Ferill 622. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.
148. löggjafarþing 2017–2018.
Þingskjal 1281 — 622. mál.
2. umræða.
Nefndarálit
um frumvarp til laga um persónuvernd og vinnslu persónuupplýsinga.
Frá meiri hluta allsherjar- og menntamálanefndar.
Nefndin hefur fjallað um málið og fengið á sinn fund Rósu Dögg Flosadóttur frá dómsmálaráðuneyti, Björgu Thorarensen, prófessor við lagadeild Háskóla Íslands og formann stjórnar Persónuverndar, Þórð Sveinsson og Vigdísi Evu Líndal frá Persónuvernd, Stefán Eiríksson, Dagbjörtu Hákonardóttur, Ívar Örn Ívarsson og Benedikt Hallgrímsson frá Reykjavíkurborg, Vigdísi Ósk Häsler Sveinsdóttur, Telmu Halldórsdóttur og Sigurð Ármann Snævarr frá Sambandi íslenskra sveitarfélaga, Bergþóru Halldórsdóttur og Unni Elfu Hallsteinsdóttur frá Samtökum atvinnulífsins sem mættu einnig fyrir hönd Samtaka fyrirtækja í sjávarútvegi og Samorku, Björgu Ástu Þórðardóttur frá Samtökum iðnaðarins, Lárus M.K. Ólafsson fyrir hönd Samtaka ferðaþjónustunnar og SVÞ – Samtaka verslunar og þjónustu, Vigdísi Halldórsdóttur frá Samtökum fjármálafyrirtækja, Öglu Vilhjálmsdóttur frá Viðskiptaráði Íslands, Sigríði Laufeyju Jónsdóttur og Gunnar Gunnarsson frá Creditinfo, Hrafnhildi Arnkelsdóttur og Ólaf Arnar Þórðarson frá Hagstofu Íslands, Þóri Haraldsson, Jóhann Hjartarson og Tönyu Zharov frá Íslenskri erfðagreiningu, Eirík Baldursson og Þórunni Halldórsdóttur frá vísindasiðanefnd, Önnu Maríu Káradóttur frá embætti landlæknis, Eirík Guðmundsson og Njörð Sigurðsson frá Þjóðskjalasafni Íslands, Svanhildi Bogadóttur frá Borgarskjalasafni Reykjavíkurborgar, Margréti Hjálmarsdóttur frá Einkaleyfastofunni, Arnald Hjartarson, aðjúnkt við lagadeild Háskóla Íslands, Stefán Má Stefánsson, prófessor emeritus við lagadeild Háskóla Íslands, Elfi Logadóttur fyrir hönd Auðkenna ehf., Pál Ásgrímsson frá Sýn hf., Eirík Hauksson og Helgu G. Kjartansdóttur frá Símanum hf., Jón Steinar Guðjónsson og Hólmar Örn Finnsson frá Nova ehf., Unni Kristínu Sveinbjarnardóttur, Hrafnkel V. Gíslason, Björn Geirsson og Kristján Val Jónsson frá Póst- og fjarskiptastofnun, Þórhall Vilhjálmsson frá lagaskrifstofu Alþingis, Tryggva Gunnarsson, umboðsmann Alþingis, Halldór Oddsson frá Alþýðusambandi Íslands, Leif Valentín Gunnarsson frá Eflingu – stéttarfélagi, Ólaf Jóhann Einarsson, lögmann og fyrrverandi framkvæmdastjóra hjá Eftirlitsstofnun EFTA, Elínu Blöndal frá Háskóla Íslands, Ragnar M. Gunnarsson frá Sjúkratryggingum Íslands, Lovísu Ósk Þrastardóttur frá umboðsmanni skuldara, Ólaf Pál Ólafsson frá Seðlabanka Íslands og Hörð H. Helgason héraðsdómslögmann.
Umsagnir bárust frá Alþýðusambandi Íslands, Bandalagi háskólamanna, Borgarbyggð, Borgarskjalasafni Reykjavíkur, Creditinfo – Lánstrausti hf., Eflingu – stéttarfélagi, embætti landlæknis, Félagi atvinnurekenda, félagsþjónustu Rangárvalla- og Vestur-Skaftafellssýslu, Fjármálaeftirlitinu, fjölmiðlanefnd, Fljótsdalshéraði, Hagsmunasamtökum heimilanna, Hagstofu Íslands, Háskóla Íslands, Heimssýn, Héraðsskjalasafni Árnesinga og Héraðsskjalasafni Kópavogs, Ísafjarðarbæ, Isavia ohf., Íslenskri erfðagreiningu ehf., Íþrótta- og Ólympíusambandi Íslands, Krabbameinsfélaginu, lagaskrifstofu Alþingis, Landsvirkjun, Lögmannafélag Íslands, lögreglunni á höfuðborgarsvæðinu, Marinó G. Njálssyni, Matvælastofnun, Persónuvernd, Póst- og fjarskiptastofnun, Reykjavíkurborg, Sambandi íslenskra sveitarfélaga, Samtökum fjármálafyrirtækja, Samtökum fyrirtækja í velferðarþjónustu, Seðlabanka Íslands, Sjúkratryggingum Íslands, Sveitarfélaginu Skagafirði, Tryggingastofnun ríkisins, umboðsmanni Alþingis, umboðsmanni skuldara, Ungmennafélagi Íslands, Þjónustu- og þekkingarmiðstöð fyrir blinda, sjónskerta og daufblinda einstaklinga, Þjóðskjalasafni Íslands og sameiginleg umsögn barst frá Samtökum atvinnulífsins, Samorku, Samtökum ferðaþjónustunnar, Samtökum fjármálafyrirtækja, Samtökum fyrirtækja í sjávarútvegi, Samtökum iðnaðarins, SVÞ – Samtökum verslunar og þjónustu og Viðskiptaráði Íslands.
Almennt.
Með frumvarpinu er annars vegar stefnt að því að lögfesta ákvæði reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016, eins og hún er tekin upp í EES-samninginn, og hins vegar að setja frekari ákvæði til fyllingar og viðbótar reglugerðinni þar sem hún heimilar eða mælir fyrir um að settar verði sérreglur í landslög. Samþykkt frumvarps þessa er forsenda fyrir þátttöku Íslands í samevrópsku regluverki um persónuvernd og vinnslu persónuupplýsinga.
Þá er í frumvarpinu sett fram það efnislega markmið, eins og í gildandi lögum, að stuðla að því að með persónuupplýsingar verði farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins. Frumvarpið hefur þá sérstöðu að það snertir allt samfélagið.
Persónuverndarreglugerðin hefur þá sérstöðu að hún veitir aðildarríkjum talsvert svigrúm til að setja sérreglur um tiltekin atriði, útfæra sum ákvæði hennar eða víkja frá þeim og í sumum tilvikum er skylt að festa ákveðin atriði sérstaklega í landslög. Ástæður setningar sérreglna í landslögum má greina í fjóra flokka:
1. Heimild til nánari útfærslu á efni tiltekinna reglugerðarákvæða.
2. Valkostir um að setja efnisreglur á tilteknum sviðum.
3. Svigrúm ríkja til að setja lög sem víkja frá ákvæðum reglugerðarinnar.
4. Skyldur sem hvíla á ríki til að setja sérstök atriði í lög eða reglur.
Auk þess má bæta við einum flokki þar sem er að finna sérreglur sem eru í lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000, og haldast áfram óbreyttar í frumvarpinu. Þær reglur eru þó ekki nefndar í reglugerðinni en útfærsla þeirra ákvæða á að vera innan ramma hennar.
Í frumvarpinu er mælt fyrir um að reglugerðin eins og hún er tekin upp í EES-samninginn verði að landslögum. Helstu breytingar sem frumvarpið hefur í för með sér auk helstu sérreglna sem lagðar eru til að öðru leyti eru eftirfarandi og er ákvæðis reglugerðarinnar getið innan sviga:
– Nýmæli um landfræðilegt gildissvið reglugerðarinnar. (3. gr.)
– Almennt eru lagðar mun ríkari skyldur á ábyrgðaraðila og vinnsluaðila við vinnslu persónuupplýsinga, svokallaðar ábyrgðarskyldur.
– Ný meginregla, svokölluð öryggisregla, bætist við. (F-liður, 1. mgr. 5. gr.)
– Önnur ný meginregla er aukin ábyrgðarskylda. (2. mgr. 5. gr.)
– Strangari skilyrði fyrir samþykki einstaklinga og gerð skilmála fyrirtækja fyrir samþykki. (7. gr.)
– Börnum er veitt sérstök vernd þar sem afla þarf samþykkis barns í tengslum við þjónustu í upplýsingasamfélaginu. Aldursmarkið er 16 ár en heimilt er að kveða á um lægra aldursmark í landslögum, en þó ekki lægra en 13 ár. (8. gr.)
– Aðgangsréttur einstaklinga að persónuupplýsingum auk skyldu ábyrgðaraðila til að afhenda hinum skráða afrit upplýsinga um hann á rafrænu formi sé þess óskað. (15. gr.)
– Rétturinn til að gleymast. Frá þessum rétti eru þó undantekningar. (17. gr.)
– Réttur hins skráða til að fá persónuupplýsingar um sig afhentar á aðgengilegu formi og til að láta flytja eigin gögn. (20. gr.)
– Skylda ábyrgðaraðila til að tryggja innbyggða og sjálfgefna persónuvernd með tæknilegum ráðstöfunum. (25. gr.)
– Skylda ábyrgðaraðila til að halda skrá yfir vinnslustarfsemi sem fer fram á ábyrgð þeirra. (30. gr.)
– Tilkynningar um öryggisbrot við meðferð persónuupplýsinga. (33. gr.)
– Mat á áhrifum á persónuvernd ef líklegt er að tiltekin tegund vinnslu hafi í för með sér mikla áhættu fyrir réttindi skráðra einstaklinga. (35. gr.)
– Tilnefning persónuverndarfulltrúa þegar unnið er með ákveðna flokka persónuupplýsinga og umfangsmikið magn. (37. og 38. gr.)
– Persónuverndarstofnanir eru efldar verulega, sjálfstæði tryggt og valdheimildir og eftirlitsúrræði stóraukin. (57. og 58. gr.)
– Stjórnsýslusektir. (3. og 5. mgr. 83. gr.)
Allmörg ákvæði reglugerðarinnar endurspegla markmið hennar um að greiða fyrir frjálsu flæði persónuupplýsinga og virkni hins innri stafræna markaðar og tryggja samræmt eftirlit og framkvæmd, m.a. samræmt eftirlitskerfi milli eftirlitsstofnana á svæðinu. (63.–67. gr.)
Með reglugerðinni er sett á fót Evrópska persónuverndarráðið sem er ætlað að tryggja samræmi í beitingu reglugerðarinnar og getur ráðið skorið úr deilumálum sem kunna að rísa á milli eftirlitsstjórnvalda í aðildarríkjunum með bindandi niðurstöðu. (68.–70. gr.)
Þá er að finna í frumvarpinu ýmsar sérreglur um tiltekin svið sem þegar eru í lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000, þar á meðal ákvæði um rafræna vöktun, vinnslu upplýsinga um fjárhagsmálefni og lánstraust, bannskrá Þjóðskrár Íslands o.fl. Ákveðið var að halda þeim ákvæðum í lögum um persónuvernd á meðan ekki er ljóst hvenær þau verði fest annars staðar í almenn lög því að ella skapast mögulega tímabundið lagalegt tómarúm og lakari réttarvernd.
Innleiðing o.fl.
Almennt.
