Ríkisstjórn Íslands hefur hafið vinnu við innleiðingu umfangsmestu breytinga sem gerðar hafa verið á persónuverndarlöggjöf Evrópusambandsins inn í íslenska löggjöf. Frá og með 25. maí á næsta ári mun efni Evrópureglugerðarinnar taka til íslenskra aðila sem vinna með persónuupplýsingar ESB borgara, jafnvel þótt reglugerðin verði ekki komin í íslensk lög.

Nær reglugerðin til allra sem bjóða ESB borgurum vöru og þjónustu, sem og mun hún ná til alls eftirlits með viðskiptahegðun borgara sambandsins. Dómsmálaráðherra skipaði á dögunum formann stjórnar Persónuverndar, Björgu Thorarensen prófessor í lögfræði við HÍ til að semja frumvarpið, að því segir á vef stjórnarráðsins.

Starfshópur henni til aðstoðar er skipaður eftirfarandi fulltrúum:

  • Rósa Dögg Flosadóttir, frá dómsmálaráðuneyti
  • Vigdís Eva Líndal, frá Persónuvernd
  • Þórður Sveinsson, frá Persónuvernd
  • Baldur Már Bragason, frá rekstrarfélagi Stjórnarráðsins.

Áformað er að frumvarpið verði tilbúið um miðjan janúar 2018. Áætlað er að hefja eiginlegt samráð í tengslum við það með almenningi og hagsmunaaðilum um svipað leyti og jafnvel nokkru fyrr.

Auk frumvarps til nýrra persónuverndarlaga verður samið frumvarp sem tekur til breytinga á þeim lögum sem vísa til gildandi persónuverndarlaga eða fela í sér heimildir eða skyldu til vinnslu persónuupplýsinga en þau eru talsvert mörg. Dómsmálaráðuneytið mun einnig halda utan um það verkefni með aðkomu annarra ráðuneyta.

Mun ná til íslenskra aðila jafnvel þó verði ekki komin inn í EES samningin

Víðtækt landfræðilegt gildissvið reglugerðarinnar gerir það að verkum að frá og með 25. maí 2018 mun efni reglugerðarinnar undir ákveðnum kringumstæðum taka til íslenskra aðila sem vinna með persónuupplýsingar einstaklinga innan ESB, jafnvel þótt gerðin verði ekki komin í EES-samninginn á þeim tíma.

Í fyrsta lagi mun reglugerðin gilda um þá vinnslu persónuupplýsinga af hálfu íslenskra aðila sem tengist því að bjóða einstaklingum innan ESB vöru eða þjónustu, án tillits til þess hvort það er gert gegn greiðslu eða ekki.

Í öðru lagi mun reglugerðin gilda um vinnslu íslenskra aðila í tengslum við eftirlit með hegðun einstaklinga að svo miklu leyti sem hegðun þeirra á sér stað innan ESB, s.s. til að rekja slóð einstaklinga á Netinu eða þegar notuð eru persónusnið.

Þau fyrirtæki og stofnanir sem stunda framangreinda vinnslu persónuupplýsinga einstaklinga innan ESB þurfa því að standast kröfur reglugerðarinnar frá og með 25. maí 2018 jafnvel þótt upptöku- og innleiðingarvinnu verði ekki lokið.