Vinnsla persónuupplýsinga af hálfu Seðlabanka Íslands
Mál nr. 2021102022
Persónuvernd úrskurðaði í enduruppteknu máli vegna kvörtunar yfir vinnslu persónuupplýsinga af hálfu Seðlabanka Íslands. Kvörtunin laut að umfangi upplýsingaöflunar, eyðingu persónuupplýsinga á grundvelli laga um meðferð sakamála, varðveislu persónuupplýsinga og loks miðlun þeirra til héraðssaksóknara. Í fyrri úrskurði komst Persónuvernd að þeirri niðurstöðu að vísa frá þeim hluta kvörtunarinnar er laut að öflun Seðlabankans á persónuupplýsingum kvartanda sem og eyðingu á grundvelli laga um meðferð sakamála. Hins vegar var varðveisla Seðlabankans, sem og miðlun bankans á persónuupplýsingum um kvartanda til héraðssaksóknara, talin samrýmast ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd féllst á beiðni kvartanda um endurupptöku málsins með vísan til nýrra upplýsinga sem lagðar voru fram og er þessi úrskurður þannig kveðinn upp í stað fyrri úrskurðar. Niðurstaða Persónuverndar var sú að vísa, sem fyrr, frá þeim hluta kvörtunarinnar er laut að öflun Seðlabankans á persónuupplýsingum kvartanda sem og eyðingu á grundvelli laga um meðferð sakamála. Persónuvernd taldi hins vegar að varðveisla Seðlabanka Íslands á persónuupplýsingum kvartanda, frá þeim tíma er stjórnsýslumáli bankans gagnvart kvartanda lauk með dómi Hæstaréttar, hefði ekki samrýmst ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga. Loks var niðurstaða Persónuverndar sú að miðlun Seðlabanka Íslands til héraðssaksóknara á persónuupplýsingum kvartanda hefði samrýmst ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
Hinn 18. október 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2021102022:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 26. október 2020 barst Persónuvernd kvörtun frá [A] lögmanni f.h. [X] , (hér eftir kvartandi) yfir vinnslu persónuupplýsinga um hann hjá Seðlabanka Íslands, héraðssaksóknara og skattrannsóknarstjóra. Nánar tiltekið laut kvörtunin að varðveislu persónuupplýsinga um kvartanda hjá Seðlabankanum, miðlun þeirra til héraðssaksóknara og loks miðlun persónuupplýsinganna frá héraðssaksóknara til skattrannsóknarstjóra
Með bréfum, dags. 15. janúar 2021, tilkynnti Persónuvernd framangreindum aðilum um kvörtunina og veitti þeim færi á að koma á framfæri athugasemdum. Hinn 21. janúar s.á. barst Persónuvernd bréf frá héraðssaksóknara sem svarað var með bréfi, dags. 9. febrúar 2021, sem innihélt nánari upplýsingar um afmörkun rannsóknar Persónuverndar.
Svar skattrannsóknarstjóra barst með bréfi, dags. 17. febrúar 2021. Þá bárust svar Seðlabankans og efnislegt svar héraðssaksóknara með bréfum, dags. 26. s.m. Afrit allra bréfanna voru send lögmanni kvartanda 10. mars 2021 og kvartanda veitt færi á að tjá sig um efni þeirra. Svar f.h. kvartanda barst með bréfi, dags. 18. mars s.á.
Á grundvelli framangreindra gagna var kveðinn upp úrskurður í málinu (undir málsnúmeri 2020102723 hjá Persónuvernd) hinn 15. júní 2021. Með bréfi, dags. 19. október s.á., fór fyrrgreindur lögmaður fram á endurupptöku málsins fyrir hönd kvartanda. Með bréfi, dags. 31. mars 2022, tilkynnti Persónuvernd Seðlabankanum um þá beiðni og veitti bankanum kost á að tjá sig um hana. Svarað var með bréfi bankans, dags. 6. maí 2022, sem lögmanni kvartanda var veitt færi á að tjá sig um með bréfi Persónuverndar, dags. 10. júní s.á. Svarað var með bréfi, dags. 30. s.m.
Eins og rakið er í 1. kafla II. hluta hér á eftir telur Persónuvernd tilefni til að fallast á framkomna endurupptökubeiðni og er úrskurður þessi því kveðinn upp í stað þess sem féll 15. júní 2021.
2.
Afmörkun kvörtunar með tilliti til ábyrgðaraðila
Kvörtun sína yfir vinnslu persónuupplýsinga af hálfu héraðssaksóknara og skattrannsóknarstjóra byggði kvartandi á 4. mgr. 33. gr. laga nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi, en í ákvæðinu segir að tilraun til brots eða hlutdeild í brotum samkvæmt lögunum sé refsiverð eftir því sem segir í almennum hegningarlögum. Með bréfi, dags. 15. janúar 2021, tilkynnti Persónuvernd kvartanda um að ákvörðun refsinga samkvæmt 33. gr. laga nr. 75/2019 félli utan valdsviðs stofnunarinnar. Af því leiddi að stofnunin væri ekki bær til að úrskurða um hlutdeild í brotum samkvæmt 4. mgr. ákvæðisins heldur heyrðu ákvarðanir um slíkt undir dómstóla. Hins vegar félli það undir valdsvið Persónuverndar að leggja mat á hvort vinnsla persónuupplýsinga um kvartanda hjá Seðlabanka Íslands, héraðssaksóknara og skattrannsóknarstjóra hefði að öðru leyti samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og lögum nr. 75/2019, eftir því sem við ætti.
Í bréfi f.h. kvartanda, dags. 18. mars 2021, er vísað í fyrrgreint bréf Persónuverndar að því er varðar valdsvið stofnunarinnar og tekið fram að kvartandi byggi kvörtun sína gagnvart héraðssaksóknara og skattrannsóknarstjóra eingöngu á reglum um hlutdeild. Sé því líklega ekki ástæða til að fjalla frekar um þátt héraðssaksóknara annars vegar og skattrannsóknarstjóra hins vegar nema Persónuvernd telji svo vera að eigin frumkvæði.
