Aðrar útgáfur af skjalinu: PDF Word Perfect.

Þingskjal 369, 112. löggjafarþing 51. mál: skráning og meðferð persónuupplýsinga (heildarlög).
Lög nr. 121 28. desember 1989.

Lög um skráningu og meðferð persónuupplýsinga.


I. KAFLI
Gildissvið laganna.

1. gr.

     Lög þessi taka til hvers konar kerfisbundinnar skráningar og annarrar meðferðar á persónuupplýsingum. Lögin eiga við hvort heldur sem skráning er vélræn eða handunnin. Lögin taka til skráningar af hálfu atvinnurekenda, fyrirtækja, félaga, stofnana og til skráningar á vegum opinberra aðila.
     Með kerfisbundinni skráningu upplýsinga er átt við söfnun og skráningu ákveðinna og afmarkaðra upplýsinga í skipulagsbundna heild.
     Með persónuupplýsingum er átt við upplýsingar sem varða einkamálefni, fjárhagsmálefni eða önnur málefni einstaklinga, stofnana, fyrirtækja eða annarra lögpersóna sem sanngjarnt er og eðlilegt að leynt fari.
     Ákvæði laganna eiga við um upplýsingar um einkamálefni er varða tiltekinn aðila, þótt hann sé ekki nafngreindur, ef hann er sérgreindur með nafnnúmeri, kennitölu eða öðru skráningarauðkenni sem unnt er að persónugreina með eða án greiningarlykils.

2. gr.

     Skráning samkvæmt lögum nr. 30/1956 og skráning í þágu ættfræðirannsókna og æviskrárrita fellur utan marka laga þessara.

II. KAFLI
Almennar reglur um heimild til skráningar.

3. gr.

     Kerfisbundin skráning persónuupplýsinga, er 1. gr. tekur til, er því aðeins heimil að skráningin sé eðlilegur þáttur í starfsemi viðkomandi aðila og taki einungis til þeirra er tengjast starfi hans eða verksviði, svo sem viðskiptamanna, starfsmanna eða félagsmanna.

4. gr.

     Óheimilt er að skrá eftirtaldar upplýsingar er varða einkamálefni einstaklinga:
  1. upplýsingar um litarhátt, kynþátt, stjórnmálaskoðanir og trúarbrögð,
  2. upplýsingar um það hvort maður hafi verið grunaður, ákærður eða dæmdur fyrir refsiverðan verknað,
  3. upplýsingar um kynlíf manna og heilsuhagi, lyfja-, áfengis- og vímuefnanotkun,
  4. upplýsingar um veruleg félagsleg vandamál,
  5. upplýsingar um svipuð einkalífsatriði og greinir í a–d.

     Skráning upplýsinga þeirra, er greinir í 1. mgr., er heimil standi til þess sérstök heimild samkvæmt öðrum lögum. Þá er skráning upplýsinga skv. 1. mgr. og heimil ef hinn skráði hefur sjálfur látið upplýsingar í té eða upplýsinga er aflað með samþykki hans. Það er skilyrði slíkrar skráningar að upplýsinga sé aflað við þær aðstæður að hinum skráða geti eigi dulist að ætlunin er að skrá viðkomandi upplýsingar.
     Þótt skilyrðum 2. mgr. sé eigi fullnægt getur tölvunefnd heimilað skráningu upplýsinga þeirra er greinir í 1. mgr. ef ótvírætt er að skráningaraðila sé brýn nauðsyn vegna starfsemi sinnar að skrá upplýsingarnar. Tölvunefnd bindur heimild til slíkrar skráningar þeim skilyrðum sem hún metur nauðsynleg hverju sinni.

III. KAFLI
Um aðgang að skráðum upplýsingum.

5. gr.

     Án sérstakrar heimildar í öðrum lögum er eigi heimilt að skýra frá upplýsingum þeim sem nefndar eru í 1. mgr. 4. gr. nema með samþykki hins skráða eða einhvers er heimild hefur til að skuldbinda hann.
     Þrátt fyrir ákvæði 1. mgr. þessarar greinar getur tölvunefnd þó heimilað að skýra megi frá upplýsingum þeim er greinir í 1. mgr. 4. gr. ef sýnt er fram á að brýnir almannahagsmunir eða hagsmunir einstaklinga, þar með taldir hagsmunir hins skráða, krefjist þess. Skal þá ótvírætt að þörfin á að fá upplýsingarnar vegi þyngra en tillitið til þess að þeim sé haldið leyndum.
     Öðrum upplýsingum, sem falla undir ákvæði laga þessara en þeim sem nefndar eru í 1. mgr. 4. gr., er því aðeins heimilt að skýra frá án samþykkis hins skráða að slík upplýsingamiðlun sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans.
     Án sérstakrar lagaheimildar er eigi heimilt að skýra frá upplýsingum um atvik sem eldri eru en fjögurra ára nema sýnt sé fram á að aðgangur að upplýsingunum geti haft úrslitaþýðingu við mat á tilteknu atriði sem upplýsingarnar tengjast.
     Heimilt er að skýra frá upplýsingum ef eigi er unnt að rekja þær til ákveðinna einstaklinga eða lögpersóna.

