Lagasafn.  Íslensk lög 1. janúar 2015.  Útgáfa 144a.  Prenta í tveimur dálkum.


Lög um persónuvernd og meðferð persónuupplýsinga

2000 nr. 77 23. maí


Ferill málsins á Alþingi.   Frumvarp til laga.

Tóku gildi 1. janúar 2001. EES-samningurinn: XI. viðauki tilskipun 95/46/EB, XIX. viðauki tilskipun 97/7/EB og XI. viðauki tilskipun 97/66/EB. Breytt með l. 90/2001 (tóku gildi 15. júní 2001; EES-samningurinn: XI. viðauki tilskipun 95/46/EB), l. 30/2002 (tóku gildi 16. apríl 2002), l. 81/2002 (tóku gildi 17. maí 2002; EES-samningurinn: XI. viðauki tilskipun 95/46/EB), l. 46/2003 (tóku gildi 7. apríl 2003) l. 72/2003 (tóku gildi 10. apríl 2003), l. 50/2006 (tóku gildi 1. júlí 2006), l. 77/2010 (tóku gildi 1. júlí 2010), l. 162/2010 (tóku gildi 1. jan. 2011), l. 126/2011 (tóku gildi 30. sept. 2011), l. 44/2014 (tóku gildi 1. jan. 2015 nema brbákv. I sem tók gildi 29. maí 2014) og l. 77/2014 (tóku gildi 12. júní 2014).

Ef í lögum þessum er getið um ráðherra eða ráðuneyti án þess að málefnasvið sé tilgreint sérstaklega eða til þess vísað, er átt við innanríkisráðherra eða innanríkisráðuneyti sem fer með lög þessi. Upplýsingar um málefnasvið ráðuneyta skv. forsetaúrskurði er að finna hér.

I. kafli. Markmið, skilgreiningar og gildissvið.
1. gr. Markmið.
Markmið laga þessara er að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins.
Sérstök stofnun, Persónuvernd, annast eftirlit með framkvæmd laga þessara og reglna sem settar verða samkvæmt þeim, sbr. nánar ákvæði 36. gr.
2. gr. Skilgreiningar.
Merking orða og hugtaka í lögum þessum er sem hér segir:
   1. Persónuupplýsingar: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.
   2. Vinnsla: Sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn.
   3. Skrá: Sérhvert skipulagsbundið safn persónuupplýsinga þar sem finna má upplýsingar um einstaka menn.
   4. Ábyrgðaraðili: Sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.
   5. Vinnsluaðili: Sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.
   6. [Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði. Hugtakið tekur til:
   a. vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga, og
   b. sjónvarpsvöktunar sem fer fram með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.]1)
   7. Samþykki: Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.
   8. Viðkvæmar persónuupplýsingar:
   a. Upplýsingar um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir.
   b. Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað.
   c. Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun.
   d. Upplýsingar um kynlíf manna og kynhegðan.
   e. Upplýsingar um stéttarfélagsaðild.
   9. Sértæk ákvörðun: Ákvörðun sem afmarkar rétt og/eða skyldur eins eða fleiri tilgreindra einstaklinga.
   1)L. 46/2003, 1. gr.
3. gr. Efnislegt gildissvið.
Lögin gilda um sérhverja rafræna vinnslu persónuupplýsinga. Lögin gilda einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá.
Ákvæði 16., 18.–21., 24., 26., 31. og 32. gr. laganna gilda ekki um vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu. Lögin gilda ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða eru einvörðungu ætlaðar til persónulegra nota.
4. gr. [Rafræn vöktun.
Rafræn vöktun er ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis þar sem takmarkaður hópur fólks fer um að jafnaði er jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram.
Vinnsla persónuupplýsinga sem á sér stað í tengslum við rafræna vöktun skal uppfylla ákvæði laga þessara.
Um sjónvarpsvöktun fer, auk ákvæðis 1. mgr., samkvæmt ákvæðum 7., 24., 40. og 41. gr. laganna, svo og eftir því sem við á ákvæðum 31., 32. og 38. gr. laganna.]1)
   1)L. 46/2003, 2. gr.
5. gr. Tengsl við tjáningarfrelsi.
Að því marki sem það er nauðsynlegt til að samræma sjónarmið um rétt til einkalífs annars vegar og tjáningarfrelsis hins vegar má víkja frá ákvæðum laganna í þágu fjölmiðlunar, lista eða bókmennta. Þegar persónuupplýsingar eru einvörðungu unnar í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi gilda aðeins ákvæði 4. gr., 1. og 4. tölul. 7. gr., 11.–13. gr. og 24., 28., 42. og 43. gr. laganna.
6. gr. Landfræðilegt gildissvið.
[Lögin gilda um vinnslu persónuupplýsinga á vegum ábyrgðaraðila sem hefur staðfestu hér á landi, enda fari vinnsla persónuupplýsinganna fram á Evrópska efnahagssvæðinu, [í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu]1) eða í landi eða á stöðum sem Persónuvernd auglýsir í Stjórnartíðindum.2)
[Lögin gilda einnig um vinnslu persónuupplýsinga þótt ábyrgðaraðili hafi hvorki staðfestu í ríki á Evrópska efnahagssvæðinu né í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu ef hann notar tæki og búnað sem er hér á landi.]1)
Lögin gilda einnig um vinnslu upplýsinga um fjárhagsmálefni og lánstraust lögaðila, sbr. 45. gr. laganna, enda þótt ábyrgðaraðili hafi ekki staðfestu hér á landi, ef hann notar tæki og búnað sem er hér á landi.
Ákvæði 2. og 3. mgr. gilda ekki ef umræddur tækjabúnaður er einungis notaður til að flytja persónuupplýsingar um Ísland.
Þegar svo hagar til sem greinir í 2. og 3. mgr. skal ábyrgðaraðili tilnefna fulltrúa sinn sem hefur staðfestu hér á landi og gilda þá ákvæði laganna varðandi ábyrgðaraðila um þann fulltrúa eftir því sem við á.]3)
   1)L. 72/2003, 5. gr. 2)Augl. 228/2010, sbr. augl. 108/2012, augl. 419/2013 og augl. 1316/2013. 3)L. 90/2001, 1. gr.

II. kafli. Almennar reglur um vinnslu persónuupplýsinga.
7. gr. [Meginreglur um gæði gagna og vinnslu.]1)
Við meðferð persónuupplýsinga skal allra eftirfarandi þátta gætt:
   1. að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga;
   2. að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, en frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt;
   3. að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar;
   4. að þær séu áreiðanlegar og uppfærðar eftir þörfum, persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta;
   5. að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu.
[Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr.]1)
   1)L. 90/2001, 2. gr.
8. gr. [Almennar reglur um heimildir fyrir vinnslu persónuupplýsinga.]1)
Vinnsla persónuupplýsinga er því aðeins heimil að einhverjir eftirfarandi þátta séu fyrir hendi:
   1. [hinn skráði hafi ótvírætt samþykkt vinnsluna eða veitt samþykki skv. 7. tölul. 2. gr.]1)
   2. vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður;
   3. vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila;
   4. vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða;
   5. vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna;
   6. vinnslan sé nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með;
   7. vinnslan sé nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra.