Með vísan til þess að reglugerðin hefur ekki verið tekin upp í EES-samninginn er mikilvægt að árétta að ekki er um eiginlega innleiðingu að ræða. Því er vakin athygli á nauðsyn þess að lögfesta sérstakt innleiðingarákvæði eftir að gerðin er orðin hluti af EES-samningnum. Slíkt ákvæði mætti færa í lögin samhliða breytingum á öðrum lögum.
Innleiðing.
Íslenskum stjórnvöldum ber skv. 7. gr. EES-samningsins að lögfesta reglugerðir óbreyttar. Þetta er ólíkt tilskipunum Evrópusambandsins þar sem einungis þarf að tryggja að tilgangi tilskipunar sé náð. Af þessu leiðir að ESB-reglugerðir verður að þýða orðrétt á íslensku og lögtaka þær í því horfi. Það er með öðrum orðum óheimilt að hrófla við orðalagi í ákvæðum reglugerða.
Undanfarin ár hefur aukist að reglugerðir innihaldi sveigjanleg ákvæði sem veita ríkjum visst svigrúm til útfærslu. Lögfesta þarf sérstaklega þessi ákvæði þar sem útfærsla ríkisins kemur skýrt fram. Þá þarf að tryggja að útfærslan sé innan þess ramma sem reglugerðin setur. Það er því ekki hægt að vísa til ESB-reglugerðarinnar sjálfrar hvað varðar þessi sveigjanlegu ákvæði.
Persónuverndarreglugerðin inniheldur bæði hefðbundin ófrávíkjanleg reglugerðarákvæði og sveigjanleg ákvæði sem heimila aðildarríkjum að setja sérreglur ásamt því að takmarka eða útfæra nánar tiltekin ákvæði reglugerðarinnar. Sú leið sem farin er í frumvarpinu er að lögfesta reglugerðina með tilvísunaraðferð ásamt því að umrita valdar greinar úr henni að hluta eða að öllu leyti. Sum þeirra ákvæða reglugerðarinnar sem eru ófrávíkjanleg eru ekki tekin orðrétt upp í frumvarpið. Þá eru jafnframt dæmi um að útfærsla sveigjanlegu ákvæðanna sé ekki í fullu samræmi við ákvæði reglugerðarinnar hvað varðar orðalag og útfærslu.
Samræmi.
Meiri hlutinn leggur til nokkrar breytingar til að tryggja betur samræmi milli hins enska frumtexta reglugerðarinnar og frumvarpsins. Þá eru einnig lagðar til breytingar til að auka skýrleika frumvarpstextans með því að færa hann nær texta reglugerðarinnar.
Í greinargerð með frumvarpinu kemur fram að Þýðingamiðstöð utanríkisráðuneytisins notast við samræmdar og staðlaðar þýðingar hugtaka sem ætlað er að vera óháðar landsrétti einstakra ríkja. Við færslu hugtaka reglugerðarinnar inn í frumvarpstextann var sú leið valin að nota viðurkennd íslensk lagaheiti sem hefð er fyrir að nota til að tryggja skýrleika og samræmi við íslenskt lagamál. Meiri hlutinn leggur til nokkrar breytingar til að reyna að tryggja enn betur þetta samræmi en áréttar jafnframt mikilvægi þess að við þýðingar Evrópugerða sé reynt að gæta samræmis við íslenskt lagamál eins og unnt er til að tryggja skýrleika laga.
Ekki vinnst tími á þessu löggjafarþingi til eins ítarlegrar skoðunar á atriðum er varða samræmi og þörf hefði verið á en þó telur meiri hlutinn rétt að leggja til fáeinar breytingar til að tryggja samræmi milli frumvarpsins og frumtexta reglugerðarinnar, samræmi milli frumvarpsins og reglugerðarinnar og samræmi við íslenskt lagamál.
Meðal þeirra breytinga sem lagðar eru til og falla undir samræmingu við íslenskt lagamál er sú tillaga að í stað hugtaksins „heimspekileg sannfæring“ verði notast við lífsskoðun. Meiri hlutinn bendir á að í sænskum texta er notað orðið sannfæring en að í íslenskum lagatexta er alla jafna notað orðið lífsskoðun, sbr. lög um skráð trúfélög og lífsskoðunarfélög, nr. 108/1999.
Þá er lögð til breyting á 8. tölul. 11. gr. frumvarpsins til að tryggja samræmi við frumtexta en í h-lið 9. gr. enskrar útgáfu reglugerðarinnar segir að vinnsla upplýsinga sé heimil ef hún er nauðsynleg „for the provision of health and social care“. Í íslenskri þýðingu er talað um að „láta í té“ umönnun og meðferð á sviði heilbrigðis- og félagsþjónustu. Lögð er til sú orðalagsbreyting að þessi umönnun og meðferð verði „veitt“, enda er það í samræmi við íslenskt mál og íslenskt lagamál, sbr. t.d. lög um heilbrigðisþjónustu, nr. 40/2007.
Í reglugerðinni eru tilgreind skilyrði fyrir því að vinnsla viðkvæmra persónuupplýsinga sé heimil. Nokkuð mismunandi er hvort skýrt sé kveðið á um að lagaheimild þurfi að vera til staðar og hvort tekið sé fram að í lögum sé ákvæði sem kveði á um viðeigandi ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða. Svo er þó ef vinnslan fellur undir b-, g-, i- og j-liði 2. mgr. 9. gr. reglugerðarinnar. Samsvarandi ákvæði um heimila vinnslu viðkvæmra persónuupplýsinga er að finna í 2., 7., 9., 10. og 11 tölul. 1. mgr. 11. gr. frumvarpsins. Þar er þó ekki samræmi við orðalag ákvæðisins um lagaheimild og vernd grundvallarréttinda. Leggur meiri hlutinn til breytingu til að auka á samræmið.
Samkvæmt 23. gr. reglugerðarinnar er heimilt að takmarka með lögum gildissvið þeirra skyldna og réttinda sem kveðið er á um í 12.–22. gr. reglugerðarinnar. Samkvæmt enskum texta reglugerðarinnar þarf slík takmörkun að vera gerð með lögum og virða eðli grundvallarréttinda og frelsis og vera nauðsynleg og hófleg ráðstöfun til að tryggja (e. safeguard) þá þætti sem taldir eru upp í ákvæðinu. Í norskri þýðingu ákvæðisins er einnig notað hugtakið tryggja (n. for å sikre). Í íslenskum texta reglugerðarinnar er ekki notað orðið tryggja heldur vísað til þess að hafa eigi hliðsjón af þeim þáttum sem taldir eru upp. Ákvæði íslensku þýðingarinnar virðist því víðara og ekki í samræmi við frumtexta. Í frumvarpinu er síðan aftur notað annað orðalag um að víkja megi frá ákvæðum á grundvelli þeirra þátta sem þar eru taldir upp. Það að takmörkun sé heimil til að tryggja t.d. þjóðaröryggi er mun þrengri heimild samkvæmt almennri málvenju en að sú takmörkun sé heimil með hliðsjón af eða á grundvelli þjóðaröryggis. Meiri hlutinn leggur því til breytingu til að færa ákvæði frumvarpsins að þessu leyti til samræmis við frumtexta en einnig breytingu til að tryggja samræmi við þau skilyrði sem sett eru með reglugerðinni en er ekki að finna í frumvarpsákvæðinu.
Afleiðing ef reglugerðin er ekki innleidd á yfirstandandi löggjafarþingi.
Vinnsla persónuupplýsinga yfir landamæri frá Íslandi til ESB fer fram á hverjum degi í miklu magni, t.d. hjá íslenskum fyrirtækjum með starfsemi í Evrópu og hjá erlendum fyrirtækjum með starfsemi á Íslandi. Á fundum nefndarinnar hefur komið fram að ef persónuverndarfrumvarpið verður ekki að lögum á yfirstandandi þingi er hætta á að íslensk fyrirtæki lendi í ýmiss konar vandræðum við flutning á persónuupplýsingum sem eru forsenda þjónustu á internetinu, í tölvukerfum og öðru. Þá kunni samkeppnisstaða íslenskra fyrirtækja að veikjast og ófyrirsjáanlegt er hvernig viðskiptavinir þeirra í Evrópu mundu bregðast við.
Í sameiginlegri umsögn Samtaka atvinnulífsins, Samorku, Samtaka ferðaþjónustunnar, Samtaka fjármálafyrirtækja, Samtaka fyrirtækja í sjávarútvegi, Samtaka iðnaðarins, SVÞ – Samtaka verslunar og þjónustu og Viðskiptaráðs Íslands er áréttað mikilvægi þess fyrir atvinnulífið að frumvarpið verði að lögum eins fljótt og hægt er. Tafir á innleiðingu skapi óvissu sem veikt geti samkeppnisstöðu íslenskra fyrirtækja í alþjóðlegri starfsemi. Ísland verði flokkað sem þriðja heims ríki sem falið gæti í sér umtalsvert fjárhagslegt tjón fyrir hið opinbera, atvinnulífið og viðsemjendur þeirra. Þá lýsti Íslensk erfðagreining í umsögn sinni áhyggjum af því að hætta geti skapast á áframhaldandi óheftu samstarfi við erlenda samstarfsaðila sem gera þá kröfu að Íslensk erfðagreining starfi í samræmi við ákvæði reglugerðarinnar.
EFTA-ríkin gáfu nýverið út yfirlýsingu um að eldri persónuverndartilskipun 95/46/EB gilti áfram í EES-samningnum þar til almenna persónuverndarreglugerðin hefði verið tekin upp í EES-samninginn. Fyrir nefndinni kom fram að Evrópusambandið hefði ekki andmælt yfirlýsingunni. Því ætti ekki að verða truflun á gagnaflutningi persónuupplýsinga á milli landa fram að upptöku gerðarinnar í EES-samninginn. Dragi Ísland að innleiða gerðina eftir að hún er orðin hluti EES-samningsins getur aftur á móti skapast óvissuástand.
Í ljósi þeirra veigamiklu hagsmuna sem í húfi eru og þeirrar óvissu sem skapast ef innleiðing reglugerðarinnar dregst telur meiri hlutinn mikilvægt að hún verði innleidd á yfirstandandi löggjafarþingi.
Efnislegt gildissvið (4. gr.).
Fyrir nefndinni var nokkuð rætt um efnislegt gildissvið 4. gr. frumvarpsins. Í greinargerð sem fylgir frumvarpi þessu kemur fram að ákvæðinu sé ekki ætlað að breyta almennu efnislegu gildissviði laganna frá gildandi lögum en nokkrar nýjar sérreglur hafi þó bæst við sem taki mið af ákvæðum reglugerðarinnar. Meiri hlutinn vekur athygli á því að í skýringu við 1. mgr. 4. gr., 17. línu, er vísað til 14. formálsliðar reglugerðarinnar, en rétt tilvísun er 15. formálsliður reglugerðarinnar. Meiri hlutinn telur ástæðu til að fjalla sérstaklega um gildissvið er varðar látna einstaklinga, dómsvald og lögbundin verkefni Alþingis.
Vernd persónuupplýsinga um látna einstaklinga.
Í 3. mgr. 4. gr. frumvarpsins segir að lög þessi og reglugerðin gildi um vinnslu persónuupplýsinga látinna einstaklinga í fimm ár frá andláti þeirra en lengur þegar um ræðir persónuupplýsingar sem sanngjarnt og eðlilegt megi telja að leynt fari. Í greinargerð frumvarpsins er tekið fram að um sé að ræða sérreglu um vernd persónuupplýsinga látinna manna. Í 27. formálslið reglugerðarinnar segir: „Þessi reglugerð á ekki við um persónuupplýsingar látinna einstaklinga. Aðildarríkjunum er heimilt að kveða á um reglur um vinnslu persónuupplýsinga látinna einstaklinga.“ Þá segir í 158. formálslið um vinnslu persónuupplýsinga vegna skjalavistunar að reglugerðin eigi ekki við um látna einstaklinga og í 160. formálslið að þótt reglugerðin nái til sagnfræðirannsókna og rannsókna í erfðafræðilegum tilgangi gildi hún ekki um látna einstaklinga.
