Umsögn Viðskiptaráðs, SA, SI, SFS, SVÞ, SAF, Samorku og SFF um frumvarp til laga um breytingu á lögumum um persónuvernd og vinnslu persónuupplýsinga
Samtök atvinnulífsins, Samtök iðnaðarins, Samtök fyrirtækja í sjávarútvegi, SVÞ-Samtök verslunar og þjónustu, Samtök ferðaþjónustunnar, Samorka, Samtök fjármálafyrirtækja og Viðskiptaráð Íslands (samtökin) hafa tekið til umsagnar ofangreint mál sem birt var á samráðsgátt stjórnvalda 6. október. Með frumvarpinu eru lagðar til ýmsar lagabreytingar að fengnum ábendingum frá Persónuvernd.
Við innleiðingu persónuverndarreglugerðarinnar í íslenskan rétt, með lögum nr. 90/2018 (pvl.) var að ýmsu leyti gengið lengra en nauðsyn var með íþyngjandi sérreglum umfram það sem nágrannaþjóðir á Norðurlöndum gerðu. Reglugerðin hefur að geyma ýmis ákvæði sem heimila aðildarríkjum að setja sérreglur ásamt því að takmarka eða útfæra nánar tiltekin ákvæði reglugerðarinnar. Það svigrúm sem persónuverndarreglugerðin gefur til setningar ívilnandi undanþáguheimilda var nýtt að litlu leyti við lagasetninguna. Með þeirri reynslu sem nú er komin á löggjöfina er eðlilegt að endurskoða það sem betur má fara. Frumvarpið inniheldur nokkrar jákvæðar breytingar en samtökin vilja nota þetta tækifæri og árétta athugasemdir sem sendar voru á ráðuneytið í júlí 2020 og aftur í janúar 2021. Ráðuneytið hefur ekki brugðist við ábendingunum en Persónuvernd hefur þrátt fyrir það birt á heimasíðu svör við athugasemdum samtakanna. Samtökin gagnrýna þessa aðferðafræði og kalla enn eftir viðbrögðum ráðuneytisins. Helstu áhersluatriði og athugasemdir samtakanna eru eftirfarandi.
4. mgr. 17. gr. pvl. takmarkar réttindi einstaklinga til aðgangs að vinnuskjölum sem notuð eru við undirbúning ákvarðana hjá ábyrgðaraðila, og hefur ekki verið dreift til annarra, að því marki sem nauðsynlegt er til að tryggja undirbúning málsmeðferðar. Samkvæmt úrskurði Persónuverndar í máli nr. 2020010740 er lagt til grundvallar að tölvupóstsamskipti á milli ábyrgðaraðila og hins skráða teljist ekki vinnuskjöl. Slík túlkun leggur ósanngjarnar byrðar á stærri fyrirtæki sem alla jafna líta ekki á tölvupóstforrit sem gagnageymslu eða skjalavistunarkerfi. Yfirgripsmikil leit á netpóstþjónum stórra skipulagsheilda er ógjörningur og óþörf ef slíkir póstþjónar geyma ekki endanlega afgreiðslu máls gagnvart einstaklingum. Í umfangsmikilli starfsemi lögaðila geta verið sendir tugþúsundir almennra tölvupósta á degi hverjum sem að miklu leyti fela í sér almennar fyrirspurnir eða undirbúning vöru- eða þjónustukaupa en ekki endanlega afgreiðslu tiltekinna mála gagnvart hinum skráðu. Að mati samtakanna er nauðsynlegt að löggjafinn taki afstöðu til þess hversu langt umrædd undanþága um vinnuskjöl skuli ná. Þá er það mat samtakanna að vinnuskjöl utan skilgreindra gagnasafna eða skjalavörslukerfa ættu að vera undanþegin aðgangsrétti samkvæmt framanrituðu.
Að mati samtakanna er brýnt að breyta framkvæmd tilnefningar og skipunar í stjórn Persónuverndar en ákvörðun um tilnefningu og skipun hefur verið óbreytt um langt skeið. Persónuverndarlög eru almenn lög sem eru túlkuð í samræmi við þann aragrúa af sérlögum og regluverki sem gildir um ólíka aðila og kima atvinnulífsins sem og hins opinbera. Tilteknar starfsgreinar eins og heilbrigðis- og upplýsingatæknigeirinn tilnefna aðila í stjórn með sérfræðiþekkingu á umræddum sviðum. Þekking á túlkun og beitingu laganna í framkvæmd með hliðsjón af rekstrarumhverfi fyrirtækja og ákvarðanatöku um vinnslu persónuupplýsinga er mikilvæg. Það er öllum í hag að niðurstöður og vægi ákvarðana stjórnar Persónuverndar sé með þeim hætti að þær hafi fordæmis- og leiðbeiningagildi fyrir atvinnulífið. Þá hafa samtökin fengið upplýsingar um að tilteknir úrskurðir stofnunarinnar séu efnislega mjög almennir og taki þ.a.l. ekki tillit til raunverulegrar framkvæmdar við vinnslu persónuupplýsinga. Það dregur úr réttaröryggi og fyrirsjáanleika fyrir atvinnulífið sem og aðra aðila sem persónuverndarlög gilda um.
