júní
1985. Tóku þau gildi 1. janúar 1986.
II.
Erlend löggjöf um tölvu- og skráningarmálefni.
Í frumvarpi því, er lagt var fram á Alþingi á 103. löggjafarþingi árið 1980, var að finna
yfirlit um sögu löggjafar varðandi skráningu persónugagna. Svo sem þar kemur fram
urðu Svíar fyrstir þjóða til þess að setja lög um þetta efni, þ.e. tölvulögin frá 11. maí 1973
er endanlega tóku gildi 1. júlí 1974, en í sambandsríkinu Hessen í Vestur-Þýskalandi
hafði þó verið sett rammalöggjöf um þetta efni að nokkru árið 1970.
Til viðbótar þeim upplýsingum, er fram koma í áðurgreindu frumvarpi frá 1980, má
geta þess að löggjöf um skráningu persónugagna er nú í gildi í Austurríki, Bretlandi,
Danmörku, Finnlandi, Frakklandi, Írlandi, á eyjunni Mön, í Ísrael, Kanada, Lúxemborg,
Noregi, New York ríki í Bandaríkjunum, Ontario og Quebeck í Kanada, Svíþjóð, Sviss
og Vestur-Þýskalandi. Frumvörp til laga um skráningu persónugagna eru til umfjöllunar
í þjóðþingum Argentínu, Belgíu, Grikklands, Hollands, Ítalíu, Portúgals og Spánar.
Alþjóðlegt samstarf á þessu réttarsviði hefur farið vaxandi og ýmis fjölþjóðleg samtök
hafa sinnt tölvuverndarmálefnum í auknum mæli. Má í því sambandi annars vegar nefna
ályktun aðildarríkja OECD frá 1980 (OECD Guidelines on the Protection of Privacy and
Transborder Flows of Personal Data) og hins vegar sáttmála Evrópuráðsríkjanna frá 1980
(A Convention for the Protection of Individuals with Regard to Automatic Processing
of Personal Data). Íslendingar hafa undirritað Evrópuráðssáttmálann en ekki fullgilt
hann.
Íslendingar hafa tekið þátt í fjölþjóðlegu samstarfi varðandi vernd persónuupplýsinga
innan Evrópuráðsins, í samstarfi tölvueftirlitsstofnana á Norðurlöndum og í samstarfi
við vestrænar tölvueftirlitsstofnanir. Má um það efni vísa til ársskýrslna tölvunefndar.
III.
Meginbreytingar samkvæmt frumvarpi þessu og helstu markmið þess.
Eins og lög nr. 63/1981 og lög nr. 39/1985 hefur frumvarp þetta það að
meginmarkmiði að tryggja mönnum vernd gegn hættu á misnotkun upplýsinga um
einkamálefni þeirra sem varðveittar eru eða skráðar hafa verið með kerfisbundnum hætti.
Svo sem nánar verður vikið að í athugasemdum við 1. gr. frumvarpsins er verndarsvið
þess þó ekki einskorðað við skráningu í tölvur, heldur tekur það til skráningar hvort sem
hún er vélræn eða handunnin.
Lög nr. 63/1981 og nr. 39/1985 voru fyrstu lög sem sett voru hér á landi um
kerfisbundna skráningu á upplýsingum er varða einkamálefni. Lögin hafa að mestu
staðið óbreytt allt frá ársbyrjun 1982, ef frá eru taldar smávægilegar breytingar sem gerðar voru árið 1985 og áður er að vikið. Lög þessi hafa, að mati þeirra sem unnið hafa
við að framfylgja ákvæðum þeirra, í flesta staði reynst vel þegar á heildina er litið. Við
samningu þessa frumvarps hefur verið höfð hliðsjón af þeirri reynslu sem fengist hefur
við framkvæmd gildandi laga og er í frumvarpinu leitast við að sníða af ýmsa vankanta
gildandi löggjafar sem komið hafa í ljós. Má sem dæmi nefna að í gildandi lög skortir
tilfinnanlega ýmis ákvæði um valdsvið tölvunefndar sem reynslan hefur sýnt að
nauðsynlegt er að hafa í löggjöf sem þessari.
Við samningu frumvarps þessa hefur verið litið til þeirra breytinga sem gerðar hafa
verið á réttarreglum á þessu sviði á Norðurlöndum. Gagnger endurskoðun fór fram á
dönsku tölvulögunum árið 1987, sbr. lög nr. 383 frá 10. júní 1987, og gilda þar í landi nú
um þetta efni annars vegar lög nr. 621 frá 2. ágúst 1987, Lov om offentlige myndigheders
registre, og hins vegar lög nr. 622 frá 2. okt. 1987, Lov om private registre m.v. Hefur við
samningu frumvarps þessa oft verið litið til ákvæða dönsku laganna, svo sem fram kemur
í athugasemdum við einstakar greinar, og verða hin dönsku lög í greinargerð þessari hér
eftir kölluð dönsku e.s.l. (lögin um skráningu af hálfu einkaaðila) og dönsku o.s.l. (lögin
um skráningu af hálfu opinberra aðila).
Meginmarkmið breytinga þeirra, sem frumvarp þetta gerir ráð fyrir, er að tryggja
skráðum aðilum aukna vernd, kveða skýrar á um skyldur skráningaraðila og tryggja
virkara eftirlit með framkvæmd laganna. Þótt breytingar þær á gildandi lögum, sem
frumvarp þetta gerir ráð fyrir, séu allmargar raska þær þó ekki í neinum verulegum
atriðum þeirri umgjörð sem er samkvæmt gildandi lögum á þessu verndarsviði og þær
munu ekki hafa í för með sér verulegar breytingar á eðli og umfangi þess starfs sem fram
fer til þess að hafa eftirlit með framkvæmd laganna. Er áfram byggt á því fyrirkomulagi
að hafa í einum lögum fyrirmæli um skráningu af hálfu opinberra aðila og einkaaðila og
áfram er byggt á starfsleyfisskyldu skráningaraðila en ekki tilkynningarskyldu.
Engar athugasemdir við einstakar greinar fylgdu þingnefndarfrumvarpi því er síðar
varð að lögum nr. 63/1981 og nr. 39/1985. Er úr því bætt í frumvarpi þessu og fylgja því
skýringar við einstakar greinar. Kafla- og greinaskipan frumvarpsins er að mestu í
samræmi við kafla- og greinaskipan gildandi laga.
Ýmis ákvæði gildandi laga um valdsvið og verkefni tölvunefndar og heimildir
nefndarinnar í einstökum tilvikum eru óljós. Miðar frumvarpið m.a. að því að afmarka
valdsvið nefndarinnar nánar og taka af skarið varðandi ýmsar heimildir nefndarinnar sem
áður var óljóst hvort nefndin hefði. Er nánari grein gerð fyrir þessum atriðum í
athugasemdum við einstakar greinar, en hér á eftir skal gefið stutt yfirlit yfir helstu
breytingar á ákvæðum gildandi laga sem frumvarp þetta gerir ráð fyrir:
1. Frumvarpið gerir ráð fyrir nýju heiti laganna, þ.e. að þau heiti lög um skráningu og
meðferð persónuupplýsinga, en gildandi lög heita lög um kerfisbundna skráningu
á upplýsingum er varða einkamálefni.
2. Í 1. mgr. 1. gr. frumvarpsins er orðið „persónuupplýsingar“ notað um það sem í
gildandi lögum er kallað „upplýsingar varðandi einkamálefni einstaklinga“ og er
hugtakið persónuupplýsingar nánar skilgreint í 3. mgr. 1. gr.
frumvarpsins. Í 1.
mgr. 1. gr.
frumvarpsins eru lögin sögð
taka til
skráningar
og
„annarrar
meðferðar“ á
persónuupplýsingum, en í
gildandi
lögum
einvörðungu talað
um
skráningu.
3. Í II. kafla frumvarpsins, sem fjallar um heimild til skráningar, er greint með skýrari
hætti annars vegar á milli þeirra upplýsinga sem eru sérstaklega viðkvæmar og eru
þær greindar í 1. mgr. 4. gr. frumvarpsins og hins vegar annarra upplýsinga. Gilda
strangari reglur um heimild til skráningar hinna fyrrnefndu upplýsinga og aðra
meðferð þeirra, t.d. um aðgang að skráðum upplýsingum, sbr. ákvæði III. kafla
frumvarpsins.
4. III. kafli frumvarpsins „Um aðgang að skráðum upplýsingum“ kemur í stað V. kafla
gildandi laga sem ber heitið: „Upplýsingar látnar í té öðrum en hinum skráða“.
Ákvæðum um bann við samtengingu skráa og undanþágur frá því banni er skipað í
þennan kafla. Kveðið er skýrar á um það hverjar heimildir tölvunefnd hefur til þess
að veita aðgang að upplýsingum og settar eru viðmiðunarreglur sem tölvunefnd skal
leggja til grundvallar við mat í þeim efnum. Veigamesta breytingin er sú sem fram
kemur í 3. mgr. 5. gr. frumvarpsins. Gerir hún ráð fyrir því að ekki megi nema í
undantekningartilvikum skýra frá upplýsingum sem eldri eru en fimm ára.
5. IV. kafli frumvarpsins, sem fjallar um rétt skráðra aðila og kemur í stað IV. kafla
gildandi laga, hefur að geyma mörg nýmæli. Settar eru ítarlegar reglur um skyldur
skrárhaldara þegar skráður aðili óskar upplýsinga um efni skráðra upplýsinga. Skulu
skrárhaldarar veita upplýsingar skv. 9. gr. skriflega og þeir skulu hafa svarað
tilmælum hins skráða innan fjögurra vikna, en gera ella fyrirspyrjanda skriflega
grein fyrir því af hverju tilmælum hans hefur ekki verið sinnt, sbr. ákvæði 12. gr.
frumvarpsins. Þá skal skrárhaldari, ef hann hafnar tilmælum aðila um að skýra frá
efni upplýsinga, vekja athygli hins skráða á því að hann geti borið ágreininginn undir
úrlausn tölvunefndar. Þá er það nýmæli að finna í 13. gr. frumvarpsins að skýrt er
kveðið á um það að ágreining um rétt til aðgangs að upplýsingum skv. IV. kafla geta
menn borið undir úrlausn tölvunefndar. Loks er það meðal nýmæla í kafla þessum
að þegar um aðrar upplýsingar er að ræða en upplýsingar um fjárhagsmálefni og
lánstraust getur tölvunefnd lagt fyrir skráningaraðila að senda skriflega leiðréttingu
til þeirra er rangar upplýsingar hafa fengið.
6. V. kafli frumvarpsins, sem fjallar um skráningu upplýsinga um fjárhagsmálefni og
lánstraust, kemur í stað 5. gr. gildandi laga og felur í sér verulegar breytingar frá ákvæðum gildandi laga. Er nánari grein gerð fyrir
því í
athugasemdum við
þann kafla
og vísast
þangað, en
í stuttu
máli má
segja að
kaflinn
hafi að
geyma
nýjar og
strangari
reglur um
skyldur
skrárhaldara, um
rétt
skráðra
aðila, um
eðli
upplýsinga og aldur
þeirra og
hvaðan
þær eru
fengnar.
7. Ákvæði VI. kafla um nafnalista og nafnaáritanir og um markaðs- og
skoðanakannanir er nýmæli hvað varðar ákvæði um nafnalista og nafnaáritanir. Er
þar m.a. kveðið á um starfsleyfisskyldu þeirra sem slíka þjónustu hafa með höndum,
hvaða upplýsingar þeir megi hafa á skrám, skyldu þeirra til þess að láta það koma
fram í áritun, úr hvaða skrá nafn er fengið og um takmarkanir á rétti skrárhaldara til
þess að selja öðrum upplýsingarnar. Eru þetta allt nýmæli. Ákvæði 24. gr. um
framkvæmd markaðs- og skoðanakannana eru að mestu í samræmi við ákvæði
gildandi laga og framkvæmd þeirra, en þó er þar það nýmæli að finna að
afdráttarlaust er tekið fram að óheimilt sé að framkvæma slíkar kannanir án leyfis
tölvunefndar ef skráning lýtur að upplýsingum sem falla undir ákvæði laganna.
8. VII. kafli frumvarpsins, sem fjallar um tölvuþjónustu, er að mestu óbreyttur miðað
við ákvæði VI. kafla gildandi laga sem fjallar um sama efni.
9. X. kafli frumvarpsins kemur í stað VIII. kafla gildandi laga og fjallar um eftirlit með
framkvæmd laganna. Þau nýmæli er þar helst að finna að lagt er til í 30. gr. að
nefndarmönnum í tölvunefnd verði fjölgað úr þremur í fimm. Samkvæmt 32. gr.
frumvarpsins getur tölvunefnd krafið skrárhaldra og þá er á hans vegum starfa allra
þeirra upplýsinga sem nefndinni eru nauðsynlegar til þess að rækja eftirlitshlutverk sitt. Þá er það nýmæli að finna að tölvunefnd hefur án dómsúrskurðar aðgang að
húsnæði þar sem skráning fer fram eða þar sem skráningargögn eru varðveitt eða þau
eru til vinnslu. Í 3. mgr. 33. gr. frumvarpins er tekið af skarið um það að eftirlitsvald
tölvunefndar og þar með gildissvið laganna taki einnig til upplýsinga sem skráðar
voru fyrir gildistöku laganna. Loks er að finna ákvæði í 34. gr. um alþjóðlegt
samstarf á verndarsviði laganna og heimild til reglugerðarsetningar um það efni.
10. XI. kafli um refsingar og önnur viðurlög kemur í stað IX. kafla gildandi laga og er
efnislega eins að því þó viðbættu að ítarlegri ákvæði er að finna í frumvarpinu um
refsiábyrgð lögaðila.
11. Í XII. kafla um lagaframkvæmd og gildistöku er gildistími laganna ekki fyrir fram
markaður eins og er í gildandi lögum.
Athugasemdir við einstakar greinar frumvarpsins.
Um I. kafla.
Um gildissvið laganna.
Um 1. gr.
Greinin er efnislega samhljóða 1. gr. gildandi laga og markar gildissvið laganna. Af
ákvæðum frumvarpsgreinarinnar leiðir að skráning persónuupplýsinga er aðeins heimil
að því marki sem kveðið er á um í II. og V. kafla frumvarpsins.
Í frumvarpsgreininni er talað um kerfisbundna skráningu upplýsinga og skv. 1. mgr.
skiptir ekki máli hvort skráning er vélræn eða handunnin. Kerfisbundin aðferð við
geymslu upplýsinga, sem undir venjulegum kringumstæðum teldist ekki skrá, getur
fallið undir ákvæði laganna að öðrum skilyrðum fullnægðum. Má sem dæmi nefna
persónuupplýsingar í möppum sem varðveittar eru eftir ákveðnu kerfi. Af áskilnaði
frumvarpsgreinarinnar um kerfisbundna skráningu leiðir að utan gildissviðs
frumvarpsins falla einstakar tilviljunarkenndar skrár.
Þeir sem njóta verndar frumvarpsins eru einstaklingar, félög, fyrirtæki og stofnanir.
Utan verndarsviðsins falla hins vegar opinberir aðilar. Hér er að meginstefnu til haft í
huga einkalíf manna í sama skilningi og í XXV. kafla almennra hegningarlaga. Má sem
dæmi nefna fjölskyldumálefni manna, heilsuhagi, kynlíf, brotaferil, skoðanir manna á
trúmálum og stjórnmálum, tengsl manns við aðra menn eða álit manns á öðrum sem leynt
á að fara, ágreiningur og átök innan fjölskyldu sem eðlilegt er að leynt fari og lífsvenjur
manna. Upplýsingar þær, sem hér um ræðir, þurfa ekki að vera manni til hnjóðs eða
meiða æru hans. Það greinimark, sem við er stuðst, er það að sanngjarnt sé og eðlilegt að
upplýsingarnar fari leynt, sbr. ákvæði 3. mgr. frumvarpsgreinarinnar. Verður að meta
þetta hverju sinni og er matið afstætt. Er hér byggt á vísireglu sem tekur nokkurt mið af
venjuhelguðum viðhorfum við túlkun ákvæða XXV. kafla almennra hegningarlaga þótt
slíkt sé ekki einhlítt að því leyti að hér er einkalífssviðið, sem vernda á, nokkuð rýmra en
skv. XXV. kafla hegningarlaganna, sbr. t.d. fjárhagsmálefni. Utan gildissviðs
frumvarpsins falla skrár sem eingöngu hafa að geyma nöfn manna og heimilisföng,
símanúmer og stöðu, sbr. þó ákvæði VI. kafla. Það er þó skilyrði að hinar síðastnefndu
skrár séu ekki þannig upp byggðar og fram settar að úr þeim megi jafnframt lesa
upplýsingar sem falla undir ákvæði frumvarpsins.
Eins og áður segir er skráning upplýsinga þeirra, sem hér um ræðir, aðeins heimil að
því marki sem II. og V. kafli frumvarpsins leyfir, en samkvæmt köflum þessum er þeim er hafa tiltekna starfsemi með höndum, atvinnufyrirtækjum, félögum og stofnunum,
heimil skráning að ákveðnu marki, sbr. það sem síðar segir í athugasemdum við II. kafla.
Af ákvæðum frumvarpsins leiðir því að einstaklingum er óheimil skráning þeirra
upplýsinga er falla undir ákvæði frumvarpsins.
Í 1. mgr. 1. gr. gildandi laga segir að lögin taki til hvers konar kerfisbundinnar
skráningar á þeim upplýsingum sem falla undir lögin þótt lögin hafi að geyma fjölda
ákvæða um aðra meðferð slíkra upplýsinga, t.d. um aðgang að þeim. Þar sem frumvarp
þetta kveður bæði á um skráningu og aðra meðferð persónuupplýsinga þykir rétt að taka
þetta fram berum orðum í 1. mgr. 1. gr., enda er vernd frumvarpsins ekki takmörkuð við
skráninguna eina.
