Álit á gagnkvæmri miðlun persónuupplýsinga Fangelsismálastofnunar og Útlendingastofnunar
Mál nr. 2020010373
Persónuvernd hefur að beiðni Fangelsismálastofnunar veitt álit sitt á gagnkvæmri miðlun persónuupplýsinga stofnunarinnar og Útlendingastofnunar. Um er að ræða annars vegar miðlun persónuupplýsinga Útlendingastofnunar til Fangelsismálastofnunar, í þeim tilgangi að síðarnefnda stofnunin veiti erlendum refsiföngum reynslulausn eða leyfi til afplánunar refsinga utan fangelsis. Hins vegar er um að ræða miðlun á persónuupplýsingum Fangelsismálastofnunar til Útlendingastofnunar, í þeim tilgangi að Útlendingastofnun geti, að uppfylltum tilteknum skilyrðum, vísað brott erlendum ríkisborgara á grundvelli ákvæðum laga um útlendinga.
Persónuvernd telur að stofnunum sé heimilt að miðla persónuupplýsingum með fyrrgreindum hætti, enda séu þær nauðsynlegar svo stofnanirnar geti framfylgt lögbundnum skyldum sínum. Við miðlun og vinnslu persónuupplýsinganna er gerð krafa um að öryggi persónuupplýsinganna sé tryggt og að stofnanirnar fyrirbyggi aðgang óviðkomandi með tryggum og nægilegum hætti.
Álit
Hinn 4. júní 2020 samþykkti Persónuvernd svohljóðandi álit í máli nr. 2018050832:
I.
Málsmeðferð
1.
Tildrög máls
Persónuvernd vísar til erindis Fangelsismálastofnunar, dags. 28. febrúar 2018, þar sem óskað er álits Persónuverndar á miðlun persónuupplýsinga um erlenda refsifanga milli Fangelsismálastofnunar og Útlendingastofnunar. Í erindinu er vísað til bréfs Útlendingastofnunar, dags. 9. febrúar 2018, þar sem m.a. kemur fram að Fangelsismálastofnun hafi óskað eftir rökstuðningi Útlendingastofnunar fyrir beiðni sinni um að Fangelsismálastofnun afhendi Útlendingastofnun upplýsingar um sakaferil og afplánun útlendinga sem hlotið hafi dóm hér á landi. Í erindi Fangelsismálastofnunar kemur einnig fram að stofnunin þurfi jafnframt upplýsingar frá Útlendingastofnun svo hægt sé að veita dómþolum reynslulausn eða heimila þeim afplánun utan fangelsis að uppfylltum tilteknum skilyrðum. Með erindi Fangelsismálastofnunar fylgdi rökstuðningur Útlendingastofnunar vegna beiðni um umræddar persónuupplýsingar.
1.1.
Rökstuðningur Útlendingastofnunar vegna beiðni um afhendingu persónuupplýsinga frá Fangelsismálastofnun
Í framangreindu bréfi Útlendingastofnunar er m.a. vísað til 95. gr. laga um útlendinga nr. 80/2016 (útlendingalög) og þá sérstaklega 5. mgr. ákvæðisins um ákvörðun Útlendingastofnunar varðandi brottvísun EES- og EFTA-borgara. Einnig er í bréfi Útlendingastofnunar fjallað um. 98.-100. gr. útlendingalaga, sem öll eru ákvæði er varða heimildir eða skyldu Útlendingastofnunar til að brottvísa útlendingi, með eða án dvalarleyfis, að uppfylltum ákveðnum skilyrðum. Þá kemur fram að Útlendingastofnun hafi enn fremur óskað eftir upplýsingum frá Fangelsismálastofnun, svo skjótt sem auðið sé, um dóma er varði skjalafals, sbr. 155. og 157. gr. almennra hegningarlaga nr. 19/1940, vegna hins stutta afplánunartíma útlendinga að jafnaði og hins skamma tíma sem Útlendingastofnun gefst þá til meðferðar brottvísunarmáls, m.t.t. þess að 15 daga kærufrestur, skv. 7. gr. útlendingalaga, þurfi að hafa liðið áður en heimilt sé að framkvæma brottvísun.
