Ferill 280. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.
125. löggjafarþing 1999–2000.
Þskj. 1352 — 280. mál.
Frumvarp til laga
um persónuvernd og meðferð persónuupplýsinga.
(Eftir 2. umr., 10. maí.)
I. KAFLI
Markmið, skilgreiningar og gildissvið.
1. gr.
Markmið.
Sérstök stofnun, Persónuvernd, annast eftirlit með framkvæmd laga þessara og reglna sem settar verða samkvæmt þeim, sbr. nánar ákvæði 36. gr.
2. gr.
Skilgreiningar.
1. Persónuupplýsingar: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.
2. Vinnsla: Sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn.
3. Skrá: Sérhvert skipulagsbundið safn persónuupplýsinga þar sem finna má upplýsingar um einstaka menn.
4. Ábyrgðaraðili: Sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.
5. Vinnsluaðili: Sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.
6. Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði.
7. Samþykki: Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.
8. Viðkvæmar persónuupplýsingar:
a. Upplýsingar um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir.
b. Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað.
c. Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun.
d. Upplýsingar um kynlíf manna og kynhegðan.
e. Upplýsingar um stéttarfélagsaðild.
9. Sértæk ákvörðun: Ákvörðun sem afmarkar rétt og/eða skyldur eins eða fleiri tilgreindra einstaklinga.
3. gr.
Efnislegt gildissvið.
Ákvæði 16., 18.–21., 24., 26., 31. og 32. gr. laganna gilda ekki um vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu. Lögin gilda ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða eru einvörðungu ætlaðar til persónulegra nota.
4. gr.
Sjónvarpsvöktun og myndataka.
5. gr.
Tengsl við tjáningarfrelsi.
6. gr.
Landfræðilegt gildissvið.
Lögin gilda einnig um vinnslu persónuupplýsinga þótt ábyrgðaraðili hafi staðfestu í ríki utan Evrópska efnahagssvæðisins ef hann notar tæki og búnað sem er hér á landi. Þegar svo hagar til skal ábyrgðaraðili tilnefna fulltrúa sinn sem hefur staðfestu hér á landi og gilda þá ákvæði laganna varðandi ábyrgðaraðila um þann fulltrúa eftir því sem við á.
Ákvæði 2. mgr. gilda ekki ef umræddur tækjabúnaður er einungis notaður til að flytja persónuupplýsingar um Ísland.
II. KAFLI
Almennar reglur um vinnslu persónuupplýsinga.
7. gr.
Meðferð persónuupplýsinga.
1. að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga;
2. að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, en frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt;
3. að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar;
4. að þær séu áreiðanlegar og uppfærðar eftir þörfum, persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta;
5. að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu.
8. gr.
Vinnsla almennra persónuupplýsinga.
1. hinn skráði hafi gefið samþykki sitt;
2. vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður;
3. vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila;
4. vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða;
5. vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna;
6. vinnslan sé nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með;
7. vinnslan sé nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra.
Rafræn vöktun staðar þar sem takmarkaður hópur fólks fer að jafnaði um er heimil sé hennar sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram.
9. gr.
Vinnsla viðkvæmra persónuupplýsinga.
1. hinn skráði samþykki vinnsluna;
2. sérstök heimild standi til vinnslunnar samkvæmt öðrum lögum;
3. ábyrgðaraðila beri skylda til vinnslunnar samkvæmt samningi aðila vinnumarkaðarins;
4. vinnslan sé nauðsynleg til að verja verulega hagsmuni hins skráða eða annars aðila sem ekki er sjálfur fær um að gefa samþykki sitt skv. 1. tölul.;
5. vinnslan sé framkvæmd af samtökum sem hafa stéttarfélagsleg markmið eða af öðrum samtökum sem ekki starfa í hagnaðarskyni, svo sem menningar-, líknar-, félagsmála- eða hugsjónasamtökum, enda sé vinnslan liður í lögmætri starfsemi samtakanna og taki aðeins til félagsmanna þeirra eða einstaklinga sem samkvæmt markmiðum samtakanna eru, eða hafa verið, í reglubundnum tengslum við þau; slíkum persónuupplýsingum má þó ekki miðla áfram án samþykkis hins skráða;
6. vinnslan taki einungis til upplýsinga sem hinn skráði hefur sjálfur gert opinberar;
7. vinnslan sé nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja;
8. vinnslan sé nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu;
9. vinnslan sé nauðsynleg vegna tölfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á.
