Vinnsla persónuupplýsinga af hálfu Keldunnar ehf.

Mál nr. 2023040746

1.10.2024

Reykjavík, 23. september 2024

Úrskurður

um kvörtun yfir skráningu Keldunnar í gagnagrunn um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla í máli nr. 2023040746:

Málsmeðferð

1. Hinn 20. apríl 2023 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir því að Keldan ehf. (hér eftir Keldan) hefði safnað persónuupplýsingum um hann í þeim tilgangi að skrá hann í svokallaðan PEP-gagnagrunn um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla. Með kvörtuninni fylgdi bréf Keldunnar til kvartanda, dags. 11. s.m., þar sem honum var tilkynnt um fyrirhugaða skráningu hans í gagnagrunninn vegna stöðu hans sem þingmanns [...] og honum veitt færi á að andmæla vinnslunni.
2. Persónuvernd bauð Keldunni að tjá sig um kvörtunina með bréfi, dags. 4. júlí 2023, og bárust svör félagsins 15. ágúst s.á. Persónuvernd bauð kvartanda að tjá sig um svör Keldunnar með bréfi, dags. 14. maí 2024. Með símtali 29. s.m. upplýsti kvartandi Persónuvernd um að hann hygðist halda kvörtun sinni til streitu og að hann hefði falið lögmanni að svara fyrrgreindu bréfi stofnunarinnar. Ekki bárust frekari athugasemdir af hálfu kvartanda innan þess frests sem honum var veittur í símatalinu. Með bréfi, dags. 14. ágúst s.á. var fyrrgreint bréf Persónuverndar til kvartanda því ítrekað og hann jafnframt upplýstur um að bærust ekki frekari svör yrði málið tekið til úrlausnar á grundvelli fyrirliggjandi gagna. Engin frekari gögn bárust.
3. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.
   
   

   Ágreiningsefni

4. Ágreiningur er um heimild Keldunnar til að safna persónuupplýsingum kvartanda og skrá þær í PEP-gagnagrunn um einstaklinga í áhættuhópi vegna stjórnmálalegra tengsla, eins og þeir eru skilgreindir í lögum nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.
   
   

   Sjónarmið kvartanda

5. Kvartandi telur Kelduna bresta heimild fyrir þeirri vinnslu persónuupplýsinga sem kvörtun hans lýtur að, sbr. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 6. gr. reglugerðar (ESB) 2016/679.
6. Vísar kvartandi annars vegar til þess að hann hafi ekki veitt samþykki sitt fyrir vinnslunni. Hins vegar vísar kvartandi til þess að vinnslan sé ekki nauðsynleg til að fullnægja lagaskyldu sem hvíli á Keldunni. Félagið sé enda ekki tilkynningarskyldur aðili í skilningi laga nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.
   
   

