Ferill 622. máls. Aðrar útgáfur af skjalinu: PDF - Microsoft Word.
148. löggjafarþing 2017–2018.
Þingskjal 1029 — 622. mál.
Stjórnarfrumvarp.
Frumvarp til laga
um persónuvernd og vinnslu persónuupplýsinga.
Frá dómsmálaráðherra.
I. KAFLI
Markmið, orðskýringar og gildissvið.
1. gr.
Markmið.
Sérstök stofnun, Persónuvernd, annast eftirlit með framkvæmd reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679, laga þessara og reglna sem settar verða samkvæmt þeim, sbr. nánar ákvæði VII. kafla laga þessara. Evrópsk eftirlitsstofnun skv. VII. kafla reglugerðarinnar er Evrópska persónuverndarráðið.
2. gr.
Lögfesting.
3. gr.
Orðskýringar.
1. Reglugerðin: Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB.
2. Persónuupplýsingar: Upplýsingar um persónugreindan eða persónugreinanlegan einstakling („skráðan einstakling“); einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.
3. Viðkvæmar persónuupplýsingar:
a. Upplýsingar um kynþátt, þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, heimspekilega sannfæringu eða aðild að stéttarfélagi.
b. Heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun.
c. Upplýsingar um kynlíf manna og kynhneigð.
d. Erfðafræðilegar upplýsingar, þ.e. persónuupplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings sem gefa einkvæmar upplýsingar um lífeðlisfræði eða heilbrigði einstaklingsins og fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi.
e. Lífkennaupplýsingar, þ.e. persónuupplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstaklings og gera það kleift að greina eða staðfesta deili á einstaklingi með ótvíræðum hætti, svo sem andlitsmyndir eða gögn um fingraför, enda sé unnið með upplýsingarnar í því skyni að persónugreina einstakling með einkvæmum hætti.
4. Vinnsla: Aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.
5. Skrá: Skipulegt safn persónuupplýsinga sem er aðgengilegt samkvæmt tilteknum viðmiðunum, hvort heldur það er miðlægt, dreift eða skipt upp eftir notkun eða staðsetningu.
6. Ábyrgðaraðili: Einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga.
7. Vinnsluaðili: Einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila.
8. Samþykki: Óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig.
9. Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði. Hugtakið tekur til:
a. vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga, og
b. sjónvarpsvöktunar sem fer fram með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.
10. Gerð persónusniðs: Sjálfvirk vinnsla persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika.
11. Öryggisbrestur við vinnslu persónuupplýsinga: Brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.
4. gr.
Efnislegt gildissvið.
Lög þessi og reglugerðin gilda ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða fjölskyldu hans eða eru einvörðungu ætlaðar til persónulegra nota.
Lög þessi og reglugerðin gilda um vinnslu persónuupplýsinga látinna einstaklinga í 5 ár frá andláti þeirra en lengur þegar um ræðir persónuupplýsingar sem sanngjarnt og eðlilegt má telja að leynt fari.
Lög þessi og reglugerðin gilda ekki um vinnslu persónuupplýsinga sem fer fram þegar dómstólar fara með dómsvald sitt.
Lög þessi og reglugerðin gilda ekki um vinnslu persónuupplýsinga sem fram fer í tengslum við lögbundin verkefni Alþingis.
Lög þessi og reglugerðin gilda ekki um vinnslu persónuupplýsinga af hálfu ríkisins í tengslum við það að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi.
Ákvæði laga þessara og reglugerðarinnar gilda án tillits til þess hvort málefni fellur undir gildissvið EES-samningsins, að undanskildum VII. kafla reglugerðarinnar.
5. gr.
Tengsl við önnur lög.
Lög þessi takmarka ekki þann rétt til aðgangs að gögnum sem mælt er fyrir um í upplýsingalögum og stjórnsýslulögum.
Ákvæði reglugerðarinnar ganga framar ákvæðum laga þessara.
6. gr.
Tengsl við tjáningarfrelsi.
Þegar persónuupplýsingar eru einvörðungu unnar í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi gilda aðeins ákvæði a- og d-liðar 1. mgr. 5. gr., 24., 26., 28., 29., 32., 40.–43. og 82. gr. reglugerðarinnar og 48. og 51. gr. laga þessara.
7. gr.
Landfræðilegt gildissvið.
Lög þessi og reglugerðin gilda um vinnslu persónuupplýsinga um skráða einstaklinga sem eru hér á landi og fer fram í starfsemi ábyrgðaraðila eða vinnsluaðila, sem ekki hefur staðfestu á Evrópska efnahagssvæðinu, eða þegar vinnslustarfsemin tengist því að:
1. bjóða þessum skráðu einstaklingum á Evrópska efnahagssvæðinu vöru eða þjónustu, án tillits til þess hvort það er gert gegn greiðslu, eða
2. hafa eftirlit með hegðun þeirra að svo miklu leyti sem hegðun þeirra á sér stað innan þess svæðis.
Þegar svo hagar til sem greinir í 2. mgr. skal ábyrgðaraðili eða vinnsluaðili tilnefna fulltrúa sinn innan Evrópska efnahagssvæðisins eða í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu, með þeim undantekningum sem kveðið er á um í 27. gr. reglugerðarinnar. Gilda þá ákvæði laga þessara varðandi ábyrgðaraðila eða vinnsluaðila um þann fulltrúa samkvæmt nánari fyrirmælum 27. gr. reglugerðarinnar.
II. KAFLI
Almennar reglur um vinnslu.
8. gr.
Meginreglur um vinnslu persónuupplýsinga.
1. að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða;
2. að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi; frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt;
3. að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar;
4. að þær séu áreiðanlegar og uppfærðar eftir þörfum; persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar;
5. að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu; heimilt er að geyma persónuupplýsingar lengur að því tilskildu að vinnsla þeirra þjóni einungis skjalavistun í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi og að viðeigandi öryggis sé gætt;
6. að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt.
Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. og skal geta sýnt fram á það.
9. gr.
Almennar reglur um heimildir fyrir vinnslu persónuupplýsinga.
1. hinn skráði hafi gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða;
2. vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður;
3. vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila;
4. vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings;
5. vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með;
6. vinnslan sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn.
10. gr.
Skilyrði fyrir samþykki.
Ef hinn skráði gefur samþykki sitt með skriflegri yfirlýsingu, sem einnig varðar önnur málefni, skal beiðnin um samþykki sett fram á þann hátt að hún sé auðgreinanleg frá hinum málefnunum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli.
Skráður einstaklingur á rétt á að draga samþykki sitt til baka hvenær sem er. Afturköllun samþykkis skal ekki hafa áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni.
Þegar metið er hvort samþykki sé gefið af fúsum og frjálsum vilja skal taka ýtrasta tillit til þess hvort það sé skilyrði fyrir framkvæmd samnings að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem ekki er nauðsynleg vegna samningsins.
Þegar barni er boðin þjónusta í upplýsingasamfélaginu með beinum hætti og vinnsla persónuupplýsinga byggist á samþykki þess telst vinnslan því aðeins lögmæt ef barnið hefur náð 13 ára aldri. Sé barnið undir 13 ára aldri telst vinnslan aðeins lögmæt að því marki sem forsjáraðili þess heimilar samþykki. Ábyrgðaraðili skal gera það sem sanngjarnt má telja til að sannreyna í slíkum tilvikum að samþykkið sé gefið eða heimilað af hálfu forsjáraðila barnsins, að teknu tilliti til þeirrar tækni sem fyrir hendi er.
11. gr.
Sérstök skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga.
1. hinn skráði hafi veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða;
2. vinnslan sé nauðsynleg til þess að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd;
3. vinnslan sé nauðsynleg til að verja verulega hagsmuni hins skráða eða annars einstaklings sem ekki er sjálfur fær um að gefa samþykki sitt;
4. vinnslan fari fram sem liður í lögmætri starfsemi stofnunar, samtaka eða annars aðila sem starfar ekki í hagnaðarskyni og hefur stjórnmálaleg, heimspekileg, trúarleg eða stéttarfélagsleg markmið, enda nái vinnslan einungis til meðlima eða fyrrum meðlima viðkomandi aðila eða einstaklinga sem eru í reglulegu sambandi við hann í tengslum við tilgang hans, persónuupplýsingar séu ekki fengnar þriðja aðila í hendur án samþykkis hinna skráðu og gerðar séu viðeigandi verndarráðstafanir;
5. vinnslan taki einungis til upplýsinga sem hinn skráði hefur augljóslega sjálfur gert opinberar;
6. vinnslan sé nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur;
7. vinnslan sé nauðsynleg, af ástæðum sem varða verulega almannahagsmuni og fyrir henni sé sérstök lagaheimild;
8. vinnslan sé nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnulækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og láta í té umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu;
9. vinnslan sé nauðsynleg af ástæðum er varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu og lyfja eða lækningatækja;
10. vinnslan sé nauðsynleg vegna tölfræði-, sagnfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á í samræmi við lög þessi;
11. vinnslan sé nauðsynleg vegna skjalavistunar í þágu almannahagsmuna og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, einkum þagnarskyldu.
Persónuvernd leysir úr ágreiningi um hvort persónuupplýsingar skuli teljast viðkvæmar eða ekki.
12. gr.
Vinnsla upplýsinga um refsiverða háttsemi.
Upplýsingum skv. 1. mgr. má ekki miðla nema því aðeins að:
1. hinn skráði hafi gefið afdráttarlaust samþykki sitt fyrir miðluninni;
2. miðlunin sé nauðsynleg í þágu lögmætra hagsmuna hins opinbera eða einkaaðila sem auðsjáanlega vega þyngra en þeir hagsmunir sem eru af leynd um upplýsingarnar, þar á meðal hagsmunir hins skráða;
3. miðlunin sé nauðsynleg í þágu lögbundinna verkefna viðkomandi stjórnvalds eða til að unnt sé að taka stjórnvaldsákvörðun; eða
4. miðlunin sé nauðsynleg vegna verkefnis í þágu hins opinbera sem einkaaðila hefur verið falið á lögmætan hátt.
Einkaaðilar mega ekki vinna með upplýsingar um refsiverða háttsemi nema hinn skráði hafi veitt til þess afdráttarlaust samþykki sitt eða vinnslan sé nauðsynleg í þágu lögmætra hagsmuna sem auðsjáanlega vega þyngra en grundvallarréttindi og frelsi hins skráða.
Upplýsingum skv. 3. mgr. má ekki miðla nema hinn skráði veiti til þess afdráttarlaust samþykki sitt. Þó má miðla upplýsingum án samþykkis sé það nauðsynlegt í þágu lögmætra hagsmuna hins opinbera eða einkaaðila sem vega þyngra en þeir hagsmunir sem eru af leynd um upplýsingarnar, þar á meðal hagsmunir hins skráða.
Vinnsla samkvæmt þessari grein skal ávallt eiga stoð í einhverri af heimildum 1. mgr. 9. gr. laga þessara, sbr. 1. mgr. 6. gr. reglugerðarinnar.
13. gr.
Notkun kennitölu.
14. gr.
Rafræn vöktun.
Vinnsla persónuupplýsinga sem á sér stað í tengslum við rafræna vöktun skal uppfylla ákvæði laga þessara.
Heimilt er í tengslum við framkvæmd rafrænnar vöktunar að safna efni sem verður til við vöktunina, svo sem hljóð- og myndefni, með viðkvæmum persónuupplýsingum og upplýsingum um refsiverða háttsemi ef eftirfarandi skilyrði eru uppfyllt:
1. vöktunin sé nauðsynleg og fari fram í öryggis- eða eignavörsluskyni;
2. það efni sem til verður við vöktunina verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða á grundvelli heimilda í reglum skv. 5. mgr.; heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað en þá skal þess gætt að eyða öllum öðrum eintökum af efninu;
3. því efni sem safnast við vöktunina verði eytt þegar ekki er lengur málefnaleg ástæða til að varðveita það.
Þegar rafræn vöktun fer fram á vinnustað eða á almannafæri skal með merki eða á annan áberandi hátt gera glögglega viðvart um þá vöktun og hver sé ábyrgðaraðili.
Persónuvernd setur reglur og gefur fyrirmæli um rafræna vöktun og vinnslu efnis sem verður til við vöktunina, svo sem hljóð- og myndefnis, þar á meðal um öryggi þess, rétt hins skráða til að horfa eða hlusta á upptökur, varðveislutíma og eyðingu, varðveisluaðferð, afhendingu efnisins og notkun þess.
15. gr.
Vinnsla upplýsinga um fjárhagsmálefni og lánstraust.
Ráðherra skal setja reglugerð þar sem nánar er mælt fyrir um skilyrði fyrir vinnslu skv. 1. mgr.
16. gr.
Miðlun persónuupplýsinga úr landi eða til alþjóðastofnana.
III. KAFLI
Réttindi hins skráða og takmarkanir á þeim.
17. gr.
Meginreglur um gagnsæi upplýsinga, rétt hins skráða til upplýsinga og aðgangs og undantekningar frá honum.
Hinn skráði á rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálfum eða ekki, svo og rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.–15. gr. reglugerðarinnar með þeim undantekningum sem greinir í 3. mgr.
Ákvæði 1.–3. mgr. 13. gr., 1.–4. mgr. 14. gr. og 15. gr. reglugerðarinnar um réttindi hins skráða gilda ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum, þar á meðal hins skráða sjálfs, vega þyngra.
Heimilt er að víkja frá ákvæðum 13.–15. gr. reglugerðarinnar á grundvelli einhvers eftirtalinna atriða:
1. þjóðaröryggis;
2. landvarna;
3. almannaöryggis;
4. þess að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi;
5. annarra mikilvægra markmiða sem þjóna almannahagsmunum, einkum efnahagslegum eða fjárhagslegum, þ.m.t. vegna gjaldeyrismála, fjárlaga og skattamála, lýðheilsu og almannatrygginga;
6. verndar skráðs einstaklings, brýnna almannahagsmuna eða grundvallarréttinda annarra;
7. þess að einkaréttarlegum kröfum sé fullnægt;
8. lagaákvæða um þagnarskyldu.
Upplýsingar í málum sem eru til meðferðar hjá stjórnvöldum má undanþiggja réttinum til aðgangs skv. 1. mgr. 15. gr. reglugerðarinnar að sama marki og gildir um undantekningar á upplýsingarétti samkvæmt upplýsingalögum og stjórnsýslulögum.
Ákvæði 34. gr. reglugerðarinnar um skyldu til að tilkynna hinum skráða um öryggisbrest gildir ekki ef ákvæði 1. og 4. tölul. 4. mgr. eiga við.
18. gr.
Verndarráðstafanir og undanþágur varðandi vinnslu vegna rannsókna, tölfræði eða skjalavistunar í þágu almannahagsmuna.
Ákvæði 15., 16., 18. og 21. gr. reglugerðarinnar um réttindi hins skráða gilda ekki þegar vinnsla persónuupplýsinga fer aðeins fram í þágu vísinda eða sagnfræði eða í tölfræðilegum tilgangi að svo miklu leyti sem telja má að þessi réttindi geri það ómögulegt eða hamli því verulega að unnt sé að ná viðkomandi markmiðum.
Ákvæði 15., 16., 18., 19., 20. og 21. gr. reglugerðarinnar um réttindi hins skráða gilda ekki þegar vinnsla persónuupplýsinga fer aðeins fram vegna skjalavistunar í þágu almannahagsmuna að svo miklu leyti sem telja má þessi réttindi gera það ómögulegt eða hamla því verulega að unnt sé að ná viðkomandi markmiðum. Þó á hinn skráði rétt á að leggja fram yfirlýsingu til varðveislu í gögnum með persónuupplýsingum um hann.
Heimilt er að afhenda opinberu skjalasafni upplýsingar sem falla undir lög þessi í samræmi við ákvæði laga um opinber skjalasöfn.
19. gr.
Undantekning frá upplýsingaskyldu vegna vinnslu persónuupplýsinga hjá stjórnvöldum.
20. gr.
Réttur til leiðréttingar, eyðingar, flutnings eigin gagna o.fl.
Skráður einstaklingur skal eiga rétt á að fá persónuupplýsingar um sig, sem hann hefur sjálfur látið ábyrgðaraðila í té, á skipulegu, algengu, tölvulesanlegu sniði og jafnframt á að senda þessar upplýsingar til annars ábyrgðaraðila samkvæmt nánari skilyrðum 20. gr. reglugerðarinnar.
21. gr.
Um andmælarétt hins skráða og bannskrá Þjóðskrár Íslands.
Þjóðskrá Íslands skal halda skrá yfir þá sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi. Ráðherra setur, í samráði við Persónuvernd, nánari reglur um gerð og notkun slíkrar skrár og hvaða upplýsingar skuli koma þar fram. Ábyrgðaraðilar sem starfa í beinni markaðssókn og þeir sem nota skrá með nöfnum, heimilisföngum, netföngum, símanúmerum og þess háttar eða miðla þeim til þriðja aðila í tengslum við slíka starfsemi skulu, áður en slík skrá er notuð í slíkum tilgangi, bera hana saman við skrá Þjóðskrár Íslands til að koma í veg fyrir að markpóstur verði sendur eða hringt verði til einstaklinga sem hafa andmælt slíku. Persónuvernd getur heimilað undanþágu frá þessari skyldu í sérstökum tilvikum.
Öll notkun bannskrár skv. 2. mgr. er óheimil í öðrum tilgangi en þar er lýst.
Skylt er að nafn ábyrgðaraðila komi fram á áberandi stað á útsendum markpósti og hvert þeir sem andmæla því að fá slíkan markpóst og marksímtöl geti snúið sér. Viðtakandi markpósts á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu eða útsendingu til grundvallar. Þetta gildir ekki um markaðssetningu ábyrgðaraðila á eigin vöru og þjónustu sem notar eigin viðskiptamannaskrár, enda beri útsent efni með sér hvaðan það kemur. Ef markpóstur er sendur með rafrænum hætti er skylt að fram komi á ótvíræðan hátt um leið og hann er móttekinn að um slíkan póst sé að ræða. Að öðru leyti fer um sendingu slíks markpósts samkvæmt lögum um fjarskipti.
Ábyrgðaraðila er heimilt að afhenda félaga-, starfsmanna-, nemenda- eða viðskiptamannaskrár til nota í tengslum við markaðssetningarstarfsemi. Þetta á þó aðeins við ef:
1. ekki telst vera um afhendingu viðkvæmra persónuupplýsinga að ræða;
2. hinum skráðu hefur, áður en afhending fer fram, verið gefinn kostur á að andmæla því, hverjum fyrir sitt leyti, að upplýsingar um viðkomandi birtist á hinni afhentu skrá;
3. slíkt fer ekki gegn starfsreglum eða félagssamþykktum sem í gildi eru hjá viðkomandi ábyrgðaraðila;
4. ábyrgðaraðili kannar hvort einhver hinna skráðu hefur komið andmælum á framfæri við Þjóðskrá Íslands, sbr. 2. mgr., og eyðir upplýsingum um viðkomandi áður en hann lætur skrána af hendi ef svo reynist vera.
Ákvæði 5. mgr. gildir ekki ef afhending félaga-, starfsmanna- eða viðskiptamannaskrár til nota við dreifingu markpósts byggist á samþykki hins skráða, sbr. 1. tölul. 9. gr. laga þessara.
Ákvæði 2.–5. mgr. gilda, eftir því sem við á, einnig um markaðs-, neyslu- og skoðanakannanir.
22. gr.
Réttindi tengd einstaklingsmiðuðum ákvörðunum sem byggjast á sjálfvirkri gagnavinnslu.
IV. KAFLI
Almennar reglur um skyldur ábyrgðaraðila og vinnsluaðila og öryggi persónuupplýsinga.
23. gr.
Ábyrgð ábyrgðaraðila.
24. gr.
Innbyggð og sjálfgefin persónuvernd.
Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni samkvæmt nánari fyrirmælum 2. mgr. 25. gr. reglugerðarinnar.
25. gr.
Almennar reglur um vinnsluaðila.
Vinnsluaðili skal ekki ráða annan vinnsluaðila nema hafa til þess sértæka eða almenna skriflega heimild ábyrgðaraðila. Ef um er að ræða almenna skriflega heimild skal vinnsluaðilinn tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum færi á að andmæla slíkum breytingum.
Vinnsla af hálfu vinnsluaðila skal byggjast á samningi eða annarri réttargerð samkvæmt lögum sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og tilgreinir viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans eftir nánari fyrirmælum 28. gr. reglugerðarinnar.
26. gr.
Skrár yfir vinnslustarfsemi.
Skyldur til að halda skrá yfir vinnslustarfsemi ekki eiga við um fyrirtæki eða stofnun sem hefur færri en 250 starfsmenn nema vinnslan, sem innt er þar af hendi, sé líkleg til að leiða af sér áhættu fyrir réttindi og frelsi skráðra einstaklinga, vinnslan sé ekki tilfallandi eða taki til viðkvæmra persónuupplýsinga skv. 1. mgr. 11. gr. laga þessara eða persónuupplýsinga er varða sakfellingar í refsimálum og refsiverð eins og um getur í 12. gr. laga þessara.
27. gr.
Öryggi persónuupplýsinga og tilkynningar um öryggisbresti.
Ef um öryggisbrest við meðferð persónuupplýsinga er að ræða skal ábyrgðaraðili, án ótilhlýðilegrar tafar og, ef mögulegt er, eigi síðar en 72 klst. eftir að hann verður brestsins var tilkynna um hann til Persónuverndar nema ólíklegt þyki að bresturinn leiði til áhættu fyrir réttindi og frelsi einstaklinga. Sé Persónuvernd ekki tilkynnt um brestinn innan 72 klst. skulu ástæður fyrir töfinni fylgja tilkynningunni. Þá skal vinnsluaðili tilkynna ábyrgðaraðila um það án ótilhlýðilegrar tafar ef hann verður var við öryggisbrest við meðferð persónuupplýsinga. Um efni tilkynningar til Persónuverndar gilda fyrirmæli 33. gr. reglugerðarinnar.
Ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðili tilkynna skráðum einstaklingi um brestinn án ótilhlýðilegrar tafar. Um efni slíkrar tilkynningar og undanþágur frá tilkynningarskyldu gilda fyrirmæli 34. gr. reglugerðarinnar.
28. gr.
Samvinna við Persónuvernd.
V. KAFLI
Mat á áhrifum á persónuvernd, leyfisskylda o.fl.
29. gr.
Mat á áhrifum á persónuvernd.
Persónuvernd birtir skrá yfir þær tegundir vinnsluaðgerða þar sem krafist er mats á áhrifum á persónuvernd skv. 1. mgr.
Persónuvernd getur einnig ákveðið að birta skrá yfir þær tegundir vinnsluaðgerða þar sem ekki er krafist mats á áhrifum á persónuvernd.
30. gr.
Fyrirframsamráð.
Telji Persónuvernd að fyrirhuguð vinnsla, sem um getur í 1. mgr., mundi brjóta í bága við reglugerðina, einkum ef ábyrgðaraðili hefur ekki greint eða dregið úr áhættunni með fullnægjandi hætti, skal stofnunin, innan átta vikna frá því að henni berst beiðni um samráð, veita ábyrgðaraðila og, eftir atvikum, vinnsluaðila skriflega ráðgjöf og getur notað til þess allar þær valdheimildir sínar sem um getur í 41.–43. gr. laga þessara. Lengja má frestinn um sex vikur með hliðsjón af því hversu flókin fyrirhuguð vinnsla er. Persónuvernd skal tilkynna ábyrgðaraðila og, eftir atvikum, vinnsluaðila um slíkar framlengingar innan mánaðar frá viðtöku beiðni um samráð, ásamt ástæðunum fyrir töfinni. Þessa fresti má framlengja þar til Persónuvernd hefur fengið þær upplýsingar sem hún óskar eftir vegna samráðsins.
31. gr.
Leyfisskyld vinnsla.
Persónuvernd setur reglur um leyfisskyldu skv. 1. mgr.
32. gr.
Forsendur leyfisveitingar o.fl.
Við afgreiðslu leyfa skv. 31. gr. sem tengjast vinnslu viðkvæmra persónuupplýsinga skal Persónuvernd meta hvort vinnslan geti valdið hinum skráða slíku óhagræði að ekki verði úr því bætt með forsvaranlegum hætti með skilyrðum sem sett eru skv. 33. gr. laga þessara. Ef slíkt óhagræði getur orðið skal Persónuvernd meta hvort hagsmunir sem mæla með vinnslunni vegi þyngra en hagsmunir hins skráða.
33. gr.
Skilmálar Persónuverndar um vinnslu persónuupplýsinga.
Við mat á því hvaða skilyrði skal setja fyrir vinnslu skal Persónuvernd m.a. athuga:
1. hvort tryggt sé að hinn skráði geti nýtt réttindi sín samkvæmt lögunum, þar á meðal til að afturkalla samþykki og eftir atvikum fá eytt skráðum persónuupplýsingum, svo og til að fá fræðslu um réttindi sín og beitingu þeirra;
2. hvort persónuupplýsingar verði nægjanlega öruggar, áreiðanlegar og uppfærðar í samræmi við tilgang vinnslunnar;
3. hvort með persónuupplýsingarnar verði farið af þeirri varúð sem reglur um þagnarskyldu og tilgangur vinnslunnar krefjast;
4. hvort skipulagt hafi verið hvernig hinum skráða verði veittar upplýsingar og leiðbeiningar, innan þeirra marka sem sanngjarnt er að ætlast til miðað við umfang vinnslunnar og aðrar öryggisráðstafanir sem viðhafðar eru;
5. hvort stofnað hafi verið til öryggisráðstafana sem séu eðlilegar miðað við tilgang vinnslunnar;
6. hvort mat á áhrifum á persónuvernd fari fram áður en vinnsla hefjist.
34. gr.
Leyfi fyrir vísindarannsóknum á heilbrigðissviði.
VI. KAFLI
Persónuverndarfulltrúar og vottunaraðilar.
35. gr.
Persónuverndarfulltrúar.
1. vinnsla er í höndum stjórnvalds;
2. meginstarfsemi ábyrgðaraðila eða vinnsluaðila felst í vinnsluaðgerðum sem krefjast, sakir eðlis síns, umfangs eða tilgangs, umfangsmikils, reglubundins og kerfisbundins eftirlits með skráðum einstaklingum eða
3. meginstarfsemi ábyrgðaraðila eða vinnsluaðila felst í umfangsmikilli vinnslu viðkvæmra persónuupplýsinga eða upplýsinga sem varða sakfellingar í refsimálum og refsiverð brot.
Fyrirtækjasamstæðu er heimilt að tilnefna einn persónuverndarfulltrúa að því tilskildu að sérhver starfsstöð hafi greiðan aðgang að honum. Einnig er fleiri en einu stjórnvaldi heimilt að skipa sameiginlegan persónuverndarfulltrúa að teknu tilliti til stjórnskipulags þeirra og stærðar.
Um hæfni persónuverndarfulltrúa, stöðu hans og verkefni gilda að öðru leyti fyrirmæli 37.–39. gr. reglugerðarinnar.
36. gr.
Þagnarskylda persónuverndarfulltrúa.
Þagnarskylda gildir þó ekki hafi hinn skráði veitt samþykki sitt til þess að leynd sé aflétt, svo og þegar nauðsyn krefur vegna framkvæmdar starfa persónuverndarfulltrúans.
37. gr.
Vottun og vottunaraðilar.
Um skilyrði faggildingar vottunaraðila, fyrirkomulag og efni vottunar gilda að öðru leyti fyrirmæli 42. og 43. gr. reglugerðarinnar.
VII. KAFLI
Eftirlit og viðurlög.
38. gr.
Skipulag Persónuverndar og stjórnsýsla.
Ráðherra skipar fimm menn í stjórn Persónuverndar og jafnmarga til vara til fimm ára í senn. Ekki er heimilt að skipa stjórnarmenn lengur en í þrjú tímabil samfellt. Formann og varaformann stjórnarinnar skipar ráðherra án tilnefningar og skulu þeir vera lögfræðingar og fullnægja hæfisskilyrðum héraðsdómara. Ráðherra sem fer með málefni netöryggis og fjarskipta tilnefnir einn stjórnarmann og ráðherra sem fer með málefni heilbrigðisþjónustu tilnefnir einn stjórnarmann. Þá tilnefnir Skýrslutæknifélag Íslands einn stjórnarmann og skal hann vera sérfróður á sviði tölvu- og tæknimála. Stjórnarmenn og varamenn þeirra skulu hafa þekkingu á málefnum tengdum persónuvernd og menntun sem nýtist á því sviði. Ráðherra ákveður laun stjórnarmanna.
Hlutverk stjórnar er að móta áherslur í starfi í samráði við forstjóra og fylgjast með starfsemi og rekstri Persónuverndar. Þá tekur stjórn meiri háttar efnislegar eða stefnumótandi ákvarðanir í málum sem stofnunin hefur til meðferðar, þar á meðal um álagningu dagsekta og stjórnvaldssekta. Stjórn Persónuverndar setur nánari reglur um skiptingu starfa á milli stjórnar og skrifstofu stofnunarinnar og framkvæmd þeirra.
Stjórnarmanni verður aðeins vikið úr stjórn vegna alvarlegra ávirðinga eða ef hann fullnægir ekki lengur þeim skilyrðum sem krafist er vegna starfs hans.
Þegar stjórnarmenn eru ekki sammála ræður meiri hluti niðurstöðu máls. Ef atkvæði eru jöfn ræður atkvæði formanns.
Ráðherra skipar forstjóra Persónuverndar til fimm ára í senn að fenginni tillögu stjórnar. Forstjóri skal hafa menntun á háskólastigi og búa yfir þekkingu og reynslu á málefnum tengdum persónuvernd.
Forstjóri situr fundi stjórnar með málfrelsi og tillögurétti.
Forstjóri Persónuverndar ber ábyrgð á og annast daglega stjórnun á starfsemi, fjárreiðum og rekstri stofnunarinnar og ræður starfsmenn hennar.
39. gr.
Verkefni Persónuverndar.
Sérhver skráður einstaklingur eða fulltrúi hans hefur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann hér á landi eða samkvæmt sérreglum 7. gr. laga þessara brjóti í bága við reglugerðina eða ákvæði laga þessara. Þá geta stofnun, samtök eða félög skv. 80. gr. reglugerðarinnar lagt fram kvörtun hjá Persónuvernd hafi þau ástæðu til að ætla að réttindi skráðs einstaklings hafi verið brotin. Persónuvernd úrskurðar um hvort brot hafi átt sér stað.
Persónuvernd getur fjallað um einstök mál og tekið í þeim ákvörðun að eigin frumkvæði eða samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um sig í samræmi við lög þessi og reglur sem settar eru samkvæmt þeim eða einstökum fyrirmælum.
Önnur verkefni Persónuverndar eru m.a. að:
1. efla vitund og skilning almennings á áhættu, reglum, verndarráðstöfunum og réttindum í tengslum við vinnslu persónuupplýsinga, svo og vitund ábyrgðaraðila og vinnsluaðila um skyldur sínar;
2. veita Alþingi, stjórnvöldum og öðrum aðilum ráðgjöf á sviði lagasetningar og stjórnsýslu sem tengist vernd einstaklinga við vinnslu persónuupplýsinga;
3. veita, að fenginni beiðni, skráðum einstaklingi upplýsingar um það hvernig hann getur neytt réttinda sinna samkvæmt lögum þessum og reglugerðinni og, ef við á, starfa með eftirlitsstjórnvöldum í öðrum aðildarríkjum í því skyni;
4. eiga samstarf við eftirlitsstjórnvöld í öðrum aðildarríkjum, þ.m.t. með því að skiptast við þau á upplýsingum, og veita gagnkvæma aðstoð, með það fyrir augum að tryggja samkvæmni í beitingu og framkvæmd laga þessara og reglugerðarinnar;
5. fylgjast með framvindu á sviðum tengdum persónuupplýsingavernd, einkum þróun upplýsinga- og fjarskiptatækni og viðskiptahátta;
6. samþykkja föst samningsákvæði eins og um getur í 8. mgr. 28. gr. og d-lið 2. mgr. 46. gr. reglugerðarinnar;
7. útbúa og viðhalda skrá yfir þær tegundir vinnsluaðgerða þar sem krafist er mats á áhrifum á persónuvernd skv. 4. mgr. 35. gr. reglugerðarinnar;
8. veita ráðgjöf um vinnsluaðgerðir eins og um getur í 2. mgr. 36. gr. reglugerðarinnar;
9. hvetja til þess að samdar verði hátternisreglur skv. 1. mgr. 40. gr. reglugerðarinnar og gefa álit á og samþykkja hátternisreglur sem tryggja fullnægjandi verndarráðstafanir skv. 5. mgr. 40. gr. hennar;
10. samþykkja viðmiðanir um vottun skv. 5. mgr. 42. gr. reglugerðarinnar og eftir atvikum láta fara fram reglubundna endurskoðun á vottunum sem eru gefnar út í samræmi við 7. mgr. 42. gr. hennar;
11. semja og birta drög að viðmiðunum um faggildingu aðila sem hafa eftirlit með framkvæmd hátternisreglna skv. 41. gr. reglugerðarinnar og vottunaraðila skv. 43. gr. hennar og annast faggildingu sömu aðila;
12. samþykkja ákvæði, þar á meðal í samningum, eins og um getur í 3. mgr. 46. gr. reglugerðarinnar;
13. samþykkja bindandi fyrirtækjareglur skv. 47. gr. reglugerðarinnar;
14. taka þátt í starfsemi Evrópska persónuverndarráðsins;
15. skrásetja brot á reglugerðinni og ráðstafanir sem gerðar eru í samræmi við 2. mgr. 58. gr. hennar;
16. birta árlega skýrslu um starfsemi sína;
17. sinna öðrum störfum sem tengjast vernd persónuupplýsinga.
40. gr.
Gjaldtaka.
41. gr.
Valdheimildir Persónuverndar við eftirlitsstörf.
1. til að fyrirskipa að ábyrgðaraðili og vinnsluaðili og, eftir atvikum, fulltrúi þeirra veiti hverjar þær upplýsingar sem hún þarfnast vegna framkvæmdar laga þessara og reglugerðarinnar;
2. til að gera úttektir á vinnslu persónuupplýsinga;
3. til að láta fara fram endurskoðun á vottunum sem eru gefnar út skv. 7. mgr. 42. gr. reglugerðarinnar;
4. til að tilkynna ábyrgðaraðila eða vinnsluaðila um meint brot á reglugerðinni;
5. til að fá hjá ábyrgðaraðila og vinnsluaðila aðgang að öllum þeim gögnum, þar á meðal persónuupplýsingum, sem nauðsynleg eru við framkvæmd laga þessara;
6. til aðgangs að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þ.m.t. hvers kyns gagnavinnslubúnaður Persónuvernd getur framkvæmt hverja þá prófun eða eftirlitsaðgerð sem hún telur nauðsynlega og krafist nauðsynlegrar aðstoðar starfsfólks á slíkum vettvangi til að framkvæma prófun eða eftirlit.
Persónuvernd getur óskað liðveislu lögreglu ef einhver leitast við að hindra hana í eftirlitsstörfum sínum.
Komi í ljós að vinnsla persónuupplýsinga fer fram sem brýtur í bága við ákvæði reglugerðarinnar, laga þessara eða reglna settra samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað.
Réttur Persónuverndar til að krefjast upplýsinga eða aðgangs að starfsstöðvum og tækjabúnaði verður ekki takmarkaður með vísan til reglna um þagnarskyldu.
42. gr.
Fyrirmæli Persónuverndar um ráðstafanir til úrbóta.
1. veitt ábyrgðaraðila eða vinnsluaðila viðvörun um að líklegt sé að fyrirhugaðar vinnsluaðgerðir brjóti í bága við ákvæði reglugerðarinnar;
2. veitt ábyrgðaraðila eða vinnsluaðila áminningu ef vinnsluaðgerðir hafa brotið í bága við reglugerðina;
3. gefið fyrirmæli um að ábyrgðaraðili eða vinnsluaðili fari að beiðnum hins skráða um að fá að neyta réttinda sinna samkvæmt reglugerðinni;
4. gefið fyrirmæli um að ábyrgðaraðili eða vinnsluaðili færi vinnsluaðgerðir til samræmis við ákvæði reglugerðarinnar, eftir því sem við á, með tilteknum hætti og innan tiltekins tíma;
5. gefið fyrirmæli um að ábyrgðaraðili tilkynni hinum skráða um öryggisbrest við meðferð persónuupplýsinga;
6. takmarkað eða bannað vinnslu tímabundið eða til frambúðar;
7. gefið fyrirmæli um leiðréttingu eða eyðingu persónuupplýsinga eða takmörkun á vinnslu þeirra skv. 16., 17. og 18. gr. reglugerðarinnar og að slíkar aðgerðir verði tilkynntar viðtakendum sem fengið hafa persónuupplýsingarnar í hendur skv. 2. mgr. 17. gr. og 19. gr. hennar;
8. afturkallað vottun eða fyrirskipað að vottunaraðili afturkalli vottun sem gefin var út skv. 42. og 43. gr. reglugerðarinnar;
9. gefið fyrirmæli um tímabundna stöðvun gagnaflæðis til viðtakanda í þriðja landi eða til alþjóðastofnunar.
43. gr.
Leyfisveitingar og ráðgjöf Persónuverndar.
1. til að veita ábyrgðaraðila ráðgjöf í samræmi við fyrirframsamráðsferlið sem um getur í 36. gr. reglugerðarinnar;
2. til að leggja, að eigin frumkvæði eða samkvæmt beiðni, álitsgerðir fyrir Alþingi eða stjórnvöld, eða aðra aðila um hvert það málefni sem tengist vernd persónuupplýsinga;
3. til að leyfa vinnslu þar sem fyrirframheimildar er krafist samkvæmt lögum;
4. til að gefa álit og samþykkja drög að hátternisreglum skv. 5. mgr. 40. gr. reglugerðarinnar;
5. til að veita umsagnir vegna faggildingar vottunaraðila skv. 43. gr. reglugerðarinnar og samþykkja viðmiðanir fyrir vottun í samræmi við 5. mgr. 42. gr. hennar;
6. til að samþykkja stöðluð ákvæði um persónuvernd eins og um getur í 8. mgr. 28. gr. og d-lið 2. mgr. 46. gr. reglugerðarinnar;
7. til að leyfa samningsákvæði sem um getur í a-lið 3. mgr. 46. gr. reglugerðarinnar;
8. til að leyfa stjórnvaldsráðstafanir sem um getur í b-lið 3. mgr. 46. gr. reglugerðarinnar;
9. til að samþykkja bindandi fyrirtækjareglur skv. 47. gr. reglugerðarinnar.
44. gr.
Þagnarskylda
Ákvæði um þagnarskyldu standa því ekki í vegi að Persónuvernd veiti erlendum persónuverndarstofnunum upplýsingar þegar slíkt er nauðsynlegt til að hún eða hin erlenda persónuverndarstofnun geti ákveðið eða framkvæmt aðgerðir til að tryggja persónuvernd.
Við gerð skilmála skv. 33. gr. laga þessara getur Persónuvernd ákveðið að ábyrgðaraðili og vinnsluaðili, svo og starfsmenn á vegum þeirra, skuli undirrita yfirlýsingu um að þeir gangist undir þagnarskyldu um persónuupplýsingar sem þeir fá vitneskju um við vinnslu þeirra. Ábyrgðaraðili eða fulltrúi hans skal votta rétta undirskrift starfsmanns og dagsetningu slíkrar yfirlýsingar og koma til Persónuverndar innan tilskilins frests.
Þagnarskylda skv. 1. og 3. mgr. helst þótt látið sé af starfi.
45. gr.
Dagsektir.
Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.
46. gr.
Stjórnvaldssektir.
Stjórnvaldssektir geta numið frá 100 þús. kr. til 1,2 milljarða kr. eða ef um er að ræða fyrirtæki allt að 2% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra, þegar brotið hefur verið gegn eftirfarandi ákvæðum:
1. um skyldur ábyrgðaraðila og vinnsluaðila skv. 8. gr., 25.–39. gr., 42. og 43. gr. reglugerðarinnar;
2. um skyldur vottunaraðila skv. 42. og 43. gr. reglugerðarinnar;
3. um skyldur eftirlitsaðila skv. 4. mgr. 41. gr. reglugerðarinnar.
Stjórnvaldssektir geta numið frá 100 þús. kr. til 2,4 milljarða kr. eða ef um er að ræða fyrirtæki allt að 4% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra, þegar brotið hefur verið gegn eftirfarandi ákvæðum:
1. um grundvallarreglur um vinnslu, þ.m.t. skilyrði fyrir samþykki, skv. 5., 6., 7. og 9. gr. reglugerðarinnar;
2. um réttindi skráðra einstaklinga skv. 12.–22. gr. reglugerðarinnar;
3. um miðlun persónuupplýsinga til viðtakanda í þriðja landi eða alþjóðastofnunar skv. 44.–49. gr. reglugerðarinnar;
4. ef ekki er farið að skyldu til að veita Persónuvernd aðgang að öllum gögnum og húsnæði skv. 5. og 6. tölul. 1. mgr. 41. gr. laga þessara;
5. ef ekki er farið að fyrirmælum Persónuverndar um takmörkun eða bann við vinnslu persónuupplýsinga, um leiðréttingu eða eyðingu þeirra, eða stöðvun gagnaflæðis skv. 6., 7. og 9. tölul. 42. gr. laga þessara.
Heimilt er að leggja sektir á einstaklinga og lögaðila, þar á meðal stjórnvöld og stofnanir sem falla undir gildissvið stjórnsýslulaga.
Stjórnvaldssektum verður beitt óháð því hvort lögbrot eru framin af ásetningi eða gáleysi.
Ákvarðanir um stjórnvaldssektir skulu teknar af stjórn Persónuverndar og eru þær aðfararhæfar. Sektir renna í ríkissjóð að frádregnum kostnaði við innheimtuna. Séu stjórnvaldssektir ekki greiddar innan mánaðar frá ákvörðun Persónuverndar skal greiða dráttarvexti af fjárhæð sektar. Um ákvörðun og útreikning dráttarvaxta fer eftir lögum um vexti og verðtryggingu.
Heimild Persónuverndar til að leggja á stjórnvaldssektir samkvæmt lögum þessum fellur niður þegar fimm ár eru liðin frá því að háttsemi lauk. Fyrningarfrestur rofnar þegar Persónuvernd tilkynnir aðila um upphaf rannsóknar á meintu broti. Rof frests hefur réttaráhrif gagnvart öllum sem staðið hafa að broti.
47. gr.
Atriði sem áhrif hafa á ákvörðun um stjórnvaldssekt.
1. hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er, með tilliti til eðlis, umfangs eða tilgangs vinnslunnar sem um er að ræða og fjölda skráðra einstaklinga sem urðu fyrir því og hversu alvarlegu tjóni þeir urðu fyrir;
2. hvort brotið var framið af ásetningi eða af gáleysi;
3. aðgerða sem ábyrgðaraðilinn eða vinnsluaðilinn hefur gripið til í því skyni að draga úr tjóni skráðra einstaklinga;
4. hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana sem þeir hafa komið til framkvæmda skv. 25. og 32. gr. reglugerðarinnar;
5. fyrri brota ábyrgðaraðila eða vinnsluaðila sem máli skipta, ef einhver eru;
6. umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr mögulegum, skaðlegum áhrifum þess;
7. hvaða flokka persónuupplýsinga brotið hafði áhrif á;
8. með hvaða hætti eftirlitsstjórnvaldinu var gert kunnugt um brotið, einkum hvort, og þá að hvaða leyti, ábyrgðaraðili eða vinnsluaðili tilkynnti um brotið;
9. fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta skv. 42. gr. laga þessara hafi fyrirmælum um slíkar ráðstafanir áður verið beint til hlutaðeigandi ábyrgðaraðila eða vinnsluaðila að því er varðar sama efni;
10. fylgni við viðurkenndar hátternisreglur skv. 40. gr. reglugerðarinnar eða viðurkennt vottunarfyrirkomulag skv. 42. gr. hennar;
11. annarra íþyngjandi eða mildandi þátta sem varða kringumstæður málsins, svo sem hagnaðar sem fékkst eða taps sem komist var hjá, með beinum eða óbeinum hætti, vegna brotsins.
Ef ábyrgðaraðili eða vinnsluaðili brýtur, af ásetningi eða gáleysi, gegn fleiri en einu ákvæði reglugerðarinnar og laga þessara við sömu eða tengdar vinnsluaðgerðir skal heildarfjárhæð sektarinnar ekki vera hærri en fjárhæðin sem er tilgreind fyrir alvarlegasta brotið.
48. gr.
Refsingar.
Hafi fyrirsvarsmaður lögaðila, starfsmaður hans eða annar á hans vegum framið brot skv. 1. mgr. í starfsemi lögaðilans má gera honum refsingu, samhliða stjórnvaldssekt sem lögaðilanum er gerð skv. 46. gr. laga þessara.
Brot einstaklings á þagnarskyldu skv. 36. og 44. gr. laga þessara varðar sektum eða fangelsi allt að einu ári Hafi hann framið brotið til þess að afla sér eða öðrum óréttmæts ávinnings má beita fangelsi allt að 3 árum.
Um upptöku ávinnings af broti og hluta sem notaðir eru til að fremja brot fer eftir ákvæðum VII. kafla A almennra hegningarlaga.
49. gr.
Kæra til lögreglu.
Persónuvernd er heimilt að láta lögreglu og ákæruvaldi í té upplýsingar og gögn sem stofnunin hefur aflað og tengjast brotum skv. 48. gr. laga þessara. Persónuvernd er heimilt að taka þátt í aðgerðum lögreglu sem varða rannsókn þeirra brota
Lögreglu og ákæruvaldi er heimilt að láta Persónuvernd í té upplýsingar og gögn sem þau hafa aflað og tengjast brotum skv. 48. gr. laga þessara. Lögreglu er einnig heimilt að taka þátt í aðgerðum Persónuverndar sem varða rannsókn þeirra brota sem tilgreind eru í 46. gr. laga þessara.
Telji ákærandi að ekki séu efni til málshöfðunar vegna ætlaðrar refsiverðrar háttsemi sem jafnframt varðar stjórnsýsluviðurlögum getur hann endursent málið til Persónuverndar til meðferðar og ákvörðunar.
50. gr.
Réttur manna til að fella ekki á sig sök.
51. gr.
Bætur.
Vinnsluaðili skal þó aðeins bera ábyrgð á tjóni, sem hlýst af vinnslu, hafi hann ekki uppfyllt skyldur samkvæmt reglugerðinni og lögunum sem beinast sérstaklega að vinnsluaðilum, eða ef hann hefur ekki fylgt lögmætum fyrirmælum ábyrgðaraðilans eða farið gegn þeim.
VIII. KAFLI
Gildistaka o.fl.
52. gr.
Reglugerðir á grundvelli laganna.
53. gr.
Gildistaka.
54. gr.
Breyting á öðrum lögum.
1. Lög um fasteignalán til neytenda, nr. 118/2016, með síðari breytingum:
a. Í stað orðanna „1. og 2. tölul. 1. mgr. 8. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 2. málsl. 1. mgr. 24. gr. laganna kemur: 1. og 2. tölul. 1. mgr. 9. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
b. Í stað orðsins „meðferð“ í lokamálslið 1. mgr. 28. gr. laganna kemur: vinnslu.
2. Lög um fjármálafyrirtæki, nr. 161/2002, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í 3. mgr. 60. gr. a laganna kemur: vinnslu.
3. Lög um miðlun vátrygginga, nr. 32/2005, með síðari breytingum: Í stað orðanna „meðferð persónuupplýsinga, nr. 77/2000“ í 3. mgr. 27. gr. og 3. mgr. 48. gr. laganna kemur: vinnslu persónuupplýsinga.
4. Lög um opinbert eftirlit með fjármálastarfsemi, nr. 87/1998, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í lokamálslið 2. mgr. 13. gr. a laganna kemur: vinnslu.
5. Lög um almannatryggingar, nr. 100/2007, með síðari breytingum: Í stað orðanna „persónuvernd og meðferð“ tvívegis í 3. mgr. 46. gr. laganna kemur: persónuvernd og vinnslu.
6. Lög um atvinnutengda starfsendurhæfingu og starfsemi starfsendurhæfingarsjóða, nr. 60/2012, með síðari breytingum: Í stað orðsins „meðferð“ í 4. mgr. 12. gr. laganna kemur: vinnslu.
7. Lög um umboðsmann skuldara, nr. 100/2010, með síðari breytingum:
a. Í stað orðanna „8. og eftir atvikum 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga“ í 3. málsl. 3. mgr. 2. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
b. Í stað orðanna „13. gr. sömu laga“ í 4. málsl. 3. mgr. 2. gr. laganna kemur: sömu lög.
c. 2. málsl. 2. mgr. 3. gr. laganna fellur brott.
8. Lög um greiðsluaðlögun einstaklinga, nr. 101/2010, með síðari breytingum: 2. málsl. 2. mgr. 5. gr. laganna fellur brott.
9. Lög um úrskurðarnefnd velferðarmála, nr. 85/2015: Í stað orðsins „meðferð“ í 1. mgr. 4. gr. laganna kemur: vinnslu.
10. Lög um þjónustu við fatlað fólk með langvarandi stuðningsþarfir, nr. 38/2018: Í stað orðsins „meðferð“ í síðara skiptið í 29. gr. laganna kemur: vinnslu.
11. Lyfjalög, nr. 93/1994, með síðari breytingum: Í stað orðsins „meðferð“ í 2. og 4. mgr. 24. gr., 2. mgr. 25. gr. og 9. mgr. 27. gr. laganna kemur: vinnslu.
12. Lög um lífsýnasöfn og söfn heilbrigðisupplýsinga, nr. 110/2000, með síðari breytingum:
a. Í stað orðanna „20. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 3. málsl. 1. mgr. 7. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
b. Í stað orðsins „meðferð“ í 3. mgr. 10. gr. og 6. tölul. 9. mgr. 13. gr. a laganna kemur: vinnslu.
c. Í stað orðanna „11. og 12. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 1. mgr. 12. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
d. Í stað orðanna „4. mgr. 35. gr., 2. og 3. mgr. 37. gr. og 38.–43. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 2. mgr. 12. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
13. Lög um græðara, nr. 34/2005, með síðari breytingum: Í stað orðanna „og meðferð“ í 2. málsl. 6. gr. laganna kemur: og vinnslu.
14. Lög um landlækni og lýðheilsu, nr. 41/2007, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í 9. mgr. 8. gr. laganna kemur: vinnslu.
15. Lög um sjúkraskrár, nr. 55/2009, með síðari breytingum: Í stað orðsins „meðferð“ í fyrra skiptið í 3. mgr. 1. gr., 2. málsl. 2. mgr. 18. gr., 2. tölul. 2. mgr. 20. gr., 3. mgr. og 3. málsl. 4. mgr. 22. gr. og 4. málsl. 1. mgr. 24. gr. laganna kemur: vinnslu.
16. Lög um vísindarannsóknir á heilbrigðissviði, nr. 44/2014: Í stað orðsins „meðferð“ í 1. málsl. 3. mgr. 2. gr., 8. gr., 3. málsl. og síðara skiptið í 5. málsl. 2. mgr. 13. gr., 3. mgr. 18. gr., lokamálslið 4. mgr. 19. gr. og 2. málsl. 26. gr. laganna kemur: vinnslu.
17. Lög um sjúkratryggingar, nr. 112/2008, með síðari breytingum: Í stað orðanna „og meðferð“ í 50. gr. laganna kemur: og vinnslu.
18. Lög um Heyrnar- og talmeinastöð, nr. 42/2007, með síðari breytingum: Í stað orðsins „meðferð“ í 3. málsl. 5. tölul. 2. gr. laganna kemur: vinnslu.
19. Lög um þjónustu- og þekkingarmiðstöð fyrir blinda, sjónskerta og einstaklinga með samþætta sjón- og heyrnarskerðingu, nr. 160/2008, með síðari breytingum: 2. málsl. 1. mgr. 6. gr. laganna orðast svo: Um skráningu og vinnslu upplýsinga fer samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga.
20. Lög um réttindagæslu fyrir fatlað fólk, nr. 88/2011, með síðari breytingum: Í stað orðsins „meðferð“ í 3. mgr. 12. gr. og 2. málsl. 3. tölul. 2. mgr. 14. gr. laganna kemur: vinnslu.
21. Lög um matvæli, nr. 93/1995, með síðari breytingum: Á eftir orðinu „persónuvernd“ í 2. málsl. 1. mgr. 27. gr. d laganna kemur: og vinnslu persónuupplýsinga.
22. Lög um rafrænar undirskriftir, nr. 28/2001, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í 2. mgr. 5. gr. laganna kemur: vinnslu.
23. Lög um veitingastaði, gististaði og skemmtanahald, nr. 85/2007, með síðari breytingum: Í stað orðsins „meðferð“ í 4. mgr. 9. gr. laganna kemur: vinnslu.
24. Lög um leikskóla, nr. 90/2008, með síðari breytingum: Í stað orðsins „meðferð“ í 1. málsl. 2. mgr. 16. gr. laganna kemur: vinnslu.
25. Lög um grunnskóla, nr. 91/2008, með síðari breytingum: Í stað orðsins „meðferð“ í 2. málsl. 2. mgr. 18. gr. og 2. mgr. 27. gr. laganna kemur: vinnslu.
26. Lög um opinber skjalasöfn, nr. 77/2014, með síðari breytingum:
a. Í stað orðanna „8. tölul. 2. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 2. mgr. 26. gr. laganna kemur: 3. tölul. 3. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
b. Í stað orðsins „meðferð“ í 1. og 6. mgr. 32. gr. laganna kemur: vinnslu.
27. Höfundalög, nr. 73/1972, með síðari breytingum: Í stað orðanna „18. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 3. mgr. 22. gr. a laganna kemur: 17. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
28. Lög um viðurkenningu á faglegri menntun og hæfi til starfa hér á landi, nr. 26/2010, með síðari breytingum:
a. Í stað orðanna „29. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga“ í 2. mgr. 7. gr. laganna kemur: 16. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
b. Í stað orðanna „laga nr. 77/2000, þar á meðal um að veita þeim einstaklingum sem upplýsingar eru skráðar um fræðslu um meðferð upplýsinganna, sbr. 18. gr. þeirra laga“ í 4. mgr. 7. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga, þar á meðal um að veita þeim einstaklingum sem upplýsingar eru skráðar um fræðslu um vinnslu upplýsinganna, sbr. 17. gr. þeirra laga.
c. Í stað orðanna „laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga“ í 5. mgr. 9. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
29. Lög um erfðaefnisskrá lögreglu, nr. 88/2001, með síðari breytingum: Í stað orðsins „meðferð“ í 2. mgr. 1. gr. og 3. mgr. 9. gr. laganna kemur: vinnslu.
30. Lög um samræmda neyðarsvörun, nr. 40/2008, með síðari breytingum: Í stað orðsins „meðferð“ í 2. málsl. 6. gr. laganna kemur: vinnslu.
31. Lög um rannsókn á aðdraganda og orsökum falls íslensku bankanna 2008 og tengdra atburða, nr. 142/2008, með síðari breytingum:
a. Í stað orðanna „11. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í c-lið 4. mgr. 18. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
b. Í stað orðsins „meðferð“ í 7. mgr. 18. gr. laganna kemur: vinnslu.
32. Lög um almannavarnir, nr. 82/2008, með síðari breytingum: Í stað orðsins „meðferð“ í 3. mgr. 34. gr. laganna kemur: vinnslu.
33. Lög um fullnustu refsinga, nr. 15/2016, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í 2. málsl. 97. gr. laganna kemur: vinnslu.
34. Lög um útlendinga, nr. 80/2016, með síðari breytingum: Í stað orðsins „meðferð“ í 1. og 2. málsl. 1. mgr. og 4. málsl. 2. mgr. 17. gr. og 2. málsl. 2. mgr. 111. gr. laganna kemur: vinnslu.
35. Lög um rannsóknarnefndir, nr. 68/2011, með síðari breytingum:
a. Í stað orðanna „18.–21. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 1., 2. og 3. mgr. 15. gr. laganna kemur: 1. og 2. mgr. 17. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
b. Í stað orðanna „18. og 21. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í lokamálslið 3. mgr. 15. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
36. Lög um endurnot opinberra upplýsinga, nr. 45/2018: Í stað orðsins „meðferð“ í 1. tölul. 4. gr. laganna kemur: vinnslu.
37. Lög um Hagstofu Íslands og opinbera hagskýrslugerð, nr. 163/2007, með síðari breytingum:
a. Í stað orðanna „9. gr. laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000“ í 2. mgr. 13. gr. laganna kemur: 11. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
b. Í stað orðanna „11.–13. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga“ í 4. mgr. ákvæðis til bráðabirgða II í lögunum kemur: 27. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
38. Upplýsingalög, nr. 140/2012, með síðari breytingum: Í stað orðsins „meðferð“ í 2. mgr. 33. gr. laganna kemur: vinnslu.
39. Lög um leigubifreiðar, nr. 134/2001, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í lokamálslið 1. mgr. 2. gr. laganna kemur: vinnslu.
40. Lög um vaktstöð siglinga, nr. 41/2003, með síðari breytingum: Í stað orðsins „meðferð“ í 2. mgr. 16. gr. e laganna kemur: vinnslu.
41. Lög um fjarskipti, nr. 81/2003, með síðari breytingum:
a. Í stað orðanna „löggjöf um persónuvernd“ í lokamálslið 3. mgr. 38. gr. laganna kemur: lögum um persónuvernd og vinnslu persónuupplýsinga.
b. Í stað orðsins „meðferð“ í 5. mgr. 48. gr. laganna kemur: vinnslu.
c. Á eftir orðunum „um persónuvernd“ í lok 1. málsl. 51. gr. laganna kemur: og vinnslu persónuupplýsinga.
42. Lög um sameiningu Þjóðskrár og Fasteignaskrár Íslands, nr. 77/2010, með síðari breytingum: Í stað orðsins „meðferð“ í 1. málsl. 2. gr. laganna kemur: vinnslu.
Ákvæði til bráðabirgða.
I.
II.
III.
Greinargerð.
Hinn 21. nóvember 2017 skipaði dómsmálaráðherra fimm manna starfshóp sem falið var að semja frumvarp til innleiðingar á reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, eins og hún hefur verið aðlöguð að samningnum um Evrópska efnahagssvæðið (e. Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC). Reglugerðin kom til framkvæmda innan ESB 25. maí 2018 og leysir af hólmi tilskipun Evrópusambandsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga.
Formaður starfshópsins og aðalhöfundur frumvarpsins var Björg Thorarensen, prófessor við Lagadeild Háskóla Íslands og formaður stjórnar Persónuverndar. Aðrir í starfshópnum voru Rósa Dögg Flosadóttir frá dómsmálaráðuneyti, Vigdís Eva Líndal og Þórður Sveinsson frá Persónuvernd og Baldur Már Bragason frá rekstrarfélagi Stjórnarráðsins.
Núgildandi lög um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000, voru sett til að tryggja að ákvæði íslenskra laga fullnægðu kröfum fyrrgreindrar tilskipunar ESB frá 1995 og var jafnframt tekið mið af því hvernig aðrar þjóðir á Norðurlöndunum leiddu ákvæði hennar inn í landsrétt. Við gerð laganna var einkum tekið mið af löggjöf Norðmanna um efnið í ljósi þess að bæði ríkin standa ein Norðurlandanna utan Evrópusambandsins sem aðilar að samningnum um Evrópska efnahagssvæðið. Líkt og tilskipunin er reglugerðin tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar. Í frumvarpsvinnu þessari hefur m.a. verið litið til norska, danska, sænska og þýska frumvarpsins um sama efni en í öllum þessum ríkjum var ákveðið að setja ný heildarlög um vinnslu persónuupplýsinga.
Þótt flest kjarnaatriði tilskipunar ESB frá 1995, t.d. meginreglur um vinnslu persónuupplýsinga, réttindi hins skráða og skyldur ábyrgðaraðila, standi áfram óbreytt í reglugerðinni eru þar ráðgerðar ýmsar grundvallarbreytingar og viðbætur við gildandi reglur. Einnig er ljóst að þar sem hinar nýju reglur eru settar með reglugerð ESB en ekki tilskipun verður sú krafa leidd af 7. gr. EES-samningsins að leiða skal texta reglugerðarinnar sem slíkan inn í landsrétt, en íslensk stjórnvöld hafa ekki val um form eða aðferð við innleiðingu slíkra gerða svo sem með umritun. Engu að síður er ráðgert í reglugerðinni að í allmörgum atriðum geti aðildarríki útfært einstök ákvæði og hafi svigrúm til að setja efnisreglur eða víkja frá ákvæðum reglugerðarinnar. Í ljósi umfangs þeirra breytinga og sérreglna sem setja þarf á grundvelli reglugerðarinnar er sú leið farin hér að gera frumvarp til nýrra heildarlaga um persónuvernd og vinnslu persónuupplýsinga sem leysi af hólmi lög nr. 77/2000. Samhliða því eru lögfest í heild sinni ákvæði reglugerðarinnar eins og hún er tekin upp í EES-samninginn og birtist hún sem fylgiskjal með frumvarpinu. Er þetta sami háttur og hafður er á í Noregi, Danmörku og Svíþjóð, en nánar verður fjallað um aðferð við innleiðingu reglugerðarinnar í 7. kafla hér á eftir.
Starfshópurinn skilaði frumdrögum að frumvarpi til dómsmálaráðherra til kynningar 26. janúar og fullbúnu frumvarpi 13. apríl 2018.
Þess má geta að á vettvangi Evrópusambandsins hefur einnig verið samþykkt sérstök tilskipun Evrópuþingsins og ráðsins (ESB) 2016/680 frá 27. apríl 2016 um vinnslu persónuupplýsinga á sviði lögreglumála (e. Directive (EU) 2016/680 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA). Þar er um að ræða þýðingarmikið sérsvið um vinnslu persónuupplýsinga sem íslenskum stjórnvöldum ber einnig að innleiða vegna þátttöku sinnar í Schengen-samstarfinu, en það er ekki viðfangsefni frumvarps þessa. Þá er í undirbúningi að ný reglugerð ESB taki gildi um vinnslu persónuupplýsinga og vernd einkalífs á sviði rafrænna fjarskipta sem ætlað er að leysa af hólmi tilskipun Evrópuþingsins og ráðsins 2002/58/EB frá 12. júlí 2002 um sama efni. Af þessu sést að umfangsmiklar breytingar eiga sér nú stað innan Evrópu á sviði reglna um vinnslu persónuupplýsinga og persónuvernd í átt til aukinnar samræmingar á þessu réttarsviði sem Ísland tekur virkan þátt í með aðild sinni að EES-samningnum.
2. Íslenskar réttarreglur um persónuvernd og þróun þeirra.
Íslenskar réttarreglur líkt og alþjóðlegar skuldbindingar og Evrópureglur um persónuvernd byggjast á þeirri forsendu að persónuupplýsingar séu þáttur í friðhelgi einkalífs hvers einstaklings sem telst til grundvallarmannréttinda. Eru réttindi þessi fest í 71. gr. stjórnarskrárinnar og 8. gr. mannréttindasáttmála Evrópu. Með stjórnarskipunarlögum nr. 97/1995 var hugtakinu friðhelgi einkalífs bætt í 71. gr. stjórnarskrárinnar en fyrir þann tíma laut vernd samkvæmt texta stjórnarskrárinnar aðeins að friðhelgi heimilis. Markmiðið með hinni auknu vernd sem núgildandi stjórnarskrárákvæði veitir var einkum að færa efni þess og gildissvið til samræmis við 8. gr. mannréttindasáttmála Evrópu sem lögfestur var hér á landi með lögum nr. 62/1994 svo og 17. gr. alþjóðasamnings Sameinuðu þjóðanna frá 1966 um borgaraleg og stjórnmálaleg réttindi. Í greinargerð með stjórnarskipunarlögum nr. 97/1995 eru rakin tengsl ákvæðisins við þessi alþjóðlegu samningsákvæði og lýst inntaki einkalífshugtaksins sem er afar víðtækt. Um það segir m.a. að í friðhelgi einkalífsins felist fyrst og fremst réttur manns til að ráða yfir lífi sínu og líkama og til að njóta friðar um lífshætti sína og einkahagi. Jafnframt er bent á að raunhæft dæmi um svið, þar sem álitaefni vaknar um hvort brotið er gegn friðhelgi einkalífs sé skráning persónuupplýsinga um einstaklinga en í því sambandi reynir á hversu langt megi ganga í skipulagðri skráningu á lífsháttum manns og högum og við meðferð slíkra upplýsinga.
Stjórnarskrárákvæðið um friðhelgi einkalífs gerir ráð fyrir því að skylda hvíli á ríkinu til að forðast afskipti af einkalífi manna, þ.m.t. hvað varðar persónuupplýsingar þeirra. Það nægir þó ekki til þess að menn fái í reynd notið friðhelgi einkalífs og því ber ríkinu skylda til að setja reglur í löggjöf til verndar einstaklingunum í innbyrðis samskiptum þeirra. Auk þeirrar kröfu að þessum mannréttindum sé veitt refsivernd svo sem m.a. má sjá í XXV. kafla almennra hegningarlaga, nr. 19/1940, um brot gegn friðhelgi einkalífs, leiðir af stjórnarskránni að binda þarf í löggjöf skýrar reglur um öflun, skráningu og meðferð persónuupplýsinga hvort sem um er að ræða meðferð stjórnvalda eða einkaaðila á upplýsingunum og um að einstaklingur eigi rétt til aðgangs að upplýsingum um sjálfan sig.
Setning réttarreglna um meðferð persónuupplýsinga er þannig einn mikilvægasti þátturinn í viðleitni ríkisvaldsins til þess að sinna þeirri skyldu sem stjórnarskráin leggur á hinn almenna löggjafa í þessum efnum. Þannig hefur mótast sjálfstætt og umfangsmikið réttarsvið hér á landi líkt og í öðrum vestrænum ríkjum, persónuverndarréttur (e. Data Protection Law) með ítarlegu regluverki sem stefnir í átt til æ meiri samræmingar í ljósi þess að vinnsla persónuupplýsinga með þeirri tækni sem er til staðar fylgir engum landamærum og því þarf að samræma eftirlit með framkvæmd laganna.
Hugmyndafræðilegur grundvöllur frumvarps þessa og lagareglna almennt um vinnslu persónuupplýsinga hvílir á þeirri forsendu að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið um friðhelgi einkalífs eins og fyrr var lýst en einnig að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins, og að því verði ekki settar of strangar skorður.
Íslensk réttarþróun um þetta efni hefur fylgt þróun í öðrum Evrópuríkjum samhliða byltingu í tölvu- og upplýsingatækni á fáum áratugum sem gerir bæði stjórnvöldum og einkaaðilum kleift að safna og miðla miklu magni persónuupplýsinga um einstaklinga á tiltölulega einfaldan hátt, og jafnframt er vinnsla persónuupplýsinga órjúfanlegur þáttur í starfsemi opinberra aðila og fyrirtækja, stórra sem smárra. Þá hefur aðild Íslands að EES-samningnum leitt af sér skuldbindingu til að innleiða Evrópugerðir um efnið en eitt helsta markmið ESB-reglugerðarinnar sem frumvarpinu er ætlað að innleiða er einmitt að samræma enn frekar reglur um persónuvernd í öllum aðildarríkjum ESB.
Fyrstu lög sem sett voru hér á landi til verndar einstaklingum í þessum efnum voru lög nr. 63/1981, um kerfisbundna skráningu á upplýsingum er varða einkamálefni. Markmið þeirra var fyrst og fremst að fjalla um meðferð upplýsinga í tölvum og um vernd gegn misnotkun slíks efnis. Þau mæltu jafnframt fyrir um stofnun sérstakrar nefndar, tölvunefndar, sem var falið almennt eftirlit með framkvæmd laganna. Höfðu þau fyrir fram afmarkaðan gildistíma og féllu úr gildi 31. desember 1985. Þann 1. janúar 1986 tóku gildi ný lög um sama efni, nr. 39/1985. Höfðu þau einnig fyrir fram afmarkaðan gildistíma og féllu úr gildi 31. desember 1989. Ástæða þess að fyrstu lög sem sett voru um efnið höfðu afmarkaðan gildistíma var sú að tölvutækni var í örri þróun og þótti nauðsynlegt að endurskoða lögin með reglulegu millibili til að tryggja að þau væru á hverjum tíma í samræmi við hinn tæknilega veruleika. Þá tóku gildi þann 1. janúar 1990 lög um skráningu og meðferð persónuupplýsinga, nr. 121/1989. Lög í flestum vestrænum ríkjum sem sett voru um meðferð persónuupplýsinga á árunum 1970-1990 höfðu í meginatriðum að geyma tvenns konar reglur sem settar voru til að sporna við hættum samfara tölvutækni. Annars vegar voru efnisreglur um söfnun, skráningu, meðferð, notkun og miðlun persónuupplýsinga. Gildissvið slíkra reglna var í upphafi víða takmarkað við þá meðferð eina þar sem tölvutækni var beitt. Þó voru nokkur ríki sem ekki gerðu neinn greinarmun á því hvort meðferðin var vélræn eða handunnin. Í þeirra hópi var Ísland og er enn í dag, enda hefur þróun reglna í Evrópusamvinnu verið á sama veg. Til að handvirk vinnsla falli undir reglurnar er þó skilyrði að upplýsingarnar séu eða eigi að verða hluti af skrá. Álitamál um vinnslu persónuupplýsinga eru hins vegar nú á tímum að langmestu leyti tengd rafrænni (sjálfvirkri) vinnslu.
Í núgildandi lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sem frumvarpi þessu er ætlað að leysa af hólmi voru gerðar grundvallarbreytingar á íslensku lagaumhverfi og eftirliti með framkvæmd laganna. Sem fyrr segir var eitt helsta markmið þeirra að tryggja að ákvæði íslenskra laga fullnægðu kröfum tilskipunar ESB frá 1995 um efnið sem lagði grunn að nýskipan á þessu réttarsviði. Þannig komu inn í lögin skilgreiningar á helstu hugtökum sem enn er stuðst við á réttarsviðinu og gildissvið reglna skýrt afmarkað, meginreglur um vinnslu og vinnsluheimildir komu inn í lög, auk ítarlegri reglna um aukin réttindi hins skráða og skyldur ábyrgðaraðila og vinnsluaðila. Í stað tölvunefndar var síðan sett á fót sérstök stofnun, Persónuvernd. Í lögunum er henni tryggt sérstakt sjálfstæði og valdheimildir til að sinna eftirlitshlutverki sínu með framkvæmd laganna, enda er lögð á það sérstök áhersla í tilskipuninni að ríki skuli tryggja að sjálfstæð stjórnvöld fari með slíkt eftirlit. Frá setningu laganna hafa ýmsar breytingar verið gerðar á þeim m.a. til að víkka út þá vernd sem þau veita. Með lögum nr. 90/2001 var m.a. fylgt eftir 25. gr. tilskipunarinnar þess efnis að framkvæmdastjórn EB gæti ákveðið að þriðja land teldist tryggja nægilega vernd í krafti laga sinna eða alþjóðaskuldbindinga um vernd friðhelgi einkalífs og var Persónuvernd veitt heimild til að auglýsa gildi slíkra ákvarðana hér á landi. Einnig voru með sömu lögum sett inn ítarlegri ákvæði um öryggi við vinnslu persónuupplýsinga til að endurspegla tiltekin ákvæði tilskipunarinnar þar að lútandi. Þá má nefna að með lögum nr. 81/2002 og nr. 46/2003 voru gerðar breytingar á ákvæðum um rafræna vöktun, þar á meðal sjónvarpsvöktun, fræðsluskyldu ábyrgðaraðila og önnur skilyrði hennar, eyðingu efnis sem safnast við vöktun o.fl. Þá voru breytingar gerðar á aðkomu Persónuverndar að leyfisveitingum tengdum vísindarannsóknum á heilbrigðissviði með lögum nr. 44/2014.
3. Reglur um persónuvernd í samvinnu Evrópuríkja og áhrif á íslenskan rétt.
3.1. Almennt.
Frá seinni hluta 20. aldar óx verulega þörf á úrræðum til að vernda friðhelgi einkalífs í tæknivæddu nútímaþjóðfélagi, einkum vegna framfara á sviði tölvutækni þar sem möguleikar á öflun og skráningu persónuupplýsinga, bæði af hálfu stjórnvalda og einkaaðila hafa stöðugt aukist. Til þess að bregðast við hættum sem af þessu stafa fyrir friðhelgi einkalífs fór alþjóðlegt samstarf á sviði persónuverndar vaxandi eftir 1980 og ýmis fjölþjóðleg samtök hafa sinnt persónuverndarmálum í auknum mæli. Ein fyrsta fjölþjóðasamþykktin um efnið var ályktun á vettvangi Efnahags- og framfarastofnunarinnar, OECD, um leiðbeiningar varðandi verndun einkalífs við flutning persónuupplýsinga yfir landamæri frá 23. september 1980 (e. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data). Ekki er um bindandi samning að ræða en leiðbeiningarnar hafa þýðingu fyrir ríki sem ekki hafa sérstaka löggjöf um meðferð og verndun persónuupplýsinga.
