Ferill 476. máls. Aðrar útgáfur af skjalinu: PDF - Microsoft Word.
153. löggjafarþing 2022–2023.
Þingskjal 559 — 476. mál.
Stjórnarfrumvarp.
Frumvarp til laga
um breytingu á lögum um persónuvernd og vinnslu persónuupplýsinga og lögum um vinnslu persónuupplýsinga í löggæslutilgangi (málsmeðferð o.fl.).
Frá dómsmálaráðherra.
I. KAFLI
Breyting á lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.
1. gr.
2. gr.
3. gr.
a. Í stað lokamálsliðar 2. mgr. koma þrír nýir málsliðir, svohljóðandi: Persónuvernd ákveður hvort kvörtun sem berst gefur nægar ástæður til rannsóknar og getur úrskurðað um hvort brot hefur átt sér stað. Persónuvernd skal upplýsa kvartanda um framvindu og niðurstöður máls innan hæfilegs tíma. Persónuvernd skal jafnframt upplýsa kvartanda um heimild hans til að bera ákvarðanir og málsmeðferð stofnunarinnar undir dómstóla, sbr. 4. mgr.
b. Á eftir 3. mgr. kemur ný málsgrein sem orðast svo:
Ákvarðanir Persónuverndar, þ.m.t. ákvarðanir um að taka kvartanir ekki til rannsóknar að hluta til eða öllu leyti, og aðra málsmeðferð stofnunarinnar má bera undir dómstóla með venjubundnum hætti.
4. gr.
a. Í stað orðsins „skal“ í 1. málsl. kemur: og vinnsluaðili skulu.
b. Í stað orðsins „hann“ í 1. málsl. kemur: þeir.
c. Á eftir orðinu „ábyrgðaraðili“ í 2. málsl. kemur: og vinnsluaðili.
5. gr.
II. KAFLI
Breyting á lögum um vinnslu persónuupplýsinga í löggæslutilgangi, nr. 75/2019.
6. gr.
Gjaldtaka.
7. gr.
Greinargerð.
Frumvarpið var samið í dómsmálaráðuneytinu að fengnum ábendingum frá Persónuvernd. Lög um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, (persónuverndarlög) voru samþykkt á Alþingi 27. júní 2018. Með lögunum var innleidd reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, eins og reglugerðin var löguð að samningnum um Evrópska efnahagssvæðið. Þrátt fyrir að um reglugerð Evrópusambandsins sé að ræða ber hún með sér ýmis einkenni tilskipunar, svo sem hin fjölmörgu ákvæði reglugerðarinnar sem heimila nánari útfærslu á tilteknum ákvæðum. Á þeim tíma sem er liðinn frá gildistöku laganna hefur komið í ljós við beitingu þeirra að skýra þarf nokkur ákvæði nánar.
Tillögur Persónuverndar eru tvíþættar. Annars vegar er um að ræða einfaldar breytingar á persónuverndarlögum og öðrum lögum sem eru til þess fallnar að létta undir með starfsemi stofnunarinnar, auðvelda henni að sinna eftirlitshlutverki sínu og skýra betur ákvæði sem óvissa hefur verið um við framkvæmd laganna. Hins vegar er um að ræða flóknari lagabreytingar sem þarfnast mögulega aðkomu fleiri aðila þar sem þær breytingar eru ekki eingöngu á málefnasviði dómsmálaráðuneytisins. Vinna má að lagabreytingum í áföngum og með forgangsröðun þannig að nú verði lagðar til þær breytingar sem þykja aðkallandi og nauðsynlegar. Þær breytingar sem eru lagðar til í frumvarpi þessu lúta að málsmeðferð kvartana hjá Persónuvernd, þvingunarúrræðum og gjaldtökuheimildum stofnunarinnar og undanþágum frá upplýsinga- og aðgangsrétti skráðra einstaklinga.