Persónuvernd getur heimilað vinnslu viðkvæmra persónuupplýsinga í öðrum tilvikum en greinir í 1. mgr. telji hún brýna almannahagsmuni mæla með því. Persónuvernd bindur slíka heimild þeim skilyrðum sem hún telur nauðsynleg hverju sinni til að tryggja hagsmuni hinna skráðu.
Persónuvernd setur, að fenginni umsögn vísindasiðanefndar, reglur um hvernig velja má og nálgast fólk til þátttöku í vísindarannsóknum og hvaða fræðslu skuli veita því áður en samþykkis þess er óskað.
Persónuvernd leysir úr ágreiningi um hvort persónuupplýsingar skuli teljast viðkvæmar eða ekki.
10. gr.
Notkun kennitölu.
11. gr.
Öryggi og gæði persónuupplýsinga.
Ábyrgðaraðili ber ábyrgð á því að reglulega sé framkvæmt öryggismat og gerðar kerfisbundnar öryggisráðstafanir til að fullnægja skilyrðum 1. mgr.
Ábyrgðaraðili skal halda skrá yfir öryggismat og öryggisráðstafanir sem fram hafa farið og skal Persónuvernd hafa aðgang að henni hvenær sem er.
12. gr.
Innra eftirlit.
Persónuvernd getur sett frekari fyrirmæli um framkvæmd innra eftirlits.
13. gr.
Meðferð vinnsluaðila á persónuupplýsingum.
14. gr.
Frestur til að fullnægja skyldum.
Ef sérstakar ástæður valda því að ómögulegt er fyrir ábyrgðaraðila að afgreiða erindi innan eins mánaðar er honum heimilt að gera það síðar. Þegar svo hagar til skal ábyrgðaraðili innan mánaðarfrestsins gefa hlutaðeigandi skriflegar skýringar á ástæðum tafarinnar og hvenær svars sé að vænta.
15. gr.
Greiðsla kostnaðar.
III. KAFLI
Upplýsingaréttur og upplýsingaskylda.
Fræðslu- og viðvörunarskylda.
Réttur til rökstuðnings.
16. gr.
Réttur til almennrar vitneskju um vinnslu persónuupplýsinga.
Þeim sem þess óskar skal enn fremur, að því er varðar tiltekna tegund vinnslu, veitt vitneskja um eftirtalin atriði:
1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.;
2. hver ber daglega ábyrgð á því að fullnægt sé skyldum ábyrgðaraðila samkvæmt lögum þessum;
3. tilgang vinnslunnar;
4. skilgreiningu og aðra lýsingu á þeim tegundum persónuupplýsinga sem unnið er með;
5. hvaðan upplýsingar koma;
6. viðtakendur upplýsinga, þar á meðal um hvort ætlunin sé að flytja upplýsingar úr landi og þá til hverra.
Kröfu skv. 1. mgr. skal beint til ábyrgðaraðila, eða fulltrúa hans skv. 6. gr., og má krefjast skriflegrar greinargerðar um þau atriði sem óskað er vitneskju um.
17. gr.
Opinber skrá um veittar heimildir og mótteknar tilkynningar.
Skráin skal vera aðgengileg almenningi með þeirri aðferð sem Persónuvernd ákveður.
18. gr.
Upplýsingaréttur hins skráða.
1. hvaða upplýsingar um hann er eða hefur verið unnið með;
2. tilgang vinnslunnar;
3. hver fær, hefur fengið eða mun fá upplýsingar um hann;
4. hvaðan upplýsingarnar koma;
5. hvaða öryggisráðstafanir eru viðhafðar við vinnslu, enda skerði það ekki öryggi vinnslunnar.