Samtenging skráa.

6. gr.

     Eigi er heimilt að tengja saman skrár er falla undir ákvæði laga þessara nema um sé að ræða skrár sama skráningaraðila. Með sama aðila er hér átt við sama einstakling, fyrirtæki, félag eða stofnun hins opinbera. Með samtengingu skráa er jafnt átt við vélræna sem handunna færslu upplýsinga milli skráa.
     Þrátt fyrir ákvæði 1. mgr. er heimilt að tengja við skrá upplýsingar um nafn, nafnnúmer, kennitölu, fyrirtækjanúmer, heimilisfang, aðsetur og póstnúmer enda þótt slíkar upplýsingar séu sóttar í skrár annars aðila.
     Tölvunefnd getur veitt undanþágu frá samtengingarbanni 1. mgr. ef fullnægt er skilyrðum þeim, sem fram koma í 2.–4. mgr. 5. gr., um heimild tölvunefndar til að veita aðgang að skráðum upplýsingum. Skal þá ótvírætt að þeir hagsmunir, sem ætlunin er að vernda með samtengingunni, vegi þyngra en tillitið til hagsmuna hinna skráðu. Tölvunefnd getur bundið heimild til samtengingar nánari skilyrðum, þar með talið skilyrðum um það hvernig upplýsingarnar verði notaðar og að skýra beri hinum skráða frá því að samtenging kunni að fara fram.

7. gr.

     Heimilt er að veita lækni eða tannlækni, er hefur mann til læknismeðferðar, upplýsingar úr sjúkraál sjúkrahúss eða öðrum sjúklingaskrám varðandi hinn skráða. Þá er og heimilt, þegar læknir á í hlut, að veita upplýsingar um aðra menn, einkum vandamenn hins skráða, þegar slíkt er talið skipta máli vegna læknismeðferðar á hinum skráða manni.

8. gr.

     Nú sýnir tiltekinn aðili fram á að honum sé þörf á ákveðnum skráðum upplýsingum, er falla undir ákvæði laga þessara, vegna dómsmáls eða annarra slíkra laganauðsynja og getur tölvunefnd þá heimilað að þeim er slíka hagsmuni hefur verði látnar upplýsingarnar í té, enda sé þá ótvírætt að þörfin á því að fá upplýsingarnar vegi þyngra en tillitið til þess að upplýsingunum verði haldið leyndum. Þetta á þó ekki við um upplýsingar sem þagnarskylda ríkir um samkvæmt sérstökum lagaákvæðum.

IV. KAFLI
Um rétt skráðra aðila.

9. gr.

     Telji aðili að persónuupplýsingar um hann séu færðar í tiltekna skrá getur hann óskað þess við skrárhaldara að honum sé skýrt frá því sem þar er skráð. Er skylt að verða við þeim tilmælum án ástæðulausrar tafar.
     Ákvæði 1. mgr. gilda ekki ef hagsmunir hins skráða af því að fá vitneskju um efni upplýsinga þykja eiga að víkja að nokkru eða öllu fyrir ótvíræðum almannahagsmunum eða einkahagsmunum, þar með töldum hagsmunum hins skráða sjálfs. Ef svo er háttað um nokkurn hluta upplýsinga, en eigi aðra, skal beiðanda veitt vitneskja um þá hluta sem eigi þykir varhugavert að skýra frá.

10. gr.

     Um skyldu læknis til þess að afhenda sjúkraskrá, alla eða að hluta, sjúklingi eða forráðamanni hans, fer eftir ákvæðum læknalaga nr. 53 frá 19. maí 1988.

11. gr.