2)
[Persónuvernd getur heimilað vinnslu persónuupplýsinga í öðrum tilvikum en greinir í 1. og 2. mgr. ef sýnt þykir að brýnir almannahagsmunir eða hagsmunir einstaklinga, þar með taldir hagsmunir hins skráða, krefjist þess. Skal þá ótvírætt að þörfin fyrir vinnsluna vegi þyngra en tillitið til þess að hún fari ekki fram. Getur Persónuvernd bundið slík leyfi þeim skilyrðum sem hún metur nauðsynleg hverju sinni til að tryggja hagsmuni hins skráða.]1)
   1)L. 90/2001, 3. gr. 2)L. 46/2003, 3. gr.
9. gr. [Sérstök skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga.]1)
[Vinnsla viðkvæmra persónuupplýsinga er óheimil nema uppfyllt sé eitthvert af skilyrðum 1. mgr. 8. gr. og enn fremur eitthvert af eftirfarandi skilyrðum:]1)
   1. hinn skráði samþykki vinnsluna;
   2. sérstök heimild standi til vinnslunnar samkvæmt öðrum lögum;
   3. ábyrgðaraðila beri skylda til vinnslunnar samkvæmt samningi aðila vinnumarkaðarins;
   4. vinnslan sé nauðsynleg til að verja verulega hagsmuni hins skráða eða annars aðila sem ekki er sjálfur fær um að gefa samþykki sitt skv. 1. tölul.;
   5. vinnslan sé framkvæmd af samtökum sem hafa stéttarfélagsleg markmið eða af öðrum samtökum sem ekki starfa í hagnaðarskyni, svo sem menningar-, líknar-, félagsmála- eða hugsjónasamtökum, enda sé vinnslan liður í lögmætri starfsemi samtakanna og taki aðeins til félagsmanna þeirra eða einstaklinga sem samkvæmt markmiðum samtakanna eru, eða hafa verið, í reglubundnum tengslum við þau; slíkum persónuupplýsingum má þó ekki miðla áfram án samþykkis hins skráða;
   6. vinnslan taki einungis til upplýsinga sem hinn skráði hefur sjálfur gert opinberar;
   7. vinnslan sé nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja;
   8. vinnslan sé nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu;
   9. vinnslan sé nauðsynleg vegna tölfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á.
[Þrátt fyrir að skilyrði 1. mgr. séu ekki uppfyllt er heimilt, í tengslum við framkvæmd rafrænnar vöktunar, að safna efni sem verður til við vöktunina, svo sem hljóð- og myndefni, með viðkvæmum persónuupplýsingum ef eftirfarandi skilyrði eru uppfyllt:
   1. að vöktunin sé nauðsynleg og fari fram í öryggis- og eignavörsluskyni;
   2. að það efni sem til verður við vöktunina verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða samkvæmt ákvörðun Persónuverndar; heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað en þá skal þess gætt að eyða öllum öðrum eintökum af efninu;
   3. að því efni sem safnast við vöktunina verði eytt þegar ekki er lengur málefnaleg ástæða til að varðveita það, nema sérstök heimild Persónuverndar skv. 3. mgr. standi til frekari varðveislu.]2)
Persónuvernd getur heimilað vinnslu viðkvæmra persónuupplýsinga í öðrum tilvikum en greinir í [1. og 2. mgr.]2) telji hún brýna almannahagsmuni mæla með því. Persónuvernd bindur slíka heimild þeim skilyrðum sem hún telur nauðsynleg hverju sinni til að tryggja hagsmuni hinna skráðu.
3)
Persónuvernd leysir úr ágreiningi um hvort persónuupplýsingar skuli teljast viðkvæmar eða ekki.
   1)L. 90/2001, 4. gr. 2)L. 81/2002, 1. gr. 3)L. 44/2014, 36. gr.
10. gr. Notkun kennitölu.
Notkun kennitölu er heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Persónuvernd getur bannað eða fyrirskipað notkun kennitölu.
11. gr. [Áhættumat, öryggi og gæði persónuupplýsinga.
Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.
Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur1) og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt.
Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar.
Ábyrgðaraðili skal skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir. Skal Persónuvernd hafa aðgang að upplýsingum um framangreind atriði hvenær sem hún óskar.]2)
   1)Rgl. 299/2001, sbr. 551/2013. 2)L. 90/2001, 5. gr.
12. gr. Innra eftirlit.
[Ábyrgðaraðili skal viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
Innra eftirlit skal viðhaft með reglubundnum hætti. Tíðni eftirlitsins og umfang þess skal ákveðið með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd eftirlitsins. Það skal þó eigi fara fram sjaldnar en árlega.
Ábyrgðaraðili skal sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skal lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skal varðveita tryggilega. Persónuvernd hefur rétt til að aðgangs að þeim hvenær sem er.
Persónuvernd getur sett frekari fyrirmæli1) um framkvæmd innra eftirlits og veitt undanþágu frá því að slíkt innra eftirlit skuli viðhaft eða takmarkað til hvaða þátta í vinnslunni það skuli taka.]2)
   1)Rgl. 299/2001, sbr. 551/2013. 2)L. 90/2001, 6. gr.
13. gr. [Trúnaðarskylda vinnsluaðila við meðferð persónuupplýsinga.
Ábyrgðaraðila er heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laga þessara. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit skv. 12. gr. laga þessara.
Samningur skv. 1. mgr. skal vera skriflegur og a.m.k. í tveimur eintökum. Þar skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga þessara um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast. Ábyrgðaraðili og vinnsluaðili skulu hvor varðveita sitt eintak af samningnum.
Hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.
Hafi vinnsluaðili staðfestu í öðru ríki á Evrópska efnahagssvæðinu en ábyrgðaraðili, sbr. 1. mgr. 6. gr., skal jafnframt mælt svo fyrir í samningi að lög og reglur þess ríkis þar sem vinnsluaðili hefur staðfestu gildi um öryggisráðstafanir við vinnslu persónuupplýsinga. Getur Persónuvernd t.d. í auglýsingu1) í Stjórnartíðindum áskilið að slíkur samningur innihaldi stöðluð ákvæði sem séu í samræmi við ákvörðun framkvæmdastjórnar Evrópubandalagsins. Sama á við þegar ábyrgðaraðili hefur staðfestu í ríki á Evrópska efnahagssvæðinu en vinnsluaðili ekki fari vinnslan fram í landi eða á stöðum sem upp eru taldir í auglýsingu sem Persónuvernd gefur út.]2)
[Ákvæði 4. mgr. gilda einnig þegar vinnsluaðili á staðfestu í öðru aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu en ábyrgðaraðili, sbr. 1. mgr. 6. gr., og þegar ábyrgðaraðili hefur staðfestu í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu en vinnsluaðili ekki.]3)
   1)Augl. 228/2010. 2)L. 90/2001, 7. gr. 3)L. 72/2003, 6. gr.
