Ráðgjöf Persónuverndar til Creditinfo Lánstrausts vegna vinnslu persónuupplýsinga um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla í svokölluðum PEP-gagnagrunni

2.7.2021

Reykjavík, 2. júlí 2021

Efni: Ráðgjöf vegna fyrirframsamráðs í tengslum við vinnslu persónuupplýsinga um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla

1 Erindi Creditinfo Lánstrausts hf. og síðari samskipti

Með bréfi dags. 3. júní 2020, óskaði Creditinfo Lánstraust hf. (hér eftir einnig CI eða Creditinfo) eftir fyrirframsamráði við Persónuvernd, á grundvelli 30. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig 36. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 (hér eftir einnig reglugerðin), í tengslum við vinnslu persónuupplýsinga um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla í svokölluðum PEP-gagnagrunni. Með tölvupósti þann 7. júlí 2020 óskaði Persónuvernd eftir mati á áhrifum á persónuvernd vegna umsóknar CI. Mat á áhrifum á persónuvernd barst svo Persónuvernd með tölvupósti þann 16. júlí 2020. Með bréfi Persónuverndar, dags. 16. september 2020, var óskað eftir frekari gögnum vegna umsóknarinnar, auk þess sem CI var tilkynnt um að með vísan til 2. mgr. 30. gr. laga nr. 90/2018 lengdist frestur til afgreiðslu málsins um sex vikur sökum mikilla anna hjá Persónuvernd.

Var farið fram á að CI svaraði eftirfarandi spurningum:

1. Hvert væri mat Creditinfo Lánstrausts hf. á því hvort fyrirtækið teljist ábyrgðaraðili, sbr. 6. tölul. 3. gr. laga nr. 90/2018, eða vinnsluaðili, sbr. 7. tölul. sama ákvæðis.

2. Teldi Creditinfo Lánstraust hf. sig vera vinnsluaðila var óskað eftir upplýsingum um hvaða ábyrgðaraðila Creditinfo Lánstraust hf. hefur gert samninga við.

3. Jafnframt var óskað eftir upplýsingum um hvort gerðir hefðu verið vinnslusamningar við ábyrgðaraðila, sbr. 3. mgr. 25. gr. laga nr. 90/2018. Hefði það verið gert var óskað eftir afriti af þeim samningum, eða eftir atvikum samkomulagi sameiginlegra ábyrgðaraðila, sbr. 23. gr. laga nr. 90/2018, sbr. einnig 26. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679.

4. Hvert væri mat Creditinfo Lánstrausts hf. á því hvort unnið væri með viðkvæmar persónuupplýsingar í skilningi a-liðar 3. tölul. 3. gr. laga nr. 90/2018. Var í því samhengi sérstaklega vísað til liðs 1.17 í áhættumati, dags. 2. júní 2020, annars vegar og tilvísunar áðurnefnds bréfs, dags. 3. júní 2020, hins vegar, þar sem vísað er til vinnslu á upplýsingum um stjórnmálaleg tengsl.

Svar CI, þar sem gerð var nánari grein fyrir þeim atriðum sem talin upp eru hér að ofan, barst með bréfi, dags. 25. september 2020. Með tölvupósti þann 6. nóvember 2020 óskaði Persónuvernd svo eftir uppfærðu mati á áhrifum á persónuvernd þar sem í framkomnu mati var gengið út frá því að ekki yrði unnið með viðkvæmar persónuupplýsingar og vísað til vinnsluheimildar sem aðeins getur verið tæk til vinnslu almennra persónuupplýsinga. Svar CI barst með tölvupósti 19. nóvember 2020. Meðfylgjandi var uppfært mat CI á áhrifum á persónuvernd en þar hafði verið tekið tillit til ábendinga Persónuverndar, ásamt því að CI kom á framfæri frekari gögnum og skýringum.

Persónuvernd sendi CI svo bréf, dags. 22. desember 2020, þar sem leiðbeint var um að sá sem beri ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 sé nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna sé þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn, eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Lög nr. 140/2018 leggi sjálfstæðar skyldur á tilkynningarskylda aðila og ekki yrði lesið úr ákvæðum laganna að þeim sé heimilt að yfirfæra þær skyldur á annan lögaðila. Verði tilkynningarskyldir aðilar því alltaf taldir ábyrgðaraðilar í tengslum við vinnslu persónuupplýsinga um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla skv. lögum nr. 140/2018. Ekki sé þó í lögunum með berum orðum útilokað að tilkynningarskyldir aðilar nýti sér á einhvern hátt þjónustu annarra aðila við framkvæmd þeirra skyldna sem á þá eru lagðar með lögunum. Slíkir aðilar séu almennt skilgreindir sem vinnsluaðilar. Vinnsla persónuupplýsinga geti þó í sumum tilvikum farið fram á vegum tveggja eða fleiri ábyrgðaraðila. Þegar svo hátti til sé ekki hægt að líta svo á að öllu leyti að einn þeirra vinni fyrir hinn, heldur beri þeir báðir, eða eftir atvikum allir, ábyrgð á afmörkuðum þáttum vinnslunnar og teljist þá vera sameiginlegir ábyrgðaraðilar.

Með tölvupósti þann 4. maí 2021, tilkynnti CI að ákveðið hefði verið að breyta fyrirkomulagi fyrirhugaðrar vinnslu á þann hátt að að CI og hinir tilkynningarskyldu aðilar, sem sæktust eftir aðgangi að væntanlegum PEP-grunni, myndu gera með sér samkomulag um að gerast sameiginlegir ábyrgðaraðilar vegna vinnslunnar. Var við sama tilefni skilað inn drögum að samningi um skiptingu ábyrgðar.

Með tölvupósti þann 19. maí 2021 fór Persónuvernd, í ljósi þess að fyrirframsamráð skv. 30. gr. laga nr. 90/2018 byggir á mati á áhrifum á Persónuvernd og með vísan til nýrra gagna í málinu, fram á að CI skilaði inn uppfærðu mati á áhrifum á persónuvernd, til samræmis við breyttar forsendur. Sama dag sendi CI með tölvupósti uppfært mat á áhrifum á persónuvernd.

1.1 Lýsing fyrirhugaðrar vinnslu

Fram kemur í bréfi Creditinfo Lánstrausts hf., dags. 3. júní 2020, að óskað sé eftir fyrirframsamráði við Persónuvernd í tengslum við vinnslu persónuupplýsinga um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla, þ.e. í áðurnefndum PEP-gagnagrunni. Fram kom í gögnum málsins að CI hygðist, sem ábyrgðaraðili í skilningi 6. tölul. 3. gr. laga nr. 90/2018, safna og miðla upplýsingum um þá innlendu einstaklinga sem á hverjum tíma teljast til einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla, eins og þeir eru skilgreindir í 6. tölul. 3. gr. laga nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Er þar um að ræða einstaklinga, innlenda og erlenda, sem eru eða hafa verið háttsettir í opinberri þjónustu, ásamt nánustu fjölskyldu þeirra og nánum samstarfsmönnum.

Til háttsettra einstaklinga í opinberri þjónustu teljast:

a. þjóðhöfðingjar, ráðherrar og staðgenglar ráðherra eða aðstoðarráðherrar,

b. þingmenn,

c. einstaklingar í stjórnum stjórnmálaflokka,

d. hæstaréttardómarar, dómarar við stjórnlagadómstóla eða aðrir háttsettir dómarar við dómstóla þaðan sem niðurstöðu er ekki hægt að áfrýja nema í undantekningartilvikum,

e. dómarar við endurskoðunardómstóla og hæstráðendur seðlabanka,

f. sendiherrar, staðgenglar sendiherra og háttsettir yfirmenn herja,

g. fulltrúar í stjórn, framkvæmdastjórn eða eftirlitsstjórn fyrirtækja í eigu ríkis,

h. framkvæmdastjórar, aðstoðarframkvæmdastjórar og stjórnarmenn alþjóðasamtaka og alþjóðastofnana.

Til nánustu fjölskyldu teljast:

a. maki,

b. sambúðarmaki í skráðri sambúð,

c. börn, stjúpbörn og makar þeirra eða sambúðarmakar í skráðri sambúð,

d. foreldrar.

Til náinna samstarfsmanna teljast:

e. einstaklingar sem vitað er að hafi verið raunverulegir eigendur lögaðila með einstaklingi sem er eða hefur verið háttsettur og gegnt opinberri þjónustu eða aðrir þekktir samstarfsmenn,

f. einstaklingar sem hafa átt náin viðskiptatengsl við einstakling sem er eða hefur verið háttsettur og gegnt opinberri þjónustu,

g. einstaklingur sem er einn raunverulegur eigandi lögaðila sem vitað er að var stofnaður til hagsbóta fyrir einstakling sem er eða hefur verið háttsettur og gegnt opinberri þjónustu.

Fram kemur að tilgangur vinnslunnar sé að veita tilkynningarskyldum aðilum aðgang að framangreindum upplýsingum í því skyni að aðstoða þá við að uppfylla lagaskyldu sína skv. 17. gr. laga nr. 140/2018. Mat CI sé að mikið hagræði felist í því fyrir tilkynningarskylda aðila að geta sótt upplýsingarnar til fyrirtækis eins og CI í stað þess að halda utan um slíka vinnslu hver fyrir sig.

Fyrirhugað sé að upplýsingum um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla í PEP-grunninum verði safnað af opinberum vefsíðum, Þjóðskrá Íslands, úr fjölmiðlum, úr hlutahafagrunni CI og frá einstaklingum í háttsettum opinberum störfum.

Skráðar verði upplýsingar um nafn, kennitölu, heimilisfang, ríkisfang, starfsheiti/stöðu (þ.e. af hverju hinn skráði teljist vera einstaklingur í áhættuhópi vegna stjórnmálalegra tengsla) og starf gegnt frá og til (dagsetningar).

Gögnin verði uppfærð með því að fylgjast með upplýsingum um þá einstaklinga sem teljast í áhættuhópi vegna stjórnmálalegra tengsla á vefsíðum og í fréttum en einnig verði gögn uppfærð berist athugasemdir frá hinum skráðu eða tilkynningarskyldum aðilum. Einnig verði gögn uppfærð skv. upplýsingum frá Þjóðskrá og hluthafagrunni CI.

Í því skyni að tryggja réttindi hinna skráðu, gegnsæi upplýsinga, aðgengi þeirra að upplýsingum um sig, sem og rétt til leiðréttingar og eyðingar, muni hinir skráðu fá tilkynningu frá CI um skráningu í PEP-grunninn. Fyrirhugað sé að gera upplýsingar aðgengilegar á þjónustuvefnum www.mittcreditinfo.is þar sem hinn skráði muni geta séð skráðar upplýsingar og gert athugasemdir við skráningar.

Í gögnum máls er vísað til þess að upplýsingar um þá sem ekki teljist lengur falla undir áhættuhóp vegna stjórnmálalegra tengsla verði vistaðar í PEP-gagnagrunninum í 18 mánuði eftir að staða viðkomandi breytist, vegna skyldu tilkynningarskyldra aðila til að láta viðskiptamann sæta auknu eftirliti í að lágmarki 12 mánuði frá því tímamarki og þar til áhætta sem stafar af fyrri störfum telst ekki lengur til staðar, sbr. 6. mgr. 17. gr. laga nr. 140/2018. Þörf á geymslu verði svo í framhaldinu metin í samráði við tilkynningarskylda aðila.

Gögnin verði skráð í gagnagrunn CI sem er hýstur hjá Sensa ehf. Vinnslusamningur og þjónustusamningur séu í gildi við Sensa sem vinnsluaðila.

Creditinfo Lánstraust hf. hugðist í upphafi meðferðar málsins vera ábyrgðaraðili vinnslunnar. Tekið var fram að tilkynningarskyldir aðilar, sem fengju aðgang að PEP-grunninum, kæmu til með að þurfa að gera áskriftarsamning við CI. Grunnurinn yrði aðgangsstýrður og allar uppflettingar yrðu rekjanlegar, auk þess sem upplýsingar um uppflettingar yrðu aðgengilegar hinum skráða á áðurnefndum þjónustuvef CI. Aðgangur áskrifenda yrði bæði í fyrirspurnarformi og í formi vöktunar á breytingum.

Með tölvupósti þann 4. maí 2021 tilkynnti CI að ákveðið hefði verið að breyta fyrirkomulagi vinnslu á þann hátt að að CI og hinir tilkynningarskyldu aðilar, sem sæktust eftir aðgangi að PEP-grunninum, gerðu með sér samkomulag um að gerast sameiginlegir ábyrgðaraðilar vegna vinnslunnar. Var við sama tilefni skilað inn drögum að samningi um skiptingu ábyrgðar.

1.2 Um mat á áhrifum á persónuvernd

Í 1. mgr. 29. gr. laga nr. 90/2018 er kveðið á um að ábyrgðaraðili skuli láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan fer fram, ef líklegt er að vinnslan geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar. Ef slíkt mat getur til kynna að vinnsla myndi hafa mikla áhættu í för með sér, nema ábyrgðaraðili grípi til ráðstafana til að draga úr henni, skal ábyrgðaraðili hafa samráð við Persónuvernd áður en vinnslan hefst, sbr. 1. mgr. 30. gr. laga nr. 90/2018. Telji Persónuvernd að fyrirhuguð vinnsla mundi brjóta í bága við lög nr. 90/2018 eða reglugerð (ESB) 2016/679, einkum ef ábyrgðaraðili hefur ekki greint eða dregið úr áhættunni með fullnægjandi hætti, skal stofnunin veita ábyrgðaraðila og, eftir atvikum, vinnsluaðila skriflega ráðgjöf og getur notað til þess allar valdheimildir sínar sem um getur í 41.-43. gr. laga nr. 90/2018.

Í mati CI á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla í PEP-gagnagrunninum kemur fram að gert sé ráð fyrir að vinnslan muni taka til nokkurra þúsunda einstaklinga. Því er um að ræða umfangsmikla gagnavinnslu. Þá er um að ræða vinnslu persónuupplýsinga sem hugsanlega getur komið í veg fyrir að hinn skráði fái fyrirgreiðslu, þjónustu eða samning. Með hliðsjón af þessu er mikilvægt að gætt sé að persónuvernd og öryggi persónuupplýsinga áður en möguleg vinnsla hefst.

Með tölvupósti þann 19. maí 2021 fór Persónuvernd, í ljósi þess að fyrirframsamráð skv. 30. gr. laga nr. 90/2018 byggir á mati á áhrifum á Persónuvernd og með vísan til nýrra gagna í málinu, fram á að CI skilaði inn uppfærðu mati á áhrifum á persónuvernd, til samræmis við breyttar forsendur. Sama dag sendi CI með tölvupósti uppfært mat á áhrifum á Persónuvernd. Fram kemur í matinu að persónuverndarfulltrúi CI hafi bent á mikilvægi sendingar tilkynninga til hinna skráðu um skráningu í grunninn þar sem þeim sé veittur a.m.k. 14 daga frestur áður en af skráningu verður í þeim tilgangi að veita þeim frest til að koma á framfæri athugasemdum eða leiðréttingum. Einnig lagði persónuverndarfulltrúi til gott aðgengi hinna skráðu að þeim upplýsingum sem skráðar eru, auk skýrra leiðbeininga um hvernig leiðréttingum verði komið á framfæri til CI. Persónuverndarfulltrúi lagði sérstaka áherslu á mikilvægi fræðslu til hinna skráðu og að slík fræðsla væri sett fram með skýrum og aðgengilegum hætti. Þá lagði persónuverndarfulltrúi áherslu á að megininntak samnings yrði gert aðgengilegt á tilkynningabréfum og að útbúin yrði lendingarsíða á heimasíðu CI með nauðsynlegum upplýsingum.

Kemur fram í matinu að eftirfarandi aðgerðir séu fyrirhugaðar af hálfu CI, í því skyni að draga úr áhættu fyrir réttindi og frelsi hinna skráðu:

· CI muni leita allra leiða til að kynna vinnsluna og tilgang hennar. Fræðslu- og kynningarefni verði útbúið og sent til opinberra stofnana og embætta þar sem vinnslan verði ýtarlega kynnt og óskað eftir að fræðslunni/efninu verði miðlað til þeirra einstaklinga er málið varðar. Auk þess verði kannað hvort og hvernig CI geti verið tryggður aðgangur að nýjum og uppfærðum upplýsingum. Tilkynningar til hinna skráðu um fyrirhugaða skráningu muni innihalda upplýsingar um hvernig hinn skráði geti nálgast skráðar upplýsingar og mikilvægi þess að upplýsa um breytingar í þeim tilgangi að CI geti brugðist við og fellt niður skráningu eða skráð nýjar upplýsingar.

· CI muni leita allra leiða til tryggja eyðingu/niðurfellingu skráðra upplýsinga i samræmi við reglur um eyðingu. Til skoðunar verði m.a. að yfirfara skráðar upplýsingar þegar skráning hafi staðið í 5 ár í þeim tilgangi að eyða/fella úr birtingu upplýsingar sem ekki samrýmast lengur tilgangi vinnslunnar. Þá verði kannað hvort skráning eigi enn við, svo sem með hefðbundinni upplýsingaöflun og/eða með sendingu tilkynninga til hinna skráðu.

2 Lagaumhverfi og sjónarmið

2.1 Lög nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka

Fram kemur í 1. mgr. 17. gr. laga nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, að tilkynningarskyldir aðilar skulu hafa viðeigandi kerfi, ferla og aðferðir til að meta hvort innlendur eða erlendur viðskiptamaður eða raunverulegur eigandi sé í áhættuhópi vegna stjórnmálalegra tengsla. Samkvæmt 3. mgr. 17. gr. skulu tilkynningarskyldir aðilar meta hvort vátryggður eða rétthafi áhættu- og söfnunarlíftrygginga sé í áhættuhópi vegna stjórnmálalegra tengsla. Til þess hóps teljast, samkvæmt 6. tölul. 3. gr. laganna, þeir sem eru eða hafa verið háttsettir í opinberri þjónustu, nánasta fjölskylda þeirra og einstaklingar sem vitað er að eru nánir samstarfsmenn þeirra.

Í 1. mgr. 29. gr. laga nr. 140/2018 kemur fram að vinnsla persónuupplýsinga samkvæmt lögunum skal samrýmast lögum um persónuvernd og vinnslu persónuupplýsinga og eingöngu þjóna þeim tilgangi að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka. Önnur vinnsla, notkun eða miðlun er óheimil á grundvelli laganna.

Einnig kemur fram í 2. mgr. 29. gr. laga nr. 140/2018 að tilkynningarskyldur aðili skal veita nýjum viðskiptamönnum upplýsingar um vinnslu persónuupplýsinga samkvæmt lögunum og um tilgang vinnslunnar, áður en hann stofnar til samningssambands eða áður en einstök viðskipti eru framkvæmd. Að lágmarki skal upplýsa um skyldur tilkynningarskyldra aðila vegna vinnslu og meðferðar persónuupplýsinga samkvæmt lögunum.

Í 30. gr. laganna er svo mælt fyrir um að tilkynningarskyldir aðilar skuli búa yfir kerfi sem geri þeim kleift að bregðast skjótt við fyrirspurnum frá skrifstofu fjármálagreininga lögreglu, eða öðrum lögbærum stjórnvöldum, hvort sem upplýsingarnar varða tiltekna aðila eða tiltekin viðskipti. Tilkynningarskyldum aðilum er einnig gert að tryggja að miðlun trúnaðarupplýsinga fari fram með öruggum hætti.

Tilkynningarskyldir aðilar skulu einnig, samkvæmt 34. gr. laganna, tilnefna einn úr hópi stjórnenda sem sérstakan ábyrgðarmann sem að jafnaði annast tilkynningar í samræmi við 21. gr. laganna og hefur skilyrðislausan aðgang að áreiðanleikakönnun viðskiptamanna, viðskiptum eða beiðnum um viðskipti, ásamt öllum þeim gögnum sem geta skipt máli vegna tilkynninga.

Af framangreindu er ljóst að á tilkynningarskylda aðila eru lagðar skyldur með lögunum og ekki verður lesið úr ákvæðum laganna að þeim sé mögulegt að yfirfæra þær skyldur á annan lögaðila. Þrátt fyrir það er ekki í lögunum með berum orðum loku fyrir það skotið að tilkynningarskyldir aðilar nýti sér á einhvern hátt þjónustu annarra aðila við framkvæmd þessara skyldna.

2.2 Lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga

2.2.1 Gildissvið

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling, en einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti, sbr. 2. tölulið 3. gr. laganna. Þá er með vinnslu átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráningu, flokkun, kerfisbindingu, varðveislu, aðlögun eða breytingu, heimt, skoðun, notkun, miðlun með framsendingu, dreifingu eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtengingu eða samkeyrslu, aðgangstakmörkun, eyðingu eða eyðileggingu, sbr. 4. tölulið sömu greinar.

Mál þetta lýtur að vinnslu, þ.m.t. söfnun og miðlun, CI og tilkynningarskyldra aðila á upplýsingum um þá innlendu einstaklinga sem á hverjum tíma teljast til einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla, eins og þeir eru skilgreindir í 6. tölul. 3. gr. laga nr. 140/2018. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

2.2.2 Ábyrgðaraðilar

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

Eins og fram kemur hér að ofan leggja lög nr. 140/2018 sjálfstæðar skyldur á tilkynningarskylda aðila og ekki verður lesið úr ákvæðum laganna að þeim sé heimilt að yfirfæra þær skyldur á annan lögaðila. Verða tilkynningarskyldir aðilar því alltaf taldir ábyrgðaraðilar í tengslum við vinnslu persónuupplýsinga um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla skv. lögum nr. 140/2018.

Ekki er í lögunum útilokað með berum orðum að tilkynningarskyldir aðilar nýti sér á einhvern hátt þjónustu annarra aðila við framkvæmd þeirra skyldna sem á þá eru lagðar með lögunum. Slíkir aðilar eru almennt skilgreindir sem vinnsluaðilar. Vinnsla persónuupplýsinga getur þó í sumum tilvikum farið fram á vegum tveggja eða fleiri ábyrgðaraðila. Þegar svo háttar til er ekki hægt að líta svo á að öllu leyti að einn þeirra vinni fyrir hinn, heldur bera þeir báðir eða eftir atvikum allir, ábyrgð á afmörkuðum þáttum vinnslunnar og teljast vera sameiginlegir ábyrgðaraðilar.

Fram kemur í leiðbeiningum EDPB nr. 7/2020, frá 2. september 2020, að sú staða að um sameiginlega ábyrgðaraðila sé að ræða kunni að koma upp þegar fleiri en einn aðili koma að vinnslu persónuupplýsinga. Nánar tiltekið þegar fleiri en einn aðili ákveða tilgang og/eða aðferðir við vinnslu. Vísað er til þess í leiðbeiningunum að við mat á því hvort um sameiginlega ábyrgðaraðila sé að ræða skuli m.a. líta til þess hvort vinnsla eins aðilans geti staðið án aðkomu hinna.

Ljóst er að ef vinnsla tilkynningarskyldra aðila byggist á vinnslu í PEP-gagnagrunni CI er vinnsla CI orðin að óaðskiljanlegum hluta vinnslu hinna tilkynningarskyldu aðila. Eins verður ekki séð, miðað við yfirlýstan tilgang vinnslunnar og að teknu tilliti til laga nr. 140/2018, að vinnsla CI á persónuupplýsingum í fyrirhuguðum PEP-gagnagrunni geti farið fram á þann hátt að CI geti staðið að henni að öllu leyti sem sjálfstæður ábyrgðaraðili. Er því að mati Persónuverndar, eins og hér háttar til, um að ræða sameiginlega ábyrgðaraðila, þ.e. CI annars vegar og hina tilkynningarskyldu aðila hins vegar.

Þegar tveir eða fleiri eru sameiginlegir ábyrgðaraðilar fer um skyldur þeirra samkvæmt 26. gr. reglugerðarinnar. Þar segir að þeir skuli, á gagnsæjan hátt og með samkomulagi sín á milli, ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar, einkum hvað snertir beitingu réttinda hinna skráðu og skyldur hvers um sig til að láta í té upplýsingarnar sem um getur í III. kafla laga nr. 90/2018, sbr. 13. og 14. gr. reglugerðarinnar. Skal samkomulagið endurspegla með tilhlýðilegum hætti hlutverk og tengsl hvers hinna sameiginlegu ábyrgðaraðila gagnvart hinum skráðu og skal megininntak samkomulagsins gert þeim aðgengilegt. Samkvæmt 3. mgr. 26. gr. reglugerðarinnar er skráðum einstaklingi heimilt að neyta réttar síns samkvæmt lögum nr. 90/2018 og reglugerðinni gagnvart hverjum ábyrgðaraðila um sig, óháð skilmálum samkomulagsins.

Með bréfi, dags. 22. desember 2020, leiðbeindi Persónuvernd CI um framangreint. Með tölvupósti þann 4. maí 2021, tilkynnti CI að ákveðið hefði verið að breyta fyrirkomulagi vinnslu á þann hátt að ákveðið hefði verið að CI og hinir tilkynningarskyldu aðilar, sem sæktust eftir aðgangi að PEP-grunninum, myndu gera með sér samkomulag um að gerast sameiginlegir ábyrgðaraðilar vegna vinnslunnar. Var við sama tilefni skilað inn drögum að samningi um skiptingu ábyrgðar. Er þetta til samræmis við framangreint og gerir Persónuvernd, að svo stöddu, ekki athugasemdir við umrædda skiptingu ábyrgðar.

2.2.3 Vinnsluheimildir

Svo að vinnsla persónuupplýsinga sé heimil þarf hún ávallt að falla undir einhverja þeirra heimilda sem taldar eru upp í 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðarinnar. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna.

Hvað varðar heimild til vinnslu samkvæmt 9. gr. laganna kemur hér helst til álita að vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul.; vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul.; eða að vinnslan sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul.

Í lið 2.5. í mati CI á áhrifum á persónuvernd vegna umræddrar vinnslu, sem barst persónuvernd þann 19. maí 2021, er lagalegur grundvellur hennar tiltekinn sem:

· Upplýst samþykki.

· Lögvarðir hagsmunir.

· Lagaskylda.

· Almannahagsmunir.

· Samningur.

Fram kemur í gögnum máls að yfirlýstur tilgangur CI með vinnslu listans er að gera aðgengilegar persónuupplýsingar um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla. Vinnslan byggi á skyldum tilkynningarskylds aðila til að gera áhættumat í rekstri sínum og viðskiptum sem m.a. skuli, skv. ákvæðum laga nr. 140/2018, taka mið af áhættuþáttum sem tengjast viðskiptamönnum og meta hvort viðskiptamaður eða raunverulegur eigandi sé í áhættuhópi vegna stjórnmálalegra tengsla.

Samkvæmt a-lið 3. tölul. 3. gr. laga nr. 90/2018 eru stjórnmálaskoðanir einstaklings viðkvæmar persónuupplýsingar. Þarf því auk framangreinds að vera fullnægt einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, komi til vinnslu slíkra persónuupplýsinga. Fram kemur í gögnum máls að CI telji vinnslu persónuupplýsinga um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla rúmast innan 5. tölul. 11. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Hvað varðar vinnsluheimildir þær sem CI vísar til þá leiðir það af eðli máls að forsenda þess að viðkomandi einstaklingur sé skráður í gagnagrunn einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla, þ.e. PEP-gagnagrunn, getur ekki verið upplýst samþykki, enda yrði að ætla slíkan gagnagrunn tilgangslítinn ef einungis væri þar að finna þá sem samþykktu að vera þar skráðir. Eins liggur fyrir að vinnslan fer fram í því skyni að uppfylla lagaskyldur tilkynningarskyldra aðila. Af þessu leiðir að upplýst samþykki getur ekki orðið vinnsluheimild eins og hér er á statt.

Hvað varðar tilvísun í mati á áhrifum á persónuvernd til þess að vinnsla sé heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji aðili gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. 9. gr. laga nr. 90/2018, er til þess að líta að almennt er viðurkennt að vinnsla persónuupplýsinga í hagnaðarskyni geti byggst á lögmætum hagsmunum, sbr. til hliðsjónar niðurlag 47. mgr. formálsorða reglugerðarinnar um að líta megi svo á að vinnsla persónuupplýsinga í þágu beinnar markaðssetningar sé í þágu lögmætra hagsmuna. Einnig segir m.a. í umræddri málsgrein formálsorða reglugerðarinnar að um lögmæta hagsmuni geti verið að ræða þegar viðeigandi tengsl sem máli skipta eru milli hins skráða og ábyrgðaraðila, t.d. í tilvikum þar sem hinn skráði er viðskiptavinur ábyrgðaraðila eða í þjónustu hans. Þá kemur þar fram að meta þurfi af kostgæfni hvort um lögmæta hagsmuni sé að ræða, m.a. hvort skráður einstaklingur geti, þegar söfnun persónuupplýsinga fer fram og í samhengi við hana, haft gilda ástæðu til að ætla að vinnsla muni fara fram í viðkomandi tilgangi. Hagsmunir hins skráða og grundvallarréttindi hans geti einkum gengið framar hagsmunum ábyrgðaraðila þegar vinnsla persónuupplýsinga fer fram við aðstæður þar sem skráðir einstaklingar hafa ekki ástæðu til að ætla að um frekari vinnslu verði að ræða. Við mat á því hvort umrædd heimild geti átt við hefur einkum verið litið til þess að þremur skilyrðum þurfi að vera fullnægt. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna ábyrgðaraðila eða þriðja aðila sem fá persónuupplýsingarnar í hendur. Í öðru lagi er áskilið að vinnslan sé nauðsynleg í þágu þeirra hagsmuna. Í þriðja lagi mega hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hinir lögmætu hagsmunir sem vísað er til.

Hvað síðastnefnda skilyrðið varðar þarf að liggja fyrir mat á vægi þeirra hagsmuna sem undir eru í hverju tilviki fyrir sig. Um þetta má m.a. vísa til 69. gr. aðfararorða almennu persónuverndarreglugerðarinnar en þar segir að það sé á hendi ábyrgðaraðila að sýna fram á að mikilvægir lögmætir hagsmunir hans gangi framar hagsmunum eða grundvallarréttindum og frelsi hins skráða. Í fyrrnefndu mati CI á áhrifum á persónuvernd vegna umræddrar vinnslu, sem barst persónuvernd þann 19. maí 2021, er tekið fram að 6. tölul. 9. gr. laga nr. 90/2018 eigi við um vinnsluna þar sem hún fari fram í þágu lögmætra hagsmuna þriðja aðila og sé nauðsynleg vegna þeirra. Þá segir að hagsmunir, grundvallarréttindi og frelsi hins skráða, sem krefjist verndar persónuupplýsinga, séu ekki taldir vega þyngra. Þegar litið er til samhengis við umfjöllun í umræddu mati á áhrifum á persónuvernd að öðru leyti, þ. á m. tilvísana til peningaþvættislöggjafar, telur Persónuvernd sterk rök hafa verið færð fyrir því að hagsmunir af því að umrædd vinnsla fari fram hjá CI vegi þyngra en hagsmunir hinna skráðu af að slíkt sé ekki gert. Er þá litið til þess að um ræðir vinnslu persónuupplýsinga í fjármálastarfsemi, en CI er fjárhagsupplýsingastofa og er því slík vinnsla í nánum tengslum við grunntilganginn með starfsemi fyrirtækisins. Þá er ljóst að fjármálastofnunum, sem styðjast við upplýsingar um stjórnmálaleg tengsl sem unnið er með, er skylt að líta til þess háttar upplýsinga í starfsemi sinni. Gerir Persónuvernd því ekki athugasemd við heimfærslu CI á vinnslunni undir fyrrnefnt ákvæði.

Einnig skal tekið fram að peningaþvættislöggjöfin er tilkomin vegna almannahagsmuna en ekki verður talið tilefni til þess að byggja á almannahagsmunum þegar fyrir liggur lagaskylda til vinnslu. Eins og hér háttar liggur fyrir að samkvæmt 1. mgr. 17. gr. laga nr. 140/2018 skulu tilkynningarskyldir aðilar hafa viðeigandi kerfi, ferla og aðferðir til að meta hvort innlendir eða erlendir viðskiptamenn eða raunverulegir eigendur séu í áhættuhópi vegna stjórnmálalegra tengsla. Mega þeir sem gegna stöðum sem falla innan skilgreiningar 6. tölul. 3. gr. laganna því búast við að unnið sé með slíkar upplýsingar á grundvelli laganna hjá tilkynningarskyldum aðilum. Það sama á þó ekki sjálfkrafa við um CI. Hér er þó um að ræða sameiginlega ábyrgðaraðila, sbr. umfjöllun í kafla 2.2.2. hér að ofan, sem hvor um sig ber ábyrgð á afmörkuðum hluta vinnslunnar, þó svo að í grunninn sé um að ræða samband sem ber mörg einkenni sambands ábyrgðaraðila og vinnsluaðila, og ber öðrum ábyrgðaraðilanum lagaskylda til þess að framkvæma vinnslu hlutaðeigandi persónuupplýsinga. Verður því að telja vinnsluna nauðsynlega til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, þ.e. hinum tilkynningarskylda aðila, sbr. 3. tölul 8. gr. laga nr. 90/2018.

Rétt er að taka fram að þó svo að vinnsla fari fram á grundvelli samnings tilkynningarskylds ábyrgðaraðila annars vegar og CI hins vegar, þá verður ekki talið, eins og hér háttar til, að samningur teljist hér tæk vinnsluheimild í skilningi 8. gr. laga nr. 90/2018.

Samkvæmt a-lið 3. tölul. 3. gr. laga nr. 90/2018 eru stjórnmálaskoðanir einstaklings viðkvæmar persónuupplýsingar. Þarf því auk framangreinds að vera fullnægt einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, komi til vinnslu slíkra persónuupplýsinga. Í mati á áhrifum á persónuvernd er jafnframt vísað til 5. tölul. 11. gr. laga nr. 90/2018, en hann vísar til þess að vinnsla viðkvæmra persónuupplýsinga sé heimil taki hún einungis til upplýsinga sem hinn skráði hefur augljóslega sjálfur gert opinberar. Í erindi CI kemur fram að sú vinnsla, sem PEP-grunnurinn muni hafa í för með sér, styðjist við 5. tölul. 11. gr. laga nr. 90/2018, þess efnis að vinna megi með viðkvæmar persónuupplýsingar sem hinn skráði hefur augljóslega sjálfur gert opinberar. Í því sambandi er til þess að líta að upplýsingar um stjórnmálaskoðanir munu birtast í því samhengi að viðkomandi hafi opinberlega tekið þátt í stjórnmálum, en um það vísast m.a. til úrskurðar Persónuverndar frá 31. janúar 2019 í máli nr. 2018/406. Gerir Persónuvernd í þessu ljósi ekki athugasemdir við það mat að umrædd vinnsluheimild eigi hér við.

2.2.4 Meginreglur persónuverndarlaga

Auk heimildar samkvæmt 9. gr. og, eftir atvikum, 11. gr. laga nr. 90/2018 verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laganna, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar kveðið á um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti; að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi; að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar; að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingum sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli eytt eða þær leiðréttar án tafar; að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu; og að þær skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.

Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. 8. gr., sbr. 2. mgr. sömu greinar, og skal geta sýnt fram á það. Ræðst það af aðstæðum hverju sinni hvort tiltekin vinnsla persónuupplýsinga teljist nauðsynleg og er ábyrgðaraðila falið visst mat í þeim efnum.

Með vísan til þessara meginreglna er t.a.m. mikilvægt að persónuupplýsingar í PEP-gagnagrunninum séu ekki varðveittar lengur en þörf krefur og einnig að þær séu uppfærðar og réttar hverju sinni. Gæta þarf þess einnig að ekki sé unnið með persónuupplýsingar umfram það sem nauðsynlegt er í þeim tilgangi að aðstoða tilkynningarskylda aðila við að uppfylla lagaskyldu sína skv. 17. gr. laga nr. 140/2018.

2.2.5 Fræðsla til hinna skráðu

Til viðbótar við þær skyldur sem þegar hafa verið raktar skal ábyrgðaraðili gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og láta hinum skráðu í té tilkynningar samkvæmt fyrirmælum III. kafla laga nr. 90/2018, sbr. 12. gr. reglugerðarinnar, svo að þeir geti neytt upplýsingaréttar síns og réttar til aðgangs. Þegar persónuupplýsingar hafa ekki fengist hjá skráðum einstaklingi skal ábyrgðaraðili m.a. veita honum fræðslu um eftirfarandi atriði, sbr. 14. gr. reglugerðarinnar:

a. heiti og samskiptaupplýsingar ábyrgðaraðilans og, eftir atvikum, fulltrúa hans,

b. samskiptaupplýsingar persónuverndarfulltrúa, ef við á,

c. tilganginn með fyrirhugaðri vinnslu persónuupplýsinga og hver lagagrundvöllur hennar er,

d. flokka viðkomandi persónuupplýsinga,

e. viðtakendur eða flokka viðtakenda persónuupplýsinga, ef einhverjir eru,

f. hversu lengi persónuupplýsingar verða geymdar eða, sé það ekki mögulegt, þær viðmiðanir sem notaðar eru til að ákveða það,

g. þegar vinnslan byggist á lögmætum hagsmunum, hvaða lögmætu hagsmunir það eru sem ábyrgðaraðili eða þriðji aðili gætir,

h. að fyrir hendi sé réttur til að fara fram á það við ábyrgðaraðila að fá aðgang að persónuupplýsingum, láta leiðrétta þær, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar og til að andmæla vinnslu, auk réttarins til að flytja eigin gögn,

i. réttinn til að leggja fram kvörtun hjá eftirlitsyfirvaldi,

j. hvaðan persónuupplýsingar eru fengnar og, ef við á, hvort um hafi verið ræða upplýsingar sem eru aðgengilegar almenningi,

k. hvort fram fari sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs og marktækar upplýsingar um þau rök sem þar liggja að baki og einnig þýðingu og fyrirhugaðar afleiðingar slíkrar vinnslu fyrir hinn skráða.

 

3 Samandregin niðurstaða og ráðgjöf í kjölfar fyrirframsamráðs

Í ljósi framangreinds telur Persónuvernd fyrirhugaða vinnsla CI á persónuupplýsingum í svonefndum PEP-gagnagrunni geta samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679. Forsenda þess að svo verði er að sem sameiginlegir ábyrgðaraðilar geri annars vegar CI og hins vegar tilkynningarskyldir aðilar sem nýta sér þessa þjónustu CI sérstakan samning um skiptingu ábyrgðar á vinnslunni áður en vinnslan hefst. Í slíkum samningi þarf að skilgreina hver ber ábyrgð á hverju, ekki síst þegar kemur að því að uppfylla skilyrði laga nr. 90/2018 um réttindi hinna skráðu, svo sem um fræðslu til þeirra um vinnsluna. Endanleg skipting ábyrgðar milli CI og tilkynningarskyldra aðila, að því marki sem sú skipting er ekki þegar ákveðin með lögum, ræðst því af samkomulagi milli þeirra um vinnsluna.

Einnig beinir Persónuvernd því til CI að hafa hliðsjón af eftirfarandi ábendingum:

· Að upplýsingar um þá sem ekki teljast lengur falla undir áhættuhóp vegna stjórnmálalegra tengsla verði ekki vistaðar í PEP-grunninum lengur en í 18 mánuði eftir að staða hins skráða breytist á þann veg að viðkomandi fellur ekki undir skilgreiningu 6. tölul. 3. gr. laga nr. 140/2018.

· Mikilvægt er að fram fari regluleg endurskoðun á skráningum í grunninn og að hann sé uppfærður reglulega með tilliti til nýrra upplýsinga.

· Tilkynningar um fyrirhugaða skráningu í grunninn þarf að senda til hinna skráðu í rekjanlegum bréfpósti. Tilkynningar vegna barna þarf að senda forsjáraðila þeirra, þar til börn hafa náð nægjanlegum þroska til að taka upplýsta afstöðu til skráningar.

· Í tilkynningum um fyrirhugaða skráningu í grunninn verða leiðbeiningar um það hvar má nálgast upplýsingar um skráningu, hvernig koma má á framfæri athugasemdum og óskum um leiðréttingu. Persónuvernd leggur enn fremur áherslu á mikilvægi almennrar fræðslu til hinna skráðu um vinnsluna og að slíka fræðslu verði að setja fram með skýrum og aðgengilegum hætti.

· Í tilkynningum til hinna skráðu um fyrirhugaða skráningu í grunninn verða að fylgja leiðbeiningar um það hvernig andmæla megi skráningu.

· Veita þarf einstaklingum að lágmarki 14 daga frest áður en af skráningu verður svo að þeir geti komið á framfæri athugasemdum og leiðréttingum vegna fyrirhugaðrar skráningar.

· Mikilvægt er að allar uppflettingar í PEP-grunninum séu skráðar og rekjanlegar.

· Persónuvernd áréttar að vinnsla persónuupplýsinga í PEP-grunninum verður að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, og að ábyrgðaraðili ber, sbr. 2. mgr. sömu greinar, ábyrgð á því að svo sé og skal geta sýnt fram á það.

· Persónuvernd áréttar að uppfylla þarf kröfur IV. kafla. laga 90/2018 um skyldur ábyrgðaraðila og vinnsluaðila og öryggi persónuupplýsinga.

Verði gætt að framangreindum atriðum, sem og þeim ráðstöfunum sem lýst er í erindi CI og mati á áhrifum á persónuvernd, gerir Persónuvernd ekki athugasemd við að vinnsla persónuupplýsinga í tengslum við PEP-gagnagrunninn hefjist. Byggist sú afstaða stofnunarinnar á því að þær forsendur sem lýst er í framangreindum gögnum standist, þó að teknu tilliti til athugasemda Persónuverndar hér að framan.

Það skal að lokum áréttað að Persónuvernd er kunnugt um að þessi misserin er unnið að uppfærslu á peningaþvættislöggjöf á vettvangi Evrópusambandsins. Sú löggjöf mun fyrirsjáanlega verða tekin upp í EES-samninginn og svo í framhaldinu í landsrétt. Vinna við löggjöfina tekur m.a. mið af meginreglum persónuverndarlöggjafar sambandsins og er því fyrirsjáanlegt að breytingar kunni að verða á löggjöfinni sem kunni að breyta þeim forsendum sem raktar eru hér að ofan. Þá skal athugast að hér er um leiðbeiningar að ræða en ekki endanlega niðurstöðu sem bindur hendur stofnunarinnar komi síðar fram kvörtun vegna umræddrar vinnslu.

F.h. Persónuverndar,

Þórður Sveinsson                              Páll Heiðar Halldórsson