Ársskýrsla Persónuverndar 2003

FORMÁLI FORSTJÓRA

Er stríðið tapað ?

Þótt ör þróun tækni sem leitt hefur til byltingar á sviði samskipta og upplýsingamiðlunar hafi á vissan hátt þjappað heiminum saman er ekki þar með sagt að sú samþjöppun hafi að sama skapi leitt til aukinnar samkenndar eða virðingar fyrir mannhelgi samborgarans.

Við hjá Persónuvernd erum oft spurð um hvort ekki hafi, með nútíma tækni, eftirlitsmyndavélum o.fl., verið þrengt svo að einkalífinu að nú sé hvergi lengur skjól – hvort baráttan fyrir friðhelgi einkalífs sé ekki tapað stríð.

Ástandi nútímans er vel lýst í ritstjórnargrein Morgunblaðsins frá 9. júlí sl. Þar segir m.a.:

„Við erum ef til vill hætt að kippa okkur upp við það hvað auðvelt er að rekja ferðir okkar, en staðan, sem nú er uppi, hefði þótt efniviður í vísindahrollvekju fyrir tuttugu árum – og reyndar koma skáldsögur á borð við 1984 eftir George Orville upp í hugann. Eftir því sem angar eftirlitsþjóðfélagsins teygjast víðar verður minna eftir af friðhelgi einkalífsins. Hér stangast á hagsmunir, sem ekki verða taldir léttvægir og því brýnt að stigið verði varlega til jarðar.“

Spurningunni um hvort baráttan fyrir friðhelgi einkalífs sé töpuð hef ég alltaf svarað neitandi. Það hefur vissulega gefið á bátinn en nú má sjá ýmis merki um meðbyr sem má e.t.v. að nokkru leyti rekja til þess að þegar of langt er gengið í eftirliti með fólki þrýtur umburðarlyndi þess og það rís gegn því.

Merki um breytt viðhorf ?

Þessi merki birtast m.a. í nýlegum dómum, bæði af innlendum og erlendum vettvangi.

Má þar nefna dóm sem Mannréttindadómstóll Evrópu kvað upp hinn 24. júní 2004 í málinu „Hannover v. Germany“. Málið snerist um birtingu fjölda mynda af Karólínu prinsessu af Mónakó í þýsku blöðunum Bunte, Neue Post og Freizeit Revue, einkum af henni og eiginmanni hennar prins Ernst-August af Hannover. Niðurstaða dómstólsins var sú að ekki hefði verið heimilt að birta myndirnar án hennar samþykkis, jafnvel þótt þær hafi verið teknar á almannafæri. Dómurinn staðfestir að allir eiga rétt á friðhelgi einkalífs, óháð því hversu þekktir þeir eru, nema um sé að ræða umfjöllun sem varðar hagsmuni almennings. Dómstóllinn taldi að engir almannahagsmunir væru tengdir því að almenningur fengi að fylgjast með því hvernig Karólína hagaði einkalífi sínu og að jafnvel þótt einhverjir almannahagsmunir kæmu við sögu yrðu þeir að víkja fyrir rétti hennar til einkalífs samkvæmt Mannréttindasáttmála Evrópu.

Þá má geta svipaðs máls heimsfrægrar fyrirsætu, Naomi Campbell, gegn breska dagblaðinu Daily Mirror vegna myndbirtinga af henni þar sem hún kom út af heimili fyrir fólk í meðferð vegna eiturlyfjaneyslu. Hún vann það mál á æðsta dómstigi í Bretlandi.

Til þessa hefur mönnum vissulega oft fatast flugið. Margir hafa talið að fjölmiðlum sé allt leyfilegt og einkalífsrétturinn verði að víkja fyrir rétti til tjáningarfrelsis. En framangreindir dómar styrkja það viðhorf sem talsmenn einkalífsréttarins hafa lengi haldið á lofti og kemur m.a. fram í hugleiðingum Þorgeirs Örlygssonar í formála að ársskýrslu Tölvunefndar fyrir árið 1996, en hann var þá formaður nefndarinnar. Þar segir m.a.:

„Það er verðugt umhugsunarefni, hvort sú stóraukna áhersla, sem stjórnarskráin leggur nú á rétt manna til þess að njóta friðhelgi um einkalíf sitt, hafi ekki þær afleiðingar í för með sér, að jafnan þegar rekast á annars vegar rétturinn til að njóta friðhelgi um einkalíf sitt og hins vegar tjáningarfrelsið þá beri í vafatilvikum að skýra lagareglurnar þannig, að það séu persónuverndin og friðhelgi einkalífs sem gangi framar tjáningarfrelsinu.“

Fleiri dómar eru mikilvægir, m.a. dómur Hæstaréttar Íslands frá því í nóvember 2003 í „gagnagrunnsmálinu“ en hann hefur fordæmisgildi um vægi einkalífsréttarins. Niðurstaða þess máls var í stuttu máli sú að vegna þeirrar stjórnarskrárverndar sem einkalífsrétturinn nýtur geti löggjafinn ekki heimilað víðtæka vinnslu mjög viðkvæmra upplýsinga um fólk án þess samþykkis nema lögfesta jafnframt með skýrum hætti hvernig að vinnslunni skuli staðið þannig að friðhelgi einkalífs þess verði ekki skert.

Orsakir aukins persónueftirlits

Það er engu að síður staðreynd að aldrei hefur eftirlit með borgurunum verið jafnmikið og nú. En hvers vegna?

Margir skýra þetta með því að heimurinn hafi breyst í kjölfar hryðjuverkanna sem framin voru í Bandaríkjunum hinn 11. september 2001. Í formála mínum í ársskýrslu fyrir árið 2001 sagði ég að margir hefðu haft á orði að heimurinn hefði breyst þann dag – en taldi að það sem hefði öllu heldur gerst væri að nú gætu menn skilið heiminn betur og gert sér betur grein fyrir aðsteðjandi ógn. Við henni yrði að bregðast en með yfirveguðum hætti og hafa hugann við að vanhugsuð viðbrögð gætu haft afdrifaríkar afleiðingar, jafnvel varanlega skerðingu á einkalífsréttinum.

Í sunnudagsbréfi Fréttablaðsins, 4. apríl 2004, var tekið undir þetta sjónarmið og sagt að þótt eftirgjöf mannréttinda í Bandaríkjunum hafi verið gerð í góðum tilgangi, þ.e. að vernda borgarana fyrir ógn af hryðjuverkum, muni þollund bandarískra borgara gagnvart eftirliti stjórnvalda bresta verði of langt gengið. Þar segir: „Enn sem komið er andstaðan gegn auknu valdi stjórnvalda ekki hávær. Þegar hún brýst fram mun það hins vegar taka bandarískt samfélag mörg ár, jafnvel áratugi að hefja mannréttindi upp til sömu virðingar og þau nutu fyrir 11. september 2001.“

Frá 11. september 2001 hafa mönnum, m.a. hér heima, birst ýmis teikn um viðleitni yfirvalda til aukins persónueftirlits. Margir rekja þau til atburðanna 11. september. Til dæmis voru á síðasta vori lögð fram frumvörp á Alþingi sem m.a. gerðu ráð fyrir heimild til handa Útlendingastofnun til að mega fara inn á einkaheimili til að kanna hvort um „gervihjónaband“ væri að ræða. Í sama frumvarpi var gert ráð fyrir skyldu útlendinga til að afhenda lífsýni til erfðaefnisrannsóknar í þeim tilgangi að kanna raunverulegan skyldleika. Í öðru frumvarpi var gert ráð fyrir því að lögregluyfirvöld mættu hefja símhlerun án fyrirliggjandi dómsúrskurðar. Fleiri dæmi má nefna, s.s. hugmyndir um viðamikla söfnun fjarskiptaupplýsinga og aukna notkun lífkenna. Af hálfu lögreglunnar í Reykjavík hefur verið varpað fram þeirri hugmynd að setja tölvukubb í hvern einasta bíl, þannig að lögreglan geti skoðað hvað „hefur gengið á“. Enda þótt umferðarslys taki þungan toll verða menn að skoða sinn gang vandlega í ljósi grundvallarmannréttinda og löggjafar um einkalífsrétt.

Því eru takmörk sett hve langt má ganga til að réttlæta aukið persónueftirlit með vísun til aðsteðjandi ógnar og ótta við glæpa- eða hryðjuverkamenn. Eftirlit leiðir ekki sjálfkrafa til öryggis. Að mínu mati hefur reynslan síður en svo sýnt að setja megi samasemmerki milli aukins eftirlits með hinum almenna borgara og þess öryggis sem hann uppsker, jafnvel þvert á móti. En þótt aukið persónueftirlit eigi að einhverju leyti rætur að rekja til framangreindra hryðjuverka kemur fleira til.

Söluaðilar bjóða stöðugt fram nýjan búnað til eftirlits með fólki. Þessi búnaður verður sífellt bæði öflugari og ódýrari og margir sjá sér hag í að nota hann, jafnvel án nokkurrar haldbærrar ástæðu, jafnvel aðeins vegna þess að hann er í boði og markaðssetningin hefur lukkast. Ýmis búnaður er nú falur á opnum markaði sem hægt er að nota til að njósna um náungann. Beisla þarf sölu slíks búnaðar. Yfirvöld þurfa vissulega að koma þar að málum en ekki síður hinn almenni borgari. Áhrifamest er virkt aðhald almennings. Hann er sterkasta aflið þegar kemur að því að veita söluaðilum aðhald í framboði slíkrar vöru.

Þá ógnar ýmis nýr tæknibúnaður ekki aðeins friðhelgi einkalífsins eins, heldur einnig grundvallarsjónarmiðum um virðingu fyrir mannlegri reisn. Ég nefni nokkur dæmi :

Í fyrsta lagi felst slík ógn í því hvernig hlutverk og eðli Netsins hefur gerbreyst frá því að það varð „almenningseign“ fyrir um 15 árum. Nú hyllir undir að mikill hluti viðskipta okkar muni eiga sér stað á Netinu. Því fylgir vissulega margþætt hagræði, en of mikið bil er orðið á milli þess sem notandinn sér gerast og hins vegar þess sem gerist í raun og veru. Í hvert sinn sem hann ferðast um víddir Netsins skilur hann eftir sig slóð. Margir vakta þessa slóð í þeim tilgangi að skilgreina notandann, smekk hans, þarfir og hátterni. Það er bæði gert til að geta boðið honum þann varning sem hann er líklegur til að kaupa og birta honum þær fréttir sem hann er líklegur til að hafa áhuga á. Sá sem t.d. er vanur að skoða tilteknar heimasíður en kaupir aldrei vissar vörur sem þar eru auglýstar hættir að fá þær auglýsingar. Með sama hætti mun sá sem aðeins er vanur að lesa vissar fréttir hætta að fá fréttir af öðrum vettvangi. Sá sem hefur t.d. aðeins lesið íþróttafréttir hættir að sjá fréttir af vettvangi stjórnmálanna. Er þetta ekki bara góð þjónusta, kann einhver að spyrja. Mitt svar er nei. Þvert á móti er þetta hættulegt því hér er sá sem heldur úti viðkomandi heimasíðu í hlutverki „Stóra bróður“ og notandinn í hlutverki „Litla bróður“. Litli bróðir nýtur forsjár Stóra bróður og hættir smátt og smátt að hugsa og velja sjálfstætt. Er þetta það sem við viljum?

Í öðru lagi felst slík ógn í nýrri kynslóð eftirlitsmyndvéla. Nýlega las ég grein í The Sunday Times þar sem fram kemur að í London sé hver maður að meðaltali myndaður í um 300 eftirlitsmyndavélum á degi hverjum. Ennþá er langstærstur hluti þeirra notaður í öryggis- og eignavörsluskyni en nú færist í vöxt sala örsmárra myndavéla til að nota með leynd. Sumar þeirra eru notaðar til að hafa eftirlit með afköstum starfsmanna á vinnustöðum, aðrar t.d. í markaðssetningarstarfsemi. Dæmi eru til um vélar sem notaðar eru í verslunum til að fylgjast með atferli viðskiptavina. Myndir úr þeim eru notaðar til að skoða hvernig viðkomandi viðskiptavinur ber sig að þegar hann velur úr því sem er á boðstólum. T.d. er skoðað hversu algengt sé að hann lesi innihaldslýsingu eða velji eftir útlitinu einu saman, s.s. mynd á umbúðum. Þá eru erlend dæmi um að vélum sé leynilega stillt upp fyrir framan mátunarklefa þannig að þegar viðskiptavinurinn stígur fram til að geta speglað sig betur eru teknar myndir af honum. Þær eru notaðar til að meta hvað virðist ráða úrslitum um vöruval viðskiptavinarins. Eru það t.d. rassvasarnir eða buxnaklaufin? Öðrum vélum er stillt upp í snyrtivörudeildum. Dæmi eru um faldar myndavélar við spegla fyrir þá sem prófa varaliti. Teknar eru myndir af því hvernig viðkomandi smyr á sig litnum, hreyfir munninn, breytir svipbrigðum – setur stút á munninn. Allt er þetta gert til að auka sölu vörunnar en slíkar aðferðir bera vott um litla virðingu fyrir einkalífsrétti og mannlegri reisn viðskiptavinarins.

Þessu tengdar eru hugmyndir markaðssetningarfrömuða um að setja svokallaðar „RFID“ örflögur í ýmiskonar söluvarning. Þetta eru flögur með tiltekna útsendingartíðni og tæknina er ekki aðeins hægt að nota til að vita hvaða varning viðkomandi einstaklingur hefur nú þegar undir höndum, heldur líka hvar hann er niðurkominn. Margir söluaðilar sjá sér mikinn hag í að nota þessa tækni og þar sem hún verður sífellt ódýrari er hætt við að hinn almenni neytandi muni eiga erfitt með að verjast henni.

Þá liggur ógn í aukinni notkun lífkenna, s.s. fingrafara, mynda af augum fólks og tölvulesanlegra andlitsauðkenna. Lífkenni eru í auknum mæli ýmist notuð í stað hefðbundinna persónuauðkenna til að bera kennsl á mann eða til að staðfesta að viðkomandi maður sé sá sem hann segist vera. Þessu getur fylgt augljóst hagræði en ávallt ber að fara að með varúð og virðingu fyrir tilfinningum fólks og ýmsum hagsmunum. Lífkenni eru óbreytanleg, andstætt því sem gildir um önnur auðkenni, s.s. nöfn og kennitölur. Menn sem t.d. hafa borið vitni í alvarlegum sakamálum geta þurft að flytja búferlum, jafnvel til annars lands, og taka þar upp ný persónuauðkenni. Með aukinni notkun lífkenna verður sífellt erfiðara að tryggja þeim öruggt skjól. Þá geta ýmis lífkenni borið með sér viðkvæmar persónuupplýsingar. T.d. getur mynd af auga manns borið með sér vissar heilsufarsupplýsingar um hann sem hann kýs ekki að afhjúpa, s.s. í hvert sinn sem hann mætir til vinnu eða í líkamsrækt. Þá skiptir máli að lífkenni tilheyra, stafa frá eða eru með vissum hætti hluti af líkama manns. Líkaminn er í hugum margra helgasta vé hvers manns og að mati þeirra kann notkun lífkenna að jafngilda inngripi í líkamann. Þá skiptir máli að aukin notkun svo auðrekjanlegra persónuauðkenna er varasöm sökum þess hve hún auðveldar alla hnýsni. Það að vera t.d. á einum stað skráður undir nafni, á öðrum stað undir kennitölu, á þeim þriðja undir sérstöku númeri, torveldar kortlagningu á lífi manns. Sé hann alltaf og allsstaðar skráður undir sama auðkenninu, t.d. mynd af sjáaldri augans, verður slíkt hins vegar leikur einn. Því er mikilvægt að nota ekki lífkenni nema brýna nauðsyn beri til.

Ný hugsun, nýjar áherslur

Angar eftirlitsþjóðfélagsins teygjast sífellt víðar. Áhrifavaldar eru margir – yfirvöld, söluaðilar og síðast en ekki síst neytendur. Hlutverk þeirra síðastnefndu er sannarlega mikið. Í umhverfi þar sem neytendur eiga val bera þeir jafnframt mikla ábyrgð. Í rétti til að njóta friðhelgi um einkalíf sitt felst ekki aðeins réttur til að fá að vera í friði heldur líka réttur manns til að hafa áhrif á meðferð persónuupplýsinga um sjálfan sig. Í löggjöfinni hefur lengi verið lögð mikil áhersla á skyldur yfirvalda og þeirra sem nota persónuupplýsingar. Það er hins vegar verðugt umhugsunarefni hvort tími sé kominn á breyttar áherslur. Meiri áherslu á forræði einstaklingsins sjálfs. Með öðrum orðum að hann fari úr vörn og í sókn, en vissulega er forsenda þess, að hann fái þá fræðslu og úrræði sem til þarf. Í því sambandi reiðir á að Persónuvernd ræki hlutverk sitt samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga. Hefur stofnunin sett sér það markmið fyrir næsta starfsár að leggja áherslu á leiðbeiningar- og fræðsluhlutverk sitt, en lögum samkvæmt ber henni að skilgreina og afmarka hvar persónuvernd er hætta búin og veita ráð um leiðir til lausnar. Einnig telst það til hennar hlutverka að fylgjast með almennri þróun á sviði persónuupplýsingaverndar á innlendum og erlendum vettvangi og hafa yfirsýn yfir og kynna helstu álitaefni sem tengjast vinnslu persónuupplýsinga.

Ekki má skilja orð mín um ábyrgð einstaklingsins svo að við hjá Persónuvernd teljum okkur geta slegið slöku við í hlutverki okkar sem varðmenn einkalífsverndar. Alls ekki. Hitt er staðreynd að virkt aðhald einstaklinga, þeirra sem sæta skráningunni, vöktuninni, vinnslunni, er sterkasta aflið. Hver einstaklingur þarf að axla ábyrgð og vera meðvitaður um vinnslu persónuupplýsinga og taka afstöðu til þess hvernig bregðast eigi við öfgum í þeim málum.

Ef til vill koma þessi viðhorf mín best fram í texta Halldórs Laxness um Sölku Völku, bæði þar sem hann lýsir henni og í þeim orðum sem hann leggur henni í munn.

Í kaflanum um spjall hennar við kaupmanninn Jóhann Bogensen, er henni m.a. lýst á þennan hátt: „…þessi únga stúlka hafði snemma verið sneydd hæfileikanum til að sjá handanvið veruleikann sem svo er kallaður, … og innan fermingar hafði hún sannfærst um að hvorki guð né menn hjálpa einstaklíngnum þegar hann á bágt; hann verður að hjálpa sér sjálfur.“

En þótt Salka Valka skilji snemma að hver er sjálfum sér næstur lærir hún líka að hver maður verður einnig að leggja sitt af mörkum. Hún segir þá m.a.: „Sá sem ekki er reiðubúinn til að berjast á móti ránglætinu í þjóðfélaginu, ég kalla hann bara ekki mann.“

8. ágúst 2004

Sigrún Jóhannesdóttir

EFNISYFIRLIT

1. Stofnunin Persónuvernd .....................

1.1. Almennt um hlutverk stofnunarinnar .....................

1.2. Um starfið á árinu 2003 .....................

1.3. Um stjórn og starfsfólk á árinu 2003 .....................

1.4. Um fjárreiður stofnunarinnar á árinu 2003 .....................

2. Afgreidd erindi á árinu 2003 .....................

2.1. Almennt yfirlit yfir afgreidd mál .....................

2.2. Einstakar afgreiðslur .....................

2.2.1. Starfsleyfi og annars konar leyfi .....................

2.2.2. Einstakar heimildir til vinnslu persónuupplýsinga í tengslum við framkvæmd vísindarannsókna á heilbrigðissviði .....................

3. Öryggisathuganir og úttektarverkefni .....................

3.1. Greinargerð um úttektarverkefni stofnunarinnar .....................

3.2. Nánar um einstök úttektarmál .....................

3.2.1. Úttekt Persónuverndar á öryggi vinnslu persónuupplýsinga á vegum Lyfja og heilsu hf. .....................

3.2.2. Úttekt Persónuverndar á öryggi vinnslu persónuupplýsinga á vegum Lyfju hf. .....................

3.2.3. Lögmæti og öryggi persónuupplýsinga hjá Lyfjastofnun .....................

3.2.4. Athugun á öryggi vinnslu persónuupplýsinga í sameiginlegu sjúkraskrárkerfi Heilbrigðisstofnunar Austurlands, þ.e. svonefndu Sögukerfi .....................

3.2.5. Öryggi vinnslu persónuupplýsinga á vegum Landspítala-háskólasjúkrahúss, n.t.t. í lífsýnasafni LSH og á Rannsóknastofu í meinafræði .....................

3.3. Greinargerð um gagnagrunn á heilbrigðissviði .....................

3.3.1. Ferli gagnagrunnsmálsins á árinu 2003 .....................

3.3.2. Dómur Hæstaréttar frá 27. nóvember 2003 í máli nr. 151/2003 .....................

4. Nánari umfjöllun um nokkur mál, einstaka úrskurði, álit og aðrar afgreiðslur.....................

4.1. Lögmæti umfjöllunar um morðmál sem birtist í DV .....................

4.2. Skoðun atvinnurekanda á tölvupósti starfsmanns .....................

4.3. Upplýsingaöflun Tryggingastofnunar ríkisins um tekjur maka vegna afgreiðslu umsóknar um ellilífeyri .....................

4.4. Lögmæti notkunar eftirlitsmyndavéla og aðgangskorta hjá Landhelgisgæslunni .....................

4.5. Starfsleyfi fyrir Lánstraust hf. .....................

4.6. Viðvera umboðsmanna framboðslista við kosningar og heimild þeirra til að miðla, út úr kjördeild, upplýsingum um það hverjir hafi þegar mætt á kjörstað og hverjir ekki .....................

4.7. Lögmæti þess að birta persónuupplýsingar um tiltekinn mann í Guðfræðingatalinu – gegn vilja hans .....................

4.8. Lögmæti miðlunar dómsmálaráðuneytisins á upplýsingum um félagsmenn í Falun Gong í þeim tilgangi að hindra komu þeirra til landsins .....................

4.9. Rafræn vöktun með notkun myndavéla á lokuðum skrifstofum í Búnaðarbankanum .....................

4.10. Rafræn vöktun á dvalarheimilinu Hrafnistu .....................

4.11. Lögmæti vöktunar hjá Mjólkursamsölunni í Reykjavík .....................

4.12. Söfnun heilsufarsupplýsinga um ættingja sjúklings til nota við erfðaráðgjöf hjá Erfðaráðgjöf krabbameinssjúkdóma .....................

4.13. Skylda Skýrr hf. til að hlíta fyrirmælum Umferðarstofu um vinnslu persónuupplýsinga úr ökutækjaskrá .....................

5. Erlent samstarf .....................

5.1. Samstarf norrænna persónuverndarstofnana .....................

5.2. Samstarf evrópskra persónuverndarstofnana .....................

5.3. Alþjóðlegt samstarf persónuverndarstofnana .....................

5.4. Samstarf á vettvangi Evrópuráðsins .....................

5.5. Annað erlent samstarf vegna ýmissa sérverkefna eða einstakra mála .....................

5.6. Nánari umfjöllun um einstaka þætti erlends samstarfs sem tilgreint er hér að framan .....................

5.6.1. Um fund forstjóra norrænna persónuverndarstofnana .....................

5.6.2. Um fund starfsmanna norrænna persónuverndarstofnana .....................

5.6.3. Um fundi starfsmanna hjá evrópskum persónuverndarstofnunum, þ.e. í ríkjum sem innleitt hafa tilskipun 95/46/EB .....................

5.6.4. Um starf vinnuhóps samkvæmt 29. gr. tilskipunar 95/46/EB .....................

5.6.5. Um starf Sameiginlegu Schengen-eftirlitsstofnunarinnar – JSA .....................

5.6.6. Um 25. alþjóðaráðstefnu forstjóra persónuverndarstofnana .....................

5.6.7. Um samstarf á vettvangi Evrópuráðsins .....................

5.6.8. Um fund vinnuhóps um persónuvernd í fjarskiptum .....................

5.6.9. Um fund er haldinn var í Brussel um aðgerðir gegn rusltölvupósti (spamming) .....................

6. Lög og reglur .....................

6.1. Lög nr. 77/2000 eins og þau voru eftir þær breytingar sem gerðar voru á þeim á árinu 2001, sbr. lög nr. 90/2001, á árinu 2002, sbr. lög nr. 81/2002, og á árinu 2003, sbr. lög nr. 46/2003 og 72/2003 .....................

6.2. Um stjórnvaldsreglur .....................

6.3. Auglýsing Persónuverndar nr. 435/2003 um flutning persónuupplýsinga til annarra landa (breytt með augl. nr. 974/2003) .....................

7. Rekstrarreikningur 2003 .....................

1. Stofnunin Persónuvernd

1.1. Almennt um hlutverk stofnunarinnar

Persónuvernd er opinber stofnun sem annast eftirlit með framkvæmd laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga (hér eftir nefnd pul.), og reglna sem settar hafa verið og settar verða samkvæmt þeim. Markmið laga þessara er að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins.

Í lögunum eru talin upp helstu verkefni Persónuverndar. Þau eru að afgreiða leyfisumsóknir, taka við tilkynningum og gefa fyrirmæli varðandi tækni, öryggi og skipulag vinnslu persónuupplýsinga. Enn fremur er Persónuvernd ætlað að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga, fylgjast með þróun á sviði persónuupplýsingaverndar, jafnt á erlendum vettvangi sem innlendum, aðstoða við gerð starfs- og siðareglna og leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar um persónuvernd og þróa kerfi fyrir slíka vinnslu.

Persónuvernd úrskurðar í ágreiningsmálum sem upp koma um vinnslu persónuupplýsinga. Hún getur fjallað um einstök mál að eigin frumkvæði eða samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um hann í samræmi við pul., reglur settar samkvæmt þeim eða einstök fyrirmæli. Persónuvernd getur tjáð sig um álitamál varðandi meðferð persónuupplýsinga og veitt umsagnir við setningu laga og reglna er þýðingu hafa fyrir einkalífsrétt manna. Ef kostnaður hlýst af eftirliti Persónuverndar með því að ábyrgðaraðili uppfylli skilyrði pul. og reglna sem settar eru samkvæmt þeim, eða ef kostnaður hlýst af úttekt á öryggi vinnslu persónuupplýsinga, getur Persónuvernd ákveðið að ábyrgðaraðili greiði þann kostnað.

Persónuvernd hefur í eftirlitsstörfum sínum án dómsúrskurðar aðgang að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt. Hún getur óskað liðveislu lögreglu ef einhver leitast við að hindra hana í eftirlitsstörfum sínum. Stofnunin getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar.

Ef fram fer vinnsla persónuupplýsinga, sem brýtur í bága við ákvæði laganna eða reglna settra samkvæmt þeim, getur Persónuvernd falið lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi aðila og innsigla starfsstöð hans þegar í stað.

Persónuvernd getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, bann við notkun þeirra, þ. á m. kennitölu, eyðingu þeirra og ráðstafanir sem tryggja lögmæti vinnslu þeirra. Hún getur ákveðið að leggja dagsektir á þann sem ekki sinnir fyrirmælum hennar.

Brot á ákvæðum pul. og reglugerða settra samkvæmt þeim varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar. Ef brot er framið í starfsemi lögaðila má gera lögaðilanum fésekt samkvæmt II. kafla A almennra hegningarlaga.

Persónuvernd hefur skrifstofu að Rauðarárstíg 10, 105 Reykjavík. Símanúmer er: 510 9600. Faxnúmer er: 510 9606. Netfang er: postur[hja]personuvernd.is.

Á heimasíðu stofnunarinnar, www.personuvernd.is, er m.a. að finna lög nr. 77/2000, upplýsingar um Persónuvernd, tilkynningareyðublað sem senda má beint af heimasíðunni, reglur sem stofnunin hefur sett, auk ýmislegs er lýtur að starfsemi hennar.

1.2. Um starfið á árinu 2003

Skýrsla þessi, sem birt er samkvæmt 7. tl. 1. mgr. 37. gr. pul., er þriðja ársskýrsla Persónuverndar frá því að hún tók til starfa hinn 1. janúar 2001.

Meðal helstu verkefna á þriðja starfsári Persónuverndar var að uppfylla eftirlitshlutverk hennar samkvæmt 2. tl. 3. mgr. 37. gr. pul. Það felst einkum í því að athuga að hvaða marki einstakir ábyrgðaraðilar vinna í samræmi við ákvæði settra laga og reglna. Mörgum slíkum úttektum var hleypt af stokkunum á árinu 2003. Kostnaður vegna aðkeyptrar sérfræðiráðgjafar í tengslum við gerð úttekta var eftir atvikum innheimtur hjá ábyrgðaraðilum, en eðli málsins samkvæmt er slíkur kostnaður mismikill þar sem hann er jafnan í réttu hlutfalli við umfang vinnslunnar og eðli þeirra upplýsinga sem unnið er með. Við gerð úttekta hefur Persónuvernd unnið í anda staðalsins ÍST BS 7799 um stjórnun upplýsingaöryggis og í samræmi við reglur nr. 299/2001 um öryggi persónuupplýsinga. Almennt má segja að vinna Persónuverndar við gerð öryggisúttekta hafi leitt í ljós að víðast hvar sé öryggi persónuupplýsinga nokkuð vel tryggt og að menn taki ábendingum vel. Það hefur verið okkur hvatning til þess að leggja aukna áherslu á leiðbeiningarhlutverk okkar, þ. á m. að veita ráð um leiðir til úrbóta við vinnubrögð og ráðstafanir að því er varðar tækni, öryggi og skipulag vinnslu persónuupplýsinga.

1.3. Um stjórn og starfsfólk á árinu 2003

Páll Hreinsson, prófessor, var formaður stjórnar Persónuverndar frá 1. janúar til 1. maí, en þá fór hann í leyfi. Valtýr Stefánsson, héraðsdómari, var varaformaður en formaður frá 1. maí til 31. desember. Auk þeirra sátu í stjórn Haraldur Briem, sóttvarnalæknir, Óskar B. Hauksson, verkfræðingur, Dagný Halldórsdóttir, verkfræðingur, og Erla S. Árnadóttir, hæstaréttarlögmaður, sem sat frá 1. maí til 31. desember sem varamaður Páls. Varamenn voru auk þess Vilhelmína Haraldsdóttir, læknir, Laufey Ása Bjarnadóttir, verkfræðingur, og Eggert Ólafsson, verkfræðingur. Stjórnin hélt 16 fundi á árinu.

Forstjóri stofnunarinnar var Sigrún Jóhannesdóttir. Aðrir fastir starfsmenn voru Erla Björgvinsdóttir, fjármála- og skrifstofustjóri, og lögfræðingarnir Margrét Steinarsdóttir, Elsa S. Þorkelsdóttir, Þórður Sveinsson, Bjarni Eiríksson, sem hætti störfum hinn 1. ágúst, og Björn Geirsson, sem hóf störf hinn 16. júlí.

1.3. Um fjárreiður stofnunarinnar á árinu 2003

Fjárveitingar í fjárlögum til Persónuverndar námu samtals 51,6 millj. kr., en engar breytingar urðu á fjárheimildum á árinu 2003. Rekstrargjöld að frádregnum sértekjum á árinu námu samtals 45,56 millj. kr. og var tekjuafgangur því liðlega 6,1 millj. kr. eða 11,8%.

Kostnaður vegna launa og launatengdra gjalda nam 34,2 millj. kr., starfstengdur kostnaður (ferðareikningar, fundir, námskeið, risna og akstur) nam 3,1 millj. kr. og kostnaður vegna aðkeyptrar sérfræðiþjónustu nam 3,3 millj. kr. Stofnunin er í leiguhúsnæði í eigu Fasteigna ríkissjóðs og nam kostnaður vegna þess 2,4 millj. kr.

Gjöld Persónuverndar umfram sértekjur lækkuðu um 2,7 millj. kr. milli áranna 2002 og 2003. Tekjur lækkuðu á sérfræðiþjónustu vegna gagnagrunns á heilbrigðissviði. Laun og launatengd gjöld lækkuðu um 600 þús. kr. milli áranna 2002 og 2003.

2. Afgreidd erindi á árinu 2003

2.1. Almennt yfirlit yfir afgreidd mál

Á árinu 2003 tók stofnunin alls 627 ný erindi til meðferðar. Auk þess tók hún við 678 tilkynningum. Óafgreidd erindi, sem stofnunin tók við frá fyrra ári, voru 108. Alls hafði hún því til meðferðar 735 mál á árinu og afgreiddi þar af 667 mál.

Eftirfarandi tafla sýnir tegundir mála:

Tegundir mála	Fjöldi
Frumkvæðismál	24
Fyrirspurnir/umsagnir/álit	246
Kvartanir/kærur/úrskurðir	58
Kynningar/ námskeið/fyrirlestrar	17
Mál vegna leyfisumsókna	90
Mál vegna tilkynninga	75
Smíði stjórnvaldsreglna	1
Úttektarverkefni	8
Erlent samstarf Tilkynningar	88 678
Annað	20

2.2. Einstakar afgreiðslur

2.2.1. Starfsleyfi og annars konar leyfi

2002/327 – Landspítali-háskólasjúkrahús fékk leyfi til að skrá í sérstakan gagnagrunn upplýsingar um viðsjárverða einstaklinga í þeim tilgangi að geta komið í veg fyrir að þeir fremji ofbeldisverk á slysa- og bráðadeild.

2002/593 – Lánstraust hf. fékk starfsleyfi til að annast söfnun og skráningu upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, og 4. tl. 1. mgr. 7. gr. reglna Persónuverndar nr. 90/2001, um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga.

2003/34 – Lánstraust hf. fékk breytt starfsleyfi til að annast söfnun og skráningu upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, sbr. 2. gr. reglugerðar nr. 246/2001 og 4. tl. 1. mgr. 7. gr. reglna Persónuverndar nr. 90/2001.

2003/43 – Lánstraust hf. fékk starfsleyfi til að annast söfnun og skráningu upplýsinga, sem varða fjárhagsmálefni og lánstraust lögaðila, í því skyni að miðla þeim til annarra, sbr. 2. gr. reglugerðar nr. 246/2001.

2.2.2. Einstakar heimildir til vinnslu persónuupplýsinga í tengslum við framkvæmd vísindarannsókna á heilbrigðissviði

Í 37. gr. pul. eru talin upp helstu verkefni Persónuverndar, en eitt af þeim er að afgreiða leyfisumsóknir.

Öll vinnsla persónuupplýsinga verður nú að styðjast við einhverjar þeirra heimilda sem taldar eru upp í pul., sbr. 8. og eftir atvikum 9. gr. Meðal þessara heimilda má nefna að hinn skráði hafi sjálfur samþykkt vinnsluna eða að sérstök lagaheimild sé fyrir vinnslunni. Ekki er gert ráð fyrir að Persónuvernd meti vinnslu í hverju, einstöku tilviki til þess að skera úr um hvort heimildir séu fyrir henni. Slíkt mat liggur alla jafna hjá ábyrgðarmönnum upplýsinganna, þ.e. þeim sem búa yfir viðkomandi upplýsingum, en rísi ágreiningur milli aðila um vinnsluna verður sá ágreiningur borinn undir Persónuvernd. Teljist heimildir vera fyrir vinnslunni og samþykki ábyrgðaraðili upplýsinganna vinnsluna skal Persónuvernd send tilkynning um vinnsluna. Hér er ekki um að ræða umsókn um leyfi Persónuverndar heldur einungis tilkynningu um að vinnslan muni fara fram. Tilkynningin er send rafrænt beint af heimasíðu Persónuverndar, www.personuvernd.is (smellið á „Tilkynningar“), og vistast sjálfkrafa í opinberri skrá á vefsíðunni sem almenningur getur skoðað og leitað í.

Feli vinnsla í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi manna getur Persónuvernd ákveðið að hún skuli vera leyfisskyld, sbr. 33. gr. pul. Það hefur hún gert með setningu reglna nr. 170/2001. Í 7. gr. þeirra eru tæmandi taldar þær tegundir vinnslu sem eru leyfisskyldar samkvæmt ákvæðinu. Þá getur vinnsla verið háð leyfi sé mælt fyrir um það í öðrum lögum, sbr. til dæmis ákvæði í lífsýnalögum nr. 110/2000 og lögum um réttindi sjúklinga nr. 74/1997.

Umsókn um leyfi Persónuverndar þarf að vera ítarlega rökstudd. Í henni skal m.a. tilgreina sérstaklega á grundvelli hvaða reglu um leyfisskyldu hún byggi og hvernig öryggi persónuupplýsinganna verði tryggt. Þá skal rökstyðja sérstaklega hvers vegna nauðsynlegt sé að vinna með upplýsingarnar á persónugreinanlegu formi. Í því sambandi skal bent á að afhending og móttaka upplýsinga telst til vinnslu þeirra. Umsókn skal skilað á þar til gerðu umsóknareyðublaði sem finna má á vefsíðu stofnunarinnar, www.personuvernd.is .

