Drög að reglugerð ESB um vernd persónuupplýsinga

14.5.2013

Reykjavík, 8. maí 2013

Umsögn

um drög framkvæmdastjórnar ESB að reglugerð

um vernd persónuupplýsinga

og um frjálsa miðlun slíkra upplýsinga

Persónuvernd vísar til bréfs innanríkisráðuneytisins, dags. 23. október 2012, þar sem óskað er umsagnar hennar um drög framkvæmdastjórnar ESB að annars vegar almennri reglugerð um vernd persónuupplýsinga og frjálsa miðlun slíkra upplýsinga og hins vegar tilskipun um meðferð persónuupplýsinga í refsivörslukerfinu. Verði drögin samþykkt koma þau í stað persónuverndartilskipunarinnar nr. 95/46/EB og rammaákvörðunar um upplýsingavinnslu við refsivörslu nr. 2008/977/JHA. Umsagnarinnar var óskað fyrir 1. febrúar 2013, en með bréfi, dags. 3. janúar s.á., fór Persónuvernd fram á viðbótarfrest til 1. apríl. Fallist var á þá beiðni með bréfi, dags. 11. febrúar. Nú er nokkuð um liðið frá því að viðbótarfresturinn rann út, en töf á á að veita umbeðna umsögn stafar af miklum önnum stofnunarinnar. Beðist er velvirðingar á þeirri töf.

Á fundi hinn 4. apríl sl. kom fram af hálfu ráðuneytisins að nægilegt væri að svo stöddu að veita umsögn um reglugerðardrögin. Afmarkast því athugasemdir Persónuverndar við þau. Þá er tekið mið af þeirri ósk, sem fram kemur í bréfi ráðuneytisins, dags. 23. október 2012, að sérstaklega verði metin áhrif reglna í umræddum drögum á íslenskar persónuverndarreglur, hvort líklegt sé að þær feli í sér aukinn kostnað á hendur stjórnvöldum og hvort í reglunum sé að finna ákvæði sem vekja þurfi sérstaka athygli á með vísan til íslenskra hagsmuna og stjórnskipunar.

I.
Almennt
Umrædd reglugerðardrög fela m.a. í sér viðbrögð við þeirri miklu tækniþróun sem orðið hefur frá gildistöku tilskipunar 95/46/EB, en síðan þá hefur Netið stóraukist að umfangi. Að baki drögunum býr það sjónarmið að þegar um ræðir vinnslu persónuupplýsinga, sem þar fer fram, sé örðugt að framfylgja reglum tilskipunarinnar og laga aðildarríkja settra á grundvelli hennar. Til þess að slíkt verði unnt gera drögin ráð fyrir mun rýmra landfræðilegu gildissviði en tilskipunin. Hún tekur til vinnslu persónuupplýsinga sem fram fer á vegum aðila með staðfestu í einhverju aðildarríkjanna. Samkvæmt reglugerðardrögunum fellur vinnsla hins vegar undir þau þegar hún hefur það að markmiði að bjóða einstaklingum í aðildarríkjunum vöru eða þjónustu óháð því hvar viðkomandi aðili hefur staðfestu. Hið sama á við ef vinnslunni er ætlað að fela í sér vöktun með hegðun einstaklinga í umræddum ríkjum.

Samkvæmt gildandi tilskipun ber þeim sem vinna með persónuupplýsingar almennt að tilkynna um vinnsluna til persónuverndarstofnunar í aðildarríki og eru tilkynningar birtar almenningi. Móttaka og birting tilkynningar felur ekki í sér staðfestingu á því að vinnsla persónuupplýsinga samrýmist lögum heldur þjóna tilkynningar fyrst og fremst því hlutverki að vera til upplýsingar, bæði fyrir almenning og eftirlitsaðila. Öðlist reglugerðardrögin gildi verður tilkynningarskyldan afnumin, enda var við samningu draganna byggt á því að tilkynningarnar hefðu ekki haft teljandi áhrif til að styrkja vernd persónuupplýsinga. Þar á ofan hefðu þær leitt til óþarfa skriffinsku og kostnaðar og því væri rétt að afnema þær. Í stað núverandi vinnslutilkynninga er hins vegar gert ráð fyrir að ábyrgðaraðilar að vinnslu persónuupplýsinga tilkynni persónuverndarstofnunum um það þegar alvarlegur öryggisbrestur verður.

Meðal annars þess sem fram kemur í reglugerðardrögunum er ákvæði um „réttinn til að gleymast“, en sá réttur myndi fela í sér að í ákveðnum tilvikum geti einstaklingar fengið upplýsingar um sig afmáðar af Netinu að því leyti sem unnt er fyrir tilstilli ábyrgðaraðila að vinnslu persónuupplýsinga. Þá er í drögunum m.a. að finna ákvæði um rétt einstaklings til að fá afrit af gögnum um sig í heilu lagi, sem varðveitt eru hjá tilteknum ábyrgðaraðila á grundvelli samþykkis eða samnings, svo að viðkomandi einstaklingur geti afhent þau öðrum ábyrgðaraðila, en gögnunum skal þá að meginreglu eytt hjá þeim sem upphaflega varðveitti þau.

