Ferill 627. máls. Aðrar útgáfur af skjalinu: Word Perfect.
126. löggjafarþing 2000–2001.
Þskj. 1002 — 627. mál.
Frumvarp til laga
um breyting á lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77 23. maí 2000.
(Lagt fyrir Alþingi á 126. löggjafarþingi 2000–2001.)
1. gr.
6. gr. laganna orðast svo:Lögin gilda um vinnslu persónuupplýsinga á vegum ábyrgðaraðila sem hefur staðfestu hér á landi, enda fari vinnsla persónuupplýsinganna fram á Evrópska efnahagssvæðinu eða í landi eða á stöðum sem Persónuvernd auglýsir í Stjórnartíðindum.
Lögin gilda einnig um vinnslu persónuupplýsinga þótt ábyrgðaraðili hafi staðfestu í ríki utan Evrópska efnahagssvæðisins ef hann notar tæki og búnað sem er hér á landi.
Lögin gilda einnig um vinnslu upplýsinga um fjárhagsmálefni og lánstraust lögaðila, sbr. 45. gr. laganna, enda þótt ábyrgðaraðili hafi ekki staðfestu hér á landi, ef hann notar tæki og búnað sem er hér á landi.
Ákvæði 2. og 3. mgr. gilda ekki ef umræddur tækjabúnaður er einungis notaður til að flytja persónuupplýsingar um Ísland.
Þegar svo hagar til sem greinir í 2. og 3. mgr. skal ábyrgðaraðili tilnefna fulltrúa sinn sem hefur staðfestu hér á landi og gilda þá ákvæði laganna varðandi ábyrgðaraðila um þann fulltrúa eftir því sem við á.
2. gr.
Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr.
3. gr.
Áhættumat, öryggi og gæði persónuupplýsinga.
Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.
Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt.
Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar.
Ábyrgðaraðili skal skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir. Skal Persónuvernd hafa aðgang að upplýsingum um framangreind atriði hvenær sem hún óskar.
4. gr.
Ábyrgðaraðili skal viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
Innra eftirlit skal viðhaft með reglubundnum hætti. Tíðni eftirlitsins og umfang þess skal ákveðið með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd eftirlitsins. Það skal þó eigi fara fram sjaldnar en árlega.
Ábyrgðaraðili skal sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skal lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skal varðveita tryggilega. Persónuvernd hefur rétt til að aðgangs að þeim hvenær sem er.
Persónuvernd getur sett frekari fyrirmæli um framkvæmd innra eftirlits og veitt undanþágu frá því að slíkt innra eftirlit skuli viðhaft eða takmarkað til hvaða þátta í vinnslunni það skuli taka.
5. gr.
Trúnaðarskylda vinnsluaðila við meðferð persónuupplýsinga.
Samningur skv. 1. mgr. skal vera skriflegur og a.m.k. í tveimur eintökum. Þar skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga þessara um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast. Ábyrgðaraðili og vinnsluaðili skulu hvor varðveita sitt eintak af samningnum.
Hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila, nema lög mæli fyrir á annan veg.
Hafi vinnsluaðili staðfestu í öðru ríki á Evrópska efnahagssvæðinu en ábyrgðaraðili, sbr. 1. mgr. 6. gr., skal jafnframt mælt svo fyrir í samningi að lög og reglur þess ríkis þar sem vinnsluaðili hefur staðfestu gildi um öryggisráðstafanir við vinnslu persónuupplýsinga. Getur Persónuvernd t.d. í auglýsingu í Stjórnartíðindum áskilið að slíkur samningur innihaldi stöðluð ákvæði sem séu í samræmi við ákvörðun framkvæmdastjórnar Evrópubandalagsins. Sama á við þegar ábyrgðaraðili hefur staðfestu í ríki á Evrópska efnahagssvæðinu en vinnsluaðili ekki fari vinnslan fram í landi eða á stöðum sem upp eru taldir í auglýsingu sem Persónuvernd gefur út.
6. gr.
Um andmælarétt hins skráða og um bannskrá Hagstofunnar.
