Ferill 280. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.

125. löggjafarþing 1999–2000.
Þskj. 1213  —  280. mál.



Nefndarálit



um frv. til l. um persónuvernd og meðferð persónuupplýsinga.

Frá allsherjarnefnd.



    Nefndin hefur fjallað um málið og fengið á sinn fund Benedikt Bogason frá dómsmálaráðuneyti, Pál Hreinsson og Sigrúnu Jóhannesdóttur frá tölvunefnd, Erlend Gíslason frá Lögmannafélagi Íslands, Magnús Norðdahl frá Alþýðusambandi Íslands, Ingvar Kristinsson frá Sambandi íslenskra hugbúnaðarfyrirtækja, Jón Magnússon og Telmu Halldórsdóttur frá Neytendasamtökunum, Guðrúnu Agnarsdóttur og Hrafn Tulinius frá Krabbameinsfélagi Íslands, Hildi Helgadóttur og Lilju Þorsteinsdóttur frá Félagi íslenskra hjúkrunarfræðinga, Hallgrím Snorrason og Skúla Guðmundsson frá Hagstofu Íslands, Hjálmar Jónsson og Lúðvík Geirsson frá Blaðamannafélagi Íslands, Sigurð Guðmundsson landlækni og Matthías Halldórsson og Aðalheiði Sigursveinsdóttur frá embættinu, Vilmund Guðnason frá Hjartavernd, Sólveigu Ásgrímsdóttur frá Sálfræðingafélagi Íslands, Kára Stefánsson frá Íslenskri erfðagreiningu, Jóhannes M. Gunnarsson, Þorvald V. Guðmundsson, Lilju Þorsteinsdóttur, Torfa Magnússon og Baldur Johnsen frá Landspítala, Karl Andersen, Gunnar Matthíasson, Björn R. Lúðvíksson og Finnboga Jakobsson frá vísindasiðanefnd Sjúkrahúss Reykjavíkur, Tómas Zoëga, Örn Bjarnason og Ásdísi Rafnar frá Læknafélagi Íslands, Ingileif Jónsdóttur, Þorvarð Árnason og Karl Kristinsson frá vísindasiðanefnd.
    Umsagnir bárust nefndinni frá Bandalagi starfsmanna ríkis og bæja, Alþýðusambandi Íslands, Lögmannafélagi Íslands, Stéttarfélagi íslenskra félagsráðgjafa, tölvunefnd, siðaráði landlæknis, Samtökum atvinnulífsins, Félagi íslenskra hjúkrunarfræðinga, Siðfræðistofnun Háskóla Íslands, Hagstofu Íslands, Landspítala – háskólasjúkrahúsi, vísindasiðanefnd Sjúkrahúss Reykjavíkur, Krabbameinsfélagi Íslands, Blaðamannafélagi Íslands, Mannvernd, Rannsóknarráði Íslands, Mannréttindaskrifstofu Íslands, vísindasiðanefnd, Læknafélagi Íslands og landlækni.
    Með frumvarpinu eru lögð til ný heildarlög um persónuvernd og meðferð persónuupplýsinga. Í henni felst m.a. lögfesting á ákvæðum tilskipunar Evrópusambandsins nr. 95/46, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Markmið tilskipunarinnar er að tryggja að sömu reglur gildi um persónuvernd í öllum aðildarríkjum ESB. Samkvæmt ákvörðun sameiginlegu EES-nefndarinnar á síðasta ári um að fella tilskipunina inn í EES-samninginn skal samræmingin jafnframt ná til löggjafar á þessu sviði á Íslandi. Þá hafa alþjóðlegar reglur og samstarf, t.d. samningur Evrópuráðsins um vernd einstaklinga við vélræna vinnslu persónuupplýsinga frá árinu 1981 og tilmæli Evrópuráðsins til aðildarríkjanna, haft áhrif á efni íslenskra réttarreglna á sviði persónuverndar og hefur verið höfð hliðsjón af þeim við samningu frumvarpsins.
    Ýmsar breytingar eru lagðar til í frumvarpinu, m.a. eru réttindi hins skráða aukin, gert er ráð fyrir að sjálfstæð ríkisstofnun verði sett á stofn til að sinna eftirliti með framkvæmd laganna og lagðar eru til breytingar á framkvæmd eftirlitsins þannig að tilkynningarskylda komi að stórum hluta í stað leyfisskyldu.
