Lagasafn. Íslensk lög 1. maí 2013. Útgáfa 141b. Prenta í tveimur dálkum.
1. gr. Markmið.
Markmið laga þessara er að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins. Sérstök stofnun, Persónuvernd, annast eftirlit með framkvæmd laga þessara og reglna sem settar verða samkvæmt þeim, sbr. nánar ákvæði 36. gr. 2. gr. Skilgreiningar. Merking orða og hugtaka í lögum þessum er sem hér segir:
3. gr. Efnislegt gildissvið. Lögin gilda um sérhverja rafræna vinnslu persónuupplýsinga. Lögin gilda einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Ákvæði 16., 18.–21., 24., 26., 31. og 32. gr. laganna gilda ekki um vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu. Lögin gilda ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða eru einvörðungu ætlaðar til persónulegra nota. 4. gr. [Rafræn vöktun. Rafræn vöktun er ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis þar sem takmarkaður hópur fólks fer um að jafnaði er jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram. Vinnsla persónuupplýsinga sem á sér stað í tengslum við rafræna vöktun skal uppfylla ákvæði laga þessara. Um sjónvarpsvöktun fer, auk ákvæðis 1. mgr., samkvæmt ákvæðum 7., 24., 40. og 41. gr. laganna, svo og eftir því sem við á ákvæðum 31., 32. og 38. gr. laganna.]1) 5. gr. Tengsl við tjáningarfrelsi. Að því marki sem það er nauðsynlegt til að samræma sjónarmið um rétt til einkalífs annars vegar og tjáningarfrelsis hins vegar má víkja frá ákvæðum laganna í þágu fjölmiðlunar, lista eða bókmennta. Þegar persónuupplýsingar eru einvörðungu unnar í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi gilda aðeins ákvæði 4. gr., 1. og 4. tölul. 7. gr., 11.–13. gr. og 24., 28., 42. og 43. gr. laganna. 6. gr. Landfræðilegt gildissvið. [Lögin gilda um vinnslu persónuupplýsinga á vegum ábyrgðaraðila sem hefur staðfestu hér á landi, enda fari vinnsla persónuupplýsinganna fram á Evrópska efnahagssvæðinu, [í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu]1) eða í landi eða á stöðum sem Persónuvernd auglýsir í Stjórnartíðindum.2) [Lögin gilda einnig um vinnslu persónuupplýsinga þótt ábyrgðaraðili hafi hvorki staðfestu í ríki á Evrópska efnahagssvæðinu né í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu ef hann notar tæki og búnað sem er hér á landi.]1) Lögin gilda einnig um vinnslu upplýsinga um fjárhagsmálefni og lánstraust lögaðila, sbr. 45. gr. laganna, enda þótt ábyrgðaraðili hafi ekki staðfestu hér á landi, ef hann notar tæki og búnað sem er hér á landi. Ákvæði 2. og 3. mgr. gilda ekki ef umræddur tækjabúnaður er einungis notaður til að flytja persónuupplýsingar um Ísland. Þegar svo hagar til sem greinir í 2. og 3. mgr. skal ábyrgðaraðili tilnefna fulltrúa sinn sem hefur staðfestu hér á landi og gilda þá ákvæði laganna varðandi ábyrgðaraðila um þann fulltrúa eftir því sem við á.]3) 7. gr. [Meginreglur um gæði gagna og vinnslu.]1) Við meðferð persónuupplýsinga skal allra eftirfarandi þátta gætt:
[Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr.]1) 8. gr. [Almennar reglur um heimildir fyrir vinnslu persónuupplýsinga.]1) Vinnsla persónuupplýsinga er því aðeins heimil að einhverjir eftirfarandi þátta séu fyrir hendi:
…2) [Persónuvernd getur heimilað vinnslu persónuupplýsinga í öðrum tilvikum en greinir í 1. og 2. mgr. ef sýnt þykir að brýnir almannahagsmunir eða hagsmunir einstaklinga, þar með taldir hagsmunir hins skráða, krefjist þess. Skal þá ótvírætt að þörfin fyrir vinnsluna vegi þyngra en tillitið til þess að hún fari ekki fram. Getur Persónuvernd bundið slík leyfi þeim skilyrðum sem hún metur nauðsynleg hverju sinni til að tryggja hagsmuni hins skráða.]1) 9. gr. [Sérstök skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga.]1) [Vinnsla viðkvæmra persónuupplýsinga er óheimil nema uppfyllt sé eitthvert af skilyrðum 1. mgr. 8. gr. og enn fremur eitthvert af eftirfarandi skilyrðum:]1)
[Þrátt fyrir að skilyrði 1. mgr. séu ekki uppfyllt er heimilt, í tengslum við framkvæmd rafrænnar vöktunar, að safna efni sem verður til við vöktunina, svo sem hljóð- og myndefni, með viðkvæmum persónuupplýsingum ef eftirfarandi skilyrði eru uppfyllt:
