Umsögn vegna erindis Samtaka atvinnulífsins o.fl. um breytingar á persónuverndarlögum
Reykjavík, 9. febrúar 2021
Tilvísun: 2020123019/VEL
Efni: Umsögn vegna erindis Samtaka atvinnulífsins o.fl. um breytingar á persónuverndarlögum
Persónuvernd vísar til beiðni dómsmálaráðuneytis frá 8. desember 2020 um umsögn vegna erindis Samtaka atvinnulífsins o.fl. (SA), dags. 10. júlí 2020, um breytingar á persónuverndarlögum. Þá barst Persónuvernd einnig frá ráðuneytinu viðbótarerindi samtakanna, dags. 14. janúar 2021, með tölvupósti þann 20. janúar 2021.
Í bréfum samtakanna er farið yfir ýmis atriði tengd lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Persónuvernd er sammála sumum þeim atriðum sem SA benda á í erindum sínum en gerir jafnframt alvarlegar athugasemdir við önnur atriði sem þar koma fram.
Hér á eftir er að finna umfjöllun og afstöðu Persónuverndar til þeirra atriða sem SA telja að bæta þurfi úr vegna laganna.
1. Innleiðing EES-gerða og samkeppnishæfni atvinnulífsins
Í erindi samtakanna er fullyrt að gengið hafi verið mikið lengra við innleiðingu reglugerðar (ESB) 2016/679 (persónuverndarreglugerðarinnar) hérlendis en í öðrum löndum Evrópu og meira íþyngjandi byrðar lagðar á fyrirtæki á Íslandi. Persónuvernd er með öllu ósammála þeirri fullyrðingu SA. Við samningu frumvarpsins voru bæði norsku og dönsku frumvörpin, sem síðar urðu að persónuverndarlögum þar í landi, höfð til hliðsjónar auk þess sem tekið var tillit til einhverra athugasemda SA við setningu laganna.
Til frekari skýringar má benda á umfjöllun í greinargerð þeirri sem fylgdi frumvarpi til laga nr. 90/2018 (sbr. kafla 5.4), þess efnis að heimildir ríkja til setningar sérreglna skiptist að meginstefnu í fjóra þætti, þ.e.: 1) heimildir til nánari útfærslu á efni tiltekinna ákvæða persónuverndarreglugerðarinnar; 2) valkosti um að setja efnisreglur á tilteknum sviðum; 3) svigrúm ríkja til að setja lög sem víkja frá ákvæðum reglugerðarinnar, og 4) skyldur sem hvíla á ríki til að setja sérstök atriði í lög eða reglur. Hér skiptir mestu máli að í sumum tilvikum er aðildarríkjum skylt að útfæra nánari reglur í landslögum en í öðrum tilvikum eru slíkar útfærslur valkvæðar.
Persónuvernd vill jafnframt ítreka mikilvægi þess að atvinnurekendur átti sig á vaxandi vægi persónuverndarmála í heiminum. Þannig hafa mörg stærstu fyrirtæki heims sett sér það markmið að verða leiðandi á sviði persónuverndar, svo sem fyrirtæki á borð við Microsoft og Apple. Að mati Persónuverndar er sú nálgun sem þau fyrirtæki hafa tekið upp mun heillavænlegri til lengri tíma litið og til þess fallin að auka traust almennings á viðskiptaháttum fyrirtækja sem og að stuðla að því að framþróun tækni styðji við stjórnarskrárvarin réttindi einstaklinga, frekar en að draga úr þeim.
Eins og nánar er gerð grein fyrir í svari Persónuverndar hér á eftir er stofnunin reiðubúin til frekara samtals við heildarsamtök fyrirtækja hvað þetta varðar.
2. Vinnsla persónuupplýsinga um látna einstaklinga skv. 3. mgr. 4. gr. laga nr. 90/2018
Í erindi SA er lagt til að 3. mgr. 4. gr. laga nr. 90/2018 um réttarvernd látinna einstaklinga falli brott eða að öðrum kosti að gildissvið laganna nái eingöngu til viðkvæmra persónuupplýsinga látinna einstaklinga.
Ákvæði 3. mgr. 4. gr. laga nr. 90/2018 er sérregla sem lýtur að gildissviði laganna varðandi vinnslu upplýsinga um látna einstaklinga. Þetta ákvæði var nýmæli í lögunum en samkvæmt 2. mgr. laga nr. 77/2000 náði gildissvið laganna jafnt til lifandi og látinna einstaklinga. Mat á því hvort persónuverndarreglugerðin skuli ná til látinna einstaklinga er meðal þeirra þátta sem aðildarríki hafa svigrúm til að ákveða og útfæra í landslögum. Ísland nýtti það svigrúm með þeim hætti sem lýst er í ákvæðinu. Slíkar reglur hafa verið settar í minnihluta aðildarríkja en til samanburðar má nefna að í Danmörku gilda persónuverndarlög í 10 ár frá andláti. Þá er ráðherra veitt heimild til að mæla nánar fyrir í reglugerð um lengri eða styttri tíma frá andláti. Við setningu laga nr. 90/2018 var valin sú leið að miða gildissviðið við fimm ára tímamark eftir andlát og lengur þegar um ræðir upplýsingar sem sanngjarnt og eðlilegt má telja að leynt fari.
Persónuverndarlöggjöf byggir almennt á þeirri forsendu að hinn skráði, þ.e. sá einstaklingur sem upplýsingar lúta að, sé lifandi einstaklingur, en þó er ekki útilokað að til staðar séu einhverjir hagsmunir sem máli skipta þegar um látna einstaklinga er að ræða.
Í framkvæmd hefur sjaldan reynt á ágreiningsmál um persónuvernd látinna manna. Að sama skapi er ljóst að þau réttindi sem löggjöfin veitir eru persónubundin og falla niður við andlát sem og rétthæfi viðkomandi einstaklinga.
Á hinn bóginn kann það að samrýmast betur réttarvitund margra að veita persónuupplýsingum látinna vernd innan tiltekinna tímamarka frá andláti, eins og gert er í núgildandi lögum, og lengur þegar um er að ræða persónuupplýsingar sem sanngjarnt og eðlilegt má telja að leynt fari.
Persónuvernd vill jafnframt árétta að upplýsingar um látna einstaklinga eru í mörgum tilvikum varðveittar innan um upplýsingar um lifandi einstaklinga. Við slíkar aðstæður getur orðið flókið í framkvæmd að beita mismunandi reglum um gögnin, eftir því hvort einstaklingurinn er látinn eða lifandi, öðruvísi en með því að aðskilja gögnin eða þá fylgja reglum persónuverndarlaganna við vinnslu allra gagnanna og gera þá meðal annars sömu öryggiskröfur við vinnsluna.
Þá bendir Persónuvernd jafnframt á að ef vilji er til að endurskoða ákvæðið geta aðrir valkostir komið til skoðunar, til dæmis að takmarka gildissvið laganna um látna einstaklinga við tiltekna geira samfélagsins, svo sem við framkvæmd vísindarannsókna, hvort sem er á heilbrigðissviði eða á öðrum sviðum.
Hvað varðar athugasemdir SA við orðalagið „upplýsingar sem sanngjarnt og eðlilegt má telja að leynt fari“ vill Persónuvernd árétta að orðalagið „sanngjarnt og eðlilegt“ er víða að finna í ýmsum lögum, svo sem 9. gr. upplýsingalaga nr. 140/2012 sem fjallar um takmarkanir á upplýsingarétti almennings vegna einkahagsmuna. Í skýringum með þessu ákvæði upplýsingalaganna er vísað til sambærilegrar reglu í eldri lögum og tekið fram að ekki sé ástæða til að víkja frá þeirri stefnu sem þar var mótuð að þessu leyti enda kynni annað að ganga gegn stjórnarskrárvörðum rétti manna til friðhelgi einkalífs. Ætla verður að þær upplýsingar sem geta fallið undir framangreint orðalag gætu tengst kjarna einkalífshugtaksins samkvæmt 71. gr. stjórnarskrárinnar. Þar koma einkum til álita viðkvæmar persónuupplýsingar sem taldar eru upp í 3. mgr. 3. gr. pvl. á borð við heilsufarsupplýsingar og upplýsingar um kynlíf eða kynhneigð manna.
