Lagasafn.  Íslensk lög 20. september 2019.  Útgáfa 149c.  Prenta í tveimur dálkum.


Lög um vinnslu persónuupplýsinga í löggæslutilgangi

2019 nr. 75 25. júní


Ferill málsins á Alþingi.    Frumvarp til laga.

Tóku gildi 5. júlí 2019. Schengen-samningurinn: tilskipun 2016/680.
Ef í lögum þessum er getið um ráðherra eða ráðuneyti án þess að málefnasvið sé tilgreint sérstaklega eða til þess vísað, er átt við dómsmálaráðherra eða dómsmálaráðuneyti sem fer með lög þessi. Upplýsingar um málefnasvið ráðuneyta skv. forsetaúrskurði er að finna hér.

I. kafli. Markmið, orðskýringar og gildissvið.
1. gr. Markmið.
Markmið laga þessara er að stuðla að því að yfirvöld á sviði refsivörslu fari með persónuupplýsingar í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga, auk þess að greiða fyrir skilvirkum störfum og nauðsynlegri miðlun persónuupplýsinga þessara yfirvalda sín á milli og til annarra.
2. gr. Orðskýringar.
Merking orða og hugtaka í lögum þessum er sem hér segir:
    1. Persónuupplýsingar: Upplýsingar um persónugreindan eða persónugreinanlegan einstakling („skráðan einstakling“); einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.
    2. Vinnsla: Aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.
    3. Skrá: Skipulegt safn persónuupplýsinga sem er aðgengilegt samkvæmt tilteknum viðmiðunum, hvort heldur það er miðlægt, dreift eða skipt upp eftir notkun eða staðsetningu.
    4. Ábyrgðaraðili: Lögbært yfirvald sem ákvarðar, eitt eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga.
    5. Vinnsluaðili: Einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila.
    6. Hinn skráði: Persónugreinanlegur einstaklingur sem upplýsingar sem unnið er með fjalla um eða unnt er að rekja til.
    7. Samþykki: Óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig.
    8. Löggæslutilgangur: Sá tilgangur að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi.
    9. Öryggisbrestur við vinnslu persónuupplýsinga: Brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða þess að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.
    10. Alþjóðastofnun: Stofnun og, eftir atvikum, undirstofnanir hennar sem heyra undir þjóðarétt eða annar aðili sem komið er á fót með samningi milli tveggja eða fleiri ríkja eða á grundvelli hans.
    11. Lögbært yfirvald: Opinbert yfirvald sem ber ábyrgð á eða er falið það hlutverk að lögum að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Lögbær yfirvöld hér á landi eru dómsmálaráðuneyti, ríkislögreglustjóri, lögregluembættin, ríkissaksóknari, héraðssaksóknari, Fangelsismálastofnun, tollstjóri, Landhelgisgæsla Íslands, skattrannsóknarstjóri ríkisins og sýslumaðurinn á Norðurlandi vestra. Dómstólar teljast ekki til lögbærra yfirvalda samkvæmt lögum þessum.
    12. Viðtakandi: Einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem fær persónuupplýsingar afhentar, hvort sem hann er þriðji aðili eða ekki. Opinber yfirvöld, sem kunna að fá persónuupplýsingar á grundvelli lögbundins hlutverks síns, skulu þó ekki teljast viðtakendur.
    13. Gerð persónusniðs: Sjálfvirk vinnsla persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika.
3. gr. Gildissvið.
Lög þessi gilda um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í löggæslutilgangi. Lögin gilda einnig um vinnslu annarra opinberra aðila eða einkaaðila í sama tilgangi og vinnslu sem fram fer á grundvelli sérstakrar lagaheimildar eða vinnslusamnings við viðkomandi lögbært yfirvald.
Lög þessi gilda um vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og um vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að vera hluti af skrá.
Lög um persónuvernd og vinnslu persónuupplýsinga gilda um vinnslu lögbærra yfirvalda á persónuupplýsingum í öðrum tilgangi, eftir því sem við á.

II. kafli. Almennar reglur um vinnslu.
4. gr. Meginreglur um vinnslu persónuupplýsinga.
Við vinnslu persónuupplýsinga skal allra eftirfarandi atriða gætt:
    a. að þær séu unnar með lögmætum og sanngjörnum hætti og að vinnslan sé lögbæru yfirvaldi nauðsynleg vegna verkefna í löggæslutilgangi,
    b. að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi,
    c. að þær séu nægilegar, viðeigandi og ekki langt umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar,
    d. að þær séu áreiðanlegar og uppfærðar eftir þörfum; persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar,
    e. að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu,
    f. að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt.
Frekari vinnsla sama eða annars ábyrgðaraðila á persónuupplýsingum í löggæslutilgangi, öðrum en þeim sem leiddi til söfnunar upplýsinganna, er því aðeins heimil að hún eigi sér stoð í lögum og sé ekki umfram það sem nauðsynlegt er miðað við síðari tilgang vinnslunnar.
Vinnsla af hálfu sama eða annars ábyrgðaraðila á persónuupplýsingum í löggæslutilgangi getur m.a. falið í sér skjalavistun í þágu almannahagsmuna, notkunar á sviði vísinda, tölfræði eða sagnfræði, að því gefnu að viðeigandi verndarráðstafanir séu gerðar til að tryggja réttindi hins skráða.
Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt skilyrði 1.–3. mgr. og skal geta sýnt fram á það.
5. gr. Staða hins skráða og tegund upplýsinga.