     Ákvæði 9. gr. taka ekki til skrár eða skráningar sem einvörðungu er stofnað til í þágu tölfræðilegra útdrátta. Tölvunefnd getur einnig ákveðið að aðrar skrár séu undanþegnar ákvæðum þessum ef ætla má að ákvæði 2. mgr. 9. gr. muni hafa í för með sér að tilmælum um upplýsingar úr slíkum skrám verði almennt hafnað.

12. gr.

     Upplýsingar skv. 9. gr. skulu veittar skriflega ef þess er óskað. Skrárhaldari skal verða við tilmælum skráðs aðila og skýra honum frá því sem um hann er skráð sem fyrst og eigi síðar en innan tveggja vikna frá því að krafa um slíkt kom fram, en skýra ella hinum skráða skriflega frá ástæðum þess að tilmælum hans hefur eigi verið sinnt.
     Ef skrárhaldari hafnar kröfum aðila um að skýra frá efni skráðra upplýsinga, sbr. ákvæði 1. og 2. mgr. 9. gr., er skrárhaldara skylt að vekja athygli hins skráða á rétti hans til þess að bera ágreininginn undir úrlausn tölvunefndar, sbr. ákvæði 13. gr.

13. gr.

     Heimilt er að bera ágreining um rétt til aðgangs að upplýsingum samkvæmt þessum kafla laganna undir tölvunefnd sem úrskurðar um ágreininginn.

14. gr.

     Nú telur skráður aðili að upplýsingar um hann í skrám, er lög þessi taka til, séu rangar eða villandi. Getur hann þá krafist þess að sá er ábyrgur er fyrir skráningu færi þær í rétt horf, afmái þær eða bæti við þær, eftir því sem við á hverju sinni. Hið sama gildir ef aðili telur að á skrá séu upplýsingar sem eigi er heimilt að skrásetja eða upplýsingar sem eigi hafa lengur þýðingu.
     Nú neitar sá sem ábyrgur er fyrir skrá að fallast á kröfu um leiðréttingu skv. 1. mgr. eða hefur eigi svarað slíkri kröfu innan fjögurra vikna frá því að hún sannanlega kom fram og getur hinn skráði þá óskað þess við tölvunefnd að nefndin kveði á um það hvort og að hvaða marki taka beri til greina kröfu hans um að leiðrétta upplýsingarnar eða afmá þær. Fallist tölvunefnd á kröfu manns um að afmá eða leiðrétta upplýsingar leggur hún fyrir skrárhaldara að afmá upplýsingarnar eða leiðrétta þær.
     Í neitun skrárhaldara skv. 2. mgr. um leiðréttingu eða afmáun rangra eða villandi upplýsinga skal hinum skráða gerð grein fyrir því að ágreining í þeim efnum geti hann borið undir tölvunefnd.
     Þegar um upplýsingar um fjárhagsmálefni og lánstraust skv. V. kafla er að ræða skal skrárhaldari senda án tafar öllum þeim, er fengið hafa slíkar upplýsingar frá honum síðustu sex mánuði, svo og hinum skráða, skriflega leiðréttingu. Hinn skráði skal og fá í hendur greinargerð frá skrárhaldara um hverjir hafi móttekið rangar upplýsingar og hverjum leiðréttingar hafi verið sendar. Tölvunefnd getur, þegar um aðrar upplýsingar er að ræða, lagt fyrir skrárhaldara að senda öllum þeim skriflega tilkynningu um leiðréttinguna er á síðustu sex mánuðum, áður en krafa um leiðréttingu kom fram, fengu rangar upplýsingar úr skrá. Skrárhaldari skal þá jafnframt upplýsa hinn skráða um það hverjir fengið hafa tilkynningu um slíka leiðréttingu.
     Þegar sérstaklega stendur á getur tölvunefnd ákveðið að skylda skrárhaldara skv. 4. mgr. til þess að senda skriflega leiðréttingu er taki til lengri tíma en síðustu sex mánaða áður en krafa um leiðréttingu kom fram.

V. KAFLI
Skráning upplýsinga um fjárhagsmálefni og lánstraust.

15. gr.

     Söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga og lögpersóna, í því skyni að miðla öðrum upplýsingum um það efni, er óheimil án starfsleyfis er tölvunefnd veitir. Þeim einum má veita starfsleyfi sem að mati tölvunefndar er líklegur til að geta uppfyllt skyldur skrárhaldara samkvæmt lögum þessum.

16. gr.

