Umsögn Persónuverndar um frumvarp til laga um stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda
Mál nr. 2021030782
Efni: Umsögn Persónuverndar um frumvarp til laga um stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda, 625. mál
Persónuvernd vísar til beiðni efnahags- og viðskiptanefndar Alþingis frá 30. mars 2021, þar sem óskað er umsagnar stofnunarinnar um frumvarp til laga um stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda (þskj. 1082 - mál nr. 625 á 151. löggjafarþingi).
Með frumvarpinu er lagt til að starfrækt verði stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda. Þar verði opinberum aðilum gert skylt að birta gögn sem verða til við meðferð máls hjá stjórnvöldum. Allir einstaklingar sem fái útgefna kennitölu samkvæmt lögum um skráningu einstaklinga og allir lögaðilar sem skráðir eru í fyrirtækjaskrá á hverjum tíma samkvæmt lögum um fyrirtækjaskrá, hafi aðgang að eigin stafrænu pósthólfi. Þá er er gert ráð fyrir í frumvarpinu að birtingaraðili beri ábyrgð á þeim gögnum sem hann birtir í pósthólfi viðtakanda.
Líkt og segir í greinargerð er starfræksla stafræns pósthólfs liður í að ná markmiði stefnuyfirlýsingar ríkisstjórnarinnar frá 30. nóvember 2017 um að opinber þjónusta verði að mestu leyti stafræn og að miðlæg þjónustugátt verði meginleið samskipta á milli hins opinbera (ríkis og sveitarfélaga), almennings og fyrirtækja. Markmið lagasetningarinnar er að stuðla að skilvirkri opinberri þjónustu, auka gagnsæi, réttaröryggi, hagræði og hagkvæmni hins opinbera, auk þess að styðja við frekari framþróun á stafrænni þjónustu fyrir almenning. Gögnum birtum í stafrænu pósthólfi verður ætlað að hafa sömu réttaráhrif og gögn sem berast með bréfapósti eða öðrum hætti og er frumvarpinu ætlað að eyða öllum vafa um réttaráhrif birtingar gagna í pósthólfinu.
Um vinnslu persónuupplýsinga er kveðið á í 8. gr. frumvarpsins þar sem segir að meðferð og vinnsla persónuupplýsinga sem fylgir starfrækslu pósthólfsins skuli hverju sinni uppfylla skilyrði laga um persónuvernd og vinnslu persónuupplýsinga. Að öðru leyti er ekki fjallað um hvernig tryggja skuli vernd persónuupplýsinga í frumvarpinu.
Persónuvernd hefur farið yfir efni frumvarpsins og telur að við gerð þess hafi ekki verið hugað nægjanlega að vernd persónuupplýsinga og telur að verulegra breytinga sé þörf:
1.
Ábyrgðar- og vinnsluaðilar
Í 2. gr. frumvarpsins er meðal annars fjallað um að ráðherra beri ábyrgð á að starfrækja stafrænt pósthólf en í 4. gr. frumvarpsins kemur fram að birtingaraðili beri ábyrgð á þeim gögnum sem hann birtir í stafrænu pósthólfi. Í kafla 3 í greinargerð með frumvarpinu kemur jafnframt fram að stafræna pósthólfinu sé ekki ætlað að breyta núverandi fyrirkomulagi um að eigandi upprunalegu gagnanna beri áfram ábyrgð á vörslu þeirra. Þá kemur einnig fram að gerðir verði vinnslusamningar við birtingaraðila. Ekki kemur fram í frumvarpinu eða í greinargerð með því hver geri umrædda vinnslusamninga við birtingaraðila.
Þá segir í 6. gr. frumvarpsins að ráðherra skuli með reglugerð ákveða hvaða öðrum aðilum en opinberum aðilum verði heimilt að birta gögn í stafrænu pósthólfi og hvaða skilyrði þeir þurfa að uppfylla.
Persónuvernd áréttar að samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga telst ábyrgðaraðili sá einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, en vinnsluaðili er sá einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila og þá samkvæmt fyrirmælum hans.
