þskj. 1002 # frumskjal dómsmrh., 126. lþ. 627. mál: #A persónuvernd og meðferð persónuupplýsinga # (EES-reglur) frv. 90/2001

Aðrar útgáfur af skjalinu: PDF - Word Perfect

126. löggjafarþing 2000–2001.
Þskj. 1002  —  627. mál.

Frumvarp til laga

um breyting á lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77 23. maí 2000.

(Lagt fyrir Alþingi á 126. löggjafarþingi 2000–2001.)

1. gr.
    6. gr. laganna orðast svo:
    Lögin gilda um vinnslu persónuupplýsinga á vegum ábyrgðaraðila sem hefur staðfestu hér á landi, enda fari vinnsla persónuupplýsinganna fram á Evrópska efnahagssvæðinu eða í landi eða á stöðum sem Persónuvernd auglýsir í Stjórnartíðindum.
    Lögin gilda einnig um vinnslu persónuupplýsinga þótt ábyrgðaraðili hafi staðfestu í ríki utan Evrópska efnahagssvæðisins ef hann notar tæki og búnað sem er hér á landi.
    Lögin gilda einnig um vinnslu upplýsinga um fjárhagsmálefni og lánstraust lögaðila, sbr. 45. gr. laganna, enda þótt ábyrgðaraðili hafi ekki staðfestu hér á landi, ef hann notar tæki og búnað sem er hér á landi.
    Ákvæði 2. og 3. mgr. gilda ekki ef umræddur tækjabúnaður er einungis notaður til að flytja persónuupplýsingar um Ísland.
    Þegar svo hagar til sem greinir í 2. og 3. mgr. skal ábyrgðaraðili tilnefna fulltrúa sinn sem hefur staðfestu hér á landi og gilda þá ákvæði laganna varðandi ábyrgðaraðila um þann full trúa eftir því sem við á.

2. gr.
    Við 7. gr. laganna bætist ný málsgrein, svohljóðandi:
    Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr.

3. gr.
    11. gr. laganna orðast svo ásamt fyrirsögn:
Áhættumat, öryggi og gæði persónuupplýsinga.
    Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.
    Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.
    Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu per sónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt.
    Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggis ráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar.
    Ábyrgðaraðili skal skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir. Skal Persónuvernd hafa aðgang að upplýsingum um framan greind atriði hvenær sem hún óskar.

4. gr.
    12. gr. laganna orðast svo:
    Ábyrgðaraðili skal viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
    Innra eftirlit skal viðhaft með reglubundnum hætti. Tíðni eftirlitsins og umfang þess skal ákveðið með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af fram kvæmd eftirlitsins. Það skal þó eigi fara fram sjaldnar en árlega.
    Ábyrgðaraðili skal sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skal lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skal varðveita tryggilega. Persónuvernd hefur rétt til að aðgangs að þeim hvenær sem er.
    Persónuvernd getur sett frekari fyrirmæli um framkvæmd innra eftirlits og veitt undan þágu frá því að slíkt innra eftirlit skuli viðhaft eða takmarkað til hvaða þátta í vinnslunni það skuli taka.

5. gr.
    13. gr. laganna orðast svo ásamt fyrirsögn:
Trúnaðarskylda vinnsluaðila við meðferð persónuupplýsinga.
    Ábyrgðaraðila er heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laga þessara. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit skv. 12. gr. laga þessara.
    Samningur skv. 1. mgr. skal vera skriflegur og a.m.k. í tveimur eintökum. Þar skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðar aðila og að ákvæði laga þessara um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast. Ábyrgðaraðili og vinnsluaðili skulu hvor varðveita sitt eintak af samn ingnum.
    Hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með per sónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila, nema lög mæli fyrir á annan veg.
    Hafi vinnsluaðili staðfestu í öðru ríki á Evrópska efnahagssvæðinu en ábyrgðaraðili, sbr. 1. mgr. 6. gr., skal jafnframt mælt svo fyrir í samningi að lög og reglur þess ríkis þar sem vinnsluaðili hefur staðfestu gildi um öryggisráðstafanir við vinnslu persónuupplýsinga. Getur Persónuvernd t.d. í auglýsingu í Stjórnartíðindum áskilið að slíkur samningur innihaldi stöðl uð ákvæði sem séu í samræmi við ákvörðun framkvæmdastjórnar Evrópubandalagsins. Sama á við þegar ábyrgðaraðili hefur staðfestu í ríki á Evrópska efnahagssvæðinu en vinnsluaðili ekki fari vinnslan fram í landi eða á stöðum sem upp eru taldir í auglýsingu sem Persónu vernd gefur út.

6. gr.

