[prenta uppsett í dálka] 111. fundur, 125. lþ.
Frsm. allshn. (Þorgerður K. Gunnarsdóttir):
Virðulegi forseti. Ég mæli fyrir nál. frá hv. allshn. um frv. til laga um persónuvernd og meðferð persónuupplýsinga.
Með frv. eru lögð til ný heildarlög um persónuvernd og meðferð persónuupplýsinga. Í henni felst m.a. lögfesting á ákvæðum tilskipunar Evrópusambandsins um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Markmið tilskipunarinnar er að tryggja að sömu reglur gildi um persónuvernd í öllum aðildarríkjum ESB og á EES-svæðinu
Ýmsar breytingar eru lagðar til í frv., m.a. eru réttindi hins skráða aukin, gert er ráð fyrir að sjálfstæð ríkisstofnun verði sett á fót til að sinna eftirliti með framkvæmd laganna og lagðar eru til breytingar á framkvæmd eftirlitsins þannig að tilkynningarskylda komi að stórum hluta í stað leyfisskyldu.
Mikla og mjög gagnlegar umræður áttu sér stað í nefndinni. Einnig bárust nefndinni mjög góðar athugasemdir og umsagnir auk þess sem við áttum marga og góða fundi með hátt á fjórða tug gesta sem komu á fund nefndarinnar út af þessu að mínu mati merka og mikilvæga frv.
Töluvert var rætt um það breytta fyrirkomulag á eftirliti sem lagt er til í frv. sem byggist fyrst og fremst á því að tilkynningarskylda komi í stað leyfisskyldu. Þetta er grunnþáttur, þ.e. að tillkynningarskylda komi í stað leyfisskyldu. Gert er ráð fyrir að horfið verði frá því fyrirkomulagi sem gildir að meginstefnu til nú að fyrirhuguð vinnsla er kynnt tölvunefnd sem yfirfer leyfisumsóknir og afgreiðir leyfi. Þess í stað verður þeim sem hyggjast hefja rafræna vinnslu persónuupplýsinga skylt að tilkynna hinni nýju stofnun, Persónuvernd, um vinnsluna og skal það gert áður en hún hefst. Persónuvernd skal svo, þegar hún hefur móttekið tilkynninguna, grípa inn í undirbúning vinnslunnar eftir því sem hún telur þörf á með því að ákveða skilmála vinnslunnar eða gefa fyrirmæli um aðrar aðgerðir. Ljóst er að nýja fyrirkomulagið á eftir að mótast nokkuð í framkvæmd en útlínur þess eiga að vera nokkuð skýrar. Eins og það var kynnt fyrir nefndinni er ætlunin að hafa framkvæmd tilkynningarskyldunnar sem einfaldasta fyrir vinnsluaðila.
Ég vil geta þess að vinnsla, samkvæmt 2. tölul. 2. gr. frv., er skilgreind þannig:
,,Sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn.``
Ætlunin er þannig að hafa þessa framkvæmd á tilkynningarskyldunni sem einfaldasta fyrir vinnsluaðila og kom fram að hugsanlega yrði hún sett á rafrænt form að einhverju leyti en gera má ráð fyrir að mikið verði um tilkynningar um vinnslu þegar lögin koma fyrst til framkvæmda. Breytt fyrirkomulag gerir ráð fyrir aukinni áherslu á skyldur ábyrgðaraðila og í frv. er lagt til að eftirlit verði aukið hjá þeim sem vinna með upplýsingarnar þannig að ábyrgðaraðilar viðhafi innra eftirlit í starfsemi sinni og geri reglulega skýrslur um það, sbr. 12. gr. frv.
Telur nefndin að slíkt fyrirkomulag sé til þess fallið að auka ábyrgð ábyrgðaraðila á því að meðferð og vernd persónuupplýsinga sé í samræmi við lög og reglur. Þá getur það orðið til að auðvelda eftirlit Persónuverndar með viðkomandi þótt rétt sé að benda á mikilvægi þess að stofnunin sinni eftir sem áður alhliða eftirliti með ábyrgðaraðilum og að innra eftirlit komi ekki á neinn hátt í stað þess.
