P-dagurinn nálgast

Undanfarin tvö ár hefur staðið yfir hér á landi undirbúningur að nýrri löggjöf um persónuvernd. Í ljósi þeirrar byltingar sem orðið hefur í söfnun og dreifingu persónuupplýsinga undanfarin ár og í ljósi aukinna möguleika á að sækja og dreifa slíkum upplýsingum er endurskoðun á gildandi löggjöf löngu tímabær. Hvatinn að þessari endurskoðun er að þessu sinni ný löggjöf ESB, hin svokallaða Persónuverndarreglugerð sem samþykkt var árið 2016 og kemur til framkvæmda 25. maí nk. í löndum ESB. Ísland og hin EFTA-ríkin innan EES eru skuldbundin til þess að innleiða reglugerðina og það erum við að gera.Gagnlegar athugasemdir Dómsmálaráðuneytinu hafa borist fjölmargar umsagnir við drög að frumvarpi að nýjum persónuverndarlögum. Annars vegar margar ágætar efnislegar athugasemdir um orðalag og framsetningu. Hins vegar athugasemdir um formið og virðist þar einkum þrennt hafa vakið viðbrögð. Í fyrsta lagi innleiðingaraðferðin, sem er sú að setja nýja heildarlöggjöf þar sem hin evrópska reglugerð er lögfest og birt sem fylgiskjal með lögunum en jafnframt eru sett inn í frumvarpið helstu hugtök og efni nokkurra meginákvæða reglugerðarinnar ásamt sérreglum, undantekningum og viðbótum við reglugerðina, að því marki sem reglugerðin heimilar það. Menn benda réttilega á að þetta sé ekki hefðbundin innleiðingaraðferð á reglugerð ESB. Í öðru lagi virðast menn telja frumvarpið íþyngjandi og umfram það sem reglugerðin krefjist. Í þriðja lagi hafa menn áhyggjur af því að ekki náist að innleiða reglugerðina fyrir 25. maí. Ísland verði þannig eftirbátur ESB-ríkjanna og það geti skaðað íslensk fyrirtæki.Reglugerðin hefur mikil áhrif á starfsemi allra fyrirtækja og stofnana og reglugerðin er um margt óvenjuleg. Ég tek því þessar athugasemdir um formið alvarlega en tel að málefnaleg sjónarmið sem hér verða að nokkru rakin komi til móts við þær.Óvenjuleg innleiðing óvenjulegrar reglugerðarÞá sjaldan að EFTA-ríkin innan EES innleiða reglugerðir ESB er það almennt gert með því að taka þær beint upp í landsrétt með svokallaðri tilvísunaraðferð. Reglugerðin er þannig tekin upp óbreytt í íslenska löggjöf. Þessu er öðruvísi farið þegar tilskipanir eru innleiddar, eins og núgildandi tilskipun ESB um persónuvernd er dæmi um. Þá hafa stjórnvöld val um með hvaða hætti textinn er leiddur í landsréttinn. Samkvæmt þessu ætti hin nýja persónuverndarreglugerð þannig að verða innleidd með því eingöngu að þýða texta hennar og birta sem fylgiskjal með innleiðingarlögunum.Persónuverndarreglugerð ESB hefur hins vegar þá sérstöðu, umfram reglugerðir ESB almennt, að hún veitir óvenjumikið svigrúm fyrir aðildarríkin til að setja sérreglur um tiltekin atriði, útfæra sum ákvæði hennar eða víkja frá þeim og í sumum tilvikum er skylt að festa ákveðin atriði sérstaklega í landslög. Reglugerðin hefur þannig ýmis einkenni tilskipunar enda segir hún beinlínis í inngangsorðum sínum að aðildarríkjunum sé heimilt að setja ákvæði í landsrétt sinn um sérreglur svo efni reglugerðarinnar verði skiljanlegt almenningi.Í þessu ljósi var um tvennt að ræða við innleiðingu. Annar kosturinn er að lögfesta reglugerðina og lögfesta samhliða í ný persónuverndarlög aðeins þær sérreglur sem mælt er fyrir um í reglugerðinni sjálfri. Í Noregi sýnist reyndar verða farin sú leið að samhliða lögfestingu reglugerðarinnar er lagt fram lagafrumvarp með mörgum sérákvæðum sem breyta mörgum lagabálkum en ekki sett ný persónuverndarlög.Hinn möguleikinn er að setja ný persónuverndarlög sem gefa heildstæða mynd af öllum helstu reglum á þessu mikilvæga réttarsviði og birta reglugerðina sem fylgiskjal með lögunum. Þetta dregur ekki á neinn hátt úr gildi reglugerðarinnar. Lögin verða skýr um forgangsáhrif reglugerðarinnar.Ég er ekki í vafa um að seinni kosturinn þjónar almenningi miklu betur en sá fyrri, einkum þeim sem leiða rétt sinn af reglum um persónuvernd, einstaklingunum, en einnig atvinnulífinu. Þá leiðir þessi aðferð til lagatexta sem er í mun meira samræmi við tungutak íslenskrar lögfræði.