2. Tilefni og nauðsyn lagasetningar.
Við gildistöku nýrra persónuverndarlaga voru Persónuvernd færð umfangsmikil og ný verkefni og valdheimildir. Mikið hefur mætt á stofnuninni undanfarin misseri og ár, ekki síst frá gildistöku laganna með hliðsjón af nýjum verkefnum og annarri þróun í samfélaginu, svo sem stafrænni þróun á ýmsum sviðum. Mikill þungi liggur í málafjölda stofnunarinnar sem hefur vaxið ár frá ári og samhliða hefur afgreiðslutími mála lengst. Þá virðist verkefnaálag stofnunarinnar ekki tímabundið heldur viðvarandi. Þegar horft er til þessa og þess tíma sem liðinn er frá gildistöku laganna þótti tilefni til og tímabært að leggja mat á þá reynslu sem fengist hefur af framkvæmdinni undanfarin ár og á grundvelli hennar skoða hvar tækifæri liggja til einföldunar í meðferð mála hjá Persónuvernd. Slík skoðun hefur leitt í ljós möguleika til einföldunar á starfsemi stofnunarinnar. Með frumvarpinu er stefnt að því að draga úr verkefnaálagi hjá Persónuvernd og samhliða því stytta málsmeðferðartíma og auka skilvirkni hjá stofnuninni.
Persónuvernd annast eftirlit með allri vinnslu persónuupplýsinga sem fellur undir lög um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, reglugerð (ESB) 2016/679 og lög um vinnslu persónuupplýsinga í löggæslutilgangi, nr. 75/2019. Þá er fjallað um vinnslu persónuupplýsinga í um og yfir 100 lagabálkum á Íslandi. Einnig er vikið að persónuvernd og málefnum tengdum lögbundnu hlutverki Persónuverndar í ýmsum stefnum ríkisins, t.d. Menntastefnu 2030, Stefnu Íslands um gervigreind, Netöryggisstefnu Íslands 2021–2036 og Stafrænu Íslandi, stefnu um stafræna þjónustu hins opinbera. Undir eftirlit Persónuverndar getur fallið vinnsla persónuupplýsinga hjá fyrirtækjum, stofnunum, sveitarfélögum og samtökum og ber stofnuninni að gæta hagsmuna alls almennings þannig að mannréttindi séu ekki brotin við vinnslu persónuupplýsinga. Á meðal verkefna stofnunarinnar sem eru tilgreind í persónuverndarlögum er að úrskurða í kvörtunarmálum og mæla fyrir um ráðstafanir að því er varðar tækni, öryggi og skipulag vinnslu persónuupplýsinga. Þá getur stofnunin fjallað um einstök mál og tekið í þeim ákvörðun að eigin frumkvæði.
Vinnsla persónuupplýsinga eykst stöðugt og óteljandi möguleikar eru á aukinni dreifingu og miðlun þeirra. Samhliða hraðri tækniþróun sækja bæði einstaklingar og þeir sem vinna með persónuupplýsingar í auknum mæli í ráðgjöf og leiðbeiningar frá Persónuvernd og berast stofnuninni daglega fjölmörg erindi frá einstaklingum, stofnunum, fyrirtækjum og samtökum í formi kvartana, fyrirspurna og álits- og umsagnarbeiðna, svo einhver dæmi séu nefnd. Þegar horft er til þróunar á fjölda mála sem berast Persónuvernd er ljóst að málum hefur fjölgað jafnt og þétt frá fyrstu árum stofnunarinnar. Nú berast Persónuvernd árlega um 2.500 mál, auk þess sem óafgreidd mál við árslok hafa verið á bilinu 500–1.100 talsins. Öðrum verkefnum Persónuverndar en afgreiðslu mála sem berast stofnuninni hefur að sama skapi fjölgað verulega undanfarin ár.
Að einhverju marki hefur verið brugðist við álagi á Persónuvernd með því að auka fjárheimildir á síðustu árum. Þá hefur Persónuvernd gripið til ýmissa ráðstafana til að styrkja innviði stofnunarinnar. Stofnunin hefur tekið í notkun nýtt málaskrárkerfi og farið í rafræn skil gagna til Þjóðskjalasafns Íslands, stytt alla málsmeðferð sem frekast er unnt, allt verklag hefur verið endurskoðað, einfaldað og stytt, skipurit hefur verið endurskoðað, málshraði eftir málategundum hefur verið skilgreindur og birtur á vef og unnið hefur verið rafrænt kvörtunareyðublað. Þessar aðgerðir hafa verið til bóta en hafa hins vegar ekki valdið straumhvörfum í umfangi þeirra verkefna sem hvíla á Persónuvernd, sérstaklega í ljósi þess að stofnunin hefur litla stjórn á ytri aðstæðum, svo sem kvörtunum sem berast eða beiðnum um álit eða umsagnir. Miklar tafir eru á málsmeðferð stofnunarinnar vegna málafjölda og málahala sem ekki hefur náðst að vinna á og er hætt við að svo verði áfram verði ekki gripið til frekari ráðstafana.
