Ferill 280. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.
125. löggjafarþing 1999–2000.
Þskj. 399 — 280. mál.
Frumvarp til laga
um persónuvernd og meðferð persónuupplýsinga.
(Lagt fyrir Alþingi á 125. löggjafarþingi 1999–2000.)
I. KAFLI
Markmið, skilgreiningar og gildissvið.
1. gr.
Markmið.
Sérstök stofnun, Persónuvernd, annast eftirlit með framkvæmd laga þessara og reglna sem settar verða samkvæmt þeim, sbr. nánar ákvæði 36. gr.
2. gr.
Skilgreiningar.
1. Persónuupplýsingar: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, hins skráða.
2. Vinnsla: Sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn.
3. Skrá: Sérhvert skipulagsbundið safn persónupplýsinga þar sem finna má upplýsingar um einstaka menn.
4. Ábyrgðaraðili: Sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.
5. Vinnsluaðili: Sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.
6. Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði.
7. Samþykki: Sérstök yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.
8. Viðkvæmar persónuupplýsingar:
a. Upplýsingar um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir og trúar- eða heimspekiskoðanir.
b. Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað.
c. Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun.
d. Upplýsingar um kynlíf manna og kynhegðan.
e. Upplýsingar um stéttarfélagsaðild.
9. Sértæk ákvörðun: Ákvörðun sem afmarkar rétt og/eða skyldur eins eða fleiri tilgreindra einstaklinga.
3. gr.
Efnislegt gildissvið.
Ákvæði 16., 18.–21., 24., 26., 31. og 32. gr. laganna gilda ekki um vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu. Lögin gilda ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða eru einvörðungu ætlaðar til persónulegra nota
Ráðherra getur með reglugerð ákveðið, að fenginni umsögn Persónuverndar, að tiltekin tegund rafrænnar vinnslu persónuupplýsinga falli utan gildissviðs laga þessara eða einstakra ákvæða þeirra.
4. gr.
Sjónvarpsvöktun og myndataka.
5. gr.
Tengsl við tjáningarfrelsi.
6. gr.
Landfræðilegt gildissvið.
Lögin gilda einnig um vinnslu persónuupplýsinga þótt ábyrgðaraðili hafi staðfestu í ríki utan Evrópska efnahagssvæðisins ef hann notar tæki og búnað sem er hér á landi. Þegar svo hagar til skal ábyrgðaraðili tilnefna fulltrúa sinn sem hefur staðfestu hér á landi og gilda þá ákvæði laganna varðandi ábyrgðaraðila um þann fulltrúa eftir því sem við á.
Ákvæði 2. mgr. gilda ekki ef umræddur tækjabúnaður er einungis notaður til að flytja persónuupplýsingar um Ísland.
II. KAFLI
Almennar reglur um vinnslu persónuupplýsinga.
7. gr.
Meðferð persónuupplýsinga.
1. unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga;
2. fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt;
3. nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar;
4. áreiðanlegar og uppfærðar eftir þörfum, persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta;
5. varðveittar í því formi að ekki sé unnt að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu.
8. gr.
Vinnsla almennra persónuupplýsinga.
1. hinn skráði hafi gefið ótvírætt samþykki sitt;
2. vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður;
3. vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila;
4. vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða;
5. vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna;
6. vinnslan sé nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með;
7. vinnslan sé nauðsynleg til að ábyrgðaraðili eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra.
Rafræn vöktun staðar þar sem takmarkaður hópur fólks fer að jafnaði um er heimil sé hennar sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram.
9. gr.
Vinnsla viðkvæmra persónuupplýsinga.
1. hinn skráði samþykki vinnsluna;
2. sérstök heimild standi til vinnslunnar samkvæmt öðrum lögum;
3. ábyrgðaraðila beri skylda til vinnslunnar samkvæmt samningi aðila vinnumarkaðarins;
4. vinnslan sé nauðsynleg til að verja verulega hagsmuni hins skráða eða annars aðila sem ekki er sjálfur fær um að gefa samþykki sitt skv. 1. tölul.;
5. vinnslan sé framkvæmd af hagsmuna-, menningar-, líknar-, félagsmála- eða hugsjónasamtökum sem liður í lögmætri starfsemi samtakanna enda taki hún aðeins til meðlima þeirra eða einstaklinga sem samkvæmt markmiðum samtakanna eru, eða hafa verið, í reglubundnum tengslum við þau, en slíkum persónuupplýsingunum má ekki miðla áfram án samþykkis hins skráða;
6. vinnslan taki einungis til upplýsinga sem hinn skráði hefur sjálfur gert opinberar;
7. vinnslan sé nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja;
8. vinnslan sé nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu;
9. vinnslan sé nauðsynleg vegna tölfræði- eða vísindarannsókna.
Persónuvernd getur heimilað vinnslu viðkvæmra persónuupplýsinga í öðrum tilvikum en greinir í 1. mgr., telji hún brýna almannahagsmuni mæla með því. Persónuvernd bindur slíka heimild þeim skilyrðum sem hún telur nauðsynleg hverju sinni til að tryggja hagsmuni hinna skráðu.
10. gr.
Notkun kennitölu.
11. gr.
Öryggi og gæði persónuupplýsinga.
Ábyrgðaraðili ber ábyrgð á því að reglulega sé framkvæmt öryggismat og gerðar kerfisbundnar öryggisráðstafanir til að fullnægja skilyrðum 1. mgr.
Ábyrgðaraðili skal halda skrá yfir öryggismat og öryggisráðstafanir sem fram hafa farið og skal Persónuvernd hafa aðgang að henni hvenær sem er.
12. gr.
Innra eftirlit.
Persónuvernd getur sett frekari fyrirmæli um framkvæmd innra eftirlits.
13. gr.
Meðferð vinnsluaðila á persónuupplýsingum.
14. gr.
Frestur til að fullnægja skyldum.
Ef sérstakar ástæður valda því að ómögulegt er fyrir ábyrgðaraðila að afgreiða erindi innan eins mánaðar er honum heimilt að gera það síðar. Þegar svo hagar til skal ábyrgðaraðili innan mánaðarfrestsins gefa hlutaðeigandi skriflegar skýringar á ástæðum tafarinnar og hvenær svars sé að vænta.
15. gr.
Greiðsla kostnaðar.
III. KAFLI
Upplýsingaréttur og upplýsingaskylda.
Fræðslu- og viðvörunarskylda.
Réttur til rökstuðnings.
16. gr.
Réttur til almennrar vitneskju um vinnslu persónuupplýsinga.
Þeim sem þess óskar skal enn fremur, að því er varðar tiltekna tegund vinnslu, veitt vitneskja um eftirtalin atriði:
1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.;
2. hver ber daglega ábyrgð á því að fullnægt sé skyldum ábyrgðaraðila samkvæmt lögum þessum;
3. tilgang vinnslunnar;
4. skilgreiningu og aðra lýsingu á þeim tegundum persónuupplýsinga sem unnið er með;
5. hvaðan upplýsingar koma;
6. viðtakendur upplýsinga, þar á meðal um hvort ætlunin sé að flytja upplýsingar úr landi og þá til hverra.
Kröfu skv. 1. mgr. skal beint til ábyrgðaraðila, eða fulltrúa hans skv. 6. gr., og má krefjast skriflegrar greinargerðar um þau atriði sem óskað er vitneskju um.
17. gr.
Opinber skrá um veittar heimildir og mótteknar tilkynningar.
Skráin skal vera aðgengileg almenningi með þeirri aðferð sem Persónuvernd ákveður.
18. gr.
Upplýsingaréttur hins skráða.
1. hvaða upplýsingar um hann er eða hefur verið unnið með;
2. tilgang vinnslunnar;
3. hver fær, hefur fengið eða mun fá upplýsingar um hann;
4. hvaðan upplýsingarnar koma;
5. hvaða öryggisráðstafanir eru viðhafðar við vinnslu, enda skerði það ekki öryggi vinnslunnar.
Kröfu um vitneskju skv. 1. mgr. skal beina til ábyrgðaraðila eða fulltrúa hans skv. 6. gr. Veita skal vitneskju skriflega sé þess óskað.
19. gr.
Takmarkanir á upplýsingarétti hins skráða.
Ákvæði 18. gr. eiga ekki við ef réttur hins skráða samkvæmt því ákvæði þykir eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra eða hans eigin. Skal þá m.a. tekið tillit til heilsu hins skráða og hagsmuna venslamanna hans. Þó má samkvæmt beiðni veita umboðsmanni hins skráða vitneskjuna, enda mæli engar sérstakar ástæður gegn því.
Réttur hins skráða til að fá vitneskju samkvæmt ákvæðum 18. gr. nær ekki til upplýsinga sem eru undanþegnar aðgangi samkvæmt upplýsinga- eða stjórnsýslulögum. Þegar um er að ræða gögn í vörslu annarra ábyrgðaraðila en stjórnvalda ná ákvæði 18. gr. ekki til vitneskju um efni vinnuskjala eða annarra sambærilegra gagna sem unnin eru af ábyrgðaraðila sjálfum eða aðilum á hans vegum, t.d. sérstökum ráðgjöfum eða sérfræðingum.
Þótt gögn séu undanþegin upplýsingarétti hins skráða skv. 3. mgr. getur hann óskað greinargerðar um efnislegt innihald þeirra, útdráttar eða annars konar samantektar nema hann geti kynnt sér staðreyndir málsins með öðrum hætti.
Dragi veiting vitneskju um tilteknar upplýsingar úr möguleikum á að leiða til lykta mál sem er til meðferðar má fresta veitingu upplýsinganna þar til lokið er undirbúningi málsmeðferðar.
Ráðherra getur með reglugerð sett skilmála um beitingu upplýsingaréttar hins skráða.
20. gr.
Fræðsluskylda þegar persónuupplýsinga er aflað hjá hinum skráða.
Frekari fræðslu skal veita ef slíkt er nauðsynlegt til að tryggja að hinn skráði geti gætt hagsmuna sinna, t.d. fræða hann um upplýsingarétt sinn skv. 18., sbr. 19. gr., og rétt hans til að krefjast þess að upplýsingar verði leiðréttar eða þeim eytt.
21. gr.
Viðvörunarskylda þegar persónuupplýsingum
er safnað frá öðrum en hinum skráða.
Ákvæði 1. mgr. gilda ekki ef:
1. viðvörun er að mati Persónuverndar óframkvæmanleg eða leggur þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast,
2. ætla má að hinum skráða sé þegar kunnugt um vinnsluna eða
3. lagaheimild stendur til skráningar eða miðlunar upplýsinganna.
22. gr.
Rökstuðningur sértækra ákvarðana sem
byggjast á sjálfvirkri upplýsingavinnslu.
23. gr.
Viðvaranir um notkun persónumynstra.
1. við sértæka ákvörðun skv. 9. tölul. 2. gr. eða
2. við að nálgast hinn skráða, velja úrtak, markhóp o.s.frv.,
getur Persónuvernd, þegar henni berst tilkynning um slíka vinnslu, ákveðið að ábyrgðaraðili geri hinum skráða viðvart og greini frá því hver sé ábyrgðaraðili vinnslunnar, hvaða upplýsingar hann noti og hvaðan þær komi.
Við ákvörðun skv. 1. mgr. skal Persónuvernd m.a. líta til þess hvort viðvörun er að hennar mati óframkvæmanleg eða leggi þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast.
24. gr.
Viðvaranir um rafræna vöktun.
IV. KAFLI
Leiðrétting, eyðing, lokun o.fl.
25. gr.
Leiðrétting og eyðing rangra og villandi persónuupplýsinga.
Ef eyðing eða breyting þeirra upplýsinga sem um ræðir í 1. mgr. er óheimil samkvæmt ákvæðum annarra laga getur Persónuvernd bannað notkun upplýsinganna.
26. gr.
Eyðing og bann við notkun persónuupplýsinga
sem hvorki eru rangar né villandi.
Ef ákvæði annarra laga standa því ekki í vegi getur skráður aðili engu síður krafist þess að upplýsingum um hann skv. 1. mgr. sé eytt eða notkun þeirra bönnuð ef slíkt telst réttlætanlegt út frá heildstæðu hagsmunamati. Við slíkt hagsmunamat skal taka tillit til hagsmuna annarra, almennra persónuverndarhagsmuna, almannahagsmuna og þeirra aðgerða sem þörf er á til að verða við kröfunni.
Persónuvernd getur, bæði í einstökum tilvikum eða með setningu almennra reglna, bannað notkun slíkra upplýsinga eða mælt fyrir um eyðingu þeirra.
27. gr.
Réttur til að fá ákvörðun sem byggist á handvirkri vinnslu upplýsinga.
Réttur skv. 1. mgr. er ekki til staðar ef beitt er viðhlítandi ráðstöfunum til að gæta persónuverndarhagsmuna viðkomandi og um er að ræða ákvörðun sem byggist á fyrirmælum laga eða tengist gerð eða efndum samnings.
28. gr.
Bann við notkun nafna í markaðssetningu o.fl.
Skylt er að nafn ábyrgðaraðila komi fram á áberandi stað á útsendum markpósti og þar sé upplýst hvert þeir sem ekki vilja fá slíkan markpóst og marksímtöl geti snúið sér. Viðtakandi markpósts á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu eða útsendingu til grundvallar. Þetta gildir ekki um markaðssetningu ábyrgðaraðila á eigin vöru og þjónustu sem notar eigin viðskiptamannaskrár, enda beri útsent efni með sér hvaðan það kemur.
Ákvæði 1. og 2. mgr. gilda, eftir því sem við á, einnig um markaðs- og skoðanakannanir samkvæmt nánari fyrirmælum Persónuverndar.
V. KAFLI
Flutningur persónuupplýsinga úr landi.
29. gr.
Flutningur persónuupplýsinga til ríkis sem veitir
fullnægjandi persónuupplýsingavernd.
Ríki sem framfylgir tilskipun Evrópusambandsins 95/46/ESB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga telst fullnægja skilyrðum 1. mgr.
Við mat á því hvort ríki sem ekki framfylgir tilskipun 95/46/ESB fullnægi skilyrðum 1. mgr. skal m.a. líta til reglna viðkomandi ríkis um meðferð persónuupplýsinga, reglna um góða viðskiptahætti og þeirra öryggisráðstafana sem viðhafðar eru hjá viðtakanda. Þá skal taka mið af því hvort viðkomandi ríki hafi fullgilt samning Evrópuráðsins nr. 108 frá 28. janúar 1981 um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga.
30. gr.
Flutningur persónuupplýsinga til ríkis sem ekki
veitir fullnægjandi persónuupplýsingavernd.
1. hinn skráði hafi samþykkt flutninginn, eða
2. slíkt sé nauðsynlegt til efnda á þjóðréttarskuldbindingum eða vegna aðildar Íslands að alþjóðastofnun, eða
3. heimild standi til slíks flutnings í öðrum lögum, eða
4. afhendingin sé nauðsynleg til að gera eða efna samning milli hins skráða og ábyrgðaraðila, eða
5. flutningurinn sé nauðsynlegur til að gera eða efna samning í þágu hins skráða, eða
6. afhendingin sé nauðsynleg til að verja verulega hagsmuni hins skráða.
Persónuvernd getur heimilað flutning upplýsinga til ríkis er greinir í 1. mgr. telji hún sérstök rök mæla með því, jafnvel þótt skilyrðum ákvæðisins sé ekki fullnægt. Í slíku tilviki skal m.a. taka tillit til eðlis upplýsinganna, fyrirhugaðs tilgangs vinnslunnar og hve lengi hún varir. Persónuvernd getur sett nánari fyrirmæli um flutning persónuupplýsinga úr landi.
VI. KAFLI
Tilkynningarskylda, leyfisskylda o.fl.
31. gr.
Tilkynningarskylda.
Tilkynningarskyldan á ekki við ef einungis er unnið með upplýsingar sem gerðar hafa verið og eru aðgengilegar almenningi.
Persónuvernd getur ákveðið að vissar tegundir vinnslu skuli vera undanþegnar tilkynningarskyldu, að um þær gildi einfaldari tilkynningarskylda eða að þær séu leyfisskyldar. Um vinnslu sem undanþegin er tilkynningarskyldu getur Persónuvernd sett fyrirmæli, þar á meðal um þau atriði sem talin eru í 2. mgr. 35. gr. Persónuvernd getur einnig mælt fyrir um ráðstafanir til að draga úr óhagræði sem slík vinnsla persónuupplýsinga kann að hafa í för með sér fyrir hinn skráða.
32. gr.
Efni tilkynninga.
1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans, sbr. 6. gr.;
2. hver ber daglega ábyrgð á að uppfylla skyldur ábyrgðaraðila;
3. tilgang vinnslunnar;
4. skilgreiningu og aðra lýsingu á þeim tegundum upplýsinga sem notaðar verða við vinnslu;
5. hvert upplýsingarnar eru sóttar;
6. þá heimild sem stendur til söfnunar upplýsinganna;
7. hverjum upplýsingarnar verða afhentar;
8. hvort ráðgert sé að flytja persónuupplýsingarnar úr landi;
9. hvort ráðgert sé að birta upplýsingarnar á netinu;
10. hvaða öryggisráðstafanir verða viðhafðar í vinnslunni;
11. hvort og hvenær persónuupplýsingum eða persónuauðkennum verði eytt.
Persónuvernd getur sett nánari fyrirmæli um form og efni tilkynninga og um framkvæmd tilkynningarskyldunnar að öðru leyti.
Ábyrgðaraðili skal sjá til þess að Persónuvernd hafi á hverjum tíma undir höndum réttar upplýsingar um vinnsluna. Þegar liðin eru þrjú ár frá því að tilkynning var send Persónuvernd skal senda henni nýja tilkynningu með uppfærðum upplýsingum nema henni hafi áður verið tilkynnt um breytta vinnslu. Persónuvernd getur mælt fyrir um ráðstafanir til að tryggja gæði og áreiðanleika tilkynninga og ákveðið mismunandi tilkynningarfrest eftir tegund og eðli vinnslu.
33. gr.
Leyfisskyld vinnsla.
Persónuvernd getur þó ákveðið að vissar tegundir vinnslu skv. 8. gr. og 1. mgr. 9. gr. skuli vera leyfisskyldar.
34. gr.
Forsendur leyfisveitingar o.fl.
Við afgreiðslu mála er tengjast vinnslu viðkvæmra persónuupplýsinga skal Persónuvernd, innan þeirra marka sem greinir í II. kafla laganna, meta hvort vinnslan geti valdið hinum skráða slíku óhagræði að ekki verði úr því bætt með forsvaranlegum hætti með skilyrðum sem sett eru skv. 35. gr. Ef slíkt óhagræði getur orðið skal Persónuvernd meta hvort hagsmunir sem mæla með vinnslunni vegi þyngra en hagsmunir hins skráða.
35. gr.
Skilmálar Persónuverndar um vinnslu persónuupplýsinga.
Við mat á því hvaða skilyrði skal setja fyrir vinnslu skal Persónuvernd m.a. athuga:
1. hvort tryggt sé að hinn skráði geti nýtt réttindi sín samkvæmt lögunum, þar á meðal til að hætta þátttöku í verkefni, og eftir atvikum fá eytt skráðum persónuupplýsingum, til að fá fræðslu um réttindi sín og beitingu þeirra;
2. hvort persónuupplýsingar verði nægjanlega öruggar, áreiðanlegar og uppfærðar í samræmi við tilgang vinnslunnar skv. 7. gr.;
3. hvort með persónuupplýsingarnar verði farið af þeirri varúð sem reglur um þagnarskyldu og tilgangur vinnslunnar krefst;
4. hvort skipulagt hafi verið hvernig hinum skráða verði veittar upplýsingar og leiðbeiningar, innan þeirra marka sem sanngjarnt er að ætlast til miðað við umfang vinnslunnar og aðrar öryggisráðstafanir sem viðhafðar eru;
5. hvort stofnað hafi verið til öryggisráðstafana sem séu eðlilegar miðað við tilgang vinnslunnar.
Persónuvernd getur ákveðið að ábyrgðaraðili og vinnsluaðili, svo og starfsmenn á vegum þeirra, skuli undirrita yfirlýsingu um að þeir lofi að gæta þagmælsku um viðkvæmar persónuupplýsingar sem þeir fá vitneskju um við vinnslu þeirra. Ábyrgðaraðili eða fulltrúi hans skal votta rétta undirskrift starfsmanns og dagsetningu slíkrar yfirlýsingar og koma til Persónuverndar innan tilskilins frests. Brot á slíkri þagnarskyldu varðar refsingu skv. 136. gr. almennra hegningarlaga. Þagnarskyldan helst þótt látið sé af starfi.
Persónuvernd getur afgreitt erindi er lýtur að vinnslu viðkvæmra persónuupplýsinga með skilyrði um að sérstakur tilsjónarmaður verði skipaður til að hafa eftirlit fyrir hönd Persónuverndar með því að vinnsla sé í samræmi við lög og að ábyrgðaraðili greiði allan kostnað sem af því hlýst.
VII. KAFLI
Eftirlit og viðurlög.
36. gr.
Skipulag Persónuverndar og stjórnsýsla.
Persónuvernd er sjálfstæð í störfum sínum og verður ákvörðunum hennar samkvæmt lögum þessum ekki skotið til annarra stjórnvalda.
Ráðherra skipar fimm menn í stjórn Persónuverndar og jafnmarga til vara til fjögurra ára í senn. Í stjórninni skulu eiga sæti tveir lögfræðingar sem fullnægja hæfisskilyrðum héraðsdómara og skal annar þeirra vera formaður og hinn varaformaður. Einn stjórnarmaður skal vera sérfróður á sviði tölvu- og tæknimála. Varamenn skulu fullnægja sömu skilyrðum og aðalmenn.
Ráðherra ákveður laun stjórnarmanna.
Þegar stjórnarmenn eru ekki sammála ræður meiri hluti niðurstöðu máls. Ef atkvæði eru jöfn ræður atkvæði formanns.
Ráðherra skipar forstjóra Persónuverndar til fimm ára í senn að fenginni tillögu stjórnar. Forstjóri situr fundi stjórnar með málfrelsi og tillögurétti.
Forstjóri Persónuverndar annast daglega stjórn og ræður annað starfsfólk Persónuverndar.
Forstjóri ber ábyrgð á fjárreiðum og starfsmannahaldi Persónuverndar. Stjórn Persónuverndar ákveður að öðru leyti skiptingu starfa á milli stjórnar og starfsmanna hennar.
37. gr.
Verkefni Persónuverndar.
Persónuvernd úrskurðar í ágreiningsmálum sem upp kunna að koma um vinnslu persónuupplýsinga. Persónuvernd getur fjallað um einstök mál að eigin frumkvæði eða samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um hann í samræmi við lög þessi og reglur sem settar eru samkvæmt þeim eða einstökum fyrirmælum.
Verkefni Persónuverndar eru m.a. eftirfarandi:
1. að afgreiða leyfisumsóknir, taka við tilkynningum og mæla, eftir því sem þurfa þykir, fyrir um ráðstafanir að því er varðar tækni, öryggi og skipulag vinnslunnar þannig að hún verði í samræmi við ákvæði laganna,
2. að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum,
3. að fylgjast með almennri þróun á sviði persónuupplýsingaverndar á innlendum og erlendum vettvangi og hafa yfirsýn yfir og kynna helstu álitaefni sem tengjast vinnslu persónuupplýsinga,
4. að skilgreina og afmarka hvar persónuvernd er hætta búin og veita ráð um leiðir til lausnar,
5. að leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar, eða þróa kerfi fyrir slíka vinnslu, um persónuvernd, þar á meðal með því að aðstoða við gerð starfs- og siðareglna fyrir einstaka hópa og starfsstéttir,
6. að tjá sig, samkvæmt beiðni eða að eigin frumkvæði, um álitaefni varðandi meðferð persónuupplýsinga og veita umsagnir við setningu laga og annarra reglna sem þýðingu hafa fyrir persónuvernd,
7. að birta árlega skýrslu um starfsemi sína.
Persónuvernd getur ákveðið að ábyrgðaraðili skuli greiða þann kostnað sem hlýst af eftirliti með því að hann fullnægi skilyrðum laga þessara og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Persónuvernd getur einnig ákveðið að ábyrgðaraðili greiði kostnað við úttekt á starfsemi við undirbúning útgáfu vinnsluleyfis og annarrar afgreiðslu.
38. gr.
Aðgangur Persónuverndar að upplýsingum o.fl.
Persónuvernd hefur í eftirlitsstörfum sínum án dómsúrskurðar aðgang að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þar á meðal stöðum þar sem varðveittar eru skrár, myndir, sbr. 4. gr., persónuupplýsingar sem lúta rafrænni vinnslu, og tæki til slíkrar vinnslu. Persónuvernd getur framkvæmt hverja þá prófun eða eftirlitsaðgerð sem hún telur nauðsynlega og krafist nauðsynlegrar aðstoðar starfsfólks á slíkum vettvangi til að framkvæma prófun eða eftirlit. Persónuvernd getur óskað liðveislu lögreglu ef einhver leitast við að hindra hana í eftirlitsstörfum sínum.
Réttur Persónuverndar til að krefjast upplýsinga eða aðgangs að starfsstöðvum og tækjabúnaði verður ekki takmarkaður með vísun til reglna um þagnarskyldu.
39. gr.
Undanþágur frá þagnarskyldu.
40. gr.
Stöðvun vinnslu o.fl.
Komi í ljós að fram fer vinnsla persónuupplýsinga sem brýtur í bága við ákvæði laga þessara eða reglur settar samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað.
Sinni aðili ekki fyrirmælum Persónuverndar skv. 1. mgr. getur hún afturkallað leyfi sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati.
41. gr.
Dagsektir.
Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.
42. gr.
Refsingar.
43. gr.
Bætur.
VIII. KAFLI
Lagatengsl, gildistaka o.fl.
44. gr.
Tengsl við ákvæði annarra laga.
Lög þessi takmarka ekki þann rétt til aðgangs að gögnum sem mælt er fyrir í upplýsingalögum og stjórnsýslulögum.
45. gr.
Reglugerðir um einstaka flokka starfsemi.
Í reglugerð skal mælt fyrir um heimild til söfnunar og skráningar upplýsinga, sem varða fjárhagsmálefni og lánstraust fyrirtækja, svo og annarra lögaðila, í því skyni að miðla til annarra upplýsingum um það efni. Heimild til slíkrar starfsemi skal bundin leyfi Persónuverndar og um hana gilda eftirfarandi ákvæði laganna: 11. gr. um öryggi og gæði upplýsinga, 12. gr. um innra eftirlit, 13. gr. um meðferð vinnsluaðila á upplýsingum, 18. gr. um upplýsingarétt hins skráða, 21. gr. um viðvörunarskyldu þegar upplýsingum er safnað frá öðrum en hinum skráða, 25. gr. um leiðréttingu og eyðingu rangra og villandi upplýsinga, 26. gr. um eyðingu og bann við notkun upplýsinga sem hvorki eru rangar né villandi, 33. gr. um leyfisskylda vinnslu, 34. gr. um forsendur leyfisveitingar, 35. gr. um skilmála, 38. gr. um aðgang Persónuverndar að upplýsingum o.fl., 40. gr. um stöðvun vinnslu o.fl., 41. gr. um dagsektir, 42. gr. um refsingar og 43. gr. um bætur.
Þá skal í reglugerð kveða nánar á um starfsemi þeirra sem nota nafnalista, vinna nafnáritanir, þar á meðal við markaðssetningarstarfsemi, og við gerð markaðs- og skoðanakannana.
46. gr.
Gildistaka.
Við gildistöku laganna verða eftirfarandi breytingar á öðrum lögum:
1. Í stað orðanna „lög um skráningu og meðferð persónuupplýsinga, nr. 121/1989“ í lokamálslið 20. gr. barnaverndarlaga, nr. 58/1992, kemur: lög um persónuvernd og meðferð persónuupplýsinga.
2. Í stað orðanna „tölvunefnd, sbr. lög nr. 121/1989, um skráningu og meðferð persónuupplýsinga“ í 4. mgr. 24. gr. lyfjalaga, nr. 93/1994, kemur: Persónuvernd, sbr. lög um persónuvernd og meðferð persónuupplýsinga.
3. Í stað orðsins „tölvunefndar“ í 2. mgr. 14. gr. laga um rafræna eignarskráningu verðbréfa, nr. 131/1997, kemur: Persónuverndar.
4. Í stað orðsins „tölvunefnd“ í 4. gr. laga um gagnagrunn á heilbrigðissviði, nr. 139/1998, og sama orðs í 5., 6., 7., 10., 12. og 17. gr. kemur í viðeigandi falli: Persónuvernd.
Ákvæði til bráðabirgða.
Sérhver ábyrgðaraðili sem beitir rafrænni tækni við vinnslu persónuupplýsinga við gildistöku laganna skal á þar til gerðu eyðublaði tilkynna Persónuvernd um vinnsluna í samræmi við ákvæði 31. og 32. gr. innan sex mánaða frá gildistöku þeirra.
Leyfi sem tölvunefnd hefur gefið út skulu halda gildi enda fari þau ekki í bága við lög þessi.
Athugasemdir við lagafrumvarp þetta.
I. INNGANGUR
Formaður nefndarinnar var skipaður Þorgeir Örlygsson, prófessor við lagadeild Háskóla Íslands og þá formaður tölvunefndar, en aðrir nefndarmenn voru Sigrún Jóhannesdóttir, lögfræðingur og framkvæmdastjóri tölvunefndar, og Þorsteinn A. Jónsson, lögfræðingur og þá skrifstofustjóri á lagasviði dómsmálaráðuneytisins. Með bréfi dómsmálaráðherra, dags. 29. júní 1998, var Kristján Andri Stefánsson, lögfræðingur og deildarstjóri í forsætisráðuneytinu, skipaður til að taka sæti í nefndinni samkvæmt tilnefningu forsætisráðuneytisins. Með nefndinni starfaði Jón Thors, skrifstofustjóri í dómsmálaráðuneytinu. Nefndin lauk störfum 1. október 1998 með því að afhenda dómsmálaráðherra tillögur sínar að frumvarpi til laga um vernd persónuupplýsinga. Byggist frumvarp þetta að meginstefnu á tillögum nefndarinnar.
Að áliti nefndarinnar leiðir áðurnefnd tilskipun ESB til þess að gera þarf miklar breytingar á gildandi íslenskum rétti um meðferð persónuupplýsinga. Þykir því hagkvæmara að semja frá grunni frumvarp til nýrra laga fremur en að leggja til breytingar á einstökum ákvæðum gildandi laga. Í kafla IV hér á eftir er að finna yfirlit um helstu breytingar sem frumvarp þetta kemur til með að hafa í för með sér, ef að lögum verður.
Við samningu frumvarpsins hefur það m.a. verið haft í huga hve stórstígum framförum tölvutækni hefur tekið síðustu ár og áratugi og hefur sú þróun verið hraðari en svo að löggjöf hafi getað fylgt henni eftir. Þá hefur tilskipun ESB verið höfð til hliðsjónar, enda er það eins og áður segir helsta markmiðið með endurskoðun laga nr. 121/1989 að tryggja að ákvæði íslenskra laga fullnægi kröfum tilskipunarinnar. Jafnframt hefur verið litið til þess hvernig aðrar þjóðir á Norðurlöndum hyggjast leiða ákvæði tilskipunar ESB í lög hjá sér. Sérstakur gaumur hefur verið gefinn að starfi Norðmanna við að undirbúa lögleiðingu tilskipunar ESB í norskan rétt og eru fyrir því tvær meginástæður. Fyrri ástæðan er sú að Ísland og Noregur eru einu ríkin á Norðurlöndum sem eru aðilar að EES en ekki ESB og horfir lögleiðing tilskipunarinnar því nokkuð öðruvísi við í þessum tveimur ríkjum en í Danmörku, Svíþjóð og Finnlandi. Síðari ástæðan er sú að lög nr. 121/1989 áttu sér í öllum helstu og veigamestu atriðum fyrirmynd í ákvæðum norskra laga. Að öðru leyti hefur við samningu frumvarpsins verið litið til íslenskra aðstæðna að því marki sem slíkt rúmast innan ákvæða tilskipunarinnar.
Þann 25. júní 1999 tók gildi ákvörðun sameiginlegu EES-nefndarinnar (ákvörðun nr. 83/ 99) um að fella tilskipun nr. 95/46EB inn í EES-samninginn. Samkvæmt 103. gr. EES-samningsins hefur Ísland sex mánuði, frá framangreindum gildistökudegi, til að gera nauðsynlegar lagabreytingar og tryggja að íslensk löggjöf verði í samræmi við efnisákvæði tilskipunarinnar. Gildir hið sama einnig um ákvæði sérlöggjafar á þessu réttarsviði ef frá eru talin tilvik þar sem tilskipunin sjálf heimilar frávik frá eigin ákvæðum. Í 1. mgr. 32. gr. tilskipunarinnar kemur fram að aðildarríki hennar skuli, innan þriggja ára frá gildistöku tilskipunarinnar, sem var 24. október 1995, hafa gert nauðsynlegar ráðstafanir til að tryggja að lög, reglugerðir og önnur stjórnvaldsfyrirmæli fullnægi ákvæðum tilskipunarinnar. Samkvæmt því öðlaðist tilskipunin gildi innan aðildarríkja ESB 24. október 1998.
II. ÍSLENSK LÖGGJÖF UM FRIÐHELGI EINKALÍFS
OG MEÐFERÐ PERSÓNUUPPLÝSINGA
Með þeirri breytingu sem gerð var á stjórnarskránni árið 1995 var gildissvið reglunnar um friðhelgi einkalífs verulega rýmkað og tengsl þess ákvæðis við vernd persónuupplýsinga stórlega aukin. Í 71. gr. stjórnarskrárinnar, eftir þá breytingu sem gerð var á henni með stjórnskipunarlögum nr. 97/1995, segir nú svo:
„Allir skulu njóta friðhelgi einkalífs, heimilis og fjölskyldu.
Ekki má gera líkamsrannsókn eða leit á manni, leit í húsakynnum hans eða munum, nema samkvæmt dómsúrskurði eða sérstakri lagaheimild. Það sama á við um rannsókn á skjölum og póstsendingum, símtölum og öðrum fjarskiptum, svo og hvers konar sambærilega skerðingu á einkalífi manns.
Þrátt fyrir ákvæði 1. mgr. má með sérstakri lagaheimild takmarka á annan hátt friðhelgi einkalífs, heimilis eða fjölskyldu ef brýna nauðsyn ber til vegna réttinda annarra.“
Fram til ársins 1995 sagði það eitt um friðhelgi einkalífs í 66. gr. stjórnarskrárinnar að heimilið væri friðheilagt og hvorki mætti gera húsleit né kyrrsetja bréf og önnur skjöl og rannsaka þau nema eftir dómsúrskurði eða sérstakri lagaheimild. Til rökstuðnings þeirri breytingu sem gerð var á stjórnarskránni árið 1995 að þessu leyti lá það sjónarmið að eðlilegt væri að orða þessi réttindi skýrlega meðal mannréttindaákvæða og skipa þeim saman í ákvæðinu um friðhelgi heimilis, enda væri um að ræða réttindi af sama toga og þau tengdust innbyrðis. Var það einnig í samræmi við ákvæði alþjóðlegra mannréttindasamninga um efnið, eins og sjá mátti í 8. gr. mannréttindasáttmála Evrópu þar sem kveðið væri á um friðhelgi einkalífs, fjölskyldu, heimilis og bréfaskipta og 17. gr. alþjóðasamnings um borgaraleg og stjórnmálaleg réttindi.
Í 1. mgr. 71. gr. stjórnarskrárinnar er talið upp til hvers friðhelgin nái og er þar fyrst talið einkalíf. Hugtakið einkalíf er yfirhugtak og felast í reynd í því bæði atriðin sem talin eru á eftir, þ.e. heimilis- og fjölskyldulíf. Við skilgreiningu á því hvað felst í ákvæðinu verður þó að greina að umfjöllun um hvert þessara atriða. Í friðhelgi einkalífs felst nú, skv. 71. gr. stjórnarskrárinnar, í fyrsta lagi réttur manna til þess að ráða yfir lífi sínu og líkama. Í öðru lagi felst í þessu réttur til að njóta friðar um lífshætti sína og einkahagi og í þriðja lagi er litið svo á að tilfinningalíf og tilfinningasambönd við aðra njóti verndar samkvæmt ákvæðinu. Í skýringum með stjórnarskrárákvæðinu er lögð á það sérstök áhersla að raunhæft dæmi um svið þar sem álitaefni vaknar um hvort brotið hafi verið gegn friðhelgi einkalífs sé skráning persónuupplýsinga um einstaklinga. Er þar fyrst og fremst átt við hversu langt megi ganga í skipulagðri skráningu á lífsháttum manna og högum og meðferð slíkra upplýsinga. Ekki sé sjálfgefið að öll skráning upplýsinga um einstaklinga falli innan ramma einkalífs manna. Þannig girði stjórnarskrárákvæðið ekki fyrir opinbera skráningu um menn í þjóðskrá, en þess megi geta að í 2. mgr. 24. gr. alþjóðasamnings um borgaraleg og stjórnmálaleg réttindi sé það talið til réttinda hvers barns að vera skráð strax eftir fæðingu sem tryggi m.a. að það geti síðar leitað gagna um fæðingu sína og uppruna.
Með því að setja fram beina reglu um friðhelgi einkalífs í stjórnarskrá er í fyrsta lagi gert ráð fyrir að sú skylda hvíli á ríkinu að forðast afskipti af einkalífi manna og persónulegum högum þeirra. Nær þetta bæði til beinna afskipta handhafa opinbers valds og lagasetningar um málefni borgaranna. Í öðru lagi er til þess að líta að hættan á því að friðhelgi manna sé rofin stafar ekki einvörðungu frá ríkinu heldur líka frá öðrum einstaklingum og einkaaðilum. Krafan um friðhelgi einkalífs felur því ekki eingöngu í sér að ríkið gangi ekki á þennan rétt borgaranna heldur einnig að ríkinu sé skylt að setja reglur í löggjöf til verndar einstaklingunum í innbyrðis samskiptum þeirra. Því er það svo að 71. gr. stjórnarskrárinnar leggur ákveðnar skyldur á ríkið til lagasetningar. Sú skylda er í meginatriðum tvíþætt, þ.e. annars vegar til þess að veita þessum réttindum manna vernd með ákvæðum refsilaga, sem gera brot annarra einstaklinga á þessum réttindum refsiverð, og hins vegar til þess að binda í löggjöf skýrar reglur um meðferð persónuupplýsinga.
Af því sem hér hefur verið rakið má ráða að setning réttarreglna um meðferð persónuupplýsinga er einn ríkasti þátturinn í viðleitni ríkisvaldsins til þess að sinna þeirri skyldu sem stjórnarskráin leggur á hinn almenna löggjafa að tryggja friðhelgi einkalífs. Það að njóta friðhelgi um einkalíf sitt, þ.m.t. að því er varðar meðferð persónuupplýsinga, er grundvallarþáttur mannréttinda sem íslenska stjórnarskráin verndar.
Hér á landi hafa frá árinu 1980 verið í gildi lög um skráningu og meðferð persónuupplýsinga. Fyrstu lög sem sett voru hér á landi til verndar einstaklingum vegna skráningar á upplýsingum um einkamálefni þeirra voru lög nr. 63/1981, um skráningu á upplýsingum er varða einkamálefni. Höfðu þau fyrir fram afmarkaðan gildistíma og féllu úr gildi 31. desember 1985. Þann 1. janúar 1986 tóku gildi ný lög um sama efni, lög nr. 39/1985. Höfðu þau, eins og lög nr. 63/1981, einnig fyrir fram afmarkaðan gildistíma og féllu úr gildi 31. desember 1989. Í 31. gr. þeirra laga var ákvæði um að dómsmálaráðherra skyldi láta endurskoða þau og leggja fram nýtt frumvarp í þingbyrjun haustið 1988. Í janúar 1988 var skipuð nefnd til að semja frumvarp til nýrra laga og tóku ný lög gildi 1. janúar 1990 sem lög nr. 121/1989, um skráningu og meðferð persónuupplýsinga. Ástæða þess að lög nr. 63/1981 og lög nr. 39/ 1985 höfðu fyrir fram afmarkaðan gildistíma var sú að tölvutækni þróaðist mjög hratt á þessum árum, og gerir reyndar enn, og þótti nauðsynlegt að endurskoða lögin með reglulegu millibili með tilliti til þeirrar staðreyndar þannig að þau væru á hverjum tíma í samræmi við hinn tæknilega veruleika.
Löggjöf sú sem sett var í ríkjum hins vestræna heims á árunum 1970–80 um meðferð persónuupplýsinga í kjölfar umræðu um hættur samfara tölvutækninni hafði í meginatriðum tvenns konar reglur að geyma. Annars vegar voru efnisreglur um söfnun, skráningu, meðferð, notkun og miðlun persónuupplýsinga. Gildissvið slíkra reglna var í upphafi víða takmarkað við þá meðferð eina þar sem tölvutækni var beitt. Þó voru nokkur ríki sem ekki gerðu neinn greinarmun á því í þessu sambandi hvort meðferðin var vélræn eða handunnin. Í þeirra hópi var Ísland og er enn í dag.
