Samráð fyrirhugað 09.03.2018—19.03.2018
Til umsagnar 09.03.2018—19.03.2018
Niðurstöður í vinnslu frá 19.03.2018
Niðurstöður birtar 08.05.2018

Frumvarp til nýrra persónuverndarlaga

Mál nr. 31/2018 Birt: 09.03.2018 Síðast uppfært: 08.05.2018
  • Dómsmálaráðuneytið
  • Drög að frumvarpi til laga
  • Málefnasvið:
  • Réttindi einstaklinga, trúmál og stjórnsýsla dómsmála

Niðurstöður birtar

Hér er að finna lokadrög að frumvarpi til nýrra persónuverndarlaga eftir samráðsferli sem lauk 19. mars sl. Frumvarpið er lagt fram hér til kynningar. Stefnt er að því að leggja frumvarpið fram á Alþingi á næstu dögum.

Nánar um niðurstöður

Ferill máls

Málið var opið til umsagnar í gáttinni á tímabilinu 09.03.2018–19.03.2018. Umsagnir voru birtar í gáttinni að umsagnarfresti liðnum. Skoða umsagnir. Unnið var úr þeim ábendingum og athugasemdum sem bárust og niðurstöður samráðsins birtar 08.05.2018.

Málsefni

Um er að ræða drög að frumvarpi til nýrra persónuverndarlaga til innleiðingar á nýrri reglugerð Evrópuþingsins og ráðsins nr. 2016/679 um persónuvernd, svo nefnd persónuverndarreglugerð.

Starfshópur, sem dómsmálaráðherra skipaði 21. nóvember 2017 undir stjórn Bjargar Thorarensen prófessors um gerð frumvarps til innleiðingar á reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, hefur unnið drög að frumvarpi til nýrra laga um persónuvernd og vinnslu persónuupplýsinga.

Rétt er að geta þess að persónuverndarreglugerð ESB hefur ekki verið tekin upp í EES-samninginn með formlegum hætti. Enn er unnið að upptöku reglugerðarinnar í samninginn og er stefnt að því að ljúka því ferli eins hratt og mögulegt er svo að reglugerðin komi til framkvæmda fyrir Ísland og hin EFTA ríkin innan EES frá sama tíma og fyrir aðildarríki ESB eða þann 25. maí nk.

Reglugerð 2016/679 mun leysa af hólmi tilskipun Evrópusambandsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Þótt flest kjarnaatriði tilskipunar ESB frá 1995, t.d. meginreglur um vinnslu persónuupplýsinga, réttindi hins skráða og skyldur ábyrgðaraðila standi áfram óbreytt í reglugerðinni eru þar ráðgerðar ýmsar grundvallarbreytingar og viðbætur við gildandi reglur. Einnig er ljóst að þar sem hinar nýju reglur eru settar með reglugerð ESB en ekki tilskipun, verður sú krafa leidd af 7. gr. EES-samningsins að leiða skal texta reglugerðarinnar sem slíkan inn í landsrétt, en íslensk stjórnvöld hafa ekki val um form eða aðferð við innleiðingu svo sem með umritun slíkra gerða. Engu að síður er ráðgert í reglugerðinni að í allmörgum atriðum geti aðildarríki útfært einstaka ákvæði og hafi svigrúm til að setja efnisreglur eða víkja frá ákvæðum reglugerðarinnar. Í ljósi umfangs þeirra breytinga og sérreglna sem setja þarf á grundvelli reglugerðarinnar er sú leið farin hér að gera frumvarp til nýrra heildarlaga um persónuvernd og vinnslu persónuupplýsinga sem leysi af hólmi lög nr. 77/2000.

Heildardrög að frumvarpi til laga um persónuvernd og vinnslu persónuupplýsinga eru birt á samráðsgáttinni til kynningar. Drögin fela í sér texta frumvarpsgreina ásamt almennum athugasemdum við frumvarpið. Drögin eru ekki fullbúin þar sem skýringar við einstök ákvæði eru enn í vinnslu. Ekki er útilokað að frumvarpið taki einhverjum breytingum samhliða þeirri vinnu.

Innsendar umsagnir

Afrita slóð á umsögn

#1 Guðmundur Arnar Kristínarson - 13.03.2018

Varðandi 35. grein, um tilnefningu persónuverndarfulltrúa. Greininni er ætlað að útlista þau tilvik þar sem ábyrgðaraðilum og vinnsluaðilum ber skylda til að vera með persónuverndarfulltrúa. Tilvik 1 og 2 eru skýr, en tilvik 3 gæti þarfnast staðfestingar. Greinin er svohljóðandi:

"Ábyrgðaraðili og vinnsluaðili skulu tilnefna persónuverndarfulltrúa í sérhverju tilviki þar sem:

...

3. meginstarfsemi ábyrgðaraðila eða vinnsluaðila felst í umfangsmikilli vinnslu viðkvæmra

persónuupplýsinga og upplýsinga sem varða sakfellingar í refsimálum og refsiverð brot."

Tilvik 3 má lesa sem svo að það nái eingöngu til þeirra aðila sem eru að vinna bæði með viðkvæmar persónuupplýsingar *OG* upplýsingar sem varða sakfellingar í refsimálum - þ.e. að þeir ábyrgðar- eða vinnsluaðilar sem framkvæma umfangsmikla vinnslu viðkvæmra pesónuupplýsinga ÁN ÞESS að vinna einnig með upplýsingar sem varða sakfellingar í refsimálum séu undanskyldir þessari grein og sé því valfrjálst hvort þeir tilnefni persónuverndarfulltrúa eða ekki.

Þessi þýðing er í samræmi við upprunalegan texta GDPR á ensku og því ekki umsagnarverð sem slík. Hinsvegar skilst mér að ef nýja reglugerðin er borin saman við eldri, núgildandi reglugerð um persónuvernd (allavega á íslandi) sé hægt að fá innsýn í nýtilkomna aðgreiningu á "upplýsingum varðandi sakfellingar í refsimálum" sem bendir til þess að ætlunin sé að það "dugi" fyrir ábyrgðar- eða vinnsluaðila að framkvæma "umfangsmikla vinnslu viðkvæmra persónuupplýsinga *EÐA* upplýsinga sem varða sakfellingar í refsimálum og refsiverð brot" til að þurfa að sæta auknum kvöðum, svo sem að tilnefna persónuverndarfulltrúa. Þ.e. að ætlunin sé að meiri áhersla sé lögð á "umfangsmikla vinnslu" frekar en að unnið sé með bæði viðkvæmar pesónuupplýsingar *OG* upplýsingar um sakfellingar.

Standi grein 35 óbreytt má ljóst vera að aðilar sem sinna "umfangsmikilli vinnslu viðkvæmra persónuupplýsinga" án þess að vinna einnig með "upplýsingar sem varða sakfellingar í refsimálum og refsiverð brot" ákveði sjálfir hvort þeir kjósi að tilnefna persónuverndarfulltrúa eður ei.

Sé þess kostur óska ég þess að fá skriflegt svar við þessari umsögn, rafrænt í tölvupósti á gefið netfang.

Afrita slóð á umsögn

#2 Steinþór Bjarni Grímsson - 14.03.2018

Ég hef nokkrara ábendingar.

Almennt.

Þessi lög þurfa vera þannig gerð að almenningur geti farið eftir þeim og það þurfi sem minnst inngrip Persónuverndar til þess að túlka lögin og reglugerðir.

14. gr. Rafræn vöktun

Það verður að vera skýrt að menn megi vaka sína eigin eign á þann hátt sem menn kjósa. Og til þess að upplýsa um glæp þá þurfa menn kannski að auglýsa með vöktuðu efni. Sbr. innbrot og fl.

3. ? Þetta er alveg afstætt, fer eftir því hvað er vaktað og fyrir hverju.

15. gr. Vinnsla upplýsinga um fjárhagsmálefni og lánstraust.

Það ætti að vera skilyrði að fyrirtæki sem höndlar með svona upplýsingar eins og Lánstraust, séu ekki í neinni annari starfsemi né neinu sem skarast við það sem og visti allar upplýsingar á innlendum miðli en ekki á Möltu eins og þeir reyndu einu sinni fyrir sér með.

38. gr.

Er ekki vitlaust talið?

Ráðherra pers. skipar einn sem er formaður

Ráðherra netör. skipar einn

Ráðherra heilb. skipar einn

Skýrslutæknifél. skipar einn

sama er gert fyrir varamenn

vantar ekki einn?

40. Gjaldtaka

Ef stofnunin á að vera rekin á þessum gjöldum þá eiga gjöldin að endurspegla kostnað og stofnunin verið eingögnu rekin á því, en ef stofnunin er rekin á kostnað ríkisins þá á ekki að vera nein gjaldtaka.

Annað:

Eins með ættfræðivefi eins og Íslendingabók, þá verður að vera hægt að sjá tengsl manna, systkina og ætta en ekki svo þröngt að það komi ekki að neinu gagni. Það verður að leyfa svona skráningar áfram með auðveldum og skýrum reglum.

Afrita slóð á umsögn

#3 Samband íslenskra sveitarfélaga - 19.03.2018

Umsögn Sambands íslenskra sveitarfélaga við drög að frumvarpi til laga um persónuvernd

Viðhengi
Afrita slóð á umsögn

#4 Hafliði Kristján Lárusson - 19.03.2018

Vinsamlega sjá umsögn í viðhengi.

Með góðri kveðju,

Hafliði K. Lárusson

Viðhengi
Afrita slóð á umsögn

#5 Ólafur Hjálmarsson - 19.03.2018

Í meðfylgandi PDF skjalið er umsögn Hagstofu Íslands um frumvarp til nýrra persónuverndarlaga.

Viðhengi
Afrita slóð á umsögn

#6 Dóra Sif Tynes - 19.03.2018

Umsögn f.h. Fjarskipta hf. (Vodafone)

Viðhengi
Afrita slóð á umsögn

#7 Svanhildur Bogadóttir - 19.03.2018

Góðan daginn.

Meðfylgjandi í viðhengi er umsögn Borgarskjalasafns Reykjavíkur um frumvarp til nýrra persónuverndarlaga.

Virðingarfyllst,

Svanhildur Bogadóttir

borgarskjalavörður

Viðhengi
Afrita slóð á umsögn

#8 Þórir Haraldsson - 19.03.2018

Hjálögð er umsögn Íslenskrar erfðagreiningar ehf. um frumvarpið.

Virðingarfyllst,

f.h. Íslenskrar erfðagreiningar;

Þórir Haraldsson hdl.

Viðhengi
Afrita slóð á umsögn

#9 Þórey Sigríður Þórðardóttir - 19.03.2018

Sæl.

Umsögn f.h. Landssamtaka lífeyrissjóða er í viðhengi.

Viðhengi
Afrita slóð á umsögn

#10 Dagbjört Hákonardóttir - 19.03.2018

Meðfylgjandi er umsögn frá Reykjavíkurborg vegna fyrirliggjandi frumvarpsdraga.

Viðhengi
Afrita slóð á umsögn

#11 Eiríkur G Guðmundsson - 19.03.2018

Meðfylgjandi er umsögn Þjóðskjalasafns Íslands.

Með kveðju,

Eiríkur G. Guðmundsson

Þjóðskjalavörður

Viðhengi
Afrita slóð á umsögn

#12 Sigríður Laufey Jónsdóttir - 19.03.2018

Meðfylgjandi er umsögn Creditinfo við frumvarp til laga um persónvernd og vinnslu persónuupplýsinga.

Allar frekari upplýsingar veitir undirrituð góðfúslega.

Starfsmenn Creditinfo eru tilbúnir að veita upplýsingar og aðstoð sem nýst gæti í tenglsum við ákvæði 15. gr. frumvarpsins um vinnslu upplýsinga um fjárhagsmálefni og lánstraust og reglugerðar sem gert er ráð fyrir að sett verði með heimild í greininni.

kveðja

Sigr. Laufey Jónsdóttir, lögfræðingur

Viðhengi