Ferill 625. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.
151. löggjafarþing 2020–2021.
2. uppprentun.
Þingskjal 1607 — 625. mál.
Leiðréttur texti.
2. umræða.
Nefndarálit með breytingartillögu
um frumvarp til laga um stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda.
Frá efnahags- og viðskiptanefnd.
Nefndin hefur fjallað um málið og fengið á sinn fund Gunnar Björnsson, Andra Heiðar Kristinsson og Hrefnu Lind Ásgeirsdóttur frá fjármála- og efnahagsráðuneyti, Njörð Sigurðsson frá Þjóðskjalasafni Íslands, Indriða B. Ármannsson frá Þjóðskrá Íslands, Jónas Guðmundsson frá Sýslumannafélagi Íslands, Ragnheiði Birnu Björnsdóttur og Þóri Ólason frá Tryggingastofnun ríkisins, Bryndísi Gunnlaugsdóttur frá Sambandi íslenskra sveitarfélaga, Jónu Björk Guðnadóttur og Hallgrím Ásgeirsson frá Samtökum fjármálafyrirtækja, Kristin Halldór Einarsson og Pál Rúnar Mikael Kristjánsson frá Blindrafélaginu, Ingu Björk Margrétar Bjarnadóttur og Árna Múla Jónasson frá Landssamtökunum Þroskahjálp og Vigdísi Evu Líndal og Rebekku Rán Samper frá Persónuvernd.
Umsagnir bárust frá Blindrafélaginu, Braga Leifi Haukssyni, Creditinfo – Lánstrausti hf., Guðbirni Jónssyni, Hagsmunasamtökum heimilanna, Hrafni Sveinbjarnarsyni og Þorsteini Tryggva Mássyni, Landssamtökunum Þroskahjálp, Persónuvernd, Sambandi íslenskra sveitarfélaga, Samtökum fjármálafyrirtækja, Sýslumannafélagi Íslands, Tryggingastofnun ríkisins, umboðsmanni barna, Viðskiptaráði Íslands, Þjóðskjalasafni Íslands og Þjóðskrá Íslands.
Með frumvarpinu er lagt til að starfrækt verði stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda. Stafrænt pósthólf hefur fram til þessa verið starfrækt án sérstaks lagagrundvallar og með frumvarpinu er því kveðið á um að stjórnvöldum verði heimilað að senda gögn til einstaklinga og lögaðila með stafrænum hætti í meira mæli en nú er.
Frumvarpið er mikilvægt skref til þess að auka gagnsæi, réttaröryggi og hagræði í samskiptum einstaklinga og lögaðila við stjórnvöld og til þess fallið að stuðla að frekari framþróun í stafrænni þjónustu fyrir almenning.
Umfjöllun nefndarinnar.
Aðgengi fatlaðs fólks að stafrænu pósthólfi.
Í umsögn Blindrafélagsins er lögð áhersla á mikilvægi þess að aðgengi að þeim stafrænu lausnum sem hýsa pósthólfið verði gott og að gögn sem lögð eru inn í stafrænt pósthólf verði fyllilega aðgengileg blindu og sjónskertu fólki. Félagið minnir á skuldbindingar ríkisins gagnvart fötluðu fólki og gagnrýnir að samkvæmt frumvarpinu virðist engin skylda lögð á hið opinbera að tryggja að stafrænt pósthólf uppfylli lágmarkskröfur um aðgengi allra að því, þar með talið blindra og sjónskertra. Kallar Blindrafélagið eftir því að í lögunum verði skýr fyrirmæli um að allt efni verði á skráarsniði sem lesanlegt sé með talgervli.
Í umsögn Landssamtakanna Þroskahjálpar kemur fram að hagsmunagæsluaðilar fatlaðs fólks mæti oft miklum hindrunum þegar reynt er að aðstoða fólk við nýtingu rafrænna lausna. Landssamtökin fagna því að samkvæmt frumvarpinu öðlist hagsmunagæsluaðilar ríkari rétt til að aðstoða umbjóðendur sína. Samhliða því sé þó mikilvægt að réttindagæslulögin verði endurskoðuð svo að nýting rafrænna skilríkja verði auðveldari fyrir fatlað fólk og aðstandendur þess. Samtökin benda á að í frumvarpinu sé lagt til að í undantekningartilfellum sé hægt að veita aðgang að stafrænu pósthólfi með öðrum leiðum, t.d. skriflega. Í umsögninni eru viðraðar áhyggjur af því að tiltekinn hópur fatlaðs fólks geti ekki auðkennt sig með skriflegri undirskrift og kalla samtökin eftir að lausn verði fundin á því.
