persónuvernd og vinnsla persónuupplýsinga.

Frú forseti. Af andsvörum mínum hingað til er líklega orðið ljóst að ég gæti talað um þetta mál í mjög lengi, vegna þess að ég hef verið að fylgjast með því liggur við frá því að fyrst var talað um það hjá Evrópusambandinu. Ég fór að ræða það við fólk þar úti sennilega seinni hluta árs 2012 og það er svolítið lýsandi fyrir vandamálið sem við stöndum frammi fyrir í dag. Þetta frumvarp kom fram í gærkvöldi. Við höfum vitað að það væri í vændum síðan 2012 og alveg frá því að það var tekið upp í Evrópurétti 2016 hefur verið útbreiddur skilningur á því að þetta væri eitt stærsta mál komandi ára. Þetta er gríðarlegt framfaraskref fyrir persónuvernd, hugsanlega mesta framfaraskrefið í mjög langan tíma, en fúskað hefur verið stórkostlega af hálfu ríkisstjórnarinnar við meðferð málsins og ríkisstjórnin dregið lappirnar í því. Það hefur t.d. margsinnis í dag verið vísað í drög sem voru í samráðsgátt upp á 26 blaðsíður en frumvarpið sem við erum núna með er 147 blaðsíður með 90 blaðsíður af skýringum sem eru mestmegnis nýjar. Það lýsir að mínu mati ótrúlegri vanvirðingu gagnvart þinginu að okkur sé gert að vinna málið á hundavaði.

Tafirnar valda skaða. Það skiptir ekki máli hverjum þær eru að kenna vegna þess að fyrirtækin í landinu þurfa á þessu að halda hið snarasta. Lokaorðin í frétt dómsmálaráðuneytisins um daginn um nýja persónuverndarlöggjöf frá 25. maí voru ekki einungis röng, þau voru mjög óábyrg. Þar segir, með leyfi forseta:

„Millibilsástandið sem myndast milli gildistöku GDPR-reglugerðarinnar í ESB og upptöku hennar í EES-samningnum ætti því ekki að valda truflunum á notkun persónuupplýsinga á innri markaði EES.“

Þetta er ósatt vegna þess að í millibilsástandinu þurfa öll íslensk fyrirtæki sem veita þjónustu sem fellur undir GDPR að svara neitandi þegar þau eru spurð hvort GDPR hafi verið lögfest hér á landi. Það mun kosta þau viðskipti. Ég veit ekki hvort það hafi gert það nú þegar, en það hlýtur að koma til með að gera það. Ég veit að það eru fyrirtæki úti í bæ sem hafa unnið hörðum höndum að því að undirbúa sig fyrir GDPR og eru hissa á því að þau skuli vera tilbúin en löggjöfin ekki.

En nóg um það í bili. Efnisatriði frumvarpsins eru ótrúlega víðfeðm og eins og ég sagði áðan hef ég ekki náð að lesa allt frumvarpið. Ég náði að skima hluta af því en ég er ekki viss um að ég skilji það allt, hreinlega vegna þess að svo margt er óljóst. Eitt tiltekið atriði sem ég átti í vandræðum með er 1. mgr. 4. gr., hún stoppaði mig í nokkra klukkutíma í hugsun vegna þess að það er svo ótrúlega margt sem er á gráu svæði í þeirri tilteknu málsgrein og gæti valdið vandræðum.

Hugsanlega næ ég að lesa allt saman fyrir 2. umr. en núna er fínt að fara yfir GDPR, kosti þess og galla og þær hættur sem við þurfum að vera meðvituð um þegar málið fer til nefndar til frekari meðferðar.

Fyrsta atriðið þar, í dálknum Kostir, er að mjög lengi hefur verið mikil viðleitni hjá fyrirtækjum til að finna efnahagslegan grundvöll undir starfsemi sína á netinu. Það hefur oft skilað mjög sérstökum viðskiptalíkönum, m.a. hefur orðið til gríðarlega verðmætur iðnaður sem snýst hreinlega um að njósna um fólk með einhverjum hætti og nota upplýsingar sem er safnað um það í ýmsum tilgangi, ýmist til að markaðssetja vörur til þess eða selja gögn til kosningaherferða og annað, eins og í tilfelli Cambridge Analytica og reyndar fleiri fyrirtækja.