Reynslan af framkvæmd laganna undanfarin ár hefur leitt í ljós að frekari tækifæri eru til umbóta í þá átt að einfalda meðferð mála hjá stofnuninni með því að gera breytingar á lögum. Með slíkri einföldun ætti að vera mögulegt að mæta betur þeim áskorunum sem felast í miklum málafjölda hjá Persónuvernd, svo sem með því að draga úr þeim mikla fjölda mála sem stofnunin þarf að ljúka með rökstuddri úrlausn. Ef ekkert er aðhafst er hætt við að málsmeðferðartími aukist enn frekar með tilheyrandi áhrifum á skilvirkni.
Fjöldi nýrra mála á ári og spá til 2027
Hér er efni sem sést aðeins í pdf-skjalinu.
Samkvæmt 2. mgr. 39. gr. persónuverndarlaga á sérhver skráður einstaklingur eða fulltrúi hans rétt á að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við reglugerðina eða ákvæði laganna og ber stofnuninni að úrskurða um hvort brot hefur átt sér stað. Persónuverndarlögin ganga að þessu leyti lengra en reglugerð (ESB) 2016/679, sem ekki mælir fyrir um að eftirlitsyfirvöld úrskurði í öllum kvörtunarmálum. Í skýringu í greinargerð með frumvarpi sem varð að lögum nr. 90/2018 (þskj. 1029, mál nr. 622 á 148. lögþ.) kemur enda fram að umræddur málsliður sé sérákvæði. Í framkvæmd hefur þetta leitt til þess að Persónuvernd þarf ávallt að úrskurða í öllum kvörtunarmálum sem henni berast. Þær kvartanir sem berast Persónuvernd eru af ýmsum toga en oft er um að ræða mál þar sem atvik eru óumdeild eða nánast ómögulegt er að sannreyna þau eða mál sem eru sambærileg eldri málum sem stofnunin hefur áður úrskurðað um og, eftir atvikum, leyst úr þeim lögfræðilegu álitamálum sem uppi eru. Rannsókn og ritun úrskurða í slíkum málum geta engu að síður tekið talsverðan tíma.
Með hliðsjón af stöðu mála hjá Persónuvernd, því að leita verður leiða til að draga úr álagi á stofnunina og því að ekki er gerð krafa um það í reglugerð (ESB) 2016/679 að kvörtun sé lokið með úrskurði er lögð til sú breyting á lögunum að Persónuvernd geti ákveðið hvort kvörtun sem berst gefur tilefni til rannsóknar og þurfi ekki að úrskurða um hvort brot hefur átt sér stað í öllum kvörtunarmálum. Samhliða þeim breytingartillögum eru lagðar til tvær aðrar breytingar sem er ætlað að tryggja að sú réttarvernd, sem felst í því að geta kvartað til Persónuverndar, verði ekki fyrir borð borin þótt stofnuninni verði ekki skylt að rannsaka allar kvartanir sem henni berast og úrskurða um þær. Fela þær breytingartillögur í sér tvær áréttingar, annars vegar um að Persónuvernd skuli upplýsa kvartanda um framvindu og niðurstöður máls innan hæfilegs tíma, sem og um möguleikann á að bera ákvarðanir og málsmeðferð stofnunarinnar undir dómstóla, og hins vegar um að aðili máls megi bera ákvarðanir og málsmeðferð Persónuverndar undir dómstóla, þ.m.t. ákvarðanir um að taka kvörtun ekki til rannsóknar.
Loks er með frumvarpinu stefnt að því að veita Persónuvernd úrræði sem auðvelda stofnuninni að sinna eftirlitshlutverki sínu og lagfæra ákvæði sem þarfnast breytinga að fenginni reynslu af framkvæmd laganna.