Í athugasemdum frumvarps við 2. mgr. 38. gr. pvl. kemur fram að stjórnarmenn skuli hafa „þekkingu á málefnum tengdum persónuvernd og menntun sem nýtist á þessu sviði sbr. 2 mgr. 53. gr. almennu persónuverndarreglugerðarinnar“. Í því samhengi skýtur það skökku við að einstaklingssamtök á sviði upplýsingatækni, SKÝ, tilnefni einn stjórnarmann en samtökin eru með um 1000 félagsmenn og er opið öllum sem hafa áhuga á upplýsingatækni. Þótt hér sé um að ræða aðila sem hefur undanfarin ár haft þennan tilnefningarrétt, þá má velta því fyrir sér nú hvort umrædd samtök séu best til fallin í dag til að tilnefna stjórnarmann hjá þessari stofnun, einkum í ljósi þeirrar miklu tækniþróunar og aukinnar þekkingar á því sviði sem hefur átt sér stað sérstaklega hjá fyrirtækjum landsins. Réttur félagsins til tilnefningar stjórnarmeðlims í stjórn Persónuverndar hefur því óeðlilega mikil áhrif á kostnað annarra geira eða atvinnulífsins í heild, sem hafa frekar þekkingu á bæði starfsemi, tækni og aðstæðum allra fyrirtækja í landinu. SA eru heildarsamtök íslensks atvinnulífs með sex aðildarsamtökum sem byggja á ólíkum atvinnugreinum. Yfir 2000 fyrirtæki eiga aðild að samtökunum sem eru fullfær um að tilnefna aðila með viðeigandi þekkingu á málefnum tengdum persónuvernd og framkvæmd persónuverndarlaga, þ.m.t. upplýsingatækni ef svo ber undir. Að öðrum kosti er ljóst að enginn innan stjórnar Persónuverndar hefur þekkingu úr atvinnulífinu sérstaklega, sem gæti mögulega skipt sköpum þegar kemur að því að kveða upp fordæmisgefandi úrskurði hér á landi. Hið sama má segja um starfsfólk stofnunarinnar sem ætla má að hafi fyrst og fremst bakgrunn úr opinberri stjórnsýslu en fáheyrt er að fólk úr atvinnulífinu veljist þar til starfa.
Loks er það mat samtakanna að taka megi til endurskoðunar hvort og þá hvaða geirar atvinnulífsins skuli eiga sérstaka fulltrúa í stjórn Persónuverndar umfram aðra. Háskóla-, iðnaðar- og nýsköpunarráðuneytið fer með málefni netöryggis og fjarskipta sem nýverið tilnefndi aðila í stjórn Persónuverndar sem jafnframt fer með eftirlitsheimildir hjá eftirlitsstofnun innan fjarskiptageirans.
Það er brýn þörf á skýrari skilgreiningu hugtaksins öryggisbrestur við meðferð persónuupplýsinga með tilliti til áhættu, eða eftir atvikum skorts á áhættu, fyrir hina skráðu með því að undanskilja tiltekin atvik sem öryggisbrest við meðferð persónuupplýsinga í skilningi pvl.
Í daglegum rekstri fyrirtækja verða fjölmörg rekstrartilvik sem ekki öll flokkast sem öryggisbrestur samkvæmt pvl. Engu að síður þarf að meta sérhvert atvik með tilliti til áhættunnar af því fyrir réttindi og frelsi hinna skráðu. Kallað hefur verið eftir skýrari leiðbeiningum frá Persónuvernd um það hvaða atvik eða hvers konar takmörkuð áhætta leiði til þess að ekki sé þörf á að tilkynna Persónuvernd um öryggisbrest við meðferð persónuupplýsinga. Því minni sem fyrirtæki eru því mun þyngri byrðar leggur skylda 2. mgr. 27. gr. pvl. á fyrirtæki sem mörg hver skortir sérþekkingu á áhættugreiningu og því lögfræðilega mati sem nauðsynlega þarf að fara fram við afgreiðslu slíkra atvika. Sem dæmi má nefna að rekstrartafir eða tímabundinn óaðgengileiki (niðritími) eru algeng í rekstri upplýsingatæknifyrirtækja bæði hjá vinnsluaðilum og ábyrgðaraðilum. Einnig geta hugbúnaðar- eða tölvuvillur eða minniháttar mistök við afgreiðslu eða samskipti við einstaklinga valdið mistökum sem hafa litla sem enga áhættu fyrir einstaklinga sem og frávik frá stefnum, reglum eða verkferlum aðila sem geta flokkast sem rekstraratvik en hafa enga áhættu í för með sér fyrir einstaklinga.
