Reglugerð um framkvæmd laga um stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda.

1. gr. Starfræksla pósthólfs.

Rekstur og umsjón með pósthólfi er í höndum fjármála- og efnahagsráðuneytisins.

2. gr. Birting og varðveisla.

Í pósthólfinu skal einungis birta gögn af hálfu stjórnvalda, eða einkaaðila sem heimild hafa til birtingar í pósthólfinu, sem verða til við meðferð máls eða sem varða sértæka hagsmuni viðtakanda. Ekki skal birta þar almennt kynningarefni eða önnur gögn sem ekki varða sértæka hagsmuni viðtakanda.

Óheimilt er að breyta gögnum sem birt hafa verið í pósthólfinu og skal leiðrétting á efni eiga sér stað með nýrri birtingu. Sendanda er þó heimilt að afturkalla skjal sem birt er í pósthólfinu ef það er ætlað öðrum, sbr. 4. mgr. 88. gr. laga um fjarskipti nr. 70/2022, og skal umráðamaður pósthólfs (móttakandi skjals) upplýstur um þá ráðstöfun.

Gera skal notendum mögulegt að vista gögn úr pósthólfinu. Um varðveislu gagna af hálfu stjórnvalda fer samkvæmt lögum um opinber skjalasöfn.

3. gr. Aðgangur.

Einstaklingar og fulltrúar lögaðila hafa aðgang að pósthólfi í miðlægri þjónustugátt með rafrænni auðkenningu sem metin er fullnægjandi til sannvottunar samkvæmt lögum um rafræna auðkenningu og traustþjónustu fyrir rafræn viðskipti nr. 55/2019.

Einstaklingar skulu hafa aðgang að gögnum annarra aðila samkvæmt umboði.

4. gr. Afhending gagna á annan hátt.

Aðili sem óskar eftir að fá gögn einnig afhent með öðrum hætti en í pósthólfi getur óskað eftir því við rekstraraðila pósthólfsins gegn framvísun skilríkja á vefnum Ísland.is eða á skrifstofu sýslumanns. Afhending með öðrum hætti en í pósthólfi breytir ekki réttaráhrifum skv. 7. gr. laga um stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda nr. 105/2021.

Ef birtingaraðili tekur gjald fyrir afhendingu með öðrum hætti ber að takmarka gjaldtökuna við þann viðbótarkostnað sem hlýst af umbreytingu og afhendingu gagnanna, s.s. prentun og póstsendingu.

Í gjaldskrá birtingaraðila er unnt að taka tillit til fötlunar sem hefur áhrif á aðgengi að stafrænum miðlum.

Birtingaraðila er ekki heimilt að innheimta gjald fyrir afhendingu fyrir 1. janúar 2025.

5. gr. Meðferð og vinnsla persónuupplýsinga.

Persónuupplýsingar skal ekki vinna nema að því leyti sem nauðsynlegt er við starfrækslu pósthólfsins.

Birtingaraðilar teljast ábyrgðaraðilar við vinnslu upplýsinga sem tengjast starfrækslu pósthólfsins og bera ábyrgð á að vinnsla persónuupplýsinga í tengslum við birtingu gagna í pósthólfinu byggist á fullnægjandi vinnsluheimild og sé að öðru leyti í samræmi við meginreglur laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.

Birtingaraðilar skulu leggja mat á nauðsyn vinnslunnar og skal gæta þess að upplýsingarnar séu unnar í skýrum og málefnalegum tilgangi og ekki umfram það sem er nauðsynlegt miðað við tilgang vinnslunnar. Birtingaraðilar skulu jafnframt meta áhrif vinnslunnar m.t.t. persónuverndar og framkvæma áhættumat eftir því sem við getur átt.

Rekstraraðili telst ábyrgðaraðili að vinnslu sem tengist rekstri pósthólfsins, m.a. hvað varðar upplýsingar um notendur hólfsins og atburðaskrár.

Rekstraraðili ber ábyrgð á ákvörðunum um viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja tilhlýðilegt öryggi persónuupplýsinga.

Birtingaraðilar og rekstraraðili skulu hvor um sig sjá til þess að kröfur persónuverndarlaga vegna vinnslu sem þeir bera ábyrgð á séu uppfylltar.

Birtingaraðilar og rekstraraðili skulu veita gagnkvæma aðstoð við að sýna fram á fylgni við lög um persónuvernd og vinnslu persónuupplýsinga.

6. gr. Rekstraröryggi og tilkynningar.

Birtingaraðila og rekstraraðila ber að vinna sameiginlega að úrlausn rekstrartruflana eins og við getur átt. Þeim ber að tilkynna án tafar ef grunur leikur á óviljandi, óheimilli eða ólöglegri vinnslu upplýsinga eða ef grunur er uppi um öryggisbrest við meðferð á upplýsingum. Í tilkynningu skal lýsa eðli brestsins, þ. á m. áætluðum fjölda skráðra einstaklinga sem bresturinn varðar. Þá skal lýsa líklegum afleiðingum brestsins og þeim ráðstöfunum sem gerðar hafa verið eða fyrirhugað er að gera vegna hans. Ábyrgðaraðili upplýsinganna ber ábyrgð á að tilkynna öryggisbrest sem er tilkynningarskyldur samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga til Persónuverndar.

Rekstraraðili skal tilkynna birtingaraðila ef bilanir sem varða stafrænt pósthólf koma upp. Komi til þess að þjónusta liggi niðri skal rekstraraðili tilkynna birtingaraðila þar um. Þjónusta rekstraraðila fer almennt fram á skrifstofutíma en verði rof á tengingu við stafrænt pósthólf skal rekstraraðili bregðast við tilkynningu þess efnis eins fljótt og auðið er.

Birtingaraðili skal upplýsa rekstraraðila um misnotkun á vefþjónustunni eða gögnum sem henni tengjast, villur sem koma upp í vefþjónustunni, upplýsingar um tölvuárás og önnur atvik sem kunna að hafa umtalsverð áhrif á rekstur pósthólfsins. Hið sama á við ef grunur er um að slíkt atvik sé yfirvofandi.

Rekstraraðili getur rofið aðgang birtingaraðila að þjónustunni tímabundið án fyrirvara ef grunur vaknar um öryggisbrest eða að búnaður birtingaraðila standist ekki kröfur um notkun stafræns pósthólfs.

Verði rekstrarrof þess valdandi að ekki sé unnt að birta skjöl til skoðunar skal notandi leita til birtingaraðila um afhendingu gagna.

Við vinnslu upplýsinga skal gætt að aðgangsstýringu, rekjanleika og dulkóðun.

7. gr. Gildistaka.

Reglugerð þessi er sett skv. 9. gr. laga um stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda nr. 105/2021 og tekur gildi þann 19. febrúar 2024.

Fjármála- og efnahagsráðuneytinu, 2. febrúar 2024.

F. h. r.

Tómas Brynjólfsson.

Þorsteinn Júlíus Árnason.