Persónuvernd getur heimilað vinnslu viðkvæmra persónuupplýsinga í öðrum tilvikum en greinir í [1. og 2. mgr.]2) telji hún brýna almannahagsmuni mæla með því. Persónuvernd bindur slíka heimild þeim skilyrðum sem hún telur nauðsynleg hverju sinni til að tryggja hagsmuni hinna skráðu. Persónuvernd setur, að fenginni umsögn vísindasiðanefndar, reglur3) um hvernig velja má og nálgast fólk til þátttöku í vísindarannsóknum og hvaða fræðslu skuli veita því áður en samþykkis þess er óskað. Persónuvernd leysir úr ágreiningi um hvort persónuupplýsingar skuli teljast viðkvæmar eða ekki. 10. gr. Notkun kennitölu. Notkun kennitölu er heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Persónuvernd getur bannað eða fyrirskipað notkun kennitölu. 11. gr. [Áhættumat, öryggi og gæði persónuupplýsinga. Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur1) og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt. Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar. Ábyrgðaraðili skal skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir. Skal Persónuvernd hafa aðgang að upplýsingum um framangreind atriði hvenær sem hún óskar.]2) 12. gr. Innra eftirlit. [Ábyrgðaraðili skal viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Innra eftirlit skal viðhaft með reglubundnum hætti. Tíðni eftirlitsins og umfang þess skal ákveðið með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd eftirlitsins. Það skal þó eigi fara fram sjaldnar en árlega. Ábyrgðaraðili skal sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skal lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skal varðveita tryggilega. Persónuvernd hefur rétt til að aðgangs að þeim hvenær sem er. Persónuvernd getur sett frekari fyrirmæli1) um framkvæmd innra eftirlits og veitt undanþágu frá því að slíkt innra eftirlit skuli viðhaft eða takmarkað til hvaða þátta í vinnslunni það skuli taka.]2) 13. gr. [Trúnaðarskylda vinnsluaðila við meðferð persónuupplýsinga. Ábyrgðaraðila er heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laga þessara. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit skv. 12. gr. laga þessara. Samningur skv. 1. mgr. skal vera skriflegur og a.m.k. í tveimur eintökum. Þar skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga þessara um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast. Ábyrgðaraðili og vinnsluaðili skulu hvor varðveita sitt eintak af samningnum. Hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg. Hafi vinnsluaðili staðfestu í öðru ríki á Evrópska efnahagssvæðinu en ábyrgðaraðili, sbr. 1. mgr. 6. gr., skal jafnframt mælt svo fyrir í samningi að lög og reglur þess ríkis þar sem vinnsluaðili hefur staðfestu gildi um öryggisráðstafanir við vinnslu persónuupplýsinga. Getur Persónuvernd t.d. í auglýsingu1) í Stjórnartíðindum áskilið að slíkur samningur innihaldi stöðluð ákvæði sem séu í samræmi við ákvörðun framkvæmdastjórnar Evrópubandalagsins. Sama á við þegar ábyrgðaraðili hefur staðfestu í ríki á Evrópska efnahagssvæðinu en vinnsluaðili ekki fari vinnslan fram í landi eða á stöðum sem upp eru taldir í auglýsingu sem Persónuvernd gefur út.]2) [Ákvæði 4. mgr. gilda einnig þegar vinnsluaðili á staðfestu í öðru aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu en ábyrgðaraðili, sbr. 1. mgr. 6. gr., og þegar ábyrgðaraðili hefur staðfestu í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu en vinnsluaðili ekki.]3) 14. gr. Frestur til að fullnægja skyldum. Ábyrgðaraðili skal afgreiða erindi samkvæmt ákvæðum 16., 18., 22., 25., 26., 27. og 28. gr. svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku þess. Ef sérstakar ástæður valda því að ómögulegt er fyrir ábyrgðaraðila að afgreiða erindi innan eins mánaðar er honum heimilt að gera það síðar. Þegar svo hagar til skal ábyrgðaraðili innan mánaðarfrestsins gefa hlutaðeigandi skriflegar skýringar á ástæðum tafarinnar og hvenær svars sé að vænta. 15. gr. Greiðsla kostnaðar. Verða skal við erindi samkvæmt ákvæðum 16., 18., 22., 25., 26., 27. og 28. gr. án þess að taka fyrir það sérstakt gjald. Þó má, ef um er að ræða mikinn kostnað, svo sem vegna ljósritunar skjala, taka greiðslu fyrir samkvæmt gjaldskrá sem ákveðin er af [ráðherra]1) með reglugerð. 16. gr. Réttur til almennrar vitneskju um vinnslu persónuupplýsinga. Ábyrgðaraðila er skylt að veita hverjum sem þess óskar almenna vitneskju um þá vinnslu persónuupplýsinga sem fram fer á hans vegum. Þeim sem þess óskar skal enn fremur, að því er varðar tiltekna tegund vinnslu, veitt vitneskja um eftirtalin atriði:
Kröfu skv. 1. mgr. skal beint til ábyrgðaraðila, eða fulltrúa hans skv. 6. gr., og má krefjast skriflegrar greinargerðar um þau atriði sem óskað er vitneskju um. 17. gr. Opinber skrá um veittar heimildir og mótteknar tilkynningar. Persónuvernd skal halda skrá yfir alla vinnslu sem henni er tilkynnt um í samræmi við 31. gr. og þá vinnslu sem hún heimilar skv. 33. gr. Þar skulu að lágmarki koma fram þau atriði sem talin eru í 2. mgr. 16. gr. Skráin skal vera aðgengileg almenningi með þeirri aðferð sem Persónuvernd ákveður. 18. gr. Upplýsingaréttur hins skráða. Hinn skráði á rétt á að fá frá ábyrgðaraðila vitneskju um:
Kröfu um vitneskju skv. 1. mgr. skal beina til ábyrgðaraðila eða fulltrúa hans skv. 6. gr. Veita skal vitneskju skriflega sé þess óskað. 19. gr. Takmarkanir á upplýsingarétti hins skráða. Réttur hins skráða til að fá vitneskju skv. 18. gr. nær ekki til upplýsinga sem einvörðungu eru notaðar til tölfræðivinnslu eða vísindarannsókna, enda geti vinnsla þeirra ekki haft bein áhrif á hagsmuni hans. Ákvæði 18. gr. eiga ekki við ef réttur hins skráða samkvæmt því ákvæði þykir eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra eða hans eigin. Skal þá m.a. tekið tillit til heilsu hins skráða og hagsmuna venslamanna hans. Þó má samkvæmt beiðni veita umboðsmanni hins skráða vitneskjuna, enda mæli engar sérstakar ástæður gegn því. Réttur hins skráða til að fá vitneskju samkvæmt ákvæðum 18. gr. nær ekki til upplýsinga sem eru undanþegnar aðgangi samkvæmt upplýsinga- eða stjórnsýslulögum. Þegar um er að ræða gögn í vörslu annarra ábyrgðaraðila en stjórnvalda ná ákvæði 18. gr. ekki til vitneskju um efni vinnuskjala eða annarra sambærilegra gagna sem unnin eru af ábyrgðaraðila sjálfum eða aðilum á hans vegum, t.d. sérstökum ráðgjöfum eða sérfræðingum. Þótt gögn séu undanþegin upplýsingarétti hins skráða skv. 3. mgr. getur hann óskað greinargerðar um efnislegt innihald þeirra, útdráttar eða annars konar samantektar nema hann geti kynnt sér staðreyndir málsins með öðrum hætti. Dragi veiting vitneskju um tilteknar upplýsingar úr möguleikum á að leiða til lykta mál sem er til meðferðar má fresta veitingu upplýsinganna þar til lokið er undirbúningi málsmeðferðar. Persónuvernd getur sett skilmála um beitingu upplýsingaréttar hins skráða í reglum sem ráðherra staðfestir. 20. gr. [Fræðsluskylda þegar persónuupplýsinga er aflað hjá hinum skráða. Þegar ábyrgðaraðili aflar persónuupplýsinga hjá hinum skráða sjálfum skal hann upplýsa hinn skráða um eftirtalin atriði:
Ákvæði 1. mgr. gilda ekki hafi hinn skráði þegar fengið vitneskju um þau atriði sem fram koma í 1.–3. tölul. 1. mgr.]1) 21. gr. [Skylda til að láta hinn skráða vita um vinnslu persónuupplýsinga þegar þeirra er aflað hjá öðrum en honum sjálfum. Þegar ábyrgðaraðili aflar persónuupplýsinga frá öðrum en hinum skráða skal hann samtímis láta hinn skráða vita af því og greina honum frá þeim atriðum sem talin eru í 3. mgr. Sé ætlun ábyrgðaraðila hins vegar að miðla upplýsingunum innan hæfilegra tímamarka frá öflun þeirra má hann þó fresta því þar til hann miðlar upplýsingunum í fyrsta sinn. Þrátt fyrir 2. málsl. 1. mgr. skal ábyrgðaraðili sem annast miðlun upplýsinga um fjárhagsmálefni og lánstraust láta hinn skráða vita 14 dögum áður en slíkum upplýsingum er miðlað í fyrsta sinn. Í tilkynningu til hins skráða skal veita upplýsingar um:
Ákvæði 1. mgr. gilda ekki ef:
22. gr. Rökstuðningur sértækra ákvarðana sem byggjast á sjálfvirkri upplýsingavinnslu. Ef fyrir liggur sértæk ákvörðun sem að öllu leyti er byggð á rafrænni vinnslu persónuupplýsinga getur sá sem ákvörðunin beinist að krafist rökstuðnings fyrir niðurstöðunni. Í rökstuðningi skal ábyrgðaraðili gera grein fyrir þeim reglum sem hin rafræna vinnsla byggist á og liggja ákvörðuninni til grundvallar. 23. gr. Viðvaranir um notkun persónusniða. Þegar persónusnið sem skilgreinir tiltekið hátterni, smekk, hæfileika eða þarfir er lagt til grundvallar:
Við ákvörðun skv. 1. mgr. skal Persónuvernd m.a. líta til þess hvort viðvörun er að hennar mati óframkvæmanleg eða leggi þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast. 24. gr. Viðvaranir um rafræna vöktun. Þegar rafræn vöktun fer fram á vinnustað eða á almannafæri skal með merki eða á annan áberandi hátt gera glögglega viðvart um þá vöktun og hver sé ábyrgðaraðili. 25. gr. Leiðrétting og eyðing rangra og villandi persónuupplýsinga. Ef skráðar hafa verið persónuupplýsingar sem eru rangar, villandi eða ófullkomnar, eða persónuupplýsingar hafa verið skráðar án tilskilinnar heimildar, skal ábyrgðaraðili sjá til þess að upplýsingarnar verði leiðréttar, þeim eytt eða við þær aukið ef umræddur annmarki getur haft áhrif á hagsmuni hins skráða. Hafi slíkum upplýsingum verið miðlað eða þær notaðar ber ábyrgðaraðila, eftir því sem honum er frekast unnt, að hindra að það hafi áhrif á hagsmuni hins skráða. Ef eyðing eða breyting þeirra upplýsinga sem um ræðir í 1. mgr. er óheimil samkvæmt ákvæðum annarra laga getur Persónuvernd bannað notkun upplýsinganna. 26. gr. Eyðing og bann við notkun persónuupplýsinga sem hvorki eru rangar né villandi. Þegar ekki er lengur málefnaleg ástæða til að varðveita persónuupplýsingar skal ábyrgðaraðili eyða þeim. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða á því að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra. Ef ákvæði annarra laga standa því ekki í vegi getur skráður aðili engu síður krafist þess að upplýsingum um hann skv. 1. mgr. sé eytt eða notkun þeirra bönnuð ef slíkt telst réttlætanlegt út frá heildstæðu hagsmunamati. Við slíkt hagsmunamat skal taka tillit til hagsmuna annarra, almennra persónuverndarhagsmuna, almannahagsmuna og þeirra aðgerða sem þörf er á til að verða við kröfunni. Persónuvernd getur, bæði í einstökum tilvikum eða með setningu almennra reglna, bannað notkun slíkra upplýsinga eða mælt fyrir um eyðingu þeirra. 27. gr. Réttur til að fá ákvörðun sem byggist á handvirkri vinnslu upplýsinga. Ef fyrir liggur sértæk ákvörðun í skilningi 9. tölul. 2. gr., sem að öllu leyti hefur byggst á sjálfvirkri vinnslu persónuupplýsinga, getur sá sem ákvörðun beinist að, eða mál varðar beinlínis með öðrum hætti, krafist þess að fá ákvörðunina handunna, enda sé um að ræða ákvörðun sem varðar persónulega hagi eða eiginleika hans og hefur verulega þýðingu fyrir hann. Réttur skv. 1. mgr. er ekki til staðar ef beitt er viðhlítandi ráðstöfunum til að gæta persónuverndarhagsmuna viðkomandi og um er að ræða ákvörðun sem byggist á fyrirmælum laga eða tengist gerð eða efndum samnings. 28. gr. [[Um andmælarétt hins skráða og um bannskrá [Þjóðskrár Íslands].1)]2) Hinum skráða er heimilt að andmæla vinnslu upplýsinga um sjálfan sig ef hann hefur til þess lögmætar og knýjandi ástæður vegna sérstakra aðstæðna sinna nema kveðið sé á um annað í öðrum lögum. Eigi andmælin rétt á sér er ábyrgðaraðila óheimil frekari vinnsla umræddra upplýsinga. [[Þjóðskrá Íslands]1) skal halda skrá yfir þá sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi. [Ráðherra]3) setur, í samráði við Persónuvernd, nánari reglur4) um gerð og notkun slíkrar skrár og hvaða upplýsingar skuli koma þar fram.]2) Ábyrgðaraðilar sem starfa í beinni markaðssókn og þeir sem nota skrá með nöfnum, heimilisföngum, netföngum, símanúmerum og þess háttar eða miðla þeim til þriðja aðila í tengslum við slíka starfsemi skulu, áður en slík skrá er notuð í slíkum tilgangi, bera hana saman við skrá [Þjóðskrár Íslands]1) til að koma í veg fyrir að markpóstur verði sendur eða hringt verði til einstaklinga sem hafa andmælt slíku. Persónuvernd getur heimilað undanþágu frá þessari skyldu í sérstökum tilvikum. Öll notkun bannskrár skv. 2. mgr. er óheimil í öðrum tilgangi en þar er lýst. Skylt er að nafn ábyrgðaraðila komi fram á áberandi stað á útsendum markpósti og hvert þeir sem andmæla því að fá slíkan markpóst og marksímtöl geti snúið sér. Viðtakandi markpósts á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu eða útsendingu til grundvallar. Þetta gildir ekki um markaðssetningu ábyrgðaraðila á eigin vöru og þjónustu sem notar eigin viðskiptamannaskrár, enda beri útsent efni með sér hvaðan það kemur. [Ef markpóstur er sendur með rafrænum hætti er skylt að fram komi á ótvíræðan hátt um leið og hann er móttekinn að um slíkan póst sé að ræða.]5) Ábyrgðaraðila er heimilt að afhenda félaga-, starfsmanna- eða viðskiptamannaskrár til nota í tengslum við markaðssetningarstarfsemi. Þetta á þó aðeins við ef:
Ákvæði 5. mgr. gildir ekki ef afhending félaga-, starfsmanna- eða viðskiptamannaskrár til nota við dreifingu markpósts byggist á samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr. Ákvæði 1.–5. mgr. gilda, eftir því sem við á, einnig um markaðs-, neyslu- og skoðanakannanir. Persónuvernd er heimilt að undanþiggja vísindarannsóknir og hliðstæðar rannsóknir slíkum takmörkunum, enda þyki ljóst að slíkt geti skert til muna áreiðanleika niðurstöðu rannsóknarinnar.]6) 29. gr. Flutningur persónuupplýsinga til ríkis sem veitir fullnægjandi persónuupplýsingavernd. Heimill er flutningur persónuupplýsinga til annars ríkis ef lög þess veita persónuupplýsingum fullnægjandi vernd. Ríki sem framfylgir tilskipun Evrópusambandsins 95/46/ESB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga telst fullnægja skilyrðum 1. mgr. [Sama á við um lönd eða staði sem Persónuvernd auglýsir1) í Stjórnartíðindum að virtum ákvörðunum framkvæmdastjórnar Evrópubandalagsins.]2) Við mat á því hvort ríki sem ekki framfylgir tilskipun 95/46/ESB fullnægi skilyrðum 1. mgr. skal m.a. líta til reglna viðkomandi ríkis um meðferð persónuupplýsinga, reglna um góða viðskiptahætti og þeirra öryggisráðstafana sem viðhafðar eru hjá viðtakanda. Þá skal taka mið af því hvort viðkomandi ríki hafi fullgilt samning Evrópuráðsins nr. 108 frá 28. janúar 1981, um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga. 30. gr. Flutningur persónuupplýsinga til ríkis sem ekki veitir fullnægjandi persónuupplýsingavernd. Óheimill er flutningur persónuupplýsinga til ríkis sem ekki veitir fullnægjandi persónuupplýsingavernd nema:
Persónuvernd getur heimilað flutning upplýsinga til ríkis er greinir í 1. mgr. telji hún sérstök rök mæla með því, jafnvel þótt skilyrðum ákvæðisins sé ekki fullnægt. Í slíku tilviki skal m.a. taka tillit til eðlis upplýsinganna, fyrirhugaðs tilgangs vinnslunnar og hve lengi hún varir. [Persónuvernd getur heimilað miðlun persónuupplýsinga til þriðju landa þótt þau hafi ekki verið talin veita friðhelgi borgaranna nægilega einkalífsvernd. Slíkt er háð því að ábyrgðaraðili hafi, að mati stofnunarinnar, veitt nægilegar tryggingar fyrir slíku. Getur stofnunin t.d. áskilið að ábyrgðaraðili hafi gert við viðtökuaðila skriflegan samning sem hafi að geyma tiltekin stöðluð samningsákvæði í samræmi við ákvörðun sem Persónuvernd hefur auglýst í Stjórnartíðindum, að teknu tilliti til ákvarðana framkvæmdastjórnar Evrópubandalagsins, sbr. 2. mgr. 29. gr. laga þessara. Að öðru leyti getur Persónuvernd sett nánari fyrirmæli2) um flutning persónuupplýsinga úr landi.]1) 31. gr. Tilkynningarskylda. Sérhver ábyrgðaraðili sem beitir rafrænni tækni við vinnslu persónuupplýsinga, sbr. 8. gr. og 1. mgr. 9. gr., skal á þar til gerðu formi tilkynna Persónuvernd um vinnsluna tímanlega áður en hún hefst. Tilkynna skal allar breytingar sem verða frá því sem greinir í upphaflegri tilkynningu. Tilkynningarskyldan á ekki við ef einungis er unnið með upplýsingar sem gerðar hafa verið og eru aðgengilegar almenningi. Persónuvernd getur ákveðið1) að vissar tegundir vinnslu almennra upplýsinga skuli vera undanþegnar tilkynningarskyldu eða að um þær gildi einfaldari tilkynningarskylda. Persónuvernd getur jafnframt ákveðið1) að vissar tegundir vinnslu skuli vera leyfisskyldar. Um vinnslu sem undanþegin er tilkynningarskyldu getur Persónuvernd sett fyrirmæli, þar á meðal um þau atriði sem talin eru í 2. mgr. 35. gr. Persónuvernd getur einnig mælt fyrir um ráðstafanir til að draga úr óhagræði sem slík vinnsla persónuupplýsinga kann að hafa í för með sér fyrir hinn skráða. 32. gr. Efni tilkynninga. Í tilkynningu til Persónuverndar skv. 31. gr. skal tilgreina eftirfarandi atriði:
Persónuvernd getur sett nánari fyrirmæli2) um form og efni tilkynninga og um framkvæmd tilkynningarskyldunnar að öðru leyti. Ábyrgðaraðili skal sjá til þess að Persónuvernd hafi á hverjum tíma undir höndum réttar upplýsingar um vinnsluna. Þegar liðin eru þrjú ár frá því að tilkynning var send Persónuvernd skal senda henni nýja tilkynningu með uppfærðum upplýsingum nema henni hafi áður verið tilkynnt um breytta vinnslu. Persónuvernd getur mælt fyrir um ráðstafanir til að tryggja gæði og áreiðanleika tilkynninga og ákveðið mismunandi tilkynningarfrest eftir tegund og eðli vinnslu.3) 33. gr. Leyfisskyld vinnsla. Sé um að ræða vinnslu almennra eða viðkvæmra persónuupplýsinga sem getur falið í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra aðila getur Persónuvernd ákveðið1) að vinnslan megi ekki hefjast fyrr en hún hefur verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar. Persónuvernd getur ákveðið2) að slík leyfisskylda falli brott þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skuli við slíka vinnslu. 34. gr. Forsendur leyfisveitingar o.fl. Ábyrgðaraðila má aðeins veita leyfi skv. 33. gr., eða einstakar aðrar heimildir samkvæmt lögum þessum, ef líklegt er að hann geti fullnægt skyldum sínum samkvæmt lögunum eða fyrirmælum Persónuverndar. Við afgreiðslu mála er tengjast vinnslu viðkvæmra persónuupplýsinga skal Persónuvernd, innan þeirra marka sem greinir í II. kafla laganna, meta hvort vinnslan geti valdið hinum skráða slíku óhagræði að ekki verði úr því bætt með forsvaranlegum hætti með skilyrðum sem sett eru skv. 35. gr. Ef slíkt óhagræði getur orðið skal Persónuvernd meta hvort hagsmunir sem mæla með vinnslunni vegi þyngra en hagsmunir hins skráða. 35. gr. Skilmálar Persónuverndar um vinnslu persónuupplýsinga. Þegar ábyrgðaraðila er veitt leyfi skv. 33. gr. skal Persónuvernd binda það skilyrðum, svo sem um dulkóðun persónuauðkenna og öðrum sem hún metur nauðsynleg hverju sinni, til að draga úr eða koma í veg fyrir hugsanlegt óhagræði hins skráða af vinnslunni. Sama gildir eftir því sem við á þegar Persónuvernd berst tilkynning um vinnslu viðkvæmra persónuupplýsinga sem fellur undir 1. mgr. 9. gr. Við mat á því hvaða skilyrði skal setja fyrir vinnslu skal Persónuvernd m.a. athuga:
Persónuvernd getur ákveðið að ábyrgðaraðili og vinnsluaðili, svo og starfsmenn á vegum þeirra, skuli undirrita yfirlýsingu um að þeir lofi að gæta þagmælsku um viðkvæmar persónuupplýsingar sem þeir fá vitneskju um við vinnslu þeirra. Ábyrgðaraðili eða fulltrúi hans skal votta rétta undirskrift starfsmanns og dagsetningu slíkrar yfirlýsingar og koma til Persónuverndar innan tilskilins frests. Brot á slíkri þagnarskyldu varðar refsingu skv. 136. gr. almennra hegningarlaga. Þagnarskyldan helst þótt látið sé af starfi. Persónuvernd getur afgreitt erindi er lýtur að vinnslu viðkvæmra persónuupplýsinga með skilyrði um að sérstakur tilsjónarmaður verði skipaður til að hafa eftirlit fyrir hönd Persónuverndar með því að vinnsla sé í samræmi við lög og að ábyrgðaraðili greiði allan kostnað sem af því hlýst. 36. gr. Skipulag Persónuverndar og stjórnsýsla. Persónuvernd er sjálfstæð stofnun með sérstaka stjórn og heyrir stjórnarfarslega undir [ráðherra].1) Persónuvernd er sjálfstæð í störfum sínum og verður ákvörðunum hennar samkvæmt lögum þessum ekki skotið til annarra stjórnvalda. Ráðherra skipar fimm menn í stjórn Persónuverndar og jafnmarga til vara til fjögurra ára í senn. Formann og varaformann stjórnarinnar skipar ráðherra án tilnefningar og skulu þeir vera lögfræðingar og fullnægja hæfisskilyrðum héraðsdómara. Hæstiréttur tilnefnir einn stjórnarmann og Skýrslutæknifélag Íslands annan og skal hann vera sérfróður á sviði tölvu- og tæknimála. Varamenn skulu fullnægja sömu skilyrðum og aðalmenn. Ráðherra ákveður laun stjórnarmanna. Þegar stjórnarmenn eru ekki sammála ræður meiri hluti niðurstöðu máls. Ef atkvæði eru jöfn ræður atkvæði formanns. Ráðherra skipar forstjóra Persónuverndar til fimm ára í senn að