Velkomin á vef Stjórnartíðinda
Setja síðu í 1024px vídd Setja síðu í 1280px vídd Setja síðu í 1400px vídd Fyrir sjónskerta Venjulegt letur Stækka letur Stækka letur enn meira

Sé munur á uppsetningu texta hér að neðan og í PDF skjali gildir PDF skjalið.
 90/2018

Nr. 90/2018 27. júní 2018

LÖG
um persónuvernd og vinnslu persónuupplýsinga.

FORSETI ÍSLANDS
gjörir kunnugt: Alþingi hefur fallist á lög þessi og ég staðfest þau með samþykki mínu:

I. KAFLI

Markmið, orðskýringar og gildissvið.

1. gr.

Markmið.

    Markmið laga þessara er að stuðla að því að með persónuupplýsingar sé farið í sam­ræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins.

    Sérstök stofnun, Persónuvernd, annast eftirlit með framkvæmd reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679, laga þessara og reglna sem settar verða samkvæmt þeim, sbr. nánar ákvæði VII. kafla laga þessara. Evrópsk eftirlitsstofnun skv. VII. kafla reglugerðarinnar er Evrópska persónuverndarráðið.

2. gr.

Lögfesting.

    Ákvæði reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin) eins og hún er tekin upp í samninginn um Evrópska efnahagssvæðið skulu hafa lagagildi hér á landi með þeim aðlögunum sem leiðir af ákvörðun sameiginlegu EES-nefndarinnar um breytingu á XI. viðauka (Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið) og bókun 37 (sem inniheldur skrána sem kveðið er á um í 101. gr.) við EES-samninginn. Reglugerðin er birt sem fylgiskjal með lögum þessum.

3. gr.

Orðskýringar.

    Merking orða í lögum þessum er sem hér segir:

  1. Reglugerðin: Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB.
  2. Persónuupplýsingar: Upplýsingar um persónugreindan eða persónugreinanlegan einstakling („skráðan einstakling“); einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, stað­setn­ingar­gögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlis­fræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti.
  3. Viðkvæmar persónuupplýsingar:
    1. Upplýsingar um kynþátt, þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð, lífs­skoðun eða aðild að stéttarfélagi.
    2. Heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heil­brigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upp­lýs­ingar um lyfja-, áfengis- og vímuefnanotkun.
    3. Upplýsingar um kynlíf manna og kynhneigð.
    4. Erfðafræðilegar upplýsingar, þ.e. persónuupplýsingar sem varða arfgenga eða áunna erfðaeiginleika einstaklings sem gefa einkvæmar upplýsingar um lífeðlisfræði eða heil­brigði einstaklingsins og fást einkum með greiningu á líffræðilegu sýni frá við­kom­andi einstaklingi.
    5. Lífkennaupplýsingar, þ.e. persónuupplýsingar sem fást með sérstakri tæknivinnslu og tengjast líkamlegum, lífeðlisfræðilegum eða atferlisfræðilegum eiginleikum einstak­lings og gera það kleift að greina eða staðfesta deili á einstaklingi með ótví­ræðum hætti, svo sem andlitsmyndir eða gögn um fingraför, enda sé unnið með upp­­lýsingarnar í því skyni að persónugreina einstakling með einkvæmum hætti.
  4. Vinnsla: Aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.
  5. Skrá: Skipulegt safn persónuupplýsinga sem er aðgengilegt samkvæmt tilteknum við­miðunum, hvort heldur það er miðlægt, dreift eða skipt upp eftir notkun eða staðsetn­ingu.
  6. Ábyrgðaraðili: Einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í sam­vinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga.
  7. Vinnsluaðili: Einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónu­upplýsingar á vegum ábyrgðaraðila.
  8. Samþykki: Óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig.
  9. Rafræn vöktun:Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði. Hugtakið tekur til:
    1. vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga og
    2. sjónvarpsvöktunar sem fer fram með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.
  10. Gerð persónusniðs: Sjálfvirk vinnsla persónuupplýsinga sem felst í því að nota persónu­upplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhuga­mál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika.
  11. Öryggisbrestur við vinnslu persónuupplýsinga: Brestur á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða þess að þær glatist, breytist, verði birtar eða aðgangur verði veittur að þeim í leyfisleysi.

4. gr.

Efnislegt gildissvið.

    Lög þessi og reglugerðin gilda um vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og um vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

    Lög þessi og reglugerðin gilda ekki um meðferð einstaklings á persónuupplýsingum sem ein­göngu varða einkahagi hans eða fjölskyldu hans eða eru einvörðungu ætlaðar til persónulegra nota.

    Lög þessi gilda um vinnslu persónuupplýsinga látinna einstaklinga eftir því sem við getur átt í fimm ár frá andláti þeirra eða lengur þegar um ræðir persónuupplýsingar sem sanngjarnt og eðli­legt má telja að leynt fari.

    Lög þessi og reglugerðin gilda ekki um vinnslu persónuupplýsinga sem fer fram þegar dómstólar fara með dómsvald sitt.

    Lög þessi og reglugerðin gilda ekki um vinnslu persónuupplýsinga sem fram fer í tengslum við störf Alþingis og stofnana og rannsóknarnefnda þess.

    Lög þessi og reglugerðin gilda ekki um vinnslu persónuupplýsinga af hálfu ríkisins í tengslum við það að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi.

    Ákvæði laga þessara og reglugerðarinnar gilda án tillits til þess hvort málefni fellur undir gildis­svið EES-samningsins, að undanskildum VII. kafla reglugerðarinnar.

5. gr.

Tengsl við önnur lög.

    Sérákvæði annarra laga um vinnslu persónuupplýsinga sem sett eru innan ramma reglu­gerðar­innar ganga framar ákvæðum laga þessara.

    Lög þessi takmarka ekki þann rétt til aðgangs að gögnum sem mælt er fyrir um í upplýs­inga­­lögum og stjórnsýslulögum.

    Ákvæði reglugerðarinnar ganga framar ákvæðum laga þessara.

6. gr.

Tengsl við tjáningarfrelsi.

    Að því marki sem það er nauðsynlegt til að samræma sjónarmið um rétt til einkalífs annars vegar og tjáningarfrelsis hins vegar má víkja frá ákvæðum laga þessara og reglugerðarinnar í þágu fjölmiðlunar, lista eða bókmennta.

    Þegar persónuupplýsingar eru einvörðungu unnar í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi gilda aðeins ákvæði a- og d-liðar 1. mgr. 5. gr., 24., 26., 28., 29., 32., 40.–43. og 82. gr. reglugerðarinnar og 48. og 51. gr. laga þessara.

7. gr.

Landfræðilegt gildissvið.

    Lög þessi og reglugerðin gilda um vinnslu persónuupplýsinga í tengslum við starfsemi ábyrgðar­aðila eða vinnsluaðila með staðfestu hér á landi óháð því hvort vinnslan sjálf fer fram á Evrópska efnahagssvæðinu eða ekki.

    Lög þessi og reglugerðin gilda um vinnslu persónuupplýsinga um skráða einstaklinga sem eru hér á landi sem fer fram í starfsemi ábyrgðaraðila eða vinnsluaðila, sem ekki hefur staðfestu á Evrópska efnahagssvæðinu, eða þegar vinnslustarfsemin tengist því að:

  1. bjóða þessum skráðu einstaklingum á Evrópska efnahagssvæðinu vöru eða þjónustu, án tillits til þess hvort það er gert gegn greiðslu; eða
  2. hafa eftirlit með hegðun þeirra að svo miklu leyti sem hegðun þeirra á sér stað innan þess svæðis.

    Þegar svo hagar til sem greinir í 2. mgr. skal ábyrgðaraðili eða vinnsluaðili tilnefna fulltrúa sinn innan Evrópska efnahagssvæðisins eða í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu, með þeim undantekningum sem kveðið er á um í 27. gr. reglugerðarinnar. Gilda þá ákvæði laga þessara varðandi ábyrgðaraðila eða vinnsluaðila um þann fulltrúa samkvæmt nánari fyrirmælum 27. gr. reglugerðarinnar.

II. KAFLI

Almennar reglur um vinnslu.

8. gr.

Meginreglur um vinnslu persónuupplýsinga.

    Við vinnslu persónuupplýsinga skal allra eftirfarandi þátta gætt eftir því sem nánar er lýst í 5. gr. reglugerðarinnar:

  1. að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða;
  2. að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi; frekari vinnsla í sagnfræðilegum, töl­fræði­legum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt;
  3. að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar;
  4. að þær séu áreiðanlegar og uppfærðar eftir þörfum; persónuupplýsingum sem eru óáreiðan­legar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar;
  5. að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu; heimilt er að geyma persónuupplýsingar lengur að því tilskildu að vinnsla þeirra þjóni einungis skjalavistun í þágu almanna­hagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi og að við­eig­andi öryggis sé gætt;
  6. að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt.

    Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. og skal geta sýnt fram á það.

9. gr.

Almennar reglur um heimildir fyrir vinnslu persónuupplýsinga.

    Vinnsla persónuupplýsinga er því aðeins heimil að einhver eftirfarandi þátta sé fyrir hendi eftir því sem nánar er lýst í 6. gr. reglugerðarinnar:

  1. hinn skráði hafi gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða;
  2. vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráð­stafanir að beiðni hins skráða áður en samningur er gerður;
  3. vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila;
  4. vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings;
  5. vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með;
  6. vinnslan sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónu­upplýsinga vegi þyngra, einkum þegar hinn skráði er barn.

10. gr.

Skilyrði fyrir samþykki.

    Þegar vinnsla er byggð á samþykki skal ábyrgðaraðilinn geta sýnt fram á að skráður ein­stak­lingur hafi samþykkt vinnslu persónuupplýsinga sinna samkvæmt nánari skilyrðum 7. og 8. gr. reglugerðarinnar.

    Ef hinn skráði gefur samþykki sitt með skriflegri yfirlýsingu, sem einnig varðar önnur málefni, skal beiðnin um samþykki sett fram á þann hátt að hún sé auðgreinanleg frá hinum málefnunum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli.

    Skráður einstaklingur á rétt á að draga samþykki sitt til baka hvenær sem er. Afturköllun samþykkis skal ekki hafa áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni.