Í ljósi framangreinds lítur Persónuvernd svo á að kvartandi hafi fallið frá kvörtun sinni gagnvart héraðssaksóknara og skattrannsóknarstjóra. Verður því ekki fjallað frekar um þá hluta kvörtunarinnar í úrskurði þessum heldur einvörðungu um vinnslu persónuupplýsinga um kvartanda hjá Seðlabanka Íslands.
3.
Nánar um kvörtun
Í kvörtuninni er rakinn aðdragandi þeirrar vinnslu persónuupplýsinga sem kvartað er yfir. Fram kemur að Seðlabanki Íslands hafi framkvæmt húsleit þann 27. mars 2012 hjá [fyrirtæki]., en kvartandi sé forstjóri fyrirtækisins. Húsleitin hafi tengst meðferð máls á grundvelli laga og reglna um gjaldeyrismál og hald hafi verið lagt á rafræn gögn sem hafi innihaldið persónuupplýsingar um kvartanda, meðal annars tölvupósta hans, upplýsingar um fjármál og fleira.
Fram kemur að kvartandi hafi verið boðaður í skýrslutöku hjá skattrannsóknarstjóra sumarið 2020 þar sem borin hafi verið undir hann gögn sem síðar hafi komið í ljós að aflað hefði verið frá héraðssaksóknara, sem aftur hefði aflað gagnanna frá Seðlabankanum þann 15. apríl 2020. Hafi þar verið um að ræða gögn sem aflað hefði verið í fyrrnefndri húsleit. Kvörtuninni fylgdu afrit bréfaskipta við alla framangreinda aðila og er óumdeilt að gögnunum var miðlað með framangreindum hætti.
Kvartandi byggir á því að umrædd gagnaöflun hafi farið fram við rannsókn stjórnsýslumáls hjá Seðlabankanum sem hafi lokið þann 1. september 2016, eða í síðasta lagi þegar dómur Hæstaréttar vegna málsins féll þann 8. nóvember 2018. Seðlabankanum hafi borið að eyða persónuupplýsingum um kvartanda að því loknu enda hafi þær ekki lengur verið nauðsynlegar í þeim tilgangi sem legið hefði að baki öflun þeirra. Vísar kvartandi í þessu samhengi til a- og e-liða 1. mgr. 17. gr. reglugerðar (ESB) 2016/679, auk 72. gr. laga nr. 88/2008, um meðferð sakamála, þar sem kveðið er á um að aflétta skuli haldi þegar þess er ekki lengur þörf og í síðasta lagi þegar máli er endanlega lokið. Telur kvartandi hið sama eiga að gilda um afrit af haldlögðum gögnum. Þannig skuli eyða slíkum afritum þegar haldi er aflétt. Þá segir að kvartandi telji lög nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi, gilda um vinnsluna.
Kvartandi vísar einnig til 26. gr. eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og tekur fram að Seðlabankanum hafi samkvæmt því ákvæði borið að eyða umræddum gögnum að fyrrnefndu stjórnsýslumáli loknu, eða 1. september 2016, eða til vara eftir uppkvaðningu dóms Hæstaréttar þann 8. nóvember 2018 og til þrautavara við gildistöku laga nr. 75/2019 þann 1. janúar 2020. Þá telur kvartandi miðlun Seðlabankans á persónuupplýsingum um hann til héraðssaksóknara ekki hafa byggst á fullnægjandi lagaheimild. Hvorki hafi verið til staðar brýnir hagsmunir né ríkir almannahagsmunir, sbr. orðalag 2. mgr. 8. gr. laga nr. 75/2019.
Í kvörtuninni var farið fram á ýmsa upplýsinga- og gagnaöflun af hálfu Persónuverndar. Meðal annars var þess krafist að Persónuvernd kannaði úrskurð héraðsdóms frá árinu 2012 um húsleit hjá [fyrirtækinu], hvaða skilyrði eða forsendur hefðu verið fyrir henni og hvort brotið hefði verið gegn þeim. Jafnframt segir í kvörtun að nauðsynlegt sé að kannað verði nákvæmlega um hvaða gögn ræði.
4.
Athugasemdir Seðlabanka Íslands vegna kvörtunar
Í bréfi Seðlabanka Íslands til Persónuverndar, dags. 26. febrúar 2021, segir að til varðveislu í Seðlabankanum séu eingöngu gögn mála sem verið hafi til meðferðar í kjölfar húsleitar hjá [fyrirtækinu] hf. þann 27. mars 2012, þ.e. í máli kvartanda og máli [fyrirtækisins] vegna ætlaðra brota á lögum og reglum um gjaldeyrismál. Þau gögn sem legið hafi til grundvallar kæru Seðlabankans til lögreglu hafi verið afhent lögreglu samhliða kærunni. Þá hafi lögreglan hlutast til um að skila gögnum til [fyrirtækisins] hf., sbr. 72. gr. laga nr. 88/2008, um meðferð sakamála. Í því ákvæði sé hins vegar ekki kveðið á um eyðingu afrita af haldlögðum gögnum. Máli [fyrirtækisins] hafi lokið með dómi Hæstaréttar, dags. 8. nóvember 2018 í máli nr. 463/2017. Seðlabankanum beri að varðveita og síðar afhenda gögnin Þjóðskjalasafni með vísan til laga nr. 77/2014 um opinber skjalasöfn.
