um breyting á lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77 23. maí 2000.
(Lagt fyrir Alþingi á 127. löggjafarþingi 2001–2002.)
1. gr.
Eftirfarandi breytingar verða á 9. gr. laganna:
a.
Á eftir 1. mgr. kemur ný málsgrein sem orðast svo:
Þrátt fyrir að skilyrði 1. mgr. séu ekki uppfyllt er heimilt, í tengslum við framkvæmd
rafrænnar vöktunar, að safna efni sem verður til við vöktunina, svo sem hljóð- og myndefni, með viðkvæmum persónuupplýsingum ef eftirfarandi skilyrði eru uppfyllt:
1.
að vöktunin sé nauðsynleg og fari fram í öryggis- og eignavörsluskyni;
2.
að það efni sem til verður við vöktunina verði ekki afhent öðrum eða unnið frekar
nema með samþykki þess sem upptaka er af eða samkvæmt ákvörðun Persónuverndar; heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan
verknað en þá skal þess gætt að eyða öllum öðrum eintökum af efninu;
3.
að því efni sem safnast við vöktunina verði eytt þegar ekki er lengur málefnaleg
ástæða til að varðveita það, nema sérstök heimild Persónuverndar skv. 3. mgr. standi
til frekari varðveislu.
b.
Í stað orðanna „1. mgr.“ í 2. mgr., sem verður 3. mgr., kemur: 1. og 2. mgr.
2. gr.
20. gr. laganna orðast svo:
Fræðsluskylda þegar persónuupplýsinga er aflað hjá hinum skráða.
Þegar ábyrgðaraðili aflar persónuupplýsinga hjá hinum skráða sjálfum skal hann upplýsa
hinn skráða um eftirtalin atriði:
1.
nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.,
2.
tilgang vinnslunnar,
3.
aðrar upplýsingar, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, svo sem upplýsingar um:
a.
viðtakendur eða flokka viðtakenda upplýsinganna,
b.
hvort honum sé skylt eða valfrjálst að veita umbeðnar upplýsingar og hvaða afleiðingar það kunni að hafa veiti hann þær ekki,
c.
ákvæði laganna um upplýsingarétt hins skráða, svo og rétt hins skráða til leiðréttingar og eyðingar rangra eða villandi persónuupplýsinga um hann.
Ákvæði 1. mgr. gilda ekki hafi hinn skráði þegar fengið vitneskju um þau atriði sem fram
koma í 1.–3. tölul. 1. mgr.
3. gr.
21. gr. laganna orðast svo:
Skylda til að láta hinn skráða vita um vinnslu persónuupplýsinga
þegar þeirra er aflað hjá öðrum en honum sjálfum.
Þegar ábyrgðaraðili aflar persónuupplýsinga frá öðrum en hinum skráða skal hann samtímis láta hinn skráða vita af því og greina honum frá þeim atriðum sem talin eru í 3. mgr.
Sé ætlun ábyrgðaraðila hins vegar að miðla upplýsingunum innan hæfilegra tímamarka frá
öflun þeirra má hann þó fresta því þar til hann miðlar upplýsingunum í fyrsta sinn.
Þrátt fyrir 2. málsl. 1. mgr. skal ábyrgðaraðili sem annast miðlun upplýsinga um fjárhagsmálefni og lánstraust láta hinn skráða vita 14 dögum áður en slíkum upplýsingum er miðlað
í fyrsta sinn.
Í tilkynningu til hins skráða skal veita upplýsingar um:
1.
nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.,
2.
tilgang vinnslunnar,
3.
aðrar upplýsingar, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, svo sem upplýsingar um:
a.
tegundir eða flokka þeirra upplýsinga sem unnið er með,
b.
hvaðan upplýsingarnar koma,
c.
viðtakendur eða flokka viðtakenda upplýsinganna,
d.
ákvæði laganna um upplýsingarétt hins skráða, svo og rétt hins skráða til leiðréttingar og eyðingar rangra eða villandi persónuupplýsinga um hann.
Ákvæði 1. mgr. gilda ekki ef:
1.
óframkvæmanlegt er að láta hinn skráða vita eða það leggur þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast,
2.
ætla má að hinum skráða sé þegar kunnugt um vinnsluna,
3.
lagaheimild stendur til skráningar eða miðlunar upplýsinganna eða
4.
hagsmunir hins skráða af því að fá vitneskju um upplýsingarnar þykja eiga að víkja fyrir
veigamiklum almannahagsmunum eða einkahagsmunum, þ.m.t. hagsmunum hans sjálfs.
4. gr.
Við 1. mgr. 32. gr. laganna bætist nýr töluliður sem orðast svo: hvernig uppfyllt séu fyrirmæli 20. og 21. gr.
5. gr.
Við 37. gr. laganna bætist ný málsgrein sem orðast svo:
Persónuvernd getur sett reglur um rafræna vöktun og vinnslu efnis sem verður til við vöktunina, svo sem hljóð- og myndefnis, þar á meðal um öryggi, varðveislu og notkun þess. Þá
getur hún gefið fyrirmæli um rétt þess sem myndaður hefur verið til að skoða myndir sem
teknar hafa verið af honum. Persónuvernd getur jafnframt sett reglur og gefið fyrirmæli um
eyðingu efnis sem til verður við framkvæmd rafrænnar vöktunar, ákveðið varðveisluaðferð
og varðveislutíma og heimilað afhendingu þess í öðrum tilvikum en þeim sem mælt er fyrir
um í 2. mgr. 9. gr.
