persónuvernd og vinnsla persónuupplýsinga.
Virðulegi forseti. Ég mæli hér fyrir frumvarpi til laga um persónuvernd og vinnslu persónuupplýsinga, 622. máli á þskj. 1029. Um er að ræða ný heildarlög á sviði persónuverndar sem munu leysa af hólmi lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Gildandi lög voru sett til innleiðingar á tilskipun Evrópusambandsins frá árinu 1999 en sú tilskipun hefur nú verið leyst af hólmi í Evrópusambandinu með reglugerð Evrópuþingsins og ráðsins nr. 2016/679, frá 27. apríl 2016, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin) eins og þessi nýja reglugerð heitir fullu nafni.
Með frumvarpi þessu er lagt til að almenna persónuverndarreglugerðin, sem ég nefndi hér áður, verði innleidd í íslensk lög. Almenna persónuverndarreglugerðin felur í sér umfangsmestu breytingar sem gerðar hafa verið á persónuverndarlöggjöf Evrópusambandsins í um 20 ár. Tillögur að reglugerðinni voru settar fram árið 2012 og samþykktar á vettvangi ESB í apríl 2016. Reglugerðin kom hins vegar ekki til framkvæmda í Evrópusambandinu fyrr en 25. maí sl. Ísland verður skuldbundið af þessari reglugerð í gegnum EES-samninginn en stefnt er að því að reglugerðin verði tekin upp í samninginn á fundi sameiginlegu EES-nefndarinnar í júlí nk., eins og komið verður inn á í öðru þingmáli sem fjallað verður um síðar í dag.
Í þessu ljósi mætti benda á — í ljósi umræðu sem varð um atkvæðagreiðslu um afbrigði í þessu máli, þar sem hv. þingmönnum þykir mörgum mál þetta of seint fram komið — að það er í raun afstaða mín að málið sé helst til of snemma fram komið ef við horfum til afgreiðslunnar og upptöku gerðarinnar inn í EES-samninginn. Þó ekki svo snemma að ekki sé hægt að afgreiða það eða þinginu sé eitthvað að vanbúnaði í þeim efnum.
Markmið frumvarpsins er annars vegar að stuðla að því að vinnsla persónuupplýsinga sé samræmd við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins. Hins vegar er það einnig markmið að lögfesta ákvæði almennu persónuverndarreglugerðarinnar eins og hún er tekin upp í EES-samninginn og setja ýmsar sérreglur til fyllingar og viðbótar reglugerðinni eins og heimilt er samkvæmt nokkrum ákvæðum þessarar reglugerðar. Það er yfirleitt ekki hægt. Þegar um er að ræða reglugerðir Evrópusambandsins, sem Ísland þarf að innleiða vegna EES-samningsins, er yfirleitt ekki nokkurt svigrúm til að víkja frá ákvæðum reglugerðarinnar. Í þessu tilviki er örlítið svigrúm.
Eins og ég nefndi áðan leiðir það af EES-samstarfinu að taka ber reglugerðina upp í EES-samninginn en samkvæmt 7. gr. hans skal leiða texta reglugerðarinnar sem slíkan inn í landsrétt, eins og ég árétta þá núna, og reglugerðina verður því að lögfesta í heild sinni. Venjulega er ekki sama svigrúm til staðar og þegar núgildandi lög um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000, innleiddu efni tilskipunar ESB frá árinu 1995.
Dæmi um svigrúmsákvæði í frumvarpinu, svo að ég nefni eitthvað, er að ríkin geta sjálf sett sér reglur um notkun kennitölu. Annað dæmi lýtur að gildissviði gagnvart látnum einstaklingum. Þar geta ríkin ákveðið hvernig því verði háttað. Að öðru leyti kemur skýrt fram í frumvarpinu hvar og hvernig lagt er til að svigrúmið verði nýtt hér á landi.
Virðulegur forseti. Frumvarp þetta er afrakstur mikillar vinnu sem hefur farið fram undanfarna mánuði og misseri við undirbúning á innleiðingu reglugerðarinnar. Aðalhöfundur þess frumvarps sem ég mæli hér fyrir er Björg Thorarensen lagaprófessor en henni til aðstoðar var starfshópur með fulltrúum dómsmálaráðuneytisins, Persónuverndar og rekstrarfélags Stjórnarráðsins. Það var mat starfshópsins, við ákvörðun um framsetningu frumvarpsins, að ný persónuverndarlög yrðu bæði óaðgengileg og torskilin almenningi ef þau geymdu aðeins sérreglur og undantekningar frá reglugerðinni. Til þess að gefa nýrri persónuverndarlöggjöf ákveðið heildaryfirbragð er því sú leið farin að auk sérreglna, undantekninga og viðbóta, sem heimilt er að gera, eru sett inn í frumvarpið helstu hugtök og efni nokkurra kjarnaákvæða reglugerðarinnar.
Í athugasemdum við hvert og eitt frumvarpsákvæði er þannig að finna skýringar sem eiga við um meginákvæði reglugerðarinnar, t.d. hvort um nýmæli sé að ræða; skýringar sem finna má í formálsorðum reglugerðarinnar og fleira. Leitast er við að fylgja orðalagi ákvæða reglugerðarinnar svo að ekki komi upp misræmi og vísa jafnframt til frekari reglna um efnið í ákvæðum reglugerðarinnar. Frumvarpið þjónar þannig bæði þeim tilgangi að lögfesta reglugerðina í heild sinni en einnig að setja heildarlög um efnið sem birtir meginákvæði og verði henni til fyllingar og viðbótar. Það er mikilvægt að allar reglur um efnið og skýringar á meginefni þeirra verði aðgengilegar á einum stað og reglugerðin verði birt sem fylgiskjal með frumvarpinu.
Ég tel að mikið hagræði sé af þessari framsetningu fyrir alla þá sem þurfa að vinna með ákvæði evrópsku reglugerðarinnar og ekki síður fyrir þá einstaklinga sem eiga með þessum hætti, að mínu mati, betri kost á að halda til haga réttindum sínum í persónuverndarmálum.
Virðulegur forseti. Þótt flest kjarnaatriði tilskipunar ESB frá árinu 1995, t.d. meginreglur um vinnslu persónuupplýsinga, réttindi hins skráða og skyldur ábyrgðaraðila, standi áfram óbreytt í reglugerðinni eru ráðgerðar ýmsar grundvallarbreytingar og viðbætur við gildandi reglur. Það endurspeglast í frumvarpinu. Meðal breytinga má nefna nokkur dæmi sem ég ætla að fá að reifa hér. Fyrst má nefna nýmæli um landfræðilegt gildissvið reglugerðarinnar en hún mun gilda um vinnslu allra fyrirtækja sem vinna með persónuupplýsingar skráðra einstaklinga á Evrópska efnahagssvæðinu. Þannig nær hún til allra fyrirtækja sem bjóða vöru og þjónustu til einstaklinga á hinum innri markaði án tillits til þess hvort vinnslan fer fram innan svæðisins eða ekki. Þá verða nýjar skyldur lagðar á þá sem vinna með persónuupplýsingar og eru skilgreindir sem ábyrgðaraðilar og vinnsluaðilar. Þar má nefna ráðstafanir til að tryggja öryggi við vinnslu persónuupplýsinga, ráðstafanir til að sýna fram á að farið sé eftir reglunum, svokallaða ábyrgðarskyldu, skyldu til að halda skrá yfir vinnslustarfsemi, strangar reglur um tilkynningarskyldu vegna öryggisbrests sem geta haft í för með sér tjón fyrir einstaklinga og tilnefningu á persónuverndarfulltrúa, svo að dæmi séu nefnd.
Með frumvarpinu er réttur einstaklinga styrktur. Þeim er veitt ríkari vernd, hvað varðar persónuupplýsingar um þá, og aukin stjórn yfir því hvernig farið er með þær. Skilyrði fyrir samþykki einstaklinga fyrir vinnslu upplýsinga eru gerð strangari og fyrirtækjum er skylt að gera skilmála fyrir samþykkinu gagnsærri og aðgengilegri og hafa þá á skiljanlegu máli. Einstaklingar eiga rétt til aðgangs að persónuupplýsingum um sjálfa sig og fá þær afhentar á aðgengilegu formi og til að láta flytja þær til annars ábyrgðaraðila. Þá má einnig nefna réttinn til að gleymast, að tilteknum skilyrðum uppfylltum.
Persónuverndarstofnanir verða efldar verulega og sjálfstæði þeirra tryggt og eru valdheimildir og eftirlitsúrræði stóraukin. Má sem dæmi nefna að þær munu geta lagt á háar stjórnvaldssektir vegna brota á lögunum, allt að 2,2 milljarða fyrir alvarlegustu brot eða 4% af heildarveltu fyrirtækis, hvort heldur er hærra. Þá mun samstarf evrópskra persónuverndarstofnana aukast mjög og komið er á kerfi um afgreiðslu á einum stað, þ.e. einstaklingar sem telja á sér brotið geta leitað til einnar persónuverndarstofnunar á svæðinu, þótt um sé að ræða miðlun upplýsinga á milli landa.
Evrópskt persónuverndarráð er sett á fót sem tekur við hlutverki svonefnds 29. gr. vinnuhóps sem hefur verið starfandi til þessa. Það er vinnuhópur á vettvangi Evrópusambandsins og EFTA-ríkjanna þar sem rætt hefur verið um túlkun á þeirri tilskipun sem verið hefur í gildi. Þessi hópur hefur einnig haft samræmingarhlutverki að gegna en hefur verið algerlega án valdheimilda. Hópurinn hefur gefið út leiðbeiningar og álit, verið allsherjarsamráðsvettvangur. Nú leggst þessi vinnuhópur af og við tekur evrópskt persónuverndarráð.
Í þessu ráði munu sitja fulltrúar frá eftirlitsstofnunum hvers aðildarríkis og fulltrúi Evrópsku persónuverndarstofnunarinnar. Persónuverndarráðinu er ætlað að tryggja samræmi í beitingu reglugerðarinnar. Því er m.a. ætlað að gefa út viðmiðunarreglur, álit og tilmæli í tengslum við framkvæmd reglugerðarinnar. Þá getur ráðið skorið úr deilumálum sem kunna að rísa á milli eftirlitsstjórnvalda í aðildarríkjunum með bindandi niðurstöðu fyrir eftitlitsstjórnvaldið.
Ég árétta að þetta getur verið bindandi og íþyngjandi niðurstaða fyrir eftirlitsstjórnvaldið en ekki fyrir einstaklinga eða lögaðila í þessum ríkjum.
Virðulegi forseti. Ég hef þá gert grein fyrir markmiðum frumvarpsins, efnistökum, vali á innleiðingarleið og helstu breytingum sem felast í nýrri persónuverndarlöggjöf. Það er ljóst að ný persónuverndarlöggjöf mun fela í sér mikla réttarbót fyrir einstaklinga og vernd réttar þeirra til friðhelgi einkalífs, sem varinn er af stjórnarskrá. Sérstaða þessa máls er mikil fyrir ýmsar sakir. Meðal annars þær að málið varðar samfélagið í heild sinni, einstaklinga, fyrirtæki, stofnanir og alla þá sem vinna með persónuupplýsingar um einstaklinga. Því er vandfundin sú löggjöf sem hefur jafn víðtækt gildissvið og sú sem hér um ræðir.
Þetta mál hefur verið í undirbúningi og til umræðu síðustu misserin. Þegar persónuverndarreglugerð ESB var samþykkt á vettvangi Evrópusambandsins, í apríl árið 2016, lá fyrir að tveggja ára aðlögunartími yrði fyrir alla aðila til undirbúnings á kröfum og breytingum nýs regluverks þar sem reglugerðin átti að koma til framkvæmda í Evrópu 25. maí 2018. Þrátt fyrir að einnig hafi legið fyrir að reglugerðin myndi ekki skuldbinda Ísland fyrr en gerðin hefði verið tekin upp í EES-samninginn fór þegar af stað undirbúningur fyrir nýtt regluverk hjá ráðuneytinu, þá innanríkisráðuneytinu — og svo dómsmálaráðuneytinu og Persónuvernd og reyndar einnig í utanríkisráðuneytinu. Stjórnvöld hafa hvatt til tímanlegs undirbúnings fyrir nýtt regluverk. Persónuvernd hefur staðið fyrir umfangsmiklu kynningarstarfi á efnum og áhrifum reglugerðarinnar. Stofnunin hefur t.d. staðið fyrir fjölmörgum fundum og ráðstefnum faghópa, fyrirtækja og stofnana, m.a. á sviði heilbrigðis- og menntamála, þar sem fjallað hefur verið um helstu breytingar og nauðsynlegan undirbúning vegna gildistöku reglugerðarinnar. Dómsmálaráðuneytið hefur jafnframt tekið þátt í eða haft aðkomu að kynningu á efni nýrra reglna, m.a. á opinberum viðburðum, þó að faglegt kynningarstarf hafi einna helst verið á hendi Persónuverndar. Að auki hefur Persónuvernd gefið út og birt á vefsíðu sinni margvíslegt fræðiefni, svo sem leiðbeiningar um framkvæmd tiltekinna ákvæða í reglugerðinni, um persónuverndarfulltrúa, öryggisbrest, samþykki fyrir vinnslu persónuupplýsinga, svo og um skyldur ábyrgðaraðila og vinnsluaðila samkvæmt hinu nýja regluverki.
Virðulegi forseti. Nú er svo komið að reglugerðin er við það að vera tekin upp í EES-samninginn. Eins og fram hefur komið hefur hún þegar komið til framkvæmda í Evrópu. Það eru því miklir hagsmunir af því að ljúka afgreiðslu þessa máls eins skjótt og mögulegt er til að tryggja öfluga vernd borgaranna til friðhelgi einkalífs og ekki síst til að tryggja að samræmdar reglur gildi á Íslandi og í Evrópusambandinu þannig að við getum forðað því að óþarfa hnökrar verði á flæði persónuupplýsinga milli Íslands og annarra EES-ríkja.
Ég vil að lokum nefna að í umræðum í þingsal hafa verið uppi ásakanir um slæleg vinnubrögð af hálfu ráðuneyta í þessum efnum og að þetta mál sé of seint fram komið. Eins og ég nefndi í upphafi kann það hins vegar að vera gilt sjónarhorn á málið, sem mætti halda til haga, að málið sé kannski of snemma fram komið. Það er nú venjulega þannig að þegar Ísland innleiðir gerðir Evrópusambandsins í EES-samninginn — eins og hann kveður á um að við þurfum að gera og við erum skuldbundin til að gera — fer upptakan fyrst fram og síðan kemur að innleiðingunni. Þannig er þingið vant að vinna og þannig hefði ég sannarlega viljað hafa það að þessu sinni. Þessi reglugerð er hins vegar sérstök um margt, en þó einkum um það að með henni er kveðið á um að fyrirtæki og stofnanir í Evrópusambandinu séu brotleg við reglugerðina ef þau miðla persónuupplýsingum til landa og ríkja sem hafa annaðhvort ekki tekið upp þessa reglugerð eða ekki hlotið sérstaka vottun frá Evrópusambandinu um nægilega persónuvernd.
Hér er um það að ræða að það er fræðilegur möguleiki að hnökrar gætu orðið á miðlun persónuupplýsinga frá Íslandi til Evrópuríkja rétt eins og hnökrar geta orðið á miðlun persónuupplýsinga frá Evrópusambandsríkjum til þeirra landa sem ekki hafa fengið vottun Evrópusambandsins og þá erum við að tala um þriðju ríki. Það á eftir að koma í ljós. Ég hef ekki áhyggjur af því næstu misserin að persónuverndarstjórnvöld séu vandamál í þessu en ég skil hins vegar vel áhyggjur atvinnulífsins í Evrópu. Þetta er ekki minna til umfjöllunar í Evrópu en hér. Ég skil vel áhyggjur atvinnulífsins af því að geta ekki uppfyllt þessa reglugerð ef þau eru í viðskiptum við lönd sem eru utan við Evrópusambandið. Það má vissulega finna að ferlinu hjá Evrópusambandinu, hvernig þetta hefur verið unnið af þess hálfu. Ekki er tekið nógu mikið tillit til EFTA-ríkjanna í þessum efnum heldur hreinlega gert ráð fyrir að þau taki gerðina upp í EES-samninginn með þessum hætti, með svo skömmum fyrirvara, og, eins og staðan er í dag, eftir að reglugerðin kemst til framkvæmda í Evrópusambandinu. Það liggur fyrir að málið hefur strandað hjá Evrópusambandinu og bíður þess að verða tekið fyrir á fundi sameiginlegu EES-nefndarinnar í júlí. En við væntum þess að málið verði afgreitt þar.
Ég tek undir þau sjónarmið hv. alþingismanna að í þessum efnum, eins og öllum öðrum, á Alþingi að hafa lokaorðið; m.a. um efni allra reglna sem hér eru settar. Við búum hins vegar við það að við höfum skuldbundið okkur með EES-samningnum og okkur er þröngur stakkur sniðinn í þeim efnum, sérstaklega í þessu mikla máli, þótt, eins og ég hef nefnt í þessari framsögu, nokkur atriði komi til greina að útfæra nánar.
Virðulegur forseti. Ég legg til að frumvarpinu verði að lokinni þessari umræðu vísað til hv. allsherjar- og menntamálanefndar og 2. umr.
