Almenna persónuverndarreglugerðin - 32016R0679
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga og niðurfellingu tilskipunar 95/46/EB (almenna persónuverndarreglugerðin)
-
Tillaga sem gæti verið EES-tæk
-
Gerð í skoðun hjá EES-EFTA ríkjunum
-
Drög að ákvörðun sameiginlegu nefndarinnar í skoðun
-
Ákvörðun sameiginlegu nefndarinnar samþykkt en hefur ekki öðlast gildi
-
Tekin upp í EES-samninginn og í gildi
-
Tekin upp í EES-samninginn en ekki lengur í gildi
Staða og svið tillögu/gerðar
| Staða tillögu/gerðar | ESB gerð sem hefur verið tekin upp í EES-samninginn og er í gildi |
|---|---|
| Svið (EES-samningur, viðauki) | 11 Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið, 11.03 Gagnavernd |
| Ákvörðun sameiginlegu nefndarinnar (JCD) | 154/2018 |
| Þennan dag skulu skilyrði uppfyllt á EES-svæðinu | |
| Staðfestur gildistökudagur | |
| Í gildi á EES-svæðinu | Já |
Almennar upplýsingar
Útdráttur
Markmið tillagnanna er að einfalda þær reglur sem gilda og breyta þeim þannig að þær eigi við þær aðstæður sem gilda í dag. Réttindi og skyldur fyrirtækja sem nota persónupplýsingar eru skilgreindar sem og réttindi þeirra sem upplýsingarnar eiga við. Megintilgangur endurskoðunarinnar er að samræma framkvæmd tilskipunarinnar frá 1995 innan aðildarrríkja ESB (og EES-ríkjanna) til að draga úr hættu á að tiltekin aðildarríki hagi framkvæmd sinni þannig að fyrirtæki sæki til þeirra vegna þess að reglurnar séu hagstæðari fyrirtækjum sem fara með persónuupplýsingar en í öðrum aðildarríkjum.
Nánari efnisumfjöllun
Á árinu 2012 lagði framkvæmdastjórn ESB fram tillögur að endurskoðuðum reglum um persónuvernd, þ.e. um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, sem ætlunin var að kæmi í stað tilskipunar nr. 95/46/EB. Samhliða lagði framkvæmdastjórnin fram tillögu að tilskipun ráðsins og Evrópuþingsins um vernd einstaklinga með tilliti til vinnslu persónuupplýsinga af viðeigandi yfirvöldum til að: koma í veg fyrir afbrot, í þágu rannsókna, til að koma upp um eða saksækja vegna lögbrota eða vegna fullnustu refsinga og um frjálsa miðlun slíkra upplýsinga. Mun sú tilskipun koma í stað rammaákvörðunar ESB nr. 2008/977 en hún telst falla á sviði Schengen-samstarfsins. Reglurnar hafa nú verið samþykktar í endanlegri mynd af Evópusambandinu.
Markmið tillagnanna er að einfalda þær reglur sem gilda og breyta þeim þannig að þær eigi við þær aðstæður sem gilda í dag. Réttindi og skyldur fyrirtækja sem nota persónupplýsingar eru skilgreindar sem og réttindi þeirra sem upplýsingarnar eiga við. Megintilgangur endurskoðunarinnar er að samræma framkvæmd tilskipunarinnar frá 1995 innan aðildarrríkja ESB (og EES-ríkjanna) til að draga úr hættu á að tiltekin aðildarríki hagi framkvæmd sinni þannig að fyrirtæki sæki til þeirra vegna þess að reglurnar séu hagstæðari fyrirtækjum sem fara með persónuupplýsingar en í öðrum aðildarríkjum.
Grundvallarreglur persónuverndar einstaklinga eru óbreyttar en þó þannig að réttindi einstaklinga eru styrkt til muna. Það leiðir til þess að ábyrgð fyrirtækja er að sama skapi aukin til muna - t.d. tilkynningarskylda um öryggisbresti, fræðsla til einstaklinga um vinnslu, reglur um innbyggða og sjálfgefna friðhelgi, sem og að heimilt verður að sekta um sem nemur 4% af heildaveltu þeirra.