Hins vegar hefur slík löggjöf að geyma ákvæði um opinbert eftirlit með framkvæmd laganna, en mismunandi er í löggjöf einstakra ríkja hvert valdsvið hins opinbera eftirlitsaðila er. Í sumum löndum hefur megináherslan verið lögð á það að skrár með persónuupplýsingum séu tilkynningarskyldar og að hinn opinberi eftirlitsaðili skuli hafa eftirlit með þeim skrám. Þannig er t.d. löggjöf í Bretlandi og að nokkru í Danmörku. Í öðrum löndum hafa eftirlitsaðilar (persónuverndarstofnanir) fengið eins konar hlutverk umboðsmanns á þessu sviði, en hafa ekki haft eiginlega stjórnsýslu með höndum. Þannig var t.d. löggjöf í Vestur-Þýskalandi í upphafi. Í enn öðrum löndum er byggt á því sem meginreglu að leyfi hins opinbera þurfi til þess að safna og skrá persónuupplýsingar. Er það þá hlutverk hins opinbera eftirlitsaðila að veita slíkt leyfi. Íslensku lögin um skráningu og meðferð persónuupplýsinga, þ.e. lög nr. 121/1989, eru á þessu fyrirkomulagi byggð og einnig löggjöf í Noregi. Hlutverk tölvunefndar hefur þó ekki verið einskorðað við það að veita starfsleyfi og heimildir því að nefndin úrskurðar um ýmiss konar ágreining, m.a. varðandi aðgang að persónuupplýsingum, um leiðréttingu rangra og villandi upplýsinga o.fl.
III. ALÞJÓÐLEG ÞRÓUN RÉTTARREGLNA UM
VERND PERSÓNUUPPLÝSINGA
Eins og áður er fram komið voru fyrstu lögin sem sett voru hér á landi til verndar einstaklingum vegna skráningar upplýsinga um einkamálefni þeirra nr. 63/1981. Síðar voru sett lög nr. 39/1985 og loks gildandi lög nr. 121/1989. Lagasetning þessi átti sér hliðstæðu í löggjöf margra vestrænna ríkja. Svíar urðu fyrstir þjóða til að setja lög um þetta efni 11. maí 1973 sem tóku endanlega gildi 1. júlí 1974. Nokkru áður eða árið 1970 hafði sambandsríkið Hessen í Vestur-Þýskalandi sett sér rammalöggjöf um þetta efni. Slík löggjöf er nú í gildi í öllum ríkjum á Norðurlöndum, í flestum aðildarríkja Evrópuráðsins og Evrópusambandsins, í nokkrum ríkjum Bandaríkja Norður-Ameríku, Kanda, Ísrael, Nýja-Sjálandi, Hong-Kong, Japan og nokkrum ríkjum Austur-Evrópu, svo nokkur dæmi séu nefnd.
Alþjóðlegt samstarf á sviði persónuverndar hefur farið mjög vaxandi á síðari árum og ýmis fjölþjóðleg samtök hafa sinnt persónuverndarmálum í auknum mæli. Íslendingar hafa hin seinni ár tekið virkan þátt í fjölþjóðlegu samstarfi um vernd persónuupplýsinga innan Evrópuráðsins, í starfi alþjóðasamtaka persónuverndarstofnana og síðast en ekki síst í samstarfi norrænna persónuverndarstofnana.
Hér á eftir verður gerð grein fyrir alþjóðlegum reglum og alþjóðlegu samstarfi sem með einum eða öðrum hætti getur haft áhrif á efni íslenskra réttarreglna að því er varðar vernd persónuupplýsinga. Skiptist sú umfjöllun í þrennt. Í fyrsta lagi er umfjöllun um samning Evrópuráðsins um vernd einstaklinga við vélræna vinnslu persónuupplýsinga frá árinu 1981 og ýmis tilmæli Evrópuráðsins. Í öðru lagi er fjallað um tilskipun ESB frá 24. október 1995 og í þriðja lagi er vikið að öðrum alþjóðlegum réttarreglum og alþjóðlegu samstarfi sem þýðingu getur haft. Umfjöllunin tekur einvörðungu mið af nokkrum aðalatriðum, en um nákvæmar efnislýsingar og túlkanir er ekki að ræða.
Í stórum dráttum má segja að alþjóðlegar reglur á þessu réttarsviði greinist í tvennt. Annars vegar eru alþjóðasamningar og sáttmálar sem eru þjóðréttarlega skuldbindandi fyrir Ísland. Í þennan flokk falla samningur Evrópuráðsins frá 1981 og tilskipun ESB. Hins vegar eru reglur (recommendations), þ.e. tilmæli sem ekki eru þjóðréttarlega skuldbindandi þótt taka verði tillit til þeirra eigi að síður.
III.2. Samningur Evrópuráðsins um vernd persónuupplýsinga.
Hinn 25. mars 1991 var aðalframkvæmdastjóra Evrópuráðsins afhent fullgildingarskjal Íslands vegna samnings um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga sem gerður var í Strassborg 28. janúar 1981 (CONVENTION nr. 108 for the Protection of Individuals with regard to Automatic Processing of Personal Data). Hann var undirritaður fyrir Íslands hönd 27. september 1982 með fyrirvara um fullgildingu. Með ályktun 17. desember 1990 heimilaði Alþingi ríkisstjórninni að fullgilda samninginn og öðlaðist hann gildi að því er Ísland varðar 1. júlí 1991. Samningurinn var birtur sem fylgiskjal með auglýsingu utanríkisráðuneytisins frá 27. mars 1991 í C-deild Stjórnartíðinda.
Evrópuráðssamningurinn á að meginstefnu til við um alla vinnslu og aðra meðferð persónuupplýsinga þar sem tölvutækni er beitt við vinnsluna. Tilgangur samningsins er að tryggja sérhverjum manni á svæði hvers samningsaðila, hvert sem þjóðerni hans eða búseta er, virðingu fyrir réttindum hans og grundvallarfrelsi, einkum rétti hans til einkalífs að því er varðar vélræna vinnslu persónuupplýsinga sem hann varða, þ.e. persónuupplýsingavernd.
Með samningi þessum var lagður mikilvægur grundvöllur að tilskipun ESB og er óhætt að fullyrða að lögleiðing efnisákvæða tilskipunarinnar í íslenskan rétt nú sé um margt auðveldari af þeirri ástæðu að efnisákvæði Evrópuráðssamningsins voru leidd í íslenskan rétt við gildistöku laga nr. 121/1989. Evrópuráðssamningurinn hefur að geyma lágmarksreglur, en í því felst að aðildarríkjum hans er heimilt að veita þeim er upplýsingarnar varðar víðtækari réttindi í löggjöf sinni.
Til fyllingar ákvæðum samningsins frá 1981 hefur Evrópuráðið beint tilmælum til aðildarríkja sinna um meðferð persónuupplýsinga á afmörkuðum sviðum. Réttarleg staða tilmælanna er önnur en samningsins því að þær eru ekki þjóðréttarlega skuldbindandi, en eru á hinn bóginn „pólitískt“ skuldbindandi fyrir aðildarríkin. Tilmælin eru nú tíu talsins. Sum tilmælin eru þess eðlis að efni þeirra á ekki beinlínis heima í ákvæðum almennra laga um vernd persónuupplýsinga. Þau geta hins vegar haft mikla þýðingu við setningu sérlaga á þessu réttarsviði og í framkvæmd eftirlitsaðila þegar settir eru sérstakir skilmálar um vinnslu ákveðinna tegunda persónuupplýsinga. Hefur tölvunefnd í tíð gildandi laga haft hliðsjón af tilmælunum þegar hún hefur ákveðið skilmála vinnslu á ákveðnum sviðum.
III.3. Tilskipun Evrópusambandsins 95/46 EC.
Í júlí 1990 lagði framkvæmdastjórn ESB fram tillögu að tilskipun sem skyldi hafa það að markmiði að tryggja aukið öryggi og aukna vernd einstaklinga við vinnslu persónuupplýsinga. Hvatann að samningu tillögunnar má rekja til þess að í sumum aðildarríkja ESB voru engin lög í gildi sem veittu einstaklingum vernd að því er varðar meðferð persónuupplýsinga, á sama tíma og önnur aðildarríki tryggðu verndina með þeim hætti sem best þekktist í heiminum. Þá höfðu sum aðildarríkja ESB heldur ekki gerst aðilar að Evrópuráðssamningnum frá 1981. Taldi framkvæmdastjórn ESB ástæðu til að óttast að ósamræmi þetta í lagasetningu í aðildarríkjum ESB gæti staðið í vegi fyrir frjálsu flæði persónuupplýsinga milli aðildarríkja ESB og þar með skapað vandkvæði í efnahagslegu samstarfi þeirra.
Evrópuþingið fékk frumvarp framkvæmdastjórnarinnar til umfjöllunar og lagði til nokkrar breytingar. Í framhaldi af því lagði framkvæmdastjórnin fram nýtt frumvarp í október 1992. Frumvarpið kom til lokaumfjöllunar á Evrópuþinginu 15. júlí 1995. Það var endanlega samþykkt af Ráðherraráðinu 24. júlí 1995 sem tilskipun nr. 95/46, þ.e. „DIRECTIVE 95/46 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24. October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data“.
Markmið tilskipunarinnar er að tryggja samræmdar reglur og samræmda persónuvernd í öllum aðildarríkjum ESB. Innan þess ramma sem hún setur er einstökum aðildarríkjum heimilt að setja strangari reglur sem tryggja meiri vernd en leiðir af ákvæðum tilskipunarinnar. Fer það eftir einstökum ákvæðum hennar að hvaða marki heimilt er í löggjöf einstakra ríkja að mæla fyrir um meiri vernd en tilskipunin sjálf gerir ráð fyrir. Í tilskipuninni er hins vegar að finna bann við því að aðildarríkin setji reglur um persónuvernd sem banna eða takmarka frjálsan flutning persónuupplýsinga milli aðildarríkjanna, sbr. 2. mgr. 1. gr. þar sem segir: „Member States shall neither restrict nor prohibit the free flow of personal data between member States for reasons connected with the protection afforded under paragraph 1.“
Segja má að tilskipun ESB grundvallist á þremur meginsjónarmiðum. Þau sjónarmið sem mest eru ráðandi eru markaðssjónarmið því að samræmdar reglur um persónuvernd eru taldar frumforsenda þess að frjáls og opinn markaður fái þrifist. Til viðbótar eru stjórnsýslusjónarmið því að frjálst flæði upplýsinga milli aðildarríkjanna er ein forsenda þess að sameiginlegum stjórnsýslustofnunum verði komið á laggirnar. Loks styðst tilskipunin við hugmyndafræðileg rök og sjónarmið því að litið er á persónuvernd í vinnslu persónuupplýsinga sem þátt í vernd grundvallarmannréttinda.
Eins og áður er fram komið byggist tilskipun ESB í öllum aðalatriðum á sömu grundvallarsjónarmiðum og Evrópuráðssamningurinn frá 1981. Þar sem grundvallaratriði þess samnings hafa þegar verið leidd í lög á Íslandi eru margar reglur tilskipunarinnar þegar gildandi réttur hér á landi. Aðrar reglur tilskipunarinnar eru hins vegar nýjar af nálinni og því nauðsynlegt að leiða þær sérstaklega í lög hér á landi, svo sem nánar er rakið í skýringum við einstakar greinar frumvarpsins.
Markmið tilskipunar 95/46/EC er annars vegar að tryggja grundvallarmannréttindi einstaklinga og þá alveg sérstaklega rétt manna til þess að njóta friðhelgi um einkalíf sitt í tengslum við meðferð persónuupplýsinga og hins vegar að tryggja frjálst flæði persónuupplýsinga milli aðildarríkja ESB. Ákvæði tilskipunarinnar eiga almennt við um vinnslu persónuupplýsinga þegar vinnslan fer fram með rafrænum hætti hvort heldur sem er í heild eða að hluta og um handunna vinnslu upplýsinga sem eru eða eiga að verða hluti af skrá. Tilskipunin nær hins vegar ekki til vinnslu sem er alfarið til einkanota og heldur ekki til vinnslu persónuupplýsinga á þeim sviðum sem ekki lúta lögsögu Evrópusambandsins.
Samkvæmt tilskipuninni er aðildarríkjunum skylt að setja á laggirnar stofnanir til þess að hafa eftirlit með því að ákvæðum hennar sé fylgt innan landamæra viðkomandi ríkis. Skulu slíkar stofnanirnar njóta fullkomins sjálfstæðis í störfum sínum og m.a. hafa vald til þess að framkvæma rannsóknir, veita leyfi, stöðva ólöglega starfsemi o.fl. Almenningi skal vera kunnugt um tilvist allrar vinnslu með persónuupplýsingar og stofnuninni vera skylt að halda skrá um alla vinnslu sem fram fer, þ.e. þá vinnslu sem er leyfis- eða tilkynningarskyld.
Ákvæði tilskipunarinnar byggjast á þeirri meginreglu að vinnsla ákveðinna tegunda viðkvæmra persónuupplýsinga sé bönnuð, en veita eigi að síður svigrúm til þess að víkja frá meginreglunni í mörgum tilvikum. Þannig er t.d. heimilt að vinna með viðkvæmar persónuupplýsingar ef sá aðili sem upplýsingarnar varðar samþykkir vinnsluna og eins geta aðildarríkin heimilað frávik frá meginreglunni ef slíkt er nauðynlegt með tilliti til almannahagsmuna. Skilgreining tilskipunarinnar á því hvaða upplýsingar teljist viðkvæmar er í samræmi við skilgreiningu 1. mgr. 4. gr. gildandi laga nr. 121/1989 að því frátöldu að upplýsingar um veruleg félagsleg vandamál teljast ekki til viðkvæmra persónuupplýsinga í skilningi tilskipunarinnar. Á hinn bóginn er það nýmæli að finna í tilskipuninni miðað við gildandi íslenskan rétt að upplýsingar um stéttarfélagsaðild teljast til viðkvæmra persónuupplýsinga.
Í tilskipuninni er að finna reglur um skyldu ábyrgðaraðila sem safnar persónuupplýsingum til þess að veita hinum skráða að eigin frumkvæði ákveðna vitneskju. Er hér um að ræða viðbótarrétt hins skráða, þ.e. til viðbótar rétti hans til aðgangs að upplýsingum um sjálfan sig. Slíkur réttur er ekki með öllu nýmæli í íslenskum rétti. Skal í því sambandi bent á tilkynningarskyldu skrárhaldara skv. 2. mgr. 17. gr. laga nr. 121/1989, sem reyndar tekur aðeins til þess þegar safnað er upplýsingum um fjárhagsmálefni og lánstraust. Eins má nefna ákvæði 3. mgr. 6. gr. gildandi laga þar sem fram kemur að tölvunefnd getur bundið heimild til samtengingar persónuupplýsinga því skilyrði að hinum skráða verði skýrt frá því að samtenging kunni að fara fram.
Í tilskipuninni er lögð sú skylda á ábyrgðaraðila að tilkynna viðkomandi persónuverndarstofnun um fyrirhugaða vinnslu persónuupplýsinga þegar vinnslan mun fara fram með rafrænum hætti í heild eða að hluta. Heimilt er að víkja frá ákvæðum um tilkynningarskyldu, annars vegar þannig að um ákveðnar tegundir vinnslu gildi vægari tilkynningarreglur eða þær séu með öllu undanþegnar tilkynningarskyldunni og hins vegar þannig að um enn aðrar tegundir vinnslu gildi strangari reglur, þ.e. leyfisskylda í stað tilkynningarskyldu. Sá er hins vegar munur tilskipunarinnar og þess fyrirkomulags sem nú gildir að íslenskum rétti samkvæmt lögum nr. 121/1989 og reyndar fleiri réttarheimildum, sbr. t.d. lög nr. 74/1997, um réttindi sjúklinga, að í tilskipuninni er byggt á tilkynningarskyldu sem aðalreglu, en í gildandi íslenskum rétti er byggt á leyfisveitingum sem aðalreglu.
Um nokkur ný réttindi er að ræða samkvæmt tilskipuninni þegar í hlut á ákveðin tegund rafrænnar vinnslu og ákvörðunarferli. Í fyrsta lagi er í tilskipuninni byggt á því að hver og einn eigi rétt á því að fá að vita hvaða reglukerfi býr að baki tiltekinni rafrænni vinnslu persónuupplýsinga um hann sjálfan. Í þessu felst réttur manns til þess að fá rökstuðning fyrir ákvörðun sem tekin hefur verið með rafrænum hætti, þ.e. hvaða vinnslukerfi hugbúnaðurinn byggist á. Í öðru lagi hefur hver og einn rétt til þess að fá handunna endurskoðun á ákveðnum tegundum ákvarðana sem alfarið hafa byggst á rafrænni vinnslu upplýsinga.
Varðandi aðrar tilskipanir ESB en tilskipun 95/46/EC sem þýðingu hafa við vernd persónuupplýsinga skal fyrst nefnd tilskipun 97/7 um neytendavernd og fjarsölu, þ.e. „DIRECTIVE 97/7/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 20 May 1997 on the protection of consumers in respect of distance contracts“. Þann 6. mars 1998 var samþykkt að taka þessa tilskipun undir EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 15/98. Gildissvið hennar nær til samninga um vöru og þjónustu sem gerðir eru af hálfu neytenda og seljenda með fjarsölu, þ.e. samninga sem alfarið komast á með milligöngu „fjarmiðla“. Dæmigerð tilvik fjarsölu eru t.d. símsala, póstkröfusala og sala þar sem kaupandi pantar vörur eða þjónustu símleiðis eða skriflega á grundvelli auglýsinga í sjónvarpi, útvarpi eða verðlistum. Sala á netinu er dæmi um fjarsölu sem ætla má að fái aukna þýðingu í nánustu framtíð. Í tilskipun þessari eru mörg ákvæði sem ætlað er að verja hagsmuni neytenda við fjarsölu og hefur hún ýmsa snertifleti við tilskipun 95/46/ EC.
Sama á við um tilskipun um vernd persónuuuplýsinga og samskiptaleynd á sviði fjarskipta, þ.e. „DIRECTIVE 97/66/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector“. Þann 25. júní 1999 tók gildi ákvörðun sameiginlegu EES-nefndarinnar um að fella þessa tilskipun undir EES-samninginn. Tilgangur hennar er að vera til fyllingar og viðbótar hinum almennu ákvæðum í tilskipun 95/46/EC. Sama máli gegnir um aðra tilskipun á sviði fjarskiptamála, þ.e. „DIRECTIVE 98/10/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 26 February 1998 on the application of open network provision (ONP) to voice telephony and on universal service for telecommunications in a competitive environment“. Hún var felld undir EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar þann 26. mars 1999. Hún er til fyllingar tilskipunum nr. 95/46/EC og 97/66/EC og þar er vísað í almenn ákvæði þeirra beggja. Er ljóst að allar þessar tilskipanir hafa að geyma veigamiklar efnisreglur sem munu snerta daglega starfsemi Persónuverndar og hafa mikil áhrif í störfum hennar við vernd persónuupplýsinga á sviði fjarskipta.
III.4. Aðrar alþjóðlegar reglur.
Vernd mannréttinda á alþjóðlegum vettvangi og bindandi þjóðréttarsamningar eru tiltölulega nýtt viðfangsefni í samanburði við forsögu mannréttindaákvæða í stjórnskipunarlögum einstakra ríkja. Eftir lok síðari heimstyrjaldarinnar urðu straumhvörf í alþjóðasamvinnu um mannréttindavernd er mönnum urðu ljós þau miklu mannréttindabrot sem framin höfðu verið meðan á styrjöldinni stóð. Varð mönnum þá ljós sú staðreynd að nauðsynlegt væri að ná samstöðu um vernd mannréttinda á alþjóðlegum vettvangi. Var þetta eitt helsta markmiðið með stofnun Sameinuðu þjóðanna árið 1945 eins og fram kemur í stofnskrá þeirra. Í mannréttindayfirlýsingu Sameinuðu þjóðanna frá árinu 1948 er talinn upp fjöldi borgaralegra og stjórnmálalegra réttinda, en einnig hin helstu af vettvangi félagslegra og menningarlegra réttinda. Jafnframt er því lýst yfir að það sé markmið aðildarríkja samtakanna að virða og efla þessi réttindi. Mannréttindayfirlýsing Sameinuðu þjóðanna er ekki bindandi þjóðréttarsamningur en hún var eigi að síður stórt skref í alþjóðlegri mannréttindasamvinnu. Hún lagði grunn að eftirfarandi samvinnu um alþjóðlega mannréttindasamninga, ekki aðeins á vettvangi Sameinuðu þjóðanna heldur einnig í svæðisbundinni samvinnu þjóða um mannréttindi, t.d. á vegum Evrópuráðsins við gerð mannréttindasáttmála Evrópu.
Ýmis ákvæði mannréttindayfirlýsingar Sameinuðu þjóðanna hafa verulega þýðingu fyrir persónuvernd í víðtækri merkingu þess hugtaks. Skal þar einkum bent á ákvæði 3., 12., 18., 19. og 20. gr. hennar. Í 12. gr. hennar segir: „Eigi má eftir geðþótta raska heimilisfriði nokkurs manns, hnýsast í einkamál hans eða bréf, vanvirða hann eða spilla mannorði hans. Ber hverjum manni lagavernd gagnvart slíkum afskiptum eða árásum.“
Mannréttindayfirlýsingunni hafa Sameinuðu þjóðirnar fylgt eftir með alþjóðlegum samningum á ýmsum sviðum. Er þar m.a. að nefna alþjóðasamning um borgaraleg og stjórnmálaleg réttindi frá 16. desember 1966 sem tók gildi 23. mars 1976. Samningur þessi hefur verið fullgiltur af tveimur þriðju hlutum ríkja veraldar. Brot á ákvæðum samningsins verða kærð til mannréttindanefndar Sameinuðu þjóðanna. Út frá persónuverndarsjónarmiðum er það einkum 17. gr. samningsins sem þýðingu hefur. Þar segir: „1. Enginn skal þurfa að þola geðþótta- eða ólögmæta röskun á einkalífi, fjölskyldu, heimili eða bréfaskiptum, né ólögmætar árásir á heiður eða mannorð sitt. 2. Allir eiga rétt á lagavernd gegn slíkri röskun eða árásum.“
Allsherjarþing Sameinuðu þjóðanna samþykkti 14. desember 1990 ályktun 45/95, „Guidelines Concerning Computerized Personal Data Files,“ um þær lágmarkskröfur sem gera ber til þeirra sem með persónuupplýsingar fara.
Þá hefur margvísleg fjölþjóðleg samvinna um mannréttindi átt sér stað á vettvangi Evrópuráðsins frá því að það var stofnað árið 1949. Mikilvægasti samningurinn á vettvangi Evrópuráðsins er mannréttindasáttmáli Evrópu frá árinu 1950 þar sem talin eru helstu borgaralegu og stjórnmálalegu réttindi sem aðildarríki Evrópuráðsins eru skuldbundin til að tryggja þegnum sínum. Ellefu viðaukar hafa síðan verið gerðir við mannréttindasáttmálann og í fjórum þeirra er bætt við nýjum efnisréttindum. Ísland hefur staðfest mannréttindasáttmálann og átta af viðaukum hans, þ.m.t. alla þá sem bætt hafa við efnisréttindum, og hefur auk þess viðurkennt lögsögu mannréttindadómstóls Evrópu. Meðal þeirra réttinda sem mannréttindasáttmáli Evrópu og viðaukar hans vernda er friðhelgi einkalífs, fjölskyldu, heimilis og bréfaskipta. Í 8. gr. sáttmálans segir: „1. Hver maður á rétt til friðhelgi einkalífs síns, fjölskyldu, heimilis og bréfaskipta. 2. Stjórnvöld mega ekki raska þessum réttindum, nema samkvæmt lögum og nauðsynlegt sé í lýðfrjálsu þjóðfélagi vegna öryggis almennings.“ Samningur sá frá 1981 sem fjallað er um í kafla III.2. hér að framan er til fyllingar þessu ákvæði mannréttindasáttmálans.
Þá má geta ályktunar eða leiðbeiningarreglna aðildarríkja OECD frá 1980 (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data). Ályktun þessi er ekki þjóðréttarlega skuldbindandi en hefur eigi að síður haft mikla þýðingu, einkanlega í rétti þeirra ríkja sem hvorki lúta Evrópuráðssamningnum frá 1981 né tilskipun ESB 95/ 46/EC.
Það eru ekki einungis ríki Evrópu sem hafa átt frumkvæði að svæðisbundinni vernd persónuupplýsinga. Samtök Ameríkuríkja (OAS) samþykktu eigin mannréttindayfirlýsingu árið 1948 (American Declaration on the Rights and Duties of Man). Í V. gr. þeirrar yfirlýsingar kemur fram að sérhver einstaklingur skuli lögum samkvæmt njóta verndar gegn „abusive attacks upon … his private … life“. Um mannréttindayfirlýsingu Samtaka Ameríkuríkja gildir hið sama og um mannréttindayfirlýsingu Sameinuðu þjóðanna að hún er ekki þjóðréttarlega skuldbindandi fyrir aðildarríki. Á hinn bóginn hafa Samtök Ameríkuríkja fylgt ákvæðum mannréttindayfirlýsingarinnar eftir með samningi um vernd mannréttinda sem er þjóðréttarlega skuldbindandi fyrir aðildarríkin, þ.e. „American Convention on Human Rights“ en sá samningur öðlaðist gildi 18. júlí 1978. Í 11. gr. samningsins kemur m.a. fram að enginn einstaklingur þurfi að sæta „arbitrary or abusive interference with his private life“ og að sérhver einstaklingur eigi rétt til þess að lög tryggi honum vernd í þeim efnum.
IV. MEGINBREYTINGAR SAMKVÆMT FRUMVARPI
ÞESSU OG HELSTU MARKMIÐ ÞESS
Í 1. gr. frumvarpsins er að finna markmiðsyfirlýsingu. Þar segir að markmið laganna sé að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga. Í lögum nr. 121/1989 er slíka markmiðsyfirlýsingu ekki að finna en í athugasemdum með frumvarpi til þeirra laga kemur fram að meginmarkmið þeirra sé að tryggja mönnum vernd gegn hættu á misnotkun upplýsinga um einkamálefni þeirra sem varðveittar séu eða skráðar hafi verið með kerfisbundnum hætti.
IV.2. Gildissvið nýrra laga.
Í 1. mgr. 3. gr. frumvarpsins segir að lögin gildi um sérhverja rafræna vinnslu. Lögin gilda einnig um handvirka vinnslu persónuupplýsinga séu þær eða eigi þær að verða hluti af skrá. Í 1. gr. gildandi laga er gildissvið þeirra markað með nokkuð öðrum hætti. Þar segir að lögin taki til hvers konar kerfisbundinnar skráningar og annarrar meðferðar á persónuupplýsingum og að lögin eigi við hvort heldur sem skráning er vélræn eða handunnin. Með kerfisbundinni skráningu upplýsinga er átt við söfnun og skráningu ákveðinna og afmarkaðra upplýsinga í skipulagsbundna heild, sbr. 2. mgr. 1. gr. gildandi laga.
Afmörkun frumvarpsins á gildissviði nýrra laga tekur mið af ákvæðum 3. gr. tilskipunar ESB. Þar kemur fram að gildissvið hennar nær til meðferðar persónuupplýsinga sem er rafræn í heild eða að hluta, svo og til handunninnar meðferðar ef persónuupplýsingar eru eða eiga að verða hluti af skrá. Af ákvæðum frumvarpsins og tilskipunarinnar leiðir að efnislegt gildissvið nýrra laga verður rýmra en svið gildandi laga að því leyti að hugtakið „persónuupplýsingar“ skírskotar ekki lengur sérstaklega til eðlis upplýsinganna heldur á við um sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem tengja má beint eða óbeint við einstakling. Þá er sá munur á gildissviði að frumvarpið nær til sérhverrar rafrænnar vinnslu persónuupplýsinga án tillits til þess hvort afmörkuðum upplýsingum er safnað í skipulagsbundna heild eða ekki, en tekur hins vegar því aðeins til handunninnar meðferðar persónuupplýsinga að þær séu eða eigi að verða hluti af skrá. Af ákvæðum frumvarpsins leiðir þannig að megináherslan er lögð á vinnsluhugtakið en ekki skrárhugtakið.
IV.3. Nýtt heiti opinbers eftirlitsaðila.
Í 30. gr. gildandi laga nr. 121/1989 kemur fram að til þess að hafa eftirlit með framkvæmd laganna skuli dómsmálaráðherra skipa fimm manna nefnd sem í lögunum er kölluð tölvunefnd. Sú nafngift á að nokkru rót sína að rekja til þeirrar tækniþróunar sem varð tilefni lagasetningar um meðferð persónuupplýsinga bæði hérlendis og erlendis. Þótt nafngift þessi á eftirlitsaðilanum hafi áunnið sér nokkurn sess hér á landi og sé vel þekkt er hún eigi að síður nokkuð misvísandi og gefur ekki til kynna rétta mynd af hlutverki og starfsemi eftirlitsaðilans. Þykir því rétt að leggja til breytingu á heiti eftirlitsaðilans sem í frumvarpinu er kallaður Persónuvernd og tekur við því hlutverki sem tölvunefnd gegnir samkvæmt gildandi lögum.
IV.4. Tilkynningar í stað leyfisumsókna.
Samkvæmt lögum nr. 121/1989 er eftirlit tölvunefndar með því að farið sé að ákvæðum laganna m.a. framkvæmt með fyrirbyggjandi ráðstöfunum, þ.e. leyfisveitingum þar sem skráning persónuupplýsinga er heimiluð með skilmálum sem nefndin metur nauðsynlega hverju sinni. Í frumvarpinu er lagt til að dregið verði úr hinum fyrirbyggjandi ráðstöfunum en þess í stað lögð aukin áhersla á eftirfarandi ráðstafanir og úrræði. Hið nýja fyrirkomulag samkvæmt frumvarpinu byggist á þremur meginatriðum:
Í fyrsta lagi er mælt fyrir um skyldu til að tilkynna um ákveðnar tegundir vinnslu persónuupplýsinga, sbr. ákvæði 31. gr. frumvarpsins. Í tilkynningu skulu ákveðnar grunnupplýsingar koma fram, sbr. ákvæði 32. gr., og Persónuvernd skal halda sérstaka skrá um allar innsendar tilkynningar, sbr. ákvæði 1. mgr. 17. gr. Skal skrá þessi vera aðgengileg almenningi með þeirri aðferð sem Persónuvernd ákveður. Þær upplýsingar sem fram eiga að koma í tilkynningunni þjóna m.a. þeim tilgangi að Persónuvernd geti metið hvort og þá hvernig hún hefur eftirlit með þeirri vinnslu sem tilkynnt hefur verið.
Í öðru lagi er mælt fyrir um að þeir sem vinna með persónuupplýsingar eigi að tryggja öryggi við vinnsluna og gæði upplýsinganna, sbr. ákvæði 11. gr. frumvarpsins. Mikilvægur þáttur í því er sú skylda sem lögð er á ábyrgðaraðila að viðhafa innra eftirlit og gera reglulega skýrslu um það, sbr. ákvæði 12. gr. frumvarpsins.
Í þriðja lagi er Persónuvernd veitt heimild til að stöðva ólögmæta vinnslu eða mæla fyrir um önnur úrræði til að tryggja að vinnsla fullnægi skilyrðum laga, sbr. almenn ákvæði 40. gr. þar að lútandi. Meðal nýmæla í þeim efnum er ákvæði 41. gr. sem veitir Persónuvernd heimild til að leggja dagsektir á þann sem ekki hlítir fyrirmælum hennar.
Til viðbótar því sem hér var nefnt skal þess getið að í frumvarpinu er gert ráð fyrir að Persónuvernd gegni þýðingarmiklu hlutverki við að leiðbeina þeim um persónuvernd sem ráðgera að vinna með persónuupplýsingar eða þróa kerfi fyrir slíka vinnslu. Er í því sambandi m.a. haft í huga að stofnunin aðstoði við gerð starfs- og siðareglna fyrir einstaka hópa og starfsstéttir, sbr. ákvæði 5. tölul. 2. mgr. 37. gr. frumvarpsins.
Þótt gert sé ráð fyrir því í frumvarpinu að dregið verði verulega úr leyfisveitingum er ekki horfið með öllu frá því fyrirkomulagi, sbr. ákvæði 2. mgr. 33. gr. frumvarpsins þar sem mælt er fyrir um leyfisskylda vinnslu. Einnig er lagt til í 45. gr. frumvarpsins að söfnun og skráning upplýsinga sem varða fjárhagsmálefni lögaðila, í því skyni að miðla þeim til annarra, verði leyfisskyld. Þessi starfsemi er leyfisskyld samkvæmt gildandi lögum. Tilskipun ESB tekur ekki til upplýsinga um lögaðila og því er ekki tilefni til að gera breytingar að þessu leyti.
IV.5. Efnisreglur um meðferð persónuupplýsinga.
Í gildandi lögum er ekki að finna margar efnisreglur sem mæla fyrir um það hvernig fara má með persónuupplýsingar. Úr því hefur að nokkru verið bætt í tíð gildandi laga með ítarlegum skilmálum sem tölvunefnd hefur sett um starfsemi leyfisskyldra aðila og þeirra sem sækja um heimildir til einstakra aðgerða. Í frumvarpinu eru gerðar verulegar breytingar að þessu leyti því að þar er að finna mörg ný ákvæði sem hafa að geyma efnisreglur. Koma þær reglur einkanlega fram í 7. gr. frumvarpsins.
IV.6. Aukin réttindi hins skráða.
Í gildandi lögum er í aðalatriðum reynt að vernda friðhelgi einkalífs hinna skráðu með tvenns konar aðferðum: Í fyrsta lagi með því opinbera eftirliti sem lög nr. 121/1989 gera ráð fyrir og falið er tölvunefnd og í öðru lagi með réttindum sem hinum skráða eru fengin í hendur og þjóna þeim tilgangi að hann geti sjálfur gætt réttar síns. Má hér sem dæmi nefna rétt hins skráða til aðgangs að upplýsingum sem hann sjálfan varða. Í frumvarpinu er gert ráð fyrir að réttindi þeirra sem upplýsingar varða, þ.e. hinna skráðu, verði stórlega aukin og birtist það með þrennum hætti í frumvarpinu:
Í fyrsta lagi með því að ábyrgðaraðila er að eigin frumkvæði gert skylt að framkvæma ýmsar ráðstafanir sem hafa það að markmiði að tryggja að hinn skráði geti nýtt sér réttindi sín samkvæmt lögunum. Dæmi um þetta eru ákvæði 20. og 21. gr. frumvarpsins þar sem sú skylda er lögð á ábyrgðaraðila að veita hinum skráða fræðslu um tiltekin atriði þegar safnað er upplýsingum um hann.
Í öðru lagi eru hinum skráða veitt nokkur ný eða rýmkuð réttindi sem hann verður sjálfur að hafa frumkvæði að nýta sér. Hér má sem dæmi nefna ákvæði 16. gr. um rétt manna til almennrar vitneskju um vinnslu persónuupplýsinga, ákvæði 22. gr. um rétt hins skráða til þess að krefjast rökstuðnings fyrir ákvörðun skv. 23. gr. og um rétt til þess að krefjast þess að ákvörðun sem hefur alfarið byggst á rafrænni vinnslu verði handunnin, sbr. ákvæði 27. gr. frumvarpsins.
Í þriðja lagi felst í því réttaröryggi fyrir almenning að Persónuvernd skal samkvæmt ákvæðum 1. mgr. 17. gr. frumvarpsins halda skrá yfir alla þá vinnslu sem henni er tilkynnt um, sbr. 31. gr., og vinnslu sem hún heimilar, sbr. 33. gr. frumvarpsins. Í 2. mgr. 17. gr. kemur fram að skrá þessi skal vera aðgengileg almenningi. Er það Persónuverndar að ákveða hvernig það verður gert og kemur mjög til álita að skráin verði m.a. aðgengileg á netinu.
IV.7. Aukið sjálfstæði eftirlitsaðilans.
Eftirlit með framkvæmd laga nr. 121/1989 er samkvæmt ákvæðum 30. gr. þeirra laga falið tölvunefnd. Nefndin hefur verið vistuð í dómsmálaráðuneytinu og hafa starfsmenn þess haft með höndum starf ritara og í seinni tíð framkvæmdastjóra nefndarinnar. Hefur dómsmálaráðuneytið og lagt nefndinni til húsnæði og aðra starfsaðstöðu. Þótt nefndin hafi samkvæmt þessu verið í miklum tengslum við dómsmálaráðuneytið hefur hún verið sjálfstæð í störfum sínum og birtist það fyrst og fremst í því að úrlausnir hennar samkvæmt lögum nr. 121/1989 verða ekki bornar undir aðrar stjórnvaldsstofnanir. Þannig verður þeim t.d. ekki skotið til dómsmálaráðuneytis eða dómsmálaráðherra til endurskoðunar.
Með frumvarpi þessu er lagt til að við verkefnum tölvunefndar taki sjálfstæð ríkisstofnun sem í frumvarpinu er nefnd Persónuvernd. Styðst sú skipan mála í aðalatriðum við tvenns konar rök. Í fyrsta lagi hafa verkefni tölvunefndar vaxið gríðarlega síðustu árin. Þykir nauðsynlegt að bregðast við þeirri aukningu með því að fjölga þeim sem við þennan málaflokk starfa og tryggja því starfsliði þann aðbúnað sem nauðsynlegur er til þess að hafa megi virkt eftirlit með framkvæmd laganna. Í öðru lagi má nefna þá áherslu sem tilskipun ESB leggur á sjálfstæði eftirlitsaðilans, sbr. einkum ákvæði 2. mgr. 28. gr. hennar. Má gera ráð fyrir að sjálfstæði eftirlitsaðilans sé bæði sýnilegra og virkara ef rofin eru þau tengsl milli hans og dómsmálaráðuneytisins sem verið hafa, önnur en þau tengsl sem leiða af því að þessi málaflokkur heyrir undir dómsmálaráðuneytið og að vald til þess að setja reglugerð um framkvæmd laganna er hjá dómsmálaráðherra.
IV.8. Reglur um vöktun.
Tækniþróun hefur í seinni tíð gert það kleift að fylgjast með þegnum samfélagsins með nýjum og áður óþekktum aðferðum. Löggjöf hér á landi hefur á hinn bóginn ekki fylgt þeirri þróun eftir sem skyldi. Er því tímabært við setningu nýrra laga um vernd persónuupplýsinga að bregðast við svo sem gert er í frumvarpi þessu, en það hefur að geyma ýmis ákvæði um vöktun. Vísast um það efni til ákvæða 6. tölul. 2. gr. og ákvæða 3. og 4. gr. frumvarpsins og skýringa við þær greinar.
V. NOKKUR MEGINSJÓNARMIÐ VIÐ SAMNINGU FRUMVARPSINS
V.1.1. Hugtakið persónuupplýsingar.
Í gildandi lögum um skráningu og meðferð persónuupplýsinga er hugtakið „persónuupplýsingar“ skilgreint í 1. gr. Sú skilgreining tekur bæði mið af eðli upplýsinganna og því hvort unnt er að tengja upplýsingarnar við tiltekinn aðila. Að því er eðli upplýsinganna varðar segir í 3. mgr. 1. gr. að með persónuupplýsingum sé átt við upplýsingar sem varða einkamálefni, fjárhagsmálefni eða önnur málefni einstaklinga, stofnana, fyrirtækja eða annarra lögpersóna sem sanngjarnt er og eðlilegt að leynt fari. Hvað tengsl upplýsinganna við tiltekinn aðila varðar segir í 4. mgr. 1. gr. að ákvæði laganna eigi við um upplýsingar um einkamálefni er varða tiltekinn aðila, þótt hann sé ekki nafngreindur, ef hann er sérgreindur með nafnnúmeri, kennitölu eða öðru skráningarauðkenni sem unnt er að persónugreina með eða án greiningarlykils.
Framangreind skilgreining gildandi laga er önnur en skilgreining tilskipunar ESB. Í a-lið 2. gr. eru persónuupplýsingar skilgreindar. Þar segir: „personal data shall mean any information relating to an identified or identifiable natural person (data subject); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an idenfication number or to one or more factos specific to his physical, physiological, mental, economic, cultural og social identity.“
Það sem skilur á milli skilgreiningar gildandi laga og skilgreiningar tilskipunarinnar er í aðalatriðum tvennt: Í fyrsta lagi það að tilskipunin nær einungis til einstaklinga en gildandi lög ná bæði til einstaklinga og lögpersóna. Í öðru lagi er í tilskipuninni ekki skírskotað sérstaklega til eðlis upplýsinganna eins og gert er í gildandi lögum.