     Starfsleyfishafa skv. 15. gr. er einungis heimilt að skrá upplýsingar sem eðli sínu samkvæmt geta haft þýðingu við mat á fjárhag og lánstrausti hins skráða. Aldrei er heimilt að taka í slíka skrá upplýsingar þær sem nefndar eru í 1. mgr. 4. gr. laganna.
     Upplýsingar um fjárhagsmálefni og lánstraust, sem eldri eru en fjögurra ára, er óheimilt að skrá eða miðla nema ótvírætt sé að viðkomandi upplýsingar hafi verulega þýðingu við mat á fjárhag eða lánstrausti hins skráða. Áður en slíkar upplýsingar eru skráðar eða þeim miðlað skal það tilkynnt viðkomandi aðila og honum gefinn kostur á að gera athugasemdir innan tiltekins frests frá móttöku tilkynningar. Skal sá frestur að lágmarki vera ein vika frá móttöku tilkynningar. Beri aðili fram andmæli er skráning eða miðlun upplýsinga aðeins heimil að fengnu samþykki tölvunefndar.

17. gr.

     Eigi er heimilt að færa í skrá samkvæmt kafla þessum aðrar upplýsingar en nafn manns eða fyrirtækis, heimilisfang, kennitölu, nafnnúmer, fyrirtækjanúmer, stöðu og atvinnu eða aðrar upplýsingar sem hægt er að fá úr opinberum skrám án þess að skýra hinum skráða frá því.
     Ef önnur atriði en þau sem greind eru í 1. mgr. eru tekin á skrá ber starfsleyfishafa að skýra skráðum aðila, sem í fyrsta skipti er tekinn á skrá, frá því innan fjögurra vikna frá skráningu og greina honum frá heimild hans til þess að fá skýrslu um efni skráningar, sbr. 18. gr.

18. gr.

     Nú telur aðili að upplýsingar um hann séu skráðar skv. 15. gr. og er starfsleyfishafa þá skylt að skýra aðila sem fyrst, og eigi síðar en innan tveggja vikna frá því krafa kom fram um slíkt, frá því sem þar er skráð og því mati sem starfsleyfishafinn hefur látið frá sér fara á síðustu sex mánuðum varðandi hagi beiðanda.
     Ef starfsleyfishafi skv. 15. gr. hefur í vörslum sínum frekari upplýsingar um hinn skráða en þær sem beiðni skv. 1. mgr. lýtur að er honum skylt að gera beiðanda grein fyrir þeim og jafnframt fyrir rétti hins skráða aðila til þess að fá að kynna sér efni skrár af eigin raun.
     Hinn skráði aðili getur gert kröfu til þess að fá skrifleg svör skv. 1. mgr. frá skrárhaldara, en skráður aðili á eigi kröfu til þess að honum sé skýrt frá hvaðan upplýsingar eru fengnar.

19. gr.

     Upplýsingar um fjárhag og atriði, er varða mat á lánstrausti, má aðeins láta öðrum í té skriflega, sbr. þó 1. og 2. mgr. 18. gr. Þegar fastir viðskiptavinir eiga í hlut er þó heimilt að veita almennar upplýsingar munnlega eða á annan svipaðan hátt, en nafn og heimilisfang fyrirspyrjanda skal þá skráð og gögn um það varðveitt í a.m.k. sex mánuði.
     Upplýsingarit um fjárhagsmálefni og lánstraust mega aðeins geyma almennar upplýsingar og þau má aðeins senda til áskrifenda. Áður en starfsleyfishafi birtir nafn tiltekins aðila í slíku upplýsingariti skal starfsleyfishafi að eigin frumkvæði tilkynna viðkomandi aðila skriflega um það að upplýsingar um hann muni birtast í næstu útgáfu ritsins.
     Upplýsingar um skuldastöðu manna má því aðeins veita öðrum að um sé að ræða almennt aðgengilegar upplýsingar eða gjaldfallna skuld eða skuldir sama aðila við tiltekinn kröfuhafa sem eru a.m.k. 20.000,00 kr. eða hærri og skuldari hefur með aðfararhæfri sátt fallist á að greiða eða verið dæmdur til greiðslu hennar eða önnur réttargerð hafin til fullnustu hennar. Dómsmálaráðherra getur að fenginni umsögn tölvunefndar breytt með reglugerð framangreindri fjárhæð.
     Upplýsingar um skuldastöðu aðila má ekki veita með þeim hætti að þær geti verið grundvöllur mats á fjárhagslegri stöðu annars en þess er upplýsingarnar varðar.

20. gr.

     Um leiðréttingu eða afmáun rangra og villandi upplýsinga um fjárhagsmálefni og lánstraust gilda ákvæði 14. gr.