Í umsögn sinni bendir Íslensk erfðagreining á að lögin geti samkvæmt eðli máls ekki gilt um persónuupplýsingar um látna einstaklinga líkt og 3. mgr. 4. gr. kveður á um þar sem reglur um samþykki, aðgang að upplýsingum, flutning upplýsinga o.fl. ganga út frá því að hinn skráði sé lífs. Enn fremur segir í umsögninni: „Þá skapar það mikla óvissu um vinnsluna að kveðið sé á um opna og óljósa heimild til þess að lögin geti gilt um aldur og ævi um vinnslu upplýsinga „sem sanngjarnt og eðlilegt má telja að leynt fari“ án þess að nokkur viðmið séu gefin í því efni sem hægt er að festa hendur á.“
Í ljósi endurtekinna tilmæla í formála reglugerðarinnar um að hún gildi ekki um látna menn telur meiri hlutinn óvarlegt að kveða á um að svo sé í lögum. Leggur meiri hlutinn því til að ákvæðið orðist þannig að lögin gildi um meðferð persónuupplýsinga um látna einstaklinga eftir því sem við getur átt. Meiri hlutinn hefur skilning á athugasemdum um að orðalag ákvæðisins um að verndin geti gilt lengur en fimm ár sé opið og að erfitt sé að festa hendur á tilvikum sem reglan eigi við um. Í umfjöllun nefndarinnar kom fram að afar fá dæmi væru um að á vernd persónuupplýsinga um látna einstaklinga reyndi. Samkvæmt frumvarpinu yrði meginreglan sú að verndin gilti í fimm ár eftir andlát en með því að kveða á um að verndin gæti gilt lengur í ákveðnum tilvikum og með því að skilja þann tímaramma eftir opinn væri sleginn varnagli við sérstökum tilvikum sem gætu komið upp. Meiri hlutinn tekur undir þessi sjónarmið og leggur til að þessi þáttur ákvæðisins standi óbreyttur.
Við umfjöllun nefndarinnar um vernd persónuupplýsinga um látna einstaklinga komu fram sjónarmið um að tilefni gæti verið til að kveða á um slíka vernd í sérlögum, ekki síst í ljósi örrar tækniþróunar og vegna þess mikla magns stafrænna upplýsinga sem skráðar eru um einstaklinga í nútímasamfélagi. Meiri hlutinn leggur til að þessi sjónarmið verði ígrunduð í ráðuneytinu og metið hvort tilefni sé til að setja sérstaka löggjöf um málefnið.
Dómsvald.
Í 4. mgr. 4. gr. frumvarpsins er lagt til að kveðið verði á um að lög þessi og reglugerðin gildi ekki um vinnslu persónuupplýsinga sem fer fram þegar dómstólar fara með dómsvald sitt. Í greinargerð með frumvarpinu kemur fram að þótt vernd reglugerðarinnar gildi almennt m.a. um vinnslu persónuupplýsinga í starfsemi dómstóla sé gert ráð fyrir því í 20. formálslið hennar að aðildarríki hafi talsvert svigrúm til að tilgreina vinnsluaðgerðir og verklagsreglur í tengslum við slíka vinnslu. Þá er tekið fram að til að standa vörð um sjálfstæði dómskerfisins við framkvæmd verkefna þess á sviði dómsmála, m.a. ákvarðanatöku, ætti valdsvið eftirlitsstjórnvalda ekki að ná til vinnslu dómstóla á persónuupplýsingum þegar þeir fara með dómsvald sitt. Mögulegt ætti að vera að fela eftirlit með slíkri vinnslu persónuupplýsinga sérstökum aðilum innan dómskerfis aðildarríkisins sem ættu einkum að tryggja að farið yrði að fyrirmælum reglugerðarinnar, efla vitund dómara um skyldur sínar samkvæmt henni og annast meðferð kvartana í tengslum við slíka gagnavinnslu. Enn fremur kemur fram að tilvísun til dómsvaldshugtaksins þýði að reglan eigi ekki við um þá starfsemi dómstóla sem falli ekki beint undir dómsvald þeirra, þar á meðal þegar um ræðir birtingu dóma á netinu, sbr. úrskurð Persónuverndar frá 16. júní 2017 í máli nr. 2016/1783.
Fyrir nefndinni komu fram sjónarmið um hvort rétt væri að fela framkvæmdarvaldshafa eftirlit með handhöfum dómsvaldsins, jafnvel þótt það takmarkist við þá starfsemi dómstóla sem fellur ekki beint undir dómsvaldið. Færa megi fyrir því rök að slíkt fyrirkomulag geti brotið í bága við þrígreiningu ríkisvaldsins sem mælt er fyrir um í 2. gr. stjórnarskrárinnar, en þar er kveðið á um að forseti Íslands og önnur stjórnvöld fari með framkvæmdarvaldið og dómendur með dómsvaldið. Skv. 60. gr. stjórnarskrárinnar eiga dómstólar úrskurðarvald um lögmæti stjórnvaldsákvarðana, þar með talið ákvarðanir Persónuverndar.
Við meðferð málsins var rætt um hugtakið dómsvald og um þrígreiningu ríkisvaldsins skv. 2. gr. stjórnarskrárinnar. Fram komu sjónarmið um að handhöfum framkvæmdarvalds væru rík takmörk sett að hvaða marki það geti hlutast til um mál sem eru á verkefnasviði annarra handhafa ríkisvaldsins. Nefndinni var bent á að með tilkomu dómstólasýslunnar væri markmiðið að efla sameiginlega stjórnsýslu dómstóla og styrkja sjálfstæði þeirra og stuðla um leið að samræmi í framkvæmd mála sem varða innri starfsemi dómstiganna þriggja. Þannig eigi ákveðin málefni sem snerta dóma, dómendur og dómstóla að heyra undir stjórn dómsvaldsins, þar á meðal birting dóma, sbr. 20., 28. og 38. gr. laga um dómstóla, nr. 50/2016. Dómstólasýslan sé sjálfstæð stofnun innan dómskerfisins en í því felst að hún lýtur ekki boðvaldi annarra aðila innan dómskerfisins og er eðli málsins samkvæmt óháð löggjafar- og framkvæmdarvaldi.
Meiri hlutinn leggur áherslu á að starfsemi dómstóla sem felur í sér vinnslu persónuupplýsinga beri að fara eftir persónuverndarlögum auk þess sem málsmeðferð hjá dómstólasýslunni skuli byggjast á grundvallarreglum stjórnsýsluréttarins. Meiri hlutinn bendir á mikilvægi þess að fram fari endurskoðun á vinnsluaðgerðum og verklagsreglum í tengslum við vinnslu dómstóla og annarra dómsyfirvalda á persónuupplýsingum. Að mati meiri hlutans þarf þó að skoða nánar hvernig eftirlit við vinnslu persónuupplýsinga skuli vera innan dómstólasýslunnar. Í ljósi þess að slík vinna hefur ekki farið fram leggur meiri hlutinn ekki til breytingu á gildissviðinu. Meiri hlutinn telur þó rétt að benda í þessu samhengi á að starfshópur dómstólasýslunnar vinnur nú að samningu reglna um birtingu dóma og dagskrár dómstólanna í samstarfi við Persónuvernd og leggur meiri hlutinn áherslu á að þeirri vinnu ljúki sem fyrst.
Lögbundin verkefni Alþingis.
Í 5. mgr. 4. gr. frumvarpsins er lagt til að lög þessi og reglugerðin gildi ekki um vinnslu persónuupplýsinga sem fer fram í tengslum við lögbundin verkefni Alþingis. Í greinargerð með frumvarpinu segir að ákvæðið byggist á sambærilegum sjónarmiðum og 4. mgr. um gildissvið laganna og reglugerðarinnar gagnvart öðrum handhöfum ríkisvalds en framkvæmdarvaldshöfum og er því ætlað að festa í lög óskráðar reglur sem gilda í þessu tilliti. Þannig er lagt til að lögin nái ekki til vinnslu upplýsinga sem fer fram í tengslum við lögbundin verkefni Alþingis, þ.e. einkum verkefna Alþingis sem leidd séu af stjórnarskrá og eru útfærð frekar í ákvæðum laga um þingsköp Alþingis, nr. 55/1991. Af ákvæðinu verður þannig ályktað að vinnsla persónuupplýsinga sem fellur undir þá starfsemi Alþingis sem ekki lýtur beint að lagasetningu, fjárstjórnarvaldi og eftirliti með framkvæmdarvaldinu falli undir gildissvið laganna. Þá nær gildissvið laganna og reglugerðarinnar einnig til embætta á vegum Alþingis, svo sem ríkisendurskoðanda og umboðsmanns Alþingis.
Meiri hlutinn tekur fram að Alþingi er æðsta stofnun lýðveldisins og ekki háð eftirliti stjórnvalda. Af ákvæðum stjórnarskrárinnar, réttarvenjum og meginreglum stjórnskipunarréttarins leiðir að löggjafarvaldinu er tryggð lykilstaða gagnvart öðrum handhöfum ríkisvaldsins, sbr. einnig 2. gr. stjórnarskrárinnar. Af meginreglunni um sjálfræði þjóðþingsins í eigin málum má jafnframt leiða að Alþingi geti ákveðið hvernig einstakar undanþáguheimildir séu útfærðar í starfsemi þess eða gagnvart undirstofnunum þess samkvæmt reglugerðinni. Þá er tekið fram í a-lið 2. mgr. 2. gr. reglugerðarinnar að henni sé ekki ætlað að taka til starfsemi sem falli utan gildissviðs laga Evrópusambandsins en reglur EES-réttar skuli einnig taka mið af slíku. Þannig taki sá réttur ekki til starfsemi löggjafarvalds í aðildarríkjunum og þess hvernig þjóðþingin ákveða að skipuleggja þá starfsemi sem þau fara með eða til þeirra stofnana og nefnda sem þau ákveða að koma upp á sínum vegum til að sinna hluta af þeim verkefnum sem þau fara með samkvæmt stjórnskipun viðkomandi lands.
Í tengslum við þetta ræddi nefndin nokkuð um hvað felist í lögbundnu hlutverki Alþingis. Fram komu sjónarmið um að hlutverk Alþingis sé víðtækara en felist í meðferð löggjafarvalds og því væri réttara að nota hugtakið „störf Alþingis“ sem vísi jafnframt til þingstarfa eða þeirrar starfsemi sem fram fari á vegum Alþingis sem þjóðþings en óljóst sé samkvæmt frumvarpinu hvort lögbundið hlutverk Alþingis nái t.d. yfir samskipti þingmanna við hagsmunaaðila, kjósendur eða starfsmenn þingsins. Samkvæmt ákvæðum frumvarpsins er gengið út frá því að greina skuli annars vegar á milli stjórnsýslu sem fram fari á vegum þingsins og forseti Alþingis hefur æðsta vald í, sbr. 9. gr. laga um þingsköp Alþingis, eða eftir atvikum forsætisnefnd, sbr. 2. mgr. 16. gr. laga um þingfararkaup alþingismanna og þingfararkostnað, nr. 88/1995, og hins vegar „verkefna“ þess samkvæmt stjórnarskrá sem útfærð eru nánar í þingsköpum Alþingis. Meiri hlutinn tekur undir að réttmæt rök mæli ótvírætt með því að persónuverndarlög taki til slíkrar stjórnsýslu en sú niðurstaða leiði jafnframt til þess að rík þörf sé á að taka um leið afstöðu til gildissviðs stjórnsýslu- og upplýsingalaga gagnvart þeirri stjórnsýslu sem fram fari á vegum Alþingis.