Í frumvarpinu er hugtakið persónuupplýsingar skilgreint í 1. tölul. 2. gr. Segir þar að persónuupplýsingar séu sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, þ.e. hins skráða. Með skilgreiningu frumvarpsins er leitast við að tryggja fullt samræmi milli íslenskra laga annars vegar og alþjóðlegra skuldbindinga hins vegar. Hins vegar er rétt að vekja athygli á því að í frumvarpinu er skilgreint sérstaklega hvað séu viðkvæmar persónuupplýsingar, sbr. 8. tölul. 2. gr. Gilda að mörgu leyti aðrar reglur um meðferð slíkra upplýsinga en persónuupplýsinga almennt, sbr. 8. og 9. gr. frumvarpsins.
V.1.2. Vernd lögpersóna.
Ákvæði tilskipunar ESB standa í sjálfu sér ekki í vegi fyrir því að gildissvið nýrra íslenskra laga nái til upplýsinga um lögpersónur. Er lagt til í 45. gr. að í reglugerð verði nánar mælt fyrir um heimild til söfnunar og skráningar upplýsinga sem varða fjárhagsmálefni og lánstraust fyrirtækja og annarra lögaðila í því skyni að miðla þeim til annarra. Einnig er lagt til að þessi starfsemi verði leyfisskyld og um hana gildi nánar tilgreind ákvæði frumvarpsins.
V.1.3. Vernd látinna manna.
Í gildandi lögum er ekki berum orðum tekin afstaða til þess að hve miklu leyti látnir einstaklingar njóta verndar laganna. Má því segja að réttarstaðan hér á landi sé ekki fyllilega ljós að því leyti. Almennt hefur þó verið gengið út frá því í íslenskum rétti að látnir einstaklingar njóti friðhelgi um einkalíf sitt ekki síður en lifandi menn. Hefur tölvunefnd byggt á því í störfum sínum, t.d. að því er varðar aðgang að heilsufarsupplýsingum um látna menn í tengslum við framkvæmd vísindarannsókna á heilbrigðissviði. Í þessu sambandi verður og að hafa í huga að ný tækni á sviði erfðavísinda gerir það brýnna en ella að tekin sé afstaða til þess í persónuverndarlöggjöf að hve miklu leyti upplýsingar um látna menn falli undir gildissvið laganna því að upplýsingar um látna menn geta veitt mjög mikilvægar og afdrifaríkar upplýsingar um lifandi menn.
Með framangreind rök í huga er á því byggt í frumvarpi þessu, þótt ekki segi það berum orðum í frumvarpstextanum sjálfum, að skráðar upplýsingar um látna menn falli undir gildissvið laganna einkum ef þær geta veitt upplýsingar um lifandi menn. Á það t.d. við um upplýsingar um arfgenga sjúkdóma. Teljast slíkar upplýsingar þá ótvírætt persónuupplýsingar í skilningi laganna.
V.1.4. Meðferð persónuupplýsinga – skrárhugtakið.
Gildandi lög heita lög um skráningu og meðferð persónuupplýsinga. Í 1. mgr. 1. gr. þeirra kemur fram að lögin taka til hvers konar kerfisbundinnar skráningar og annarrar meðferðar á persónuupplýsingum og að lögin eigi við hvort heldur sem skráningin er vélræn eða handunnin. Í gildandi lögum er hugtakið meðferð persónuupplýsinga ekki skilgreint nánar en hins vegar er skilgreint hvað átt er við með kerfisbundinni skráningu. Hefur áherslan hvað varðar efnislegt gildissvið laganna þannig einkum verið lögð á skrárhugtakið. Þótt gildandi lög skilgreini ekki hugtakið meðferð er eigi að síður að finna nokkur ákvæði í lögunum sem varða meðferð upplýsinga, einkum þegar unnið er með upplýsingar fyrir aðra, sbr. ákvæði V., VI. og VII. kafla laganna.
Í tilskipun ESB hefur skrárhugtakið ekki sömu þýðingu og í lögunum nr. 121/1989 heldur er það vinnsla upplýsinganna sem mestu máli skiptir. Gilda ákvæði tilskipunarinnar um sérhverja sjálfvirka vinnslu persónuupplýsinga, en ná því aðeins til handunninna persónuupplýsinga að þær séu eða eigi að verða hluti af skrá. Er það orðað svo í 1. mgr. 3. gr.: „This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.“ Hugtakið persónuupplýsingaskrá er skilgreint í c-lið 2. gr. tilskipunarinnar, en þar segir: „personal data filing (filing system) shall mean any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis“. Af þessu má ljóst vera, eins og áður segir, að skrárhugtakið hefur samkvæmt tilskipun ESB mun minni þýðingu en það hefur samkvæmt gildandi íslenskum lögum.
Í Evrópuráðssamningnum frá 1981 er nálgunin nokkuð önnur en í tilskipun ESB. Þar segir í b-lið 2. gr. að vélræn skrá sé sérhverjar upplýsingar sem unnar séu vélrænt. Skrárhaldari merkir í d-lið 2. gr. „þann mann eða lögaðila, stjórnvald eða hverja aðra stofnun sem er bær samkvæmt landslögum að ákveða markmið með vélrænu skránni, hvers konar persónuupplýsingar eigi að geyma og hvaða aðgerðum megi beita“.
Hin öra þróun á sviði tölvutækni hefur leitt til þess að skrárhugtakið er ekki lengur eins hentugt við að afmarka efnislegt gildissvið persónuverndarlaga og það var þegar gildandi lög voru sett árið 1989. Er því í frumvarpi þessu lagt til að hin nýju lög gildi um sérhverja vinnslu persónuupplýsinga óháð þeirri aðferð eða tækni sem notuð er við vinnsluna. Lögin gilda þó ekki um handvirka vinnslu persónuupplýsinga nema þær séu eða eigi að verða hluti af skrá, sbr. 1. mgr. 3. gr. frumvarpsins. Er þetta í samræmi við afmörkun tilskipunar ESB.
Hugtakið vinnsla persónuupplýsinga er skilgreint í b-lið 2. gr. tilskipunar ESB. Þar segir að vinnsla (processing of personal data) „shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, storage, adaption or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destructure“. Er það eins og áður segir meginregla að reglur tilskipunarinnar gilda um alla vélræna vinnslu persónuupplýsinga í heild eða að hluta, en því aðeins um handunna vinnslu að upplýsingarnar séu eða eigi að verða hluti af skrá. Frá meginreglunni gilda þær undantekningar sem greinir í 2. mgr. 3. gr. Í Evrópuráðssamningnum frá 1981 er vélræn vinnsla skilgreind í c-lið 2. gr. sem eftirfarandi aðgerðir séu þær framkvæmdar að öllu leyti eða nokkru leyti með vélrænum hætti: geymsla upplýsinga, framkvæmd rökrænna og/eða reikningslegra aðgerða á þeim, breyting, afmáun, uppfletting eða dreifing.
Í 2. tölul. 2. gr. frumvarpsins er hugtakið vinnsla skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er rafræn eða handvirk. Eins og fram kemur í athugasemdum við 2. gr. er vinnsluhugtakið ákaflega rúmt. Undir það geta fallið mismunandi og ólíkar aðgerðir eða röð aðgerða en engan veginn er sjálfgefið að sömu reglur gildi um hinar mismunandi tegundir vinnslu. Af ákvæðum frumvarpsins leiðir að það er hugtakið vinnsla sem afmarkar efnislegt gildissvið nýrra laga, sbr. nánar ákvæði 1. mgr. 3. gr. þess. Er þetta til samræmis við tilskipun ESB og er vinnsluhugtakið í frumvarpinu skilgreint á sama hátt og í tilskipuninni, sbr. nánar athugasemdir við 2. tölul. 2. gr.
Af skilgreiningu frumvarpsins á hugtakinu vinnsla leiðir að vinnsla getur verið hvort heldur sem er aðgerð eða röð aðgerða. Vinnsla getur t.d. falið í sér söfnun, skráningu, varðveislu, samtengingu og breytingu, miðlun og eyðingu upplýsinga. Vísindamaður sem safnar og skráir persónuupplýsingar um afmarkaðan hóp manna, tengir þær upplýsingar við upplýsingar í öðrum skrám, vinnur úr upplýsingunum og varðveitir þær síðan t.d. í því skyni að nálgast úrtakið aftur, telst vinna með persónuupplýsingar í skilningi laganna.
V.1.5. Vinnsla af hálfu einkaaðila og opinberra aðila.
Af ákvæðum 1. mgr. 1. gr. gildandi laga leiðir að þau taka til skráningar bæði af hálfu einkaaðila og opinberra aðila. Einkenni tilskipunar ESB er það að reglur hennar gilda bæði um opinbera aðila og einkaaðila. Með því er í fyrsta lagi leitast við að samræma efnisreglur ólíkra landa sem skilgreina hugtökin einkaaðili og opinber aðili með mismunandi hætti. Í öðru lagi liggur það til grundvallar tilskipuninni að réttarvernd hins almenna borgara eigi ekki að vera misjöfn eftir því hver það er sem vinnur með upplýsingar um hann. Í 1. mgr. 3. gr. Evrópuráðssamningsins frá 1981 kemur fram að aðilar takast á hendur að láta þann samning ná til vélrænna skráa með persónuupplýsingum og vélrænnar vinnslu á persónuupplýsingum hjá opinberum aðilum og einkaaðilum.
Í frumvarpi þessu er við það miðað að reglur þess gildi um vinnslu af hálfu einkaaðila og opinberra aðila. Er því ekki um neina efnisbreytingu að ræða miðað við gildandi lög. Í þessu sambandi ber að hafa í huga að vinnsla af hálfu einkaaðila getur, ekki síður en vinnsla af hálfu opinberra aðila, haft afdrifaríkar afleiðingar í för með sér fyrir hinn skráða. Þar við bætist að þeirrar tilhneigingar gætir í auknum mæli að fela einkaaðilum ýmsa starfsemi sem hið opinbera hefur haft með höndum, hvort heldur sem er starfsemina í heild eða einungis að hluta.
Hins vegar er ekki sjálfgefið að sömu reglum verði alfarið beitt um þessa aðila í framkvæmd laganna. Þannig má annars vegar benda á að um starfsemi opinberra aðila gilda auk ákvæða frumvarpsins, ef að lögum verður, ákvæði annarra laga sem tryggja vernd einstaklingsins í skiptum sínum við ríkisvaldið, t.d. ákvæði stjórnsýslu- og upplýsingalaga. Einstaklingurinn á almennt ekki val um það hvort hann á skipti við ríkisvaldið í lögbundinni starfsemi þess en að öllu jöfnu ræður hann því hins vegar sjálfur hvort hann skiptir við einkaaðila eða ekki. Auk þess gætir samkeppnissjónarmiða meira þegar um starfsemi einkaaðila er að ræða. Öll þessi atriði geta leitt til þess að við framkvæmd laganna gildi mismunandi reglur eftir því hvort í hlut eiga einkaaðilar eða opinberir aðilar.
Af skilgreiningu 1. mgr. 1. gr. laga nr. 121/1989 leiðir að ákvæði þeirra ná ekki til skráningar af hálfu einstaklinga. Hins vegar leiðir það jafnframt af athugasemdum greinargerðar með frumvarpi til þeirra laga að einstaklingum er óheimil skráning þeirra upplýsinga sem falla undir ákvæði laganna nema þeir hafi með höndum einhverja þá starfsemi sem réttlætir slíka skráningu, sbr. 3. gr. laganna. Í 2. mgr. 3. gr. tilskipunar ESB kemur fram að ákvæði hennar eiga ekki við um vinnslu upplýsinga af hálfu „natural person in the course of a purely personal or household activity“. Slík regla er eðlileg og sér hennar stað í ákvæðum 2. mgr. 3. gr. frumvarpsins. Þar kemur fram að lögin gildi ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða eru eingöngu ætlaðar til persónulegra nota. Vísast að öðru leyti til athugasemda við 3. gr. frumvarpsins um þetta atriði.
V.1.6. Viðkvæmar persónuupplýsingar.
Hugtakið viðkvæmar persónuupplýsingar er ekki að finna í texta laga nr. 121/1989. Hins vegar segir í athugasemdum við 4. gr. laganna að sú grein fjalli um skráningu þeirra persónuupplýsinga sem séu taldar mönnum sérstaklega viðkvæmar. Má því segja að í gildandi lögum sé gert ráð fyrir að til séu persónuupplýsingar sem séu mönnum viðkvæmari en aðrar og að um þær upplýsingar gildi sérstakar reglur, bæði hvað varðar heimild til söfnunar og skráningar og um aðgang að þeim.
Í 8. gr. tilskipunar ESB kemur óbeint fram skilgreining á því hvaða persónuupplýsingar það eru sem eru mönnum sérstaklega viðkvæmar. Er sú skilgreining að mestu leyti í samræmi við 1. mgr. 4. gr. laga nr. 121/1989. Hið sama er að segja um skilgreiningu 6. gr. Evrópuráðssamningsins, þ.e. 1. mgr. 4. gr. gildandi laga er í samræmi við þá skilgreiningu.
Meginregla tilskipunar ESB er sú að óheimilt er að vinna með viðkvæmar persónuupplýsingar, sbr. 1. mgr. 3. gr. Frá þeirri meginreglu eru gerðar ákveðnar undantekningar í 2. mgr. 3. gr. Hið sama er að segja um 6. gr. Evrópuráðssamningsins, þ.e. vinnsla viðkvæmra persónuupplýsinga er bönnuð nema lög geri ráð fyrir viðeigandi verndarráðstöfunum.
Í 8. tölul. 2. gr. frumvarpsins er hugtakið viðkvæmar persónuupplýsingar skilgreint og er sú skilgreining í samræmi við skilgreiningu tilskipunar ESB. Af ákvæðum tilskipunarinnar leiðir að skylt er að setja sérstakar reglur um vinnslu viðkvæmra persónuupplýsinga. Sér þess t.d. stað í ákvæðum 33. gr. frumvarpsins. Rétt er að hafa í huga að upptalning tilskipunarinnar og frumvarpsins á því hvað séu viðkvæmar persónuupplýsingar er ekki nákvæmlega eins og í 1. mgr. 4. gr. gildandi laga. Til dæmis eru upplýsingar um stéttarfélagsaðild þar taldar til viðkvæmra persónuupplýsinga en svo er ekki í gildandi lögum. Að öðru leyti vísast til athugasemda við 8. tölul. 2. gr. frumvarpsins.
V.1.7. Landfræðilegt gildissvið.
Í 6. gr. frumvarpsins er landfræðilegt gildissvið þess markað. Vegna aðildar Íslands að EES og þeirrar ákvörðunar að fella tilskipun ESB 95/46/EC undir EES-samninginn er landfræðilegt gildissvið nýrra laga um vernd persónuupplýsinga markað á nokkuð annan hátt en gert er í gildandi lögum. Vísast um þetta til athugasemda við 6. gr. frumvarpsins.
V.2. Úrræði til að tryggja persónuvernd.
V.2.1. Almenn atriði.
Segja má að úrræði til að tryggja persónuvernd séu í aðalatriðum tvenns konar. Annars vegar eru sameiginleg úrræði sem opinberir eftirlitsaðilar beita í þágu einstaklinganna almennt. Það eru t.d. reglur sem áskilja leyfisveitingar, tilkynningar, eftirlitsferðir o.s.frv. Hins vegar eru úrræði sem hinn skráði nýtur sjálfur lögum samkvæmt og hefur á forræði sínu að ákveða hvort beitt er eða ekki. Má hér sem dæmi nefna réttinn til aðgangs að upplýsingum, réttinn til þess að krefjast leiðréttingar eða eyðingar upplýsinga o.s.frv.
Misjafnt er hversu vel almenningi er kunnugt um réttindi sín samkvæmt lögum um vernd persónuupplýsinga. Þá þróun má sjá fyrir að magn þeirra upplýsinga sem unnið er um einstaklinga mun aukast mjög á komandi árum. Getur það því að óbreyttum lögum orðið mjög erfitt fyrir hinn almenna borgara að gæta réttar síns sjálfur þannig að viðunandi sé. Eitt af meginsjónarmiðunum við samningu frumvarps þessa er að búa þannig um hnútana að almenningur eigi auðveldara en nú er að gæta réttar síns sjálfur. Sér þessa einkum stað í 17. gr. frumvarpsins um skrá um skrár. Þá má og benda á ákvæði frumvarpsins um skyldu ábyrgðaraðila til þess að leiðrétta, eyða og bæta við upplýsingar.
V.2.2. Opinber skrá um tilkynningar og leyfisveitingar.
Í 2. mgr. 21. gr. tilskipunar ESB er lögð sú skylda á aðildarríkin að sjá til þess að opinber eftirlitsaðili haldi opinbera skrá um þær tilkynningar sem berast skv. 18. gr. tilskipunarinnar. Tilskipunin hefur einnig að geyma ákvæði um hvaða lágmarksupplýsingar slík opinber skrá skal hafa að geyma, þ.e. upplýsingar þær sem greinir í a–e-liðum 1. mgr. 19. gr. Í Evrópuráðssamningnum er gert ráð fyrir að hinn skráði njóti svipaðs réttar og hér kemur fram í tilskipuninni, sbr. ákvæði a-liðar 1. mgr. 8. gr. Evrópuráðssamningsins. Þar segir að sérhverjum manni skuli gert unnt að staðreyna að vélræn skrá með persónuupplýsingum sé fyrir hendi, aðaltilgang hennar, svo og vitneskju um hver sé skrárhaldari og fast heimili hans eða aðalstarfsstaður. Hins vegar leggur Evrópuráðssamningurinn ekki beina skyldu á aðildarríkin að sjá til þess að slík opinber skrá verði mynduð.
Í samræmi við ákvæði tilskipunar ESB og anda Evrópuráðssamningsins er í 17. gr. frumvarps þessa mælt fyrir um myndun opinberrar skrár um veittar heimildir og mótteknar tilkynningar. Um efni skrárinnar og aðgengi að henni vísast til 17. gr. og athugasemda við þá grein. Telja verður að skrá eins og sú sem hér um ræðir geti verið áhrifaríkt tæki fyrir hinn almenna borgara til að gæta réttar síns að því er varðar vinnslu persónuupplýsinga um hann. Í fyrsta lagi er slík skrá til þess fallin að veita einstaklingunum betri sýn yfir það hvar ætla megi að upplýsingar um þá séu skráðar og hvers eðlis þær upplýsingar eru. Í öðru lagi er tilvist slíkrar skrár nauðsynlegt tæki fyrir hina skráðu við að gæta réttar síns, t.d. að því er varðar aðgang að upplýsingum, leiðréttingu þeirra og eyðingu. Í þriðja lagi er slík skrá til þess fallin að gera bæði stjórnkerfið og starfsemi einkaaðila opnari og gegnsærri en ella. Þótt við það sé miðað að Persónuvernd haldi slíka skrá og beri ábyrgð á henni er ekkert því til fyrirstöðu að hún feli öðrum aðilum framkvæmd einstakra þátta varðandi skrárhaldið, ef þörf krefur.
V.2.3. Skylda til að veita almenna vitneskju um vinnslu persónuupplýsinga þótt ekki sé um tilkynningarskylda vinnslu að ræða.
Í 16. gr. frumvarpsins er mælt fyrir um skyldu ábyrgðaraðila til þess að veita hverjum sem þess óskar almenna vitneskju um þá vinnslu persónuupplýsinga sem fram fer á hans vegum. Frumvarpsgrein þessi byggist á 3. mgr. 21. gr. tilskipunar ESB, en sambærilegt ákvæði er hvorki að finna í gildandi lögum né í Evrópuráðssamningnum frá 1981.
Ákvæði þetta hefur það að markmiði að tryggja og auka vernd hins skráða með því að létta honum að gæta sjálfur réttar síns. Um nánari rök fyrir reglunni vísast til athugasemda við 16. gr. Upplýsingar þær sem hér um ræðir eru svo almenns eðlis að auðvelt hlýtur að vera fyrir ábyrgðaraðila að veita þær. Er ákvæðið því engan veginn til þess fallið að auka úr hófi fram vinnu og kostnað ábyrgðaraðila við framkvæmd starfa síns þegar litið er til þeirra miklu hagsmuna hins skráða af því að fá slíkar upplýsingar sem hér um ræðir.
V.2.4. Réttur hins skráða til aðgangs að upplýsingum um sjálfan sig.
Mælt er fyrir um rétt hins skráða til aðgangs að upplýsingum um sjálfan sig í 18. gr. frumvarpsins sem byggist á 12. gr. tilskipunar ESB. Um undantekningar frá slíkum rétti ræðir hins vegar í 19. gr. sem byggist á 13. gr. tilskipunarinnar. Ákvæði svipaðs efnis er í b-lið 8. gr. Evrópuráðssamningsins. Þar segir að sérhverjum manni skuli gert unnt að fá með hæfilegu millibili og án óhæfilegs dráttar eða kostnaðar staðfestingu á því hvort persónuupplýsingar um hann séu geymdar í vélrænni skrá, enda sé honum skýrt frá slíku á skiljanlegan hátt.
Eins og fram kemur í athugasemdum við 18. gr. frumvarpsins rýmkar ákvæði þetta og skerpir þann rétt sem skráðir aðilar njóta nú skv. IV. kafla laga nr. 121/1989. Það er almennt viðurkennt að eitt áhrifaríkasta úrræðið til þess að koma í veg fyrir vinnslu rangra og villandi upplýsinga, eða upplýsinga sem óheimilt er að vinna með, sé að veita skráðum aðilum lagalegan rétt til þess að fá að kynna sér efni þeirra upplýsinga sem um þá hafa verið skráðar. Styðst ákvæði frumvarpsgreinarinnar, sem eins og fyrr segir á sér fyrirmynd í tilskipun ESB og Evrópuráðssamningnum, við þetta sjónarmið.
Reglan um rétt hins skráða til aðgangs að upplýsingum um sjálfan sig kemur fram í 9. gr. gildandi laga. Nær réttur hins skráða til þess að fá vitneskju um hvort hann er á skrá og hvað hefur verið skráð um hann þar. Ákvæði frumvarpsgreinarinnar er rýmra að því leyti að samkvæmt henni á hinn skráði til viðbótar rétt á að fá upplýsingar um tilgang vinnslu, hver fái eða muni fá upplýsingar um hann, hvaðan upplýsingarnar komi og hvaða öryggisráðstafanir séu viðhafðar við vinnslu. Benda má á að þegar um er að ræða aðgang aðila máls að gögnum í vörslu stjórnvalds gilda um það sérákvæði stjórnsýslulaga og eftir atvikum upplýsingalaga.
Í 9. og 11. gr. gildandi laga er að finna takmarkanir á rétti hins skráða til aðgangs að upplýsingum um sjálfan sig en slík ákvæði eru í 19. gr. frumvarpsins sem fyrr segir. Vera kann að þegar tiltekinn aðili fær upplýsingar um sjálfan sig séu honum jafnframt óbeint veittar upplýsingar um aðra menn þótt ekki séu efni til að neita um aðganginn af þeirri ástæðu. Hér má sem dæmi nefna að þegar manni eru veittar upplýsingar um erfðaeiginleika sína geta slíkar upplýsingar augljóslega sagt til um erfðaeiginleika annarra manna. Hvílir þá mikil siðferðileg ábyrgð á hinum skráða að umgangast upplýsingar um eigin erfðaeiginleika þannig að það skaði ekki annað fólk. Að öðru leyti vísast til athugasemda við 18. og 19. gr. frumvarpsins.
V.2.5. Upplýsingaskylda ábyrgðaraðila gagnvart hinum skráða.
Erfitt er að leggja mat á það í hversu mörgum skrám er að finna upplýsingar um þegna þjóðfélagsins, enda hefur ekki verið gerð sérstök könnun á því hér á landi. Datatilsynet í Noregi, sem er systurstofnun tölvunefndar, áætlar að þar í landi sé að finna upplýsingar um „meðal-Norðmanninn“ í um 500 skrám. Er ekki fjarri lagi að sú tala geti einnig verið raunhæf hér á landi. Það gefur því augaleið að erfitt hlýtur að vera fyrir hvern og einn einstakling að henda reiður á því hvar persónuupplýsingar um hann hafa verið skráðar og að sama skapi erfitt fyrir hann að nýta sér rétt sinn til aðgangs að slíkum upplýsingum. Í ljósi þeirra staðreynda sem hér hafa verið raktar ber að skoða ákvæði tilskipunar ESB um tilkynningarskyldu ábyrgðaraðila gagnvart skráðum aðilum. Er þar um að ræða skyldu til að veita upplýsingar, óháð því hvort borist hefur fyrirspurn frá hinum skráða eða ekki.
Reglur um upplýsingaskyldu ábyrgðaraðila gagnvart hinum skráða eru tvenns konar í tilskipun ESB og í frumvarpi þessu. Annars vegar er um að ræða fræðsluskyldu þegar upplýsingum er safnað hjá hinum skráða sjálfum og hins vegar viðvörunarskyldu þegar upplýsingum er safnað hjá öðrum en hinum skráða. Skal nú vikið nánar að þessum atriðum.
Um fræðsluskyldu þegar upplýsingum er safnað hjá hinum skráða sjálfum gilda ákvæði 10. gr. tilskipunar ESB. Kemur þar fram skylda ábyrgðaraðila til að fræða hinn skráða um hver sé ábyrgðaraðili og hver sé tilgangurinn með vinnslunni, auk annarra upplýsinga sem nánar eru tilgreindar í c-lið 10. gr. Eru ákvæði 20. gr. frumvarpsins byggð á 10. gr. tilskipunarinnar. Um frekari skýringar á gildissviði 20. gr. frumvarpsins vísast til athugasemda við þá grein.
Í 1. mgr. 11. gr. tilskipunar ESB eru ákvæði um viðvörunarskyldu ábyrgðaraðila gagnvart hinum skráða þegar upplýsingum er safnað hjá öðrum en honum sjálfum. Ber að veita viðvörun um sömu atriði og um ræðir í 10. gr. tilskipunarinnar og er viðvörunarskyldan óháð því hvort upplýsingunum verður miðlað áfram eða ekki. Í 2. mgr. 11. gr. tilskipunarinnar er að finna nokkrar undantekningar frá meginreglu 1. mgr.11. gr. Ákvæði 21. gr. frumvarpsins taka mið af 11. gr. tilskipunarinnar og eru mjög til þess fallin að styrkja réttarstöðu hins skráða. Með slíkri viðvörun sem um ræðir í ákvæðinu getur hinn skráði öðlast vitneskju um vinnslu persónuupplýsinga um sjálfan sig sem hann bjó ekki yfir áður. Gerir það honum auðveldara að beita rétti sínum samkvæmt lögunum. Um nánari skýringar á umfangi viðvörunarskyldunnar vísast til athugasemda við 21. gr. frumvarpsins.
V.2.6. Réttur hins skráða til að mótmæla tiltekinni vinnslu.
Í 14. gr. tilskipunar ESB eru reglur um rétt hins skráða til að mótmæla tiltekinni vinnslu persónuupplýsinga um hann sjálfan. Reglur 14. gr. verður að skoða í samhengi við ákvæði 15. gr. og ákvæði a-liðar 12. gr. sem vísar til 1. mgr. 15. gr. Ákvæði 14. gr. tilskipunarinnar byggjast á því grundvallarviðhorfi að það sé réttur hvers einstaklings að ráða sjálfur yfir upplýsingum sem hann sjálfan varða. Í frumvarpinu er ekki að finna ákvæði sem hafa beina samsvörun við hin tilvitnuðu ákvæði tilskipunarinnar, en telja verður að þau réttindi hins skráða sem hér um ræðir séu nægilega tryggð í ákvæðum 25. og 26. gr. frumvarpsins. Í 25. gr. er fjallað um leiðréttingu og eyðingu rangra og villandi persónuupplýsinga og í 26. gr. er fjallað um eyðingu og bann við notkun persónuupplýsinga sem hvorki eru rangar né villandi. Að því er varðar nánara inntak þessara réttinda hins skráða vísast til athugasemda við 25. og 26. gr. Þá verður og að ætla að þau réttindi sem um ræðir í 14. og 15. gr. tilskipunar ESB megi leiða af almennum ólögfestum sjónarmiðum og reglum um friðhelgi einkalífs og vernd persónuupplýsinga.
V.2.7. Réttur til að hafna ákvörðunum sem byggjast á sjálfvirkri vinnslu upplýsinga.
Í 1. mgr. 15. gr. tilskipunar ESB er fjallað um rétt einstaklingsins til þess að neita því að teknar séu um hann ákvarðanir sem grundvallast eingöngu á sjálfvirkri vinnslu upplýsinga. Segir þar: „Member States shall grant the right to every person not to be subject to a decision which produces legal effects concerning him or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him, such as his performance at work, creditworthiness, reliability, conduct, etc.“ Samkvæmt þessu byggist 15. gr. tilskipunarinnar í fyrsta lagi á því að í ákvörðun felist mat eða lýsing á persónulegum atriðum, í öðru lagi að ákvörðun hafi réttaráhrif gagnvart viðkomandi einstaklingi og í þriðja lagi að um sjálfvirka vinnslu upplýsinga sé að ræða. Frá reglu 1. mgr. 15. gr. eru undantekningar sem nánar eru tilgreindar í 2. mgr. 15. gr.
Ákvæði 27. gr. frumvarpsins taka mið af reglu 15. gr. tilskipunar ESB. Varðandi 15. gr. tilskipunar ESB er rétt að hafa í huga að hún fjallar aðeins um aðferðir þess sem ákvörðun tekur og takmarkar með engu móti rétt einstaklingsins til þess að láta reyna á gildi ákvörðunarinnar fyrir dómstólum. Þá er og mikilvægt að hafa í huga að þótt réttur skv. 1. mgr. 27. gr. til þess að neita sjálfvirkri vinnslu upplýsinga sé ekki fyrir hendi vegna ákvæða 2. mgr. 27. gr. hefur það engin áhrif á rétt einstaklingsins til þess að nýta sér málskotsreglur á stjórnsýslustigi að því er ákvörðunina sjálfa varðar ef málskotsheimild er á annað borð fyrir hendi. Að öðru leyti vísast til athugasemda við 27. gr. frumvarpsins.
V.2.8. Rökstuðningur ákvarðana sem byggja á sjálfvirkri vinnslu.
Í 12. gr. tilskipunar ESB kemur fram að sérhver einstaklingur skuli eiga rétt til þess að fá vitneskju um „the logic involved in any automatic processing of data concerning him at least in the case of the automated decisions referred to in Article 15(1)“. Tilvísunin til 15. gr. felur í sér að vinnslan þarf að hafa leitt til ákvörðunar sem hefur réttaráhrif gagnvart viðkomandi einstaklingi. Ákvæðið hefur því fyrst og fremst einkenni reglu sem mælir fyrir um rétt til eftirfarandi rökstuðnings þegar ákvörðun hefur verið tekin, en veitir ekki rétt til aðgangs að upplýsingum um reglukerfi sjálfvirkrar vinnslu áður en ákvörðun er tekin. Rökin að baki reglu 15. gr. tilskipunarinnar eru fyrst og fremst þau að beiting réttarreglna fer oft fram með sjálfvirkri úrvinnslu í tölvum. Það er því í raun hin sjálfvirka vinnsla með reglurnar sem ræður niðurstöðu í tilteknu máli. Er því eðlilegt að sá sem ákvörðun varðar eigi rétt til rökstuðnings fyrir niðurstöðunni þar sem gerð er grein fyrir því reglukerfi sem hin rafræna vinnsla byggist á og liggur ákvörðun til grundvallar.
Ákvæði 22. gr. frumvarpsins styðst við 12. gr. tilskipunar ESB og þau rök sem að framan greinir. Þar kemur fram að liggi fyrir sértæk ákvörðun sem að öllu leyti er byggð á rafrænni vinnslu persónuupplýsinga eigi sá sem ákvörðunin beinist að rétt til þess að krefjast rökstuðnings fyrir niðurstöðunni. Í rökstuðningi skal ábyrgðaraðili gera grein fyrir þeim reglum sem hin rafræna vinnsla byggist á og liggur ákvörðun til grundvallar. Að vissu marki kann slíkan rétt til rökstuðnings sem hér um ræðir nú þegar að leiða af ákvæðum stjórnsýslulaga um eftirfarandi rökstuðning. Er því ekki víst að frumvarpsákvæði þetta komi til með að breyta miklu í starfsemi hins opinbera. Hins vegar er ákvæði þetta til þess fallið að auka réttindi hins skráða í skiptum hans við ýmsa einkaaðila sem annast vinnslu persónuupplýsinga í skilningi frumvarpsins, t.d. þegar lagt er mat á greiðslugetu og lánstraust einstaklinga með sjálfvirkum aðferðum. Ber fyrst og fremst að skoða ákvæði þetta sem lið í þeirri viðleitni að auka réttindi skráðra aðila. Að öðru leyti vísast til athugasemda við 22. gr. frumvarpsins.
V.2.9. Réttur til að láta leiðrétta, eyða eða bæta við upplýsingar.
Í gildandi lögum um skráningu og meðferð persónuupplýsinga er á nokkrum stöðum mælt fyrir um rétt hins skráða til að krefjast þess að rangar eða villandi upplýsingar séu leiðréttar, þær afmáðar eða við þær bætt, eftir því sem við á hverju sinni, sbr. einkum ákvæði 14. og 20. gr. Þá hefur tölvunefnd skv. 33. gr. laganna víðtækar heimildir til að beita slíkum úrræðum þegar skráning eða upplýsingagjöf gengur í berhögg við ákvæði laganna að mati nefndarinnar.
Í b-lið 12. gr. tilskipunar ESB kemur fram að hinn skráði skuli eiga rétt á því að fá röngum upplýsingum breytt. Er það orðað svo að aðildarríkin skuli „guarantee every data subject the right to obtain from the controller: … (b) as appropriate the rectification, erasure or blocking of data the processing of which does not comply with the provisions of this Directive, in particular because of the incomplete or inaccurate nature of the data“. Ákvæði þetta verður að öðru leyti að skoða í samhengi við 6. gr. tilskipunarinnar sem m.a. áskilur að upplýsingar skuli unnar í sanngjörnum og lögmætum tilgangi. Í c-lið 12. gr. tilskipunarinnar er fjallað um skyldu ábyrgðaraðila til að senda tilkynningar til þriðja manns um leiðréttingar og aðrar aðgerðir sem framkvæmdar eru skv. b-lið 12. gr. Í 3. mgr. 28. gr. tilskipunarinnar eru ákvæði um heimildir eftirlitsstofnunar til að beita sömu úrræðum og hér um ræðir.
Í Evrópuráðssamningnum frá 1981 er mælt fyrir um svipuð réttindi hins skráða og hér um ræðir í c- og d-liðum 8. gr. Segir í c-lið að sérhverjum manni skuli gert unnt að fá, eftir því sem við á, leiðréttar eða afmáðar slíkar upplýsingar hafi þær verið unnar gagnstætt ákvæðum laga sem veita gildi þeim grundvallarreglum er um getur í 5. og 6. gr. samningsins. Er í 5. gr. samningsins fjallað um gæði upplýsinga og í 6. gr. um vinnslu viðkvæmra persónuupplýsinga. Í d-lið 8. gr. segir að sérhverjum manni skuli gert unnt að leita úrræða sé ekki orðið við beiðni hans um staðfestingu eða, eftir því sem við á, tilkynningu, leiðréttingu eða afmáun eins og greinir í b- og c-liðum þeirrar greinar.
Segja má að ákvæði frumvarps þessa um leiðréttingu og eyðingu persónuupplýsinga sé mjög í sama anda og ákvæði gildandi laga, en gangi þó heldur lengra. Í fyrsta lagi er afdráttarlaust tekið fram í 2. mgr. 25. gr. að Persónuvernd sé heimilt að banna notkun upplýsinga sem óheimilt er að eyða eða breyta vegna ákvæða annarra laga. Í öðru lagi ber ábyrgðaraðila skv. 1. mgr. 25. gr. að hindra eftir því sem honum er frekast unnt að það hafi áhrif á hagsmuni hins skráða ef röngum eða villandi upplýsingum hefur verið miðlað.
Í 26. gr. frumvarpsins eru ákvæði um eyðingu og bann við notkun persónuupplýsinga sem hvorki eru rangar né villandi. Kemur meginreglan fram í 1. mgr. 26. gr. en þar segir að þegar ekki er lengur málefnaleg ástæða til varðveislu persónuupplýsinga skuli ábyrgðaraðili eyða þeim. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða á því að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra. Sjá að öðru leyti athugasemdir við 26. gr. frumvarpsins.
V.3. Stjórnun og eftirlit.
V.3.1. Almenn atriði – gildandi réttur.
Lagareglur sem mæla fyrir um hvernig vinna má með persónuupplýsingar, þ.e. efnisreglur, veita ekki einar sér fullnægjandi tryggingu fyrir því að með persónuupplýsingar sé unnið samkvæmt fyrirmælum laga. Í vissum tilvikum getur verið nauðsynlegt að fylla almenn ákvæði laganna með ýmsum úrræðum, t.d. leyfisveitingum, tilkynningum, leiðbeiningum og upplýsingum, eins og áður hefur verið rakið.
Í lögum nr. 121/1989 er að meginstefnu til byggt á því sem kalla má leyfisveitingarfyrirkomulag við eftirlit með framkvæmd laganna. Það lýsir sér í fyrsta lagi í því að vinnsla viðkvæmra persónuupplýsinga, þ.e. þeirra upplýsinga sem falla undir skilgreiningu 1. mgr. 4. gr. laganna, er einungis heimil með leyfi tölvunefndar. Á það bæði við um heimild til skráningar og miðlunar upplýsinganna. Þetta gildir þó ekki ef sérstök lagaheimild stendur til skráningar eða miðlunar eða hinn skráði samþykkir skráningu eða miðlun upplýsinganna. Í öðru lagi kemur þetta fram í því að ákveðin starfsemi er því aðeins heimil að tölvunefnd veiti til hennar starfsleyfi, sbr. ákvæði V., VI., og VII. kafla laganna. Í þriðja lagi kemur þetta fram í því að tiltekin vinnsla eða meðferð persónuupplýsinga er því aðeins heimil að tölvunefnd veiti heimild til slíkrar meðferðar, sbr. t.d. ákvæði VIII. kafla laganna sem fjallar um söfnun upplýsinga hér á landi til úrvinnslu erlendis. Starfsleyfi þau sem tölvunefnd veitir eru yfirleitt á stöðluðu formi en taka að sjálfsögðu mið af sérstöku eðli þeirrar starfsemi sem hverju sinni fer fram. Hið sama gildir t.d. um þau leyfi sem nefndin veitir til vísindarannsókna, þ.e. þau eru yfirleitt stöðluð en taka mið af sérstöku eðli hverrar rannsóknar.
Efnisreglur, þ.e. reglur um það hvernig vinna má með persónuupplýsingar, eru fáar í gildandi lögum. Sem dæmi um efnisreglur má þó nefna ákvæði 4., 5. og 6. gr. sem varða vinnslu viðkvæmra persónuupplýsinga, þ.e. söfnun og skráningu, miðlun og samtengingu. Hið sama gildir um ýmis ákvæði VI., VII. og VIII. kafla laganna. Hins vegar hefur tölvunefnd í starfsleyfum sem hún gefur út og heimildum sem hún veitir til einstakra aðgerða sett ítarleg fyrirmæli um meðferð persónuupplýsinga og þannig mótað ákveðnar efnisreglur í framkvæmd. Þá hefur nefndin veitt bæði einkaaðilum og opinberum aðilum sem vinna með persónuupplýsingar ráðleggingar um atriði sem tengjast starfssviði nefndarinnar. Auk þess hefur nefndin eftirlit með framkvæmd laganna með þeim hætti sem nánar er fyrir mælt í X. kafla laganna og eftir atvikum einstökum greinum laganna.
V.3.2. Alþjóðlegar reglur.
Í 1. mgr. 4. gr. Evrópuráðssamningsins frá 1981 segir að sérhver aðili skuli gera nauðsynlegar ráðstafanir til þess að þær grundvallarreglur um upplýsingavernd sem greinir í II. kafla samningsins taki gildi. Skv. 10. gr. samningsins skal hver aðili setja reglur um hæfileg viðurlög og úrræði vegna brota á ákvæðum laga sem veita gildi þeim grundvallarreglum um upplýsingavernd sem greinir í II. kafla. Af ákvæðum 6. gr. leiðir að því aðeins má vinna með viðkvæmar persónuupplýsingar að lög geri ráð fyrir viðeigandi verndarráðstöfunum.
Í 18. og 19. gr. tilskipunar ESB er fjallað um tilkynningarskyldu ábyrgðaraðila gagnvart opinberum eftirlitsaðilum. Kemur þar fram meginreglan um að tilkynna ber um alla vélræna vinnslu upplýsinga, en tilkynningarskyldan gildir ekki um handunna vinnslu upplýsinga. Skv. 5. mgr. 18. gr. getur hvert aðildarríki hins vegar ákveðið að einstök eða öll handunnin vinnsla skuli lúta reglum um tilkynningarskyldu eða að um hana gildi einfaldari tilkynningarreglur en um vélræna vinnslu. Heimilt er að mæla fyrir um undantekningar frá tilkynningarskyldunni, sbr. ákvæði 2., 3. og 4. mgr. 18. gr. tilskipunarinnar. Þá er í tilskipuninni gert ráð fyrir strangara eftirliti (prior checking) þegar ákveðin tegund vinnslu á í hlut, sbr. 20. gr. tilskipunarinnar, þ.e. vinnsla sem skert getur réttindi hins skráða. Það er hins vegar hvers ríkis að ákveða hvaða vinnsla er líkleg til að skerða réttindi hins skráða. Af ákvæðum tilskipunarinnar leiðir að það er eftirlitsstofnunin sem veitir leyfið að fenginni umsókn frá ábyrgðaraðila.