Kröfu um vitneskju skv. 1. mgr. skal beina til ábyrgðaraðila eða fulltrúa hans skv. 6. gr. Veita skal vitneskju skriflega sé þess óskað.
19. gr.
Takmarkanir á upplýsingarétti hins skráða.
Ákvæði 18. gr. eiga ekki við ef réttur hins skráða samkvæmt því ákvæði þykir eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra eða hans eigin. Skal þá m.a. tekið tillit til heilsu hins skráða og hagsmuna venslamanna hans. Þó má samkvæmt beiðni veita umboðsmanni hins skráða vitneskjuna, enda mæli engar sérstakar ástæður gegn því.
Réttur hins skráða til að fá vitneskju samkvæmt ákvæðum 18. gr. nær ekki til upplýsinga sem eru undanþegnar aðgangi samkvæmt upplýsinga- eða stjórnsýslulögum. Þegar um er að ræða gögn í vörslu annarra ábyrgðaraðila en stjórnvalda ná ákvæði 18. gr. ekki til vitneskju um efni vinnuskjala eða annarra sambærilegra gagna sem unnin eru af ábyrgðaraðila sjálfum eða aðilum á hans vegum, t.d. sérstökum ráðgjöfum eða sérfræðingum.
Þótt gögn séu undanþegin upplýsingarétti hins skráða skv. 3. mgr. getur hann óskað greinargerðar um efnislegt innihald þeirra, útdráttar eða annars konar samantektar nema hann geti kynnt sér staðreyndir málsins með öðrum hætti.
Dragi veiting vitneskju um tilteknar upplýsingar úr möguleikum á að leiða til lykta mál sem er til meðferðar má fresta veitingu upplýsinganna þar til lokið er undirbúningi málsmeðferðar.
Persónuvernd getur sett skilmála um beitingu upplýsingaréttar hins skráða í reglum sem ráðherra staðfestir.
20. gr.
Fræðsluskylda þegar persónuupplýsinga er aflað hjá hinum skráða.
Frekari fræðslu skal veita ef slíkt er nauðsynlegt til að tryggja að hinn skráði geti gætt hagsmuna sinna, t.d. fræða hann um upplýsingarétt sinn skv. 18., sbr. 19. gr., og rétt hans til að krefjast þess að upplýsingar verði leiðréttar eða þeim eytt.
21. gr.
Viðvörunarskylda þegar persónuupplýsingum
er safnað frá öðrum en hinum skráða.
Ákvæði 1. mgr. gilda ekki ef:
1. viðvörun er að mati Persónuverndar óframkvæmanleg eða leggur þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast,
2. ætla má að hinum skráða sé þegar kunnugt um vinnsluna eða
3. lagaheimild stendur til skráningar eða miðlunar upplýsinganna.
22. gr.
Rökstuðningur sértækra ákvarðana sem
byggjast á sjálfvirkri upplýsingavinnslu.
23. gr.
Viðvaranir um notkun persónusniða.
1. við sértæka ákvörðun skv. 9. tölul. 2. gr. eða
2. við að nálgast hinn skráða, velja úrtak, markhóp o.s.frv.,
getur Persónuvernd, þegar henni berst tilkynning um slíka vinnslu, ákveðið að ábyrgðaraðili geri hinum skráða viðvart og greini frá því hver sé ábyrgðaraðili vinnslunnar, hvaða upplýsingar hann noti og hvaðan þær komi.
Við ákvörðun skv. 1. mgr. skal Persónuvernd m.a. líta til þess hvort viðvörun er að hennar mati óframkvæmanleg eða leggi þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast.
24. gr.
Viðvaranir um rafræna vöktun.
IV. KAFLI
Leiðrétting, eyðing, lokun o.fl.
25. gr.
Leiðrétting og eyðing rangra og villandi persónuupplýsinga.
Ef eyðing eða breyting þeirra upplýsinga sem um ræðir í 1. mgr. er óheimil samkvæmt ákvæðum annarra laga getur Persónuvernd bannað notkun upplýsinganna.