Ísland hefur tekið virkan þátt í alþjóðlegu samstarfi um vernd persónuupplýsinga innan Evrópuráðsins og á vegum evrópskra og norrænna persónuverndarstofnana. Í stórum dráttum má segja að alþjóðlegar reglur á þessu réttarsviði greinist í tvennt. Annars vegar eru alþjóðasamningar og sáttmálar sem eru þjóðréttarlega skuldbindandi fyrir Ísland. Í þann flokk falla samningur Evrópuráðsins frá 1981, tilskipun ESB, svo og reglugerðin sem frumvarpi þessu er ætlað að innleiða. Hins vegar eru tilmæli eða yfirlýsingar sem ekki eru þjóðréttarlega skuldbindandi en geta haft þýðingu við skýringu bindandi þjóðréttarreglna og mögulega íslenskra laga einnig. Í þann flokk falla m.a. fyrrnefndar leiðbeiningar OECD og leiðbeiningar, samþykktar af allsherjarþingi Sameinuðu þjóðanna 14. desember 1990, um tölvufærðar persónuupplýsingaskrár (e. Guidelines Concerning Computerized Personal Data Files).
Hér verður gerð stuttlega grein fyrir Evrópureglum sem áhrif hafa á efni íslenskra réttarreglna um vernd persónuupplýsinga. Fyrst verður vikið að samningi Evrópuráðsins um vernd einstaklinga við vélræna vinnslu persónuupplýsinga frá árinu 1981 og öðrum samþykktum á sviði persónuverndarréttar hjá Evrópuráðinu. Í öðru lagi er fjallað um tilskipun ESB frá 24. október 1995 sem er grundvöllur núgildandi laga um persónuvernd og meðferð persónuupplýsinga. Þar á eftir verður lýst ástæðum og aðdraganda að setningu hinnar nýju ESB-reglugerðar sem lagt er til að lögfest verði með frumvarpi þessu. Einnig verður vikið að frekari samþykktum á vettvangi ESB um efnið.
3.2. Samningur Evrópuráðsins og aðrar samþykktir á vegum ráðsins.
Í samningi Evrópuráðsins um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga frá 28. janúar 1981 er lýst þeim tilgangi að tryggja einstaklingum virðingu fyrir réttindum þeirra og grundvallarfrelsi, einkum rétti til einkalífs að því er varðar vélræna vinnslu persónuupplýsinga um þá eða svokallaða persónuupplýsingavernd. Samningurinn var fullgiltur af Íslands hálfu 1991. Með honum var lagður mikilvægur grundvöllur að síðari reglusetningu hjá Evrópusambandinu en helstu ákvæði hans voru leidd í íslenskan rétt við gildistöku laga um skráningu og meðferð persónuupplýsinga, nr. 121/1989. Evrópuráðssamningurinn hefur að geyma lágmarksreglur, en í því felst að aðildarríkjum hans er heimilt að veita þeim er upplýsingarnar varðar víðtækari réttindi í löggjöf sinni. Árið 2001 var samþykktur viðauki við samninginn um eftirlitsstjórnvöld og flutning persónuupplýsinga á milli landa, en Ísland hefur ekki fullgilt hann.
Evrópuráðssamningurinn gildir að meginstefnu til um alla meðferð persónuupplýsinga þar sem tölvutækni er beitt við vinnsluna. Tilgangur samningsins er að tryggja sérhverjum manni á svæði hvers samningsaðila, hvert sem þjóðerni hans eða búseta er, virðingu fyrir réttindum hans og grundvallarfrelsi, einkum rétti hans til einkalífs að því er varðar vélræna vinnslu persónuupplýsinga um hann.
Til fyllingar ákvæðum samningsins frá 1981 hafa ráðherranefnd og ráðgjafarþing Evrópuráðsins beint allmörgum tilmælum og ályktunum til aðildarríkja sinna um meðferð persónuupplýsinga á afmörkuðum sviðum. Tilmæli ráðherranefndarinnar eru nú 17 talsins, þar á meðal má nefna tilmæli um vernd mannréttinda í tengslum við samfélagsmiðla frá 4. apríl 2012, CM/Rec(2012)4 og tilmæli um vinnslu persónuupplýsinga í tengslum við atvinnu frá 1. apríl 2015 CM/Rec (2015)5. Réttarleg staða tilmæla ráðherranefndarinnar er önnur en samningsins þar sem þau eru ekki þjóðréttarlega skuldbindandi, en fela á hinn bóginn í sér ákveðna pólitíska skuldbindingu fyrir aðildarríkin. Sum tilmælin eru þess eðlis að efni þeirra á ekki beinlínis heima í ákvæðum almennra laga um vernd persónuupplýsinga. Þau geta hins vegar haft þýðingu við setningu sérlaga á þessu réttarsviði og í framkvæmd eftirlitsaðila þegar settir eru sérstakir skilmálar um vinnslu ákveðinna tegunda persónuupplýsinga.
3.3. Tilskipun Evrópusambandsins 95/46/EB.
Markmiðið með samþykkt núgildandi tilskipunar frá 24. október 1995 var tvíþætt. Annars vegar að vernda rétt manna til þess að njóta friðhelgi um einkalíf sitt í tengslum við meðferð persónuupplýsinga og hins vegar að tryggja frjálst flæði persónuupplýsinga milli aðildarríkja ESB. Hún byggist á sömu grundvallarsjónarmiðum og Evrópuráðssamningurinn frá 1981. Innan þess ramma sem hún setur hefur einstökum aðildarríkjum verið heimilt að setja strangari reglur sem tryggja meiri vernd en leiðir af ákvæðum hennar, en ýmsar sérreglur af þeim toga er að finna í lögum nr. 77/2000.
Það meginmarkmið tilskipunarinnar að tryggja samræmdar reglur og samræmda persónuvernd í öllum aðildarríkjum ESB hvíldi ekki síst á markaðssjónarmiðum því að samræmdar reglur um persónuvernd eru taldar nauðsynlegar til þess að frjáls og opinn markaður fái þrifist. Ljóst var að löggjöf aðildarríkjanna á persónuverndarsviðinu var afar mismunandi. Það stóð í vegi fyrir frjálsu flæði persónuupplýsinga milli aðildarríkjanna og skapaði vandkvæði í efnahagslegu samstarfi þeirra.
Tilskipunin festi í sessi mjög rúma skilgreiningu hugtaksins persónuupplýsingar, sem tekur til allra upplýsinga sem rekjanlegar eru til einstaklinga og setti fram ítarlegar skilgreiningar á nokkrum lykilhugtökum. Þá voru með henni sett skýrt fram ákvæði um meginreglur um gæði og vinnslu gagna, lögmæta vinnslu almennra persónuupplýsinga, og sérstök skilyrði fyrir vinnslu persónuupplýsinga sem skilgreindar eru sem viðkvæmar. Loks voru í tilskipuninni ítarleg ákvæði um réttindi hins skráða og þær skyldur sem lagðar eru á ábyrgðaraðila vinnslu. Þar á meðal er skylda ábyrgðaraðila til að tilkynna viðkomandi persónuverndarstofnun um fyrirhugaða vinnslu tiltekinna persónuupplýsinga. Ýmsar undantekningar eru þó frá þessu þannig að um ákveðnar tegundir vinnslu gilda vægari tilkynningarreglur eða þær eru með öllu undanþegnar tilkynningarskyldunni auk þess sem um aðrar tegundir vinnslu gilda í sumum tilvikum strangari reglur, þ.e. leyfisskylda í stað tilkynningarskyldu.
Í tilskipuninni voru ýmis nýmæli varðandi upplýsingarétt hins skráða, m.a. að þegar ákveðnar tegundir ákvarðana sem hann varða byggjast einungis á rafrænni vinnslu persónuupplýsinga á hann rétt á að fá vitneskju um fyrirkomulag þeirrar vinnslu. Þá hefur hver og einn rétt til þess að fá handunna endurskoðun á umræddum ákvörðunum.
Samkvæmt tilskipuninni er aðildarríkjunum skylt að setja á laggirnar stofnanir til þess að hafa eftirlit með því að ákvæðum hennar sé fylgt innan landamæra viðkomandi ríkis. Skulu slíkar stofnanir njóta fullkomins sjálfstæðis í störfum sínum og m.a. hafa vald til þess að framkvæma rannsóknir, veita leyfi, stöðva ólöglega starfsemi o.fl. Þessi fyrirmæli voru leidd inn í íslenskan rétt með stofnun Persónuverndar sem tók til starfa 2001 og er verkefnum hennar og valdheimildum nánar lýst í VII. kafla laga nr. 77/2000.
Í 29. gr. tilskipunarinnar er mælt fyrir um stofnun starfshóps sem sinnir ráðgjafarhlutverki um persónuverndarmálefni. Í starfshópnum sitja fulltrúar persónuverndarstofnana aðildarríkja ESB en auk þeirra fulltrúar framkvæmdastjórnar ESB og Evrópsku persónuverndarstofnunarinnar (e. European Data Protection Supervisor). Persónuverndarstofnanir EFTA-ríkjanna Noregs, Liechtenstein og Íslands hafa áheyrnaraðild að hópnum, sem gengur undir nafninu 29. gr. starfshópurinn. Hann hefur gegnt mikilvægu hlutverki við útgáfu leiðbeininga og álita um túlkun ýmissa lykilákvæða tilskipunarinnar. Hefur framlag 29. gr. starfshópsins til framkvæmdar tilskipunarinnar í aðildarríkjum verið mikilvægt og er gjarnan vísað til álita hans þegar reynir á úrlausn álitamála um túlkun tilskipunarinnar og landslaga. Starfshópurinn hefur þegar gefið út nokkrar leiðbeiningar um afmörkuð atriði reglugerðarinnar og fleiri eru í undirbúningi, sem tengjast innleiðingu nýju ESB-reglugerðarinnar og verður nánar vísað til þeirra í umfjöllun um tiltekin ákvæði frumvarpsins hér á eftir eftir því sem við á.
3.4. Aðrar tilskipanir og ákvarðanir ESB sem þýðingu hafa fyrir vernd persónuupplýsinga.
Ýmsar aðrar tilskipanir og ályktanir stofnana ESB hafa haft þýðingu fyrir vernd persónuupplýsinga að íslenskum rétti fyrir milligöngu EES-samningsins eða samningsins um þátttöku Íslands í Schengen-samstarfsins. Þannig hefur vinnsla persónuupplýsinga sem fer fram vegna löggæslu og þjóðaröryggishagsmuna fallið utan gildissviðs tilskipunarinnar. Um slíka vinnslu hefur gilt rammaákvörðun ráðsins nr. 2008/977/DIM, um vernd persónuupplýsinga sem unnar eru innan ramma lögreglu- og dómsmálasamstarfs í sakamálum (e. Council Framework Decision 2008/977/JHA of 27 November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters). Persónuverndarstofnanir í Evrópu hafa haft með sér samstarf á þessu sviði og hefur Ísland komið að þeirri vinnu vegna aðildar sinnar að Schengen-samstarfinu. Eins og fyrr var lýst verður sú ákvörðun leyst af hólmi með tilskipun Evrópuþingsins og ráðsins nr. 2016/680 frá 27. apríl 2016 um vinnslu persónuupplýsinga á sviði lögreglumála. Í undirbúningi er að innleiða tilskipunina hér á landi en hún mun fyrirsjáanlega hafa margþætt áhrif.
Þá má nefna tilskipun Evrópuþingsins og ráðsins nr. 2011/83/ESB frá 25. október 2011 um réttindi neytenda en hún leysti af hólmi tilskipun 97/7 um neytendavernd og fjarsölu. Gildissvið hennar nær til samninga um vöru og þjónustu sem gerðir eru af hálfu neytenda og seljenda með fjarsölu, þ.e. samninga sem alfarið komast á með milligöngu „fjarmiðla“.
Loks má geta tilskipunar Evrópuþingsins og ráðsins nr. 2002/58/EB um vinnslu persónuupplýsinga og um verndun einkalífs á sviði rafrænna fjarskipta sem innleidd var með lögum um fjarskipti, nr. 81/2003. Sú tilskipun sætir nú endurskoðun og fyrir liggur tillaga að nýrri reglugerð Evrópuþingsins og ráðsins um einkalífsvernd og rafræn fjarskipti, sem einnig mun fyrirsjáanlega hafa áhrif á vernd persónuupplýsinga hér á landi.
4. Reglugerð Evrópuþingsins og ráðsins nr. 2016/679 frá 27. apríl 2016.
4.1. Aðdragandi breytinga.
Í kjölfar breytinga á stofnsamþykktum Evrópusambandsins með Lissabon-sáttmálanum frá 13. desember 2007 sem tók gildi 1. desember 2009 hófst undirbúningur innan Evrópusambandsins að endurskoðun regluverks á sviði persónuverndar. Grundvöllurinn var lagður með nýjum ákvæðum um efnið í 16. og 114. gr. sáttmálans um starfshætti ESB. Skv. 16. gr. sáttmálans eiga allir rétt á því að persónuupplýsingar um þá njóti verndar og mælt er fyrir um að Evrópuþingið og ráðið skuli setja reglur um vernd einstaklinga með hliðsjón af vinnslu persónuupplýsinga á vegum stofnana og aðila á vegum sambandsins og á vegum aðildarríkjanna vegna starfsemi sem fellur undir lög sambandsins, svo og reglur um frjálsa miðlun slíkra upplýsinga. Þá er kveðið á um að óháð yfirvöld skuli hafa eftirlit með því að slíkum reglum sé fylgt. Í 114. gr. er fjallað um almennar aðgerðir Evrópuþingsins og ráðsins til að vinna að samræmingu á þeim ákvæðum laga og stjórnsýslufyrirmælum í aðildarríkjum sem beinast að stofnun og starfsemi innri markaðarins.
Þá birtist hugmyndafræðileg undirstaða evrópsku persónuverndarlöggjafarinnar í Sáttmála ESB um grundvallarréttindi sem settur var í stofnlög sambandsins með Lissabon-sáttmálanum. Þar er 8. gr. helguð rétti til verndar persónuupplýsinga sem er þannig skilinn frá hefðbundnu ákvæði sem stendur í 7. gr. um friðhelgi einkalífs. Í 8. gr. er fyrst lýst yfir rétti manns til verndar eigin persónuupplýsinga og settar fram nokkrar meginreglur persónuverndarréttar, svo sem að vinnsla persónuupplýsinga skuli vera sanngjörn í yfirlýstum tilgangi og með samþykki hlutaðeigandi eða á einhverjum öðrum réttmætum grundvelli sem mælt er fyrir um í lögum. Lýst er rétti einstaklings til aðgangs að upplýsingum sem teknar hafa verið saman um hann og rétti til að fá þær leiðréttar. Loks er mælt fyrir um að óháð stjórnvald skuli hafa eftirlit með því að þessum reglum sé fylgt.
Fyrstu tillögur um heildarendurskoðun á persónuverndarlöggjöfinni í almennu lagasetningarferli innan ESB komu fram árið 2012. Markmið endurskoðunarinnar var að laga löggjöfina að þeirri byltingu sem orðið hafði í upplýsingatækni frá því að tilskipunin var sett, styrkja persónuvernd, stuðla að samræmdari framkvæmd innan ESB og efla virkni hins stafræna innri markaðar. Þing ESB samþykkti afstöðu sína til reglugerðarinnar þann 12. mars 2014 og ráðið 15. júní 2015. Þann 14. apríl 2016 var síðan samþykkt hin nýja reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB sem kom til framkvæmda innan ESB 25. maí 2018. Þá var á sama tíma samþykkt tilskipun Evrópuþingsins og ráðsins (ESB) 2016/680 um vernd einstaklinga að því er varðar vinnslu lögbærra yfirvalda á persónuupplýsingum í tengslum við að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum og frjálsa miðlun slíkra upplýsinga og um niðurfellingu rammaákvörðunar ráðsins 2008/977/DIM (löggæslutilskipunin).
4.2. Markmið reglugerðarinnar.
Um ástæður þess að endurskoða þurfti persónuverndarlöggjöf ESB er m.a. fjallað í 9. lið formála reglugerðarinnar. Þar er tekið fram að þrátt fyrir að markmið og meginreglur tilskipunar 95/46/EB standi enn fyrir sínu hafi hún ekki náð að sporna við sundurlausri framkvæmd persónuverndar innan sambandsins, réttaróvissu og þeim útbreiddu hugmyndum meðal almennings að fyrir hendi sé veruleg áhætta fyrir vernd einstaklinga, einkum í tengslum við netnotkun. Bent er á að rétturinn til verndar persónuupplýsinga sé mismikill í aðildarríkjunum í tengslum við vinnslu persónuupplýsinga og geti það hindrað frjálst flæði persónuupplýsinga um sambandið. Þessi munur geti því orðið hindrun í vegi ýmiss konar atvinnustarfsemi á vettvangi sambandsins, raskað samkeppni og komið í veg fyrir að yfirvöld sinni skyldustörfum sínum samkvæmt lögum sambandsins. Þennan mun á vernd megi rekja til þess mismunar sem er á framkvæmd og beitingu tilskipunar 95/46/EB, en ljóst er að aðildarríki hafa haft talsvert svigrúm til að koma markmiðum tilskipunarinnar í framkvæmd.
Þá er tekið fram í 10. lið formálans að til þess að tryggja einstaklingum samræmda og öfluga vernd og ryðja úr vegi hindrunum á flæði persónuupplýsinga innan sambandsins þurfi vernd réttinda og frelsis einstaklinga í tengslum við vinnslu slíkra upplýsinga að vera sambærileg í öllum aðildarríkjunum. Tryggja verði alls staðar í sambandinu samræmda og einsleita beitingu reglna um vernd grundvallarréttinda og frelsis einstaklinga í tengslum við vinnslu persónuupplýsinga. Að því er varðar vinnslu persónuupplýsinga til þess að fullnægja lagaskyldu sé aðildarríkjunum þó heimilt, vegna framkvæmdar á verkefni sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, að viðhalda eða innleiða ný ákvæði í landslög til að tilgreina nánar hvernig þessari reglugerð skuli beitt. Auk almennrar og láréttrar löggjafar um persónuvernd, sem sett er til framkvæmdar tilskipun 95/46/EB, hafa aðildarríkin ýmsa geirabundna löggjöf á sviðum þar sem þörf er á sértækari ákvæðum. Tekið er fram að reglugerðin veiti aðildarríkjunum ákveðið svigrúm til að skilgreina reglur sínar, m.a. varðandi vinnslu sérstakra flokka persónuupplýsinga („viðkvæmra persónuupplýsinga“).
Af þessum inngangsorðum reglugerðarinnar sést að meginmarkmið hennar eru tvíþætt. Annað er réttindamiðað og hitt byggist á þörfum hins stafræna innri markaðar og nauðsyn á samræmdri framkvæmd. Áherslan á aukna persónuvernd í þágu einstaklinga birtist einkum í ákvæðum sem veita þeim meiri stjórn á eigin persónuupplýsingum. Meðal annars er einstaklingum tryggður ríkari aðgangur að upplýsingum og vitneskja um hvað verði um þær eftir að þeir ákveða að deila þeim með öðrum. Einnig á að tryggja aukinn rétt til að fá upplýsingum eytt af netinu og rétt til að gleymast en sá réttur felur t.d. í sér að geta farið fram á það við netþjónustuaðila að þeir fjarlægi, án tafa, persónuupplýsingar sem þeir hafa safnað um viðkomandi. Þá munu ný réttindi, réttur til gagnaflutnings auðvelda mönnum að fá upplýsingar um sig fluttar frá einum aðila til annars, t.d. frá einum samfélagsmiðli til annars. Til að ná þessu fram eru ýmsar nýjar skyldur lagðar á ábyrgðaraðila, m.a. til að auka gagnsæi um vinnslu persónuupplýsinga, veita fræðslu á skýru og skiljanlegu máli, að tryggja öryggi vinnslunnar, nota kerfi með innbyggða og sjálfvirka persónuvernd og að halda sérstakar vinnsluskrár. Þá verður dregið úr heimildum til vinnslu persónuupplýsinga í þágu sjálfvirkrar ákvarðanatöku, þ.m.t. notkunar persónusniða til að greina manngerð viðkomandi, frammistöðu í starfi, lánshæfi, heilsuhagi, smekk o.s.frv. Ábyrgðaraðilum verður auk þess gert skylt að tilkynna, bæði Persónuvernd og hinum skráðu, um öryggisbrest og í vissum tilvikum verður þeim gert skylt að tilnefna persónuverndarfulltrúa. Loks verður einstaklingum gert kleift að kvarta beint til persónuverndarstofnunar í sínu heimalandi jafnvel þótt ábyrgðaraðilinn hafi staðfestu annars staðar.
Hitt meginmarkmið reglugerðarinnar er að greiða fyrir virkni hins innri stafræna markaðar. Til þess þarf samræmdar reglur og kerfi sem tryggir samstillta túlkun og framkvæmd, til að fyrirbyggja að misræmi komi upp sem geti truflað flæði upplýsinga yfir landamæri og torveldað ýmis viðskipti. Þá er leitast við að draga úr hættu á að einstök ríki kjósi að haga lögum sínum og reglum á þann hátt að til þeirra laðist fyrirtæki sem sækja í sem mest svigrúm og sem minnst eftirlit. Eyða á lagalegri óvissu í slíkum málum og koma á svokölluðu samræmingarkerfi sem fjallað er um í 63.–67. gr. reglugerðarinnar. Það felur t.d. í sér að ábyrgðaraðili með dótturfélög í nokkrum ríkjum þarf aðeins að hafa samskipti við eftirlitsstjórnvald í því ríki þar sem hann hefur sínar höfuðstöðvar og mun hún taka ákvarðanir í hans málum um framkvæmd ákvæða reglugerðarinnar. Í 134. lið formála reglugerðarinnar er tekið fram að samræmingarkerfinu sé ætlað að koma á samræmdri framkvæmd reglugerðar í öllu sambandinu. Bent er á að einkum ætti að beita kerfinu þegar persónuverndarstofnun í einu ríki hyggst gera ráðstöfun sem ætlað er að hafa réttaráhrif vegna vinnsluaðgerða sem hafa veigamikil áhrif á verulegan fjölda skráðra einstaklinga í nokkrum aðildarríkjum. Því ætti einnig að beita þegar eitthvert hlutaðeigandi eftirlitsstjórnvald eða framkvæmdastjórnin fer fram á að samræmingarkerfið annist meðferð slíks máls. Reglugerðin stefnir þannig að stórauknu samráði og samvinnu á milli eftirlitsstjórnvalda. Komi þá upp ágreiningur þeirra í milli um framkvæmd ákvæða reglugerðarinnar mun ný stofnun, Evrópska persónuverndarráðið, skera úr honum.
Ætlunin er að framangreindar ráðstafanir og samræmingarkerfi muni draga úr kostnaði ábyrgðaraðila af því að uppfylla lagaskyldur sínar. Þá á að auka samvinnu persónuverndarstofnana í aðildarríkjunum með það fyrir augum að auðvelda fyrirtækjum, einkum litlum og meðalstórum, að ná sem mestu úr þessum markaði, auk þess sem draga á úr kostnaði þeirra með því að heimila þeim að skilgreina áhættustig á grundvelli áhættumats og innleiða ráðstafanir í samræmi við það.
Í reglugerðinni er einnig vísað til þarfa minni fyrirtækja. Í 13. lið formála hennar er m.a. bent á að með hliðsjón af sérstökum aðstæðum örfyrirtækja, lítilla og meðalstórra fyrirtækja sé sett fram undanþága í þessari reglugerð varðandi skráahald fyrirtækja með færri en 250 starfsmenn. Enn fremur eru aðildarríkin og eftirlitsyfirvöld þeirra hvött til að taka tillit til sérstakra þarfa örfyrirtækja, lítilla og meðalstórra fyrirtækja við beitingu reglugerðarinnar.
Reglugerðin er talsvert viðameiri en Evróputilskipunin um sama efni. Það skýrist að hluta til af því að formálsorð hennar eru óvenju löng eða 173 töluliðir í stað 72 liða í formála tilskipunarinnar. Formálinn er mikilvægur til fyllingar og skýringar efnisákvæðum reglugerðarinnar, en þar er m.a. útskýrt nánar inntak hugtaka og fjallað um leiðir sem mælt er með að aðildarríki fari til að ná markmiðum hennar. Þá eru efnisákvæði reglugerðarinnar 99 greinar í stað 33 greina í tilskipuninni. Um fjórðungur þeirra eru ákvæði sem lúta að nýju stofnana- og eftirlitskerfi sem reglugerðin setur á fót, samræmingarkerfinu og samstarfi eftirlitsstofnana í einstökum aðildarríkjum, svo og verkefnum Evrópska persónuverndarráðsins. Þá eru allmörg ákvæði með nýjum efnisreglum auk ítarlegri útfærslu á ýmsu sem kveðið er á um í tilskipuninni.
5. Tilefni og nauðsyn lagasetningar.
5.1. Almennt.
Markmið lagasetningarinnar er annars vegar að stuðla að því að vinnsla persónuupplýsinga sé í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins. Hins vegar er markmiðið að lögfesta ákvæði ESB-reglugerðar um persónuvernd eins og hún var tekin upp í EES-samninginn og setja ýmsar sérreglur til fyllingar og viðbótar reglugerðinni eins og heimilt er samkvæmt nokkrum ákvæðum hennar.
Það leiðir af EES-samstarfinu að taka ber reglugerðina upp í EES-samninginn, en skv. 7. gr. hans skal leiða texta reglugerðarinnar sem slíkan inn í landsrétt og íslensk stjórnvöld hafa ekki val um form eða aðferð við innleiðingu t.d. með umritun slíkra gerða. Reglugerðina verður því að lögfesta í heild sinni og ekki er sama svigrúm til staðar og þegar núgildandi lög um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000, innleiddu efni tilskipunar ESB frá 1995. Við setningu laganna frá 2000 var sem fyrr segir að miklu leyti sótt fyrirmynd til norskra persónuverndarlaga um innleiðingu tilskipunarinnar eins og hún var tekin upp í EES-samninginn enda eru þessi tvö ríki í sömu stöðu sem aðilar að honum.
Persónuverndarreglugerð ESB hefur hins vegar þá sérstöðu, umfram reglugerðir ESB almennt, að hún veitir aðildarríkjum talsvert svigrúm til að setja sérreglur um tiltekin atriði, útfæra sum ákvæði hennar eða víkja frá þeim og í sumum tilvikum er skylt að festa ákveðin atriði í landslög. Í kafla 5.4. verður gerð nánari grein fyrir því hvaða sérreglur reglugerðin gerir ráð fyrir að settar verði í landslög.
5.2. Þingsályktun um reglugerðina.
Á yfirstandandi löggjafarþingi hefur verið lögð fram þingsályktunartillaga (þskj. 922, 612. mál) til að heimila ríkisstjórninni að staðfesta fyrir Íslands hönd fyrirhugaða ákvörðun sameiginlegu EES-nefndarinnar um breytingu á XI. viðauka (Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið) og bókun 37 (sem inniheldur skrána sem kveðið er á um í 101. gr.) við EES-samninginn frá 2. maí 1992 um að fella inn í samninginn reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin). Þá lágu fyrir drög að ákvörðun sameiginlegu EES-nefndarinnar um upptöku á persónuverndarreglugerðinni í EES-samninginn. Eru drögin í umsagnarferli hjá stofnunum ESB sem ekki er lokið þegar frumvarp þetta er lagt fram.
Þær sérstöku aðstæður eru því uppi að þegar frumvarpið kemur til meðferðar hjá Alþingi hefur þingsályktunartillaga verið lögð fram sem gerir ráð fyrir því að Alþingi veiti ríkisstjórninni fyrir fram heimild til að staðfesta fyrirhugaða ákvörðun sameiginlegu EES-nefndarinnar um upptöku gerðarinnar í samninginn, þar sem formleg ákvörðun nefndarinnar liggur ekki fyrir. Á sama tíma er afar mikilvægt að frumvarpið verði að lögum og taki gildi sem næst því tímamarki sem reglugerðin kemur til framkvæmda í ESB-ríkjunum þann 25. maí 2018. Ella skapast ósamræmi í reglum EFTA-ríkjanna innan Evrópska efnahagssvæðisins við þær reglur sem gilda í ESB-ríkjunum um persónuvernd. Það getur valdið vandkvæðum m.a. í tengslum við miðlun persónuupplýsinga á Evrópska efnahagssvæðinu.
Eins og fjallað er um í skýringum við gildistökuákvæði frumvarps þessa í 53. gr. fellur það innan valdheimilda löggjafans að meta hvort rétt er að samþykkja frumvarpið við þessar aðstæður í þeirri vissu að stuttur tíma líði þar til formleg ákvörðun sameiginlegu EES-nefndarinnar um upptöku gerðarinnar í EES-samninginn liggi fyrir. Þess má geta að Norðmenn hafa farið sömu leið þar sem frumvarp til nýrra persónuverndarlaga var lagt fram í Stórþinginu í lok marsmánaðar.
5.3. Þátttaka Íslands í Evrópska persónuverndarráðinu og aðlögun að EES-samningnum.
Samkvæmt 68. gr. reglugerðarinnar er sem fyrr segir nýrri eftirlitsstofnun komið á fót, Evrópska persónuverndarráðinu. Í því skulu eiga sæti yfirmenn eins eftirlitsstjórnvalds hvers aðildarríkis og Evrópsku persónuverndarstofnunarinnar eða fulltrúar þeirra. Fjallað er um verkefni ráðsins í 70. gr. reglugerðarinnar, en meginhlutverk þess er að tryggja samræmi í beitingu hennar. Persónuverndarráðið leysir af hólmi starfshóp skv. 29. gr. ESB-tilskipunarinnar og tekur við þeim sem lýst var að framan, þ.e. útgáfu leiðbeininga og álita um túlkun ákvæða reglugerðarinnar. Til viðbótar fær ráðið fjölmörg önnur verkefni og valdheimildir, þar á meðal er því framselt vald til þess að taka bindandi ákvarðanir gagnvart innlendum eftirlitsstofnunum í ákveðnum tilvikum. Í þessu tilliti hafa vaknað ýmis álitaefni um aðlögun fyrir upptöku reglugerðarinnar í EES-samninginn en þessi verkefni ráðsins koma til vegna ákvæða 63.–67. gr. reglugerðarinnar um framkvæmd þess samræmingarkerfis sem lýst var að framan. Kerfinu er komið á fót til að stuðla að samræmdri beitingu reglugerðarinnar í öllu sambandinu. Með upptöku gerðarinnar í EES-samninginn eykst mjög samvinna á milli eftirlitsstofnana á sviði persónuverndar innan Evrópska efnahagssvæðisins. Af Íslands hálfu reynir þá á aðkomu Persónuverndar, sem er lögbært eftirlitsstjórnvald hér á landi samkvæmt ákvæðum reglugerðarinnar.
Við upptöku gerðarinnar voru ýmsir kostir skoðaðir í tengslum við aðlögun að stofnanakerfi hennar og hvernig mætti samræma það EES-samningnum. Við mat á þeim valkostum var m.a. leitað ráðgjafar hjá Stefáni Má Stefánssyni prófessor við lagadeild Háskóla Íslands, sbr. álitsgerð hans um efnið frá 14. desember 2017, svo og hjá Ólafi Jóhanni Einarssyni, lögmanni og fyrrverandi framkvæmdastjóra hjá Eftirlitsstofnun EFTA. Sem fyrr segir liggja nú fyrir drög að ákvörðun sameiginlegu EES-nefndarinnar um upptöku gerðarinnar í EES-samninginn, dags. 16. mars 2018, og er beðið afstöðu stofnana ESB til þeirra. Eru drögin meðfylgjandi sem fylgiskjal I við frumvarp þetta í íslenskri þýðingu.
Ekki náðist samkomulag í samningaviðræðum milli EFTA-ríkjanna annars vegar og Evrópusambandsins hins vegar um að ná fram aðlögun gerðarinnar fyrir EFTA-ríkin sem byggðist á tveggja stoða kerfi EES-samningsins. Úr varð að velja þá leið sem kennd er við „fulla aðkomu Evrópska persónuverndarráðsins“ og er henni lýst í drögum að ákvörðun sameiginlegu EES-nefndarinnar. Í því felst að ráðið mun taka bindandi ákvarðanir gagnvart persónuverndarstofnun EFTA-ríkis innan EES á sama hátt og gagnvart aðildarríki ESB. Fulltrúar persónuverndarstofnana EFTA-ríkjanna innan EES munu sitja í Evrópska persónuverndarráðinu, án atkvæðisréttar, en munu hafa fullan tillögurétt og málfrelsi og afstaða fulltrúa EFTA-ríkjanna verður skráð sérstaklega. Um þetta fyrirkomulag hefur verið vísað til fyrri fordæma varðandi þátttöku fulltrúa EFTA-ríkjanna innan EES í stjórnum sérstofnana ESB af svipuðu tagi. Þar má benda á þátttöku EFTA-ríkjanna í Evrópsku vinnuverndarstofnuninni og Evrópsku lyfjastofnuninni, þar sem þau hafa aðeins áheyrnaraðild en taka ekki þátt í atkvæðagreiðslu. Því mun Evrópska persónuverndarráðið taka bindandi ákvarðanir gagnvart eftirlitsstofnunum EFTA-ríkjanna, Persónuvernd hér á landi, án þess að EFTA-ríkin sjálf hafi beina aðkomu að þeirri ákvörðun, nema með þátttöku í umræðum um hana á vettvangi ráðsins. Þá munu fulltrúar EFTA-ríkjanna hafa fulla aðkomu að rannsókn mála sem varða vinnslu persónuupplýsinga yfir landamæri.
Auk þess munu persónuverndarstofnanir EFTA-ríkjanna taka þátt í annarri starfsemi persónuverndarráðsins, m.a. starfi hvers kyns undirhópa sem ráðið kann að setja á laggirnar til þess að annast störf sín, og fá allar nauðsynlegar upplýsingar svo þátttaka verði skilvirk, þ.m.t., eftir því sem nauðsyn krefur, með fullum aðgangi að hvers kyns kerfum fyrir upplýsingaskipti sem persónuverndarráðið kann að setja upp.
Í drögum að ákvörðun sameiginlegu EES-nefndarinnar kemur einnig fram að þegar ESB hefur viðræður við þriðju lönd eða alþjóðastofnanir í því skyni að samþykkja ákvörðun um fullnægjandi vernd í samræmi við 45. gr. reglugerðarinnar skulu EFTA-ríkin upplýst um það tilhlýðilega. Í þeim tilvikum þar sem þriðja landið eða alþjóðastofnunin tekst á hendur tilteknar skuldbindingar að því er varðar vinnslu gagna frá aðildarríkjunum mun ESB taka tillit til aðstæðna EFTA-ríkjanna og ræða við þriðju lönd eða alþjóðastofnanir mögulegt fyrirkomulag framkvæmdar reglugerðar í kjölfarið af hálfu EFTA-ríkjanna.
Nánar verður fjallað um stjórnskipuleg álitaefni tengd framsali ríkisvalds til Evrópska persónuverndarráðsins og öðrum atriðum reglugerðarinnar í 8. kafla hér á eftir.
5.4. Setning sérreglna, takmarkana eða útfærslna á ákvæðum reglugerðarinnar.
Persónuverndarreglugerðin hefur þá sérstöðu að hún veitir aðildarríkjum talsvert svigrúm til að setja sérreglur um tiltekin atriði, útfæra sum ákvæði hennar eða víkja frá þeim og í sumum tilvikum er skylt að festa ákveðin atriði sérstaklega í landslög. Í stórum dráttum má skipta þessum heimildum og skyldum til setningar sérreglna í landslögum í eftirfarandi fjóra flokka og jafnframt er vísað til viðeigandi ákvæða reglugerðarinnar.
1) Heimild til nánari útfærslu á efni tiltekinna reglugerðarákvæða.
Í þennan flokk falla tiltekin ákvæði reglugerðarinnar þar sem kveðið er á um heimildir aðildarríkja til að útfæra nánari reglur innan ramma hennar. Ríkjum er hins vegar ekki skylt að setja slíkar reglur. Helstu ákvæði um þetta eru eftirfarandi: 2. og 3. mgr. 6. gr. um ítarlegri kröfur sem aðildarríki geta sett varðandi lögmæti vinnslu, 2.–4. mgr. 9. gr. um sérreglur tengdar vinnslu viðkvæmra persónuupplýsinga, 87. gr. um heimild til að útfæra reglur um kennitölur, 88. gr. um vinnslu í atvinnutengdu samhengi og 90. gr. um útfærslur á setningu reglna um þagnarskyldu ábyrgðar- eða vinnsluaðila.
2) Valkostir um að setja efnisreglur á tilteknum sviðum.
Í reglugerðinni eru víða settir fram valkostir fyrir aðildarríki um að setja efnisreglur um tiltekin atriði en innan ramma hennar, sem þau ráða hvort þau nýta eða ekki. Þannig er gert ráð fyrir því í 27. lið formálans að þótt gildissvið reglugerðarinnar nái til lifandi einstaklinga geti aðildarríki ákveðið að hún gildi einnig um persónuupplýsingar látinna manna. Samkvæmt 8. gr. geta aðildarríki ákveðið hvort þau hafa lægra aldursmark en 16 ára í tengslum við samþykki barns fyrir þjónustu í upplýsingasamfélaginu, en þó ekki lægra en 13 ár. Í 5. mgr. 36. gr. er ráðgert að aðildarríki geti sett áskilnað um að ábyrgðaraðilar þurfi leyfi eftirlitsstjórnvalds fyrir vinnslu tiltekinna upplýsinga. Í 4. mgr. 37. gr. er heimilt að setja frekari ákvæði í lög um skyldur til að fyrirtæki hafi persónuverndarfulltrúa, skv. 5. mgr. 49. gr. geta lög aðildarríkis takmarkað miðlun sérstakra flokka persónuupplýsinga til þriðja lands eða alþjóðastofnunar á grundvelli mikilvægra almannahagsmuna, skv. 6. mgr. 58. gr. geta aðildarríki kveðið á um að eftirlitsstjórnvöld hafa fleiri valdheimildir en þær sem reglugerðin áskilur og skv. 1. og 2. mgr. 80. gr. geta lög aðildarríkis kveðið á um að einstaklingur veiti stofnunum eða samtökum umboð til að leggja fram kvörtun fyrir hans hönd til eftirlitsstjórnvalds og einnig um almennt fyrirsvar stofnana og samtaka fyrir hinn skráða. Þá er valkvætt skv. 7. mgr. 58. gr. hvort aðildarríki heimili álagningu stjórnvaldssekta á stjórnvöld.
3) Svigrúm ríkja til að setja lög sem víkja frá ákvæðum reglugerðarinnar.
Reglugerðin veitir á nokkrum stöðum svigrúm til þess að vikið sé frá ýmsum grundvallarréttindum hins skráða. Þó eru sett ákveðin skilyrði fyrir því í hvaða tilgangi þessar undantekningar eru gerðar og hvaða atriðum beri að hafa hliðsjón af í lagaákvæðum um efnið.
Samkvæmt 23. gr. reglugerðarinnar er heimilt í lögum aðildarríkis, sem ábyrgðaraðili eða vinnsluaðili persónuupplýsinga heyrir undir, að takmarka gildissvið þeirra skyldna og réttinda, sem um getur í 12.–22. gr. (um réttindi skráðs einstaklings) og í 34. gr. (tilkynningarskylda um öryggisbrest), og einnig í 5. gr. (meginreglur um vinnslu persónuupplýsinga) að nánari skilyrðum uppfylltum. Þá er í 89. gr. gert ráð fyrir því að aðildarríki geti kveðið á um undanþágur frá ýmsum réttindum hins skráða þegar vinnsla persónuupplýsinga fer fram vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi.
4) Skyldur sem hvíla á ríki til að setja sérstök atriði í lög eða reglur.
Fjórði flokkurinn lýtur að atriðum sem aðildarríkjum er skylt að innleiða með lögum. Hér vísast m.a. til 5. mgr. 38. gr. um þagnarskyldu persónuverndarfulltrúa, 1. mgr. 43. gr. um faggildingu vottunaraðila og allmargra atriða sem tengjast skipulagi, sjálfstæði og valdheimildum stjórnvalds sem ber ábyrgð á eftirliti og framkvæmd reglugerðarinnar og rakin eru í 51.–54. gr. og 58. gr. reglugerðarinnar. Þá er í 84. gr. fjallað um skyldur aðildarríkja í tengslum við önnur viðurlög en stjórnvaldssektir og í 85. gr. er mælt fyrir um að setja skuli í lög ákvæði til að samræma vernd persónuupplýsinga og réttinn til tjáningar- og upplýsingafrelsis.
Um það hvernig sérreglur þessar birtast í ákvæðum frumvarpsins verður nánar fjallað í skýringum við einstakar greinar frumvarpsins.
6. Helstu breytingar sem frumvarpið hefur í för með sér.
Þar sem frumvarpið mælir fyrir um að reglugerðin eins og hún er tekin upp í EES-samninginn verði að landslögum verður hér gerð samantekt um helstu breytingar sem hún hefur í för með sér auk helstu sérreglna sem lagðar eru til í frumvarpinu að öðru leyti. Þótt ýmis kjarnaatriði tilskipunarinnar, svo sem meginreglur um vinnslu persónuupplýsinga, réttindi hins skráða og skyldur ábyrgðaraðila, standi áfram óbreytt í reglugerðinni eru þar ráðgerðar ýmsar grundvallarbreytingar og viðbætur við gildandi reglur. Hér á eftir er lýst helstu nýmælum og áherslum reglugerðarinnar sem lúta að réttindum einstaklinga sem m.a. birtist í auknum skyldum þeirra sem vinna með persónuupplýsingar gagnvart skráðum einstaklingum og er ákvæðis reglugerðarinnar getið innan sviga.
* Fyrst má nefna nýmæli um landfræðilegt gildissvið reglugerðarinnar, en hún mun gilda um vinnslu allra fyrirtækja sem vinna með persónuupplýsingar skráðra einstaklinga á Evrópska efnahagssvæðinu. Þannig nær hún til allra fyrirtækja sem bjóða vöru og þjónustu til einstaklinga á hinum innri markaði án tillits til þess hvort vinnslan fer fram innan svæðisins eða ekki. Sem dæmi má nefna að hið samræmda regluverk mun ekki aðeins ná til evrópskra netþjónustufyrirtækja heldur einnig til annarra fyrirtækja utan Evrópu þegar þau vinna með persónuupplýsingar um einstaklinga sem staðsettir eru innan EES og um er að ræða boð um vörur eða þjónustu eða eftirlit með hegðun þeirra. Þannig er vernd allra einstaklinga á svæðinu aukin. (3. gr.)
* Almennt má segja að í reglugerðinni séu lagðar mun ríkari skyldur en í tilskipuninni á ábyrgðaraðila og vinnsluaðila við vinnslu persónuupplýsinga, svokallaðar ábyrgðarskyldur, einkum um ráðstafanir til að tryggja öryggi við vinnslu persónuupplýsinga.
* Ný meginregla, svokölluð öryggisregla, bætist við þær fimm meginreglur sem tilskipunin hefur byggst á, þ.e. lögmætis-, tilgangs-, meðalhófs-, áreiðanleika- og varðveisluregluna. (F-liður, 1. mgr. 5. gr.)
* Önnur ný meginregla sem endurspeglast skýrt víða í ákvæðum reglugerðarinnar er aukin ábyrgðarskylda. Í því felst ekki aðeins að ábyrgðaraðili beri frumábyrgð á því að farið sé að reglunum eins og á við samkvæmt núgildandi reglum heldur þarf hann jafnframt að geta sýnt fram á að farið sé að reglunum. (2. mgr. 5. gr.)
* Skilyrði fyrir samþykki einstaklinga fyrir vinnslu persónuupplýsinga eru gerð strangari og fyrirtækjum er skylt að gera skilmála fyrir samþykki gagnsærri, aðgengilegri og á að hafa þá á skiljanlegu máli. (7. gr.)
* Börnum er veitt sérstök vernd þar sem afla þarf samþykkis foreldra áður en börn undir 16 ára aldri skrá sig í þjónustu í upplýsingasamfélaginu. Þó er heimilt að kveða á um lægra aldursmark í landslögum, en þó ekki lægra en 13 ár. (8. gr.)
* Réttur einstaklinga til aðgangs að persónuupplýsingum er viðbót við réttindi hins skráða. Auk þess er ábyrgðaraðila gert skylt að afhenda hinum skráða afrit upplýsinga um hann á rafrænu formi sé þess óskað. (15. gr.)
* Rétturinn til að gleymast er orðaður sérstaklega, en hann tryggir rétt hins skráða til að upplýsingar um hann verði afmáðar þegar þær eru ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Frá þessum rétti eru þó undantekningar, þar á meðal á grundvelli almannahagsmuna. (17. gr.)
* Skráðum einstaklingi er tryggður réttur til að fá persónuupplýsingar um sig sjálfan afhentar á aðgengilegu formi frá ábyrgðaraðila og til að láta flytja þær til annars ábyrgðaraðila. (20. gr.)
* Lögð er sú skylda á ábyrgðaraðila að tryggja bæði innbyggða og sjálfgefna persónuvernd með tæknilegum ráðstöfunum sem m.a. miða að því að sjálfgefið sé að einungis þær upplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar. (25. gr.)
* Öllum ábyrgðaraðilum er skylt að halda skrá yfir vinnslustarfsemi sem fer fram á ábyrgð þeirra sem geymi upplýsingar sem nánar eru taldar upp í reglugerðinni. (30. gr.)
* Ábyrgðaraðila er skylt að tilkynna til Persónuverndar ef öryggisbrestur á sér stað við vinnslu persónuupplýsinga án ótilhlýðilegrar tafar og eigi síðar en 72 klst. eftir að hann verður brestsins var, nema ólíklegt þyki að bresturinn leiði til áhættu fyrir réttindi og frelsi einstaklinga. (33. gr.)
* Ef líklegt er að tiltekin tegund vinnslu hafi í för með sér mikla áhættu fyrir réttindi skráðra einstaklinga skal ábyrgðaraðilinn láta fara fram sérstakt mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga. (35. gr.)
* Stjórnvöldum svo og tilteknum fyrirtækjum sem vinna með ákveðna flokka persónuupplýsinga og umfangsmikið magn er skylt að tilnefna persónuverndarfulltrúa. Í reglugerðinni eru sett fram nánari skilyrði um stöðu, hlutverk og hæfni slíkra fulltrúa. (37. og 38. gr.)
* Í reglugerðinni er gert fyrir því að persónuverndarstofnanir í öllum ríkjum verði efldar verulega, sjálfstæði tryggt og valdheimildir og eftirlitsúrræði stóraukin. (57. og 58. gr.)
* Mælt er fyrir um háar stjórnvaldssektir vegna brota á lögunum, allt að 20 millj. evra fyrir alvarlegustu brot (2,2 milljarðar kr.) eða 4% af heildarveltu fyrirtækis, hvort heldur er hærra. Persónuvernd sem er eftirlitsstjórnvald hér á landi leggur á stjórnvaldssektir. Heimilt verður að leggja stjórnvaldssektir á einstaklinga og lögaðila, þ.m.t. opinberar stofnanir. (3. og 5. mgr. 83. gr.)
Allmörg ákvæði reglugerðarinnar endurspegla hitt meginmarkmiðið með setningu hennar, þ.e. að greiða fyrir frjálsu flæði persónuupplýsinga og virkni hins innri stafræna markaðar og tryggja samræmt eftirlit og framkvæmd. Í því skyni er komið á samræmda eftirlitskerfinu milli eftirlitsstofnana á svæðinu sem áður er getið. Samræmingarkerfið felur t.d. í sér að ábyrgðaraðili með dótturfélög í nokkrum ríkjum þarf aðeins að hafa samskipti við eftirlitsstofnun í því ríki þar sem hann hefur höfuðstöðvar sínar og mun hún taka eftirlitsákvarðanir í hans málum þótt vinnsla fari fram að einhverju leyti í öðrum ríkjum. (63.–67. gr.)
Evrópska persónuverndarráðið er sett á fót með reglugerðinni. Í ráðinu sitja fulltrúar frá eftirlitsstofnun hvers aðildarríkis og fulltrúi Evrópsku persónuverndarstofnunarinnar. Persónuverndarráðinu er ætlað að tryggja samræmi í beitingu reglugerðarinnar, því er m.a. ætlað að gefa út viðmiðunarreglur, álit og tilmæli í tengslum við framkvæmd reglugerðarinnar. Þá getur ráðið skorið úr deilumálum sem kunna að rísa milli eftirlitsstjórnvalda í aðildarríkjunum með bindandi niðurstöðu. (68.–70. gr.)
7. Meginefni frumvarpsins og efnistök.
Með frumvarpinu er annars vegar stefnt að því að lögfesta ákvæði reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016, eins og hún er tekin upp í EES-samninginn, og hins vegar að setja frekari ákvæði til fyllingar og viðbótar reglugerðinni þar sem hún heimilar eða mælir fyrir um að settar séu sérreglur í landslög. Samþykkt frumvarps þessa er forsenda fyrir þátttöku Íslands í samevrópsku regluverki um persónuvernd og vinnslu persónuupplýsinga.
Þá er í frumvarpinu sett fram það efnislega markmið, eins og núgildandi lög um efnið, að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins.
Við samningu frumvarpsins voru tveir valkostir uppi um efnistök í nýjum persónuverndarlögum. Fyrri valkosturinn var að setja, samhliða lögfestingu reglugerðarinnar, aðeins ákvæði í ný persónuverndarlög með þeim sérreglum, viðbótum og útfærslum sem mælt er fyrir um í reglugerðinni sjálfri og lýst var í kafla 5.4. Seinni valkosturinn var að setja lög sem gæfu heildstæða mynd af reglum á réttarsviðinu og þá óhjákvæmilega með endurtekningum að einhverju marki á ákveðnum kjarnaákvæðum reglugerðarinnar og tilvísunum til ákvæða hennar.
Ljóst er að skv. 7. gr. EES-samningsins ber ríkjum að leiða texta reglugerða inn í landslög í heild sinni og meginreglan er því að óheimilt sé að umorða eða breyta texta þeirra í innlendum lagatexta. Af skoðun á fyrirliggjandi frumvörpum um innleiðingu reglugerðarinnar í Noregi, Danmörku og Svíþjóð sést að þau miðast við fyrri valkostinn. Þótt frumvörpin séu misítarleg stefna þau aðeins að því að geyma sérreglur um frávik frá eða viðbætur við reglugerðina, en reglugerðin stendur þá sem meginréttarheimildin.
Það var mat starfshópsins við ákvörðun um efnistök og framsetningu frumvarpsins að ný persónuverndarlög yrðu bæði óaðgengileg og torskiljanleg almenningi ef þau geymdu aðeins sérreglur og undantekningar frá reglugerðinni. Til þess að gefa nýrri persónuverndarlöggjöf ákveðið heildaryfirbragð er sú leið því farin að setja inn í frumvarpið, auk sérreglna, undantekninga og viðbóta sem heimilt er að gera, helstu hugtök og efni nokkurra kjarnaákvæða reglugerðarinnar. Í skýringum við hvert og eitt frumvarpsákvæði er þannig að finna skýringar sem eiga við um meginákvæði reglugerðarinnar, t.d. hvort um nýmæli er að ræða, skýringar sem finna má í formálsorðum reglugerðarinnar og tilvísun til álita og leiðbeininga starfshóps skv. 29. gr. ESB sem þegar hafa verið gefnar út um túlkun og beitingu ýmissa lykilákvæða og hugtaka í reglugerðinni. Leitast er við að fylgja orðalagi ákvæða reglugerðarinnar svo ekki komi upp misræmi og vísa jafnan til frekari reglna um efnið í ákvæðum reglugerðarinnar. Frumvarpið þjónar þannig bæði þeim tilgangi að lögfesta reglugerðina í heild sinni en einnig að setja heildarlög um efnið sem birti meginákvæði og verði henni til fyllingar og viðbótar. Þá er mikilvægt að allar reglur um efnið og skýringar á meginefni þeirra verði aðgengilegar á einum stað og reglugerðin verði birt sem fylgiskjal með frumvarpinu.
Í þessu sambandi var sérstaklega haft í huga að hin nýja Evrópulöggjöf hefur víðtæk áhrif fyrir samfélagið allt en ekki t.d. sérhæfð svið í atvinnulífinu einvörðungu. Þá er stoð fyrir þessari framsetningu einnig sótt í 8. lið formála reglugerðarinnar. Þar segir að þegar kveðið sé á um það í reglugerðinni að setja megi fram í lögum aðildarríkja skýringar eða takmarkanir á reglum hennar sé aðildarríkjum heimilt að fella inn í landslög sín þætti úr reglugerðinni að því marki sem nauðsynlegt sé vegna samræmis og til þess að gera ákvæði landslaga skiljanleg þeim sem þau eiga við um.
Þá er rétt að benda á að í frumvarpinu er að finna ýmsar sérreglur um tiltekin svið sem þegar eru í núgildandi lögum nr. 77/2000. Þar á meðal eru ákvæði um rafræna vöktun, vinnslu upplýsinga um fjárhagsmálefni og lánstraust, bannskrá Þjóðskrár Íslands o.fl. Ætla má að sum þessara ákvæða ættu frekar heima í sérlögum, en ákveðið var að viðhalda þeim inni í lögum um persónuvernd á meðan ekki er ljóst hvort þau verði fest annars staðar í almenn lög, því ella skapast mögulega tímabundið lagalegt tómarúm og lakari réttarvernd.
Í texta reglugerðarinnar eru hugtök sem ætlað er að ná til aðstæðna og hugtaka í lagakerfum allra aðildarríkjanna. Við þýðingu ESB-gerða, þ.m.t. reglugerðarinnar um persónuvernd, hefur Þýðingamiðstöð utanríkisráðuneytisins notast við samræmdar og staðlaðar þýðingar hugtaka sem ætlað er að vera óháðar landsrétti einstakra ríkja. Við færslu hugtaka reglugerðarinnar inn í texta frumvarps þessa hefur sú leið verið valin að nota viðurkennd íslensk lagaheiti sem hefð er fyrir að nota um sömu efni og er þá í nokkrum tilvikum vikið frá opinberri þýðingu hennar. Sem dæmi má nefna að hugtakið „stjórnsýslusekt“, sem fram kemur í 83. gr. reglugerðarinnar og er þýðing á enska hugtakinu „administrative fine“, hefur samkvæmt langri hefð í íslensku lagamáli verið kallað „stjórnvaldssekt“. Þá vakna álitamál um hugtakið „eftirlitsyfirvald“ sem kemur víða fyrir reglugerðinni sem þýðing á enska hugtakinu „supervisory authority“. Í íslensku lagamáli hefur skapast löng hefð fyrir því að nota orðið „eftirlitsstjórnvald“ í stað þess að vísa til „eftirlitsyfirvalds“ sem fyrirfinnst vart í íslenskum lögum. Þetta hefur m.a. verið gert í allmörgum lögum sem ætlað er að innleiða ESB-gerðir þar sem orðið eftirlitsyfirvald er notað í opinberri þýðingu á frumtexta gerða. Dæmi um slíka orðnotkun má sjá í lögum um fjármálafyrirtæki, nr. 161/2002, þar sem ávallt er rætt um Fjármálaeftirlitið hér á landi og sambærilegar stofnanir á Evrópska efnahagssvæðinu sem „eftirlitsstjórnvöld“. Af þessari ástæðu er í frumvarpi þessu notað orðið „eftirlitsstjórnvald“ um stofnunina Persónuvernd hér á landi og hliðstæðar stofnanir á Evrópska efnahagssvæðinu enda hefur það beina tilvísun til hugtaksins „stjórnvald“ í stjórnsýslulögum og lögformlega merkingu. Í skýringum við einstök ákvæði frumvarpsins verður nánar fjallað um þau tilvik þar sem orðnotkun kann að víkja frá þýðingu texta reglugerðarinnar vegna hefðar sem ákveðin hugtök hafa áunnið sér í íslensku lagamáli, en það þjónar einnig því markmiði að gera lögin skiljanleg og aðgengileg almenningi.
Þá ræður úrslitum, skapist vafi um hvort samræmi er á milli texta laganna og reglugerðarinnar að í 5. gr. frumvarpsins er mælt fyrir um að texti reglugerðarinnar skuli ráða, eins og nánar er rakið í frumvarpsskýringum um það ákvæði.
Frumvarpið skiptist í átta kafla sem eru eftirfarandi I. Markmið, skilgreiningar og gildissvið. II. Almennar reglur um vinnslu. III. Réttindi hins skráða og takmarkanir á þeim. IV. Almennar reglur um skyldur ábyrgðaraðila og vinnsluaðila og öryggi persónuupplýsinga. V. Mat á áhrifum á persónuvernd, leyfisskylda o.fl. VI. Persónuverndarfulltrúar og vottunaraðilar. VII. Eftirlit og viðurlög. VIII. Gildistaka o.fl. Er hér í meginatriðum tekið mið af efnislegri uppbyggingu reglugerðarinnar og lykilákvæðum hennar í hverjum kafla og þannig gefa lögin ákveðna heildarmynd af efni hennar. Ekki eru þó fest í lögin sérákvæði um samstarf og samræmingarhlutverk, verkefni og valdheimildir Evrópska persónuverndarráðsins skv. VII. kafla reglugerðarinnar, en í því tilliti má minna á að ákvæði reglugerðarinnar sem slík verða að lögum samkvæmt frumvarpi þessu.
Í umfjöllun um einstök ákvæði hér á eftir verður nánar lýst efni ákvæða reglugerðarinnar og lagafrumvarpsins, þeim breytingum sem þau hafa í för með sér frá gildandi lögum og þeim sérreglum og undanþágum sem lagðar eru til á grundvelli heimilda í reglugerðinni. Við skýringu á ákvæðum reglugerðarinnar verður m.a. sérstaklega litið til formálsorða hennar sem geyma ítarlegar skýringar á hugtökum og einstökum greinum reglugerðarinnar.
8. Samræmi við stjórnarskrá.
Í frumvarpi þessu felst framsal valdheimilda til handa Evrópska persónuverndarráðinu í tilteknum málum eins og fram kom í kafla 5.3. í greinargerðinni. Þarf því að leggja mat á hvort slíkt framsal samræmist fyrirmælum stjórnarskrárinnar um meðferð ríkisvalds, einkum um það hvort farið er út fyrir þau mörk sem leidd verða af 2. gr. stjórnarskrárinnar. Í greininni er mælt fyrir um þrískiptingu ríkisvaldsins í löggjafar-, framkvæmdar- og dómsvald sem skuli vera í höndum þeirra sem taldir eru upp í ákvæðinu og jafnframt eru æðstu handhafar ríkisvalds hver á sínu sviði. Ljóst er að meginregla 2. gr. um að ríkisvald sé á hendi innlendra valdhafa hefur sætt ýmsum undantekningum á undanförnum áratugum með vísan til ákveðins svigrúms löggjafans í því til tilliti þannig að ekki þrengi um of að möguleikum íslenska ríkisins til að tryggja hagsmuni sína sem best í samstarfi og samningum við aðrar þjóðir. Hefur aðild Íslands að EES-samningnum árið 1993 og þá ekki síður gerðir sem hafa verið teknar upp í samninginn á undanförnum áratugum þar sem valdheimildir hafa í auknum mæli verið framseldar til alþjóðastofnana í EES-samstarfinu vakið margvísleg álitaefni um hvort farið er út fyrir mörk stjórnarskrárinnar, þar sem hvergi er getið um heimild til að framselja ríkisvald til alþjóðlegra stofnana. Um þessi efni var m.a. ítarlega fjallað í álitsgerð prófessoranna Bjargar Thorarensen og Stefáns Más Stefánssonar frá 25. apríl 2012 um stjórnskipulegar heimildir landsréttar og möguleika á innleiðingu reglugerða ESB um eftirlit með fjármálamörkuðum í EES-samninginn sem þá var í undirbúningi.
Í álitsgerðinni kom fram að þeir þættir sem líta beri til við mat á svigrúmi löggjafans til framsals valdheimilda séu eftirfarandi: 1) hvaða valdheimildir ríkisins eru framseldar, 2) að hverjum þær beinast, 3) þátttöku Íslands í ákvarðanatöku og gagnkvæmni, 4) umfangs og eðlis valdheimildanna og 5) samfélagslegra markmiða. Vega þurfi og meta þessa þætti saman til að finna heildarmynd, en enginn einn þeirra ráði úrslitum. Burt séð frá því hver er niðurstaða þess mats er bent á það í álitsgerðinni að í EES-samstarfinu vakni stöðugt fleiri álitaefni um hvort farið sé út fyrir mörk stjórnarskrárinnar með þróun EES-samningsins og innleiðingu nýrra gerða sem stefna að auknu valdframsali til alþjóðastofnana á nýjum málefnasviðum. Þannig hafi forsendur breyst í ýmsu tilliti frá því að samningurinn tók gildi. Niðurstaða álitsgerðarinnar er að sú heildarmynd sem mótast hefur frá því EES-samningurinn tók gildi gefi tilefni til að endurmeta þá stöðu sem er uppi varðandi framsal ríkisvalds vegna nýrra gerða sem teknar hafa verið upp í samninginn eða fyrirsjáanlega þarf að taka upp í hann. Því sé mikilvægt að huga að nauðsynlegum stjórnarskrárbreytingum til þess að tryggja að löggjafinn starfi innan þeirra marka sem leidd verða af stjórnarskránni um alþjóðlegt samstarf. Engar slíkar breytingar hafa þó náð fram að ganga frá því að álitsgerðin var rituð.
Þá hefur það þýðingu að greina nánar eðli mögulegs framsals ríkisvalds samkvæmt persónuverndarreglugerð ESB og að hverjum ákvarðanir beinast til að meta samrýmanleika við stjórnarskrá. Sem fyrr segir vöknuðu álitaefni um aðlögun fyrir EES-samninginn vegna ákvæða í 63.–67. gr. reglugerðarinnar um framkvæmd samræmingarkerfis hennar. Í 64. gr. er mælt fyrir um í hvaða tilvikum Evrópska persónuverndarráðið skuli gefa út álit. Það á við ef lögbært eftirlitsstjórnvald hyggst samþykkja einhverja af þeim ráðstöfunum sem fjallað er um í 1. mgr. greinarinnar. Meðal atriða sem þar eru talin er samþykkt skrár yfir vinnsluaðgerðir sem falla undir kröfu um mat á persónuvernd, samþykkt viðmiðana um faggildingu vottunaraðila eða ákvörðun um stöðluð ákvæði um persónuvernd. Vekja álit ráðsins af þessum toga ekki upp spurningar um framsal enda ekki um bindandi niðurstöður að ræða. Þegar rætt er um framsal valdheimilda ráðsins koma hins vegar til álita heimildir þess skv. 65. gr. reglugerðarinnar til að samþykkja bindandi ákvörðun í eftirfarandi tilvikum:
a) ef hlutaðeigandi eftirlitsstjórnvald hefur, í því tilviki sem um getur í 4. mgr. 60. gr., haft uppi viðeigandi og rökstudd andmæli gegn drögum að ákvörðun forystustjórnvalds eða forystustjórnvald hefur hafnað slíkum andmælum þar sem þau séu ekki viðeigandi eða rökstudd,
b) ef ágreiningur er uppi um hvert af hlutaðeigandi eftirlitsstjórnvöldum telst vera lögbært að því er varðar höfuðstöðvarnar,
c) ef lögbært eftirlitsstjórnvald óskar ekki eftir áliti persónuverndarráðsins í tilvikum sem um getur í 1. mgr. 64. gr. eða fylgir ekki áliti sem persónuverndarráðið hefur gefið út skv. 64. gr. Í því tilviki getur hlutaðeigandi eftirlitsstjórnvald eða framkvæmdastjórnin vísað málinu til persónuverndarráðsins.
Ljóst er að framangreindar ákvarðanir persónuverndarráðsins beinast ekki að einstaklingum og lögaðilum, heldur að eftirlitsstjórnvöldum aðildarríkja, sem hér á landi er Persónuvernd. Þannig verður Persónuvernd sem stjórnvald bundin af niðurstöðu ráðsins. Sú ákvörðun sem Persónuvernd tekur í framhaldinu og byggist á niðurstöðu ráðsins kann þó vissulega að hafa áhrif fyrir þá einstaklinga eða lögpersónur sem ákvörðunin varðar. Þannig virðast bindandi ákvarðanir persónuverndarráðs geta snert einstaklinga og fyrirtæki í aðildarríkjunum a.m.k. með óbeinum hætti. Því til viðbótar ættu slíkar ákvarðanir persónuverndarráðsins ekki að sæta endurskoðun landsdómstóla, sbr. nánar 143. lið formála reglugerðarinnar, þar sem fram kemur að innlendir dómstólar hafi ekki vald til að lýsa slíka ákvörðun ógilda heldur verður hinn innlendi dómstóll að vísa álitaefninu um gildi til dómstóls Evrópusambandsins. Er það raunar almenna reglan um meðferð ákvarðana sem stofnanir ESB taka. Engu að síður er ekki hægt að girða fyrir að einstaklingur leiti úrlausnar dómstóla um gildi stjórnvaldsákvörðunar sem Persónuvernd tekur, enda er sá réttur stjórnarskrárvarinn, sbr. 60. og 70. gr. stjórnarskrárinnar.
Þar sem ljóst þótti að upptaka reglugerðarinnar í EES-samninginn mundi fela í sér stjórnskipuleg álitaefni var leitað til Stefáns Más Stefánssonar lagaprófessors til að meta inntak þeirra og hvaða leiðir væru færar til að taka þær upp í samninginn með tilliti til íslenskrar stjórnskipunar. Í álitsgerð hans frá 14. desember 2017 var farið yfir hvaða valkostir væru til staðar um aðlögun að stofnanakerfi reglugerðarinnar og álitamál um framsal ríkisvalds. Bent var á að lausn gæti falist í því að Eftirlitsstofnun EFTA tæki ákvarðanir sínar á grundvelli uppkasts frá Evrópska persónuverndarráðinu. Sú lausn hefði vissa stoð í fordæmum í reglugerðum um eftirlit með fjármálamörkuðum. Hún mundi að vissu leyti tryggja samræmda beitingu reglna á þessu sviði og ekki raska því hlutverki sem dómstólar ESB og EES hefðu á grundvelli EES samningsins.
Niðurstaðan í sameiginlegu EES-nefndinni var hins vegar að velja þá leið sem kennd er við „fulla aðkomu persónuverndarráðsins“ og lýst var í kafla 5.3. Í því felst að ráðið mun taka bindandi ákvarðanir gagnvart eftirlitsstjórnvaldi EFTA-ríkis innan EES. Munu fulltrúar EFTA-ríkjanna innan EES sitja í Evrópska persónuverndarráðinu, án atkvæðisréttar, en með fullan tillögurétt og málfrelsi. Um þetta fyrirkomulag hefur m.a. verið vísað til fyrri fordæma varðandi þátttöku fulltrúa EFTA-ríkjanna innan EES í stjórnum sérstofnana ESB. Dæmi um slíka tilhögun eru fjármálaeftirlitsstofnanir ESB, Evrópska vinnuverndarstofnunin og Lyfjastofnun Evrópu.
Af þessu er ljóst að stofnun ESB mun taka bindandi ákvarðanir gagnvart eftirlitsyfirvöldum EFTA-ríkjanna, þ.e. Persónuvernd hér á landi, án þess að íslenska ríkið hafi beina aðkomu að þeirri ákvörðun, nema með þátttöku í umræðum um hana á vettvangi ráðsins. Þó munu fulltrúar Persónuverndar hafa fullan þátttökurétt í samræmingarkerfinu og einnar afgreiðslu kerfinu. Stofnunin getur þannig tekið fullan þátt í rannsókn mála sem varða vinnslu yfir landamæri, og eftir atvikum tekið ákvarðanir sem binda íslensk fyrirtæki sem viðhafa vinnslu yfir landamæri, sem persónuverndarstofnanir í öðrum Evrópuríkjum eru bundnar af.
Telja verður að framsal valds til Evrópska persónuverndarráðsins í þessum málum sé lítils háttar, það er aðeins á sviði framkvæmdarvalds í þröngt afmörkuðum tilvikum og bindur aðeins stjórnvöld en ekki einstaklinga eða fyrirtæki. Það fer því ekki út fyrir það svigrúm sem löggjafinn hefur til þessa talið vera til staðar um framsal ríkisvalds til þessa og gengur t.d. mun skemur en það framsal sem varð með innleiðingu reglugerða ESB um eftirlit með fjármálamörkuðum í EES-samninginn, sbr. lög nr. 24/2017, um evrópskt eftirlitskerfi á fjármálamarkaði. Fram til þessa hefur Evrópulöggjöf á sviði persónuverndar, þ.m.t. ESB-tilskipunin, ekki kallað á slíkt framsal. Ótvírætt er því að með framsali á ríkisvaldi til hins nýja Evrópska persónuverndarráðs bætist við enn eitt nýtt málefnasvið á vettvangi EES-samstarfsins sem krefst slíks valdframsals.
Hvað dómsvald varðar er í fyrrgreindri álitsgerð Stefáns Más Stefánssonar lagt mat á 143. gr. formála reglugerðarinnar um rétt einstaklinga og lögaðila til að höfða mál til ógildingar ákvörðunum persónuverndarráðsins fyrir ESB-dómstólnum samkvæmt ákvæði 263. gr. sáttmálans um starfshætti ESB. Í álitsgerðinni er bent á að kjarni málsins sé að persónuverndarstofnun sem ákvörðun hefur verið beint að en vill vefengja ákvörðun stofnunar ESB geti höfðað ógildingarmál þar um að fullnægðum þeim skilyrðum sem fram koma í greininni. Einstaklingar og lögpersónur hafi almennt ekki sömu heimild, enda ákvörðun ekki beint að þeim. Þessir aðilar hafi þó málssóknarrétt ef ákvörðun telst varða þá beint og sérstaklega. Slík tilvik eru hins vegar ekki algeng. Tekið er fram í álitsgerðinni að réttarstaðan sé í öllum aðalatriðum lík þessu EFTA megin. Í umræddri 1. mgr. 143. gr. formála reglugerðarinnar komi einnig fram að einstaklingur eða lögaðili skuli hafa virkt réttarúrræði fyrir dómstólum viðkomandi ríkis teljist hann hafa lögvarða hagsmuni af slíkri málssókn. Það eigi einkum við varðandi beitingu eftirlitsstofnunar á rannsóknarheimildum, valdheimildum til að gera ráðstafanir til úrbóta og leyfisveitingarheimildum auk frávísunar eða höfnunar á kvörtunum. Þessa réttarvernd hafi einstaklingar og lögaðilar samkvæmt íslenskum lögum þannig að sú réttarvernd telst vera fyrir hendi. Samkvæmt þessu ættu engin vandkvæði að vera fyrir hendi sem snerta 1. mgr. 143. lið formála reglugerðarinnar.
Þá er í álitsgerðinni lagt mat á 2. mgr. í fyrrgreindum lið formálans þess efnis að hafi eftirlitsvald hafnað kröfu eða vísað frá geti sá sem lagði fram kvörtun höfðað mál fyrir dómstólum í aðildarríki. Viðkomandi dómstóli sé þá heimilt og stundum skylt að óska eftir forúrskurði dómstóls ESB um túlkun laga sambandsins. Forúrskurður dómstóls ESB feli í sér bindandi niðurstöðu fyrir viðkomandi dómstól aðildarríkis og aðila málsins. Sé sama regla heimfærð upp á EFTA-ríkin (34. gr. samnings EFTA-ríkjanna um stofnun eftirlitsstofnunar og dómstóls) komi fram sá munur að dómstólum EFTA-ríkjanna sé heimilt en aldrei skylt að leita álits EFTA-dómstólsins sem auk þess gefur aðeins ráðgefandi álit sem telst ekki bindandi fyrir viðkomandi landsdómstóla. Þá komi fram í þessu ákvæði formálans að þegar ákvörðun persónuverndarstofnunar um að framkvæma ákvörðun persónuverndarráðsins sé vefengd fyrir innlendum dómstól og deilt um gildi ákvörðunar persónuverndarráðsins hafi innlendi dómstóllinn ekki vald til að lýsa ákvörðun þess ógilda heldur verði hann að vísa álitaefninu um gildi til dómstóls ESB í samræmi við 267. gr. sáttmálans um starfshætti Evrópusambandsins, eins og dómstóllinn túlkar hana, ef hann telur ákvörðunina ógilda.