Meiri hlutinn áréttar það sjónarmið að handhöfum framkvæmdarvalds eru rík takmörk sett að hvaða marki þeir geti hlutast til um mál sem eru á sviði annarra handhafa ríkisvaldsins. Hér verður einnig að líta til þess að eftirlit Alþingis með framkvæmdarvaldinu tekur til allrar stjórnsýslunnar og sama gildir m.a. um starfssvið umboðsmanns Alþingis. Þá er sjálfstæði umboðsmanns Alþingis undirstrikað með því að hvorki stjórnsýslulög né upplýsingalög taka til starfsemi hans enda telst hann hluti af eftirliti Alþingis með framkvæmdarvaldinu. Meiri hlutinn áréttar að haga beri starfi Alþingis og undirstofnana og rannsóknarnefnda þess eins og kostur er í samræmi við hinar nýju persónuverndarreglur en að það sé metið að hvaða marki innleiða eigi efnisreglur reglugerðarinnar í starf þeirra og þá að teknu tilliti til sérstöðu Alþingi og stofnana þess. Í samræmi við framangreint leggur meiri hlutinn því til breytingar á gildissviði laganna til takmörkunar varðandi Alþingi og stofnanir þess.
Tengsl við önnur lög (5. gr.).
Í 3. mgr. 5. gr. frumvarpsins er kveðið á um að ákvæði reglugerðarinnar gangi framar ákvæðum laganna. Við innleiðingu EES-reglna er viðvarandi viðfangsefni að tryggja að íslensk lög séu í samræmi við skuldbindingar Íslands samkvæmt EES-samningnum. Skv. 3. gr. laga um Evrópska efnahagssvæðið, nr. 2/1993, skal skýra lög og reglur, að svo miklu leyti sem við á, til samræmis við EES-samninginn og þær reglur sem á honum byggjast. Við meðferð málsins kom fram að markmið ákvæðisins væri að tryggja að ef ósamræmi væri milli ákvæða frumvarpsins og reglugerðarinnar væri tryggt að ákvæði reglugerðarinnar gengju framar. Meiri hlutinn tekur undir þau sjónarmið.
Tengsl við tjáningarfrelsi (6. gr.).
Samkvæmt ákvæði 1. mgr. 6. gr. frumvarpsins má víkja frá ákvæðum laganna og reglugerðarinnar í þágu fjölmiðlunar, lista eða bókmennta, að því marki sem það er nauðsynlegt til að samræma sjónarmið um rétt til einkalífs annars vegar og tjáningarfrelsi hins vegar. Í 2. mgr. 6. gr. eru tæmandi talin þau ákvæði laganna og reglugerðarinnar sem gilda um vinnslu persónuupplýsinga sem einvörðungu er framkvæmd í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi. Ákvæðið er efnislega samhljóða 5. gr. gildandi persónuverndarlaga, nr. 77/2000, og sækir stoð í 85. gr. reglugerðarinnar. Í greinargerð frumvarpsins kemur fram að ekki sé stefnt að breytingum á gildissviði ákvæðisins frá því sem nú er.
Í umsögn fjölmiðlanefndar er minnt á mikilvægi þess að fréttamennska sé undanþegin gildissviði laganna til þess að fjölmiðlar geti sinnt sínu lýðræðislega mikilvæga hlutverki og því fagnað að með frumvarpinu séu ekki gerðar breytingar á núverandi framkvæmd hvað það varðar. Hins vegar er gagnrýnt að í ákvæði 1. mgr. 6. gr. frumvarpsins sé aðeins að finna heimild til undanþágu frá ákvæðum laganna og reglugerðarinnar í vissum tilvikum en ekki skyldu. Bendir fjölmiðlanefnd á að ákvæðið hafi skírskotun til 153. formálsliðar reglugerðarinnar þar sem komi fram að víkja ætti (e. should) frá ákvæðum laganna í sama tilgangi og því virtist sem gengið væri skemmra samkvæmt íslenska ákvæðinu en samkvæmt reglugerðinni. Meiri hlutinn bendir á að viðkomandi orðalag er ráðandi í formála reglugerðarinnar og lýtur að því að aðildarríki ættu að aðhafast eitt og annað, í tilviki 153. formálsliðar að innleiða undanþágur frá persónuverndarreglum vegna sjónarmiða um tjáningarfrelsi, þar með talið fréttamennsku. Telur meiri hlutinn að þetta sé gert með 6. gr. frumvarpsins, sbr. 5. gr. gildandi persónuverndarlaga, og að réttur til að undanþiggja fjölmiðla-, bókmennta- og listastarfsemi ákvæðum laganna sé ekki rýrari samkvæmt heimild en hann væri samkvæmt skyldu. Þá er skýrt tekið fram í greinargerð frumvarpsins að með ákvæðinu sé ekki ætlunin að víkja frá núverandi framkvæmd og telur meiri hlutinn því ljóst að ekki verði breytingar á framkvæmdinni án þess að til komi sérstök lagabreyting þar að lútandi.
Að auki er í umfjöllun fjölmiðlanefndar um 6. gr. frumvarpsins bent á að hugtakið fréttamennska sé hvergi skilgreint í íslenskum lögum og að ekki verði fyllilega ráðið af framkvæmd Mannréttindadómstóls Evrópu og Evrópudómstólsins hvort skýra beri ákvæði um undanþágu fréttamennsku frá gildissviði persónuverndarlaga rúmt eða þröngt. Meiri hlutinn bendir á að fréttamennska sé hugtak sem taki breytingum í takti við tíðaranda og tækniframfarir. Því sé vandkvæðum bundið að lögfesta skýringu á hugtakinu og beri að skýra það með hliðsjón af ríkjandi viðhorfum hverju sinni. Varðandi túlkun á undanþágum vegna fréttamennsku bendir meiri hlutinn á niðurlag 153. formálsliðar reglugerðarinnar sem hljóðar svo í íslenskri þýðingu: „Með tilliti til mikilvægis réttarins til tjáningarfrelsis í hverju lýðræðisþjóðfélagi er nauðsynlegt að túlka hugtök vítt í tengslum við það frelsi, s.s. fréttamennsku.“
Almennar reglur um vinnslu (II. kafli).
Í II. kafla frumvarpsins er fjallað um vinnslu persónuupplýsinga. Í 1. mgr. 11. gr. er ranglega vísað í 1. mgr. 10. gr. þar sem ætlunin var að vísa í 9. gr. Leggur meiri hlutinn til leiðréttingu þar að lútandi.
Í 12. gr. frumvarpsins er fjallað um vinnslu upplýsinga um refsiverða háttsemi. Skv. 2. tölul. 2. mgr. mega stjórnvöld ekki miðla slíkum upplýsingum nema miðlunin sé nauðsynleg í þágu lögmætra hagsmuna sem auðsjáanlega vega þyngra en hagsmunir af leynd upplýsinganna. Í kafla greinargerðar frumvarpsins um samráð er tekið fram að fallist hafi verið á athugasemd Samtaka atvinnulífsins o.fl. um að fella brott orðið „auðsjáanlega“ í 2. tölul. 2. mgr. Í umsögn sinni bentu samtökin nefndinni á að þetta hefði gleymst og orðið stæði inni. Nefndin hefur verið upplýst um að texti greinargerðarinnar um þetta atriði hafi misritast og að ætlun ráðuneytisins sé að 2. tölul. 2. mgr. standi óbreyttur og að fyrirmynd þessa orðalags sé sótt til danskrar persónuverndarlöggjafar. Meiri hlutinn fellst á rök ráðuneytisins og telur rétt að gera kröfu um að hagsmunir af miðlun upplýsinga í skilningi ákvæðisins séu auðsjáanlega ríkari en hagsmunir af leynd.
Í umsögn Samtaka fjármálafyrirtækja er greint frá áhyggjum af afleiðingum lögfestingar 11. og 12. gr. frumvarpsins fyrir starfsemi vátryggingafélaga bæði hvað snertir vinnslu þeirra sjálfra á viðkvæmum persónuupplýsingum sem sé nauðsynleg starfsemi þeirra sem og af miðlun upplýsinga frá lögregluyfirvöldum til vátryggingafélaga, svo sem miðlun lögregluskýrslna um tjónsatburði í umferðinni sem geta innihaldið upplýsingar um refsiverða háttsemi. Telja samtökin að með greinunum sé lengra gengið en gerð er krafa um samkvæmt reglugerðinni og að þörf sé á breytingum. Meiri hlutinn bendir á að samhliða nýrri persónuverndarlöggjöf og upptöku reglugerðarinnar í íslenskan rétt er nauðsynlegt að gera breytingar á ýmsum sérlögum og væntir meiri hlutinn þess að á haustþingi komi fram frumvarp til laga um breytingu á ýmsum lagaákvæðum í þá veru. Telur meiri hlutinn athugasemdirnar sem fram koma í umsögn samtakanna vera þess eðlis að taka beri afstöðu til þeirra við þá vinnu og beinir því til ráðuneytisins að það verði gert.
15. gr. frumvarpsins varðar vinnslu upplýsinga um fjárhagsleg málefni og lánstraust og er ákvæðið samsvarandi 2. mgr. 45. gr. gildandi persónuverndarlaga, nr. 77/2000. Í reglugerðinni er ekki að finna sérákvæði um upplýsingar af þessu tagi og er aðildarríkjum því í sjálfsvald sett hvernig þau haga regluverki um þessar tilteknu upplýsingar svo lengi sem ekki er farið gegn ákvæðum reglugerðarinnar. Skv. 1. mgr. 15. gr. skal vinnsla upplýsinga sem varða fjárhagsmálefni í því skyni að miðla þeim til annarra bundin sérstöku leyfi frá Persónuvernd. Við umfjöllun nefndarinnar hefur ákvæði 15. gr. hlotið hljómgrunn meðal hagsmunaaðila sem telja eðlilegt að starfsemin sem þar er kveðið á um sé háð starfsleyfi. Á það hefur þó verið bent að mikilvægt sé að Persónuvernd hraði útgáfu slíkra starfsleyfa til að tryggja að ekki verði rof í starfsemi sem m.a. gæti torveldað framkvæmd lánshæfismats. Þar til ráðherra hefur nýtt reglugerðarheimildina í 2. mgr. 15. gr. sé hins vegar óvíst á hverju Persónuvernd eigi að byggja útgáfu starfsleyfis. Meiri hlutinn tekur undir þessa ábendingu og hefur verið upplýst um að stofnunin sé meðvituð um málið. Hefur í þessu samhengi verið nefndur til sögunnar möguleiki á að Persónuvernd gefi út bráðabirgðaleyfi fyrir starfsemi samkvæmt ákvæðinu til að tryggja áframhaldandi starfsemi á tímabilinu þar til ný reglugerð tekur gildi. Meiri hlutinn tekur vel í slíkar hugmyndir og hvetur hlutaðeigandi aðila til að leysa málið með þeim hætti.
Meginreglur um gagnsæi upplýsinga, rétt hins skráða til upplýsinga og aðgangs og undantekningar frá honum (17. gr.).
Ákvæði 17. gr. mælir fyrir um meginreglur um gagnsæi upplýsinga, rétt hins skráða til upplýsinga og aðgangs og undantekningar frá þeim rétti. Í reglugerðinni er að finna ítarlegri ákvæði þessu að lútandi.