    Miklar umræður urðu í nefndinni um frumvarpið og barst henni nokkuð af athugasemdum við efni þess.
    Töluvert var rætt um það breytta fyrirkomulag á eftirliti sem lagt er til í frumvarpinu sem byggist fyrst og fremst á því að tilkynningarskylda komi í stað leyfisskyldu. Gert er ráð fyrir að horfið verði frá því fyrirkomulagi sem gildir að meginstefnu til nú að fyrirhuguð vinnsla er kynnt tölvunefnd sem yfirfer leyfisumsóknir og afgreiðir leyfi. Þess í stað verður þeim sem hyggjast hefja rafræna vinnslu persónuupplýsinga skylt að tilkynna hinni nýju stofnun, Persónuvernd, um vinnsluna og skal það gert áður en hún hefst. Persónuvernd skal svo, þegar hún hefur móttekið tilkynninguna, grípa inn í undirbúning vinnslunnar eftir því sem hún telur þörf á með því að ákveða skilmála vinnslunnar eða gefa fyrirmæli um aðrar aðgerðir. Ljóst er að nýja fyrirkomulagið á eftir að mótast nokkuð í framkvæmd en útlínur þess eiga að vera nokkuð skýrar. Eins og það var kynnt fyrir nefndinni er ætlunin að hafa framkvæmd tilkynningarskyldunnar sem einfaldasta fyrir vinnsluaðila og kom fram að hugsanlega yrði hún sett á rafrænt form að einhverju leyti en gera má ráð fyrir að mikið verði um tilkynningar um vinnslu þegar lögin koma fyrst til framkvæmda. Breytt fyrirkomulag gerir ráð fyrir aukinni áherslu á skyldur ábyrgðaraðila og í frumvarpinu er lagt til að eftirlit verði aukið hjá þeim sem vinna með upplýsingarnar þannig að ábyrgðaraðilar viðhafi innra eftirlit í starfsemi sinni og geri reglulega skýrslur um það, sbr. 12. gr. frumvarpsins. Telur nefndin að slíkt fyrirkomulag sé til þess fallið að auka ábyrgð ábyrgðaraðila á því að meðferð og vernd persónuupplýsinga sé í samræmi við lög og reglur. Þá getur það orðið til þess að auðvelda eftirlit Persónuverndar með viðkomandi þótt rétt sé að benda á mikilvægi þess að stofnunin sinni eftir sem áður alhliða eftirliti með ábyrgðaraðilum og að innra eftirlit komi ekki á neinn hátt í stað þess. Þá var bent á að við innra eftirlit ábyrgðaraðila gæti verið ástæða til að auka svokallað eftirfarandi eftirlit en í því felst t.d. að hægt er að fylgjast með hvort farið sé inn í upplýsingar án leyfis eða heimildar eða þær skoðaðar án þess að fyrir því sé ástæða og bregðast við. Að mati nefndarinnar mætti huga að því í tengslum við staðla og aðrar reglur sem Persónuvernd skal setja skv. 11. gr. frumvarpsins og bendir hún jafnframt á að áríðandi er að þeir verði tilbúnir sem fyrst enda mikilvægt að öryggisráðstafanir ábyrgðaraðila séu sem tryggastar.
    Fram komu athugasemdir um að samkvæmt gildandi lögum teldust veruleg félagsleg vandamál til upplýsinga sem skilgreindar eru sem viðkvæmar persónuupplýsingar, en í frumvarpinu er ekki gert ráð fyrir að svo sé. Skilgreining 8. tölul. 2. gr. byggist fyrst og fremst á 8. gr. tilskipunar ESB nr. 95/46 en þar kemur óbeint fram skilgreining á því hvaða persónuupplýsingar eru mönnum sérstaklega viðkvæmar. Veruleg félagsleg vandamál eru ekki tilgreind þar undir en hafa verður í huga að eitt af markmiðum tilskipunarinnar er að samræma þær efnisreglur sem gilda um vernd persónuupplýsinga á Evrópska efnahagssvæðinu. Vegna alþjóðlegra skuldbindinga sem Ísland hefur undirgengist samkvæmt EES-samningnum verður að vera samræmi í þeim reglum sem gilda hér á landi og annars staðar á samningssvæðinu. Nefndin vill þó taka fram að þrátt fyrir að veruleg félagsleg vandamál séu ekki skilgreind sérstaklega sem viðkvæmar persónuupplýsingar skv. 8. tölul. 2. gr. frumvarpsins eru slíkar upplýsingar verndaðar af lögunum skv. 7. gr. Í því felst t.d. að vinnslan verði að vera nauðsynleg svo að hún sé heimil. Þá er rétt að hafa í huga að veruleg félagsleg vandamál geta falist í skilgreiningu frumvarpsins á viðkvæmum persónuupplýsingum, t.d. í upplýsingum um heilsuhagi skv. c-lið 8. tölul. 2. gr.
