Úrlausnir

Vinnsla persónuupplýsinga af hálfu ríkislögreglustjóra

Mál nr. 2022081290

15.12.2023

Skoðun ríkislögreglustjóra á málaskrá þeirra sem sækja um starf neyðarvarða hjá Neyðarlínunni getur talist nauðsynleg í þágu almannahagsmuna þar sem neyðarverðir hafa meðal annars aðgang að sama vinnurými og Fjarskiptamiðstöð ríkislögreglustjóra. Ríkislögreglustjóri ber hins vegar ábyrgð á því að fræða umsækjendur um að það sé skilyrði fyrir ráðningu í starf neyðarvarða hjá Neyðarlínunni að viðkomandi standist svokallaða ferilskoðun og hvað felist í slíkri skoðun.

----

Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir því að ríkislögreglustjóri hefði flett kvartanda upp í málaskrá (LÖKE) í tilefni af umsókn hennar um starf hjá Neyðarlínunni og miðlað upplýsingunum áfram til Neyðarlínunnar. Samkvæmt lögum nr. 40/2008 hefur Neyðarlínan það hlutverk að annast rekstur vaktstöðvar samræmdrar neyðarsvörunar og sinnir m.a. beiðnum um aðstoð lögreglu og aðra neyðaraðstoð. Til þess að sinna hlutverki sínu þurfa neyðarverðir hjá Neyðarlínunni aðgang að sameiginlegu vaktrými 112 og Fjarskiptamiðstöðvar ríkislögreglustjóra. Í því rými er unnið með aðgang að alþjóðakerfum þar sem skipst er á viðkvæmum upplýsingum og þeim miðlað til lögreglumanna á vettvang og unnið með viðkvæmar upplýsingar vegna löggæslu í þágu öryggis æðstu stjórnar og upplýsingar sem geta ógnað öryggi ríkisins. Til þess að fá aðgang að rýminu þar sem unnið er á skjám með landskerfin og aðrar viðkvæmar upplýsingar þurfi neyðarverðir að uppfylla þær kröfur sem lögregla gerir til þeirra sem hafa úthlutaðan aðgang að kerfunum, sem felst m.a. í því að standast ferilskoðun lögreglu. Með vísan til framangreinds og þess hlutverks sem ríkislögreglustjóra er falið að lögum taldi Persónuvernd að skoðun ríkislögreglustjóra á málaskrá þeirra sem sækja um starf neyðarvarða hjá Neyðarlínunni geti talist nauðsynleg í þágu almannahagsmuna. Framangreind vinnsla persónuupplýsinga af hálfu ríkislögreglustjóra var því talin geta verið heimil á grundvelli 5. tölul. 9. gr. laga nr. 90/2018 og e-liðar 6. gr. reglugerðar (ESB) 2016/679.

Hins vegar gat ríkislögreglustjóri ekki sýnt fram á að kvartanda hefði verið veitt sérstök fræðsla um að slík upplýsingaöflun færi fram við umsókn um starf neyðarvarðar eða veitt fræðsla um hvað fælist í ferilskoðun hjá ríkislögreglustjóra. Niðurstaða Persónuverndar var því sú að skoðun ríkislögreglustjóra á persónuupplýsingum um kvartanda og miðlun þeirra til Neyðarlínunnar hefði ekki samrýmst ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, um sanngjarna og gagnsæja vinnslu og fræðsluskyldu, sbr. einnig reglugerð (ESB) 2016/679.

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu Neyðarlínunnar ohf. og ríkislögreglustjóra í máli nr. 2022081290:

I.

Málsmeðferð

Hinn 31. ágúst 2022 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga um hana hjá Neyðarlínunni ohf. og ríkislögreglustjóra (hér eftir RLS). Nánar tiltekið lýtur kvörtunin að því að Neyðarlínan hafi, í tengslum við starfsumsókn kvartanda, aflað upplýsinga um hana frá RLS, meðal annars úr málaskrárkerfi RLS (hér eftir LÖKE), án þess að hún hafi verið upplýst um umfang eða tilgang vinnslunnar eða gefið samþykki sitt fyrir vinnslunni. RLS hafi svo flett kvartanda upp í LÖKE og miðlað upplýsingum úr málaskrá hennar til Neyðarlínunnar.

