Miðlun netfangs með tölvupósti

2.9.2015

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 25. ágúst 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/590:

 

I.

Grundvöllur máls

Málavextir og bréfaskipti

 

1.

Tildrög máls

Þann 12. mars 2015 barst Persónuvernd erindi frá [A], varðandi tölvupóst [...] skrifstofu Hæstaréttar Íslands frá [...] þar sem netfang hans, [...]@gmail.com, var sýnilegt öllum viðtakendum. Með tölvupósti, mótteknum þann 30. mars 2015, staðfesti [A] (hér eftir nefndur kvartandi) að um kvörtun til Persónuverndar væri að ræða. Í kvörtuninni segir m.a.:

„Tilefnið er að undirrituðum barst fyrir nokkru síðan boðun um mætingu í dómssal, sem var send með tölvupósti, en sú mæting var í morgun [dags.] 2015. Boðunin var send með þeim hætti að dagskrá dómstólsins fyrir þessa viku var send með fjölpósti á alla sem áttu að mæta fyrir viðkomandi dómstól í vikunni þannig að hver og einn gæti ráðið af henni hvenær hann ætti að mæta. Við sendingu skeytisins var því miður ekki gætt að því að senda það sem blindafrit og voru því netföng allra viðtakenda sýnileg. Flest þeirra voru vinnunetföng lögmanna sem er óvíst hvort teljist til persónulegra upplýsinga. Hins vegar var sýnilegt meðal þeirra persónulegt einkanetfang undirritaðs, sem hafði verið tilgreint í gögnum til dómstólsins vegna samskipta við hann, en fjöldasending með þessum hætti kom þar af leiðandi allnokkuð á óvart.“

 

2.

Bréfaskipti

Með bréfi, dags. 31. mars 2015, var skrifstofu Hæstaréttar Íslands tilkynnt um kvörtunina og boðið að koma á framfæri andmælum sínum til samræmis við 13. og 14. gr. stjórnsýslulaga nr. 37/1993. Var þess einkum óskað að fram kæmi hvernig skrifstofa Hæstaréttar gætti öryggis persónuupplýsinga við útsendingu rafrænna fjöldapósta, sbr. 11. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

Í svarbréfi skrifstofustjóra Hæstaréttar, dags. 22. apríl 2015, segir meðal annars að þegar Hæstiréttur sendi lögmönnum tilkynningu um að mál sem þeir flytja fyrir réttinum sé komið á dagskrá, sé það gert með tölvupósti þar sem dagskrá fyrir næstu viku er send og geti þeir séð á hvaða netfang viðkomandi tölvupóstur var sendur. Telji Hæstiréttur slíkt fyrirkomulag ekki andstætt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga þar sem þessi netföng séu birt bæði á heimasíðum viðkomandi lögmannsstofu og á heimasíðu lögmannafélagsins. Í því tilviki sem hér um ræðir hafi kvartandi flutt mál sitt sjálfur og hafi því tilkynning um málflutning hans verið sett á sama lista og til lögmanna. Loks segir að um mistök hafi verið að ræða sem verði reynt að koma í veg fyrir að endurtaki sig í sambærilegum tilvikum.

Með bréfi, dags. 11. maí 2015, var kvartanda boðið að tjá sig um svarbréf skrifstofu Hæstaréttar. Óskaði Persónuvernd sérstaklega eftir afstöðu kvartanda til þess hvort hann teldi að enn væri uppi ágreiningur í málinu sem hann óskaði úrlausnar um eða hvort hann féllist á skýringar skrifstofustjóra Hæstaréttar.

Í svarbréfi kvartanda, dags. 26. maí 2015, segir meðal annars að með skýringum skrifstofu Hæstaréttar hafi grundvöllur kvörtunar hans verið viðurkenndur, þ.e. að með því að senda umræddan fjöldapóst hafi verið gerð mistök. Telji kvartandi að slík framkvæmd hafi ekki verið rétt, heldur farið í bága við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. þau sjónarmið sem fram komu í ákvörðunum Persónuverndar í málum nr. 2012/377 og 2012/376.

Með bréfi, dags. 29. maí 2015, óskaði Persónuvernd eftir frekari upplýsingum frá kvartanda, nánar tiltekið um hvort hann teldi að netfang hans, [...]@gmail.com, bæri með sér persónuauðkenni svo að unnt væri að telja það persónugreinanlegar upplýsingar um hann í skilningi 1. tölul. 2. gr. laga nr. 77/2000. Í svarbréfi kvartanda, dags. 4. júní 2015, segir að hann telji svo vera, þ.e. að umrætt netfang sé persónulegt einkanetfang hans sem beri með sér persónuauðkenni sem telja verði til persónugreinanlegra upplýsinga. Einnig segir í svarbréfi hans að með því að birta netfang hans á lista yfir viðtakendur tölvupósts sem varðar boðun til flutnings dómsmáls gefi pósturinn til kynna að hann hafi átt aðild að máli sem hafi verið til meðferðar fyrir dómstólnum í þeirri viku sem pósturinn varðaði, en slíkar upplýsingar geti talist vera persónuupplýsingar.

II.

Forsendur og niðurstaða

1.

Afmörkun úrlausnarefnis

Sú kvörtun sem mál þetta varðar beindist upphaflega að Hæstarétti Íslands. Í ljósi þrískiptingu ríkisvaldsins, þ.m.t. stjórnarskrárbundins sjálfstæðis dómara í störfum sínum sem leiðir til þess að þeir séu óháðir handhöfum framkvæmdar- og löggjafarvalds, sem og ákvæðis 6. gr. laga nr. 15/1998, um dómstóla telur Persónuvernd að kvörtunin beinist í raun að skrifstofu Hæstaréttar, enda séu skrifstofustjóri og starfsmenn hans hjá dómstólnum opinberir embættismenn. Fer um stöðu þeirra samkvæmt almennum reglum um slíka starfsmenn ríkisins. Beinist því neðangreind umfjöllun, sem og niðurstaða Persónuverndar, einungis að skrifstofu Hæstaréttar Íslands, sem ábyrgðaraðila umræddrar vinnslu persónuupplýsinga skv. 4. tölul. 2. gr. laga nr. 77/2000, en ekki dómurum þess.

 

2.

Gildissvið laga nr. 77/2000

Efnislegt gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þar með valdsvið Persónuverndar, nær til vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr.

Er það mat Persónuverndar að netfang kvartanda eitt og sér beri ekki með sér persónuauðkenni. Aftur á móti er með einfaldri leit á netinu unnt að nálgast upplýsingar um að netfangið tilheyri kvartanda. Af þeirri ástæðu telur Persónuvernd að netfangið [...]@gmail.com beri með sér persónugreinanlegar upplýsingar í skilningi 1. tölul. 2. gr. laga nr. 77/2000.

Sú aðgerð, að hafa netfang kvartanda sýnilegt öllum viðtakendum tölvupósts, felur því í sér vinnslu persónuupplýsinga í skilningi laganna sem fellur undir valdsvið Persónuverndar.

 

3.

Forsendur og niðurstaða

Vinnsla almennra persónuupplýsinga telst lögmæt ef hún fullnægir einhverju af skilyrðum 8. gr. laga nr. 77/2000. Í 7. tölul. 1. mgr. 8. gr. segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna ábyrgðaraðila eða þriðja aðila sem upplýsingunum er miðlað til. Í svarbréfi skrifstofustjóra Hæstaréttar segir að sá tölvupóstur sem sendur var kvartanda sé efnislega samhljóða tölvupóstum sem skrifstofan sendir vikulega til þeirra einstaklinga sem munu flytja mál fyrir dómstólnum í komandi viku. Séu tölvupóstar sem þessir því sendir til upplýsinga fyrir viðtakendur. Að mati Persónuverndar var umræddur tölvupóstur því sendur til að gæta lögmætra hagsmuna viðtakenda hans í skilningi  7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.

Aftur á móti verður einnig að líta til þess, þegar unnið er með persónuupplýsingar, að farið sé að öllum grunnkröfum 7. gr. laga nr. 77/2000,  þ. á m. að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að persónuupplýsingar skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

Einnig segir í ákvæði 1. mgr. 11. gr. sömu laga að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.

Með vísun til alls framangreinds telur Persónuvernd að það samrýmist vönduðum vinnsluháttum, sbr. 1. tölul. 7. gr. laga nr. 77/2000, og komi um leið í veg fyrir mögulega öryggisbresti skv. 1. mgr. 11. gr. sömu laga, að netföng þeirra einstaklinga sem flytja mál fyrir dómstólnum og hafa ekki verið birt opinberlega, svo sem á vefsíðum lögmannsstofa eða Lögmannafélags Íslands, séu höfð í blindafriti í slíkum tölvupóstum sem hér um ræðir. Í ljósi þess að skrifstofa Hæstaréttar hefur vísað til þess að um mistök hafi verið að ræða í þessu tilviki og að hún muni reyna að koma í veg fyrir að sambærileg tilvik endurtaki sig telur Persónuvernd að ekki sé þörf á að beina sérstökum fyrirmælum til skrifstofunnar um breytingu á fyrirkomulagi við útsendingu fjöldapósta.

 

Ú r s k u r ð a r o r ð:

Sú aðgerð, að hafa netfang [A] sýnilegt öllum viðtakendum tölvupósts frá skrifstofu Hæstaréttar Íslands þann [...], samrýmdist ekki vönduðum vinnsluháttum persónuupplýsinga, enda þótt heimilt hafi verið að senda tölvupóstinn sem slíkan til að gæta lögmætra hagsmuna viðtakenda hans.