Nefndin tekur undir mikilvægi þess að aðgengi fatlaðs fólks að stafrænu pósthólfi verði útfært með þeim hætti að réttinda þeirra verði gætt í hvívetna og ekki hvikað frá skuldbindingum íslenskra stjórnvalda gagnvart þeim. Skv. 2. mgr. 10. gr. frumvarpsins er heimilt að innleiða skyldu til birtingar gagna í stafrænu pósthólfi í áföngum. Skal ráðherra eigi síðar en fyrir lok árs gefa út áætlun um stafræna birtingu af hálfu ríkisaðila og sveitarfélaga, sem skal að fullu innleidd hinn 1. janúar 2025. Í greinargerð með frumvarpinu segir að í innleiðingaráætlun verði nánar útfært hvernig staðið verði að því að færa stafræn samskipti í pósthólfið. Nefndin hvetur ráðherra til þess að hafa samráð við hagsmunasamtök fatlaðs fólks við gerð innleiðingaráætlunar þannig að réttur þeirra til aðgangs að stafrænu pósthólfi verði tryggður.
Að auki bendir nefndin á að skv. 5. gr. er ekki gert ráð fyrir því að gjald verði innheimt fyrir birtingu með öðrum hætti en í stafrænu pósthólfi fyrr en lögin koma að fullu til framkvæmda hinn 1. janúar 2025, sbr. umfjöllun í 3. kafla greinargerðar.
Rafræn auðkenning.
Nokkrir umsagnaraðilar bentu á að ekki væri kveðið á um það í frumvarpinu hvaða rafrænu auðkenningarleiðir yrðu fullnægjandi til innskráningar í pósthólfið. Í umsögn Þjóðskrár Íslands er bent á að um 33% innskráninga á vefinn Ísland.is séu með Íslykli, sem gefinn er út af Þjóðskrá Íslands, en um 67% með rafrænum skilríkjum. Bendir stofnunin á að það geti verið vandkvæðum bundið að takmarka aðgengi að rafrænu pósthólfi við notkun rafrænna skilríkja, sérstaklega ef notendur eru búsettir erlendis. Hægt sé að fá Íslykil í gegnum heimabanka eða sendan í sendiráð, en ekki sé hægt að fá útgefin rafræn skilríki nema sótt sé um þau í eigin persónu hjá útgáfuaðila. Þá kemur í umsögn Sambands íslenskra sveitarfélaga fram það sjónarmið að eðlilegt sé að ríkið hafi full yfirráð yfir því kerfi sem notað er við auðkenningu inn í stafrænt pósthólf.
Nefndin tekur undir framangreind sjónarmið og bendir á að áform eru uppi um að ríkið eignist fyrirtækið Auðkenni, sem annast hefur útgáfu rafrænna skilríkja. Gangi þau áform eftir mun aðili í eigu ríkisins sjá um útgáfu skilríkjanna. Þótt Íslykill hafi nokkra kosti umfram rafræn skilríki, líkt og að framan greinir, er hann samt aðeins auðkennislykill og inniheldur ekki möguleika á fullgildri rafrænni undirritun. Öryggisstig rafrænna skilríkja er því hærra. Telur nefndin að eftir því sem innleiðingu stafræns pósthólfs vindur fram verði eðli málsins samkvæmt gerðar ríkari kröfur til sannvottunar, m.a. með tilliti til eðlis og umfangs þeirra gagna sem birt verði í pósthólfi einstaklinga. Hvetur nefndin stjórnvöld til að huga að úrræðum fyrir þau sem vegna aðstæðna geta ekki sótt sér rafræn skilríki, en mikilvægt er að ásættanleg lausn liggi fyrir áður en gerð verði krafa um notkun pósthólfsins í samskiptum við stjórnvöld.
Mat á áhrifum.
Í umsögn Persónuverndar er bent á að mat á áhrifum á persónuvernd skv. 29. gr. laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, geti þurft að fara fram á lagafrumvörpum. Fram kemur að mat á áhrifum á persónuvernd sé tól til að meta og lágmarka áhættu fyrir persónuvernd einstaklinga við framkvæmd nýrra verkefna. Matið sé hluti af skyldum stjórnvalda og mikilvægur hluti af innbyggðri og sjálfgefinni persónuvernd skv. 24. gr. laganna.
Nefndin tekur undir framangreind sjónarmið og beinir því til ráðherra að tryggja, í samvinnu við aðra ráðherra, að mat fari fram á stjórnarfrumvörpum sem áhrif geta haft á persónuvernd. Þá beri einnig að tryggja að hugað verði að innbyggðri og sjálfgefinni persónuvernd á öllum stigum þróunar hugbúnaðar og annarra tæknilausna í tengslum við starfrækslu hins stafræna pósthólfs.
Nefndin bendir á að það stafræna pósthólf sem mælt er fyrir um í frumvarpinu er ekki ný lausn heldur hefur stafrænt pósthólf verið starfrækt af hálfu stjórnvalda frá árinu 2011. Með lagasetningunni er stigið mikilvægt skref til þess að skerpa lagarammann um núverandi framkvæmd. Nefndin bendir í þessu sambandi á að verkefnastofan Stafrænt Ísland hefur fyrir hönd fjármálaráðuneytis framkvæmt ítarlegt mat á áhrifum á persónuvernd á öllu tækniumhverfi sínu, þar á meðal á stafrænu pósthólfi sem nýtt verður til birtingar upplýsinga samkvæmt frumvarpinu.
Varðveisla gagna.
Í umsögn Persónuverndar er fjallað um varðveislu gagna og mikilvægi þess að mælt sé fyrir um varðveislutíma, hvað verði um gögnin að þeim tíma liðnum og önnur tengd atriði.
Nefndin bendir á að gögn í stafrænu pósthólfi verða gerð aðgengileg með birtingu en varðveisla þeirra er áfram hjá birtingaraðila. Birtingaraðilar eru jafnan stjórnvöld og um varðveislu og afhendingu gagna í fórum þeirra fer eftir viðeigandi lögum hverju sinni, svo sem ákvæðum laga um opinber skjalasöfn, nr. 77/2014, ákvæðum stjórnsýslulaga, nr. 37/1993, og ákvæðum upplýsingalaga, nr. 140/2012.
Breytingartillögur nefndarinnar.
Pósthólf (2. gr.).
Í frumvarpinu kemur ekki fram með skýrum hætti hvert er hlutverk annars vegar birtingaraðila og hins vegar rekstraraðila hins stafræna pósthólfs, þ.e. hvor telst ábyrgðaraðili og hvor vinnsluaðili í skilningi laga um persónuvernd og vernd persónuupplýsinga, nr. 90/2018. Þá kemur ekki skýrt fram í frumvarpinu að gögn í stafrænu pósthólfi verði eingöngu birt þar en ekki vistuð. Nefndin leggur til breytingu þess efnis að í 2. gr. verði tekið fram að birtingaraðili teljist ábyrgðaraðili að birtingu persónuupplýsinga á hans vegum í stafrænu pósthólfi og að rekstraraðili stafræns pósthólfs teljist vinnsluaðili sem vinni persónuupplýsingar á vegum ábyrgðaraðila.
Birting gagna (4. gr.).
Í frumvarpinu er ekki skýrt tekið fram að birtingaraðilum sé heimilt að birta í stafrænu pósthólfi bæði almennar og viðkvæmar persónuupplýsingar einstaklinga eins og þær eru skilgreindar í lögum um persónuvernd og vernd persónuupplýsinga, nr. 90/2018. Er slíkt ákvæði nauðsynlegt því að heimildir til vinnslu almennra persónuupplýsinga og viðkvæmra persónuupplýsinga byggjast á ólíkum lagaheimildum, enda útheimtir vinnsla viðkvæmra persónuupplýsinga að gera þurfi ítarlegar öryggisráðstafanir. Nefndin leggur til breytingu þess efnis.
Reglugerðarheimild (9. gr.).
Í frumvarpinu kemur fram heimild ráðherra til að setja í reglugerð nánari ákvæði um framkvæmd laganna og er í nokkrum töluliðum tiltekið hvað sé þar á meðal. Nefndin telur nauðsynlegt að ráðherra verði skylt, en ekki einungis heimilt, að setja reglugerð í ljósi þess að um er að ræða frumvarp sem felur í sér birtingu persónuupplýsinga og vegna þess að mörg ákvæði frumvarpsins eru þess eðlis að þau þarfnast frekari útfærslu í reglugerð. Með því að gera setningu reglugerðar að skyldu virkjast framangreind ákvæði ekki fyrr en þau hafa verið útfærð nánar í reglugerð. Nefndin leggur því til breytingar þess efnis að ráðherra verði gert skylt að setja í reglugerð nánari ákvæði um framkvæmd tiltekinna ákvæða laganna.
Í frumvarpinu kemur ekki fram með skýrum hætti grundvöllur vinnslunnar, tilgangur hennar eða mat á nauðsyn hennar. Þá eru ekki tilgreindar þær vinnsluaðgerðir sem birtingaraðilum eru heimilar. Í því sambandi vísar nefndin til þeirra skilyrða sem fram koma í reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679. Nefndin leggur til breytingar þess efnis að ráðherra verði skylt að setja í reglugerð nánari ákvæði um framangreind atriði.
Nefndin áréttar mikilvægi samráðs við Persónuvernd og beinir því til ráðherra að viðhafa slíkt samráð við undirbúning reglugerða.
Aðrar breytingar sem nefndin leggur til eru tæknilegs eðlis og er ekki ætlað að hafa áhrif á efni frumvarpsins.
Nefndin leggur til að frumvarpið verði samþykkt með eftirfarandi
BREYTINGU:
1. Við 2. gr. bætist tvær nýjar málsgreinar, svohljóðandi:
Birtingaraðili telst ábyrgðaraðili að birtingu persónuupplýsinga á hans vegum í stafrænu pósthólfi. Rekstraraðili stafræns pósthólfs telst vinnsluaðili sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.
Með starfrækslu stafræns pósthólfs eru gögn gerð aðgengileg með birtingu þeirra í pósthólfinu en vistun þeirra er áfram hjá birtingaraðila.
2. Við 4. gr. bætist ný málsgrein, svohljóðandi:
Birtingaraðilum er heimilt að birta í stafrænu pósthólfi bæði almennar og viðkvæmar persónuupplýsingar einstaklinga eins og þær eru skilgreindar í lögum um persónuvernd og vinnslu persónuupplýsinga.
3. Við 9. gr.
a. Í stað orðsins „heimilt“ í inngangsmálslið komi: skylt.
b. Í stað „4. gr.“ í 3. tölul. komi: 5. gr.
c. 5. tölul. orðist svo: Nánari skilyrði um meðferð og vinnslu persónuupplýsinga, sbr. 8. gr., svo sem grundvöll og tilgang vinnslu og mat á nauðsyn hennar samkvæmt lögunum, þar á meðal um þær vinnsluaðgerðir sem birtingaraðilum eru heimilar.
Sigmundur Davíð Gunnlaugsson ritar undir álit þetta með fyrirvara þess efnis að mikilvægt sé að fólk og fyrirtæki geti áfram fengið þær upplýsingar á pappír sem birtar verði í stafrænu pósthólfi án þess að til sérstakrar gjaldtöku komi umfram það sem nú er. Eðlilegt sé að það gildi á meðan gerð er krafa til lögaðila um að þeir haldi pappírsbókhald. Að öðrum kosti færðist aukinn kostnaður og fyrirhöfn á herðar þeim aðilum.
Alþingi, 3. júní 2021.
| Óli Björn Kárason, form. |
Bryndís Haraldsdóttir, frsm. |
Jón Steindór Valdimarsson. |
| Brynjar Níelsson. | Rósa Björk Brynjólfsdóttir. | Ólafur Þór Gunnarsson. |
| Sigmundur Davíð Gunnlaugsson, með fyrirvara. |
Smári McCarthy. | Þórarinn Ingi Pétursson. |
