Svarbréf Persónuverndar vegna rel8-kerfisins
Persónuvernd vísar til fyrri bréfaskipta af tilefni umsóknar yðar, dags. 3. september 2009, um leyfi til vinnslu persónuupplýsinga sem er ætlað „að vera verkfæri til áhættugreininga og rannsókna fyrir eftirlitsstofnanir, lögreglu, skattyfirvöld, fjármagnsstofnanir og aðra sem þurfa upplýsingar af þessu tagi [...]“
Af því tilefni er tekið fram að með lögum nr. 16/2005 var upplýsingalögum nr. 50/1996 breytt og við lögin bætt nýjum kafla er ber heitið „Um endurnot opinberra upplýsinga“. Samkvæmt 24. gr. laganna er markmið kaflans að auka endurnot opinberra upplýsinga til hagsbóta fyrir samfélagið í heild og var af því tilefni innleidd tilskipun 2003/98/EB um endurnotkun opinberra upplýsinga frá hinu opinbera með ákvæðum kaflans.
Samkvæmt 2. mgr. 24. gr. laganna eru endurnot skilgreind með þeim hætti að einkaaðili noti slíkar upplýsingar í öðrum tilgangi en ætlunin var þegar þeirra var aflað af hálfu stjórnvalda.
Samkvæmt 26. gr. upplýsingalaga er heimilt að endurnota opinberar upplýsingar sem eru almenningi aðgengilegar séu eftirfarandi skilyrði uppfyllt:
a. Endurnot upplýsinganna mega ekki brjóta í bága við lög, þ.m.t. ákvæði almennra hegningarlaga, höfundarlaga og laga um persónuvernd og meðferð persónupplýsinga, eða réttinda þriðja manns.
b. Geta skal uppruna upplýsinganna.
c. Skýrt skal koma fram hver ber ábyrgð á vinnslu upplýsinganna þegar þær eru gerðar öðrum aðgengilegar.
Af umsókn yðar verður ráðið að þér hafið hannað hugbúnað til þess að tengja opinberar upplýsingar með nýjum hætti saman þannig að vensl einstaklinga og fyrirtækja finnist.
Það úrlausnarefni, sem fyrir Persónuvernd liggur, er bundið við það álitaefni hvort endurnot hinna opinberu upplýsinga, sem ætlunin er að tengja saman, teljast lögleg í skilningi a. liðar 26. gr. upplýsingalaga og laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, að því er varðar vinnslu persónuupplýsinga.
Með bréfi, dags. 10. september s.l., óskaði Persónuvernd eftir tilteknum upplýsingum sem ekki hafa borist frá yður enn sem komið er. Áður en Persónuvernd getur svarað erindi yðar er ennfremur óskað eftir nánari upplýsingum um þær tegundir eða flokka upplýsinga sem ætlunin er að keyra saman. Þar er þörf á að greina með skýrum hætti hvaða upplýsingar varða lögaðila og hvaða upplýsingar varða nafngreinda einstaklinga og hvaðan ætlunin er að afla þessara upplýsinga og á hvaða lagagrundvelli. Loks þarf að lýsa með glöggum hætti hvernig birtingarform niðurstaðna verður fyrir notendur.
Í umsókn yðar kemur fram að hluta upplýsinganna verður aflað hjá fyrirtækjaskrá. Samkvæmt 27. gr. upplýsingalaga nr. 50/1996 og lögum nr. 17/2003 um fyrirtækjaskrá er það ríkisskattstjóri sem er bær til þess að taka ákvörðun um aðgang að þeim upplýsingum sem þér hyggist nota. Áréttað skal að Persónuvernd tekur enga afstöðu til aðgangsréttar að þeim upplýsingum í máli því sem hér liggur fyrir.
Í umsókn yðar er einnig tekið fram að markmið með þessu verkefni sé að veita opinberum aðilum kost á að nota umræddar upplýsingar til að samtengja skrár sem þeir hafa yfir að ráða. Af þessu tilefni telur Persónuvernd rétt að taka fram að úrlausnarefni um það að hvaða leyti heimilt er að tengja upplýsingar, sem hugbúnaður yðar skilar í niðurstöður, öðrum skrám ræðst af því hvaða lagaheimild umrædd stofnun eða viðtakandi hefur til slíkrar gagnavinnslu. Það er því rannsóknarefni hverju sinni sem ekki verður leyst úr í eitt skipti með leyfi og kemur að svo stöddu ekki til frekari úrlausnar í þessu máli.