[prenta uppsett í dálka] 58. fundur, 125. lþ.
Bryndís Hlöðversdóttir:
Herra forseti. Eins og hér hefur verið rakið má segja að tilurð þessarar endurskoðunar á lögunum um persónuvernd sé fyrst og fremst aðlögun íslenskra laga að tilskipun ESB frá 24. okt. 1995. Vissulega er ýmislegt í þessu frv. til bóta frá núgildandi lögum, sem eru nokkuð við aldur miðað við þá þróun sem átt hefur sér stað á sviði rafrænnar skráningar og vinnslu upplýsinga. Þar af leiðandi er tími til kominn að endurskoða lögin frá grunni.
Ég vil hins vegar vekja athygli á því og í upphafi máls míns spyrja dómsmrh. hverju sæti þær tafir sem orðið hafa á framlagningu þessa frv. og umræðum um það. Með það í huga að tilgangur frv. er fyrst og fremst sá að aðlaga íslenskan rétt að þessari tilskipun Evrópusambandsins þá bendi ég á að í tilskipun Evrópusambandsins segir að aðildarríkin skuli eigi síðar en þremur árum eftir samþykkt tilskipunarinnar innleiða hana í sinn rétt. Það hefði, eftir því sem mér best sýnist, átt að gerast 24. okt. 1998, fyrir rúmu ári síðan.
Þetta er sérlega undarlegt í ljósi þess að fram kemur í athugasemdum með frv. að nefnd sú sem samdi frv. undir forustu Þorgeirs Örlygssonar, þáv. prófessors og formanns tölvunefndar, lauk störfum 1. okt. 1998. Hún hefur skilað sínu verki innan tilskilins tíma. Því vekur það óneitanlega undrun að þetta mál skuli ekki hafa komið hér fyrr fyrir Alþingi, ekki síst í ljósi þess stóra máls sem við ræddum hér á síðasta ári, um miðlægan gagnagrunn á heilbrigðissviði. Í tengslum við það var margoft kallað eftir því að þetta frv. kæmi til umræðu í þinginu þannig að umræður gætu verið málefnalegri en reyndin varð. Í þessu frv. hér höfum við nefnilega stóra leiðarvísinn, leikreglurnar og grundvöllinn. Við vorum alltaf að ræða um miðlægan gagnagrunn á heilbrigðissviði án þess að hafa þessar leiðbeiningarreglur hér við höndina.
Drögin að frv. sem þá lá fyrir í dómsmrn. voru reyndar afhent heilbr.- og trn. og komu inn í umræðuna eins og hér hefur reyndar verið rakið. Hv. þm. Lúðvík Bergvinsson bar saman þau drög og þetta frv. sem hér liggur fyrir. Ég vil samt sem áður ítreka spurningu mína til hæstv. dómsmrh. um það hvernig standi á því að ekki mátti bregðast við fyrr og koma þessu máli á tilsettum tíma inn í þingið. Það hefði óneitanlega stytt okkur leið í þeirri miklu vinnu sem lá að baki gagnagrunnsumræðunni.
Ég verð þó að segja að mig grunar að ástæðan fyrir því að þetta mál var ekki tekið hér fyrr sé sú sem ég og margir fleiri andstæðingar gagnagrunnsfrv., sem orðið er að lögum, héldum fram, að þetta frv. stangaðist í megindráttum á við gagnagrunnsfrv. sem varð síðan löggilt. Þess vegna tengjast þessi tvö mál óneitanlega, bæði hvað varðar efnislegt innihald og málsmeðferð.
Ég vil líka vekja athygli á því sem dregið er fram í athugasemdum um þetta frv. þar sem rætt er um alþjóðlega þróun reglna á þessu sviði. Á bls. 19 í frv. er mjög greinargóður kafli um alþjóðlega þróun réttarreglna um vernd persónuupplýsinga og dregnir fram þeir helstu sáttmálar eða samningar og alþjóðlegar yfirlýsingar sem við erum skuldbundin af eða höfum tekið til hliðsjónar við smíð þessara reglna. En það er líka bent á að alþjóðlegt samstarf á sviði persónuverndar hefur farið mjög vaxandi á síðari árum og ýmis fjölþjóðleg samtök hafa sinnt persónuverndarmálum í auknum mæli. Íslendingar hafa hin seinni ár tekið virkan þátt í slíku starfi Evrópuráðsins og víðar. Þetta minnir okkur líka á mikilvægi þess að vera virk í alþjóðlegri umfjöllun um þessi mál og kannski gerir það að verkum að við förum aftur að hugsa um gagnagrunnsmálið þar sem því var gjarnan stillt upp sem séríslensku máli sem þyrfti ekki að taka tillit til þess umhverfis sem við búum við en eins og við munum kom fram mikil andstaða við það mál mjög víða að úr umheiminum. Því miður óttast ég nú að það mál eigi ekki eftir að verða landi okkar og þjóð til sóma í náinni framtíð.