V.3.3. Samspil efnis- og formreglna í frumvarpinu.
Þótt tilskipun ESB og aðrar alþjóðlegar reglur mæli fyrir um að eftirlit skuli haft með vinnslu persónuupplýsinga í aðildarríkjunum hefur hvert og eitt ríki nokkurt svigrúm til að ákveða hvaða aðferðir við eftirlit það velur og hvernig slíkar aðferðir tengjast innbyrðis. Er eðlilegt að eftirlitskerfið sé háð samspili efnisreglna og formreglna og æskilegt er að það skapi traust. Segja má að eftirlitskerfi laga nr. 121/1989 sé byggt upp af bæði efnisreglum og formreglum.
Frumvarpið byggist á svipuðum sjónarmiðum og gildandi lög að því leyti að í því er gert ráð fyrir samspili margs konar aðferða við eftirlit með framkvæmd laganna. Áfram er gert ráð fyrir tilvist leyfisveitinga, en úr umfangi þeirra er dregið. Í stað leyfisveitinga koma margvíslegar aðrar aðferðir, t.d. tilkynningar ásamt eftirliti af hálfu Persónuverndar, og gert er ráð fyrir að Persónuvernd gegni leiðbeiningar- og mótunarhlutverki á sviði persónuverndar, sbr. ákvæði 3.–6. tölul. 37. gr. frumvarpsins.
Efnisreglur eru fleiri í frumvarpinu en í gildandi lögum og er þeim ætlað að gegna þýðingarmiklu hlutverki við framkvæmd laganna. Hins vegar verður að hafa í huga að reglur frumvarpsins eru að sumu leyti mjög almennar. Því er í frumvarpinu gert ráð fyrir að dómsmálaráðherra setji í reglugerð nánari ákvæði um ýmis atriði sem varða framkvæmd laganna. Með sama hætti er Persónuvernd ætlað að setja reglur þar að lútandi. Þá er ábyrgðaraðilum ætlað að viðhafa strangt innra eftirlit, sbr. 12. gr. frumvarpsins, auk þess sem að því er stefnt með ákvæðum frumvarpsins, sbr. einkum 5. tölul. 3. mgr. 37. gr., að einstakir hópar og starfsstéttir sem vinna með persónuupplýsingar setji sér starfs- og siðareglur. Er mikilvægt að eftirlitsaðferðir og eftirlitsreglur frumvarpsins séu jafnan skoðaðar í samhengi, enda er þeim ætlað að vinna saman að því vernda og treysta friðhelgi einkalífs manna í tengslum við vinnslu persónuupplýsinga.
V.3.4. Tilkynningarskylda.
Í tilkynningarskyldunni felst að sá sem hyggst hefja rafræna vinnslu almennra persónuupplýsinga skal tilkynna eftirlitsaðila um vinnsluna áður en hún hefst. Þegar eftirlitsaðili hefur veitt tilkynningu viðtöku hefur hann færi á að grípa inn í atburðarásina ef hann telur þess þörf, eftir atvikum með því að ákveða skilmála vinnslu eða mæla fyrir um aðrar aðgerðir. Hversu langt hann gengur hverju sinni verður að ráðast af atvikum. Er rétt að hafa í huga að tilkynningin leggur ekki þá skyldu á herðar Persónuverndar að grípa inn í. Slíkt gerir hún einungis ef hún telur þess þörf. Það er annað einkenni tilkynningarskyldunnar að vinnsla getur hafist þótt ekki liggi fyrir samþykki Persónuverndar.
Hér á landi er engin reynsla af þeirri aðferð tilskipunar ESB að hafa eftirlit með framkvæmd laganna með reglum um tilkynningarskyldu. Ljóst má vera að þetta fyrirkomulag hefur bæði kosti og galla. Því er þýðingarmikið að vel sé vandað til kynningar á efni frumvarpsins, ef að lögum verður, þannig að ábyrgðaraðilar og aðrir þeir sem vinna með persónuupplýsingar geti gert sér glögga grein fyrir því hvenær vinnsla er tilkynningarskyld og hvenær hún er leyfisskyld.
Í tilskipun ESB er markaður ákveðinn rammi um hvaða vinnsla skuli vera tilkynningarskyld. Einstök lönd hafa hins vegar ákveðið svigrúm til þess að aðlaga tilkynningarskylduna aðstæðum í hverju landi. Tilkynningarskyldan þjónar í fyrsta lagi þeim tilgangi að koma á sambandi milli ábyrgðaraðila og Persónuverndar. Í öðru lagi veitir hún færi á að miðla upplýsingum til þeirra sem tilkynningarskyldir eru og getur þannig stuðlað að því að þeir geri sér betur grein fyrir skyldum sínum lögum samkvæmt. Í þriðja lagi hlýtur Persónuvernd m.a. á grundvelli innsendra tilkynninga að meta hvernig hún skipuleggur starf sitt og forgangsraðar verkefnum. Í fjórða lagi þjónar reglan um tilkynningarskylduna þeim tilgangi að gera almenningi kunnugt um þá vinnslu persónuupplýsinga sem fram fer í þjóðfélaginu.
Samkvæmt 31. gr. frumvarpsins er ábyrgðaraðili sem beitir rafrænni tækni við vinnslu persónuupplýsinga tilkynningarskyldur. Byggist frumvarpið að þessu leyti á sömu reglu og fram kemur í tilskipuninni. Um efni tilkynninga gilda ákvæði 32. gr. frumvarpsins. Vísast að öðru leyti til athugasemda við einstakar greinar VI. kafla frumvarpsins.
Eins og áður segir felst helsti munur tilkynningarskyldunnar annars vegar og leyfisskyldunnar hins vegar í því að hinn tilkynningarskyldi þarf ekki að bíða svars frá Persónuvernd eftir að hann hefur tilkynnt um fyrirhugaða vinnslu. Eftir að hafa fengið í hendur staðfestingu þess að Persónuvernd hafi móttekið tilkynninguna er honum heimilt að hefja vinnsluna. Mikilvægt er hins vegar að hafa í huga að móttaka tilkynningar felur hvorki í sér staðfestingu á né samþykki við því sem þar kemur fram heldur eru allar aðgerðir ábyrgðaraðila á hans eigin áhættu. Eðli málsins samkvæmt hlýtur það að taka Persónuvernd ákveðinn tíma að fara yfir innsendar tilkynningar. Því getur liðið nokkur tími frá því að vinnsla hefst og þar til Persónuvernd gerir athugasemdir eða grípur til annarra aðgerða. Það er hins vegar forsenda þess að tilkynningarkerfið virki að Persónuvernd hafi nægum mannafla á að skipa sem er í stakk búinn til þess að yfirfara tilkynningarnar eins og nauðsynlegt er. Þarf þá að taka afstöðu til þeirra lögfræðilegu og tæknilegu atriða sem fram koma í tilkynningunni.
V.3.5. Leyfisskylda.
Helsti kostur leyfisveitinga er sá að fyrirhuguð vinnsla er kynnt Persónuvernd áður en hún hefst. Gefst þannig færi á ítarlegri rannsókn fyrir fram og þannig má koma í veg fyrir mistök áður en þau verða. Ókosturinn er að starfskraftar Persónuverndar nýtast þá fyrst og fremst við að yfirfara innsendar leyfisumsóknir og afgreiða leyfi, en svigrúm til annarra verkefna er verulega skert. Er þetta ótvírætt sú reynsla sem tölvunefnd hefur af leyfisveitingarfyrirkomulagi gildandi laga. Annar ókostur er sá að afgreiðsla leyfisveitinga getur tekið langan tíma og sett vinnslu sem á endanum reynist í góðu lagi í biðstöðu meðan rannsókn fer fram.
Með framangreind sjónarmið í huga er á því byggt í frumvarpi þessu að fækka leyfisveitingum og gera meginþorra þeirra verkefna sem verið hafa leyfisskyld þess í stað tilkynningarskyld. Horfir það til skilvirkari stjórnsýslu og er sú lausn auk þess í góðu samræmi við ákvæði 20. gr. tilskipunar ESB.
V.3.6. Ráðgjöf og eftirlit.
Í 37. gr. frumvarpsins er fjallað um verkefni og sjálfstæði Persónuverndar. Þar kemur fram í 4. tölul. 3. mgr. að hlutverk stofnunarinnar er m.a. að skilgreina og afmarka hvar persónuvernd sé hætta búin og veita ráð um leiðir til lausnar. Skv. 5. tölul. 3. mgr. skal Persónuvernd leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar, m.a. við gerð starfs- og siðareglna.
Ráðgjafarhlutverk þetta verður að skoða með hliðsjón af öðrum verkefnum sem Persónuvernd er ætlað að sinna skv. 37. gr. Þar kemur t.d. fram í 3. tölul. 3. mgr. að henni er ætlað að fylgjast með almennri þróun á sviði persónuupplýsingaverndar á innlendum og erlendum vettvangi og hafa yfirsýn yfir og kynna helstu álitaefni sem tengjast vinnslu persónuupplýsinga. Þetta hlutverk Persónuverndar þarf m.a. að skoða í því ljósi að verði frumvarp þetta að lögum endurspeglar það erlenda réttarþróun á þessu sviði. Ný lög verður því að túlka til samræmis við það eðli laganna að þau eiga rót sína að rekja til alþjóðlegra skuldbindinga sem Íslendingum er skylt að leiða í lög. Virk þátttaka í erlendu samstarfi, einkum á vettvangi Evrópuráðsins og ESB vegna aðildar Íslands að EES-samningnum, er því óhjákvæmileg. Endurspeglast þetta viðhorf m.a. í ákvæðum 6. tölul. 3. mgr. 37. gr. þar sem fram kemur að Persónuvernd skal tjá sig samkvæmt beiðni eða að eigin frumkvæði um álitaefni varðandi meðferð persónuupplýsinga og veita umsagnir við setningu laga og annarra reglna sem hafa þýðingu fyrir persónuvernd.
V.3.7. Efnisreglur.
Með efnisreglum á sviði persónuupplýsingaverndar er eins og áður segir átt við lagareglur eða reglugerðarákvæði sem mæla beinlínis fyrir um það að með persónuupplýsingar megi eða megi ekki vinna á tiltekinn hátt. Sem dæmi um efnisreglur má nefna reglur um að við meðferð persónuupplýsinga sé þess gætt að þær séu unnar á sanngjarnan, málefnalegan og lögmætan hátt og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga.
Í sjálfu sér má segja að sú hætta sé jafnan fyrir hendi að efnisreglur á sviði persónuupplýsingaverndar verði of almennar og ómarkvissar og erfitt sé að orða efnisreglur sem eiga við um allar tegundir vinnslu. Eigi að síður hefur sú stefna verið mótuð í frumvarpi þessu að í nýjum lögum um persónuupplýsingar skuli hafa fleiri efnisreglur en nú eru í lögum nr. 121/1989. Fyrir þessu eru ýmsar ástæður. Í fyrsta lagi má segja að efnisreglur geti verið gagnlegar við túlkun annarra ákvæða laganna. Í öðru lagi geta þær verið til leiðbeiningar og haft varnaðaráhrif gagnvart ábyrgðaraðilum og öðrum sem með persónuupplýsingar vinna. Í þriðja lagi endurspegla slíkar reglur oft ýmis viðhorf og sjónarmið úr alþjóðlegum stefnuyfirlýsingum sem ekki skila sér inn í lagatexta með öðrum hætti, t.d. frá Sameinuðu þjóðunum og OECD. Í fjórða lagi eigar ýmsar efnisreglur frumvarpsins sér beint eða óbeint fyrirmynd í þeim skilmálum sem tölvunefnd hefur sett í starfsleyfum og einstökum heimildum.
Efnisreglur frumvarpsins eru margar hverjar bæði almennt orðaðar og byggjast á matskenndum sjónarmiðum. Því er ekki sjálfgefið að brot á slíkri reglu varði jafnan refsiábyrgð heldur geta annars konar viðurlög, t.d. viðbrögð af hálfu Persónuverndar, verið eðlilegra úrræði, en slíkt hlýtur jafnan að ráðast af atvikum hverju sinni. Skal nú vikið að nokkrum mikilvægum efnisreglum frumvarpsins.
V.3.7.1. Meðferð og vinnsla persónuupplýsinga.
Meginákvæði frumvarpsins um meðferð og vinnslu persónuupplýsinga er að finna í 7. og 8. gr. Ákvæðin miða að því að tryggja meðferð persónuupplýsinga og vinnslu þeirra í samræmi við sjónarmið um persónuvernd.
Í 7. gr. eru talin upp þau atriði sem ber að gæta við meðferð persónuupplýsinga. Í 8. gr. er síðan rakið hvenær vinnsla almennra persónuupplýsinga er heimil. Um nánari útlistun á efnisatriðum þessara ákvæða vísast til umfjöllunar um einstakar greinar frumvarpsins.
Í 9. gr. eru hins vegar reglur um vinnslu viðkvæmra persónuupplýsinga. Til viðbótar þeim tilvikum sem tilgreind eru í 1. mgr. getur Persónuvernd skv. 2. mgr. 9. gr. heimilað vinnslu slíkra upplýsinga í öðrum tilvikum, enda telji hún brýna almannahagsmuni mæla með því. Er henni þá heimilt að binda slíka heimild þeim skilmálum sem hún telur nauðsynlega hverju sinni til að tryggja hagsmuni hinna skráðu.
V.3.7.2. Notkun kennitölu.
Kennitala (áður nafnnúmer) hefur lengi verið notuð bæði hérlendis og erlendis og hefur sitt sýnst hverjum um gagnsemi hennar eða eftir atvikum skaðsemi. Ef hlutlægt er litið á málið felast kostir kennitölu í því að hún getur stuðlað að öruggari persónugreiningu en ella, þ.e. að tveimur eða fleiri einstaklingum sé ekki ruglað saman. Ókostir hennar eru helstir þeir að hún er fremur einfaldur lykill að persónugreiningu upplýsinga og tilvist hennar gerir það að verkum að auðveldara er en ella að samkeyra persónuupplýsingar sem fengnar eru úr mismunandi skrám og mynda úr þeim eina skrá. Hefur það lengi verið eitt af höfuðmarkmiðum reglna um persónuvernd og meðferð persónuupplýsinga að sporna gegn slíkri samtengingu sem gefið getur heildarmynd af einstaklingum . heildarmynd sem þeir sáu ekki fyrir að gæti orðið til þegar þeir létu persónuupplýsingar í té til mismunandi skrárhaldara.
Tilgangurinn með notkun kennitölu er fyrst og fremst sá að stuðla að öruggri persónugreiningu þegar það á við, þ.e. að tengja tilteknar upplýsingar við þann sem upplýsingarnar varðar. Kennitalan er á hinn bóginn miklu síður til þess fallinn að vera sönnunargagn um það að tiltekinn maður sé sá sem hann segist vera, þ.e. persónuskilríki hans. Regla 10. gr. frumvarpsins um notkun kennitölu byggist að hluta á þeim sjónarmiðum sem hér voru rakin. Felst það í reglu frumvarpsgreinarinnar að notkun kennitölu er heimil ef hún á sér lögmætan tilgang og er óhjákvæmileg til þess að tryggja örugga persónugreiningu. Er við það miðað að Persónuvernd geti ýmist bannað eða fyrirskipað notkun kennitölu á grundvelli þessara sjónarmiða. Að öðru leyti vísast til athugasemda við 10. gr. frumvarpsins.
V.3.8. Innra eftirlit.
Til þess að leggja áherslu á skyldur ábyrgðaraðila til að fylgja fyrirmælum laga, reglugerða og annarra reglna sem varða vinnslu persónuupplýsinga er í frumvarpi þessu lagt til að ábyrgðaraðilar viðhafi innra eftirlit í starfsemi sinni, sbr. ákvæði 12. gr. Innra eftirlit er vel til þess fallið að gera ábyrgðaraðila betur meðvitaða um skyldur sínar. Slíkt eftirlit auðveldar einnig það eftirlit sem Persónuvernd er ætlað að hafa með vinnslu persónuupplýsinga. Með slíku fyrirkomulagi er eftirlit með framkvæmd laganna að hluta til lagt í hendur þeirra sem með upplýsingarnar vinna.
Hið hefðbundna eftirlit með framkvæmd laga sem hafa það að markmiði að vernda persónuupplýsingar felst í því að hinn opinberi eftirlitsaðili knýr dyra hjá aðila sem vinnur með slíkar upplýsingar og gengur úr skugga um að framkvæmd mála sé eins og áskilið er í lögum. Í slíku eftirliti felast ákveðnir veikleikar. Í fyrsta lagi kallar það á mikinn mannafla að framkvæma eftirlitið á þennan hátt. Í öðru lagi er slíkt eftirlit mjög tímafrekt. Í þriðja lagi vill það oft vera tilviljunum háð hvar borið er niður í eftirlitinu, enda er erfitt að hafa nákvæmt eftirlit á öllum sviðum. Í fjórða lagi má segja að það geti verið undir hælinn lagt hvort mistök við vinnslu komi í ljós í einstökum eftirlitsferðum. Víst er að eftirlit af þessu tagi hefur takmörkuð fyrirbyggjandi áhrif því að það felur fyrst og fremst í sér úttekt á stöðu mála eins og hún er og hefur verið.
Á grundvelli þeirrar reynslu sem hér var rakin hefur þeirrar þróunar orðið vart erlendis, og reyndar einnig í nokkrum mæli hérlendis í seinni tíð, að leggja aukna áherslu á innra eftirlit. Í slíku eftirliti felst að þeir sem vinna með persónuupplýsingar geti sjálfir sýnt fram á að þeir styðjist í vinnslu sinni við verklag sem veitir fullnægjandi tryggingu fyrir því að unnið sé með upplýsingar í samræmi við ákvæði laga og annara fyrirmæla. Eftirlitið verður þannig bæði í höndum ábyrgðaraðilans sjálfs og Persónuverndar.
Í 2. mgr. 18. gr. tilskipunar ESB, sbr. og ákvæði 3. mgr. 21. gr., er gerð krafa um innra eftirlit að því er varðar ákveðna tegund vinnslu sem ekki er tilkynningarskyld. Samkvæmt því skal, hjá hverjum þeim aðila sem vinnur með slíkar upplýsingar, tilnefna a.m.k. einn aðila sem er ábyrgur fyrir því að unnið sé í samræmi við fyrirmæli laga og annarra fyrirmæla. Skal sá aðili (persónuverndarfulltrúi) halda skrá yfir þær vinnslur sem fram fara. Skal skrá þessi hafa að geyma sömu upplýsingar og fram skulu koma á tilkynningum um þær vinnslur sem eru tilkynningarskyldar. Skulu þessar upplýsingar vera aðgengilegar almenningi.
Á þeim grundvelli sem hér var rakinn byggjast reglur frumvarpsins um innra eftirlit, sbr. ákvæði 12. gr. þess. Þar segir í 1. mgr. að ábyrgðaraðili skuli viðhafa innra eftirlit og gera reglulega skýrslur um það. Í slíkum skýrslum skulu m.a. koma fram upplýsingar um hvaða kerfi sé notað í hinu innra eftirliti og hvernig það tryggi að farið sé að ákvæðum laganna og annarra fyrirmæla. Getur Persónuvernd skv. 2. mgr. 12. gr. sett nánari fyrirmæli um framkvæmd innra eftirlits.
Rétt er að leggja á það þunga áherslu að innra eftirliti er með engu móti ætlað að koma í stað þess eftirlits sem Persónuvernd hefur með framkvæmd laganna. Hér er um að ræða nýtt eftirlitsfyrirkomulag sem ásamt opinberu eftirliti hefur það að markmiði að efla og styrkja vernd einstaklinga að því er varðar meðferð persónuupplýsinga. Þá verður og að hafa hugfast að innra eftirlit heftir hvorki svigrúm Persónuverndar til eftirlitsstarfa né þrengir valdheimildir þeirrar stofnunar. Að öðru leyti vísast til athugasemda við 12. gr. frumvarpsins.
V.3.9. Starfs- og siðareglur.
Í V. kafla tilskipunar ESB, sem er reyndar aðeins ein grein (27. gr.) og ber kaflaheitið „CODES OF CONDUCT“, eru aðildarríkin hvött til þess að stuðla að „the drawing up of codes of conduct to contribute to the proper implementation of the national provisions adopted by the Member States pursuant to this Directive, taking account of the specific features of the various sectors“.
Af ákvæðum 27. gr. tilskipunarinnar leiðir að aðildarríkjunum er ekki skylt að stuðla að setningu starfs- og siðareglna á einstökum sviðum þar sem unnið er með persónuupplýsingar. Hefur Ísland því frjálsar hendur hvað það atriði varðar. Hins vegar er rétt að hafa í huga að mælt er með slíkum reglum í leiðbeiningarreglum OECD og til þeirra er skírskotað í ýmsum tilmælum Evrópuráðsins.
Við mat á því hvort stuðla eigi að setningu starfsreglna hér á landi ber að hafa í huga að hugtakið starfsreglur hefur ekki algilda og einhlíta merkingu. Getur form þeirra og skuldbindingargildi verið mjög misjafnt. Í frumvarpi þessu er hugtakið notað um þær hátternisreglur sem aðilar setja sér sjálfir af fúsum og frjálsum vilja. Slíkar reglur hafa hvorki stöðu laga, reglugerða, reglna né fyrirmæla af hálfu hins opinbera eftirlitsaðila. Brot á þeim leiða því ekki til viðbragða af hálfu hins opinbera. Reglurnar hafa því fyrst og fremst einkenni reglna frjálsra félaga.
Reynsla ýmissa þjóða, t.d. Hollendinga, Breta, Kanadamanna og Nýsjálendinga, sýnir að slíkar starfsreglur sem hér um ræðir geta verið mjög gagnlegar. Þær eru til þess fallnar að vekja áhuga og skapa aukinn skilning á þýðingu og mikilvægi persónuverndar meðal þeirra sem starfa í viðkomandi starfsgrein. Einnig geta slíkar reglur stuðlað að betri fylgni við lagareglur og önnur opinber fyrirmæli og geta tvímælalaust stuðlað að betri samskiptum hins opinbera eftirlitsaðila og þeirra sem eftirlitið er haft með. Kostur slíkra starfsreglna er einnig sá að þær geta verið ítarlegri og nákvæmari um einstök atriði en kostur er í lögum og reglugerðum og þær er hægt að sníða að sérstökum þörfum hverrar starfsgreinar.
Gegn starfsreglum eru stundum færð þau rök að ýmsir í viðkomandi starfsgrein telji sér ekki skylt að fylgja reglunum og erfitt geti verið fyrir starfsgreinina sem slíka að sjá til þess að reglunum sé framfylgt. Þetta sjónarmið hefur án efa nokkuð til síns máls. Eigi að síður verður að ætla að það sé almennt talið einstökum ábyrgðaraðilum til tekna að þeir fylgi tilteknum viðurkenndum samskipta- og hátternisreglum í starfsgrein sinni. Annar ókostur getur verið sá að upp komi vafi um það hvaða réttarlega stöðu og þýðingu slíkar reglur hafa. Er ekki útilokað að þær geti verið andstæðar lögum. Úr þeirri hættu má hins vegar draga með því að ætla Persónuvernd það hlutverk að leiðbeina starfsgreinum um setningu slíkra reglna, en slíkt ætti einmitt að tryggja að þær verði í samræmi við lög og reglur.
Með hliðsjón af því sem hér var rakið er lagt til í 5. tölul. 3. mgr. 37. gr. frumvarpsins að meðal hlutverka Persónuverndar verði að leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar, eða þróa kerfi fyrir slíka vinnslu, m.a. með því að aðstoða einstaka hópa og starfsstéttir við gerð starfs- og siðareglna um persónuvernd. Við setningu slíkra reglna má hafa hliðsjón af ýmsum alþjóðlegum yfirlýsingum, t.d. tilmælum Evrópuráðsins og leiðbeiningarreglum OECD.
V.4. Sérreglur um ákveðna starfsemi.
Samkvæmt lögum nr. 121/1989 gilda sérstakar reglur um starfsemi ákveðinna aðila sem vinna með persónuupplýsingar í skilningi laganna. Þar er í fyrsta lagi að nefna reglur V. kafla um starfsemi þeirra sem skrá upplýsingar um fjárhagsmálefni og lánstraust í þeim tilgangi að miðla öðrum þeim upplýsingum, í öðru lagi ákvæði VI. kafla um starfsemi þeirra sem annast sölu nafnalista og nafnáritanir í markaðssetningarskyni, sbr. ákvæði 21.–23. gr. laganna, í þriðja lagi ákvæði VI. kafla um starfsemi þeirra sem í atvinnuskyni annast markaðs- og skoðanakannanir um atriði sem falla undir ákvæði laganna og í fjórða lagi ákvæði VII. kafla um starfsemi þeirra sem annast tölvuþjónustu fyrir aðra.
Í tilskipun ESB eru ekki sérreglur fyrir ákveðnar starfsgreinar með sama hætti og í lögum nr. 121/1989 heldur fellur starfsemi slíkra aðila undir almennar reglur tilskipunarinnar. Þeim til viðbótar eru svo reglur 2. og 3. mgr. 17. gr. tilskipunarinnar sem þýðingu geta haft í þessu sambandi. Hins vegar standa ákvæði tilskipunarinnar því ekki í vegi að slíkar reglur séu settar í lög einstakra ríkja.
Með vísun til þess er í 45. gr. frumvarpsins gert ráð fyrir að ráðherra setji reglugerð um nánar tilgreinda starfsemi.
VI. TENGSL FRUMVARPSINS VIÐ LÖG UM GAGANAGRUNN
Á HEILBRIGÐISSVIÐI, NR. 139/1998
Sem fyrr segir er byggt á því í lögum nr. 139/1998 að gagnagrunnur á heilbrigðissviði innihaldi ópersónugreinanlegar heilsufarupplýsingar, sbr. 1. gr. Í 2. tölul. 3. gr. laganna er hugtakið „persónuupplýsingar“ skilgreint. Þar kemur fram að með persónuupplýsingum sé átt við allar upplýsingar um persónugreindan eða persónugreinanlegan einstakling. Jafnframt segir að maður teljist persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í kennitölu eða einn eða fleiri þætti sem sérkenna hann í líkamlegu, lífeðlisfræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti. Í 1. tölul. 2. gr. þessa frumvarps er notuð efnislega sambærileg skilgreining. Af þessu leiðir að ákvæði frumvarps þessa breyta ekki þeirri niðurstöðu að upplýsingar sem verður að finna í gagnagrunni á heilbrigðissviði teljast ekki persónuupplýsingar, enda verði gætt allra þeirra öryggisráðstafana til verndar upplýsingunum sem lögin mæla fyrir um. Fullt samræmi er milli þeirrar skilgreiningar sem byggt er á í þessu frumvarpi annars vegar og þeirrar sem byggt er á í lögum nr. 139/1998 hins vegar.
Í 1. mgr. 1. gr. frumvarps þessa er tekið fram að markmið laganna sé að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga. Af þessu ákvæði leiðir raunar þá þegar að ákvæði frumvarpsins eiga ekki við um upplýsingar þær sem er að finna í gagnagrunni á heilbrigðissviði samkvæmt lögum nr. 139/1998 þar sem upplýsingarnar eins og þær koma fyrir í grunninum sjálfum verða ópersónugreinanlegar.
Þrátt fyrir þetta er rétt að benda á að við undirbúning á flutningi upplýsinganna í gagnagrunninn er um vinnslu persónuupplýsinga að ræða. Vinnsla upplýsinganna í þessu skyni er aftur á móti byggð á sérstakri lagaheimild sem er að finna í lögum nr. 139/1998, sbr. einkum 1. mgr. 7. gr., að fullnægðum þeim skilyrðum sem fram koma í þeim lögum. Ákvæði laga nr. 139/1998 hafa að geyma sérreglur sem gilda um vinnslu og meðferð heilsufarsupplýsinga í því skyni að flytja þær í miðlægan gagnagrunn. Ákvæði frumvarps þessa hagga ekki við þeim ákvæðum. Að tæmdum þeim sérreglum sem lög nr. 139/1998 hafa að geyma um meðferð upplýsinga við flutning þeirra í gagnagrunninn gilda að öðru leyti í samræmi við 3. mgr. 7. gr. gagnagrunnslaganna, eftir því sem við á, ákvæði laga um réttindi sjúklinga, læknalaga, laga um heilbrigðisþjónustu og frumvarps þessa ef að lögum verður.
Í lögum nr. 139/1998 er enn fremur í ýmsum ákvæðum gert ráð fyrir hlutverki tölvunefndar samkvæmt lögum nr. 121/1989 varðandi eftirlit með gerð og starfrækslu gagnagrunnsins. Þannig kemur fram í 3. mgr. 4. gr. laganna að rekstrarleyfishafi skuli m.a. greiða kostnað vegna eftirlits tölvunefndar. Þá segir í 2. tölul. 1. mgr. 5. gr. að töluvnefnd samþykki tækni-, öryggis- og skipulagslýsingar fyrir gagnagrunninn áður er rekstrarleyfi er gefið út. Í 2. mgr. 6. gr. laganna er fjallað um hlutverk nefndar um starfrækslu gagnagrunns á heilbrigðissviði, en þar er enn fremur tilvísun til almenns hlutverks töluvnefndar varðandi eftirlit með gerð og starfrækslu gagnagrunnsins. Í 2. mgr. 7. gr. laganna kemur fram að við meðferð skráa, annarra gagna og upplýsinga við undirbúning að flutningi þeirra í gagnagrunninn skuli fylgt þeim skilyrðum sem tölvunefnd metur nauðsynleg. Þá er í niðurlagi þeirrar málsgreinar gert ráð fyrir að töluvnefnd skuli annast dulkóðun persónuauðkenna með þeim aðferðum sem hún telur tryggja persónuvernd best. Þá segir í 2. mgr. 10. gr. að við samtengingu gagnagrunns á heilbrigðissviði við aðra gagnagrunna skuli móta verklag og vinnuferli sem fullnægja skilyrðum tölvunefndar. Í 17. gr. er að lokum að finna ákvæði um bætur vegna fjárhagslegs tjóns sem aðili kann að verða fyrir, m.a. vegna brota á skilmálum tölvunefndar. Samkvæmt frumvarpi þessu verður sett á stofn ný stofnun, Persónuvernd, sem tekur við hlutverki tölvunefndar. Verði frumvarpið að lögum fer sú stofnun með þau verkefni sem tölvunefnd er ætlað að fara með samkvæmt gagnagrunnslögunum.
Athugasemdir við einstakar greinar frumvarpsins.
Um 1. gr.
Greinin hefur að geyma markmiðsyfirlýsingu sem er nýmæli í lögum um meðferð persónuupplýsinga. Ákvæðið tekur mið af 1. gr. tilskipunar ESB. Í frumvarpsgreininni kemur fram það meginmarkmið lagasetningarinnar að tryggja að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið um persónuvernd og friðhelgi einkalífs. Er einkum skírskotað til viðtekinna viðhorfa um friðhelgi einkalífs eins og þau hafa mótast í framkvæmd, auk þess sem ákvæðið tekur mið af þeirri stjórnarskrárbreytingu sem gerð var árið 1995 þegar ákvæði um friðhelgi einkalífs, nú 71. gr., var breytt, gildissvið ákvæðisins rýmkað og tengsl þess við vernd persónuupplýsinga aukin. Má ætla að greinin muni hafa mikið gildi við túlkun annarra ákvæða frumvarpsins. Með tilliti til tilskipunar ESB er í ákvæðinu einnig skírskotað til viðhorfa um mikilvægi áreiðanleika í gagnavinnslu og öruggra upplýsinga.
Um 2. gr.
Þær hugtaksskilgreiningar sem er að finna í greininni eru að nokkru þær sömu og í gildandi lögum um skráningu og meðferð persónuupplýsinga en eru aðlagaðar 2. gr. tilskipunar ESB og falla efnislega að hugtaksskilgreiningum tilskipunarinnar.
1. Persónuupplýsingar. Hugtakið persónuupplýsingar er víðfeðmt og tekur til allra upplýsinga, álita og umsagna sem beint eða óbeint má tengja tilteknum einstaklingi, þ.e. upplýsingar sem eru persónugreindar eða persónugreinanlegar. Hugtakið ber að skilja með hliðsjón af ákvæði 1. gr., en í því felst að upp geta komið tilvik þar sem unnið er með upplýsingar sem eru, samkvæmt orðanna hljóðan, persónuupplýsingar en þó ekki þess eðlis að standa þurfi um þær vörð á grundvelli sjónarmiða um persónuvernd og friðhelgi einkalífs. Verndarsviðið tekur til upplýsinga um lifandi og látna menn. Upplýsingar um látna einstaklinga falla einkum undir það ef þær tengjast lifandi einstaklingum, svo sem upplýsingar um arfgenga sjúkdóma. Skilgreining frumvarpsgreinarinnar á hugtakinu persónuupplýsingar byggist á tilskipun ESB. Í 26. lið formála tilskipunarinnar segir að meginreglur um vernd skuli gilda um allar persónugreindar eða persónugreinanlegar upplýsingar. Þar segir og að til þess að ákveða hvort upplýsingar séu persónugreinanlegar (rekjanlegar) skuli tekið mið af öllum aðferðum sem eðlilegt er að hugsa sér að ábyrgðaraðili eða annar aðili beiti til að bera kennsl á viðkomandi einstakling. Meginreglur um vernd skulu ekki gilda um upplýsingar sem hafa verið aftengdar einstaklingum (rendered anonymous) þannig að ekki sé lengur unnt að persónugreina hina skráðu. Af a-lið 2. gr. tilskipunar ESB leiðir m.a. að upplýsingar teljast persónugreinanlegar ef unnt er að persónugreina þær, beint eða óbeint, með tilvísun í kennitölu eða einn eða fleiri þætti sem sérkenna hinn skráða í líkamlegu, lífeðlisfræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.
Í frumvarpinu er hugtakið persónuupplýsingar rýmkað verulega frá núgildandi lögum en þar er það skilgreint sem upplýsingar sem varða einkamálefni, fjárhagsmálefni eða önnur málefni sem sanngjarnt er og eðlilegt að leynt fari. Hins vegar er hugtakið þrengt að því leyti að samkvæmt frumvarpinu tekur það aðeins til upplýsinga um einstaklinga en hvorki til stofnana, fyrirtækja né annarra lögpersóna, eins og gert er í 3. mgr. 1. gr. gildandi laga. Um þær upplýsingar gildir á hinn bóginn 45. gr. frumvarpsins.
Hugtakið persónuupplýsingar í frumvarpsgreininni tekur til allra upplýsinga sem unnt er að rekja til tiltekins einstaklings jafnvel þótt þær séu ekki persónugreindar ef hægt er að persónugreina þær á grundvelli einhvers auðkennis, með eða án greiningarlykils. Dæmi: Aðili A sem selur þjónustu á netinu skráir einungis nafnlaus auðkenni sem ekki verða tengd tilteknum einstaklingi (netverja) nema með notkun lykils sem aðeins söluaðili internetsaðgangs, B, hefur undir höndum. Upplýsingarnar sem A skráir yrðu samkvæmt þessu taldar persónuupplýsingar í skilningi frumvarpsins þrátt fyrir að hann hafi ekki umræddan lykil undir höndum. Með hinum skráða í skilningi frumvarpsgreinarinnar er átt við þann einstakling sem upplýsingarnar fjalla um. Hugtakið á við þótt ekki sé um eiginlega skrá í hefðbundnum skilningi að ræða ef upplýsingum hefur verið safnað saman og þær varðveittar.
2. Vinnsla. Skilgreining þessa hugtaks er byggð á b-lið 2. gr. tilskipunar ESB. Hugtakið er vítt og tekur til hvers konar meðferðar á persónuupplýsingum, óháð þeirri aðferð sem notuð er og óháð því hvort gagnagrunnur er miðlægur eða dreifður. Efnislega er ákvæðið skylt 1. mgr. 1. gr. gildandi laga en þau taka til hvers konar kerfisbundinnar skráningar og annarrar meðferðar á persónuupplýsingum og á sama við um vélræna skráningu og handunna. Lagt er til að áfram verði miðað við að handvinnsla persónuupplýsinga falli undir gildissviðið þegar þær eru eða eiga að verða hluti af skrá, sbr. 3. gr. frumvarpsins. Þegar um annars konar vinnslu er að ræða er hins vegar ekki lögð áhersla á skrár og skráningu, enda er skráning aðeins ein tegund vinnslu. Með vinnslu er t.d. átt við söfnun og skráningu og undir það fellur m.a. rafræn vöktun, flokkun, varðveisla, breyting, leit, miðlun, samtenging eða hver sú aðferð sem nota má til að gera upplýsingar tiltækar. Sama á við um lokun og eyðingu upplýsinga. Reglur frumvarpsins eru hins vegar ekki eins um allar tegundir vinnslu. Til dæmis tekur fræðsluskylda skv. 20. gr. til söfnunar persónuupplýsinga, leiðréttingarákvæði 25. gr. á við um skráningu og leyfisskylda skv. 2. mgr. 33. gr. ræðst af eðli þeirra upplýsinga sem unnið er með. Orðin meðferð og vinnsla eru notuð jöfnum höndum í frumvarpinu og í athugasemdunum og er merking þeirra hin sama. Í athugasemdum við 3. gr. frumvarpsins er að finna nánari umfjöllun um skilsmun handvirkrar og sjálfvirkrar/rafrænnar vinnslu, hvað sé rafræn vinnsla og hvenær sjónvarpsvöktun og hljóð- og myndbandsupptökur teljist til slíkrar vinnslu og hvenær ekki.
3. Skrá. Hér er átt við gagnasafn eða upptalningu þar sem persónuupplýsingum er komið fyrir á þann hátt að þar má á ný finna upplýsingar um einstaka menn. Ákvæðið á við hvort sem upplýsingar eru miðlægar eða dreifðar. Ákvæðinu svipar til 2. mgr. 1. gr. gildandi laga þar sem segir að með kerfisbundinni skráningu upplýsinga sé átt við söfnun og skráningu ákveðinna og afmarkaðra upplýsinga í skipulagsbundna heild, en nánar er fjallað um hugtakið í athugasemdum við 3. gr. frumvarpsins.
4. Ábyrgðaraðili. Hugtakið er nýtt en er skylt hugtakinu skrárhaldari í gildandi lögum. Hugtakið ábyrgðaraðili á sér fyrirmynd í d-lið 2. gr. tilskipunar ESB og er átt við þann aðila sem hefur ákvörðunarvald um vinnslu persónuupplýsinga, tilganginn með vinnslu þeirra og hvað sá hugbúnaður sem notaður er á að gera. Jafnvel þótt slíkur aðili feli öðrum meðferð upplýsinganna ber hann ábyrgðina, svo fremi sem hann hafi áfram ákvörðunarvaldið. Sá sem vinnur með upplýsingarnar á vegum ábyrgðaraðila er hins vegar nefndur vinnsluaðili. Skilyrði þess að geta talist ábyrgðaraðili er að hafa aðildarhæfi og að geta svarað til saka fyrir tiltekna vinnslu persónuupplýsinga fyrir dómstólum, ef svo ber undir. Bæði einstaklingar og lögpersónur geta haft aðildarhæfi í þeim skilningi sem hér er vísað til. Hópur getur ekki haft aðildarhæfi nema um sé að ræða einhvers konar samtök eða félagsskap, en krafan um aðildarhæfi er m.a. byggð á því að nauðsynlegt getur verið að leita réttarúrræða til að fullnægja kröfum gagnvart ábyrgðaraðila. Tilgangur með vinnslu persónuupplýsinga kann að vera skilgreindur í sérlögum og þar afmarkað nákvæmlega hvað megi gera við persónuupplýsingar. Að því marki sem slík lög gera það hins vegar ekki fer um það samkvæmt frumvarpi þessu. Ábyrgðaraðili getur í mörgum tilvikum verið lögaðili, enda tekur frumvarpið til vinnslu af hálfu atvinnurekenda, fyrirtækja, félaga, stofnana og opinberra aðila. Risið geta vafatilvik um hver sé persónulega ábyrgur í slíkum tilvikum, en benda má á að verði ábyrgðaraðili gjaldþrota telst þrotabú hans vera ábyrgðaraðili.
Benda má á að í 47. lið formála tilskipunar ESB segir að þegar boð sem innihalda persónuupplýsingar eru send með aðstoð fjarskipta- eða tölvuþjónustu sem hefur það eitt að markmiði að senda slík boð teljist upphafsmaður boðanna vera ábyrgðaraðili fremur en sá sem býður þjónustuna fram.