Hinum skráða er heimilt að andmæla vinnslu upplýsinga um sjálfan sig ef hann hefur til þess lögmætar og knýjandi ástæður vegna sérstakra aðstæðna sinna, nema kveðið sé á um annað í öðrum lögum. Eigi andmælin rétt á sér er ábyrgðaraðila óheimil frekari vinnsla umræddra upplýsinga.
Hagstofa Íslands skal halda skrá yfir þá sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi en Persónuvernd setur Hagstofu Íslands nánari fyrirmæli um gerð og notkun slíkra skráa og hvaða upplýsingar skuli koma þar fram. Ábyrgðaraðilar sem starfa í beinni markaðssókn og þeir sem nota skrá með nöfnum, heimilisföngum, netföngum, símanúmerum og þess háttar eða miðla þeim til þriðja aðila í tengslum við slíka starfsemi skulu, áður en slík skrá er notuð í slíkum tilgangi, bera hana saman við skrá Hagstofunnar til að koma í veg fyrir að markpóstur verði sendur eða hringt verði til einstaklinga sem hafa andmælt slíku. Persónuvernd getur heimilað undanþágu frá þessari skyldu í sérstökum tilvikum.
Öll notkun bannskrár skv. 2. mgr. er óheimil í öðrum tilgangi en þar er lýst.
Skylt er að nafn ábyrgðaraðila komi fram á áberandi stað á útsendum markpósti og hvert þeir sem andmæla því að fá slíkan markpóst og marksímtöl geti snúið sér. Viðtakandi markpósts á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu eða útsendingu til grundvallar. Þetta gildir ekki um markaðssetningu ábyrgðaraðila á eigin vöru og þjónustu sem notar eigin viðskiptamannaskrár, enda beri útsent efni með sér hvaðan það kemur.
Ábyrgðaraðila er óheimilt að verða við beiðni um afhendingu félaga-, starfsmanna- eða viðskiptamannaskrár til nota við dreifingu markpósts nema hann hafi áður gefið félagsmönnum, starfsmönnum eða viðskiptamönnum kost á að andmæla því að nafn viðkomandi verði á hinni afhentu skrá. Þá ber ábyrgðaraðila enn fremur, áður en hann lætur umrædda skrá af hendi, að kanna hvort viðkomandi hafi með tilkynningu til Hagstofu komið á framfæri andmælum, sbr. 2. mgr.
Ákvæði 5. mgr. gildir ekki ef afhending félaga-, starfsmanna- eða viðskiptamannaskrár til nota við dreifingu markpósts byggist á samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr.
Ákvæði 1.–5. mgr. gilda, eftir því sem við á, einnig um markaðs-, neyslu- og skoðanakannanir. Persónuvernd er heimilt að undanþiggja vísindarannsóknir og hliðstæðar rannsóknir slíkum takmörkunum, enda þyki ljóst að slíkt geti skert til muna áreiðanleika niðurstöðu rannsóknarinnar.
7. gr.
8. gr.
a. Við 1. mgr. bætast tveir nýir töluliðir, svohljóðandi:
7. ef miðlun er nauðsynleg eða fyrirskipuð samkvæmt lögum vegna þess að brýnir almannahagsmunir krefjast þess eða til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, eða
8. um sé að ræða upplýsingar sem almennur aðgangur er að.
b. Í stað lokamálsliðar 2. mgr. koma fjórir nýir málsliðir, svohljóðandi: Persónuvernd getur heimilað miðlun persónuupplýsinga til þriðju landa þótt þau hafi ekki verið talin veita friðhelgi borgaranna nægilega einkalífsvernd. Slíkt er háð því að ábyrgðaraðili hafi, að mati stofnunarinnar, veitt nægilegar tryggingar fyrir slíku. Getur stofnunin t.d. áskilið að ábyrgðaraðili hafi gert við viðtökuaðila skriflegan samning sem hafi að geyma tiltekin stöðluð samningsákvæði í samræmi við ákvörðun sem Persónuvernd hefur auglýst í Stjórnartíðindum, að teknu tilliti til ákvarðana framkvæmdastjórnar Evrópubandalagsins, sbr. 2. mgr. 29. gr. laga þessara. Að öðru leyti getur Persónuvernd sett nánari fyrirmæli um flutning persónuupplýsinga úr landi.
9. gr.
10. gr.
Athugasemdir við lagafrumvarp þetta.
Með frumvarpi þessu eru lagðar til nokkrar breytingar á lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000. Markmið þeirrar lagasetningar var einkum að lögtaka efni tilskipunar Evrópubandalagsins (EB) frá 24. október 1995, nr. 95/46/EB, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Hún öðlaðist gildi innan aðildarríkja bandalagsins 24. október 1998. Tilefni þess að tilskipunin var sett var að löggjöf aðildarríkjanna á persónuverndarsviðinu var afar mismunandi og stóð orðið í vegi fyrir frjálsu flæði persónuupplýsinga milli aðildarríkjanna og skapaði vandkvæði í efnahagslegu samstarfi þeirra. Ryðja varð þeim hindrunum burt svo að hinn frjálsi og opni markaður fengi þrifist. Af sömu ástæðum var séð fyrir að önnur ríki utan EB mundu af sömu ástæðum kjósa að veita persónuupplýsingum samsvarandi vernd. Í ljósi þess var í 25. gr. tilskipunarinnar sett ákvæði þess efnis að framkvæmdastjórn EB gæti ákveðið að þriðja land teldist tryggja nægilega vernd í krafti laga sinna eða alþjóðaskuldbindinga um vernd friðhelgi einkalífs og grundvallarfrelsis og réttinda manna, þ.m.t. skuldbindinga sem stofnað er til eftir samningaviðræður. Nú liggja fyrir þrjár slíkar ákvarðanir. Í lög nr. 77/2000 skortir hins vegar leiðsögn um það með hvaða hætti fullgilda megi slíkar ákvarðanir hér á landi. Er þessu frumvarpi m.a. ætlað að bæta þar úr með því að heimila Persónuvernd að auglýsa gildi þeirra hér á landi.
Þær ákvarðanir framkvæmdastjórnar EB sem hér um ræðir eru nr. 2000/518/EB, 2000/ 519/EB og 2000/520 og verður hér rakinn efnisútdráttur úr þeim:
— Ákvörðun nr. 2000/518/EB fjallar um stöðu persónuupplýsingaverndar í Sviss með hliðsjón af landslögum. Var skipaður vinnuhópur til að gera úttekt á stöðu mála varðandi vernd persónuupplýsinga í Sviss, en alríkislög landsins taka jafnt til verndar persónuupplýsinga hjá opinberum (alríkis) aðilum og einkaaðilum, en lög hverrar kantónu taka til verndar persónuupplýsinga varðandi stofnanir hennar. Í ljós kom þegar alríkislög, en þau taka bæði til rafrænnar vinnslu persónuupplýsinga og handvirkrar, voru borin saman við skilyrði tilskipunar 95/46/EB að öllum skilyrðum tilskipunarinnar var fullnægt. Þó þótti ástæða til að nánar yrði skilgreint hvernig vernd viðkvæmra persónuupplýsinga skyldi háttað þótt sjónarmiða um gagnsæi í stjórnsýslu skyldi almennt gætt við vinnslu opinberra (alríkis) aðila á persónuupplýsingum. Við samanburð á skilyrðum tilskipunarinnar við lög innan hverrar kantónu kom í ljós að kantónunum er áskilið að uppfylla ákvæði alríkislaganna varðandi vernd persónuupplýsinga og varð því niðurstaða vinnuhópsins að sama gilti um lög einstakra kantóna og alríkislög.
— Ákvörðun nr. 2000/519/EB fjallar um stöðu persónuupplýsingaverndar í Ungverjalandi með hliðsjón af landslögum. Skipaður var vinnuhópur til að gera úttekt á stöðu mála varðandi vernd persónuupplýsinga, en í áliti hans kom fram að gildissvið ungverskra laga um persónuvernd er mjög víðtækt og skýrar reglur gilda um aðgang almennings að opinberum skjölum. Enn fremur reyndust lögin uppfylla skilyrði tilskipunar 95/46/EB. Var því niðurstaða vinnuhópsins að ungversk lög veittu persónuupplýsingum fullnægjandi vernd í skilningi 6. mgr. 25. gr. tilskipunarinnar.
— Ákvörðun nr. 2000/520/EB fjallar um fullnægjandi vernd persónuupplýsinga í Bandaríkjunum í ljósi meginreglna um öruggar hafnir (Safe Harbour Privacy Principles) og svara við algengum spurningum (Frequently asked questions (FAQ)) sem bandaríska viðskiptaráðuneytið gaf út 19. apríl 1999. Segir í gerðinni að meta megi þá vernd nægilega, í skilningi 2. mgr. 25. gr. tilskipunar nr. 95/46/EB, ef uppfylltar séu meginreglurnar um örugga höfn, að virtum þeim skýringum á efni þeirra sem ráða má af „FAQ“, svo framarlega sem eftirtalin skilyrði verði uppfyllt:
a. Að sá aðili sem móttekur persónuupplýsingarnar hafi ótvírætt og opinberlega lýst því yfir að hann muni framfylgja meginreglunum um opinbera höfn, sem beitt verði með hliðsjón af „FAQ“, í öllu tilliti, og
b. að viðtakandi persónuupplýsinganna heyri undir valdsvið einhverra þeirra opinberu stjórnvalda er talin eru upp í viðauka 3 við gerðina sem geta tekið kærur til meðferðar og komið í veg fyrir óréttláta eða villandi framkvæmd, svo og ákvarðað bætur til einstaklinga, án tillits til búsetulands þeirra eða þjóðernis, vegna brota á meginreglunum.
Framangreind skilyrði teljast uppfyllt þegar viðtakandi persónuupplýsinga hefur lýst því yfir gagnvart bandaríska viðskiptaráðuneytinu að hann skuldbindi sig til að framfylgja meginreglunum og undir valdsvið hvaða opinbers stjórnvalds hann heyri. Þá segir að stjórnvöld í aðildarríkjunum geti stöðvað flæði persónuupplýsinga til móttökuaðila, til verndar tilteknum einstaklingi, þegar unnið er með persónuupplýsingar um hann enda hafi opinbert stjórnvald skv. b-lið hér á undan komist að þeirri niðurstöðu að viðkomandi aðili hafi brotið gegn meginreglunum. Einnig má stöðva flæði persónuupplýsinga til viðtökuaðila séu verulegar líkur taldar á að brotið hafi verið gegn meginreglunum. Um leið og bætt hefur verið úr, skal viðtökuaðila veittur aðgangur að upplýsingum á ný. Aðildarríki skulu tilkynna framkvæmdastjórn EB jafnskjótt og þau grípa til aðgerða af þessum toga. Ýmis önnur úrræði eru og fyrir hendi til að tryggja að eftirlitsaðilar (opinber stjórnvöld sem talin eru upp í viðauka 3 við gerðina) ræki skyldur sínar. Í gerðinni eru og ákvæði um endurskoðun hennar og að henni skuli framfylgt innan 90 daga frá því að hún hefur verið tilkynnt aðildarríkjunum.
Til þess að skapa svigrúm til að fullgilda framangreindar gerðir og í fyllingu tímans væntanlega aðrar sambærilegar gerðir er í frumvarpi þessu lagt til að í ákvæði 6., 13., 29. og 30. gr. laganna verði heimild fyrir Persónuvernd til að ákveða og auglýsa í Stjórnartíðindum gildi þeirra hér á landi, enda hafi stofnunin engar sérstakar athugasemdir við efni þeirra. Umræddar gerðir hafa verið gefnar út og er að finna í „Official Journal“, dags. 28. ágúst 2000. Tekið skal fram að samkvæmt ákvörðun sameiginlegu EES-nefndarinnar nr. 83/99 skal tilkynna EFTA-ríkjunum um slíkar ákvarðanir framkvæmdastjórnarinnar með sama hætti og EB-ríkjum. Áður en slík ráðstöfun tekur gildi tilkynna EFTA-ríkin um það hvort þau hyggist beita viðkomandi ráðstöfun eða ekki. Berist engin tilkynning frá viðkomandi EFTA-ríki ber þeim að beita ráðstöfuninni með sama hætti og EB-ríkin gera. Síðar ákveður sameiginlega EES-nefndin hvort hún fellir ráðstöfunina inn í EES-samninginn eða ekki. Geri nefndin það hins vegar ekki er EFTA-ríki heimilt að hætta að beita ráðstöfuninni en þar með tekur ríkið þá áhættu að verða í þessum skilningi virt sem þriðja ríki með þeim afleiðingum að hindranir geti orðið á frjálsu flæði upplýsinga þangað og þar með skapast vandkvæði í efnahagslegu samstarfi.