26. gr.
Eyðing og bann við notkun persónuupplýsinga
sem hvorki eru rangar né villandi.
Ef ákvæði annarra laga standa því ekki í vegi getur skráður aðili engu síður krafist þess að upplýsingum um hann skv. 1. mgr. sé eytt eða notkun þeirra bönnuð ef slíkt telst réttlætanlegt út frá heildstæðu hagsmunamati. Við slíkt hagsmunamat skal taka tillit til hagsmuna annarra, almennra persónuverndarhagsmuna, almannahagsmuna og þeirra aðgerða sem þörf er á til að verða við kröfunni.
Persónuvernd getur, bæði í einstökum tilvikum eða með setningu almennra reglna, bannað notkun slíkra upplýsinga eða mælt fyrir um eyðingu þeirra.
27. gr.
Réttur til að fá ákvörðun sem byggist á handvirkri vinnslu upplýsinga.
Réttur skv. 1. mgr. er ekki til staðar ef beitt er viðhlítandi ráðstöfunum til að gæta persónuverndarhagsmuna viðkomandi og um er að ræða ákvörðun sem byggist á fyrirmælum laga eða tengist gerð eða efndum samnings.
28. gr.
Bann við notkun nafna í markaðssetningu o.fl.
Skylt er að nafn ábyrgðaraðila komi fram á áberandi stað á útsendum markpósti og þar sé upplýst hvert þeir sem ekki vilja fá slíkan markpóst og marksímtöl geti snúið sér. Viðtakandi markpósts á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu eða útsendingu til grundvallar. Þetta gildir ekki um markaðssetningu ábyrgðaraðila á eigin vöru og þjónustu sem notar eigin viðskiptamannaskrár, enda beri útsent efni með sér hvaðan það kemur.
Ákvæði 1. og 2. mgr. gilda, eftir því sem við á, einnig um markaðs-, neyslu- og skoðanakannanir samkvæmt nánari fyrirmælum Persónuverndar. Persónuvernd er heimilt að undanþiggja vísindarannsóknir og hliðstæðar rannsóknir takmörkunum skv. 1. mgr., enda þyki ljóst að slík takmörkun geti skert til muna áreiðanleika niðurstöðu rannsóknarinnar.
V. KAFLI
Flutningur persónuupplýsinga úr landi.
29. gr.
Flutningur persónuupplýsinga til ríkis sem veitir
fullnægjandi persónuupplýsingavernd.
Ríki sem framfylgir tilskipun Evrópusambandsins 95/46/ESB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga telst fullnægja skilyrðum 1. mgr.
Við mat á því hvort ríki sem ekki framfylgir tilskipun 95/46/ESB fullnægi skilyrðum 1. mgr. skal m.a. líta til reglna viðkomandi ríkis um meðferð persónuupplýsinga, reglna um góða viðskiptahætti og þeirra öryggisráðstafana sem viðhafðar eru hjá viðtakanda. Þá skal taka mið af því hvort viðkomandi ríki hafi fullgilt samning Evrópuráðsins nr. 108 frá 28. janúar 1981, um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga.
30. gr.
Flutningur persónuupplýsinga til ríkis sem ekki
veitir fullnægjandi persónuupplýsingavernd.
1. hinn skráði hafi samþykkt flutninginn, eða
2. slíkt sé nauðsynlegt til efnda á þjóðréttarskuldbindingum eða vegna aðildar Íslands að alþjóðastofnun, eða
3. heimild standi til slíks flutnings í öðrum lögum, eða
4. afhendingin sé nauðsynleg til að gera eða efna samning milli hins skráða og ábyrgðaraðila, eða
5. flutningurinn sé nauðsynlegur til að gera eða efna samning í þágu hins skráða, eða
6. afhendingin sé nauðsynleg til að verja verulega hagsmuni hins skráða.