Persónuvernd hefur sett sér sérstakar verklagsreglur, nr. 340/2003, um afgreiðslu umsókna um aðgang að sjúkraskrám vegna aftursýnna vísindarannsókna. Meginreglan er sú að þegar unnið er með persónuupplýsingar við vísindarannsóknir á heilbrigðissviði skal vinnsla upplýsinganna byggjast á samþykki þátttakenda í rannsókninni. Þessar verklagsreglur gilda um nokkrar undantekningar frá framangreindri meginreglu sem byggjast á 3. mgr. 15. gr. laga nr. 74/1997 um réttindi sjúklinga. Þær gilda einvörðungu um umsóknir lækna, annarra heilbrigðisstarfsmanna og háskólanema á sviði heilbrigðisfræða um leyfi til aðgangs að sjúkraskrám vegna aftursýnna vísindarannsókna og um afgreiðslu Persónuverndar á þeim umsóknum, en með aftursýnni vísindarannsókn er hér átt við rannsókn þar sem ekki er gert ráð fyrir virkri þátttöku sjúklings, s.s. með því að hann gefi upplýsingar eða láti lífsýni í té, heldur aðeins vinnslu upplýsinga úr fyrirliggjandi skrám og sjúkraskrám sem færðar hafa verið í samræmi við fyrirmæli 14. gr. laga nr. 74/1997 um réttindi sjúklinga. Þessar verklagsreglur gilda ekki um aðgang að lífsýnum í þágu vísindarannsókna á heilbrigðissviði. Þær eru birtar í heild í kafla 6.2.

Persónuvernd veitti eftirfarandi leyfi til vinnslu persónuupplýsinga í vísindarannsóknum á heilbrigðissviði á árinu 2003:

2003/501 – Ari Jóhannesson, læknir, María Heimisdóttir, læknir, og Þórhildur Sch. Thorsteinsson, lyfjafræðinemi, fengu leyfi vegna rannsóknarinnar „Tíðni lyfjasamsetninga er geta valdið milliverkunum meðal sjúklinga er leggjast inn á LSH“.

2003/197 – Arnar Hauksson, yfirlæknir, og prófessorarnir Peter Holbrook, Ph.D., og Þórarinn Sigurðsson, dr. odont., fengu leyfi vegna „Rannsóknar á því hvort tannholdsbólga kemur af stað fæðingu fyrir tímann eða dregur úr vexti ófæddra barna.“

2002/578 – AstraZeneca R&D Alderly Park, Helga Harðardóttir, rannsóknarfulltrúi, og Magnús Böðvarsson, nýrnalæknir, fengu leyfi vegna rannsóknar á áhrifum lyfsins rosuvastatín á lífslíkur sjúklinga með endastigs nýrnabilun.

2002/391 – AstraZeneca R&D Lund, c/o PharmaNor, og Kjartan Örvar, meltingarlæknir á St. Jósefsspítala, Hafnarfirði, fengu leyfi vegna rannsóknar í því skyni að finna „áhrifaríka aðferð til að meta hvort verkur eða sviðatilfinning ofarlega í kvið dyspepsía sé tilkomin vegna sýrumyndunar í maga.“

2002/523 – Atli Dagbjartsson, yfirlæknir, og Þórður Þórkelsson, læknir, fengu leyfi vegna rannsóknar á gulu hjá nýburum.

2003/594 – Árni Árnason, lektor, Jónína Waagfjörð, lektor, Sigrún Knútsdóttir, yfirsjúkraþjálfari, og sjúkraþjálfunarnemarnir Edda Blöndal og Guðrún Sara Jónsdóttir fengu leyfi vegna rannsóknarinnar „Áhrif göngumylluþjálfunar í upphengi á göngu hjá „incomplete“ mænusköðuðum einstaklingum – einliðasnið single subject design.“

2003/63 – Árni V. Þórsson, læknir, Einar Þór Hafberg, læknanemi, Ísleifur Ólafsson, yfirlæknir, og Sigurður Þ. Guðmundsson, læknir, fengu leyfi vegna rannsóknar á nýgengi, einkennum og faraldsfræði sjúkdómsins CAH.

2003/153 – Ársæll Kristjánsson, Ásgeir Theodórsson, Bjarni Agnarsson, Bjarni Þjóðleifsson, Brynjar Viðarsson, Eiríkur Jónsson, Guðmundur I. Eyjólfsson, Hafsteinn Sæmundsson, Hjörtur Gíslason, Hlíf Steingrímsdóttir, Höskuldur Kristvinsson, Jens Kjartansson, Jónas Magnússon, Karl Ólafsson, Margrét Oddsdóttir, Ólafur Gísli Jónsson, Páll Helgi Möller, Sigurður Böðvarsson og Sigrún Reykdal, læknar; Urður, Verðandi, Skuld ehf.; og Valur Þór Marteinsson og Þorvaldur Jónsson, læknar, fengu leyfi vegna rannsóknarinnar „Leit að meingenum – ÍKV [Íslenska krabbameinsverkefnið] áfangi IV“.

2003/519 – Bertrand Lauth, sérfræðingur, fékk leyfi vegna rannsóknar sem bar yfirskriftina „Innlagnir á unglingageðdeild BUGL, LSH“.

2002/440 – Björn Magnússon, læknir, fékk leyfi vegna rannsóknar á áhrifum þverfaglegs eftirlits á stjórnun sykursýki af tegund 2, fylgikvilla, þol, andlega líðan sjúklinga og svefnháðar öndunartruflanir.

2003/238 – Bolli Bjarnason, aðjúnkt, fékk leyfi vegna verkefnis sem fólst í því að finna aðferð til mats á ofnæmi og til greiningar ofnæmisvaka.

2003/209 – Bolli Bjarnason, aðjúnkt, fékk leyfi vegna verkefnis sem fólst í því að finna leið til að bæta aðferðafræði húðofnæmisprófa.

2002/602 – Davíð Gíslason, sérfræðingur, Unnur Steina Björnsdóttir, sérfræðingur, og Óskar Einarsson, sérfræðingur, fengu leyfi vegna rannsóknar á möguleikanum á því að nota RNA einangrað úr blóði og afurðir þess til að finna lífmörk sem einkenna astma og sjúkdómsstig hans eins og þau hafa verið skilgreind í leiðbeiningum Bandarísku heilbrigðisstofnunarinnar frá 1997.

2003/272 – Davíð Ottó Arnar, hjartalæknir, fékk leyfi vegna rannsóknarinnar „Árangur af notkun Íbútilíðs við gáttatifi á bráðamóttöku“.

2003/591 – Einar Már Valdimarsson, læknir, fékk leyfi vegna rannsóknarinnar „Flysjun dissection í hálsslagæðum. Einkenni, skammtíma- og langtímaáhrif.“

2003/497 – Elín J.G. Hafsteinsdóttir, sviðsstjóri hjúkrunar á skurðlæknasviði LSH, fékk leyfi vegna rannsóknar sem bar yfirskriftina „Breyting á heilsutengdum lífsgæðum við liðskiptaaðgerð.“

2003/567 – Emil L. Sigurðsson, yfirlæknir, fékk leyfi vegna rannsóknarinnar „Meðferð og eftirlit sjúklinga með háþrýsting í heilsugæslu“.

2003/319 – Félagsþjónustan í Reykjavík og Freydís Jóna Kristjánsdóttir, lektor í félagsráðgjöf við Háskóla Íslands, fengu leyfi vegna rannsóknarinnar „Unglingar út úr vanda: Staða unglinga eftir langtímameðferð.“

2003/579 – Geir Tryggvason, læknir, Jón Gunnlaugur Jónasson, læknir, og Magnús Karl Magnússon, læknir, fengu leyfi vegna rannsóknarinnar „Sameindaerfðafræðileg könnun á angiomyolipoma æxlum; Leit að stökkbreytingum í völdum týrósín kínasa genum“.

2003/516 – Guðlaug Þorsteinsdóttir, geðlæknir, fékk leyfi vegna rannsóknar á nýgengi átraskana.

2003/10 – Guðjón Haraldsson, þvagfæraskurðlæknir, Ingunn Þorsteinsdóttir, læknir, Íslensk erfðagreining ehf., Ólafur Skúli Indriðason, lyflæknir, Ólafur Kjartansson, læknir, Runólfur Pálsson, lyflæknir, og Viðar Eðvarðsson, barnalæknir, fengu leyfi vegna rannsóknarinnar „Erfðir nýrnasteina: Erfðafaraldsfræðileg rannsókn og meingenaleit“.

2003/134 – Guðmundur Geirsson, þvagfæraskurðlæknir, og María Sveinsdóttir, rannsóknarfulltrúi, fyrir hönd Pfizer, Global Research and Development, fengu leyfi vegna rannsóknar á áreiðanleika og gagnsemi notkunar ísvatns við meðferð á taugatengdri ofvirkni í þvagblöðru.

2003/46 – Guðmundur Geirsson, þvagfæraskurðlæknir, María Sveinsdóttir, rannsóknarfulltrúi, og Pfizer á Íslandi fengu leyfi vegna rannsóknar á því hversu næmt svonefnt ísvatnspróf, sem notað er „til að greina á milli taugatengdrar blöðruofvirkni, efri eða neðri gerð“, en sem síðari rannsóknir hafi sýnt að geti reynst „gagnlegt til að greina blöðruofvirkni af svokallaðri C-fiber-taugagerð“, sé „við breytingum þegar búið er að deyfa C-taugafrumur með Lidocain-innhellingu í blöðru“.

2003/66 – Guðrún J. Guðmundsdóttir, augnlæknir, fékk leyfi vegna rannsóknar á tíðni gláku á Vesturlandi.

2003/36 – Helga M. Ögmundsdóttir, yfirlæknir, fékk leyfi vegna rannsóknar á tengslum hormónaþéttni í sermi mæðra á meðgöngu við áhættu sona á að fá krabbamein í eistu.

2003/308 – Helga M. Ögmundsdóttir, yfirlæknir, fékk leyfi vegna rannsóknarinnar „Hlutdeild MMTV retróveiru í tilurð brjóstakrabbameins – forrannsókn“.

2003/120 – Helga M. Ögmundsdóttir, yfirlæknir, fékk leyfi vegna rannsóknarinnar „Helicobacter og áhætta á briskrabbameini.“

2003/2002 – Helga M. Ögmundsdóttir, yfirlæknir, fékk leyfi vegna rannsóknarinnar „Áhættuþættir fyrir krabbameini í vélinda.“

2003/557 – Helga M. Ögmundsdóttir, yfirlæknir, og Laufey Tryggvadóttir, framkvæmdastjóri Krabbameinsskráar hjá Krabbameinsfélaginu, fengu leyfi vegna samnorrænnar rannsóknar sem bar yfirskriftina „Nýgengi krabbameina meðal þeirra sem tekið höfðu þátt í hóprannsóknum Hjartaverndar og kvenna sem til voru meðgöngusýni úr hjá RH í veirufræði“.

2003/273 – Helgi Jónsson, sérfræðingur, Kristján Steinsson, yfirlæknir, og Merck, Sharp & Dohme fengu leyfi vegna verkefnis sem kallað var „Tvíblind, slembiröðuð, samhliða rannsókn með samanburði við virkt lyf til að meta öryggi Etoricoxib hjá sjúklingum með slitgigt eða liðagigt.“

2003/413 – Helgi Sigurðsson, dósent, Íslensk erfðagreining ehf. og Óskar Jóhannsson, sérfræðingur, fengu leyfi vegna rannsóknar sem bar yfirskriftina „Rannsókn á erfðum krabbameina“.

2002/569 – Hermann Óskarsson, dósent, fékk leyfi vegna rannsóknar er bar heitið „Er þörf á heimahjúkrun á Akureyri“.

2003/147 – Hjartavernd fékk leyfi vegna rannsóknar á tengslum óeðlilegrar erfðaefnisgreypingar á ákveðnum efnaskiptagenum við fæðingarþyngd og tilkomu sykursýki á fullorðinsárum.

2003/237 – Hjálmar Þorsteinsson, læknir, og Þorvaldur Ingvarsson, sérfræðingur, fengu leyfi vegna rannsóknar á sjúkdómi er nefnist Osteochondritis Dissecans, þ.e. liðsjúkdómi sem veldur liðskemmd, og mögulegum tengslum hans við slitgigt.

2003/380 – Hjörtur Gíslason, læknir, Jón Gunnlaugur Jónasson, læknir, og Magnús Karl Magnússon, læknir, fengu leyfi til vinnslu persónuupplýsinga vegna rannsóknarinnar „Faraldsfræði, meinafræði og sameindaerfðafræði GIST æxla á Íslandi“.

2003/525 – Hjörtur Friðrik Hjartarson, læknir, og Þorvaldur Ingvarsson, bæklunarlæknir, fengu leyfi vegna rannsóknarinnar „Algengi slitgigtar í hnjám hjá slökkviliðsmönnum“.

2003/504 – Hrafn Tulinius, prófessor, Jón Hrafnkelsson, læknir, og Vilhjálmur Rafnsson, prófessor, fengu leyfi vegna rannsóknarinnar „Nýgengi krabbameina flugliða“.

2003/293 – Högni Óskarsson, geðlæknir, Íslensk erfðagreining ehf., Valgerður Rúnarsdóttir, sérfræðingur hjá SÁÁ, og Þórarinn Tyrfingsson, yfirlæknir hjá SÁÁ, fengu leyfi vegna rannsóknar á fjölskyldulægni áfengissýki og annarra fíknisjúkdóma.

2003/162 – Ilka Nussbaum, læknir, og Þorvaldur Ingvarsson, læknir, fengu leyfi vegna rannsóknarinnar „Faraldsfræði liðþófarofs á upptökusvæði Fjórðungssjúkrahússins á Akureyri FSA 1950–1997.“

2003/163 – Ilka Nussbaum, læknir, og Þorvaldur Ingvarsson, læknir, fengu leyfi vegna rannsóknar á upplifun og afdrifum sjúklinga er hlutu lærleggshálsbrot á tímabilinu 1950–2002, sérstaklega m.t.t. þess hvort dánartíðni sé samsvarandi hér á landi og erlendis.

2002/496 – Íslensk erfðagreining ehf., Kristleifur Kristjánsson, framkvæmdastjóri heilbrigðissviðs félagsins, Jóhanna Einarsdóttir, talmeinafræðingur, og Talþjálfun Reykjavíkur fengu leyfi til samkeyrslu Íslendingabókar við gögn um einstaklinga sem verið hafa til meðferðar hjá Jóhönnu Einarsdóttur vegna stams, auk einstaklinga sem skráðir eru hjá Málbjörgu, félagi um stam, sem samþykkt hafa þátttöku í rannsókn á ættlægni stams.

2003/492 – Íslensk erfðagreining ehf. og Þórarinn Gíslason, yfirlæknir, fengu leyfi vegna rannsóknarinnar „Arfgengi og erfðaþættir kæfisvefns“.

2002/433 – Janssen-Cilag/Thorarensen Lyf fékk leyfi vegna rannsóknar á lyfinu Prepulsid sem tekið er við ýmsum meltingarsjúkdómum.

2003/131 – Jóhann Ágúst Sigurðsson, prófessor, og Vilhjálmur Ari Arason, læknir, fengu leyfi vegna rannsóknarinnar „Faraldsfræði penicillín ónæmra pneumókokka Streptococcus pneumoniae á Íslandi 1992–2003 og breytingar á sýklalyfjanotkun barna. – Framhaldsrannsókn frá árunum 1992–1993 og 1997–1998.“

2003/572 – Jón Hjaltalín Ólafsson, dr.med., og Kristleifur Kristjánsson, framkvæmdastjóri heilbrigðissviðs Íslenskrar erfðagreiningar ehf., fengu leyfi vegna viðbótar við rannsókn á faraldsfræði og erfðum sortuæxla og „dysplastic nevus syndrome“.

2003/185 – Jónas Franklín, læknir, og Þorvaldur Ingvarsson, læknir, fengu leyfi vegna rannsóknar á árangri Exeter gerviliðsaðgerða sem gerðar voru á Fjórðungssjúkrahúsinu á Akureyri á árunum 1982–2002.

2002/505 – Krabbameinsfélag Íslands, Kristján Sigurðsson, yfirlæknir, Þórunn Rafnar, forstöðumaður Krabbameinsrannsókna hjá Urði, Verðandi, Skuld ehf., Kristrún Benediktsdóttir, meinafræðingur, og RH í meinafræði fengu leyfi vegna rannsóknar á tíðni undirflokka HPV í forstigsbreytingum í leghálsi, en um var að ræða samstarfsverkefni Krabbameinsfélags Íslands og RH í meinafræði. Hafði tölvunefnd veitt leyfi vegna rannsóknarinnar hinn 1. júní 1999. Nú var hins vegar bæði sótt um leyfi til framlengingar rannsóknartíma og um að mega gera viðbót við rannsóknina. Viðbótin felst í því að „sannreyna hvort áhætta á endurkomnum sjúkdómi eftir keiluskurð orsakist af viðvarandi HPV sýkingu“.

2003/385 – Páll E. Ingvarsson, læknir, fékk leyfi vegna þátttöku í fjölþjóðlegri rannsókn sem bar yfirskriftina „RISE, með raförvun við útlægan alskaða á mænu (RISE- use of electrical stimulation to restore standing in paraplegics with long-term denervated degenerated muscles)“.

2003/04 – Pfizer A/S, Danmörku, og Þórður Sigmundsson, yfirlæknir, fengu leyfi vegna lyfjarannsóknar er bar heitið „Tolerability, safety, and efficacy of ziprasidone 80–160 mg/d versus olanzapine 10–20 mg/d, risperidone 4–8 mg/d or quetipine 300–750 mg/d in pretreated patients with schizophrenia, schizoaffective disorder or schizopreniform disorders – A 12-week open label, multicenter clinical tria.“

2003/358 – Rafn Benediktsson, Ph.D., fékk leyfi vegna rannsóknarinnar „Fjölseta, tvíblind, slembiröðuð, samanburðarrannsókn við lyfleysu til ákvörðunar á skammtastærð hjá sjúklingum með sykursýki tegund 2 sem hafa ófullnægjandi stjórn á sykurbúskap.“

2003/349 – Reykjalundur, endurhæfingarmiðstöð, og Magnús Ólason, yfirlæknir, fengu leyfi vegna rannsóknarinnar „Árangur þverfaglegrar verkjameðferðar á Reykjalundi, endurhæfingarmiðstöð“.

2003/06 – Reynir Tómas Geirsson, prófessor og yfirlæknir, fékk leyfi til vinnslu persónuupplýsinga á kvennadeild Baylor College of Medicine í Houston, Bandaríkjunum, vegna „Rannsóknar á erfðaþáttum í vefjasýnum frá konum með og án fjölskyldulægs legslímuflakks“.

2003/486 – Runólfur Pálsson, læknir, fékk leyfi til að kanna dánarvottorð látinna einstaklinga sem höfðu tegund 1 (insúlínháða) sykursýki vegna rannsóknarinnar „Faraldsfræði nýrnameins af völdum sykursýki“.

2003/472 – Sigríður Sveinsdóttir, deildarlæknir, fékk leyfi vegna rannsóknar á því hversu algengar blæðingar eftir hálskirtlatöku eru, hvenær þær eigi sér helst stað og hvort þættir eins og aðgerðartækni, hvar aðgerð var framkvæmd, hvenær sjúklingur fór heim, hver framkvæmdi aðgerð og hvort sjúklingur var settur á bólgueyðandi lyf hafi áhrif þar á.

2003/31 – Sigurbergur Kárason, sérfræðingur, fékk leyfi vegna rannsóknarinnar „Könnun á nytsemi samfelldrar skráningar á heilalínuriti“.

2003/256 – Sigurður B. Þorsteinsson, yfirlæknir, fékk leyfi vegna rannsóknarinnar „Eru tengsl milli meðferðarheldni HIV-sýktra og árangurs lyfjameðferðar og tengist hún lífsgæðum ?“

2003/424 – Sigurður Kristjánsson, yfirlæknir, fékk leyfi vegna rannsóknarinnar „Orsakir og meðferð þvagfærasýkinga barna á bráðamóttöku Barnaspítala Hringsins.“

2003/132 – Sigurður Ólafsson, læknir, fékk leyfi vegna rannsóknar á faraldsfræði lifrarbólgu B og C meðal innflytjenda á Íslandi.

2003/214 – Sólveig Jónsdóttir, sálfræðingur, fékk leyfi vegna rannsóknar á frammistöðu íslenskra barna með málþroskaröskun á Kaufman-taugasálfræðiprófinu.

2003/366 – Urður, Verðandi, Skuld ehf. fékk leyfi til flutnings lífsýna úr 100 einstaklingum, sem fengið hafa brjóstakrabbamein, og 100 einstaklingum úr viðmiðunarhóp, til prófessors Andrews Feinbergs við Johns Hopkins-háskólann í Baltimore, Maryland-fylki, Bandaríkjunum. Leyfið er bundið því skilyrði að lífsýnum, sem þangað voru send, verði eytt eða þau send aftur til Urðar, Verðandi, Skuldar ehf. að vinnslu lokinni.

2003/375 – Urður, Verðandi, Skuld ehf. og læknarnir Valgarður Egilsson og Þorvaldur Jónsson fengu leyfi vegna rannsóknarinnar „Leit að áhættugenum í fjölkrabbaættum með hefðbundinni tengslagreiningu – ÍKV [Íslenska krabbameinsverkefnið] áfangi IV“.

2002/589 – Valgerður Sigurðardóttir, yfirlæknir, fékk leyfi vegna rannsóknarinnar „Heildrænt mat á líðan sjúklinga í líknarmeðferð“.

2003/328 – Vilhjálmur Rafnsson, prófessor, fékk leyfi vegna rannsóknarinnar „Dánartíðni einstaklinga sem leituðu til bráðamóttöku Landspítala-háskólasjúkrahúss LSH við Hringbraut“.

2003/563 – Þorvaldur Ingvarsson, yfirlæknir, fékk leyfi vegna rannsóknarinnar „Árangur af gerviliðaaðgerðum á hné framkvæmdum á bæklunardeild FSA 1982–2002“.

2003/568 – Þorvaldur Ingvarsson, yfirlæknir, og Unnur Þóra Högnadóttir, læknanemi, fengu leyfi vegna rannsóknarinnar „Hefur meðferð fólks með lærleggshálsbrot breyst eftir að lyf við beingisnun komu á markað?“

2003/570 – Þórður Þórkelsson, læknir, fékk leyfi vegna rannsóknarinnar „Hátíðni-öndunarvélameðferð hjá nýburum“.

2002/597 – Þóra Steingrímsdóttir, læknir og dósent, fékk leyfi vegna athugunar á gildi leghálssaumsaðgerða til varnar fósturláti og fyrirburafæðingu.

3. Öryggisathuganir og úttektarverkefni

3.1. Greinargerð um úttektarverkefni stofnunarinnar

Eitt af helstu verkefnum Persónuverndar starfsárið 2003 var að sinna eftirlitshlutverki sínu samkvæmt 2. tl. 3. mgr. 37. gr. pul., en það felst einkum í úttektum á því að hvaða marki einstakir ábyrgðaraðilar vinna í samræmi við ákvæði settra laga og reglna, þ. á m. hvernig öryggi persónuupplýsinga er tryggt. Mörgum úttektum var lokið á árinu 2003 með formlegri úrlausn, þ.e. úttektum hjá Lyfju og heilsu hf. (sjá kafla 3.2.1), Lyfju hf. (sjá kafla 3.2.2), Lyfjastofnun (sjá kafla 3.2.3), Heilbrigðisstofnun Austurlands (sjá kafla 3.2.4) og Landspítala-háskólasjúkrahúsi, n.t.t. lífsýnasafni LSH og Rannsóknastofu í meinafræði (sjá kafla 3.2.5). Varðandi úttekt á öryggi gagnagrunns á heilbrigðissviði vísast til kafla 3.3. hér að neðan.

Kostnaður vegna aðkeyptrar sérfræðiráðgjafar var eftir atvikum innheimtur hjá ábyrgðaraðilum, en eðli málsins samkvæmt er slíkur kostnaður mismikill þar sem hann er jafnan í réttu hlutfalli við umfang vinnslunnar og eðli þeirra upplýsinga sem unnið er með, sbr. að skv. 2. mgr. 11. gr. pul. skal beita ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.

Í stuttu máli sagt eru úttektir framkvæmdar þannig að ábyrgðaraðili, sem stefnt er að gerð úttektar hjá, er beðinn um að senda Persónuvernd skrifleg gögn um fyrirkomulag öryggismála. Að gagnaöflun lokinni og rýni á þeim, auk þeirra viðbótargagna, sem Persónuvernd kann að kalla eftir, er farið í vettvangsskoðun til að sannreyna efni þeirra gagna sem ábyrgðaraðili hefur lagt fram. Síðan er unnin skýrsla um niðurstöðu athugunarinnar og að því búnu er úttektinni lokið með formlegri úrlausn þar sem, eftir atvikum, er mælt fyrir um tilteknar ráðstafanir sem ábyrgðaraðili á að grípa til svo að lögmæti og öryggi vinnslu persónuupplýsinga verði tryggt. Eftir að skilað hefur verið formlegri úrlausn kann loks, eftir tiltekinn tíma, að vera talin þörf á að kanna hvort eftir fyrirmælunum hafi verið farið. Þessi verkferill er í anda staðalsins ÍST BS 7799 um stjórnun upplýsingaöryggis og reglna nr. 299/2001 um öryggi persónuupplýsinga.

Til þessa hefur Persónuvernd fyrst og fremst beint sjónum sínum að öryggi viðkvæmra persónuupplýsinga. Vinnsla slíkra upplýsinga er oft á tíðum ekki nema hluti af starfsemi ábyrgðaraðila og getur því úttekt Persónuverndar eftir atvikum takmarkast við einstaka þætti starfseminnar. Í þeim tilgangi að öðlast raunhæfan samanburð milli ábyrgðaraðila og til að gæta jafnræðis framkvæmir Persónuvernd yfirleitt úttektir hjá þremur til fimm aðilum í sömu grein. Er þá jafnan reynt að velja umsvifamestu ábyrgðaraðilana í greininni þannig að ætla megi að úttektin spanni stóran hluta af þeirri vinnslu persónuupplýsinga sem fram fer á ákveðnu sviði.

Á árinu 2003 var lögð meiri áhersla á formlegar öryggisúttektir samkvæmt reglum nr. 299/2001, þar sem hliðsjón er höfð af staðlinum ÍST BS 7799, heldur en árið áður þegar einnig voru framkvæmdar nokkrar viðaminni öryggisathuganir. Hins vegar er stefnt að því að halda slíkum athugunum áfram á komandi misserum. Á síðasta ári voru boðaðar úttektir hjá eftirtöldum aðilum: Margmiðlun ehf., ráðningarþjónustunum Mannafli og Liðsauka ehf., sem heyra nú undir Ráðgjafarsvið IMG Deloitte, Vátryggingafélagi Íslands hf., Sjóvá-almennum tryggingum hf., Tryggingamiðstöðinni hf., Umferðarstofu og félagsþjónustunum í Hafnarfirði, Kópavogi, Reykjavík, Mosfellsbæ og Garðabæ.

3.2. Nánar um einstök úttektarmál¹

3.2.1. Úttekt Persónuverndar á öryggi vinnslu persónuupplýsinga á vegum Lyfja og heilsu hf.

Með bréfi Persónuverndar, dags. 3. júlí 2003, var Lyfjum og heilsu hf. kynnt ákvörðun í máli nr. 2002/17. Bréfið er birt hér, en þó þannig að hluta þess er sleppt rúmsins vegna. Er þar m.a. um að ræða athugasemdir úr skýrslu um vinnslu persónuupplýsinga hjá Lyfjum og heilsu hf. sem verkfræðingur frá Stika ehf. vann fyrir Persónuvernd. Þess skal getið að tilefni umfjöllunar aftast í lið 3 í III. kafla ákvörðunarinnar um að Lyf og heilsa hf. skuli teljast ábyrgðaraðili að vinnslunni en ekki einstakir lyfsöluleyfishafar innan félagsins er athugasemd úr skýrslu verkfræðingsins, þ.e. um að einstakir lyfsöluleyfishafar skuli að hans dómi skoðast sem ábyrgðaraðilar og að samninga þurfi um framsal ábyrgðar frá þeim til Lyfja og heilsu hf. En í bréfinu segir:

I.

Almennt um verkefnið

Með bréfi, dags. 18. júní 2001, tilkynnti Persónuvernd Hagræði hf., nú Lyfjum og heilsu hf., að ákveðið hefði verið að gera úttekt á öryggi vinnslu persónuupplýsinga á vegum félagsins. Var þess óskað að Persónuvernd bærust gögn um öryggismál lyfjaupplýsinga sem m.a. lýstu viðhöfðu öryggiskerfi með hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis og 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Markmið úttektarinnar var að fá glögga yfirlitsmynd af öryggi þeirrar vinnslu lyfjaupplýsinga sem fram fer hjá félaginu og í lyfjaverslunum þess. Umbeðin lýsing barst frá Hagræði hf. með bréfi, dags. 10. október 2001, og sagði þar m.a. að félagið ynni eftir stjórnunarstaðlinum ÍST BS 7799. Með bréfi, dags. 26. júní 2002, tilkynnti Persónuvernd Lyfjum og heilsu hf., áður Hagræði hf., að SHB, verkfræðingi og framkvæmdastjóra Stika ehf., hefði verið falið að fara yfir framangreinda lýsingu og vinna skýrslu um ástand öryggismála í lyfjabúðum félagsins og hjá því sjálfu. SHB aflaði ýmissa frekari gagna, m.a. um öryggisstefnu félagsins, áhættumat og öryggisráðstafanir, þ. á m. um öryggi gagna í flutningi og sendingum; öryggi gagna í gagnagrunnum, t.d. notkun dulkóðunar; aðgang að afgreiðslukerfi félagsins; ytra öryggi, t.d. viðvörunarkerfi, vöktun húsnæðis og lyklamál; förgun gagna, gagnamiðla og búnaðar; og áætlanir um samfelldan rekstur, þ.e. um viðbrögð við áföllum, s.s. bruna. Var gagna þessara aflað frá einum af vinnsluaðilum félagsins, Þekkingu-Tristan hf., en þar eru gögn frá Lyfjum og heilsu hf. hýst. Auk öflunar skriflegra gagna fór SHB í vettvangsheimsókn til Þekkingar-Tristan hf. á Akureyri hinn 23. september 2002. Þann dag heimsótti hún einnig Apótekarann í Hafnarstræti, eina af lyfjabúðum Lyfja og heilsu hf. þar. Hinn 14. janúar 2003 heimsótti hún og lyfjabúð Lyfja og heilsu hf. við Háteigsveg í Reykjavík og daginn eftir lyfjabúð félagsins í Kringlunni.

SHB skilaði skýrslu til Persónuverndar með bréfi, dags. 5. febrúar 2003. Með bréfi, dags. 23. s.m., bauð Persónuvernd Lyfjum og heilsu hf. að tjá sig um skýrsluna og var þess óskað að umsögn félagsins bærist fyrir 1. apríl. Nokkru áður, eða hinn 16. janúar 2003, var og haldinn fundur í húsnæði Persónuverndar um þá vinnu sem þegar hafði farið fram vegna úttektarinnar. Svör við bréfi Persónuverndar, dags. 23. febrúar 2003, bárust ekki innan þess frests sem tilgreindur var. Með bréfi, dags. 11. apríl s.á., var erindið því ítrekað og frestur til svara framlengdur til 25. apríl. Tekið var fram að ef þá hefðu ekki borist svör kynni að verða litið svo á að Lyf og heilsa hf. hefði engar efnislegar athugasemdir við innihald skýrslunnar. Svör hafa ekki borist.

II.

Vinnsla persónuupplýsinga

hjá Lyfjum og heilsu hf.

Fyrir liggja gögn um vinnslu lyfjaupplýsinga hjá Lyfjum og heilsu hf., einkum í skýrslu SHB, sem barst Persónuvernd með bréfi, dags. 5. febrúar 2003, en þar er að finna lýsingu á vinnslunni eins og hún á að fara fram samkvæmt þeim gögnum sem hún hefur aflað. Í skýrslunni kemur m.a. fram að SHB gerði ítrekaðar tilraunir til að afla gagna frá Lyfjum og heilsu hf., þ. á m. um öryggisráðstafanir hjá félaginu, en án árangurs. Af því tilefni fór SHB þá leið að kalla eftir gögnum beint frá einum af vinnsluaðilum félagsins, þ.e. Þekkingu Tristan hf., en þar eru gögn frá félaginu hýst. Í skýrslu SHB kemur ennfremur fram að:

Þegar lyfseðill berst lyfjabúð eru upplýsingar af honum skráðar inn í lyfsölukerfi Lyfja og heilsu hf. og varðveittar þar. Geta má þess að í tilkynningu, sem Lyf og heilsa hf. sendi Persónuvernd (nr. S268), segir að ekki hafi enn verið tekin ákvörðun um hvenær upplýsingunum eða persónuauðkennum skuli eytt. Auk varðveislu á tölvutæku formi eru afrit allra lyfseðla varðveitt í skammtímageymslu í viðkomandi lyfjabúð, en frumrit „núll-lyfseðla“ (afrit v. eftirritunarskyldra lyfja) eru sett í langtímageymslu, einnig í viðkomandi lyfjabúð. Þar eru þeir varðveittir í samræmi við 19. gr. reglugerðar nr. 91/2001 um afgreiðslu lyfseðla, áritun og afhendingu lyfja, þar sem segir að lyfsalar og aðrir sem hafa leyfi til lyfsölu skuli halda eftir þeim lyfseðlum sem ekki eru sendir Tryggingastofnun. Skuli þeir geymdir í minnst sjö ár og afrit þeirra afhent Lyfjastofnun sé eftir því óskað.

Lyf og heilsa hf. sendir Lyfjastofnun frumrit lyfseðla vegna eftirritunarskyldra lyfja, þ.e. lyfja sem ekki má ávísa nema að fengnu samþykki Lyfjastofnunar. Lyfseðlarnir eru sendir á mánaðarfresti með ábyrgðarpósti eða boðsendir, en stundum óháð þessum fresti þegar Lyfjastofnun hefur frumkvæði að eftirlitskönnun. Kemur þá fyrir að þeir séu sendir með símbréfi eða tölvupósti. Þá sendir Lyf og heilsa hf. Tryggingastofnun ríkisins upplýsingar um alla afgreidda lyfseðla rafrænt á dulkóðuðu formi. Auk þess eru stofnuninni, á tveggja til þriggja mánaða fresti, send frumrit allra lyfseðla (afrit v. eftirritunarskyldra lyfja) sem hún tekur þátt í að greiða. Eru lyfseðlarnir sendir með ábyrgðarpósti eða boðsendir.

Áðurnefnt lyfsölukerfi Lyfja og heilsu hf. er þróað af Landsteinum hf. sem einnig sér um viðhald þess. Í því eru skrár sem tengja má saman á ýmsa vegu. Tólf skrár eru með persónuupplýsingum. Meðal þeirra er viðskiptamannaskrá, en þar eru m.a. upplýsingar um viðskiptamannanúmer, nöfn, kennitölur, heimilisföng og símanúmer. Sérstök skrá er til yfir viðskiptamenn sem haft er sérstakt eftirlit með. Þar má m.a. sjá upphafsdag eftirlits og ástæður þess. Þarna er einnig skrá með upplýsingum um ofnæmi viðskiptamanna; skrár yfir lyfjapantanir, þar sem sjá má hverjir hafa pantað hvaða lyf, tegund lyfseðla, hvaða læknar og lyfjafræðingar voru ábyrgir o.fl.; og skrár yfir reikninga fyrir afgreidd lyf, þar sem m.a. má sjá verð, afslætti og hvaða læknar og lyfjafræðingar voru ábyrgir. Með tengingu þessara skráa má fá fram ýmsar persónuupplýsingar, t.d. um allar lyfjaávísanir sem tilteknir læknar hafa gefið út og hverjir fengu umrædd lyf.