Að því er varðar hvaða persónuupplýsingar um kvartanda hafi verið að finna í hinum haldlögðu gögnum segir í bréfi Seðlabankans að þar sé að finna afrit af tölvupóstum úr vinnunetföngum starfsmanna [fyrirtækisins] auk afrita af heimasvæðum starfsmanna og sameiginlegum svæðum í tölvum valinna starfsmanna. Þar sé að finna upplýsingar um fjármál, bankareikninga, eignir, skuldir og viðskipti kvartanda. Ekki sé um að ræða viðkvæmar persónuupplýsingar í skilningi 3. tölul. 3. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Seðlabankinn viti ekki til þess að frekari persónuupplýsingar um kvartanda sé að finna á þeim þremur hörðu diskum, sem afhentir voru héraðssaksóknara í apríl 2020, en þær séu hluti málsgagna í þeim málum sem verið hafi til meðferðar vegna meintra brota á lögum og reglum um gjaldeyrismál.
Í bréfi Seðlabankans segir að við fyrrnefnda húsleit hafi vinnsla persónuupplýsinga, þ.m.t. afritun gagna yfir á áðurnefnda þrjá diska, byggst á 6. tölul. 1. mgr. 8. gr. þágildandi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Vinnslan hafi þannig verið metin nauðsynleg við beitingu opinbers valds sem Seðlabankanum hafi verið falið á grundvelli laga nr. 87/1992, um gjaldeyrismál. Valdbeitingin hafi enn fremur verið heimiluð af héraðsdómi. Fram að afhendingu diskanna til héraðssaksóknara í apríl 2020 hafi varðveisla þeirra einnig byggst á 3. tölul. 9. gr. laga nr. 90/2018 enda hafi hún að mati Seðlabankans verið nauðsynleg til að fullnægja lagaskyldu sem á bankanum hvíli. Þá liggi fyrir að Seðlabankinn sé sjálfstæð stofnun í eigu ríkisins og beri sem opinberri stofnun að afhenda Þjóðskjalasafni skjöl sín í samræmi við ákvæði laga nr. 77/2014 um opinber skjalasöfn, þ.e. þau skjöl sem ekki falli undir grisjunarheimildir sem safnið veiti sérstaklega á grundvelli 24. gr. laganna.
Í bréfinu segir að vinnslan samrýmist meginreglum laga nr. 90/2018 enda hafi hún verið í samræmi við fyrirliggjandi húsleitarúrskurði og ekki gengið lengra en þörf hafi verið á í ljósi rannsóknarhagsmuna. Gagnanna hafi verið aflað vegna rökstudds gruns um háttsemi sem talin hafi verið ganga gegn ákvæðum laga nr. 87/1992, um gjaldeyrismál, og þau hafi ekki verið nýtt í öðrum og ósamrýmanlegum tilgangi. Seðlabankinn telji varðveislu gagnanna hafa verið í samræmi við viðmið um meðalhóf, auk þess sem gögnin hafi einungis verið skoðuð af örfáum starfsmönnum bankans og vistuð í læstri geymslu. Að mati Seðlabankans hefði verið úr hófi fyrir starfsmenn hans að fara í gegnum öll gögn á umræddum þremur diskum, sem innihaldi samtals 6000 GB af gögnum, og eyða gögnum sem þeir hefðu ekki talið vera not fyrir við rannsóknina.
Afhendingu umræddra gagna til héraðssaksóknara byggir Seðlabankinn á því að hún hafi verið nauðsynleg til að fullnægja lagaskyldu sem hvíli á bankanum, sbr. 3. tölul. 9. gr. laga nr. 90/2018. Embætti héraðssaksóknara hafi lagt fram beiðni, dags. 30. mars 2020, um að því yrðu afhent rafræn gögn sem þá hafi verið í vörslu Seðlabankans, þ.e. fyrrnefndir þrír diskar. Beiðnin hafi verið lögð fram meðal annars á grundvelli 2. mgr. 20. gr. laga nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Þar segi meðal annars að í tengslum við greiningu og athuganir mála samkvæmt lögum og reglugerðum og reglum settum á grundvelli þeirra sé ýmsum aðilum, þ. á m. opinberum aðilum, skylt að láta skrifstofu fjármálagreininga lögreglu í té án tafar allar upplýsingar og gögn sem hún telji nauðsynleg, en skrifstofa fjármálagreininga lögreglu er sjálfstæð eining innan embættis héraðssaksóknara. Afhending gagnanna hafi að mati Seðlabankans verið allt í senn lögmæt, skýr og þjónað málefnalegum tilgangi enda hafi það verið mat héraðssaksóknara að gögnin gætu haft sönnunargildi við yfirstandandi rannsókn á málefnum tengdum [fyrirtækinu].
5.
Athugasemdir kvartanda við sjónarmið Seðlabanka Íslands
Í bréfi f.h. kvartanda, dags. 18. mars 2021, kemur meðal annars fram að kvartandi telji óljóst af svörum Seðlabanka Íslands hvaða gögn séu enn í vörslum bankans og er þess krafist að leitað verði nákvæmra svara um það atriði. Jafnframt segir að fara verði fram nánari greining á því hvaða persónuupplýsingar um kvartanda sé að finna í gögnunum. Engin afsökun sé að gögnin séu umfangsmikil enda á ábyrgð Seðlabankans að leggja hald á og varðveita gögn í svo ríkum mæli. Þá verði ekki talin ástæða til að varðveita gögn á hörðum diskum, sem voru haldlagðir á sínum tíma, í heild sinni heldur einungis þau gögn sem gerð hafi verið að gögnum mála hjá Seðlabankanum sem varða kvartanda og [fyrirtækið].
Kvartandi mótmælir því að Seðlabankanum hafi borið að varðveita umrædd gögn á grundvelli laga nr. 77/2014, um opinber skjalasöfn. Í bréfi bankans segi að ekki hafi verið tekin sérstök afrit af diskunum áður en þeir hafi verið afhentir héraðssaksóknara. Virðist Seðlabankinn því ekki hafa ætlað sér að afhenda Þjóðskjalasafni Íslands gögnin.