Persónuvernd bauð Neyðarlínunni og RLS að tjá sig um kvörtunina með bréfi, dags. 14. júlí 2023, og barst svar Neyðarlínunnar með bréfi, dags. 8. ágúst s.á., og svar RLS með bréfi, dags. 19. september s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Neyðarlínunnar og RLS með bréfi, dags. 22. s.m., og bárust þær með tölvupósti 2. október 2023. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

___________________

Kvartandi vísar til þess að við starfsumsókn hjá Neyðarlínunni sé umsækjendum tilkynnt um að framkvæmd verði bakgrunnsathugun á umsækjendum. Ekki sé hins vegar upplýst um umfang eða tilgang vinnslunnar og umsækjendur ekki beðnir um að undirrita upplýst samþykki fyrir vinnslunni. Neyðarlínan fái svo RLS til þess að fletta umsækjendum upp í LÖKE og meta hvort viðkomandi umsækjandi sé traustverðugur, án þess að umsækjanda sé gerð grein fyrir því hvaða persónuupplýsingar sé unnið með. Byggir kvartandi á því að engin lagaheimild sé fyrir slíkri vinnslu persónuupplýsinga og að engin fræðsla hafi farið fram af hálfu Neyðarlínunnar. Í athugasemdum sínum við svör Neyðarlínunnar og RLS hafnar kvartandi því alfarið að hafa skrifað undir samþykki vegna ferilskoðunar af hálfu RLS.

Í svarbréfi Neyðarlínunnar til Persónuverndar er vísað til þess að Neyðarlínan starfi á grundvelli laga nr. 40/2008, um samræmda neyðarsvörun, og að félagið hafi það hlutverk að annast rekstur vaktstöðvar samræmdrar neyðarsvörunar. Samkvæmt 1. gr. laganna sinnir samræmd neyðarsvörun fyrir Ísland viðtöku tilkynninga um fólk, eignir og umhverfi í neyð og beiðnum um aðstöðu lögreglu, slökkviliðs, björgunarsveita og sjúkraflutningaliðs og aðra neyðaraðstoð. Til þess að sinna framangreindu hlutverki sínu þurfi ákveðinn hluti starfsfólks Neyðarlínunnar, svonefndir neyðarverðir, aðgang að sameiginlegu vaktrými 112 og Fjarskiptamiðstöðvar ríkislögreglustjóra. Í því rými fari m.a. fram vinnsla í landskerfum lögreglunnar. Til þess að fá aðgang að rými þar sem unnið er á skjám með landskerfin og aðrar viðkvæmar upplýsingar þurfi neyðarverðir að uppfylla þær kröfur sem lögregla gerir til þeirra sem hafa úthlutaðan aðgang að kerfunum, sem felst m.a. í því að standast ferilskoðun lögreglu. Vísar Neyðarlínan til þess að í því skyni fari RLS fram á það við Neyðarlínuna að fá upplýsingar um nöfn og kennitölur þeirra sem sækja um starf neyðarvarða. Neyðarlínan geri öllum umsækjendum um störf neyðarvarða skýrlega grein fyrir því að gert sé það skilyrði fyrir ráðningu í umrætt starf að viðkomandi standist ferilskoðun lögreglu og umsækjendum sé samhliða boðið að veita skriflegt samþykki fyrir því á sérstöku eyðublaði. Veiti umsækjandi ekki slíkt samþykki fari vinnslan ekki fram. Sé samþykki hins vegar veitt miðli Neyðarlínan upplýsingum um nafn og kennitölu viðkomandi umsækjanda til RLS sem í kjölfarið tilkynni Neyðarlínunni um hvort embættið samþykki að viðkomandi taki til starfa í því rými þar sem unnið sé í landskerfum lögreglu, þ.e. í vaktstöð samræmdrar neyðarsvörunar. Synji RLS um að umsækjanda verði veittur umræddur aðgangur fái Neyðarlínan hins vegar í engum tilvikum miðlað til sín upplýsingum um hverjar séu ástæður fyrir þeirri niðurstöðu.