Persónuvernd getur heimilað flutning upplýsinga til ríkis er greinir í 1. mgr. telji hún sérstök rök mæla með því, jafnvel þótt skilyrðum ákvæðisins sé ekki fullnægt. Í slíku tilviki skal m.a. taka tillit til eðlis upplýsinganna, fyrirhugaðs tilgangs vinnslunnar og hve lengi hún varir. Persónuvernd getur sett nánari fyrirmæli um flutning persónuupplýsinga úr landi.
VI. KAFLI
Tilkynningarskylda, leyfisskylda o.fl.
31. gr.
Tilkynningarskylda.
Tilkynningarskyldan á ekki við ef einungis er unnið með upplýsingar sem gerðar hafa verið og eru aðgengilegar almenningi.
Persónuvernd getur ákveðið að vissar tegundir vinnslu almennra upplýsinga skuli vera undanþegnar tilkynningarskyldu eða að um þær gildi einfaldari tilkynningarskylda. Persónuvernd getur jafnframt ákveðið að vissar tegundir vinnslu skuli vera leyfisskyldar. Um vinnslu sem undanþegin er tilkynningarskyldu getur Persónuvernd sett fyrirmæli, þar á meðal um þau atriði sem talin eru í 2. mgr. 35. gr. Persónuvernd getur einnig mælt fyrir um ráðstafanir til að draga úr óhagræði sem slík vinnsla persónuupplýsinga kann að hafa í för með sér fyrir hinn skráða.
32. gr.
Efni tilkynninga.
1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans, sbr. 6. gr.;
2. hver ber daglega ábyrgð á að uppfylla skyldur ábyrgðaraðila;
3. tilgang vinnslunnar;
4. skilgreiningu og aðra lýsingu á þeim tegundum upplýsinga sem notaðar verða við vinnslu;
5. hvert upplýsingarnar eru sóttar;
6. þá heimild sem stendur til söfnunar upplýsinganna;
7. hverjum upplýsingarnar verða afhentar;
8. hvort ráðgert sé að flytja persónuupplýsingarnar úr landi;
9. hvort ráðgert sé að birta upplýsingarnar á netinu;
10. hvaða öryggisráðstafanir verða viðhafðar í vinnslunni;
11. hvort og hvenær persónuupplýsingum eða persónuauðkennum verði eytt.
Persónuvernd getur sett nánari fyrirmæli um form og efni tilkynninga og um framkvæmd tilkynningarskyldunnar að öðru leyti.
Ábyrgðaraðili skal sjá til þess að Persónuvernd hafi á hverjum tíma undir höndum réttar upplýsingar um vinnsluna. Þegar liðin eru þrjú ár frá því að tilkynning var send Persónuvernd skal senda henni nýja tilkynningu með uppfærðum upplýsingum nema henni hafi áður verið tilkynnt um breytta vinnslu. Persónuvernd getur mælt fyrir um ráðstafanir til að tryggja gæði og áreiðanleika tilkynninga og ákveðið mismunandi tilkynningarfrest eftir tegund og eðli vinnslu.
33. gr.
Leyfisskyld vinnsla.
34. gr.
Forsendur leyfisveitingar o.fl.
Við afgreiðslu mála er tengjast vinnslu viðkvæmra persónuupplýsinga skal Persónuvernd, innan þeirra marka sem greinir í II. kafla laganna, meta hvort vinnslan geti valdið hinum skráða slíku óhagræði að ekki verði úr því bætt með forsvaranlegum hætti með skilyrðum sem sett eru skv. 35. gr. Ef slíkt óhagræði getur orðið skal Persónuvernd meta hvort hagsmunir sem mæla með vinnslunni vegi þyngra en hagsmunir hins skráða.
35. gr.
Skilmálar Persónuverndar um vinnslu persónuupplýsinga.
Við mat á því hvaða skilyrði skal setja fyrir vinnslu skal Persónuvernd m.a. athuga:
1. hvort tryggt sé að hinn skráði geti nýtt réttindi sín samkvæmt lögunum, þar á meðal til að hætta þátttöku í verkefni, og eftir atvikum fá eytt skráðum persónuupplýsingum, til að fá fræðslu um réttindi sín og beitingu þeirra;
2. hvort persónuupplýsingar verði nægjanlega öruggar, áreiðanlegar og uppfærðar í samræmi við tilgang vinnslunnar skv. 7. gr.;
3. hvort með persónuupplýsingarnar verði farið af þeirri varúð sem reglur um þagnarskyldu og tilgangur vinnslunnar krefst;
4. hvort skipulagt hafi verið hvernig hinum skráða verði veittar upplýsingar og leiðbeiningar, innan þeirra marka sem sanngjarnt er að ætlast til miðað við umfang vinnslunnar og aðrar öryggisráðstafanir sem viðhafðar eru;
5. hvort stofnað hafi verið til öryggisráðstafana sem séu eðlilegar miðað við tilgang vinnslunnar.
Persónuvernd getur ákveðið að ábyrgðaraðili og vinnsluaðili, svo og starfsmenn á vegum þeirra, skuli undirrita yfirlýsingu um að þeir lofi að gæta þagmælsku um viðkvæmar persónuupplýsingar sem þeir fá vitneskju um við vinnslu þeirra. Ábyrgðaraðili eða fulltrúi hans skal votta rétta undirskrift starfsmanns og dagsetningu slíkrar yfirlýsingar og koma til Persónuverndar innan tilskilins frests. Brot á slíkri þagnarskyldu varðar refsingu skv. 136. gr. almennra hegningarlaga. Þagnarskyldan helst þótt látið sé af starfi.
Persónuvernd getur afgreitt erindi er lýtur að vinnslu viðkvæmra persónuupplýsinga með skilyrði um að sérstakur tilsjónarmaður verði skipaður til að hafa eftirlit fyrir hönd Persónuverndar með því að vinnsla sé í samræmi við lög og að ábyrgðaraðili greiði allan kostnað sem af því hlýst.
VII. KAFLI
Eftirlit og viðurlög.
36. gr.
Skipulag Persónuverndar og stjórnsýsla.
Persónuvernd er sjálfstæð í störfum sínum og verður ákvörðunum hennar samkvæmt lögum þessum ekki skotið til annarra stjórnvalda.
Ráðherra skipar fimm menn í stjórn Persónuverndar og jafnmarga til vara til fjögurra ára í senn. Formann og varaformann stjórnarinnar skipar ráðherra án tilnefningar og skulu þeir vera lögfræðingar og fullnægja hæfisskilyrðum héraðsdómara. Hæstiréttur tilnefnir einn stjórnarmann og Skýrslutæknifélag Íslands annan og skal hann vera sérfróður á sviði tölvu- og tæknimála. Varamenn skulu fullnægja sömu skilyrðum og aðalmenn.
Ráðherra ákveður laun stjórnarmanna.
Þegar stjórnarmenn eru ekki sammála ræður meiri hluti niðurstöðu máls. Ef atkvæði eru jöfn ræður atkvæði formanns.
Ráðherra skipar forstjóra Persónuverndar til fimm ára í senn að fenginni tillögu stjórnar. Forstjóri situr fundi stjórnar með málfrelsi og tillögurétti.
Forstjóri Persónuverndar annast daglega stjórn og ræður annað starfsfólk Persónuverndar.
Forstjóri ber ábyrgð á fjárreiðum og starfsmannahaldi Persónuverndar. Stjórn Persónuverndar ákveður að öðru leyti skiptingu starfa á milli stjórnar og starfsmanna hennar.
37. gr.
Verkefni Persónuverndar.
Persónuvernd úrskurðar í ágreiningsmálum sem upp kunna að koma um vinnslu persónuupplýsinga. Persónuvernd getur fjallað um einstök mál að eigin frumkvæði eða samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um hann í samræmi við lög þessi og reglur sem settar eru samkvæmt þeim eða einstökum fyrirmælum.