Í bréfinu er þess getið að kvartandi mótmæli málatilbúnaði Seðlabanka Íslands í heild sinni sem röngum og ósönnuðum. Með hliðsjón af afmörkun málsins þykir hins vegar ekki tilefni til að rekja einstök mótmæli kvartanda nánar.
6.
Úrskurður
Þann 15. júní 2021 kvað Persónuvernd upp úrskurð þar sem vísað var frá þeim hluta kvörtunarinnar er laut að öflun Seðlabanka Íslands á persónuupplýsingum um hann, sem og eyðingu gagna á grundvelli laga nr. 88/2008, um meðferð sakamála. Varðveisla Seðlabankans á persónuupplýsingum um kvartanda, sem og miðlun bankans á persónuupplýsingum um kvartanda til héraðssaksóknara, var hins vegar talin samrýmast ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
7.
Endurupptökubeiðni
Í endurupptökubeiðni kvartanda, dags. 19. október 2021, er þess krafist að sá hluti úrskurðar, dags. 15. júní s.á., er varðar varðveislu Seðlabanka Íslands á persónuupplýsingum kvartanda verði endurupptekinn. Er beiðnin byggð á því að þau gögn sem Seðlabankinn hafi undir höndum á hörðum diskum séu ekki afhendingarskyld gögn í skilningi laga nr. 77/2014, um opinber skjalasöfn. Þau gögn sem gerð hafi verið hluti af stjórnsýslumálinu sem var til meðferðar hjá Seðlabankanum hafi verið tekin til hliðar og séu geymd annars staðar. Sú málsástæða Seðlabankans að gögnin séu varðveitt vegna þess að þau verði síðar afhent Þjóðskjalasafni Íslands sé röng, en um það er vísað til bréfs þjóðskjalavarðar, dags. 20. september 2021, sem fylgdi endurupptökubeiðninni.
Þá kemur fram að til vara sé byggt á því að aðeins lítill hluti umræddra gagna hafi verið hluti af skjalasafni Seðlabankans, þ.e. þau gögn sem bankinn hafi þegar tekið afrit af og geymi á öðrum stað. Því sé ekkert því til fyrirstöðu að eyða hörðu diskunum og því efni sem á þeim er. Seðlabankinn hafi vísað til þess í málinu að það hefði verið úr hófi fyrir starfsmenn að fara í gegnum diskana og eyða gögnum sem ekki voru notuð við rannsóknina. Því sé mótmælt þar sem stjórnsýslumálinu hafi lokið 1. september 2016 og hjá Hæstarétti 8. nóvember 2018 og því liggi fyrir hvaða gögn hafi verið lögð fram í því máli. Með vísan til þess sé auðséð hvaða gögn teljist mögulega afhendingarskyld og hver ekki.
Endurupptökubeiðninni fylgdi afrit af bréfi f.h. kvartanda til Þjóðskjalasafns Íslands, dags. 12. ágúst 2021, þar sem m.a. er spurt hvaða reglur gildi um afhendingu gagna eins og hér um ræðir til safnsins. Þá fylgdi afrit af svarbréfi safnsins, dags. 20. september 2021, en þar segir m.a. að gögn, sem haldlögð hafi verið og sem í ljós komi að tengist ekki viðkomandi máli, teljist ekki hluti af skjalasafni afhendingarskylds aðila og falli því ekki undir lög um opinber skjalasöfn.
-
8.
Athugasemdir Seðlabanka Íslands vegna endurupptökubeiðni
Í bréfi Seðlabanka Íslands til Persónuverndar, dags. 6. maí 2022, segir að umræddir þrír harðir diskar séu ekki í vörslu bankans heldur séu þeir enn í vörslu héraðssaksóknara eftir afhendingu þeirra þangað í apríl 2020, í kjölfar kröfu þar um. Það hafi aldrei verið meiningin af hálfu bankans að afhenda umrædda diska til varðveislu hjá Þjóðskjalasafni Íslands og því hafi þeir ekki verið vistaðir hjá bankanum með slíka afhendingu í huga. Að mati Seðlabankans séu umræddir harðir diskar ekki afhendingarskyld gögn í skilningi laga nr. 77/2014 og því sé bankinn í meginatriðum sammála bæði kvartanda og Þjóðskjalasafni Íslands hvað þetta varðar. Þá hafi komið fram í bréfi Seðlabankans til Persónuverndar, dags. 26. febrúar 2021, að bankinn hafi ekki tekið sérstakt afrit af diskunum fyrir afhendingu þeirra. Í bréfinu hafi jafnframt komið fram að bankinn hafi eingöngu varðveitt þau gögn sem hafi verið til meðferðar í kjölfar húsleitarinnar. Hvergi hafi komið fram, né verið látið að því liggja, að diskunum þremur hafi verið skilað aftur til Seðlabankans. Til að taka af allan vafa verði þau gögn sem notuð voru við rannsókn og málsmeðferð fyrir dómstólum áfram vistuð hjá Seðlabankanum þar til þau verði afhent Þjóðskjalasafni í samræmi við ákvæði laga nr. 77/2014.
Hvað varðar þau sjónarmið kvartanda að Seðlabankinn hefði átt að eyða gögnum af hörðu diskunum sem ekki voruð notuð við rannsókn og málsmeðferð dómstóla telur bankinn að það hefði verið úr hófi að fara í gegnum diskana, samtals um 6000 GB, og eyða af þeim gögnum þegar málaferlum kvartanda og [fyrirtækisins] á hendur bankanum hafi enn verið ólokið. Þá liggi ekki fyrir hvort slík grisjun hefði verið tæknilega möguleg og hvort hún hefði að einhverju leyti gert það að verkum að gögnin yrðu í versta falli ólæsileg og þar með ónýt. Vegna þessa ítreki Seðlabanki Íslands sérstaklega að ekki hafi verið tekin afrit af gögnum á hörðu diskunum þremur umfram það sem hafi komið fram í fyrirliggjandi húsleitarúrskurðum og að eingöngu gögn er vörðuðu tiltekin mál hafi verið vistuð í skjalakerfi bankans. Gögnin hafi verið skoðuð af örfáum starfsmönnum bankans og diskarnir geymdir í læstri geymslu og því ekki verið aðgengilegir óviðkomandi. Diskarnir þrír hafi verið afhentir héraðssaksóknara í kjölfar kröfu þar um þegar skaðabótamáli kvartanda og[fyrirtækisins] á hendur bankanum hafi enn verið ólokið og þar með hafi verið ótímabært að mati bankans að taka afstöðu til grisjunar.