5. Vinnsluaðili. Vinnsluaðili er sá sem annast vinnslu persónuupplýsinga og er í 13. gr. frumvarpsins að finna sérákvæði um meðferð hans á þeim upplýsingum. Vinnsluaðili er sá sem hefur persónuupplýsingar undir höndum og vinnur með þær á vegum ábyrgðaraðila. Vinnsluaðili getur t.d. verið aðili sem sér um að þróa upplýsingakerfi eða gera við og viðhalda tölvuhugbúnaði, enda sér slíkur aðili oft jafnframt um að varðveita upplýsingarnar eða hefur með öðrum hætti aðgang að þeim. Hugtakið á sér nokkra samsvörun við aðila sem hefur starfsleyfi til að annast tölvuþjónustu í skilningi 25. gr. gildandi laga. Skilyrði er að vinnslan fari fram fyrir hönd ábyrgðaraðila og byggist á ósk hans.
6. Rafræn vöktun. Með rafrænni vöktun er bæði átt við sjónvarpsvöktun og aðra rafræna vöktun. Slíkt hugtak er ekki að finna í gildandi lögum. Undir hugtakið fellur öll rafræn upptaka mynda og hljóða, hvort sem upptökur eru varðveittar á stafrænu formi eða ekki. Hugtakið nær hins vegar ekki til allrar vöktunar, t.d. ekki þeirrar þegar hljóð eða mynd er aðeins flutt í hátalara eða á skjá en ekki varðveitt. Engu síður gilda um slíka vöktun sérstakar reglur. Til dæmis er miðað við að sjónvarpsvöktun sem leiðir til myndbandsupptöku sé tilkynningarskyld skv. 31. gr. frumvarpsins og að Persónuvernd geti gripið inn í og stöðvað slíka vöktun, og töku mynda í tengslum við hana, hafi til hennar verið stofnað á ólögmætan hátt, svo sem ef hún á sér ekki málefnalegan tilgang. Sérstaklega er um sjónvarpsvöktun og töku mynda fjallað í 4. gr. frumvarpsins.
Tilskipun ESB hefur ekki að geyma sérstakar reglur um sjónvarpsvöktun. Slík vöktun fellur þó undir gildissvið hennar ef hún telst til rafrænnar meðferðar persónuupplýsinga, t.d. vegna varðveislu á stafrænu formi, en fellur að öðrum kosti utan þess. Þannig fellur t.d. vöktun sem einungis leiðir til myndbirtingar á skjá utan gildissviðs tilskipunarinnar. Sama á við þegar útlit manns eða rödd er flutt á hliðrænt (analog) form, svo sem á hljóðsnældu eða myndband.
Samningur Evrópuráðsins nr. 108 frá 28. janúar 1981 um vernd einstaklinga við sjálfvirka vinnslu persónuupplýsinga hefur ekki verið talinn taka til sjónvarpsvöktunar, enda leiðir af orðanna hljóðan að hann tekur fyrst og fremst til hefðbundinnar vinnslu persónuupplýsinga.
Í gildandi lögum er ekkert sérákvæði um rafræna vöktun. Tölvunefnd hefur hins vegar við framkvæmd laganna litið svo á að taka mynda og eftirfarandi kerfisbundin skráning þeirra upplýsinga sem þar koma fram geti fallið undir gildissvið þeirra laga.
Nánar er um þetta fjallað í athugasemdum við 3. og 4. gr. frumvarpsins.
7. Samþykki. Skilgreining á samþykki er ný í lögum um meðferð persónuupplýsinga þótt í gildandi lögum sé víða byggt á samþykki hins skráða. Hugtakið á sér fyrirmynd í h-lið 2. gr. tilskipunar ESB og er hér átt við það sem oftast er kallað upplýst samþykki.
Í fyrsta lagi er það skilyrði að um ótvíræða yfirlýsingu sé að ræða en í því felst að þögn verður ekki talin jafngilda samþykki. Í öðru lagi verður samþykkið að vera „upplýst“ en með því er átt við að hinn skráði viti hvað hann er að samþykkja og hvaða afleiðingar meðferð upplýsinganna hefur eða getur haft fyrir hann. Í þriðja lagi er skilyrði að samþykkið sé persónubundið en í því felst að enginn getur gefið samþykki fyrir annars hönd nema hafa til þess sérstaka heimild. Sem dæmi um það má t.d. nefna samþykki lögráðamanns fyrir hönd ólögráða einstaklings. Samkvæmt þessu mundi t.d. samþykki forsvarsmanna tiltekinna samtaka fyrir hönd allra félagsmanna almennt ekki vera talið gilt nema mjög sérstaklega standi á, svo sem ef telja má inngöngu í slík samtök jafngilda samþykki.
8. Viðkvæmar persónuupplýsingar. Í þessu ákvæði og í 9. gr. frumvarpsins er tekið upp ákvæði 8. gr. tilskipunar ESB. Ákvæðið skýrir hvað teljast vera viðkvæmar persónuupplýsingar og hefur það fyrst og fremst þýðingu við afmörkun á því hvenær vinnsla persónuupplýsinga er leyfisskyld skv. 33. gr. Ákvæðið svarar að mestu til 4. gr. gildandi laga að því frátöldu að upplýsingar um veruleg félagsleg vandamál teljast ekki lengur til viðkvæmra upplýsinga. Á hinn bóginn er tekið fram að með upplýsingum um heilsuhagi sé m.a. átt við upplýsingar um erfðaeiginleika. Þá er það nýmæli að finna í frumvarpsgreininni að upplýsingar um stéttarfélagsaðild teljast til viðkvæmra persónuupplýsinga, en þar er tekið mið af 1. mgr. 8. gr. tilskipunar ESB. Þar sem upplýsingar um stéttarfélagsaðild hafa til þessa ekki talist til viðkvæmra persónuupplýsinga hér á landi kann ákvæði frumvarpsgreinarinnar að virðast nokkuð framandi. Á móti kemur að af 9. gr. frumvarpsins leiðir að vinnsla upplýsinga um stéttarfélagsaðild er t.d. heimil ef hinn skráði er því samþykkur, ef lagaheimild stendur til hennar eða ef ábyrgðaraðila ber að framkvæma vinnsluna samkvæmt samkomulagi aðila vinnumarkaðarins.
Ljóst er að oft geta aðrar upplýsingar en þær sem hér eru taldar upp verið viðkvæmar fyrir hlutaðeigandi. Í framkvæmd verður að taka tillit til slíks, jafnvel þótt ekki sé um að ræða upplýsingar sem teljast viðkvæmar samkvæmt upptalningu þessa ákvæðis.
9. Sértæk ákvörðun. Þetta hugtak er víða notað í frumvarpinu, t.d. í 22. gr. um rétt til að fá rökstuðning fyrir ákvörðun sem byggist að öllu leyti á sjálfvirkri vinnslu og í 33. gr. um afmörkun leyfisskyldrar vinnslu. Sértæk ákvörðun felur í sér úrlausn um rétt eða skyldu tiltekins manns eða hóps tiltekinna manna. Hér er einkum átt við ákvarðanir stjórnvalda en hugtakið getur líka átt við um ákvarðanir annarra, svo fremi þær afmarki rétt og/eða skyldur. Slíkar ákvarðanir geta byggst á samningsákvæðum, lagaákvæðum o.s.frv. Andstæða sértækrar ákvörðunar er almenn ákvörðun sem tekur til allra sem uppfylla tiltekin skilyrði en tilgreinir þá ekki sérstaklega, t.d. ákvörðun um álagningu hátekjuskatts.
Um 3. gr.
Um gildissvið gildandi laga segir í 1. gr. að þau taki til hvers konar kerfisbundinnar skráningar og annarrar meðferðar á persónuupplýsingum hvort heldur sem skráning sé vélræn eða handunnin. Í frumvarpsgreininni er gildissviðið afmarkað með sambærilegum hætti. Í 3. gr. tilskipunar ESB, sbr. 15. lið formálans, er miðað við að gildissviðið taki til meðferðar persónuupplýsinga sem sé rafræn í heild eða að hluta, svo og til handunninnar meðferðar ef persónuupplýsingarnar eru eða eiga að verða hluti af skrá. Í samræmi við það er í 1. mgr. þessa ákvæðis lagt til að gildissviðið taki ekki til handvirkrar vinnslu persónuupplýsinga þegar þær hvorki eru né eiga að verða hluti af skrá.
Við gerð tilskipunarinnar var til umræðu hvort takmarka ætti gildissvið hennar við rafræna vinnslu. Út frá persónuverndarsjónarmiðum er mikill munur á því hvort vinnsla er handvirk eða sjálfvirk/rafræn, enda gefur auga leið að mun meiri vinnslumöguleikar eru með rafrænni tækni. Það á t.d. við um möguleika til samtengingar, dreifingar og endurvinnslu varðveittra upplýsinga. Ný tækni af ýmsum toga, svo sem tilkoma ýmiss konar skönnunar- og skimunarbúnaðar, eykur stöðugt þann mun sem er á handvirkri vinnslu og rafrænni. Þegar persónuupplýsingar eru hins vegar notaðar við töku sértækra ákvarðana um rétt manna og stöðu reynir á sömu sjónarmið óháð þeirri aðferð sem viðhöfð er við meðferð upplýsinganna og varðveislu. Til dæmis getur söfnun tiltekinna upplýsinga ein og sér birst sem atlaga að einkalífi viðkomandi einstaklings ef hætta er á að þær verði síðar notaðar við slíka ákvörðunartöku. Því er lagt til að gildissviðið taki til handvirkrar vinnslu að nokkru leyti, þ.e. að því marki sem persónuupplýsingarnar eru eða eiga að verða hluti af skrá. Er tilskipun ESB fylgt að þessu leyti, eins og áður segir.
Sú viðmiðun að meðferð persónuupplýsinga verði annaðhvort að vera rafræn eða tengjast handvinnslu skrár snertir öll ákvæði frumvarpsins. Vinnsla sem aðeins er rafræn að hluta til er lögð að jöfnu við vinnslu sem er rafræn að öllu leyti. Því mundi vinnsla sem er að hluta til handvirk en að hluta til rafræn falla undir gildissviðið.
Tilskipun ESB veitir aðeins takmarkaða leiðsögn um mörkin milli handvirkrar vinnslu og rafrænnar. Augljóst er að þegar persónuupplýsingar eru að öllu leyti varðveittar eða unnar í tölvu er vinnslan rafræn. Stundum kann viss hluti persónuupplýsinga að vera varðveittur í tölvu þótt þær séu að öðru leyti handfærðar. Þetta á t.d. við um sjúkraskrár sem oft eru að hluta til unnar í tölvu en að hluta til handfærðar. Lögð er til sú viðmiðun að vinnsla teljist ekki rafræn nema hinn rafræni hluti hennar taki til persónuupplýsinga í skilningi frumvarpsins. Þegar ekki verður komið við rafrænum búnaði til að nálgast þær persónuupplýsingar sem varðveittar eru telst vinnslan vera handvirk en ekki rafræn.
Sérstakt álitaefni er að hvað marki hljóð- og myndbandsupptökur teljast til rafrænnar vinnslu. Hljóð- og myndbandsupptökur falla undir 3. gr. tilskipunar ESB, sbr. 14. og 15. lið formála hennar, en ekki er skýrt hvaða skilyrði þær þurfa að uppfylla til þess. Það eitt að færa útlit manns eða rödd á venjulegt myndband eða hljóðsnældu telst vart falla undir hugtakið rafræn vinnsla eins og það er skilgreint í tilskipuninni. Sama á við um sjónvarpsvöktun ef hvorki mynd né hljóð er varðveitt heldur birtist aðeins á skjá (monitor). Í 15. lið formála tilskipunarinnar kemur fram að vinnsla efnis á myndbandi eða hljóðsnældu falli ekki undir tilskipunina nema hún eigi sér stað með rafrænum hætti eða ef upplýsingar um efnið eru varðveittar í skrá þannig að án mikillar fyrirhafnar megi finna aftur upplýsingar um tiltekinn einstakling. Um það hvort vinnsla sé rafræn er sú viðmiðun almennt lögð til grundvallar að hún geri kleift að finna í safni gagna, án mikillar fyrirhafnar, upplýsingar um tiltekinn einstakling. Því hafa ákvæði tilskipunarinnar um rafræna vinnslu að meginstefnu til ekki verið talin gilda um hljóð- og myndbandsupptökur sem varðveittar eru á hliðrænu formi (analogt) þótt viss ákvæði hennar geti gert það. Er við sama miðað í frumvarpi þessu.
Gildandi lög taka til skráningar af hálfu atvinnurekenda, fyrirtækja, félaga, stofnana og til skráningar á vegum opinberra aðila. Þótt þetta sé ekki orðað í frumvarpinu er miðað við óbreytta skipan að þessu leyti og að sama eigi við óháð því hver á í hlut nema um sé að ræða vinnslu einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða eru aðeins til persónulegra nota hans, eins og fram kemur í 2. mgr. frumvarpsgreinarinnar. Hún á sér fyrirmynd í lokamálslið 3. gr. tilskipunar ESB og er m.a. skýrð í 12. lið formála tilskipunarinnar. Hér er t.d. átt við einkabréfaskipti, færslu skráa með heimilisföngum vina, ættingja o.s.frv., færslu dagbókar og meðferð upplýsinga sem tengjast tómstundamálum. Það sem úrslitum ræður er hvort vinnslan varðar aðeins hreina einkahagi eða ekki. Skilyrði er að um sé að ræða venjulegar og lögmætar athafnir, en það er nauðsynleg viðmiðun til að ákvæðið verði ekki notað til að fara í kringum önnur ákvæði laganna. Bent skal á að um þær athafnir sem skv. 2. mgr. falla utan gildissviðs laganna kann að vera fjallað í öðrum lögum, t.d. í XXV. kafla almennra hegningarlaga um ærumeiðingar og brot gegn friðhelgi einkalífs. Þegar vinnsla persónuupplýsinga fer fram í þágu tiltekinnar einkastarfsemi eiga ákvæði laganna hins vegar við, jafnvel þótt hún sé ekki atvinnustarfsemi. Á það t.d. við um rannsóknarvinnu vísindamanns. Þá er lagt til í 2. mgr. að tiltekin ákvæði laganna gildi ekki um vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi þess á sviði refsivörslu.
Í 3. mgr. er lagt til að ráðherra geti með reglugerð ákveðið að tiltekin tegund rafrænnar vinnslu persónuupplýsinga falli utan gildissviðsins í heild eða að hluta.
Um 4. gr.
Eins og fram kemur í athugasemdum við 3. gr. frumvarpsins telst sjónvarpsvöktun ekki vera rafræn vinnsla persónuupplýsinga þegar hvorki mynd né hljóð er varðveitt heldur birtist aðeins á skjá (monitor). Sama á við þegar myndefni er ekki safnað með aðferð sem gerir kleift að leita og finna aftur myndir af tilteknum mönnum. Eigi að síður þykir, út frá persónuverndarsjónarmiðum, æskilegt að setja ákvæði um slíka vöktun og myndatöku. Er því lagt til að um hana gildi ákvæði 7. gr. um meðferð upplýsinga, ákvæði 24. gr. um viðvaranir um rafræna vöktun, ákvæði 40. gr. um stöðvun vinnslu o.fl. og ákvæði 41. gr. um dagsektir. Vísun til þess að ákvæði 42. gr. gildi eftir því sem við á felur í sér að brot á fyrirmælum Persónuverndar skv. 40. gr. er jafnframt refsivert þegar um slíka vöktun er að ræða. Sama á við um tilkynningarskyldu og um aðgang Persónuverndar að gögnum.
Samsvarandi ákvæði og hér er lagt til að verði lögfest er ekki í gildandi lögum. Í lögum um öryggisþjónustu, nr. 58/1997, sbr. og reglugerð nr. 340/1997, er ráð fyrir því gert að starf þeirra sem fá leyfi dómsmálaráðuneytisins til að reka öryggisþjónustu geti m.a. falist í notkun myndavéla við eftirlit með fólki, bæði á lokuðum svæðum og svæðum opnum almenningi. Í starfsleyfum sem dómsmálaráðuneytið hefur veitt samkvæmt þessum lögum segir að leyfishafi skuli gæta þess í starfi sínu að safna hvorki né skrá upplýsingar sem óheimilt sé að meðhöndla samkvæmt lögum um skráningu og meðferð persónuupplýsinga, nr. 121/1989, og að í því felist m.a. að upptaka á myndefni og í kjölfarið skráning á persónuupplýsingum sé óheimil án samþykkis tölvunefndar. Í framkvæmd hefur verið talið að taka mynda og eftirfarandi kerfisbundin skráning þeirra upplýsinga sem slíkar myndir geyma geti fallið undir gildissvið laga nr. 121/1989. Hefur tölvunefnd í nokkrum tilvikum fjallað um kerfisbundna söfnun myndefnis og þá eftir atvikum lagt hana að jöfnu við kerfisbundna skráningu og meðferð persónuupplýsinga í skilningi þeirra laga. Með frumvarpinu er í senn lagt til að lögfest verði ríkjandi viðhorf og jafnframt settar skýrari reglur um vöktun. Af tilvísun til 40. gr. leiðir að Persónuvernd er heimilt að stöðva ólögmæta vöktun. Í því felst m.a. að það er Persónuvernd en ekki sá sem vaktar sem metur hvort vöktun eigi sér málefnalegt tilefni eða ekki.
Undir 4. gr. frumvarpsins fellur aðeins vöktun sem ekki telst vera rafræn vinnsla. Hins vegar ber að hafa í huga að víða er viðhöfð vöktun sem telst til rafrænnar vinnslu. Á það til dæmis við um hljóðritun símtala í einkasímstöðvum, sem færst hefur í vöxt, bæði hjá fyrirtækjum og opinberum stofnunum. Má sem dæmi nefna hljóðupptökur hjá lánastofnunum til að tryggja sönnun samninga sem gerðir eru símleiðis og hljóðritun fjarskipta í flugi samkvæmt alþjóðasamþykktum um flugmál. Slík vöktun telst alla jafna til rafrænnar vinnslu persónuupplýsinga. Sama á við um vöktun netnotkunar, svo sem þegar skólayfirvöld fylgjast með netnotkun nemenda til að sporna gegn vafri um ósiðlegar heimasíður, en lögmæti slíkrar vinnslu ræðst m.a. af því hvort uppfyllt sé skilyrði 7. gr. um sanngjarnan, málefnalegan og lögmætan tilgang og að nemendum, eða eftir atvikum starfsmönnum, hafi áður verið gert kunnugt um vöktunina.
Um það hvenær sjónvarpsvöktun telst til rafrænnar vinnslu vísast að öðru leyti til þess sem segir í athugasemdum við 3. gr. frumvarpsins.
Um 5. gr.
Ákvæði þetta byggist á 9. gr. tilskipunar ESB sem fjallar um það að hvaða marki mæla þurfi fyrir um undanþágur varðandi meðferð persónuupplýsinga hjá fjölmiðlum eða í tengslum við listræna og bókmenntalega tjáningu. Ákvæði gildandi laga, einkum um aðgang, leiðréttingar og eyðingu, hafa verið talin eiga við um skrár og gagnasöfn fjölmiðla en lítið hefur reynt á skörun þeirra við tjáningarfrelsi. Nú er hins vegar orðið líklegra að á slíka skörun reyni. Annars vegar vegna stóraukinnar tækni fjölmiðla við upplýsingavinnslu og ásóknar þeirra í hvers konar upplýsingar. Hins vegar vegna aukinnar áherslu stjórnarskrárinnar á rétt manna til að njóta friðhelgi um einkalíf sitt.
Ljóst er að ýmis ákvæði frumvarpsins samrýmast ekki að öllu leyti sjónarmiðum um tjáningarfrelsi sem varið er í 73. gr. stjórnarskrárinnar. Af því tilefni er í þessari frumvarpsgrein lagt til að lögfest verði almenn vísiregla sem felur í sér að hvenær sem á þetta reynir þarf að meta hvernig sjónarmið um persónuvernd og sjónarmið um tjáningarfrelsi vegast á og komast að niðurstöðu sem byggð er á eðlilegu jafnvægi þessara sjónarmiða. Til þess að ná slíku jafnvægi mun í framkvæmd verða að víkja að nokkru frá tilteknum ákvæðum laganna vegna þeirrar starfsemi sem hér um ræðir. Eðlilegt er að sú spurning vakni hvernig leyst verður úr slíkum árekstrum. Í því sambandi er í fyrsta lagi lögð á það áhersla að aðilar vegi slíkt og meti að nokkru sjálfir og hlýtur mikil ábyrgð að hvíla á þeim í þeim efnum. Í öðru lagi verður til leiðbeiningar afstaða Persónuverndar í einstökum málum sem undir hana eru borin eða hún tekur upp að eigin frumkvæði. Í þriðja lagi verður að ætla að starfs- og siðareglur þeirra aðila sem hér um ræðir geti haft mikla þýðingu. Ber í því sambandi að hafa í huga að meðal hlutverka Persónuverndar í framtíðinni verður skv. 5. tölul. 3. mgr. 37. gr. frumvarpsins að leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar við gerð starfs- og siðareglna.
Tiltekin ákvæði frumvarpsins um aðgang að upplýsingum geta vakið spurningar um skörun við rétt blaðamanna til leyna því hvaðan upplýsingar eru fengnar. Í þessu sambandi má benda á ákvæði 1. mgr. 53. gr. laga nr. 19/1991 sem í Hrd. 1996:40 var túlkað þannig að blaðamenn þurfi ekki að upplýsa um heimildarmenn sína nema svo standi á sem í ákvæðinu greinir. Í dóminum segir að efni ákvæðisins eigi rót sína að rekja til ákvæða stjórnarskrár og mannréttindasáttmála um tjáningarfrelsi og byggist á þeim sjónarmiðum að það sé almennt æskilegt, og í samræmi við lýðræðishefðir, að almenningur fái að fylgjast með því sem gerist í þjóðfélaginu. Þá segir og að ef ábyrgðarmenn efnis sem birtist opinberlega verði að gefa upp heimildarmenn sína sé það til þess fallið að efni sem á erindi við almenning birtist ekki. Því verður upplýsingarétti hins skráða skv. 18. gr. ekki beitt ef það skerðir þessi réttindi nema alveg sérstaklega standi á. Sú skylda sem ábyrgðaraðila er lögð á herðar skv. 16. gr. frumvarpsins til að láta í té almenna vitneskju um vinnslu persónuupplýsinga er hins vegar svo almenn og takmörkuð að hún veldur ekki vandkvæðum í þessu sambandi.
Varðandi ákvæði um flutning persónuupplýsinga úr landi verður að hafa í huga að slíkt getur t.d. gerst á netinu eða í gegnum aðrar alþjóðlegar upplýsingaveitur, eins með því að þær eru birtar opinberlega, svo sem í ævisögu, í kvikmynd eða í tímariti sem keypt er hér á landi og tekið með til annars lands. Öll þessi tilvik eiga það sammerkt að tengjast starfi fjölmiðla eða bókmenntalegri og/eða listrænni tjáningu.
Ákvæði 31. og 32. gr. frumvarpsins um tilkynningarskyldu og ákvæði 33. gr. um leyfisskyldu eiga við um fjölmiðla og listamenn, þó með undantekningu varðandi vinnslu sem einvörðungu fer fram við gerð frétta, en hún lýtur aðeins ákvæðum 1. og 4. tölul. 7. gr., 11., 42. og 43. gr. Tilkynningarskylda felur ekki í sér kröfu um fyrir fram viðurkenningu stjórnvalds og verður því ekki talin stangast á við sjónarmið um tjáningarfrelsi. Verður heldur ekki talið að slíkt feli í sér ritskoðun, sbr. að í tilkynningu er aðeins veitt almenn vitneskja en ekki upplýsingar um einstök mál. Ljóst er að tilkynningar aðila sem hér falla undir munu hafa afar mismunandi gildi fyrir starf Persónuverndar. Almennt munu tilkynningar blaðaútgáfufyrirtækja um nýjar skrár sjaldnast kalla á viðbrögð en hafa ber í huga að um aðra aðila getur verið að ræða, svo sem fyrirtæki, samtök og einkaaðila, sem t.d. nýta netið við miðlun persónuupplýsinga. Þá getur tilkynning veitt mikilvæga vitneskju fyrir persónuvernd. Í frumvarpinu er ekki gert ráð fyrir undanþágu frá tilkynningarskyldu þegar fjölmiðlar eiga í hlut, enda er orðalag 9. gr. tilskipunar ESB afar rúmt. Það ákvæði tekur til víðtækari starfsemi en venjulegrar fjölmiðlunar og verður því ekki talið beinast sérstaklega að fjölmiðlum. Þá ber ábyrgðaraðila, óháð tilkynningarskyldunni, að hafa vissar upplýsingar aðgengilegar skv. 16. gr. frumvarpsins. Hlýtur tilkynningarskyldan samkvæmt framansögðu að taka til fjölmiðla almennt þótt þeir kunni í einstaka tilvikum að verða undanþegnir skyldunni skv. 3. mgr. 31. gr.
Samkvæmt 40. gr. frumvarpsins getur Persónuvernd stöðvað ólögmæta vinnslu eða sett skilmála um vinnsluna. Sé ekki farið að fyrirmælum Persónuverndar getur hún lagt á dagsektir, sbr. 41. gr. Að því er varðar starfsemi sem fellur undir 9. gr. tilskipunarinnar hlýtur vald Persónuverndar til að beita framangreindum ákvæðum hins vegar að takmarkast af eðlilegu tilliti til tjáningarfrelsis.
Um 6. gr.
Samkvæmt þessari grein, sem byggist á 4. gr. tilskipunar ESB, og 18.–21. lið formála hennar, gildir frumvarpið aðeins um ábyrgðaraðila sem hefur staðfestu á Íslandi og fyrir einstaka aðra aðila eftir því sem nánar greinir hér á eftir.
Með staðfestu er átt við að starfsemin sé með virku, raunverulegu og föstu fyrirkomulagi, sbr. 19. lið formála tilskipunar ESB. Réttarleg staða starfseminnar eða rekstrarform ræður ekki úrslitum um hvort ábyrgðaraðili teljist hafa staðfestu hér á landi heldur fremur það hvort sú vinnsla sem fer fram hér á landi sé svo umfangsmikil og varanleg að eðlilegt sé að beita íslenskum lögum. Ef um er að ræða dótturfyrirtæki erlends félags sem starfar hér á landi getur dótturfyrirtækið haft staðfestu hér á landi í skilningi frumvarpsins. Sama á við þegar erlend félög reka útibú hér á landi. Erlendur viðskiptaaðili sem kæmi hingað í viðskiptaferð og tæki með sér persónuupplýsingar sem tengjast þeim viðskiptum mundi hins vegar ekki teljast hafa staðfestu hér í skilningi frumvarpsins. Til nánari skýringar má benda á að skv. 2. mgr. 31. gr. samningsins um Evrópska efnahagssvæðið, sjá augl. nr. 31/1993, er með staðfesturétti átt við rétt til að hefja og stunda sjálfstæða atvinnustarfsemi og stofna og reka fyrirtæki.
Um starfsemi ábyrgðaraðila sem hefur staðfestu hér á landi gilda íslensk lög þótt einstakir þættir vinnslunnar, svo sem söfnun upplýsinga, fari fram í öðru ríki á EES-svæðinu. Dæmi um þetta gæti verið ábyrgðaraðili sem hefur staðfestu á Íslandi en framkvæmir ákveðna liði vinnslunnar, t.d. söfnun persónuupplýsinga, í Danmörku. Komi til þess að danski eftirlitsaðilinn vilji stöðva þá söfnun eða setja sérstök fyrirmæli um framkvæmd hennar fer um það eftir íslenskum lögum. Á sama hátt mundi Persónuvernd verða að beita dönskum lögum um meðferð persónuupplýsinga sem fer fram hér á landi sé hún á vegum ábyrgðaraðila með staðfestu í Danmörku. Ekkert stendur því hins vegar í vegi að ábyrgðaraðili hafi staðfestu í fleiri en einu EES-ríki á sama tíma en af a-lið 1. mgr. 4. gr. tilskipunarinnar leiðir að ábyrgðaraðili verður að virða landslög í viðkomandi staðfesturíki. Vinni t.d. fjölþjóðafyrirtæki með persónuupplýsingar á Íslandi, Englandi og í Frakklandi og hafi staðfestu í öllum ríkjunum verður hann að fara að landslögum hvers staðfesturíkis að því er varðar þær upplýsingar sem þar eru.
Eins og áður segir er lagt til að lögin gildi um vinnslu persónuupplýsinga á vegum ábyrgðaraðila sem hefur staðfestu hér á landi. Í 2. mgr. er lögð til sú rýmkun að lögin geti einnig tekið til ábyrgðaraðila með staðfestu utan EES-svæðisins ef hann vinnur með persónuupplýsingar og notar búnað sem er á Íslandi. Í slíku tilfelli verður íslenskum lögum beitt um þann hluta starfseminnar sem fer fram hér á landi. Með búnaði er átt við þau tæki og þá aðstöðu sem notuð er, tölvur og útstöðvar, fjarskiptatæki, myndfundabúnað o.s.frv. Það sem úrslitum ræður er hvort slíkur búnaður sé staðsettur hér á landi þannig að raunveruleg tengsl séu milli ábyrgðaraðilans og Íslands.
Ábyrgðaraðili sem fellur undir 1. málsl. 2. mgr. skal tilnefna fulltrúa sinn sem hefur staðfestu hér á landi. Ákvæðið byggist á þeirri forsendu að Persónuvernd hafi í raun möguleika á að nálgast ábyrgðaraðilann. Hafi hann ekki staðfestu hér getur slíkt reynst torvelt. Er fulltrúinn lagður að jöfnu við ábyrgðaraðila, en sé hans sérstaklega getið í einstökum ákvæðum frumvarpins á það sér lagatæknilegar skýringar. Miðað er við að Persónuvernd berist upplýsingar um fulltrúann með tilkynningu ábyrgðaraðila.
Í 3. mgr. kemur fram að ákvæði 2. mgr. gilda ekki þegar tækjabúnaður veitir aðeins færi á því að flytja persónuupplýsingar frá einu landi til annars um Ísland, án þess að hér fari fram sérstök vinnsla.
Um 7. gr.
Þessi grein frumvarpsins er efnislega samsvarandi 6. gr. tilskipunar ESB og eru hér tilgreind þau skilyrði sem ábyrgðaraðila ber að uppfylla við meðferð persónuupplýsinga. Með vinnslu er átt við söfnun, skráningu, miðlun, samtengingu, varðveislu o.s.frv. Hugtökin „markmið“ og „tilgangur“ eru notuð jöfnum höndum og hafa sömu merkingu.
Í 1. tölul. er mælt fyrir um að haga skuli meðferð persónuupplýsinganna í samræmi við vandaða vinnsluhætti persónuupplýsinga. Einnig er tekið fram að vinnslan skuli vera sanngjörn, málefnaleg og lögmæt. Í ljósi 38. liðar formála tilskipunarinnar getur vinnsla vart talist sanngjörn nema hinn skráði geti fengið vitneskju um hana og eigi, þegar söfnun upplýsinganna á sér stað, kost á fullnægjandi upplýsingum um vinnubrögð, vinnuferli og annað er lýtur að vinnslunni. Áskilnaður um lögmæti vinnslu felur ekki einungis í sér skírskotun til skráðra lagareglna heldur einnig til óskráðra grundvallarreglna um persónuvernd og friðhelgi einkalífs. Vinnsla telst ólögmæt ef tilgangur hennar fær ekki samrýmst almennum sjónarmiðum um persónuvernd. Við slíkar aðstæður verður Persónuvernd að geta gripið inn í og mælt fyrir um aðgerðir til að tryggja persónuverndina. Í 40. gr. frumvarpsins er lagt til að Persónuvernd geti beitt ýmsum úrræðum, t.d. mælt fyrir um stöðvun vinnslu sem fer fram í ómálefnalegum tilgangi.
Í 2. tölul. segir að söfnun upplýsinga skuli vera í yfirlýstum, skýrum og málefnalegum tilgangi og þær ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Þessi krafa gildir óháð því hvort upplýsingarnar eru sóttar beint til hins skráða eða ekki. Samkvæmt því verður ábyrgðaraðili alltaf að ákveða fyrir fram í hvaða tilgangi söfnun persónuupplýsinga á sér stað. Hitt er svo annað að söfnun upplýsinga getur átt sér margþættan tilgang. Með yfirlýstum tilgangi er átt við að hann skuli koma fram í tilkynningu ábyrgðaraðila til Persónuverndar. Þegar um er að ræða tilkynningar- eða leyfisskylda vinnslu verður því að geta um tilganginn á innsendri tilkynningu eða leyfisumsókn. Skv. 2. mgr. 32. gr. frumvarpsins getur Persónuvernd ákveðið nánar hvaða upplýsingar skuli koma fram á tilkynningum um vinnslu upplýsinga. Um vinnslu sem er hins vegar hvorki tilkynningar- né leyfisskyld gilda ákvæði 16. gr. um skyldu til að veita almenna vitneskju um tilgang vinnslu. Afmörkun tilgangs í tilkynningu hefur m.a. þýðingu við ákvörðun um hvort síðar megi nota upplýsingar í öðrum tilgangi. Því er mikilvægt að ábyrgðaraðili tilgreini tilgang vinnslu ítarlega á tilkynningu eða leyfisumsókn. Með áskilnaði um að tilgangurinn sé skýr er átt við að hann skuli vera nægjanlega vel skilgreindur og afmarkaður til að vinnslan sé gagnsæ og auðskilin og komið í veg fyrir svo víðtæka tilgreiningu tilgangs að undir hann megi fella næstum hvað sem er, enda samrýmist slíkt ekki sjónarmiðum um persónuvernd. Því viðkvæmari persónuupplýsingar sem unnið er með og því meiri afleiðingar sem notkun þeirra getur haft í för með sér þeim mun mikilvægara er að tilgangurinn sé skýrt afmarkaður. Auk þess er líklegra að sá sem upplýsingarnar varðar (hinn skráði) veiti réttar og viðeigandi upplýsingar ef hann þekkir tilgang vinnslunnar. Jafnframt verður auðveldara fyrir hann að gæta eigin hagsmuna, t.d. að krefjast þess að upplýsingum verði eytt, sbr. 24. gr. Loks ber að hafa í huga að varla er unnt að ákveða hvaða lágmarksupplýsingar vinna þarf með fyrr en tilgangurinn er skýr og hlýtur val persónuupplýsinga að ráðast af því í hvaða samhengi á að nota þær. Loks skal tilgangur vinnslu vera málefnalegur. Með því er átt við að ekki má vinna með upplýsingar í hvaða tilgangi sem er, jafnvel þótt hann sé yfirlýstur og skýr. Við mat á þessu verður m.a. að skoða hvort markmiðið sé í samræmi við eðli þeirrar starfsemi sem ábyrgðaraðili hefur með höndum. Samkvæmt þessu ákvæði má ekki vinna með persónuupplýsingar í tilgangi sem er ósamrýmanlegur þeim tilgangi sem var með söfnun þeirra. Hins vegar telst frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi ekki ósamrýmanleg sé viðeigandi öryggis gætt. Er hér tekið mið af b-lið 1. mgr. 6. gr. tilskipunar ESB. Slíkar rannsóknir eru tíðum þess eðlis að rökstyðja má að ávinningurinn af nýrri vinnslu geti verið meiri en óhagræðið fyrir þá einstaklinga sem í hlut eiga. Niðurstaða slíks hagsmunamats hlýtur þó að verða önnur þegar tillit til hins skráða telst af einhverjum ástæðum vega þyngra en hagsmunir samfélagsins af því að fá niðurstöðu rannsóknar. Er og ljóst að því viðkvæmari sem þær upplýsingar eru sem unnið er með þeim mun meiri kröfur verður að gera til mikilvægis almannahagsmuna. Við slíkt hagsmunamat vega þungt þær ráðstafanir sem gerðar eru til að draga úr hugsanlegu óhagræði fyrir hinn skráða. Dæmi um slíkar ráðstafanir geta verið ýmsar öryggisráðstafanir, t.d. dulkóðun upplýsinga, upplýsingagjöf til hins skráða o.s.frv. Í 29. lið formála tilskipunar ESB segir að slíkar ráðstafanir skuli einkum hafa það að markmiði að útiloka notkun upplýsinga til stuðnings ráðstöfunum eða ákvörðunum viðvíkjandi tilteknum einstaklingum. Ef notkun persónuupplýsinga í nýjum tilgangi byggist á heimild í lögum eða samþykki hins skráða þarf ekki að meta hvort nýr tilgangur samræmist þeim upprunalega þar sem ætla má að þess sjónarmiðs hafi verið nægjanlega gætt af hálfu löggjafans.
Í 3. tölul. segir að ekki megi vinna með aðrar persónuupplýsingar en þær sem eru nægilegar og viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Þetta ákvæði á sér vissa fyrirmynd í 3. gr. gildandi laga þar sem segir að kerfisbundin skráning persónuupplýsinga sé því aðeins heimil að hún sé eðlilegur þáttur í starfsemi viðkomandi aðila og taki einungis til þeirra sem tengjast starfi hans eða verksviði, svo sem viðskiptamanna, starfsmanna eða félagsmanna. Í stað þess orðalags er hér lögð til sjálfstæð regla um að ekki séu notaðar aðrar upplýsingar en þær sem hafa þýðingu fyrir yfirlýstan tilgang, bæði að því er snertir þá aðila sem upplýsingarnar varða og þær upplýsingar sem unnið er með. Með því að áskilja að upplýsingarnar séu nægjanlegar og viðeigandi er átt við að eðli þeirra og efni skuli þjóna yfirlýstum tilgangi. Ákvæðið mælir í raun fyrir um að vinnsla ábyrgðaraðila sé háð hlutfallssjónarmiði en með því er átt við að hún megi ekki ganga lengra en þörf krefur til að ná því markmiði sem ábyrgðaraðila er heimilt að ná.
Í 4. tölul. segir að persónuupplýsingar skuli vera áreiðanlegar og uppfærðar eftir þörfum og að afmá skuli eða leiðrétta persónuupplýsingar sem séu óáreiðanlegar eða ófullkomnar miðað við tilgang vinnslu þeirra. Í 28. gr. gildandi laga eru ákvæði um að afmá skuli skráðar upplýsinga sem vegna aldurs eða af öðrum ástæðum hafa glatað gildi sínu miðað við það hlutverk sem skrá er ætlað að gegna. Þar segir og að skrár sem séu í sífelldri notkun skuli geyma réttar upplýsingar en úreltar upplýsingar skuli afmá. Ákvæði 4. tölul. er ætlað að koma í stað þessa lagaákvæðis. Í ljósi d-liðar 6 gr. tilskipunar ESB um gæði upplýsinga er lagt til það orðalag að upplýsingar skuli vera áreiðanlegar og uppfærðar. Skylda til að uppfæra upplýsingar á að tryggja að leiðréttar séu upplýsingar sem reynast úreltar, sé þess þörf. Í vissum tilvikum mun ábyrgðaraðili getað frestað leiðréttingu. Hversu fljótt leiðrétting þarf að eiga sér stað ræðst bæði af efni þeirra upplýsinga sem unnið er með og því hvernig þær eru notaðar. Stundum má fresta leiðréttingu en sé t.d. um að ræða vinnslu rangra upplýsinga sem geta leitt til tjóns fyrir hinn skráða skal leiðrétting eiga sér stað tafarlaust.
Í 5. tölul. segir að ekki skuli varðveita persónuupplýsingar í persónugreinanlegu formi lengur en þörf er á miðað við tilgang vinnslu. Upplýsingar má með öðrum orðum ekki varðveita í persónugreinanlegu formi lengur en nauðsyn krefur í ljósi þess tilgangs sem var með söfnun þeirra og vinnslu. Ekki verður gefið einhlítt svar við því hversu lengi varðveita megi upplýsingar í persónugreinanlegu formi þar sem slíkt hlýtur að ráðast af aðstæðum hverju sinni. Hins vegar er rétt að Persónuvernd setji almennar reglur og leiðbeiningar um það hve lengi ábyrgðaraðili skuli að jafnaði varðveita persónugreinanlegar upplýsingar miðað við tegund vinnslu. Má minna á að ábyrgðaraðila er skylt að tilgreina á tilkynningu um vinnslu hvenær hann hyggst eyða persónuupplýsingum eða eftir atvikum greiningarlykli eða öðru því sem gerir upplýsingarnar rekjanlegar til einstakra manna.
Um 8. gr.