    Miklar umræður fóru fram um skilgreiningu frumvarpsins í 7. tölul. 2. gr. á samþykki. Ábendingar komu fram um að nota frekar orðasambandið upplýst samþykki og var það rökstutt með því að það hefði mjög ákveðna merkingu og hefði lengi verið notað um samþykki vegna þátttöku í vísindarannsóknum. Skilgreiningin sem notuð er í frumvarpinu á hins vegar fyrirmynd í tilskipun Evrópusambandsins og telur nefndin eðlilegt að sama skilgreining verði notuð þegar fjallað er um meðferð persónuupplýsinga. Reglur um meðferð þeirra spanna mjög vítt svið og að mati nefndarinnar er ekki eðlilegt að skilgreining á samþykki verði eingöngu byggð á því hvernig samþykki vegna þátttöku í vísindarannsókn er skilgreint. Nefndin bendir á að upplýst samþykki felist í skilgreiningunni á samþykki samkvæmt frumvarpinu. Hins vegar er ljóst að aðrar tegundir samþykkis geta komið til, t.d. samkvæmt sérlögum, og ganga ákvæði slíkra laga þá framar ákvæðum frumvarpsins eða skýra verður þau til samræmis við ákvæði þess.
    Þá lýstu margir umsagnaraðilar áhyggjum sínum af því hver yrði staða sjúkdómaskráa og gagnagrunna sem geyma heilbrigðisupplýsingar, t.d. Krabbameinsskrár. Slíkar skrár, þar sem geymdar eru upplýsingar um heilsuhagi sem teljast viðkvæmar persónuupplýsingar skv. 8. tölul. 2. gr., eru þess eðlis að alltaf þurfi sérstakt leyfi Persónuverndar skv. 2. mgr. 9. gr. frumvarpsins. Lítur nefndin svo á að slík vinnsla verði heimiluð telji Persónuvernd, eftir að hafa metið það með málefnalegum hætti, að brýnir almannahagsmunir mæli með því og yrði leyfið veitt með þeim skilyrðum sem Persónuvernd telur nauðsynleg hverju sinni til að tryggja hagsmuni hinna skráðu, sbr. 2. mgr. 9. gr.
    Þá var einnig rætt nokkuð um hlutverk vísindasiðanefndar og siðanefnda heilbrigðisstofnana og hvernig það kemur til með að skarast við hlutverk Persónuverndar. Ljóst er að starfssvið þessara stofnana hafa skarast. Hins vegar vill nefndin minna á að fjallað er um hlutverk hinna fyrrnefndu í lögum um réttindi sjúklinga, nr. 74/1997, og í reglugerð nr. 522/1999, um vísindarannsóknir á heilbrigðssviði, sem sett er samkvæmt lögunum. Skv. 4. mgr. 2. gr. laganna er vísindarannsókn rannsókn sem gerð er til að auka við þekkingu sem m.a. gerir kleift að bæta heilsu og lækna sjúkdóma. Jafnframt er tekið fram að mat vísindasiðanefndar eða siðanefndar skv. 29. gr. á rannsókninni verði að hafa leitt í ljós að vísindaleg og siðfræðileg sjónarmið mæli ekki gegn framkvæmd hennar. Rétt er að leggja áherslu á að frumvarpinu er ekki ætlað að breyta þeim ákvæðum sem lög um réttindi sjúklinga og reglugerð með þeim setja. Vísindarannsókn sem krefst samþykkis Persónuverndar samkvæmt frumvarpinu og vísindasiðanefndar eða siðanefnda heilbrigðisstofnana samkvæmt lögum um réttindi sjúklinga er ekki framkvæmd nema með samþykki beggja. Þannig er í raun um tvöfalt kerfi að ræða. Ef samþykki vísindasiðanefndar er áskilið við vísindarannsókn fer hún ekki fram ef það er ekki fyrir hendi.
    Þá kom fram nokkur gagnrýni á að ekki væri fyrir hendi ákvæði um varðveisluskyldu gagna sem skráð eru og unnið með vegna vísindarannsókna. Nefndin lítur svo á að í frumvarpinu séu ekki gerðar breytingar á því hvernig gögn úr vísindarannsóknum eru varðveitt eða hversu lengi. Í 26. gr. frumvarpsins segir að þegar ekki sé lengur málefnaleg ástæða til að varðveita persónuupplýsingar skuli þeim eytt af ábyrgðaraðila. Er svo talið upp í dæmaskyni hvenær málefnaleg ástæða til varðveislu upplýsinga geti verið fyrir hendi og m.a. nefnd fyrirmæli í lögum eða að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra. Ekki er þar um tæmandi talningu að ræða og telur nefndin að t.d. mat vísindasiðanefndar, sem byggt er á málefnalegum grunni á því hvort gögnum skuli eytt eða ekki, geti verið þar á meðal.
    Nokkur umræða fór fram um aðgang Persónuverndar í eftirlitsstörfum sínum að húsnæði þar sem fram fer vinnsla persónuupplýsinga sem heimiluð er skv. 2. mgr. 38. gr. frumvarpsins. Var gerð athugasemd við að heimildin væri mjög víðtæk. Tekur nefndin undir þær athugasemdir og leggur áherslu á að henni verði beitt af varkárni og meðalhófs ætíð gætt. Hafa ber í huga að þessa heimild er að finna í gildandi lögum og hefur hún reynst þýðingarmikil í eftirlitsstarfi tölvunefndar. Auðvelt er að færa rök fyrir því að verði heimildin felld brott sé hætt við að eftirlit Persónuverndar verði ekki jafnvirkt því að mjög auðvelt er að þurrka upplýsingar út úr tölvukerfum. Þau tilvik geta komið upp að beita þurfi heimildinni við almennt eftirlit, t.d. ef grunur vaknar á staðnum, og þá er þessi heimild nauðsynleg til að geta gengið að óbreyttu ástandi.
    Í kostnaðarumsögn fjármálaráðuneytis með frumvarpinu er gert ráð fyrir að árlegur rekstrarkostnaður vegna Persónuverndar verði um 42 millj. kr. og að á fyrsta starfsári falli til kostnaður vegna stofnsetningar Persónuverndar að fjárhæð 12 millj. kr. Lagt er til að lögin taki gildi 1. janúar 2001 en í ákvæði til bráðabirgða er gert ráð fyrir að undirbúningur fyrir gildistöku laganna hefjist þegar eftir birtingu þeirra. Dómsmálaráðuneytið hefur í samráði við fjárlagaskrifstofu fjármálaráðuneytisins metið kostnað sem fellur til á þessu ári vegna undirbúnings fyrir gildistöku laganna. Er hann talinn vera 29,6 millj. kr. en þar af er stofnkostnaður 12 millj. kr. Við það er miðað að húsnæði verði tekið á leigu 1. júní og þá verði ráðinn til starfa forstöðumaður. Alls er gert ráð fyrir að átta starfsmenn starfi við stofnunina og verða hinir sjö ráðnir í áföngum til áramóta. Annar rekstrarkostnaður en laun er að mestu í samræmi við kostnaðarmat fjármálaráðuneytis. Þó verður hann heldur lægri, m.a. er talið að ferðakostnaður verði lægri þar sem allir starfsmenn verða ekki komnir til starfa. Tölvunefnd mun starfa út þetta ár og fellur því til kostnaður við hana eins og áður, en hin nýja stjórn Persónuverndar mun starfa samhliða henni við undirbúning og stefnumörkun stofnunarinnar.
    Nefndin mælir með samþykkt frumvarpsins með breytingum sem gerð er tillaga um í sérstöku þingskjali. Helstu breytingar eru eftirfarandi:
     1.      Í 1. gr. frumvarpsins er að finna markmiðslýsingu þess. Í athugasemdum með greininni kemur fram að hún tekur mið af 1. gr. tilskipunar ESB þar sem markmið hennar eru tilgreind. Aðeins annað af tveimur meginmarkmiðum tilskipunarinnar, að tryggja persónuvernd og friðhelgi einkalífs, er nefnt í 1. gr. frumvarpsins. Hitt meginmarkmið tilskipunarinnar er að tryggja frjálst flæði upplýsinga innan aðildarríkjanna í þeim tilgangi að ná fram markmiðum Evrópusambandsins um frjálsa vöru- og þjónustuflutninga. Nefndin telur rétt að bæði markmið tilskipunarinnar komi fram í 1. gr. og leggur til breytingu á greininni í samræmi við það.
     2.      Í athugasemdum við 1. tölul. 2. gr. kemur fram að verndarsvið frumvarpsins taki til upplýsinga um lifandi og látna menn. Enn fremur segir að upplýsingar um látna einstaklinga falli einkum undir það ef þær tengjast lifandi einstaklingum, svo sem upplýsingar um arfgenga sjúkdóma. Kemur fram að tölvunefnd hafi byggt á því í störfum sínum að látnir einstaklingar njóti friðhelgi um einkalíf sitt ekki síður en lifandi menn, t.d. að því er varðar aðgang að heilsufarsupplýsingum um látna menn í tengslum við framkvæmd vísindarannsókna á heilbrigðissviði. Að mati nefndarinnar er tilgangur frumvarpsins að vernda persónuupplýsingar um alla einstaklinga, lifandi og látna, og leggur hún til að það komi fram í lagatextanum svo að enginn vafi leiki á því að verndin sé til staðar.
     3.      Nefndin ræddi það ósamræmi sem kemur fram í 1. tölul. 8. gr. og 1. tölul. 9. gr. frumvarpsins en skv. 8. gr., þar sem fjallað er um vinnslu almennra persónuupplýsinga, þarf að koma til ótvírætt samþykki hins skráða en skv. 9. gr., sem á við um vinnslu viðkvæmra persónuupplýsinga, þarf hinn skráði að samþykkja vinnsluna. Að mati nefndarinnar er eðlilegt að gera ekki minni kröfur til samþykkis hins skráða við vinnslu viðkvæmra persónuupplýsinga en þegar um vinnslu almennra persónuupplýsinga er að ræða. Í ljósi þeirrar umræðu sem fram fór í nefndinni um skilgreiningu samþykkis, sbr. það sem fram hefur komið, leggur nefndin til að skerpt verði á skilgreiningu frumvarpsins á samþykki í 7. tölul. 2. gr. og í umfjöllun um samþykki í öðrum ákvæðum þess vísist til hennar. Leggur nefndin því til að við skilgreininguna bætist orðið „ótvírætt“ þannig að skilgreiningin orðist svo: „Sérstök ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.“ Orðið „ótvírætt“ í 1. tölul. 8. gr. fellur brott til samræmis við þá breytingu. Samþykki hins skráða verður þannig metið eins hvort sem í hlut á vinnsla almennra eða viðkvæmra persónuupplýsinga.
     4.      Þá leggur nefndin til að í 8. tölul. 2. gr. verði upplýsingar um lífsskoðanir taldar til viðkvæmra persónuupplýsinga og verndaðar á sama hátt og aðrar lífsskoðanir eins og stjórnmálaskoðanir trúar- og heimspekiskoðanir sem taldar eru sérstaklega upp í ákvæðinu.
     5.      Lagt er til að 3. mgr. 3. gr., þar sem ráðherra er veitt víðtæk reglugerðarheimild til að ákveða að tiltekin tegund rafrænnar vinnslu persónuupplýsinga falli utan gildissviðs laganna, falli brott. Að mati nefndarinnar er nægilega kveðið á um undanþágur frá gildissviði laganna í 2. mgr. 3. gr. og telur hún að um of víðtæka reglugerðarheimild sé að ræða í 3. mgr.
     6.      Lagðar eru til breytingar á 5. gr. Ákvæðið er byggt á 9. gr. tilskipunar ESB þar sem heimiluð er undanþága frá ákvæðum laga vegna skörunar við reglur sem gilda um tjáningarfrelsi þegar fjölmiðlun, listir eða bókmenntir eiga í hlut þar sem þær greinar eru taldar njóta ákveðinnar sérstöðu. Þó skuli byggt á þeirri meginreglu að lögin gildi um öll atriði. Fram kom gagnrýni á að gerður væri greinarmunur á fréttamennsku og öðrum þáttum fjölmiðlunar, lista eða bókmennta. Bent var á að hann ætti sér ekki stoð í tilskipun ESB og að ákvæði frumvarpsins væri mun þrengra en ákvæði tilskipunarinnar. Nefndin tekur undir þessi sjónarmið og leggur til að orðalag 2. málsl. 5. gr. verði rýmkað þannig að undanþágan nái ekki einungis til þeirra tilvika þegar persónuupplýsingar eru unnar í þágu fréttamennsku heldur einnig þegar þær eru unnar vegna bókmenntalegrar eða listrænnar starfsemi. Í slíkum tilvikum gildi aðeins, auk þeirra ákvæða sem nefnd eru í 2. málsl. 5. gr. frumvarpsins, ákvæði 4., 12., 13., 24. og 28. gr. þess.
     7.      Nefndin leggur til breytingar á 7. gr. til að taka af tvímæli um að allra þeirra þátta sem taldir eru upp í greininni sé gætt við meðferð persónuupplýsinga. Einnig er gerð smávægileg orðalagsbreyting.
     8.      Auk þeirrar breytingar sem gerð er á 1. tölul. 8. gr., og fjallað er um í 3. lið, er gerð breyting á 1. málsl. 1. mgr. greinarinnar til að taka af allan vafa um að eitthvert þeirra atriða sem fjallað er um í 1. mgr. þurfi að vera fyrir hendi, þau þurfi ekki öll að vera fyrir hendi.
     9.      Nokkrar breytingar eru lagðar til á 9. gr. Lagðar eru til sams konar orðalagsbreytingar á 1. málsl. 1. mgr. og á 1. málsl. 1. mgr. 8. gr. til að gera ákvæðið skýrara. Þá leggur nefndin til breytingar á 5. tölul. en í frumvarpinu er talað um „hagsmunasamtök“ en það hugtak kemur ekki fyrir í tilskipuninni. Þar er hins vegar í d-lið 8. gr., sem er sambærilegur við 5. tölul. 9. gr. frumvarpsins, fjallað um samtök sem hafa „stéttarfélagsleg markmið“ sem verður að telja þrengra en orðnotkun frumvarpsins. Í tilskipuninni er í sömu grein jafnframt gert að skilyrði að samtökin starfi ekki í hagnaðarskyni. Þessi áskilnaður er ekki gerður í frumvarpinu en að mati nefndarinnar er þar um mikilvæga takmörkun að ræða. Er því lagt til að 5. tölul. verði orðaður að nýju í samræmi við þessar athugasemdir. Nefndin leggur einnig til breytingar á 9. tölul. í þeim tilgangi að þrengja heimildina. Þá leggur nefndin til að tvær nýjar málsgreinar bætist við 9. gr. Með þeirri fyrri er lagt til að Persónuvernd setji, að fenginni umsögn vísindasiðanefndar, reglur um hvernig velja megi og nálgast fólk til þátttöku í vísindarannsóknum og hvaða fræðslu skuli veita því áður en samþykkis þess er óskað. Að mati nefndarinnar er eðlilegt að um þetta verði settar reglur og að Persónuvernd verði falið það hlutverk. Með hliðsjón af því hlutverki sem vísindasiðanefnd er falið í lögum um réttindi sjúklinga, nr. 74/1997, og reglugerð settri samkvæmt þeim, nr. 552/1999, um vísindarannsóknir á heilbrigðissviði, telur nefndin æskilegt að haft verði samráð við vísindasiðanefnd um setningu reglnanna með því að fengin sé umsögn hennar áður en þær verða settar. Með seinni málsgreininni er lagt til að Persónuvernd leysi úr ágreiningi um hvort persónuupplýsingar teljist viðkvæmar eða ekki. Að mati nefndarinnar er hugsanlegt að upp eigi eftir að koma tilvik þar sem deila megi um hvort persónuupplýsingar teljist vera viðkvæmar eða almennar. Leggur hún til að Persónuvernd verði falið að skera úr í slíkum tilvikum.
     10.      Lagðar eru til breytingar á 19. gr. þar sem ráðherra er heimilað með reglugerð að setja skilmála um beitingu upplýsingaréttar hins skráða. Leggur nefndin til að Persónuvernd setji reglur um beitingu upplýsingaréttarins og að ráðherra staðfesti þær.
     11.      Nefndin leggur til að í stað orðsins „persónumynstur“ í 23. gr. frumvarpsins verði notað orðið „persónusnið“. Breytingin felur ekki í sér efnisbreytingu en nefndinni var bent á að Íslensk málnefnd mælti frekar með notkun orðsins persónusnið í þessu samhengi.
     12.      Þá leggur nefndin til breytingu á 28. gr. Greinin er byggð á tilskipun ESB og felur í sér rétt til að láta taka sig af öllum sölulistum, t.d. úthringilistum og útsendingarlistum. Nefndin leggur til að í stað þess að ábyrgðaraðilum verði gert skylt að bera skrá sína saman við bannskrá Hagstofu Íslands a.m.k. tvisvar á ári verði þeim gert skylt að uppfæra hana mánaðarlega. Verði samanburðurinn einungis gerður tvisvar á ári getur einstaklingur þurft að bíða í allt að sex mánuði eftir því að vera tekinn af slíkum skrám. Að mati nefndarinnar er það of langur tími. Samkvæmt lokamálslið 1. mgr. getur Persónuvernd veitt undanþágu frá þessari skyldu og lítur nefndin svo á að í undanþágunni felist að stofnunin geti veitt undanþágu frá skyldunni til að bera skrána saman við skrá Hagstofunnar og undanþágu frá því að uppfæra skrána mánaðarlega. Aðilar sem nota skrárnar sjaldan, t.d. einu sinni eða tvisvar á ári gætu þannig fengið undanþágu þannig að skráin yrði uppfærð áður en hún yrði notuð. Nefndin vill leggja áherslu á að undanþágum frá skyldunni til að bera skrána saman við skrá Hagstofunnar verði stillt í hóf svo að óskir einstaklinga um að verða teknir af skrá fyrir markpóst og marksímtöl séu virtar. Þá leggur nefndin til breytingu á 3. mgr. svo að Persónuvernd verði heimilað að undanþiggja vísindarannsóknir og hliðstæðar rannsóknir takmörkunum skv. 1. mgr. Með hliðstæðum rannsóknum er t.d. átt við neyslu- og markaðskannanir Hagstofunnar og aðrar kannanir sem eru grundvöllur að vísitöluútreikningum og byggjast á lagaákvæðum eða leiðir af opinberri starfsemi. Við mat Persónuverndar á því hvort viðkomandi rannsókn skuli ná til einstaklinga á bannskrá verður að taka mið af því hvort niðurstöður rannsóknarinnar mundu sýna mjög skakka mynd ef þeir væru ekki teknir með í rannsóknina.
     13.      Lagðar eru til breytingar á 3. mgr. 31. gr. þar sem Persónuvernd er heimilað að undanþiggja vissar tegundir vinnslu tilkynningarskyldu. Þar sem meginreglan er að öll vinnsla persónuupplýsinga er tilkynningarskyld telur nefndin að aðeins verði vikið frá tilkynningarskyldunni í undantekningartilvikum og aðeins þegar í hlut eiga almennar upplýsingar. Vinnsla með viðkvæmar persónuupplýsingar skal þannig í öllum tilvikum háð tilkynningarskyldu. Nefndin telur hins vegar að gild rök geti verið fyrir að ákveðnar tegundir vinnslu almennra upplýsinga verði undanþegnar tilkynningarskyldu. Má sem dæmi nefna skráningu í þágu ættfræðirannsókna og æviskrárrita sem heimil er samkvæmt gildandi lögum. Þar er um að ræða skráningu sem er í þágu almannahagsmuna og öllum til góða. Ef ekki yrði heimilt að veita undanþágu í slíku tilviki gæti það haft þær afleiðingar að söfnun og skráning í þágu ættfræðirannsókna yrði mun erfiðari en nú er.
     14.      Nefndin leggur til breytingar á 33. gr. sem byggðar eru á 20. gr. tilskipunar ESB. Leggur hún til að þegar um er að ræða vinnslu almennra eða viðkvæmra persónuupplýsinga sem getur falið í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra aðila geti Persónuvernd ákveðið að vinnslan megi ekki hefjast fyrr en stofnunin hefur athugað hana og samþykkt með útgáfu sérstakrar heimildar. Persónuvernd getur jafnframt ákveðið að slík leyfisskylda falli brott þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skuli við slíka vinnslu. Gildandi eftirlitskerfi er byggt á leyfisveitingum fyrir vinnslu persónuupplýsinga. Eins og komið hefur fram byggist frumvarpið á því að í stað leyfisveitinga verði byggt á tilkynningarskyldu vinnsluaðila. Telur nefndin að nauðsynlegt sé að tengja saman þessi ólíku kerfi á þennan hátt þannig að telji stofnunin þörf á því geti hún stöðvað vinnslu persónuupplýsinga þar til hún hefur kannað vinnsluna og gefið út leyfi fyrir henni. Lítur nefndin svo á að vinnsla sem ekki verður leyfisskyld þegar lögin eru að fullu komin til framkvæmda verði hugsanlega leyfisskyld til að byrja með.
     15.      Þá eru lagðar til breytingar við 36. gr. Við umfjöllun málsins komu fram athugasemdir við að ráðherra skipi stjórn Persónuverndar án tilnefningar. Það sjónarmið kom fram að mikilvægt væri að eftirlitsaðili á borð við Persónuvernd nyti nægilegs trausts. Því væri mikilvægt að stjórn hennar væri skipuð faglega og að sátt ríkti um hana. Vill nefndin koma til móts við þessi sjónarmið og leggur til að tveir af fimm aðilum í stjórn Persónuverndar verði tilnefndir, annar af Hæstarétti og hinn af Skýrslutæknifélagi Íslands, en þess má geta að samkvæmt gildandi lögum tilnefnir Skýrslutæknifélagið einn í tölvunefnd. Hina þrjá stjórnarmenn Persónuverndar skipar ráðherra án tilnefningar, þar á meðal formann og varaformann, og skulu þeir vera lögfræðingar.
     16.      Í frumvarpinu eru engin ákvæði um refsiábyrgð lögaðila en slíkt ákvæði er í gildandi lögum. Í athugasemdum við 42. gr. frumvarpsins er tekið fram að ekki sé þörf á jafnítarlegu refsiákvæði og þar enda fari um slík atriði samkvæmt almennum ákvæðum refsilöggjafar á hverjum tíma. Þrátt fyrir þetta er að mati nefndarinnar rétt að taka það sérstaklega fram í 42. gr. að brot í starfsemi lögaðila varði hann refsingu samkvæmt ákvæðum almennra hegningarlaga enda er fjallað um refsiábyrgð einstaklinga í 42. gr.
     17.      Þá leggur nefndin til að bætt verði við 45. gr. reglugerðarheimild vegna skuldbindinga Íslands vegna Schengen-samkomulagsins. Er lagt til að ráðherra mæli í reglugerð, að fenginni umsögn Persónuverndar, nánar fyrir um eftirlit Persónuverndar með rafrænni vinnslu persónuupplýsinga hjá lögreglu. Þar skal m.a. mælt fyrir um skyldu lögreglu til að tilkynna Persónuvernd um rafrænt unnar skrár sem hún heldur og efni slíkra tilkynninga. Jafnframt skal mæla fyrir um í hvaða tilvikum og á hvaða hátt hinn skráði eigi rétt til aðgangs að persónuupplýsingum sem skráðar hafa verið um hann hjá lögreglu, svo og heimild lögreglu til miðlunar upplýsinga í öðrum tilvikum. Loks skal mælt fyrir um öryggi persónuupplýsinga og innra eftirlit lögreglu með því að vinnslu persónuupplýsinga sé hagað í samræmi við lög, svo og um tímalengd á varðveislu skráðra upplýsinga.
     18.      Nefndin leggur til að gildistaka laganna miðist við næstu áramót. Jafnframt er bætt við breytingum á lögum um réttindi sjúklinga, nr. 74/1997, og nýsamþykktum lögum um Schengen-upplýsingakerfið, nr. 16/2000, þar sem láðst hefur í frumvarpinu að gera ráð fyrir þeim breytingum þannig að þar sem talað er um „tölvunefnd“ í lögunum komi „Persónuvernd“.
     19.      Að síðustu leggur nefndin til breytingar á ákvæði til bráðabirgða. Gert er ráð fyrir að hin nýja stofnun Persónuvernd taki formlega til starfa um næstu áramót að því undanskildu að hún skal sinna eftirliti með því að meðferð persónuupplýsinga í Schengen-upplýsingakerfinu á Íslandi verði í samræmi við lög nr. 16/2000 frá samþykkt frumvarpsins. Leggur nefndin til breytingu á ákvæðinu til samræmis við það.
    Ögmundur Jónasson sat fundi nefndarinnar sem áheyrnarfulltrúi og er samþykkur áliti þessu.
    Ásta Möller og Ólafur Örn Haraldsson voru fjarverandi við afgreiðslu málsins.

Alþingi, 4. maí 2000.



Þorgerður K. Gunnarsdóttir,


form., frsm.


Jónína Bjartmarz.


Guðrún Ögmundsdóttir.



Hjálmar Jónsson.


Sverrir Hermannsson.


Katrín Fjeldsted.



Lúðvík Bergvinsson.