Í ljósi framangreinds sé ljóst að nauðsynlegt sé fyrir Útlendingastofnun að afla upplýsinga um sakaferil útlendings, um dóm sem hann hljóti og um afplánun fangelsisrefsingar, m.a. upplýsinga um lengd afplánunar, hvenær afplánun hefjist og hvar, en einnig hvort og þá hvenær viðkomandi hafi áður setið í afplánun hér á landi og annað sem teljist nauðsynlegt til að stofnunin geti rannsakað og tekið ákvarðanir í málum er varði brottvísanir. Þá kemur fram að í útlendingalögum sé ekki að finna ákvæði er varði vinnslu persónuupplýsinga útlendinga hjá Fangelsismálastofnun, samkeyrslu upplýsinga á milli Fangelsismálastofnunar og Útlendingastofnunar eða upplýsingamiðlun milli stofnananna tveggja. Í síðari málsl. 1. mgr. 17. gr. útlendingalaga, sem fjalli um vinnslu persónuupplýsinga, segi að að svo miklu leyti sem útlendingalög mæli ekki fyrir um á annan veg gildi ákvæði laga um persónuvernd og vinnslu persónuupplýsinga.
1.2.
Rökstuðningur Fangelsismálastofnunar vegna beiðni um afhendingu persónuupplýsinga frá Útlendingastofnun
Með tölvupósti þann 12. júní 2018, óskaði Persónuvernd eftir upplýsingum frá Fangelsismálastofnun, m.a. um á hvaða heimild stofnunin teldi sig geta byggt þá vinnslu persónuupplýsinga, sem hún óskaði eftir frá Útlendingastofnun og enn fremur hvaða lagaskyldum stofnunin teldi sig vera að fullnægja með vinnslunni. Í svari Fangelsismálastofnunar, sem barst 13. s.m. kemur m.a. fram að til þess að Fangelsismálastofnun geti sinnt sínu lögbundna hlutverki sem kveðið sé á um í 3. mgr. 80. gr. laga nr. 15/2016 um fullnustu refsinga, um að heimilt sé að veita fanga lausn til reynslu þegar helmingur refsitímans sé liðinn ef fyrir liggi ákvörðun Útlendingastofnunar um að fanga verði vísað úr landi að afplánun lokinni, verði stofnunin að fá upplýsingar frá Útlendingastofnun um ákvörðunina. Sama dag bárust Persónuvernd viðbótarupplýsingar við fyrra bréf Fangelsismálastofnunar, þar sem fram kom að stofnunin þyrfti einnig upplýsingar frá Útlendingastofnun vegna erlendra fanga sem veitt væri heimild til að afplána utan veggja fangelsis að uppfylltum tilteknum skilyrðum og því þyrfti stofnunin að vita hver staða þeirra væri varðandi fyrrgreind skilyrði, sbr. 1. mgr. 31. gr. laga nr. 15/2016.
II.
Forsendur og
niðurstaða
1.
Lagaskil
Mál þetta er tilkomið vegna álitsbeiðni sem barst Persónuvernd þann 28. febrúar 2018, þ.e. í gildistíð eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, en lýtur að miðlun persónuupplýsinga milli Útlendingastofnunar og Fangelsismálastofnunar sem enn er viðhöfð.
Lög nr. 77/2000 voru leyst af hólmi með lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sem tóku gildi 15. júlí 2018. Þau lögfestu jafnframt reglugerð (ESB) 2016/679 um persónuvernd, eins og hún var aðlöguð og tekin upp í EES-samninginn. Ekki voru gerðar neinar efnislegar breytingar með lögum nr. 90/2018 á þeim reglum sem gilda um það álitamál sem hér er til umfjöllunar og byggist því umfjöllun og efni þessa álits á ákvæðum nýrri laga, nr. 90/2018. Athygli er þó vakin á því að í núgildandi lögum nr. 90/2018 eru gerðar auknar kröfur til ábyrgðaraðila er varða öryggi persónuupplýsinga.
2.
Gildissvið - Ábyrgðaraðili
Afmörkun máls
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að miðlun persónuupplýsinga um erlenda refsifanga á milli Fangelsismálastofnunar og Útlendingastofnunar. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Fangelsismálastofnun vera ábyrgðaraðili að vinnslu persónuupplýsinga við miðlun þeirra til Útlendingastofnunar, en Útlendingastofnun telst ábyrgðaraðili að vinnslu persónuupplýsinga við miðlun þeirra til Fangelsismálastofnunar.
3.
Lögmæti
vinnslu
3.1
Heimild til vinnslu og meginreglur laga nr. 90/2018
Eins og fram kemur í athugasemdum með frumvarpi því er varð að lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, varð sú breyting með nýjum lögum að upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað teljast ekki lengur til viðkvæmra persónuupplýsinga. Almennar vinnsluheimildir 9. gr. laga nr. 90/2018 eiga því við sem endranær en hins vegar gilda ákveðnar reglur um vinnslu persónuupplýsinga sem varða sakfellingu í refsimálum og refsibrot, sbr. 10. gr. reglugerðar (ESB) 2016/679 (reglugerðin) og 12. gr. laga nr. 90/2018.