Lyfsölukerfið og önnur upplýsingakerfi Lyfja og heilsu hf. eru hýst hjá Þekkingu-Tristan hf. Það fyrirtæki er, ásamt Landsteinum hf., hluti af samsteypunni GoPro – Landsteinar. Þekking-Tristan hf. hefur tvær starfsstöðvar, aðra á Akureyri en hina í Kópavogi. Yfirstjórn félagsins er á Akureyri. Þar er kerfisstjóri þess, en hann er einnig kerfisstjóri Lyfja og heilsu hf. Upplýsingakerfi Lyfja og heilsu hf., þ. á m. lyfsölukerfið, eru og hýst á netþjónum Þekkingar-Tristan hf. á Akureyri. Netþjónarnir eru ekki algjörlega aðskildir frá öðrum búnaði hjá Þekkingu-Tristan hf. Er m.a. notuð sama stöð til að taka afrit bæði af gögnum Lyfju og heilsu hf. og af gögnum annarra viðskiptavina félagsins. Liggja gögn þeirra allra á sömu segulbandsspólunum, en aðgangsstýringar eiga að tryggja að gögn haldist aðgreind.

Samkvæmt upplýsingum frá Þekkingu-Tristan hf., en eins og áður segir fengust takmarkaðar upplýsingar frá Lyfjum og heilsu hf., er miðað við að stjórnendur Lyfja og heilsu hf. hafi aðeins aðgang að ópersónugreinanlegum gögnum, en eingöngu starfsmenn hverrar lyfjabúðar hafi aðgang að persónugreinanlegum upplýsingum varðandi sölu lyfja í viðkomandi búð. Lyfsölukerfi Lyfja og heilsu hf. er hýst sem einn gagnagrunnur, en upplýsingar frá hverri lyfjabúð mynda sér deild í gagnagrunninum.

Frá Akureyri og Kópavogi veitir Þekking-Tristan hf. Lyfjum og heilsu hf. ýmsa þjónustu, t.d. keyrslu fyrirspurna, en kerfisþjónusta vegna lyfsölukerfisins er hins vegar veitt af Landsteinum hf. Kerfisstjóri Þekkingar-Tristan hf. ákveður hvort þjónusta fer fram frá Akureyri eða Kópavogi. Á útstöðvum, bæði í einstökum lyfjabúðum og í höfuðstöðvum Lyfja og heilsu hf., er hins vegar yfirtökuhugbúnaður, sem merkir að starfsmenn Þekkingar-Tristan hf. geta yfirtekið vélar og þar með skoðað allar upplýsingar sem vistaðar eru á þeim vélum. Þá geta þeir uppfært hugbúnað og haft með höndum eftirlit. Kerfisstjóri stýrir aðgangi starfsmanna Þekkingar-Tristan hf. Sé þörf fyrir kerfisþjónustu í lyfsölukerfinu hafa stjórnendur Lyfja og heilsu hf. hins vegar samband við Landsteina hf. sem þá ákveða hvaða starfsmenn Landsteina hf. vinna verkið. Fá þeir þá aðgang að innra neti og upplýsingakerfum Lyfja og heilsu hf. í gegnum tengingar við Þekkingu-Tristan hf. í Kópavogi. Lyfja og heilsa hf. hefur, í samvinnu við Þekkingu-Tristan hf. og Landsteina hf., komið sér upp prófunarumhverfi fyrir lyfsölukerfið. Allar kerfisbreytingar, sem unnar eru af starfsmönnum Landsteina hf., eru prófaðar áður en þær eru settar upp á raunkerfinu.

Í skýrslu SHB eru m.a. gerðar athugasemdir við:

[…]

III.

Ákvörðun Persónuverndar

Forsendur

1.

Í máli þessu er til úrlausnar öryggi vinnslu persónuupplýsinga á vegum Lyfja og heilsu hf. í ljósi 11., 12. og 13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og að virtum reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, með hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis.

Upplýsingar um lyfjanotkun teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 1. mgr. 2. gr. laga nr. 77/2000. Er heimild til vinnslu slíkra upplýsinga háð því að hún fullnægi einhverju af almennum skilyrðum 8. gr. laganna og einhverju af sérstökum skilyrðum 9. gr. laganna. Þá leiðir af ákvæðum laganna að enda þótt fullnægt sé skilyrðum 8. og 9. gr. telst vinnsla ekki vera heimil nema hún fullnægi ennfremur meðalhófsreglum 7. gr. laganna.

Þar sem þessari ákvörðun Persónuverndar er einungis ætlað að taka á öryggismálum vinnslunnar mun hún ekki taka til álitaefna er varða lögmæti vinnslunnar. Verður því ekki, að svo stöddu, fjallað um lögmæti einstakra skráa sem eru í lyfsölukerfi Lyfju og heilsu hf. (s.s. skráar yfir viðskiptamenn sem haft er sérstakt eftirlit með) eða annarra þátta vinnslunnar (t.d. varðveislutíma upplýsinga í lyfsölukerfinu). Þá lýtur ákvörðun þessi aðeins að öryggi vinnslu hjá Lyfjum og heilsu hf. (þ.m.t. vinnsluaðilum) en ekki öðrum þáttum, s.s. öryggi miðlunar upplýsinga frá félaginu til landlæknis, Tryggingastofnunar ríkisins eða Lyfjastofnunar.

2.

Í 31. og 32. gr. laga nr. 77/2000, sbr. reglur Persónuverndar nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, er kveðið á um skyldu ábyrgðaraðila til að tilkynna vinnslu persónuupplýsinga til Persónuverndar. Vinnsla lyfjaupplýsinga hjá Lyfjum og heilsu hf. er tilkynningarskyld samkvæmt þessum reglum, sbr. 31. gr. laga nr. 77/2000, sbr. 6. gr. reglna nr. 90/2001. Hún hefur og verið tilkynnt Persónuvernd (tilkynning nr. S286). Í tilkynningunni koma fram þau atriði, sem fram eiga að koma í tilkynningu, sbr. 1. mgr. 32. gr. laga nr. 77/2000, að því undanskildu að ekki er tekið fram að upplýsingar séu sendar landlækni, Lyfjastofnun og Tryggingastofnun eða að vinnsluaðilarnir Landsteinar hf. og Lyfjaver hf. hafi aðgang að upplýsingum, sbr. hins vegar 7. tölul. 1. mgr. 32. gr. þar sem kveðið er á um að í tilkynningu eigi að koma fram hverjum upplýsingar verði afhentar. Af þessu tilefni bendir Persónuvernd hér á mikilvægi þess að tilkynningar um vinnslu persónuupplýsinga séu uppfærðar reglulega svo að þær gefi rétta mynd af vinnslu hverju sinni. Þá gerir stjórn Persónuverndar alvarlega athugasemd við að í framangreindri tilkynningu hafi verið fullyrt að félagið ynni í samræmi við staðalinn BS ÍST 7799 þótt það hafi ekki verið gert.

3.

Samkvæmt 11. gr. laga nr. 77/2000 skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt. Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar. Ábyrgðaraðili skal skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir.

Í 4. tölul. 2. gr. laga nr. 77/2000 er hugtakið ábyrgðaraðili skilgreint sem sá „aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.“ Af því sem fram kemur í gögnum málsins telst Lyf og heilsa hf. vera ábyrgðaraðili í þessum skilningi, en ekki einstakir lyfsöluleyfishafar, enda tekur félagið ákvarðanir um val á búnaði og vinnsluaðferðir og annast gerð samninga við vinnsluaðila. Ber Lyf og heilsa hf. þar með ábyrgð á því að fullnægt sé framangreindum ákvæðum 11. gr. laga nr. 77/2000 og öðrum ákvæðum varðandi öryggi við vinnslu persónuupplýsinga. Breytir þar engu sú faglega ábyrgð sem hvílir á lyfsöluleyfishafa samkvæmt lyfjalögum nr. 93/1994, sbr. einkum 1. mgr. 20. gr. og 1. mgr. 21. gr., þar sem segir að þeir einir megi hafa með höndum lyfsölu sem til þess hafa hlotið leyfi ráðherra og að þeir beri faglega ábyrgð á rekstri lyfjabúðar, enda er í 2. mgr. 21. gr. laga nr. 93/1994 gert ráð fyrir að lyfjabúð geti verið rekin af öðrum en lyfsöluleyfishafa og þurfi sá aðili þá sjálfstætt leyfi ráðherra til rekstursins.

4.

Í 11. gr. laga nr. 77/2000 er fjallað um kröfur til öryggis persónuupplýsinga, í 12. gr. sömu laga er fjallað um innra eftirlit og í 13. gr. sömu laga um samninga við vinnsluaðila. Samkvæmt 5. mgr. 11. gr. laganna, sbr. 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, skal ábyrgðaraðili skrá öryggisstefnu, gera áhættumat og ákveða öryggisráðstafanir.

Hjá Lyfjum og heilsu hf. er hins vegar hvorki til öryggisstefna né áhættumat og öryggisráðstafanir hafa aðeins verið skráðar að takmörkuðu leyti. Telur Persónuvernd æskilegt, vegna hinnar viðamiklu vinnslu félagsins á viðkvæmum persónuupplýsingum, að öryggisstefna, áhættumat og öryggisráðstafanir fullnægi þeim kröfum sem fram koma í staðlinum ÍST BS 7799. Þá telur Persónuvernd æskilegt að skráning öryggisráðstafananna geri það einnig.

a) Þar sem öryggisráðstafanir hafa ekki verið fyllilega skráðar liggur ekki fyrir hvort eða hvernig tryggt sé að einungis þeir hafi aðgang að persónugreinanlegum upplýsingum sem þess þurfa. Persónuvernd telur hins vegar að svo að fullnægt verði kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 verði að tryggja að einungis þeir hafi þennan aðgang sem þurfa á honum að halda, starfs síns vegna.

b) Ekkert liggur fyrir um hversu gömul gögn eru varðveitt hjá Lyfjum og heilsu hf., hvernig þau eru varðveitt og hvernig öryggi þeirra er tryggt. Öllum þeim gögnum, sem kunna að vera varðveitt, þó að það sé ekki lengur lögmætt og málefnalegt, sbr. 7. gr. laga nr. 77/2000, verður að eyða. Með vísan til þessa telur Persónuvernd nauðsynlegt að Lyf og heilsa hf. yfirfari kerfi félagsins, kanni hvort þau hafi að geyma persónuupplýsingar, og sé svo, að þá verði þeim persónuupplýsingum eytt sem ekki má lengur varðveita. Bent er á að samkvæmt 4. mgr. 24. gr. lyfjalaga nr. 93/1994 getur landlæknir krafist rafrænna upplýsinga af lyfseðlum – en aðeins fyrir ár aftur í tímann. Einnig er bent á að af 19. gr. reglugerðar nr. 91/2001 um afgreiðslu lyfseðla, afhendingu og áritun lyfja leiðir að aðeins þarf að geyma (í sjö ár) þá lyfseðla sem ekki eru sendir Tryggingastofnun ríkisins.

c) Lyfjaupplýsingar, sem fara frá einstökum lyfjabúðum til Þekkingar-Tristan hf. á Akureyri, í sumum tilvikum í gegnum starfsstöðvar félagsins í Kópavogi, eru ódulkóðaðar í flutningi, sem og við vörsluna þar. Þá segir í skýrslu SHB að nethögun Lyfja og heilsu hf. sé ekki nægilega skýr og að öryggi fjartenginga hafi ekki verið tekið út. Svo að kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 til upplýsingaöryggis sé fullnægt telur Persónuvernd nauðsynlegt, þegar litið er til þess hversu viðkvæmar umræddar upplýsingar eru, að tryggja öryggi í gagnaflutningi með því að koma á öruggum tengingum með dulkóðuðum samskiptum. Við dulkóðunina skal nota aðferð sem er á almennum markaði og þykir vera öruggust á hverjum tíma. Á þetta við hvort sem um er að ræða gagnaflutning milli starfsstöðva ábyrgðaraðila eða milli vinnsluaðila og ábyrgðaraðila.

d) Tekið er á móti lyfjum til förgunar, en merkingar á umbúðum lyfjanna, s.s. um nafn lyfjaneytanda, númer læknis og notkun lyfs, eru ekki alltaf fjarlægðar áður en þeim er fargað. Óljóst er hvað verður um persónuupplýsingar á lyfjaumbúðum eftir förgun lyfjanna sjálfra. Þegar litið er til þess hversu viðkvæmar þessar upplýsingar eru telur Persónuvernd að kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 verði ekki fullnægt nema merkingarnar verði teknar af umbúðunum.

e) Starfsmenn Þekkingar-Tristan hf. geta yfirtekið útstöðvar í lyfjabúðum Lyfja og heilsu hf. Þótt ætlast sé til að starfsmaður Lyfja og heilsu hf. stýri aðgangi starfsmanna Þekkingar-Tristan hf. og að þeir fái ekki yfirtökuaðgang nema nauðsyn krefji er því ekki alls staðar fylgt og yfirtökuforrit í raun og veru stöðugt í gangi, a.m.k. í lyfjabúðinni við Háteigsveg 14, eins og fram kom í vettvangsheimsókn SHB þangað hinn 14. janúar 2003. Ekki liggur því fyrir að alls staðar sé tryggt að starfsmenn Þekkingar-Tristan hf. geti ekki yfirtekið tölvugögn án leyfis. Persónuvernd telur þetta verklag ekki fullnægja kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000.

f) Ekki liggur fyrir hvers eðlis prófunarumhverfið fyrir lyfsölukerfi Lyfja og heilsu hf. er, þ.e. hvort prófunargögn séu raungögn, og sé svo, hvernig öryggi þeirra sé tryggt. Starfsmenn Landsteina hf., sem sjá um forritun og þróun upplýsingakerfa Lyfja og heilsu hf., vinna í þessu prófunarumhverfi, en þeir hafa beinan aðgang inn til Þekkingar-Tristan hf. og þar með að upplýsingakerfi Lyfja og heilsu hf. Persónuvernd telur að tryggja þurfi að þeir hafi ekki aðgang að persónugreinanlegum lyfjaupplýsingum við vinnslu í prófunarumhverfi. Telja verður, þegar litið er til þess hversu viðkvæmar umræddar upplýsingar eru, að slíkur aðgangur fullnægi ekki kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000.

g) Ekki liggur fyrir að tryggður sé fullnægjandi aðskilnaður afrita hjá Þekkingu-Tristan hf. Þar eru hýst gögn frá mörgum óskyldum aðilum og hafa gögn frá Lyfjum og heilsu hf. verið tekin á sömu afritunarspólur og gögn annarra fyrirtækja. Persónuvernd telur hins vegar rétt að tekin séu sérstök afrit af gögnum Lyfja og heilsu hf. og raunar skylt, með hliðsjón af 1. og 2. mgr. 11. gr. laga nr. 77/2000, að það sé gert.

h) Einn þáttur í öryggi persónuupplýsinga er gerð samnings við vinnsluaðila, sbr. 13. gr. laga nr. 77/2000, en vinnsluaðili er sá sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. sömu laga. Í samningi skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr. Skal ábyrgðaraðili, áður en hann semur við vinnsluaðila, hafa sannreynt að hann geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Í 9. gr. reglna nr. 299/2001 eru kröfur til samnings við vinnsluaðila útfærðar nánar. Samkvæmt úttektarskýrslu SHB eru til drög að tveimur samningum við Þekkingu-Tristan hf. Segir þar einnig að óljóst sé hvort gerðir hafi verið vinnslusamningar við aðra vinnsluaðila, þ.e. Landsteina hf. og Lyfjaver hf. Af þessu verður að líta svo á að kröfum 13. gr. laga nr. 77/2000 til að gerðir séu vinnslusamningar sé ekki fullnægt hjá Lyfjum og heilsu hf. Persónuvernd telur nauðsynlegt að slíkir samningar verði gerðir og að þar verði kveðið á um þær öryggiskröfur sem fullnægja verður, en samkvæmt úttektarskýrslunni eru þær ekki nægilega vel skilgreindar í drögum þeim að samningum við Þekkingu-Tristan hf. sem lögð hafa verið fram. Auk þess telur Persónuvernd nauðsynlegt að í samskiptum sínum við undirverktaka og þjónustuaðila, s.s. þá sem sjá um ræstingar, sé þess gætt að þeir starfsmenn, sem kunna að fá vitneskju um viðkvæmar persónuupplýsingar í störfum sínum, undirriti trúnaðarheit um slíkar upplýsingar. Varðandi undirverktaka þarf að huga sérstaklega að því að samkvæmt 3. mgr. 13. gr. laga nr. 77/2000 er hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.

i) Einn þáttur í öryggi persónuupplýsinga er innra eftirlit, sbr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001. Meðan Lyf og heilsa hf. hefur ekki sett sér öryggisstefnu og hvorki unnið áhættumat né skráð öryggisráðstafanir nema að takmörkuðu leyti verður ekki talið að kröfum um innra eftirlit sé fullnægt. Innra eftirlit skal framkvæma með því að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið, sbr. 1. mgr. 8. gr. reglna nr. 299/2001. Innra eftirlit skal viðhaft með reglubundnum hætti, ekki sjaldnar en árlega, og skal ákveða tíðni þess og umfang með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd þess, sbr. 2. mgr. Þá skal ábyrgðaraðili sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti þar sem lýst skal niðurstöðu hvers þáttar eftirlitsins, sbr. 3. mgr., þar sem segir einnig að skýrslur um innra eftirlit skuli varðveita tryggilega.

Með vísan til alls ofangreinds og 1. mgr. 40. gr. laga nr. 77/2000 hefur Persónuvernd ákveðið að beina fyrirmælum til Lyfja og heilsu hf. um að viðhafa þær ráðstafanir sem taldar eru upp í ákvörðunarorði hér fyrir neðan. Að liðnum þeim tíma sem þar er tilgreindur mun Persónuvernd fara í vettvangsheimsóknir til starfsstöðva félagsins, sbr. 2. mgr. 38. gr. laga nr. 77/2000, og kanna hvort eftir fyrirmælunum hafi verið farið. Mun félaginu verða tilkynnt um nánari tímasetningu þeirra heimsókna síðar. Hafi ekki verið farið eftir fyrirmælunum mun Persónuvernd grípa til nauðsynlegra ráðstafana.

Ekki verður að svo stöddu tekin ákvörðun um dulkóðun persónuupplýsinga í gagnagrunni hjá vinnsluaðilum eða undirverktökum þeirra, en þess má vænta að á því máli verði tekið að framangreindum fresti liðnum.

Á k v ö r ð u n a r o r ð

Fyrir 1. janúar 2004 skal Lyf og heilsa hf. hafa lokið við að:

1. Setja sér skriflega öryggisstefnu, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001.

2. Gera skriflegt áhættumat, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, og skapa þannig forsendur fyrir vali á skriflegum öryggisráðstöfunum.

3. Fullnægja kröfum 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, um skráningu öryggisráðstafana. Skráning öryggisráðstafana á að byggjast á þeim forsendum sem fram koma í áhættumati og á að ná til allra þeirra áhættuþátta sem þar eru reifaðir.

4. Taka upp innra eftirlit í samræmi við 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001.

5. Gera skriflegan samning við Þekkingu-Tristan hf., Landsteina hf. og Lyfjaver ehf., sem og aðra vinnsluaðila, séu þeir fyrir hendi, í samræmi við 13. gr. laga nr. 77/2000, sbr. 9. gr. reglna nr. 299/2001.

6. Tryggja að þeir starfsmenn undirverktaka eða þjónustuaðila, s.s. aðila sem sjá um ræstingar, sem kunna að fá vitneskju um viðkvæmar persónuupplýsingar í störfum sínum, undirriti trúnaðarheit um slíkar upplýsingar.

7. Tryggja öryggi í gagnaflutningi með því að koma á öruggum tengingum með dulkóðuðum samskiptum. Við dulkóðunina skal nota aðferð sem er á almennum markaði og þykir vera öruggust á hverjum tíma. Á þetta við hvort sem um er að ræða gagnaflutning milli starfsstöðva ábyrgðaraðila eða milli vinnsluaðila og ábyrgðaraðila.

8. Stöðva töku afrita af upplýsingum frá Lyfjum og heilsu hf. á sömu spólur og upplýsingar annarra aðila.

9. Eyða öllum persónugreinanlegum lyfjagögnum sem kunna að vera varðveitt þó að ekki sé lögskylt að varðveita þau. Þetta á við um öll gögn, þ. á m. upplýsingar sem hafa verið skráðar í lyfsölukerfið og á pappír.

10. Hindra að starfsmenn Þekkingar-Tristan hf. geti yfirtekið útstöðvar þar sem unnið er með persónugreinanlegar upplýsingar.

11. Tryggja að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar eru afhentar förgunaraðila.

12. Tryggja að starfsmenn Landsteina hf. hafi einungis aðgang að ópersónugreinanlegum upplýsingum við vinnslu í prófunarumhverfi fyrir lyfsölukerfið.

3.2.2. Úttekt Persónuverndar á öryggi vinnslu persónuupplýsinga á vegum Lyfju hf.

Með bréfi Persónuverndar, dags. 3. júlí 2003, var Lyfju hf. kynnt ákvörðun í máli nr. 2002/294. Bréfið er birt hér, en þó þannig að hluta þess er sleppt rúmsins vegna. Er þar m.a. um að ræða athugasemdir úr skýrslu um vinnslu persónuupplýsinga hjá Lyfju hf. sem verkfræðingur frá Stika ehf. vann fyrir Persónuvernd. Þess skal getið að tilefni umfjöllunar aftast í lið 3 í III. kafla ákvörðunarinnar um að Lyfja hf. skuli teljast ábyrgðaraðili að vinnslunni en ekki einstakir lyfsöluleyfishafar innan félagsins er athugasemd úr skýrslu verkfræðingsins, þ.e. um að einstakir lyfsöluleyfishafar skuli að hans dómi skoðast sem ábyrgðaraðilar og að samninga þurfi um framsal ábyrgðar frá þeim til Lyfju hf. En í bréfinu segir:

I.

Almennt um verkefnið

Með bréfi, dags. 15. maí 2001, tilkynnti Persónuvernd Lyfju hf. að ákveðið hefði verið að gera úttekt á öryggi vinnslu persónuupplýsinga á vegum félagsins. Var þess óskað að Persónuvernd bærust gögn um öryggismál lyfjaupplýsinga sem m.a. lýstu öryggiskerfi félagsins með hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis og 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Markmið úttektarinnar var að fá glögga yfirlitsmynd af öryggi þeirrar vinnslu lyfjaupplýsinga sem fram fer hjá félaginu og í lyfjaverslunum þess. Umbeðin lýsing barst frá Lyfju hf. með bréfi, dags. 15. mars 2002. Með bréfi, dags. 26. júní s.á., tilkynnti Persónuvernd Lyfju hf. að SHB, verkfræðingi og framkvæmdastjóra Stika ehf., hefði verið falið að fara yfir framangreinda lýsingu og vinna skýrslu um ástand öryggismála í lyfjabúðum félagsins og hjá því sjálfu. SHB aflaði ýmissa frekari gagna, m.a. um öryggisstefnu félagsins, áhættumat og öryggisráðstafanir, þ. á m. um öryggi gagna í flutningi og sendingum; öryggi gagna í gagnagrunnum, t.d. notkun dulkóðunar; aðgang að afgreiðslukerfi félagsins; ytra öryggi, t.d. viðvörunarkerfi, vöktun húsnæðis og lyklamál; förgun gagna, gagnamiðla og búnaðar; og áætlanir um samfelldan rekstur, þ.e. um viðbrögð við áföllum, s.s. bruna. Afhenti Lyfja hf. ýmis umbeðin gögn þessu að lútandi, m.a. á fundum, sem haldnir voru 13. og 23. ágúst 2002, og með greinargerð, dags. 12. september s.á. Þá fór SHB, ásamt öðrum starfsmanni Stika ehf., í vettvangsheimsóknir í þrjár lyfjabúðir félagsins, þ.e. á Smáratorgi, í Lágmúla og í Grindavík, hinn 20. september 2002. Sama dag heimsóttu þau einnig starfsstöðvar Þekkingar-Tristan hf. í Kópavogi. Hinn 23. september 2002 voru heimsóttar starfsstöðvar Þekkingar-Tristan hf. á Akureyri.

SHB skilaði skýrslu til Persónuverndar með bréfi, dags. 6. nóvember 2002. Með bréfi, dags. 5. desember s.á., bauð Persónuvernd Lyfju hf. að tjá sig um skýrsluna. Hinn 16. janúar 2003 var og haldinn fundur í húsnæði Persónuverndar um þá vinnu sem þegar hafði farið fram vegna úttektarinnar. Með bréfi, dags. 25. apríl 2003, tjáði félagið sig efnislega um skýrslu SHB og gerði ýmsar athugasemdir við hana.

II.

Vinnsla persónuupplýsinga

hjá Lyfju hf.

Fyrir liggja gögn um vinnslu lyfjaupplýsinga hjá Lyfju hf., einkum í skýrslu SHB, sem barst Persónuvernd með bréfi, dags. 6. nóvember 2002, en þar er að finna lýsingu á vinnslunni; og í athugasemdum Lyfju hf., dags. 25. apríl 2003, við efni skýrslunnar.

1.

Skýrsla SHB um vinnslu

lyfjaupplýsinga hjá Lyfju hf.

Í lýsingu SHB á vinnslu lyfjaupplýsinga hjá Lyfju hf., eins og hún á að fara fram samkvæmt þeim gögnum sem hún hefur aflað, kemur fram að:

Þegar lyfseðill berst lyfjabúð eru upplýsingar af honum skráðar inn í lyfsölukerfi Lyfju hf. og varðveittar þar. Geta má þess að í tilkynningu, sem Lyfja hf. sendi Persónuvernd (nr. S787), segir að persónuauðkennum sé eytt eftir sjö ár. Auk varðveislu á tölvutæku formi eru afrit allra lyfseðla geymd tímabundið í viðkomandi lyfjabúð, en frumrit „núll-lyfseðla“ (afrit v. eftirritunarskyldra lyfja) eru send í miðlæga geymslu. Stjórnendur og sendlar hafa aðgang að henni. Þar eru þeir varðveittir í samræmi við 19. gr. reglugerðar nr. 91/2001 um afgreiðslu lyfseðla, áritun og afhendingu lyfja, þar sem segir að lyfsalar og aðrir sem hafa leyfi til lyfsölu skuli halda eftir þeim lyfseðlum sem ekki eru sendir Tryggingastofnun. Skuli þeir geymdir í minnst sjö ár og afrit þeirra afhent Lyfjastofnun sé eftir því óskað.

Lyfja hf. sendir Lyfjastofnun frumrit lyfseðla vegna eftirritunarskyldra lyfja, þ.e. lyfja sem ekki má ávísa nema að fengnu samþykki Lyfjastofnunar. Lyfseðlarnir eru sendir á mánaðarfresti með ábyrgðarpósti eða boðsendir, en stundum óháð þessum fresti þegar Lyfjastofnun hefur frumkvæði að eftirlitskönnun. Hefur þá komið fyrir að þeir hafi verið sendir með símbréfi eða tölvupósti, en nú mun það hafa verið aflagt. Þá sendir Lyfja hf. Tryggingastofnun ríkisins upplýsingar um alla afgreidda lyfseðla rafrænt á dulkóðuðu formi. Auk þess eru stofnuninni, á tveggja til þriggja mánaða fresti, send frumrit allra lyfseðla (afrit v. eftirritunarskyldra lyfja) sem hún tekur þátt í að greiða. Eru lyfseðlarnir sendir með ábyrgðarpósti eða boðsendir.

Áðurnefnt lyfsölukerfi Lyfju hf. er þróað af Landsteinum hf. sem einnig sér um viðhald þess. Í því eru skrár sem tengja má saman á ýmsa vegu. Tólf skrár eru með persónuupplýsingum. Meðal þeirra er viðskiptamannaskrá, en þar eru m.a. upplýsingar um viðskiptamannanúmer, nöfn, kennitölur, heimilisföng og símanúmer. Sérstök skrá er til yfir viðskiptamenn sem haft er sérstakt eftirlit með. Þar má m.a. sjá upphafsdag eftirlits og ástæður þess. Þarna er einnig skrá með upplýsingum um ofnæmi viðskiptamanna; skrár yfir lyfjapantanir, þar sem sjá má hverjir hafa pantað hvaða lyf, tegund lyfseðla, hvaða læknar og lyfjafræðingar voru ábyrgir o.fl.; og skrár yfir reikninga fyrir afgreidd lyf, þar sem m.a. má sjá verð, afslætti og hvaða læknar og lyfjafræðingar voru ábyrgir. Með tengingu þessara skráa má fá fram ýmsar persónuupplýsingar, t.d. um allar lyfjaávísanir sem tilteknir læknar hafa gefið út og hverjir fengu umrædd lyf.

Lyfsölukerfið og önnur upplýsingakerfi Lyfju hf. eru hýst hjá Þekkingu-Tristan hf. Það fyrirtæki er, ásamt Landsteinum hf., hluti af samsteypunni GoPro – Landsteinar. Þekking-Tristan hf. hefur tvær starfsstöðvar, aðra á Akureyri en hina í Kópavogi. Yfirstjórn félagsins er á Akureyri. Þar er kerfisstjóri þess, en hann er einnig kerfisstjóri Lyfju hf. Upplýsingakerfi Lyfju hf., þ. á m. lyfsölukerfið, eru hýst í Kópavogi á netþjónum í eigu Lyfju hf. Netþjónarnir eru ekki algjörlega aðskildir frá öðrum búnaði hjá Þekkingu-Tristan hf. Er m.a. notuð sama stöð til að taka afrit bæði af gögnum Lyfju hf. og af gögnum annarra viðskiptavina félagsins. Liggja gögn þeirra allra á sömu segulbandsspólunum, en aðgangsstýringar eiga að tryggja að gögn haldist aðgreind.

Aðgangur starfsmanna Lyfju hf. að persónuupplýsingum er mismikill og fer eftir skilgreiningum á hópum notenda. Þessum skilgreiningum hefur kerfisstjóri komið á. Eitt af því sem ræður aðgangi starfsmanna er hvort þeir starfa í höfuðstöðvum félagsins eða hjá einstökum lyfjaverslunum. Stjórnendur Lyfju hf. eiga aðeins að hafa aðgang að ópersónugreinanlegum gögnum (þetta kemur fram í töflu frá Lyfju hf. yfir aðgangsstýringar), en einungis starfsmenn hverrar lyfjabúðar eiga að hafa aðgang að persónugreinanlegum upplýsingum varðandi sölu lyfja í viðkomandi búð. Lyfsölukerfi Lyfju hf. er hýst sem einn gagnagrunnur, en upplýsingar frá hverri lyfjabúð mynda sér deild í gagnagrunninum.

Frá Akureyri og Kópavogi veitir Þekking Tristan hf. Lyfju hf. ýmsa þjónustu, t.d. keyrslu fyrirspurna, en kerfisþjónusta vegna lyfsölukerfisins er hins vegar veitt af Landsteinum hf. Kerfisstjóri Þekkingar-Tristan hf. ákveður hvort þjónusta fer fram frá Akureyri eða Kópavogi. Á útstöðvum, bæði í einstökum lyfjabúðum og í höfuðstöðvum Lyfju hf., er hins vegar yfirtökuhugbúnaður, sem merkir að starfsmenn Þekkingar-Tristan hf. geta yfirtekið vélar og þar með skoðað allar upplýsingar sem vistaðar eru á þeim vélum. Þá geta þeir uppfært hugbúnað og haft með höndum eftirlit. Kerfisstjóri stýrir aðgangi starfsmanna Þekkingar-Tristan hf. Sé þörf fyrir kerfisþjónustu í lyfsölukerfinu hafa stjórnendur Lyfju hf. hins vegar samband við Landsteina hf. sem þá ákveða hvaða starfsmenn Landsteina hf. vinna verkið. Fá þeir þá aðgang að innra neti og upplýsingakerfum Lyfju hf. í gegnum tengingar við Þekkingu-Tristan hf. í Kópavogi.

Í skýrslu SHB eru ýmsar athugasemdir gerðar við þá vinnslu persónuupplýsinga sem hér hefur verið lýst […]:

[…]

2.

Athugasemdir Lyfju hf. við skýrslu SHB

[…]

III.

Ákvörðun Persónuverndar

Forsendur

1.

Í máli þessu er til úrlausnar öryggi vinnslu persónuupplýsinga á vegum Lyfju hf. í ljósi 11., 12. og 13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og að virtum reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, með hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis.

Upplýsingar um lyfjanotkun teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 1. mgr. 2. gr. laga nr. 77/2000. Er heimild til vinnslu slíkra upplýsinga háð því að hún fullnægi einhverju af almennum skilyrðum 8. gr. laganna og einhverju af sérstökum skilyrðum 9. gr. laganna. Þá leiðir af ákvæðum laganna að enda þótt fullnægt sé skilyrðum 8. og 9. gr. telst vinnsla ekki vera heimil nema hún fullnægi ennfremur meðalhófsreglum 7. gr. laganna.

Þar sem þessari ákvörðun Persónuverndar er einungis ætlað að taka á öryggismálum vinnslunnar mun hún ekki taka til álitaefna er varða lögmæti vinnslunnar. Verður því ekki, að svo stöddu, fjallað um lögmæti einstakra skráa sem eru í lyfsölukerfi Lyfju hf. (s.s. skráar yfir viðskiptamenn sem haft er sérstakt eftirlit með) eða annarra þátta vinnslunnar (t.d. varðveislutíma upplýsinga í lyfsölukerfinu). Þá lýtur ákvörðun þessi aðeins að öryggi vinnslu hjá Lyfju hf. (þ.m.t. vinnsluaðilum) en ekki öðrum þáttum s.s. öryggi miðlunar upplýsinga frá félaginu til landlæknis, Tryggingastofnunar ríkisins eða Lyfjastofnunar.

2.

Í 31. og 32. gr. laga nr. 77/2000, sbr. reglur Persónuverndar nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, er kveðið á um skyldu ábyrgðaraðila til að tilkynna vinnslu persónuupplýsinga til Persónuverndar. Vinnsla lyfjaupplýsinga hjá Lyfju hf. er tilkynningarskyld samkvæmt þessum reglum, sbr. 31. gr. laga nr. 77/2000, sbr. 6. gr. reglna nr. 90/2001. Hún hefur og verið tilkynnt Persónuvernd (tilkynning nr. S787). Í tilkynningunni koma fram þau atriði, sem fram eiga að koma í tilkynningu, sbr. 1. mgr. 32. gr. laga nr. 77/2000, að því undanskildu að ekki er tekið fram að upplýsingar séu sendar landlækni og Lyfjastofnun eða að vinnsluaðilinn Landsteinar hf. hafi aðgang að upplýsingum, sbr. hins vegar 7. tölul. 1. mgr. 32. gr. þar sem kveðið er á um að í tilkynningu eigi að koma fram hverjum upplýsingar verði afhentar. Af þessu tilefni bendir Persónuvernd hér á mikilvægi þess að tilkynningar um vinnslu persónuupplýsinga séu uppfærðar reglulega svo að þær gefi rétta mynd af vinnslu hverju sinni.

3.

Samkvæmt 11. gr. laga nr. 77/2000 skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt. Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar. Ábyrgðaraðili skal skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir.

Í 4. tölul. 2. gr. laga nr. 77/2000 er hugtakið ábyrgðaraðili skilgreint sem sá „aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.“ Af því sem fram kemur í gögnum málsins telst Lyfja hf. vera ábyrgðaraðili í þessum skilningi, en ekki einstakir lyfsöluleyfishafar, enda tekur félagið ákvarðanir um val á búnaði og vinnsluaðferðir og annast gerð samninga við vinnsluaðila. Ber Lyfja hf. þar með ábyrgð á því að fullnægt sé framangreindum ákvæðum 11. gr. laga nr. 77/2000 og öðrum ákvæðum varðandi öryggi við vinnslu persónuupplýsinga. Breytir þar engu sú faglega ábyrgð sem hvílir á lyfsöluleyfishafa samkvæmt lyfjalögum nr. 93/1994, sbr. einkum 1. mgr. 20. gr. og 1. mgr. 21. gr., þar sem segir að þeir einir megi hafa með höndum lyfsölu sem til þess hafa hlotið leyfi ráðherra og að þeir beri faglega ábyrgð á rekstri lyfjabúðar, enda er í 2. mgr. 21. gr. laga nr. 93/1994 gert ráð fyrir að lyfjabúð geti verið rekin af öðrum en lyfsöluleyfishafa og þurfi sá aðili þá sjálfstætt leyfi ráðherra til rekstursins.

4.

Í 11. gr. laga nr. 77/2000 er fjallað um kröfur til öryggis persónuupplýsinga, í 12. gr. sömu laga er fjallað um innra eftirlit og í 13. gr. sömu laga um samninga við vinnsluaðila. Samkvæmt 5. mgr. 11. gr. laganna, sbr. 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, skal ábyrgðaraðili skrá öryggisstefnu, gera áhættumat og ákveða öryggisráðstafanir.