   Sjónarmið Keldunnar

7. Keldan byggir á því að sú vinnsla persónuupplýsinga sem mál þetta lýtur að grundvallist ekki á samþykki kvartanda, sbr. 1. tölul. 9. gr. laga nr. 90/2018 og a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 heldur á öðrum vinnsluheimildum.
8. Nánar tiltekið lítur Keldan svo á að vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvíli á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins. Einvörðungu tilkynningarskyldir aðilar samkvæmt lögum nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka geti fengið áskrift að PEP-gagnagrunninum. Þeir beri skyldu samkvæmt 17. gr. laganna til að hafa viðeigandi kerfi, ferli og aðgerðir til að meta hvort viðskiptamenn eða raunverulegir eigendur séu í áhættuhópi vegna stjórnmálalegra tengsla. Telur Keldan að umræddir aðilar beri sameiginlega ábyrgð með félaginu á þeirri vinnslu persónuupplýsinga sem kvartað var yfir, sbr. 23. gr. laga nr. 90/2018 og 26. gr. reglugerðar (ESB) 2016/679.
9. Jafnframt er vísað til þess að vinnslan sé nauðsynleg vegna lögmætra hagsmuna Keldunnar, sbr. 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Félagið hafi lögmæta hagsmuni af veitingu þjónustunnar og vinnslan sé nauðsynleg í því skyni. Vega þurfi hagsmuni félagsins af vinnslunni andspænis hagsmunum kvartanda af því að vinnslan fari ekki fram. Við það hagsmunamat þurfi að hafa hliðsjón af því að tilkynningarskyldum aðilum sé beinlínis skylt að líta til upplýsinganna í starfsemi sinni, svo og þess að einstaklingar með stjórnmálaleg tengsl geti búist við því að upplýsingarnar séu unnar. Telur Keldan hagsmuni sína ganga framar hagsmunum kvartanda. Að mati félagsins fær sú ályktun frekari stoð í ráðgjöf Persónuverndar til Creditinfo Lánstrausts hf. frá 2. júlí 2021 í máli nr. 2020061796 vegna hliðstæðrar vinnslu persónuupplýsinga og er til umfjöllunar í fyrirliggjandi máli.
10. Í fyrrgreindu bréfi Keldunnar til kvartanda, dags. 11. apríl 2023, segir meðal annars að fyrirhugað sé að skrá upplýsingar um hann í PEP-gagnagrunninn vegna stöðu hans sem þingmanns [...]. Keldan telur að vinnsla viðkvæmra persónuupplýsinga, sbr. a-lið 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, uppfylli í þessu tilviki skilyrði 5. tölul. 1. mgr. 11. gr. laganna og e-liðar 2. mgr. 9. gr. reglugerðarinnar í ljósi þess að kvartandi hafi sjálfur gert umræddar upplýsingar um stjórnmálaskoðanir sínar opinberar með því að bjóða sig fram til þings. Styður félagið þá afstöðu sína með vísan til úrskurðar Persónuverndar frá 31. janúar 2019 í máli nr. 2018/406 sem laut að birtingu persónuupplýsinga fyrrverandi þingmanns í Alþingismannatali.
11. Loks byggir Keldan á því að upplýsingar í PEP-gagnagrunninum stafi einkum frá opinberum aðilum, auk þess sem einstaklingum sé veitt færi á að gera athugasemdir við skráninguna í því skyni að leiðrétta hana. Með þessu sé áreiðanleiki persónuupplýsinga í gagnagrunninum tryggður.
    
    