    Þegar metið er hvort samþykki sé gefið af fúsum og frjálsum vilja skal taka ýtrasta tillit til þess hvort það sé skilyrði fyrir framkvæmd samnings að samþykki sé gefið fyrir vinnslu persónu­upplýsinga sem ekki er nauðsynleg vegna samningsins.

    Þegar barni er boðin þjónusta í upplýsingasamfélaginu með beinum hætti og vinnsla persónu­upplýsinga byggist á samþykki þess telst vinnslan því aðeins lögmæt ef barnið hefur náð 13 ára aldri. Sé barnið undir 13 ára aldri telst vinnslan aðeins lögmæt að því marki sem forsjáraðili þess heimilar samþykki. Ábyrgðaraðili skal gera það sem sanngjarnt má telja til að sannreyna í slíkum tilvikum að samþykkið sé gefið eða heimilað af hálfu forsjáraðila barnsins, að teknu tilliti til þeirrar tækni sem fyrir hendi er.

11. gr.

Sérstök skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga.

    Vinnsla viðkvæmra persónuupplýsinga skv. 3. tölul. 3. gr. laga þessara er óheimil nema uppfyllt sé eitthvert af skilyrðum 9. gr. laga þessara og enn fremur eitthvert af eftirfarandi skilyrðum samkvæmt nánari fyrirmælum 9. gr. reglugerðarinnar:

  1. hinn skráði hafi veitt afdráttarlaust samþykki sitt fyrir vinnslunni í þágu eins eða fleiri til­tekinna markmiða;
  2. vinnslan sé nauðsynleg til þess að ábyrgðaraðili eða hinn skráði geti staðið við skuld­bindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almanna­tryggingar og félagslega vernd og fari fram á grundvelli laga sem kveða á um viðeig­andi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða;
  3. vinnslan sé nauðsynleg til að verja brýna hagsmuni hins skráða eða annars einstaklings sem ekki er sjálfur fær um að gefa samþykki sitt;
  4. vinnslan fari fram sem liður í lögmætri starfsemi stofnunar, samtaka eða annars aðila sem starfar ekki í hagnaðarskyni og hefur stjórnmálaleg, heimspekileg, trúarleg eða stéttar­félags­leg markmið, enda nái vinnslan einungis til meðlima eða fyrrum meðlima viðkom­andi aðila eða einstaklinga sem eru í reglulegu sambandi við hann í tengslum við til­gang hans, persónuupplýsingar séu ekki fengnar þriðja aðila í hendur án samþykkis hins skráða og gerðar séu viðeigandi verndarráðstafanir;
  5. vinnslan taki einungis til upplýsinga sem hinn skráði hefur augljóslega sjálfur gert opinberar;
  6. vinnslan sé nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur;
  7. vinnslan sé nauðsynleg, af ástæðum sem varða verulega almannahagsmuni, og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða;
  8. vinnslan sé nauðsynleg til að unnt sé að fyrirbyggja sjúkdóma eða vegna atvinnu­sjúkdóma­lækninga, til að meta vinnufærni starfsmanns, greina sjúkdóma og veita umönnun eða með­ferð á sviði heilbrigðis- eða félagsþjónustu og fyrir henni sé sérstök laga­heimild, enda sé hún framkvæmd af starfsmanni slíkrar þjónustu sem bundinn er þagnar­skyldu;
  9. vinnslan sé nauðsynleg af ástæðum er varða almannahagsmuni á sviði lýðheilsu, svo sem til að verjast alvarlegum heilsufarsógnum sem ná yfir landamæri eða tryggja gæði og öryggi heilbrigðisþjónustu og lyfja eða lækningatækja, og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða;
  10. vinnslan sé nauðsynleg vegna tölfræði-, sagnfræði- eða vísindarannsókna, enda sé persónu­vernd tryggð með tilteknum ráðstöfunum eftir því sem við á í samræmi við lög þessi og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða;
  11. vinnslan sé nauðsynleg vegna skjalavistunar í þágu almannahagsmuna og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grund­vallar­réttindi og hagsmuni hins skráða, einkum þagnarskyldu.

    Persónuvernd leysir úr ágreiningi um hvort persónuupplýsingar skuli teljast viðkvæmar eða ekki.

12. gr.

Vinnsla upplýsinga um refsiverða háttsemi.

    Stjórnvöld mega ekki vinna með upplýsingar um refsiverða háttsemi nema það sé nauðsynlegt í þágu lögbundinna verkefna þeirra.

    Upplýsingum skv. 1. mgr. má ekki miðla nema því aðeins að:

  1. hinn skráði hafi gefið afdráttarlaust samþykki sitt fyrir miðluninni;
  2. miðlunin sé nauðsynleg í þágu lögmætra hagsmuna hins opinbera eða einkaaðila sem auðsjáanlega vega þyngra en þeir hagsmunir sem eru af leynd um upplýsingarnar, þar á meðal hagsmunir hins skráða;
  3. miðlunin sé nauðsynleg í þágu lögbundinna verkefna viðkomandi stjórnvalds eða til að unnt sé að taka stjórnvaldsákvörðun; eða
  4. miðlunin sé nauðsynleg vegna verkefnis í þágu hins opinbera sem einkaaðila hefur verið falið á lögmætan hátt.

    Einkaaðilar mega ekki vinna með upplýsingar um refsiverða háttsemi nema hinn skráði hafi veitt til þess afdráttarlaust samþykki sitt eða vinnslan sé nauðsynleg í þágu lögmætra hagsmuna sem auðsjáanlega vega þyngra en grundvallarréttindi og frelsi hins skráða.

    Upplýsingum skv. 3. mgr. má ekki miðla nema hinn skráði veiti til þess afdráttarlaust samþykki sitt. Þó má miðla upplýsingum án samþykkis sé það nauðsynlegt í þágu lögmætra hagsmuna hins opinbera eða einkaaðila sem vega þyngra en þeir hagsmunir sem eru af leynd um upplýsingarnar, þar á meðal hagsmunir hins skráða.

    Vinnsla samkvæmt þessari grein skal ávallt eiga stoð í einhverri af heimildum 9. gr. laga þessara, sbr. 1. mgr. 6. gr. reglugerðarinnar.

13. gr.

Notkun kennitölu.

    Notkun kennitölu er heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Persónuvernd getur bannað eða fyrirskipað notkun kennitölu.

14. gr.

Rafræn vöktun.

    Rafræn vöktun er ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis þar sem takmarkaður hópur fólks fer um að jafnaði er jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram.

    Vinnsla persónuupplýsinga sem á sér stað í tengslum við rafræna vöktun skal uppfylla ákvæði laga þessara.

    Heimilt er í tengslum við framkvæmd rafrænnar vöktunar að safna efni sem verður til við vökt­unina, svo sem hljóð- og myndefni, með viðkvæmum persónuupplýsingum og upplýsingum um refsi­verða háttsemi ef eftirfarandi skilyrði eru uppfyllt:

  1. vöktunin sé nauðsynleg og fari fram í öryggis- eða eignavörsluskyni;
  2. það efni sem til verður við vöktunina verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða á grundvelli heimilda í reglum skv. 5. mgr.; heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað en þá skal þess gætt að eyða öllum öðrum eintökum af efninu;
  3. því efni sem safnast við vöktunina verði eytt þegar ekki er lengur málefnaleg ástæða til að varðveita það.

    Þegar rafræn vöktun fer fram á vinnustað eða á almannafæri skal með merki eða á annan áberandi hátt gera glögglega viðvart um þá vöktun og hver sé ábyrgðaraðili.

    Persónuvernd setur reglur og gefur fyrirmæli um rafræna vöktun og vinnslu efnis sem verður til við vöktunina, svo sem hljóð- og myndefnis, þar á meðal um öryggi þess, rétt hins skráða til að horfa eða hlusta á upptökur, varðveislutíma og eyðingu, varðveisluaðferð, afhendingu efnisins og notkun þess.

15. gr.

Vinnsla upplýsinga um fjárhagsmálefni og lánstraust.

    Starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning og gerð lánshæfismats, í því skyni að miðla þeim til annarra, skal bundin leyfi Persónuverndar. Þegar um lögaðila er að ræða gilda eingöngu eftirfarandi ákvæði laga þessara: 17. gr. um upplýsingarétt hins skráða, 20. gr. um rétt til leiðréttingar og eyðingar gagna, 25. gr. um meðferð vinnsluaðila á upplýsingum, 31. gr. um leyfisskylda vinnslu, 32. gr. um forsendur leyfisveitingar, 33. gr. um skilmála, 5. og 6. tölul. 1. mgr. 41. gr. um aðgang Persónuverndar að upplýsingum o.fl., 6. tölul. 42. gr. um stöðvun vinnslu o.fl., 45. gr. um dagsektir, 48. gr. um refsingar og 51. gr. um bætur.

    Ráðherra skal setja reglugerð þar sem nánar er mælt fyrir um skilyrði fyrir vinnslu skv. 1. mgr.

16. gr.

Miðlun persónuupplýsinga úr landi eða til alþjóðastofnana.

    Ákvarðanir framkvæmdastjórnarinnar um miðlun upplýsinga til þriðja lands eða alþjóðastofnunar skv. 45. gr. reglugerðarinnar gilda hér á landi í samræmi við ákvörðun sameiginlegu EES-nefndar­innar. Skal ráðherra staðfesta slíkar ákvarðanir og birta auglýsingu þar um í Stjórnar­tíðindum.

III. KAFLI

Réttindi hins skráða og takmarkanir á þeim.

17. gr.

Meginreglur um gagnsæi upplýsinga, rétt hins skráða til upplýsinga
og aðgangs og undantekningar frá rétti hins skráða.

    Ábyrgðaraðili skal gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynningar til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðarinnar svo að hann geti neytt upplýs­inga­réttar síns og réttar til aðgangs.

    Hinn skráði á rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálf­um eða ekki, svo og rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.–15. gr. reglugerðarinnar með þeim undantekningum sem greinir í 3. mgr.

    Ákvæði 1.–3. mgr. 13. gr., 1.–4. mgr. 14. gr. og 15. gr. reglugerðarinnar um réttindi hins skráða gilda ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum, þar á meðal hins skráða sjálfs, vega þyngra.

    Heimilt er með lögum að takmarka rétt sem veittur er með 13.–15. gr. reglugerðarinnar virði slík takmörkun eðli grundvallarréttinda og mannfrelsis og teljist nauðsynleg og hófleg ráðstöfun í lýð­ræðis­þjóðfélagi til að tryggja:

  1. þjóðaröryggi;
  2. landvarnir;
  3. almannaöryggi;
  4. það að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða full­nægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almanna­öryggi;
  5. önnur mikilvæg markmið sem þjóna almannahagsmunum, einkum efnahagslegum eða fjár­hags­legum, þ.m.t. vegna gjaldeyrismála, fjárlaga og skattamála, lýðheilsu og almanna­trygginga;
  6. vernd skráðs einstaklings, brýnna almannahagsmuna eða grundvallarréttinda annarra;
  7. það að einkaréttarlegum kröfum sé fullnægt;
  8. lagaákvæði um þagnarskyldu.

    Heimilt er að beita ákvæði 4. mgr. um persónuupplýsingar í vinnuskjölum sem notuð eru við undirbúning ákvarðana hjá ábyrgðaraðila, og ekki hefur verið dreift til annarra, að því marki sem nauðsynlegt er til að tryggja undirbúning málsmeðferðar.

    Upplýsingar í málum sem eru til meðferðar hjá stjórnvöldum má undanþiggja réttinum til aðgangs skv. 1. mgr. 15. gr. reglugerðarinnar að sama marki og gildir um undantekningar á upp­lýs­ingarétti samkvæmt upplýsingalögum og stjórnsýslulögum.

    Ákvæði 34. gr. reglugerðarinnar um skyldu til að tilkynna hinum skráða um öryggisbrest gildir ekki ef ákvæði 1. og 4. tölul. 4. mgr. eiga við.

18. gr.

Verndarráðstafanir og undanþágur varðandi vinnslu vegna rannsókna,
tölfræði eða skjalavistunar í þágu almannahagsmuna.

    Vinnsla vegna rannsókna á sviði vísinda eða sagnfræði, í tölfræðilegum tilgangi eða vegna skjalavistunar í þágu almannahagsmuna skal vera háð viðeigandi ráðstöfunum, þar á meðal tækni­legum og skipulagslegum, til verndar réttindum og frelsi skráðra einstaklinga í samræmi við 89. gr. reglugerðarinnar, einkum til þess að tryggja að farið sé að meginreglunni um lágmörkun gagna.

    Ákvæði 15., 16., 18. og 21. gr. reglugerðarinnar um réttindi hins skráða gilda ekki þegar vinnsla persónuupplýsinga fer aðeins fram í þágu vísinda eða sagnfræði eða í tölfræðilegum tilgangi að svo miklu leyti sem telja má að þessi réttindi geri það ómögulegt eða hamli því verulega að unnt sé að ná viðkomandi markmiðum.

    Ákvæði 15., 16., 18., 19., 20. og 21. gr. reglugerðarinnar um réttindi hins skráða gilda ekki þegar vinnsla persónuupplýsinga fer aðeins fram vegna skjalavistunar í þágu almannahagsmuna að svo miklu leyti sem telja má að þessi réttindi geri það ómögulegt eða hamli því verulega að unnt sé að ná viðkomandi markmiðum. Þó á hinn skráði rétt á að leggja fram yfirlýsingu til varðveislu í gögnum með persónuupplýsingum um hann.

    Heimilt er að afhenda opinberu skjalasafni upplýsingar sem falla undir lög þessi í samræmi við ákvæði laga um opinber skjalasöfn.

19. gr.

Undantekning frá upplýsingaskyldu vegna vinnslu
persónuupplýsinga hjá stjórnvöldum.

    Upplýsingaskyldan skv. 3. mgr. 13. gr. og 4. mgr. 14. gr. reglugerðarinnar gildir ekki þegar stjórnvald miðlar persónuupplýsingum til annars stjórnvalds í þágu lögbundins hlutverks við fram­kvæmd laga og upplýsingum er miðlað aðeins að því marki sem nauðsynlegt er til að rækja laga­skyldu stjórnvalds.

20. gr.

Réttur til leiðréttingar, eyðingar, flutnings eigin gagna o.fl.

    Hinn skráði á rétt á að fá óáreiðanlegar persónuupplýsingar um sig leiðréttar svo og rétt til að ábyrgðaraðilinn eyði persónuupplýsingum um hann án ótilhlýðilegrar tafar (réttur til að gleymast) og rétt til að ábyrgðaraðili takmarki vinnslu samkvæmt nánari skilyrðum 16.–19. gr. reglu­gerðar­innar.

    Skráður einstaklingur skal eiga rétt á að fá persónuupplýsingar um sig, sem hann hefur sjálfur látið ábyrgðaraðila í té, á skipulegu, algengu, tölvulesanlegu sniði og jafnframt á að senda þessar upplýsingar til annars ábyrgðaraðila samkvæmt nánari skilyrðum 20. gr. reglugerðarinnar.

21. gr.

Um andmælarétt hins skráða og bannskrá Þjóðskrár Íslands.

    Hinum skráða er heimilt að andmæla vinnslu persónuupplýsinga um sig sem byggist á e- eða f-lið 1. mgr. 6. gr. reglugerðarinnar, þ.m.t. gerð persónusniðs. Ábyrgðaraðili skal ekki vinna persónu­upplýsingarnar frekar nema hann geti sýnt fram á mikilvægar lögmætar ástæður fyrir vinnsl­unni sem ganga framar hagsmunum, réttindum og frelsi hins skráða, eða hún sé nauðsynleg til að stofna, hafa uppi eða verja réttarkröfur samkvæmt nánari fyrirmælum 21. gr. reglu­gerðar­innar. Eigi andmælin rétt á sér er ábyrgðaraðila óheimil frekari vinnsla umræddra upp­lýsinga.

    Þjóðskrá Íslands skal halda skrá yfir þá sem andmæla því að nöfn þeirra séu notuð í mark­aðs­setningarstarfsemi. Ráðherra setur, í samráði við Persónuvernd, nánari reglur um gerð og notkun slíkrar skrár og hvaða upplýsingar skuli koma þar fram. Ábyrgðaraðilar sem starfa í beinni mark­aðs­sókn og þeir sem nota skrá með nöfnum, heimilisföngum, netföngum, símanúmerum og þess háttar eða miðla þeim til þriðja aðila í tengslum við slíka starfsemi skulu, áður en slík skrá er notuð í slíkum tilgangi, bera hana saman við skrá Þjóðskrár Íslands til að koma í veg fyrir að mark­póstur verði sendur eða hringt verði til einstaklinga sem hafa andmælt slíku. Persónuvernd getur heimilað undanþágu frá þessari skyldu í sérstökum tilvikum.

    Öll notkun bannskrár skv. 2. mgr. er óheimil í öðrum tilgangi en þar er lýst.

    Skylt er að nafn ábyrgðaraðila komi fram á áberandi stað á útsendum markpósti og hvert þeir sem andmæla því að fá slíkan markpóst og marksímtöl geti snúið sér. Viðtakandi markpósts á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu eða útsendingu til grundvallar. Þetta gildir ekki um markaðssetningu ábyrgðaraðila á eigin vöru og þjónustu sem notar eigin viðskiptamannaskrár, enda beri útsent efni með sér hvaðan það kemur. Ef markpóstur er sendur með rafrænum hætti er skylt að fram komi á ótvíræðan hátt um leið og hann er móttekinn að um slíkan póst sé að ræða. Að öðru leyti fer um sendingu slíks markpósts samkvæmt lögum um fjarskipti.

    Ábyrgðaraðila er heimilt að afhenda félaga-, starfsmanna-, nemenda- eða viðskiptamannaskrár til nota í tengslum við markaðssetningarstarfsemi. Þetta á þó aðeins við ef:

  1. ekki telst vera um afhendingu viðkvæmra persónuupplýsinga að ræða;
  2. hinum skráðu hefur, áður en afhending fer fram, verið gefinn kostur á að andmæla því, hverjum fyrir sitt leyti, að upplýsingar um viðkomandi birtist á hinni afhentu skrá;
  3. slíkt fer ekki gegn starfsreglum eða félagssamþykktum sem í gildi eru hjá viðkomandi ábyrgðar­aðila;
  4. ábyrgðaraðili kannar hvort einhver hinna skráðu hefur komið andmælum á framfæri við Þjóðskrá Íslands, sbr. 2. mgr., og eyðir upplýsingum um viðkomandi áður en hann lætur skrána af hendi ef svo reynist vera.

    Ákvæði 5. mgr. gildir ekki ef afhending félaga-, starfsmanna- eða viðskiptamannaskrár til nota við dreifingu markpósts byggist á samþykki hins skráða, sbr. 1. tölul. 9. gr. laga þessara.

    Ákvæði 2.–5. mgr. gilda, eftir því sem við á, einnig um markaðs-, neyslu- og skoðanakannanir.

22. gr.

Réttindi tengd einstaklingsmiðuðum ákvörðunum
sem byggjast á sjálfvirkri gagnavinnslu.

    Skráður einstaklingur skal eiga rétt á því að ekki sé tekin ákvörðun eingöngu á grundvelli sjálfvirkrar gagnavinnslu, þ.m.t. gerðar persónusniðs, sem hefur réttaráhrif að því er hann sjálfan varðar eða snertir hann á sambærilegan hátt að verulegu leyti samkvæmt nánari fyrirmælum 22. gr. reglugerðarinnar, með þeim undantekningum sem þar getur.

IV. KAFLI

Almennar reglur um skyldur ábyrgðaraðila
og vinnsluaðila og öryggi persónuupplýsinga.

23. gr.

Ábyrgð ábyrgðaraðila.

    Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar samkvæmt nánari fyrirmælum 24. og 25. gr. reglugerðarinnar. Þegar tveir eða fleiri eru sameiginlegir ábyrgðar­aðilar fer um skyldur þeirra eftir 26. gr. reglugerðarinnar.

24. gr.

Innbyggð og sjálfgefin persónuvernd.