Þá er það Persónuvernd ekki í hag að fá tilkynningar frá atvinnulífinu og hinu opinbera um almenn rekstraratvik sem ekki hafa áhættu í för með sér fyrir einstaklinga. Slíkt gengur gegn eðli skyldunnar og veldur óskilvirkni og tímaeyðslu.
Margir ábyrgðaraðilar hafa þegar tilkynnt atvik til Persónuverndar sem þeir telja ekki endilega fela í sér öryggisbrest í skilningi laganna. Þeir tilkynna atvikið engu að síður til vonar og vara, sér í lagi í ljósi þeirra afar matskenndu sjónarmiða sem ráða því hvort slíkt atvik sé tilkynningarskylt eða ekki, sem og sektaráhættunnar sem fylgir mögulega því að tilkynna ekki tilkynningarskylt atvik sem öryggisbrest til Persónuverndar. Nú þegar liðin eru rúm 4 ár frá gildistöku laganna hlýtur stofnunin að vera komin með reynslu af því hvaða tegundir atvika eru ekki talin falla undir skilgreiningu hugtaksins öryggisbrestur og séu því undanskilin tilkynningarskyldu til stofnunarinnar. Jafnvel hafa einstökum ábyrgðaraðilum nú þegar borist svör frá PV sem undanskilja tiltekin og almenn rekstraratvik.
Afar brýnt er að teknar verði saman helstu tegundir slíkra öryggisbresta og þeir birtir opinberlega í ljósi leiðbeiningarskyldu Persónuverndar, til að tryggja gagnsæi og jafnræði meðal ábyrgðaraðila og til að auka fyrirsjánleika í atvinnulífinu og létta byrðar á örsmáum og litlum fyrirtækjum og auka með því skilvirkni og draga úr þeim mikla tíma og kostnaði sem fylgir þeirri umfangsmiklu greiningu atvika sem fram fer í atvinnulífinu. Sem dæmi mætti setja nýja málsgrein inn í 27. gr., 4. mgr., á þessa leið:
„Persónuvernd setur reglur og gefur fyrirmæli um viðbrögð við tegundum öryggisbresta við meðferð persónuupplýsinga sem ekki er líklegt að leiði af sér áhættu fyrir réttindi og frelsi einstaklinga sem ekki er þörf á að tilkynna eftirlitsyfirvaldinu um.“
Einnig mætti orða nýja 4. mgr. 27. gr. pvl. á þá leið að Persónuvernd skuli gefa út leiðbeiningar til ábyrgðaraðila um þær tegundir öryggisbresta við meðferð persónuupplýsinga sem ekki eru líklegar til að leiða af sér áhættu fyrir réttindi og frelsi einstaklinga. Þá mætti uppfæra þær leiðbeiningar sem gefnar voru út af stofnuninni í febrúar 2018 með tilliti til framangreindra sjónarmiða.
Umfang rafrænnar vöktunar hérlendis, bæði hjá einkaaðilum, atvinnulífinu og hinu opinbera er mikið. Reglur Persónuverndar nr. 837/2006 um rafræna vöktun, eru komnar til ára sinna og ná ekki yfir þann raunveruleika eða framkvæmd sem stuðst er við í dag, t.d. einstaklinga sem vakta heimili sín með öflugum myndavélakerfum og öppum.
Afhending efnis sem verður til við rafræna vöktun er óheimil til annarra en lögreglu nema samþykki einstaklings sem fram kemur á myndbandi liggi fyrir. Þó eru dæmi um að sóttvarnaryfirvöld og smitrakningateymi almannavarna hafi óskað eftir aðgangi að myndefni úr eftirlitsmyndavélum ábyrgðaraðila og voru ábyrgðaraðilar í erfiðri stöðu í slíkum aðstæðum enda brýtur afhending gegn skýru orðalagi framangreindra reglna Persónuverndar.