    Forsendur og niðurstaða

    Lagaumhverfi

12. Mál þetta lýtur að söfnun og skráningu upplýsinga um kvartanda í svokallaðan PEP-gagnagrunn. Varðar málið því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.
13. Ábyrgðaraðili vinnslu er sá einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
14. Vinnsla persónuupplýsinga er aðeins heimil ef hún heyrir undir eitthvert heimildarákvæða 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt þeim getur vinnsla meðal annars byggst á samþykki hins skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, nauðsyn vegna lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins og nauðsyn vegna lögmætra hagsmuna, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.
15. Til þess að vinnsla geti talist heimil á grundvelli síðastgreindrar vinnsluheimildar þarf þremur skilyrðum að vera fullnægt. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir. Í öðru lagi þarf vinnslan að vera nauðsynleg í þágu hinna lögmætu hagsmuna. Í þriðja lagi mega hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hinir lögmætu hagsmunir sem vísað er til. Með þriðja skilyrðinu er gerður áskilnaður um hagsmunamat, þar sem hinir lögmætu hagsmunir af því að vinnslan fari fram eru vegnir andspænis hagsmunum hins skráða. Í framkvæmd hefur einkum verið hugað að fjórum þáttum við þetta hagsmunamat. Í fyrsta lagi er litið til eðlis hinna lögmætu hagsmuna ábyrgðaraðila og getur þá meðal annars haft þýðingu hvort hagsmunirnir varða atvinnuréttindi ábyrgðaraðila. Einnig getur það ljáð hagsmunum ábyrgðaraðila meira vægi fari þeir saman við breiðari almannahagsmuni. Í öðru lagi er litið til áhrifa vinnslunnar á hinn skráða. Í því tilliti getur eðli upplýsinga sem unnar eru meðal annars haft þýðingu, þ.m.t. hvort um er að ræða viðkvæmar persónuupplýsingar. Jafnframt getur vinnsluaðferð haft þýðingu, þ.m.t. hvort persónuupplýsingar eru gerðar aðgengilegar almenningi, svo og hvort hinn skráði hefur sjálfur opinberað upplýsingarnar. Einnig geta réttmætar væntingar hins skráða skipt máli í þessu sambandi, þ.m.t. með hliðsjón af ákvæðum laga. Þá er að líta til stöðu hins skráða og ábyrgðaraðila, t.d. að því er varðar hugsanlegan aðstöðumun þeirra í milli. Við beitingu vinnsluheimildarinnar hefur þó ekki verið gerður áskilnaður um að vinnslan megi ekki leiða til neinna neikvæðra afleiðinga fyrir hinn skráða. Í þriðja lagi hefur þýðingu við hagsmunamatið hvort ábyrgðaraðili gætir að öðrum ákvæðum persónuverndarlöggjafarinnar við vinnsluna, svo sem varðandi meðalhóf. Slíkt getur enda veitt vísbendingu um áhrif vinnslunnar á hinn skráða. Í fjórða lagi geta viðbótarráðstafanir sem ábyrgðaraðili gerir í tengslum við vinnsluna haft þýðingu við hagsmunamatið.
16. Upplýsingar um stjórnmálaskoðanir teljast til viðkvæmra persónuupplýsinga, eins og þær eru skilgreindar í a-lið 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, og þarf vinnsla þeirra að styðjast við eitthvert viðbótarskilyrða 1. mgr. 11. gr. laganna og 2. mgr. 9. gr. reglugerðarinnar. Í því tilviki sem hér um ræðir koma helst til skoðunar ákvæði 5. tölul. lagaákvæðisins og e-liðar reglugerðarákvæðisins sem mæla fyrir um að vinnsla viðkvæmra persónuupplýsinga geti verið heimil af hún tengist persónuupplýsingum sem hinn skráði hefur augljóslega gert opinberar. Einnig kemur til álita að vinnslan uppfylli skilyrði 7. tölul. lagaákvæðisins og g-lið reglugerðarákvæðisins, þ.e. að vinnslan sé nauðsynleg, af ástæðum sem varða verulega almannahagsmuni og fari fram á grundvelli laga sem sem kveða á um ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.
17. Til þess að vinnsla sé heimil þarf hún enn fremur að samrýmast meginreglum um persónuvernd, samkvæmt 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar mæla meðal annars fyrir um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi (2. tölul.), að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilganginn (3. tölul.), að þær skuli vera áreiðanlegar (4. tölul.), að þær skuli ekki varðveittar lengur en þörf krefur miðað við tilgang vinnslunnar (5. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt (6. tölul).
    
    