Bent er á að þarna komi fram munur á ESB- og EES-rétti sem hefur þýðingu að því leyti að dómstóll ESB hafi heimild í forúrskurði til að ógilda ákvörðun stofnunar ESB. EFTA-dómstóllinn hafi ekki sambærilega heimild. Þá bætist við eins og fyrr segir að dómstólum EFTA-ríkjanna sé heimilt en aldrei skylt að leita álits EFTA-dómstólsins sem auk þess gefi aðeins ráðgefandi álit. Niðurstaðan í álitsgerðinni hvað varðar dómsvald er að verði reglugerðin tekin upp í íslenskan rétt geti íslenskir aðilar látið á það reyna fyrir íslenskum dómstólum hvort tiltekin ákvörðun Persónuverndar standist íslensk lög, þar á meðal stjórnarskrá, t.d. með kröfu um ógildingu. Skipti í því sambandi engu máli þótt ákvörðun stofnunarinnar kunni að vera byggð á, eða bundin við, ákvörðun Evrópska persónuverndarráðsins. Íslenskir dómstólar hafi hins vegar ekki vald til að dæma um hvort hin erlenda ákvörðun sem kann að vera undirliggjandi íslenskri ákvörðun sé lögmæt samkvæmt ESB- eða EES-rétti.
9. Samráð.
9.1. Almennt.
Eins og fram kemur í frumvarpinu er markmið þess, líkt og persónuverndarreglugerðar ESB, annars vegar að stuðla að því að farið sé með persónuupplýsingar í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs en hins vegar að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins. Frumvarpið hefur þá sérstöðu að það snertir allt samfélagið; alla einstaklinga og alla þá sem vinna með persónuupplýsingar þeirra, hvort sem um er að ræða atvinnurekendur, fyrirtæki, stofnanir, íþróttafélög eða aðra. Er því vandfundin sú löggjöf sem hefur jafn víðtæk áhrif og þessi.
Þegar persónuverndarreglugerð ESB var samþykkt á vettvangi Evrópusambandsins í apríl árið 2016 lá fyrir að tveggja ára aðlögunartími yrði fyrir alla aðila til undirbúnings fyrir hlítingu á kröfum og breytingum nýs regluverks þar sem reglugerðin skyldi koma til framkvæmda í Evrópu 25. maí 2018. Þrátt fyrir að einnig hafi legið fyrir að reglugerðin mundi ekki skuldbinda Ísland fyrr en gerðin hefði verið tekin upp í EES-samninginn fór þegar af stað undirbúningur fyrir nýtt regluverk hjá ráðuneytinu og Persónuvernd. Frá því árið 2016 hefur Persónuvernd staðið fyrir umfangsmiklu kynningarstarfi á efni og áhrifum reglugerðarinnar. Hefur stofnunin staðið fyrir eða starfsmenn hennar flutt erindi um efnið á fjölmörgum fundum og ráðstefnum faghópa, fyrirtækja og stofnana, m.a. á sviði heilbrigðis- og menntamála þar sem fjallað hefur verið um helstu breytingar og nauðsynlegan undirbúning vegna gildistöku reglugerðarinnar. Dómsmálaráðuneytið (innanríkisráðuneytið til 1. maí 2017) hefur jafnframt tekið þátt í eða haft aðkomu að kynningu á efni nýrra reglna, m.a. á opinberum viðburðum, þó að kynningarstarf hafi einna helst verið á hendi Persónuverndar.
Að auki hefur Persónuvernd gefið út og birt á vefsíðu sinni margvíslegt fræðsluefni sem og leiðbeiningar um framkvæmd tiltekinna ákvæða í reglugerðinni, svo sem um persónuverndarfulltrúa, öryggisbresti, samþykki fyrir vinnslu persónuupplýsinga svo og um skyldur ábyrgðaraðila og vinnsluaðila samkvæmt hinu nýja regluverki.
Þá má nefna að drög að íslenskri þýðingu á persónuverndarreglugerð ESB voru birt opinberlega á vefsíðu Persónuverndar vorið 2017 í því skyni að auðvelda aðilum að kynna sér efni hinna nýju reglna og fyrir undirbúning að hlítingu þeirra. Ljóst er að ákvæði reglugerðarinnar eru meginheimildin um gildandi reglur á sviðinu og breytir frumvarpið ekki þeim kjarnaatriðum sem þar koma fram. Þótti því nauðsynlegt að flýta þýðingu reglugerðarinnar og birta drög að þýðingu í undirbúningsskyni sem fyrr segir og til að festa í sessi hugtakanotkun, einkum nýrra hugtaka.
Fyrir utan umfangsmikið kynningarstarf og annað samráð vegna málsins í heild verður hér nánar lýst samráði í tengslum við frumvarpið.
9.2. Frumvarpsgerð og fundur með hagsmunaaðilum.
Vinna við gerð frumvarpsins hófst í nóvembermánuði 2017 eftir að dómsmálaráðherra skipaði starfshóp um verkefnið. Á fyrstu stigum í vinnu starfshópsins var m.a. haft samráð við utanríkisráðuneyti og forsætisráðuneyti um vinnuáætlun, tilhögun vinnu, þýðingar á reglugerðinni og framsetningu. Þá var dómsmálaráðherra gerð grein fyrir framvindu frumvarpsvinnunnar og afhent frumdrög að frumvarpinu þann 22. janúar 2018, ásamt minnisblaði um meginatriði þess og valkosti um afstöðu til ýmissa atriða, svo sem um framsetningu þess og setningu sérreglna þar sem víkja mætti frá eða bæta við ákvæði reglugerðarinnar.
Þann 1. febrúar 2018 bauð dómsmálaráðuneytið til samráðsfundar fulltrúa starfshópsins og ráðuneytisins með aðilum í atvinnulífinu en á fundinn mættu fulltrúar frá Samtökum atvinnulífsins, Samtökum iðnaðarins, Samtökum verslunar og þjónustu, Samtökum fyrirtækja í velferðarþjónustu, Samtökum fjármálafyrirtækja, Samtökum fyrirtækja í sjávarútvegi, Creditinfo og Viðskiptaráði Íslands. Á fundinn mættu einnig fulltrúar frá Sambandi íslenskra sveitarfélaga og frá Reykjavíkurborg. Fyrir fundinn var frumdrögum frumvarpsins dreift og var efni þess rætt á fundinum.
Auk þessa óskaði Hagstofa Íslands eftir fundi með forsætisráðuneyti og starfshópnum til að koma sínum sjónarmiðum á framfæri vegna frumvarpsins og fór hann fram 21. febrúar 2018. Þá fengu fulltrúar Samtaka atvinnulífsins, að ósk þeirra, fund með dómsmálaráðherra vegna frumvarpsins 5. apríl 2018.
9.3. Frumvarp kynnt almenningi og hagsmunaaðilum.
Þann 13. mars 2018 voru drög að frumvarpinu ásamt greinargerð birt í samráðsgátt Stjórnarráðsins og óskað var eftir umsögnum um efni þess. Bæði einstaklingar, fyrirtæki og stofnanir sendu inn umsagnir um frumvarpið eða gerðu athugasemdir við efni þess. Starfshópurinn fór yfir allar umsagnir og athugasemdir sem bárust og leiddu þær til ýmissa breytinga á texta frumvarpsins eða sérstakra skýringa í athugasemdum við einstök ákvæði. Nokkrir aðilar gerðu athugasemdir við tímasetningu á upptöku almennu persónuverndarreglugerðarinnar í EES-samninginn og val á aðferð við innleiðingu reglugerðarinnar eða framsetningu frumvarpsins. Þau sjónarmið verða ekki rakin sérstaklega hér en gerð er grein fyrir vali á innleiðingaraðferð og framsetningu frumvarpsins í 7. kafla greinargerðarinnar. Aðrar athugasemdir sem ekki tengjast beint frumvarpinu sjálfu verða ekki heldur reifaðar. Verður hér gerð einkum grein fyrir helstu athugasemdum sem bárust við efnisákvæði frumvarpsins.
a. Advel Lögmenn (f.h. Fjarskipta hf.) gera athugasemd við 3. og 16. gr. frumvarpsins. Skilgreining 3. tölul. 3. gr. um viðkvæmar persónuupplýsingar sé hvorki talin sambærileg skilgreiningu í reglugerðinni né leiði af ákvæðum reglugerðarinnar sem heimila ríkjum að setja sérreglur. Þá sé 16. gr. ekki talin fela í sér nægilega skýra heimild til að byggja á þeim ákvörðunum sem þar er mælt fyrir um og er lagt til að ákvarðanir framkvæmdastjórnarinnar verði innleiddar með skýrari hætti. Varðandi notkun hugtaksins viðkvæmar persónuupplýsingar telur starfshópurinn og ráðuneytið rétt að nota áfram hugtak gildandi laga um þennan flokk persónuupplýsinga, enda hefur notkun þess verið við lýði frá setningu gildandi laga árið 2000. Í núgildandi tilskipun ESB 95/46 er notað sama hugtak yfir viðkvæmar persónuupplýsingar og gert er í reglugerðinni, þ.e. sérstakir flokkar persónuupplýsinga, en í íslensku regluverki er stuðst við hugtakið viðkvæmar persónuupplýsingar. Í reglugerðinni er þeim í 51. lið formálans lýst sem persónuupplýsingum sem eru í eðli sínu sérlega viðkvæmar að því er varðar grundvallarréttindi og mannfrelsi. Viðkvæmar persónuupplýsingar þykir því enn lýsandi hugtak og ekki þykir ástæða til að hverfa að óþörfu frá notkun hugtaka sem þekkjast í löggjöf og framkvæmd hér á landi enda gæti slíkt verið til þess fallið að valda ruglingi. Vegna athugasemdar við 16. gr. frumvarpsins hefur ákvæðið verið endurskoðað og breytt á þann veg að í stað þess að Persónuvernd birti auglýsingu í Stjórnartíðindum um gildi ákvarðana framkvæmdastjórnarinnar í samræmi við ákvörðun sameiginlegu EES-nefndarinnar gerir ákvæðið ráð fyrir að ráðherra staðfesti slíkar ákvarðanir og birti auglýsingu í Stjórnartíðindum.
b. Borgarskjalasafn Reykjavíkur bendir á að þar sem fráviksreglur gildi um vinnslu persónuupplýsinga vegna skjalavistunar í þágu almannahagsmuna geti það horft til skýringarauka að taka fram í skýringum við umræddar greinar að átt sé við starfsemi sem lýtur að lögum um opinber skjalasöfn, nr. 77/2014. Starfshópurinn hefur gætt þess við samningu frumvarpsins.
c. Bæjarráð Hafnarfjarðar tekur undir umsögn Sambands íslenskra sveitarfélaga um frumvarpsdrögin. Bæjarráð leggur sérstaka áherslu á þær athugasemdir sem lúta að fyrirhuguðu sektarákvæði laganna. Nauðsynlegt sé að þessi heimild verði skoðuð ítarlega og afleiðingar slíks ákvæðis metin. Ljóst sé að tillaga í núverandi drögum að sektarákvæði geti haft veruleg áhrif á rekstur og afkomu sveitarfélaga sem einungis muni koma niður á þjónustu til íbúa sveitarfélaganna ef á reyndi. Starfshópurinn ræddi sérstaklega hvort rétt væri að láta sektarákvæði reglugerðarinnar ekki ná til opinberra aðila. Ákveðið var í ljósi þess hversu umfangsmikil vinnsla persónuupplýsinga fer fram hjá sveitarfélögum og öðrum opinberum aðilum, auk þess sem núgildandi lög gera ráð fyrir refsiábyrgð sveitarfélaga eins og annarra lögaðila, að láta sektarheimildir einnig ná til þeirra.
d. Creditinfo telur mikilvægt að kveðið sé á um vinnslu upplýsinga sem varða fjárhagsmálefni og lánstraust í lögum um persónuvernd og vinnslu persónuupplýsinga eins og gert sé ráð fyrir í 15. gr. frumvarpsins, og að réttarreglur á þessu mikilvæga sviði séu skýrar. Creditinfo telur vera eðlilega þá skyldu sem fram kemur í 15. gr. um að gerð lánshæfisskýrslna verði gerð starfsleyfisskyld. Félagið telur einnig mikilvægt að tryggt verði með ákvæðum í reglugerð að starfsleyfishafi hafi aðgang að og geti nýtt áreiðanlegar upplýsingar við gerð slíks mats. Bent er á að reglugerð nr. 246/2001 um söfnun og miðlun fjárhagsupplýsinga og lánstraust þarfnist endurskoðunar. Ráðuneytið tekur undir þá athugasemd að endurskoðun reglugerðarinnar sé tímabær.
e. Fjeldsted & Blöndal lögmannsstofa gerir athugasemd við 8. gr. og virðist líta svo á að 8. gr. hafi aðeins að geyma hluta af þeim reglum sem koma fram í 5. gr. reglugerðarinnar. Því sé 5. gr. reglugerðar til fyllingar og viðbótar. Þá er gerð athugasemd við þýðingu og hugtakanotkun. Sérstaklega er nefnd notkun hugtaksins stjórnsýslusekt og stjórnvaldssekt sem og eftirlitsstjórnvald og eftirlitsyfirvald. Umsagnaraðili hvetur til þess að þýðing verði yfirfarin og að efni laganna verði gert aðgengilegra og skiljanlegt almenningi. Varðandi hugtakanotkun fóru fram viðræður við Þýðingamiðstöð utanríkisráðuneytisins um þýðingu ýmissa hugtaka, m.a. þeirra sem nefnd eru hér, og var fallist á að breyta þeim til samræmis við íslenska málnotkun. Að því leyti hefur athugasemd um breytta þýðingu hugtakanna verið mætt.
f. Guðmundur Arnar Kristínarson gerir athugasemd við 35. gr. um persónuverndarfulltrúa og bendir á að 3. mgr. megi lesa sem svo að skyldan nái eingöngu til þeirra aðila sem vinna bæði með viðkvæmar persónuupplýsingar og upplýsingar sem varða sakfellingar í refsimálum. Í stað og í ákvæðinu ætti að standa eða. Standi ákvæðið óbreytt megi ljóst vera að aðilar sem sinni „umfangsmikilli vinnslu viðkvæmra persónuupplýsinga“ án þess að vinna einnig með „upplýsingar sem varða sakfellingar í refsimálum og refsiverð brot“ ákveði sjálfir hvort þeir kjósi að tilnefna persónuverndarfulltrúa eða ekki. Starfshópurinn hefur tekið athugasemdina til greina og hefur ákvæðinu verið breytt til samræmis. Reyndar hefur texta reglugerðarinnar sjálfrar um þetta atriði einnig verið breytt.
g. Hagsmunasamtök heimilanna víkja að 15. gr. frumvarpsins og starfsemi fjárhagsupplýsingastofa sem bundin er leyfi Persónuverndar. Ekki er gerð efnisleg athugasemd við ákvæðið heldur hvatt til þess að samhliða innleiðingu reglugerðarinnar verði ráðist í endurskoðun reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust.
h. Hagstofa Íslands gerir athugasemd við 18. gr. frumvarpsins og óskar eftir að þar verði bætt við málslið sem tryggi undanþágur vegna opinberrar hagskýrslugerðar. Hagstofan leggur ríka áherslu á vandaða meðferð persónugagna og hefur innleitt vottað stjórnkerfi upplýsingaöryggis. Óbreytt ákvæði muni umbylta vinnslu gagna til hagskýrslugerðar en ef einstaklingar geti breytt eða eytt upplýsingum til hagskýrslugerðar minnki áreiðanleiki og þar með gæði opinberrar tölfræði. Starfshópurinn og ráðuneytið leggja áherslu á að með frumvarpinu er ekki verið að leggja til breytingar á efnisreglum, og framkvæmd þeirra, sem gilda um vinnslu af þessum toga og þeim undantekningum sem leiddar verða af núgildandi lögum. Bætt hefur verið við skýringum í greinargerð með ákvæðinu og vinnsla upplýsinga á grundvelli laga um Hagstofu Íslands og opinbera hagskýrslugerð nefnd sem dæmi um það sem falli undir undanþágur ákvæðisins.
i. Í umsögn Isavia koma fram almennar athugasemdir en ekki við einstök ákvæði frumvarpsins. Bent er á að frumvarpið þyki nokkuð óskýrt. Ekki sé ljóst af hverju valið er að setja í lagatextann ýmislegt sem er að finna í reglugerðinni, þar sem hún muni hvort eð er fá lagagildi. Betur hefði farið á að tryggja einfaldleika og skýrleika með því að lögfesta reglugerðina og setja einungis í lög til viðbótar þau ákvæði sem nauðsynleg séu til fyllingar.
j. Íslensk erfðagreining víkur sérstaklega að 3. mgr. 4. gr. og 33. gr. í umsögn sinni. Fyrrnefnda ákvæðið sé ekki talið í samræmi við 27. tölul. formála reglugerðarinnar og telur umsagnaraðili að sterk rök þurfi að færa til að nýta heimild um sérreglur. Ákvæðið sé talið vinna gegn markmiði 159. tölul. formálans og setji starfsemi umsagnaraðila þrengri skorður en samstarfs- og samkeppnisaðilar í Evrópu þurfi að hlíta. Þá sé talið að rökstyðja þurfi sérstaklega hvaða hagsmunir kalli á tímamark sem nái fram yfir 5 ár. Umsagnaraðili telur ekki þörf fyrir ákvæði 33. gr. og telur sérákvæðið m.a. andstætt jafnræðisreglum. Starfshópurinn hefur rætt ítarlega ákvæði frumvarpsins um gildissvið þess varðandi látna einstaklinga. Gildandi lög um persónuvernd og meðferð persónuupplýsinga gilda fullum fetum um látna einstaklinga svo ljóst er að ekki er verið að þrengja gildissvið í 3. mgr. 4. gr. heldur þvert á móti. Athugasemdinni hefur þó verið mætt með því að færa tímamarkið úr 10 árum í 5 ár. Um vísindarannsóknir er fjallað í 34. gr. frumvarpsins en ekki í 33. gr. þess, en þar þótti rétt að viðhalda óbreyttu ákvæði um efnið enda er ljóst að Persónuvernd gegnir lögbundnu hlutverki í tengslum við veitingu leyfa fyrir vísindarannsóknum á heilbrigðissviði, sem lýst er í sérlögum um efnið.
k. Í umsögn Landssamtaka lífeyrissjóða er ekki vikið að einstökum ákvæðum frumvarpsins.
l. Persónuvernd gerir athugasemd við þá breytingu sem ráðuneytið hefur gert á 40. gr. frumvarpsins um gjaldtöku frá birtingu frumvarpsins og telur ákvæðið í breyttri mynd vega að sjálfstæði stofnunarinnar. Ákvæðið gefi til kynna að það geti verið komið undir ákvörðun ráðherra í einstaka málum hvort ábyrgðaraðili greiði kostnað sem hlýst af eftirliti Persónuverndar. Slíkt geti ekki staðist kröfur 52. gr. reglugerðarinnar um sjálfstæði eftirlitsstofnana og því verði að breyta ákvæðinu til fyrra horfs. Ráðuneytið tekur ekki undir þessi sjónarmið en hefur þó lagfært ákvæðið til að taka af allan vafa um að um almenna heimild sé að ræða en ekki ákvörðun ráðherra í einstaka málum.
m. Í umsögn Reykjavíkurborgar er varðandi einstök efnisákvæði frumvarpsins vikið að 40. gr. um gjaldtökuheimild Persónuverndar. Þá er vikið að 46. gr. um stjórnvaldssektir og tekið undir sjónarmið Sambands íslenskra sveitarfélaga um ákvæðið. Ráðuneytið hefur sem fyrr segir breytt ákvæði 40. gr. á þann veg að ráðherra geti sett gjaldskrá sem mælir fyrir um gjald sem ábyrgðaraðili skuli greiða Persónuvernd fyrir þann kostnað sem hlýst af eftirliti með því að hann fullnægi skilyrðum laga þessara og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Með gjaldskránni er einnig heimilt að kveða á um að ábyrgðaraðili greiði kostnað við úttekt á starfsemi við undirbúning útgáfu vinnsluleyfis og annarrar afgreiðslu. Heimild til gjaldtöku vegna eftirlits hefur verið í persónuverndarlögum um áratugaskeið og er nú í 4. mgr. 37. gr. laga nr. 77/2000.
n. Samband íslenskra sveitarfélaga gerir í umsögn sinni athugasemd við 4., 10., 40. og 46. gr. Þegar hefur verið lýst breytingu sem gerð hefur verið á 3. mgr. 4. gr. um tímamark á gildissviði laganna varðandi látna einstaklinga og breytingu sem gerð hefur verið á 40. gr. um gjaldtökuheimild. Um rök fyrir vali á 13 ára aldursmarki fyrir samþykki barna í 10. gr. frumvarpsins er fjallað í skýringum við ákvæðið en starfshópurinn taldi ekki rétt að breyta því. Starfshópurinn ræddi ítarlega athugasemdir sem bárust varðandi sektarákvæði 46. gr. frumvarpsins. Í 4. mgr. 46. gr. er því lýst að heimilt sé að leggja stjórnvaldssektir bæði á einstaklinga og lögaðila, þar á meðal stjórnvöld og stofnanir sem falla undir gildissvið stjórnsýslulaga. Eins og fram kemur í skýringu við ákvæðið er ekki gerður greinarmunur á milli einkaaðila og opinberra aðila, frekar en í gildandi lögum þar sem refsiábyrgðin nær jafnt til beggja. Skv. 7. mgr. 83. gr. reglugerðarinnar er það valkvætt fyrir aðildarríki hvort þau veita heimildir í landslögum til að leggja stjórnvaldssektir á opinbera aðila. Með hliðsjón af því að stjórnvöld bera refsiábyrgð samkvæmt lögum nr. 77/2000 á sama hátt og lögaðilar eins og fyrr segir og því að önnur Norðurlönd hafa valið að nýta framangreinda heimild þykir eðlilegt að álagning stjórnvaldssekta taki líka til stjórnvalda. Þá er nauðsynlegt að hafa í huga að í mörgum tilvikum vinna stjórnvöld með umfangsmikið magn persónuupplýsinga, bæði almennra og viðkvæmra. Slíkar upplýsingar geta m.a. lotið að félagslegri stöðu, heilsufari, upplýsingum um refsiverðan verknað og kynhneigð einstaklinga. Þá getur vinnslan einnig tekið til viðkvæmra hópa á borð við börn og fatlað fólk. Að sama skapi er mikilvægt að veita sérstök varnaðaráhrif með því að heimila álagningu stjórnvaldssekta á stjórnvöld og gæta jafnræðis milli opinberra aðila og lögaðila þegar kemur að eftirfylgni við persónuverndarlöggjöfina. Þá kemur fram í skýringu við 47. gr. að þegar stjórnvaldssektir eru lagðar á aðila sem ekki eru fyrirtæki ætti að taka tillit til almenns tekjustigs og fjárhagsstöðu aðilans.
o. Í umsögn Samtaka fyrirtækja í velferðarþjónustu er varðandi einstök ákvæði vikið að 46. gr. frumvarpsins um sektarákvæði og 53. gr. um gildistöku laganna, auk þess um skírskotun til hugtaksins „stjórnvalds“ í 2. mgr. 35. gr. Þegar hefur verið fjallað um 46. gr. frumvarpsins, sem ekki hefur verið fallist á að breyta. Þá er í skýringum við ákvæði 35. gr. fjallað um það af hverju stuðst er við notkun hugtaksins „stjórnvald“ í stað „opinbert yfirvald eða stofnun“ og er því vísað til þeirrar umfjöllunar um efnið.
p. Í umsögn Steinþórs Bjarna Grímssonar er vikið að 14., 15., 38. og 40. gr. frumvarpsins. Ákvæði 14. gr. um rafræna vöktun er óbreytt frá gildandi lögum. Sama á við um 15. gr. um vinnslu upplýsinga um fjárhagsmálefni og lánstraust að því nýmæli undanskildu að vinnsla sem lýtur að gerð lánshæfismats þarf að byggjast á leyfi Persónuverndar. Áður hefur verið lýst breytingu sem gerð hefur verið á 40. gr. frumvarpsins um gjaldtökuheimild.
q. Sveitarstjórn Hrunamannahrepps tekur undir umsögn Sambands íslenskra sveitarfélaga en ekki er vikið að einstökum ákvæðum að öðru leyti.
r. Í umsögn tollstjóra er einnig vikið að 46. og 47. gr. um stjórnvaldssektir. Er bent á vankanta við þá framkvæmd að ríkisstofnun leggi stjórnvaldssekt á aðra ríkisstofnun og að sektirnar renni í ríkissjóð. Annarra leiða megi leita til að stuðla að reglufylgni stofnana. Þá þykir ekki fyllilega ljóst hvort heimilt verði að leggja sektir á starfsmenn ábyrgðaraðila og vinnsluaðila. Sjónarmið starfshópsins um 46. gr. og gildissvið hennar hafa þegar verið rakin. Leitast hefur hins vegar verið við að skýra betur afmörkun ákvæðisins varðandi starfsmenn í skýringu við ákvæðið.
s. Þjóðskjalasafn Íslands bendir á í umsögn sinni að hin nýju persónuverndarlög þurfa að styðja betur við hlutverk skjalavistunar og skjalavörslu og leggur til að í greinargerð verði með skýrum hætti tekið fram að lögin veiti ekki heimild til að eyða skjölum úr skjalasöfnum. Einnig er bent á að til að gæta samræmis væri rétt að lög um opinber skjalasöfn verði talin upp í 5. gr. frumvarpsins. Áréttað er að mikilvægt sé að ákvæði sambærilegt 15. gr. a í núgildandi lögum verði að finna í nýjum lögum. Rétt er að geta þess að vikið er að undanþágum vegna skjalavistunar í 18. gr. frumvarpsins og ítarlega gerð grein fyrir þeim sjónarmiðum í greinargerð, en m.a. er vikið að lögum nr. 77/2014, um opinber skjalasöfn. Þá hefur starfshópurinn tekið tillit til ábendingar um 15. gr. a gildandi laga og hefur sambærilegt ákvæði verið fært í lokamálsgrein 18. gr. frumvarpsins.
t. Í sameiginlegri umsögn Samtaka atvinnulífsins, Samorku, Samtaka ferðaþjónustu, Samtaka fjármálafyrirtækja, Samtaka fyrirtækja í sjávarútvegi, Samtaka iðnaðarins, Samtaka verslunar og þjónustu og Viðskiptaráðs Íslands eru gerðar ýmsar athugasemdir. Varðandi einstök ákvæði frumvarpsins eru eftirfarandi athugasemdir helstar:
– Varðandi 2. mgr. 4. gr. er talið mikilvægt að afmarka með skýrum hætti hvaða meðferð persónuupplýsinga falli utan gildissviðs laganna og er þar vísað til undanþágu varðandi vinnslu um einkahagi eða fjölskyldu. Umrædd regla er sambærileg því sem gilt hefur til þessa samkvæmt tilskipun ESB og er tekin beint úr texta reglugerðarinnar í c-lið 2. mgr. 2. gr. Ekki er því svigrúm til að breyta út frá þessu.
– Varðandi 3. mgr. 4. gr. er lagt til að farin verði norska leiðin þar sem lögin nái ekki til látinna einstaklinga eða takmarka gildissviðið við hámark 5 ár frá andláti líkt og í Svíþjóð. Fallist hefur verið á athugasemdir þessa efnis og tímamarkið fært úr 10 árum niður í 5 ár eins og lýst var að framan.
– Þegar litið er til landfræðilegs gildissviðs laganna í 7. gr. er talið nauðsynlegt að það verði skýrt nánar. Bæði í Noregi og Danmörku hafi til að mynda verið ákvæði um vinnslu í tengslum við starfsemi ábyrgðaraðila og vinnsluaðila sem hafa staðfestu í þeim löndum. Tekið hefur verið tillit til þessarar athugasemdar og ákvæðinu breytt þannig að vísað er til staðfestu í 1. mgr. 7. gr.
– Varðandi 11. gr. er þess getið að í samanburði við þýðingu 9. gr. reglugerðarinnar sé talið óljóst hver munurinn sé á „ótvíræðu“ og „afdráttarlausu“ samþykki. Ákvæðinu hefur verið breytt til samræmis við athugasemdina þannig að aðeins er notað orðið „afdráttarlaust“ enda er hugtakið „ótvírætt“ þáttur í hugtaksskilgreiningu samþykkis, sbr. 8. tölul. 3. gr. Gerð er jafnframt athugasemd við notkun hugtaksins „viðkvæmar persónuupplýsingar“ en þegar hefur verið vikið að afstöðu starfshópsins til þeirrar hugtakanotkunar.
– Samtökin telja að gera þurfi veigamiklar breytingar á 12. gr. Fallist hefur verið á að taka út orðið „auðsjáanlegra“ á undan orðunum „vegi þyngra“ í 2. tölul. 2. mgr. 12. gr.
– Þá hefur verið lagfærð orðalagsnotkun í 3. mgr. 9. gr. varðandi hugtakanotkunina á „einkalífsrétti hins skráð“ og „grundvallarréttindi og frelsi hins skráða“ til samræmis við athugasemd samtakanna.
– Lagt er til að skýrt verði ákvæði 20. gr. svo ákvæðið sé nærri lagatexta reglugerðarinnar. Þegar kemur fram í frumvarpstexta atriðið sem bent er á og ekki er því þörf á lagfæringu.
– Samspil 22. gr. frumvarpsins og 46. gr. fjarskiptalaga er talið útiloka beina markaðssetningu til annarra en núverandi viðskiptavina og þarfnist nánari skoðunar. Rétt er að geta þess að ekki stendur til að breyta reglum um beina markaðssetningu með frumvarpinu og hefur því ákvæðinu ekki verið breytt.
– Samtökin benda á að undanþágur 30. gr. reglugerðarinnar um vinnsluskrá þurfi að endurspeglast betur í frumvarpsákvæði 26. gr. Tekið hefur verið tillit til þeirrar athugasemdar og sett inn ný málsgrein í 26. gr.
– Vikið er að 31.–33. gr. um leyfisskyldu og ráðgjöf og litið svo á að ákvæðin feli í sér viðbótarskyldur fyrir íslenska ábyrgðaraðila. Með frumvarpinu er hins vegar ekki stefnt að breytingu í þessum efnum heldur eru ákvæði um leyfisskyldu og ráðgjöf byggð á núgildandi lögum.
– Samtökin telja að leiðrétta þurfi misræmi í ákvæði 35. gr. um persónuverndarfulltrúa að því leyti að í reglugerðinni sé talað um að skyldan nái til opinberra yfirvalda og stofnana en í frumvarpinu sé skírskotað til stjórnvalda. Ekki er hér um misræmi að ræða en opinber yfirvöld og stofnanir falla í einu lagi undir hugtakið „stjórnvald“ samkvæmt ákvæðum stjórnsýslulaga eins og nánar er gerð grein fyrir í skýringu við ákvæðið.
– Varðandi 36. gr. er talin þörf á að afmarka nánar þagnarskyldu persónuverndarfulltrúans. Lagt er til að tilvísun til 36. gr. í 48. gr. frumvarpsins verði felld brott. Fallist hefur verið á að breyta 3. mgr. 48. gr. þannig að meiri sveigjanleiki verði við ákvörðun viðurlaga, þ.e. að brot gegn þagnarskyldu geti varðað sekt eða fangelsi í stað eingöngu fangelsis áður.
– Vakin er athygli á ósamræmi í 5. tölul. 43. gr. og 37. gr. þar sem fjallað er um faggilta vottunaraðila og hlutverk Persónuverndar í tengslum við faggildingu. Ósamræmi í orðalagi um verkefni Persónuverndar hefur verið lagfært í samræmi við athugasemdina.
– Gerð er athugasemd við 38. gr. um stjórn Persónuverndar og er lagt til að heildarsamtök íslenskra fyrirtækja beri ábyrgð á því að velja fulltrúa atvinnulífsins í stjórn. Ekki þykir tilefni til að breyta ákvæðinu en Skýrslutæknifélag Íslands hefur lagt til sérfræðing á sviði tölvu- og upplýsingatækni um árabil.
– Gerð er athugasemd við gjaldtökuheimild 40. gr. frumvarpsins. Ráðuneytið hefur breytt ákvæðinu eins og áður er lýst. Áréttað er að þegar er gjaldtökuheimild í gildandi lögum.
– Að mati samtakanna þarf að setja nánari reglur um málsmeðferð skv. 2. mgr. 41. gr. Fyrirhugað er að settar verði verklagsreglur og málsmeðferðarreglur um beitingu umræddra heimilda.
– Gerð er athugasemd við þagnarskylduákvæði 44. gr. og ákvæðið borið saman við 11. gr. laga um Hagstofu Íslands og opinber hagskýrslugerð, nr. 163/2007. Ekki þykir ástæða til að breyta ákvæðinu.
– Samtökin telja 45. gr. og 48. gr. um dagsektir og refsiábyrgð ganga lengra en nauðsynlegt sé til að ná settu marki. Þá fáist ekki séð hvaða rök séu fyrir því að tvöfalda hámarksfjárhæð gildandi laga um dagsektir. Einnig er gerð athugasemd við refsiramma 48. gr. Ekki þykir tilefni til að breyta ákvæðunum. Í gildandi lögum er refsirammi við brotum á persónuverndarlögum fésektir eða allt að 3 ára fangelsi. Þykir óeðlilegt að í ákvæði sem fjallar aðeins um alvarlegustu eða stórfelld brot á lögum verði ákveðið að lækka refsirammann. Þá má nefna að Þýskaland er með ákvæði um refsiábyrgð í sínum lögum auk stjórnvaldssekta. Þar er refsirammi við stórfelldum brotum einnig 3 ára fangelsi. Skírskotun til danska kerfisins á ekki við fullum fetum enda er það ólíkt því íslenska að því leyti að engar stjórnvaldssektir verða þar, aðeins sektir í refsivörslukerfinu, þ.e. öllum málum verður vísað til lögreglu. Hvað fjárhæð dagsekta varðar er ekki óeðlilegt að hún sé færð upp til verðlags enda eru liðin 18 ár frá gildistöku gildandi laga.
– Samtökin telja nauðsynlegt að nýtt sé heimild 23. gr. reglugerðarinnar til að takmarka tilkynningarskyldu skv. 34. gr. reglugerðarinnar að nokkru leyti eða öllu í þeim tilvikum sem það er talið réttmætt með tilliti til hagsmuna annarra eða hinna skráðu. Starfshópurinn metur undanþágur 17. gr. frumvarpsins nægilegar og þykir ekki tilefni til frekari breytinga.
9.4. Samráð milli fagráðuneyta.
Að ósk dómsmálaráðuneytisins tilnefndu ráðuneytin tengiliði í samráðshóp sem hafði það hlutverk að fara yfir ákvæði sérlaga um persónuvernd í því skyni að meta hvaða breytingar kynnu að vera nauðsynlegar vegna innleiðingar persónuverndarreglugerðar ESB. Fengu tengiliðir ráðuneytanna send drög að frumvarpinu í byrjun febrúar 2018 og svo aftur við birtingu þess í samráðsgáttinni. Hvert ráðuneyti bar ábyrgð á að meta hvaða breytingar væru nauðsynlegar nú þegar í frumvarpinu, en þar er einkum um að ræða tæknilegar breytingar vegna tilvísana til gildandi laga sem lagðar eru til í 54. gr. Ljóst er að endurskoðun á ákvæðum sérlaga er að öðru leyti verkefni sem þarf að huga að í fleiri áföngum á næstu misserum.
10. Mat á áhrifum.
10.1. Almennt.
Eins og fram hefur komið hefur frumvarpið það að meginmarkmiði að tryggja vernd friðhelgi einkalífs svo og að íslenskt regluverk um persónuvernd og vinnslu persónuupplýsinga verði uppfært til samræmis við þróun í Evrópu og í samræmi við alþjóðaskuldbindingar. Ávinningur fyrir samfélagið felst m.a. í því að tryggja einstaklingum aukna vernd og aukin réttindi við meðferð persónuupplýsinga þeirra til samræmis við þær meginreglur sem felast í nýju persónuverndarregluverki ESB. Við það myndist aukið traust til þeirra aðila sem vinna með persónuupplýsingar en slíkt traust er ein af nauðsynlegum forsendum til að hinn stafræni innri markaður haldi áfram að þróast og virki sem skyldi. Strangar kröfur til ábyrgðar- og vinnsluaðila um að tryggja öryggi persónuupplýsinga draga úr hættu á öryggisbrestum með tilheyrandi tjóni fyrir einstaklinga. Áherslan á aukna persónuvernd í þágu einstaklinga birtist einkum í ákvæðum sem veita þeim meiri stjórn á eigin persónuupplýsingum. Með samræmdum reglum og kerfi sem tryggir samstillta túlkun og framkvæmd er stefnt að því að fyrirbyggja að misræmi geti komið upp sem trufli flæði upplýsinga yfir landamæri og torveldi viðskipti. Ávinningur fyrir samfélagið felst því einnig í bættari stöðu fyrirtækja og jafnari samkeppnisgrundvelli á hinum stafræna innri markaði.
Hinar nýju reglur um persónuvernd munu ótvírætt hafa áhrif á samfélagið allt en ekki eingöngu sérhæfð svið í atvinnulífinu svo dæmi sé tekið. Hún stuðlar að hugarfarsbreytingu hvað varðar meðferð persónuupplýsinga, umgengni um slíkar upplýsingar og þýðingu þeirra. Þá verða allir, bæði hið opinbera og fyrirtæki stór og smá, að tileinka sér hinar nýju reglur og vinna eftir þeim til framtíðar. Af þessu er ljóst að áhrif frumvarpsins þegar það verður að lögum verða víðtæk og snerta nær öll svið samfélagsins. Við innleiðingu reglugerðarinnar má gera ráð fyrir því að nokkur kostnaður falli til hjá fyrirtækjum, hinu opinbera og öðrum aðilum sem vinna með persónuupplýsingar einstaklinga. Horft til þjóðríkja sem leitað hefur verið til við mat á kostnaðaráhrifum reglugerðarinnar virðist það nokkuð samdóma álit að afar erfitt sé að leggja áreiðanlegt mat á raunkostnaðinn. Reynslan ein muni leiða hann í ljós. Staðreyndin sé einnig sú að hluta af kostnaði við að uppfylla eldri löggjöf sé að finna við innleiðingu nýju laganna. Ein meginbreytingin með fyrirliggjandi frumvarpi og almennu persónuverndarreglugerðinni snýr að ábyrgðarskyldu en hún felur í sér að allir ábyrgðaraðilar þurfa að geta sýnt fram á, eftir atvikum með skjölum, hvernig þeir fara að löggjöfinni. Reglugerðin kynnir í því sambandi til sögunnar mörg ný atriði sem fela í sér aukna vinnu fyrir fyrirtæki, stofnanir og sveitarfélög, svo sem gerð vinnsluskrár, útfærsla og veiting réttinda til einstaklinga (t.d. að veita einstaklingi aðgang að öllum sínum persónuupplýsingum, réttur til að flytja eigin gögn), tilnefning persónuverndarfulltrúa og gerð mats á áhrifum á persónuvernd. Þetta felur í sér ákveðinn upphafskostnað fyrir alla ábyrgðaraðila.
10.2. Persónuvernd.
Persónuvernd er sú stofnun í stjórnsýslunni sem samþykkt frumvarpsins mun eðli máls samkvæmt hafa mest áhrif á, enda eru henni færð bæði umfangsmikil og ný verkefni og valdheimildir við gildistöku laganna. Síðan stofnunin tók til starfa árið 2001 hefur hún lítt stækkað, árið 2017 voru fastir starfsmenn hennar einungis sjö, en á fyrsta starfsári hennar voru þeir sex. Á sama tíma hefur málafjöldi stofnunarinnar vaxið ár frá ári og rúmlega þrefaldast frá upphafi. Þá hefur fræðslu- og kynningarstarf undanfarin tvö ár vegna undirbúnings fyrir gildistöku reglugerðarinnar verið umtalsverð viðbót við lögmælt verkefni hennar. Ljóst er að hið nýja lagaumhverfi leggur fjölmörg ný og umfangsmikil verkefni á Persónuvernd. Skapast mun verulega aukið álag í stofnuninni þar sem nauðsynlegt er að setja og fylgja eftir verklagsreglum um framkvæmd laganna og sinna ríkri upplýsinga- og leiðbeiningarskyldu sem stofnunin hefur gagnvart fyrirtækjum og stofnunum, bæði í lagalegu og tæknilegu tilliti. Í ljósi nýrra reglna um álagningu stjórnvaldssekta leggja þeir sem vinna með persónuupplýsingar eðlilega kapp á að fylgja til hlítar ákvæðum laganna og uppfylla skyldur sínar samkvæmt þeim. Hefur Persónuvernd mikilvægu hlutverki að gegna til að styðja við þá þróun á öllum sviðum samfélagsins. Þá mun þátttaka Persónuverndar í Evrópska persónuverndarráðinu auka mjög þunga í alþjóðlegu samstarfi á vegum stofnunarinnar en það kallar á meiri mannafla en nú er til staðar. Í öllum Evrópuríkjum hafa verið gerðar ráðstafanir til að efla og styrkja persónuverndarstofnanir og víðast hvar hefur starfsmönnum verið fjölgað umtalsvert til að undirbúa breytingar og takast á við aukin verkefni samkvæmt nýrri löggjöf. Skref var tekið í þá átt að auka fjárheimildir Persónuverndar á árinu 2018, þegar þær hækkuðu úr 114,2 m.kr. í 205,8 m.kr. og fékkst þá nokkurt svigrúm til að bæta við starfsmönnum, þar á meðal tveimur sérfræðingum á sviði upplýsingaöryggis, enda ljóst að eftirlits- og ráðgjafarhlutverk stofnunarinnar á því sviði mun aukast verulega samkvæmt fyrirmælum reglugerðarinnar og laganna auk þess sem ljóst er að nýjar og krefjandi áskoranir tengdar vinnslu persónuupplýsinga á borð við gríðargögn, internet allra hluta, gervigreind, sjálflærandi vélar o.fl., munu hafa mikil áhrif á verkefni stofnunarinnar um ókomin ár.
Í fyrirliggjandi fjármálaáætlun 2019–2023 sem nú er til umræðu á Alþingi er gert ráð fyrir sérgreindum framlögum til stofnunarinnar þannig að hún geti rækt hlutverk sitt við og eftir innleiðingu reglugerðarinnar og verði í stakk búin að mæta því eftirlitshlutverki sem henni er ætlað. Gert er ráð fyrir 77 m.kr. auknu framlagi til stofnunarinnar árið 2019, 75 m.kr. árið 2020, 58 m.kr. árið 2021, 57 m.kr. árið 2022 og 55 m.kr. árið 2023. Skipta má framlögunum í fjóra þætti. Í fyrsta lagi er til þess að líta að í reglugerðinni er lögð sérstök skylda á Persónuvernd að framkvæma úttektir en það kallar á stofnun eftirlitssviðs. Verkefni eftirlitssviðs er að taka út með skipulögðum hætti ýmiss konar starfsemi þar sem unnið er með persónuupplýsingar. Þar munu starfa tæknimenn, ásamt sérfræðingum, og er gert ráð fyrir að 25 m.kr. varanlegu framlagi verði varið til að styrkja eftirlitssviðið. Í öðru lagi er gert ráð fyrir styrkingu starfseminnar vegna erlends samstarfs, mats á áhrifum á persónuvernd, tilkynninga um öryggisbresti, fyrirséðrar aukningar í afgreiðslu á málum tengdum bindandi fyrirtækjareglum (BCR), vinnslu mála í tengslum við fyrirframsamráð og álagningu stjórnvaldssekta. Gert er ráð fyrir 25 m.kr. varanlegu framlagi til að styrkja þennan þátt starfseminnar. Í þriðja lagi er gert ráð fyrir 5 m.kr. varanlegu framlagi til reksturs upplýsingatæknikerfa og kynningar og fræðslustarfs. Samtals eru varanleg framlög til starfseminnar áætluð 55 m.kr. Í fjórða og síðasta lagi er gert ráð fyrir tímabundnum framlögum til endurnýjunar vefsíðu og málaskrárkerfis og kynningar- og fræðslustarfs. Gert er ráð fyrir að 27 m.kr. verði varið til þessara mála 2019, 25 m.kr. árið 2020, 3 m.kr. árið 2021 og 2 m.kr. árið 2022.
Ráðherra getur skv. 40. gr. frumvarpsins sett gjaldskrá sem mælir fyrir um gjald sem ábyrgðaraðili skal greiða Persónuvernd vegna þess kostnaðar sem hlýst af eftirliti með því að hann fullnægi skilyrðum laga þessara og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Með gjaldskránni er einnig heimilt að kveða á um að ábyrgðaraðili greiði kostnað við úttekt á starfsemi við undirbúning útgáfu vinnsluleyfis og annarrar afgreiðslu.
Gjaldtökuheimildinni er ætlað að styrkja eftirlit stofnunarinnar enn frekar. Í þeirri tæknibyltingu sem nú á sér stað í heiminum má gera ráð fyrir að í stærri málum, t.d. vegna alvarlegra öryggisbresta, sem krefjast mjög sérhæfðrar þekkingar á sviði upplýsingaöryggis þurfi að kalla inn sérfræðinga, t.d. á sviði netöryggismála. Slíkir sérfræðingar eru af mjög skornum skammti á Íslandi og því mjög ólíklegt að Persónuvernd geti haft yfir að ráða slíkum sérfræðingum, auk þess sem það væri mjög kostnaðarsamt. Tilvikabundin aðkoma slíkra sérfræðinga getur verið kostnaðarsöm fyrir stofnunina og ekki hægt að sjá fyrir í fjárheimildum hvers árs. Töluverð óvissa ríkir um umfang árlegra úttekta. Persónuvernd áætlar að þær verði þrjár til fimm og að gera megi ráð fyrir að vinna við hverja úttekt sé á bilinu 70–130 tímar. Ef gert er ráð fyrir að gjaldskrá fyrir sérfræðiþjónustu sé 18.500 kr. á klst. þýðir það að kostnaður við hverja úttekt er á bilinu 1,3–2,4 m.kr. Miðað við þrjár úttektir á ári gera það 3,9–7,2 m.kr. en 6,5–12 m.kr. verði þær fimm.
10.3. Áhrif á ríkissjóð.
Til að mæta kröfum reglugerðarinnar má almennt gera ráð fyrir því að nokkur kostnaður falli til hjá ríkisstofnunum og í annarri starfsemi á vegum ríkisins. Ársverk innan Stjórnarráðsins eru um 600 og hefur þegar verið ráðinn einn persónuverndarfulltrúi sem fulltrúi allra ráðuneytanna. Fyrirhugað er að virkja þau þannig að mynduð verði tveggja til þriggja manna teymi innan hvers ráðuneytis sem vinna munu að undirbúningi innleiðingar reglugerðarinnar innan síns ráðuneytis. Persónuverndarfulltrúinn er fjármagnaður úr gildandi fjárhagsramma allra ráðuneytanna en gert er ráð fyrir því að störf teymanna verði hluti af daglegum störfum viðkomandi sérfræðinga sem mynda teymin. Stjórnarráðið hefur þannig nýtt heimild skv. 2. mgr. 35. gr. frumvarpsins að fleiri en einu stjórnvaldi sé heimilt að skipa sameiginlegan persónuverndarfulltrúa. Gert er ráð fyrir því að fyrirliggjandi sérþekking innan Stjórnarráðsins verði nýtt til að standa undir tímabundnum verkþáttum við innleiðingu reglugerðarinnar sem vikið var að hér að framan.
Ríkisstofnanir í A-hluta eru um 160 talsins og hjá þeim störfuðu um 21.000 manns árið 2016. Ársverkin voru um 17.000. Langfjölmennasti vinnustaðurinn er Landspítalinn með um 4.000 ársverk og er vel á veg kominn að uppfylla skyldur frumvarpsins og er áætlað að tímabundinn undirbúningskostnaður spítalans við að mæta skyldum frumvarpsins, sem hvort tveggja felst í vinnu starfsmanna spítalans og aðkeyptri sérfræðiþjónustu, verði um 8,6 m.kr. Þar af eru 3,2 m.kr. vegna ráðningar persónuverndarfulltrúa og stuðnings stýrihóps við innleiðingu hans í starfið. Spítalinn fékk ekki sérstaka fjárveitingu til að mæta kostnaði við verkefnið frekar en aðrar stofnanir ríkisins. Misjafnt er hvernig aðrar stofnanir standa að innleiðingunni, allt frá því starfsmenn annist hana að mestu leyti í það að stór hluti vinnunnar er aðkeyptur.
Ríkisstofnanir eru ólíkar að eðli og uppbyggingu og mjög misjafnt er hversu mikið þær vinna með persónuupplýsingar. Ef sambærileg nálgun er notuð og hjá Stjórnarráðinu þyrfti að ráða 22 persónuverndarfulltrúa í fullt starf hjá stofnunum öðrum en Landspítalanum. Kostnaðurinn við það gæti numið ríflega 250 m.kr. Auk þess má gera ráð fyrir öðrum tilfallandi kostnaði eins og utanaðkomandi úttektum á árlegum öryggisprófunum sem gæti numið 50–80 m.kr. Erfitt er að áætla tímabundinn undirbúningskostnað við að mæta kröfum reglugerðarinnar sem að stærstum hluta lýtur að verkstjórn og kortlagningu vinnslu ríkisaðila og gerð vinnsluskráa. Gera má ráð fyrir að stærri stofnanir búi yfir nauðsynlegri sérþekkingu til að mæta honum en þær smærri þurfi á utanaðkomandi aðstoð að halda.
Í 46. gr. frumvarpsins er mælt fyrir um háar stjórnvaldssektir vegna brota á lögunum, allt að 20 milljónir evra fyrir alvarlegustu brotin (2,2 milljarðar kr.) eða 4 % af heildarveltu fyrirtækis, hvort heldur er hærra. Samkvæmt ákvæðinu er heimilt að leggja sektir á einstaklinga og lögaðila, þar á meðal stjórnvöld og stofnanir sem falla undir gildissvið stjórnsýslulaga. Ákvarðanir um stjórnvaldssektir verða teknar af stjórn Persónuverndar en sektirnar renna í ríkissjóð að frádregnum kostnaði við innheimtuna. Áður en til beitingu stjórnvaldssektar kæmi hefur Persónuvernd þann möguleika skv. 45. gr. frumvarpsins að leggja dagsektir á þann aðila sem fyrirmæli um ráðstafanir til úrbóta beinast að. Sektir geta numið allt að 200.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælunum sé fylgt. Ekki er við fyrri framkvæmd að styðjast varðandi álagningu stjórnvaldssekta og er því ógerlegt að áætla tekjur af álagningu þeirra, eins sem óljóst er á þessum tímapunkti að hvaða marki mun reyna á beitingu þeirra og hvernig ákvörðun á fjárhæð þeirra mun þróast í framkvæmd, en vænta má að Evrópuríkin setji samræmd viðmið til að styðjast við í framkvæmd.
Verði frumvarpið óbreytt að lögum má lauslega áætla að kostnaður ríkisstofnana annarra en Persónuverndar og Landspítala kunni að nema í kringum 300 m.kr. frá og með árinu 2019 sem svarar til tæplega 0,08% af hefðbundnum rekstrarframlögum A-hluta ríkissjóðs sem eru í kringum 380 ma.kr. Gert er ráð fyrir að þessum kostnaði verði fundinn staður innan útgjaldaramma viðkomandi málefnasviða og málaflokka ráðuneyta í fjárlögum sem og í fjármálaáætlun 2019–2023. Þá má nefna að í gildandi fjárlögum og fyrirliggjandi fjármálaáætlun er búið að gera ráð fyrir sérgreindum framlögum til Persónuverndar til að takast á við þau verkefni sem fylgja samþykkt þessa frumvarps en Persónuvernd er sú stofnun sem innleiðingin mun hafa mest áhrif á.
10.4. Áhrif á sveitarfélögin.
Í umsögn Sambands íslenskra sveitarfélaga um kostnað sveitarfélaganna af nýjum lögum um persónuvernd kom fram að fyrirhuguð lagasetning kalli á nýtt og bætt verklag um persónuvernd og muni hafa veruleg áhrif á alla stjórnsýslu sveitarfélaga og leiða til umtalsverðs kostnaðarauka. Fram komu áhyggjur af sektarheimildum frumvarpsins og að beiting þeirra gæti haft íþyngjandi áhrif á reksturinn sem mæta þyrfti með samdrætti í þjónustu og eftir atvikum bitna á skattborgurum. Þá væru fjölmörg atriði í frumvarpsdrögunum mjög óljós og skýrleika vanti um þau fyrirmæli sem sveitarfélög hafa hvernig standa beri að málum. Mat á kostnaði sveitarfélaga væri þannig háð mikilli óvissu og vikmörk leiki á hundruðum milljóna króna. Við gerð kostnaðarmatsins leitaði sambandið m.a. í smiðju einstakra sveitarfélaga sem lengst voru komin í undirbúningnum sem og til systurstofnana annars staðar á Norðurlöndunum. Fram kom hjá þeim öllum að afar erfitt væri að leggja mat á kostnaðinn og í reynd væri vart hægt að áætla kostnaðinn nema í ljósi reynslunnar að nokkrum tíma liðnum. Finnska sveitarfélagasambandið hafði hvað gleggsta mynd af áætluðum undirbúnings- og árlegum rekstrarkostnaði finnskra sveitarfélaga. Finnarnir gerðu ráð fyrir að undirbúningskostnaður við að mæta kröfum reglugerðarinnar samsvari 2.270 íslenskum kr. á hvern íbúa. Yfirfært á íslensk sveitarfélög væri áætlaður kostnaður samtals 768 m.kr. Árlegur rekstrarkostnaður væri áætlaður um helmingur undirbúningskostnaðar sem svarar til 384 m.kr.
Hluti kostnaðar vegna frumvarpsins væri fastur sem sveitarfélög þyrftu að taka á sig óháð stærð og af þeim sökum ætti kostnaður á hvern Íslending að vera hærri en finnsku tölurnar segðu til um. Í því ljósi lagði sambandið sjálfstætt mat á hugsanlegan kostnað sveitarfélaganna við undirbúning að nýju fyrirkomulagi persónuverndar og hins vegar árlegum rekstrarkostnaði til frambúðar. Niðurstöður matsins voru nokkuð hærri en finnska matið gaf til kynna en þar var undirbúningskostnaður áætlaður 815 m.kr. sem svarar til 0,2% af áætluðum tekjum sveitarfélaganna og varanlegur kostnaður 390 m.kr. Stærstu liðir undirbúningskostnaðarins snúa annars vegar að verkefnisstjórn og hins vegar að kortlagningu vinnslu sveitarfélaga og gerð vinnsluskráa. Kostnaður við þessa liði er áætlaður 600 m.kr., eða tæp 74% af heildarkostnaðinum. Til að mæta fyrrnefnda liðnum er gert ráð fyrir 370 m.kr. kostnaði til að standa undir 30 ársverkum verkefnisstjóra sem stjórni undirbúningi sveitarfélaganna að nýjum lögum. Til hins síðarnefnda er gert ráð fyrir að verja þurfi 230 m.kr. Við matið er gengið út frá tölum meðalstórs sveitarfélags og gefnar forsendur um fjölda tíma sem minni og stærri sveitarfélög gætu þurft að kaupa. Matið er frá 50 klst. hjá minnstu sveitarfélögunum upp í 300-500 klukkustundir hjá þeim stærstu. Í heild er reiknað með að þessi verkþáttur krefjist 8,5 þús. klst. í aðkeyptri sérfræðivinnu og að tímagjald sé 20 þús. kr. án virðisaukaskatts, en til viðbótar er reiknað með ferðakostnaði og kostnaði vegna ferðatíma. Að auki er reiknað með vinnu fastra starfsmanna og gert ráð fyrir að fyrir hverja klukkustund sérfræðings inni fastir starfsmenn af hendi tvær. Aðrir þættir matsins snúa að fræðslu og þjálfun, endurskoðun ferla og gerð skjala, innleiðingu öryggiskerfa persónuverndar, gerð nýrra samninga við vinnsluaðila, úttektum til að sannreyna hlítingu og áætluðum gjöldum til Persónuverndar. Til þessara mála er gert ráð fyrir að verja 215 m.kr.
Sambandið áætlar að varanlegur árlegur rekstrarkostnaður verði 390 m.kr. og liggi á bilinu 325 m.kr. til 470 m.kr. með 20% óvissu til beggja handa. Fyrstu 1–2 árin sé viðbúið að kostnaðurinn verði enn meiri eða allt að 480 m.kr. Það felist m.a. í því að gert er ráð fyrir að bæta þurfi við allt að ½ stöðugildi fyrir hvert embætti persónuverndarfulltrúa fyrstu 1–2 árin. Gert er ráð fyrir því að persónuverndarfulltrúar sveitarfélaganna verði 14 talsins, fjórir í Reykjavík, einn í Kópavogi, Hafnarfirði, Garðabæ og síðan einn í hverjum hinna sjö landshlutanna og áætlaður kostnaður við þá verði 230 m.kr., eða tæp 59% af heildarkostnaðinum. Þá er gert ráð fyrir að 100 m.kr. sé varið í árgjöld vegna samninga um hugbúnað og 50 m.kr. í árlegar öryggisprófanir og í eftirlitsgjöld til Persónuverndar.
Ráðuneytið rengir ekki niðurstöður kostnaðarmats sambandsins miðað við þær forsendur sem það leggur til grundvallar. Ljóst er þó að sambandið beitir annarri nálgun en ráðuneytið við mat á kostnaðaráhrifum frumvarpsins. Vakin er athygli á því að ekki er um verkaskiptingarmál ríkis og sveitarfélaga að ræða, en innleiðing nýrrar persónuverndarlöggjafar snýr að almennri löggjöf sem gildir um alla aðila í samfélaginu þar sem ekki eru gerðar sérstakar kröfur til sveitarfélaga umfram aðra, hvort sem það eru ríki eða atvinnulíf.
10.5. Áhrif á atvinnulífið.
Í sameiginlegri umsögn Samtaka atvinnulífsins, Samtaka iðnaðarins, Samtaka ferðaþjónustu, Samtaka fjármálafyrirtækja, SVÞ – Samtaka verslunar og þjónustu, Samorku, Samtaka fyrirtækja í sjávarútvegi ásamt Viðskiptaráði Íslands, sem dagsett er 23. mars 2018 er ekki að finna umsögn er lýtur sérstaklega að kostnaðaráhrifum frumvarpsins á atvinnulífið.
Í nágrannaríkjunum byggist mat á áhrifum persónuverndarreglugerðarinnar á atvinnulífið á umsögnum frá samtökum atvinnulífs og öðrum samtökum innan þeirra vébanda. Eins og áður hefur komið fram virðist það nokkuð samdóma álit þeirra að afar erfitt sé að leggja áreiðanlegt mat á raunkostnað til að mæta áhrifum reglugerðarinnar og reynslan ein muni leiða hann í ljós. Staðreyndin sé einnig sú að hluta af kostnaði við að uppfylla eldri löggjöf sé að finna í innleiðingu nýju laganna. Þá sé kostnaður við innleiðingu reglugerðarinnar ekki hár þegar hvort tveggja er horft til þeirra hagsmuna sem í húfi eru fyrir fyrirtæki að uppfylla ákvæði nýju laganna og þess að hluta af skyldum eldri löggjafar er að finna í nýju löggjöfinni. Engu að síður er um mjög viðamikla breytingu að ræða sem er allt önnur að uppbyggingu en fyrri lög kveða á um og þurfi því að njóta forgangs. Fyrir fyrirtæki sem starfa í fleiri ríkjum innan Evrópska efnahagssvæðisins ætti reglugerðin að hafa jákvæð áhrif í formi þess að sama regluverk gildir innan alls efnahagssvæðisins. Þá tryggi regluverkið samstillta túlkun og framkvæmd sem fyrirbyggi að misræmi geti komið upp sem trufli flæði upplýsinga yfir landamæri og torveldi viðskipti. Það bæti stöðu fyrirtækja og jafni samkeppnisgrundvöll á hinum stafræna innri markaði. Það eigi ekki síst við um fyrirtæki sem byggi kjarnastarfsemi sína á meðhöndlun persónuupplýsinga.
Um einstakar greinar frumvarpsins.
Um 1. gr.
Í 2. mgr. sem er efnislega samhljóða 2. mgr. 1. gr. núgildandi laga er því lýst yfir að sérstök stofnun, Persónuvernd, annist eftirlit með framkvæmd persónuverndarlöggjafarinnar og gildir það jafnt um ákvæði reglugerðarinnar, sérreglur sem lagt er til að verði fest í lög samkvæmt frumvarpinu svo og reglur sem settar verða samkvæmt þeim, sbr. nánar ákvæði VII. kafla. Þá er þess jafnframt getið að evrópsk eftirlitsstofnun samkvæmt reglugerðinni sé Evrópska persónuverndarráðið, sem sett er á fót með henni og starfar samkvæmt ákvæðum VII. kafla hennar. Hér vísast til reglugerðarinnar en ekki er þörf á að setja sérákvæði í frumvarpinu um verkefni og valdheimildir persónuverndarráðsins. Samhengis vegna þykir þó rétt að geta hér stöðu ráðsins sem eftirlitsstofnunar á Evrópska efnahagssvæðinu. Sambærilega tilvísun til þess hvaða evrópsku eftirlitsstofnanir starfa samkvæmt reglugerðum sem innleiddar eru með lögum má t.d. finna í 2. gr. laga um evrópskt eftirlitskerfi á fjármálamarkaði, nr. 24/2017.
Um 2. gr.
Sjá reglugerðina og drög að ákvörðun sameiginlegu EES-nefndarinnar í fylgiskjölum.
Um 3. gr.
Skilgreiningar sem eru settar fram í þessu frumvarpsákvæði lúta þannig að helstu lykilhugtökum og verða túlkaðar rúmt í samræmi við markmið laganna að vernda réttindi einstaklinga. Þær eru samhljóða samsvarandi skilgreiningum í reglugerðinni en mikilvægt er að fullt samræmi sé þar á milli. Auk þess er að finna í þessu ákvæði hugtök sem fjallað er um í sérreglum frumvarpsins, svo sem um rafræna vöktun. Flest þeirra hugtaka sem fjallað er um í 3. gr. frumvarpsins eru efnislega óbreytt frá 2. gr. núgildandi laga nr. 77/2000 og 2. gr. tilskipunar ESB frá 1995. Sum hafa þó breyst og ný hafa bæst við. Í skýringum við hvern og einn tölulið hér á eftir verður gerð grein fyrir megininntaki hvers hugtaks en jafnframt er gerð grein fyrir helstu breytingum og nýmælum frá núgildandi lögum og ESB-tilskipuninni.
1. Reglugerðin. Hér er átt við ESB-reglugerðina sem frumvarpið stefnir að því að lögfesta og allvíða er vísað til í frumvarpinu.
2. Persónuupplýsingar. Hugtakið persónuupplýsingar er víðfeðmt og tekur til allra upplýsinga, álita og umsagna sem beint eða óbeint má tengja tilteknum einstaklingi, þ.e. upplýsingar sem eru persónugreindar eða persónugreinanlegar. Skilgreining frumvarpsins er samhljóða 1. tölul. 4. gr. reglugerðarinnar. Í núgildandi lögum byggist skilgreiningin á a-lið 2. gr. tilskipunarinnar, að því viðbættu að skilgreining laganna er einnig látin ná til persónuupplýsinga látinna manna, sem tilskipunin tók ekki til. Frumvarpið ráðgerir breytingar á þessu, sem nánar verður lýst hér á eftir.
Líkt og tilskipunin gerir reglugerðin ráð fyrir því að persónuupplýsingahugtakið nái aðeins til upplýsinga um einstaklinga en hvorki til stofnana, fyrirtækja né annarra lögpersóna. Í því sambandi má einnig benda á 14. lið formála reglugerðarinnar sem tilgreinir sérstaklega að hún nái ekki yfir vinnslu upplýsinga er varða lögaðila, einkum fyrirtæki sem stofnuð eru sem lögaðilar, þ.m.t. upplýsinga um heiti lögaðila, rekstrarform hans og samskiptaupplýsingar.
Það útilokar þó ekki að í lögum séu sérreglur sem veita fyrirtækjum betri vernd, en dæmi þess má sjá í 15. gr. frumvarpsins þar sem fjallað er um réttindi lögaðila í tengslum við vinnslu fjárhagsupplýsingastofa á upplýsingum um fjárhagsmálefni og lánstraust í því skyni að miðla þeim til annarra. Með hinum skráða í skilningi frumvarpsgreinarinnar er átt við þann einstakling sem upplýsingarnar fjalla um. Hugtakið á við þótt ekki sé um eiginlega skrá í hefðbundnum skilningi að ræða ef upplýsingum hefur verið safnað saman og þær varðveittar, en nánar verður fjallað um skrárhugtakið undir 5. tölul. ákvæðisins.
Samkvæmt 27. lið formála reglugerðarinnar á hún ekki við um persónuupplýsingar látinna einstaklinga, en jafnframt er tekið fram að aðildarríkjum sé heimilt að setja reglur um vinnslu slíkra persónuupplýsinga. Sú leið er farin í frumvarpi þessu að hafa skilgreiningar að öllu leyti eins, og því fellur niður tilvísun til látinna einstaklinga sem er að finna í núgildandi lögum. Í framkvæmd laganna hefur lítt reynt á álitamál um vinnslu persónuupplýsinga um látna menn.
Eins og fram kom í skýringum með skilgreiningu núgildandi laga voru upplýsingar um látna einstaklinga einkum taldar falla undir verndarsvið laganna ef þær tengdust lifandi einstaklingum, svo sem upplýsingar um arfgenga sjúkdóma. Í raun er þá komið inn á svið persónuupplýsinga þessara lifandi einstaklinga, sem falla þá hvort eð er undir skilgreiningu 2. tölul. 3. gr. frumvarpsins. Þessi ályktun fær m.a. stoð í dómi Hæstaréttar frá 27. nóvember 2003 í máli nr. 151/2003 þar sem fjallað var um flutning persónuupplýsinga úr sjúkraskrám í gagnagrunn á heilbrigðissviði samkvæmt lögum nr. 139/1998. Stefnandi málsins byggði aðild sína á því að hún ætti persónulegra hagsmuna að gæta af því að upplýsingar úr sjúkraskrám föður hennar sem var látinn yrðu ekki fluttar í gagnagrunninn, þar sem ráða mætti af slíkum upplýsingum atriði varðandi arfgenga eiginleika föðurins, sem einnig gætu átt við um hana. Féllst dómurinn á að vegna friðhelgi einkalífs síns hefði hún hagsmuni af því að koma í veg fyrir að upplýsingar af þessum toga um föður hennar yrðu fluttar í gagnagrunninn og þar með rétt til að hafa uppi þær dómkröfur sem hún gerði í málinu. Í stað þess að skilgreining frumvarpsins á persónuupplýsingum nái til látinna manna gerir frumvarpið ráð fyrir því að gildissvið laganna geti náð til vinnslu persónuupplýsinga um látna einstaklinga í 5 ár frá andláti þeirra og lengur í ákveðnum tilvikum. Verður nánar vikið að þeirri reglu í skýringum með 4. gr. frumvarpsins um efnislegt gildissvið laganna.
Kjarni persónuupplýsingahugtaksins lýtur að því að upplýsingar megi rekja til einstaklings, beint eða óbeint. Til þess að upplýsingar séu persónugreinanlegar (rekjanlegar) skal tekið mið af öllum aðferðum sem eðlilegt er að hugsa sér að ábyrgðaraðili eða annar aðili beiti til að bera kennsl á viðkomandi einstakling. Skilgreining reglugerðarinnar bætir nokkrum fleiri dæmum við þau sem talin voru upp í tilskipuninni um það hvenær einstaklingur er persónugreinanlegur og er þar meðal annars tekið mið af tækniþróun undanfarna áratugi. Þar er nú, auk fyrri atriða sem talin voru upp í tilskipuninni, vísað til auðkenna eins og staðsetningargagna, netauðkenna og erfðafræðilegra þátta.
Í 26. lið formála reglugerðarinnar er nánar lýst inntaki persónuupplýsingahugtaksins og frekari dæmi tekin. Samkvæmt því skulu meginreglur um vernd ekki gilda um upplýsingar sem hafa verið aftengdar einstaklingum þannig að ekki sé lengur unnt að persónugreina hina skráðu. Persónuupplýsingar sem hafa verið færðar undir svokölluð gerviauðkenni (e. pseudonymisation), sem kann þó að vera hægt að rekja til einstaklings með notkun viðbótarupplýsinga, skulu teljast upplýsingar um persónugreinanlegan einstakling. Sambærileg sjónarmið gilda um persónuupplýsingar sem hafa verið dulkóðaðar en ef dulkóðunarlykli hefur ekki verið eytt teljast þær til persónuupplýsinga.
Til þess að ákvarða hvort einstaklingur sé persónugreinanlegur ætti að taka mið af öllum þeim aðferðum sem ástæða er til að ætla að annaðhvort ábyrgðaraðili eða annar aðili geti beitt til að bera kennsl á viðkomandi einstakling með beinum eða óbeinum hætti. Til að ganga úr skugga um hvort fremur líklegt megi telja að aðferðum verði beitt til að bera kennsl á einstakling ætti að taka tillit til allra hlutlægra þátta, svo sem kostnaðar við það og þess tíma sem það tæki, að teknu tilliti til þeirrar tækni sem fyrir hendi er þegar vinnslan fer fram og til tækniþróunar. Meginreglur um persónuvernd ættu því ekki að eiga við um nafnlausar upplýsingar, þ.e. upplýsingar sem tengjast ekki persónugreindum eða persónugreinanlegum einstaklingi, eða persónuupplýsingar sem hafa verið aftengdar persónuauðkennum þannig að ekki er lengur unnt að persónugreina hinn skráða. Skilgreiningin nær því ekki til vinnslu slíkra nafnlausra upplýsinga, svo sem í tölfræðilegum tilgangi eða vegna rannsókna.
Þá er þess getið í 30. lið formála reglugerðarinnar að m.a. ýmis tæki og tól og forrit sem einstaklingar nota geti tengt netauðkenni við þá. Þar eru nefnd í dæmaskyni IP-tölur (e. internet protocol addresses), vefkökuauðkenni (e. cookie identifiers) og fjarskiptatíðniauðkenningar. Kemur fram að fyrir tilstilli slíkra auðkenna geta orðið eftir spor sem hægt er að nota til að útbúa persónusnið um einstaklinga og bera kennsl á þá, einkum þegar sporunum er bætt við einkvæm auðkenni og aðrar upplýsingar sem berast netþjónum.
3. Viðkvæmar persónuupplýsingar. Í þessu ákvæði eru taldar upp persónuupplýsingar sem fjallað er um í 1. mgr. 9. gr. reglugerðarinnar undir heitinu sérstakir flokkar persónuupplýsinga. Þessar persónuupplýsingar eru háðar sérstökum skilyrðum og útgangspunkturinn er að vinnsla þeirra sé óheimil nema að einhverjum þessara skilyrða uppfylltum en þau ganga lengra en skilyrði fyrir vinnslu annarra persónuupplýsinga. Þessi skilyrði eru rakin í 11. gr. frumvarpsins og 2.–4. mgr. 9. gr. reglugerðarinnar og verður nánar vikið að þeim í skýringum á því frumvarpsákvæði. Ákvæðið svarar að mestu til skilgreiningar í 8. tölul. 2. gr. núgildandi laga en þó eru nokkrar breytingar gerðar á. Annars vegar bætast hér við ný atriði sem talin eru í 1. mgr. 9. gr. reglugerðarinnar en það eru erfðafræðilegar upplýsingar og lífkennaupplýsingar í því skyni að persónugreina einstakling með einkvæmum hætti. Í gildandi lögum hafa þessir þættir verið taldir falla undir upplýsingar um heilsuhagi. Hins vegar verður sú breyting að upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað teljast ekki lengur til viðkvæmra upplýsinga og er það í samræmi við upptalningu 1. mgr. 9. gr. reglugerðarinnar. Hins vegar gilda ákveðnar reglur um vinnslu persónuupplýsinga sem varða sakfellingar í refsimálum og refsiverð brot skv. 10. gr. reglugerðarinnar sem verður nánar fjallað um í 12. gr. frumvarpsins.
Ýmis atriði sem talin eru upp í ákvæðinu eru skilgreind sérstaklega í 4. gr. reglugerðarinnar. Skv. 13. tölul. þess ákvæðis eru „erfðafræðilegar upplýsingar“ persónuupplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings sem gefa einkvæmar upplýsingar um lífeðlisfræði eða heilbrigði einstaklingsins og fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi. Í 14. tölul. segir að með „lífkennaupplýsingum“ sé átt við persónuupplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstaklings og gera það kleift að greina eða staðfesta deili á einstaklingi með ótvíræðum hætti, svo sem andlitsmyndir eða gögn um fingraför. Þá er hugtakið „heilsufarsupplýsingar“ skilgreint í 15. tölul. sem persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og sem gefa upplýsingar um heilsufar. Er þannig ljóst að undir heilsufarsupplýsingar falla atriði sem í núgildandi lögum eru talin í dæmaskyni um það sem falli undir hugtakið „heilsuhagir“, þ.e. lyfja-, áfengis- og vímuefnanotkun.