Með hliðsjón af öllu ofangreindu mótmælir Seðlabanki Íslands endurupptökubeiðni kvartanda. Að mati bankans byggi beiðnin á misskilningi kvartanda sem bankinn telji sig nú hafa leiðrétt. Því telji bankinn ekkert benda til þess að ákvörðun Persónuverndar hafi byggst á ófullnægjandi eða röngum upplýsingum um málsatvik, sbr. 1. tölul. 1. mgr. 24. gr. stjórnsýslulaga nr. 37/1993.
9.
Frekari athugasemdir kvartanda vegna endurupptökubeiðni
Í bréfi f.h. kvartanda, dags. 30. júní 2022, segir m.a. að Seðlabanki Íslands hafi byggt á því við upphaflega meðferð málsins að bankanum hafi verið óheimilt að eyða gögnum á umræddum hörðum diskum í ljósi afhendingarskyldu bankans til Þjóðskjalasafns Íslands. Persónuvernd hafi mátt vera það ljóst að þessi málsástæða bankans hafi verið haldlaus. Nú liggi fyrir í málinu bréf frá þjóðskjalaverði sem sýni fram á að svo sé. Þá hafi Seðlabankinn einnig fallist á það í bréfi sínu, dags. 6. maí 2022, og sé nú í meginatriðum sammála kvartanda og Þjóðskjalasafni Íslands um þetta atriði. Þegar af þeirri ástæðu að bankinn hafi fallið frá einu málsástæðunni sem niðurstaða um þennan þátt byggðist á sé óhjákvæmilegt að fallast á endurupptöku málsins.
Þá er tekið fram að Seðlabankinn virðist í bréfi sínu, frá 6. maí 2022, byggja á því að bankinn hafi varðveitt hörðu diskana þrjá vegna þess að skaðabótamálum kvartanda og [fyrirtækisins] hafi ekki verið lokið. Einu gögnin af hörðu diskunum þremur sem fræðilega hafi getað haft þýðingu í skaðabótamálunum séu gögn sem búið hafi verið að gera að málsgögnum í stjórnsýslumálinu. Gögnin á hörðu diskunum hafi því ekki verið nauðsynleg við rekstur skaðabótamálanna enda hafi Seðlabankinn ekki tekið afrit af þeim þegar þau voru afhent héraðssaksóknara. Skaðabótamálin hafi snúið að bótum fyrir kostnað og miska vegna reksturs stjórnsýslumála hjá bankanum sem enduðu með ógildingu stjórnvaldsákvarðana með dómi Hæstaréttar. Ekkert hafi verið sótt á hörðu diskana sérstaklega vegna reksturs skaðabótamálanna. Útilokað sé að í skaðabótamálunum hafi persónuupplýsingar þær sem lýst er í kvörtun frá 26. október 2020 haft einhverja þýðingu, t.d. myndir af kvartanda, afrit af vegabréfi hans, ferðaáætlanir og fleiri upplýsingar. Um sé að ræða eftiráskýringar.
II.
Forsendur og niðurstaða
1.
Um endurupptöku
Í úrskurði Persónuverndar, dags. 15. júní 2021, var á því byggt er varðar varðveislu Seðlabanka Íslands á persónuupplýsingum kvartanda að Seðlabankinn teldist afhendingarskyldur aðili í skilningi 3. tölul. 14. gr. laga nr. 77/2014 og bæri því að afhenda Þjóðskjalasafni Íslands skjöl sín, sbr. 4. mgr. sömu greinar. Þá hafi bankanum jafnframt verið óheimilt að ónýta eða farga nokkru skjali í skjalasafni sínu samkvæmt 1. mgr. 24. gr. laganna. Í bréfi Þjóðskjalasafns Íslands, dags. 12. ágúst 2021, sem fylgdi endurupptökubeiðninni, kemur hins vegar fram að gögn, sem haldlögð hafa verið og sem í ljós hefur komið að tengjast ekki viðkomandi máli, teljist ekki hluti af skjalasafni afhendingarskylds aðila og falli því ekki undir lög nr. 77/2014. Þegar af þeirri ástæðu er það mat Persónuverndar að fram hafi komið upplýsingar um annan skilning á inntaki laga nr. 77/2014 frá Þjóðskjalasafni Íslands en lagður var til grundvallar í fyrra máli, sem áhrif hafi á atvik málsins, sbr. til hliðsjónar 1. tölul. 1. mgr. 24. gr. stjórnsýslulaga nr. 37/1993 og athugasemdir við þá grein í frumvarpi til laganna.
Í ljósi framangreinds hefur mál þetta verið endurupptekið og er úrskurður þessi kveðinn upp í stað fyrri úrskurðar, dags. 15. júní 2021. Tekið skal fram í því sambandi að kafli 4.1 hér á eftir lýtur að atriðum sem ekki var krafist endurupptöku á og er í öllum meginatriðum samhljóða kafla 3.1 í fyrri úrskurði. Í köflum 4.2 og 4.3, svo og í úrskurðarorðum eftir því sem við á, er hins vegar tekið tillit til sjónarmiða sem færð hafa verið fram vegna endurupptökubeiðninnar.
2.