Ég ætla ekki að fara ofan í efnisákvæði frv. að öllu leyti en dreg einungis fram þau atriði sem ég tel vert að gera athugasemdir við á þeim stutta tíma sem ég hef hér til umfjöllunar. En ég vil kannski byrja á því sem er þó grundvallaratriði og snertir enn og aftur gagnagrunninn margumrædda, það er skilgreiningin á því hvað eru persónugreinanlegar upplýsingar eða persónuupplýsingar.
Í þessu frv. segir: ,,Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, hins skráða.``
Síðan segir í sjálfri tilskipun Evrópusambandsins sem við erum hér að innleiða í 2. gr.: ,,,,persónuupplýsingar``: allar upplýsingar um persónugreindan eða persónugreinanlegan einstakling, (,,hinn skráða``). Maður telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í kennitölu eða einn eða fleiri þætti sem sérkenna hann í líkamlegu, lífeðlisfræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti;``
Enn og aftur minnir það okkur á að upplýsingarnar sem eru í gagnagrunninum eru persónugreinanlegar samkvæmt þessari skilgreiningu og það var ekki síst sú skilgreining og umfjöllun um hana í þessu frv. og þeim drögum sem lágu fyrir þinginu í fyrra þegar við vorum að ræða um gagnagrunninn sem sagði okkur að þetta er algjörlega ólíkt því sem byggt er á í gagnagrunnsmálinu og hv. þm. Pétur Blöndal minnti hér á áðan, en þar var sá brauðfótur sem þau lög standa á og byggist á því að upplýsingarnar séu persónuógreinanlegar, eins og hv. þm. Pétur Blöndal orðaði það, en var talað um sem ópersónugreinanlegar í lögunum.
Ég vil líka spyrja hæstv. dómsmrh. um hvernig hann sjái að þessi tvenn lög geti samrýmst, annars vegar lögin um gagnagrunn hvað þessa skilgreiningu varðar og hvort það í raun og veru gangi, eftir að þessi tilskipun hefur verið felld inn í íslensk lög, að hafa þessa skilgreiningu í gagnagrunnslögunum á þann veg sem gert hefur verið. Ég óttast að eftirmál verði af því hvernig við höfum unnið það mál og m.a. hvernig við höfum skilgreint hugtakið ,,persónugreinanlegar upplýsingar`` og vil spyrja hæstv. dómsmrh. hvernig hann sjái að þetta í raun og veru standist tilskipunina.
Hv. þm. Lúðvík Bergvinsson fór yfir mismuninn á frumvarpsdrögunum og þessu frv. að því er vék að einkafjárhag og upplýsingum um félagsleg vandamál. Ég vil sérstaklega gera upplýsingar um félagsleg vandamál að umtalsefni því að mér sýnist auðséð að þar sé verið að aðlaga þetta frv. að gagnagrunnslögunum því að eins og við sáum í Morgunblaðinu, þar sem sagt var frá og reglurnar birtar sem gilda um rekstrarleyfi vegna gagnagrunnsins, að þar er m.a. gert ráð fyrir að skrá félagsleg vandamál af ýmsum toga. Það stangast með öðrum orðum á við það sem a.m.k. var lagt til í þeim drögum sem komu frá nefndinni sem samdi frv., það er tekið hér út að því er mér sýnist án nokkurra skýringa, en í grg. með þessu frv. segir, með leyfi forseta:
,,Ákvæðið svarar að mestu til 4. gr. gildandi laga að því frátöldu að upplýsingar um veruleg félagsleg vandamál teljast ekki lengur til viðkvæmra upplýsinga.`` Punktur. Svo kemur reyndar í framhaldi. ,,Á hinn bóginn er tekið fram að með upplýsingum um heilsuhagi sé m.a. átt við upplýsingar um erfðaeiginleika.`` En það eru nú varla félagsleg vandamál. Ég get alla vega ekki séð beint samhengi þar þá milli.