Í öðru lagi er markmið frumvarps þess að lögtaka með afdráttarlausari hætti en nú lagaskilaákvæði tilskipunarinnar. Eins og fram kemur í 8. gr. formála tilskipunarinnar er eitt meginmarkmið hennar að ná sambærilegri vernd mannréttinda og persónufrelsis í öllum aðildarríkjum EB. Engu síður veitir tilskipunin ríkjum heimildir til þess að gera undantekningar frá ákveðnum ákvæðum hennar, takmarka gildissvið annarra og mæla nánar fyrir um hvaða skilyrði þurfi að vera fyrir hendi til að vinnsla sé lögleg, sbr. 5. og 13. gr. tilskipunarinnar. Í 18. gr. formála tilskipunarinnar er tekið fram að til að tryggja að einstaklingar séu ekki sviptir þeirri vernd sem þeir eiga rétt á samkvæmt tilskipuninni verði öll vinnsla persónuupplýsinga innan EB að fara fram í samræmi við lög einhvers aðildarríkis. Í ljósi þess að ekki er fullkomið lagasamræmi á milli ríkja á EES-svæðinu er ljóst að grundvallarþýðingu hefur hvers lands lögum beri að beita um vinnslu persónuupplýsinga þegar málum er haldið til laga. Spurningum af þessum toga svara lagaskilareglur, en 4. gr. tilskipunarinnar hefur að geyma slíkar reglur. Með töluverðri einföldun má segja að lagaskilareglunum sé skipt í fernt, bæði í tilskipuninni og í lögum nr. 77/2000, (1) lagaskilareglur um valdmörk persónuverndarstofnana (eftirlitsstofnana), (2) lagaskilareglur er ákvarða lögsögu í refsimálum, (3) lagaskilareglur er varða öryggi vinnslu sem fram fer hjá vinnsluaðila og loks (4) lagaskilareglur um önnur ákvæði laga nr. 77/2000.
Í þriðja lagi er með frumvarpinu lagt til að ákvæði laganna um öryggi við vinnslu persónuupplýsinga verði fyllri og endurspegli betur en nú tiltekin ákvæði tilskipunarinnar þar að lútandi. Er fyrst að nefna 16. gr. tilskipunarinnar um trúnað við vinnslu persónuupplýsinga sem segir að hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum sé aðeins heimilt að vinna þær samkvæmt fyrirmælum ábyrgðaraðila. Þá er að nefna ákvæði 17. gr. tilskipunarinnar um öryggi vinnslu sem segir m.a. að ábyrgðaraðili skuli, ef vinnsla fer fram fyrir hans hönd, velja vinnsluaðila sem veitir nægilegar tryggingar og að vinnsla, sem fer fram með hjálp vinnsluaðila, skuli falla undir ákvæði samnings. Ákvæði 2., 3. og 4. gr. frumvarpsins endurspegla ákvæði 16. og 17. gr. tilskipunarinnar.
Loks er í frumvarpi þessu að finna ákvæði sem ætlað er að lögtaka almennt ákvæði 14. gr. tilskipunar EB um andmælarétt hins skráða.
Athugasemdir við einstakar greinar frumvarpsins.
Um 1. gr.