Þá komu fram athugasemdir bæði í umsögnum og frá gestum á fundum nefndarinnar að veruleg félagsleg vandamál teljist samkvæmt gildandi lögum til upplýsinga skilgreindar sem viðkvæmar persónuupplýsingar, en í frv. er ekki gert ráð fyrir að svo sé. Skilgreining 8. tölul. 2. gr. byggist fyrst og fremst á 8. gr. tilskipunar ESB nr. 95/46 en þar kemur óbeint fram skilgreining á því hvaða persónuupplýsingar eru mönnum sérstaklega viðkvæmar. Veruleg félagsleg vandamál eru ekki tilgreind þar undir en hafa verður í huga að eitt af markmiðum tilskipunarinnar er að samræma þær efnisreglur sem gilda um vernd persónuupplýsinga á Evrópska efnahagssvæðinu. Vegna alþjóðlegra skuldbindinga sem Ísland hefur undirgengist samkvæmt EES-samningnum verður að vera samræmi í þeim reglum sem gilda hér á landi og annars staðar á samningssvæðinu. Nefndin vill þó taka fram að þrátt fyrir að veruleg félagsleg vandamál séu ekki skilgreind sérstaklega sem viðkvæmar persónuupplýsingar skv. 8. tölul. 2. gr. frv. eru slíkar upplýsingar verndaðar af lögunum í heild, m.a. í 7. gr. þess sem fjallar um meðferð persónuupplýsinga. Þar segir m.a.:
,,Við meðferð persónuupplýsinga skal þess gætt að þær séu:
1. unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga;
2. fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt;``
Síðan koma 3., 4. og 5. töluliður. Ég vil geta þess að þessir töluliðir eiga allir að vera til staðar þegar er verið að ræða um meðferð persónuupplýsinga. Þá er rétt að hafa í huga að veruleg félagsleg vandamál geta falist í skilgreiningu frv. á viðkvæmum persónuupplýsingum, t.d. í upplýsingum um heilsuhagi skv. c-lið 8. tölul. 2. gr.:
,,Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun.``
En samkvæmt þessari skilgreiningu frv. geta félagsleg vandamál falist í 8. tölulið 2. gr., c-lið og samkvæmt þeirri upptalningu sem ég las hér upp áðan. Þannig má fella þessi félagslegu vandamál þar undir.
Miklar umræður fóru fram um skilgreiningu frv. í 7. tölul. 2. gr. á samþykki. Ábendingar komu fram um að nota frekar orðasambandið upplýst samþykki og var það rökstutt með því að það hefði mjög ákveðna merkingu og hefði lengi verið notað um samþykki vegna þátttöku í vísindarannsóknum. Skilgreiningin sem notuð er í frv. á hins vegar fyrirmynd í tilskipun Evrópusambandsins og telur nefndin eðlilegt að sama skilgreining verði notuð þegar fjallað er um meðferð persónuupplýsinga.
Reglur um meðferð þeirra spanna mjög vítt svið og að mati nefndarinnar er ekki eðlilegt að skilgreining á samþykki verði eingöngu byggð á því hvernig samþykki vegna þátttöku í vísindarannsókn er skilgreint. Nefndin bendir á að upplýst samþykki felist í skilgreiningunni á samþykki samkvæmt frumvarpinu. Hins vegar er ljóst að aðrar tegundir samþykkis geta komið til, t.d. samkvæmt sérlögum eins og um gagnagrunn á heilbrigðissviði og ganga ákvæði slíkra laga þá framar ákvæðum frumvarpsins eða skýra verður þau til samræmis við ákvæði þess.
Þá lýstu margir umsagnaraðilar áhyggjum sínum af því hvernig geyma eigi sérstakar sjúkdómaskrár og gagnagrunna sem innihalda heilbrigðisupplýsingar, t.d. krabbameinsskrár eða skrár Hjartaverndar. Slíkar skrár, þar sem geymdar eru upplýsingar um heilsuhagi sem teljast viðkvæmar persónuupplýsingar skv. 8. tölul. 2. gr., eru þess eðlis að alltaf þurfi sérstakt leyfi Persónuverndar skv. 2. mgr. 9. gr. frv. Lítur nefndin svo á að slík vinnsla verði heimiluð telji Persónuvernd, eftir að hafa metið það með málefnalegum hætti, að brýnir almannahagsmunir mæli með því og yrði leyfið veitt með þeim skilyrðum sem Persónuvernd telur nauðsynleg hverju sinni til að tryggja hagsmuni hinna skráðu, sbr. 2. mgr. 9. gr.
Þá var einnig rætt nokkuð um hlutverk vísindasiðanefndar og siðanefnda heilbrigðisstofnana og hvernig það kemur til með að skarast við hlutverk Persónuverndar. Ljóst er að starfssvið þessara stofnana hafa skarast. Hins vegar vill nefndin minna á að fjallað er um hlutverk hinna fyrrnefndu, þ.e. vísindasiðanefndar, í lögum um réttindi sjúklinga, nr. 74/1997, og í reglugerð nr. 522/1999, um vísindarannsóknir á heilbrigðssviði, sem sett er samkvæmt lögunum. Skv. 4. mgr. 2. gr. laganna er vísindarannsókn rannsókn sem gerð er til að auka við þekkingu sem m.a. gerir kleift að bæta heilsu og lækna sjúkdóma. Jafnframt er tekið fram að mat vísindasiðanefndar eða siðanefndar skv. 29. gr. á rannsókninni verði að hafa leitt í ljós að vísindaleg og siðfræðileg sjónarmið mæli ekki gegn framkvæmd hennar. Rétt er að leggja áherslu á að frumvarpinu sem hér um ræðir er ekki ætlað að breyta þeim ákvæðum sem lög um réttindi sjúklinga og reglugerð með þeim setja. Vísindarannsókn sem krefst samþykkis Persónuverndar samkvæmt frumvarpinu og vísindasiðanefndar eða siðanefnda heilbrigðisstofnana samkvæmt lögum um réttindi sjúklinga er ekki framkvæmd nema með samþykki beggja. Því er í raun um tvöfalt kerfi að ræða. Ef samþykki vísindasiðanefndar er áskilið við vísindarannsókn fer hún ekki fram ef það er ekki fyrir hendi.
Þá kom fram nokkur gagnrýni á að ekki væri fyrir hendi ákvæði um varðveisluskyldu gagna sem skráð eru og unnið með vegna vísindarannsókna. Nefndin lítur svo á að í frumvarpinu séu ekki gerðar breytingar á því hvernig gögn úr vísindarannsóknum eru varðveitt eða hversu lengi. Í 26. gr. frumvarpsins segir að þegar ekki sé lengur málefnaleg ástæða til að varðveita persónuupplýsingar skuli þeim eytt af ábyrgðaraðila.
Hér kemur líka til hlutverk vísindasiðanefndar en hún getur einmitt verið mjög rágefandi í því að meta hvort og hvernig eigi að eyða gögnum sem tengjast vísindarannsóknum.
Nokkur umræða fór fram um aðgang Persónuverndar í eftirlitsstörfum sínum að húsnæði þar sem fram fer vinnsla persónuupplýsinga sem heimiluð er skv. 2. mgr. 38. gr. frumvarpsins.
Þessi grein var nokkuð rædd, en þar segir m.a. að:
,,Persónuvernd hefur í eftirlitsstörfum sínum án dómsúrskurðar aðgang að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þar á meðal stöðum þar sem varðveittar eru skrár, myndir, sbr. 4. gr., persónuupplýsingar ...``
Þetta stendur allt þarna í þessari grein, 38. gr. frv.
Þá var gerð athugasemd við að hér væri um að ræða mjög víðtæka heimild. Allshn. tekur undir þær athugasemdir og leggur áherslu á að 2. mgr. 38. gr. frumvarpsins og heimildinni sem þar er að finna verði varkárni og meðalhófs ætíð gætt. Hafa ber í huga að þessa heimild er að finna í gildandi lögum og hefur hún reynst þýðingarmikil í eftirlitsstarfi tölvunefndar. Auðvelt er að færa rök fyrir því að verði heimildin felld brott sé hætt við að eftirlit Persónuverndar verði ekki jafnvirkt því að mjög auðvelt er að þurrka upplýsingar út úr tölvukerfum á tiltölulega skömmum tíma. Þau tilvik geta komið upp að beita þurfi heimildinni við almennt eftirlit, t.d. ef grunur vaknar á staðnum, þ.e. þegar tölvunefnd, Persónuvernd, samkvæmt frumvarpinu, er mætt á staðinn getur þessi heimild verið nauðsynleg til að hægt sé að ganga að óbreyttu ástandi.
Herra forseti. Ég ætla að gera nokkra grein fyrir þeim breytingum sem allshn. gerir á frumvarpinu, en þær eru þó nokkrar, og ég ætla að víkja að þeim helstu.
Í 1. gr. frumvarpsins er að finna markmiðslýsingu þess. Í athugasemdum með greininni kemur fram að hún tekur mið af 1. gr. tilskipunar ESB þar sem markmið hennar eru tilgreind. Aðeins annað af tveimur meginmarkmiðum tilskipunarinnar, að tryggja persónuvernd og friðhelgi einkalífs, er nefnt í 1. gr. frumvarpsins. Hitt meginmarkmið tilskipunarinnar er að tryggja frjálst flæði upplýsinga innan aðildarríkjanna í þeim tilgangi að ná fram markmiðum Evrópusambandsins um frjálsa vöru- og þjónustuflutninga er því bætt við. Nefndin telur rétt að bæði markmið tilskipunarinnar komi fram í 1. gr. og leggur til breytingu á greininni í samræmi við það.
Í athugasemdum við 1. tölul. 2. gr. kemur fram að verndarsvið frv. taki til upplýsinga um lifandi og látna menn. Enn fremur segir að upplýsingar um látna einstaklinga falli einkum undir það ef þær tengjast lifandi einstaklingum, svo sem upplýsingar um arfgenga sjúkdóma. Kemur fram að tölvunefnd hafi byggt á því í störfum sínum að látnir einstaklingar njóti friðhelgi um einkalíf sitt ekki síður en lifandi menn, t.d. að því er varðar aðgang að heilsufarsupplýsingum um látna menn í tengslum við framkvæmd vísindarannsókna á heilbrigðissviði. Að mati nefndarinnar er tilgangur frumvarpsins að vernda persónuupplýsingar um alla einstaklinga, lifandi og látna, og leggur hún til að það komi fram í lagatextanum svo að enginn vafi leiki á því að verndin sé til staðar.
Nefndin ræddi það ósamræmi sem kemur fram í 1. tölul. 8. gr. og 1. tölul. 9. gr. frv. en skv. 8. gr., þar sem fjallað er um vinnslu almennra persónuupplýsinga, þarf að koma til ótvírætt samþykki hins skráða en skv. 9. gr., sem er um vinnslu viðkvæmra persónuupplýsinga, þarf hinn skráði að samþykkja vinnsluna. Að mati nefndarinnar er eðlilegt að gera ekki minni kröfur til samþykkis hins skráða við vinnslu viðkvæmra persónuupplýsinga en þegar um vinnslu almennra persónuupplýsinga er að ræða. Í ljósi umræðunnar sem fram fór í nefndinni um skilgreiningu samþykkis, samanber það sem fram hefur komið hér á undan, leggur nefndin til að skerpt verði á skilgreiningu frumvarpsins á samþykki í 7. tölul. 2. gr. og í umfjöllun um samþykki í öðrum ákvæðum þess vísist til hennar. Sem sagt vísist til 7. tölul. 2. gr. Leggur nefndin því til að við skilgreininguna bætist orðið ,,ótvírætt`` þannig að skilgreiningin orðist svo: ,,Sérstök ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.`` Orðið ,,ótvírætt`` í 1. tölul. 8. gr. fellur brott til samræmis við þá breytingu. Samþykki hins skráða verður þannig metið eins hvort sem í hlut á vinnsla almennra eða viðkvæmra persónuupplýsinga.