VI. KAFLI
Nafnalistar og nafnáritanir. Markaðs- og skoðanakannanir.

21. gr.

     Sala eða önnur afhending úr skrám á nöfnum og heimilisföngum tiltekinna hópa einstaklinga, stofnana, fyrirtækja eða félaga er óheimil án starfsleyfis sem tölvunefnd veitir. Þá er og óheimilt án slíks starfsleyfis að annast um fyrir aðra áritanir nafna og heimilisfanga, svo sem með límmiðaáritun, eða aðra útsendingu tilkynninga til þeirra sem greinir í fyrri málslið þessarar málsgreinar.
     Starfsleyfishafi skv. 1. mgr. má aðeins hafa á skrám sínum eftirtaldar upplýsingar:
  1. nafn, heimilisfang, kennitölu, nafnnúmer, fyrirtækjanúmer og starf,
  2. upplýsingar sem almennur aðgangur er að í opinberum skrám, svo sem fyrirtækjaskrám.

     Dómsmálaráðherra getur, að fenginni umsögn tölvunefndar, í reglugerð reist frekari skorður við því hvað greina megi í skrám þessum.

22. gr.

     Ef skrá skv. 21. gr. er notuð til áritunar og útsendingar bréfa, tilkynninga, dreifirita eða þess háttar er skylt að fram komi á áberandi stað á útsendu efni að því sé dreift eftir skrá í vörslu viðkomandi fyrirtækis eða stofnunar. Enn fremur að þeir sem kynnu að óska eftir því að losna undan slíkum sendingum framvegis geti skrifað eða hringt til þessa aðila og fengið nöfn sín afmáð af útsendingarskrá.
     Skylt er skrárhaldara að verða tafarlaust við beiðnum um að nöfn einstaklinga eða fyrirtækja séu máð af útsendingarskrá, sbr. 1. mgr. Ef beiðni um að má nafn af útsendingarskrá berst sendanda ofangreinds pósts er honum skylt að koma slíkri kröfu á framfæri við skrárhaldara.
     Tölvunefnd getur sett reglur um merkingar skv. 1. mgr.

23. gr.

     Nú fær skrárhaldari skv. 21. gr. í hendur félagaskrár eða skrár yfir fasta viðskiptamenn eða svipaðar skrár og er honum þá óheimilt án samþykkis þess sem afhent hefur gögnin að láta þau af hendi við aðra eða skýra öðrum frá upplýsingum sem í skránum eða gögnunum felast.

24. gr.

     Þeir sem í atvinnuskyni annast markaðs- og skoðanakannanir um atriði, sem falla undir ákvæði laga þessara, skulu hafa til þess starfsleyfi, sem tölvunefnd veitir. Starfsleyfishafi skal, a.m.k. sjö sólarhringum áður en könnun er framkvæmd, senda tölvunefnd lýsingu á fyrirhugaðri könnun ásamt spurningalista.
     Öðrum en starfsleyfishöfum skv. 1. mgr. er óheimilt að annast kannanir þær, sem um ræðir í 1. mgr., án heimildar tölvunefndar.
     Þeim sem annast markaðs- og skoðanakannanir skv. 1. og 2. mgr. ber við framkvæmd könnunar að gæta eftirtalinna atriða:
  1. Gera skal þeim sem spurður er grein fyrir því að honum sé hvorki skylt að svara einstökum spurningum né spurningalistanum í heild.
  2. Ef svör eru ekki eyðilögð að könnun lokinni skulu þau geymd þannig frágengin að ekki megi rekja þau til ákveðinna aðila.
  3. Aldrei skal spyrja annarra spurninga en þeirra sem hafa greinilegan tilgang með hliðsjón af viðfangsefni því sem verið er að kanna.
  4. Óheimilt er að nota upplýsingar þær, sem skráðar hafa verið, til annars en þess sem var tilgangur könnunar.
  5. Óheimilt er að veita öðrum aðgang að upplýsingum þeim sem skráðar hafa verið.

     Tölvunefnd setur frekari skilyrði um framkvæmd slíkra kannana, meðferð og varðveislu gagna ef hún telur það nauðsynlegt.

VII. KAFLI
Um tölvuþjónustu.

25. gr.

     Þeim sem annast tölvuþjónustu fyrir aðra er óheimilt án starfsleyfis, sem tölvunefnd veitir, að varðveita eða vinna úr eftirtöldum upplýsingum um einkamálefni:
  1. upplýsingum sem falla undir ákvæði 1. mgr. 4. gr.,
  2. upplýsingum sem falla undir ákvæði V. kafla,
  3. upplýsingum sem falla undir ákvæði 3. mgr. 6. gr.