Verkefni Persónuverndar eru m.a. eftirfarandi:
1. að afgreiða leyfisumsóknir, taka við tilkynningum og mæla, eftir því sem þurfa þykir, fyrir um ráðstafanir að því er varðar tækni, öryggi og skipulag vinnslunnar þannig að hún verði í samræmi við ákvæði laganna,
2. að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum,
3. að fylgjast með almennri þróun á sviði persónuupplýsingaverndar á innlendum og erlendum vettvangi og hafa yfirsýn yfir og kynna helstu álitaefni sem tengjast vinnslu persónuupplýsinga,
4. að skilgreina og afmarka hvar persónuvernd er hætta búin og veita ráð um leiðir til lausnar,
5. að leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar, eða þróa kerfi fyrir slíka vinnslu, um persónuvernd, þar á meðal með því að aðstoða við gerð starfs- og siðareglna fyrir einstaka hópa og starfsstéttir,
6. að tjá sig, samkvæmt beiðni eða að eigin frumkvæði, um álitaefni varðandi meðferð persónuupplýsinga og veita umsagnir við setningu laga og annarra reglna sem þýðingu hafa fyrir persónuvernd,
7. að birta árlega skýrslu um starfsemi sína.
Persónuvernd getur ákveðið að ábyrgðaraðili skuli greiða þann kostnað sem hlýst af eftirliti með því að hann fullnægi skilyrðum laga þessara og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Persónuvernd getur einnig ákveðið að ábyrgðaraðili greiði kostnað við úttekt á starfsemi við undirbúning útgáfu vinnsluleyfis og annarrar afgreiðslu.
38. gr.
Aðgangur Persónuverndar að upplýsingum o.fl.
Persónuvernd hefur í eftirlitsstörfum sínum án dómsúrskurðar aðgang að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þar á meðal stöðum þar sem varðveittar eru skrár, myndir, sbr. 4. gr., persónuupplýsingar sem lúta rafrænni vinnslu, og tæki til slíkrar vinnslu. Persónuvernd getur framkvæmt hverja þá prófun eða eftirlitsaðgerð sem hún telur nauðsynlega og krafist nauðsynlegrar aðstoðar starfsfólks á slíkum vettvangi til að framkvæma prófun eða eftirlit. Persónuvernd getur óskað liðveislu lögreglu ef einhver leitast við að hindra hana í eftirlitsstörfum sínum.
Réttur Persónuverndar til að krefjast upplýsinga eða aðgangs að starfsstöðvum og tækjabúnaði verður ekki takmarkaður með vísun til reglna um þagnarskyldu.
39. gr.
Undanþágur frá þagnarskyldu.
40. gr.
Stöðvun vinnslu o.fl.
Komi í ljós að fram fer vinnsla persónuupplýsinga sem brýtur í bága við ákvæði laga þessara eða reglur settar samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað.
Sinni aðili ekki fyrirmælum Persónuverndar skv. 1. mgr. getur hún afturkallað leyfi sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati.
41. gr.
Dagsektir.
Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.
42. gr.
Refsingar.
Nú er brot framið í starfsemi lögaðila og má þá gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga.
43. gr.
Bætur.
VIII. KAFLI
Lagatengsl, gildistaka o.fl.
44. gr.
Tengsl við ákvæði annarra laga.
Lög þessi takmarka ekki þann rétt til aðgangs að gögnum sem mælt er fyrir um í upplýsingalögum og stjórnsýslulögum.
45. gr.
Reglugerðir um einstaka flokka starfsemi.
Í reglugerð skal mælt fyrir um heimild til söfnunar og skráningar upplýsinga sem varða fjárhagsmálefni og lánstraust fyrirtækja, svo og annarra lögaðila, í því skyni að miðla til annarra upplýsingum um það efni. Heimild til slíkrar starfsemi skal bundin leyfi Persónuverndar og um hana gilda eftirfarandi ákvæði laganna: 11. gr. um öryggi og gæði upplýsinga, 12. gr. um innra eftirlit, 13. gr. um meðferð vinnsluaðila á upplýsingum, 18. gr. um upplýsingarétt hins skráða, 21. gr. um viðvörunarskyldu þegar upplýsingum er safnað frá öðrum en hinum skráða, 25. gr. um leiðréttingu og eyðingu rangra og villandi upplýsinga, 26. gr. um eyðingu og bann við notkun upplýsinga sem hvorki eru rangar né villandi, 33. gr. um leyfisskylda vinnslu, 34. gr. um forsendur leyfisveitingar, 35. gr. um skilmála, 38. gr. um aðgang Persónuverndar að upplýsingum o.fl., 40. gr. um stöðvun vinnslu o.fl., 41. gr. um dagsektir, 42. gr. um refsingar og 43. gr. um bætur.
