Fordæmalausar sektarheimildir

Eitt af síðustu verkum Alþingis þann 13. júní 2018 áður en þingmenn héldu í sumarfrí var að samþykkja ný lög um persónuvernd og vinnslu persónuupplýsinga. Frumvarpið var keyrt í gegnum Alþingi á miklum hraða á síðustu dögum þingsins, sem er sérstakt og í raun gagnrýnivert í ljósi þess um hversu veigamikið og flókið mál er að ræða. Með lögunum er ný persónuverndarreglugerð Evrópusambandsins innleidd í íslensk lög, en reglugerðin felur í sér umfangsmestu breytingar sem gerðar hafa verið á þessu réttarsviði í tvo áratugi og markar því mikilvæg tímamót.

Ein veigamesta nýjungin eru stórauknar valdheimildir sem Persónuvernd eru fengnar í hendur í tengslum við viðurlög við brotum á ákvæðum laganna. Þau viðurlög sem kveðið er á um í nýju lögunum eru stjórnvaldssektir og refsingar, en að auki er heimilt að beita dagsektum í ákveðnum tilvikum. Helsta nýmæli laganna hvað þetta varðar er heimild til að leggja stjórnvaldssekt á þá sem brjóta gegn ákvæðum laganna, bæði einkaaðila og opinbera aðila. Sektarfjárhæðirnar sem mælt er fyrir um eru með því hæsta sem þekkist í íslenskum lögum, en sektarramminn er frá 100 þúsund krónum til 2,4 milljarða króna fyrir alvarlegustu brotin. Í þeim tilfellum sem fyrirtæki hefur gerst brotlegt við ákvæði laganna getur sektin numið 4% af árlegri heildarveltu á heimsvísu og því ekki útilokað að sektarfjárhæðin verði hærri en 2,4 milljarðar króna. Í þessu sambandi er rétt að hafa í huga að afar ólíklegt verður að teljast að lögð verði sekt að fjárhæð 2,4 milljarðar króna á íslensk fyrirtæki. Sektarhámarkið tekur mið af því umhverfi sem persónuverndarreglugerð Evrópusambandsins er sett í og að öllum líkindum aðeins stór alþjóðleg fyrirtæki með tugmilljarða króna í veltu sem munu sjá slíkar sektarfjárhæðir. Engu að síður er ljóst að sektir sem lagðar verða á íslensk fyrirtæki geta numið afar háum fjárhæðum og varða lögin því mikilvæga hagsmuni fyrirtækja.

Víða í íslenskum lögum er mælt fyrir um heimild til að leggja á stjórnvaldssektir. Algengt er að hámark sektarfjárhæðar á lögaðila sé á bilinu 10-50 milljónir króna. Fjármálaeftirlitið hefur þó heimild til að leggja stjórnvaldssekt allt að 800 milljónir króna á eftirlitsskylda lögaðila, þ. á m. fjármálafyrirtæki. Þá er ennfremur rétt að nefna að samkeppnislög heimila Samkeppniseftirlitinu að leggja á sektir sem geta numið allt að 10% af heildarveltu fyrirtækja. Það er því ljóst að fjárhæð stjórnvaldssekta sem mælt er fyrir um í hinum nýju lögum um persónuvernd er langtum hærri en það sem áður hefur þekkst í íslensku lagaumhverfi.

Til þess að spá fyrir um beitingu stjórnvaldssekta samkvæmt nýjum lögum um persónuvernd er áhugavert að skoða framkvæmd á beitingu stjórnvaldssekta í samkeppnisrétti hingað til. Núgildandi samkeppnislög voru sett 2005 og sama ár var Samkeppniseftirlitið sett á stofn. Á rúmlega tíu ára tímabili frá miðju ári 2005 til fyrri hluta árs 2016 sektaði stofnunin 63 fyrirtæki fyrir brot gegn samkeppnislögum og nam samanlögð fjárhæð stjórnvaldssekta í umræddum málum rúmlega 8 milljörðum. Sektir Samkeppniseftirlitsins í einstökum málum hafa jafnframt numið hundruðum milljóna, allt að 650 milljónum króna. Framkvæmd og beiting stjórnvaldssekta á sviði samkeppnisréttar sýnir glögglega að eftirlitsstofnanir hér á landi veigra sér ekki við að beita þeim valdheimildum sem þær hafa. Það er engin ástæða til að ætla annað en að hið sama muni gilda um Persónuvernd. Á þessu ári hafa fjárheimildir til Persónuverndar verið auknar verulega í þeim tilgangi að styrkja starfsemi stofnunarinnar til að geta betur sinnt eftirlitshlutverki sínu samkvæmt nýjum lögum. Þá er jafnframt gert ráð fyrir því að fjárheimildir Persónuverndar muni enn aukast á næstu árum með tilheyrandi fjölgun starfsfólks.

Af framangreindu er ljóst að ný lög um persónuvernd og vinnslu persónuupplýsinga fela í sér stórauknar valdheimildir Persónuverndar með heimild til að leggja á hæstu sektir sem um getur í íslensku lagaumhverfi. Ekkert bendir til annars en að heimild þessari verði beitt gagnvart brotlegum aðilum. Allir aðilar sem vinna með persónuupplýsingar einstaklinga hafa því gífurlega hagsmuni af því að starfsemi þeirra uppfylli ákvæði laganna. Lögin munu taka gildi 15. júlí næstkomandi og því ekki seinna vænna að taka meðferð persónuupplýsinga innan fyrirtækja til gaumgæfilegrar skoðunar út frá ákvæðum hinna nýju laga.

Höfundur er lögmaður á LEX.