    28. gr. laganna orðast svo ásamt fyrirsögn:
Um andmælarétt hins skráða og um bannskrá Hagstofunnar.
    Hinum skráða er heimilt að andmæla vinnslu upplýsinga um sjálfan sig ef hann hefur til þess lögmætar og knýjandi ástæður vegna sérstakra aðstæðna sinna, nema kveðið sé á um annað í öðrum lögum. Eigi andmælin rétt á sér er ábyrgðaraðila óheimil frekari vinnsla um ræddra upplýsinga.
    Hagstofa Íslands skal halda skrá yfir þá sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi en Persónuvernd setur Hagstofu Íslands nánari fyrirmæli um gerð og notkun slíkra skráa og hvaða upplýsingar skuli koma þar fram. Ábyrgðaraðilar sem starfa í beinni markaðssókn og þeir sem nota skrá með nöfnum, heimilisföngum, netföngum, síma númerum og þess háttar eða miðla þeim til þriðja aðila í tengslum við slíka starfsemi skulu, áður en slík skrá er notuð í slíkum tilgangi, bera hana saman við skrá Hagstofunnar til að koma í veg fyrir að markpóstur verði sendur eða hringt verði til einstaklinga sem hafa and mælt slíku. Persónuvernd getur heimilað undanþágu frá þessari skyldu í sérstökum tilvikum.
    Öll notkun bannskrár skv. 2. mgr. er óheimil í öðrum tilgangi en þar er lýst.
    Skylt er að nafn ábyrgðaraðila komi fram á áberandi stað á útsendum markpósti og hvert þeir sem andmæla því að fá slíkan markpóst og marksímtöl geti snúið sér. Viðtakandi mark pósts á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu eða útsendingu til grundvallar. Þetta gildir ekki um markaðssetningu ábyrgðaraðila á eigin vöru og þjónustu sem notar eigin viðskiptamannaskrár, enda beri útsent efni með sér hvaðan það kemur.
    Ábyrgðaraðila er óheimilt að verða við beiðni um afhendingu félaga-, starfsmanna- eða viðskiptamannaskrár til nota við dreifingu markpósts nema hann hafi áður gefið félagsmönn um, starfsmönnum eða viðskiptamönnum kost á að andmæla því að nafn viðkomandi verði á hinni afhentu skrá. Þá ber ábyrgðaraðila enn fremur, áður en hann lætur umrædda skrá af hendi, að kanna hvort viðkomandi hafi með tilkynningu til Hagstofu komið á framfæri and mælum, sbr. 2. mgr.
    Ákvæði 5. mgr. gildir ekki ef afhending félaga-, starfsmanna- eða viðskiptamannaskrár til nota við dreifingu markpósts byggist á samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr.
    Ákvæði 1.–5. mgr. gilda, eftir því sem við á, einnig um markaðs-, neyslu- og skoðana kannanir. Persónuvernd er heimilt að undanþiggja vísindarannsóknir og hliðstæðar rannsókn ir slíkum takmörkunum, enda þyki ljóst að slíkt geti skert til muna áreiðanleika niðurstöðu rannsóknarinnar.

7. gr.
    Við 2. mgr. 29. gr. laganna bætist nýr málsliður, svohljóðandi: Sama á við um lönd eða staði sem Persónuvernd auglýsir í Stjórnartíðindum að virtum ákvörðunum framkvæmda stjórnar Evrópubandalagsins.

8. gr.
    Eftirfarandi breytingar verða á 30. gr. laganna:
    a.      Við 1. mgr. bætast tveir nýir töluliðir, svohljóðandi:
                7.      ef miðlun er nauðsynleg eða fyrirskipuð samkvæmt lögum vegna þess að brýnir al mannahagsmunir krefjast þess eða til að unnt sé að stofna, hafa uppi eða verja réttar kröfur, eða
                8.      um sé að ræða upplýsingar sem almennur aðgangur er að.
    b.      Í stað lokamálsliðar 2. mgr. koma fjórir nýir málsliðir, svohljóðandi: Persónuvernd getur heimilað miðlun persónuupplýsinga til þriðju landa þótt þau hafi ekki verið talin veita friðhelgi borgaranna nægilega einkalífsvernd. Slíkt er háð því að ábyrgðaraðili hafi, að mati stofnunarinnar, veitt nægilegar tryggingar fyrir slíku. Getur stofnunin t.d. áskilið að ábyrgðaraðili hafi gert við viðtökuaðila skriflegan samning sem hafi að geyma tiltek in stöðluð samningsákvæði í samræmi við ákvörðun sem Persónuvernd hefur auglýst í Stjórnartíðindum, að teknu tilliti til ákvarðana framkvæmdastjórnar Evrópubandalags ins, sbr. 2. mgr. 29. gr. laga þessara. Að öðru leyti getur Persónuvernd sett nánari fyrir mæli um flutning persónuupplýsinga úr landi.

9. gr.
    Við fyrri málslið 2. mgr. 37. gr. laganna bætist: á Íslandi, hvort sem íslensk lög eða lög annars ríkis gilda um vinnsluna.

10. gr.
    Lög þessi öðlast þegar gildi.