Þá leggur nefndin til að í 8. tölul. 2. gr. verði upplýsingar um lífsskoðanir taldar til viðkvæmra persónuupplýsinga og verndaðar á sama hátt og aðrar lífsskoðanir eins og stjórnmálaskoðanir, trúar- og heimspekiskoðanir sem taldar eru sérstaklega upp í ákvæðinu.
Lagt er til að 3. mgr. 3. gr., þar sem ráðherra er veitt víðtæk reglugerðarheimild til að ákveða að tiltekin tegund rafrænnar vinnslu persónuupplýsinga falli utan gildissviðs laganna, falli brott. Að mati nefndarinnar er nægilega kveðið á um undanþágur frá gildissviði laganna í 2. mgr. 3. gr. og telur hún að um of víðtæka reglugerðarheimild sé að ræða í 3. mgr.
Lagðar eru til breytingar á 5. gr. Ákvæðið er byggt á 9. gr. tilskipunar ESB þar sem heimiluð er undanþága frá ákvæðum laga vegna skörunar við reglur sem gilda um tjáningarfrelsi þegar fjölmiðlun, listir eða bókmenntir eiga í hlut þar sem þær greinar eru taldar njóta ákveðinnar sérstöðu. Þó skuli byggt á þeirri meginreglu að lögin gildi um öll atriði. Fram kom gagnrýni á að gerður væri greinarmunur á fréttamennsku og öðrum þáttum fjölmiðlunar, lista eða bókmennta. Bent var á að hann ætti sér ekki stoð í tilskipun ESB og að ákvæði frumvarpsins væri mun þrengra en ákvæði tilskipunarinnar. Nefndin tekur undir þessi sjónarmið og leggur til að orðalag 2. málsliðar 5. gr. verði rýmkað.
Nefndin leggur til breytingar á 7. gr. til að taka af tvímæli um að allra þeirra þátta sem taldir eru upp í greininni sé gætt við meðferð persónuupplýsinga. Einnig er gerð smávægileg orðalagsbreyting.
Auk þeirrar breytingar sem gerð er á 1. tölul. 8. gr., og fjallað er um í 3. lið, er gerð breyting á 1. málslið 1. mgr. greinarinnar til að taka af allan vafa um að eitthvert þeirra atriða sem fjallað er um í 1. mgr. þurfi að vera fyrir hendi, þau þurfi ekki öll að vera fyrir hendi.
Nokkrar breytingar eru lagðar til á 9. gr. Þá leggur nefndin til breytingar á 5. tölul. en í frv. er talað um ,,hagsmunasamtök``, að vinna sé framkvæmd af hagsmuna-, menningar- o.s.frv. samtökum, en það hugtak kemur ekki fyrir í tilskipuninni. Þar er hins vegar í d-lið 8. gr., sem er sambærilegur við 5. tölul. 9. gr. frumvarpsins, fjallað um samtök sem hafa ,,stéttarfélagsleg markmið`` sem verður að telja þrengra en orðnotkun frv. Í tilskipuninni er í sömu grein jafnframt gert að skilyrði að samtökin starfi ekki í hagnaðarskyni. Þessi áskilnaður er ekki gerður í frumvarpinu en að mati nefndarinnar er þar um mikilvæga takmörkun að ræða. Er því lagt til að 5. tölul. verði orðaður að nýju í samræmi við þessar athugasemdir. Nefndin leggur einnig til breytingar á 9. tölul. í þeim tilgangi að þrengja heimildina. Þá leggur nefndin til að tvær nýjar málsgreinar bætist við 9. gr. Með þeirri fyrri er lagt til að Persónuvernd setji, að fenginni umsögn vísindasiðanefndar, reglur um hvernig velja megi og nálgast fólk til þátttöku í vísindarannsóknum og hvaða fræðslu skuli veita því áður en samþykkis þess er óskað. Að mati nefndarinnar er eðlilegt að um þetta verði settar reglur og að Persónuvernd verði falið það hlutverk. Með hliðsjón af því hlutverki sem vísindasiðanefnd er falið í lögum um réttindi sjúklinga, nr. 74/1997, og reglugerð settri samkvæmt þeim, nr. 552/1999, um vísindarannsóknir á heilbrigðissviði, telur nefndin æskilegt að haft verði samráð við vísindasiðanefnd um setningu reglnanna með því að fengin sé umsögn hennar áður en þær verða settar. Með seinni málsgreininni er lagt til að Persónuvernd leysi úr ágreiningi um hvort persónuupplýsingar teljist viðkvæmar eða ekki. Að mati nefndarinnar er hugsanlegt að upp eigi eftir að koma tilvik þar sem deila megi um hvort persónuupplýsingar teljist vera viðkvæmar eða almennar. Leggur hún til að Persónuvernd verði falið að skera úr í slíkum tilvikum.
Herra forseti. Ég vil einnig geta breytingar á 28. gr. frumvarpsins, en sú grein byggir á tilskipun ESB og felur í sér rétt til að taka sig af öllum sölulistum, sem sagt rétt einstaklings til að láta taka sig af öllum sölulistum, t.d. af úthringi- og útsendingarlistum sem margir kannast eflaust við. Nefndin leggur til að í stað þess að ábyrgðaraðilum verði gert skylt að bera skrá sína saman við bannskrá Hagstofu Íslands a.m.k. tvisvar á ári verði þeim gert skylt að uppfæra hana mánaðarlega. Verði samanburðurinn einungis gerður tvisvar á ári getur einstaklingur þurft að bíða í allt að sex mánuði eftir því að vera tekinn af slíkum skrám. Að mati nefndarinnar er þetta of langur tími.
Það sjónarmið kom skýrt fram að þegar fólk er að láta taka sig af þessum innhringilistum og útsendingarlistum er það helst til að komast hjá ákveðnum auglýsingapósti og ákveðinni sölumennsku o.fl. og þess vegna fannst nefndinni uppfærsla tvisvar á ári vera allt of sjaldan. Því er lagt til að meginreglan verði sú að skrár þessar skuli vera uppfærðar mánaðarlega.
Samkvæmt lokamálslið 1. mgr. getur Persónuvernd veitt undanþágu frá þessari skyldu og lítur nefndin svo á að í undanþágunni felist að Persónuvernd geti veitt undanþágu frá skyldunni til að bera skrána saman við skrá Hagstofunnar og undanþágu frá því að uppfæra skrána mánaðarlega. Aðilar sem nota skrárnar sjaldan, t.d. einu sinni eða tvisvar á ári gætu með þeim hætti fengið undanþágu þannig að skráin yrði uppfærð áður en hún yrði notuð. Nefndin vill leggja áherslu á að undanþágum frá skyldunni til að bera skrána saman við skrá Hagstofunnar verði stillt í hóf svo að óskir einstaklinga um að verða teknir af skrá fyrir markpóst og marksímtöl séu virtar. Þá leggur nefndin til breytingu á 3. mgr. svo að Persónuvernd verði heimilað að undanþiggja vísindarannsóknir og hliðstæðar rannsóknir takmörkunum skv. 1. mgr. Með hliðstæðum rannsóknum er t.d. átt við neyslu- og markaðskannanir Hagstofunnar og aðrar kannanir sem eru grundvöllur að vísitöluútreikningum og byggjast á lagaákvæðum eða leiðir af opinberri starfsemi. Við mat Persónuverndar á því hvort viðkomandi rannsókn skuli ná til einstaklinga á bannskrá verður að taka mið af því hvort niðurstöður rannsóknarinnar mundu sýna mjög skakka mynd ef þeir væru ekki teknir með í rannsóknina.