Á öðrum Norðurlöndum hafa verið sett sérlög um rafræna vöktun en reglugerð ESB 679/2016 (GDPR) fjallar ekki um rafræna vöktun að neinu leyti heldur er 14. gr. pvl. sérákvæði sem Ísland innleiddi. Hér eru mikil tækifæri til að einfalda og skýra regluverk sem snertir atvinnulífið í heild og almenna borgara sem nýta sér ýmsar vöktunarlausnir og búnað, og innleiða skýrari skilyrði fyrir rafrænni vöktun þar sem nauðsynlegt er að hún fari fram. Einnig þarf að taka af allan vafa í lögum um að opinber birting myndefnis sem verður til við rafræna vöktun sé óheimil en slík myndbönd birtast nær daglega á samfélagsmiðlum.
Brot persónuverndarfulltrúa á þagnarskyldu getur varðað sektum eða fangelsi allt að einu ári, sbr. 3. mgr. 48. gr. Hafi brot verið framið til að afla persónuverndarfulltrúa eða öðrum óréttmæts ávinnings má beita fangelsi allt að þremur árum. Hér er um að ræða verulega íþyngjandi viðurlög fyrir starfsstétt persónuverndarfulltrúa sem er ný og vaxandi hér á landi. Persónuverndarfulltrúar eru einangraðir í sínum störfum fyrir ábyrgðar- eða vinnsluaðila og nokkurs konar eyland í starfsemi aðila. Of ströng skilyrði og refsiviðurlög gagnvart persónuverndarfulltrúum eru til þess fallin að fæla einstaklinga frá störfum persónuverndarfulltrúa sem margir hverjir starfa fyrir fyrirtækjasamstæðu eða fleiri en eitt stjórnvald, sbr. 2. mgr. 35. gr. pvl., og ber í störfum sínum að vinna með persónuverndaryfirvöldum eftir atvikum gegn vilja vinnuveitanda síns. Eru þeir því oft á milli steins og sleggju t.d. þegar kemur að ákvörðun um að tilkynna öryggisbrest. Eigi þeir þar að auki á hættu að verða beittir alvarlegum viðurlögum við framkvæmd starfs síns er ólíklegt að hæfasta fólkið ráðist í mikilvæg störf persónuverndarfulltrúa í atvinnulífinu. Þá er nauðsynlegt að bera refsiviðurlög pvl. saman við sambærileg þagnarskyldu- og refsiáákvæði í öðrum lögum sbr. t.d. XXV. kafla almennra hegningarlaga nr. 19/1940 þar sem refsingar fyrir brot gegn friðhelgi einkalífs varða alla jafna sektum eða fangelsi allt að einu ári. Þá er ekki vitað til þess að viðlíka refsiheimild sé til staðar í sambærilegri löggjöf á Norðurlöndunum.
Álag á skrifstofu Persónuverndar hefur verið mikið undanfarin ár vegna aukningar í málafjölda stofnunarinnar. Þrátt fyrir verulega innspýtingu á fjárlögum og tvöföldun starfsemi stofnunarinnar er málahalli og afgreiðslutími stofnunarinnar enn of langur með tilheyrandi óvissu fyrir atvinnulífið í landinu og þar með hina skráðu. Með fyrirliggjandi frumvarpi er ætlunin að bregðast við álagi á stofnunina með því að Persónuvernd þurfi ekki að úrskurða um hvort brot hafi átt sér stað í öllum kvörtunarmálum. Þessi breyting er af hinu góða enda má gera ráð fyrir því að í mörgum málum verði hægt að byggja á fyrri úrskurðum stofnunarinnar.
Pvl. færðu einstaklingum aukin réttindi og stjórn yfir eigin persónuupplýsingum sem er mjög jákvætt í stafrænu upplýsingasamfélagi. Engu að síður þarf að ríkja sanngjarnt jafnvægi milli réttinda einstaklinga og hagsmuna þeirra fyrirtækja sem þurfa að vinna persónuupplýsingar um einstaklinga svo unnt sé að bjóða nauðsynlegar vörur og þjónustu í stafrænu samfélagi. Ábyrgðaraðilar að vinnslu persónuupplýsinga hafa stuttan frest til að afgreiða flókin og umfangsmikil erindi frá einstaklingum, t.d. varðandi rétt þeirra til aðgangs að eigin persónuupplýsingum, leiðréttingar eða eyðingar persónuupplýsinga.