Umboðsmaður Alþingis gerði ýmsar athugasemdir við frumvarpið og benti hann til að mynda á að einungis tilteknir stafliðir 23. gr. reglugerðarinnar eru teknir upp í 4. mgr. 17. gr. frumvarpsins. G- og h-liðum hafi verið sleppt. Þannig sé hvorki gert ráð fyrir þeirri undantekningu sem fjallar um ráðstafanir vegna siðareglna eða undantekningu vegna eftirlits o.fl. Meiri hlutinn áréttar að ekki var talin ástæða til að nýta að fullu allar heimildir reglugerðarinnar til að takmarka réttindi einstaklinga en löggjafinn getur sett ákvæði um þessi atriði í sérlög þar sem þörf er talin á.
Fram komu sjónarmið þess efnis að of skammt væri gengið hvað varðar nýtingu heimildar 23. gr. reglugerðarinnar til að setja reglur um takmarkanir á réttindum hinna skráðu og var þá vísað til þess að litið hefði verið fram hjá augljósum rétti fyrirtækja þegar kemur að slíkum takmörkunum. Lagt sé til með frumvarpinu að svigrúm til takmörkunar á réttindum einstaklinga sé nýtt þegar kemur að hinu opinbera með vísan til þeirra takmarkana sem upplýsingalög gera ráð fyrir en í tilviki fyrirtækja sé hins vegar lagt til að hagsmunir þeirra geti einungis takmarkað réttindi einstaklinga ef þeir eru „brýnir“ eða teljist til „grundvallarréttinda“. Það gangi mun skemur en takmarkanir upplýsingalaga þar sem horft sé til einkahagsmuna einstaklinga og/eða fyrirtækja og almannahagsmuna en engin rök standi til þess að gera svo ríkan greinarmun á opinberum aðilum og einkaaðilum þegar komi að aðgangsrétti einstaklinga og eftir atvikum takmörkunum á honum heldur ættu þvert á móti rök frekar að standa til þess að takmarkanir sem gildi um opinbera aðila væru þrengri en gildi um einkaaðila. Lagt var til að orðið „brýnir“ yrði fellt brott úr 3. mgr. og í stað „grundvallarréttinda“ í 4. mgr. kæmi „einkahagsmuna“. Meiri hlutinn bendir á að undantekningar frá meginreglunni um rétt hins skráða til upplýsinga og aðgangs skuli túlkaðar þröngt. Þar með sé rétt að til staðar þurfi að vera brýnir hagsmunir til að sá réttur verði takmarkaður. Gagnsæi, fræðsla og aðgangur að persónuupplýsingum sé grundvallarforsenda þess að einstaklingar geti neytt þeirra réttinda sem þeim eru veitt í reglugerðinni. Allar takmarkanir á þeim rétti þarf því að nálgast af varfærni. Með sama hætti telur meiri hlutinn rétt að í lagatextanum sé vísað til grundvallarréttinda en ekki einkahagsmuna en það orðalag vísar til þess að eingöngu megi skerða réttindi hins skráða með vísan til þess að til staðar séu stjórnarskrárvarin réttindi annarra sem skuli vega þyngra í hverju tilviki.
Fram kom að vinnugögn væru undanþegin réttinum til aðgangs í nágrannaríkjum okkar en í fyrirliggjandi frumvarpi væri einungis lagt til að slík gögn gætu takmarkað réttindi einstaklinga þegar þau væru nauðsynleg til að verjast einkaréttarlegum kröfum. Það sé allt of þröng undantekning en nauðsynlegt sé að fyrirtæki geti unnið tilteknar persónuupplýsingar á undirbúningsstigi, t.d. vegna ákvarðana í einstökum málum, enda augljósir hagsmunir fyrirtækja af því að veita ekki aðgang að undirbúningsgögnum þegar enn er unnið með þau. Ekki verði séð að hagsmunir einstaklinga séu fyrir borð bornir í slíkum tilvikum enda muni þeir eiga rétt á aðgangi að persónuupplýsingum þegar niðurstaða í málum er þá varða liggur fyrir. Meiri hlutinn tekur undir framangreind sjónarmið og telur rétt að gerðar séu sömu kröfur til opinberra stofnana og einkaaðila hvað þetta varðar, þ.e. sömu takmarkanir varðandi aðgang að vinnugögnum gildi hjá opinberum aðilum og einkafyrirtækjum. Leggur meiri hlutinn því til breytingu á 17. gr. frumvarpsins, um undanþágu vinnugagna einkaaðila, sem tekur mið af 3. mgr. 19. gr. gildandi laga og orðalagi e-liðar 16. gr. norsku persónuverndarlaganna um undantekningar frá 13., 14. og 15. gr. reglugerðarinnar. Tilvik sem hér gætu fallið undir væru t.d. ýmis innanhússamskipti milli starfsmanna sem hafa enga þýðingu fyrir hinn skráða til að gæta réttinda sinna. Sama á við um persónuupplýsingar í skjölum sem varða undirbúning ákvarðanatöku og hætta er á að málsmeðferðin skaðist ef hinn skráði fær upplýsingarnar. Dæmi um hið síðarnefnda gæti verið í máli vegna yfirvofandi uppsagnar starfsmanns, hvers kyns málshöfðunar eða ef afhendingin skerðir réttindi annarra. Meiri hlutinn áréttar að um undanþáguheimild frá meginreglu laganna um rétt einstaklings til upplýsinga og aðgangs að persónuupplýsingum sínum er að ræða sem ber að skýra þröngt í samræmi við meginreglur um túlkun lagaákvæða.
Bent var á að takmörkunarheimildin sem innleidd væri í 17. gr. frumvarpsins næði aðeins til 13.–15. gr. reglugerðarinnar, þ.e. til 1. og 2. þáttar III. kafla reglugerðarinnar en ekki 3. og 4. þáttar líkt og reglugerðin kveður jafnframt á um að takmarka megi. Það geti hins vegar verið nauðsynlegt með tilliti til net- og upplýsingaöryggis að víkja frá þeim réttindum einstaklinga sem er að finna í 3. og 4. þætti III. kafla reglugerðarinnar, líkt og rétti til takmörkunar á vinnslu, tilkynningarskyldu ábyrgðaraðila varðandi leiðréttingu persónuupplýsinga og andmælarétti hins skráða. Skortur á takmörkunarheimildum að þessu leyti geti haft mikil áhrif á starfsemi netöryggissveitar Póst- og fjarskiptastofnunar við vernd upplýsinga, þar á meðal persónuupplýsinga, í net- og upplýsingakerfum mikilvægra innviða hér á landi. Nauðsynlegt sé að kveðið sé á um slíka takmörkun í lögum þar sem heimild 23. gr. til takmarkana sé bundin við að slíkt sé ákveðið með löggjafarráðstöfun. Meiri hlutinn áréttar að skv. 6. mgr. 4. gr. gilda lögin og reglugerðin ekki um vinnslu persónuupplýsinga af hálfu ríkisins í tengslum við rannsókn á refsiverðum brotum eða til að koma í veg fyrir ógnir við almannaöryggi. Í nýjum lögum sem nú er unnið að vegna innleiðingar á NIS-tilskipun, tilskipun Evrópuþingsins og ráðsins (ESB) 2016/1148, verði jafnframt hægt að veita Póst- og fjarskiptastofnun allar nauðsynlegar heimildir sem rúmist innan 23. gr. reglugerðarinnar og henni eru nauðsynlegar til að sinna sínu hlutverki. Þá verði lögin um NIS-tilskipunina sérlög sem gangi framar almennum lögum um persónuvernd. Bent er á að sérstaklega er fjallað um netöryggissveitir í formálsorðum reglugerðarinnar og að vinnsla persónuupplýsinga í tengslum við netöryggi teljist til lögmætra hagsmuna fyrirtækja. Að lokum fellur netöryggi undir þjóðaröryggi, landvarnir og almannaöryggi sem getið er í 17. gr. frumvarpsins og 23. gr. reglugerðarinnar sem lögmætar ástæður takmörkunar á rétti einstaklings til upplýsinga og aðgangs.
Verndarráðstafanir og undanþágur varðandi vinnslu vegna rannsókna, tölfræði eða skjalavistunar í þágu almannahagsmuna (18. gr.).
Ákvæði 18. gr. sem byggist á 89. gr. reglugerðarinnar hefur að geyma sérreglur um vinnslu vegna rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi og vegna skjalavistunar í þágu almannahagsmuna, þar á meðal undantekningar frá ákveðnum ákvæðum þegar vinnsla í slíkum tilgangi á sér stað. Meiri hlutinn vekur athygli á að í 8. línu umfjöllunar greinargerðar um ákvæðið er ranglega vísað til 5. tölul. 1. mgr. 8. gr. frumvarpsins en rétt tilvísun er til 2. tölul. 1. mgr. 8. gr. frumvarpsins.
Fram komu ábendingar þess efnis að rétt væri að draga úr þeim upplýsingum sem heimilt sé að afhenda opinberu skjalasafni til skjalavistunar í þágu almannahagsmuna en viðkvæmar persónuupplýsingar ættu ekkert erindi inn á slík söfn, t.d. upplýsingar í sjúkraskrá, nemendaskrár skóla o.fl. Meiri hlutinn tekur undir að það er verðugt umhugsunarefni hvert skjalasöfnum er ætlað að stefna í framtíðinni, hvaða gögn sé rétt að geyma og í hvaða tilgangi. Hins vegar sé það ekki viðfangsefni þessa frumvarps heldur ber að kveða á um þessi atriði í sérlögum.
Þá voru gerðar athugasemdir við orðalag 2. mgr. ákvæðisins um undanþágur er lúta að því þegar vinnsla persónuupplýsinga er aðeins í þágu vísinda eða sagnfræði eða í tölfræðilegum tilgangi. Bent var á að undanþágur 2. mgr. væru nauðsynlegar íslenskri hagskýrslugerð en með framsetningu frumvarpsins væri þörf á að lesa samhliða skýringartexta greinargerðarinnar til að ljóst væri við hvað væri átt og var kallað eftir því að ákvæðið yrði afdráttarlausara líkt og væri í dönskum lögum. Betra væri að fram kæmi í texta lagaákvæðisins að undanþága væri gerð vegna opinberrar hagskýrslugerðar. Meiri hlutinn telur ljóst af texta frumvarpsins að hagskýrslugerð fellur undir ákvæðið þar sem vísað er til gagna sem unnin eru í tölfræðilegum tilgangi. Í greinargerð er svo tekið dæmi um vinnslu upplýsinga á grundvelli laga um Hagstofu Íslands til frekari skýringar.
Réttur til leiðréttingar, eyðingar, flutnings eigin gagna o.fl. (20. gr.).
Ákvæði 20. gr. endurspeglar þau réttindi sem kveðið er á um í 16.–20. gr. reglugerðarinnar og er samkvæmt umfjöllun í greinargerð ekki ætlað að víkja frá þeim reglum eða setja fram frekari útfærslur.
Fyrir nefndinni komu fram sjónarmið þess efnis að nauðsynlegt væri að rétturinn til að gleymast yrði skýrður nánar en þess misskilnings hafi gætt innan stjórnsýslunnar að með nýjum persónuverndarlögum verði afhendingarskyldum aðilum samkvæmt lögum um opinber skjalasöfn, nr. 77/2014, gert heimilt eða skylt að eyða persónuupplýsingum sem myndast í starfseminni og einstaklingar muni hafa rétt á því að óska eftir því að upplýsingum um þá sem er að finna í skjalakerfum afhendingarskyldra aðila verði eytt ef þeir óski eftir því. Í lögum um opinber skjalasöfn sé skýrt kveðið á um að afhendingarskyldir aðilar megi ekki eyða neinu skjali í skjalasöfnum sínum nema með heimild þjóðskjalavarðar, reglum sem settar eru samkvæmt lögunum eða sérstöku lagaákvæði. Þannig sé munur á stöðu opinberra aðila annars vegar og einkaaðila hins vegar með tilliti til réttar skráðra einstaklinga til að gleymast. Þá var ítrekað að mikilvægt væri að huga að gildi frjálsrar fjölmiðlunar í þessu sambandi og bent á að mikilvægt væri að rétturinn til að gleymast, þótt mikilvægur væri, leiddi ekki til ritskoðunar og óeðlilegrar íhlutunar í tjáningarfrelsi.