Lagaumhverfi
Persónuvernd hefur tekið til skoðunar hvort sú vinnsla persónuupplýsinga Seðlabanka Íslands sem hér er til umfjöllunar gæti fallið undir lög nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi, sem tóku gildi 5. júlí 2019. Samkvæmt 1. mgr. 3. gr. laganna gilda þau um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í löggæslutilgangi. Lögin gilda einnig um vinnslu annarra opinberra aðila eða einkaaðila í sama tilgangi og vinnslu sem fram fer á grundvelli sérstakrar lagaheimildar eða vinnslusamnings við viðkomandi lögbært yfirvald. Lögbær yfirvöld eru skilgreind í 11. tölul. 2. gr. laganna og í athugasemdum með frumvarpi því er varð að lögum nr. 75/2019 segir að upptalningin sé tæmandi. Seðlabankinn er ekki meðal þeirra aðila sem taldir eru upp í töluliðnum.
Að því er varðar efnislegt gildissvið laganna segir meðal annars í athugasemd við 3. gr. sama frumvarps:
„Gildissvið laganna að því er varðar tilgang vinnslunnar er hins vegar opnara og getur að einhverju leyti þróast í framkvæmd en Persónuvernd hefur m.a. það hlutverk að ákvarða, að eigin frumkvæði eða samkvæmt beiðni, hvort tiltekin vinnsla fari fram í löggæslutilgangi eður ei [...]. Í niðurlagi 1. mgr. er tekið fram að lögin gilda um vinnslu annarra opinberra aðila eða einkaaðila í sama tilgangi og sem fram fer á grundvelli sérstakrar lagaheimildar eða vinnslusamnings við viðkomandi lögbært yfirvald. Er það nauðsynlegt þar sem að slíkir vinnsluaðilar geta ekki talist til lögbærra yfirvalda. Einkaaðilar sem geta fallið undir ákvæðið eru t.d. fjarskipta- og upplýsingatæknifyrirtæki sem aðstoða lögbær yfirvöld við verkefni sín í löggæslutilgangi á grundvelli vinnslusamnings.“
Þrátt fyrir að orðalag athugasemdanna bendi til víðtækara gildissviðs 3. gr. laga nr. 75/2019 en skilgreining lögbærra yfirvalda í 11. tölul. 2. gr. laganna gefur til kynna er það mat Persónuverndar að fyrrnefnda ákvæðinu sé fyrst og fremst ætlað að ná til vinnsluaðila sem vinna persónuupplýsingar fyrir hönd lögbærs yfirvalds sem fellur ótvírætt undir síðarnefnda ákvæðið. Ekki verður talið að um slíkt sé að ræða í tilviki Seðlabankans eins og hér háttar til. Að mati Persónuverndar fellur sú vinnsla persónuupplýsinga sem hér er til umfjöllunar því ekki undir gildissvið laga nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi. Kemur þá til skoðunar hvort beita skuli gildandi lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, eða eldri lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Kvörtunin varðar að hluta vinnslu persónuupplýsinga sem hófst í gildistíð laga nr. 77/2000. Þau voru leyst af hólmi með lögum nr. 90/2018 sem tóku gildi 15. júlí 2018 og lögfestu jafnframt persónuverndarreglugerðina, (ESB) 2016/679, eins og hún var aðlöguð og tekin upp í EES-samninginn. Þar sem kvörtun þessi beinist meðal annars að ástandi sem enn var til staðar eftir gildistöku laga nr. 90/2018, þ.e. varðveislu persónuupplýsinga um kvartanda, auk þess sem þær reglur laga um persónuvernd sem á reynir hafa ekki breyst efnislega, verður leyst úr málinu á grundvelli laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Þó verður einnig vísað til hlutaðeigandi ákvæða laga nr. 77/2000 í umfjöllun um upphaflega gagnaöflun til frekari skýringar.
3.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Óumdeilt er að Seðlabanki Íslands aflaði og varðveitti persónuupplýsinga um kvartanda sem síðar var miðlað með rafrænum hætti. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Telst Seðlabanki Íslands vera ábyrgðaraðili að umræddum vinnsluaðgerðum í skilningi 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.
4.Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, eða ef vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins.
Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Koma hér einkum til skoðunar lög nr. 87/1992, um gjaldeyrismál, lög nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, og lög nr. 77/2014, um opinber skjalasöfn. Verður hlutaðeigandi lagaákvæða getið hér að neðan eftir því sem við á.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins og a-liður reglugerðarákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul. lagaákvæðisins og b-liður reglugerðarákvæðisins); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul. lagaákvæðisins og c-liður reglugerðarákvæðisins); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu, en jafnframt kemur fram að geyma megi persónuupplýsingar lengur ef vinnsla þeirra þjónar einungis skjalavistun í þágu almannahagsmuna, vísinda- eða sagnfræðirannsókna eða í tölfræðilegum tilgangi (5. tölul. lagaákvæðisins og e-liður reglugerðarákvæðisins).
4.1.
Gagnaöflun og umfang hennar
Fyrir liggur að þeirra persónuupplýsinga um kvartanda sem málið tekur til var í öndverðu aflað við húsleit Seðlabanka Íslands hjá [fyrirtækinu] þann 27. mars 2012. Fór húsleitin og haldlagning gagna í tengslum við hana fram á grundvelli úrskurðar Héraðsdóms Reykjavíkur sem kveðinn var upp þann sama dag. Byggir Seðlabankinn á því að sú vinnsla persónuupplýsinga sem fólst í öflun gagnanna hafi byggst á 6. tölul. 1. mgr. 8. gr. þágildandi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Efnislega sambærilegt ákvæði er nú að finna í 5. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þannig hafi vinnslan verið nauðsynleg við beitingu opinbers valds sem bankanum sé falið með lögum nr. 87/1992, um gjaldeyrismál. Samkvæmt 15. gr. e þeirra laga er Seðlabankanum heimilt að krefja einstaklinga og lögaðila um allar upplýsingar og gögn sem hann telur nauðsynleg. Skiptir ekki máli í því sambandi hvort upplýsingarnar varða þann aðila sem beiðninni er beint til eða þau skipti annarra aðila við hann er hann getur veitt upplýsingar um og varða athuganir og eftirlit Seðlabankans. Lagaákvæði um þagnarskyldu takmarka ekki skyldu til þess að veita upplýsingar og aðgang að gögnum.