Öll vinnsla persónuupplýsinga verður því eftir sem áður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 5. mgr. 12. gr. sömu laga. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laganna.
Í 1. mgr. 12. gr. laga nr. 90/2018, sbr. 10. gr. reglugerðarinnar, kemur fram að stjórnvöld megi ekki vinna með upplýsingar um refsiverða háttsemi nema það sé nauðsynlegt í þágu lögbundinna verkefna þeirra. Þá segir m.a. í 2. mgr. 12. gr. sömu laga að upplýsingum skv. 1. mgr. megi ekki miðla nema því aðeins að miðlunin sé nauðsynleg í þágu lögbundinna verkefna viðkomandi stjórnvalds eða til að unnt sé að taka stjórnvaldsákvörðun.
3.2
Öryggi við vinnslu persónuupplýsinga
Öll vinnsla persónuupplýsinga þarf jafnframt að samrýmast meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.). Í upplýsingaöryggi felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi en að þær séu jafnframt aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda. Ákvæði um öryggi er í 23., 24. og 27. gr. laga nr. 90/2018, en samkvæmt því skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga. Meðal þess sem getur þurft að líta til í því sambandi er hvort ábyrgðaraðili sé bundinn þagnarskyldu eða falli undir sambærilegar reglur, en það á við um starfsmenn fangelsisstofnana, sbr. 12. gr. laga nr. 15/2016 og 2. mgr. 57. gr. sveitarstjórnarlaga nr. 138/2011. Þá getur reynt á hvort gögn séu þess eðlis að tryggja eigi sönnun fyrir móttöku þeirra.
Við mat á því hvort heimild til vinnslu persónuupplýsinga sé til staðar, sem og hvort farið sé að m.a. fyrrgreindum grunnkröfum samkvæmt 1. mgr. 8. gr. laganna, getur eftir atvikum þurft að líta til ákvæða í öðrum lögum. Eins og hér háttar til reynir annars vegar á 98.-100. gr., sbr. 95. gr. laga nr. 80/2016 um útlendinga, og hinsvegar reynir á 1. mgr. 31. gr. og 3. mgr. 80. gr. laga nr. 15/2016 um fullnustu refsinga.
3.3
Heimild til miðlunar persónuupplýsinga frá Fangelsismálastofnun til Útlendingastofnunar
Samkvæmt 95. gr. laga nr. 80/2016 er Útlendingastofnun heimilt að vísa EES- eða EFTA-borgara eða aðstandanda hans úr landi ef það er nauðsynlegt með skírskotun til allsherjarreglu, almannaöryggis eða almannaheilbrigðis. Í 2. mgr. sama ákvæðis kemur fram að brottvísun skv. 1. mgr. sé heimilt að ákveða ef framferði viðkomandi feli í sér raunverulega, yfirvofandi og nægilega alvarlega ógn gagnvart grundvallarhagsmunum samfélagsins. Ákvörðun um brottvísun skuli ekki eingöngu byggjast á almennum forvarnaforsendum. Hafi viðkomandi verið dæmdur til refsingar eða sérstakar ráðstafanir ákvarðaðar sé brottvísun af þessari ástæðu því aðeins heimil að um sé að ræða háttsemi sem geti gefið til kynna að viðkomandi muni fremja refsivert brot á ný. Fyrri refsilagabrot nægi ekki ein og sér til þess að brottvísun sé beitt. Fram kemur í 5. mgr. 95. gr. að Útlendingastofnun þurfi að taka ákvörðun um brottvísun grundvallaða á fyrrgreindu ákvæði.
Samkvæmt 98.-100. gr. útlendingalaga er Útlendingastofnun heimilt eða skylt að brottvísa útlendingi ef hann hefur verið dæmdur hér á landi til refsingar eða til að sæta öryggisráðstöfunum fyrir háttsemi sem getur varðað fangelsi í ákveðinn tíma eða í ákveðið mörg skipti, en mismunandi reglur gilda eftir því hvort útlendingur er með dvalarleyfi, ótímabundið dvalarleyfi eða er án dvalarleyfis. Ákvörðun Útlendingastofnunar sem byggir á 95. gr. eða 98.-100. gr. útlendingalaga, um brottvísun erlends ríkisborgara frá Íslandi, telst stjórnvaldsákvörðun skv. 2. mgr. 1. gr. stjórnsýslulaga nr. 37/1993.
Af framangreindum ákvæðum má ráða að við töku ákvarðana af hálfu Útlendingastofnunar um það hvort brottvísa eigi útlendingi geti upplýsingar um hvort og þá hvers konar dvalarleyfi útlendingur hefur skipt máli, en einnig um sakaferil hans, þ.e. upplýsingar um dóm sem hann hlýtur og um afplánun fangelsisrefsinga, m.a. lengd afplánunar, hvenær afplánun hefst og hvar, og þá hvort viðkomandi hafi áður setið afplánun hér á landi og annað er við kemur brotaferli einstaklinga þannig að uppfyllt sé rannsóknarregla stjórnsýsluréttar, sbr. 10. gr. stjórnsýslulaga nr. 37/1993.
3.4
Heimild til miðlunar persónuupplýsinga frá Útlendingastofnun til Fangelsismálastofnunar
Fangelsismálastofnun er falið ákvörðunarvald í málum er varða réttindi og skyldur fanga, svo sem þegar fanga er veitt reynslulausn þegar helmingur refsitímans er liðinn, m.a. þegar fyrir liggur ákvörðun Útlendingastofnunar um að fanga verði vísað úr landi að afplánun lokinni, sbr. 3. mgr. 80. gr. laga nr. 15/2016 um fullnustu refsinga. Slíkar ákvarðanir Fangelsismálastofnunar eru stjórnvaldsákvarðanir í skilningi 2. mgr. 1. gr. stjórnsýslulaga nr. 37/1993. Fangelsismálastofnun tekur einnig ákvörðun um hvort veita eigi erlendum fanga heimild til að afplána hluta refsitímans utan fangelsis, enda stundi hann vinnu, nám, starfsþjálfun eða meðferð sem Fangelsismálastofnun hefur samþykkt, sbr. 1. mgr. 31. gr. laga nr. 15/2016 um fullnustu refsinga.
Af framangreindu má ráða að svo að Fangelsismálastofnun geti sinnt lögbundnu hlutverki sínu um að veita erlendum fanga reynslulausn að uppfylltum skilyrðum laganna eða heimila erlendum fanga, eftir atvikum, að afplána hluta refsitíma utan fangelsis, að uppfylltum tilteknum skilyrðum, kann stofnuninni að vera nauðsynlegt að fá upplýsingar frá Útlendingastofnun varðandi sum þeirra skilyrða sem sett eru fram í ákvæðum 3. mgr. 80. gr. og 1. mgr. 31. gr. laga nr. 15/2016.
4.
Niðurstaða
Með vísan til framangreinds, er það álit Persónuverndar að miðlun persónuupplýsinga Útlendingastofnunar til Fangelsismálastofnunar, í þeim tilgangi að síðarnefnda stofnunin veiti refsiföngum reynslulausn á grundvelli 3. mgr. 80. gr. laga nr. 15/2016 um fullnustu refsinga eða að stofnunin veiti leyfi til afplánunar refsinga utan fangelsis á grundvelli 1. mgr. 31. gr. sömu laga, geti stuðst við heimild í 3. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Þá er það álit Persónuverndar að miðlun á persónuupplýsingum Fangelsismálastofnunar til Útlendingastofnunar, í þeim tilgangi að Útlendingastofnun geti brottvísað erlendum ríkisborgara á grundvelli 95. gr. og 98-100. gr. laga um útlendinga nr. 80/2016, geti stuðst við heimild í 3. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Í samræmi við þessa niðurstöðu, og með vísan til 23., 24. gr. og 1. mgr. 27. gr. laga nr. 90/2018 og 32. gr. reglugerðarinnar, áréttar Persónuvernd mikilvægi þess að ábyrgðaraðili tryggi öryggi persónuupplýsinganna og fyrirbyggi aðgang óviðkomandi með tryggum og nægilegum hætti við miðlun og vinnslu þeirra.
Afgreiðsla máls þessa hefur dregist vegna mikilla anna hjá Persónuvernd.
Á l i t s o r ð
Miðlun Fangelsismálastofnunar á
persónuupplýsingum erlendra refsifanga til Útlendingastofnunar vegna
brottvísunarmála, sem byggir á ákvæðum 95. gr. eða 98.-100. gr. laga nr.
80/2016 og miðlun Útlendingastofnunar á persónuupplýsingum erlendra refsifanga vegna
reynslulausnar eða afplánunar útlendinga utan fangelsa, sem byggir á 3. mgr.
80. gr. laga eða 1. mgr. 31. gr. nr. 15/2016, samrýmist lögum nr. 90/2018, um
persónuvernd og vinnslu persónuupplýsinga.
Í
Persónuvernd, 4. júní 2020
Helga Þórisdóttir Vigdís Eva Líndal