6. gr.
Lög þessi öðlast þegar gildi.
Athugasemdir við lagafrumvarp þetta.
Frumvarp þetta er samið í dómsmálaráðuneytinu að frumkvæði Persónuverndar. Með
frumvarpinu er lagt til að lögfest verði ákvæði sem kveða skýrt á um í hvaða tilvikum megi
safna efni með viðkvæmum persónuupplýsingum sem verður til við rafræna vöktun og
hvernig skuli fara með slíkt efni. Þá eru gerðar nokkrar breytingar á ákvæðum laganna um
fræðslu- og viðvörunarskyldu ábyrgðaraðila gagnvart hinum skráða.
Notkun einkaaðila á búnaði til sjónvarpsvöktunar, sem er ein tegund rafrænnar vöktunar,
hefur aukist verulega. Í 4. gr. laganna um persónuvernd og meðferð persónuupplýsinga, nr.
77/2000, er fjallað um rafræna vöktun sem fer fram með notkun sjónvarpsmyndavéla, myndbandsbúnaðar, vefmyndavéla eða annars samsvarandi myndatökubúnaðar en felur ekki í sér
rafræna vinnslu. Þegar slík vöktun fer fram og mynd- eða hljóðefni birtist eingöngu á skjá
en er ekki varðveitt telst það ekki til rafrænnar vinnslu. Hins vegar er álitamál að hvaða
marki hljóð- og myndbandsupptökur teljast til rafrænnar vinnslu. Miðað hefur verið við að
það teljist rafræn vinnsla ef hægt er að finna í safni gagna, án mikillar fyrirhafnar, upplýsingar um tiltekinn einstakling. Ef slíkt á við um efni sem safnað hefur verið telst upptakan
rafræn vinnsla.
Í lögunum er ekki kveðið sérstaklega á um hvernig skuli fara með myndefni sem verður
til við sjónvarpsvöktun. Af þeim sökum hafa almenn ákvæði II. kafla laganna um vinnslu
persónuupplýsinga, einkum 8. og 9. gr., verið látin taka til slíkrar vinnslu. Það leiðir hins
vegar af séreðli þessarar vinnslu að torvelt getur reynst að finna henni fullnægjandi stoð í
nefndum ákvæðum, jafnvel þótt hún kunni að eiga sér fyllilega lögmætt og málefnalegt
markmið. Með frumvarpinu er leitast við að bæta úr þessu.
Samkvæmt frumvarpinu verður heimilt að safna hljóð- og myndefni sem verður til við
rafræna vöktun að ákveðnum skilyrðum uppfylltum. Í fyrsta lagi þarf vöktunin að vera nauðsynleg og fara fram í öryggis- og eignavörsluskyni, í öðru lagi má ekki afhenda efni sem
verður til við vöktunina án samþykkis þess sem upptaka er af nema lögreglu og í þriðja lagi
er skylt að eyða því efni sem verður til við vöktunina innan ákveðinna tímamarka.
Þá felur frumvarpið einnig í sér heimild fyrir Persónuvernd til að setja nánari reglur um
vöktunina og vinnslu þess efnis sem verður til við hana. Mikilvægt er að skýrar reglur séu
til um einstaka þætti vöktunarinnar svo að réttaróvissa ríki ekki á þessu sviði. Slíkar reglur
þurfa m.a. að veita svör við spurningum um hvort einkaaðilar megi safna upplýsingum um
þjófnaði eða önnur afbrot og ef svo er hvernig þeim beri að fara með þær. Þá skortir reglur
um það hversu lengi megi varðveita myndefni og hvort gera skuli greinarmun á þeim stöðum
sem vaktaðir eru, svo sem eftir því hvort um er að ræða myndir teknar á vínveitingahúsi eða
í banka.
Í lögum um persónuvernd og meðferð persónuupplýsinga eru ekki lagaákvæði sem veita
nægilega stoð til að setja sérreglur um meðferð myndefnis sem safnast þegar sjónvarpsvöktun fer fram. Danir og Norðmenn hafa staðið frammi fyrir sambærilegum vanda og hafa
leyst hann á mismunandi hátt. Í Danmörku var sá kostur valinn að setja sérlög um þetta efni,
„lov om forbud mod tv-overvågning mv.“, nr. 76 frá 1. febrúar 2000. Í Noregi var hins vegar
ákveðið að fella inn í almenn lög um meðferð persónuupplýsinga, „lov om behandling av
personoplysninger“, nr. 31 frá 14. apríl 2000, sérstakan kafla um sjónvarpsvöktun, sbr. VII.
kafla laganna. Í Svíþjóð gilda sérstök lög um vöktun með myndavélum, „lag om almänn
kameraövervakning“, nr. 150 frá 1998, en þau leystu af hólmi lög frá 1990 um sama efni. Þá
gilda þar sérstök lög um vöktun með myndavélum við rannsókn sakamála.
Loks felst í frumvarpinu breyting á ákvæðum 20. og 21. gr. laganna sem fjalla um
fræðslu- og viðvörunarskyldu við öflun persónuupplýsinga. Ákvæðin voru tekin upp í lög
um persónuvernd og meðferð persónuupplýsinga í þeim tilgangi að innleiða 10. og 11. gr.
tilskipunar ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við
vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Þær breytingar sem hér
eru lagðar til eru gerðar að fenginni reynslu með það að markmiði að samræma efni og framsetningu greinanna tveggja, einfalda efni leiðbeininga sem veita skal og færa orðalag
ákvæðisins til betri vegar þannig að það samræmist betur tilskipun 95/46/EB og verði skilmerkilegra. Þá miða breytingarnar á 21. gr. einnig að því að einfalda verulega stjórnsýslu
sem tengist ákvæðinu.
Athugasemdir við einstakar greinar frumvarpsins.
Um 1. gr.
Með ákvæði a-liðar er lagt til að heimilt verði í tengslum við framkvæmd rafrænnar vöktunar að safna efni með viðkvæmum persónuupplýsingum sem verður til við vöktunina ef
nánar tilgreind skilyrði eru uppfyllt.
Í fyrsta lagi þarf vöktunin að vera nauðsynleg og fara fram í öryggis- og eignavörsluskyni,
sbr. ákvæði 1. tölul. Skv. 7. og 8. gr. laga um persónuvernd og meðferð persónuupplýsinga
er lögmæti rafrænnar vöktunar háð því að hún eigi sér málefnalegan tilgang og sé nauðsynleg
fyrir viðkomandi. Til skýringar er hér, að því er varðar rafræna vöktun, lögð til sú viðmiðun
að fari hún fram í öryggis- og eignavörsluskyni teljist hún eiga sér málefnalegan tilgang. Í
áskilnaði um nauðsyn felst m.a. að þeim sem vaktar ber að meta kosti og galla þess að viðhafa slíka vöktun og falla frá vöktun verði niðurstaða slíks mats sú að vinnslan sé ekki nauðsynleg. Vera kann að fyrirtæki hafi sérstaka þörf fyrir að vakta svæði þar sem takmarkaður
fjöldi fólks fer um að jafnaði, t.d. á vinnustað. Skilyrði um sérstaka nauðsyn getur t.d. verið
uppfyllt ef vöktun er nauðsynleg til að tryggja öryggi starfsmanna eða hindra að hættuástand
skapist. Almennt ber þó að túlka heimildir til vöktunar á vinnustað þröngt og gæta þess að
virða einkalífsrétt starfsmanna, m.a. rétt þeirra til að halda út af fyrir sig félagslegum og
persónulegum samböndum á vinnustað. Lögmæti vöktunar á vinnustað sem miðar að því að
mæla gæði vinnu og afköst starfsmanna er m.a. háð því að starfsmenn hafi fengið nauðsynlega fræðslu um tilvist hennar, eftir atvikum við gerð ráðningarsamnings eða með öðrum
sannanlegum hætti og að samkvæmt skipulags-, framleiðslu- eða öryggissjónarmiðum sé
slíkrar vöktunar þörf. Dæmi um ómálefnalega vöktun, og þar með ólögmæta, er vöktun sem
leiðir til þess að einstökum hópum manna verði mismunað, svo sem ef hún beinist að hópum
á grundvelli skoðana þeirra, kynferðis, uppruna, kynþáttar eða þjóðernis. Vöktun í kirkjum,
kapellum eða öðrum húsum sem ætluð eru til bænahalds og trúariðkunar felur í sér sérstaka
hættu fyrir friðhelgi einkalífs. Sama á t.d. við um vöktun í mátunarklefum, á salernum, í
hótelherbergjum, í káetum, á vínveitingahúsum o.s.frv.
Sjónvarpsvöktun sem einvörðungu fer fram til persónulegra nota fellur utan gildissviðs
laganna, sbr. 3. gr. Af því leiðir að þau gilda t.d. ekki um vöktun sem fer fram á heimilum,
í einkagörðum, bílskúrum o.s.frv. Óheimil er hins vegar uppsetning eftirlitsmyndavéla sé
þeim gagngert beint að híbýlum nágranna. Vöktun annarra svæða, svo sem sameignar, fellur
undir lögin. Oft eru slík svæði vöktuð í þeim tilgangi að hindra innbrot og skemmdarverk,
og getur slíkt talist til málefnalegs tilgangs. Eigi vöktunin sér stað á svæði sem fáir fara um,
svo sem við inngang í fjölbýlishús eða í bílastæðahús, leiðir af ákvæðinu að uppfylla þarf
skilyrði um sérstaka nauðsyn.
Annað skilyrði sem sett er fyrir vöktuninni er að það efni sem til verður við vöktun verði
ekki unnið frekar eða afhent öðrum án samþykkis þess sem upptaka lýtur að nema Persónuvernd kveði á um annað. Upptaka telst vera af öllum þeim sem eru greinanlegir á hljóð- eða
myndefni og hægt er að bera kennsl á. Innihaldi upptaka hins vegar upplýsingar um slys eða
refsiverðan verknað er heimilt að afhenda hana lögreglu án samþykkis þess eða þeirra sem
upptakan er af. Í þeim tilfellum skal þess jafnframt gætt að öllum öðrum eintökum af efninu
verði eytt. Í ákvæðinu er gerður áskilnaður um að efni sem verður til við slíka vöktun verði
ekki unnið frekar. Um það hvað felst í „vinnslu“ í þessu sambandi fer eftir skilgreiningu
laganna á því orði. Sem dæmi má nefna að óheimilt verður samkvæmt ákvæðinu að setja
upptöku af ákveðnum atburði á netið.
Þá er loks í 3. tölul. sett það skilyrði að því efni sem til verður við vöktunina verði eytt
þegar ekki er lengur málefnaleg ástæða til að varðveita það. Ekki er settur ákveðinn almennur
tímafrestur í þessu skyni þar sem það getur verið mismunandi eftir tegund og gerð vöktunarbúnaðar í hverju tilfelli hvernig vörslu efnisins er háttað. Þá getur einnig verið mismunandi
eftir eðli starfsemi hver þörf er á að varðveita slíkt efni. Miðað er við að Persónuvernd geti
sett nánari reglur eða fyrirmæli um varðveislu slíks efnis eftir því í hvers kyns starfsemi það
verður til, sbr. 5. gr. frumvarpsins. Vísað er til nánari umfjöllunar um þetta í athugasemdum
með þeirri grein. Hvað varðar upptökubúnað sem nemur mynd getur hann verið af ýmsum
toga, ýmist myndrænn eða stafrænn, og varsla efnisins getur verið á myndbandi eða á
tölvudiski. Algengast er að varðveita efnið á myndbandi. Við þá aðferð er almennt skipt um
myndband í upptökutæki einu sinni á sólarhring eða á nokkurra daga fresti og nokkur myndbönd höfð til skiptanna. Eftir að myndefni hefur verið safnað á þau myndbönd sem eru til
ráðstöfunar er röðin komin að fyrsta myndbandinu á ný og er nýtt efni tekið yfir myndefnið
sem þar var fyrir og svo koll af kolli. Með þessu móti er myndefnið varðveitt í nokkra daga
þar til nýtt efni er tekið yfir það. Slík varðveisla efnis getur verið eðlileg og málefnaleg.
Varðveisla á slíku efni um lengri tíma en hér er getið getur verið réttlætanleg ef málefnalegar
ástæður standa að baki. Sem dæmi um málefnalega ástæðu í þessu sambandi má nefna að
fyrirhugað sé að senda efnið sem sönnunargagn með kæru til lögreglu. Þá getur, eins og áður
hefur verið nefnt, málefnalegur varðveislutími farið eftir eðli þeirrar starfsemi þar sem
vöktun er fer fram og eðli þess efnis sem vöktun lýtur að. Í þessu sambandi má nefna vöktun
í grunnskólum. Það teldist t.d. málefnaleg ástæða ef skólayfirvöld varðveittu efni um einelti
á meðan rannsókn málsins stæði yfir og eftir atvikum lengur.
Ákvæði b-liðar þarfnast ekki útskýringar.
Um 2. gr.
Með ákvæðinu eru lagðar til breytingar á 20. gr. laganna. Markmið þeirra breytinga er að
samræma efni og framsetningu 20. og 21. gr., einfalda efni þeirra leiðbeininga sem veita skal
og laga texta ákvæðisins betur að tilskipun 95/46/EB. Lagt er til að framsetningu ákvæðisins
verði breytt og efnisatriðin sett fram í töluliðum og stafliðum til að gera ákvæðið skýrara.
Þessi framsetning ákvæðisins er í samræmi við sambærileg ákvæði í dönsku og norsku
persónuupplýsingalaganna.
Í 1. mgr. 20. gr. laganna er kveðið á um að fræðsluskylda hvíli á ábyrgðaraðila, eða eftir
atvikum vinnsluaðila. Það þykir ekki í samræmi við ákvæði tilskipunarinnar, svo og önnur
ákvæði laganna, að vinnsluaðili hafi lagaskyldu til að sinna fræðsluskyldu. Slík skylda getur
einvörðungu hvílt á vinnsluaðila samkvæmt samningi við ábyrgðaraðila skv. 13. gr. laganna. Því er lögð til sú breyting á orðalagi ákvæðisins að fella brott orðin „eða eftir atvikum
vinnsluaðila“.
Samkvæmt 20. gr. ber ekki að veita upplýsingar um heimilisfang ábyrgðaraðila og fulltrúa
hans líkt og skylt er skv. 21. gr. Til einföldunar og samræmingar á ákvæðum 20. og 21. gr.
er því lagt til í 1. tölul. 2. gr. frumvarpsins að einnig beri að veita upplýsingar um slíkt skv.
20. gr.
Þá er lagt til að í stað orðanna „markmið söfnunarinnar“ í 1. mgr. 20. gr. komi orðin „tilgang vinnslunnar“, en það orðalag er í samræmi við ákvæði 10. gr. tilskipunarinnar, svo og
orðalag 21. gr., sbr. 2. mgr. 16. gr. laganna. Orðalag 20. gr. er óheppilegt þar sem það felur
í sér þrengri túlkun á þeim upplýsingum sem skylt er að veita en skv. 21. gr. Orðin tilgangur
og markmið hafa sömu merkingu en öðru máli gegnir um vinnslu og söfnun þar sem það að
veita upplýsingar um tilgang söfnunarinnar nær mun skemur en að veita upplýsingar um
markmið vinnslunnar.
Enn fremur er lagt til að fellt verði brott ákvæði 1. mgr. 20. gr. um að ábyrgðaraðila beri
að upplýsa um það hvernig upplýsingar verði auðkenndar. Þetta ákvæði er ekki í samræmi
við tilskipunina og er vandséð að það þjóni nokkrum tilgangi að veita ávallt upplýsingar um
þetta atriði þar sem persónuupplýsingar eru í yfirgnæfandi meiri hluta auðkenndar með nafni,
kennitölu og heimilisfangi hins skráða. Má því almennt búast við að þannig sé því farið nema
annað sé sérstaklega tekið fram á grundvelli fyrirmæla, svo sem lagt er til í 3. tölul. 1. mgr.,
þar sem það er talið nauðsynlegt, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við
vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna.
Í 1.–2. tölul. eru tilgreindar þær upplýsingar sem ávallt ber að veita hinum skráða, þ.e.
nafn og heimilisfang ábyrgðaraðila og tilgangur vinnslunnar. Skv. 3. tölul. skal ábyrgðaraðili
veita frekari upplýsingar að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna
sinna. Þessi töluliður er nánast samhljóða 2. mgr. 20. gr. laganna og felur ekki í sér efnisbreytingu. Ákvæðið er á því byggt að það nægi ekki alltaf að upplýsa um þau atriði sem tilgreind eru í 1. og 2. tölul. Markmið fræðsluskyldunnar er að veita hinum skráða möguleika
á að nýta sér þann rétt sem hann á skv. III. og IV. kafla laganna, t.d. rétt til aðgangs að upplýsingum, leiðréttingar o.s.frv. Í þessu sambandi er rétt að minna á að í 38. tölul. formálsorða
tilskipunar 95/46/EB er m.a. tekið fram að ef vinnsla upplýsinga eigi að vera sanngjörn verði
hinn skráði að geta fengið áreiðanlegar og fullar upplýsingar með hliðsjón af aðstæðum við
söfnun þegar upplýsingar eru fengnar hjá honum.
Ábyrgðaraðilinn metur í fyrstu hvort þörf sé á nánari fræðslu skv. 3. tölul. Bera má
niðurstöðu hans undir Persónuvernd sem skv. 40. gr. laganna getur, telji hún þess þörf, lagt
fyrir ábyrgðaraðila að veita nánari fræðslu.
Þess er vert að geta að skv. 20. gr. hvílir fræðsluskyldan á ábyrgðaraðila vinnslu. Ef
ábyrgðaraðili hefur staðfestu utan Evrópska efnahagssvæðisins skal hann tilnefna fulltrúa
sinn sem hefur staðfestu hér á landi, sbr. 6. gr. laganna. Sama gildir um vinnslu upplýsinga
um fjárhagsmálefni og lánstraust lögaðila ef ábyrgðaraðili hefur ekki staðfestu hér á landi.
Þegar svo stendur á fellur það í hlut fulltrúa ábyrgðaraðila að uppfylla fræðsluskylduna, sbr.
5. mgr. 6. gr. laganna, svo og 1. mgr. 10. gr. tilskipunar 95/46/EB. Sömu sjónarmið eiga við
um tilkynningar skv. 21. gr. laganna.
Þá er einnig rétt að geta þess að í 20. gr. er ekki tilgreint nákvæmlega hvernig ábyrgðaraðila ber að uppfylla fræðsluskylduna. Engin formskilyrði gilda um það hvernig koma skal
fræðslu samkvæmt ákvæðinu á framfæri við hinn skráða. Þannig er t.d. ekki gerð krafa um að upplýsingar sem veita skal séu settar fram á tiltekinn hátt. Vilji ábyrgðaraðili af hagkvæmnisástæðum veita umrædda fræðslu á stöðluðu formi, og jafnvel með sjálfvirkum hætti,
er það heimilt, að því tilskildu að veitt sé nægilega víðtæk fræðsla.
Þegar stjórnvald fær munnlegar upplýsingar frá málsaðila og skráir þær niður á grundvelli
23. gr. upplýsingalaga eða í samræmi vandaða stjórnsýsluhætti ber einnig að færa það til
bókar hafi fræðsluskyldu 20. gr. verið gætt, en hennar telst hafa verið gætt með því að gefa
aðila munnlegar upplýsingar um þau atriði sem þar eru upp talin.
Hvað varðar tímamörk er í greininni kveðið á um að fræðslu skuli veita þegar upplýsingum er safnað. Þegar upplýsingum er safnað á eyðublað getur ábyrgðaraðili uppfyllt
fræðsluskyldu sína með því að veita lögmæltar upplýsingar á eyðublaðinu. Sama gildir þegar
notuð eru rafræn eyðublöð eða upplýsingum safnað á annan hátt, svo sem gegnum heimasíðu
ábyrgðaraðila. Þegar hinn skráði notar ekki eyðublöð ábyrgðaraðila, t.d. sendir bréf þar sem
hann lætur í té persónuupplýsingar, ber ábyrgðaraðila að uppfylla fræðsluskyldu sína án
ástæðulausra tafa.
Um 3. gr.
Með ákvæði þessu eru lagðar til breytingar á 21. gr. laganna. Markmið þeirra er hið sama
og breytinga í 20. gr., sbr. umfjöllun um 2. gr. frumvarpsins, en auk þess miða breytingarnar
að því að einfalda verulega stjórnsýslu sem tengist ákvæðinu. Líkt og í 2. gr. er lagt til að
framsetningu ákvæðisins verði breytt, því skipt niður í fleiri málsgreinar og efnisatriði sett
fram í töluliðum og stafliðum til að auka á skýrleika þess.
Í fyrsta lagi skal þess getið að nokkrar orðalagsbreytingar eru gerðar í ákvæðinu. Þar ber
fyrst að nefna að heiti greinarinnar er lítillega breytt. Horft hefur verið frá því að nota orðið
viðvörunarskylda yfir þá athöfn að tilkynna hinum skráða um vinnsluna. Sú breyting þykir
endurspegla betur fyrirmæli tilskipunar 95/46/EB. Ber hér einkum að líta til 38.–40. gr.
formálsorða tilskipunarinnar og 11. gr. tilskipunarinnar þar sem segir að tilteknar vinnsluaðgerðir taki til upplýsinga sem ábyrgðaraðili hafi ekki fengið beint frá hinum skráða. Þá
segir að enn fremur sé unnt að miðla upplýsingum á lögmætan hátt til þriðja aðila þótt það
hafi ekki verið fyrirhugað á þeim tíma sem upplýsingarnar voru fengnar hjá hinum skráða.
Meginreglan er sú að í þessum tilvikum skuli þó skýra hinum skráða frá þessu þegar upplýsingarnar eru skráðar eða í síðasta lagi þegar upplýsingarnar eru látnar þriðja aðila í té í
fyrsta sinn, en sú regla sætir þó undantekningum þegar um ákveðnar tegundir vinnslu er að
ræða eins og nánar er vikið að síðar.
Aðrar orðalagsbreytingar á ákvæðinu eru til þess fallnar að auka skýrleika þess. Meginreglan samkvæmt ákvæðinu er sú að láta skal hinn skráða vita um leið og upplýsinga er aflað.
Ábyrgðaraðili vinnslu í skilningi lagaákvæðisins er sá sem safnar upplýsingunum og ákveður
tilgang vinnslunnar. Þegar t.d. stjórnvald aflar upplýsinga frá öðru stjórnvaldi er það stjórnvaldið sem móttekur upplýsingarnar sem á að láta hinn skráða vita um vinnslu samkvæmt
ákvæðinu. Texti ákvæðisins gefur ekki til kynna að það sé ábyrgðaraðili sem skuli tilkynna
hinum skráða um vinnslu en sá skilningur birtist í greinargerð. Með þeirri breytingu á
ákvæðinu sem nú er lögð til kemur það skýrt fram í lagatextanum að tilkynningarskyldan
hvílir á ábyrgðaraðila. Þegar stjórnvald safnar upplýsingum til nota við úrlausn stjórnsýslumáls, og fyrir liggur að það muni senda hinum skráða gögn máls innan tíu daga og veita
honum færi á að tjá sig um þau á grundvelli stjórnsýslulaga, er almennt ekki ástæða til að
finna að því þótt beðið sé með tilkynninguna og hún látin fylgja með slíku bréfi. Rétt er að
hafa í huga að það getur einnig þurft að túlka ákvæðið í öðrum tilvikum til samræmis við ákvæði stjórnsýslulaga, nr. 37/1993.
Í öðru lagi er lögð til sú breyting að 3. málsl. 1. mgr. 21. gr. laganna verði gerður að
sérstakri málsgrein. Ástæðan er sú að tilvísun 2. mgr. 21. gr. til 1. mgr. á efni sínu samkvæmt
ekki að taka til 3. málsl. 1. mgr. 21. gr. Með breytingunni verður enginn vafi á því að undanþágur ákvæðisins ná ekki til þeirra aðila sem annast miðlun upplýsinga um fjárhagsmálefni
og lánstraust. Hér er ekki um að ræða breytingu á þeim skilningi sem ríkt hefur um túlkun
á ákvæðinu.
Í þriðja lagi eru þau efnisatriði ákvæðisins sem ábyrgðaraðila ber að veita upplýsingar um
í tilkynningu sett fram í töluliðum og stafliðum í ákvæðinu sjálfu í stað þess að vísa til 2.
mgr. 16. gr. Þessi framsetning ákvæðisins eykur á skýrleika þess og er í samræmi við sambærileg ákvæði í dönsku og norsku persónuupplýsingalögunum.
Í fjórða lagi er lagt til að tvær efnisbreytingar verði gerðar á þeim atriðum sem ábyrgðaraðila ber að veita í tilkynningu. Annars vegar er lögð til sú breyting að nægilegt sé að veita
upplýsingar um það hver sé ábyrgðarmaður og eftir atvikum fulltrúi hans, en ekki þurfi þar
til viðbótar að veita upplýsingar um hver beri daglega ábyrgð á því að fullnægt sé skyldum
ábyrgðaraðila samkvæmt lögunum. Í tilskipun 95/46/EB er ekki gerð krafa um svo ítarlega
upplýsingagjöf og vandséð að hennar sé þörf. Hins vegar er lögð til breyting sem miðar að
því að bæta við fleiri atriðum sem veita ber upplýsingar um við ákveðnar aðstæður. Í 21. gr.
laganna, sbr. 16. gr. er kveðið á um hvaða upplýsinga er þörf að geta í viðvörun. Ekki verður
ráðið af ákvæðinu að þar sé um lágmarksupplýsingar að ræða og að í sumum tilvikum geti
þurft að veita ítarlegri leiðbeiningar, líkt og getið er um í 2. mgr. 20. gr. Áskilnaður er þó um
slíkt í c-lið 11. gr. tilskipunar 95/46/EB. Af þessu verður ráðið að 21. gr. sé ekki í fullu
samræmi við tilskipunina að þessu leyti. Því er með 3. tölul. 3. mgr. lögð til sú breyting að
ábyrgðaraðili geti þurft að veita aðrar upplýsingar en getið er um í 1. og 2. tölul., að því
marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við
vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna. Með þessu ákvæði er
leitast við að innleiða c-lið 1. mgr. 11. gr. tilskipunarinnar. Ákvæðið er sambærilegt við 3.
tölul. 1. mgr. 2. gr. frumvarpsins og til frekari skýringa er vísað til þess sem segir í athugasemdum við þá grein.
Þá eru loks gerðar breytingar á undanþáguákvæðum 21. gr. Annars vegar er lögð til sú
einföldun á stjórnsýslu að ekki þurfi að sækja um leyfi til Persónuverndar til þess að geta nýtt
undanþágu 1. tölul. 2. mgr. 21. gr. Er því lagt til að orðin „að mati Persónuverndar“ verði
felld brott. Hins vegar er lagt til að nýju undanþáguákvæði verði bætt við.
Samkvæmt 1. mgr. 21. gr. er meginreglan sú að ábyrgðaraðila ber að gera hinum skráða
viðvart þegar hann aflar upplýsinga um hann hjá þriðja manni. Í 2. mgr. ákvæðisins er þó
veitt svigrúm til að víkja frá meginreglunni, en það er heimilt ef ætla má að hinum skráða sé
þegar kunnugt um vinnsluna eða ef lagaheimild stendur til vinnslunnar, eða ef viðvörun er
að mati Persónuverndar óframkvæmanleg eða leggur þyngri byrðar á ábyrgðaraðila en með
sanngirni má krefjast. Því hefur það samkvæmt gildandi lögum komið í hlut Persónuverndar
að taka ákvörðun um hvort þær aðstæður eru fyrir hendi sem réttlæti að vikið sé frá meginreglunni. Reynslan hefur hins vegar leitt í ljós að þetta fyrirkomulag hefur aukið mjög á
skriffinnsku og gert stjórnsýslu tengda ákvæðinu þunga í vöfum. Með frumvarpinu er því
lögð til sú breyting að ekki þurfi að sækja sérstaklega um leyfi Persónuverndar til að beita
þessari undanþágu frekar en öðrum undanþágum í ákvæðinu. Slíkt fyrirkomulag samræmist
tilskipun 95/46/EB. Þess má einnig geta að sú tilhögun er í samræmi við danska lagaframkvæmd en norsku persónuverndarlögin krefjast hins vegar mats óháðs aðila í þessum til fellum. Skýra ber undanþágur í ákvæðinu til samræmis við 40. tölul. í formálsorðum tilskipunar 95/46/EB og 2. mgr. 11. gr. tilskipunarinnar sem kveður á um að reglur um undanþágur frá skyldu til að láta hinn skráða vita um vinnslu persónuupplýsinga eigi einkum við
ef um er að ræða vinnslu í tölfræðilegum tilgangi eða vegna sagnfræðilegra eða vísindalegra
rannsókna, svo sem um vísindarannsóknir á heilbrigðissviði sem hlotið hafa samþykki siðanefndar eða vísindasiðanefndar samkvæmt lögum um réttindi sjúklinga.
Þrátt fyrir að Persónuvernd meti ekki hverju sinni hvort undanþáguákvæðið eigi við gegnir hún samt sem áður lögbundnu eftirlitshlutverki samkvæmt lögunum. Til að tryggja að
Persónuvernd geti sinnt því á skilvirkan hátt er lagt til að ábyrgðaraðila verði gert skylt að
tilkynna Persónuvernd um hvernig hann hyggist uppfylla fyrirmæli 20. og 21. gr. áður en
vinnsla persónuupplýsinga fer fram, sbr. 4. gr. frumvarpsins. Skv. 31. gr. laganna ber ábyrgðaraðila að tilkynna Persónuvernd um vinnslu, á þar til gerðu formi, áður en hún hefst. Gert
er ráð fyrir að í 4. mgr. 32. gr. laganna verði fjölgað atriðum sem þurfa að koma fram í tilkynningu til Persónuverndar. Með því styrkjast möguleikar Persónuverndar á að grípa inn
í leiki vafi á um að skyldunni hafi verið sinnt á fullnægjandi hátt. Komi upp deila um hvað
falli undir undanþáguna sker Persónuvernd úr rétt eins og úr öðrum deilum um túlkun laganna.
Þá er lagt til að lögfest verði ný undanþága frá tilkynningarskyldunni, sbr. 4. tölul. 4. mgr,
en samkvæmt því verður ekki skylt að tilkynna hinum skráða um vinnslu persónuupplýsinga
ef hagsmunir hans þykja eiga að víkja fyrir veigamiklum almannahagsmunum eða einkahagsmunum eða hagsmunum hans sjálfs. Þessi undanþága er nánast samhljóða þeirri undanþágu er fram kemur í 1. mgr. 30. gr. dönsku persónuupplýsingalaganna. Ákvæðinu er einvörðungu hægt að beita að undangengnu mati á hverju tilviki fyrir sig. Einkahagsmunir sem
heimilt er að verja samkvæmt ákvæðinu eru t.d. viðskiptahagsmunir, sem sanngjarnt er að
leynd ríki um, þagnarskylda um einkahagsmuni þriðja manns og vernd mannréttinda þriðja
manns. Sem dæmi um tilvik þar sem kæmi til greina að beita undanþágunni má nefna mál
sem barnaverndarnefnd rannsakar. Við slíka rannsókn eru oft veittar upplýsingar um einstaklinga og í mörgum tilfellum eru hagsmunir barnsins af því að tilkynningarskyldu verði
ekki sinnt ríkari en hagsmunir hins skráða af því að fá upplýsingar um skráninguna.
Um 4. gr.
Með ákvæðinu er fræðslu- og tilkynningarskyldu til hins skráða bætt við þau atriði sem
ábyrgðaraðili þarf að greina frá í tilkynningu til Persónuverndar skv. 31. gr. Breytingin er til
komin vegna þeirrar breytingar sem gerð er með 3. gr. frumvarpsins að fella niður það
hlutverk Persónuverndar að meta í hverju tilviki hvort undanþáguheimild 1. tölul. 2. mgr. 21.
gr. laganna eigi við (sjá nánar athugasemdir við 3. gr.). Í stað þess að Persónuvernd meti það
er lagt til að slíkt mat verði lagt í hendur ábyrgðaraðila sjálfs. Hins vegar er lagt til að
ábyrgðaraðila verði gert skylt að geta þess í tilkynningu til Persónuverndar skv. 31. gr.
hvernig hann hyggst uppfylla fyrirmæli 20. og 21. gr. laganna.
Í 1. mgr. 32. gr. laganna er kveðið á um hvaða atriði skuli tilgreina í tilkynningu til
Persónuverndar skv. 31. gr. Í 2. mgr. 32. gr. er kveðið á um að Persónuvernd geti sett nánari
fyrirmæli um form og efni tilkynninganna og um framkvæmd tilkynningarskyldunnar að öðru
leyti. Samkvæmt því getur Persónuvernd gefið út fyrirmæli um að ábyrgðaraðila sé skylt að
tilkynna um hvernig fyrirmælum 20. og 21. gr. hefur verið sinnt. Engu síður þykir nauðsynlegt að hafa tilkynningarskyldu um þetta atriði lögbundna.
Um 5. gr.
Með ákvæðinu er Persónuvernd fengin heimild til að setja reglur um varðveislutíma efnis
sem verður til við rafræna vöktun, svo sem hljóð- og myndefnis, og til að ákveða undanþágur
frá þeim, svo sem ef ætlunin er að afhenda slíkt efni lögreglu í tengslum við rannsókn mála.
Um varðveislu og meðferð lögreglu á slíku efni gilda hins vegar ákvæði laga um meðferð
opinberra mála. Gert er ráð fyrir að Persónuvernd geti stöðvað vöktun sem fer í bága við
ákvæði laganna og mælt fyrir um eyðingu efnis þegar ekki telst lengur vera málefnaleg
ástæða til að varðveita það. Um það hvenær ástæða telst vera málefnaleg vísast til umfjöllunar um 1. gr. frumvarpsins. Sömuleiðis getur stofnunin sett sérreglur um efni sem safnast
á tilteknum stöðum, svo sem í bönkum, pósthúsum, flugstöðvum eða umferðarmiðstöðvum.
Þá er miðað við að Persónuvernd geti ákveðið að þegar slíkt efni er varðveitt lengur en í
tiltekinn tíma geti sá sem myndaður hefur verið farið fram á það við ábyrgðaraðila að fá að
sjá þær myndir sem teknar hafa verið af honum. Sama gildir, eftir því sem við á, um hljóðupptökur. Þetta á þó ekki við um efni sem safnast í starfsemi sem tengist almannaöryggi,
landvörnum, öryggi ríkisins eða starfsemi ríkisins á sviði refsivörslu, sbr. 3. gr. laganna.
Um 6. gr.
Greinin þarfnast ekki skýringa.
Fylgiskjal.
Fjármálaráðuneyti,
fjárlagaskrifstofa:
Umsögn um frumvarp til laga um breyting á lögum um persónuvernd
og meðferð persónuupplýsinga, nr. 77 23. maí 2000.
Með frumvarpi þessu er lagt til að lögfest verði nánari ákvæði en eru í gildandi lögum um
hvenær heimilt er að safna efni sem verður til við rafræna vöktun, t.d. hljóð- og myndefni,
og inniheldur viðkvæmar persónuupplýsingar, auk þess sem kveðið verði á um með hvaða
hætti fara skuli með slíkt efni. Ekki er gert ráð fyrir að frumvarpið hafi áhrif á útgjöld ríkissjóðs verði það samþykkt sem lög.