Athugasemdir við lagafrumvarp þetta.
    Með frumvarpi þessu eru lagðar til nokkrar breytingar á lögum um persónuvernd og með ferð persónuupplýsinga, nr. 77/2000. Markmið þeirrar lagasetningar var einkum að lögtaka efni tilskipunar Evrópubandalagsins (EB) frá 24. október 1995, nr. 95/46/EB, um vernd ein staklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Hún öðlaðist gildi innan aðildarríkja bandalagsins 24. október 1998. Tilefni þess að tilskip unin var sett var að löggjöf aðildarríkjanna á persónuverndarsviðinu var afar mismunandi og stóð orðið í vegi fyrir frjálsu flæði persónuupplýsinga milli aðildarríkjanna og skapaði vand kvæði í efnahagslegu samstarfi þeirra. Ryðja varð þeim hindrunum burt svo að hinn frjálsi og opni markaður fengi þrifist. Af sömu ástæðum var séð fyrir að önnur ríki utan EB mundu af sömu ástæðum kjósa að veita persónuupplýsingum samsvarandi vernd. Í ljósi þess var í 25. gr. tilskipunarinnar sett ákvæði þess efnis að framkvæmdastjórn EB gæti ákveðið að þriðja land teldist tryggja nægilega vernd í krafti laga sinna eða alþjóðaskuldbindinga um vernd friðhelgi einkalífs og grundvallarfrelsis og réttinda manna, þ.m.t. skuldbindinga sem stofnað er til eftir samningaviðræður. Nú liggja fyrir þrjár slíkar ákvarðanir. Í lög nr. 77/2000 skortir hins vegar leiðsögn um það með hvaða hætti fullgilda megi slíkar ákvarðanir hér á landi. Er þessu frumvarpi m.a. ætlað að bæta þar úr með því að heimila Persónuvernd að aug lýsa gildi þeirra hér á landi.
    Þær ákvarðanir framkvæmdastjórnar EB sem hér um ræðir eru nr. 2000/518/EB, 2000/ 519/EB og 2000/520 og verður hér rakinn efnisútdráttur úr þeim:
    —      Ákvörðun nr. 2000/518/EB fjallar um stöðu persónuupplýsingaverndar í Sviss með hlið sjón af landslögum. Var skipaður vinnuhópur til að gera úttekt á stöðu mála varðandi vernd persónuupplýsinga í Sviss, en alríkislög landsins taka jafnt til verndar persónu upplýsinga hjá opinberum (alríkis) aðilum og einkaaðilum, en lög hverrar kantónu taka til verndar persónuupplýsinga varðandi stofnanir hennar. Í ljós kom þegar alríkislög, en þau taka bæði til rafrænnar vinnslu persónuupplýsinga og handvirkrar, voru borin saman við skilyrði tilskipunar 95/46/EB að öllum skilyrðum tilskipunarinnar var fullnægt. Þó þótti ástæða til að nánar yrði skilgreint hvernig vernd viðkvæmra persónuupplýsinga skyldi háttað þótt sjónarmiða um gagnsæi í stjórnsýslu skyldi almennt gætt við vinnslu opinberra (alríkis) aðila á persónuupplýsingum. Við samanburð á skilyrðum tilskipun arinnar við lög innan hverrar kantónu kom í ljós að kantónunum er áskilið að uppfylla ákvæði alríkislaganna varðandi vernd persónuupplýsinga og varð því niðurstaða vinnu hópsins að sama gilti um lög einstakra kantóna og alríkislög.
    —      Ákvörðun nr. 2000/519/EB fjallar um stöðu persónuupplýsingaverndar í Ungverjalandi með hliðsjón af landslögum. Skipaður var vinnuhópur til að gera úttekt á stöðu mála varðandi vernd persónuupplýsinga, en í áliti hans kom fram að gildissvið ungverskra laga um persónuvernd er mjög víðtækt og skýrar reglur gilda um aðgang almennings að opinberum skjölum. Enn fremur reyndust lögin uppfylla skilyrði tilskipunar 95/46/EB. Var því niðurstaða vinnuhópsins að ungversk lög veittu persónuupplýsingum fullnægj andi vernd í skilningi 6. mgr. 25. gr. tilskipunarinnar.
    —      Ákvörðun nr. 2000/520/EB fjallar um fullnægjandi vernd persónuupplýsinga í Banda ríkjunum í ljósi meginreglna um öruggar hafnir (Safe Harbour Privacy Principles) og svara við algengum spurningum (Frequently asked questions (FAQ)) sem bandaríska viðskiptaráðuneytið gaf út 19. apríl 1999. Segir í gerðinni að meta megi þá vernd nægilega, í skilningi 2. mgr. 25. gr. tilskipunar nr. 95/46/EB, ef uppfylltar séu megin reglurnar um örugga höfn, að virtum þeim skýringum á efni þeirra sem ráða má af „FAQ“, svo framarlega sem eftirtalin skilyrði verði uppfyllt:
                a.      Að sá aðili sem móttekur persónuupplýsingarnar hafi ótvírætt og opinberlega lýst því yfir að hann muni framfylgja meginreglunum um opinbera höfn, sem beitt verði með hliðsjón af „FAQ“, í öllu tilliti, og
                b.      að viðtakandi persónuupplýsinganna heyri undir valdsvið einhverra þeirra opinberu stjórnvalda er talin eru upp í viðauka 3 við gerðina sem geta tekið kærur til með ferðar og komið í veg fyrir óréttláta eða villandi framkvæmd, svo og ákvarðað bætur til einstaklinga, án tillits til búsetulands þeirra eða þjóðernis, vegna brota á megin reglunum.
                Framangreind skilyrði teljast uppfyllt þegar viðtakandi persónuupplýsinga hefur lýst því yfir gagnvart bandaríska viðskiptaráðuneytinu að hann skuldbindi sig til að fram fylgja meginreglunum og undir valdsvið hvaða opinbers stjórnvalds hann heyri. Þá segir að stjórnvöld í aðildarríkjunum geti stöðvað flæði persónuupplýsinga til móttökuaðila, til verndar tilteknum einstaklingi, þegar unnið er með persónuupplýsingar um hann enda hafi opinbert stjórnvald skv. b-lið hér á undan komist að þeirri niðurstöðu að viðkom andi aðili hafi brotið gegn meginreglunum. Einnig má stöðva flæði persónuupplýsinga til viðtökuaðila séu verulegar líkur taldar á að brotið hafi verið gegn meginreglunum. Um leið og bætt hefur verið úr, skal viðtökuaðila veittur aðgangur að upplýsingum á ný. Aðildarríki skulu tilkynna framkvæmdastjórn EB jafnskjótt og þau grípa til aðgerða af þessum toga. Ýmis önnur úrræði eru og fyrir hendi til að tryggja að eftirlitsaðilar (opin ber stjórnvöld sem talin eru upp í viðauka 3 við gerðina) ræki skyldur sínar. Í gerðinni eru og ákvæði um endurskoðun hennar og að henni skuli framfylgt innan 90 daga frá því að hún hefur verið tilkynnt aðildarríkjunum.
    Til þess að skapa svigrúm til að fullgilda framangreindar gerðir og í fyllingu tímans vænt anlega aðrar sambærilegar gerðir er í frumvarpi þessu lagt til að í ákvæði 6., 13., 29. og 30. gr. laganna verði heimild fyrir Persónuvernd til að ákveða og auglýsa í Stjórnartíðindum gildi þeirra hér á landi, enda hafi stofnunin engar sérstakar athugasemdir við efni þeirra. Um ræddar gerðir hafa verið gefnar út og er að finna í „Official Journal“, dags. 28. ágúst 2000. Tekið skal fram að samkvæmt ákvörðun sameiginlegu EES-nefndarinnar nr. 83/99 skal til kynna EFTA-ríkjunum um slíkar ákvarðanir framkvæmdastjórnarinnar með sama hætti og EB-ríkjum. Áður en slík ráðstöfun tekur gildi tilkynna EFTA-ríkin um það hvort þau hyggist beita viðkomandi ráðstöfun eða ekki. Berist engin tilkynning frá viðkomandi EFTA-ríki ber þeim að beita ráðstöfuninni með sama hætti og EB-ríkin gera. Síðar ákveður sameiginlega EES-nefndin hvort hún fellir ráðstöfunina inn í EES-samninginn eða ekki. Geri nefndin það hins vegar ekki er EFTA-ríki heimilt að hætta að beita ráðstöfuninni en þar með tekur ríkið þá áhættu að verða í þessum skilningi virt sem þriðja ríki með þeim afleiðingum að hindranir geti orðið á frjálsu flæði upplýsinga þangað og þar með skapast vandkvæði í efnahagslegu samstarfi.
    Í öðru lagi er markmið frumvarps þess að lögtaka með afdráttarlausari hætti en nú laga skilaákvæði tilskipunarinnar. Eins og fram kemur í 8. gr. formála tilskipunarinnar er eitt meginmarkmið hennar að ná sambærilegri vernd mannréttinda og persónufrelsis í öllum aðildarríkjum EB. Engu síður veitir tilskipunin ríkjum heimildir til þess að gera undantekn ingar frá ákveðnum ákvæðum hennar, takmarka gildissvið annarra og mæla nánar fyrir um hvaða skilyrði þurfi að vera fyrir hendi til að vinnsla sé lögleg, sbr. 5. og 13. gr. tilskipunar innar. Í 18. gr. formála tilskipunarinnar er tekið fram að til að tryggja að einstaklingar séu ekki sviptir þeirri vernd sem þeir eiga rétt á samkvæmt tilskipuninni verði öll vinnsla persónuupplýsinga innan EB að fara fram í samræmi við lög einhvers aðildarríkis. Í ljósi þess að ekki er fullkomið lagasamræmi á milli ríkja á EES-svæðinu er ljóst að grundvallarþýðingu hefur hvers lands lögum beri að beita um vinnslu persónuupplýsinga þegar málum er haldið til laga. Spurningum af þessum toga svara lagaskilareglur, en 4. gr. tilskipunarinnar hefur að geyma slíkar reglur. Með töluverðri einföldun má segja að lagaskilareglunum sé skipt í fernt, bæði í tilskipuninni og í lögum nr. 77/2000, (1) lagaskilareglur um valdmörk persónuvernd arstofnana (eftirlitsstofnana), (2) lagaskilareglur er ákvarða lögsögu í refsimálum, (3) lagaskilareglur er varða öryggi vinnslu sem fram fer hjá vinnsluaðila og loks (4) lagaskila reglur um önnur ákvæði laga nr. 77/2000.
    Í þriðja lagi er með frumvarpinu lagt til að ákvæði laganna um öryggi við vinnslu persónu upplýsinga verði fyllri og endurspegli betur en nú tiltekin ákvæði tilskipunarinnar þar að lút andi. Er fyrst að nefna 16. gr. tilskipunarinnar um trúnað við vinnslu persónuupplýsinga sem segir að hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum sé aðeins heimilt að vinna þær samkvæmt fyrirmælum ábyrgðaraðila. Þá er að nefna ákvæði 17. gr. tilskipunarinnar um öryggi vinnslu sem segir m.a. að ábyrgðaraðili skuli, ef vinnsla fer fram fyrir hans hönd, velja vinnsluaðila sem veitir nægilegar tryggingar og að vinnsla, sem fer fram með hjálp vinnsluaðila, skuli falla undir ákvæði samnings. Ákvæði 2., 3. og 4. gr. frumvarpsins endur spegla ákvæði 16. og 17. gr. tilskipunarinnar.
    Loks er í frumvarpi þessu að finna ákvæði sem ætlað er að lögtaka almennt ákvæði 14. gr. tilskipunar EB um andmælarétt hins skráða.

Athugasemdir við einstakar greinar frumvarpsins.
Um 1. gr.
    Í samræmi við fyrirmæli a-liðar 1. mgr. 4. gr. tilskipunar 95/46/EB byggjast lög nr. 77/2000 á þeirri meginreglu að lögin gildi um vinnslu persónuupplýsinga ef ábyrgðaraðili hefur staðfestu hér á landi. Samkvæmt því kemur fram í 1. mgr. 6. gr. laga nr. 77/2000 að lögin gildi um vinnslu persónuupplýsinga á vegum ábyrgðaraðila sem hefur staðfestu hér á landi. Lagaskilaregla a-liðar 1. mgr. 4. gr. tilskipunarinnar felur hins vegar í raun í sér að þetta sé háð því að vinnsla upplýsinganna fari fram á EES- svæðinu. Er því til skýringar lagt til að það komi fram í 6. gr laganna. Auk þess er lögð til sú efnisbreyting að sama geti átt við ef vinnsla fer fram í landi eða á stöðum sem Persónuvernd tilgreinir í sérstakri auglýsingu í Stjórnartíðinum. Þessi tillaga á eins og rakið er í almennum athugasemdum hér að framan rætur að rekja til 25. og 26. gr. tilskipunarinnar og er nánar lýst í athugasemdum við 5. og 6. gr. frumvarps þessa.
    Samkvæmt 45. gr. laga nr. 77/2000 taka lögin til upplýsinga um fjárhagsmálefni og láns traust fyrirtækja en slíkar upplýsingar falla ekki undir tilskipunina, sbr. a-lið 2. gr. hennar. Þar sem lög nr. 77/2000 gilda þannig jafnframt um efni sem tilskipunin tekur ekki til er þörf viðbótarlagaskilareglu þegar ábyrgðaraðili á staðfestu í einhverju öðru ríki, hvort sem það er innan eða utan EES-svæðisins.

Um 2. gr.
    Sú breyting sem hér er lögð til er nauðsynleg vegna þess að breyting á 11. gr. laganna hefur það í för með sér að brott fellur ákvæði þess efnis að ábyrgðaraðili beri ábyrgð á því að vinnsla persónuupplýsinga sé ávallt í samræmi við ákvæði 7. gr.

Um 3. gr.
    Eins og þegar hefur verið vikið að í almennum athugasemdum er í frumvarpinu að finna tillögur að breytingum á þeim ákvæðum laga nr. 77/2000 er varða öryggi við vinnslu pers ónuupplýsinga þannig að ákvæði tilskipunar EB þar að lútandi verði lögtekin með skýrari hætti en nú. Í 1. mgr. 17. gr. tilskipunarinnar er kveðið svo á að í lögum aðildarþjóða skuli koma fram að ábyrgðaraðili skuli gera viðeigandi skipulagslegar og tæknilegar ráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni, gegn óleyfilegri miðlun eða aðgangi, einkum ef vinnslan felur í sér send ingu upplýsinga um net, og gegn allri annarri ólöglegri vinnslu.
    Í tilskipuninni er ekki vikið sérstaklega að skyldu til að framkvæma áhættumat við vinnslu persónuupplýsinga. Á hinn bóginn er ljóst að ekki er unnt að grípa til „viðeigandi skipulags legra og tæknilegra ráðstafana“ í skilningi 1. mgr. 17. gr. tilskipunarinnar nema að undan genginni rannsókn og mati á áhættu við vinnsluna.
    Ákvæðið hvílir á þeim viðhorfum að rafræn vinnsla persónuupplýsinga, og þá sérstaklega þegar hún fer fram á neti, auki verulega hættuna á því að óviðkomandi menn fái aðgang að upplýsingum. Hættan felst einnig í því að menn, sem hafa heimild til aðgangs að upplýsing unum vinni með þær á óheimilan hátt. Rafræn vinnsla persónuupplýsinga á neti gerir kleift að samtengja persónuupplýsingar og útbúa mjög ítarleg persónusnið. Um leið og kennitala gerir kleift að tryggja örugga persónugreiningu auðveldar hún samtengingu upplýsinga og eykur hættuna á því að á ólöglegan hátt verði unnið með persónusnið manna.
    Eins og áður segir á ábyrgðaraðili vinnslu að gera viðeigandi skipulagslegar og tæknilegar ráðstafanir til að vernda persónuupplýsingar. Í tilskipuninni er ekki fjallað um hvaða ráðstaf anir falla þar undir. Á hinn bóginn voru nefnd dæmi um slíkar ráðstafanir í athugasemdum framkvæmdastjórnarinnar um drög að tilskipuninni frá 24. september 1990. Þar er rætt um aðgangstakmarkanir að húsnæði þar sem vinnsla fer fram og gögn eru varðveitt, tölvuöryggi, svo sem aðgangsorð þeirra sem vinna mega með upplýsingarnar, dulkóðun upplýsinga, eftir lit með árangurslausum aðgangi að tölvukerfum, að starfsmenn hafi ekki aðgang að öðrum hlutum kerfisins en þeir hafa beinlínis þörf fyrir vegna starfa sinna. Loks má geta þess að e.t.v. má beita rafrænum undirskriftum við að auka öryggi gagnavinnslu.
    Þegar ábyrgðaraðili vinnslu tekur afstöðu til þess hvaða skipulagslegar og tæknilegar ráð stafanir til að vernda persónuupplýsingar teljist viðeigandi er mælt svo fyrir í lokamálslið 1. mgr. 17. gr. tilskipunarinnar að þessar ráðstafanir skuli tryggja nægilegt öryggi miðað við (1) áhættu af vinnslunni og (2) eðli þeirra gagna sem verja á, með hliðsjón af (3) nýjustu tækni og (4) kostnaði við framkvæmd þeirra. Tilskipunin er byggð á því að val á skipulags legum og tæknilegum ráðstöfunum byggist á hagsmunamati sem fram fer á grundvelli þess ara sjónarmiða.
    Eðli þeirra gagna sem verja á ræður miklu um efni öryggiskrafna. Þannig verður almennt að gera mun ríkari öryggiskröfur þegar unnið er með viðkvæmar persónuupplýsingar, svo sem upplýsingar um heilsufar, en þegar unnið er með almennar persónuupplýsingar.
    Í 10. tölul. formála tilskipunarinnar er áréttað að samræming reglna um vinnslu persónu upplýsinga megi ekki leiða til minni verndar heldur skuli þvert á móti leitast við að tryggja mikla vernd í bandalaginu.
    Ekki nægir eingöngu að huga að öryggismálum þegar komið er að því að vinna með upp lýsingarnar. Oftast þarf að taka afstöðu til þeirra tæknilegu ráðstafana sem þörf er á að grípa til strax við val á hug- og vélbúnaði. Í 46. tölul. formála tilskipunarinnar er þetta áréttað. Þar kemur fram að gera verði viðeigandi skipulagslegar og tæknilegar ráðstafanir, bæði við hönn un vinnslukerfis og í vinnslunni sjálfri, til að varðveita öryggi og koma í veg fyrir óleyfilega vinnslu.
    Í 1. mgr. 11. gr. laga nr. 77/2000 er Persónuvernd falið að ákveða hvaða staðla skuli nota við ákveðna vinnslu og að öðru leyti setja þær reglur sem fylgt skal við vinnslu persónuupp lýsinga til að tryggja öryggi upplýsinganna. Það er álitamál hvernig slíkar reglur eiga að vera úr garði gerðar. Þar sem vinnsla persónuupplýsinga er margbreytileg er vart hægt að setja ná kvæmar reglur um hana. Persónuvernd hefur þegar sett almennar öryggisreglur sem taka mið af staðlinum ÍST BS 7799, en væntalega mun stofnunin enn fremur þurfa að setja sérstakar reglur sem taki til afmarkaðra sviða þar sem hún telur þörf á. Þannig mætti t.d. hugsa sér að settar yrðu sérstakar reglur um vinnslu persónuupplýsinga í lyfjabúðum, í bankakerfinu o.s.frv.

