Ferill 51. máls. Aðrar útgáfur af skjalinu: Word Perfect.
1989. – 1059 ár frá stofnun Alþingis.
112. löggjafarþing. – 51 . mál.
Ed.
51. Frumvarp til laga
um skráningu og meðferð persónuupplýsinga.
(Lagt fyrir Alþingi á 112. löggjafarþingi 1989.)
I. KAFLI
Gildissvið laganna.
1. gr.
Lög þessi taka til hvers konar kerfisbundinnar skráningar og annarrar meðferðar á persónuupplýsingum. Lögin eiga við hvort heldur sem skráning er vélræn eða handunnin. Lögin taka til skráningar af hálfu atvinnurekenda, fyrirtækja, félaga, stofnana og til skráningar á vegum opinberra aðila.Með kerfisbundinni skráningu upplýsinga er átt við söfnun og skráningu ákveðinna og afmarkaðra upplýsinga í skipulagsbundna heild.
Með persónuupplýsingum er átt við upplýsingar sem varða einkamálefni, fjárhagsmálefni eða önnur málefni einstaklinga, stofnana, fyrirtækja eða annarra lögpersóna sem sanngjarnt er og eðlilegt að leynt fari.
Ákvæði laganna eiga við um upplýsingar um einkamálefni er varða tiltekinn aðila, þótt hann sé ekki nafngreindur, ef hann er sérgreindur með nafnnúmeri, kennitölu eða öðru skráningarauðkenni sem unnt er að persónugreina með eða án greiningarlykils.
2. gr.
Skráning samkvæmt lögum nr. 30/1956 og skráning í þágu ættfræðirannsókna og æviskrárrita fellur utan marka laga þessara.II. KAFLI
Almennar reglur um heimild til skráningar.
3. gr.
Kerfisbundin skráning persónuupplýsinga, er 1. gr. tekur til, er því aðeins heimil að skráningin sé eðlilegur þáttur í starfsemi viðkomandi aðila og taki einungis til þeirra er tengjast starfi hans eða verksviði, svo sem viðskiptamanna, starfsmanna eða félagsmanna.4. gr.
Óheimilt er að skrá eftirtaldar upplýsingar er varða einkamálefni einstaklinga:a. upplýsingar um litarhátt, kynþátt, stjórnmálaskoðanir og trúarbrögð,
b. upplýsingar um það hvort maður hafi verið grunaður, ákærður eða dæmdur fyrir refsiverðan verknað,
c. upplýsingar um kynlíf manna og heilsuhagi, lyfja-, áfengis- og vímuefnanotkun,
d. upplýsingar um veruleg félagsleg vandamál,
e. upplýsingar um svipuð einkalífsatriði og greinir í a–d.
Skráning upplýsinga þeirra, er greinir í 1. mgr., er heimil standi til þess sérstök heimild samkvæmt öðrum lögum. Þá er skráning upplýsinga skv. 1. mgr. og heimil ef hinn skráði hefur sjálfur látið upplýsingar í té eða upplýsinga er aflað með samþykki hans. Það er skilyrði slíkrar skráningar að upplýsinga sé aflað við þær aðstæður að hinum skráða geti eigi dulist að ætlunin er að skrá viðkomandi upplýsingar.
Þótt skilyrðum 2. mgr. sé eigi fullnægt getur tölvunefnd heimilað skráningu upplýsinga þeirra er greinir í 1. mgr. ef ótvírætt er að skráningaraðila sé brýn nauðsyn vegna starfsemi sinnar að skrá upplýsingarnar. Tölvunefnd bindur heimild til slíkrar skráningar þeim skilyrðum sem hún metur nauðsynleg hverju sinni.
III. KAFLI
Um aðgang að skráðum upplýsingum.
5. gr.
Án sérstakrar heimildar í öðrum lögum er eigi heimilt að skýra frá upplýsingum þeim sem nefndar eru í 1. mgr. 4. gr. nema með samþykki hins skráða eða einhvers er heimild hefur til að skuldbinda hann.Þrátt fyrir ákvæði 1. mgr. þessarar greinar getur tölvunefnd þó heimilað að skýra megi frá upplýsingum þeim er greinir í 1. mgr. 4. gr. ef sýnt er fram á að brýnir almannahagsmunir eða hagsmunir einstaklinga, þar með taldir hagsmunir hins skráða, krefjist þess. Skal þá ótvírætt að þörfin á að fá upplýsingarnar vegi þyngra en tillitið til þess að þeim sé haldið leyndum.
Öðrum upplýsingum, sem falla undir ákvæði laga þessara en þeim sem nefndar eru í 1. mgr. 4. gr., er því aðeins heimilt að skýra frá án samþykkis hins skráða að slík upplýsingamiðlun sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans.
Án sérstakrar lagaheimildar er eigi heimilt að skýra frá upplýsingum um atvik sem eldri eru en fimm ára nema sýnt sé fram á að aðgangur að upplýsingunum geti haft úrslitaþýðingu við mat á tilteknu atriði sem upplýsingarnar tengjast.
Heimilt er að skýra frá upplýsingum ef eigi er unnt að rekja þær til ákveðinna einstaklinga eða lögpersóna.
Samtenging skráa.
6. gr.
Eigi er heimilt að tengja saman skrár er falla undir ákvæði laga þessara nema um sé að ræða skrár sama skráningaraðila. Með sama aðila er hér átt við sama einstakling, fyrirtæki, félag eða stofnun hins opinbera. Með samtengingu skráa er jafnt átt við vélræna sem handunna færslu upplýsinga milli skráa.Þrátt fyrir ákvæði 1. mgr. er heimilt að tengja við skrá upplýsingar um nafn, nafnnúmer, kennitölu, fyrirtækjanúmer, heimilisfang, aðsetur og póstnúmer enda þótt slíkar upplýsingar séu sóttar í skrár annars aðila.
Tölvunefnd getur veitt undanþágu frá samtengingarbanni 1. mgr. ef fullnægt er skilyrðum þeim, sem fram koma í 2.–4. mgr. 5. gr., um heimild tölvunefndar til að veita aðgang að skráðum upplýsingum. Skal þá ótvírætt að þeir hagsmunir, sem ætlunin er að vernda með samtengingunni, vegi þyngra en tillitið til hagsmuna hinna skráðu. Tölvunefnd getur bundið heimild til samtengingar nánari skilyrðum, þar með talið skilyrðum um það hvernig upplýsingarnar verði notaðar og að skýra beri hinum skráða frá því að samtenging kunni að fara fram.
7. gr.
Heimilt er að veita lækni eða tannlækni, er hefur mann til læknismeðferðar, upplýsingar úr sjúkraál sjúkrahúss eða öðrum sjúklingaskrám varðandi hinn skráða. Þá er og heimilt, þegar læknir á í hlut, að veita upplýsingar um aðra menn, einkum vandamenn hins skráða, þegar slíkt er talið skipta máli vegna læknismeðferðar á hinum skráða manni.8. gr.
Nú sýnir tiltekinn aðili fram á að honum sé þörf á ákveðnum skráðum upplýsingum, er falla undir ákvæði laga þessara, vegna dómsmáls eða annarra slíkra laganauðsynja og getur tölvunefnd þá heimilað að þeim er slíka hagsmuni hefur verði látnar upplýsingarnar í té, enda sé þá ótvírætt að þörfin á því að fá upplýsingarnar vegi þyngra en tillitið til þess að upplýsingunum verði haldið leyndum. Þetta á þó ekki við um upplýsingar sem þagnarskylda ríkir um samkvæmt sérstökum lagaákvæðum.IV. KAFLI
Um rétt skráðra aðila.
9. gr.
Telji aðili að persónuupplýsingar um hann séu færðar í tiltekna skrá getur hann óskað þess við skrárhaldara að honum sé skýrt frá efni upplýsinganna. Er skylt að verða við þeim tilmælum án ástæðulausrar tafar.Ákvæði 1. mgr. gilda ekki ef hagsmunir hins skráða af því að fá vitneskju um efni upplýsinga þykja eiga að víkja að nokkru eða öllu fyrir ótvíræðum almannahagsmunum eða einkahagsmunum, þar með talið hagsmunum hins skráða sjálfs. Ef svo er háttað um nokkurn hluta upplýsinga, en eigi aðra, skal beiðanda veitt vitneskja um þá hluta sem eigi þykir varhugavert að skýra frá.
10. gr.
Um skyldu læknis til þess að afhenda sjúkraskrá, alla eða að hluta, sjúklingi eða forráðamanni hans, fer eftir ákvæðum læknalaga nr. 53 frá 19. maí 1988.11. gr.
Ákvæði 9. gr. taka ekki til skrár eða skráningar sem einvörðungu er stofnað til í þágu tölfræðilegra útdrátta. Tölvunefnd getur einnig ákveðið að aðrar skrár séu undanþegnar ákvæðum þessum ef ætla má að ákvæði 2. mgr. 9. gr. muni hafa í för með sér að tilmælum um upplýsingar úr slíkum skrám verði almennt hafnað.12. gr.
Upplýsingar skv. 9. gr. skulu veittar skriflega ef þess er óskað. Skrárhaldari skal verða við tilmælum skráðs aðila og skýra honum frá efni upplýsinga innan fjögurra vikna frá því að krafa um slíkt kom fram, en skýra ella hinum skráða skriflega frá ástæðum þess að tilmælum hans hefur eigi verið sinnt.Ef skrárhaldari hafnar kröfum aðila um að skýra frá efni skráðra upplýsinga, sbr. ákvæði 1. og 2. mgr. 9. gr., er skrárhaldara skylt að vekja athygli hins skráða á rétti hans til þess að bera ágreininginn undir úrlausn tölvunefndar, sbr. ákvæði 13. gr.
13. gr.
Heimilt er að bera ágreining um rétt til aðgangs að upplýsingum samkvæmt þessum kafla laganna undir tölvunefnd sem úrskurðar um ágreininginn.Dómsmálaráðuneytið getur að fenginni umsögn tölvunefndar sett reglur um sanngjarnt gjald er greiða skal fyrir veitingu skráðra upplýsinga.
14. gr.
Nú telur skráður aðili að upplýsingar um hann í skrám, er lög þessi taka til, séu rangar eða villandi. Getur hann þá krafist þess að sá er ábyrgur er fyrir skráningu færi þær í rétt horf, afmái þær eða bæti við þær, eftir því sem við á hverju sinni. Hið sama gildir ef aðili telur að á skrá séu upplýsingar sem eigi er heimilt að skrásetja eða upplýsingar sem eigi hafa lengur þýðingu.Nú neitar sá sem ábyrgur er fyrir skrá að fallast á kröfu um leiðréttingu skv. 1. mgr. eða hefur eigi svarað slíkri kröfu innan fjögurra vikna frá því að hún sannanlega kom fram og getur hinn skráði þá óskað þess við tölvunefnd að nefndin kveði á um það hvort og að hvaða marki taka beri til greina kröfu hans um að leiðrétta upplýsingarnar eða afmá þær. Fallist tölvunefnd á kröfu manns um að afmá eða leiðrétta upplýsingar leggur hún fyrir skrárhaldara að afmá upplýsingarnar eða leiðrétta þær.
Í neitun skrárhaldara skv. 2. mgr. um leiðréttingu eða afmáun rangra eða villandi upplýsinga skal hinum skráða gerð grein fyrir því að ágreining í þeim efnum geti hann borið undir tölvunefnd.
Þegar um upplýsingar um fjárhagsmálefni og lánstraust skv. V. kafla er að ræða skal skrárhaldari senda án tafar öllum þeim, er fengið hafa slíkar upplýsingar frá honum síðustu sex mánuði, svo og hinum skráða, skriflega leiðréttingu. Hinn skráði skal og fá í hendur greinargerð frá skrárhaldara um hverjir hafi móttekið rangar upplýsingar og hverjum leiðréttingar hafi verið sendar. Tölvunefnd getur, þegar um aðrar upplýsingar er að ræða, lagt fyrir skrárhaldara að senda öllum þeim skriflega tilkynningu um leiðréttinguna er á síðustu sex mánuðum, áður en krafa um leiðréttingu kom fram, fengu rangar upplýsingar úr skrá. Skrárhaldari skal þá jafnframt upplýsa hinn skráða um það hverjir fengið hafa tilkynningu um slíka leiðréttingu.
Þegar sérstaklega stendur á getur tölvunefnd ákveðið að skylda skrárhaldara skv. 4. mgr. til þess að senda skriflega leiðréttingu er taki til lengri tíma en síðustu sex mánaða áður en krafa um leiðréttingu kom fram.
V. KAFLI
Skráning upplýsinga um fjárhagsmálefni og lánstraust.
15. gr.
Söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga og lögpersóna, í því skyni að miðla öðrum upplýsingum um það efni, er óheimil án starfsleyfis er tölvunefnd veitir. Þeim einum má veita starfsleyfi sem að mati tölvunefndar er líklegur til að geta uppfyllt skyldur skrárhaldara samkvæmt lögum þessum.16. gr.
Starfsleyfishafa skv. 15. gr. er einungis heimilt að skrá upplýsingar sem eðli sínu samkvæmt geta haft þýðingu við mat á fjárhag og lánstrausti hins skráða. Aldrei er heimilt að taka í slíka skrá upplýsingar þær sem nefndar eru í 1. mgr. 4. gr. laganna.Upplýsingar um fjárhagsmálefni og lánstraust, sem eldri eru en fimm ára, er óheimilt að skrá eða miðla nema ótvírætt sé að viðkomandi upplýsingar hafi verulega þýðingu við mat á fjárhag eða lánstrausti hins skráða. Áður en slíkar upplýsingar eru skráðar eða þeim miðlað skal það tilkynnt viðkomandi aðila og honum gefinn kostur á að gera athugasemdir innan tiltekins frests frá móttöku tilkynningar. Skal sá frestur að lágmarki vera ein vika frá móttöku tilkynningar. Beri aðili fram andmæli er skráning eða miðlun upplýsinga aðeins heimil að fengnu samþykki tölvunefndar.
17. gr.
Eigi er heimilt að færa í skrá samkvæmt kafla þessum aðrar upplýsingar en nafn manns eða fyrirtækis, heimilisfang, kennitölu, nafnnúmer, fyrirtækjanúmer, stöðu og atvinnu eða aðrar upplýsingar sem hægt er að fá úr opinberum skrám án þess að skýra hinum skráða frá því.Ef önnur atriði en þau sem greind eru í 1. mgr. eru tekin á skrá ber starfsleyfishafa að skýra skráðum aðila, sem í fyrsta skipti er tekinn á skrá, frá því innan fjögurra vikna frá skráningu og greina honum frá heimild hans til þess að fá skýrslu um efni skráningar, sbr. 18. gr.
18. gr.
Nú telur aðili að upplýsingar um hann séu skráðar skv. 15. gr. og er starfsleyfishafa þá skylt, innan fjögurra vikna frá því að krafa kom fram um slíkt, að skýra aðila frá efni skráðra upplýsinga og þess mats sem starfsleyfishafinn hefur látið frá sér fara á síðustu sex mánuðum varðandi hagi beiðanda.Ef starfsleyfishafi skv. 15. gr. hefur í vörslum sínum frekari upplýsingar um hinn skráða en þær sem beiðni skv. 1. mgr. lýtur að er honum skylt að gera beiðanda grein fyrir þeim og jafnframt fyrir rétti hins skráða aðila til þess að fá að kynna sér efni skrár af eigin raun.
Hinn skráði aðili getur gert kröfu til þess að fá skrifleg svör skv. 1. mgr. frá skrárhaldara, en skráður aðili á eigi kröfu til þess að honum sé skýrt frá hvaðan upplýsingar eru fengnar.
19. gr.
Upplýsingar um fjárhag og atriði, er varða mat á lánstrausti, má aðeins láta öðrum í té skriflega, sbr. þó 1. og 2. mgr. 18. gr. Þegar fastir viðskiptavinir eiga í hlut er þó heimilt að veita almennar upplýsingar munnlega eða á annan svipaðan hátt, en nafn og heimilisfang fyrirspyrjanda skal þá skráð og gögn um það varðveitt í a.m.k. sex mánuði.Upplýsingarit um fjárhagsmálefni og lánstraust mega aðeins geyma almennar upplýsingar og þau má aðeins senda til áskrifenda. Áður en starfsleyfishafi birtir nafn tiltekins aðila í slíku upplýsingariti skal starfsleyfishafi að eigin frumkvæði tilkynna viðkomandi aðila skriflega um það að upplýsingar um hann muni birtast í næstu útgáfu ritsins.
Upplýsingar um skuldastöðu manna má því aðeins veita öðrum að um sé að ræða almennt aðgengilegar upplýsingar eða gjaldfallna skuld eða skuldir sama aðila við tiltekinn kröfuhafa sem eru a.m.k. 10.000,00 kr. eða hærri og skuldari hefur með aðfararhæfri sátt fallist á að greiða eða verið dæmdur til greiðslu hennar eða önnur réttargerð hafin til fullnustu hennar. Dómsmálaráðherra getur að fenginni umsögn tölvunefndar breytt með reglugerð framangreindri fjárhæð.
Upplýsingar um skuldastöðu aðila má ekki veita með þeim hætti að þær geti verið grundvöllur mats á fjárhagslegri stöðu annars en þess er upplýsingarnar varðar.
20. gr.
Um leiðréttingu eða afmáun rangra og villandi upplýsinga um fjárhagsmálefni og lánstraust gilda ákvæði 14. gr.VI. KAFLI
Nafnalistar og nafnáritanir.
Markaðs- og skoðanakannanir.
21. gr.
Sala eða önnur afhending úr skrám á nöfnum og heimilisföngum tiltekinna hópa einstaklinga, stofnana, fyrirtækja eða félaga er óheimil án starfsleyfis sem tölvunefnd veitir. Þá er og óheimilt án slíks starfsleyfis að annast um fyrir aðra áritanir nafna og heimilisfanga, svo sem með límmiðaáritun, eða aðra útsendingu tilkynninga til þeirra sem greinir í fyrri málslið þessarar málsgreinar.Starfsleyfishafi skv. 1. mgr. má aðeins hafa á skrám sínum eftirtaldar upplýsingar:
1. nafn, heimilisfang, kennitölu, nafnnúmer, fyrirtækjanúmer og starf,
2. upplýsingar sem almennur aðgangur er að í opinberum skrám, svo sem fyrirtækjaskrám.
Dómsmálaráðherra getur, að fenginni umsögn tölvunefndar, í reglugerð reist frekari skorður við því hvað greina megi í skrám þessum.
Ef skrá skv. 21. gr. er notuð til áritunar og útsendingar bréfa, tilkynninga, dreifirita eða þess háttar er skylt að fram komi á áberandi stað á útsendu efni að því sé dreift eftir skrá í vörslu viðkomandi fyrirtækis eða stofnunar. Enn fremur að þeir sem kynnu að óska eftir því að losna undan slíkum sendingum framvegis geti skrifað eða hringt til þessa aðila og fengið nöfn sín afmáð af útsendingarskrá.
Skylt er skrárhaldara að verða tafarlaust við beiðnum um að nöfn einstaklinga eða fyrirtækja séu máð af útsendingarskrá, sbr. 1. mgr. Ef beiðni um að má nafn af útsendingarskrá berst sendanda ofangreinds pósts er honum skylt að koma slíkri kröfu á framfæri við skrárhaldara.
Tölvunefnd getur sett reglur um merkingar skv. 1. mgr.
23. gr.
Nú fær skrárhaldari skv. 21. gr. í hendur félagaskrár eða skrár yfir fasta viðskiptamenn eða svipaðar skrár og er honum þá óheimilt án samþykkis þess sem afhent hefur gögnin að láta þau af hendi við aðra eða skýra öðrum frá upplýsingum sem í skránum eða gögnunum felast.24. gr.
Óheimilt er að framkvæma markaðs- og skoðanakannanir um atriði sem falla undir ákvæði laga þessara nema áður hafi verið aflað heimildar tölvunefndar. Þeim sem slíkar kannanir framkvæma ber við framkvæmd könnunar að gæta eftirtalinna atriða:a. Gera skal þeim sem spurður er grein fyrir því að honum sé hvorki skylt að svara einstökum spurningum né spurningalistanum í heild.
b. Ef svör eru ekki eyðilögð að könnun lokinni skulu þau geymd þannig frágengin að ekki megi rekja þau til ákveðinna aðila.
c. Aldrei skal spyrja annarra spurninga en þeirra sem hafa greinilegan tilgang með hliðsjón af viðfangsefni því sem verið er að kanna.
d. Óheimilt er að nota upplýsingar þær, sem skráðar hafa verið, til annars en þess sem var tilgangur könnunar.
e. Óheimilt er að veita öðrum aðgang að upplýsingum þeim sem skráðar hafa verið.
Tölvunefnd er heimilt að setja frekari skilyrði um framkvæmd slíkra kannana, meðferð og varðveislu gagna ef hún telur það nauðsynlegt.
VII. KAFLI
Um tölvuþjónustu.
25. gr.
Þeim sem annast tölvuþjónustu fyrir aðra er óheimilt án starfsleyfis, sem tölvunefnd veitir, að varðveita eða vinna úr eftirtöldum upplýsingum um einkamálefni:a. upplýsingum sem falla undir ákvæði 1. mgr. 4. gr.,
b. upplýsingum sem falla undir ákvæði V. kafla,
c. upplýsingum sem falla undir ákvæði 3. mgr. 6. gr.
Með tölvuþjónustu er átt við sérhvern starfsþátt í sjálfvirkri gagnavinnslu með tölvutækni.
Starfsleyfishafa skv. 1. mgr. er, án samþykkis frá skráreiganda, óheimilt að nota upplýsingar þær, sem hann hefur veitt viðtöku, til annars en að framkvæma þá þjónustu sem samningur hans og skráreiganda varðar eða afhenda öðrum upplýsingarnar til vinnslu eða geymslu. Þegar sérstaklega stendur á, svo sem vegna skyndilegrar bilunar í tölvubúnaði, er aðila þó heimilt að láta framkvæma tölvuvinnslu hjá öðrum enda þótt síðargreindi aðilinn hafi ekki starfsleyfi til slíkrar vinnslu. Gögnin og vinnslan skulu þó eftir sem áður vera á ábyrgð þess sem upphaflega tók að sér verkið að því er varðar ákvæði laga þessara.
Starfsleyfishafa er skylt að beita viðeigandi ráðstöfunum til þess að koma í veg fyrir að upplýsingar verði misnotaðar eða þær komist í hendur óviðkomandi. Dómsmálaráðherra getur í reglugerð sett nánari ákvæði um vörslu og meðferð tölvugagna hjá þeim sem annast tölvuþjónustu fyrir aðra.
26. gr.