Með vísan til framangreinds byggir Neyðarlínan á því að öll vinnsla persónuupplýsinga sem kvörtunin lýtur að sé á forræði RLS sem ákveði tilgang og aðferðir umræddrar ferilskoðunar. Því líti Neyðarlínan svo á að RLS sé ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem kvörtun lýtur að, enda fari hún fram af hálfu RLS og í þágu öryggisreglna lögreglunnar um umgengni um landskerfi lögreglu. Þáttur Neyðarlínunnar í þeirri vinnslu sé aðeins að hafa milligöngu um að bjóða umsækjendum um störf hjá Neyðarlínunni að veita upplýst samþykki fyrir ferilskoðuninni. Til þess að tryggja að gagnsæis sé gætt komi fram í tilgreindu samþykki hvað felist í slíkri ferilskoðun af hálfu RLS og í hvaða tilgangi skoðunin fari fram. Meðfylgjandi svarbréfi Neyðarlínunnar var afrit af stöðluðu samþykki fyrir ferilskoðun vegna starfsumsóknar. Í svörum Neyðarlínunnar kemur jafnframt fram að umsóknargögnum þeirra sem ekki er boðið starf sé eytt þegar ljóst sé að ekki muni verða af ráðningu í starf hjá Neyðarlínunni, þar á meðal tilgreindu samþykki fyrir ferilskoðun.

Í svarbréfi RLS kemur fram að Neyðarlínan hafi miðlað kennitölu kvartanda til embættisins með ósk um að starfsmaður Fjarskiptamiðstöðvar ríkislögreglustjóra myndi skoða málaskrá kvartanda með tilliti til hugsanlegrar ráðningar hennar til starfa hjá Neyðarlínunni. Vísað er til þess að samkvæmt upplýsingum frá Neyðarlínunni hafi kvartandi undirritað staðlað upplýsingablað um ferilskoðun en RLS hafi þó ekki fengið eintakið í sínar vörslur. Í upplýsingablaðinu komi fram að í umræddri ferilskoðun felist skoðun á samskiptum við lögreglu og/eða dómsyfirvöld og að skoðunin nái einnig til mála sem hafi ekki farið fyrir dóm eða verið lokið án frekari afskipta og þá með skoðun í LÖKE.

RLS byggir á því að mikilvægt sé að unnt sé að framkvæma skoðun á þeim einstaklingum sem ráðast til starfa hjá Neyðarlínunni í ljósi þess hlutverks sem starfsfólk félagsins sinnir samkvæmt lögum og þeirra upplýsinga sem starfsfólk móttekur og sendir frá sér hvað varðar neyðarviðbragð og lögregluaðgerðir við rannsókn sakamála. Vísað er til þess að umrædd störf séu að miklu leyti samtvinnuð störfum lögreglu, t.a.m. geti Neyðarlínan fært samtöl yfir til lögreglu eða ákveðið að ljúka þeim og áframsenda þau ekki til lögreglu. Þá er vísað til þess að Neyðarlínan sé staðsett í sama húsnæði og vinnurými og Fjarskiptamiðstöð ríkislögreglustjóra. Ásamt því að aðstoða lögreglu í lögregluaðgerðum séu starfsmenn Fjarskiptamiðstöðvarinnar með aðgang að alþjóðakerfum, svo sem SIS-upplýsingakerfinu, þar sem skipst er á viðkvæmum upplýsingum og þeim miðlað til lögreglumanna á vettvangi. Það sama eigi við vegna löggæslu í þágu öryggis æðstu stjórnar og upplýsinga sem geta ógnað öryggi ríkisins. Telur RLS að gæta þurfi að öryggi þessara upplýsinga í samræmi við alþjóðlegar skuldbindingar, ekki síst vegna öryggis ríkisins, t.a.m. með því að framkvæma bakgrunnsskoðun eða jafnvel öryggisvottun á þeim einstaklingum sem starfa í húsnæðinu, á grundvelli reglugerðar 959/2012, eftir því hvers eðlis störf þeirra eru.