Við vinnslu persónuupplýsinga skal, þar sem við á og eftir því sem kostur er, með skýrum hætti gera grein fyrir hvaða stöðu hinn skráði hafi, svo sem hvort hann hafi hlotið dóm, sé kærður eða grunaður um afbrot, sé brotaþoli eða vitni eða hafi annars konar tengsl við sakamál eða við framangreinda aðila þess, eða þegar vinnsla tengist ekki tilteknu sakamáli hvernig hann tengist vinnslu viðkomandi yfirvalds í löggæslutilgangi.
Eftir því sem unnt er skal aðgreina persónuupplýsingar byggðar á staðreyndum frá matskenndum upplýsingum.
6. gr. Viðkvæmar persónuupplýsingar og notkun persónusniða.
Vinnsla persónuupplýsinga um kynþátt eða þjóðernislegan uppruna manns, stjórnmálaskoðanir, trúarbrögð, lífsskoðun, aðild að stéttarfélagi, heilsufarsupplýsingar, kynlíf manna eða kynhneigð, erfðafræðilegar upplýsingar og lífkennaupplýsingar í því skyni að persónugreina einstakling með einkvæmum hætti er því aðeins heimil að brýna nauðsyn beri til vinnslunnar auk þess sem hún uppfylli a.m.k. eitt eftirtalinna skilyrða:
    a. að sérstök heimild standi til hennar í öðrum lögum,
    b. að hún sé til þess fallin að vernda brýna hagsmuni hins skráða eða annars einstaklings,
    c. að hún varði upplýsingar sem hinn skráði hefur sjálfur gert opinberar.
Lögbærum yfirvöldum er heimilt að vinna persónuupplýsingar með gerð persónusniða í samræmi við ákvæði laga þessara og annarra laga, eftir því sem við á. Lögbærum yfirvöldum er þó óheimilt að taka ákvörðun sem byggist einungis á sjálfvirkri gagnavinnslu, þ.m.t. gerð persónusniðs, og hefur skaðleg réttaráhrif eða önnur veruleg áhrif á skráðan einstakling, nema samkvæmt sérstakri heimild í lögum.
Gerð persónusniðs sem leiðir til mismununar gegn einstaklingum á grundvelli viðkvæmra persónuupplýsinga er óheimil.

III. kafli. Skráning og miðlun persónuupplýsinga.
7. gr. Skrár í löggæslutilgangi.
Þær skrár sem lögbærum yfirvöldum ber að halda samkvæmt lögum skulu uppfylla skilyrði laga þessara um vinnslu og vernd persónuupplýsinga. Þá er lögbærum yfirvöldum heimilt að skrá og varðveita persónuupplýsingar að því marki sem nauðsynlegt er í löggæslutilgangi og í samræmi við önnur ákvæði laga þessara.
Lögbær yfirvöld skulu upplýsa Persónuvernd um þær skrár sem þau halda. Í tilkynningu til Persónuverndar skulu koma fram upplýsingar um ábyrgðaraðila, eðli og tilgang skrár, hvaða upplýsingar er þar að finna, hverjir hafa aðgang að henni eða hlutum hennar og til hverra upplýsingum úr skrá er miðlað. Séu gerðar breytingar á skrá að því er varðar framangreind atriði skal upplýsa Persónuvernd um þær.
Ríkislögreglustjóri heldur skrár lögreglu samkvæmt ákvæðum lögreglulaga. Þá getur ríkislögreglustjóri veitt einstökum lögreglustjórum heimild til að halda þær skrár sem þeir telja þörf á í löggæslutilgangi og annast jafnframt tilkynningarskyldu skv. 2. mgr. fyrir þeirra hönd.
Um miðlun upplýsinga úr þeim skrám sem lögbær yfirvöld halda fer eftir ákvæðum þessa kafla og ákvæðum annarra laga, eftir því sem við á.
8. gr. Miðlun upplýsinga í löggæslutilgangi.
Persónuupplýsingum má miðla innan og á milli lögbærra yfirvalda aðeins að því marki sem nauðsynlegt er í löggæslutilgangi.
Aðeins má miðla persónuupplýsingum til annarra opinberra aðila eða einkaaðila í löggæslutilgangi þegar brýna nauðsyn ber til og miðlunin varðar hagsmuni sem bersýnilega eru ríkari en réttur hins skráða til verndar.
9. gr. Miðlun upplýsinga til EES-ríkja.
Persónuupplýsingum má miðla til lögbærra yfirvalda í öðrum EES-ríkjum að því marki sem nauðsynlegt er í löggæslutilgangi.
10. gr. Miðlun upplýsinga til alþjóðastofnana og þriðja ríkis.
Persónuupplýsingum má miðla til ábyrgðaraðila sem telst til lögbærs yfirvalds hjá alþjóðastofnun eða ríkis utan EES að því marki sem nauðsynlegt er í löggæslutilgangi og að uppfylltu a.m.k. einu eftirtalinna skilyrða:
    a. framkvæmdastjórn Evrópusambandsins hefur tekið ákvörðun um að móttökuríki veiti persónuupplýsingum fullnægjandi vernd,
    b. miðlunin grundvallast á alþjóða- eða milliríkjasamningi sem veitir viðunandi verndarráðstafanir um vernd persónuupplýsinga, eða
    c. ábyrgðaraðili hefur metið það sem svo að miðlunin uppfylli kröfur um viðunandi verndarráðstafanir.