3. Meginefni frumvarpsins.
Með frumvarpinu eru lagðar til nokkrar breytingar á persónuverndarlögum. Í fyrsta lagi er lögð til breyting á 4. mgr. 17. gr. laganna sem felur í sér að takmörkuð eru réttindi hins skráða til upplýsinga og aðgangs skv. 13–15. gr. reglugerðarinnar án þess að til setningar sérlaga þurfi að koma, líkt og kveðið er á um í núgildandi lögum. Þessar takmarkanir byggjast á heimild í 1. mgr. 23. gr. reglugerðarinnar. Þar segir m.a. að í lögum aðildarríkis, sem ábyrgðaraðili eða vinnsluaðili gagna heyrir undir, sé heimilt að takmarka með löggjafarráðstöfun gildissvið þeirra skyldna og réttinda, sem um getur í 12.–22. gr., ef slík takmörkun virðir eðli grundvallarréttinda og mannfrelsis og telst nauðsynleg og hófleg ráðstöfun í lýðræðisþjóðfélagi með hliðsjón af tíu nánar tilgreindum atriðum. Breytingartillagan miðar að því að ákvæði 4. mgr. 17. gr. laganna verði sú löggjafarráðstöfun sem reglugerðin kveður á um.
Í öðru lagi er lögð til breyting varðandi álagningu dagsekta. Í 45. gr. persónuverndarlaga er Persónuvernd veitt heimild til að leggja á dagsektir ef ekki er farið að fyrirmælum hennar skv. 6., 7. eða 9. tölul. 42. gr. laganna. Skv. 3. mgr. 38. gr. laganna er gert ráð fyrir að stjórn Persónuverndar taki ákvörðun um álagningu dagsekta. Lögð er til sú breyting annars vegar að ekki þurfi aðkomu stjórnar að ákvörðun um álagningu dagsekta og hins vegar að bætt verði við heimild til álagningar dagsekta, skv. 45. gr. laganna, þegar ekki er orðið við beiðnum Persónuverndar um upplýsingar eða aðgang að gögnum eða húsnæði skv. 1., 5. eða 6. tölul. 1. mgr. 41. gr. laganna.
Í þriðja lagi er með frumvarpinu lagt til að lokamálsliður 2. mgr. 39. gr. laganna verði felldur brott þannig að afnumin verði sú skylda Persónuverndar að ljúka hverju kvörtunarmáli með úrskurði. Þegar horft er til fjölda og fjölbreytileika þeirra mála sem stofnuninni berast er æskilegt að stofnuninni verði gert kleift að leysa úr kvörtunarmálum með öðrum hætti en að úrskurða í þeim enda verður talið að kvörtun geti fengið fullnægjandi meðferð án þess að úrskurðað sé um hana. Einnig er lagt til að Persónuvernd geti tekið ákvörðun um hvort kvörtun, sem berst stofnuninni, gefi nægar ástæður til rannsóknar. Samhliða þessum breytingartillögum er lagt til að áréttuð verði í lögunum skylda Persónuverndar til að upplýsa kvartanda um framvindu og niðurstöður máls innan hæfilegs tíma og um heimild hans til að bera ákvarðanir og málsmeðferð stofnunarinnar undir dómstóla, sem og réttur aðila máls til að bera ákvarðanir og málsmeðferð Persónuverndar undir dómstóla.
Í fjórða lagi er lögð til breyting á 40. gr. laganna svo að heimild til gjaldtöku vegna kostnaðar sem hlýst af eftirliti nái ekki einungis til ábyrgðaraðila heldur einnig vinnsluaðila.
Í fimmta lagi er lögð til breyting á lögum um vinnslu persónuupplýsinga í löggæslutilgangi, nr. 75/2019. Er lagt til að bætt verði nýju ákvæði um gjaldtöku við lögin þannig að ráðherra geti sett gjaldskrá sem mælir fyrir um gjald sem ábyrgðaraðili eða vinnsluaðili skuli greiða Persónuvernd vegna þess kostnaðar sem hlýst af eftirliti með því að hann fullnægi skilyrðum laganna og reglum sem settar eru samkvæmt þeim. Sambærilegt ákvæði er að finna í 40. gr. persónuverndarlaga en hingað til hefur skort gjaldskrárheimild í lög um vinnslu persónuupplýsinga í löggæslutilgangi og er því lagt til að úr því verði bætt.