Starfsmenn í þjónustu starfsleyfishafa skv. 25. gr. eru þagnarskyldir um atriði sem þeir komast að við störf sín og skulu þeir undirrita þagnarheit áður en þeir taka til starfa.Nú vinnur tölvuþjónustufyrirtæki, sem ekki er rekið af opinberum aðila, að verkefnum fyrir slíkan aðila og eru starfsmenn þess þá þagnarskyldir um þau atriði, sem þeir komast að við framkvæmd verkefnisins, með sama hætti og þeir opinberu starfsmenn sem unnið hafa að því. Brot starfsmanns varðar, þegar svo stendur á, refsingu skv. 136. gr. almennra hegningarlaga.
VIII. KAFLI
Söfnun upplýsinga hér á landi til úrvinnslu erlendis.
27. gr.
Kerfisbundin söfnun og skráning persónuupplýsinga hér á landi til geymslu eða úrvinnslu erlendis er óheimil. Tölvunefnd getur þó heimilað hana ef sérstaklega stendur á.Skrá eða frumgögn, sem geyma upplýsingar þær sem greinir í 1. mgr. 4. gr., má eigi láta af hendi til geymslu eða úrvinnslu erlendis nema samþykki tölvunefndar komi til.
Leyfi skv. 1. og 2. mgr. má því aðeins veita að tölvunefnd telji að afhending skráa eða gagna skerði ekki til muna þá vernd sem lög þessi búa skráðum mönnum eða lögpersónum.
Dómsmálaráðherra getur, að fenginni umsögn tölvunefndar, ákveðið í reglugerð að ákvæði 1. og 2. mgr. eigi ekki við um tilteknar skrár eða upplýsingasvið eða gagnvart tilteknum löndum ef slíkt er nauðsynlegt til efnda á þjóðréttarskuldbindingum eða tillit til alþjóðlegrar samvinnu á þessu sviði mælir með því.
IX. KAFLI
Skráning upplýsinga og varðveisla þeirra.
28. gr.
Beita skal virkum ráðstöfunum er komi í veg fyrir að upplýsingar séu misnotaðar eða komist til óviðkomandi manna.Afmá skal skráðar upplýsingar sem vegna aldurs eða af öðrum ástæðum hafa glatað gildi sínu miðað við það hlutverk sem skrá er ætlað að gegna. Skrár, sem sífellt eru í notkun, skulu geyma upplýsingar sem á hverjum tíma eru réttar, en úreltar upplýsingar skal afmá.
Tölvunefnd getur leyft að afrit eða útskriftir úr skrám verði varðveittar í Þjóðskjalasafni eða öðrum skjalasöfnum með nánari ákveðnum skilmálum.
29. gr.
Nú geyma tilteknar skrár upplýsingar sem líklegt þykir að muni hafa notagildi fyrir erlend ríki og skal þá koma við öryggisráðstöfunum sem gera kleift að eyðileggja skrár án tafar ef styrjöld brýst út eða uggvænt þykir að til styrjaldarátaka komi.X. KAFLI
Um eftirlit með lögum þessum.
30. gr.
Til þess að hafa eftirlit með framkvæmd laga þessara og reglum settum samkvæmt þeim skal dómsmálaráðherra skipa fimm manna nefnd sem kölluð er tölvunefnd í lögum þessum. Nefndina skal skipa til fjögurra ára í senn. Formaður nefndarinnar, varaformaður og einn nefndarmaður að auki skulu vera lögfræðingar. Formaður og varaformaður skulu fullnægja skilyrðum til að vera dómari. Einn nefndarmanna skal vera sérfróður um tölvu- og skráningarmálefni. Hann skal tilnefndur af Skýrslutæknifélagi Íslands. Varamenn skal skipa með sama hætti til fjögurra ára í senn og skulu þeir fullnægja sömu skilyrðum og aðalmenn.Starfsmaður dómsmálaráðuneytisins skal vera ritari tölvunefndar.
31. gr.
Tölvunefnd hefur eftirlit með framkvæmd laga þessara. Nefndin hefur að eigin frumkvæði, eða eftir ábendingum frá skráðum aðilum, eftirlit með því að til skráningar sé stofnað og skrár notaðar með þeim hætti sem fyrir er mælt í lögum þessum. Tölvunefnd veitir, eftir því sem nánar er kveðið á um í lögum þessum, starfsleyfi, heimildir eða samþykki til einstakra athafna. Þá úrskurðar nefndin í ágreiningsmálum sem upp kunna að koma.Úrlausnir tölvunefndar samkvæmt lögum þessum verða eigi bornar undir aðrar stjórnvaldsstofnanir.
32. gr.
Tölvunefnd getur krafið skrárhaldara og þá er á hans vegum starfa allra þeirra upplýsinga sem nefndinni eru nauðsynlegar til þess að rækja hlutverk sitt, þar með taldar upplýsingar til ákvörðunar um það hvort tiltekin starfsemi falli undir ákvæði laganna.Tölvunefnd og starfslið hennar hefur vegna eftirlitsstarfa sinna án dómsúrskurðar aðgang að húsnæði þar sem skráning fer fram eða þar sem skráningargögn eru varðveitt eða þau eru til vinnslu.
33. gr.
Tölvunefnd getur lagt fyrir aðila að hætta skráningu eða láta ekki öðrum í té upplýsingar úr skrám sínum eða gögnum, enda gangi skráning eða upplýsingagjöf í berhögg við ákvæði laga þessara að mati tölvunefndar. Þá getur tölvunefnd og, að sömu skilyrðum fullnægðum, mælt svo fyrir að upplýsingar í skrám verði afmáðar eða skrár í heild sinni eyðilagðar.Tölvunefnd getur lagt fyrir skráningaraðila að afmá skráningu um einstök atriði eða leiðrétta hana, enda sé um atriði að ræða sem annaðhvort er óheimilt að taka á skrá eða tölvunefnd telur röng eða villandi.
Tölvunefnd getur lagt fyrir skráningaraðila að afmá eða leiðrétta upplýsingar sem skráðar hafa verið fyrir gildistöku laga þessara ef skráning þeirra gengur í berhögg við ákvæði laga þessara eða upplýsingarnar eru rangar eða villandi.
Tölvunefnd getur, ef sérstaklega stendur á, lagt fyrir skráningaraðila að afmá upplýsingar sem vegna aldurs eða af öðrum ástæðum hafa glatað gildi sínu.
Tölvunefnd getur bannað skráningaraðila að viðhafa tiltekna aðferð við söfnun og skráningu upplýsinga og miðlun þeirra, enda telji nefndin að sú aðferð, sem viðhöfð er, hafi í för með sér verulega hættu á að skráning eða upplýsingamiðlun verði röng eða villandi. Sömu heimild hefur tölvunefnd ef hún telur hættu á að teknar verði á skrá eða miðlað verði úr skrám upplýsingum sem óheimilt er að skrá eða miðla.
Tölvunefnd getur lagt fyrir skráningaraðila að koma við sérstökum úrræðum til tryggingar því að eigi verði tekin á skrá atriði sem óheimilt er að skrá eða miðlað verði upplýsingum um slík atriði. Hinu sama gegnir um atriði sem eru röng eða villandi. Með sama hætti getur tölvunefnd lagt fyrir skráningaraðila að koma við ráðstöfunum til tryggingar því að skráðar upplýsingar verði ekki misnotaðar eða komist til vitundar óviðkomandi aðila.
Ef aðili sinnir eigi fyrirmælum tölvunefndar skv. 1.–6. mgr. þessarar greinar getur tölvunefnd afturkallað starfsleyfi, samþykki eða heimild sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati með fullnægjandi hætti.
34. gr.
Dómsmálaráðherra getur í reglugerð kveðið á um samstarf tölvunefndar við erlendar eftirlitsstofnanir um geymslu eða úrvinnslu hér á landi á gögnum er safnað hefur verið erlendis, þar á meðal um sérstaka tilkynningarskyldu á slíku.35. gr.
Tölvunefnd getur sett reglur um form og efni tilkynninga og umsókna samkvæmt lögum þessum.Nú er tölvunefnd ætlað að veita starfsleyfi samkvæmt lögum þessum eða samþykki til einstakra aðgerða og er henni þá heimilt að binda starfsleyfið eða samþykkið skilyrðum eða tímabinda það.
Dómsmálaráðherra getur ákveðið gjald er greiða skal fyrir veitingu starfsleyfa og einstakra heimilda.
36. gr.
Tölvunefnd skal árlega birta skýrslu um starfsemi sína. Í skýrslunni skal birta yfirlit yfir þau starfsleyfi, samþykki og heimildir sem nefndin hefur veitt, reglur sem hún hefur sett og úrskurði sem hún hefur kveðið upp. Í ársskýrslunni skal og greina frá þeirri starfsemi nefndarinnar annarri sem ætla má að almenningur láti sig varða eða hafi hagsmuni af að vita.XI. KAFLI
Um refsingar og önnur viðurlög.
37. gr.
Brot á eftirtöldum ákvæðum laga þessara varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum:a. brot á 3.–6. gr.,
b. brot á 9. og 12. gr.,
c. brot á 2. og 4. mgr. 14. gr.,
d. brot á 15.–20. gr.,
e. brot á 21.–24. gr.,
f. brot á 26., 27. og 1. mgr. 32. gr.
Sömu refsingu varðar að vanrækja að fara að fyrirmælum tölvunefndar skv. 33. gr.
Sömu refsingu varðar enn fremur að virða ekki skilyrði sem sett eru fyrir starfsleyfi, heimild eða samþykki samkvæmt lögum þessum eða stjórnvaldsreglum settum samkvæmt þeim, svo og að sinna ekki boði eða banni sem sett hefur verið samkvæmt lögunum eða stjórnvaldsreglum settum samkvæmt þeim.
Dæma má lögaðila jafnt sem einstaklinga til greiðslu sekta vegna brota á lögum þessum. Lögaðila má ákvarða sekt án tillits til þess hvort sök verður sönnuð á starfsmann lögaðilans. Hafi starfsmaður lögaðilans framið brot á lögum þessum eða reglum settum samkvæmt þeim má einnig gera lögaðila þessum sekt og sviptingu starfsréttinda skv. 38. gr., enda sé brot drýgt til hagsbóta fyrir lögðaðilann eða hann hefur notið hagnaðar af brotinu. Lögaðili ber ábyrgð á greiðslu sektar sem starfsmaður hans er dæmdur til að greiða vegna brota á lögum þessum, enda séu brot tengd starfi hans hjá lögðaðilanum.
38. gr.
Starfsleyfishafa skv. 15., 21. og 25. gr. má auk refsingar skv. 37. gr. með dómi svipta starfsleyfi ef sök er mikil. Að öðru leyti eiga hér við ákvæði 1. og 2. mgr. 68. gr. almennra hegningarlaga nr. 19/1940, með síðari breytingum.Gera má upptæk með dómi tæki sem stórfelld brot á lögum þessum hafa verið framin með, svo og hagnað af broti, sbr. 69. gr. almennra hegningarlaga nr. 19/1940.
39. gr.
Tilraun og hlutdeild í brotum á lögum þessum er refsiverð eftir því sem segir í III. kafla almennra hegningarlaga.XII. KAFLI
Lagaframkvæmd og gildistaka.
40. gr.
Dómsmálaráðherra er heimilt að setja reglugerð um nánari framkvæmd laga þessara.Lög þessi öðlast gildi 1. janúar 1990.
Athugasemdir við lagafrumvarp þetta.
Frumvarp þetta var lagt fram á síðasta þingi en varð ekki útrætt. Það er nú lagt fram að nýju í meginatriðum óbreytt. Þeir Þorgeir Örlygsson prófessor og Tryggvi Gunnarsson lögfræðingur, sem sömdu frumvarp þetta, hafa farið yfir athugasemdir þær sem allsherjarnefnd neðri deildar Alþingis höfðu borist við meðferð nefndarinnar á frumvarpinu á síðasta Alþingi.
Hafa þeir lagt til nokkrar breytingar á frumvarpinu sem eru nú teknar inn í það.
Bréf þeirra til ráðuneytisins, sem dagsett er 25. sept. 1989 og varðar þær breytingar, skýrir nánar breytingarnar sem eru gerðar á frumvarpinu miðað við fyrra frumvarp. Bréfið er prentað sem fylgiskjal með frumvarpinu.
Almennar athugasemdir.
I.
Íslensk löggjöf um tölvu- og skráningarmálefni.
Fyrstu lög, sem sett voru hér á landi til verndar einstaklingum vegna skráningar á upplýsingum um einkamálefni þeirra, voru lög nr. 63/1981, um kerfisbundna skráningu á upplýsingum, er varða einkamálefni. Höfðu þau fyrir fram afmarkaðan gildistíma og féllu úr gildi 31. desember 1985. Þann 1. janúar 1986 tóku gildi ný lög um sama efni, lög nr. 39/1985, og hafa þau, eins og lög nr. 63/1981, einnig fyrir fram afmarkaðan gildistíma og falla úr gildi 31. desember 1989. Samkvæmt 31. gr. laganna skal dómsmálaráðherra láta endurskoða þau og leggja fram nýtt frumvarp í þingbyrjun haustið 1988.
Í janúar 1988 fól dómsmálaráðherra þeim Þorgeiri Örlygssyni, prófessor og formanni tölvunefndar, og Tryggva Gunnarssyni borgardómara að endurskoða lög nr. 39/1985, um kerfisbundna skráningu á upplýsingum, er varða einkamálefni, og sömdu þeir frumvarp þetta.
Mál, er varða skráningu á upplýsingum um einkamálefni manna, hafa síðustu tvo áratugi oft borið á góma á Alþingi, einkum í tengslum við flutning þingsályktunartillagna. Á Alþingi 1973–1974 og 1975–1976 og 1976 voru fluttar tillögur til þingsályktunar um „tölvutækni við söfnun upplýsinga um skoðanir manna og persónulega hagi“. Tillögurnar voru í meginatriðum sama efnis. Var skorað á ríkisstjórnina að skipa nefnd manna til að semja frumvarp til laga „um verndun einstaklinga gagnvart því, að komið verði upp safni upplýsinga um skoðanir þeirra eða aðra persónulega hagi með aðstoð tölvutækni“. Tillögur þessar náðu ekki fram að ganga. Þann 25. nóv. 1976 skipaði dómsmálaráðherra nefnd til þess að vinna að undirbúningi löggjafar um meðferð efnis í tölvum er varða einkahagi manna. Formaður nefndarinnar var skipaður dr. Ármann Snævarr, þá hæstaréttardómari, en aðrir nefndarmenn voru Hjalti Zóphóníasson, þá fulltrúi í dómsmálaráðuneytinu, en nú skrifstofustjóri í því ráðuneyti, og dr. Þorkell Helgason dósent. Í erindisbréfi til nefndarmanna var sérstaklega bent á að þörf væri á að hyggja að reglum um söfnun upplýsinga til varðveislu í tölvum og um vernd manna gegn misnotkun slíks efnis, svo og um skyldur þeirra manna sem starfa við rekstur á tölvum. Skyldi höfð hliðsjón af löggjöf sem sett hafði verið í öðrum löndum um þetta efni, svo og löggjafarundirbúningi á þessu sviði í einstökum löndum og á alþjóðavettvangi.
Nefnd þessi samdi frumvarp til laga um kerfisbundna skráningu á upplýsingum er varða einkamálefni og var það lagt fram á Alþingi undir þinglok 1978 (298. mál, þskj. 683), en kom aldrei til umræðu.
Í nóvember 1978 ákvað dómsmálaráðherra að framangreint frumvarp skyldi, áður en það yrði á ný lagt fyrir Alþingi, sent til umsagnar ýmissa aðila sem málið varðaði. Umsagnir þær, sem bárust, voru því næst sendar nefnd þeirri er samdi upphaflega frumvarpið. Í framhaldi af þessu skilaði nefndin nokkrum tillögum til breytinga á upphaflega frumvarpinu. Frumvarpið var lagt fram á 102. löggjafarþingi í ársbyrjun 1980, en hlaut ekki afgreiðslu.
Frumvarpið var óbreytt lagt fram á 103. löggjafarþinginu árið 1980 af dómsmálaráðherra (þskj. 2, n. 692, 693). Var markmið þess enn sem fyrr að veita einkamálefnum manna aukna vernd gegn hættu á misnotkun upplýsinga sem varðveittar eru eða skráðar hafa verið í tölvum. Fylgdu frumvarpinu ítarlegar athugasemdir í greinargerð. Allsherjarnefnd neðri deildar Alþingis flutti 57 breytingartillögur við frumvarpið og umsamdi það í raun. Af framsöguræðu formanns allsherjarnefndar neðri deildar, Eiðs Guðnasonar, fyrir breytingartillögunum má ráða að nefndinni þótti upphaflegt frumvarp nokkuð viðamikið og tölvuverndarmálefnin gerð óþarflega flókin. Miðuðu breytingartillögurnar að sögn nefndarformannsins að því að einfalda frumvarpið og koma í veg fyrir endurtekningar sem væru margar og reyna að koma í veg fyrir að hin svokallaða tölvunefnd yrði að stjórnsýslubákni, svo sem reyndin hafi orðið annars staðar á Norðurlöndum. Upphaflegt frumvarp greindist í sjö þætti og 13 kafla, en samkvæmt breytingartillögum nefndarinnar var gert ráð fyrir því að frumvarpið skiptist í 10 kafla. Þá voru greinar upphaflega frumvarpsins 51 talsins, en þeim fækkaði í 31 í tillögum nefndarinnar.
Breytingartillögur allsherjarnefndar neðri deildar voru allar samþykktar og var frumvarpið þannig samþykkt sem lög nr. 63/1981. Allsherjarnefnd neðri deildar samdi ekki nýja greinargerð með frumvarpinu, en í framsöguræðu formanns nefndarinnar er gerð grein fyrir breytingartillögunum og ástæðum þeirra.
Lög nr. 63/1981 tóku gildi 1. jan. 1982. Samkvæmt 1. mgr. 30. gr. þeirra féllu þau úr gildi 30. janúar 1985 og skv. 2. mgr. 30. gr. skyldi dómsmálaráðherra láta endurskoða lögin og leggja fram frumvarp þar að lútandi fyrir Alþingi í haustbyrjun 1984.
Með bréfi 7. nóv. 1983 fól dómsmálaráðherra tölvunefnd að gera tillögur um þær breytingar á lögum nr. 63/1981 sem nefndin teldi þörf á. Allir nefndarmenn voru sammála um að leggja til breytingar á 2. mgr. 1. gr., 2. mgr. 6. gr., 13. gr., 19. gr. og 1. mgr. 28. gr. Er gerð grein fyrir breytingartillögum þessum í ársskýrslu tölvunefndar fyrir árið 1984 á bls. 15–16. Þá er og í ársskýrslu þessari á bls. 16–18 gerð grein fyrir hugmyndum einstakra nefndarmanna um breytingar á lögunum sem ekki fengu stuðning allra nefndarmanna. Dómsmálaráðherra lagði fram á Alþingi í haustbyrjun 1984 frumvarp til breytinga á lögum nr. 63/1981. Var í frumvarpinu lagt til að gerðar yrðu á lögunum þær breytingar sem allir nefndarmenn tölvunefndar höfðu verið sammála um. Breytingartillögur þessar voru allar samþykktar og voru ný lög um kerfisbundna skráningu á upplýsingum er varða einkamálefni samþykkt sem lög nr. 39 frá 15. júní 1985. Tóku þau gildi 1. janúar 1986.
II.
Erlend löggjöf um tölvu- og skráningarmálefni.
Í frumvarpi því, er lagt var fram á Alþingi á 103. löggjafarþingi árið 1980, var að finna yfirlit um sögu löggjafar varðandi skráningu persónugagna. Svo sem þar kemur fram urðu Svíar fyrstir þjóða til þess að setja lög um þetta efni, þ.e. tölvulögin frá 11. maí 1973 er endanlega tóku gildi 1. júlí 1974, en í sambandsríkinu Hessen í Vestur-Þýskalandi hafði þó verið sett rammalöggjöf um þetta efni að nokkru árið 1970.
Til viðbótar þeim upplýsingum, er fram koma í áðurgreindu frumvarpi frá 1980, má geta þess að löggjöf um skráningu persónugagna er nú í gildi í Austurríki, Bretlandi, Danmörku, Finnlandi, Frakklandi, Írlandi, á eyjunni Mön, í Ísrael, Kanada, Lúxemborg, Noregi, New York ríki í Bandaríkjunum, Ontario og Quebeck í Kanada, Svíþjóð, Sviss og Vestur-Þýskalandi. Frumvörp til laga um skráningu persónugagna eru til umfjöllunar í þjóðþingum Argentínu, Belgíu, Grikklands, Hollands, Ítalíu, Portúgals og Spánar.
Alþjóðlegt samstarf á þessu réttarsviði hefur farið vaxandi og ýmis fjölþjóðleg samtök hafa sinnt tölvuverndarmálefnum í auknum mæli. Má í því sambandi annars vegar nefna ályktun aðildarríkja OECD frá 1980 (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) og hins vegar sáttmála Evrópuráðsríkjanna frá 1980 (A Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data). Íslendingar hafa undirritað Evrópuráðssáttmálann en ekki fullgilt hann.
Íslendingar hafa tekið þátt í fjölþjóðlegu samstarfi varðandi vernd persónuupplýsinga innan Evrópuráðsins, í samstarfi tölvueftirlitsstofnana á Norðurlöndum og í samstarfi við vestrænar tölvueftirlitsstofnanir. Má um það efni vísa til ársskýrslna tölvunefndar.
III.
Meginbreytingar samkvæmt frumvarpi þessu og helstu markmið þess.
Eins og lög nr. 63/1981 og lög nr. 39/1985 hefur frumvarp þetta það að meginmarkmiði að tryggja mönnum vernd gegn hættu á misnotkun upplýsinga um einkamálefni þeirra sem varðveittar eru eða skráðar hafa verið með kerfisbundnum hætti. Svo sem nánar verður vikið að í athugasemdum við 1. gr. frumvarpsins er verndarsvið þess þó ekki einskorðað við skráningu í tölvur, heldur tekur það til skráningar hvort sem hún er vélræn eða handunnin.
Lög nr. 63/1981 og nr. 39/1985 voru fyrstu lög sem sett voru hér á landi um kerfisbundna skráningu á upplýsingum er varða einkamálefni. Lögin hafa að mestu staðið óbreytt allt frá ársbyrjun 1982, ef frá eru taldar smávægilegar breytingar sem gerðar voru árið 1985 og áður er að vikið. Lög þessi hafa, að mati þeirra sem unnið hafa við að framfylgja ákvæðum þeirra, í flesta staði reynst vel þegar á heildina er litið. Við samningu þessa frumvarps hefur verið höfð hliðsjón af þeirri reynslu sem fengist hefur við framkvæmd gildandi laga og er í frumvarpinu leitast við að sníða af ýmsa vankanta gildandi löggjafar sem komið hafa í ljós. Má sem dæmi nefna að í gildandi lög skortir tilfinnanlega ýmis ákvæði um valdsvið tölvunefndar sem reynslan hefur sýnt að nauðsynlegt er að hafa í löggjöf sem þessari.
