Vinnsla persónuupplýsinga hjá Seðlabanka Íslands heimil
Mál nr. 2020102723
Þessum úrskurði hefur verið breytt í kjölfar endurupptökubeiðni kvartanda. Nýjan úrskurð má finna hér.
Persónuvernd hefur úrskurðað í máli vegna kvörtunar yfir vinnslu persónuupplýsinga hjá Seðlabanka Íslands. Laut kvörtunin að umfangi upplýsingaöflunar, eyðingu persónuupplýsinga á grundvelli laga um meðferð sakamála, varðveislu persónuupplýsinganna og loks miðlun þeirra til héraðssaksóknara. Persónuvernd vísaði frá tveimur fyrstu þáttunum með vísan til þess að dómstólar hefðu þegar tekið afstöðu til þeirra. Þá komst Persónuvernd að þeirri niðurstöðu að varðveisla Seðlabanka Íslands á persónuupplýsingum um kvartanda samrýmist lögum nr. 90/2018 þar sem Seðlabankinn er afhendingarskyldur aðili í skilningi laga nr. 77/2014, um opinber skjalasöfn. Loks er komist að þeirri niðurstöðu að miðlun persónuupplýsinga um kvartanda til héraðssaksóknara hafi samrýmst lögum nr. 90/2018 þar sem lagaskylda hvíli á Seðlabanka Íslands til að afhenda embættinu umbeðin gögn og upplýsingar.
Úrskurður
Hinn 15. júní 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020102723:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 26. október 2020 barst Persónuvernd kvörtun frá [A] yfir vinnslu persónuupplýsinga um hann hjá Seðlabanka Íslands, héraðssaksóknara og skattrannsóknarstjóra. Nánar tiltekið laut kvörtunin að varðveislu persónuupplýsinga um kvartanda hjá Seðlabanka Íslands, miðlun þeirra til héraðssaksóknara og loks miðlun persónuupplýsinganna frá héraðssaksóknara til skattrannsóknarstjóra.
Með bréfum, dags. 15. janúar 2021, tilkynnti Persónuvernd framangreindum aðilum um kvörtunina og veitti þeim færi á að koma á framfæri athugasemdum. Hinn 21. janúar s.á. barst Persónuvernd bréf frá héraðssaksóknara sem svarað var með bréfi, dags. 9. febrúar 2021, sem innihélt nánari upplýsingar um afmörkun rannsóknar Persónuverndar.
Svar skattrannsóknarstjóra barst með bréfi, dags. 17. febrúar 2021. Þá bárust svar Seðlabanka Íslands og efnislegt svar héraðssaksóknara með bréfum, dags. 26. s.m. Afrit allra bréfanna voru send lögmanni kvartanda 10. mars 2021 og kvartanda veitt færi á að tjá sig um efni þeirra. Svar f.h. kvartanda barst með bréfi, dags. 18. mars s.á.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Afmörkun kvörtunar með tilliti til ábyrgðaraðila
Kvörtun sína yfir vinnslu persónuupplýsinga af hálfu héraðssaksóknara og skattrannsóknarstjóra byggði kvartandi á 4. mgr. 33. gr. laga nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi, um hlutdeild, en í ákvæðinu segir nánar tiltekið að tilraun til brots eða hlutdeild í brotum samkvæmt lögunum sé refsiverð eftir því sem segir í almennum hegningarlögum. Með bréfi, dags. 15. janúar 2021, tilkynnti Persónuvernd kvartanda um að ákvörðun refsinga samkvæmt 33. gr. laga nr. 75/2019 félli utan valdsviðs stofnunarinnar. Af því leiddi að stofnunin væri ekki bær til að úrskurða um hlutdeild í brotum samkvæmt 4. mgr. ákvæðisins heldur heyrðu ákvarðanir um slíkt undir dómstóla. Hins vegar félli það undir valdsvið Persónuverndar að leggja mat á hvort vinnsla persónuupplýsinga um kvartanda hjá Seðlabanka Íslands, héraðssaksóknara og skattrannsóknarstjóra hefði að öðru leyti samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og lögum nr. 75/2019, eftir því sem við ætti. Í bréfi f.h. kvartanda, dags. 18. mars 2021, er vísað í fyrrgreint bréf Persónuverndar að því er varðar valdsvið stofnunarinnar og tekið fram að kvartandi byggi kvörtun sína gagnvart héraðssaksóknara og skattrannsóknarstjóra eingöngu á reglum um hlutdeild. Sé því líklega ekki ástæða til að fjalla frekar um þátt héraðssaksóknara annars vegar og skattrannsóknarstjóra hins vegar nema Persónuvernd telji svo vera að eigin frumkvæði.
