Ferill 912. máls. Aðrar útgáfur af skjalinu: PDF - Microsoft Word.
154. löggjafarþing 2023–2024.
Þingskjal 1357 — 912. mál.
Stjórnarfrumvarp.
Frumvarp til laga
um frjálst flæði ópersónugreinanlegra gagna.
Frá háskóla-, iðnaðar- og nýsköpunarráðherra.
1. gr.
Markmið.
2. gr.
Lögfesting.
3. gr.
Orðskýringar.
1. Gögn: Gögn, önnur en gögn sem innihalda persónuupplýsingar eins og þær eru skilgreindar í 1. tölul. 1. mgr. 3. gr. laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.
2. Krafa um staðsetningu gagna: Hver sú skuldbinding, bann, skilyrði, takmörkun eða önnur krafa, sem kveðið er á um í lögum eða stjórnvaldsfyrirmælum eða byggist á stjórnsýsluvenjum opinberra aðila, sem áskilur að vinnsla gagna fari fram á yfirráðasvæði tiltekins aðildarríkis EES-samningsins eða hindrar vinnslu gagna í einhverju aðildarríkjanna.
3. Vinnsla: Aðgerð eða röð aðgerða þar sem unnið er með gögn eða gagnamengi á rafrænu formi, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun um framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.
4. gr.
Kröfur um staðsetningu.
5. gr.
Aðgangur yfirvalda að gögnum.
Ef lögbært yfirvald fær ekki aðgang að gögnum aðila sem notar gagnavinnsluþjónustu eftir að hafa óskað eftir því og ef sérstakt samstarfsfyrirkomulag er ekki fyrir hendi er því heimilt að óska eftir aðstoð lögbærs yfirvalds í því aðildarríki EES-samningsins sem gögnin eru unnin í gegnum sérstakan tengilið, sbr. 1. mgr. 7. gr. reglugerðarinnar.
6. gr.
Tengiliður.
Ráðherra skal birta rafrænt upplýsingar um allar kröfur um staðsetningu gagna, sem mælt er fyrir um í almennum lögum eða stjórnsýslufyrirmælum, og tilkynna tímabundna ráðstöfun sem krefst staðsetningar gagna hér á landi lengur en í 180 daga í samræmi við 4. mgr. 5. gr. reglugerðar (ESB) 2018/1807.
Ráðherra setur reglugerð um nánari framkvæmd reglugerðar (ESB) 2018/1807 um þau atriði sem koma fram um samstarf stjórnvalda og tilkynningar í 4., 5. og 7. gr. reglugerðar (ESB) 2018/1807.
7. gr.
Gildistaka.
Greinargerð.
Frumvarp þetta er samið í háskóla-, iðnaðar- og nýsköpunarráðuneyti. Með því er lagt til að reglugerð Evrópuþingsins og ráðsins (ESB) 2018/1807 frá 14. nóvember 2018 um ramma um frjálst flæði ópersónulegra upplýsinga í Evrópusambandinu verði tekin upp í íslenskan rétt með tilvísunaraðferð á grundvelli sérlaga. Reglugerðin var tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 240/2023 þann 22. september 2023.
2. Tilefni og nauðsyn lagasetningar.
Markmiðið með reglugerðinni sem hér er innleidd er að lögfesta meginreglu um frjálst flæði gagna, annarra en gagna sem innihalda persónuupplýsingar, innan Evrópska efnahagssvæðisins (EES). Frjálst flæði persónuupplýsinga innan EES var tryggt með reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, eins og hún var tekin upp í samninginn um Evrópska efnahagssvæðið með ákvörðun sameiginlegu EES-nefndarinnar nr. 154/2018, sem innleidd var með lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, sem innleidd var með lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018. Sambærilegar reglur gilda ekki um ópersónulegar upplýsingar
Löggjöfin miðar að því að auðvelda viðskipti þvert á landamæri innan Evrópska efnahagssvæðisins (EES) og skapa einn gagnamarkað í samræmi við frelsi til að veita þjónustu samkvæmt EES-samningnum. Í þeim tilgangi þarf að jafnframt að tryggja frjálst flæði upplýsinga, annarra en persónuupplýsinga, innan EES með því að takmarka reglur sem fela í sér beinar eða óbeinar hindranir á flutningi ópersónulegra upplýsinga á milli aðildarríkja.
