I. KAFLI
Almenn ákvæði.
1. gr.
Gildissvið.
Reglugerðin gildir um skrár lögreglu og vinnslu persónuupplýsinga samkvæmt lögum um vinnslu persónuupplýsinga í löggæslutilgangi, nr. 75/2019.
II. KAFLI
Skrár lögbærra yfirvalda.
2. gr.
Skrár lögreglu.
Ríkislögreglustjóri heldur eftirfarandi skrár í samræmi við i-lið 1. mgr. 5. gr. lögreglulaga nr. 90/1996 og 7. gr. laga nr. 75/2019:
Í samræmi við ákvæði 244. gr. laga nr. 88/2008 um meðferð sakamála er lögreglustjórum heimilt að halda skrá með upplýsingum um brotaferil einstakra manna og atriði sem varða einkahagi þeirra. Þar á meðal er heimilt að halda svonefnda síbrotalista, þ.e. skrá með upplýsingum um þekkta afbrotamenn, í því skyni að lögregla geti brugðist við afbrotahrinum með skjótum og skilvirkum hætti. Að því gefnu að upplýsingar, sem safnað er samkvæmt ákvæði þessu, falli ekki undir lög um opinber skjalasöfn, skal ekki varðveita þær lengur en nauðsyn ber til og þeim eytt í kjölfarið.
III. KAFLI
Miðlun persónuupplýsinga.
3. gr.
Miðlun persónuupplýsinga í öðrum tilgangi en löggæslu.
Persónuupplýsingum sem safnað hefur verið í löggæslutilgangi má miðla til annarra opinberra aðila eða einkaaðila í eftirfarandi tilvikum:
IV. KAFLI
Réttindi hins skráða og takmarkanir á þeim.
4. gr.
Tilkynningar til hins skráða.
Ábyrgðaraðili skal senda tilkynningar til hins skráða á grundvelli 13.-16. og 23. gr. laga nr. 75/2019 á gagnorðu, skiljanlegu og aðgengilegu formi og á skýru og einföldu máli. Upplýsingarnar skulu að jafnaði vera veittar á því formi sem beiðnin er á, þ.m.t. á rafrænu formi.
Ábyrgðaraðili skal láta tilkynningar samkvæmt 1. mgr. í té án endurgjalds.
Ábyrgðaraðila er heimilt að neita að verða við beiðni samkvæmt 13.-16. gr. laga nr. 75/2019 ef hún er augljóslega tilefnislaus, t.d. ef um endurtekna beiðni sama efnis er að ræða.
Telji ábyrgðaraðili verulegan vafa leika á því hver sá einstaklingur er, sem leggur fram beiðni samkvæmt 13.-16. gr. laga nr. 75/2019, getur hann farið fram á að viðkomandi veiti nauðsynlegar viðbótarupplýsingar til að staðfesta deili á honum.
Forsjáraðilar ólögráða einstaklinga, yngri en 15 ára, geta lagt fram beiðni samkvæmt 13.-16. gr. laga nr. 75/2019 fyrir hönd þeirra. Leitað skal eftir afstöðu hins ólögráða einstaklings ef ábyrgðaraðili telur tilefni vera til þess.
5. gr.
Takmörkun á réttindum hins skráða.
Í þeim tilvikum sem réttindi hins skráða samkvæmt 13.-16. gr. laga nr. 75/2019 eru takmörkuð, skal ábyrgðaraðili tilkynna um rétt hans til að leggja fram kvörtun hjá Persónuvernd.
Á hinn skráði þá rétt á því að Persónuvernd staðreyni lögmæti vinnslunnar og tilkynni hinum skráða um þá endurskoðun eða annars konar sannprófun sem framkvæmd er.
Ábyrgðaraðila ber að upplýsa hinn skráða um rétt hans samkvæmt 1. mgr.
6. gr.
Eyðing, leiðrétting eða takmörkun á vinnslu persónuupplýsinga.
Ef vinnsla persónuupplýsinga hefur verið takmörkuð í samræmi við a-lið 1. mgr. 16. gr. laga nr. 75/2019 skal ábyrgðaraðili upplýsa hinn skráða um það áður en takmörkuninni er aflétt.
Hafi persónuupplýsingum verið eytt, þær leiðréttar eða vinnsla þeirra takmörkuð samkvæmt 14.-16. gr. laga nr. 75/2019 skal ábyrgðaraðili tilkynna viðtakendum upplýsinganna um það og ber viðtakendum, eftir atvikum, að eyða þeim, leiðrétta eða takmarka vinnslu þeirra persónuupplýsinga sem eru á þeirra ábyrgð.
V. KAFLI
Öryggi og eftirlit með persónuupplýsingum.
7. gr.
Sameiginlegir ábyrgðaraðilar.
Þegar tvö eða fleiri lögbær yfirvöld teljast sameiginlegir ábyrgðaraðilar samkvæmt 2. mgr. 18. gr. laga nr. 75/2019 skulu þau, á gagnsæjan hátt, með samkomulagi sín á milli, ákveða ábyrgð hvers um sig á því að farið sé að lögunum, einkum hvað varðar rétt hins skráða til aðgangs að upplýsingum samkvæmt 13. gr. laga nr. 75/2019. Í samkomulaginu skal tilnefna tengilið fyrir skráða einstaklinga og er í því skyni heimilt að tilgreina einn ábyrgðaraðila sem skal vera sameiginlegur tengiliður gagnvart skráðum einstaklingum þegar þeir neyta réttar síns samkvæmt ákvæðum laganna.
8. gr.
Aðgerðaskráning.
Aðgerðaskráningarkerfi samkvæmt 25. gr. laga nr. 75/2019 skulu tryggja rekjanleika eftirfarandi vinnsluaðgerða: söfnunar, breytingar, skoðunar, framsendingar, þ. á m. miðlunar, samkeyrslu og eyðingar.
Aðgerðaskrár yfir skoðun og miðlun persónuupplýsinga skulu hafa að geyma upplýsingar um skráningu viðkomandi aðgerðar, dag- og tímasetningu hennar og, eftir því sem unnt er, upplýsingar um hver hafi skoðað viðkomandi persónuupplýsingar eða miðlað þeim og hverjir viðtakendur þeirra séu.
9. gr.
Öryggi persónuupplýsinga og tilkynningar um öryggisbrest.
Í tilkynningu samkvæmt 3. mgr. 23. gr. laga nr. 75/2019 skulu eftirtaldar upplýsingar koma fram:
Ábyrgðaraðila er skylt að halda skrá yfir öryggisbresti þar sem fram koma málsatvik, áhrif öryggisbrests og aðgerðir til úrbóta sem gripið hefur verið til. Ábyrgðaraðila er skylt að veita Persónuvernd aðgang að skránni komi fram beiðni þess efnis.
Hafi ábyrgðaraðili ekki þegar látið skráðan einstakling vita af öryggisbresti í samræmi við 4. mgr. 23. gr. laganna, getur Persónuvernd krafist þess að ábyrgðaraðili sendi slíka tilkynningu eða gangi úr skugga um að eitthvert skilyrða a-c-liðar sömu málsgreinar séu uppfyllt. Persónvernd ber þó, áður en slík ákvörðun er tekin, að meta áhættuna fyrir réttindi og frelsi einstaklinga sem af öryggisbrestinum leiðir.
VI. KAFLI
Gildistaka o.fl.
10. gr.
Gildistaka.
Reglugerð þessi, sem sett er samkvæmt i-lið 1. mgr. 5. gr lögreglulaga nr. 90/1996, 244. gr. laga nr. 88/2008 um meðferð sakamála og 34. gr. laga nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi, öðlast þegar gildi.
Jafnframt fellur úr gildi reglugerð um meðferð persónuupplýsinga hjá lögreglu nr. 322/2001, með síðari breytingum.
Dómsmálaráðuneytinu, 27. maí 2020.
Áslaug Arna Sigurbjörnsdóttir.
Haukur Guðmundsson.