Dómstólar hafa þegar tekið afstöðu til lögmætis þeirra rannsóknaraðgerða Seðlabankans sem fólust í húsleit og haldlagningu gagna hjá [fyrirtækinu] þann 27. mars 2012, sbr. dóma Hæstaréttar í málum nr. 356/2012 og 357/2012. Þegar af þeirri ástæðu er ljóst að Persónuvernd er ekki bær til að fjalla efnislega um lögmæti umræddra aðgerða, enda verða úrlausnir dómstóla ekki endurskoðaðar af stjórnvöldum. Er þeim hluta kvörtunarinnar því vísað frá.
4.2.
Varðveisla persónuupplýsinga – Réttur til eyðingar
Fyrir liggur að Seðlabanki Íslands varðveitti persónuupplýsingar kvartanda á þremur hörðum diskum allt frá haldlagningu þeirra, í kjölfar húsleitar þann 27. mars 2012, þar til þeir voru afhentir héraðssaksóknara í apríl 2020.
Kvartandi byggir á því að ekki hafi verið nauðsynlegt fyrir Seðlabankann að varðveita persónuupplýsingar um sig lengur en nauðsynlegt var miðað við þann tilgang sem lá að baki öflun þeirra. Því hafi bankanum borið að eyða persónuupplýsingum þegar ljóst hafi orðið að þær hefðu enga þýðingu fyrir rannsókn málsins. Af hálfu Seðlabankans hefur komið fram að það hafi aldrei verið ætlun bankans að afhenda harða diska með upplýsingunum til varðveislu hjá Þjóðskjalasafni Íslands enda sé það mat bankans að ekki sé um afhendingarskyld gögn að ræða í skilningi laga nr. 77/2014, um opinber skjalasöfn. Diskarnir þrír hafi verið afhentir héraðssaksóknara í apríl 2020 og eingöngu þau gögn sem notuð hafi verið við rannsókn og málsmeðferð fyrir dómstólum verði áfram vistuð hjá Seðlabankanum þar til þau verði afhent Þjóðskjalasafni. Þá telur bankinn að það hafi verið úr hófi að fara í gegnum diskana þrjá, samtals 6000 GB, og eyða af þeim gögnum þegar málaferlum kvartanda og [fyrirtækisins] á hendur bankanum hafi enn verið ólokið.
Seðlabanki Íslands telst afhendingarskyldur aðili í skilningi 3. tölul. 14. gr. laga nr. 77/2014 og ber að afhenda Þjóðskjalasafni Íslands skjöl sín, sbr. 4. mgr. sömu greinar. Þá er bankanum óheimilt að ónýta eða farga nokkru skjali í skjalasöfnum sínum samkvæmt 1. mgr. 24. gr. laganna. Í bréfi Þjóðskjalasafns Íslands, dags. 12. ágúst 2021, kemur hins vegar fram að gögn, sem haldlögð hafa verið og sem í ljós kemur að tengjast ekki viðkomandi máli, teljist ekki hluti af skjalasafni afhendingarskylds aðila og falli því ekki undir lög nr. 77/2014.
Að auki ber að líta til áðurnefndra dóma Hæstaréttar í málum nr. 356/2012 og 357/2012, þar sem m.a. var fjallað um kröfu kvartanda um afhendingu gagna og eyðingu á afrituðum gögnum. Í dómunum kemur fram að sú skylda hvíli á rannsóknaraðilum að hraða eftir því sem kostur er rannsókn á haldlögðum gögnum og taka afrit af þeim gögnum, sem rannsakandi telur að kunni að hafa sönnunargildi, svo að unnt sé að afhenda þau eiganda gagnanna sem allra fyrst. Jafnframt verður að líta til dóms Hæstaréttar í máli nr. 633/2009, þar sem rétturinn komst að þeirri niðurstöðu að Samkeppniseftirlitinu bæri að taka rökstudda afstöðu til þess hvort rannsóknarhagsmunir stæðu til þess að halda afritum af gögnum, sem haldlögð höfðu verið við húsleit, og eyða þeim gögnum sem ekki hefðu þýðingu í málinu. Af dómunum má ráða að lögð er sú skylda á rannsakendur í ljósi 72. gr. laga nr. 88/2008 að skila eða eyða afritum af þeim gögnum sem athugun leiðir í ljós að hafi enga þýðingu fyrir rannsókn máls.
Ljóst er að stjórnsýslumáli Seðlabankans gagnvart [fyrirtækinu] lauk með stjórnvaldssekt þann 1. september 2016 og loks endanlega með dómi Hæstaréttar þann 8. nóvember 2018. Telur Persónuvernd að ekki hafi legið fyrir slíkir rannsóknarhagsmunir, eftir þann tíma, sem réttlætt gætu varðveislu þeirra gagna sem ekki höfðu þýðingu í málinu. Þá telur Persónuvernd að skaðabótamál [fyrirtækisins] gegn Seðlabankanum í kjölfar áðurnefnds dóms Hæstaréttar, sem enn var ólokið þegar hörðu diskunum þremur var miðlað til héraðssaksóknara, hafi ekki getað verið grundvöllur varðveislu gagna sem ekki höfðu þýðingu í stjórnsýslumálinu. Slíkum gögnum hefði bankinn átt að skila eða eyða þegar ljóst var orðið að þau hefðu ekki þýðingu fyrir rannsókn málsins.