Það eru einkum tvenns konar hindranir sem standa í vegi fyrir hreyfanleika gagna á innri markaði EES. Í fyrsta lagi kröfur sem aðildarríki hafa sett um staðsetningu gagna á tilteknu landsvæði eða yfirráðasvæði. Í öðru lagi lagaleg, samningsbundin og tæknileg atriði sem hindra eða koma í veg fyrir að notendur gagnavinnsluþjónustu flytji eigin gögn frá einum þjónustuveitanda til annars.
Þá miðar reglugerðin sem fyrirhugað er að innleiða að því að efla samkeppni á skýjaþjónustumarkaði með því að auðvelda notendum að skipta um þjónustuveitendur, sem jafnframt eru hvattir til þess að setja hátternisreglur til þess að auðvelda flutning á gögnum
3. Meginefni frumvarpsins.
Frumvarpið felur í sér innleiðingu á reglugerð um ramma um frjálst flæði annarra upplýsinga en persónuupplýsinga. Meginefni frumvarpsins er því lögfesting reglugerðar (ESB) 2018/1807 og nauðsynlegra ákvæða þar að lútandi.
3.1. Efni reglugerðar (ESB) 2018/1807.
Reglugerðin gildir um vinnslu gagna, annarra en persónuupplýsinga, sem veitt er sem þjónusta við notendur gagnavinnsluþjónustu innan EES eða sem einstaklingur, fyrirtæki eða stofnun innan EES framkvæmir vegna eigin þarfa. Reglugerðin gildir ekki um starfsemi sem fellur utan gildissviðs EES-samningsins.
Meginefni reglugerðar (ESB) 2018/1807 er eftirfarandi:
1. Reglugerðin setur fram þá meginreglu að kröfur í lögum eða stjórnvaldsfyrirmælum um að vinnsla gagna sé takmörkuð við tiltekið svæði innan EES séu óheimilar, nema slíkar kröfur séu rökstuddar á grundvelli almannaöryggis og í samræmi við meðalhófsreglu. Meginreglan er með fyrirvara um þær kröfur um staðsetningu gagna sem þegar er mælt fyrir um á grundvelli gildandi EES-löggjafar sem og annarra undanþága sem fram koma í reglugerðinni.
2. Stjórnvöld skulu;
a. fella úr gildi kröfur um staðsetningu gagna, sem ekki eiga við rök að styðjast, og tilkynna Eftirlitsstofnun EFTA um þær kröfur sem stjórnvöld telja að eigi við rök að styðjast,
b. upplýsa Eftirlitsstofnun EFTA um hugsanlega nýja kröfu um staðsetningu gagna,
c. hafa aðgengilegt yfirlit yfir þær kröfur um staðsetningu gagna sem eru í gildi samkvæmt lögum eða stjórnvaldsfyrirmælum,
d. tilnefna einn tengilið til að hafa samskipti og samstarf við mótaðila í öðrum EES-ríkjum.
3. Lögbær yfirvöld í EES-ríkjum geta óskað eftir aðgangi að gögnum sem eru staðsett í öðru EES-ríki, eða geymd eða unnin í skýinu, og krafist er vegna opinberra starfa þeirra.
Framkvæmdastjórn ESB skal hvetja til og greiða fyrir þróun hátternisreglna til þess að stuðla að samkeppnishæfu gagnakerfi
Lagt er til að reglugerð (ESB) 2018/1807 verði tekin upp í íslenskan rétt með svokallaðri tilvísunaraðferð og hún þá að fullu innleidd samkvæmt orðanna hljóðan í samræmi við a-lið 7. gr. EES-samningsins, sbr. lög um Evrópska efnahagssvæðið, nr. 2/1993.