Ákvæðið skýrir hvað teljast vera viðkvæmar persónuupplýsingar og hefur það fyrst og fremst þýðingu við afmörkun á því hvenær hin sérstöku skilyrði þurfa að vera uppfyllt fyrir vinnslu persónuupplýsinga. Í formála reglugerðarinnar er vikið nánar að markmiðum sérstakrar verndar og hvernig skuli skýra einstök atriði í þessari talningu. Skv. 51. lið eiga persónuupplýsingar, sem eru í eðli sínu sérlega viðkvæmar að því er varðar grundvallarréttindi og mannfrelsi, að njóta sérstakrar verndar þar sem vinnsla þeirra gæti haft í för með sér umtalsverða áhættu fyrir grundvallarréttindi og mannfrelsi. Til þessara persónuupplýsinga teljist m.a. upplýsingar um kynþátt og þjóðernislegan uppruna, en ekki beri að skilja notkun hugtaksins „kynþáttur“ sem viðurkenningu á kenningum sem reyna að sanna tilvist mismunandi kynþátta manna. Einnig er tekið fram að ekki ætti kerfisbundið að telja vinnslu ljósmynda til vinnslu sérstakra flokka persónuupplýsinga þar sem þær falla eingöngu undir skilgreiningu á lífkennaupplýsingum þegar vinnsla þeirra fer fram með sérstakri tæknilegri aðferð sem gerir kleift að greina eða staðfesta deili á einstaklingi með ótvíræðum hætti.
Ljóst er að oft geta aðrar upplýsingar en þær sem hér eru taldar upp verið viðkvæmar fyrir hlutaðeigandi. Í framkvæmd verður að taka tillit til slíks, jafnvel þótt ekki sé um að ræða upplýsingar sem teljast viðkvæmar samkvæmt upptalningu þessa ákvæðis.
4. Vinnsla. Orðið vinnsla er eitt af lykilhugtökum regluverksins um persónuvernd og ber að túlka rúmt. Með því er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.
Í skilgreiningu ákvæðisins á vinnslu er tekið beint upp orðalag 2. tölul. 4. gr. reglugerðarinnar. Efnislega er um að ræða sömu skilgreininguna og fram kemur í 1. mgr. 3. gr. tilskipunarinnar og 2. tölul. 2. gr. núgildandi laga. Reglugerðin telur þó upp fleiri tilvik í dæmaskyni sem fallið geta undir vinnslu án þess að um tæmandi talningu sé að ræða.
Rétt er að taka fram að hingað til hafa orðin „automatic processing“ í tilskipuninni, sbr. ámóta orðalag í reglugerðinni, „automated processing“, verið þýdd í íslenskum lagatexta sem „rafræn vinnsla“. Var þar m.a. fylgt danskri fyrirmynd en í núgildandi dönskum lögum um persónuvernd frá árinu 2000 er notast við orðin „elektronisk databehandling“. Hér er hins vegar leitast við að fara sem næst orðunum „automated processing“ með því að notast við orðalagið „sjálfvirk vinnsla“. Með því er átt við vélknúna/rafræna vinnslu og er ekki stefnt að neinni efnisbreytingu frá því sem er í gildandi lögum þótt þýðingu umrædds orðalags að þessu leyti sé nú breytt. Þar sem minnst er á sjálfvirka vinnslu er í samræmi við þetta átt við það sama og fram að þessu hefur verið nefnt rafræn vinnsla. Þess má geta að í 1. gr. danska lagafrumvarpsins til nýrra persónuverndarlaga sem nú er til meðferðar á danska þinginu hefur orðalagi verið breytt með sama hætti og í frumvarpi þessu, þ.e. úr „elektronisk databehandling“ í „automatisk databehandling“. Í skýringum með því frumvarpsákvæði segir að merking þessara orða sé að öllu leyti hliðstæð. Þá má geta þess að í núgildandi lögum eru orðin „meðferð“ og „vinnsla“ notuð jöfnum höndum sem þýðing á hugtakinu „processing“ og merking þeirra er hin sama. Það sama gildir þegar orðið kemur fyrir í frumvarpi þessu, þótt megináhersla sé hér á að nota orðið „vinnsla“ eins og m.a. sést af heiti frumvarpsins sem vísar til persónuverndar og vinnslu persónuupplýsinga gagnstætt því sem á við um heiti núgildandi laga sem vísar til meðferðar slíkra upplýsinga.
Sem fyrr segir er vinnsluhugtakið vítt og tekur til hvers konar meðferðar á persónuupplýsingum, óháð þeirri aðferð sem notuð er og óháð því hvort gagnagrunnur er miðlægur eða dreifður. Af því er m.a. ljóst að handvirk vinnsla persónuupplýsinga fellur undir gildissviðið þegar þær eru eða eiga að verða hluti af skrá eins og nánar er lýst í 4. gr. sem fjallar um efnislegt gildissvið. Þegar um annars konar vinnslu er að ræða er hins vegar ekki lögð áhersla á skrár og skráningu, enda er skráning aðeins ein tegund vinnslu. Með vinnslu er t.d. átt við söfnun og skráningu og þar undir fellur m.a. rafræn vöktun, flokkun, varðveisla, breyting, leit, miðlun, samtenging eða hver sú aðferð sem nota má til að gera upplýsingar tiltækar. Sama á við um lokun og eyðingu upplýsinga. Í reglugerðinni bættist við orðið „kerfisbinding“ (e. structuring).
5. Skrá. Hér er átt við gagnasafn eða upptalningu þar sem persónuupplýsingum er komið fyrir á þann hátt að þar má finna upplýsingar um einstaka menn. Ákvæðið á við hvort sem upplýsingar eru miðlægar eða dreifðar. Nánar er fjallað um hugtakið í athugasemdum við 4. gr. frumvarpsins um efnislegt gildissvið ákvæða laganna og reglugerðarinnar. Orðið „skrá“ hefur unnið sér hefð í íslensku lagamáli á sviði persónuverndar sem þýðing á hugtakinu „filing system“ í ESB-tilskipuninni og reglugerðinni. Í íslenskri þýðingu reglugerðarinnar er hins vegar notað orðið „skráningarkerfi“. Það byggist á framkvæmd Þýðingamiðstöðvar utanríkisráðuneytisins sem hefur einnig við þýðingu á ESB-gerðum notað orðið skráningarkerfi í alls óskyldu samhengi, t.d. sem þýðing á „system of registries“ sem starfrækja skal samkvæmt ESB-gerðum um loftslagsmál, sbr. lög nr. 70/2012. Til að fyrirbyggja óvissu um þetta lykilhugtak í persónuvernd er í frumvarpinu áfram notað orðið „skrá“ og er þar ótvírætt átt við sama hugtak og fram kemur í 6. tölul. 4. gr. reglugerðarinnar.
6. Ábyrgðaraðili. Ákvæðið er samhljóða fyrri málslið skilgreiningar 4. tölul. 4. gr. reglugerðarinnar sem er efnislega hliðstæð d-lið 2. gr. tilskipunarinnar og 4. tölul. 2. gr. núgildandi laga. Seinni málsliður reglugerðarákvæðisins tilgreinir einnig að sé tilgangur og aðferðir við slíka vinnslu ákveðin í lögum sambandsins eða aðildarríkis sé heimilt að tilgreina þar ábyrgðaraðila eða sérstakar viðmiðanir fyrir tilnefningu hans. Ábyrgðaraðili er sá sem hefur ákvörðunarvald um vinnslu persónuupplýsinga, aðferð við vinnsluna, tilganginn með vinnslu þeirra og hvað sá hugbúnaður sem notaður er á að gera, svo og um að aðra ráðstöfun upplýsinganna.
Jafnvel þótt slíkur aðili feli öðrum meðferð upplýsinganna ber hann ábyrgðina, svo fremi sem hann hafi áfram ákvörðunarvaldið. Sá sem vinnur með upplýsingarnar á vegum ábyrgðaraðila er hins vegar nefndur vinnsluaðili eins og fjallað er um í næsta tölulið þessa frumvarpsákvæðis. Skilyrði þess að geta talist ábyrgðaraðili er að hafa aðildarhæfi og að geta svarað til saka vegna tiltekinnar vinnslu persónuupplýsinga fyrir dómstólum, ef svo ber undir. Bæði einstaklingar og lögpersónur geta haft aðildarhæfi í þeim skilningi sem hér er vísað til. Hópur getur ekki haft aðildarhæfi nema um sé að ræða einhvers konar samtök eða félagsskap, en krafan um aðildarhæfi er m.a. byggð á því að nauðsynlegt getur verið að leita réttarúrræða til að fullnægja kröfum gagnvart ábyrgðaraðila. Tilgangur með vinnslu persónuupplýsinga kann að vera skilgreindur í sérlögum og þar afmarkað nákvæmlega hvað megi gera við þær. Að því marki sem slík lög gera það hins vegar ekki fer um það samkvæmt frumvarpi þessu. Ábyrgðaraðili getur í mörgum tilvikum verið lögaðili, enda tekur frumvarpið til vinnslu af hálfu atvinnurekenda, fyrirtækja, félaga, stofnana og opinberra aðila. Risið geta vafatilvik um hver sé persónulega ábyrgur í slíkum tilvikum, en benda má á að verði ábyrgðaraðili gjaldþrota telst þrotabú hans vera ábyrgðaraðili. Þá kemur fram í 26. gr. reglugerðarinnar að ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslunnar og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar. Þeim ber á gagnsæjan hátt að ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar en nánari skilyrði þar um eru talin upp í reglugerðarákvæðinu. Nánari reglur um ábyrgð og skyldur ábyrgðaraðila er að finna í 23. og 24. gr. frumvarpsins.
7. Vinnsluaðili. Hugtakið er óbreytt frá gildandi lögum, sbr. 5. tölul. 2. gr. þeirra laga og e-lið 2. gr. tilskipunarinnar og samhljóða skilgreiningu 8. tölul. 4. gr. reglugerðarinnar. Vinnsluaðili er sá sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila og er í 25. gr. frumvarpsins að finna almennar reglur varðandi þær kröfur sem hann þarf að uppfylla svo og reglur um gerð vinnslusamninga. Vinnsluaðili getur t.d. verið aðili sem sér um að þróa upplýsingakerfi eða gera við og viðhalda tölvuhugbúnaði, enda sér slíkur aðili oft jafnframt um að varðveita upplýsingarnar eða hefur með öðrum hætti aðgang að þeim. Skilyrði er að vinnslan fari fram fyrir hönd ábyrgðaraðila og byggist á ósk eða fyrirmælum hans.
8. Samþykki skráðs einstaklings. Skilgreining ákvæðisins á samþykki er samhljóða 11. tölul. 4. gr. reglugerðarinnar. Nokkrar orðalagsbreytingar eru gerðar frá h-lið 2. gr. tilskipunarinnar og 7. tölul. 2. gr. núgildandi laga. Þær miða að því að setja fram strangari kröfur til þess að hinn skráði hafi veitt ótvírætt og afdráttarlaust samþykki sitt, þar sem krafa er gerð um samþykki hins skráða fyrir vinnslu persónuupplýsinga. Þannig bætist við að slík viljayfirlýsing skuli vera „ótvíræð“ og birtast í „yfirlýsingu eða ótvíræðri staðfestingu hans“. Í núgildandi lögum er skilgreiningin ítarlegri en ákvæði tilskipunarinnar og tekið fram að um ræði yfirlýsingu hins skráða um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv. Þá er rétt að hafa í huga að eftir því sem persónuupplýsingar eru viðkvæmari, þeim mun ríkari kröfur eru gerðar til þess að samþykki teljist ótvírætt.
Samþykkishugtak reglugerðarinnar og frumvarpsins nær til allra þessara atriða og verður að skoðast í ljósi nýrrar sérreglu um skilyrði fyrir samþykki sem lýst er í 10. gr. frumvarpsins og 7. gr. reglugerðarinnar. Í þessum ákvæðum endurspeglast eitt af meginmarkmiðum reglugerðarinnar, þ.e. að auka vernd einstaklinga með setningu strangari skilyrða fyrir því að hin skráði teljist hafa gefið samþykki sitt. Þannig er fyrirtækjum skylt að setja beiðni um samþykki fram á þann hátt að hún sé auðgreinanleg frá öðrum málefnum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli. Þá er lýst rétti hins skráða til að draga samþykki sitt til baka hvenær sem er og settar fram viðmiðunarreglur um mat á því hvort samþykki sé gefið af fúsum og frjálsum vilja.
Um þetta gildir því sem fyrr sú grundvallarregla að þögn verður ekki talin jafngilda samþykki. Þá verður samþykkið að vera „upplýst“ en með því er átt við að hinn skráði viti hvað hann er að samþykkja og hvaða afleiðingar meðferð upplýsinganna hefur eða getur haft fyrir hann. Loks þarf samþykkið að vera persónubundið en í því felst að enginn getur gefið samþykki fyrir annars hönd nema hafa til þess sérstaka heimild. Samkvæmt þessu mundi t.d. samþykki forsvarsmanna tiltekinna samtaka fyrir hönd allra félagsmanna almennt ekki vera talið gilt nema mjög sérstaklega stæði á, svo sem ef telja mætti inngöngu í slík samtök jafngilda samþykki. Þá mundi almennt verða litið svo á að samþykki lögráðamanns þurfi fyrir hönd ólögráða einstaklings. Sérreglu um þetta er þó að finna í 5. mgr. 10. gr. frumvarpsins þess efnis að þegar barni er boðin þjónusta í upplýsingasamfélaginu með beinum hætti og vinnsla persónuupplýsinga byggist á samþykki þess teljist vinnslan því aðeins lögmæt ef barnið hefur náð 13 ára aldri. Sé barnið undir 13 ára aldri telst vinnslan því aðeins lögmæt að því marki sem forsjáraðili þess heimilar samþykki. Nánar verður fjallað um þessi nýmæli tengd samþykki barna í skýringum við 10. gr. frumvarpsins.
9. Rafræn vöktun. Hér er byggt á sömu skilgreiningu og fram kemur í 6. tölul. 2. gr. núgildandi laga, en með lögum nr. 46/2003 voru ákvæði laga nr. 77/2000 um efnið endurskoðuð og rafræn vöktun skilgreind með nákvæmari hætti. Skýringar hér á eftir eru því að hluta árétting á þeim skýringum sem birtust með lögum nr. 46/2003. Með rafrænni vöktun er bæði átt við sjónvarpsvöktun og aðra rafræna vöktun. Undir hugtakið fellur öll rafræn upptaka mynda og hljóða, hvort sem upptökur eru varðveittar á stafrænu formi eða ekki. Hugtakið nær hins vegar ekki til allrar vöktunar, t.d. ekki þeirrar þegar hljóð eða mynd er aðeins flutt í hátalara eða á skjá en ekki varðveitt. Engu síður gilda um slíka vöktun sérstakar reglur. Samkvæmt ákvæðinu tekur hugtakið rafræn vöktun í fyrsta lagi til vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga. Til dæmis er hér átt við það þegar myndefni er safnað með aðferðum sem gera kleift að finna upplýsingar um tiltekna einstaklinga með skjótvirkum hætti. Það gæti átt við ef skráð er með kerfisbundnum hætti hvar í myndbandasafni sé að finna myndir af tilteknum einstaklingum. Með þessu er einnig átt við vöktun, sem í eðli sínu getur leitt til vinnslu persónuupplýsinga, t.d. þegar myndefni er safnað með stafrænni aðferð. Til þess að skýra þann mun sem er á sjónvarpsvöktun og annarri rafrænni vöktun má nefna það dæmi, að maður setji upp vefmyndavél og birti það sem ber fyrir linsu vélarinnar beint á vefsíðu án þess að safna myndefninu, en slíkt er dæmi um sjónvarpsvöktun. Ef einhver annar hleður hins vegar slíku myndefni á geymslumiðil, t.d. tölvudisk, getur hann talist hafa framkvæmt vinnslu persónuupplýsinga. Slíkt hlýtur þó að velta á atvikum hverju sinni, einkum því hvort unnt sé að bera kennsl á þá sem birtast á myndunum. Til rafrænnar vöktunar telst einnig tölvupóstsvöktun sem fer fram með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna.
Í 14. gr. frumvarpsins er að finna sérreglur um rafræna vöktun, samhljóða núgildandi reglum um efnið, og verður nánar fjallað um skilyrði slíkrar vöktunar í skýringum um það frumvarpsákvæði.
Reglugerð ESB hefur ekki að geyma sérstök ákvæði um sjónvarpsvöktun. Slík vöktun fellur þó undir gildissvið hennar ef hún telst til rafrænnar meðferðar persónuupplýsinga, t.d. vegna varðveislu á stafrænu formi. Þá er getið um vöktun í formála hennar, en í 24. lið formálans segir að til að ákvarða hvort vinnslustarfsemi geti talist vera vöktun á hegðun skráðra einstaklinga ætti að ganga úr skugga um hvort slóð einstaklinga sé rakin á netinu, m.a. hvort í kjölfarið séu notaðar vinnsluaðferðir á persónuupplýsingum sem felast í gerð persónusniðs um einstakling, einkum í því skyni að taka ákvarðanir varðandi viðkomandi eða til að greina eða spá fyrir um smekk hans, hegðun og viðhorf.
10. Gerð persónusniðs. Hugtakið er nýmæli meðal helstu hugtaka í 4. gr. reglugerðarinnar, en hefur þegar þýðingu í ýmsu tilliti í gildandi persónuverndarlöggjöf. Er m.a. fjallað um ákveðin réttindi hins skráða í 23. gr. núgildandi laga sem lýtur að viðvörunum til hins skráða við notkun persónusniða. Skilgreining frumvarpsins á gerð persónusniðs (e. profiling) nær til hvers kyns sjálfvirkrar vinnslu persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika. Skýringar á núgildandi 23. gr. lýsa nánar inntaki hugtaksins sem þar er þýtt sem „persónumynstur“. Undir hugtakið fellur þannig sú aðstaða að ýmiss konar persónuupplýsingum er steypt saman til að finna hóp manna sem fellur inn í sameiginlegt mynstur að því er varðar hátterni, smekk, þarfir, hæfileika o.fl. Slíkar upplýsingar geta t.d. verið rafræn spor, svo sem persónuupplýsingar sem safnað er reglulega í kerfi fyrir greiðslumiðlun, rafræna upplýsingaþjónustu á netinu og þess háttar. Þá geta persónusnið orðið til úr ýmiss konar upplýsingum sem koma fram á samfélagsmiðlum á borð við Facebook, svo sem um hvar menn versla, hvað þeir kaupa og hvenær, tekjuflokka þeirra, menntun, búsetu, tómstundir, áhugamál og aldur. Ef t.d. er safnað saman upplýsingum um menn sem vinna eftir kl. 19.00, oftar en þrisvar í viku, hafa yfir 500.000 kr. í mánaðarlaun og búa í tilteknu hverfi verður til hópur sem fellur inn í mynstur sem gefur til kynna tilteknar þarfir. Mynstrið gerir t.d. líklegt að einstaklingar í hópnum vilji skipta við tiltekna pöntunarþjónustu. Þá má einnig hugsa sér notkun persónusniða við söfnun meðlima í ýmiss konar samtök, söfnun nýliða í hóp þeirra sem styrkja ýmiss konar hugsjónastarfsemi eða fyrir pólitíska áróðurs- og áhrifastarfsemi. Persónusnið eru einkum notuð við greiningu í markhópa en þau eru og notuð víðar, svo sem við töku sértækra ákvarðana, t.d. um lánveitingar.
Reglugerðin geymir ýmsar sérreglur um réttindi skráðs einstaklings í tengslum við gerð persónusniðs, þar á meðal í tengslum við sjálfvirka, einstaklingsmiðaða ákvarðanatöku í 22. gr. Þá er víða vikið að gerð persónusniða og vinnslu slíkra upplýsinga í formála reglugerðarinnar. Í 24. lið hans er tekið fram að til að ákvarða hvort vinnslustarfsemi geti talist vera vöktun á hegðun skráðra einstaklinga ætti að ganga úr skugga um hvort slóð einstaklinga sé rakin á netinu, m.a. hvort í kjölfarið séu notaðar vinnsluaðferðir á persónuupplýsingum sem felast í gerð persónusniðs um einstakling, einkum í því skyni að taka ákvarðanir varðandi viðkomandi eða til að greina eða spá fyrir um smekk hans, hegðun og viðhorf. Þá koma fram varúðarorð í 30. lið formálans þar sem bent er á að ýmis tæki, forrit og samskiptareglur, sem einstaklingar nota, geta tengt netauðkenni við þá, svo sem IP-tölur og svokölluð vefkökuauðkenni eða önnur auðkenni, svo sem fjarskiptatíðniauðkenningar. Þessi notkun getur skilið eftir spor sem hægt er að nota til að útbúa persónusnið um einstaklinga og bera kennsl á þá, einkum þegar sporunum er bætt við einkvæm auðkenni og aðrar upplýsingar sem berast netþjónum.
Nánar er fjallað um réttindi skráðra samkvæmt reglugerðinni, þar á meðal andmælarétt, í skýringum við það í 21. og 22. gr. frumvarpsins.
11. Öryggisbrestur við meðferð persónuupplýsinga. Hér er tekin upp skilgreining 12. tölul. reglugerðarinnar, en nýmæli er frá gildandi tilskipun og lögum að telja öryggisbrest (e. personal data breach) til lykilhugtaka. Öryggisbrestur hefur veigamikla þýðingu fyrir eftirlit með framkvæmd reglugerðarinnar og hefur sérstakar afleiðingar m.a. tengdar tilkynningarskyldu ábyrgðaraðila skv. 33. og 34. gr. reglugerðarinnar. Þannig tengist hann sérstökum áherslum reglugerðarinnar á að leggja ríkari skyldur en tilskipunin á ábyrgðaraðila við vinnslu persónuupplýsinga og hina nýju meginreglu, öryggisregluna, sem bætist við þær fimm meginreglur sem tilskipunin hefur byggst á, og kemur fram í f-lið 1. mgr. 5. gr. reglugerðarinnar.
Samkvæmt skilgreiningunni telst öryggisbrestur vera brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. Í formála reglugerðarinnar er m.a. skýrður út tilgangur þess að veita þessu hugtaki sérstök réttaráhrif sem skapar sérstakar skyldur fyrir ábyrgðaraðila. Í 85. lið formálans segir m.a. að öryggisbrestur við meðferð persónuupplýsinga geti, ef ekki er brugðist við honum á réttan hátt og tímanlega, valdið einstaklingum efnislegu tjóni, eignatjóni eða óefnislegu tjóni, svo sem missi yfirráða yfir persónuupplýsingum um þá eða takmörkun réttinda þeirra, mismunun, auðkennisþjófnaði eða svikum, fjárhagstjóni, að notkun gerviauðkenna sé aflétt í leyfisleysi, skaða á orðstír, töpuðum trúnaði gagnvart persónuupplýsingum sem njóta verndar samkvæmt þagnarskyldu eða öðru umtalsverðu efnahagslegu eða félagslegu óhagræði fyrir viðkomandi einstakling.
Nánar er fjallað um afleiðingar öryggisbrests í 32.–34. gr. reglugerðarinnar sem fyrr segir svo og í 27. gr. frumvarpsins og verður nánar vikið að þeim í skýringum við það frumvarpsákvæði.
Um 4. gr.
Í 1. mgr. birtist sú meginregla að öll sjálfvirk vinnsla persónuupplýsinga hvort heldur að hluta eða í heild fellur undir gildissvið laganna. Þegar aðrar aðferðir en sjálfvirk vinnsla, með öðrum orðum handvirk vinnsla er notuð, er gerð krafa um að persónuupplýsingar séu eða eigi að verða hluti af skrá. Þetta er áréttað í 14. lið formála reglugerðarinnar sem mælir fyrir um að vernd einstaklinga skuli eiga við um sjálfvirka jafnt sem handvirka vinnslu persónuupplýsinga ef upplýsingarnar eru varðveittar eða ráðgert er að varðveita þær í skrá. Eins og fram kom í skýringum við 3. gr. að framan er með skrá átt við gagnasafn eða upptalningu þar sem persónuupplýsingum er komið fyrir á þann hátt að þar má á ný finna upplýsingar um einstaka menn.
Augljóst er að þegar persónuupplýsingar eru að öllu leyti varðveittar eða unnar í tölvu er vinnslan sjálfvirk. Út frá persónuverndarsjónarmiðum er mikill munur á því hvort vinnsla er sjálfvirk eða handvirk enda gefur auga leið að mun meiri vinnslumöguleikar eru með tölvutækni, sem telst sjálfvirk vinnsla í þessu samhengi. Það á t.d. við um möguleika til samtengingar, dreifingar og endurvinnslu varðveittra upplýsinga. Sú viðmiðun að meðferð persónuupplýsinga verði annaðhvort að vera sjálfvirk eða tengjast handvinnslu skrár snertir öll ákvæði frumvarpsins. Vinnsla sem aðeins er sjálfvirk að hluta til er lögð að jöfnu við vinnslu sem er sjálfvirk að öllu leyti. Því mundi vinnsla sem er að hluta til handvirk en að hluta til unnin í tölvu falla undir gildissviðið. Reglugerðin, líkt og tilskipunin veitir aðeins takmarkaða leiðsögn um mörkin milli handvirkrar vinnslu og sjálfvirkrar. Þó er tekið fram í 15. lið formálans að til að komast hjá því að alvarleg hætta skapist á því að reglur verði sniðgengnar ætti vernd einstaklinga að vera tæknilega hlutlaus og ekki háð þeim aðferðum sem notaðar eru.
Sérstakt álitaefni er að hvaða marki hljóð- og myndbandsupptökur teljast til sjálfvirkrar vinnslu. Hér eru ekki ráðgerðar breytingar frá núgildandi skipan um að hljóð- og myndbandsupptökur mundu falla undir gildissvið laganna. Sama á við um sjónvarpsvöktun ef hvorki mynd né hljóð er varðveitt heldur birtist aðeins á skjá. Í núgildandi lögum er þó byggt á því að vinnsla efnis á myndbandi eða hljóðsnældu falli ekki undir gildissvið þeirra nema hún eigi sér stað með sjálfvirkum hætti eða ef upplýsingar um efnið eru varðveittar í skrá þannig að án mikillar fyrirhafnar megi finna aftur upplýsingar um tiltekinn einstakling. Um það hvort vinnsla sé sjálfvirk er sú viðmiðun almennt lögð til grundvallar að hún geri kleift að finna í safni gagna, án mikillar fyrirhafnar, upplýsingar um tiltekinn einstakling.
Gildissvið laganna tekur til skráningar af hálfu atvinnurekenda, fyrirtækja, félaga, stofnana og til skráningar á vegum opinberra aðila. Þótt þetta sé ekki orðað í frumvarpinu eða reglugerðinni er miðað við óbreytta skipan að þessu leyti og að sama eigi við óháð því hver á í hlut. Undantekningu frá þessu er að finna í 2. mgr. 4. gr. frumvarpsins sem tilgreinir að lögin og frumvarpið gildi ekki um vinnslu einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða fjölskyldu hans og eru aðeins til persónulegra nota. Þessi lýsing á gildissviði kemur fram í c-lið 2. mgr. 2. gr. reglugerðarinnar og hefur 18. liður formála hennar að geyma nánari skýringar. Þar segir að reglugerðin eigi ekki við um vinnslu einstaklings á persónuupplýsingum ef hún er einungis í þágu hans sjálfs eða fjölskyldu hans og hefur þannig engin tengsl við atvinnu- eða viðskiptastarfsemi. Vinnsla, sem er einungis í þágu einstaklings eða fjölskyldu hans, getur t.d. tekið til bréfaskrifta og þess að halda skrár yfir heimilisföng, notkunar samfélagsmiðla og netnotkunar sem fram fer í tengslum við slíka vinnslu. Hins vegar er tekið fram að reglugerðin á við um ábyrgðaraðila eða vinnsluaðila sem setja fram leiðir til að vinna persónuupplýsingar í þágu einstaklings eða fjölskyldu hans.
Af þessu er ljóst að t.d. einkabréfaskipti, færsla skráa með heimilisföngum vina, ættingja o.s.frv., færsla dagbókar og meðferð upplýsinga sem tengjast tómstundamálum fellur utan gildissviðsins. Það sem úrslitum ræður er hvort vinnslan varðar aðeins hreina einkahagi eða ekki. Skilyrði er að um sé að ræða venjulegar og lögmætar athafnir, en það er nauðsynleg viðmiðun til að ákvæðið verði ekki notað til að fara í kringum önnur ákvæði laganna. Þegar vinnsla persónuupplýsinga fer fram í þágu tiltekinnar einkastarfsemi eiga ákvæði laganna hins vegar við, jafnvel þótt hún sé ekki atvinnustarfsemi. Á það t.d. við um rannsóknarvinnu vísindamanns.
Í 3. mgr. 4. gr. frumvarpsins er sérregla um vernd persónuupplýsinga látinna manna. Í 27. lið formála reglugerðarinnar er tekið fram að hún eigi ekki við um persónuupplýsingar látinna einstaklinga en aðildarríkjunum sé heimilt að kveða á um reglur um vinnslu persónuupplýsinga þeirra. Þá er vísað til þess í 158. lið formálans í umfjöllun um vinnslu persónuupplýsinga vegna skjalavistunar að reglugerðin eigi ekki við um látna einstaklinga og í 160. gr. formálans að þótt reglugerðin nái til sagnfræðirannsókna og rannsókna í erfðafræðilegum tilgangi gildi hún ekki um látna einstaklinga.
Eins og lýst var í skýringum með 3. gr. frumvarpsins er sú leið farin að fella niður tilvísun til þess að lögin gildi jafn um persónuupplýsingar lifandi og látinna einstaklinga. Í framkvæmd laganna hefur sjaldan reynt á ágreiningsmál um vinnslu persónuupplýsinga um látna menn. Ljóst er jafnframt að ekki er unnt að uppfylla kröfur laganna um réttindi hins skráða þegar hann er látinn, svo sem um samþykki, fræðsluskyldu, andmælarétt og aðrar skyldur sem hvíla á ábyrgðaraðila. Í frumvarpi til nýrra persónuverndarlaga í Noregi sem ætlað er að innleiða reglugerðina þar í landi, eru engar sérreglur að finna um vernd persónuupplýsinga látinna manna en vísað til þess að þegar unnt er að tengja slíkar upplýsingar lifandi einstaklingum falli þær undir persónuupplýsingar hinna síðarnefndu. Í dönsku frumvarpi sama efnis er hins vegar farin sú leið að leggja til að lögin gildi í 10 ár eftir andlát hins skráða. Þá er ráðherra veitt heimild til að mæla nánar fyrir í reglugerð um lengri eða styttri tíma frá andláti.
Í frumvarpi þessu er lagt til að í stað þess að falla að öllu leyti frá núgildandi skipan þar sem persónuupplýsingar látinna einstaklinga njóta verndar verði hér miðað við 5 ára tímamark eftir andlát. Áfram er ótvírætt að lögin ná til persónuupplýsinga um látna einstaklinga þegar þær tengjast lifandi einstaklingum beint eða óbeint, svo sem gæti átt við um arfgenga sjúkdóma. Hins vegar er lagt til sem fyrr segir að lögin gildi um persónuupplýsingar látinna einstaklinga í 5 eftir andlát og lengur þegar um ræðir persónuupplýsingar sem sanngjarnt og eðlilegt má telja að leynt fari. Þá er til þess að líta að þegar upplýsingar um látna eru varðveittar innan um upplýsingar um lifandi einstaklinga verður oft talið óhjákvæmilegt að upplýsingar um báða hópa, hina látnu og hina lifandi, falli undir sömu öryggisráðstafanir, t.d. notkun gerviauðkenna. Hins vegar er ljóst að persónubundin réttindi einstaklings skv. III. kafla frumvarpsins falla niður við andlát, svo sem upplýsingaréttur og aðgangsréttur.
Í 4. mgr. 4. gr. frumvarpsins er lagt til að lögin og reglugerðin gildi ekki um vinnslu persónuupplýsinga sem fer fram þegar dómstólar fara með dómsvald sitt. Þótt vernd reglugerðarinnar gildi almennt m.a. um vinnslu persónuupplýsinga í starfsemi dómstóla er gert ráð fyrir því í 20. lið formála hennar að aðildarríki hafi talsvert svigrúm til að tilgreina vinnsluaðgerðir og verklagsreglur í tengslum við slíka vinnslu. Þá er tekið fram að til að standa vörð um sjálfstæði dómskerfisins við framkvæmd verkefna þess á sviði dómsmála, m.a. ákvarðanatöku, ætti valdsvið eftirlitsstjórnvalda ekki að ná til vinnslu dómstóla á persónuupplýsingum þegar þeir fara með dómsvald sitt. Mögulegt ætti að vera að fela eftirlit með slíkri vinnslu persónuupplýsinga sérstökum aðilum innan dómskerfis aðildarríkisins sem ættu einkum að tryggja að farið sé að reglum reglugerðarinnar, efla vitund dómara um skyldur sínar samkvæmt henni og annast meðferð kvartana í tengslum við slíka gagnavinnslu.
Gildandi persónuverndarlög hafa verið túlkuð með þeim hætti að með vísan til ákvæða stjórnarskrár um þrískiptingu ríkisvalds séu því takmörk sett að hvaða marki Persónuvernd geti, sem stjórnvald, hlutast til um mál sem eru á forræði annarra sjálfstæðra handhafa ríkisvaldsins, Alþingis og dómstóla þegar þeir beita dómsvaldi sínu. Tilvísun til dómsvaldshugtaksins hér þýðir að reglan á ekki við um starfsemi dómstóla sem fellur ekki beint undir dómsvald þeirra, þar á meðal þegar um ræðir birtingu dóma á netinu. Í úrskurði Persónuverndar frá 16. júní 2017 í máli nr. 2016/1783 varð það niðurstaðan að nafnbirting aðila dómsmáls ásamt ýmsum viðkvæmum persónuupplýsingum um hann í dómi sem birtur var á vefsíðu héraðsdómstólanna væri vinnsla persónuupplýsinga sem heyrði undir eftirlitsheimildir Persónuverndar. Vék stofnunin þá frá fyrri framkvæmd sinni um að það félli utan heimilda hennar að fjalla efnislega um ákvarðanir sem teknar væru af hálfu dómstólaráðs eða dómara um birtingu dóma. Var það rökstutt með því að þótt valdsvið stofnunarinnar gæti ekki náð til eftirlits með vinnslu dómstóla á persónuupplýsingum þegar þeir færu með dómsvald við meðferð mála fyrir dómstólunum fæli birting dóma á netinu samkvæmt þágildandi 22. gr. a laga nr. 15/1998, um dómstóla, ekki í sér dómsathöfn sem tengdist meðferð máls. Ætti það jafnframt við þótt ákvörðun um nafnleynd og úrfellingu persónuupplýsinga væri tekin af dómara. Slík ákvörðun lyti enda ekki að efni dómsins sjálfs heldur einungis að því hvaða upplýsingar skyldu birtar á netinu.
Í núgildandi lögum um dómstóla, nr. 50/2016, eru ákvæði um útgáfu dóma á öllum dómstigum, 20. gr. um dóma Hæstaréttar, 28. gr. um dóma Landsréttar og 38. gr. um héraðsdóma. Í öllum þessum ákvæðum eru ákvæði um að taka þurfi tillit til persónuverndarsjónarmiða, þar á meðal að héraðsdómar um viðkvæm persónuleg málefni skuli ekki gefnir út og að gæta skuli nafnleyndar í ákveðnum tilvikum í dómum á öllum dómstigum. Þá skal dómstólasýslan setja nánari reglur um útgáfu dóma og úrskurða héraðsdómstóla og Landsréttur og Hæstiréttur skulu hafa samráð við dómstólasýsluna um tilhögun dómaútgáfu.
Í 5. mgr. er ákvæði sem byggist á sambærilegum sjónarmiðum og 4. mgr. um gildissvið laganna og reglugerðarinnar gagnvart öðrum handhöfum ríkisvalds en framkvæmdarvaldshöfum og er því ætlað að festa í lög óskráðar reglur sem gilda í þessu tilliti. Þannig er lagt til að lögin nái ekki til vinnslu upplýsinga sem fer fram í tengslum við lögbundin verkefni Alþingis. Fyrirmynd að sérreglu um þetta er m.a. sótt til 3. gr. danska frumvarpsins til nýrra persónuverndarlaga. Hér er þá fyrst og fremst litið til verkefna Alþingis sem leidd eru af stjórnarskrá og eru útfærð frekar í ákvæðum laga um þingsköp, nr. 55/1991. Meginverkefni Alþingis í þessu tilliti eru lagasetning, fjárstjórnarvald og eftirlit með framkvæmdarvaldinu, en þó aðeins að því leyti sem þingið sjálft og nefndir þess sinna eftirlitsstarfinu. Af ákvæðinu verður þannig ályktað að vinnsla persónuupplýsinga sem fellur undir þá starfsemi Alþingis sem ekki lýtur beint að þessum verkefnum falli undir gildissvið laganna, þ.m.t. birting gagna á vef Alþingis. Á slík álitamál hefur m.a. reynt í framkvæmd núgildandi laga, sbr. úrskurð Persónuverndar frá 25. apríl 2017 í máli nr. 2016/1133. Þá nær gildissvið laganna og reglugerðarinnar einnig til embætta á vegum Alþingis, svo sem ríkisendurskoðanda og umboðsmanns Alþingis.
Í 6. mgr. 4. gr. er ráðgert að lögin og reglugerðin gildi ekki um vinnslu persónuupplýsinga af hálfu ríkisins í tengslum við það að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Í 2. mgr. 3. gr. núgildandi laga er að finna áþekkt ákvæði sem undanskilur tilgreind ákvæði laganna frá vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu. Frumvarpsákvæðið tilgreinir ekki sérstaklega landvarnir og öryggi ríkisins og er þar fylgt orðalagi d-liðar 2. mgr. 2. gr. reglugerðarinnar. Hins vegar er hér um að ræða þætti sem falla undir almannaöryggi og er því hér ekki um efnisbreytingu að ræða.
Umræddu ákvæði reglugerðarinnar er lýst nánar í 19. lið formála hennar og m.a. vísað til þess að um vinnslu á sviði refsivörslu og í þágu almannaöryggis skuli gilda sértækari gerð sambandsins, nánar tiltekið tilskipun Evrópuþingsins og ráðsins (ESB) 2016/680 frá 27. apríl 2016 um vinnslu persónuupplýsinga á sviði lögreglumála. Í undirbúningi er að innleiða tilskipunina hér á landi með öðrum lögum.
Í lokamálsgrein 4. gr. frumvarpsins er lagt til að ákvæði laganna og reglugerðarinnar skuli gilda án tillits til þess hvort starfsemi falli undir gildissvið EES-samningsins. Regla þessi er sett sem sérregla sem víkur frá a-lið 2. mgr. 2. gr. reglugerðarinnar um að hún gildi ekki um vinnslu persónuupplýsinga í starfsemi sem fellur utan gildissviðs laga sambandsins. Ekki er talin ástæða hér til að undanskilja gildi laganna og reglugerðarinnar starfsemi sem ekki fellur undir gildissvið EES-samningsins. Auk þess er það líklegt til að skapa réttaróvissu að skera þurfi úr um hvort starfsemi heyrir undir málefnasvið EES-samningsins áður en ljóst sé hvort persónuverndarlög taka til hennar. Reglugerðin hindrar ekki að veitt sé betri vernd að þessu leyti og er umrædd leið því farin hér en sami háttur er hafður á í 1. mgr. 2. gr. norska frumvarpsins til nýrra persónuverndarlaga. Jafnframt er tekið af skarið um að VII. kafli reglugerðarinnar sem fjallar um samræmt eftirlit með reglugerðinni á svæðinu og hlutverk og valdheimildir Evrópska persónuverndarráðsins geti þó ekki átt við um starfsemi sem fellur utan EES-samningsins. Þannig geta lögin eðli máls samkvæmt ekki fellt undir persónuverndarráðið verkefni og valdheimildir sem lúta að vinnslu upplýsinga í slíkri starfsemi.
Um 5. gr.
Í 1. mgr. er kveðið á um gildissvið þess gagnvart öðrum lögum. Ákvæði frumvarpsins eru víðtæk og almenns eðlis í þeim skilningi að þau taka til hvers kyns vinnslu persónuupplýsinga hvar og hvernig sem hún fer fram, með þeim frávikum sem fram koma í frumvarpinu. Af þeim sökum þykir rétt að taka fram að frumvarpið taki jafnframt til meðferðar og vinnslu slíkra upplýsinga sem fram fer samkvæmt öðrum lögum nema þau lög tilgreini annað sérstaklega. Þannig geta sérákvæði annarra laga gengið framar þessum reglum á grundvelli almennra sjónarmiða um „lex specialis“. Þó er tekið fram að sérlög verði að vera innan þess ramma sem reglugerð ESB setur, þ.e. að þau fari ekki gegn ákvæðum hennar.
Í 2. mgr. ákvæðisins er kveðið á um samspil við upplýsingalög og stjórnsýslulög. Í IV. kafla stjórnsýslulaga, nr. 37/1993, er að finna sérákvæði um rétt aðila máls til aðgangs að þeim gögnum er mál hans varða. Samkvæmt þessu frumvarpsákvæði halda þessi ákvæði stjórnsýslulaga gildi sínu óháð frumvarpinu. Þá verður að ætla að gildissvið frumvarpsins taki að hluta til sömu gagna og upplýsingalög, nr. 140/2012. Grunnreglur þeirra laga eru tvenns konar. Önnur mælir fyrir um aðgang almennings að upplýsingum í vörslu stjórnvalda en hin um aðgang aðila að upplýsingum um hann sjálfan í öðrum tilvikum en þeim sem falla undir stjórnsýslulögin. Af þessu ákvæði frumvarpsins leiðir að því er ekki ætlað að takmarka rétt einstaklinga til aðgangs að gögnum samkvæmt upplýsingalögum, enda eru réttindi einstaklinga til aðgangs að persónuupplýsingum hjá stjórnvöldum almennt meiri. Þá verður einnig að líta svo á að reglur upplýsingalaga um rétt almennings til aðgangs að gögnum í vörslu stjórnvalda feli almennt í sér næga heimild til vinnslu persónugreinanlegra upplýsinga skv. 9. og 11. gr. frumvarpsins.
Í reglugerðinni er gert ráð fyrir því að í landslögum sé kveðið á um rétt almennings til aðgangs að upplýsingum í vörslu stjórnvalda. Yfirskrift 86. gr. reglugerðarinnar er vinnsla og aðgangur almennings að opinberum skjölum. Samkvæmt ákvæðinu er opinberu stjórnvaldi, opinberri stofnun eða einkaaðila heimilt að afhenda persónuupplýsingar úr opinberum skjölum, sem þau hafa í sinni vörslu vegna framkvæmdar verkefnis í þágu almannahagsmuna, í samræmi við lög aðildarríkis sem stjórnvaldið heyrir undir, til þess að samræma aðgang almennings að opinberum skjölum og réttinn til verndar persónuupplýsinga samkvæmt reglugerðinni. Frekari skýringar á samspili ákvæða hennar við löggjöf aðildarríkja um aðgang almennings að opinberum skjölum er að finna í 154. lið formála reglugerðarinnar. Þar er tekið fram að reglugerðin heimili að tekið sé mið af meginreglunni um aðgang almennings að opinberum skjölum við beitingu hennar. Telja megi að aðgangur almennings að opinberum skjölum sé í þágu almannahagsmuna. Opinberu yfirvaldi eða opinberri stofnun ætti að vera heimilt að birta almenningi persónuupplýsingar í skjölum í vörslu sinni ef kveðið er á um birtinguna í lögum aðildarríkis sem opinbera stjórnvaldið eða opinbera stofnunin heyrir undir. Slík lög ættu að samræma aðgang almennings að opinberum skjölum og endurnotkun upplýsinga frá hinu opinbera annars vegar og réttinn til verndar persónuupplýsinga hins vegar og geti því kveðið á um nauðsynlega samræmingu við réttinn til verndar persónuupplýsinga samkvæmt reglugerðinni. Tilvísunin til opinberra yfirvalda og stofnana ætti í því samhengi að taka til allra yfirvalda eða annarra stofnana sem heyra undir lög aðildarríkis um aðgang almennings að skjölum. Bent er á að tilskipun 2003/98/EB um endurnotkun upplýsinga frá hinu opinbera skerði ekki og hafi á engan hátt áhrif á umfang verndar einstaklinga með tilliti til vinnslu persónuupplýsinga samkvæmt ákvæðum laga um persónuvernd og einkum breyti hún ekki þeim skyldum og réttindum sem sett eru fram í reglugerðinni. Þá er tekið fram að sú tilskipun ætti ekki að gilda um gögn, sem enginn eða takmarkaður aðgangur er að samkvæmt reglum um aðgangsrétt til verndar persónuupplýsingum, og um hluta úr skjölum, sem eru aðgengilegir samkvæmt slíkum reglum, þegar skjalshlutarnir innihalda persónuupplýsingar og kveðið hefur verið á um í lögum að endurnotkun þeirra sé ósamrýmanleg lögum um vernd einstaklinga að því er varðar vinnslu persónuupplýsinga. Umrædd tilskipun hefur verið leidd inn í íslenskan rétt.
Í 3. mgr. 5. gr. frumvarpsins er tekið fram að ákvæði reglugerðarinnar gangi framar ákvæðum laga þessara. Eins og lýst var í greinargerð hvílir þjóðréttarleg skylda á íslenska ríkinu skv. 7. gr. EES-samningsins til að innleiða texta reglugerðarinnar í heild sinni inn í íslensk lög og ekki er svigrúm til að endurskrifa ákvæði hennar eða aðlaga þau að íslenskum lögum nema þar sem reglugerðin sjálf veitir heimild til þess að ríki útfæri nánar tiltekin ákvæði eða víki frá þeim. Þar sem nokkur lykilákvæði reglugerðarinnar eru tekin upp í frumvarpið, samhengisins vegna og til að veita ákveðna heildarmynd, er mikilvægt að hafa í huga að texti reglugerðarinnar í heild sinni verður einnig gild lög og frumvarpinu er ekki ætlað að breyta ákvæðum hennar. Þannig er í raun um tvær jafnréttháar réttarheimildir að ræða, þ.e. tveir textar sem báðir eru festir í almennum lögum. Markmið ákvæðisins er að tryggja að ef svo færi að ósamræmi sé á milli ákvæða þessa frumvarps og ákvæða reglugerðarinnar eða vafi um ólíkan skilning, þá verði tryggt að ákvæði reglugerðarinnar gangi framar. Það er einnig í ákveðnu í samræmi við túlkunarreglu sem gildir um stöðu þjóðréttarsamninga gagnvart almennum lögum, þ.e. að túlka beri landsrétt í samræmi við þjóðréttarskuldbindingar, þó frábrugðið að því leyti að reglugerðin sjálf er gildur lagatexti en ekki aðeins þjóðréttarskuldbinding.
Um 6. gr.
Um rök að baki þessum undantekningum má m.a. vísa til skýringa í greinargerð með núgildandi ákvæði. Samkvæmt því er ljóst að ýmis ákvæði frumvarpsins og reglugerðarinnar samrýmast ekki að öllu leyti sjónarmiðum um tjáningarfrelsi sem varið er í 73. gr. stjórnarskrárinnar og 10. gr. mannréttindasáttmála Evrópu. Markmið ákvæðisins er að vera almenn vísiregla sem felur í sér að hvenær sem á þetta reynir þarf að meta hvernig sjónarmið um persónuvernd og sjónarmið um tjáningarfrelsi vegast á og komast að niðurstöðu sem byggð er á eðlilegu jafnvægi þessara sjónarmiða. Til þess að ná slíku jafnvægi mun í framkvæmd verða að víkja að nokkru frá tilteknum ákvæðum laganna vegna þeirrar starfsemi sem hér um ræðir. Eðlilegt er að sú spurning vakni hvernig leyst verður úr slíkum árekstrum. Í því sambandi er í fyrsta lagi lögð á það áhersla að aðilar vegi slíkt og meti að nokkru sjálfir og hlýtur mikil ábyrgð að hvíla á þeim í þeim efnum. Í öðru lagi verður til leiðbeiningar afstaða Persónuverndar í einstökum málum sem undir hana eru borin eða hún tekur upp að eigin frumkvæði. Í gildistíð núgildandi laga hefur Persónuvernd alloft þurft að skera úr um það hvort undanþáguákvæði 5. gr. laganna eigi við. Auk þess hefur Persónuvernd gefið út almennt álit frá 4. júlí 2005 um umfjöllun fjölmiðla um einkamálefni sem hægt er að styðjast við í slíku mati.
Þau ákvæði reglugerðarinnar sem vísað er til að gildi um persónuupplýsingar sem einvörðungu eru unnar í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi eru að mestu hin sömu og lögð eru til í 3. gr. norska frumvarpsins til nýrra persónuverndarlaga, þ.e. 24. gr. um ábyrgð ábyrgðaraðila, 26. gr. um sameiginlega ábyrgðaraðila, 28. gr. um vinnsluaðila, 29. gr. um vinnslu í umboði ábyrgðar- eða vinnsluaðila, 32. gr. um öryggi, 40. gr. um hátternisreglur, 41. gr. um eftirlit með hátternisreglum, 42. gr. um vottun, 43. gr. um vottunaraðila og 82. gr. um bætur. Einnig er tilgreint að 48. gr. frumvarpsins um refsingar og 51. gr. þess um bætur gildi um slíka vinnslu og hér um ræðir en í þeim efnum er farin sama leið og í 5. gr. gildandi laga nr. 77/2000. Þá er tilgreint, eins og í gildandi lögum, að um umrædda vinnslu gildi grunnreglurnar um að persónuupplýsingar skulu unnar með lögmætum, sanngjörnum og gagnsæjum hætti, sem og um áreiðanleika persónuupplýsinga, sbr. a- og d-liði 1. mgr. 5. gr. reglugerðarinnar. Ljóst er að 85. gr. reglugerðarinnar veitir aðildarríkjum talsvert svigrúm til að kveða á um undanþágur frá ákvæðum reglugerðarinnar. Er nokkuð breytilegt hvernig þær heimildir eru nýttar t.d. í norrænum frumvörpum um efnið, en sem fyrr segir er þetta frumvarpsákvæði áþekk þeirri leið sem farin er í Noregi og felur ekki í sér verulegar breytingar frá núgildandi lögum.
Tiltekin ákvæði frumvarpsins um aðgang að upplýsingum geta vakið spurningar um skörun við rétt blaðamanna til að leyna því hvaðan upplýsingar eru fengnar. Staðfest er í framkvæmd íslenskra dómstóla og Mannréttindadómstóls Evrópu að blaðamenn þurfi ekki að gefa upp heimildarmenn sína nema sérstaklega standi á, sbr. einkum ákvæði 119. gr. laga um meðferð sakamála, nr. 88/2008. Því verður upplýsingarétti hins skráða ekki beitt ef það skerðir þessi réttindi nema alveg sérstaklega standi á. Sú skylda sem ábyrgðaraðila er lögð á herðar til að láta í té almenna vitneskju um vinnslu persónuupplýsinga er hins vegar svo almenn og takmörkuð að hún veldur ekki vandkvæðum í þessu sambandi.
Varðandi ákvæði um flutning persónuupplýsinga úr landi verður að hafa í huga að slíkt getur t.d. gerst á netinu eða í gegnum aðrar alþjóðlegar upplýsingaveitur, eins og með því að þær eru birtar opinberlega, svo sem í ævisögu, í kvikmynd eða í tímariti sem keypt er hér á landi og tekið með til annars lands. Öll þessi tilvik eiga það sammerkt að tengjast starfi fjölmiðla eða bókmenntalegri og/eða listrænni tjáningu.
Um 7. gr.
Almenna reglan um landfræðilegt gildissvið birtist í 1. mgr. 7. gr. um að lögin og reglugerðin gildi um vinnslu persónuupplýsinga í tengslum við starfsemi ábyrgðaraðila eða vinnsluaðila með staðfestu hér á landi óháð því hvort vinnslan sjálf fer fram á Evrópska efnahagssvæðinu eða ekki. Hið rýmkaða gildissvið birtist í 2. mgr. ákvæðisins sem mælir fyrir um að lögin og reglugerðin gilda um vinnslu persónuupplýsinga um skráða einstaklinga sem eru hér á landi og fer fram í starfsemi ábyrgðaraðila eða vinnsluaðila, sem ekki hefur staðfestu á Evrópska efnahagssvæðinu, eða þegar vinnslustarfsemin tengist því annars vegar að bjóða þessum skráðu einstaklingum á svæðinu vöru eða þjónustu, án tillits til þess hvort það er gert gegn greiðslu, og hins vegar því að hafa eftirlit með hegðun einstaklinga að svo miklu leyti sem hún á sér stað innan Evrópska efnahagssvæðisins. Þegar aðstæður skv. 2. mgr. eru uppi skal ábyrgðaraðili eða vinnsluaðili tilnefna fulltrúa sinn innan Evrópska efnahagssvæðisins eða í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu, með þeim undantekningum sem leiðir af 27. gr. reglugerðarinnar. Gilda þá ákvæði laganna varðandi ábyrgðaraðila eða vinnsluaðila um þann fulltrúa samkvæmt nánari fyrirmælum 27. gr. reglugerðarinnar.
Í 22.–24. lið formála reglugerðarinnar er að finna frekari skýringar á ákvæði 3. gr. hennar um landfræðilegt gildissvið. Er áréttað í 22. lið formálans að hvers kyns vinnsla persónuupplýsinga í tengslum við starfsemi starfsstöðvar ábyrgðaraðila eða vinnsluaðila sem hefur staðfestu í sambandinu ætti að fara fram í samræmi við ákvæði reglugerðarinnar án tillits til þess hvort vinnslan sjálf fer fram í sambandinu. Með staðfestu er átt við virka og raunverulega starfsemi með föstu fyrirkomulagi. Lögákveðið rekstrarform slíks fyrirkomulags, hvort sem um er að ræða útibú eða dótturfélag með réttarstöðu lögaðila, ræður ekki úrslitum að því er þetta varðar.
Þá er vikið að markmiði þess að víkka gildissvið reglugerðarinnar í 23. lið, en það er að tryggja að einstaklingar séu ekki sviptir þeirri vernd sem þeir njóta samkvæmt reglugerðinni með vísan til þess að ábyrgðaraðilinn sé utan svæðisins. Á þeirri forsendu hvílir því það nýmæli að vinnsla ábyrgðaraðila eða vinnsluaðila, sem ekki hefur staðfestu í sambandinu, á persónuupplýsingum um skráða einstaklinga þar fellur undir reglugerðina ef vinnslustarfsemin tengist því að bjóða hinum skráðu vörur eða þjónustu, án tillits til þess hvort það er gegn greiðslu. Álitamál geta vaknað um það hvenær sú aðstaða er uppi. Til að ákvarða hvort slíkur ábyrgðaraðili eða vinnsluaðili bjóði skráðum einstaklingum á svæðinu vörur og þjónustu segir í þessum lið formálans að ganga þurfi úr skugga um hvort ljóst sé að ábyrgðaraðilinn eða vinnsluaðilinn hafi í hyggju að bjóða skráðum einstaklingum þjónustu í einu eða fleiri af aðildarríkjum sambandsins. Aðgangurinn einn og sér að vefsetri ábyrgðaraðila, vinnsluaðila eða milliliðar í sambandinu, netfangi hans eða öðrum upplýsingum um hvernig megi nálgast viðkomandi, eða notkun tungumáls, sem almennt er notað í þriðja landinu þar sem ábyrgðaraðili hefur staðfestu, nægir almennt ekki til að staðfesta að um slíka fyrirætlan sé að ræða. Því geta þættir eins og að nota tungumál eða gjaldmiðil, sem er almennt notaður í einu eða fleiri aðildarríkjum, möguleikinn á að panta vörur og þjónustu á því tungumáli og að nefna viðskiptavini eða notendur í sambandinu gert það ljóst að ábyrgðaraðili hafi í hyggju að bjóða skráðum einstaklingum þar vörur eða þjónustu.
Í 24. lið formála reglugerðarinnar er varpað ljósi á hvernig vinnsla ábyrgðaraðila eða vinnsluaðila, sem ekki hefur staðfestu í sambandinu, á persónuupplýsingum um skráða einstaklinga, sem þar eru staddir, fellur undir reglugerðina ef hún tengist því að vakta hegðun hinna skráðu, að því marki sem slík hegðun á sér stað innan sambandsins. Til að ákvarða hvort vinnslustarfsemi geti talist vera vöktun á hegðun skráðra einstaklinga þarf að ganga úr skugga um hvort slóð einstaklinga sé rakin á netinu, m.a. hvort í kjölfarið séu notaðar vinnsluaðferðir á persónuupplýsingum sem felast í gerð persónusniðs um einstakling, einkum í því skyni að taka ákvarðanir varðandi viðkomandi eða til að greina eða spá fyrir um smekk hans, hegðun og viðhorf.
Í 3. mgr. 7. gr. frumvarpsins er lýst áhrifum þess að ábyrgðaraðili eða vinnsluaðili eigi ekki staðfestu hér á landi, Evrópska efnahagssvæðinu eða í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu en þá skal hann tilnefna fulltrúa sinn innan svæðisins. Gilda þá ákvæði laganna og reglugerðarinnar um ábyrgðaraðila eða vinnsluaðila um þann fulltrúa samkvæmt nánari fyrirmælum sem lýst er í 27. gr. reglugerðarinnar.
Loks má geta niðurlagsákvæðis 3. gr. reglugerðarinnar sem mælir fyrir um að hún skuli gilda um vinnslu persónuupplýsinga af hálfu ábyrgðaraðila sem ekki hefur staðfestu innan sambandsins en þó á stað þar sem lög aðildarríkis gilda samkvæmt þjóðarétti. Í 25. lið formálans eru tekin dæmi af því sem hér gæti fallið undir. Þar er tekið fram að þegar lög aðildarríkis gilda í krafti þjóðaréttar ætti reglugerðin einnig að gilda um ábyrgðaraðila sem hefur ekki staðfestu í sambandinu, svo sem í sendiskrifstofu eða ræðisstofnun aðildarríkis.
Um 8. gr.
Í ákvæðinu birtast þær meginreglur sem hafa um langt skeið verið hornsteinar persónuverndarlöggjafarinnar í tengslum við vinnslu persónuupplýsinga. Þetta eru nánar tiltekið lögmætisreglan, tilgangsreglan, meðalhófsreglan, áreiðanleikareglan og varðveislureglan. Þau nýmæli sem fólgin eru í reglugerðinni og frumvarpsákvæði þessu lúta einkum að 6. tölul. 1. mgr. sem festir í sessi svokallaða öryggisreglu svo og 2. mgr. ákvæðisins sem mælir fyrir um svokallaða ábyrgðarskyldu ábyrgðaraðila.
Verður nú nánar lýst inntaki hverrar meginreglu, eins og þeim hefur verið beitt í framkvæmd núgildandi laga og þar á eftir vikið að nýmælum ákvæðisins.
Í 1. tölul. er mælt fyrir um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða. Í 39. lið formála reglugerðarinnar er tekið fram til frekari skýringar að einstaklingum ætti að vera ljóst þegar persónuupplýsingum um þá er safnað, þær notaðar, skoðaðar eða unnar á annan hátt að hvaða marki upplýsingarnar séu eða muni verða unnar. Meginreglan um gagnsæi krefjist þess að hvers kyns upplýsingar og samskipti, sem tengjast vinnslu þessara persónuupplýsinga, séu auðveldlega aðgengileg og auðskiljanleg og á skýru og einföldu máli. Sú meginregla eigi einkum við um upplýsingar til skráðra einstaklinga um það hver ábyrgðaraðilinn er og tilganginn með vinnslunni, frekari upplýsingar til að tryggja sanngjarna og gagnsæja vinnslu gagnvart viðkomandi einstaklingum og rétt þeirra til að fá staðfestingu og tilkynningu um vinnslu á persónuupplýsingum um sig. Samkvæmt þessu birtist umrædd meginregla í ákvæðum frumvarpsins um upplýsinga- og aðgangsrétt einstaklinga. Í því sambandi segir í fyrrnefndu ákvæði formálans að gera ætti einstaklingum ljósa áhættu, reglur, verndarráðstafanir og réttindi í tengslum við vinnslu persónuupplýsinga og hvernig þeir geta neytt réttar síns í tengslum við slíka vinnslu. Þá er í 40. lið formálans tekið fram að til að vinnsla persónuupplýsinga teljist lögmæt verði hún að fara fram með samþykki hlutaðeigandi skráðs einstaklings eða á einhverjum öðrum lögmætum grundvelli, sem mælt er fyrir um í reglugerðinni, þar á meðal þegar hún er nauðsynleg til að fara að ákvæðum um lagaskyldu sem hvílir á ábyrgðaraðilanum eða vegna framkvæmdar samnings sem hinn skráði á aðild að eða með hliðsjón af ráðstöfunum sem eru gerðar að beiðni hans áður en samningur er gerður. Áskilnaður um lögmæti vinnslu felur ekki einungis í sér skírskotun til skráðra lagareglna heldur einnig til óskráðra grundvallarreglna um persónuvernd og friðhelgi einkalífs. Vinnsla telst ólögmæt ef tilgangur hennar fær ekki samrýmst almennum sjónarmiðum um persónuvernd. Í þessu sambandi má benda á 41. lið formála reglugerðarinnar þar sem tekið er fram að þegar vísað er til lagaheimildar í reglugerðinni sé ekki endilega gerð sú krafa að um ræði lög sett af þjóðþingi hlutaðeigandi aðildarríkis. Slíkur lagagrundvöllur eigi þó að vera skýr og nákvæmur og beitingin fyrirsjáanleg þeim sem falla þar undir, eins og krafist er í dómaframkvæmd Evrópudómstólsins og Mannréttindadómstóls Evrópu. Hér ber að hafa í huga að í íslenskum rétti hafa á grundvelli lögmætisreglu verið gerðar allstrangar kröfur til þess að takmarkanir á réttindum manna, þ.m.t. friðhelgi einkalífs, verði að eiga stoð í settum lögum en ekki t.d. stjórnvaldsfyrirmælum, sbr. til dæmis dóm Hæstaréttar frá 27. nóvember 2003, nr. 151/2003 (gagnagrunnsmál).
Tilgangsreglan í 2. tölul. 1. mgr. þessa frumvarpsákvæðis felur í sér að persónuupplýsingar séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Með áskilnaði um að tilgangurinn sé skýr er átt við að hann skuli vera nægjanlega vel skilgreindur og afmarkaður til að vinnslan sé gagnsæ og auðskilin og komið í veg fyrir svo víðtæka tilgreiningu tilgangs að undir hann megi fella næstum hvað sem er, enda samrýmist slíkt ekki sjónarmiðum um persónuvernd. Því viðkvæmari persónuupplýsingar sem unnið er með og því meiri afleiðingar sem notkun þeirra getur haft í för með sér þeim mun mikilvægara er að tilgangurinn sé skýrt afmarkaður. Auk þess er líklegra að hinn skráði veiti réttar og viðeigandi upplýsingar ef hann þekkir tilgang vinnslunnar. Jafnframt verður auðveldara fyrir hann að gæta eigin hagsmuna, t.d. að krefjast þess að upplýsingum verði eytt. Þá ber að hafa í huga að varla er unnt að ákveða hvaða lágmarksupplýsingar vinna þarf með fyrr en tilgangurinn er skýr og hlýtur val persónuupplýsinga að ráðast af því í hvaða samhengi á að nota þær. Loks skal tilgangur vinnslu vera málefnalegur. Með því er átt við að ekki má vinna með upplýsingar í hvaða tilgangi sem er, jafnvel þótt hann sé yfirlýstur og skýr. Við mat á þessu verður m.a. að skoða hvort markmiðið sé í samræmi við eðli þeirrar starfsemi sem ábyrgðaraðili hefur með höndum. Samkvæmt þessu ákvæði má ekki vinna með persónuupplýsingar í tilgangi sem er ósamrýmanlegur þeim tilgangi sem var með söfnun þeirra. Sérsjónarmið gilda þó um frekari vinnslu í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi sem telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt. Slíkar rannsóknir eru tíðum þess eðlis að rökstyðja má að ávinningurinn af nýrri vinnslu geti verið meiri en óhagræðið fyrir þá einstaklinga sem í hlut eiga. Niðurstaða slíks hagsmunamats hlýtur þó að verða önnur þegar tillit til hins skráða telst af einhverjum ástæðum vega þyngra en hagsmunir samfélagsins af því að fá niðurstöðu rannsóknar. Er og ljóst að því viðkvæmari sem þær upplýsingar eru sem unnið er með þeim mun meiri kröfur verður að gera til mikilvægis almannahagsmuna. Við slíkt hagsmunamat vega þungt þær ráðstafanir sem gerðar eru til að draga úr hugsanlegu óhagræði fyrir hinn skráða. Dæmi um slíkar ráðstafanir geta verið ýmsar öryggisráðstafanir, t.d. dulkóðun upplýsinga.
Meðalhófsreglan endurspeglast í 3. tölul. 1. mgr. þessa ákvæðis frumvarpsins og skarast nokkuð við tilgangsregluna. Hún miðast við það sem kallað er „lágmörkun gagna“ og felur í sér að persónuupplýsingar ættu að vera nægilegar, viðeigandi og takmarkaðar við það sem nauðsynlegt er miðað við tilganginn með vinnslunni. Þetta krefst þess einkum að geymslutími persónuupplýsinganna sé takmarkaður við algjört lágmark, eins og lýst er í 39. lið formála reglugerðarinnar. Því aðeins ætti að vinna persónuupplýsingar að ekki sé unnt að ná tilganginum með vinnslunni á annan aðgengilegan hátt. Í 39. lið formála reglugerðarinnar kemur fram að til að tryggja að persónuupplýsingar séu ekki varðveittar lengur en nauðsynlegt er ætti ábyrgðaraðilinn að setja tímafresti varðandi eyðingu eða reglulega endurskoðun þeirra. Með því að áskilja að upplýsingarnar séu nægjanlegar og viðeigandi er átt við að eðli þeirra og efni skuli þjóna yfirlýstum tilgangi. Ákvæðið mælir í raun fyrir um að vinnsla ábyrgðaraðila sé háð hlutfallssjónarmiði, sem er kjarni meðalhófsreglunnar, en með því er átt við að hún megi ekki ganga lengra en þörf krefur til að ná því markmiði sem ábyrgðaraðila er heimilt að ná.
Í 4. tölul. 1. mgr. frumvarpsins birtist áreiðanleikareglan sem gerir þá kröfu að persónuupplýsingar séu áreiðanlegar og uppfærðar eftir þörfum. Persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar. Í 39. lið formála reglugerðarinnar er áréttað að gera verði hóflegar ráðstafanir til að tryggja að óáreiðanlegar persónuupplýsingar verði leiðréttar eða þeim eytt. Skylda til að uppfæra upplýsingar á að tryggja að leiðréttar séu upplýsingar sem reynast úreltar, sé þess þörf. Í vissum tilvikum mun ábyrgðaraðili geta frestað leiðréttingu. Hversu fljótt leiðrétting þarf að eiga sér stað ræðst bæði af efni þeirra upplýsinga sem unnið er með og því hvernig þær eru notaðar. Stundum má fresta leiðréttingu en sé t.d. um að ræða vinnslu rangra upplýsinga sem geta leitt til tjóns fyrir hinn skráða skal leiðrétting eiga sér stað tafarlaust.
Í 5. tölul. er kveðið á um varðveisluregluna sem vísar til sérstaklega til þess á hvaða formi persónuupplýsingar eru varðveittar. Mælt er fyrir um að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu. Upplýsingar má með öðrum orðum ekki varðveita í persónugreinanlegu formi lengur en nauðsyn krefur í ljósi þess tilgangs sem var með söfnun þeirra og vinnslu. Ekki verður gefið einhlítt svar við því hversu lengi varðveita megi upplýsingar í persónugreinanlegu formi þar sem slíkt hlýtur að ráðast af aðstæðum hverju sinni. Persónuvernd getur sett almennar reglur og gefið leiðbeiningar um það hve lengi ábyrgðaraðili skuli að jafnaði varðveita persónugreinanlegar upplýsingar miðað við tegund vinnslu. Sá fyrirvari er hér gerður að heimilt er að geyma persónuupplýsingar lengur að því tilskildu að vinnsla þeirra þjóni einungis skjalavistun í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi og að viðeigandi öryggis sé gætt. Í 50. lið formála reglugerðarinnar er tekið fram að frekari vinnsla í þessum tilgangi teljist til samrýmanlegra og lögmætra vinnsluaðgerða.
Loks er kveðið á um þá almennu meginreglu í 6. tölul. að persónuupplýsingar skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt. Eins og gildir um aðrar meginreglur endurspeglast þessi krafa víða í ákvæðum frumvarpsins og reglugerðarinnar. Þannig er í 39. lið formálans áréttað að vinnsla persónuupplýsinga ætti að vera með þeim hætti að viðeigandi öryggi sé til staðar og trúnaður um upplýsingarnar sé tryggður, m.a. að komið sé í veg fyrir óheimilan aðgang eða notkun á persónuupplýsingum og þeim búnaði sem notaður er við vinnsluna.
Í 2. mgr. 8. gr. frumvarpsins birtist reglan um ábyrgðarskyldu en í henni er áréttað að ábyrgðaraðili beri ábyrgð á því að vinnsla persónuupplýsinga uppfylli þær kröfur sem leiðir af meginreglum 1. mgr. sömu greinar eins og þær eru útfærðar í ákvæðum reglugerðarinnar. Þá er tekið af skarið um að hann þarf að geta sýnt fram á að þessi skilyrði séu uppfyllt. Þessi regla endurspeglar þá áherslu reglugerðarinnar umfram það sem ráðið verður af tilskipun ESB að hún leggur almennt ríkari skyldur á þá sem vinna með persónuupplýsingar, einkum um ráðstafanir til að tryggja öryggi við vinnsluna og tæknilegar ráðstafanir sem gera þarf í því skyni. Þessi skylda birtist skýrt í 24.–26. gr. reglugerðarinnar og 23. og 24. gr. frumvarpsins. Þá hvílir skylda ábyrgðaraðilans til að tilkynna um öryggisbrest til Persónuverndar skv. 32. gr. reglugerðarinnar og 27. gr. frumvarpsins á þessari frumforsendu, sbr. einnig 85. lið í formála reglugerðarinnar. Verður nánar vikið að þeirri skyldu í skýringum með 27. gr. frumvarpsins.
Um 9. gr.
Fyrst má árétta að af ákvæðinu leiðir að vinnsla er óheimil nema uppfyllt sé eitthvert þeirra sex skilyrða sem þar eru talin upp. Að undanskilinni reglu 1. tölul. eiga reglurnar allar það sameiginlegt að vinnsla er óheimil nema hún sé nauðsynleg vegna nánar tilgreindra hagsmuna, en það endurspeglar meginregluna um meðalhóf sem lýst var í skýringum á 8. gr. frumvarpsins. Það ræðst hins vegar af aðstæðum hverju sinni hvort tiltekin vinnsla persónuupplýsinga teljist nauðsynleg og er ábyrgðaraðila falið visst mat í þeim efnum. Mat á nauðsyn vinnslu ræðst af eðli hennar, en meta þarf hvern áfanga vinnslunnar sjálfstætt. Þannig þarf að meta sjálfstætt hvort nauðsynlegt sé að safna upplýsingum, skrá þær, miðla þeim, samkeyra þær o.s.frv. Matið ræðst og af eðli og efni þeirra upplýsinga sem unnið er með. Meðal annars skiptir máli hvort um sé að ræða upplýsingar um hrein einkamálefni einstaklinga, svo sem um félagsleg vandamál, hjónaskilnaði og samvistarslit, ættleiðingar og annað sem sanngjarnt er og eðlilegt að fari leynt, en þá ber að gera ríkar kröfur að því er varðar nauðsyn vinnslunnar. Hafa ber í huga að auknar kröfur eru gerðar til vinnslu viðkvæmra persónuupplýsinga eins og nánar verður fjallað um í skýringum við 11. gr. frumvarpsins.