Að fenginni umsögn Persónuverndar skal ráðherra í reglugerð mæla nánar fyrir um eftirlit Persónuverndar með rafrænni vinnslu persónuupplýsinga hjá lögreglu. Þar skal m.a. mælt fyrir um skyldu lögreglu til að tilkynna Persónuvernd um rafrænt unnar skrár sem hún heldur og efni slíkra tilkynninga. Þá skal mælt fyrir um í hvaða tilvikum og með hvaða hætti hinn skráði á rétt til aðgangs að persónuupplýsingum sem skráðar hafa verið um hann hjá lögreglu, svo og heimild lögreglu til miðlunar upplýsinga í öðrum tilvikum. Loks skal mælt fyrir um öryggi persónuupplýsinga og innra eftirlit lögreglu með því að vinnslu persónuupplýsinga sé hagað í samræmi við lög, svo og um tímalengd á varðveislu skráðra upplýsinga.
Þá skal í reglugerð kveða nánar á um starfsemi þeirra sem nota nafnalista, vinna nafnáritanir, þar á meðal við markaðssetningarstarfsemi, og við gerð markaðs- og skoðanakannana.
46. gr.
Gildistaka.
Við gildistöku laganna verða eftirfarandi breytingar á öðrum lögum:
1. Í stað orðanna „lög um skráningu og meðferð persónuupplýsinga, nr. 121/1989“ í lokamálslið 20. gr. barnaverndarlaga, nr. 58/1992, kemur: lög um persónuvernd og meðferð persónuupplýsinga.
2. Í stað orðanna „tölvunefnd, sbr. lög nr. 121/1989, um skráningu og meðferð persónuupplýsinga“ í 4. mgr. 24. gr. lyfjalaga, nr. 93/1994, kemur: Persónuvernd, sbr. lög um persónuvernd og meðferð persónuupplýsinga.
3. Í stað orðsins „Tölvunefnd“ í 3. mgr. 15. gr. laga um réttindi sjúklinga, nr. 74/1997, kemur: Persónuvernd.
4. Í stað orðsins „tölvunefndar“ í 2. mgr. 14. gr. laga um rafræna eignarskráningu verðbréfa, nr. 131/1997, kemur: Persónuverndar.
5. Í stað orðsins „tölvunefnd“ í 4. gr. laga um gagnagrunn á heilbrigðissviði, nr. 139/1998, og sama orðs í 5., 6., 7., 10., 12. og 17. gr. kemur í viðeigandi falli: Persónuvernd.
6. Í stað orðsins „tölvunefnd“ í 18. og 19. gr. laga um Schengen-upplýsingakerfið á Íslandi, nr. 16/2000, kemur í viðeigandi falli: Persónuvernd.
Ákvæði til bráðabirgða.
Þrátt fyrir 1. mgr. 46. gr. skal Persónuvernd þegar er stjórn hennar hefur verið skipuð taka að sér eftirlit með því að meðferð persónuupplýsinga í Schengen-upplýsingakerfinu á Íslandi sé í samræmi við lög nr. 16/2000, um Schengen-upplýsingakerfið á Íslandi.
Sérhver ábyrgðaraðili sem beitir rafrænni tækni við vinnslu persónuupplýsinga við gildistöku laganna skal á þar til gerðu eyðublaði tilkynna Persónuvernd um vinnsluna í samræmi við ákvæði 31. og 32. gr. innan sex mánaða frá gildistöku þeirra.
Leyfi sem tölvunefnd hefur gefið út skulu halda gildi, enda fari þau ekki í bága við lög þessi.