     Með tölvuþjónustu er átt við sérhvern starfsþátt í sjálfvirkri gagnavinnslu með tölvutækni.
     Starfsleyfishafa skv. 1. mgr. er, án samþykkis frá skráreiganda, óheimilt að nota upplýsingar þær, sem hann hefur veitt viðtöku, til annars en að framkvæma þá þjónustu sem samningur hans og skráreiganda varðar eða afhenda öðrum upplýsingarnar til vinnslu eða geymslu. Þegar sérstaklega stendur á, svo sem vegna skyndilegrar bilunar í tölvubúnaði, er aðila þó heimilt að láta framkvæma tölvuvinnslu hjá öðrum enda þótt síðargreindi aðilinn hafi ekki starfsleyfi til slíkrar vinnslu. Gögnin og vinnslan skulu þó eftir sem áður vera á ábyrgð þess sem upphaflega tók að sér verkið að því er varðar ákvæði laga þessara.
     Starfsleyfishafa er skylt að beita viðeigandi ráðstöfunum til þess að koma í veg fyrir að upplýsingar verði misnotaðar eða þær komist í hendur óviðkomandi. Dómsmálaráðherra getur í reglugerð sett nánari ákvæði um vörslu og meðferð tölvugagna hjá þeim sem annast tölvuþjónustu fyrir aðra.

26. gr.

     Starfsmenn í þjónustu starfsleyfishafa skv. 25. gr. eru þagnarskyldir um atriði sem þeir komast að við störf sín og skulu þeir undirrita þagnarheit áður en þeir taka til starfa.
     Nú vinnur tölvuþjónustufyrirtæki, sem ekki er rekið af opinberum aðila, að verkefnum fyrir slíkan aðila og eru starfsmenn þess þá þagnarskyldir um þau atriði, sem þeir komast að við framkvæmd verkefnisins, með sama hætti og þeir opinberu starfsmenn sem unnið hafa að því. Brot starfsmanns varðar, þegar svo stendur á, refsingu skv. 136. gr. almennra hegningarlaga.

VIII. KAFLI
Söfnun upplýsinga hér á landi til úrvinnslu erlendis.

27. gr.

     Kerfisbundin söfnun og skráning persónuupplýsinga hér á landi til geymslu eða úrvinnslu erlendis er óheimil. Tölvunefnd getur þó heimilað hana ef sérstaklega stendur á.
     Skrá eða frumgögn, sem geyma upplýsingar þær sem greinir í 1. mgr. 4. gr., má eigi láta af hendi til geymslu eða úrvinnslu erlendis nema samþykki tölvunefndar komi til.
     Leyfi skv. 1. og 2. mgr. má því aðeins veita að tölvunefnd telji að afhending skráa eða gagna skerði ekki til muna þá vernd sem lög þessi búa skráðum mönnum eða lögpersónum.
     Dómsmálaráðherra getur, að fenginni umsögn tölvunefndar, ákveðið í reglugerð að ákvæði 1. og 2. mgr. eigi ekki við um tilteknar skrár eða upplýsingasvið eða gagnvart tilteknum löndum ef slíkt er nauðsynlegt til efnda á þjóðréttarskuldbindingum eða tillit til alþjóðlegrar samvinnu á þessu sviði mælir með því.

IX. KAFLI
Skráning upplýsinga og varðveisla þeirra.

28. gr.

     Beita skal virkum ráðstöfunum er komi í veg fyrir að upplýsingar séu misnotaðar eða komist til óviðkomandi manna.
     Afmá skal skráðar upplýsingar sem vegna aldurs eða af öðrum ástæðum hafa glatað gildi sínu miðað við það hlutverk sem skrá er ætlað að gegna. Skrár, sem sífellt eru í notkun, skulu geyma upplýsingar sem á hverjum tíma eru réttar, en úreltar upplýsingar skal afmá.
     Tölvunefnd getur leyft að afrit eða útskriftir úr skrám verði varðveittar í Þjóðskjalasafni eða öðrum skjalasöfnum með nánari ákveðnum skilmálum.

29. gr.

     Nú geyma tilteknar skrár upplýsingar sem líklegt þykir að muni hafa notagildi fyrir erlend ríki og skal þá koma við öryggisráðstöfunum sem gera kleift að eyðileggja skrár án tafar ef styrjöld brýst út eða uggvænt þykir að til styrjaldarátaka komi.

X. KAFLI
Um eftirlit með lögum þessum.

30. gr.

     Til þess að hafa eftirlit með framkvæmd laga þessara og reglum settum samkvæmt þeim skal dómsmálaráðherra skipa fimm manna nefnd sem kölluð er tölvunefnd í lögum þessum. Nefndina skal skipa til fjögurra ára í senn. Formaður nefndarinnar, varaformaður og einn nefndarmaður að auki skulu vera lögfræðingar. Formaður og varaformaður skulu fullnægja skilyrðum til að vera dómari. Einn nefndarmanna skal vera sérfróður um tölvu- og skráningarmálefni. Hann skal tilnefndur af Skýrslutæknifélagi Íslands. Varamenn skal skipa með sama hætti til fjögurra ára í senn og skulu þeir fullnægja sömu skilyrðum og aðalmenn.
     Tölvunefnd er að höfðu samráði við dómsmálaráðherra heimilt að ráða nefndinni nauðsynlegt starfslið.

31. gr.

     Tölvunefnd hefur eftirlit með framkvæmd laga þessara. Nefndin hefur að eigin frumkvæði, eða eftir ábendingum frá skráðum aðilum, eftirlit með því að til skráningar sé stofnað og skrár notaðar með þeim hætti sem fyrir er mælt í lögum þessum. Tölvunefnd veitir, eftir því sem nánar er kveðið á um í lögum þessum, starfsleyfi, heimildir eða samþykki til einstakra athafna. Þá úrskurðar nefndin í ágreiningsmálum sem upp kunna að koma.
     Úrlausnir tölvunefndar samkvæmt lögum þessum verða eigi bornar undir aðrar stjórnvaldsstofnanir.

32. gr.

     Tölvunefnd getur krafið skrárhaldara og þá er á hans vegum starfa allra þeirra upplýsinga sem nefndinni eru nauðsynlegar til þess að rækja hlutverk sitt, þar með taldar upplýsingar til ákvörðunar um það hvort tiltekin starfsemi falli undir ákvæði laganna.
     Tölvunefnd og starfslið hennar hefur vegna eftirlitsstarfa sinna án dómsúrskurðar aðgang að húsnæði þar sem skráning fer fram eða þar sem skráningargögn eru varðveitt eða þau eru til vinnslu.

33. gr.

     Tölvunefnd getur lagt fyrir aðila að hætta skráningu eða láta ekki öðrum í té upplýsingar úr skrám sínum eða gögnum, enda gangi skráning eða upplýsingagjöf í berhögg við ákvæði laga þessara að mati tölvunefndar. Þá getur tölvunefnd og, að sömu skilyrðum fullnægðum, mælt svo fyrir að upplýsingar í skrám verði afmáðar eða skrár í heild sinni eyðilagðar.
     Tölvunefnd getur lagt fyrir skráningaraðila að afmá skráningu um einstök atriði eða leiðrétta hana, enda sé um atriði að ræða sem annaðhvort er óheimilt að taka á skrá eða tölvunefnd telur röng eða villandi.
     Tölvunefnd getur lagt fyrir skráningaraðila að afmá eða leiðrétta upplýsingar sem skráðar hafa verið fyrir gildistöku laga þessara ef skráning þeirra gengur í berhögg við ákvæði laga þessara eða upplýsingarnar eru rangar eða villandi.
     Tölvunefnd getur, ef sérstaklega stendur á, lagt fyrir skráningaraðila að afmá upplýsingar sem vegna aldurs eða af öðrum ástæðum hafa glatað gildi sínu.
     Tölvunefnd getur bannað skráningaraðila að viðhafa tiltekna aðferð við söfnun og skráningu upplýsinga og miðlun þeirra, enda telji nefndin að sú aðferð, sem viðhöfð er, hafi í för með sér verulega hættu á að skráning eða upplýsingamiðlun verði röng eða villandi. Sömu heimild hefur tölvunefnd ef hún telur hættu á að teknar verði á skrá eða miðlað verði úr skrám upplýsingum sem óheimilt er að skrá eða miðla.
     Tölvunefnd getur lagt fyrir skráningaraðila að koma við sérstökum úrræðum til tryggingar því að eigi verði tekin á skrá atriði sem óheimilt er að skrá eða miðlað verði upplýsingum um slík atriði. Hinu sama gegnir um atriði sem eru röng eða villandi. Með sama hætti getur tölvunefnd lagt fyrir skráningaraðila að koma við ráðstöfunum til tryggingar því að skráðar upplýsingar verði ekki misnotaðar eða komist til vitundar óviðkomandi aðila.
     Ef aðili sinnir eigi fyrirmælum tölvunefndar skv. 1.–6. mgr. þessarar greinar getur tölvunefnd afturkallað starfsleyfi, samþykki eða heimild sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati með fullnægjandi hætti.