Ábyrgðaraðili skal tilkynna Persónuvernd um þá flokka miðlunar sem grundvallast á c-lið 1. mgr. Jafnframt, þegar miðlun fer fram á grundvelli c-liðar 1. mgr., skal hún skráð og skal skráningin vera aðgengileg Persónuvernd að fenginni beiðni þar um, þ.m.t. dagsetning og tímasetning miðlunarinnar, upplýsingar um lögbæra yfirvaldið sem móttekur upplýsingarnar, rökstuðningur fyrir miðluninni og persónuupplýsingarnar sem miðlað var.
Ef ekki liggur fyrir ákvörðun um að vernd sé fullnægjandi skv. a-lið 1. mgr. eða ekki hafa verið gerðar viðeigandi verndarráðstafanir skv. b- og c-lið 1. mgr. skal miðlun persónuupplýsinga aðeins fara fram að því marki sem hún er nauðsynleg:
    a. til að vernda brýna hagsmuni hins skráða eða annars einstaklings,
    b. til að gæta lögvarinna hagsmuna hins skráða sem sérstaklega er kveðið á um í lögum,
    c. til að koma í veg fyrir alvarlega og yfirvofandi ógn gagnvart almannaöryggi hér á landi eða erlendis,
    d. vegna einstakra tilvika í löggæslutilgangi þegar ljóst er að hagsmunir og réttindi hins skráða til verndar skulu víkja fyrir ríkari almannahagsmunum, eða
    e. vegna einstakra tilvika til að unnt sé að stofna, nýta eða verja réttarkröfur í tengslum við tiltekið verkefni í löggæslutilgangi og ljóst er að hagsmunir og réttindi hins skráða til verndar skulu víkja fyrir ríkari almannahagsmunum.
Þegar miðlun fer fram á grundvelli 3. mgr. skal hún skráð og skal skráningin vera aðgengileg Persónuvernd að fenginni beiðni þar um, þ.m.t. dagsetning og tímasetning miðlunarinnar, upplýsingar um lögbæra yfirvaldið sem móttekur upplýsingarnar, rökstuðningur fyrir miðluninni og persónuupplýsingarnar sem miðlað var.
Í einstökum tilvikum er lögbærum yfirvöldum heimilt að miðla persónuupplýsingum beint til viðtakanda utan EES-ríkis sem ekki er lögbært yfirvald, að því gefnu að miðlunin samræmist að öðru leyti ákvæðum laga þessara og að uppfylltum öllum eftirfarandi skilyrðum:
    a. miðlunin er nauðsynleg í löggæslutilgangi,
    b. lögbæra yfirvaldið hefur ákvarðað að hagsmunir og réttur hins skráða til verndar skuli víkja fyrir ríkari almannahagsmunum,
    c. ljóst er að miðlun til lögbærs yfirvalds í móttökuríkinu yrði óskilvirk eða ekki möguleg,
    d. yfirvaldinu sem telst lögbært í móttökuríkinu er gert viðvart um miðlunina án ótilhlýðilegrar tafar nema því verði ekki komið við, og
    e. lögbæra yfirvaldið tilkynnir viðtakanda um í hvaða tilgangi honum er heimilt að vinna upplýsingarnar.
Þegar upplýsingum er miðlað á grundvelli 5. mgr. skal hið lögbæra yfirvald sem annast miðlunina skrásetja hana og tilkynna um hana til Persónuverndar.
Persónuupplýsingar sem eiga uppruna sinn í öðru EES-ríki má aðeins senda til ríkis utan EES eða alþjóðastofnunar að fengnu leyfi þess ríkis sem upplýsingarnar eru upprunnar í. Að sama skapi skal sjá til þess að þriðja ríki eða alþjóðastofnun afli leyfis hjá viðkomandi lögbæru yfirvaldi fyrir framsendingu persónuupplýsinga til annars ríkis utan EES eða alþjóðastofnunar. Miðlun persónuupplýsinga án leyfis frá upprunaríki er eingöngu heimil ef hún er nauðsynleg til þess að koma í veg fyrir bráða og alvarlega ógn við almannaöryggi viðkomandi ríkis eða vegna annarra ríkra hagsmuna EES-ríkis og ljóst er að ekki er unnt að afla leyfis í tæka tíð. Upplýsa ber um miðlunina án tafar til þess ríkis sem veita hefði átt leyfi fyrir henni.
Ákvæði þessarar greinar hafa ekki áhrif á miðlun persónuupplýsinga til þriðja ríkis eða alþjóðastofnana á grundvelli alþjóðlegra skuldbindinga sem Ísland gekkst undir fyrir 6. maí 2016.
11. gr. Miðlun upplýsinga í öðrum tilgangi.
Persónuupplýsingum sem lögbært yfirvald hefur safnað í löggæslutilgangi má miðla til annarra opinberra aðila og einkaaðila að því marki sem nauðsynlegt er til að þeir geti sinnt lögbundnum hlutverkum sínum eða gætt lögvarinna hagsmuna sinna. Jafnframt er miðlun persónuupplýsinga til þessara sömu aðila heimil samkvæmt samþykki hins skráða.
Ákvæði laga um persónuvernd og vinnslu persónuupplýsinga gilda að öðru leyti um miðlun persónuupplýsinga skv. 1. mgr. og vinnslu viðtakanda á upplýsingunum.
12. gr. Áreiðanleiki upplýsinga sem er miðlað.
Lögbær yfirvöld skulu leitast við að tryggja að persónuupplýsingum sem eru óáreiðanlegar, ófullnægjandi eða hafa ekki verið uppfærðar sé ekki miðlað. Í því skyni skal hvert lögbært yfirvald, eftir því sem unnt er, sannprófa gæði persónuupplýsinga áður en þeim er miðlað. Við alla miðlun persónuupplýsinga skal, eftir því sem við verður komið, bæta við nauðsynlegum upplýsingum sem gera viðtakanda kleift að meta hversu nákvæmar, heillegar og áreiðanlegar persónuupplýsingarnar eru og að hvaða marki þær hafa verið uppfærðar.
Þegar röngum persónuupplýsingum hefur verið miðlað, eða persónuupplýsingum hefur verið miðlað með ólögmætum hætti, skal gera viðtakanda viðvart um það án tafar. Upplýsingarnar skal í kjölfarið leiðrétta, þeim eytt eða vinnsla þeirra takmörkuð í samræmi við 14.–16. gr.

IV. kafli. Réttindi hins skráða og takmarkanir á þeim.
13. gr. Réttur hins skráða til aðgangs að upplýsingum og takmarkanir á aðgangi.
Ábyrgðaraðili skal gera eftirfarandi upplýsingar aðgengilegar hinum skráða:
    a. heiti og samskiptaupplýsingar ábyrgðaraðila,
    b. upplýsingar um persónuverndarfulltrúa og hlutverk hans gagnvart hinum skráða,
    c. tilganginn með fyrirhugaðri vinnslu persónuupplýsinga, og
    d. rétt hins skráða skv. 2. mgr. og 14.–16. gr. og rétt hans til að leggja fram kvörtun hjá Persónuvernd í þeim tilvikum er ábyrgðaraðili takmarkar rétt hans að þessu leyti.
Samkvæmt beiðni á hinn skráði rétt til staðfestingar frá ábyrgðaraðila á því hvort unnar séu persónuupplýsingar um hann og, ef svo er, rétt til aðgangs að persónuupplýsingunum, auk upplýsinga um eftirtalin atriði:
    a. tilganginn með vinnslunni og lagagrundvöll hennar,
    b. hvaða flokki upplýsingarnar tilheyra, sbr. 5. og 6. gr.,
    c. viðtakendur upplýsinganna,
    d. uppruna þeirra,
    e. hversu lengi fyrirhugað er að varðveita þær, ef mögulegt er,
    f. rétt hans til að fara fram á það við ábyrgðaraðila að láta leiðrétta, eyða eða takmarka vinnslu upplýsinganna, og
    g. rétt hans til að leggja fram kvörtun hjá Persónuvernd vegna vinnslunnar.
Synja má beiðni skv. 2. mgr. að hluta eða öllu leyti ef það telst nauðsynlegt í eftirfarandi tilgangi, að teknu tilliti til lögmætra hagsmuna og réttinda hins skráða til verndar:
    a. vegna rannsóknar sakamáls, málsmeðferðar eða annarrar starfsemi hjá lögbæru yfirvaldi í löggæslutilgangi,
    b. í þágu þjóðar- eða almannaöryggis, eða
    c. til að vernda hagsmuni annars en hins skráða.
Ábyrgðaraðila er skylt að tilkynna hinum skráða, skriflega og án ótilhlýðilegrar tafar, um hvers kyns synjun eða takmörkun á aðgangi og ástæður fyrir ákvörðuninni. Tilkynningarskylda þessi fellur niður að hluta eða öllu leyti ef ljóst er að hún samræmist ekki tilgangi synjunarinnar. Ávallt skal þó tilkynna um rétt hins skráða til að leggja fram kvörtun hjá Persónuvernd.
14. gr. Varðveisla og eyðing persónuupplýsinga.
Um varðveislu persónuupplýsinga fer eftir lögum um persónuvernd og vinnslu persónuupplýsinga og lögum um opinber skjalasöfn.
Hinn skráði á rétt til að fá persónuupplýsingum er varða hann sjálfan eytt án óþarfa tafar ef í ljós kemur að vinnsla þeirra hefur brotið gegn 4. eða 6. gr. eða ábyrgðaraðila er skylt að lögum að eyða upplýsingunum.
15. gr. Leiðrétting upplýsinga.
Ábyrgðaraðili skal að eigin frumkvæði eða að beiðni hins skráða leiðrétta rangar upplýsingar. Í því skyni skal ábyrgðaraðili auka við upplýsingar eða uppfæra þær, eftir atvikum með viðtöku viðbótarupplýsinga frá hinum skráða.
16. gr. Takmörkun vinnslu.
Í eftirtöldum tilvikum skal ábyrgðaraðili, í stað þess að eyða persónuupplýsingum skv. 2. mgr. 14. gr., auðkenna þær í þeim tilgangi að takmarka frekari vinnslu þeirra:
    a. ef hinn skráði vefengir að persónuupplýsingar séu réttar og ekki er unnt að ganga úr skugga um hvort svo sé, eða
    b. ef nauðsynlegt er að varðveita upplýsingarnar sem sönnunargögn.
17. gr. Tilkynningarskylda um synjun á beiðni um eyðingu, leiðréttingu eða takmörkun á vinnslu persónuupplýsinga.
Í þeim tilvikum þegar beiðni hins skráða um leiðréttingu, eyðingu eða takmörkun á vinnslu persónuupplýsinga er synjað, að hluta eða öllu leyti, ber ábyrgðaraðila að tilkynna hinum skráða um synjunina auk ástæðna fyrir henni.
Tilkynningarskylda skv. 1. mgr. fellur niður ef það er nauðsynlegt í einhverjum þeim tilgangi sem greinir í 3. mgr. 13. gr. Ávallt skal þó tilkynna um rétt hins skráða til að leggja fram kvörtun hjá Persónuvernd.

V. kafli. Öryggi og eftirlit með persónuupplýsingum.
18. gr. Ábyrgð ábyrgðaraðila.
Ábyrgðaraðili skal gera viðeigandi ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar sem og réttindum hins skráða til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur laga þessara.
Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslunnar og aðferðir við hana teljast þeir vera sameiginlegir ábyrgðaraðilar og skulu, með samkomulagi sín á milli, ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt lögum þessum séu uppfylltar, nema og að því marki sem ábyrgð hvers þeirra um sig er ákveðin með lögum. Í samkomulaginu ber að tilnefna tengilið fyrir skráða einstaklinga.
19. gr. Innbyggð og sjálfgefin persónuvernd.
Þegar aðferðir við vinnsluna eru ákveðnar og þegar vinnslan fer fram skal ábyrgðaraðili gera viðeigandi ráðstafanir til að uppfylla kröfur laga þessara og vernda réttindi skráðra einstaklinga.
Ábyrgðaraðili skal gera viðeigandi ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni.
20. gr. Almennar reglur um vinnsluaðila.
Þegar öðrum er falin vinnsla persónuupplýsinga fyrir hönd ábyrgðaraðila skal ábyrgðaraðili einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi ráðstafanir til að vinnslan uppfylli kröfur laga þessara og að réttindi skráðra einstaklinga séu tryggð.
Vinnsluaðili skal ekki ráða annan vinnsluaðila nema hafa til þess sértæka eða almenna skriflega heimild ábyrgðaraðila. Ef um er að ræða almenna skriflega heimild skal vinnsluaðilinn tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum færi á að andmæla slíkum breytingum.
Vinnsla af hálfu vinnsluaðila skal byggjast á samningi eða annarri réttargerð samkvæmt lögum sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og tilgreinir viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og réttindi og skyldur ábyrgðaraðilans.
Í samningi eða annarri réttargerð skal einkum mæla fyrir um að vinnsluaðili:
    a. starfi eingöngu eftir fyrirmælum ábyrgðaraðila,
    b. tryggi að aðilar, sem hafa heimild til vinnslu persónuupplýsinga, hafi gengist undir trúnaðarskyldu eða heyri undir viðeigandi trúnaðarskyldu samkvæmt lögum,
    c. aðstoði ábyrgðaraðilann, eftir því sem unnt er, við að tryggja að farið sé að ákvæðum laga þessara um rétt hins skráða til upplýsinga og eyðingu, leiðréttingu eða takmörkun á vinnslu persónuupplýsinga,
    d. skili öllum persónuupplýsingum til ábyrgðaraðilans eftir að veitingu þjónustunnar lýkur og eyði öllum afritum,
    e. geri ábyrgðaraðila aðgengilegar allar upplýsingar sem nauðsynlegar eru til að sýna fram á að skuldbindingarnar sem mælt er fyrir um í þessari grein séu uppfylltar, og
    f. uppfylli skilyrði 2. og 3. mgr. um ráðningu annars vinnsluaðila.
Samningurinn eða önnur réttargerð, sem um getur í 3. og 4. mgr., skal vera skrifleg, þ.m.t. á rafrænu formi.
Vinnsluaðili, sem brýtur í bága við ákvæði laga þessara þegar hann ákveður tilgang og aðferðir við vinnsluna, skal teljast vera ábyrgðaraðili að því er varðar þá vinnslu.
Vinnsluaðila og starfsmönnum á hans vegum er óheimilt að segja frá nokkru því sem þeir hafa fengið vitneskju um í starfi sínu og leynt á að fara. Þagnarskyldan helst þótt látið sé af starfi.
21. gr. Vinnsla í umboði ábyrgðaraðila eða vinnsluaðila.
Vinnsluaðili og sérhver aðili sem starfar í umboði ábyrgðaraðila eða vinnsluaðila og hefur aðgang að persónuupplýsingum skal því aðeins vinna þessar upplýsingar að fyrir liggi fyrirmæli ábyrgðaraðila nema honum sé það skylt samkvæmt sérstakri heimild í lögum.
22. gr. Skrár yfir vinnslustarfsemi.
Sérhver ábyrgðaraðili og, eftir atvikum, fulltrúi ábyrgðaraðila skal halda skrá yfir vinnslustarfsemi sína. Í skránni skulu allar eftirfarandi upplýsingar koma fram:
    a. heiti og samskiptaupplýsingar ábyrgðaraðila og, eftir atvikum, sameiginlegs ábyrgðaraðila, fulltrúa ábyrgðaraðila og persónuverndarfulltrúa,
    b. tilgangur vinnslunnar,
    c. flokkar viðtakenda sem fengið hafa eða munu fá persónuupplýsingarnar í hendur, m.a. viðtakendur í þriðju löndum eða alþjóðastofnanir,
    d. lýsing á flokkum skráðra einstaklinga og flokkum persónuupplýsinga,
    e. ef við á, hvort notað sé persónusnið,
    f. ef við á, flokkar miðlana persónuupplýsinga til þriðja lands eða alþjóðastofnunar,
    g. lagagrundvöllur vinnsluaðgerðar, þ.m.t. miðlunar, sem fyrirhugað er að nota persónuupplýsingar í,
    h. ef mögulegt er, fyrirhuguð tímamörk varðandi eyðingu mismunandi gagnaflokka,
    i. ef mögulegt er, almenn lýsing á þeim tæknilegu og skipulagslegu öryggisráðstöfunum sem um getur í 2. mgr. 23. gr.
Sérhver vinnsluaðili og, eftir atvikum, fulltrúi vinnsluaðila skal halda skrá yfir vinnslustarfsemi sína. Í skránni skulu allar eftirfarandi upplýsingar koma fram:
    a. heiti og samskiptaupplýsingar vinnsluaðila, ábyrgðaraðila og, eftir atvikum, sameiginlegs ábyrgðaraðila og persónuverndarfulltrúa,
    b. flokkar vinnslu sem fram fer fyrir hönd hvers ábyrgðaraðila,
    c. ef við á, miðlun persónuupplýsinga til þriðja lands eða alþjóðastofnunar sem ábyrgðaraðili gefur skýr fyrirmæli um og um hvaða þriðja land eða alþjóðastofnun er að ræða,
    d. ef mögulegt er, almenn lýsing á þeim tæknilegu og skipulagslegu öryggisráðstöfunum sem um getur í 2. mgr. 23. gr.
Skrárnar sem um getur í 1. og 2. mgr. skulu vera skriflegar, þ.m.t. á rafrænu formi.
Ábyrgðaraðili og vinnsluaðili skulu gera skrána aðgengilega Persónuvernd komi fram beiðni þess efnis.
23. gr. Öryggi persónuupplýsinga og tilkynningar um öryggisbresti.
Ábyrgðaraðili og vinnsluaðili skulu gera viðeigandi ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga, einkum að því er varðar vinnslu viðkvæmra persónuupplýsinga skv. 6. gr.
Að því er varðar sjálfvirka gagnavinnslu skal ábyrgðaraðili eða vinnsluaðili gera, að undangengnu áhættumati, ráðstafanir í því skyni að þeir sem ekki hafa til þess heimild hafi ekki aðgang að vinnslubúnaði, vinnslukerfum og gagnamiðlun og geti þannig ekki fært inn, skoðað, breytt eða eytt varðveittum persónuupplýsingum. Jafnframt skal ábyrgðaraðili eða vinnsluaðili tryggja að þeir sem hafa heimild til notkunar slíkra kerfa hafi aðeins aðgang að persónuupplýsingum sem falla undir aðgangsheimild þeirra. Þá skal ábyrgðaraðili tryggja eftirlit með sjálfvirkri gagnavinnslu og jafnframt að þau kerfi sem notast er við sé unnt að ræsa að nýju í kjölfar rofs og að ekki sé hætta á að varðveitt gögn spillist vegna truflana í virkni.
Ef um öryggisbrest við meðferð persónuupplýsinga er að ræða skal ábyrgðaraðili, án ótilhlýðilegrar tafar og, ef mögulegt er, eigi síðar en 72 klst. eftir að hann verður brestsins var, tilkynna um hann til Persónuverndar nema ólíklegt þyki að bresturinn leiði til áhættu fyrir réttindi og frelsi einstaklinga. Sé Persónuvernd ekki tilkynnt um brestinn innan 72 klst. skulu ástæður fyrir töfinni fylgja tilkynningunni. Verði vinnsluaðili var við öryggisbrest skal hann tilkynna ábyrgðaraðila um það án ótilhlýðilegrar tafar.
Ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðili tilkynna viðkomandi skráðum einstaklingum um brestinn án ótilhlýðilegrar tafar. Ekki er þess krafist að ábyrgðaraðili geri þeim viðvart ef eitthvert eftirtalinna skilyrða er uppfyllt:
    a. ábyrgðaraðilinn hefur gert viðeigandi verndarráðstafanir og þessar ráðstafanir voru gerðar vegna þeirra persónuupplýsinga sem öryggisbrestur við meðferð persónuupplýsinga hafði áhrif á, einkum ráðstafanir til að gera persónuupplýsingar ólæsilegar hverjum þeim sem ekki hefur aðgangsheimild að þeim, svo sem með dulkóðun,
    b. ábyrgðaraðilinn hefur gert ráðstafanir í kjölfarið sem tryggja að ólíklegt sé að öryggisbresturinn leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga, eða
    c. það telst of íþyngjandi fyrir ábyrgðaraðila, t.d. vegna fjölda skráðra einstaklinga sem öryggisbrestur hefur áhrif á; í stað þess skal ábyrgðaraðili birta opinbera tilkynningu eða grípa til annarrar sambærilegrar ráðstöfunar þar sem hinum skráðu er gert viðvart um öryggisbrestinn.
Tilkynningarskylda skv. 4. mgr. fellur jafnframt niður ef það er nauðsynlegt í einhverjum þeim tilgangi sem greinir í 3. mgr. 13. gr.
24. gr. Aðgangur að persónuupplýsingum.
Aðgangur einstakra starfsmanna ábyrgðaraðila og vinnsluaðila að persónuupplýsingum skal ekki vera rýmri en nauðsynlegt er með hliðsjón af verkefnum þeirra. Persónuupplýsingar sem sérstök ástæða er til að fari leynt skulu lúta sérstökum aðgangshindrunum.
25. gr. Aðgerðaskráning.
Nota skal aðgerðaskráningarkerfi til að tryggja rekjanleika aðgerða í þeim upplýsingakerfum sem lögbær yfirvöld halda í löggæslutilgangi. Upplýsingar úr slíku kerfi má eingöngu nota í eftirfarandi tilgangi:
    a. til að staðreyna lögmæti vinnslu,
    b. við innra eftirlit,
    c. til að tryggja öryggi persónuupplýsinga, eða
    d. til að ljóstra upp um meinta refsiverða háttsemi.
Ábyrgðaraðili og vinnsluaðili skulu sjá til þess að aðgerðaskrár séu aðgengilegar Persónuvernd komi fram beiðni þess efnis.
26. gr. Mat á áhrifum á persónuvernd.
Ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst. Eitt og sama mat getur tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættuþætti.
Mat skv. 1. mgr. skal fela í sér a.m.k. almenna lýsingu á fyrirhuguðum vinnsluaðgerðum, mat á áhættu fyrir réttindi og frelsi skráðra einstaklinga og lýsingu á þeim ráðstöfunum sem fyrirhugað er að grípa til gegn slíkri áhættu, verndarráðstöfunum, öryggisráðstöfunum og fyrirkomulagi við að tryggja vernd persónuupplýsinga og að farið sé að lögum þessum, að teknu tilliti til réttinda og lögmætra hagsmuna skráðra einstaklinga og annarra hlutaðeigandi einstaklinga.
27. gr. Fyrirframsamráð.
Ábyrgðaraðili eða vinnsluaðili skal hafa samráð við Persónuvernd áður en vinnsla hefst sem á að verða hluti af nýrri skrá ef mat á áhrifum á persónuvernd skv. 26. gr. gefur til kynna að vinnslan muni hafa í för með sér mikla áhættu og ábyrgðaraðilinn hefur ekki gripið til sérstakra ráðstafana til að draga úr henni, eða tegund vinnslunnar, einkum þar sem beitt er nýrri tækni, aðferðum eða verklagsreglum, hefur í för með sér mikla áhættu fyrir réttindi og frelsi skráðra einstaklinga.
Ábyrgðaraðili skal afhenda Persónuvernd niðurstöðu um mat á áhrifum á persónuvernd skv. 26. gr. og aðrar upplýsingar sem nauðsynlegar eru til að stofnunin geti rækt hlutverk sitt samkvæmt ákvæðum þessarar greinar, komi fram beiðni þess efnis.
Telji Persónuvernd að fyrirhuguð vinnsla, sem um getur í 1. mgr., muni brjóta í bága við ákvæði laga þessara, einkum ef ábyrgðaraðili hefur ekki greint eða dregið úr áhættunni með fullnægjandi hætti, er stofnuninni heimilt, innan sex vikna frá að því að beiðni barst um samráð, að veita ábyrgðaraðila og, eftir atvikum, vinnsluaðila skriflega ráðgjöf og getur notað til þess valdheimildir sínar skv. 31. gr. Persónuvernd er heimilt að framlengja frestinn til að veita ráðgjöf um fjórar vikur ef fyrirhuguð vinnsla er sérstaklega flókin. Skal stofnunin tilkynna ábyrgðaraðila og, eftir atvikum, vinnsluaðila um slíkar framlengingar innan mánaðar frá viðtöku beiðni um samráð, ásamt ástæðunum fyrir töfinni.
Persónuvernd er heimilt að birta skrá yfir þær tegundir vinnsluaðgerða þar sem krafist er fyrirframsamráðs skv. 1. mgr. Ábyrgðaraðili getur farið fram á það að tilteknar vinnsluaðgerðir verði ekki birtar í skránni á grundvelli þeirra sjónarmiða sem fram koma í 3. mgr. 13. gr.
28. gr. Samvinna við Persónuvernd.
Ábyrgðaraðili og vinnsluaðili og, eftir atvikum, fulltrúar þeirra skulu, að fenginni beiðni Persónuverndar, hafa samvinnu við stofnunina við framkvæmd verkefna hennar.
29. gr. Persónuverndarfulltrúi.
Ábyrgðaraðili og vinnsluaðili skulu tilnefna persónuverndarfulltrúa á grundvelli faglegrar hæfni hans og sérþekkingar á sviði persónuverndar. Tilkynna skal Persónuvernd um tilnefningu persónuverndarfulltrúa.
Heimilt er að tilnefna einn persónuverndarfulltrúa fyrir fleiri en eitt lögbært yfirvald vegna hagkvæmnissjónarmiða og stærðar viðkomandi yfirvalda.
Ábyrgðaraðili skal fela persónuverndarfulltrúa a.m.k. eftirfarandi verkefni:
    a. upplýsa ábyrgðaraðila og starfsmenn hans sem annast vinnslu um skyldur sínar samkvæmt þessum lögum og öðrum á sviði persónuverndar og veita þeim ráðgjöf þar að lútandi,
    b. sjá til þess að farið sé að ákvæðum laga þessara og annarra um persónuvernd og stefnu ábyrgðaraðila varðandi vernd persónuupplýsinga, þ.m.t. úthlutun ábyrgðar, vitundarvakning og þjálfun starfsfólks sem tekur þátt í vinnslustarfsemi og tilheyrandi úttektir,
    c. veita ráðgjöf, sé farið fram á það, varðandi mat á áhrifum á persónuvernd og fylgjast með framkvæmd þess skv. 26. gr., og
    d. vinna með Persónuvernd og vera tengiliður stofnunarinnar varðandi mál sem tengjast vinnslu, þ.m.t. fyrirframsamráð skv. 27. gr., og leita ráða, eftir því sem við á, varðandi önnur málefni.
Persónuverndarfulltrúa er óheimilt að segja frá nokkru því sem hann hefur fengið vitneskju um í starfi sínu og leynt á að fara. Þagnarskyldan helst þótt látið sé af starfi. Starfsmaður persónuverndarfulltrúa er einnig bundinn þagnarskyldu um slík trúnaðarmál sem hann kann að komast að vegna starfa sinna.
30. gr. Starf Persónuverndar.
Persónuvernd annast eftirlit með framkvæmd laga þessara.
Sérhver skráður einstaklingur eða fulltrúi hans hefur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann hjá lögbæru yfirvaldi brjóti í bága við ákvæði laga þessara.
Persónuvernd getur, að eigin frumkvæði eða í kjölfar kvörtunar skv. 2. mgr., fjallað um einstök mál og tekið í þeim ákvörðun, m.a. um það hvort tiltekin vinnsla falli undir gildissvið laga þessara.
Stjórnarmönnum og starfsmönnum Persónuverndar, svo og öðrum sem vinna verkefni á vegum stofnunarinnar, er óheimilt að segja frá nokkru sem þeir hafa fengið vitneskju um í starfi sínu og leynt á að fara. Þagnarskyldan helst þótt látið sé af starfi.
Þagnarskylda skv. 4. mgr. stendur ekki í vegi fyrir því að Persónuvernd veiti erlendum persónuverndarstofnunum upplýsingar þegar slíkt er nauðsynlegt til að hún eða hin erlenda persónuverndarstofnun geti ákveðið eða framkvæmt aðgerðir til að tryggja persónuvernd.
Að öðru leyti og eftir því sem við á fer um störf og heimildir Persónuverndar eftir lögum um persónuvernd og vinnslu persónuupplýsinga.
31. gr. Valdheimildir Persónuverndar við eftirlitsstörf.
Persónuvernd getur krafið ábyrgðaraðila, vinnsluaðila og, eftir atvikum, fulltrúa þeirra um hverjar þær upplýsingar sem hún þarfnast vegna framkvæmdar laga þessara, jafnt sem aðgang að öllum þeim gögnum, þar á meðal persónuupplýsingum, sem nauðsynleg eru.
Persónuvernd getur veitt ábyrgðaraðila viðvörun um að fyrirhugaðar vinnsluaðferðir muni brjóta í bága við ákvæði laga þessara.
Persónuvernd getur lagt fyrir ábyrgðaraðila að láta af vinnslu sem fer í bága við ákvæði laga þessara eða sett skilyrði sem uppfylla þarf til að vinnslan teljist vera lögmæt, þar á meðal mælt fyrir um að ábyrgðaraðili eyði, leiðrétti eða takmarki vinnslu í samræmi við ákvæði 14.–16. gr. Takmarkanir eða bann við frekari vinnslu getur verið tímabundið eða varanlegt.
32. gr. Dagsektir.
Láti ábyrgðaraðili ekki af vinnslu án ótilhlýðilegrar tafar í samræmi við fyrirmæli Persónuverndar skv. 31. gr., eða ef ábyrgðaraðili uppfyllir ekki án ótilhlýðilegrar tafar þau skilyrði sem Persónuvernd setur fyrir lögmæti vinnslu skv. 31. gr., er Persónuvernd heimilt að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati hennar. Sektir geta numið allt að 200.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælunum sé fylgt.

VI. kafli. Viðurlög.
33. gr. Refsingar.
Vísvitandi miðlun persónuupplýsinga í andstöðu við 8.–11. gr. varðar refsingu skv. 136. gr. almennra hegningarlaga.
Það varðar sektum eða fangelsi allt að einu ári að brjóta af ásetningi gegn ákvæðum 20., 29. og 30. gr. um þagnarskyldu.
Ef brot einstaklings er stórfellt getur það varðað fangelsi allt að þremur árum. Brot telst stórfellt þegar það er framið af ásetningi og í hagnaðarskyni með sérstaklega vítaverðum hætti og persónuupplýsingar mikils fjölda skráðra einstaklinga sem leynt eiga að fara samkvæmt lögum eða eðli máls komast í hendur þriðja aðila eða birtast opinberlega.
Tilraun til brots eða hlutdeild í brotum samkvæmt lögum þessum er refsiverð eftir því sem segir í almennum hegningarlögum.
Gera má lögaðila sekt fyrir brot á lögum þessum óháð því hvort sök verði sönnuð á tiltekinn fyrirsvarsmann lögaðilans, starfsmann hans eða annan aðila sem starfar á hans vegum. Hafi fyrirsvarsmaður lögaðilans, starfsmaður hans eða annar á hans vegum brotið gegn lögum þessum eða reglum settum á grundvelli þeirra af ásetningi í starfsemi lögaðilans má gera honum refsingu, auk þess að gera lögaðilanum sekt.

VII. kafli. Gildistaka o.fl.
34. gr. Reglugerðarheimild.
Ráðherra skal í reglugerð mæla fyrir um nánari framkvæmd laga þessara, þar á meðal um:
    1. Miðlun upplýsinga skv. 11. gr., þar á meðal um til hverra heimilt er að miðla upplýsingum.
    2. Form og efni upplýsinga og tilkynninga sem ábyrgðaraðila er skylt að senda hinum skráða samkvæmt ákvæðum IV. kafla, auk heimildar til handa ábyrgðaraðila til gjaldtöku vegna tilefnislausra eða endurtekinna beiðna, sem og synjunar vegna sams konar beiðna.
    3. Hvaða aðgerðir og upplýsingar lögbær yfirvöld skuli skrá í aðgerðaskrá.
35. gr. Innleiðing.
Með lögum þessum er innleidd tilskipun Evrópuþingsins og ráðsins (ESB) 2016/680 frá 27. apríl 2016 um vernd einstaklinga að því er varðar vinnslu lögbærra yfirvalda á persónuupplýsingum í tengslum við að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum og frjálsa miðlun slíkra upplýsinga og um niðurfellingu rammaákvörðunar ráðsins nr. 2008/977/DIM.
36. gr. Gildistaka.
Lög þessi öðlast þegar gildi.
37. gr. Breytingar á öðrum lögum.
Ákvæði til bráðabirgða.
Heimilt er til 6. maí 2026 að undanþiggja upplýsingakerfi, sem sett voru á fót fyrir 6. maí 2016, kröfu 25. gr. um aðgerðaskráningu.