Ein meginbreytingin, sem felast myndi í samþykkt reglugerðardraganna, er stóraukið samræmi í löggjöf milli einstakra aðildarríkja, þ.e. að í stað sérstakrar löggjafar í hverju aðildarríki, sem felur í sér útfærslu á tilskipun, fengju ríkin samræmda heildarlöggjöf. Samhliða þessu er ráðgert að stórauka samvinnu persónuverndarstofnana ríkjanna, auk þess sem ESB fengi tiltekið vald til að hlutast til um ákvarðanir þeirra.

Svonefndur 29.-gr.-vinnuhópur, þ.e. ráðgefandi vinnuhópur fulltrúa persónuverndarstofnana aðildarríkja sem starfar samkvæmt 29. gr. gildandi tilskipunar nr. 95/46/EB, hefur m.a. bent á að ákvæði reglugerðardraganna eru til þess fallin að auka álag á persónuverndarstofnanir. Á þetta er einnig bent í umsögnum einstakra persónuverndarstofnana, þ. á m. þeirrar dönsku og norsku. Eins og fram kemur í umsögnum kann einnig að vera illframkvæmanlegt að framfylgja ákvæðum á grundvelli reglugerðardraganna gagnvart aðilum með staðfestu utan aðildarríkja, sbr. það sem fyrr segir um afmörkun á landfræðilegu gildissviði. Þá hefur komið fram í umsögnum að forræði löggjafarvaldsins yfir málaflokknum yrði umtalsvert minna. Fleira mætti nefna, en um einstök atriði, þ. á m. framangreind, vísast nánar til athugasemda við einstök ákvæði hér á eftir.

II.
Athugasemdir við einstök ákvæði
1.
Landfræðilegt gildissvið
Í 3. gr. reglugerðardraganna er gert ráð fyrir að reglur á grundvelli þeirra gildi um aðila sem ekki hafa staðfestu á landsvæði aðildarríkja þegar vinnsla persónuupplýsinga á þeirra vegum hefur að markmiði að bjóða einstaklingum í aðildarríkjunum vöru eða þjónustu. Hið sama á við ef vinnslunni er ætlað að fela í sér vöktun með hegðun einstaklinga í umræddum ríkjum. Í svonefndri Albrecht-skýrslu frá 16. janúar 2013, þ.e. skýrslu nefndar í Evrópuþinginu, sem fjallað hefur um drögin, er lögð til viðbót þess efnis að framangreint sé óháð því hvort þjónusta sé veitt gegn greiðslu eða að kostnaðarlausu, sbr. 82. breytingatillögu. Þá er þar lagt til að skilyrðið um að vöktun lúti að hegðun verði afnumið þannig að hvers kyns vöktun á vegum aðila með staðfestu utan aðildarríkja falli undir evrópskar persónuverndarreglur.

Ætla má að einkum sé hér um að ræða aðila sem bjóða vöru eða þjónustu á Netinu eða halda úti heimasíðum sem með einhverjum hætti vakta þá sem þær sækja. Mjög algengt er að við skoðun á heimasíðum berist svonefndar kökur (e. cookies) í tölvur netnotenda sem senda þeim sem heldur úti heimasíðu tilteknar upplýsingar, t.d. um IP-tölu, en tilgangurinn með slíki upplýsingasöfnun getur t.d. verið sá að nota þær til markaðssetningar eða telja heimsóknir á heimasíðu. Þá geta kökur verið óhjákvæmilegar í ákveðnum tilvikum til að netnotandi geti framkvæmt tilteknar aðgerðir. Af þessu má sjá að ákvæðum á grundvelli umræddra reglugerðardraga er ætlað mjög víðtækt gildissvið utan landsvæðis aðildarríkja og að tillögur framangreindrar þingnefndar eru til þess fallnar að útvíkka það frekar.

Persónuvernd telur sérstaklega verða að huga að því hvort umrædd afmörkun á gildissviði sé raunhæf, þ.e. hvort unnt verði að framfylgja ákvæðum á grundvelli reglugerðardraganna gagnvart aðilum með staðfestu utan aðildarríkja. Það getur dregið úr trausti á vægi löggjafar um vernd persónuupplýsinga ef illmögulegt er að framfylgja henni og því þarf að meta framangreint vandlega. Þá skal tekið fram að hið víðtæka landfræðilega gildissvið, sem reglugerðardrögin gera ráð fyrir, er til þess fallið að auka álag á persónuverndarstofnanir, en það myndi kalla á aukin fjárframlög til persónuverndarmála.

2.
Skilgreining á viðkvæmum persónuupplýsingum
Í 9. gr. reglugerðardraganna er gert ráð fyrir að upplýsingar um refsidóma séu viðkvæmar, en upplýsingar um grun séu það hins vegar ekki. Þar er um að ræða þrengri skilgreiningu en samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. b-lið 8. tölul. 2. gr. laganna þar sem mælt er fyrir um að upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað séu viðkvæmar. Sú breytingatillaga er lögð til í Albrecht-skýrslunni að umræddu ákvæði draganna verði breytt þannig að upplýsingar um grun um refsiverða háttsemi verði viðkvæmar með sama hætti og upplýsingar um refsidóma. Persónuvernd telur það eðlilega nálgun, en að öðrum kosti teldust til dæmis margs kyns upplýsingar í málaskrá lögreglu ekki viðkvæmar. Afstaða Persónuverndar er því sú að styðja beri umrædda breytingatillögu í Albrecht-skýrslunni.