14. gr. Frestur til að fullnægja skyldum.
Ábyrgðaraðili skal afgreiða erindi samkvæmt ákvæðum 16., 18., 22., 25., 26., 27. og 28. gr. svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku þess.
Ef sérstakar ástæður valda því að ómögulegt er fyrir ábyrgðaraðila að afgreiða erindi innan eins mánaðar er honum heimilt að gera það síðar. Þegar svo hagar til skal ábyrgðaraðili innan mánaðarfrestsins gefa hlutaðeigandi skriflegar skýringar á ástæðum tafarinnar og hvenær svars sé að vænta.
15. gr. Greiðsla kostnaðar.
Verða skal við erindi samkvæmt ákvæðum 16., 18., 22., 25., 26., 27. og 28. gr. án þess að taka fyrir það sérstakt gjald. Þó má, ef um er að ræða mikinn kostnað, svo sem vegna ljósritunar skjala, taka greiðslu fyrir samkvæmt gjaldskrá sem ákveðin er af [ráðherra]1) með reglugerð.
   1)L. 162/2010, 164. gr.
[15. gr. a. Heimilt er að afhenda opinberu skjalasafni upplýsingar, sem falla undir lög þessi, til varðveislu í samræmi við ákvæði laga um opinber skjalasöfn.]1)
   1)L. 77/2014, 50. gr.

III. kafli. Upplýsingaréttur og upplýsingaskylda. Fræðslu- og viðvörunarskylda. Réttur til rökstuðnings.
16. gr. Réttur til almennrar vitneskju um vinnslu persónuupplýsinga.
Ábyrgðaraðila er skylt að veita hverjum sem þess óskar almenna vitneskju um þá vinnslu persónuupplýsinga sem fram fer á hans vegum.
Þeim sem þess óskar skal enn fremur, að því er varðar tiltekna tegund vinnslu, veitt vitneskja um eftirtalin atriði:
   1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.;
   2. hver ber daglega ábyrgð á því að fullnægt sé skyldum ábyrgðaraðila samkvæmt lögum þessum;
   3. tilgang vinnslunnar;
   4. skilgreiningu og aðra lýsingu á þeim tegundum persónuupplýsinga sem unnið er með;
   5. hvaðan upplýsingar koma;
   6. viðtakendur upplýsinga, þar á meðal um hvort ætlunin sé að flytja upplýsingar úr landi og þá til hverra.
Kröfu skv. 1. mgr. skal beint til ábyrgðaraðila, eða fulltrúa hans skv. 6. gr., og má krefjast skriflegrar greinargerðar um þau atriði sem óskað er vitneskju um.
17. gr. Opinber skrá um veittar heimildir og mótteknar tilkynningar.
Persónuvernd skal halda skrá yfir alla vinnslu sem henni er tilkynnt um í samræmi við 31. gr. og þá vinnslu sem hún heimilar skv. 33. gr. Þar skulu að lágmarki koma fram þau atriði sem talin eru í 2. mgr. 16. gr.
Skráin skal vera aðgengileg almenningi með þeirri aðferð sem Persónuvernd ákveður.
18. gr. Upplýsingaréttur hins skráða.
Hinn skráði á rétt á að fá frá ábyrgðaraðila vitneskju um:
   1. hvaða upplýsingar um hann er eða hefur verið unnið með;
   2. tilgang vinnslunnar;
   3. hver fær, hefur fengið eða mun fá upplýsingar um hann;
   4. hvaðan upplýsingarnar koma;
   5. hvaða öryggisráðstafanir eru viðhafðar við vinnslu, enda skerði það ekki öryggi vinnslunnar.
Kröfu um vitneskju skv. 1. mgr. skal beina til ábyrgðaraðila eða fulltrúa hans skv. 6. gr. Veita skal vitneskju skriflega sé þess óskað.
19. gr. Takmarkanir á upplýsingarétti hins skráða.
Réttur hins skráða til að fá vitneskju skv. 18. gr. nær ekki til upplýsinga sem einvörðungu eru notaðar til tölfræðivinnslu eða vísindarannsókna, enda geti vinnsla þeirra ekki haft bein áhrif á hagsmuni hans.
Ákvæði 18. gr. eiga ekki við ef réttur hins skráða samkvæmt því ákvæði þykir eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra eða hans eigin. Skal þá m.a. tekið tillit til heilsu hins skráða og hagsmuna venslamanna hans. Þó má samkvæmt beiðni veita umboðsmanni hins skráða vitneskjuna, enda mæli engar sérstakar ástæður gegn því.
Réttur hins skráða til að fá vitneskju samkvæmt ákvæðum 18. gr. nær ekki til upplýsinga sem eru undanþegnar aðgangi samkvæmt upplýsinga- eða stjórnsýslulögum. Þegar um er að ræða gögn í vörslu annarra ábyrgðaraðila en stjórnvalda ná ákvæði 18. gr. ekki til vitneskju um efni vinnuskjala eða annarra sambærilegra gagna sem unnin eru af ábyrgðaraðila sjálfum eða aðilum á hans vegum, t.d. sérstökum ráðgjöfum eða sérfræðingum.
Þótt gögn séu undanþegin upplýsingarétti hins skráða skv. 3. mgr. getur hann óskað greinargerðar um efnislegt innihald þeirra, útdráttar eða annars konar samantektar nema hann geti kynnt sér staðreyndir málsins með öðrum hætti.
Dragi veiting vitneskju um tilteknar upplýsingar úr möguleikum á að leiða til lykta mál sem er til meðferðar má fresta veitingu upplýsinganna þar til lokið er undirbúningi málsmeðferðar.
Persónuvernd getur sett skilmála um beitingu upplýsingaréttar hins skráða í reglum sem ráðherra staðfestir.
20. gr. [Fræðsluskylda þegar persónuupplýsinga er aflað hjá hinum skráða.
Þegar ábyrgðaraðili aflar persónuupplýsinga hjá hinum skráða sjálfum skal hann upplýsa hinn skráða um eftirtalin atriði:
   1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.,
   2. tilgang vinnslunnar,
   3. aðrar upplýsingar, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, svo sem upplýsingar um:
   a. viðtakendur eða flokka viðtakenda upplýsinganna,
   b. hvort honum sé skylt eða valfrjálst að veita umbeðnar upplýsingar og hvaða afleiðingar það kunni að hafa veiti hann þær ekki,
   c. ákvæði laganna um upplýsingarétt hins skráða, svo og rétt hins skráða til leiðréttingar og eyðingar rangra eða villandi persónuupplýsinga um hann.
Ákvæði 1. mgr. gilda ekki hafi hinn skráði þegar fengið vitneskju um þau atriði sem fram koma í 1.–3. tölul. 1. mgr.]1)
   1)L. 81/2002, 2. gr.
21. gr. [Skylda til að láta hinn skráða vita um vinnslu persónuupplýsinga þegar þeirra er aflað hjá öðrum en honum sjálfum.