Í greininni er skýrt kveðið á um að lögin eigi við hvort heldur sem skráning er vélræn
eða handunnin. Í þessu felst ekki efnisbreyting frá gildandi lögum, en rétt þykir að taka
af öll tvímæli í þeim efnum. Í þessu felst það að ekki er í frumvarpinu gerður
greinarmunur á aðferðinni við söfnun og skráningu upplýsinga, enda tilgangur
frumvarpsins fyrst og fremst sá að veita vernd gegn óheimilli skráningu þeirra
upplýsinga, er lögin taka til, hver svo sem aðferðin er sem viðhöfð er. Eigi kemur fram
í 1. gr. gildandi laga að lögin taki bæði til vélrænnar og handunninnar skráningar þótt þau
hafi verið túlkuð þannig. Hefur þetta verið til þess fallið að valda misskilningi um
gildissvið þeirra.
Í 1. mgr. frumvarpsgreinarinnar er sú orðalagsbreyting gerð að orðið
persónuupplýsingar er notað sem safnheiti fyrir það sem í 1. mgr. 1. gr. gildandi laga
er kallað upplýsingar „varðandi einkamálefni einstaklinga, stofnana, fyrirtækja eða
annarra lögpersóna, sem sanngjarnt og eðlilegt er að leynt fari“. Þykir þessi
orðalagsbreyting horfa til einföldunar og hagræðis. Er hugtakið persónuupplýsingar
nánar skilgreint í 3. mgr. greinarinnar.
Í 1. mgr. er kveðið á um þá skráningaraðila sem frumvarpið tekur til. Fylgir
frumvarpið því meginsjónarmiði gildandi laga að fjalla í einu lagi um skráningu af hálfu
opinberra aðila og einkaaðila. Ekki þykir ástæða til þess að setja sérstakar reglur um
skráningu af hálfu opinberra aðila þar sem ætla verður að 3. gr. frumvarpsins búi
einkalífsvernd manna næga vernd hvort heldur sem skráningin er af hálfu opinberra aðila
eða einkaaðila þar sem það er jafnan skilyrði skráningar að hún sé eðlilegur þáttur í
starfsemi viðkomandi aðila.
Í gildandi lögum er talað um einkamálefni og fjárhagsmálefni þeirra aðila sem lögin
tilgreina, en í frumvarpinu er tekið fram að með persónuupplýsingum sé auk upplýsinga
um einkamálefni og fjárhagsmálefni einnig átt við önnur málefni sem sanngjarnt er og
eðlilegt að leynt fari. Skilgreining hugtakanna einkamálefni og fjárhagsmálefni geta
oft valdið vafa. Er hér því farið að fyrirmynd 1. gr. dönsku e.s.l. um skráningu af hálfu
einkaaðila og til öryggis bætt við upptalninguna á einkamálefnum og fjárhagsmálefnum
öðrum málefnum.
Verndin samkvæmt greininni miðast við það að sanngjarnt sé og eðlilegt að
viðkomandi upplýsingar fari leynt. Hér er um matskennda viðmiðun að ræða, en hún
stafar af því að ekki verður í öllum tilvikum fyrir fram afmarkað með nákvæmum hætti
hverjar upplýsingar sanngjarnt er og eðlilegt að leynt fari. Heyrir það undir tölvunefnd
að skera úr um það hvað sé sanngjarnt og eðlilegt í þessum efnum, sbr. m.a. X. kafla
frumvarpsins.
Í 4. mgr. er orðunum „kennitölu eða öðru“ skráningarauðkenni bætt við. Er það til samræmis við breytta skráningarhætti af hálfu Hagstofu Íslands, þ.e. að taka upp
kennitölu í stað nafnnúmers.
Um 2. gr.
Frumvarpsgreinin er sama efnis og 2. gr. gildandi laga og hefur að geyma tæmandi
talningu á því hvaða skráningarstarfsemi falli utan gildissviðs laganna. Sú
skráningarstarfsemi, sem fellur utan marka laganna, er:
1. Skráning samkvæmt lögum nr. 30/1956.
2. Skráning í þágu ættfræðirannsókna og æviskrárrita.
Æviskrárritun samkvæmt lögum nr. 30/1956, um skráningu Íslendinga, til stuðnings
mannfræði- og ættfræðirannsóknum hér á landi fellur utan marka laganna og sömuleiðis
önnur skipulagsbundin skráning í þágu ættfræðirannsókna og æviskrárrita. Við
ættfræðirannsóknir og samningu æviskrárrita kann eigi að síður að þurfa að gæta annarra
reglna er varða vernd einkalífs, sbr. t.d. Hrd. 1968 á bls. 1007.
Eins og fyrr segir er upptalning 2. gr. tæmandi. Af því leiðir að t.d. skráning í þágu
vísindarannsókna fellur tvímælalaust undir gildissvið laganna. Við setningu fyrstu
tölvuverndarlaganna í Danmörku var skráning í þágu vísindarannsókna og
tölfræðiskýrslna undanþegin ákvæðum dönsku laganna. Því fyrirkomulagi var í sjálfu
sér ekki breytt við endurskoðun dönsku laganna 1987, en þó bætt við lögin ákvæði þess
efnis að slík skráning megi ekki fara fram nema tölvueftirlitinu hafi fyrst verið tilkynnt
um skráninguna. Gegnir hinu sama um venjulegar markaðs- og skoðanakannanir ef um
skráningu einkalífsatriða er jafnframt að ræða. Af ákvæðum II. kafla frumvarps þessa
leiðir að skráning í þágu vísindarannsókna og tölfræðiskýrslna er því aðeins heimil að
fullnægt sé skilyrðum 3. og 4. gr. frumvarpsins.
Um II. kafla.
Almennar reglur um heimild til skráningar.
Kaflinn hefur að geyma almennar reglur um heimild til skráningar. Reglur kaflans
spanna vítt svið þar sem þær eiga við um sérhverja skráningu persónuupplýsinga er 1. gr.
frumvarpsins tekur til og hafa þær því einkenni almennra viðmiðunarreglna. Um
skráningu upplýsinga um fjárhagsmálefni og lánstraust og um starfsemi þeirra er hafa
með höndum sölu nafnalista og límmiðaáritana gilda sérákvæði V. og VI. kafla
frumvarpsins.
Reglur kaflans taka fyrst og fremst til þeirra er hafa með höndum einhvers konar
starfsemi eða atvinnurekstur, en eru þó ekki einskorðaðar við slíka aðila. Er í 3. gr.
frumvarpsins talað um skráningu af hálfu „viðkomandi aðila“. Það er í sjálfu sér ekki
nákvæmt viðmiðunarmark, en vandkvæðum er bundið að telja það með tæmandi hætti
hverjir hér koma til greina. Ljóst er að fyrirtæki, félagasamtök, stofnanir,
stjórnmálaflokkar og trúfélög lúta reglum kaflans, svo að einhver dæmi séu nefnd, og það
gera einnig sjálfstætt starfandi einstaklingar eins og læknar, lögmenn og
endurskoðendur. Þá lýtur skráning af hálfu opinberra aðila og ákvæðum kaflans, svo sem
gildissvið frumvarpsins er markað í 1. gr. þess.
Um 3. gr.
Greinin er samhljóða 3. gr. gildandi laga hvað efni og orðalag varðar og setur almenn
skilyrði fyrir heimild til skráningar persónuupplýsinga er 1. gr. frumvarpsins tekur til. Reglur 3. og 4. gr. eiga einvörðungu við um skráningu upplýsinga til eigin nota fyrir
skrárhaldara. Um heimild til þess að miðla upplýsingunum til annarra er hins vegar
fjallað í III. kafla frumvarpsins um aðgang að skráðum upplýsingum. Afhending skráðra
upplýsinga til lögmanns eða endurskoðanda, svo að einhver dæmi séu nefnd, eða til
varðveislu eða úrvinnslu í tölvu hjá tölvuþjónustufyrirtæki, sem einvörðungu notar
upplýsingar til ákveðinnar úrvinnslu, telst ekki til afhendingar eða miðlunar upplýsinga.
Annars vegar er það skilyrði sett í 3. gr. að skráningin sé eðlilegur þáttur í starfsemi
viðkomandi skráningaraðila. Hins vegar er það skilyrði að skráningin taki eingöngu til
þeirra sem tengjast starfi hans eða verksviði.
Viðmiðunarmarkið „eðlilegur þáttur“ í starfsemi viðkomandi aðila er að sjálfsögðu
teygjanlegt og matskennt eins og áður er að vikið, enda ekki unnt að setja fram á tæmandi
hátt hver efnisatriði eigi að ráða úrslitum. Hefur viðmiðunarmark þetta því einkenni
vísireglu. Almennt má segja að jafnan sé heimilt að skrá upplýsingar að því marki sem
slíkt er nauðsynlegt til efnda á ýmsum lagaskyldum, t.d. reglum skattalaga. Verður að
meta það í hverju tilfelli hvað teljist eðlilegur þáttur í starfsemi tiltekins aðila. Margs
konar skráning persónutengdra upplýsinga getur verið eðlilegur þáttur í starfsemi ýmissa
aðila. Má þar vísa til þeirra dæma sem nefnd eru í greininni, þ.e. skrár um viðskiptamenn,
starfsmenn eða félagsmenn. Fyrirsvarsmönnum fyrirtækis er oft nauðsynlegt að halda
skrár er hafa að geyma ýmsar upplýsingar um starfsmenn þess og hinu sama gegnir um
félög ýmiss konar. Þeim kann að vera nauðsynlegt að halda skrár með ýmsum
upplýsingum um félagsmenn sína. Af efni greinarinnar leiðir hins vegar að því eru settar
hömlur vegna tillits til einkalífs manna hverjar upplýsingar megi taka í slíkar skrár og um
hverja. Þannig má sem dæmi nefna að læknir skráir almennt ekki upplýsingar um fjárhag
sjúklinga sinna og lánstraust og sá sem heldur skrá um fjárhagsmálefni og lánstraust
skráir ekki heilsufarsupplýsingar.
Um 4. gr.
Greinin svarar að mestu til 4. gr. gildandi laga þótt orðalagi og framsetningu sé
nokkuð breytt.
Frumvarpsgreinin fjallar um skráningu þeirra upplýsinga sem eru taldar sérstaklega
viðkvæmar persónuupplýsingar. Upplýsingar þær, sem nefndar eru í 1. mgr. 4. gr., eru
upplýsingar um litarhátt, kynþátt, stjórnmálaskoðanir, trúarbrögð, brotaferil, kynlíf,
heilsuhagi, lyfja-, áfengis- og vímuefnanotkun og veruleg félagsleg vandamál.
Upplýsingarnar eru hins vegar ekki tæmandi taldar, sbr. ákvæði e-liðar 1. mgr. 4. gr.
Meginreglan er sú að skráning umræddra upplýsinga er óheimil. Þykir nauðsynlegt
að geta þessa sérstaklega og taka af allan vafa í þeim efnum. Undantekningar frá þessu
fortakslausa banni er að finna í 2. mgr. frumvarpsgreinarinnar þar sem fram kemur í
fyrsta lagi að skráning sé heimil leiði slíkt af ákvæðum annarra laga. Í öðru lagi getur
skráning þessara upplýsinga verið heimil ef hinn skráði hefur látið upplýsingarnar sjálfur
í té eða þeirra verið aflað með samþykki hans. Í báðum tilvikum er það þó skilyrði að
upplýsinganna hafi verið aflað við þær aðstæður að hinum skráða gat ekki dulist að
ætlunin var að skrá upplýsingarnar. Þessu skilyrði yrði talið fullnægt, ef hinn skráði hefur
beinlínis samþykkt skráninguna og slíkt samþykki verður oft einnig leitt af atvikum og
aðstæðum við skráninguna. Sem dæmi má nefna umsókn hins skráða um þátttöku í
félagsskap fólks sem haldið er tilteknum sjúkdómi og umsókn um inngöngu í
stjórnmálafélag eða trúfélag. Einnig má sem dæmi nefna upplýsingar um heilsuhagi sem hinn skráði gefur lækni í tengslum við ákveðna sjúkdómsmeðferð.
Þótt ekki segi það berum orðum í greininni er það eigi að síður skilyrði skráningar að
skrárhaldara sé ekki einungis nauðsynlegt að skrá upplýsingarnar, heldur einnig að hafa
þær undir höndum til þess að gæta eigin hagsmuna eða annarra. Svo sem 4. gr.
frumvarpsins er orðuð yrði það væntanlega einungis í undantekningartilvikum að þeim
er hafa með höndum venjulegan atvinnurekstur teldist heimilt að skrá upplýsingar skv.
1. mgr. 4. gr.
Þess er áður getið að upplýsingar þær, sem falla undir bannákvæði 1. mgr. 4. gr., eru
ekki tæmandi taldar í frumvarpsgreininni. Aðrar upplýsingar um einkalíf manna, sem
jafna má til þeirra sem upp eru taldar, falla hér einnig undir.
Sem dæmi um skrár, sem eðlilegt er að haldnar séu, eru t.d. skrár um starfsmenn,
viðskiptamenn, dreifingaraðila og samkeppnisaðila. Starfsmannaskrá má þó aðeins hafa
að geyma upplýsingar sem nauðsynlegar eru í sambandi við eðlilega stjórnun fyrirtækis,
t.d. upplýsingar um nafn, heimilisfang og nafnnúmer eða kennitölu, stöðu í fyrirtæki,
starfshæfni, upplýsingar um tekjur og skatta viðkomandi starfsmanns og veikindadaga
hans, en ekki upplýsingar um stjórnmála- eða trúarskoðanir starfsmanns. Ef trúarviðhorf
starfsmanns er þess valdandi að hann vill ekki vinna á tilteknum vinnutímum, t.d.
laugardegi, væri eðlilegt að slíkt kæmi fram í skrá, en þó án þess að ástæðunnar sé getið.
Hvað skrár um viðskiptamenn varðar er það að segja að auk nafns og heimilisfangs er
eðlilegt að slíkar skrár geymi upplýsingar um t.d. afhendingu vöru og greiðsluáætlun
kaupanda. Um þá viðskiptavini, sem eru í reikningsviðskiptum, er ekki óeðlilegt að
skráðar séu upplýsingar um fjárhag þeirra og lánstraust, enda er þar oftast um að ræða
upplýsingar sem hinn skráði hefur sjálfur látið í té. Lánastofnanir veita oft ekki lán nema
fyrir liggi ítarlegar upplýsingar um fjárhag lántaka, t.d. ársreikningar, efnahagsyfirlit
o.s.frv., sem lántaki sendir lánastofnun. Þá verður og að telja að fyrirtæki sé heimilt að
skrá upplýsingar um fjárhag og lánstraust viðskiptamanna sinna sem fyrirtækið hefur
fengið hjá öðrum en hinum skráða, t.d. starfsleyfishafa skv. V. kafla frumvarpsins.
Til viðbótar þeim skrám, sem hér voru nefndar og eðlilegar teljast, má nefna
sérhæfðari skrár sem eftir atvikum geta átt rétt á sér. Þannig má sem
dæmi nefna skrár fasteignasala um hugsanlega kaupendur, skrár listaverkasala um
eigendur mynda eftir tiltekinn listamann og sjúklingaskrár lækna. Þegar um skrár
vinnuveitenda og launþegasamtaka er að ræða verður að meta það í hverju einstöku
tilviki hvað er eðlilegt umfang skráningar af hálfu viðkomandi aðila.
Eins og áður segir er frumvarpsgreinin sama efnis og 1. mgr. 4. gr. gildandi laga. Við
upptalningu 1. mgr. er þó bætt nýju atriði sem óheimilt er að skrá, en það eru upplýsingar
um veruleg félagsleg vandamál hins skráða. Sem dæmi tilvika, sem hér eru höfð í huga,
eru upplýsingar um ósamlyndi milli hjóna eða milli foreldra og barna, upplýsingar um
slys eða annað óhapp sem haft hefur alvarlegar persónulegar og félagslegar afleiðingar
í för með sér, upplýsingar um langvarandi atvinnuleysi hins skráða og upplýsingar um
að hinn skráði hafi þegið bætur eða styrki af hinu opinbera af einhverju tagi.
Í gildandi lögum er ekki skýrlega tekið fram að tölvunefnd hafi heimild til þess að
veita undanþágur frá reglum 1. mgr. 4. gr. laganna. Eins og ársskýrslur tölvunefndar bera
með sér beinist mikill fjöldi þeirra erinda, sem nefndinni berast, að því að fá undanþágur
frá ákvæðum 1. mgr. 4. gr. gildandi laga. Tölvunefnd hefur frá fyrstu tíð túlkað valdsvið
sitt skv. VIII. kafla gildandi laga svo að hún geti veitt slíkar undanþágur. Í 3. mgr. 4. gr.
frumvarpsins er lagt til að þessi framkvæmd verði staðfest og er það til samræmis við ákvæði 3. mgr. 3. gr. dönsku e.s.l. og 9. gr. norsku laganna.
Um III. kafla.
Um aðgang að skráðum upplýsingum.
Í II. kafla frumvarpsins er að finna almennar reglur um heimild til skráningar, en í III. kafla
er fjallað um miðlun upplýsinga, þ.e. að hvaða marki skráningaraðilar hafi heimild til þess að
skýra þriðja manni, þ.e. öðrum en hinum skráða, frá efni skráðra upplýsinga. Um rétt skráðra
aðila til aðgangs að skráðum upplýsingum um þá sjálfa er hins vegar fjallað í IV. kafla
frumvarpsins.
Meginregla frumvarpsins varðandi miðlun upplýsinga, er falla undir ákvæði laganna, er sú
að óheimilt sé að miðla upplýsingum, er falla undir ákvæði laganna, án samþykkis hins skráða
nema því aðeins að miðlun upplýsinganna sé eðlilegur þáttur í venjubundinni starfsemi
skráningaraðilans. Sérstaklega viðkvæmum upplýsingum er þó ekki heimilt að miðla án
samþykkis hins skráða, nema að fullnægðum ákveðnum skilyrðum. Sérstakar reglur gilda um
miðlun upplýsinga er varða fjárhagsmálefni og lánstraust, sbr. ákvæði V. kafla frumvarpsins,
enda hafa slíkar upplýsingar og miðlun þeirra verulega sérstöðu.
Með miðlun upplýsinga er, eins og áður segir, átt við það að upplýsingar séu látnar öðrum
í té en hinum skráða. Ýmis vafatilvik geta komið upp varðandi mat á því hver sé þriðji maður
í þessu sambandi. Afhending upplýsinga af hálfu félags eða samtaka til meðlima sinna um
tiltekna einstaklinga mundi falla undir miðlun upplýsinga í þessu sambandi. Hinu sama gegnir
um afhendingu upplýsinga frá tilteknu hlutafélagi til annars félags sem tilheyrir sömu
fyrirtækjasamsteypu. Hins vegar teldist það ekki miðlun upplýsinga í skilningi III. kafla þegar
skrárhaldari fær tölvuþjónustufyrirtæki upplýsingar til vinnslumeðferðar, enda noti
þjónustufyrirtækið upplýsingarnar einungis til þess að vinna úr þeim með þeim hætti sem um
var beðið, sbr. ákvæði 3. mgr. 25. gr. frumvarpsins.
Um 5. gr.
Frumvarpsgreinin fjallar að nokkru um sama efni og 7. og 16. gr. gildandi laga þótt bæði efni
og framsetning sé með nokkuð öðrum hætti en efni og framsetning sambærilegra ákvæða í
gildandi lögum. Er í frumvarpinu farið að fyrirmynd 1. og 2. mgr. 4. gr. dönsku e.s.l.
Í frumvarpsgreininni er greint á milli tvenns konar upplýsinga. Annars vegar þeirra
persónuupplýsinga sem greinir í 1. mgr. 4. gr. frumvarpsins og þykja sérstaklega viðkvæmar
og hins vegar annarra skráðra upplýsinga. Um hinar fyrrnefndu upplýsingar er fjallað í 1. og
2. mgr. 5. gr., en í 3. mgr. um hinar síðarnefndu. Ástæða þessa er sú að skráning þeirra
upplýsinga, er greinir í 1. mgr. 4. gr., er aðeins heimil í undantekningartilvikum og þykir því
eðlilegt að með sama hætti sé miðlun slíkra upplýsinga einungis heimil að uppfylltum ströngum
skilyrðum.
Samkvæmt 1. mgr. frumvarpsgreinarinnar er almennt bannað að skýra frá sérstaklega
viðkvæmum upplýsingum, nema hinn skráði hafi ótvírætt veitt til þess samþykki sitt. Í 2. mgr.
er þó gert ráð fyrir því að tölvunefnd geti veitt undanþágu frá banni 1. mgr. ef fullnægt er þeim
skilyrðum sem þar greinir. Í gildandi lögum er ekki kveðið berum orðum á um heimild
tölvunefndar í þessum efnum, en með frumvarpsgreininni er staðfest sú framkvæmd sem fylgt
hefur verið í tíð gildandi laga.
Í fyrri málslið 1. mgr. frumvarpsgreinarinnar er gert ráð fyrir því að heimilt geti verið
samkvæmt ákvæðum annarra laga að skýra frá þeim upplýsingum er um ræðir í 1. mgr. 5. gr.
Standa ákvæði frumvarpsins því ekki í vegi að slíkri upplýsingaskyldu verði sinnt.
Í 3. mgr. greinarinnar er fjallað um aðrar skráðar upplýsingar en þær sem þykja sérstaklega
viðkvæmar. Eru í greininni sett tvö skilyrði fyrir því að skýra megi frá slíkum upplýsingum. Annaðhvort skal hinn skráði hafa veitt samþykki sitt fyrir miðlun upplýsinganna eða
upplýsingamiðlunin sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans. Rétt eins
og 3. gr. frumvarpsins setur það almenna skilyrði fyrir skráningu upplýsinga er falla undir
ákvæði laganna að hún sé eðlilegur þáttur í starfsemi viðkomandi aðila er einnig í 3. mgr. 5. gr.
áskilið að upplýsingamiðlunin sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans.
Rétt er að hafa það í huga að heimild til skráningar upplýsinga af þessu tagi skv. 3. gr.
frumvarpsins veitir ekki sjálfkrafa heimild til þess að miðla hinum skráðu upplýsingum. Því
verður sjálfstætt að meta það skilyrði 3. mgr. 5. gr. að miðlun upplýsinga sé eðlilegur þáttur í
venjubundinni starfsemi skráningaraðilans og óháð skilyrði 3. gr. frumvarpsins. Til þess að
miðlun upplýsinganna sé heimil þarf miðlunin sem slík að vera í eðlilegum verkahring
skrárhaldara.
Um það, hvenær miðlun upplýsinga getur talist vera þáttur í eðlilegum verkahring
skrárhaldara, er erfitt að gefa nákvæmar reglur sem við geta átt í öllum tilvikum. Sem dæmi má
þó nefna að eðlilegt getur verið að eitt atvinnufyrirtæki veiti öðru fyrirtæki að ósk hins síðara
upplýsingar um tiltekinn starfsmann sinn, fyrrverandi eða núverandi, sem óskar eftir starfi í
hinu síðarnefnda fyrirtæki.
Í 2. mgr. 7. gr. gildandi laga er ákvæði þess efnis að afmá skuli skráðar upplýsingar sem
vegna aldurs eða af öðrum ástæðum hafa glatað gildi sínu, miðað við það hlutverk sem skrá er
ætlað að gegna. Ekki er þó í því ákvæði sagt hversu gamlar upplýsingar megi verða. Það nýmæli
kemur fram í 3. mgr. 5. gr. frumvarpsins að sett er skilyrði er varðar aldur þeirra upplýsinga sem
miðla skal. Skráðar upplýsingar geta vegna aldurs glatað gildi sínu eða þýðing þeirra breyst og
þykir því rétt að setja almenna viðmiðun um aldur þeirra upplýsinga er miðla skal. Aldrei er
heimilt að skýra frá efni upplýsinga um atriði sem eldri eru en fimm ára, en þó er gert ráð fyrir
því að láta megi eldri upplýsingar í té ef sýnt er fram á að aðgangur að þeim geti haft
úrslitaþýðingu við mat á tilteknu atriði er tengist upplýsingunum. Ágreiningi milli þess er hinar
skráðu upplýsingar varða og hins er þeim miðlar um það hvort framangreindu skilyrði sé
fullnægt geta aðilar skotið til úrskurðar tölvunefndar, sbr. 13. gr. frumvarpsins. Samkvæmt
þessu ákvæði er ekki nægilegt að sjálfar upplýsingarnar hafi úrslitaþýðingu við mat á tilteknu
atriði, heldur aðgangur að upplýsingunum. Því er það svo að geti sá er
upplýsinga óskar fengið þær hjá hinum skráða sjálfum ætti skrárhaldari að jafnaði ekki að veita
aðgang að upplýsingunum. Af þessu ákvæði frumvarpsgreinarinnar leiðir að í öllum
venjulegum tilvikum yrði óheimilt að skýra frá upplýsingum um atvik sem eldri eru en fimm
ára. Það liggur þó í hlutarins eðli að vissar upplýsingar geta ekki fallið undir fyrningarákvæði
þessarar greinar. Þannig má sem dæmi nefna upplýsingar um fæðingardag og hjúskaparstöðu.
Fjórða málsgrein er samhljóða 2. mgr. 16. gr. gildandi laga og þarfnast ekki skýringa.
Um starfsemi þeirra aðila, sem bundnir eru þagnarskylduákvæðum samkvæmt öðrum
réttarheimildum, t.d. lækna og lögfræðinga, gilda auk laga þessara ákvæði þeirra laga er um
slíka þagnarskyldu mæla.
Í 3. mgr. 4. gr. dönsku e.s.l. er miðlun upplýsinga til nota við tölfræðiathuganir og í vísinda
skyni undanþegnar bannákvæði 2. mgr. 4. gr. dönsku laganna sem svarar til 3. mgr. 5. gr.
frumvarpsins þótt slík skráning sé tilkynningarskyld svo sem að er vikið í athugasemdum við
2. gr. frumvarps þessa. Gegnir hinu sama um miðlun upplýsinga um heilsufarsmálefni. Eins og
ársskýrslur tölvunefndar bera með sér hefur beiðnum um aðgang að upplýsingum, t.d.
heilsufarsupplýsingum, til nota við vísindarannsóknir og tölfræðiathuganir farið fjölgandi.
Hefur tölvunefnd í tíð gildandi laga túlkað lögin svo að skrárhöldurum sé eigi heimilt að veita
aðgang að slíkum upplýsingum án samþykkis nefndarinnar. Ekki þykja í frumvarpi þessu efni til að víkja frá þeirri framkvæmd og taka upp sambærilega reglu og í Danmörku, enda mála
sannast að viðamesta söfnun upplýsinga um einkamálefni manna fer fram í þágu ýmiss konar
rannsóknarstarfsemi. Er því nauðsynlegt að haft sé eftirlit með því að slík rannsóknarstarfsemi
fari ekki á svig við ákvæði laga þessara og er það hlutverk tölvunefndar að hafa eftirlit með því.
Um 6. gr.
Greinin svarar til 6. gr. gildandi laga og fjallar um samtengingu skráa. Orðalag 1. og 2. mgr.
er óbreytt að öðru leyti en því að kennitala kemur í stað nafnnúmers.
Tækni á sviði tölvumála tekur stöðugum framförum. Með nýrri tækni er tiltölulega auðvelt
að tengja saman hinar ýmsu skrár er hafa að geyma upplýsingar um einkamálefni manna og
safna á einn stað miklu magni upplýsinga um þá og ná þannig fram ákveðinni heildarmynd af
þeim. Frumvarpsgrein þessi hefur það markmið að tryggja að ekki verði með samtengingu skráa
(oft nefnd
samkeyrsla) safnað saman upplýsingum um einkamálefni manna frá ólíkum skráningaraðilum
og þær síðan notaðar til þess að ná fram ákveðinni heildarmynd af hinum skráða, mynd sem
hann gat ekki vænst að hægt væri að ná fram þegar hann gaf umræddar upplýsingar.
Samkvæmt frumvarpsgreininni er óheimilt að tengja saman skrár óskyldra skráningaraðila,
þegar um er að ræða upplýsingar sem falla undir ákvæði laganna. Greinimarkið er það að um
sé að ræða skrár óskyldra aðila. Vel er hugsanlegt að einn og sami aðilinn haldi af
hagkvæmniástæðum tvær eða fleiri skrár, t.d. til þess að koma í veg fyrir hættu á misnotkun
skráa. Ákvæði 1. mgr. frumvarpsgreinarinnar stendur því ekki í vegi að slíkur aðili geti keyrt
saman skrár sínar. Sem dæmi má nefna að haldi skráningaraðili eina skrá sem hefur að geyma
nöfn og heimilisföng starfsmanna sinna og aðra sem hefur að geyma upplýsingar um laun,
sjúkrafjarvistir o.s.frv. stendur ákvæði þetta því ekki í vegi að skrár þessar megi keyra saman
til þess að senda út launaseðla til starfsmannanna. Hið sama gildir um heimild fyrirtækis, sem
hefur yfirtekið annað fyrirtæki, til þess að keyra sínar eigin skrár saman við skrár þess fyrirtækis
sem yfirtekið var. Þá er og rétt að hafa það í huga að samtengingarbannið á aðeins við þar sem
báðar skrárnar hafa að geyma upplýsingar um einkamálefni.
Í 3. mgr. eru settar fyllri reglur en eru í gildandi lögum um heimild tölvunefndar til þess að
veita undanþágur frá samtengingarbanni 1. mgr. Heimild tölvunefndar er takmörkuð við að
fullnægt sé sömu skilyrðum og fram koma í 2.–4. mgr. 5. gr. þegar veittur er aðgangur ella að
upplýsingum, enda felur samtenging í sér ákveðna aðferð við að veita aðgang að skráðum
upplýsingum. Er því eðlilegt að sömu reglur gildi um heimild til þess að veita aðgang að
upplýsingum hver svo sem aðferðin er. Af tilvísun 3. mgr. 6. gr. frumvarpsins til skilyrða þeirra,
sem fram koma í 2.–4. mgr. 5. gr., leiðir að skilyrði þau, sem fullnægja þarf, eru tvenns konar.
Þegar um er að ræða sérstaklega viðkvæmar upplýsingar, sbr. 1. mgr. 4. gr. frumvarpsins, þarf
að sýna fram á, að brýnir almannahagsmunir eða hagsmunir einstaklinga, þar með taldir
hagsmunir hins skráða, krefjist þess, enda sé ótvírætt að þörfin á að fá upplýsingarnar vegi
þyngra en tillitið til þess aðila er upplýsingarnar varða að þeim sé haldið leyndum. Ef um aðrar
upplýsingar er að ræða en þær sem um ræðir í 1. mgr. 4. gr. frumvarpsins þarf slík
upplýsingamiðlun að vera eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans.
Almennt gildir sú regla að eigi verður veittur aðgangur að upplýsingum um atvik sem eru
eldri en fimm ára nema við eigi niðurlagsákvæði 3. mgr. 5. gr.
Til viðbótar er sett það skilyrði að ótvírætt sé að markmið samtengingar vegi þyngra en tillitið
til hagsmuna þeirra er hinar skráðu upplýsingar varða.
Rétt þykir að tölvunefnd geti bundið samtengingu þeim skilyrðum sem hún telur nauðsynleg. Ekki þykir fært að tilgreina með tæmandi hætti slík skilyrði. Eru því í dæma skyni tilgreind tvö
skilyrði í niðurlagi 3. mgr. 6. gr.
Um 7. gr.
Greinin svarar til 17. gr. gildandi laga og er að mestu eins. Þó er lagt til að sú
orðalagsbreyting verði gerð frá ákvæði gildandi laga að í stað þess að binda heimildina við
sjúkraála sjúkrahúss eða aðrar sjúklingaskrár þess megi einnig veita upplýsingar úr öðrum
sjúklingaskrám. Í þessu felst ákveðin rýmkun á gildissviði ákvæðisins þannig að ótvírætt sé að
ákvæðið nái t.d. til sjúklingaskráa meðferðarstofnana og skráa einstakra lækna.
Frumvarpsgreinin hefur að geyma fyrirmæli um það með hvaða skilmálum upplýsingar úr
sjúklingaskrám um tiltekna aðila verði látnar öðrum í té. Ljóst er að hér er um viðkvæmar
persónuupplýsingar að ræða. Hins vegar er oft þörf á að veita með hröðum hætti aðgang að
þessum upplýsingum, þ.e. ef viðkomandi maður sýkist og þarf læknisrannsóknar eða
læknisaðgerðar með. Er viðkomandi sjálfum þá mikið hagsmunamál að upplýsingar séu
aðgengilegar fyrir þá sem um heilsu hans fjalla.
Samkvæmt 1. mgr. er heimilt að veita lækni eða tannlækni, sem hefur mann til
læknismeðferðar, upplýsingar úr sjúklingaskrám o.fl. varðandi þennan mann. Upplýsingar geta
einnig tekið til vandamanna hans þegar slíkt er talið skipta máli vegna læknismeðferðar á
manninum. Ákvæðið tekur ekki einvörðungu til rannsókna o.fl. á sjúkrahúsi sem viðkomandi
hefur sætt þá næst á undan heldur varðar einnig fyrri sjúkraferil hans og sjúkrasögu á sjúkrahúsi
að svo miklu leyti sem máli getur skipt. Áskilið er að maður sé til læknismeðferðar hjá lækni
eða tannlækni, en þeir eru þagnarskyldir að lögum um það sem þeir fá vitneskju um úr skrám
þessum. Upplýsingar um vandamenn manns má veita lækni og er það þá skilyrði að slíkt skipti
máli vegna læknismeðferðar á manninum.
Um 8. gr.
Frumvarpsgreinin svarar að mestu til 18. gr. gildandi laga þótt orðalagi hafi verið breytt lítils
háttar. Ákvæðið á við um upplýsingar sem falla undir ákvæði laganna, þar með taldar
upplýsingar skv. 1. mgr. 4. gr. Í 18. gr. gildandi laga er ekki tekið fram hvaða aðili eigi úrlausn
þess hvort veita
megi upplýsingar samkvæmt því ákvæði. Er í frumvarpinu lagt til að tölvunefnd eigi úrlausn
þess.
Ákvæðið getur samkvæmt orðanna hljóðan átt við þegar tiltekinna upplýsinga er þörf vegna
ákveðins dómsmáls. Þarf því að vera um ákveðnar, afmarkaðar upplýsingar að ræða. Því verður
ekki veittur aðgangur að almennum og ósundurgreindum upplýsingum samkvæmt þessu
ákvæði. Með öðrum laganauðsynjum í ákvæðinu er t.d. átt við gerðardómsmál þar sem slíkur
háttur er lögmæltur.
Ákvæðið veitir ekki heimild til aðgangs að upplýsingum sem sérstök þagnarskylda ríkir um
samkvæmt lögum, þ.e. slíkri þagnarskyldu verður ekki vikið til hliðar samkvæmt þessu ákvæði.
Sem dæmi lagaákvæða um þagnarskyldu sem ákvæði þetta hróflar ekki við má nefna ákvæði
læknalaga um þagnarskyldu lækna.
Um IV. kafla.
Um rétt skráðra aðila.
Það er almennt viðurkennt að eitt áhrifaríkasta úrræðið til þess að koma í veg fyrir skráningu
rangra og villandi upplýsinga eða upplýsinga, sem óheimilt er að skrá, sé að veita skráðum aðilum lagalegan rétt til þess að fá að kynna sér efni þeirra upplýsinga er um þá hafa verið
skráðar. Miða ákvæði þessa kafla frumvarpsins að því að tryggja skráðum aðilum slíkan rétt.
Heimildir skráðra aðila til þess að kynna sér efni þeirra upplýsinga, er um þá hafa verið
skráðar, eru meðal þýðingarmestu ákvæða í tölvuverndarlöggjöf flestra ríkja í Evrópu og í 8.
gr. b) Evrópuráðssáttmálans um verndun einstaklinga vegna skráningar persónuupplýsinga (A
Convention for the Protection of Individuals with Regard to the Protection of Personal Data)
er slíkt ákvæði að finna. Sáttmála þennan, sem gekk í gildi 1. okt. 1985, hafa Íslendingar
undirritað en ekki fullgilt.
Um 9. gr.
Ákvæði 1. mgr. 9. gr. frumvarpsins er efnislega eins og 1. mgr. 10. gr. gildandi laga og
ákvæði 2. mgr. er samhljóða 3. mgr. 10. gr. gildandi laga.
Fyrsta málsgrein 9. gr. frumvarpsins hefur að geyma almennt ákvæði um rétt manna til
aðgangs að upplýsingum er um þá hafa verið skráðar. Skrárhaldara er skylt að veita
upplýsingarnar skriflega óski skráður aðili þess, en um það ræðir nánar í 12. gr. frumvarpsins.
Ber skrárhaldara samkvæmt þessu að láta hinum skráða í té útskrift þeirra upplýsinga er skrá
hefur um hann að geyma. Ef beiðandi er ekki á skrá hjá skrárhaldara eða sá er beiðni er beint að
heldur ekki skrá ber honum að upplýsa beiðanda um þessi atriði.
Ekki er útilokað í einstökum tilvikum að óheppilegt sé að veita aðgang að skráðum
upplýsingum hvort heldur sem er vegna hagsmuna hins skráða, hagsmuna skrárhaldara eða af
tilliti til annarra. Þegar svo hagar til er heimilt að neita hinum skráða um aðgang að skráðum
upplýsingum, sbr. ákvæði 2. mgr. 9. gr. Til grundvallar slíkri synjun verður að liggja annars
vegar mat á hagsmunum hins skráða á því að fá aðgang að upplýsingunum og hins vegar mat á
þeim hagsmunum er réttlætt geta slíka synjun. Ágreining um slíka synjun geta aðilar borið undir
tölvunefnd sem hefur endanlegt úrskurðarvald á stjórnsýslustigi um slíkan ágreining.
Um 10. gr.
Í 2. mgr. 10. gr. gildandi laga sagði að teldi maður að upplýsingar um hann væru ritaðar í
sjúkraála eða önnur sjúkraregistur eða sjúkraskrár og hann vildi fá vitneskju um efni þeirra
skyldi hann óska þess við heimilislækni sinn eða annan þann lækni sem fjallað hefði um
heilsuhagi hans að hann leiti eftir þessum upplýsingum frá þeim sem ábyrgur væri fyrir
skráningunni. Þessi aðili skýrði síðan lækninum frá upplýsingunum svo að honum væri kleift
að koma þeim á framfæri við viðkomandi.
Með setningu læknalaga nr. 53 frá 19. maí 1988 var í 16. gr. lögmælt ný regla um aðgang
sjúklinga eða forráðamanna þeirra að sjúkraskrá í heild eða að hluta. Segir þar að lækni sé skylt
að afhenda sjúkraskrá, alla eða að hluta, sjúklingi eða forráðamanni ef það þjónar ótvíræðum
hagsmunum sjúklings. Leiki vafi á nauðsyn afhendingar sjúkragagna eða þyki ástæða til vegna
ákvæða læknalaga um þagnarskyldu lækna, sé lækni heimilt að afhenda landlækni einum
sjúkragögn sem trúnaðarmál til frekari fyrirgreiðslu. Gerir lagaákvæði þetta ráð fyrir því að
heilbrigðisráðherra setji nánari reglur um afhendingu og varðveislu sjúkragagna og
röntgenmynda að fengnum tillögum landlæknis og Læknafélags Íslands.
Með hliðsjón af því, að í læknalögum hafa verið settar framangreindar sérreglur um rétt
manna til aðgangs að heilsufarsupplýsingum um þá sjálfa sem víkja nokkuð frá ákvæðum
gildandi tölvulaga, þykir hentast í frumvarpi þessu að vísa til ákvæða læknalaga í þeim efnum.
Um 11. gr.
Frumvarpsgrein þessi, sem er nýmæli, er efnislega samhljóða 6. mgr. 13. gr. dönsku o.s.l.
Samkvæmt greininni taka ákvæði 9. gr. ekki til skrár eða skráningar sem stofnað er til í þágu
tölfræðirannsókna. Tölfræðiúrvinnsla
persónugreinir ekki einstaklinginn og yfirleitt er hún ekki jafnmeinleg fyrir einkalíf manna eins
og persónugreindar upplýsingar eru eða geta verið. Starfsnauðsynjar við tölfræðiskýrslur bjóða
einnig að þessi undantekning sé lögmælt.
Í niðurlagi frumvarpsgreinarinnar, sem svarar til 4. mgr. 10. gr. gildandi laga, segir að
ákveða megi að aðrar skrár séu undanþegnar þessum ákvæðum ef ætla megi að ákvæði 2. mgr.
9. gr. muni almennt hafa í för með sér að upplýsingum úr slíkum skrám verði hafnað. Eru hér
m.a. hafðar í huga skrár sem gerðar eru af lögreglu í þágu rannsóknar brota.
Um 12. gr.
Í gildandi lög skortir ákvæði um það með hverjum hætti skrárhaldarar skuli veita skráðum
aðilum aðgang að skráðum upplýsingum um þá sjálfa. Úr því er bætt í frumvarpi þessu og
samkvæmt upphafsákvæði 12. gr. skulu upplýsingar skv. 9. gr. veittar skriflega. Ákvæðið er
nýmæli og svarar til b-liðar 1. mgr. 7. gr. dönsku e.s.l.
Ákvæði síðari málsliðar 1. mgr. 12. gr. er einnig nýmæli og svarar það til c-liðar 1. mgr. 7.
gr. dönsku e.s.l. Af ákvæðinu leiðir skylda fyrir skrárhaldara að svara fyrirspurn um efni skráðra
upplýsinga í síðasta lagi innan fjögurra vikna frá því að krafa kom fram, en gera ella beiðanda
skriflega grein fyrir því af hverju tilmælum hans hefur ekki verið sinnt.
Ákvæði 2. mgr. 12. gr. er nýmæli og svarar til c-liðar 2. mgr. 7. gr. dönsku e.s.l. Í því felst
að hafni skrárhaldari tilmælum um aðgang að skráðum upplýsingum ber skrárhaldara að vekja
athygli beiðanda á rétti hans til þess að bera ágreining um aðgang að skráðum upplýsingum
undir úrlausn tölvunefndar, sbr. ákvæði 13. gr. frumvarpsins.
Um 13. gr.
Í gildandi lög skortir skýr ákvæði um rétt manna til þess að bera ágreining um aðgang að
upplýsingum skv. IV. kafla laganna undir tölvunefnd. Þykir rétt að taka af öll tvímæli í þeim
efnum. Er í þeim efnum farið að fyrirmynd d-liðar 7. gr. í dönsku e.s.l.
Um 14. gr.
Svo sem að er vikið í athugasemdum við 9. gr. sem fjallar um rétt skráðra aðila til aðgangs
að upplýsingum um þá sjálfa þjóna ákvæði þeirrar greinar þeim tilgangi að tryggja rétt manna
til þess að ganga úr skugga um það hvort
skráðar hafi verið um þá rangar eða villandi upplýsingar eða upplýsingar sem ekki er heimilt
að skrá, svo að þeim gefist kostur á að fá upplýsingarnar leiðréttar. Í 14. gr. eru hins vegar
efnisákvæði um rétt manna til þess að fá upplýsingar leiðréttar og hvernig að því skuli staðið.
Ákvæði 1. mgr. 14. gr. fjallar um rétt manna til þess að fá rangar eða villandi upplýsingar
leiðréttar og svarar greinin til 1. mgr. 13. gr. gildandi laga. Í því ákvæði er talað um að færa
upplýsingar í rétt horf eða afmá þær. Í frumvarpsgreininni er að auki talað um rétt manna til þess
að fá bætt við skrá upplýsingum, eftir því sem við á hverju sinni. Greinin svarar að þessu leyti
til 8. gr. norsku laganna. Í 2. mgr. 7. gr. gildandi laga er að vissu marki fjallað um svipað efni,
þ.e. að afmá skuli upplýsingar sem misst hafa gildi sitt vegna aldurs.
Ákvæði 2. mgr. 14. gr. frumvarpsins er að nokkru sama efnis og 3. mgr. 13. gr. gildandi laga.
Ákvæðið svarar til 1. mgr. 5. gr. dönsku e.s.l. Samkvæmt ákvæðinu getur skráður aðili óskað
liðsinnis tölvunefndar ef skrárhaldari neitar að verða við kröfu um leiðréttingu skv. 1. mgr. Samkvæmt ákvæðum 4. mgr. 14. gr. getur tölvunefnd, þegar um aðrar upplýsingar er að ræða
en upplýsingar um fjárhagsmálefni og lánstraust, lagt fyrir skráningaraðila að senda þeim er
veitt hafa upplýsingum viðtöku skriflega leiðréttingu. Er hér um heimildarákvæði að ræða. Við
mat á því, hvort tölvunefnd skyldar skráningaraðila til að senda skriflega leiðréttingu til þriðja
aðila, verður tölvunefnd að leggja til grundvallar hvort hætta sé á því að hinar röngu
upplýsingar geti skaðað móttakanda þeirra.
Ákvæði 3. mgr. 14. gr. frumvarpsins er nýmæli og svarar til 3. mgr. 15. gr. dönsku e.s.l.
Samkvæmt ákvæðinu skal skrárhaldari, synji hann beiðni um leiðréttingu, gera hinum skráða
grein fyrir rétti hans til þess að bera synjunina undir tölvunefnd. Felst í þessu skylda
skrárningaraðila til að leiðbeina hinum skráða varðandi rétt hans til málskots. Samkvæmt
dönsku e.s.l. er slík leiðbeiningarskylda takmörkuð við það þegar í hlut eiga upplýsingar um
fjárhagsmálefni og lánstraust. Ekki þykir rétt að takmarka leiðbeiningarskylduna með þeim
hætti og því er lagt til að leiðbeiningarskylda þessi varði allar upplýsingar sem heyra undir
ákvæði laganna.
Ákvæði 4. mgr. 14. gr. frumvarpsins fjallar um skyldu skrárhaldara til þess að senda þeim
er hlotið hafa rangar upplýsingar úr skrám skriflegar leiðréttingar. Fjallar upphafsákvæðið um
upplýsingar er varða fjárhagsmálefni og lánstraust, en niðurlagsákvæðið um aðrar upplýsingar.
Upphafsákvæðið svarar að nokkru til 8. gr. gildandi laga og samkvæmt því er skrárhaldara skylt
að
senda leiðréttingu. Samkvæmt niðurlagsákvæðinu sem er, eins og áður segir, nýmæli varðandi
aðrar upplýsingar getur tölvunefnd, þegar um aðrar upplýsingar er að ræða, lagt fyrir
skrárhaldara að senda skriflega leiðréttingu. Niðurlagsákvæðið er efnislega samhljóða 2. mgr.
5. gr. dönsku e.s.l.
Í frumvarpsgreininni er ekki fjallað um bótaskyldu skráningaraðila gagnvart þeim aðila sem
á er hallað með rangri skráningu. Ræðst slíkt af almennum reglum skaðabótaréttar.
Um V. kafla.
Skráning upplýsinga um fjárhagsmálefni og lánstraust.
V. kafli frumvarpsins fjallar um starfsemi þeirra sem miðla til annarra upplýsingum um
fjárhagsmálefni og lánstraust einstaklinga og lögpersóna. Í stórum dráttum er efni kaflans það
að slíkir aðilar eru starfsleyfisskyldir skv. 15. gr. frumvarpsins. Starfsleyfishafar mega
einvörðungu skrá og miðla upplýsingum sem eðli sínu samkvæmt geta haft þýðingu við mat á
fjárhag og lánstrausti hins skráða. Upplýsingar um viðkvæm einkamálefni mega skrárhaldarar
ekki taka á skrá. Skrárhaldara ber að upplýsa hinn skráða þegar hann er tekinn á skrá í fyrsta
skipti ef um hann eru skráðar aðrar upplýsingar en þær sem almennt eru mönnum aðgengilegar.
Hinn skráði á rétt á því að kynna sér efni skráðra upplýsinga er hann varða og hann getur krafist
þess að rangar og villandi upplýsingar verði leiðréttar og verður ágreiningur í þeim efnum
borinn undir tölvunefnd.
Ákvæði kaflans eiga einvörðungu við um skrár sem stofnaðar eru í því skyni að úr þeim verði
miðlað upplýsingum til annarra um fjárhagsmálefni og lánstraust. Um miðlun slíkra upplýsinga
úr skrám, sem ekki eru stofnaðar í þessum tilgangi, fer eftir reglum III. kafla frumvarpsins. Auk
aðila, sem gagngert hafa með höndum upplýsingamiðlun af því tagi sem um ræðir í V. kafla,
safna bankar og sparisjóðir upplýsingum um fjárhagsmálefni og lánstraust til eigin nota.
Starfsemi þessara aðila lýtur reglum bankalöggjafar, m.a. um leynd upplýsinga, og starfsemi
þeirra er háð eftirliti bankaeftirlits Seðlabankans. Þykir því ekki ástæða til þess að setja í
frumvarp þetta sérstakar reglur um söfnun slíkra aðila á upplýsingum um fjárhagsmálefni.
Upplýsingamiðlun samkvæmt þessum kafla getur verið tvenns konar. Annars vegar með
þeim hætti að skrárhaldari gefi út upplýsingarit um fjárhag manna, t.d. hinar svokölluðu
vanskilaskrár. Hins vegar með þeim hætti að skrárhaldari láti í té sitt eigið mat á fjárhag hins
skráða og lánstrausti hans á grundvelli upplýsinga sem hann hefur skráð hjá sér.
Segja má að V. kafli frumvarpsins geri ráð fyrir tvenns konar eftirliti með starfsemi þeirra
skrárhaldara sem hér um ræðir. Annars vegar er eftirlit það sem tölvunefnd hefur með
starfsleyfishöfum og hins vegar það eftirlit sem hinir skráðu geta sjálfir haft með höndum í
skjóli þeirra ákvæða kaflans er tryggja þeim aðgang að skráðum upplýsingum.
Þessi kafli frumvarpsins felur í sér verulegar breytingar frá ákvæðum gildandi laga.
Breytingarnar eru helstar þessar:
1. Öllum helstu ákvæðum er varða skráningu upplýsinga um fjárhagsmálefni og lánstraust
er hér safnað í einn kafla, en þau eru dreifð um fleiri kafla gildandi laga, sbr. ákvæði 5. gr.
sem er í II. kafla, ákvæði 8. gr. sem er í III. kafla og ákvæði 11. og 12. gr. sem er í IV. kafla.
2. Í frumvarpinu er greint milli almennra upplýsinga um fjárhagsmálefni og lánstraust og
annarra upplýsinga um sama efni.
3. Nákvæmari ákvæði eru um það hvað megi taka á skrá skv. V. kafla.
4. Sett eru ákvæði um hámarksaldur upplýsinga.
5. Sett eru sérákvæði um upplýsingarit um fjárhagsmálefni og lánstraust, þar á meðal hvaða
upplýsingar þær mega geyma.
6. Settar eru sérreglur um það hvaða upplýsingar um skuldastöðu manna megi veita öðrum.
Um 15. gr.
Fyrri málsliður greinarinnar svarar til 1. mgr. 5. gr. gildandi laga og kveður á um
starfsleyfisskyldu skráningaraðila. Er þar farið að fyrirmynd 1. mgr. 14. gr. norsku laganna, en
samkvæmt dönskum rétti eru slíkir aðilar aðeins tilkynningarskyldir. Síðari málsliðurinn er
nýmæli og svarar til 2. mgr. 14. gr. norsku laganna.
Eins og fyrr er að vikið eiga ákvæði kaflans einvörðungu við um þá sem miðla til annarra
upplýsingum um fjárhagsmálefni og lánstraust. Samkvæmt því eiga reglur kaflans ekki við um
þá sem í einstaka tilvikum eða af tilviljun afla sér fjárhagsupplýsinga, skrá þær og miðla áfram
í ákveðnum tilgangi, t.d. lögmenn. Hins vegar er ekki ætlunin að takmarka gildissvið
greinarinnar við þá sem hafa umrædda upplýsingamiðlun að atvinnu, hvort heldur sem sá
rekstur fer fram í nafni einkafyrirtækis eða t.d. hlutafélags. Félagasamtök, sem safna
fjárhagsupplýsingum og miðla þeim áfram til félaga sinna, lúta ákvæðum greinarinnar. Úr
framkvæmd gildandi laga má nefna að tölvunefnd hefur litið svo á að upplýsingamiðlun
Verslunarráðs Íslands sé starfsleyfisskyld og lúti ákvæðum gildandi laga um skráningu og
miðlun fjárhagsupplýsinga. Ekki skiptir
máli hvort sá er upplýsingum miðlar tekur gjald fyrir eða ekki. Greinimarkmið er aðeins það
að viðkomandi safni upplýsingum og skrái þær í því skyni að miðla þeim til annarra. Þá
skiptir heldur ekki máli hvort upplýsingamiðlunin er einasta starfsemi viðkomandi aðila eða
hann hefur með höndum aðra starfsemi.
Þau rök liggja til grundvallar áskilnaði frumvarpsgreinarinnar um starfsleyfi skrárhaldara
að sú skipan mála sé líklegri til að tryggja virkara eftirlit með starfsemi þeirra af opinberri
hálfu. Af ákvæðum 33. gr. frumvarpsins leiðir að tölvunefnd getur sett reglur um form og efni
umsókna samkvæmt lögunum, þar með taldar umsóknir um starfsleyfi skv. 15. gr. frumvarpsins.
Er eðlilegt að nefndin kynni sér vel möguleika umsækjanda um starfsleyfi á því að geta efnt
skyldur þær sem á skrárhaldara hvíla og veiti þeim einum starfsleyfi sem að mati nefndarinnar er líklegur til að geta uppfyllt skyldur þessar. Af þeim toga er ákvæði síðari málsliðar 15. gr.
Um 16. gr.
Frumvarpsgreinin er nýmæli í heild. Fyrri málsgreinin hefur að geyma almenna
viðmiðunarreglu um það hvað taka megi á skrá og svarar til 1. mgr. 9. gr. dönsku e.s.l., en síðari
málsgreinin setur því skorður hversu gömlum upplýsingum megi miðla.
Samkvæmt 1. mgr. má skrárhaldari einungis skrá upplýsingar sem eðli sínu samkvæmt geta
haft þýðingu við mat á fjárhag eða lánstrausti. Í þessu skilyrði felst að skrárhaldari hefur ekki
heimild til þess að skrá t.d. upplýsingar um starfshæfileika hins skráða, þannig að slíkar
upplýsingar verði notaðar við mat á starfsumsókn hans. Hins vegar er ekkert því til fyrirstöðu
að fyrirtæki, sem hyggst ráða mann í starf, afli sér upplýsinga hjá skrárhaldara um fjárhag
umsækjanda og lánstraust. Samkvæmt síðari málslið 1. mgr. er með öllu bannað að skrá
upplýsingar skv. 1. mgr. 4. gr. Þótt það leiði af ákvæðum fyrri málsliðarins að slík skráning sé
óheimil þykir rétt að taka af allan vafa í þessum efnum. Að vísu má segja að upplýsingar um
brotaferil og vímuefnanotkun geti haft þýðingu við mat á lánstrausti tiltekins aðila, en hér er
eigi að síður um svo persónulegar og viðkvæmar upplýsingar að ræða að óeðlilegt þykir að
slíkar upplýsingar liggi á lausu hjá einkaaðilum og sé miðlað af þeim til annarra.
Óheimilt er að skrá og miðla upplýsingum sem eldri eru en fimm ára. Er hér settur sami
frestur og annars gildir skv. 5. gr. frumvarpsins. Í dönsku lögunum er aldurshámarkið fimm ár,
en þrjú ár samkvæmt norsku lögunum. Sambærilegt ákvæði skortir í gildandi lög, en þó er í 4.
mgr. 5. gr. talað um að upplýsingar skuli vera dagsettar og eðlilegs fyrningartíma getið.
Hlutlægar upplýsingar, eins og t.d. um nafn, heimilisfang, aldur, stöðu o.þ.h., lúta að
sjálfsögðu ekki aldursreglunni og heldur ekki upplýsingar sem telja má jákvæðar fyrir hinn
skráða. Nauðsynlegt er eigi að síður að hafa heimildarákvæði um skráningu og miðlun eldri
upplýsinga því að í vissum tilvikum geta slíkar upplýsingar haft þýðingu lengur en í fimm ár,
t.d. upplýsingar um gjaldþrot. Upplýsingum, sem „fyrndar“ eru samkvæmt þessu ákvæði, getur
skrárhaldari ekki byggt á í mati sem hann lætur frá sér fara um fjárhag og lánstraust tiltekins
aðila, jafnvel þótt upplýsingunum sjálfum sé ekki miðlað áfram. Niðurlagsákvæði 2. mgr. 16.
gr. er ætlað að tryggja að aðili fái um það vitneskju áður en eldri upplýsingar en fimm ára eru
skráðar eða þeim miðlað. Eins er aðila tryggður réttur til þess að bera ágreining í þessum efnum
undir tölvunefnd.
Um 17. gr.
Ákvæðið í heild svarar til 2. mgr. 5. gr. gildandi laga. Í upptalningu frumvarpsgreinarinnar
kemur kennitala í stað nafnnúmers í 2. mgr. 5. gr. gildandi laga. Svarar ákvæðið til 10. gr.
dönsku e.s.l.
Ákvæðið hefur það að markmiði að tryggja að hinn skráði fái vitneskju um það að hann sé
kominn á tiltekna skrá. Er sú vitneskja forsenda þess að hann eigi möguleika á því að kynna sér
efni skráðra upplýsinga og fá leiðréttingu þeirra ef efni eru til þess.
Samkvæmt 2. mgr. skal skrárhaldari tilkynna hverjum þeim sem tekinn er á skrá ef skráð eru
um hann önnur atriði en þau sem greind eru í 1. mgr., þ.e. almennt aðgengilegar upplýsingar.
Með almennt aðgengilegum upplýsingum er t.d. átt við upplýsingar úr þinglýsingarbókum eða
upplýsingar sem birtast í opinberum blöðum, t.d. Lögbirtingablaði, eða eru með öðrum hætti
almennt aðgengilegar. Er hér yfirleitt um að ræða upplýsingar sem hinn skráði hefur ekki
sérstaka hagsmuni af að hafa eftirlit með annaðhvort af þeirri ástæðu að þær eru ekki
persónulegar upplýsingar í eðli sínu eða eru almennt aðgengilegar á grundvelli sérstakra reglna þar að lútandi. Upplýsingum þessum fylgja yfirleitt aðrar upplýsingar er gagngert varða fjárhag
hins skráða og þegar þeim upplýsingum er bætt við hinar almennt aðgengilegu verður
tilkynningarskylda skrárhaldara virk.
Til sanns vegar má færa að tilkynningarskylda af því tagi, sem hér um ræðir, sé íþyngjandi
fyrir skráningaraðilann. Þegar hagsmunir hins skráða eru virtir verður þó að telja að slík
tilkynningarskylda sé eðlileg, jafnvel þótt hún sé fyrirhafnarsöm, þar sem tilkynningarskyldan
getur komið í veg fyrir
mistök sem alltaf geta gerst og hafa reyndar gerst hér á landi eins og ársskýrsla tölvunefndar frá
1986 ber með sér. Hins vegar er reynt að koma til móts við hagsmuni skráningaraðila á þann hátt
að tilkynna þarf þegar aðili er tekinn á skrá í fyrsta skipti, en ekki eftir það.
Um 18. gr.
Ákvæðið hefur það að markmiði að tryggja að hinn skráði geti haft eftirlit með þeim
upplýsingum sem um hann eru skráðar og miðlað hefur verið þannig að hann geti eftir atvikum
krafist leiðréttinga. Frumvarpsgreinin leggur ekki þá skyldu á herðar skráningaraðila að
tilkynna að eigin frumkvæði um efni skráðra upplýsinga. Hins vegar skal skráningaraðili, komi
fram krafa um slíkt, svara fyrirspurn innan fjögurra vikna um efni allra þeirra upplýsinga sem
skráningaraðili hefur yfir að ráða um hinn skráða. Samkvæmt 2. mgr. á skráður aðili rétt á að
fá að skoða upplýsingar í viðurvist skrárhaldara.
Fyrsta málsgreinin svarar til 1. mgr. 11. gr. gildandi laga. Það nýmæli er að finna að kveðið
er á um skyldu skrárhaldara til þess að svara fyrirspurn innan fjögurra vikna. Auk þess að eiga
rétt til að fá vitneskju um efni skráðra upplýsinga á hinn skráði einnig rétt til þess að fá
upplýsingar um það mat sem skrárhaldari hefur látið frá sér fara um hinn skráða ef því er að
skipta. Með þessu er tryggður möguleiki hins skráða á því að fá leiðréttar rangar upplýsingar.
Hins vegar á hann ekki rétt á því að fá að vita hverjum upplýsingar voru veittar. Í þeim tilvikum,
þar sem um rangar upplýsingar er að ræða, hefur hinn skráði þó hagsmuni af því að fá að vita
hverjum upplýsingar voru sendar. Leiðir það af ákvæðum 4. mgr. 14. gr. Rök þessa eru þau að
hinn skráði getur beðið fjártjón eigi hann þess ekki kost að hafa samband við móttakanda
upplýsinganna. Þá getur vitneskja um móttakanda, þegar svona hagar til, haft þýðingu við mat
hins skráða á því hvert tjón hann hefur beðið og hvort ástæða sé til þess að krefjast bóta af
skrárhaldara.
Þær upplýsingar, sem skýra skal frá samkvæmt ákvæðinu, eru þær sem skrárhaldari hefur
undir höndum þegar krafa kemur fram, en ekki þær sem skrárhaldari hefur þegar hann gefur svar
sitt. Ástæða þessa er sú að ósk um upplýsingar stafar oftast af grunsemdum hins skráða um að
rangar upplýsingar séu á skrá. Rangar tölvuskráðar upplýsingar er hins vegar auðvelt að
leiðrétta á skömmum tíma og án þess að slíks sjáist merki í skránni.
Samkvæmt 3. mgr. 18. gr. á hinn skráði ekki rétt til þess að fá upplýst hvaðan upplýsingar
eru komnar. Á það einnig við þegar hinn skráði fær tækifæri til þess að skoða gögn sjálfur í
viðurvist skrárhaldara. Megintilgangur
frumvarpsgreinarinnar er að skapa hinum skráða betra tækifæri til þess að fá fullnægjandi
upplýsingar, en vernda jafnframt „heimildir“ skrárhaldara og láta skrárhaldara bera ábyrgð á
því að upplýsingar hans séu réttar. Hins vegar gæti það reynst skrárhaldara erfitt að fá aðrar
upplýsingar en þær sem eru almennt aðgengilegar ef á honum hvílir skylda til að skýra frá
heimildarmönnum sínum.
Um 19. gr.
Ákvæði 1. mgr. 19. gr. svarar til 3. mgr. 5. gr. gildandi laga og er efnislega eins og 1. mgr.
12. gr. dönsku laganna. Ákvæði 2. mgr. 19. gr. er nýmæli og svarar til 2. mgr. 12. gr. dönsku
e.s.l. Ákvæði 3. og 4. mgr. 19. gr. frumvarpsins er nýmæli og svarar að nokkru til 3. og 4. mgr.
12. gr. dönsku e.s.l.
Í frumvarpsgrein þessari er að finna ákvæði um það með hverjum hætti skrárhaldara er
heimilt að miðla upplýsingum um fjárhagsmálefni og lánstraust. Ýmsar aðferðir eru
hugsanlegar í þeim efnum. Hægt er að miðla upplýsingunum munnlega, skriflega og eftir
tæknilegum leiðum. Með skriflegri miðlun er átt við skráningu á pappír, segulbönd, filmur eða
annað þess háttar varanlegt form og með munnlegri miðlun er m.a. átt við miðlun í gegnum
síma. Þá má og til munnlegrar miðlunar jafna miðlun upplýsinga sem birtast á tölvuskjá eða
með öðrum sambærilegum hætti sem ekki er varanlegur.
Samkvæmt frumvarpsgreininni er það meginreglan að upplýsingum skal miðla skriflega.
Með því er tryggð nægjanleg sönnun um það hvaða upplýsingum var miðlað, en slíkt er
nauðsynlegt í sambandi við eftirlit með framkvæmd laganna.
Ákvæði 1. og 2. mgr. 18. gr. um rétt hins skráða til þess að kynna sér efni skráðra upplýsinga
byggir á þeirri forsendu að skrárhaldari varðveiti upplýsingarnar eða afrit þeirra og það mat sem
hann hefur látið frá sér fara.
Meginreglan um skriflegar upplýsingar sætir undantekningum, enda gæti það verið ýmsum
vandkvæðum bundið ef ávallt þyrfti að svara skriflega. Hraði í viðskiptum gerir það
nauðsynlegt að hægt sé með skömmum fyrirvara að afla tiltekinna upplýsinga. Þeim þörfum er
reynt að mæta með því ákvæði síðari málsliðar 1. mgr. að veita megi föstum viðskiptavinum
munnlegar upplýsingar þegar um almennar upplýsingar er að ræða. Með almennum
upplýsingum, sem á Norðurlandamálum hafa verið kallaðar „summariskar“ upplýsingar, er átt
við einfaldar upplýsingar sem oft verður svarað játandi eða neitandi. Auk nafns og
heimilisfangs er hér t.d. átt við upplýsingar um stofnunarár fyrirtækis og heildarveltu þess,
hvort viðkomandi aðili sé gjaldþrota, hvort hann eigi fasteign o.s.frv.
Þegar upplýsingar eru veittar munnlega ber að varðveita nafn og heimilisfang
fyrirspyrjanda. Er það gert svo unnt sé að koma til þeirra leiðréttingum ef rangar upplýsingar
hafa verið sendar út. Þykja sex mánuðir hæfilegur tími í þeim efnum.
Ekki þykir ástæða til þess að amast við útgáfu upplýsingarita um fjárhagsmálefni og
lánstraust, enda gegna þau ákveðnu hlutverki í viðskiptalífi nútímans. Er þetta sá háttur á
miðlun upplýsinga um fjárhagsmálefni og lánstraust sem algengastur er hér á landi. Útgáfa
þeirra er því heimil skv. 2. mgr. frumvarpsgreinarinnar. Hins vegar miða ákvæði greinarinnar
að því að tryggja hagsmuni hinna skráðu eftir því sem kostur er. Samkvæmt 2. mgr. mega
upplýsingarit skrárhaldara aðeins hafa að geyma almennar upplýsingar og þau má aðeins
afhenda áskrifendum. Almenn sala slíkra rita, t.d. í bókaverslunum eða á öðrum sambærilegum
stöðum, er því ekki heimil og heldur ekki sala beint frá skrárhaldara. Aðeins afhending til
áskrifenda er heimil. Eðlilegt þykir að leggja þá skyldu á herðar skrárhaldara að hann tilkynni
skráðum aðila um það að nafn hans ásamt tilteknum upplýsingum muni birtast í næstu útgáfu
upplýsingaritsins áður en viðkomandi er settur á skrá. Verði frumvarp þetta að lögum þurfa þeir
aðilar, sem nú hafa með höndum söfnun og skráningu upplýsinga samkvæmt þessum kafla
frumvarpsins, að fá starfsleyfi sín endurnýjuð ætli þeir að halda áfram starfsemi á þessu sviði.
Er við það miðað að tilkynningarskylda skv. 2. mgr. 19. gr. taki einnig til þeirra aðila sem nú
þegar eru á skrám þessara starfsleyfishafa. Um rök tilkynningarskyldunnar má vísa til þess sem
áður segir í athugasemdum við 2. mgr. 17. gr. frumvarpsins.
Í 3. mgr. frumvarpsgreinarinnar er að finna ákvæði sem setja því skorður hverjar almennar upplýsingar veita má um fjárhag manna og lánstraust, m.a. í upplýsingaritum. Birting á nafni
manns eða fyrirtækis í upplýsingariti um fjárhagsmálefni, hinum svokölluðu vanskilaskrám sem
oft eru nefndar „svörtu listarnir“, hefur í raun þann tilgang að vara aðra við lögskiptum við hinn
skráða. Slíkt getur haft í för með sér mjög alvarlegar afleiðingar fyrir hinn skráða, t.d. hvað
varðar lánsviðskipti við kaup á almennum verslunarvörum. Til þess að aðili verði tekinn á skrá
er svo ákveðið í 3. mgr. að skuld eða skuldir hins skráða við tiltekinn kröfuhafa skuli í hverju
einstöku tilviki ná ákveðnu lágmarki sem er 10.000 kr. Þótt ekki sé heimilt að veita almennar
upplýsingar um lægri skuld eða skuldir er eigi að síður heimilt að nota slíkar upplýsingar í
heildstæðu mati skrárhaldara á lánstrausti eða fjárhag hins skráða.
Mjög er það misjafnt hvaðan skrárhaldarar safna upplýsingum þeim er þeir birta í
vanskilaskránum. Eru upplýsingarnar ýmist fengnar hjá dómstólum, í dagblöðum eða
Lögbirtingablaði. Nauðsynlegt þykir að setja því skorður hvert slíkar upplýsingar verði sóttar
og miða ákvæði 3. mgr. að því. Samkvæmt ákvæðinu má aðeins miðla upplýsingum sem eru
almennt aðgengilegar, t.d. fengnar úr Lögbirtingablaði, dagblöðum eða aðgangur að þeim er
almennur með öðrum hætti, t.d. í dómabókum. Þetta gildir þó ekki hafi skuldari skriflega
gengist við því gagnvart kröfuhafa að skuldin sé gjaldfallin eða kröfuhafi hefur byrjað
réttargerð á hendur skuldara til fullnustu kröfunnar, t.d. með birtingu stefnu eða beiðni um
beina aðför eða uppboð án undangengins dóms, sáttar eða fjárnáms.
Erlendis hefur það komið fyrir að almennar upplýsingar um fjárhagsmálefni og lánstraust
hafa verið notaðar við mat á lánstrausti annarra en hinna skráðu. Sem dæmi frá Danmörku má
nefna að upplýsingar í vanskilaskrá um stóran hóp íbúa við tiltekna götu eða í tilteknu
fjölbýlishúsi urðu þess valdandi að öðrum íbúum götunnar eða hússins, sem ekki voru á skránni,
var neitað um lán. Ákvæði 4. mgr. frumvarpsgreinarinnar hafa það m.a. að markmiði að tryggja
að slíkt gerist ekki, en í greininni segir að almennar upplýsingar megi ekki veita með þeim hætti
að þær geti verið grundvöllur mats á fjárhagslegri stöðu annarra en þeirra sem upplýsingarnar
varða. Má því samkvæmt þessu ekki flokka hina skráðu eftir heimilisfangi, heldur eftir nafni.
Skiptir í því sambandi ekki máli hvort upplýsingar eru gefnar munnlega eða skriflega.
Um 20. gr.
Ákvæðið er sama efnis og 12. gr. gildandi laga. Nánari fyrirmæli um það, hvernig að
leiðréttingu skuli staðið, er að finna í 14. gr. sem er almennt ákvæði.
Um VI. kafla.
Nafnalistar og límmiðaáritanir.
Markaðs- og skoðanakannanir.
Kaflinn hefur að geyma reglur annars vegar um svokallaða nafnalista og nafnáritanir, svo
sem með límmiðaáritun, og hins vegar reglur um framkvæmd markaðs- og skoðanakannana.
Engin ákvæði eru í gildandi tölvulögum um starfsemi þeirra er hafa með höndum fyrir aðra
útsendingu dreifibréfa, tilkynninga o.þ.h. ef frá eru talin ákvæði 2. mgr. 13. gr. Hvað varðar
starfsemi þeirra, er selja nafnalista og
annast um nafnáritanir, hefur kaflinn að geyma ferns konar reglur. Í fyrsta lagi er gerður
áskilnaður um starfsleyfi þeirra er slíka starfsemi hafa með höndum og í öðru lagi eru því
skorður settar hvað slíkir aðilar mega taka á skrá. Í þriðja lagi eru ákvæði um það að í áritun
skuli koma fram úr hvaða skrá upplýsingar eru fengnar. Í fjórða lagi er ákvæði þess efnis að
óheimilt sé að framselja skrár eða gögn um fasta viðskiptamenn eða félagsmenn án samþykkis
þess er gögnin hefur afhent.
Um framkvæmd markaðs- og skoðanakannana eru ákvæði í 24. gr. frumvarpsins. Eru þau
að mestu eins og ákvæði gildandi laga, nema hvað ákvæði d- og e-liða eru nýmæli.
Um 21. gr.
Í 1. mgr. 21. gr. er kveðið á um starfsleyfisskyldu þeirra sem selja eða afhenda nöfn og
heimilisföng einstaklinga eða lögpersóna þegar nafnalistarnir og heimilisföngin eru notuð til
útsendinga dreifibréfa, áróðursrita, auglýsingabæklinga o.s.frv. Eins er kveðið á um
starfsleyfisskyldu þeirra sem annast um fyrir aðra nafnáritanir, t.d. með límmiðaáritunum, eða
aðra útsendingu tilkynninga til þeirra sem greinir í fyrri málslið 1. mgr. Er hér farið að
fyrirmynd 25. gr. norsku laganna sem kveður á um starfsleyfisskyldu í þessum efnum.
Starfsemi fyrirtækja, er hafa með höndum sölu á nafnalistum og heimilisföngum og annast
um nafnáritanir, getur verið bæði eðlileg og nauðsynleg. Hins vegar er á því þörf af tilliti til
einkalífsverndar manna að setja starfsemi þessara aðila ákveðnar skorður, þar á meðal skorður
varðandi það hvaða upplýsingar þeim er heimilt að skrá.
Starfsemi fyrirtækja, er veita þá þjónstu er hér um ræðir, hefur farið vaxandi hér á landi
síðustu árin. Rök þess að kveða á um starfsleyfisskyldu þeirra eru m.a. þau að gagnabönkum
sem þessum er mjög auðvelt að breyta í annars konar gagnabanka með víðtækari upplýsingum
og þykir því nauðsynlegt að slík starfsemi falli ótvírætt undir eftirlitsvald tölvunefndar.
Í 2. mgr. 21. gr. er upp talið hvað starfsleyfishöfum skv. 21. gr. er heimilt að skrá. Er þar um
að ræða almennt aðgengilegar upplýsingar og upplýsingar sem ekki eru mönnum viðkvæmar.
Önnur málsgrein telur það tæmandi hvað skrá megi. Í 3. mgr. er þess getið að dómsmálaráðherra
geti í reglugerð reist frekari skorður við því hvað greina megi í skrám sem þessum.
Um 22. gr.
Ákvæði 1. mgr. 22. gr. er nýmæli. Þar kemur fram sú regla að í útsendu efni skuli það koma
fram á áberandi stað að efninu sé deift eftir upplýsingum úr skrá í vörslu viðkomandi fyrirtækis
eða stofnunar. Er ákvæði þetta sett til þess að auðvelda viðtakendum slíkra bréfa eða rita að
koma milliliðalaust á framfæri óskum sínum við skrárhaldara um að nöfn þeirra verði tekin af
skrá, en skv. 2. mgr. 22. gr. er skrárhaldara skylt að verða við slíkum tilmælum. Ákvæði 22. gr.
svarar að mestu til 18. gr. dönsku e.s.l.
Í 3. mgr. 22. gr. er tölvunefnd heimilað að setja reglur um framkvæmd merkingar skv. 1.
mgr.
Um 23. gr.
Ákvæðið svarar til 19. gr. dönsku e.s.l. og niðurlagsákvæðis 27. gr. norsku laganna.
Í ákvæðinu er við það miðað að það geti verið fyllilega eðlilegt af fyrirtæki eða
félagasamtökum að láta skrárhaldara skv. 21. gr. í té lista yfir félagsmenn sína eða fasta
viðskiptavini til útsendingar dreifirita o.þ.h. Ákvæðið setur því hins vegar takmörk á hvern hátt
starfsleyfishafi má nota slíkar skrár. Samkvæmt ákvæðinu er starfsleyfishafa óheimilt að selja
öðrum skrá eða nota þá flokkun, sem þar kemur fram, til útsendinga fyrir aðra en þann sem
skrána afhenti, nema með samþykki þess er afhenti starfsleyfishafa skrána. Þannig má hugsa
sér það dæmi að starfsleyfishafi fái afhenta skrá yfir meðlimi í tilteknum stjórnmálaflokki til
þess að annast um áritun dreifibréfa frá þeim stjórnmálaflokki til meðlima hans. Væri þá
óeðlilegt ef starfsleyfishafinn gæti án samþykkis stjórnmálaflokksins notað skrá hans til
útsendingar dreifibréfa fyrir aðra stjórnmálaflokka eða t.d. fyrir viðskiptaaðila. Hins vegar er
gengið út frá því í ákvæðinu að með samþykki skráreiganda geti starfsleyfishafi notað slíkar skrár til útsendinga fyrir sjálfan sig eða aðra.
Um 24. gr.
Framkvæmd markaðs- og ýmiss konar skoðanakannana hefur færst mjög í vöxt á
undanförnum árum hér á landi, svo sem ársskýrslur tölvunefndar bera með sér. Mjög er það
misjafnt eins og sjá má af ársskýrslum hverjum upplýsingum er safnað í slíkum könnunum, en
ekki er óalgengt að safnað sé viðkvæmum upplýsingum um hagi hinna spurðu, t.d. upplýsingum
um stjórnmálaviðhorf þeirra, kynlíf, brotaferil, vímuefnanotkun og heilsuhagi. Hefur
tilfinnanlega
skort ítarleg ákvæði í íslensk lög um skyldur þeirra, er slíkar kannanir framkvæma, um sjálfa
framkvæmdina og eftirlit af opinberri hálfu með framkvæmdinni. Einu ákvæðin, sem nú er að
finna í íslenskum lögum um framkvæmd markaðs- og skoðanakannana, eru ákvæði 5. mgr. 13.
gr. laga nr. 39/1985. Hafa þau verið grundvöllur þess eftirlits sem tölvunefnd hefur haft með
framkvæmd slíkra kannana. Hefur nefndin, þrátt fyrir óljóst orðalag gildandi laga, talið sér
heimilt að synja beiðnum um heimildir til þess að framkvæma slíkar kannanir ef hún hefur verið
þeirrar skoðunar að réttur hinna spurðu væri ekki nægilega tryggður.
Að mörgu leyti væri æskilegt að sett yrðu hér á landi ítarleg lagaákvæði um framkvæmd
markaðs- og skoðanakannana. Hins vegar er það álitamál hvort rétt sé að setja slík ákvæði í
löggjöf sem þessa. Af þeirri ástæðu og því að Alþingi samþykkti síðastliðið vor
þingsályktunartillögu þar sem ríkisstjórninni var falið að skipa nefnd er kanni hvort rétt sé að
setja lög eða koma á reglum um skoðanakannanir þykir ekki rétt að setja í frumvarp þetta
ítarlegri ákvæði um framkvæmd slíkra kannana en er að finna í 24. gr. frumvarpsins. Er með því
reynt að tryggja að íslensk löggjöf hafi að geyma allra nauðsynlegustu ákvæðin um framkvæmd
slíkra kannana þar til lokið er þeirri athugun sem að er vikið í framangreindri þingsályktun.
Mjög er það misjafnt í löggjöf erlendra ríkja hvernig háttað er lagareglum um
skoðanakannanir. Má þannig sem dæmi nefna að dönsku tölvulögin hafa engin ákvæði að
geyma um skoðanakannanir, en hins vegar eru slík ákvæði í norsku tölvulögunum.
Ákvæði a–c-liða eru samhljóða ákvæðum 5. mgr. 13. gr. gildandi laga og mæla fyrir um
helstu skyldur spyrjenda bæði hvað varðar framkvæmd könnunar og varðveislu gagna. Ákvæði
d-liðar er nýmæli og setur því skorður hvernig nota má þær upplýsingar sem safnað var, þ.e.
einvörðungu til þess að kanna það sem var tilgangur könnunar. Ákvæði e-liðar er af sama toga,
en samkvæmt því er spyrjanda óheimilt að veita öðrum aðgang að upplýsingunum. Hér á landi
eru starfandi ýmis fyrirtæki er annast framkvæmd markaðs- og skoðanakannana fyrir aðra.
Ákvæði e-liðar er því að sjálfsögðu ekki til fyrirstöðu að slík fyrirtæki afhendi þeim er óskað
hefur eftir könnun aðgang að upplýsingunum.
Um VII. kafla.
Um tölvuþjónustu o.fl.
Í VII. kafla frumvarpsins eru settar reglur um starfsemi þeirra er annast tölvuþjónustu fyrir
aðra. Þýðingarmesta ákvæðið kemur fram í 1. mgr. 25. gr.
og kveður á um starfsleyfisskyldu þeirra er slíka starfsemi hafa með höndum. Auk þess er að
finna í kaflanum ákvæði um meðferð starfsleyfishafa á upplýsingum, þagnarskyldu hans og
starfsmanna hans og um afleiðingar brota þeirra á þagnarskyldunni.
Um 25. gr.
Fyrsta málsgrein 25. gr. svarar til 1. mgr. 19. gr. gildandi laga og er efnislega eins. Greinin kveður á um starfsleyfisskyldu þeirra er annast tölvuvinnslu fyrir aðra. Til samanburðar má geta
þess að slíkir aðilar eru ekki starfsleyfisskyldir í Danmörku, heldur einvörðungu
tilkynningarskyldir, sbr. 1. mgr. 20. gr. dönsku e.s.l. Samkvæmt gildandi lögum hér á landi eru
slíkir aðilar starfsleyfisskyldir og þykir ekki ástæða til þess að breyta frá þeirri tilhögun í
frumvarpi þessu, enda veitir þetta fyrirkomulag tölvunefnd betri möguleika til þess að hafa
eftirlit með starfsemi slíkra aðila.
Ákvæðið tekur ekki einungis til svokallaðra tölvuþjónustufyrirtækja, heldur einnig allra
annarra sem hafa með höndum þá starfsemi sem í greininni getur. Getur því verið um að ræða
bæði fyrirtæki sem helga sig sölu á slíkri þjónustu og t.d. endurskoðendur sem stöku sinnum
nýta tölvubúnað sinn til vinnslu gagna fyrir viðskiptavini sína.
Samkvæmt frumvarpinu er starfsleyfisskyldan takmörkuð við eftirfarandi tilvik: 1) að
varðveittar séu viðkvæmar upplýsingar um einkamálefni eða úr þeim unnið, þ.e. upplýsingar
þær sem greinir í 1. mgr. 4. gr., 2) að varðveittar séu eða unnið úr upplýsingum um
fjárhagsmálefni og lánstraust, sbr. V. kafla frumvarpsins, og 3) unnið sé að samkeyrslu
upplýsinga þar sem tölvunefnd hefur veitt heimild til slíkrar samkeyrslu, sbr. ákvæði 3. mgr.
6. gr.
Í þeirri viðmiðun greinarinnar, að unnið sé úr upplýsingum fyrir aðra, felst að þeir sem í
eigin þágu varðveita og vinna úr upplýsingum þeim, sem upp eru taldar í a–c-liðum 1. mgr. 25.
gr., þurfa ekki starfsleyfi. Bankar og sparisjóðir, sem varðveita fjárhagsupplýsingar um eigin
viðskiptavini og vinna úr þeim í eigin þágu, þurfa ekki starfsleyfi samkvæmt greininni. Ef annar
aðili hins vegar annaðist slíka tölvuvinnslu fyrir bankana væri sá hinn sami starfsleyfisskyldur.
Eins má nefna það dæmi að læknum og sjúkrahúsum er heimilt að skrá heilsufarsupplýsingar
um sjúklinga sína, en ef þessir aðilar fá annan aðila til þess að tölvuvinna slíkar upplýsingar
fyrir sig yrði sá aðili að hafa starfsleyfi skv. 25. gr. Úr framkvæmd gildandi laga má nefna að
landlæknir heldur svokallaða fóstureyðingaskrá og hefur hún verið tölvufærð af tilteknu
verkfræðifyrirtæki hér í bæ. Það fyrirtæki hefur starfsleyfi til slíkrar þjónustu og yrði það
tvímælalaust áfram samkvæmt frumvarpinu.
Ákvæði 2. mgr. 25. gr. svarar til 2. mgr. 19. gr. gildandi laga og þarfnast ekki skýringar.
Í 3. mgr. 25. gr. er ákvæði um meðferð starfsleyfishafa á þeim upplýsingum sem hann vinnur
úr. Hefur ákvæðið það að meginmarkmiði að tryggja að upplýsingar úr skrá komist ekki til
óviðkomandi án vitundar eiganda upplýsinganna. Er starfsleyfishafa óheimilt án samþykkis
verkbeiðanda að nota upplýsingarnar til annars en að framkvæma þá þjónustu sem verkbeiðandi
hefur óskað eftir. Í þeim tilvikum, þar sem upplýsingum úr skrám hefur með samþykki eiganda
þeirra verið miðlað til þriðja aðila, er það eigandinn sem er ábyrgur fyrir því að sú miðlun
fullnægi skilyrðum frumvarpsins fyrir slíkri upplýsingamiðlun. Þá er starfsleyfishafa óheimilt
samkvæmt frumvarpsgreininni að fá upplýsingarnar öðrum til vinnslu. Er slík regla eðlileg til
þess að koma í veg fyrir frjálslega meðferð upplýsinganna. Rétt þykir að árétta að í því ákvæði
greinarinnar, að óheimilt sé að fá aðra til þess að vinna úr upplýsingunum, er bæði átt við aðila
hérlendis og erlendis.
Ákvæði 4. mgr. 25. gr. er efnislega samhljóða 4. mgr. 19. gr. gildandi laga og á það ákvæði
sér fyrirmynd í 3. mgr. 20. gr. dönsku e.s.l. Ekki verða í lagaákvæði sem þessu sett nánari
fyrirmæli um það hvers konar öryggisráðstöfunum starfsleyfishöfum er skylt að koma við.
Hlýtur umfang og eðli slíkra ráðstafana að ráðast af því hvers konar starfsemi um er að ræða.
Af þeirri ástæðu gerir frumvarpsgreinin ráð fyrir því að dómsmálaráðuneytið geti sett nánari
reglur um slíkar öryggisráðstafanir. Tölvunefnd sú, er skipuð var eftir gildistöku laga nr.
63/1981, setti í september 1983 „Reglur um ábyrgð og samskipti skráningaraðila og tölvuþjónustufyrirtækja“. Eru reglur þessar birtar sem fylgiskjal nr. 3 með ársskýrslu
tölvunefndar 1983.
Um 26. gr.
Frumvarpsgreinin hefur að geyma fyrirmæli um þagnarskyldu starfsmanna við
tölvuþjónustu og svarar til 20. gr. gildandi laga. Ef tölvuþjónusta er látin í té af fyrirtæki sem
rekið er af hinu opinbera má vænta þess að starfsmenn séu opinberir starfsmenn með
þagnarskyldu um þau atriði er þeir komast að í sambandi við tölvustarfsemina, sbr. m.a. 32. gr.
laga nr. 38/1954 og 136. gr. almennra hegningarlaga. Þykir ekki þörf að setja sérrreglur um
þagnarskyldu þeirra hér, þó svo að ákvæði 1. mgr. eigi einnig við um þá, þ.e. áskilið er að
þeir undirriti þagnarheit í sambandi við vitneskju sem þeir fá við framkvæmd þessara
starfsverkefna. Er það gert til að árétta frekar en ella er hve miklu varðar að starfsmenn gæti
þagnarskyldu í þessu sambandi. Ef fyrirtæki er ekki rekið af hinu opinbera er slíkri almennri
þagnarskyldu ekki til að dreifa. Þeir starfsmenn skulu undirrita þagnarheit, sbr. 1. mgr., og geta
m.a. orðið skaðabótaskyldir ef þeir virða ekki þagnarskyldu og unnið sér til refsingar, sbr. 35.
gr. frumvarpsins. Þagnarheitið gegnir hér vissulega hlutverki án tillits til refsihliðar þessa máls.
Ætlast er til að forráðamenn fyrirtækis brýni þagnarskylduna fyrir starfsmönnum.
Ef tölvuþjónustufyrirtæki, sem tilheyrir einkageiranum, vinnur að verkefnum fyrir hið
opinbera þykir nauðsynlegt að mæla svo fyrir að starfsmenn fyrirtækisins séu þagnarskyldir í
sambandi við framkvæmd verkefnis með sama hætti og opinberir starfsmenn sem unnið hafa
að því. Varðar rof á þagnarskyldu, þegar svo stendur á, refsingum skv. 136. gr. almennra
hegningarlaga, en refsiákvæði 37. gr. frumvarpsins tekur ekki til þessa.
Um VIII. kafla.
Söfnun upplýsinga hér á landi til úrvinnslu erlendis.
Aukin tækni á sviði tölvumála og fjarskipta hefur auðveldað mjög flutning gagna frá einu
landi til annars. Má ljóst vera að einkalífsvernd þeirri, sem frumvarpi þessu er ætlað að veita
mönnum, gæti verið hætta búin ef söfnun upplýsinga gæti óheft farið fram hér á landi til
úrvinnslu í öðru landi. Þannig gæti orðið mjög erfitt fyrir skráðan aðila að fá hlut sinn réttan ef
slík skráning gengi að einhveru leyti á svig við ákvæði frumvarpsins. Gegnir hinu sama ef óheft
mætti flytja úr landi til geymslu eða frekari úrvinnslu erlendis skrár sem hafa að geyma
persónuupplýsingar.
Vandamál, sem tengjast flutningi persónugagna, hafa verið mjög til umræðu á
fjölþjóðavettvangi. Má sem dæmi nefna umræður innan Evrópuráðs, Efnahags- og
framfarastofnunar Evrópu (OECD), Norðurlandaráðs og samstarfsnefndar vestrænna
tölvueftirlitsstofnana.
Hlutverk VIII. kafla frumvarpsins, sem er sama efnis og ákvæði 21. gr. í VII. kafla gildandi
laga, er fyrst og fremst það að vernda rétt skráðra aðila gegn óheftum flutningi persónugagna
sem safnað hefur verið hérlendis til úrvinnslu erlendis.
Um 27. gr.
Utan sviðs frumvarpsins fellur skráning sem til er stofnað erlendis. Á þetta eins við þótt
upplýsingar í skrá varði einstaklinga eða lögpersónur hér á landi. Ef skrá er á hinn bóginn
varðveitt hér á landi eiga ákvæði frumvarpsins við um hana. Hlutverk 1. og 2. mgr. 27. gr. er
fyrst og fremst að tryggja að ekki verði gengið á svig við skráningarreglur frumvarpsins, þar á
meðal reglur þess um tilskilin samþykki tölvunefndar til skráningar með því að skrá upplýsingar erlendis. Ef reglna frumvarpsgreinarinnar nyti ekki við gæti það verið freistandi að stofna til
skráningar erlendis og fullvinna skrár þar með upplýsingum sem safnað væri hér á landi.
Efni 27. gr. frumvarpsins er í raun tvíþætt. Í 1. mgr. er lagt bann við söfnun og skráningu
persónuupplýsinga hér á landi til geymslu eða úrvinnslu erlendis. Í 2. mgr. er á hinn bóginn lagt
bann við því að skrár eða frumgögn, sem geyma upplýsingar þær sem greinir í 1. mgr. 4. gr.,
verði látnar af hendi til geymslu eða úrvinnslu erlendis. Samkvæmt ákvæðum 1. og 2. mgr.
getur tölvunefnd veitt undanþágu frá framangreindum bannákvæðum og í 3. mgr.
frumvarpsgreinarinnar eru greind þau sjónarmið sem liggja skulu til grundvallar ákvörðunum
nefndarinnar þegar hún veitir undanþágur. Ber nefndinni fyrst og fremst að leggja til
grundvallar hver persónuvernd mönnum er búin á þessu sviði í því landi sem flytja skal gögnin
til. Við mat nefndarinnar ber að mörgu að huga, m.a. hverjar reglur gildi í viðkomandi landi,
m.a. um möguleika skráðra aðila til að fá upplýsingar um, hvað um þá er skráð, möguleika
þeirra til að koma við leiðréttingum o.s.frv.
Ákvæði 4. mgr. er þarflegt í því skyni að greiða fyrir þjóðréttarsamningum og alþjóðlegri
samvinnu á þessu sviði.
Um IX. kafla.
Um skráningu upplýsinga og varðveislu þeirra.
IX. kafli frumvarpsins hefur að geyma sömu reglur og fram koma í 7. og 9. gr. í III. kafla
gildandi laga. Það er að vísu svo að ákvæði IX. kafla frumvarpsins koma óbeint fram í ýmsum
greinum frumvarpsins, en rétt þykir eigi að síður að orða reglurnar sem almennar
grundvallarreglur um skráningu upplýsinga og varðveislu þeirra. Að öðru leyti þarfnast ákvæði
kaflans ekki skýringa.
Um X. kafla.
Um eftirlit með lögum þessum.
Kafli þessi fjallar um sama efni og VIII. kafli gildandi laga nr. 39/1985. Í X. kafla er að finna
ákvæði um skipan, verkefni og valdsvið opinberrar nefndar, svokallaðrar tölvunefndar, sem
hefur eftirlit með því að til skráningar sé stofnað og skrár notaðar með þeim hætti sem fyrir er
mælt í frumvarpinu.
Um 30. gr.
Frumvarpsgreinin er sama efnis og 22. gr. gildandi laga, en efni og orðalag er töluvert breytt.
Til samræmis við ákvæði gildandi laga er áfram lagt til að eftirlit með framkvæmd laganna
verði í höndum nefndar sem dómsmálaráðherra skipar til fjögurra ára í senn, svokallaðrar
tölvunefndar. Eins og segir berum orðum í 1. gr. frumvarpsins eiga lögin við hvort sem skráning
er handunnin eða vélræn. Er vernd laganna því ekki takmörkuð við vélræna skráningu eina.
Orðið tölvunefnd er af þessum sökum ekki alls kostar heppilegt og væri að mörgu leyti eðlilegra
að kalla nefndina skráningarnefnd eins og gert er t.d. í Danmörku (registertilsyn). Orðið
tölvunefnd hefur hins vegar unnið sér fastan sess í vitund manna og þykir því ekki rétt að leggja
til aðra orðnotkun í frumvarpi þessu.
Samkvæmt 1. mgr. 30. gr. er lagt til að tölvunefnd verði skipuð fimm mönnum, en
samkvæmt gildandi lögum eiga þrír menn sæti í nefndinni. Sú venja myndaðist fljótlega eftir
skipun fyrstu tölvunefndar í ársbyrjun 1982 og er enn framkvæmd að alla fundi nefndarinnar
sóttu og sækja bæði aðalmenn og varamenn, en varamenn hafa að sjálfsögðu ekki tekið þátt í
afgreiðslu mála nema í forföllum aðalmanna. Þetta fyrirkomulag hefur tryggt að fleiri sjónarmið hafa komist að við umræður í nefndinni en ella hefði verið og þetta hefur gert
varamönnum auðveldara að taka sæti aðalmanna við ákvarðanatökur þegar til slíks hefur komið.
Með hliðsjón af þessari jákvæðu reynslu þykir rétt að leggja til að skipaðir verði fimm fulltrúar
í nefndina í stað þriggja. Má bæta því við að sú skipan mála hefði ekki kostnaðarauka í för með
sér því að varamenn í tölvunefnd hafa fengið greidd laun fyrir fundarsetur sínar.
Frumvarpsgreinin gerir ráð fyrir skipan fimm varamanna og yrðu þeir þá eingöngu kvaddir til
fundarsetu í forföllum aðalmanna.
Í 1. mgr. 30. gr. frumvarpsins er kveðið á um það hverjum skilyrðum nefndarmenn skulu
fullnægja. Í gildandi lögum er áskilnaður um að formaður
nefndarinnar fullnægi skilyrðum til þess að vera dómari. Er sú tilhögun eðlileg með hliðsjón af
verkefnum nefndarinnar og er því lagt til í frumvarpinu að svo verði áfram. Þá er og lagt til að
auk formanns séu tveir aðrir nefndarmenn löglærðir og fullnægi annar þeirra einnig
dómaraskilyrðum og sé jafnframt varaformaður. Ástæða þessa er sú að tölvunefnd hefur
samkvæmt gildandi lögum og 31. gr. frumvarpsins úrskurðarvald í ágreiningsmálum er varða
framkvæmd laganna. Erindi þau, sem berast tölvunefnd, eru mörg hver flókin og erfið úrlausnar
lögfræðilega séð og ætti þetta fyrirkomulag að vera til þess fallið að styrkja niðurstöður
nefndarinnar.
Samkvæmt gildandi lögum skal einn nefndarmanna vera sérfróður um tölvu- og
skráningarmálefni. Nauðsynlegt er að tæknileg sérþekking sé til staðar innan tölvunefndar og
því er í frumvarpsgreininni lagt til að sama regla gildi áfram, þ.e. að einn nefndarmanna sé
sérfróður á tæknisviðinu og verði tilnefndur af Skýrslutæknifélagi Íslands.
Við setningu laga nr. 63/1981 var það sjónarmið lagt til grundvallar að auk formanns og
sérfróðs tæknimanns sæti í tölvunefnd þriðji fulltrúinn er hefði að leiðarljósi sjónarmið hins
almenna borgara án þess að þar kæmi til sérþekking á tölvumálum. Eðlilegt er að sjónarmið
borgaranna komist að við ákvarðanatöku í tölvunefnd og því er við það miðað að ráðherra skipi
fimmta fulltrúann í nefndina með það sjónarmið í huga.
Í 2. mgr. 30. gr. frumvarpsins er lagt til að starfsmaður í dómsmálaráðuneytinu verði ritari
nefndarinnar, en um það er nú ákvæði í 2. mgr. 22. gr. gildandi laga. Ritari tölvunefndar hefur
allt frá setningu laga nr. 63/1981 annast daglega afgreiðslu á vegum nefndarinnar í nánu
samráði við formann. Rök þessa fyrirkomulags voru á sínum tíma þau að koma í veg fyrir að
tölvunefnd yrði að stjórnsýslubákni. Þá átti og með þessu að tryggja ákveðin tengsl milli
nefndarinnar og dómsmálaráðuneytisins. Þessi skipan mála er hagkvæm af ýmsum ástæðum og
í engu hefur hún skert sjálfstæði nefndarinnar gagnvart dómsmálaráðuneytinu. Verkefni
tölvunefndar hafi að vísu farið vaxandi með árunum og mikið mætt á ritara tölvunefndar við
daglega afgreiðslu og undirbúning mála. Ekki þykir það þó næg ástæða til að gera tillögu um
að sett verði á laggirnar sérstök tölvueftirlitsstofnun hér á landi eins og tíðkast víða erlendis.
Þar við bætist að frumvarp þetta hefur ekki neinar þær breytingar í för með sér á eðli
eftirlitsstarfsins sem gera stofnun eftirlitsskrifstofu nauðsynlega. Þá má og segja að fjölgun
nefndarmanna í fimm sé til þess fallin að gera eftirlitsstarfið auðveldara viðfangs en þó
jafnframt markvissara fyrir þá sem því sinna.
Um 31. gr.
Samkvæmt 1. mgr. 30. gr. skal tölvunefnd hafa eftirlit með framkvæmd laganna og reglum
settum samkvæmt þeim. Í 31. gr. er að finna almennar reglur um verkahring nefndarinnar og
eftirlitsstarf.
Ákvæði fyrri málsliðar 1. mgr. 31. gr. er nýmæli, en felur þó ekki í sér neina efnisbreytingu frá gildandi lögum. Þar segir að tölvunefnd hafi að eigin frumkvæði eða eftir ábendingum frá
skráðum aðilum eftirlit með því að til skráningar sé stofnað og skrár notaðar með þeim hætti
sem fyrir er mælt í lögunum. Í þessu felst tvennt. Annars vegar er kveðið á um eftirlit
nefndarinnar að eigin frumkvæði og svo hins vegar vegna kvartana frá skráðum aðilum. Eins
og víða kemur fram í frumvarpinu er það hlutverk nefndarinnar að taka við kvörtunum frá
skráðum aðilum og aðstoða þá við að ná fram rétti sínum ef þannig hagar til og er þetta almenna
ákvæði því til samræmis við það hlutverk nefndarinnar.
Ákvæði 2. mgr. 31. gr. er sama efnis og 25. gr. gildandi laga. Í því felst að úrlausnir
tölvunefndar eru stjórnsýslulega séð fullnaðarúrlausnir og verður þeim ekki skotið til annarra
stjórnsýsluaðila, t.d. ráðherra til endanlegrar ákvörðunar. Ákvæði þetta tryggir mjög sjálfstæði
nefndarinnar gagnvart stjórnvöldum. Rétt er að vekja á því athygli að með orðinu „úrlausnir“
í ákvæðinu er ekki einungis átt við eiginlega úrskurði nefndarinnar heldur aðrar ákvarðanir
hennar. Þrátt fyrir ákvæði þetta stendur óhaggaður réttur manna til þess að bera úrlausnir
nefndarinnar undir dómstóla eftir almennum reglum þar að lútandi.
Um 32. gr.
Ákvæði 32. gr. frumvarpsins í heild er nýmæli. Í ákvæðinu felst tvennt: Annars vegar réttur
tölvunefndar skv. 1. mgr. 32. gr. til þess að krefja skrárhaldara allra þeirra upplýsinga sem
nefndinni eru nauðsynlegar til þess að rækja eftirlitsstarf sitt. Er ákvæði þetta sama efnis og 2.
mgr. 22. gr. dönsku e.s.l. Hins vegar er svo ákvæði 2. mgr. 32. gr. um rétt tölvunefndar án
dómsúrskurðar til aðgangs að húsnæði þar sem skráning fer fram eða skráningargögn eru
varðveitt, en það ákvæði er sama efnis og ákvæði 3. mgr. 22. gr. dönsku e.s.l.
Ákvæði sama efnis og fram kemur í frumvarpsgrein þessari voru í frumvörpum þeim til laga
um kerfisbundna skráningu á upplýsingum um einkamálefni sem lögð voru fyrir Alþingi 1978,
1980 og 1981, en voru felld niður í meðförum Alþingis þegar lög nr. 63/1981 voru samþykkt.
Við endurskoðun laga nr. 63/1981 árið 1984 lagði tölvunefnd til að sambærilegt ákvæði og
32. gr. frumvarps þessa yrði sett í hin nýju lög, sbr. ársskýrslu tölvunefndar 1984, bls. 17, en
ekki náði sú tillaga fram að ganga.
Samkvæmt 66. gr. stjórnarskrárinnar, nr. 33 frá 17. júní 1944, verður húsleit eigi
framkvæmd nema eftir dómsúrskurði eða eftir sérstakri lagaheimild. Tölvutækni nútímans
veitir möguleika til þess að eyða upplýsingum, sem geymdar eru í tölvum, á örskömmum tíma
og án þess að slíks sjáist nokkur merki. Með hliðsjón af því og þegar virtir eru hagsmunir þeir,
sem lögum þessum er ætlað að vernda, verður að ætla að eftirlitshlutverk tölvunefndar verði
markvissara og áhrifaríkara ef nefndin hefur ótvíræða heimild til beitingar þeirra úrræða sem
í 32. gr. frumvarpsins greinir. Getur nefndin þannig betur fylgst með því að öryggisráðstafana
sé gætt, aðgangur að upplýsingum sé takmarkaður í samræmi við ákvæði laga og að skráningu
sé að öðru leyti staðið í samræmi við lög og reglur. Þá er og líklegt að ákvæði sem þetta sé til
þess fallið að hafa almenn varnaðaráhrif á skrárhaldara, þ.e. verði þeim frekari hvatning til að
standa rétt að málum ef þeir geta átt von á fyrirvaralausum eftirlitsheimsóknum tölvunefndar.
Um ákvæði 2. mgr. er það að segja að réttur tölvunefndar til aðgangs að húsnæði yrði ekki
takmarkaður við húsnæði skrárhaldara eins, heldur næði hann einnig til húsnæðis þar sem unnið
er úr skráningargögnum eða þau varðveitt hvort heldur sem það er hjá skrárhaldara eða öðrum.
Um 33. gr.
Ákvæði þetta svarar til 24. gr. gildandi laga með nokkrum breytingum þó sem nánar verður
gerð grein fyrir. Samkvæmt frumvarpsgreininni eru tölvunefnd veittar ýmsar heimildir til afskipta af skráningu eða meðferð upplýsinga sem brýtur í bága við ákvæði frumvarpsins. Auk
þeirra úrræða, sem þar greinir, getur tölvunefnd, ef um refsiverð brot á lögunum er að ræða,
kært brot til yfirvalda.
Ákvæði 1. og 2. mgr. frumvarpsgreinarinnar er samhljóða 1. og 2. mgr. 24. gr. gildandi laga.
Samkvæmt þessum ákvæðum getur tölvunefnd mælt m.a. fyrir um að hætta skuli skráningu eða
upplýsingamiðlun sem andstæð er ákvæðum laganna og að leiðrétta beri ranga skráningu eða
afmá upplýsingar eða eyðileggja skrár í heild sinni.
Í 1. mgr. 30. gr. laga nr. 63/1981 sagði að þau lög tækju gildi 1. jan. 1982 og féllu úr gildi
31. des. 1985. Þá sagði að leita skyldi starfsleyfa skv. 5. og 19. gr. og heimilda skv. 3. mgr. 6.
gr., 3. mgr. 7. gr. og 21. gr.
vegna starfsemi sem hafin væri fyrir gildistöku laganna innan þriggja mánaða frá gildistökunni.
Sambærilegt ákvæði var hins vegar ekki tekið upp í lög nr. 39/1985. Ákvæði 4. mgr. 33. gr.
frumvarps þessa er því nýmæli ef mið er tekið af gildandi lögum. Samkvæmt því er valdsvið
tölvunefndar ekki takmarkað við upplýsingar sem skráðar hafa verið eftir gildistöku laganna,
heldur nær það einnig til upplýsinga sem safnað var fyrir það tímamark. Ákvæði þessa efnis
hefur tilfinnanlega skort í gildandi lög, en tölvunefnd hefur eigi að síður túlkað valdsvið sitt svo
að það nái til upplýsinga sem safnað var fyrir gildistöku tölvulaga, sbr. t.d. ákvörðun
tölvunefndar sem frá greinir í kafla 4.0. í ársskýrslu nefndarinnar 1987. Má enda segja að
ákvæði laga sem þessara mundu verulega missa marks ef eldri upplýsingar féllu ekki undir
lögin. Með þeim orðum frumvarpsgreinarinnar, að tölvunefnd geti lagt fyrir aðila að afmá eða
leiðrétta upplýsingar, „sem skráðar hafa verið fyrir gildistöku laga þessara“, er jafnt átt við
upplýsingar sem skráðar voru fyrir gildistöku laga nr. 63/1981 sem gildistöku laga nr. 39/1985.
Ákvæðið svarar til 3. mgr. 23. gr. dönsku e.s.l.
Efni 4. mgr. frumvarpsgreinarinnar svarar til efnis fyrri málsliðar 2. mgr. 7. gr. gildandi
laga. Þykir eðlilegra að skipa ákvæði þessu með öðrum ákvæðum er mæla fyrir um almennar
heimildir tölvunefndar til þess að hafa eftirlit með skráningu. Er ákvæðið sama efnis og 4. mgr.
23. gr. dönsku e.s.l.
Ákvæði 5. mgr. 33. gr. svarar að nokkru til 4. mgr. 24. gr. gildandi laga, en hefur rýmra
gildissvið. Samkvæmt orðanna hljóðan er 4. mgr. 24. gr. gildandi laga takmörkuð við aðferðir
við söfnun upplýsinga til tölvuvinnslu, en í frumvarpsgreininni er bæði fjallað um aðferðir við
söfnun og skráningu upplýsinga og aðferðir við miðlun þeirra. Komist tölvunefnd að því að
skráningaraðili noti tilteknar aðferðir við söfnun upplýsinga eða miðlun þeirra og aðferðin hefur
í för með sér hættu á að skráning eða upplýsingamiðlun verði röng eða að teknar verði á skrá
upplýsingar sem óheimilt er að skrá getur nefndin bannað þá aðferð. Ákvæðið gæti t.d. átt við
ef starfsleyfishafi skv. 15. gr. viðhefur aðferð við skráningu upplýsinga sem leiða til þess að
upplýsingar eru rangar eða villandi eða starfsleyfishafinn miðlar upplýsingum með þeim hætti
að upplýsingarnar geta verið villandi fyrir móttakandann. Hefur tölvunefnd beitt heimild 4.
mgr. 24. gr. gildandi laga gagnvart skráningaraðila, sbr. ákvörðun nefndarinnar frá 13. júní
1986, en frá því máli greinir í árskýrslu nefndarinnar fyrir árið 1986 á bls. 26.
Sjötta málsgrein 33. gr. er sama efnis og 5. mgr. 24. gr. gildandi laga. Umfang þeirra
tryggingaráðstafana, sem tölvunefnd getur lagt fyrir
skráningaraðila að koma við samkvæmt ákvæðinu, verður án efa mismunandi eftir því hvers
konar upplýsingar um er að ræða hjá viðkomandi skráningaraðila. Verður að meta slíkt eftir
ástæðum hverju sinni. Þannig væri t.d. hægt að takmarka aðgang að upplýsingum við tiltekna
aðila og mæla jafnframt fyrir um það með hverjum hætti þessir tilteknu aðilar mega meðhöndla
upplýsingarnar.
Um 34. gr.
Ákvæði þetta er nýmæli í frumvarpinu. Samkvæmt því getur dómsmálaráðherra í reglugerð
m.a. mælt fyrir um samstarf tölvunefndar við erlendar eftirlitsstofnanir.
Tölvuúrvinnsla getur farið fram hér á landi á gögnum sem koma frá öðrum löndum og varða
einkamálefni þar. Er aðstaðan þá andstæð við stöðuna skv. 27. gr. þar sem skorður eru reistar
við því að gögn um einkamálefni hér á landi séu send til tölvuúrvinnslu erlendis. Er ástæða til
að gefa gaum að tölvuvinnslu hér á landi er tekur til erlendra gagna og setja reglugerðarákvæði
um það efni og m.a. áskilja sérstaka tilkynningu um slíkt af hendi þeirra sem óska vinnslunnar.
Um 35. gr.
Ákvæði 1. og 2. mgr. svarar til 26. gr. gildandi laga, en ákvæði 3. mgr. svarar til 2. mgr. 23.
gr. Felur frumvarpsgreinin ekki í sér neina breytingu frá gildandi rétti.
Ákvæði 1. mgr. frumvarpsgreinarinnar hefur það að markmiði að auðvelda tölvunefnd að
rækja eftirlitshlutverk sitt með því að heimila nefndinni að setja reglur um form og efni
tilkynninga og umsókna. Skiptir máli vegna eftirlitshlutverks nefndarinnar að tilkynningar og
umsóknir séu skýrar og skipulega úr garði gerðar. Getur nefndin með þessum hætti safnað þeim
upplýsingum um skráningaraðila sem henni eru nauðsynlegar til þess að rækja eftirlitshlutverk
sitt.
Samkvæmt 2. mgr. er tölvunefnd heimilt að setja skilyrði í starfsleyfi og samþykki sem hún
veitir til einstakra aðgerða og tímabinda þau. Getur slíkt verið bæði nauðsynlegt og eðlilegt eftir
því hvernig á stendur hverju sinni og þykir rétt að orða um þetta sérstakt ákvæði til að taka af
allan vafa í þeim efnum.
Um 36. gr.
Ákvæði frumvarpsgreinarinnar er samhljóða 27. gr. gildandi laga. Allt frá setningu laga nr.
63/1981 hefur tölvunefnd gefið út ársskýrslu um starfsemi sína. Starfsemi tölvunefndar snertir
málefni sem almenning varðar miklu að fylgjast með. Er því eðlilegt að tölvunefnd birti á ári
hverju yfirlit um starfsemi sína svo að almenningur eigi þess kost að fylgjast með starfsemi
nefndarinnar.
Um XI. kafla.
Um refsingar og önnur viðurlög.
Í kaflanum er mælt fyrir um refsingar og önnur viðurlög við brotum á lögunum. Er það mjög
misjafnt hvort brot á einstökum ákvæðum laganna varða refsingu eða ekki. Refsing verður lögð
bæði á einstaklinga og lögpersónur. Viðurlög þau, sem um ræðir, eru eftirfarandi:
1. sektir, varðhald eða fangelsi,
2. svipting réttar til að öðlast starfsleyfi,
3. svipting starfsleyfis,
4. upptaka tækja og hagnaðar.
Um 37. gr.
Eins og að framan segir er það mjög misjafnt hvort brot á einstökum ákvæðum laganna varða
refsingu eða ekki. Brot á þeim ákvæðum, sem varða sektum eða fangelsi, eru talin upp í 1. mgr.
37. gr. frumvarpsins. Í ákvæðinu kemur fram að unnt sé að refsa jafnframt samkvæmt öðrum
refsiákvæðum sem atferli kann að varða við, sbr. t.d. ákvæði 136. og 229. gr. almennra
hegningarlaga. Þykir því rétt að leggja til að hámarksrefsing samkvæmt þessari grein geti orðið sú sama og skv. 136. gr. almennra hegningarlaga.
Í 3. mgr. 37. gr. eru sett ítarlegri ákvæði en er að finna í gildandi lögum um refsiábyrgð
lögpersóna og ábyrgð þeirra á brotum starfsmanna.
Um 38. gr.
Forsenda réttindasviptingar samkvæmt ákvæðinu er svipuð og í 68. gr. almennra
hegningarlaga, þ.e. að brot gefi til kynna nærlæga hættu á misnotkun í sambandi við
skráningarstarfsemi. Tekið er fram að ákvæðum 1. og 2. mgr. 68. gr. almennra hegningarlaga
verði beitt, eftir því sem við getur átt.
Í 2. mgr. eru ákvæði um eignaupptöku. Er heimilt að gera upptæk með dómi tæki sem
stórfelld brot hafa verið framin með, svo og hagnað af broti, sbr. 69. gr. almennra
hegningarlaga.
Um 39. gr.
Ákvæðið er nýmæli og mælir fyrir um refsingu vegna tilraunar og hlutdeildarbrota.
Um XII. KAFLA
Lagaframkvæmd og gildistaka.
Samkvæmt 1. mgr. 40. gr. er dómsmálaráðherra heimilt að setja nánari ákvæði um
framkvæmd laganna. Reynslan verður að leiða í ljós hver þörfin verður í þeim efnum. Er þess
getið í einstökum greinum frumvarpsins að ráðherra geti sett nánari reglur um framkvæmd
einstakra greina.
Eins og áður er fram komið falla núverandi lög úr gildi 31. des. 1989. Er því lagt til að
frumvarp þetta, ef að lögum verður, öðlist gildi 1. jan. 1990.
Lög um kerfisbundna skráningu á upplýsingum um einkamálefni hafa verið í gildi hér á landi
síðan í ársbyrjun 1982. Lög nr. 63/1981 og nr. 39/1985 höfðu bæði fyrir fram afmarkaðan
gildistíma, þ.e. fjögur ár. Þótti slíkt nauðsynlegt, þegar lögin voru sett, til að tryggja
endurskoðun þeirra þar sem hér var um að ræða lagasetningu á áður óþekktu sviði, þar sem
framfarir og tækniþróun voru örar. Hefur lögunum lítið verið breytt allt frá setningu þeirra.
Frumvarp þetta hefur sem fyrri lagasetning á þessu sviði það að markmiði að tryggja
borgurunum vernd varðandi skráningu og miðlun upplýsinga um persónulega hagi þeirra.
Jafnframt miðar frumvarpið að því að sníða af gildandi löggjöf helstu annmarka sem í ljós hafa
komið. Er í almennum athugasemdum hér að framan gerð ítarleg grein fyrir þeim breytingum
sem frumvarp þetta gerir ráð fyrir miðað við gildandi lög. Að þessu athuguðu þykir ekki rétt að
leggja til að frumvarp þetta, ef að lögum verður, hafi afmarkaðan gildistíma.
Fylgiskjal.
DÓMSMÁLARÁÐUNEYTIÐ
Arnarhvoli,
Reykjavík.
Reykjavík, 25. sept. 1989.QR
I.
Í janúar 1988 fól þáverandi dómsmálaráðherra, Jón Sigurðsson, okkur undirrituðum að
endurskoða lög nr. 39/1985, um kerfisbundna skráningu á upplýsingum, er varða einkamálefni.
Sömdum við frumvarp til nýrra laga og bar það heitið „Frumvarp til laga um kerfisbundna
skráningu og meðferð persónuupplýsinga“. Frumvarpið var lagt fram á 111. löggjafarþingi
1988, en varð ekki útrætt. Í frumvarpi því, er við sömdum, voru lagðar til veigamiklar
breytingar á gildandi lögum og er helstu breytinga getið í almennum athugasemdum
frumvarpsins.
Allsherjarnefnd neðri deildar Alþingis fékk frumvarpið til umfjöllunar og sendi hún það til
umsagnar tölvunefndar, Hagstofunnar og Skýrslutæknifélags Íslands. Fyrir þinglausnir sl. vor
höfðu nefndinni borist athugasemdir Hagstofunnar og tölvunefndar. Dómsmálaráðuneytinu
hafa borist athugasemdir tölvunefndar og Hagstofunnar og hefur óskað þess við okkur
undirritaða, að við tökum til athugunar, hvort og þá að hvaða marki ástæða sé til þess að taka
tillit til þeirra athugasemda, sem borist hafa, eða hvort við teljum að leggja beri frumvarpið
fram óbreytt á 112. löggjafarþingi.
Að okkar áliti er ástæða til þess að taka tillit til nokkurra þeirra athugasemda, sem borist
hafa, og er þeirra getið í II og III hér á eftir. Þá leggjum við sjálfir til, að gerðar verði nokkrar
breytingar á frumvarpinu, og er þeirra getið í IV.
II.
Um athugasemdir Hagstofu Íslands.
Bréf Hagstofu Íslands til allsherjarnefndar er dags. 30. mars 1989. Eru í bréfinu gerðar
athugasemdir við 21. og 22. gr. frumvarpsins. Með vísan til þeirra raka, sem fram koma í bréfi
Hagstofunnar, getum við undirritaðir
fallist á þær breytingartillögur, sem Hagstofan leggur til.
Af framansögðu leiðir, að eftirtaldar breytingar þarf að gera á frumvarpinu:
1. Fella niður 3. tölul. 2. mgr. 21. gr.
2. Til samræmis við tillögur tölvunefndar leggjum við einnig til, að í 3. mgr. 21. gr. verði
skotið inn orðunum „
að fenginni umsögn tölvunefndar ...“
3. 22. gr. frumvarps okkar verði orðuð með þeim hætti, sem Hagstofan leggur til að öðru leyti
en því, að í stað niðurlags 2. mgr. 22. gr. komi ný mgr., 3. mgr. 22. gr., sem hljóði svo:
„Tölvunefnd getur sett reglur um merkingar skv. 1. mgr.“ Sýnist okkur, að með þessum
hætti sé einnig komið til móts við athugasemdir tölvunefndar við 22. gr. frumvarpsins.
4. Í athugasemdum við 22. gr. segði svo.
„Ákvæði í 1. mgr. 22. gr. er nýmæli. Þar kemur fram sú regla, að í útsendu efni skuli það
koma fram á áberandi stað að efninu sé dreift eftir upplýsingum úr skrá í vörslu viðkomandi
fyrirtækis eða stofnunar. Er ákvæði þetta sett til þess að auðvelda viðtakendum slíkra bréfa eða
rita að koma milliliðalaust á framfæri óskum sínum við skrárhaldara um að nöfn þeirra verði
tekin af skrá, en skv. 2. mgr. 22. gr. er skrárhaldara skylt að verða við slíkum tilmælum. Ákvæði
22. gr. svarar að mestu til 18. gr. dönsku e.s.l.
Í 3. mgr. 22. gr. er tölvunefnd heimilað að setja reglur um framkvæmd merkingar skv. 1.
mgr.“
III.
Um athugasemdir tölvunefndar.
Bréf tölvunefndar til allsherjarnefndar er dags. 30. mars 1989. Þær athugasemdir
tölvunefndar, sem við teljum rétt að taka tillit til, eru þessar:
1. Varðandi 6. gr. frumvarpsins gerir tölvunefnd það m.a. að tillögu sinni, að greinin beri
fyrirsögnina „Samtenging skráa“. Við getum fallist á tillögu þessa, en bendum þó á, að þá
er 6. gr. frumvarpsins eina frumvarpsgreinin, sem ber fyrirsögn.
2. Tölvunefnd leggur til varðandi 2. mgr. 13. gr. frumvarpsins, að þar verði skotið inn
orðunum „... að fenginni umsögn tölvunefndar ... „ Á þessa tillögu getum við fallist.
3. Nefndin leggur til, að í 17. gr. verði bætt við orðinu „nafnnúmer“ og erum við því
samþykkir, þótt rétt sé að benda jafnframt á, að notkun nafnnúmers hér á landi er á
undanhaldi.
4. Nefndin leggur til, að í lok 3. mgr. 19. gr. frumvarpsins komi nýr málsliður. Erum við því
eindregið samþykkir.
5. 5. Meiri hluti tölvunefndar leggur til, að í 1. tölul. 2. mgr. 21. gr. bætist við orðið
„nafnnúmer“. Erum við því samþykkir. Um 21. gr. vísum við að öðru leyti til umfjöllunar
okkar um athugasemdir Hagstofunnar.
6. Tölvunefnd leggur til, að IX. kafli frumvarpsins beri heitið „Skráning upplýsinga og
varðveisla þeirra“ og hafi að geyma tvær greinar, 28. og 29. gr., en efni þeirra er að finna
í III. kafla gildandi laga. Eftir atvikum getum við fallist á tillögur nefndarinnar. Af því
leiðir, að X. kafli frumvarpsins ber heitið „Um eftirlit með lögum þessum“ og raskast
greinaskipan frumvarpsins af þessum sökum, svo sem bent er á í athugasemdum
tölvunefndar.
. Í athugasemdum frumvarpsins við IX. kafla segði svo: „IX. kafli frumvarpsins hefur að
geyma sömu reglur og fram koma í 7. og 9. gr. í III. kafla gildandi laga. Það er að vísu svo,
að ákvæði IX. kafla frumvarpsins koma óbeint fram í ýmsum greinum frumvarpsins, en rétt
þykir eigi að síður að orða reglurnar sem almennar grundvallarreglur um skráningu
upplýsinga og varðveislu þeirra. Að öðru leyti þarfnast ákvæði kaflans ekki skýringa.“
7. Hvað varðar einstakar athugasemdir tölvunefndar við IX. kafla frumvarpsins, sem þá
verður X. kafli, ef tillit er tekið til breytinga þeirra, sem getur í lið 6 hér að ofan, leggjum
við eindregið til, að ekki verði gerðar neinar breytingar á þeim kafla. Til þess að koma til
móts við athugasemdir nefndarinnar leggjum við þó til, að 31. gr. frumvarpsins (1. mgr.
29. gr. frumvarps okkar) hefjist með þessum orðum: „Tölvunefnd hefur eftirlit með
framkvæmd laga þessara. Nefndin hefur að eigin frumkvæði, eða eftir ábendingum ... „ en
greinin verði að öðru leyti óbreytt. Varðandi 34. gr. (32. gr. frumvarps okkar) getum við
tekið undir með tölvunefnd, að orðunum „... að fenginni umsögn tölvunefndar... „ verði
skotið inn í greinina (35. gr. í frumvarpi tölvunefndar). Að sama skapi teljum við rétt, að
orðunum „... að fenginni umsögn tölvunefndar ... „ verði einnig skotið inn í 3. mgr. 35. gr.
(3. mgr. 33. gr. frumvarps okkar en 3. mgr. 36. gr. frumvarps tölvunefndar).
IV.
Ábendingar frumvarpshöfunda.
Við undirritaðir frumvarpshöfundar leggjum sjálfir til eftirtaldar breytingar:
1. Varðandi 3. mgr. 5. gr. leggjum við til, að hún hljóði svo:
. „Öðrum upplýsingum, sem falla undir ákvæði laga þessara en þeim sem nefndar eru í 1.
mgr. 4. gr. er því aðeins heimilt að skýra frá án samþykkis hins skráða, að slík
upplýsingamiðlun sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans.“
2. Í 5. gr. verði bætt nýrri málsgrein, sem verði 4. mgr. 5. gr. og leggjum við til, að hún hljóði svo:
. „Án sérstakrar lagaheimildar er eigi heimilt að skýra frá upplýsingum um atvik, sem eldri
eru en 5 ára nema sýnt sé fram á, að aðgangur að upplýsingunum geti haft úrslitaþýðingu við
mat á tilteknu atriði sem upplýsingarnar tengjast.“
. Af framangreindu leiðir, að 4. mgr. 5. gr. frumvarpsins verður að 5. mgr. 5. gr.
3. Við leggjum til, að lokamálsgrein 3. mgr. 6. gr. frumvarpsins hljóði svo:
. „Tölvunefnd getur bundið heimild til samtengingar nánari skilyrðum, þar með töldum
skilyrðum um það, hvernig upplýsingarnar verði notaðar og að skýra beri hinum skráða frá
því, að samtenging kunni að fara fram.“
Virðingarfyllst,
Þorgeir Örlygsson. Tryggvi Gunnarsson.