Með vísan til framangreinds byggir RLS á því að vinnsla persónuupplýsinga um kvartanda hafi verið nauðsynleg vegna almannahagsmuna í samræmi við 5. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Þá hafi vinnslan verið í samræmi við allar meginreglur persónuverndarlöggjafarinnar enda hafi persónuupplýsingar kvartanda verið unnar með lögmætum hætti og fengnar í skýrt tilgreindum og málefnalegum tilgangi auk þess sem RLS hafi við vinnsluna leitast við að vinna ekki með frekari persónuupplýsingar en þörf var á. Í því sambandi vísar RLS til þess að Neyðarlínunni hafi ekki verið gefnar neinar upplýsingar um hvaða skráningar væru til staðar vegna kvartanda í LÖKE heldur hafi RLS aðeins veitt munnlega afstöðu sína í formi „af eða á“ yfirlýsingar, í tilefni af hugsanlegri ráðningu kvartanda í starf hjá Neyðarlínunni. Byggir RLS á því að umrædd miðlun á upplýsingum um kvartanda til Neyðarlínunnar hafi verið í samræmi við 11. gr. laga nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi.

Loks kom fram í svarbréfi RLS að hafin væri vinna við að koma á formlegri verkferlum þegar beiðnir um uppflettingar bærust frá Neyðarlínunni, þar sem m.a. ætti að skilgreina hvaða lágmarksupplýsingum eigi að miðla milli RLS og Neyðarlínunnar og kröfur um rekjanleika og skjalavörslu gagna.

II.

Niðurstaða

1.

Lögmæti vinnslu

Mál þetta lýtur að heimild RLS til þess að fletta kvartanda upp í LÖKE í tilefni af umsókn hennar um starf hjá Neyðarlínunni og miðla upplýsingum úr málaskrá hennar áfram til Neyðarlínunnar. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. RLS telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679 og lögum nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi.

Um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í löggæslutilgangi gilda lög nr. 75/2019, sbr. 1. mgr. 3. gr. laganna. Lögbært yfirvald er skilgreint í 11. tölul. 2. gr. laganna og eru lögregluembættin þar sérstaklega tilgreind. Þá er löggæslutilgangur skilgreindur í 8. tölul. 2. gr. laganna sem sá tilgangur að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Sú vinnsla persónuupplýsinga af hálfu RLS, sem fólst í því að fletta kvartanda upp í LÖKE í tilefni af starfsumsókn hennar hjá Neyðarlínunni, verður ekki talin hafa farið fram í löggæslutilgangi og fellur því framangreind vinnsla undir lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í 1. mgr. 11. gr. laga nr. 75/2019 er hins vegar að finna heimild lögbærra yfirvalda til þess að miðla persónuupplýsingum sem safnað var í löggæslutilgangi til annarra opinberra aðila og einkaaðila að því marki sem nauðsynlegt er til að þeir geti sinnt lögbundnum hlutverkum sínum eða gætt lögvarinna hagsmuna sinna. Samkvæmt 2. mgr. lagaákvæðisins gilda ákvæði laga um persónuvernd og vinnslu persónuupplýsinga að öðru leyti um miðlun persónuupplýsinga samkvæmt 1. mgr. og vinnslu viðtakanda á upplýsingunum.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, eða ef vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins.

Samkvæmt 3. mgr. 6. gr. reglugerðar (ESB) 2016/679 skal mæla fyrir um grundvöll vinnslu, sem um getur í c- og e-lið 1. mgr. ákvæðisins, í lögum Sambandsins eða lögum aðildarríkis sem ábyrgðaraðili heyrir undir. Af því leiðir að skýra lagaheimild þarf til vinnslu persónuupplýsinga sem byggir á því að hún sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds.

Í ljósi þess að kvartandi byggir einkum á því að vinnsla persónuupplýsinga um hana hefði þurft að byggja á samþykki hennar skal tekið fram að vinnuveitendur, sem og tilvonandi vinnuveitendur, geta almennt ekki byggt vinnslu persónuupplýsinga um starfsmenn á samþykki þeirra, sbr. 1. tölul. 9. gr. laga nr. 90/2018 og a-lið 6. gr. reglugerðarinnar, enda sjaldnast um óþvingað samþykki að ræða vegna þess aðstöðumunar sem almennt er álitinn fyrir hendi milli vinnuveitanda og starfsmanna. Þarf vinnsla persónuupplýsinga í slíkum tilvikum því að geta stuðst við aðrar heimildir 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðarinnar.

Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Koma hér einkum til skoðunar lög nr. 40/2008, um samræmda neyðarsvörun, lögreglulög, nr. 90/1996, og reglugerð nr. 959/2012, um vernd trúnaðarupplýsinga, öryggisvottanir og öryggisviðurkenningar á sviði öryggis- og varnarmála.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins, og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins.

2.

Niðurstaða

RLS byggir á því að vinnsla persónuupplýsinga um kvartanda hafi verið nauðsynleg vegna almannahagsmuna í samræmi við 5. tölul. 9. gr. laga nr. 90/2018. Í því sambandi vísar RLS til þess að störf neyðarvarða hjá Neyðarlínunni séu að miklu leyti samtvinnuð störfum lögreglu í ljósi þeirra upplýsinga sem neyðarverðir móttaka og senda frá sér hvað varðar neyðarviðbragð og lögregluaðgerðir við rannsókn sakamála. Einnig vísar RLS til þess að Neyðarlínan sé staðsett í sama húsnæði og vinnurými og Fjarskiptamiðstöð ríkislögreglustjóra þar sem meðal annars sé unnið með aðgang að alþjóðakerfum, svo sem SIS-upplýsingakerfinu, þar sem skipst er á viðkvæmum upplýsingum og þeim miðlað til lögreglumanna á vettvang, og að það sama eigi við vegna löggæslu í þágu öryggis æðstu stjórnar og upplýsinga sem geta ógnað öryggi ríkisins.

Samkvæmt 2. tölul. 1. gr. lögreglulaga, nr. 90/1996, er hlutverk lögreglu m.a. að gæta almannaöryggis og halda uppi lögum og reglu, leitast við að tryggja réttaröryggi borgaranna og vernda eignarrétt, opinbera hagsmuni og hvers konar lögmæta starfsemi og að stemma stigu við afbrotum og koma í veg fyrir athafnir sem raska öryggi borgaranna og ríkisins, sbr. a- og b-lið lagaákvæðisins. Í 5. gr. laganna er kveðið á um hlutverk ríkislögreglustjóra. Samkvæmt j-lið lagaákvæðisins er hlutverk RLS m.a. að annast málefni almannavarna. Undir RLS heyra starfsmenn Fjarskiptamiðstöðvar ríkislögreglustjóra en þeir veita lögreglumönnum á vettvangi aðstoð í formi leiðbeininga, upplýsinga o.fl. Starfsmenn Fjarskiptamiðstöðvarinnar taka einnig á móti neyðarsímtölum og tilkynningum til lögreglu, annast útkallsstýringu alls útkallsliðs lögreglu og stýra fyrstu aðgerðum lögreglu þegar hættu ber að höndum. Þá er Fjarskiptamiðstöð ríkislögreglustjóra aðgerðarstjórnstöð ríkislögreglustjóra vegna öryggismála, auk þess sem starfsmenn hennar sinna vöktun Sirene-skrifstofu vegna Schengen-samstarfsins og vaktar önnur upplýsinga- og samskiptakerfi utan dagvinnutíma.

Með vísan framangreinds og þess hlutverks sem RLS er falið að lögum telur Persónuvernd að leggja verði til grundvallar að almannahagsmunir geti staðið til þess að heimilt sé að framkvæma ferilskoðun á þeim sem ráðast til starfa neyðarvarða hjá Neyðarlínunni og þurfi starfs síns vegna aðgang að sameiginlegu vaktrými 112 og Fjarskiptamiðstöðvar ríkislögreglustjóra. Að mati Persónuverndar verður sú vinnsla persónuupplýsinga af hálfu RLS, sem fólst í uppflettingu kvartanda í LÖKE í tilefni af umsókn hennar um starf neyðarvarðar og miðlun upplýsinga úr málaskrá hennar til Neyðarlínunnar, því talin geta verið nauðsynleg í þágu almannahagsmuna í skilningi 5. tölul. 9. gr. laga nr. 90/2018 og e-liðar 6. gr. reglugerðar (ESB) 2016/679, sbr. einnig 11. gr. laga nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi, að því gefnu að gætt sé að öðrum ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679. Kemur hér einkum til skoðunar 1. tölul. 1. mgr. 8. gr. laganna um sanngirni og gagnsæi, sbr. a-lið 5. gr. reglugerðarinnar, en af ákvæðinu leiðir meðal annars fræðsluskylda ábyrgðaraðila gagnvart skráðum einstaklingi, sem nánar er útfærð í 13.-14. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018.

Eins og áður greinir hafnar kvartandi því alfarið að hafa skrifað undir samþykki hjá Neyðarlínunni vegna ferilskoðunar af hálfu RLS. Neyðarlínan byggir hins vegar á því að kvartandi hafi ritað undir slíkt samþykki en í svörum félagsins kom jafnframt fram að umsóknargögnum þeirra sem ekki er boðið starf sé eytt þegar ljóst er að ekki muni verða af ráðningu í starf hjá Neyðarlínunni, þar á meðal tilgreindu samþykki fyrir ferilskoðun. Þá vísar RLS til þess að samkvæmt upplýsingum frá Neyðarlínunni hafi kvartandi undirritað staðlað upplýsingablað um ferilskoðun en RLS hafi þó ekki fengið eintakið í sínar vörslur. Eins og hér háttar til verður því að teljast ósannað að kvartandi hafi ritað undir tilgreint samþykki fyrir ferilskoðun hjá RLS. Þá hefur ekkert komið fram af hálfu Neyðarlínunnar eða RLS um að kvartanda hafi verið veitt sérstök fræðsla um upplýsingaöflun hjá RLS, umfram þær upplýsingar sem fram komi á umræddu samþykki fyrir ferilskoðun.

Þó að ekki hafi þurft samþykki kvartanda fyrir vinnslunni, sbr. það sem greinir hér að framan, verður að telja að upplýsa hefði þurft kvartanda um vinnsluna svo að hún hefði samrýmst sanngirnis- og gagnsæiskröfu 1. tölul. 8. gr. laga nr. 90/2018, sbr. einnig 14. gr. reglugerðar (ESB) 2016/679. Ekki verður séð af gögnum málsins að gætt hafi verið að þessum kröfum gagnvart kvartanda í tengslum við ferilskoðun hjá RLS. Í þessu samhengi skal enn fremur bent á að samkvæmt 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðarinnar, ber ábyrgðaraðili ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. lagagreinarinnar og skal geta sýnt fram á það. Verður RLS því að bera hallann af því að hafa ekki sýnt fram á með fullnægjandi hætti hvernig gætt var að kröfum 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. einnig 14. gr. reglugerðarinnar.

Í ljósi alls framangreinds er það niðurstaða Persónuverndar að skoðun RLS á persónuupplýsingum um kvartanda og miðlun þeirra til Neyðarlínunnar hafi ekki samrýmst ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, um sanngjarna og gagnsæja vinnslu og fræðsluskyldu, sbr. einnig reglugerð (ESB) 2016/679.

Með vísan til þess að RLS vinnur að því að koma á formlegri verkferlum þegar beiðnir um uppflettingar berast frá Neyðarlínunni þykir ekki tilefni til að beina fyrirmælum til RLS í úrskurði þessum.

Ú r s k u r ð a r o r ð:

Skoðun RLS á persónuupplýsingum um [A] og miðlun þeirra til Neyðarlínunnar samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, um sanngjarna og gagnsæja vinnslu og fræðsluskyldu, sbr. reglugerð (ESB) 2016/679.

Persónuvernd, 5. desember 2023

Þórður Sveinsson                                Edda Þuríður Hauksdóttir



Var efnið hjálplegt? Nei