4. Samræmi við stjórnarskrá og alþjóðlegar skuldbindingar.
Frumvarpið varðar skuldbindingar Íslands samkvæmt EES-samningnum að því leyti að reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga hefur verið tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar um breytingu á XI. viðauka og bókun 37 við samninginn. Reglugerðin var innleidd með lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018. Lögunum og reglugerðinni er ætlað að stuðla að því að vinnsla persónuupplýsinga sé í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs, sem telst til grundvallarmannréttinda, sbr. 71. gr. stjórnarskrárinnar og 8. gr. mannréttindasáttmála Evrópu, og er frumvarpinu ætlað að styrkja þau réttindi enn frekar, meðal annars með því að einfalda málsmeðferð Persónuverndar og auðvelda stofnuninni þar með að sinna eftirliti samkvæmt lögunum og reglugerðinni.
5. Samráð.
Frumvarpið er samið í dómsmálaráðuneytinu að fengnum ábendingum frá Persónuvernd.
Áform um fyrirhugaða lagasetningu voru kynnt öðrum ráðuneytum með hefðbundnum hætti í desember 2021. Ekki bárust athugasemdir við áformin.
Drög að frumvarpinu voru kynnt til umsagnar í samráðsgátt stjórnvalda á vefnum Ísland.is frá 6. til 24. október 2022 (mál nr. S-182/2022). Þrjár umsagnir bárust, frá einum einstaklingi, Samtökum atvinnulífsins og Sambandi íslenskra sveitarfélaga.
Í umsögn einstaklings eru gerðar athugasemdir við að samkvæmt frumvarpsdrögunum geti Persónuvernd ákveðið hvort kvörtun gefi nægilegt tilefni til rannsóknar. Vísað er til þess að Persónuvernd er bundin af reglum stjórnsýslulaga, nr. 37/1993, m.a. rannsóknarreglunni, þeirrar stöðu sem kvartendur eru gjarnan í gagnvart stofnuninni og þeim sem kvörtun beinist að, skorts á kæruleiðum og takmarkaðs aðgengis almennra borgara að dómstólum vegna þess kostnaðar sem því fylgir að vísa málum þangað. Með hliðsjón af þessum athugasemdum hefur nánari skýringum verið bætt við umfjöllun um 3. gr. frumvarpsins. Til viðbótar við þær skýringar er um skort á kæruleiðum innan stjórnsýslunnar vísað til umfjöllunar í skýringum við 38. gr. frumvarps að lögum nr. 90/2018.
Í umsögn Samtaka atvinnulífsins er gerð athugasemd við að í a-lið 3. gr. frumvarpsins sé kveðið á um að Persónuvernd skuli upplýsa kvartanda um framvindu og niðurstöður máls innan hæfilegs tíma. Að mati samtakanna sé sanngjarnt og eðlilegt að afgreiðslutíma stofnunarinnar séu sett ákveðin tímamörk og er vísað til þess að óhóflegur málsmeðferðartími leggi þungar byrðar á atvinnulífið og geti valdið hinum skráða miklum óþægindum. Tilvísað ákvæði frumvarpsins fjallar um upplýsingaskyldu Persónuverndar gagnvart þeim sem kvarta til stofnunarinnar en ekki þykir tilefni til að leggja til ákveðin tímamörk hvað varðar málsmeðferð hjá stofnuninni. Persónuvernd er bundin af málshraðareglu 9. gr. stjórnsýslulaga, nr. 37/1993, en þau mál sem stofnunin tekur til rannsóknar geta verið mjög misjöfn að eðli og umfangi. Rannsókn mála getur verið flókin og m.a. kallað á aðkomu utanaðkomandi sérfræðinga, auk þess sem tíma getur tekið að afla allra viðeigandi gagna frá þeim sem rannsókn beinist að. Vonir standa hins vegar til þess að með því að einfalda málsmeðferð hjá Persónuvernd, eins og lagt er til með frumvarpi þessu, styttist málsmeðferðartími hjá stofnuninni.
Í umsögnum Samtaka atvinnulífsins og Sambands íslenskra sveitarfélaga eru gerðar athugasemdir við að með frumvarpinu sé lagt til að ekki þurfi aðkomu stjórnar Persónuverndar að ákvörðunum stofnunarinnar um beitingu dagsekta og að stofnuninni verði gert heimilt að beita dagsektum, skv. 45. gr. laganna, þegar ekki er orðið við beiðnum hennar um aðgang að upplýsingum, gögnum og húsnæði skv. 1., 5. og 6. tölul. 1. mgr. 41. gr. laganna. Þessum tillögum frumvarpsins er m.a. ætlað að auka skilvirkni við eftirlit og stytta málsmeðferðartíma hjá stofnuninni, sbr. umfjöllun hér að framan, og hefur athugasemdum þar að lútandi verið bætt við skýringar við 2. og 5. gr. frumvarpsins. Þá skal það áréttað að Persónuvernd er ávallt bundin af ákvæðum stjórnsýslulaga, nr. 37/1993, sem og óskrifuðum meginreglum stjórnsýsluréttarins, þegar teknar eru ákvarðanir um beitingu þvingunarúrræða.
Aðrar athugasemdir Samtaka atvinnulífsins tengjast ekki beint frumvarpinu sjálfu og verða því ekki reifaðar hér.
6. Mat á áhrifum.
Frumvarpinu er ætlað að einfalda málsmeðferð hjá Persónuvernd án þess að það hafi áhrif á rétt einstaklinga til að leita til stofnunarinnar ef þeir telja að vinnsla persónuupplýsinga þeirra brjóti í bága við ákvæði laganna eða reglugerðarinnar. Með því að einfalda málsmeðferð standa vonir til þess að unnt verði að draga úr verkefnaálagi á Persónuvernd og þar með auka málshraða hjá stofnuninni. Þannig verða bætt þau úrræði sem einstaklingar hafa til að fá leyst úr málum sínum hjá stofnuninni og er stefnt að því að tryggja öllum einstaklingum skilvirka og sanngjarna þjónustu svo að þeir fái notið þeirra réttinda sem þeim ber hér á landi.
Ekki er gert ráð fyrir að frumvarpið hafi í för með sér útgjöld fyrir ríkissjóð eða fjárhagsáhrif á sveitarfélögin.
Ekki er gert ráð fyrir að frumvarpið feli í sér bein eða óbein áhrif á jafnrétti kynjanna eða mismunandi áhrif á stöðu tiltekinna þjóðfélagshópa.
Um einstakar greinar frumvarpsins.
Um 1. gr.
Af skýringum við 17. gr. í frumvarpi því sem varð að lögum nr. 90/2018 má ráða að ákvæði 4. mgr. hafi verið ætlað að vera sú löggjafarráðstöfun sem reglugerðin kveður á um. Í nefndaráliti meiri hluta allsherjar- og menntamálanefndar frá 12. júní 2018 segir um 4. mgr. 17. gr. frumvarpsins að ekki hafi verið talin ástæða til að nýta að fullu allar heimildir, sem kveðið er á um í 1. mgr. 23. gr. reglugerðarinnar, og taka upp alla tíu stafliði hennar, enda gæti löggjafinn sett ákvæði um þessi atriði í sérlög þar sem þörf væri talin á. Þrátt fyrir það voru orðin „með lögum“ sett í frumvarpsákvæðið í breytingartillögu meiri hluta nefndarinnar og þarf því að koma til sérstakrar lagasetningar til að heimila takmarkanir samkvæmt ákvæðinu eins og það er nú.
Breytingartillagan miðar að því að skýrt verði að 4. mgr. 17. gr. laganna sé sú löggjafarráðstöfun sem reglugerðin kveður á um. Þá er lögð til orðalagsbreyting sem er í samræmi við framsetningu sambærilegs ákvæðis í 2. mgr. 22. gr. dönsku persónuverndarlaganna og er ætlað að mæta þeim kröfum sem eru gerðar til löggjafarráðstafana skv. 1. mgr. 23. gr. reglugerðarinnar. Breytingin felur í sér að einungis verði heimilt að víkja frá ákvæðum 13.–15. gr. að því marki sem hagsmunir hins skráða af því að fá upplýsingar og aðgang að persónuupplýsingum sínum samkvæmt tilgreindum ákvæðum reglugerðarinnar þykja eiga að víkja fyrir mun ríkari almannahagsmunum og að því marki sem nauðsynlegt þykir til að tryggja þau atriði sem tilgreind eru í stafliðum ákvæðisins. Með þessu móti er leitast við að innbyggt verði í ákvæðið meðalhóf við beitingu undanþágunnar frá upplýsinga- og aðgangsrétti hins skráða sem er áfram meginregla samkvæmt lögunum og reglugerðinni. Í því felst m.a. að meta þarf nauðsyn takmörkunar í hverju tilviki fyrir sig, að takmörkun getur náð til aðeins einstakra ákvæða 13.–15. gr. og að þegar þær aðstæður, sem réttlæta takmörkun skv. 4. mgr. 17. gr., eru ekki lengur fyrir hendi skal hinn skráði eiga rétt á að fá upplýsingar og aðgang að persónuupplýsingum sínum í samræmi við ákvæði 13.–15. gr. reglugerðarinnar, að því leyti sem aðrar undanþágur laganna og reglugerðarinnar eiga ekki við.
Um 2. gr.
Um 3. gr.
Gildandi ákvæði 2. mgr. 39. gr. persónuverndarlaga kveður á um rétt sérhvers skráðs einstaklings til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við reglugerðina eða ákvæði laganna. Þá segir í lokamálslið ákvæðisins að Persónuvernd úrskurði um hvort brot hefur átt sér stað. Í 1. mgr. 77. gr. reglugerðar (ESB) 2016/679 segir að sérhver skráður einstaklingur skuli hafa rétt til að leggja fram kvörtun hjá eftirlitsyfirvaldi, einkum í því aðildarríki þar sem hann hefur fasta búsetu, vinnur eða þar sem meint brot átti sér stað ef hann telur að vinnsla persónuupplýsinga brjóti í bága við reglugerðina. Í 2. mgr. sömu greinar segir að eftirlitsyfirvaldið skuli upplýsa kvartanda um framvindu og niðurstöðu vegna kvörtunar, m.a. möguleikann á réttarúrræði gagnvart eftirlitsyfirvaldinu. Þá segir í f-lið 1. mgr. 57. gr. reglugerðarinnar að sérhvert eftirlitsyfirvald skuli fjalla um kvartanir sem skráður einstaklingur eða stofnun, samtök eða félag leggja fram í samræmi við 80. gr. og rannsaka, eftir því sem við á, efni kvörtunarinnar og upplýsa kvartanda um framvindu og niðurstöður rannsóknarinnar. Óhætt er því að fullyrða að persónuverndarlögin gangi lengra en reglugerðin þar sem lokamálsliður 2. mgr. 39. gr. laganna gerir ráð fyrir að Persónuvernd úrskurði alltaf um hvort brot hefur átt sér stað og geti því ekki leyst úr kvörtunarmálum með öðrum hætti. Í skýringu við 39. gr. í greinargerð með frumvarpi sem varð að lögum nr. 90/2018 kemur enda fram að umræddur málsliður sé sérákvæði.
Þær kvartanir sem berast Persónuvernd eru af ýmsum toga en oft er um að ræða mál þar sem atvik eru óumdeild eða nánast ómögulegt er að sannreyna þau eða mál sem eru sambærileg eldri málum sem Persónuvernd hefur áður úrskurðað um. Rannsókn og ritun úrskurða í slíkum málum getur engu að síður tekið talsverðan tíma. Verði Persónuvernd heimilt að ákveða hvaða kvartanir gefa nægar ástæður til rannsóknar og hvort úrskurða skuli um þær, má gera ráð fyrir að stofnunin geti lokið kvörtunarmálum með öðrum hætti en einvörðungu að úrskurða í þeim, til dæmis með einföldum fyrirmælum um ráðstafanir til úrbóta skv. 42. gr. laganna. Stofnunin geti þá einnig hafið frumkvæðismál á grundvelli kvörtunar skv. 3. mgr. 39. gr. laganna, t.d. ef efni kvörtunar varðar breiðan hóp einstaklinga eða hugsanlegan kerfislægan vanda hjá ábyrgðaraðila, og þá ýmist lokað kvörtunarmáli eða sett það á bið á meðan leyst er úr frumkvæðismálinu. Með þessu móti hefði stofnunin meiri sveigjanleika við rannsókn mála, svo sem til að rannsaka nánar hvort um kerfislægan vanda hjá ábyrgðaraðila eða vinnsluaðila er að ræða eða einstakt afmarkað atvik. Þá berast stofnuninni iðulega kvartanir sem varða ekki nema að litlu leyti vinnslu persónuupplýsinga eða atvik sem nær ómögulegt getur verið fyrir stofnunina að staðreyna. Breytingartillögurnar miða að því að Persónuvernd verði gert kleift að ljúka kvörtunarmálum sem þessum með einfaldari hætti en samkvæmt gildandi lögum.
Breytingartillögur skv. a-lið 3. gr. frumvarpsins eru í samræmi við heimildir Samkeppniseftirlitsins, skv. 3. mgr. 8. gr. samkeppnislaga, nr. 44/2005, og Neytendastofu, skv. 3. mgr. 4. gr. laga nr. 57/2005 um eftirlit með viðskiptaháttum og markaðssetningu. Ekki þótti tilefni til að leggja til að kveðið yrði sérstaklega á um að Persónuvernd yrði gert heimilt að raða málum í forgangsröð, líkt og fyrrnefndum stofnunum samkvæmt tilvísuðum ákvæðum. Telja verður að heimild til að forgangsraða felist í raun í heimild til að ákveða að kvörtun gefi ekki tilefni til rannsóknar auk þess sem ekkert í núgildandi löggjöf, þ.m.t. stjórnsýslulögum, kemur í veg fyrir að Persónuvernd geti forgangsraðað verkefnum sínum.
Bundnar eru vonir við að með tillagðri breytingu verði Persónuvernd gert fært að anna betur þeim málafjölda sem stofnuninni berst og stytta málsmeðferðartíma þeirra kvartana sem tilefni þykir að úrskurða um og auka þar með skilvirkni hjá stofnuninni gagnvart bæði einstaklingum og lögaðilum.
Í öðru lagi eru, með ákvæðum 3. gr., lagðar til tvær breytingar, sem er ætlað að tryggja að sú réttarvernd, sem felst í því að geta kvartað til Persónuverndar, verði ekki fyrir borð borin. Annars vegar er lagt til í a-lið 3. gr. að áréttað verði í lokamálslið 2. mgr. 39. gr. laganna að Persónuvernd verði gert skylt að upplýsa kvartanda um framvindu og niðurstöður máls innan hæfilegs tíma, sem og að upplýsa kvartanda um heimild hans til að bera ákvarðanir og málsmeðferð stofnunarinnar undir dómstóla, í samræmi við 2. mgr. 77. gr. og f-lið 1. mgr. 57. gr. reglugerðarinnar. Hins vegar er lagt til í b-lið sömu greinar að á eftir 3. mgr. 39. gr. laganna komi ný málsgrein þar sem áréttaður verði réttur aðila máls til að bera ákvarðanir og málsmeðferð Persónuverndar undir dómstóla, í samræmi við ákvæði 1. og 2. mgr. 78. gr. reglugerðarinnar.
Samkvæmt 1. mgr. 38. gr. laganna er aðilum mála hjá Persónuvernd heimilt að leggja ágreining sinn fyrir dómstóla með venjubundnum hætti en í ákvæðinu er ekki sérstaklega tiltekið að aðilum sé einnig heimilt að bera aðrar ákvarðanir en þær sem varða ágreining aðila og málsmeðferð stofnunarinnar undir dómstóla. Þá almennu reglu að bera megi stjórnvaldsákvarðanir, bæði hvað varðar form þeirra og efni, má þó leiða af 60. og 1. mgr. 70. gr. stjórnarskrárinnar. Með hliðsjón af því að lagt er til að Persónuvernd verði ekki lengur skylt að rannsaka og úrskurða í öllum kvörtunarmálum þykir rétt að árétta þessa reglu í 39. gr. laganna. Er þá höfð hliðsjón af sambærilegum ákvæðum 39. gr. dönsku persónuverndarlaganna, sem ekki gera ráð fyrir að danska persónuverndarstofnunin úrskurði í öllum kvörtunarmálum en árétta að bera megi undir dómstóla ákvarðanir eftirlitsyfirvalda, vanrækslu þeirra á að fjalla um kvörtun og skort á upplýsingagjöf.
Við þetta má bæta að Persónuvernd er bundin af ákvæðum stjórnsýslulaga nr. 37/1993, varðandi þau mál sem til greina kemur að taka stjórnvaldsákvörðun um, hvort sem slík ákvörðun er síðan tekin eða ekki. Enn fremur er Persónuvernd í störfum sínum ávallt bundin af óskrifuðum meginreglum stjórnsýsluréttarins, svo sem um að við beitingu matskenndra reglna þurfi að gæta samræmis, jafnræðis og málefnalegra sjónarmiða. Þá geta kvartendur, sem telja að málsmeðferð Persónuverndar hafi ekki verið í samræmi við lög og reglur, beint umkvörtunum þar að lútandi til umboðsmanns Alþingis í samræmi við lög þar um.
Um 4. gr.
Um 5. gr.
Um 6. gr.
Um 7. gr.