Þessi grein frumvarpsins er efnislega samsvarandi 7. gr. tilskipunar ESB og er hér tilgreint hvenær vinnsla almennra persónuupplýsinga er heimil. Ákvæðið á við um alla vinnslu persónuupplýsinga sem fellur undir gildissvið frumvarpsins, en lögmæti vinnslu tiltekinna upplýsinga ræðst þó jafnframt af 9. gr. frumvarpsins og eftir atvikum öðrum ákvæðum. Af ákvæðinu leiðir að vinnsla er óheimil nema uppfyllt sé eitthvert þeirra sjö skilyrða sem þar eru talin upp. Að undanskilinni reglu 1. tölul. eiga reglurnar allar það sameiginlegt að vinnsla er óheimil nema hún sé nauðsynleg vegna nánar tilgreindra hagsmuna. Það ræðst hins vegar af aðstæðum hverju sinni hvort tiltekin vinnsla persónuupplýsinga teljist nauðsynleg og er ábyrgðaraðila falið visst mat í þeim efnum. Persónuvernd mun þó ætíð geta endurskoðað slíkt mat sbr. 36.–38. gr. frumvarpsins, auk þess sem hún mun í framkvæmd laganna móta nánari viðmið um hvað teljist vera nauðsynlegt og hvað ekki. Mat á nauðsyn vinnslu ræðst af eðli hennar, en meta þarf hvern áfanga vinnslunnar sjálfstætt. Þannig þarf að meta sjálfstætt hvort nauðsynlegt sé að safna upplýsingum, skrá þær, miðla þeim, samkeyra þær o.s.frv. Matið ræðst og af eðli og efni þeirra upplýsinga sem unnið er með. Meðal annars skiptir máli hvort um sé að ræða upplýsingar um hrein einkamálefni einstaklinga, svo sem um félagsleg vandamál, hjónaskilnaði og samvistarslit, ættleiðingar og annað sem sanngjarnt er og eðlilegt að fari leynt, en þá ber að gera ríkar kröfur að því er varðar nauðsyn vinnslunnar.
Í 1. tölul. segir að vinna megi með persónuupplýsingar ef hinn skráði hefur gefið ótvírætt samþykki sitt. Hér er átt við samþykki í skilningi 7. tölul. 2. gr. frumvarpsins. Hafa ber í huga að vinnsla persónuupplýsinga sem er heimil á grundvelli samþykki hins skráða þarf jafnframt að fullnægja öllum skilyrðum 7. gr. frumvarpsins. Vinnslan verður því m.a. að vera í samræmi við vandaða vinnsluhætti persónuupplýsinga, fara fram í yfirlýstum, skýrum og málefnalegum tilgangi og má ekki ganga lengra en nauðsyn krefur. Þegar Persónuvernd metur hvort þessu skilyrði sé fullnægt tekur hún bæði mið af þeirri vinnsluaðferð sem viðhöfð er og eðli þeirra upplýsinga sem unnið er með. Sé um að ræða vinnslu upplýsinga um einkamálefni einstaklings, svo sem um félagsleg vandamál, hjónaskilnaði, samvistarslit, ættleiðingar o.s.frv., er t.d. eðlilegt að gera strangar kröfur málefnalegs tilgangs.
Í 2. tölul. kemur fram að vinna megi með persónuupplýsingar sé vinnslan nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hans áður en samningurinn er gerður. Af þessu ákvæði leiðir að í tengslum við efndir samnings við hinn skráða má viðhafa nauðsynlega vinnslu, svo sem á pöntunum, reikningum, kvittunum o.s.frv. Það er skilyrði að hinn skráði sé aðili samnings. Samningur milli ábyrgðaraðila og t.d. atvinnuveitanda hins skráða getur þar með ekki orðið grundvöllur vinnslu upplýsinga um hinn skráða. Undir ákvæðið fellur einnig sú aðstaða þegar vinnsla er nauðsynleg til að undirbúa gerð samnings.
Í 3. tölul. kemur fram að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Þetta ákvæði byggist á c-lið 7. gr. tilskipunar ESB. Með lagaskyldu er átt við hvers konar skyldu sem leiðir af lagasetningu, m.a. skyldur samkvæmt reglugerðum eða öðrum stjórnvaldsfyrirmælum sem eiga sér stoð í lögum. Undir hugtakið falla einnig skyldur samkvæmt dómi eða stjórnvaldsúrskurði. Hins vegar falla samningsskyldur ekki hér undir.
Í 4. tölul. kemur fram að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg til að vernda brýna hagsmuna hins skráða. Um slíkt getur t.d. verið að ræða sé hinn skráði, vegna sjúkdóms, fjarveru eða af öðrum samsvarandi ástæðum, ófær um að veita samþykki sitt. Sama á við sé vinnsla upplýsinga um hinn skráða svo áríðandi að hún geti ekki beðið þann tíma sem það tekur að afla slíks samþykkis. Af skírskotun til brýnna hagsmuna leiðir að vinnslan verður að tengjast hagsmunum sem hafa grundvallarþýðingu fyrir hinn skráða. Það gæti t.d. átt við þegar hinn skráði getur, vegna sjúkdóms eða fjarveru, ekki samþykkt vinnslu sem mundi forða honum frá verulegu fjárhagstjóni eða öðrum skaða.
Í 5. tölul. kemur fram að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna. Með þessu er átt við verkefni sem er í almannaþágu, þ.e. sem hefur þýðingu fyrir breiðan hóp manna. Þetta gæti t.d. átt við um vinnslu sem á sér stað í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi. Sama á við um vinnslu sem á sér stað í upplýsingakerfi réttarkerfisins sem ætlað er að veita almenningi upplýsingar um löggjöf, dómaframkvæmd o.s.frv. Vinnsla getur talist fara fram í þágu almannahagsmuna þótt hún fram ekki fram á vegum hins opinbera svo fremi hún þjóni hagsmunum breiðs hóps manna. Þótt vinnsla eigi sér stað í fjárhagslegu augnamiði útilokar það ekki að hún geti verið í þágu almannahagsmuna.
Í 6. tölul. kemur fram að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili eða þriðji maður, sem upplýsingum er miðlað til, fer með. Ákvæðið tekur meðal annars til vinnslu upplýsinga á vegum stjórnvalda sem tengist meðferð opinbers valds. Með því er fyrst og fremst átt við töku stjórnvaldsákvarðana. Jafnframt mundi önnur vinnsla sem telst til stjórnsýslu, svo sem við opinbera þjónustustarfsemi, alla jafna falla hér undir. Hafi meðferð opinbers valds verið falin þriðja manni með þjónustusamningi eða lögheimiluðu ytra valdframsali, leiðir af ákvæðinu að þessi þriðji maður getur viðhaft nauðsynlega vinnslu á upplýsingum við framkvæmd þeirrar stjórnsýslu.
Í 7. tölul. kemur fram að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg til að ábyrgðaraðili eða þriðji maður, eða aðili sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber lögum samkvæmt vegi þyngra. Ákvæðið á ekki við nema ábyrgðaraðili hafi viðhaft ákveðið mat, þ.e. mat á því hvort hagsmunir hins skráða af því að vinnslan fari ekki fram vegi þyngra en þeir hagsmunir sem mæla með vinnslunni. Ekki er nauðsynlegt að um sé að ræða hagsmuni ábyrgðaraðila eða þess þriðja manns sem tekur við upplýsingunum og því getur ákvæðið átt við þótt um hagsmuni annarra sé að ræða. Ávallt er þó skilyrði að hagsmunir séu lögvarðir.
Í 2. mgr. er regla um rafræna vöktun, sem samkvæmt frumvarpi þessu er ein tegund rafrænnar vinnslu, sbr. athugasemdir við 3. gr. frumvarpsins, og tekur m.a. til stafrænnar upptöku. Um annars konar vöktun gilda þau ákvæði sem vísað er til í 4. gr.
Um 9. gr.
Í þessu ákvæði er tæmandi upptalning á því hvenær má vinna með viðkvæmar persónuupplýsingar eins og það hugtak er skilgreint í 8. mgr. 2. gr. frumvarpsins. Í 4. gr. gildandi laga kemur fram sú meginregla að vinnsla viðkvæmra persónuupplýsinga er almennt óheimil nema um sé að ræða þær undantekningar sem þar koma fram. Í frumvarpsgrein þessari er hins vegar farin sú leið að hafa tæmandi upptalningu á því hvenær má vinna með slíkar upplýsingar. Er hér byggt á 2., 3. og 4. mgr. 8. gr. tilskipunar ESB.
Samkvæmt 1. tölul. 1. mgr. má vinna með viðkvæmar upplýsingar hafi hinn skráði samþykkt vinnsluna fyrir sitt leyti. Má ætla að á þetta geti reynt við gerð ýmiss konar samninga, svo sem vátryggingarsamninga, samninga um fjárhagsaðstoð o.s.frv. Átt er við samþykki í skilningi 7. tölul. 2. gr. frumvarpsins. Skilyrði um samþykki hins skráða er ákjósanlegt frá sjónarhóli persónuverndar en það getur þó ekki alltaf ráðið úrslitum um hvort vinnsla fer fram eða ekki. Því er lagt til að vinnsla slíkra upplýsinga geti verið heimil í öðrum tilvikum og er um þau fjallað í 2.–9. tölul. málsgreinarinnar. Þá getur einnig komið til þess að ekki nægi að fá samþykki hins skráða, t.d. ef hann veitir með því upplýsingar um aðra menn en sjálfan sig, eða ef lögboðið er að fleira þurfi til, sbr. a-lið 2. mgr. 8. gr. tilskipunar ESB. Þá kann samþykki að vera þýðingarlaust ef lög banna beinlínis vinnslu en ekki þykir ástæða til að geta þess sérstaklega í frumvarpstextanum.
Í 2. tölul. 1. mgr. kemur fram að vinna megi með viðkvæmar persónuupplýsingar standi til þess sérstök heimild í öðrum lögum. Samsvarandi ákvæði er í 2. mgr. 4. gr. gildandi laga, en 2. tölul. á sér stoð í 8. gr. tilskipunar ESB. Það ræðst af túlkun viðkomandi lagaákvæðis hvort skilyrðinu er fullnægt. Mat á því hvort lagastoð er fyrir hendi ræðst hverju sinni af skýringu viðkomandi sérlagaákvæðis, en því meiri íhlutun í einkalíf einstaklingsins sem umrædd vinnsla hefur í för með sér þeim mun ótvíræðari þarf lagaheimildin að vera. Skýring slíks ákvæðis ræðst þá m.a. af því hvort löggjafinn hafi í raun tekið tillit til þeirra almennu persónuverndarsjónarmiða sem á reynir við meðferð viðkvæmra persónuupplýsinga. Verður skilyrði 2. tölul. tæplega talið uppfyllt nema fyrir liggi að löggjafinn hafi skoðað slík sjónarmið en engu síður talið vinnsluna nauðsynlega vegna almannahagsmuna. Umhugsunarefni í því sambandi eru t.d. ákvæði laga um Þjóðskjalasafn Íslands, nr. 66/1985. Sem dæmi um lagaheimild skv. 2. tölul. má nefna ákvæði 1. mgr. 19. gr. laga um meðferð opinberra mála, nr. 19/1991, þar sem segir að ríkissaksóknari skuli halda sakaskrá fyrir landið allt. Þá segir í 3. mgr. sömu greinar að dómsmálaráðherra setji fyrirmæli í reglugerð um aðra kerfisbundna skráningu og varðveislu lögreglu á upplýsingum um brotaferil manna eða atriði sem varða einkahagi þeirra. Enn fremur má nefna sem dæmi um lagaheimild skv. 2. tölul. ákvæði laga um gagnagrunn á heilbrigðissviði, nr. 139/1998.
Í 3. tölul. 1. mgr. er lagt til að vinna megi með viðkvæmar persónuupplýsingar beri ábyrgðaraðila skylda til að framkvæma slíka vinnslu samkvæmt samningi aðila á vinnumarkaði. Skv. b-lið 2. mgr. 8. gr. tilskipunar ESB skal vinnsla slíkra upplýsinga teljast heimil sé hún nauðsynleg til að fullnægja skyldum eða sérstökum réttindum ábyrgðaraðila samkvæmt vinnulöggjöf. Hér á landi byggjast réttindi og skyldur á vinnumarkaði hins vegar ekki síður á frjálsum samningum en lagafyrirmælum og því er lögð til sú viðmiðun að ábyrgðaraðila sé vinnslan skyld samkvæmt samningi aðila á vinnumarkaði, en með því er m.a. átt við ákvæði í ráðningarsamningi og/eða heildarkjarasamningi. Hér sem endranær gildir einnig að því meiri íhlutun í einkalíf hins skráða sem vinnslan hefur í för með sér þeim mun ótvíræðara verður slíkt ákvæði að vera.
Í 4. tölul. 1. mgr. er lagt til að vinna megi með viðkvæmar persónuupplýsingar sé það nauðsynlegt til að verja verulega hagsmuni hins skráða eða annars aðila sem af líkamlegum eða andlegum ástæðum getur ekki sjálfur veitt samþykki skv. 1. tölul. Þessi undantekning byggist á c-lið 2. mgr. 8. gr. tilskipunar ESB og hin ströngu skilyrði gefa til kynna að ákvæðið ber að túlka þröngt. Af orðalagi tilskipunarinnar má ráða að vinnsla viðkvæmra persónuupplýsinga má ekki fara fram þegar hinn skráði gefur ekki samþykki sitt þótt hann geti það, jafnvel þótt hann tefli eigin hagsmunum þar með í tvísýnu. Hafi hinn skráði gerhæfi og skilji þá áhættu sem hann tekur á hann ákvörðunarvald í þeim efnum. Öðru máli gegnir ef slík neitun hefur þær afleiðingar að ekki verður unnt að verja verulega hagsmuni þriðja manns. Í slíkum tilvikum gæti Persónuvernd veitt undanþágu skv. 2. mgr. 9. gr. frumvarpsins, að öðrum skilyrðum uppfylltum. Með hagsmunum er átt við allar tegundir hagsmuna, þar á meðal fjárhagshagsmuni og hagsmuni sem tengjast andlegri og líkamlegri heilsu.
Í 5. tölul. 1. mgr. er lagt til að vinna megi með viðkvæmar persónuupplýsingar um einstaka meðlimi félagasamtaka sem ekki eru rekin í ábataskyni og þá sem eru í reglubundnu sambandi við þau samkvæmt lögmætu markmiði slíkra samtaka. Þetta ákvæði er í samræmi við d-lið 2. mgr. 8. gr. tilskipunar ESB. Gagnvart einstökum meðlimum hefur þessi undanþága ekki sjálfstæða þýðingu hafi þeir þegar samþykkt vinnsluna með samþykki skv. 1. tölul. Varðandi aðra einstaklinga kann að vera um einhvers konar viðskiptasamband að ræða, sbr. t.d. ef Hjálpræðisherinn býr til lista yfir heimilislausa menn sem þar hafa gist. Í slíkum tilvikum ber að túlka ákvæði 5. tölul. þannig að hið reglubundna samband, sem er forsenda vinnslunnar, byggist á fúsum og frjálsum vilja hins skráða. Þess vegna geta samtök t.d. ekki rekið kerfisbundna leitarstarfsemi og þannig öðlast rétt til að vinna með viðkvæmar upplýsingar um þá sem leitað er að en vilja e.t.v. ekki vera leitaðir uppi.
Í tilskipun ESB er gerð tilraun til að telja upp þær tegundir samtaka sem undir umrætt ákvæði geta fallið og það gert að skilyrði að um sé að ræða samtök með lögmæta starfsemi. Í því felst ekki aðeins að samtökin skuli vera lögleg í þröngum skilningi (þ.e. ekki bönnuð) heldur skuli vinnsla persónuupplýsinganna þjóna málefnalegum tilgangi vinnslunnar, sbr. 7. gr., og taka viðhlítandi tillit til persónuverndar, en með því er m.a. átt við nauðsynlegar öryggisráðstafanir. Lagt er til að sama viðmiðun gildi hér að þessu leyti. Af því leiðir að sé ekki tekið viðhlítandi tillit til persónuverndarsjónarmiða, með þeim afleiðingum að starfsemin telst vera ólögmæt, getur Persónuvernd skv. 40. gr. bannað viðkomandi samtökum að vinna með viðkvæmar persónuupplýsingar á grundvelli þessa ákvæðis eða mælt fyrir um ráðstafanir til að tryggja öryggi og persónuvernd. Að lokum skal áréttað að ákvæði 5. tölul. tekur ekki til allrar vinnslu persónuupplýsinga, sbr. að þar er beinlínis tekið fram að það heimili ekki birtingu (miðlun) upplýsinganna til óviðkomandi aðila. Samkvæmt því er ekki sjálfgefið að félagasamtök láti frá sér lista með nöfnum félagsmanna án þess að hafa til þess samþykki hvers og eins félagsmanns. Það hlýtur m.a. að ráðast af eðli viðkomandi samtaka.
Í 6. tölul. er lagt til að vinna megi með viðkvæmar persónuupplýsingar sem hinn skráði hefur sjálfur gert opinberar. Er hér farið að e-lið 2. mgr. 8. gr. tilskipunar ESB. Með því að upplýsingar hafi verið gerðar opinberar er átt við að þær hafi verið kunngjörðar ótilgreindum hópi manna, t.d. með ritun ævisögu eða í sjónvarpsviðtali. Síðari vinnsla slíkra upplýsinga er því heimil án sérstaks samþykkis hins skráða, en tekið skal fram að hér sem endranær gildir ákvæði 7. gr. um meðferð persónuupplýsinga.
Samkvæmt 7. tölul. má vinna með viðkvæmar persónuupplýsingar í því skyni að afmarka, setja fram og verja tiltekna kröfu vegna dómsmáls eða annarra slíkra laganauðsynja. Ákvæðið byggist á e-lið, i.f., 8. gr. tilskipunar ESB. Vinnuveitanda getur t.d. verið nauðsynlegt að vinna upplýsingar um heilsufar starfsmanns til að geta sýnt fram á lögmætar forsendur fyrir uppsögn. Það er ekki skilyrði að málið verði lagt fyrir dómstóla heldur nægir að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum. Vinnsla viðkvæmra persónuupplýsinga í þessum tilgangi telst hins vegar því aðeins vera lögleg að krafan verði hvorki afmörkuð né staðreynd með öðrum hætti.
Í 8. tölul. 1. mgr. er lagt til að vinna megi með viðkvæmar persónuupplýsinga ef vinnslan er nauðsynleg vegna læknismeðferðar eða hefðbundinnar stjórnsýslu á sviði heilbrigðisþjónustu. Er hér farið að ákvæðum 3. mgr. 8. gr. tilskipunar ESB. Ákvæðið hefur sjálfstæða þýðingu við hlið undanþáguákvæða 1. og 2. tölul., t.d. ef hinn skráði er of veikur eða getur af öðrum sambærilegum ástæðum ekki veitt samþykki sitt. Þessu undanþáguákvæði verður ekki beitt nema vinnslan sé framkvæmd af starfsmanni heilbrigðisstofnunar sem bundinn er þagnarskyldu samkvæmt lögum eða reglum settum af til þess bæru stjórnvaldi.
Í 9. tölul. 1. mgr. er lagt til að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg vegna tölfræði- eða vísindarannsókna. Ákvæði 9. tölul. er skylt 11. gr. gildandi laga sem þó varðar einvörðungu tölfræðirannsóknir. Hér er hins vegar fjallað bæði um tölfræði- eða vísindarannsóknir og lagt til að þær séu heimilar, enda sé persónuvernd tryggð með tilteknum ráðstöfunum, svo sem dulkóðun eða eyðingu persónuauðkenna. Er það hlutverk Persónuverndar að tryggja að slíkar ráðstafanir séu fullnægjandi og setja viðhlítandi skilmála í því skyni. Í þessu sambandi er rétt að hafa í huga að sé unnið með viðkvæmar persónuupplýsingar sem eru persónugreindar eða persónugreinanlegar, t.d. dulkóðaðar, kann vinnslan að vera leyfisskyld skv. 33. gr. frumvarpsins.
Í 2. mgr. er lagt til að Persónuvernd geti heimilað vinnslu viðkvæmra persónuupplýsinga í öðrum tilvikum en þeim er greinir í 1. mgr. þegar ríkir almannahagsmunir krefjast þess, enda séu viðhafðar ráðstafanir til að vernda hagsmuni hins skráða. Hér er farið að ákvæðum 4. mgr. 8. gr. tilskipunar ESB. Dæmi um mikilvæga almannahagsmuni er að finna í 34.–36. lið formála tilskipunarinnar. Í ýmsum tilvikum kunna mikilvægir samfélagshagsmunir að vera varðir í sérlögum sem heimila vinnslu upplýsinganna eins og áður segir.
Persónuvernd metur hvort þær ráðstafanir sem viðhafðar eru til að tryggja hagsmuni hins skráða séu viðhlítandi eða ekki. Telji Persónuvernd svo ekki vera verður undanþáguákvæðinu ekki beitt.
Um 10. gr.
Í þessari grein er afmarkað hvenær nota má kennitölur og hvenær ekki. Um notkun kennitölu er fjallað í 7. mgr. 8. gr. tilskipunar ESB þar sem segir að aðildarríkin skuli setja reglur þar að lútandi. Ákvæðið á sér ekki hliðstæðu í gildandi lögum og er því um nýmæli að ræða. Þó skal þess getið að í 1., 6. og 21. gr. gildandi laga er vikið að notkun kennitölu.
Samkvæmt frumvarpsgreininni þarf notkun kennitölu að eiga sér málefnalegan tilgang og vera nauðsynleg til að tryggja örugga persónugreiningu upplýsinga. Kröfunni um málefnalegan tilgang verður ekki fullnægt nema önnur auðkenni, svo sem nafn, heimilisfang eða viðskiptanúmer, séu ófullnægjandi. Við mat á málefnalegum tilgangi ber m.a. að líta til þess hvort örugg persónugreining sé mikilvæg fyrir hinn skráða, fyrir ábyrgðaraðila eða vegna almannahagsmuna.
Í stað þess að mæla ítarlega fyrir um hvenær notkun kennitölu sé heimil er lagt til að Persónuvernd meti það, enda er ekki sjálfgefið að sömu reglur gildi hverju sinni sem á reynir. Persónuvernd getur ákveðið að nota skuli kennitölur til að tryggja viðhlítandi öryggi í vinnslu persónuupplýsinga. Krafan um viðhlítandi gæði og öryggi tekur m.a. til þess að upplýsingar séu uppfærðar reglulega og að persónuupplýsingarnar séu réttar og fullnægjandi.
Um 11. gr.
Samkvæmt 1. mgr. ber ábyrgðaraðili ábyrgð á því að öryggismat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við ákvæði og staðla sem áskilin eru í reglum sem Persónuvernd setur um hvernig tryggja skuli öryggi upplýsinga. Mikilvægt er að reglur þessar verði kynntar eftir þörfum og séu aðgengilegar. Þá er sérstaklega áréttað að ábyrgðaraðili skuli jafnframt gæta þess að vinnsla persónuupplýsinga sé í samræmi við 7. gr.
Í 2. mgr. er sú skylda lögð á ábyrgðaraðila að reglulega sé framkvæmt öryggismat og gerðar kerfisbundnar öryggisráðstafanir til að fullnægja skilyrðum 1. mgr. Þetta miðar að því að tryggja á hverjum tíma öryggi og gæði persónuupplýsinga.
Þá er í 4. mgr. sú skylda lögð á ábyrgðaraðila að halda skrá yfir öryggismat og öryggisráðstafanir sem fram hafa farið og skal Persónuvernd hafa aðgang að henni hvnær sem er. Þetta er mikilvægt til að tryggja eftirlit með öryggi og gæði persónuupplýsinga.
Um 12. gr.
Samkvæmt þessu ákvæði skal ábyrgðaraðili viðhafa innra eftirlit í starfsemi sinni og færa reglulega skýrslur um það eftirlit. Innra eftirlit lýtur að því að tryggja að farið sé að almennum reglum laga, þ.m.t. laga þessara, reglugerðum og sérstökum fyrirmælum sem Persónuvernd hefur sett skv. 35. eða 40. gr. frumvarps þessa. Í skýrslum þeim sem færðar eru skal koma fram hvaða kerfi er notað við innra eftirlitið og hvernig það tryggi að farið sé að settum reglum. Innra eftirlit getur m.a. falist því að meta markmið vinnslunnar, setja vinnureglur, skoða áhættuna og það hvort unnið sé í samræmi við ákvæði laga og annarra fyrirmæla. Þetta ákvæði er m.a. sett fram að teknu tilliti til ákvæðis 6. gr. tilskipunar ESB um gæði upplýsinga.
Í frumvarpinu er lagt til að öllum ábyrgðaraðilum verði skylt að framkvæma mat skv. 1. mgr. en slíkt mat þarf ekki óhjákvæmilega að leiða til beinna ráðstafana af hálfu ábyrgðaraðila. Til dæmis geta tilvik verið það fá að auðveldlega megi framkvæma fyrirmæli laga þessara þótt ekki séu gerðar sérstakar ráðstafanir.
Skýrslur sem færðar verða samkvæmt þessu ákvæði verða að vera aðgengilegar fyrir Persónuvernd þegar eftir þeim er kallað, sbr. 1. mgr. 38. gr. Skýrslur skal færa reglulega og aðlaga innra eftirlitskerfi breyttum þörfum jafnóðum.
Í 2. mgr. 18. gr. tilskipunar ESB, sbr. og ákvæði 3. mgr. 21. gr., er vikið að innra eftirliti þegar um er að ræða vinnslu sem verður undanþegin tilkynningarskyldu. Er miðað við að hjá slíkum aðila skuli tilnefna a.m.k. einn aðila (fulltrúa Persónuverndar) sem verði ábyrgur fyrir því að unnið sé í samræmi við ákvæði laga og önnur fyrirmæli. Skal sá aðili halda skrá yfir þær vinnslur sem fram fara og hún hafa að geyma sömu upplýsingar og fram koma á tilkynningum um þær vinnslur sem eru tilkynningarskyldar. Skulu þessar upplýsingar vera aðgengilegar almenningi.
Um 13. gr.
Greinin afmarkar hvernig vinnsluaðila er heimilt að ráðstafa persónuupplýsingum sem hann vinnur með og byggist á 2.–4. mgr. 17. gr. tilskipunar ESB. Átt er við vinnsluaðila í skilningi 5. tölul. 2. gr. frumvarpsins.
Í 1. málsl. er fjallað um notkun upplýsinga í öðrum tilgangi en upphaflegum og í 2. málsl. er fjallað um afhendingu til annarra aðila til varðveislu eða vinnslu. Í ákvæði 2. málsl. felst að vinnsluaðila er óheimilt að vinna með öðrum vinnsluaðilum að framkvæmd umsaminna verkefna nema í samráði við ábyrgðaraðila.
Frumvarpsgreinin er nýmæli en efnislega skyld ákvæði er að finna í 24., 25. og 28. gr. gildandi laga.
Um 14. gr.
Í gildandi lögum er ekki að finna sambærilegt ákvæði við það sem hér er lagt til að verði lögfest, sbr. þó sérákvæði 18. gr., en skyld ákvæði er bæði að finna í upplýsingalögum, nr. 50/1996, 11. gr., og í stjórnsýslulögum, nr. 37/1993, 9. gr. Í tilskipun ESB er ekki að finna heildarákvæði eins og hér er lagt til að lögfest verði heldur aðeins dreifð ákvæði um kröfur til málshraða af hálfu ábyrgðaraðila.
Það hvað teljast sérstakar ástæður í skilningi 2. mgr. greinarinnar verður að meta hverju sinni og ræðst m.a. af því hvaða réttindi það eru sem viðkomandi vill nýta sér og hversu umfangsmikil þau eru. Algengasta skýring þess að ábyrgðaraðili geti ekki fullnægt skyldu sinni í tæka tíð verður væntanlega takmörkuð afkastageta hans. Slíkt getur í vissum tilvikum verið ásættanleg skýring, t.d. ef um er að ræða kröfu skv. 27. gr. um handunna vinnslu, að því tilskildu að slík krafa sé afgreidd á sömu forsendum og aðrar sambærilegar kvartanir og í þeirri röð sem þær berast. Þegar um er að ræða kröfu manns skv. 28. gr. um að fá nafn sitt „bannmerkt“, þ.e. fá nafnið merkt um að bannað sé að nota það í markaðssetningarstarfsemi, verður hins vegar ekki fallist að of lítil afkastageta geti verið réttmæt ástæða fyrir töfum á afgreiðslu.
Um 15. gr.
Í þessari grein er mælt fyrir um að hinn skráði, og aðrir eftir því sem við á, skuli geta nýtt rétt sinn samkvæmt tilteknum ákvæðum án endurgjalds. Með ákvæðinu er lagt til að lögfest verði gildandi framkvæmd. Samsvarandi ákvæði er ekki í gildandi lögum en í 13. gr. frumvarps til þeirra var svipað ákvæði sem fellt var út í meðförum þingsins. Í 12. gr. upplýsingalaga nr. 50/1997 er skylt ákvæði um kostnað af ljósritun gagna, og hefur á grundvelli þess ákvæðis verið sett reglugerð nr. 579/1996.
Um 16. gr.
Hér er lagt til að lögfest verði ákvæði um skyldu ábyrgðaraðila til að veita almenna vitneskju um þá vinnslu persónuupplýsinga sem fram fer á hans vegum. Ákvæðið tekur til rafrænnar vinnslu og handunninnar vinnslu ef persónuupplýsingarnar eru eða verða hluti af skrá. Ekki er nauðsynlegt að vinnslan sé tilkynningarskyld, sbr. 3. mgr. 21. gr. tilskipunar ESB. Hins vegar ber að meginstefnu til að veita vitneskju um sömu atriði og almennt munu koma fram í slíkum tilkynningum. Tilkynningarnar munu þó að öllu jöfnu hafa að geyma víðtækari upplýsingar. Ef um er að ræða vinnslu sem ekki er tilkynningarskyld ber ábyrgðaraðila að halda uppfært yfirlit sem hefur a.m.k. að geyma upplýsingar um þau atriði sem talin eru í 2. mgr. Sambærilegt ákvæði er ekki í gildandi lögum.
Samkvæmt 1. mgr. er ábyrgðaraðila skylt, sé þess óskað, að veita almenna vitneskju um þá vinnslu persónuupplýsinga sem fram fer á hans vegum. Markmið ákvæðisins er í fyrsta lagi að veita hverjum sem er færi á að ganga úr skugga um hvort honum þyki vinnslan áhugaverð og ástæða til að fá um hana gleggri upplýsingar skv. 2. mgr., t.d. til að undirbúa beiðni skv. 18. gr. Í öðru lagi er markmið þessa ákvæðis að skapa manni forsendur til að meta hvort hann kæri sig um að umræddur ábyrgðaraðili vinni með upplýsingar um sig eða ekki. Til dæmis getur maður beðið um almennt yfirlit skv. 1. mgr. áður en hann ákveður hvort hann vilji að nafn sitt sé sett á félagaskrá eða hann gengur í tiltekinn klúbb, svo sem bókaklúbb, vildarklúbb o.s.frv.
Í 2. mgr. er mælt fyrir um rétt manns til að fá vitneskju um tiltekna tegund eða tegundir vinnslu persónuupplýsinga. Sá sem vill nýta sér þennan rétt verður með öðrum orðum að tilgreina nákvæmlega hvaða vinnslu hann vill fá vitneskju um. Skulu upplýsingar sem veittar eru skv. 1. mgr. vera nægilega skýrar til að viðkomandi geti áttað sig á hvort hann þurfi að fá frekari upplýsingar og þá um hvaða vinnslu. Í 1.–6. tölul. 2. mgr. eru taldar upp þær upplýsingar sem veita skal. Miðað er við að upplýsingarnar skuli vera almennar, staðlaðar og stuttorðar. Bæði Persónuvernd og hinn skráði eiga víðtækari rétt en hér er mælt fyrir um.
Samkvæmt 3. mgr. 21. gr. tilskipunar ESB skal veita upplýsingar um þau atriði sem þar eru talin í a–e-liðum 1. mgr. 19. gr. Í þessu frumvarpi er á þeirri upptalningu byggt og til viðbótar lagt til að ábyrgðaraðili skuli veita upplýsingar um hver ber daglega ábyrgð á að fullnægt sé skyldum ábyrgðaraðila. Gagnstætt því sem gildir um tilkynningar til Persónuverndar þarf ekki að veita vitneskju um öryggisráðstafanir.
Samkvæmt 6. tölul. 2. mgr., sem er í samræmi við d-lið 1. mgr. 19. gr. tilskipunar ESB, skal greina frá því hverjir séu viðtakendur upplýsinga, en í því getur falist fyrir hvern sé unnið og hver fái upplýsingarnar afhentar. Hér nægir að tilgreina tegund eða flokka viðtakenda, en ekki er nauðsynlegt að nafngreina einstaka viðtakendur. Hins vegar má ekki flokka viðtakendur svo gróflega að upplýsingarnar verði í raun merkingarlausar. Einnig skal veita vitneskju um það hvort ætlunin sé að flytja upplýsingar til viðtakenda í öðrum löndum og tekur það ekki einvörðungu til ríkja utan EES-svæðisins. Vísast nánar til V. kafla frumvarpsins um þetta efni.
Í 3. mgr. er tekið fram hvert kröfu um vitneskju verði beint. Kröfu má beina til ábyrgðaraðila eða fulltrúa hans ef ábyrgðaraðili hefur ekki staðfestu á Íslandi en nýtir tækjabúnað sem staðsettur er hér á landi. Það að einnig megi beina slíkri kröfu til fulltrúans leiðir af lokamálslið 2. mgr. 6. gr., en er áréttað hér til frekari glöggvunar. Af forsendum þessarar frumvarpsgreinar leiðir að hinn skráði getur ekki beint kröfu samkvæmt ákvæðinu til vinnsluaðilans, en hins vegar stendur ekkert því í vegi að ábyrgðaraðili feli vinnsluaðila að veita umbeðnar upplýsingar, og uppfylli með því skyldur sínar. Ef um er að ræða tilkynningar- eða leyfisskylda vinnslu má beina kröfu um upplýsingar til Persónuverndar skv. 17. gr.
Ákvæði þessarar frumvarpsgreinar er nýtt í lögum um persónuupplýsingar. Efnislega skylt ákvæði er reyndar að finna í 1. mgr. 9. gr. gildandi laga en gildissvið þess er til muna takmarkaðra en frumvarpsgreinarinnar.
Um 17. gr.
Samkvæmt 1. mgr. skal Persónuvernd halda skrá yfir alla tilkynnta og heimilaða vinnslu og er þar farið að 2. mgr. 21. gr. tilskipunar ESB. Þá er í 7. tölul. 2. mgr. 37. gr. frumvarpsins mælt fyrir um birtingu árlegrar skýrslu um starfsemina. Koma þessi ákvæði að nokkru í stað 36. gr. gildandi laga þar sem segir að tölvunefnd skuli árlega birta skýrslu um starfsemi sína með yfirliti yfir þau starfsleyfi, samþykki og heimildir sem nefndin hefur veitt, reglur sem hún hefur sett og úrskurði sem hún hefur kveðið upp.
Í 2. mgr. er mælt fyrir um að skráin skuli gerð aðgengileg almenningi og getur Persónuvernd ákveðið hvernig það verði gert, t.d. hvort hún verði gerð aðgengileg á netinu eða ekki. Leggja ber áherslu á að allir hafi jafna möguleika á að kynna sér skrána óháð efnum og aðstæðum.
Um 18. gr.
Í þessari grein er fjallað um rétt hins skráða til aðgangs að upplýsingum um sjálfan sig, í 1. tölul., og um önnur atriði sem nánar eru tilgreind í 2.–5. tölul. Þetta ákvæði rýmkar og skerpir þann rétt sem mælt er fyrir um í IV. kafla gildandi laga (9. gr.). Er hér að efni til fylgt a-lið 12. gr. tilskipunar ESB.
Í 1. tölul. 1. mgr. kemur fram sú meginregla að hinn skráði eigi rétt til aðgangs að upplýsingum um sig. Það nær til upplýsinga sem unnar eru með rafrænum hætti og handunninna upplýsinga ef þær eru eða eiga að verða hluti af skrá og á ákvæðið sér nokkra hliðstæðu í 1. mgr. 9. gr. gildandi laga. Frá þessari meginreglu eru engu síður nokkrar undantekningar, sbr. 19. gr. frumvarpsins, en þar er fylgt 13. gr. tilskipunar ESB.
Samkvæmt 2. tölul. 1. mgr. á hinn skráði rétt á að fá upplýsingar um tilgang vinnslu. Gagnstætt því sem gildir skv. 3. tölul. 2. mgr. 16. gr. á hinn skráði samkvæmt þessum tölulið rétt á að fá upplýsingar sem gagngert varða tilganginn með vinnslu þeirra upplýsinga sem varða hann sjálfan. Beinn og persónulegur réttur til upplýsinga tekur með sama hætti til upplýsinga skv. 3. tölul., þ.e. um miðlun, og skv. 4. tölul. um hvaðan upplýsingarnar koma.
Samkvæmt 5. tölul. 1. mgr. á hinn skráði rétt til upplýsinga um öryggisráðstafanir, en sá fyrirvari er gerður að slíkt skerði ekki öryggi vinnslunnar. Að því er þennan fyrirvara varðar verður að greina á milli hinna ýmsu öryggisráðstafana. Ráðstafanir sem eiga að tryggja að óviðkomandi geti ekki fengið aðgang að persónuupplýsingum mundu falla undir þennan fyrirvara en annars konar öryggisráðstafanir, t.d. ráðstafanir til að tryggja gæði og áreiðanleika upplýsinga, hins vegar ekki.
Þá vitneskju sem hér um ræðir skal ávallt veita án endurgjalds og án sérstakra hindrana, sbr. a-lið 12. gr. tilskipunar ESB og ákvæði 14. og 15. gr. frumvarpsins.
Um 19. gr.
Í þessari grein er mælt fyrir um takmarkanir á rétti hins skráða til aðgangs að upplýsingum sem varða hann sjálfan.
Í 1. mgr. er mælt fyrir um takmarkanir á upplýsingarétti hins skráða ef um er að ræða persónuupplýsingar sem einvörðungu eru nýttar til tölfræði- eða vísindarannsókna. Ákvæðið er að hluta til sambærilegt við 11. gr. gildandi laga þar sem fram koma takmarkanir á aðgangsrétti hins skráða ef um skrár er að ræða sem einvörðungu er stofnað til í þágu tölfræðilegra útdrátta. Í málsgreininni er hins vegar sett það viðbótarskilyrði að vinnsla upplýsinganna geti ekki haft bein áhrif gagnvart viðkomandi einstaklingi. Af því leiðir að hinn skráði hefur rétt til aðgangs að umræddum upplýsingum ef ætla má að vinnsla þeirra geti haft réttaráhrif eða beinar afleiðingar gagnvart honum. Á það ekki við um upplýsingar sem gerðar hafa verið ópersónugreinanlegar.
Í 2. mgr. ræðir um það tilvik þegar hagsmunir hins skráða af því að fá umbeðinn aðgang þykja, að nokkru eða öllu leyti, verða að víkja fyrir hagsmunum hans sjálfs. Hér er fyrst og fremst átt við hagsmuni sem tengjast heilsu hins skráða eða sambandi hans við þá einstaklinga sem standa honum næst. Svipað ákvæði var í 2. mgr. 9. gr. núgildandi laga um skráningu og meðferð persónuupplýsinga áður en henni var breytt með 25. gr. upplýsingalaga, nr. 50/1996. Til samanburðar skal bent á að í tilmælum Evrópuráðsins nr. R (97) 5 um meðferð heilsufarsupplýsinga er að finna skylt ákvæði í grein 5.6. þar sem gert er ráð fyrir slíkri undantekningu. Nýmæli er hins vegar að afhenda megi umboðsmanni hins skráða umbeðnar upplýsingarnar ef engar sérstakar ástæður mæla gegn því. Um heimild til að afhenda sjúklingi eða umboðsmanni hans sjúkraskrá eða hluta hennar gilda ákvæði 2. mgr. 14. gr. laga um réttindi sjúklinga, nr. 74/1997. Í g-lið 1. mgr. 13. gr. tilskipunar ESB er gert ráð fyrir sambærilegri takmörkun. Hugtakið venslamenn ber að skýra þröngt þannig að það taki aðeins til þeirra sem standa hinum skráða næst.
Í 3. mgr. eru mörkuð skil upplýsingaréttar samkvæmt stjórnsýslu- og upplýsingalögum annars vegar og persónuupplýsingalögum hins vegar þar sem miðað er við að réttur til aðgangs samkvæmt persónuupplýsingalögum verði sambærilegur við rétt aðila máls skv. 15. gr. stjórnsýslulaga og rétt almennings skv. 9. gr. upplýsingalaga. Af því leiðir að aðili getur ekki á grundvelli persónuupplýsingalaga krafist aðgangs að skjölum eða öðrum gögnum sem undanþegin eru aðgangi samkvæmt stjórnsýslu- eða upplýsingalögunum. Með vísun til þess að hjá einkaaðilum getur reynt á svipaða hagsmuni og hjá stjórnvöldum er lagt til að sömu reglur gildi um aðgang að gögnum þeirra og gilda um aðgang að gögnum stjórnvalda, þ.e. varðandi innanhússkjöl og vinnugögn.
