Hér er að finna lokadrög að frumvarpi til nýrra persónuverndarlaga eftir samráðsferli sem lauk 19. mars sl. Frumvarpið er lagt fram hér til kynningar. Stefnt er að því að leggja frumvarpið fram á Alþingi á næstu dögum.
Málið var opið til umsagnar í gáttinni á tímabilinu 09.03.2018–19.03.2018. Umsagnir voru birtar í gáttinni að umsagnarfresti liðnum. Skoða umsagnir. Unnið var úr þeim ábendingum og athugasemdum sem bárust og niðurstöður samráðsins birtar 08.05.2018.
Um er að ræða drög að frumvarpi til nýrra persónuverndarlaga til innleiðingar á nýrri reglugerð Evrópuþingsins og ráðsins nr. 2016/679 um persónuvernd, svo nefnd persónuverndarreglugerð.
Starfshópur, sem dómsmálaráðherra skipaði 21. nóvember 2017 undir stjórn Bjargar Thorarensen prófessors um gerð frumvarps til innleiðingar á reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, hefur unnið drög að frumvarpi til nýrra laga um persónuvernd og vinnslu persónuupplýsinga.
Rétt er að geta þess að persónuverndarreglugerð ESB hefur ekki verið tekin upp í EES-samninginn með formlegum hætti. Enn er unnið að upptöku reglugerðarinnar í samninginn og er stefnt að því að ljúka því ferli eins hratt og mögulegt er svo að reglugerðin komi til framkvæmda fyrir Ísland og hin EFTA ríkin innan EES frá sama tíma og fyrir aðildarríki ESB eða þann 25. maí nk.
Reglugerð 2016/679 mun leysa af hólmi tilskipun Evrópusambandsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Þótt flest kjarnaatriði tilskipunar ESB frá 1995, t.d. meginreglur um vinnslu persónuupplýsinga, réttindi hins skráða og skyldur ábyrgðaraðila standi áfram óbreytt í reglugerðinni eru þar ráðgerðar ýmsar grundvallarbreytingar og viðbætur við gildandi reglur. Einnig er ljóst að þar sem hinar nýju reglur eru settar með reglugerð ESB en ekki tilskipun, verður sú krafa leidd af 7. gr. EES-samningsins að leiða skal texta reglugerðarinnar sem slíkan inn í landsrétt, en íslensk stjórnvöld hafa ekki val um form eða aðferð við innleiðingu svo sem með umritun slíkra gerða. Engu að síður er ráðgert í reglugerðinni að í allmörgum atriðum geti aðildarríki útfært einstaka ákvæði og hafi svigrúm til að setja efnisreglur eða víkja frá ákvæðum reglugerðarinnar. Í ljósi umfangs þeirra breytinga og sérreglna sem setja þarf á grundvelli reglugerðarinnar er sú leið farin hér að gera frumvarp til nýrra heildarlaga um persónuvernd og vinnslu persónuupplýsinga sem leysi af hólmi lög nr. 77/2000.
Heildardrög að frumvarpi til laga um persónuvernd og vinnslu persónuupplýsinga eru birt á samráðsgáttinni til kynningar. Drögin fela í sér texta frumvarpsgreina ásamt almennum athugasemdum við frumvarpið. Drögin eru ekki fullbúin þar sem skýringar við einstök ákvæði eru enn í vinnslu. Ekki er útilokað að frumvarpið taki einhverjum breytingum samhliða þeirri vinnu.
Varðandi 35. grein, um tilnefningu persónuverndarfulltrúa. Greininni er ætlað að útlista þau tilvik þar sem ábyrgðaraðilum og vinnsluaðilum ber skylda til að vera með persónuverndarfulltrúa. Tilvik 1 og 2 eru skýr, en tilvik 3 gæti þarfnast staðfestingar. Greinin er svohljóðandi:
"Ábyrgðaraðili og vinnsluaðili skulu tilnefna persónuverndarfulltrúa í sérhverju tilviki þar sem:
...
3. meginstarfsemi ábyrgðaraðila eða vinnsluaðila felst í umfangsmikilli vinnslu viðkvæmra
persónuupplýsinga og upplýsinga sem varða sakfellingar í refsimálum og refsiverð brot."
Tilvik 3 má lesa sem svo að það nái eingöngu til þeirra aðila sem eru að vinna bæði með viðkvæmar persónuupplýsingar *OG* upplýsingar sem varða sakfellingar í refsimálum - þ.e. að þeir ábyrgðar- eða vinnsluaðilar sem framkvæma umfangsmikla vinnslu viðkvæmra pesónuupplýsinga ÁN ÞESS að vinna einnig með upplýsingar sem varða sakfellingar í refsimálum séu undanskyldir þessari grein og sé því valfrjálst hvort þeir tilnefni persónuverndarfulltrúa eða ekki.
Þessi þýðing er í samræmi við upprunalegan texta GDPR á ensku og því ekki umsagnarverð sem slík. Hinsvegar skilst mér að ef nýja reglugerðin er borin saman við eldri, núgildandi reglugerð um persónuvernd (allavega á íslandi) sé hægt að fá innsýn í nýtilkomna aðgreiningu á "upplýsingum varðandi sakfellingar í refsimálum" sem bendir til þess að ætlunin sé að það "dugi" fyrir ábyrgðar- eða vinnsluaðila að framkvæma "umfangsmikla vinnslu viðkvæmra persónuupplýsinga *EÐA* upplýsinga sem varða sakfellingar í refsimálum og refsiverð brot" til að þurfa að sæta auknum kvöðum, svo sem að tilnefna persónuverndarfulltrúa. Þ.e. að ætlunin sé að meiri áhersla sé lögð á "umfangsmikla vinnslu" frekar en að unnið sé með bæði viðkvæmar pesónuupplýsingar *OG* upplýsingar um sakfellingar.
Standi grein 35 óbreytt má ljóst vera að aðilar sem sinna "umfangsmikilli vinnslu viðkvæmra persónuupplýsinga" án þess að vinna einnig með "upplýsingar sem varða sakfellingar í refsimálum og refsiverð brot" ákveði sjálfir hvort þeir kjósi að tilnefna persónuverndarfulltrúa eður ei.
Sé þess kostur óska ég þess að fá skriflegt svar við þessari umsögn, rafrænt í tölvupósti á gefið netfang.
Ég hef nokkrara ábendingar.
Almennt.
Þessi lög þurfa vera þannig gerð að almenningur geti farið eftir þeim og það þurfi sem minnst inngrip Persónuverndar til þess að túlka lögin og reglugerðir.
14. gr. Rafræn vöktun
Það verður að vera skýrt að menn megi vaka sína eigin eign á þann hátt sem menn kjósa. Og til þess að upplýsa um glæp þá þurfa menn kannski að auglýsa með vöktuðu efni. Sbr. innbrot og fl.
3. ? Þetta er alveg afstætt, fer eftir því hvað er vaktað og fyrir hverju.
15. gr. Vinnsla upplýsinga um fjárhagsmálefni og lánstraust.
Það ætti að vera skilyrði að fyrirtæki sem höndlar með svona upplýsingar eins og Lánstraust, séu ekki í neinni annari starfsemi né neinu sem skarast við það sem og visti allar upplýsingar á innlendum miðli en ekki á Möltu eins og þeir reyndu einu sinni fyrir sér með.
38. gr.
Er ekki vitlaust talið?
Ráðherra pers. skipar einn sem er formaður
Ráðherra netör. skipar einn
Ráðherra heilb. skipar einn
Skýrslutæknifél. skipar einn
sama er gert fyrir varamenn
vantar ekki einn?
40. Gjaldtaka
Ef stofnunin á að vera rekin á þessum gjöldum þá eiga gjöldin að endurspegla kostnað og stofnunin verið eingögnu rekin á því, en ef stofnunin er rekin á kostnað ríkisins þá á ekki að vera nein gjaldtaka.
Annað:
Eins með ættfræðivefi eins og Íslendingabók, þá verður að vera hægt að sjá tengsl manna, systkina og ætta en ekki svo þröngt að það komi ekki að neinu gagni. Það verður að leyfa svona skráningar áfram með auðveldum og skýrum reglum.
Umsögn Sambands íslenskra sveitarfélaga við drög að frumvarpi til laga um persónuvernd
ViðhengiVinsamlega sjá umsögn í viðhengi.
Með góðri kveðju,
Hafliði K. Lárusson
ViðhengiÍ meðfylgandi PDF skjalið er umsögn Hagstofu Íslands um frumvarp til nýrra persónuverndarlaga.
ViðhengiGóðan daginn.
Meðfylgjandi í viðhengi er umsögn Borgarskjalasafns Reykjavíkur um frumvarp til nýrra persónuverndarlaga.
Virðingarfyllst,
Svanhildur Bogadóttir
borgarskjalavörður
ViðhengiHjálögð er umsögn Íslenskrar erfðagreiningar ehf. um frumvarpið.
Virðingarfyllst,
f.h. Íslenskrar erfðagreiningar;
Þórir Haraldsson hdl.
ViðhengiSæl.
Umsögn f.h. Landssamtaka lífeyrissjóða er í viðhengi.
ViðhengiMeðfylgjandi er umsögn frá Reykjavíkurborg vegna fyrirliggjandi frumvarpsdraga.
ViðhengiMeðfylgjandi er umsögn Þjóðskjalasafns Íslands.
Með kveðju,
Eiríkur G. Guðmundsson
Þjóðskjalavörður
ViðhengiMeðfylgjandi er umsögn Creditinfo við frumvarp til laga um persónvernd og vinnslu persónuupplýsinga.
Allar frekari upplýsingar veitir undirrituð góðfúslega.
Starfsmenn Creditinfo eru tilbúnir að veita upplýsingar og aðstoð sem nýst gæti í tenglsum við ákvæði 15. gr. frumvarpsins um vinnslu upplýsinga um fjárhagsmálefni og lánstraust og reglugerðar sem gert er ráð fyrir að sett verði með heimild í greininni.
kveðja
Sigr. Laufey Jónsdóttir, lögfræðingur
Viðhengi