[prenta uppsett í dálka] 58. fundur, 125. lþ.
Lúðvík Bergvinsson:
Virðulegi forseti. Ég heyrði að hæstv. dómsmrh. treystir því að hv. allshn. sjái til þess að þetta fari ekki út um víðan völl og afgreiðsla málsins verði með þeim hætti að það verði þinginu til sóma. Ég á sæti í hv. allshn. og mun leggja mitt af mörkum til að svo geti orðið.
Virðulegi forseti. Það var dálítið áberandi í framsöguræðu hæstv. dómsmrh. að tilefni og tilkoma þess máls inn á hið háa Alþingi sé einkanlega það að uppfylla verði skyldur sem Evrópusambandið og EES-samningurinn leggur á okkur.
Ég vil halda því fram, virðulegi forseti, í ljósi þeirrar öru þróunar sem er í upplýsinga- og tölvumálum að gríðarlega mikilvægt sé að löggjöfin í þessum málum fylgi eins og kostur er tækniþróun á þessu sviði því að með hverju árinu breytast möguleikarnir á að nýta upplýsingar sem þessar og því held ég að það sé skylda stjórnvalda að leggja mikla áherslu á þennan þátt mannlífsins, þ.e. að tryggja persónuverndina. Ég ítreka það einnig að stjórnarskráin kveður skýrt á um að Alþingi skuli setja lög sem hafi það að markmiði að vernda þessa persónuvernd. Ég vil því miklu frekar leggja þá áherslu á málið að það sé skylda okkar að setja þessi lög en ekki að við séum hrakin til þess af Evrópusambandinu þó að margt gott komi nú þaðan.
Virðulegi forseti. Á 20 árum hafa verið í gildi þrenn lög um þetta svið, allt frá árinu 1991. Verði þetta frv. að lögum, sem ég geri fastlega ráð fyrir, þá eru þetta fjórðu lögin sem taka gildi hér á landi á 20 árum og það eitt segir okkur hversu ör þróunin er á þessu sviði. Á því gilda vitaskuld nokkuð margar reglur sem við verðum að horfa til og má þar nefna 71. gr. stjórnarskrárinnar sem leggur þá skyldu á herðar stjórnvöldum og Alþingi að setja reglur um vernd einkalífs, ýmsa mannréttindasáttmála sem við höfum undirgengist og staðfest, XXV. kafla almennra hegningarlaga, lög um réttindi sjúklinga og lög um skráningu og meðferð persónuupplýsinga sem þessu frv. er ætlað að leysa af hólmi.
Þetta er sá grunnur, virðulegi forseti, sem gerir það að verkum að okkur ber skylda til að setja skýrar og góðar reglur um persónuverndina og ég held að ef hv. þingnefnd er samstiga í þessu máli, þá megi sníða þá agnúa af því frv. sem við fjöllum um og ég ætla að gera að umræðuefni.
Eins og hæstv. ráðherra kom inn á eru nokkur grundvallarsjónarmið sem ganga í gegnum frv. Í fyrsta lagi er það persónuverndin sem reyna á að tryggja að verði í góðu lagi og í öðru lagi --- það er kannski undirtónninn í þessu --- eru það viðskiptasjónarmiðin. Það sem stingur talsvert í augu þegar frv. er lesið í gegn er að viðskiptasjónarmiðum almennt er gert dálítið hátt undir höfði. Og þegar viðskiptasjónarmið rekast á sjónarmið um persónuvernd, þá er það oft þannig að mönnum finnst eins og viðskiptasjónarmiðin séu sett framar. Þetta er verulegt umhugsunarefni, virðulegi forseti, í ljósi þeirra miklu möguleika sem breytingar á tölvu- og upplýsingakerfum samtímans gefa möguleika til.
Í fyrsta lagi, virðulegi forseti, vil ég gagnrýna að hér er lagt upp með svokallaða tilkynningarskyldu, þ.e. ekki er hinni væntanlegu persónuverndarstofnun, sem mun verða stofnuð í kjölfar samþykktar þessa frv., ætlað að veita leyfi fyrir því að vinnsla á upplýsingum hefjist, heldur á frekar að fara þá leið að menn þurfa að tilkynna um að menn ætli að hefjast handa við þessar upplýsingar. Ég tel, virðulegi forseti, að miklu vænlegra væri að fara bannleiðina, þ.e. að veita þurfi leyfi fyrir því að vinna slíkar upplýsingar. Því við sjáum að þeir möguleikar sem tölvu- og upplýsingabyltingin gefur okkur geta gert það að verkum að menn eru á leiðinni með að fara með þessar upplýsingar kannski ekki eins vel og nauðsynlegt er. Menn geta hafið vinnslu áður en Persónuvernd hefur fjallað um beiðni viðkomandi vegna þess að menn geta hafið vinnslu eins og fram kemur í frv. um leið og tilkynning um væntanlega vinnslu er sett af stað, þ.e. áður en opinberir aðilar eru búnir að fjalla um hvort vinnslan sé með þeim hætti að hún uppfylli þessar kröfur, heldur hitt að hægt er að hefja vinnsluna um leið og tilkynning er send. Ég geld dálítinn varhug við þeirri leið og hvet hv. allshn. til að taka þá hugmyndafræði til skoðunar, skoða hvort ekki sé varlegra þegar verið er að fara af stað í þessum efnum að menn byrji á því að krefjast þess að veitt sé leyfi og menn fari þá vandlega yfir það hvaða vinnsla á að fara fram. Ég held að þetta sé mjög mikilvægt og ég held að við þurfum að fara mjög varlega á þessu sviði.
Í stað þess að fara þá leið sem er í núgildandi lögum, þ.e. að hafa í gildi reglur um að bregðast við eða vera með fyrirbyggjandi ráðstafanir, þá á að vera með ráðstafanir eftir á. Það er nú einfaldlega þannig að slíkar ráðstafanir geta verið þess eðlis að of seint er að bregðast við ástandinu þegar það er komið upp.
Í öðru lagi, virðulegi forseti, vil ég vekja athygli á því að í því frv. sem hér liggur fyrir er ekki gert ráð fyrir því að einstaklingur sem hefur gefið samþykki sitt fyrir því að persónulegar upplýsingar um hann verði nýttar geti mótmælt þeirri vinnslu á meðan hún á sér stað. Þessu er á annan veg farið í þeirri tilskipun sem frv. er að hluta til unnið upp úr. Í grg. á bls. 34, segir, með leyfi forseta:
,,Í frv. er ekki að finna ákvæði sem hafa beina samsvörun við hin tilvitnuðu ákvæði tilskipunarinnar,`` --- þ.e. rétt hins skráða til að mótmæla tiltekinni vinnslu persónuupplýsinga --- ,,en telja verður að þau réttindi hins skráða sem hér um ræðir séu nægilega tryggð í ákvæðum 25. og 26. gr. frv.``
Virðulegi forseti. Ég held að hér sé ekki nægilega vel frá málum gengið. Ég held að mikilvægt sé að þessi réttur aðila, þ.e. að þeir geti afturkallað samþykki sitt því að í raun og veru er ekki um neitt annað að ræða, verði tryggður í frv. og þar af leiðandi í lögum, verði frv. að lögum.
Þá vek ég líka athygli á því, virðulegi forseti, að eitt meginsjónarmiðið sem lagt er upp með í frv. er frjáls flutningur persónuupplýsinga milli landa sem væntanlega tengist þeirri grundvallarhugsun um EES-samninginn, þ.e. að löggjöf á öllu svæðinu sé mjög svipuð og ekkert megi hindra að eðlileg viðskipti eigi sér stað á þessu svæði og sambærilegar reglur gildi.
Ég held, virðulegi forseti, m.a. með tilliti til þess sem ég sagði áðan, að mjög hættulegt sé að þegar slíkar upplýsingar eru orðnar til, þá megi fleyta þeim áfram alveg án nokkurs eftirlits. Því legg ég á það verulega áherslu að við snúum þessari hugmyndafræði við, þ.e. að nægilegt sé að tilkynna að einhver starfsemi eigi að fara fram, heldur að hún hefjist ekki fyrr en leyfi er veitt. Ég held að það sé mjög mikilvægt. Við fórum í gegnum grundvallarumræðu í fyrra um gagnagrunninn og það er náttúrlega nákvæmlega það sama sem hér er á ferðinni. Þetta er grundvallarumræða um persónuupplýsingar og við verðum að ganga mjög varlega um hvernig með þær er farið.
Það sem kannski vekur ekki síst athygli, virðulegi forseti, þegar þetta er skoðað að í fyrra í umræðunum um gagnagrunninn var kynnt fyrir hv. heilbr.- og trn. frv. til laga um persónuverd sem lá fyrir þegar sú umræða fór fram og ég verð að segja það, virðulegi forseti, að það hefði verið miklu eðlilegra að mínu viti að almenn umgjörð um persónuvernd, persónuupplýsingar og meðferð þeirra hefði legið fyrir áður en frv. um gagnagrunnin var lagt fram. Vegna þess að þegar þessi tvö frv. eru lesin saman, þ.e. frv. í fyrra sem hér kom fram áður en frv. um gagnagrunninn var samþykkt og það sem nú liggur fyrir, þá virðist manni vera alveg augljóst að þetta frv. er hannað eftir þeim kröfum sem frv. og lögin um gagnagrunna setja. Og það er mjög alvarlegur hlutur, virðulegi forseti, að hinar almennu leikreglur sem við erum að setja um persónuvernd skuli vera hannaðar eftir hugmyndinni um gagnagrunninn og vinnslu hans og það finnst mér bera merki þess hvaða forsendur hafðar eru að leiðarljósi og hafðar í forgang við setningu þessara laga.
Ég ætla að leyfa mér, virðulegi forseti, að taka nokkur dæmi um breytingar sem hafa átt sér stað frá því að frv. sem kynnt var í heilbr.- og trn. kom fram í fyrra til þess frv. sem við fjöllum um hér.
Í fyrsta lagi, virðulegi forseti, er í 2. gr. í þessu frv. fjallað um viðkvæmar persónuupplýsingar. Vinnsla á þeim upplýsingum er reyndar að mestu leyti leyfisskyld sem betur fer þó mjög sé dregið úr því í þessu frv. frá því sem var í drögunum. Í þeim sagði, virðulegi forseti --- en það er ekki í frv. nú --- og ég leyfi mér að vitna í þar sem fjallað er um hvað teljist viðkvæmar persónuupplýsingar. Í frv. frá því í fyrra töldust það viðkvæmar persónuupplýsingar að fara með upplýsingar um einkafjárhag. Ég tel, virðulegi forseti, að það séu viðkvæmar upplýsingar, að fjalla um einkafjárhag. Það finnst mér vera grundvallarupplýsingar um persónu, eitt af því sem skiptir hvað mestu máli. Þetta þóttu í fyrra viðkvæmar upplýsingar en af einhverjum ástæðum er það horfið úr frv. núna. Þetta finnst mér mjög merkilegt.
Í grein sem núv. ráðuneytisstjóri í iðn.- og viðskrn. skrifaði í Tímarit lögfræðinga --- ég hef víst ekki tölublaðið hér --- fjallar hann einmitt um að svið einkalífs skuli njóta nokkuð rýmri verndar. Hann vitnar í XXV. kafla almennra hegningarlaga og tekur t.d. dæmi af fjárhagsmálefnum, þ.e. að fjárhagsmálefni séu heyri vitaskuld til viðkvæmra persónuupplýsinga. Þetta kemur fram í grein núv. ráðuneytisstjóra í iðn.- og viðskrn. Ég held, virðulegi forseti, að hæstv. dómsmrh. skuldi okkur skýringu á því að meðferð á upplýsingum um einkafjárhag skuli ekki teljast til viðkvæmra persónuupplýsinga.
Ég veit ekki hvort það er í mínum verkahring að leiða líkur að einhverju svari. En í gær fjölluðum við um merkilegt frv. um Landskrá fasteigna. Ég er ekki frá því að það sé m.a. ástæðan fyrir því að þetta var tekið út. Þetta finnst mér mjög alvarlegt ef grundvallarsjónarmiðið í þessu frv. er að tryggja að hægt sé að ná í allar upplýsingar en persónuverndin sé einhvers konar afgangsstærð. Mér finnst mjög alvarlegt ef það er rétt ályktað hjá mér, virðulegi forseti.
Annað dæmi sem ég vil taka um breytingar frá því í fyrra, á því sem þótti viðkvæmar persónuupplýsingar í fyrra en þykir ekki núna. Í g-lið 2. gr. frumvarpsdraganna sagði, og ég ætla að leyfa mér að lesa það upp, með leyfi forseta:
,,Upplýsingar um félagsleg vandamál og önnur einkalífsatriði sem sanngjarnt er og eðlilegt að leynt fari.``
Virðulegi forseti. Það þarf nú kannski ekki að halda um þetta langa ræðu. En er þetta ekki eitt af grundvallaratriðunum þegar litið er til viðkvæmra persónuupplýsinga? Ég vænti þess að hæstv. dómsmrh. komi hér upp á eftir og skýri hvað veldur því að upplýsingar um einkafjárhag, viðkvæm félagsleg vandamál og önnur einkalífsatriði töldust viðkvæmar persónuupplýsingar í fyrra en teljast það ekki núna. Ég hef ekki orðið var við að viðhorf til þessara mála hafi almennt breyst svo stórkostlega.
Annað dæmi, virðulegi forseti, vil ég nefna. Í 9. tölul. 9. gr. frumvarpsdraganna frá því í fyrra segir, þegar fjallað er um vinnslu viðkvæmra persónulegra upplýsinga:
,,Vinnsla viðkvæmra persónuupplýsinga er því aðeins heimil að: ... vinnslan sé nauðsynleg vegna tölfræði- og vísindarannsókna,`` --- þetta er hið sama og segir í frv. sem nú liggur fyrir þinginu. Hins vegar er dottin út þessi aukasetning: ,,enda sé útilokað að hún geti haft bein áhrif á hagsmuni einstaklinga.``
Ég held, virðulegi forseti, að hér sé dæmi um að hin almenna umgjörð um persónuvernd og meðferð persónuupplýsinga sé eiginlega hönnuð eða formuð, ef svo má að orði komast, að núgildandi lögum um gagnagrunninn. Mér finnst af þeim dæmum sem ég hef nefnt hér, mjög alvarlegt ef hinar almennu reglur um persónuvernd eiga að taka mið af hagsmunum af þessum toga. Ég hefði haldið að hin almenna persónuvernd og meðferð slíkra upplýsinga ætti að vera í forgangi en annað eigi síðan að taka mið af þeim reglum. Hér er þessu snúið við. Mér finnst alvarlegt að þetta skuli vera lagt upp þannig eins og ég sagði í upphafi máls míns.
Mér finnst þetta frv. lykta talsvert af því að þar sem viðskiptasjónarmið og sjónarmið um vernd persónu og persónuupplýsinga rekast á sé viðskiptasjónarmiðunum gert fremur hátt undir höfði. Mér finnst það vera alvarlegt, einkanlega í ljósi stórkostlegra breytinga í tölvu- og upplýsingamálum og möguleikum manna á að nýta upplýsingar. Þetta er rauði þráðurinn í þessu frv. Ég tel það gagnrýni vert og vona að hv. allshn. muni fara mjög vandlega ofan í þennan þátt málsins. Þarna tel ég að byggt sé á forgangsröðun sem ekki er ásættanleg fyrir hinn almenna borgara.
Virðulegi forseti. Ég hef hér í máli mínu fjallað um það sem ég tel gagnrýnivert í þessu frv. Ég hef einbeitt mér að því að fjalla um hvað ég tel að bæta megi í frv. áður en það verður að lögum. Ég vil hins vegar jafnframt taka fram að mjög margt í þessu frv. er gott. Það munum við án efa fjalla vel og vandlega um í nefndinni og bæta þar sem við á. En ég vil vekja athygli á þessum grundvallarsjónarmiðum og gera athugasemdir við þau. Við megum ekki leika okkur að því að ganga um þetta svið þannig að hætta sé á að þessar upplýsingar verði misnotaðar. Við verðum að hafa möguleika á að grípa inn í í tíma. Við þurfum að setja persónuverndina ofar hugmyndum um viðskiptasjónarmið, a.m.k. meðan við erum að feta okkur inn á að tryggja þessar upplýsingar með löggjöf. Þróunin er svo gríðarlega ör að ég tel skynsamlegra að fara varlega af stað og breyta þá reglunum fremur en að opna þetta allt upp á gátt og sitja kannski eftir með sárt ennið. Það gæti orðið afdrifaríkt fyrir þá einstaklinga sem yrðu fyrir því að upplýsingar um þá væru misnotaðar.
Virðulegi forseti. Hér er mjög stórt mál á ferðinni og Alþingi verður að vanda til verka við afgreiðslu þessa máls.