Í 4. mgr. er nýmæli um að hinn skráði geti fengið vitneskju um efnislegt innihald skjala og annarra gagna. Ljóst er að oft er ekki sama þörf á að undanþiggja upplýsingar um staðreyndir með sama hætti og upplýsingar um matskennd atriði, svo sem um álit eins manns á öðrum eða ályktanir sem einn kýs að draga af fyrirliggjandi staðreyndum.
Í 5. mgr. er ákvæði um að að fresta megi upplýsingagjöf með þeim skilyrðum er þar greinir. Þarfnast það ekki frekari skýringa.
Í 6. mgr. er ákvæði um að ráðherra geti með reglugerð sett skilmála um beitingu upplýsingaréttar hins skráða. Rétt er að benda á að með slíkri reglugerð má aldrei þrengja slíkan rétt svo að í bága fari við ákvæði laganna, sbr. 13. gr. tilskipunar ESB. Að lokum skal bent á að ábyrgðaraðila getur verið heimilt að veita aðgang að meiri upplýsingum en honum er skylt samkvæmt lögunum, enda brjóti hann við það hvorki almenn þagnarskylduákvæði né raski hagsmunum annarra. Oft getur rýmri upplýsingagjöf átt rétt á sér en slíkt verður ábyrgðaraðili að meta hverju sinni sem á reynir.
Um 20. gr.
Greinin leggur ábyrgðaraðila þá skyldu á herðar að fræða hinn skráða um tiltekin atriði þegar safnað er upplýsingum hjá honum. Ákvæðið tekur mið af 10. gr. tilskipunar ESB. Er sambærilegt ákvæði ekki í gildandi lögum en þó er skylt ákvæði að finna í a-lið 3. mgr. 24. gr. gildandi laga. Hins vegar hefur tölvunefnd í framkvæmd gildandi laga að jafnaði lagt fyrirmæli svipaðs efnis fyrir þá sem safna upplýsingum á þennan hátt.
Í 1. mgr. eru fyrirmæli um þá lágmarksfræðslu sem veita skal hinum skráða. Ef umrædd atriði eru hinum skráða þegar kunn á fræðsluskyldan ekki við. Ekki nægir alltaf að fræða um þau atriði sem tilgreind eru í 1. mgr. Markmið fræðsluskyldunnar er að veita hinum skráða möguleika á að nýta sér þann rétt sem hann á samkvæmt lögunum, t.d. til aðgangs, leiðréttingar o.s.frv.
Það er ábyrgðaraðilinn sem í fyrstu metur hvort þörf sé nánari fræðslu skv. 2. mgr. Bera má niðurstöðu hans þar að lútandi undir Persónuvernd sem skv. 40. gr. frumvarpsins getur, telji hún þess þörf, lagt fyrir ábyrgðaraðila að veita nánari fræðslu. Vilji ábyrgðaraðili af hagkvæmnisástæðum veita umrædda fræðslu á stöðluðu formi, og jafnvel með sjálfvirkum hætti, er það heimilt, að því tilskildu að veitt sé nægilega víðtæk fræðsla.
Um 21. gr.
Í 20. gr. er sú skylda lögð á herðar ábyrgðaraðila að veita tiltekna fræðslu þegar hann safnar upplýsingum frá hinum skráða. Í þessari grein er hins vegar lögð viðvörunarskylda á ábyrgðaraðila þegar hann safnar upplýsingum um hinn skráða annars staðar frá. Frumvarpsgreinin á sér nokkra hliðstæðu í gildandi lögum, sbr. 6. gr. 3. mgr. i.f., en hún tekur fyrst og fremst mið af 11. gr. tilskipunar ESB.
Í 1. mgr. kemur fram sú meginregla að gera skuli hinum skráða viðvart þegar aflað er persónuupplýsinga um hann frá öðrum en honum sjálfum og greina honum frá þeim atriðum sem rakin eru í 2. mgr. 16. gr. Almennt skal slík viðvörun eiga sér stað um leið og upplýsingarnar eru skráðar, þ.e. færðar inn í gagnagrunn, og vera kann hagkvæmt að skipuleggja starfsemi þannig að viðvörun fari sjálfkrafa af stað við skráningu. Gæti slíkt t.d. reynst hentugt í starfsemi fjárhagsupplýsingastofa.
Með viðvörun er að meginstefnu átt við persónubundin skilaboð, þ.e. sérstaka viðvörun til hvers og eins hinna skráðu. Sé slíkt óhentugt getur Persónuvernd heimilað að viðvörun sé veitt með öðrum hætti, t.d. með birtingu auglýsinga. Ef slíkar hópviðvaranir eru óframkvæmanlegar er ekki um neina viðvörunarskyldu að ræða.
Þegar upplýsingum er safnað í því augnamiði að miðla þeim áfram má fresta viðvörun þar til miðlunin fer fram, svo fremi það sé gert innan sanngjarns og eðlilegs frests. Þessi fyrirvari styðst við þau rök að það geti grafið undan viðvörunarskyldunni ef fresta má viðvörun í ótiltekinn tíma. Hvað telst sanngjarn og eðlilegur tími ræðst af mati á aðstæðum hverju sinni, en ætla verður að Persónuvernd muni í framkvæmd móta viðmið í því sambandi, sbr. 40. gr. frumvarpsins. Um fjárhagsupplýsingastofur gildir sérregla lokamálsliðar.
Samkvæmt tilskipun ESB er heimilt að veita undanþágur frá viðvörunarskyldu. Þykir eðlilegt að nýta það svigrúm og sér þess stað í 2. mgr. Skv. 1. tölul. gildir viðvörunarskyldan ekki ef hún er að mati Persónuverndar óframkvæmanleg eða leggur þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast. Er hér höfð nokkur fyrirmynd af 2. mgr. 11. gr. tilskipunarinnar. Verður í þessu sambandi að vega hagsmuni hins skráða af því að fá slíka viðvörun á móti því óhagræði sem hún hefur í för með sér fyrir ábyrgðaraðila.
Samkvæmt 2. tölul. gildir viðvörunarskyldan ekki þegar vitað er að hinum skráða er þegar kunnugt um vinnsluna, sbr. 1. mgr. 11. gr. tilskipunar ESB. Undantekning þessi styðst við þau rök að viðvörunar sé ekki þörf þegar svo hagar til. Svo undantekningu þessari verði beitt er skilyrði að hinum skráða sé kunnugt um þau atriði sem talin eru í 2. mgr. 16. gr. frumvarpsins.
Samkvæmt 3. tölul. er viðvörun óþörf ef skráning upplýsinganna eða miðlun byggist á fyrirmælum laga. Er hér tekið mið af 2. mgr. 11. gr. tilskipunar ESB. Í slíkum tilvikum verður að telja að umræddum boðum hafa verið komið á framfæri við birtingu laganna og því sé sjálfstæð viðvörun óþörf.
Um 22. gr.
Í greininni er hinum skráða veittur réttur til að fá að vita hvaða forsendur liggja til grundvallar ákvörðun sem einvörðungu byggist á sjálfvirkri vinnslu persónuupplýsinga. Efni ákvæðisins tekur mið af 3. undirmgr. a-liðar 12. gr. tilskipunar ESB. Samsvarandi ákvæði er ekki að finna í gildandi lögum.
Frumvarpsgreinin á í fyrsta lagi við þegar fyrir liggur ákvörðun sem einvörðungu byggist á sjálfvirkri vinnslu og í öðru lagi er skilyrði að niðurstaðan hafi bein áhrif gagnvart hinum skráða.
Seinni málsliður frumvarpsgreinarinnar fjallar um efni rökstuðningsins, þ.e. það reglukerfi sem tölvuhugbúnaður vinnur eftir og liggur ákvörðuninni til grundvallar. Með því er átt við almenna staðla sem stýra ákvörðunarferlinu, t.d. lagareglur og túlkun þeirra, samninga og matskenndar leiðbeiningar. Um rökstuðning fyrir ákvörðunum stjórnvalda gilda ákvæði stjórnsýslulaga, nr. 37/1993, eftir því sem við á.
Um 23. gr.
Greinin hefur að geyma ákvæði sem varða gerð og notkun persónumynstra sem á Norðurlandamálum eru kölluð „personprofiler“. Persónumynstur verður til þegar ýmiss konar persónuupplýsingum er steypt saman til að finna hóp manna sem fellur inn í sameiginlegt mynstur að því er varðar hátterni, smekk, þarfir, hæfileika o.fl. Slíkar upplýsingar geta t.d. verið rafræn spor, svo sem persónuupplýsingar sem safnað er reglulega í kerfi fyrir greiðslumiðlun, rafræna upplýsingaþjónustu á netinu og þess háttar. Þá geta persónumynstur orðið til úr ýmiss konar upplýsingum, svo sem um hvar menn versla, hvað þeir kaupa og hvenær, tekjuflokka þeirra, menntun, búsetu, tómstundir, áhugamál og aldur. Ef t.d. er safnað saman upplýsingum um menn sem vinna eftir kl. 19.00, oftar en þrisvar í viku, hafa yfir 100.000 kr. í mánaðarlaun og búa í tilteknu hverfi verður til hópur sem fellur inn í mynstur sem gefur til kynna tilteknar þarfir. Mynstrið gerir t.d. líklegt að einstaklingar í hópnum vilji skipta við tiltekna pöntunarþjónustu. Þá má einnig hugsa sér notkun persónumynstra við söfnun meðlima í ýmiss konar samtök, söfnun nýliða í hóp þeirra sem styrkja ýmiss konar hugsjónastarfsemi eða fyrir pólitíska áróðurs- og áhrifastarfsemi. Persónumynstur eru einkum notuð við greiningu í markhópa en þau eru og notuð víðar, svo sem við töku sértækra ákvarðana, t.d. um lánveitingar.
Af ákvæðum greinarinnar og 31. gr. leiðir að gerð og notkun persónumynstra er tilkynningarskyld. Þegar Persónuvernd berst slík tilkynning getur hún ákveðið að ábyrgðaraðili geri hinum skráða aðvart um notkun persónumynstra, hvaðan þau eru fengin, tegund upplýsinga sem notaðar eru og hver er ábyrgðaraðili fyrir mynstrinu. Hins vegar mundi í viðvörun ekki þurfa að gera grein fyrir þeirri efnislegu ályktun sem býr að baki gerð mynstursins, þ.e. að upplýst sé hvers vegna tiltekinn maður fellur í tiltekið mynstur. Ákvæðið gildir bæði um notkun persónumynstra við töku sértækra ákvarðana og t.d. við gerð úrtaks, svo sem í starfsemi markaðssetningarfyrirtækja og þeirra sem framkvæma skoðanakannanir.
Svo notkun persónumynsturs sé lögmæt þarf sá sem það vinnur og notar í fyrsta lagi að hafa aðgang að persónuupplýsingum, en þagnarskylduákvæði geta staðið slíkum aðgangi í vegi. Í öðru lagi verður slík notkun að uppfylla kröfur 7. gr. um meðferð persónuupplýsinga og í þriðja lagi ákvæðum 8. og 9. gr. um vinnslu persónuupplýsinga.
Samkvæmt 2. mgr. skal Persónuvernd, við mat á því hvort senda skuli út viðvaranir, m.a. líta til þess hvort viðvörun sé að hennar mati óframkvæmanleg eða leggi þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast. Í slíku mati getur Persónuvernd einnig lagt til grundvallar hvort ætla megi að hinum skráða hafi þegar borist viðvörun um vinnsluna.
Það mundi ekki hafa áhrif á viðvörunarskylduna þótt gerð mynstursins hafi að hluta til verið handunnin. Viðvörunarskylda samkvæmt þessu ákvæði er í raun til viðbótar ákvæðum 20., 21. og 22. gr. Ákvæðið mælir fyrir um notkun persónuupplýsinga á sviði þar sem sérstakrar persónuverndar er þörf, en fyrrnefnd ákvæði taka aðeins til að hluta til, m.a. vegna þess að þau hafa ekki að geyma fyrirmæli um viðvaranir um gerð og notkun persónumynstra.
Um 24. gr.
Greinin hefur að geyma sérákvæði um viðvörunarskyldu þegar um rafræna vöktun er að ræða. Hin almennu viðvörunarákvæði frumvarpsins falla illa að þessari tegund vinnslu persónuupplýsinga og þykir því vera þörf fyrir sérstakt ákvæði um hana. Hér verða oft engin bein tengsl milli ábyrgðaraðila og hins skráða og ábyrgðaraðila verður e.t.v. ekki kunnugt um nafn eða heimili hins skráða. Af því leiðir að almenna reglan um einstaklingsbundnar viðvaranir á ekki við. Af þessu ákvæði frumvarpsins leiðir að vöktun með leynd og vöktun annars staðar en á vinnustað og á almannafæri er óheimil nema til hennar standi sérstök lagaheimild, sbr. t.d. þær sérreglur sem gilda um vöktun af hálfu lögreglu samkvæmt ákvæðum lögreglulaga, nr. 90/1996, og ákvæðum laga um meðferð opinberra mála, nr. 19/1991.
Um 25. gr.
Samkvæmt þessari grein ber ábyrgðaraðila skylda til að leiðrétta, eyða, bæta við eða stöðva notkun á röngum, villandi eða ófullkomnum persónuupplýsingum eða persónuupplýsingum sem skráðar hafa verið án heimildar. Er hér fylgt d-lið 1. mgr. 6. gr. tilskipunar ESB.
Í 14. gr. gildandi laga er mælt fyrir um að skráður aðili geti, telji hann skráðar upplýsingar vera rangar eða villandi, krafist þess að sá sem ábyrgur er fyrir skráningu færi þær í rétt horf, afmái þær eða bæti við eftir því sem við á hverju sinni. Þá er í 33. gr. gildandi laga mælt fyrir um ýmsar heimildir tölvunefndar þegar skráning eða upplýsingagjöf gengur í berhögg við ákvæði þeirra laga. Í frumvarpsgreininni eru lagðar til nokkrar efnisbreytingar miðað við gildandi rétt. Í fyrsta lagi er í gildandi lögum ekki sett það skilyrði berum orðum að umræddur annmarki geti haft áhrif á hagsmuni hins skráða eins og hér er lagt til. Það sjónarmið hefur hins vegar ávallt haft þýðingu í framkvæmd gildandi laga. Sögulegar upplýsingar og upplýsingar sem safnað er í vísindaskyni eða til tölfræðivinnslu mundu að öllu jöfnu ekki falla undir 25. gr. þar sem umræddur annmarki á upplýsingum mundi sjaldnast geta haft beinar afleiðingar fyrir hinn skráða. Í öðru lagi er í frumvarpsgreininni miðað við að ábyrgðaraðili skuli að eigin frumkvæði leiðrétta, eyða eða bæta við upplýsingar. Í gildandi lögum er við það miðað að leiðrétting fari fram að kröfu hins skráða en hér er lagt til að slíkrar kröfu sé ekki þörf. Þegar ábyrgðaraðili velur hvort hann leiðrétti, eyði eða auki við persónuupplýsingar verður hann að taka tillit til þess hvort hinn skráði, eða annar sem hlut á að máli, þurfi að geta skjalfest það sem gerst hefur. Hafi ábyrgðaraðili gert mistök sem kunna að vera bótaskyld getur eftir atvikum verið ólögmætt að hann eyði upplýsingunum ef hann hindrar með því að hinn skráði geti sannreynt grundvöll hugsanlegrar bótakröfu.
Samkvæmt 2. málsl. 1. mgr. skal ábyrgðaraðili sjá til þess að mistök sem átt hafa sér stað hafi ekki áhrif á hagsmuni hins skráða. Af orðanna hljóðan leiðir að þetta gildir um allar tegundir mistaka, þar á meðal þegar skráðar hafa verið upplýsingar sem ekki mátti skrá. Þetta er ekki fyllilega skýrt í núgildandi lögum. Ef hinn skráði sættir sig ekki við þær aðgerðir sem ábyrgðaraðili grípur til af eigin frumkvæði eða samkvæmt kröfu hins skráða getur hann borið málið undir Persónuvernd. Persónuvernd getur skv. 40. gr. lagt fyrir ábyrgðaraðila að viðhafa þær ráðstafanir sem greinir í 1. og 2. málsl. og jafnframt gefið slík fyrirmæli þótt engin kvörtun hafi borist frá hinum skráða.
Skylda ábyrgðaraðila skv. 2. málsl. er háð því skilyrði að ekki sé of fyrirhafnarmikið að fullnægja henni, sbr. það orðalag að ábyrgðaraðila beri „eftir því sem honum er frekast unnt“ að sjá til þess að mistökin hafi ekki áhrif á hagsmuni hins skráða. Þessa takmörkun á skyldu ábyrgðaraðila ber að túlka þröngt. Frumvarpsgreinin er við það miðuð að ábyrgðaraðili beri einn allan kostnað sem það hefur í för með sér að leiðrétta mistök sem hafa eða geta valdið hinum skráða tjóni. Í ljósi þess er ekki mælt fyrir um bótaskyldu að því er varðar tjón sem ekki er fjárhagslegt.
Ef upplýsingar skv. 1. mgr. verða, vegna fyrirmæla í öðrum lögum, ekki afmáðar eða leiðréttar getur Persónuvernd bannað notkun þeirra, sbr. 2. mgr. Hér er um nýmæli að ræða. Persónuvernd getur annað tveggja lagt bann við því að veittur sé aðgangur að slíkum upplýsingum án samþykkis hins skráða eða gefið fyrirmæli um tæknilegar aðgerðir til að hindra notkun upplýsinganna, að öllu leyti eða að hluta til. Dæmi um bann við eyðingu upplýsinga er í 7. gr. laga um Þjóðskjalasafn Íslands, nr. 66/1985.
Um 26. gr.
Í þessari grein er mælt fyrir um eyðingu og bann við notkun persónuupplýsinga þótt þær séu hvorki rangar né villandi, en um það tilvik er fjallað í 25. gr. Ákvæðið á sér nokkra samsvörun í 28. og 29. gr. gildandi laga þar sem fram kemur að afmá skuli upplýsingar sem vegna aldurs eða af öðrum ástæðum hafi glatað gildi sínu miðað við það hlutverk sem skrá er ætlað að gegna. Þar segir og að skrár sem eru í sífelldri notkun skuli geyma upplýsingar sem á hverjum tíma séu réttar en úreltar upplýsingar skuli afmá. Hér er bæði tekið mið af texta þessa ákvæðis og e-lið 1. mgr. 6. gr. og 1. mgr. 14. gr. tilskipunar ESB og ber að túlka í ljósi þess ákvæðis hennar. Af ákvæðinu leiðir að á grundvelli þess þarf oft að fara fram umfangsmikið og oft erfitt hagsmunamat. Þótt persónuverndarsjónarmið kunni að mæla með eyðingu persónuupplýsinga geta önnur og veigamikil samfélagssjónarmið mælt gegn eyðingu þeirra, t.d. sjónarmið um réttaröryggi og möguleika á sagnfræðirannsóknum.
Hvað átt er við með málefnalegri ástæðu er að nokkru skýrt í 2. málsl. 1. mgr., en algengasta dæmi um málefnalega ástæðu eru fyrirmæli laga um varðveislu upplýsinga, sbr. t.d. ákvæði bókhaldslaga og ákvæði laga um Þjóðskjalasafn Íslands. Í vissum tilvikum geta persónuverndarsjónarmið hins vegar réttlætt fyrirmæli um eyðingu eða bann við notkun slíkra persónuupplýsinga. Er um þau tilvik fjallað í 2. mgr. en þar er hinum skráða veittur réttur til að krefjast þess að upplýsingum um hann verði eytt eða notkun þeirra bönnuð að vissum skilyrðum uppfylltum. Mat á aðstæðum í ákveðnu tilviki getur leitt til þeirrar niðurstöðu að réttlætanlegt sé að persónuverndarhagsmunir gangi framar öðrum hagsmunum. Aðrir hagmunir sem taka verður tillit til kunna að vera hagsmunir einstakra aðila af því að geta lagt fram ákveðin skjöl (réttaröryggishagsmunir). Það að einn fái upplýsingum um sig eytt eða notkun þeirra bannaða getur komið í veg fyrir að annar geti sannað mál sitt og staðreynt réttarkröfu. Þá ber og að líta til almennari hagsmuna, svo sem þjóðfélagshagsmuna af síðari úrvinnslu upplýsinga vegna sagnfræðirannsókna. Við mat á því hvort verða beri við kröfu um að eyða upplýsingum eða banna notkun þeirra verður bæði að taka tillit til þeirra hagsmuna sem þegar eru til staðar og þeirra hagsmuna sem líklegir eru til að koma fram síðar. Þegar ágreiningur verður milli hins skráða og ábyrgðaraðila um hvort grundvöllur sé fyrir eyðingu upplýsinga eða banni við notkun þeirra er það hlutverk Persónuverndar að skera úr þeim ágreiningi. Eyðing eða bann við notkun getur m.a. falist í því að gerðar séu ráðstafanir til að upplýsingar falli ekki lengur undir efnislegt gildissvið laganna.
Eins og áður segir er það skilyrði fyrir því að ákvæði greinarinnar eigi við að umræddar ráðstafanir, þ.e. eyðing upplýsinga eða bann við notkun þeirra, fari ekki í bága við ákvæði annarra laga. Þó verður að telja eðlilegt að ákvörðunarvald Persónuverndar gangi framar ákvörðunarvaldi úrskurðarnefndar samkvæmt upplýsingalögum, nr. 50/1996, og annara aðila sem taka ákvarðanir um ráðstöfun gagna sem falla undir ákvæði laga um Þjóðskjalasafn Íslands, nr. 66/1985.
Um 27. gr.
Í greininni er mælt fyrir um rétt hins skáða til að krefjast handunninnar ákvörðunar og á hún sér fyrirmynd í 1. mgr. 15. gr. tilskipunar ESB. Þessi grein er nýmæli í lögum. Sem stendur hefur regla frumvarpsgreinarinnar sennilega takmarkaða þýðingu en líklegt er að meira muni reyna á beitingu hennar í framtíðinni.
Fyrsta skilyrði fyrir beitingu ákvæðisins er að fyrir liggi sértæk ákvörðun í skilningi 9. tölul. 2. gr. Í öðru lagi er skilyrði að umrædd ákvörðun sé einvörðungu byggð á sjálfvirkri vinnslu. Með því er átt við að ákvörðunarferlið fari einungis fram rafrænt. Komi einn eða fleiri einstaklingar hins vegar að ákvarðanatökunni, t.d. með því að túlka niðurstöðu tölvuvinnslunnar, er þessu skilyrði ekki fullnægt. Í þriðja lagi er skilyrði að ákvörðunin varði persónulega eiginleika hins skráða, svo sem persónulega hæfni hans, færni, getu eða persónueinkenni. Sem dæmi um hugsanlega notkun þessa ákvæðis má nefna það tilvik þegar lánafyrirgreiðsla í banka byggist einvörðungu á rafrænni vinnslu persónuupplýsinga um umsækjanda, t.d. í hraðbanka. Þá ætti viðskiptavinurinn samkvæmt þessu ákvæði að geta krafist þess að fá niðurstöðu vinnslunnar prófaða handvirkt af starfsmönnum bankans.
Í 2. mgr. kemur fram sú takmörkun á gildissviði ákvæðisins að rétturinn til að krefjast handunninnar ákvörðunar sé ekki til staðar ef ákvörðun styðst annaðhvort við heimild í lögum eða tengist gerð eða efndum samnings og gerðar hafa verið ráðstafanir til að gæta persónuverndarhagsmuna hins skráða. Þannig verður ákvæði 1. mgr. ekki beitt í dæminu um lánveitinguna sem nefnt er hér að framan ef gætt hefur verið skilyrða um andmælarétt og/eða persónuvernd. Er það hlutverk Persónuverndar skv. 40. gr. að skera úr um hvort slíkar persónuverndarráðstafnir séu fullnægjandi. Það hve strangar kröfur verða gerðar til slíkra ráðstafana mun ráða úrslitum um raunhæfa þýðingu þessa ákvæðis.
Um 28. gr.
Hér er mælt fyrir um úrræði fyrir þá sem ekki vilja láta nota nafn sitt í markaðssetningarstarfsemi og lagt til að Hagstofa Íslands haldi skrá yfir þá. Ákvæðið byggist á b-lið 14. gr. tilskipunar ESB, sbr. og 30. lið formálans, en í stórum dráttum er hér lagt til að lögfest verði gildandi framkvæmd. Hagstofa Íslands hefur nú starfsleyfi skv. 22. gr. gildandi laga um skráningu og meðferð persónuupplýsinga og samkvæmt skilmálum þess starfsleyfis gerir Hagstofan þeim sem þess óska kleift að fá nöfn sín afmáð úr þeirri nafna- og heimilisfangaskrá sem Hagstofan notar í þessari starfsemi. Í framkvæmd er það gert með því að merkja við nöfn þeirra í Þjóðskrá og er það í daglegu tali nefnt „bannmerking“. Í frumvarpsgreininni eru lagðar til nokkrar breytingar frá þessari skipan mála. Í fyrsta lagi þykir eðlilegt að menn eigi þess kost að fá einvörðungu í hendur skrá yfir „bannmerkingar“ án þess að fá Þjóðskrá í heild sinni, enda er ekki sjálfgefið að Þjóðskrá verði áfram notuð með jafnvíðtækum hætti í markaðssetningarstarfsemi og nú er. Í öðru lagi er það nýmæli að finna að ábyrgðaraðila ber skylda til að uppfæra eigin skrár a.m.k. tvisvar á ári til samræmis við framangreinda skrá Hagstofu Íslands.
Hér er, í samræmi við tilskipun ESB, tilgreint það skilyrði sem þarf að uppfylla til að nota megi persónuupplýsingar eða miðla þeim í tengslum við markaðssetningarstarfsemi eða aðra sambærilega starfsemi. Skyldan til að uppfæra skrár, svo sem heimilisfangaskrár, símaskrár og netfangaskrár, til samræmis við hina miðlægu skrá Hagstofunnar gildir um alla þá sem nota persónuupplýsingar í markaðssetningu eða við að selja vöru fyrir aðra í því skyni að afla sér tekna. Þannig tekur ákvæðið t.d. til íþróttafélaga sem stunda símasölu fyrir aðra í því skyni að afla félaginu tekna. Samkvæmt þessu ákvæði verður t.d. óheimilt að nota símaskrá sem grunn í símasölu nema fyrir liggi hvaða rétthafar síma vilja ekki að nöfn þeirra séu notuð í slíkri starfsemi og þeim sleppt af úthringingarlistum. Skyldan til að tryggja þetta hvílir á ábyrgðaraðila. Samkvæmt ákvæðinu ber t.d. aðila sem gefur út og selur símaskrá að samkeyra hana við skrá Hagstofunnar áður en hann afhendir símaskrána aðila sem hyggst nota hana í markaðssetningarstarfsemi eða við gerð skoðanakannana. Sama á við um þá sem halda netfangaskrár eða aðrar sambærilegar skrár. Ákvæðið veitir Persónuvernd svigrúm til að undanþiggja ákveðna hópa frá skyldunni til að uppfæra útsendingarskrár sínar til samræmis við skrá Hagstofu Íslands. Til dæmis gæti verið raunhæft að undanþiggja frá þessari skyldu ýmiss konar hugsjónasamtök, stjórnmálahópa eða félög sem markaðssetja beint í mjög smáum stíl. Sama getur átt við um ýmiss konar styrktarfélög sem selja happdrættismiða eða annað efni til að styrkja ýmis málefni.
Samkvæmt 2. mgr. er skylt að á markpósti komi fram á áberandi stað eftir hvaða skrá efninu er dreift og í vörslu hvaða ábyrgðaraðila skráin er. Með markpósti er átt við allan auglýsingapóst sem er með límmiðaáritun eða annars konar áritun nafns og heimilisfangs viðtakanda. Á það við um venjulegan póst, símbréf og tölvupóst sem notaður er í beinni markaðssókn. Með beinni markaðssókn er átt við beina sókn að einstaklingnum í því skyni að selja honum vöru eða þjónustu. Samkvæmt þessu falla dreifirit sem borin eru út í hús án áritunar ekki undir beina markaðssókn. Ákvæði 2. mgr. tekur jafnframt til símasölu eftir því sem við á. Samkvæmt því á sá sem stundar markaðssókn í gegnum síma að greina þeim sem hann setur sig í samband við frá því hvaðan upplýsingarnar sem hann notar eru fengnar. Efnislega er ákvæði 2. mgr. skylt 22. gr. gildandi laga þar sem segir að skylt sé að fram komi á útsendu efni eftir hvaða skrá því er dreift þannig að þeir sem kunni að óska eftir því að losna undan slíkum sendingum framvegis geti skrifað eða hringt til þessa aðila og fengið nöfn sín afmáð af útsendingarskrá. Með þessu ákvæði er og lagt til að lögfest verði sú framkvæmd sem tölvunefnd hefur mótað með starfsleyfum á grundvelli 25. gr. gildandi laga.
Kröfu um bann við notkun nafns má beina hvort sem er til Hagstofu Íslands eða þess aðila sem heldur þá skrá sem notuð er við viðkomandi útsendingu, sbr. 1. mgr. Skylda ábyrgðaraðila til að uppfæra útsendingarskrá í samræmi við skrá Hagstofu Íslands er takmörkuð við tvö skipti á ári skv. 1. mgr. og er því rétt að hinn skráði geti snúið sér beint til viðkomandi aðila. Snúi aðili sér til viðkomandi ábyrgðaraðila nær bannið hins vegar aðeins til útsendinga á hans vegum, en snúi hann sér til Hagstofunnar leiðir það til allsherjar „bannmerkingar“. Gera verður greinarmun annars vegar á ósk manns um að nafn hans verði ekki notað í markaðssetningarstarfi og hins vegar á ósk hans um að upplýsingar um símanúmer, netfang eða heimilisfang verði ekki almennt aðgengilegar. Í ljósi almennra sjónarmiða um persónuvernd getur verið rétt að takmarka slíka birtingu og varir þá réttur til að miðla upplýsingunum aðeins á meðan þær eru almennt aðgengilegar. Er sennilegt að í framtíðinni muni seljendur internetþjónustu bjóða þeim sem fá netfang að njóta leyndar um það með svipuðum hætti og nú er gert gagnvart rétthöfum síma. Ákvæði 2. mgr. gildir ekki um markaðssetningu ábyrgðaraðila á eigin vöru eða þjónustu, enda noti hann við það eigin viðskiptamannaskrár og útsent efni beri glögglega með sér hvaðan það kemur.
Að lokum er í 3. mgr. lagt til að ákvæði greinarinnar taki, eftir því sem við á, einnig til markaðs- og skoðanakannanna. Framkvæmd þeirra á margt sameiginlegt með markaðssókn og því er eðlilegt að sömu reglur gildi um notkun nafna í þeirri starfsemi. Skv. 3. mgr. er það hlutverk Persónuverndar að setja nánari reglur þar að lútandi.
Um 29. gr.
Í greininni kemur fram meginregla um flutning persónuupplýsinga úr landi og byggist hún á 2. og 25. gr. tilskipunar ESB. Greinin tekur ekki til flutnings persónuupplýsinga úr landi ef einvörðungu er um að ræða ráðstöfun í persónulegum tilgangi í skilningi 2. mgr. 3. gr. frumvarpsins.
Útgáfa og birting persónuupplýsinga með aðstoð margmiðlunartækni og alþjóðlegra samskiptarása, svo sem internetsins, verður að teljast flutningur persónuupplýsinga úr landi í skilningi þessa kafla frumvarpsins. Slík miðlun upplýsinga mundi þó oft falla utan þessa ákvæðis samkvæmt 5. gr. frumvarpsins sem leiðir í lög 9. gr. tilskipunar ESB.
Samkvæmt 27. gr. gildandi laga er kerfisbundin söfnun og skráning persónuupplýsinga hér á landi til geymslu eða úrvinnslu erlendis óheimil en tölvunefnd getur þó heimilað hana ef sérstaklega stendur á. Skrá eða frumgögn sem geyma upplýsingar sem greinir í 1. mgr. 4. gr. gildandi laga má eigi láta af hendi til geymslu eða úrvinnslu erlendis nema samþykki tölvunefndar komi til. Þá kemur og fram að leyfi skv. 1. og 2. mgr. 27. gr. gildandi laga megi því aðeins veita að tölvunefnd telji að afhending skráa eða gagna skerði ekki til muna þá vernd sem lögin búa skráðum mönnum eða lögpersónum. Í þessari frumvarpsgrein er hins vegar miðað við hvort það ríki sem upplýsingar eru fluttar til veiti fullnægjandi persónuupplýsingavernd eða ekki. Er það til samræmis við 25. gr. tilskipunar ESB. Kröfu 2. gr. tilskipunarinnar um frjálst flæði persónuupplýsinga ber að skilja þannig að ríki sem framfylgja tilskipuninni teljist fullnægja kröfunni um viðhlítandi og fullnægjandi persónuupplýsingavernd. Á þetta fyrst og fremst við um ríki innan EES-svæðisins. Sú lagatæknilega lausn sem hér er valin felur og í sér að ríki innan EES-svæðisins sem ekki framfylgja tilskipuninni að öllu leyti teljast að öðru jöfnu ekki uppfylla kröfuna um fullnægjandi vernd persónuupplýsinga. Hins vegar mundi ríki utan EES-svæðisins sem að eigin frumkvæði framfylgir ESB-tilskipuninni fullnægja þeirri kröfu.
Þegar í hlut á ríki sem ekki framfylgir tilskipun ESB ræðst lögmæti flutnings af heildstæðu mati á öllum aðstæðum. Ekki er í 2. mgr. 29. gr. að finna tæmandi talningu þeirra atriða sem líta ber til við slíkt mat, en væntanlega mun m.a. verða tekið mið af afstöðu framkvæmdastjórnar ESB, sbr. 25. gr. tilskipunarinnar. Ábyrgðaraðili mun fá leiðbeiningar í þeim efnum hjá Persónuvernd.
Um 30. gr.
Samkvæmt 29. gr. frumvarpsins má aðeins flytja persónuupplýsingar til annars ríkis að því tilskildu að þar sé tryggð fullnægjandi vernd persónuupplýsinga. Með hliðsjón af 26. gr. tilskipunar ESB er hins vegar lagt til í þessari frumvarpsgrein að flutningur upplýsinga geti í vissum tilvikum verið heimill, jafnvel þótt viðtakandinn sé ekki í ríki sem uppfyllir skilyrði 29. gr.
Fyrsta undanþágan tekur til þeirra tilvika þegar hinn skráði hefur samþykkt flutninginn. Er hér fylgt ákvæði a-liðar 1. mgr. 26. gr. tilskipunarinnar. Samþykkið verður að vera upplýst og yfirlýst og fullnægja skilyrðum 7. tölul. 2. gr. frumvarpsins, sbr. athugasemdir um þá grein.
Önnur undanþágan tekur til þess ef Ísland hefur samkvæmt þjóðréttarskuldbindingu eða vegna þátttöku í alþjóðasamstarfi eða starfi alþjóðlegra samtaka gengist undir þá skyldu að afhenda persónuupplýsingar. Er hér fylgt d-lið 1. mgr. 26. gr. tilskipunarinnar. Ákvæðið á sér nokkra hliðstæðu í 4. mgr. 27. gr. gildandi laga þar sem segir að dómsmálaráðherra geti, að fenginni umsögn tölvunefndar, ákveðið í reglugerð að ákvæði 1. og 2. mgr. þeirrar greinar eigi ekki við um tilteknar skrár eða upplýsingasvið eða gagnvart tilteknum löndum ef slíkt er nauðsynlegt til efnda á þjóðréttarskuldbindingum eða af tilliti til alþjóðlegrar samvinnu.
Þriðja undanþágan tekur til þess ef í öðrum lögum er veitt heimild til að miðla umræddum persónuupplýsingum úr landi. Er hér fylgt d-lið 1. mgr. 26. gr. tilskipunarinnar. Mat á því hvort til flutnings persónuupplýsinga standi viðhlítandi lagaheimild ræðst m.a. af túlkun viðkomandi lagaákvæðis. Það hve strangar kröfur verður að gera til skýrleika slíkrar lagaheimildar mun m.a. ráðast af þeim afleiðingum sem flutningurinn kann að hafa fyrir hinn skráða. Yrði almennt við það miðað að því víðfeðmari eða afdrifaríkari afleiðingar sem slíkur flutningur gæti haft í för með sér fyrir hinn skráða þeim mun skýrari yrði umrædd lagaheimild að vera.
Fjórða undanþágan tekur til þeirra tilvika þegar flutningur persónuupplýsinga úr landi er nauðsynlegur til að gera eða efna samning milli hins skráða og ábyrgðaraðila. Er hér fylgt b-lið 1. mgr. 26. gr. tilskipunarinnar. Undanþágan getur haft vissa sjálfstæða þýðingu við hlið undanþágunnar í 1. tölul., sbr. 7. tölul. 2. gr. frumvarpsins um þær kröfur sem gera verður til samþykkisyfirlýsingar. Það að gera samning eða hefja undirbúning að gerð samnings felur með öðrum orðum í sér að flytja má persónuupplýsingar um hinn skráða úr landi þótt hann hafi ekki með sérstakri yfirlýsingu samþykkt afhendinguna að því tilskildu að afhendingin sé nauðsynleg til að hann geti gert eða efnt samninginn.
Fimmta undanþágan gerir mögulegt að flytja persónuupplýsingar úr landi, jafnvel þótt viðtakandinn sé staðsettur í ríki sem uppfyllir ekki skilyrði 29. gr. frumvarpsins, ef flutningurinn er nauðsynlegur til að gera eða efna samning sem er í þágu hagsmuna hins skráða (sjá c-lið 1. mgr. 26. gr. tilskipunarinnar). Gagnstætt því sem gildir um undanþáguákvæði 4. tölul. er hér ekki gert að skilyrði að hinn skráði sé sjálfur aðili að samningnum sem að öllu jöfnu er gerður milli ábyrgðaraðila og þriðja manns. Engu síður er nauðsynlegt að samningurinn sé í þágu hins skráða, þ.e. hafi vissa jákvæða þýðingu fyrir hann. Með hagsmunum er ekki bara átt við réttindi heldur er nóg að samningsgerðin hafi vissar jákvæðar efnislegar afleiðingar fyrir hinn skráða. Mikilvægt er að skjalfest sé að samningurinn muni hafa slíka þýðingu fyrir hlutaðeigandi. Sem dæmi um slíkt tilvik má nefna að þegar unnið er að gerð samnings um „sölu“ knattspyrnumanns til erlends lið gerir hið erlenda lið oft kröfu um að fá ítarlegar upplýsingar um manninn. Fáist þær ekki næst slíkur samningur oft ekki.
Sjötta undanþágan tekur til þeirra tilvika þegar flutningur persónuupplýsinga er nauðsynlegur til að vernda verulega hagsmuni hins skráða. Hér ber að túlka hugtakið „verulegir“ þröngt, en hér getur t.d. verið um að ræða flutning vegna dómsmáls eða annarra slíkra laganauðsynja.
Sérstakt úrlausnarefni er að hvaða marki veita má aðgang að persónuupplýsingum með notkun margmiðlunartækni, svo sem internetsins. Hvorki er á þessu álitaefni tekið í tilskipun ESB né í formála hennar. Sú aðgerð að leggja persónuupplýsingar á internetið er í eðli sínu rafræn vinnsla sem lýtur þeim ákvæðum frumvarpsins er um vinnsluna gilda, en það ræðst m.a. af eðli þeirra upplýsinga sem unnið er með. Sé um að ræða viðkvæmar upplýsingar þarf t.d. bæði að uppfylla skilyrði 9. gr. og 29. eða 30. gr. frumvarpsins. Birting persónuupplýsinga á heimasíðu er þess eðlis að því eru engin takmörk sett hvert upplýsingarnar geta borist og þá verður upplýsingaflæðið ekki takmarkað við ríki sem falla undir ákvæði 29. gr. Ekki ber að skilja ákvæði 1. mgr. þessarar frumvarpsgreinar þannig að ekki megi birta á tiltekinni heimasíðu á internetinu upplýsingar sem eru almennt aðgengilegar og hefur í tíð gildandi laga mátt birta þar, eftir atvikum að uppfylltum skilmálum tölvunefndar. Í 2. mgr. þessarar greinar er gert ráð fyrir að Persónuvernd geti sett nánari fyrirmæli um flutning persónuupplýsinga úr landi og samkvæmt því getur hún m.a. sett skilmála um birtingu slíkra upplýsinga á internetinu.
Um 31. gr.
Í þessari grein er, í samræmi við 18. gr. tilskipunar ESB, lagt til að tilkynningarskylda skuli að meginstefnu til gilda um alla rafræna vinnslu almennra persónuupplýsinga og um handvirka og rafræna vinnslu viðkvæmra persónuupplýsinga skv. 1. mgr. 9. gr. Vinnsla sem einvörðungu er til persónulegra nota fellur utan tilkynningarskyldunnar, sbr. 3. gr. frumvarpsins.
Samkvæmt 1. mgr. skal ábyrgðaraðili sem notar rafræna tækni í vinnslu persónuupplýsinga, sbr. 8. gr. og 1. mgr. 9. gr., tilkynna það til Persónuverndar. Í 32. gr. er afmarkað hvað koma skuli fram í slíkri tilkynningu. Að meginstefnu til skal einungis senda slíka tilkynningu einu sinni en ekki í hvert skipti sem vinnsla fer fram. Það er með öðrum orðum vinnsluaðferðin sem er tilkynningarskyld, þ.e. hvernig farið er með persónuupplýsingar.
Komi síðar til breytinga á tilkynntri vinnslu skal senda nýja uppfærða tilkynningu, sbr. 1. mgr. i.f. Samkvæmt því verður að senda nýja tilkynningu ef til stendur að vinna með aðra tegund upplýsinga, afhenda upplýsingarnar eða gera þær tiltækar á annan hátt en tilgreint var í hinni upphaflegu tilkynningu, t.d. með samtengingu.
Ætla má að í framtíðinni muni mikill fjöldi þeirra mála sem til þessa hafa verið afgreidd af tölvunefnd með leyfisveitingum falla undir þetta ákvæði. Vinnsla sem verður tilkynningarskyld samkvæmt frumvarpinu fellur að miklu leyti saman við meðferð sem nú er leyfisskyld. Þó ber að hafa í huga þá þrengingu sem leiðir annars vegar af 3. gr. frumvarpsins og hins vegar af því að í 3. mgr. þessarar greinar er af hagkvæmniástæðum lagt til að Persónuvernd geti ákveðið að vissar tegundir vinnslu verði undanþegnar tilkynningarskyldu eða að um þær gildi einfaldari tilkynningarskylda.
Í 2. mgr. segir að undanþegin tilkynningarskyldu sé vinnsla sem einungis felst í notkun persónuupplýsinga sem gerðar hafa verið og eru aðgengilegar almenningi. Í því felst að slíkar persónuupplýsingar má lesa, leita í, afrita, varðveita, miðla o.s.frv. án þess að tilkynna það sérstaklega. Slíkar aðgerðir kunna hvað sem öðru líður að leiða til rafrænnar vinnslu sem fellur eftir atvikum undir önnur ákvæði frumvarps þessa. Með því að upplýsingar séu aðgengilegar almenningi er átt við að hver sem er geti fengið að skoða þær án þess að hafa af því sérstaka hagsmuni, geta sýnt fram á málefnalega ástæðu eða fullnægja öðrum sambærilegum skilmálum. Ekki er nóg að upplýsingarnar hafi verið gerðar aðgengilegar takmörkuðum hópi manna. Þegar upplýsingar hafa á einn eða annan hátt verið gefnar út, t.d. birtar á tiltekinni heimasíðu á netinu, verður að telja þær aðgengilegar öllum. Sama á við þegar upplýsingarnar má skoða gegn greiðslu, t.d. upplýsingar í veðmálabókum. Það að upplýsingar séu aðgengilegar öllum segir ekki til um hversu viðkvæmar þær eru. Til dæmis kann ævisaga að hafa að geyma viðkvæmar upplýsingar um heilsu manns en þar sem þær hafa með útgáfu bókarinnar verið gerðar aðgengilegar öllum er skoðun þeirra ekki tilkynningarskyld. Ef ætlunin er að tengja upplýsingar saman og nota almennt aðgengilegar upplýsingar með öðrum persónuupplýsingum sem ekki hafa verið gerðar aðgengilegar verður heildarvinnslan hins vegar tilkynningarskyld samkvæmt meginreglunni.
Nauðsynlegt getur verið að undanþiggja vissar tegundir vinnslu tilkynningarskyldu og því er í 3. mgr. gert ráð fyrir að Persónuvernd geti ákveðið slíkt. Það mundi fyrst og fremst verða gert varðandi vinnslu sem tekur til almennra og lítt viðkvæmra persónuupplýsinga og vinnslu sem almennt er vitað að fari fram. Í slíkum tilvikum getur átt við að ábyrgðaraðili tilnefni sérstakan persónuverndarfulltrúa, sbr. ákvæði 2. mgr. 18. gr. tilskipunar ESB, sbr. og ákvæði 3. tölul. 21. gr. Loks má ákveða að viss vinnsla sé undanþegin tilkynningarskyldu og þess í stað háð leyfisskyldu skv. 33. gr.
Tilkynningin þarf að berast Persónuvernd á til þess gerðu formi tímanlega áður en vinnslan hefst. Hvað telst vera tilkynnt „tímanlega“ veltur á því hve umfangsmikil persónuupplýsingavinnslan á að verða. Slíkt hlýtur að meginstefnu til að velta á eigin mati ábyrgðaraðila. Um vinnslu upplýsinga um stóran hóp manna sem safnað er frá fjölda mismunandi aðila þarf öllu jöfnu að tilkynna mun fyrr en vinnslu sem einvörðungu tekur til upplýsinga um fáa aðila sem aflað er hjá þeim sjálfum. Sama gildir þegar unnið er með viðkvæmar persónuupplýsingar. Umfangsmikil vinnsla er að öllu jöfnu skipulögð tímanlega af hálfu ábyrgðaraðila og það er í hans þágu að setja sig tímanlega í samband við Persónuvernd, eftir atvikum til að gera nauðsynlegar lagfæringar. Þörf þessa er hins vegar minni þegar unnið er með lítt viðkvæmar persónuupplýsingar.
Hefja má vinnslu um leið og tilkynning hefur verið send Persónuvernd. Tilkynningin er upplýsingagagn en ekki leyfisumsókn og því þarf ekki að bíða svars eins og nú er. Persónuvernd getur hins vegar stöðvað vinnslu sem hún telur vera ólögmæta eða sett skilmála fyrir því að halda megi vinnslu áfram, sbr. 40. gr.
Nauðsynlegt er að Persónuvernd hafi yfirsýn yfir flutning persónuupplýsinga úr landi og fellur slíkt undir almenna tilkynningarskyldu samkvæmt þessari frumvarpsgrein. Hafi ekki verið ráðgert í upphafi að flytja upplýsingar úr landi, en síðar kemur í ljós að slíks er þörf, skal senda Persónuvernd nýja og uppfærða tilkynningu. Persónuvernd getur þá á grundvelli heimilda sinna skv. 40. gr. gripið inn í og stöðvað sendinguna sé skilyrðum laganna fyrir slíkum flutningi ekki fullnægt.
Um 32. gr.
Hér eru talin upp þau lágmarksatriði sem tilgreina skal í tilkynningu til Persónuverndar um vinnslu persónuupplýsinga. Ákvæðið byggist m.a. á 19. gr. tilskipunar ESB.
Í 1. mgr. er talið upp hvaða upplýsingar skuli koma fram í slíkri tilkynningu og í 2. mgr. er mælt fyrir um að Persónuvernd geti sett nánari fyrirmæli þar að lútandi. Til dæmis kann að vera nauðsynlegt fyrir Persónuvernd að fá upplýsingar um þá aðferð sem notuð verður við söfnun upplýsinganna, hvaða fræðslu hinir skráðu munu fá o.s.frv. Þá má ákveða að notuð verði mismunandi form fyrir ólíkar tegundir vinnslu, t.d. einfaldari form fyrir öll veigaminni verkefni. Í ljósi þess að innsendum tilkynningum er ætlað að verða uppistaða í opinberri skrá skv. 17. gr. frumvarpsins er mikilvægt að þær hafi hvorki að geyma viðkvæmar upplýsingar, trúnaðarupplýsingar né upplýsingar um tæknileg atriði geti birting þeirra skert öryggi gagnanna.
Samkvæmt 3. mgr. skal ábyrgðaraðili sjá til þess að Persónuvernd hafi á hverjum tíma upplýsingar sem gefa rétta mynd af meðferð persónuupplýsinga. Í því felst að hann verður að senda nýja tilkynningu um leið og vinnslu lýkur, þegar nýjum upplýsingum er safnað eða þegar upplýsingum er miðlað til annarra en tilgreindir voru í fyrri tilkynningu. Þá er og þörf nýrrar tilkynningar ef upplýsingar eru notaðar á annan hátt, t.d. með samtengingu, eða í öðrum tilgangi en þeim upphaflega. Forsenda slíkrar nýrrar notkunar er sú að skilyrðum 7. gr. sé fullnægt. Skv. 3. mgr. skal jafnan senda nýja tilkynningu með uppfærðum upplýsingum þegar liðin eru þrjú ár frá því að upphafleg tilkynning var send Persónuvernd. Þess gerist hins vegar ekki þörf hafi áður verið send tilkynning um breytta vinnslu, þ.e. ný tilkynning rýfur frestinn og nýr þriggja ára frestur byrjar að líða. Af því leiðir að þótt ábyrgðaraðili hafi látið undir höfuð leggjast að tilkynna um breytta vinnslu mun Persónuverndin verða þess vör þegar liðin eru þrjú ár frá hinni upphaflegu tilkynningu. Persónuvernd getur beint tilmælum til þeirra ábyrgðaraðila sem fara yfir þriggja ára frestinn og til hagræðis má beina slíkum tilmælum sjálfkrafa úr kerfi Persónuverndar. Þannig fæst úr því skorið hvort ástæðan sé vanræksla, það að vinnslunni sé lokið eða starfseminni hætt. Tilkynna þarf um stöðvun vinnslu nema henni ljúki á þeim tíma sem tilgreindur var í upphaflegri tilkynningu. Skv. lokamálslið 3. mgr. 32. gr. getur Persónuvernd ákveðið ráðstafanir til að tryggja áreiðaleika tilkynninga. Hér er t.d. átt við notkun hugbúnaðar sem sjálfkrafa prófar réttmæti upplýsinga um það frá hvaða netfangi sending berst o.s.frv.
Um 33. gr.
Í þessari grein er afmarkað hvenær vinnsla persónuupplýsinga er leyfisskyld. Skv. 20. gr. tilskipunar ESB er einstökum ríkjum eftirlátið að ákveða hvenær athuga verði vinnslu áður en hún hefst. Er einkum ástæða til slíks þegar vinnsla persónuupplýsinga felur í sér hættu fyrir friðhelgi einkalífs, persónuvernd og frelsi einstaklingsins. Vinnsla viðkvæmra persónuupplýsinga telst fela í sér slíka hættu og er í 33. gr. lagt til að hún sé leyfisskyld í öðrum tilvikum en þeim sem falla undir 1. mgr. 9. gr. Ef upplýsingar hafa verið aftengdar persónuauðkennum, eða þær verða aftengdar persónuauðkennum áður en úrvinnsla upplýsinga hefst, er vinnslan ekki leyfisskyld því að þá er ekki unnt að rekja upplýsingarnar til ákveðinna einstaklinga.
Það að vinnsla sé leyfisskyld felur í sér að ekki má hefja hana nema Persónuvernd hafi gefið til þess leyfi og bundið það þeim skilmálum sem hún telur nauðsynlega. Þegar vinnsla er hins vegar einungis tilkynningarskyld verður að jafnaði aðeins um afskipti Persónuverndar að ræða eftir á. Leyfisveiting er fyrir fram eftirlit til að tryggja að vinnslan fullnægi grundvallarkröfum um persónuvernd, en ekki tæki til að stöðva vinnslu sem e.t.v. er skylt að framkvæma samkvæmt lögum eða reglugerðum. Samkvæmt gildandi lögum þarf ekki leyfi tölvunefndar til skráningar viðkvæmra persónuupplýsinga ef hún á sér stoð í lögum. Því hafa margar slíkar skrár verið stofnaðar án þess að aflað hafi verið leyfis tölvunefndar.
Um 34. gr.
Hér mælir fyrir um forsendur leyfisveitingar skv. 33. gr. Fram kemur sú meginregla að þeim einum má veita leyfi skv. 33. gr. sem líklegur er til að geta uppfyllt skyldur sínar samkvæmt lögunum eða fyrirmælum Persónuverndar. Hið sama gildir einnig um einstakar aðrar heimildir sem veittar eru á grundvelli laganna. Er það Persónuvernd sem á mat í þeim efnum. Ákvæði þetta er efnislega skylt ákvæði 15. gr. gildandi laga, en þar kemur fram að þeim einum skuli veita starfsleyfi skv. V. kafla laganna sem að mati tölvunefndar er líklegur til að geta uppfyllt skyldur skrárhaldara samkvæmt þeim lögum.
Í 2. mgr. er lýst því hagsmunamati sem viðhafa ber við ákvörðun um leyfisveitingu. Það ákvæði er efnislega skylt 3. og 4. mgr. 4. gr. gildandi laga. Þar segir að tölvunefnd geti heimilað skráningu upplýsinga um einkamálefni einstaklinga ef ótvírætt þykir að skráningaraðila sé vegna starfsemi sinnar brýn nauðsyn að skrá persónuupplýsingarnar og að tölvunefnd skuli í slíkum tilvikum binda heimild til skráningar þeim skilyrðum sem hún metur nauðsynleg hverju sinni. Þá segir í 2. mgr. 5. gr. gildandi laga að tölvunefnd geti heimilað aðgang að slíkum upplýsingum ef sýnt er fram á að brýnir almannahagsmunir eða hagsmunir einstaklinga, þar með taldir hagsmunir hins skráða, krefjist þess, enda sé þá ótvírætt að þörfin á að fá upplýsingarnar vegi þyngra en tillitið til þess að þeim sé haldið leyndum.
Samkvæmt 34. gr. frumvarpsins eru það einkum sjónarmið um aukna persónuvernd sem búa að baki því að gera tiltekna vinnslu viðkvæmra persónuupplýsinga háða leyfi Persónuverndar. Það leiðir og af yfirlýstu markmiði laganna skv. 1. gr. Þá leiðir einnig af þessu ákvæði að ekki verður synjað um leyfi til að vinna með persónuupplýsingar nema um sé að ræða meðferð sem getur haft í för með sér óhagræði fyrir einstaklinginn. Vísað er til 2. mgr. 35. gr. að því er varðar þau atriði sem líta ber til við mat á því hvort veita skuli umbeðið leyfi.
Um 35. gr.
Í þessari grein eru tilgreind þau atriði sem Persónuvernd ber að athuga þegar um vinnslu viðkvæmra persónuupplýsinga er að ræða. Slíka upptalningu er ekki að finna í gildandi lögum. Ekki er lögð til tæmandi upptalning heldur eru í dæmaskyni nefnd atriði sem sjónarmið um persónuvernd krefjast að litið sé til. Ákvæðið er hins vegar hvorki bindandi fyrir Persónuvernd að því er varðar þau atriði sem hún byggir mat sitt á né dregur það úr valdheimildum hennar. Hins vegar er mikilvægt að ábyrgðaraðili geti að einhverju leyti áttað sig á því fyrir fram til hvaða atriða verði litið þegar Persónuvernd berst tilkynning eða leyfisumsókn. Er ákvæðið samið með tilliti til þess og endurspeglar þá reynslu tölvunefndar að við afgreiðslu leyfisumsókna í tíð gildandi laga hafa sjaldnast risið spurningar um hvort veita skuli heimild heldur hitt hvaða skilyrði skuli setja hverju sinni. Eru allar líkur á að svo verði áfram. Fram kemur að Persónuvernd geti bundið vinnslu skilyrðum um dulkóðun eða eyðingu persónuauðkenna og að sama gildi um leyfisskylda og tilkynningarskylda vinnslu. Varðandi tilkynningarskyld verkefni má að öðru leyti einkum eiga von á viðbrögðum Persónuverndar ef útlit er fyrir að safnað verði meiri upplýsingum en nauðsyn krefur miðað við tilgang vinnslunnar, ef ekki eru veittar nauðsynlegar viðvaranir o.s.frv.
Samkvæmt 3. mgr. getur Persónuvernd ákveðið að ábyrgðaraðili og vinnsluaðili, svo og starfsmenn á vegum þeirra, skuli undirrita þagmælskuheit. Þetta felur í sér að unnt er að leggja sérstaka áherslu á þá ábyrgð sem hvílir á þeim sem hafa með höndum vinnslu persónuupplýsinga. Einnig er lagt til að brot gegn slíkri þagnarskyldu varði refsingum skv. 136. gr.
Í 4. mgr. er að finna heimild fyrir Persónuvernd til að mæla fyrir um að að sérstakur tilsjónarmaður verði skipaður til að hafa eftirlit með því að vinnsla sé í samræmi við lög þessi og skilmála Persónuverndar. Þetta felur í sér heimild til að ráða einkaaðila til að annast þetta eftirlit fyrir hönd Persónuverndar. Þessu hefur verið beitt af tölvunefnd í nokkrum mæli í vandasömum málum með góðum árangri og því er lagt til að þetta fyrirkomulag verði reist á traustum lagagrundvelli. Áfram er þó gert ráð fyrir að þessu verði ekki beitt nema í undantekningartilvikum þegar nægjanlegt tilefni er til. Þá er lagt til að ábyrgðaraðili greiði allan kostnað af sem af þessu hlýst.
Um 36. gr.
Hér er mælt fyrir um skipulag og stjórnsýslu þeirrar stofnunar sem samkvæmt lögunum skal hafa eftirlit með framkvæmd þeirra. Er lagt til að sjálfstæð ríkisstofnun, sem í frumvarpinu er nefnd Persónuvernd, annist það hlutverk sem tölvunefnd hefur sinnt í tíð gildandi laga. Þykir þessi breyting nauðsynleg vegna stóraukins umfangs þessa málaflokks. Lagt er til að skipun stjórnar verði í stórum dráttum svipuð og tölvunefndar nú.
Samkvæmt 2. mgr. er Persónuvernd sjálfstæð í störfum sínum og verður ákvörðunum hennar ekki skotið til annarra stjórnvalda. Þetta er hliðstætt því sem á við um úrlausnir tölvunefndar skv. 2. mgr. 31. gr. gildandi laga. Þetta tekur einnig mið af 62. og 63. lið formála tilskipunar ESB.
Ráðherra skipar forstjóra Persónuverndar að tillögu stjórnar en forstjóri ræður annað starfsfólk. Forstjóri situr fundi stjórnar með málfrelsi og tillögurétti.
Um 37. gr.
Í 1. og 2. mgr. þessarar greinar er lýst meginhlutverki Persónuverndar en einstök verkefni eru síðan nánar skilgreind í 3. mgr.
Í 3. mgr. eru talin upp helstu verkefni Persónuverndar. Slík upptalning er ekki í gildandi lögum en til glöggvunar þykir rétt að veita yfirsýn yfir þau verkefni sem Persónuvernd hefur með höndum. Ákvæðið segir ekkert um hvernig Persónuvernd beri að forgangsraða hinum ýmsu verkefnum en það leiðir hins vegar að nokkru af öðrum ákvæðum laganna. Til dæmis er það væntanlega forgangsverkefni að leggja til hjálpargögn fyrir þá sem tilkynna vilja um verkefni eða sækja um leyfi til vinnslu. Önnur verkefni verður Persónuvernd að taka fyrir í ljósi aðstæðna hverju sinni.
Samkvæmt 1. tölul. skal Persónuvernd afgreiða umsóknir um leyfi, taka við tilkynningum og gefa fyrirmæli samkvæmt ákvæðum laganna. Í daglegu starfi mun megináherslan fyrirsjáanlega færast frá veitingu leyfa til einstakra verkefna yfir á almennt upplýsinga- og fræðslustarf og eftirfarandi eftirlit. Hið nýja reglukerfi byggist á því að aukin áhersla verði lögð á það hlutverk sem talið er í 2. tölul. um eftirlit með því að farið sé að lögum og reglum um vinnslu persónuupplýsinga. Þá mun Persónuvernd einnig hafa eftirlit með vinnslu persónuupplýsinga sem lýtur ákvæðum sérlöggjafar nema kveðið sé á um aðra skipan í viðkomandi löggjöf.
Í 3. tölul. er sérstaklega tekið fram að Persónuvernd skuli fylgjast með þróun á sviði persónuverndar á innlendum og erlendum vettvangi. Sambærilegt ákvæði er ekki í gildandi lögum en þar sem þetta verkefni hefur reynst allveigamikið í starfi tölvunefndar þykir rétt að taka það sérstaklega fram.
Ákvæði 4. tölul. um að Persónuvernd skuli skilgreina og afmarka hvar persónuvernd er hætta búin og veita ráð um leiðir til lausnar er nýtt í persónuverndarlöggjöf. Það er á hinn bóginn mjög eðlilegt og í samræmi við það hvernig tölvunefnd hefur í tíð gildandi laga túlkað hlutverk sitt. Svipað gildir skv. 31. gr. gildandi laga þar sem segir að tölvunefnd geti, að eigin frumkvæði eða eftir ábendingum frá skráðum aðilum, haft eftirlit með því að til skráningar sé stofnað og skrár notaðar eins og lögin mæla fyrir um.
Samkvæmt 5. tölul. skal Persónuvernd gefa ráð um öryggi í vinnslu persónuupplýsinga ásamt því að leiðbeina um önnur álitaefni á sviði persónuverndar. Ekki er í gildandi lögum tekið sérstaklega fram að tölvunefnd skuli aðstoða við samningu reglna fyrir einstakar starfsgreinar, t.d. siðareglna, en hér er tekið mið af 27. gr. tilskipunar ESB. Í ákvæðinu felst að einstakar starfsgreinar geta samið reglur um vinnslu persónuupplýsinga á sínu sviði, t.d. á sviði tryggingastarfsemi. Reglurnar skulu vera til stuðnings við þær opinberu reglur sem settar eru á grundvelli laga þessara. Hvatt er til þess að slíkar reglur verði samdar en ekki er verið að mæla fyrir um skyldu til slíks. Að öllum jafnaði er æskilegt að Persónuvernd taki þátt í samningu slíkra siðareglna, ekki síst til að tryggja að þær fái samræmst settum lögum og reglum og ólögfestum persónuverndarsjónarmiðum. Markmið slíkra siðareglna er að draga fram viðhorf starfsgreinarinnar til þess hvaða kröfur sanngjarnt sé að gera til vinnslu persónuupplýsinga. Brot gegn slíkum siðareglum geta leitt til viðbragða af hálfu viðkomandi samtaka en mundu sjaldnast leiða til viðurlaga af hálfu opinberra aðila.
Samkvæmt 6. tölul. skal Persónuvernd vera umsagnaraðili við gerð allra laga og reglugerða sem hafa beina þýðingu fyrir persónuvernd. Er hér tekið mið af 2. mgr. 28. gr. tilskipunar ESB. Slíkt hlutverk er ekki orðað sérstaklega í gildandi lögum en rétt þykir að taka af öll tvímæli um að Persónuvernd skuli vera sjálfstæður umsagnaraðili á þessu sviði og þannig tryggt að hún geti, í enn ríkari mæli en verið hefur, átt þátt í samningu laga og reglna á þessu sviði.
Í 7. tölul. er ákvæði um útgáfu ársskýrslu. Á þetta ákvæði sér bæði fyrirmynd í 36. gr. gildandi laga og í 5. mgr. 28. gr tilskipunar ESB. Tölvunefnd hefur frá upphafi gefið út slíkar skýrslur en þess má vænta að þær muni fá nokkuð breytta mynd í ljósi ákvæðis 17. gr. um þá heildarskrá sem Persónuvernd ber að halda um veittar heimildir og mótteknar tilkynningar.
Þá er í 4. mgr. að finna heimild fyrir Persónuvernd til að ákveða að ábyrgðaraðili skuli greiða þann kostnað sem hlýst af eftirliti. Einnig er lagt til að Persónuvernd geti ákveðið að ábyrgðaraðili greiði kostnað við úttekt á starfsemi við undirbúning útgáfu vinnsluleyfis sem sótt hefur verið um.
Um 38. gr.
Ákvæði þessarar greinar er efnislega skylt 32. gr. gildandi laga auk þess sem hliðsjón er höfð af 3. mgr. 28. gr. tilskipunar ESB.
Samkvæmt 1. mgr. getur Persónuvernd gert kröfu um að fá þær upplýsingar sem nauðsynlegar eru til að hún geti sinnt skyldum sínum. Í ákvæðinu er ekki að finna fyrirmæli um það hvernig Persónuvernd skuli framkvæma eftirlit sitt, hvorki hve oft það á sér stað né hve ítarlegt það skuli vera. Mat í þeim efnum er í höndum Persónuverndar og tekur mið af atvikum í hverju tilviki, þar á meðal því hvernig hún forgangsraðar verkefnum sínum og hvaða úrræðum er til að dreifa hverju sinni.
Í 2. mgr. kemur fram að Persónuvernd hefur í eftirlitsstörfum sínum án dómsúrskurðar aðgang að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt. Er þetta sama regla og kemur fram í 2. mgr. 32. gr. gildandi laga og hefur reynst þýðingarmikil í starfi tölvunefndar. Hins vegar er ljóst að heimild sem þessari ber jafnan að beita af varfærni, svo sem verið hefur í tíð gildandi laga.
Í 3. mgr. kemur fram það nýmæli að réttur Persónuverndar til að krefjast upplýsinga, eða aðgangs að starfsstöð eða tækjabúnaði, verður ekki takmarkaður með vísun til reglna um þagnarskyldu. Styðst ákvæðið við þau rök að ella yrði Persónuvernd illmögulegt að rækja þær eftirlitsskyldur sem á hana eru lagðar skv. 1. mgr.
Um 39. gr.
Samstarf við persónuverndarstofnanir annarra landa mun fyrirsjáanlega aukast í framtíðinni, sbr. 6. gr. tilskipunar ESB. Í tengslum við það getur verið nauðsynlegt að skiptast á upplýsingum sem falla undir ákvæði laga um þagnarskyldu. Ísland kann t.d. að hafa gengist undir skuldbindingar gagnvart öðrum ríkjum í þjóðréttarsamningum um miðlun slíkra upplýsinga og þykir nauðsynlegt að taka af skarið um að þagnarskylduákvæði standi því ekki í vegi að Ísland geti efnt slíkar skuldbindingar.
Um 40. gr.
Hér er að finna almennt ákvæði um vald Persónuverndar til að beita úrræðum þegar vinnsla persónuupplýsinga brýtur í bága við ákvæði laganna. Heimildin til að beita úrræðum er bundin við það að fram hafi farið vinnsla í bága við ákvæði laganna. Sambærilega heimild fyrir tölvunefnd er að finna í 33. gr. gildandi laga.
Í 1. mgr. kemur fram að Persónuvernd getur stöðvað vinnslu persónuupplýsinga, þar á meðal söfnun, skráningu eða miðlun, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta til, eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Valdið til að beita úrræðum samkvæmt þessari grein tengist ýmsum öðrum ákvæðum frumvarpsins og er rétt að hafa í huga að ákvæðið veitir ekki heimild til að gefa strangari fyrirmæli en þau sem leiða af ákvæðum laganna. Að hluta til byggist beiting fyrirmæla á mati og er tekið fram að í þeim tilvikum skuli litið til ákvæða 2. mgr. 35. gr.
Persónuvernd getur valið milli þess að stöðva vinnslu eða setja viðkomandi aðila skilyrði sem hann verður að fullnægja til að mega halda vinnslunni áfram. Einungis má setja skilmála sem færa vinnsluna til samræmis við önnur ákvæði laganna en ekki skilmála sem víkja frá efnisreglunum, hvort sem þeir eru strangari eða mildari. Við val milli þess hvort stöðva beri vinnslu eða setja skilmála um framkvæmd hennar skal hafa í huga að fyrstu viðbrögðin eru oft þau afdrifaríkustu en mikilvægt er jafnan að gæta meðalhófs og kanna hvort ekki megi ná sama markmiði með vægari aðgerðum.
Af ákvæði 2. mgr. leiðir að við beitingu úrræða skv. 1. mgr. nýtur Persónuvernd aðstoðar lögreglu komi í ljós að fram fer vinnsla persónuupplýsinga í bága við ákvæði laga þessara eða reglna settra samkvæmt þeim.
Ákvæði 3. mgr. er skylt 7. mgr. 33. gr. gildandi laga og þarfnast ekki skýringar.
Um 41. gr.
Í greininni er það nýmæli að finna að sé ekki farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. geti hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt. Beiting dagsekta getur verið áhrifaríkt úrræði og í sumum tilvikum getur verið eðlilegra að beita slíku úrræði en að stöðva starfsemi með hliðsjón af meðalhófsreglu stjórnsýslunnar. Slíkt hlýtur þó að vera háð mati hverju sinni.
Samkvæmt 2. mgr. falla dagsektir ekki á ef ákvörðun Persónuverndar er skotið til dómstóla fyrr en að gengnum endanlegum dómi. Þannig verður dagsektum ekki beitt fyrr en að liðnum áfrýjunarfresti þegar héraðsdómi er áfrýjað en að öðrum kosti að gengnum dómi Hæstaréttar.
Um 42. gr.
Hér segir að brot á ákvæðum laga þessara varði fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar. Refsiákvæði gildandi laga eru mun ítarlegri en hér er lagt til, t.d. er þar fjallað um refsiábyrgð lögaðila, sviptingu starfsréttinda með dómi, upptöku búnaðar og tilraun og hlutdeild í brotum. Þykir ekki ástæða til að hafa hér svo ítarlegt refsiákvæði, enda fer um slík atriði samkvæmt almennum ákvæðum refsilöggjafar á hverjum tíma.
Um 43. gr.
Í þessari grein er mælt fyrir um bótaskyldu ábyrgðaraðila vegna tjóns sem verður þegar unnið hefur verið með persónuupplýsingar í andstöðu við ákvæði laganna, reglur settar samkvæmt þeim eða fyrirmæli Persónuverndar. Er hér höfð til hliðsjónar 23. gr. tilskipunar ESB. Samkvæmt greininni skal ábyrgðaraðili bæta hinum skráða það fjárhagslega tjón sem hin ólögmæta vinnsla hefur valdið honum, en um ábyrgð vegna tjóns sem ekki er fjárhagslegt er hins vegar ekki að ræða. Segja má að skaðabótaábyrgð ábyrgðaraðila leiði af almennum skaðabótareglum íslensks réttar, en eigi að síður þykir rétt að orða um það sérstaka reglu í frumvarpinu. Þar sem við því er að búast að ábyrgðaraðilar muni í auknum mæli láta vinnsluaðila vinna persónuupplýsingar fyrir sig í framtíðinni er nauðsynlegt að taka af öll tvímæli um það að ábyrgðaraðili ber ekki einungis ábyrgð á því tjóni sem hann veldur sjálfur heldur líka á tjóni sem vinnsluaðili hefur valdið. Væri óeðlilegt að ábyrgðaraðili gæti losnað undan skaðabótaábyrgð með því að fela öðrum aðila vinnslu upplýsinga fyrir sig. Ef ábyrgðaraðili sannar að tjón verður hvorki rakið til mistaka né vanrækslu hans eða vinnsluaðila er ekki um bótaskyldu að ræða.
Um 44. gr.
Í þessari grein frumvarpsins er kveðið á um gildissvið þess gagnvart öðrum lögum. Ákvæði frumvarpsins eru víðtæk og almenns eðlis í þeim skilningi að þau taka til hvers kyns meðferðar og vinnslu persónuupplýsinga hvar og hvernig sem hún fer fram, með þeim frávikum sem fram koma í frumvarpinu. Af þeim sökum þykir rétt að taka fram að frumvarpið taki jafnframt til meðferðar og vinnslu slíkra upplýsinga sem fram fer samkvæmt öðrum lögum nema þau lög tilgreini annað sérstaklega. Slík sérákvæði er m.a. að finna í IV. kafla stjórnsýslulaga, nr. 37/1993, þar sem fjallað er um rétt aðila máls til aðgangs að þeim gögnum er mál hans varða. Samkvæmt lagaskilareglu 44. gr. frumvarpsins halda þessi ákvæði stjórnsýslulaga gildi sínu óháð frumvarpinu.
Þá verður að ætla að gildissvið frumvarpsins taki að hluta til sömu gagna og upplýsingalög, nr. 50/1996. Efnisreglur þeirra laga eru tvenns konar. Önnur mælir fyrir um aðgang almennings að upplýsingum í vörslu stjórnvalda en hin um aðgang aðila að upplýsingum um hann sjálfan í öðrum tilvikum en þeim sem falla undir stjórnsýslulögin. Með fyrri málslið 2. mgr. 2. gr. upplýsingalaga eru skilin milli þeirra laga og gildandi laga um skráningu og meðferð persónuupplýsinga dregin með þeim hætti að upplýsingar sem þau síðarnefndu taka til eru í raun undanskildar gildissviði upplýsingalaga. Gildissvið upplýsingalaga hefur því að þessu leyti oltið á því hvernig gildissvið laga um skráningu og meðferð persónuupplýsinga er afmarkað. Í grófum dráttum má segja að mörkin þarna á milli hafi verið dregin á þann hátt að gildandi lög um persónuupplýsingar taki til aðgangs að persónuupplýsingum í skrám sem færðar eru kerfisbundið en upplýsingalögin til persónuupplýsinga sem varðveittar eru á annan hátt. Úrlausnargrundvöllur beiðni um aðgang að persónuupplýsingum hefur því í raun oltið á því á hvaða formi slíkar upplýsingar eru varðveittar.
Með því að frumvarp þetta nálgast viðfangsefni sitt með nokkuð öðrum hætti en gildandi lög og rýmkar gildissvið þeirra að því leyti að það nær til sérhverrar rafrænnar vinnslu persónuupplýsinga án tillits til þess hvort afmörkuðum upplýsingum er safnað í skipulagsbundna heild eða ekki, er á vegum forsætisráðuneytis unnið að því að útfæra þær breytingar á gildissviði upplýsingalaga gagnvart þessu frumvarpi að upplýsingalögin taki ekki til aðgangs að upplýsingum er frumvarpið tekur til nema leitað sé eftir aðgangi að skjölum eða öðrum gögnum sem 2. mgr. 3. gr. upplýsingalaga nær til. Í því ákvæði er inntak upplýsingaréttarins síðan afmarkað á þann hátt að aðgangur almennings taki til gagna í máli sem er eða hefur verið til meðferðar hjá stjórnvöldum og liggja fyrir hjá þeim. Eftir þessa breytingu ber að virða ákvæði upplýsingalaga sem sérákvæði í samanburði við frumvarpið, sbr. 44. gr. þess, en í raun leiðir það til sömu niðurstöðu og nú gildir um lagaskil milli upplýsingalaga og laga um skráningu og meðferð persónuupplýsinga. Á þennan hátt halda ákvæði upplýsingalaga gildi sínu óháð þessu frumvarpi og ekki verður hallað á þann upplýsingarétt sem almenningi hefur þegar verið tryggður samkvæmt núgildandi lögum, en í 72. lið formála tilskipunar ESB er gert ráð fyrir að taka megi tillit til slíkra sjónarmiða.
Um 45. gr.
Samkvæmt 1. mgr. getur ráðherra mælt fyrir um meðferð persónuupplýsinga í tiltekinni starfsemi og hjá einstökum starfsstéttum. Þetta felur í sér heimild til að setja nánari ákvæði um framkvæmd laganna eftir aðstæðum og þörfum á afmörkuðum sviðum.
Í 2. mgr. er mælt fyrir um skyldu ráðherra til að setja reglugerð um heimild til söfnunar og skráningar upplýsinga sem varða fjárhagsmálefni og lánstraust fyrirtækja, svo og annarra lögaðila, í því skyni að miðla til annarra upplýsingum um það efni. Lagt er til að slík starfsemi verði leyfisskyld og um hana gildi nánar tiltekin ákvæði frumvarpsins. Tilskipun ESB nær ekki til upplýsinga um fyrirtæki eða aðrar lögpersónur. Gildandi lög taka hins vegar til upplýsinga um lögpersónur, sbr. 3. mgr. 1. gr. og V. kafla laganna, sem gildir um skráningu upplýsinga um fjárhagsmálefni og lánstraust. Rétt þykir að lögpersónum verði áfram tryggð sú vernd sem mælt er fyrir um í gildandi lögum og er gert ráð fyrir að hún verði ekki lakari ef frumvarp þetta verður að lögum.
Um 46. gr. og ákvæði til bráðabirgða.
Í 46. gr. er lagt til að lögin taki gildi fyrsta dag næsta mánaðar eftir að liðnir eru sex mánuðir frá birtingu þeirra. Frumvarp þetta mun, ef að lögum verður, hafa í för með sér verulegar breytingar á íslenskri löggjöf um meðferð persónuupplýsinga. Á það bæði við um efnisreglur nýrra laga og stjórnsýslu í því sambandi. Þar sem gera má ráð fyrir að nokkurn tíma geti tekið að undirbúa gildistöku þeirra er í ákvæði til bráðabirgða lagt til að ráðherra skipi stjórn Persónuverndar og forstjóra þegar er lögin hafa verið birt. Verður það hlutverk þeirra að undirbúa gildistöku laganna, sbr. 46. gr. frumvarpsins.
Fylgiskjal I.
TILSKIPUN EVRÓPUÞINGSINS OG RÁÐSINS 95/46/EB
frá 24. október 1995
um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun
slíkra upplýsinga.
(Texti er ekki til tölvutækur.)
Fylgiskjal II.
Samningur Evrópuráðsins frá 28. janúar 1981 um vernd einstaklinga
varðandi vélræna vinnslu persónuupplýsinga.
SAMNINGUR
um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga.
CONVENTION
for the Protection of Individuals with regard to Automatic Processing of Personal Data.
(Texti er ekki til tölvutækur.)
Fylgiskjal III.
Fjármálaráðuneyti,
fjárlagaskrifstofa:
Umsögn um frumvarp til laga um persónuvernd
og meðferð persónuupplýsinga.
Framangreind tilskipun, og þar með þetta frumvarp, byggist á tilkynningarskyldu sem aðalreglu en núgildandi lög byggjast á leyfisveitingu sem aðalreglu. Með tilkynningarskyldu er lögð sú skylda á ábyrgðaraðila að tilkynna Persónuverndar um fyrirhugaða vinnslu persónuupplýsinga. Eftir sem áður verða sumar vinnslur leyfisskyldar, einkum þar sem safnað er viðkvæmum persónuupplýsingum eða þar sem upplýsingar geta haft bein áhrif á hagsmuni hinna skráðu. Með leyfisveitingum er skráning persónuupplýsinga heimiluð með skilmálum sem metnir eru nauðsynlegir hverju sinni. Þessi breyting á fyrirkomulagi eykur starfsumfang til muna miðað við störf tölvunefndar samkvæmt gildandi lögum. Auk þess að taka við tilkynningum og afgreiða leyfisumsóknir þar sem það á við skal Persónuvernd m.a. fylgjast með almennri þróun á sviði persónuupplýsingaverndar á innlendum og erlendum vettvangi og leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar um persónuvernd, en nánar er fjallað um hlutverk og starfssviðs Persónuverndar í 37. gr. frumvarpsins.
Áætlað er að frumvarpið hafi eftirtalin fjárhagsleg áhrif í för með sér.
a. Árlegur rekstrarkostnaður Persónuverndar er talinn nema um 40,5 m.kr. Er þar miðað við að starfsmenn verði átta talsins, eða einn framkvæmdastjóri, tveir lögfræðingar, þrír tæknimenn og tveir starfsmenn á skrifstofu. Launagjöld starfsmanna eru áætluð 28,4 m.kr. Annar rekstrarkostnaður en laun er áætlaður 12,1 m.kr. Þar af eru 5,3 m.kr. vegna leigu, rafmagns, hita og annars húsnæðiskostnaðar. Þá eru 3,4 m.kr. áætlaðar í almennan rekstrarkostnað, svo sem síma, tölvurekstur, prentun, akstur o.fl. Loks er árlegur ferðakostnaður áætlaður 3,4 m.kr. miðað við að framkvæmdastjóri og sérfræðingar stofnunarinnar þurfi að fara alls um 20 ferðir erlendis á ári vegna samráðsfunda á alþjóðlegum vettvangi.
b. Samkvæmt 35. gr. er Persónuvernd heimilt að ákveða að leyfishafi skuli greiða þann kostnað sem hlýst af eftirliti hennar. Erfitt er að meta hve miklar tekjur af slíku eftirliti geta orðið en ætla má að þær gætu orðið 1–2 m.kr. á ári. Þegar viðhaft er eftirlit með mjög umfangsmikilli vinnslu er talið að til þess verði keypt viðbótarvinna og að eftirlitsgjöld standi undir þeim aukakostnaði.
c. Samkvæmt 36. gr. skal skipa fimm menn í stjórn Persónuverndar, en stofnunin skal hafa með höndum daglega stjórnsýslu í umboði stjórnar. Áætlað er að árlegur heildarkostnaður verði um 3,2 m.kr. og er þar tekið mið f þóknanagreiðslum til tölvunefndar.
d. Á fyrsta heila starfsári Persónuverndar er talið að viðbótarkostnaður vegna stofnbúnaðar og tækjakaupa verði um 11 m.kr. Auk þess má ætla að kostnaður vegna kynningar á nýju lögum og þjálfun starfsmanna geti numið um 1 m.kr.
Að öllu töldu er því gert ráð fyrir að árlegt framlag úr ríkissjóði verði um 42 m.kr. Á móti fellur niður framlag til tölvunefndar en það er áætlað 7 m.kr. í frumvarpi til fjárlaga fyrir 2000. Til viðbótar við árlegan rekstrarkostnað er talið að stofnkostnaður á fyrsta ári eftir gildistöku laganna verði 12 m.kr.