Er Persónuvernd reiðubúin að veita ráðuneytinu nánari ráðgjöf hvað þetta varðar, sé þess óskað.
3. Vinnsla persónuupplýsinga um refsiverða háttsemi skv. 12. gr. laga nr. 90/2018
Í erindi SA er óskað eftir því að orðið „auðsjáanlega“ verði fellt brott úr 2. tölul. 2. mgr. 12. gr. laga nr. 90/2018. Telja samtökin að með notkun orðsins séu lagðar þyngri kröfur á hið opinbera og einkaaðila til að sýna fram á hagsmuni af miðlun upplýsinga en leiða megi af ákvæðum persónuverndarreglugerðarinnar. Ákvæðið sé matskennt og óljóst hvernig mögulegt sé að sýna fram á að hagsmunir vegi auðsjáanlega þyngra í tilteknum tilvikum.
Ákvæði 12. gr. laga nr. 90/2018 er sérregla um vinnslu persónuupplýsinga um refsiverða háttsemi. Greinin sækir stoð í og útfærir frekar ákvæði 10. gr. reglugerðar (ESB) 2016/679. Samkvæmt ákvæðunum lýtur vinnsla slíkra upplýsinga strangari reglum en vinnsla almennra persónuupplýsinga en þær teljast þó ekki til viðkvæmra persónuupplýsinga. Í þessu fólst breyting frá því sem áður gilti samkvæmt lögum nr. 77/2000 en þar voru upplýsingar um refsiverðan verknað taldar til viðkvæmra persónuupplýsinga og giltu því um vinnslu þeirra strangari reglur en nú er. Við setningu laga nr. 90/2018 var tekið mið af orðalagi danska frumvarpsins um sama efni.
Að mati Persónuverndar er ekki þörf á að breyta umræddu ákvæði að svo stöddu. Í fyrsta lagi hefur lítið sem ekkert reynt á það í framkvæmd stofnunarinnar. Í öðru lagi má vísa til þess að á ýmsum stöðum í persónuverndarreglugerðinni er gert ráð fyrir framkvæmd hagsmunamats, t.d. í f-lið 1. mgr. 6. gr. reglugerðarinnar, sbr. 6. tölul. 9. gr. laga nr. 90/2018, þar sem segir að vinnsla sé heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hins skráði er barn. Í þriðja lagi bendir Persónuvernd á að um er að ræða orðalag sem tekið var úr dönsku persónuverndarlögunum, sjá nánar í 4. tölul. 2. mgr. 8. gr. laganna þar sem notast er við danska orðið „klart“. Ekki verður séð að munur sé á notkun þess orðs og orðsins auðsjáanlega í íslensku máli.
Í framkvæmd Evrópudómstólsins hefur ítrekað verið fjallað um það hagsmunamat sem felst í beitingu framangreinds töluliðar. Þá hefur Persónuvernd einnig fjallað um beitingu hagsmunamatsins í úrskurðum sínum. Ljóst er að orðalagi 2. tölul. 2. mgr. 12. gr. er ætlað að gera frekari kröfur til hagsmuna ábyrgðaraðila þegar um er að ræða upplýsingar um refsiverðan verknað – umfram það sem mælt er fyrir um í 6. tölul. 9. gr. laganna, m.a. með hliðsjón af viðkvæmu eðli upplýsinga sem tengjast refsiverðum verknaði og þeim afleiðingum sem miðlun þeirra getur haft fyrir hina skráðu.
Með hliðsjón af framangreindu telur Persónuvernd rétt að ákvæðið standi óbreytt.
4. Takmarkanir á réttindum hinna skráðu skv. 17. gr. laga nr. 90/2018
Í erindi SA er lagðar til ýmsar breytingar á 17. gr. laga nr. 90/2018. Í erindi samtakanna frá 10. júlí 2020 er lagt til að orðið „brýnir“ verði fellt brott úr 3. mgr. 17. gr. og að orðið „grundvallarréttinda“ verði fellt brott í 6. tölul. 4. mgr. 17. gr. og þess í stað komi orðið „einkahagsmuna“. Þá er jafnframt óskað eftir því að 5. mgr. 17. gr. laga nr. 90/2018 verði víkkuð út með þeim hætti að undantekningin nái til sambærilegra gagna og mælt er fyrir um í 6. mgr. sömu greinar, þ.e. vinnuskjala á vegum stjórnvalda. Í erindi samtakanna frá 14. janúar er einnig óskað eftir að takmörkunarheimild skv. 4. mgr. 17. gr. verði skýrð nánar og að skilgreint verði með nákvæmari hætti hvað falli undir hugtakið „vinnuskjal“ í ljósi nýlegrar niðurstöðu Persónuverndar í máli nr. 2020010740 (áður 2017111707).
Þessu til viðbótar er í fyrra erindi samtakanna jafnframt tekið fram að við samningu laganna hafi verið litið fram hjá rétti fyrirtækja þegar kemur að takmörkunum á réttindum hins skráða.
Áðurnefndur úrskurður Persónuverndar í máli nr. 2020010740 er reifaður hér á eftir í kafla a. Þá er afstaða Persónuverndar til framangreindra tillagna rakin hér á eftir í köflum b-e.
a) Niðurstaða Persónuverndar í máli nr. 2020010740
Til skýringar skal upplýst að í áðurnefndu máli nr. 2020010740 hjá Persónuvernd reyndi á hvort afgreiðslur [banka og innheimtufyrirtækis] á beiðnum kvartanda um upplýsingar og aðgang að persónuupplýsingum sínum hefðu samrýmst lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og síðar lögum nr. 90/2018. Beiðnum kvartanda hafði að hluta til verið synjað, hvað varðaði aðgang að tölvupóstsamskiptum milli fyrirtækjanna tveggja um innheimtu [innheimtufyrirtækisins] á kröfu [bankans] á hendur kvartanda, með vísan til þess að um vinnugögn væri að ræða sem ekki hefði borið að afhenda. Kvartandi gerði kröfu um að fá tölvupóstana afhenta. Við túlkun á hugtakinu „vinnuskjöl“ leit Persónuvernd meðal annars til ákvæða upplýsingalaga nr. 140/2012, sbr. m.a. 5. tölul. 6. gr. og 8. gr. þeirra, auk athugasemda við frumvarpið til laganna. Niðurstaða Persónuverndar var sú að umræddir tölvupóstar væru undanþegnir afhendingarskyldu þar sem þeir teldust til vinnuskjala. Féllst Persónuvernd þannig á sjónarmið [innheimtufyrirtækisins og bankans] hvað þetta atriði varðaði.
Hins vegar var jafnframt komist að þeirri niðurstöðu í málinu að [bankanum] bæri að veita kvartanda aðgang að persónuupplýsingum sínum sem finna mátti í tölvupóstsamskiptum kvartanda sjálfrar við bankann um tiltekin atriði. Synjun bankans um afhendingu þeirra gagna var ekki byggð á því að um vinnugögn væri að ræða heldur var vísað til þess að samantekt upplýsinganna gæti reynst íþyngjandi fyrir bankann. Persónuvernd tók engu að síður til skoðunar hvort undanþága vegna vinnugagna gæti átt við. Í forsendum Persónuverndar hvað þetta atriði varðar segir að ekki verði séð að synjun bankans um aðgang að þessum gögnum hafi stuðst við ákvæði 4. eða 5. mgr. 17. gr. laga nr. 90/2018 en í því sambandi sé rétt að líta sérstaklega til þess að samskipti af þessu tagi teljist almennt ekki vinnugögn í skilningi 5. mgr. tilvitnaðs ákvæðis, óháð því hvort þau fela í sér endanlega afgreiðslu eða ekki. Þá var litið til þess að [bankinn] hefði ekki sýnt fram á að beiðni kvartanda hefði verið tilefnislaus eða óhófleg, og því yrði ekki heldur séð að ákvörðun bankans hefði stuðst við 5. mgr. 12. gr. reglugerðar (ESB) 2016/679. Bankanum hefði því borið að veita aðgang að umræddum tölvupóstum í samræmi við beiðni þar að lútandi.
b) Tillaga SA um að orðið „brýnir“ verði fellt út úr 3. mgr. 17. gr. laga nr. 90/2018
Í erindi SA frá 10. júlí 2020 er vísað til þess að hagsmunir fyrirtækja geti eingöngu takmarkað réttindi einstaklinga ef þeir eru „brýnir“, sbr. 3. mgr. 17. gr. laganna […] og lagt til að orðið verði fellt brott úr ákvæðinu. Af þeim sökum vill Persónuvernd árétta að í 3. mgr. 17. gr. laganna er einungis heimilað að takmarka réttindi hins skráða, sem hann á samkvæmt tilteknum ákvæðum persónuverndarreglugerðarinnar, ef brýnir hagsmunir einstaklinga tengdir upplýsingunum, þar á meðal hins skráða sjálfs, vega þyngra. Ákvæðið á því ekki við um takmörkun vegna hagsmuna fyrirtækja.
