Vinnsla persónuupplýsinga af hálfu Advania Ísland ehf.

Mál nr. 2021101924

29.11.2022

 

 

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu Advania Ísland ehf. í máli nr. 2021101924:

I.
Málsmeðferð

Hinn 4. október 2021 barst Persónuvernd kvörtun frá [B] lögmanni fyrir hönd [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga um hana af hálfu Advania Ísland ehf. (hér eftir Advania) í tengslum við veitingu á þjónustu Signet, www.signet.is. Nánar tiltekið laut kvörtunin að því að upplýsingar um kennitölu og netfang kvartanda væru birtar og aðgengilegar öllum notendum og áskrifendum Signet um óákveðinn tíma.

Persónuvernd bauð Advania að tjá sig um kvörtunina með bréfi, dags. 30. ágúst 2022, og bárust svör fyrirtækisins þann 19. september s.á. Persónuvernd óskaði eftir frekari upplýsingum frá Advania með bréfi, dags. 26. s.m., og bárust svör fyrirtækisins þann 14. október s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Advania með bréfi, dags. 19. s.m., og bárust þær með tölvupósti frá lögmanni kvartanda 9. nóvember s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

___________________

Ágreiningur er um heimild Advania til þess að birta upplýsingar um kennitölu og netfang kvartanda í tengslum við veitingu á rafrænni undirritunarþjónustu Signet. Í kvörtuninni er greint frá því að kvartandi hafi notað vefgátt Signet til að undirrita skjöl sem hún hafi fengið send frá viðsemjendum sínum, sem nýti þjónustuna. Í þeim tilgangi hafi viðsemjendur kvartanda miðlað upplýsingum til Advania, m.a. um kennitölu og netfang kvartanda. Í kjölfarið hafi þessar upplýsingar orðið aðgengilegar öllum áskrifendum Signet. Þeir geti þannig flett upp nafni kvartanda og fengið upplýsingar um kennitölu hennar og netfang ásamt upplýsingum um að hún hafi verið notandi Signet.

Kvartandi telur að Advania hafi enga heimild fyrir þeirri vinnslu persónuupplýsinga sem felist í að birta kennitölu hennar og netfang fyrir öllum notendum og áskrifendum Signet. Kvartandi byggir einnig á því að vinnslan sé ekki í samræmi við meginreglur persónuverndarlaga þar sem vinnslan sé hvorki lögmæt né sanngjörn, ekki viðeigandi og langt umfram það sem nauðsynlegt sé. Þá telur kvartandi einnig að langur varðveislutími upplýsinganna sé ekki í samræmi við meginreglur persónuverndarlaga en fram komi í persónuverndarstefnu Advania að upplýsingum um kennitölu og netfang sé ekki eytt nema þess sé sérstaklega óskað.

Auk framangreinds byggir kvartandi á því að Advania hafi ekki uppfyllt fræðsluskyldu sína samkvæmt 2. mgr. 17. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. 13. og 14. gr. reglugerðar (ESB) 2016/679, og vísar hún til þess að engar upplýsingar um vinnslu persónuupplýsinga komi fram í notendaskilmálum Signet. Þá hafi ekki verið vísað til persónuverndarstefnu Signet þegar kvartandi hafi skráð sig inn í kerfið og engin tilvísun í slíka stefnu sé í notendaskilmálum þjónustunnar.

Í athugasemdum lögmanns kvartanda við svör Advania var vísað til þess að samþykki kvartanda á notkunarskilmálum gæti ekki falið í sér samþykki í skilningi persónuverndarlaganna fyrir vinnslu eða miðlun persónuupplýsinga til þriðju aðila, þ.e. annarra notenda kerfisins. Þá var einnig vísað til þess að hagsmunir Advania af því að geta birt upplýsingar um kvartanda, þ.m.t. netfang hennar sem ekki væri hægt að fletta upp í þjóðskrá, gætu ekki vegið þyngra en réttindi kvartanda til friðhelgi einkalífs.

Advania byggir á því að kvartandi hafi samþykkt þá vinnslu persónuupplýsinga um sig er kvörtunin lýtur að með því að haka við samþykki á notkunarskilmálum þjónustunnar við fyrstu innskráningu á www.signet.is. Vísað er til þess að í skilmálunum sé fjallað um birtingu netfangs og að þar komi fram að netfangið sé sýnilegt öðrum notendum þjónustunnar. Advania vísar einnig til þess að birting netfanga í Signet sé liður í því að tengja saman aðila með öruggum hætti, þ.e. til þess að tryggja að skjal sé sent á réttan viðtakanda, og að vinnslan sé þannig lögmæt og sanngjörn og í fullu samræmi við meginreglur persónuverndarlaga. Þá vísar Advania ennfremur til þess að í persónuverndarstefnu fyrirtækisins sé að finna upplýsingar um að notendur geti breytt eða eytt upplýsingum um netfang og símanúmer í Signet, en það hafi ekki áhrif á möguleika notenda til að nýta sér þjónustuna.

Varðandi notkun á kennitölu vísar Advania til þess að áskrifendur Signet hafi aðgang að þjóðskrá þegar þeir hafi auðkennt sig inn í kerfið. Upplýsingar um kennitölu séu þannig ekki vistaðar í Signet og ekki gerðar aðgengilegar áskrifendum um óákveðinn tíma. Byggt er á því að með notkun upplýsinga um kennitölu væntanlegra móttakenda skjala í gegnum Signet sé dregið úr líkum á því að skjal sé sent á rangan viðtakanda. Þannig sé gætt að hagsmunum skráðra einstaklinga og öryggi við rafrænt undirritunarferli aukið. Vinnslan sé því að mati Advania heimil á grundvelli 6. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Jafnframt eigi notkun á kennitölu sér því málefnalegan tilgang og sé nauðsynlegur þáttur í rafrænu undirritunarferli til að tryggja örugga persónugreiningu, sbr. 13. gr. laganna.

II.
Niðurstaða
1.
Lögmæti vinnslu 1.1.
Lagaumhverfi

Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda sem fólst í birtingu upplýsinga um kennitölu og netfang hennar á Signet, rafrænni undirritunarþjónustu sem rekin er af Advania. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.Advania Ísland ehf. telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði gefið samþykki sitt fyrir vinnslu þeirra í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. 9. gr. lagaákvæðisins og a-lið 1. mgr. 6. gr. reglugerðarákvæðisins, eða ef vinnslan er nauðsynleg í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. 9. gr. lagaákvæðisins og f-lið 1. mgr. 6. gr. reglugerðarákvæðisins. Eins og hér háttar til verður að mati Persónuverndar ekki séð að aðrar vinnsluheimildir samkvæmt fyrrgreindu ákvæði geti komið til greina.

Auk heimildar samkvæmt 9. gr. laga nr. 90/2018 verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laganna, sbr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins.

Notkun kennitölu er auk framangreinds háð því að hún eigi sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu, sbr. 13. gr. laga nr. 90/2018.

Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Í 2. mgr. 3. gr. laga nr. 140/2019, um skráningu einstaklinga, segir að Þjóðskrá Íslands sjái um þjóðskrá og tengdar skrár, annist rekstur og þróun gagnagrunna og upplýsingakerfa þjóðskrár og annist skráningu einstaklinga í skrána. Þá er fjallað um afhendingu upplýsinga úr þjóðskrá í 12. gr. sömu laga en samkvæmt 1. mgr. ákvæðisins er öll miðlun úr þjóðskrá leyfisskyld. Jafnframt segir að miðlun og afhending þjóðskrárupplýsinga til viðskiptavina fari fram á grundvelli samninga og skilmála sem stofnunin setji og um miðlun og notkun kennitölu og annarra persónugreinanlegra upplýsinga gildi reglur laga um persónuvernd og vinnslu persónuupplýsinga.

Samkvæmt 8. tölul. 3. gr. laga nr. 90/2018 og 11. tölul. 1. mgr. 4. gr. reglugerðar (ESB) 2016/679 telst samþykki vera óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Þegar vinnsla er byggð á samþykki skal ábyrgðaraðili geta sýnt fram á að skráður einstaklingur hafi samþykkt vinnslu persónuupplýsinga sinna samkvæmt skilyrðum 1. mgr. 10. gr. laga nr. 90/2018, sbr. 7. gr. reglugerðar (ESB) 2016/679. Ef hinn skráði veitir samþykki sitt með skriflegri yfirlýsingu, sem einnig varðar önnur málefni, skal beiðnin um samþykki sett fram á þann hátt að hún sé auðgreinanleg frá hinum málefnunum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli, sbr. 2. mgr. sama ákvæðis og 2. mgr. 7. gr. reglugerðar (ESB) 2016/679. Þegar metið er hvort samþykki sé gefið af fúsum og frjálsum vilja skal taka ýtrasta tillit til þess hvort það sé skilyrði fyrir framkvæmd samnings, þ. á m. veitingu þjónustu, að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem ekki er nauðsynleg vegna samningsins, sbr. 4. mgr. sama ákvæðis og 4. mgr. 7. gr. reglugerðar (ESB) 2016/679.

Í 42. og 43. lið formálsorða reglugerðar (ESB) 2016/679 segir enn fremur að þegar vinnsla er byggð á samþykki skráðs einstaklings ætti að vera tryggt, einkum í tengslum við skriflega yfirlýsingu um annað málefni, að hinum skráða sé kunnugt um að samþykki hafi verið veitt og að hvaða marki. Ekki ætti að telja að samþykki hafi verið veitt af fúsum og frjálsum vilja ef hinn skráði hefur ekki raunverulegt eða frjálst val eða getur ekki neitað eða dregið til baka samþykki án þess að verða fyrir tjóni. Samþykki telst þannig ekki veitt af fúsum og frjálsum vilja ef ekki er hægt að veita sérstakt samþykki fyrir aðskildum aðgerðum við vinnslu persónuupplýsinga eða ef framkvæmd samnings, m.a. veiting þjónustu, er komin undir samþykkinu þótt samþykkið sé ekki nauðsynlegt vegna framkvæmdar samningsins.

1.2.
Birting upplýsinga um netföng

Af hálfu Advania er byggt á því að kvartandi hafi samþykkt vinnslu persónuupplýsinga, sem felst í birtingu netfangs hans til annarra notenda Signet, með því að samþykkja notkunarskilmála Signet með haki við fyrstu innskráningu á www.signet.is. Að mati Persónuverndar verður ekki talið að slíkt samþykki á notkunarskilmálum þjónustu geti falið í sér samþykki fyrir vinnslu persónuupplýsinga sem uppfylli framangreind skilyrði um að vera óþvinguð, afmörkuð, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga um sig. Ljóst þykir að notkunarskilmálar Signet séu forsenda fyrir notkun þjónustunnar og samþykkið geti því ekki talist óþvingað. Þá sé samþykkið ekki sérstaklega aðgreint frá öðrum skilyrðum notkunarskilmálanna. Gat vinnslan því ekki stuðst við 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Eins og hér háttar til kemur þá einkum til skoðunar 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.

Hvað varðar birtingu netfangs kvartanda í Signet sem aðgengilegt er öllum notendum þjónustunnar hefur komið fram að Advania leit svo á að vinnsla persónuupplýsinga um kvartanda byggðist á samþykki hans. Verður því ekki talið að félagið hafi metið sérstaklega þá lögmætu hagsmuni sem félagið gætir, hvort vinnslan sé nauðsynleg í þágu þeirra hagsmuna eða hvort lögmætir hagsmunir þess af umræddri vinnslu hafi vegið þyngra en hagsmunir hins skráða.

Eins og hér háttar til verður að mati Persónuverndar ekki séð að hagsmunir Advania af því að geta birt öllum notendum Signet þjónustunnar upplýsingar um netfang kvartanda vegi þyngra en hagsmunir kvartanda af því að slík birting fari ekki fram. Ætla má að hægt sé að tryggja öryggi viðtakenda skjala í gegnum Signet með öðrum hætti, til dæmis í gegnum þjóðskrá, sbr. neðangreint, og á þann hátt að persónuupplýsingar birtist aðeins áskrifendum þjónustunnar sem þurfi að senda skjöl til einstaklinga til undirritunar. Tilgangur kennitölu er m.a. örugg persónugreining og líkt og fjallað hefur verið um hér að framan er í lögum nr. 140/2019, um skráningu einstaklinga, kveðið á um heimildir Þjóðskrár Íslands til að miðla upplýsingum úr þjóðskrá og til að heimila öðrum miðlun slíkra upplýsinga. Upplýsingar um netföng einstaklinga eru hins vegar ekki opinberar upplýsingar, heldur upplýsingar sem hver og einn velur hvort hann lætur af hendi, og gegna ekki sama hlutverki og kennitölur við örugga persónugreiningu. Með vísan til framangreinds verða hagsmunir Advania af því að birta netfang kvartanda ekki taldir vega þyngra en hagsmunir kvartanda af því að slík birting fari ekki fram. Gat sú vinnsla því ekki stuðst við heimild samkvæmt 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

1.3.
Vinnsla upplýsinga um kennitölur

Hvað varðar birtingu á kennitölu kvartanda í gegnum Signet hefur komið fram af hálfu Advania að innskráðir áskrifendur Signet hafi aðgang að þjóðskrá en Advania er á meðal miðlara þjóðskrár. Í svarbréfi Advania til Persónuverndar, dags. 14. október 2022, var tekið fram að þjónustu Signet hefði verið breytt á þann hátt að aðgengi að þjóðskrár væri nú eingöngu í boði fyrir notendur með áskrift að Signet en ekki aðra notendur þjónustunnar líkt og áður hafi verið. Í svörum Advania kom einnig fram að með því að leita eftir nafni einstaklings í kerfinu birtist þannig upplýsingar úr þjóðskrá um nafn einstaklingsins, kennitölu, heimilisfang og póstnúmer en upplýsingarnar væru hins vegar ekki vistaðar í Signet. Af hálfu Advania var einnig byggt á því að með aðgengi áskrifenda Signet að upplýsingum úr þjóðskrá um kennitölu væntanlegra móttakenda skjala í gegnum Signet væri dregið úr líkum á því að skjal yrði sent á rangan einstakling. Þannig væri gætt að hagsmunum áskrifenda og skráðra einstaklinga og öryggi við rafrænt undirritunarferli aukið.

Í 13. gr. laga nr. 90/2018 er afmarkað hvenær heimilt er að nota kennitölu og hvenær ekki. Þar kemur fram að notkunin er heimil ef hún á sér málefnalegan tilgang og er nauðsynleg til að tryggja örugga persónugreiningu. Ákvæði 13. gr. er ákvæði 9. gr. til fyllingar. Ábyrgðaraðili þarf þannig bæði að uppfylla eitthvert af heimildarákvæðum 1. mgr. 9. gr. og haga vinnslu kennitalna í samræmi við 13. gr. laganna, auk þess sem vinnslan þarf að samrýmast öllum meginreglum 1. mgr. 8. gr. laganna, sbr. 5. gr. reglugerðar (ESB) 2016/679.

Að mati Persónuverndar geta áskrifendur að Signet haft lögmæta hagsmuni af því að upplýsingar um kennitölu viðtakenda séu aðgengilegar í gegnum þjóðskrá og að vinnslan sé nauðsynleg í þágu þeirra hagsmuna, þ.e. til þess að tryggja örugga persónugreiningu viðtakenda. Ekki verður séð að sú vinnsla persónuupplýsinga sem fram fer með notkun áskrifenda Signet á þjóðskrá sé í eðli sínu til þess fallin að ógna grundvallarréttindum og frelsi kvartanda þannig að þyngra þyki vega en tilgreindir hagsmunir ábyrgðaraðila. Er það því mat Persónuverndar að umrædd vinnsla geti samrýmst 6. tölul. 9. gr. laga nr. 90/2018. Jafnframt telur Persónuvernd að aðgengi áskrifenda Signet að þjóðskrá og notkun kennitölu væntanlegra móttakenda skjala geti þjónað málefnalegum tilgangi og verið nauðsynlegur þáttur í rafrænu undirritunarferli til að tryggja örugga persónugreiningu, sbr. 13. gr. laga nr. 90/2018.

Af fyrirliggjandi málsgögnum er hins vegar ljóst að þegar vinnsla þeirra persónuupplýsinga um kvartanda sem kvörtunin lýtur að átti sér stað höfðu allir notendur Signet þjónustunnar aðgang að kennitölu kvartanda í þjóðskrá. Með hliðsjón af því í hvaða tilgangi þjónusta Signet er veitt, þ.e. að greiða fyrir rafrænni undirritun skjala, verður að mati Persónuverndar ekki séð að aðrir en áskrifendur þjónustunnar, sem þurfi að tryggja örugga persónugreiningu væntanlegra móttakenda skjala, hafi hagsmuni af því að geta flett upp kennitölum viðtakenda í þjóðskrá. Eins og hér háttar til verður því að mati Persónuverndar ekki séð að meðalhófs hafi verið gætt við vinnsluna þegar öllum notendum þjónustunnar var veittur aðgangur að þjóðskrá. Var því skilyrði 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, ekki uppfyllt eins og vinnslan var áður, en líkt og að framan greinir verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laganna, sbr. 5. gr. reglugerðarinnar.

Í 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar, er einnig gerð sú krafa að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða. Til þess að meta hvort skilyrði um gagnsæi hafi verið uppfyllt þarf eins og hér háttar til að kanna hvort fræðsluskyldu hafi verið sinnt af hálfu ábyrgðaraðila. Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á hinn skráði meðal annars rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálfum eða ekki, samkvæmt fyrirmælum 13.-14. gr. reglugerðar (ESB) 2016/679. Fræðsluskylda ábyrgðaraðila á þó ekki við ef og að því marki sem það kostar óhóflega fyrirhöfn að veita fræðsluna, sbr. b-lið 5. mgr. 14. gr. reglugerðarinnar. Í því sambandi ber m.a. að taka tillit til fjölda skráðra einstaklinga, sbr. 62. lið formála reglugerðarinnar. Með hliðsjón af þeim hagsmunum kvartanda sem vinnslan varðar og með tilliti til fjölda skráðra einstaklinga, þ.e. allra þeirra einstaklinga sem birtast í þjóðskrá, getur að mati Persónuverndar undanþáguákvæði 5. mgr. 14. gr. reglugerðarinnar átt við um þá vinnslu persónuupplýsinga af hálfu Advania að veita áskrifendum Signet aðgang að kennitölu kvartanda í þjóðskrá. Með vísan til framangreinds verður eins og hér háttar að telja umrædda vinnslu persónuupplýsinga vera sanngjarna og gagnsæja gagnvart hinum skráða.

2. Fyrirmæli

 

Fram hefur komið að þjónustu Signet hafi verið breytt á þann hátt að uppflettikerfi Þjóðskrár Íslands er nú aðeins aðgengilegt áskrifendum Signet. Með hliðsjón af framangreindum breytingum sem gerðar hafa verið telur Persónuvernd ekki tilefni til að beina fyrirmælum að Advania um úrbætur hvað birtingu á kennitölu varðar.

Með vísan til 4. og 6. tölul. 42. gr. laga nr. 90/2018, er hins vegar lagt fyrir Advania að stöðva birtingu á netföngum notenda Signet-þjónustunnar. Skal staðfesting á því að birtingin hafi verið stöðvuð berast Persónuvernd eigi síðar en 3. janúar 2022. Advania kann þó að vera heimilt að birta netföng notenda á ný verði vinnslan færð til samræmis við ákvæði laga nr. 90/2018 og reglugerðar (ESB) 2016/679. Skal félagið þá senda Persónuvernd lýsingu á því, áður en vinnslan hefst, hvernig það verður tryggt og á grundvelli hvaða heimildar í 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 vinnslan fari fram. Í því sambandi er Advania leiðbeint um að ef vinnslan á að fara fram á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. 9. gr. laga nr. 90/2018, þarf hinn skráði að vera upplýstur um þá vinnslu sem um ræðir, samþykkið þarf að vera frjálst, sérgreint frá öðrum vinnsluaðgerðum og veitt með sérstakri aðgerð.

Ú r s k u r ð a r o r ð:

Birting Advania Ísland ehf. á netfangi [A] samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um heimild til vinnslu.

Birting Advania Ísland ehf. á kennitölu [A] samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Advania Ísland ehf. skal stöðva birtingu á netföngum notenda Signet-þjónustunnar og senda staðfestingu á því að það hafi verið gert til Persónuverndar eigi síðar en 3. janúar 2023. Advania Ísland ehf. kann þó að vera heimilt að birta netföng notenda á ný verði vinnslan færð til samræmis við ákvæði laga nr. 90/2018 og reglugerðar (ESB) 2016/679. Skal félagið þá senda Persónuvernd lýsingu á því, áður en vinnslan hefst, hvernig það verður tryggt og á grundvelli hvaða heimildar í 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 vinnslan fari fram.

Persónuvernd, 29. nóvember 2022

Ólafur Garðarsson

formaður

Björn Geirsson                      Sindri M. Stephensen

Vilhelmína Haraldsdóttir             Þorvarður Kári Ólafsson