    Ábyrgðaraðili skal, bæði þegar ákveðnar eru aðferðir við vinnsluna og þegar vinnslan sjálf fer fram, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, sem hannaðar eru til að framfylgja meginreglum um persónuvernd, og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur reglugerðarinnar og vernda réttindi skráðra einstaklinga samkvæmt nánari fyrir­mælum 1. mgr. 25. gr. reglugerðarinnar.

    Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni samkvæmt nánari fyrirmælum 2. mgr. 25. gr. reglugerðarinnar.

25. gr.

Almennar reglur um vinnsluaðila.

    Þegar öðrum er falin vinnsla persónuupplýsinga fyrir hönd ábyrgðaraðila skal ábyrgðaraðili einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og réttindi skráðra einstaklinga séu tryggð.

    Vinnsluaðili skal ekki ráða annan vinnsluaðila nema hafa til þess sértæka eða almenna skriflega heimild ábyrgðaraðila. Ef um er að ræða almenna skriflega heimild skal vinnsluaðilinn tilkynna ábyrgðaraðilanum um allar fyrirhugaðar breytingar sem fela í sér að bætt er við vinnsluaðilum eða þeim skipt út og gefa þannig ábyrgðaraðilanum færi á að andmæla slíkum breytingum.

    Vinnsla af hálfu vinnsluaðila skal byggjast á samningi eða annarri réttargerð samkvæmt lögum sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og tilgreinir viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans eftir nánari fyrirmælum 28. gr. reglugerðarinnar.

26. gr.

Skrár yfir vinnslustarfsemi.

    Sérhver ábyrgðaraðili og vinnsluaðili og, eftir atvikum, fulltrúi þeirra skal halda skrá yfir vinnslu­starfsemi sína. Um upplýsingar sem skrá yfir vinnslustarfsemi skal innihalda, form skrár, aðgengi­leika o.fl. gilda fyrirmæli 30. gr. reglugerðarinnar.

    Skyldur skv. 1. mgr. eiga ekki við um fyrirtæki eða stofnun sem hefur færri en 250 starfsmenn nema vinnslan, sem innt er þar af hendi, sé líkleg til að leiða af sér áhættu fyrir réttindi og frelsi skráðra einstaklinga, vinnslan sé ekki tilfallandi eða taki til viðkvæmra persónuupplýsinga skv. 1. mgr. 11. gr. laga þessara eða persónuupplýsinga er varða sakfellingar í refsimálum og refsiverða háttsemi eins og um getur í 12. gr. laga þessara.

27. gr.

Öryggi persónuupplýsinga og tilkynningar um öryggisbresti.

    Ábyrgðaraðili og vinnsluaðili skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við fram­kvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og mis­alvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglu­gerðar­innar.

    Ef um öryggisbrest við meðferð persónuupplýsinga er að ræða skal ábyrgðaraðili, án ótilhlýði­legrar tafar og, ef mögulegt er, eigi síðar en 72 klst. eftir að hann verður brestsins var, til­kynna um hann til Persónuverndar nema ólíklegt þyki að bresturinn leiði til áhættu fyrir rétt­indi og frelsi einstaklinga. Sé Persónuvernd ekki tilkynnt um brestinn innan 72 klst. skulu ástæður fyrir töfinni fylgja tilkynningunni. Þá skal vinnsluaðili tilkynna ábyrgðaraðila um það án ótilhlýðilegrar tafar ef hann verður var við öryggisbrest við meðferð persónuupplýsinga. Um efni tilkynningar til Persónu­verndar gilda fyrirmæli 33. gr. reglugerðarinnar.

    Ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga skal ábyrgðaraðili tilkynna skráðum einstaklingi um brestinn án ótilhlýði­legrar tafar. Um efni slíkrar tilkynningar og undanþágur frá tilkynningarskyldu gilda fyrir­mæli 34. gr. reglugerðarinnar.

28. gr.

Samvinna við Persónuvernd.

    Ábyrgðaraðili og vinnsluaðili og, eftir atvikum, fulltrúar þeirra skulu, að fenginni beiðni Persónu­verndar, hafa samvinnu við stofnunina við framkvæmd verkefna hennar.

V. KAFLI

Mat á áhrifum á persónuvernd, leyfisskylda o.fl.

29. gr.

Mat á áhrifum á persónuvernd.

    Ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, einkum þar sem beitt er nýrri tækni og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar, skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst samkvæmt nánari fyrirmælum 35. gr. reglu­gerðarinnar. Eitt og sama mat getur tekið til nokkurra svipaðra vinnsluaðgerða sem geta haft í för með sér svipaða áhættu­þætti.

    Persónuvernd birtir skrá yfir þær tegundir vinnsluaðgerða þar sem krafist er mats á áhrifum á persónuvernd skv. 1. mgr.

    Persónuvernd getur einnig ákveðið að birta skrá yfir þær tegundir vinnsluaðgerða þar sem ekki er krafist mats á áhrifum á persónuvernd.

30. gr.

Fyrirframsamráð.

    Ef mat á áhrifum á persónuvernd gefur til kynna að vinnsla mundi hafa mikla áhættu í för með sér, nema ábyrgðaraðili grípi til ráðstafana til að draga úr henni, skal hann hafa samráð við Persónuvernd áður en vinnslan hefst samkvæmt nánari fyrirmælum 36. gr. reglugerðarinnar.

    Telji Persónuvernd að fyrirhuguð vinnsla, sem um getur í 1. mgr., mundi brjóta í bága við reglugerðina, einkum ef ábyrgðaraðili hefur ekki greint eða dregið úr áhættunni með fullnægjandi hætti, skal stofnunin, innan átta vikna frá því að henni berst beiðni um samráð, veita ábyrgðaraðila og, eftir atvikum, vinnsluaðila skriflega ráðgjöf og getur notað til þess allar valdheimildir sínar sem um getur í 41.–43. gr. laga þessara. Lengja má frestinn um sex vikur með hliðsjón af því hversu flókin fyrirhuguð vinnsla er. Persónuvernd skal tilkynna ábyrgðaraðila og, eftir atvikum, vinnsluaðila um slíkar framlengingar innan mánaðar frá viðtöku beiðni um samráð, ásamt ástæðunum fyrir töfinni. Þessa fresti má framlengja þar til Persónuvernd hefur fengið þær upplýsingar sem hún óskar eftir vegna samráðsins.

31. gr.

Leyfisskyld vinnsla.

    Sé um að ræða vinnslu persónuupplýsinga vegna verkefnis í þágu almannahagsmuna sem getur falið í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra einstaklinga getur Persónuvernd ákveðið að vinnslan megi ekki hefjast fyrr en hún hefur verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar. Persónuvernd getur ákveðið að slík leyfisskylda falli brott þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skuli við slíka vinnslu.

    Persónuvernd setur reglur um leyfisskyldu skv. 1. mgr.

32. gr.

Forsendur leyfisveitingar o.fl.

    Ábyrgðaraðila má aðeins veita leyfi skv. 31. gr. laga þessara ef líklegt er að hann geti fullnægt skyldum sínum samkvæmt reglugerðinni og lögum þessum eða fyrirmælum Persónuverndar.

    Við afgreiðslu leyfa skv. 31. gr. laga þessara sem tengjast vinnslu viðkvæmra persónuupplýsinga skal Persónuvernd meta hvort vinnslan geti valdið hinum skráða slíku óhagræði að ekki verði úr því bætt með forsvaranlegum hætti með skilyrðum sem sett eru skv. 33. gr. laga þessara. Ef slíkt óhagræði getur orðið skal Persónuvernd meta hvort hagsmunir sem mæla með vinnslunni vegi þyngra en hagsmunir hins skráða.

33. gr.

Skilmálar Persónuverndar um vinnslu persónuupplýsinga.

    Þegar ábyrgðaraðila er veitt leyfi skv. 31. gr. laga þessara skal Persónuvernd binda það þeim skilyrðum sem hún metur nauðsynleg hverju sinni til að draga úr eða koma í veg fyrir hugsanlegt óhagræði hins skráða af vinnslunni.

    Við mat á því hvaða skilyrði skal setja fyrir vinnslu skal Persónuvernd m.a. athuga:

  1. hvort tryggt sé að hinn skráði geti nýtt réttindi sín samkvæmt lögum þessum, þar á meðal til að afturkalla samþykki og eftir atvikum fá eytt skráðum persónuupplýsingum, svo og til að fá fræðslu um réttindi sín og beitingu þeirra;
  2. hvort persónuupplýsingar verði nægjanlega öruggar, áreiðanlegar og uppfærðar í samræmi við tilgang vinnslunnar;
  3. hvort með persónuupplýsingarnar verði farið af þeirri varúð sem reglur um þagnarskyldu og tilgangur vinnslunnar krefst;
  4. hvort skipulagt hafi verið hvernig hinum skráða verði veittar upplýsingar og leiðbeiningar innan þeirra marka sem sanngjarnt er að ætlast til miðað við umfang vinnslunnar og aðrar öryggisráðstafanir sem viðhafðar eru;
  5. hvort stofnað hafi verið til öryggisráðstafana sem séu eðlilegar miðað við tilgang vinnsl­unnar;
  6. hvort mat á áhrifum á persónuvernd fari fram áður en vinnsla hefst.

34. gr.

Leyfi fyrir vísindarannsóknum á heilbrigðissviði.

    Um leyfi fyrir vísindarannsóknum á heilbrigðissviði fer samkvæmt lögum um vísindarannsóknir á heilbrigðissviði.

VI. KAFLI

Persónuverndarfulltrúar og vottunaraðilar.

35. gr.

Persónuverndarfulltrúar.

    Ábyrgðaraðili og vinnsluaðili skulu tilnefna persónuverndarfulltrúa í sérhverju tilviki þar sem:

  1. vinnsla er í höndum stjórnvalds;
  2. meginstarfsemi ábyrgðaraðila eða vinnsluaðila felst í vinnsluaðgerðum sem krefjast, sakir eðlis síns, umfangs eða tilgangs, umfangsmikils, reglubundins og kerfisbundins eftirlits með skráðum einstaklingum, eða
  3. meginstarfsemi ábyrgðaraðila eða vinnsluaðila felst í umfangsmikilli vinnslu viðkvæmra persónuupplýsinga eða upplýsinga sem varða sakfellingar í refsimálum og refsiverð brot.