Lagðar eru til breytingar á 3. mgr. 31. gr. frv. þar sem Persónuvernd er heimilað að undanþiggja vissar tegundir vinnslu tilkynningarskyldu. Þar sem meginreglan er að öll vinnsla persónuupplýsinga er tilkynningarskyld, og það er ein af meginbreytingum laganna, telur nefndin að aðeins verði vikið frá tilkynningarskyldunni í undantekningartilvikum og aðeins þegar í hlut eiga almennar upplýsingar. Vinnsla með viðkvæmar persónuupplýsingar skal þannig í öllum tilvikum háð tilkynningarskyldu. Nefndin telur hins vegar að gild rök geti verið fyrir að ákveðnar tegundir af vinnslu almennra upplýsinga verði undanþegnar tilkynningarskyldu. Má sem dæmi nefna skráningu í þágu ættfræðirannsókna og æviskrárrita sem heimil er samkvæmt gildandi lögum. Þar er um að ræða skráningu sem er í þágu almannahagsmuna og öllum til góða. Ef ekki yrði heimilt að veita slíka undanþágu gæti það haft þær afleiðingar að söfnun og skráning í þágu ættfræðirannsókna verði mun erfiðari en nú er.
Nefndin leggur til breytingar á 33. gr. sem byggðar eru á 20. gr. tilskipunar ESB. Leggur hún til að þegar um er að ræða vinnslu almennra eða viðkvæmra persónuupplýsinga sem geti falið í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra aðila getur Persónuvernd ákveðið að vinnslan megi ekki hefjast fyrr en hún hefur verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar. Persónuvernd getur jafnframt ákveðið að slík leyfisskylda falli brott þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skuli við slíka vinnslu. Núgildandi eftirlitskerfi byggir á leyfisveitingum fyrir vinnslu persónuupplýsinga. Eins og fram kom fyrr þá byggir frv. á því að í stað leyfisveitinga verði byggt á tilkynningarskyldu vinnsluaðila. Telur nefndin að nauðsynlegt sé að tengja saman þessi ólíku kerfi með þessum hætti þannig að hún telji þörf á því geti hún stöðvað vinnslu persónuupplýsinga þar til hún hefur kannað vinnsluna og gefið út leyfi fyrir henni. Lítur nefndin svo á að vinnsla sem ekki verður leyfisskyld þegar lögin eru að fullu komin til framkvæmda verði hugsanlega leyfisskyld til að byrja með.
Þá eru lagðar til breytingar við 36. gr. sem varðar skipulag Persónuverndar og stjórnsýsluna. Við umfjöllun málsins komu fram athugasemdir við að ráðherra skipi stjórn Persónuverndar án tilnefningar. Það sjónarmið kom fram að mikilvægt væri að eftirlitsaðili á borð við Persónuvernd njóti nægilegs trausts. Inn á þetta komu margir gestir nefndarinnar m.a. og vel flestir umsagnaraðilar. Því væri mikilvægt að stjórn hennar væri skipuð faglega og að sátt ríkti um hana. Vill nefndin koma til móts við þessi sjónarmið og leggur til að tveir af fimm aðilum í stjórn Persónuverndar verði tilnefndir, annar af Hæstarétti og hinn af Skýrslutæknifélagi Íslands, en þess má geta að samkvæmt gildandi lögum skal hið síðarnefnda, þ.e. Skýrslutæknifélagið, tilnefna einn aðila í tölvunefnd. Hina þrjá í stjórn Persónuverndar skipar ráðherra án tilnefningar, þar á meðal formann og varaformann, og skulu þeir vera lögfræðingar.
Herra forseti. Fyrir hönd hv. allshn. mæli ég með því að frv. um persónuvernd og meðferð persónuupplýsinga verði samþykkt með þeim breytingum sem gerð eru skil á sérstöku þingskjali.
Ég vil einnig koma á framfæri þökkum til nefndarmanna fyrir að hafa innt af hendi afskaplega góða, mikla og að mínu mati mjög faglega vinnu. Fyrir vikið erum við hér með að mínu mati mjög gott frv. og nefndarálit.