    Niðurstaða

18. Af gögnum málsins verður ráðið að Keldan tók ein ákvörðun um tilgang og aðferðir við þá vinnslu persónuupplýsinga sem hér er til umfjöllunar, þ.e. að safna og skrá upplýsingar kvartanda í PEP-gagnagrunn félagsins. Eins og hér háttar til telst Keldan því vera sjálfstæður ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Ekki er tekin afstaða til þess hvernig ábyrgð er háttað á öðrum vinnsluaðgerðum sem tengjast gagnagrunninum, svo sem notkun upplýsinganna af hálfu áskrifenda, í ljósi þess að sú kvörtun sem hér er til umfjöllunar tók ekki til þeirra.
19. Óumdeilt er að kvartandi veitti Keldunni ekki samþykki sitt fyrir þeirri vinnslu persónuupplýsinga sem hér er til umfjöllunar og kemur því ekki til álita að vinnslan grundvallist á 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Hvað varðar heimildarákvæði 3. tölul. 9. gr. laganna og c-liðar 1. mgr. 6. gr. reglugerðarinnar, þarf lagaskyldan, sem þar er vísað til, að hvíla á þeim ábyrgðaraðila sem hefur þá vinnslu með höndum sem sækir stoð í ákvæðið. Þar sem Keldan telst ekki vera tilkynningarskyldur aðili í skilningi 17. tölul. 3. gr. laga nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, sbr. 1. mgr. 2. gr. sömu laga, tekur skylda samkvæmt 1. mgr. 17. gr. laganna ekki til félagsins. Getur félagið því ekki byggt umrædda vinnslu á 3. tölul. 9. gr. laga nr. 90/2018 og c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
20. Kemur þá til athugunar hvort vinnslan getur verið heimil á þeim grundvelli að hún teljist nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Til þess þarf þremur fyrrgreindum skilyrðum að vera fullnægt, sbr. efnisgrein 15. Við mat á því hvort fyrsta skilyrðinu er fullnægt, þ.e. hvort fyrir hendi eru lögmætir hagsmunir, hefur meginþýðingu hvort hagsmunirnir samrýmast gildandi rétti. Að mati Persónuverndar verður ekki annað ráðið af gögnum málsins en að Keldan veiti tilkynningarskyldum aðilum samkvæmt lögum nr. 140/2018 aðgang að upplýsingum úr PEP-gagnagrunninum, þ.m.t. um kvartanda, gegn endurgjaldi. Er því um viðskiptahagsmuni félagsins að ræða sem ekki verður séð að séu andstæðir lögum. Verður samkvæmt því að leggja til grundvallar að félagið hafi lögmæta hagsmuni af vinnslunni.
21. Hvað annað skilyrðið varðar, þ.e. hvort vinnslan er nauðsynleg í þágu hinna lögmætu hagsmuna, telur Persónuvernd einsýnt að sú vinnsla persónuupplýsinga sem hér er til umfjöllunar sé grundvöllur þess að Keldan geti veitt viðskiptamönnum sínum þjónustu í tengslum við framkvæmd laga nr. 140/2018. Verður samkvæmt því að leggja til grundvallar að vinnslan sé nauðsynleg í þágu hinna lögmætu hagsmuna.
22. Við mat á lögmætum hagsmunum ábyrgðaraðila andspænis hagsmunum hins skráða, samkvæmt þriðja skilyrði beitingar vinnsluheimildarinnar, er einkum að líta til þess að umrædd vinnsla persónuupplýsinga kvartanda fer fram í þágu viðskiptahagsmuna Keldunnar sem njóta verndar samkvæmt atvinnufrelsisákvæði 75. gr. stjórnarskrár lýðveldisins Íslands nr. 33/1994. Vinnslunni er enn fremur ætlað að styðja við framkvæmd laga nr. 140/2018 og þar af leiðandi að verja ríka almannahagsmuni sem felast í því að hindra peningaþvætti og fjármögnun hryðjuverka, sbr. 1. gr. laganna. Á hinn bóginn er að líta til þess að vinnslan tekur meðal annars til viðkvæmra persónuupplýsinga um stjórnmálaskoðanir kvartanda. Þó verður að hafa hliðsjón af því að um er ræða upplýsingar sem kvartandi hefur sjálfur gert opinberar með stjórnmálaþátttöku sinni, auk þess sem upplýsingarnar stafa einkum frá opinberum aðilum. Eins og hér háttar