[prenta uppsett í dálka] 58. fundur, 125. lþ.
Dómsmálaráðherra (Sólveig Pétursdóttir):
Hæstv. forseti. Ég mæli fyrir frv. til laga um persónuvernd og meðferð persónuupplýsinga. Frv. er ætlað að lögtaka efni tilskipunar Evrópusambandsins frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Hún öðlaðist gildi innan aðildarríkja ESB þann 24. október 1998.
Þessi tilskipun var í júní á þessu ári felld undir EES-samninginn og þá var íslenska ríkinu veittur sex mánaða frestur til að breyta löggjöf sinni um meðferð persónuupplýsinga þannig að hún verði í samræmi við efnisákvæði tilskipunarinnar. Er lögtaka þessa frv. því óhjákvæmileg til að fullnægja þjóðréttarlegri skuldbindingu Íslands.
Markmið tilskipunarinnar er að hindra að ósamræmi í löggjöf um vernd persónuupplýsinga innan aðildarríkja ESB geti staðið í vegi fyrir frjálsu flæði persónuupplýsinga milli aðildarríkja ESB og skapað vandkvæði í efnahagslegu samstarfi þeirra. Frv. er ætlað að koma í stað laga um skráningu og meðferð persónuupplýsinga, nr. 121/1989. Var það niðurstaða nefndar sem skipuð var til að endurskoða þau lög af tilefni umræddrar tilskipunar, að hún kallaði á það miklar breytingar á gildandi rétti að hagkvæmara væri að semja frá grunni frv. til nýrra laga fremur en að leggja til breytingar á einstökum ákvæðum gildandi laga. Efnislega má þó segja að hæst rísi eftirfarandi nýmæli:
Lagt er til að sett verði á laggirnar ný sjálfstæð ríkisstofnun, Persónuvernd, sem fái það hlutverk að annast eftirlit með framkvæmd laganna. Sú stofnun sem haft hefur eftirlit með framkvæmd gildandi laga er tölvunefnd. Nafngiftin tölvunefnd hefur oft valdið misskilningi gegnum tíðina og reynst vera nokkuð misvísandi. Er því í frv. lagt til að nafninu verði breytt í Persónuvernd. Tölvunefnd hefur verið vistuð í dómsmrn. en löngu er orðið nauðsynlegt að bregðast við auknum málafjölda með því að fjölga starfsmönnum og tryggja nauðsynlegan aðbúnað.
Tilskipun Evrópusambandsins leggur ríka áherslu á sjálfstæði slíkrar stofnunar og verður það bæði sýnilegra og virkara verði tengslin við ráðuneytið rofin.
Þá er lagt til að gildissvið laga um meðferð persónuupplýsinga verði afmarkað með öðrum hætti en nú er. Sú breyting er þríþætt.
Í fyrsta lagi er lagt til að gildissviðið verði í samræmi við tilskipun Evrópusambandsins rýmkað þannig að það skírskoti ekki lengur sérstaklega til eðlis upplýsinganna heldur eigi við um allar persónugreindar eða persónugreinanlegar upplýsingar.
Í öðru lagi er gildissviðið þrengt þannig að það tekur fyrst og fremst til upplýsinga um einstaklinga en hvorki til stofnana, fyrirtækja né annarra lögpersóna eins og nú er. Er bæði talið að í því felist ákveðin þversögn að kalla upplýsingar um lögpersónur persónuupplýsingar auk þess sem óeðlilegt sé að veita lögpersónum vernd í lögum sem lúta að grundvallarréttindum manna, einkum réttinum til að njóta friðhelgi um einkalíf sitt. Hins vegar er áfram miðað við að búa fyrirtækjum óbreytta vernd um fjárhagsmálefni sín.
Í þriðja lagi er lagt til að gildissviðið taki til persónupplýsinga óháð því hvort þær séu í skrám eða ekki. Þess í stað er megináherslan lögð á að lögin skuli taka til vinnslu persónuupplýsinga, aðallega rafrænnar vinnslu en þó jafnframt að nokkru til handvirkrar vinnslu. Er þetta gert til samræmis við tilskipun ESB og í ljósi þess að hin öra tækniþróun, þar á meðal þróun ýmiss konar vöktunarbúnaðar, hefur leitt til þess að erfitt er orðið að nota skráarhugtakið þegar gildissvið persónuverndarlaga er afmarkað.
Þá er lagt til breytt vinnufyrirkomulag í framkvæmd laganna. Í dag er flestöll vinnsla viðkvæmra persónuupplýsinga háð leyfi tölvunefndar. Hefur því fylgt mikil skriffinnska sem tekið hefur upp svo mikið af tíma nefndarinnar að hún hefur í raun haft takmarkað svigrúm til annarra verkefna, svo sem skilvirks eftirlits. Tilskipun ESB miðar við að í stað þess að vísindamenn og aðrir sem vinna með persónuupplýsingar þurfi að fá leyfi slíkrar eftirlitsstofnunar skuli þeir senda henni tilkynningar um vinnsluna og hún bregst við hverju sinni eftir því sem henni sýnist þörf til að tryggja gæði vinnslunnar og örugga persónuvernd. Þessu fylgir og það hagræði að vinnsla getur hafist þótt ekki liggi fyrir svar Persónuverndar. Er þannig komist hjá þeim ókosti að afgreiðsla leyfisveitinga geti tekið langan tíma og sett vinnslu sem á endanum reynist í góðu lagi í biðstöðu meðan rannsókn fer fram.
Þetta fyrirkomulag hefur vakið þá spurningu hvort fækkun leyfisskyldra verkefna dragi úr persónuvernd. Því er til að svara að með ýmsum ákvæðum um bættan og aukinn rétt einstaklingsins hefur verið komið til móts við slík sjónarmið og gerðar ráðstafanir sem vega þar upp á móti. Þessar ráðstafanir má greina í fjóra hluta en þeir eru:
Í fyrsta lagi verður til skrá um allar persónuupplýsingaskrár. Í tilskipun ESB eru fyrirmæli um að öll vinnsla persónuupplýsinga skuli verða tilkynningarskyld og að til verði skrár yfir allar innsendar tilkynningar. Þessi skrá skal vera almenningi aðgengileg. Í dag er mjög undir hælinn lagt hversu almenningur er sér vel meðvitaður um réttindi sín samkvæmt lögum um vernd persónuupplýsinga, enda næstum ógerlegt orðið fyrir fólk að átta sig á þeim fjölda skráa sem fyrirfinnst og því sem þar er skráð. Má telja að slík skrá sem hér um ræðir geti verið áhrifaríkt tæki fyrir hinn almenna borgara til að gæta réttar síns að því er varðar vinnslu persónuupplýsinga um hann.
Í öðru lagi er lögð aukin ábyrgð og skylda til innra eftirlits á þá sem vinna með persónuupplýsingar. Eftirlitið verði bæði í höndum þeirra sjálfra og Persónuverndar en líklegt má telja að slíkt geri þá sem nota persónuupplýsingar betur meðvitaða um skyldur sínar í vinnslu persónuupplýsinga og tryggi betur en ella aðgát þeirra í nærveru slíkra upplýsinga.
Í þriðja lagi er mælt fyrir um að persónuvernd geti stöðvað vinnslu sem henni er tilkynnt um eða mælt fyrir um önnur úrræði til að bæta gæði vinnslunnar og tryggja öryggi þeirra persónuupplýsinga sem unnið er með. Er og lagt til að hún geti lagt dagsektir á þann sem ekki hlítir fyrirmælum hennar.
Í fjórða lagi skal Persónuvernd leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar eða þróa kerfi fyrir slíka vinnslu, m.a. með því að aðstoða við gerð starfs- og siðareglna fyrir einstaka hópa og starfsstéttir. Erlend reynsla sýnir að slíkar starfsreglur skapa aukinn skilning meðal hlutaðeigandi aðila og leiða til bættrar persónuverndar.
Í frv. er þó ekki gert ráð fyrir að leyfisveitingar muni hverfa með öllu. Af tilskipun ESB leiðir að skylt er að setja sérstakar reglur um vinnslu viðkvæmra persónuupplýsinga. Í tilskipuninni er mælt fyrir um sérstaka meðferð þeirra tilvika þegar vinnsla getur skert réttindi hins skráða en það er á valdi hvers ríkis að ákveða hvaða vinnsla sé líkleg til þess.
Í gildandi lögum eru strangar reglur um vinnslu viðkvæmra persónuupplýsinga. Er í raun sömu stefnu fylgt í frv. þessu en ítarlegri reglur settar um hvenær vinnsla þeirra sé heimil án sérstaks leyfis frá Persónuvernd. Er síðan lagt til að í öðrum tilfellum sé vinnsla þeirra háði leyfi Persónuverndar en auk þess að Persónuvernd geti ákveðið að vissar tegundir vinnslu skuli vera leyfisskyldar.
Í frv. er að finna nokkrar nýjar efnisreglur. Er einkum gert ráð fyrir fjölgun efnisreglna um réttindi þeirra einstaklinga sem upplýsingar fjalla um. Ákvæði tilskipunar ESB byggja á því grundvallarviðhorfi að það sé réttur hvers einstaklings að ráða sjálfur yfir upplýsingum sem hann sjálfan varðar og er á því byggt í frv. Samkvæmt því er í fyrsta lagi lagt til að rýmkaður verði réttur manna til að fá almenna vitneskju um vinnslu persónuupplýsinga og er það ekki bundið við hinn skráða. Er hér byggt á tilskipun ESB.
Í öðru lagi er lagt til að menn eigi í vissum tilvikum rétt á að fá fræðslu og aðvaranir þegar notaðar eru upplýsingar um þá. Skulu þeir sem vinna með persónuupplýsingar veita tiltekna fræðslu þegar upplýsingum er safnað hjá hinum skráða og aðvara hann þegar upplýsingum um hann er safnað annars staðar frá.
Í þriðja lagi er í frv. ákvæði um rétt hins skráða til aðgangs að upplýsingum um sjálfan sig. Slíkur réttur er talinn eitt áhrifaríkasta úrræðið til þess að koma í veg fyrir vinnslu rangra og villandi upplýsinga eða upplýsinga sem óheimilt er að vinna með.
Í fjórða lagi er í frv. ákvæði um rétt hins skráða til að fá rökstuðning fyrir ákvörðun sem byggist alfarið á rafrænni vinnslu. Oft fer beiting réttarreglna og ákvarðanataka fram með sjálfvirkum hætti við úrvinnslu í tölvum. Þá getur oft verið erfitt fyrir þann einstakling sem á hlut að máli að skilja hvaða regluverk býr að baki tiltekinni ákvörðun um rétt hans og skyldur. Því er í frv. lagt til að hann eigi bæði rétt á að fá rökstuðning fyrir niðurstöðunni þar sem gerð verður grein fyrir þeim reglum sem liggja ákvörðun til grundvallar og jafnframt að hann eigi rétt á að fá slíka ákvörðun unna handvirkt, þ.e. reiknað út í höndunum. Er hér byggt á tilskipun ESB.
Í fimmta lagi er í frv. að finna ákvæði um rétt manna til að láta leiðrétta, eyða eða bæta við ófullkomnar upplýsingar. Hér er gengið heldur lengra en í gildandi lögum. Lagt er til að Persónuvernd geti bannað notkun upplýsinga sem óheimilt er að eyða eða breyta vegna ákvæða annarra laga. Einnig eru ákvæði um að hafi sá sem vinnur með persónuupplýsingar miðlað röngum eða villandi upplýsingum skuli hann eftir því sem honum er frekast unnt hindra að slíkt hafi áhrif á hagsmuni hins skráða.
Í sjötta lagi er að finna ákvæði um þau lágmarksskilyrði sem vinnsla þarf að uppfylla. Þar er m.a. það ákvæði að við meðferð persónuupplýsinga skuli þess gætt að þær séu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Sambærilegt ákvæði er ekki að finna í gildandi lögum um meðferð persónuupplýsinga.
Í sjöunda lagi er í frv. að finna ákvæði sem lúta að vöktun en tækniþróun hefur í seinni tíð gert það kleift að fylgjast með þegnum samfélagsins með nýjum og áður óþekktum aðferðum. Löggjöf hér á landi hefur á hinn bóginn ekki fylgt þeirri þróun eftir sem skyldi. Er því tímabært að bregðast við því svo sem gert er í frv. þessu, en það hefur að geyma ýmis ákvæði um vöktun, m.a. um aðvaranir og fleira.
Loks er í frv. gert ráð fyrir að settar verði reglur um notkun kennitölu og lagt til að hún sé heimil eigi hún sér lögmætan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu.
Hæstv. forseti. Ég hef nú rakið efnisatriði þessa mikilvæga frv. Þetta er stórt mál og viðamikið mál og ég legg til að frv. verði að lokinni þessari umræðu vísað til 2. umr. og hv. allshn.