    Fyrirtækjasamstæðu er heimilt að tilnefna einn persónuverndarfulltrúa að því tilskildu að sérhver starfsstöð hafi greiðan aðgang að honum. Einnig er fleiri en einu stjórnvaldi heimilt að skipa sameiginlegan persónuverndarfulltrúa að teknu tilliti til stjórnskipulags þeirra og stærðar.

    Um hæfni persónuverndarfulltrúa, stöðu hans og verkefni gilda að öðru leyti fyrirmæli 37.–39. gr. reglugerðarinnar.

36. gr.

Þagnarskylda persónuverndarfulltrúa.

    Persónuverndarfulltrúa er óheimilt að segja frá nokkru því sem hann hefur fengið vitneskju um í starfi sínu og leynt á að fara.

    Þagnarskylda gildir þó ekki hafi hinn skráði veitt samþykki sitt til þess að leynd sé aflétt, svo og þegar nauðsyn krefur vegna framkvæmdar starfa persónuverndarfulltrúans.

37. gr.

Vottun og vottunaraðilar.

    Faggildingarsvið Einkaleyfastofunnar, að fenginni umsögn Persónuverndar, hefur heimild til að faggilda vottunaraðila sem gefur út vottun skv. 42. gr. reglugerðarinnar.

    Um skilyrði faggildingar vottunaraðila, fyrirkomulag og efni vottunar gilda að öðru leyti fyrirmæli 42. og 43. gr. reglugerðarinnar.

VII. KAFLI

Eftirlit og viðurlög.

38. gr.

Skipulag Persónuverndar og stjórnsýsla.

    Persónuvernd er sjálfstæð stofnun með sérstaka stjórn. Hún tekur ekki við fyrirmælum frá stjórnvöldum eða öðrum aðilum. Ákvörðunum Persónuverndar samkvæmt lögum þessum verður ekki skotið til annarra stjórnvalda, en aðilum máls er heimilt að leggja ágreining sinn fyrir dómstóla með venjubundnum hætti.

    Ráðherra skipar fimm menn í stjórn Persónuverndar og jafnmarga til vara til fimm ára í senn. Ekki er heimilt að skipa stjórnarmenn lengur en í þrjú tímabil samfellt. Formann og varaformann stjórnarinnar skipar ráðherra án tilnefningar og skulu þeir vera lögfræðingar og fullnægja hæfis­skilyrðum héraðsdómara. Ráðherra sem fer með málefni netöryggis og fjarskipta tilnefnir einn stjórnar­mann og ráðherra sem fer með málefni heilbrigðisþjónustu tilnefnir einn stjórnarmann. Þá tilnefnir Skýrslutæknifélag Íslands einn stjórnarmann og skal hann vera sérfróður á sviði tölvu- og tækni­mála. Stjórnarmenn og varamenn þeirra skulu hafa þekkingu á málefnum tengdum persónu­vernd og menntun sem nýtist á því sviði. Ráðherra ákveður laun stjórnarmanna.

    Hlutverk stjórnar er að móta áherslur í starfi í samráði við forstjóra og fylgjast með starfsemi og rekstri Persónuverndar. Þá tekur stjórn meiri háttar efnislegar eða stefnumótandi ákvarðanir í málum sem stofnunin hefur til meðferðar, þar á meðal um álagningu dagsekta og stjórnvaldssekta. Stjórn Persónuverndar setur nánari reglur um skiptingu starfa á milli stjórnar og skrifstofu stofn­unar­innar og framkvæmd þeirra.

    Stjórnarmanni verður aðeins vikið úr stjórn vegna alvarlegra ávirðinga eða ef hann fullnægir ekki lengur þeim skilyrðum sem krafist er vegna starfs hans.

    Þegar stjórnarmenn eru ekki sammála ræður meiri hluti niðurstöðu máls. Ef atkvæði eru jöfn ræður atkvæði formanns.

    Ráðherra skipar forstjóra Persónuverndar til fimm ára í senn að fenginni tillögu stjórnar. Forstjóri skal hafa menntun á háskólastigi og búa yfir þekkingu og reynslu á málefnum tengdum persónu­vernd.

    Forstjóri situr fundi stjórnar með málfrelsi og tillögurétti.

    Forstjóri Persónuverndar ber ábyrgð á og annast daglega stjórnun á starfsemi, fjárreiðum og rekstri stofnunarinnar og ræður starfsmenn hennar.

39. gr.

Verkefni Persónuverndar.

    Persónuvernd er eftirlitsstjórnvald skv. VI. kafla reglugerðarinnar og annast eftirlit með fram­kvæmd hennar, laga þessara, sérákvæða í lögum sem fjalla um vinnslu persónuupplýsinga og annarra reglna um efnið.

    Sérhver skráður einstaklingur eða fulltrúi hans hefur rétt til að leggja fram kvörtun hjá Persónu­vernd ef hann telur að vinnsla persónuupplýsinga um hann hér á landi eða samkvæmt sér­reglum 7. gr. laga þessara brjóti í bága við reglugerðina eða ákvæði laga þessara. Þá getur stofnun, samtök eða félag skv. 80. gr. reglugerðarinnar lagt fram kvörtun hjá Persónuvernd hafi þau ástæðu til að ætla að réttindi skráðs einstaklings hafi verið brotin. Persónuvernd úrskurðar um hvort brot hafi átt sér stað.

    Persónuvernd getur fjallað um einstök mál og tekið í þeim ákvörðun að eigin frumkvæði eða samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um sig í samræmi við lög þessi og reglur sem settar eru samkvæmt þeim eða einstökum fyrirmælum.

    Önnur verkefni Persónuverndar eru m.a. að:

  1. efla vitund og skilning almennings á áhættu, reglum, verndarráðstöfunum og réttindum í tengslum við vinnslu persónuupplýsinga, svo og vitund ábyrgðaraðila og vinnsluaðila um skyldur sínar;
  2. veita Alþingi, stjórnvöldum og öðrum aðilum ráðgjöf á sviði lagasetningar og stjórnsýslu sem tengist vernd einstaklinga við vinnslu persónuupplýsinga;
  3. veita, að fenginni beiðni, skráðum einstaklingi upplýsingar um það hvernig hann getur neytt réttinda sinna samkvæmt lögum þessum og reglugerðinni og, ef við á, starfa með eftirlitsstjórnvöldum í öðrum aðildarríkjum í því skyni;
  4. eiga samstarf við eftirlitsstjórnvöld í öðrum aðildarríkjum, þ.m.t. með því að skiptast við þau á upplýsingum, og veita gagnkvæma aðstoð með það fyrir augum að tryggja samkvæmni í beitingu og framkvæmd laga þessara og reglugerðarinnar;
  5. fylgjast með framvindu á sviðum tengdum persónuupplýsingavernd, einkum þróun upplýsinga- og fjarskiptatækni og viðskiptahátta;
  6. samþykkja föst samningsákvæði eins og um getur í 8. mgr. 28. gr. og d-lið 2. mgr. 46. gr. reglugerðarinnar;
  7. útbúa og viðhalda skrá yfir þær tegundir vinnsluaðgerða þar sem krafist er mats á áhrifum á persónuvernd skv. 4. mgr. 35. gr. reglugerðarinnar;
  8. veita ráðgjöf um vinnsluaðgerðir eins og um getur í 2. mgr. 36. gr. reglugerðarinnar;
  9. hvetja til þess að samdar verði hátternisreglur skv. 1. mgr. 40. gr. reglugerðarinnar og gefa álit á og samþykkja hátternisreglur sem tryggja fullnægjandi verndarráðstafanir skv. 5. mgr. 40. gr. hennar;
  10. samþykkja viðmiðanir um vottun skv. 5. mgr. 42. gr. reglugerðarinnar og eftir atvikum láta fara fram reglubundna endurskoðun á vottunum sem eru gefnar út í samræmi við 7. mgr. 42. gr. hennar;
  11. semja og birta drög að viðmiðunum um faggildingu aðila sem hafa eftirlit með framkvæmd hátternisreglna skv. 41. gr. reglugerðarinnar og vottunaraðila skv. 43. gr. hennar og annast faggildingu sömu aðila;
  12. samþykkja ákvæði, þar á meðal í samningum, eins og um getur í 3. mgr. 46. gr. reglu­gerðarinnar;
  13. samþykkja bindandi fyrirtækjareglur skv. 47. gr. reglugerðarinnar;
  14. taka þátt í starfsemi Evrópska persónuverndarráðsins;
  15. skrásetja brot á reglugerðinni og ráðstafanir sem gerðar eru í samræmi við 2. mgr. 58. gr. hennar;
  16. birta árlega skýrslu um starfsemi sína;
  17. sinna öðrum störfum sem tengjast vernd persónuupplýsinga.

40. gr.

Gjaldtaka.

    Ráðherra getur sett gjaldskrá sem mælir fyrir um gjald sem ábyrgðaraðili skal greiða Persónu­vernd vegna þess kostnaðar sem hlýst af eftirliti með því að hann fullnægi skilyrðum laga þessara og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Með gjaldskránni er einnig heimilt að kveða á um að ábyrgðaraðili greiði kostnað við úttekt á starfsemi við undirbúning útgáfu vinnsluleyfis og annarrar afgreiðslu.

41. gr.

Valdheimildir Persónuverndar við eftirlitsstörf.

    Persónuvernd fer með valdheimildir skv. 1. mgr. 58. gr. reglugerðarinnar við eftirlitsstörf sín, þar á meðal:

  1. til að fyrirskipa að ábyrgðaraðili og vinnsluaðili og, eftir atvikum, fulltrúi þeirra veiti hverjar þær upplýsingar sem hún þarfnast vegna framkvæmdar laga þessara og reglugerðarinnar;
  2. til að gera úttektir á vinnslu persónuupplýsinga;
  3. til að láta fara fram endurskoðun á vottunum sem eru gefnar út skv. 7. mgr. 42. gr. reglu­gerðarinnar;
  4. til að tilkynna ábyrgðaraðila eða vinnsluaðila um meint brot á reglugerðinni;
  5. til að fá hjá ábyrgðaraðila og vinnsluaðila aðgang að öllum þeim gögnum, þar á meðal persónuupplýsingum, sem nauðsynleg eru við framkvæmd laga þessara;
  6. til aðgangs að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þ.m.t. hvers kyns gagnavinnslubúnaður; Persónuvernd getur framkvæmt hverja þá prófun eða eftirlitsaðgerð sem hún telur nauðsynlega og krafist nauðsynlegrar aðstoðar starfsfólks á slíkum vettvangi til að framkvæma prófun eða eftirlit.

    Persónuvernd getur óskað liðveislu lögreglu ef einhver leitast við að hindra hana í eftirlitsstörfum sínum.

    Komi í ljós að fram fer vinnsla persónuupplýsinga sem brýtur í bága við ákvæði reglu­gerðar­innar, laga þessara eða reglna settra samkvæmt þeim er Persónuvernd heimilt að fela lögreglu­stjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað.

    Réttur Persónuverndar til að krefjast upplýsinga eða aðgangs að starfsstöðvum og tækjabúnaði verður ekki takmarkaður með vísan til reglna um þagnarskyldu.

42. gr.

Fyrirmæli Persónuverndar um ráðstafanir til úrbóta.

    Persónuvernd getur mælt fyrir um ráðstafanir til úrbóta eftir því sem nánar segir í 2. mgr. 58. gr. reglugerðarinnar, þar á meðal:

  1. veitt ábyrgðaraðila eða vinnsluaðila viðvörun um að líklegt sé að fyrirhugaðar vinnslu­aðgerðir brjóti í bága við ákvæði reglugerðarinnar;
  2. veitt ábyrgðaraðila eða vinnsluaðila áminningu ef vinnsluaðgerðir hafa brotið í bága við reglu­gerðina;
  3. gefið fyrirmæli um að ábyrgðaraðili eða vinnsluaðili fari að beiðnum hins skráða um að fá að neyta réttinda sinna samkvæmt reglugerðinni;
  4. gefið fyrirmæli um að ábyrgðaraðili eða vinnsluaðili færi vinnsluaðgerðir til samræmis við ákvæði reglugerðarinnar, eftir því sem við á, með tilteknum hætti og innan tiltekins tíma;
  5. gefið fyrirmæli um að ábyrgðaraðili tilkynni hinum skráða um öryggisbrest við meðferð persónu­upplýsinga;
  6. takmarkað eða bannað vinnslu tímabundið eða til frambúðar;
  7. gefið fyrirmæli um leiðréttingu eða eyðingu persónuupplýsinga eða takmörkun á vinnslu þeirra skv. 16., 17. og 18. gr. reglugerðarinnar og að slíkar aðgerðir verði tilkynntar við­tak­endum sem fengið hafa persónuupplýsingarnar í hendur skv. 2. mgr. 17. gr. og 19. gr. hennar;
  8. afturkallað vottun eða fyrirskipað að vottunaraðili afturkalli vottun sem gefin var út skv. 42. og 43. gr. reglugerðarinnar;
  9. gefið fyrirmæli um tímabundna stöðvun gagnaflæðis til viðtakanda í þriðja landi eða til alþjóða­stofnunar.

43. gr.

Leyfisveitingar og ráðgjöf Persónuverndar.

    Persónuvernd hefur eftirtaldar heimildir tengdar leyfisveitingum og ráðgjöf:

  1. til að veita ábyrgðaraðila ráðgjöf í samræmi við fyrirframsamráðsferlið sem um getur í 36. gr. reglugerðarinnar;
  2. til að leggja, að eigin frumkvæði eða samkvæmt beiðni, álitsgerðir fyrir Alþingi eða stjórn­völd eða aðra aðila um hvert það málefni sem tengist vernd persónuupplýsinga;
  3. til að leyfa vinnslu þar sem fyrirframheimildar er krafist samkvæmt lögum;
  4. til að gefa álit og samþykkja drög að hátternisreglum skv. 5. mgr. 40. gr. reglugerðarinnar;
  5. til að veita umsagnir vegna faggildingar vottunaraðila skv. 43. gr. reglugerðarinnar og samþykkja viðmiðanir fyrir vottun í samræmi við 5. mgr. 42. gr. hennar;
  6. til að samþykkja stöðluð ákvæði um persónuvernd eins og um getur í 8. mgr. 28. gr. og d-lið 2. mgr. 46. gr. reglugerðarinnar;
  7. til að leyfa samningsákvæði sem um getur í a-lið 3. mgr. 46. gr. reglugerðarinnar;
  8. til að leyfa stjórnvaldsráðstafanir sem um getur í b-lið 3. mgr. 46. gr. reglugerðarinnar;
  9. til að samþykkja bindandi fyrirtækjareglur skv. 47. gr. reglugerðarinnar.

44. gr.

Þagnarskylda.

    Stjórnarmönnum og starfsmönnum Persónuverndar, svo og öðrum sem vinna verkefni á vegum stofnunarinnar, er óheimilt að segja frá nokkru sem þeir hafa fengið vitneskju um í starfi sínu og leynt á að fara.

    Ákvæði um þagnarskyldu standa því ekki í vegi að Persónuvernd veiti erlendum persónu­verndar­stofnunum upplýsingar þegar slíkt er nauðsynlegt til að hún eða hin erlenda persónu­verndar­stofnun geti ákveðið eða framkvæmt aðgerðir til að tryggja persónuvernd.

    Við gerð skilmála skv. 33. gr. laga þessara getur Persónuvernd ákveðið að ábyrgðaraðili og vinnsluaðili, svo og starfsmenn á vegum þeirra, skuli undirrita yfirlýsingu um að þeir gangist undir þagnarskyldu um persónuupplýsingar sem þeir fá vitneskju um við vinnslu þeirra. Ábyrgðaraðili eða fulltrúi hans skal votta rétta undirskrift starfsmanns og dagsetningu slíkrar yfirlýsingar og koma henni til Persónuverndar innan tilskilins frests.

    Þagnarskylda skv. 1. og 3. mgr. helst þótt látið sé af starfi.

45. gr.

Dagsektir.

    Ef ekki er farið að fyrirmælum Persónuverndar skv. 6., 7. og 9. tölul. 42. gr. laga þessara getur hún, áður en hún ákveður stjórnvaldssekt skv. 46. gr. laga þessara, lagt dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati hennar. Sektir geta numið allt að 200.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælunum sé fylgt.

    Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.

46. gr.

Stjórnvaldssektir.

    Persónuvernd getur lagt stjórnvaldssektir á hvern þann ábyrgðaraðila eða vinnsluaðila skv. 4. mgr. sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar og laga þessara sem talin eru upp í 2. og 3. mgr.

    Stjórnvaldssektir geta numið frá 100 þús. kr. til 1,2 milljarða kr. eða ef um er að ræða fyrirtæki allt að 2% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra, þegar brotið hefur verið gegn eftirfarandi ákvæðum:

  1. um skyldur ábyrgðaraðila og vinnsluaðila skv. 8., 25.–39., 42. og 43. gr. reglugerðarinnar;
  2. um skyldur vottunaraðila skv. 42. og 43. gr. reglugerðarinnar;
  3. um skyldur eftirlitsaðila skv. 4. mgr. 41. gr. reglugerðarinnar.

    Stjórnvaldssektir geta numið frá 100 þús. kr. til 2,4 milljarða kr. eða ef um er að ræða fyrirtæki allt að 4% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra, þegar brotið hefur verið gegn eftirfarandi ákvæðum:

  1. um grundvallarreglur um vinnslu, þ.m.t. skilyrði fyrir samþykki, skv. 5., 6., 7. og 9. gr. reglugerðarinnar;
  2. um réttindi skráðra einstaklinga skv. 12.–22. gr. reglugerðarinnar;
  3. um miðlun persónuupplýsinga til viðtakanda í þriðja landi eða alþjóðastofnunar skv. 44.–49. gr. reglugerðarinnar;
  4. ef ekki er farið að skyldu til að veita Persónuvernd aðgang að öllum gögnum og húsnæði skv. 5. og 6. tölul. 1. mgr. 41. gr. laga þessara;
  5. ef ekki er farið að fyrirmælum Persónuverndar um takmörkun eða bann við vinnslu persónu­upplýsinga, um leiðréttingu eða eyðingu þeirra eða um stöðvun gagnaflæðis skv. 6., 7. og 9. tölul. 42. gr. laga þessara.

    Heimilt er að leggja sektir á einstaklinga og lögaðila, þar á meðal stjórnvöld og stofnanir sem falla undir gildissvið stjórnsýslulaga.

    Stjórnvaldssektum verður beitt óháð því hvort lögbrot eru framin af ásetningi eða gáleysi.

    Ákvarðanir um stjórnvaldssektir skulu teknar af stjórn Persónuverndar og eru þær aðfararhæfar. Sektir renna í ríkissjóð að frádregnum kostnaði við innheimtuna. Séu stjórnvaldssektir ekki greiddar innan mánaðar frá ákvörðun Persónuverndar skal greiða dráttarvexti af fjárhæð sektar. Um ákvörðun og útreikning dráttarvaxta fer eftir lögum um vexti og verðtryggingu.

    Heimild Persónuverndar til að leggja á stjórnvaldssektir samkvæmt lögum þessum fellur niður þegar fimm ár eru liðin frá því að háttsemi lauk. Fyrningarfrestur rofnar þegar Persónuvernd til­kynnir aðila um upphaf rannsóknar á meintu broti. Rof frests hefur réttaráhrif gagnvart öllum sem staðið hafa að broti.

47. gr.

Atriði sem áhrif hafa á ákvörðun um stjórnvaldssekt.

    Þegar ákveðið er hvort beita skuli stjórnvaldssekt og fjárhæð sektarinnar er ákveðin í hverju tilviki skal taka tilhlýðilegt tillit til eftirfarandi:

  1. hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er, með tilliti til eðlis, umfangs eða tilgangs vinnslunnar sem um er að ræða og fjölda skráðra einstaklinga sem urðu fyrir því og hversu alvarlegu tjóni þeir urðu fyrir;
  2. hvort brotið var framið af ásetningi eða af gáleysi;
  3. aðgerða sem ábyrgðaraðilinn eða vinnsluaðilinn hefur gripið til í því skyni að draga úr tjóni skráðra einstaklinga;
  4. hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipu­lags­legra ráðstafana sem þeir hafa komið til framkvæmda skv. 25. og 32. gr. reglu­gerðar­innar;
  5. fyrri brota ábyrgðaraðila eða vinnsluaðila sem máli skipta, ef einhver eru;
  6. umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr mögulegum skað­legum áhrifum þess;
  7. hvaða flokka persónuupplýsinga brotið hafði áhrif á;
  8. með hvaða hætti eftirlitsstjórnvaldinu var gert kunnugt um brotið, einkum hvort, og þá að hvaða leyti, ábyrgðaraðili eða vinnsluaðili tilkynnti um brotið;
  9. fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta skv. 42. gr. laga þessara hafi fyrirmælum um slíkar ráðstafanir áður verið beint til hlutaðeigandi ábyrgðaraðila eða vinnsluaðila að því er varðar sama efni;
  10. fylgni við viðurkenndar hátternisreglur skv. 40. gr. reglugerðarinnar eða viðurkennt vott­unar­fyrirkomulag skv. 42. gr. hennar;
  11. annarra íþyngjandi eða mildandi þátta sem varða kringumstæður málsins, svo sem hagn­aðar sem fékkst eða taps sem komist var hjá, með beinum eða óbeinum hætti, vegna brots­ins.

    Ef ábyrgðaraðili eða vinnsluaðili brýtur, af ásetningi eða gáleysi, gegn fleiri en einu ákvæði reglu­gerðarinnar og laga þessara við sömu eða tengdar vinnsluaðgerðir skal heildarfjárhæð sektar­innar ekki vera hærri en fjárhæðin sem er tilgreind fyrir alvarlegasta brotið.

48. gr.

Refsingar.

    Ef brot einstaklings er stórfellt getur það varðað fangelsi allt að þremur árum. Brot telst stórfellt þegar það er framið af ásetningi og í hagnaðarskyni með sérstaklega vítaverðum hætti og persónu­upplýsingar mikils fjölda skráðra einstaklinga sem leynt eiga að fara samkvæmt lögum eða eðli máls komast í hendur þriðja aðila eða birtast opinberlega.

    Hafi fyrirsvarsmaður lögaðila, starfsmaður hans eða annar á hans vegum framið brot skv. 1. mgr. í starfsemi lögaðilans má gera honum refsingu, samhliða stjórnvaldssekt sem lögaðilanum er gerð skv. 46. gr. laga þessara.

    Brot einstaklings á þagnarskyldu skv. 36. og 44. gr. laga þessara varðar sektum eða fangelsi allt að einu ári. Hafi hann framið brotið til þess að afla sér eða öðrum óréttmæts ávinnings má beita fangelsi allt að þremur árum.

    Um upptöku ávinnings af broti og hluta sem notaðir eru til að fremja brot fer eftir ákvæðum VII. kafla A almennra hegningarlaga.

49. gr.

Kæra til lögreglu.

    Persónuvernd metur hvort meint brot einstaklings skv. 48. gr. laga þessara skuli kært til lögreglu eða hvort hjá stofnuninni fari fram á því rannsókn sem lykti með stjórnvaldsákvörðun. Með kæru Persónuverndar skulu fylgja afrit þeirra gagna sem grunur um brot er studdur við. Ákvæði IV.–VII. kafla stjórnsýslulaga gilda ekki um ákvörðun Persónuverndar um að kæra mál til lögreglu.

    Persónuvernd er heimilt að láta lögreglu og ákæruvaldi í té upplýsingar og gögn sem stofnunin hefur aflað og tengjast brotum skv. 48. gr. laga þessara. Persónuvernd er heimilt að taka þátt í aðgerðum lögreglu sem varða rannsókn þeirra brota.

    Lögreglu og ákæruvaldi er heimilt að láta Persónuvernd í té upplýsingar og gögn sem þau hafa aflað og tengjast brotum skv. 48. gr. laga þessara. Lögreglu er einnig heimilt að taka þátt í aðgerð­um Persónuverndar sem varða rannsókn þeirra brota sem tilgreind eru í 46. gr. laga þessara.

    Telji ákærandi að ekki séu efni til málshöfðunar vegna ætlaðrar refsiverðrar háttsemi sem jafnframt varðar stjórnsýsluviðurlögum getur hann endursent málið til Persónuverndar til meðferðar og ákvörðunar.

50. gr.

Réttur manna til að fella ekki á sig sök.

    Í máli sem beinist að einstaklingi og lokið getur með álagningu stjórnvaldssekta eða kæru til lög­reglu skv. 49. gr. laga þessara hefur maður sem rökstuddur grunur leikur á að hafi gerst sekur um brot á lögunum rétt til að neita að svara spurningum eða afhenda gögn eða muni nema hægt sé að útiloka að það geti haft þýðingu fyrir ákvörðun um brot hans. Persónuvernd skal leiðbeina hinum grunaða um þennan rétt.

51. gr.

Bætur.

    Hafi ábyrgðaraðili eða vinnsluaðili unnið með persónuupplýsingar í andstöðu við ákvæði reglu­gerðarinnar, laga þessara eða reglna settra á grundvelli þeirra eða fyrirmæli Persónuverndar skal hann bæta hinum skráða það fjárhagslega tjón sem sá síðarnefndi hefur orðið fyrir af þeim völdum. Ábyrgðaraðila eða vinnsluaðila verður þó ekki gert að bæta tjón sem hann sannar að hvorki verður rakið til mistaka né vanrækslu af hans hálfu.

    Vinnsluaðili skal þó aðeins bera ábyrgð á tjóni sem hlýst af vinnslu hafi hann ekki uppfyllt skyldur samkvæmt reglugerðinni og lögum þessum sem beinast sérstaklega að vinnsluaðilum eða ef hann hefur ekki fylgt lögmætum fyrirmælum ábyrgðaraðilans eða farið gegn þeim.

VIII. KAFLI

Gildistaka o.fl.

52. gr.

Reglugerðir á grundvelli laganna.

    Með reglugerð má mæla fyrir um vinnslu persónuupplýsinga og öryggisráðstafanir í tiltekinni starfsemi eða hjá einstökum starfsstéttum.

53. gr.

Gildistaka.

    Lög þessi öðlast gildi 15. júlí 2018. Jafnframt falla þá brott lög um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000, með síðari breytingum.

54. gr.

Breyting á öðrum lögum.

    Við gildistöku laga þessara verða eftirfarandi breytingar á öðrum lögum:

  1. Lög um fasteignalán til neytenda, nr. 118/2016, með síðari breytingum:
    1. Í stað orðanna „1. og 2. tölul. 1. mgr. 8. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 2. málsl. 1. mgr. 24. gr. laganna kemur: 1. og 2. tölul. 1. mgr. 9. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
    2. Í stað orðsins „meðferð“ í lokamálslið 1. mgr. 28. gr. laganna kemur: vinnslu.
  2. Lög um fjármálafyrirtæki, nr. 161/2002, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í 3. mgr. 60. gr. a laganna kemur: vinnslu.
  3. Lög um miðlun vátrygginga, nr. 32/2005, með síðari breytingum: Í stað orðanna „meðferð persónuupplýsinga, nr. 77/2000“ í 3. mgr. 27. gr. og 3. mgr. 48. gr. laganna kemur: vinnslu persónuupplýsinga.
  4. Lög um opinbert eftirlit með fjármálastarfsemi, nr. 87/1998, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í lokamálslið 2. mgr. 13. gr. a laganna kemur: vinnslu.
  5. Lög um almannatryggingar, nr. 100/2007, með síðari breytingum: Í stað orðanna „persónu­vernd og meðferð“ tvívegis í 3. mgr. 46. gr. laganna kemur: persónuvernd og vinnslu.
  6. Lög um atvinnutengda starfsendurhæfingu og starfsemi starfsendurhæfingarsjóða, nr. 60/2012, með síðari breytingum: Í stað orðsins „meðferð“ í 4. mgr. 12. gr. laganna kemur: vinnslu.
  7. Lög um umboðsmann skuldara, nr. 100/2010, með síðari breytingum:
    1. Í stað orðanna „8. og eftir atvikum 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga“ í 3. málsl. 3. mgr. 2. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
    2. Í stað orðanna „13. gr. sömu laga“ í 4. málsl. 3. mgr. 2. gr. laganna kemur: sömu lög.
    3. 2. málsl. 2. mgr. 3. gr. laganna fellur brott.
  8. Lög um greiðsluaðlögun einstaklinga, nr. 101/2010, með síðari breytingum: 2. málsl. 2. mgr. 5. gr. laganna fellur brott.
  9. Lög um úrskurðarnefnd velferðarmála, nr. 85/2015: Í stað orðsins „meðferð“ í 1. mgr. 4. gr. laganna kemur: vinnslu.
  10. Lög um þjónustu við fatlað fólk með langvarandi stuðningsþarfir, nr. 38/2018: Í stað orðsins „meðferð“ í síðara skiptið í 29. gr. laganna kemur: vinnslu.
  11. Lyfjalög, nr. 93/1994, með síðari breytingum: Í stað orðsins „meðferð“ í 2. og 4. mgr. 24. gr., 2. mgr. 25. gr. og 9. mgr. 27. gr. laganna kemur: vinnslu.
  12. Lög um lífsýnasöfn og söfn heilbrigðisupplýsinga, nr. 110/2000, með síðari breytingum:
    1. Í stað orðanna „20. gr. laga um persónuvernd og meðferð persónu­upplýsinga“ í 3. málsl. 1. mgr. 7. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
    2. Í stað orðsins „meðferð“ í 3. mgr. 10. gr. og í síðara skiptið í 6. tölul. 9. mgr. 13. gr. a laganna kemur: vinnslu.
    3. Í stað orðanna „11. og 12. gr. laga um persónuvernd og meðferð persónu­upplýsinga“ í 1. mgr. 12. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
    4. Í stað orðanna „4. mgr. 35. gr., 2. og 3. mgr. 37. gr. og 38.–43. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 2. mgr. 12. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
  13. Lög um græðara, nr. 34/2005, með síðari breytingum: Í stað orðanna „og meðferð“ í 2. málsl. 6. gr. laganna kemur: og vinnslu.
  14. Lög um landlækni og lýðheilsu, nr. 41/2007, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í 9. mgr. 8. gr. laganna kemur: vinnslu.
  15. Lög um sjúkraskrár, nr. 55/2009, með síðari breytingum: Í stað orðsins „meðferð“ í fyrra skiptið í 3. mgr. 1. gr., 2. málsl. 2. mgr. 18. gr., 2. tölul. 2. mgr. 20. gr., 3. mgr. og 3. málsl. 4. mgr. 22. gr. og 4. málsl. 1. mgr. 24. gr. laganna kemur: vinnslu.
  16. Lög um vísindarannsóknir á heilbrigðissviði, nr. 44/2014: Í stað orðsins „meðferð“ í 1. málsl. 3. mgr. 2. gr., 8. gr., 3. málsl. og síðara skiptið í 5. málsl. 2. mgr. 13. gr., 3. mgr. 18. gr., lokamálslið 4. mgr. 19. gr. og 2. málsl. 26. gr. laganna kemur: vinnslu.
  17. Lög um sjúkratryggingar, nr. 112/2008, með síðari breytingum: Í stað orðanna „og meðferð“ í 50. gr. laganna kemur: og vinnslu.
  18. Lög um Heyrnar- og talmeinastöð, nr. 42/2007, með síðari breytingum: Í stað orðsins „meðferð“ í 3. málsl. 5. tölul. 2. gr. laganna kemur: vinnslu.
  19. Lög um þjónustu- og þekkingarmiðstöð fyrir blinda, sjónskerta og einstaklinga með sam­þætta sjón- og heyrnarskerðingu, nr. 160/2008, með síðari breytingum: 2. málsl. 1. mgr. 6. gr. laganna orðast svo: Um skráningu og vinnslu upplýsinga fer samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga.
  20. Lög um réttindagæslu fyrir fatlað fólk, nr. 88/2011, með síðari breytingum: Í stað orðsins „meðferð“ í 3. mgr. 12. gr. og í síðara skiptið í 2. málsl. 3. tölul. 2. mgr. 14. gr. laganna kemur: vinnslu.
  21. Lög um matvæli, nr. 93/1995, með síðari breytingum: Á eftir orðinu „persónuvernd“ í 2. málsl. 1. mgr. 27. gr. d laganna kemur: og vinnslu persónuupplýsinga.
  22. Lög um rafrænar undirskriftir, nr. 28/2001, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í 2. mgr. 5. gr. laganna kemur: vinnslu.
  23. Lög um veitingastaði, gististaði og skemmtanahald, nr. 85/2007, með síðari breytingum: Í stað orðsins „meðferð“ í 4. mgr. 9. gr. laganna kemur: vinnslu.
  24. Lög um leikskóla, nr. 90/2008, með síðari breytingum: Í stað orðsins „meðferð“ í 1. málsl. 2. mgr. 16. gr. laganna kemur: vinnslu.
  25. Lög um grunnskóla, nr. 91/2008, með síðari breytingum: Í stað orðsins „meðferð“ í 2. málsl. 2. mgr. 18. gr. og 2. mgr. 27. gr. laganna kemur: vinnslu.
  26. Lög um opinber skjalasöfn, nr. 77/2014, með síðari breytingum:
    1. Í stað orðanna „8. tölul. 2. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 2. mgr. 26. gr. laganna kemur: 3. tölul. 3. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
    2. Í stað orðsins „meðferð“ í 1. og 6. mgr. 32. gr. laganna kemur: vinnslu.
  27. Höfundalög, nr. 73/1972, með síðari breytingum: Í stað orðanna „18. gr. laga um persónu­vernd og meðferð persónuupplýsinga“ í 3. mgr. 22. gr. a laganna kemur: 17. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
  28. Lög um viðurkenningu á faglegri menntun og hæfi til starfa hér á landi, nr. 26/2010, með síðari breytingum:
    1. Í stað orðanna „29. gr. laga nr. 77/2000, um persónuvernd og meðferð persónu­upplýsinga“ í 2. mgr. 7. gr. laganna kemur: 16. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
    2. Í stað orðanna „laga nr. 77/2000, þar á meðal um að veita þeim einstaklingum sem upplýsingar eru skráðar um fræðslu um meðferð upplýsinganna, sbr. 18. gr. þeirra laga“ í 4. mgr. 7. gr. laganna kemur: laga um persónuvernd og vinnslu persónu­upplýsinga, þar á meðal um að veita þeim einstaklingum sem upplýsingar eru skráðar um fræðslu um vinnslu upplýsinganna, sbr. 17. gr. þeirra laga.
    3. Í stað orðanna „laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga“ í 5. mgr. 9. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
  29. Lög um erfðaefnisskrá lögreglu, nr. 88/2001, með síðari breytingum: Í stað orðsins „meðferð“ í 2. mgr. 1. gr. og 3. mgr. 9. gr. laganna kemur: vinnslu.
  30. Lög um samræmda neyðarsvörun, nr. 40/2008, með síðari breytingum: Í stað orðsins „með­ferð“ í 2. málsl. 6. gr. laganna kemur: vinnslu.
  31. Lög um rannsókn á aðdraganda og orsökum falls íslensku bankanna 2008 og tengdra atburða, nr. 142/2008, með síðari breytingum:
    1. Í stað orðanna „11. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í c-lið 4. mgr. 18. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
    2. Í stað orðsins „meðferð“ í 7. mgr. 18. gr. laganna kemur: vinnslu.
  32. Lög um almannavarnir, nr. 82/2008, með síðari breytingum: Í stað orðsins „meðferð“ í 3. mgr. 34. gr. laganna kemur: vinnslu.
  33. Lög um fullnustu refsinga, nr. 15/2016, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í 2. málsl. 97. gr. laganna kemur: vinnslu.
  34. Lög um útlendinga, nr. 80/2016, með síðari breytingum: Í stað orðsins „meðferð“ í 1. og 2. málsl. 1. mgr. og 4. málsl. 2. mgr. 17. gr. og 2. málsl. 2. mgr. 111. gr. laganna kemur: vinnslu.
  35. Lög um rannsóknarnefndir, nr. 68/2011, með síðari breytingum:
    1. Í stað orðanna „18.–21. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í 1., 2. og 3. mgr. 15. gr. laganna kemur: 1. og 2. mgr. 17. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
    2. Í stað orðanna „18. og 21. gr. laga um persónuvernd og meðferð persónuupplýsinga“ í lokamálslið 3. mgr. 15. gr. laganna kemur: laga um persónuvernd og vinnslu persónuupplýsinga.
  36. Lög um endurnot opinberra upplýsinga, nr. 45/2018: Í stað orðsins „meðferð“ í 1. tölul. 4. gr. laganna kemur: vinnslu.
  37. Lög um Hagstofu Íslands og opinbera hagskýrslugerð, nr. 163/2007, með síðari breytingum:
    1. Í stað orðanna „9. gr. laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000“ í 2. mgr. 13. gr. laganna kemur: 11. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
    2. Í stað orðanna „11.–13. gr. laga nr. 77/2000, um persónuvernd og meðferð persónu­upplýsinga“ í 4. mgr. ákvæðis til bráðabirgða II í lögunum kemur: 27. gr. laga um persónuvernd og vinnslu persónuupplýsinga.
  38. Upplýsingalög, nr. 140/2012, með síðari breytingum: Í stað orðsins „meðferð“ í 2. mgr. 33. gr. laganna kemur: vinnslu.
  39. Lög um leigubifreiðar, nr. 134/2001, með síðari breytingum: Í stað orðsins „meðferð“ í síðara skiptið í lokamálslið 1. mgr. 2. gr. laganna kemur: vinnslu.
  40. Lög um vaktstöð siglinga, nr. 41/2003, með síðari breytingum: Í stað orðsins „meðferð“ í 2. mgr. 16. gr. e laganna kemur: vinnslu.
  41. Lög um fjarskipti, nr. 81/2003, með síðari breytingum:
    1. Í stað orðanna „löggjöf um persónuvernd“ í lokamálslið 3. mgr. 38. gr. laganna kemur: lögum um persónuvernd og vinnslu persónuupplýsinga.
    2. Í stað orðsins „meðferð“ í 5. mgr. 48. gr. laganna kemur: vinnslu.
    3. Á eftir orðunum „um persónuvernd“ í 1. málsl. 51. gr. laganna kemur: og vinnslu persónuupplýsinga.
  42. Lög um sameiningu Þjóðskrár og Fasteignaskrár Íslands, nr. 77/2010, með síðari breyt­ingum: Í stað orðsins „meðferð“ í 1. málsl. 2. gr. laganna kemur: vinnslu.

Ákvæði til bráðabirgða.

I.

    Ráðherra skipar stjórn Persónuverndar í samræmi við 38. gr. laga þessara þegar skipunartími sitjandi stjórnar rennur út.

II.

    Reglugerðir, svo og reglur, fyrirmæli og leyfi sem Persónuvernd eða ráðherra hafa gefið út á grundvelli laga nr. 77/2000, skulu halda gildi, enda fari þau ekki í bága við lög þessi og reglu­gerðina.

III.

    Þrátt fyrir 6. mgr. 4. gr. laga þessara gilda 2. mgr. 1. gr., 3. gr., 1.–5. og 7. mgr. 4. gr., 5. gr., 1. mgr. 7. gr., 8.–13. gr., 1. og 2. mgr. 14. gr., 1. og 3. tölul. 3. mgr. sömu greinar, 22. gr., 23. gr., 25. gr., 27.–33. gr., VI. kafli, 38.–45. gr., 48. gr. og 51.–53. gr. laga þessara um vinnslu persónuupplýsinga, sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu, þar til tilskipun Evrópuþingsins og ráðsins (ESB) 2016/680 hefur verið innleidd í íslenskan rétt. Um framangreinda vinnslu, og fram að sama tímamarki, gilda einnig fyrirmæli 1. mgr. 20. gr. laga þessara um rétt hins skráða til að fá rangar, villandi eða ófullkomnar persónu­upplýsingar um sig leiðréttar.

Gjört á Bessastöðum, 27. júní 2018.

Guðni Th. Jóhannesson.
(L. S.)

Þórdís Kolbrún Reykfjörð Gylfadóttir.

Fylgiskjal.
(sjá PDF-skjal)


A deild - Útgáfud.: 28. júní 2018