Meiri hlutinn bendir á að rétturinn til að gleymast er ekki algildur, frá honum eru allnokkrar undantekningar sem mælt er fyrir um í 3. mgr. 17. gr. reglugerðarinnar og koma jafnframt fram í umfjöllun greinargerðar um 20. gr. Skráning og vinnsla gagna samkvæmt lögum um opinber skjalasöfn mundi falla þar undir. Fyrir hendi er lagaskylda um geymslu gagna og munu ný lög um persónuvernd ekki breyta þeirri skyldu enda eru lögin um opinber skjalasöfn sérlög að þessu leyti og ganga því framar almennum reglum persónuverndarlaga.
Leyfisskyld vinnsla, forsendur leyfisveitingar o.fl. og skilmálar Persónuverndar um vinnslu persónuupplýsinga (31.–33. gr.).
Í 31.–33. gr. frumvarpsins er fjallað um leyfisskylda vinnslu, forsendur leyfisveitingar og skilmála Persónuverndar um vinnslu persónuupplýsinga. Í umsögn Samtaka atvinnulífsins o.fl. er lagt til að greinarnar falli brott þar sem um sé að ræða íþyngjandi ákvæði sem ekki sé gerð krafa um samkvæmt reglugerðinni. Sérstaklega er gagnrýnt að ákvæðin séu afar matskennd og því megi ætla að margir muni sækja um leyfi án þess að nauðsyn beri til sem sé til þess fallið að valda óþarfaálagi á Persónuvernd sem komið geti niður á málshraða og skilvirkni stofnunarinnar.
Ákvæðin eru efnislega samhljóða 33.–35. gr. gildandi persónuverndarlaga, nr. 77/2000. Í athugasemdum við 31. gr. í greinargerð frumvarpsins kemur fram að ákvæðið sé undantekning frá þeirri meginreglu reglugerðarinnar að vinnsla persónuupplýsinga sé ekki leyfisskyld. Í 2. mgr. greinarinnar, sem er nýmæli, er Persónuvernd veitt heimild til setningar reglna um leyfisskylduna. Meiri hlutinn hefur skilning á sjónarmiðum um að ákvæðið sé of opið og telur þörf á að kveða skýrar á um umfang og takmörk heimildar Persónuverndar til að ákveða að starfsemi skuli vera leyfisskyld. Hvetur meiri hlutinn til að heimild stofnunarinnar til reglusetningar um leyfisskylduna verði nýtt til að afmarka nánar þau tilvik sem heyra undir ákvæðið til að draga úr þeirri óvissu sem hefur sætt gagnrýni. Við reglusetninguna verði haft til hliðsjónar að meginregla reglugerðarinnar er að starfsemi sæti ekki leyfisskyldu.
Þagnarskylda persónuverndarfulltrúa (36. gr.).
Í 36. gr. er kveðið á um þagnarskyldu persónuverndarfulltrúa. Fyrirmynd orðalags ákvæðisins er sótt í 18. gr. laga um réttindi og skyldur starfsmanna ríkisins, nr. 70/1996, en fyrirmæli um þagnarskylduna er að finna í 5. mgr. 38. gr. reglugerðarinnar. Fram hefur komið gagnrýni um að ákvæðið sé of opið og matskennt og erfitt fyrir nýja persónuverndarfulltrúa, sem eðli málsins samkvæmt hafi ekki reynslu af hlutverkinu, að átta sig á umfangi og mörkum þagnarskyldu sinnar. Hefur í því samhengi verið bent á sambærilegt ákvæði í frumvarpi til nýrra persónuverndarlaga í Noregi þar sem nákvæmlega er útlistað um hvaða atriði persónuverndarfulltrúa beri að gæta þagmælsku. Meiri hlutinn telur ekki þörf á að útlista nákvæmlega í lagaákvæðinu hvernig þagnarskyldu persónuverndarfulltrúa er háttað en telur hins vegar fulla þörf á að Persónuvernd leggi áherslu á fræðslu- og leiðbeiningarhlutverk sitt þegar kemur að starfi persónuverndarfulltrúa. Það mætti t.d. gera með útgáfu leiðbeiningabæklings og með því að bjóða upp á námskeið þar sem fram kæmu upplýsingar um verkefni og skyldur persónuverndarfulltrúa, þar á meðal um þagnarskyldu.
Vottun og vottunaraðilar (37. gr.).
Meiri hlutinn leggur til breytingu á 37. gr. frumvarpsins til að gæta samræmis við rithátt stofnunarinnar sem er með greini, þ.e. Einkaleyfastofan.
Skipulag Persónuverndar og stjórnsýsla (38. gr.).
Nefndin ræddi sérstaklega skipan stjórnar skv. 2. mgr. 38. gr. frumvarpsins og hvort fleiri aðilar ættu að koma að tilnefningu stjórnarmanna í stjórn Persónuverndar, en með ákvæðinu eru lagðar til ákveðnar breytingar á því hverjir tilnefna stjórnarmenn. Með ákvæðinu á að tryggja að ákveðin þekking sé til staðar í stjórninni, t.d. þekking á netöryggis- og fjarskiptamálum, heilbrigðiskerfinu og sviði tölvu- og tæknimála. Meiri hlutinn tekur undir að tryggja verði ákveðna breidd og að stjórn samanstandi af fólki með sérfræðiþekkingu í þeim málaflokkum sem reynir mest á. Að mati meiri hlutans má endurskoða hvort tilnefning allra stjórnarmanna eigi að vera út frá ákveðnum hæfnisviðmiðum en mikilvægt er að horfa til heildarsamsetningar stjórnarinnar og taka þannig tillit til víðtækra sjónarmiða. Meiri hlutinn leggur þó ekki til breytingu þess efnis að þessu sinni.
Gjaldtaka (40. gr.).
Samkvæmt 40. gr. frumvarpsins getur ráðherra sett gjaldskrá sem mælir fyrir um gjald sem ábyrgðaraðili skal greiða Persónuvernd vegna þess kostnaðar sem hlýst af eftirliti með því að hann fullnægi skilyrðum laganna o.fl. Í gjaldskránni er einnig heimilt að kveða á um að ábyrgðaraðili greiði kostnað við úttekt á starfsemi við undirbúning útgáfu vinnsluleyfis og annarrar afgreiðslu. Greinin er efnislega samhljóða 4. mgr. 37. gr. gildandi persónuverndarlaga, nr. 70/2002, að öðru leyti en því að í frumvarpinu er kveðið á um að ráðherra ákveði gjaldskrána.
Meiri hlutinn telur að almennt ætti að forðast gjaldtöku fyrir opinbert eftirlit á borð við það sem Persónuvernd sinnir samkvæmt lögum. Þrátt fyrir það telur meiri hlutinn rétt að heimild til gjaldtöku sé fyrir hendi en leggur áherslu á að henni verði beitt af meðalhófi og ekki með almennum hætti. Við setningu gjaldskrár hvetur meiri hlutinn til þess að tekið verði mið af því að gjaldtöku sé ekki ætlað að vera tekjustofn stofnunarinnar heldur eigi að gera henni kleift að ráðast í nauðsynlegar aðgerðir, t.d. ef upp koma meiri háttar tilvik, án þess að raska rekstrargrundvelli sínum.
Valdheimildir Persónuverndar við eftirlitsstörf (41. gr.).
Valdheimildir Persónuverndar án dómsúrskurðar.
Persónuvernd leggur til í umsögn sinni að 1. mgr. 41. gr. verði breytt þannig að Persónuvernd fari með valdheimildir skv. 1. mgr. 58. gr. reglugerðarinnar við eftirlitsstörf sín, án dómsúrskurðar. Bendir stofnunin á að samkvæmt gildandi lögum um persónuvernd og meðferð persónuupplýsinga hafi Persónuvernd ákveðnar eftirlitsheimildir og þurfi ekki dómsúrskurð þar um. Til þess að tryggja skýrleika og koma í veg fyrir óþarfa málaflækjur telur Persónuvernd þörf á að taka skýrt fram að stofnunin hafi þær eftirlitsheimildir sem þar eru taldar upp og að hún þurfi ekki sérstaklega að óska eftir dómsúrskurði til að grípa til þeirra aðgerða.
Meiri hlutinn bendir á að réttarríkið hafi gríðarlega hagsmuni af friðhelgi einkaréttar. Í 2. mgr. 71. gr. stjórnarskrár lýðveldisins Íslands, nr. 33/1944, er kveðið á um að ekki sé heimilt að leita í húsakynnum manns nema samkvæmt dómsúrskurði eða sérstakri lagaheimild. Meiri hlutinn telur ákvæði 41. gr. uppfylla áskilnað stjórnarskrárinnar sem og 8. gr. mannréttindasáttmála Evrópu og telur því ekki þörf á að breyta ákvæðinu til samræmis við umsögn Persónuverndar.
Endurskoðun á vottunum.
Í 3. tölul. 1. mgr. 41. gr. frumvarpsins er Persónuvernd veitt heimild til að láta fara fram endurskoðun á vottunum sem eru gefnar út samkvæmt ákvæði 7. mgr. 42. gr. reglugerðarinnar.
Í sameiginlegri umsögn Samtaka atvinnulífsins, Samorku, Samtaka ferðaþjónustunnar, Samtaka fjármálafyrirtækja, Samtaka fyrirtækja í sjávarútvegi, Samtaka iðnaðarins, SVÞ – Samtökum verslunar og þjónustu og Viðskiptaráðs Íslands er lagt til að 3. tölul. verði felldur brott. Telja samtökin ákvæði frumvarpsins ganga mun lengra en ákvæði reglugerðarinnar. Meiri hlutinn bendir á að skaðinn af ólögmætri vinnslu persónuupplýsinga kunni að vera óafturkræfur og kalla á skjót viðbrögð. Ákvæðið hafi verið í lögum um persónuvernd, nr. 77/2000, frá upphafi og hafi örsjaldan verið beitt. Í þeim fáu tilvikum sem Persónuvernd hafi notið aðstoðar lögreglu hafi verið um að ræða mál mjög viðkvæms eðlis eða að mat á aðstæðum hafi bent til að starfsmönnum Persónuverndar hafi verið hætta búin við inngöngu á starfsstöð. Það er því mat meiri hlutans að aðstoð lögreglu sé eðlileg útfærsla á valdheimildum Persónuverndar en skylt sé samkvæmt reglugerðinni að tryggja Persónuvernd aðgang að húsnæði ábyrgðar- og vinnsluaðila. Meiri hlutinn telur því ekki þörf á að fella 3. tölul. 1. mgr. 41. gr. brott.
Aðgangur að húsnæði.
Nefndin ræddi vísun til „húsnæðis“ í 6. tölul. 1. mgr. 41. gr. frumvarpsins. Telur meiri hlutinn réttara að vísa frekar til starfsstöðvar til að taka af allan vafa um að ekki sé verið að vísa til einkaheimila og leggur til breytingu þar að lútandi.
Þagnarskylda (44. gr.).