Umrætt ákvæði reglugerðardraganna gerir ráð fyrir því að upplýsingar um stéttarfélagsaðild séu viðkvæmar. Sams konar regla er í tilskipun 95/46/EB og lögum nr. 77/2000, en telja má að hún sé í nokkru ósamræmi við íslenska réttarhefð. Að sama skapi má líta að svo á að það samrýmist illa hérlendum viðhorfum að upplýsingar um félagsleg vandamál séu ekki skilgreindar sem viðkvæmar í drögunum, sbr. og einnig tilskipunina og lögin.

3.
Rétturinn til að gleymast
Í 17. reglugerðardraganna er fjallað um skyldu til að eyða upplýsingum, sem ekki er lengur málefnalegt að varðveita, og rétt til að gleymast. Ákvæði um eyðingu persónuupplýsinga hafa lengi verið í gildi í löggjöf um slíkar upplýsingar, en rétturinn til að gleymast hefur ekki verið orðaður í löggjöf fyrr. Þar er nánar tiltekið um að ræða réttinn til að upplýsingar á Netinu séu fjarlægðar þannig að þær verði ekki aðgengilegar lengur. Af tæknilegri uppbyggingu Netsins leiðir að slíkt getur verið erfiðleikum háð. Orðalag draganna tekur að nokkru leyti tillit til þess, sbr. 3. mgr. 17. gr. sem afmarkar réttinn til að gleymast svo að ábyrgðaraðili, sem gert hefur upplýsingar opinberar, geri allar viðeigandi ráðstafanir til að hlekkjum á Netinu og afritum verði eytt, þ.e. með því að senda þeim sem ábyrgð bera á viðkomandi hlekkjum eða afritum skilaboð um ósk hins skráða þar að lútandi, enda kosti slíkt ekki óhóflega fyrirhöfn. Í 147. breytingatillögu í Albrecht-skýrslunni er lagt til að framangreint eigi aðeins við þegar persónuupplýsingar hafa verið birtar án samþykkis. Persónuvernd telur ekki tilefni til athugasemda við þá afstöðu nefndarinnar, enda hafi hinn skráði verið lögráða þegar samþykki var veitt.

4.
Réttur til að fá afrit af gögnum
Í 18. gr. reglugerðardraganna er gert ráð fyrir rétti hins skráða til að fá afrit af öllum upplýsingum um sig, þegar vinnsla þeirra byggist á samþykki eða samningi, í því skyni að fá þær öðrum í hendur. Veita beri upplýsingarnar á aðgengilegu formi og skuli ábyrgðaraðilinn, sem hafði upplýsingarnar til varðveislu, eyða þeim nema aðrar heimildir en samþykki standi til varðveislu upplýsinganna. Persónuvernd telur að hér sé um réttarbót að ræða. Í Albrecht-skýrslunni er gert ráð fyrir að 18. gr. verði felld brot en efni hennar færist yfir í 15. gr. þar sem fjallað er um rétt hins skráða til vitneskju um vinnslu persónuupplýsinga um sig, sbr. 141., 142. og 154. breytingatillögu. Ekki er tilefni til athugasemda við þá nálgun sem slíka, en bent skal á að ef reglugerðardrögunum verður breytt í samræmi við tillögur nefndarinnar verður ekki lengur afdráttarlaust að hinn skráði eigi rétt á afriti af upplýsingum um sig. Í persónuupplýsingalöggjöf hefur aðeins verið mælt fyrir um rétt til að fá skriflega skýrslu um vinnslu persónuupplýsinga, en ekki hefur verið mælt skýrlega fyrir um rétt til afrita eins og gert er í reglugerðardrögunum.

5.
Innbyggð persónuvernd
Í 23. gr. reglugerðardraganna er m.a. mælt fyrir um skyldu til að gera viðeigandi ráðstafanir, þegar unnið er að undirbúningi að vinnslu persónuupplýsinga, til að vinnsluferlið tryggi nægilega vernd. Tilgangurinn með þessu ákvæði virðist vera sá að kerfi til vinnslu persónuupplýsinga verði ávallt hönnuð með það að markmiði að persónuupplýsingar verði nægilega verndaðar, þ.e. gætt sé að því að persónuvernd sé innbyggð í hönnun kerfa (e. privacy by design). Lögð hefur verið á það áhersla hjá 29.-gr.-vinnuhópnum að gætt sé að slíku við hönnun hugbúnaðar. Í Albrecht-skýrslunni, þ.e. 178. breytingatillögu, er lögð til viðbót þess efnis að framleiðendur beri þess háttar skyldu og telur Persónuvernd það fallið til að skýra orðalag ákvæðisins sem telja má fela í sér réttarbót.