Samkvæmt 45. gr. laga nr. 77/2000 taka lögin til upplýsinga um fjárhagsmálefni og lánstraust fyrirtækja en slíkar upplýsingar falla ekki undir tilskipunina, sbr. a-lið 2. gr. hennar. Þar sem lög nr. 77/2000 gilda þannig jafnframt um efni sem tilskipunin tekur ekki til er þörf viðbótarlagaskilareglu þegar ábyrgðaraðili á staðfestu í einhverju öðru ríki, hvort sem það er innan eða utan EES-svæðisins.
Um 2. gr.
Um 3. gr.
Í tilskipuninni er ekki vikið sérstaklega að skyldu til að framkvæma áhættumat við vinnslu persónuupplýsinga. Á hinn bóginn er ljóst að ekki er unnt að grípa til „viðeigandi skipulagslegra og tæknilegra ráðstafana“ í skilningi 1. mgr. 17. gr. tilskipunarinnar nema að undangenginni rannsókn og mati á áhættu við vinnsluna.
Ákvæðið hvílir á þeim viðhorfum að rafræn vinnsla persónuupplýsinga, og þá sérstaklega þegar hún fer fram á neti, auki verulega hættuna á því að óviðkomandi menn fái aðgang að upplýsingum. Hættan felst einnig í því að menn, sem hafa heimild til aðgangs að upplýsingunum vinni með þær á óheimilan hátt. Rafræn vinnsla persónuupplýsinga á neti gerir kleift að samtengja persónuupplýsingar og útbúa mjög ítarleg persónusnið. Um leið og kennitala gerir kleift að tryggja örugga persónugreiningu auðveldar hún samtengingu upplýsinga og eykur hættuna á því að á ólöglegan hátt verði unnið með persónusnið manna.
Eins og áður segir á ábyrgðaraðili vinnslu að gera viðeigandi skipulagslegar og tæknilegar ráðstafanir til að vernda persónuupplýsingar. Í tilskipuninni er ekki fjallað um hvaða ráðstafanir falla þar undir. Á hinn bóginn voru nefnd dæmi um slíkar ráðstafanir í athugasemdum framkvæmdastjórnarinnar um drög að tilskipuninni frá 24. september 1990. Þar er rætt um aðgangstakmarkanir að húsnæði þar sem vinnsla fer fram og gögn eru varðveitt, tölvuöryggi, svo sem aðgangsorð þeirra sem vinna mega með upplýsingarnar, dulkóðun upplýsinga, eftirlit með árangurslausum aðgangi að tölvukerfum, að starfsmenn hafi ekki aðgang að öðrum hlutum kerfisins en þeir hafa beinlínis þörf fyrir vegna starfa sinna. Loks má geta þess að e.t.v. má beita rafrænum undirskriftum við að auka öryggi gagnavinnslu.
Þegar ábyrgðaraðili vinnslu tekur afstöðu til þess hvaða skipulagslegar og tæknilegar ráðstafanir til að vernda persónuupplýsingar teljist viðeigandi er mælt svo fyrir í lokamálslið 1. mgr. 17. gr. tilskipunarinnar að þessar ráðstafanir skuli tryggja nægilegt öryggi miðað við (1) áhættu af vinnslunni og (2) eðli þeirra gagna sem verja á, með hliðsjón af (3) nýjustu tækni og (4) kostnaði við framkvæmd þeirra. Tilskipunin er byggð á því að val á skipulagslegum og tæknilegum ráðstöfunum byggist á hagsmunamati sem fram fer á grundvelli þessara sjónarmiða.
Eðli þeirra gagna sem verja á ræður miklu um efni öryggiskrafna. Þannig verður almennt að gera mun ríkari öryggiskröfur þegar unnið er með viðkvæmar persónuupplýsingar, svo sem upplýsingar um heilsufar, en þegar unnið er með almennar persónuupplýsingar.
Í 10. tölul. formála tilskipunarinnar er áréttað að samræming reglna um vinnslu persónuupplýsinga megi ekki leiða til minni verndar heldur skuli þvert á móti leitast við að tryggja mikla vernd í bandalaginu.