Að framangreindu virtu er það niðurstaða Persónuverndar að Seðlabanka Íslands hafi brostið heimild, samkvæmt 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðarinnar, til varðveislu á persónuupplýsingum kvartanda frá þeim tíma er stjórnsýslumálinu lauk með dómi Hæstaréttar 2018. Þá verður ekki séð að aðrar heimildir 9. gr. laganna og 6. gr. reglugerðarinnar geti hafa átt hér við, auk þess sem áframhaldandi varðveisla á þeim gögnum sem ekki höfðu orðið að málsgögnum við meðferð stjórnsýslumálsins stríddi gegn grunnreglum 3. og 5. tölul. 1. mgr. 8. gr. laganna, sbr. c- og e-lið 1. mgr. 5. gr. reglugerðarinnar.
4.3.
Miðlun persónuupplýsinga til héraðssaksóknara
Kvartandi byggir á því að miðlun Seðlabanka Íslands á persónuupplýsingum um hann til héraðssaksóknara hafi ekki byggst á fullnægjandi lagaheimild. Hvorki hafi verið til staðar brýnir hagsmunir né ríkir almannahagsmunir fyrir miðluninni. Seðlabankinn byggir á því að afhending umræddra gagna hafi verið nauðsynleg til að fullnægja lagaskyldu sem hvíli á bankanum, sbr. 3. tölul. 9. gr. laga nr. 90/2018, sbr. einnig 2. mgr. 20. gr. laga nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.
Líkt og fram hefur komið fór embætti héraðssaksóknara fram á það við Seðlabankann í mars 2020 að hann afhenti því rafræn gögn í vörslu bankans, þ.e. þrjá harða diska sem meðal annars höfðu að geyma persónuupplýsingar kvartanda, og varð bankinn við þeirri beiðni í apríl 2020. Í bréfi héraðssaksóknara til Persónuverndar, dags. 26. febrúar 2021, kom fram að öflun umræddra persónuupplýsinga hefði verið í þágu rannsóknar sakamáls sem embættinu, sem fer með lögreglustjórn á sínu verksviði og hefur stöðu og almennar heimildir lögreglustjóra skv. 9. mgr. 6. gr. lögreglulaga nr. 90/1996, væri skylt að rannsaka. Embættinu sé skylt að afla allra tiltækra gagna í þágu rannsóknar og rannsaka atriði er varða m.a. sakborning sjálfan, sbr. 53. og 54. gr. laga nr. 88/2008, um meðferð sakamála. Öflun gagnanna frá Seðlabankanum hafi verið í þágu rannsóknar sakamáls sem beindist m.a. að kvartanda og þeim lögaðila sem hann sé í fyrirsvari fyrir.
Af hálfu Seðlabankans hefur komið fram að framangreind beiðni héraðasaksóknara hafi m.a. verið lögð fram á grundvelli 2. mgr. 20. gr. laga nr. 140/2018, en þar segir m.a. að í tengslum við greiningu og athugun mála samkvæmt lögunum og reglugerðum og reglum sem settar eru á grundvelli þeirra sé einstaklingum, lögaðilum, opinberum aðilum, fjárvörslusjóðum og sambærilegum aðilum skylt að láta skrifstofu fjármálagreininga lögreglu í té án tafar allar upplýsingar og gögn sem hún telur nauðsynleg. Skipti ekki máli í því sambandi hvort upplýsingarnar varða þann aðila sem beiðninni er beint til eða annan aðila sem hann getur veitt upplýsingar um og varða greiningu eða athugun mála hjá skrifstofu fjármálagreininga lögreglu. Þá segir jafnframt í ákvæðinu að lagaákvæði um þagnarskyldu takmarki ekki skyldu til þess að veita upplýsingar og aðgang að gögnum.
Í framkvæmd Persónuverndar hefur stofnunin almennt litið svo á að vinnsla og varðveisla ábyrgðaraðila á persónuupplýsingum án heimildar geti ekki verið grundvöllur fyrir miðlun þeirra til þriðja aðila. Hér verður þó að líta til þess að heimildir og skyldur héraðssaksóknara til þess að afla gagna í þágu rannsóknar sakamála eru mjög víðtækar. Þá er ljóst að ótvíræð lagaskylda hvílir á Seðlabanka Íslands að afhenda lögreglu allar upplýsingar og gögn sem hún telur nauðsynleg, sbr. 2. mgr. 20. gr. laga nr. 140/2018. Þó svo að varðveisla Seðlabankans hafi ekki stuðst við heimild samkvæmt lögum nr. 90/2018 er það mat Persónuverndar að honum hafi verið skylt að verða við beiðni um afhendingu gagna til héraðssaksóknara, í ljósi þess að gögnin voru enn í vörslum bankans þegar beiðni héraðssaksóknara um afhendingu þeirra kom fram. Studdist miðlunin samkvæmt því við 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þá fór miðlunin sem slík ekki í bága við grunnreglur 1. mgr. 8. gr. laganna, sbr. 1. mgr. 5. gr. reglugerðarinnar.
Að öllu framangreindu virtu er það niðurstaða Persónuverndar að miðlun Seðlabanka Íslands á persónuupplýsingum kvartanda til héraðssaksóknara hafi samrýmst lögum nr. 90/2018, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vísað er frá þeim hluta kvörtunar [X] er lýtur að öflun Seðlabanka Íslands á persónuupplýsingum um hann.
Vísað er frá þeim hluta kvörtunar [X] er lýtur að eyðingu gagna á grundvelli laga nr. 88/2008, um meðferð sakamála.
Varðveisla Seðlabanka Íslands á persónuupplýsingum um [X] samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Miðlun Seðlabanka Íslands á persónuupplýsingum um [X] til héraðssaksóknara samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Persónuvernd, 18.október 2022
Ólafur Garðarsson
formaður
Björn Geirsson Sindri M. Stephensen
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson