Ferill 555. máls. Aðrar útgáfur af skjalinu: PDF - Microsoft Word.
149. löggjafarþing 2018–2019.
Þingskjal 932 — 555. mál.
Stjórnarfrumvarp.
Frumvarp til laga
um vinnslu persónuupplýsinga í löggæslutilgangi.
Frá dómsmálaráðherra.
I. KAFLI
Markmið, orðskýringar og gildissvið.
1. gr.
Markmið.
2. gr.
Orðskýringar.
1. Persónuupplýsingar: Upplýsingar um persónugreindan eða persónugreinanlegan einstakling („skráðan einstakling“); einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.
2. Vinnsla: Aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.
3. Skrá: Skipulegt safn persónuupplýsinga sem er aðgengilegt samkvæmt tilteknum viðmiðunum, hvort heldur það er miðlægt, dreift eða skipt upp eftir notkun eða staðsetningu.
4. Ábyrgðaraðili: Lögbært yfirvald sem ákvarðar, eitt eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga.
5. Vinnsluaðili: Einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila.
6. Hinn skráði: Persónugreinanlegur einstaklingur sem upplýsingar sem unnið er með fjalla um eða unnt er að rekja til.
7. Samþykki: Óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig.
8. Löggæslutilgangur: Sá tilgangur að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þar með talið að vernda gegn og koma í veg fyrir ógnir við almannaöryggi.
9. Öryggisbrestur við vinnslu persónuupplýsinga: Brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.
10. Alþjóðastofnun: Stofnun og, eftir atvikum, undirstofnanir hennar sem heyra undir þjóðarétt eða annar aðili sem komið er á fót með samningi milli tveggja eða fleiri ríkja eða á grundvelli hans.
11. Lögbært yfirvald: Opinbert yfirvald sem ber ábyrgð á eða er falið það hlutverk að lögum að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Lögbær yfirvöld hér á landi eru eftirfarandi: dómsmálaráðuneyti, ríkislögreglustjóri, lögregluembættin, ríkissaksóknari, héraðssaksóknari, Fangelsismálastofnun, tollstjóri, Landhelgisgæsla Íslands og sýslumaðurinn á Norðurlandi vestra. Dómstólar teljast ekki til lögbærra yfirvalda samkvæmt lögum þessum.
12. Viðtakandi: Einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem fær persónuupplýsingar afhentar, hvort sem hann er þriðji aðili eða ekki. Opinber yfirvöld, sem kunna að fá persónuupplýsingar á grundvelli lögbundins hlutverks þeirra, skulu þó ekki teljast viðtakendur.
13. Gerð persónusniðs: Sjálfvirk vinnsla persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika.
3. gr.
Gildissvið.
Lögin gilda um vinnslu persónuupplýsinga, þ.m.t. vinnslu sem er sjálfvirk að hluta eða í heild, sem eru eða eiga að vera hluti af skrá.
Lög þessi gilda ekki um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í þágu öryggis- og varnarmála.
Lög um persónuvernd og vinnslu persónuupplýsinga gilda um vinnslu lögbærra yfirvalda á persónuupplýsingum í öðrum tilgangi, eftir því sem við á.
II. KAFLI
Almennar reglur um vinnslu.
4. gr.
Meginreglur um vinnslu persónuupplýsinga.
a. að þær séu unnar með lögmætum og sanngjörnum hætti. Í því felst að vinnslan verður að eiga sér stoð í lögum og vera lögbæru yfirvaldi nauðsynleg vegna verkefna í löggæslutilgangi;
b. að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi;
c. að þær séu nægilegar, viðeigandi og ekki langt umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar;
d. að þær séu áreiðanlegar og uppfærðar eftir þörfum. Persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar;
e. að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu;
f. að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt.
Frekari vinnsla sama eða annars ábyrgðaraðila á persónuupplýsingum í löggæslutilgangi, öðrum en þeim sem leiddi til söfnunar upplýsinganna, er því aðeins heimil að hún eigi sér stoð í lögum og sé ekki umfram það sem nauðsynlegt er miðað við síðari tilgang vinnslunnar.
Vinnsla af hálfu sama eða annars ábyrgðaraðila á persónuupplýsingum í löggæslutilgangi getur m.a. falið í sér skjalavistun í þágu almannahagsmuna, notkunar á sviði vísinda, tölfræði eða sagnfræði, að því gefnu að viðeigandi verndarráðstafanir séu gerðar til að tryggja réttindi hins skráða.
Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt skilyrði 1., 2. og 3. mgr. og skal geta sýnt fram á það.
5. gr.
Staða hins skráða og tegund upplýsinga.
Eftir því sem unnt er skal aðgreina persónuupplýsingar byggðar á staðreyndum frá matskenndum upplýsingum.
6. gr.
Viðkvæmar persónuupplýsingar og notkun persónusniða.
a. að sérstök heimild standi til hennar í öðrum lögum;
b. að hún sé til þess fallin að vernda brýna hagsmuni hins skráða eða annars einstaklings;
c. að hún varði upplýsingar sem hinn skráði hefur sjálfur gert opinberar.
Lögbærum yfirvöldum er heimilt að vinna persónuupplýsingar með gerð persónusniða í samræmi við ákvæði laga þessara og annarra laga, eftir því sem við á. Lögbærum yfirvöldum er þó óheimilt að taka ákvörðun sem byggist einungis á sjálfvirkri gagnavinnslu, þ.m.t. gerð persónusniðs, og hefur skaðleg réttaráhrif eða önnur veruleg áhrif á skráðan einstakling, nema samkvæmt sérstakri heimild í lögum.
Gerð persónusniðs sem leiðir til mismununar gegn einstaklingum á grundvelli viðkvæmra persónuupplýsinga er óheimil.
III. KAFLI
Skráning og miðlun persónuupplýsinga.
7. gr.
Skrár í löggæslutilgangi.
Lögbær yfirvöld skulu upplýsa Persónuvernd um þær skrár sem þau halda. Í tilkynningu til Persónuverndar skulu koma fram upplýsingar um ábyrgðaraðila, eðli og tilgang skrár, hvaða upplýsingar er þar að finna, hverjir hafa aðgang að henni eða hlutum hennar og til hverra upplýsingum úr skrá er miðlað. Séu gerðar breytingar á skrá að því er varðar framangreind atriði skal upplýsa Persónuvernd um þær.
Ríkislögreglustjóri heldur skrár lögreglu samkvæmt ákvæðum lögreglulaga. Þá getur ríkislögreglustjóri veitt einstökum lögreglustjórum heimild til að halda þær skrár sem þeir telja þörf á í löggæslutilgangi og annast jafnframt tilkynningarskyldu skv. 2. mgr. fyrir þeirra hönd.
Um miðlun upplýsinga úr þeim skrám sem lögbær yfirvöld halda fer eftir ákvæðum þessa kafla og ákvæðum annarra laga, eftir því sem við á.
8. gr.
Miðlun upplýsinga í löggæslutilgangi.
Aðeins má miðla persónuupplýsingum til annarra opinberra aðila eða einkaaðila í löggæslutilgangi þegar brýna nauðsyn ber til og miðlunin varðar hagsmuni sem bersýnilega eru ríkari en réttur hins skráða til verndar.
9. gr.
Miðlun upplýsinga til EES-ríkja.
10. gr.
Miðlun upplýsinga til alþjóðastofnana og þriðja ríkis.
a. framkvæmdastjórn Evrópusambandsins hefur tekið ákvörðun um að móttökuríki veiti persónuupplýsingum fullnægjandi vernd,
b. miðlunin grundvallast á alþjóða- eða milliríkjasamningi sem veitir viðunandi verndarráðstafanir um vernd persónuupplýsinga, eða
c. ábyrgðaraðili hefur metið það sem svo að miðlunin uppfylli kröfur um viðunandi verndarráðstafanir.
Ábyrgðaraðili skal tilkynna Persónuvernd um þá flokka miðlunar sem grundvallast á c-lið 1. mgr. Jafnframt, þegar miðlun fer fram á grundvelli c-liðar 1. mgr., skal hún skráð og skal skráningin vera aðgengileg Persónuvernd að fenginni beiðni þar um, þ.m.t. dagsetning og tímasetning miðlunarinnar, upplýsingar um lögbæra yfirvaldið sem móttekur upplýsingarnar, rökstuðning fyrir miðluninni og persónuupplýsingarnar sem miðlað var.
Ef ekki liggur fyrir ákvörðun um að vernd sé fullnægjandi skv. a-lið 1. mgr. eða ekki hafa verið gerðar viðeigandi verndarráðstafanir skv. b- og c-lið 1. mgr. skal miðlun persónuupplýsinga aðeins fara fram að því marki sem hún er nauðsynleg:
a. til að vernda brýna hagsmuni hins skráða eða annars einstaklings,
b. til að gæta lögvarinna hagsmuna hins skráða, sem sérstaklega er kveðið á um í lögum,
c. til að koma í veg fyrir alvarlega og yfirvofandi ógn gagnvart almannaöryggi hér á landi eða erlendis,
d. vegna einstakra tilvika í löggæslutilgangi þegar ljóst er að hagsmunir og réttindi hins skráða til verndar skulu víkja fyrir ríkari almannahagsmunum, eða
e. vegna einstakra tilvika til að unnt sé að stofna, nýta eða verja réttarkröfur í tengslum við tiltekið verkefni í löggæslutilgangi og ljóst er að hagsmunir og réttindi hins skráða til verndar skulu víkja fyrir ríkari almannahagsmunum.
Þegar miðlun fer fram á grundvelli 3. mgr. skal hún skráð og skal skráningin vera aðgengileg Persónuvernd að fenginni beiðni þar um, þ.m.t. dagsetning og tímasetning miðlunarinnar, upplýsingar um lögbæra yfirvaldið sem móttekur upplýsingarnar, rökstuðning fyrir miðluninni og persónuupplýsingarnar sem miðlað var.
Í einstökum tilvikum er lögbærum yfirvöldum heimilt að miðla persónuupplýsingum beint til viðtakanda utan EES-ríkis sem ekki er lögbært yfirvald, að því gefnu að miðlunin samræmist að öðru leyti ákvæðum laga þessara og að uppfylltum öllum eftirfarandi skilyrðum:
a. miðlunin er nauðsynleg í löggæslutilgangi,
b. lögbæra yfirvaldið hefur ákvarðað að hagsmunir og réttur hins skráða til verndar skuli víkja fyrir ríkari almannahagsmunum,
c. ljóst er að miðlun til lögbærs yfirvalds í móttökuríkinu yrði óskilvirk eða ekki möguleg,
d. yfirvaldinu sem telst lögbært í móttökuríkinu er gert viðvart um miðlunina án ótilhlýðilegrar tafar nema því verði ekki komið við, og
e. lögbæra yfirvaldið tilkynnir viðtakanda um þann tiltekna tilgang sem honum er heimilt að vinna upplýsingarnar.
Þegar upplýsingum er miðlað á grundvelli 5. mgr. skal hið lögbæra yfirvald sem annast miðlunina skrásetja hana og tilkynna um hana til Persónuverndar.
Persónuupplýsingar sem eiga uppruna sinn í öðru EES-ríki má aðeins senda til ríkis utan EES eða alþjóðastofnunar að fengnu leyfi þess ríkis sem upplýsingarnar eiga uppruna sinn að rekja til. Að sama skapi skal sjá til þess að þriðja ríki eða alþjóðastofnun afli leyfis hjá viðkomandi lögbæru yfirvaldi fyrir framsendingu persónuupplýsinga til annars ríkis utan EES eða alþjóðastofnunar. Miðlun persónuupplýsinga án leyfis frá upprunaríki er eingöngu heimil ef hún er nauðsynleg til þess að koma í veg fyrir bráða og alvarlega ógn við almannaöryggi viðkomandi ríkis eða vegna annarra ríkra hagsmuna EES-ríkis og ljóst er að ekki er unnt að afla leyfis í tæka tíð. Upplýsa ber um miðlunina án tafar til þess ríkis sem veita hefði átt leyfi fyrir henni.
Ákvæði þessarar greinar hafa ekki áhrif á miðlun persónuupplýsinga til þriðja ríkis eða alþjóðastofnana á grundvelli alþjóðlegra skuldbindinga sem Ísland gekkst undir fyrir 6. maí 2016.
11. gr.
Miðlun upplýsinga í öðrum tilgangi.
Ákvæði laga um persónuvernd og vinnslu persónuupplýsinga gilda að öðru leyti um miðlun persónuupplýsinga skv. 1. og 2. mgr. og vinnslu viðtakanda á upplýsingunum.
12. gr.
Áreiðanleiki upplýsinga sem er miðlað.
Þegar röngum persónuupplýsingum hefur verið miðlað, eða persónuupplýsingum hefur verið miðlað með ólögmætum hætti, skal gera viðtakanda viðvart um það án tafar. Upplýsingarnar skal í kjölfarið leiðrétta, þeim eytt eða vinnsla þeirra takmörkuð í samræmi við 16. gr.
IV. KAFLI
Réttindi hins skráða og takmarkanir á þeim.
13. gr.
Réttur hins skráða til aðgangs að upplýsingum og takmarkanir á aðgangi.
a. heiti og samskiptaupplýsingar ábyrgðaraðila,
b. upplýsingar um persónuverndarfulltrúa og hlutverk hans gagnvart hinum skráða,
c. tilganginn með fyrirhugaðri vinnslu persónuupplýsinga, og
d. rétt hins skráða skv. 2. mgr. og 14., 15. og 16. gr. og rétt hans til að leggja fram kvörtun hjá Persónuvernd í þeim tilvikum er ábyrgðaraðili takmarkar rétt hans að þessu leyti.
Samkvæmt beiðni á hinn skráði rétt til staðfestingar frá ábyrgðaraðila á því hvort unnar séu persónuupplýsingar um hann, og ef svo er, rétt til aðgangs að persónuupplýsingunum, auk upplýsinga um eftirtalin atriði:
a. tilganginn með vinnslunni og lagagrundvöll hennar,
b. hvaða flokki upplýsingarnar tilheyra, sbr. 5. og 6. gr.,
c. viðtakendur upplýsinganna,
d. uppruna þeirra,
e. hversu lengi fyrirhugað er að varðveita þær, ef mögulegt er,
f. rétt hans til að fara fram á það við ábyrgðaraðila að láta leiðrétta, eyða eða takmarka vinnslu persónuupplýsinga, og
g. rétt hans til að leggja fram kvörtun hjá Persónuvernd vegna vinnslunnar.
Synja má beiðni skv. 2. mgr. að hluta eða öllu leyti ef það telst nauðsynlegt í eftirfarandi tilgangi, að teknu tilliti til lögmætra hagsmuna og réttinda hins skráða til verndar:
a. vegna rannsóknar sakamáls, málsmeðferðar eða annarrar starfsemi hjá lögbæru yfirvaldi í löggæslutilgangi,
b. í þágu þjóðar- eða almannaöryggis, eða
c. til að vernda hagsmuni annars en hins skráða.
Ábyrgðaraðila er skylt að tilkynna hinum skráða, skriflega og án ótilhlýðilegrar tafar, um hvers kyns synjun eða takmörkun á aðgangi og ástæður fyrir ákvörðuninni. Tilkynningarskylda þessi fellur niður að hluta eða öllu leyti ef ljóst er að hún samræmist ekki tilgangi synjunarinnar. Ávallt skal þó tilkynna um rétt hins skráða til að leggja fram kvörtun hjá Persónuvernd.
14. gr.
Varðveisla og eyðing persónuupplýsinga.
Hinn skráði á rétt til að fá persónuupplýsingum er varða hann sjálfan eytt án óþarfa tafar ef í ljós kemur að vinnsla þeirra hefur brotið gegn 4. eða 6. gr. eða ábyrgðaraðila er skylt að lögum að eyða upplýsingunum.
15. gr.
Leiðrétting upplýsinga.
16. gr.
Takmörkun vinnslu.
a. ef hinn skráði vefengir að persónuupplýsingar séu réttar og ekki er unnt að ganga úr skugga um hvort svo sé, eða
b. ef nauðsynlegt er að varðveita upplýsingarnar sem sönnunargögn.
17. gr.
Tilkynningarskylda um eyðingu, leiðréttingu eða takmörkun
á vinnslu persónuupplýsinga.
Tilkynningarskylda skv. 1. mgr. fellur niður ef það er nauðsynlegt í einhverjum þeim tilgangi sem greinir í 3. mgr. 13. gr. Ávallt skal þó tilkynna um rétt hins skráða til að leggja fram kvörtun hjá Persónuvernd.
V. KAFLI
Öryggi og eftirlit með persónuupplýsingum.
18. gr.
Ábyrgð ábyrgðaraðila.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslunnar og aðferðir við hana teljast þeir vera sameiginlegir ábyrgðaraðilar og skulu, með samkomulagi sín á milli, ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt lögum þessum séu uppfylltar, nema að því marki sem ábyrgð hvers þeirra um sig er ákveðin með lögum. Í samkomulaginu ber að tilnefna tengilið fyrir skráða einstaklinga.
19. gr.
Innbyggð og sjálfgefin persónuvernd.
Ábyrgðaraðili skal gera viðeigandi ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni.
20. gr.
Almennar reglur um vinnsluaðila.
Vinnsluaðili skal ekki ráða annan vinnsluaðila nema hafa til þess sértæka eða almenna skriflega heimild ábyrgðaraðila. Ef um er að ræða almenna skriflega heimild skal vinnsluaðilinn tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum færi á að andmæla slíkum breytingum.
Vinnsla af hálfu vinnsluaðila skal byggjast á samningi eða annarri réttargerð samkvæmt lögum sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og tilgreinir viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og réttindi og skyldur ábyrgðaraðilans.
Í samningi eða annarri réttargerð skal einkum mæla fyrir um að vinnsluaðili:
a. starfi eingöngu eftir fyrirmælum ábyrgðaraðila,
b. tryggi að aðilar, sem hafa heimild til vinnslu persónuupplýsinga, hafi gengist undir trúnaðarskyldu eða heyri undir viðeigandi trúnaðarskyldu samkvæmt lögum,
c. aðstoði ábyrgðaraðilann, eftir því sem unnt er, við að tryggja að farið sé að ákvæðum laganna um rétt hins skráða til upplýsinga og eyðingu, leiðréttingu eða takmörkun á vinnslu persónuupplýsinga,
d. skili öllum persónuupplýsingum til ábyrgðaraðilans eftir að veitingu þjónustunnar lýkur og eyði öllum afritum,
e. geri ábyrgðaraðila aðgengilegar allar upplýsingar, sem nauðsynlegar eru til að sýna fram á að skuldbindingarnar sem mælt er fyrir um í þessari grein séu uppfylltar, og
f. uppfylli skilyrði 2. og 3. mgr. um ráðningu annars vinnsluaðila.
Samningurinn eða önnur réttargerð, sem um getur í 3. og 4. mgr., skal vera skrifleg, þ.m.t. á rafrænu formi.
Vinnsluaðili, sem brýtur í bága við ákvæði laga þessara, þegar hann ákveður tilgang og aðferðir við vinnsluna, skal teljast vera ábyrgðaraðili að því er varðar þá vinnslu.
Vinnsluaðila og starfsmönnum á hans vegum er óheimilt að segja frá nokkru því sem þeir hafa fengið vitneskju um í starfi sínu og leynt á að fara. Þagnarskyldan helst þótt látið sé af starfi.
21. gr.
Vinnsla í umboði ábyrgðaraðila eða vinnsluaðila.
22. gr.
Skrár yfir vinnslustarfsemi.
a. heiti og samskiptaupplýsingar ábyrgðaraðila og, eftir atvikum, sameiginlegs ábyrgðaraðila, fulltrúa ábyrgðaraðila og persónuverndarfulltrúa,
b. tilgangur vinnslunnar,
c. flokkar viðtakenda sem fengið hafa eða munu fá persónuupplýsingarnar í hendur, m.a. viðtakenda í þriðju löndum eða alþjóðastofnanir,
d. lýsing á flokkum skráðra einstaklinga og flokkum persónuupplýsinga,
e. ef við á, hvort notað sé persónusnið,
f. ef við á, flokkar miðlana persónuupplýsinga til þriðja lands eða alþjóðastofnunar,
g. lagagrundvöllur vinnsluaðgerðar, þ.m.t. miðlunar, sem fyrirhugað er að nota persónuupplýsingar í,
h. ef mögulegt er, fyrirhuguð tímamörk varðandi eyðingu mismunandi gagnaflokka, og
i. ef mögulegt er, almenn lýsing á þeim tæknilegu og skipulagslegu öryggisráðstöfunum sem um getur í 2. mgr. 23. gr.
Sérhver vinnsluaðili skal halda skrá yfir vinnslustarfsemi sína. Í skránni skulu allar eftirfarandi upplýsingar koma fram:
a. heiti og samskiptaupplýsingar vinnsluaðila, ábyrgðaraðila og, eftir atvikum, sameiginlegs ábyrgðaraðila og persónuverndarfulltrúa,
b. flokkar vinnslu sem fram fer fyrir hönd hvers ábyrgðaraðila,
c. ef við á, miðlun persónuupplýsinga til þriðja lands eða alþjóðastofnunar sem ábyrgðaraðili gefur skýr fyrirmæli um og um hvaða þriðja land eða alþjóðastofnun er að ræða, og
d. ef mögulegt er, almenn lýsing á þeim tæknilegu og skipulagslegu öryggisráðstöfunum sem um getur í 2. mgr. 23. gr.
Skrárnar sem um getur í 1. og 2. mgr. skulu vera skriflegar, þ.m.t. á rafrænu formi.
Ábyrgðaraðili og vinnsluaðili skulu gera skrána aðgengilega Persónuvernd komi fram beiðni þess efnis.
23. gr.
Öryggi persónuupplýsinga og tilkynningar um öryggisbresti.
Að því er varðar sjálfvirka gagnavinnslu skal ábyrgðaraðili eða vinnsluaðili gera, að undangengnu áhættumati, ráðstafanir í því skyni að þeir sem ekki hafa til þess heimild hafi ekki aðgang að vinnslubúnaði, vinnslukerfum og gagnamiðlun og geti þannig ekki fært inn, skoðað, breytt eða eytt varðveittum persónuupplýsingum. Jafnframt skal ábyrgðaraðili eða vinnsluaðili tryggja að þeir sem hafa heimild til notkunar slíkra kerfa hafi aðeins aðgang að persónuupplýsingum sem falla undir aðgangsheimild þeirra. Þá skal ábyrgðaraðili tryggja eftirlit með sjálfvirkri gagnavinnslu og jafnframt að þau kerfi sem notast er við sé unnt að ræsa að nýju í kjölfar rofs og að ekki sé hætta á að varðveitt gögn spillist vegna truflana í virkni.
Ef um öryggisbrest við meðferð persónuupplýsinga er að ræða skal ábyrgðaraðili, án ótilhlýðilegrar tafar og, ef mögulegt er, eigi síðar en 72 klst. eftir að hann verður brestsins var, tilkynna um hann til Persónuverndar nema ólíklegt þyki að bresturinn leiði til áhættu fyrir réttindi og frelsi einstaklinga. Sé Persónuvernd ekki tilkynnt um brestinn innan 72 klst. skulu ástæður fyrir töfinni fylgja tilkynningunni. Verði vinnsluaðili var við öryggisbrest skal hann tilkynna ábyrgðaraðila um það án ótilhlýðilegrar tafar.
Ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðili tilkynna viðkomandi skráðum einstaklingum um brestinn án ótilhlýðilegrar tafar. Ekki er krafist að ábyrgðaraðili geri þeim viðvart ef eitthvert eftirtalinna skilyrða er uppfyllt:
a. ábyrgðaraðilinn hefur gert viðeigandi verndarráðstafanir og þessar ráðstafanir voru gerðar vegna þeirra persónuupplýsinga sem öryggisbrestur við meðferð persónuupplýsinga hafði áhrif á, einkum ráðstafanir til að gera persónuupplýsingar ólæsilegar hverjum þeim sem ekki hefur aðgangsheimild að þeim, svo sem með dulkóðun,
b. ábyrgðaraðilinn hefur í beinu kjölfari gripið til ráðstafana sem tryggja að ólíklegt sé að öryggisbresturinn leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga, eða
c. það telst of íþyngjandi fyrir ábyrgðaraðila, t.d. vegna fjölda skráðra einstaklinga sem öryggisbrestur hefur áhrif á. Í stað þess skal ábyrgðaraðili birta opinbera tilkynningu eða grípa til annarrar sambærilegrar ráðstöfunar þar sem hinum skráðu er gert viðvart um öryggisbrestinn.
Tilkynningarskylda skv. 4. mgr. fellur jafnframt niður ef það er nauðsynlegt í einhverjum þeim tilgangi sem greinir í 3. mgr. 13. gr.
24. gr.
Aðgangur að persónuupplýsingum.
25. gr.
Aðgerðaskráning.
a. til að staðreyna lögmæti vinnslu;
b. við innra eftirlit;
c. til að tryggja öryggi persónuupplýsinga; eða
d. til að ljóstra upp um meinta refsiverða háttsemi.
Ábyrgðaraðili og vinnsluaðili skulu sjá til þess að aðgerðaskrár séu aðgengilegar Persónuvernd komi fram beiðni þess efnis.
26. gr.
Mat á áhrifum á persónuvernd.
Matið, sem um getur í 1. mgr., skal fela í sér a.m.k. almenna lýsingu á fyrirhuguðum vinnsluaðgerðum, mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga, þeim ráðstöfunum sem fyrirhugað er að grípa til gegn slíkri áhættu, verndarráðstöfunum, öryggisráðstöfunum og fyrirkomulagi við að tryggja vernd persónuupplýsinga og að farið sé að lögum þessum, að teknu tilliti til réttinda og lögmætra hagsmuna skráðra einstaklinga og annarra hlutaðeigandi einstaklinga.
27. gr.
Fyrirframsamráð.
Ábyrgðaraðili skal afhenda Persónuvernd niðurstöðu um mat á áhrifum á persónuvernd skv. 26. gr. og aðrar upplýsingar sem nauðsynlegar eru til að stofnunin geti rækt hlutverk sitt samkvæmt ákvæðum þessara greinar, komi fram beiðni þess efnis.
Telji Persónuvernd að fyrirhuguð vinnsla, sem um getur í 1. mgr., muni brjóta í bága við ákvæði laga þessara, einkum ef ábyrgðaraðili hefur ekki greint eða dregið úr áhættunni með fullnægjandi hætti, er stofnuninni heimilt, innan sex vikna frá að því að beiðni barst um samráð, að veita ábyrgðaraðila og, eftir atvikum, vinnsluaðila skriflega ráðgjöf og getur notað til þess valdheimildir sínar skv. 30. gr. Persónuvernd er heimilt að framlengja frestinn til að veita ráðgjöf um 4 vikur ef fyrirhuguð vinnsla er sérstaklega flókin. Skal stofnunin tilkynna ábyrgðaraðila og, eftir atvikum, vinnsluaðila um slíkar framlengingar innan mánaðar frá viðtöku beiðni um samráð, ásamt ástæðunum fyrir töfinni.
Persónuvernd er heimilt að birta skrá yfir þær tegundir vinnsluaðgerða þar sem krafist er fyrirframsamráðs skv. 1. mgr. Ábyrgðaraðili getur farið fram á það að tilteknar vinnsluaðgerðir verði ekki birtar í skránni á grundvelli þeirra sjónarmiða sem fram koma í 3. mgr. 13. gr.
28. gr.
Samvinna við Persónuvernd.
29. gr.
Persónuverndarfulltrúi.
Heimilt er að tilnefna einn persónuverndarfulltrúa fyrir fleiri en eitt lögbært yfirvald vegna hagkvæmnissjónarmiða og stærðar viðkomandi yfirvalda.
Ábyrgðaraðili skal fela persónuverndarfulltrúa a.m.k. eftirfarandi verkefni:
a. Upplýsa ábyrgðaraðila og starfsmenn hans sem annast vinnslu um skyldur sínar samkvæmt þessum lögum og öðrum á sviði persónuverndar og veita þeim ráðgjöf þar að lútandi,
b. sjá til þess að farið sé að ákvæðum laga þessara og annarra um persónuvernd og stefnu ábyrgðaraðila varðandi vernd persónuupplýsinga, þ.m.t. úthlutun ábyrgðar, vitundarvakning og þjálfun starfsfólks sem tekur þátt í vinnslustarfsemi og tilheyrandi úttektir,
c. veita ráðgjöf, sé farið fram á það, varðandi mat á áhrifum á persónuvernd og fylgjast með framkvæmd þess skv. 25. gr., og
d. vinna með Persónuvernd og vera tengiliður stofnunarinnar varðandi mál sem tengjast vinnslu, þ.m.t. fyrirframsamráð skv. 26. gr., og leita ráða, eftir því sem við á, varðandi önnur málefni.
Persónuverndarfulltrúa er óheimilt að segja frá nokkru því sem hann hefur fengið vitneskju um í starfi sínu og leynt á að fara. Þagnarskyldan helst þótt látið sé af starfi. Starfsmaður persónuverndarfulltrúa er einnig bundinn þagnarskyldu um slík trúnaðarmál sem hann kann að komast að vegna starfa sinna.
30. gr.
Starf Persónuverndar.
Sérhver skráður einstaklingur eða fulltrúi hans hefur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann hjá lögbæru yfirvaldi brjóti í bága við ákvæði laga þessara.
Persónuvernd getur, að eigin frumkvæði eða í kjölfar beiðni skv. 2. mgr., fjallað um einstök mál og tekið í þeim ákvörðun, m.a. um það hvort tiltekin vinnsla falli undir gildissvið laganna.
Stjórnarmönnum og starfsmönnum Persónuverndar, svo og öðrum sem vinna verkefni á vegum stofnunarinnar, er óheimilt að segja frá nokkru sem þeir hafa fengið vitneskju um í starfi sínu og leynt á að fara. Þagnarskyldan helst þótt látið sé af starfi.
Þagnarskylda skv. 4. mgr. stendur ekki í vegi fyrir því að Persónuvernd veiti erlendum persónuverndarstofnunum upplýsingar þegar slíkt er nauðsynlegt til að hún eða hin erlenda persónuverndarstofnun geti ákveðið eða framkvæmt aðgerðir til að tryggja persónuvernd.
Að öðru leyti og eftir því sem við á fer um störf og heimildir Persónuverndar eftir lögum um persónuvernd og vinnslu persónuupplýsinga.
31. gr.
Valdheimildir Persónuverndar við eftirlitsstörf.
Persónuvernd getur veitt ábyrgðaraðila viðvörun um að fyrirhugaðar vinnsluaðferðir muni brjóta í bága við ákvæði laganna.
Persónuvernd getur lagt fyrir ábyrgðaraðila að láta af vinnslu sem fer í bága við ákvæði laga þessara eða sett skilyrði sem uppfylla þarf til að vinnslan teljist vera lögmæt, þar á meðal mælt fyrir um að ábyrgðaraðili eyði, leiðrétti eða takmarki vinnslu í samræmi við ákvæði 14.–16. gr. Takmarkanir eða bann við frekari vinnslu getur verið tímabundið eða varanlegt.
32. gr.
Dagsektir.
VI. KAFLI
Viðurlög.
33. gr.
Refsingar.
Brot einstaklings á þagnarskyldu skv. 20., 29. og 30. gr. varðar sektum eða fangelsi allt að einu ári.
Ef brot einstaklings er stórfellt getur það varðað fangelsi allt að þremur árum. Brot telst stórfellt þegar það er framið af ásetningi og í hagnaðarskyni með sérstaklega vítaverðum hætti og persónuupplýsingar mikils fjölda skráðra einstaklinga sem leynt eiga að fara samkvæmt lögum eða eðli máls komast í hendur þriðja aðila eða birtast opinberlega.
Tilraun til brots eða hlutdeild í brotum samkvæmt lögum þessum er refsiverð eftir því sem segir í almennum hegningarlögum.
Gera má lögaðila sekt fyrir brot á lögum þessum óháð því hvort sök verði sönnuð á tiltekinn fyrirsvarsmann lögaðilans, starfsmann hans eða annan aðila sem starfar á hans vegum. Hafi fyrirsvarsmaður lögaðilans, starfsmaður hans eða annar á hans vegum brotið gegn lögum þessum eða reglum settum á grundvelli þeirra af ásetningi í starfsemi lögaðilans má gera honum refsingu, auk þess að gera lögaðilanum sekt.
VII. KAFLI
Gildistaka o.fl.
34. gr.
Reglugerðarheimild.
1. Miðlun upplýsinga skv. 11. gr., þar á meðal um til hverra heimilt er að miðla upplýsingum.
2. Form og efni upplýsinga og tilkynninga sem ábyrgðaraðila er skylt að senda hinum skráða samkvæmt ákvæðum IV. kafla, auk heimildar til handa ábyrgðaraðila til gjaldtöku vegna tilefnislausra eða endurtekinna beiðna, sem og synjunar vegna sams konar beiðna.
3. Hvaða aðgerðir og upplýsingar lögbær yfirvöld skuli skrá í aðgerðaskrá.
4. Að upplýsingakerfi sem sett voru á fót fyrir þann 6. maí 2016 séu undanþegin kröfu 25.gr. um aðgerðaskráningu.
35. gr.
Innleiðing.
36. gr.
Gildistaka.
37. gr.
Breytingar á öðrum lögum.
1. Lög um meðferð sakamála, nr. 88/2008, með síðari breytingum: 2. málsl. 2. mgr. 245.gr. laganna orðast svo: Um miðlun upplýsinga úr sakaskrá fer að öðru leyti eftir ákvæðum III. kafla laga um vinnslu persónuupplýsinga í löggæslutilgangi og reglum ríkissaksóknara.
2. Lögreglulög, nr. 90/1996, með síðari breytingum: Á eftir VIII. kafla laganna kemur nýr kafli, IX. kafli, Vinnsla og miðlun persónuupplýsinga, með þremur nýjum greinum, 40.–42. gr., svohljóðandi, og breytast númer annarra kafla og greina samkvæmt því:
a. (40. gr.)
Lögreglu er heimil vinnsla persónuupplýsinga, þar á meðal þeirra upplýsinga sem viðkvæmar geta talist, að því marki sem slík vinnsla telst nauðsynleg vegna starfsemi og hlutverks hennar samkvæmt lögum þessum. Um vinnslu persónuupplýsinga samkvæmt lögum þessum fer eftir lögum um persónuvernd og vinnslu persónuupplýsinga og lögum um vinnslu persónuupplýsinga í löggæslutilgangi.
b. (41. gr.)
Lögreglu er heimilt að miðla persónuupplýsingum að því marki sem telst nauðsynlegt vegna starfsemi og hlutverks hennar samkvæmt lögum þessum. Um miðlun persónuupplýsinga lögreglu fer einnig eftir ákvæðum III. kafla laga um vinnslu persónuupplýsinga í löggæslutilgangi.
c. (42. gr.)
Í samræmi við ákvæði tollalaga er lögreglu heimilt að safna og skiptast á upplýsingum um farþega og áhöfn við aðra handhafa lögregluvalds og tollstjóra í þágu eftirlits, greiningarstarfs eða vegna rannsókna á ætluðum brotum.
Lögreglu er heimilt að miðla upplýsingum um farþega og áhöfn til erlendra yfirvalda að því marki sem nauðsynlegt er til að koma í veg fyrir, koma upp um, rannsaka eða saksækja fyrir hryðjuverk eða önnur alvarleg afbrot. Um slíka miðlun fer að öðru leyti eftir ákvæðum III. kafla laga um vinnslu persónuupplýsinga í löggæslutilgangi. Ráðherra er heimilt að setja nánari reglur um miðlun upplýsinga samkvæmt ákvæði þessu, þar á meðal hvaða embætti eða stofnun skuli annast slíka miðlun.
3. Lög um fullnustu refsinga, nr. 15/2016, með síðari breytingum: Á eftir orðinu „persónuupplýsinga“ í síðara skiptið í 2. málsl. 1. mgr. 97. gr. laganna kemur: og lögum um vinnslu persónuupplýsinga í löggæslutilgangi.
4. Lög um erfðaefnisskrá lögreglu, nr. 88/2001, með síðari breytingum: Á eftir orðinu „persónuupplýsinga“ í 2. málsl. 3. mgr. 9. gr. laganna kemur: og lögum um vinnslu persónuupplýsinga í löggæslutilgangi.
5. Lög um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018:
a. Á eftir orðinu „ríkisins“ í 6. mgr. 4. gr. laganna kemur: í þágu öryggis- og varnarmála og.
b. Ákvæði til bráðabirgða III í lögunum fellur brott.
Greinargerð.
Frumvarp þetta er samið í dómsmálaráðuneytinu. Um er að ræða ný lög um persónuvernd og vinnslu persónuupplýsinga hjá yfirvöldum á sviði refsivörslu. Munu þau leiða til mikilla réttarbóta þar sem heildarlög á þessu sviði hafa ekki áður verið sett. Þá er núverandi réttarástand að nokkru leyti brotakennt þar sem það byggist á bráðabirgðaákvæði laga um persónuvernd og vinnslu persónuupplýsinga og reglugerð nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu. Efni frumvarpsins tekur að miklu leyti mið af tilskipun Evrópuþingsins og ráðsins nr. 2016/680 frá 27. apríl 2016 um vernd einstaklinga að því er varðar vinnslu lögbærra yfirvalda á persónuupplýsingum í tengslum við að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum og frjálsa miðlun slíkra upplýsinga og um niðurfellingu rammaákvörðunar ráðsins nr. 2008/977/DIM (löggæslutilskipunin). Tilskipunin tók gildi í Evrópusambandinu 5. maí 2016 en hún telst vera þróun á ákvæðum Schengen-réttarreglnanna í samræmi við samninginn sem ráð Evrópusambandsins gerði við Ísland og Noreg um þátttöku þessara tveggja ríkja í framkvæmd, beitingu og þróun Schengen-gerðanna.
2. Tilefni og nauðsyn lagasetningar.
Umfangsmiklar breytingar hafa átt sér stað í Evrópu á reglum um notkun og meðferð persónuupplýsinga. Þessum breytingum er ætlað að bregðast við þeirri miklu byltingu sem orðið hefur í upplýsingatækni og horfa í átt til ríkari persónuverndar og aukinnar samræmingar á réttarsviðinu. Svonefndur gagnaverndarpakki ESB er þáttur í framangreindum breytingum. Framkvæmdastjórn ESB lagði fram frumvarp að honum í janúar 2012 og var hann endanlega samþykktur á Evrópuþinginu þann 14. apríl 2016. Pakkinn samanstendur annars vegar af hinni almennu persónuverndarreglugerð nr. 2016/679, frá 27. apríl 2016, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga (GDPR) og löggæslutilskipuninni hins vegar. Reglugerðin kom í stað tilskipunar Evrópuþingsins og ráðsins nr. 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Reglugerðin tók gildi innan ESB hinn 25. maí 2018 og var innleidd hér á landi með lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, sem tóku gildi hinn 15. júlí 2018.
Löggæslutilskipunin, sem frumvarpi þessu er ætlað að innleiða, fól m.a. í sér að rammaákvörðun ráðsins nr. 2008/977/DIM, um vernd persónuupplýsinga á sviði lögreglu- og dómsmálasamstarfs í sakamálum, var felld úr gildi. Rammaákvörðunin var liður í framkvæmd og þróun á Schengen-regluverkinu og var hún talin innleidd hér á landi með fullnægjandi hætti í formi reglugerðar nr. 322/2001, um meðferð persónuupplýsinga hjá lögreglu. Löggæslutilskipunin telst, eins og fyrr greinir, einnig vera þróun á Schengen-regluverkinu og ber Íslandi því að innleiða hana á grundvelli þátttöku sinnar í Schengen-samstarfinu.
Áður en lagst var í samningu frumvarps þessa var nauðsyn lagasetningar metin og m.a. vann lögmannsstofan Landslög skýrslu að beiðni ráðuneytisins um lagaumhverfi upplýsingakerfa lögreglu og nauðsynlegar breytingar þar að lútandi. Í skýrslunni er m.a. fjallað um þrjár leiðir til að innleiða tilskipunina. Í fyrsta lagi var sá möguleiki nefndur að innleiða hana með nýrri reglugerð um meðferð persónuupplýsinga sem kæmi í stað gildandi reglugerðar nr. 322/2001 og hefði stoð í lögum um persónuvernd og vinnslu persónuupplýsinga. Með því hefði núverandi réttarástand haldist að mestu leyti óbreytt, þ.e. reglur um þessa vinnslu væru áfram í formi reglugerðar sem hægt væri að breyta án mikillar fyrirhafnar. Í ljósi þess að lög um persónuvernd og vinnslu persónuupplýsinga undanskilja að öllu leyti vinnslu í löggæslutilgangi gildissviði laganna kom þessi leið hins vegar ekki til greina, enda myndi slíka reglugerð bresta lagastoð.
Í öðru lagi var skoðaður sá möguleiki að haga gildissviði laga nr. 90/2018 með þeim hætti að láta þau einnig taka til vinnslu í löggæslutilgangi og láta þar með nægja að lögfesta sérákvæði um þau atriði í löggæslutilskipuninni sem eru frábrugðin persónuverndarreglugerðinni. Þá hefðu orðið til ein heildstæð lög um meðferð persónuupplýsinga hér á landi. Á móti kemur hins vegar að þótt tilskipunin sé að mestu sama efnis og almenna reglugerðin eru frávikin mýmörg og í sumum tilvikum veruleg. Þar sem reglugerðin er afar efnismikil þótti viðbúið að ný persónuverndarlög yrðu það einnig og þessi nálgun því talin geta leitt til óþarflega umfangsmikillar og flókinnar löggjafar. Auk þessa var sú leið ekki talin fær í ljósi þess sem að ofan greinir um gildissvið almennra laga um persónuvernd. Var ekki talið ákjósanlegt að horfa frá þeirri stefnu löggjafans með því að leggja til slíkar breytingar á lögum nr. 90/2018.
Þriðja leiðin sem nefnd er í skýrslunni felur í sér að innleiða tilskipunina með sama hætti og eldri persónuverndartilskipun 95/46/EB var innleidd á sínum tíma, þ.e. með setningu sérstakra laga. Meginkosturinn við þá leið var talinn vera að tilskipunin yrði innleidd með afdráttarlausum hætti. Ný lög hefðu skýrt afmarkað gildissvið og reglur um vinnslu persónuupplýsinga í löggæslutilgangi hefðu sömu rétthæð og almennar reglur um slíka vinnslu. Með þeim hætti gæfist einnig kostur á að nýta reglugerðarheimild í lögunum til að útfæra nánar efni og önnur tæknileg atriði í tilskipuninni. Enn fremur yrði hægara um vik en ella að gera breytingar á lögunum, innan þess svigrúms sem tilskipunin veitir, án þess að það myndi ætíð kalla á skoðun á því hvort slíkt myndi raska ákvæðum persónuverndarlaga eða ganga gegn því þrengra svigrúmi sem almenna persónuverndarreglugerðin veitir. Telja verður einnig að innleiðing í formi sérlaga falli best að því hvernig gildissviði laga um persónuvernd og vinnslu persónuupplýsinga er háttað. Galli þessarar leiðar var helst talinn vera sá að það krefst meiri fyrirhafnar að setja sjálfstæða heildarlöggjöf en að bæta ákvæðum inn í gildandi lög eða setja reglugerð. Með hliðsjón af öllu ofangreindu var talið hagfelldast að innleiða tilskipunina í formi nýrra heildarlaga um vinnslu persónuupplýsinga í löggæslutilgangi.
Við undirbúning frumvarpsins var litið til þess hvernig ákvæði tilskipunarinnar hafa verið innleidd í landsrétt annars staðar á Norðurlöndunum. Var sérstaklega kannað hvernig staðið var að innleiðingu í Noregi í ljósi þess að Norðmenn, eins og Íslendingar, standa utan Evrópusambandsins en eru aðilar að Schengen-samstarfinu. Var í því skyni unnið að drögum að frumvarpi sem tók mið af norsku lagaumhverfi. Að endingu var þó ekki talið fært að haga innleiðingu með þeim hætti. Var það fyrst og fremst vegna þess að Norðmenn kusu að innleiða tilskipunina með því að fella viðeigandi ákvæði hennar inn í fyrirliggjandi löggjöf um skrár í þágu löggæslu (n. politiregisterloven), en ekki er til að dreifa sambærilegum lögum hér á landi. Þá var talið of þungt í vöfum að sníða frumvarpið að efni hinna norsku laga þar sem slíkt hefði gert auknar kröfur til þeirra yfirvalda sem frumvarpið nær til og lagt byrðar á herðar þeim umfram það sem kveðið er á um í tilskipuninni.
Áður tóku tiltekin ákvæði eldri persónuverndarlaga, nr. 77/2000, til vinnslu persónuupplýsinga á sviði refsivörslu, auk þess sem í gildi var reglugerð nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu. Með gildistöku laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, féllu lög nr. 77/2000 úr gildi en í III. bráðabirgðaákvæði fyrrnefndu laganna er kveðið á um að tiltekin ákvæði þeirra gildi einnig um vinnslu persónuupplýsinga í löggæslutilgangi þar til löggæslutilskipunin hefur verið innleidd í íslenskan rétt. Að sama skapi er í II. bráðabirgðaákvæði laganna mælt fyrir um að reglugerðir, þar á meðal nr. 322/2001, sem settar voru á grundvelli laga nr. 77/2000 skuli halda gildi sínu, enda fari ákvæði þeirra ekki í bága við ákvæði hinna nýju laga. Af þessu er ljóst að eitt helsta nýmæli frumvarps þessa er að nú er í fyrsta skipti verið að setja heildarlög um vinnslu persónuupplýsinga á sviði refsivörslu.
Eins og að ofan greinir er gildissvið hinna nýju laga um persónuvernd sérstaklega afmarkað með þeim hætti að þau taka ekki til vinnslu persónuupplýsinga af hálfu ríkisins í tengslum við það að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Hefur löggjafinn þannig þegar tekið afstöðu til þess að ætlast er til að sett verði sérstök lög um þá vinnslu, en í bráðabirgðaákvæði laganna er sérstaklega kveðið á um að löggæslutilskipunin verði innleidd í íslenskan rétt. Í ljósi þess að efnisreglur hennar eru í mörgum meginatriðum samhljóða reglum hinnar almennu persónuverndarreglugerðar er ætlast til að viðkomandi ákvæði frumvarps þessa, verði það að lögum, verði túlkuð með hliðsjón af hinum almennu persónuverndarlögum og þau höfð til fyllingar efni frumvarpsins þar sem við á.
3. Meginefni frumvarpsins.
Með frumvarpinu er annars vegar stefnt að því að innleiða í lög efni tilskipunar Evrópuþingsins og ráðsins (ESB) nr. 2016/680 um vinnslu persónuupplýsinga á sviði refsivörslu og hins vegar að setja reglur um þær skrár og upplýsingakerfi sem notast er við af hálfu yfirvalda á því sviði, auk þess að lögfesta skýrar heimildir fyrir sömu yfirvöld til að miðla persónuupplýsingum sín á milli og til annarra aðila, þar á meðal yfirvalda í öðrum löndum. Í því samhengi er það markmið sett fram í frumvarpinu að því sé ætlað að stuðla að því að yfirvöld á sviði refsivörslu fari með persónuupplýsingar í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga, auk þess að greiða fyrir skilvirkum störfum og nauðsynlegri miðlun persónuupplýsinga þessara yfirvalda sín á milli og til annarra aðila.
Þrátt fyrir að tilskipunin hafi leyst rammaákvörðun ráðsins 2008/977/DIM af hólmi má segja að mörg ef ekki flest kjarnaatriði hennar standi enn óbreytt. Það á til dæmis við um meginreglurnar um skyldur ábyrgðaraðila og um réttindi hins skráða, svo sem um upplýsingarétt hans og rétt hans til að krefjast þess að upplýsingar verði leiðréttar, þeim eytt eða notkun á þeim takmörkuð. Hið sama má segja um meginreglurnar um lög- og réttmæti allrar vinnslu, þar á meðal tilgangsregluna, regluna um nauðsyn og áreiðanleikaregluna. Þá eru í tilskipuninni áþekkar reglur um hverja einstaka vinnslu, þar á meðal um söfnun og notkun, auk reglna um bætur, eftirlit, öryggi og trúnað.
Meginmunurinn á rammaákvörðuninni og tilskipuninni varðar hins vegar gildissviðið. Rammaákvörðunin gilti að meginstefnu til aðeins um vinnslu þeirra upplýsinga sem aðildarríkin miðluðu sín á milli en tilskipunin nær einnig yfir alla vinnslu persónuupplýsinga sem fram fer innan einstakra aðildarríkja. Hún setur þannig yfirvöldum ákveðinn heildarramma um vinnslu persónuupplýsinga í löggæslutilgangi.
Gildissvið frumvarpsins er afmarkað efnislega með þeim hætti að ákvæði þess eiga við um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í svonefndum löggæslutilgangi en þau yfirvöld sem samkvæmt frumvarpinu teljast lögbær eru talin upp með tæmandi hætti. Hugtakið löggæslutilgangur er rúmt skilgreint í frumvarpinu sem sá tilgangur að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Frumvarpinu er þannig ætlað að taka til þeirrar vinnslu sem fellur utan gildissviðs hinna almennu persónuverndarlaga, sbr. 6. mgr. 4. gr. þeirra. Engu að síður gilda að mestu leyti sömu meginreglur um vinnsluna og gilda samkvæmt hinum almennu persónuverndarlögum og verður því ávallt að túlka ákvæði frumvarps þessa með hliðsjón af ákvæðum þeirra laga og vísast því einnig til viðeigandi umfjöllunar í frumvarpi til laga nr. 90/2018 en við samningu frumvarps þessa var efnistökum hagað til samræmis við almenn lög um persónuvernd eins og hægt var.
Frumvarpið skiptist í sjö eftirfarandi kafla: I. Markmið, orðskýringar og gildissvið, II. Almennar reglur um vinnslu, III. Skráning og miðlun persónuupplýsinga, IV. Réttindi hins skráða og takmarkanir á þeim, V. Öryggi og eftirlit með persónuupplýsingum, VI. Viðurlög og VII. Gildistaka. Er uppbygging frumvarpsins að meginstefnu í samræmi við uppbyggingu tilskipunarinnar en III. kafli þess er sá eini sem hefur að geyma viðbótarákvæði sem ekki fela í sér innleiðingu á ákvæðum tilskipunarinnar. Eru það ákvæði 7. gr. um skrár í löggæslutilgangi og 11. gr um miðlun persónuupplýsinga í öðrum tilgangi en löggæslutilgangi. Efniskaflar tilskipunarinnar eru eftirfarandi:
Í 1. kafla tilskipunarinnar eru ákvæði um tilgang og gildissvið ásamt skilgreiningum á hugtökum. Helsta nýmæli kaflans lýtur að gildissviði tilskipunarinnar, þ.e. að hún gildi um upplýsingavinnslu í löggæslutilgangi innan einstakra ríkja.
Í 2. kafla tilskipunarinnar er að finna framangreindar meginreglur um vinnslu persónuupplýsinga, þar á meðal meðalhófsregluna, tilgangsregluna og áreiðanleikaregluna. Þær fela m.a. í sér að aðeins má vinna með þær upplýsingar sem eru nægilegar og hafa þýðingu fyrir þann tilgang sem vinnslu er ætlað að þjóna. Það er hins vegar nýmæli að gera skal greinarmun á mismunandi tegundum upplýsinga. Til dæmis skal greina á milli upplýsinga um grunaða, dæmda og um vitni og í ríkari mæli skal skilja á milli staðreynda og matskenndra upplýsinga. Þá eru þar viss nýmæli sem tengjast upplýsingum um lífkenni og erfðaefni og eru gerðar ríkar kröfur um nauðsyn fyrir vinnslu tiltekinna viðkvæmra persónuupplýsinga.
Í 3. kafla tilskipunarinnar eru m.a. ákvæði um rétt hins skráða. Þetta eru ákvæði um rétt hans til upplýsinga, leiðréttingar, eyðingar og takmarkaðrar notkunar persónuupplýsinga auk þeirra leiða sem eru honum færar í þeim efnum fyrir tilstuðlan eftirlitsyfirvalda. Það er nýmæli að eftirlitsyfirvald megi vísa frá tilefnislausum eða endurteknum beiðnum um aðgang.
Í 4. kafla tilskipunarinnar eru ákvæði um skyldur ábyrgðaraðila og vinnsluaðila til að tryggja upplýsingaöryggi. Ábyrgðaraðilar skulu hafa yfirsýn yfir vinnslu á sínum vegum, svo sem með gerð vinnsluskráa, og meta afleiðingar vinnslu áður en hún hefst.
Í 5. kafla tilskipunarinnar eru almennar meginreglur um miðlun upplýsinga til þriðju ríkja, þ.e. ríkja utan EES, og til alþjóðastofnana. Ákvæðin snerta þó ekki þá samninga sem ríki hafa þegar gert.
Í 6. kafla tilskipunarinnar er fjallað um valdheimildir sjálfstæðra eftirlitsyfirvalda, verkefni þeirra og úrræði.
Í 7. kafla tilskipunarinnar er kveðið á um samvinnu við önnur eftirlitsyfirvöld, bæði innanlands og erlendis.
Í 8. kafla tilskipunarinnar eru ákvæði um rétt hins skráða til að kvarta til eftirlitsyfirvalda, rétt hans til að fara í mál við yfirvaldið, ábyrgðaraðila og vinnsluaðilann. Að auki hefur kaflinn að geyma ákvæði um bætur og viðurlög.
Í eftirfarandi umfjöllun um einstök ákvæði verður efni frumvarpsins og tilskipunarinnar nánar lýst, en við túlkun ákvæðanna er rétt að taka mið af formálsorðum tilskipunarinnar auk þess sem styðjast ber við efnistök í greinargerð með frumvarpi til laga nr. 90/2018, eftir því sem við á.
Loks eru með frumvarpi þessu lagðar til breytingar á ákvæði sakamálalaga um miðlun upplýsinga úr sakaskrá. Er talið nauðsynlegt að rýmka heimildir yfirvalda að þessu leyti og lagt til að ákvæði frumvarpsins um miðlunarheimildir lögbærra yfirvalda taki til miðlunar persónuupplýsinga úr sakaskrá. Þar að auki eru lagðar til breytingar á ákvæðum lögreglulaga þannig að bætt verði við nýjum kafla er fjallar um vinnslu persónuupplýsinga og miðlun þeirra. Er annars vegar ætlunin að veita heimildum sem lögregla hefur á grundvelli laganna til vinnslu og miðlunar persónuupplýsinga formlega lagastoð en hins vegar er kveðið á um sérstaka heimild lögreglu til að miðla upplýsingum um farþega og áhafnir til erlendra yfirvalda. Þá eru lagðar til breytingar á öðrum lögum til að samræma hugtakanotkun og skerpa á gildissviði laga um persónuvernd og vinnslu persónuupplýsinga.
4. Samræmi við stjórnarskrá og alþjóðlegar skuldbindingar.
Líkt og að framan greinir ber Íslandi að innleiða löggæslutilskipunina í íslenskan rétt á grundvelli Schengen-samstarfsins. Við val á innleiðingarformi var talið ákjósanlegast að innleiða tilskipunina í formi lagasetningar, samanber umfjöllun framar. Í því sambandi verður einnig að hafa í huga að meginreglur frumvarpsins hafa margar þegar verið lögfestar með lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.
Efni frumvarpsins byggist á þeirri forsendu að vernd persónuupplýsinga sé þáttur í þeirri einkalífsvernd sem felst í 71. gr. stjórnarskrárinnar, en hugtakinu friðhelgi einkalífs var bætt í þá grein með stjórnarskipunarlögum, nr. 97/1995. Það var gert til að færa greinina til samræmis við 8. gr. mannréttindasáttmála Evrópu, sem lögfestur var hér á landi með lögum nr. 62/1994, og 17. gr. alþjóðasamnings Sameinuðu þjóðanna frá 1966 um borgaraleg og stjórnmálaleg réttindi.
Það að einkalífsrétturinn er stjórnarskrárvarinn felur m.a. í sér að binda þarf í löggjöf skýrar reglur um öflun, skráningu og meðferð persónuupplýsinga. Einnig er mikilvægt að í lögum sé kveðið á um rétt einstaklings til aðgangs að persónuupplýsingum um sig sjálfan. Þrátt fyrir að frumvarpið setji þessum rétti einstaklinga nokkrar skorður er enginn vafi talinn á því að þær takmarkanir sem frumvarpið mælir fyrir um séu í samræmi við viðkomandi ákvæði stjórnarskrárinnar, enda eiga þær aðeins við þegar nauðsyn ber til vegna sýnilega ríkari einka- eða almannahagsmuna í löggæslutilgangi.
Að því er varðar hið sérstaka álitaefni, er snýr að því hvort framsal valdheimilda til Evrópska persónuverndarráðsins standist ákvæði stjórnarskrárinnar um framsal valds, er í 50. gr. tilskipunarinnar kveðið á um að persónuverndarráðið hafi sambærilegu hlutverki að gegna og það hefur á grundvelli hinnar almennu persónuverndarreglugerðar. Í greinargerð með lögum nr. 90/2018 er ítarlega fjallað um álitaefnið og var unnin sérstök álitsgerð til þess að meta hvort þessi skipan mála, þ.e. að framselja innlent eftirlitshlutverk til alþjóðlegrar stofnunar, teldist samræmast ákvæðum stjórnarskrárinnar. Ákvæði 50. gr. tilskipunarinnar eru hins vegar ekki lögfest sérstaklega með frumvarpi þessu líkt og sambærilegt ákvæði reglugerðarinnar í lögum nr. 90/2018. Er þess í stað látið nægja að kveða á um að eftir því sem við á fari um störf og heimildir Persónuverndar eftir lögum um persónuvernd og vinnslu persónuupplýsinga. Er þannig gert ráð fyrir að Persónuvernd starfi almennt á sama grundvelli að því er varðar frumvarp þetta en þó þannig að hún hagi eftirliti sínu í samræmi við efni tilskipunarinnar þegar hún víkur í einhverjum atriðum frá sambærilegu ákvæði reglugerðarinnar. Stofnunin mun því þurfa að líta til ákvæða 50. gr. tilskipunarinnar um hlutverk persónuverndarráðsins þegar störf hennar varða þetta frumvarp líkt og hún fer eftir 70. gr. hinnar almennu persónuverndarreglugerðar um sama efni þegar hún starfar á grundvelli laga nr. 90/2018.
Í ljósi þessa verður að telja að öll sömu sjónarmið eigi við um framsal valdheimilda og áttu við um innleiðingu hinnar almennu persónuverndargerðar og er því vísað til umfjöllunar þess efnis í frumvarpi til laga nr. 90/2018, nánar tiltekið 8. kafla almennra athugasemda í greinargerð sem fylgdi frumvarpinu, en þar segir í niðurlagi kaflans (þskj. 1029, 148. lögþ.): „Telja verður að framsal valds til Evrópska persónuverndarráðsins í þessum málum sé lítils háttar, það er aðeins á sviði framkvæmdarvalds í þröngt afmörkuðum tilvikum og bindur aðeins stjórnvöld en ekki einstaklinga eða fyrirtæki. Það fer því ekki út fyrir það svigrúm sem löggjafinn hefur til þessa talið vera til staðar um framsal ríkisvalds og gengur t.d. mun skemur en það framsal sem varð með innleiðingu reglugerða ESB um eftirlit með fjármálamörkuðum í EES-samninginn, sbr. lög um evrópskt eftirlitskerfi á fjármálamarkaði, nr. 24/2017. Fram til þessa hefur Evrópulöggjöf á sviði persónuverndar, þ.m.t. ESB-tilskipunin, ekki kallað á slíkt framsal. Ótvírætt er því að með framsali á ríkisvaldi til hins nýja Evrópska persónuverndarráðs bætist við enn eitt nýtt málefnasvið á vettvangi EES-samstarfsins sem krefst slíks valdframsals.“
Að sama skapi vísast til umfjöllunar í 8. kafla greinargerðar með frumvarpi til laga nr. 90/2018 að því er varðar möguleika og heimildir íslenskra dómstóla til að meta lögmæti ákvarðana Evrópska persónverndarráðsins en í niðurlagi þess hluta kaflans segir (þskj. 1029, 148. lögþ.): „Niðurstaðan í álitsgerðinni hvað varðar dómsvald er að verði reglugerðin tekin upp í íslenskan rétt geti íslenskir aðilar látið á það reyna fyrir íslenskum dómstólum hvort tiltekin ákvörðun Persónuverndar standist íslensk lög, þar á meðal stjórnarskrá, t.d. með kröfu um ógildingu. Skipti í því sambandi engu máli þótt ákvörðun stofnunarinnar kunni að vera byggð á, eða bundin við, ákvörðun Evrópska persónuverndarráðsins. Íslenskir dómstólar hafi hins vegar ekki vald til að dæma um hvort hin erlenda ákvörðun sem kann að vera undirliggjandi íslenskri ákvörðun sé lögmæt samkvæmt ESB- eða EES-rétti.“ Eiga þessi sömu sjónarmið að öllu leyti við um ákvarðanir Persónuverndar á grundvelli þessa frumvarps.
5. Samráð.
Við vinnu frumvarpsins hafði dómsmálaráðuneytið samráð við ríkislögreglustjóra, ríkissaksóknara, Persónuvernd, lögregluembættin, héraðssaksóknara, tollstjóra og Landhelgisgæslu Íslands. Í því samráðsferli fundaði ráðuneytið með fulltrúum umræddra embætta tók tillit til athugasemda sem þar komu fram. Að auki var embættunum gefinn kostur á að skila inn skriflegum athugasemdum. Slíkar athugasemdir bárust frá tollstjóra og héraðssaksóknara og var tekið tillit til þeirra við gerð frumvarpsins. Þá naut ráðuneytið sérstakrar aðstoðar og ráðgjafar Sigrúnar Jóhannesdóttur, lögfræðings og fyrrverandi forstjóra Persónuverndar.
Drög að frumvarpinu voru birt í samráðsgátt Stjórnarráðsins hinn 23. nóvember 2018 og var hægt að skila inn umsögn til og með 28. nóvember 2018. Ein umsögn barst frá sýslumanninum á Norðurlandi vestra. Laut efni hennar að því að rétt væri að fella embættið undir gildissvið frumvarpsins þar sem að sýslumaður fer með hlutverk á sviði fullnustu refsinga á grundvelli laga nr. 15/2016, nánar tiltekið innheimtu sektargreiðslna. Ráðuneytið féllst á sjónarmið sýslumanns og telst embætti hans til lögbærs yfirvalds samkvæmt frumvarpinu.