Þá vísa samtökin til orðalags sem finna má í dönsku lögunum. Rétt er að taka fram að á framangreint hefur ekki reynt mikið í framkvæmd. Persónuvernd sér ekkert því til fyrirstöðu að orðið brýnir sé tekið úr lagatextanum, en telur þó rétt að árétta að breytingin myndi ekki skila miklu í framkvæmd og beitingu ákvæðisins, hvorki fyrir fyrirtæki né Persónuvernd. Eftir sem áður þarf ávallt að fara fram mat á þeim hagsmunum sem hér eru undir.
c) Tillaga SA um að orðið „grundvallarréttindi“ verði fellt út úr 6. tölul. 4. mgr. 17. gr. laganna og orðið „einkahagsmunir“ notað í staðinn
Annar hluti beiðni samtakanna tekur til þess að orðið „grundvallarréttindi“ verði fellt brott úr 6. tölul. 4. mgr. 17. gr. og orðið „einkahagsmunir“ komi í stað þess. Að mati samtakanna gangi hugtakið grundvallarréttindi mun lengra en hugtakið einkahagsmunir. Engin rök hafi verið færð fram fyrir því að gerður sé svo ríkur greinarmunur á opinberum aðilum og einkaaðilum þegar kemur að aðgangsrétti einstaklinga og eftir atvikum takmörkunum á honum.
Að mati Persónuverndar gætir hér misskilnings hjá SA um skilgreiningar. Að mati Persónuverndar er lítill sem enginn munur á hugtökunum „grundvallarréttindi“ og „einkahagsmunir“. Jafnvel mætti færa fyrir því rök að einkahagsmunir nái til fleiri þátta en grundvallarréttindi og veiti þar með einstaklingum meiri vernd en ella.
Hins vegar er það mat Persónuverndar að orðið „grundvallarréttindi“ samrýmist betur þeirri undanþáguheimild persónuverndarreglugerðarinnar sem ákvæði 4. mgr. 17. gr. laganna byggir á, sjá nánar i-lið 1. mgr. 23. gr. reglugerðar (ESB) 2016/679, þar sem vísað er til réttinda og frelsis annarra. Þar sem beiðni um breytingu að þessu leyti er ekki rökstudd nánar telur Persónuvernd ekki þörf á að rökstyðja frekar afstöðu sína til tillögunnar að svo stöddu.
d) Tillaga SA um útvíkkun á undanþáguákvæði 5. mgr. 17. gr. laganna og skilgreiningu á hugtakinu „vinnuskjöl“
Hvað varðar beiðni samtakanna um breytingu á 5. mgr. 17. gr. er rétt að taka fram að umræddu ákvæði var bætt inn við þinglega meðferð málsins til að bregðast við athugasemdum SA um þetta efni. Að mati Persónuverndar gætir hér alvarlegs misskilnings hjá samtökunum um til hvaða hagsmuna skuli litið við beitingu takmarkana á réttindum einstaklinga samkvæmt persónuverndarlöggjöf. Samtökin vísa réttilega til þess að beiting takmarkana skuli vera hófleg og nauðsynleg. Hins vegar er í persónuverndarreglugerðinni átt við að slík beiting takmarkana skuli vera hófleg og nauðsynleg gagnvart hinum skráðu, enda eru það þeirra stjórnarskrárvörðu réttindi sem hér eru skert með heimild aðildarríkja til að setja takmarkanir á réttindi einstaklinga í landslög.
Löggjafanum eru því þröngar skorður settar hvað varðar beitingu á þeim takmörkunum sem persónuverndarreglugerðin heimilar að ríki setji í landslög. Hvað varðar þau sjónarmið að ekki sé jafnræðis gætt á milli stjórnvalda og fyrirtækja getur Persónuvernd fallist á að vissulega sitji umræddir aðilar ekki við sama borð. Hins vegar er það ekki tilkomið vegna ákvæða persónuverndarlaga heldur fyrst og fremst þeirrar staðreyndar að upplýsingalög og stjórnsýslulög, sem mæla fyrir um tilteknar undanþágur, teljast almennt til sérlaga gagnvart persónuverndarlögum og ganga því framar. Eðli málsins samkvæmt hafa ekki verið settar sambærilegar reglur hvað varðar framkvæmd daglegra starfa fyrirtækja. Af þeirri ástæðu gilda persónuverndarlög fyrst og fremst um þeirra starfsemi.
Þá er það mat Persónuverndar að með setningu sérreglunnar í 5. mgr. 17. gr. hafi íslenska ríkið gengið lengra en því var heimilt samkvæmt persónuverndarreglugerðinni til setningar sérreglna hvað varðar vinnuskjöl fyrirtækja.
Persónuvernd bendir hins vegar á að til að tryggja þá hagsmuni sem SA bendir á í erindi sínu er til staðar sérstök heimild til að beita takmörkun þegar það er nauðsynleg ráðstöfun til að vernda grundvallarréttindi annarra, sbr. 6. tölul. 4. mgr. 17. gr., og til að tryggja að einkaréttarlegum kröfum sé fullnægt, sbr. 7. tölul. 4. mgr. 17. gr. Ákvæðin gera ráð fyrir að fram fari hagsmunamat miðað við þær aðstæður sem uppi eru þegar einstaklingar virkja réttindi sín. Í dönsku persónuverndarlögunum er framangreinda undantekningu, sbr. 6. tölul. ákvæðisins, að finna í sérstakri málsgrein, 1. mgr. 22. gr. dönsku laganna, og því mætti hugsanlega fara sambærilega leið hér á Íslandi til að undirstrika mikilvægi hennar.
Í erindi SA frá 10. júlí 2020, sbr. einnig erindi samtakanna frá 14. janúar 2021, er jafnframt lagt til að hugtakið „vinnuskjal“ verði skilgreint í lögunum. Persónuvernd vísar til þess að í upplýsingalögum nr. 140/2012 er að finna skilgreiningu á hugtakinu vinnugögn, sem Persónuvernd hefur haft til hliðsjónar í framkvæmd sinni og talið sambærilegt hugtakinu „vinnuskjöl“. Þá hefur hugtakið jafnframt þýðingu samkvæmt ákvæðum stjórnsýslulaga nr. 37/1993. Persónuvernd telur ljóst að óheppilegt væri að hugtakið hefði mismunandi þýðingu eftir því hvaða lög eru til umfjöllunar hverju sinni, þ.e. stjórnsýslulög, upplýsingalög eða persónuverndarlög. Því kynni að vera óheppilegt að skilgreina hugtakið sérstaklega í persónuverndarlögum.