fenginni tillögu stjórnar. Forstjóri situr fundi stjórnar með málfrelsi og tillögurétti. Forstjóri Persónuverndar annast daglega stjórn og ræður annað starfsfólk Persónuverndar. Forstjóri ber ábyrgð á fjárreiðum og starfsmannahaldi Persónuverndar. Stjórn Persónuverndar ákveður að öðru leyti skiptingu starfa á milli stjórnar og starfsmanna hennar.2) 37. gr. Verkefni Persónuverndar. Persónuvernd annast eftirlit með framkvæmd laga þessara og reglna settra samkvæmt þeim. Persónuvernd úrskurðar í ágreiningsmálum sem upp kunna að koma um vinnslu persónuupplýsinga [á Íslandi, hvort sem íslensk lög eða lög annars ríkis gilda um vinnsluna].1) Persónuvernd getur fjallað um einstök mál að eigin frumkvæði eða samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um hann í samræmi við lög þessi og reglur sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Verkefni Persónuverndar eru m.a. eftirfarandi:
Persónuvernd getur ákveðið að ábyrgðaraðili skuli greiða þann kostnað sem hlýst af eftirliti með því að hann fullnægi skilyrðum laga þessara og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Persónuvernd getur einnig ákveðið að ábyrgðaraðili greiði kostnað við úttekt á starfsemi við undirbúning útgáfu vinnsluleyfis og annarrar afgreiðslu. [Persónuvernd setur reglur4) um rafræna vöktun og vinnslu efnis sem verður til við vöktunina, svo sem hljóð- og myndefnis, þar á meðal um öryggi, varðveislu og notkun þess. Þá getur hún gefið fyrirmæli um rétt þess sem myndaður hefur verið til að skoða myndir sem teknar hafa verið af honum. Persónuvernd setur jafnframt reglur og gefur fyrirmæli um eyðingu efnis sem til verður við framkvæmd rafrænnar vöktunar, ákveður varðveisluaðferð og varðveislutíma og heimilar afhendingu þess í öðrum tilvikum en þeim sem mælt er fyrir um í 2. mgr. 9. gr.]5) 38. gr. Aðgangur Persónuverndar að upplýsingum o.fl. Persónuvernd getur krafið ábyrgðaraðila, vinnsluaðila og þá sem starfa á þeirra vegum um allar þær upplýsingar og skriflegar skýringar sem henni eru nauðsynlegar til þess að rækja hlutverk sitt, þar á meðal þær upplýsingar sem hún þarf til að geta metið hvort tiltekin starfsemi eða vinnsla falli undir ákvæði laganna. Einnig getur Persónuvernd kvatt ábyrgðaraðila, vinnsluaðila og þá sem starfa á þeirra vegum á sinn fund til að veita munnlegar upplýsingar og skýringar varðandi ákveðna vinnslu persónuupplýsinga. Persónuvernd hefur í eftirlitsstörfum sínum án dómsúrskurðar aðgang að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þar á meðal stöðum þar sem varðveittar eru skrár, myndir, sbr. 4. gr., persónuupplýsingar sem lúta rafrænni vinnslu, og tæki til slíkrar vinnslu. Persónuvernd getur framkvæmt hverja þá prófun eða eftirlitsaðgerð sem hún telur nauðsynlega og krafist nauðsynlegrar aðstoðar starfsfólks á slíkum vettvangi til að framkvæma prófun eða eftirlit. Persónuvernd getur óskað liðveislu lögreglu ef einhver leitast við að hindra hana í eftirlitsstörfum sínum. Réttur Persónuverndar til að krefjast upplýsinga eða aðgangs að starfsstöðvum og tækjabúnaði verður ekki takmarkaður með vísun til reglna um þagnarskyldu. 39. gr. Undanþágur frá þagnarskyldu. Ákvæði um þagnarskyldu standa því ekki í vegi að Persónuvernd veiti persónuverndarstofnunum erlendis upplýsingar þegar slíkt er nauðsynlegt til að hún eða hin erlenda persónuverndarstofnun geti ákveðið eða framkvæmt aðgerðir til að tryggja persónuvernd. 40. gr. Stöðvun vinnslu o.fl. Persónuvernd getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, þar á meðal söfnunar, skráningar eða miðlunar, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Við mat á því hvort og þá hvaða úrræðum skuli beitt skal Persónuvernd m.a. taka tillit til þeirra atriða sem greinir í 2. mgr. 35. gr. Komi í ljós að fram fer vinnsla persónuupplýsinga sem brýtur í bága við ákvæði laga þessara eða reglur settar samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað. Sinni aðili ekki fyrirmælum Persónuverndar skv. 1. mgr. getur hún afturkallað leyfi sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati. 41. gr. Dagsektir. Ef ekki er farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. getur hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati Persónuverndar. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt. Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra. 42. gr. Refsingar. Brot á ákvæðum laga þessara og reglugerða settra samkvæmt þeim varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar. Nú er brot framið í starfsemi lögaðila og má þá gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga. 43. gr. Bætur. Hafi ábyrgðaraðili eða vinnsluaðili unnið með persónuupplýsingar í andstöðu við ákvæði laga þessara, reglna eða fyrirmæla Persónuverndar skal ábyrgðaraðili bæta hinum skráða það fjárhagslega tjón sem hann hefur orðið fyrir af þeim völdum. Ábyrgðaraðila verður þó ekki gert að bæta tjón sem hann sannar að hvorki verður rakið til mistaka né vanrækslu af hans hálfu eða vinnsluaðila. 44. gr. Tengsl við ákvæði annarra laga. Lögin gilda um vinnslu og meðferð persónuupplýsinga sem fram fer samkvæmt öðrum lögum nema þau lög tilgreini annað sérstaklega. Lög þessi takmarka ekki þann rétt til aðgangs að gögnum sem mælt er fyrir um í upplýsingalögum og stjórnsýslulögum. 45. gr. Reglugerðir um einstaka flokka starfsemi. Með reglugerð má mæla fyrir um meðferð persónuupplýsinga í tiltekinni starfsemi og hjá einstökum starfsstéttum. Í reglugerð1) skal mælt fyrir um heimild til söfnunar og skráningar upplýsinga sem varða fjárhagsmálefni og lánstraust fyrirtækja, svo og annarra lögaðila, í því skyni að miðla til annarra upplýsingum um það efni. Heimild til slíkrar starfsemi skal bundin leyfi Persónuverndar og um hana gilda eftirfarandi ákvæði laganna: 11. gr. um öryggi og gæði upplýsinga, 12. gr. um innra eftirlit, 13. gr. um meðferð vinnsluaðila á upplýsingum, 18. gr. um upplýsingarétt hins skráða, 21. gr. um viðvörunarskyldu þegar upplýsingum er safnað frá öðrum en hinum skráða, 25. gr. um leiðréttingu og eyðingu rangra og villandi upplýsinga, 26. gr. um eyðingu og bann við notkun upplýsinga sem hvorki eru rangar né villandi, 33. gr. um leyfisskylda vinnslu, 34. gr. um forsendur leyfisveitingar, 35. gr. um skilmála, 38. gr. um aðgang Persónuverndar að upplýsingum o.fl., 40. gr. um stöðvun vinnslu o.fl., 41. gr. um dagsektir, 42. gr. um refsingar og 43. gr. um bætur. Að fenginni umsögn Persónuverndar skal ráðherra í reglugerð2) mæla nánar fyrir um eftirlit Persónuverndar með rafrænni vinnslu persónuupplýsinga hjá lögreglu. Þar skal m.a. mælt fyrir um skyldu lögreglu til að tilkynna Persónuvernd um rafrænt unnar skrár sem hún heldur og efni slíkra tilkynninga. Þá skal mælt fyrir um í hvaða tilvikum og með hvaða hætti hinn skráði á rétt til aðgangs að persónuupplýsingum sem skráðar hafa verið um hann hjá lögreglu, svo og heimild lögreglu til miðlunar upplýsinga í öðrum tilvikum. Loks skal mælt fyrir um öryggi persónuupplýsinga og innra eftirlit lögreglu með því að vinnslu persónuupplýsinga sé hagað í samræmi við lög, svo og um tímalengd á varðveislu skráðra upplýsinga. Þá skal í reglugerð kveða nánar á um starfsemi þeirra sem nota nafnalista, vinna nafnáritanir, þar á meðal við markaðssetningarstarfsemi, og við gerð markaðs- og skoðanakannana. 46. gr. Gildistaka. Lög þessi öðlast gildi 1. janúar 2001. … Ákvæði til bráðabirgða. Þegar er lög þessi hafa verið birt skal ráðherra skipa stjórn og auglýsa embætti forstjóra Persónuverndar laust til umsóknar. Eftir að forstjóri hefur verið skipaður ræður hann eftir þörfum annað starfsfólk til að annast undirbúning að gildistöku laganna og sinna stjórnsýslu skv. 2. mgr. Þrátt fyrir 1. mgr. 46. gr. skal Persónuvernd þegar er stjórn hennar hefur verið skipuð taka að sér eftirlit með því að meðferð persónuupplýsinga í Schengen-upplýsingakerfinu á Íslandi sé í samræmi við lög nr. 16/2000, um Schengen-upplýsingakerfið á Íslandi. Sérhver ábyrgðaraðili sem beitir rafrænni tækni við vinnslu persónuupplýsinga við gildistöku laganna skal á þar til gerðu eyðublaði tilkynna Persónuvernd um vinnsluna í samræmi við ákvæði 31. og 32. gr. innan sex mánaða frá gildistöku þeirra. Leyfi sem tölvunefnd hefur gefið út skulu halda gildi, enda fari þau ekki í bága við lög þessi.