Við samningu frumvarps þessa hefur verið litið til þeirra breytinga sem gerðar hafa verið á réttarreglum á þessu sviði á Norðurlöndum. Gagnger endurskoðun fór fram á dönsku tölvulögunum árið 1987, sbr. lög nr. 383 frá 10. júní 1987, og gilda þar í landi nú um þetta efni annars vegar lög nr. 621 frá 2. ágúst 1987, Lov om offentlige myndigheders registre, og hins vegar lög nr. 622 frá 2. okt. 1987, Lov om private registre m.v. Hefur við samningu frumvarps þessa oft verið litið til ákvæða dönsku laganna, svo sem fram kemur í athugasemdum við einstakar greinar, og verða hin dönsku lög í greinargerð þessari hér eftir kölluð dönsku e.s.l. (lögin um skráningu af hálfu einkaaðila) og dönsku o.s.l. (lögin um skráningu af hálfu opinberra aðila).
Meginmarkmið breytinga þeirra, sem frumvarp þetta gerir ráð fyrir, er að tryggja skráðum aðilum aukna vernd, kveða skýrar á um skyldur skráningaraðila og tryggja virkara eftirlit með framkvæmd laganna. Þótt breytingar þær á gildandi lögum, sem frumvarp þetta gerir ráð fyrir, séu allmargar raska þær þó ekki í neinum verulegum atriðum þeirri umgjörð sem er samkvæmt gildandi lögum á þessu verndarsviði og þær munu ekki hafa í för með sér verulegar breytingar á eðli og umfangi þess starfs sem fram fer til þess að hafa eftirlit með framkvæmd laganna. Er áfram byggt á því fyrirkomulagi að hafa í einum lögum fyrirmæli um skráningu af hálfu opinberra aðila og einkaaðila og áfram er byggt á starfsleyfisskyldu skráningaraðila en ekki tilkynningarskyldu.
Engar athugasemdir við einstakar greinar fylgdu þingnefndarfrumvarpi því er síðar varð að lögum nr. 63/1981 og nr. 39/1985. Er úr því bætt í frumvarpi þessu og fylgja því skýringar við einstakar greinar. Kafla- og greinaskipan frumvarpsins er að mestu í samræmi við kafla- og greinaskipan gildandi laga.
Ýmis ákvæði gildandi laga um valdsvið og verkefni tölvunefndar og heimildir nefndarinnar í einstökum tilvikum eru óljós. Miðar frumvarpið m.a. að því að afmarka valdsvið nefndarinnar nánar og taka af skarið varðandi ýmsar heimildir nefndarinnar sem áður var óljóst hvort nefndin hefði. Er nánari grein gerð fyrir þessum atriðum í athugasemdum við einstakar greinar, en hér á eftir skal gefið stutt yfirlit yfir helstu breytingar á ákvæðum gildandi laga sem frumvarp þetta gerir ráð fyrir:
1. Frumvarpið gerir ráð fyrir nýju heiti laganna, þ.e. að þau heiti lög um skráningu og meðferð persónuupplýsinga, en gildandi lög heita lög um kerfisbundna skráningu á upplýsingum er varða einkamálefni.
2. Í 1. mgr. 1. gr. frumvarpsins er orðið „persónuupplýsingar“ notað um það sem í gildandi lögum er kallað „upplýsingar varðandi einkamálefni einstaklinga“ og er hugtakið persónuupplýsingar nánar skilgreint í 3. mgr. 1. gr. frumvarpsins. Í 1. mgr. 1. gr. frumvarpsins eru lögin sögð taka til skráningar og „annarrar meðferðar“ á persónuupplýsingum, en í gildandi lögum einvörðungu talað um skráningu.
3. Í II. kafla frumvarpsins, sem fjallar um heimild til skráningar, er greint með skýrari hætti annars vegar á milli þeirra upplýsinga sem eru sérstaklega viðkvæmar og eru þær greindar í 1. mgr. 4. gr. frumvarpsins og hins vegar annarra upplýsinga. Gilda strangari reglur um heimild til skráningar hinna fyrrnefndu upplýsinga og aðra meðferð þeirra, t.d. um aðgang að skráðum upplýsingum, sbr. ákvæði III. kafla frumvarpsins.
4. III. kafli frumvarpsins „Um aðgang að skráðum upplýsingum“ kemur í stað V. kafla gildandi laga sem ber heitið: „Upplýsingar látnar í té öðrum en hinum skráða“. Ákvæðum um bann við samtengingu skráa og undanþágur frá því banni er skipað í þennan kafla. Kveðið er skýrar á um það hverjar heimildir tölvunefnd hefur til þess að veita aðgang að upplýsingum og settar eru viðmiðunarreglur sem tölvunefnd skal leggja til grundvallar við mat í þeim efnum. Veigamesta breytingin er sú sem fram kemur í 3. mgr. 5. gr. frumvarpsins. Gerir hún ráð fyrir því að ekki megi nema í undantekningartilvikum skýra frá upplýsingum sem eldri eru en fimm ára.
5. IV. kafli frumvarpsins, sem fjallar um rétt skráðra aðila og kemur í stað IV. kafla gildandi laga, hefur að geyma mörg nýmæli. Settar eru ítarlegar reglur um skyldur skrárhaldara þegar skráður aðili óskar upplýsinga um efni skráðra upplýsinga. Skulu skrárhaldarar veita upplýsingar skv. 9. gr. skriflega og þeir skulu hafa svarað tilmælum hins skráða innan fjögurra vikna, en gera ella fyrirspyrjanda skriflega grein fyrir því af hverju tilmælum hans hefur ekki verið sinnt, sbr. ákvæði 12. gr. frumvarpsins. Þá skal skrárhaldari, ef hann hafnar tilmælum aðila um að skýra frá efni upplýsinga, vekja athygli hins skráða á því að hann geti borið ágreininginn undir úrlausn tölvunefndar. Þá er það nýmæli að finna í 13. gr. frumvarpsins að skýrt er kveðið á um það að ágreining um rétt til aðgangs að upplýsingum skv. IV. kafla geta menn borið undir úrlausn tölvunefndar. Loks er það meðal nýmæla í kafla þessum að þegar um aðrar upplýsingar er að ræða en upplýsingar um fjárhagsmálefni og lánstraust getur tölvunefnd lagt fyrir skráningaraðila að senda skriflega leiðréttingu til þeirra er rangar upplýsingar hafa fengið.
6. V. kafli frumvarpsins, sem fjallar um skráningu upplýsinga um fjárhagsmálefni og lánstraust, kemur í stað 5. gr. gildandi laga og felur í sér verulegar breytingar frá ákvæðum gildandi laga. Er nánari grein gerð fyrir því í athugasemdum við þann kafla og vísast þangað, en í stuttu máli má segja að kaflinn hafi að geyma nýjar og strangari reglur um skyldur skrárhaldara, um rétt skráðra aðila, um eðli upplýsinga og aldur þeirra og hvaðan þær eru fengnar.
7. Ákvæði VI. kafla um nafnalista og nafnaáritanir og um markaðs- og skoðanakannanir er nýmæli hvað varðar ákvæði um nafnalista og nafnaáritanir. Er þar m.a. kveðið á um starfsleyfisskyldu þeirra sem slíka þjónustu hafa með höndum, hvaða upplýsingar þeir megi hafa á skrám, skyldu þeirra til þess að láta það koma fram í áritun, úr hvaða skrá nafn er fengið og um takmarkanir á rétti skrárhaldara til þess að selja öðrum upplýsingarnar. Eru þetta allt nýmæli. Ákvæði 24. gr. um framkvæmd markaðs- og skoðanakannana eru að mestu í samræmi við ákvæði gildandi laga og framkvæmd þeirra, en þó er þar það nýmæli að finna að afdráttarlaust er tekið fram að óheimilt sé að framkvæma slíkar kannanir án leyfis tölvunefndar ef skráning lýtur að upplýsingum sem falla undir ákvæði laganna.
8. VII. kafli frumvarpsins, sem fjallar um tölvuþjónustu, er að mestu óbreyttur miðað við ákvæði VI. kafla gildandi laga sem fjallar um sama efni.
9. X. kafli frumvarpsins kemur í stað VIII. kafla gildandi laga og fjallar um eftirlit með framkvæmd laganna. Þau nýmæli er þar helst að finna að lagt er til í 30. gr. að nefndarmönnum í tölvunefnd verði fjölgað úr þremur í fimm. Samkvæmt 32. gr. frumvarpsins getur tölvunefnd krafið skrárhaldra og þá er á hans vegum starfa allra þeirra upplýsinga sem nefndinni eru nauðsynlegar til þess að rækja eftirlitshlutverk sitt. Þá er það nýmæli að finna að tölvunefnd hefur án dómsúrskurðar aðgang að húsnæði þar sem skráning fer fram eða þar sem skráningargögn eru varðveitt eða þau eru til vinnslu. Í 3. mgr. 33. gr. frumvarpins er tekið af skarið um það að eftirlitsvald tölvunefndar og þar með gildissvið laganna taki einnig til upplýsinga sem skráðar voru fyrir gildistöku laganna. Loks er að finna ákvæði í 34. gr. um alþjóðlegt samstarf á verndarsviði laganna og heimild til reglugerðarsetningar um það efni.
10. XI. kafli um refsingar og önnur viðurlög kemur í stað IX. kafla gildandi laga og er efnislega eins að því þó viðbættu að ítarlegri ákvæði er að finna í frumvarpinu um refsiábyrgð lögaðila.
11. Í XII. kafla um lagaframkvæmd og gildistöku er gildistími laganna ekki fyrir fram markaður eins og er í gildandi lögum.
Athugasemdir við einstakar greinar frumvarpsins.
Um I. kafla.
Um gildissvið laganna.
Um 1. gr.
Greinin er efnislega samhljóða 1. gr. gildandi laga og markar gildissvið laganna. Af ákvæðum frumvarpsgreinarinnar leiðir að skráning persónuupplýsinga er aðeins heimil að því marki sem kveðið er á um í II. og V. kafla frumvarpsins.
Í frumvarpsgreininni er talað um kerfisbundna skráningu upplýsinga og skv. 1. mgr. skiptir ekki máli hvort skráning er vélræn eða handunnin. Kerfisbundin aðferð við geymslu upplýsinga, sem undir venjulegum kringumstæðum teldist ekki skrá, getur fallið undir ákvæði laganna að öðrum skilyrðum fullnægðum. Má sem dæmi nefna persónuupplýsingar í möppum sem varðveittar eru eftir ákveðnu kerfi. Af áskilnaði frumvarpsgreinarinnar um kerfisbundna skráningu leiðir að utan gildissviðs frumvarpsins falla einstakar tilviljunarkenndar skrár.
Þeir sem njóta verndar frumvarpsins eru einstaklingar, félög, fyrirtæki og stofnanir. Utan verndarsviðsins falla hins vegar opinberir aðilar. Hér er að meginstefnu til haft í huga einkalíf manna í sama skilningi og í XXV. kafla almennra hegningarlaga. Má sem dæmi nefna fjölskyldumálefni manna, heilsuhagi, kynlíf, brotaferil, skoðanir manna á trúmálum og stjórnmálum, tengsl manns við aðra menn eða álit manns á öðrum sem leynt á að fara, ágreiningur og átök innan fjölskyldu sem eðlilegt er að leynt fari og lífsvenjur manna. Upplýsingar þær, sem hér um ræðir, þurfa ekki að vera manni til hnjóðs eða meiða æru hans. Það greinimark, sem við er stuðst, er það að sanngjarnt sé og eðlilegt að upplýsingarnar fari leynt, sbr. ákvæði 3. mgr. frumvarpsgreinarinnar. Verður að meta þetta hverju sinni og er matið afstætt. Er hér byggt á vísireglu sem tekur nokkurt mið af venjuhelguðum viðhorfum við túlkun ákvæða XXV. kafla almennra hegningarlaga þótt slíkt sé ekki einhlítt að því leyti að hér er einkalífssviðið, sem vernda á, nokkuð rýmra en skv. XXV. kafla hegningarlaganna, sbr. t.d. fjárhagsmálefni. Utan gildissviðs frumvarpsins falla skrár sem eingöngu hafa að geyma nöfn manna og heimilisföng, símanúmer og stöðu, sbr. þó ákvæði VI. kafla. Það er þó skilyrði að hinar síðastnefndu skrár séu ekki þannig upp byggðar og fram settar að úr þeim megi jafnframt lesa upplýsingar sem falla undir ákvæði frumvarpsins.
Eins og áður segir er skráning upplýsinga þeirra, sem hér um ræðir, aðeins heimil að því marki sem II. og V. kafli frumvarpsins leyfir, en samkvæmt köflum þessum er þeim er hafa tiltekna starfsemi með höndum, atvinnufyrirtækjum, félögum og stofnunum, heimil skráning að ákveðnu marki, sbr. það sem síðar segir í athugasemdum við II. kafla. Af ákvæðum frumvarpsins leiðir því að einstaklingum er óheimil skráning þeirra upplýsinga er falla undir ákvæði frumvarpsins.
Í 1. mgr. 1. gr. gildandi laga segir að lögin taki til hvers konar kerfisbundinnar skráningar á þeim upplýsingum sem falla undir lögin þótt lögin hafi að geyma fjölda ákvæða um aðra meðferð slíkra upplýsinga, t.d. um aðgang að þeim. Þar sem frumvarp þetta kveður bæði á um skráningu og aðra meðferð persónuupplýsinga þykir rétt að taka þetta fram berum orðum í 1. mgr. 1. gr., enda er vernd frumvarpsins ekki takmörkuð við skráninguna eina.
Í greininni er skýrt kveðið á um að lögin eigi við hvort heldur sem skráning er vélræn eða handunnin. Í þessu felst ekki efnisbreyting frá gildandi lögum, en rétt þykir að taka af öll tvímæli í þeim efnum. Í þessu felst það að ekki er í frumvarpinu gerður greinarmunur á aðferðinni við söfnun og skráningu upplýsinga, enda tilgangur frumvarpsins fyrst og fremst sá að veita vernd gegn óheimilli skráningu þeirra upplýsinga, er lögin taka til, hver svo sem aðferðin er sem viðhöfð er. Eigi kemur fram í 1. gr. gildandi laga að lögin taki bæði til vélrænnar og handunninnar skráningar þótt þau hafi verið túlkuð þannig. Hefur þetta verið til þess fallið að valda misskilningi um gildissvið þeirra.
Í 1. mgr. frumvarpsgreinarinnar er sú orðalagsbreyting gerð að orðið persónuupplýsingar er notað sem safnheiti fyrir það sem í 1. mgr. 1. gr. gildandi laga er kallað upplýsingar „varðandi einkamálefni einstaklinga, stofnana, fyrirtækja eða annarra lögpersóna, sem sanngjarnt og eðlilegt er að leynt fari“. Þykir þessi orðalagsbreyting horfa til einföldunar og hagræðis. Er hugtakið persónuupplýsingar nánar skilgreint í 3. mgr. greinarinnar.
Í 1. mgr. er kveðið á um þá skráningaraðila sem frumvarpið tekur til. Fylgir frumvarpið því meginsjónarmiði gildandi laga að fjalla í einu lagi um skráningu af hálfu opinberra aðila og einkaaðila. Ekki þykir ástæða til þess að setja sérstakar reglur um skráningu af hálfu opinberra aðila þar sem ætla verður að 3. gr. frumvarpsins búi einkalífsvernd manna næga vernd hvort heldur sem skráningin er af hálfu opinberra aðila eða einkaaðila þar sem það er jafnan skilyrði skráningar að hún sé eðlilegur þáttur í starfsemi viðkomandi aðila.
Í gildandi lögum er talað um einkamálefni og fjárhagsmálefni þeirra aðila sem lögin tilgreina, en í frumvarpinu er tekið fram að með persónuupplýsingum sé auk upplýsinga um einkamálefni og fjárhagsmálefni einnig átt við önnur málefni sem sanngjarnt er og eðlilegt að leynt fari. Skilgreining hugtakanna einkamálefni og fjárhagsmálefni geta oft valdið vafa. Er hér því farið að fyrirmynd 1. gr. dönsku e.s.l. um skráningu af hálfu einkaaðila og til öryggis bætt við upptalninguna á einkamálefnum og fjárhagsmálefnum öðrum málefnum.
Verndin samkvæmt greininni miðast við það að sanngjarnt sé og eðlilegt að viðkomandi upplýsingar fari leynt. Hér er um matskennda viðmiðun að ræða, en hún stafar af því að ekki verður í öllum tilvikum fyrir fram afmarkað með nákvæmum hætti hverjar upplýsingar sanngjarnt er og eðlilegt að leynt fari. Heyrir það undir tölvunefnd að skera úr um það hvað sé sanngjarnt og eðlilegt í þessum efnum, sbr. m.a. X. kafla frumvarpsins.
Í 4. mgr. er orðunum „kennitölu eða öðru“ skráningarauðkenni bætt við. Er það til samræmis við breytta skráningarhætti af hálfu Hagstofu Íslands, þ.e. að taka upp kennitölu í stað nafnnúmers.
Um 2. gr.
Frumvarpsgreinin er sama efnis og 2. gr. gildandi laga og hefur að geyma tæmandi talningu á því hvaða skráningarstarfsemi falli utan gildissviðs laganna. Sú skráningarstarfsemi, sem fellur utan marka laganna, er:
1. Skráning samkvæmt lögum nr. 30/1956.
2. Skráning í þágu ættfræðirannsókna og æviskrárrita.
Æviskrárritun samkvæmt lögum nr. 30/1956, um skráningu Íslendinga, til stuðnings mannfræði- og ættfræðirannsóknum hér á landi fellur utan marka laganna og sömuleiðis önnur skipulagsbundin skráning í þágu ættfræðirannsókna og æviskrárrita. Við ættfræðirannsóknir og samningu æviskrárrita kann eigi að síður að þurfa að gæta annarra reglna er varða vernd einkalífs, sbr. t.d. Hrd. 1968 á bls. 1007.
Eins og fyrr segir er upptalning 2. gr. tæmandi. Af því leiðir að t.d. skráning í þágu vísindarannsókna fellur tvímælalaust undir gildissvið laganna. Við setningu fyrstu tölvuverndarlaganna í Danmörku var skráning í þágu vísindarannsókna og tölfræðiskýrslna undanþegin ákvæðum dönsku laganna. Því fyrirkomulagi var í sjálfu sér ekki breytt við endurskoðun dönsku laganna 1987, en þó bætt við lögin ákvæði þess efnis að slík skráning megi ekki fara fram nema tölvueftirlitinu hafi fyrst verið tilkynnt um skráninguna. Gegnir hinu sama um venjulegar markaðs- og skoðanakannanir ef um skráningu einkalífsatriða er jafnframt að ræða. Af ákvæðum II. kafla frumvarps þessa leiðir að skráning í þágu vísindarannsókna og tölfræðiskýrslna er því aðeins heimil að fullnægt sé skilyrðum 3. og 4. gr. frumvarpsins.
Um II. kafla.
Almennar reglur um heimild til skráningar.
Kaflinn hefur að geyma almennar reglur um heimild til skráningar. Reglur kaflans spanna vítt svið þar sem þær eiga við um sérhverja skráningu persónuupplýsinga er 1. gr. frumvarpsins tekur til og hafa þær því einkenni almennra viðmiðunarreglna. Um skráningu upplýsinga um fjárhagsmálefni og lánstraust og um starfsemi þeirra er hafa með höndum sölu nafnalista og límmiðaáritana gilda sérákvæði V. og VI. kafla frumvarpsins.
Reglur kaflans taka fyrst og fremst til þeirra er hafa með höndum einhvers konar starfsemi eða atvinnurekstur, en eru þó ekki einskorðaðar við slíka aðila. Er í 3. gr. frumvarpsins talað um skráningu af hálfu „viðkomandi aðila“. Það er í sjálfu sér ekki nákvæmt viðmiðunarmark, en vandkvæðum er bundið að telja það með tæmandi hætti hverjir hér koma til greina. Ljóst er að fyrirtæki, félagasamtök, stofnanir, stjórnmálaflokkar og trúfélög lúta reglum kaflans, svo að einhver dæmi séu nefnd, og það gera einnig sjálfstætt starfandi einstaklingar eins og læknar, lögmenn og endurskoðendur. Þá lýtur skráning af hálfu opinberra aðila og ákvæðum kaflans, svo sem gildissvið frumvarpsins er markað í 1. gr. þess.
Um 3. gr.
Greinin er samhljóða 3. gr. gildandi laga hvað efni og orðalag varðar og setur almenn skilyrði fyrir heimild til skráningar persónuupplýsinga er 1. gr. frumvarpsins tekur til. Reglur 3. og 4. gr. eiga einvörðungu við um skráningu upplýsinga til eigin nota fyrir skrárhaldara. Um heimild til þess að miðla upplýsingunum til annarra er hins vegar fjallað í III. kafla frumvarpsins um aðgang að skráðum upplýsingum. Afhending skráðra upplýsinga til lögmanns eða endurskoðanda, svo að einhver dæmi séu nefnd, eða til varðveislu eða úrvinnslu í tölvu hjá tölvuþjónustufyrirtæki, sem einvörðungu notar upplýsingar til ákveðinnar úrvinnslu, telst ekki til afhendingar eða miðlunar upplýsinga.
Annars vegar er það skilyrði sett í 3. gr. að skráningin sé eðlilegur þáttur í starfsemi viðkomandi skráningaraðila. Hins vegar er það skilyrði að skráningin taki eingöngu til þeirra sem tengjast starfi hans eða verksviði.
Viðmiðunarmarkið „eðlilegur þáttur“ í starfsemi viðkomandi aðila er að sjálfsögðu teygjanlegt og matskennt eins og áður er að vikið, enda ekki unnt að setja fram á tæmandi hátt hver efnisatriði eigi að ráða úrslitum. Hefur viðmiðunarmark þetta því einkenni vísireglu. Almennt má segja að jafnan sé heimilt að skrá upplýsingar að því marki sem slíkt er nauðsynlegt til efnda á ýmsum lagaskyldum, t.d. reglum skattalaga. Verður að meta það í hverju tilfelli hvað teljist eðlilegur þáttur í starfsemi tiltekins aðila. Margs konar skráning persónutengdra upplýsinga getur verið eðlilegur þáttur í starfsemi ýmissa aðila. Má þar vísa til þeirra dæma sem nefnd eru í greininni, þ.e. skrár um viðskiptamenn, starfsmenn eða félagsmenn. Fyrirsvarsmönnum fyrirtækis er oft nauðsynlegt að halda skrár er hafa að geyma ýmsar upplýsingar um starfsmenn þess og hinu sama gegnir um félög ýmiss konar. Þeim kann að vera nauðsynlegt að halda skrár með ýmsum upplýsingum um félagsmenn sína. Af efni greinarinnar leiðir hins vegar að því eru settar hömlur vegna tillits til einkalífs manna hverjar upplýsingar megi taka í slíkar skrár og um hverja. Þannig má sem dæmi nefna að læknir skráir almennt ekki upplýsingar um fjárhag sjúklinga sinna og lánstraust og sá sem heldur skrá um fjárhagsmálefni og lánstraust skráir ekki heilsufarsupplýsingar.
Um 4. gr.
Greinin svarar að mestu til 4. gr. gildandi laga þótt orðalagi og framsetningu sé nokkuð breytt.
Frumvarpsgreinin fjallar um skráningu þeirra upplýsinga sem eru taldar sérstaklega viðkvæmar persónuupplýsingar. Upplýsingar þær, sem nefndar eru í 1. mgr. 4. gr., eru upplýsingar um litarhátt, kynþátt, stjórnmálaskoðanir, trúarbrögð, brotaferil, kynlíf, heilsuhagi, lyfja-, áfengis- og vímuefnanotkun og veruleg félagsleg vandamál. Upplýsingarnar eru hins vegar ekki tæmandi taldar, sbr. ákvæði e-liðar 1. mgr. 4. gr.
Meginreglan er sú að skráning umræddra upplýsinga er óheimil. Þykir nauðsynlegt að geta þessa sérstaklega og taka af allan vafa í þeim efnum. Undantekningar frá þessu fortakslausa banni er að finna í 2. mgr. frumvarpsgreinarinnar þar sem fram kemur í fyrsta lagi að skráning sé heimil leiði slíkt af ákvæðum annarra laga. Í öðru lagi getur skráning þessara upplýsinga verið heimil ef hinn skráði hefur látið upplýsingarnar sjálfur í té eða þeirra verið aflað með samþykki hans. Í báðum tilvikum er það þó skilyrði að upplýsinganna hafi verið aflað við þær aðstæður að hinum skráða gat ekki dulist að ætlunin var að skrá upplýsingarnar. Þessu skilyrði yrði talið fullnægt, ef hinn skráði hefur beinlínis samþykkt skráninguna og slíkt samþykki verður oft einnig leitt af atvikum og aðstæðum við skráninguna. Sem dæmi má nefna umsókn hins skráða um þátttöku í félagsskap fólks sem haldið er tilteknum sjúkdómi og umsókn um inngöngu í stjórnmálafélag eða trúfélag. Einnig má sem dæmi nefna upplýsingar um heilsuhagi sem hinn skráði gefur lækni í tengslum við ákveðna sjúkdómsmeðferð.
Þótt ekki segi það berum orðum í greininni er það eigi að síður skilyrði skráningar að skrárhaldara sé ekki einungis nauðsynlegt að skrá upplýsingarnar, heldur einnig að hafa þær undir höndum til þess að gæta eigin hagsmuna eða annarra. Svo sem 4. gr. frumvarpsins er orðuð yrði það væntanlega einungis í undantekningartilvikum að þeim er hafa með höndum venjulegan atvinnurekstur teldist heimilt að skrá upplýsingar skv. 1. mgr. 4. gr.
Þess er áður getið að upplýsingar þær, sem falla undir bannákvæði 1. mgr. 4. gr., eru ekki tæmandi taldar í frumvarpsgreininni. Aðrar upplýsingar um einkalíf manna, sem jafna má til þeirra sem upp eru taldar, falla hér einnig undir.
Sem dæmi um skrár, sem eðlilegt er að haldnar séu, eru t.d. skrár um starfsmenn, viðskiptamenn, dreifingaraðila og samkeppnisaðila. Starfsmannaskrá má þó aðeins hafa að geyma upplýsingar sem nauðsynlegar eru í sambandi við eðlilega stjórnun fyrirtækis, t.d. upplýsingar um nafn, heimilisfang og nafnnúmer eða kennitölu, stöðu í fyrirtæki, starfshæfni, upplýsingar um tekjur og skatta viðkomandi starfsmanns og veikindadaga hans, en ekki upplýsingar um stjórnmála- eða trúarskoðanir starfsmanns. Ef trúarviðhorf starfsmanns er þess valdandi að hann vill ekki vinna á tilteknum vinnutímum, t.d. laugardegi, væri eðlilegt að slíkt kæmi fram í skrá, en þó án þess að ástæðunnar sé getið.
Hvað skrár um viðskiptamenn varðar er það að segja að auk nafns og heimilisfangs er eðlilegt að slíkar skrár geymi upplýsingar um t.d. afhendingu vöru og greiðsluáætlun kaupanda. Um þá viðskiptavini, sem eru í reikningsviðskiptum, er ekki óeðlilegt að skráðar séu upplýsingar um fjárhag þeirra og lánstraust, enda er þar oftast um að ræða upplýsingar sem hinn skráði hefur sjálfur látið í té. Lánastofnanir veita oft ekki lán nema fyrir liggi ítarlegar upplýsingar um fjárhag lántaka, t.d. ársreikningar, efnahagsyfirlit o.s.frv., sem lántaki sendir lánastofnun. Þá verður og að telja að fyrirtæki sé heimilt að skrá upplýsingar um fjárhag og lánstraust viðskiptamanna sinna sem fyrirtækið hefur fengið hjá öðrum en hinum skráða, t.d. starfsleyfishafa skv. V. kafla frumvarpsins.
Til viðbótar þeim skrám, sem hér voru nefndar og eðlilegar teljast, má nefna sérhæfðari skrár sem eftir atvikum geta átt rétt á sér. Þannig má sem
dæmi nefna skrár fasteignasala um hugsanlega kaupendur, skrár listaverkasala um eigendur mynda eftir tiltekinn listamann og sjúklingaskrár lækna. Þegar um skrár vinnuveitenda og launþegasamtaka er að ræða verður að meta það í hverju einstöku tilviki hvað er eðlilegt umfang skráningar af hálfu viðkomandi aðila.
Eins og áður segir er frumvarpsgreinin sama efnis og 1. mgr. 4. gr. gildandi laga. Við upptalningu 1. mgr. er þó bætt nýju atriði sem óheimilt er að skrá, en það eru upplýsingar um veruleg félagsleg vandamál hins skráða. Sem dæmi tilvika, sem hér eru höfð í huga, eru upplýsingar um ósamlyndi milli hjóna eða milli foreldra og barna, upplýsingar um slys eða annað óhapp sem haft hefur alvarlegar persónulegar og félagslegar afleiðingar í för með sér, upplýsingar um langvarandi atvinnuleysi hins skráða og upplýsingar um að hinn skráði hafi þegið bætur eða styrki af hinu opinbera af einhverju tagi.
Í gildandi lögum er ekki skýrlega tekið fram að tölvunefnd hafi heimild til þess að veita undanþágur frá reglum 1. mgr. 4. gr. laganna. Eins og ársskýrslur tölvunefndar bera með sér beinist mikill fjöldi þeirra erinda, sem nefndinni berast, að því að fá undanþágur frá ákvæðum 1. mgr. 4. gr. gildandi laga. Tölvunefnd hefur frá fyrstu tíð túlkað valdsvið sitt skv. VIII. kafla gildandi laga svo að hún geti veitt slíkar undanþágur. Í 3. mgr. 4. gr. frumvarpsins er lagt til að þessi framkvæmd verði staðfest og er það til samræmis við ákvæði 3. mgr. 3. gr. dönsku e.s.l. og 9. gr. norsku laganna.
Um III. kafla.
Um aðgang að skráðum upplýsingum.
Í II. kafla frumvarpsins er að finna almennar reglur um heimild til skráningar, en í III. kafla er fjallað um miðlun upplýsinga, þ.e. að hvaða marki skráningaraðilar hafi heimild til þess að skýra þriðja manni, þ.e. öðrum en hinum skráða, frá efni skráðra upplýsinga. Um rétt skráðra aðila til aðgangs að skráðum upplýsingum um þá sjálfa er hins vegar fjallað í IV. kafla frumvarpsins.
Meginregla frumvarpsins varðandi miðlun upplýsinga, er falla undir ákvæði laganna, er sú að óheimilt sé að miðla upplýsingum, er falla undir ákvæði laganna, án samþykkis hins skráða nema því aðeins að miðlun upplýsinganna sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans. Sérstaklega viðkvæmum upplýsingum er þó ekki heimilt að miðla án samþykkis hins skráða, nema að fullnægðum ákveðnum skilyrðum. Sérstakar reglur gilda um miðlun upplýsinga er varða fjárhagsmálefni og lánstraust, sbr. ákvæði V. kafla frumvarpsins, enda hafa slíkar upplýsingar og miðlun þeirra verulega sérstöðu.
Með miðlun upplýsinga er, eins og áður segir, átt við það að upplýsingar séu látnar öðrum í té en hinum skráða. Ýmis vafatilvik geta komið upp varðandi mat á því hver sé þriðji maður í þessu sambandi. Afhending upplýsinga af hálfu félags eða samtaka til meðlima sinna um tiltekna einstaklinga mundi falla undir miðlun upplýsinga í þessu sambandi. Hinu sama gegnir um afhendingu upplýsinga frá tilteknu hlutafélagi til annars félags sem tilheyrir sömu fyrirtækjasamsteypu. Hins vegar teldist það ekki miðlun upplýsinga í skilningi III. kafla þegar skrárhaldari fær tölvuþjónustufyrirtæki upplýsingar til vinnslumeðferðar, enda noti þjónustufyrirtækið upplýsingarnar einungis til þess að vinna úr þeim með þeim hætti sem um var beðið, sbr. ákvæði 3. mgr. 25. gr. frumvarpsins.
Um 5. gr.
Frumvarpsgreinin fjallar að nokkru um sama efni og 7. og 16. gr. gildandi laga þótt bæði efni og framsetning sé með nokkuð öðrum hætti en efni og framsetning sambærilegra ákvæða í gildandi lögum. Er í frumvarpinu farið að fyrirmynd 1. og 2. mgr. 4. gr. dönsku e.s.l.
Í frumvarpsgreininni er greint á milli tvenns konar upplýsinga. Annars vegar þeirra persónuupplýsinga sem greinir í 1. mgr. 4. gr. frumvarpsins og þykja sérstaklega viðkvæmar og hins vegar annarra skráðra upplýsinga. Um hinar fyrrnefndu upplýsingar er fjallað í 1. og 2. mgr. 5. gr., en í 3. mgr. um hinar síðarnefndu. Ástæða þessa er sú að skráning þeirra upplýsinga, er greinir í 1. mgr. 4. gr., er aðeins heimil í undantekningartilvikum og þykir því eðlilegt að með sama hætti sé miðlun slíkra upplýsinga einungis heimil að uppfylltum ströngum skilyrðum.
Samkvæmt 1. mgr. frumvarpsgreinarinnar er almennt bannað að skýra frá sérstaklega viðkvæmum upplýsingum, nema hinn skráði hafi ótvírætt veitt til þess samþykki sitt. Í 2. mgr. er þó gert ráð fyrir því að tölvunefnd geti veitt undanþágu frá banni 1. mgr. ef fullnægt er þeim skilyrðum sem þar greinir. Í gildandi lögum er ekki kveðið berum orðum á um heimild tölvunefndar í þessum efnum, en með frumvarpsgreininni er staðfest sú framkvæmd sem fylgt hefur verið í tíð gildandi laga.
Í fyrri málslið 1. mgr. frumvarpsgreinarinnar er gert ráð fyrir því að heimilt geti verið samkvæmt ákvæðum annarra laga að skýra frá þeim upplýsingum er um ræðir í 1. mgr. 5. gr. Standa ákvæði frumvarpsins því ekki í vegi að slíkri upplýsingaskyldu verði sinnt.
Í 3. mgr. greinarinnar er fjallað um aðrar skráðar upplýsingar en þær sem þykja sérstaklega viðkvæmar. Eru í greininni sett tvö skilyrði fyrir því að skýra megi frá slíkum upplýsingum. Annaðhvort skal hinn skráði hafa veitt samþykki sitt fyrir miðlun upplýsinganna eða upplýsingamiðlunin sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans. Rétt eins og 3. gr. frumvarpsins setur það almenna skilyrði fyrir skráningu upplýsinga er falla undir ákvæði laganna að hún sé eðlilegur þáttur í starfsemi viðkomandi aðila er einnig í 3. mgr. 5. gr. áskilið að upplýsingamiðlunin sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans. Rétt er að hafa það í huga að heimild til skráningar upplýsinga af þessu tagi skv. 3. gr. frumvarpsins veitir ekki sjálfkrafa heimild til þess að miðla hinum skráðu upplýsingum. Því verður sjálfstætt að meta það skilyrði 3. mgr. 5. gr. að miðlun upplýsinga sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans og óháð skilyrði 3. gr. frumvarpsins. Til þess að miðlun upplýsinganna sé heimil þarf miðlunin sem slík að vera í eðlilegum verkahring skrárhaldara.
Um það, hvenær miðlun upplýsinga getur talist vera þáttur í eðlilegum verkahring skrárhaldara, er erfitt að gefa nákvæmar reglur sem við geta átt í öllum tilvikum. Sem dæmi má þó nefna að eðlilegt getur verið að eitt atvinnufyrirtæki veiti öðru fyrirtæki að ósk hins síðara upplýsingar um tiltekinn starfsmann sinn, fyrrverandi eða núverandi, sem óskar eftir starfi í hinu síðarnefnda fyrirtæki.
Í 2. mgr. 7. gr. gildandi laga er ákvæði þess efnis að afmá skuli skráðar upplýsingar sem vegna aldurs eða af öðrum ástæðum hafa glatað gildi sínu, miðað við það hlutverk sem skrá er ætlað að gegna. Ekki er þó í því ákvæði sagt hversu gamlar upplýsingar megi verða. Það nýmæli kemur fram í 3. mgr. 5. gr. frumvarpsins að sett er skilyrði er varðar aldur þeirra upplýsinga sem miðla skal. Skráðar upplýsingar geta vegna aldurs glatað gildi sínu eða þýðing þeirra breyst og þykir því rétt að setja almenna viðmiðun um aldur þeirra upplýsinga er miðla skal. Aldrei er heimilt að skýra frá efni upplýsinga um atriði sem eldri eru en fimm ára, en þó er gert ráð fyrir því að láta megi eldri upplýsingar í té ef sýnt er fram á að aðgangur að þeim geti haft úrslitaþýðingu við mat á tilteknu atriði er tengist upplýsingunum. Ágreiningi milli þess er hinar skráðu upplýsingar varða og hins er þeim miðlar um það hvort framangreindu skilyrði sé fullnægt geta aðilar skotið til úrskurðar tölvunefndar, sbr. 13. gr. frumvarpsins. Samkvæmt þessu ákvæði er ekki nægilegt að sjálfar upplýsingarnar hafi úrslitaþýðingu við mat á tilteknu atriði, heldur aðgangur að upplýsingunum. Því er það svo að geti sá er
upplýsinga óskar fengið þær hjá hinum skráða sjálfum ætti skrárhaldari að jafnaði ekki að veita aðgang að upplýsingunum. Af þessu ákvæði frumvarpsgreinarinnar leiðir að í öllum venjulegum tilvikum yrði óheimilt að skýra frá upplýsingum um atvik sem eldri eru en fimm ára. Það liggur þó í hlutarins eðli að vissar upplýsingar geta ekki fallið undir fyrningarákvæði þessarar greinar. Þannig má sem dæmi nefna upplýsingar um fæðingardag og hjúskaparstöðu.
Fjórða málsgrein er samhljóða 2. mgr. 16. gr. gildandi laga og þarfnast ekki skýringa.
Um starfsemi þeirra aðila, sem bundnir eru þagnarskylduákvæðum samkvæmt öðrum réttarheimildum, t.d. lækna og lögfræðinga, gilda auk laga þessara ákvæði þeirra laga er um slíka þagnarskyldu mæla.
Í 3. mgr. 4. gr. dönsku e.s.l. er miðlun upplýsinga til nota við tölfræðiathuganir og í vísinda skyni undanþegnar bannákvæði 2. mgr. 4. gr. dönsku laganna sem svarar til 3. mgr. 5. gr. frumvarpsins þótt slík skráning sé tilkynningarskyld svo sem að er vikið í athugasemdum við 2. gr. frumvarps þessa. Gegnir hinu sama um miðlun upplýsinga um heilsufarsmálefni. Eins og ársskýrslur tölvunefndar bera með sér hefur beiðnum um aðgang að upplýsingum, t.d. heilsufarsupplýsingum, til nota við vísindarannsóknir og tölfræðiathuganir farið fjölgandi. Hefur tölvunefnd í tíð gildandi laga túlkað lögin svo að skrárhöldurum sé eigi heimilt að veita aðgang að slíkum upplýsingum án samþykkis nefndarinnar. Ekki þykja í frumvarpi þessu efni til að víkja frá þeirri framkvæmd og taka upp sambærilega reglu og í Danmörku, enda mála sannast að viðamesta söfnun upplýsinga um einkamálefni manna fer fram í þágu ýmiss konar rannsóknarstarfsemi. Er því nauðsynlegt að haft sé eftirlit með því að slík rannsóknarstarfsemi fari ekki á svig við ákvæði laga þessara og er það hlutverk tölvunefndar að hafa eftirlit með því.
Um 6. gr.
Greinin svarar til 6. gr. gildandi laga og fjallar um samtengingu skráa. Orðalag 1. og 2. mgr. er óbreytt að öðru leyti en því að kennitala kemur í stað nafnnúmers.
Tækni á sviði tölvumála tekur stöðugum framförum. Með nýrri tækni er tiltölulega auðvelt að tengja saman hinar ýmsu skrár er hafa að geyma upplýsingar um einkamálefni manna og safna á einn stað miklu magni upplýsinga um þá og ná þannig fram ákveðinni heildarmynd af þeim. Frumvarpsgrein þessi hefur það markmið að tryggja að ekki verði með samtengingu skráa (oft nefnd
samkeyrsla) safnað saman upplýsingum um einkamálefni manna frá ólíkum skráningaraðilum og þær síðan notaðar til þess að ná fram ákveðinni heildarmynd af hinum skráða, mynd sem hann gat ekki vænst að hægt væri að ná fram þegar hann gaf umræddar upplýsingar.
Samkvæmt frumvarpsgreininni er óheimilt að tengja saman skrár óskyldra skráningaraðila, þegar um er að ræða upplýsingar sem falla undir ákvæði laganna. Greinimarkið er það að um sé að ræða skrár óskyldra aðila. Vel er hugsanlegt að einn og sami aðilinn haldi af hagkvæmniástæðum tvær eða fleiri skrár, t.d. til þess að koma í veg fyrir hættu á misnotkun skráa. Ákvæði 1. mgr. frumvarpsgreinarinnar stendur því ekki í vegi að slíkur aðili geti keyrt saman skrár sínar. Sem dæmi má nefna að haldi skráningaraðili eina skrá sem hefur að geyma nöfn og heimilisföng starfsmanna sinna og aðra sem hefur að geyma upplýsingar um laun, sjúkrafjarvistir o.s.frv. stendur ákvæði þetta því ekki í vegi að skrár þessar megi keyra saman til þess að senda út launaseðla til starfsmannanna. Hið sama gildir um heimild fyrirtækis, sem hefur yfirtekið annað fyrirtæki, til þess að keyra sínar eigin skrár saman við skrár þess fyrirtækis sem yfirtekið var. Þá er og rétt að hafa það í huga að samtengingarbannið á aðeins við þar sem báðar skrárnar hafa að geyma upplýsingar um einkamálefni.
Í 3. mgr. eru settar fyllri reglur en eru í gildandi lögum um heimild tölvunefndar til þess að veita undanþágur frá samtengingarbanni 1. mgr. Heimild tölvunefndar er takmörkuð við að fullnægt sé sömu skilyrðum og fram koma í 2.–4. mgr. 5. gr. þegar veittur er aðgangur ella að upplýsingum, enda felur samtenging í sér ákveðna aðferð við að veita aðgang að skráðum upplýsingum. Er því eðlilegt að sömu reglur gildi um heimild til þess að veita aðgang að upplýsingum hver svo sem aðferðin er. Af tilvísun 3. mgr. 6. gr. frumvarpsins til skilyrða þeirra, sem fram koma í 2.–4. mgr. 5. gr., leiðir að skilyrði þau, sem fullnægja þarf, eru tvenns konar. Þegar um er að ræða sérstaklega viðkvæmar upplýsingar, sbr. 1. mgr. 4. gr. frumvarpsins, þarf að sýna fram á, að brýnir almannahagsmunir eða hagsmunir einstaklinga, þar með taldir hagsmunir hins skráða, krefjist þess, enda sé ótvírætt að þörfin á að fá upplýsingarnar vegi þyngra en tillitið til þess aðila er upplýsingarnar varða að þeim sé haldið leyndum. Ef um aðrar upplýsingar er að ræða en þær sem um ræðir í 1. mgr. 4. gr. frumvarpsins þarf slík upplýsingamiðlun að vera eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans.
Almennt gildir sú regla að eigi verður veittur aðgangur að upplýsingum um atvik sem eru eldri en fimm ára nema við eigi niðurlagsákvæði 3. mgr. 5. gr.
Til viðbótar er sett það skilyrði að ótvírætt sé að markmið samtengingar vegi þyngra en tillitið til hagsmuna þeirra er hinar skráðu upplýsingar varða.
Rétt þykir að tölvunefnd geti bundið samtengingu þeim skilyrðum sem hún telur nauðsynleg. Ekki þykir fært að tilgreina með tæmandi hætti slík skilyrði. Eru því í dæma skyni tilgreind tvö skilyrði í niðurlagi 3. mgr. 6. gr.
Um 7. gr.
Greinin svarar til 17. gr. gildandi laga og er að mestu eins. Þó er lagt til að sú orðalagsbreyting verði gerð frá ákvæði gildandi laga að í stað þess að binda heimildina við sjúkraála sjúkrahúss eða aðrar sjúklingaskrár þess megi einnig veita upplýsingar úr öðrum sjúklingaskrám. Í þessu felst ákveðin rýmkun á gildissviði ákvæðisins þannig að ótvírætt sé að ákvæðið nái t.d. til sjúklingaskráa meðferðarstofnana og skráa einstakra lækna.
Frumvarpsgreinin hefur að geyma fyrirmæli um það með hvaða skilmálum upplýsingar úr sjúklingaskrám um tiltekna aðila verði látnar öðrum í té. Ljóst er að hér er um viðkvæmar persónuupplýsingar að ræða. Hins vegar er oft þörf á að veita með hröðum hætti aðgang að þessum upplýsingum, þ.e. ef viðkomandi maður sýkist og þarf læknisrannsóknar eða læknisaðgerðar með. Er viðkomandi sjálfum þá mikið hagsmunamál að upplýsingar séu aðgengilegar fyrir þá sem um heilsu hans fjalla.
Samkvæmt 1. mgr. er heimilt að veita lækni eða tannlækni, sem hefur mann til læknismeðferðar, upplýsingar úr sjúklingaskrám o.fl. varðandi þennan mann. Upplýsingar geta einnig tekið til vandamanna hans þegar slíkt er talið skipta máli vegna læknismeðferðar á manninum. Ákvæðið tekur ekki einvörðungu til rannsókna o.fl. á sjúkrahúsi sem viðkomandi hefur sætt þá næst á undan heldur varðar einnig fyrri sjúkraferil hans og sjúkrasögu á sjúkrahúsi að svo miklu leyti sem máli getur skipt. Áskilið er að maður sé til læknismeðferðar hjá lækni eða tannlækni, en þeir eru þagnarskyldir að lögum um það sem þeir fá vitneskju um úr skrám þessum. Upplýsingar um vandamenn manns má veita lækni og er það þá skilyrði að slíkt skipti máli vegna læknismeðferðar á manninum.
Um 8. gr.
Frumvarpsgreinin svarar að mestu til 18. gr. gildandi laga þótt orðalagi hafi verið breytt lítils háttar. Ákvæðið á við um upplýsingar sem falla undir ákvæði laganna, þar með taldar upplýsingar skv. 1. mgr. 4. gr. Í 18. gr. gildandi laga er ekki tekið fram hvaða aðili eigi úrlausn þess hvort veita
megi upplýsingar samkvæmt því ákvæði. Er í frumvarpinu lagt til að tölvunefnd eigi úrlausn þess.
Ákvæðið getur samkvæmt orðanna hljóðan átt við þegar tiltekinna upplýsinga er þörf vegna ákveðins dómsmáls. Þarf því að vera um ákveðnar, afmarkaðar upplýsingar að ræða. Því verður ekki veittur aðgangur að almennum og ósundurgreindum upplýsingum samkvæmt þessu ákvæði. Með öðrum laganauðsynjum í ákvæðinu er t.d. átt við gerðardómsmál þar sem slíkur háttur er lögmæltur.
Ákvæðið veitir ekki heimild til aðgangs að upplýsingum sem sérstök þagnarskylda ríkir um samkvæmt lögum, þ.e. slíkri þagnarskyldu verður ekki vikið til hliðar samkvæmt þessu ákvæði. Sem dæmi lagaákvæða um þagnarskyldu sem ákvæði þetta hróflar ekki við má nefna ákvæði læknalaga um þagnarskyldu lækna.
Um IV. kafla.
Um rétt skráðra aðila.
Það er almennt viðurkennt að eitt áhrifaríkasta úrræðið til þess að koma í veg fyrir skráningu rangra og villandi upplýsinga eða upplýsinga, sem óheimilt er að skrá, sé að veita skráðum aðilum lagalegan rétt til þess að fá að kynna sér efni þeirra upplýsinga er um þá hafa verið skráðar. Miða ákvæði þessa kafla frumvarpsins að því að tryggja skráðum aðilum slíkan rétt.
Heimildir skráðra aðila til þess að kynna sér efni þeirra upplýsinga, er um þá hafa verið skráðar, eru meðal þýðingarmestu ákvæða í tölvuverndarlöggjöf flestra ríkja í Evrópu og í 8. gr. b) Evrópuráðssáttmálans um verndun einstaklinga vegna skráningar persónuupplýsinga (A Convention for the Protection of Individuals with Regard to the Protection of Personal Data) er slíkt ákvæði að finna. Sáttmála þennan, sem gekk í gildi 1. okt. 1985, hafa Íslendingar undirritað en ekki fullgilt.
Um 9. gr.
Ákvæði 1. mgr. 9. gr. frumvarpsins er efnislega eins og 1. mgr. 10. gr. gildandi laga og ákvæði 2. mgr. er samhljóða 3. mgr. 10. gr. gildandi laga.
Fyrsta málsgrein 9. gr. frumvarpsins hefur að geyma almennt ákvæði um rétt manna til aðgangs að upplýsingum er um þá hafa verið skráðar. Skrárhaldara er skylt að veita upplýsingarnar skriflega óski skráður aðili þess, en um það ræðir nánar í 12. gr. frumvarpsins. Ber skrárhaldara samkvæmt þessu að láta hinum skráða í té útskrift þeirra upplýsinga er skrá hefur um hann að geyma. Ef beiðandi er ekki á skrá hjá skrárhaldara eða sá er beiðni er beint að heldur ekki skrá ber honum að upplýsa beiðanda um þessi atriði.
Ekki er útilokað í einstökum tilvikum að óheppilegt sé að veita aðgang að skráðum upplýsingum hvort heldur sem er vegna hagsmuna hins skráða, hagsmuna skrárhaldara eða af tilliti til annarra. Þegar svo hagar til er heimilt að neita hinum skráða um aðgang að skráðum upplýsingum, sbr. ákvæði 2. mgr. 9. gr. Til grundvallar slíkri synjun verður að liggja annars vegar mat á hagsmunum hins skráða á því að fá aðgang að upplýsingunum og hins vegar mat á þeim hagsmunum er réttlætt geta slíka synjun. Ágreining um slíka synjun geta aðilar borið undir tölvunefnd sem hefur endanlegt úrskurðarvald á stjórnsýslustigi um slíkan ágreining.
Um 10. gr.
Í 2. mgr. 10. gr. gildandi laga sagði að teldi maður að upplýsingar um hann væru ritaðar í sjúkraála eða önnur sjúkraregistur eða sjúkraskrár og hann vildi fá vitneskju um efni þeirra skyldi hann óska þess við heimilislækni sinn eða annan þann lækni sem fjallað hefði um heilsuhagi hans að hann leiti eftir þessum upplýsingum frá þeim sem ábyrgur væri fyrir skráningunni. Þessi aðili skýrði síðan lækninum frá upplýsingunum svo að honum væri kleift að koma þeim á framfæri við viðkomandi.
Með setningu læknalaga nr. 53 frá 19. maí 1988 var í 16. gr. lögmælt ný regla um aðgang sjúklinga eða forráðamanna þeirra að sjúkraskrá í heild eða að hluta. Segir þar að lækni sé skylt að afhenda sjúkraskrá, alla eða að hluta, sjúklingi eða forráðamanni ef það þjónar ótvíræðum hagsmunum sjúklings. Leiki vafi á nauðsyn afhendingar sjúkragagna eða þyki ástæða til vegna ákvæða læknalaga um þagnarskyldu lækna, sé lækni heimilt að afhenda landlækni einum sjúkragögn sem trúnaðarmál til frekari fyrirgreiðslu. Gerir lagaákvæði þetta ráð fyrir því að heilbrigðisráðherra setji nánari reglur um afhendingu og varðveislu sjúkragagna og röntgenmynda að fengnum tillögum landlæknis og Læknafélags Íslands.
Með hliðsjón af því, að í læknalögum hafa verið settar framangreindar sérreglur um rétt manna til aðgangs að heilsufarsupplýsingum um þá sjálfa sem víkja nokkuð frá ákvæðum gildandi tölvulaga, þykir hentast í frumvarpi þessu að vísa til ákvæða læknalaga í þeim efnum.
Um 11. gr.
Frumvarpsgrein þessi, sem er nýmæli, er efnislega samhljóða 6. mgr. 13. gr. dönsku o.s.l. Samkvæmt greininni taka ákvæði 9. gr. ekki til skrár eða skráningar sem stofnað er til í þágu tölfræðirannsókna. Tölfræðiúrvinnsla
persónugreinir ekki einstaklinginn og yfirleitt er hún ekki jafnmeinleg fyrir einkalíf manna eins og persónugreindar upplýsingar eru eða geta verið. Starfsnauðsynjar við tölfræðiskýrslur bjóða einnig að þessi undantekning sé lögmælt.
Í niðurlagi frumvarpsgreinarinnar, sem svarar til 4. mgr. 10. gr. gildandi laga, segir að ákveða megi að aðrar skrár séu undanþegnar þessum ákvæðum ef ætla megi að ákvæði 2. mgr. 9. gr. muni almennt hafa í för með sér að upplýsingum úr slíkum skrám verði hafnað. Eru hér m.a. hafðar í huga skrár sem gerðar eru af lögreglu í þágu rannsóknar brota.
Um 12. gr.
Í gildandi lög skortir ákvæði um það með hverjum hætti skrárhaldarar skuli veita skráðum aðilum aðgang að skráðum upplýsingum um þá sjálfa. Úr því er bætt í frumvarpi þessu og samkvæmt upphafsákvæði 12. gr. skulu upplýsingar skv. 9. gr. veittar skriflega. Ákvæðið er nýmæli og svarar til b-liðar 1. mgr. 7. gr. dönsku e.s.l.
Ákvæði síðari málsliðar 1. mgr. 12. gr. er einnig nýmæli og svarar það til c-liðar 1. mgr. 7. gr. dönsku e.s.l. Af ákvæðinu leiðir skylda fyrir skrárhaldara að svara fyrirspurn um efni skráðra upplýsinga í síðasta lagi innan fjögurra vikna frá því að krafa kom fram, en gera ella beiðanda skriflega grein fyrir því af hverju tilmælum hans hefur ekki verið sinnt.
Ákvæði 2. mgr. 12. gr. er nýmæli og svarar til c-liðar 2. mgr. 7. gr. dönsku e.s.l. Í því felst að hafni skrárhaldari tilmælum um aðgang að skráðum upplýsingum ber skrárhaldara að vekja athygli beiðanda á rétti hans til þess að bera ágreining um aðgang að skráðum upplýsingum undir úrlausn tölvunefndar, sbr. ákvæði 13. gr. frumvarpsins.
Um 13. gr.
Í gildandi lög skortir skýr ákvæði um rétt manna til þess að bera ágreining um aðgang að upplýsingum skv. IV. kafla laganna undir tölvunefnd. Þykir rétt að taka af öll tvímæli í þeim efnum. Er í þeim efnum farið að fyrirmynd d-liðar 7. gr. í dönsku e.s.l.
Um 14. gr.
Svo sem að er vikið í athugasemdum við 9. gr. sem fjallar um rétt skráðra aðila til aðgangs að upplýsingum um þá sjálfa þjóna ákvæði þeirrar greinar þeim tilgangi að tryggja rétt manna til þess að ganga úr skugga um það hvort
skráðar hafi verið um þá rangar eða villandi upplýsingar eða upplýsingar sem ekki er heimilt að skrá, svo að þeim gefist kostur á að fá upplýsingarnar leiðréttar. Í 14. gr. eru hins vegar efnisákvæði um rétt manna til þess að fá upplýsingar leiðréttar og hvernig að því skuli staðið.
Ákvæði 1. mgr. 14. gr. fjallar um rétt manna til þess að fá rangar eða villandi upplýsingar leiðréttar og svarar greinin til 1. mgr. 13. gr. gildandi laga. Í því ákvæði er talað um að færa upplýsingar í rétt horf eða afmá þær. Í frumvarpsgreininni er að auki talað um rétt manna til þess að fá bætt við skrá upplýsingum, eftir því sem við á hverju sinni. Greinin svarar að þessu leyti til 8. gr. norsku laganna. Í 2. mgr. 7. gr. gildandi laga er að vissu marki fjallað um svipað efni, þ.e. að afmá skuli upplýsingar sem misst hafa gildi sitt vegna aldurs.
Ákvæði 2. mgr. 14. gr. frumvarpsins er að nokkru sama efnis og 3. mgr. 13. gr. gildandi laga. Ákvæðið svarar til 1. mgr. 5. gr. dönsku e.s.l. Samkvæmt ákvæðinu getur skráður aðili óskað liðsinnis tölvunefndar ef skrárhaldari neitar að verða við kröfu um leiðréttingu skv. 1. mgr. Samkvæmt ákvæðum 4. mgr. 14. gr. getur tölvunefnd, þegar um aðrar upplýsingar er að ræða en upplýsingar um fjárhagsmálefni og lánstraust, lagt fyrir skráningaraðila að senda þeim er veitt hafa upplýsingum viðtöku skriflega leiðréttingu. Er hér um heimildarákvæði að ræða. Við mat á því, hvort tölvunefnd skyldar skráningaraðila til að senda skriflega leiðréttingu til þriðja aðila, verður tölvunefnd að leggja til grundvallar hvort hætta sé á því að hinar röngu upplýsingar geti skaðað móttakanda þeirra.
Ákvæði 3. mgr. 14. gr. frumvarpsins er nýmæli og svarar til 3. mgr. 15. gr. dönsku e.s.l. Samkvæmt ákvæðinu skal skrárhaldari, synji hann beiðni um leiðréttingu, gera hinum skráða grein fyrir rétti hans til þess að bera synjunina undir tölvunefnd. Felst í þessu skylda skrárningaraðila til að leiðbeina hinum skráða varðandi rétt hans til málskots. Samkvæmt dönsku e.s.l. er slík leiðbeiningarskylda takmörkuð við það þegar í hlut eiga upplýsingar um fjárhagsmálefni og lánstraust. Ekki þykir rétt að takmarka leiðbeiningarskylduna með þeim hætti og því er lagt til að leiðbeiningarskylda þessi varði allar upplýsingar sem heyra undir ákvæði laganna.
Ákvæði 4. mgr. 14. gr. frumvarpsins fjallar um skyldu skrárhaldara til þess að senda þeim er hlotið hafa rangar upplýsingar úr skrám skriflegar leiðréttingar. Fjallar upphafsákvæðið um upplýsingar er varða fjárhagsmálefni og lánstraust, en niðurlagsákvæðið um aðrar upplýsingar. Upphafsákvæðið svarar að nokkru til 8. gr. gildandi laga og samkvæmt því er skrárhaldara skylt að
senda leiðréttingu. Samkvæmt niðurlagsákvæðinu sem er, eins og áður segir, nýmæli varðandi aðrar upplýsingar getur tölvunefnd, þegar um aðrar upplýsingar er að ræða, lagt fyrir skrárhaldara að senda skriflega leiðréttingu. Niðurlagsákvæðið er efnislega samhljóða 2. mgr. 5. gr. dönsku e.s.l.
Í frumvarpsgreininni er ekki fjallað um bótaskyldu skráningaraðila gagnvart þeim aðila sem á er hallað með rangri skráningu. Ræðst slíkt af almennum reglum skaðabótaréttar.
Um V. kafla.
Skráning upplýsinga um fjárhagsmálefni og lánstraust.
V. kafli frumvarpsins fjallar um starfsemi þeirra sem miðla til annarra upplýsingum um fjárhagsmálefni og lánstraust einstaklinga og lögpersóna. Í stórum dráttum er efni kaflans það að slíkir aðilar eru starfsleyfisskyldir skv. 15. gr. frumvarpsins. Starfsleyfishafar mega einvörðungu skrá og miðla upplýsingum sem eðli sínu samkvæmt geta haft þýðingu við mat á fjárhag og lánstrausti hins skráða. Upplýsingar um viðkvæm einkamálefni mega skrárhaldarar ekki taka á skrá. Skrárhaldara ber að upplýsa hinn skráða þegar hann er tekinn á skrá í fyrsta skipti ef um hann eru skráðar aðrar upplýsingar en þær sem almennt eru mönnum aðgengilegar. Hinn skráði á rétt á því að kynna sér efni skráðra upplýsinga er hann varða og hann getur krafist þess að rangar og villandi upplýsingar verði leiðréttar og verður ágreiningur í þeim efnum borinn undir tölvunefnd.
Ákvæði kaflans eiga einvörðungu við um skrár sem stofnaðar eru í því skyni að úr þeim verði miðlað upplýsingum til annarra um fjárhagsmálefni og lánstraust. Um miðlun slíkra upplýsinga úr skrám, sem ekki eru stofnaðar í þessum tilgangi, fer eftir reglum III. kafla frumvarpsins. Auk aðila, sem gagngert hafa með höndum upplýsingamiðlun af því tagi sem um ræðir í V. kafla, safna bankar og sparisjóðir upplýsingum um fjárhagsmálefni og lánstraust til eigin nota. Starfsemi þessara aðila lýtur reglum bankalöggjafar, m.a. um leynd upplýsinga, og starfsemi þeirra er háð eftirliti bankaeftirlits Seðlabankans. Þykir því ekki ástæða til þess að setja í frumvarp þetta sérstakar reglur um söfnun slíkra aðila á upplýsingum um fjárhagsmálefni.
Upplýsingamiðlun samkvæmt þessum kafla getur verið tvenns konar. Annars vegar með þeim hætti að skrárhaldari gefi út upplýsingarit um fjárhag manna, t.d. hinar svokölluðu vanskilaskrár. Hins vegar með þeim hætti að skrárhaldari láti í té sitt eigið mat á fjárhag hins skráða og lánstrausti hans á grundvelli upplýsinga sem hann hefur skráð hjá sér.
Segja má að V. kafli frumvarpsins geri ráð fyrir tvenns konar eftirliti með starfsemi þeirra skrárhaldara sem hér um ræðir. Annars vegar er eftirlit það sem tölvunefnd hefur með starfsleyfishöfum og hins vegar það eftirlit sem hinir skráðu geta sjálfir haft með höndum í skjóli þeirra ákvæða kaflans er tryggja þeim aðgang að skráðum upplýsingum.
Þessi kafli frumvarpsins felur í sér verulegar breytingar frá ákvæðum gildandi laga. Breytingarnar eru helstar þessar:
1. Öllum helstu ákvæðum er varða skráningu upplýsinga um fjárhagsmálefni og lánstraust er hér safnað í einn kafla, en þau eru dreifð um fleiri kafla gildandi laga, sbr. ákvæði 5. gr. sem er í II. kafla, ákvæði 8. gr. sem er í III. kafla og ákvæði 11. og 12. gr. sem er í IV. kafla.
2. Í frumvarpinu er greint milli almennra upplýsinga um fjárhagsmálefni og lánstraust og annarra upplýsinga um sama efni.
3. Nákvæmari ákvæði eru um það hvað megi taka á skrá skv. V. kafla.
4. Sett eru ákvæði um hámarksaldur upplýsinga.
5. Sett eru sérákvæði um upplýsingarit um fjárhagsmálefni og lánstraust, þar á meðal hvaða upplýsingar þær mega geyma.
6. Settar eru sérreglur um það hvaða upplýsingar um skuldastöðu manna megi veita öðrum.
Um 15. gr.
Fyrri málsliður greinarinnar svarar til 1. mgr. 5. gr. gildandi laga og kveður á um starfsleyfisskyldu skráningaraðila. Er þar farið að fyrirmynd 1. mgr. 14. gr. norsku laganna, en samkvæmt dönskum rétti eru slíkir aðilar aðeins tilkynningarskyldir. Síðari málsliðurinn er nýmæli og svarar til 2. mgr. 14. gr. norsku laganna.
Eins og fyrr er að vikið eiga ákvæði kaflans einvörðungu við um þá sem miðla til annarra upplýsingum um fjárhagsmálefni og lánstraust. Samkvæmt því eiga reglur kaflans ekki við um þá sem í einstaka tilvikum eða af tilviljun afla sér fjárhagsupplýsinga, skrá þær og miðla áfram í ákveðnum tilgangi, t.d. lögmenn. Hins vegar er ekki ætlunin að takmarka gildissvið greinarinnar við þá sem hafa umrædda upplýsingamiðlun að atvinnu, hvort heldur sem sá rekstur fer fram í nafni einkafyrirtækis eða t.d. hlutafélags. Félagasamtök, sem safna fjárhagsupplýsingum og miðla þeim áfram til félaga sinna, lúta ákvæðum greinarinnar. Úr framkvæmd gildandi laga má nefna að tölvunefnd hefur litið svo á að upplýsingamiðlun Verslunarráðs Íslands sé starfsleyfisskyld og lúti ákvæðum gildandi laga um skráningu og miðlun fjárhagsupplýsinga. Ekki skiptir
máli hvort sá er upplýsingum miðlar tekur gjald fyrir eða ekki. Greinimarkmið er aðeins það að viðkomandi safni upplýsingum og skrái þær í því skyni að miðla þeim til annarra. Þá skiptir heldur ekki máli hvort upplýsingamiðlunin er einasta starfsemi viðkomandi aðila eða hann hefur með höndum aðra starfsemi.
Þau rök liggja til grundvallar áskilnaði frumvarpsgreinarinnar um starfsleyfi skrárhaldara að sú skipan mála sé líklegri til að tryggja virkara eftirlit með starfsemi þeirra af opinberri hálfu. Af ákvæðum 33. gr. frumvarpsins leiðir að tölvunefnd getur sett reglur um form og efni umsókna samkvæmt lögunum, þar með taldar umsóknir um starfsleyfi skv. 15. gr. frumvarpsins. Er eðlilegt að nefndin kynni sér vel möguleika umsækjanda um starfsleyfi á því að geta efnt skyldur þær sem á skrárhaldara hvíla og veiti þeim einum starfsleyfi sem að mati nefndarinnar er líklegur til að geta uppfyllt skyldur þessar. Af þeim toga er ákvæði síðari málsliðar 15. gr.
Um 16. gr.
Frumvarpsgreinin er nýmæli í heild. Fyrri málsgreinin hefur að geyma almenna viðmiðunarreglu um það hvað taka megi á skrá og svarar til 1. mgr. 9. gr. dönsku e.s.l., en síðari málsgreinin setur því skorður hversu gömlum upplýsingum megi miðla.
Samkvæmt 1. mgr. má skrárhaldari einungis skrá upplýsingar sem eðli sínu samkvæmt geta haft þýðingu við mat á fjárhag eða lánstrausti. Í þessu skilyrði felst að skrárhaldari hefur ekki heimild til þess að skrá t.d. upplýsingar um starfshæfileika hins skráða, þannig að slíkar upplýsingar verði notaðar við mat á starfsumsókn hans. Hins vegar er ekkert því til fyrirstöðu að fyrirtæki, sem hyggst ráða mann í starf, afli sér upplýsinga hjá skrárhaldara um fjárhag umsækjanda og lánstraust. Samkvæmt síðari málslið 1. mgr. er með öllu bannað að skrá upplýsingar skv. 1. mgr. 4. gr. Þótt það leiði af ákvæðum fyrri málsliðarins að slík skráning sé óheimil þykir rétt að taka af allan vafa í þessum efnum. Að vísu má segja að upplýsingar um brotaferil og vímuefnanotkun geti haft þýðingu við mat á lánstrausti tiltekins aðila, en hér er eigi að síður um svo persónulegar og viðkvæmar upplýsingar að ræða að óeðlilegt þykir að slíkar upplýsingar liggi á lausu hjá einkaaðilum og sé miðlað af þeim til annarra.
Óheimilt er að skrá og miðla upplýsingum sem eldri eru en fimm ára. Er hér settur sami frestur og annars gildir skv. 5. gr. frumvarpsins. Í dönsku lögunum er aldurshámarkið fimm ár, en þrjú ár samkvæmt norsku lögunum. Sambærilegt ákvæði skortir í gildandi lög, en þó er í 4. mgr. 5. gr. talað um að upplýsingar skuli vera dagsettar og eðlilegs fyrningartíma getið.
Hlutlægar upplýsingar, eins og t.d. um nafn, heimilisfang, aldur, stöðu o.þ.h., lúta að sjálfsögðu ekki aldursreglunni og heldur ekki upplýsingar sem telja má jákvæðar fyrir hinn skráða. Nauðsynlegt er eigi að síður að hafa heimildarákvæði um skráningu og miðlun eldri upplýsinga því að í vissum tilvikum geta slíkar upplýsingar haft þýðingu lengur en í fimm ár, t.d. upplýsingar um gjaldþrot. Upplýsingum, sem „fyrndar“ eru samkvæmt þessu ákvæði, getur skrárhaldari ekki byggt á í mati sem hann lætur frá sér fara um fjárhag og lánstraust tiltekins aðila, jafnvel þótt upplýsingunum sjálfum sé ekki miðlað áfram. Niðurlagsákvæði 2. mgr. 16. gr. er ætlað að tryggja að aðili fái um það vitneskju áður en eldri upplýsingar en fimm ára eru skráðar eða þeim miðlað. Eins er aðila tryggður réttur til þess að bera ágreining í þessum efnum undir tölvunefnd.
Um 17. gr.
Ákvæðið í heild svarar til 2. mgr. 5. gr. gildandi laga. Í upptalningu frumvarpsgreinarinnar kemur kennitala í stað nafnnúmers í 2. mgr. 5. gr. gildandi laga. Svarar ákvæðið til 10. gr. dönsku e.s.l.
Ákvæðið hefur það að markmiði að tryggja að hinn skráði fái vitneskju um það að hann sé kominn á tiltekna skrá. Er sú vitneskja forsenda þess að hann eigi möguleika á því að kynna sér efni skráðra upplýsinga og fá leiðréttingu þeirra ef efni eru til þess.
Samkvæmt 2. mgr. skal skrárhaldari tilkynna hverjum þeim sem tekinn er á skrá ef skráð eru um hann önnur atriði en þau sem greind eru í 1. mgr., þ.e. almennt aðgengilegar upplýsingar. Með almennt aðgengilegum upplýsingum er t.d. átt við upplýsingar úr þinglýsingarbókum eða upplýsingar sem birtast í opinberum blöðum, t.d. Lögbirtingablaði, eða eru með öðrum hætti almennt aðgengilegar. Er hér yfirleitt um að ræða upplýsingar sem hinn skráði hefur ekki sérstaka hagsmuni af að hafa eftirlit með annaðhvort af þeirri ástæðu að þær eru ekki persónulegar upplýsingar í eðli sínu eða eru almennt aðgengilegar á grundvelli sérstakra reglna þar að lútandi. Upplýsingum þessum fylgja yfirleitt aðrar upplýsingar er gagngert varða fjárhag hins skráða og þegar þeim upplýsingum er bætt við hinar almennt aðgengilegu verður tilkynningarskylda skrárhaldara virk.
Til sanns vegar má færa að tilkynningarskylda af því tagi, sem hér um ræðir, sé íþyngjandi fyrir skráningaraðilann. Þegar hagsmunir hins skráða eru virtir verður þó að telja að slík tilkynningarskylda sé eðlileg, jafnvel þótt hún sé fyrirhafnarsöm, þar sem tilkynningarskyldan getur komið í veg fyrir
mistök sem alltaf geta gerst og hafa reyndar gerst hér á landi eins og ársskýrsla tölvunefndar frá 1986 ber með sér. Hins vegar er reynt að koma til móts við hagsmuni skráningaraðila á þann hátt að tilkynna þarf þegar aðili er tekinn á skrá í fyrsta skipti, en ekki eftir það.
Um 18. gr.
Ákvæðið hefur það að markmiði að tryggja að hinn skráði geti haft eftirlit með þeim upplýsingum sem um hann eru skráðar og miðlað hefur verið þannig að hann geti eftir atvikum krafist leiðréttinga. Frumvarpsgreinin leggur ekki þá skyldu á herðar skráningaraðila að tilkynna að eigin frumkvæði um efni skráðra upplýsinga. Hins vegar skal skráningaraðili, komi fram krafa um slíkt, svara fyrirspurn innan fjögurra vikna um efni allra þeirra upplýsinga sem skráningaraðili hefur yfir að ráða um hinn skráða. Samkvæmt 2. mgr. á skráður aðili rétt á að fá að skoða upplýsingar í viðurvist skrárhaldara.
Fyrsta málsgreinin svarar til 1. mgr. 11. gr. gildandi laga. Það nýmæli er að finna að kveðið er á um skyldu skrárhaldara til þess að svara fyrirspurn innan fjögurra vikna. Auk þess að eiga rétt til að fá vitneskju um efni skráðra upplýsinga á hinn skráði einnig rétt til þess að fá upplýsingar um það mat sem skrárhaldari hefur látið frá sér fara um hinn skráða ef því er að skipta. Með þessu er tryggður möguleiki hins skráða á því að fá leiðréttar rangar upplýsingar. Hins vegar á hann ekki rétt á því að fá að vita hverjum upplýsingar voru veittar. Í þeim tilvikum, þar sem um rangar upplýsingar er að ræða, hefur hinn skráði þó hagsmuni af því að fá að vita hverjum upplýsingar voru sendar. Leiðir það af ákvæðum 4. mgr. 14. gr. Rök þessa eru þau að hinn skráði getur beðið fjártjón eigi hann þess ekki kost að hafa samband við móttakanda upplýsinganna. Þá getur vitneskja um móttakanda, þegar svona hagar til, haft þýðingu við mat hins skráða á því hvert tjón hann hefur beðið og hvort ástæða sé til þess að krefjast bóta af skrárhaldara.
Þær upplýsingar, sem skýra skal frá samkvæmt ákvæðinu, eru þær sem skrárhaldari hefur undir höndum þegar krafa kemur fram, en ekki þær sem skrárhaldari hefur þegar hann gefur svar sitt. Ástæða þessa er sú að ósk um upplýsingar stafar oftast af grunsemdum hins skráða um að rangar upplýsingar séu á skrá. Rangar tölvuskráðar upplýsingar er hins vegar auðvelt að leiðrétta á skömmum tíma og án þess að slíks sjáist merki í skránni.
Samkvæmt 3. mgr. 18. gr. á hinn skráði ekki rétt til þess að fá upplýst hvaðan upplýsingar eru komnar. Á það einnig við þegar hinn skráði fær tækifæri til þess að skoða gögn sjálfur í viðurvist skrárhaldara. Megintilgangur
frumvarpsgreinarinnar er að skapa hinum skráða betra tækifæri til þess að fá fullnægjandi upplýsingar, en vernda jafnframt „heimildir“ skrárhaldara og láta skrárhaldara bera ábyrgð á því að upplýsingar hans séu réttar. Hins vegar gæti það reynst skrárhaldara erfitt að fá aðrar upplýsingar en þær sem eru almennt aðgengilegar ef á honum hvílir skylda til að skýra frá heimildarmönnum sínum.
Um 19. gr.
Ákvæði 1. mgr. 19. gr. svarar til 3. mgr. 5. gr. gildandi laga og er efnislega eins og 1. mgr. 12. gr. dönsku laganna. Ákvæði 2. mgr. 19. gr. er nýmæli og svarar til 2. mgr. 12. gr. dönsku e.s.l. Ákvæði 3. og 4. mgr. 19. gr. frumvarpsins er nýmæli og svarar að nokkru til 3. og 4. mgr. 12. gr. dönsku e.s.l.
Í frumvarpsgrein þessari er að finna ákvæði um það með hverjum hætti skrárhaldara er heimilt að miðla upplýsingum um fjárhagsmálefni og lánstraust. Ýmsar aðferðir eru hugsanlegar í þeim efnum. Hægt er að miðla upplýsingunum munnlega, skriflega og eftir tæknilegum leiðum. Með skriflegri miðlun er átt við skráningu á pappír, segulbönd, filmur eða annað þess háttar varanlegt form og með munnlegri miðlun er m.a. átt við miðlun í gegnum síma. Þá má og til munnlegrar miðlunar jafna miðlun upplýsinga sem birtast á tölvuskjá eða með öðrum sambærilegum hætti sem ekki er varanlegur.
Samkvæmt frumvarpsgreininni er það meginreglan að upplýsingum skal miðla skriflega. Með því er tryggð nægjanleg sönnun um það hvaða upplýsingum var miðlað, en slíkt er nauðsynlegt í sambandi við eftirlit með framkvæmd laganna.
Ákvæði 1. og 2. mgr. 18. gr. um rétt hins skráða til þess að kynna sér efni skráðra upplýsinga byggir á þeirri forsendu að skrárhaldari varðveiti upplýsingarnar eða afrit þeirra og það mat sem hann hefur látið frá sér fara.
Meginreglan um skriflegar upplýsingar sætir undantekningum, enda gæti það verið ýmsum vandkvæðum bundið ef ávallt þyrfti að svara skriflega. Hraði í viðskiptum gerir það nauðsynlegt að hægt sé með skömmum fyrirvara að afla tiltekinna upplýsinga. Þeim þörfum er reynt að mæta með því ákvæði síðari málsliðar 1. mgr. að veita megi föstum viðskiptavinum munnlegar upplýsingar þegar um almennar upplýsingar er að ræða. Með almennum upplýsingum, sem á Norðurlandamálum hafa verið kallaðar „summariskar“ upplýsingar, er átt við einfaldar upplýsingar sem oft verður svarað játandi eða neitandi. Auk nafns og heimilisfangs er hér t.d. átt við upplýsingar um stofnunarár fyrirtækis og heildarveltu þess, hvort viðkomandi aðili sé gjaldþrota, hvort hann eigi fasteign o.s.frv.
Þegar upplýsingar eru veittar munnlega ber að varðveita nafn og heimilisfang fyrirspyrjanda. Er það gert svo unnt sé að koma til þeirra leiðréttingum ef rangar upplýsingar hafa verið sendar út. Þykja sex mánuðir hæfilegur tími í þeim efnum.
Ekki þykir ástæða til þess að amast við útgáfu upplýsingarita um fjárhagsmálefni og lánstraust, enda gegna þau ákveðnu hlutverki í viðskiptalífi nútímans. Er þetta sá háttur á miðlun upplýsinga um fjárhagsmálefni og lánstraust sem algengastur er hér á landi. Útgáfa þeirra er því heimil skv. 2. mgr. frumvarpsgreinarinnar. Hins vegar miða ákvæði greinarinnar að því að tryggja hagsmuni hinna skráðu eftir því sem kostur er. Samkvæmt 2. mgr. mega upplýsingarit skrárhaldara aðeins hafa að geyma almennar upplýsingar og þau má aðeins afhenda áskrifendum. Almenn sala slíkra rita, t.d. í bókaverslunum eða á öðrum sambærilegum stöðum, er því ekki heimil og heldur ekki sala beint frá skrárhaldara. Aðeins afhending til áskrifenda er heimil. Eðlilegt þykir að leggja þá skyldu á herðar skrárhaldara að hann tilkynni skráðum aðila um það að nafn hans ásamt tilteknum upplýsingum muni birtast í næstu útgáfu upplýsingaritsins áður en viðkomandi er settur á skrá. Verði frumvarp þetta að lögum þurfa þeir aðilar, sem nú hafa með höndum söfnun og skráningu upplýsinga samkvæmt þessum kafla frumvarpsins, að fá starfsleyfi sín endurnýjuð ætli þeir að halda áfram starfsemi á þessu sviði. Er við það miðað að tilkynningarskylda skv. 2. mgr. 19. gr. taki einnig til þeirra aðila sem nú þegar eru á skrám þessara starfsleyfishafa. Um rök tilkynningarskyldunnar má vísa til þess sem áður segir í athugasemdum við 2. mgr. 17. gr. frumvarpsins.
Í 3. mgr. frumvarpsgreinarinnar er að finna ákvæði sem setja því skorður hverjar almennar upplýsingar veita má um fjárhag manna og lánstraust, m.a. í upplýsingaritum. Birting á nafni manns eða fyrirtækis í upplýsingariti um fjárhagsmálefni, hinum svokölluðu vanskilaskrám sem oft eru nefndar „svörtu listarnir“, hefur í raun þann tilgang að vara aðra við lögskiptum við hinn skráða. Slíkt getur haft í för með sér mjög alvarlegar afleiðingar fyrir hinn skráða, t.d. hvað varðar lánsviðskipti við kaup á almennum verslunarvörum. Til þess að aðili verði tekinn á skrá er svo ákveðið í 3. mgr. að skuld eða skuldir hins skráða við tiltekinn kröfuhafa skuli í hverju einstöku tilviki ná ákveðnu lágmarki sem er 10.000 kr. Þótt ekki sé heimilt að veita almennar upplýsingar um lægri skuld eða skuldir er eigi að síður heimilt að nota slíkar upplýsingar í heildstæðu mati skrárhaldara á lánstrausti eða fjárhag hins skráða.
Mjög er það misjafnt hvaðan skrárhaldarar safna upplýsingum þeim er þeir birta í vanskilaskránum. Eru upplýsingarnar ýmist fengnar hjá dómstólum, í dagblöðum eða Lögbirtingablaði. Nauðsynlegt þykir að setja því skorður hvert slíkar upplýsingar verði sóttar og miða ákvæði 3. mgr. að því. Samkvæmt ákvæðinu má aðeins miðla upplýsingum sem eru almennt aðgengilegar, t.d. fengnar úr Lögbirtingablaði, dagblöðum eða aðgangur að þeim er almennur með öðrum hætti, t.d. í dómabókum. Þetta gildir þó ekki hafi skuldari skriflega gengist við því gagnvart kröfuhafa að skuldin sé gjaldfallin eða kröfuhafi hefur byrjað réttargerð á hendur skuldara til fullnustu kröfunnar, t.d. með birtingu stefnu eða beiðni um beina aðför eða uppboð án undangengins dóms, sáttar eða fjárnáms.
Erlendis hefur það komið fyrir að almennar upplýsingar um fjárhagsmálefni og lánstraust hafa verið notaðar við mat á lánstrausti annarra en hinna skráðu. Sem dæmi frá Danmörku má nefna að upplýsingar í vanskilaskrá um stóran hóp íbúa við tiltekna götu eða í tilteknu fjölbýlishúsi urðu þess valdandi að öðrum íbúum götunnar eða hússins, sem ekki voru á skránni, var neitað um lán. Ákvæði 4. mgr. frumvarpsgreinarinnar hafa það m.a. að markmiði að tryggja að slíkt gerist ekki, en í greininni segir að almennar upplýsingar megi ekki veita með þeim hætti að þær geti verið grundvöllur mats á fjárhagslegri stöðu annarra en þeirra sem upplýsingarnar varða. Má því samkvæmt þessu ekki flokka hina skráðu eftir heimilisfangi, heldur eftir nafni. Skiptir í því sambandi ekki máli hvort upplýsingar eru gefnar munnlega eða skriflega.
Um 20. gr.
Ákvæðið er sama efnis og 12. gr. gildandi laga. Nánari fyrirmæli um það, hvernig að leiðréttingu skuli staðið, er að finna í 14. gr. sem er almennt ákvæði.
Um VI. kafla.
Nafnalistar og límmiðaáritanir.
Markaðs- og skoðanakannanir.
Kaflinn hefur að geyma reglur annars vegar um svokallaða nafnalista og nafnáritanir, svo sem með límmiðaáritun, og hins vegar reglur um framkvæmd markaðs- og skoðanakannana.
Engin ákvæði eru í gildandi tölvulögum um starfsemi þeirra er hafa með höndum fyrir aðra útsendingu dreifibréfa, tilkynninga o.þ.h. ef frá eru talin ákvæði 2. mgr. 13. gr. Hvað varðar starfsemi þeirra, er selja nafnalista og
annast um nafnáritanir, hefur kaflinn að geyma ferns konar reglur. Í fyrsta lagi er gerður áskilnaður um starfsleyfi þeirra er slíka starfsemi hafa með höndum og í öðru lagi eru því skorður settar hvað slíkir aðilar mega taka á skrá. Í þriðja lagi eru ákvæði um það að í áritun skuli koma fram úr hvaða skrá upplýsingar eru fengnar. Í fjórða lagi er ákvæði þess efnis að óheimilt sé að framselja skrár eða gögn um fasta viðskiptamenn eða félagsmenn án samþykkis þess er gögnin hefur afhent.
Um framkvæmd markaðs- og skoðanakannana eru ákvæði í 24. gr. frumvarpsins. Eru þau að mestu eins og ákvæði gildandi laga, nema hvað ákvæði d- og e-liða eru nýmæli.
Um 21. gr.
Í 1. mgr. 21. gr. er kveðið á um starfsleyfisskyldu þeirra sem selja eða afhenda nöfn og heimilisföng einstaklinga eða lögpersóna þegar nafnalistarnir og heimilisföngin eru notuð til útsendinga dreifibréfa, áróðursrita, auglýsingabæklinga o.s.frv. Eins er kveðið á um starfsleyfisskyldu þeirra sem annast um fyrir aðra nafnáritanir, t.d. með límmiðaáritunum, eða aðra útsendingu tilkynninga til þeirra sem greinir í fyrri málslið 1. mgr. Er hér farið að fyrirmynd 25. gr. norsku laganna sem kveður á um starfsleyfisskyldu í þessum efnum.
Starfsemi fyrirtækja, er hafa með höndum sölu á nafnalistum og heimilisföngum og annast um nafnáritanir, getur verið bæði eðlileg og nauðsynleg. Hins vegar er á því þörf af tilliti til einkalífsverndar manna að setja starfsemi þessara aðila ákveðnar skorður, þar á meðal skorður varðandi það hvaða upplýsingar þeim er heimilt að skrá.
Starfsemi fyrirtækja, er veita þá þjónstu er hér um ræðir, hefur farið vaxandi hér á landi síðustu árin. Rök þess að kveða á um starfsleyfisskyldu þeirra eru m.a. þau að gagnabönkum sem þessum er mjög auðvelt að breyta í annars konar gagnabanka með víðtækari upplýsingum og þykir því nauðsynlegt að slík starfsemi falli ótvírætt undir eftirlitsvald tölvunefndar.
Í 2. mgr. 21. gr. er upp talið hvað starfsleyfishöfum skv. 21. gr. er heimilt að skrá. Er þar um að ræða almennt aðgengilegar upplýsingar og upplýsingar sem ekki eru mönnum viðkvæmar. Önnur málsgrein telur það tæmandi hvað skrá megi. Í 3. mgr. er þess getið að dómsmálaráðherra geti í reglugerð reist frekari skorður við því hvað greina megi í skrám sem þessum.
Um 22. gr.
Ákvæði 1. mgr. 22. gr. er nýmæli. Þar kemur fram sú regla að í útsendu efni skuli það koma fram á áberandi stað að efninu sé deift eftir upplýsingum úr skrá í vörslu viðkomandi fyrirtækis eða stofnunar. Er ákvæði þetta sett til þess að auðvelda viðtakendum slíkra bréfa eða rita að koma milliliðalaust á framfæri óskum sínum við skrárhaldara um að nöfn þeirra verði tekin af skrá, en skv. 2. mgr. 22. gr. er skrárhaldara skylt að verða við slíkum tilmælum. Ákvæði 22. gr. svarar að mestu til 18. gr. dönsku e.s.l.
Í 3. mgr. 22. gr. er tölvunefnd heimilað að setja reglur um framkvæmd merkingar skv. 1. mgr.
Um 23. gr.
Ákvæðið svarar til 19. gr. dönsku e.s.l. og niðurlagsákvæðis 27. gr. norsku laganna.
Í ákvæðinu er við það miðað að það geti verið fyllilega eðlilegt af fyrirtæki eða félagasamtökum að láta skrárhaldara skv. 21. gr. í té lista yfir félagsmenn sína eða fasta viðskiptavini til útsendingar dreifirita o.þ.h. Ákvæðið setur því hins vegar takmörk á hvern hátt starfsleyfishafi má nota slíkar skrár. Samkvæmt ákvæðinu er starfsleyfishafa óheimilt að selja öðrum skrá eða nota þá flokkun, sem þar kemur fram, til útsendinga fyrir aðra en þann sem skrána afhenti, nema með samþykki þess er afhenti starfsleyfishafa skrána. Þannig má hugsa sér það dæmi að starfsleyfishafi fái afhenta skrá yfir meðlimi í tilteknum stjórnmálaflokki til þess að annast um áritun dreifibréfa frá þeim stjórnmálaflokki til meðlima hans. Væri þá óeðlilegt ef starfsleyfishafinn gæti án samþykkis stjórnmálaflokksins notað skrá hans til útsendingar dreifibréfa fyrir aðra stjórnmálaflokka eða t.d. fyrir viðskiptaaðila. Hins vegar er gengið út frá því í ákvæðinu að með samþykki skráreiganda geti starfsleyfishafi notað slíkar skrár til útsendinga fyrir sjálfan sig eða aðra.
Um 24. gr.
Framkvæmd markaðs- og ýmiss konar skoðanakannana hefur færst mjög í vöxt á undanförnum árum hér á landi, svo sem ársskýrslur tölvunefndar bera með sér. Mjög er það misjafnt eins og sjá má af ársskýrslum hverjum upplýsingum er safnað í slíkum könnunum, en ekki er óalgengt að safnað sé viðkvæmum upplýsingum um hagi hinna spurðu, t.d. upplýsingum um stjórnmálaviðhorf þeirra, kynlíf, brotaferil, vímuefnanotkun og heilsuhagi. Hefur tilfinnanlega
skort ítarleg ákvæði í íslensk lög um skyldur þeirra, er slíkar kannanir framkvæma, um sjálfa framkvæmdina og eftirlit af opinberri hálfu með framkvæmdinni. Einu ákvæðin, sem nú er að finna í íslenskum lögum um framkvæmd markaðs- og skoðanakannana, eru ákvæði 5. mgr. 13. gr. laga nr. 39/1985. Hafa þau verið grundvöllur þess eftirlits sem tölvunefnd hefur haft með framkvæmd slíkra kannana. Hefur nefndin, þrátt fyrir óljóst orðalag gildandi laga, talið sér heimilt að synja beiðnum um heimildir til þess að framkvæma slíkar kannanir ef hún hefur verið þeirrar skoðunar að réttur hinna spurðu væri ekki nægilega tryggður.
Að mörgu leyti væri æskilegt að sett yrðu hér á landi ítarleg lagaákvæði um framkvæmd markaðs- og skoðanakannana. Hins vegar er það álitamál hvort rétt sé að setja slík ákvæði í löggjöf sem þessa. Af þeirri ástæðu og því að Alþingi samþykkti síðastliðið vor þingsályktunartillögu þar sem ríkisstjórninni var falið að skipa nefnd er kanni hvort rétt sé að setja lög eða koma á reglum um skoðanakannanir þykir ekki rétt að setja í frumvarp þetta ítarlegri ákvæði um framkvæmd slíkra kannana en er að finna í 24. gr. frumvarpsins. Er með því reynt að tryggja að íslensk löggjöf hafi að geyma allra nauðsynlegustu ákvæðin um framkvæmd slíkra kannana þar til lokið er þeirri athugun sem að er vikið í framangreindri þingsályktun.
Mjög er það misjafnt í löggjöf erlendra ríkja hvernig háttað er lagareglum um skoðanakannanir. Má þannig sem dæmi nefna að dönsku tölvulögin hafa engin ákvæði að geyma um skoðanakannanir, en hins vegar eru slík ákvæði í norsku tölvulögunum.
Ákvæði a–c-liða eru samhljóða ákvæðum 5. mgr. 13. gr. gildandi laga og mæla fyrir um helstu skyldur spyrjenda bæði hvað varðar framkvæmd könnunar og varðveislu gagna. Ákvæði d-liðar er nýmæli og setur því skorður hvernig nota má þær upplýsingar sem safnað var, þ.e. einvörðungu til þess að kanna það sem var tilgangur könnunar. Ákvæði e-liðar er af sama toga, en samkvæmt því er spyrjanda óheimilt að veita öðrum aðgang að upplýsingunum. Hér á landi eru starfandi ýmis fyrirtæki er annast framkvæmd markaðs- og skoðanakannana fyrir aðra. Ákvæði e-liðar er því að sjálfsögðu ekki til fyrirstöðu að slík fyrirtæki afhendi þeim er óskað hefur eftir könnun aðgang að upplýsingunum.
Um VII. kafla.
Um tölvuþjónustu o.fl.
Í VII. kafla frumvarpsins eru settar reglur um starfsemi þeirra er annast tölvuþjónustu fyrir aðra. Þýðingarmesta ákvæðið kemur fram í 1. mgr. 25. gr.
og kveður á um starfsleyfisskyldu þeirra er slíka starfsemi hafa með höndum. Auk þess er að finna í kaflanum ákvæði um meðferð starfsleyfishafa á upplýsingum, þagnarskyldu hans og starfsmanna hans og um afleiðingar brota þeirra á þagnarskyldunni.
Um 25. gr.
Fyrsta málsgrein 25. gr. svarar til 1. mgr. 19. gr. gildandi laga og er efnislega eins. Greinin kveður á um starfsleyfisskyldu þeirra er annast tölvuvinnslu fyrir aðra. Til samanburðar má geta þess að slíkir aðilar eru ekki starfsleyfisskyldir í Danmörku, heldur einvörðungu tilkynningarskyldir, sbr. 1. mgr. 20. gr. dönsku e.s.l. Samkvæmt gildandi lögum hér á landi eru slíkir aðilar starfsleyfisskyldir og þykir ekki ástæða til þess að breyta frá þeirri tilhögun í frumvarpi þessu, enda veitir þetta fyrirkomulag tölvunefnd betri möguleika til þess að hafa eftirlit með starfsemi slíkra aðila.
Ákvæðið tekur ekki einungis til svokallaðra tölvuþjónustufyrirtækja, heldur einnig allra annarra sem hafa með höndum þá starfsemi sem í greininni getur. Getur því verið um að ræða bæði fyrirtæki sem helga sig sölu á slíkri þjónustu og t.d. endurskoðendur sem stöku sinnum nýta tölvubúnað sinn til vinnslu gagna fyrir viðskiptavini sína.
Samkvæmt frumvarpinu er starfsleyfisskyldan takmörkuð við eftirfarandi tilvik: 1) að varðveittar séu viðkvæmar upplýsingar um einkamálefni eða úr þeim unnið, þ.e. upplýsingar þær sem greinir í 1. mgr. 4. gr., 2) að varðveittar séu eða unnið úr upplýsingum um fjárhagsmálefni og lánstraust, sbr. V. kafla frumvarpsins, og 3) unnið sé að samkeyrslu upplýsinga þar sem tölvunefnd hefur veitt heimild til slíkrar samkeyrslu, sbr. ákvæði 3. mgr. 6. gr.
Í þeirri viðmiðun greinarinnar, að unnið sé úr upplýsingum fyrir aðra, felst að þeir sem í eigin þágu varðveita og vinna úr upplýsingum þeim, sem upp eru taldar í a–c-liðum 1. mgr. 25. gr., þurfa ekki starfsleyfi. Bankar og sparisjóðir, sem varðveita fjárhagsupplýsingar um eigin viðskiptavini og vinna úr þeim í eigin þágu, þurfa ekki starfsleyfi samkvæmt greininni. Ef annar aðili hins vegar annaðist slíka tölvuvinnslu fyrir bankana væri sá hinn sami starfsleyfisskyldur. Eins má nefna það dæmi að læknum og sjúkrahúsum er heimilt að skrá heilsufarsupplýsingar um sjúklinga sína, en ef þessir aðilar fá annan aðila til þess að tölvuvinna slíkar upplýsingar fyrir sig yrði sá aðili að hafa starfsleyfi skv. 25. gr. Úr framkvæmd gildandi laga má nefna að
landlæknir heldur svokallaða fóstureyðingaskrá og hefur hún verið tölvufærð af tilteknu verkfræðifyrirtæki hér í bæ. Það fyrirtæki hefur starfsleyfi til slíkrar þjónustu og yrði það tvímælalaust áfram samkvæmt frumvarpinu.
Ákvæði 2. mgr. 25. gr. svarar til 2. mgr. 19. gr. gildandi laga og þarfnast ekki skýringar.
Í 3. mgr. 25. gr. er ákvæði um meðferð starfsleyfishafa á þeim upplýsingum sem hann vinnur úr. Hefur ákvæðið það að meginmarkmiði að tryggja að upplýsingar úr skrá komist ekki til óviðkomandi án vitundar eiganda upplýsinganna. Er starfsleyfishafa óheimilt án samþykkis verkbeiðanda að nota upplýsingarnar til annars en að framkvæma þá þjónustu sem verkbeiðandi hefur óskað eftir. Í þeim tilvikum, þar sem upplýsingum úr skrám hefur með samþykki eiganda þeirra verið miðlað til þriðja aðila, er það eigandinn sem er ábyrgur fyrir því að sú miðlun fullnægi skilyrðum frumvarpsins fyrir slíkri upplýsingamiðlun. Þá er starfsleyfishafa óheimilt samkvæmt frumvarpsgreininni að fá upplýsingarnar öðrum til vinnslu. Er slík regla eðlileg til þess að koma í veg fyrir frjálslega meðferð upplýsinganna. Rétt þykir að árétta að í því ákvæði greinarinnar, að óheimilt sé að fá aðra til þess að vinna úr upplýsingunum, er bæði átt við aðila hérlendis og erlendis.
Ákvæði 4. mgr. 25. gr. er efnislega samhljóða 4. mgr. 19. gr. gildandi laga og á það ákvæði sér fyrirmynd í 3. mgr. 20. gr. dönsku e.s.l. Ekki verða í lagaákvæði sem þessu sett nánari fyrirmæli um það hvers konar öryggisráðstöfunum starfsleyfishöfum er skylt að koma við. Hlýtur umfang og eðli slíkra ráðstafana að ráðast af því hvers konar starfsemi um er að ræða. Af þeirri ástæðu gerir frumvarpsgreinin ráð fyrir því að dómsmálaráðuneytið geti sett nánari reglur um slíkar öryggisráðstafanir. Tölvunefnd sú, er skipuð var eftir gildistöku laga nr. 63/1981, setti í september 1983 „Reglur um ábyrgð og samskipti skráningaraðila og tölvuþjónustufyrirtækja“. Eru reglur þessar birtar sem fylgiskjal nr. 3 með ársskýrslu tölvunefndar 1983.
Um 26. gr.
Frumvarpsgreinin hefur að geyma fyrirmæli um þagnarskyldu starfsmanna við tölvuþjónustu og svarar til 20. gr. gildandi laga. Ef tölvuþjónusta er látin í té af fyrirtæki sem rekið er af hinu opinbera má vænta þess að starfsmenn séu opinberir starfsmenn með þagnarskyldu um þau atriði er þeir komast að í sambandi við tölvustarfsemina, sbr. m.a. 32. gr. laga nr. 38/1954 og 136. gr. almennra hegningarlaga. Þykir ekki þörf að setja sérrreglur um þagnarskyldu þeirra hér, þó svo að ákvæði 1. mgr. eigi einnig við um þá, þ.e. áskilið er að
þeir undirriti þagnarheit í sambandi við vitneskju sem þeir fá við framkvæmd þessara starfsverkefna. Er það gert til að árétta frekar en ella er hve miklu varðar að starfsmenn gæti þagnarskyldu í þessu sambandi. Ef fyrirtæki er ekki rekið af hinu opinbera er slíkri almennri þagnarskyldu ekki til að dreifa. Þeir starfsmenn skulu undirrita þagnarheit, sbr. 1. mgr., og geta m.a. orðið skaðabótaskyldir ef þeir virða ekki þagnarskyldu og unnið sér til refsingar, sbr. 35. gr. frumvarpsins. Þagnarheitið gegnir hér vissulega hlutverki án tillits til refsihliðar þessa máls. Ætlast er til að forráðamenn fyrirtækis brýni þagnarskylduna fyrir starfsmönnum.
Ef tölvuþjónustufyrirtæki, sem tilheyrir einkageiranum, vinnur að verkefnum fyrir hið opinbera þykir nauðsynlegt að mæla svo fyrir að starfsmenn fyrirtækisins séu þagnarskyldir í sambandi við framkvæmd verkefnis með sama hætti og opinberir starfsmenn sem unnið hafa að því. Varðar rof á þagnarskyldu, þegar svo stendur á, refsingum skv. 136. gr. almennra hegningarlaga, en refsiákvæði 37. gr. frumvarpsins tekur ekki til þessa.
Um VIII. kafla.
Söfnun upplýsinga hér á landi til úrvinnslu erlendis.
Aukin tækni á sviði tölvumála og fjarskipta hefur auðveldað mjög flutning gagna frá einu landi til annars. Má ljóst vera að einkalífsvernd þeirri, sem frumvarpi þessu er ætlað að veita mönnum, gæti verið hætta búin ef söfnun upplýsinga gæti óheft farið fram hér á landi til úrvinnslu í öðru landi. Þannig gæti orðið mjög erfitt fyrir skráðan aðila að fá hlut sinn réttan ef slík skráning gengi að einhveru leyti á svig við ákvæði frumvarpsins. Gegnir hinu sama ef óheft mætti flytja úr landi til geymslu eða frekari úrvinnslu erlendis skrár sem hafa að geyma persónuupplýsingar.
Vandamál, sem tengjast flutningi persónugagna, hafa verið mjög til umræðu á fjölþjóðavettvangi. Má sem dæmi nefna umræður innan Evrópuráðs, Efnahags- og framfarastofnunar Evrópu (OECD), Norðurlandaráðs og samstarfsnefndar vestrænna tölvueftirlitsstofnana.
Hlutverk VIII. kafla frumvarpsins, sem er sama efnis og ákvæði 21. gr. í VII. kafla gildandi laga, er fyrst og fremst það að vernda rétt skráðra aðila gegn óheftum flutningi persónugagna sem safnað hefur verið hérlendis til úrvinnslu erlendis.
Um 27. gr.
Utan sviðs frumvarpsins fellur skráning sem til er stofnað erlendis. Á þetta eins við þótt upplýsingar í skrá varði einstaklinga eða lögpersónur hér á landi. Ef skrá er á hinn bóginn varðveitt hér á landi eiga ákvæði frumvarpsins við um hana. Hlutverk 1. og 2. mgr. 27. gr. er fyrst og fremst að tryggja að ekki verði gengið á svig við skráningarreglur frumvarpsins, þar á meðal reglur þess um tilskilin samþykki tölvunefndar til skráningar með því að skrá upplýsingar erlendis. Ef reglna frumvarpsgreinarinnar nyti ekki við gæti það verið freistandi að stofna til skráningar erlendis og fullvinna skrár þar með upplýsingum sem safnað væri hér á landi.
Efni 27. gr. frumvarpsins er í raun tvíþætt. Í 1. mgr. er lagt bann við söfnun og skráningu persónuupplýsinga hér á landi til geymslu eða úrvinnslu erlendis. Í 2. mgr. er á hinn bóginn lagt bann við því að skrár eða frumgögn, sem geyma upplýsingar þær sem greinir í 1. mgr. 4. gr., verði látnar af hendi til geymslu eða úrvinnslu erlendis. Samkvæmt ákvæðum 1. og 2. mgr. getur tölvunefnd veitt undanþágu frá framangreindum bannákvæðum og í 3. mgr. frumvarpsgreinarinnar eru greind þau sjónarmið sem liggja skulu til grundvallar ákvörðunum nefndarinnar þegar hún veitir undanþágur. Ber nefndinni fyrst og fremst að leggja til grundvallar hver persónuvernd mönnum er búin á þessu sviði í því landi sem flytja skal gögnin til. Við mat nefndarinnar ber að mörgu að huga, m.a. hverjar reglur gildi í viðkomandi landi, m.a. um möguleika skráðra aðila til að fá upplýsingar um, hvað um þá er skráð, möguleika þeirra til að koma við leiðréttingum o.s.frv.
Ákvæði 4. mgr. er þarflegt í því skyni að greiða fyrir þjóðréttarsamningum og alþjóðlegri samvinnu á þessu sviði.
Um IX. kafla.
Um skráningu upplýsinga og varðveislu þeirra.
IX. kafli frumvarpsins hefur að geyma sömu reglur og fram koma í 7. og 9. gr. í III. kafla gildandi laga. Það er að vísu svo að ákvæði IX. kafla frumvarpsins koma óbeint fram í ýmsum greinum frumvarpsins, en rétt þykir eigi að síður að orða reglurnar sem almennar grundvallarreglur um skráningu upplýsinga og varðveislu þeirra. Að öðru leyti þarfnast ákvæði kaflans ekki skýringa.
Um X. kafla.
Um eftirlit með lögum þessum.
Kafli þessi fjallar um sama efni og VIII. kafli gildandi laga nr. 39/1985. Í X. kafla er að finna ákvæði um skipan, verkefni og valdsvið opinberrar nefndar, svokallaðrar tölvunefndar, sem hefur eftirlit með því að til skráningar sé stofnað og skrár notaðar með þeim hætti sem fyrir er mælt í frumvarpinu.
Um 30. gr.
Frumvarpsgreinin er sama efnis og 22. gr. gildandi laga, en efni og orðalag er töluvert breytt.
Til samræmis við ákvæði gildandi laga er áfram lagt til að eftirlit með framkvæmd laganna verði í höndum nefndar sem dómsmálaráðherra skipar til fjögurra ára í senn, svokallaðrar tölvunefndar. Eins og segir berum orðum í 1. gr. frumvarpsins eiga lögin við hvort sem skráning er handunnin eða vélræn. Er vernd laganna því ekki takmörkuð við vélræna skráningu eina. Orðið tölvunefnd er af þessum sökum ekki alls kostar heppilegt og væri að mörgu leyti eðlilegra að kalla nefndina skráningarnefnd eins og gert er t.d. í Danmörku (registertilsyn). Orðið tölvunefnd hefur hins vegar unnið sér fastan sess í vitund manna og þykir því ekki rétt að leggja til aðra orðnotkun í frumvarpi þessu.
Samkvæmt 1. mgr. 30. gr. er lagt til að tölvunefnd verði skipuð fimm mönnum, en samkvæmt gildandi lögum eiga þrír menn sæti í nefndinni. Sú venja myndaðist fljótlega eftir skipun fyrstu tölvunefndar í ársbyrjun 1982 og er enn framkvæmd að alla fundi nefndarinnar sóttu og sækja bæði aðalmenn og varamenn, en varamenn hafa að sjálfsögðu ekki tekið þátt í afgreiðslu mála nema í forföllum aðalmanna. Þetta fyrirkomulag hefur tryggt að fleiri sjónarmið hafa komist að við umræður í nefndinni en ella hefði verið og þetta hefur gert varamönnum auðveldara að taka sæti aðalmanna við ákvarðanatökur þegar til slíks hefur komið. Með hliðsjón af þessari jákvæðu reynslu þykir rétt að leggja til að skipaðir verði fimm fulltrúar í nefndina í stað þriggja. Má bæta því við að sú skipan mála hefði ekki kostnaðarauka í för með sér því að varamenn í tölvunefnd hafa fengið greidd laun fyrir fundarsetur sínar. Frumvarpsgreinin gerir ráð fyrir skipan fimm varamanna og yrðu þeir þá eingöngu kvaddir til fundarsetu í forföllum aðalmanna.
Í 1. mgr. 30. gr. frumvarpsins er kveðið á um það hverjum skilyrðum nefndarmenn skulu fullnægja. Í gildandi lögum er áskilnaður um að formaður
nefndarinnar fullnægi skilyrðum til þess að vera dómari. Er sú tilhögun eðlileg með hliðsjón af verkefnum nefndarinnar og er því lagt til í frumvarpinu að svo verði áfram. Þá er og lagt til að auk formanns séu tveir aðrir nefndarmenn löglærðir og fullnægi annar þeirra einnig dómaraskilyrðum og sé jafnframt varaformaður. Ástæða þessa er sú að tölvunefnd hefur samkvæmt gildandi lögum og 31. gr. frumvarpsins úrskurðarvald í ágreiningsmálum er varða framkvæmd laganna. Erindi þau, sem berast tölvunefnd, eru mörg hver flókin og erfið úrlausnar lögfræðilega séð og ætti þetta fyrirkomulag að vera til þess fallið að styrkja niðurstöður nefndarinnar.
Samkvæmt gildandi lögum skal einn nefndarmanna vera sérfróður um tölvu- og skráningarmálefni. Nauðsynlegt er að tæknileg sérþekking sé til staðar innan tölvunefndar og því er í frumvarpsgreininni lagt til að sama regla gildi áfram, þ.e. að einn nefndarmanna sé sérfróður á tæknisviðinu og verði tilnefndur af Skýrslutæknifélagi Íslands.
Við setningu laga nr. 63/1981 var það sjónarmið lagt til grundvallar að auk formanns og sérfróðs tæknimanns sæti í tölvunefnd þriðji fulltrúinn er hefði að leiðarljósi sjónarmið hins almenna borgara án þess að þar kæmi til sérþekking á tölvumálum. Eðlilegt er að sjónarmið borgaranna komist að við ákvarðanatöku í tölvunefnd og því er við það miðað að ráðherra skipi fimmta fulltrúann í nefndina með það sjónarmið í huga.
Í 2. mgr. 30. gr. frumvarpsins er lagt til að starfsmaður í dómsmálaráðuneytinu verði ritari nefndarinnar, en um það er nú ákvæði í 2. mgr. 22. gr. gildandi laga. Ritari tölvunefndar hefur allt frá setningu laga nr. 63/1981 annast daglega afgreiðslu á vegum nefndarinnar í nánu samráði við formann. Rök þessa fyrirkomulags voru á sínum tíma þau að koma í veg fyrir að tölvunefnd yrði að stjórnsýslubákni. Þá átti og með þessu að tryggja ákveðin tengsl milli nefndarinnar og dómsmálaráðuneytisins. Þessi skipan mála er hagkvæm af ýmsum ástæðum og í engu hefur hún skert sjálfstæði nefndarinnar gagnvart dómsmálaráðuneytinu. Verkefni tölvunefndar hafi að vísu farið vaxandi með árunum og mikið mætt á ritara tölvunefndar við daglega afgreiðslu og undirbúning mála. Ekki þykir það þó næg ástæða til að gera tillögu um að sett verði á laggirnar sérstök tölvueftirlitsstofnun hér á landi eins og tíðkast víða erlendis. Þar við bætist að frumvarp þetta hefur ekki neinar þær breytingar í för með sér á eðli eftirlitsstarfsins sem gera stofnun eftirlitsskrifstofu nauðsynlega. Þá má og segja að fjölgun nefndarmanna í fimm sé til þess fallin að gera eftirlitsstarfið auðveldara viðfangs en þó jafnframt markvissara fyrir þá sem því sinna.
Um 31. gr.
Samkvæmt 1. mgr. 30. gr. skal tölvunefnd hafa eftirlit með framkvæmd laganna og reglum settum samkvæmt þeim. Í 31. gr. er að finna almennar reglur um verkahring nefndarinnar og eftirlitsstarf.
Ákvæði fyrri málsliðar 1. mgr. 31. gr. er nýmæli, en felur þó ekki í sér neina efnisbreytingu frá gildandi lögum. Þar segir að tölvunefnd hafi að eigin frumkvæði eða eftir ábendingum frá skráðum aðilum eftirlit með því að til skráningar sé stofnað og skrár notaðar með þeim hætti sem fyrir er mælt í lögunum. Í þessu felst tvennt. Annars vegar er kveðið á um eftirlit nefndarinnar að eigin frumkvæði og svo hins vegar vegna kvartana frá skráðum aðilum. Eins og víða kemur fram í frumvarpinu er það hlutverk nefndarinnar að taka við kvörtunum frá skráðum aðilum og aðstoða þá við að ná fram rétti sínum ef þannig hagar til og er þetta almenna ákvæði því til samræmis við það hlutverk nefndarinnar.
Ákvæði 2. mgr. 31. gr. er sama efnis og 25. gr. gildandi laga. Í því felst að úrlausnir tölvunefndar eru stjórnsýslulega séð fullnaðarúrlausnir og verður þeim ekki skotið til annarra stjórnsýsluaðila, t.d. ráðherra til endanlegrar ákvörðunar. Ákvæði þetta tryggir mjög sjálfstæði nefndarinnar gagnvart stjórnvöldum. Rétt er að vekja á því athygli að með orðinu „úrlausnir“ í ákvæðinu er ekki einungis átt við eiginlega úrskurði nefndarinnar heldur aðrar ákvarðanir hennar. Þrátt fyrir ákvæði þetta stendur óhaggaður réttur manna til þess að bera úrlausnir nefndarinnar undir dómstóla eftir almennum reglum þar að lútandi.
Um 32. gr.
Ákvæði 32. gr. frumvarpsins í heild er nýmæli. Í ákvæðinu felst tvennt: Annars vegar réttur tölvunefndar skv. 1. mgr. 32. gr. til þess að krefja skrárhaldara allra þeirra upplýsinga sem nefndinni eru nauðsynlegar til þess að rækja eftirlitsstarf sitt. Er ákvæði þetta sama efnis og 2. mgr. 22. gr. dönsku e.s.l. Hins vegar er svo ákvæði 2. mgr. 32. gr. um rétt tölvunefndar án dómsúrskurðar til aðgangs að húsnæði þar sem skráning fer fram eða skráningargögn eru varðveitt, en það ákvæði er sama efnis og ákvæði 3. mgr. 22. gr. dönsku e.s.l.
Ákvæði sama efnis og fram kemur í frumvarpsgrein þessari voru í frumvörpum þeim til laga um kerfisbundna skráningu á upplýsingum um einkamálefni sem lögð voru fyrir Alþingi 1978, 1980 og 1981, en voru felld niður í meðförum Alþingis þegar lög nr. 63/1981 voru samþykkt.
Við endurskoðun laga nr. 63/1981 árið 1984 lagði tölvunefnd til að sambærilegt ákvæði og 32. gr. frumvarps þessa yrði sett í hin nýju lög, sbr. ársskýrslu tölvunefndar 1984, bls. 17, en ekki náði sú tillaga fram að ganga.
Samkvæmt 66. gr. stjórnarskrárinnar, nr. 33 frá 17. júní 1944, verður húsleit eigi framkvæmd nema eftir dómsúrskurði eða eftir sérstakri lagaheimild. Tölvutækni nútímans veitir möguleika til þess að eyða upplýsingum, sem geymdar eru í tölvum, á örskömmum tíma og án þess að slíks sjáist nokkur merki. Með hliðsjón af því og þegar virtir eru hagsmunir þeir, sem lögum þessum er ætlað að vernda, verður að ætla að eftirlitshlutverk tölvunefndar verði markvissara og áhrifaríkara ef nefndin hefur ótvíræða heimild til beitingar þeirra úrræða sem í 32. gr. frumvarpsins greinir. Getur nefndin þannig betur fylgst með því að öryggisráðstafana sé gætt, aðgangur að upplýsingum sé takmarkaður í samræmi við ákvæði laga og að skráningu sé að öðru leyti staðið í samræmi við lög og reglur. Þá er og líklegt að ákvæði sem þetta sé til þess fallið að hafa almenn varnaðaráhrif á skrárhaldara, þ.e. verði þeim frekari hvatning til að standa rétt að málum ef þeir geta átt von á fyrirvaralausum eftirlitsheimsóknum tölvunefndar.
Um ákvæði 2. mgr. er það að segja að réttur tölvunefndar til aðgangs að húsnæði yrði ekki takmarkaður við húsnæði skrárhaldara eins, heldur næði hann einnig til húsnæðis þar sem unnið er úr skráningargögnum eða þau varðveitt hvort heldur sem það er hjá skrárhaldara eða öðrum.
Um 33. gr.
Ákvæði þetta svarar til 24. gr. gildandi laga með nokkrum breytingum þó sem nánar verður gerð grein fyrir. Samkvæmt frumvarpsgreininni eru tölvunefnd veittar ýmsar heimildir til afskipta af skráningu eða meðferð upplýsinga sem brýtur í bága við ákvæði frumvarpsins. Auk þeirra úrræða, sem þar greinir, getur tölvunefnd, ef um refsiverð brot á lögunum er að ræða, kært brot til yfirvalda.
Ákvæði 1. og 2. mgr. frumvarpsgreinarinnar er samhljóða 1. og 2. mgr. 24. gr. gildandi laga. Samkvæmt þessum ákvæðum getur tölvunefnd mælt m.a. fyrir um að hætta skuli skráningu eða upplýsingamiðlun sem andstæð er ákvæðum laganna og að leiðrétta beri ranga skráningu eða afmá upplýsingar eða eyðileggja skrár í heild sinni.
Í 1. mgr. 30. gr. laga nr. 63/1981 sagði að þau lög tækju gildi 1. jan. 1982 og féllu úr gildi 31. des. 1985. Þá sagði að leita skyldi starfsleyfa skv. 5. og 19. gr. og heimilda skv. 3. mgr. 6. gr., 3. mgr. 7. gr. og 21. gr.
vegna starfsemi sem hafin væri fyrir gildistöku laganna innan þriggja mánaða frá gildistökunni. Sambærilegt ákvæði var hins vegar ekki tekið upp í lög nr. 39/1985. Ákvæði 4. mgr. 33. gr. frumvarps þessa er því nýmæli ef mið er tekið af gildandi lögum. Samkvæmt því er valdsvið tölvunefndar ekki takmarkað við upplýsingar sem skráðar hafa verið eftir gildistöku laganna, heldur nær það einnig til upplýsinga sem safnað var fyrir það tímamark. Ákvæði þessa efnis hefur tilfinnanlega skort í gildandi lög, en tölvunefnd hefur eigi að síður túlkað valdsvið sitt svo að það nái til upplýsinga sem safnað var fyrir gildistöku tölvulaga, sbr. t.d. ákvörðun tölvunefndar sem frá greinir í kafla 4.0. í ársskýrslu nefndarinnar 1987. Má enda segja að ákvæði laga sem þessara mundu verulega missa marks ef eldri upplýsingar féllu ekki undir lögin. Með þeim orðum frumvarpsgreinarinnar, að tölvunefnd geti lagt fyrir aðila að afmá eða leiðrétta upplýsingar, „sem skráðar hafa verið fyrir gildistöku laga þessara“, er jafnt átt við upplýsingar sem skráðar voru fyrir gildistöku laga nr. 63/1981 sem gildistöku laga nr. 39/1985. Ákvæðið svarar til 3. mgr. 23. gr. dönsku e.s.l.
Efni 4. mgr. frumvarpsgreinarinnar svarar til efnis fyrri málsliðar 2. mgr. 7. gr. gildandi laga. Þykir eðlilegra að skipa ákvæði þessu með öðrum ákvæðum er mæla fyrir um almennar heimildir tölvunefndar til þess að hafa eftirlit með skráningu. Er ákvæðið sama efnis og 4. mgr. 23. gr. dönsku e.s.l.
Ákvæði 5. mgr. 33. gr. svarar að nokkru til 4. mgr. 24. gr. gildandi laga, en hefur rýmra gildissvið. Samkvæmt orðanna hljóðan er 4. mgr. 24. gr. gildandi laga takmörkuð við aðferðir við söfnun upplýsinga til tölvuvinnslu, en í frumvarpsgreininni er bæði fjallað um aðferðir við söfnun og skráningu upplýsinga og aðferðir við miðlun þeirra. Komist tölvunefnd að því að skráningaraðili noti tilteknar aðferðir við söfnun upplýsinga eða miðlun þeirra og aðferðin hefur í för með sér hættu á að skráning eða upplýsingamiðlun verði röng eða að teknar verði á skrá upplýsingar sem óheimilt er að skrá getur nefndin bannað þá aðferð. Ákvæðið gæti t.d. átt við ef starfsleyfishafi skv. 15. gr. viðhefur aðferð við skráningu upplýsinga sem leiða til þess að upplýsingar eru rangar eða villandi eða starfsleyfishafinn miðlar upplýsingum með þeim hætti að upplýsingarnar geta verið villandi fyrir móttakandann. Hefur tölvunefnd beitt heimild 4. mgr. 24. gr. gildandi laga gagnvart skráningaraðila, sbr. ákvörðun nefndarinnar frá 13. júní 1986, en frá því máli greinir í árskýrslu nefndarinnar fyrir árið 1986 á bls. 26.
Sjötta málsgrein 33. gr. er sama efnis og 5. mgr. 24. gr. gildandi laga. Umfang þeirra tryggingaráðstafana, sem tölvunefnd getur lagt fyrir
skráningaraðila að koma við samkvæmt ákvæðinu, verður án efa mismunandi eftir því hvers konar upplýsingar um er að ræða hjá viðkomandi skráningaraðila. Verður að meta slíkt eftir ástæðum hverju sinni. Þannig væri t.d. hægt að takmarka aðgang að upplýsingum við tiltekna aðila og mæla jafnframt fyrir um það með hverjum hætti þessir tilteknu aðilar mega meðhöndla upplýsingarnar.
Um 34. gr.
Ákvæði þetta er nýmæli í frumvarpinu. Samkvæmt því getur dómsmálaráðherra í reglugerð m.a. mælt fyrir um samstarf tölvunefndar við erlendar eftirlitsstofnanir.
Tölvuúrvinnsla getur farið fram hér á landi á gögnum sem koma frá öðrum löndum og varða einkamálefni þar. Er aðstaðan þá andstæð við stöðuna skv. 27. gr. þar sem skorður eru reistar við því að gögn um einkamálefni hér á landi séu send til tölvuúrvinnslu erlendis. Er ástæða til að gefa gaum að tölvuvinnslu hér á landi er tekur til erlendra gagna og setja reglugerðarákvæði um það efni og m.a. áskilja sérstaka tilkynningu um slíkt af hendi þeirra sem óska vinnslunnar.
Um 35. gr.
Ákvæði 1. og 2. mgr. svarar til 26. gr. gildandi laga, en ákvæði 3. mgr. svarar til 2. mgr. 23. gr. Felur frumvarpsgreinin ekki í sér neina breytingu frá gildandi rétti.
Ákvæði 1. mgr. frumvarpsgreinarinnar hefur það að markmiði að auðvelda tölvunefnd að rækja eftirlitshlutverk sitt með því að heimila nefndinni að setja reglur um form og efni tilkynninga og umsókna. Skiptir máli vegna eftirlitshlutverks nefndarinnar að tilkynningar og umsóknir séu skýrar og skipulega úr garði gerðar. Getur nefndin með þessum hætti safnað þeim upplýsingum um skráningaraðila sem henni eru nauðsynlegar til þess að rækja eftirlitshlutverk sitt.
Samkvæmt 2. mgr. er tölvunefnd heimilt að setja skilyrði í starfsleyfi og samþykki sem hún veitir til einstakra aðgerða og tímabinda þau. Getur slíkt verið bæði nauðsynlegt og eðlilegt eftir því hvernig á stendur hverju sinni og þykir rétt að orða um þetta sérstakt ákvæði til að taka af allan vafa í þeim efnum.
Um 36. gr.
Ákvæði frumvarpsgreinarinnar er samhljóða 27. gr. gildandi laga. Allt frá setningu laga nr. 63/1981 hefur tölvunefnd gefið út ársskýrslu um starfsemi sína. Starfsemi tölvunefndar snertir málefni sem almenning varðar miklu að fylgjast með. Er því eðlilegt að tölvunefnd birti á ári hverju yfirlit um starfsemi sína svo að almenningur eigi þess kost að fylgjast með starfsemi nefndarinnar.
Um XI. kafla.
Um refsingar og önnur viðurlög.
Í kaflanum er mælt fyrir um refsingar og önnur viðurlög við brotum á lögunum. Er það mjög misjafnt hvort brot á einstökum ákvæðum laganna varða refsingu eða ekki. Refsing verður lögð bæði á einstaklinga og lögpersónur. Viðurlög þau, sem um ræðir, eru eftirfarandi:
1. sektir, varðhald eða fangelsi,
2. svipting réttar til að öðlast starfsleyfi,
3. svipting starfsleyfis,
4. upptaka tækja og hagnaðar.
Um 37. gr.
Eins og að framan segir er það mjög misjafnt hvort brot á einstökum ákvæðum laganna varða refsingu eða ekki. Brot á þeim ákvæðum, sem varða sektum eða fangelsi, eru talin upp í 1. mgr. 37. gr. frumvarpsins. Í ákvæðinu kemur fram að unnt sé að refsa jafnframt samkvæmt öðrum refsiákvæðum sem atferli kann að varða við, sbr. t.d. ákvæði 136. og 229. gr. almennra hegningarlaga. Þykir því rétt að leggja til að hámarksrefsing samkvæmt þessari grein geti orðið sú sama og skv. 136. gr. almennra hegningarlaga.
Í 3. mgr. 37. gr. eru sett ítarlegri ákvæði en er að finna í gildandi lögum um refsiábyrgð lögpersóna og ábyrgð þeirra á brotum starfsmanna.
Um 38. gr.
Forsenda réttindasviptingar samkvæmt ákvæðinu er svipuð og í 68. gr. almennra hegningarlaga, þ.e. að brot gefi til kynna nærlæga hættu á misnotkun í sambandi við skráningarstarfsemi. Tekið er fram að ákvæðum 1. og 2. mgr. 68. gr. almennra hegningarlaga verði beitt, eftir því sem við getur átt.
Í 2. mgr. eru ákvæði um eignaupptöku. Er heimilt að gera upptæk með dómi tæki sem stórfelld brot hafa verið framin með, svo og hagnað af broti, sbr. 69. gr. almennra hegningarlaga.
Um 39. gr.
Ákvæðið er nýmæli og mælir fyrir um refsingu vegna tilraunar og hlutdeildarbrota.
Um XII. KAFLA
Lagaframkvæmd og gildistaka.
Samkvæmt 1. mgr. 40. gr. er dómsmálaráðherra heimilt að setja nánari ákvæði um framkvæmd laganna. Reynslan verður að leiða í ljós hver þörfin verður í þeim efnum. Er þess getið í einstökum greinum frumvarpsins að ráðherra geti sett nánari reglur um framkvæmd einstakra greina.
Eins og áður er fram komið falla núverandi lög úr gildi 31. des. 1989. Er því lagt til að frumvarp þetta, ef að lögum verður, öðlist gildi 1. jan. 1990.
Lög um kerfisbundna skráningu á upplýsingum um einkamálefni hafa verið í gildi hér á landi síðan í ársbyrjun 1982. Lög nr. 63/1981 og nr. 39/1985 höfðu bæði fyrir fram afmarkaðan gildistíma, þ.e. fjögur ár. Þótti slíkt nauðsynlegt, þegar lögin voru sett, til að tryggja endurskoðun þeirra þar sem hér var um að ræða lagasetningu á áður óþekktu sviði, þar sem framfarir og tækniþróun voru örar. Hefur lögunum lítið verið breytt allt frá setningu þeirra. Frumvarp þetta hefur sem fyrri lagasetning á þessu sviði það að markmiði að tryggja borgurunum vernd varðandi skráningu og miðlun upplýsinga um persónulega hagi þeirra. Jafnframt miðar frumvarpið að því að sníða af gildandi löggjöf helstu annmarka sem í ljós hafa komið. Er í almennum athugasemdum hér að framan gerð ítarleg grein fyrir þeim breytingum sem frumvarp þetta gerir ráð fyrir miðað við gildandi lög. Að þessu athuguðu þykir ekki rétt að leggja til að frumvarp þetta, ef að lögum verður, hafi afmarkaðan gildistíma.
Fylgiskjal.
DÓMSMÁLARÁÐUNEYTIÐ
Arnarhvoli,
Reykjavík.
Reykjavík, 25. sept. 1989.QR
I.
Í janúar 1988 fól þáverandi dómsmálaráðherra, Jón Sigurðsson, okkur undirrituðum að endurskoða lög nr. 39/1985, um kerfisbundna skráningu á upplýsingum, er varða einkamálefni. Sömdum við frumvarp til nýrra laga og bar það heitið „Frumvarp til laga um kerfisbundna skráningu og meðferð persónuupplýsinga“. Frumvarpið var lagt fram á 111. löggjafarþingi 1988, en varð ekki útrætt. Í frumvarpi því, er við sömdum, voru lagðar til veigamiklar breytingar á gildandi lögum og er helstu breytinga getið í almennum athugasemdum frumvarpsins.
Allsherjarnefnd neðri deildar Alþingis fékk frumvarpið til umfjöllunar og sendi hún það til umsagnar tölvunefndar, Hagstofunnar og Skýrslutæknifélags Íslands. Fyrir þinglausnir sl. vor höfðu nefndinni borist athugasemdir Hagstofunnar og tölvunefndar. Dómsmálaráðuneytinu hafa borist athugasemdir tölvunefndar og Hagstofunnar og hefur óskað þess við okkur undirritaða, að við tökum til athugunar, hvort og þá að hvaða marki ástæða sé til þess að taka tillit til þeirra athugasemda, sem borist hafa, eða hvort við teljum að leggja beri frumvarpið fram óbreytt á 112. löggjafarþingi.
Að okkar áliti er ástæða til þess að taka tillit til nokkurra þeirra athugasemda, sem borist hafa, og er þeirra getið í II og III hér á eftir. Þá leggjum við sjálfir til, að gerðar verði nokkrar breytingar á frumvarpinu, og er þeirra getið í IV.
II.
Um athugasemdir Hagstofu Íslands.
Bréf Hagstofu Íslands til allsherjarnefndar er dags. 30. mars 1989. Eru í bréfinu gerðar athugasemdir við 21. og 22. gr. frumvarpsins. Með vísan til þeirra raka, sem fram koma í bréfi Hagstofunnar, getum við undirritaðir
fallist á þær breytingartillögur, sem Hagstofan leggur til.
Af framansögðu leiðir, að eftirtaldar breytingar þarf að gera á frumvarpinu:
1. Fella niður 3. tölul. 2. mgr. 21. gr.
2. Til samræmis við tillögur tölvunefndar leggjum við einnig til, að í 3. mgr. 21. gr. verði skotið inn orðunum „
að fenginni umsögn tölvunefndar ...“
3. 22. gr. frumvarps okkar verði orðuð með þeim hætti, sem Hagstofan leggur til að öðru leyti en því, að í stað niðurlags 2. mgr. 22. gr. komi ný mgr., 3. mgr. 22. gr., sem hljóði svo: „Tölvunefnd getur sett reglur um merkingar skv. 1. mgr.“ Sýnist okkur, að með þessum hætti sé einnig komið til móts við athugasemdir tölvunefndar við 22. gr. frumvarpsins.
4. Í athugasemdum við 22. gr. segði svo.
„Ákvæði í 1. mgr. 22. gr. er nýmæli. Þar kemur fram sú regla, að í útsendu efni skuli það koma fram á áberandi stað að efninu sé dreift eftir upplýsingum úr skrá í vörslu viðkomandi fyrirtækis eða stofnunar. Er ákvæði þetta sett til þess að auðvelda viðtakendum slíkra bréfa eða rita að koma milliliðalaust á framfæri óskum sínum við skrárhaldara um að nöfn þeirra verði tekin af skrá, en skv. 2. mgr. 22. gr. er skrárhaldara skylt að verða við slíkum tilmælum. Ákvæði 22. gr. svarar að mestu til 18. gr. dönsku e.s.l.
Í 3. mgr. 22. gr. er tölvunefnd heimilað að setja reglur um framkvæmd merkingar skv. 1. mgr.“
III.
Um athugasemdir tölvunefndar.
Bréf tölvunefndar til allsherjarnefndar er dags. 30. mars 1989. Þær athugasemdir tölvunefndar, sem við teljum rétt að taka tillit til, eru þessar:
1. Varðandi 6. gr. frumvarpsins gerir tölvunefnd það m.a. að tillögu sinni, að greinin beri fyrirsögnina „Samtenging skráa“. Við getum fallist á tillögu þessa, en bendum þó á, að þá er 6. gr. frumvarpsins eina frumvarpsgreinin, sem ber fyrirsögn.
2. Tölvunefnd leggur til varðandi 2. mgr. 13. gr. frumvarpsins, að þar verði skotið inn orðunum „... að fenginni umsögn tölvunefndar ... „ Á þessa tillögu getum við fallist.
3. Nefndin leggur til, að í 17. gr. verði bætt við orðinu „nafnnúmer“ og erum við því samþykkir, þótt rétt sé að benda jafnframt á, að notkun nafnnúmers hér á landi er á undanhaldi.
4. Nefndin leggur til, að í lok 3. mgr. 19. gr. frumvarpsins komi nýr málsliður. Erum við því eindregið samþykkir.
5. 5. Meiri hluti tölvunefndar leggur til, að í 1. tölul. 2. mgr. 21. gr. bætist við orðið „nafnnúmer“. Erum við því samþykkir. Um 21. gr. vísum við að öðru leyti til umfjöllunar okkar um athugasemdir Hagstofunnar.
6. Tölvunefnd leggur til, að IX. kafli frumvarpsins beri heitið „Skráning upplýsinga og varðveisla þeirra“ og hafi að geyma tvær greinar, 28. og 29. gr., en efni þeirra er að finna í III. kafla gildandi laga. Eftir atvikum getum við fallist á tillögur nefndarinnar. Af því leiðir, að X. kafli frumvarpsins ber heitið „Um eftirlit með lögum þessum“ og raskast greinaskipan frumvarpsins af þessum sökum, svo sem bent er á í athugasemdum tölvunefndar.
. Í athugasemdum frumvarpsins við IX. kafla segði svo: „IX. kafli frumvarpsins hefur að geyma sömu reglur og fram koma í 7. og 9. gr. í III. kafla gildandi laga. Það er að vísu svo, að ákvæði IX. kafla frumvarpsins koma óbeint fram í ýmsum greinum frumvarpsins, en rétt þykir eigi að síður að orða reglurnar sem almennar grundvallarreglur um skráningu upplýsinga og varðveislu þeirra. Að öðru leyti þarfnast ákvæði kaflans ekki skýringa.“
7. Hvað varðar einstakar athugasemdir tölvunefndar við IX. kafla frumvarpsins, sem þá verður X. kafli, ef tillit er tekið til breytinga þeirra, sem getur í lið 6 hér að ofan, leggjum við eindregið til, að ekki verði gerðar neinar breytingar á þeim kafla. Til þess að koma til móts við athugasemdir nefndarinnar leggjum við þó til, að 31. gr. frumvarpsins (1. mgr. 29. gr. frumvarps okkar) hefjist með þessum orðum: „Tölvunefnd hefur eftirlit með framkvæmd laga þessara. Nefndin hefur að eigin frumkvæði, eða eftir ábendingum ... „ en greinin verði að öðru leyti óbreytt. Varðandi 34. gr. (32. gr. frumvarps okkar) getum við tekið undir með tölvunefnd, að orðunum „... að fenginni umsögn tölvunefndar... „ verði skotið inn í greinina (35. gr. í frumvarpi tölvunefndar). Að sama skapi teljum við rétt, að orðunum „... að fenginni umsögn tölvunefndar ... „ verði einnig skotið inn í 3. mgr. 35. gr. (3. mgr. 33. gr. frumvarps okkar en 3. mgr. 36. gr. frumvarps tölvunefndar).
IV.
Ábendingar frumvarpshöfunda.
Við undirritaðir frumvarpshöfundar leggjum sjálfir til eftirtaldar breytingar:
1. Varðandi 3. mgr. 5. gr. leggjum við til, að hún hljóði svo:
. „Öðrum upplýsingum, sem falla undir ákvæði laga þessara en þeim sem nefndar eru í 1. mgr. 4. gr. er því aðeins heimilt að skýra frá án samþykkis hins skráða, að slík upplýsingamiðlun sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans.“
2. Í 5. gr. verði bætt nýrri málsgrein, sem verði 4. mgr. 5. gr. og leggjum við til, að hún hljóði svo:
. „Án sérstakrar lagaheimildar er eigi heimilt að skýra frá upplýsingum um atvik, sem eldri eru en 5 ára nema sýnt sé fram á, að aðgangur að upplýsingunum geti haft úrslitaþýðingu við mat á tilteknu atriði sem upplýsingarnar tengjast.“
. Af framangreindu leiðir, að 4. mgr. 5. gr. frumvarpsins verður að 5. mgr. 5. gr.
3. Við leggjum til, að lokamálsgrein 3. mgr. 6. gr. frumvarpsins hljóði svo:
. „Tölvunefnd getur bundið heimild til samtengingar nánari skilyrðum, þar með töldum skilyrðum um það, hvernig upplýsingarnar verði notaðar og að skýra beri hinum skráða frá því, að samtenging kunni að fara fram.“
Virðingarfyllst,
Þorgeir Örlygsson. Tryggvi Gunnarsson.