Þegar ábyrgðaraðili aflar persónuupplýsinga frá öðrum en hinum skráða skal hann samtímis láta hinn skráða vita af því og greina honum frá þeim atriðum sem talin eru í 3. mgr. Sé ætlun ábyrgðaraðila hins vegar að miðla upplýsingunum innan hæfilegra tímamarka frá öflun þeirra má hann þó fresta því þar til hann miðlar upplýsingunum í fyrsta sinn.
Þrátt fyrir 2. málsl. 1. mgr. skal ábyrgðaraðili sem annast miðlun upplýsinga um fjárhagsmálefni og lánstraust láta hinn skráða vita 14 dögum áður en slíkum upplýsingum er miðlað í fyrsta sinn.
Í tilkynningu til hins skráða skal veita upplýsingar um:
   1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.,
   2. tilgang vinnslunnar,
   3. aðrar upplýsingar, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, svo sem upplýsingar um:
   a. tegundir eða flokka þeirra upplýsinga sem unnið er með,
   b. hvaðan upplýsingarnar koma,
   c. viðtakendur eða flokka viðtakenda upplýsinganna,
   d. ákvæði laganna um upplýsingarétt hins skráða, svo og rétt hins skráða til leiðréttingar og eyðingar rangra eða villandi persónuupplýsinga um hann.
Ákvæði 1. mgr. gilda ekki ef:
   1. óframkvæmanlegt er að láta hinn skráða vita eða það leggur þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast,
   2. ætla má að hinum skráða sé þegar kunnugt um vinnsluna,
   3. lagaheimild stendur til skráningar eða miðlunar upplýsinganna eða
   4. hagsmunir hins skráða af því að fá vitneskju um upplýsingarnar þykja eiga að víkja fyrir veigamiklum almannahagsmunum eða einkahagsmunum, þ.m.t. hagsmunum hans sjálfs.]1)
   1)L. 81/2002, 3. gr.
22. gr. Rökstuðningur sértækra ákvarðana sem byggjast á sjálfvirkri upplýsingavinnslu.
Ef fyrir liggur sértæk ákvörðun sem að öllu leyti er byggð á rafrænni vinnslu persónuupplýsinga getur sá sem ákvörðunin beinist að krafist rökstuðnings fyrir niðurstöðunni. Í rökstuðningi skal ábyrgðaraðili gera grein fyrir þeim reglum sem hin rafræna vinnsla byggist á og liggja ákvörðuninni til grundvallar.
23. gr. Viðvaranir um notkun persónusniða.
Þegar persónusnið sem skilgreinir tiltekið hátterni, smekk, hæfileika eða þarfir er lagt til grundvallar:
   1. við sértæka ákvörðun skv. 9. tölul. 2. gr. eða
   2. við að nálgast hinn skráða, velja úrtak, markhóp o.s.frv.,
getur Persónuvernd, þegar henni berst tilkynning um slíka vinnslu, ákveðið að ábyrgðaraðili geri hinum skráða viðvart og greini frá því hver sé ábyrgðaraðili vinnslunnar, hvaða upplýsingar hann noti og hvaðan þær komi.
Við ákvörðun skv. 1. mgr. skal Persónuvernd m.a. líta til þess hvort viðvörun er að hennar mati óframkvæmanleg eða leggi þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast.
24. gr. Viðvaranir um rafræna vöktun.
Þegar rafræn vöktun fer fram á vinnustað eða á almannafæri skal með merki eða á annan áberandi hátt gera glögglega viðvart um þá vöktun og hver sé ábyrgðaraðili.

IV. kafli. Leiðrétting, eyðing, lokun o.fl.
25. gr. Leiðrétting og eyðing rangra og villandi persónuupplýsinga.
Ef skráðar hafa verið persónuupplýsingar sem eru rangar, villandi eða ófullkomnar, eða persónuupplýsingar hafa verið skráðar án tilskilinnar heimildar, skal ábyrgðaraðili sjá til þess að upplýsingarnar verði leiðréttar, þeim eytt eða við þær aukið ef umræddur annmarki getur haft áhrif á hagsmuni hins skráða. Hafi slíkum upplýsingum verið miðlað eða þær notaðar ber ábyrgðaraðila, eftir því sem honum er frekast unnt, að hindra að það hafi áhrif á hagsmuni hins skráða.
Ef eyðing eða breyting þeirra upplýsinga sem um ræðir í 1. mgr. er óheimil samkvæmt ákvæðum annarra laga getur Persónuvernd bannað notkun upplýsinganna.
26. gr. Eyðing og bann við notkun persónuupplýsinga sem hvorki eru rangar né villandi.
Þegar ekki er lengur málefnaleg ástæða til að varðveita persónuupplýsingar skal ábyrgðaraðili eyða þeim. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða á því að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra.
Ef ákvæði annarra laga standa því ekki í vegi getur skráður aðili engu síður krafist þess að upplýsingum um hann skv. 1. mgr. sé eytt eða notkun þeirra bönnuð ef slíkt telst réttlætanlegt út frá heildstæðu hagsmunamati. Við slíkt hagsmunamat skal taka tillit til hagsmuna annarra, almennra persónuverndarhagsmuna, almannahagsmuna og þeirra aðgerða sem þörf er á til að verða við kröfunni.
Persónuvernd getur, bæði í einstökum tilvikum eða með setningu almennra reglna, bannað notkun slíkra upplýsinga eða mælt fyrir um eyðingu þeirra.
27. gr. Réttur til að fá ákvörðun sem byggist á handvirkri vinnslu upplýsinga.
Ef fyrir liggur sértæk ákvörðun í skilningi 9. tölul. 2. gr., sem að öllu leyti hefur byggst á sjálfvirkri vinnslu persónuupplýsinga, getur sá sem ákvörðun beinist að, eða mál varðar beinlínis með öðrum hætti, krafist þess að fá ákvörðunina handunna, enda sé um að ræða ákvörðun sem varðar persónulega hagi eða eiginleika hans og hefur verulega þýðingu fyrir hann.
Réttur skv. 1. mgr. er ekki til staðar ef beitt er viðhlítandi ráðstöfunum til að gæta persónuverndarhagsmuna viðkomandi og um er að ræða ákvörðun sem byggist á fyrirmælum laga eða tengist gerð eða efndum samnings.
28. gr. [[Um andmælarétt hins skráða og um bannskrá [Þjóðskrár Íslands].1)]2)
Hinum skráða er heimilt að andmæla vinnslu upplýsinga um sjálfan sig ef hann hefur til þess lögmætar og knýjandi ástæður vegna sérstakra aðstæðna sinna nema kveðið sé á um annað í öðrum lögum. Eigi andmælin rétt á sér er ábyrgðaraðila óheimil frekari vinnsla umræddra upplýsinga.
