Frumkvæðisathugun vegna birtingar skattskrárupplýsinga
Persónuvernd hefur hafið athugun á birtingu Viskubrunns ehf. á skattskrárupplýsingum fyrir árið 2016 á vefsíðunni tekjur.is en í aðdraganda þess hafði stofnuninni borist fjöldi erinda einstaklinga sem töldu brotið gegn persónuverndarlöggjöf með birtingunni. Svohljóðandi bréf um þá athugun, dags. 17. október 2018, hefur verið sent lögmanni Viskubrunns:
Persónuvernd vísar til frétta í fjölmiðlum síðustu daga um birtingu skattskrár fyrir árið 2016 í heild sinni á vefsíðunni tekjur.is sem haldið er úti af Viskubrunni ehf. Samkvæmt athugun Persónuverndar er að finna á síðunni fjárhagsupplýsingar um alla þá sem greiða skatta hérlendis 18 ára og eldri.
Með vísan til 4. tölul. 1. mgr. 41. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, er Viskubrunni ehf. hér með tilkynnt um að stofnunin hefur ákveðið að hefja athugun á því hvort framangreind vinnsla persónuupplýsinga hjá fyrirtækinu samrýmist þeim lögum, en vakin skal athygli á að í tengslum við þá athugun kann eftir atvikum að vera tilefni til beitingar valdheimilda stofnunarinnar, þ. á m. til takmörkunar eða banns við vinnslu tímabundið eða til frambúðar, sbr. 6. tölul. 42. gr. laganna. Er fyrirtækinu veittur kostur á að koma á framfæri sjónarmiðum sínum varðandi vinnsluna, sbr. 13. og 14. gr. stjórnsýslulaga nr. 37/1993.
Að auki óskar Persónuvernd þess sérstaklega, með vísan 1. og 5. tölul. 41. gr. laga nr. 90/2018, að upplýst verði:
1. Á hvaða heimild framangreind vinnsla persónuupplýsinga hjá Viskubrunni ehf. sé byggð, sbr. 9. gr. laga nr. 90/2018.
2. Hvernig umrædd vinnsla samrýmist meginreglum 8. gr. laga nr. 90/2018, einkum 1. og 4. tölul. 1. mgr. þeirrar greinar.
3. Hvaðan umræddar upplýsingar séu fengnar og hvernig þær hafi verið unnar úr upprunalegum gögnum, eftir atvikum með yfirfærslu þeirra af pappír á rafrænt form, sem og hvort afhending þeirra til Viskubrunns ehf. hafi verið bundin einhverjum skilyrðum og þá hverjum, s.s. á grundvelli 5. gr. laga nr. 45/2018 um endurnot opinberra upplýsinga.
4. Hvaða viðeigandi tæknilegar og skipulagslegar ráðstafanir hafi verið gerðar til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur laga nr. 90/2018, sbr. 24. gr. þeirra laga.
5. Hvort gerður hafi verið vinnslusamningur við hýsingaraðila fyrrgreindrar vefsíðu, sbr. 25. gr. laga nr. 90/2018.
6. Hvort Viskubrunnur ehf. hafi útbúið vinnsluskrá, sbr. 26. gr. laga nr. 90/2018.
7. Hvort Viskubrunnur ehf. hafi látið fara fram mat á áhrifum á persónuvernd og hver hafi verið niðurstaða þess, sbr. 29. gr. laga nr. 90/2018. Hafi framangreint mat ekki farið fram er óskað eftir upplýsingum um hvaða sjónarmið hafi ráðið því að slíkt mat fór ekki fram áður en vinnslan hófst.
Þá óskar Persónuvernd eftir afriti af öllum þeim gögnum sem fyrir kunna að liggja um vinnsluna, þ. á. m. um þau atriði sem tilgreind eru í 3.–7. tölul. hér að framan.
Er svara vinsamlegast óskað eigi síðar en 23. október næstkomandi.