Í ljósi framangreindrar ábyrgðar birtingaraðila má ætla að birtingaraðili teljist ábyrgðaraðili vinnslunnar en rekstraraðili hins stafræna pósthólfs vinnsluaðili að vinnslu persónuupplýsinga í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Með vísan til framangreinds telur Persónuvernd nauðsynlegt að í frumvarpinu komi fram með skýrum hætti hvert sé hlutverk annars vegar birtingar- og hins vegar rekstraraðila pósthólfsins, þ.e. hvor aðila teljist ábyrgðaraðili og hvor vinnsluaðili vinnslunnar í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Einnig leggur Persónuvernd til að mælt verði fyrir í frumvarpinu hvaða stjórnvaldi eða opinberum aðila verði falið að reka hið stafræna pósthólf.
Persónuvernd leggur því til að við 2. gr. frumvarpsins verði bætt við eftirfarandi málsgrein:
„Birtingaraðili telst ábyrgðaraðili að birtingu persónuupplýsinga á hans vegum í stafrænu pósthólfi. Rekstraraðili stafræns pósthólfs telst vinnsluaðili sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.“
Þá telur Persónuvernd að löggjafinn þurfi að taka skýrari afstöðu í 6. gr. frumvarpsins til þess hvaða einkaaðilum verði heimilt að birta gögn í hinu stafræna pósthólfi.
2.
Heimildir til vinnslu persónuupplýsinga
Í 1. gr. frumvarpsins er markmiði með stafrænu pósthólfi lýst. Þá er í kafla 2 í greinargerð með frumvarpinu sem ber yfirskriftina „Tilefni og nauðsyn lagasetningar“ fjallað um aðdraganda lagasetningarinnar.
Í 3. tölul. 9. gr., sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, segir að heimilt sé að vinna með persónuupplýsingar ef vinnslan er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Þá er jafnframt heimilt að vinna með persónuupplýsingar ef vinnslan er nauðsynleg vegna verks sem er unnið í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. 9. gr. laga nr. 90/2018 og e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Í 3. mgr. 6. gr. reglugerðar (ESB) 2016/679 segir að þegar vinnsla fari fram á grundvelli framangreindra heimilda skuli mæla fyrir um grundvöll vinnslunnar með lögum þar sem m.a. er kveðið á um tilgang vinnslunnar. Einnig segir að í lögunum skuli m.a. tilgreina almenn skilyrði varðandi lögmæta vinnslu ábyrgðaraðilans, tegund gagna sem vinnslan varðar, hlutaðeigandi skráða einstaklinga og varðveislutímabil o.fl.
Í því samhengi er bent á að sem endranær gildir það viðmið að eftir því sem vinnslan hefur í för með sér meiri íhlutun í einkalíf hinna skráðu, þeim mun ótvíræðara verður slíkt lagaákvæði að vera, sbr. t.d. athugasemdir við 2. tölul. 11. gr. í frumvarpi því sem varð að lögum nr. 90/2018.
Persónuvernd telur því mikilvægt að í frumvarpinu sé mælt fyrir um þær tegundir vinnsluaðgerða sem birtingaraðilum, eins og þeir eru skilgreindir í 6. gr. frumvarpsins, er heimilt að framkvæma. Sé einungis um að ræða birtingu gagna án frekari vinnslu, skuli það tilgreint í lögunum ásamt verklagi við vinnsluna þ.m.t. ráðstöfunum til að tryggja að vinnsla fari fram á lögmætan og sanngjarnan hátt, s.s. ráðstafanir varðandi aðrar sérstakar vinnsluaðstæður eins og kveðið er á um í IX. kafla reglugerðar (ESB) 2016/679. Eftir atvikum væri hægt að mæla fyrir um skyldu ráðherra til setningar reglugerðar þar sem nánar er mælt fyrir um framangreint.
Með vísan til framangreinds er það mat Persónuverndar að fyrrgreind skilyrði reglugerðar (ESB) 2016/679 verði tæplega talin uppfyllt nema fyrir liggi skýr lagaheimild þar sem mælt sé fyrir um grundvöll vinnslunnar, tilgangur hennar afmarkaður og að mat á nauðsyn fyrir vinnslu persónuupplýsinga til að ná yfirlýstu markmiði hafi farið fram.
Persónuvernd leggur því til að bætt verði við nýju ákvæði við frumvarpið þar sem fjallað er nánar um grundvöll vinnslunnar og tilgangur vinnslunnar afmarkaður með því að tilgreina nánar þær vinnsluaðgerðir sem birtingaraðilum eru heimilar. Eftir atvikum telur Persónuvernd að hægt sé að mæla fyrir um að ráðherra skuli setja reglugerð sem innihaldi framangreind atriði.
Þá áréttar Persónuvernd mikilvægi þess að framkvæmt verði mat á nauðsyn fyrirhugaðrar vinnslu persónuupplýsinga í tengslum við stafrænt pósthólf.
Nánari umfjöllun um mat á nauðsyn er að finna í lið 6 hér að neðan.
3.
Birting og/eða varðveisla gagna
Í frumvarpinu er ekki fjallað sérstaklega um varðveislu gagna í stafrænu pósthólfi. Persónuvernd telur nauðsynlegt að skýrt komi fram í frumvarpinu hvort að gögn í stafrænu pósthólfi verði vistuð eða eingöngu birt þar.
Persónuvernd leggur því til að við 2. gr. frumvarpsins verði bætt við eftirfarandi málsgrein ef við á:
„Með starfrækslu stafræns pósthólfs eru gögn gerð aðgengileg með birtingu þeirra í pósthólfinu en vistun þeirra er áfram hjá birtingaraðila.“
Fari vistun gagna hins vegar fram í stafrænu pósthólfi telur Persónuvernd nauðsynlegt að mælt verði fyrir í frumvarpinu hvar heimilt verði að varðveita þau og hver sé ábyrgðaraðili pósthólfsins. Þá þarf einnig að taka afstöðu til þess hvort eingöngu verði heimilt að varðveita þau innanlands eða hvort einnig verði heimilt að varðveita þau erlendis og þá hvaða skilyrði gagnavarslan þurfi að uppfylla. Í því sambandi vekur Persónuvernd athygli á að samkvæmt V. kafla reglugerðar (ESB) 2016/679 skal flutningur persónuupplýsinga innan EES svæðisins vera frjáls og án hindrana. Ef flytja á gögn út fyrir EES, gilda um slíkt strangar reglur samkvæmt framangreindum kafla reglugerðarinnar.
4.
Aðgangur að pósthólfi – varðveislutími gagna
Í 3. gr. frumvarpsins er fjallað um aðgang að hinu stafræna pósthólfi.
Ekki er í frumvarpinu mælt fyrir um hve lengi einstaklingar hafi aðgang að gögnum sínum í hinu stafræna pósthólfi. Þá er ekki mælt fyrir um hver sé varðveislutími gagnanna, fari varðveisla þeirra fram í hinu stafræna pósthólfi og hvað verði um þau að honum liðnum. Enn fremur er ekki mælt fyrir um hvað verði um gögn látinna einstaklinga í stafrænu pósthólfi og hverjir kunni að hafa að þeim aðgang.
Persónuvernd telur mikilvægt að hugað verði að strangri aðgangsstýringu hins stafræna pósthólfs meðal annars með afmörkun aðgangsheimilda þriðja aðila og aðgerðaskráningu.
Í ljósi framangreinds er lagt til að við 3. gr. frumvarpsins verði bætt málsgrein um hve lengi einstaklingur hafi aðgang að eigin gögnum í hinu stafræna pósthólfi.
Fari varðveisla gagna fram í stafrænu pósthólfi þá leggur Persónuvernd til að við 3. gr. frumvarpsins verði bætt við ákvæðum um varðveislutíma birtra gagna í stafrænu pósthólfi og hvað verði um þau að þeim tíma liðnum.
Loks er lagt til að við 3. gr. frumvarpsins verði bætt málsgrein um hvað verði um gögn látinna einstaklinga í hinu stafræna pósthólfi, aðgang þriðja aðila að gögnum látinna einstaklinga, hvert umfang slíkrar aðgangsheimildar verði og gildistími hennar, eftir því sem við á.
5.
Flokkar persónuupplýsinga
Í 4. gr. frumvarpsins segir að í stafrænu pósthólfi skuli birta hvers konar gögn, jafnt rituð sem í öðru formi, sem verði til við meðferð máls hjá stjórnvöldum, svo sem tilkynningar, ákvarðanir, úrskurði, ákvaðir og aðrar yfirlýsingar. Í greinargerð með frumvarpinu segir að gert sé ráð fyrir vinnslu persónuupplýsinga, þar á meðal vinnslu ákveðinna viðkvæmra persónuupplýsinga, í þágu þeirra verkefna sem frumvarpið mælir fyrir um.
Í ljósi þess að heimildir til vinnslu almennra persónuupplýsinga og viðkvæmra persónuupplýsinga einstaklinga byggja á ólíkum lagaheimildum og vinnsla viðkvæmra persónuupplýsinga útheimtir að gera þurfi ítarlegri öryggisráðstafanir telur Persónuvernd að betur fari að mælt sé fyrir í frumvarpinu sjálfu um heimildir stjórnvalda til að birta viðkvæmar persónuupplýsingar einstaklinga í hinu stafrænu pósthólfi.
Lagt er til að við 4. gr. frumvarpsins bætist við málsgrein þar sem segir:
„Birtingaraðilum er heimilt að birta í stafrænu pósthólfi bæði almennar og viðkvæmar persónuupplýsingar einstaklinga eins og þær eru skilgreindar í lögum um persónuvernd og vinnslu persónuupplýsinga.“
6.
Mat á áhrifum á persónuvernd
Loks bendir Persónuvernd á að ef líklegt er að tiltekin tegund vinnslu persónuupplýsinga geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst samkvæmt nánari fyrirmælum 35. gr. reglugerðar (ESB) 2016/679. Þá segir í 10. mgr. 35. gr. reglugerðarinnar m.a. að ef mat á áhrifum á persónuvernd hefur þegar farið fram, sem hluti af almennu áhrifamati í tengslum við samþykkt laga, sé ekki nauðsynlegt að láta slíkt mat fara fram áður en vinnslustarfsemi hefst.
Persónuvernd bendir einnig á að samkvæmt 4. og 5. tölul. 2. gr. auglýsingar nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast þess að framkvæmt sé mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga, þá er nauðsynlegt að framkvæma slíka mat þegar gagnavinnsla er umfangsmikil, þegar unnið er með viðkvæmar persónuupplýsingar eða aðrar persónuupplýsingar viðkvæms eðlis og einnig þar sem beitt er nýrri tækni eða skipulagslausnum eða eldri tækni er beitt á nýjan hátt.
Af ákvæðum frumvarpsins er ljóst að gagnasöfnun um einstaklinga gæti orðið mjög víðtæk og umfangsmikil þar sem upplýsingar um alla einstaklinga sem eru með íslenska kennitölu, verða varðveittar eða gerðar aðgengilegar á einum stað í einstaklingsbundnum pósthólfum. Þá standa líkur til að notast verði við nýja tækni eða skipulagslausnir eða að eldri tækni verði beitt á nýjan hátt. Mat á áhrifum á persónuvernd (MÁP) er tól til að meta og lágmarka áhættu fyrir persónuvernd einstaklinga við framkvæmd nýrra verkefna. Matið er hluti af skyldum fyrirtækja og stofnana og mikilvægur hluti af „innbyggðri og sjálfgefinni persónuvernd“ sem er eitt af grundvallaratriðunum í löggjöfinni um persónuvernd og vinnslu persónuupplýsinga.
Hvorki í frumvarpinu né í greinargerð með því er gert ráð fyrir mati á áhrifum á persónuvernd við þessa fyrirhuguðu og umfangsmiklu vinnslu persónuupplýsinga á vegum stjórnvalda. Persónuvernd gerir alvarlegar athugasemdir við að ekki hafi verið hugað að framangreindu við undirbúning frumvarpsins.
Að mati Persónuverndar er hér til staðar skýr skylda til að framkvæma mat á áhrifum á persónuvernd. Ákjósanlegt væri að það mat væri framkvæmt við undirbúning lagasetningar, til að tryggja að vinnsla persónuupplýsinga fullnægi lögum nr. 90/2018 og reglugerð (ESB) 2016/679. Þá ætti að tilgreina forsendur matsins og niðurstöður þess í greinargerð með frumvarpinu. Það hefur ekki verið gert og leggur Persónuvernd því til að mat á áhrifum á persónuvernd fari fram áður en vinnsla persónuupplýsinga með notkun stafræns pósthólfs hefst. Þá er áréttað mikilvægi þess að hugað verði að innbyggðri og sjálfgefinni persónuvernd á öllum stigum þróunar hugbúnaðar og/eða annarra tæknilausna er byggt verður á, við gerð og starfrækslu hins stafræna pósthólfs.