6.
Undantekningar fyrir lítil fyrirtæki
Í ýmsum ákvæðum reglugerðardraganna, m.a. 25., 28. og 35. gr., 6. mgr. 12. gr. og 7. mgr. 14. gr., er gert ráð fyrir undantekningum frá reglum fyrir fyrirtæki með færri en 250 starfsmenn, t.d. reglum um að tilnefna skuli sérstakan persónuverndarfulltrúa og skjalfesta margvísleg atriði varðandi vinnslu persónuupplýsinga. Þegar um ræðir aðila, sem ekki hafa með höndum vinnslu sem telja má viðamikla, íþyngjandi eða líklega til að skaða einkalífshagsmuni að öðru leyti, telur Persónuvernd rök geta staðið til þess að vægari kröfur séu gerðar en ella. Fjöldi starfsmanna ætti hins vegar ekki að skipta höfuðmáli í því sambandi, enda er vel hugsanlegt að fyrirtæki, sem hefur mjög fáa starfsmenn, hafi með höndum vinnslu persónuupplýsinga sem lúta þurfi ströngum skilyrðum. Ef reglugerð á grundvelli draganna yrði þess efnis, sem hér um ræðir, er jafnvel hugsanlegt að sumir þeirra aðila, sem hafa með höndum hvað mesta vinnslu persónuupplýsinga hér á landi, t.d. þeir sem stunda erfðarannsóknir, verði undanþegnir mikilvægum ákvæðum. Persónuvernd telur því brýnt að breytingar verði gerðar á umræddu ákvæði. Fyrir liggur breytingatillaga frá Spáni, þess efnis að undantekningar gildi ekki þegar viðkomandi aðili hefur með höndum vinnslu sem getur falið í sér verulega ógn við grundvallarréttindi manna. Þá hefur Albrecht-nefndin lagt til að í stað þess að miðað verði við starfsmannafjölda verði miðað við fjölda hinna skráðu, þ.e. að undantekningar gildi ef þeir eru færri en 500. Persónuvernd telur spænsku breytingatillöguna ákjósanlegri, enda getur vinnsla persónuupplýsinga falið í sér viðamikla íhlutun í réttinn til friðhelgi einkalífs þó svo að hún lúti ekki að mörgum einstaklingum.

7.
Tilkynningar um brot
Í 31. og 32. gr. reglugerðardraganna er mælt fyrir um skyldu ábyrgðaraðila að vinnslu persónuupplýsinga til að tilkynna persónuverndarstofnun um það þegar upp kemur öryggisbrestur. Upphaflega var gert ráð fyrir að öryggisatvik skyldu tilkynnt óháð alvarleika þeirra, en nú er aðeins gert ráð fyrir að tilkynningarskyldan verði virk þegar um ræðir alvarlegan öryggisbrest. Þá var upphaflega gert ráð fyrir að senda skyldi tilkynningu innan 24 tíma, en nú er miðað við 72 tíma. Þess má og geta að í Albrecht-skýrslunni er lögð til viðbót við ákvæðið, þess efnis að umræddar tilkynningar skuli birtar í skrá aðgengilegri almenningi, sbr. niðurlag 198. breytingatillögu. Persónuvernd telur umrætt ákvæði geta falið í sér réttarbót. Þó þarf að huga að því að ef ákvæðið leggur þá skyldu á aðila að tilkynna um atvik sem leggja sök á þá sjálfa kann að vera brotið gegn 1. mgr. 6. gr. mannréttindasáttmála Evrópu, sbr. dóm mannréttindadómstólsins í máli Saunders gegn Bretlandi frá 17. desember 1996 (mál nr. 19187/91).

8.
Persónuverndarfulltrúar
Í 35.–37. gr. reglugerðardraganna er fjallað um persónuverndarfulltrúa sem ábyrgðaraðilar að vinnslu persónuupplýsinga tilnefni til að koma fram fyrir hönd þeirra gagnvart persónuverndarstofnun. Í Albrecht-skýrslunni eru lagðar til vissar breytingar á þessum ákvæðum, sbr. 223.–234. breytingatillögu, sem ekki er ástæða til að rekja hér. Umrætt fyrirkomulag kæmi – ásamt tilkynningum um öryggisatvik, sbr. 7. tölul. hér að framan – í stað þess fyrirkomulags sem fram að þessu hefur gilt að tilkynna skal um vinnslu persónuupplýsinga til persónuverndarstofnunar, en það felur í sér að viðkomandi stofnun er send tilkynning á þar til gerðu formi sem lýsir því hvernig staðið er að vinnslunni, hver tilgangur hennar sé, hver beri ábyrgð á henni o.s.frv. Ekki verður séð að það fyrirkomulag hafi í raun orðið til þess að auka virkni löggjafar um vinnslu persónuupplýsinga svo nokkru verulegu nemi. Með fyrirvara um það sem rakið er í 6. tölul. hér að framan telur Persónuvernd því ekki tilefni til sérstakra athugasemda við umrædd ákvæði að svo stöddu að öðru leyti en því að þau geta falið í sér réttarbót, en skipun umræddra fulltrúa getur orðið til þess að meðvitund um mikilvægi verndar persónuupplýsinga aukist hjá viðkomandi aðilum.