Í 1. tölul. segir að vinna megi með persónuupplýsingar ef hinn skráði hefur gefið samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða. Hér er átt við samþykki í skilningi 8. tölul. 3. gr. frumvarpsins. Sú breyting er hér á orðalagi frá gildandi lögum að ekki er tekið fram að samþykki skuli vera „ótvírætt“. Ekki er stefnt að því að slaka á kröfum að þessu leyti. Þvert á móti er það þáttur í skilgreiningu reglugerðarinnar og frumvarpsins á samþykkishugtakinu að það skuli vera ótvírætt. Það á ávallt við og því ekki þörf á að tilgreina það hér sérstaklega. Þá setur reglugerðin fram ítarlegri reglur og strangari kröfur til þess hvernig samþykki er fengið, auk þess sem fyrirtækjum er skylt samkvæmt henni að gera skilmála fyrir samþykki gegnsærri og aðgengilegri og hafa þá á skiljanlegu máli, eins og nánar verður rakið í skýringum með 10. gr. frumvarpsins. Vinnsla byggð á samþykki verður meðal annars, eins og ávallt á við þegar unnið er með persónuupplýsingar, að samrýmast vönduðum vinnsluháttum, fara fram í yfirlýstum, skýrum og málefnalegum tilgangi og má ekki ganga lengra en nauðsyn krefur. Þegar Persónuvernd metur hvort kröfunum til samþykkis sé fullnægt tekur hún bæði mið af þeirri vinnsluaðferð sem viðhöfð er og eðli þeirra upplýsinga sem unnið er með. Samþykki þarf að vera frjálst og óháð og mundi ekki teljast vera það þegar einstaklingur þarf að samþykkja tiltekna vinnslu um sig til að geta fengið þjónustu. Dæmi af þeim toga væri ef einstaklingur þarf að samþykkja að fá sendan markaðssetningarpóst til að geta keypt vöru, enda ljóst að markaðssetningarpósturinn er ekki nauðsynlegur til að geta veitt þjónustuna. Þá er vert að benda á að stjórnvöld geta sjaldnast byggt á samþykki, nema í undantekningartilvikum þegar samþykki hefur engin áhrif á veitingu þjónustu eða réttindi manna.
Í 2. tölul. kemur fram að vinnsla er heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Af þessu ákvæði leiðir að í tengslum við efndir samnings við hinn skráða má viðhafa nauðsynlega vinnslu, svo sem á pöntunum, reikningum, kvittunum o.s.frv. Það er skilyrði að hinn skráði sé aðili samnings. Samningur milli ábyrgðaraðila og t.d. vinnuveitanda hins skráða getur þar með ekki orðið grundvöllur vinnslu upplýsinga um hinn skráða. Undir ákvæðið fellur einnig sú aðstaða þegar vinnsla er nauðsynleg til að undirbúa gerð samnings.
Samkvæmt 3. tölul. er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Með lagaskyldu er átt við hvers konar skyldu sem leiðir af lögum í rúmri merkingu, þ.e. bæði lögum og stjórnvaldsfyrirmælum settum á grundvelli þeirra. Undir hugtakið falla einnig skyldur samkvæmt dómi eða stjórnvaldsúrskurði. Hins vegar falla samningsskyldur ekki hér undir.
Samkvæmt 4. tölul. er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að vernda brýna hagsmuna hins skráða eða annars einstaklings. Um slíkt getur t.d. verið að ræða sé hinn skráði, vegna sjúkdóms, fjarveru eða af öðrum samsvarandi ástæðum, ófær um að veita samþykki sitt. Sama á við sé vinnsla upplýsinga um hinn skráða svo áríðandi að hún geti ekki beðið þann tíma sem það tekur að afla slíks samþykkis. Af skírskotun til brýnna hagsmuna leiðir að vinnslan verður að tengjast hagsmunum sem hafa grundvallarþýðingu fyrir hinn skráða. Það gæti t.d. átt við þegar hinn skráði getur, vegna sjúkdóms eða fjarveru, ekki samþykkt vinnslu sem mundi forða honum frá verulegu fjárhagstjóni eða öðrum skaða. Í núgildandi ákvæði er aðeins vísað til hins skráða, en hér bætist við tilvísun til annars einstaklings. Í 46. lið formála reglugerðarinnar er bent á að vinnsla persónuupplýsinga sé lögmæt ef hún er nauðsynleg til að vernda hagsmuni sem skipta sköpum fyrir líf skráðs einstaklings eða annars einstaklings. Vinnsla persónuupplýsinga á grundvelli brýnna hagsmuna annars einstaklings ætti að meginreglu til aðeins að fara fram þegar greinilegt er að hún getur ekki byggst á öðrum lagagrundvelli. Sumar tegundir vinnslu geta bæði þjónað mikilvægum almannahagsmunum og brýnum hagsmunum skráðs einstaklings, t.d. þegar vinnsla er nauðsynleg í mannúðarskyni, svo sem við að fylgjast með farsóttum og útbreiðslu þeirra eða bregðast við neyðarástandi sem kallar á mannúðaraðstoð, einkum þegar um er að ræða náttúruhamfarir eða stóráföll af mannavöldum.
Í 5. tölul. kemur fram að vinnsla persónuupplýsinga er heimil sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds. Í þessum lið sameinast tveir töluliðir sem standa í 5. og 6. tölul. 1. mgr. 8. gr. núgildandi laga. Um fyrra atriðið gildir að viðkomandi verkefni þarf að vera unnið í almannaþágu, þ.e. hafa þýðingu fyrir breiðan hóp manna. Þetta gæti t.d. átt við um vinnslu sem á sér stað í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi. Sama á við um vinnslu sem á sér stað í upplýsingakerfi réttarkerfisins sem ætlað er að veita almenningi upplýsingar um löggjöf, dómaframkvæmd o.s.frv. Vinnsla getur talist fara fram í þágu almannahagsmuna þótt hún fari ekki fram á vegum hins opinbera svo fremi hún þjóni hagsmunum breiðs hóps manna. Þótt vinnsla eigi sér stað í fjárhagslegu augnamiði útilokar það ekki að hún geti verið í þágu almannahagsmuna. Í síðara atriðinu er vísað til þess að vinnsla sé nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili fer með. Ákvæðið tekur meðal annars til vinnslu upplýsinga á vegum stjórnvalda sem tengist meðferð opinbers valds. Með því er fyrst og fremst átt við töku stjórnvaldsákvarðana. Jafnframt mundi önnur vinnsla sem telst til stjórnsýslu, svo sem við opinbera þjónustustarfsemi, alla jafna falla hér undir. Hafi meðferð opinbers valds verið falin þriðja manni með þjónustusamningi eða lögheimiluðu ytra valdframsali, leiðir af ákvæðinu að þessi þriðji maður getur viðhaft nauðsynlega vinnslu á upplýsingum við framkvæmd þeirrar stjórnsýslu.
Loks er tilgreint í 6. tölul. þessa frumvarpsákvæðis að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili, eða þriðji maður, gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn. Hér er vikið nokkuð frá orðalagi 7. tölul.1. mgr. 8. gr. núgildandi laga og m.a. vísað til sérstakra sjónarmiða þegar barn á í hlut. Ákvæðið á ekki við nema ábyrgðaraðili hafi viðhaft ákveðið mat, þ.e. á því hvort hagsmunir hins skráða af því að vinnslan fari ekki fram vegi þyngra en þeir hagsmunir sem mæla með vinnslunni. Ekki er nauðsynlegt að um sé að ræða hagsmuni ábyrgðaraðila eða þess þriðja manns sem tekur við upplýsingunum og því getur ákvæðið átt við þótt um hagsmuni annarra sé að ræða. Í 47. lið formála reglugerðarinnar er því lýst að lögmætir hagsmunir ábyrgðaraðila, þ.m.t. hagsmunir ábyrgðaraðila sem fá persónuupplýsingarnar í hendur, eða þriðja aðila geta verið gild vinnsluheimild að því tilskildu að hagsmunir eða grundvallarréttindi og frelsi hins skráða vegi ekki þyngra, að teknu tilliti til eðlilegra væntinga skráðra einstaklinga á grundvelli tengsla þeirra við ábyrgðaraðilann. Nefnt er það dæmi um lögmæta hagsmuni ábyrgðaraðila að tiltekin tengsl sem máli skipta séu milli skráðs einstaklings og ábyrgðaraðilans svo sem í tilvikum þar sem hinn skráði er viðskiptavinur ábyrgðaraðilans eða í þjónustu hans. Hvað sem öðru líði þurfi að meta af kostgæfni hvort um lögmæta hagsmuni sé að ræða, m.a. hvort skráður einstaklingur geti, þegar söfnun persónuupplýsinga fer fram og í samhengi við hana, haft gilda ástæðu til að ætla að vinnsla muni fara fram í þeim tilgangi. Hagsmunir hins skráða og grundvallarréttindi hans gætu einkum gengið framar hagsmunum ábyrgðaraðila af vinnslu persónuupplýsinga þegar hún fer fram við aðstæður þar sem skráðir einstaklingar hafa ekki ástæðu til að ætla að um frekari vinnslu verði að ræða. Auk þess segir í umræddum lið formála reglugerðarinnar að vinnsla persónuupplýsinga, sem er beinlínis nauðsynleg í þeim tilgangi að koma í veg fyrir svik, teljist einnig til lögmætra hagsmuna hlutaðeigandi ábyrgðaraðila gagna. Þá megi líta svo á að vinnsla persónuupplýsinga vegna beinnar markaðssetningar sé í þágu lögmætra hagsmuna.
Nýmæli er að vísa til þess að það hafi áhrif á hagsmunamatið ef hinn skráði sé barn. Reglugerðin skilgreinir ekki á einum stað hvar eða hvernig eigi að líta sérstaklega til réttinda barna, né heldur hverjir teljast börn í skilningi hennar en ákvæði um börn er að finna á nokkrum stöðum í formála og ákvæðum hennar. Í 6. tölul. 9. gr. frumvarpsins er byggt á f-lið 1. mgr. 6. gr. reglugerðarinnar. Hér birtast áherslur á að taka tillit til réttinda barna sem oftar en ekki eru ófær um að gefa samþykki eða nýta sér þau réttindi sem skráðir einstaklingar njóta samkvæmt reglugerðinni. Í þessu ljósi þurfa hagsmunir af vinnslu að vera enn meira knýjandi þegar skráðir einstaklingar eru börn. Í 38. lið formála reglugerðarinnar er bent á að persónuupplýsingar barna eigi að njóta sérstakrar verndar þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga. Þessi sérstaka vernd ætti samkvæmt umræddum lið formálans einkum að eiga við um notkun persónuupplýsinga barna í markaðssetningarskyni, þá aðstöðu þegar búin eru til persónu- eða notendasnið og um söfnun persónuupplýsinga er varða börn þegar þau nota þjónustu sem börnum eru boðin beint. Samþykki þeirra sem fara með forsjá barns ætti þó ekki að vera nauðsynlegt þegar um er að ræða forvarna- eða ráðgjafarþjónustu sem barni er boðin beint. Reglugerðin geymir sérreglur um samþykki barna gagnvart þjónustu í upplýsingasamfélaginu sem nánar er lýst í umfjöllun um 10. gr. frumvarpsins.
Að auki er það nýmæli að stjórnvöld geta ekki grundvallað vinnslu á sínum vegum á lögmætum hagsmunum eins og tekið er fram í niðurlagi 1. mgr. 6. gr. reglugerðarinnar. Í 47. lið formála hennar er í þessu sambandi vísað til þess hlutverks löggjafans að kveða á um lagagrundvöll fyrir vinnslu stjórnvalda á persónuupplýsingum.
Í 2. mgr. 6. gr. reglugerðarinnar er tekið fram að aðildarríkjunum sé heimilt að viðhalda eða innleiða sértækari ákvæði til að aðlaga beitingu reglna um vinnslu þannig að samrýmist c-lið 1. mgr. sömu greinar (vinnsla nauðsynleg til að uppfylla lagaskyldu) og e-lið sömu málsgreinar (vinnsla nauðsynleg vegna verkefnis sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með). Þannig geta ríki sett fram með ítarlegri hætti sértækar kröfur til vinnslunnar og aðrar ráðstafanir til að tryggja lögmæta og sanngjarna vinnslu, þ.m.t. varðandi vinnslu ákveðinna tegunda upplýsinga eða á ákveðnum sviðum eins og kveðið er á um í IX. kafla (um sérstakar vinnsluheimildir í tengslum við tjáningarfrelsi, aðgang að opinberum skjölum, kennitölur, atvinnutengt samhengi, undanþágur vegna vísindarannsókna, sagnfræði, tölfræði eða skjalavistunar í þágu almannahagsmuna).
Sérreglur af þessum toga er að finna í nokkrum ákvæðum frumvarpsins, svo sem 6. gr. um tengsl við tjáningarfrelsi og 18. gr. þess um verndarráðstafanir og undanþágur varðandi vinnslu vegna vísindarannsókna, sagnfræði, tölfræði eða skjalavistunar í þágu almannahagsmuna. Þá er heimilt samkvæmt þessu reglugerðarákvæði að setja sértækari ákvæði um vinnslu í sérlög þar sem fram koma heimildir til vinnslu persónuupplýsinga.
Um 10. gr.
Eins og lýst var í 1. tölul. 9. gr. frumvarpsins er samþykki skráðs einstaklings ein algengasta heimildin sem vinnsla persónuupplýsinga hvílir á. Í 8. tölul. 3. gr. frumvarpsins er samþykki skilgreint sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Með því að setja fram enn frekari skilyrði fyrir því að einstaklingur teljist hafa veitt samþykki sitt, birtist það markmið reglugerðarinnar að tryggja betur en áður réttindi skráðra einstaklinga. Þetta endurspeglast m.a. í auknum skyldum ábyrgðaraðila tengdum öflun samþykkis og að hann þurfi jafnframt að færa sönnur á að hann hafi uppfyllt þær.
Í þessu ljósi er mælt fyrir um það í 1. mgr. þessarar frumvarpsgreinar að þegar vinnsla sé byggð á samþykki skráðs einstaklings skuli ábyrgðaraðilinn geta sýnt fram á að einstaklingur hafi samþykkt vinnslu persónuupplýsinga um sig. Vikið er að skilyrðum samþykkis í nokkrum liðum formála reglugerðarinnar. Þannig kemur fram í 32. lið hennar að samþykki skuli veitt með skýrri staðfestingu, t.d. skriflegri yfirlýsingu, þar á meðal með rafrænum hætti, eða munnlegri yfirlýsingu, á því að fyrir liggi óþvinguð, afmörkuð, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sem varða hann sjálfan. Dæmi af þessum toga gæti falið í sér að haka við reit þegar farið er inn á vefsetur á netinu, velja tæknilegar stillingar fyrir þjónustu í upplýsingasamfélaginu eða aðra yfirlýsingu eða athöfn sem gefur skýrt til kynna í þessu samhengi að skráður einstaklingur samþykki fyrirhugaða vinnslu á persónuupplýsingum um sig. Þögn, reitir sem þegar er búið að haka við eða aðgerðarleysi eiga samkvæmt þessu ekki að geta falið í sér samþykki. Þá segir í umræddum lið formálans að samþykki ætti að ná til allrar vinnslustarfsemi sem fram fer í þágu sama markmiðs, eins eða fleiri. Þegar vinnslan sé í margvíslegum tilgangi ætti að gefa samþykki fyrir hverjum og einum þeirra. Sé um að ræða samþykki við rafrænni beiðni verði beiðnin að vera skýr og skilmerkileg og megi ekki raska óþarflega notkun þjónustunnar sem samþykkið er veitt fyrir. Þá er í 42. lið formálans áréttuð skylda ábyrgðaraðila til að geta sýnt fram á samþykki og tekið fram að hann þurfi að tryggja, einkum í tengslum við skriflega yfirlýsingu um annað málefni, að hinum skráða sé kunnugt um að samþykki hafi verið veitt og að hvaða marki. Í þessu sambandi er vísað til tilskipunar ráðsins 93/13/EB frá 5. apríl 1993 um óréttmæta skilmála í neytendasamningum. Hún hefur verið innleidd hér á landi með breytingum á ákvæðum laga um samningsgerð, umboð og ógilda löggerninga, nr. 7/1936, svo og lögum nr. 56/2007, um samvinnu stjórnvalda á Evrópska efnahagssvæðinu um neytendavernd.
Í 2. mgr. þessa frumvarpsákvæðis er gerð krafa um að hafi hinn skráði gefið samþykki sitt með skriflegri yfirlýsingu, sem einnig varðar önnur málefni, skuli beiðnin um samþykki sett fram á þann hátt að hún sé auðgreinanleg frá hinum málefnunum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli. Þá segir í 42. lið formála reglugerðarinnar að ábyrgðaraðili þurfi að setja fram yfirlýsingu um samþykki á skiljanlegu og aðgengilegu formi og á skýru og einföldu máli sem ætti ekki að fela í sér óréttmæta skilmála. Til þess að samþykki teljist upplýst ætti skráður einstaklingur að vita deili á a.m.k. ábyrgðaraðilanum og vera kunnugt um tilgang þeirrar vinnslu sem persónuupplýsingunum er ætlað að þjóna.
Í 3. mgr. er mælt fyrir um að skráður einstaklingur eigi rétt á að draga samþykki sitt til baka hvenær sem er. Þó hefur slík afturköllun samþykkis ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni. Um afturköllun segir m.a. í leiðbeiningum 29. gr. starfshópsins um samþykki, bls. 21, að í sumum tilvikum eigi að beita sambærilegum aðferðum við afturköllun samþykkis og við veitingu þess. Það eigi án vafa við þegar samþykkis sé aflað með einföldum, rafrænum hætti, svo sem með því að haka við reit á vefsíðu, en þá eigi hinn skráði að geta afturkallað samþykki sitt með jafn einföldum hætti. Hinn skráði verði auk þess að eiga þess kost að afturkalla samþykki sitt án þess að hafa af því neitt óhagræði, svo sem kostnað eða aðrar afleiðingar. Þá kemur einnig fram í leiðbeiningum 29. gr. starfshópsins, bls. 22, að þegar vinnsluheimild byggist á samþykki, sem síðar er afturkallað, getur ábyrgðaraðilinn ekki haldið áfram vinnslunni með því að vísa til annarrar vinnsluheimildar, t.d. almannahagsmuna eða annarra atriða sem talin eru upp í 9. gr. frumvarpsins.
Í 4. mgr. er fjallað um atriði sem skal líta til þegar metið er hvort samþykki sé gefið af fúsum og frjálsum vilja. Þannig skal taka ýtrasta tillit til þess hvort það sé skilyrði fyrir framkvæmd samnings að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem ekki er nauðsynleg vegna samningsins. Í fyrrgreindum 42. lið formála reglugerðarinnar er tekið fram að ekki eigi að telja að samþykki hafi verið veitt af fúsum og frjálsum vilja ef hinn skráði hefur ekki raunverulegt eða frjálst val eða getur ekki neitað eða dregið til baka samþykki án þess að verða fyrir tjóni. Þá kemur fram í 43. lið formálans að til þess að tryggja að samþykki sé veitt af fúsum og frjálsum vilja ætti það ekki að teljast gildur lagagrundvöllur fyrir vinnslu persónuupplýsinga í tilteknu tilviki þar sem skýr aðstöðumunur er milli hins skráða og ábyrgðaraðilans, einkum þegar ábyrgðaraðilinn er stjórnvald og því ólíklegt að samþykki hafi verið veitt af fúsum og frjálsum vilja við allar aðstæður í því tiltekna tilviki. Samþykki telst ekki veitt af fúsum og frjálsum vilja ef ekki er hægt að veita sérstakt samþykki fyrir einstökum, aðskildum aðgerðum við vinnslu persónuupplýsinga eða ef framkvæmd samnings, m.a. veiting þjónustu, er komin undir samþykkinu þótt samþykkið sé ekki nauðsynlegt vegna framkvæmdar samningsins.
Þótt þess sé ekki getið í frumvarpsákvæðinu er ljóst að samþykki þarf að vera persónubundið, en í því felst að hinn skráði sjálfur verður að gefa það. Þannig getur enginn gefið samþykki fyrir annars hönd nema hafa til þess sérstaka heimild. Samkvæmt þessu mundi t.d. samþykki forsvarsmanna tiltekinna samtaka fyrir hönd allra félagsmanna almennt ekki vera talið gilt nema mjög sérstaklega standi á, svo sem ef telja má inngöngu í slík samtök jafngilda samþykki. Þá mundi almennt verða litið svo á að samþykki þeirra sem fara með forsjá barns, sem eru lögráðamenn barnsins, þurfi til að gefa samþykki fyrir hönd barnsins svo og lögráðamanna fullorðinna einstaklinga sem ekki eru lögráða.
Í 5. mgr. koma fram sérreglur um samþykki barna í upplýsingasamfélaginu. Eins og fram kemur í 25. tölul. 4. gr. ESB-reglugerðarinnar er með hugtakinu „þjónusta í upplýsingasamfélaginu“ átt við þjónustu samkvæmt skilgreiningu b-liðar 1. mgr. 1. gr. tilskipunar Evrópuþingsins og ráðsins (ESB) 2015/1535 um tilhögun miðlunar upplýsinga um tæknireglugerðir og reglur um þjónustu í upplýsingasamfélaginu, en í skilgreiningunni kemur meðal annars fram að um sé að ræða þjónustu veitta á rafrænan hátt úr fjarlægð og venjulega gegn endurgjaldi. Af þessu er ljóst að hugtakinu er ætlað að ná til samninga sem gerðir eru um þjónustu sem veitt er á netinu.
Ljóst er að börn og unglingar nýta sér margvíslega þjónustu í upplýsingasamfélaginu svo sem á samskiptamiðlum af ýmsum toga án þess að ábyrgðaraðilum hafi verið gert skylt að kanna hvort samþykki forsjáraðila fyrir hönd barnanna liggi fyrir. Ákvæðið gerir bæði tillögu um lægri aldursmörk heldur en þegar 18 ára lögráðaaldri er náð, en gerir jafnframt kröfu til ábyrgðaraðila um að gera það sem sanngjarnt má telja til að sannreyna í slíkum tilvikum að samþykkið sé gefið eða heimilað af hálfu forsjáraðila barnsins, að teknu tilliti til þeirrar tækni sem fyrir hendi er.
Í 1. mgr. 8. gr. reglugerðarinnar er gert ráð fyrir því að barn þurfi að hafa náð 16 ára aldri til að veita samþykki eins og hér um ræðir, en jafnframt er kveðið á um að aðildarríkin geti í lögum kveðið á um lægri aldur en þó ekki lægri en 13 ár. Í 5. mgr. þessa frumvarpsákvæðis er lagt til að fara sömu leið og valin hefur verið í danska, norska og sænska frumvarpinu til nýrra persónuverndarlaga, þ.e. að miða við 13 ára samþykkisaldur barna. Hafa allmörg aðildarríki sem reglugerðin bindur nýtt sér svigrúm hennar til að áskilja lægri aldur en 16 ár í þessu tilliti, og miða þá við hvort heldur er 13, 14 eða 15 ár. Ljóst er að íslenskir unglingar sem náð hafa þessum aldri hafa flestir nýtt sér þjónustu upplýsingasamfélagsins í ríkum mæli án aðkomu forsjáraðila. Má því telja að þeir geti tekið upplýsta afstöðu til þess hvort þeir veiti slíkt samþykki. Víða í lögum er gert ráð fyrir því að börn undir 18 ára aldri geti tekið ákvörðun um persónuleg réttindi sín þótt lögræði sé ekki náð og þannig er tekið tillit til þess að þau njóti ákveðins sjálfsákvörðunarréttar um slík málefni. Hér ber þó að ávallt að hafa í huga þau varnaðarorð sem fram koma í 38. lið formála reglugerðarinnar að börn kunna að vera síður meðvituð um áhættu, afleiðingar, verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga.
Í fyrrgreindum leiðbeiningum 29. gr. starfshópsins, bls. 23–27, koma fram ítarlegar skýringar á skilyrðum þess að leita samþykkis barna. Þar er bent á að ábyrgðaraðilum verði að vera ljóst að samþykkisaldur barna kann að vera mismunandi milli ríkja. Þá liggur fyrir að til þess að samþykki barns teljist vera „upplýst“ verður ábyrgðaraðili að huga sérstaklega að því að upplýsingar séu á skýru og skiljanlegu máli fyrir börn. Loks er ætlast til þess í niðurlagsorðum þessa ákvæðis frumvarpsins að ábyrgðaraðili geri það sem sanngjarnt má telja til að sannreyna í slíkum tilvikum og hér um ræðir að samþykkið sé gefið eða heimilað af hálfu forsjáraðila barnsins, að teknu tilliti til þeirrar tækni sem fyrir hendi er. Hér eru því ekki settar fram tilteknar reglur um hvernig ábyrgðaraðili skuli sannreyna það, en það kann að taka mið af aðstæðum hvaða ráðstafana má telja sanngjarnt að ábyrgðaraðili grípi til. Nánari útfærslu á því miðað við ólíkar aðstæður má m.a. sjá í fyrrgreindum leiðbeiningum 29. gr. starfshópsins um samþykki.
Um 11. gr.
Í skýringum við 3. tölul. 3. gr. frumvarpsins kom fram að reglugerðin breytir upptalningu á þeim persónuupplýsingum sem falla hér undir í tvenns konar tilliti. Í fyrsta lagi falla nú ekki lengur í þennan flokk upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað eins og er samkvæmt gildandi lögum. Sérreglur um persónuupplýsingar af þessum toga koma nú fram í 10. gr. reglugerðarinnar og 12. gr. frumvarps þessa sem nánar verður fjallað um í skýringum við það ákvæði. Í öðru lagi bætir reglugerðin við tveimur flokkum upplýsinga sem í gildandi lögum eru ekki taldar upp í skilgreiningu viðkvæmra upplýsinga. Þetta eru annars vegar erfðafræðiupplýsingar og hins vegar lífkennaupplýsingar í því skyni að persónugreina einstakling með einkvæmum hætti.
Eins og fram kemur í 51. lið formála reglugerðarinnar eiga persónuupplýsingar, sem eru í eðli sínu sérlega viðkvæmar að því er varðar grundvallarréttindi og mannfrelsi, að njóta sérstakrar verndar þar sem vinnsla þeirra gæti haft í för með sér umtalsverða áhættu fyrir þessi réttindi. Meginmarkmið 11. gr. frumvarpsins er að skilgreina með tæmandi hætti hvenær heimilt er að víkja frá banni við vinnslu viðkvæmra persónuupplýsinga. Er hér byggt á talningu atriða sem réttlæta frávik og fram koma í 2. mgr. 9. gr. reglugerðarinnar. Þessi frávik eru nokkuð fleiri og ítarlegri en þau sem talin eru upp í núgildandi lögum og tilskipun ESB. Hér má benda á að 2. mgr. 9. gr. reglugerðarinnar veitir aðildarríkjum heimild til að útfæra nánar hvernig þessum undantekningum er háttað í landslögum, með öðrum orðum ber aðildarríkjum ekki skylda samkvæmt reglugerðinni til að heimila þær. Í þessu frumvarpi er sú leið valin að heimila slíkar undantekningar, líkt og gert hefur verið í norska og danska frumvarpinu til nýrra persónuverndarlaga.
Verður nú nánar vikið að skýringu á sérreglum 1. mgr. 11. gr. frumvarpsins m.a. í ljósi athugasemda sem koma fram í formála reglugerðarinnar en sem fyrr segir er hún byggð á talningu sömu atriða í 2. mgr. 9. gr. reglugerðarinnar.
Samkvæmt 1. tölul. má vinna með viðkvæmar persónuupplýsingar hafi hinn skráði afdráttarlaust samþykkt vinnsluna fyrir sitt leyti. Má ætla að á þetta geti reynt við gerð ýmiss konar samninga, svo sem vátryggingarsamninga, samninga um að njóta félagslegrar þjónustu o.s.frv. Við öflun samþykkis verður að uppfylla þær kröfur sem fram koma í skilgreiningu á samþykki skv. 8. tölul. 3. gr. frumvarpsins, svo og þau sérstöku skilyrði 10. gr. frumvarpsins sem lýst var framan, þar á meðal um skyldu ábyrgðaraðila til að gera beiðni um samþykki skýra og auðskiljanlega til að tryggja að það sé gefið af fúsum og frjálsum vilja. Skilyrði um samþykki hins skráða er ákjósanlegt frá sjónarhóli persónuverndar en það getur þó ekki alltaf ráðið úrslitum um hvort vinnsla fari fram eða ekki. Því er lagt til að vinnsla viðkvæmra persónuupplýsinga geti verið heimil í öðrum tilvikum og er um þau fjallað í 2.–11. tölul. 1. mgr.
Í 2. tölul. er lagt til að vinna megi með viðkvæmar persónuupplýsingar sé vinnslan nauðsynleg til þess að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd. Skilyrðið er efnislega áþekkt gildandi lögum. Hér á landi byggjast réttindi og skyldur á vinnumarkaði ekki síður á frjálsum samningum en lagafyrirmælum og því er lögð til sú viðmiðun að ábyrgðaraðili geti byggt vinnslu á samningi aðila á vinnumarkaði, en með því er m.a. átt við ákvæði í ráðningarsamningi og/eða heildarkjarasamningi. Hér sem endranær gildir einnig að því meiri íhlutun í einkalíf hins skráða sem vinnslan hefur í för með sér þeim mun ótvíræðara verður slíkt ákvæði að vera.
Í 3. tölul. er lýst heimild til vinnslu viðkvæmra persónuupplýsinga sé hún nauðsynleg til að verja brýna hagsmuni hins skráða eða annars einstaklings sem ekki er sjálfur fær um að gefa samþykki sitt. Ákvæðið er óbreytt frá gildandi reglu. Hin ströngu skilyrði með vísun til nauðsynjar og brýnna hagsmuna gefa til kynna að ákvæðið beri að túlka þröngt. Átt er við að hinn skráði sé ófær af líkamlegum ástæðum eða í lagalegum skilningi, t.d. vegna lögræðissviptingar, um að veita samþykki sitt. Í skýringu gildandi laga um ákvæðið er áréttað að vinnsla viðkvæmra persónuupplýsinga má ekki fara fram þegar hinn skráði gefur ekki samþykki sitt þótt hann geti það, jafnvel þótt hann tefli eigin hagsmunum þar með í tvísýnu. Hafi hinn skráði gerhæfi og skilji þá áhættu sem hann tekur á hann ákvörðunarvald í þeim efnum. Öðru máli gegnir ef neitun hefur þær afleiðingar að ekki verður unnt að verja verulega hagsmuni þriðja manns og getur þá reynt á þessa undanþágu. Hún hvílir m.a. á þeim almennu sjónarmiðum sem koma fram í 112. lið formála reglugerðarinnar að miðlun persónuupplýsinga teljist lögmæt þegar hún er nauðsynleg til að vernda hagsmuni sem skipta sköpum fyrir brýna hagsmuni skráðs einstaklings eða annars einstaklings, þar á meðal líkamlega friðhelgi eða líf, ef hinn skráði er ekki fær um að veita samþykki sitt.
Í 4. tölul. er lýst heimild til vinnslu fari hún fram sem liður í lögmætri starfsemi stofnunar, samtaka eða annars aðila sem starfar ekki í hagnaðarskyni og hefur stjórnmálaleg, heimspekileg, trúarleg eða stéttarfélagsleg markmið, enda nái vinnslan einungis til meðlima eða fyrrum meðlima viðkomandi aðila eða einstaklinga sem eru í reglulegu sambandi við hann í tengslum við starfsemi hans, persónuupplýsingar séu ekki fengnar þriðja aðila í hendur án samþykkis hinna skráðu og gerðar séu viðeigandi verndarráðstafanir. Ákvæðið er efnislega hið sama og í gildandi lögum. Það hefur verið skýrt á þann veg að það hafi ekki sjálfstæða þýðingu gagnvart einstökum meðlimum hafi þeir þegar samþykkt vinnsluna með samþykki skv. 1. tölul. Varðandi aðra einstaklinga kann að vera um einhvers konar þjónustusamband að ræða, sbr. t.d. ef hjálparsamtök útbúa lista yfir heimilislausa menn sem gist hafa í húsnæði samtakanna. Í slíkum tilvikum ber að túlka ákvæði 4. tölul. þannig að hið reglubundna samband, sem er forsenda vinnslunnar, byggist á fúsum og frjálsum vilja hins skráða. Þess vegna geta samtök t.d. ekki rekið kerfisbundna leitarstarfsemi og þannig öðlast rétt til að vinna með viðkvæmar upplýsingar um þá sem leitað er að en vilja e.t.v. ekki vera leitaðir uppi. Í ákvæðinu eru talin upp þau markmið samtaka sem falla undir umrætt ákvæði og það gert að skilyrði að um sé að ræða samtök með lögmæta starfsemi. Í því felst ekki aðeins að samtökin skuli vera lögleg í þröngum skilningi (þ.e. ekki bönnuð) heldur skuli vinnsla persónuupplýsinganna þjóna málefnalegum tilgangi vinnslunnar, sbr. meginreglur 8. gr. frumvarpsins, og taka viðhlítandi tillit til persónuverndar, en með því er m.a. átt við nauðsynlegar öryggis- og verndarráðstafanir. Af því leiðir að sé ekki tekið viðhlítandi tillit til persónuverndarsjónarmiða, með þeim afleiðingum að starfsemin telst vera ólögmæt, getur Persónuvernd skv. 42. gr. frumvarpsins bannað viðkomandi samtökum að vinna með viðkvæmar persónuupplýsingar eða mælt fyrir um ráðstafanir til að tryggja öryggi og persónuvernd. Þá skal áréttað að ákvæði 4. tölul. tekur ekki til allrar vinnslu persónuupplýsinga, enda beinlínis tekið fram að það heimili ekki birtingu (miðlun) upplýsinganna til óviðkomandi aðila. Samkvæmt því er ekki sjálfgefið að félagasamtök megi láta frá sér lista með nöfnum félagsmanna án þess að hafa til þess samþykki hvers og eins félagsmanns. Að öðru leyti skal tekið fram að það hvaða vinnsla sé heimil hverju sinni samkvæmt ákvæðinu hlýtur m.a. að ráðast af eðli viðkomandi samtaka. Í formála reglugerðarinnar er vikið að aðstæðum sem gætu átt undir ákvæðið þegar stjórnmálaflokkar eiga í hlut. Skv. 56. lið formálans má, þegar nauðsynlegt reynist fyrir starfsemi lýðræðislegs stjórnkerfis í aðildarríki, í tengslum við kosningar, heimila að stjórnmálaflokkar taki saman persónuupplýsingar um stjórnmálaskoðanir fólks í þágu almannahagsmuna, að því tilskildu að gerðar séu viðeigandi verndarráðstafanir. Þá er tekið fram í 55. lið formálans að vinnsla persónuupplýsinga af hálfu opinberra yfirvalda í þeim tilgangi að vinna að markmiðum opinberlega viðurkenndra trúarsamtaka, eins og mælt er fyrir um í stjórnarskrá eða samkvæmt þjóðarétti, fari einnig fram með vísan til almannahagsmuna.
Í 5. tölul. er lagt til að vinna megi með viðkvæmar persónuupplýsingar sem hinn skráði hefur augljóslega sjálfur gert opinberar. Ákvæðið er óbreytt frá gildandi lögum, en bætt er við tilvísun um að hinn skráði hafi „augljóslega“ gert upplýsingarnar opinberar. Með þessu er undirstrikað að vafi í þessum efnum yrði túlkaður hinum skráða í hag. Með því að upplýsingar hafi verið gerðar opinberar er átt við að þær hafi verið kunngjörðar ótilgreindum hópi manna, t.d. með ritun ævisögu eða í sjónvarpsviðtali. Síðari vinnsla slíkra upplýsinga er því heimil án sérstaks samþykkis hins skráða, en tekið skal fram að hér sem endranær gildir að gæta skuli að þeim meginreglum sem fram koma í 8. gr. frumvarpsins.
Samkvæmt 6. tölul. má vinna með viðkvæmar persónuupplýsingar til að unnt sé að stofna, hafa uppi eða verja réttarkröfur. Ákvæðið er efnislega hliðstætt gildandi lögum þar sem mælt er fyrir um vinnslu í því skyni að afmarka, setja fram og verja tiltekna kröfu vegna dómsmáls eða annarra slíkra laganauðsynja. Vinnuveitanda getur t.d. verið nauðsynlegt að vinna upplýsingar um heilsufar starfsmanns til að geta sýnt fram á lögmætar forsendur fyrir uppsögn. Það er ekki skilyrði að málið verði lagt fyrir dómstóla heldur nægir að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum. Vinnsla viðkvæmra persónuupplýsinga í þessum tilgangi telst hins vegar því aðeins vera lögleg að krafan verði hvorki afmörkuð né staðreynd með öðrum hætti. Í niðurlagi 52. liðar formála reglugerðarinnar er vísað til þess að vinnsla upplýsinga vegna slíkra krafna getur farið fram hvort heldur er á vegum dómstóls, við stjórnsýslumeðferð eða við málsmeðferð utan réttar.
Samkvæmt 7. tölul. má vinna með viðkvæmar persónuupplýsingar sé vinnslan nauðsynleg af ástæðum sem varða verulega almannahagsmuni og fyrir henni sé sérstök lagaheimild. Ákvæði þetta á beina fyrirmynd í g-lið 2. mgr. 9. gr. reglugerðarinnar. Auk þess verður að skoða 7. tölul. 1. mgr. frumvarpsákvæðisins í ljósi annarra ákvæða frumvarpsins og reglugerðarinnar. Þannig er fjallað um leyfisskylda vinnslu í 31. gr. frumvarpsins. Ákvæðið mælir fyrir um að ef vinnsla persónuupplýsinga fer fram vegna verkefnis í þágu almannahagsmuna sem getur falið í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra einstaklinga geti Persónuvernd ákveðið að vinnslan megi ekki hefjast fyrr en hún hafi verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar. Nánar verður fjallað um slík leyfi og skilyrði þeirra þegar viðkvæmar persónuupplýsingar eru annars vegar í skýringum með 31. og 32. gr. frumvarpsins. Í 52. lið formála reglugerðarinnar er m.a. fjallað um dæmi um almannahagsmuni sem hér gætu fallið undir, en sumra þeirra einnig getið í 8.–11. tölul. 1. mgr. 11. gr. frumvarpsins og 2. mgr. 9. gr. reglugerðarinnar. Er þar m.a. bent á vinnslu persónuupplýsinga á sviði vinnulöggjafar og löggjafar um félagslega vernd, m.a. lífeyri, og með hliðsjón af heilbrigðisöryggi, vöktun og viðvörunum, forvörnum og vörnum gegn smitsjúkdómum og annarri alvarlegri heilsufarsógn. Að auki er mælt fyrir um að vinnslu megi heimila af heilbrigðisástæðum, svo sem vegna lýðheilsu og stjórnunar heilbrigðisþjónustu, einkum til að tryggja gæði og kostnaðarhagkvæmni þess verklags sem notað er við uppgjör á kröfum um bætur og þjónustu sjúkratryggingakerfisins, eða vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi. Þá er rakið í 53. lið formála reglugerðarinnar að vinnsla viðkvæmra persónuupplýsinga, sem þurfa að njóta aukinnar verndar, ætti aðeins að fara fram í þágu heilsutengdra markmiða þegar það er nauðsynlegt til að ná þessum markmiðum í þágu einstaklinga og samfélagsins alls, einkum í tengslum við stjórnun heilbrigðis- eða félagsþjónustu og -kerfa. Í því sambandi er tilgreind vinnsla slíkra upplýsinga á vegum stjórnsýslunnar og miðlægra landsbundinna heilbrigðisyfirvalda í þágu gæðastýringar, gagnaumsýslu stjórnsýslunnar og almenns eftirlits með heilbrigðis- og félagsþjónustu á lands- og staðarvísu og til að tryggja samfellu í heilbrigðis- og félagsþjónustu og heilbrigðisþjónustu eða heilbrigðisöryggi yfir landamæri, vegna vöktunar og viðvörunar, eða vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi. Ljóst er að vinnsla viðkvæmra persónuupplýsinga í þágu mikilvægra samfélagshagsmuna af þeim toga sem taldir eru upp í þessum liðum formálans er iðulega heimiluð í sérlögum.
Samkvæmt 8. tölul. má vinna með viðkvæmar persónuupplýsingar sé vinnslan nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnulækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og láta í té umönnun eða meðferð á sviði heilbrigðis- eða félagsþjónustu, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnarskyldu. Þetta ákvæði skiptir einkum máli í tengslum við vinnslu upplýsinga um sjúklinga innan heilbrigðiskerfisins en um þá vinnslu er einnig fjallað í sérlögum á því sviði, sbr. m.a. lög nr. 55/2009, um sjúkraskrár. Þá skiptir ákvæðið máli í tengslum við vinnslu upplýsinga um starfsmenn sem fram fer á vegum trúnaðarlækna á vinnustöðum.
Í 9. tölul. er lýst heimild til vinnslu viðkvæmra persónuupplýsinga sé vinnslan nauðsynleg af ástæðum er varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu og lyfja eða lækningatækja en að því var einnig vikið fyrr. Um lýðheilsuhugtakið er fjallað í 54. gr. formála reglugerðarinnar. Tekið er fram að vinnsla viðkvæmra persónuupplýsinga vegna almannahagsmuna á sviði lýðheilsu án samþykkis skráðs einstaklings kunni að vera nauðsynleg. Slík vinnsla ætti að vera með fyrirvara um viðeigandi og sértækar ráðstafanir til að standa vörð um réttindi og frelsi einstaklinga. Í þessu samhengi ætti að túlka hugtakið „lýðheilsa“ eins og það er skilgreint í reglugerð Evrópuþingsins og ráðsins (EB) nr. 1338/2008, þ.e. sem alla heilsufarstengda þætti, nánar tiltekið heilsufar, m.a. sjúkdómstilvik og fötlun, ákvarðandi þætti sem hafa áhrif á heilsufar, þörf fyrir heilbrigðisþjónustu, fjármagn sem veitt er til heilbrigðisþjónustu, veitingu og almennan aðgang að heilbrigðisþjónustu og kostnað og fjármögnun heilbrigðisþjónustu, auk dánarorsakar. Slík vinnsla heilsufarsupplýsinga í þágu almannahagsmuna ætti ekki að leiða til vinnslu persónuupplýsinga í öðrum tilgangi af hálfu þriðju aðila, svo sem vinnuveitenda eða tryggingafélaga og bankastofnana. Hefur fyrrgreind reglugerð verið tekin upp í EES-samninginn.
Í 10. tölul. eru taldar upp heimildir til vinnslu viðkvæmra persónuupplýsinga sé vinnslan nauðsynleg vegna tölfræði-, sagnfræði- eða vísindarannsókna enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á í samræmi við lögin. Með tilteknum ráðstöfunum í 10. tölul. er vísað til aðgerða á borð við dulkóðun eða eyðingu persónuauðkenna, sem og annarra nauðsynlegra öryggisráðstafana sem viðhafa ber.
Í 11. tölul. eru veittar heimildir til vinnslu viðkvæmra persónuupplýsinga vegna skjalavistunar í þágu almannahagsmuna enda fari hún fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, einkum þagnarskyldu. Þetta ákvæði skiptir fyrst og fremst máli í tengslum við Þjóðskjalasafn Íslands og önnur opinber skjalasöfn, sbr. lög nr. 77/2014 um slík söfn.
Hafa ber í huga að ýmsar sérreglur gilda samkvæmt framangreindum ákvæðum 10. og 11. tölul. um undanþágur varðandi vinnslu vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi, sbr. einkum 89. gr. reglugerðarinnar og 18. gr. frumvarpsins. Verður nánar vikið að þeim í skýringum við það frumvarpsákvæði.
Í 2. mgr. 11. gr. frumvarpsins er kveðið á um að Persónuvernd leysi úr ágreiningi um hvort persónuupplýsingar skuli teljast viðkvæmar eða ekki. Er hér í raun áréttað það sem leiðir af almennum reglum 39. og 40. gr. frumvarpsins um verkefni og valdheimildir Persónuverndar sem eftirlitsstjórnvalds skv. VI. kafla reglugerðarinnar. Leiki vafi á um það hvort tilteknar upplýsingar teljist viðkvæmar er Persónuvernd þannig lögbært stjórnvald til að skera úr um það. Það útilokar þó ekki að dómstólar geti skorið úr slíku álitaefni ef aðilar máls sem lýtur að beitingu ákvæða persónuverndarlöggjafarinnar kjósa að leggja ágreining sinn fyrir dómstóla með venjubundnum hætti, svo sem nánar er vikið að í skýringum með 38. gr. frumvarpsins.
Um 12. gr.
Í reglugerðinni eru upplýsingar af þessum toga ekki taldar til sérstakra flokka persónuupplýsinga, en í 10. gr. hennar er þó að finna sérákvæði um efnið. Ljóst er að um slíkar upplýsingar gilda um margt sérstök sjónarmið, t.d. almannahagsmunir af því að hafa vitneskju um sakaferil manna í tengslum við ráðningu í störf og að starfrækt sé sakaskrá, að kæra til lögreglu getur verið nauðsynleg til að vekja athygli á refsiverðri háttsemi o.s.frv.
Samkvæmt 10. gr. reglugerðarinnar skal vinnsla persónuupplýsinga, sem varða sakfellingar í refsimálum og refsiverð brot eða tengdar öryggisráðstafanir á grundvelli 1. mgr. 6. gr. reglugerðarinnar, einungis fara fram undir eftirliti opinbers yfirvalds eða þegar vinnsla er heimiluð samkvæmt lögum sambandsins eða lögum aðildarríkis þar sem kveðið er á um viðeigandi verndarráðstafanir í tengslum við réttindi og frelsi skráðra einstaklinga. Þá segir að ítarlega skrá yfir refsidóma skuli varðveita undir eftirliti opinbers yfirvalds. Þannig er gert ráð fyrir því að í lögum aðildarríkis sé að finna nánari útfærslur á tilhögun við vinnslu slíkra upplýsinga. Frumvarpsákvæði þetta sem er nýmæli frá gildandi lögum er ætlað að setja fram slíkar reglur en það sækir að nokkru leyti fyrirmynd til 8. gr. danska frumvarpsins til nýrra persónuverndarlaga. Markmið þess er tvíþætt og lýtur annars vegar að setningu sérreglna um skyldur stjórnvalda í 1. og 2. mgr. og hins vegar að skyldum einkaaðila. Ljóst er að reglur 9. gr. frumvarpsins og 6. gr. reglugerðarinnar um almennar heimildir til vinnslu eiga hér við sem endranær og ákvæðið felur ekki í sér undantekningar á því heldur áréttar nokkur atriði sem vinnslan verður að byggjast á og setur í sumu tilliti strangari skilyrði þótt þau séu ekki jafn ströng og þau sem gilda um vinnslu viðkvæmra persónuupplýsinga. Reglugerðin vísar berum orðum til upplýsinga um „sakfellingu“ í refsimáli og verður að álykta af því að hún gildi ekki um vinnslu upplýsinga í tengslum við sýknudóma. Ekki er skilgreint í texta hennar hvað felst í tilvísun til refsiverðs brots og tengdra öryggisráðstafana. Þessi hugtök verða skýrð rúmt og ná til upplýsinga um það einnig hvort maður hafi verið grunaður, kærður eða ákærður fyrir refsiverðan verknað. Hugtakið öryggisráðstafanir yrði einnig að túlka rúmt og má geta þess að í skýringum í norska frumvarpinu til nýrra persónuverndarlaga er litið svo á að það nái til ráðstafana sem byggðar eru á heimildum sakamálalaga í tengslum við rannsókn sakamála.
Hvað varðar skyldur stjórnvalda samkvæmt þessu frumvarpsákvæði birtist sú meginregla í 1. mgr. að stjórnvöld mega ekki vinna með upplýsingar um refsiverða háttsemi nema það sé nauðsynlegt í þágu lögbundinna verkefna þeirra. Þá er gert ráð fyrir ákveðnum sérreglum um miðlun slíkra upplýsinga í 2. mgr. ákvæðisins, en eitthvert þeirra skilyrða þarf að vera uppfyllt. Þeim má því ekki miðla nema í fyrsta lagi að hinn skráði hafi gefið ótvírætt samþykki sitt fyrir miðluninni eftir þeim reglum sem gilda samkvæmt lögunum um samþykki, í öðru lagi að miðlunin sé nauðsynleg í þágu lögmætra hagsmuna hins opinbera eða einkaaðila sem auðsjáanlega vega þyngra en þeir hagsmunir sem eru af leynd um upplýsingarnar, þar á meðal hagsmunir hins skráða, í þriðja lagi að miðlunin sé nauðsynleg í þágu lögbundinna verkefna viðkomandi stjórnvalds eða til að unnt sé að taka stjórnvaldsákvörðun eða í fjórða lagi að miðlunin sé nauðsynleg vegna verkefnis í þágu hins opinbera sem einkaaðila hefur verið falið á lögmætan hátt. Hér ber að hafa í huga að víða í lögum er að finna heimildir til þess að stjórnvöld vinni með upplýsingar um hvort maður hafi hlotið refsidóm. Dæmi af þeim toga má sjá í 36. gr. barnaverndarlaga, nr. 80/2002, sem fjallar um rétt Barnaverndarstofu til upplýsinga úr sakaskrá og miðlun upplýsinga til barnaverndarnefnda. Þá er ljóst að ríkissaksóknara er skylt að halda sakaskrá fyrir landið allt þar sem skráðar eru niðurstöður sakamála og samræmist það áskilnaði 10. gr. reglugerðarinnar um að aðildarríki skuli halda ítarlega skrá yfir refsidóma undir eftirliti opinbers yfirvalds. Eins gilda heimildir í sérlögum um vinnslu persónuupplýsinga hjá lögreglu, sbr. t.d. i-lið 1. mgr. 5. gr. lögreglulaga, nr. 90/1996, um að ríkislögreglustjóri haldi málaskrá um kærur sem berast lögreglu, dagbók lögreglu, skrá yfir handtekna menn o.fl. og lög um erfðaefnisskrá lögreglu, nr. 88/2001, o.fl. Þá er ljóst að tilskipun ESB nr. 2016/680 um vinnslu persónuupplýsinga á sviði lögreglumála geymir sérreglur um vinnslu persónuupplýsinga í þágu lögreglu, sem innleiddar verða hér á landi með sérstökum lögum eftir að gerðin hefur verið tekin upp í EES-samninginn.
Seinni hluti frumvarpsákvæðisins lýtur að möguleikum á því að einkaaðilar vinni með persónuupplýsingar um refsiverða háttsemi. Slík vinnsla er aðeins heimil skv. 3. mgr. án samþykkis hins skráða sé hún nauðsynleg í þágu lögmætra hagsmuna sem auðsjáanlega vega þyngra en einkalífsréttur hins skráða. Þá eru frekari fyrirvarar gerðir um miðlun slíkra upplýsinga í 4. mgr. ákvæðisins um að ábyrgðaraðili megi ekki miðla upplýsingunum nema hinn skráði veiti til þess ótvírætt samþykki sitt. Einnig er þar að finna undantekningu um að miðla megi upplýsingum án samþykkis sé það nauðsynlegt í þágu lögmætra hagsmuna hins opinbera eða einkaaðila sem auðsýnilega vega þyngra en þeir hagsmunir sem eru af leynd um upplýsingarnar, þar á meðal hagsmunir hins skráða. Dæmi um aðstæður þar sem lögmætir hagsmunir réttlæta vinnslu einkaaðila skv. 3. mgr. og miðlun upplýsinga skv. 4. mgr. gæti verið þegar fyrirtæki skráir upplýsingar um grun um refsiverða háttsemi manna, t.d. þjófnað í verslun, með það í huga að tilkynna lögreglu um meint brot. Þá má nefna varðveislu á upptökum úr eftirlitsmyndavélum í sama skyni.
Í lokamálsgrein þessa frumvarpsákvæðis er mælt fyrir um að vinnsla upplýsinga samkvæmt greininni skuli ávallt eiga stoð í einhverri af heimildum 1. mgr. 9. gr. laganna, sbr. 1. mgr. 6. gr. reglugerðarinnar. Af þessu er ljóst að skilyrði um almennar vinnsluheimildir verða að vera uppfyllt til að frumvarpsákvæðið eigi við, það skapar með öðrum orðum ekki sjálfstæðar vinnsluheimildir fyrir ábyrgðaraðila.
Um 13. gr.
Ljóst er að notkun kennitölu getur aukið áreiðanleika persónuupplýsinga með því að stuðla að öruggari persónugreiningu en ella, þ.e. að tveimur eða fleiri einstaklingum sé ekki ruglað saman. Jafnframt getur hún hins vegar falið í sér skerðingu á friðhelgi einkalífs þar sem hún er fremur einfaldur lykill að persónugreiningu upplýsinga og gerir það að verkum að auðveldara er en ella að samkeyra persónuupplýsingar sem fengnar eru úr mismunandi skrám og mynda úr þeim eina skrá. Tilgangurinn með notkun kennitölu er fyrst og fremst sá að stuðla að öruggri persónugreiningu þegar það á við, þ.e. að tengja tilteknar upplýsingar við þann sem upplýsingarnar varða.
Í frumvarpinu er nýtt heimild til að viðhalda ákvæði um kennitölur inni í landslögum og eru ekki ráðgerðar breytingar frá 10. gr. gildandi laga. Samkvæmt ákvæðinu þarf notkun kennitölu að eiga sér málefnalegan tilgang og vera nauðsynleg til að tryggja örugga persónugreiningu upplýsinga. Kröfunni um málefnalegan tilgang verður ekki fullnægt nema önnur auðkenni, svo sem nafn, heimilisfang eða viðskiptanúmer, séu ófullnægjandi. Við mat á málefnalegum tilgangi ber m.a. að líta til þess hvort örugg persónugreining sé mikilvæg fyrir hinn skráða, fyrir ábyrgðaraðila eða vegna almannahagsmuna.
Að öðru leyti er ekki lagt til að setja fram ítarlega eða tæmandi talningu á því hvenær notkun kennitölu sé heimil enda getur hún átt við í fjölbreytilegum aðstæðum. Krafan um viðhlítandi gæði og öryggi tekur m.a. til þess að upplýsingar séu uppfærðar reglulega og að persónuupplýsingarnar séu réttar og fullnægjandi. Persónuvernd getur gefið út frekari leiðbeiningar um notkun kennitalna og skorið úr ágreiningi um það hvort notkun kennitölu sé heimil. Í úrskurðum Persónuverndar um gildandi lagaákvæði um kennitölur hefur m.a. komið fram að ákvæði 10. gr. er til fyllingar ákvæði 8. gr. um vinnsluheimildir en í því felst að til að vinna megi með almennar persónuupplýsingar verður ávallt að vera fullnægt einhverju skilyrðanna í 1. mgr. síðarnefnda ákvæðisins. Það sama gildir um samspil þessarar sérreglu frumvarpsins um kennitölur við almennar vinnsluheimildir skv. 1. mgr. 9. gr. þess. Þannig þarf ábyrgðaraðili bæði að uppfylla einhverja þeirra og haga vinnslu kennitalna í samræmi við 13. gr.
Um 14. gr.
Frumvarpinu er ekki ætlað að breyta efnislega ákvæðum gildandi laga um rafræna vöktun eða reglna settra á grundvelli þeirra. Núgildandi ákvæði voru endurskoðuð og uppfærð með lögum nr. 81/2002 og nr. 46/2003 í því skyni að leysa úr óvissu um nokkur atriði varðandi m.a. sjónvarpsvöktun án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga. Þá setti Persónuvernd árið 2006 nánari reglur um rafræna vöktun og meðferð persónuupplýsinga sem verða til við slíka vöktun, nr. 837/2006, og hafa þær verið endurskoðaðar og uppfærðar á síðustu árum. Reglurnar taka til rafrænnar vöktunar á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði. Þær gilda óháð því hvers konar tæknibúnaður er notaður, svo sem hvort notaðir eru netþjónar, búnaður til að fylgjast með símanotkun, eftirlitsmyndavélar, vefmyndavélar, ökuritar, rafrænn staðsetningarbúnaður o.s.frv. Til rafrænnar vöktunar telst meðal annars tölvupóstsvöktun sem fer fram með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna. Í reglunum er nánar lýst skilyrðum vöktunar, varðveislu, miðlun og eyðingu upplýsinga sem verða til við rafræna vöktun, sérreglum um tölvupóst og netnotkun starfsmanna á vinnustöðum og fræðslu- og upplýsingaskyldu.
Rafræn vöktun með eftirlitsmyndavélum eða öðrum tækjum hefur færst stöðugt í aukana á undanförnum áratug hvort heldur í starfsemi fyrirtækja eða hjá einstaklingum, svo sem við heimili fólks, enda er rafrænn tækjabúnaður til vöktunar af margvíslegum toga í stöðugri þróun og orðinn mjög aðgengilegur almenningi. Í sumum ríkjum hefur verið sett sérstök löggjöf eða ítarlegar reglur um efnið. Má m.a. benda á að í Noregi hefur verið lagt til að samhliða frumvarpi til nýrra persónuverndarlaga verði sett sérstök lagaákvæði um eftirlitsmyndavélar á vinnustöðum. Álitaefni er hvort færa ætti ákvæði um þessi efni inn í sérstök lög hér á landi en í frumvarpi þessu er sem fyrr segir gert ráð fyrir óbreyttum reglum um efnið frá gildandi lögum.
Mótast hefur talsverð framkvæmd um beitingu lagaákvæðanna um rafræna vöktun og reglna þar um og hefur Persónuvernd kveðið upp fjölmarga úrskurði um efnið. Þar hefur m.a. hefur verið leyst úr ágreiningi um uppsetningu eftirlitsmyndavéla við híbýli fólks, svo sem í fjölbýlishúsum eða við atvinnuhúsnæði innan og utan lóðamarka, birtingu myndefnis sem safnað er, vöktun með hljóðupptökum, ökuritum svo og meðferð tölvupósta starfsmanna. Þá hefur Persónuvernd gefið út leiðbeiningar um ýmis atriði tengd framkvæmd þessara ákvæða, þar á meðal það sem þarf að hafa í huga við uppsetningu eftirlitsmyndavéla á vinnustað.
Reglugerð ESB hefur ekki að geyma nein sérákvæði um rafræna vöktun en aðildarríki geta sett sérreglur þar um innan þess ramma sem reglugerðin setur. Á einum stað í reglugerðinni er vísað til þess hvernig túlka beri ákvæði hennar í tengslum við vöktun með eftirlitsmyndavélum. Nánar tiltekið segir í 91. lið formálans, sem fjallar um það hvenær mat á áhrifum á persónuvernd ætti að fara fram skv. 35. gr. reglugerðarinnar, að slíkt mat ætti að framkvæma þegar um sé að ræða umfangsmikið eftirlit með svæðum sem eru aðgengileg almenningi, einkum þegar notaður sé ljósrafeindabúnaður (e. optic-electronic devices) eða um ræði aðrar aðgerðir sem eftirlitsstjórnvald telji líklega hafa í för með sér mikla áhættu fyrir réttindi og frelsi skráðra einstaklinga, einkum vegna þess að þær komi í veg fyrir að hinir skráðu geti neytt réttar síns, notað þjónustu eða byggt á samningi, eða vegna þess að þær séu umfangsmiklar og framkvæmdar kerfisbundið. Ákvæði reglugerðarinnar gilda að öðru leyti almennt um vinnslu persónuupplýsinga sem fást með rafrænni vöktun. Þó ber að hafa í huga að slík vöktun, sem eingöngu þjónar einstaklingi persónulega eða fjölskyldu hans, fellur utan gildissviðs reglugerðarinnar, sbr. c-lið 2. mgr. 2. gr. hennar, svo og 2. mgr. 4. gr. frumvarps þessa. Þannig mundi eftirlitsmyndavél sem eingöngu vaktar einkaheimili, þ.e. íbúð þess sem viðhefur vöktunina eða t.d. einkagarð eða bílskúr viðkomandi, ekki falla hér undir. Óheimil er hins vegar uppsetning eftirlitsmyndavéla sé þeim gagngert beint að híbýlum nágranna. Vöktun annarra svæða, svo sem sameignar fjöleignarhúss, fellur undir lögin. Oft eru slík svæði vöktuð í þeim tilgangi að hindra innbrot og skemmdarverk, og getur slíkt talist til málefnalegs tilgangs. Eigi vöktunin sér stað á svæði sem fáir fara um, svo sem við inngang í fjölbýlishús eða í bílastæðahús, leiðir af ákvæðinu að uppfylla þarf skilyrði um sérstaka nauðsyn. Þá getur ákvörðun um uppsetningu eftirlitsmyndavéla í eða við fjöleignarhús verið bundin öðrum reglum, t.d. ákvæðum fjöleignarhúsalaga, nr. 26/1994, sem lúta að ákvörðunum sem tengjast sameign í slíkum húsum.
Ákvæði reglugerðarinnar gera víða ráð fyrir því að aðildarríki setji sérreglur. Þar undir geta fallið sérreglur um rafræna vöktun og má þar benda á 88. gr. reglugerðarinnar sem fjallar um vinnslu í atvinnutengdu samhengi. Þar er tekið fram að í lögum megi kveða á um sértækar reglur til að tryggja vernd réttinda og frelsis við vinnslu persónuupplýsinga starfsmanns í atvinnutengdu samhengi, einkum að því er varðar ráðningu, framkvæmd ráðningarsamnings, stjórnun, undirbúning og skipulagningu vinnu, jafnrétti og fjölbreytileika á vinnustað, heilbrigði og öryggi, vernd eigna vinnuveitanda eða viðskiptavinar og það að vinnutengd réttindi og fríðindi séu nýtt. Rennir þetta ákvæði viðhlítandi stoðum undir að settar séu sérstakar reglur um eftirlitsmyndavélar á vinnustöðum. Samhliða því verður að viðhafa viðeigandi verndar- og öryggisráðstafanir gagnvart hinum skráða, enda ljóst að stöðug vöktun með starfsmönnum á vinnustað felur í sér talsvert inngrip í friðhelgi einkalífs þeirra. Því skiptir máli að einkalífsréttur þeirra sem sæta vöktun sé virtur eins og kostur er og forðast ber alla óþarfa íhlutun í einkalíf þeirra, en í því felst m.a. að gengið skal úr skugga um hvort markmiðinu með vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.
Sérreglur hafa lengi verið í lögum um rafræna vöktun á vegum þeirra sem sinna öryggisþjónustu í atvinnuskyni, sbr. lög nr. 58/1997, um öryggisþjónustu, og reglugerð um sama efni nr. 340/1997. Samkvæmt þeim getur starf þeirra sem fá leyfi ríkislögreglustjóra til að reka öryggisþjónustu m.a. falist í notkun myndavéla við eftirlit með fólki, bæði á lokuðum svæðum og svæðum opnum almenningi. Í starfsleyfum sem ríkislögreglustjóri veitir samkvæmt þessu kemur fram að leyfishafi skuli gæta þess í starfi sínu að safna hvorki né skrá upplýsingar sem óheimilt er að meðhöndla samkvæmt lögum um skráningu og meðferð persónuupplýsinga og að í því felist m.a. að upptaka á myndefni og í kjölfarið skráning á persónuupplýsingum sé óheimil án samþykkis Persónuverndar. Þá hefur lögreglan um árabil rekið eftirlitsmyndavélar á almannafæri, t.d. í miðbæ Reykjavíkur og víðar. Heimild lögreglunnar til slíks byggist á almennum reglum persónuverndarlaga og reglum settum samkvæmt þeim, sbr. 2. mgr. 45. gr. laganna og reglugerð nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu. Þá má í þessu sambandi líta til 2. mgr. 82. gr. laga nr. 88/2008, um meðferð sakamála.
Ákvæði 1. mgr. þessar greinar er samhljóða 1. mgr. 4. gr. núgildandi laga, en þar eru sett fram þau almennu skilyrði fyrir rafrænni vöktun að hún fari fram í málefnalegum tilgangi og þegar um ræðir vöktun svæðis þar sem takmarkaður hópur fer um að jafnaði að hennar sé sérstök þörf vegna eðlis þeirra starfsemi sem þar fer fram. Hér er um matskennda ákvörðun að ræða en ljóst er að Persónuvernd getur endurskoðað hvort þessum áskilnaði sé fullnægt.
Markmið 2. mgr. ákvæðisins er að árétta að vinnsla persónuupplýsinga sem á sér stað í tengslum við rafræna vöktun skal uppfylla ákvæði þess. Er þá til dæmis átt við að skilyrðum 9. gr. um almennar heimildir til vinnslu og eftir atvikum 11. gr. um sérstök skilyrði fyrir vinnslu viðkvæmra upplýsinga þarf að vera fullnægt.
Í 3. mgr. er nánar vikið að heimildum í tengslum við framkvæmd rafrænnar vöktunar og skilyrði þess að safna efni eða sem verður til við vöktunina, svo sem hljóð- og myndefni, með viðkvæmum persónuupplýsingum og upplýsingum um refsiverða háttsemi. Eru skilyrði þessi m.a. nánar útfærð í fyrrnefndum reglum Persónuverndar um efnið. Þar er áréttað að rafræn vöktun verður að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, svo sem í þágu öryggis eða eignavörslu. Einnig er áréttað að óheimilt er að varðveita persónuupplýsingar sem til verða við rafræna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar. Málefnaleg ástæða til að varðveita upplýsingar getur m.a. byggst á fyrirmælum í lögum eða því að ábyrgðaraðili vinni enn með þær í samræmi við upphaflegan tilgang með öflun þeirra. Upplýsingar sem verða til við rafræna vöktun má þó ekki varðveita lengur en í 90 daga nema lög heimili. Þetta á ekki við um persónuupplýsingar sem verða til við atburðaskráningu eða eru geymdar á öryggisafritum. Sama á við um upplýsingar sem nauðsynlegar eru til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Ákvæðið leggur bann við því að efni sem verður til við vöktun verði afhent öðrum eða unnið frekar nema með samþykki viðkomandi eða á grundvelli sérstakra reglna sem Persónuvernd kann að setja skv. 5. mgr. Frá því er gerð sú undantekning, byggð á réttaröryggissjónarmiðum, að heimilt er að afhenda lögreglu upplýsingar um slys eða meintan refsiverðan verknað.
Í 4. mgr. er að finna ákvæði samhljóða 24. gr. gildandi laga sem fjallar um viðvaranir um rafræna vöktun. Samkvæmt því er skylt, þegar rafræn vöktun fer fram á vinnustað eða á almannafæri, að gera glögglega viðvart um vöktunina og hver sé ábyrgðaraðili með merki eða á annan áberandi. Greinin hefur að geyma sérákvæði um viðvörunarskyldu þegar um rafræna vöktun er að ræða. Hafa almenn viðvörunarákvæði reglugerðarinnar og frumvarpsins ekki þótt eiga vel við þessa tegund vinnslu persónuupplýsinga og því er talin þörf fyrir sérstakt ákvæði um hana. Hér verða oft engin bein tengsl milli ábyrgðaraðila og hins skráða og ábyrgðaraðila verður e.t.v. ekki kunnugt um nafn eða heimili hins skráða. Af því leiðir að almenna reglan um einstaklingsbundnar viðvaranir á ekki við. Þetta leysir hins vegar ekki ábyrgðaraðila sem er í beinu sambandi við hinn skráða, t.d. í vinnuréttarsambandi, undan þeirri skyldu að fræða hann um þá vinnslu persónuupplýsinga sem fer fram hjá honum. Vöktun með leynd er óheimil nema hún styðjist við lagaheimild eða úrskurð dómara, sbr. einnig 3. gr. reglna Persónuverndar um rafræna vöktun. Sérreglur um þess háttar vöktun koma m.a. fram í ákvæðum um rannsóknarheimildir lögreglu í XI. kafla laga um meðferð sakamála, nr. 88/2008.
Lokaákvæðið í 5. mgr. frumvarpsgreinarinnar lýtur að heimild Persónuverndar til að setja reglur og gefa fyrirmæli um rafræna vöktun og vinnslu efnis sem verður til við vöktunina, svo sem hljóð- og myndefnis, þar á meðal um öryggi þess, rétt hins skráða til að horfa eða hlusta á upptökur, varðveislutíma og eyðingu, varðveisluaðferð, afhendingu efnisins og notkun þess. Eins og fyrr var nefnt voru slíkar reglur settar árið 2006 og hafa tekið ýmsum breytingum. Þess má geta að ásamt 2. tölul. 3. mgr. frumvarpsins veitir umrætt ákvæði svigrúm til að heimila afhendingu myndefnis með viðkvæmum persónuupplýsingum til fleiri aðila en eingöngu lögreglu en slíkt kann að styðjast við málefnaleg rök. Má þar nefna að afhending til tryggingafélags á myndefni af slysi, sem hefur að geyma slíkar upplýsingar, kann að þjóna hagsmunum einstaklinga af skjótri úrlausn um vátryggingarábyrgð og flýta fyrir greiðslu bóta til þeirra.
Um 15. gr.
Reglugerð ESB geymir engin ákvæði sem lúta að vinnslu upplýsinga um fjárhagsmálefni. Hafa aðildarríki því svigrúm til að setja sérreglur um þau efni innan ramma reglugerðarinnar. Í sumum ríkjum hafa verið settar ítarlegar reglur um vinnslu upplýsinga um fjárhagsmálefni hvort heldur í sérlögum eða inni í ákvæðum almennrar persónuverndarlöggjafar. Dæmi um hið síðarnefnda má sjá í danskri persónuverndarlöggjöf en í gildandi lögum frá árinu 2000 eru tveir kaflar (15.–26. gr.) helgaðir ákvæðum um vinnslu upplýsinga hjá fjárhagsupplýsingastofum. Í fyrirliggjandi frumvarpi til nýrra persónuverndarlaga í Danmörku standa ákvæði þessi að miklu leyti óbreytt, þar á meðal áskilnaður um að starfræksla fjárhagsupplýsingastofa sé háð leyfi frá dönsku persónuverndarstofnuninni. Í skýringum með frumvarpinu er vísað til þess að setning sérreglna um þessi efni eigi stoð í 2. mgr. 6. gr. reglugerðar ESB sem kveður á um að aðildarríkjum sé heimilt að viðhalda eða innleiða sértækari ákvæði til að aðlaga beitingu reglugerðarinnar að því er varðar tiltekna vinnslu þannig að samrýmist c- og e-lið 1. mgr. sama ákvæðis með því að setja fram með ítarlegri hætti sértækar kröfur til vinnslunnar.
Í frumvarpsákvæði þessu er ákvæði um vinnslu upplýsinga um fjárhagsmálefni flutt úr lokaákvæði um reglugerðarheimildir í II. kafla um almennar reglur um vinnslu. Kveðið er skýrt á um að starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga um fjárhagsmálefni og lánstraust bæði einstaklinga og lögaðila sé leyfisskyld. Þó gilda aðeins tilteknar greinar frumvarpsins þegar um lögaðila er að ræða eins og fyrr greinir. Þá kemur meðal annars fram að ákvæðið tekur til vanskilaskráningar en á vinnslu slíkra upplýsinga hefur einkum reynt í gildistíð núgildandi laga. Hafa allmargir úrskurðir gengið hjá Persónuvernd vegna ágreinings um heimildir samkvæmt lögum, reglum og skilmálum í starfsleyfi fjárhagsupplýsingastofu, sem er aðeins ein hér á landi, Creditinfo Lánstraust hf. Hefur því mótast nokkuð föst framkvæmd um túlkun gildandi laga um persónuvernd þegar um er að ræða vanskilaskráningu.
Ítarlega útfærslu á reglum um um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust er að finna í reglugerð nr. 246/2001. Skv. 1. gr. hennar er markmið hennar að tryggja öryggi, áreiðanleika og gæði vinnslu upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga, fyrirtækja og annarra lögaðila. Í 1. mgr. 1. gr. er einnig tekið fram að reglugerðin taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi, en um lánshæfismat verður nánar fjallað hér á eftir. Skv. 2. mgr. 1. gr. á fyrrgreind reglugerð einvörðungu við um vinnslu í því skyni að miðla upplýsingum til annarra um fjárhagsmálefni og lánstraust. Ef ekki er stofnað til vinnslu í slíkum tilgangi fellur hún utan gildissviðs reglugerðarinnar. Það á t.d. við um vinnslu banka á slíkum upplýsingum sem einvörðungu er til eigin nota. Í reglugerðinni er nánar lýst skyldum fjárhagsupplýsingastofa sem ábyrgðaraðila og hvaða upplýsingar þeim er heimilt að vinna með. Sérákvæði eru um rétt hins skráða m.a. í 7. og 8. gr. reglugerðarinnar um upplýsingarétt, aðvaranir og andmælarétt. Þá er mælt fyrir um í 5. gr. að eyða skuli upplýsingum jafnharðan þegar þær verða fjögurra ára gamlar, nema annað sé sérstaklega heimilað í starfsleyfi frá Persónuvernd.
Nýmæli í þessu frumvarpsákvæði er að vísa sérstaklega til vinnslu upplýsinga sem lýtur að gerð lánshæfismats og taka fram að sú vinnsla þurfi að byggjast á leyfi Persónuverndar. Á undanförnum árum hefur vinnsla persónuupplýsinga sem fer fram við gerð lánshæfismats haft æ meiri þýðingu sem skilyrði fyrir lánveitingum. Í k-lið 5. gr. laga um neytendalán nr. 33/2013 er lánshæfismat skilgreint sem mat lánveitanda byggt á upplýsingum sem eru til þess fallnar að veita áreiðanlegar vísbendingar um líkindi þess hvort lántaki geti efnt lánssamning. Lánshæfismat skal byggt á viðskiptasögu aðila á milli og/eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust. Þá er í 10. gr. laganna nánar fjallað um hvernig lánshæfismat er gert að skilyrði fyrir gerð samnings um neytendalán. Áþekk ákvæði er að finna í 15. tölul. 4. gr. og 20. gr. laga um fasteignalán til neytenda, nr. 118/2016. Loks er að finna sérstök lög um lánshæfismatsfyrirtæki, nr. 50/2017, sem byggjast á ESB-reglugerðum sem teknar hafa verið upp í EES-samninginn. Lögin lúta fyrst og fremst að eftirliti Eftirlitsstofnunar EFTA og Fjármálaeftirlitsins með lánshæfismatsfyrirtækjum en lítil reynsla er komin á framkvæmd laganna.
