Umsögn Persónuverndar um áform um setningu laga um högun í upplýsingatækni í rekstri ríkisins
Mál nr. 2023081297
Efni: Umsögn Persónuverndar um áform um setningu laga um högun í upplýsingatækni í rekstri ríkisins
1.
Persónuvernd vísar til áforma fjármála- og efnahagsráðuneytisins um setningu laga um högun í upplýsingatækni í rekstri ríkisins (mál nr. 148/2023), sem voru birt í samráðsgátt stjórnvalda 2. ágúst 2023.
Af umræddum áformum og frummati ráðuneytisins á áhrifum lagasetningarinnar má leiða að markmið hinnar fyrirhuguðu lagasetningar sé annars vegar að skilgreina og lögfesta ábyrgð fjármála- og efnahagsráðuneytisins á stefnumótun í upplýsingatæknimálum ríkisins og hins vegar að marka ramma um fyrirkomulag og tæknileg viðmið sem ríkisaðilum ber að styðjast við í rekstri upplýsingatækni.
Persónuvernd gerir eftirfarandi athugasemdir við umrædd áform um lagasetningu, en ekki er um tæmandi talningu að ræða.
2.
Staða
ábyrgðaraðila
Í áformunum kemur fram að til standi að skilgreina í lögum ábyrgð fjármála- og efnahagsráðuneytisins á málaflokknum og að kveðið verði á um heimild ráðuneytisins til að mæla fyrir um samræmd viðmið í upplýsingatækni sem ráðuneytum og stofnunum beri að fara eftir. Einnig kemur fram í áformunum að lagt sé til að með fyrirhugaðri lagasetningu muni stefnumótunarhlutverk færist frá stofnunum og ráðuneytum til fjármála- og efnahagsráðuneytisins.
Í tengslum við umrætt vill Persónuvernd árétta að í 6. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga er hugtakið ábyrgðaraðili skilgreint á þann veg að ábyrgðaraðili sé einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga. Samhljóða skilgreiningu er að finna í 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
Í umræddum áformum kemur fram að ætlunin með fyrirhugaðri lagasetningu sé ekki sú að færa ábyrgð á öllum rekstri upplýsingatæknikerfa í hendur eins aðila heldur standi til að fjármála- og efnahagsráðuneytinu verði veitt heimild til að mæla fyrir um samræmd viðmið um upplýsingatæknimál sem ráðuneytum og stofnunum beri að fara eftir. Persónuvernd bendir á að það er á forræði ábyrgðaraðila að bera ábyrgð á þeirri upplýsingatækni sem notuð er við vinnslu persónuupplýsinga á þeirra ábyrgð, m.a. með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar og þeirri áhættu sem vinnslan hefur í för með sér fyrir skráða einstaklinga. Jafnframt áréttar Persónuvernd mikilvægi þess að ábyrgðaraðili fari með raunverulegt ákvörðunarvald um vinnslu persónuupplýsinga, þeim aðferðum sem notaðar eru við vinnsluna, þ. á m. þeim búnaði og þeirri upplýsingatækni er notuð til umræddrar vinnslu. Stofnunin telur því brýnt að ítreka nauðsyn þess að gætt sé að sjálfstæði ábyrgðaraðila hvað framangreint varðar í tengslum við hina fyrirhuguðu lagasetningu.
3.
Öryggi
persónuupplýsinga
Í 1. mgr. 27. gr. laga nr. 90/2018 segir að ábyrgðaraðila og eftir atvikum vinnsluaðila beri að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Í 24. gr. sömu laga er fjallað um innbyggða og sjálfgefna persónuvernd sem tekur til þeirra ráðstafana sem eru innbyggðar í hugbúnað, hannaðar til að fylgja meginreglum persónuverndar og að sjálfgefið sé að eingöngu nauðsynlegar upplýsingar séu unnar.
Persónuvernd áréttar að ávallt þarf að gæta að því að öryggi persónuupplýsinga sé tryggt með fullnægjandi hætti í samræmi við kröfur laga nr. 90/2018 og reglugerðar (ESB) 2016/679, þegar nýta á upplýsingatækni við vinnslu persónuupplýsinga.
__________________
Persónuvernd áskilur sér rétt til að koma á framfæri frekari athugasemdum við frumvarpsdrög og þinglega meðferð málsins ef stofnunin telur þörf á. Verði frekari umsagnar óskað um einstök atriði verður hún fúslega veitt og er stofnunin reiðubúin að koma frekar að gerð frumvarpsins verði þess óskað.
F.h. Persónuverndar,
Steinunn Birna Magnúsdóttir Ína Bzowska Grétarsdóttir