Um 4. gr.
    Í 12. gr. laga nr. 77/2000 er að finna ákvæði um að ábyrgðaraðili skuli viðhafa innra eftir lit og gera reglulega skýrslur um það. Segir að í slíkum skýrslum skuli m.a. koma fram upp lýsingar um hvaða kerfi sé notað við eftirlitið og hvernig það tryggi að farið sé að ákvæðum laganna og skilmálum leyfa og/eða fyrirmæla. Í framkvæmd laganna hefur þegar komið í ljós að þörf er ítarlegra ákvæðis er setji ramma um hið innra eftirlit. Er þessari frumvarpsgrein ætlað að bæta þar úr. Benda má á að Hæstiréttur hefur, t.d. í Hrd. nr. 1988/1532, 1996:2956 og 1999:1709, gert áskilnað um að löggjafinn setji sjálfur helstu meginreglur sem lagðar skuli um atvinnufrelsi. Af þeim sökum þykir rétt að fyrirmæli stjórnvalds um innra eftirlit eigi sé ótvíræða lagastoð.
    Samkvæmt framangreindu ákvæði frumvarpins er ætlast til að ábyrgðaraðili viðhafi innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur, þar á meðal þá skilmála sem Persónuvernd hefur sett um viðkomandi vinnslu. Skal innra eftirlit m.a. beinast að athugun á því hvort vinnslan sé heimil samkvæmt lögum nr. 77/2000, hvort fullnægt hafi verið tilkynningar- eða leyfisskyldu þeirri sem kveðið er á um í lögunum og hvort uppfylltar séu reglur 7. gr. laganna um lögmæti vinnslu, þar á meðal ákvæði 5. tölul. um eyðingu persónuupplýsinga sem ekki þarf að varðveita lengur, miðað við upphaflegan tilgang með söfnun þeirra. Þá skal innra eftirlit beinast að athugun á því hvort virt séu í framkvæmd ákvæði um rétt hins skráða samkvæmt lögunum og hvort fylgt sé þeim öryggisráðstöfunum sem valdar hafa verið.

Um 5. gr.
    Í 13. gr. laga nr. 77/2000 er mælt fyrir um það að vinnsluaðila sé óheimilt að nota per sónuupplýsingar í öðrum tilgangi en upphaflega var ákveðið nema samkvæmt ósk ábyrgðar aðila. Segir og að vinnsluaðila sé óheimilt að afhenda öðrum upplýsingarnar til varðveislu eða vinnslu nema það sé gert í samráði við ábyrgðaraðila. Markmið þeirrar breytingar sem hér er lagt til að gerð verði á 13. gr. laga nr. 77/2000 er að lögleiða ákvæði 16. gr. og 2.–4. mgr. 17. gr. tilskipunarinnar með afdráttarlausari hætti en gert var með þeim lögum. VIII. þáttur tilskipunarinnar ber heitið „Trúnaður og öryggi vinnslu“. Hann hefur að geyma ákvæði sem hefur það markmið að tryggja að persónuupplýsingar séu aðeins unnar á löglegan hátt í samræmi við þann tilgang sem ábyrgðaraðili vinnslunnar hafði ákveðið.
    Samkvæmt 16. gr. tilskipunarinnar er hverjum þeim sem starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsing um aðeins heimilt að vinna með þær samkvæmt fyrirmælum frá ábyrgðaraðila, nema lög mæli fyrir á annan veg. Öll vinnsla þessara aðila sem ekki er í samræmi við fyrirmæli ábyrgðarmanns er því ólögleg. Af ákvæðinu leiðir einnig að ekki má vinna með upplýsing arnar eftir fyrirmælum neins annars en ábyrgðaraðila. Þetta gildir þó ekki ef lög mæla fyrir á annan veg. Af 16. gr. tilskipunarinnar leiðir einnig að ábyrgðaraðili vinnslu verður að gefa fyrirmæli um vinnsluna. Láti ábyrgðaraðili það hjá líða gæti það haft í för með sér að vinnsl an yrði talin ólögleg þar sem hún færi ekki fram á grundvelli fyrirmæla ábyrgðaraðila. Eins og áður segir er óheimilt að vinna með upplýsingar á annan veg en ábyrgðaraðili hefur mælt fyrir um, nema lög mæli fyrir um á annan veg. Í lögum er að finna ýmis ákvæði sem mæla fyrir um ákveðna vinnslu persónuupplýsinga, svo sem um aðgang að þeim. Þannig ber t.d. vinnsluaðila að veita starfsmönnum Persónuverndar aðgang að persónuupplýsingum sem unnið er með við eftirlit og rannsókn máls á grundvelli 38. gr. laga nr. 77/2000, hvað svo sem líður fyrirmælum ábyrgðaraðila.
    Til að koma í veg fyrir að ábyrgðaraðili geti hlaupist undan ábyrgð sinni með því að ráða sér verktaka er kveðið svo á í 2. mgr. 17. gr. tilskipunarinnar að ábyrgðaraðili skuli, ef vinnsla fer fram fyrir hans hönd, velja vinnsluaðila sem veiti nægilegar tryggingar að því er varðar þær öryggisráðstafanir sem gera skal og sjá til þess að þessum ráðstöfunum sé hlítt.
    Tilskipunin hefur ekki að geyma sérstakan áskilnað um form fyrirmæla ábyrgðaraðila um vinnsluna. Undantekning er þó gerð um fyrirmæli til vinnsluaðila en í 3. mgr. 17. gr. tilskip unarinnar er kveðið svo á að ábyrgðaraðili skuli gera skriflegan samning við vinnsluaðila. Ætla verður þó að hér mundi t.d. falla undir aðferð sem lögmæt telst samkvæmt löggjöf um rafrænar undirskriftir. Áskilið er að samningurinn hafi að lágmarki ákveðið efni. Þannig skal tekið fram að vinnsluaðili skuli aðeins starfa eftir fyrirmælum ábyrgðaraðila og að ákvæði tilskipunarinnar um öryggi persónuupplýsinga gildi einnig um þá vinnslu sem vinnsluaðila er falin. Ef vinnsluaðili hefur staðfestu í öðru ríki á Evrópska efnahagssvæðinu en ábyrgðar aðili skal jafnframt tekið fram að lagaákvæði þess ríkis sem vinnsluaðili hefur staðfestu um í skuli gilda um öryggisráðstafanir við vinnsluna. Þetta er áréttað í 4. mgr. 17. gr. tilskipunar innar þar sem segir að til að varðveita sönnunargögn skuli þeir hlutar samnings eða réttar gjörðar sem varða vernd upplýsinga og þær kröfur sem varða öryggisráðstafanir vera skrif legar eða á sambærilegu formi.

Um 6. gr.
    Í greininni er lagt til að 28. gr. laga nr. 77/2000 verði breytt þannig að lögtekið verði ákvæði 14. gr. tilskipunarinnar um andmælarétt hins skráða. Er því til samræmis við framan greint ákvæði tilskipunarinnar lagt til það nýmæli að í 1. mgr. 28. gr. laganna komi fram að hinum skráða sé heimilt að andmæla vinnslu upplýsinga um sjálfan sig hafi hann til þess lög mætar og knýjandi ástæður vegna sérstakra aðstæðna sinna, nema kveðið sé á um annað í öðrum lögum. Eigi andmælin rétt á sér er ábyrgðaraðila óheimil frekari vinnsla umræddra upplýsinga. Í greininni er einnig lagt til það nýmæli að ábyrgðaraðili geti afhent félaga-, starfsmanna- eða viðskiptamannaskrár til nota við dreifingu markpósts ef hann hefur áður gefið félagsmönnum, starfsmönnum eða viðskiptamönnum kost á að andmæla því að nafn viðkomandi verði á hinni afhentu skrá. Þá ber ábyrgðaraðila enn fremur að kanna hvort við komandi einstaklingur hafi með tilkynningu til Hagstofu andmælt slíkri notkun á nafni sínu við útsendingu markpósts. Þetta þykir ekki varhugavert með tilliti til persónuverndar en markaðssetning af þessu tagi hefur viðgengist lengi hér á landi og í öðrum löndum.
    Ekki eru lögð til önnur efnisleg nýmæli en lagðar eru til nokkrar orðalagsbreytingar á ákvæðinu til frekari samræmingar og skýringar.

Um 7. gr.
    Lagt er til að við 2. mgr. 29. gr. laganna bætist nýr málsliður, svohljóðandi: Sama á við um lönd eða staði sem Persónuvernd auglýsir í Stjórnartíðindum að virtum ákvörðunum framkvæmdarstjórnar Evrópubandalagsins. Þegar hafa í almennum athugasemdum verið rakt ar skýringar þessa en hér liggur til grundvallar ákvæði 6. liðar 25. gr. tilskipunarinnar þar sem fram kemur að komist framkvæmdastjórnin að þeirri niðurstöðu að þriðja land tryggi nægilega vernd skuli aðildarríkin gera nauðsynlegar ráðstafanir til að fara að þeirri ákvörðun.

Um 8. gr.
    Í greininni er lagt til að sú breyting verði á 30. gr. laganna að við 1. mgr. bætist tveir nýir töluliðir. Í fyrsta lagi er lagt til að miðlun upplýsinga geti verið heimil sé hún nauðsynleg eða fyrirskipuð samkvæmt lögum vegna þess að brýnir almannahagsmunir krefjast þess eða til að unnt sé að stofna, hafa uppi eða verja réttarkröfur. Hér er stefnt að lögtöku d-liðar 1. mgr. 26. gr. tilskipunarinnar. Þá er lagt til að heimil sé miðlun upplýsinga sem almennur aðgangur er að. Það getur átt við um það þegar miðlað er úr skrá sem ætlað er samkvæmt lögum og reglugerðum að veita almenningi upplýsingar og sem almenningur hefur aðgang að eða hver sá sem hefur lögmætra hagsmuna að gæta. Hér er stefnt að lögtöku f-liðar 1. mgr. 26. gr. til skipunarinnar.
    Þá er lagt til að í stað lokamálsliðar 2. mgr. komi fjórir nýir málsliðir um að Persónuvernd geti heimilað miðlun persónuupplýsinga til þriðju landa þótt þau veiti ekki viðhlítandi upp lýsingavernd ef ábyrgðaraðili veitir nægilegar tryggingar fyrir persónuvernd, t.d. með því að gera skriflegan samning við viðtökuaðila sem hafi að geyma tiltekin stöðluð samningsákvæði í samræmi við ákvörðun sem Persónuvernd hefur auglýst í Stjórnartíðindum, að teknu tilliti til ákvarðana framkvæmdastjórnar EB. Hér er tekið mið af 2., 3. og 4. lið 26. gr. tilskipunar innar þar sem ráð er fyrir því gert að einstök ríki geti heimilað miðlun persónuupplýsinga til þriðju landa þótt þau veiti ekki viðhlítandi upplýsingavernd ef ábyrgðaraðili veitir nægilegar tryggingar fyrir persónuvernd, en þær geti einkum komið fram í viðeigandi samningsákvæð um. Segir að ákveði framkvæmdastjórnin að tiltekin stöðluð samningsákvæði veiti nægilegar tryggingar skuli aðildarríkin gera nauðsynlegar ráðstafanir til að fara að þeirri ákvörðun. T.d. gæti tiltekið fyrirtæki í þriðja ríki fremur kosið þá leið að grundvalla flutning persónuupplýs inga milli sín og fyrirtækis inna tiltekins ríkis innan ESB á slíkum samningum fremur en því að verða viðurkennt sem örugg höfn („Safe harbour“).

Um 9. gr.
    Lagt er til að fyrri málsliður 2. mgr. 37. gr. breytist þannig að mælt verði fyrir um að Per sónuvernd úrskurði í ágreiningsmálum sem upp kunna að koma um vinnslu persónuupplýs inga á Íslandi, hvort sem íslensk lög eða lög annars ríkis gilda um vinnsluna. Skv. 6. mgr. 28. gr. tilskipunarinnar er hver persónuverndarstofnun (eftirlitsyfirvald) bær á eigin yfirráða svæði til að beita þeim heimildum sem henni hafa verið fengnar án tillits til þess hvaða lög gilda um viðkomandi vinnslu. Af ákvæði þessu leiðir að Persónuvernd úrskurðar í ágrein ingsmálum sem upp kunna að koma á yfirráðasvæði íslenska ríkisins um vinnslu persónuupp lýsinga, enda þótt lög annars ríkis gildi um vinnsluna. Þessi lagaskilaregla leggur þann vanda á starfsmenn persónuverndastofnana EES að þeir verða að kunna skil á lögum allra aðildar ríkja EES. Til þess að gera starfsmönnum þessara stofnana auðveldara fyrir er, í 6. mgr. 28. gr. tilskipunarinnar, mælt fyrir um að persónuverndarstofnanir skuli hafa nauðsynlegt sam starf. Í 64. lið formála tilskipunarinnar er áréttað að þetta skuli gert til að tryggja að verndar reglunum sé fylgt á öllu svæðinu. Í þessu sambandi er rétt að minna á að skv. 39. gr. laga nr. 77/2000 standa ákvæði um þagnarskyldu því ekki í vegi að starfsmenn Persónuverndar veiti erlendum systurstofnunum sínum nauðsynlegar upplýsingar. Persónuverndarstofnanir geta jafnframt hjálpast að við að framfylgja ákvörðunum, en í 6. mgr. 28. gr. tilskipunarinnar er tekið fram að hvert yfirvald geti farið þess á leit við yfirvald annars aðildarríkis að það beiti heimildum sínum.

Um 10. gr.
    Greinin þarfnast ekki skýringa.

Fylgiskjal.

Fjármálaráðuneyti,
fjárlagaskrifstofa:

Umsögn um frumvarp til laga breyting á lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77 23. maí 2000.
    Með frumvarpi þessu er lagt til að gerðar verði nokkrar breytingar á lögum nr. 77/ 2000, um persónuvernd og meðferð persónuupplýsinga, sem miða að því að leiða í lög tilteknar ákvarðanir framkvæmdastjórnar Evrópubandalagsins á þessu sviði. Ekki er talið að frum varpið hafi í för með sér kostnaðarauka fyrir ríkissjóð verði það óbreytt að lögum.