Sérstaklega er rétt að nefna að þau nýmæli verða að einstaklingur getur eftirleiðis farið með kvörtun til þess aðildarríkis þar sem einstaklingurinn hefur búsetu en hefur utan þess rýmri heimildir til að fara með kvartanir þvert á landamæri og að sama skapi verður fyrirtækjum gert kleift að leita til persónuverndarstofnunar í því ríki þar sem höfuðstöðvar viðkomandi fyrirtækis eru á innri markaðnum. Eigi málið við fleiri en eitt land, mun ein persónuverndarstofnun verða leiðandi í meðferð málsins (e. Lead Supervisory Authority) og vinna ákvörðun sem mun verða bindandi fyrir aðrar persónuverndarstofnanir sem hlut eiga að máli (e. concerned DPA).
Komi upp ágreiningur milli stofnanna mun Evrópska persónuverndarráðið ESB (e. European Data Protection Board) skera úr um ágreining og beina ákvörðun til hins leiðandi stjórnvalds, sem síðan tekur ákvörðun í málinu gagnvart viðkomandi lögaðila. Ljóst er að reglugerðin mun kalla á aukna stjórnsýslu á sviði persónuverndarmála og kunna þessi atriði jafnframt að fela í sér stjórnskipuleg álitaefni á Íslandi og áskoranir fyrir tveggja-stoða kerfi EES-samningsins.
Af öðrum atriðum má nefna réttinn til að gleymast, þ.e. láta eyða upplýsingum um sig af internetinu og að heimilt er að lækka aldursmark til að gerast þátttakandi að samfélagsmiðlum úr 16 árum í 13 ár en ákvörðun um það er á forræði hvers ríkis.
Markmið tillagnanna er að einfalda þær reglur sem gilda og breyta þeim þannig að þær eigi við þær aðstæður sem gilda í dag. Réttindi og skyldur fyrirtækja sem nota persónupplýsingar eru skilgreindar sem og réttindi þeirra sem upplýsingarnar eiga við. Megintilgangur endurskoðunarinnar er að samræma framkvæmd tilskipunarinnar frá 1995 innan aðildarrríkja ESB (og EES-ríkjanna) til að draga úr hættu á að tiltekin aðildarríki hagi framkvæmd sinni þannig að fyrirtæki sæki til þeirra vegna þess að reglurnar séu hagstæðari fyrirtækjum sem fara með persónuupplýsingar en í öðrum aðildarríkjum.
Grundvallarreglur persónuverndar einstaklinga eru óbreyttar en þó þannig að réttindi einstaklinga eru styrkt til muna. Það leiðir til þess að ábyrgð fyrirtækja er að sama skapi aukin til muna - t.d. tilkynningarskylda um öryggisbresti, fræðsla til einstaklinga um vinnslu, reglur um innbyggða og sjálfgefna friðhelgi, sem og að heimilt verður að sekta um sem nemur 4% af heildaveltu þeirra.
Sérstaklega er rétt að nefna að þau nýmæli verða að einstaklingur getur eftirleiðis farið með kvörtun til þess aðildarríkis þar sem einstaklingurinn hefur búsetu en hefur utan þess rýmri heimildir til að fara með kvartanir þvert á landamæri og að sama skapi verður fyrirtækjum gert kleift að leita til persónuverndarstofnunar í því ríki þar sem höfuðstöðvar viðkomandi fyrirtækis eru á innri markaðnum. Eigi málið við fleiri en eitt land, mun ein persónuverndarstofnun verða leiðandi í meðferð málsins (e. Lead Supervisory Authority) og vinna ákvörðun sem mun verða bindandi fyrir aðrar persónuverndarstofnanir sem hlut eiga að máli (e. concerned DPA).
Komi upp ágreiningur milli stofnanna mun Evrópska persónuverndarráðið ESB (e. European Data Protection Board) skera úr um ágreining og beina ákvörðun til hins leiðandi stjórnvalds, sem síðan tekur ákvörðun í málinu gagnvart viðkomandi lögaðila. Ljóst er að reglugerðin mun kalla á aukna stjórnsýslu á sviði persónuverndarmála og kunna þessi atriði jafnframt að fela í sér stjórnskipuleg álitaefni á Íslandi og áskoranir fyrir tveggja-stoða kerfi EES-samningsins.
Af öðrum atriðum má nefna réttinn til að gleymast, þ.e. láta eyða upplýsingum um sig af internetinu og að heimilt er að lækka aldursmark til að gerast þátttakandi að samfélagsmiðlum úr 16 árum í 13 ár en ákvörðun um það er á forræði hvers ríkis.
Staða innan stjórnsýslunnar
| Stofnun hefur lokið yfirferð | Já |
|---|---|
| Þörf á aðlögun í ákvörðun sameiginlegu nefndarinnar | Efnislegri aðlögun |
| Fagráðuneyti hefur lokið vinnu við upplýsingablað og samþykkir drög að ákvörðun sameiginlegu nefndarinnar | Já |
| Utanríkisráðuneyti hefur veitt samþykki fyrir því að drög að ákvörðun sameiginlegu nefndarinnar séu send til ESB | Já |
| Sent til Alþingis | |
| Utanríkisráðuneyti hefur veitt samþykki fyrir því að drög að ákvörðun sameiginlegu nefndarinnar séu send til ESB |
Innleiðing
| Innleiðing | Lagasetning/lagabreyting |
|---|---|
| Tilgreinið hvaða lög eða reglugerð þarf að setja eða breyta | Að lágmarki þarf að breyta lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000 |
| Staða innleiðingarvinnu | Innleiðingarvinnu lokið (tilkynnt til ESA – form 1) eða þarfnast ekki innleiðingar |
Samráð
| Samráð | Já |
|---|
Áhrif
| Nánari útskýring á kostnaði, þ.á.m. á hvern hann fellur | Sjá efnisumfjöllun |
|---|---|
| Áætlaður kostnaður hins opinbera | Innan fjárhagsáætlunar |
| Mat á áhrifum og sérstökum hagsmunum Íslands | Sjá efnisumfjöllun |
Ábyrgðaraðilar
| Ábyrgt ráðuneyti | Dómsmálaráðuneytið |
|---|---|
| Ábyrg stofnun | Persónuvernd |
Samþykktar gerðir birtar í Stjórnartíðindum ESB
| CELEX-númer | 32016R0679 |
|---|---|
| Þennan dag skulu skilyrði uppfyllt í ESB | |
| Samþykkt tilvísun í Stjórnartíðindi ESB | OJ L 119, 4.5.2016, p. 1 |
| Þennan dag skulu skilyrði uppfyllt í ESB |
Vinnslustig (pipeline stage)
| COM numer | COM(2012) 011 |
|---|---|
| Dagsetning tillögu ESB | |
| Dagsetning tillögu | |
| Samþykktardagur i ESB |
Drög að ákvörðun sameiginlegu nefndarinnar
| Stjórnskipulegum fyrirvara aflétt (Liechtenstein) |
|---|
Ákvörðun sameiginlegu nefndarinnar
| Sendingardagur EFTA á drögum að ákvörðun sameiginlegu nefndarinnar til framkvæmdastjórnarinnar | |
|---|---|
| Staðfestur gildistökudagur | |
| Tilvísun í EES-viðbæti | EEA Supplement No 46, 19.7.2018, p. 1 |
| Tilvísun í stjórnartíðindi ESB | OJ L 183, 19.7.2018, p. 23 |
Staða innleiðingar samkvæmt ESA
| Staða innleiðingar á Íslandi samkvæmt ESA | Græn: Innleitt |
|---|---|
| Viðeigandi lög/reglugerði |
|