Ekki nægir eingöngu að huga að öryggismálum þegar komið er að því að vinna með upplýsingarnar. Oftast þarf að taka afstöðu til þeirra tæknilegu ráðstafana sem þörf er á að grípa til strax við val á hug- og vélbúnaði. Í 46. tölul. formála tilskipunarinnar er þetta áréttað. Þar kemur fram að gera verði viðeigandi skipulagslegar og tæknilegar ráðstafanir, bæði við hönnun vinnslukerfis og í vinnslunni sjálfri, til að varðveita öryggi og koma í veg fyrir óleyfilega vinnslu.
Í 1. mgr. 11. gr. laga nr. 77/2000 er Persónuvernd falið að ákveða hvaða staðla skuli nota við ákveðna vinnslu og að öðru leyti setja þær reglur sem fylgt skal við vinnslu persónuupplýsinga til að tryggja öryggi upplýsinganna. Það er álitamál hvernig slíkar reglur eiga að vera úr garði gerðar. Þar sem vinnsla persónuupplýsinga er margbreytileg er vart hægt að setja nákvæmar reglur um hana. Persónuvernd hefur þegar sett almennar öryggisreglur sem taka mið af staðlinum ÍST BS 7799, en væntalega mun stofnunin enn fremur þurfa að setja sérstakar reglur sem taki til afmarkaðra sviða þar sem hún telur þörf á. Þannig mætti t.d. hugsa sér að settar yrðu sérstakar reglur um vinnslu persónuupplýsinga í lyfjabúðum, í bankakerfinu o.s.frv.
Um 4. gr.
Samkvæmt framangreindu ákvæði frumvarpins er ætlast til að ábyrgðaraðili viðhafi innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur, þar á meðal þá skilmála sem Persónuvernd hefur sett um viðkomandi vinnslu. Skal innra eftirlit m.a. beinast að athugun á því hvort vinnslan sé heimil samkvæmt lögum nr. 77/2000, hvort fullnægt hafi verið tilkynningar- eða leyfisskyldu þeirri sem kveðið er á um í lögunum og hvort uppfylltar séu reglur 7. gr. laganna um lögmæti vinnslu, þar á meðal ákvæði 5. tölul. um eyðingu persónuupplýsinga sem ekki þarf að varðveita lengur, miðað við upphaflegan tilgang með söfnun þeirra. Þá skal innra eftirlit beinast að athugun á því hvort virt séu í framkvæmd ákvæði um rétt hins skráða samkvæmt lögunum og hvort fylgt sé þeim öryggisráðstöfunum sem valdar hafa verið.
Um 5. gr.
Samkvæmt 16. gr. tilskipunarinnar er hverjum þeim sem starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum aðeins heimilt að vinna með þær samkvæmt fyrirmælum frá ábyrgðaraðila, nema lög mæli fyrir á annan veg. Öll vinnsla þessara aðila sem ekki er í samræmi við fyrirmæli ábyrgðarmanns er því ólögleg. Af ákvæðinu leiðir einnig að ekki má vinna með upplýsingarnar eftir fyrirmælum neins annars en ábyrgðaraðila. Þetta gildir þó ekki ef lög mæla fyrir á annan veg. Af 16. gr. tilskipunarinnar leiðir einnig að ábyrgðaraðili vinnslu verður að gefa fyrirmæli um vinnsluna. Láti ábyrgðaraðili það hjá líða gæti það haft í för með sér að vinnslan yrði talin ólögleg þar sem hún færi ekki fram á grundvelli fyrirmæla ábyrgðaraðila. Eins og áður segir er óheimilt að vinna með upplýsingar á annan veg en ábyrgðaraðili hefur mælt fyrir um, nema lög mæli fyrir um á annan veg. Í lögum er að finna ýmis ákvæði sem mæla fyrir um ákveðna vinnslu persónuupplýsinga, svo sem um aðgang að þeim. Þannig ber t.d. vinnsluaðila að veita starfsmönnum Persónuverndar aðgang að persónuupplýsingum sem unnið er með við eftirlit og rannsókn máls á grundvelli 38. gr. laga nr. 77/2000, hvað svo sem líður fyrirmælum ábyrgðaraðila.
Til að koma í veg fyrir að ábyrgðaraðili geti hlaupist undan ábyrgð sinni með því að ráða sér verktaka er kveðið svo á í 2. mgr. 17. gr. tilskipunarinnar að ábyrgðaraðili skuli, ef vinnsla fer fram fyrir hans hönd, velja vinnsluaðila sem veiti nægilegar tryggingar að því er varðar þær öryggisráðstafanir sem gera skal og sjá til þess að þessum ráðstöfunum sé hlítt.
Tilskipunin hefur ekki að geyma sérstakan áskilnað um form fyrirmæla ábyrgðaraðila um vinnsluna. Undantekning er þó gerð um fyrirmæli til vinnsluaðila en í 3. mgr. 17. gr. tilskipunarinnar er kveðið svo á að ábyrgðaraðili skuli gera skriflegan samning við vinnsluaðila. Ætla verður þó að hér mundi t.d. falla undir aðferð sem lögmæt telst samkvæmt löggjöf um rafrænar undirskriftir. Áskilið er að samningurinn hafi að lágmarki ákveðið efni. Þannig skal tekið fram að vinnsluaðili skuli aðeins starfa eftir fyrirmælum ábyrgðaraðila og að ákvæði tilskipunarinnar um öryggi persónuupplýsinga gildi einnig um þá vinnslu sem vinnsluaðila er falin. Ef vinnsluaðili hefur staðfestu í öðru ríki á Evrópska efnahagssvæðinu en ábyrgðaraðili skal jafnframt tekið fram að lagaákvæði þess ríkis sem vinnsluaðili hefur staðfestu um í skuli gilda um öryggisráðstafanir við vinnsluna. Þetta er áréttað í 4. mgr. 17. gr. tilskipunarinnar þar sem segir að til að varðveita sönnunargögn skuli þeir hlutar samnings eða réttargjörðar sem varða vernd upplýsinga og þær kröfur sem varða öryggisráðstafanir vera skriflegar eða á sambærilegu formi.
Um 6. gr.
Ekki eru lögð til önnur efnisleg nýmæli en lagðar eru til nokkrar orðalagsbreytingar á ákvæðinu til frekari samræmingar og skýringar.
Um 7. gr.
Um 8. gr.
Þá er lagt til að í stað lokamálsliðar 2. mgr. komi fjórir nýir málsliðir um að Persónuvernd geti heimilað miðlun persónuupplýsinga til þriðju landa þótt þau veiti ekki viðhlítandi upplýsingavernd ef ábyrgðaraðili veitir nægilegar tryggingar fyrir persónuvernd, t.d. með því að gera skriflegan samning við viðtökuaðila sem hafi að geyma tiltekin stöðluð samningsákvæði í samræmi við ákvörðun sem Persónuvernd hefur auglýst í Stjórnartíðindum, að teknu tilliti til ákvarðana framkvæmdastjórnar EB. Hér er tekið mið af 2., 3. og 4. lið 26. gr. tilskipunarinnar þar sem ráð er fyrir því gert að einstök ríki geti heimilað miðlun persónuupplýsinga til þriðju landa þótt þau veiti ekki viðhlítandi upplýsingavernd ef ábyrgðaraðili veitir nægilegar tryggingar fyrir persónuvernd, en þær geti einkum komið fram í viðeigandi samningsákvæðum. Segir að ákveði framkvæmdastjórnin að tiltekin stöðluð samningsákvæði veiti nægilegar tryggingar skuli aðildarríkin gera nauðsynlegar ráðstafanir til að fara að þeirri ákvörðun. T.d. gæti tiltekið fyrirtæki í þriðja ríki fremur kosið þá leið að grundvalla flutning persónuupplýsinga milli sín og fyrirtækis inna tiltekins ríkis innan ESB á slíkum samningum fremur en því að verða viðurkennt sem örugg höfn („Safe harbour“).
Um 9. gr.
Um 10. gr.
Fylgiskjal.
Fjármálaráðuneyti,
fjárlagaskrifstofa:
Umsögn um frumvarp til laga breyting á lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77 23. maí 2000.