Með öðrum orðum, þetta er tekið út úr þessum frumvarpsdrögum án nokkurra skýringa og er í núgildandi lögum líka. Og ég velti því fyrir mér hvernig það verður túlkað af lögskýrendum síðar þegar þetta er tekið úr lögum, jafnvel þó ég geri mér grein fyrir því að þessi upptalning sé ekki tæmandi og það megi svara því á þann hátt að hún sé ekki tæmandi, hvorki í tilskipunin né hér, þá eigi að síður: Af hverju er verið að taka þetta út og af hverju er það ekki skýrt frekar í greinargerð? Ég vil biðja um skýringar á því af hverju ákvæðið um félagsleg vandamál er tekið út einhverjar aðrar en þær að upptalningin sé ekki tæmandi því annars gætum við tekið bara eitthvað annað út ef við vildum án þess að skýra það neitt frekar. En þetta skiptir máli varðandi lögskýringu á greininni í framtíðinni.
Ég vil líka víkja aðeins að almennum reglum um vinnslu persónuupplýsinga, II. kafla frv. en í 2. tölulið 7. gr. er m.a. sagt eftirfarandi, með leyfi forseta: ,,fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt``.
Ef við nú skoðum þetta í samhengi við það sem sagði í frumvarpsdrögunum þá er í raun og veru um allt annað að ræða. Þar er yfirskrift greinarinnar Málefnalegur tilgangur vinnslu, og þar segir:
,,Vinnsla persónuupplýsinga skal eiga sér skýrt afmarkaðan, málefnalegan og lögmætan tilgang miðað við eðli þeirrar starfsemi sem ábyrgðaraðili hefur með höndum.``
Og þarna komum við aftur að öðru stórmáli í gagnagrunnsmálinu. Það er spurningin um tengslin á milli tilgangs skráningarinnar og hins vegar notkunar þeirra og síðan er spurningin um að afhenda upplýsingarnar þriðja aðila. Og aftur erum við komin að ákvæði, a.m.k. í eldri frumvarpsdrögunum sem komu frá nefndinni og stangast á við gagnagrunnslögin en hefur verið svolítið lagað að þeim lögum að mínu mati í þessari útgáfu sem við sjáum hér.
,,Ekki má vinna``, segir í eldri tillögu nefndarinnar, ,,með aðrar persónuupplýsingar en þær sem þýðingu hafa fyrir yfirlýstan tilgang og skal vinnsla þeirra verið eðlilegur þáttur í starfsemi ábyrgðaraðila.``
Ef við síðan skoðum í þessu samhengi grein sem Þorgeir Örlygsson, fyrrv. prófessor, sem samdi lögin, skrifaði í Úlfljót, tímarit laganema sem heitir Meðferð persónuupplýsinga í vísindarannsóknum. Þar segir um þetta, með leyfi forseta, þar sem hann er að rekja skilyrði persónuverndarreglna fyrir skráningu heilsufarsupplýsinga:
,,Fyrsta skilyrði tölvulaga er það sem fram kemur í 3. gr. laganna, að kerfisbundin skráning persónuupplýsinga sé því aðeins heimil að skráningin sé eðlilegur þáttur í starfsemi viðkomandi skráningaraðila og taki einungis til þeirra sem tengjast starfi hans eða verksviði. Þannig má sem dæmi nefna að sá sem heldur skrá um fjárhagsmálefni og lánstraust samkvæmt ákvæðum V. kafla tölvulaga, skráir ekki heilsufarsupplýsingar í vísindaskyni. Slíkt getur hins vegar verið eðlilegt af hálfu lækna, hjúkrunarfræðinga og annarra starfsmanna heilbrigðisstofnana. Sömuleiðis af hálfu starfsmanna háskóla-, vísinda- og rannsóknastofnana hvort heldur sem þær eru í eigu hins opinbera eða einkaaðila.``
Þarna komum við aftur að einni meginröksemdinni sem ríkisstjórnin hafði í gagnagrunnsmálinu, þ.e. upplýsingar liggja hvort eð er úti um allar trissur. En þar liggja þær í beinum tengslum við þann tilgang sem lá að baki þegar þeirra var aflað og þar af leiðandi er stór munur á því.
Með öðrum orðum, búið er að bæta inn í þetta frv. frá því sem tillögur nefndarinnar gerðu ráð fyrir að frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt. Ég held að þarna sé mjög augljóslega verið að aðlaga þessar almennu leikreglur að sérreglunum um gagnagrunninn.
Það er líka ein grein í eldri tillögum nefndarinnar sem ég finn ekki í yfirferð minni í frv. sem nú liggur fyrir, og ég vil því biðja hæstv. dómsmrh. að leiðrétta mig ef efnisatriði þeirrar greinar er að finna annars staðar í frv., en það er 8. gr. eldra frv. sem bar yfirskriftina Vinnsla í nýjum tilgangi:
,,Hafi persónuupplýsingum verið safnað í ákveðnum tilgangi má því aðeins vinna með þær í nýjum tilgangi að hinn skráði samþykki vinnslu í nýjum tilgangi eða lagaheimildir standi til vinnslu í nýjum tilgangi.``
Þarna höfum við reyndar lagaheimild í gagnagrunnsmálinu. En ég velti því fyrir mér í fyrsta lagi hvort það sé þá rétt hjá mér að þessi grein hafi verið tekin út og þá af hverju, vegna þess að hún hefur vissulega þýðingu eins og hún kemur fyrir í tillögum nefndarinnar og er að því er mér sýnist tekin út án þess að það sé sérstaklega rakið. Ég vildi gjarnan fá skýringar á því, en sérstaklega vegna þess að í frumvarpsdrögunum frá nefndinni er það tekið fram í athugasemdum að þessi grein lögfesti í raun og veru fyrirmæli tilskipunar Evrópusambandsins sem hér um ræðir og reyndar líka framkvæmd tölvunefndar. Þannig að ef greinin er ekki efnislega einhvers staðar í frv. þá spyr ég: Hvernig á að lögfesta þetta skilyrði eða þessi fyrirmæli tilskipunarinnar ef það er ekki gert í þessari grein?
Ég vil aðeins gera að umtalsefni 10. gr. frv. Þar er fjallað um notkun kennitölu og ég held að það sé mjög æskilegt sem lagt er til í tilskipuninni að aðildarríki setji skýrar reglur um notkun kennitölu vegna þess að ég held að við Íslendingar notum kennitölu óvenju mikið ef við berum okkur saman við marga aðra. Við getum varla farið út á myndbandaleigu eða pantað okkur flugmiða eða guð má vita hvað öðruvísi en að þurfa að gefa upp kennitölu og væntanlega eru þá til hinir ýmsu gagnabankar um okkur í hinum og þessu söluturnum og annars staðar í samfélaginu. Ég held að mjög gott væri ef um þetta yrðu settar skýrari reglu en nú eru vegna þess að með auknum tæknimöguleikum varðandi samkeyrslu upplýsinga og annað þá held ég að mjög æskilegt sé að við förum svolítið sparlega með það að gefa upp kennitöluna okkar. Og að því er mér sýnist þá mun lögleiðing þessarar tilskipunar hafa það í för með sér að settar verði um það reglur og fagna ég því.
Ég vil líka benda á eitt lítið atriði í 14. gr. sem vekur spurningar. Þar segir:
,,Ábyrgðaraðili skal afgreiða erindi samkvæmt ákvæðum tiltekinna greina svo fljótt sem verða má ... ``
Í tillögum nefndarinnar var sagt að ábyrgðaraðili skuli verða við kröfum svo fljótt sem verða má. Þarna er því ákveðinn munur á. Mér finnst munur á því að afgreiða erindi, eins og nú er lagt til, eða verða við þeim kröfum sem upp eru settar og spyr ég hverju þetta sæti, hvers vegna sú leið sé farin að afgreiða erindi, og hvort það þýði þá að ekki þurfi að verða við þeim kröfum sem koma fram í því erindi. Þetta er sem sagt í upphafi 14. gr.
Ég vil í lokin drepa á skipulagi persónuverndar og stjórnsýslu. Mér sýnist að samkvæmt þeim tillögum sem nefndin lagði fram hafi verið gert ráð fyrir meiri starfsemi í kringum persónuverndina. Í dag er talað um stofnun sem heyri stjórnarfarslega undir dómsmrh., sem hefur í raun ekki málskotsrétt. Ákvörðunum hennar verður ekki skotið til annarra stjórnvalda þannig að hún hefur ekki málskotsrétt. Í eldra frv. var gert ráð fyrir að annars vegar yrði sérstök skrifstofa og hins vegar ráð og ákvörðunum Persónuverndar mætti skjóta til áfrýjunarnefndar persónuverndarmála. Mér sýnist, eins og þetta er lagt upp hér, að hér sé gert ráð fyrir að þetta verði nokkurs konar undirstofnun dómsmrn. Ég vil spyrja hæstv. dómsmrh. að því hvers vegna ekki hafi verið farið að þeim tillögum sem nefndin lagði til, sérstaklega að því er varðar málskots- eða áfrýjunarmöguleikann sem ég tel mikilvægan í þessu tilviki, að sérstök áfrýjunarnefnd sé starfandi eins og lagt var til í upphaflegu drögunum.