Samkvæmt 5. mgr. 17. gr. laga nr. 90/2018 er heimilt að takmarka réttindi einstaklinga samkvæmt 13.-15. gr. persónuverndarreglugerðarinnar við ákveðnar aðstæður (sbr. 4. mgr. ákvæðisins) um persónuupplýsingar í vinnuskjölum sem notuð eru við undirbúning ákvarðana hjá ábyrgðaraðila, og ekki hefur verið dreift til annarra, að því marki sem nauðsynlegt er til að tryggja undirbúning málsmeðferðar. Undanþágan er því þrengri en svo að hún nái til þeirra skjala sem skilgreina má sem vinnuskjöl. Svo sem áður segir er hér um að ræða ákvæði sem bætt var inn í frumvarp til laganna í meðförum þingsins og að undirlagi SA, en umfjöllun um þá viðbót má finna í nefndaráliti meirihluta allsherjar- og menntamálanefndar (þskj. 1281 – 622. mál á 148. löggjafarþingi). Líkt og áður hefur komið fram telur Persónuvernd hins vegar vafa undirorpið að slíkt ákvæði geti samrýmst reglugerð (ESB) 2016/679 og telur að þær undanþágur sem veittar eru í 6. og 7. tölul. 4. mgr. 17. gr. eigi að ná yfir þau tilvik þar sem nauðsynlegt getur reynst, a.m.k. tímabundið, að takmarka aðgang hins skráða að vinnuskjölum.
e) Tillaga SA um undanþágureglu vegna gagna sem vistuð eru utan skilgreindra gagnageymslu- eða skjalavistunarkerfa
Einnig er í erindi samtakanna óskað eftir því að tölvupóstþjónar og annað sem er utan skilgreindra gagnageymslu- og skjalavistunarkerfa verði undanskilið gildissviði laganna, í ljósi þess að stærri fyrirtæki líti ekki á tölvupóstforrit sem gagnageymslu- eða skjalavistunarkerfi.
Persónuvernd gerir alvarlegar athugasemdir við framangreindar fullyrðingar og vísast m.a. um það til þess að efnislegt gildissvið persónuverndarlöggjafarinnar er skilgreint í 4. gr. laga nr. 90/2018 og 2. gr. reglugerðar (ESB) 2016/679. Þar segir m.a. að lögin og reglugerðin gildi um vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og um vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Hugtakið „sjálfvirkt“ er ekki skilgreint frekar í reglugerðinni eða lögunum en þar undir fellur fyrst og fremst hvers konar notkun á tölvutækum upplýsingakerfum. Augljóst er að þegar persónuupplýsingar eru unnar í tölvu er vinnslan sjálfvirk. Skilyrði um skrá, þ.m.t. skráningarkerfi, á hins vegar eingöngu við þegar vinnslan er ekki sjálfvirk, þ.e. þegar hún er handvirk. Það að fyrirtæki líti ekki á tölvupóstforrit sem gagnageymslu- eða skjalavistunarkerfi hefur því ekki þýðingu í þessu sambandi.
Þá má benda á að upplýsinga- og aðgangsréttur hins skráða er meðal helstu réttinda einstaklinga samkvæmt reglugerð (ESB) 2016/679. Með hliðsjón af því að um meginreglu er að ræða ber, samkvæmt hefðbundnum lögskýringarsjónarmiðum, að túlka undanþágur frá henni þröngt. Þá má benda á að með því að undanskilja gögn upplýsinga- og aðgangsrétti ef þau eru vistuð í tilteknum kerfum frekar en öðrum gætu fyrirtæki og aðrir ábyrgðaraðilar í raun með afar einföldum hætti komist hjá því að virða réttindi hinna skráðu til upplýsinga og aðgangs samkvæmt reglugerðinni. Hér þarf jafnframt að hafa í huga að tilgangur upplýsinga- og aðgangsréttarins er meðal annars að einstaklingar geti fengið upplýsingar um það hvort unnið er með persónuupplýsingar þeirra, og þá m.a. hvaða upplýsingar og hvernig, en slík vitneskja er forsenda þess að þeir geti gætt réttinda sinna að öðru leyti hvað varðar vinnslu persónuupplýsinga. Persónuvernd telur því ljóst að slík framkvæmd, þ.e. að undanskilja gögn í tilteknum kerfum, stæðist enga skoðun.
Loks telur Persónuvernd að sú staðreynd að í meðförum þingsins hafi verið bætt við ákvæði um vinnuskjöl einkaaðila eftir þrýsting frá samtökunum þar um hafi verið til þess fallin að valda enn frekari óskýrleika um beitingu takmarkananna. Persónuvernd leggur því til að 5. mgr. 17. gr. verði felld á brott, enda verður ekki séð að löggjafanum sé heimilt að undanþiggja í heild sinni vinnuskjöl einkaaðila án þess að fram fari hagsmunamat með tilliti til aðstæðna hverju sinni. Slík takmörkun á réttindum einstaklinga samkvæmt persónuverndarlöggjöf verði að fara fram hjá hverjum ábyrgðaraðila fyrir sig á grundvelli tilvikabundins mats. Hins vegar telur Persónuvernd rétt að skoða nánar áður tilvitnað ákvæði dönsku laganna þar sem takmörkun á grundvelli hagsmunamats er sett fram í sérstöku ákvæði.
5. Hugtakið öryggisbrestur og tilkynningar vegna öryggisbresta skv. 27. gr. laga nr. 90/2018
Í erindi SA frá 10. júlí 2020 er bent á að Persónuvernd berist mun fleiri tilkynningar um öryggisbresti en þörf er á og að ákvæði 2. mgr. 27. gr. laganna sé ekki skýrt hvað þetta atriði varðar. Persónuvernd þurfi því að skilgreina nánar hvaða atvik þurfi ekki að tilkynna um og lista upp dæmi í því skyni. Framangreint er ítrekað í síðara erindi samtakanna.
Persónuvernd er sammála framangreindu mati samtakanna hvað varðar fjölda ónauðsynlegra tilkynninga en bendir á að um er að ræða nýja skyldu sem lögð var á með reglugerð (ESB) 2016/679. Sambærilega tilkynningarskyldu er víða að finna í nýrri löggjöf frá ESB, svo sem á sviði netöryggis, fjármálamarkaða og um rafræna auðkenningu og traustþjónustu. Í því skyni sameinuðust Persónuvernd, CERT-ÍS og lögreglan í að útbúa sameiginlega gátt fyrir tilkynningar um öryggisbresti þannig að fyrirtæki gætu tilkynnt um öryggisatvik á sviði persónuverndar og netöryggis á einum stað. Persónuvernd hugnast einnig að fleiri eftirlitsaðilum verði bætt við gáttina, til að einfalda tilkynningarskyldu aðila vegna öryggisatvika. Þá skal tekið fram að útfært hefur verið nýtt verklag hjá Persónuvernd við afgreiðslu tilkynninga, m.a. hvað varðar ónauðsynlegar tilkynningar, og gengur það því hratt og vel fyrir sig að loka slíkum málum.
Hvað varðar útgáfu frekari leiðbeininga hefur Persónuvernd haldið að sér höndum þangað til nýlega, þar sem unnið var að leiðbeiningum á vettvangi Evrópska persónuverndarráðsins, þar sem Persónuvernd á sæti, hvað þetta varðar. Nýlega voru leiðbeiningarnar samþykktar á vettvangi ráðsins og í tilefni af alþjóðlega persónuverndardeginum þann 28. janúar sl. birti Persónuvernd nýjar leiðbeiningar, sem byggja á evrópsku leiðbeiningunum. Leiðbeiningarnar innihalda fjölda raunhæfra dæma um öryggisbresti og hvort og hverjum beri að tilkynna um brestinn. Það er von Persónuverndar að leiðbeiningarnar gagnist fyrirtækjum við mat á því hvort tilkynna þurfi öryggisbresti.
Þá birti Persónuvernd einnig sama dag tölfræði yfir tilkynnta öryggisbresti fyrir árið 2020, en frá og með 1. mars er fyrirhugað að slík tölfræði verði birt reglulega. Af tölfræðinni má ráða að ýmsir geirar samfélagsins eru duglegri við að tilkynna um öryggisbresti en aðrir. Þá skortir jafnvel alfarið tilkynningar úr sumum geirum, ólíkt því sem sjá má á tölfræði frá dönsku persónuverndarstofnuninni, og er það sérstakt umhugsunarefni.