9.
Samvinna milli persónuverndarstofnana
Í 55. og 56. gr. reglugerðardraganna er fjallað um samvinnu milli persónuverndarstofnana. Í samráðsferlinu felst að ef persónuverndarstofnun fær til meðferðar mál, sem getur varðað einstaklinga í fleiru en einu aðildarríki, sendir hún stofnunum í öðrum ríkjum beiðni um samvinnu sem getur falið í sér að veittar séu upplýsingar um ákveðin atriði en einnig að gerðar séu úttektir og valdheimildum beitt. Þá er í Albrecht-skýrslunni gert ráð fyrir að ein tiltekin persónuverndarstofnun fái ávallt það hlutverk með formlegum hætti að leiða samvinnuferlið, sbr. 277. breytingatillögu, og geti m.a. lagt ágreining milli stofnana undir Evrópsku persónuverndarnefndina sem geti þá tekið ákvörðun í málinu, sbr. nánari umfjöllun um þá nefnd í 10. kafla hér á eftir. Fyrir liggur að sænska persónuverndarstofnunin telur, eftir könnun á málum sínum á árinu 2011, að um 1.500 mál [innan ESB og EES] gætu fallið undir samráðsferlið á ári hverju. Því má ætla að þetta ferli gæti aukið verulega álag á persónuverndarstofnanir og myndi því kalla á auknar fjárveitingar. Þá má benda á að það fyrirkomulag að erlend persónuverndarstofnun taki bráðabirgðaákvörðun, sem gildi hér á landi og ella félli undir Persónuvernd að taka, samrýmist að öllum líkindum ekki EES-samningnum. Hið sama ætti væntanlega við um bindandi ákvarðanir Evrópsku persónuverndarnefndarinnar. Að öðru leyti vísast til 10. kafla þar sem fjallað er um eftirlit nefndarinnar, sem og framkvæmdastjórnarinnar, með réttarframkvæmd í aðildarríkjunum, en 55. og 56. gr. verður að skoða í samhengi við ákvæði draganna þar að lútandi.

10.
Evrópska persónuverndarnefndin
og frestunarvald framkvæmdastjórnarinnar
Í 57.–62. gr. reglugerðardraganna er fjallað um eftirlit Evrópsku persónuverndarnefndarinnar (e. European Data Protection Board) með starfsemi persónuverndarstofnana í því skyni að tryggja samræmda og rétta framkvæmd, sem og valdsvið framkvæmdastjórnarinnar í því sambandi. Samkvæmt drögunum væri nefndin skipuð fulltrúum persónuverndarstofnana í aðildarríkjum, sbr. ákvæði um skipun hennar og starfshætti í 64.–72. gr. draganna, og kæmi hún þá í stað áðurnefnds 29.-gr.-vinnuhóps (e. Article 29 Working Party) sem samsettur er með sama hætti. Honum er ætlað að gegna ráðgjafarhlutverki fyrir stofnanir ESB og stuðla að samræmdri túlkun á tilskipuninni í aðildarríkjum með því að tjá sig um almenn álitaefni. Fyrirhugað er að Evrópska persónuverndarnefndin taki við þessu hlutverki af vinnuhópnum, en auk þess er gert ráð fyrir virkri aðkomu hennar að úrlausn einstakra mála sem á borð persónuverndarstofnana koma.

Er þá um að ræða mál sem heyra undir samráðsferlið sem lýst er í 9. kafla hér að framan, en einnig önnur mál, sbr. 60. gr. draganna þar sem gert er ráð fyrir að einstakar persónuverndarstofnanir og framkvæmdastjórnin geti óskað umfjöllunar nefndarinnar um hvaða mál sem er, auk þess sem nefndin geti tekið mál upp að eigin frumkvæði. Aðkoma nefndarinnar að einstökum málum fælist í að gefa út álit sem ekki væru lagalega bindandi, en við samningu draganna var hún ekki álitin ESB-stjórnvald sem fela mætti valdheimildir samkvæmt Lissabon-sáttmálanum. Hins vegar gerir 60. gr. draganna ráð fyrir að framkvæmdastjórnin geti frestað réttaráhrifum ákvarðana einstakra persónuverndarstofnana í allt að eitt ár ef ekki hefur verið farið að áliti nefndarinnar. Þess má geta að í Albrecht-skýrslunni er lagt til að vald framkvæmdastjórnarinnar færist til nefndarinnar sem að undangenginni tiltekinni málsmeðferð geti endurskoðað ákvarðanir persónuverndarstofnana, en að svo búnu megi bera mál undir Evrópudómstólinn (sjá m.a. breytingatillögur 289, 291 og 292).

Þær valdheimildir framkvæmdastjórnarinnar og nefndarinnar, sem hér hefur verið lýst, myndu væntanlega ekki samrýmast EES-samningnum. Það myndi hins vegar betur tryggja sjálfstæði persónuverndarstofnana ef hið formlega vald væri hjá nefndinni, enda yrði hún skipuð fulltrúum þeirra líkt og 29.-gr.-vinnuhópurinn nú. Í því sambandi skal nefnt að Persónuvernd hefur, eins og systurstofnanir hennar í öðrum EFTA-ríkjum, aðeins haft áheyrnaraðild að þeim vinnuhópi. Telur stofnunin mikilvægt, hvort sem umræddri nefnd verður falið vald til bindandi ákvarðana eður ei, að stofnunin hafi fulltrúa í henni með fullum réttindum og skyldum. Þá skal tekið að samfara umræddum valdheimildum gæti álag á persónuverndarstofnanir aukist vegna þeirra miklu samskipta sem eiga þyrfti við handhafa þeirra, en það myndi kalla á aukin fjárframlög Íslands til persónuverndarmála.

11.
Reglusetningarheimildir framkvæmdastjórnarinnar
og heimild til vinnslu á grundvelli hagsmunamats
Í mörgum ákvæðum reglugerðardraganna, alls 26 talsins, er gert ráð fyrir heimild framkvæmdastjórnarinnar til að setja frekari reglur um tiltekin atriði. Yrði þar um mikla breytingu að ræða frá tilskipun 95/46/EB sem aðeins hefur að geyma eina slíka heimild. Af hinum mörgu reglusetningarheimildum í drögunum leiðir að framkvæmdastjórnin gæti haft mikil áhrif á hvað fælist efnislega í ákvæðum settum á grundvelli draganna. Einkum á það við um heimild, sem gert er ráð fyrir í 5. mgr. 6. gr. draganna, til setningar reglna um hvenær vinnsla persónuupplýsinga telst heimil á grundvelli hagsmunamats samkvæmt f-lið 1. mgr. sömu greinar. Þar er nánar tiltekið um að ræða reglu þess efnis að vinnsla persónuupplýsinga sé heimil á grundvelli lögmætra hagsmuna sem vegi þyngra en grundvallarréttindi og frelsi hins skráða. Slík regla er einnig í tilskipun 95/46/EB og lögum nr. 77/2000, þ.e. 7. tölul. 1. mgr. 8. gr., en nánara inntak hennar hefur að miklu leyti verið ákveðið með stjórnsýslu- og réttarframkvæmd í einstökum aðildarríkjum. Ef framkvæmdastjórnin fær heimild til að ákveða inntak reglunnar verður að mörgu leyti óljóst – þegar og ef reglugerðardrögin öðlast gildi – hvert inntak hennar sé.

Þess má geta að í Albrecht-skýrslunni er gert ráð fyrir að þessi reglusetningarheimild falli brott, sbr. 104. breytingatillögu. Þess í stað er hins vegar lagt til að í reglugerðinni sjálfi verði fjallað mun ítarlegar um hvenær vinnsla sé heimil samkvæmt hagsmunamati, sbr. 99.–103. breytingatillögu. Af þessu tilefni vill Persónuvernd benda á að í drögunum er gert ráð fyrir að reglugerð á grundvelli þeirra hafi mjög víðtækt gildissvið, sbr. 1. og 4. mgr. draganna, en hinu sama gegnir um tilskipun 95/46/EB. Af þessu víðtæka gildissviði leiðir að vinnsla persónuupplýsinga félli undir ákvæði draganna þó svo að upplýsingarnar væru mjög almenns eðlis og vinnslan ekki til þess fallin að skaða hagsmuni hins skráða. Ljóst er að í mörgum tilvikum verður, í ljósi grundvallarreglunnar um friðhelgi einkalífs, að binda vinnslu persónuupplýsinga ströngum skilyrðum. Að sama skapi er hins vegar mikilvægt að löggjöf um vinnslu persónuupplýsinga sé sveigjanleg þannig að ýmis meðferð persónuupplýsinga, sem bæði er nauðsynleg og felur ekki í sér teljandi einkalífsáhættu, geti farið fram án óþarfra takmarkana. Ákvæði um heimild til vinnslu persónuupplýsinga á grundvelli hagsmunamats hefur hingað til skapað þennan sveigjanleika og Persónuvernd sér ekki nauðsyn á að þrengja þá heimild.

Auk framangreinds má geta þess að ólíkt tilskipun 95/46/EB og lögum nr. 77/2000 hefur umrætt ákvæði reglugerðardraganna gert ráð fyrir að einungis hagsmunir ábyrgðaraðila að vinnslu, þ.e. þess sem ákveður markmið og aðferðir við vinnslu, geti rennt undir hana stoðum. Fyrir liggur breytingatillaga á grundvelli athugasemda frá Tékklandi, Þýskalandi, Hollandi, Svíþjóð og Bretlandi, þess efnis að lögmætir hagsmunir þriðja aðila geti einnig skapað grundvöll fyrir vinnslu persónuupplýsinga, en í tilskipun 95/46/EB og lögum nr. 77/2000 er gert ráð fyrir að líta megi til slíkra hagsmuna. Í samræmi við framangreint styður Persónuvernd þessa breytingatillögu.

12.
Reglur um hvar má leggja fram kvörtun
og um málsóknir gegn systurstofnunum
Í 73. reglugerðardraganna er gert ráð fyrir að unnt sé að leggja fram kvörtun yfir meðferð persónuupplýsinga hjá persónuverndarstofnun í hverju aðildarríkjanna sem er, óháð því hvar vinnsla hefur farið fram. Þá er í 74. gr. gert ráð fyrir að skráður einstaklingur, sem ósáttur er við afgreiðslu persónuverndarstofnunar á máli sínu í öðru ríki en þar sem hann er búsettur, eigi rétt á að stofnunin í heimalandi hans höfði mál á hendur stofnuninni sem ákvörðunina tók. Í Albrecht-skýrslunni eru ekki gerðar tillögur að breytingum á þessum tilteknu reglum.

Hvað fyrrnefndu regluna varðar telur Persónuvernd eðlilegast að kvörtun sé send þeirri stofnun sem til þess er bær að taka ákvörðun í máli, en annars konar fyrirkomulag gæti m.a. leitt til misskilnings um hvaða aðili ber ábyrgð á málsmeðferð. Ef mál heyri ekki undir þá stofnun, sem kvartandi leiti til, hvíli hins vegar sú skylda á henni að leiðbeina honum um hvert hann eigi að beina erindi sínu. Hvað síðarnefndu regluna varðar telur Persónuvernd eðlilegast að hinn skráði fari hina venjubundnu leið til að höfða mál, þ.e. geri það í eigin nafni, enda verður ekki séð hvernig það getur talist eðlilegur þáttur í starfsemi persónuverndarstofnunar að hafa með höndum málarekstur gegn systurstofnun. Hins vegar skal tekið fram að Persónuvernd telur mikilvægt að skráðir einstaklingar hafi greið réttarúrræði séu þeir ósáttir við niðurstöðu eða málsmeðferð persónuverndarstofnunar, en heppilegt væri að finna annars konar leið til þess en að framan er lýst, t.d. setningu sérákvæða um dómsmeðferð. Þá skal tekið fram að umræddar reglur eru til þess fallnar að auka álag á persónuverndarstofnanir og gætu því kallað á aukin fjárframlög til þeirra.

13.
Reglur um hver geti lagt fram kvörtun
Í 73. gr. reglugerðardraganna er – auk þess sem fyrr er rakið, sbr. 12. kafla hér að framan – m.a. mælt fyrir um umboð aðila, sem hafa það hlutverk að gæta hagsmuna tiltekins hóps einstaklinga í tengslum við vinnslu persónuupplýsinga, að kvarta til persónuverndarstofnunar fyrir þeirra hönd yfir meðferð upplýsinga um þá. Í Albrecht-skýrslunni er lögð til breyting á þessu ákvæði, þess efnis að allir aðilar, sem komið hefur verið á fót til að gæta almannahagsmuna, geti kvartað til persónuverndarstofnunar, óháð því hvort þeir sjálfir hafi það hlutverk að gæta hagsmuna viðkomandi einstaklinga, sbr. 310. breytingatillögu. Persónuvernd telur umrætt ákvæði draganna fela í sér réttarbót og að jafnvel mætti rýmka orðalag þess þannig að nóg sé að viðkomandi aðili hafi það með höndum að gæta hagsmuna viðkomandi hóps almennt, en ætla má að í t.d. samþykktum stéttarfélaga sé það sjaldnast sérgreint sérstaklega í ákvæðum, sem mæla fyrir um almenna hagsmunagæslu fyrir hönd félagsmanna, að hún nái til þess þegar unnið er með persónuupplýsingar um þá. Hins vegar telur stofnunin engu að síður að breytingatillaga Albrecht-skýrslunnar gangi of langt, enda felur hún í sér að aðilar, sem ekki hafa neins konar umboð frá skráðum einstaklingum, geti fengið verkstjórnarvald yfir persónuverndarstofnunum, þ.e. með því að leggja fyrir þær að taka tiltekin mál til meðferðar þó svo að viðkomandi aðilum sé ekki ætlað að gæta neinna hagsmuna í því sambandi. Ljóst er að slíkt gæti aukið álag á persónuverndarstofnanir og því kallað á aukin fjárframlög til þeirra.

14.
Sjálfstæði persónuverndarstofnana
Í 47. gr. reglugerðardraganna er fjallað um sjálfstæði persónuverndarstofnana gagnvart utanaðkomandi, en einnig er lögð rík áhersla á slíkt sjálfstæði í tilskipun 95/46/EB. Eins og greinir í 10. kafla hér að framan gera drögin hins vegar ráð fyrir að framkvæmdastjórnin geti frestað réttaráhrifum ákvarðana persónuverndarstofnana í aðildarríkjum. Slíkt fyrirkomulag samrýmist ekki kröfunni um sjálfstæði eins og fyrr er rakið og leggst Persónuvernd því gegn því að framkvæmdastjórnin fái umrætt vald. Tekið skal hins vegar fram að tillögur reglugerðardraganna eru að öðru leyti til þess fallnar að styrkja sjálfstæði persónuverndarstofnana, sbr. m.a. 7. mgr. 47. gr. draganna um fjármál slíkra stofnana. Í Albrecht-skýrslunni er lögð til viðbót við 47. gr., þess efnis að eftirlit með fjárreiðum persónuverndarstofnana heyri undir viðkomandi þjóðþing. Persónuvernd styður þá viðbót.

15.
Vald til að leggja á sektir
Í 79. gr. reglugerðardraganna er gert ráð fyrir að persónuverndarstofnanir fái vald til að leggja á sektir þegar brotið hefur verið gegn persónuupplýsingalöggjöf. Í Albrecht-skýrslunni eru lagðar til vissar breytingar á þessu ákvæði, sbr. 318.–323. breytingatillögu, sem ekki er ástæða til að rekja hér. Persónuvernd telur ákvæðið til þess fallið að efla eftirlit með framkvæmd slíkrar löggjafar, en jafnframt telur stofnunin að með setningu sektarheimilda verði nauðsynlegt að auka fjárframlög til persónuverndarmála og gera viðeigandi breytingar á stjórnsýslu. Í því felst að ákvarðanir persónuverndarstofnana verði kæranlegar til annars stjórnsýslustigs með svipuðum hætti og ákvarðanir Samkeppniseftirlitsins eru kæranlegar til áfrýjunarnefndar samkeppnismála. Raunar má halda því fram að óháð þessu sé þörf á kærustigi með sama hætti og almennt er í stjórnsýslu, en samhliða því skal tekið fram að gera yrði sömu kröfur til sjálfstæðis stjórnvalds á kærustigi og til persónuverndarstofnunarinnar sjálfrar. Í þessum efnum mætti líta til þeirrar leiðar sem farin hefur verið í Noregi, en ákvarðanir, sem þarlend persónuverndarstofnun tekur, þ.e. Datatilsynet, eru kæranlegar til sérstakrar nefndar, þ.e. Personvernnemda. Ljóst er að samhliða því að komið væri á fót kærunefnd yrði að auka fjárframlög til persónuverndarmála.

16.
Vísindarannsóknir
Í ýmsum ákvæðum reglugerðardraganna er fjallað um heimildir til vinnslu persónuupplýsinga í þágu vísindarannsókna, sbr. m.a. b-lið 5. gr. og i-lið 2. mgr. 9. gr. Albrecht-skýrslan hefur að geyma breytingatillögur sem gera strangar kröfur til þess að vinnsla viðkvæmra persónuupplýsinga í þágu vísindarannsókna byggist á samþykki (sjá einkum 27., 227., 238., 334., 336. og 337. breytingatillögu). Þessar tillögur hafa sætt gagnrýni frá aðilum sem telja þær þrengja um of svigrúm til rannsóknarstarfs. Þar sem á Íslandi fara fram mjög víðtækar vísindarannsóknir á heilbrigðissviði má telja að þetta sé atriði sem íslensk stjórnvöld kynnu að vilja móta afstöðu til.

III.
Samantekt
Eins og sjá má af umfjölluninni hér að framan myndu ákvæði umræddra reglugerðardraga framkvæmdastjórnar ESB hafa mikil áhrif á réttarumhverfið hérlendis á sviði persónuverndarverndarmála. Þá eru ákvæði draganna til þess fallin að leggja aukin kostnað á hendur Íslandi vegna þess málaflokks. Kemur þar til stóraukið álag vegna hins víðtæka landfræðilega gildissviðs sem gert er ráð fyrir í ákvæðum draganna, þeirrar miklu samvinnu á milli persónuverndarstofnana einstakra ríkja sem drögin gera ráð fyrir og mikilla samskipta sem eiga þyrfti við Evrópsku persónuverndarnefndina og framkvæmdastjórn ESB, sem og nauðsynlegar breytingar sem gera yrði á stjórnsýslu vegna sektarheimilda, sbr. 1., 9., 10. og 15. lið II. kafla hér að framan. Þau atriði, sem fjallað er um í 12. og 13. lið, gætu einnig haft aukinn kostnað í för með sér eins og fram hefur komið. Þegar á allt þetta er litið gæti gildistaka reglugerðar á grundvelli draganna kallað á grundvallarbreytingar eða í raun endurmat á rekstri Persónuverndar.

Telja má að ýmis ákvæði reglugerðardraganna, sem og tillögur að breytingum á þeim, séu þess eðlis að íslensk stjórnvöld kynnu að vilja móta sérstaka afstöðu til þeirra með vísan til íslenskra hagsmuna og stjórnskipunar. Í því sambandi mætti skoða sérstaklega hvort unnt væri að framfylgja ákvæðum draganna gagnvart aðilum með staðfestu utan landsvæðis aðildarríkja, sbr. 1. tölul. II. kafla hér að framan. Þá má telja tilefni til athugasemda við tillögur þess efnis að fyrirtæki séu undanþegin ýmsum kröfum þar sem fjöldi starfsmanna eða skráðra einstaklinga sé undir ákveðnu marki, sbr. 6. lið. Auk þess leikur vafi á hvort þær valdheimildir, sem gert er ráð fyrir að erlendir aðilar hafi í íslenskri lögsögu, samrýmist EES-samningnum, sbr. umfjöllun í 9. og 10. lið. Þær tillögur að breytingum á reglugerðardrögunum, sem raktar eru í 16. lið og eru til þess fallnar að þrengja heimildir til vinnslu persónuupplýsinga í vísindarannsóknum, eru einnig þess eðlis að íslensk stjórnvöld kynnu að vilja skoða þær sérstaklega. Sama máli gegnir um þau atriði sem rakin eru í 7. og 14. lið, sem og fyrrgreind ákvæði um hina miklu samvinnu milli persónuverndarstofnana einstakra ríkja.

Að öðru leyti gerir Persónuvernd ekki athugasemdir við reglugerðardrögin að svo komnu máli, en tekið skal fram að til þeirra kann að koma síðar.