Strax á fyrstu dögunum eftir að GDPR tók gildi hjá Evrópusambandinu fóru fyrirtæki sem hafa það að tekjulind sinni að njósna um almenning og markaðssetja þær upplýsingar í baklás. Fjölmargir hafa vissulega rangtúlkað GDPR og gripið til aðgerða sem voru óþarfar og sumir hafa túlkað GDPR sér í hag og neytt notendur sína til að samþykkja áframhaldandi njósnir, enn aðrir hafa ákveðið að sniðganga GDPR vísvitandi. Eitt dæmi sem sló mig svolítið var að Washington Post hefur ákveðið að bjóða upp á þrjár áskriftarleiðir, ein þeirra er frí áskrift þar sem haldið er áfram að njósna um fólk, önnur er áskrift sem fólk borgar fyrir en þá fá menn líka njósnir og þriðji valkosturinn er dýrastur og Evrópusambandssamþykktur og þar losna menn við allar njósnir. Það er ekki í anda GDPR og fer á svig við það því að ef eina markmið GDPR væri að bjóða upp á nýja leiðir fyrir fólk til að borga meira fyrir að láta ekki njósna um sig þá held ég að þetta hefði getað verið töluvert styttra frumvarp.

Kannski er rétt að skýra frá því að inngangslína 171 í reglugerðinni sjálfri skýrir að ekki er nauðsynlegt að leita samþykkis aftur sé samþykki þegar til staðar fyrir einhverri þjónustu, svo fremi sem samþykki er bæði innan marka GDPR og skrásett skýrt.

Þar sem reglugerðin tók gildi síðastliðinn föstudag höfum við á síðustu dögum séð áhrifin byrja að myndgerast. Það er t.d. búið að leggja fram kæru á hendur nokkrum netrisum, m.a. Facebook, þar eru fjárkröfur upp á 3,9 milljarða evra, og á hendur Google, með kröfum upp á 3,7 milljarða evra. Þarna er fólk náttúrlega að einhverju leyti að reyna að misnota aðstæðurnar og kannski er líka ákveðið skilningsleysi fyrir hendi, en að einhverju leyti er hreinlega verið að nota tækifærið til að refsa fyrirtækjum sem hafa stundað slíka njósnastarfsemi mjög lengi og í rauninni gert út á það að selja upplýsingar á einu eða öðru formi.

Þó svo að þetta geti verið hart gagnvart fyrirtækjum myndi ég setja það í jákvæða dálkinn. Það er svo margt í því sem byggir á því að færa valdið til notendanna um það hvernig þeir stjórna netnotkun sinni, stjórna persónu sinni, eins og hún raungerist gagnvart fyrirtækjum og öðrum sem eru á netinu.

Aðstæður einstaklinga eru mjög flóknar. Fyrirtæki bera auknar skyldur samkvæmt þessu til að upplýsa notendur um til hvers upplýsingarnar eru ætlaðar, jafnvel án þess að einstaklingarnir leiti sérstaklega eftir því, og einstaklingar hafa rétt á afriti í almennt notuðu sniði af öllum persónuupplýsingum sem fyrirtæki eiga um þá. Þetta eru atriði sem kosta töluvert mikla vinnu að útfæra en er eitthvað sem fólk hefur af ýmsum ástæðum farið fram á í mörg ár. Hingað til hefur eini valkosturinn t.d. í tilfelli sumra félagsmiðla verið að senda póst og biðja um að fá sendan geisladisk með afriti af öllum persónuupplýsingunum.

Það er jákvætt að við brot gagnvart einstaklingi sé ekki aðeins miðað við mistök við meðhöndlun heldur þurfi fyrirtæki að sýna fram á það öllum stundum að meðhöndlunin sé lögum samkvæmt. Sönnunarbyrðin flyst yfir á aðilann sem fer með persónuupplýsingarnar, án þess að neitt sérstakt hafi komi fyrir eða annar aðili leiti réttar síns. Það er ekki lengur hægt að skýla sér á bak við einhvers konar ætlað samþykki til dreifingar eða fólgið samþykki, eins og er reyndar mjög oft gert í meðförum mála í nefndum Alþingis þar sem formenn segjast ganga út frá því að málið sé samþykkt og það ekki rætt nánar. Samkvæmt þessu á fólk skýlausan rétt á því að vita nákvæmlega hvað á að gera við upplýsingarnar, hvað það er að fara að samþykkja og samþykki verður að vera þeim fullkomlega ljóst.

En það eru gallar í GDPR. Þó svo að Píratar séu almennt sammála markmiðunum eru ákveðin vandamál. Það eru kannski fyrst og fremst ófyrirséðu áhrifin. Hv. þm. Gunnar Bragi Sveinsson ræddi áðan um hættuna á því að þetta dragi úr nýsköpun, letji fólk til að bjóða upp á nýjar tegundir af þjónustu og þar fram eftir götunum. Þetta verður þungt fyrir rekstur margra fyrirtækja sem þarfnast mikillar aðlögunar, ekki síst í upplýsingaöryggi, sem er reyndar orðið löngu tímabært að sé bætt, en líka almennt gagnvart því hvernig við geymum gögn og hversu miklu af gögnum við erum að safna.

Út af fúski ríkisstjórnarinnar fá íslensk fyrirtæki almennt minni aðlögunartíma en fyrirtæki í Evrópu þar sem nákvæmar lagaútfærslur voru jafnvel tilbúnar heilu ári áður en allt saman tók gildi 25. maí sl. Útfærslan á Íslandi var fyrst að koma fram núna og þetta tekur hugsanlega gildi eftir tvo til þrjá mánuði, eftir því hvenær sameiginlega EES-nefndin lýkur störfum.

Jafnframt hafa komið kynningarpésar frá Persónuvernd, sem voru alveg frábærir, en þess utan hafa komið fram afskaplega takmörkuð skýringargögn frá sérfræðingum, stofnunum, ríkinu, um það hvernig aðlögun eigi að eiga sér stað hjá fyrirtækjum.

Síðan eru flóknari áhrif. Ég minntist á áðan í samtali við hv. þm. Loga Einarsson að bókasöfn, Costco, líkamsræktarstöðvar og álíka fyrirbæri, sem safna á einhvern hátt gögnum hálfsjálfvirkt í gegnum eðlilega notkun á kortum sínum og kerfum, falla innan gráa svæðisins sem ég nefndi áðan, í 1. mgr. 4. gr. frumvarpsins, þar sem talað er um sjálfvirka vinnslu að hluta eða í heild. Það skilur eftir mikið rými til túlkunar. Er það sjálfvirkt þegar skanni er notaður af einstaklingi til að fletta sjálfvirkt upp í upplýsingum um viðskiptavini í einhverri skrá, t.d. í verslun? Eða er það sjálfvirkt ef skanni er notaður til að bæta bók á útlánaskrá viðskiptavinar á bókasafni eða hvaðeina?

Svo eru það allar hinar skrárnar. Ein mikilvægasta skráin á netinu er skrá sem nánast enginn hefur heyrt um, en það eru DNS/WHOIS-kerfi. Þau eru mikilvæg undirstaða bæði gagnsæis og rakningarábyrgðar á netinu en ekki er ljóst hvort rekstur DNS-kerfa með opinberum upplýsingum um eigendur léna og IP-talnasviða sé í andstöðu við GDPR. Það er opin spurning. Annars vegar er hægt að segja að kaupendur léna eigi að vera meðvitaðir um að upplýsingar þeirra verði birtar í WHOIS-gagnagrunninum, en hins vegar má líka ganga út frá því að margir séu alfarið ómeðvitaðir um það, þar sem þeir vita jafnvel ekki að gagnagrunnurinn er yfir höfuð til, og ætlað samþykki af því tagi er með öllu bannað í GDPR.

Réttu viðbrögðin væru að leita staðfestingar hjá öllum en því fylgir ærinn kostnaður, ekki síst vegna þess að mörg netföng eru rangt skráð, ýmsar úreltar upplýsingar eru í grunninum.

Röng viðbrögð væru að loka á WHOIS-upplýsingar sem myndi valda gríðarlegum skaða, bæði gagnvart getu netsins til að skipuleggja sig og þegar kemur að sjálfreglun, en það myndi líka takmarka getu lögregluyfirvalda til að bregðast við hvers konar netglæpum.

Þetta er dæmi um risastórt grátt svæði sem þarfnast skýringar og þangað til við fáum svar við því hvernig það er nákvæmlega geta rekendur WHOIS-gagnagrunna, hvort sem það er ISNIC á Íslandi eða aðilar erlendis, átt von á himinháum sektargreiðslum.

Ég er að verða búinn með tímann minn en eins og ég hef sagt gæti ég fjallað um málið ansi lengi áður en ég yrði uppiskroppa með efni.

Grundvallaratriðið er þetta: Málið er risastórt. Það er ótrúlega mikið af flækjum í því hvernig það er útfært. Við höfum vitað af því árum saman að það væri í vændum og við fenguð aðeins að sjá frumvarpið í gærkvöldi. Þetta kemur til með að gera mörg viðskiptalíkön ólögleg. Það er hið besta mál í flestum tilfellum en ekki öllum. Við viljum auðvitað koma í veg fyrir að njósnað sé um fólk í hagnaðarskyni en við viljum ekki koma í veg fyrir eðlilega notkun á skráningu gagna sem eru nauðsynleg til þess að reka samfélagið eðlilega, og þá vísa ég kannski ekki síst í sveitarfélögin sem ansi margir hafa komið inn á.

Til þess að segja eitt jákvætt að lokum er afskaplega gott að það er áfram alveg opið fyrir notkun kennitalna í frumvarpinu. Það er hið besta mál. Því miður hef ég ekki náð að lesa frumvarpið í heild. Það er gríðarlega flókið. Ég vona að nefndin sem tekur málið til meðferðar muni (Forseti hringir.) fara mjög vandlega yfir það og ekki leyfa pressu vegna tímaskorts (Forseti hringir.) valda því að hún geri það ekki.