Hvað varðar tillögur SA um að bætt verði við ákvæði um skyldu Persónuverndar til að gefa út reglur og setja fyrirmæli um viðbrögð er það mat stofnunarinnar að reglugerð (ESB) 2016/679 veiti afar takmarkað svigrúm til setningar slíkra sérreglna, enda eitt meginmarkmið persónuverndarreglugerðarinnar að stuðla að einsleitri beitingu löggjafarinnar á EES-svæðinu. Þá telur Persónuvernd að athugasemdum SA hafi verið mætt með birtingu nýrra leiðbeininga og tölfræði um öryggisbresti. Persónuvernd áréttar jafnframt mikilvægi þess að stofnunin sé samstiga evrópskum systurstofnunum sínum hvað varðar útgáfu leiðbeininga og fyrirmæla um öryggisbresti.
6. Leyfisskylda og ráðgjöf skv. 31.-33. gr. laga nr. 90/2018
Í erindi SA er lagt til að leyfisskylda samkvæmt nefndum ákvæðum verði felld á brott. Persónuvernd telur að hér gæti að hluta til misskilnings um til hvaða vinnslu persónuupplýsinga leyfisskylda laganna nær. Um leyfisskyldu hjá Persónuvernd er nánar fjallað í reglum nr. 811/2019. Af þeim má ráða að fyrirtæki þurfa almennt ekki að sækja um leyfi hjá Persónuvernd. Leyfisskyldan er fyrst og fremst hugsuð fyrir þrenns konar vinnslustarfsemi: rannsóknir aðrar en vísindarannsóknir á heilbrigðissviði, vinnslu upplýsinga um fjárhagsmálefni og lánstraust, sbr. einnig 15. gr. laga nr. 90/2018, og flutning persónuupplýsinga úr landi, sbr. nánari fyrirmæli 3. mgr. 46. gr. reglugerðar (ESB) 2016/679.
Í þessu sambandi vekur Persónuvernd athygli ráðuneytisins á að eitt fyrirtæki á Íslandi í dag er með starfsleyfi til vinnslu upplýsinga um fjárhagsmálefni og lánstraust. Þá hefur Persónuvernd aðeins borist ein umsókn vegna leyfis til flutnings persónuupplýsinga úr landi, frá Fjármálaeftirlitinu (nú fjármálaeftirlit Seðlabanka Íslands), frá því að lög nr. 90/2018 tóku gildi. Vinnslustarfsemi sem fellur undir hefðbundin dagleg störf fyrirtækja fellur almennt ekki undir leyfisskyldu samkvæmt lögum nr. 90/2018 og reglum nr. 811/2019.
Þá kannast Persónuvernd ekki við að henni hafi borist óþarfa umsóknir frá fyrirtækjum um leyfi og telur stofnunin því áhyggjur SA af því að „mörg fyrirtæki sæki um leyfi að óþörfu“ byggðar á misskilningi eða getgátum.
Persónuvernd telur rétt að taka fram að það er mat stofnunarinnar að skoða þurfi norræna framkvæmd hvað varðar útgáfu starfsleyfa í tengslum við vinnslu upplýsinga um fjárhagsmálefni og lánstraust. Þannig hefur víða verið farin sú leið að styðjast frekar við ítarleg heildarlög í þeim efnum frekar en að starfsemi slíkra fyrirtækja byggist á starfsleyfi opinbers aðila.
Varðandi leyfi til flutnings persónuupplýsinga úr landi er nánar fjallað um þá skyldu í 3. mgr. 46. gr. reglugerðar (ESB) 2016/679. Aðildarríkjum er ekki veitt svigrúm til að víkja frá því ákvæði.
7. Stjórn Persónuverndar skv. 38. gr laga nr. 90/2018
Í erindi SA er lagt til að samtökin fái að tilnefna einn fulltrúa í stjórn Persónuverndar. Í erindum SA má jafnframt greina það sjónarmið að mikilvægt sé að tryggja að hagsmunir fyrirtækja verði ráðandi við túlkun persónuverndarlöggjafar.
Að gefnu tilefni telur Persónuvernd nauðsynlegt að benda á að rík krafa er gerð til sjálfstæðis persónuverndarstofnana í reglugerð (ESB) 2016/679. Að sama skapi er lögákveðið að Persónuvernd tekur ekki við fyrirmælum frá stjórnvöldum eða öðrum, sbr. 1. mgr. 38. gr. laga nr. 90/2018. Þá hefur umboðsmaður Alþingis gert sífellt auknar kröfur til hæfis stjórnarmanna hjá stofnunum ríkisins. Í 20 ára sögu Persónuverndar hefur það sýnt sig að nauðsynlegt er að stjórn Persónuverndar hafi þekkingu á upplýsingatækni og heilbrigðisgeiranum. Stjórnin þarf auk þess að hafa góða þekkingu á grundvallargreinum lögfræðinnar, svo sem stjórnskipunar- og stjórnsýslurétti, auk þess sem þekking á atvinnulífinu og lögmennsku hefur komið að góðum notum. Með því fyrirkomulagi sem er við lýði í dag er öll framangreind þekking tryggð.
Persónuvernd gerir alvarlegar athugasemdir við framangreind sjónarmið SA um að hagsmunir fyrirtækja eigi að vera í fyrirrúmi þegar persónuverndarlöggjöf er beitt, enda liggur fyrir að helsta markmið laganna er að stuðla að auknum réttindum einstaklinga á tækniöld – sem og að sömu reglur gildi hér og um alla Evrópu. Um grundvallarmannréttindi er hér að ræða, sem leidd eru af stjórnarskrárvörðum rétti til friðhelgi einkalífs. Að þessu sögðu er þó ljóst að við beitingu Persónuverndar á þeim eftirlitsheimildum sem stofnuninni eru veittar þarf ætíð að fara að reglum stjórnsýslulaga um meðalhóf og gagnsæi, og þar með er tryggt að hugað sé að hagsmunum fyrirtækja við framkvæmd laganna.
Vegna þessa telur Persónuvernd einnig rétt að upplýsa að í úttektum erlendra eftirlitsaðila á starfsemi stofnunarinnar, svo sem í reglulegum Schengen-úttektum, hefur ítrekað verið spurt um og gerðar athugasemdir við það fyrirkomulag að ráðherra skipi stjórn Persónuverndar að fengnum tillögum tiltekinna aðila. Hér hefur þó verið fylgt sambærilegu fyrirkomulagi og er viðhaft í Danmörku, en þar skipar dómsmálaráðherra fimm manns í stjórn, viðskipta- og iðnaðarráðherra einn stjórnarmann og ráðherra opinberrar nýsköpunar einn stjórnarmann. Ekki er gert ráð fyrir aðkomu samtaka, sambærilegra SA, að stjórn dönsku stofnunarinnar. Þá skal jafnframt tekið fram að flestar persónuverndarstofnanir í Evrópu hafa ekki stjórnir, heldur einungis einn forstjóra, sbr. hér norsku, sænsku og írsku persónuverndarstofnanirnar.
Þrátt fyrir framangreint er Persónuvernd þeirrar skoðunar að efla þurfi samskipti og samtal stofnunarinnar við atvinnulífið. Í því sambandi má t.a.m. nefna að stofnunin heldur nú reglulega upplýsingafundi með embætti landlæknis og Stafrænu Íslandi, þar sem farið er yfir helstu verkefni sem eru á döfinni hjá framangreindum aðilum og hefur það fyrirkomulag gefist vel. Þá hefur víða erlendis, m.a. í Noregi og Bretlandi, verið komið á svokölluðu „sandboxing“-samstarfi milli persónuverndarstofnunar og aðila úr atvinnulífinu, þar sem svigrúm er gefið til að þróa lausnir án þess að þurfa að fylgja ramma löggjafarinnar út í ystu æsar – þá undir eftirliti viðkomandi persónuverndarstofnunar. Má í því sambandi benda á nýjustu skýrslu bresku persónuverndarstofnunarinnar (ICO) um verkefni lyfjafyrirtækisins Novartis, sem fól í sér að auka þjónustu við sjúklinga og auðvelda eftirfylgni og forgangsröðun. Þá fór norska persónuverndarstofnunin (Datatilsynet) nýlega af stað með sérstakt sandkassaverkefni í tengslum við gervigreind.
Með vísan til þess leggur Persónuvernd til að komið verði á ráðgjafarhópi atvinnulífsins gagnvart stofnuninni til að skoða nánar og útfæra tillögur að auknu samtali og samstarfi milli fyrrgreindra aðila. Ljóst er þó að standi vilji ráðherra til að koma á svokölluðu sandkassaverkefni verður að veita stofnuninni auknar fjárheimildir til að sinna því. Ef af slíku verður væri nauðsynlegt að ráða inn verkefnastjóra, lögfræðing og hugsanlega tæknimenntaðan einstakling.
8. Gjaldtaka skv. 40. gr. laga nr. 90/2018
Í erindi SA er lagt til að 40. gr. laganna um gjaldtöku falli brott, en nýlega setti ráðherra gjaldskrá á grundvelli ákvæðisins. Persónuvernd leggst alfarið gegn þessari tillögu SA og bendir á að gjaldskráin er eingöngu bundin við sérfræðiþjónustu á sviði tölvuöryggismála. Þetta eru aðilar sem Persónuvernd hefur reynst mjög torvelt að ráða, aðallega vegna þess hversu fáir einstaklingar hafa slíka menntun og þekkingu hérlendis. Aðkoma slíkra sérfræðinga getur hins vegar verið algjörlega nauðsynleg þegar um er að ræða tæknilega flókin kerfi sem eru til rannsóknar hjá stofnuninni. Að sama skapi er þessi þjónusta mjög kostnaðarsöm og oft sérhæfð og því óeðlilegt að eftirlitsstofnunin sé látin bera kostnað af slíku. Rétt er að taka fram að Persónuvernd hefur, líkt og í öllu starfi sínu, beitt umræddri heimild af mikilli varfærni. Þá skal jafnframt bent á að ekki verður annað séð en að að þessi heimild til handa Persónuvernd sé í fullu samræmi við sambærilegar heimildir annarra eftirlitsstofnana, svo sem Lyfjastofnunar, Matvælastofnunar, Vinnueftirlitsins o.fl.
Rétt er að árétta að Persónuvernd er algerlega nauðsynlegt að hafa aðgang að sérfræðingum í tölvuöryggi í flóknari málum til að tryggja að málsmeðferð stofnunarinnar, m.a. hvað varðar rannsókn mála, sé fullnægjandi.
9. Valdheimildir Persónuverndar skv. 41. gr. laga nr. 90/2018
Í erindi SA er ítrekuð beiðni þeirra, sem kom fram við setningu núverandi persónuverndarlaga, um að ákvæði um heimild Persónuverndar til að njóta aðstoðar lögreglu við að stöðva til bráðabirgða og innsigla starfsstöð verði fellt brott. Ef ekki verði fallist á það er lagt til að ákvæðið verði mildað og beiting þess verði eingöngu heimil þegar ekki hefur verið farið að fyrirmælum Persónuverndar.
Persónuvernd leggst alfarið gegn þessum breytingum á ákvæðinu. Í samræmi við meðalhófsreglu stjórnsýslulaga hefur ákvæðinu verið beitt afar sjaldan og eingöngu við aðstæður þar sem ætla má að mjög alvarleg brot gegn löggjöfinni eigi sér stað og hætta er á að reynt verði að eyða sönnunargögnum. Heimildin ætti hins vegar almennt ekki við ef á annað borð gefst svigrúm til að gefa út fyrirmæli um úrbætur, enda væri það þá í anda meðalhófssjónarmiða að nýta fremur slíkar valdheimildir.
Verði umrædd heimild felld á brott eða hún milduð er hætta á að stjórnarskrárvarin réttindi einstaklinga til friðhelgi einkalífs verði fyrir borð borin í alvarlegustu málunum sem geta komið inn á borð Persónuverndar.
Hins vegar fellst Persónuvernd á þau sjónarmið SA að nauðsynlegt sé að setja skýrar málsmeðferðarreglur og verklagsreglur um beitingu slíkra valdheimilda. Verklagsreglur um beitingu valdheimilda eru meðal þeirra verkefna sem unnið verður að þegar svigrúm gefst til vegna anna og er stefnt að því að ljúka þeirri vinnu fyrir árslok 2021. Þá skal upplýst að vinna er hafin við setningu málsmeðferðarreglna hjá Persónuvernd, sem ætlunin er að birta opinberlega. Hefur sú vinna tafist vegna mikilla anna hjá Persónuvernd sem og undirmönnunar. Hér þarf að hafa í huga að Persónuvernd hefur ekki yfir að ráða starfsfólki sem getur sinnt í fullu starfi málum er lúta að innra skipulagi stofnunarinnar. Því sinna sviðsstjórar og lögfræðingar slíkum verkefnum í bland við rannsókn mála.
10. Dagsektir skv. 45. gr. laga nr. 90/2018
Í erindi SA er lagt til að heimild Persónuverndar til að leggja á dagsektir í 45. gr. laga nr. 90/2018 verði felld brott og er þar m.a. vísað til þess að ekki sé fyrir að fara slíkri heimild í norsku lögunum og annað fyrirkomulag viðhaft í Danmörku.
Persónuvernd leggst alfarið gegn þessari tillögu og telur hana að hluta til byggjast á misskilningi um tilgang dagsektarheimilda. Dagsektarheimildir eru mikilvægt tæki fyrir stofnunina til að ná fram fylgni við fyrirmæli stofnunarinnar. Þá þarf einnig að hafa í huga að dagsektir eru þvingunarúrræði ólíkt sektarheimildum Persónuverndar. Þær falla niður þegar fyrirmælum hefur verið fylgt og eru því ósambærilegar stjórnvaldssektum að öllu leyti.
Persónuvernd bendir einnig á að fullyrðing SA um að ekki sé fyrir að fara heimild til álagningar dagsekta í norsku persónuverndarlögunum er röng enda er slík heimild skýrlega sett fram í 29. gr. norsku persónuverndarlaganna.
Heimild til að leggja á dagsektir hefur eingöngu verið beitt einu sinni í 20 ára sögu Persónuverndar, en stofnunin vísar hins vegar mjög oft til heimildarinnar í ítrekunarbréfum til málsaðila þegar ekki hefur verið farið að gefnum fyrirmælum, svo sem í kjölfar úrskurða. Heimildin er því mjög árangursríkt tæki til að ná fram fylgni við úrskurði og aðrar niðurstöður Persónuverndar án þess að þurfa að beita enn meira íþyngjandi heimildum á borð við stjórnvaldssektir.
Persónuvernd telur hins vegar þörf á að breyta ákvæðinu þannig að það nái einnig til þess þegar ábyrgðaraðili eða vinnsluaðili svarar ekki ítrekuðum beiðnum Persónuverndar um upplýsingar eða gögn, sem og til fleiri atriða. Slíkt kemur reglulega upp í starfsemi stofnunarinnar og er hennar eina úrræði þá að beita stjórnvaldssekt, sem stofnunin telur mun meira íþyngjandi úrræði gagnvart fyrirtækjum og stofnunum.
Loks telur Persónuvernd að misskilnings gæti hjá SA um hvenær heimilt er að leggja á dagsektir enda kemur skýrlega fram í ákvæðinu sjálfu í hvaða tilvikum heimilt er að beita því, nánar tiltekið þegar ekki er farið að fyrirmælum Persónuverndar samkvæmt 6., 7. og 9. tölul. 42. gr. laganna. Með vísan til þess telur stofnunin ekki þörf á sérstökum viðmiðunum um hvenær dagsektum er beitt, enda allajafna vísað til þess í endanlegri niðurstöðu máls á grundvelli hvaða töluliðar 42. gr. laganna fyrirmæli byggjast.
11. Stjórnvaldssektir og refsiábyrgð skv. 48. gr. laga nr. 90/2018
Í erindi SA er lagt til að refsirammi samkvæmt 1. mgr. 48. gr. laga nr. 90/2018 verði færður til samræmis við ákvæði dönsku laganna. Þá er einnig óskað eftir breytingum á 3. mgr. 48. gr. varðandi brot persónuverndarfulltrúa á þagnarskyldu í erindi samtakanna frá 14. janúar sl.
Persónuvernd gerir ekki athugasemdir við framangreinda tillögu SA, enda kemur stofnunin ekki að ákvörðun fangelsisrefsingar.
12. Nýtt ákvæði um vinnslu persónuupplýsinga í atvinnutengdu samhengi (vinnuréttarsamband)
Í erindi SA er lagt til að lögfest verði áþekkt ákvæði og finna má í 12. gr. dönsku persónuverndarlaganna um vinnslu upplýsinga í atvinnutengdu samhengi. Persónuvernd tekur undir þau sjónarmið sem reifuð eru í erindi SA um að þörf sé á ítarlegri ákvæðum um vinnslu persónuupplýsinga í vinnuréttarsamböndum. Í því samhengi bendir Persónuvernd t.a.m. á álit stofnunarinnar frá árinu 2013 í máli nr. 2013/315 varðandi vinnslu persónuupplýsinga í tengslum við framkvæmd vímuefnaprófana en þar benti stofnunin á að þörf væri á nánari ákvæðum í lögum og reglugerðum um hvenær slíkar prófanir væru heimilar. Þá fær stofnunin reglulega kvartanir og önnur erindi frá starfsmönnum og stéttarfélögum vegna rafrænnar vöktunar (eftirlitsmyndavéla) á vinnustöðum og meðferðar tölvupósts við starfslok. Í raun má segja að kvartanir vegna eftirlitsmyndavéla séu einn af stærstu efnisflokkum kvartana hjá Persónuvernd og hugsanlega væri hægt að draga úr fjölda þeirra með skýrum reglum þar um.
Persónuvernd telur þó að betur færi á því að ákvæði er lúta eingöngu að vinnslu persónuupplýsinga í vinnuréttarsamböndum væri almennt að finna í þeim lögum sem lúta sérstaklega að vinnurétti, á svipaðan hátt og gert hefur verið í Noregi, t.d. í lögum nr. 46/1980 um aðbúnað, hollustuhætti og öryggi á vinnustöðum.
Þá telur Persónuvernd rétt að benda á að í tillögu samtakanna um nýtt ákvæði er samhliða vísað til samþykkis, lagaheimildar og lögmætra hagsmuna sem heimildar fyrir vinnslu. Persónuvernd telur því rétt að árétta að ákvæði sem mæla fyrir um samþykki starfsmanna fyrir tiltekinni vinnslu geta skotið skökku við gagnvart persónuverndarlögum, þar sem þau lög gera ráð fyrir að samþykki sé frjálst og óháð þegar það er veitt. Í vinnuréttarsambandi verður sjaldnast talið að slíkar aðstæður séu til staðar, þegar slíkt samband hefur á annað borð komist á. Persónuvernd hefur hins vegar lýst þeirri skoðun sinni á ýmsum vettvangi að eðlilegt geti verið að aflað sé viljayfirlýsingar hins skráða við tilteknar aðstæður. Persónuvernd telur því nauðsynlegt að skoða framangreinda tillögu nánar og hvernig hún gagnist best í framkvæmd
Loks er Persónuvernd reiðubúin að veita sérfræðiaðstoð við samningu nýrra ákvæða hvað þetta varðar ef þess er óskað.
13. Ný sérlög um rafræna vöktun og vinnslu persónuupplýsinga
Í erindi SA er lagt til að hugað verði að samningu nýrra sérlaga um rafræna vöktun og vinnslu persónuupplýsinga. Að mati Persónuverndar er full ástæða til að skoða nánar möguleika á slíkri lagasetningu, sbr. ofangreinda umfjöllun um vinnslu persónuupplýsinga í atvinnutengdu samhengi.
Persónuvernd áréttar að frá gildistöku laga nr. 90/2018 hefur verið stefnt að því að endurskoða reglur stofnunarinnar um rafræna vöktun. Vegna mikils álags hjá Persónuvernd og undirmönnunar er því verkefni enn ólokið. Persónuvernd telur þó mikla þörf á að reglurnar verði uppfærðar og er stefnt að því að ljúka þeirri vinnu á vormánuðum.
14. Afgreiðslutími mála hjá Persónuvernd
Í erindi SA frá 14. janúar sl. er bent á að álag á skrifstofu Persónuverndar hafi verið mikið undanfarin ár vegna fjölgunar mála hjá stofnuninni. Þrátt fyrir verulega innspýtingu á fjárlögum og tvöföldun starfsemi stofnunarinnar sé málahalli og afgreiðslutími stofnunarinnar enn of langur með tilheyrandi óvissu fyrir atvinnulífið. Þá segir í erindinu að sanngjarnt jafnvægi þurfi að ríkja milli réttinda einstaklinga og hagsmuna þeirra fyrirtækja sem vinna persónuupplýsingar um einstaklinga. Ábyrgðaraðilar hafi stuttan frest til að afgreiða flókin og umfangsmikil erindi frá einstaklingum. Persónuvernd séu hins vegar engar skorður settar þegar kemur að afgreiðslu á kvörtunarmálum þrátt fyrir mikla hagsmuni sem séu í húfi fyrir fyrirtæki sem e.t.v. þurfi að gera hlé á sinni vinnslu á meðan skorið er úr ágreiningi. Að mati samtakanna sé eðlilegt að setja afgreiðslutíma stofnunarinnar einhver tímamörk og er það mat SA að þau atriði sem þau hafi bent á ættu öll að leiða til skilvirkni hjá stofnuninni sjálfri ef úrbætur verði gerðar, því tími stofnunarinnar færi þá frekar í að sinna brýnum verkefnum heldur en síendurteknum fyrirspurnum og kvörtunum.
Persónuvernd er sammála því mati SA að afgreiðslutími stofnunarinnar sé of langur. Þá er stofnunin sammála því að of mikill tími fari í afgreiðslu kvartana sem varða minniháttar hagsmuni einstaklinga en geta varðað fyrirtæki miklu. Það er eindreginn vilji Persónuverndar að draga úr vægi minniháttar kvartana í starfseminni og einblína frekar á úttektir og frumkvæðisathuganir.
Hvað kvartanirnar varðar er Persónuvernd hins vegar bundin af stjórnsýslulögum. Það hefur meðal annars þá þýðingu að stofnunin hefur ekki val um það hvort hún tekur slík mál til meðferðar eða ekki, ólíkt því sem gildir almennt um frumkvæðiseftirlit stofnunarinnar, jafnvel þótt hagsmunirnir sem undir eru í kvörtunarmálunum séu í sumum tilvikum litlir, og sannarlega minni en þeir hagsmunir sem litið yrði til við framkvæmd úttekta og frumkvæðisathugana. Kvörtunum til Persónuverndar hefur fjölgað hratt undanfarin misseri og er málsmeðferð þeirra þung og tímafrek í samanburði við flestar aðrar málategundir hjá Persónuvernd, meðal annars með hliðsjón af rannsóknarreglu stjórnsýslulaga, reglum um andmælarétt og fleira. Persónuvernd ákvað því á árinu 2020 að endurskoða alla verkferla hjá stofnuninni, meðal annars í kvörtunarmálum, með það fyrir augum að stytta þá eins og kostur væri, auka skilvirkni og fella mál niður eða vísa þeim frá eins snemma í rannsóknarferlinu og unnt er hverju sinni, þegar slíkt á við. Þrátt fyrir það er ljóst að aukinn mannafla þarf til þess að Persónuvernd geti afgreitt kvartanir á ásættanlegum tíma auk þess að sinna skyldum sínum til frumkvæðiseftirlits, sem og öðrum lögbundnum verkefnum sínum.