Í ljósi framangreinds lítur Persónuvernd svo á að kvartandi hafi fallið frá kvörtun sinni gagnvart héraðssaksóknara og skattrannsóknarstjóra. Verður því ekki fjallað frekar um þá hluta kvörtunarinnar í úrskurði þessum heldur einvörðungu um vinnslu persónuupplýsinga um kvartanda hjá Seðlabanka Íslands.
3.
Sjónarmið kvartanda
Í kvörtuninni er rakinn aðdragandi þeirrar vinnslu persónuupplýsinga sem kvartað er yfir. Fram kemur að Seðlabanki Íslands hafi framkvæmt húsleit [hjá fyrirtækinu X]. Húsleitin hafi tengst meðferð máls á grundvelli laga og reglna um gjaldeyrismál og hald hafi verið lagt á rafræn gögn sem hafi innihaldið persónuupplýsingar um kvartanda, meðal annars tölvupósta hans, upplýsingar um fjármál og fleira.Fram kemur að kvartandi hafi verið boðaður í skýrslutöku hjá skattrannsóknarstjóra [...] þar sem borin hafi verið undir hann gögn sem síðar hafi komið í ljós að aflað hefði verið frá héraðssaksóknara, sem aftur hefði aflað gagnanna frá Seðlabanka Íslands [...]. Hafi þar verið um að ræða gögn sem aflað hefði verið í fyrrnefndri húsleit. Kvörtuninni fylgdu afrit bréfaskipta við alla framangreinda aðila og er óumdeilt að gögnunum var miðlað með framangreindum hætti.
Kvartandi byggir á því að umrædd gagnaöflun hafi farið fram við rannsókn stjórnsýslumáls hjá Seðlabanka Íslands sem hafi lokið [...], eða í síðasta lagi þegar dómur Hæstaréttar vegna málsins féll [...]. Seðlabanka Íslands hafi borið að eyða persónuupplýsingum um kvartanda að því loknu enda hafi þær ekki lengur verið nauðsynlegar í þeim tilgangi sem legið hefði að baki öflun þeirra. Vísar kvartandi í þessu samhengi til a- og e-liða 1. mgr. 17. gr. reglugerðar (ESB) 2016/679 auk 72. gr. laga nr. 88/2008, um meðferð sakamála, þar sem kveðið er á um að aflétta skuli haldi þegar þess er ekki lengur þörf og í síðasta lagi þegar máli er endanlega lokið. Telur kvartandi hið sama eiga að gilda um afrit af haldlögðum gögnum. Þannig skuli eyða slíkum afritum þegar haldi er aflétt. Þá segir að kvartandi telji lög nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi, gilda um vinnsluna.
Kvartandi vísar einnig til 26. gr. eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og að Seðlabanka Íslands hafi samkvæmt því borið að eyða umræddum gögnum að fyrrnefndu stjórnsýslumáli loknu, [...] eða til vara eftir uppkvaðningu dóms Hæstaréttar [...] og til þrautavara við gildistöku laga nr. 75/2019 þann 1. janúar 2020. Þá telur kvartandi miðlun Seðlabanka Íslands á persónuupplýsingum um hann til héraðssaksóknara ekki hafa byggst á fullnægjandi lagaheimild. Hvorki hafi verið til staðar brýnir hagsmunir né ríkir almannahagsmunir, sbr. orðalag 2. mgr. 8. gr. laga nr. 75/2019.
Í kvörtuninni var farið fram á ýmsa upplýsinga- og gagnaöflun af hálfu Persónuverndar. Meðal annars var þess krafist að Persónuvernd kannaði úrskurð héraðsdóms [...] um húsleit hjá [X], hvaða skilyrði eða forsendur hafi verið fyrir henni og hvort þau hafi verið brotin. Jafnframt segir í kvörtun að nauðsynlegt sé að kannað verði nákvæmlega um hvaða gögn ræði.
Í bréfi f.h. kvartanda, dags. 18. mars 2021, kemur meðal annars fram að kvartandi telji óljóst af svörum Seðlabanka Íslands hvaða gögn séu enn í vörslum bankans og er þess krafist að leitað verði nákvæmra svara um það atriði. Jafnframt segir að fara verði fram nánari greining á því hvaða persónuupplýsingar um kvartanda sé að finna í gögnunum. Engin afsökun sé að gögnin séu umfangsmikil enda á ábyrgð Seðlabankans að leggja hald á og varðveita gögn í svo ríkum mæli. Þá verði ekki talin ástæða til að varðveita gögn á hörðum diskum, sem voru haldlagðir á sínum tíma, í heild sinni heldur einungis þau gögn sem gerð hafi verið að gögnum mála hjá Seðlabankanum sem varða kvartanda og [X].
Kvartandi mótmælir því að Seðlabankanum hafi borið að varðveita umrædd gögn á grundvelli laga nr. 77/2014, um opinber skjalasöfn. Í bréfi bankans segi að ekki hafi verið tekin sérstök afrit af diskunum áður en þeir hafi verið afhentir embætti héraðssaksóknara. Virðist Seðlabankinn því ekki hafa ætlað sér að afhenda Þjóðskjalasafni Íslands gögnin.
Í síðastnefndu bréfi er þess getið að kvartandi mótmæli málatilbúnaði Seðlabanka Íslands í heild sinni sem röngum og ósönnuðum. Með hliðsjón af afmörkun málsins þykir hins vegar ekki tilefni til að rekja einstök mótmæli kvartanda nánar.
4.
Sjónarmið Seðlabanka Íslands
Í bréfi Seðlabanka Íslands til Persónuverndar, dags. 26. febrúar 2021, segir að til varðveislu í Seðlabankanum séu eingöngu gögn mála sem verið hafi til meðferðar í kjölfar húsleitar hjá [X] [...], þ.e. í máli kvartanda og máli [X] vegna ætlaðra brota á lögum og reglum um gjaldeyrismál. Þau gögn sem legið hafi til grundvallar kæru Seðlabankans til lögreglu hafi verið afhent lögreglu samhliða kærunni. Þá hafi lögreglan hlutast til um að skila gögnum til [X], sbr. 72. gr. laga nr. 88/2008, um meðferð sakamála. Í því ákvæði sé hins vegar ekki kveðið á um eyðingu afrita af haldlögðum gögnum. Máli [X] hafi lokið með dómi Hæstaréttar [...]. Seðlabankanum beri að varðveita og síðar afhenda gögnin Þjóðskjalasafni með vísan til laga nr. 77/2014 um opinber skjalasöfn. Að því er varðar hvaða persónuupplýsingar um kvartanda hafi verið að finna í hinum haldlögðu gögnum segir í bréfi Seðlabankans að þar sé að finna afrit af tölvupóstum úr vinnunetföngum starfsmanna [X] auk afrita af heimasvæðum starfsmanna og sameiginlegum svæðum í tölvum valinna starfsmanna. Þar sé að finna upplýsingar um fjármál, bankareikninga, eignir, skuldir og viðskipti kvartanda. Ekki sé um að ræða viðkvæmar persónuupplýsingar í skilningi 3. tölul. 3. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Seðlabankinn viti ekki til þess að frekari persónuupplýsingar um kvartanda sé að finna á þeim þremur hörðum diskum, sem afhentir voru embætti héraðssaksóknara [...], en þær séu hluti málsgagna í þeim málum sem verið hafi til meðferðar vegna meintra brota á lögum og reglum um gjaldeyrismál.
Í bréfi Seðlabankans segir að við fyrrnefnda húsleit hafi vinnsla persónuupplýsinga, þ.m.t. afritun gagna yfir á áðurnefnda þrjá diska, byggst á 6. tölul. 1. mgr. 8. gr. þágildandi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Vinnslan hafi þannig verið metin nauðsynleg við beitingu opinbers valds sem Seðlabankanum hafi verið falið á grundvelli laga nr. 87/1992, um gjaldeyrismál. Valdbeitingin hafi enn fremur verið heimiluð af héraðsdómi. Fram að afhendingu diskanna til embættis héraðssaksóknara [...] hafi varðveisla þeirra einnig byggst á 3. tölul. 9. gr. laga nr. 90/2018 enda hafi hún að mati Seðlabankans verið nauðsynleg til að fullnægja lagaskyldu sem á bankanum hvíli. Þá liggi fyrir að Seðlabankinn sé sjálfstæð stofnun í eigu ríkisins og beri sem opinberri stofnun að afhenda Þjóðskjalasafni skjöl sín í samræmi við ákvæði laga nr. 77/2014 um opinber skjalasöfn, þ.e. þau skjöl sem ekki falli undir grisjunarheimildir sem safnið veiti sérstaklega á grundvelli 24. gr. laganna.
Í bréfinu segir að vinnslan samrýmist meginreglum laga nr. 90/2018 enda hafi hún verið í samræmi við fyrirliggjandi húsleitarúrskurði og ekki gengið lengra en þörf hafi verið á í ljósi rannsóknarhagsmuna. Gagnanna hafi verið aflað vegna rökstudds gruns um háttsemi sem talin hafi verið ganga gegn ákvæðum laga nr. 87/1992, um gjaldeyrismál, og þau hafi ekki verið nýtt í öðrum og ósamrýmanlegum tilgangi. Seðlabankinn telji varðveislu gagnanna hafa verið í samræmi við viðmið um meðalhóf auk þess sem gögnin hafi einungs verið skoðuð af örfáum starfsmönnum bankans og vistuð í læstri geymslu. Að mati Seðlabankans hefði verið úr hófi fyrir starfsmenn hans að fara í gegnum öll gögn á umræddum þremur diskum, sem innihaldi samtals 6000 GB af gögnum, og eyða gögnum sem þeir hefðu ekki talið vera not fyrir við rannsóknina.
Afhendingu umræddra gagna til embættis héraðssaksóknara byggir Seðlabankinn á því að hún hafi verið nauðsynleg til að fullnægja lagaskyldu sem hvíli á bankanum, sbr. 3. tölul. 9. gr. laga nr. 90/2018. Embætti héraðssaksóknara hafi lagt fram beiðni [...] um að því yrðu afhent rafræn gögn sem þá hafi verið í vörslu Seðlabankans, þ.e. fyrrnefndir þrír diskar. Beiðnin hafi verið lögð fram meðal annars á grundvelli 2. mgr. 20. gr. laga nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Þar segi meðal annars að í tengslum við greiningu og athuganir mála samkvæmt lögum og reglugerðum og reglum settum á grundvelli þeirra sé ýmsum aðilum, þ. á m. opinberum aðilum, skylt að láta skrifstofu fjármálagreininga lögreglu í té án tafar allar upplýsingar og gögn sem hún telji nauðsynleg, en skrifstofa fjármálagreininga lögreglu er sjálfstæð eining innan embættis héraðssaksóknara. Afhending gagnanna hafi að mati Seðlabankans verið allt í senn lögmæt, skýr og gerð í málefnalegum tilgangi enda hafi það verið mat embættis héraðssaksóknara að gögnin gætu haft sönnunargildi við yfirstandandi rannsókn á málefnum tengdum [X].
II.
Forsendur og niðurstaða
1.
Lagaumhverfi
Persónuvernd hefur tekið til skoðunar hvort sú vinnsla persónuupplýsinga Seðlabanka Íslands sem hér er til umfjöllunar gæti fallið undir lög nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi, sem tóku gildi 5. júlí 2019. Samkvæmt 1. mgr. 3. gr. laganna gilda þau um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í löggæslutilgangi. Lögin gilda einnig um vinnslu annarra opinberra aðila eða einkaaðila í sama tilgangi og vinnslu sem fram fer á grundvelli sérstakrar lagaheimildar eða vinnslusamnings við viðkomandi lögbært yfirvald. Lögbær yfirvöld eru skilgreind í 11. tölul. 2. gr. laganna og í athugasemdum með frumvarpi því er varð að lögum nr. 75/2019 segir að upptalningin sé tæmandi. Seðlabanki Íslands er ekki meðal þeirra aðila sem taldir eru upp í töluliðnum. Að því er varðar efnislegt gildissvið laganna segir meðal annars í athugasemd með 3. gr. sama frumvarps:
„Gildissvið laganna að því er varðar tilgang vinnslunnar er hins vegar opnara og getur að einhverju leyti þróast í framkvæmd en Persónuvernd hefur m.a. það hlutverk að ákvarða, að eigin frumkvæði eða samkvæmt beiðni, hvort tiltekin vinnsla fari fram í löggæslutilgangi eður ei [...]. Í niðurlagi 1. mgr. er tekið fram að lögin gilda um vinnslu annarra opinberra aðila eða einkaaðila í sama tilgangi og sem fram fer á grundvelli sérstakrar lagaheimildar eða vinnslusamnings við viðkomandi lögbært yfirvald. Er það nauðsynlegt þar sem að slíkir vinnsluaðilar geta ekki talist til lögbærra yfirvalda. Einkaaðilar sem geta fallið undir ákvæðið eru t.d. fjarskipta- og upplýsingatæknifyrirtæki sem aðstoða lögbær yfirvöld við verkefni sín í löggæslutilgangi á grundvelli vinnslusamnings.“
Þrátt fyrir að orðalag athugasemdanna bendi til víðtækara gildissviðs 3. gr. laga nr. 75/2019 en skilgreining lögbærra yfirvalda í 11. tölul. 2. gr. laganna gefur til kynna er það mat Persónuverndar að fyrrnefnda ákvæðinu sé fyrst og fremst ætla að ná til vinnsluaðila sem vinna persónuupplýsingar fyrir hönd lögbærs yfirvalds sem fellur ótvírætt undir síðarnefnda ákvæðið. Ekki verður talið að um slíkt sé að ræða í tilviki Seðlabanka Íslands eins og hér háttar til. Að mati Persónuverndar fellur sú vinnsla persónuupplýsinga sem hér er til umfjöllunar því ekki undir gildissvið laga nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi. Kemur þá til skoðunar hvort beita skuli gildandi lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, eða eldri lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Kvörtunin varðar að hluta vinnslu persónuupplýsinga sem hófst í gildistíð laga nr. 77/2000. Þau voru leyst af hólmi með lögum nr. 90/2018 sem tóku gildi hinn 15. júlí 2018 og lögfestu jafnframt persónuverndarreglugerðina, (ESB) 2016/679, eins og hún var aðlöguð og tekin upp í EES-samninginn. Þar sem kvörtun þessi beinist meðal annars að ástandi sem enn er til staðar, þ.e. varðveislu persónuupplýsinga um kvartanda, auk þess sem þær reglur laga um persónuvernd sem á reynir hafa ekki breyst efnislega, verður leyst úr málinu á grundvelli laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Þó verður einnig vísað til hlutaðeigandi ákvæða laga nr. 77/2000 í umfjöllun um upphaflega gagnaöflun til frekari skýringar.
2.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.Óumdeilt er að Seðlabanki Íslands hefur í sínum vörslum persónuupplýsingar um kvartanda sem varðveittar hafa verið og þeim miðlað með rafrænum hætti. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Telst Seðlabanki Íslands vera ábyrgðaraðili að umræddum vinnsluaðgerðum í skilningi 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.
3.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, eða ef vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins. Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Koma hér einkum til skoðunar lög nr. 87/1992, um gjaldeyrismál, lög nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, og lög nr. 77/2014, um opinber skjalasöfn. Verður hlutaðeigandi lagaákvæða getið hér að neðan eftir því sem við á.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins og a-liður reglugerðarákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul. lagaákvæðisins og b-liður reglugerðarákvæðisins); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul. lagaákvæðisins og c-liður reglugerðarákvæðisins).
3.1.
Gagnaöflun og umfang hennar
Fyrir liggur að þeirra persónuupplýsinga um kvartanda sem málið tekur til var í öndverðu aflað við húsleit Seðlabanka Íslands hjá [X]. Fór húsleitin og haldlagning gagna í tengslum við hana fram á grundvelli úrskurðar Héraðsdóms [...] þar um sem kveðinn var upp þann sama dag. Byggir Seðlabanki Íslands á því að sú vinnsla persónuupplýsinga sem fólst í öflun gagnanna hafi byggst á 6. tölul. 1. mgr. 8. gr. þágildandi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Efnislega sambærilegt ákvæði er nú að finna í 5. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þannig hafi vinnslan verið nauðsynleg við beitingu opinbers valds sem bankanum sé falið með lögum nr. 87/1992, um gjaldeyrismál. Samkvæmt 15. gr. e þeirra er Seðlabanka Íslands heimilt að krefja einstaklinga og lögaðila um allar upplýsingar og gögn sem hann telur nauðsynleg. Skiptir ekki máli í því sambandi hvort upplýsingarnar varða þann aðila sem beiðninni er beint til eða þau skipti annarra aðila við hann er hann getur veitt upplýsingar um og varða athuganir og eftirlit Seðlabankans. Lagaákvæði um þagnarskyldu takmarka ekki skyldu til þess að veita upplýsingar og aðgang að gögnum.Dómstólar hafa þegar tekið afstöðu til lögmætis þeirra rannsóknaraðgerða Seðlabanka Íslands sem fólust í húsleit og haldlagningu gagna hjá [X], sbr. dóma Hæstaréttar í málum nr. [...]. Þegar af þeirri ástæðu er ljóst að Persónuvernd er ekki bær til að fjalla efnislega um lögmæti umræddra aðgerða, enda verða úrlausnir dómstóla ekki endurskoðaðar af stjórnvöldum. Er þeim hluta kvörtunarinnar því vísað frá.
3.2.
Varðveisla persónuupplýsinga – réttur til eyðingar
Sá hluti kvörtunarinnar er varðar varðveislu persónuupplýsinga um kvartanda er tvíþættur. Lýtur kvörtunin þannig annars vegar að því að Seðlabanka Íslands hafi verið skylt að eyða gögnunum á grundvelli laga nr. 88/2008, um meðferð sakamála, og hins vegar að því að bankinn hafi varðveitt persónuupplýsingar kvartanda umfram það sem nauðsynlegt geti talist miðað við tilgang öflunar þeirra. Hvað fyrra atriðið varðar vísast til áðurnefndra niðurstaðna Hæstaréttar [...], þar sem fjallað var um lögmæti húsleitar og haldlagningar Seðlabankans [...]. Var þar meðal annars tekin afstaða til kröfu um eyðingu gagna sem aflað hafði verið á grundvelli laga nr. 88/2008. Þegar af þeirri ástæðu er þessum þætti kvörtunarinnar vísað frá.
Að því er varðar síðara atriðið byggir kvartandi á því að Seðlabanka Íslands hafi ekki verið nauðsynlegt að varðveita persónuupplýsingar um kvartanda lengur en meðan þau mál sem urðu tilefni gagnaöflunarinnar voru til meðferðar hjá bankanum. Seðlabankinn byggir á því að bankanum sé óheimilt að eyða gögnunum í ljósi afhendingarskyldu hans til Þjóðskalasafns Íslands á grundvelli laga nr. 77/2014, um opinber skjalasöfn, og sé þannig skylt að varðveita þau.
Seðlabanki Íslands telst afhendingarskyldur aðili í skilningi 3. tölul. 14. gr. laga nr. 77/2014 og ber að afhenda Þjóðskjalasafni Íslands skjöl sín, sbr. 4. mgr. sömu greinar. Þá er bankanum óheimilt að ónýta eða farga nokkru skjali í skjalasöfnum sínum samkvæmt 1. mgr. 24. gr. laganna. Að mati Persónuverndar getur varðveisla Seðlabanka Íslands á persónuupplýsingum um kvartanda því stuðst við 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Í þessu samhengi skal til hliðsjónar bent á úrskurð Persónuverndar, dags. 25. janúar 2021 í máli nr. 2020031337, þar sem komist var að þeirri niðurstöðu að varðveisla Landsnets á persónuupplýsingum um kvartanda í málinu samrýmdist lögum nr. 90/2018, enda væri Landsnet afhendingarskyldur aðili í skilningi laga nr. 77/2014.
Að því er varðar það hvort Seðlabanki Íslands hafi tekið afrit af þeim gögnum sem afhent voru embætti héraðssaksóknara með hliðsjón af fyrirætlan um að afhenda gögnin síðar Þjóðskjalasafni Íslands, sbr. bréf f.h. kvartanda, dags. 18. mars 2021, bendir Persónuvernd á að stofnunin hefur ekki með höndum eftirlit með lögum nr. 77/2014, um opinber skjalasöfn. Verður því ekki tekin afstaða til þessa atriðis hér.
Í ljósi framangreinds er það niðurstaða Persónuverndar að varðveisla Seðlabanka Íslands á persónuupplýsingum um kvartanda samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
3.3.
Miðlun persónuupplýsinga til héraðssaksóknara
Kvartandi byggir á því að miðlun Seðlabanka Íslands á persónuupplýsingum um hann til héraðssaksóknara hafi ekki byggst á fullnægjandi lagaheimild. Hvorki hafi verið til staðar brýnir hagsmunir né ríkir almannahagsmunir fyrir miðluninni. Seðlabankinn byggir á því að afhending umræddra gagna hafi verið nauðsynleg til að fullnægja lagaskyldu sem hvíli á bankanum, sbr. 3. tölul. 9. gr. laga nr. 90/2018, sbr. einnig 2. mgr. 20. gr. laga nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Í síðarnefndu greininni er kveðið á um skyldu til að láta skrifstofu fjármálagreininga lögreglu í té án tafar allar upplýsingar og gögn sem hún telji nauðsynleg í tengslum við greiningu og athuganir mála samkvæmt lögunum og reglugerðum og reglum sem settar eru á grundvelli þeirra. Ákvæðið er um margt sambærilegt ákvæði 15. gr. e laga nr. 87/1992, um gjaldeyrismál, sem fjallað er um hér að framan og felur í sér víðtæka heimild skrifstofu fjármálagreininga lögreglu, sem er sjálfstæð eining innan embættis héraðssaksóknara, til gagnaöflunar. Ákvæðið felur að sama skapi í sér skyldu, þ. á m. opinberra aðila á borð við Seðlabanka Íslands, til að verða við beiðni um gögn og upplýsingar á grundvelli þess. Fram hefur komið af hálfu Seðlabankans að embætti héraðssaksóknara hafi talið nauðsynlegt að afla gagna frá bankanum, þ.m.t. persónuupplýsinga um kvartanda, enda gætu þau haft sönnunargildi við yfirstandandi rannsókn á málefnum tengdum [X]. Að mati Persónuverndar hefur stofnunin ekki forsendur til að endurskoða mat héraðssaksóknara eða Seðlabankans að þessu leyti. Jafnframt er það mat Persónuverndar að 2. mgr. 20. gr. laga nr. 140/2018 feli í sér skyldu Seðlabanka Íslands til að verða við beiðni um afhendingu gagna til héraðssaksóknara. Getur vinnslan því stuðst við 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Ljóst er af dómaframkvæmd Hæstaréttar að eftirlitsstjórnvöldum verður almennt játað nokkuð rúmt svigrúm við mat á því hvaða gögn þau telja nauðsynleg við störf sín í þágu eftirlits. Vísast hér einkum til dóma réttarins, dags. 3. maí 2002 í málum nr. 177/2002 og 178/2002, þar sem fjallað var um húsleit Samkeppnisstofnunar vegna gruns um brot olíufélaga á samkeppnislögum með samráði sín á milli. Í ljósi atvika málsins og með vísan til síðastnefndra niðurstaðna Hæstaréttar verður að mati Persónuverndar ekki séð að vinnslan hafi verið í andstöðu við meginreglur laga nr. 90/2018 og reglugerðarinnar.
Í ljósi framangreinds og málsatvika að öðru leyti er það niðurstaða Persónuverndar að miðlun Seðlabanka Íslands á persónuupplýsingum um kvartanda til embættis héraðssaksóknara hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vísað er frá þeim hluta kvörtunar [A] er lýtur að öflun Seðlabanka Íslands á persónuupplýsingum um hann.Vísað er frá þeim hluta kvörtunar [A] er lýtur að eyðingu gagna á grundvelli laga nr. 88/2008, um meðferð sakamála
Varðveisla Seðlabanka Íslands á persónuupplýsingum um [A] samrýmist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Miðlun Seðlabanka Íslands á persónuupplýsingum um [A] til embættis héraðssaksóknara samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Persónuvernd, 15. júní 2021
Ólafur Garðarsson
starfandi formaður
Björn Geirsson Vilhelmína Haraldsdóttir
Þorvarður Kári Ólafsson