34. gr.

     Dómsmálaráðherra getur í reglugerð kveðið á um samstarf tölvunefndar við erlendar eftirlitsstofnanir um geymslu eða úrvinnslu hér á landi á gögnum er safnað hefur verið erlendis, þar á meðal um sérstaka tilkynningarskyldu á slíku.

35. gr.

     Tölvunefnd getur sett reglur um form og efni tilkynninga og umsókna samkvæmt lögum þessum.
     Nú er tölvunefnd ætlað að veita starfsleyfi samkvæmt lögum þessum eða samþykki til einstakra aðgerða og er henni þá heimilt að binda starfsleyfið eða samþykkið skilyrðum eða tímabinda það.
     Dómsmálaráðherra getur ákveðið gjald er greiða skal fyrir veitingu starfsleyfa og einstakra heimilda.

36. gr.

     Tölvunefnd skal árlega birta skýrslu um starfsemi sína. Í skýrslunni skal birta yfirlit yfir þau starfsleyfi, samþykki og heimildir sem nefndin hefur veitt, reglur sem hún hefur sett og úrskurði sem hún hefur kveðið upp. Í ársskýrslunni skal og greina frá þeirri starfsemi nefndarinnar annarri sem ætla má að almenningur láti sig varða eða hafi hagsmuni af að vita.

XI. KAFLI
Um refsingar og önnur viðurlög.

37. gr.

     Brot á eftirtöldum ákvæðum laga þessara varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum:
  1. brot á 3.–6. gr.,
  2. brot á 9. og 12. gr.,
  3. brot á 2. og 4. mgr. 14. gr.,
  4. brot á 15.–20. gr.,
  5. brot á 21.–24. gr.,
  6. brot á 26., 27. og 1. mgr. 32. gr.

     Sömu refsingu varðar að vanrækja að fara að fyrirmælum tölvunefndar skv. 33. gr.
     Sömu refsingu varðar enn fremur að virða ekki skilyrði sem sett eru fyrir starfsleyfi, heimild eða samþykki samkvæmt lögum þessum eða stjórnvaldsreglum settum samkvæmt þeim, svo og að sinna ekki boði eða banni sem sett hefur verið samkvæmt lögunum eða stjórnvaldsreglum settum samkvæmt þeim.
     Dæma má lögaðila jafnt sem einstaklinga til greiðslu sekta vegna brota á lögum þessum. Lögaðila má ákvarða sekt án tillits til þess hvort sök verður sönnuð á starfsmann lögaðilans. Hafi starfsmaður lögaðilans framið brot á lögum þessum eða reglum settum samkvæmt þeim má einnig gera lögaðila þessum sekt og sviptingu starfsréttinda skv. 38. gr., enda sé brot drýgt til hagsbóta fyrir lögðaðilann eða hann hefur notið hagnaðar af brotinu. Lögaðili ber ábyrgð á greiðslu sektar sem starfsmaður hans er dæmdur til að greiða vegna brota á lögum þessum, enda séu brot tengd starfi hans hjá lögðaðilanum.

38. gr.

     Starfsleyfishafa skv. 15., 21., 24. og 25. gr. má auk refsingar skv. 37. gr. með dómi svipta starfsleyfi ef sök er mikil. Að öðru leyti eiga hér við ákvæði 1. og 2. mgr. 68. gr. almennra hegningarlaga nr. 19/1940, með síðari breytingum.
     Gera má upptæk með dómi tæki sem stórfelld brot á lögum þessum hafa verið framin með, svo og hagnað af broti, sbr. 69. gr. almennra hegningarlaga nr. 19/1940.

39. gr.

     Tilraun og hlutdeild í brotum á lögum þessum er refsiverð eftir því sem segir í III. kafla almennra hegningarlaga.

XII. KAFLI
Lagaframkvæmd og gildistaka.

40. gr.

     Dómsmálaráðherra er heimilt að setja reglugerð um nánari framkvæmd laga þessara.
     Lög þessi öðlast gildi 1. janúar 1990.

Samþykkt á Alþingi 18. desember 1989.