Svo sem ráðuneytinu er kunnugt um hefur Persónuvernd ítrekað komið því á framfæri að brýn þörf sé á að fjölga starfsmönnum hjá stofnuninni hið allra fyrsta og þar með fært röksemdir fyrir því hvers vegna aukið fjármagn hefur ekki dugað, sbr. hér fimm blaðsíðna bréf til dómsmálaráðuneytis 15. janúar 2020 auk 13 blaðsíðna ítarefnis, sem og ítarlegar ábendingar frá Persónuvernd, m.a. til ráðuneytisins, vegna fjárlaga fyrir árið 2021. Hefur stofnunin meðal annars vísað til þess í rökstuðningi sínum að verði ekki leyst úr undirmönnun hjá Persónuvernd muni áhrif þess koma fram gagnvart atvinnulífinu og fyrirtækjum ekki síður en einstaklingum, einkum vegna þess hversu langur afgreiðslutími mála er hjá stofnuninni. Slíkt hefur eðli málsins samkvæmt mikil áhrif á hagsmuni allra málsaðila. Erindi SA staðfestir þessi áhrif sem Persónuvernd hefur vísað til. Telur Persónuvernd hér rétt að árétta að samkvæmt ítarlegri greiningu [...] þáverandi setts forstjóra Persónuverndar árið 2013 hefði stofnunin þá þurft að lágmarki 13-14 starfsmenn til að geta sinnt því álagi sem þá var til staðar. Árið 2013 hafði Persónuvernd til meðferðar 1.888 mál. Árið 2020 voru mál til meðferðar tæplega 4.000 talsins. Ef 14 starfsmenn þurfti fyrir tæp 2.000 mál má ætla að um 28 starfsmenn þyrfti fyrir tæp 4.000 mál. Sérstaklega skal hér haft í huga að málin sem eru til afgreiðslu samkvæmt núgildandi lögum eru almennt þyngri en áður var. Hjá Persónuvernd eru nú að störfum 17 starfsmenn og bráðlega þarf að segja einum þeirra upp vegna kröfu fjárlaga.
Með vísan til framangreinds fagnar Persónuvernd því að SA taki í sama streng í erindum sínum og bendi á að aðgerða sé þörf hjá Persónuvernd. Engu að síður er nauðsynlegt að benda á að það nægir ekki eitt og sér að Persónuvernd setji sér viðmið um afgreiðsluhraða eða tímamörk, en það hefur raunar þegar verið gert. Ef ekki er hægt að ráða nægilega marga starfsmenn til að vinna málin verða slík tímamörk einfaldlega brotin, þar sem ekki er mögulegt að virða þau. Svo sem fram hefur komið í erindum Persónuverndar til ráðuneytisins er álag á starfsfólk stofnunarinnar nú þegar meira en ásættanlegt getur talist. Ljóst er að auknar fjárheimildir til Persónuverndar eru því forsenda fyrir því að hægt verði að afgreiða þau mál sem stofnuninni berast hraðar en nú er gert. Þá væri jafnframt ákjósanlegt að stofnunin fengi sérstaka heimild í lögum til að forgangsraða þeim kvörtunum sem borist hafa stofnuninni eftir mikilvægi þeirra eða vísa frá kvörtunum sem varða smávægilega hagsmuni.
Þá telur Persónuvernd rétt að taka fram nokkur atriði í þessu sambandi. Í fyrsta lagi hefur töluverð vinna farið fram síðastliðna mánuði hjá Persónuvernd við að einfalda ferla við rannsókn mála, svo sem áður var nefnt. Í öðru lagi fékk Persónuvernd nýlega samþykkt verkefni hjá Stafrænu Íslandi um endurskoðun á vefsíðu stofnunarinnar hvað varðar innsendingu erinda. Markmið þeirrar vinnu er að setja upp svokallaðar sanngjarnar hindranir þegar sendar eru inn kvartanir til Persónuverndar, t.d. þannig að ef einstaklingur hefur ekki nýtt réttindi sín fyrst hjá ábyrgðaraðila verði honum leiðbeint um að snúa sér þangað til að fá úrlausn sinna mála áður en kvörtun er lögð inn hjá stofnuninni. Þá hefur stofnunin enn fremur í hyggju að beina fyrirspurnum í betri farveg en nú er, m.a. með endurbótum á leitarvél á vefsíðu stofnunarinnar. Loks er fyrirhugað að samskipti stofnunarinnar við einstaklinga og fyrirtæki verði að meginstefnu rafræn, t.d. með notkun rafræns pósthólfs og „Mínar síður“. Í þriðja lagi bendir Persónuvernd á að í kjölfar samþykktar fjárlaga fyrir árið 2021 þurfti Persónuvernd að segja upp einum og hálfum starfsmanni á meðan staða mála hjá Persónuvernd er enn mjög þung og sýnt hefur verið fram á þörf á a.m.k. 10 nýjum starfsmönnum. Á sama tíma var samþykkt að setja af stað byggðaþróunarverkefni sem felst í því að Persónuvernd leigi húsnæði af sýslumanninum á Húsavík undir tvo nýja starfsmenn. Nú þegar hefur töluverður tími farið í undirbúning opnunar hinnar nýju starfsstöðvar og er ljóst að frekari vinna er framundan við að ráða og þjálfa upp nýtt starfsfólk. Öll þessi vinna byggir á tímabundnu framlagi til eins árs. Ljóst má vera að mjög væri miður ef ekki næst að tryggja framhald á þeirri fjárfestingu sem þessar nýráðningar munu leiða til.
15. Önnur atriði
Líkt og SA nefnir eru nú hátt í þrjú ár liðin frá gildistöku laga nr. 90/2018 og reglugerðar (ESB) 2018/679. Við beitingu laganna hefur Persónuvernd komið auga á ýmis atriði sem betur mættu fara í löggjöfinni. Persónuvernd vinnur nú að samningu tillagna hvað þau atriði varðar og mun senda ráðuneytinu þær von bráðar. Lúta þær tillögur einnig að mögulegum breytingum á lögunum með það fyrir augum að draga úr álagi í starfsemi Persónuverndar, svo sem komið hefur verið inn á annars staðar í bréfi þessu.
16. Samantekt
Í erindum SA eru lagðar til fjölmargar breytingar á persónuverndarlögum og telur Persónuvernd tilefni til að skoða einhvern hluta þeirra, líkt og nánar hefur verið lýst í bréfi þessu. Mörgum atriðum er hins vegar hafnað, og þá færð rök fyrir því. Hins vegar telur Persónuvernd nauðsynlegt að benda á að tillögur SA eru ekki til þess fallnar að einfalda eða stytta málsmeðferðartíma hjá stofnuninni svo nokkru nemi. Persónuvernd hefur þegar gripið til ýmissa ráðstafana til að stytta og einfalda málsmeðferð en það er mat stofnunarinnar, sbr. fyrri erindi til dómsmálaráðuneytis, að verulega þurfi að bæta í rekstur stofnunarinnar þannig að hægt sé að sinna með fullnægjandi hætti þeim lögbundnu verkefnum sem stofnuninni hafa verið falin með persónuverndarlöggjöfinni. Þá telur Persónuvernd mjög mikilvægt að hún hafi yfir að ráða nægum mannafla bæði til að sinna kvörtunum, frumkvæðisathugunum og úttektum en einnig svo hægt sé að veita leiðbeiningar og ráðgjöf til fyrirtækja og stofnana – til að tryggja að hugað sé að grundvallarréttindum einstaklinga til friðhelgi einkalífs og ekki síst til að koma í veg fyrir misskilning og aukið vinnuálag á þá sem vinna með persónuupplýsingar. Þá skal á það minnt að íslenskum stjórnvöldum ber samkvæmt persónuverndarreglugerðinni að sjá til þess að starfsskilyrði stofnunarinnar séu ásættanleg. Sú er ekki staðan í dag. Að lokum fagnar Persónuvernd tillögum um aukið samtal stofnunarinnar við Samtök atvinnulífsins og telur það í raun nauðsynlegt svo að aukinn skilningur skapist á þessum mikilvæga málaflokki í íslensku atvinnulífi.
F.h. Persónuverndar,
Helga Þórisdóttir Vigdís Eva Líndal