Tölvumál - 01.10.2000, Qupperneq 7
Ný lög um persónuupplýsingar
Hér á landi er engin
reynsla af þeirri
aðferð að hafa eftirlit
með framkvæmd
laga um persónu-
upplýsingar með
tilkynningarskyldu.
L/'óst er að þetta
fyrirkomulag hefur
bæði kosti og galla
ungis ef hún telur þess þörf. Það er annað
einkenni tilkynningarskyldunnar að
vinnsla getur hafist á ábyrgð þess sem fyr-
ir vinnslunni stendur.
Kostir og gallar tillcynningakerfis
Hér á landi er engin reynsla af þeirri að-
ferð að hafa eftirlit með framkvæmd laga
um persónuupplýsingar með tilkynningar-
skyldu. Ljóst er að þetta fyrirkomulag hef-
ur bæði kosti og galla. Er þýðingarmikið
að vanda kynningu á reglum um þetta at-
riði þannig að allir þeir sem vinna með
persónuupplýsingar geti gert sér glögga
grein fyrir því hvenær vinnsla er tilkynn-
ingarskyld og hvemig hagfelldast sé að
rækja þá skyldu.
Tilkynningarskyldan þjónar í fyrsta lagi
þeim tilgangi að koma á sambandi milli
ábyrgðaraðila og Persónuvemdar. I öðru
lagi veitir hún færi á að miðla upplýsing-
um til þeirra sem tilkynningarskyldir eru
og getur þannig stuðlað að því að þeir geri
sér betur grein fyrir skyldum sínum lögum
samkvæmt. I þriðja lagi skapar þetta
grundvöll fyrir Persónuvemd til að meta, á
grundvelli innsendra tilkynninga, hvemig
hún skipuleggur starf sitt og forgangsraðar
verkefnum. I fjórða lagi þjónar reglan um
skrá um innsendar tilkynningar þeim til-
gangi að gera almenningi kunnugt um þá
vinnslu persónuupplýsinga sem fram fer í
þjóðfélaginu.
Samanburður ó leyfisskyldu og
tilkynningaskyldu
Einn helsti munur tilkynningarskyldunnar
annars vegar og leyfisskyldunnar hins
vegar felst í því að hinn tilkynningarskyldi
þarf ekki að bíða viðbragða Persónuvernd-
ar eftir að hann hefur tilkynnt um fyrir-
hugaða vinnslu. Eftir að hafa fengið í
hendur staðfestingu þess að Persónuvemd
hafi móttekið tilkynninguna er honum
heimilt að hefja vinnsluna. Mikilvægt er
hins vegar að hafa í huga að móttaka til-
kynningar felur hvorki í sér staðfestingu á
né samþykki við því sem þar kemur fram
heldur eru allar aðgerðir viðkomandi á
hans eigin ábyrgð og áhættu. Eðli málsins
samkvæmt hlýtur það að taka Persónu-
vernd ákveðinn tíma að fara yfir innsendar
tilkynningar og bregðast við þegar þess er
þörf. Því getur liðið nokkur tími frá því að
vinnsla hefst og þar til Persónuvernd gerir
athugasemdir eða grípur til annarra að-
gerða.
Hvað verður áfram leyfisskylt?
Þótt gert sé ráð fyrir því að draga verulega
úr leyfisveitingum verður ekki horfið frá
þeim með öllu. I 33. gr. laganna er mælt
fyrir um leyfisskylda vinnslu. Þar segir að
sé um að ræða vinnslu almennra eða við-
kvæmra persónuupplýsinga sem getur
falið í sér sérstaka hættu á að farið verði í
bága við réttindi og frelsi manna geti Per-
sónuvemd ákveðið að vinnslan megi ekki
hefjast fyrr en hún hefur verið athuguð og
samþykkt með útgáfu sérstakrar heimild-
ar. Þó getur stofnunin ákveðið að slík leyf-
isskylda falli brott þegar settar hafa verið
almennar reglur og öryggisstaðlar um
slíka vinnslu. Einnig er í 45. gr. laganna
gert ráð fyrir því að söfnun og skráning
upplýsinga sem varða fjárhagsmálefni, í
því skyni að miðla þeim til annarra, verði
leyfisskyld.
Gerð siðareglna o.s.frv.
Til viðbótar því sem hér var nefnt skal
þess getið að lögin gera ráð fyrir að Per-
sónuvemd skuli leiðbeina þeim sem ráð-
gera að vinna með persónuupplýsingar
eða þróa kerfi fyrir slíka vinnslu um það
hvemig standa skuli að því að tryggja ör-
yggi við vinnslu persónuupplýsinga. Er í
því sambandi m.a. haft í huga að stofnunin
muni aðstoða við gerð starfs- og siða-
reglna fyrir einstaka hópa og starfsstéttir.
Sigrún Jóhannesdóttir, lögfræðingur, er
forstjóri Persónuverndar
Tölvumál
7