til telur Persónuvernd eðli upplýsinganna ekki hafa afgerandi áhrif á niðurstöðu hagsmunamatsins. Þá verður ekki séð að slíkur aðstöðumunur sé á kvartanda og Keldunni að þýðingu hafi fyrir hagsmunamatið. Loks er ekkert fram komið í málinu sem bendir til þess að Keldan vinni aðrar persónuupplýsingar um kvartanda en nauðsynlegt er miðað við tilgang vinnslunnar eða að félagið hafi miðlað upplýsingunum til annarra en á þeim þurfa að halda á grundvelli laga nr. 140/2018. Auk þess leitaðist Keldan við að tryggja áreiðanleika persónuupplýsinga kvartanda með því að afla þeirra að meginstefnu til frá opinberum aðilum og veita kvartanda færi á að tjá sig um efni þeirra áður en af skráningu í gagnagrunninn varð. Að þessu virtu telur Persónuvernd verða að leggja til grundvallar að lögmætir hagsmunir Keldunnar af vinnslunni vegi þyngra en hagsmunir eða grundvallarréttindi og frelsi kvartanda sem krefjast verndar persónuupplýsinga.
23. Samkvæmt framangreindu er það niðurstaða Persónuverndar að söfnun og skráning Keldunnar á persónuupplýsingum kvartanda í PEP-gagnagrunn félagsins geti verið heimil á grundvelli vinnsluheimildar 6. tölul. 9. gr. laga nr. 90/2018 og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
24. Sem fyrr greinir varðar mál þetta vinnslu viðkvæmra persónuupplýsinga um stjórnmálaskoðanir kvartanda. Í framkvæmd sinni hefur Persónuvernd litið svo á að alþingismenn hafi sjálfir gefið stjórnmálaskoðanir sínar til kynna með framboði fyrir tiltekna flokka, sbr. úrskurð stofnunarinnar frá 31. janúar 2019 í máli nr. 2018/406. Persónuvernd telur að sömu rök eigi við í fyrirliggjandi máli. Vinnsla Keldunnar á upplýsingum um stjórnmálaskoðanir kvartanda uppfyllir þar af leiðandi skilyrði 5. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. e-lið 2. mgr. 9. gr. reglugerðar (ESB) 2016/679. Í ljósi þessa, og að því gættu að Keldan hefur ekki vísað til þess að vinnslan grundvallist á öðrum skilyrðum 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar, gerist ekki þörf á að taka afstöðu til þess hvort vinnslan uppfylli einnig við skilyrði 7. tölul. lagaákvæðisins og g-liður reglugerðarákvæðisins.
25. Að mati Persónuverndar verður ekki séð að sú vinnsla sem mál þetta varðar brjóti í bága við meginreglur 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, en tekið skal fram að í þessu máli var hvorki rannsakað hver varðveislutími upplýsinga er í PEP-gagnagrunni Keldunnar né hvernig öryggi þeirra er háttað, með hliðsjón af því að sú kvörtun sem hér er til umfjöllunar tók ekki til þeirra þátta. Við rannsókn málsins hefur á hinn bóginn komið fram að kvartandi var upplýstur um fyrirhugaða skráningu og honum veitt færi á að gera athugasemdir við hana og leiðrétta. Tilgangur vinnslunnar er skýrt afmarkaður með vísan til 17. gr. laga nr. 140/2018 og, líkt og rakið er í efnisgrein 22, hefur ekkert komið fram sem bendir til þess að Keldan hafi safnað upplýsingum um kvartanda umfram það sem nauðsynlegt er í þágu þess tilgangs.
26. Með vísan til alls þess sem að framan greinir er það niðurstaða Persónuverndar að Keldunni hafi verið heimilt að safna og skrá persónuupplýsingar kvartanda í PEP-gagnagrunn félagsins, samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Söfnun og skráning Keldunnar ehf. á persónuupplýsingum um [A] í PEP-gagnagrunn félagsins var heimil samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

F.h. Persónuverndar,

Árnína Steinunn Kristjánsdóttir
varaformaður

Björn Geirsson                         Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson