Ferill 612. máls. Aðrar útgáfur af skjalinu: PDF - Microsoft Word.
148. löggjafarþing 2017–2018.
Þingskjal 992 — 612. mál.
Stjórnartillaga.
Tillaga til þingsályktunar
um staðfestingu ákvörðunar sameiginlegu EES-nefndarinnar um breytingu á XI. viðauka (Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið) og bókun 37 (sem inniheldur skrána sem kveðið er á um í 101. gr.) við EES-samninginn (almenna persónuverndarreglugerðin).
Frá utanríkisráðherra.
Alþingi ályktar að heimila ríkisstjórninni að staðfesta fyrir Íslands hönd fyrirhugaða ákvörðun sameiginlegu EES-nefndarinnar um breytingu á XI. viðauka (Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið) og bókun 37 (sem inniheldur skrána sem kveðið er á um í 101. gr.) við EES-samninginn frá 2. maí 1992 um að fella inn í samninginn reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin).
Greinargerð.
Með þingsályktunartillögu þessari er leitað eftir heimild Alþingis til að samþykkja ákvörðun sameiginlegu EES-nefndarinnar um breytingu á XI. viðauka (Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið) og bókun 37 (sem inniheldur skrána sem kveðið er á um í 101. gr.) við EES-samninginn frá 2. maí 1992 um að fella inn í samninginn reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin).
Í reglugerðinni er mælt fyrir um reglur um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um reglur er varða frjálsa miðlun upplýsinga. Reglugerðin varðar grundvallarréttindi og frelsi einstaklinga, einkum rétt þeirra til verndar persónuupplýsingum.
Í greinargerð þessari er fjallað um samþykki Alþingis, samráð við þingnefndir Alþingis, reglur um persónuvernd í samvinnu Evrópuríkja og áhrif á íslenskan rétt, almennu persónuverndarreglugerðina, samningaviðræður um aðlögun reglugerðarinnar fyrir upptöku í EES-samninginn, stjórnskipuleg álitaefni vegna valdheimilda Evrópska persónuverndarráðsins, mikilvægi þess að Ísland sé hluti af persónuverndarregluverki ESB og að lokum er gerð grein fyrir áhrifum hér á landi, þ.m.t. lagabreytingum sem innleiðing reglugerðarinnar kallar á.
Almenna persónuverndarreglugerðin mun koma til framkvæmda innan Evrópusambandsins hinn 25. maí 2018. Reglugerðin mun ekki taka til EFTA-ríkjanna innan EES, þ.m.t. Íslands, fyrr en hún hefur verið tekin formlega upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar og sú ákvörðun tekið gildi.
Þegar þessi tillaga til þingsályktunar er lögð fram hefur sameiginlega EES-nefndin ekki enn samþykkt umrædda ákvörðun. Hinn 16. mars 2018 sendu EFTA-ríkin með formlegum hætti til Evrópusambandsins drög að ákvörðun sameiginlegu EES-nefndarinnar um upptöku gerðarinnar í EES-samninginn. Að jafnaði tekur það ESB þrjá til fimm mánuði að ljúka málsmeðferð til að fá umboð til að samþykkja ákvörðun í slíkum málum áður en mál kemur til meðferðar í sameiginlegu EES-nefndinni. Á meðan sú málsmeðferð er í gangi eru EFTA-ríkin innan EES, Ísland, Liechtenstein og Noregur, einnig að afla umboðs frá þjóðþingum landanna til að samþykkja umrædda ákvörðun í sameiginlegu EES-nefndinni. Á Íslandi er það gert með þingsályktun frá Alþingi.
Afar mismunandi reglur gilda innan Evrópusambandsins um meðferð persónuupplýsinga, sem sendar eru frá einstökum aðildarríkjum sambandsins til annarra ríkja, eftir því hvort upplýsingarnar eru sendar til annars aðildarríkis Evrópusambandsins eða til þriðja ríkis. Ef um er að ræða sendingu upplýsinga til annars aðildarríkis Evrópusambandsins er litið til þess að löggjöf sambandsins er samræmd hvað varðar persónuvernd og því talið að sendandi upplýsinganna geti byggt á því að reglur Evrópusambandsins um persónuvernd gildi í móttökuríkinu.
Ef hins vegar er um að ræða sendingu til þriðja ríkis er staðan önnur og engan veginn sjálfgefið að reglur viðkomandi ríkis uppfylli kröfur Evrópusambandsins um vernd persónuupplýsinga. Af þeim sökum eru í löggjöf Evrópusambandsins settar kvaðir um sendingu persónuupplýsinga til þriðju ríkja. Þær kvaðir felast einkum í því að annaðhvort þarf framkvæmdastjórn Evrópusambandsins að hafa tekið formlega ákvörðun um að viðkomandi þriðja ríki utan Evrópusambandsins veiti viðunandi vernd (e. adequacy decision), eða sendandi og viðtakandi upplýsinganna að gera með sér sérstakt skriflegt samkomulag um vernd þeirra gagna sem send eru á milli aðilanna.
Þar sem núgildandi tilskipun Evrópusambandsins um vernd persónuupplýsinga, tilskipun 95/46/EB, hefur verið tekin upp í EES-samninginn, gilda ákvæði hennar fyrir EFTA-ríkin innan EES með sama hætti og fyrir aðildarríki Evrópusambandsins. Sú tilskipun fellur hins vegar úr gildi innan Evrópusambandsins þegar almenna persónuverndarreglugerðin kemur til framkvæmda.
Af þeim sökum er afar mikilvægt að ákvörðun sameiginlegu EES-nefndarinnar um upptöku almennu persónuverndarreglugerðarinnar í EES-samninginn öðlist gildi eins fljótt og auðið er eftir að reglugerðin kemur til framkvæmda innan Evrópusambandsins hinn 25. maí 2018.
Af fyrrgreindum ástæðum gæti orðið röskun á flæði persónuupplýsinga milli Íslands og Evrópusambandsins þar til ákvörðun sameiginlegu EES-nefndarinnar um upptöku almennu persónuverndarreglugerðarinnar í EES-samninginn hefur öðlast gildi. Því er afar brýnt að ekki verði settur stjórnskipulegur fyrirvari af hálfu íslenskra stjórnvalda við ákvörðun um upptöku gerðarinnar í EES-samninginn. Slíkum fyrirvara væri í fyrsta lagi hægt að aflétta með ályktun Alþingis á haustþingi 2018, og mundi það því fresta enn frekar gildistöku ákvörðunar sameiginlegu EES-nefndarinnar. Af þeim sökum er þess farið á leit að Alþingi heimili ríkisstjórninni að staðfesta umrædda ákvörðun sameiginlegu EES-nefndarinnar án stjórnskipulegs fyrirvara.
Þingsályktunartillögu þessari fylgja fjögur rafræn fylgiskjöl. Er þar að finna drög að ákvörðun sameiginlegu EES-nefndarinnar um upptöku reglugerðarinnar í EES-samninginn, almennu persónuverndarreglugerðina, bréf til utanríkisráðherra frá utanríkismálanefnd Alþingis, dags. 1. mars 2018, um lok málsmeðferðar skv. 2. gr. reglna um þinglega meðferð EES-mála, og með því fylgir álit allsherjar- og menntamálanefndar Alþingis annars vegar og stjórnskipunar- og eftirlitsnefndar Alþingis hins vegar í tengslum við málsmeðferð Alþingis, og loks álit Stefáns Más Stefánssonar, prófessors við lagadeild Háskóla Íslands, um reglugerð um persónuvernd – hugmyndir um aðferð við upptöku gerðar, dags. 14. desember 2017.
2. Um samþykki Alþingis.
EES-samningurinn er reglulega uppfærður með breytingum á viðaukum og bókunum við samninginn þar sem nýjar gerðir Evrópusambandsins eru teknar upp í samninginn. Ákvarðanir um þessar breytingar eru teknar í sameiginlegu EES-nefndinni og með þær hefur ávallt verið farið sem hverja aðra þjóðréttarsamninga. Í því felst að utanríkisráðherra leitar eftir staðfestingu þeirra til að skuldbinda stjórnvöld að þjóðarétti. Ef gerð sem fyrirhugað er að taka upp í samninginn kallar á lagabreytingar leiðir af 21. gr. stjórnarskrárinnar að leita ber samþykkis Alþingis áður en viðkomandi ákvörðun er staðfest. Slíkt samþykki getur Alþingi veitt annaðhvort með viðeigandi lagabreytingu eða í formi þingsályktunar þar sem ríkisstjórninni er heimilað að staðfesta viðkomandi ákvörðun.
Sem fyrr segir er afar brýnt að ákvörðun um upptöku almennu persónuverndarreglugerðarinnar í EES-samninginn öðlist gildi sem fyrst eftir að hún er tekin. Af þeim sökum er í þingsályktunartillögu þessari leitað eftir fyrirframheimild Alþingis til að staðfesta ákvörðun sameiginlegu EES-nefndarinnar án stjórnskipulegs fyrirvara. Er þá einnig litið til þess að utanríkismálanefnd Alþingis hefur fylgst náið með framvindu viðræðna og undirbúnings að upptöku gerðarinnar og fengið á fundi til sín þá sérfræðinga sem að því hafa komið.
3. Samráð við þingnefndir Alþingis.
Í samræmi við 2. gr. reglna Alþingis um þinglega meðferð EES-mála, sem fjallar um upplýsingagjöf og samráð um nýjar ESB-gerðir og meðferð ESB-gerða sem háðar eru samþykki Alþingis, var utanríkismálanefnd Alþingis upplýst um fyrirhugaða upptöku almennu persónuverndarreglugerðarinnar í EES-samninginn með erindi utanríkisráðuneytis, dags. 18. maí 2016, eða innan við mánuði frá því að reglugerðin var samþykkt á vettvangi Evrópusambandsins. Utanríkismálanefnd hafði áður, þegar á árinu 2012, verið upplýst um tillögu að nýrri löggjöf Evrópusambandsins á sviði persónuverndar. Árið 2015 var utanríkismálanefnd upplýst um málið á grundvelli 8. gr. reglna um þinglega meðferð EES-mála.
Eftir að gerðin var send í 2. gr. ferli í maí 2016 fór fram umfangsmikil umfjöllun nefnda Alþingis um reglugerðina, áhrif hennar hér á landi, aðlaganir á efni og þau stjórnskipulegu álitaefni sem upptaka hennar kynni að vekja.
Umfjöllun nefnda Alþingis á grundvelli 2. gr. reglna um þinglega meðferð EES-mála lauk með bréfi formanns utanríkismálanefndar til utanríkisráðherra, dags. 1. mars 2018. Gerðin fékk efnislega umfjöllun í allsherjar- og menntamálanefnd og stjórnskipunar- og eftirlitsnefnd og fylgdu álit þingnefndanna með bréfinu. Utanríkismálanefnd vísaði til þeirra sjónarmiða sem þar komu fram og fylgdu bréfinu. Bréfið og álit þingnefndanna er að finna í fylgiskjali III við þingsályktunartillögu þessa.
Í áliti allsherjar- og menntamálanefndar frá 23. ágúst 2016 kemur m.a. fram að nefndin geri ekki athugasemdir við upptöku gerðarinnar í EES-samninginn. Í áliti stjórnskipunar- og eftirlitsnefndar, dags. 6. febrúar 2018, kemur m.a. fram að nefndin telji með hliðsjón af því sem rakið sé í álitinu, að framsalið sem hér um ræðir sé á afmörkuðu og vel skilgreindu sviði og sé ekki verulega íþyngjandi, hvorki fyrir íslenska ríkið né íslenska borgara þar sem ákvarðanirnar beinast gegn stofnunum en ekki einstaklingum. Nefndin gerði því ekki athugasemdir við upptöku gerðarinnar í EES-samninginn.
4. Reglur um persónuvernd í samvinnu Evrópuríkja og áhrif á íslenskan rétt.
4.1. Almennt.
Frá seinni hluta 20. aldar óx verulega þörf á úrræðum til að vernda friðhelgi einkalífs í tæknivæddu nútímaþjóðfélagi, einkum vegna framfara á sviði tölvutækni þar sem möguleikar á öflun og skráningu persónuupplýsinga, bæði af hálfu stjórnvalda og einkaaðila, hafa stöðugt aukist. Til þess að bregðast við hættum sem af þessu stafa fyrir friðhelgi einkalífs fór alþjóðlegt samstarf á sviði persónuverndar vaxandi eftir 1980 og ýmis fjölþjóðleg samtök hafa sinnt persónuverndarmálum í auknum mæli. Ein fyrsta fjölþjóðasamþykktin um efnið var ályktun á vettvangi Efnahags- og framfarastofnunarinnar, OECD, um leiðbeiningar varðandi verndun einkalífs við flutning persónuupplýsinga yfir landamæri frá 23. september 1980 (Guidelines on the Protection of Privacy and Transborder Flows of Personal Data). Ekki er um bindandi samning að ræða en leiðbeiningarnar hafa þýðingu fyrir ríki sem ekki hafa sérstaka löggjöf um meðferð og verndun persónuupplýsinga.
Ísland hefur tekið virkan þátt í alþjóðlegu samstarfi um vernd persónuupplýsinga innan Evrópuráðsins og á vegum evrópskra og norrænna persónuverndarstofnana. Í stórum dráttum má segja að alþjóðlegar reglur á þessu réttarsviði greinist í tvennt. Annars vegar eru alþjóðasamningar og sáttmálar sem eru þjóðréttarlega skuldbindandi fyrir Ísland. Í þann flokk falla samningur Evrópuráðsins frá 1981, tilskipun ESB, svo og hin nýja almenna persónuverndarreglugerð ESB. Hins vegar eru tilmæli eða yfirlýsingar sem ekki eru þjóðréttarlega skuldbindandi en geta haft þýðingu við skýringu bindandi þjóðréttarreglna og mögulega íslenskra laga einnig. Í þann flokk falla m.a. fyrrnefndar leiðbeiningar OECD og leiðbeiningar, samþykktar af allsherjarþingi Sameinuðu þjóðanna 14. desember 1990, um tölvufærðar persónuupplýsingaskrár (Guidelines Concerning Computerized Personal Data Files).
4.2. Samningur Evrópuráðsins og aðrar samþykktir á vegum ráðsins.
Í samningi Evrópuráðsins um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga frá 28. janúar 1981 er lýst þeim tilgangi að tryggja einstaklingum virðingu fyrir réttindum þeirra og grundvallarfrelsi, einkum rétti til einkalífs að því er varðar vélræna vinnslu persónuupplýsinga um þá eða svokallaða persónuupplýsingavernd. Samningurinn var fullgiltur af Íslands hálfu 1991. Með honum var lagður mikilvægur grundvöllur að síðari reglusetningu hjá Evrópusambandinu en helstu ákvæði hans voru leidd í íslenskan rétt við gildistöku laga nr. 121/1989, um skráningu og meðferð persónuupplýsinga. Evrópuráðssamningurinn hefur að geyma lágmarksreglur, en í því felst að aðildarríkjum hans er heimilt að veita þeim er upplýsingarnar varðar víðtækari réttindi í löggjöf sinni. Árið 2001 var samþykktur viðauki við samninginn um eftirlitsstjórnvöld og flutning persónuupplýsinga á milli landa, en Ísland hefur ekki fullgilt hann.
Evrópuráðssamningurinn gildir að meginstefnu til um alla meðferð persónuupplýsinga þar sem tölvutækni er beitt við vinnsluna. Tilgangur samningsins er að tryggja sérhverjum manni á svæði hvers samningsaðila, hvert sem þjóðerni hans eða búseta er, virðingu fyrir réttindum hans og grundvallarfrelsi, einkum rétti hans til einkalífs að því er varðar vélræna vinnslu persónuupplýsinga sem hann varða.
Til fyllingar ákvæðum samningsins frá 1981 hafa ráðherranefnd og ráðgjafarþing Evrópuráðsins beint allmörgum tilmælum og ályktunum til aðildarríkja sinna um meðferð persónuupplýsinga á afmörkuðum sviðum. Tilmæli ráðherranefndarinnar eru nú 17 talsins, þar á meðal má nefna tilmæli um vernd mannréttinda í tengslum við samfélagsmiðla frá 4. apríl 2012, CM/Rec(2012)4 og tilmæli um vinnslu persónuupplýsinga í tengslum við atvinnu frá 1. apríl 2015 CM/Rec (2015)5. Réttarleg staða tilmæla ráðherranefndarinnar er önnur en samningsins þar sem þau eru ekki þjóðréttarlega skuldbindandi, en fela á hinn bóginn í sér ákveðna pólitíska skuldbindingu fyrir aðildarríkin. Sum tilmælin eru þess eðlis að efni þeirra á ekki beinlínis heima í ákvæðum almennra laga um vernd persónuupplýsinga. Þau geta hins vegar haft þýðingu við setningu sérlaga á þessu réttarsviði og í framkvæmd eftirlitsaðila þegar settir eru sérstakir skilmálar um vinnslu ákveðinna tegunda persónuupplýsinga.
4.3. Tilskipun Evrópusambandsins 95/46/EB.
Markmiðið með samþykkt núgildandi tilskipunar frá 24. október 1995 var tvíþætt, annars vegar að vernda rétt manna til þess að njóta friðhelgi um einkalíf sitt í tengslum við meðferð persónuupplýsinga og hins vegar að tryggja frjálst flæði persónuupplýsinga milli aðildarríkja ESB. Hún byggist á sömu grundvallarsjónarmiðum og Evrópuráðssamningurinn frá 1981. Innan þess ramma sem hún setur hefur einstökum aðildarríkjum verið heimilt að setja strangari reglur sem tryggja meiri vernd en leiðir af ákvæðum hennar, en ýmsar sérreglur af þeim toga er að finna í lögum nr. 77/2000.
Það meginmarkmið tilskipunarinnar að tryggja samræmdar reglur og samræmda persónuvernd í öllum aðildarríkjum ESB hvíldi ekki síst á markaðssjónarmiðum því að samræmdar reglur um persónuvernd eru taldar nauðsynlegar til þess að frjáls og opinn markaður fái þrifist. Ljóst var að löggjöf aðildarríkjanna á persónuverndarsviðinu var afar mismunandi. Það stóð í vegi fyrir frjálsu flæði persónuupplýsinga milli aðildarríkjanna og skapaði vandkvæði í efnahagslegu samstarfi þeirra.
Tilskipunin festi í sessi mjög rúma skilgreiningu persónuupplýsingahugtaksins sem tekur til allra upplýsinga sem rekjanlegar eru til einstaklinga og setti fram ítarlegar skilgreiningar á nokkrum lykilhugtökum. Þá setti hún fram með skýrum hætti meginreglur um gæði og vinnslu gagna, lögmæta vinnslu almennra persónuupplýsinga, og sérstök skilyrði fyrir vinnslu persónuupplýsinga sem skilgreindar eru sem viðkvæmar. Loks setti tilskipunin fram ítarleg ákvæði um réttindi hins skráða og þær skyldur sem lagðar eru á ábyrgðaraðila vinnslu. Þar á meðal er skylda ábyrgðaraðila til að tilkynna viðkomandi persónuverndarstofnun um fyrirhugaða vinnslu tiltekinna persónuupplýsinga. Ýmsar undantekningar eru þó frá þessu þannig að um ákveðnar tegundir vinnslu gilda vægari tilkynningarreglur eða þær eru með öllu undanþegnar tilkynningarskyldunni auk þess sem um aðrar tegundir vinnslu gilda í sumum tilvikum strangari reglur, þ.e. leyfisskylda í stað tilkynningarskyldu.
Tilskipunin leiddi inn ýmis nýmæli varðandi upplýsingarétt hins skráða, m.a. að þegar ákveðnar tegundir ákvarðana sem hann varða byggjast einungis á rafrænni vinnslu persónuupplýsinga á hann rétt á hann rétt á að fá vitneskju um fyrirkomulag þeirrar vinnslu. Þá hefur hver og einn rétt til þess að fá handunna endurskoðun á umræddum ákvörðunum.
Samkvæmt tilskipuninni er aðildarríkjunum skylt að setja á laggirnar stofnanir til þess að hafa eftirlit með því að ákvæðum hennar sé fylgt innan landamæra viðkomandi ríkis. Skulu slíkar stofnanir njóta fullkomins sjálfstæðis í störfum sínum og m.a. hafa vald til þess að framkvæma rannsóknir, veita leyfi, stöðva ólöglega starfsemi o.fl. Sem fyrr segir voru þessi fyrirmæli leidd inn í íslenskan rétt með stofnun Persónuverndar sem tók til starfa 2001 og er verkefnum hennar og valdheimildum nánar lýst í VII. kafla laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Í 29. gr. tilskipunarinnar er mælt fyrir um stofnun starfshóps sem sinnir ráðgjafarhlutverki um persónuverndarmálefni. Í starfshópnum sitja fulltrúar persónuverndarstofnana aðildarríkja ESB en auk þeirra fulltrúar framkvæmdastjórnar ESB og Evrópsku persónuverndarstofnunarinnar (European Data Protection Supervisor). Persónuverndarstofnanir EFTA-ríkjanna innan EES, Íslands, Liechtenstein og Noregs, hafa áheyrnaraðild að hópnum, sem gengur undir nafninu 29. gr. starfshópurinn. Hann hefur gegnt mikilvægu hlutverki við útgáfu leiðbeininga og álita um túlkun ýmissa lykilákvæða tilskipunarinnar. Hefur framlag 29. gr. starfshópsins til framkvæmdar tilskipunarinnar í aðildarríkjum verið mikilvægt og er gjarnan vísað til álita hans þegar reynir á úrlausn álitamála um túlkun tilskipunarinnar og landslaga. Starfshópurinn hefur þegar gefið út nokkrar leiðbeiningar um afmörkuð atriði reglugerðarinnar og fleiri eru í undirbúningi.
4.4. Aðrar tilskipanir og ákvarðanir ESB sem þýðingu hafa fyrir vernd persónuupplýsinga.
Ýmsar aðrar tilskipanir og ályktanir stofnana ESB hafa haft þýðingu fyrir vernd persónuupplýsinga að íslenskum rétti fyrir milligöngu EES-samningsins eða samningsins um þátttöku Íslands í Schengen-samstarfinu. Þannig hefur vinnsla persónuupplýsinga sem fer fram vegna löggæslu og þjóðaröryggishagsmuna fallið utan gildissviðs tilskipunarinnar. Um slíka vinnslu hefur gilt rammaákvörðun ráðsins nr. 2008/977/DIM, um vernd persónuupplýsinga sem unnar eru innan ramma lögreglu- og dómsmálasamstarfs í sakamálum (Council Framework Decision 2008/977/JHA of 27 November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters). Persónuverndarstofnanir í Evrópu hafa haft með sér samstarf á þessu sviði og hefur Ísland komið að þeirri vinnu vegna aðildar sinnar að Schengen-samstarfinu. Sú ákvörðun er leyst af hólmi með tilskipun Evrópuþingsins og ráðsins (ESB) 2016/680 frá 27. apríl 2016 um vinnslu persónuupplýsinga á sviði lögreglumála. Í undirbúningi er að innleiða tilskipunina hér á landi en hún mun fyrirsjáanlega hafa margþætt áhrif.
Þá má nefna tilskipun Evrópuþingsins og ráðsins (ESB) 2011/83 frá 25. október 2011 um réttindi neytenda en hún leysti af hólmi tilskipun 97/7/EB um neytendavernd og fjarsölu. Gildissvið hennar nær til samninga um vöru og þjónustu sem gerðir eru af hálfu neytenda og seljenda með fjarsölu, þ.e. samninga sem alfarið komast á með milligöngu „fjarmiðla“.
Loks má geta tilskipunar Evrópuþingsins og ráðsins 2002/58/EB um vinnslu persónuupplýsinga og um verndun einkalífs á sviði rafrænna fjarskipta sem innleidd var með lögum um fjarskipti, nr. 81/2003. Sú tilskipun sætir nú endurskoðun og fyrir liggur tillaga að nýrri reglugerð Evrópuþingsins og ráðsins um einkalífsvernd og rafræn fjarskipti, sem einnig mun fyrirsjáanlega hafa áhrif á vernd persónuupplýsinga hér á landi.
4.5. Evrópska persónuverndarráðið – nýr samstarfsvettvangur evrópskra persónuverndarstofnana.
Samstarfsvettvangur evrópskra persónuverndarstofnana á grundvelli núgildandi tilskipunar ESB, eða hinn svonefndi 29. gr. starfshópur sem lýst var hér að framan, mun breytast með hinni almennu persónuverndarreglugerð. Skv. 68. gr. reglugerðarinnar er nýrri eftirlitsstofnun komið á fót, Evrópska persónuverndarráðinu. Í því skulu eiga sæti yfirmenn eins eftirlitsstjórnvalds hvers aðildarríkis og Evrópsku persónuverndarstofnunarinnar eða fulltrúar þeirra. Fjallað er um verkefni ráðsins í 70. gr. reglugerðarinnar, en meginhlutverk þess er að tryggja samræmi í beitingu hennar. Persónuverndarráðið tekur við þeim verkefnum sem lýst var að framan, þ.e. útgáfu leiðbeininga og álita um túlkun ákvæða reglugerðarinnar. Til viðbótar fær ráðið fjölmörg önnur verkefni og valdheimildir, þar á meðal er því framselt vald til þess að taka bindandi ákvarðanir gagnvart innlendum eftirlitsstofnunum í ákveðnum tilvikum. Í þessu tilliti hafa vaknað ýmis álitaefni um aðlögun fyrir upptöku reglugerðarinnar í EES-samninginn en þessi verkefni ráðsins koma til vegna ákvæða 63.–67. gr. reglugerðarinnar um framkvæmd svonefnds samræmingarkerfis. Kerfinu er komið á fót til að stuðla að samræmdri beitingu reglugerðarinnar í öllu sambandinu. Með upptöku gerðarinnar í EES-samninginn eykst mjög samvinna á milli eftirlitsstofnana á sviði persónuverndar innan Evrópska efnahagssvæðisins. Af Íslands hálfu reynir þá á aðkomu Persónuverndar, sem er lögbært eftirlitsstjórnvald hér á landi samkvæmt ákvæðum reglugerðarinnar.
5. Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin).
5.1. Aðdragandi breytinga.
Í kjölfar breytinga á stofnsamþykktum Evrópusambandsins með Lissabon-sáttmálanum frá 13. desember 2007 sem tók gildi 1. desember 2009 hófst undirbúningur innan Evrópusambandsins að endurskoðun regluverks á sviði persónuverndar. Grundvöllurinn var lagður með nýjum ákvæðum um efnið í 16. og 114. gr. sáttmálans um starfshætti Evrópusambandsins. Skv. 16. gr. sáttmálans eiga allir rétt á því að persónuupplýsingar um þá njóti verndar og mælt er fyrir um að Evrópuþingið og ráðið skuli setja reglur um vernd einstaklinga með hliðsjón af vinnslu persónuupplýsinga á vegum stofnana og aðila á vegum sambandsins og á vegum aðildarríkjanna vegna starfsemi sem fellur undir lög sambandsins, svo og reglur um frjálsa miðlun slíkra upplýsinga. Þá er kveðið á um að óháð yfirvöld skuli hafa eftirlit með því að slíkum reglum sé fylgt. Í 114. gr. er fjallað um almennar aðgerðir Evrópuþingsins og ráðsins til að vinna að samræmingu á þeim ákvæðum laga og stjórnsýslufyrirmæla í aðildarríkjum sem beinast að stofnun og starfsemi innri markaðarins.
Þá birtist hugmyndafræðileg undirstaða evrópsku persónuverndarlöggjafarinnar í sáttmála Evrópusambandsins um grundvallarréttindi sem settur var í stofnlög sambandsins með Lissabon-sáttmálanum. Þar er 8. gr. helguð rétti til verndar persónuupplýsinga sem er þannig skilinn frá hefðbundnu ákvæði sem stendur í 7. gr. um friðhelgi einkalífs. Í 8. gr. er fyrst lýst yfir rétti manns til verndar eigin persónuupplýsinga og settar fram nokkrar meginreglur persónuverndarréttar, svo sem að vinnsla persónuupplýsinga skuli fara fram með sanngjörnum hætti í yfirlýstum tilgangi og með samþykki hlutaðeigandi eða á einhverjum öðrum réttmætum grundvelli sem mælt er fyrir um í lögum. Lýst er rétti einstaklings til aðgangs að upplýsingum sem teknar hafa verið saman um hann og rétti til að fá þær leiðréttar. Loks er mælt fyrir um að óháð stjórnvald skuli hafa eftirlit með því að þessum reglum sé fylgt.
Fyrstu tillögur um heildarendurskoðun á persónuverndarlöggjöfinni í almennu lagasetningarferli innan ESB komu fram árið 2012. Markmið endurskoðunarinnar var að laga löggjöfina að þeirri byltingu sem orðið hafði í upplýsingatækni frá því að tilskipunin var sett, styrkja persónuvernd, stuðla að samræmdari framkvæmd innan ESB og efla virkni hins stafræna innri markaðar. Evrópuþingið samþykkti afstöðu sína til reglugerðarinnar þann 12. mars 2014 og ráðið 15. júní 2015. Þann 27. apríl 2016 var síðan samþykkt hin nýja reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB sem ætlað er að koma til framkvæmda innan ESB 25. maí 2018. Þá var á sama tíma samþykkt tilskipun Evrópuþingsins og ráðsins (ESB) 2016/680 um vernd einstaklinga að því er varðar vinnslu lögbærra yfirvalda á persónuupplýsingum í tengslum við að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum og frjálsa miðlun slíkra upplýsinga og um niðurfellingu rammaákvörðunar ráðsins 2008/977/DIM (löggæslutilskipunin).
5.2. Markmið reglugerðarinnar.
Um ástæður þess að endurskoða þurfti persónuverndarlöggjöf Evrópusambandsins er m.a. fjallað í 9. lið formála reglugerðarinnar. Þar er tekið fram að þrátt fyrir að markmið og meginreglur tilskipunar 95/46/EB standi enn fyrir sínu hafi hún ekki náð að sporna við sundurlausri framkvæmd persónuverndar innan sambandsins, réttaróvissu og þeim útbreiddu hugmyndum meðal almennings að fyrir hendi sé veruleg áhætta fyrir vernd einstaklinga, einkum í tengslum við netnotkun. Bent er á að rétturinn til verndar persónuupplýsinga sé mismikill í aðildarríkjunum í tengslum við vinnslu persónuupplýsinga og geti það hindrað frjálst flæði persónuupplýsinga um sambandið. Þessi munur geti því orðið hindrun í vegi ýmiss konar atvinnustarfsemi á vettvangi sambandsins, raskað samkeppni og komið í veg fyrir að yfirvöld sinni skyldustörfum sínum samkvæmt lögum sambandsins. Þennan mun á vernd megi rekja til þess mismunar sem er á framkvæmd og beitingu tilskipunar 95/46/EB, en ljóst er að aðildarríki hafa haft talsvert svigrúm til að koma markmiðum tilskipunarinnar í framkvæmd.
Þá er tekið fram í 10. lið formálans að til þess að tryggja einstaklingum samræmda og öfluga vernd og ryðja úr vegi hindrunum á flæði persónuupplýsinga innan sambandsins þurfi vernd réttinda og frelsis einstaklinga í tengslum við vinnslu slíkra upplýsinga að vera sambærileg í öllum aðildarríkjunum. Tryggja verði alls staðar í sambandinu samræmda og einsleita beitingu reglna um vernd grundvallarréttinda og frelsis einstaklinga í tengslum við vinnslu persónuupplýsinga. Að því er varðar vinnslu persónuupplýsinga til þess að fullnægja lagaskyldu sé aðildarríkjunum þó heimilt, vegna framkvæmdar á verkefni sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, að viðhalda eða innleiða ný ákvæði í landslög til að tilgreina nánar hvernig þessari reglugerð skuli beitt. Auk almennrar og láréttrar löggjafar um persónuvernd, sem sett er til framkvæmdar tilskipun 95/46/EB, hafa aðildarríkin ýmsa geirabundna löggjöf á sviðum þar sem þörf er á sértækari ákvæðum. Tekið er fram að reglugerðin veiti aðildarríkjunum ákveðið svigrúm til að skilgreina reglur sínar, m.a. varðandi vinnslu sérstakra flokka persónuupplýsinga („viðkvæmra persónuupplýsinga“).
Af þessum inngangsorðum reglugerðarinnar sést að meginmarkmið hennar eru tvíþætt, annað er réttindamiðað og hitt byggist á þörfum hins stafræna innri markaðar og nauðsyn á samræmdri framkvæmd. Áherslan á aukna persónuvernd í þágu einstaklinga birtist einkum í ákvæðum sem veita þeim meiri stjórn á eigin persónuupplýsingum. Meðal annars er einstaklingum tryggður ríkari aðgangur að upplýsingum og vitneskju um hvað verði um þær eftir að þeir ákveða að deila þeim með öðrum. Einnig á að tryggja aukinn rétt til að fá upplýsingum eytt af netinu og rétt til að gleymast en sá réttur felur t.d. í sér að geta farið fram á það við netþjónustuaðila að þeir fjarlægi, án tafa, persónuupplýsingar sem þeir hafa safnað um viðkomandi. Þá munu ný réttindi, réttur til gagnaflutnings, auðvelda mönnum að fá upplýsingar um sig fluttar frá einum aðila til annars, t.d. frá einum samfélagsmiðli til annars. Til að ná þessu fram eru ýmsar nýjar skyldur lagðar á ábyrgðaraðila, m.a. til að auka gagnsæi um vinnslu persónuupplýsinga, veita fræðslu á skýru og skiljanlegu máli, að tryggja öryggi vinnslunnar, nota kerfi með innbyggða og sjálfvirka persónuvernd og að halda sérstakar vinnsluskrár. Þá verður dregið úr heimildum til vinnslu persónuupplýsinga í þágu sjálfvirkrar ákvarðanatöku, þ.m.t. notkunar persónusniða til að greina manngerð viðkomandi, frammistöðu í starfi, lánshæfi, heilsuhagi, smekk o.s.frv. Ábyrgðaraðilum verður auk þess gert skylt að tilkynna, bæði Persónuvernd og hinum skráðu, um öryggisbrot og í vissum tilvikum verður þeim gert skylt að tilnefna persónuverndarfulltrúa. Loks verður einstaklingum gert kleift að kvarta beint til persónuverndarstofnunar í sínu heimalandi jafnvel þótt ábyrgðaraðilinn hafi staðfestu annars staðar.
Hitt meginmarkmið reglugerðarinnar er sem fyrr segir að greiða fyrir virkni hins innri stafræna markaðar. Til þess þarf samræmdar reglur og kerfi sem tryggir samstillta túlkun og framkvæmd, til að fyrirbyggja að misræmi komi upp sem geti truflað flæði upplýsinga yfir landamæri og torveldað ýmis viðskipti. Þá er leitast við að draga úr hættu á að einstök ríki kjósi að haga lögum sínum og reglum á þann hátt að til þeirra laðist fyrirtæki sem sækja í sem mest svigrúm og sem minnst eftirlit. Eyða á lagalegri óvissu í slíkum málum og koma á svokölluðu samræmingarkerfi sem fjallað er um í 63.–67. gr. reglugerðarinnar. Það felur t.d. í sér að ábyrgðaraðili með dótturfélög í nokkrum ríkjum þarf aðeins að hafa samskipti við eftirlitsstjórnvald í því ríki þar sem hann hefur sínar höfuðstöðvar og mun hún taka ákvarðanir í hans málum um framkvæmd ákvæða reglugerðarinnar. í 134. lið formála reglugerðarinnar er tekið fram að samræmingarkerfinu sé ætlað að koma á samræmdri framkvæmd reglugerðar í öllu sambandinu. Bent er á að einkum ætti að beita kerfinu þegar persónuverndarstofnun í einu ríki hyggst gera ráðstöfun sem ætlað er að hafa réttaráhrif vegna vinnsluaðgerða sem hafa veigamikil áhrif á verulegan fjölda skráðra einstaklinga í nokkrum aðildarríkjum. Því ætti einnig að beita þegar eitthvert hlutaðeigandi eftirlitsstjórnvald eða framkvæmdastjórnin fer fram á að samræmingarkerfið annist meðferð slíks máls. Reglugerðin stefnir þannig að stórauknu samráði og samvinnu á milli eftirlitsstjórnvalda. Komi þá upp ágreiningur þeirra í milli um framkvæmd ákvæða reglugerðarinnar mun ný stofnun, Evrópska persónuverndarráðið, skera úr honum.
Ætlunin er að framangreindar ráðstafanir og samræmingarkerfi muni draga úr kostnaði ábyrgðaraðila af því að uppfylla lagaskyldur sínar. Þá á að auka samvinnu persónuverndarstofnana í aðildarríkjunum með það fyrir augum að auðvelda fyrirtækjum, einkum litlum og meðalstórum, að ná sem mestu úr þessum markaði, auk þess sem draga á úr kostnaði þeirra með því að heimila þeim að skilgreina áhættustig á grundvelli áhættumats og innleiða ráðstafanir í samræmi við það.
Í reglugerðinni er einnig vísað til þarfa minni fyrirtækja. Í 13. lið formála hennar er m.a. bent á að með hliðsjón af sérstökum aðstæðum örfyrirtækja, lítilla og meðalstórra fyrirtækja sé sett fram undanþága í reglugerðinni varðandi skráahald fyrirtækja með færri en 250 starfsmenn. Enn fremur eru aðildarríkin og eftirlitsyfirvöld þeirra hvött til að taka tillit til sérstakra þarfa örfyrirtækja, lítilla og meðalstórra fyrirtækja við beitingu reglugerðarinnar.
Reglugerðin er talsvert viðameiri en Evróputilskipunin um sama efni. Það skýrist að hluta til af því að formálsorð hennar eru óvenju löng eða 173 töluliðir í stað 72 liða í formála tilskipunarinnar. Formálinn er mikilvægur til fyllingar og skýringar efnisákvæðum reglugerðarinnar, en þar er m.a. útskýrt nánar inntak hugtaka og fjallað um leiðir sem mælt er með að aðildarríki fari til að ná markmiðum hennar. Þá eru efnisákvæði reglugerðarinnar 99 greinar í stað 33 greina í tilskipuninni. Um fjórðungur þeirra eru ákvæði sem lúta að nýju stofnana- og eftirlitskerfi sem reglugerðin setur á fót, samræmingarkerfinu og samstarfi eftirlitsstofnana í einstökum aðildarríkjum, svo og verkefnum Evrópska persónuverndarráðsins. Þá eru allmörg ákvæði með nýjum efnisreglum auk ítarlegri útfærslu á ýmsu sem kveðið er á um í tilskipuninni.
6. Samningaviðræður um aðlögun reglugerðarinnar fyrir upptöku í EES-samninginn.
6.1. Upphaf samningaviðræðna.
Í mars 2017 höfðu öll EFTA-ríkin innan EES skilað staðalskjali til EFTA-skrifstofunnar, þar sem vakin var athygli á þeim ákvæðum reglugerðarinnar sem ríkin töldu að gætu ekki gilt óbreytt fyrir EFTA-ríkin innan EES og gætu þurft aðlögunar við fyrir upptöku almennu persónuverndarreglugerðarinnar í EES-samninginn. Síðasta EFTA-ríkið skilaði staðalskjali í mars 2017. Í apríl 2017 hófust viðræður annars vegar milli EFTA-ríkjanna og hins vegar við framkvæmdastjórn Evrópusambandsins um aðlögun gerðarinnar fyrir EFTA-ríkin innan EES, fyrir upptöku hennar í EES-samninginn.
Eins og venja er um nýja löggjöf frá Evrópusambandinu sem fyrirhugað er að taka upp í EES-samninginn var gerðin til umfjöllunar hjá vinnuhópi EFTA á viðkomandi sviði. Í þessu tilviki var gerðin til skoðunar hjá sérfræðingahópi EFTA um persónuvernd sem er til aðstoðar vinnuhópi EFTA á sviði rafrænna fjarskipta, hljóð- og myndmiðlunar og upplýsingasamfélagsins. Í sérfræðingahópi EFTA sitja sérfræðingar frá EFTA-ríkjunum innan EES sem meta hvort hægt sé að taka gerðina upp óbreytta í EES-samninginn eða hvort aðlögunar sé þörf. Af Íslands hálfu sitja í sérfræðingahópnum fulltrúar frá dómsmálaráðuneyti og Persónuvernd. Einnig tóku fulltrúar frá utanríkisráðuneyti þátt í starfinu. EFTA-skrifstofan lagði fram drög að aðlögunartexta til skoðunar fyrir EFTA-ríkin innan EES, og fóru fram samningaviðræður milli EFTA-ríkjanna þriggja innan EES um útfærsluna. Þegar EFTA-ríkin innan EES höfðu náð samkomulagi um drög að ákvörðun voru drögin send óformlega til framkvæmdastjórnar ESB, sem einnig þurfti að fallast á útfærsluna.
6.2. Samningaviðræður um aðlögun reglugerðarinnar fyrir EFTA-ríkin innan EES.
EFTA-ríkin ræddu fjóra mismunandi valkosti við aðlögun reglugerðarinnar fyrir upptöku hennar í EES-samninginn. Valkostirnir voru einnig ræddir við framkvæmdastjórn Evrópusambandsins og skipst á skoðunum um kosti þeirra og galla. Valkostirnir vörðuðu einkum mismunandi aðkomu EFTA-ríkjanna að Evrópska persónuverndarráðinu og gildi ákvarðana ráðsins gagnvart persónuverndarstofnunum í EFTA-ríkjunum.
Hvað varðar aðlögun valdheimilda Evrópska persónuverndarráðsins gagnvart EFTA-ríkjunum innan EES stóð valið í raun á milli tveggja kosta. Annars vegar að Evrópska persónuverndarráðið fari með valdheimildir gagnvart persónuverndarstofnunum EFTA-ríkjanna og hins vegar að Eftirlitsstofnun EFTA (ESA) taki bindandi ákvarðanir gagnvart EFTA-ríkjunum innan EES á grundvelli uppkasts sem Evrópska persónuverndarráðið lætur ESA í té. Hinir tveir valkostirnir voru ekki taldir raunhæfir af ýmsum ástæðum, m.a. þar sem engin fordæmi eru fyrir hendi um þær aðlaganir.
Niðurstaða samningaviðræðnanna varð sú að aðlaga reglugerðina þannig að Evrópska persónuverndarráðið færi með valdheimildir gagnvart persónuverndarstofnunum EFTA-ríkjanna. Sá valkostur var í samningaviðræðunum nefndur ,,útfærslan um fulla aðkomu Evrópska persónuverndarráðsins.. (e. Full EDPB). Ekki var gerð tillaga um aðlögun reglugerðarinnar með aðkomu Eftirlitsstofnunar EFTA (ESA). Sú aðlögun hafði áður orðið fyrir valinu árið 2016 við aðlögun og upptöku gerða um evrópskar fjármálaeftirlitsstofnanir í EES-samninginn. Í þeim tilvikum gátu hinar evrópsku eftirlitsstofnanir beitt valdheimildum sínum gagnvart einkaaðilum á markaði. Því er ekki fyrir að fara í þessu tilviki, þar sem valdheimildir Evrópska persónuverndarráðsins beinast gegn eftirlitsyfirvöldum, þ.e. Persónuvernd, í ríkjunum. Sambærileg stjórnskipuleg nauðsyn til að fela aðila innan EFTA-stoðarinnar, þ.e. Eftirlitsstofnun EFTA, að taka bindandi ákvarðanir er því ekki fyrir hendi í tilviki persónuverndarreglugerðarinnar.
6.3. Nánar um útfærsluna um fulla aðkomu Evrópska persónuverndarráðsins.
Aðlögunin felur í sér að fulltrúar frá persónuverndarstofnunum EFTA-ríkjanna munu sitja í Evrópska persónuverndarráðinu með fullan tillögu- og málfrelsisrétt, en án formlegs atkvæðisréttar. Eftirlitsyfirvöld EFTA-ríkjanna munu taka þátt í starfsemi Evrópska persónuverndarráðsins, og hafa þar sömu réttindi og skyldur og eftirlitsyfirvöld aðildarríkja ESB í Evrópska persónuverndarráðinu, án þess þó að eiga rétt á því að neyta atkvæðisréttar og bjóða sig fram í formanns- og varaformannskjöri til ráðsins. EFTA-ríkin náðu þó fram þeirri aðlögun að Evrópska persónuverndarráðið skal skrá afstöðu eftirlitsyfirvalda EFTA-ríkjanna sérstaklega. Evrópska persónuverndarráðið tekur bindandi ákvarðanir gagnvart persónuverndarstofnun EFTA-ríkis innan EES, á sama hátt og gagnvart aðildarríki ESB.
Það er skoðun stjórnvalda að þessi kostur þjóni best heildarhagsmunum Íslands þegar tekið er tillit til allra hliða málsins. Ísland hefur talað fyrir því á vettvangi EES-samstarfsins að standa vörð um tveggja stoða kerfi EES-samningsins og beitt sér fyrir aðlögunum á þeim grunni í fyrri málum sem upp hafa komið. Hins vegar eru málin sem eru til meðferðar mismunandi og þarf að finna niðurstöðu sem við á hverju sinni og ekki er unnt að finna eina útfærslu sem á við um öll tilvik. Eftir vandlega athugun töldu stjórnvöld útfærsluna um fulla aðkomu Evrópska persónuverndarráðsins heppilegri í þessu tilfelli. Allir aðrir aðilar í EES-samstarfinu, þ.e. Noregur, Liechtenstein og Evrópusambandið, vildu haga aðlögun með þessum hætti.
Persónuverndarstofnanir EFTA-ríkjanna hafa með þessari leið fulla aðkomu að störfum Evrópska persónuverndarráðsins og umræðum á þeim vettvangi, þótt þau muni ekki hafa formlegan atkvæðisrétt þar. Geta því EFTA-ríkin komið á framfæri afstöðu sinni til mála á fyrri stigum afgreiðslu þeirra og er það í raun grundvöllur þess að geta tekið þátt í samvinnu á grundvelli Evrópulöggjafar í persónuverndarmálum. Þá munu EFTA-ríkin geta tekið þátt í kerfinu um afgreiðslu á einum stað (e. one-stop shop mechanism) og samræmingarkerfinu (e. consistency mechanism) á jafnréttisgrundvelli við aðildarríki Evrópusambandsins. Með þátttöku í framangreindu kerfi er gert ráð fyrir að persónuverndarstofnanir í EFTA-ríkjunum hafi fulla aðkomu að undirbúningi, rannsókn og meðferð einstakra mála sem varða vinnslu persónuupplýsinga yfir landamæri.
Að mati stjórnvalda er ókostur aðlögunar með þessum hætti fyrst og fremst sá að hún er ekki að fullu í samræmi við tveggja stoða kerfi EES-samningsins, sem byggist á því að EES-samningurinn sé samningur milli tveggja sjálfstæðra og jafn rétthárra stoða, EFTA-stoðarinnar og ESB-stoðarinnar. Þó er rétt að hafa í huga að EES-samningurinn sjálfur er því ekki til fyrirstöðu að vikið sé frá tveggja stoða kerfinu í einstökum málum.
Þar sem sérstaða þessa máls er mikil telja ráðuneytin sem að málinu koma fordæmisgildi þess ekki mikið vegna framtíðarúrlausnarmála sem kunna að varða tveggja stoða kerfi EES-samningsins. Fordæmi eru fyrir ,,einnar stoðar aðlögunum“ varðandi upptöku gerða í EES-samninginn. Er þar einkum um að ræða gerðir þar sem mælt er fyrir um markaðsleyfi/aðgang að markaði fyrir tilteknar vörur og staðfestingu eða vottun á vörum fyrir það. Þá skal einnig vísað til sameiginlegrar yfirlýsingar samningsaðila við ákvörðun sameiginlegu EES-nefndarinnar. Í henni kemur fram að samningsaðilarnir, með tveggja stoða kerfi EES-samningsins í huga og með tilliti til beinna og bindandi áhrifa ákvarðana Evrópska persónuverndarráðsins fyrir innlend eftirlitsyfirvöld í EES-ríkjunum innan EES, taki mið af þeirri staðreynd að ákvörðunum Evrópska persónuverndarráðsins er beint að innlendum eftirlitsyfirvöldum, og viðurkenna að þessi lausn hafi ekki fordæmisgildi fyrir aðlögun gerða ESB sem verða felldar inn í EES-samninginn í framtíðinni.
6.4. Aðrar aðgerðir til mótvægis við aðlögun – sameiginleg yfirlýsing samningsaðila o.fl.
Ísland beitti sér fyrir því í samningaviðræðum við hin EFTA-ríkin innan EES og Evrópusambandið að hagsmunir EFTA-ríkjanna í málinu yrðu einnig tryggðir með eftirfarandi hætti:
1. Að afstaða persónuverndarstofnana EFTA-ríkjanna yrði skráð sérstaklega þegar greidd verða atkvæði um ákvarðanir á vettvangi Evrópska persónuverndarráðsins (þrátt fyrir að persónuverndarstofnanir EFTA-ríkjanna hefðu ekki formlegan atkvæðisrétt).
2. Samningsaðilar leggi fram sameiginlega yfirlýsingu með ákvörðun sameiginlegu EES-nefndarinnar, þar sem dregin er fram sérstaða þessa máls og tilgreint að ekki verði litið á þessa aðlögun sem fordæmi fyrir framtíðarmál sem upp gætu komið við upptöku gerða í EES-samninginn.
3. Þá er sameiginlega EES-nefndin vettvangur til að taka upp mál sem valda erfiðleikum í EES-samstarfinu, sbr. 2. mgr. 92. gr. EES-samningsins. Því geta EFTA-ríkin tekið upp mál í sameiginlegu EES-nefndinni telji þau vera hnökra á aðkomu persónuverndarstofnana þeirra í hinu Evrópska persónuverndarráði, er þurfa þykir þegar reynsla verður komin á það.
7. Stjórnskipuleg álitaefni vegna valdheimilda Evrópska persónuverndarráðsins.
Stefán Már Stefánsson, prófessor við lagadeild Háskóla Íslands, var íslenskum stjórnvöldum til ráðgjafar í málinu. Er það einkum vegna stjórnskipulegra álitaefna sem lúta að þátttöku EFTA-ríkjanna í samræmingarkerfi persónuverndarstofnana samkvæmt reglugerðinni og afgreiðslu mála á einum stað, í þeim tilvikum þegar vinnsla persónuupplýsinga nær yfir landamæri. Einnig varðandi aðlögun valdheimilda Evrópska persónuverndarráðsins að EFTA-stoðinni, þannig að ákvarðanir ráðsins hefðu einnig gildi gagnvart EFTA-ríkjunum. Þá var Ólafur Jóhannes Einarsson, lögmaður og fyrrverandi framkvæmdastjóri hjá Eftirlitsstofnun EFTA, einnig til ráðgjafar um afmarkaða þætti varðandi aðlögunina.
Fyrir EFTA-ríkin einfaldar það nokkuð úrlausn málsins að ákvarðanir Evrópska persónuverndarráðsins beinast að ríkjunum en ekki að einstaklingum eða lögaðilum í ríkjunum. Hér eftir sem hingað til munu persónuverndarstofnanir (landsbundin eftirlitsstjórnvöld) í ríkjunum taka ákvarðanir sem beinast gegn einstaklingum og lögaðilum, þótt vera kunni að ákvarðanir verði í grunninn byggðar á ákvörðun eða áliti frá Evrópska persónuverndarráðinu.
Að mati Stefáns Más Stefánssonar prófessors standast allir fjórir kostirnir, sem upphaflega voru til skoðunar, stjórnarskrá Íslands þar sem ekki er gengið lengra í framsali valdheimilda en hún heimilar. Stefán Már telur kostina hins vegar vera misálitlega út frá því sjónarmiði að viðhalda tveggja stoða kerfi EES-samningsins. Að öðru leyti vísast til álits Stefáns Más Stefánssonar, sem fylgir tillögu þessari í fylgiskjali IV.
8. Um mikilvægi þess að Ísland sé hluti af persónuverndarregluverki ESB.
8.1. Almennt.
Persónuupplýsingar hafa verið í frjálsu flæði milli EFTA-ríkjanna innan EES og Evrópusambandsins allt frá árinu 2000 á grundvelli tilskipunar ESB um persónuvernd og frjálst flæði persónuupplýsinga frá árinu 1995. Vinnsla persónuupplýsinga yfir landamæri milli Íslands og ESB fer fram á hverjum degi í miklu magni, t.d. hjá íslenskum fyrirtækjum með starfsemi í Evrópu (t.d. flugfélögum, netverslunum o.fl.) og hjá erlendum fyrirtækjum með starfsemi á Íslandi (t.d. í viðskiptum á netinu, samfélagsmiðlum, o.fl.). Brýnt þykir að taka almennu persónuverndarreglugerðina sem fyrst upp í EES-samninginn svo flutningur persónuupplýsinga milli Íslands og ESB gangi áfram hnökralaust.
Upptaka almennu persónuverndarreglugerðarinnar er mikilvæg fyrir íslenskt samfélag í heild sinni og tryggir frjálst flæði persónuupplýsinga milli fyrirtækja og stofnana innan EES. Þegar reglugerðin kemur til framkvæmda mun Evrópska persónuverndarráðið leysa svokallaðan 29. gr. vinnuhóp af hólmi en Persónuvernd tekur virkan þátt í starfi hópsins. Í hópnum eru m.a. veittar mikilvægar upplýsingar um alþjóðlega öryggisbresti, sem verða sífellt algengari, og hafa í vissum tilvikum áhrif á íslenska ríkisborgara. Þátttaka Persónuverndar í starfi hópsins snýr m.a. að því að auka réttarvernd íslenskra ríkisborgara og þátttöku í sameiginlegu eftirliti með fyrirtækjum sem viðhafa vinnslu yfir landamæri.
Persónuverndarlöggjöf ESB þykir vera til hagsbóta fyrir réttindi borgaranna, tengist friðhelgi einkalífsins órjúfanlegum böndum og þykir nauðsynlegur fylgifiskur aukinnar tölvu- og tæknivæðingar alls samfélagsins. Þá hefur reynslan sýnt nauðsyn þess að persónuverndarlöggjöfin og kerfið allt sé meira samræmt og samhæft innan Evrópska efnahagssvæðisins til að geta betur átt við stór alþjóðleg fyrirtæki.
8.2. Um mikilvægi persónuverndar og hagsmunir einstaklinga af aukinni réttarvernd.
Hafa þarf í huga að persónuvernd er lykilatriði í nútímaþjóðfélagi. Einnig er mikilvægt að tryggja að íslensk fyrirtæki eigi sömu möguleika á því að vinna með og miðla persónuupplýsingum og önnur fyrirtæki á Evrópska efnahagssvæðinu. Þá er ekki síður mikilvægt að tryggja að Íslendingum sé búin sama réttarvernd á þessu sviði og borgurum aðildarríkja Evrópusambandsins. Ákvæði almennu persónuverndarreglugerðarinnar eru nauðsynlegur þáttur í því að vernda friðhelgi einkalífsins og eins er mjög æskilegt að tryggja Íslendingum sömu möguleika til að leita réttar síns telji þeir að á þeim sé brotið.
Framangreind sjónarmið skipta einnig máli við úrlausn þessa máls. Með útfærslunni um fulla aðkomu Evrópska persónuverndarráðsins er tryggt að EFTA-ríkin geti tekið fullan þátt í því starfi sem fer fram á vettvangi Evrópska persónuverndarráðsins, sem er til mikilla hagsbóta fyrir bæði einstaklinga og lögaðila í ríkjunum. Verði sú ekki raunin getur það haft neikvæð áhrif á möguleika einstaklinga til að leita réttar síns og eins nytu lögaðilar ekki þess hagræðis að tryggt sé að mál sem beinast gegn þeim séu einungis afgreidd af einni persónuverndarstofnun.
Þá vegur einnig þungt að ákvarðanir Evrópska persónuverndarráðsins beinast að landsbundnum stjórnvöldum en ekki einstaklingum með beinum hætti. Þá eru aðeins teknar ákvarðanir í tilteknum málum þegar ágreiningsmálum hefur verið vísað þangað af persónuverndarstofnunum innan EES. Þannig má nefna sem dæmi að Persónuvernd á Íslandi mun ein taka ákvörðun í málum sem varða vinnslu persónuupplýsinga sem fer ekki yfir landamæri Íslands og vinnslan lýtur að einstaklingum sem staðsettir eru hér á landi. Slíkum ákvörðunum verður ekki skotið til Evrópska persónuverndarráðsins.
Hins vegar mun Persónuvernd geta tekið þátt í sameiginlegu eftirliti evrópskra persónuverndarstofnana með alþjóðlegum fyrirtækjum sem vinna þvert á landamæri. Í núgildandi löggjöf er ekki gert ráð fyrir slíku samstarfi. Því hefur hingað til þurft að vísa öllum málum sem varða stórfyrirtæki til þess lands þar sem það er með höfuðstöðvar sínar, án nokkurrar aðkomu Persónuverndar.
Ljóst er að hið nýja fyrirkomulag mun auka til muna réttarvernd íslenskra ríkisborgara, þar sem þeir munu nú geta leitað beint til Persónuverndar, til að mynda vegna kvartana yfir vinnslu upplýsinga hjá þeim fyrirtækjum.
9. Áhrif hér á landi.
9.1. Fyrirhugaðar lagabreytingar.
Upptaka almennu persónuverndarreglugerðarinnar í EES-samninginn kallar á lagabreytingar hér á landi. Þótt flest kjarnaatriði tilskipunar ESB frá 1995, t.d. meginreglur um vinnslu persónuupplýsinga, réttindi hins skráða og skyldur ábyrgðaraðila, standi áfram óbreytt í reglugerðinni eru þar ráðgerðar ýmsar grundvallarbreytingar og viðbætur við gildandi reglur. Einnig er ljóst að þar sem hinar nýju reglur eru settar með reglugerð Evrópusambandsins, en ekki tilskipun, verður sú krafa leidd af 7. gr. EES-samningsins að taka skal reglugerðina sem slíka upp í landsrétt, en íslensk stjórnvöld hafa ekki val um form eða aðferð við innleiðingu slíkra gerða, svo sem með umritun. Engu síður er ráðgert í reglugerðinni að í allmörgum atriðum geti aðildarríki útfært einstök ákvæði og hafi svigrúm til að setja efnisreglur eða víkja frá ákvæðum reglugerðarinnar. Í ljósi umfangs þeirra breytinga og sérreglna sem setja þarf á grundvelli reglugerðarinnar verður farin sú leið hér að semja frumvarp til nýrra heildarlaga um persónuvernd og vinnslu persónuupplýsinga sem leysi af hólmi lög nr. 77/2000. Samhliða því er stefnt að því að lögfesta í heild sinni ákvæði reglugerðarinnar eins og hún verður tekin upp í EES-samninginn.
9.2. Mat á áhrifum.
Hinar nýju reglur um persónuvernd munu ótvírætt hafa áhrif á samfélagið allt en ekki eingöngu sérhæfð svið í atvinnulífinu svo dæmi sé tekið. Þær stuðla að hugarfarsbreytingu hvað varðar meðferð persónuupplýsinga, umgengni um slíkar upplýsingar og þýðingu þeirra. Þá verða allir, bæði stjórnvöld og fyrirtæki stór og smá, að tileinka sér hinar nýju reglur og vinna eftir þeim til framtíðar. Áhrif af upptöku persónuverndarreglugerðarinnar í EES-samninginn munu því verða víðtæk og snerta nær öll svið samfélagsins, þar á meðal meira eða minna alla atvinnustarfsemi, heilbrigðiskerfið og menntakerfið, svo og öll opinber stjórnvöld, svo nefnd séu nokkur dæmi.
Persónuvernd er sú stofnun í stjórnsýslunni sem hið nýja regluverk mun eðli máls samkvæmt hafa mest áhrif á, enda eru henni færð bæði umfangsmikil og ný verkefni og valdheimildir við innleiðingu reglugerðarinnar. Þátttaka Persónuverndar í Evrópska persónuverndarráðinu mun auka mjög þunga í alþjóðlegu samstarfi á vegum stofnunarinnar en það kallar á meiri mannafla en nú er til staðar. Til að mynda er fyrirhugað að fundir ráðsins verði haldnir mánaðarlega í stað fimm til sex funda á ári, eins og nú er í 29. gr. starfshópnum. Auk þess munu fulltrúar Persónuverndar hafa þátttökurétt í starfi hvers kyns undirhópa sem ráðið kann að setja á laggirnar, sækja fundi þeirra og fá allar upplýsingar sem nauðsynlegar eru svo þátttaka stofnunarinnar sé skilvirk, þ.m.t. fullan aðgang að hvers kyns kerfum sem persónuverndarráðið kann að setja upp.
Í reglugerðinni er að finna ákvæði um valdheimildir Evrópska persónuverndarráðsins sem tekur bindandi ákvarðanir gagnvart Persónuvernd í ákveðnum málum skv. 65. gr. reglugerðarinnar. Þetta á að meginstefnu við í tengslum við framkvæmd á samræmingarkerfi reglugerðarinnar og lúta þessar heimildir einkum að samskiptum persónuverndarstofnana í fleiri en einu aðildarríki. Hafa verður í huga að þessar valdheimildir eru á þröngu sviði og ekki mjög líklegt að oft muni reyna á þær gagnvart Persónuvernd á Íslandi. Fyrst og fremst mun persónuverndarráðið veita Persónuvernd, líkt og öðrum persónuverndarstofnunum í ríkjum Evrópu, ráðgjöf og semja viðmiðunarreglur og tilmæli um framkvæmd reglugerðarinnar, auk þess að vera vettvangur samvinnu stofnananna. Sýnileg áhrif persónuverndarráðsins hér á landi í tengslum við framkvæmd reglugerðarinnar verða því tæpast nokkur, enda verður áfram sú skipan að eftirlit með framkvæmd persónuverndarlaga verður á hendi Persónuverndar.
Kostnaðarmat vegna innleiðingar á almennu persónuverndarreglugerðinni er unnið í tengslum við frumvarp til nýrra persónuverndarlaga.
Fylgiskjal I.
Ákvörðun sameiginlegu EES-nefndarinnar nr. [ ] frá [ ] um breytingu á XI. viðauka (Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið) og bókun 37 (sem inniheldur skrána sem kveðið er á um í 101. gr.) við EES-samninginn.
www.althingi.is/altext/pdf/148/fylgiskjol/s0992-f_I.pdf
Fylgiskjal II.
Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin).
www.althingi.is/altext/pdf/148/fylgiskjol/s0992-f_II.pdf
Fylgiskjal III.
Bréf til utanríkisráðherra frá utanríkismálanefnd Alþingis, dags. 1. mars 2018, um lok 2. gr. ferlis og álit allsherjar- og menntamálanefndar Alþingis og stjórnskipunar- og eftirlitsnefndar Alþingis.
www.althingi.is/altext/pdf/148/fylgiskjol/s0992-f_III.pdf
Fylgiskjal IV.
Álit Stefáns Más Stefánssonar, prófessors við lagadeild Háskóla Íslands: Reglugerð um persónuvernd – Hugmyndir um aðferð við upptöku gerðar, dags. 14. desember 2017.
www.althingi.is/altext/pdf/148/fylgiskjol/s0992-f_IV.pdf