7.
Samantekt
Persónuvernd gerir sem fyrr segir athugasemdir við það að við gerð frumvarpsins hafi ekki verið hugað nægjanlega að vernd persónuupplýsinga. Stofnunin telur því að verulegra breytinga sé þörf á frumvarpinu áður en það verður samþykkt sem lög frá Alþingi. Samandregnar athugasemdir Persónuverndar eru eftirfarandi:
1. Að í 2. gr. frumvarpsins verði bætt við eftirfarandi málsgrein: „Birtingaraðili telst ábyrgðaraðili að birtingu persónuupplýsinga á hans vegum í stafrænu pósthólfi. Rekstraraðili stafræns pósthólfsins telst vinnsluaðili sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.“
2. Að mælt verði fyrir í frumvarpinu hvaða stjórnvaldi eða opinberum aðila verði falið að reka hið stafræna pósthólf.
3. Að löggjafinn taki skýrari afstöðu til þess hvort og þá hvaða einkaaðilum verði heimil birting gagna í hinu stafræna pósthólfi.
4. Að bætt verði við nýju ákvæði við frumvarpið þar sem fjallað er nánar um grundvöll vinnslunnar og að tilgangur vinnslunnar verði afmarkaður með því að tilgreina nánar þær vinnsluaðgerðir sem birtingaraðilum eru heimilar. Einnig að framkvæmt verði mat á nauðsyn fyrirhugaðrar vinnslu persónuupplýsinga í tengslum við stafrænt pósthólf.
5. Að við 2. gr. frumvarpsins verði bætt við eftirfarandi málsgrein ef við á: „Með starfrækslu stafræns pósthólfs eru gögn gerð aðgengileg með birtingu þeirra í pósthólfinu en vistun þeirra er áfram hjá birtingaraðila“.
6. Að við 3. gr. frumvarpsins verði bætt við málsgrein um hve lengi einstaklingur hafi aðgang að eigin gögnum í hinu stafræna pósthólfi.
7. Fari varðveisla gagna fram í stafrænu pósthólfi verði við 3. gr. frumvarpsins bætt ákvæði um varðveislutíma gagna í stafrænu pósthólfi og hvað verði um þau að varðveislutíma liðnum.
8. Að við 3. gr. frumvarpsins verði bætt málsgrein um hvað verði um gögn látinna einstaklinga í hinu stafræna pósthólfi, um aðgang þriðja aðila að gögnum látinna einstaklinga, hvert umfang slíkrar aðgangsheimildar og gildistími, eftir því sem við á.
9. Að aðgangsheimild sem veitt er á grundvelli laga verði afmörkuð að umfangi og gildistíma og að hún taki aðeins til þeirra gagna sem nauðsynleg eru hverju sinni vegna starfa viðkomandi.
10. Að hugað verði að strangri aðgangsstýringu hins stafræna pósthólfs meðal annars með afmörkun aðgangs þriðja aðila og aðgerðaskráningu.
11. Að við 4. gr. frumvarpsins bætist við eftirfarandi málsgrein: „Birtingaraðilum er heimilt að birta í stafrænu pósthólfi bæði almennar og viðkvæmar persónuupplýsingar einstaklinga eins og þær eru skilgreindar í lögum um persónuvernd og vinnslu persónuupplýsinga“.
12. Að mat á áhrifum á persónuvernd fari fram áður en vinnsla persónuupplýsinga með notkun stafræns pósthólfs hefst, m.a. í ljósi þess að mat á áhrifum á persónuvernd var ekki framkvæmt við undirbúning lagafrumvarps, áður en það var lagt fram á Alþingi.
13. Að hugað verði að innbyggðri og sjálfgefinni persónuvernd á öllum stigum þróunar hugbúnaðar og/eða annarra tæknilausna er byggt verður á við gerð og starfrækslu hins stafræna pósthólfs.
Ekki eru að öðru leyti gerðar athugasemdir við efni draganna að svo stöddu. Verði frekari umsagnar óskað um einstök atriði verður hún fúslega veitt.
F.h. Persónuverndar,
Vigdís Eva Líndal Rebekka Rán Samper