6. Mat á áhrifum.
Frumvarpið hefur það að meginmarkmiði að setja heildarlög á sviði refsivörslu um vinnslu persónuupplýsinga, vernda friðhelgi einkalífs og tryggja að íslenskt regluverk um persónuvernd og vinnslu persónuupplýsinga í löggæslutilgangi verði uppfært til samræmis við þróun í Evrópu og í samræmi við alþjóðaskuldbindingar. Ávinningur fyrir samfélagið felst m.a. í því að tryggja einstaklingum aukna vernd og aukin réttindi við meðferð persónuupplýsinga þeirra hjá lögbærum yfirvöldum til samræmis við þær meginreglur sem felast í nýju persónuverndarregluverki ESB. Strangar kröfur til ábyrgðar- og vinnsluaðila um að tryggja öryggi persónuupplýsinga draga úr hættu á öryggisbrestum með tilheyrandi tjóni fyrir einstaklinga. Áherslan á aukna persónuvernd í þágu einstaklinga birtist einkum í ákvæðum sem veita þeim skýran rétt til aðgangs að þeim persónuupplýsingum sem yfirvöld vinna með hverju sinni. Með samræmdum reglum og kerfi sem tryggir samstillta túlkun og framkvæmd er stefnt að því að greiða fyrir miðlun upplýsinga á milli lögbærra yfirvalda innan og utan EES í löggæslutilgangi og um leið fyrirbyggja að misræmi geti komið upp sem trufli nauðsynlegt flæði upplýsinga yfir landamæri, en það er ein grundvallarforsenda fyrir skilvirkri löggæslu á tímum sem þessum þegar skipulögð brotastarfsemi virðir engin landamæri. Ávinningur fyrir samfélagið felst því einnig í bættri stöðu löggæsluyfirvalda til að eiga farsælt samstarf að þessu leyti.
Eðli máls samkvæmt mun frumvarpið hafa mest áhrif á þau yfirvöld hér á landi sem koma til með að heyra undir gildissvið þess, þ.e. lögbær yfirvöld. Það að fella öll viðkomandi yfirvöld á sviði refsivörslu undir einn hatt með þessum hætti mun leiða til samræmdrar framkvæmdar á sviði persónuverndar og þannig hafa mikið hagræði í för með sér fyrir yfirvöld og hinn almenna borgara.
Að öðru leyti verður að telja að hin lögbæru yfirvöld og Persónuvernd séu vel í stakk búin til að mæta þeim áhrifum sem frumvarpið mun hafa, ekki síst í ljósi þess að þau hafa þegar þurft að bregðast við sambærilegum breytingum sem gildistaka laga nr. 90/2018 hafði í för með sér.
Þar sem ekki er gert ráð fyrir því að frumvarpið muni hafa í för með sér frekari fjárhagsáhrif en frumvarp til laga um persónvernd og vinnslu persónuupplýsinga, nr. 90/2018, mun enginn viðbótarkostnaður falla á þá ríkisaðila sem frumvarpið snertir umfram það sem varð með gildistöku framangreindra laga. Verði frumvarpið óbreytt að lögum er ekki gert ráð fyrir að lögfesting þess hafi fjárhagsáhrif á ríkissjóð eða sveitarfélögin. Ekki er talið að frumvarpið hafi áhrif á jafnrétti eða stöðu kynjanna.
Um einstakar greinar frumvarpsins.
Um 1. gr.
Markmiðsákvæði 1. gr. frumvarpsins tekur mið af þessu en samkvæmt því eiga lögin að stuðla að því að yfirvöld á sviði refsivörslu fari með persónuupplýsingar í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga, auk þess að greiða fyrir skilvirkum störfum og nauðsynlegri miðlun persónuupplýsinga þessara yfirvalda sín á milli og til annarra aðila. Með yfirvöldum á sviði refsivörslu er átt við handhafa framkvæmdarvalds á sviði löggæslu, ákæruvalds og fullnustu refsinga.
Um. 2. gr.
Í 1. tölul. 2. gr. er hugtakið persónuupplýsingar skilgreint og lagt til að það hafi sömu merkingu og í tilskipuninni. Það nær yfir allar upplýsingar, bæði staðreyndir og matskennd atriði, um einstaklinga sem deili eru þekkt á eða sem unnt er að bera kennsl á vegna einhvers auðkennis. Það getur verið fingrafar viðkomandi, erfðaefnieða hvað eina sem aðgreinir hann frá öðrum og veldur því að hann sker sig úr. Undir hugtakið persónuupplýsingar falla því ekki aðeins upplýsingar sem t.d. eru merktar með nafni eða kennitölu hins skráða (eru persónugreindar) heldur einnig upplýsingar sem unnt er að rekja til hans (eru persónugreinanlegar). Að öðru leyti vísast til umfjöllunar um hugtakið í frumvarpi til laga um persónuvernd og vinnslu persónuupplýsinga, nr. 80/2018.
Í 2. tölul. 2. gr. er hugtakið vinnsla skilgreint sem aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging. Orðið vinnsla er eitt af lykilhugtökum regluverksins um persónuvernd og ber að túlka rúmt. Í raun er hér átt við allt það sem gert er við persónuupplýsingar, hvort sem er með handvirkum hætti eða með tölvutækni. Vinnsla telst fara fram með notkun tölvutækni (vera stafræn) þótt hún sé það aðeins að hluta til. Í 2. tölul. 3. gr. tilskipunarinnar og í lögum um persónuvernd og vinnslu persónuupplýsinga er hugtakið skilgreint á sama hátt.
Í 3. tölul. 2. gr. er hugtakið skrá skilgreint sem skipulegt safn persónuupplýsinga sem er aðgengilegt samkvæmt tilteknum viðmiðunum, hvort heldur það er miðlægt, dreift eða skipt upp eftir notkun eða staðsetningu. Í 6. tölul. 2. gr. tilskipunarinnar er hugtakið „skráningarkerfi“ notað og það skilgreint með sama hætti. Orðið „skrá“ hefur unnið sér hefð í íslensku lagamáli á sviði persónuverndar sem þýðing á hugtakinu „filing system“ í tilskipuninni og reglugerðinni. Í íslenskri þýðingu tilskipunarinnar er hins vegar notað orðið „skráningarkerfi“. Það byggist á framkvæmd Þýðingamiðstöðvar utanríkisráðuneytisins sem hefur einnig við þýðingu á ESB-gerðum notað orðið skráningarkerfi í alls óskyldu samhengi, t.d. sem þýðingu á „system of registries“ sem starfrækja skal samkvæmt ESB-gerðum um loftslagsmál, sbr. lög nr. 70/2012. Til að fyrirbyggja óvissu um þetta lykilhugtak í persónuvernd er í frumvarpinu áfram notað orðið „skrá“ og er þar ótvírætt átt við sama hugtak og fram kemur í 6. tölul. 3. gr. tilskipunarinnar.
Í 4. tölul. 2. gr. er hugtakið ábyrgðaraðili skilgreint með hliðsjón af 8. tölul. 3. gr. tilskipunarinnar. Frumvarpið nær aðeins yfir eina tegund ábyrgðaraðila, þ.e. lögbær yfirvöld sem samkvæmt lögum taka ákvarðanir, ein eða með öðrum, um tilgang vinnslu persónuupplýsinga og þann búnað sem notaður er. Til skýringar má nefna að almennt nær hugtakið ábyrgðaraðili einnig til einstaklinga, félags, stjórnvalds eða annars konar aðila. Niðurstaða um að einhver teljist vera slíkur aðili felur í sér að hann getur t.d. þurft að sæta refsi- eða bótaábyrgð. Því verður hann að geta að lögum átt réttindi og borið skyldur. Verður t.d. ekki litið á tiltekna starfsstöð yfirvalds sem ábyrgðaraðila sé hún hvorki sjálfstætt fyrirtæki né stofnun. Ábyrgðaraðili getur tekið ákvarðanir með öðrum og geta þeir þá borið sameiginlega ábyrgð. Í 21. gr. tilskipunarinnar segir m.a. að aðildarríki skuli kveða á um að ef tveir eða fleiri ábyrgðaraðilar ákveði sameiginlega tilgang vinnslunnar og aðferðir við hana teljist þeir vera sameiginlegir ábyrgðaraðilar. Þeir skuli á gagnsæjan hátt ákveða ábyrgð hvers/hvors um sig á því að farið sé að tilskipuninni, einkum hvað snerti beitingu réttinda hins skráða. Þótt þeir skipti með sér verkum, ákveði t.d. að einn sjái um fræðslu og annar um öryggismál, þá haggar það ekki heimild hins skráða til að neyta réttar síns gagnvart hverjum/hvorum þeirra sem er.
Í 5. tölul. 2. gr. er hugtakið vinnsluaðili skilgreint sem sá er vinnur persónuupplýsingar á vegum ábyrgðaraðila. Hugtakið er skilgreint í 9. tölul. 3. gr. tilskipunarinnar sem einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem vinnur persónuupplýsingar á vegum ábyrgðaraðila. Nánar er fjallað um störf hans í 22. og 23. gr. tilskipunarinnar. Vinnsla persónuupplýsinga hjá vinnsluaðila grundvallast alltaf á vinnslusamningi við ábyrgðaraðila eða sérstakri heimild í lögum. Almennir starfsmenn ábyrgðaraðila geta þannig ekki talist vinnsluaðilar í skilningi frumvarpsins, enda hugtaksskilyrði að vinnsluaðili séu utanaðkomandi aðili sem tekur að sér tiltekna vinnslu fyrir hönd ábyrgðaraðila.
Í 6. tölul. 2. gr. er hugtakið hinn skráði skilgreint. Það hefur ekki verið skilgreint áður í lögum en þar sem það kemur víða fyrir í frumvarpinu var talið nauðsynlegt að skilgreina það sérstaklega. Í samræmi við gildissvið tilskipunarinnar getur hinn skráði aðeins verið einstaklingur, en hugtakið er skilgreint sem persónugreinanlegur einstaklingur sem upplýsingar sem unnið er með fjalla um eða unnt er að rekja til.
Í 7. tölul. 2. gr. er hugtakið samþykki skilgreint sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Þar sem samþykki þarf að vera yfirlýst nægir ekki samþykki í verki en vegna séreðlis þeirrar vinnslu sem frumvarp þetta tekur til er ekki miðað við að slík yfirlýsing verði byggð á samþykki nema það sé yfirlýst. Skilgreiningin er samhljóða samsvarandi ákvæði í lögum um persónuvernd og vinnslu persónuupplýsinga en hugtakið er ekki skilgreint sérstaklega í tilskipuninni.
Í 8. tölul. 2. gr. er hugtakið löggæslutilgangur skilgreint sem sá tilgangur að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þar með talið vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Er hér því átt við löggæslutilgang í víðara samhengi í þeirri merkingu að hugtakið nær einnig til starfsemi ákæruvaldsins og yfirvalda á sviði fullnustumála. Þá falla einnig undir hugtakið löggæslustörf sem felast í því að halda uppi allsherjarreglu, sbr. 15. gr. lögreglulaga, nr. 90/1996, en í 12. lið formála tilskipunarinnar eru slíkar aðgerðir löggæsluyfirvalda sérstaklega tilgreindar. Hugtakinu er þannig ætlað að ná yfir efnislegt gildissvið laganna að því er varðar þann tilgang sem vinnsla persónuupplýsinga fer fram í hverju sinni. Er skilgreiningin samhljóða 1. gr. tilskipunarinnar um viðfangsefni og markar hún gildissvið frumvarpsins samkvæmt 3. gr. þess.
Í 9. tölul. 2. gr. er að finna skilgreiningu á öryggisbresti við vinnslu persónuupplýsinga. Er með því átt við brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. Er skilgreiningin sú sama og í 11. tölul. 3. gr. tilskipunarinnar.
Í 10. tölul. 2. gr. er hugtakið alþjóðastofnun skilgreint sem stofnun og undirstofnanir hennar sem heyra undir þjóðarétt eða annar aðili sem komið er á fót með samningi milli tveggja eða fleiri ríkja eða á grundvelli hans. Er það í samræmi við skilgreiningu í 16. tölul. 3. gr. tilskipunarinnar og er ástæða þess að nauðsyn ber að skilgreina hugtakið sú að kveðið er sérstaklega á um heimildir til að miðla persónuupplýsingum til slíkra stofnana í frumvarpinu.
Í 11. tölul. 2. gr. er hugtakið lögbært yfirvald skilgreint sem opinbert yfirvald sem ber ábyrgð á eða er falið það hlutverk að lögum að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Er sú skilgreining til samræmis við skilgreiningu í 7. tölul. 3. gr. tilskipunarinnar en þó nokkuð þrengri að því leyti að ekki er gert ráð fyrir að aðrir aðilar en opinber yfirvöld geti talist til lögbærs yfirvalds samkvæmt frumvarpinu. Til lögbærra yfirvalda teljast eftirfarandi stofnanir og er upptalningin tæmandi: dómsmálaráðuneyti, ríkislögreglustjóri, lögregluembættin, ríkissaksaksóknari, héraðssaksóknari, Fangelsismálastofnun, Tollstjóri, Landhelgisgæsla Íslands og Sýslumaðurinn á Norðurlandi vestra, en samkvæmt lögum hafa öll þessi embætti hlutverki að gegna á sviði löggæslu, ákæruvalds eða fullnustu refsinga. Embætti tollstjóra fer t.d. með rannsókn tollalagabrota og ástæða þess að sýslumannsembættið heyrir til lögbærra yfirvalda er að því er falið innheimtu- og fullnustuhlutverk á grundvelli 87. gr. laga um fullnustu refsinga, nr. 15/2016. Þá er talið rétt að taka sérstaklega fram að dómstólar teljast ekki til lögbærra yfirvalda samkvæmt lögum þessum en sum aðildarríki, þar á meðal Danmörk, hafa kosið að fella vinnslu persónuupplýsinga af hálfu dómstóla í löggæslutilgangi undir innleiðingarlöggjöf tilskipunarinnar. Þar sem venja hefur verið í íslenskum rétti að undanskilja gildissviði laga um persónuvernd alla vinnslu persónuupplýsinga hjá dómstólum þegar þeir fara með dómsvald er ekki talin ástæða eða rök til þess að raska þeirri hefð að svo stöddu.
Í 12. tölul. 2. gr. er hugtakið viðtakandi skilgreint sem einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem fær persónuupplýsingar afhentar, hvort sem hann er þriðji aðili eða ekki. Opinber yfirvöld sem kunna að fá persónuupplýsingar á grundvelli lögbundins hlutverks þeirra skulu þó ekki teljast viðtakendur.
Þar sem hinn skráði á m.a. rétt til þess samkvæmt lögunum að fá upplýsingar um þá viðtakendur sem persónuupplýsingum um hann hefur verið miðlað til er rétt að hugtakið sé skilgreint sérstaklega. Í því sambandi er áréttað að móttaka opinberra yfirvalda á persónuupplýsingum á grundvelli lögbundins hlutverks þeirra, sem eðli máls samkvæmt getur verið tíð og reglubundin, er undanskilin skilgreiningunni, þ.e. slík stjórnvöld teljast ekki til viðtakenda samkvæmt lögunum. Þetta er í fullu samræmi við skilgreiningu sama hugtaks í 10. tölul. 3. gr. tilskipunarinnar. Í 22. lið formála hennar segir að ekki eigi að líta á opinber yfirvöld sem fá í hendur persónuupplýsingar í samræmi við lagaskyldu í tengslum við opinber störf sín, svo sem skatta- og tollyfirvöld, einingar sem fara með rannsóknir á sviði fjármála, sjálfstæð yfirvöld á sviði stjórnsýslu eða yfirvöld fjármálamarkaða sem bera ábyrgð á reglusetningu og eftirliti með verðbréfamörkuðum, sem viðtakendur ef þau fá í hendur persónuupplýsingar sem eru nauðsynlegur þáttur í tiltekinni fyrirspurn í þágu almennra hagsmuna í samræmi við lög Evrópusambandsins eða lög aðildarríkis.
Í 13. tölul. er gerð persónusniðs skilgreint sérstaklega. Nánar er fjallað um hvenær og hvernig lögbærum yfirvöldum er heimilt að notast við gerð persónusniðs í 2. og 3. mgr. 6. gr. frumvarpsins.
Um 3. gr.
Í samræmi við þetta gilda lögin fyrst og fremst um alla vinnslu persónuupplýsinga sem fram fer hjá þeim stjórnvöldum sem hafa á höndum löggæslu, ákæruvald og fullnustu í svonefndum löggæslutilgangi, þ.e. til að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þar með talið vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Þá gilda lögin einnig um vinnslu annarra lögbærra yfirvalda þegar hún telst vera í löggæslutilgangi, t.d. hjá tollstjóra og eftir atvikum dómsmálaráðuneytinu en ráðuneytinu er samkvæmt lögum m.a. falið að annast meðferð erlendra réttarbeiðna um aðstoð við rannsókn sakamála og framsala sakamanna. Vinnsla persónuupplýsinga í þeim tilgangi kemur til með að falla undir gildissvið frumvarpsins. Lögin taka hins vegar ekki til vinnslu í sama tilgangi hjá dómstólum enda teljast þeir ekki til lögbærra yfirvalda samkvæmt 2. gr. frumvarpsins, samanber umfjöllun hér að framan.
Í niðurlagi 1. mgr. er tekið fram að lögin gilda um vinnslu annarra opinberra aðila eða einkaaðila í sama tilgangi og sem fram fer á grundvelli sérstakrar lagaheimildar eða vinnslusamnings við viðkomandi lögbært yfirvald. Er það nauðsynlegt þar sem að slíkir vinnsluaðilar geta ekki talist til lögbærra yfirvalda. Einkaaðilar sem geta fallið undir ákvæðið eru t.d. fjarskipta- og upplýsingatæknifyrirtæki sem aðstoða lögbær yfirvöld við verkefni sín í löggæslutilgangi á grundvelli vinnslusamnings.
Rétt er einnig að taka fram að frumvarp þetta hefur engin áhrif á rétt einstaklinga til aðgangs að gögnum sakamála á grundvelli laga um meðferð sakamála, nr. 88/2008, eða stjórnsýslulaga, nr. 37/1993.
Í 2. mgr. eru öll tvímæli tekin af um það að lögin gilda um alla vinnslu persónuupplýsinga óháð því hvort hún fari fram með sjálfvirkum eða öðrum hætti. Lögin gilda þannig jafnt um vinnslu sem er unnin í tölvu og handvirka vinnslu.
Samkvæmt ákvæði 3. mgr. fellur öll vinnsla persónuupplýsinga er lýtur að öryggis- og varnarmálum utan gildissviðs laganna, enda telst hún ekki fara fram í löggæslutilgangi. Er það í samræmi við gildissvið tilskipunarinnar en í 14. lið formála hennar segir m.a. að þar sem tilskipunin eigi ekki að gilda um vinnslu persónuupplýsinga í starfsemi sem fellur utan gildissviðs laga Evrópusambandsins á vinnsla í þágu þjóðaröryggis ekki að teljast starfsemi sem fellur undir gildissvið tilskipunarinnar. Er þetta einnig í samræmi við breytingarákvæði í 5.tölul. 37. gr. frumvarpsins sem kveður annars vegar á um að lög um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, gildi ekki um vinnslu í þágu öryggis- og varnarmála og hins vegar að III. bráðabirgðákvæði sömu laga skuli falla brott.
Með frumvarpinu er því verið að undanskilja öryggis- og varnarmál gildissviði laga á sviði persónuverndar. Er það gert til að samræma skuldbindingar á grundvelli EES-samningsins og Schengen-samstarfsins en öryggis- og varnarmál eru að öllu leyti undanskilin gildissviði hinnar almennu persónuverndarreglugerðar og löggæslutilskipunarinnar. Verður að telja eðli málaflokksins þess háttar að illa fari að fella hann undir gildissvið frumvarpsins eða almennra laga um persónuvernd, enda er regluverk Evrópusambandsins á þessu sviði ekki sniðið að slíkri starfsemi að neinu leyti. Sú tilhögun samkvæmt eldri persónuverndarlögum að undanskilja öryggis- og varnarmál gildissviði þeirra aðeins að hluta til var, eins og áður greinir, umfram skuldbindingar íslenska ríkisins samkvæmt samningunum um EES og Schengen. Til að samræma hugtakanotkun er með öryggis- og varnarmálum átt við það sem í tilskipuninni telst til þjóðaröryggis og í III. bráðabirgðaákvæði laga um persónuvernd og vinnslu persónuupplýsinga til landvarna og öryggi ríkisins.
Í 4. mgr. er svo sérstaklega tekið fram að öll vinnsla lögbærra yfirvalda á persónuupplýsingum sem ekki fer fram í löggæslutilgangi fellur undir gildissvið laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.
Um 4. gr.
Í a-lið kemur fram að persónuupplýsingar skuli vera unnar með lögmætum og sanngjörnum hætti og að í því felist að vinnslan verði að eiga sér stoð í lögum og vera nauðsynleg í löggæslutilgangi. Með þessu ákvæði er lögmætisregla a-liðar 1. mgr. 4. gr. og 8. gr. tilskipunarinnar innleidd en samkvæmt hinu síðarnefnda ákvæði skulu aðildarríki kveða á um að vinnsla sé einungis lögmæt ef og að því marki sem hún er nauðsynleg til að lögbært yfirvald geti unnið verk í löggæslutilangi og hún grundvallast á lögum Evrópusambandsins eða aðildarríkis. Lögmætisregla frumvarpsins er því þrengri en hliðstæða hennar í persónuverndarlögum að því leyti að krafa er gerð um það að vinnsla sé ávallt nauðsynleg í þeim löggæslutilgangi sem um ræðir hverju sinni.
Á hinn bóginn er ekki tekið fram í ákvæði tilskipunarinnar að vinnslan þurfi að vera gagnsæ líkt og kveðið er á um í hinni almennu persónuverndarreglugerð og kemur það hugtak því ekki fram í ákvæði þessa frumvarps. Engu að síður er í 26. lið formála tilskipunarinnar tekið fram að hvers kyns vinnsla persónuupplýsinga verði að vera lögmæt, sanngjörn og gagnsæ. Virðist því sem að hafa verði einnig hliðsjón af þessu skilyrði við túlkun lögmætisreglunnar, allt eftir því sem við á. Í sama lið formálans er hugtakið sett í samhengi við rannsóknaraðgerðir sem í eðli sínu eru ógagnsæjar en þar segir að í sjálfu sér komi skilyrðið um gagnsæi ekki í veg fyrir að löggæsluyfirvöld sinni starfsemi á borð við rannsóknir með aðstoð flugumanna eða rafrænni vöktun. Slíka starfsemi má framkvæma í þeim tilgangi að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi, svo fremi að mælt sé fyrir um slíkt í lögum og að það teljist nauðsynleg og hófleg ráðstöfun í lýðræðisþjóðfélagi, að teknu tilhlýðilegu tilliti til lögmætra hagsmuna hlutaðeigandi einstaklings.
Áskilnaður um lögmæti vinnslu felur ekki einungis í sér skírskotun til skráðra lagareglna heldur einnig til óskráðra grundvallarreglna um persónuvernd og friðhelgi einkalífs. Vinnsla telst ólögmæt ef tilgangur hennar fær ekki samrýmst almennum sjónarmiðum um persónuvernd. Slíkur lagagrundvöllur verður þó að vera skýr og nákvæmur og beitingin fyrirsjáanleg þeim sem falla þar undir, eins og krafist er í dómaframkvæmd Evrópudómstólsins og Mannréttindadómstóls Evrópu. Hér ber að hafa í huga að í íslenskum rétti hafa á grundvelli lögmætisreglu verið gerðar allstrangar kröfur til þess að takmarkanir á réttindum manna, þ.m.t. friðhelgi einkalífs, verði að eiga stoð í settum lögum en ekki t.d. stjórnvaldsfyrirmælum, sbr. til dæmis dóm Hæstaréttar frá 27. nóvember 2003, nr. 151/2003 (gagnagrunnsmál).
Í b-lið kemur fram tilgangsregla persónuverndarréttar, en þar er mælt fyrir um að gæta skuli að því að persónuupplýsingar séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Sama ákvæði kemur fram í b-lið 1. mgr. 4. gr. tilskipunarinnar. Með áskilnaði um að tilgangurinn sé skýr er átt við að hann skuli vera nægjanlega vel skilgreindur og afmarkaður til að vinnslan sé gagnsæ og auðskilin og komið í veg fyrir svo víðtæka tilgreiningu tilgangs að undir hann megi fella næstum hvað sem er, enda samrýmist slíkt ekki sjónarmiðum um persónuvernd. Því viðkvæmari persónuupplýsingar sem unnið er með og því meiri afleiðingar sem notkun þeirra getur haft í för með sér, þeim mun mikilvægara er að tilgangurinn sé skýrt afmarkaður. Þá ber að hafa í huga að varla er unnt að ákveða hvaða lágmarksupplýsingar þarf að vinna með fyrr en tilgangurinn er skýr og hlýtur val persónuupplýsinga að ráðast af því í hvaða samhengi á að nota þær. Loks skal tilgangur vinnslu vera málefnalegur. Með því er átt við að ekki má vinna með upplýsingar í hvaða tilgangi sem er, jafnvel þótt hann sé yfirlýstur og skýr. Við mat á þessu verður m.a. að skoða hvort markmiðið sé í samræmi þau hlutverk og verkefni sem hið lögbæra yfirvald hefur með höndum. Loks má samkvæmt þessu ákvæði ekki vinna með persónuupplýsingar í tilgangi sem er ósamrýmanlegur þeim tilgangi sem var með söfnun þeirra. Til þess að unnt sé að vinna persónuupplýsingar í öðrum tilgangi en var með upphaflegri söfnun þeirra og þessi síðari vinnsla fellur utan gildissviðs frumvarps þessa, verður að vera sérstök lagaheimild til staðar svo frekari vinnsla í öðrum tilgangi teljist lögmæt. Er þetta sérstaklega tekið fram í 1. mgr. 9. gr. tilskipunarinnar.
Mælt er fyrir um meðalhófsreglu í c-lið og má segja að hún skarist að einhverju leyti við ofangreinda tilgangsreglu. Í ákvæðinu segir að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki langt umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Samhljóða ákvæði er að finna í c-lið 1. mgr. 4. gr. tilskipunarinnar og þar er hugtakið „not excessive“ notað yfir umfang upplýsinganna. Reglan miðast þannig að nokkru við það sem kallað er „lágmörkun gagna“ en af orðalagi ákvæðisins er hins vegar ljóst að slakað er á kröfum til umfangs persónuupplýsinga miðað við hina almennu persónuverndarreglugerð, en samkvæmt samsvarandi ákvæði hennar skulu upplýsingar vera takmarkaðar við það sem nauðsynlegt er miðað við tilganginn með vinnslunni (limited to what is necessary). Er þessi munur rökstuddur með vísan til eðli þeirrar starfsemi sem frumvarpið tekur til en telja verður að veita verði löggæsluyfirvöldum ívið meira svigrúm að þessu leyti.
Með því að áskilja að upplýsingarnar séu nægjanlegar og viðeigandi er átt við að eðli þeirra og efni skuli þjóna yfirlýstum tilgangi. Ákvæðið mælir í raun fyrir um að vinnsla ábyrgðaraðila sé háð hlutfallssjónarmiði, sem er kjarni meðalhófsreglunnar, en með því er átt við að hún megi ekki ganga lengra en þörf krefur til að ná því markmiði sem ábyrgðaraðila er heimilt að ná. Samkvæmt reglunni skal einnig einungis vinna persónuupplýsingar ef ekki er unnt að ná tilgangi með vinnslunni á annan aðgengilegan hátt.
Í d-lið 1. mgr. gefur að finna áreiðanleikaregluna en hún gerir þá kröfu að persónuupplýsingar séu áreiðanlegar og uppfærðar eftir þörfum. Samhljóða ákvæði er að finna í d-lið 1. mgr. 4. gr. tilskipunarinnar. Persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar. Áreiðanleikaregluna verður hins vegar að skýra með hliðsjón af eðli og tilgangi viðkomandi vinnslu. Yfirlýsingar sem hafa að geyma persónuupplýsingar, t.d. í formi lögregluskýrslna eða nafnlausra ábendinga, byggja oftar en ekki á huglægu mati viðkomandi sem erfitt er að sannprófa. Af þeim sökum á krafan um áreiðanleika ekki við um efnislega nákvæmni yfirlýsingar heldur einungis um þá staðreynd að tiltekin yfirlýsing hafi verið sett fram af hálfu tiltekins aðila. Koma þessi sömu sjónarmið fram í 30. lið formála tilskipunarinnar. Við skýringu ákvæðis þessa verður einnig að hafa í huga að hin lögbæru yfirvöld falla öll undir lög um opinber skjalasöfn, en ákvæði þeirra takmarka verulega heimildir til eyðingar á persónuupplýsingum sem eru hluti af skjölum.
Í e-lið er kveðið á um varðveisluregluna sem vísar sérstaklega til þess á hvaða formi persónuupplýsingar eru varðveittar. Mælt er fyrir um að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu. Upplýsingar má með öðrum orðum ekki varðveita í persónugreinanlegu formi lengur en nauðsyn krefur í ljósi þess tilgangs sem var með söfnun þeirra og vinnslu. Ekki verður gefið einhlítt svar við því hversu lengi varðveita megi upplýsingar í persónugreinanlegu formi þar sem slíkt hlýtur að ráðast af aðstæðum hverju sinni. Þó liggur fyrir að persónuupplýsingar sem verða t.d. hluti af gögnum sakamáls verða vart varðveittar í þeim tilgangi í öðru formi en persónugreinanlegu. Samsvarandi ákvæði er í e-lið 1. mgr. 4. gr. tilskipunarinnar.
Loks er í f-lið 1. mgr. mælt fyrir um öryggiskröfur en í ákvæðinu segir að persónuupplýsingar skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt. Í samræmi við samsvarandi ákvæði í f-lið 4. gr. tilskipunarinnar er með viðeigandi öryggi m.a. átt við vernd gegn óleyfilegri eða ólögmætri vinnslu og gegn glötun, eyðileggingu eða tjóni fyrir slysni, með því að beita viðeigandi tæknilegum og skipulagslegum ráðstöfunum,
Í 2. mgr. greinarinnar er að finna reglu um síðari vinnslu í öðrum löggæslutilgangi en þar er kveðið á um að frekari vinnsla sama eða annars ábyrgðaraðila á persónuupplýsingum í löggæslutilgangi, öðrum en þeim sem leiddi til söfnunar upplýsinganna, er því aðeins heimil að hún eigi sér stoð í lögum, sé nauðsynleg og sé hófleg í samanburði við upphaflegan tilgang vinnslunnar. Sama ákvæði er að finna í 2. mgr. 4. gr. tilskipunarinnar og má segja að hér sé um ákveðna undantekningu frá tilgangsreglunni að ræða. Tekið skal fram að ákvæðinu er ekki ætlað að takmarka heimildir lögbærra yfirvalda samkvæmt öðrum lögum til að vinna persónuupplýsingar en til skýringar skal þess getið að til síðari vinnslu í skilningi ákvæðisins telst öll almenn greiningarvinna löggæsluyfirvalda sem gerð er á grundvelli persónuupplýsinga sem aflað hefur verið við rannsókn ótiltekins fjölda sakamála eða við aðra framkvæmd löggæslu á grundvelli lögreglulaga.
Í 3. mgr. er svo sérstaklega kveðið á um að vinnsla af hálfu sama eða annars ábyrgðaraðila á persónuupplýsingum í löggæslutilgangi geti m.a. falið í sér skjalavistun í þágu almannahagsmuna, notkunar á sviði vísinda, tölfræði eða sagnfræði, að því gefnu að viðeigandi verndarráðstafanir séu gerðar til að tryggja réttindi hins skráða. Sama ákvæði er að finna í 3.mgr. 4. gr. tilskipunarinnar.
Loks er í 4. mgr. mælt fyrir um svonefnda ábyrgðarreglu en þar segir að ábyrgðaraðili beri ábyrgð á og skuli geta sýnt fram á að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1., 2. og 3. mgr.
Um 5. gr.
Þannig er kveðið á um í 1. mgr. að við vinnslu persónuupplýsinga skuli, þar sem við á og eftir því sem kostur er, með skýrum hætti gera grein fyrir hvaða stöðu hinn skráði hafi, svo sem hvort hann hafi hlotið dóm, sé kærður eða grunaður um afbrot sé brotaþoli, vitni eða hafi annars konar tengsl við sakamál eða við framangreinda aðila þess, eða þegar vinnsla tengist ekki tilteknu sakamáli hvernig hann tengist vinnslu viðkomandi yfirvalds í löggæslutilgangi. Aðili sem grunaður er um undirbúning afbrots skal vera flokkaður á meðal grunaðra, enda er tilraun til afbrots almennt sjálfstæður refsiverður verknaður.
Í 2. mgr. er kveðið á um flokkun persónuupplýsinga eftir efni þeirra en í ákvæðinu segir að eftir því sem unnt er skuli aðgreina persónuupplýsingar byggðar á staðreyndum frá matskenndum upplýsingum.
Um 6. gr.
Með upplýsingum um kynþátt manns er fyrst og fremst vísað til upplýsinga um litarhátt hans. Með upplýsingum um þjóðernislegan uppruna er ekki átt við upplýsingar um ríkisfang, sem ekki eru taldar þurfa sérstaka vernd, heldur t.d. upplýsingar um það hvort viðkomandi tilheyri tilteknum minnihlutahópi.
Í 12. og 13. tölul. 2. gr. tilskipunarinnar eru hugtökin „erfðafræðilegar upplýsingar“ og „lífkenniupplýsingar“ skilgreind sérstaklega. Er með hinu fyrrgreinda átt við persónuupplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings sem gefa einkvæmar upplýsingar um lífeðlisfræði eða heilbrigði einstaklingsins og sem fást einkum með greiningu á líffræðilegu sýni frá viðkomandi einstaklingi. Síðara hugtakið er skilgreint sem persónuupplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstaklings og gera það kleift að greina eða staðfesta deili á einstaklingi með ótvíræðum hætti, svo sem andlitsmyndir eða gögn um fingraför.
Í 13. tölul. 2. gr. frumvarpsins er gerð persónusniðs (profiling) skilgreint sérstaklega sem hvers kyns sjálfvirk vinnsla persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika. Samkvæmt 11. gr. tilskipunarinnar skulu aðildarríki kveða á um að ákvörðun sem byggist einungis á sjálfvirkri gagnavinnslu, þ.m.t. gerð persónusniðs, og er íþyngjandi fyrir skráðan einstakling eða hefur önnur neikvæð áhrif á hann, sé óheimil án sérstakrar lagaheimildar. Slík heimild verði að kveða á um viðunandi verndarráðstafanir í tengslum við réttindi og frelsi skráða einstaklingsins, sérstaklega hvað varðar réttinn til mannlegrar íhlutunar af hálfu ábyrgðaraðilans. Í samræmi við þetta er í 2. mgr. kveðið á um að lögbærum yfirvöldum sé heimilt að vinna persónuupplýsingar með gerð persónusniða að því gefnu að vinnslan samræmist ákvæðum frumvarpsins og annarra viðkomandi laga. Þá er efnisregla 11. gr. tilskipunarinnar tekin upp og lagt bann við því að lögbær yfirvöld notist við gerð persónusniða til sjálfvirkrar ákvarðanatöku sem geti haft neikvæð áhrif á skráðan einstakling. Í 3. mgr. er svo kveðið á um að óheimil sé að gerð persónusniðs sem leiða til mismununar gegn einstaklingum á grundvelli viðkvæmra persónuupplýsinga er óheimil. Samsvarandi bannákvæði er að finna í 3. mgr. 11. gr. tilskipunarinnar.
Um 7. gr.
Í 1. mgr. er kveðið á um að þær skrár sem lögbærum yfirvöldum ber að halda samkvæmt lögum skulu uppfylla skilyrði frumvarps þessa um vinnslu og vernd persónuupplýsinga. Er þar m.a. verið að vísa til málaskrár lögreglu á grundvelli lögreglulaga sem rekin er á grundvelli upplýsingakerfis ríkislögreglustjóra, LÖKE. Með málaskránni í núverandi mynd eru eftirfarandi skrár sameinaðar í einni skrá: dagbók lögreglu, skýrslugerð, málaskrá, brotamannaskrá, handtökuskrá og málaskrá ákæruvalds. Nánar er mælt fyrir um skrár lögreglu í reglugerð nr. 322/2001 en ráðgert er að hún muni halda gildi sínu þar til að ný reglugerð verður sett á grundvelli frumvarps þessa, verði það að lögum. Aðrar skrár sem lögbærum yfirvöld er skylt að halda eru fingrafaraskrá samkvæmt sakamálalögum, erfðaefnisskrá samkvæmt lögum nr. 88/2001, ökuferilsskrá og ökuskírteinaskrá á grundvelli umferðarlaga, skotvopnaskrá samkvæmt vopnalögum og skrár tollyfirvalda á grundvelli tollalaga. Sérreglur um meðferð persónuupplýsinga vegna Schengen-upplýsingakerfanna er að finna í lögum nr. 16/2000. Í 1. mgr. 18. gr. þeirra laga segir að Persónuvernd skuli hafa eftirlit með því að skráning og meðferð persónuupplýsinga í upplýsingakerfinu sé í samræmi við lög þessi og reglur sem gilda um persónuvernd og friðhelgi einkalífs. Ákvæði frumvarps þessa koma því til með að vera lögum nr. 16/2000 til fyllingar, eftir því sem við á.
Þá segir að lögbærum yfirvöldum sé heimilt að skrá og varðveita persónuupplýsingar að því marki sem nauðsynlegt er í löggæslutilgangi og í samræmi við önnur ákvæði frumvarps þessa. Er það sjálfstætt álitaefni hverju sinni hvort tiltekin skrá sem taka skal í notkun krefjist sérstakrar lagastoðar með hliðsjón af eðli og umfangi þeirrar vinnslu persónuupplýsinga sem ætlað er að fari fram.
Í 2. mgr. er kveðið á um tilkynningarskyldu lögbærra yfirvalda til Persónuverndar vegna þeirra skráa sem þau halda. Samsvarandi ákvæði er nú að finna í 3. gr. reglugerðar nr. 322/2001.
Ákvæði 3. mgr. varðar sérstaklega þær skrár sem lögregla heldur og er þar mælt fyrir um að embætti ríkislögreglustjóra haldi allar skrár samkvæmt ákvæðum lögreglulaga en veiti jafnframt einstökum lögreglustjórum heimild til að halda þær skrár sem þeir telja nauðsynlegar í löggæslutilgangi. Samsvarandi ákvæði er nú í 2. gr. reglugerðar nr. 322/2001. Í i-lið 1. mgr. 5. gr. lögreglulaga segir að hlutverk ríkislögreglustjóra sé að halda málaskrá um kærur sem berast lögreglu um afbrot með öllum nauðsynlegum upplýsingum sem mál varða, dagbók lögreglu með upplýsingum um erindi til lögreglu og úrlausn þeirra, skrá yfir handtekna menn og aðrar skrár sem nauðsynlegar eru í þágu löggæsluhagsmuna til að afstýra yfirvofandi hættu eða sporna við afbrotum. Allar þessar skrár eru haldnar í LÖKE-kerfinu sem embættið rekur. Með orðalaginu að halda skrár er því átt við að ríkislögreglustjóri beri ábyrgð á rekstri og öryggi skránna en hins vegar er ljóst að einstakir lögreglustjórar teljast vera ábyrgðaraðilar samkvæmt frumvarpi þessu að því er varðar þær persónuupplýsingar sem þeir skrá hverju sinni í kerfið. Embætti ríkislögreglustjóra er því eingöngu ábyrgðaraðili að því er varðar þær persónuupplýsingar sem starfsmenn þess skrá í kerfið. Ákveði hins vegar ríkislögreglustjóri í samvinnu við einstök lögreglustjóraembætti tiltekna vinnslu persónuupplýsinga og aðferðir við hana myndu embættin teljast vera sameiginlegir ábyrgðaraðilar. Það fer því ekki sjálfkrafa saman að halda skrá og vera ábyrgðaraðili gagnvart þeim upplýsingum sem þar eru skráðar, sérstaklega að því er varðar miðlægar skrár.
Loks er í 4. mgr. kveðið sérstaklega á um að III. kafli frumvarpsins gildi um alla miðlun upplýsinga úr þeim skrám sem lögbær yfirvöld halda, auk þess að sérákvæði annarra laga gildi eftir því sem við á. Í því sambandi verður að hafa í huga að í ákvæðum 8.–11. gr. er mælt fyrir um almennar miðlunarheimildir. Ákvæði sérlaga sem fela í sér miðlunarheimildir til lögbærra yfirvalda geta því eftir atvikum aukið við eða takmarkað hinar almennu heimildir í frumvarpi þessu. Ákvæði 8.–11. gr. eru þannig til viðbótar og fyllingar þeim heimildum sem lögbær yfirvöld hafa á grundvelli annarra laga, hvort sem slíkar heimildir eru sértækar um tiltekna miðlun eða leiðir af almennum lagaákvæðum um hlutverk, verkefni og samvinnu hins lögbæra yfirvalds við önnur stjórnvöld og einkaaðila.
Um 8. gr.
Í 2. mgr. er kveðið á um sams konar upplýsingamiðlun til annarra aðila en lögbærra yfirvalda, þ.e. þegar lögbær yfirvöld miðla upplýsingum í löggæslutilgangi til annarra opinberra aðila eða einkaaðila. Með miðlun í löggæslutilgangi er fyrst og fremst átt við þau tilvik þar sem lögbært yfirvald óskar eftir aðstoð utanaðkomandi aðila til að sinna tilteknu verkefni í löggæslutilgangi. Þar sem í slíkum tilvikum er verið að miðla upplýsingum út fyrir refsivörslukerfið með tilheyrandi hættu fyrir vernd einstaklinga er miðlunin háð ströngum skilyrðum. Annars vegar er gerð krafa um að brýna nauðsyn beri til miðlunarinnar og hins vegar að þeir hagsmunir sem miðluninni er ætlað að tryggja, þ.e. þeir hagsmunir sem eru undir í viðkomandi verkefni í löggæslutilgangi, séu bersýnilega ríkari en réttur hins skráða til verndar. Með þessu er ætlunin að koma í veg fyrir að upplýsingum sé miðlað í löggæslutilgangi til annarra en lögbærra yfirvalda nema brýna nauðsyn beri til í málum sem varða umtalsverða almanna- eða einkahagsmuni. Er þessi efnislega útfærsla ákvæðisins talin skapa skýrari ramma um heimild til miðlunar heldur en sambærilegt ákvæði í 4. tölul. 6. gr. reglugerðar nr. 322/2001 sem kveður á um að lögreglu sé heimilt að miðla upplýsingum til annarra opinberra aðila og einkaaðila ef það er nauðsynlegt til að koma í veg fyrir alvarlega og aðsteðjandi hættu. Í 34. lið formála tilskipunarinnar er gert ráð fyrir því að lögbærum yfirvöldum geti verið nauðsynlegt að miðla upplýsingum í löggæslutilgangi til annarra aðila og eigi þá ákvæði tilskipunarinnar að ná til slíkrar miðlunar. Sem dæmi um miðlun í þessum tilgangi má nefna þegar lögreglu er nauðsynlegt að óska eftir liðsinni björgunarsveita, t.d. við leit í kjölfar mannshvarfs, en við undirbúning og framkvæmd slíkra aðgerða verður eðli máls samkvæmt að miðla upplýsingum frá lögbæru yfirvaldi til einkaaðila í skilningi ákvæðis þessa.
Í þessu sambandi er rétt að taka fram að öll reglubundin miðlun eða upplýsingaskipti á grundvelli annarra laga vegna samvinnu viðkomandi lögbærs yfirvalds við önnur stjórnvöld eða einkaaðila falla ekki undir ákvæðið, enda þótt þau séu hluti af starfi hins lögbæra yfirvalds í löggæslutilgangi. Ákvæði 2. mgr. hefur þannig engin áhrif á heimildir til miðlunar samkvæmt öðrum lögum, heldur hefur, eins og að ofan greinir, að geyma þrönga heimild til miðlunar í því skyni að veita viðkomandi stjórnvaldi eða einkaaðila beina aðkomu að verkefni í löggæslutilgangi.
Um 9. gr.
Um 10. gr.
Mikilvæga undantekningu er þó að finna í 61. gr. tilskipunarinnar, en aðildarríki Evrópusambandsins lögðu mikla áherslu á hana í undirbúningsferlinu. Hún felst í því að ákvæðum 5. kafla er ekki ætlað að hrófla við þeim miðlunarheimildum sem aðildarríki hafa notast við fram að gildistöku tilskipunarinnar og byggja á alþjóða- og milliríkjasamningum sem þau hafa þegar gert og eru skuldbundin af. Í samræmi við það er ákvæði í 8. mgr. þess efnis að ákvæði 10. gr. hafi ekki áhrif á miðlun íslenskra stjórnvalda á grundvelli alþjóðlegra skuldbindinga sem Ísland gekkst undir fyrir 6. maí 2016, þ.e. fyrir gildistöku tilskipunarinnar. Er þannig tryggt að ákvæði 10. gr. raski ekki þeim ramma sem nú er utan um upplýsingaskipti íslenskra stjórnvalda á grundvelli alþjóðasamninga við önnur ríki. Sams konar ákvæði er að finna í norskum rétti.
Í liðum 64–73 í formála tilskipunarinnar er finna nánari skýringar á þeim miðlunarheimildum sem mælt er fyrir um í ákvæðum 10. gr. en þar segir m.a. að aðildarríki eigi að tryggja að miðlun upplýsinga til þriðja ríkis eða alþjóðastofnunar fari einungis fram ef það er nauðsynlegt í löggæslutilgangi og að ábyrgðaraðili í þriðja ríki eða alþjóðastofnun sé lögbært yfirvald í skilningi tilskipunarinnar. Einungis lögbær yfirvöld, sem koma fram sem ábyrgðaraðilar, eiga að miðla upplýsingum, nema þegar vinnsluaðilar hafa skýr fyrirmæli um að annast miðlunina fyrir hönd ábyrgðaraðila. Þá segir jafnframt að þegar persónuupplýsingum er miðlað til ábyrgðaraðila, vinnsluaðila eða annarra viðtakenda í þriðju ríkjum eða hjá alþjóðastofnunum eigi það ekki að grafa undan þeirri vernd einstaklinga sem kveðið er á um í tilskipuninni, þ.m.t. við framsendingu persónuupplýsinga frá þriðja ríkinu eða alþjóðastofnuninni til ábyrgðaraðila eða vinnsluaðila í sama eða öðru þriðja ríki eða hjá annarri alþjóðastofnun.
Að því er sérstaklega varðar miðlun á grundvelli b- og c-liðar 1. mgr. er í 71. lið formálans að finna skýringar á því hvaða kröfur eru gerðar til viðeigandi verndarráðstafana en þar segir að miðlun, sem ekki byggist á ákvörðun framkvæmdastjórnar Evrópusambandsins um að vernd sé fullnægjandi, eigi því aðeins að vera heimil að kveðið hafi verið á um viðeigandi verndarráðstafanir í lagalega bindandi gerningi sem tryggir vernd persónuupplýsinga eða að ábyrgðaraðili hafi kannað allar aðstæður er varða miðlun upplýsinganna og telji, á grundvelli þess mats, að viðeigandi verndarráðstafanir að því er varðar vernd persónuupplýsinga séu fyrir hendi. Slíkir lagalega bindandi gerningar geta t.d. verið lagalega bindandi tvíhliða samningar sem aðildarríkin hafa gert og tekið upp í réttarkerfi sitt og sem skráðir einstaklingar þeirra geta framfylgt. Slíkir samningar skulu tryggja að farið sé að kröfum um persónuvernd og að réttindi skráðra einstaklinga séu virt, m.a. til að leita réttar síns fyrir stjórnsýsluyfirvaldi eða dómstólum með skilvirkum hætti. Við mat á grundvelli c-liðar 1. mgr. segir enn fremur að ábyrgðaraðili eigi, við mat á öllum aðstæðum sem tengjast miðlun upplýsinganna, að geta t.d. tekið mið af samstarfssamningum sem gerðir hafa verið á milli Evrópsku lögregluskrifstofunnar (Europol) eða Evrópsku réttaraðstoðarinnar (Eurojust) og þriðju ríkja sem heimila skipti á persónuupplýsingum. Ábyrgðaraðilinn eigi einnig að geta tekið mið af þeirri staðreynd að miðlun persónuupplýsinga mun verða háð trúnaðarskyldum og meginreglunni um sértæki (principle of specificity), sem tryggir að upplýsingarnar verði ekki unnar í öðrum tilgangi en þeim sem lá að baki miðlun þeirra. Auk þess eigi ábyrgðaraðilinn að ganga úr skugga um að persónuupplýsingarnar verði ekki notaðar til að fara fram á, kveða upp eða framkvæma dauðarefsingu eða viðhafa aðra grimmilega og ómannúðlega meðferð. Loks er kveðið á um að þótt þessi skilyrði teljist öll viðeigandi verndarráðstafanir til að heimila miðlun upplýsinga eigi ábyrgðaraðilinn engu að síður að geta krafist frekari verndarráðstafana sem hann telur ástæðu til hverju sinni. Af þessu má ráða að ábyrgðaraðili hefur nokkuð svigrúm við mat á því hvað teljist viðeigandi verndarráðstafanir í skilningi ákvæðisins.
Um miðlun á grundvelli 3. mgr. segir í 72. lið formálans að miðlun eða flokkur miðlana eigi einungis að fara fram í sérstökum tilvikum ef nauðsyn krefur til að vernda brýna hagsmuni skráða einstaklingsins eða annars einstaklings eða til að vernda lögmæta hagsmuni skráða einstaklingsins, ef kveðið er á um það í lögum aðildarríkisins sem miðlar persónuupplýsingunum, til að koma í veg fyrir bráða og alvarlega ógn við almannaöryggi í aðildarríkinu eða í þriðja ríki, í einstöku tilviki í löggæslutilgangi eða, í einstöku tilviki, til að unnt sé að stofna, nýta eða verja réttarkröfur. Þá segir að þessar undanþágur eigi að túlka þröngt og ekki eigi að heimila tíða, umfangsmikla og kerfislæga miðlun persónuupplýsinga eða miðlun upplýsinga í miklum mæli heldur takmarka hana við þær upplýsingar sem eru nauðsynlegar í þeim tilgangi sem miðlunin miðar að. Skrá ætti slíka miðlun og gera skráninguna aðgengilega eftirlitsyfirvaldinu að beiðni þess til að unnt sé að fylgjast með lögmæti miðlunarinnar. Er því um að ræða undantekningu frá meginreglunni um að til staðar verði að vera viðunandi verndarráðstafanir um vernd persónuupplýsinga. Heimildina, sem byggir m.a. á sjónarmiðum um neyðarrétt, ber þannig almennt að túlka þröngt.
Lok segir í 73. lið formálans um miðlun á grundvelli 5. mgr. að í sérstökum tilvikum kunni hefðbundnar málsmeðferðarreglur, sem krefjast þess að haft sé samband við lögbært yfirvald í þriðja ríkinu, að vera óskilvirkar eða ekki við hæfi, einkum vegna þess að ekki var unnt að miðla upplýsingum í tæka tíð eða vegna þess að yfirvaldið í þriðja ríkinu virðir ekki grunnreglur réttarríkisins eða alþjóðlegar reglur og viðmiðanir um mannréttindi, og því geti lögbær yfirvöld í aðildarríkjunum ákveðið að miðla persónuupplýsingum beint til viðtakenda með staðfestu í þessum þriðju ríkjum. Þetta geti átt við þegar fyrir liggur brýn þörf á að miðla persónuupplýsingum til að bjarga lífi þolanda tiltekins afbrots eða til þess að koma í veg fyrir yfirvofandi hættu á að afbrot verði framið, þ.m.t. hryðjuverk.
Í 7. mgr. er annars vegar fjallað um það þegar lögbær yfirvöld miðla upplýsingum til þriðja ríkis eða alþjóðastofnunar sem eiga uppruna sinn í öðru EES-ríki og hins vegar þegar þriðja ríki framsendir upplýsingar sem það hefur fengið frá lögbæru yfirvaldi hér á landi til annars ríkis utan EES eða alþjóðastofnunar. Í fyrrgreinda tilvikinu ber lögbæra yfirvaldinu að afla leyfis upprunaríkis áður en upplýsingarnar eru sendar til þriðja ríkis eða alþjóðastofnunar. Þá segir í niðurlagi ákvæðisins að engu að síður sé heimilt að senda upplýsingar án slíks leyfis ef miðlunin er nauðsynleg til þess að koma í veg fyrir bráða og alvarlega ógn við almannaöryggi viðkomandi ríkis eða aðra ríka hagsmuni EES-ríkis og ljóst er að ekki er unnt að afla leyfis í tæka tíð. Upplýsa ber um miðlunina án tafar til þess ríkis sem veita hefði átt leyfi fyrir henni. Að því er varðar síðargreint tilvik er kveðið á um að sjá skuli til þess að þriðja ríki sem fengið hefur upplýsingar frá lögbæru yfirvaldi áframsendir þær ekki til annars þriðja ríkis eða alþjóðastofnunar nema að undanfengnu leyfi viðkomandi lögbærs yfirvalds.
Um 11. gr.
Frumskilyrði þess að miðlun sé heimil samkvæmt fyrri málslið ákvæðisins er að hún sé nauðsynleg til að viðtakandi upplýsinganna geti sinnt lögboðnu hlutverki sínu eða gætt annarra lögvarinna hagsmuna. Þá er í 1. tölul. 34. gr. kveðið á um að ráðherra skuli setja reglugerð þar sem nánar er kveðið á um hvenær miðlun er heimil. Er þannig gert ráð fyrir að í reglugerð verði sem næst komist að telja upp með tæmandi hætti þau tilvik þar sem lögbærum yfirvöldum er heimilt að miðla upplýsingum til annarra stjórnvalda og einkaaðila. Er það eðlilegt í ljósi þess að hér er gert ráð fyrir, líkt og í 2. mgr. 8. gr., að persónuupplýsingum, sem safnað hefur verið af lögbærum yfirvöldum í löggæslutilgangi, er miðlað út fyrir mengi þessara yfirvalda. Rík sjónarmið um nauðsyn þess að tryggja rétt einstaklinga til verndar krefjast þess þannig að skýrt sé kveðið á um miðlunarheimildir með atviksbundnum hætti. Engu að síður var við samningu frumvarpsins ákveðið að haga orðalagi ákvæðisins með þeim hætti að unnt sé að byggja miðlun á lagaákvæðinu einu og sér, enda nauðsynlegt talið að eitthvert svigrúm sé til staðar að þessu leyti. Þá almennu miðlunarheimild ber hins vegar að túlka þröngt og takmarkast hún einnig eðli máls samkvæmt af þagnarskylduákvæðum í lögum.
Samsvarandi ákvæði í 6. gr. reglugerðar nr. 322/2001 kveður með tæmandi hætti á um þau tilvik sem lögreglu er heimilt að miðla upplýsingum til annarra stjórnvalda og einkaaðila. Verði frumvarpið að lögum mun 6. gr. reglugerðarinnar þannig öðlast skýra lagastoð, t.d. ákvæði 4. tölul. hennar um heimild lögreglu til að miðla persónuupplýsingum til tryggingafélaga til uppgjörs á tjóni. Er það skýrt dæmi um tilvik þar sem einkaaðila er nauðsynlegt að fá í hendur persónuupplýsingar til að sinna lögbundnu hlutverki sínu. Að sama skapi má nefna sem dæmi þegar húsfélög þurfa tilteknar persónuupplýsingar frá lögreglu til að geta farið fram á útburð úr fjöleignarhúsi. Er slík miðlun nauðsynleg er til að vernda lögvarða hagsmuni í skilningi ákvæðisins.
Í niðurlagi 1. mgr. er svo kveðið á um að miðlun persónuupplýsinga til þessara sömu aðila sé heimil samkvæmt ótvíræðu samþykki hins skráða. Er það í samræmi við meginreglur persónuverndarréttar en sérstaklega skal bent á að hér er einungis um heimild að ræða en ekki skyldu lögbærra yfirvalda til miðlunar á grundvelli samþykkis hins skráða. Persónuupplýsingum verður t.d. ekki miðlað á grundvelli samþykkis ef einhver þau sjónarmið sem fram koma í 3. mgr. 13. gr. frumvarpsins mæla gegn því.
Með hliðsjón af 34. lið formála tilskipunarinnar er í 3. mgr. kveðið á um að ákvæði laga um persónuvernd og vinnslu persónuupplýsinga gildi að öðru leyti um miðlun á grundvelli greinarinnar og vinnslu viðtakanda á upplýsingunum, en hún takmarkast eðli máls samkvæmt við þann tilgang sem viðkomandi stjórnvald eða einkaaðili fær upplýsingarnar afhentar í. Í samræmi við það er ábyrgðaraðila heimilt að mæla fyrir um takmarkanir á frekari vinnslu viðtakanda á persónuupplýsingum.
Um 12. gr.
Um 13. gr.
Ákvæði 13. gr. innleiða ákvæði 13.–15. gr. tilskipunarinnar um þær upplýsingar sem skal gera hinum skráða aðgengilegar annars vegar og rétt hans til aðgangs að persónuupplýsingum hins vegar, auk takmarkana á þeim rétti. Að því er varðar upplýsingar sem gera skal hinum skráða aðgengilegar er t.d. átt við upplýsingar um ábyrgðaraðila, persónuverndarfulltrúa, tilgang fyrirhugaðrar vinnslu og rétt hans samkvæmt öðrum ákvæðum kaflans og til að leggja fram kvörtun hjá Persónuvernd. Hér er því um að ræða almennar upplýsingar sem eiga að auðvelda hinum skráða að neyta réttar síns til aðgangs að upplýsingum. Með c-lið 1. mgr. um fyrirhugaða vinnslu er t.d. átt við þá vinnslu persónuupplýsinga sem viðkomandi ábyrgðaraðili hefur almennt á höndum en ekki tiltekna vinnslu sem beinist að hinum skráða. Er gert ráð fyrir að upplýsingar samkvæmt 1. mgr. geti t.d. komið fram á heimasíðu ábyrgðaraðila og þannig verið hinum skráða aðgengilegar.
Í 2. mgr. er kveðið á um rétt hins skráða til vitneskju um vinnslu persónuupplýsinga og aðgangs að þeim upplýsingum. Í stafliðum a–f eru þær upplýsingar taldar upp sem hinn skráði á rétt til aðgangs að en þær eru tilgangur og lagagrundvöllur vinnslu, hvaða flokki upplýsingar tilheyra, sbr. 5. og 6. gr. frumvarpsins, upplýsingar um viðtakendur persónuupplýsinga, uppruna þeirra, varðveislu og rétt hans til að fara fram á leiðréttingu upplýsinga, eyðslu þeirra og takmörkun á vinnslu, auk upplýsinga um rétt hans til að leggja fram kvörtun hjá Persónuvernd. Rétt er að taka fram að réttur hins skráða til upplýsinga er háður því að hann leggi fram beiðni þess efnis. Þá er áréttað að réttur hans er takmarkaður við aðgang að upplýsingum og felst þannig í ákvæðinu ekki óskorinn réttur hans til að fá afhent afrit af þeim upplýsingum sem hann á annars rétt til aðgangs að. Er sú tilhögun ekki síður fallin til að vernda hagsmuni hins skráða sjálfs. Þannig er t.d. unnt að koma í veg fyrir að þriðji aðili, eftir atvikum atvinnurekandi eða leigusali, geti aflað sér persónuupplýsinga um hinn skráða í gegnum rétt hans til upplýsinganna. Loks skal tekið fram að réttur hins skráða samkvæmt þessu ákvæði hefur ekki áhrif á rétt hans til aðgangs að gögnum sakamáls á grundvelli laga um meðferð sakamála.
Í 3. mgr. er mælt fyrir um takmarkanir á rétti hins skráða samkvæmt 2. mgr. en í ákvæðinu segir að synja megi beiðni að hluta eða öllu leyti ef það telst nauðsynlegt, að teknu tilliti til lögmætra hagsmuna og réttinda hins skráða til verndar, í eftirfarandi tilgangi: vegna rannsóknar sakamáls, málsmeðferðar eða annarrar starfsemi hjá lögbæru yfirvaldi í löggæslutilgangi, í þágu þjóðar- eða almannaöryggis eða til að vernda hagsmuni annars en hins skráða. Þessar takmarkanir eru grundvallarforsenda fyrir því að lögbær yfirvöld geti sinnt hlutverki sínu enda ljóst að óskoraður eða rýmri réttur einstaklinga til upplýsinga myndi torvelda mjög allt löggæslustarf í landinu. Þessar takmarkanir verði því ávallt að túlka í samræmi við eðli þess starfs sem viðkomandi lögbært yfirvald hefur að gegna, auk þess sem hafa skal til hliðsjónar við túlkun samsvarandi ákvæði 3. mgr. 13. gr. tilskipunarinnar, en í a-lið þess er kveðið á um að synja megi beiðni til þess að hindra að staðið verði í vegi fyrir opinberri eða lagalegri rannsókn, athugun eða málsmeðferð. Er a-lið 3. mgr. þannig ætlað að vera efnislega samhljóða a- og b-lið 3. mgr. 13. gr. tilskipunarinnar.
Í 4. mgr. er sú skylda lögð á herðar ábyrgðaraðila að tilkynna hinum skráða, skriflega og án ótilhlýðilegrar tafar, um hvers kyns synjun eða takmörkun á aðgangi og ástæður fyrir ákvörðuninni. Með sömu rökum og að ofan greinir fellur sú tilkynningarskylda niður að hluta eða öllu leyti ef ljóst er að hún samræmist ekki tilgangi synjunarinnar, t.d. vegna rannsóknarhagsmuna tiltekins sakamáls. Ávallt skal þó tilkynna um rétt hins skráða til að leggja fram kvörtun hjá Persónuvernd. Eðli máls samkvæmt má því ætla að í framkvæmd muni lögbær yfirvöld fyrst og fremst nýta þessa heimild til að greina ekki frá ástæðum synjunar.
Um 14. gr.
Í 2. mgr. er kveðið á um að rétt hins skráða til að fá upplýsingum er varða hann sjálfan eytt ef í ljós kemur að vinnsla þeirra hefur brotið gegn 4. eða 6. gr. laganna eða þegar ábyrgðaraðila er skylt að lögum að eyða upplýsingum. Samhljóða ákvæði er að finna í 2. mgr. 16. gr. tilskipunarinnar. Í ljósi meginreglu 1. mgr. verður að telja að skýra beri þessa undantekningu nokkuð þröngt þannig að hún leiði ekki til eyðingar skjala sem eru afhendingarskyld til opinbers skjalasafns.
15. gr.
Um 16. gr.
Samkvæmt skýringum í 47. lið formála tilskipunarinnar á t.d. að beita slíkri takmörkun ef gild ástæða er til að ætla að eyðing upplýsinga kunni að hafa áhrif á lögmæta hagsmuni hins skráða. Í því tilviki ætti einungis að vinna upplýsingar sem aðgangur hefur verið takmarkaður að í þeim tilgangi sem varð til þess að þeim var ekki eytt.
Aðferðir til að auðkenna varðveislu persónuupplýsinga geta m.a. falið í sér að færa valdar upplýsingar í annað vinnslukerfi, svo sem vegna skjalavistunar, eða gera valdar upplýsingar óaðgengilegar. Í sjálfvirkum skráningarkerfum ætti að jafnaði að tryggja takmörkun vinnslunnar með tæknilegum aðgerðum. Tilgreina ætti einnig með skýrum hætti í kerfinu að vinnsla persónuupplýsinga sé takmörkuð.
Um 17. gr.
Um 18. gr.
Í 1. mgr. 18. gr. er mælt fyrir um þá skyldu ábyrgðaraðila að gera viðeigandi ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar sem og réttindum hins skráða til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur frumvarpsins. Er með viðeigandi ráðstöfunum átt við allar tæknilegar og skipulagslegar ráðstafanir sem eðlilegt er að ábyrgðaraðili grípi til.
Samsvarandi ákvæði er að finna í 19. gr. tilskipunarinnar og í 50. lið formála hennar eru þessi sjónarmið áréttuð og tekið fram að ábyrgðaraðilanum ætti einkum að vera skylt að gera viðeigandi og skilvirkar ráðstafanir í þessu skyni og að hann ætti að vera fær um að sýna fram á að vinnslan fari fram í samræmi við tilskipunina, þ.m.t. að því er varðar skilvirkni umræddra ráðstafana. Ættu þær að taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi einstaklinga. Ráðstafanirnar sem ábyrgðaraðilinn gerir ættu að taka til þess að koma á og framkvæma sérstakar verndarráðstafanir að því er varðar meðferð persónuupplýsinga um viðkvæma einstaklinga, svo sem börn. Þá er í 51. lið formálans varpað frekara ljósi á hvernig beri að meta áhættur fyrir réttindi og frelsi einstaklings. Vísað er þar til þess að vinnsla kann að leiða til mislíklegrar og misalvarlegrar áhættu fyrir réttindi og frelsi einstaklinga sem getur leitt af sér efnislegt tjón, eignatjón og óefnislegt tjón, einkum þegar vinnslan getur haft í för með sér mismunun, auðkennisþjófnað eða svik, fjárhagstjón, skaða á orðstír, trúnaðarbrest um persónuupplýsingar sem njóta verndar á grundvelli þagnarskyldu, að notkun gerviauðkenna sé aflétt í leyfisleysi eða annað umtalsvert efnahagslegt eða félagslegt óhagræði. Nánar er í dæmaskyni nefnt það þegar skráðir einstaklingar geta misst réttindi sín og frelsi eða verið hindraðir í að stjórna eigin persónuupplýsingum og þegar persónuupplýsingar eru unnar sem leiða í ljós kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, heimspekilega sannfæringu eða stéttarfélagsaðild. Einnig er í þessu sambandi sérstaklega tilgreind vinnsla erfðafræðilegra upplýsinga, upplýsinga sem varða heilsu, upplýsinga um kynlíf og upplýsingar úr sakaskrá og tengdar öryggisráðstafanir. Þá er það sérstaklega nefnt þegar lagt er mat á persónulega þætti, einkum við að greina eða spá fyrir um atriði er varða frammistöðu í starfi, fjárhagsstöðu, heilsuhagi, smekk eða áhugamál, áreiðanleika eða hegðun, staðsetningu eða hreyfanleika í því skyni að útbúa eða nota persónusnið, sem og það þegar persónuupplýsingar einstaklinga í viðkvæmri stöðu, einkum barna, eru unnar og þegar vinnsla tekur til mikils magns persónuupplýsinga og hefur áhrif á marga skráða einstaklinga.
Í 2. mgr. er að finna ákvæði um sameiginlega ábyrgðaraðila en það þarfnast ekki frekari skýringa.
Um 19. gr.
Í 2. mgr. er mælt fyrir um að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Með hliðsjón af samsvarandi ákvæði í 2. mgr. 20. gr. tilskipunarinnar felur skylda ábyrgðaraðila í sér að honum beri að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir í þessu skyni. Skylda ábyrgðaraðila að þessu leyti gildir einnig um það hversu miklum persónuupplýsingum er safnað, að hvaða marki unnið er með þær, hversu lengi þær eru varðveittar og um aðganginn að þeim. Einkum skal tryggja með slíkum ráðstöfunum að það sé sjálfgefið að persónuupplýsingar verði ekki gerðar aðgengilegar ótakmörkuðum fjölda fólks án íhlutunar viðkomandi einstaklings.
Efni 20. gr. tilskipunarinnar er skýrt nánar í 53. lið formála hennar en þar segir að til að vernda réttindi og frelsi einstaklinga að því er varðar vinnslu persónuupplýsinga sé nauðsynlegt að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að kröfum þessarar tilskipunar sé fullnægt. Framkvæmd slíkra ráðstafana ætti ekki eingöngu að ráðast af sjónarmiðum um kostnað. Til að geta sýnt fram á farið sé að ákvæðum tilskipunarinnar á ábyrgðaraðilinn að setja sér innri stefnu og innleiða ráðstafanir sem fylgja einkum meginreglunum um innbyggða persónuvernd og sjálfgefna persónuvernd. Ef ábyrgðaraðilinn hefur framkvæmt mat á áhrifum á persónuvernd samkvæmt þessari tilskipun ætti að taka tillit til niðurstaðnanna við þróun þessara ráðstafana og verklagsreglna. Ráðstafanirnar geta m.a. falist í notkun gerviauðkenna en í tilskipuninni er slík notkun skilgreind þannig að unnið er með persónuupplýsingar sem ekki er lengur hægt að rekja til tiltekins skráðs einstaklings án viðbótarupplýsinga, að því tilskildu að slíkum viðbótarupplýsingum sé haldið aðgreindum og að beitt sé tæknilegum og skipulagslegum ráðstöfunum til að tryggja að persónuupplýsingarnar sé ekki hægt að rekja til persónugreinds eða persónugreinanlegs einstaklings.
Um 20. gr.
Í 1. mgr. ákvæðisins er tekið fram að ábyrgðaraðili megi aðeins leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi ráðstafanir til að vinnsla uppfylli kröfur frumvarpsins og réttindi skráðra einstaklinga séu tryggð. Með viðeigandi ráðstöfunum er átt við bæði tæknilegar og skipulagslegar ráðstafanir. Þá er nánar tryggt í 2. mgr. frumvarpsins að vinnsluaðili geti ekki leitað til annars vinnsluaðila, þ.e. svonefnds undirvinnsluaðila (sub-processor), nema hafa til þess sértæka eða almenna skriflega heimild ábyrgðaraðila. Ef um er að ræða almenna skriflega heimild skal vinnsluaðilinn tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum færi á að andmæla slíkum breytingum.
Samkvæmt 3. mgr. er það skilyrði þess að ábyrgðaraðili feli öðrum að vinna með persónuupplýsingar á sínum vegum að vinnslusamningur liggi fyrir eða önnur réttargerð samkvæmt lögum sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og tilgreinir viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans. Í 4. mgr. eru talin upp í ítarlegu máli frekari atriði sem skulu koma fram í slíkum samningi.
Samkvæmt 5. mgr. skal vinnslusamningur eða viðkomandi réttargerð ávallt vera skrifleg og geta ábyrgðaraðili og vinnsluaðili valið að nota stakan samning eða föst samningsákvæði sem annaðhvort framkvæmdastjórn Evrópusambandsins samþykkir beint eða eftirlitsstofnun í aðildarríkinu samþykkir í samræmi við hið svonefnda samræmingarkerfi og framkvæmdastjórnin samþykkir í kjölfarið. Þessu kerfi var komið á fót með hinni almennu persónuverndarreglugerð og er ætlað að samræma framkvæmd reglugerðarinnar í öllum aðildarríkjum. Persónuvernd hefur nú þegar gefið út leiðbeiningar þar sem finna má drög að föstum samningsákvæðum í vinnslusamningi og má því ætla að slík samningsákvæði verði til staðar fyrir fyrirtæki og stofnanir.
Þá gildir sú meginregla samkvæmt 6. mgr. að brjóti vinnsluaðili í bága við ákvæði frumvarpsins þegar hann ákveður tilgang og aðferðir við vinnslu telst hann vera ábyrgðaraðili varðandi þá vinnslu.
Loks er í 7. mgr. kveðið á um þagnarskyldu vinnsluaðila og starfsmanna á hans vegum. Er það nauðsynlegt í ljósi þess að vinnsluaðili getur verið einkaaðili sem ekki er bundinn af öðrum þagnarskylduákvæðum í lögum.
Um 21. gr.
Um 22. gr.
Í 1. mgr. er talið upp í ítarlegu máli í níu stafliðum hvaða upplýsingar eiga að koma fram í skrá samkvæmt ákvæðinu. Helstu atriði sem þar þurfa að koma fram eru heiti og samskiptaupplýsingar ábyrgðaraðila, eftir atvikum sameiginlegs ábyrgðaraðila og persónuverndarfulltrúa, í hvaða tilgangi persónuupplýsingar eru unnar, að hvaða einstaklingum þær lúta, hvenær þær eru unnar, af hverjum og hversu lengi, hvar og hversu lengi þær eru varðveittar og ef mögulegt er almenn lýsing á tæknilegum og skipulagslegum öryggisráðstöfunum.
Í e-lið 1. mgr. er kveðið á um að ábyrgðaraðili skuli skrásetja í vinnsluskrá hvort hann noti svokallað persónusnið. sem þurfa að koma fram þar eru áþekk því sem gildir um ábyrgðaraðila en lúta þó fyrst og fremst að því hvaða flokkar vinnslu fara fram fyrir þann síðarnefnda. Áskilið er í 3. mgr. að skrár yfir vinnslustarfsemi séu skriflegar, þ.m.t. á rafrænu formi. Þá ber ábyrgðaraðilum og vinnsluaðilum að hafa slíkar skrár aðgengilegar fyrir Persónuvernd á hverjum tíma, sbr. 4. mgr.
Um 23. gr.
Í 1. mgr. er kveðið á um að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga, einkum að því er varðar vinnslu viðkvæmra persónuupplýsinga samkvæmt 6. gr. Er eins og áður í þessu sambandi átt við allar tæknilegar og skipulagslegar ráðstafanir. Án efa er mikilvægasta og skilvirkasta ráðstöfunin í þeim efnum að nota dulkóðun en sú aðferð er sérstaklega nefnd í 60. lið formála tilskipunarinnar.
Ákvæði 2. mgr. lýtur að þeim kröfum sem gerðar eru til að tryggja öryggi persónuupplýsinga þegar um sjálfvirka gagnavinnslu er að ræða. Í ákvæðinu segir að ábyrgðaraðili og vinnsluaðili skuli, að undangengnu áhættumati, gera ráðstafanir í því skyni að þeir sem ekki hafa til þess heimild hafi ekki aðgang að vinnslubúnaði, vinnslukerfum og gagnamiðlun og geti þannig ekki fært inn, skoðað, breytt eða eytt varðveittum persónuupplýsingum. Jafnframt skal ábyrgðaraðili eða vinnsluaðili tryggja að þeir sem hafa heimild til notkunar slíkra kerfa hafi aðeins aðgang að persónuupplýsingum sem falla undir aðgangsheimild þeirra. Þá skal ábyrgðaraðili tryggja eftirlit með sjálfvirkri gagnavinnslu og jafnframt að þau kerfi sem notast er við sé unnt að ræsa að nýju í kjölfar rofs og að ekki sé hætta á að varðveitt gögn spillist vegna truflana í virkni.
Öryggisbrestur við meðferð persónuupplýsinga er skilgreindur í 9. tölul. 2. gr. frumvarpsins sem brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga sem eru sendar, varðveittar eða unnar á annan hátt eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. Í 3. mgr. er mælt fyrir um að ábyrgðaraðili skuli tilkynna öryggisbrest til Persónuverndar án ótilhlýðilegrar tafar, eigi síðar en 72 klst. eftir að hann verður brestsins var, nema ólíklegt þyki að hann leiði til áhættu fyrir réttindi og frelsi einstaklinga. Sé Persónuvernd ekki tilkynnt um brestinn innan 72 klst. skulu ástæður fyrir töfinni fylgja tilkynningunni. Þá skal vinnsluaðili tilkynna ábyrgðaraðila um það án ótilhlýðilegrar tafar ef hann verður var við öryggisbrest við meðferð persónuupplýsinga.
Í 4. mgr. er mælt fyrir um tilkynningarskyldu ábyrgðaraðila gagnvart hinum skráða í þeim tilvikum sem öryggisbrestur leiðir af sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Undantekningar eru gerðar í þremur stafliðum og varða þær annars vegar verndarráðstafanir sem ábyrgðaraðili hefur gripið til og hins vegar þegar umfang tilkynningarskyldu er slíkt að hún myndi leggja óhóflegar byrðar á herðar ábyrgðaraðila. Þá er í 5. mgr. gerð sams konar undantekning frá tilkynningarskyldu gagnvart hinum skráða og á við um aðrar tilkynningar samkvæmt frumvarpinu, þ.e. vegna þeirra sjónarmiða sem koma fram í 3. mgr. 13. gr. um rannsóknarhagsmuni, almannaöryggi og vernd hagsmuna annarra en hins skráða.
Um 24. gr.
Um 25. gr.
Í 1. mgr. er kveðið á um að nota skuli aðgerðaskráningarkerfi til að tryggja rekjanleika aðgerða í þeim upplýsingakerfum sem lögbær yfirvöld halda í löggæslutilgangi. Er þar átt við ofangreindar aðgerðir sem fram koma í 57. lið formála og 25. gr. tilskipunarinnar, en gert er ráð fyrir að kveðið verði á um þær í reglugerð. Með hugtakinu upplýsingakerfi er átt við sjálfvirk vinnslukerfi í skilningi 25. gr. tilskipunarinnar. Undir það falla t.d. allar þær skrár sem haldnar eru í LÖKE-upplýsingakerfi ríkislögreglustjóra. Í síðari málslið ákvæðisins er með tæmandi hætti talið upp í hvaða tilgangi heimilt er að nota upplýsingar úr kerfinu: til að staðreyna lögmæti vinnslu, við innra eftirlit, til að tryggja öryggi persónuupplýsinga eða til að ljóstra upp um refsiverða háttsemi. Ekki er því heimilt að nota upplýsingar um aðgerðaskráningu í öðrum tilgangi. Í 2. mgr. er lögð sú skylda á ábyrgðar- og vinnsluaðila að sjá til þess að aðgerðaskrá sé aðgengileg Persónuvernd komi fram beiðni þess efnis.
Um 26. gr.
Í 1. mgr. segir að ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst. Í 2. mgr. er svo kveðið nánar á um framkvæmd matsins en þar segir að matið skuli a.m.k. fela í sér almenna lýsingu á fyrirhuguðum vinnsluaðgerðum, mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga, þeim ráðstöfunum sem fyrirhugað er að grípa til gegn slíkri áhættu, verndarráðstöfunum, öryggisráðstöfunum og fyrirkomulagi við að tryggja vernd persónuupplýsinga og að farið sé að lögum þessum, að teknu tilliti til réttinda og lögmætra hagsmuna skráðra einstaklinga og annarra hlutaðeigandi einstaklinga.
Í 58. lið formála tilskipunarinnar er mælt fyrir um að mat á grundvelli ákvæðisins eigi að ná til viðkomandi skráa, kerfa og ferla vinnsluaðgerða en ekki einstakra tilvika. Að öðru leyti er ljóst af almennu orðalagi ákvæðanna að ábyrgðaraðili hefur nokkurt svigrúm við að ákveða hvort slíkt mat skuli fara fram að því er varðar tiltekna tegund vinnslu.
Um 27. gr.
Í 2. mgr. er kveðið á um skyldu ábyrgðaraðila til að afhenda Persónuvernd niðurstöðu um mat á áhrifum á persónuvernd og aðrar viðeigandi upplýsingar en í 3. mgr. er svo kveðið á um hlutverk Persónuverndar í samráðsferlinu. Þar segir að telji Persónuvernd að fyrirhuguð vinnsla, sem um getur í 1. mgr., muni brjóta í bága við ákvæði frumvarps þessa, einkum ef ábyrgðaraðili hefur ekki greint eða dregið úr áhættunni með fullnægjandi hætti, er stofnunninn heimilt, innan sex vikna frá að því að beiðni barst um samráð, að veita ábyrgðaraðila og eftir atvikum vinnsluaðila skriflega ráðgjöf og getur notað til þess valdheimildir sínar samkvæmt 30. gr. laganna. Þá er Persónuvernd heimilt að framlengja frestinn til að veita ráðgjöf um 4 vikur ef fyrirhuguð vinnsla er sérstaklega flókin. Skal stofnunin tilkynna ábyrgðaraðila og eftir atvikum vinnsluaðila um slíkar framlengingar innan mánaðar frá viðtöku beiðni um samráð ásamt ástæðunum fyrir töfinni.
Loks er í 4. mgr. mælt fyrir um heimild Persónuverndar til að birta skrá yfir þær tegundir vinnsluaðgerða þar sem krafist er fyrirframsamráðs.
Um 28. gr.
Um 29. gr.
Greinin þarfnast að öðru leyti ekki skýringa.
Um 30. gr.
Um 31. gr.
Er í 1. mgr. kveðið á um rétt stofnunarinnar til upplýsinga en á grundvelli ákvæðisins getur Persónuvernd krafið ábyrgðaraðila, vinnsluaðila og eftir atvikum fulltrúa þeirra um hverjar þær upplýsingar sem hún þarfnast vegna framkvæmdar frumvarps þessa, jafnt sem aðgang að öllum þeim gögnum sem nauðsynleg eru, þar á meðal persónuupplýsingum. Af orðalagi ákvæðisins er ljóst að um er að ræða víðtæka heimild Persónuverndar til aðgangs að persónuupplýsingum hjá lögbærum yfirvöldum en 47. gr. tilskipunarinnar kveður skýrt á um umfang valdheimilda stofnunarinnar að þessu leyti. Það kemur þó ekki í veg fyrir að skýra verður ákvæðið með hliðsjón af eðli þeirra upplýsinga sem um ræðir hverju sinni og gera þá kröfu til Persónuverndar að ekki sé óskað eftir aðgangi að frekari upplýsingum en stofnuninni eru nauðsynlegar til að sinna viðkomandi verkefni. Á það ekki síst við þegar um er að ræða upplýsingar sem eru hluti af yfirstandandi rannsókn sakamáls og rík sjónarmið um verndun rannsóknarhagsmuna mæla gegn því að þær verði gerðar aðgengilegar öðrum en viðkomandi lögbæru yfirvaldi. Verður við slíkar aðstæður að skýra heimild 1. mgr. með hliðsjón af meginreglum laga um meðferð sakamála um aðgang að gögnum sakamáls þannig að lögbærum yfirvöldum sé heimilt að synja Persónuvernd um aðgang að viðkomandi skjölum eða öðrum gögnum til að tryggja rannsóknarhagsmuni. Hér verður þó ávallt um þrönga heimild að ræða og verður hið lögbæra yfirvald í þeim tilvikum að leita annarra leiða til að aðstoða stofnunina við að sinna eftirliti sínu.
Samkvæmt 2. mgr. hefur Persónuvernd heimild til að veita ábyrgðaraðila viðvörun um að fyrirhugaðar vinnsluaðferðir muni brjóta í bága við ákvæði laganna.
Loks er Persónuvernd í 3. mgr. falin heimild til að leggja fyrir ábyrgðaraðila að láta af vinnslu sem fer í bága við ákvæði laga þessara eða setja skilyrði sem uppfylla þarf til að vinnslan teljist vera lögmæt, þar á meðal mæla fyrir um að ábyrgðaraðili eyði, leiðrétti eða takmarki vinnslu í samræmi við ákvæði 14.–16. gr. Takmörkun eða bann við frekari vinnslu getur verið tímabundið eða varanlegt.
Um 32. gr.
Um 33. gr.
Í samræmi við þetta er aðeins mælt fyrir um hefðbundin refsiviðurlög vegna brota á lögunum en ekki er gert ráð fyrir stjórnvaldssektum. Í 1. mgr. er kveðið á um að vísvitandi miðlun persónuupplýsinga í andstöðu við 8.–11. gr. frumvarpsins varði sektum eða fangelsi allt að 2 árum. Ákvæðið gerir þannig ásetning að saknæmisskilyrði. Gera má ráð fyrir að brot gegn ákvæði þessu muni almennt einnig fela í sér brot gegn viðkomandi þagnarskylduákvæðum í öðrum lögum.
Samkvæmt 2. mgr. varðar brot einstaklings á þagnarskyldu skv. 20., 29. og 30. gr. frumvarpsins sektum eða fangelsi allt að einu ári. Þar sem ákvæðinu er m.a. ætlað að ná til brota á þagnarskyldu þeirra sem ekki falla undir ákvæði 136. gr. almennra hegningarlaga, nr. 19/1940, verður að skýra það til samræmis og líta svo á að það taki einungis til brota sem framin eru af ásetningi.
Í 3. mgr. er tekið fram að ef brot einstaklings er stórfellt getur það varðað fangelsi allt að þremur árum. Brot telst stórfellt þegar það er framið af ásetningi og í hagnaðarskyni með sérstaklega vítaverðum hætti og persónuupplýsingar mikils fjölda skráðra einstaklinga sem leynt eiga að fara samkvæmt lögum eða eðli máls komast í hendur þriðja aðila eða birtast opinberlega.
Hlutdeild og tilraun til brota á viðeigandi ákvæðum frumvarpsins er gerð refsiverð í 4. mgr. og loks er í 5. mgr. kveðið á um refsiábyrgð lögaðila.
Um 34. gr.
Í 1. tölul. kemur fram skylda ráðherra til að mæla nánar fyrir um miðlunarheimildir lögbærra yfirvalda í öðrum tilgangi en löggæslutilgangi. Er gert ráð fyrir að í reglugerð muni verða kveðið á um með atviksbundnum hætti til hvaða aðila lögbærum yfirvöldum er heimilt að miðla persónuupplýsingum.
Í 2. tölul. er ráðherra falið að setja nánari reglur um form og efni upplýsinga og tilkynninga sem ábyrgðaraðila er skylt að senda hinum skráða samkvæmt ákvæðum IV. kafla laganna, auk heimildar til handa ábyrgðaraðila til gjaldtöku vegna tilefnislausra eða endurtekinna beiðna, sem og synjunar vegna sams konar beiðna. Samsvarandi heimild er að finna í 4. mgr. 12. gr. tilskipunarinnar.
Í 3. tölul. er kveðið á um að ráðherra skuli setja nánari fyrirmæli um þær aðgerðir og upplýsingar sem lögbærum yfirvöldum ber að skrá í aðgerðaskrá, en í samsvarandi ákvæði tilskipunarinnar eru þær aðgerðar taldar upp með tæmandi hætti. Verði síðar talin ástæða til að bæta við skráningarskyldum aðgerðum er talið rétt að upptalning þeirra komi fram í reglugerð en ekki lagaákvæðinu sjálfu.
Í 4. tölul. er kveðið á um heimild ráðherra til að undanskilja upplýsingakerfi frá kröfum um aðgerðaskráningu en við undirbúning tilskipunarinnar var fallist á að veita aðildarríkjum slíka undanþágu í ljósi þess mikla kostnaðar sem getur fylgt því að uppfæra eldri kerfi í því skyni að tryggja aðgerðaskráningu. LÖKE-kerfi lögreglu virðist uppfylla að öllu leyti kröfur 1. mgr. en óljóst er um önnur kerfi lögbærra yfirvalda, til að mynda kerfi tollstjóra, og kann því að vera nauðsynlegt að nýta undanþáguheimild 3. mgr. að því er þau varðar. Sambærilegt ákvæði er að finna í dönskum lögum.
Um 35. gr.
Um 36. gr.
Ákvæðið varðar gildistöku og þarfnast ekki skýringar.
Um 37. gr.
Með breytingum á ákvæðum lögreglulaga í 2. tölul. er lagt til að bætt verði við nýjum kafla um vinnslu og miðlun persónuupplýsinga. Er það talið æskilegt í ljósi þess að með frumvarpi þessu er verið að setja heildarlög um vinnslu persónuupplýsinga í löggæslutilgangi auk þess sem engum ákvæðum þessa efnis er til að dreifa í núgildandi lögum. Hinum nýju ákvæðum, að undanskildu ákvæði 2. mgr. 42. gr., er eingöngu ætlað að veita vinnslu lögreglu á persónuupplýsingum formlega lagastoð en í þeim felst engin efnisleg breyting, þ.e. hvorki er verið að auka við eða takmarka þær heimildir til vinnslu persónuupplýsinga sem lögregla hefur nú þegar á grundvelli laganna. Aðeins er verið að árétta þessar heimildir til að auka á skýrleika og tiltaka sérstaklega að vinnslan falli undir gildandi lög á sviði persónuverndar.
Í ákvæði 40. gr. er tekið fram að lögreglu sé heimil vinnsla persónuupplýsinga, þar á meðal þeirra upplýsinga sem viðkvæmar geta talist, að því marki sem slík vinnsla telst nauðsynleg vegna starfsemi og hlutverks hennar samkvæmt frumvarpinu. Þá segir að um vinnslu persónuupplýsinga samkvæmt lögum þessum fari eftir lögum um persónuvernd og vinnslu persónuupplýsinga og lögum um vinnslu persónuupplýsinga í löggæslutilgangi. Það fer svo eftir eðli og efni vinnslunnar hverju sinni undir hvaða lög hún fellur. Sambærilegt ákvæði er að finna í núgildandi lögum um fullnustu refsinga og verður að telja æskilegt að í lögum á sviði löggæslu sé heimildum til vinnslu persónuupplýsinga sem leiðir af ákvæðum um starfsemi og hlutverk viðkomandi stofnunar eða embættis veitt formleg lagastoð með þessum hætti. Eins og áður greinir hrófla slík ákvæði ekki við efni heimildanna en eru hins vegar til þess fallin tryggja lagagrundvöll þeirra enn frekar.
Í 41. gr. er að finna efnislega samhljóða ákvæði sem tilgreinir sérstaklega heimild lögreglu til að miðla persónuupplýsingum. Almennt fellur miðlun undir hugtakið vinnslu í skilningi persónuverndarréttar en ástæða er talin til að tiltaka þá heimild sérstaklega í ljósi þess að heimildir lögreglu til miðlunar eru mun þrengri en almennar heimildir til vinnslu samkvæmt lögunum. Þá er rétt að tiltaka að um heimildir lögreglu til miðlunar fari einnig eftir III. kafla frumvarps þessa en ákvæði hans hafa að geyma sjálfstæðar miðlunarheimildir til handa lögbærum yfirvöldum. Með sama hætti og að ofan greinir er ákvæði þessu aðeins ætlað að veita miðlunarheimildum sem leiðir af öðrum ákvæðum laganna formlega lagastoð en í því felst ekki efnisleg rýmkun þeirra að neinu leyti.
Með ákvæðum 42. gr. er annars vegar kveðið sérstaklega á um það hlutverk sem lögreglu er veitt með ákvæðum 51. gr. a tollalaga en hins vegar er mælt fyrir um heimild til að miðla upplýsingum sem lögregla safnar á grundvelli ákvæðisins til erlendra yfirvalda. Umrætt ákvæði tollalaga var lögfest með lögum nr. 124/2015 og heimilar það toll- og löggæsluyfirvöldum að safna og skiptast á upplýsingum um farþega og áhafnir sem koma hingað til lands.
Farþegaupplýsingar eru nýttar af tollyfirvöldum, lögreglu og öðrum landamærastofnunum víða um heim vegna eftirlits á landamærum. Nýting farþegaupplýsinga við áhættugreiningu gerir lögreglu og tollstjóra kleift að beina sjónum sérstaklega að þeim farþegum sem hætta er talin stafa af auk þess sem hún einfaldar og flýtir fyrir afgreiðslu annarra farþega. Áhættugreining farþegaupplýsinga eykur einnig öryggi flugfarþega og áhafna. Því hefur að auki verið haldið fram að greining farþegalista auki líkur á að unnt verði að koma auga á erlenda vígamenn, þ.e. menn sem ferðast milli átakasvæða víða um heim til að berjast með hryðjuverkasamtökum. Söfnun og greining farþegaupplýsinga gerir íslenskum stjórnvöldum að sama skapi fært að taka virkan þátt í alþjóðlegu samstarfi gegn hryðjuverkum.
Fjölgun hryðjuverka og alvarlegra glæpa sem teygja sig yfir landamæri, t.d. mansal og fíkniefnaviðskipti, hefur m.a. leitt til aukinnar áherslu á öflun og notkun farþegaupplýsinga við eftirlit á alþjóðlegum vettvangi. Innan Evrópusambandsins er í gildi tilskipun ráðsins 2004/82/EB, um farþegaupplýsingar úr vegabréfum (Advance Passenger Information, skammstafað API) og tilskipun nr. 2016/681 frá 27. apríl 2016 um notkun farþegaupplýsinga (Passenger Name Records, skammstafað PNR) í því skyni að koma í veg fyrir, koma upp um, rannsaka eða saksækja fyrir hryðjuverk og önnur alvarleg afbrot. Ísland var skuldbundið að innleiða fyrrnefndu tilskipunina á grundvelli Schengen-samstarfsins en hin síðarnefnda skuldbindur hvorki íslensk stjórnvöld á grundvelli samningsins um EES né Schengen-samstarfsins. Nokkur munur er á API og PNR-upplýsingum. Í farþegalistum, PNR-listum, er að finna upplýsingar sem safnað er í viðskiptalegum tilgangi, þ.e. upplýsingar sem flugfélag safnar við farmiðabókun eða ferðaskrifstofa safnar við bókun á tiltekinni ferð, t.d. um greiðslumáta við farmiðakaup og hvenær bókun átti sér stað. Farþegaupplýsingum úr vegabréfum, API-upplýsingum, er hins vegar safnað við innritun farþega fyrir flug og þær eru sendar því ríki sem farþegi ferðast til.
Alþjóðatollastofnunin ( World Costums Organization, skammstafað WCO), Alþjóðasamband flugfélaga (International Air Transport Association, skammstafað IATA) og Alþjóðaflugmálastofnunin (International Civil Aviation Organization, skammstafað ICAO) hafa gefið út leiðbeiningar um notkun farþegaupplýsinga. Þá halda fyrrgreindir aðilar úti alþjóðlegum staðli um farþegaupplýsingar sem kallaður er PNRGOV-staðallinn og byggir PNR tilskipunin á honum. Af hálfu IATA hefur því sjónarmiði verið haldið á lofti að það sé sérstaklega mikilvægt að kröfur ríkja um afhendingu farþegaupplýsinga séu samræmdar og fylgi alþjóðlegum stöðlum.
Lögregla og tollstjóri safna farþegaupplýsingum og greina þær. Hjá tollstjóra eru farþegalistar nýttir við eftirlit með innflutningi en lögreglan nýtir þá við eftirlit með fólksumferð. Form afhentra upplýsinga er háð samkomulagi sem náðst hefur við flugfélög.
Samkvæmt 1. mgr. 51. gr. a í tollalögum er fyrirtækjum sem annast flutning farþega og vöru til og frá landinu skylt að afhenda tollstjóra upplýsingar um farþega og áhöfn sem nýttar eru við tolleftirlit og til að koma í veg fyrir og rannsaka brot á tollalögum og öðrum lögum sem lögreglu og öðrum handhöfum lögregluvalds ber að framfylgja. Sama skylda hvílir á stjórnendum, eigendum eða umráðamönnum fara sem ferðast til og frá landinu, þar á meðal einkaflugvéla og seglskipa. Samkvæmt ákvæði 2. mgr. er tollstjóra, lögreglu og öðrum handhöfum lögregluvalds heimilt að skiptast á upplýsingum um farþega og áhöfn í þágu eftirlits, greiningarstarfs eða vegna rannsókna á ætluðum brotum gegn ákvæðum tollalaganna og ákvæðum annarra laga. Í samræmi við þessa heimild í tollalögum er lagt til að ákvæði 1. mgr. 42. gr. lögreglulaga heimili lögreglu að safna og skiptast á upplýsingum um farþega og áhöfn við tollstjóra og aðra handhafa lögregluvalds.
Með upplýsingum um farþega er átt við hvort tveggja, farþegalista (PNR) og upplýsingar úr vegabréfi farþega (API). Nánar tiltekið er átt við almennar upplýsingar um ferðamenn og ferðir þeirra, svo sem nafn, greiðslumáta og hvenær viðkomandi bókaði farmiða. Undir ákvæðið falla einnig upplýsingar um allar vörur sem fluttar eru til landsins, hvort sem þær verða tollafgreiddar eða ekki. Má sem dæmi nefna ökutæki sem ferðamenn flytja með sér til landsins í þeim tilgangi að nota í ferðum um landið.
Í þágu almannahagsmuna og öryggis borgaranna er mikilvægt að handhafar lögregluvalds geti unnið saman og miðlað upplýsingum sín á milli. Í 3. mgr. 45. gr. tollalaga er mælt fyrir um heimild tollstjóra til að veita lögreglu aðgang að upplýsingum. Þá er í 23. gr. reglugerðar nr. 1212/2007, um för yfir landamæri, mælt svo fyrir að lögregla geti í samráði við önnur yfirvöld ákveðið að stjórnandi loftfars skuli afhenda þeim yfirvöldum skrá yfir farþega og áhöfn. Farþegaupplýsingar eru m.a. skráðar í svokallað G-kerfi sem lögreglan hefur umsjón með en embætti tollstjóra hefur aðgang að. Það horfir til hagræðis fyrir flugfélög að þurfa aðeins að senda upplýsingar á einn stað í hverju landi. Þar sem G-kerfið er samnýtt af tollgæslu og lögreglu er rétt að árétta heimild þeirra til að skiptast á upplýsingum.
Enga heimild er hins vegar finna í ákvæðum 51. gr. a tollalaga um miðlun farþegaupplýsinga til erlendra yfirvalda. Eins og áður greinir er söfnun þessara upplýsinga ekki síður nauðsynleg í því skyni að íslensk stjórnvöld geti tekið þátt í alþjóðlegri samvinnu í baráttunni gegn hryðjuverkum og öðrum alvarlegum afbrotum. Til þess að svo geti hins vegar orðið er ljóst að gera verður íslenskum stjórnvöldum kleift að miðla farþegaupplýsingum til annarra ríkja en mikilvægt er að haga reglum um slík upplýsingaskipti til samræmis við regluverk Evrópusambandsins. Áðurnefnd PNR-tilskipun tók gildi á sama tíma og hin almenna persónuverndarreglugerð og löggæslutilskipunin og gerir ákveðnar kröfur um viðunandi persónuvernd við vinnslu farþegaupplýsinga, þar á meðal þegar þeim er miðlað til þriðju ríkja. Þrátt fyrir að tilskipunin sé ekki skuldbindandi gagnvart íslenskum stjórnvöldum eru miðlunarheimildir hennar í slíkum tengslum við miðlunarheimildir frumvarps þessa um miðlun persónuupplýsinga til þriðju ríkja í löggæslutilgangi að rétt er talið að lögfesta sambærilega heimild sem tekur sérstaklega til farþegaupplýsinga.
Með hliðsjón af þessu er lagt til að lögfest verði ákvæði í 2. mgr. 42. gr. er kveður á um að lögreglu verði heimilt að miðla upplýsingum um farþega og áhöfn til erlendra yfirvalda að því marki sem nauðsynlegt er til að koma í veg fyrir, koma upp um, rannsaka eða saksækja fyrir hryðjuverk eða önnur alvarleg afbrot. Þá segir í niðurlagi ákvæðisins að um slíka miðlun fari að öðru leyti eftir ákvæðum III. kafla laga um vinnslu persónuupplýsinga í löggæslutilgangi. Ákvæðið telst þannig sérákvæði gagnvart almennum ákvæðum frumvarpsins um miðlun persónuupplýsinga.
Orðalag ákvæðisins og umfang heimildar þess tekur annars vegar mið af PNR-tilskipuninni og hins vegar af ákvæðum III. kafla frumvarps þessa um miðlun persónuupplýsinga. Í 9. gr. tilskipunarinnar er mælt fyrir um upplýsingaskipti yfirvalda innan ESB og í 11. gr. er mælt fyrir um heimild aðildarríkja til að miðla PNR-upplýsingum til þriðju ríkja. Eðli máls samkvæmt er gert ráð fyrir greiðum og gagnkvæmum upplýsingaskiptum innan ESB en tvö meginskilyrði eru fyrir miðlun persónuupplýsinga til þriðja ríkis auk þess sem slík miðlun getur aðeins farið fram í einstökum tilvikum (case-by-case basis). Annars vegar er það skilyrði sett að miðlun verði að vera nauðsynleg í því skyni að koma í veg fyrir, koma upp um, rannsaka eða saksækja fyrir hryðjuverk og önnur alvarleg afbrot. Hins vegar verður hún að uppfylla þau skilyrði sem fram koma í 13. gr. rammaákvörðunar ESB 2008/977/JHA en hún varðar miðlun persónuupplýsinga til þriðju ríkja. Í 27. lið formála tilskipunarinnar er kveðið á um tilvísanir til rammaákvörðunarinnar verði að skýra svo að einnig sé átt við löggjöf sem komi í stað hennar. Með því að löggæslutilskipunin felldi rammaákvörðunina úr gildi verður nú að taka mið af þeim skilyrðum sem fram koma í V. kafla hennar um sama efni.
Af þessu leiðir að um miðlun farþegaupplýsinga á grundvelli ákvæðisins til ríkja innan EES fer eftir ákvæðum 9. gr. frumvarpsins þannig að miðlun er háð því eina skilyrði að hún sé nauðsynleg í því skyni að koma í veg fyrir, koma upp um, rannsaka eða saksækja fyrir hryðjuverk og önnur alvarleg afbrot, enda felur ákvæði 9. gr. ekki í sér nein viðbótarskilyrði. Að svo stöddu er ekki talin ástæða til að heimila eins greið upplýsingaskipti gagnvart ríkjum Evrópusambandsins og kveðið er á um í PNR-tilskipuninni enda er frumvarpi þessu ekki ætlað að innleiða efni hennar með heildstæðum hætti.
Miðlun til ríkja utan EES er hins vegar háð þeim skilyrðum sem fram koma í 10. gr. frumvarpsins en með henni eru ákvæði V. kafla löggæslutilskipunarinnar innleidd. Af því leiðir að miðlun er aðeins heimil að viðunandi verndarráðstafanir um vernd persónuupplýsinga séu fyrir hendi, nánar tiltekið að eitthvert þeirra skilyrða sem fram koma í liðum a–c í 1. mgr. 10. gr. séu uppfyllt. Í ljósi þess að gert er ráð fyrir að miðlun fari aðeins fram í einstökum tilvikum verður að skýra undantekningarheimildir 10. gr. afar þröngt og miða við að miðlun fari almennt ekki fram nema fullnægjandi persónuvernd sé tryggð. Með miðlun í einstökum tilvikum er átt við að meta þurfi hverju sinni hvort miðla skuli upplýsingum til viðkomandi erlends yfirvalds. Miðlun skal því aldrei fara fram með sjálfvirkum hætti án mannlegrar íhlutunar. Við mat á því hvort miðla eigi farþegaupplýsingum á grundvelli c-liðar 1. mgr. 10. gr. skal sérstaklega líta til þess hvort þriðja ríki hafi gert samning við Evrópusambandið um afhendingu þess konar upplýsinga. Meðal þeirra ríkja sem gert hafa slíkan samning eru Bandaríkin, Kanada og Ástralía. Óvíst er þó um gildi þeirra til framtíðar í kjölfar þess að Evrópudómstóllinn kvað upp dóm þann 26. júlí 2017 þess efnis að tiltekin ákvæði í drögum að samningi Evrópusambandsins við Kanada uppfylltu ekki skilyrði sem talin voru leiða af grundvallarréttindum í lögum sambandsins.
Þá eru lagðar til nauðsynlegar breytingar á orðalagi í lögum um fullnustu refsinga og lögum um erfðaefnisskrá lögreglu.
Loks eru lagðar til tvær breytingar á lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, sem nauðsynlegt er að gera samhliða lögfestingu frumvarpsins. Er annars vegar mælt fyrir um breytingar á gildissviði þeirra að því er varðar vinnslu persónuupplýsinga í þágu öryggis- og varnarmála og hins vegar að III. bráðabirgðaákvæði laganna skuli falla brott. Þar sem bráðabirgðaákvæðið mælti fyrir um að tiltekin ákvæði laganna skyldu gilda um starfsemi í þágu öryggis- og varnarmála er með brottfalli þess nauðsynlegt að taka afstöðu til efnislegs gildissviðs laganna að þessu leyti til frambúðar. Er það einkum vegna þess að í 4. gr. laganna er ekkert fjallað um gildissvið þeirra gagnvart öryggis- og varnarmálum heldur einungis tiltekið að þau gildi ekki um vinnslu persónuupplýsinga í löggæslutilgangi. Með vísan til þess sem fram kemur í athugasemdum með 3. gr. frumvarpsins um að æskilegt sé að undanskilja öryggis- og varnarmál gildissviði almennra laga um persónuvernd er lagt til að í 6. mgr. 4. mgr. laganna verði kveðið á um að lögin gildi ekki um vinnslu persónuupplýsinga af hálfu ríkisins í þágu öryggis- og varnarmála.