Ljóst er að skv. 7. gr. EES-samningsins ber ríkjum að leiða texta reglugerða inn í landslög í heild sinni og meginreglan er því að óheimilt sé að umorða eða breyta texta þeirra í innlendum lagatexta. Áformað er að lögfesta reglugerðina í heild sinni skv. 2. gr. frumvarpsins. Þar sem um er að ræða nýja lagasetningu er sú leið farin að setja inn í frumvarpið efni nokkurra kjarnaákvæða reglugerðarinnar til þess að gera hana aðgengilega fyrir almenning, auk sérákvæða um tengilið og reglugerðarheimild til að kveða nánar á um framkvæmd laganna, verði frumvarpið óbreytt að lögum. Leitast er við að fylgja orðalagi ákvæða reglugerðarinnar svo ekki komi upp misræmi. Ekki er gengið lengra en lágmarksákvæði reglugerðarinnar kveða á um. Frumvarpið hefur ekki að geyma frávik frá reglugerðinni, nema að orðalagi þýðingar er breytt á stöku stað til að fylgja hefðum í íslensku lagamáli og hafa textann skiljanlegri fyrir almenning.
3.2. Staða efnisreglna reglugerðar (ESB) 2018/1807 gagnvart öðrum lögum.
Af ákvæðum 1.–3. mgr. 4. gr. reglugerðarinnar leiðir að aðildarríki skuli fella úr gildi ákvæði sem hafa að geyma kröfur um að gögn skuli vinna á ákveðnu landssvæði, nema þær séu rökstuddar á grundvelli almannaöryggis og að meðalhófs sé gætt. Slíkar takmarkanir halda gildi sínu þrátt fyrir ákvæði reglugerðarinnar og frumvarpsins, þar til þær hafa verið felldar úr gildi með lagabreytingu eða breytingu á stjórnvaldsfyrirmælum.
Lög um bókhald, nr. 145/1994, eru einu lögin þar sem fjallað er um kröfu til að ópersónugreinanleg gögn séu staðsett hér á landi. Það ber þó að athuga að bókhaldsgögn hafa einnig að geyma persónugreinanleg gögn, og samsett gagnasett falla undir lög um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.
Varnarmálalög, nr. 34/2008, reglugerð um vernd trúnaðarupplýsinga, öryggisvottanir og öryggisviðurkenningar á sviði öryggis- og varnarmála, nr. 959/2012, og reglur fjármála- og efnahagsráðuneytisins um öryggisflokkun gagna íslenska ríkisins geta falið í sér mögulegar kvaðir um staðsetningu gagna, en þær takmarkanir eru byggðar á sjónarmiðum um almannaöryggi að því marki sem slík gögn gætu fallið undir gildissvið reglugerðarinnar.
4. Samræmi við stjórnarskrá og alþjóðlegar skuldbindingar.
Frumvarpið felur ekki í sér framsal valdheimilda og ekki eru álitamál um samræmi við stjórnarskrá. Frumvarpið er lagt fram til að uppfylla skyldur Íslands samkvæmt EES-samningnum.
5. Samráð.
Drög að frumvarpi þessu voru birt almenningi til samráðs í Samráðsgátt stjórnvalda á vefnum Ísland.is (mál nr. S-42/2024) og umsagnarfrestur veittur frá 13. til 27. febrúar. Neytendastofu, Persónuvernd, Ríkislögreglustjóra, Skattinum, Samtökum gagnavera og Samtökum upplýsingatæknifyrirtækja var gert viðvart um málið með boði um þátttöku í Samráðsgátt. Engar umsagnir bárust.
6. Mat á áhrifum.
6.1. Opinberir aðilar.
Opinberum aðilum verður við kaup á gagnavinnsluþjónustu ekki heimilt að setja kröfur um staðsetningu gagna á tilteknu landsvæði eða yfirráðasvæði, nema þær séu rökstuddar á grundvelli almannaöryggis og að meðalhófs sé gætt. Eftir sem áður er heimilt að gera kröfu um staðsetningu gagna innan EES.
Samkvæmt frumvarpinu skuldbindur ríkið sig til þess að koma upp vef sem hefur að geyma upplýsingar um kröfur til staðsetningu gagna samkvæmt íslenskum lögum. Gert er ráð fyrir að upplýsingarnar yrðu aðgengilegar á Ísland.is.
Gert er ráð fyrir tilnefningu tengiliðar sem lögbær yfirvöld EES-ríkja geti leitað til ef einstaklingur eða lögaðili í öðru landi sinnir ekki skyldu sinni til að láta í té gögn sem vistuð eru á Íslandi. Þetta á eingöngu við í þeim tilvikum þegar ekki er fyrir hendi samstarf við önnur lögbær yfirvöld innan EES. Að sama skapi geta lögbær yfirvöld á Íslandi leitað til tilnefnds tengiliðar í EES-ríki, afhendi einstaklingur eða lögaðili hér á landi ekki gögn sem vistuð eru í viðkomandi EES-ríki. Í dag er eingöngu um að ræða kröfu um staðsetningu bókhaldsgagna í íslenskum lögum. Skattyfirvöld og löggæsluyfirvöld eru nú þegar þátttakendur í alþjóðlegu samstarfi við önnur EES-ríki m.a. á grundvelli samnings um gagnkvæma stjórnsýsluaðstoð í skattamálum og þátttöku í Europol, þannig ekki er gert ráð fyrir að tilnefning tengiliðar hafi í för með sér kostnað.
Í ljósi ofangreinds er ekki gert ráð fyrir að frumvarpið hafi áhrif á fjárhag ríkissjóðs.
6.2. Fyrirtæki og almenningur.
Frumvarpið takmarkar ekki frelsi fyrirtækja til að gera samninga þar sem tilgreint er hvar gögn skuli vera staðsett, heldur er því einungis ætlað að tryggja frelsi til að velja staðsetningu hvar sem er innan EES. Það miðar einnig að því að auka samkeppni um gagnavinnsluþjónustu.
Einstaklingar og fyrirtæki sem hafa skyldu til að láta lögbærum yfirvöldum í té gögn geta uppfyllt þær skyldur með því að veita og tryggja þeim skilvirkan og tímanlegan rafrænan aðgang að gögnunum óháð því í hvaða aðildarríki gagnavinnslan fer fram.
Ekki er gert ráð fyrir neikvæðum áhrifum á fyrirtæki og almenning heldur eru kröfur um staðsetningu gagna takmarkaðar og á það að leiða til minni reglubyrði.
6.3. Þjónustuveitendur.
Fyrirtæki sem bjóða upp á gagnavinnsluþjónustu eru hvött til að setja sér hátternisreglur til að auðvelda viðskiptavinum að flytja eigin gögn á milli þjónustuaðila en ekki er um að ræða skyldu. Hátternisreglurnar er að finna á vefnum swipo.eu.
Þar sem fáar kröfur um staðsetningu er að finna í íslenskum lögum ætti bann við slíkum kröfum ekki að hafa tilfinnanleg áhrif á þessa aðila.
Um einstakar greinar frumvarpsins.
Um 1. gr.
Um 2. gr.
Um 3. gr.
Orðskýringarnar eru samhljóða samsvarandi skilgreiningum í reglugerðinni, að undanskildum 2. tölul. 3. gr. frumvarpsins, þar sem hugtakið staðsetning er notað í stað hugtaksins staðbindingar, sem ekki hefur unnið sér sess í íslensku lagamáli. Mikilvægt er að fullt samræmi sér þar á milli. Í skýringum við hvern og einn tölulið verður gerð grein fyrir megininntaki hvers hugtaks.
1. Gögn: Hugtakið gögn í skilningi reglugerðarinnar vísar til gagna, annarra en gagna sem innihalda persónuupplýsingar eins og þær eru skilgreindar í 1. lið 4. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679, sbr. 2. tölul. 1. mgr. 3. gr. laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018. Hinn 29. maí 2019 gaf framkvæmdastjórn ESB út leiðbeinandi upplýsingar um samspilið á milli þessarar reglugerðar og reglugerðar (ESB) 2016/679. Þar er að finna upplýsingar um beitingu reglugerðarinnar þegar um er að ræða gagnamengi sem innihalda bæði persónuupplýsingar og ópersónugreinanlegar upplýsingar. Þar kemur m.a. fram að upplýsingar teljist persónuupplýsingar, þótt þær hafi verið gerðar ópersónugreinanlegar, ef unnt er að gera þær persónugreinanlegar með viðbótarupplýsingum.
2. Krafa um staðsetningu gagna: Hugtakið er skilgreint í 5. tölul. 3. gr. reglugerðarinnar. Í íslenskri þýðingu reglugerðarinnar er þetta nefnt „krafa um staðbindingu gagna“. Við þýðingu ESB-gerða hefur Þýðingamiðstöð utanríkisráðuneytisins notað samræmdar og staðlaðar þýðingar hugtaka sem ætlað er að vera óháðar landsrétti einstakra ríkja. Í ljósi þess að hugtakið „staðbinding“ er ekki til í íslensku lagamáli er orðið „staðsetning“ notað í staðinn og þannig vikið frá opinberri þýðingu reglugerðarinnar. Í lögum um bókhald, nr. 145/1994, er krafa um staðsetningu orðuð á þann hátt að bókhaldsbækur skulu „vera til staðar hér á landi“. Í reglum fjármála- og efnahagsráðuneytisins um öryggisflokkun gagna íslenska ríkisins er „staðsetning vistunar“ notað þegar fjallað er um mögulegar kvaðir á staðsetningu gagna. Í því markmiði að frumvarpið sé skiljanlegra og aðgengilegra almenningi er orðið staðsetning því notað í stað staðbindingar, en það felur ekki í sér breytingu á inntaki greinarinnar.
3. Vinnsla: Hugtakið vinnsla er víðtækt og ber að túlka rúmt. Vinnsla er skilgreind á sama hátt og í 4. tölul. 3. gr. laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, að því frátöldu að það tekur til gagna eða gagnamengja á rafrænu formi, sem ekki eru persónuupplýsingar.
Um 4. gr.
Ákvæðið gildir ekki um gögn sem tengjast starfsemi sem fellur utan gildissviðs EES-löggjafar og hefur ekki áhrif á lög og stjórnvaldsfyrirmæli sem varða innri málefni aðildarríkja, sbr. 3. mgr. 2. gr. reglugerðarinnar.
Um 5. gr.
Ef notandi afhendir lögbærum yfirvöldum ekki gögn og ekki er fyrir hendi sérstakt samstarfsfyrirkomulag er hægt að óska eftir aðstoð hjá tengilið í því EES-aðildarríki þar sem gögnin eru unninn. Í skýringu við 3. mgr. 6. gr. er nánar fjallað um samstarf stjórnvalda.
Um 6. gr.
Gert er ráð fyrir að upplýsingar um kröfur til staðsetningar gagna verði birtar á vefnum Ísland.is í samræmi við 2. mgr. 6. gr. frumvarpsins og 5. mgr. 4. gr. reglugerðarinnar.
Í 3. mgr. 6. gr. er kveðið á um heimild ráðherra til að kveða á um framkvæmd reglugerðarinnar í reglugerð. Fyrirhugað er að innleiða framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2020/1669, frá 10. nóvember 2020, um tilraunaverkefni til að koma til framkvæmda tilteknum ákvæðum um samvinnu á sviði stjórnsýslu, sem sett eru fram í reglugerð Evrópuþingsins og ráðsins (ESB) 2018/1807 um ramma um frjálst flæði ópersónulegra upplýsinga í Evrópusambandinu, með því að nota upplýsingakerfið fyrir innri markaðinn. Upplýsingakerfið er ESB-gagnagrunnur vegna upplýsingaskipta milli lögbærra stjórnvalda aðildarríkja. Um upplýsingakerfið gilda ákvæði reglugerðar (ESB) nr. 1024/2012 um samvinnu á sviði stjórnsýslu fyrir tilstilli upplýsingakerfisins fyrir innri markaðinn, sem var innleidd með tilvísunaraðferð í 2. mgr. 10. gr. laga um viðurkenningu á faglegri menntun og hæfi til starfa hér á landi, nr. 26/2010, með breytingalögum nr. 16/2020. Ráðherra getur einnig með reglugerð falið öðrum aðila að vera tengiliður skv. 1. mgr. 6. gr. frumvarpsins.
Um 7. gr.