Miðlun persónuupplýsinga til dómsmálayfirvalda erlends ríkis

Mál. nr. 2021040897

8.3.2022

 

Ákvörðun

Hinn 8. mars 2022 kvað stjórn Persónuverndar upp svohljóðandi ákvörðun í máli nr. 2021040897:

I.
Málsmeðferð

1.
Tildrög máls

Hinn 16. apríl 2021 barst Persónuvernd kvörtun [lögmannsins B] fyrir hönd [A](hér eftir kvartandi) yfir vinnslu persónuupplýsinga hans af hálfu dómsmálaráðuneytisins og héraðssaksóknara. Laut kvörtunin nánar tiltekið að því að persónuupplýsingum um kvartanda hefði verið miðlað til yfirvalda [erlends ríkis, hér eftir nefnt X] í tengslum við afgreiðslu réttarbeiðna.

 

Með bréfum, dags. 22. júlí 2021, var dómsmálaráðuneytinu og héraðssaksóknara tilkynnt um framangreinda kvörtun og boðið að tjá sig um hana. Svarað var af hálfu héraðssaksóknara með bréfi, dags. 19. ágúst s.á. Svarað var af hálfu dómsmálaráðuneytisins með bréfi, dags. 29. september s.á., að undangenginni ítrekun, dags. 7. s.m. Kvartanda var boðið að tjá sig um svör dómsmálaráðuneytisins og héraðssaksóknara með bréfi, dags. 4. nóvember s.á. Svarað var af hálfu lögmanns kvartanda með bréfi, dags. 25. s.m.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði. 

 

2.
Sjónarmið kvartanda

Af hálfu kvartanda er á því byggt að [yfirvöld í ríkinu X] hafi á grundvelli réttarbeiðna fengið afhent gögn frá Íslandi varðandi sakamálarannsókn [í ríkinu X]. Kvartandi hafi stöðu sakbornings í málinu. Meðal annars hafi gögnin innihaldið upplýsingar um kvartanda, svo sem nafn hans, tölvupóstfang, efni tölvupósta og samskipti hans við […]. Telur kvartandi ekki unnt að útiloka að um viðkvæmar persónuupplýsingar hafi verið að ræða. Vísar kvartandi í því sambandi til þess að um umfangsmikið gagnasafn hafi verið að ræða og að héraðssaksóknari hafi upplýst um að „skjót yfirferð“ gagnanna hafi ekki bent til þess að viðkvæmar persónuupplýsingar um kvartanda væri að finna í gögnunum. 

 

Telur kvartandi að héraðssaksóknari hafi brotið gegn 10. gr. laga nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi við afgreiðslu réttarbeiðninnar. Óskar kvartandi jafnframt úrlausnar Persónuverndar um það hvort dómsmálaráðuneytið, sem einnig komi að afgreiðslu réttarbeiðna, hafi farið að lögunum við afgreiðslu beiðninnar. 

Ljóst sé af athugasemdum við 3. gr. frumvarps þess sem varð að lögum nr. 75/2019 að lögin taki til vinnslu persónuupplýsinga sem fari fram í tengslum við meðferð á erlendum réttarbeiðnum. Því þurfi lögbær yfirvöld að uppfylla skilyrði 10. gr. laganna við miðlun persónuupplýsinga til ríkja utan EES við meðferð réttarbeiðna. Kvartandi telji hins vegar að miðlunin hafi hvorki fullnægt skilyrðum 1. mgr. ákvæðisins né hafi undanþágur 3. mgr. ákvæðisins átt við um umrædda miðlun. 

Kvartandi byggir enn fremur á því að þótt íslenskum stjórnvöldum kunni að vera heimilt eða skylt að aðstoða erlend yfirvöld á grundvelli alþjóðasamninga beri þeim að gæta að rétti borgara sinna til persónuverndar. Í því sambandi vísar kvartandi jafnframt til þess að ákvæði 61. gr. tilskipunar (ESB) 2016/680, sem innleitt hafi verið í íslenskan rétt með ákvæði 8. mgr. 10. gr. laga nr. 75/2019, áskilji að alþjóðasamningar, sem miðlun grundvallist á, séu í samræmi við reglur Evrópuréttar, sem sé ekki skilyrði samkvæmt lagaákvæðinu. Skýra verði lagaákvæðið með hliðsjón af ákvæði tilskipunarinnar á þá leið að alþjóðasamningar sem íslenska ríkið hafi gengist undir fyrir 6. maí 2016, og miðlun persónuupplýsinga grundvallast á, verði að uppfylla reglur Evrópuréttar, meðal annars á sviði persónuverndar. Tilgangur 8. mgr. 10. gr. laganna og 61. tilskipunarinnar sé ekki að undanskilja eldri alþjóðasamninga, sem kveði á um miðlun persónuupplýsinga, frá reglum um persónuvernd heldur sé tilgangur ákvæðanna þvert á móti sá að þeir verði uppfærðir til samræmis við gildandi löggjöf á réttarsviðinu.

Þá telur kvartandi að sú framkvæmd miðlunarinnar, þ.e. að gögnin hafi verið send framkvæmdastjóra í dómsmálaráðuneyti [X] á dulkóðuðum USB-lykli sem varinn hafi verið með sérstöku lykilorði, hafi ekki tryggt nægjanlegt upplýsingaöryggi. Þær ráðstafanir hafi ekki verið til þess fallnar að koma í veg fyrir dreifingu upplýsinganna eftir opnun gagnanna.

 

3.
Sjónarmið héraðssaksóknara

Í svari héraðssaksóknara segir að safni tölvupóstsamskipta […] hafi verið miðlað til dómsmálayfirvalda [í ríkinu X] á grundvelli fyrirliggjandi réttarbeiðna og á grundvelli ákvarðana dómsmálaráðuneytisins. Miðlað hafi verið upplýsingum um nafn kvartanda, tölvupóstfangi hans […], svo og efni tölvupósta og samskipta hans við […]. Skjót yfirferð gagnanna hafi hins vegar ekki leitt í ljós miðlun upplýsinga um kvartanda sem teljist viðkvæmar persónuupplýsingar í skilningi 6. gr. laga nr. 75/2019. Miðlunin hafi farið fram í þágu meðferðar sakamáls [í ríkinu X].

 

Miðlunin hafi verið í samræmi við lög og ákvæði alþjóðasamninga á sviði sakamálaréttarfars og refsiréttar. Í því sambandi vísar héraðssaksóknari til laga nr. 13/1984 um framsal sakamanna og aðra aðstoð í sakamálum, ákvæða laga nr. 88/2008 um meðferð sakamála, svo og samnings Sameinuðu þjóðanna gegn fjölþjóðlegri skipulagðri brotastarfsemi frá 15. nóvember 2000 og samnings Sameinuðu þjóðanna gegn spillingu frá 31. október 2003.

Dómsmálaráðuneytið hafi tekið ákvörðun um að fallast á beiðnirnar. Héraðssaksóknara hafi verið falin framkvæmd beiðnanna með ákvörðun ríkissaksóknara og héraðssaksóknari hafi því tekið ákvarðanir um fyrirkomulag vinnslu og afhendingar gagnanna til [dómsmálayfirvalda í ríkinu X]. Gögnin hafi verið send framkvæmdastjóra í dómsmálaráðuneyti [X] á dulkóðuðum USB-lykli sem varinn hafi verið með lykilorði. Ekki sé til að dreifa samningi um skiptingu ábyrgðar á þeirri vinnslu sem um ræðir heldur hafi hún grundvallast á lagafyrirmælum. Telur héraðssaksóknari að vinnslan falli undir undantekningu 8. mgr. 10 gr. laga nr. 75/2019 enda sé um að ræða miðlun í löggæslutilgangi til þriðja ríkis á grundvelli laga og alþjóðlegra skuldbindinga sem Ísland hafi undirgengist fyrir 6. maí 2016.

 

4.
Sjónarmið dómsmálaráðuneytisins

Í svari dómsmálaráðuneytisins segir að réttarbeiðni [stjórnvalda í ríkinu X] hafi byggst á samningi Sameinuðu þjóðanna gegn fjölþjóðlegri skipulagðri brotastarfsemi frá 15. nóvember 2000 og samningi Sameinuðu þjóðanna gegn spillingu frá 31. október 2003. Í samræmi við ákvæði laga nr. 13/1984, um framsal sakamanna og aðra aðstoð í sakamálum, hafi beiðnunum verið beint til dómsmálaráðuneytisins sem hafi tekið ákvörðun um að verða við þeim og framsenda þær ríkissaksóknara til frekari afgreiðslu. Ríkissaksóknari hafi síðan falið héraðssaksóknara að framkvæma þá réttaraðstoð sem óskað hafi verið eftir.

 

Umræddir samningar hafi verið undirritaðir og fullgiltir af Íslandi og [X] fyrir 6. maí 2016, sbr. 8. mgr. 10. gr. laga nr. 75/2019. Ákvæði 10. gr. laganna hafi því ekki haft áhrif á miðlunina. Í því sambandi vísar ráðuneytið jafnframt til athugasemda um 8. mgr. 10. gr. í greinargerð með frumvarpi því er varð að lögum nr. 75/2019. Markmið laganna hafi verið að hrófla ekki við þeim miðlunarheimildum sem hafi verið notast við fram að gildistöku tilskipunar (ESB) 2016/680 og það hafi sérstaklega átt við um þá samninga sem stuðli að upplýsingamiðlun á grundvelli réttaraðstoðar í sakamálum og um þá samninga sem stuðli að virku samstarfi ríkja við upprætingu brota þvert á landamæri.

II.
Forsendur og niðurstaða
Gildissvið – Ábyrgðaraðilar

Um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í löggæslutilgangi gilda lög nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi, sbr. 1. mgr. 3. gr. laganna. Annast Persónuvernd eftirlit með framkvæmd laganna, sbr. 1. mgr. 30. gr. þeirra.

 

Lögbært yfirvald er skilgreint í 11. tölul. 2. gr. laganna sem opinbert yfirvald sem ber ábyrgð á eða er falið það hlutverk að lögum að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Dómsmálaráðuneytið og héraðssaksóknari eru sérstaklega skilgreind sem lögbær yfirvöld samkvæmt þessu ákvæði.

Svo lög nr. 75/2019 gildi þarf að vera um að ræða vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild eða vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. 2. mgr. 3. gr. laganna. Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 1. tölul. 2. gr. laga nr. 75/2019. 

Þá teljast persónuupplýsingar um kynþátt eða þjóðernislegan uppruna manns, stjórnmálaskoðanir, trúarbrögð, lífsskoðun, aðild að stéttarfélagi, heilsufarsupplýsingar, kynlíf manna eða kynhneigð, erfðafræðilegar upplýsingar og lífkennaupplýsingar vera viðkvæmar persónuupplýsingar, sbr. 1. mgr. 6. gr. laga nr. 75/2019. Af hálfu héraðssaksóknara hefur komið fram að embættið hafi yfirfarið þau gögn sem mál þetta varðar, í því skyni að meta hvort um hafi verið að ræða viðkvæmar persónuupplýsingar í skilningi ákvæðisins. Sú skoðun hafi ekki leitt í ljós að slíkum upplýsingum um kvartanda hafi verið miðlað. Telur Persónuvernd ekki tilefni til að beita valdheimildum sínum, sbr. 1. mgr. 31. gr. laga nr. 75/2019, í því skyni að endurskoða það mat. Verður málið því ekki talið lúta að vinnslu viðkvæmra persónuupplýsinga um kvartanda.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 2. tölul. 2. gr. laga nr. 75/2019.

Til þess að vinnsla persónuupplýsinga falli undir gildissvið laga nr. 75/2019 er það eitt að yfirvald falli undir skilgreininguna á lögbæru yfirvaldi ekki nægjanlegt, heldur þarf sú vinnsla sem fer fram hverju sinni að vera í löggæslutilgangi. Löggæslutilgangur er skilgreindur í 8. tölul. 2. gr. laga nr. 75/2019 sem sá tilgangur að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi.

Fyrirliggjandi mál lýtur að miðlun upplýsinga um kvartanda á rafrænu formi til [dómsmálayfirvalda í ríkinu X] á grundvelli réttarbeiðni í þágu rannsóknar sakamáls þar í landi. Með hliðsjón af framangreindu er því hér um að ræða vinnslu persónuupplýsinga í löggæslutilgangi í skilningi laga nr. 75/2019, og fellur hún því innan gildissviðs laganna.

Lögbært yfirvald sem ákvarðar, eitt eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga er nefnt ábyrgðaraðili, sbr. 4. tölul. 2. gr. laga nr. 75/2019. Þá segir í 2. mgr. 18. gr. laganna að ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslunnar og aðferðir við hana teljist þeir vera sameiginlegir ábyrgðaraðilar og skuli, með samkomulagi sín á milli, ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt lögum þessum séu uppfylltar, nema og að því marki sem ábyrgð hvers þeirra um sig er ákveðin með lögum.

Í 1. mgr. 22. gr. laga nr. 13/1984 um framsal sakamanna og aðra aðstoð í sakamálum segir að til að afla sönnunargagna til notkunar í refsimáli í öðru ríki sé heimilt að ákveða samkvæmt beiðni að ákvæðum laga nr. 88/2008 um meðferð sakamála skuli beitt á samsvarandi hátt og í sambærilegum málum sem rekin eru hér á landi. Þá segir í 1. mgr. 2. gr. laga nr. 88/2008 að meðferð erinda frá erlendum dómstólum og yfirvöldum um aðgerðir hér á landi í tengslum við sakamál skuli sæta meðferð samkvæmt lögunum. Loks segir í 3. mgr. 21. gr. laga nr. 88/2008 að ríkissaksóknari geti gefið öðrum ákærendum fyrirmæli um einstök mál sem þeim sé skylt að hlíta.

Í málinu liggur fyrir að réttarbeiðnum, sem mál þetta er risið af, var beint til dómsmálaráðuneytisins, sbr. þágildandi 3. mgr. 22. gr. laga nr. 13/1984, sem féllst á beiðnirnar og sendi málið síðan ríkissaksóknara til frekari fyrirgreiðslu, sbr. 5. mgr. sömu greinar. Þá liggur jafnframt fyrir að ríkissaksóknari fól héraðssaksóknara að annast framkvæmd þeirrar réttaraðstoðar sem ákvarðanir ráðuneytisins tóku til og að héraðssaksóknari tók ákvarðanir um framkvæmdina, m.a. um fyrirkomulag miðlunarinnar.

Með hliðsjón af því lögbundna fyrirkomulagi við ákvörðun og framkvæmd þeirrar vinnslu persónuupplýsinga sem að framan var rakið telur Persónuvernd verða að leggja til grundvallar að dómsmálaráðuneytið og héraðssaksóknari teljist sameiginlegir ábyrgðaraðilar í skilningi 4. tölul. 2. gr. og 2. mgr. 18. gr. laga nr. 75/2019 að þeirri vinnslu persónuupplýsinga sem mál þetta lýtur að. Hins vegar telur Persónuvernd að ráðuneytinu og héraðssaksóknara hafi ekki borið að gera með sér samkomulag um skiptingu ábyrgðar í ljósi þess að ábyrgð þeirra á afmörkuðum þáttum vinnslunnar er nægjanlega ákveðin í tilvitnuðum ákvæðum laga nr. 13/1984 og laga nr. 88/2008. Af ákvæðum þeirra laga verður dregin sú ályktun að dómsmálaráðuneytið beri ábyrgð á þeirri ákvörðun að fallast á réttarbeiðnir [yfirvalda í ríkinu X] og miðlun persónuupplýsinga um kvartanda á grundvelli þeirrar ákvörðunar. Héraðssaksóknari beri hins vegar ábyrgð á framkvæmd vinnslunnar, þ. á m. að tryggja viðeigandi upplýsingaöryggi.

2.
Lögmæti vinnslu

Í máli þessu kemur í fyrsta lagi til skoðunar hvort sú vinnsla persónuupplýsinga sem kvörtunin lýtur að hafi samrýmst 10. gr. laga nr. 75/2019 en ljóst er af umfjöllun í kafla II.1. að dómsmálaráðuneytið bar ábyrgð á þessum þætti vinnslunnar. Í ákvæðinu er fjallað um miðlun persónuupplýsinga til alþjóðastofnana og þriðja ríkis en slík vinnsla er jafnan háð vissum skilyrðum, sbr. 1.-7. mgr. ákvæðisins. 

 

Hins vegar er til þess að líta að samkvæmt 8. mgr. 10. gr. laganna hafa skilyrði 1.-7. mgr. ákvæðisins ekki áhrif á miðlun persónuupplýsinga til þriðja ríkis eða alþjóðastofnana á grundvelli alþjóðlegra skuldbindinga sem Ísland gekkst undir fyrir 6. maí 2016. 

Með tilvitnuðu ákvæði 8. mgr. 10. gr. laga nr. 75/2019 var innleitt ákvæði 61. gr. tilskipunar (ESB) 2016/680. Í tilskipunarákvæðinu segir að alþjóðasamningar, sem tóku til miðlunar persónuupplýsinga til þriðju landa eða alþjóðastofnana, sem EES-ríki gerðu fyrir 6. maí 2016 og samrýmdust lögum Evrópusambandsins, sem giltu fyrir þann dag, skuli gilda áfram uns þeim sé breytt, þeir séu leystir af hólmi eða afturkallaðir.

Í athugasemdum um 8. mgr. 10. gr. í greinargerð með frumvarpi því er varð að lögum nr. 75/2019 segir meðal annars að í 61. gr. tilskipunar (ESB) 2016/680 sé að finna mikilvæga undantekningarreglu sem aðildarríki Evrópusambandsins hafi lagt mikla áherslu á. Hún felist í því að ákvæðum tilskipunarinnar sé ekki ætlað að hrófla við þeim miðlunarheimildum sem aðildarríki hafi notast við fram að gildistöku tilskipunarinnar og byggi á alþjóða- og milliríkjasamningum sem þau hefðu þegar gert og væru skuldbundin af. Í samræmi við það sé ákvæði í 8. mgr. þess efnis að ákvæði 10. gr. hafi ekki áhrif á miðlun íslenskra stjórnvalda á grundvelli alþjóðlegra skuldbindinga sem Ísland gekkst undir fyrir 6. maí 2016, þ.e. fyrir gildistöku tilskipunarinnar. Sé þannig tryggt að ákvæði 10. gr. raski ekki þeim ramma sem sé utan um upplýsingaskipti íslenskra stjórnvalda á grundvelli alþjóðasamninga við önnur ríki. 

Persónuvernd telur verða að draga þá ályktun af lögskýringargögnum að löggjafinn hafi, við innleiðingu 61. gr. tilskipunar (ESB) 2016/680, litið svo á að þær alþjóðlegu skuldbindingar sem Ísland hafði undirgengist fyrir 6. maí 2016 hafi verið í samræmi við gildandi EES-rétt. Áskilnaði 61. gr. tilskipunarinnar hafi þannig verið fullnægt að þessu leyti og löggjafinn hafi þar af leiðandi talið óþarft að taka skilyrðið sérstaklega upp í 8. mgr. 10. gr. laga nr. 75/2019. Í því sambandi bendir Persónuvernd jafnframt á að samkvæmt 13. gr. rammaákvörðunar ráðsins nr. 2008/977/DIM, sem í gildi var fram að gildistöku tilskipunar (ESB) 2016/680, sbr. 59. gr. tilskipunarinnar, var heimilt að miðla persónuupplýsingum til þriðja ríkis í þágu þess að koma í veg fyrir, rannsaka, greina og saksækja fyrir refsiverð brot.

Kvartandi hefur byggt á því að af 61. gr. tilskipunar (ESB) 2016/680 leiði að EES-ríkjum beri að hlutast til um að uppfæra alþjóðlegar skuldbindingar sínar til samræmis við gildandi EES-rétt, meðal annars á sviði persónuverndar. Persónuvernd telur hins vegar ljóst af orðalagi 61. gr. tilskipunar (ESB) 2016/680 að ákvæðið áskilji aðeins samræmi alþjóðlegra skuldbindinga við EES-rétt sem í gildi var á þeim degi sem tilskipunin öðlaðist gildi, þ.e. þann 6. maí 2016. Ákvæðið leggi hins vegar ekki þá skyldu á herðar aðildarríkja að uppfæra alþjóðlegar skuldbindingar til samræmis við Evrópurétt sem er í gildi eftir það tímamark. 

Af framangreindu leiðir að ákvæði 8. mgr. 10. gr. laga nr. 75/2019 verður ekki skýrt svo að dómsmálaráðuneytinu hafi borið að leggja á þetta sjálfstætt og tilvikabundið mat.

Í máli þessu liggur fyrir að réttarbeiðnir [dómsmálayfirvalda í ríkinu X] voru settar fram og afgreiddar af hálfu dómsmálaráðuneytisins á grundvelli alþjóðlegra skuldbindinga gagnvart [X] sem Ísland gekkst undir fyrir 6. maí 2016. Nánar tiltekið er annars vegar um að ræða samning Sameinuðu þjóðanna gegn fjölþjóðlegri skipulagðri brotastarfsemi frá 15. nóvember 2000, en í 18. gr. hans er mælt fyrir um gagnkvæma dómsmálaaðstoð sem aðildarríkjum ber að veita hvert öðru. Skyldan tekur meðal annars til öflunar sönnunargagna, sbr. a-lið 3. mgr. ákvæðisins. Hins vegar er um að ræða samning Sameinuðu þjóðanna gegn spillingu frá 31. október 2003. Í 46. gr. hans er mælt fyrir um gagnkvæma dómsmálaaðstoð sem aðildarríkjum ber að veita hvert öðru en skyldan tekur meðal annars til öflunar sönnunargagna, sbr. a-lið 3. mgr. ákvæðisins. Að því virtu, og með hliðsjón af framangreindu, er það niðurstaða Persónuverndar að miðlunin hafi fallið undir undanþágu 8. mgr. 10. gr. laga nr. 75/2018 og hafi að því leyti samrýmst ákvæðinu.

Reynir næst á hvort viðeigandi upplýsingaöryggi hafi verið tryggt við þá vinnslu persónuupplýsinga um kvartanda sem mál þetta varðar, þ.e. miðlun þeirra til [dómsmálayfirvalda í ríkinu X]. Í samræmi við það sem greinir í kafla II.1. bar héraðssaksóknari ábyrgð á þessum þætti vinnslunnar.

Samkvæmt 1. mgr. 4. gr. laga nr. 75/2019 skal þess gætt við vinnslu persónuupplýsinga að þær séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt. Þá segir í 1. mgr. 23. gr. laganna að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri eða misalvarlegri, fyrir réttindi og frelsi einstaklinga, einkum að því er varðar vinnslu viðkvæmra persónuupplýsinga.

Fyrir liggur að héraðssaksóknari miðlaði gögnum, sem innihéldu persónuupplýsingar um kvartanda, til framkvæmdastjóra í [dómsmálaráðuneytinu í ríkinu X] á dulkóðuðum USB-lykli sem varinn var með lykilorði. Telur Persónuvernd að með þeirri ráðstöfun hafi héraðssaksóknari tryggt með viðunandi hætti öryggi persónuupplýsinga um kvartanda. Er í því sambandi sérstaklega litið til þess að um miðlun til opinberrar stofnunnar í erlendu ríki var að ræða sem verður ekki álitin hafa falið í sér sérstaka áhættu fyrir réttindi kvartanda, og til þess að miðlunin tók ekki til viðkvæmra persónuupplýsinga um hann.

Á k v ö r ð u n a r o r ð:

Vinnsla dómsmálaráðuneytisins og héraðssaksóknara á persónuupplýsingum um kvartanda, sem fólst í miðlun þeirra til dómsmálayfirvalda [í ríkinu X] í þágu meðferðar sakamáls þar í landi, samrýmdist þeim ákvæðum laga nr. 75/2019 sem lúta að flutningi persónuupplýsinga til þriðja ríkis og upplýsingaöryggi.

Persónuvernd, 8. mars 2022

Ólafur Garðarsson

formaður

 

Björn Geirsson                             Vilhelmína Haraldsdóttir

 

Þorvarður Kári Ólafsson