Persónuvernd eru hins vegar engar skorður settar þegar kemur að afgreiðslu í kvörtunarmálum þrátt fyrir mikla hagsmuni sem eru í húfi fyrir fyrirtæki sem e.t.v. þurfa að gera hlé á tiltekinni vinnslu í starfsemi sinni á meðan skorið er úr ágreiningi fyrir stofnuninni. Með fyrirliggjandi frumvarpi verður Persónuvernd gert að ákveða hvort mál séu þannig vaxin að til úrskurðar þurfi að koma og skal stofnunin upplýsa kvartanda um framvindu og niðurstöður máls innan hæfilegs tíma. Hæfilegur tími er mjög matskennt hugtak. Að mati samtakanna er sanngjarnt og eðlilegt að setja afgreiðslutíma stofnunarinnar einhver ákveðin tímamörk, en alla jafna tekur það stofnunina marga mánuði og í vissum tilvikum einhver ár að komast að niðurstöðu í einstökum málum. Slíkt leggur þungar byrðar á atvinnulífið og takmarkar möguleika fyrirtækja til vinnslu persónuupplýsinga, t.d. í stafrænum lausnum eða annars konar framþróun á vöru og þjónustuframboði vegna þeirrar óvissu sem ríkir á þeim tíma sem það tekur stofnunina að komast að niðurstöðu. Slík staða getur valdið hinum skráða miklum óþægindum. Skilvirkari afgreiðsla stofnunarinnar bætir réttaröryggi borgaranna og eykur fyrirsjáanleika og gagnsæi gagnvart atvinnulífinu en langur afgreiðslufrestur er afar óheppilegur í ljósi hins stranga regluverks og þeirra þungu viðurlaga sem brot fyrirtækja gegn pvl. hafa í för með sér. Má í þessu samhengi því benda á að framangreind atriði, um skýringu málefna á borð við öryggisbresti, rafræna vöktun og vinnuskjöl, ættu öll að leiða til aukinnar skilvirkni hjá stofnuninni sjálfri ef úrbætur verða gerðar. Tími stofnunarinnar sem færi ella í að svara síendurteknum fyrirspurnum eða kvörtunum um þau málefni gæti verið nýttur í önnur brýn verkefni hjá stofnuninni.
Í erindi til ráðherra frá 10. júlí 2020 lögðu samtökin til að 45. gr. laganna yrði felld brott. Ákvæðið veitir Persónuvernd heimild til að leggja á dagsektir allt að 200.000 kr. á dag til viðbótar við afar háar stjórnvaldssektir, auk þess sem stórfellt brot á lögunum geta varðað fangelsisrefsingu allt að þremur árum. Í ljósi þeirra valdheimilda sem stofnunin hefur skv. lögunum eru engin rök fyrir því að hafa jafnframt ákvæði um dagsektir. Slíka heimild er ekki að finna í norsku persónuverndarlögunum og málum er jafnframt öðruvísi háttað í Danmörku.
Þrátt fyrir framangreindar ábendingar samtakanna eru nú lagðar til breytingar varðandi álagningu dagsekta þannig að ekki þurfi aðkomu stjórnar að dagsektarákvörðun. Jafnframt er lagt til að bætt verði við heimild til álagningar dagsekta í þeim tilvikum þegar ekki er orðið við beiðnum Persónuverndar um upplýsingar eða aðgang að gögnum eða húsnæði. Þannig er m.ö.o aukið á heimildir Persónuverndar til álagningar dagsekta og stofnuninni gert hægara um vik þar sem aðkoma stjórnar verður óþörf. Samtökin mótmæla þessari breytingu harðlega og árétta framangreinda afstöðu sína. Eðlilegra er ákvarðanir um viðurlög væru teknar af stjórn stofnunarinnar en ekki starfsmönnum.
Líkt og kom fram í kafla 3 að framan um öryggisbresti er að mati samtakanna mikilvægt að leiðbeinandi hlutverk Persónuverndar verði eflt. Í kringum gildistöku pvl. var stofnunin reglulega með fræðsluerindi en á síðustu árum hefur dregið verulega úr. Sem dæmi má nefna að í Danmörku er hægt að leita til Persónuverndar og fá afrit af gögnum (úrskurðum o.fl.) sem varða tiltekið efni.
Þessu tengt vilja samtökin kalla eftir leiðbeiningum frá stofnuninni um fleiri atriði. Má þar helst nefnda tengsl fjarskiptalaga og persónuverndar hvað varðar bannmerkingar og óumbeðin fjarskipti.
Loks mætti atvinnulífið eiga greiðari aðgang að Persónuvernd þannig að persónuverndarfulltrúar geti leitað til stofnunarinnar eftir leiðbeiningum og upplýsingum varðandi mál án þess að beðið sé formlegrar afgreiðslu sem tekur langan tíma.