Á síðustu árum hefur Persónuvernd fjallað um kvartanir sem lúta að vinnslu persónuupplýsinga við gerð lánshæfismats þar sem m.a. er byggt á vanskilaupplýsingum. Fyrrgreind reglugerð, nr. 246/2001, tekur ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi og gilda því hér eingöngu almennar reglur persónuverndarlaga um vinnsluheimildir og réttindi hins skráða. Samkvæmt því þarf vinnsla upplýsinga um fjárhagsmálefni og lánstraust að eiga sér stoð í einhverjum af töluliðum 1. mgr. 8. gr. gildandi laga. Hefur Persónuvernd tekið fram í úrskurðum sínum að sú aðgerð að afla upplýsinga um lánshæfismat hjá Creditinfo, geti einkum stuðst við 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þar sem fram kemur að vinnsla sé heimil ef hún er nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, sem og 7. tölul. sama ákvæðis, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna ábyrgðaraðila, þriðja aðila eða þess aðila sem upplýsingum er miðlað til nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Þá hefur vinnsla í tengslum við gerð lánshæfismats einkum verið talin styðjast við síðarnefnda töluliðinn. Við mat á því hvort vinnsla sé heimil samkvæmt honum verður að líta til þess hvort hagsmunir ábyrgðaraðila af því að vinnslan fari fram skuli vega þyngra en hagsmunir hins skráða af því að vinnslan fari ekki fram. Þá verður vinnslan einnig að vera nauðsynleg. Verður því að meta í hverju tilviki hvort umrædd skilyrði séu uppfyllt þegar afla á upplýsinga um lánshæfismat.
Eðlilegt væri að setja sérstakar reglur eða frekari ákvæði um framkvæmd persónuverndarreglna í tengslum við gerð og öflun upplýsinga um lánshæfismat inn í fyrrgreinda reglugerð um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga. Þá er álitamál hvort rétt væri að setja sérstök lög um efnið í ljósi þessa mikla umfangs sem er á vinnslu persónuupplýsinga um fjárhagsmálefni og lánstraust og margvíslegra áhrifa sem slík vinnsla hefur á stöðu einstaklinga, einkum gagnvart fjármálafyrirtækjum.
Um 16. gr.
Meginreglan skv. 29. gr. núgildandi laga byggist á 25. gr. ESB-tilskipunarinnar og mælir fyrir um að flutningur persónuupplýsinga til annars ríkis sé heimill ef lög þess veita persónuupplýsingum fullnægjandi vernd. Hvorki tilskipunin né núgildandi lög skilgreina hvað felst í flutningi en í framkvæmdinni er miðað við flutning á eða aðgang að persónuupplýsingum yfir landamæri tveggja eða fleiri ríkja. Rétt er að taka fram að flutningur getur átt sér stað innan sama fyrirtækis eða fyrirtækjasamsteypu sem hefur starfsemi í mörgum löndum. Þannig felur flutningur ekki alltaf í sér miðlun persónuupplýsinga milli tveggja óskyldra aðila. Í 29. gr. núgildandi laga felst að frjálst er að miðla upplýsingum innan Evrópska efnahagssvæðisins enda eru öll ríkin þar bundin af tilskipuninni. Skv. 2. mgr. 29. gr. laganna getur ríki sem framfylgir tilskipuninni talist fullnægja skilyrðum 1. mgr. Það sama gildir um lönd eða staði sem Persónuvernd auglýsir í Stjórnartíðindum að virtum ákvörðunum framkvæmdastjórnar ESB. Í auglýsingum Persónuverndar eru talin upp þau ríki sem viðurkennd hafa verið af framkvæmdastjórninni og eru þau á annan tug þegar þetta er ritað. Framkvæmdastjórnin getur einnig tekið slíkar ákvarðanir varðandi einstaka staði eða viðtökuaðila. Þótt það ríki, þar sem viðtökuaðili er staddur, þyki almennt ekki veita næga vernd er samkvæmt þessu unnt að koma á fyrirkomulagi þar sem tilteknir aðilar innan þess eru taldir öruggir viðtakendur persónuupplýsinga. Var slíku fyrirkomulagi komið á varðandi Bandaríkin en þarlend fyrirtæki gátu fengið viðurkenningu á að þau væru svonefndar „öruggar hafnir“ (e. safe harbour). Til öruggra hafna töldust nánar tiltekið fyrirtæki sem ákveðið höfðu að fara að reglum bandaríska viðskiptaráðuneytisins um vernd friðhelgi einkalífs og hélt bandaríska ráðuneytið lista yfir þessi fyrirtæki. Um öruggar hafnir og þau viðmið sem byggt er á var fjallað í ákvörðun framkvæmdastjórnarinnar nr. 2000/520/EB frá 26. júlí 2000. Þá ákvörðun dæmdi Evrópudómstóllinn ógilda með dómi sínum hinn 6. október 2015 (mál nr. C-362/14) þar sem vernd persónuupplýsinga var ekki talin nægilega vel tryggð. Hófust í framhaldinu viðræður milli ESB og Bandaríkjanna um nýtt fyrirkomulag og lyktaði því ferli með ákvörðun framkvæmdastjórnarinnar (ESB) 2016/1250 um heimild til að flytja persónuupplýsingar til aðila í Bandaríkjunum sem falla undir reglur um svokallaðan „friðhelgisskjöld“ (e. privacy shield). Með auglýsingu nr. 953/2016 breytti Persónuvernd auglýsingu nr. 228/2010 um flutning persónuupplýsinga til annarra landa þannig að fram kæmi að miðla mætti persónuupplýsingum til bandarískra fyrirtækja sem færu að þeim reglum.
Reglugerð ESB breytir ekki í meginatriðum gildandi rétti um miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana. Ákvæði um efnið í V. kafla hennar eru þó mun ítarlegri en þau sem er að finna í tilskipun ESB um efnið og setja fram með skýrari hætti viðmið til að tryggja persónuvernd við flutning upplýsinga úr landi og undantekningar frá meginreglunni. Í 45. gr. eru birtar almennar meginreglur um miðlun upplýsinga, 46. gr. fjallar um viðeigandi verndarráðstafanir og þá er nýmæli að ítarlegt ákvæði er um bindandi fyrirtækjareglur í 47. gr. reglugerðarinnar, en samkvæmt henni skulu lögbær eftirlitsstjórnvöld, Persónuvernd hér á landi, samþykkja bindandi fyrirtækjareglur í samræmi við samræmingarkerfið sem fjallað er um í 63. gr. reglugerðarinnar. Um skilyrði fyrir setningu slíkra reglna og efni þeirra er nánar fjallað í 1. og 2. mgr. 47. gr. reglugerðarinnar Tekin er afstaða til skilyrða um miðlun eða birtingu sem ekki er heimil samkvæmt lögum sambandsins þegar um ræðir dóma og ákvarðanir stjórnvalda í þriðja landi í 48. gr. Loks er að finna ítarlegar reglur um undanþágur frá framangreindum ákvæðum vegna sérstakra aðstæðna í 49. gr. reglugerðarinnar Í 5. mgr. þess ákvæðis er sérstaklega tilgreint að þegar ekki hefur verið tekin ákvörðun um hvort fullnægjandi vernd er fyrir hendi geti lög aðildarríkis takmarkað með ótvíræðum hætti miðlun sérstakra flokka persónuupplýsinga til þriðja lands eða alþjóðastofnunar á grundvelli mikilvægra almannahagsmuna. Aðildarríkin skulu tilkynna framkvæmdastjórninni um slík ákvæði. Hér er aðildarríkjum því veitt svigrúm til strangari reglusetningar varðandi miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana sé um viðkvæmar persónuupplýsingar að ræða. Ekki er gerð tillaga í frumvarpi þessu, frekar en í danska eða norska frumvarpinu til nýrra persónuverndarlaga, um að nýta þessa heimild sérstaklega með tilgreindu ákvæði um efnið. Er ekki sýnt fram á raunhæfa þörf á slíku ákvæði, a.m.k. ekki að svo stöddu, en auk þess ber að hafa í huga að framkvæmdastjórnin getur ákveðið skv. 8. mgr. 45. gr. reglugerðarinnar að falla frá ákvörðun um að þriðja ríki eða alþjóðastofnun veiti fullnægjandi vernd. Lokaákvæði V. kafla reglugerðarinnar, 50. gr. mælir fyrir um alþjóðlega samvinnu um vernd persónuupplýsinga og viðeigandi ráðstafanir sem taldar eru upp í ákvæðinu sem framkvæmdastjórnin og eftirlitsstjórnvöld aðildarríkja gera í samvinnu við þriðju lönd eða alþjóðastofnanir.
Í formála reglugerðarinnar koma fram ítarlegar skýringar á markmiðum hennar í þessum efnum og á einstökum ákvæðum varðandi miðlun persónuupplýsinga til þriðju landa, einkum í 101.–116. lið, svo og 169. lið, sem hafa ber í huga við framkvæmd þeirra. Þannig er áréttað í 101. lið að flæði persónuupplýsinga til og frá löndum utan sambandsins og alþjóðastofnunum sé nauðsynlegt vegna vaxandi alþjóðaviðskipta og alþjóðlegrar samvinnu. Aukið flæði af þessu tagi hafi skapað ný viðfangsefni og vanda í tengslum við vernd persónuupplýsinga. Þegar persónuupplýsingum sé miðlað frá sambandinu til ábyrgðaraðila, vinnsluaðila eða annarra viðtakenda í þriðju löndum eða til alþjóðastofnana ætti það ekki að grafa undan þeirri vernd sem reglugerðin tryggir einstaklingum í sambandinu, þ.m.t. við framsendingu persónuupplýsinga frá viðkomandi þriðja landi eða alþjóðastofnun til ábyrgðaraðila eða vinnsluaðila í sama eða öðru þriðja landi eða hjá annarri alþjóðastofnun. Miðlun til þriðju landa eða alþjóðastofnana megi þó því aðeins fara fram að reglugerðinni sé fylgt í einu og öllu. Upplýsingunum megi því aðeins miðla, með fyrirvara um önnur ákvæði reglugerðar, að ábyrgðaraðili eða vinnsluaðili hafi farið að skilyrðunum sem mælt er fyrir um í ákvæðum hennar. Þá er tekið fram í 103. lið formálans að framkvæmdastjórnin geti ákveðið, þannig að gildi hafi alls staðar í sambandinu, að þriðja land, yfirráðasvæði eða tilgreindur geiri innan þriðja lands eða alþjóðastofnun veiti fullnægjandi persónuvernd, og þannig skapað réttarvissu og einsleitni á öllu svæðinu að því er varðar þriðja land eða alþjóðastofnun sem talin er veita slíka vernd. Í þeim tilvikum sé leyfilegt að miðla persónuupplýsingum til viðkomandi þriðja lands eða alþjóðastofnunar án þess að afla frekari heimildar. Framkvæmdastjórnin geti einnig ákveðið að afturkalla slíka ákvörðun eftir að hún hefur tilkynnt þriðja landinu eða alþjóðastofnuninni um það og upplýst að fullu um ástæður. Um þessar ákvarðanir framkvæmdastjórnarinnar er fjallað í þessu frumvarpsákvæði og mælt fyrir um auglýsingar á þeim.
Í 104. lið formálans er nánar rætt um hvað framkvæmdastjórnin leggur til grundvallar mati sínu á þriðja landi eða á yfirráðasvæði eða tilgreindum geira innan þriðja lands. Henni ber í samræmi við þau grundvallargildi sem sambandið er byggt á, einkum vernd mannréttinda, að taka tillit til þess hvernig viðkomandi þriðja land virðir grunnreglur réttarríkisins, tryggir aðgang að réttarkerfinu og fer að alþjóðlegum reglum og viðmiðunum um mannréttindi, og til almennra laga og sérlaga, þar á meðal löggjafar um almannaöryggi, landvarnir og öryggi ríkisins, auk allsherjarreglu og refsiréttar. Við samþykkt ákvörðunar um það hvort vernd sé fullnægjandi að því er varðar yfirráðasvæði eða tilgreindan geira innan þriðja lands á framkvæmdastjórnin að taka tillit til skýrra og hlutlægra viðmiðana, svo sem tiltekinna vinnsluaðgerða og gildissviðs viðkomandi lagareglna og löggjafar sem eru í gildi í þriðja landinu. Þriðja landið á að ábyrgjast að tryggð sé fullnægjandi vernd sem er í meginatriðum sambærileg þeirri sem er tryggð í sambandinu, einkum þegar vinnsla persónuupplýsinga fer fram í einum eða fleiri tilgreindum geirum. Þriðja landið ætti einkum að tryggja skilvirkt og sjálfstætt eftirlit með persónuvernd og móta verklag vegna samstarfs við persónuverndaryfirvöld í aðildarríkjunum og skráðir einstaklingar eiga að njóta skilvirkra og framfylgjanlegra réttinda og geta leitað réttar síns fyrir stjórnsýsluyfirvaldi og dómstólum með skilvirkum hætti.
Í 107. lið formálans er áréttað það sem einnig kemur fram í 45. gr. reglugerðarinnar að framkvæmdastjórnin getur staðfest að þriðja land, yfirráðasvæði eða tilgreindur geiri í þriðja landi eða alþjóðastofnun tryggi ekki lengur fullnægjandi persónuvernd. Af þessum sökum á að banna miðlun persónuupplýsinga til viðkomandi þriðja lands eða alþjóðastofnunar nema fullnægt sé kröfum reglugerðarinnar um miðlun með fyrirvara um viðeigandi verndarráðstafanir, þ.m.t. bindandi fyrirtækjareglur, og undanþágur vegna sérstakra aðstæðna. Í því tilviki á að gera ráð fyrir samráði milli framkvæmdastjórnarinnar og umræddra þriðju landa eða alþjóðastofnana. Framkvæmdastjórnin á að tilkynna þriðja landinu eða alþjóðastofnuninni tímanlega um ástæðurnar og hefja viðræður við það eða hana til þess að ráða bót á ástandinu.
Þegar ekki liggur fyrir hvort fullnægjandi vernd er fyrir hendi á ábyrgðaraðili eða vinnsluaðili að gera ráðstafanir til að bæta upp skort á persónuvernd í þriðja landi með viðeigandi verndarráðstöfunum í þágu skráðs einstaklings. Þetta er nánar útfært 46. gr. reglugerðarinnar og 108. lið formálans. Viðeigandi verndarráðstafanir geta m.a. falist í því að nota bindandi fyrirtækjareglur, stöðluð ákvæði um persónuvernd sem framkvæmdastjórnin hefur samþykkt, stöðluð ákvæði um persónuvernd sem eftirlitsyfirvald hefur samþykkt eða samningsákvæði sem eftirlitsyfirvald hefur heimilað. Þessar verndarráðstafanir eiga að tryggja að farið sé að kröfum um persónuvernd og að virt séu réttindi skráðra einstaklinga sem varða vinnslu innan sambandsins, þ.m.t. að fyrir liggi framfylgjanleg réttindi skráðra einstaklinga og skilvirk lagaleg úrræði, m.a. að hægt sé að leita réttar síns fyrir stjórnsýsluyfirvöldum eða dómstólum með skilvirkum hætti og að krefjast bóta, í sambandinu eða í þriðja landi. Þær eiga einkum að varða fylgni við almennar meginreglur um vinnslu persónuupplýsinga og meginreglur um innbyggða og sjálfgefna persónuvernd. Opinber yfirvöld eða stofnanir geta einnig miðlað upplýsingum til opinberra yfirvalda eða stofnana í þriðju löndum eða til alþjóðastofnana sem hafa samsvarandi skyldur eða hlutverk, m.a. á grundvelli ákvæða sem eru felld inn í stjórnvaldsráðstafanir sem veita skráðum einstaklingum framfylgjanleg og skilvirk réttindi. Afla ætti heimildar eftirlitsstjórnvalds ef gert er ráð fyrir verndarráðstöfunum í stjórnvaldsráðstöfunum sem eru ekki lagalega bindandi.
Í 111. lið formálans koma fram frekari skýringar á ákvæði 49. gr. reglugerðarinnar um undanþágur vegna sérstakra aðstæðna, en slíkar undanþágur eru taldar upp í sjö stafliðum í 1. mgr. 49. gr. Í framangreindum formálslið er bent á að setja ætti ákvæði um möguleika á miðlun við sérstakar aðstæður þegar skráður einstaklingur hefur veitt ótvírætt samþykki sitt og miðlunin er tilfallandi og nauðsynleg í tengslum við samning eða réttarkröfu, hvort heldur er við dómsmeðferð eða stjórnsýslumeðferð eða aðra málsmeðferð utan dómstóla, þ.m.t. málsmeðferð hjá eftirlitsaðilum. Einnig ætti að gera ráð fyrir möguleika á miðlun þegar brýnir almannahagsmunir, sem mælt er fyrir um í lögum sambandsins eða lögum aðildarríkis, krefjast þess eða þegar miðlunin er úr skrá sem komið var á fót samkvæmt lögum og ætluð er til þess að almenningur eða þeir sem hafa lögmætra hagsmuna að gæta geti skoðað hana. Í síðarnefnda tilvikinu ætti miðlunin ekki að ná til persónuupplýsinganna í heild sinni eða heilla flokka upplýsinga í skránni og miðlunin ætti, þegar gert er ráð fyrir að þeir sem hafa lögmætra hagsmuna að gæta geti skoðað skrána, aðeins að fara fram að beiðni þeirra eða, ef þeir eiga að vera viðtakendur upplýsinganna, að teknu fullu tilliti til hagsmuna og grundvallarréttinda viðkomandi skráðs einstaklings. Þá er tekið fram í 112. lið formálans að undanþágurnar ættu einkum að gilda um miðlun upplýsinga sem eru nauðsynlegar vegna mikilvægra almannahagsmuna. Tekin eru dæmi um alþjóðleg upplýsingaskipti milli samkeppnisyfirvalda, skatta- eða tollyfirvalda, milli fjármálaeftirlitsstofnana, milli stofnana sem starfa á sviði almannatrygginga eða lýðheilsu, t.d. við að rekja smitleiðir vegna smitsjúkdóma eða í þeim tilgangi að draga úr og/eða útrýma lyfjamisnotkun í íþróttum. Einnig ætti miðlun persónuupplýsinga að teljast lögmæt þegar hún er nauðsynleg til verndar þáttum sem skipta sköpum fyrir brýna hagsmuni skráðs einstaklings eða annars einstaklings, þ.m.t. líkamlega friðhelgi eða líf, ef hinn skráði er ekki fær um að veita samþykki sitt.
Þegar ekki hefur verið tekin ákvörðun um hvort fullnægjandi vernd er fyrir hendi geta lög aðildarríkis sérstaklega takmarkað, í ljósi mikilvægra almannahagsmuna, miðlun tiltekinna flokka upplýsinga til þriðja lands eða alþjóðastofnunar, sbr. það sem fyrr sagði um 5. mgr. 49. gr. reglugerðarinnar Aðildarríkin eiga að tilkynna framkvæmdastjórninni um slík ákvæði. Telja mætti miðlun persónuupplýsinga um skráðan einstakling, sem er líkamlega eða í lagalegum skilningi ófær um að veita samþykki sitt, til alþjóðlegrar stofnunar á sviði mannúðarmála vegna framkvæmdar verkefnis samkvæmt Genfarsamningunum eða til að framfylgja alþjóðlegum mannúðarlögum sem gilda um vopnuð átök, nauðsynlega í ljósi mikilvægra almannahagsmuna eða þess að hún varði brýna hagsmuni hins skráða.
Þá er bent á það í 113. lið formála reglugerðarinnar að miðlun, sem telja má að verði ekki endurtekin og sem aðeins varðar takmarkaðan fjölda skráðra einstaklinga, gæti einnig verið möguleg með tilliti til mikilvægra lögmætra hagsmuna sem ábyrgðaraðili gætir þegar hagsmunir eða réttindi og frelsi skráðs einstaklings ganga þeim ekki framar og ef ábyrgðaraðilinn hefur kannað allar aðstæður í tengslum við miðlun upplýsinganna. Ábyrgðaraðilinn ætti einkum að skoða eðli persónuupplýsinganna, tilgang og tímalengd fyrirhugaðrar vinnsluaðgerðar eða -aðgerða, svo og aðstæður í upprunalandinu, þriðja landinu og endanlegu viðtökulandi og ætti að gera viðeigandi verndarráðstafanir til að vernda grundvallarréttindi og frelsi einstaklinga með tilliti til vinnslu persónuupplýsinga þeirra. Slík miðlun ætti aðeins að vera möguleg í einstaka tilvikum þegar engin annarra nefndra ástæðna til miðlunar á við. Taka ætti tillit til lögmætra væntinga samfélagsins um aukna þekkingu þegar um er að ræða vísindalegar eða sagnfræðilegar rannsóknir eða tölfræðilegan tilgang. Ábyrgðaraðilinn ætti að tilkynna eftirlitsyfirvaldinu og hinum skráða um miðlunina.
Loks skal vikið að skýringum á 50. gr. reglugerðarinnar um alþjóðlega samvinnu um vernd persónuupplýsinga í 116. lið formálans. Tekið er fram að þegar persónuupplýsingar fara yfir landamæri utan sambandsins geti það leitt til aukinnar áhættu fyrir getu einstaklinga til að neyta réttar síns til persónuverndar, einkum verja sig gegn ólögmætri notkun eða birtingu upplýsinganna. Jafnframt geti eftirlitsstjórnvöld komist að þeirri niðurstöðu að þau geti ekki fylgt eftir kvörtunum eða sinnt rannsóknum í tengslum við starfsemi utan landamæra sinna. Ófullnægjandi valdheimildir til forvarna eða úrbóta, misræmi milli lagareglna og hindranir sem lúta að framkvæmd á borð við takmarkað fjármagn geti staðið í vegi fyrir viðleitni þeirra til að vinna saman yfir landamæri. Þess vegna er hvatt til nánara samstarfs meðal eftirlitsstjórnvalda á sviði persónuverndar til að hjálpa þeim við að skiptast á upplýsingum og vinna að rannsóknum með samsvarandi alþjóðlegum aðilum. Í þeim tilgangi að móta fyrirkomulag alþjóðlegrar samvinnu til að greiða fyrir og veita gagnkvæma aðstoð á alþjóðavettvangi við framkvæmd löggjafar um vernd persónuupplýsinga ættu framkvæmdastjórnin og eftirlitsstjórnvöld að skiptast á upplýsingum og starfa með lögbærum yfirvöldum þriðju landa að verkefnum sem tengjast beitingu valdheimilda þeirra, á gagnkvæmum grundvelli og í samræmi við reglugerðina.
Um 17. gr.
Í 16. gr. núgildandi laga er fjallað um skyldu ábyrgðaraðila til að veita almenna vitneskju um þá vinnslu persónuupplýsinga sem fram fer á hans vegum og byggist það á 2. mgr. 21. gr. tilskipunar ESB. Samkvæmt því er ábyrgðaraðila skylt, sé þess óskað, að veita almenna vitneskju um þá vinnslu persónuupplýsinga sem fram fer á hans vegum. Markmið ákvæðisins er í fyrsta lagi að veita hverjum sem er færi á að ganga úr skugga um hvort honum þyki vinnslan áhugaverð og ástæða til að fá um hana gleggri upplýsingar. Þá var markmið með setningu ákvæðisins í öðru lagi að skapa hinum skráða forsendur til að meta hvort hann kærði sig um að viðkomandi ábyrgðaraðili ynni með upplýsingar um sig eða ekki. Sambærilegt ákvæði er ekki að finna í reglugerðinni heldur er aukin áhersla lögð á að ábyrgðaraðilinn sýni frumkvæði að auknu gagnsæi, til að mynda með setningu persónuverndarstefnu. Er það í samræmi við meginregluna um ábyrgðarskyldu.
Framsetning þessarar frumvarpsgreinar er með þeim hætti að í 1. mgr. er fjallað um meginreglur um gagnsæi upplýsinga, einkum tilkynningar til hins skráða svo hann geti neytt upplýsingarréttar síns og réttar til aðgangs. Í 2. mgr. er fjallað um rétt hins skráða til upplýsinga um vinnslu og rétt til aðgangs að upplýsingum um sig. 3. mgr. geymir undantekningar frá réttindum hins skráða í þessu tilliti. 4. mgr. geymir sérreglu um aðgang að málum sem eru til meðferðar hjá stjórnvöldum og 5. gr. geymir sérreglu með undanþágu frá skyldu til að tilkynna hinum skráða um öryggisbrest. Verður nú nánar vikið að hverri þessara málsgreina.
Fyrirmæli 1. mgr. um að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að tryggja gagnsæi, eru byggð á 12. gr. reglugerðarinnar sem lýsir í ítarlegu máli kröfum sem eru gerðar til gagnsæis upplýsinga, tilkynninga og nánari reglna til að skráður einstaklingur geti neytt réttar síns. Í 58. lið formála reglugerðarinnar er nánar lýst inntaki meginreglunnar um gagnsæi. Í henni felst að hvers kyns upplýsingar, sem ætlaðar eru almenningi eða skráðum einstaklingi, skulu vera gagnorðar, aðgengilegar og auðskiljanlegar og á skýru og einföldu máli, auk þess sem beita á sjónrænum aðferðum eftir því sem við á. Bent er á að veita má upplýsingar um vinnslu á rafrænu formi, t.d. á vefsetri, þegar þær eru ætlaðar almenningi. Þetta á einkum við í tilvikum þar sem erfitt er fyrir skráðan einstakling að vita og skilja, vegna hins mikla fjölda aðila sem koma að máli og flókinnar tækni sem notuð er, hvort, af hverjum og í hvaða tilgangi upplýsingum er safnað um hann, svo sem þegar um er að ræða auglýsingar á netinu. Þar sem börn þurfa að njóta sérstakrar verndar ættu hvers kyns upplýsingar og tilkynningar, þegar vinnsla beinist að barni, að vera á skýru og einföldu máli sem barnið getur auðveldlega skilið. Þá er því lýst í 59. lið formálans að koma ætti á nánari reglum til að greiða fyrir því að skráður einstaklingur geti neytt réttar síns til upplýsinga og aðgangs, m.a. gera ráðstafanir sem gera honum kleift að fara fram á og, ef við á, fá því endurgjaldslaust framgengt að honum sé veittur aðgangur að persónuupplýsingum, að þær séu leiðréttar eða þeim eytt, sem og að hann geti neytt andmælaréttar síns. Ábyrgðaraðili ætti einnig að sjá til þess að hægt sé að leggja fram beiðnir rafrænt, einkum þegar vinnsla persónuupplýsinga fer fram með rafrænum hætti. Ábyrgðaraðila ber að svara beiðnum skráðs einstaklings án ótilhlýðilegrar tafar og innan eins mánaðar hið mesta, sbr. 4. mgr. 12. gr. reglugerðarinnar og færa fram rök ef hann hyggst ekki taka beiðnir til greina.
Í 2. mgr. frumvarpsákvæðisins er mælt fyrir um rétt manns til upplýsinga um vinnslu og gildir sá réttur án tillits til þess hvort persónuupplýsinga hefur verið aflað hjá honum sjálfum eða ekki. Þá er mælt fyrir um rétt manns til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.–15. gr. reglugerðarinnar með þeim undantekningum sem greinir í 3. mgr. þessa frumvarpsákvæðis. Ákvæðið felur bæði í sér að hinum skráða er veittur réttur til upplýsinga en að sama skapi er sú skylda lögð á ábyrgðaraðila að fræða hinn skráða um vinnsluna, sk. fræðsluskylda.
Í 13. gr. reglugerðarinnar er fjallað um upplýsingar sem ber að veita við öflun persónuupplýsinga hjá skráðum einstaklingi. Ákvæðið felur að stóru leyti í sér þær reglur og framkvæmd sem leidd verður af 20. gr. gildandi laga en bætir einnig við nýjum réttindum, svo sem að ábyrgðaraðili sem hyggst vinna persónuupplýsingar frekar í öðrum tilgang en þeim sem lá að baki söfnun þeirra skuli láta hinum skráða í té upplýsingar um þennan nýja tilgang áður en frekari vinnsla hefst, sbr. 3. mgr. 13. gr. Þá er sú undantekning gerð í 4. mgr. að réttur skv. 13. gr. gildir ekki hafi hinn skráði þegar fengið vitneskju um vinnsluna.
Í 14. gr. reglugerðarinnar er fjallað um upplýsingar sem ber að veita þegar persónuupplýsingar hafa ekki fengist hjá skráðum einstaklingi. Einnig hér geymir reglugerðin nokkuð ítarlegri reglur en gilda skv. 21. gr. núgildandi laga. Þá er getið undantekninga frá þessum rétti í 5. mgr. 14. gr. sem eru áþekkar þeim sem nú gilda og eiga við ef hinn skráði hefur þegar fengið upplýsingarnar (a-liður), ekki er unnt að veita upplýsingarnar eða það kostar óhóflega fyrirhöfn (b-liður), skýrt er mælt fyrir um öflun eða miðlun upplýsinganna í lögum (c-liður) eða persónuupplýsingar eru bundnar trúnaði á grundvelli þagnarskyldu (d-liður).
Í 15. gr. reglugerðarinnar er fjallað um rétt skráðs einstaklings til aðgangs. Þær breytingar eru ráðgerðar frá 16. gr. núgildandi laga að ekki er lengur rætt um rétt til almennrar vitneskju um vinnslu persónuupplýsinga, þ.e. að ábyrgðaraðila sé skylt að veita hverjum sem þess óskar almenna vitneskju um þá vinnslu persónuupplýsinga sem fer fram á hans vegum. Þess í stað kveður 1. mgr. 15. gr. reglugerðarinnar á um rétt skráðs einstaklings til að fá staðfestingu á því frá ábyrgðaraðila hvort unnið sé með persónuupplýsingar um hann sjálfan, og ef svo er rétt til aðgangs að persónuupplýsingum og upplýsingum um eftirtalin atriði; tilgang vinnslunnar (a-liður), viðkomandi flokka persónuupplýsinga (b-liður) viðtakendur eða flokka viðtakenda sem fengið hafa eða munu fá persónuupplýsingarnar í hendur, einkum viðtakendur í þriðju löndum eða alþjóðastofnanir (c-liður), ef mögulegt er, hversu lengi fyrirhugað er að varðveita persónuupplýsingarnar eða, ef það reynist ekki mögulegt, þær viðmiðanir sem notaðar eru til að ákveða það (d-liður), að fyrir liggi réttur til að fara fram á það við ábyrgðaraðila að láta leiðrétta persónuupplýsingar, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar eða til að andmæla slíkri vinnslu (e-liður), réttinn til að leggja fram kvörtun hjá eftirlitsyfirvaldi (f-liður), ef persónuupplýsinganna er ekki aflað hjá hinum skráða, allar fyrirliggjandi upplýsingar um uppruna þeirra (g-liður) og hvort fram fari sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs og þá marktækar upplýsingar um þau rök sem þar liggja að baki og einnig þýðingu og fyrirhugaðar afleiðingar vinnslu fyrir hinn skráða (h-liður). Almennt eru aðgangsreglur 15. gr. reglugerðarinnar um rétt hins skráða strangari en þær sem nú gilda.
Ákvæði 13.–15. gr. reglugerðarinnar og 2. mgr. þessa ákvæðis um rétt hins skráða til upplýsinga og aðgangs ber að skýra í ljósi 60.–64. liða formála hennar. Í 60. lið formálans er bent á að meginreglurnar um sanngirni og gagnsæi við vinnslu krefjast þess að skráðum einstaklingi sé tilkynnt um að vinnsluaðgerð standi yfir og hver sé tilgangur hennar. Ábyrgðaraðila beri að veita hinum skráða frekari upplýsingar sem nauðsynlegar séu til að tryggja að gætt sé sanngirni og gagnsæi við vinnslu persónuupplýsinga með tilliti til þeirra sérstöku aðstæðna og samhengis sem eiga við um vinnslu þeirra. Enn fremur ætti að upplýsa hinn skráða um að gert hafi verið persónusnið og um afleiðingar þess. Þegar persónuupplýsingar séu fengnar hjá skráðum einstaklingi ætti einnig að upplýsa hann um hvort honum sé skylt að láta persónuupplýsingarnar í té og um það hvaða afleiðingar það hafi að veita þær ekki. Hægt sé að láta staðlaðar táknmyndir fylgja þessum upplýsingum til að veita greinargott yfirlit yfir fyrirhugaða vinnslu á auðsýnilegan, skiljanlegan og auðlæsilegan hátt. Táknmyndirnar ættu að vera á tölvulesanlegu sniði þegar þær séu settar fram rafrænt. Nánar er fjallað um tímamörk í þessu tilliti í 61. gr. formálans og tekið fram að veita eigi skráðum einstaklingi upplýsingar í tengslum við vinnslu persónuupplýsinga um hann á þeim tíma þegar upplýsinganna er aflað hjá honum eða, þegar persónuupplýsinganna er aflað frá öðrum heimildum, innan hæfilegs tíma, með hliðsjón af aðstæðum í hverju tilviki fyrir sig. Ef fá megi öðrum viðtakanda persónuupplýsingar í hendur með lögmætum hætti ætti að tilkynna það hinum skráða þegar viðtakandinn fái persónuupplýsingarnar í fyrsta sinn. Hyggist ábyrgðaraðili vinna með persónuupplýsingarnar í öðrum tilgangi en þeim sem lá að baki söfnun þeirra ætti hann að láta hinum skráða í té upplýsingar um þennan nýja tilgang áður en sú frekari vinnsla hefjist, ásamt öðrum nauðsynlegum upplýsingum. Ef ekki sé hægt að skýra hinum skráða frá uppruna persónuupplýsinganna vegna þess að þær komi frá mismunandi heimildum ætti að veita almennar upplýsingar. Undantekningar frá þessu eru nánar útskýrðar í 62. lið formálans, m.a. hvernig megi líta svo á að upplýsingagjöf geti falið í sér óhóflega fyrirhöfn. Það gæti einkum átt við þegar vinnslan fari fram vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi. Í því sambandi ætti að taka tillit til fjölda skráðra einstaklinga, þess hversu gamlar upplýsingarnar séu og viðeigandi verndarráðstafana sem gerðar hafi verið. Rétturinn til aðgangs er nánar útfærður í 63. lið formálans. Þar er áréttað að skráðum einstaklingi eigi að vera auðveldað að neyta réttar síns til aðgangs til þess að hann geti gert sér grein fyrir því hvort vinnslan fari fram með lögmætum hætti og sannreynt það. Þetta feli m.a. í sér rétt skráðra einstaklinga til aðgangs að upplýsingum sem varða heilsufar þeirra, t.d. upplýsingum í sjúkraskrám á borð við sjúkdómsgreiningu, niðurstöður rannsókna, mat meðhöndlandi lækna og hvers kyns meðferðir eða inngrip. Sérhver skráður einstaklingur ætti því einkum að hafa rétt til að fá vitneskju og tilkynningu um tilganginn með vinnslu persónuupplýsinganna, vinnslutímabil upplýsinganna ef unnt sé, viðtakendur þeirra, hvaða rök liggi að baki sjálfvirkri vinnslu persónuupplýsinga og afleiðingar slíkrar vinnslu, einkum þegar hún sé byggð á gerð persónusniðs. Ábyrgðaraðila ætti, ef mögulegt sé, að vera fær um að veita hinum skráða fjaraðgang að öruggu kerfi sem veiti honum beinan aðgang að persónuupplýsingum um sig. Sá réttur ætti ekki að hafa neikvæð áhrif á réttindi eða frelsi annarra, þ.m.t. viðskiptaleyndarmál eða hugverkaréttindi og þá einkum höfundarrétt til verndar hugbúnaðinum. Niðurstaða þessara atriða ætti þó ekki að vera sú að skráðum einstaklingi sé neitað um allar upplýsingar. Þegar ábyrgðaraðili vinni með mikið magn upplýsinga sem varða skráðan einstakling ætti hann að geta óskað eftir því að hinn skráði tilgreini nánar um hvaða upplýsingar eða vinnsluaðgerðir beiðnin snúist, áður en upplýsingarnar séu veittar. Þá er tekið fram í 64. lið formálans að ábyrgðaraðili ætti að gera allar eðlilegar ráðstafanir til að sannreyna deili á skráðum einstaklingi sem óski eftir aðgangi, einkum í tengslum við þjónustu á netinu og netauðkenni.
Í 3. og 4. mgr. frumvarpsákvæðisins er mælt fyrir um undantekningar sem gerðar eru frá réttindum hins skráða skv. 13.–15. gr. reglugerðarinnar. Þessar undantekningar byggjast á heimildum sem fram koma í 1. mgr. 23. gr. reglugerðarinnar. Þar kemur m.a. fram að í lögum aðildarríkis, sem ábyrgðaraðili eða vinnsluaðili gagna heyrir undir, er heimilt að takmarka með löggjafarráðstöfun gildissvið þeirra skyldna og réttinda, sem um getur í 12.–22. gr. ef slík takmörkun virðir eðli grundvallarréttinda og mannfrelsis og telst nauðsynleg og hófleg ráðstöfun í lýðræðisþjóðfélagi með hliðsjón af 10 nánar tilgreindum atriðum.
3. og 4. mgr. frumvarpsákvæðisins eiga aðeins við ef tilvik geta ekki fallið undir undantekningaákvæði 4. mgr. 13. gr., 5. mgr. 14. gr. og 4. mgr. 15. gr. Ljóst er að ef beita á undantekningarákvæði 3. mgr. þarf að fara fram mat á þeim hagsmunum sem nefndir eru í ákvæðinu ef víkja á frá rétti hins skráða til upplýsinga eða aðgangs. Þannig verður að vega hagsmuni hins skráða af því að fá upplýsingar eða aðgang andspænis hagsmunum annarra einstaklinga, t.d. vegna tillits til viðskiptaleyndarmála einkaaðila, ólögráða barns hins skráða eða vitna í dómsmáli. Þá er mikilvægt að hafa í huga að gerð er krafa um „brýna“ hagsmuni einstaklinga sem þarf að sýna fram á til að réttlæta undantekningu frá rétti hins skráða til upplýsinga og aðgangs. Markmið 3. mgr. skarast að nokkru leyti við 6. tölul. 4. mgr. frumvarpsákvæðisins sem einnig vísar til réttinda annarra einstaklinga.
Þau atriði, sem vísað er til í 4. mgr. 17. gr. frumvarpsins um takmarkanir á réttindum hins skráða skv. 13.–15. gr. reglugerðarinnar, byggjast á 23. gr. reglugerðarinnar. Í 2. mgr. eru talin upp eftirfarandi atriði sem geta verið grundvöllur takmörkunar: 1) þjóðaröryggi, 2) landvarnir, 3) almannaöryggi, 4) þörf á að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, 5) önnur mikilvæg markmið sem þjóna almannahagsmunum, einkum efnahagslegum eða fjárhagslegum, þ.m.t. vegna gjaldeyrismála, fjárlaga og skattamála, lýðheilsu og almannatrygginga, 6) vernd skráðs einstaklings, brýnir almannahagsmunir eða grundvallarréttindi annarra, 7) það að einkaréttarlegum kröfum sé fullnægt og 8) lagaákvæði um þagnarskyldu.
Um heimildir ríkja til að beita takmörkunum skv. 23. gr. reglugerðarinnar er nánar fjallað í 73. lið formála hennar. Er þar áréttað að aðildarríki geta sett í landslög takmarkanir í tengslum við rétt til upplýsinga, aðgangs að persónuupplýsingum og leiðréttingar á þeim eða eyðingar þeirra, rétt til að flytja eigin gögn, rétt til andmæla, ákvarðanir sem byggjast á gerð persónusniðs, ásamt tilkynningum til skráðs einstaklings um öryggisbrest við meðferð persónuupplýsinga og tilteknum tengdum skyldum ábyrgðaraðila, að því marki sem nauðsynlegt er og hóflegt í lýðræðisþjóðfélagi til að vernda almannaöryggi. Í tengslum við þau atriði sem talin eru upp í 1. mgr. 23. reglugerðarinnar er vísað til verndunar mannslífa, einkum vegna viðbragða við náttúruhamförum og hamförum af mannavöldum, vegna forvarna, rannsókna og saksóknar í refsimálum eða fullnustu refsiviðurlaga, m.a. til að vernda gegn og koma í veg fyrir ógnir við almannaöryggi eða brot á siðareglum í lögvernduðum atvinnugreinum, vegna annarra mikilvægra markmiða sem þjóna almannahagsmunum aðildarríkis, einkum mikilvægum efnahagslegum eða fjárhagslegum hagsmunum, vegna færslu opinberra skráa í þágu almannahagsmuna, frekari vinnslu persónuupplýsinga í skjalasöfnum til að útvega sérstakar upplýsingar um stjórnmálahegðun undir stjórnum fyrrverandi einræðisríkja eða til að vernda hinn skráða eða réttindi og frelsi annarra, m.a. til að njóta félagslegrar verndar, lýðheilsu og mannúðar. Þessar takmarkanir ættu að vera í samræmi við kröfurnar sem settar eru fram í sáttmála ESB um grundvallarréttindi og mannréttindasáttmála Evrópu.
Í 5. mgr. 17. gr. frumvarpsins er sérregla sem kveður á um að upplýsingar í málum sem eru til meðferðar hjá stjórnvöldum megi undanþiggja réttinum til aðgangs skv. 1. mgr. 15. gr. reglugerðarinnar að sama marki og gildir um undantekningar á upplýsingarétti samkvæmt upplýsingalögum og stjórnsýslulögum. Er þetta sambærileg regla við á sem nú er að finna í 3. mgr. 19. gr. gildandi laga. Með þessu eru mörkuð skil upplýsingaréttar samkvæmt stjórnsýslulögum, nr. 97/1993, og upplýsingalögum, nr. 140/2012, annars vegar og persónuupplýsingalögum hins vegar. Miðað er við að réttur til aðgangs samkvæmt persónuupplýsingalögum verði sambærilegur við rétt aðila máls skv. 15. gr. stjórnsýslulaga og rétt almennings skv. 5. gr. upplýsingalaga. Af því leiðir að aðili getur ekki á grundvelli persónuupplýsingalaga krafist aðgangs að skjölum eða öðrum gögnum sem undanþegin eru aðgangi samkvæmt stjórnsýslu- eða upplýsingalögunum.
Hjá einkaaðilum getur reynt á svipaða hagsmuni og hjá stjórnvöldum í tengslum við veitingu aðgangs að gögnum, t.d. innanhússkjölum og vinnugögnum hjá vinnuveitanda. Þetta getur kemur einkum til álita þegar gögn eru liður í að gæta hagsmuna í ágreiningsmáli af einhverju tagi eða máli þar sem ábyrgðaraðilinn telur þörf á viðbrögðum við háttsemi hins skráða sem hann telur brjóta gegn lögum eða samningi. Í slíkum tilvikum getur ábyrgðaraðilinn haft augljósa hagsmuni af því að hinn skráði fái ekki að sjá tiltekin gögn, t.d. bréfaskipti við lögmenn eða aðra sérfræðinga. Þá geta sérlög einnig mælt fyrir um takmarkanir á aðgangi að gögnum vegna eðlis þeirra og ganga slík ákvæði þá framar almennum reglum reglugerðarinnar og laganna. Skv. 7. tölul. 4. mgr. þessa frumvarpsákvæðis sem lýst var að framan er vísað til þess að víkja megi frá ákvæðum 13.–15. gr. reglugerðarinnar á grundvelli þess að fullnægja þurfi einkaréttarlegum kröfum. Mundu takmarkanir gagnvart hinum skráða við þessar aðstæður geta byggst á þessum grundvelli.
Í 6. mgr., sem er lokamálsgrein þessa frumvarpsákvæðis, er tekið fram að ákvæði 34. gr. reglugerðarinnar um skyldu til að tilkynna hinum skráða um öryggisbrest gildir ekki ef ákvæði 1. og 4. tölul. 2. mgr. eiga við, en í þessum töluliðum er fjallað um þjóðaröryggi og þörf á því að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum. Þessi heimild byggist einnig á 23. gr. reglugerðarinnar um takmarkanir sem aðilar geta sett í landslög og er þar beinlínis vísað til 34. gr. reglugerðarinnar. Nánar verður fjallað um öryggisbresti og skyldu til að tilkynna um þá í 27. gr. frumvarpsins og skýringum við þá grein.
Um 18. gr.
18. gr. frumvarpsins byggist á 89. gr. reglugerðarinnar. Nýmæli er að sérreglur um vinnslu vegna rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi eða skjalavistunar í þágu almannahagsmuna og undanþágur frá ýmsum reglum við slíka vinnslu er að finna á einum stað. Reglugerðin ráðgerir hins vegar ekki breytingar á þeim efnisreglum og framkvæmd þeirra sem gilda um vinnslu af þessum toga og þeim undantekningum sem leiddar verða af núgildandi lögum og tilskipun ESB.
Er 1. mgr. þessa frumvarpsákvæðis samsvarandi 1. mgr. 89. gr. reglugerðarákvæðisins og áskilur að vinnsla vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi skuli vera háð viðeigandi ráðstöfunum til verndar réttindum og frelsi skráðra einstaklinga í samræmi við reglugerðina. Þessar verndarráðstafanir skulu tryggja að tæknilegar og skipulagslegar ráðstafanir séu gerðar, einkum til þess að tryggja að farið sé að meginreglunni um lágmörkun gagna. Notkun gerviauðkenna getur verið á meðal þessara ráðstafana, sem og að upplýsingar séu varðveittar á ónettengdri tölvu. Sé hægt að ná umræddum markmiðum með frekari vinnslu sem leyfir ekki, eða leyfir ekki lengur, persónugreiningu skráðra einstaklinga skal þessum markmiðum náð með þeim hætti. Í 156. lið formálans er varpað ljósi á markmið sérstakra verndarráðstafana. Þar er meðal annars áréttað það sem fyrr greinir um að þær skuli tryggja lágmörkun gagna. Í því felst að frekari vinnsla persónuupplýsinga vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi skal eingöngu fara fram þegar ábyrgðaraðili hefur metið hvort framkvæmanlegt sé að ná þeim tilgangi án þess að bera kennsl á skráða einstaklinga, að því tilskildu að viðeigandi verndarráðstafanir séu fyrir hendi (svo sem notkun gerviauðkenna fyrir upplýsingarnar).
Ákvæði um sérstakar verndarráðstafanir sem taka mið af eðli og umfangi vinnslu á þeim sviðum sem talin eru upp í frumvarpsákvæðinu er að finna í sérlöggjöf. Hér á landi gilda nokkuð ítarleg sérlög um sum þessi svið. Helstu lög sem hér hafa þýðingu eru fremur nýlega endurskoðuð og tekið hefur verið tillit til persónuverndarreglna. Um skjalavistun hjá stjórnvöldum fjalla lög um opinber skjalasöfn, nr. 77/2014, um vinnslu í tölfræðilegum tilgangi vegna hagskýrslugerðar fjalla lög um Hagstofu Íslands og opinbera hagsýslugerð, nr. 163/2007, og meginlöggjöfin um rannsóknir á sviði vísinda eru lög um vísindarannsóknir á heilbrigðissviði, nr. 44/2014, sem fjalla um skilyrði fyrir því að slíkar rannsóknir verði gerðar.
Í 2. og 3. mgr. þessa frumvarpsákvæðis er nýtt heimild 89. gr. reglugerðarinnar til að gera undanþágur að því er varðar kröfur um upplýsingar og réttinn til leiðréttingar, eyðingar, til að gleymast, til takmörkunar á vinnslu, til að flytja eigin gögn og til að andmæla vinnslu persónuupplýsinga vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi.
Undanþágur skv. 2. mgr. lúta að vinnslu persónuupplýsinga sem fer aðeins fram í þágu vísinda eða sagnfræði eða í tölfræðilegum tilgangi. Í gildandi lögum er einnig að finna slíkar undantekningar, sbr. einkum 1. mgr. 19. gr. um takmarkanir á upplýsingarétti hins skráða við þær aðstæður enda geti vinnsla ekki haft bein áhrif á hagsmuni hins skráða. Af því leiðir að hinn skráði hefur rétt til aðgangs að umræddum upplýsingum ef ætla má að vinnsla þeirra geti haft réttaráhrif eða beinar afleiðingar gagnvart honum. Frumvarpsákvæðið gerir ráð fyrir því að þegar um ræðir vinnslu í þágu vísinda eða sagnfræði eða í tölfræðilegum tilgangi verði heimilt að víkja frá réttindum sem um getur í 15. gr. (réttur til aðgangs), 16. gr. (réttur til leiðréttingar), 18. gr. (réttur til takmörkunar á vinnslu) og 21. gr. (andmælaréttur), með fyrirvara um skilyrði og verndarráðstafanir sem um getur í 1. mgr. þessarar greinar, að svo miklu leyti sem telja má að slík réttindi geri það ómögulegt eða hamli því verulega að unnt sé að ná viðkomandi markmiðum og undanþágur séu nauðsynlegar til að þeim verði náð.
Í formála reglugerðarinnar er varpað ljósi á rök að baki sérreglum og mikilvægi vinnslu persónuupplýsinga á þessum sviðum. Í 162. og 163. lið er fjallað um hvað fellur undir vinnslu persónuupplýsinga í tölfræðilegum tilgangi og stöðu hagskýrsluyfirvalda. Samkvæmt því telst tölfræðilegur tilgangur vera hver sú aðgerð sem felst í söfnun og vinnslu persónuupplýsinga sem nauðsynlegar eru vegna tölfræðilegra kannana eða til að ná fram tölfræðilegum niðurstöðum. Þessar tölfræðilegu niðurstöður má nota frekar í ýmiss konar tilgangi, þ.m.t. til vísindarannsókna. Tölfræðilegur tilgangur þýðir að niðurstöður vinnslu í tölfræðilegum tilgangi eru ekki persónuupplýsingar heldur samantekin gögn og að þessar niðurstöður eða persónuupplýsingarnar eru ekki notaðar til stuðnings ráðstöfunum eða ákvörðunum viðvíkjandi tilteknum einstaklingi. Þá er tekið fram að vernda ætti trúnaðarupplýsingar sem hagskýrsluyfirvöld aðildarríkjanna safna til að gera opinberar hagskýrslur og jafnframt ætti gerð innlendra hagskýrslna að byggjast á lögum.
Dæmi um það sem félli hér undir er vinnsla upplýsinga á grundvelli laga um Hagstofu Íslands og opinbera hagskýrslugerð. Samkvæmt þeim lögum er Hagstofan miðstöð opinberrar hagsýslugerðar sem ætlað er að nýta stjórnsýslugögn í því skyni og til þess hefur hún heimild til að tengja saman gagnaskrár með einstaklingsauðkennum. Þá veita lögin heimildir til þess að sækja gögn til einstaklinga og lögaðila sé þess þörf að teknu tilliti til hófsemi og svarbyrði. Að lokinni frumvinnslu persónugagna til tölfræðigreininga tekur við umbreyting frumgagna í tölfræðigögn sem felur í sér stöðlun, flokkun, tilreiknun og vigtun þannig að áreiðanlegar tölfræðilegar niðurstöður fáist við greiningu. Við lokaúrvinnslu er þess gætt að niðurstöður séu með öllu ópersónugreinanlegar. Af þessu má vera ljóst að réttur einstaklings til aðgangs að og leiðréttinga á upplýsingum, svo og til takmörkunar á vinnslu þeirra eða andmælaréttur, gæti gert það ómögulegt eða hamlað því verulega að lög um hagsýslugerð Hagstofunnar næðu markmiði sínu og eru þessar undanþágur því nauðsynlegar í því ljósi.
Um sérstök sjónarmið sem gilda um vísindarannsóknir er m.a. fjallað í 157. lið formálans. Þar er tekið fram að með því að tengja saman upplýsingar úr mismunandi skrám geti vísindamenn öðlast nýja og afar verðmæta þekkingu á útbreiddu heilsufarsástandi á borð við hjarta- og æðasjúkdóma, krabbamein og þunglyndi. Með notkun skráa sé hægt að efla rannsóknaniðurstöður þar sem þær byggist á stærra þýði. Í félagsvísindum geri rannsóknir á grundvelli skráa vísindamönnum kleift að öðlast mikilvæga þekkingu á langtímafylgni milli félagslegra aðstæðna af ýmsum toga, svo sem atvinnuleysis og menntunar, og annarra aðstæðna í lífi fólks. Rannsóknaniðurstöður, sem fáist með notkun skráa, gefi trausta og vandaða þekkingu sem nota megi til grundvallar við mótun og framkvæmd þekkingarstefnu, til að bæta lífsgæði margra og bæta skilvirkni félagsþjónustunnar. Þá er tekið fram í 159. lið að skilgreina beri vinnslu persónuupplýsinga í þágu vísindarannsókna vítt þannig að undir hana falli t.d. tækniþróun og tilraunaverkefni, grunnrannsóknir, hagnýtar rannsóknir og rannsóknir sem einkaaðilar fjármagna. Rannsóknir í þágu almannahagsmuna á sviði lýðheilsu ættu einnig að teljast þjóna vísindalegum tilgangi. Til að uppfylla þær sérstöku kröfur sem gerðar eru til vinnslu persónuupplýsinga í þágu vísindarannsókna ættu sérstök skilyrði að gilda, einkum að því er varðar útgáfu eða aðra birtingu persónuupplýsinga í þágu vísindarannsókna. Um sagnfræðirannsóknir er sérstaklega tekið fram í 160. lið formálans að reglugerðin nái bæði til sagnfræðirannsókna og rannsókna í erfðafræðilegum tilgangi en þó ætti að hafa í huga að reglugerðin gildi ekki um látna einstaklinga. Eins og rakið er í athugasemdum við 4. gr. er ríkjum hins vegar heimilt að fella upplýsingar um látna einstaklinga undir gildissvið reglugerðarinnar og er það svigrúm nýtt í frumvarpi að takmörkuðu leyti, þ.e. aðeins í 5 ár eftir andlát, m.a. með það í huga að óeðlilegt væri að setja því takmörk að upplýsingar um löngu látna einstaklinga séu nýttar í þágu sagnfræðirannsókna.
Í 3. mgr. frumvarpsákvæðisins er regla, áþekk 2. mgr., um undantekningar frá réttindum hins skráða þegar unnið er með persónuupplýsingar vegna skjalavistunar í þágu almannahagsmuna. Þar bætist þó við tilvísun til undanþágu frá 19. gr. reglugerðarinnar (skylda til að tilkynna um leiðréttingu og eyðingu persónuupplýsinga og takmörkun á vinnslu) og 20. gr. hennar (réttur til að flytja eigin gögn). Hér á einnig við sá fyrirvari að undanþágum verði beitt að svo miklu leyti sem telja má þessi réttindi gera það ómögulegt eða hamla því verulega að unnt sé að ná markmiðum reglna um skjalavistun í þágu almannahagsmuna. Meginlagaheimildin sem geymir sérreglur um skjalavistun í því skyni er sem fyrr segir lög um opinber skjalasöfn, nr. 77/2014. Markmið þeirra er að tryggja myndun, vörslu og örugga meðferð opinberra skjala með réttindi borgaranna, hag stjórnsýslunnar og varðveislu sögu íslensku þjóðarinnar að leiðarljósi. Af þessu er ljóst að veigamikil samfélagssjónarmið geta mælt gegn eyðingu persónuupplýsinga sem vistuð eru í skjalasöfnum, þar á meðal tillit til sagnfræðirannsókna. Sú sérregla kemur fram í niðurlagi 3. mgr. að hinn skráði á rétt á að leggja fram yfirlýsingu til varðveislu í gögnum með persónuupplýsingum um hann. Það breytir hins vegar engu um varðveislu viðkomandi skjals eða gagna vilji einstaklingur koma að athugasemdum sínum þar sem upplýsingar séu rangar eða villandi. Í 158. lið formála reglugerðarinnar er varpað ljósi á hvernig beri að skýra reglur um vinnslu persónuupplýsinga vegna skjalavistunar. Þar segir m.a. að opinber yfirvöld, opinberir aðilar og einkaaðilar, sem halda skrár sem tengjast almannahagsmunum, ættu að vera þjónustuaðilar sem hafa samkvæmt lögum aðildarríkis lagaskyldu til að afla, varðveita, meta, skipuleggja, lýsa, veita upplýsingar um, kynna, dreifa og veita aðgang að skrám sem hafa varanlegt gildi fyrir almannahagsmuni. Aðildarríkin ættu einnig að hafa heimild til að kveða á um frekari vinnslu persónuupplýsinga vegna skjalavistunar. Eru lög um opinber skjalasöfn dæmi um löggjöf sem ætlað er að ná framangreindum markmiðum.
Í 4. mgr. frumvarpsákvæðisins er hnykkt á sérstöðu afhendingu upplýsinga til opinberra skjalasafna, en ákvæði þessa efnis er að finna í 15. gr. a í gildandi lögum. Reglunni var bætt í lög nr. 77/2000 með lögum um opinber skjalasöfn, nr. 77/2014, og þykir ekki ástæða til að fella hana niður.
Um 19. gr.
Frumvarpsákvæðið sækir m.a. fyrirmynd til 23. gr. danska frumvarpsins til nýrra persónuverndarlaga og er sett innan þess ramma sem 23. gr. reglugerðarinnar ráðgerir um takmarkanir á réttindum hins skráða. Ákvæðið byggist á sjónarmiðum um að umrædd upplýsingaskylda kunni að fela í sér óþarfa stjórnsýslulega byrði fyrir stjórnvöld í ljósi þess að önnur ákvæði laga tryggja sérstaklega vernd einstaklinga í samskiptum við þau. Þannig má benda á að um starfsemi opinberra aðila gilda auk ákvæða frumvarpsins, ef að lögum verður, ákvæði annarra laga sem tryggja vernd einstaklingsins í skiptum sínum við ríkisvaldið, t.d. bæði ákvæði stjórnsýslu- og upplýsingalaga.
Um 20. gr.
Réttur skráðra einstaklinga til að fá gögn leiðrétt eða þeim eytt, svo og andmælaréttur, hefur lengi verið ein grunnreglna persónuverndarlaga og birtist m.a. í 14. gr. tilskipunar ESB. Í greininni eru reglur um rétt hins skráða til að mótmæla tiltekinni vinnslu persónuupplýsinga um sjálfan sig. Ákvæði um efnið koma fram í 25. og 26. gr. gildandi laga. Annars vegar er um að ræða ákvæði um leiðréttingu og eyðingu rangra og villandi persónuupplýsinga og hins vegar um eyðingu og bann við notkun persónuupplýsinga sem hvorki eru rangar né villandi. Þá er í 27. gr. fjallað um rétt til að fá ákvörðun sem byggist á handvirkri vinnslu upplýsinga eytt. Það ákvæði og 25. gr. teljast gjarnan innihalda svokallaðar leiðréttingarreglur og endurspegla einkum þá meginreglu að persónuupplýsingar skulu vera áreiðanlegar og uppfærðar eftir þörfum og að persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar, auk þess sem Persónuvernd getur bannað notkun upplýsinga sé breyting þeirra eða eyðing óheimil samkvæmt ákvæðum annarra laga eins og fram kemur í 3. mgr. 25. gr. Ákvæði 26. gr. endurspeglar hins vegar þær meginreglur að vinnsla persónuupplýsinga skal vera lögmæt, og ekki umfram það sem nauðsynlegt er vegna tilgangs vinnslunnar, sem og að upplýsingar skulu varðveittar á því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við þann tilgang. Hafi þessar meginreglur í för með sér að ekki megi lengur varðveita persónuupplýsingar ber að eyða þeim. Þar sem eyðing getur eftir atvikum verið óheimil, einkum á grundvelli löggjafar um opinber skjalasöfn, getur Persónuvernd auk þess bannað notkun upplýsinga eins og fram kemur í 3. mgr. 26. gr.
Fyrrgreind ákvæði reglugerðarinnar eru mun ítarlegri en ákvæði ESB-tilskipunarinnar um efnið. Að hluta til festa þau í sessi gildandi framkvæmd með nánari útfærslum. Skv. 16. gr. á skráður einstaklingur rétt á að fá óáreiðanlegar persónuupplýsingar er varða hann sjálfan leiðréttar af ábyrgðaraðila án ótilhlýðilegrar tafar. Að teknu tilliti til tilgangsins með vinnslunni skal hinn skráði eiga rétt á að láta fullgera ófullkomnar persónuupplýsingar, m.a. með því að leggja fram yfirlýsingu með upplýsingunum.
Rétturinn til eyðingar upplýsinga, þ.m.t. rétturinn til að gleymast skv. 17. gr., felst í því að hinn skráði á við ákveðnar aðstæður rétt á því að ábyrgðaraðilinn eyði persónuupplýsingum sem hann varða án ótilhlýðilegrar tafar og skal ábyrgðaraðilanum skylt að gera svo ef ein eftirtalinna ástæðna á við: a) persónuupplýsingarnar eru ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra eða annarri vinnslu þeirra, b) hinn skráði dregur til baka samþykkið sem vinnslan byggist á og ekki er annar lagagrundvöllur fyrir vinnslunni, c) hinn skráði andmælir vinnslunni og ekki eru fyrir hendi lögmætar ástæður fyrir vinnslunni, d) vinnsla persónuupplýsinganna var ólögmæt, e) eyða þarf persónuupplýsingunum til að uppfylla lagaskyldu sem hvílir á ábyrgðaraðila eða f) persónuupplýsingunum var safnað í tengslum við boð um þjónustu í upplýsingasamfélaginu. Þá er nánar mælt fyrir um ráðstafanir sem ábyrgðaraðila ber að grípa til hafi hann gert persónuupplýsingar opinberar. Frá þessu eru síðan gerðar undantekningar í 3. mgr. 17. gr. sem að nokkru marki hefur verið fjallað um fyrr. Samkvæmt því gildir fyrrgreindur réttur ekki að því marki sem vinnsla er nauðsynleg til að neyta réttarins til tjáningar- og upplýsingafrelsis, til að uppfylla skyldu sem hvílir á ábyrgðaraðilanum samkvæmt lögum og krefst þess að unnið sé með persónuupplýsingar, vegna verkefnis sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, vegna almannahagsmuna á sviði lýðheilsu, vegna skjalavistunar í þágu almannahagsmuna og rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi, sem og til að stofna, hafa uppi eða verja réttarkröfur.
Frekari skýringar á réttinum til leiðréttingar og eyðingar gagna er að finna í formálsorðum reglugerðarinnar. Í 65. lið formálans er m.a. bent á að réttur til leiðréttingar og til að gleymast á einkum við þegar hinn skráði hefur veitt samþykki sitt sem barn og gerir sér ekki fulla grein fyrir áhættunni sem vinnslan felur í sér og óskar eftir því síðar að persónuupplýsingunum verði eytt, einkum á netinu. Skráður einstaklingur á að geta neytt þessa réttar þrátt fyrir að hann sé ekki lengur barn. Þó er bent á þá undantekningu að frekari varðveisla persónuupplýsinganna kann að vera lögmæt sé hún nauðsynleg til að neyta réttar til tjáningar- og upplýsingafrelsis, til að uppfylla lagaskyldu, vegna verkefnis sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, í þágu almannahagsmuna á sviði lýðheilsu, vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi eða til að unnt sé að stofna, hafa uppi eða verja réttarkröfur. Í 66. lið formálans er tekið fram að til að efla megi réttinn til að gleymast í netumhverfinu ætti einnig að víkka réttinn til eyðingar þannig að ábyrgðaraðila, sem gerði persónuupplýsingarnar opinberar, sé skylt að upplýsa þá ábyrgðaraðila sem vinna með upplýsingarnar um að afmá beri alla tengla á þær, þar á meðal afrit af þeim eða endurgerðir þeirra. Í því sambandi ætti viðkomandi ábyrgðaraðili að gera eðlilegar ráðstafanir með tilliti til þeirrar tækni sem er fyrir hendi og aðferða sem honum eru aðgengilegar, þ.m.t. tæknilegar ráðstafanir til að upplýsa ábyrgðaraðilana, sem vinna með persónuupplýsingar um hinn skráða, um beiðni hans.
Þótt rétturinn til að gleymast sé ekki orðaður sem slíkur í tilskipun ESB og gildandi lögum hefur hann verið talinn efnislega fólginn í þessum reglum. Það var m.a. staðfest í dómi Evrópudómstólsins frá 13. maí 2014 í máli Google Spain (C-131/12). Með dóminum var veittur forúrskurður um tiltekin álitaefni tengd dómsmáli á Spáni þar sem til úrlausnar var krafa manns um að niðurstöður á leitarsíðu Google sem tengdust fjárnámi í eignum hans skyldu fjarlægðar. Eitt helsta álitaefnið var hvort leggja mætti fyrir Google að fjarlægja leitarniðurstöður á grundvelli persónuverndarreglna og varð niðurstaða dómsins sú að þegar við ættu b-liður 1. mgr. 12. gr. tilskipunar ESB (um rétt til meðal annars eyðingar upplýsinga ef vinnsla þeirra fullnægir ekki kröfum hennar) og a-liður 1. mgr. 14. gr. tilskipunarinnar (andmælaréttur á grundvelli lögmætra og knýjandi ástæðna vegna sérstakra aðstæðna) væri rekanda vefleitarvélar það skylt. Dómurinn hefur þó ekki í för með sér að sjálfu efninu, sem um ræðir hverju sinni, skuli eyða heldur aðeins leitarniðurstöðunum sjálfum á vefsíðu viðkomandi vefleitarvélar. Einnig kemur fram í dóminum að það hvort leitarniðurstöðum skuli eytt fer eftir mati á hagsmunum af annars vegar því að þær séu aðgengilegar og hins vegar hagsmunum viðkomandi einstaklings af að svo sé ekki. Þá var í dóminum litið til þess að Google hefur starfsstöðvar innan ESB, í þessu tilviki á Spáni, og bar samkvæmt því að virða ákvæði laga í einstökum aðildarríkjum sem sett eru á grundvelli ESB-tilskipunarinnar.
Dómur Evrópudómstólsins setti mikilvægt fordæmi um viðmið sem leggja ber til grundvallar. Persónuvernd hefur þegar litið til þeirra við meðferð á kvörtunum einstaklinga um að Google hafi neitað að fjarlægja niðurstöðu leitar á vefleitarvél sinni þar sem nöfn einstaklinga koma upp. Í framkvæmd Persónuverndar hefur þannig komið fram að líta verður til sjónarmiða um hagsmuni af frjálsri fjölmiðlun að því marki sem það er nauðsynlegt til að samrýma sjónarmið um rétt til einkalífs annars vegar og tjáningarfrelsis hins vegar. Hefur verið horft til þess að það tilheyrir nútímafjölmiðlun að fréttir séu gerðar aðgengilegar og leitarbærar á netinu og því litið svo á að meta verði í hvert og eitt skipti hvort undantekning sem fram kemur í 5. gr. gildandi laga, sbr. einnig 6. gr. frumvarpsins um tengsl við tjáningarfrelsi og a-lið 3. mgr. 17. gr. reglugerðarinnar, eigi við. Verður því að líta til ákvæða 73. gr. stjórnarskrárinnar og 10. gr. mannréttindasáttmála Evrópu, þ.e. til þess hvort sú takmörkun á tjáningar- og upplýsingafrelsi, sem skylda til að eyða upplýsingum felur í sér, teljist nauðsynleg í lýðræðisþjóðfélagi.
Í 18. gr. reglugerðarinnar er sett fram ný regla um rétt hins skráða til takmörkunar á vinnslu. Skráður einstaklingur skal þannig hafa rétt til þess að ábyrgðaraðili takmarki vinnslu þegar eitt af eftirfarandi á við: a) hinn skráði vefengi að persónuupplýsingar séu réttar og ábyrgðaraðilinn hafi ekki fengið tækifæri til að fá staðfest hvort svo sé, b) vinnslan sé ólögmæt og hinn skráði andmæli því að persónuupplýsingunum sé eytt og fari fram á takmörkun á notkun þeirra í staðinn, c) ábyrgðaraðilinn þurfi ekki lengur á persónuupplýsingunum að halda fyrir vinnsluna en hinn skráði þarfnist þeirra til þess að stofna, hafa uppi eða verja réttarkröfur eða d) hinn skráði hafi andmælt vinnslunni á meðan beðið er sannprófunar á því hvort hagsmunir ábyrgðaraðila gangi framar lögmætum hagsmunum hins skráða. Þá er mælt fyrir um það í 2. mgr. 18. gr. að þegar vinnsla hefur verið takmörkuð skuli einungis vinna með viðkomandi persónuupplýsingar, að varðveislu undanskilinni, með samþykki hins skráða, til að stofna, hafa uppi eða verja réttarkröfur, til að vernda réttindi annars einstaklings eða lögaðila eða með skírskotun til brýnna almannahagsmuna. Í 67. lið formála reglugerðarinnar kemur fram að aðferðir til að takmarka vinnslu persónuupplýsinga gætu m.a. falið í sér að færa valdar upplýsingar tímabundið í annað vinnslukerfi, gera valdar persónuupplýsingar óaðgengilegar notendum eða fjarlægja birtar upplýsingar tímabundið af vefsetri. Í sjálfvirkum skráningarkerfum ætti að jafnaði að tryggja takmörkun vinnslu með tæknilegum aðferðum á þann hátt að ekki verði um frekari vinnslu persónuupplýsinganna að ræða og ekki sé hægt að breyta þeim. Tilgreina ætti með skýrum hætti í kerfinu að vinnsla persónuupplýsinga sé takmörkuð.
Í 2. mgr. frumvarpsákvæðisins er kveðið á um rétt skráðs einstaklings til að fá persónuupplýsingar um sig, sem hann hefur sjálfur látið ábyrgðaraðila í té, á skipulegu, algengu, tölvulesanlegu sniði og jafnframt til að senda þessar upplýsingar til annars ábyrgðaraðila. Ákvæðið er byggt á 20. gr. reglugerðarinnar þar sem einnig er að finna nánari útfærslur á þessum rétti. Þar kemur fram að réttindi þessi verða virk þegar vinnsla persónuupplýsinga byggist á samþykki hins skráða eða samningi og vinnslan er sjálfvirk. Þá kemur fram í reglugerðarákvæðinu að þegar hinn skráði neytir réttar síns til þess að flytja eigin gögn skal hann eiga rétt á að láta senda persónuupplýsingarnar beint frá einum ábyrgðaraðila til annars ef það er tæknilega framkvæmanlegt. Eins er tekið fram að þegar einstaklingur nýtir sér umræddan rétt skal það ekki hafa áhrif á rétt hans til eyðingar gagna. Loks er ljóst af ákvæðinu að rétturinn gildir ekki um vinnslu opinberra aðila eða ef hann skerðir réttindi og frelsi annarra.
Réttur þessi, sem einnig er kallaður flutningsréttur (e. data portability) er nýmæli í reglugerðinni og á sér enga beina hliðstæðu í ESB-tilskipuninni eða gildandi lögum. Hann er náskyldur réttinum til aðgangs en þó ólíkur í mörgu tilliti. Hann er í reynd tvíþættur, annars vegar hefur hinn skráði rétt til að fá í hendur gögn sem varða hann sjálfan og hins vegar hefur hann rétt til að láta flytja eigin gögn frá einum ábyrgðaraðila til annars.
Markmið þessa nýja ákvæðis er að tryggja hinum skráða meiri stjórn yfir vinnslu upplýsinga sem varða hann. Þar sem flutningsrétturinn tryggir rétt manns til að flytja persónuupplýsingar frá einum ábyrgðaraðila til annars er þessi skipan einnig til þess fallin að tryggja frjálst flæði upplýsinga milli ríkja og stuðla þannig að samkeppni milli ábyrgðaraðila. Í 68. lið formálans er varpað ljósi á hvernig og hvenær rétturinn gildir og hvernig hann á að verða framkvæmanlegur. Nánar tiltekið kemur fram að hann á við þegar hinn skráði hefur látið persónuupplýsingar í té á grundvelli samþykkis eða ef vinnslan er nauðsynleg vegna framkvæmdar samnings, en hins vegar ekki þegar vinnslan byggist á öðrum lagagrundvelli en samþykki eða samningi. Þá segir að eðli málsins samkvæmt eigi ekki að beita þessum rétti gagnvart ábyrgðaraðilum sem vinna með persónuupplýsingar við opinber skyldustörf sín. Hann gildi því ekki þegar vinnsla persónuupplýsinga er nauðsynleg til að uppfylla skyldu sem hvílir á ábyrgðaraðilanum samkvæmt lögum eða vegna verkefnis sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.
Bent er á að ábyrgðaraðili ætti að þróa samvirkandi snið sem geri það mögulegt að flytja eigin gögn. Réttur skráðs einstaklings til að senda eða taka á móti persónuupplýsingum ætti þó ekki að verða til þess að ábyrgðaraðilum sé skylt að taka upp eða viðhalda vinnslukerfum sem eru tæknilega samhæfð. Ef tiltekið mengi persónuupplýsinga varðar fleiri en einn skráðan einstakling ætti réttur þeirra til að fá persónuupplýsingarnar að vera með fyrirvara um réttindi og frelsi annarra skráðra einstaklinga í samræmi við reglugerðina. Loks er áréttað í 68. lið formálans að flutningsrétturinn ætti ekki að hafa áhrif á rétt skráðs einstaklings til að láta eyða persónuupplýsingum og takmarkanir á þeim rétti eins og mælt er fyrir um í reglugerðinni. Nánar segir að einkum ætti hann ekki að hafa í för með sér að persónuupplýsingum, sem varða hinn skráða, sem hann hefur látið af hendi vegna efnda á samningi, verði eytt, að því marki og svo lengi sem persónuupplýsingarnar eru nauðsynlegar til að efna samninginn. Sé það tæknilega gerlegt ætti skráður einstaklingur að hafa rétt til að láta senda persónuupplýsingarnar beint frá einum ábyrgðaraðila til annars.
Þess má geta að starfshópur skv. 29. gr. tilskipunar ESB hefur fjallað um samþykkishugtakið samkvæmt ákvæðum reglugerðarinnar og gefið út leiðbeiningar um flutningsrétt (e. Guidelines on the right to data portability) frá 13. desember 2016 með breytingum frá 5. apríl 2017. Þar er því lýst í ítarlegu máli hvað felist í inntaki flutningsréttarins, hvenær hann eigi við og hvert sé samspil hans við almenn réttindaákvæði reglugerðarinnar. Þá koma þar fram ítarlegar leiðbeiningar til ábyrgðaraðila um hvaða tæknilegu ráðstafanir þeir geti gert til þess að réttur hins skráða verði virkur.
Um 21. gr.
Fyrirmæli 1. mgr. um andmælarétt hins skráða byggjast á 21. gr. reglugerðarinnar sem er nokkuð ítarlegri en 14. gr. tilskipunarinnar og tekur m.a. tillit til þess hvernig andmælarétti verður komið við í upplýsingasamfélaginu. Skv. 21. gr. reglugerðarinnar skal skráður einstaklingur eiga rétt á að andmæla hvenær sem er, vegna sérstakra aðstæðna sinna, vinnslu persónuupplýsinga er varða hann sjálfan, þ.m.t. gerð persónusniðs, þegar vinnslan byggist á e- eða f-lið 1. mgr. 6. gr. reglugerðarinnar, þ.e. á almannahagsmunum eða lögmætum hagsmunum. Ábyrgðaraðili skal ekki vinna með persónuupplýsingarnar frekar nema hann geti sýnt fram á mikilvægar lögmætar ástæður fyrir vinnslunni sem gangi framar hagsmunum, réttindum og frelsi hins skráða eða því að stofna, hafa uppi eða verja réttarkröfur. Þá er í 2. og 3. mgr. 21. gr. reglugerðarinnar tryggður réttur einstaklinga í tengslum við markaðssetningu og kveðið á um að þegar persónuupplýsingar eru unnar í þágu beinnar markaðssetningar skuli einstaklingurinn hvenær sem er eiga rétt á að andmæla vinnslu persónuupplýsinga sem varða hann sjálfan, þ.m.t. gerð persónusniðs að því marki sem hún tengist markaðssetningunni. Andmæli hinn skráði vinnslu í þágu beinnar markaðssetningar skal ekki vinna með persónuupplýsingarnar frekar í slíkum tilgangi. Sé um að ræða þjónustu í upplýsingasamfélaginu skuli hinum skráða vera heimilt að neyta andmælaréttar síns rafrænt með notkun tækniforskrifta, eins og segir í 5. mgr. Loks er tekið fram í 6. mgr. 21. reglugerðarinnar að þegar unnið er með persónuupplýsingar í þágu rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi skuli hinn skráði eiga rétt á, vegna sérstakra aðstæðna sinna, að andmæla vinnslu persónuupplýsinga er varða hann sjálfan nema vinnslan sé nauðsynleg vegna verkefnis sem unnið er í þágu almannahagsmuna. Um undantekningar af þessum toga var fjallað í skýringum við 18. gr. frumvarpsins. Í 69. og 70. lið formála reglugerðarinnar eru fyrirmæli 21. gr. nánar skýrð. Er m.a. bent á að það ætti að vera á hendi ábyrgðaraðila að sýna fram á að mikilvægir lögmætir hagsmunir hans gangi framar hagsmunum eða grundvallarréttindum og frelsi hins skráða í tengslum við andmælarétt hins síðarnefnda.
Sérreglurnar um bannskrá Þjóðskrár Íslands í 2.–4. mgr. frumvarpsins stefna að því að ná markmiðum reglugerðarinnar um andmælarétt hins skráða í tengslum við beina markaðssetningu en ganga jafnframt lengra en reglugerðin, m.a. þar sem ekki er gert ráð fyrir að andmæli þurfi að byggjast á sérstökum aðstæðum. Reglurnar eru færðar svo til óbreyttar úr 2.–7. mgr. 28. gr. núgildandi laga en höfðu sætt nokkrum efnislegum breytingum með lögum nr. 90/2001. Lagt er til að Þjóðskrá haldi eftir sem áður skrá yfir þá sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi. Nánar tiltekið segir í 2. mgr. ákvæðisins að þeir sem nota slíkar skrár, svo sem eigin viðskiptamannaskrár, í tengslum við markaðssetningarstarfsemi, skuli bera þær saman við bannskrá Þjóðskrár áður en þær eru notaðar í slíkum tilgangi, til að koma í veg fyrir að markpóstur verði sendur eða hringt verði til einstaklinga sem hafa andmælt slíku. Nánari útfærslu lagareglna um bannskrá Þjóðskrár og andmæli einstaklinga við markaðssetningarstarfsemi er að finna í reglum nr. 36/2005 sem settar voru af dómsmálaráðherra þann 5. janúar 2005. Í 4. gr. reglnanna segir að þeim sem stunda markaðssetningarstarfsemi sé skylt að beita bannskrá Þjóðskrár við starfsemi sína, en þar er m.a. átt við útsendingu dreifibréfa, happdrættismiða, gíróseðla, auglýsinga og kynningarefnis, símhringingar, útsendingu tölvupósts eða beitingu hliðstæðra aðferða, sem varða kaup eða leigu á vöru eða þjónustu eða þátttöku í tiltekinni starfsemi, hvort sem hún er viðskiptalegs eðlis eða varðar tómstundir, afþreyingu, námskeið eða sambærilegt atferli, sbr. 2. mgr. 2. gr. reglnanna. Rétt er að taka fram að í 5. mgr. 46. gr. laga um fjarskipti, nr. 81/2003, er mælt fyrir um að þeir sem nota almenna tal- og farsímaþjónustu sem lið í markaðssetningu skuli virða merkingu í símaskrá sem gefur til kynna að viðkomandi áskrifandi vilji ekki slíkar símhringingar í símanúmer sitt. Áskrifandi á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu til grundvallar. Mál sem varða framangreinda bannmerkingu í símaskrá falla þannig ekki undir valdssvið Persónuverndar heldur Póst- og fjarskiptastofnunar, ólíkt því sem gildir um bannskrá Þjóðskrár.
Í 3. mgr. er tekið fram til áréttingar að öll notkun bannskrár sé óheimil í öðrum tilvikum en þar er lýst.
Samkvæmt 4. mgr. er skylt að á markpósti komi fram á áberandi stað eftir hvaða skrá efninu er dreift og í vörslu hvaða ábyrgðaraðila skráin er. Með markpósti er átt við allan auglýsingapóst sem er með límmiðaáritun eða annars konar áritun nafns og heimilisfangs viðtakanda. Falla þar undir venjulegur póstur, símbréf og tölvupóstur sem notaður er í beinni markaðssókn. Með beinni markaðssókn er átt við beina sókn að einstaklingnum í því skyni að selja honum vöru eða þjónustu. Samkvæmt þessu falla dreifirit sem borin eru út í hús án áritunar ekki þar undir. Ákvæðið tekur jafnframt til símasölu eftir því sem við á. Samkvæmt því á sá sem stundar markaðssókn í gegnum síma að greina þeim sem hann setur sig í samband við frá því hvaðan upplýsingarnar sem hann notar eru fengnar. Þá er í niðurlagi 4. mgr. kveðið á um að unnt skuli vera að bera kennsl á markpóst sem sendur er með rafrænum hætti á skýran og ótvíræðan hátt um leið og viðtakandinn fær hann í hendur, en slík skylda byggist á fyrirmælum Evrópureglna um rafræn viðskipti.
Í 5. mgr. kemur fram að ábyrgðaraðili getur afhent félaga-, nemenda-, starfsmanna- eða viðskiptamannaskrár til nota við beina markaðssetningu ef hann hefur áður gefið hinum skráðu kost á að andmæla því að nafn viðkomandi verði á hinni afhentu skrá. Þá ber ábyrgðaraðila enn fremur að kanna hvort viðkomandi einstaklingur hafi með tilkynningu til Þjóðskrár andmælt notkun á nafni sínu við markaðssetningu, auk þess sem afhendingin má ekki fara gegn félagssamþykktum eða starfsreglum sem í gildi eru hjá viðkomandi ábyrgðaraðila. Þetta hefur ekki þótt varhugavert með tilliti til persónuverndar en bein markaðssetning hefur viðgengist lengi hér á landi og í öðrum löndum. Tekið skal fram í því sambandi að afhending skv. 5. mgr. er óheimil sé um að ræða viðkvæmar persónuupplýsingar en af því leiðir til dæmis að óheimilt væri að afhenda lista yfir meðlimi stjórnmálaflokks, stéttarfélags eða samtaka fólks með tiltekinn sjúkdóm í þágu markaðssetningar. Þá er vakin athygli á að skýrt er skv. 5. mgr. að hún taki til afhendingar á skrám yfir nemendur. Í 5. mgr. 28. gr. gildandi laga, sem er fyrirmyndin að þessu frumvarpsákvæði, er slíkra skráa ekki getið. Persónuvernd hefur litið svo á að þær séu fyllilega sambærilegar við félaga-, starfsmanna- eða viðskiptamannaskrár og falli því samkvæmt eðli sínu undir ákvæðið. Við afhendingu skráa yfir nemendur í þágu beinnar markaðssetningar verði því að fara að kröfum umrædds ákvæðis laganna.
Tekið er fram í 6. mgr. að skilyrði 5. mgr. gildi ekki ef afhending félaga-, starfsmanna- eða viðskiptamannaskrár til nota við beina markaðssetningu byggist á samþykki hins skráða og er í því sambandi vísað til almennrar vinnsluheimildar skv. 1. tölul. 1. mgr. 9. gr. frumvarpsins þegar aflað er samþykkis.
Loks kemur fram í 7. mgr. þessa frumvarpsákvæðis að ákvæði greinarinnar taka, eftir því sem við á, einnig til markaðs-, neyslu- og skoðanakannana. Framkvæmd þeirra á margt sameiginlegt með markaðssókn og því er eðlilegt að sömu reglur gildi um notkun persónuupplýsinga í þeirri starfsemi.
Um 22. gr.
Samkvæmt frumvarpsgreininni er óheimilt að taka ákvörðun eingöngu á grundvelli sjálfvirkrar gagnavinnslu, þ.m.t. gerðar persónusniðs, sem hefur réttaráhrif gagnvart skráðum einstaklingi eða snertir hann á sambærilegan hátt að verulegu leyti samkvæmt nánari fyrirmælum 22. gr. reglugerðarinnar, með þeim undantekningum sem þar getur. Er 22. gr. reglugerðarinnar nokkuð nákvæmari en ákvæði tilskipunarinnar um efnið. Þar má finna einnig undantekningar frá meginreglunni. Þannig gildir hún ekki ef ákvörðun er forsenda þess að unnt sé að gera eða efna samning milli hins skráða og ábyrgðaraðila, ef hún er heimiluð í lögum sem gilda gagnvart ábyrgðaraðila þar sem einnig er kveðið á um viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða, sem og ef hún byggist á afdráttarlausu samþykki hins skráða. Sé vinnslan byggð á framkvæmd samnings eða samþykki skal ábyrgðaraðili vinnslu persónuupplýsinga gera viðeigandi ráðstafanir til að vernda réttindi og frelsi og lögmæta hagsmuni hins skráða, a.m.k. réttinn til mannlegrar íhlutunar af hálfu ábyrgðaraðilans, til að láta skoðun sína í ljós og til að vefengja ákvörðun. Þá segir í ákvæði 22. gr. reglugerðarinnar að þegar um er að ræða sjálfvirka ákvarðanatöku sem byggist á viðkvæmum persónuupplýsingum sé slíkt eingöngu heimilt á grundvelli samþykkis eða lagaheimildar.
Auk skilgreiningar á því hvað felst í gerð persónusniða og ákvæða 22. gr. má finna ýmis varúðarorð um efnið í formála reglugerðarinnar. Í 24. lið formálans er tekið fram að til að ákvarða hvort vinnslustarfsemi geti talist vera vöktun á hegðun skráðra einstaklinga ætti að ganga úr skugga um hvort slóð einstaklinga sé rakin á netinu, m.a. hvort í kjölfarið séu notaðar aðferðir við vinnslu á persónuupplýsingum sem felast í gerð persónusniðs um einstakling, einkum í því skyni að taka ákvarðanir varðandi viðkomandi eða til að greina eða spá fyrir um smekk hans, hegðun og viðhorf. Þá koma frekari varnaðarorð fram í 30. lið formálans þar sem bent er á að ýmis tæki, forrit og samskiptareglur, sem einstaklingar nota, geta tengt netauðkenni við þá, svo sem IP-tölur. Þessi notkun geti skilið eftir spor sem hægt sé að nota til að útbúa persónusnið um einstaklinga og bera kennsl á þá, einkum þegar sporunum sé bætt við einkvæm auðkenni og aðrar upplýsingar sem berast netþjónum.
Í 71. lið formálans er varpað ljósi á inntak 22. gr. reglugerðarinnar. Áréttað er að skráður einstaklingur á rétt á því að sæta ekki ákvörðun sem kann að fela í sér ráðstöfun þar sem persónulegir þættir hans eru metnir eingöngu á grundvelli sjálfvirkrar gagnavinnslu og hefur réttaráhrif gagnvart honum sjálfum eða veruleg sambærileg áhrif. Dæmi sem tekin eru um slíkar aðstæður eru sjálfvirk höfnun lánsumsóknar á netinu eða rafrænt ráðningarferli án mannlegrar íhlutunar. Ákvarðanataka, sem byggist á slíkri vinnslu, þ.m.t. gerð persónusniðs, ætti að vera leyfileg samkvæmt sérstakri heimild í lögum sem ábyrgðaraðilinn fellur undir. Gætt slík heimild verið sett í þeim tilgangi að fylgjast með og koma í veg fyrir svindl og skattsvik í samræmi við reglur, staðla og tilmæli eftirlitsstofnana og til að tryggja öryggi og áreiðanleika þjónustu sem ábyrgðaraðili veitir eða, þegar nauðsyn krefur, vegna gerðar eða framkvæmdar samnings milli skráðs einstaklings og ábyrgðaraðila eða þegar hinn skráði hefur veitt ótvírætt samþykki sitt. Hvað sem öðru líður ætti vinnslan að falla undir viðeigandi verndarráðstafanir, þar á meðal að hinum skráða séu veittar skilmerkilegar upplýsingar og að hann njóti réttar til mannlegrar íhlutunar, að láta skoðun sína í ljós, fá útskýringar á ákvörðun sem tekin er að mannlegri íhlutun lokinni og vefengja ákvörðunina. Sérstaklega er bent á að slík vinnsla og hér um ræðir ætti ekki að varða barn.
Þá er tekið fram í sama lið formálans að til að tryggja að vinnslan sé sanngjörn og gagnsæ gagnvart skráðum einstaklingi, að teknu tilliti til sérstakra aðstæðna og samhengis við vinnslu persónuupplýsinganna, ætti ábyrgðaraðilinn að nota viðeigandi stærðfræðilegar eða tölfræðilegar aðferðir við gerð persónusniðs, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, einkum til að tryggja að þættir sem gera persónuupplýsingar óáreiðanlegar séu leiðréttir og dregið sé úr hættu á mistökum, sem og að tryggja öryggi persónuupplýsinga þannig að tekið sé tillit til mögulegrar áhættu fyrir hagsmuni og réttindi hins skráða og m.a. komið í veg fyrir að einstaklingum sé mismunað á grundvelli kynþáttar eða þjóðernislegs uppruna, stjórnmálaskoðana, trúarbragða eða trúar, stéttarfélagsaðildar, erfðaeiginleika eða heilsuhaga eða kynhneigðar, eða að gerðar verði ráðstafanir sem hafa samsvarandi áhrif. Sjálfvirka ákvarðanatöku og gerð persónusniðs, sem byggist á sérstökum flokkum persónuupplýsinga, ætti einungis að heimila með sérstökum skilyrðum.
Í 72. lið formálans er bent á að gerð persónusniðs fellur undir reglurnar um vinnslu persónuupplýsinga samkvæmt reglugerðinni, m.a. hvað varðar lagagrundvöll vinnslu og meginreglur um persónuvernd. Þá segir að Evrópska persónuverndarráðið, sem er sett á fót með reglugerðinni, ætti að geta gefið út leiðbeiningar í því tilliti. Í þessu sambandi má benda á að starfshópur skv. 29. gr. tilskipunar ESB hefur þegar gefið út leiðbeiningar þar sem fjallað er um samþykkishugtakið samkvæmt ákvæðum reglugerðarinnar og gefið út leiðbeiningar um einstaklingsmiðaðar ákvarðanir og gerð persónusniðs samkvæmt henni (e. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679) frá 3. október 2017, með breytingum frá 6. febrúar 2018, WP251rev.01. Þar kemur fram ítarleg greining á nánara inntaki 22. gr. reglugerðarinnar og einstökum hugtökum greinarinnar eins og þau eru túlkuð á grundvelli almennra reglna reglugerðarinnar um vinnsluheimildir, réttindi hins skráða og skyldur ábyrgðaraðila og má þar nefna hugtakið „ákvörðun [sem] eingöngu [er tekin] á grundvelli sjálfvirkrar gagnavinnslu“. Þá er að finna í leiðbeiningunum sérstaka umfjöllun um að börn skuli njóta sérstakrar verndar fyrir gerð persónusniða, m.a. með vísan til orðanna í 71. lið formálans.
Um 23. gr.
Skilgreining á hugtakinu „ábyrgðaraðili“ kemur fram í 6. tölul. 3. gr. frumvarpsins, þ.e. að um ræðir þann einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga. Vísað er til nánari skýringa með áðurnefndu frumvarpsákvæði, en árétta má að skilgreiningin er efnislega óbreytt frá núgildandi reglum.
Í 23. gr. frumvarpsins er mælt fyrir um þá skyldu ábyrgðaraðila að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar samkvæmt nánari fyrirmælum 24. og 25. gr. reglugerðarinnar. Í 24. gr. reglugerðarinnar er til viðbótar því sem segir í frumvarpsákvæðinu tekið fram að ráðstafanirnar, sem vísað er til, skuli m.a. fela í sér að ábyrgðaraðili innleiði viðeigandi persónuverndarstefnur. Samkvæmt þessu er ætlast til að upplýsingar um hvernig unnið er með persónuupplýsingar í starfsemi ábyrgðaraðila séu á aðgengilegu og auðskiljanlegu formi. Nýja löggjöfin gerir strangari kröfur til framsetningar og innihalds fræðslu en núgildandi löggjöf, enda er meginreglan um gagnsæi einn af hornsteinum reglugerðarinnar, eins og birtist víða í ákvæðum hennar.
Þá er tekið fram að sé samþykktum hátternisreglum fylgt, eins og um getur í 40. gr. reglugerðarinnar, eða samþykktu vottunarfyrirkomulagi, eins og um getur í 42. gr. hennar, megi nota það til að sýna fram á að ábyrgðaraðili uppfylli skuldbindingar sínar. Þessar skyldur ábyrgðaraðila verður að skoða í ljósi þeirrar nýju meginreglu í 2. mgr. 8. gr. frumvarpsins að ábyrgðaraðili verður að geta sýnt fram á að vinnsla persónuupplýsinga sé í samræmi við meginreglur um lögmæti, tilgang, meðalhóf, áreiðanleika og varðveislu. Í formála reglugerðarinnar, 74. lið, eru þessi sjónarmið áréttuð og tekið fram að ábyrgðaraðilanum ætti einkum að vera skylt að gera viðeigandi og skilvirkar ráðstafanir og að hann ætti að vera fær um að sýna fram á að vinnslan fari fram í samræmi við reglugerðina, þ.m.t. að því er varðar skilvirkni umræddra ráðstafana. Ættu þær að taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi einstaklinga. Þá er í 75. lið formálans varpað frekara ljósi á hvernig ber að meta áhættu einstaklings. Vísað er þar til þess að vinnsla kann að leiða til misjafnlega líklegrar og alvarlegrar áhættu fyrir réttindi og frelsi einstaklinga sem getur leitt af sér efnislegt tjón, eignatjón og óefnislegt tjón, einkum þegar vinnslan getur haft í för með sér mismunun, auðkennisþjófnað eða svik, fjárhagstjón, skaða á orðstír, tapaðan trúnað um persónuupplýsingar sem njóta verndar á grundvelli þagnarskyldu, að notkun gerviauðkenna sé aflétt í leyfisleysi eða annað umtalsvert efnahagslegt eða félagslegt óhagræði. Nánar er í dæmaskyni nefnt það þegar skráðir einstaklingar gætu misst réttindi sín og frelsi eða verið hindraðir í að stjórna eigin persónuupplýsingum og þegar persónuupplýsingar eru unnar sem leiða í ljós kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, heimspekilega sannfæringu eða stéttarfélagsaðild. Einnig er í þessu sambandi sérstaklega tilgreind vinnsla erfðafræðilegra upplýsinga, upplýsinga sem varða heilsu, upplýsinga um kynlíf og upplýsinga um sakfellingar í refsimálum, refsiverð brot og tengdar öryggisráðstafanir. Þá er það sérstaklega nefnt þegar lagt er mat á persónulega þætti, einkum við að greina eða spá fyrir um atriði er varða frammistöðu í starfi, fjárhagsstöðu, heilsuhagi, smekk eða áhugamál, áreiðanleika eða hegðun, staðsetningu eða hreyfanleika í því skyni að útbúa eða nota persónusnið, sem og það þegar persónuupplýsingar berskjaldaðra einstaklinga, einkum barna, eru unnar og þegar vinnsla tekur til mikils magns persónuupplýsinga og hefur áhrif á marga skráða einstaklinga.
Í 77. lið formálans er lagt til að ábyrgðaraðilum og vinnsluaðilum verði veittar leiðbeiningar um framkvæmd viðeigandi ráðstafana og um það hvernig sýna skuli fram á fylgni við reglur, einkum að því er varðar greiningu á áhættu í tengslum við vinnslu, mat þeirra að því er varðar orsök áhættunnar, eðli hennar, hversu líkleg og alvarleg hún er og greiningu á bestu starfsvenjum til að draga úr henni, einkum með því að nota viðurkenndar hátternisreglur og viðurkennda vottun. Mun Persónuvernd vinna að því að gefa út slíkar leiðbeiningar og hér um ræðir og einnig er stefnt að því að Evrópska persónuverndarráðið gefi út viðmiðunarreglur um vinnsluaðgerðir sem ólíklegt er að leiði af sér mikla áhættu fyrir réttindi og frelsi skráðra einstaklinga og bendi þá á ráðstafanir sem geta verið nægilegar í slíkum tilvikum til að bregðast við áhættuþáttum. Þá ber að hafa í huga að sérreglur gilda um mat á áhrifum á persónuvernd ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, sbr. 29. gr. frumvarpsins og 35. gr. reglugerðarinnar, en nánari umfjöllun um það er að finna í skýringum við þau ákvæði.
Í seinni málslið 23. gr. frumvarpsins er vísað til þess að þegar tveir eða fleiri eru sameiginlegir ábyrgðaraðilar fer um skyldur þeirra eftir 26. gr. reglugerðarinnar. Í því reglugerðarákvæði er nánar útfært hvenær beri að líta svo á að ábyrgðaraðilar séu fleiri en einn en það á við ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslu og aðferðir við hana. Sé ábyrgð hvers ábyrgðaraðila um sig ekki ákveðin í lögum er þeim skylt að ákveða á gagnsæjan hátt með samkomulagi sín í milli ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar, einkum hvað snertir beitingu réttinda hinna skráðu, og skyldur hvers um sig til að láta í té upplýsingarnar sem um getur í 13. og 14. gr. Í samkomulaginu má tilnefna tengilið fyrir skráða einstaklinga. Þá segir að samkomulagið skuli endurspegla með tilhlýðilegum hætti hlutverk og tengsl hvers hinna sameiginlegu ábyrgðaraðila gagnvart skráðum einstaklingum, sem og að megininntak þess skuli gert aðgengilegt skráðum einstaklingi. Í 79. lið formála reglugerðarinnar er áréttað mikilvægi þess að skipting ábyrgðarsviða sé skýr þegar fleiri en einn ábyrgðaraðili ákveða tilgang og aðferðir við vinnslu.
Um 24. gr.
Í 2. mgr. þessa frumvarpsákvæðis er mælt fyrir um að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni samkvæmt nánari fyrirmælum 2. mgr. 25. gr. reglugerðarinnar. Í tilvitnuðu ákvæði er tekið fram að þessi skylda gildi um það hversu miklum persónuupplýsingum er safnað, að hvaða marki unnið er með þær, hversu lengi þær eru varðveittar og aðgang að þeim. Einkum skal tryggja með ráðstöfunum samkvæmt því að það sé sjálfgefið að persónuupplýsingar verði ekki gerðar aðgengilegar ótakmörkuðum fjölda fólks án íhlutunar viðkomandi einstaklings.
Í 78. lið formálans er varpað frekar ljósi á úrræði og ráðstafanir til að ná markmiðum 25. gr. reglugerðarinnar og þar með frumvarpsákvæðisins. Áréttað er að slíkar ráðstafanir geti m.a. falið í sér að draga sem mest úr vinnslu persónuupplýsinga, færa persónuupplýsingar undir gerviauðkenni eins skjótt og unnt er, gagnsæi að því er varðar eiginleika persónuupplýsinga og vinnslu þeirra, að gera skráðum einstaklingi kleift að fylgjast með vinnslu upplýsinganna og gera ábyrgðaraðila kleift að taka upp og bæta öryggisþætti. Einnig segir að þegar framleiðendur vöru, þjónustu og hugbúnaðar þrói, hanni, velji og noti hugbúnað, vöru og þjónustu, sem er byggð á vinnslu persónuupplýsinga, eða vinni með persónuupplýsingar í störfum sínum, ætti að hvetja þá til að taka tillit til réttarins til persónuverndar við þróun og hönnun á slíkum vörum, þjónustu og hugbúnaði og ganga úr skugga um, að teknu tilhlýðilegu tilliti til nýjustu tækniþekkingar, að ábyrgðaraðilar og vinnsluaðilar geti uppfyllt skyldur sínar um persónuvernd. Einnig ætti að taka tillit til meginreglnanna um innbyggða og sjálfgefna persónuvernd í tengslum við opinber útboð.
Af þessu sést að hönnuðir upplýsingakerfa eru hvattir til þess að hanna hugbúnað sinn og þjónustu frá upphafi með vernd persónuupplýsinga í huga, t.d. með innbyggðum eða sjálfgefnum persónuverndarstillingum. Þetta er gert í þeim tilgangi að ábyrgðaraðilar geti í kjölfarið mætt þeim kröfum sem lög og reglur gera til þeirra. Nýju ákvæðin um innbyggða og sjálfgefna persónuvernd munu því hafa mikil áhrif á upplýsingatækni, hönnun og endurhönnun hugbúnaðar í framtíðinni. Innbyggð persónuvernd gerir ráð fyrir því sem fyrr segir að vernd persónuupplýsinga sé innbyggð í vörur og þjónustu, t.d. hugbúnað og upplýsingakerfi, strax frá upphafi, með því að draga úr líkum á að öryggisbrestur verði. Sjálfgefin persónuvernd miðast við að persónuupplýsingar verði ekki sjálfkrafa gerðar aðgengilegar almenningi, nema á grundvelli mannlegrar íhlutunar. Sem dæmi um sjálfgefnar persónuverndarstillingar má nefna að við birtingu ljósmynda á vefsíðu eða samfélagsmiðli verði persónuverndarstillingar í upphafi stilltar þannig að tiltekin mynd sé einungis sýnileg eiganda en ekki opin almenningi, þannig að viðkomandi þurfi ekki sjálfur að grípa til aðgerða til að vernda upplýsingar sínar gegn óviðkomandi.
Þetta felur m.a. í sér að þau fyrirtæki sem starfa við hönnun og þróun upplýsingakerfa þurfa að hafa í huga hvernig vernd þeirra persónuupplýsinga, sem unnið er með í kerfum þeirra, skuli vera tryggð. Ný tækni, vara og þjónusta ætti því að vera þannig úr garði gerð að hún uppfylli skilyrði hinnar nýju persónuverndarlöggjafar. Reglan um innbyggða og sjálfgefna persónuvernd er þó ekki eingöngu bundin við þá sem þróa nýjan hugbúnað eða vöru heldur þurfa ábyrgðaraðilar vinnslu persónuupplýsinga einnig að huga að reglunni við alla vinnslu persónuupplýsinga, líkt og segir í ákvæði frumvarpsins.
Af þeirri ástæðu þurfa þau fyrirtæki og einstaklingar sem hanna og þróa hugbúnað eða upplýsingakerfi að kynna sér vel þær kröfur sem löggjöfin gerir til vinnslu persónuupplýsinga. Það þarf því að huga að því hvort upplýsingavinnsla byggist á heimild einstaklings eða lagaskyldu, sem og hvort þeim meginreglum sem ávallt ber að fylgja, um gæði gagna og vinnslu, sé fylgt. Þessar meginreglur lúta t.d. að því að upplýsingar skuli vera áreiðanlegar og réttar, að þær séu unnar í skýrum og málefnalegum tilgangi og að meðalhófs sé gætt.
Um 25. gr.
Í 1. mgr. frumvarpsákvæðisins er tekið fram að ábyrgðaraðili megi aðeins leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnsla uppfylli kröfur reglugerðarinnar og réttindi skráðra einstaklinga séu tryggð. Þá er nánar tryggt í 2. mgr. frumvarpsins að vinnsluaðili geti ekki leitað til annars vinnsluaðila, þ.e. svonefnds undirvinnsluaðila (e. sub-processor), nema hafa til þess sértæka eða almenna skriflega heimild ábyrgðaraðila. Er þessi áskilnaður um hvenær leita má til undirvinnsluaðila nýmæli sem ekki er að finna í gildandi lögum eða ESB-tilskipuninni.
Ef um er að ræða almenna skriflega heimild skal vinnsluaðilinn tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum færi á að andmæla slíkum breytingum.
Samkvæmt 3. mgr. frumvarpsákvæðisins er það skilyrði þess að ábyrgðaraðili feli öðrum að vinna með persónuupplýsingar á sínum vegum að vinnslusamningur liggi fyrir eða önnur réttargerð samkvæmt lögum sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og tilgreinir viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans. Í 3. mgr. 28. gr. reglugerðarinnar eru talin upp í ítarlegu máli frekari atriði sem skulu koma fram í slíkum samningi. Þá er í 4. mgr. 28. gr. reglugerðarinnar mælt fyrir um hvernig skyldur samkvæmt vinnslusamningi yfirfærast á undirvinnsluaðila.
Í 81. lið formála reglugerðarinnar eru frekari skýringar á því hvaða kröfur reglugerðin gerir til vinnsluaðila og á atriðum sem ábyrgðaraðila ber að gæta að. Mikilvægt er að vinnslusamningur sé skriflegur, þ.m.t. á rafrænu formi, sbr. 9. mgr. 28. gr. reglugerðarinnar, og geta ábyrgðaraðili og vinnsluaðili valið að nota stakan samning eða föst samningsákvæði sem annaðhvort framkvæmdastjórnin samþykkir beint eða eftirlitsstofnun í aðildarríkinu samþykkir í samræmi við samræmingarkerfið og framkvæmdastjórnin samþykkir síðan. Persónuvernd hefur nú þegar gefið út leiðbeiningar þar sem finna má drög að föstum samningsákvæðum í vinnslusamningi og má því ætla að slík samningsákvæði verði til staðar fyrir fyrirtæki og stofnanir.
Loks er ljóst að sú meginregla gildir skv. 10. mgr. 28. gr. reglugerðarinnar að brjóti vinnsluaðili í bága við reglugerðina þegar hann ákveður tilgang og aðferðir við vinnslu telst hann vera ábyrgðaraðili varðandi þá vinnslu. Um það hvernig bótaábyrgð og viðurlög vegna brota ábyrgðaraðila og vinnsluaðila á ákvæðum reglugerðarinnar er komið fram gagnvart þeim er nánar fjallað í 46., 48. og 51. gr. frumvarpsins og 82., 83. og 84. gr. reglugerðarinnar.
Um 26. gr.
Í 2. mgr. þessa frumvarpsákvæðis er fjallað um undantekningar frá því að halda vinnsluskrá og byggist hún á 5. mgr. 30. gr. reglugerðarinnar. Samkvæmt þessu á skyldan ekki við um fyrirtæki og stofnanir sem hafa færri en 250 starfsmenn. Þó eru gerðir fyrirvarar við það í sama ákvæði því að undantekningin á ekki við ef vinnslan, sem innt er af hendi hjá viðkomandi aðila er 1) líkleg til að leiða af sér áhættu fyrir réttindi og frelsi skráðra einstaklinga, 2) er ekki tilfallandi, 3) tekur til viðkvæmra persónuupplýsinga eða 4) persónuupplýsinga sem varða sakfellingar í refsimálum og refsiverð brot. Af þessu sést, einkum af öðrum fyrirvaranum, að undantekningin frá skyldunni virðist mun þrengri en orð 5. mgr. gefa til kynna við fyrstu sýn. Ljóst er að nær öll fyrirtæki eða stofnanir hafa með höndum vinnslu persónuupplýsinga sem er meira en „tilfallandi“ en er regluleg og kerfisbundin. Sem dæmi um slíkt má nefna vinnslu persónuupplýsinga um launamál starfsmanna og mánaðarlegar keyrslur slíkra upplýsinga, jafnt á fámennum sem fjölmennum vinnustöðum. Af þessu verður ályktað að skylda til að halda vinnsluskrár sé allvíðtæk og hvíli á nær öllum fyrirtækjum og stofnunum. Á móti þessu koma hins vegar skýringar í 13. lið formála reglugerðarinnar sem taka fram að með hliðsjón af sérstökum aðstæðum örfyrirtækja og lítilla og meðalstórra fyrirtækja sé sett undanþága í reglugerðina varðandi skráahald fyrirtækja með færri en 250 starfsmenn. Enn fremur eru stofnanir og aðilar sambandsins og aðildarríkin og eftirlitsyfirvöld þeirra hvött til að taka tillit til sérstakra þarfa örfyrirtækja, lítilla og meðalstórra fyrirtækja við beitingu reglugerðarinnar. Af þessu verður ályktað að þegar vinnsla persónuupplýsinga er smá í sniðum sé a.m.k. ekki ætlast til jafn ítarlegra vinnsluskráa örfyrirtækja og lítilla og meðalstórra fyrirtækja og raunin væri ella.
Í formála reglugerðarinnar er að öðru leyti lítt varpað ljósi á hvernig beri að skýra 30. gr. hennar um vinnsluskrár og undantekningar frá meginreglunni um að halda beri slíkar skrár. Um þetta ákvæði segir aðeins í 82. lið formálans að til þess að sýna fram á að farið sé að reglugerðinni ætti ábyrgðaraðilinn eða vinnsluaðilinn að halda skrár um vinnsluaðgerðir sem eru á hans ábyrgð. Hverjum ábyrgðaraðila og vinnsluaðila eigi jafnframt að vera skylt að vinna með eftirlitsyfirvaldi og gera þessar skrár, að fenginni beiðni, aðgengilegar eftirlitsyfirvaldinu svo að nýta megi þær í þágu eftirlits með þessum vinnsluaðgerðum.
Starfshópur skv. 29. gr. tilskipunar ESB undirbýr nú útgáfu á nánari leiðbeiningum um hvernig túlka skuli undantekningarákvæði 5. mgr. 30. gr. reglugerðarinnar. Þá má ætla að frekari leiðbeiningar um gerð vinnsluskráa, hugsanlega með hliðsjón af stöðluðum formum um framsetningu þeirra, sem fyrirtæki hér á landi geti stuðst við verði gefnar út hjá Persónuvernd. Þar verður litið til viðmiða og leiðbeininga 29. gr. starfshópsins svo og ráðgjafar eða tilmæla sem væntanlega koma frá Evrópska persónuverndarráðinu um samræmda framkvæmd í þessu tilliti.
Um 27. gr.
Ákvæði 32.–34. gr. reglugerðarinnar um öryggi við vinnslu eru talsvert ítarlegri en samsvarandi ákvæði ESB-tilskipunarinnar. Þannig leggur 32. gr. þá skyldu á bæði ábyrgðaraðila og vinnsluaðila að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri. Eru síðan tekin dæmi um ráðstafanir sem átt gætu við, svo sem að notuð séu gerviauðkenni og að persónuupplýsingar séu dulkóðaðar; að tryggður sé viðvarandi trúnaður, auk samfellu, tiltækileika og álagsþols vinnslukerfa og -þjónustu; að tryggt sé að tímanlega megi gera persónuupplýsingar tiltækar og endurheimta aðgang að þeim ef til efnislegs eða tæknilegs atviks komi; og að til staðar sé ferli til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar. Eru þessi atriði áréttuð frekar í 83. lið formála reglugerðarinnar. Hér er einkum verið að vísa til þess sem jafnan er kallað gerð öryggisstefnu, framkvæmd áhættumats og ákvarðanir um öryggisráðstafanir.
Þá kemur fram í 2. mgr. 32. gr. reglugerðarinnar að þegar metið er hvort öryggi sé viðunandi skal einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, sérstaklega hvað varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga, sem eru sendar, geymdar eða unnar á annan hátt, eða það að þær glatist, breytist, verði birtar eða að aðgangur verði veittur að þeim í leyfisleysi. Í 3. og 4. mgr. 32. gr. reglugerðarinnar er nánar rakið að hægt sé að sýna fram á að öryggiskröfur séu uppfylltar með því að vísa til samþykktra hátternisreglna skv. 40. gr. reglugerðarinnar eða samþykkts vottunarfyrirkomulags skv. 42. gr. hennar.
Í 2. mgr. þessa frumvarpsákvæðis er fjallað um viðbrögð við öryggisbresti. Eins og fram kemur í 11. tölul. 3. gr. frumvarpsins er með því átt við brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða að þær glatist, breytist, verði birtar eða að aðgangur verði veittur að þeim í leyfisleysi. Fyrirmæli um þetta koma fram í 33. gr. reglugerðarinnar og eru nýmæli. Þar kemur fram sú meginregla að ábyrgðaraðili skuli tafarlaust og ekki síðar en 72 klst. eftir að hann verður brestsins var tilkynna um hann til Persónuverndar. Sá fyrirvari er þó gerður að tilkynningarskyldan eigi ekki við ef ólíklegt þykir að bresturinn leiði til áhættu fyrir réttindi og frelsi einstaklinga. Hér er vissulega um matskennt atriði að ræða, en rétt er í vafatilvikum að sinna tilkynningarskyldunni. Dragist að tilkynna Persónuvernd um öryggisbrest fram yfir 72 klst. skal skýra ástæður fyrir töfinni. Þá er tekið fram í 2. mgr. að vinnsluaðili skal tilkynna ábyrgðaraðila um það tafarlaust ef hann verður var við öryggisbrest við meðferð persónuupplýsinga.
Nánari leiðbeiningar um efni tilkynningar til Persónuverndar koma fram í 3. mgr. 33. gr. reglugerðarinnar. Samkvæmt því ákvæði skal í fyrsta lagi lýsa því hvers eðlis öryggisbresturinn er, þ.m.t., ef hægt er, þeim flokkum og áætluðum fjölda skráðra einstaklinga sem hann varðar og flokkum og áætluðum fjölda færslna með persónuupplýsingum sem um er að ræða, í öðru lagi að gefa upp nafn og samskiptaupplýsingar persónuverndarfulltrúa eða annars tengiliðar þar sem hægt er að fá frekari upplýsingar, í þriðja lagi að lýsa líklegum afleiðingum öryggisbrestsins og loks í fjórða lagi að lýsa þeim ráðstöfunum sem ábyrgðaraðili hefur gert eða fyrirhugar að gera vegna hans, þ.m.t., eftir því sem við á, ráðstöfunum til að milda hugsanleg skaðleg áhrif hans. Þá er sú skylda lögð á ábyrgðaraðila í 5. mgr. 33. gr. að skrá niður hvers kyns öryggisbresti við meðferð persónuupplýsinga og tilgreina málsatvik í tengslum við viðkomandi brest, áhrif hans og aðgerðir til úrbóta sem gripið var til. Þessi skráning gerir Persónuvernd kleift að sannreyna að farið sé að framangreindum fyrirmælum um viðbrögð við öryggisbresti. Í 85. lið formála reglugerðarinnar koma fram frekari skýringar á markmiðinu að baki tilkynningarskyldu með vísan til þeirra afleiðinga sem öryggisbrestur getur haft í för með sér fyrir einstakling. Bent er á að öryggisbrestur við meðferð persónuupplýsinga getur, ef ekki er brugðist við honum á réttan hátt og tímanlega, valdið einstaklingum efnislegu tjóni, eignatjóni eða óefnislegu tjóni, svo sem missi yfirráða yfir persónuupplýsingum um sig eða takmörkun réttinda sinna, mismunun, auðkennisþjófnaði eða svikum, fjárhagstjóni, að notkun gerviauðkenna sé aflétt í leyfisleysi, skaða á orðstír, töpuðum trúnaði gagnvart persónuupplýsingum sem njóta verndar samkvæmt þagnarskyldu eða öðru umtalsverðu efnahagslegu eða félagslegu óhagræði.
Í 3. mgr. þessa frumvarpsákvæðis segir að ábyrgðaraðili skuli tafarlaust tilkynna skráðum einstaklingi, sem persónuupplýsingarnar varða, um öryggisbrest ef líklegt er að brestur leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Ákvæði þetta er byggt á 34. gr. reglugerðarinnar sem kveður nánar á um efni slíkrar tilkynningar. Þar skal lýsa á skýru og einföldu máli hvers eðlis öryggisbresturinn er og skulu í tilkynningunni koma a.m.k. fram þær upplýsingar sem um getur í tilkynningu til Persónuverndar skv. 33. gr. Skv. 86. lið formála reglugerðarinnar er markmið tilkynningarskyldu í þessum tilvikum einkum að gefa viðkomandi einstaklingi færi á að gera nauðsynlegar varúðarráðstafanir. Slíkar tilkynningar til skráðra einstaklinga ætti að senda eins fljótt og mögulegt er og í nánu samstarfi við Persónuvernd, í samræmi við leiðbeiningar frá henni. Þörf á að draga úr bráðri hættu á tjóni kallar eftir skjótum samskiptum við skráða einstaklinga.
Undantekningar frá tilkynningarskyldu til skráðs einstaklings er að finna í 2. mgr. 34. gr. reglugerðarinnar. Hún á í fyrsta lagi ekki við hafi ábyrgðaraðilinn gert viðeigandi tæknilegar og skipulagslegar verndarráðstafanir og þessar ráðstafanir voru gerðar varðandi þær persónuupplýsingar sem öryggisbrestur varðaði, einkum ráðstafanir til að gera persónuupplýsingar ólæsilegar hverjum þeim sem ekki hefur aðgangsheimild að þeim, svo sem með dulkóðun. Í öðru lagi á tilkynningarskyldan ekki við hafi ábyrgðaraðilinn gert ráðstafanir í kjölfar öryggisbrests sem tryggja að ólíklegt sé að aftur komi til jafnmikillar áhættu fyrir réttindi og frelsi skráðra einstaklinga og um getur í 1. mgr. 34. gr. Loks á hún í þriðja lagi ekki við ef hún mundi hafa í för með sér óhóflega fyrirhöfn. Í því tilviki skal í stað tilkynningar til skráðs einstaklings birta almenna tilkynningu eða grípa til svipaðrar ráðstöfunar þar sem hinum skráðu er gert viðvart um brest.
Í 87. og 88. lið formála reglugerðarinnar koma fram frekari skýringar á því hvernig á að bera sig að við tilkynningu til Persónuverndar, þar á meðal við undirbúning hennar. Nánar segir að ábyrgðaraðila beri að ganga úr skugga um hvort allar viðeigandi tæknilegar verndarráðstafanir og skipulagsráðstafanir hafi verið gerðar til að staðfesta tafarlaust hvort öryggisbrestur við meðferð persónuupplýsinga hafi átt sér stað og til að upplýsa Persónuvernd og hinn skráða þegar í stað um hann. Ganga ætti úr skugga um að tilkynningin hafi verið send tafarlaust, einkum með tilliti til eðlis og alvarleika öryggisbrests við meðferð persónuupplýsinga, afleiðinga hans og skaðlegra áhrifa hans fyrir hinn skráða. Slík tilkynning getur leitt til inngripa af hálfu Persónuverndar í samræmi við verkefni hennar og valdsvið.
Þegar settar eru ítarlegar reglur um viðeigandi framsetningu og verklag við tilkynningu öryggisbrests við meðferð persónuupplýsinga ætti að taka tilhlýðilegt tillit til aðstæðna þegar viðkomandi brestur átti sér stað, m.a. hvort persónuupplýsingar hafi verið varðar með viðeigandi tæknilegum ráðstöfunum sem takmarki í reynd líkur á auðkennasvikum eða annars konar misnotkun.
Þess má loks geta að starfshópur skv. 29. gr. tilskipunar ESB hefur gefið út leiðbeiningar um öryggisbresti við vinnslu á persónuupplýsingum samkvæmt þeim nýju ákvæðum reglugerðarinnar um efnið sem rakin eru að framan (e. Guidelines on Personal data breach notification under Regulation 2016/679) frá 3. október 2017, endurskoðuð og breytt 6. febrúar 2018, WP350rev.01. Þar eru gefnar ítarlegar leiðbeiningar, svo sem um hvenær tilkynningarskyldan verður virk og hvenær undantekningar frá henni eiga við, og hugtök í 32.–34. gr. reglugerðarinnar skýrð. Persónuvernd hefur jafnframt gefið út leiðbeiningar um tilkynningar vegna öryggisbresta, en þær eru byggðar á framangreindum leiðbeiningum 29. gr. hópsins.
Um 28. gr.
Í þessu sambandi má einnig benda á 47. gr. frumvarpsins þar sem fjallað er um atriði sem áhrif hafa á ákvörðun um stjórnvaldssektir vegna brota á reglum frumvarpsins og reglugerðinni. Í 6. og 8. tölul. 1. mgr. er sérstaklega tilgreint að taka skuli tilhlýðilegt tillit til umfangs samvinnu við Persónuvernd til að bæta úr brotinu, svo og með hvaða hætti ábyrgðaraðili eða vinnsluaðili tilkynnti um brotið.
Um 29. gr.
Í 1. mgr. 29. gr. frumvarpsins er fjallað um mat á áhrifum á persónuvernd. Markmið þess er að tryggja að þegar vinnsluaðferðir skapa mikla hættu fyrir friðhelgi einstaklinga meti ábyrgðaraðili þá hættu og mögulegar afleiðingar hennar áður en vinnslan hefst. Komi í ljós að áhættan sé mikil og að honum sé sjálfum ekki fært að draga úr henni verður að leita fyrirframálits Persónuverndar á vinnslunni. Ákvæðið er nýmæli og á sér því ekki beina hliðstæðu í ESB-tilskipuninni, þar sem ekki er vikið sérstaklega að skyldu til að gera áhættumat, né heldur í gildandi lögum. Þess er þó að geta að ákvæði 11. gr. núgildandi laga, eins og þeim var breytt með lögum nr. 90/2001, fjallar um áhættumat, öryggi og gæði persónuupplýsinga og gildir að hluta til um áþekkt efni og hér um ræðir, en þó frá þrengra sjónarhorni. Á grundvelli umrædds ákvæðis laganna hafa verið settar reglur nr. 299/2001 um öryggi persónuupplýsinga sem lúta fyrst og fremst að skilyrðum sem gerð eru til öryggiskerfa. Bæði þar og í lögunum er byggt á þeirri forsendu að skriflegt áhættumat sé gert.
Reglur 35. gr. reglugerðarinnar um mat á áhrifum á persónuvernd fela í sér sérstakar skyldur til að láta fara fram slíkt mat við þær aðstæður sem lýst er að framan og er í 2. mgr. greinarinnar jafnframt mælt fyrir um að leita skuli ráða hjá persónuverndarfulltrúa um efnið, sé hann til staðar. Þá er nánar rakið í 3. mgr. 35. gr. hvenær sérlega ríkar ástæður eru til að láta fara fram umrætt mat, en þrenns konar aðstæður eru þar nefndar. Í fyrsta lagi þegar um er að ræða kerfisbundið og umfangsmikið mat, byggt á sjálfvirkri vinnslu, á persónulegum þáttum sem tengjast einstaklingum, þ.m.t. gerð persónusniðs, og sem leiðir til töku ákvarðana sem hafa réttaráhrif fyrir einstaklinginn eða snerta hann verulega; í öðru lagi ef um er að ræða umfangsmikla vinnslu viðkvæmra persónuupplýsinga eða persónuupplýsinga um sakfellingar í refsimálum og refsiverð brot eins og um getur í 10. gr. reglugerðarinnar; og í þriðja lagi ef um er að ræða kerfisbundið og umfangsmikið eftirlit með svæði sem er aðgengilegt almenningi.
Í 84. og 91. lið formála reglugerðarinnar eru þessi fyrirmæli skýrð nánar og dæmi tekin um hvenær ákvæðið á við. Kemur þar m.a. fram að sérstaklega eigi að láta fara fram mat á áhrifum á persónuvernd þegar um er að ræða umfangsmiklar vinnsluaðgerðir sem miða að því að vinna verulegt magn persónuupplýsinga á alþjóðlegum vettvangi, sem gætu haft áhrif á mikinn fjölda skráðra einstaklinga og sem líklegt má telja að leiði af sér mikla áhættu, t.d. vegna þess hversu viðkvæmar upplýsingarnar eru. Einnig þegar notuð er ný tækni í miklum mæli, svo og þegar viðhafðar eru aðrar vinnsluaðgerðir sem leiða af sér mikla áhættu fyrir réttindi og frelsi skráðra einstaklinga, einkum þegar þessar aðgerðir gera hinum skráðu erfiðara fyrir með að neyta réttar síns. Þá er tekið fram í 91. lið að framkvæma ætti mat á áhrifum á persónuvernd þegar unnið er með persónuupplýsingar vegna ákvarðana sem varða tiltekna einstaklinga í kjölfar kerfisbundins og umfangsmikils mats á persónubundnum þáttum sem tengjast þeim og byggt er á gerð persónusniðs úr þessum upplýsingum, sem og þegar ákvarðanirnar fylgja í kjölfar vinnslu viðkvæmra upplýsinga, lífkennaupplýsinga eða upplýsinga um sakfellingar í refsimálum og refsiverð brot eða tengdar öryggisráðstafanir. Um skýringu á því hvað geti falist í umfangsmiklu eftirliti með svæðum sem eru aðgengileg almenningi er einkum vísað til þess þegar notaður er ljósrafeindabúnaður eða aðrar aðgerðir viðhafðar sem Persónuvernd telur að leiði líklega af sér mikla áhættu fyrir réttindi og frelsi skráðra einstaklinga, einkum vegna þess að þær komi í veg fyrir að hinir skráðu geti neytt réttar síns, notið þjónustu eða byggt á samningi, eða vegna þess að þær eru umfangsmiklar og framkvæmdar kerfisbundið. Í því sambandi er tekið fram að vinnsla persónuupplýsinga ætti ekki að teljast umfangsmikil ef hún varði persónuupplýsingar frá einstökum lækni, öðrum faglærðum heilbrigðisstarfsmanni eða lögfræðingi um sjúklinga eða viðskiptavini. Í þeim tilvikum er ekki ætlast til að mat á áhrifum á persónuvernd verði skyldubundið. Þá er bent á í 92. lið formálans að við tilteknar aðstæður kunni að vera skynsamlegt og hagkvæmt að hafa viðfangsefni mats á áhrifum á persónuvernd víðtækara en eitt verkefni. Það eigi t.d. við ef stjórnvöld eða stofnanir hafa í hyggju að koma á sameiginlegum vettvangi vegna vinnslu eða þegar margir ábyrgðaraðilar ráðgera að koma á sameiginlegu notkunar- eða vinnsluumhverfi innan atvinnugreinar eða geira í atvinnulífinu. Mikilvægt er að mat á persónuvernd fari fram áður en vinnsla hefst.
Í 2. og 3. mgr. frumvarpsákvæðisins er mælt fyrir um aðgerðir af hálfu Persónuverndar til að auðvelda ábyrgðaraðilum að greina á milli þess hvenær þörf er á að mat á persónuvernd fari fram og hvenær ekki. Er hér byggt á hliðstæðum ákvæðum 4. og 5. mgr. 35. gr. reglugerðarinnar. Þannig skal Persónuvernd birta skrá yfir þær tegundir vinnsluaðgerða þar sem krafist er mats á áhrifum á persónuvernd, en auk þess getur stofnunin ákveðið að birta skrá yfir þær tegundir vinnsluaðgerða þar sem ekki er krafist slíks mats. Við birtingu þessara upplýsinga samkvæmt framangreindu skulu a.m.k. koma fram eftirfarandi upplýsingar, sbr. 7. mgr. 35. gr. reglugerðarinnar: a) kerfisbundin lýsing á fyrirhuguðum vinnsluaðgerðum og tilganginum með vinnslunni, þ.m.t., eftir atvikum, lögmætum hagsmunum ábyrgðaraðilans, b) mat á því hvort vinnsluaðgerðirnar séu nauðsynlegar og hóflegar miðað við tilganginn með þeim, c) mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga sem í hlut eiga og d) ráðstafanir sem fyrirhugað er að grípa til gegn slíkri áhættu, þar á meðal verndarráðstafanir, öryggisráðstafanir og fyrirkomulag við að tryggja vernd persónuupplýsinga og sýna fram á að farið sé að reglugerðinni, að teknu tilliti til réttinda og lögmætra hagsmuna skráðra einstaklinga og annarra einstaklinga sem í hlut eiga. Í 8.–11. mgr. 35. gr. reglugerðarinnar er að finna nánari fyrirmæli um atriði sem tengjast mati á persónuvernd, þ.m.t. þýðingu þess fyrir slíkt mat að hlutaðeigandi ábyrgðar- og vinnsluaðilar fylgi samþykktum hátternisreglum. Þá eru þar ákveðnar undantekningar á skyldu til að framkvæma mat á áhrifum á persónuvernd og fjallað um hvenær þörf sé á því að láta endurskoða slíkt mat.
Þess má loks geta að starfshópur skv. 29. gr. tilskipunar ESB hefur gefið út leiðbeiningar um mat á áhrifum á persónuvernd og ákvörðun þess hvenær vinnsla er talin líkleg til að hafa mikla áhættu í för með sér (e. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/679) frá 4. apríl 2017, síðast breytt 4. október 2017, WP248. Þar er að finna ítarlegar leiðbeiningar og útskýringar á inntaki 35. gr. reglugerðarinnar og bæði efnisleg og tæknileg viðmið sem ber að líta til þegar metið er hvort vinnsla sé líkleg til að skapa mikla áhættu.
Um 30. gr.
Í 2. mgr. þessa frumvarpsákvæðis kemur fram að telji Persónuvernd að fyrirhuguð vinnsla mundi brjóta í bága við reglugerðina, einkum ef ábyrgðaraðili hefur ekki greint eða dregið úr áhættunni með fullnægjandi hætti, skal stofnunin, innan átta vikna frá því að henni berst beiðni um samráð, veita ábyrgðaraðila og, eftir atvikum, vinnsluaðila skriflega ráðgjöf og getur notað til þess allar þær valdheimildir sínar sem um getur í 41.–43. gr. frumvarpsins. Lengja má frestinn um sex vikur með hliðsjón af því hversu flókin fyrirhuguð vinnsla er. Persónuvernd skal tilkynna ábyrgðaraðila og, eftir atvikum, vinnsluaðila um slíka framlengingu innan mánaðar frá viðtöku beiðni um samráð, ásamt ástæðunum fyrir töfinni. Þessa fresti má framlengja þar til Persónuvernd hefur fengið þær upplýsingar sem hún óskar eftir vegna samráðsins.
Nánari upptalningu atriða sem ábyrgðaraðili skal greina frá þegar hann leitar samráðs hjá Persónuvernd er að finna í 3. mgr. 36. gr. reglugerðarinnar. Þessi atriði eru eftirfarandi: a) eftir atvikum, ábyrgðarsvið ábyrgðaraðila, sameiginlegra ábyrgðaraðila og vinnsluaðila, sem koma að vinnslunni, hvers um sig, einkum þegar um er að ræða vinnslu innan fyrirtækjasamstæðu, b) tilgangur fyrirhugaðrar vinnslu og aðferðir við hana, c) ráðstafanir og verndarráðstafanir sem gerðar eru til að vernda réttindi og frelsi skráðra einstaklinga samkvæmt reglugerðinni, d) ef við á, samskiptaupplýsingar persónuverndarfulltrúa, e) mat á áhrifum á persónuvernd og f) hverjar þær upplýsingar aðrar sem Persónuvernd fer fram á.
Auk þeirra aðstæðna sem fyrr er getið þar sem leita skal fyrirframsamráðs við Persónuvernd er sérregla í 4. mgr. 36. gr. reglugerðarinnar sem felur í sér að stjórnvöld skulu hafa samráð við Persónuvernd við undirbúning lagasetningar sem fjallar um vinnslu persónuupplýsinga, sbr. einnig 96. lið formála reglugerðarinnar. Það sama gildir ef stjórnvaldsráðstöfun, t.d. setning stjórnvaldsfyrirmæla sem byggist á lögum, felur í sér vinnslu persónuupplýsinga. Hér er í raun fest í sessi framkvæmd sem þegar hefur verið við lýði um langt skeið á grundvelli núgildandi laga, þar sem lagafrumvörp og stjórnvaldsfyrirmæli með ákvæðum um vinnslu persónuupplýsinga hafa að jafnaði verið send Persónuvernd til umsagnar. Er einnig gert ráð fyrir slíku samráði í verkefnum Persónuverndar skv. 37. gr. núgildandi laga, svo og með nákvæmari lýsingu í 2. tölul. 3. mgr. 39. gr. frumvarps þessa. Samkvæmt því ákvæði skal Persónuvernd veita Alþingi, stjórnvöldum og öðrum aðilum ráðgjöf á sviði lagasetningar og stjórnsýslu sem tengist vernd einstaklinga við vinnslu persónuupplýsinga.
Í 94. lið formála reglugerðarinnar eru áréttaðar efnisreglur 36. gr. hennar. Þar er einnig ítrekað að eftirlitsyfirvaldið, þ.e. Persónuvernd, ætti að bregðast við beiðni um samráð innan tilgreinds tíma. Komi ekki viðbrögð frá Persónuvernd innan þess tíma ætti það þó ekki að hafa áhrif á íhlutun stofnunarinnar síðar í samræmi við verkefni hennar og valdheimildir samkvæmt frumvarpinu og reglugerðinni, þar á meðal heimildina til að banna vinnsluaðgerðir. Liður í samráðsferli þessu er að heimilt er að leggja fyrir Persónuvernd niðurstöðu mats á áhrifum á persónuvernd sem framkvæmt er með tilliti til viðkomandi vinnslu, einkum fyrirhugaðar ráðstafanir til að draga úr áhættu fyrir réttindi og frelsi einstaklinga.
Um 31. gr.
Í 1. mgr. frumvarpsákvæðisins er því lýst samkvæmt framangreindu að Persónuvernd geti ákveðið að vinnsla megi ekki hefjast fyrr en hún hefur verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar þegar um er að ræða vinnslu persónuupplýsinga vegna verkefnis í þágu almannahagsmuna sem getur falið í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra einstaklinga. Þá segir að Persónuvernd geti ákveðið að slík leyfisskylda falli brott þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skuli við slíka vinnslu. Hafa ber í huga að hér er um heimild að ræða en ekki skyldu til að binda tiltekna vinnslustarfsemi við leyfi.
Í 2. mgr. þessa ákvæðis er mælt fyrir um að Persónuvernd skuli setja nánari reglur um leyfisskyldu. Má ætla að þar muni koma fram skýrari afmörkun á því við hvaða aðstæður ákvæðinu verður beitt. Um forsendur leyfisveitingar Persónuverndar og skilmála hennar er fjallað í 32. og 33. gr. frumvarpsins.
Um 32. gr.
Í 2. mgr. er lýst því hagsmunamati sem viðhafa ber við ákvörðun um leyfisveitingu. Verði niðurstaðan af því mati sú að vinnslan skapi slíkt óhagræði fyrir hinn skráða að ekki sé talið hægt að bæta úr því með forsvaranlegum hætti verða hagsmunir hans taldir vega þyngra og synjað um leyfi til vinnslu. Persónuvernd ber að kanna á grundvelli m.a. þeirra atriða sem talin eru upp í 33. gr. frumvarpsins hvort hagsmunir hins skráða teljast nægilega tryggðir með setningu skilmála samkvæmt þeirri grein.
Um 33. gr.
Í 3. mgr. 35. gr. núgildandi laga er ákvæði um að Persónuvernd geti ákveðið að ábyrgðaraðili og vinnsluaðili undirriti yfirlýsingu um að þeir lofi að gæta þagmælsku um viðkvæmar persónuupplýsingar sem þeir fá vitneskju um við vinnslu þeirra. Í frumvarpinu er hliðstætt ákvæði að finna í 44. gr. sem er almennt ákvæði um þagnarskyldu. Þar er tekið fram að við gerð skilmála skv. 33. gr. laganna geti Persónuvernd ákveðið að ábyrgðaraðili og vinnsluaðili, svo og starfsmenn á vegum þeirra, skuli undirrita yfirlýsingu um að þeir gangist undir þagnarskyldu um persónuupplýsingar sem þeir fá vitneskju um við vinnslu þeirra. Þá er lögð refsing við broti á þagnarskyldu í 2. mgr. 48. gr. frumvarpsins. Verður nánar fjallað um þagnarskyldu þeirra sem vinna með persónuupplýsingar í skýringum við þessi frumvarpsákvæði síðar.
Frumvarpið geymir ekki sérstaka reglu, eins og nú er að finna í 4. mgr. 35. gr. gildandi laga, um að Persónuvernd geti mælt fyrir um að sérstakur tilsjónarmaður skuli skipaður til að hafa eftirlit með því að vinnsla sé í samræmi við lög og skilmála stofnunarinnar. Er það í raun fólgið í valdheimildum stofnunarinnar á grundvelli 40. gr. frumvarpsins að hún getur ákveðið að ábyrgðaraðili skuli greiða þann kostnað sem hlýst af eftirliti. Þar undir mundi falla kostnaður af starfi sérstaks tilsjónarmanns ef ákveðið er að skipa hann, svo og annar kostnaður af úttektum á starfsemi við undirbúning útgáfu vinnsluleyfis og öðrum eftirlitsaðgerðum. Um gjaldtöku vegna kostnaðar sem hlýst af eftirliti er fjallað í 40. gr. frumvarpsins.
Þá ber að hafa í huga að með tilkomu persónuverndarfulltrúa samkvæmt ákvæðum reglugerðarinnar getur dregið úr þörf á að tilsjónarmaður verði skipaður til þess að hafa eftirlit með því að vinnsla sé í samræmi við lög og skilmála Persónuverndar.
Um 34. gr.
Rétt þykir að viðhalda óbreyttu ákvæði um efnið í þessu frumvarpsákvæði enda er ljóst að Persónuvernd gegnir ákveðnu lögbundnu hlutverki í tengslum við veitingu leyfa fyrir vísindarannsóknum á heilbrigðissviði, sem lýst er í sérlögum um efnið.
Um 35. gr.
Fátt er um útskýringar í formála reglugerðarinnar á þessum nýja hópi fagmanna sem fara með mikilvægt hlutverk samkvæmt ákvæðum 37.–39. gr. hennar. Er kjarni þessara ákvæða þó dreginn saman í 97. lið formálans. Þar er tekið fram að þegar vinnsla persónuupplýsinga er í höndum opinbers yfirvalds, að undanskildum dómstólum eða sjálfstæðum dómsyfirvöldum þegar þau fara með dómsvald sitt, ef vinnsla í einkageiranum er í höndum ábyrgðaraðila þar sem meginstarfsemin felst í vinnsluaðgerðum sem krefjast umfangsmikillar, reglubundinnar og kerfisbundinnar vöktunar á skráðum einstaklingum eða ef meginverkefni ábyrgðaraðilans eða vinnsluaðilans felast í umfangsmikilli vinnslu sérstakra flokka persónuupplýsinga og upplýsinga er varða sakfellingu í refsimálum og refsiverð brot ætti aðili með sérþekkingu á löggjöf um persónuvernd, þ.e. persónuverndarfulltrúi, að aðstoða ábyrgðaraðilann eða vinnsluaðilann við eftirlit með því að þessari reglugerð sé fylgt í starfseminni. Þá er tekið fram að ákvarða ætti nauðsynlega sérþekkingu slíks fulltrúa einkum út frá þeim vinnsluaðgerðum sem framkvæmdar eru og þeirri vernd sem nauðsynleg er vegna þeirra persónuupplýsinga sem ábyrgðaraðili eða vinnsluaðili vinnur. Loks er áréttað að persónuverndarfulltrúar, hvort sem þeir eru starfsmenn ábyrgðaraðilans eða ekki, ættu að vera í aðstöðu til að sinna skyldustörfum sínum og verkefnum með óháðum hætti.
Ítarlegri skýringar á ákvæðum um efnið er að finna í leiðbeiningum um persónuverndarfulltrúa sem starfshópur skv. 29. gr. tilskipunar ESB hefur gefið út frá 16. desember 2016 með breytingum frá 5. apríl 2017 (e. Guidelines on Data Protection Officers), WP243 rev.01. Í febrúar 2018 gaf Persónuvernd út leiðbeiningar um persónuverndarfulltrúa sem birtar eru á vefsíðu stofnunarinnar. Þær byggjast að stóru leyti á fyrrgreindum leiðbeiningum frá 29. gr. hópnum. Í umfjöllun hér á eftir verður m.a. stuðst við þær skýringar sem birtast í leiðbeiningum um persónuverndarfulltrúa um helstu hugtök ákvæða reglugerðarinnar um efnið og stöðu og hlutverk persónuverndarfulltrúa.
Í 1. mgr. þessa frumvarpsákvæðis er kveðið á um tilvik þar sem ábyrgðaraðila og vinnsluaðila er skylt að tilnefna persónuverndarfulltrúa. Í fyrsta lagi á það við, skv. 1. tölul., í öllum tilvikum þar sem vinnsla er höndum stjórnvalds. Í 1. mgr. 37. gr. reglugerðarinnar er vísað til opinbers yfirvalds eða stofnunar án frekari tilgreiningar, en það getur m.a. ráðist af skilgreiningu landslaga. Hér á landi verður þá einkum litið til skilgreiningar 1. gr. stjórnsýslulaga, nr. 37/1993. Því er ljóst að með stjórnvöldum er vísað til allra aðila, stofnana, nefnda o.fl. sem falla undir stjórnsýslu ríkis og sveitarfélaga. Þá er hugsanlegt að tiltekin verkefni í þágu almannahagsmuna séu falin lögaðilum á sviði einkaréttar. Dæmi af þeim toga eru m.a. rakin í fyrrgreindum leiðbeiningum, svo sem á sviði almenningssamgangna, vegaframkvæmda, orku- og vatnsveitna o.fl. þar sem staða skráðra einstaklinga getur verið nokkuð sambærileg og ætti við gagnvart stjórnvöldum. Þótt ekki sé um stjórnvöld að ræða í skilningi 1. tölul. og beina lagaskyldu fyrirtækja á þeim grundvelli er engu að síður talið æskilegt að þau tilnefni persónuverndarfulltrúa þegar þau vinna verkefni í þágu almannahagsmuna. Þá má vera að ákvæði 2. og 3. tölul. eigi hvort eð er við um starfsemina vegna umfangs eða eðlis vinnslunnar. Í 1. mgr. 37. gr. reglugerðarinnar eru undanskildir dómstólar þegar þeir fara með dómsvald sitt. Þar sem ljóst er að hugtakið stjórnvald í íslensku lagamáli tekur ekki til dómstóla þarf ekki að undanskilja þá sérstaklega í þessu frumvarpsákvæði. Hins vegar er ljóst að dómstólar vinna að nokkru marki með persónuupplýsingar í starfsemi sinni sem ekki tengist beint meðferð dómsvalds, t.d. í tengslum við birtingu dóma. Getur þá verið æskilegt að þeir tilnefni persónuverndarfulltrúa þótt ekki sé bein lagaskylda til þess.
Auk skyldu stjórnvalda til að tilnefna persónuverndarfulltrúa mæla eftirtaldir töluliðir fyrir um slíka skyldu í öðrum tilvikum. Það er annars vegar þegar meginstarfsemi ábyrgðaraðila eða vinnsluaðila felst í vinnsluaðgerðum sem krefjast, sakir eðlis síns, umfangs eða tilgangs, umfangsmikils, reglubundins og kerfisbundins eftirlits með skráðum einstaklingum (2. tölul. 1. mgr.) eða hins vegar þegar meginstarfsemi ábyrgðaraðila eða vinnsluaðila felst í umfangsmikilli vinnslu viðkvæmra persónuupplýsinga eða upplýsinga sem varða sakfellingar í refsimálum og refsiverð brot (3. tölul.). Í c-lið 1. mgr. 37. gr. reglugerðarinnar eru þessi tvö atriði 3. tölul. talin upp í röð en ótvírætt er að skýra ber þau sem valkvæð, þ.e. nægilegt er að annaðhvort eigi sér stað umfangsmikil vinnsla viðkvæmra persónuupplýsinga eða upplýsinga sem varða sakfellingar í refsimálum og refsiverð brot. Í leiðbeiningum 29. gr. hópsins um persónuverndarfulltrúa er þessi skýring á hliðstæðu ákvæði c-liðar 1. mgr. 37. gr. reglugerðarinnar áréttuð.
Þegar fyrirtæki ákveður hvort það þurfi að skipa sér persónuverndarfulltrúa þarf fyrst að leggja mat á hvað felst í hugtakinu „meginstarfsemi“. Í leiðbeiningum um persónuverndarfulltrúa segir að hér sé átt við lykilverkefni sem eru nauðsynleg fyrir starfsemi ábyrgðar- eða vinnsluaðila. Skýrt dæmi um þetta er starfsemi heilbrigðisstofnana. Þótt meginmarkmið í slíkri starfsemi sé að veita heilbrigðisþjónustu er ljóst að slíkt væri ekki unnt án þess að vinna persónuupplýsingar um einstaklinga, svo sem í sjúkraskrám, og fellur vinnsla því undir meginstarfsemi. Því er ljóst að öllum aðilum sem veita slíka þjónustu, hvort heldur opinberum (sem falla hvort eð er undir skyldu skv. 1. tölul.) og einkareknum aðilum, er skylt að tilnefna persónuverndarfulltrúa. Sem annað dæmi má nefna öryggisþjónustufyrirtæki sem starfrækir eftirlitsmyndavélar, bæði á almannafæri og einkasvæðum, svo sem í verslunarmiðstöð. Er meginstarfsemi slíkra fyrirtækja fólgin í eftirliti með skráðum einstaklingum sem skapar skyldu til að tilnefna persónuverndarfulltrúa. Annað hugtak í 2. og 3. tölul. sem þarf að skýra er orðið „umfangsmikil“ vinnsla. Í leiðbeiningum um persónuverndarfulltrúa segir að þótt fjöldi þeirra sem vinnslan snertir hafi vissulega þýðingu sé ekki hægt að gefa nákvæmt mat á því, t.d. um tiltekinn fjölda skráðra einstaklinga til að uppfylla þetta skilyrði, heldur verði hér að taka mið af nokkrum atriðum í hverju tilviki sem eru eftirfarandi: 1) fjöldi skráðra einstaklinga, 2) magn persónuupplýsinga sem vinnslan varðar, 3) tímalengd vinnslustarfseminnar eða varðveislutími upplýsinganna, 4) landfræðileg mörk vinnslunnar, þ.e. hversu víðfeðm hún er. Þá eru í leiðbeiningunum talin upp dæmi um það sem mundi falla þar undir, þar á meðal vinnsla sjúkraskrárupplýsinga í reglulegri starfsemi heilbrigðisstofnana, vinnsla ferðaupplýsinga einstaklinga sem ferðast með almenningssamgöngum, vinnsla persónuupplýsinga af hálfu leitarvélar um hegðun einstaklinga á netinu í þeim tilgangi að bjóða persónusniðnar auglýsingar og vinnsla vátryggingafélaga og banka á persónuupplýsingum um viðskiptavini sem eru í reglulegum samskiptum. Dæmi um það sem mundi aftur á móti ekki falla þarna undir væri vinnsla persónuupplýsinga um sjúklinga hjá sjálfstætt starfandi heilbrigðisstarfsmanni eða vinnsla upplýsinga sem varða sakfellingar í refsimálum eða refsiverð brot hjá einstökum lögmanni eða starfandi lögfræðingi. Um skýringu á hugtökunum „reglubundið“ og „kerfisbundið“ eftirlit með einstaklingum í 2. tölul. má hafa til hliðsjónar orð 24. liðar formála reglugerðarinnar sem fjallar um vöktun á hegðun skráðra einstaklinga en undir það fellur m.a. þegar slóð einstaklinga er rakin á netinu og í kjölfarið séu notaðar vinnsluaðferðir á persónuupplýsingum sem felast í gerð persónusniðs um einstakling, einkum í því skyni að taka ákvarðanir varðandi viðkomandi eða til að greina eða spá fyrir um smekk hans, hegðun og viðhorf. Í leiðbeiningum um persónuverndarfulltrúa er einnig tekið fram að orðið kerfisbundið taki til þess að vinnslan sé byggð á ákveðnu kerfi, þar sem ákveðið er fyrir fram að vinnsla fari fram eftir ákveðnu skipulagi. Dæmi um starfsemi sem getur falið í sér reglulegt og kerfisbundið eftirlit með skráðum einstaklingum er rekstur fjarskiptanets og fjarskiptaþjónustu, gerð persónusniða og áhættumats, t.d. lánshæfismats, við ákvörðun tryggingariðgjalds til að koma í veg fyrir svik eða peningaþvætti, eftirlit með hreyfingu einstaklings samkvæmt upplýsingum úr heilsuúrum eða annars konar heilsutækjum sem einstaklingur hefur á sér og notkun öryggismyndavéla.
Annað mikilvægt atriði í 1. mgr. er að ekki aðeins ábyrgðaraðilar heldur einnig vinnsluaðilar geta borið skyldu til að tilnefna persónuverndarfulltrúa. Í leiðbeiningum um persónuverndarfulltrúa er tekið fram að þegar vinnsluaðili vinnur upplýsingar fyrir marga ábyrgðaraðila í senn geti þessa skylda orðið virk vegna umfangs vinnslu á upplýsingum, þótt ekki sé sjálfgefið að hver og einn ábyrgðaraðili beri skyldu til að tilnefna persónuverndarfulltrúa. Verður þannig að meta sjálfstætt í hverju og einu tilviki hvort hvor þessara aðila eða báðir uppfylli skilyrði 2. og 3. tölul.
Samkvæmt 2. mgr. þessa frumvarpsákvæðis er fyrirtækjasamstæðu heimilt að skipa einn persónuverndarfulltrúa að því tilskildu að sérhver starfsstöð hafi greiðan aðgang að honum. Einnig er stjórnvöldum heimilt að skipa sameiginlegan persónuverndarfulltrúa að teknu tilliti til stjórnskipulags þeirra og stærðar. Fyrri hluti ákvæðisins er hliðstæður 2. mgr. 37. gr. reglugerðarinnar. Í síðara hluta ákvæðisins er byggt á heimild í 3. mgr. 37. gr. hennar til að fleiri en eitt stjórnvald geti tekið sig saman um að tilnefna einn persónuverndarfulltrúa. Um hugtakið fyrirtækjasamstæða vísast til skilgreiningar sem fram kemur í 10. tölul. 4. gr. reglugerðarinnar en þar er átt við „ráðandi fyrirtæki og undirfyrirtæki þess“. Þegar einn persónuverndarfulltrúi er tilnefndur fyrir fyrirtækjasamstæðu verður að tryggja að hver starfsstöð hafi greiðan aðgang að honum. Til að aðgengi að persónuverndarfulltrúanum sé tryggt verður hann í það minnsta að vera staðsettur innan EES-svæðisins óháð því hvort ábyrgðar- eða vinnsluaðili eru það. Þó er ekki útilokað að í afmörkuðum tilvikum geti þær aðstæður verið fyrir hendi að hvorki ábyrgðar né vinnsluaðili séu með starfsstöð innan EES-svæðisins og því sé betra fyrir persónuverndarfulltrúann að sinna starfi sínu utan þess.
Þegar fleiri en eitt stjórnvald tilnefna sameiginlegan persónuverndarfulltrúa verður að hafa hliðsjón af stjórnskipulagi þeirra og stærð. Þannig má benda á að hugsanlega gætu tvö eða fleiri sveitarfélög tekið sig saman um að tilefna sameiginlegan persónuverndarfulltrúa, en ef öll 74 sveitarfélög landsins tilnefna einn sameiginlegan fulltrúa fyrir sig öll er umfang slíks starfs hugsanlega orðið of mikið til að fulltrúinn geti sinnt skyldum sínum gagnvart þeim öllum svo vel sé.
Þess má geta að ekkert er því til fyrirstöðu samkvæmt reglugerðinni að fleiri en eitt fyrirtæki leiti þjónustu hjá sama persónuverndarfulltrúa. Ætla má að í fyrstu eftir gildistöku laganna verði ekki margir með þá sérþekkingu og faglegu hæfni sem þarf til að sinna hlutverki persónuverndarfulltrúa og aðgengi að sérfræðingum um efnið verði í byrjun takmarkað. Því getur verið hagfellt að t.d. fleiri en eitt smáfyrirtæki geti tilnefnt sama fulltrúa sem er ekki fastur starfsmaður neins þeirra en sinnir verkefninu sjálfstætt fyrir hvert þeirra sem verktaki.
Aðildarríkjum er veitt svigrúm í 4. mgr. 37. gr. reglugerðarinnar til þess að kveða á um skyldu fyrirtækja, samtaka o.fl. til að tilnefna persónuverndarfulltrúa í öðrum tilvikum en þeim sem talin eru í 1. mgr. og rakin eru að framan. Í frumvarpi þessu er ekki farin sú leið að setja ákvæði um víðtækari skyldur í þessu tilliti. Vitaskuld geta fyrirtæki tilnefnt slíka fulltrúa þó að þeim sé það ekki skylt samkvæmt lögum. Í leiðbeiningum um persónuverndarfulltrúa er hvatt til þess að tilnefna persónuverndarfulltrúa þótt ekki sé um lagaskyldu að ræða.
Í 3. mgr. frumvarpsgreinarinnar er vísað til nánari fyrirmæla í 37.–39. gr. reglugerðarinnar um hæfni, stöðu og verkefni persónuverndarfulltrúa. Skv. 5. mgr. 37. gr. reglugerðarinnar skal persónuverndarfulltrúi tilnefndur á grundvelli faglegrar hæfni sinnar og einkum sérþekkingar á lögum og lagaframkvæmd á sviði persónuverndar og getu sinnar til að vinna þau verkefni sem um getur í 39. gr. reglugerðarinnar. Mikilvæg hæfni og sérþekking geta einkum falist í sérþekkingu á innlendum og evrópskum persónuverndarlögum og lagaframkvæmd á því sviði, skilningi á þeirri vinnslu sem fer fram, skilningi á öryggis- og upplýsingatæknimálum, þekkingu á starfsemi fyrirtækis og getu til að efla persónuverndarmenningu hjá viðkomandi stofnun eða fyrirtæki. Ljóst er að í litlu samfélagi eins og hér á landi búa enn sem komið er ekki mjög margir yfir sérþekkingu á lögum og lagaframkvæmd um persónuvernd, en sá hópur fer vaxandi. Í leiðbeiningum um persónuverndarfulltrúa er hvatt til þess að boðið sé upp á þjálfun og námskeið bæði af hálfu einkaaðila og stjórnvalda, þar á meðal Persónuverndar, til að auka sérþekkingu á sviðinu.
Persónuverndarfulltrúi þarf sem fyrr segir ekki nauðsynlega að vera fastur starfsmaður með ráðningarsamning við ábyrgðaraðila eða vinnsluaðila. Tekið er fram í 6. mgr. 39. gr. reglugerðarinnar að hann geti sinnt verkefnum á grundvelli þjónustusamnings. Getur persónuverndarfulltrúi þannig starfað á grundvelli verktakasamnings, jafnvel hjá fleiri en einum ábyrgðar- eða vinnsluaðila eins og fyrr var lýst. Hvað sem líður vinnusambandi hans við ábyrgðar- eða vinnsluaðila er aðalatriðið að tryggja sjálfstæði hans í starfi og jafnframt að fyrirbyggja hagsmunaárekstra starfi hann fyrir fleiri en einn aðila. Hér ber líka að hafa í huga að orðið að „tilnefna“ (e. designate) persónuverndarfulltrúa felur einmitt í sér að ekki sé nauðsynlega um fasta ráðningu að ræða, en ljóst sé að einstaklingi sé falið þetta hlutverk með tilnefningu og gert sé ráð fyrir aðkomu hans að ákvörðunum í starfsemi þar sem reynir á vinnslu persónuupplýsinga. Þegar utanaðkomandi verktaki gegnir starfi persónuverndarfulltrúa getur teymi á vegum verktakans gegnt starfi fulltrúans, en á ábyrgð nánar tilgreinds „stjórnanda“ gagnvart viðskiptavinum. Við þær aðstæður er mikilvægt að hver og einn starfsmaður undir stjórn persónuverndarfulltrúans uppfylli allar þær kröfur sem reglugerðin gerir til persónuverndarfulltrúa.
Um stöðu og þar með talið sjálfstæði persónuverndarfulltrúa við störf sín er fjallað í 38. gr. reglugerðarinnar. Skv. 1. mgr. skulu ábyrgðaraðili og vinnsluaðili tryggja að persónuverndarfulltrúi komi, með viðeigandi hætti og tímanlega, að öllum málum sem tengjast vernd persónuupplýsinga. Þá er tekið fram í 2. mgr. sama ákvæðis að þessir aðilar skuli styðja persónuverndarfulltrúann við framkvæmd þeirra verkefna sem um getur í 39. gr. með því að láta honum í té nauðsynleg úrræði til að inna þau af hendi, auk aðgangs að persónuupplýsingum og vinnsluaðgerðum, og gera honum kleift að viðhalda sérþekkingu sinni. Þessi atriði eru öll liður í því að tilnefning persónuverndarfulltrúa nái markmiði sínu og að hann geti sinnt störfum sínum sem skyldi, einkum að hann fái tímanlega að koma að málum. Í leiðbeiningum um persónuverndarfulltrúa er bent á að meðal úrræða til að tryggja það sé að fulltrúinn hafi tök á að sitja fundi stjórnenda og millistjórnenda þar sem ákvarðanir eru undirbúnar, og þó sérstaklega fundi þar sem ákvarðanir eru teknar. Þá er tekið fram að ávallt verði að taka tillit til álits hans, og komi upp ágreiningur væri rétt hjá ábyrgðar- eða vinnsluaðila að skjalfesta ástæður þess að ráðleggingum fulltrúans er ekki fylgt. Þá ber ávallt að gera persónuverndarfulltrúa viðvart ef öryggisbrestir eiga sér stað.
Markmið 3. mgr. 38. gr. reglugerðarinnar er að stuðla að sjálfstæði persónuverndarfulltrúa við framkvæmd starfa sinna, en þar er tekið fram að ábyrgðaraðili og vinnsluaðili skuli tryggja að persónuverndarfulltrúi fái engin fyrirmæli varðandi framkvæmd þeirra. Er auk þess mælt fyrir um að þeir skuli hvorki víkja honum úr starfi né refsa honum fyrir framkvæmd verkefna sinna. Þá skal persónuverndarfulltrúi heyra beint undir æðsta stjórnunarstig hjá ábyrgðaraðila eða vinnsluaðila. Um bann við brottvísun eða viðurlög vegna starfa fulltrúans er einkum skírskotað til þess að álit eða ráðleggingar persónuverndarfulltrúa eða ágreiningur á milli hans og ábyrgðar- eða vinnsluaðila um hvernig haga beri vinnslu persónuupplýsinga megi ekki verða tilefni uppsagnar úr starfi eða á verktakasamningi.
Í 4. mgr. 38. gr. reglugerðarinnar er tekið fram að skráðir einstaklingar geti haft samband við persónuverndarfulltrúann með öll mál sem tengjast vinnslu á persónuupplýsingum þeirra og því hvernig þeir geta neytt réttar síns samkvæmt reglugerðinni. Hér er einnig undirstrikað sjálfstæði fulltrúans með því að einstaklingur þarf ekki að leita neinnar milligöngu innan stjórnvalds eða fyrirtækis til að fá ráðleggingar eða álit persónuverndarfulltrúa um réttindi sín samkvæmt reglugerðinni. Loks kemur fram í 6. mgr. að persónuverndarfulltrúi megi sinna öðrum verkefnum og skyldustörfum, en tryggja skuli að slík verkefni og skyldustörf leiði ekki til hagsmunaárekstra. Hér er m.a. haft í huga sem fyrr var nefnt að persónuverndarfulltrúi þarf ekki nauðsynlega að vera fastur starfsmaður, fyrirtækis eða stjórnvalds, þótt slík verði væntanlega algengt. En í tilvikum þar sem persónuverndarfulltrúi starfar á grundvelli verktöku og hugsanlega fyrir fleiri aðila í senn ber að gæta sérstaklega að því að hagsmunir rekist ekki á vegna annarra verkefna sem hann kann að fara með. Hagsmunaárekstrar geta líka skapast í tilvikum þar sem persónuverndarfulltrúi er fastur starfsmaður samkvæmt ráðningarsamningi. Það getur átt við ef hann er millistjórnandi í stofnun eða fyrirtæki (t.d. framkvæmdastjóri, öryggisstjóri, rekstrarstjóri, fjármálastjóri, markaðsstjóri, mannauðsstjóri o.fl.) en einnig í tilviki lægra settra starfsmanna ef störf þeirra fela í sér ákvarðanatöku um tilgang og aðferð við vinnslu persónuupplýsinga.
Helstu verkefnum persónuverndarfulltrúa er lýst í 39. gr. reglugerðarinnar en ekki er þó um tæmandi talningu að ræða. Megininntak starfa þeirra felst í eftirliti með reglufylgni og aðstoð við ábyrgðar- og vinnsluaðila við að fylgja ákvæðum laganna og reglugerðarinnar. Þannig skal persónuverndarfulltrúi upplýsa ábyrgðaraðila eða vinnsluaðila og starfsmenn, sem annast vinnslu, um skyldur sínar í þessum efnum og veita þeim ráðgjöf þar að lútandi, hann skal fylgjast með því að farið sé að ákvæðum laganna og reglugerðarinnar og stefnum ábyrgðaraðila eða vinnsluaðila varðandi vernd persónuupplýsinga, þ.m.t. úthlutun ábyrgðar, vitundarvakningu og þjálfun starfsfólks sem tekur þátt í vinnslustarfsemi og tilheyrandi úttektir, hann skal veita ráðgjöf, sé farið fram á það, varðandi mat á áhrifum á persónuvernd skv. 29. gr. laganna og fylgjast með framkvæmd og vinna með Persónuvernd þegar þörf krefur, t.d. vera tengiliður við Persónuvernd í samvinnu skv. 28. gr. eða í tengslum við fyrirframsamráð skv. 30. gr. laganna. Um aðkomu hans og hlutverk í tengslum við mat á áhrifum á persónuvernd og gerð skráa yfir vinnslustarfsemi er nánar fjallað í fyrrgreindum leiðbeiningum um persónuverndarfulltrúa.
Um 36. gr.
Þá er tekið fram í 2. mgr. þessa ákvæðis að þagnarskylda gildi ekki hafi hinn skráði veitt samþykki sitt til þess að leynd sé aflétt, svo og þegar nauðsyn krefur vegna framkvæmdar starfa persónuverndarfulltrúans.
Skoða ber ákvæði um þagnarskyldu persónuverndarfulltrúa í ljósi 3. mgr. 48. gr. frumvarpsins þar sem fram kemur að brot einstaklings skv. 36. gr. varði refsingu, sem er sektir eða fangelsi allt að einu ári. Hafi hann framið brotið til þess að afla sér eða öðrum óréttmæts ávinnings má beita fangelsi allt að 3 árum. Er hér tekið mið af sama refsiramma og kemur fram í 136. gr. almennra hegningarlaga, nr. 19/1940, um brot á þagnarskyldu opinberra starfsmanna.
Um 37. gr.
Í 43. gr. reglugerðarinnar er fjallað nánar um vottunaraðila og kröfur sem gerðar eru til þeirra svo þeir hljóti sérstaka faggildingu. Í 1. mgr. er mælt fyrir um að aðildarríki skuli tryggja að þeir séu faggiltir af öðrum eða báðum eftirtalinna aðila, annars vegar eftirlitsstjórnvaldinu, þ.e. Persónuvernd, og hins vegar faggildingarstofu í aðildarríki sem tilgreind er í samræmi við reglugerð Evrópuþingsins og ráðsins (EB) nr. 765/2008 frá 9. júlí 2008 um kröfur varðandi faggildingu og markaðseftirlit í tengslum við markaðssetningu á vörum, sbr. einnig Evrópustaðal EN-ISO/IE C 17065/2012. Samkvæmt lögum um faggildingu o.fl., nr. 24/2006, er það Faggildingarsvið Einkaleyfastofu sem annast faggildingu fyrir hönd íslenskra stjórnvalda. Í 1. mgr. þessa frumvarpsákvæðis er lagt til að Faggildingarsviðið verði sá aðili hér á landi sem hafi heimild til að faggilda vottunaraðila sem gefur út vottun skv. 42. reglugerðarinnar. Mikilvægt er að samstarf sé á milli Persónuverndar og Faggildingarstofu við undirbúning á faggildingu vottunaraðila. Er því lagt til að Persónuvernd veiti umsögn sína áður en Faggildingarsviðið gefur út faggildingu sína á vottunaraðila.
Að öðru leyti er í 2. mgr. þessarar frumvarpsgreinar vísað til fyrirmæla 42. og 43. gr. reglugerðarinnar um fyrirkomulag og efni vottunar.
Um 38. gr.
Í reglugerðinni er lögð rík áhersla á að tryggja sjálfstæði eftirlitsstjórnvalda í aðildarríkjunum sem hafa eftirlit með framkvæmd hennar, þar á meðal að leysa úr kvörtunum einstaklinga telji þeir brotið á réttindum sínum. Fjallar sérstakt ákvæði hennar, 52. gr., um sjálfstæði eftirlitsstjórnvaldsins. Í 117. lið formála reglugerðarinnar kemur fram að þýðingarmikill þáttur í vernd einstaklinga varðandi vinnslu persónuupplýsinga þeirra felist í því að koma slíkum stofnunum á fót í aðildarríkjunum með umboð til að gegna störfum sínum og beita valdheimildum sínum algerlega óháð öðrum. Þá er tekið fram að aðildarríkin ættu að geta komið á fót fleiri en einu eftirlitsstjórnvaldi til að endurspegla stjórnskipan sína, stjórnunarhætti og skipulag stjórnsýslu. Tekið skal fram að í þessu frumvarpi er gert ráð fyrir að eftirlit sé á hendi einnar stofnunar, Persónuverndar. Þá kemur fram í formálanum skýr tenging á milli sjálfstæðis eftirlitsstofnunar og þeirra aðstæðna sem henni eru búnar til að sinna hlutverki með tilliti til fjármagns og innviða. Í 4. mgr. 52. gr. er tekið fram að sérhvert aðildarríki skuli tryggja að stofnunin hafi yfir að ráða þeim mannauði, tækniúrræðum og fjármagni, húsakosti og innviðum sem nauðsynleg eru til að hún geti unnið störf sín og beitt valdheimildum sínum með skilvirkum hætti, þar á meðal í tengslum við gagnkvæma aðstoð, samvinnu og þátttöku í starfi persónuverndarráðsins. Einnig eru þessi fyrirmæli áréttuð í 120. lið formálans. Um þetta er vísað nánar til umfjöllunar í 9. kafla greinargerðarinnar þar sem fjallað er um áhrif frumvarpsins á stjórnsýslu stofnana ríkisins.
Í ákvæðum þessa kafla frumvarpsins eru fest bæði þau ákvæði sem skylt er að setja í landslög samkvæmt reglugerðinni og sérreglur þar sem reglugerðin veitir aðildarríkjum svigrúm til reglusetningar. Þá eru færð inn í kaflann helstu ákvæði reglugerðarinnar um viðurlög og sjónarmið sem ber að byggja á við ákvörðun þeirra til þess að heildarmynd fáist yfir valdheimildir Persónuverndar og viðurlög.
Í þessu frumvarpsákvæði er mælt fyrir um skipulag og stjórnsýslu Persónuverndar, en það er sú stofnun hér á landi sem gegnir hlutverki eftirlitsstjórnvalds skv. 51. gr. reglugerðarinnar. Persónuvernd hefur starfað frá árinu 2001 þegar núgildandi lög tóku gildi með það hlutverk að hafa eftirlit með framkvæmd laga nr. 77/2000 og persónuverndartilskipunar ESB, en um skipulag hennar og stjórnsýslu er fjallað í 36. gr. laganna. Í þetta ákvæði frumvarpsins um skipulag og stjórnsýslu Persónuverndar bætast nokkur atriði um stöðu stofnunarinnar og starfsmanna hennar sem annaðhvort er skylt að setja í landslög eða eru til frekari skýringar á stjórnskipulagi stofnunarinnar. Verður nú nánar gerð grein fyrir helstu breytingum um efnið frá gildandi lögum.
Í 1. mgr. ákvæðisins er, auk tilgreiningar á því að Persónuvernd sé sjálfstæð stofnun með sérstaka stjórn, áréttað að hún taki ekki við fyrirmælum frá stjórnvöldum eða öðrum aðilum. Hér er m.a. tekið mið af fyrirmælum 1. og 2. mgr. 52. gr. reglugerðarinnar um að eftirlitsstjórnvald skuli vera algerlega sjálfstætt í störfum sínum og þegar það beitir valdheimildum sínum. Þar er jafnframt tekið fram að starfsmenn eftirlitsstjórnvaldsins skuli vera lausir við utanaðkomandi áhrif, jafnt bein sem óbein, og skuli hvorki leita eftir né taka við fyrirmælum frá öðrum aðilum. Í síðasta málslið 1. mgr. þessa frumvarpsákvæðis er tekið fram að ákvörðunum Persónuverndar verði ekki skotið til annarra stjórnvalda og er þannig ekki um að ræða málskot til æðra stjórnvalds innan stjórnsýslunnar. Auk þess er áréttuð sú almenna regla sem leidd verður af 60. og 70. gr. stjórnarskrárinnar að aðilum máls sé heimilt að leggja ágreining sinn fyrir dómstóla með venjubundnum hætti, líkt og gildir um allar stjórnvaldsákvarðanir.
Í 2. mgr. er eins og í núgildandi lögum ráðgert að ráðherra sem fer með persónuverndarmálefni skipi stjórn Persónuverndar, en það er dómsmálaráðherra samkvæmt núgildandi forsetaúrskurði um skiptingu stjórnarmálefna milli ráðuneyta í Stjórnarráði Íslands, nr. 84/2017. Þær breytingar eru lagðar til að í stað þess að sá ráðherra skipi án tilnefningar þrjá stjórnarmenn skipi hann tvo stjórnarmenn án tilnefningar, formann og varaformann, og skuli þeir vera lögfræðingar sem fullnægja hæfisskilyrðum héraðsdómara. Einnig er nýmæli að ráðherra sem fer með málefni netöryggis og fjarskipta, sem er samkvæmt núgildandi forsetaúrskurði samgöngu- og sveitarstjórnarráðherra, tilnefni einn stjórnarmann. Það þykir rökrétt í ljósi þeirra ríku tengsla sem viðfangsefni Persónuverndar hafa við málaflokk þess ráðherra og er mikilvægt að þekking á netöryggis- og fjarskiptamálum sé til staðar í stjórninni. Þá er lagt til að ráðherra sem fer með málefni heilbrigðisþjónustu tilnefni einn stjórnarmann og samhliða því fallið frá þeirri tilhögun núgildandi laga að Hæstiréttur Íslands tilnefni einn stjórnarmann. Hefur sú venja mótast á grundvelli núgildandi laga að Hæstiréttur hefur tilnefnt fulltrúa úr heilbrigðiskerfinu. Í ljósi þess að umfangsmikil vinnsla viðkvæmra persónuupplýsinga fer fram í heilbrigðiskerfinu auk vinnslu persónuupplýsinga sem tengist vísindarannsóknum á heilbrigðissviði þykir rétt að tryggja að sérþekking á því sviði sé áfram til staðar. Loks helst óbreytt sú skipan að Skýrslutæknifélag Íslands tilnefni einn stjórnarmann og skal hann vera sérfróður á sviði tölvu- og tæknimála. Ljóst er að verkefni Persónuverndar munu í ríkari mæli beinast að tæknilegum kröfum sem gerðar eru til ábyrgðar- og vinnsluaðila, þar á meðal upplýsingakerfa og upplýsingaöryggis, og því mikilvægt að sérfræðiþekking um þau mál séu til staðar í stjórn. Loks er tekið fram að allir stjórnarmenn skuli hafa þekkingu á málefnum tengdum persónuvernd og menntun sem nýtist á því sviði en hér er tekið mið af fyrirmælum 2. mgr. 53. gr. reglugerðarinnar um að fulltrúi skuli búa yfir menntun og hæfi, reynslu og færni, einkum á sviði verndar persónuupplýsinga, sem honum er nauðsynleg til að hann geti sinnt skyldustörfum sínum og beitt valdheimildum sínum, sbr. einnig b-lið 1. mgr. 54. gr. reglugerðarinnar um menntun og hæfisskilyrði
Sú breyting er einnig ráðgerð í 2. mgr. að skipunartími nefndarmanna sé lengdur í fimm ár og jafnframt tekið fram að ekki sé heimilt að skipa stjórnarmenn lengur en í þrjú tímabil samfellt. Þessi breyting tekur mið af d- og e-lið 1. mgr. 54. gr. reglugerðarinnar sem mæla fyrir um að í lög aðildarríkja skuli setja reglur um skipunartíma fulltrúa sérhvers eftirlitsstjórnvalds sem ekki skuli vera skemmri en fjögur ár, að undanskilinni fyrstu skipun sem geti verið til skemmri tíma sé það nauðsynlegt til að standa vörð um sjálfstæði stjórnvaldsins með því að nota áfangabundið skipunarferli. Þá skuli í lögum kveðið á um hvort og þá hversu oft heimilt sé að endurnýja skipun fulltrúa þess.
Í 3. mgr. er nánar rætt um hlutverk stjórnar og samspil verkefna hennar og skrifstofu Persónuverndar. Stjórnin mótar m.a. áherslur í starfsemi stofnunar í samráði við forstjóra. Í því felst að forstjóri og skrifstofa eiga frumkvæði að og undirbúa tillögur að slíkri stefnumótun og leggja fyrir stjórn. Þá er sérstaklega tilgreint að meiri háttar efnislegar eða stefnumótandi ákvarðanir í málum sem stofnunin hefur til meðferðar séu teknar af stjórn, þar á meðal eru ákvarðanir um stjórnvaldssektir eins og fram kemur í 5. mgr. 46. gr. frumvarpsins. Eru þessi atriði í samræmi við þau verkefni sem tilgreind eru í lögum um stjórnir sambærilegra eftirlitsstofnana á borð við Fjármálaeftirlitið samkvæmt ákvæðum laga nr. 87/1998, um opinbert eftirlit á fjármálamarkaði, og nr. 161/2002, um fjármálafyrirtæki, svo og Samkeppniseftirlitið samkvæmt lögum nr. 44/2005. Markmið þess að stjórn Persónuverndar taki þær ákvarðanir sem tilgreindar eru í ákvæðinu og undirbúnar eru af skrifstofu er að tryggja að mál af umræddum toga fái sérstaklega ítarlega og vandaða meðferð, enda kunna ákvarðanir í þeim að vera mjög íþyngjandi auk þess sem ekki er til staðar kæruréttur innan stjórnsýslunnar vegna þeirra. Þá er mikilvægt að ýmsar stefnumarkandi ákvarðanir um túlkun og framkvæmd laganna og reglugerðarinnar fái ítarlegri skoðun hjá stjórn en dagleg afgreiðslumál og ákvarðanir sem byggjast á fastri framkvæmd séu á hendi skrifstofunnar. Í ákvæðinu er mælt fyrir um að stjórn Persónuverndar setji nánari reglur um skiptingu starfa á milli stjórnar og skrifstofu stofnunarinnar og framkvæmd þeirra. Settar hafa verið reglur um það efni á grundvelli núgildandi laga, nr. 231/2012. Ljóst er að endurskoða þarf þær með hliðsjón af margvíslegum nýjum verkefnum Persónuverndar samkvæmt reglugerðinni og ákvæðum frumvarps þessa. Þá þarf jafnframt að huga þar að ítarlegri reglum um málsmeðferð, svo sem vegna álagningar stjórnvaldssekta, einkum til að tryggja jafnræði í meðferð mála og gagnsæi um meðferð þeirra.
Í 4. mgr. frumvarpsákvæðis þessa er nýmæli sem ætlað er að tryggja frekar sjálfstæði fulltrúa í stjórn Persónuverndar og vernd gegn brottvikningu. Það byggist á 4. mgr. 53. gr. reglugerðarinnar sem kveður á um að fulltrúa eftirlitsstjórnvalds skuli því aðeins víkja úr starfi að um alvarlegt misferli sé að ræða eða að hann fullnægi ekki lengur þeim skilyrðum sem krafist er vegna skyldustarfa hans. Ekki er þörf á að setja sérstök skilyrði hér um lausn forstjóra Persónuverndar úr embætti enda geyma ákvæði laga nr. 70/1996, um réttindi og skyldur starfsmanna ríkisins, ítarlegar reglur um skilyrði þess að embættismanni verði veitt lausn frá embætti vegna alvarlegs misferlis eða annarra ávirðinga.
Um forstjóra Persónuverndar, skipun, þátttöku í stjórnarfundum og meginverkefni er annars fjallað í 6.–8. mgr. frumvarpsákvæðisins. Í 6. mgr. eru sett almenn hæfisskilyrði fyrir skipun forstjóra í embætti. Skal forstjóri hafa menntun á háskólastigi og búa yfir þekkingu og reynslu á málefnum tengdum persónuvernd. Er hér fylgt eftir fyrrgreindum fyrirmælum í 2. mgr. 53. gr. og b-lið 1. mgr. 54. gr. reglugerðarinnar um skyldu til að setja í lög skilyrði um menntun og hæfisskilyrði þeirra sem fara með stjórn eftirlitsstjórnvalds samkvæmt reglugerðinni.
Loks er í 8. mgr. hnykkt frekar á starfsskyldum og ábyrgð forstjóra, frá því sem segir í gildandi lögum. Þannig er mælt fyrir um að forstjóri beri ábyrgð á og annist daglega stjórnun á starfsemi, fjárreiðum og rekstri stofnunarinnar og ráði starfsmenn hennar. Með þessu er lagt til að fest verði í lög sú framkvæmd sem gilt hefur til þessa um hlutverk og verkefni forstjóra Persónuverndar.
Um 39. gr.
Tekið er af skarið í 1. mgr. um að Persónuvernd sé það eftirlitsstjórnvald hér á landi sem hverju aðildarríki er skylt að setja á fót skv. VI. kafla reglugerðarinnar og er aðeins um eitt slíkt stjórnvald að ræða hér á landi. Þá er lýst því meginhlutverki að hún annist eftirlit með framkvæmd reglugerðarinnar, laga á grundvelli frumvarpsins, sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga og annarra reglna um efnið.
Mikilvægur þáttur í eftirlitsstörfum Persónuverndar er að fjalla um kvartanir einstaklinga sem telja að brotið hafi verið gegn réttindum sínum samkvæmt ákvæðum reglugerðarinnar eða lögum um persónuvernd. Er sérákvæði þessa efnis að finna í 2. mgr. greinarinnar um að Persónuvernd skuli úrskurða um hvort brot hafi átt sér stað. Í f-lið 1. mgr. 57. gr. reglugerðarinnar er meðferð kvartana talin til verkefna eftirlitsstjórnvalds og í 141. lið formála reglugerðarinnar er lögð áhersla á mikilvægi þessa réttar. Er þar bent á að sérhver skráður einstaklingur skuli eiga rétt á að leggja fram kvörtun hjá einu eftirlitsstjórnvaldi, einkum í aðildarríkinu þar sem hann hefur fasta búsetu. Þá er tekið fram að eftirlitsstjórnvald ætti að tilkynna hinum skráða um framvindu og niðurstöðu kvörtunarinnar innan hæfilegs tíma. Sé þörf á frekari rannsókn málsins eða samræmingu við persónuverndarstofnun í öðru ríki ætti að veita hinum skráða í millitíðinni upplýsingar um stöðu málsins. Þá kemur fram í 2. mgr. 57. gr. að til að auðvelda framlagningu kvartana skuli eftirlitsstjórnvald bjóða upp á kvörtunareyðublað, sem einnig megi fylla út rafrænt, án þess þó að útiloka aðra samskiptamöguleika. Þess má geta að eyðublöð fyrir kvörtun hafa verið aðgengileg á vefsíðu Persónuverndar um árabil.
Það nýmæli er í þessu frumvarpsákvæði að stofnun, samtök eða félög skv. 80. gr. reglugerðarinnar geti lagt fram kvörtun hjá Persónuvernd hafi þau ástæðu til að ætla að réttindi skráðs einstaklings hafi verið brotin. Er hér nýtt heimild sem fram kemur í 2. mgr. 80. gr. reglugerðarinnar um að aðildarríki geti sett í lög að stofnun, samtök eða félag, sem nánar eru skilgreind í 1. mgr. þeirrar greinar, hafi rétt, óháð því hvort hinn skráði hefur veitt umboð til þess, til að leggja fram kvörtun hjá eftirlitsstjórnvaldi hafi þau ástæðu til að ætla að réttindi skráðs einstaklings samkvæmt reglugerðinni hafi verið brotin vegna vinnslunnar. Í 142. lið formála reglugerðarinnar er varpað ljósi á heimild einstaklinga til að veita stofnun, samtökum eða félagi, sem ekki eru rekin í hagnaðarskyni og eru stofnuð í samræmi við lög aðildarríkis, hafa lögboðið markmið og eru virk á sviði verndar persónuupplýsinga, umboð til að leggja fram kvörtun fyrir sína hönd hjá eftirlitsstjórnvaldi. Þá er vísað til framangreindrar heimildar aðildarríkja til að mæla fyrir um að slík stofnun, samtök eða félag eigi rétt á að leggja fram kvörtun í því aðildarríki, óháð því hvort hinn skráði hefur veitt umboð til þess, hafi það ástæður til að ætla að réttindi skráðs einstaklings hafi verið brotin við vinnslu persónuupplýsinga. Jafnframt er tekið fram að ekki megi heimila stofnuninni, samtökunum eða félaginu að krefjast bóta fyrir hönd skráðs einstaklings án umboðs hans, en það leiðir af almennum reglum laga hér á landi að slíks umboðs er þörf eigi stofnun eða samtök að taka við bótum.
Í 3. mgr. frumvarpsgreinarinnar er undirstrikað að Persónuvernd geti fjallað um einstök mál og tekið í þeim ákvörðun að eigin frumkvæði eða samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um sig í samræmi við ákvæði laganna, reglna settra á grundvelli þeirra eða einstökum fyrirmælum. Þannig er ekki skilyrði fyrir því að stofnunin hefji rannsókn máls að kvörtun þar um hafi borist, en algengt er í framkvæmd að henni berist ábendingar frá einstaklingum um ágalla á vinnslu persónuupplýsinga sem verða tilefni þess að rannsókn hefjist.
Í 4. mgr. eru talin upp önnur helstu verkefni Persónuverndar í 16 töluliðum en sú upptalning er ekki tæmandi og vísar 17. tölul. þannig til þess að stofnunin sinni öðrum störfum sem tengjast vernd persónuupplýsinga. Þessi listi yfir verkefni byggist á 57. gr. reglugerðarinnar um atriði sem skylt er að eftirlitsstjórnvald hafi með höndum. Í þessari upptalningu eru fólgin öll þau verkefni sem Persónuvernd sinnir nú þegar á grundvelli 3. mgr. 37. gr. gildandi laga, þótt orðalag breytist lítillega í sumum atriðum. Helstu nýju lögboðnu verkefnin sem felld eru undir stofnunina tengjast ýmsum nýmælum reglugerðarinnar og eru þau talin upp í 7.–15. tölul. þessa frumvarpsákvæðis. Þá er í 16. tölul. ákvæðisins viðhaldið þeirri skyldu stofnunarinnar að birta árlega skýrslu um starfsemi sína, sbr. 7. tölul. 3. mgr. 37. gr. núgildandi laga, og er ekki stefnt að breytingum í því tilliti. Í ársskýrslunni hefur verið gefið yfirlit yfir helstu verkefni Persónuverndar á undanliðnu ári, upplýsingar um málafjölda og þróun hans, og yfirlit yfir úrskurði, álit og ákvarðanir. Í þessu sambandi ber einnig að hafa í huga að Persónuvernd birtir jafnharðan á vefsíðu sinni upplýsingar um starfsemi sína, þar á meðal helstu ákvarðanir, álit og úrskurði í ágreiningsmálum. Þess er þó gætt að afmá persónuauðkenni málsaðila við þá birtingu.
Um 40. gr.
Um 41. gr.
Þetta frumvarpsákvæði lýtur að fyrsta þættinum um rannsóknarheimildir Persónuverndar við eftirlitsstörf. Það er hliðstætt 1. mgr. 58. gr. reglugerðarinnar en bætir við atriðum sem tengjast framkvæmd á beitingu valdheimilda, svo sem um að leita skuli liðveislu lögreglu ef einhver leitast við að hindra Persónuvernd í eftirlitsstörfum sínum. Í ákvæðinu er að mestu leyti að finna heimildir sem Persónuvernd hefur þegar skv. 38. gr. gildandi laga, svo sem til að krefja ábyrgðaraðila, vinnsluaðila og þá sem starfa á þeirra vegum um allar þær upplýsingar og skriflegar skýringar sem hún þarf til að rækja hlutverk sitt við framkvæmd eftirlits. Þá skal Persónuvernd hafa aðgang að öllum þeim gögnum hjá ábyrgðaraðila og vinnsluaðila sem nauðsynleg eru við framkvæmd laganna. Í 6. tölul. er mælt fyrir um aðgang að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þ.m.t. hvers kyns gagnavinnslubúnaður. Persónuvernd getur framkvæmt hverja þá prófun eða eftirlitsaðgerð sem hún telur nauðsynlega og krafist nauðsynlegrar aðstoðar starfsfólks á vettvangi til að framkvæma prófun eða eftirlit.
Persónuvernd getur óskað liðveislu lögreglu ef einhver leitast við að hindra hana í eftirlitsstörfum sínum. Komi í ljós að vinnsla persónuupplýsinga fer fram sem brýtur í bága við ákvæði reglugerðarinnar, laga þessara eða reglna settra samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað. Þá er tekið fram í 4. mgr. ákvæðisins að réttur Persónuverndar til að krefjast upplýsinga eða aðgangs að starfsstöðvum og tækjabúnaði verði ekki takmarkaður með vísan til reglna um þagnarskyldu. Hliðstætt ákvæði er í 2. mgr. 38. gr. gildandi laga, en það styðst við þau rök að ella yrði Persónuvernd illmögulegt að rækja þær eftirlitsskyldur sem á hana eru lagðar samkvæmt þessari grein.
Um skýringar á valdheimildum persónuverndarstofnana er m.a. fjallað í 122. lið formála reglugerðarinnar. Samkvæmt því á eftirlitsstofnun að vera til þess bær á yfirráðasvæði eigin aðildarríkis að beita þessum valdheimildum og vinna þau verkefni sem henni eru falin samkvæmt reglugerðinni. Þá segir að valdheimildirnar verði einkum virkar vegna vinnslu í tengslum við starfsemi starfsstöðvar ábyrgðaraðila eða vinnsluaðila á yfirráðasvæði ríkisins, vinnslu opinberra yfirvalda eða einkaaðila á persónuupplýsingum í þágu almannahagsmuna, vinnslu sem hefur áhrif á skráða einstaklinga á umræddu yfirráðasvæði og vinnslu af hálfu ábyrgðaraðila eða vinnsluaðila, sem hefur ekki staðfestu í sambandinu, þegar hún beinist að skráðum einstaklingum sem búa á svæðinu. Þá segir að á meðal þess sem falli undir umræddar heimildir ætti að vera meðferð kvartana frá skráðum einstaklingi, framkvæmd rannsókna á beitingu reglugerðarinnar og vitundarefling meðal almennings um áhættuþætti, reglur, verndarráðstafanir og réttindi í tengslum við vinnslu persónuupplýsinga.
Um 42. gr.
Þá er að finna ýmis nýmæli um úrræði Persónuverndar í 1.–5. tölul. ákvæðisins, svo sem að stofnunin geti veitt ábyrgðaraðila viðvörun um að líklegt sé að fyrirhugaðar vinnsluaðgerðir muni brjóta í bága við ákvæði reglugerðarinnar, svo og að unnt sé að veita ábyrgðaraðila eða vinnsluaðila áminningu hafi slíkar aðgerðir brotið gegn henni. Getur slík áminning komið til álita út frá sjónarmiðum um meðalhóf, þ.e. að veitt sé áminning í stað sektar vegna brota sem ekki teljast stórfelld, eða að í stað þess að ákveðið sé að leggja sekt á aðila sé því vægara úrræði beitt í fyrstu að veita honum kost á að bæta úr ágöllum á vinnslu með áminningu. Í samræmi við þetta er í 148. lið formála reglugerðarinnar bent á að gefa megi út áminningu í stað sektar þegar um er að ræða minni háttar brot eða ef sektin, sem líklegt er að lögð verði á, yrði óhófleg byrði fyrir einstakling. Þá getur beiting dagsekta einnig komið til skoðunar, áður en ákveðið er að leggja á stjórnsýslusekt, sbr. einnig 45. gr. frumvarpsins.
Um 43. gr.
Um 44. gr.
Í 2. mgr. kemur fram að ákvæði um þagnarskyldu standi því ekki í vegi að Persónuvernd veiti erlendum persónuverndarstofnunum upplýsingar þegar slíkt er nauðsynlegt til að hún eða hin erlenda persónuverndarstofnun geti ákveðið eða framkvæmt aðgerðir til að tryggja persónuvernd. Hliðstætt ákvæði gildir þegar skv. 39. gr. núgildandi laga. Ljóst er að reglugerðin mælir fyrir um enn frekari samvinnu á milli eftirlitsstofnana Evrópuríkja en tilskipun ESB, m.a. þegar reynir á samstarf þeirra og gagnkvæma aðstoð innan hins samræmda eftirlitskerfis, skv. VII. kafla reglugerðarinnar. Í tengslum við það getur verið óhjákvæmilegt að skiptast á upplýsingum sem falla undir ákvæði laga um þagnarskyldu og þykir nauðsynlegt að taka af skarið um að þagnarskylduákvæði standi því ekki í vegi að Ísland geti efnt slíkar skuldbindingar sínar samkvæmt reglugerðinni að þessu leyti.
Í 3. mgr. frumvarpsins er mælt fyrir um að þegar gerðir eru skilmálar skv. 33. gr. laganna getur Persónuvernd ákveðið að ábyrgðaraðili og vinnsluaðili, svo og starfsmenn á vegum þeirra, skuli undirrita yfirlýsingu um að þeir gangist undir þagnarskyldu um persónuupplýsingar sem þeir fá vitneskju um við vinnslu þeirra. Getur verið mikilvægt að ganga frá því með ótvíræðum og formlegum hætti að þagnarskylda nái ekki síður til þeirra sem vinna með slíkar upplýsingar, sbr. einnig 3. tölul. 1. mgr. 33. gr. frumvarpsins.
Um 45. gr.
Beiting dagsekta getur verið áhrifaríkt úrræði og í sumum tilvikum getur, með hliðsjón af meðalhófsreglu stjórnsýslunnar, verið eðlilegra að grípa til þess fremur en að stöðva starfsemi. Slíkt hlýtur þó að vera háð mati hverju sinni.
Samkvæmt 2. mgr. falla dagsektir ekki á ef ákvörðun Persónuverndar er skotið til dómstóla fyrr en að gengnum endanlegum dómi. Þannig verður dagsektum ekki beitt fyrr en að liðnum áfrýjunarfresti þegar héraðsdómi er áfrýjað en að öðrum kosti að gengnum dómi Hæstaréttar.
Auk þess sem dagsektir verða bæði lagðar á lögaðila og einstaklinga, eins og fyrr greinir, verða þær lagðar á opinbera aðila rétt eins og einkaaðila samkvæmt gildandi lögum, sem og þessu ákvæði frumvarpsins. Það sama hefur gilt í Noregi á grundvelli hliðstæðs dagsektaákvæðis í norskum lögum um persónuvernd. Í löggjöfinni hér á landi má einnig finna sérákvæði um að dagsektir verði lagðar á lögaðila, sbr. 116. gr. sveitarstjórnarlaga, nr. 138/2001, sem heimilar að ráðherra leggi dagsektir á sveitarfélög við ákveðnar aðstæður.
Hefur dagsektaákvæði núgildandi laga nr. 77/2000 verið skýrt í ljósi refsiákvæðisins í 42. gr. þeirra um að gera megi lögaðilum fésekt skv. II. kafla A almennra hegningarlaga. Í 19. gr. b sem þar stendur segir að sérákvæði laga um refsiábyrgð lögaðila gildi, nema annað sé þar tekið fram, um sérhvern ópersónulegan aðila sem getur átt réttindi og borið skyldur að íslenskum rétti, þ.m.t. hlutafélög, einkahlutafélög, samlagshlutafélög, evrópsk fjárhagsleg hagsmunafélög, sameignarfélög, samvinnufélög, almenn félög, sjálfseignarstofnanir, stjórnvöld, stofnanir og sveitarfélög.
Frumvarpið gerir ráð fyrir því að refsiábyrgð lögaðila verði aflögð, en þess í stað komi heimild til að leggja stjórnvaldssektir á lögaðila, hvort heldur einkaaðila eða opinbera aðila, eins og nánar verður rætt í skýringum með næsta frumvarpsákvæði. Það hefur þó engin áhrif á heimildina til að leggja dagsektir á lögaðila og stendur hún, sem fyrr segir, því óbreytt frá gildandi lögum.
Um 46. gr.
Í gildandi lögum hefur heimild til að leggja á stjórnvaldssektir ekki verið til staðar, ólíkt því sem við á um t.d. norsk lög þar sem slíkar heimildir hefur verið að finna í nokkur ár. Í lögum nr. 77/2000 er hins vegar að finna almennt ákvæði um refsingar í 42. gr. Samkvæmt því ákvæði varðar brot á ákvæðum laganna og reglugerðum settum samkvæmt þeim fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar. Þá er tilgreint, eins og fyrr var lýst, að þegar brot er framið í starfsemi lögaðila megi gera lögaðilanum fésekt, en þar undir falla auk starfsemi á sviði einkaréttar, stjórnvöld, stofnanir og sveitarfélög.
Könnun á framkvæmd þessa refsiákvæðis leiðir í ljós að aldrei hefur verið gefin út ákæra fyrir brot á persónuverndarlögum hvorki gegn lögaðila né einstaklingi. Sú leið er farin í frumvarpi þessu að afleggja refsiábyrgð lögaðila vegna brota á persónuverndarlögum enda ljóst að stjórnvaldssektir stefna að sama tilgangi. Þær ættu því að veita lögaðilum nauðsynlegt aðhald og varnaðaráhrif enda geta þær numið háum fjárhæðum sem fyrr segir. Mundi áframhaldandi heimild til að leggja fésektir á lögaðila í refsiskyni auk stjórnvaldssektanna litlu bæta við til að auka varnaðaráhrif en væri frekar til þess fallin að valda óvissu enda óljóst um gagnsemi þess að viðhalda tvöföldu viðurlagakerfi. Í þessu sambandi er fylgt fyrirmynd úr norska frumvarpinu til nýrra persónuverndarlaga, þar sem felld eru niður refsiákvæði núgildandi laga þar í landi gagnvart lögaðilum en aðeins sett ákvæði um stjórnvaldssektir.
Þrátt fyrir að frumvarp þetta geri ekki ráð fyrir refsiábyrgð lögaðila sem fyrr segir er áfram ráðgert að einstaklingar geti sætt refsiábyrgð þegar um stórfellt brot er að ræða, en nánar verður vikið að því í umfjöllun um 48. gr. frumvarpsins.
Í 2. og 3. mgr. þessa frumvarpsákvæðis er tilgreint nánar í hvaða tilvikum háttsemi varðar stjórnvaldssektum og fjárhæð sekta. Þessi ákvæði taka mið af 2.–6. mgr. 83. gr. reglugerðarinnar. Sá greinarmunur er gerður á þeim brotum, sem talin eru upp í annars vegar 2. mgr. og hins vegar 3. mgr. frumvarpsákvæðisins, að brot samkvæmt því síðarnefnda eru álitin alvarlegri en samkvæmt því fyrrnefnda og varða því hærri sektum. Lúta brot skv. 2. mgr., sem rétt er að taka fram í ljósi framangreinds að ekki eru álitin léttvæg þó svo að um ræði lægri sektarfjárhæðir, fyrst og fremst að vanrækslu á skyldum ábyrgðar- og vinnsluaðila, m.a. til að tryggja öryggi vinnslu samkvæmt ákvæðum reglugerðarinnar, til að tilkynna Persónuvernd eða einstaklingi um öryggisbrest og til að láta fara fram mat á áhrifum persónuverndar eða fyrirframsamráð við Persónuvernd þar sem það á við. Eru fjárhæðir sekta við þessum brotum í lægri flokki af tveimur og geta numið allt frá 100 þús. kr. til 1,2 milljarða kr. (10 millj. evra skv. 4. mgr. 83. gr. reglugerðarinnar) eða, ef um er að ræða fyrirtæki, allt að 2% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.
Þau brot sem talin eru upp í 3. mgr. teljast af alvarlegri toga eins og fyrr greinir, m.a. í ljósi beinna skaðlegra afleiðinga þeirra fyrir grundvallarréttindi skráðra einstaklinga. Þar eru m.a. talin upp brot á grundvallarreglum 5., 6., 7. og 9. gr. reglugerðarinnar, þ.m.t. um samþykki hins skráða, brot á réttindum skráðra einstaklinga skv. III. kafla reglugerðarinnar og brot á reglum um miðlun upplýsinga til viðtakanda í þriðja landi eða alþjóðastofnunar skv. 44.–49. gr. reglugerðarinnar. Þá teljast það brot samkvæmt þessari málsgrein ef neitað er að verða við skyldu til að veita Persónuvernd aðgang að öllum gögnum og húsnæði við rannsókn máls samkvæmt lögunum eða ef ekki er farið að fyrirmælum stofnunarinnar um takmörkun eða bann við vinnslu persónuupplýsinga, leiðréttingu eða eyðingu þeirra, eða stöðvun gagnaflæðis. Geta stjórnvaldssektir við þessum alvarlegri brotum numið frá 100 þús. kr. til 2,4 milljarða kr. (20 millj. evra skv. 6. mgr. 83. gr. reglugerðarinnar) eða, ef um er að ræða fyrirtæki, allt að 4% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.
Í þessum ákvæðum frumvarpsins eru umreiknaðar í íslenskar krónur þær sektarfjárhæðir sem tilgreindar eru í 4. og 6. mgr. 83. gr. reglugerðarinnar, en þar er mælt fyrir um að stjórnvaldssektir geti numið allt að 10 milljónum evra og 20 milljónum evra. Þykir fara betur á því að vísa til íslensks gjaldmiðils í íslenskum lögum um efnið enda bæði gagnsærra og skýrara fyrir þá sem vinna eftir lögunum.
Í 4. mgr. frumvarpsákvæðisins er því lýst að heimilt sé að leggja stjórnvaldssektir bæði á einstaklinga og lögaðila, þar á meðal stjórnvöld og stofnanir sem falla undir gildissvið stjórnsýslulaga. Hér er því ekki gerður greinarmunur á milli einkaaðila og opinberra aðila, frekar en í gildandi lögum þar sem refsiábyrgðin nær jafnt til beggja. Skv. 7. mgr. 83. gr. reglugerðarinnar er það valkvætt fyrir aðildarríki hvort þau veita heimildir í landslögum til að leggja stjórnvaldssektir á opinbera aðila. Með hliðsjón af því að stjórnvöld bera refsiábyrgð samkvæmt lögum nr. 77/2000 á sama hátt og lögaðilar og því að önnur Norðurlönd hafa valið að nýta framangreinda heimild þykir eðlilegt að álagning stjórnvaldssekta taki líka til stjórnvalda. Þá er nauðsynlegt að hafa í huga að í mörgum tilvikum vinna stjórnvöld með umfangsmikið magn persónuupplýsinga, bæði almennra og viðkvæmra. Slíkar upplýsingar geta m.a. lotið að félagslegri stöðu, heilsufari, upplýsingum um refsiverðan verknað og kynhneigð einstaklinga. Þá getur vinnslan einnig tekið til viðkvæmra hópa á borð við börn og fatlað fólk. Að sama skapi er mikilvægt að veita sérstök varnaðaráhrif með því að heimila álagningu stjórnvaldssekta á stjórnvöld og gæta jafnræðis milli opinberra aðila og lögaðila þegar kemur að eftirfylgni við persónuverndarlöggjöfina.
Í 5. mgr. þessa frumvarpsákvæðis er tekið fram að ákvarðanir um stjórnvaldssektir skuli teknar af stjórn Persónuverndar, eins og getið var í skýringum með 38. gr. frumvarpsins, enda er litið svo að um meiri háttar efnislegar og íþyngjandi ákvarðanir sé að ræða, sem eru auk þess á einu stjórnsýslustigi og þurfa í því ljósi að fá sérlega vandaða meðferð.
Þá er tekið fram í 6. mgr. að heimild Persónuverndar til að leggja á stjórnvaldssektir falli niður þegar fimm ár eru liðin frá því að háttsemi lauk. Fyrningarfrestur rofnar þegar Persónuvernd tilkynnir aðila um upphaf rannsóknar á meintu broti. Rof frests hefur réttaráhrif gagnvart öllum sem staðið hafa að broti.
Um 47. gr.
Mikilvægt er að samræmi verði á milli persónuverndarstofnana í Evrópu um hvernig sektarákvörðunum er beitt í ljósi þess að eitt meginmarkmið reglugerðarinnar er að tryggja samræmda og einsleita beitingu ákvæða hennar. Til að ná þessu markmiði þurfa evrópskar persónuverndarstofnanir að hafa samráð um beitingu sektarheimilda. Þess má geta að starfshópur skv. 29. gr. tilskipunar ESB hefur gefið út leiðbeiningar um efnið sem samþykktar voru 3. október 2017, WP 253 (e. Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679). Þar er meðal annars bent á að framkvæmd við álagningu stjórnvaldssekta innan ríkja á svæðinu er í mótun og er hvatt til þess að persónuverndarstofnanir leitist við að koma á samræmdri beitingu sektarákvarðana með viðvarandi samvinnu um efnið. Þessu megi t.d. ná með gagnkvæmum upplýsingaskiptum á fundum milli þeirra þar sem gerður verði samanburður á framkvæmd stofnana í þessu tilliti. Má ætla að þegar Evrópska persónuverndarráðið tekur til starfa verði gefnar út frekari leiðbeiningar um efnið.
Álagning stjórnvaldssektar verður að vera í réttu hlutfalli við brot í hverju tilviki en jafnframt þurfa að vera til staðar viðmið um hvernig fjárhæð hennar er ákveðin og hvaða atriða skuli líta til. Er það markmið þessa frumvarpsákvæðis að setja slík viðmið fram, en það er samhljóða upptalningu atriða í 2. mgr. 83. gr. reglugerðarinnar. Efni þessara viðmiða er m.a. dregið saman í 148. lið formála reglugerðarinnar. Bent er á að við ákvörðun sekta á að taka tilhlýðilegt tillit til þess hvers eðlis brotið er, hversu alvarlegt það er og hversu lengi það hefur staðið yfir, hvort það var framið af ásetningi, til hvaða aðgerða var gripið til að draga úr tjóni, hversu mikil ábyrgðin var eða hvort um fyrri brot sem skipta máli er að ræða, hvernig eftirlitsstjórnvaldið komst á snoðir um brotið, hvort ráðstöfunum sem settar voru gagnvart ábyrgðaraðila eða vinnsluaðila var fylgt og hvort hátternisreglum var fylgt ásamt öðrum mildandi eða íþyngjandi þáttum. Auk þess er áréttað í 150. lið formálans að eftirlitsstjórnvald skal ákveða sekt í hverju einstöku tilviki með hliðsjón af öllum viðeigandi kringumstæðum í viðkomandi máli, einkum að teknu tilhlýðilegu tilliti til eðlis, alvarleika og lengdar brotsins og afleiðinga þess og ráðstafana sem gerðar hafa verið til að tryggja að skuldbindingar samkvæmt reglugerðinni séu uppfylltar og til að koma í veg fyrir eða draga úr afleiðingum brotsins. Tekið er fram að þegar stjórnsýslusektir eru lagðar á aðila sem ekki eru fyrirtæki ætti að taka tillit til almenns tekjustigs í aðildarríkinu og fjárhagsstöðu aðilans þegar viðeigandi sektarfjárhæð er ákveðin. Einnig er bent á að nota má samræmingarkerfi reglugerðarinnar til að stuðla að samræmdri beitingu stjórnsýslusekta á milli ríkja.
Um 48. gr.
Í reglugerðinni er ekki lögð skylda á ríki til að gera brot á ákvæðum hennar refsiverð. Í 84. gr. hennar er þó hvatt til að aðildarríkin setji reglur um önnur viðurlög við brotum á reglugerðinni, einkum brotum sem varða ekki stjórnsýslusektum skv. 83. gr. hennar, og geri allar nauðsynlegar ráðstafanir til að sjá til þess að þeim sé komið til framkvæmda. Slík viðurlög skuli vera skilvirk, í réttu hlutfalli við brot og hafa varnaðaráhrif. Til að varpa frekara ljósi á þetta kemur fram í 148. lið formálans að aðildarríkin ættu að geta sett reglur um refsiviðurlög vegna brota á reglugerðinni, þ.m.t. vegna brota á innlendum reglum sem samþykktar eru samkvæmt henni og innan ramma hennar. Bent er á að slík refsiviðurlög geta einnig gert ráð fyrir að viðkomandi sé sviptur þeim ávinningi sem hann hafði af brotum á reglugerðinni. Þá er gerður sá fyrirvari að ákvörðun refsiviðurlaga vegna brota á innlendum reglum og stjórnsýsluviðurlögum megi ekki leiða til brots á meginreglunni um að verða ekki saksóttur eða refsað tvívegis fyrir sama brot (ne bis in idem), eins og dómstóll ESB hefur túlkað hana.
Sú leið er farin í frumvarpi þessu að afleggja ekki með öllu refsiábyrgð einstaklinga þannig að álagning stjórnsýslusekta taki við í öllum tilvikum. Hér er m.a. litið til fyrirmyndar í þýsku lögunum frá 30. júní 2017 um innleiðingu reglugerðarinnar sem mælir fyrir um refsiábyrgð í nánar skilgreindum stórfelldum brotum. Það eykur varnaðaráhrif gagnvart einstaklingum, t.d. fyrirsvarsmönnum fyrirtækja þar sem fram fer umfangsmikil vinnsla persónuupplýsinga, að fangelsisrefsing sé lögð við alvarlegustu brotum en hér er miðað við sama refsiramma og í 42. gr. gildandi laga eða fangelsi allt að þremur árum. Jafnframt verður þá unnt samkvæmt fyrirmælum ákvæðisins að gera ávinning af broti upptækan. Það hefur hins vegar ekki sérstaka þýðingu að gera brot lögaðila refsiverð, enda yrðu viðurlög ávallt í formi fjárgreiðslu hvort eð er og við ákvörðun stjórnvaldssektar er hægt að taka tillit til ávinnings lögaðila af brotinu. Skilyrði fyrir því að refsiábyrgð einstaklings skv. 1. mgr. þessa frumvarpsákvæðis verði virk er að brotið sé stórfellt og er því jafnframt lýst hvað felst í því, þ.e. að litið er til ásetnings, umfangs og afleiðinga. Þannig telst brot stórfellt þegar það er framið af ásetningi, í hagnaðarskyni með sérstaklega vítaverðum hætti og persónuupplýsingar mikils fjölda skráðra einstaklinga sem leynt eiga að fara samkvæmt lögum eða eðli máls komast í hendur þriðja aðila eða birtast opinberlega.
Í 2. mgr. frumvarpsákvæðisins er tekið fram að hafi fyrirsvarsmaður lögaðila, starfsmaður hans eða annar á hans vegum framið brot í starfsemi lögaðilans megi gera honum refsingu, samhliða stjórnvaldssekt sem lögaðilanum er gerð skv. 46. gr. Af þessu er ljóst að refsiábyrgð einstaklings leysir ekki fyrirtæki undan mögulegri álagningu stjórnsýslusektar vegna sama brots. Hins vegar er ótvírætt að sama einstaklingi verður ekki bæði refsað fyrir brot samkvæmt þessu ákvæði frumvarpsins og látinn sæta stjórnvaldssekt, enda yrði með því farið gegn meginreglunni um að verða ekki saksóttur eða refsað tvívegis fyrir sama brot (ne bis in idem) sem fram kemur í 4. gr. 7. viðauka við mannréttindasáttmála Evrópu. Vakni grunur um alvarlegt brot, t.d. við rannsókn máls, hjá Persónuvernd verður stofnunin að meta hvort það skuli kært til lögreglu eða hvort leggja skuli á stjórnsýslusekt.
Í 3. mgr. þessa frumvarpsákvæðis er fjallað um refsiviðurlög við broti á þagnarskyldu sem varðar sektum eða fangelsi allt að 3 árum. Í 36. frumvarpsins er mælt fyrir þagnarskyldu persónuverndarfulltrúa en vísað er til frekari skýringa með því ákvæði um skyldur persónuverndarfulltrúa í þeim efnum.
Í 44. gr. er hins vegar mælt fyrir um þagnarskyldu starfsmanna Persónuverndar. Er brot á þagnarskyldu opinberra starfsmanna reyndar einnig refsiverð skv. 136. gr. almennra hegningarlaga, nr. 19/1940, en samhengis vegna þykir rétt að safna ákvæðum um brot á þagnarskyldu hér á einn stað. Þá vísar frumvarpsákvæði þetta til þagnarskyldu ábyrgðaraðila og vinnsluaðila sem gangast undir slíka skyldu með sérstakri yfirlýsingu þess efnis í tengslum við gerð skilmála skv. 33. gr. Er þyngri refsing lögð við hafi þessir einstaklingar framið brot til þess að afla sér eða öðrum óréttmæts ávinnings en þá getur fangelsi varðað allt að 3 árum.
Í lokamálsgrein þessa ákvæðis er mælt fyrir um heimildir til upptöku á ávinningi af broti á lögunum og reglugerðinni og hlutum sem notaðir eru til að fremja brot. Um það er vísað til ákvæða VII. kafla A almennra hegningarlaga og þarfnast það ekki frekari skýringar hér.
Um 49. gr.
Í 1. mgr. er mælt fyrir um að Persónuvernd meti hvort meint brot einstaklings skuli kært til lögreglu eða hvort hjá stofnuninni fari fram á því rannsókn sem lykti með álagningu stjórnvaldssektar. Við mat sitt á þessu ber Persónuvernd að styðjast við þau viðmið sem fram koma í 48. gr. og lýst var í skýringum við það ákvæði, þ.e. hvenær brot telst vera stórfellt. Í ákvæðinu er jafnframt kveðið á um að ákvörðun Persónuverndar um að kæra mál til lögreglu teljist ekki til stjórnvaldsákvörðunar og því gildi ákvæði IV.–VII. kafla stjórnsýslulaga ekki um slíkar ákvarðanir stofnunarinnar. Þá er mælt fyrir um að með kærunni til lögreglu skuli fylgja afrit þeirra gagna sem grunur um brot sé studdur við. Ekki er um að ræða skyldu Persónuverndar til að kæra brot, en það veltur sem fyrr segir á mati stofnunarinnar hvort sú leið sé farin. Þá er einnig ljóst að rannsókn lögreglu á meintu broti einstaklings skv. 48. gr. og útgáfa ákæru er ekki háð því að kæra komi frá Persónuvernd. Því gilda almennar reglur um að aðrir geti kært slíkt brot eða mögulega að lögregla hefji rannsókn að eigin frumkvæði, sbr. einnig 52. gr. laga um meðferð sakamála, nr. 88/2008. Eðlilegt væri þó að samráð yrði haft við Persónuvernd, m.a. til að fyrirbyggja að rannsókn hefjist á báðum stöðum, en það er einmitt markmið þessa frumvarpsákvæðis að tryggja að samvinna eigi sér stað milli stofnana.
Þetta markmið endurspeglast í 2.–4. mgr. frumvarpsákvæðisins. Skv. 2. mgr. er Persónuvernd þannig heimilt að láta lögreglu og ákæruvaldi í té upplýsingar og gögn sem stofnunin hefur aflað og tengjast meintum brotum skv. 48. gr. Þá er tilgreint að Persónuvernd sé heimilt að taka þátt í aðgerðum lögreglu sem varða rannsókn þeirra brota.
Með sama hætti er lögreglu og ákæruvaldi heimilt skv. 3. mgr. að láta Persónuvernd í té upplýsingar og gögn sem þau hafa aflað og tengjast þeim brotum sem tilgreind eru í 48. gr. og mögulega einnig brotum sem aðeins varða stjórnsýslusektum skv. 46. gr. Lögreglu er heimilt að taka þátt í aðgerðum Persónuverndar sem varða rannsókn hennar á brotum á lögunum og reglugerðinni. Hér ber einnig að líta til 41. gr. frumvarpsins sem fjallar um valdheimildir Persónuverndar við eftirlitsstörf en í 2. og 3. mgr. þeirrar greinar er fjallað um aðkomu lögreglu, vegna rannsóknar Persónuverndar á meintum brotum á reglugerðinni og lögunum.
Í lokamálsgrein þessa frumvarpsákvæðis er kveðið á um heimild ákæranda til að senda eða endursenda mál til Persónuverndar til meðferðar og ákvörðunar í þeim tilvikum þar sem ekki eru talin efni til útgáfu ákæru og ætluð refsiverð háttsemi varðar jafnframt stjórnsýsluviðurlögum. Á ákvæðið við hvort sem lögregla eða ákæruvald hafa tekið mál upp að eigin frumkvæði eða fengið það sent frá eftirlitsaðilanum.
Um 50. gr.
Mannréttindadómstóll Evrópu hefur í dómum sínum talið að það sé þáttur í réttlátri málsmeðferð skv. 6. gr. mannréttindasáttmála Evrópu að þeim sem sakaður er um refsiverða háttsemi í skilningi þess ákvæðis sé óskylt að tjá sig eða láta í té upplýsingar sem leitt geta til sakfellingar hans. Þar sem ákvæði sáttmálans hafa verið lögtekin hér á landi gildir rétturinn til að fella ekki á sig sök hér við meðferð stjórnsýslumála þar sem til greina kemur að leggja á stjórnvaldssekt sem telst vera viðurlög við „refsiverðu broti“ í skilningi 1. mgr. 6. gr. sáttmálans. Til þess að stuðla að því að rétturinn til að fella ekki á sig sök sé virtur í framkvæmd er talið æskilegt að inntak hans verði lögfest með skýrum hætti eins og lagt er til hér.
Um 51. gr.
Í 82. gr. reglugerðarinnar er nánar rætt um samspil ábyrgðar á milli ábyrgðaraðila og vinnsluaðila. Þannig er tekið fram í 2. mgr. að ábyrgðaraðili, sem tekur þátt í vinnslu, skuli bera ábyrgð á því tjóni sem hlýst af vinnslunni. Vinnsluaðili skuli því aðeins bera ábyrgð á tjóni, sem hlýst af vinnslu, hafi hann ekki uppfyllt sérstakar skyldur vinnsluaðila samkvæmt reglugerðinni eða ef hann hefur ekki fylgt lögmætum fyrirmælum ábyrgðaraðilans eða farið gegn þeim. Þá er tekið fram í 4. mgr. 82. gr. reglugerðarinnar að ef fleiri en einn ábyrgðaraðili eða vinnsluaðili, eða bæði ábyrgðaraðili og vinnsluaðili, koma að sömu vinnslu og þeir bera ábyrgð á tjóni sem af henni hlýst skuli hver ábyrgðaraðili eða vinnsluaðili vera ábyrgur fyrir öllu tjóninu til að tryggja hinum skráða fullar skaðabætur. Af þessu er ljóst að ábyrgðaraðili eða vinnsluaðili sem hefur greitt fullar skaðabætur getur í kjölfarið gert endurkröfu á aðra ábyrgðaraðila eða vinnsluaðila sem tóku þátt í sömu vinnslu, sbr. einnig niðurlagsorð 146. liðar formála reglugerðarinnar.
Segja má að skaðabótaábyrgð ábyrgðaraðila og vinnsluaðila leiði í reynd af almennum skaðabótareglum íslensks réttar, en eigi að síður þykir rétt að orða um hana sérstaka reglu í frumvarpinu í samræmi við fyrrgreint ákvæði reglugerðarinnar.
Þá er ljóst að hvorki ábyrgðaraðila né vinnsluaðila verður gert að bæta tjón sem hann sannar að hvorki verði rakið til mistaka né vanrækslu af hans hálfu, sbr. lokamálslið 1. mgr. þessa frumvarpsákvæðis og 3. mgr. 82. gr. reglugerðarinnar, en af þessu er ljóst að sönnunarbyrði um það hvílir á honum.
Um 52. gr.
Um 53. gr.
Þessar sérstöku aðstæður leiða þó ekki til þess að ekki sé hægt að samþykkja frumvarpið enda fellur það innan valdheimilda löggjafans að meta það hvort rétt er að samþykkja frumvarpið en mikilvægt er að það verði að lögum sem næst framangreindu tímamarki.
Um 54. gr.
Samning ákvæðisins krafðist aðkomu allra ráðuneyta. Að ósk dómsmálaráðuneytisins tilnefndu ráðuneytin tengiliði í samráðshóp sem hafði það hlutverk að fara yfir ákvæði sérlaga um persónuvernd í því skyni að meta hvaða breytingar kynnu að vera nauðsynlegar vegna innleiðingar almennu persónuverndarreglugerðarinnar. Yfirferð samráðshópsins leiddi í ljós að gera þarf ýmsar efnislegar breytingar á ákvæðum sérlaga en í ákvæði þessu eru hins vegar eingöngu lagðar til lágmarksbreytingar sem eru nauðsynlegar vegna tilvísana til gildandi laga sem fyrr segir. Ljóst er hins vegar að efnisleg endurskoðun á ákvæðum sérlaga er að öðru leyti verkefni sem þarf að huga að í fleiri áföngum á næstu misserum.
Um ákvæði til bráðabirgða I.
Um ákvæði til bráðabirgða II.
Er hér um að ræða nokkurt safn reglna hvort heldur í reglugerðum gefnum út af ráðherra eða reglum og fyrirmælum Persónuverndar sem sumar hverjar hafa mikla þýðingu á sviði persónuverndar. Má þar nefna sem dæmi reglugerð nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu, sbr. einnig ákvæði til bráðabirgða III í frumvarpi þessu og 52. gr. þess, reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun og reglugerð nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust. Mikilvægt er að ekki skapist tómarúm við gildistöku nýrra persónuverndarlaga og að þessar reglur gildi eftir því sem við getur átt innan ramma reglugerðarinnar og laganna á meðan unnið verður að undirbúningi á endurskoðun þeirra og setningu frekari reglna á sviði persónuverndar. Þá er lagt til að leyfi sem Persónuvernd hefur gefið út í gildistíð núgildandi laga standi áfram enda fari þau ekki í bága við reglur frumvarpsins og reglugerðina.
Um ákvæði til bráðabirgða III.
Fylgiskjal I.
Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin).
(Uppfærð útgáfa.)
www.althingi.is/altext/pdf/148/fylgiskjol/s1029-f_I.pdf
Fylgiskjal II.
Ákvörðun sameiginlegu EES-nefndarinnar nr. [ ] frá [ ] um breytingu á XI. viðauka (Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið) og bókun 37 (sem inniheldur skrána sem kveðið er á um í 101. gr.) við EES-samninginn.
www.althingi.is/altext/pdf/148/fylgiskjol/s1029-f_II.pdf