[[Þjóðskrá Íslands]1) skal halda skrá yfir þá sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi. [Ráðherra]3) setur, í samráði við Persónuvernd, nánari reglur4) um gerð og notkun slíkrar skrár og hvaða upplýsingar skuli koma þar fram.]2) Ábyrgðaraðilar sem starfa í beinni markaðssókn og þeir sem nota skrá með nöfnum, heimilisföngum, netföngum, símanúmerum og þess háttar eða miðla þeim til þriðja aðila í tengslum við slíka starfsemi skulu, áður en slík skrá er notuð í slíkum tilgangi, bera hana saman við skrá [Þjóðskrár Íslands]1) til að koma í veg fyrir að markpóstur verði sendur eða hringt verði til einstaklinga sem hafa andmælt slíku. Persónuvernd getur heimilað undanþágu frá þessari skyldu í sérstökum tilvikum.
Öll notkun bannskrár skv. 2. mgr. er óheimil í öðrum tilgangi en þar er lýst.
Skylt er að nafn ábyrgðaraðila komi fram á áberandi stað á útsendum markpósti og hvert þeir sem andmæla því að fá slíkan markpóst og marksímtöl geti snúið sér. Viðtakandi markpósts á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu eða útsendingu til grundvallar. Þetta gildir ekki um markaðssetningu ábyrgðaraðila á eigin vöru og þjónustu sem notar eigin viðskiptamannaskrár, enda beri útsent efni með sér hvaðan það kemur. [Ef markpóstur er sendur með rafrænum hætti er skylt að fram komi á ótvíræðan hátt um leið og hann er móttekinn að um slíkan póst sé að ræða.]5)
Ábyrgðaraðila er heimilt að afhenda félaga-, starfsmanna- eða viðskiptamannaskrár til nota í tengslum við markaðssetningarstarfsemi. Þetta á þó aðeins við ef:
   1. ekki telst vera um afhendingu viðkvæmra persónuupplýsinga að ræða,
   2. hinum skráðu hefur, áður en afhending fer fram, verið gefinn kostur á að andmæla því, hverjum fyrir sitt leyti, að upplýsingar um viðkomandi birtist á hinni afhentu skrá,
   3. slíkt fer ekki gegn reglum eða samþykktum viðkomandi félags,
   4. ábyrgðaraðili kannar hvort einhver hinna skráðu hefur komið andmælum á framfæri við [Þjóðskrá Íslands],1) sbr. 2. mgr., og eyðir upplýsingum um viðkomandi áður en hann lætur skrána af hendi.
Ákvæði 5. mgr. gildir ekki ef afhending félaga-, starfsmanna- eða viðskiptamannaskrár til nota við dreifingu markpósts byggist á samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr.
Ákvæði 1.–5. mgr. gilda, eftir því sem við á, einnig um markaðs-, neyslu- og skoðanakannanir. Persónuvernd er heimilt að undanþiggja vísindarannsóknir og hliðstæðar rannsóknir slíkum takmörkunum, enda þyki ljóst að slíkt geti skert til muna áreiðanleika niðurstöðu rannsóknarinnar.]6)
   1)L. 77/2010, 5. gr. 2)L. 50/2006, 23. gr. 3)L. 162/2010, 164. gr. 4)Rgl. 36/2005. 5)L. 30/2002, 23. gr. 6)L. 90/2001, 8. gr.

V. kafli. Flutningur persónuupplýsinga úr landi.
29. gr. Flutningur persónuupplýsinga til ríkis sem veitir fullnægjandi persónuupplýsingavernd.
Heimill er flutningur persónuupplýsinga til annars ríkis ef lög þess veita persónuupplýsingum fullnægjandi vernd.
Ríki sem framfylgir tilskipun Evrópusambandsins 95/46/ESB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga telst fullnægja skilyrðum 1. mgr. [Sama á við um lönd eða staði sem Persónuvernd auglýsir1) í Stjórnartíðindum að virtum ákvörðunum framkvæmdastjórnar Evrópubandalagsins.]2)
Við mat á því hvort ríki sem ekki framfylgir tilskipun 95/46/ESB fullnægi skilyrðum 1. mgr. skal m.a. líta til reglna viðkomandi ríkis um meðferð persónuupplýsinga, reglna um góða viðskiptahætti og þeirra öryggisráðstafana sem viðhafðar eru hjá viðtakanda. Þá skal taka mið af því hvort viðkomandi ríki hafi fullgilt samning Evrópuráðsins nr. 108 frá 28. janúar 1981, um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga.
   1)Rgl. 1100/2008, sbr. rgl. 424/2010. Augl. 228/2010, sbr. augl. 108/2012, augl. 419/2013 og augl. 1316/2013. 2)L. 90/2001, 9. gr.
30. gr. Flutningur persónuupplýsinga til ríkis sem ekki veitir fullnægjandi persónuupplýsingavernd.
Óheimill er flutningur persónuupplýsinga til ríkis sem ekki veitir fullnægjandi persónuupplýsingavernd nema:
   1. hinn skráði hafi samþykkt flutninginn, eða
   2. slíkt sé nauðsynlegt til efnda á þjóðréttarskuldbindingum eða vegna aðildar Íslands að alþjóðastofnun, eða
   3. heimild standi til slíks flutnings í öðrum lögum, eða
   4. afhendingin sé nauðsynleg til að gera eða efna samning milli hins skráða og ábyrgðaraðila, eða
   5. flutningurinn sé nauðsynlegur til að gera eða efna samning í þágu hins skráða, eða
   6. afhendingin sé nauðsynleg til að verja verulega hagsmuni hins skráða,
   [7. ef miðlun er nauðsynleg eða fyrirskipuð samkvæmt lögum vegna þess að brýnir almannahagsmunir krefjast þess eða til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, eða
   8. um sé að ræða upplýsingar sem almennur aðgangur er að].1)
Persónuvernd getur heimilað flutning upplýsinga til ríkis er greinir í 1. mgr. telji hún sérstök rök mæla með því, jafnvel þótt skilyrðum ákvæðisins sé ekki fullnægt. Í slíku tilviki skal m.a. taka tillit til eðlis upplýsinganna, fyrirhugaðs tilgangs vinnslunnar og hve lengi hún varir. [Persónuvernd getur heimilað miðlun persónuupplýsinga til þriðju landa þótt þau hafi ekki verið talin veita friðhelgi borgaranna nægilega einkalífsvernd. Slíkt er háð því að ábyrgðaraðili hafi, að mati stofnunarinnar, veitt nægilegar tryggingar fyrir slíku. Getur stofnunin t.d. áskilið að ábyrgðaraðili hafi gert við viðtökuaðila skriflegan samning sem hafi að geyma tiltekin stöðluð samningsákvæði í samræmi við ákvörðun sem Persónuvernd hefur auglýst í Stjórnartíðindum, að teknu tilliti til ákvarðana framkvæmdastjórnar Evrópubandalagsins, sbr. 2. mgr. 29. gr. laga þessara. Að öðru leyti getur Persónuvernd sett nánari fyrirmæli2) um flutning persónuupplýsinga úr landi.]1)
   1)L. 90/2001, 10. gr. 2)Rgl. 712/2008, sbr. rgl. 927/2009, rgl. 423/2010 og rgl. 1174/2014. Rgl. 1100/2008, sbr. rgl. 424/2010.

VI. kafli. Tilkynningarskylda, leyfisskylda o.fl.
31. gr. Tilkynningarskylda.
Sérhver ábyrgðaraðili sem beitir rafrænni tækni við vinnslu persónuupplýsinga, sbr. 8. gr. og 1. mgr. 9. gr., skal á þar til gerðu formi tilkynna Persónuvernd um vinnsluna tímanlega áður en hún hefst. Tilkynna skal allar breytingar sem verða frá því sem greinir í upphaflegri tilkynningu.
Tilkynningarskyldan á ekki við ef einungis er unnið með upplýsingar sem gerðar hafa verið og eru aðgengilegar almenningi.
Persónuvernd getur ákveðið1) að vissar tegundir vinnslu almennra upplýsinga skuli vera undanþegnar tilkynningarskyldu eða að um þær gildi einfaldari tilkynningarskylda. Persónuvernd getur jafnframt ákveðið1) að vissar tegundir vinnslu skuli vera leyfisskyldar. Um vinnslu sem undanþegin er tilkynningarskyldu getur Persónuvernd sett fyrirmæli, þar á meðal um þau atriði sem talin eru í 2. mgr. 35. gr. Persónuvernd getur einnig mælt fyrir um ráðstafanir til að draga úr óhagræði sem slík vinnsla persónuupplýsinga kann að hafa í för með sér fyrir hinn skráða.
   1)Rgl. 712/2008, sbr. rgl. 927/2009, rgl. 423/2010 og rgl. 1174/2014.
32. gr. Efni tilkynninga.
Í tilkynningu til Persónuverndar skv. 31. gr. skal tilgreina eftirfarandi atriði:
   1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans, sbr. 6. gr.;
   2. hver ber daglega ábyrgð á að uppfylla skyldur ábyrgðaraðila;
   3. tilgang vinnslunnar;
   4. skilgreiningu og aðra lýsingu á þeim tegundum upplýsinga sem notaðar verða við vinnslu;
   5. hvert upplýsingarnar eru sóttar;
   6. þá heimild sem stendur til söfnunar upplýsinganna;
   7. hverjum upplýsingarnar verða afhentar;
   8. hvort ráðgert sé að flytja persónuupplýsingarnar úr landi;
   9. hvort ráðgert sé að birta upplýsingarnar á netinu;
   10. hvaða öryggisráðstafanir verða viðhafðar í vinnslunni;
   11. hvort og hvenær persónuupplýsingum eða persónuauðkennum verði eytt;
   [12. hvernig uppfyllt séu fyrirmæli 20. og 21. gr.]1)
Persónuvernd getur sett nánari fyrirmæli2) um form og efni tilkynninga og um framkvæmd tilkynningarskyldunnar að öðru leyti.
Ábyrgðaraðili skal sjá til þess að Persónuvernd hafi á hverjum tíma undir höndum réttar upplýsingar um vinnsluna. Þegar liðin eru þrjú ár frá því að tilkynning var send Persónuvernd skal senda henni nýja tilkynningu með uppfærðum upplýsingum nema henni hafi áður verið tilkynnt um breytta vinnslu. Persónuvernd getur mælt fyrir um ráðstafanir til að tryggja gæði og áreiðanleika tilkynninga og ákveðið mismunandi tilkynningarfrest eftir tegund og eðli vinnslu.3)
   1)L. 81/2002, 4. gr. 2)Rgl. 712/2008, sbr. rgl. 927/2009, rgl. 423/2010 og rgl. 1174/2014. 3)Rgl. 1100/2008, sbr. rgl. 424/2010.
33. gr. Leyfisskyld vinnsla.
Sé um að ræða vinnslu almennra eða viðkvæmra persónuupplýsinga sem getur falið í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra aðila getur Persónuvernd ákveðið1) að vinnslan megi ekki hefjast fyrr en hún hefur verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar. Persónuvernd getur ákveðið2) að slík leyfisskylda falli brott þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skuli við slíka vinnslu.
   1)Rgl. 712/2008, sbr. rgl. 927/2009, rgl. 423/2010, rgl. 548/2013 og rgl. 1174/2014. 2)Rgl. 170/2001, sbr. rgl. 157/2003 og rgl. 853/2010. Rgl. 1100/2008, sbr. rgl. 424/2010.
34. gr. Forsendur leyfisveitingar o.fl.
Ábyrgðaraðila má aðeins veita leyfi skv. 33. gr., eða einstakar aðrar heimildir samkvæmt lögum þessum, ef líklegt er að hann geti fullnægt skyldum sínum samkvæmt lögunum eða fyrirmælum Persónuverndar.
Við afgreiðslu mála er tengjast vinnslu viðkvæmra persónuupplýsinga skal Persónuvernd, innan þeirra marka sem greinir í II. kafla laganna, meta hvort vinnslan geti valdið hinum skráða slíku óhagræði að ekki verði úr því bætt með forsvaranlegum hætti með skilyrðum sem sett eru skv. 35. gr. Ef slíkt óhagræði getur orðið skal Persónuvernd meta hvort hagsmunir sem mæla með vinnslunni vegi þyngra en hagsmunir hins skráða.
35. gr. Skilmálar Persónuverndar um vinnslu persónuupplýsinga.
Þegar ábyrgðaraðila er veitt leyfi skv. 33. gr. skal Persónuvernd binda það skilyrðum, svo sem um dulkóðun persónuauðkenna og öðrum sem hún metur nauðsynleg hverju sinni, til að draga úr eða koma í veg fyrir hugsanlegt óhagræði hins skráða af vinnslunni. Sama gildir eftir því sem við á þegar Persónuvernd berst tilkynning um vinnslu viðkvæmra persónuupplýsinga sem fellur undir 1. mgr. 9. gr.
Við mat á því hvaða skilyrði skal setja fyrir vinnslu skal Persónuvernd m.a. athuga:
   1. hvort tryggt sé að hinn skráði geti nýtt réttindi sín samkvæmt lögunum, þar á meðal til að hætta þátttöku í verkefni, og eftir atvikum fá eytt skráðum persónuupplýsingum, til að fá fræðslu um réttindi sín og beitingu þeirra;
   2. hvort persónuupplýsingar verði nægjanlega öruggar, áreiðanlegar og uppfærðar í samræmi við tilgang vinnslunnar skv. 7. gr.;
   3. hvort með persónuupplýsingarnar verði farið af þeirri varúð sem reglur um þagnarskyldu og tilgangur vinnslunnar krefst;
   4. hvort skipulagt hafi verið hvernig hinum skráða verði veittar upplýsingar og leiðbeiningar, innan þeirra marka sem sanngjarnt er að ætlast til miðað við umfang vinnslunnar og aðrar öryggisráðstafanir sem viðhafðar eru;
   5. hvort stofnað hafi verið til öryggisráðstafana sem séu eðlilegar miðað við tilgang vinnslunnar.
Persónuvernd getur ákveðið að ábyrgðaraðili og vinnsluaðili, svo og starfsmenn á vegum þeirra, skuli undirrita yfirlýsingu um að þeir lofi að gæta þagmælsku um viðkvæmar persónuupplýsingar sem þeir fá vitneskju um við vinnslu þeirra. Ábyrgðaraðili eða fulltrúi hans skal votta rétta undirskrift starfsmanns og dagsetningu slíkrar yfirlýsingar og koma til Persónuverndar innan tilskilins frests. Brot á slíkri þagnarskyldu varðar refsingu skv. 136. gr. almennra hegningarlaga. Þagnarskyldan helst þótt látið sé af starfi.
Persónuvernd getur afgreitt erindi er lýtur að vinnslu viðkvæmra persónuupplýsinga með skilyrði um að sérstakur tilsjónarmaður verði skipaður til að hafa eftirlit fyrir hönd Persónuverndar með því að vinnsla sé í samræmi við lög og að ábyrgðaraðili greiði allan kostnað sem af því hlýst.
[35. gr. a. Um leyfi fyrir vísindarannsóknum á heilbrigðissviði fer samkvæmt lögum um vísindarannsóknir á heilbrigðissviði.]1)
   1)L. 44/2014, 36. gr.

VII. kafli. Eftirlit og viðurlög.
36. gr. Skipulag Persónuverndar og stjórnsýsla.
Persónuvernd er sjálfstæð stofnun með sérstaka stjórn og heyrir stjórnarfarslega undir [ráðherra].1)
Persónuvernd er sjálfstæð í störfum sínum og verður ákvörðunum hennar samkvæmt lögum þessum ekki skotið til annarra stjórnvalda.
Ráðherra skipar fimm menn í stjórn Persónuverndar og jafnmarga til vara til fjögurra ára í senn. Formann og varaformann stjórnarinnar skipar ráðherra án tilnefningar og skulu þeir vera lögfræðingar og fullnægja hæfisskilyrðum héraðsdómara. Hæstiréttur tilnefnir einn stjórnarmann og Skýrslutæknifélag Íslands annan og skal hann vera sérfróður á sviði tölvu- og tæknimála. Varamenn skulu fullnægja sömu skilyrðum og aðalmenn.
Ráðherra ákveður laun stjórnarmanna.
Þegar stjórnarmenn eru ekki sammála ræður meiri hluti niðurstöðu máls. Ef atkvæði eru jöfn ræður atkvæði formanns.
Ráðherra skipar forstjóra Persónuverndar til fimm ára í senn að fenginni tillögu stjórnar. Forstjóri situr fundi stjórnar með málfrelsi og tillögurétti.
Forstjóri Persónuverndar annast daglega stjórn og ræður annað starfsfólk Persónuverndar.
Forstjóri ber ábyrgð á fjárreiðum og starfsmannahaldi Persónuverndar. Stjórn Persónuverndar ákveður að öðru leyti skiptingu starfa á milli stjórnar og starfsmanna hennar.2)
   1)L. 126/2011, 308. gr. 2)Rgl. 231/2012.
37. gr. Verkefni Persónuverndar.
Persónuvernd annast eftirlit með framkvæmd laga þessara og reglna settra samkvæmt þeim.
Persónuvernd úrskurðar í ágreiningsmálum sem upp kunna að koma um vinnslu persónuupplýsinga [á Íslandi, hvort sem íslensk lög eða lög annars ríkis gilda um vinnsluna].1) Persónuvernd getur fjallað um einstök mál að eigin frumkvæði eða samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um hann í samræmi við lög þessi og reglur sem settar eru samkvæmt þeim eða einstökum fyrirmælum.
Verkefni Persónuverndar eru m.a. eftirfarandi:
   1. að afgreiða leyfisumsóknir, taka við tilkynningum og mæla, eftir því sem þurfa þykir, fyrir um ráðstafanir að því er varðar tækni, öryggi og skipulag vinnslunnar þannig að hún verði í samræmi við ákvæði laganna,2)
   2. að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum,
   3. að fylgjast með almennri þróun á sviði persónuupplýsingaverndar á innlendum og erlendum vettvangi og hafa yfirsýn yfir og kynna helstu álitaefni sem tengjast vinnslu persónuupplýsinga,
   4. að skilgreina og afmarka hvar persónuvernd er hætta búin og veita ráð um leiðir til lausnar,
   5. að leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar, eða þróa kerfi fyrir slíka vinnslu, um persónuvernd, þar á meðal með því að aðstoða við gerð starfs- og siðareglna fyrir einstaka hópa og starfsstéttir,3)
   6. að tjá sig, samkvæmt beiðni eða að eigin frumkvæði, um álitaefni varðandi meðferð persónuupplýsinga og veita umsagnir við setningu laga og annarra reglna sem þýðingu hafa fyrir persónuvernd,
   7. að birta árlega skýrslu um starfsemi sína.
Persónuvernd getur ákveðið að ábyrgðaraðili skuli greiða þann kostnað sem hlýst af eftirliti með því að hann fullnægi skilyrðum laga þessara og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Persónuvernd getur einnig ákveðið að ábyrgðaraðili greiði kostnað við úttekt á starfsemi við undirbúning útgáfu vinnsluleyfis og annarrar afgreiðslu.
[Persónuvernd setur reglur4) um rafræna vöktun og vinnslu efnis sem verður til við vöktunina, svo sem hljóð- og myndefnis, þar á meðal um öryggi, varðveislu og notkun þess. Þá getur hún gefið fyrirmæli um rétt þess sem myndaður hefur verið til að skoða myndir sem teknar hafa verið af honum. Persónuvernd setur jafnframt reglur og gefur fyrirmæli um eyðingu efnis sem til verður við framkvæmd rafrænnar vöktunar, ákveður varðveisluaðferð og varðveislutíma og heimilar afhendingu þess í öðrum tilvikum en þeim sem mælt er fyrir um í 2. mgr. 9. gr.]5)
   1)L. 90/2001, 11. gr. 2)Rgl. 340/2003. 3)Augl. 1001/2001. 4)Rgl. 837/2006, sbr. rgl. 394/2008, rgl. 475/2011 og rgl. 869/2014. 5)L. 81/2002, 5. gr.
38. gr. Aðgangur Persónuverndar að upplýsingum o.fl.
Persónuvernd getur krafið ábyrgðaraðila, vinnsluaðila og þá sem starfa á þeirra vegum um allar þær upplýsingar og skriflegar skýringar sem henni eru nauðsynlegar til þess að rækja hlutverk sitt, þar á meðal þær upplýsingar sem hún þarf til að geta metið hvort tiltekin starfsemi eða vinnsla falli undir ákvæði laganna. Einnig getur Persónuvernd kvatt ábyrgðaraðila, vinnsluaðila og þá sem starfa á þeirra vegum á sinn fund til að veita munnlegar upplýsingar og skýringar varðandi ákveðna vinnslu persónuupplýsinga.
Persónuvernd hefur í eftirlitsstörfum sínum án dómsúrskurðar aðgang að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þar á meðal stöðum þar sem varðveittar eru skrár, myndir, sbr. 4. gr., persónuupplýsingar sem lúta rafrænni vinnslu, og tæki til slíkrar vinnslu. Persónuvernd getur framkvæmt hverja þá prófun eða eftirlitsaðgerð sem hún telur nauðsynlega og krafist nauðsynlegrar aðstoðar starfsfólks á slíkum vettvangi til að framkvæma prófun eða eftirlit. Persónuvernd getur óskað liðveislu lögreglu ef einhver leitast við að hindra hana í eftirlitsstörfum sínum.
Réttur Persónuverndar til að krefjast upplýsinga eða aðgangs að starfsstöðvum og tækjabúnaði verður ekki takmarkaður með vísun til reglna um þagnarskyldu.
39. gr. Undanþágur frá þagnarskyldu.
Ákvæði um þagnarskyldu standa því ekki í vegi að Persónuvernd veiti persónuverndarstofnunum erlendis upplýsingar þegar slíkt er nauðsynlegt til að hún eða hin erlenda persónuverndarstofnun geti ákveðið eða framkvæmt aðgerðir til að tryggja persónuvernd.
40. gr. Stöðvun vinnslu o.fl.
Persónuvernd getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, þar á meðal söfnunar, skráningar eða miðlunar, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Við mat á því hvort og þá hvaða úrræðum skuli beitt skal Persónuvernd m.a. taka tillit til þeirra atriða sem greinir í 2. mgr. 35. gr.
Komi í ljós að fram fer vinnsla persónuupplýsinga sem brýtur í bága við ákvæði laga þessara eða reglur settar samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað.
Sinni aðili ekki fyrirmælum Persónuverndar skv. 1. mgr. getur hún afturkallað leyfi sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati.
41. gr. Dagsektir.
Ef ekki er farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. getur hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati Persónuverndar. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt.
Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.
42. gr. Refsingar.
Brot á ákvæðum laga þessara og reglugerða settra samkvæmt þeim varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar.
Nú er brot framið í starfsemi lögaðila og má þá gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga.
43. gr. Bætur.
Hafi ábyrgðaraðili eða vinnsluaðili unnið með persónuupplýsingar í andstöðu við ákvæði laga þessara, reglna eða fyrirmæla Persónuverndar skal ábyrgðaraðili bæta hinum skráða það fjárhagslega tjón sem hann hefur orðið fyrir af þeim völdum. Ábyrgðaraðila verður þó ekki gert að bæta tjón sem hann sannar að hvorki verður rakið til mistaka né vanrækslu af hans hálfu eða vinnsluaðila.

VIII. kafli. Lagatengsl, gildistaka o.fl.
44. gr. Tengsl við ákvæði annarra laga.
Lögin gilda um vinnslu og meðferð persónuupplýsinga sem fram fer samkvæmt öðrum lögum nema þau lög tilgreini annað sérstaklega.
Lög þessi takmarka ekki þann rétt til aðgangs að gögnum sem mælt er fyrir um í upplýsingalögum og stjórnsýslulögum.
45. gr. Reglugerðir um einstaka flokka starfsemi.
Með reglugerð má mæla fyrir um meðferð persónuupplýsinga í tiltekinni starfsemi og hjá einstökum starfsstéttum.
Í reglugerð1) skal mælt fyrir um heimild til söfnunar og skráningar upplýsinga sem varða fjárhagsmálefni og lánstraust fyrirtækja, svo og annarra lögaðila, í því skyni að miðla til annarra upplýsingum um það efni. Heimild til slíkrar starfsemi skal bundin leyfi Persónuverndar og um hana gilda eftirfarandi ákvæði laganna: 11. gr. um öryggi og gæði upplýsinga, 12. gr. um innra eftirlit, 13. gr. um meðferð vinnsluaðila á upplýsingum, 18. gr. um upplýsingarétt hins skráða, 21. gr. um viðvörunarskyldu þegar upplýsingum er safnað frá öðrum en hinum skráða, 25. gr. um leiðréttingu og eyðingu rangra og villandi upplýsinga, 26. gr. um eyðingu og bann við notkun upplýsinga sem hvorki eru rangar né villandi, 33. gr. um leyfisskylda vinnslu, 34. gr. um forsendur leyfisveitingar, 35. gr. um skilmála, 38. gr. um aðgang Persónuverndar að upplýsingum o.fl., 40. gr. um stöðvun vinnslu o.fl., 41. gr. um dagsektir, 42. gr. um refsingar og 43. gr. um bætur.
Að fenginni umsögn Persónuverndar skal ráðherra í reglugerð2) mæla nánar fyrir um eftirlit Persónuverndar með rafrænni vinnslu persónuupplýsinga hjá lögreglu. Þar skal m.a. mælt fyrir um skyldu lögreglu til að tilkynna Persónuvernd um rafrænt unnar skrár sem hún heldur og efni slíkra tilkynninga. Þá skal mælt fyrir um í hvaða tilvikum og með hvaða hætti hinn skráði á rétt til aðgangs að persónuupplýsingum sem skráðar hafa verið um hann hjá lögreglu, svo og heimild lögreglu til miðlunar upplýsinga í öðrum tilvikum. Loks skal mælt fyrir um öryggi persónuupplýsinga og innra eftirlit lögreglu með því að vinnslu persónuupplýsinga sé hagað í samræmi við lög, svo og um tímalengd á varðveislu skráðra upplýsinga.
Þá skal í reglugerð kveða nánar á um starfsemi þeirra sem nota nafnalista, vinna nafnáritanir, þar á meðal við markaðssetningarstarfsemi, og við gerð markaðs- og skoðanakannana.
   1)Rg. 246/2001. 2)Rg. 322/2001, sbr. 926/2004, 362/2008 og 1137/2008.
46. gr. Gildistaka.
Lög þessi öðlast gildi 1. janúar 2001.
Ákvæði til bráðabirgða. Þegar er lög þessi hafa verið birt skal ráðherra skipa stjórn og auglýsa embætti forstjóra Persónuverndar laust til umsóknar. Eftir að forstjóri hefur verið skipaður ræður hann eftir þörfum annað starfsfólk til að annast undirbúning að gildistöku laganna og sinna stjórnsýslu skv. 2. mgr.
Þrátt fyrir 1. mgr. 46. gr. skal Persónuvernd þegar er stjórn hennar hefur verið skipuð taka að sér eftirlit með því að meðferð persónuupplýsinga í Schengen-upplýsingakerfinu á Íslandi sé í samræmi við lög nr. 16/2000, um Schengen-upplýsingakerfið á Íslandi.
Sérhver ábyrgðaraðili sem beitir rafrænni tækni við vinnslu persónuupplýsinga við gildistöku laganna skal á þar til gerðu eyðublaði tilkynna Persónuvernd um vinnsluna í samræmi við ákvæði 31. og 32. gr. innan sex mánaða frá gildistöku þeirra.
Leyfi sem tölvunefnd hefur gefið út skulu halda gildi, enda fari þau ekki í bága við lög þessi.