Í 44. gr. frumvarpsins er fjallað um þagnarskyldu Persónuverndar. Samtök atvinnulífsins, Samorka, Samtök ferðaþjónustunnar, Samtök fjármálafyrirtækja, Samtök fyrirtækja í sjávarútvegi, Samtök iðnaðarins, SVÞ – Samtök verslunar og þjónustu og Viðskiptaráð Íslands vilja herða á þagnarskyldu Persónuverndar og benda á að ákvæði 44. gr. sé ekki jafnítarlegt og t.d. ákvæði laga um Hagstofu Íslands og opinbera hagskýrslugerð, nr. 163/2007. Í framangreindri umsögn kemur fram að þagnarskylduákvæði um Persónuvernd þurfi að vera strangt á þeim grundvelli að starfsmenn stofnunarinnar vinni með viðkvæmar persónuupplýsingar. Meiri hlutinn bendir á að best fari á því að ákvæði um þagnarskyldu séu almenn nema sérstakar ástæður kalli á annað. Þá telur meiri hlutinn ekki unnt að leggja starfsemi Persónuverndar að jöfnu við starfsemi Hagstofunnar sé horft til umfangs og eðlis þeirra persónuupplýsinga sem stofnanirnar vinna með. Hagstofan vinni með fjölda stórra gagnasafna á meðan Persónuvernd viðhafi enga slíka vinnslu. Meiri hlutinn tekur því ekki undir athugasemdir umsagnaraðila um að þörf sé á að herða á ákvæði um þagnarskyldu Persónuverndar.
Dagsektir (45. gr.).
Í 45. gr. frumvarpsins er lagt til að Persónuvernd geti lagt á dagsektir áður en hún ákveður stjórnvaldssekt, ef ekki er farið að fyrirmælum hennar um tiltekin atriði, þ.e. takmörkun eða bann á vinnslu, leiðréttingu eða eyðingu persónuupplýsinga og tímabundna stöðvun gagnaflæðis til þriðja lands eða alþjóðastofnunar. Ef ákvörðun um dagsektir er skotið til dómstóla byrja þær ekki að falla á fyrr en dómur er endanlegur. Dagsektir geta beinst að lögaðilum sem og einstaklingum. Greinin er efnislega hliðstæð ákvæði gildandi laga um persónuvernd. Þá er sú breyting samhliða lögð til að refsiábyrgð lögaðila verði aflögð frá gildandi lögum en stjórnvaldssektir komi í hennar stað.
Fyrir nefndinni komu fram sjónarmið um að í ljósi nýrra valdheimilda sem lagðar eru til í frumvarpinu séu engin rök fyrir því að hafa jafnframt ákvæði um dagsektir í frumvarpinu, hvað þá að leggja til tvöföldun þeirra. Þá sé enga slíka heimild til dagsekta að finna í nýjum persónuverndarlögum í Danmörku og Noregi. Meiri hlutinn tekur í því sambandi fram að dagsektir geta verið áhrifaríkt úrræði auk þess sem það er vægara úrræði en t.d. að stöðva starfsemi en bendir þó á að ætíð sé nauðsynlegt að gæta meðalhófs við beitingu slíkra úrræða.
Stjórnvaldssektir (46. og 47. gr.).
Í 46. gr. frumvarpsins er nýmæli um heimild stjórnar Persónuverndar til leggja stjórnvaldssektir á hvern þann ábyrgðaraðila eða vinnsluaðila sem brýtur gegn tilteknum ákvæðum greinarinnar. Í 47. gr. lagt til að kveðið verði á um atriði sem beita skuli við ákvörðun um hvort beita skuli stjórnvaldssekt og við ákvörðun fjárhæðar, svo sem að taka tillit til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er, hvort það hafi verið framið af ásetningi eða gáleysi og hvort dregið hafi verið úr tjóni með einhverjum aðgerðum. Samhliða er lagt til að refsiábyrgð lögaðila í gildandi lögum verði aflögð.
Fyrir nefndinni komu fram efasemdir um hvort rétt væri og nauðsynlegt að innleiða reglugerðina með þessum hætti. Bent var á að ákvæði um stjórnvaldssektir eru valkvæð og því stjórnvalda að ákveða og útfæra þau. Þá komu fram ábendingar um að í greinargerð með frumvarpinu sé því ranglega haldið fram að Norðurlöndin hafi valið að nýta heimildir til að leggja sektir á opinbera aðila að fullu. Hið rétta er að fjárhæðir eru mun lægri í Svíþjóð og í Danmörku er ekki lágmarkssekt en tiltekið að skoða skuli í hverju tilviki fjárhagsstöðu og gæta meðalhófs við ákvörðun. Málið er enn í vinnslu í Finnlandi en þar er ekki gert ráð fyrir sektarheimildum á opinbera aðila. Engar sektir verða lagðar á opinbera aðila á Írlandi og í Austurríki.
Bent var á að opinberir aðilar sinna lögbundinni þjónustu, starfa ekki í hagnaðarskyni og því enginn ávinningur hjá þeim af miðlun upplýsinga. Hluti af lögbundinni þjónustu þeirra felur í sér vistun á gögnum og upplýsingum og þeir falla undir upplýsingalög, starfsmannalög og eftirlit umboðsmanns Alþingis. Einnig var bent á að opinberir starfsmenn bera ábyrgð umfram starfsmenn á almennum vinnumarkaði, þ.e. refsiábyrgð og skaðabótaábyrgð. Þeir vinna í umboði almennings og almenningur ber kostnað af brotum. Einnig var bent á mikilvægi þess að hafa í huga að eingöngu þarf að sýna fram á brot á reglum en hvorki þarf að sýna fram á ásetning eða gáleysi, né að tjón hafi orðið. Þannig geta brot sem verða án nokkurs saknæms athæfis starfsmanna valdið alvarlegu fjártjóni verði frumvarpið samþykkt óbreytt. Í því sambandi var bent á að ekki væri eðlilegt að sömu reglur giltu t.d. um fámenn sveitarfélög og mjög fjölmenn evrópsk sveitarfélög. Þá séu varnaðaráhrif slíkra sektarákvæða mjög takmörkuð hvort sem opinberir aðilar greiða sektirnar eða ekki. Auk þess hefur slík ákvörðun ekki áhrif á réttindi einstaklinga þar sem þeir eiga rétt á skaðabótum samkvæmt reglum skaðabótaréttar verði þeir fyrir tjóni.
Í rökstuðningi í greinargerð með frumvarpinu er vísað til þess að stjórnvöld vinni með umfangsmikið magn persónuupplýsinga, bæði almennar og viðkvæmar, og að slíkar upplýsingar geti m.a. lotið að félagslegri stöðu, heilsufari, upplýsingum um refsiverðan verknað og kynhneigð einstaklinga. Þá geti vinnslan einnig tekið til viðkvæmra hópa á borð við börn og fatlað fólk. Það sé því mikilvægt að skapa sérstök varnaðaráhrif með því að heimila að leggja stjórnvaldssektir á stjórnvöld þannig að gætt sé jafnræðis milli opinberra aðila og lögaðila þegar kemur að eftirfylgni við persónuverndarlöggjöfina. Meiri hlutinn tekur undir þessi sjónarmið og bendir á að þegar um er að ræða réttindi einstaklinga geti upplýsingarnar verið jafnviðkvæmar fyrir einstaklingana og tjónið jafnmikið hvort sem það er stjórnvald eða einkaaðili sem hefur unnið með þær. Verndarandlagið er persónuvernd og friðhelgi einstaklinga. Í því sambandi skipti þess vegna ekki máli hvort um ávinning geti verið að ræða. Eðlilegt sé að gera sömu kröfur til opinberra aðila og einkaaðila um vinnslu á persónuupplýsingum og sömuleiðis að gæta samræmis við ákvörðun viðurlaga. Með frumvarpinu er lagt til að heimilt verði að leggja á hæstu stjórnvaldssektir sem um getur í lögum. Meiri hlutinn áréttar mikilvægi þess að við beitingu slíkra meiri háttar íþyngjandi ákvæða þurfi stjórnvöld ætíð að gæta meðalhófs. Stjórn Persónuverndar beri, við ákvörðun um hvort beita skuli stjórnvaldssekt og við ákvörðun fjárhæðar, að líta til atriða eins og ásetnings, gáleysis og fleiri atriða sem geta horft til lækkunar, þ.e. til þess hversu alvarlegt brotið er, hver aðdragandinn að brotinu var, hvernig aðili hefur brugðist við og hvort dregið hafi verið úr tjóni með einhverjum aðgerðum. Þá tekur meiri hlutinn fram að gert er ráð fyrir því í frumvarpinu að Persónuvernd nýti vægari úrræði í byrjun, þ.e. sendi tilmæli og leggi á dagsektir. Þannig verði stjórnvaldssekt ekki lögð á nema í alvarlegum tilvikum.
Meiri hlutinn tekur fram að með breytingum sem lagðar eru til á efnislegu gildissviði frumvarpsins í 4. gr. um að störf Alþingis, undirstofnana þess og rannsóknarnefnda Alþingis falli utan þess sé ekki verið að undanþiggja þessar stofnanir reglum um vinnslu persónuupplýsinga að öðru leyti. Meiri hlutinn telur engu síður rétt að taka sérstaklega fram með viðbót við 1. mgr. 46. gr. að sektarheimildir frumvarpsins nái ekki til þessara stofnana, sbr. 4. mgr. 46. gr. og leggur því til að á eftir orðunum „ábyrgðaraðila eða vinnsluaðila“ í 1. mgr. 46. gr. komi: skv. 4. mgr.
Refsingar (48. gr.).
Meiri hlutinn leggur til að ákvæðið verði samþykkt óbreytt. Meiri hlutinn áréttar að ákvæðið á við um stórfelld brot sem framin eru af ásetningi og í hagnaðarskyni með sérstaklega vítaverðum hætti og um er að ræða persónuupplýsingar mikils fjölda skráðra einstaklinga. Það getur því ekki komið til refsingar vegna gáleysisbrota. Ákvæðið endurspeglar jafnframt mikilvægi fræðslu- og leiðbeiningarhlutverks Persónuverndar, þar sem tryggja þarf að þeir einstaklingar sem vinna með persónuupplýsingar séu meðvitaðir um þá miklu ábyrgð sem á þeim hvílir og þau viðurlög sem eru fyrir hendi. Þá telur meiri hlutinn mikilvægt að gildistaka laganna miðist við tiltekna dagsetningu svo að tryggja megi skýrleika refsiheimilda í samræmi við 1. mgr. 69. gr. stjórnarskrárinnar.
Gildistaka (53. gr.).
Samkvæmt gildistökuákvæði frumvarpsins öðlast lögin gildi þegar reglugerð (ESB) 2016/679 hefur verið tekin upp í EES-samninginn og birt í EES-viðbæti við Stjórnartíðindi Evrópusambandsins. Meiri hlutinn telur aftur á móti mikilvægt að skýra gildistökuákvæði laganna svo að það miðist við tiltekna dagsetningu, ekki síst í ljósi hinna íþyngjandi viðurlagaákvæða sem í frumvarpinu felast. Til stendur að taka reglugerðina upp í EES-samninginn á fundi sameiginlegu EES-nefndarinnar 6. júlí nk. Meiri hlutinn telur mikilvægt að lögin taki gildi sem fyrst eftir upptöku gerðarinnar í EES-samninginn og leggur því til að lögin öðlist gildi 15. júlí 2018.
Líkt og fram hefur komið er reglugerðin innleidd að hluta með tilvísunaraðferð. Þá eru ákveðin ákvæði hennar umrituð að hluta eða að öllu leyti. Meiri hlutinn telur nauðsynlegt að auðvelda almennum borgurum og fyrirtækjum eftir fremsta megni að átta sig á gildandi réttarreglum. Meiri hlutinn telur í því samhengi ekki nægjanlegt að íslensk þýðing reglugerðarinnar sé birt í A-deild Stjórnartíðinda og leggur til að reglugerðin í íslenskri þýðingu verði birt sem fylgiskjal með lögunum. Til samræmis leggur meiri hlutinn til breytingu á 2. gr. frumvarpsins.
Vinnsla í atvinnutengdu samhengi (88. gr. reglugerðarinnar).
Nefndin ræddi nokkuð um kröfur vinnuveitenda um að umsækjandi eða starfsmaður framvísi sakavottorði eða taki vímuefnapróf og gildi samþykkis í þeim tilvikum. Fyrir nefndinni komu fram sjónarmið þess efnis að æskilegt hefði verið að nýta heimild 88. gr. reglugerðarinnar sem fjallar um vinnslu í atvinnutengdu samhengi til að setja skýrari reglur þessu að lútandi. Vinnsla í vinnuréttarlegu samhengi hefur verið talin geta grundvallast á samþykki viðkomandi einstaklinga en lengi hefur þó verið bent á að draga megi verulega í efa raunverulegan möguleika starfsfólks í ráðningarsambandi til að gefa sannanlegt og óþvingað samþykki fyrir t.d. lífsýnatöku í tengslum við vímuefnapróf. Almennt hafi synjun starfsmanns á að gangast undir vímuefnapróf leitt til uppsagnar eða fyrirvaralausrar riftunar ráðningarsamnings. Engin sérstök lög gildi í dag um slík vímuefnapróf og sé því óvissa bæði af hálfu vinnuveitenda og starfsfólks um meðferð slíkra mála. Til að mynda sé óljóst hvenær heimilt sé að óska eftir slíkum prófum, hver framkvæmi þau og vinni upplýsingar úr þeim, hvort starfsmanni sé veittur andmælaréttur og tækifæri til þess að koma skýringum á framfæri þegar niðurstaða liggur fyrir o.fl. Bent var á að í Finnlandi var farin sú leið að setja lög um einkalífsvernd á vinnumarkaðnum (s. Lag om integritetsskydd i arbetslivet 759/2004) sem fjalla m.a. um hvenær heimilt sé að óska eftir upplýsingum um lyfjaneyslu umsækjanda um starf eða starfsmanns auk ákvæða um rafræna vöktun.
Meiri hlutinn áréttar að afar mikilvægt er að skýrar reglur séu fyrir hendi um vímuefnaprófanir og sakavottorð, þ.e. hvenær er heimilt að óska eftir þeim, hvernig framkvæmd er háttað o.fl. Ljóst er að ákveðinn aðstöðumunur er milli vinnuveitanda og starfsmanns sem leiðir til þess að samþykki starfsmanns getur almennt ekki talist veitt af fúsum og frjálsum vilja. Beiðni um að undirgangast vímuefnapróf og eiga eftir atvikum hættu á að missa starf sitt er í eðli sínu íþyngjandi fyrir starfsmann og felur í sér ákveðið inngrip í friðhelgi einkalífs hans. Að sama skapi getur í ákveðnum tilvikum verið eðlilegt og skynsamlegt að starfsmaður standist slíkt próf, t.d. ef hann hefur með höndum akstur vélknúinna ökutækja. Í 88. gr. reglugerðarinnar er að finna heimild fyrir aðildarríki til að kveða á um sértækar reglur um vinnslu persónuupplýsinga í atvinnutengdu samhengi í lögum eða kjarasamningum. Fyrir nefndinni komu fram ábendingar þess efnis að slík ákvæði ættu betur heima í sérlöggjöf á sviði vinnuréttar en í persónuverndarlögum. Tekur meiri hlutinn undir það mat og beinir því til ráðuneytisins að fram fari ítarleg skoðun á framangreindum sjónarmiðum með það að markmiði að skýrt verði kveðið á um reglur á þessu sviði, atvinnurekendum og launafólki til hagsbóta.
Breytingar á öðrum lögum (54. gr.).
Í 54. gr. frumvarpsins eru lagðar til tæknilegar breytingar á öðrum lögum. Annars vegar er lagt til breytt heiti laga þar sem vísað er til gildandi laga um persónuvernd og meðferð persónuupplýsinga. Hins vegar er lagt til að ef vísað er til tiltekinna ákvæða gildandi laga verði vísað til sömu efnisreglna nýrra laga eftir því sem við á. Einnig kemur fyrir að fallið sé frá tilvísun til tiltekinna lagaákvæða og vísað í staðinn til laganna í heild.
Í athugasemdum við frumvarpið kemur fram að síðar þurfi að leggja til efnislegar breytingar á ákvæðum sérlaga enda eru í frumvarpinu aðeins lagðar til lágmarksbreytingar sem varða tilvísanir til gildandi laga.
Fyrir nefndinni komu fram áhyggjur af því að ákveðið tómarúm gæti myndast í lögum um starfsemi stofnana ef ekki yrðu gerðar breytingar á sérlögum og óvissa ríkti um heimildir þeirra. Meiri hlutinn áréttar að hlutverk stofnana er áfram skýrt í lögum. Frumvarpi þessu er ætlað að breyta með almennum hætti lögum um persónuvernd en ekki sértækum ákvæðum laga. Fram kom við umfjöllun um málið að endurskoða þarf talsvert af lagabálkum og er um langtímaverkefni að ræða sem meiri hlutinn telur brýnt að verði flýtt eins og unnt er til að tryggja lagasamræmi og skýrleika. Leggur meiri hlutinn áherslu á að samhliða því verði virkt samtal við atvinnurekendur og brugðist verði við ef annmarkar á lögum koma í ljós.
Meiri hlutinn leggur til lagfæringu á 31. og 38. tölul. 54. gr.
Tveggja stoða kerfið.
Nefndin ræddi hvort sú leið sem farin er í frumvarpinu og lýtur að fullri aðkomu að Evrópska persónuverndarráðinu samræmist tveggja stoða kerfi EES-samningsins. Í því samhengi vísar meiri hlutinn til álits stjórnskipunar- og eftirlitsnefndar sem unnið var í samræmi við 2. gr. reglna um þinglega meðferð EES-mála. Í áliti nefndarinnar kom fram að aðlögunin væri ekki að fullu í samræmi við tveggja stoða kerfi EES-samningsins þar sem Evrópska persónuverndarráðið gæti tekið bindandi ákvörðun gagnvart eftirlitsvaldi innan EFTA-ríkis. Nefndin taldi aftur á móti mikilvægt að með þessari leið hefðu persónuverndarstofnanir EFTA-ríkjanna fulla aðkomu að störfum Evrópska persónuverndarráðsins auk þess sem ákvarðanir beindust að ríkisstofnunum en ekki einstaklingum eða lögaðilum. Niðurstaða stjórnskipunar- og eftirlitsnefndar var sú að það framsal sem fælist í upptöku persónuverndarreglugerðarinnar væri á afmörkuðu og vel skilgreindu sviði og væri ekki verulega íþyngjandi hvorki fyrir íslenska ríkið né íslenska borgara. Meiri hlutinn tekur undir þessi sjónarmið stjórnskipunar- og eftirlitsnefndar.
Eftirfylgni.
Nefndin ræddi sérstaklega málefni Persónuverndar og mikilvægi þess að tryggt væri að stofnunin fylgdi eftir nýrri löggjöf með því að sinna leiðbeiningarskyldu sinni og eftirfylgni. Mikilvægt er að stofnunin veiti góðar upplýsingar og fræðslu og tryggi skýrar leiðbeiningar, m.a. fyrir persónuverndarfulltrúa en jafnframt aðra þá sem til hennar leita. Þá áréttar meiri hlutinn mikilvægi þess að við eftirlit sitt beiti stofnunin valdheimildum og dagsektum varlega en reyni fremur að leiðbeina ábyrgðar- og vinnsluaðilum og auka skilning og þekkingu á lögunum.
Kostnaður.
Fyrir nefndinni kom fram mikil gagnrýni á þann kostnaðarauka sem frumvarpið hefði í för með sér fyrir atvinnulífið, stofnanir og sveitarfélög og að honum væri ekki mætt. Þá var á það bent að Persónuvernd hefði verið tryggt aukið fjármagn á fjárlögum til að sinna auknum og nýjum verkefnum en aðrar stofnanir hefðu ekki fengið slíka aukningu þrátt fyrir að lögin mundu auka skyldur þeirra, álag og kostnað. Meiri hlutinn telur rétt að fjárlaganefnd taki þetta til skoðunar næsta haust en áréttar jafnframt að ekki er um ófyrirséðan kostnað að ræða. Mikilvægt er að löggjöf leggi ekki ósanngjarnar byrðar á atvinnulíf, stofnanir og sveitarfélög að ósekju en hér er um að ræða grundvallarréttindi sem beri að vernda. Þá hefur lengi staðið til að breyta persónuverndarlöggjöf og meginefni frumvarpsins legið fyrir í mörg ár. Ekki verði því séð að um ófyrirséðan kostnað sé að ræða.
Þingleg meðferð.
Fyrir nefndinni kom fram hörð gagnrýni á það hversu seint fyrirliggjandi frumvarp er fram komið. Bent var á að um væri að ræða flókið mál sem hefði í för með sér auknar skyldur og kostnað fyrir atvinnulíf, stofnanir og sveitarfélög. Þá hafi ekki verið haft nægilegt samráð við frumvarpssmíðina. Meiri hlutinn áréttar mikilvægi þess að vandað sé til frumvarpsgerðar og víðtækt samráð viðhaft við undirbúning til að tryggja að mál séu sem best úr garði gerð og sem mest sátt um efni þeirra. Meiri hlutinn tekur undir að frumvarpið er mjög seint fram komið og ákjósanlegt hefði verið að rúmur tími gæfist til rýni og þinglegrar meðferðar svo viðamikils og mikilvægs máls. Meiri hlutinn áréttar þó að hér er um að ræða brýnt mál sem varðar grundvallarréttindi einstaklinga og skylt verður að taka upp í landsrétt. Nauðsynlegt er því að afgreiða málið á yfirstandandi þingi en nýta vel tímann fram að hausti til að rýna betur ákvæði þess, fara yfir önnur lög sem breyta þarf og vinna að fræðsluefni um efni þess.
Annað.
Þá leggur meiri hlutinn til nokkrar leiðréttingar til að tryggja skýrleika og vísanir milli greina.
Að öllu framangreindu virtu leggur meiri hlutinn til að frumvarpið verði samþykkt með breytingum sem lagðar eru til í sérstöku þingskjali.
Birgir Ármannsson var fjarverandi við afgreiðslu málsins en skrifar undir álit þetta samkvæmt heimild í 4. mgr. 18. gr. starfsreglna fastanefnda Alþingis.
Þórhildur Sunna Ævarsdóttir skrifar undir álit þetta með þeim fyrirvara að hún tekur ekki ábyrgð á þeim villum sem kunna að leynast í þessu umfangsmikla og mikilvæga þingmáli vegna þess hve skammur tími hefur gefist til meðferðar þess. Þingmaðurinn telur frumvarpið þó auka rétt einstaklinga til friðhelgi einkalífs og persónuverndar.
Alþingi, 12. júní 2018.
| Páll Magnússon, form., frsm. |
Guðmundur Andri Thorsson. | Steinunn Þóra Árnadóttir. | |
| Andrés Ingi Jónsson. | Birgir Ármannsson. | Jón Steindór Valdimarsson. | |
| Willum Þór Þórsson. | Þórhildur Sunna Ævarsdóttir, með fyrirvara. |
||