Íþyngjandi og ívilnandi Við nýtingu heimilda reglugerðarinnar til sérreglna var mjög horft til frumvarpa á Norðurlöndum. Þau ákvæði frumvarpsins sem atvinnulífið hefur lýst sem meira íþyngjandi innleiðingu reglugerðarinnar lúta flest að ákvæðum sem hafa verið í íslensku persónuverndarlöggjöfinni frá setningu gildandi laga. Þetta eru ákvæði eins og gjaldtökuheimild Persónuverndar vegna kostnaðar við eftirlit, ákvæði um heimild til ákvörðunar dagsekta og ákvæði um refsingar. Áformað er að halda þeim áfram inni í löggjöfinni svo sem reglugerðin heimilar. Verið er að fara yfir þær gagnlegu ábendingar sem komið hafa fram. Við þá yfirferð er auðvitað brýnt að óþarfa byrðar verði ekki lagðar á atvinnulíf og borgara á sama tíma og ekki má gleyma því að markmið reglugerðarinnar er að vernda einkalíf fólks á tímum þegar persónuupplýsingar eru markaðsvara og eru jafnvel notaðar í glæpsamlegum tilgangi.25. maí nálgastÞó að reglugerðin hafi ekki verið tekin upp í EES-samninginn fyrir 25. maí nk. þá er það mat ráðuneytisins að það ætti ekki að stöðva flæði persónuupplýsinga á milli ESB og Íslands. EFTA-ríkin hafa verið í nánu samráði við Evrópusambandið um innleiðingu reglugerðarinnar í EES-samninginn og mikil vinna hefur farið fram við að tryggja aðlögun þessarar flóknu löggjafar að lagakerfi EFTA-ríkjanna. Boltinn er nú hjá framkvæmdastjórn ESB en vonir standa til að þaðan verði sú ákvörðun afgreidd fljótlega og mögulegt reynist að leiða reglugerðina í EES-samninginn um það leyti sem hún kemur til framkvæmda innan ESB.Ein afleiðing af veru Íslands í EES hefur verið að frá sjónarhóli ESB hafa EFTA-ríkin ekki verið álitin svokölluð þriðju ríki heldur sem hluti af ESB hvað varðar EES-löggjöf. Á sama tíma hefur ESB tekið ákvörðun um að heimilt sé að senda persónuupplýsingar til ýmissa þriðju ríkja á grundvelli samninga við þau um að gætt verði fullnægjandi persónuverndar. Þessir samningar byggðir á eldra regluverki munu halda gildi sínu þar til annað verður ákveðið eins og mælt er fyrir um í 44. gr. reglugerðarinnar. Ákveðin hætta er á að lagatæknilega muni EFTA-ríkin falla á milli skips og bryggju þar sem þau teljast ekki þriðju ríki sem njóta ákvörðunar framkvæmdastjórnar ESB um persónuvernd en munu hugsanlega á sama tíma ekki lengur teljast sem fullgildur hluti innri markaðar ESB hvað varðar persónuvernd. Þar sem staða þessa málaflokks er í reynd jafnvel betri á Íslandi en í sumum aðildarríkjum ESB svo ekki sé talað um þriðju ríki er ljóst að slík niðurstaða yrði á skjön við alla skynsemi.Í þessu ljósi er allt kapp lagt á að innleiðingarferlinu ljúki sem fyrst og ég bind enn vonir við að Alþingi fái tækifæri til þess að samþykkja ný persónuverndarlög og þar með verði lokið innleiðingunni fyrir sumarhlé í byrjun júní. Ljóst er þó að reglugerðin verður hvorki innleidd í lög á Íslandi né Noregi fyrr en að lokinni umfjöllum sameiginlegu EES nefndarinnar.Mikilvæg nýmæli Hin nýja reglugerð felur í sér umfangsmestu breytingar sem gerðar hafa verið á persónuverndarlöggjöfinni í 20 ár. Vert er að árétta að einn megintilgangur með persónuverndarreglum er að standa vörð um friðhelgi einkalífs manna í tengslum við meðferð persónuupplýsinga. Útgangspunkturinn er réttindi einstaklinganna. Veigamesta breytingin með nýju reglugerðinni er því að hún mun gilda um vinnslu allra sem vinna með persónuupplýsingar EES-borgara, án tillits til þess hvort vinnslan fer fram innan svæðisins eða ekki. Réttur skráðra einstaklinga til aðgangs að persónuupplýsingum er rýmkaður. Þá kveður reglugerðin á um háar sektir vegna brota á reglunum. Það er ástæða til að vekja athygli á heimasíðu Persónuverndar, www.personuvernd.is. Þar er ítarleg umfjöllun um nýju reglugerðina.Í tengslum við innleiðingu persónuverndarreglugerðarinnar hefur samstarf stjórnvalda við atvinnulíf verið með miklum ágætum. Persónuvernd hefur staðið fyrir mikilli fræðslu um fyrirhugaðar breytingar. Íslensk þýðing reglugerðarinnar var birt vorið 2017 til að auðvelda aðilum undirbúning og leiðbeiningar frá samstarfsvettvangi evrópskra persónuverndarstofnana um afmörkuð atriði nýju löggjafarinnar hafa verið birtar á vef Persónuverndar. Ég legg áherslu á að þetta samstarf haldi áfram þannig að atvinnulíf og hið opinbera verði samstiga í þessum veigamiklu umbótaskrefum í þágu verndar grundvallarréttinda einstaklinganna.Greinin birtist í Morgunblaðinu 7. apríl 2018. Mynd: -I- AJM -I- / Flickr.com