Hjá Lyfju hf. var ekki til öryggisstefna þegar SHB skilaði skýrslu sinni hinn 6. nóvember 2002, en nú hefur hún verið samin. Áhættumat er enn ekki til, en samkvæmt athugasemdum Lyfju hf. er fyrirhugað að gera það í framhaldi af gæðavinnu sem mun vera framundan hjá Þekkingu-Tristan hf. Öryggisráðstafanir hafa aðeins verið skráðar að takmörkuðu leyti. Telur Persónuvernd æskilegt, vegna hinnar viðamiklu vinnslu félagsins á viðkvæmum persónuupplýsingum, að áhættumat og öryggisráðstafanir fullnægi þeim kröfum sem fram koma í staðlinum ÍST BS 7799. Þá telur Persónuvernd æskilegt að skráning öryggisráðstafananna geri það einnig.

a) Þar sem öryggisráðstafanir hafa ekki verið fyllilega skráðar liggur ekki fyrir hvort eða hvernig tryggt sé að einungis þeir hafi aðgang að persónugreinanlegum upplýsingum sem þess þurfa. Á það m.a. við um persónugreinanleg pappírsgögn frá lyfjabúðum sem eru í sameiginlegri geymslu Lyfju hf. Persónuvernd telur hins vegar að svo að fullnægt verði kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 verði að tryggja að einungis þeir hafi þennan aðgang sem þurfa á honum að halda, starfs síns vegna. Þetta má t.d. gera með því að setja upp aðgangskortakerfi þannig að öll umgengni um geymsluna verði rekjanleg.

b) Samkvæmt skýrslu SHB eru varðveitt á rafrænu formi persónugreinanleg lyfjagögn allt frá upphafi reksturs Lyfju hf. í gömlu Fjölniskerfi í höfuðstöðvum félagsins í Bæjarlind 14 og séu þau aðgengileg ýmsum starfsmönnum. Af hálfu Lyfju hf. hefur hins vegar verið fullyrt að í Fjölniskerfinu séu aðeins varðveittar fjárhagslegar upplýsingar en ekki persónuupplýsingar um lyfjaneyslu. Þá hefur Lyfja hf. greint frá fyrirhugaðri gerð verklagsreglna um eyðingu gagna sem ekki er skylt að varðveita. Persónuvernd telur nauðsynlegt að Lyfja hf. yfirfari öll kerfi félagsins, kanni hvort þau hafi að geyma persónuupplýsingar, og sé svo, að þá verði þeim persónuupplýsingum eytt sem ekki er lögmætt og málefnalegt að varðveita, sbr. 7. gr. laga nr. 77/2000. Bent er á að samkvæmt 4. mgr. 24. gr. lyfjalaga nr. 93/1994 getur landlæknir krafist rafrænna upplýsinga af lyfseðlum – en aðeins fyrir ár aftur í tímann. Einnig er bent á að af 19. gr. reglugerðar nr. 91/2001 um afgreiðslu lyfseðla, afhendingu og áritun lyfja leiðir að aðeins þarf að geyma (í sjö ár) þá lyfseðla sem ekki eru sendir Tryggingastofnun ríkisins.

c) Lyfjaupplýsingar, sem fara frá einstökum lyfjabúðum til Þekkingar-Tristan hf. í Kópavogi, eru ódulkóðaðar í flutningi, sem og við vörsluna þar. Þá segir í skýrslu SHB að öryggi fjartenginga hafi ekki verið tekið út og að nethögun Lyfju hf. sé ekki nægilega skýr. Í athugasemdum Lyfju hf. segir að fjartengingar séu þrautreyndar. Þá segir að vegna fyrirhugaðrar vottunar á innleiðingu stjórnunarstaðalsins ÍST BS 7799 hjá Þekkingu-Tristan hf. verði öryggi í gagnaflutningum tekið út og að hægagangur og kostnaður, sem fylgi dulkóðun, mæli á móti því að henni sé beitt alls staðar, en dulkóðun sé beitt í gagnasendingum til Tryggingastofnunar ríkisins, enda sé þá verið að flytja fullbúin, persónugreinanleg gögn til og frá gagnagrunni ólíkt því sem gildi um aðra gagnaflutninga. Svo að kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 til upplýsingaöryggis sé fullnægt telur Persónuvernd hins vegar nauðsynlegt, þegar litið er til þess hversu viðkvæmar umræddar upplýsingar eru, að tryggja öryggi í gagnaflutningi með því að koma á öruggum tengingum með dulkóðuðum samskiptum. Við dulkóðunina skal nota aðferð sem er á almennum markaði og þykir vera öruggust á hverjum tíma. Á þetta við hvort sem um er að ræða gagnaflutning milli starfsstöðva ábyrgðaraðila eða milli vinnsluaðila og ábyrgðaraðila.

d) Tekið er á móti lyfjum til förgunar, en merkingar á umbúðum lyfjanna, s.s. um nafn lyfjaneytanda, númer læknis og notkun lyfs, eru ekki alltaf fjarlægðar áður en þeim er fargað. Óljóst er hvað verður um persónuupplýsingar á lyfjaumbúðum eftir förgun lyfjanna sjálfra. Í athugasemdum Lyfju hf. kemur fram, að þessi mál séu nú í athugun og að verklagsreglur um förgun lyfja muni verða útbúnar. Þegar litið er til þess hversu viðkvæmar þessar upplýsingar eru telur Persónuvernd að kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000 verði ekki fullnægt nema merkingarnar verði teknar af umbúðunum.

e) Starfsmenn Þekkingar-Tristan hf. geta yfirtekið útstöðvar í lyfjabúðum Lyfju hf. Þótt ætlast sé til að starfsmaður Lyfju hf. stýri aðgangi starfsmanna Þekkingar-Tristan hf. og að þeir fái ekki yfirtökuaðgang nema nauðsyn krefji eru yfirtökuforrit í raun og veru stöðugt í gangi og ekkert hindrar að starfsmenn Þekkingar-Tristan hf. yfirtaki tölvugögn án leyfis. Persónuvernd telur þetta verklag ekki fullnægja kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000.

f) Prófunarumhverfi fyrir lyfsölukerfi vantar, bæði hjá Lyfju hf. og Þekkingu-Tristan hf. Ekki er skilið á milli prófana kerfa og reksturs þeirra. Kerfishönnuðir og forritarar vinna því með raungögn við prófanir í stað þess að láta gervigögn nægja. Starfsmenn Landsteina hf., sem sjá um forritun og þróun upplýsingakerfa Lyfju hf., hafa beinan aðgang inn til Þekkingar-Tristan hf. og að upplýsingakerfi Lyfju hf. Persónuvernd telur, þegar litið er til þess hversu viðkvæmar umræddar upplýsingar eru, að slíkur aðgangur að raungögnum og slík notkun þeirra samrýmist ekki kröfum 1. og 2. mgr. 11. gr. laga nr. 77/2000.

g) Ekki liggur fyrir að tryggður sé fullnægjandi aðskilnaður afrita hjá Þekkingu-Tristan hf. Þar eru hýst gögn frá mörgum óskyldum aðilum og hafa gögn frá Lyfju hf. verið tekin á sömu afritunarspólur og gögn annarra fyrirtækja. Í athugasemdum Lyfju hf. hefur verið upplýst að nú sé unnið að úrbótum á þessu, m.a. hafi nýlega verið tekin í notkun viðbótarafritunarstöð hjá Þekkingu-Tristan hf. og þar með verið gert mögulegt að taka sérstök afrit fyrir Lyfju hf. Persónuvernd telur rétt að tekin séu sérstök afrit af gögnum Lyfju hf. og raunar skylt, með hliðsjón af 1. og 2. mgr. 11. gr. laga nr. 77/2000, að það sé gert.

h) Einn þáttur í öryggi persónuupplýsinga er gerð samnings við vinnsluaðila, sbr. 13. gr. laga nr. 77/2000, en vinnsluaðili er sá sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. sömu laga. Í samningi skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr. Skal ábyrgðaraðili, áður en hann semur við vinnsluaðila, hafa sannreynt að hann geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Í 9. gr. reglna nr. 299/2001 eru kröfur til samnings við vinnsluaðila útfærðar nánar. Gerður hefur verið vinnslusamningur við Þekkingu-Tristan hf., en í hann vantar ákvæði um þær öryggiskröfur sem fullnægja verður. Ekki hefur verið samið við Landsteina hf., en í athugasemdum Lyfju hf. kemur fram að nú standi yfir samningsgerð við það fyrirtæki. Meðan hvorki hefur verið samið við Landsteina hf., né samningi við Þekkingu-Tristan hf. verið breytt, telst kröfum 13. gr. laga nr. 77/2000 ekki vera fullnægt hjá Lyfju hf. Auk þess telur Persónuvernd nauðsynlegt að í samskiptum sínum við undirverktaka eða þjónustuaðila, s.s. þá sem sjá um ræstingar, sé þess gætt að þeir starfsmenn, sem kunna að fá vitneskju um viðkvæmar persónuupplýsingar í störfum sínum, undirriti trúnaðarheit um slíkar upplýsingar. Varðandi undirverktaka þarf að huga sérstaklega að því að samkvæmt 3. mgr. 13. gr. laga nr. 77/2000 er hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.

i) Einn þáttur í öryggi persónuupplýsinga er innra eftirlit, sbr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001. Fyrir liggur að Lyfja hf. viðhefur ekki innra eftirlit nema að takmörkuðu leyti, en í athugasemdum Lyfju hf. segir að nú sé unnið að gerð öryggishandbókar þar sem gert verði ráð fyrir að reglulegt eftirlit fari fram með fyrirfram ákveðnum hætti og að þannig verði fullnægt skilyrðum laga nr. 77/2000 um innra eftirlit. Meðan Lyfja hf. hefur hvorki unnið áhættumat né skráð öryggisráðstafanir nema að takmörkuðu leyti verður þó ekki talið að kröfum 12. gr. laga nr. 77/2000 um innra eftirlit hafi verið fullnægt. Framkvæma skal innra eftirlit með því að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið, sbr. 1. mgr. 8. gr. reglna nr. 299/2001. Innra eftirlit skal viðhaft með reglubundnum hætti, ekki sjaldnar en árlega, og skal ákveða tíðni þess og umfang með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd þess, sbr. 2. mgr. Þá skal ábyrgðaraðili sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti þar sem lýst skal niðurstöðu hvers þáttar eftirlitsins, sbr. 3. mgr., þar sem segir einnig að skýrslur um innra eftirlit skuli varðveita tryggilega.

Með vísan til alls ofangreinds og 1. mgr. 40. gr. laga nr. 77/2000 hefur Persónuvernd ákveðið að beina fyrirmælum til Lyfju hf. um að viðhafa þær ráðstafanir sem taldar eru upp í ákvörðunarorði hér fyrir neðan. Samkvæmt athugasemdum félagsins er vinna nú þegar hafin eða að hefjast við að bæta úr sumum þessara atriða. Persónuvernd leggur hins vegar áherslu á að þessari vinnu verði lokið fyrir þann frest sem að neðan er tilgreindur. Að honum liðnum mun Persónuvernd fara í vettvangsheimsóknir til starfsstöðva félagsins, sbr. 2. mgr. 38. gr. laga nr. 77/2000, og kanna hvort eftir fyrirmælunum hafi verið farið. Mun félaginu verða tilkynnt um nánari tímasetningu þeirra heimsókna síðar. Hafi ekki verið farið eftir fyrirmælunum mun Persónuvernd grípa til nauðsynlegra ráðstafana.

Ekki verður að svo stöddu tekin ákvörðun um dulkóðun persónuupplýsinga í gagnagrunni hjá vinnsluaðilum eða undirverktökum þeirra, en þess má vænta að á því máli verði tekið að framangreindum fresti liðnum.

Á k v ö r ð u n a r o r ð:

Fyrir 1. janúar 2004 skal Lyfja hf. hafa lokið við að:

1. Gera skriflegt áhættumat, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, og skapa þannig forsendur fyrir vali á skriflegum öryggisráðstöfunum.

2. Fullnægja kröfum 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, um skráningu öryggisráðstafana. Skráning öryggisráðstafana á að byggjast á þeim forsendum sem fram koma í áhættumati og á að ná til allra þeirra áhættuþátta sem þar eru reifaðir.

3. Taka upp innra eftirlit í samræmi við 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001.

4. Gera skriflegan samning við Landsteina hf. og aðra vinnsluaðila, séu þeir fyrir hendi, sem og nýjan samning við Þekkingu-Tristan hf., í samræmi við 13. gr. laga nr. 77/2000, sbr. 9. gr. reglna nr. 299/2001.

5. Tryggja að þeir starfsmenn undirverktaka eða þjónustuaðila, s.s. aðila sem sjá um ræstingar, sem kunna að fá vitneskju um viðkvæmar persónuupplýsingar í störfum sínum, undirriti trúnaðarheit um slíkar upplýsingar.

6. Tryggja öryggi í gagnaflutningi með því að koma á öruggum tengingum með dulkóðuðum samskiptum. Við dulkóðunina skal nota aðferð sem er á almennum markaði og þykir vera öruggust á hverjum tíma. Á þetta við hvort sem um er að ræða gagnaflutning milli starfsstöðva ábyrgðaraðila eða milli vinnsluaðila og ábyrgðaraðila.

7. Stöðva töku afrita af upplýsingum frá Lyfju hf. á sömu spólur og upplýsingar annarra aðila.

8. Koma á sérstöku kerfi er tryggi rekjanleika allrar umgengni um persónugreinanleg gögn frá lyfjabúðum sem geymd eru í sameiginlegri geymslu.

9. Eyða öllum persónugreinanlegum lyfjagögnum sem ekki er lögskylt að varðveita, þ. á m. eftir atvikum úr Fjölniskerfi. Þetta á við um öll gögn, þ. á m. upplýsingar sem hafa verið skráðar í lyfsölukerfið og á pappír.

10. Hindra að starfsmenn Þekkingar-Tristan hf. geti yfirtekið útstöðvar þar sem unnið er með persónugreinanlegar upplýsingar.

11. Tryggja að persónugreinanlegum merkingum af umbúðum lyfja verði eytt áður en umbúðirnar eru afhentar förgunaraðila.

12. Koma á sérstöku prófunarumhverfi og tryggja að starfsmenn Landsteina hf. hafi einungis aðgang að ópersónugreinanlegum upplýsingum við prófanir í lyfsölukerfi.

3.2.3. Lögmæti og öryggi persónuupplýsinga hjá Lyfjastofnun

Með bréfi Persónuverndar, dags. 27. ágúst 2003, var Lyfjastofnun kynnt ákvörðun Persónuverndar í máli nr. 2001/720. Í bréfinu segir:

I.
Almennt
Málavextir /bréfaskipti

Í máli þessu eru til úrlausnar tvö atriði er varða vinnslu Lyfjastofnunar á persónuupplýsingum, í fyrsta lagi lögmæti þeirrar vinnslu persónuupplýsinga sem þar fer fram, þ.e. hvort hún hafi viðhlítandi lagastoð, og í öðru lagi öryggi þeirrar vinnslu sem hefur slíka lagastoð. Þannig lýtur ákvörðun þessi að tveimur málum, annars vegar máli er stofnað var til með bréfi Persónuverndar til Lyfjastofnunar, dags. 5. september 2001, þar sem Lyfjastofnun var tilkynnt að ákveðið hefði verið að gera úttekt á öryggi vinnslu persónuupplýsinga hjá stofnuninni (mál nr. 2001/720), og hins vegar máli er lýtur að lögmæti vinnslu Lyfjastofnunar á persónuupplýsingum um lyfjaneyslu og skráningu þeirra upplýsinga í gagnagrunn. Tilefni þess máls er m.a. atvik sem átti sér stað hinn 30. maí 2002 þegar listi yfir lyfjaávísanir vegna ýmiss konar lyfja, sem Lyfjastofnun hafði kallað eftir, var símsendur til óviðkomandi aðila (mál nr. 2002/284).

1.
Bréfaskipti vegna úttektar á öryggi við
vinnslu persónuupplýsinga hjá Lyfjastofnun

Með bréfi, dags. 5. september 2001, tilkynnti Persónuvernd Lyfjastofnun að ákveðið hefði verið að gera úttekt á vinnslu persónuupplýsinga hjá stofnuninni. Var þess óskað að Persónuvernd bærust gögn þar að lútandi. Lyfjastofnun svaraði með bréfi, dags. 18. september 2001. Taldi Persónuvernd þörf á frekari gögnum og óskaði þeirra með bréfi, dags. 28. nóvember s.á. Í framhaldi af því, hinn 7. desember s.á., barst Persónuvernd tölvupóstur frá Lyfjastofnun og því næst bréf, dags. 31. janúar 2002, þar sem erindi Persónuverndar var svarað. Bréfinu fylgdi skjal um öryggismál hjá stofnuninni, nefnt áhættumat, dags. s.d. Með bréfi, dags. 11. febrúar 2002, tilkynnti Persónuvernd Lyfjastofnun að SHB og framkvæmdastjóra Stika ehf., hefði verið falið að vinna skýrslu um ástand öryggismála hjá stofnuninni. Þá var Lyfjastofnun minnt á að tilkynna alla vinnslu sína á persónuupplýsingum í samræmi við 31. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í framhaldi af þessu barst Persónuvernd bréf frá Lyfjastofnun, dags. 18. febrúar 2002, og síðar tilkynning nr. S733, hinn 19. apríl s.á., um skráningu á upplýsingum af lyfseðlum eftirritunarskyldra lyfja.

SHB hóf sjálfstæða athugun á öryggi persónuupplýsinga hjá Lyfjastofnun. Við þá athugun átti hún ýmis samskipti og samráð við stofnunina, m.a. viðræður við forstjóra hennar. Aflaði hún og ýmissa gagna um vinnslu persónuupplýsinga hjá Lyfjastofnun, m.a. öryggisstefnu stofnunarinnar og gagna um öryggisráðstafanir. Þessi gögn eru í gæðahandbók Lyfjastofnunar og bárust þau SHB með bréfi til hennar, dags. 20. mars 2002. Að auki fór SHB, ásamt starfsmanni Persónuverndar, í heimsókn til Lyfjastofnunar hinn 7. maí s.á.

SHB skilaði Persónuvernd skýrslu um öryggi vinnslunnar, sem unnin var í samræmi við öryggisstaðalinn ÍST ISO/IEC BS 17799:2000, ásamt bréfi, dags. 26. júní 2002. Með bréfi Persónuverndar, dags. s.d., var Lyfjastofnun boðið að tjá sig um skýrsluna. Lyfjastofnun svaraði með bréfi, dags. 8. ágúst 2002, og óskaði m.a. eftir upplýsingum um hverjar væru reglur Persónuverndar um atriði sem vikið væri að í skýrslu SHB, þ.e. tengingu tölvu við innra net og tengingu tölvu við internetið. Með bréfi, dags. 23. s.m., óskaði Persónuvernd eftir afstöðu SHB til athugasemda Lyfjastofnunar. SHB svaraði með bréfi, dags. 2. september 2002. Með bréfi, dags. 27. s.m., bauð Persónuvernd Lyfjastofnun að tjá sig um bréf SHB. Lyfjastofnun svaraði með bréfi, dags. 9. október 2002, og voru þar óskir um skýringar ítrekaðar. Persónuvernd svaraði með bréfi, dags. 23. apríl 2003. Með bréfi, dags. 15. júlí s.á., var Lyfjastofnun boðið að koma að frekari gögnum og athugasemdum um öryggisúttektina, teldi hún ástæðu til. Lyfjastofnun svaraði með bréfi, dags. 5. ágúst s.á., og voru óskir um skýringar þar enn ítrekaðar. Ekki voru þar gerðar sérstakar athugasemdir við öryggisúttektina, en hjálagt fylgdi endurskoðað áhættumat, dags. 25. júlí s.á., varðandi upplýsingar af lyfseðlum eftirritunarskyldra lyfja. Af tilefni óska um skýringar skal tekið fram að um það hverjar „reglur“ Persónuverndar eru um umrædd atriði hefur verið vísað til reglna nr. 299/2001 um öryggi persónuupplýsinga, en eðli málsins samkvæmt ber að haga öryggisráðstöfunum eftir atvikum máls hverju sinni. Hverjar þær eru hvað varðar Lyfjastofnun kemur fram í þessari ákvörðun.

2.
Bréfaskipti varðandi lögmæti vinnslu persónuupplýsinga
hjá Lyfjastofnun, þ. á m. í tengslum við myndsendingu lyfjalista
frá starfsstöð Lyfju hf. til stofnunarinnar

Bréfaskipti hafa átt sér stað milli Persónuverndar og Lyfjastofnunar um lögmæti vinnslu síðarnefndu stofnunarinnar á persónuupplýsingum, m.a. vegna atviks sem varð hinn 30. maí 2002 þegar listi yfir lyfjaávísanir, sem Lyfjastofnun hafði óskað eftir að fá frá verslun Lyfju hf. í Lágmúla, var fyrir mistök myndsendur til óviðkomandi aðila. Á þessum lista voru ítarlegar persónuupplýsingar, m.a. um tilteknar lyfjaávísanir nafngreinds læknis, bæði á eftirritunarskyld lyf og lyf sem ekki eru eftirritunarskyld, og hverjir höfðu fengið hvaða lyf. Listinn bar þannig með sér upplýsingar um lyfjaneyslu stórs hóps manna. Þegar Persónuvernd fékk vitneskju um þetta atvik var ákveðið að hefja athugun á málinu og lögmæti vinnslu persónuupplýsinga hjá Lyfjastofnun. Barst Persónuvernd bréf frá Lyfju hf., dags. 8. júní 2002, og frá versluninni í Lágmúla, dags. s.d., þar sem m.a. sagði að Lyfjastofnun hefði óskað þess sérstaklega að listinn yrði myndsendur.

Persónuvernd sendi Lyfjastofnun bréf, dags. 4. september 2002, þar sem m.a. var spurt hvort listinn hefði verið myndsendur að beiðni Lyfjastofnunar, með hvaða lagaheimild hún hefði gert það, hvort kallað hefði verið eftir upplýsingum um allar lyfjaávísanir viðkomandi læknis, eða einungis vegna eftirritunarskyldra lyfja, og til hvaða aðgerða stofnunin hefði gripið til að koma í veg fyrir að atvik sem þetta endurtæki sig. Lyfjastofnun svaraði með bréfi, dags. 1. október 2002. Þar segir m.a.:

„Að beiðni landlæknisembættisins vegna eftirlits með ávísunum lækna óskaði Lyfjastofnun eftir umbeðnum upplýsingum úr lyfjabúð. Skv. 4. mgr. 24. gr. lyfjalaga nr. 93/1994, getur landlæknir krafist þessara upplýsinga allt að einu ári aftur í tímann. Er það liður í eftirliti landlæknisembættisins með lyfjaávísunum lækna. Í framkvæmd hefur sá háttur verið hafður á að landlæknisembættið hefur óskað eftir því við Lyfjastofnun (áður; Lyfjaeftirlit ríkisins) að afla þessara upplýsinga. Í umræddu tilviki var óskað eftir öllum lyfjaávísunum tiltekins læknis. Er lögð á það rík áhersla að slíkar upplýsingar berist stofnuninni með tryggilegum hætti svo sem í ábyrgðarpósti eða með öðrum tryggilegum hætti líkt og gildir um allar aðrar trúnaðarupplýsingar sem berast stofnuninni. Ljóst þykir að mannleg mistök áttu sér stað við upplýsingaöflun og afhendingu upplýsinga í umræddu tilviki þegar óskað var eftir upplýsingum með símbréfi og þær afhentar með þeim hætti.“

Í bréfi Lyfjastofnunar segir einnig að stofnunin hafi ákveðið að taka til endurskoðunar framkvæmd eftirlits með lyfjaávísunum lækna og m.a. rætt þá framkvæmd við landlækni sem hafi í reynd forræði þess. Samvinna á milli Lyfjastofnunar og landlæknis sé afar mikilvæg svo að efla megi skilvirkt eftirlit með lyfjaávísunum lækna, sérstaklega á ávana- og fíknilyf. Landlæknisembættið hafi hins vegar skýrar lagaheimildir til að afla upplýsinganna beint frá lyfjabúðum án milligöngu Lyfjastofnunar þó að hagræði sé af núverandi fyrirkomulagi vegna almenns eftirlits stofnunarinnar með lyfjabúðum. Í niðurlagi bréfsins segir loks: „Lyfjastofnun hefur þegar brýnt fyrir lyfjabúðum (sbr. dreifibréf Lyfjastofnunar nr. 4/2002/LS [frá 6. júní 2002]) að allar trúnaðarupplýsingar sem opinberum eftirlitsaðilum er ætlað að afla við eftirlitsstörf sín og þar verða til berist með ábyrgðarpósti eða öðrum tryggilegum hætti“.

Vegna upplýsinga Lyfjastofnunar um að hún hefði óskað eftir umræddum upplýsingum að beiðni landlæknis fór Persónuvernd þess á leit, með bréfi dags. 10. mars 2003, að landlæknir gerði grein fyrir afstöðu sinni til þess hvort hann hefði verið ábyrgðaraðili vinnslunnar og Lyfjastofnun unnið á hans vegum sem vinnsluaðili. Þá var þess óskað að landlæknir upplýsti hvort gerður hefði verið vinnslusamningur við Lyfjastofnun í samræmi við 13. gr. laga nr. 77/2000. Landlæknir svaraði með bréfi, dags. 20. mars sl., og þar kom fram að enginn sérstakur samningur (vinnslusamningur) hefði verið gerður og vakin athygli á því að um áratuga langt samstarf og eftirlit á þessu sviði væri að ræða.

Umsagnar Lyfjastofnunar um heimildir hennar til vinnslu persónuupplýsinga var aftur óskað með bréfi, dags. 16. júlí 2003. Þar sagði m.a.: „Persónuvernd vísar til fyrri samskipta vegna úttektar stofnunarinnar á öryggi lyfjaupplýsinga hjá Lyfjastofnun. Þar sem við úrlausn málsins verður ekki aðeins vikið að öryggismálum vinnslunnar heldur einnig lögmæti hennar er þess hér með óskað að Lyfjastofnun tjái sig um það atriði, einkum lögmæti söfnunar og skráningar á gögnum sem bera með sér upplýsingar um lyfjaneyslu einstakra manna og færslu þeirra í gagnagrunn.“ Lyfjastofnun svaraði með bréfi, dags. 5. ágúst 2003. Þar segir m.a.:

„Lyfjastofnun, áður Lyfjaeftirlit ríkisins, gegnir lögbundnu hlutverki með ávana- og fíknilyfjum. Með tilkomu laga nr. 77/2000 um vinnslu persónuupplýsinga og samskipta Lyfjastofnunar við Persónuvernd var ljóst að nauðsynlegt væri að styrkja lagagrundvöll fyrir hefðbundnu eftirliti Lyfjastofnunar með ávana- og fíknilyfjum. Hefðbundið eftirlit Lyfjastofnunar með ávana- og fíknilyfjum byggir nú á 9. tl. 1. mgr. 3. gr. lyfjalaga nr. 93/1994 með síðari breytingum, er lýtur að afgreiðslu, gerð og áritun lyfseðla og afhendingu ávana og fíknilyfja úr lyfjabúð sbr. einnig 22. og 26. gr. reglugerðar nr. 91/2001 um afgreiðslu lyfseðla og afhendingu og áritun lyfja. Lyfjastofnun getur samkvæmt 27. gr. lyfjalaga nr. 93/1994 með síðari breytingum óskað eftir aðgangi að upplýsingum úr væntanlegum lyfjagagnagrunni þegar um er að ræða rökstuddan grun um fölsun lyfseðla fyrir ávana- og fíknilyf, tilurð lyfseðils hafi orðið með ólögmætum hætti, eða þegar rökstuddur grunur er um ranga afgreiðslu lyfseðils fyrir ávana- og fíknilyf. Lyfjastofnun sinnir hefðbundnu eftirlitshlutverki sínu með því m.a. að færa upplýsingar af afgreiddum lyfseðlum á ávana- og fíknilyf í gagnagrunn. Þegar lyfjagagnagrunnur sbr. IX. kafla lyfjalaga nr. 93/1994, með síðari breytingum, verður að veruleika mun vinnu við færslu upplýsinga af lyfseðlum í gagnagrunn stofnunarinnar ljúka.“

II.
Lýsing á vinnslu Lyfjastofnunar á
persónuupplýsingum um lyfjanotkun

Meðal þeirra gagna, sem litið hefur verið til við umfjöllun um mál þetta, eru:

1) Tilkynning Lyfjastofnunar til Persónuverndar (nr. S733, dags. 19. apríl 2002). Þar er greint frá vinnslu persónuupplýsinga af lyfseðlum vegna eftirritunarskyldra lyfja (þ.e. lyfja sem ekki má ávísa nema að fengnu samþykki Lyfjastofnunar). Kemur fram að vinnslan sé þáttur í eftirliti með ávísunum á slík lyf. Upplýsinganna sé aflað frá lyfjabúðum, þær skráðar í gagnagrunn og sendar landlækni. Öryggis sé gætt með dulkóðun og upplýsingunum eytt eftir tveggja ára varðveislutíma.

Engin tilkynning hefur borist frá stofnuninni um að hún vinni með upplýsingar um önnur lyf en þau sem eru eftirritunarskyld.

2) Skýrsla SHB um öryggi við vinnslu persónuupplýsinga hjá Lyfjastofnun. Skýrslan barst Persónuvernd með bréfi, dags. 26. júní 2002, eins og áður segir. Þar er að finna lýsingu á vinnslu Lyfjastofnunar á persónuupplýsingum. Efni skýrslunnar er rakið nánar hér að neðan.

3) Ýmis bréf Lyfjastofnunar og bréfaskipti í tengslum við úttektina. Í tölvupósti frá Lyfjastofnun til Persónuverndar hinn 7. desember 2001 var tilkynnt að „Lyfjaeftirlit ríkisins (nú Lyfjastofnun) h[efði] frá því um 1990 (jafnvel fyrir þennan tíma) skráð upplýsingar um notkun á ávana og fíknilyfjum í gagnagrunn sbr. nú 13. gr. reglugerðar nr. 233/2001 um ávana og fíkniefni og önnur eftirritunarskyld lyf [og að í dag skrái] Lyfjastofnun í gagnagrunn í access þessar upplýsingar og þar [séu] skráðar sölutölur frá lyfjafyrirtækjum og upplýsingar á lyfseðlum sem sendir eru Lyfjastofnun.“

Í bréfi frá Lyfjastofnun til Persónuverndar, dags. 18. febrúar 2002, segir að varðveislutími upplýsinganna sé eitt ár en að hámarki tæplega tvö ár. Upplýsingum sé eytt árlega. Aðgangur að þeim sé takmarkaður og einungis tveir starfsmenn hafi aðgang að þeim. Landlæknir fái upplýsingar úr gagnagrunninum og séu þær sendar honum reglulega.

Í bréfi frá Lyfjastofnun til Persónuverndar, dags. 8. ágúst 2002, er lýst afstöðu stofnunarinnar til skýrslu SHB. Fyrir liggur og bréf SHB til Persónuverndar, dags. 2. september 2002, þar sem athugasemdum Lyfjastofnunar er svarað; bréf Lyfjastofnunar til Persónuverndar, dags. 9. október 2002, þar sem gerðar eru athugasemdir við svör SHB og bréf Lyfjastofnunar til Persónuverndar, dags. 5. ágúst 2003, þar sem lýst er afstöðu stofnunarinnar til lögmætis vinnslu hennar á persónuupplýsingum, en bréfinu fylgdi áhættumat vegna upplýsinga af lyfseðlum eftirritunarskyldra lyfja, dags. 25. júlí s.l. Nánar er fjallað um þetta hér að neðan.

Auk ofangreindra gagna má m.a. nefna bréf Lyfjastofnunar til Persónuverndar, dags. 1. október 2002, og bréf landlæknis til Persónuverndar, dags. 20. mars sl., vegna þess atviks þegar listi yfir lyfjaávísanir var myndsendur frá verslun Lyfju hf. í Lágmúla til óviðkomandi aðila, en hann átti að berast Lyfjastofnun.

4) Skýrsla stýrihóps sem heilbrigðisráðherra skipaði hinn 8. júlí 2002 með það hlutverk að skilgreina og meta þarfir Lyfjastofnunar, landlæknis og Tryggingastofnunar ríkisins fyrir lyfjaupplýsingar.

1.
SHB um vinnslu persónuupplýsinga

hjá Lyfjastofnun

Í skýrslu SHB kemur fram að persónuupplýsingar varðandi lyfsölu berast Lyfjastofnun eingöngu á pappír, en með ferns konar hætti: Í fyrsta lagi eru frumrit allra lyfseðla vegna eftirritunarskyldra lyfja send með ábyrgðarpósti. Segir að þeir séu geymdir í möppum í opnum hillum í skjalasafni stofnunarinnar. Í öðru lagi berast lyfseðlar svonefndra undanþágulyfja, þ.e. lyfja sem Lyfjastofnun hefur ekki veitt markaðsleyfi fyrir en samþykkir að nota megi. Slíkt samþykki getur verið veitt fyrirfram fyrir allri notkun lyfs, en þá sendir læknir lyfseðil til lyfjabúðar og er afrit sent Lyfjastofnun þaðan, eða fyrir hvert einstakt skipti, en þá sendir læknir lyfseðil til Lyfjastofnunar og er afrit sent lyfjabúð þaðan. Í þriðja lagi berast gögn í tengslum við gerð svokallaðra skyndikannana, oft að beiðni landlæknis. Þá er jafnvel safnað öllum ávísunum fyrir tiltekið lyf, öllum ávísunum frá tilteknum lækni eða öllum ávísunum fyrir tiltekinn einstakling. Til að gera slíka könnun er kallað eftir persónuupplýsingum frá lyfjabúðum sem senda þær til Lyfjastofnunar í almennum pósti. Lyfjastofnun vinnur því næst úr gögnunum og sendir landlækni upplýsingar með innanhúspósti. Í fjórða lagi er um að ræða kannanir, gerðar að frumkvæði Lyfjastofnunar sjálfrar. Þá er aflað gagna frá lyfjabúðum sem hafa að geyma upplýsingar um nöfn einstaklinga og kennitölur, lyfjaheiti og hvaða læknir hafi ávísað lyfi.

Upplýsingar af lyfseðlum eftirritunarskyldra lyfja eru færðar í Access-gagnagrunn sem er hjá Lyfjastofnun. Ekki liggur fyrir að upplýsingar, sem berast um neyslu annarra lyfja, séu færðar í þennan gagnagrunn. Gagnagrunnurinn er dulkóðaður þegar ekki er verið að nota hann en afkóðast þegar unnið er í honum. Einn starfsmaður annast færslu persónuupplýsinga í gagnagrunninn. Skráðar eru dagsetningar færslna en ekki nafn notanda eða aðgerð. Aðgangur er því ekki sérstaklega skráður. Færsluskráningar eru ekki rýndar og óvíst er um skráningu á stýrikerfisaðgangi. Tölvan, sem gagnagrunnurinn er hýstur í, er dagleg vinnustöð þess starfsmanns og notar hann tölvuna til annarra verka, s.s. til að komast á internetið og vera í tölvupóstsamskiptum. Tölvan er tengd innra neti Lyfjastofnunar, en diskur hennar er þó ekki aðgengilegur öðrum sem eru tengdir innra netinu. Veiruvarnarforrit er hvorki á þessari tölvu né öðrum tölvum. Veiruvarnir eru hins vegar á netþjónum sem ná til tölvupósts og internets. Tekin eru öryggisafrit af gagnagrunninum. Það er gert vikulega. Afrit eru á geisladiskum sem varðveittir eru í bankahólfi. Önnur upplýsingakerfi en umræddur gagnagrunnur eru hýst hjá Nýherja hf. Öryggismál þess félags skipta máli hvað varðar gagnagrunninn, enda er hann tengdur við innra net Lyfjastofnunar.

Í skýrslu SHB eru gerðar ýmsar athugasemdir:

[…]

2.
Upplýsingar frá Lyfjastofnun um öryggi vinnslu, bæði í
athugasemdum hennar við skýrslu SHB og í öðrum
gögnum sem Persónuvernd hafa borist frá stofnuninni

Með bréfi, dags. 8. ágúst 2002, gerði Lyfjastofnun athugasemdir við efni skýrslu SHB. Þær voru þessar m.a.:

1. Að í skýrslunni komi fram að hún nái til lyfseðla eftirritunarskyldra lyfja, lyfseðla undanþágulyfja og lyfjaávísana sem aflað sé vegna kannana á lyfjaafgreiðslum að beiðni landlæknis eða að beiðni Lyfjastofnunar sjálfrar, en Lyfjastofnun telji hins vegar að eingöngu upplýsingar af lyfseðlum eftirritunarskyldra lyfja falli undir gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga en ekki upplýsingar af öðrum lyfseðlum sem stofnuninni berast.

2. Að í skýrslunni segi að lyfseðlar eftirritunarskyldra lyfja séu geymdir í möppum í opnum hillum í skjalasafni stofnunarinnar, en þetta sé ekki rétt. Þeir séu geymdir í sérstaklega læstri geymslu sem einungis fáir starfsmenn hafi aðgang að.

3. Að í skýrslunni segi að ábyrgð á meðferð persónuupplýsinga hafi verið framseld utanaðkomandi tölvuráðgjafa (sjá lið 1 hér að ofan í lýsingu á niðurstöðum skýrslunnar), en þetta sé ekki rétt. Ábyrgð á meðferð persónuupplýsinga hafi ekki að neinu leyti verið framseld. Hins vegar sé nauðsynlegt fyrir fagstofnanir að leita sérfræðiráðgjafar þegar þess gerist þörf.

Geta má þess að í bréfi SHB til Persónuverndar, dags. 2. september 2002, er þessum athugasemdum svarað. Kemur þar m.a. fram sú afstaða hennar að allar þær upplýsingar, sem fjallað sé um í skýrslu hennar, falli undir gildissvið laga nr. 77/2000, en ekki aðeins upplýsingar af lyfseðlum eftirritunarskyldra lyfja; að í vettvangsheimsókn til Lyfjastofnunar hinn 7. maí 2002 hafi skjalageymslan verið opin og þar inni hefðu engar læstar hirslur verið en geymsluherbergið hins vegar verið læsanlegt; og að það sé hennar mat að Lyfjastofnun hafi gert utanaðkomandi tölvuráðgjafa ábyrgan fyrir vinnslu stofnunarinnar á persónuupplýsingum. Afstaða Lyfjastofnunar til þessara athugasemda kemur fram í bréfi hennar til Persónuverndar, dags. 9. október 2002. Er þar m.a. ítrekað það sem segir í bréfi stofnunarinnar, dags. 8. ágúst s.á., að lyfseðlar séu varðveittir í sérstaklega læstri geymslu. Jafnframt er bent á mikilvægi þess að tæknimenntaðir ráðgjafar séu fengnir til svara varðandi tæknileg atriði.

Með bréfi, dags. 5. ágúst 2003, sendi Lyfjastofnun Persónuvernd endurskoðað áhættumat, dags. 25. júlí s.á., vegna upplýsinga af lyfseðlum eftirritunarskyldra lyfja, sbr. liði 4 og 5 hér að ofan í lýsingu á niðurstöðum skýrslu SHB þar sem vikið er að eldra áhættumati.

III.
Ákvörðun Persónuverndar
Forsendur
1.
Um lögmæti vinnslu lyfjaupplýsinga
hjá Lyfjastofnun
1.1.

Af hálfu Lyfjastofnunar hefur því verið haldið fram að eingöngu upplýsingar af lyfseðlum vegna eftirritunarskyldra lyfja falli undir gildissvið laga nr. 77/2000 en ekki upplýsingar af öðrum lyfseðlum sem stofnuninni berast. Hér verður að líta til þess hvernig hugtakið persónuupplýsingar er skilgreint í 1. tölul. 2. gr. laga nr. 77/2000. Þar er hugtakið skilgreint sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Verður því ekki á það fallist með Lyfjastofnun að eingöngu persónuupplýsingar varðandi eftirritunarskyld lyf falli undir gildissvið laga nr. 77/2000.

Vinnsla persónuupplýsinga er heimil ef hún fullnægir einhverju af skilyrðum 8. gr. laga nr. 77/2000. Upplýsingar um lyfjanotkun eru viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laganna. Vinnsla slíkra upplýsinga verður bæði að fullnægja einhverju af skilyrðum 8. gr. laganna og einhverju af skilyrðum 9. gr. laganna. Þær heimildir 8. og 9. gr., sem helst koma til álita um vinnslu Lyfjastofnunar á persónuupplýsingum, eru 6. tölul. 1. mgr. 8. gr., um vinnslu persónuupplýsinga sem er nauðsynleg vegna beitingar opinbers valds, og 2. tölul. 1. mgr. 9. gr., um að vinnsla viðkvæmra persónuupplýsinga sé heimil standi til hennar sérstök lagaheimild.

Úrlausn þess hvort skilyrðum fyrrnefnda ákvæðisins sé fullnægt veltur á því hvort túlka megi þá löggjöf sem Lyfjastofnun starfar eftir á þann hátt að hún hafi með höndum verkefni sem krefjast vinnslu þeirra persónuupplýsinga, sem fyrir liggur að hún hefur unnið með, við beitingu opinbers valds. Úrlausn þess hvort skilyrðum síðarnefnda ákvæðisins sé fullnægt veltur á því hvort fyrir hendi séu nægilega skýrar lagaheimildir til vinnslunnar.

Í 3. gr. lyfjalaga nr. 93/1994 er hlutverk Lyfjastofnunar afmarkað. Segir þar að hlutverk hennar sé að meta lyf og aðrar vörur; annast útgáfu, breytingu, niðurfellingu og afturköllun markaðsleyfa lyfja; afgreiða umsóknir um leyfi til að flytja inn og selja gegn lyfseðli lyf sem ekki hafa markaðsleyfi hér á landi; annast útgáfu leyfa til rannsókna með lyf; annast skráningu aukaverkana lyfja og upplýsingagjöf um lyf í samvinnu við landlækni; annast faglegt eftirlit með innflutningi lyfja, lyfjaefna og hráefna til lyfjagerðar eða annarrar vöru sem undir stofnunina heyrir; annast faglegt eftirlit með starfsemi lyfjabúða, lyfjaheildverslana og lyfjagerða og eftirlit með handhöfum markaðsleyfa lyfja og umboðsmönnum þeirra og annarra fyrirtækja, stofnana og einstaklinga er selja, framleiða, flytja inn eða búa um lyf og skyldar vörur; hafa eftirlit með lyfjaauglýsingum og sjá til þess að kynning og dreifing lyfja sé í samræmi við gildandi lög og reglur; og annast önnur atriði er lúta að framkvæmd laga nr. 93/1994, þ.m.t. samvinnu við erlendar stofnanir á sviði lyfjamála. Geta má þess að lögunum var breytt með lögum nr. 89/2003, sem tóku gildi 10. apríl 2003. Var þá bætt við því hlutverki að hafa sértækt eftirlit með ávana- og fíknilyfjum að því er varðar afgreiðslu, gerð og áritun lyfseðla og afhendingu ávana- og fíknilyfja úr lyfjabúð.

Í 12. gr. lyfjalaga nr. 93/1994 er ákvæði um að sett skuli reglugerð um gerð lyfseðla og ávísun lyfja, afgreiðslu þeirra og merkingu. Með stoð í þessu ákvæði var sett reglugerð nr. 91/2001 um afgreiðslu lyfseðla, áritun og afhendingu lyfja. Í 22. gr. segir að lyfseðla vegna eftirritunarskyldra lyfja skuli senda Lyfjastofnun. Í 26. gr. er og kveðið á um að Lyfjastofnun hafi eftirlit með að ákvæðum hennar sé framfylgt og að skylt sé að láta henni í té þau gögn eða upplýsingar sem hún telur nauðsynlegar vegna starfsins.

Samkvæmt framangreindu verður að telja Lyfjastofnun hafa heimild til öflunar persónuupplýsinga varðandi eftirritunarskyld lyf í tengslum við beitingu opinbers valds, sbr. 6. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Einnig verður, með vísan til 22. gr. reglugerðar nr. 91/2001, að telja skilyrði 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000 vera uppfyllt. Persónuvernd telur því að Lyfjastofnun hafi, og hafi haft, heimild til að kalla eftir lyfseðlum vegna eftirritunarskyldra lyfja frá lyfjabúðum. Hvergi er hins vegar að finna ákvæði, sambærilegt við ákvæði 22. gr. reglugerðar nr. 91/2001, um önnur lyf en þau sem eru eftirritunarskyld. Þar af leiðandi brast Lyfjastofnun heimild til vinnslu persónuupplýsinga um önnur lyf en þau sem eru eftirritunarskyld og var því t.d. óheimilt, hinn 30. maí 2002, að óska eftir símsendingu lista yfir lyfjaávísanir frá Lyfju hf. í Lágmúla.

Eins og fram hefur komið hefur Lyfjastofnun skráð upplýsingar af lyfseðlum eftirritunarskyldra lyfja inn í gagnagrunn og varðveitt í tvö ár. Þessi gagnagrunnur hefur verið notaður við eftirlit með lyfjaávísunum lækna. Samkvæmt lögum fellur þetta eftirlit undir landlækni, sbr. 4. mgr. 11. gr. lyfjalaga nr. 93/1994 og 19. gr. læknalaga nr. 53/1988. Verður þessi skráning og varðveisla Lyfjastofnunar á viðkvæmum persónuupplýsingum því ekki talin heimil á grundvelli opinbers valds. Í ljósi fyrirhugaðra breytinga samkvæmt lögum nr. 89/2003, sem breyttu lögum nr. 93/1994 og nr. 53/1988, telur Persónuvernd þó ekki vera tilefni til að beita sérstökum úrræðum á grundvelli 40. og 41. gr. laga nr. 77/2000 um stöðvun vinnslu eða eyðingu upplýsinga. Er þá litið til þess að nú stendur yfir vinna við undirbúning lögmætrar vinnslu stjórnvalda á upplýsingum af lyfseðlum, sbr. bráðabirgðaákvæði laga nr. 89/2003 þar sem kveðið er á um aðlögunartímabil til 1. janúar 2005. Hins vegar telur Persónuvernd óhjákvæmilegt að gagnagrunni Lyfjastofnunar verði eytt þegar þessu aðlögunartímabili lýkur.

Varðandi þátt landlæknis í þessu máli, en ljóst er að landlæknir og Lyfjastofnun höfðu með sér samvinnu um öflun persónuupplýsinga frá lyfjabúðum, verður ekki fjallað að svo stöddu þar sem stefnt er að sjálfstæðri ákvörðun í tengslum við heildarathugun á vinnslu persónuupplýsinga á hans vegum.

1.2.
Niðurstaða um lögmæti vinnslunnar:

Með vísan til alls ofangreinds telur Persónuvernd að Lyfjastofnun sé og hafi verið óheimil söfnun persónuupplýsinga um sölu og neyslu annarra lyfja en þeirra sem eru eftirritunarskyld. Skorti Lyfjastofnun samkvæmt því heimild til þess að óska, hinn 30. maí 2002, eftir símsendingu lista yfir lyfjaávísanir frá Lyfju hf. í Lágmúla. Þá telur Persónuvernd einnig að Lyfjastofnun sé og hafi verið óheimilt að skrá upplýsingar um lyfjaneyslu í gagnagrunn og að eyða beri honum eigi síðar en hinn 1. janúar 2005, í samræmi við bráðabirgðaákvæði laga nr. 89/2003.

2.
Um öryggi vinnslu persónuupplýsinga
hjá Lyfjastofnun

2.1.

Er þá næst til skoðunar öryggi þeirrar vinnslu sem Lyfjastofnun er heimil samkvæmt því er að framan greinir. Í 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga eru settar fram kröfur til upplýsingaöryggis og í 12. gr. sömu laga er fjallað um innra eftirlit. Í reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga eru kröfur framangreindra ákvæða útfærðar nánar. Meðal þessara krafna til upplýsingaöryggis er að það sé skjalfest með hvaða hætti ábyrgðaraðili mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.

Áður en lengra er haldið skal, vegna athugasemdar SHB um að í samskiptum Lyfjastofnunar og hennar hafi utanaðkomandi tölvuráðgjafi komið fram fyrir hönd stofnunarinnar, tekið fram að Persónuvernd telur, einkum á grundvelli 13. gr. laga nr. 77/2000, að ábyrgðaraðila sé heimilt að fela öðrum, hvort sem er tölvuráðgjafa eða t.d. lögmanni, tiltekin verkefni. Þá liggur auk þess ekki fyrir að umræddur ráðgjafi hafi annast vinnslu persónuupplýsinga á vegum Lyfjastofnunar. Gerir Persónuvernd þar af leiðandi ekki athugasemd við þetta atriði.

Hjá Lyfjastofnun er til öryggisstefna og áhættumat, auk þess sem skráðar hafa verið ýmsar öryggisráðstafanir. Í öryggisstefnunni eru einkum taldar upp almennar kröfur, s.s. um að vernda skuli upplýsingar og samskipti stofnunarinnar gegn óheimilum aðgangi, halda skuli trúnað um upplýsingar og samskipti og fullnægja skilyrðum laga og reglugerða. Í ljósi þess að hjá Lyfjastofnun er unnið með viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000, og þeirra orða í 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 að við mótun öryggisstefnu skuli „taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra“, telur Persónuvernd hins vegar að í öryggisstefnunni verði að lýsa eðli vinnslu Lyfjastofnunnar á viðkvæmum persónuupplýsingum í megindráttum og tilgreina, með hliðsjón af eðli vinnslunnar, hvaða þætti í upplýsingaöryggi eigi að leggja mesta áherslu á, t.d. hvort það skuli vera gæði upplýsinga eða aðgangur að þeim. Persónuvernd telur því öryggisstefnu Lyfjastofnunar ekki vera nægilega ítarlega og því ekki fullnægja þeim kröfum sem gera verður til slíks skjals.

Samkvæmt 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 á með áhættumati að meta hættuna á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingum eða skert öryggi þeirra að öðru leyti. Áhættumat skal taka til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með, auk þess sem tilgreina skal hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Persónuvernd telur nýtt áhættumat Lyfjastofnunar, dags. 25. júlí sl., sem nær til allrar þeirrar vinnslu persónuupplýsinga sem henni er heimil, þ.e. upplýsinga af lyfseðlum eftirritunarskyldra lyfja, fullnægja þeim kröfum sem gera verður til slíks skjals. Þó þykir rétt, vegna athugasemdar í áhættumati um að eingöngu upplýsingar af lyfseðlum eftirritunarskyldra lyfja falli undir gildissvið laga nr. 77/2000 minnt á það sem áður segir um að undir gildissvið laganna falla allar persónuupplýsingar, þ.e. allar upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.

Hjá Lyfjastofnun hafa verið skráðar ýmsar öryggisráðstafanir. Í 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 kemur fram að öryggisráðstafanir eiga að byggjast á áhættumati, þ.e. markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Persónuvernd telur eldra áhættumat Lyfjastofnunar, dags. 31. janúar 2002, ekki hafa verið fullnægjandi. Meginefni þess var annars vegar lýsing á aðstöðu og húsnæði stofnunarinnar, tölvukerfi hennar og hugbúnaðarlausn, sem og öryggisráðstöfunum í tengslum við þessa þætti, og hins vegar ályktanir, sem dregnar voru af þessari lýsingu, um að öryggi væri fullnægjandi. Hins vegar voru ekki nema að litlu leyti greindar þær hættur sem steðjað geta að þeim persónuupplýsingum sem Lyfjastofnun vinnur með. Þar sem öryggisráðstafanir hafa samkvæmt þessu ekki verið skráðar á grundvelli fullnægjandi áhættumats, og þar sem ekki liggur fyrir að þær hafi verið endurskoðaðar í kjölfar hins nýja áhættumats, telur Persónuvernd að endurmeta verði öryggisráðstafanir og skrá þær að nýju þannig að þær mæti þeim hættum sem greindar hafa verið. Við skráninguna verður að líta til 1. mgr. 11. gr. laga nr. 77/2000 þar sem kveðið er á um að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Einnig verður að líta til 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, en þar segir m.a. að við skráningu skuli taka fram hvernig brugðist verði við áföllum í rekstri vinnslukerfis og hvernig flutningi milli vinnslukerfa verði hagað.

Í 1. mgr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001, er kveðið á um skyldu ábyrgðaraðila til að viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Í 2. mgr. 12. gr. er kveðið á um að innra eftirlit skuli viðhafa með reglubundnum hætti og skuli tíðni þess og umfang ákveðið með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd eftirlitsins. Það skuli þó eigi fara sjaldnar fram en árlega. Þá segir í 3. mgr. að ábyrgðaraðili skuli sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skuli lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skuli varðveita tryggilega og Persónuvernd hafa aðgang að þeim hvenær sem er. Persónuvernd leggur á það áherslu að eftir þessum reglum verði farið hjá Lyfjastofnun og að Lyfjastofnun kanni hvernig innra eftirliti verði best fyrir komið þannig að það samrýmist 12. gr. laga nr. 77/2000.

Einn þáttur í öryggi persónuupplýsinga er gerð samnings við vinnsluaðila, sbr. 13. gr. laga nr. 77/2000, en vinnsluaðili er sá sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. sömu laga. Í samningi skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr. Skal ábyrgðaraðili, áður en hann semur við vinnsluaðila, hafa sannreynt að hann geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Í 9. gr. reglna nr. 299/2001 eru kröfur til samnings við vinnsluaðila útfærðar nánar. Fram hefur komið að upplýsingakerfi Lyfjastofnunar, að undanskildum gagnagrunni með upplýsingum af lyfseðlum eftirritunarskyldra lyfja, eru hýst hjá Nýherja hf. Ekki hefur hins vegar verið gerður samningur við félagið í samræmi við 13. gr. laga nr. 77/2000. Þarf að bæta úr því.

2.2.
Niðurstaða um öryggi vinnslunnar:

Persónuvernd telur nauðsynlegt að Lyfjastofnun geri umbætur á öryggi við vinnslu persónuupplýsinga og viðhafi eftirfarandi öryggisráðstafanir:

1. Setji sér skriflega öryggisstefnu í samræmi við 5. mgr. 11. gr. laga nr. 77/2000, sbr. 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001.

2. Fullnægi kröfum 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, um skráningu öryggisráðstafana. Skráning öryggisráðstafana á að byggjast á þeim forsendum sem fram koma í áhættumati og á að ná til allra þeirra áhættuþátta sem þar eru reifaðir.

3. Komi á innra eftirliti, í samræmi við 12. gr. laga nr. 77/2000.

4. Geri skriflegan samning við Nýherja hf., að því marki sem það félag vinnur með persónuupplýsingar á vegum stofnunarinnar, í samræmi við 13. gr. laga nr. 77/2000, sbr. 9. gr. reglna nr. 299/2001.

5. Tryggi öryggi innra nets Lyfjastofnunar og tenginga við ytri net með notkun búnaðar sem til er á almennum markaði og þykir vera öruggastur á hverjum tíma.

Frestur til að koma framangreindum öryggisráðstöfunum í framkvæmd er veittur til 1. febrúar 2004. Að liðnum þeim tíma má vænta þess að Persónuvernd heimsæki starfsstöð Lyfjastofnunar, sbr. 2. mgr. 38. gr. laga nr. 77/2000, og kanni hvort eftir fyrirmælunum hafi verið farið.

Ákvörðunarorð:

Vinnsla Lyfjastofnunar á persónuupplýsingum um neyslu lyfja, þ.e. annarra en þeirra sem eru eftirritunarskyld, er og hefur verið óheimil.

Lyfjastofnun skal, eigi síðar en 1. janúar 2005, eyða þeim gagnagrunni sem hún hefur búið til og hefur að geyma persónuupplýsingar um lyfjaneyslu.

Lyfjastofnun skal, eigi síðar en 1. febrúar 2004, hafa tryggt viðhlítandi öryggi við vinnslu persónuupplýsinga um sölu og neyslu eftirritunarskyldra lyfja, með þeim hætti sem að framan greinir.

3.2.4. Athugun á öryggi vinnslu persónuupplýsinga í sameiginlegu sjúkraskrárkerfi Heilbrigðisstofnunar Austurlands, þ.e. svonefndu Sögukerfi

Með bréfi Persónuverndar, dags. 2. september 2003, var Heilbrigðisstofnun Austurlands kynnt umsögn í máli nr. 2001/186. Í bréfinu segir:

I.
Almennt um verkefnið

Með bréfi, dags. 7. október 1999, óskaði Heilbrigðisstofnun Austurlands eftir áliti Tölvunefndar, forvera Persónuverndar, á þeirri ráðagerð að setja upp sameiginlegt sjúkraskrárkerfi, svonefnt Sögukerfi, þróað af eMR hf., fyrir allar starfsstöðvar stofnunarinnar, en henni hafði þá nýlega verið komið á fót með sameiningu þeirra heilbrigðisstofnana sem fyrir voru á Austurlandi. Í kjölfar þessa urðu nokkur bréfaskipti milli Tölvunefndar, heilbrigðisstofnunarinnar og heilbrigðis- og tryggingamálaráðuneytisins, og með bréfi, dags. 3. maí 2000, lýsti Tölvunefnd þeirri afstöðu sinni að nauðsynlegt væri að fram færi athugun á öryggi fyrirhugaðs sjúkraskrárkerfis. Var heilbrigðisstofnuninni tilkynnt um það með bréfi, dags. 23. júní s.á. Kom þar og fram að DÖJ, verkfræðingi hjá Verk- og kerfisfræðistofunni hf., hefði verið falið að gera öryggisathugun og skila skýrslu um niðurstöðu hennar. Þessu næst óskaði Heilbrigðisstofnun Austurlands, með bréfi, dags. 15. júlí 2000 (les: 15. nóvember), eftir áliti Tölvunefndar á því hvort sameiginlegt sjúkraskrárkerfi samrýmdist lögum og hvort mismunandi reglur giltu um sjúkraskrár færðar fyrir og eftir stofnun heilbrigðisstofnunarinnar. Nauðsynleg gögn til að hefja athugunina, þ.e. reglur um aðgang að sameiginlegu sjúkraskrárkerfi, bárust Persónuvernd með bréfi, dags. 26. október s.á. Hóf þá DÖJ athugun sína ásamt öðrum starfsmanni Verk- og kerfisfræðistofunnar hf., MGN. Þeir luku vinnu sinni með afhendingu á skýrslu, dags. 28. júní 2002. Með bréfi, dags. 18. júlí 2003, var Heilbrigðisstofnun Austurlands boðið að tjá sig um hana. Heilbrigðisstofnunin svaraði með bréfi, dags. 12. ágúst s.á.

II.
Skýrsla DÖJ og MGN

Í skýrslu DÖJ og MGN kemur fram að athugun þeirra byggðist einkum á stjórnunarstaðlinum ÍST ISO/IEC 17799:2000 og tilmælum landlæknis frá 1999 varðandi öryggi sjúkragagna í tölvum. Þá kemur fram að auk þess að kanna öryggi persónuupplýsinga hjá Heilbrigðisstofnun Austurlands var kannað öryggi við hugbúnaðarþróun hjá framleiðanda Sögukerfisins, þ.e. eMR hf. Beindist sú athugun að tveimur útgáfum af þessu kerfi, þ.e. útgáfu 2.6 og útgáfu 3.1, en með þeirri síðarnefndu voru gerðar ýmsar úrbætur. Samkvæmt skýrslunni eru margir þættir í Sögukerfinu fullnægjandi, t.d. aðstaða og öryggi á Egilsstöðum, þar sem hýsa á miðlægan tölvubúnað, en nú eru sjúkraskrár varðveittar á mörgum stöðum. Honum tilheyrir m.a. Oracle-gagnagrunnur sem hýsa á allt kerfið, sem og fjartengingar sem séu beinar og lokaðar. Segir og í bréfi frá Heilbrigðisstofnun Austurlands, dags. 20. júní 2003, að öll samskipti heilbrigðisstarfsmanna við gagnagrunninn muni verða á lokuðum símalínum, en bréfið fylgdi tilkynningu (nr. S1412) um að senn ætti að taka Sögukerfið í notkun. Í skýrslu DÖJ og MGN er hins vegar vikið að ýmsu sem talið er að bæta þurfi, bæði hjá Heilbrigðisstofnun Austurlands og eMR hf., og eru athugasemdir við Sögukerfið settar fram í þremur áföngum: Fyrst eru raktar þær úrbætur sem talið er að gera þurfi (í 3. kafla). Næst eru dregnar fram meginniðurstöður um styrkleika og veikleika kerfisins (í kafla 4.1). Að lokum eru settar fram þær úrbætur sem taldar eru mikilvægastar (í kafla 4.2).

1.
Nauðsynlegar úrbætur
samkvæmt skýrslunni

[…]

2.
Styrkleikar og veikleikar
sjúkraskrárkerfisins
samkvæmt skýrslunni

Nú skal vikið að lýsingu DÖJ og MGN á styrkleikum og veikleikum Sögukerfisins, hvort tveggja í tengslum við Heilbrigðisstofnun Austurlands og eMR hf.

2.1.

Helstu styrkleikarnir hjá Heilbrigðisstofnun Austurlands eru taldir vera þessir:

1. Stofnunin fullnægi flestum atriðum í tilmælum landlæknis frá 1999 varðandi öryggi sjúkragagna í tölvum.

2. Yfirmenn og tölvumenn stofnunarinnar séu vel meðvitaðir um öryggiskröfur sem þurfi að fullnægja svo að hægt sé að sameina sjúkraskrár.

3. Aðstaða og öryggi, þar sem ætlunin sé að miðlægur tölvubúnaður verði hýstur, sé að mestu til fyrirmyndar.

4. Stofnunin sé tilbúin til að leggja út í nauðsynlega vinnu og kostnað við frekari innleiðingu öryggisreglna er kunni að koma út úr athugunarskýrslunni.

2.2.

Helstu veikleikarnir hjá Heilbrigðisstofnun Austurlands eru taldir vera þessir:

1. Ekki hafi verið gert mat á þeirri áhættu sem fylgi því að sameina allar sjúkraskrár á vegum Heilbrigðisstofnunar Austurlands og varðveita miðlægt á Egilsstöðum […].

2. Ekki hafi verið hugað nægilega að ráðstöfunum í neyðartilfellum […].

3. Öryggisferli séu ekki nógu vel/oft skjalfest.

2.3.

Helstu styrkleikarnir hjá eMR hf. eru taldir vera þessir:

1. Í Sögukerfinu sé notaður Oracle-gagnagrunnur til að verja gögn fyrir óheimilum aðgangi.

2. Kerfið bjóði upp á aðskilnað mikilvægra hlutverka, s.s. við kerfisstjórnun og notendaeftirlit.

3. Viðamiklar færsludagbækur séu haldnar sjálfvirkt í kerfinu og í þær sé skráður allur aðgangur notenda, notkun þeirra og gagnavinnsla.

2.4.

Helstu veikleikarnir hjá eMR hf. eru taldir vera þessir:

1. Ekki sé til heildaröryggiskröfugreining fyrir Sögukerfið og ekki hafi verið framkvæmt formlegt áhættumat […].

2. Ekki hafi verið haft eftirlit með þróun kerfisins og því hafi kóði ekki verið rýndur til að ganga úr skugga um að hann fullnægi öryggiskröfum […].

3. Í útgáfu 2.6 af Sögukerfinu hafi yfirstjórnandi ekki nauðsynlegan aðgang að færsludagbókum vegna eftirlits- og stjórnunar […].

4. Ekki hafi verið skilgreint hvaða atriði teljist öryggisfrávik í vinnslu sjúkragagna […].

3.
Mikilvægustu úrbætur sem gera þarf
samkvæmt skýrslunni

Að lokum skulu hér taldar upp þær úrbætur sem DÖJ og MGN telja mikilvægastar.

3.1.

Hvað varðar Heilbrigðisstofnun Austurlands er talið mikilvægast að:

1. Móta öryggisstefnu sem fullnægi kröfum stjórnunarstaðalsins ÍST ISO/IEC 17799:2000 og þar sem sérstaklega verði tekið á atriðum er lúti að sameinaðri sjúkraskrá.

2. Gera áhættumat í samræmi við reglur nr. 299/2001 um öryggi persónuupplýsinga og samkvæmt formlegum verklagsreglum sem nái til rekstrarlegrar áhættu sem sé samfara því að sameina allar sjúkraskrár á vegum heilbrigðisstofnunarinnar, enda geti það varðað öryggi sjúklinga að nauðsynlegar skrár séu aðgengilegar þegar þörf sé á […].

3. Velja öryggisráðstafanir í samræmi við ákvæði reglna nr. 299/2001 um öryggi persónuupplýsinga.

4. Dulkóða samskipti notenda og miðlægs tölvukerfis og láta þau fara um svonefnt sýndareinkanet (VPN) […].

5. Taka í notkun nýjustu útgáfu Sögukerfisins, útgáfu 3.1, þar sem hún bjóði upp á fleiri öryggisráðstafanir en eldri útgáfan, útgáfa 2.6.

6. Samþykkja og skjalfesta verklagsreglur til að tryggja samræmd vinnubrögð. Þetta þurfi að gera í tengslum við fjölmarga öryggisþætti, sérstaklega hvað varðar aðgang að upplýsingum, þ.e. neyðaraðgang og staðgengilsmál (annars staðar í skýrslunni er vikið nánar að þessu og segir þar að m.a. hafi ekki verið útbúnar verklagsreglur um ræsingu og niðurkeyrslu, afritunartöku, viðhald tækja, umsjón með tölvuherbergjum, hollustuhætti og öryggi, en þessar reglur séu í vinnslu og drög að þeim sé að finna í ófullburða útgáfu af kerfishandbók heilbrigðisstofnunarinnar).

3.2.

Hvað varðar eMR hf. er talið mikilvægast að:

1. Stofna starfshóp sem falið verði að vinna öryggiskröfugreiningu fyrir Sögukerfið, þ. á m. með ítarlegu áhættumati og áhættugreiningu, og viðhalda henni samhliða þróun kerfisins. Starfshópinn ætti að stofna af heilbrigðis- og tryggingamálaráðuneytinu í samráði við eMR hf. […].

2. Fá sérfræðing í öryggismálum til að fylgjast með þróun Sögukerfisins og hafa eftirlit með því að öryggiskröfur verði innleiddar á réttan hátt og virki eins og til sé ætlast […].

3. Afmarka öryggiskröfur og samþykkja þær áður en þær verði innleiddar […].

4. Setja upp formlegt ferli við samþykkt og útgáfu verklagsreglna er lúti að hönnun, þróun og prófun nýrra útgáfa af Sögukerfinu til að tryggja samræmd, örugg og árangursrík vinnubrögð […].

5. Koma á skýrari aðskilnaði milli starfssvæða eMR hf. og Tölvumiðlunar hf. á Engjateigi 3 í Reykjavík (þetta á ekki lengur við þar sem eMR hf. er flutt á Hlíðasmára 15 í Kópavogi) og láta starfsmenn skrifa undir trúnaðaryfirlýsingar.

6. Geyma viðkvæmar persónuupplýsingar dulkóðaðar í Sögukerfinu […].

7. Auka möguleika ábyrgðaraðila til að fylgjast með notkun kerfisins og skilgreina hvað séu frávik frá eðlilegri notkun […].

8. Bæta innskráningarferli í Sögukerfið svo að tryggja megi gæði aðgangsorða, takmarka leyfilegan fjölda innskráninga, takmarka hámarks- og lágmarkstíma fyrir innskráningarferlið og fleira í tengslum við það.

4.
Athugasemdir Heilbrigðisstofnunar

Austurlands við skýrsluna

og önnur gögn frá henni

Í bréfi Heilbrigðisstofnunar Austurlands til Persónuverndar, dags. 12. ágúst 2003, eru gerðar eftirfarandi athugasemdir við skýrslu DÖJ og MGN:

1. Í skýrslunni segi að samskipti milli notenda og miðlægs tölvukerfis ættu að vera dulkóðuð og fara fram í gegnum VPN-kerfi (sjá […] 4. lið undir 3.1 hér að ofan). Hins vegar verði að líta til þess að allar tengingar innan starfsstöðvar heilbrigðisstofnunarinnar séu á einkaneti. Leigulínur séu á milli staða. Ekki sé farið um IP-net Landsímans eða önnur samnýtt net. Öll samskipti netþjóns og notenda séu að auki dulkóðuð (með „Microsoft Terminal Server – High Encryption“).

2. Í skýrslunni segi að taka verði upp nýjustu útgáfu af Sögukerfinu, útgáfu 3.1, enda bjóði hún upp á fleiri öryggisráðstafanir en eldri útgáfa, útgáfa 2.6 (sjá […] 3. lið undir 2.4 og 5. lið undir 3.1 hér að ofan). Nú standi heilbrigðisstofnunin frammi fyrir því verkefni að taka upp útgáfu 3.1. Áður en af því geti orðið þurfi að sameina gagnagrunnanna sem nú geymi sjúkraskrár stofnunarinnar. Að því loknu verði útgáfa 3.1 tekin upp. Það væri mun einfaldara og ódýrara að ljúka samkeyrslu í „Oracle 7.3“ (því kerfi sem gagnagrunnarnir eru nú hýstir í og notað er í útgáfu 2.6) en að uppfæra fyrst alla gagnagrunnana í „Oracle 9“ (sem er það kerfi sem notað er í útgáfu 3.1).

3. Í skýrslunni segi að verklagsreglur um ræsingu og niðurkeyrslu og afritunartöku vanti, en nú séu hins vegar til slíkar reglur (sjá 6. lið undir 3.1 hér að ofan).

4. Til viðbótar því sem fram kemur í skýrslunni er bent á að netþjónar annars staðar en á Egilsstöðum, þar sem fyrirhugað er að Sögukerfið verið hýst í heild sinni, séu sumir hverjir á óviðunandi stöðum þar sem ekki sé gerlegt að verja þá. Sameining sjúkraskráa auki öryggi hvað þetta varði (sjá í þessu sambandi 3. lið undir 2.1 hér að ofan).

Auk ofangreindra athugasemda Heilbrigðisstofnunar Austurlands barst Persónuvernd, hinn 20. júní 2003, tilkynning frá stofnuninni (nr. S1412) um að Sögukerfið yrði senn tekið í notkun. Tilkynningunni fylgdi bréf, dags. s.d., þar sem því er lýst hvernig uppsetningunni verði háttað. Segir m.a. að mun ódýrara og einfaldara verði að setja kerfið upp þannig að sjúkraskrárnar verði sameinaðar í útgáfu 2.6 af Sögukerfinu og síðan færðar í heild sinni yfir í útgáfu 3.1. Hinn 18. ágúst 2003 átti starfsmaður Persónuverndar símtal við lækningaforstjóra heilbrigðisstofnunarinnar og kvað hann unnt að gera þetta á þann hátt að í útgáfu 2.6 færi eingöngu fram sameining sjúkraskráa, en þær yrðu færðar yfir í útgáfu 3.1 áður en nokkur frekari vinnsla hæfist í sameiginlegu sjúkraskrárkerfi.

Einnig kemur fram í bréfi Heilbrigðisstofnunar Austurlands, dags. 20. júní 2003, að hún telji hverfandi möguleika verða á samslætti Sögukerfisins og internetsins þar sem kerfið verði vistað á öðrum netþjóni en þeim sem tengist netinu. Þá segir að lögð verði á það áhersla að halda einstökum deildum innan heilbrigðisstofnunarinnar aðskildum hvað varði aðgangsstýringu og tölfræðilega upplýsingaöflun. Yfirlæknir á hverjum stað stýri aðgangi að sjúkraskrám og sé meginreglan sú að starfsmenn, aðrir en læknar, fái eingöngu aðgang að upplýsingum sem tilheyri þeirri deild sem þeir starfi á og að þeim gögnum sem þeir sjái um að skrá. Einnig segir m.a. að yfirlæknar beri ábyrgð á rekstri sjúkraskrárinnar hver á sínum stað í umboði lækningaforstjóra sem sé yfirmaður hennar í heild.

III.
Umsögn Persónuverndar
Forsendur

Í máli þessu er til umfjöllunar öryggi vinnslu persónuupplýsinga í sameiginlegu sjúkraskrárkerfi Heilbrigðisstofnunar Austurlands, svonefndu Sögukerfi, í ljósi 11., 12. og 13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og að virtum reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, með hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis. Tekið skal fram að Persónuvernd telur rafræna færslu sjúkraskráa sem slíka ekki brjóta gegn lögum og gerir því ekki athugasemdir við að Sögukerfið verði tekið í notkun sem sameiginlegt sjúkraskrárkerfi, enda verði þá öryggi persónuupplýsinga nægilega vel tryggt. Telur Persónuvernd því skilyrði 1. mgr. 14. gr. laga nr. 74/1997 um réttindi sjúklinga, þ.e. að sjúkraskrá skuli varðveitt á þeirri stofnun þar sem hún er færð, vera fullnægt um fyrirhugaða sameiningu sjúkraskrárkerfa, enda verða eingöngu sameinaðar sjúkraskrár innan einnar og sömu stofnunar. Um það hvort mismunandi reglur gildi um sjúkraskrár færðar fyrir og eftir stofnun Heilbrigðisstofnunar Austurlands skal tekið fram að Persónuvernd telur svo ekki vera. Hins vegar leiðir af stofnun heilbrigðisstofnunarinnar og sameiningu sjúkraskrárkerfa að laga verður öryggisráðstafanir að breyttum aðstæðum.

Samkvæmt 4. tölul. 2. gr. laga nr. 77/2000 er sá ábyrgðaraðili að vinnslu persónuupplýsinga sem ákveður tilgang vinnslunnar, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Samkvæmt þessu telst Heilbrigðisstofnun Austurlands vera ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fyrirhugað er að þar fari fram með notkun Sögukerfisins. Verður því beint sjónum að skyldum hennar til að tryggja öryggi persónuupplýsinga við notkun þess. Ekki verður hins vegar fjallað sérstaklega um skyldur eMR hf. sem framleiðanda Sögukerfisins, enda hvílir ábyrgðin á öryggi vinnslu persónuupplýsinga samkvæmt ákvæðum laga nr. 77/2000 á ábyrgðaraðila en ekki öðrum, sbr. 3. og 4. mgr. 11. gr. laganna. Ekki liggur fyrir hvort fyrirhugað sé að eMR hf. muni hafa einhverja þjónustu með höndum eftir að Sögukerfið hefur verið tekið í notkun sem muni kalla á aðgang að persónuupplýsingum í því. Í skýrslu DÖJ og MGN kemur hins vegar fram að eMR hf. hefur með höndum viðhald þess. Komi í ljós að við slíka viðhaldsvinnu, eða aðra þjónustu, verði óhjákvæmilegt að starfsmenn eMR hf. vinni með persónuupplýsingar þarf sú vinnsla að byggja á vinnslusamningi við Heilbrigðisstofnun Austurlands samkvæmt 13. gr. laga nr. 77/2000. Þar verður þá m.a. að koma fram að eMR. hf., sem þá telst vera vinnsluaðili í skilningi 5. tölul. 2. gr. sömu laga, starfi aðeins í samræmi við fyrirmæli heilbrigðisstofnunarinnar, sbr. 2. mgr. 13. gr. laganna.

Ein helsta skylda ábyrgðaraðila, samkvæmt lögum nr. 77/2000, í tengslum við öryggi persónuupplýsinga er sú að skjalfesta upplýsingaöryggi, sbr. 5. mgr. 11. gr. laganna, sbr. 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, þ.e. að móta öryggisstefnu, gera áhættumat og ákveða öryggisráðstafanir. Ekki liggur fyrir að þetta hafi verið gert hjá Heilbrigðisstofnun Austurlands. Nauðsynlegt er að sú vinna verði unnin. Telur Persónuvernd æskilegt, í ljósi þess hversu viðkvæmar upplýsingar um er að ræða, að þá verði farið eftir staðlinum ÍST BS 7799.

Í 1. og 2. mgr. 11. gr. laga nr. 77/2000 er að finna efnislegar kröfur til öryggisráðstafana við vinnslu persónuupplýsinga. Segir í 1. mgr. að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Hvað sjúkraskrár varðar verður einnig að líta til þeirra efnislegu krafna sem fram koma í 2. mgr. 15. gr. laga nr. 74/1997. Þar segir að sjúkraskrár skuli geymdar á tryggum stað og að þess skuli gætt að þeir einir hafi aðgang að þeim sem þess þurfa.

Persónuvernd telur þær öryggisráðstafanir, sem Heilbrigðisstofnun Austurlands hyggst viðhafa við vinnslu persónuupplýsinga í Sögukerfinu, að mörgu leyti vera til fyrirmyndar og fullnægja kröfum ofangreindra ákvæða. Með vísan til þeirra, og í ljósi þess að um er að ræða viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000, telur Persónuvernd engu að síður að gera verði úrbætur í tengslum við þrennt, þ.e. aðgangsorð, eftirlit með vinnslu persónuupplýsinga í kerfinu og ytra öryggi í rými netþjóna og aðliggjandi rými. Hvað varðar aðgangsorðin telur Persónuvernd að tryggja verði að þau séu ekki það einföld að auðveldlega megi geta sér til um þau. Það felur í sér að koma þarf í veg fyrir of öra endurnotkun þeirra. Þá þarf að takmarka leyfilegan fjölda innskráningartilrauna og viðhafa aðrar þær öryggisráðstafanir sem nauðsynlegar eru svo að óviðkomandi takist ekki að komast inn í kerfið með aðgangsorði lögmæts notanda. Hvað varðar eftirlit með vinnslu persónuupplýsinga telur Persónuvernd nauðsynlegt að yfirlæknir, sbr. 6. lið í tilmælum landlæknis frá 1999 varðandi öryggi sjúkragagna í tölvum, hafi aðgang að upplýsingum um alla notkun viðkvæmra persónuupplýsinga í kerfinu, t.d. um hverjir hafi sótt upplýsingar eða miðlað þeim og hvenær. Ljóst er að þetta er unnt að gera í útgáfu 3.1 af Sögukerfinu, en hið sama gildir ekki um útgáfu 2.6. Verði útgáfa 2.6 af kerfinu notuð verður því að gera viðhlítandi úrbætur. Einnig er hægt að fara þá leið, eins og fram kom í símtali starfsmanns Persónuverndar við lækningaforstjóra Heilbrigðisstofnunar Austurlands hinn 18. ágúst 2003, að útgáfa 2.6 verði eingöngu notuð til sameiningar sjúkraskráa og þær síðan færðar yfir í útgáfu 3.1 áður en nokkur frekari vinnsla hefjist í sameiginlegu sjúkraskrárkerfi. Hvað varðar ytra öryggi í rými netþjóna og aðliggjandi rými telur Persónuvernd nauðsynlegt að sett verði upp innbrotaviðvörunarkerfi.

Ein öryggisráðstöfun, sem taka verður afstöðu til hvort viðhafa skuli, er hvort dulkóða skuli gögn sem varðveitt eru og unnið er með í Sögukerfinu. Samkvæmt athugasemdum Heilbrigðisstofnunar Austurlands, dags. 12. ágúst 2003, við skýrslu DÖJ og MGN, dags. 28. júní 2002, er fyrirhugað að dulkóða gögn í samskiptum netþjóns og notenda. Hér reynir því aðeins á hvort viðhafa skuli dulkóðun við varðveislu sjúkragagna á netþjóninum. Við mat á þessu verður að líta til mikilvægis þess að sjúkragögn séu sem aðgengilegust heilbrigðisstarfsmönnum þegar á þeim þarf að halda. Persónuvernd telur hagsmuni af greiðum aðgangi og vinnsluhraða í sjúkraskrárkerfum vega þungt. Það er hins vegar sjónarmið Persónuverndar að í náinni framtíð skuli komið á dulkóðun við varðveislu sjúkragagna. Að svo stöddu gerir Persónuvernd þó aðeins kröfu um að slík gögn séu dulkóðuð í flutningi.

Í 1. mgr. 12. gr. laga nr. 77/2000, sbr. 8. gr. reglna nr. 299/2001, er kveðið á um skyldu ábyrgðaraðila til að viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Í 2. mgr. 12. gr. er kveðið á um að innra eftirlit skuli viðhafa með reglubundnum hætti og að ákveða skuli tíðni þess og umfang með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd eftirlitsins. Það skuli þó eigi fara sjaldnar fram en árlega. Þá segir í 3. mgr. að ábyrgðaraðili skuli sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skuli lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skuli varðveita tryggilega og Persónuvernd hafa aðgang að þeim hvenær sem er. Persónuvernd leggur á það áherslu að eftir þessum reglum verði farið við vinnslu persónuupplýsinga í Sögukerfinu.

Með vísan til alls ofangreinds hefur Persónuvernd komist að þeim niðurstöðum sem fram koma í ályktunarorði hér að neðan. Þegar uppsetningu Sögukerfisins er að fullu lokið er þess óskað að Heilbrigðisstofnun Austurlands tilkynni Persónuvernd um það, sbr. 1. mgr. 38. gr. laga nr. 77/2000.

Á l y k t u n a r o r ð:

Persónuvernd telur Heilbrigðisstofnun Austurlands vera heimilt að lögum að setja upp fyrirhugað, sameiginlegt sjúkraskrárkerfi, þ.e. svonefnt Sögukerfi. Þá telur Persónuvernd þær öryggisráðstafanir, sem stofnunin hyggst viðhafa við vinnslu persónuupplýsinga í kerfinu, í flestum atriðum fullnægja skilyrðum 1. og 2. mgr. 11. gr. laga nr. 77/2000 og 2. mgr. 15. gr. laga nr. 74/1997. Persónuvernd telur engu að síður rétt að gerðar verði eftirfarandi úrbætur:

1. Sett verði skrifleg öryggisstefna vegna Sögukerfisins, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001.

2. Gert verði skriflegt áhættumat vegna Sögukerfisins, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, og þannig skapaðar forsendur fyrir vali á skriflegum öryggisráðstöfunum.

3. Fullnægt verði kröfum 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, um skráningu öryggisráðstafana vegna Sögukerfisins. Skráning öryggisráðstafana á að byggjast á þeim forsendum sem fram koma í áhættumati og á að ná til allra þeirra áhættuþátta sem þar eru reifaðir.

4. Tryggt verði öryggi aðgangsorða að Sögukerfinu, m.a. þannig að ekki megi auðveldlega geta sér til um þau.

5. Tryggður verði, þ.e. ef nota á útgáfu 2.6 af Sögukerfinu, rekjanleiki allra aðgerða í kerfinu, sem og aðgangur yfirlæknis stofnunarinnar að upplýsingum um aðgerðir er lúta að viðkvæmum persónuupplýsingum, t.d. um hverjir hafi sótt slíkar upplýsingar eða miðlað þeim og hvenær. Einnig má fara þá leið að nota útgáfu 2.6 eingöngu til sameiningar sjúkraskráa og færa þær síðan yfir í útgáfu 3.1 af kerfinu áður en nokkur notkun á þeim hefst í sameiginlegu sjúkraskrárkerfi.

6. Sett verði upp innbrotaviðvörunarkerfi í rými netþjóna og aðliggjandi rými.

3.2.5. Öryggi vinnslu persónuupplýsinga á vegum Landspítala-háskólasjúkrahúss, n.t.t. í lífsýnasafni LSH og á Rannsóknastofu í meinafræði

Með bréfi, dags. 4. desember 2003, var kynnt niðurstaða stjórnar Persónuverndar í máli nr. 2002/431 um lögmæti og öryggi vinnslu persónuupplýsinga á vegum Landspítala-háskólasjúkrahúss, n.t.t. í lífsýnasafni LSH og á Rannsóknastofu í meinafræði. Hér birtist meirihluti bréfsins, þó þannig að vegna öryggissjónarmiða hafa nöfn einstakra bygginga og einstaklinga verið tekin út og bókstafir settir í þeirra stað. Til skýringar skal þess og getið að í fylgiskjölum kemur fram að LSH hefur sett verklagsreglur um hvernig bregðast á við annmörkum í upplýsingakerfinu Meina. Þá skal og tekið fram að samkvæmt athugasemdum Upplýsingatæknisviðs LSH (sbr. fskj. með niðurstöðunni) hafa verið gerðir trúnaðarsamningar við þá verktaka sem sjá um þrif í starfsstöðvum LSH og starfsmenn verið látnir undirrita trúnaðarheit. En í bréfinu segir:

I.
Grundvöllur málsins

Með bréfi, dags. 6. ágúst 2002, tilkynnti Persónuvernd að hún hefði ákveðið að gera úttekt á vinnslu persónuupplýsinga hjá Rannsóknastofu í meinafræði (RM), sem hét þá Rannsóknastöð Háskólans í meinafræði (RH), og lífsýnasafni Landspítala-háskólasjúkrahúss (LSH). Ábyrgðaraðilinn að þessari vinnslu, í skilningi 4. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, telst vera LSH (yfirstjórn þess).

Í bréfi Persónuverndar var tekið fram að markmið úttektarinnar væri að sannreyna hvort notað væri öryggiskerfi sem uppfyllti kröfur laga og reglna og þess óskað að Persónuvernd bærust gögn þar að lútandi. LSH (n.t.t. Upplýsingatæknisvið) svaraði með bréfi, dags. 1. október 2002. Með því fylgdu margvísleg gögn, þ. á m. öryggisstefna LSH, og lýsingar á ýmsum öryggisráðstöfunum.

Persónuvernd taldi sig þurfa aðstoð sérfróðs ráðgjafa við gerð úttektarinnar. Með bréfi, dags. 13. nóvember 2002, óskaði Persónuvernd þess af SHB, verkfr. og forstj. Stika ehf., að hún veitti Persónuvernd upplýsingar um áætlaðan kostnað vegna slíks verks. SHB sendi Persónuvernd kostnaðaráætlun með bréfi, dags. 20. s.m. Var LSH boðið að tjá sig um hana með bréfi, dags. 16. desember 2002. LSH svaraði með bréfi, dags. 16. janúar 2003. Sagði þar að ekki væru gerðar athugasemdir við kostnaðaráætlunina. Í kjölfar þessa gerði Persónuvernd samning við SHB um vinnu vegna úttektarinnar, dags. 24. febrúar 2003. Þar er kveðið á um heildargreiðslu í samræmi við framangreinda kostnaðaráætlun, um þagnarskyldu um þær upplýsingar sem sanngjarnt er og eðlilegt að leynt fari o.fl.

SHB aflaði ýmissa gagna, m.a. á fundum með fulltrúum LSH. Auk þess var gerður spurningalisti (gátlisti) og gerðar vettvangsathuganir á starfsstöðvum Upplýsingatæknisviðs og RM. Hinn 11. mars 2003 skilaði SHB Persónuvernd skýrslu um niðurstöður þessara athugana. Með bréfi, dags. 23. apríl 2003, bauð Persónuvernd LSH að tjá sig um efni skýrslunnar. Svör bárust með bréfum, dags. 19. júní 2003 (frá RH) og 30. s.m. (frá Upplýsingatæknisviði), þar sem gerðar eru ýmsar athugasemdir við skýrsluna.

II.
Lýsing á starfsemi sem fram
fer hjá RM og í lífsýnasafni LSH

RM sér um rannsóknir vefjasýna sem tekin eru úr lifandi fólki á LSH. Þar er og framkvæmdur meirihluti þeirra sjúkrahúskrufninga sem gerðar eru á hér á landi og allar réttarkrufningar. Þangað berst og fjöldi vefjasýna frá öðrum sjúkrahúsum og læknum utan sjúkrahúsa, til sjúkdómsgreiningar og vegna annarrar læknisþjónustu.

Þau vefjasýni sem berast RM mynda lífsýnasafn. Forstjóri LSH skipar fimm manna stjórn safnsins og fimm til vara til þriggja ára. Yfirlæknir RM er formaður stjórnarinnar og yfirmaður safnsins. Stjórnin tilnefnir mann sem ber ábyrgð á aðgangi að lífsýnum til frekari greiningar sjúkdóma, vísindarannsókna svo og að lífsýnum án persónuauðkenna til gæðaeftirlits, aðferðaþróunar og kennslu.

Starfsemi lífsýnasafnsins og RM fer fram á fleiri en einum stað. Elsti hluti safnsins, svonefnt S-safn, er geymdur í húsi A. Starfsemi á vegum RM og lífsýnasafnsins fer og fram í byggingum B, C og D, en þar eru nýrri hlutar lífsýnasafnsins geymdir. Í F (forsvarsmaður þar er NN, prófessor í M) eru varðveitt lífsýni tengd rannsóknum á heilavef. Í G (forsvarsmaður þar er NN, prófessor í N) eru varðveitt lífsýni tengd lögreglurannsóknum. Að auki fer starfsemi á vegum RM og lífsýnasafns LSH fram í starfsstöðvum Upplýsingatæknisviðs LSH, þ.e. í H, í vélasal í I og í J, en þar er einnig að finna vélasal.

Nánari lýsingu er að finna í fskj. nr. 1. Þar er ítarleg umfjöllun um starfsemina eins og henni er lýst í framangreindri skýrslu SHB. Byggist sú skýrsla að miklu leyti á gögnum frá RM. Einnig vísast til fskj. nr. 2. þar sem gerð er grein fyrir athugasemdum LSH (RM og Upplýsingatæknisviðs). Telst efni fylgiskjalanna hluti niðurstöðu þessarar.

III.
Afmörkun og efnistök

Undir gildissvið laga nr. 77/2000 fellur vinnsla persónuupplýsinga. Samkvæmt 1. tölul. 1. mgr. 2. gr. laganna er með „persónuupplýsingum“ átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Teljast lífsýni til persónuupplýsinga í skilningi laganna, nema þau séu varðveitt án auðkenna sem rekja megi til tiltekinna einstaklinga og séu eðli sínu samkvæmt ekki þannig að þau beri með sér persónuauðkenni. Samkvæmt 2. tölul. 1. mgr. 2. gr. laganna er með „vinnslu“ átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn. Telst meðferð lífsýnasafns LSH og RM á persónuupplýsingum, þ. m. t. lífsýnum, til vinnslu í þessum skilningi. Fellur mál þetta því undir gildissvið laga nr. 77/2000 og þar með undir ákvörðunarvald Persónuverndar.

Við meðferð málsins hefur verið höfð hliðsjón af staðlinum ÍST BS 7799 um stjórnun upplýsingaöryggis. Þar er miðað við að eftir atvikum geti verið nauðsynlegt við gerð úttekta að kanna lögmæti viðkomandi vinnslu. Verður í niðurstöðu þessari fyrst fjallað um hvort vinnslan eigi sér stoð í lögum og síðan hvort uppfylltar séu kröfur laga og reglna um öryggi hennar.

Samkvæmt 37. gr. laga nr. 77/2000 eru verkefni Persónuverndar m.a. þau að mæla fyrir um, eftir því sem þurfa þykir, ráðstafanir að því er varðar tækni, öryggi og skipulag vinnslu persónuupplýsinga þannig að hún verði í samræmi við ákvæði laganna, að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum, að skilgreina og afmarka hvar einkalífsvernd er hætta búin og veita ráð um leiðir til lausnar. Persónuvernd hefur ákveðið að í niðurstöðu þessari verði ýmist veitt ráð um leiðir til lausnar eða gefin bein fyrirmæli um ráðstafanir.

IV.
Lögmæti vinnslunnar

Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 8. og/eða 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Heilsufarsupplýsingar, m.a. þær sem verða til við rannsóknir á lífsýnum, teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 1. mgr. 2. gr. laga nr. 77/2000. Því þarf vinnsla þessara upplýsinga að eiga sér stoð bæði í 8. og 9. gr. laganna.

Við mat á því hvort framangreind skilyrði séu uppfyllt þarf að líta til þess tilgangs sem býr að baki rekstri lífsýnasafns LSH og RM, en skv. gögnum málsins er hann tvíþættur, bæði læknisfræðilegur (þjónusturannsóknir) og vísindalegur (vísindarannsóknir).

Í 4. tölul. 1. mgr. 8. gr. laga nr. 77/2000 segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að vernda brýna hagsmuni hins skráða. Þá segir í 7. tölul. 1. mgr. sömu greinar að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.

Í 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000 segir að vinnsla viðkvæmra persónuupplýsinga sé heimil standi til hennar sérstök heimild samkvæmt lögum. Hér ber að líta til 4. gr. laga nr. 110/2000 um að starfræksla lífsýnasafns skuli háð leyfi frá heilbrigðis- og tryggingamálaráðherra. Hinn 18. júní 2002 var LSH veitt slíkt leyfi til starfrækslu lífsýnasafns LSH á RM og segir þar að markmið stofnunar og starfrækslu lífsýnasafnsins sé söfnun, varsla, meðferð, vistun og nýting lífsýna í vísindalegum og læknisfræðilegum tilgangi. Þá ber að líta til 8. tölul. 1. mgr. 9. gr., þar sem vinnsla viðkvæmra persónuupplýsinga er heimiluð sé hún nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu. Loks ber að líta til þess að samkvæmt 9. tölul. getur slík vinnsla verið heimil sé hún sé nauðsynleg vegna tölfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á.

Vinnsla persónuupplýsinga í læknisfræðilegum og vísindalegum tilgangi á sér stoð í framangreindum ákvæðum og telst því standa ótvíræð lagaheimild til þess að LSH starfræki umrætt lífsýnasafn og rannsóknarstofu. Engin afstaða hefur hins vegar verið tekin til lögmætis einstakra þátta í vinnslunni.

Samkvæmt 31. og 32. gr. laga nr. 77/2000, og reglum Persónuverndar nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, ber að tilkynna vinnslu persónuupplýsinga til Persónuverndar. Sú vinnsla sem er til úrlausnar í máli þessu er tilkynningarskyld og hafa Persónuvernd þegar borist allmargar tilkynningar um hana. Engin afstaða hefur verið tekin til þess hvort tilkynningar hafi borist um hana alla þannig að fyrir liggi að framangreindri skyldu hafi verið fullnægt.

V.
Niðurstaða

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.

Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.

Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.

Auk ofangreindra ákvæða laga nr. 77/2000 verður að líta til sérákvæða í lögum nr. 110/2000 um lífsýnasöfn. Í 1. mgr. 8. gr. þeirra laga segir að lífsýni skuli tryggilega geymd og merkt en varðveitt án persónuauðkenna, sbr. 1. mgr. Þá segir í 2. mgr. 8. gr. að varsla lífsýna skuli vera þannig að þau glatist hvorki né skemmist og að óviðkomandi hafi ekki aðgang að þeim.

Fram hefur farið athugun á því hvort uppfyllt séu fyrirmæli framangreindra laga, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá Rannsóknastofu í meinafræði og í lífsýnasafni LSH. Þá hefur, í ljósi aðstæðna hverju sinni, ýmist verið ákveðið að gefa bein fyrirmæli eða veita leiðsögn að því er varðar tækni, öryggi og skipulag vinnslunnar þannig að hún verði í samræmi við ákvæði laga og reglna – skv. því sem hér segir:

1. Öryggisstefna

LSH hefur sett sér öryggisstefnu, þ.e. með skjalinu „Stefnumörkun í öryggismálum upplýsingavinnslu og gagnaneta Landspítala-háskólasjúkrahúss“. Var hún samþykkt hinn 28. nóvember 2000. Öryggisstefna skal hafa að geyma almenna lýsingu á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála og taka mið af því hvaða persónuupplýsingar á að vernda, hvernig og hvaða aðferð skal nota við vinnsluna, sbr. 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001, sbr. 5. mgr. 11. gr. laga nr. 77/2000. Þar sem unnið er með upplýsingar, sem telja verður viðkvæms eðlis, er því nauðsynlegt að öryggisstefna taki mið af því. Þá þarf að lýsa eðli vinnslunnar og tilgreina hvaða öryggisþætti leggja á mesta áherslu á. Í umræddu skjali er einkum tekið mið af vinnslu persónuupplýsinga í tölvukerfum og fullnægir skjalið þessum kröfum hvað það varðar. Hins vegar skortir þar lýsingu á stefnu LSH hvað varðar öryggi gagna að öðru leyti, þ. á m. í lífsýnasafni.

Er því hér með lagt fyrir LSH að gera öryggisstefnu sem taki til allra þátta vinnslu persónuupplýsinga, bæði hjá RM og lífsýnasafni LSH.

2. Áhættumat

Ekki hefur verið gert áhættumat í samræmi við 5. mgr. 11. gr. laga nr. 77/2000 og 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001. Í síðarnefnda ákvæðinu segir m.a. að áhættumat eigi að taka til þeirrar hættu sem steðji að persónuupplýsingum sem unnið er með, með hliðsjón af eðli þeirra. Þar skuli tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinga og hvaða líkur séu á slíku. Við gerð áhættumats ber að taka mið af þeim aðstæðum sem eru hjá ábyrgðaraðila, m.a. annars sérstökum aðstæðum á hverri starfsstöð. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Í áhættumati á ekki aðeins að vera almenn upptalning á þekktum áhættuþáttum án nokkurrar tengingar, s.s. við einstakar starfsstöðvar, heldur þarf á hverjum stað að meta sérstætt þá hættu sem þar kann að steðja að.

Er hér með lagt fyrir LSH að framkvæma áhættumat fyrir RM og lífsýnasafn LSH sem uppfylli framangreint.

3. Nauðsynlegar öryggisráðstafanir

Samkvæmt 1. mgr. 11. gr. laga nr. 77/2000 skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr. Athugun Persónuverndar hefur hins vegar leitt í ljós að víða er, í starfsemi RM og lífsýnasafns LSH, nauðsynlegt að grípa til víðtækari öryggisráðstafana en nú eru viðhafðar. Hefur hún af því tilefni komist að eftirfarandi niðurstöðu um einstakar öryggisráðstafanir sem hún telur vera nauðsynlegar:

3.1.
Í fylgiskjölum er ítarleg lýsing á einstökum starfsstöðvum. Þar kemur fram að ýmsir annmarkar eru á ástandi öryggismála, miðað við hlutverk hverrar og einnar starfsstöðvar. Um nánari lýsingu er vísað til fylgiskjals nr. 1, en helstu atriði eru þessi:

[…]

Varðandi framangreind atriði er hér með lagt fyrir LSH, eftir því sem þörf krefur á hverjum stað, að viðhafa eftirfarandi öryggisráðstafanir:

• Að tryggja að móttaka sé mönnuð allan þann tíma sem hús er opið og að eftir því sem við á sé haft eftirlit með mannaferðum.

• Að setja verklagsreglur um notkun skjávara og um að fjarlægja skuli viðkvæmar persónuupplýsingar af borðum að loknum vinnudegi/þegar ekki er verið að vinna með þær.

• Að tryggja að lífsýni séu aðeins aðgengileg þeim sem á þeim þurfa að halda starfa sinna vegna og eftir atvikum gæta þess að tölvur í geymslum fyrir lífsýni séu ekki nettengdar.

• Að fara yfir þá staði þar sem geymd eru lífsýni og aðrar viðkvæmar persónuupplýsingar og kanna hvort ekki megi koma þeim betur fyrir.

• Að læsa inngöngum að stöðum sem aðeins eru ætlaðir starfsmönnum, s.s. með notkun talnakóða.

• Að bæta aðgangseftirlit að vélasölum og koma þar upp rafrænu aðgangsstýringarkerfi.

• Að bæta frágang á dyrum að vélasal í starfsstöð Upplýsingatæknisviðs í K.

• Að tryggja að öllum tölvubúnaði sé fargað á öruggan hátt.

• Að hindra eftirlitslausa umferð óviðkomandi um rými þar sem unnið er með lífsýni og aðrar viðkvæmar persónuupplýsingar, þ.e. tryggja að enginn geti farið þar um nema í fylgd starfsmanns.

• Að fara yfir og skrá útgáfu lykla.

• Að fjölga hreyfiskynjurum þar sem þess þarf og eftir atvikum setja upp örugg viðvörunarkerfi.

• Að læsa hirslum undir lífsýni og aðrar viðkvæmar persónuupplýsingar.

• Eftir atvikum að bregðast við lélegu ástandi raflagna, leka og annarri slíkri hættu vegna ástands viðkomandi húsnæðis.

• Að tryggja að allir sem sinna ræstingum hafi undirritað trúnaðarheit.

• Að fara yfir hvernig þeim tækjabúnaði sem hefur að geyma viðkvæmar persónuupplýsingar er fargað og gera nauðsynlegar úrbætur sé þeirra þörf, þ.e. tryggja að ekki verði vistaðar persónuupplýsingar í búnaði sem hætt er að nota.

Skal LSH skila Persónuvernd, eigi síðar en 1. maí 2004, skýrslu um að hvaða marki gripið hafi verið til öryggisráðstafana á hverri og einni starfsstöð í samræmi við framangreint.

3.2.
Fram kemur, sbr. fskj. með niðurstöðu þessari, að rekstur upplýsingakerfa RM fer oft úrskeiðis, að aðgangsstýringar í kerfunum eru ófullnægjandi og að ekki liggur fyrir hvernig vernda á kerfin fyrir vatnstjóni eða bruna. Þá munu vera á meginupplýsingakerfi RM, Meina, alvarlegir annmarkar þannig að niðurstöður úr rannsóknum á lífsýnum geta skráðst á ranga einstaklinga.

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með. Í ljósi athugasemda LSH, m.a. um að ákvörðun hafi verið tekin um endurnýjun upplýsingakerfa, hefur hins vegar verið ákveðið, að svo stöddu, að gefa ekki bein fyrirmæli um slíka endurnýjun. Meðan henni er ólokið verður hins vegar að yfirfara þessi mál og meta hvernig vernda megi upplýsingakerfi RM og lífsýnasafns LSH, þ. á m. fyrir tjóni af völdum vatns eða bruna. Skal gera viðeigandi ráðstafanir á grundvelli þess mats. Sérstaklega er mikilvægt að yfirfara aðgangsstýringar. Þá ber brýna nauðsyn til að hindra að lífsýni skráist á ranga einstaklinga. Er lagt fyrir LHS að skila Persónuvernd, eigi síðar en 1. maí 2004, skýrslu um að hvaða marki þetta hafi verið gert.

4. Skráning öryggisráðstafana

Samkvæmt 5. mgr. 11. gr. laga nr. 77/2000 skal ábyrgðaraðili skrá með hvaða hætti hann ákveður öryggisráðstafanir. Ýmsar öryggisráðstafanir hafa verið skráðar hjá LSH, m.a. varðandi afritun gagna, en ekki liggur fyrir að skráningin taki til allrar vinnslunnar. Af skjölum málsins eru þrjú sem varða RM sérstaklega, þ.e. „Verklagsreglur vegna erfðafræðilegra vísindarannsókna á Frumulíffræðideild R.H. í meinafræði, Landspítala-háskólasjúkrahúsi“, „Skipulagsskrá og starfsreglur Lífsýnasafns Landspítala-háskólasjúkrahúss á Rannsóknastofu Háskólans í meinafræði“ og „Verklagsreglur um viðbrögð vegna vandamála í upplýsingakerfinu Meina“. Um tölvukerfi LSH í heild og nethögun liggur fyrir að gert hefur verið skjal sem heitir „Rýmdaráætlun tölvuumhverfis Landspítala“, dags. 25. janúar 2001.

Samkvæmt 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 á ákvörðun um öryggisráðstafanir að byggjast á því sem fram kemur í áhættumati. Þar sem ekki hefur verið gert áhættumat verður hins vegar að endurmeta þær ráðstafanir sem kveðið er á um í þessum og öðrum skjölum. Auk þess verður skráning öryggisráðstafana að vera víðtækari en nú er og á hún að ná til allra þeirra þátta sem reifaðir eru í áhættumati.

Er því hér með lagt fyrir LSH að skrá öryggisráðstafanir fyrir RM og lífsýnasafn LSH þannig að framangreint verði uppfyllt.

Þar sem öryggi tölvuskráðra upplýsinga er mjög háð gerð tölvunets er mikilvægt að á hverjum tíma liggi fyrir ítarleg lýsing á því. Slík lýsing skal veita yfirsýn yfir tilhögun nets. Þar skal m.a. koma fram hvaða öryggisráðstafanir eru viðhafðar til að hindra aðgang óviðkomandi, s.s. að gögnum sem eru varðveitt á miðlum sem þráðlaus netaðgangur er að. Persónuvernd gerir ekki kröfu um slík skjöl að svo stöddu, enda er viðfangsefnið nú aðeins öryggi hjá Rannsóknastofu í meinafræði og lífsýnasafni en ekki hjá LSH í heild.

5. Samningar við vinnslu- og þjónustuaðila

Ekki liggur fyrir að utanaðkomandi aðilar, þ. e. aðilar utan LSH, vinni með persónuupplýsingar fyrir RM eða lífsýnasafnið. Verður því ekki séð að þörf sé á gerð vinnslusamninga samkvæmt 13. gr. laga nr. 77/2000, sbr. IV. kafla reglna nr. 299/2001. Hins vegar er fjölþætt þjónusta keypt frá utanaðkomandi aðilum, s.s. ræstingafyrirtækjum.

Persónuvernd leggur fyrir LSH að gæta þess að í samningum við slíka aðila verði ákvæði um þagnarskyldu og um að þeir starfsmenn, sem í störfum sínum hafa aðgang að viðkvæmum persónuupplýsingum, undirriti sérstakar trúnaðaryfirlýsingar.

6. Innra eftirlit

Ekki liggur fyrir, sbr. fskj. 1, að hjá RM eða lífsýnasafni fari fram reglubundið innra eftirlit með því að unnið sé í samræmi við lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Þó munu öll frávik frá eðlilegri vinnslu, s.s. villutilfelli, vera skráð af þeim tæknimanni sem fær viðkomandi tilfelli til úrlausnar, sbr. fskj. 2, en slíkt er almennt talinn liður í innra eftirliti.

Er því hér með lagt fyrir LSH að taka upp innra eftirlit hjá RM og lífsýnasafni LSH í samræmi við fyrirmæli laga og reglna.

3.3. Greinargerð um gagnagrunn á heilbrigðissviði

3.3.1. Ferli gagnagrunnsmálsins á árinu 2003

Í ársskýrslu Persónuverndar fyrir árið 2002 er heildarlýsing á ferli máls um gagnagrunn á heilbrigðissviði (GGH) frá upphafi þess til ársloka 2002. Hér skal hins vegar lýst því sem gerðist á starfsárinu 2003. Þar sem þar var um að ræða beint framhald af þeim samskiptum, sem áttu sér stað milli Persónuverndar og Íslenskrar erfðagreiningar ehf. (ÍE) í árslok 2002, skal þeim þó lýst hér í fáum orðum samhengisins vegna. Nánari lýsingu er hins vegar að finna í ársskýrslu fyrir það starfsár.

Hinn 20. nóvember 2002 var haldinn fundur í húsakynnum ÍE þar sem félagið kynnti fyrir Persónuvernd hugmyndir um viðmót á internetinu fyrir notendur GGH, m.a. ættartré sem birtast skyldu notendum hans. Á fundinum lýsti Persónuvernd þeirri afstöðu sinni að nauðsynlegt væri að taka út hversu auðvelt væri að finna samsvörun á milli ættfræðiupplýsinga í Íslendingabók (og öðrum ættfræðigagnagrunnum sem aðgengilegir væru hér á landi) og þeirra ættartrjáa sem birtast skyldu notendum GGH. Í árslok 2002 áttu sér stað bréfaskipti um þetta, þ.e. með bréfi Persónuverndar til ÍE, dags. 22. nóvember 2002, ítrekuðu með bréfi, dags. 4. desember s.á.; bréfum ÍE til Persónuverndar, dags. 5. og 10. s.m.; og framangreindu bréfi Persónuverndar til ÍE, dags. 23. s.m. Í síðastnefnda bréfinu voru ítrekuð þau sjónarmið sem fram höfðu komið á fundinum hinn 20. nóvember 2002 og í fyrri bréfum stofnunarinnar, m.a. að fram þyrfti að fara úttekt á persónugreinanleika ættartrjánna. Þá var og vikið að þeirri ósk ÍE í bréfi félagsins til Persónuverndar, dags. 5. desember 2002, að hugtakið „persónugreinanleiki“, að því er GGH varðaði, yrði skilgreint skriflega. Sagði í bréfi Persónuverndar að hún væri reiðubúin til að vinna að nánari afmörkun á þeim viðmiðum sem notuð yrðu við úttekt á öryggi GGH. Annars vegar væri þá um að ræða lögfræðilega afmörkun á inntaki 2. og 3. tölul. 3. gr. laga nr. 339/1998 um GGH og hins vegar mat á því hvaða viðmið bæri að leggja til grundvallar svo að ásættanlega litlar líkur væru á að hægt yrði að persónugreina upplýsingar. Að lokum lagði Persónuvernd til að haldinn yrði fundur um málið þar sem farið yrði yfir verkáætlun og verkþætti þessa verkefnis og skiptingu þeirra milli Persónuverndar og ÍE. Var óskað eftir að fyrirsvarsmenn ÍE veittu svör um hvaða dagar hentuðu til þess.

Þetta bréf Persónuverndar var ítrekað með bréfi, dags. 8. janúar 2003, þ. á m. fundarboðið. Hinn 14. s.m. barst síðan tölvupóstur frá ÍE þar sem fram kom að tölfræðileg úttekt á persónugreinanleika ættartrjáa væri hafin. Í framhaldi af þessu áttu sér stað símtöl milli Persónuverndar og ÍE um heppilegan fundartíma og í kjölfar þess var fundurinn haldinn hinn 28. janúar 2003. Þar kynnti ÍE niðurstöður úttektarinnar á ættartrjánum, en hún fór fram í samvinnu við DÖJ, tæknilegan ráðgjafa Persónuverndar. Kom fram að ekkert ættartré hefði átt sér aðeins eina samsvörun í ættfræðigagnagrunni ÍE, Íslendingabók, og þar af leiðandi verið persónugreinanlegt. Ekki hafði hins vegar verið tekið tillit til kyns þeirra sem birtust í ættartrjánum og taldi Persónuvernd nauðsynlegt að það yrði gert. Þá kom fram af hálfu Persónuverndar að áður en unnt yrði að taka endanlega afstöðu til þess hvort ættartrén væru persónugreinanleg eða ekki yrði að kalla til ráðgjafa stofnunarinnar frá ráðgjafarfyrirtækinu CMG UK Ltd. til mats á því, enda taldi hún marga þætti, sem viðskiptavinir gætu notað við mótun fyrirspurna í GGH og ættartrén byggðust síðan á, s.s. tegund sjúkdóms, aldur eða aldursskeið þegar viðkomandi lést úr honum, árið eða árabilið þegar það gerðist, fjölda ættingja með sjúkdóminn o.s.frv., geta gert það að verkum, þegar þeir kæmu saman, að ættartrén yrðu persónugreinanleg. ÍE hafði hins vegar ekki útfært endanlega hvernig unnt yrði að móta fyrirspurnir.

Fram kom á fundinum að ÍE vildi að lokið yrði við að meta hvort ættartrén væru persónugreinanleg áður en úttekt á öryggi GGH héldi áfram. Benti Persónuvernd þá á að ÍE yrði að leggja fram tímaáætlun um hvernig þeirri vinnu fyrirtækisins yrði hagað sem nauðsynleg væri til að ráðgjafar Persónuverndar frá CMG gætu metið það. ÍE andmælti því hins vegar að nauðsynlegt væri að kalla til sérfræðinga frá CMG.

Hinn 5. febrúar 2003 barst Persónuvernd tölvupóstur frá ÍE þar sem fram kom að gerð hefði verið úttekt á persónugreinanleika ættartrjáa út frá kyni og væru þau ekki persónugreinanleg út frá þeirri forsendu. Skýrsla um niðurstöðu úttektarinnar barst síðan Persónuvernd með tölvupósti hinn 10. s.m.

Með bréfi til ÍE, dags. 13. febrúar 2003, rakti Persónuvernd það sem fram hafði komið á fundinum hinn 28. janúar s.á., þ. á m. þá afstöðu stofnunarinnar að henni yrði að berast tímaáætlun frá ÍE um hvernig hagað yrði nauðsynlegri vinnu fyrirtækisins til að sérfræðingar stofnunarinnar frá CMG gætu metið persónugreinanleika ættartrjánna. ÍE svaraði með bréfi, dags. 5. mars 2003. Þar segir m.a.: „ÍE ítrekar þá afstöðu sína að úttekt verði ekki fram haldið fyrr en PV hefur tekið afstöðu til ópersónugreinanleika birtingarforms gagnanna eins og það hefur verið kynnt stofnuninni.“ Einnig sagði að ÍE teldi það ekki hlutverk CMG að setja viðmið hvað varðaði persónugreinanleika ættartrjáa og að fyrirtækið myndi ekki greiða neinn kostnað sem af slíkri vinnu hlytist.

Með bréfi til ÍE, dags. 13. mars 2003, ítrekaði Persónuvernd bréf stofnunarinnar, dags. 13. febrúar s.á. Í fyrrnefnda bréfinu segir m.a.:

„Í tölfræðiúttektum á persónugreinanleika ættartrjáa, eins og þeirra sem birtast notendum gagnagrunns á heilbrigðissviði, hefur ekki annað komið í ljós en að þau eigi sér ávallt margar samsvaranir í ættfræðigagnagrunni Íslenskrar erfðagreiningar, Íslendingabók, þ.e. að sama ættarmynstur megi finna þar á mörgum stöðum. Slík ættartré má telja ópersónugreinanleg svo fremi ekki verði með mótun fyrirspurna eða á annan hátt gert unnt að fækka þeim svo mikið að unnt verði að persónugreina þau. Ætla má að slíkt gæti t.d. orðið mögulegt verði unnt að kalla fram ættartré manna sem fæddust á svipuðum tíma en létust úr tilteknum sjúkdómi áður en þeir náðu tilteknum aldri. Þar sem í Íslendingabók má bæði sjá fæðingardag og dánardag þeirra sem þar eru skráðir yrðu líkur á persónugreiningu mun meiri en ella.

Í ljósi þessa lítur stjórn Persónuverndar svo á að ekki sé unnt að kanna sérstaklega einn þátt í gagnagrunnskerfinu, í þessu tilviki ættartrén, og taka sérstaka afstöðu til hans heldur verði óhjákvæmilega að líta til allra þátta kerfisins. Meta þarf persónugreinanleika upplýsinga sem veittar verða úr gagnagrunni á heilbrigðissviði út frá öllum þáttum kerfisins og gagnkvæmum áhrifum þeirra hvers á annan líkt og gert er í gildandi öryggisskilmálum gagnagrunnsins (Security Target). Við framkvæmd slíks mats mun Persónuvernd njóta aðstoðar tæknilegra ráðgjafa sinna frá CMG […], enda er hér um að ræða erfiðasta úrlausnarefnið, sem er í raun kjarni málsins, þ.e. sú meginspurning sem úttekt Persónuverndar er ætlað að svara: Hvort upplýsingar veittar úr gagnagrunni á heilbrigðissviði verði persónugreinanlegar. Ekki er hægt að svara þeirri spurningu fyrr en að úttekt lokinni, enda verður hún, eðli málsins samkvæmt, ekki leidd til lykta fyrirfram. Samkvæmt framanrituðu getur Persónuvernd ekki, að svo komnu máli, tekið skýrari afstöðu til persónugreinanleika gagnanna en hún hefur gert nú þegar.“

Þessu næst ítrekaði Persónuvernd ósk stofnunarinnar um tímaáætlun um hvernig ÍE hygðist haga vinnu sinni í tengslum við GGH svo að unnt yrði, með hæfilegum fyrirvara, að kalla til ráðgjafa stofnunarinnar frá CMG. Teldi Persónuvernd heppilegast að vinna þeirra hefðist með samningu tillagna að endurskoðun öryggisskilmálanna. Að henni lokinni yrði úttekt stofnunarinnar fram haldið, að því gefnu að þá lægju fyrir nægileg gögn. Óskað væri eftir afstöðu ÍE til að vinnu í tengslum við GGH yrði hagað með þessum hætti.

Í tilefni þeirrar yfirlýsingar í bréfi ÍE, dags. 5. mars 2003, að fyrirtækið myndi ekki greiða neinn kostnað vegna vinnu ráðgjafa Persónuverndar frá CMG í tengslum við könnun þess hvort ættartré, sem birtast ættu notendum GGH, væru persónugreinanleg var að lokum minnt á 3. og 4. mgr. laga nr. 139/1998 um skyldu leyfishafa samkvæmt lögunum, þ.e. ÍE, til að greiða kostnað af eftirliti Persónuverndar samkvæmt þeim.

Þetta bréf Persónuverndar var ítrekað með bréfum, dags. 7. apríl og 15 júlí 2003, en svar barst ekki frá ÍE.

3.3.2. Dómur Hæstaréttar frá 27. nóvember 2003 í máli nr. 151/2003

Hinn 27. nóvember 2003 felldi Hæstiréttur dóm þar sem leyst var úr eftirfarandi dómkröfum R á hendur íslenska ríkinu: í fyrsta lagi að synjun landlæknis á beiðni hennar um að upplýsingar um látinn föður hennar yrðu ekki færðar í GGH yrði ógilt, og í öðru lagi að viðurkennt yrði að henni væri rétt að leggja bann við því að slíkar upplýsingar yrðu færðar þangað inn. Hæstiréttur taldi R ekki geta neytt réttar samkvæmt 8. gr. laga nr. 139/1998 um rétt manna til að hafna því, með tilkynningu til landlæknis, að upplýsingar um þá verði færðar í GGH. Hæstiréttur taldi R hins vegar hafa hagsmuni af því að koma í veg fyrir að heilsufarsupplýsingar um föður hennar yrðu færðar í GGH þar sem ráða mætti af slíkum upplýsingum atriði varðandi arfgenga eiginleika föðurins sem einnig gætu átt við um hana. Vegna þessara hagsmuna R var hún talin eiga aðild að málinu og að ekki bæri því að sýkna ríkið vegna aðildarskorts (um þetta er vísað nánar til héraðsdóms Reykjavíkur frá 6. mars 2003 þar sem komist var að þessari niðurstöðu). Samkvæmt þessu yrði að játa R rétt til að hafa uppi framangreindar dómkröfur. Við mat á því hvort fallast bæri á þær leit Hæstiréttur til ákvæðis 1. mgr. 71. gr. stjórnarskrárinnar um réttinn til friðhelgi einkalífs. Taldi hann 7. gr. laga nr. 139/1998, sem gæfi kost á því að einkaaðili, sem hvorki væri sjúkrastofnun né sjálfstætt starfandi heilbrigðisstarfsmaður, gæti fengið upplýsingar úr sjúkraskrám án samþykkis hlutaðeigandi, ekki þurfa að vera andstætt þessu stjórnarskrárákvæði eitt út af fyrir sig. Hins vegar yrði löggjafinn að stuðla að því við setningu reglu sem þessarar að tryggt væri eins og frekast væri kostur að upplýsingarnar yrðu ekki raktar til ákveðinna manna. Þótt í einstökum ákvæðum laga nr. 139/1998 væri ítrekað skírskotað til þess að heilsufarsupplýsingar í GGH ættu að vera ópersónugreinanlegar skorti hins vegar mjög á að tryggt væri nægilega, með ákvæðum settra laga, að þessu yfirlýsta markmiði yrði náð. Í ljósi þess varð niðurstaða Hæstaréttar sú – gagnstætt því sem héraðsdómur Reykjavíkur komst að – að viðurkenna yrði rétt R í þessu efni og voru dómkröfur hennar því teknar til greina.

4. Nánari umfjöllun um nokkur mál, einstaka úrskurði, álit og aðrar afgreiðslur¹

4.1. Lögmæti umfjöllunar um morðmál sem birtist í DV

Hinn 15. janúar 2003 gaf Persónuvernd út svofellt álit í máli nr. 2002/448:

Með bréfi, dags. 4. október sl., óskaði OMA hdl. þess fyrir hönd umbjóðenda sinna, A og B, að Persónuvernd fjallaði um lögmæti umfjöllunar um morðmál sem birtist í DV. Í niðurlagi bréfs OMA segir:

„Þess er krafist að Persónuvernd fjalli um málið og láti uppi það álit sitt að umfjöllun DV sem birtist laugardaginn 21. september 2002 undir fyrirsögninni “Myrti ókunna konu í stundarbrjálæði” og var merkt upphafsstöfunum D, sé ólögmæt og standist ekki ákvæði 1. og 4. tl. 1. mgr. 7. gr. pul. Þess er krafist að Persónuvernd láti uppi það álit sitt að brotið hafi verið sérstaklega ámælisvert.“

Með bréfi, dags. 21. október sl., bauð Persónuvernd DV að tjá sig um málið og hinn 28. s.m. barst stofnuninni síðan tölvupóstur frá blaðamanninum sem skrifaði greinina, D. Aftur bauð Persónuvernd DV að tjá sig um málið með bréfi, dags. 5. nóvember sl., þar sem láðst hafði að senda blaðinu gögn málsins. Í þetta skipti var D einnig boðið að tjá sig. Svar barst ekki innan þess frests sem veittur var, en hann rann út hinn 19. nóvember sl. Með bréfi, dags. 3. desember sl., bauð Persónuvernd OMA síðan að tjá sig um tölvupóst D og hefur stofnuninni nú borist bréf frá henni, dags. 11. s.m.

I.

Atvik málsins eru þessi: Hinn 21. september sl. birtist í DV grein, skrifuð af D, undir fyrirsögninni „Myrti ókunna konu í stundarbrjálæði“. Í greininni er fjallað um morð sem framið var árið 1988. Ekki er þar getið nafns konunnar sem myrt var, C, dóttur A og B, eða annarra. Hins vegar er öllum atvikum, þ.á m. tíma og staðsetningu, lýst með nákvæmum hætti. Í greininni segir meðal annars að morðinginn hafi haft samfarir við konuna, en hann hélt því fram þegar réttað var í máli hans. Í dómi Hæstaréttar segir hins vegar: „Skýrslur ákærða um samskipti hans við hina látnu, eftir að þau voru orðin ein, eru ekki trúverðugar, og verða þær ekki lagðar til grundvallar.“ Þá segir í héraðsdóminum: „Ekki var sýnt fram á að konan hefði haft samfarir fyrir andlátið.“

II.

Í bréfi OMA hdl., dags. 4. október sl., segir:

„Þær upplýsingar sem fram koma í greininni eru persónugreinanlegar, þótt ekki sé um nafngreiningu að ræða, þar sem öllum aðstandendum hinnar myrtu er fullljóst af atvikalýsingu, staðsetningu og tímasetningu málsins um hvaða einstaklinga er að ræða. Ekki breytir neinu í því sambandi að sá einstaklingur sem upplýsingarnar verða raktar til er látinn, sbr. 1. tl. 1. mgr. 2. gr. pul., en tilgangurinn með því að skilgreina upplýsingar um látið fólk sem persónuupplýsingar hlýtur m.a. að vera sá að vernda aðstandendur látins fólks fyrir umfjöllun um einkamálefni þess sem valdið geti aðstandendum óþarfa sársauka. Bent er á að þær persónuupplýsingar er fram koma í greininni um dóttur umbj. m. eru að hluta til viðkvæmar persónuupplýsingar skv. skilgreiningu 8. tl. 1. mgr. 2. gr. pul., þar sem fjallað er um kynlíf hennar og kynhegðun í greininni. Þótt efnisákvæði 9. gr. pul. eigi ekki strangt til tekið við, sbr. 5. gr. laganna, er ljóst að eðli máls samkvæmt ber að fara sérstaklega varlega og gæta sérstakrar tillitsemi í umfjöllun um viðkvæmar persónuupplýsingar. Það er afstaða umbj. m. að umfjöllun þessi sé almennt séð ólögmæt þar sem hún feli í sér brot gegn friðhelgi einkalífs þeirra. Umfjöllunin rifjar upp atvik sem hafa valdið umbj. m. ómældum sársauka og harmi. Höfundi greinarinnar og ritstjórn DV átti að vera fullljóst að birting greinarinnar myndi valda umbj. m. sársauka og raska tilfinningum þeirra, en hverjum manni hlýtur að vera ljós sá harmur sem það veldur foreldrum þeirra sem falla fyrir morðingja hendi að ýfð séu upp þau sár með ósmekklegri og óþarfri umfjöllun. Er sérstaklega alvarlegt að eins og sjá má af hinni umdeildu grein er umfjöllun DV um málið án nokkurs sýnilegs tilgangs annars en þess að fjölmiðillinn geri sér ógæfu og harm umbj. m. að féþúfu. Í því sambandi er sérstaklega bent á að um er að ræða 14 ára gamalt dómsmál og hefur umfjöllun um það nú því ekkert fréttagildi og snertir ekki opinbera lýðræðislega umræðu á nokkurn hátt. Umfjöllun DV í hinni umdeildu grein er því í sjálfu sér og almennt séð brot á friðhelgi umbj. m. og í andstöðu við 1. tl. 1. mgr. 7. gr. pul.

Við hið almenna brot gegn friðhelgi einkalífs umbj. m. bætist einnig sérstakt brot gegn pul. sem byggist á óvönduðum vinnubrögðum við vinnslu hinnar umdeildu greinar þar sem fjallað er um kynhegðun hinnar látnu. Í upphafi greinarinnar segir: “Það sem gerðist var…” og er greinin öll rituð í þeim stíl að blaðamaðurinn sé að greina frá óyggjandi sönnuðum staðreyndum. Síðar í greininni segir: “Þegar þau höfðu snætt eggjabrauðið lögðust þau í rúm konunnar og hún fór að mestu úr fötunum og þau höfðu samfarir sem var ekki lokið þegar konan ýtti manninum frá sér og vildi hætta svo nánum samskiptum.” Í fyrsta lagi fullyrðir blaðamaðurinn þarna um staðreyndir sem áttu að eiga sér stað þegar hin látna og brotamaðurinn voru orðin ein. Þessar fullyrðingar eru fullkomlega ósannaðar og eru einungis hafðar eftir brotamanninum í málinu. Er brot blaðamannsins sérstaklega alvarlegt þar sem fram kemur skýrum orðum í dómi Hæstaréttar sem greinin virðist unnin upp úr að: “Skýrslur ákærða um samskipti hans við hina látnu, eftir að þau voru orðin ein, eru ekki trúverðugar, og verða þær ekki lagðar til grundvallar.”…Þessu til viðbótar kemur fram í héraðsdóminum að: “Ekki var sýnt fram á að konan hefði haft samfarir fyrir andlátið.” …Er þetta dæmi um mjög óvönduð og ámælisverð vinnubrögð í umfjöllun um dómsmál og getur ekki staðist efniskröfur 1. og 4. tl. 1. mgr. 7. gr. pul. Er brotið sérstaklega ámælisvert þar sem fjallað er um viðkvæmar persónuupplýsingar án nokkurra tengsla við opinbera lýðræðislega umræðu. Á grundvelli þessara óforsvaranlegu vinnubragða er dregin upp neikvæð mynd af hinni látnu sem fallin er til þess að vanvirða minningu hennar, valda aðstandendum hennar óþarfa sársauka og raska þannig friðhelgi einkalífs fórnarlambsins og aðstandenda þess.“

Í tölvupósti D frá 28. október sl. segir:

„Gögn sem notuð voru við samningu greinarinnar eru dómar Hæstaréttar og héraðsdóms í umræddu máli eins og þeir eru öllum aðgengilegir í bókasöfnum. Engin nöfn aðstandenda voru birt og reynt eftir megni að forðast lýsingar sem tengt gætu atburði þessa við persónur en rétt götuheiti var notað.

Ef Persónuvernd telur vinnubrögð af þessu tagi “sérlega ámælisverð” þurfa fjölmiðlar á Íslandi allir að endurskoða vinnubrögð sín og takmarka þarf aðgang að gögnum réttarkerfisins.“

Í bréfi OMA, dags. 11. desember sl., segir:

„Undirrituð telur ekki ástæðu til að tjá sig sérstaklega um athugasemdir blaðamannsins umfram það sem fram kemur í bréfi undirritaðrar til yðar, dags. 4. október 2002, en þar kemur skýrt fram að það er einkum hin beinlínis ranga frásögn blaðamannsins sem er sérstaklega alvarleg í málinu.“

III.
Álit Persónuverndar

1.

Þær upplýsingar, sem unnið var með í umræddri grein, eru persónuupplýsingar, sbr. 1. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga þar sem hugtakið persónuupplýsingar er skilgreint sem „[s]érhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi [skáletrun Persónuverndar].“ Þó að nafns hinnar látnu hafi ekki verið getið má ætla að þeir sem til hennar þekktu hafi mátt vita að greinin fjallaði um hana, enda var öllum aðstæðum, þ.á m. tíma og staðsetningu, lýst með nákvæmum hætti. Liggur því fyrir að gerð og birting umræddrar greinar fól í sér vinnslu persónuupplýsinga. Í 2. málsl. 5. gr. laga nr. 77/2000 segir: „Þegar persónuupplýsingar eru einvörðungu unnar í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi gilda aðeins ákvæði 4. gr., 1. og 4. tölul. [1. mgr.] 7. gr., 11.–13. gr. og 24., 28., 42. og 43. gr. laganna.“ Af þessu leiðir að framangreind vinnsla persónuupplýsinga lýtur ákvæðum laga nr. 77/2000 aðeins að takmörkuðu leyti.

Af þeim ákvæðum, sem vísað er til í 2. málsl. 5. gr., eru það einkum 1. og 4. tölul. 1. mgr. 7. gr. sem hér geta átt við eftir efni sínu. Samkvæmt 1. tölul. skal þess gætt við vinnslu persónuupplýsinga að þær séu, meðal annars, unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Samkvæmt 4. tölul. skal þess meðal annars gætt að þær persónuupplýsingar, sem unnið er með, séu áreiðanlegar.

Lögum nr. 77/2000 er hvorki ætlað að girða fyrir né banna gerð blaðagreina eða annars efnis um sakamál sem raunverulega hafa orðið og öllum er kunnugt um. Hins vegar leiða reglur laganna til þess að efnistök verða að samrýmast grundvallarsjónarmiðum um friðhelgi einkalífs. Í 1. mgr. 1. gr. laganna segir þannig, meðal annars, að markmið þeirra sé „að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs.“

2.

Við úrlausn þessa máls reynir á mörk tjáningarfrelsis og einkalífsréttar. Skal því, áður en lengra er haldið, vikið nokkrum orðum að valdi Persónuverndar til að skera úr um hvort rétturinn til tjáningarfrelsis hafi verið misnotaður á kostnað réttarins til friðhelgi einkalífs.

Kveðið er á um grundvallarregluna um tjáningarfrelsi í 73. gr. stjórnarskrárinnar og 10. gr. mannréttindasáttmála Evrópu sem hefur lagagildi hér á landi, sbr. 1. gr. laga nr. 62/1994. Lög nr. 77/2000 verður að skýra með þeim hætti að þau brjóti ekki gegn þessari grundvallarreglu. Tjáningarfrelsið er þó ekki án undantekninga þar sem það getur skarast við grundvallarregluna um rétt manna til friðhelgi einkalífs, sem verndaður er af 71. gr. stjórnarskrárinnar og 8. gr. mannréttindasáttmála Evrópu, og getur það í vissum tilvikum þurft að víkja fyrir þeim rétti.

Verkefnum Persónuverndar er lýst í 37. gr. laga nr. 77/2000. Þar segir meðal annars að Persónuvernd skuli úrskurða í ágreiningsmálum sem upp kunna að koma um vinnslu persónuupplýsinga. Að mati Persónuverndar verður ekki litið svo á að í þessu felist að hún hafi vald til að taka bindandi ákvörðun um það hvort einhver hafi skapað sér ábyrgð að lögum með misnotkun á stjórnarskrárbundnum rétti til tjáningarfrelsis. Er þá sérstaklega litið til þess að samkvæmt 2. málsl. 5. gr. laga nr. 77/2000 fellur vinnsla, sem einvörðungu fer fram í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi, utan ramma flestra ákvæða laganna, þ.á m. ákvæða 40. og 41. gr. sem veita Persónuvernd valdheimildir vegna vinnslu persónuupplýsinga. Að mati Persónuverndar fellur úrlausn slíkra mála undir valdsvið dómstóla. Í ljósi 6. tölul. 3. mgr. 37. gr. laga nr. 77/2000, þar sem segir að Persónuvernd skuli, samkvæmt beiðni eða að eigin frumkvæði, tjá sig um álitaefni varðandi meðferð persónuupplýsinga, lítur stofnunin hins vegar svo á að henni beri að tjá sig um hvort við gerð umræddrar greinar hafi verið brotið gegn þeim ákvæðum laga nr. 77/2000 sem fjalla um vinnslu persónuupplýsinga í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi. Fer það álit hennar hér á eftir. Ekki verður þar tekin afstaða til þess hvort brotið hafi verið gegn lögum nr. 77/2000 með þeim hætti að telja megi sérstaklega ámælisvert eða refsivert.

3.

Í dómi Hæstaréttar í máli þess sem myrti C segir: „Skýrslur ákærða um samskipti hans við hina látnu, eftir að þau voru orðin ein, eru ekki trúverðugar, og verða þær ekki lagðar til grundvallar.“ Þá segir í héraðsdóminum: „Ekki var sýnt fram á að konan hefði haft samfarir fyrir andlátið.“ Í grein D, sem er unnin upp úr þessum dómum, er hins vegar fullyrt að morðinginn og hin látna hafi haft samfarir eins og það sé ein af óumdeildum staðreyndum málsins.

Stjórn Persónuverndar fjallaði um mál þetta á fundi sínum þann 8. þ.m. Hún lagði, í fyrsta lagi, mat á það hvort með þessum efnistökum hafi verið fullnægt kröfu 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Í ljósi markmiðsákvæðis 1. mgr. 1. gr. laganna verður að skilja þetta ákvæði 7. gr. þannig að í því felist að sýna verði hæfilega nærgætni þegar fjallað er um jafn viðkvæm mál og það sem hér um ræðir. Telur Persónuvernd grundvallarreglu 73. gr. stjórnarskrárinnar og 10. gr. mannréttindasáttmála Evrópu um tjáningarfrelsi ekki hamla því að gerð sé krafa til þess að sýna nærfærni í umfjöllun um látinn einstakling. Er ljóst að gerð og birting slíks efnis, sem hér um ræðir, getur verið sérstaklega sársaukafull fyrir aðstandendur og aðra hlutaðeigandi, en tilefni þess að upplýsingar um látna einstaklinga eru skilgreindar sem persónuupplýsingar, sbr. 1. tölul. 2. gr. laga nr. 77/2000, er m.a. að vernda þá fyrir slíku. Persónuvernd telur því ljóst að með því að fullyrða að morðinginn og hin látna hafi haft samfarir, þrátt fyrir að það sé dregið í efa í héraðsdómi og dómi Hæstaréttar, hafi verið brotið gegn 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000.

Persónuvernd hefur, í öðru lagi, lagt mat á það hvort fullnægt hafi verið kröfu 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu áreiðanlegar. Þar sem fullyrt var að morðinginn og hin látna hefðu haft samfarir þó að opinber gögn gæfu ekki tilefni til þess telur Persónuvernd ljóst að brotið hafi verið gegn ákvæðinu.

4.

Samkvæmt framanrituðu er það því álit Persónuverndar að með umræddri grein hafi DV og D brotið gegn ákvæðum 1. og 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

4.2. Skoðun atvinnurekanda á tölvupósti starfsmanns

Hinn 16. janúar 2003 gaf Persónuvernd út svofellt álit í máli nr. 2002/66:

I.

Með bréfi, dags. 4. febrúar 2002, gerði GBÓ, hdl., Persónuvernd grein fyrir því að skjólstæðingur hans, A, hefði höfðað mál gegn D til greiðslu vangoldinna launa í uppsagnarfresti. Kom fram að stefndi, D, hefði hafnað kröfum A á þeirri forsendu að hún hefði brotið trúnaðarskyldu gagnvart fyrirtækinu með því að vera í persónulegu sambandi við fyrrum vinnufélaga sinn, B, sem ræki eigin ráðningarskrifstofu. Því til staðfestingar hefði stefndi lagt fram útskrift af tölvupóstbréfum A og B, alls 158 tölvuskeyti. Var þess óskað að Persónuvernd mæti hvort meðferð D á tölvupóstbréfum A og B teldist vera brot á 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, eða öðrum ákvæðum laganna. Þá var þess krafist að beitt yrði ákvæði 42. gr. um refsingu ef ástæða þætti til. Erindinu fylgdi afrit af stefnu A, sem lögð hafði verið fram í Héraðsdómi Reykjavíkur 4. september 2001, afrit af greinargerð stefnda (D), sem lögð var fram í Héraðsdómi Reykjavíkur 16. október 2001, auk afrita af umræddum tölvupóstbréfum.

Gögn málsins bera með sér að A hóf störf hjá D þann 16. ágúst 2000 sem ráðningarfulltrúi. Hjá fyrirtækinu starfaði þá einnig nefnd B en hún hætti störfum í lok ársins 2000 og stofnaði eigið ráðningarþjónustufyrirtæki. Með bréfi, dags. 14. maí 2001, var A sagt upp störfum hjá fyrirtækinu. Í uppsagnarbréfinu var tilgreint að uppsagnarfrestur væri þrír mánuðir og að ekki væri krafist vinnuframlags á uppsagnartíma. A fékk greidd laun fyrir maímánuð en eftir það féllu launagreiðslur niður.

Að fengnu framangreindu erindi GBÓ, hdl., kynnti Persónuvernd það fyrir D með bréfi dags. 7. febrúar 2002 og spurði um afstöðu fyrirtækisins til þess. Jafnframt var óskað upplýsinga um hvort D hefði mótað reglur eða sett sér stefnu um notkun starfsmanna á tölvu- og hugbúnaði fyrirtækisins til einkanota, þ.m.t. til einkatölvupóstsendinga, og tekið fram að þá væri óskað afrits af þeim reglum/stefnu.

Svar D barst með bréfi BB, hdl., dags. 21. mars 2002. Því fylgdi afrit af tölvupósti stjórnarformanns til allra starfsmanna D og afrit af ráðningarsamningi málsaðila.

Með bréfi, dags. 2. apríl 2002, kynnti Persónuvernd GBÓ, hdl., þessi gögn og gaf honum kost á að koma að athugasemdum. Með vísan þess að ágreiningur aðila var þá til lögmætrar meðferðar fyrir dómstóli, og enn lá ekki fyrir hvort dómstóllinn myndi taka efnislega afstöðu til þess að hvaða marki umrædd tölvuskeyti hefðu átt að njóta einkalífsverndar, ákvað Persónuvernd hins vegar að aðhafast ekki frekar í málinu fyrr en dómur lægi fyrir. Persónuvernd gerði málsaðilum grein fyrir þessari ákvörðun, með bréfi dags. 10. maí 2002.

Þann 5. júní 2002 gekk dómur í Héraðsdómi Reykjavíkur í máli aðila. Þar var ekki fallist á þá málsástæðu D að A hefði fyrirgert rétti sínum til frekari launa með broti á ákvæði í ráðningarsamningi aðila um þagnar- og trúnaðarskyldu en ekki var hins vegar tekin efnisleg afstaða til þess hvort og þá að hvaða marki umrædd tölvusamskipti hafi átt að njóta einkalífsverndar. Í dóminum segir hins vegar:

„… Stefnandi og vitnið, B, báru báðar fyrir dómi, að með þeim hefði tekist góð vinátta, meðan þær störfuðu saman í fyrirtæki stefnda, og hefði sú vinátta haldist, eftir að B hætti störfum þar, og næðu samskipti þeirra út yfir vinnutíma.
Til stuðnings fullyrðingum sínum um trúnaðarbrot hefur stefndi lagt fram í málinu hátt á annað hundrað tölvuútskriftir af bréfasamskiptum stefnanda og B. Fyrir dómi gat stefnandi þó ekki bent á nema 5 bréf úr þeim bunka, …, sem hann taldi innihalda brot á trúnaði. Önnur bréf snúast um persónuleg málefni viðkomandi bréfritara og snerta ekki deiluefni þessa máls. Ber að átelja slíka gagnaframlagningu.“

Þegar framangreindur dómur var fallinn barst Persónuvernd bréf GBÓ, hdl., dags. 17. júlí 2002, þar sem hann ítrekaði ósk sína um afstöðu Persónuverndar. Var þá ákveðið að taka upp þráðinn og var BB, lögmanni D, kynnt málið með bréfi Persónuverndar, dags. 7. ágúst 2002. Hann svaraði með bréfi dags. 14. október. Var GBÓ með bréfi dags. 21. október sent bréf BB til kynningar. Er svarbréf GBÓ dags. 29. nóvember 2002.

II.

Eins og að framan greinir hefur verið óskað álits Persónuverndar á því hvort D hafi, með því að skoða tölvupóstsamskipti A og B, og nota þau í dómsmáli, brotið gegn ákvæðum 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, eða öðrum ákvæðum laganna.

Hafa lögmenn beggja aðila máls þessa, í framangreindum bréfum, gert grein fyrir viðhorfum sínum til málsins og verða þau rakin hér á eftir:

1.

GBÓ, lögmaður A, bendir í bréfi sínu, dags. 17. júlí sl., á að í einkamáli aðila um rétt A til greiðslu launa í uppsagnarfresti hafi því verið hafnað að tölvupóstsamskipti hennar og fyrrverandi starfsmanns, sem nú starfi hjá eigin ráðningarfyrirtæki, væru brot á ákvæði ráðningarsamnings aðila um þagnarskyldu og trúnað. Þá bendir lögmaðurinn á að undir rekstri málsins hafi báðir málsaðilar gefið skýrslu fyrir dómi. Í framburði A komi skýrt fram að hún hafi aldrei verið upplýst um að henni væri óheimilt að nota tölvupóst til einkanota. Af svörum hennar megi einnig ráða að lykilorð starfsmanna hafi veitt aðgang að netfangi starfsmanna en önnur skjöl hafi verið í opinni skrá. Hún hafi litið svo á að aðrir starfsmenn hafi ekki haft leyfi til að skoða hennar póst. Fram komi einnig að a.m.k. einu sinni hafi verið óskað eftir því við starfsmenn að þeir léttu af sameiginlegum netþjóni með því að eyða persónulegum gögnum úr tölvupósti. Vitneskja um persónulega notkun hafi því legið fyrir. Í framburði stefnda fyrir dómi komi fram að aldrei hafi verið settar reglur um notkun tölvupósts, hvorki munnlegar né skriflegar, og að honum hafi verið kunnugt um persónulega notkun starfsmanna á tölvupóstkerfi fyrirtækisins. Stefndi hafi vitað strax í apríl af ofangreindum tölvusamskiptum og þá þegar skoðað tölvupóst A. Þær fullyrðingar lögmanns D í bréfi hans dags. 21. mars sl. þess efnis að brýnt hafi verið fyrir starfsmönnum að nota netföng einungis í þágu fyrirtækisins eigi því ekki við rök að styðjast.

Þá segir:

„Ástæða kvörtunar til Persónuverndar byggist á því að með skoðun á persónulegum tölvupóstsendingum starfsmanns og tölvupóstsendingum sem starfsmanninum berast sé brotið gegn meginreglum laga um persónuvernd en þau lög byggja m.a. á ákvæðum stjórnarskrár um friðhelgi einkalífs sem einnig er verndað í almennum hegningarlögum er segja það sé refsivert að hnýsast í persónuleg bréf einstaklinga sbr. 228. gr. hegningarlaga.

Tölvupóstur er ný tegund samskipta, sem veitir vinnuveitanda ekki ríkari rétt en hann hafði áður til að hnýsast í einkamál starfsmanna. Áður var sími meira notaður og þó svo að símtækið væri eign vinnuveitanda veitti það honum ekki heimild til hlerunar á símtölum. Ennfremur hafði hann ekki heimild til skoðunar á persónulegum bréfum eða munum starfsmanna þó þeir væru á vinnustað. Þeirri fullyrðingu lögmanns D að vinnuveitandi hafi fullan rétt á að skoða allan tölvupóst nema hann sé sérstaklega merktur er harðlega mótmælt. Þó svo að tölvupóstur sé merktur fyrirtæki og fari í gegnum netþjón þess, þá er hann sérmerktur starfsmanni og efni hans því beint til starfsmannsins. Ef vinnuveitandi telur þörf á að komast í tölvupóst starfsmanna þá þurfa að liggja fyrir skýrar reglur og vitneskja starfsmanna um slíkt. Reglurnar þurfa jafnframt að tilgreina í hvaða tilfellum skoðun geti farið fram, hver sjái um framkvæmd og tryggt að ekki sé um geðþóttaákvarðanir að ræða. Einnig verður að liggja fyrir að starfsmanni gefist kostur á að vera viðstaddur slíka skoðun. Hér er um að ræða undantekningareglur sem geta einungis komið til að um mjög brýna nauðsyn sé að ræða eða grunur er um refsiverða háttsemi.

Ef reglur liggja ekki fyrir getur vinnuveitandi ekki undir neinum kringumstæðum skoðað slíkan póst, og öll skoðun verður að teljast brot á ákvæðum laga um persónuvernd. Önnur niðurstaða mundi skapa mikla réttaróvissu og óöryggi gagnvart öllum launþegum og opna á gríðarlega misnotkun, enda ómögulegt fyrir launþega að fylgjast með hvort tölvupóstur hafi verið skoðaður. Það er því gífurlegt hagsmunamál fyrir launþega að það liggi skýrt fyrir af hálfu Persónuverndar að skoðun tölvupósts starfsmanna sé óheimil. Önnur niðurstaða veitir vinnuveitendum sem stjórna tölvubúnaði fyrirtækja ótakmarkaðan aðgang að persónulegum upplýsingum um starfsmenn sína og opnar ótakmarkaða möguleika á persónunjósnum.

Hér er um mikið hagsmunamál fyrir launþega að ræða eins og sést best í þessu máli. C lýsir því yfir fyrir dómi að hann hafi einungis skoðað tölvupóst til samkeppnisaðila og neitar að hafa skoðað annan póst, en ástæða skoðunar hafi verið vegna viðgerðar á netþjóni í apríl. Síðar viðurkennir hann að hafa skoðað tölvupóst starfsmanns síns til Verzlunarmannafélags Reykjavíkur sem dagsettur er 14. maí, dómskjal nr. 21. Eftir slíkan framburð trúir því ekki nokkur maður að hann hafi ekki skoðað allan tölvupóst starfsmanna sinna bæði fyrir og eftir apríl 2001 og ekki verður séð að um málefnalega ástæðu sé að ræða við skoðun á tölvupósti starfsmannsins. Upplýsingar um stéttarfélagsaðild og fl. teljast til viðkvæmra persónuupplýsinga og hljóta því öll samskipti við stéttarfélög að teljast einnig til slíkra upplýsinga. Slíkt gefur ríkara tilefni til að telja að skoðun vinnuveitanda á tölvupósti sem getur innihaldið samskipti við stéttarfélagið teljist brot á meðferð persónuupplýsinga.“

Ítrekar lögmaðurinn að lokum að um mjög fordæmisgefandi mál sé að ræða gagnvart öllum launþegum. Fyrir liggi að tölvupóstur hafi verið skoðaður án þess að reglur lægju fyrir um meðferð slíks tölvupósts. Með því hafi verið brotið gegn ákvæðum laga um persónuvernd, friðhelgi einkalífs, sem og ýmsum öðrum lagaákvæðum, s.s. almennum hegningarlögum og lögum um fjarskipti.

2.

BB, lögmaður D, vísar í bréfum sínum dags. 21. mars og 14. október 2002 til þess að samkvæmt 10. gr. í ráðningarsamningi aðila séu öll gögn, í hvaða formi sem þau kunna að vera, sem starfsmaður aflar sér eða kemst yfir í starfi sínu, eign vinnuveitanda og skuli skilin eftir á vinnustað. Ákvæðið taki að sjálfsögðu til allra tölvupóstsendinga sem fari um tölvur fyrirtækisins á vinnutíma, enda séu þær merktar fyrirtækinu og/eða send á tölvupóstfang þess. Því hafi ekki þótt ástæða til að setja skriflegar reglur um meðferð tölvupósts en munnlega hafi verið brýnt fyrir starfsfólki að tölvur, hugbúnaður og netföng væru eign fyrirtækisins og skuli einungis notuð í þágu þess. Umrædd tölvuskeyti hafi hvorki verið sérstaklega merkt sem einkamál né vistuð á sérstakan hátt sem gefið gæti til kynna að um einkatölvupóst væri að ræða. Þvert á móti hafi þau verið send á samkeppnisaðila og því eðlilegt að ætla að hann tengdist starfi viðkomandi. Hyggist starfsmaður nota tölvubúnað vinnuveitanda til einkatölvupóstsendinga og vilji ekki að vinnuveitandi skoði þann póst, verði hann að skrá á sig sérstakt tölvupóstfang sem ekki sé auðkennt vinnuveitanda eða viðkomandi fyrirtæki. Geri hann það ekki, hafi vinnuveitandi fullan rétt á að kynna sér efni allra tölvupóstsendinga. Á vinnustaðnum séu margar samtengdar tölvur og með því að slá inn sitt lykilorð geti starfsmenn notað hvaða tölvu sem er. Starfsmenn hafi haft aðgang að öllum gögnum og lykilorð starfsmanna verið geymd á tilteknum stað sem væri öllum aðgengilegur. Í framburði C fyrir dómi komi fram að honum hafi ekki verið kunnugt um persónulega notkun starfsmanna á tölvupósti nema í mjög litlum mæli. Þrátt fyrir að slík einkanot hafi ekki verið heimil, hafi ekki þótt ástæða til að banna notkunina. Þá vísar lögmaðurinn til framburðar A fyrir dómi og segir svo í bréfi sínu dags. 14. október 2002:

„Í umræddum framburði A kom skýrlega fram að henni var kunnugt um að allir starfsmenn höfðu aðgang að lykilorði annarra starfsmanna sem veitti aðgang að öllum gögnum sem viðkomandi starfsmaður hafði með að gera, þ.m.t. tölvupósti. Það er því rangt sem lögmaður Verzlunarmannafélags Reykjavíkur, telur sig geta lesið úr yfirheyrslunum að lykilorðið væri einungis til aðgreiningar á tölvupósti starfsmanna. Í þessu sambandi er vert að benda á að starf ráðningarfulltrúa fer fram að mestu með tölvupóstsamskiptum, svo að það eitt gerir það nauðsynlegt að allir starfsmenn hafi aðgang að tölvupóstsamskiptum annarra starfsmanna hjá umbjóðanda mínum. …

Það að tölvupóstur sé sendur á netfang sem er auðkennt ákveðnu fyrirtæki bendir til þess að skeytið sé sent viðtakanda sem starfsmanni fyrirtækisins og sem slíkt tengist starfi hans. Það veitir öðrum starfsmönnum fulla heimild til að skoða slíkan póst enda sé skeytið ekki auðkennt sérstaklega sem einkamál. Frá ómuna tíð hefur það tíðkast að þegar send eru bréf til aðila á vinnustað hans, sem varða persónuleg málefni en ekki starf hans, að merkja þau sérstaklega sem einkamál. Það sama gildir um tölvuskeyti, persónuleg skeyti ber að merkja sem slík. Það var ekki reyndin með þau skeyti sem hér eru til umfjöllunar.

Allar hugleiðingar lögmanns Verzlunarmannafélags Reykjavíkur um að vinnuveitendur verði að setja ákveðnar reglur um skoðun á tölvupósti starfsmanna eiga því ekki við í þessu tilfelli enda verður að telja að framangreind ákvæði í ráðningarsamningi heimili vinnuveitanda að skoða tölvupóstsamskipti starfsmanna. Ekki þykir því ástæða til að fjalla frekar um þann rökstuðning lögmannsins.“

Er harðlega mótmælt „þeim dylgjum lögmanns Verslunarmannafélags Reykjavíkur þar sem hann ber þær þungu sakir á C að hann hafi sagt ósatt fyrir dómi, sem órökstuddum. …“ Þá ítrekar lögmaðurinn að umrædd tölvuskeyti hafi komið fram við hefðbundið viðhald og viðgerð á tölvukerfi fyrirtækisins ekki við eftirlit eða vöktun á tölvupósti starfsmanna. Þau hafi verið lögð fram sem dómskjal en þeim hvorki verið dreift né upplýsingar verið unnar úr þeim um A sem einstakling. Einungis hafi verið vakin athygli á þeim skeytum sem bentu til þess að hún hefði brotið ákvæði ráðningarsamnings um þagnar- og trúnaðarskyldu og til að sýna fram á þau miklu samskipti sem hún átti við samkeppnisaðila. Verði því ekki séð að um hafi verið að ræða vinnslu persónuupplýsinga í skilningi laga um persónuvernd og meðferð persónuupplýsinga og enn síður að meðferð umræddra skeyta brjóti í bága við 7. gr. laganna.

III.
Niðurstaða
1.

Við afgreiðslu máls þessa er fyrst til úrlausnar hvort um hafi verið að ræða vinnslu persónuupplýsinga í skilningi laga um persónuvernd og meðferð persónuupplýsinga, en af hálfu lögmanns D hefur því verið haldið fram að svo sé ekki.

Hér verður að líta til þess hvernig hugtökin persónuupplýsingar og vinnsla eru skilgreind í 1. og 2. tl. 2. gr. laga nr. 77/2000.

Í 1. tl. 2. gr. laga nr. 77/2000 er hugtakið persónuupplýsingar skilgreint sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Af umræddum skeytum má glöggt ráða hvaða einstaklingar áttu hlut að máli, hver var sendandi og hver var viðtakandi. Að því virtu, og í ljósi þess að hverjum þeim sem opnaði skeytin og las mátti vera ljóst að um einkapóst var að ræða, er ljóst að um er að ræða persónuupplýsingar í skilningi laga nr. 77/2000. Breytir hér engu hvort A hafði sérstaklega merkt skeytin sem einkagögn hennar eða ekki, hvort hún hélt þeim aðgreindum frá öðrum gögnum eða hvort að til aðgangs að þeim þurfti sérstakt lykilorð eða ekki.

Í 2. tl. 2. gr. laga nr. 77/2000 er hugtakið vinnsla skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn. Í greinargerð með lögunum kemur fram að með vinnslu sé átt við söfnun og skráningu persónuupplýsinga og undir það falli m.a. flokkun, varðveisla, breyting, leit, miðlun, samtenging og hver sú aðferð sem nota má til að gera upplýsingar tiltækar. Þá kemur fram í greinargerð að framangreint ákvæði innleiði ákvæði b-liðar 2. gr. tilskipunar ESB, nr. 95/46/EB, en þar segir að „vinnsla persónuupplýsinga“ („vinnsla“) sé: aðgerð eða röð aðgerða, rafrænna eða annarra en rafrænna, svo sem söfnun, skráning, kerfisbinding, geymsla, aðlögun eða breyting, heimt, leit, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samantenging eða samkeyrsla, aðgangstakmörkun, afmáun eða eyðilegging. Með hliðsjón af framangreindu og að virtum ákvæðum 2., 4., 12. 14., 15., 26. og 27. gr. í formálskafla framangreindrar tilskipunar verður að hafna því sjónarmiði lögmanns D að ekki sé um vinnslu í lagaskilningi að ræða. Breytir hér engu hvort umrædd tölvuskeyti hafi komið fram við hefðbundið viðhald og viðgerð á tölvukerfi fyrirtækisins, en ekki við eftirlit eða vöktun á tölvupósti starfsmanna, eða þau verið lögð fram sem dómskjal en þeim hvorki verið dreift né upplýsingar verið unnar úr þeim um A sem einstakling.

Með vísun til framangreinds telst sú aðgerð D að skoða tölvupóstsamskipti A og B, og nota þau í dómsmáli, hafa verið vinnsla persónuupplýsinga í skilningi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

2.

Er þá næst til skoðunar hvort framangreind vinnsla persónuupplýsinga hafi farið í bága við ákvæði 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga (pul.), eða önnur ákvæði laganna.

Í 1. mgr. 8. gr. pul. er kveðið á um almennar heimildir fyrir vinnslu persónuupplýsinga og þarf eitt þeirra skilyrða sem þar eru tilgreind að vera uppfyllt til að vinnsla persónuupplýsinga sé heimil. Ef um er að ræða viðkvæmar persónuupplýsingar, sbr. 8. tl. 2. gr., þarf vinnsla jafnframt að eiga sér stoð í einhverju þeirra skilyrða sem kveðið er á um í 1. mgr. 9. gr. Þegar eitthvert skilyrða 9. og/eða 8. gr. telst vera uppfyllt er um að ræða heimila vinnslu persónuupplýsinga, enda uppfylli hún ennfremur ákvæði 7. gr. laganna.

Þau ákvæði 8. gr. pul. sem helst koma til skoðunar, að mati Persónuverndar, eru ákvæði 7. tl. um að vinnsla geti verið heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Þá ber og að líta til 9. gr. pul. þar sem segir að vinnsla viðkvæmra persónuupplýsinga geti verið heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.

Eins og áður segir þarf vinnsla sem uppfyllir eitthvert skilyrða 9. og/eða 8. gr. ennfremur að vera í samræmi við ákvæði 7. gr. laganna. Meginreglur 1.–3. tölul. 1. mgr. 7. gr., eru þessar: Persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti (1. tölul.), þær skulu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi (2. tölul.) og þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Til samans fela þessar reglur í sér þá meðalhófsreglu að ekki skal unnið með persónuupplýsingar nema á því sé þörf og að vinnslan skuli vera málefnaleg.

Við mat á því hvort unnið hafi verið í samræmi við þessa meginreglu verður m.a. að líta til þess sem fram kemur í dómi Héraðsdóms Reykjavíkur, uppkveðnum 5. júní 2002, um að af hátt á annað hundrað tölvuskeytum sem skoðuð voru og lögð fram, hafi C, stjórnarformaður D, einungis getað bent á 5 tölvuskeyti sem hann taldi innihalda brot á trúnaði, þ.e. vörðuðu að hans mati starfsemi fyrirtækisins. Önnur skeyti vörðuðu einkamálefni A og B. Hlaut hverjum þeim sem skoðaði skeytin að hafa mjög fljótlega orðið ljóst við lestur þeirra að um einkabréf væri að ræða. Þrátt fyrir það hélt hann áfram og kynnti hann sér öll tölvusamskipti A og vinkonu hennar. Að mati Persónuverndar hefði hann hins vegar átt að stöðva þessa vinnslu um leið og ljóst var að um einkamálefni var að ræða og eyða þeim skeytum sem þá þegar höfðu verið skoðuð. Er það mat Persónuverndar að með því að halda áfram að skoða umrædd einkabréf og leggja þau síðar fram í dómsmáli hafi verið farið gegn meginreglum 7. gr. pul.

Framangreint mat Persónuverndar byggir í fyrsta lagi á því að ekki verður séð að skoðun umræddra einkaskeyta hafi átt sér slíkan tilgang er greinir í 2. tl. 7. gr. pul., en þar segir að öll vinnsla persónuupplýsinga skuli fara fram í yfirlýstum, skýrum og málefnalegum tilgangi. Í öðru lagi byggir matið á því að ekki verður séð að unnið hafi verið í samræmi við ákvæði 3. tl. 7. gr. um að aðeins skuli nota nægilegar og viðeigandi persónuupplýsingar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Framangreind ákvæði ber að túlka í ljósi ákvæðis 1. gr. pul. þar sem fram kemur að markmið laganna sé m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs. Í 71. gr. stjórnarskrárinnar nr. 33/1944, sbr. breytingalög nr. 97/1995, er mælt fyrir um friðhelgi einkalífs. Þar segir að allir skuli njóta friðhelgi einkalífs, heimilis og fjölskyldu, og að ekki megi gera rannsókn á skjölum og póstsendingum, símtölum og öðrum fjarskiptum, né gera aðra sambærilega skerðingu á einkalífi manns nema samkvæmt dómsúrskurði eða sérstakri lagaheimild. Um þann rétt er jafnframt vísað til 8. gr. Mannréttindasáttmála Evrópu en sáttmálinn var lögleiddur hér á landi með lögum nr. 62/1994. Er sérstaklega tekið fram í 1. mgr. 8. gr. hans að einkalífsverndin taki til bréfaskipta manna. Verður ekki talið að ákvæði í ráðningarsamningi aðila þess efnis að öll gögn séu eign fyrirtækisins upphefji þann stjórnarskrárbundna rétt starfsmanns til að njóta friðhelgi um einkamálefni sín sem kveðið er á um í 71. gr. stjórnarskrárinnar og 8. gr. Mannréttindasáttmála Evrópu. Einnig byggir framangreint mat Persónuverndar á þeirri röksemd að telja verður það til góðra vinnsluhátta vinnuveitanda að gefa starfsmönnum kost á að eyða einkatölvupósti við starfslok. Má hér minna á leiðbeinandi reglur Persónuverndar um eftirlit vinnuveitenda með tölvupósts- og netnotkun starfsmanna, reglur nr. 1001/2001, en markmið þeirra er einkum það að veita leiðsögn um það hvernig og hvenær vinnuveitendur megi vakta tölvupósts- og netnotkun starfsmanna.

3.

Við úrlausn máls þessa þarf í þriðja lagi að taka afstöðu til óskar lögmanns A um að beitt verði ákvæði 42. gr. um refsingu. Eins og að framan segir lítur Persónuvernd svo á að með því að halda áfram að skoða umrædd einkabréf og leggja þau síðar fram í dómsmáli hafi verið farið gegn meginreglum 7. gr. pul. Hins vegar telur Persónuvernd ekki vera efni til þess að hún fyrir sitt leyti geri reka að því að beitt verði refsiákvæði 42. gr. pul.

Framangreind afstaða Persónuverndar byggir m.a. á því að hér er um nýtt svið að ræða, og að enn hefur ekki náð almennri fótfestu í hugum manna hvernig þar skuli bera sig að. Þá hefur og verið litið til þess að umrædd tölvusamskipti fóru um tölvukerfi D, þegar A var starfsmaður þar, og engar skýrar reglur lágu þá fyrir þar um notkun kerfisins fyrir einkatölvupóst. Fullyrt hefur verið af hálfu lögmanns D að öll einkaafnot af tölvubúnaði fyrirtækisins hafi verið bönnuð. Þessi fullyrðing stendur enda þótt C, stjórnarformaður fyrirtækisins, hafi viðurkennt fyrir dómi að honum hafi verið kunnugt um og látið óátalið að einhver einkanot ættu sér stað. Þá verður jafnframt að taka mið af því að umrædd einkatölvuskeyti voru á engan hátt aðgreind frá öðrum tölvuskeytum eða öðrum gögnum sem A vann með. Þegar svo háttar til getur komið til þess að lögbundinn réttur starfsmanns til að njóta friðhelgi um einkamálefni sín á vinnustað sæti skerðingu að því marki sem atvinnurekanda er nauðsynlegt til verndar lögmætum hagsmunum sínum, þ.m.t. vegna hefðbundins eftirlits hans og viðhalds með eignum sínum. Þá ber og að taka mið af því að um var að ræða allmikil samskipti um búnað atvinnurekanda við samkeppnisaðila.

4.3. Upplýsingaöflun Tryggingastofnunar ríkisins um tekjur maka vegna afgreiðslu umsóknar um ellilífeyri

Hinn 21. janúar 2003 komst Persónuvernd að svofelldri niðurstöðu í máli nr. 2002/203:

Persónuvernd hefur fjallað um erindi TG, dags. 11. apríl 2002, f.h. umbjóðenda sinna. Í erindinu er þess óskað að Persónuvernd athugi hvort það hafi „samrýmst meginreglum um friðhelgi persónu- og einkalífs“ þegar Tryggingastofnun ríkisins og umboðsmenn hennar tóku að sér óumbeðið að kanna persónuleg gögn um þá, þ.e. gögn sem afhent höfðu verið skattyfirvöldum vegna skattaframkvæmdar. Sams konar erindi bárust tryggingaráði, heilbrigðis- og tryggingamálaráðuneytinu, ríkisskattstjóra og félögum eldri borgara í Kópavogi, Hafnarfirði og Reykjavík. Með bréfum TG, dags. 13. maí og 13. júní, var erindið áréttað.

Eins og mál þetta horfir við Persónuvernd lýtur það að því hvort Tryggingastofnun ríkisins hafi, við afgreiðslu á umsóknum A og B um ellilífeyri, mátt fá hjá skattyfirvöldum upplýsingar um maka þeirra, þá C og D.

Fer álit Persónuverndar hér á eftir:

I.

Þegar Persónuvernd hafði móttekið framangreint erindi fór hún þess á leit, með bréfi dags. 26. júní 2002, að Tryggingastofnun ríkisins tæki afstöðu til þess. Barst Persónuvernd svar með bréfi, dags. 9. júlí. Í því bréfi er vísað til bréfs Tryggingastofnunar til TG, dags. 29. maí 2002, um það hver afstaða stofnunarinnar í málinu sé. Með bréfi, dags. 12. júlí, óskaði TG þess af Persónuvernd að stofnunin aflaði einnig gagna frá ríkisskattstjóra. Persónuvernd hefur ekki orðið við þeirri ósk, enda lítur stofnunin svo á að það sé óþarft þar sem afstaða ríkisskattstjóra og rök fyrir henni liggi fyrir í gögnum málsins, sbr. 13. gr. stjórnsýslulaga nr. 37/1993, en með bréfi TG til stofnunarinnar, dags. 13. júní, fylgdi bréf ríkisskattstjóra til hans, dags. 16. maí sl., og er afstöðu embættisins lýst þar í ítarlegu máli. Með bréfi, dags. 26. september, áréttaði TG fyrri erindi sín.

Með bréfi, dags. 21. október, óskaði Persónuvernd síðan eftir að Tryggingastofnun ríkisins upplýsti hvort einn umbjóðenda TG, A, hefði veitt samþykki sitt fyrir því að Tryggingastofnun myndi afla gagna frá skattyfirvöldum, en í bréfi Tryggingastofnunar til hans, dags. 29. maí 2002, hafði komið fram að B hefði veitt slíkt samþykki. Þá var óskað afrita af gögnum sem staðfestu að umrædd samþykki hefðu verið veitt. Þetta erindi var ítrekað með bréfi, dags. 28. nóvember, en áður hafði TG áréttað fyrri erindi sín með bréfi, dags. 10. s.m. Með bréfi, dags. 18. desember, sendi Tryggingastofnun Persónuvernd afrit af bréfi sýslumannsins í Keflavík, dags. 11. desember, en A bjó í Njarðvík þegar hún hóf töku ellilífeyris. Í bréfi sýslumanns segir að aldrei sé hafist handa um greiðslu ellilífeyris fyrr en viðkomandi hafi undirritað umsóknareyðublað þar sem kveðið sé á um heimild stofnunarinnar til að afla upplýsinga hjá skattyfirvöldum. Þá segir að umsókn A hafi af „óskiljanlegum ástæðum“ ekki fundist.

Þar sem Persónuvernd taldi frekari svara þörf frá Tryggingastofnun fór hún þess á leit, með bréfi, dags. 6. janúar sl., að Tryggingastofnun upplýsti hvort makar A og B, D og C, hefðu veitt skriflegt samþykki sitt fyrir að aflað yrði upplýsinga um fjárhag þeirra hjá skattyfirvöldum. Barst Persónuvernd síðan bréf frá Tryggingastofnun, dags. 13. s.m., sem með fylgdi umsókn D, eiginmanns B, um ellilífeyri, dags. 8. apríl sl. Fram kom að umsókn C, eiginmanns A, hefði ekki fundist. Í símtali við starfsmann Tryggingastofnunar í dag kom síðan fram að D og C hefðu ekki veitt samþykki sitt fyrir umræddri upplýsingaöflun með því að rita undir umsóknir eiginkvenna sinna, en þar var að finna ákvæði sem heimilaði öflun upplýsinga um maka.

II.

Í bréfi TG, dags. 11. apríl sl., segir meðal annars:

„Til upplýsinga og skýringa vil ég bæta við að eiginmenn þessara kvenna [umbjóðenda yðar], sem raunar voru samstarfsmenn til áratuga, luku við að selja eignir tengdar sameiginlegum rekstri þeirra á árinu 2000, og sölurnar skiluðu þeim umtalsverðum fjármagnstekjum, sem eru taldar skýring á því að eiginkonur þeirra fá engan ellilífeyri. Í báðum tilvikum virðist sem hjúskaparstaða kvennanna valdi því að þær missa stöðu sem sjálfstæðir einstaklingar gagnvart Tryggingastofnuninni.“

Einnig segir í bréfi TG, dags. 11. apríl:

„Tryggingastofnun ríkisins og umboðsmenn hennar virðast, án sérstakrar tilkynningar og án leyfis frá viðkomandi, fara í skattframtöl manna í tölvugögnum skattyfirvalda og fella niður ellilífeyrisgreiðslur, ef TR og umboðsmennirnir telja það við eiga.“

Í bréfi TG, dags. 13. júní sl., segir meðal annars:

„TR…[telur] réttmætt að nota upplýsingar úr skattframtölum ellilífeyrisþega og maka hans til að fella niður ellilífeyrisgreiðslur og vísar [sbr. bréf Tryggingastofnunar ríkisins til yðar, dags. 29. maí sl.] til undirritunar annars umbj. míns undir yfirlýsingu hinn 11. apríl 1994 því til staðfestingar. Hér eru tilefni til athugasemda. Fyrst ber að nefna að tekið hafa gildi ný lög um persónuvernd, nr. 77/2000, og ef til vill fleiri lög, sem líklegt er að geti raskað gildi yfirlýsingarinnar frá 11. apríl 1994. Dómur Hæstaréttar frá 19. des. 2000 um sjálfstæði manna gagnvart mökum sínum, ætti einnig að gilda í TR, en TR fer að auki mjög gróflega út fyrir efni yfirlýsingarinnar. Í yfirlýsingunni er talað um „tekjur“ ellilífeyrisþegans og maka hans. Sala maka umbj. minna á áratuga gömlum eignum, hlutabréfum í eigu makanna, er samkvæmt almennri málvenju ekki metin sem venjuleg tekjuöflun, heldur sem eignabreyting. Skattyfirvöld viðurkenna það með álagningu 10% fjármagnstekjuskatts í stað um það bil 40% eða 45% tekjuskatts. TR notar hins vegar þessar eignabreytingar makanna til að fella niður ellilífeyri umbj. minna, 100%.“

Í bréfi Tryggingastofnunar ríkisins til Persónuverndar, dags. 9. júlí sl., er vísað til bréfs Tryggingastofnunar til TG, dags. 29. maí sl., um það hver afstaða stofnunarinnar í málinu sé, eins og fyrr segir. Í bréfi Tryggingastofnunar, dags. 29. maí, segir meðal annars:

„Í bréfi þínu þann 11. apríl átelur þú framkvæmd stofnunarinnar varðandi öflun upplýsinga um tekjur manna. Eins og þér er kunnugt hafa tekjur áhrif á réttindi fólks til bóta og geta reyndar fyrirbyggt slík réttindi. Þetta er skýrt tekið fram í lögum nr. 117/1993 um almannatryggingar, ásamt síðari breytingum. Þess má jafnframt geta að Tryggingastofnunin hefur sérstakt leyfi frá embætti ríkisskattstjóra til þess að afla upplýsinga um tekjur einstaklinga.

Í 2. mgr. 47. gr. almannatryggingalaga segir orðrétt:

„Umsækjendum er skylt að svara öllum spurningum og gefa allar upplýsingar sem nauðsynlegar eru til þess að hægt sé að úrskurða bætur og endurskoða bótarétt.“

Ákvæði þetta felur það í sér að umsækjendum er skylt að veita Tryggingastofnuninni allar upplýsingar sem máli kunna að skipta varðandi bótarétt eða fjárhæð bóta, þ.m.t. upplýsingar um tekjur sínar og maka þeirra.

Umsækjendur rita undir yfirlýsingu á umsóknareyðublaði þar sem stofnuninni er heimilað að afla upplýsinga um tekjur umsækjanda. B ritaði þann 11. apríl 1994 undir umsóknareyðublað þar sem m.a. segir orðrétt:

„Ef bætur þær er ég fæ greiddar frá Tryggingastofnun eru háðar tekjum mínum og maka (sambúa) heimila bæði ég og maki minn (sambúi) Tryggingastofnuninni að afla upplýsinga um þær hjá skattyfirvöldum.““

Í bréfi ríkisskattstjóra til TG, dags. 16. maí sl., sem fylgdi bréfi hans til Persónuverndar, dags. 13. júní, segir meðal annars:

„Þess er gætt af hálfu skattyfirvalda að takmarka upplýsingarnar við þau framtalsatriði ein sem [Tryggingastofnun] þarf til að uppfylla skilyrði almannatryggingalaganna um greiðsluforsendur. Einnig er þess að sjálfsögðu gætt að upplýsingarnar taki til þeirra aðila einna sem málið varðar. Loks er meðferð og handhöfn upplýsinganna háð verulegum takmörkunum og skorðum enda liggja viðurlög við því ef brugðið er út af þagnar- og trúnaðarskyldum við framkvæmd þessa viðkvæma þáttar stjórnsýslunnar.

Hefur embætti ríkisskattstjóra uppi strangt eftirlit með að hvergi sé hér út af brugðið.…

Lýsing yðar í bréfi [til Persónuverndar, tryggingaráðs, heilbrigðis- og tryggingamálaráðuneytisins, ríkisskattstjóra og félaga eldri borgara í Kópavogi, Hafnarfirði og Reykjavík] dagsettu 11. apríl sl. hefur að geyma athyglisverð atriði um framkvæmdina eins og hún snýr að umbjóðendum yðar. Þess ber þó að geta að undantekningarlaust hafa allir umsækjendur um lífeyri, styrki og bætur gefið skriflegt og upplýst samþykki fyrir aðgangi Tryggingastofnunar að skattgögnum.“

Með bréfi, dags. 21. október sl., óskaði Persónuvernd eftir að Tryggingastofnun ríkisins upplýsti hvort einn umbjóðenda TG, A, hefði veitt samþykki sitt fyrir að Tryggingastofnun aflaði gagna frá skattyfirvöldum, en í bréfi Tryggingastofnunar til hans, dags. 29. maí sl., kemur fram að B hefur veitt slíkt samþykki án þess að getið sé um hvort A hafi veitt samþykki sitt eður ei. Þá var óskað afrita af gögnum sem staðfestu að umrædd samþykki hefðu verið veitt. Barst síðan svarbréf frá Tryggingastofnun, dags. 18. desember. Svarbréfinu fylgdi afrit af bréfi sýslumannsins í Keflavík til Tryggingastofnunar, dags. 11. s.m. Þar segir meðal annars:

„Greiðsla á ellilífeyri til framangreinds aðila A hófst hér hjá umboðinu í Keflavík 1. maí 1992 samkvæmt umsókn sem viðkomandi hefur lagt fram hér. Í öllum umsóknum um ellilífeyri var málsgrein sem hljóðaði svo „Ef bætur þær er ég fæ greiddar frá Tryggingastofnum eru háðar tekjum mínum og maka (sambúa) heimila bæði ég og maki minn (sambúi) Tryggingastofnuninni að afla upplýsinga um þær hjá skattyfirvöldum“. Aldrei er hafist handa um greiðslu ellilífeyris fyrr en viðkomandi hefur undirritað umsókn þar um, þannig að af því leiðir að umsókn hefur verið lögð fram.

Af óskiljanlegum ástæðum finnst ekki umsókn framangreinds aðila hér í skjalageymslu…“

Með bréfi, dags. 6. janúar sl., óskaði Persónuvernd eftir að Tryggingastofnun ríkisins upplýsti hvort makar B og A, D og C, hefðu veitt skriflegt samþykki sitt fyrir að aflað yrði upplýsinga um fjárhag þeirra hjá skattyfirvöldum. Barst Persónuvernd síðan bréf frá Tryggingastofnun, dags. 13. s.m., sem með fylgdi umsókn D, eiginmanns B, um ellilífeyri, dags. 8. apríl sl. Fram kom að umsókn C, eiginmanns A, hefði ekki fundist. Í símtali við starfsmann Tryggingastofnunar í dag kom síðan fram að D og C hefðu ekki veitt samþykki sitt fyrir umræddri upplýsingaöflun með því að rita undir umsóknir eiginkvenna sinna, en þar var að finna ákvæði sem heimilaði öflun upplýsinga um maka.

III.

Vinnsla þeirra upplýsinga sem umsækjendum bar að veita […] varð, eins og öll önnur vinnsla persónuupplýsinga, að fullnægja einhverju þeirra skilyrða sem kveðið er á um í 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þau ákvæði 8. gr. sem helst koma til skoðunar, að mati Persónuverndar, eru ákvæði 3. tölul. 1. mgr. um að vinnsla sé heimil sé hún nauðsynleg til að ábyrgðaraðili geti fullnægt lagaskyldu sem á honum hvílir og ákvæði 1. tölul. 1. mgr. um að hinn skráði hafi ótvírætt samþykkt vinnsluna eða veitt samþykki skv. 7. tölul. 2. gr.

Varðandi 3. tölul. kemur til skoðunar það ákvæði sem var að finna í 2. mgr. 47. gr. laga nr. 117/1993 um almannatryggingar á þeim tíma þegar atvik þessa máls urðu. Það var svohljóðandi: „Umsækjendum er skylt að svara öllum spurningum og gefa allar upplýsingar sem nauðsynlegar eru til þess að hægt sé að úrskurða bætur eða endurskoða bótarétt.“ Að mati Persónuverndar verður framangreint ákvæði hins vegar ekki skilið svo að það hafi veitt Tryggingastofnun ríkisins heimild til að safna upplýsingum um aðra einstaklinga en umsækjendur, nema með þeirra samþykki. Er sá skilningur og í samræmi við viðhafða framkvæmd, sbr. að á þeim umsóknareyðublöðum sem Tryggingastofnun notaði þegar atvik málsins urðu sagði: „Ef bætur þær er ég fæ greiddar frá Tryggingastofnun eru háðar tekjum mínum og maka (sambúa) heimila bæði ég og maki minn (sambúi) Tryggingastofnuninni að afla upplýsinga um þær hjá skattyfirvöldum.“

Kemur þá til skoðunar hvort fullnægt hafi verið ákvæði 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Í því ákvæði felst að hinn skráði verður sjálfur að samþykkja vinnslu upplýsinga um sig. Maki hins skráða getur ekki, án sérstaks umboðs, veitt slíkt samþykki fyrir hans hönd svo að gilt sé. Af þessu leiðir að undirskrift umsækjanda undir umsóknareyðublað Tryggingastofnunar nægði ekki til að með heimild í umræddu ákvæði mætti afla upplýsinga um maka hans frá skattyfirvöldum. Svo að það hefði verið heimilt hefðu bæði umsækjendur og makar þeirra orðið að rita undir umsóknareyðublaðið. Fyrir liggur að makar umsækjenda, C og D rituðu ekki undir umsóknareyðublöðin heldur einungis umsækjendur sjálfir, þ.e. A og B. Verður því ekki séð að umrædd upplýsingaöflun Tryggingastofnunar um tekjur C og D hafi átt sér fullnægjandi heimild.

4.4. Lögmæti notkunar eftirlitsmyndavéla og aðgangskorta hjá Landhelgisgæslunni

Hinn 12. febrúar 2003 komst Persónuvernd að svofelldri niðurstöðu í máli nr. 2002/427:

I.

Með bréfi, dags. 18. september 2002, óskaði trúnaðarmaður flugvirkja hjá Landhelgisgæslunni, eftir því að Persónuvernd athugaði lögmæti notkunar eftirlitsmyndavéla og aðgangskorta hjá Landhelgisgæslunni.

1.

Segir í erindinu að fyrir um 10 árum hafi verið sett upp eftirlitsmyndavél í flugskýli Landhelgisgæslunnar sem tengd hafi verið sjónvarpsskjá í stjórnstöð. Fyrstu árin hafi vöktunin einungis farið fram utan vinnutíma en allan sólarhringinn frá árinu 2001, þrátt fyrir mótmæli flugvirkja. Fyrir nokkrum mánuðum hafi starfsmenn uppgötvað að eftirlitsmyndavélin er tengd tölvuskjá en ekki sjónvarpsskjá og að fyrirhugað sé að taka í notkun fleiri vélar. Jafnframt hafi þeir uppgötvað að hægt er að fara í hvaða tölvu sem væri og kalla fram á innraneti fyrirtækisins myndir af hinum vöktuðu svæðum. Starfsmönnum hafi hins vegar hvorki verið gerð grein fyrir tilgangi þessa, hverjir hafi aðgang að tölvuskjánum né hvaða tölvuskjáir séu tengdir við eftirlitsmyndavélina.

Hefur Persónuvernd verið spurð um:

1. Hvort skylt sé að tilkynna starfsfólki um að fram fari sjónvarpsvöktun, hver sé tilgangur vöktunarinnar og hvernig staðið sé að henni.

2. Hvort krafist sé rökstuðnings fyrir því að vöktun fari fram á vinnutíma.

3. Hvort merkja þurfi með greinanlegum hætti að sjónvarpsvöktun sé í gangi.

4. Hvort heimilt sé að hafa aðgengi að mynd úr vélunum með þeim hætti að opið sé nánast hverjum sem er.

5. Hvort heimilt sé að nota vitneskju úr þessum vélum gegn starfsmanni, komi upp deilur um hvar ákveðinn starfsmaður var og hvað hann var að gera á tilteknum tíma.

6. Hvort Persónuvernd telji, miðað við framangreindar upplýsingar, þörf á að aðhafast eitthvað vegna sjónvarpsvöktunarinnar.

2.

Að því er varðar notkun aðgangskorta, segir í erindinu að hún felist í því að sérhver starfsmaður hafi kort til að komast inn í flugskýli, stjórnstöð eða aðra staði. Kortið skrái niður tímasetningu og hver viðkomandi sé. Þegar kerfið hafi verið sett upp hafi forsvarsmenn Landhelgisgæslunnar tjáð starfsfólki að tilgangur þess væri að auðvelda símaþjónustu þar sem með kerfinu væri hægt að sjá hvar í fyrirtækinu starfsmenn séu og beina símtölum á rétta staði. Tilgangur kerfisins væri ekki að fylgjast með mætingu starfsmanna. Annað hafi hins vegar komið í ljós.

Hefur Persónuvernd verið spurð um:

1. Hvort hægt sé að nota upplýsingar úr aðgangskerfinu til að véfengja samþykktar vinnuskýrslur.

2. Hvort hægt sé að nota aðgangskerfið eftir hentugleika þegar starfsfólki hafi verið tjáð annað í byrjun.

3. Hvort búnaðurinn þurfi ekki að vera með þeim hætti að starfsmenn geti séð á hvaða tíma þeir stimpli sig inn, ef upplýsingar úr aðgangskerfinu eru lagðar til grundvallar við launaútreikninga eða til að staðreyna vinnu.

4. Hvort starfsmenn þurfi að samþykkja útprentun úr kerfinu ef bera á hana saman við vinnuskýrslur þeirra.

II.
1.

Erindið var kynnt Landhelgisgæslunni með bréfi, dags. 31. október 2002, og forsvarmönnum hennar gefinn kostur á að tjá sig um efni þess. Var þess sérstaklega óskað að upplýst yrði hvernig staðið hefði verið að því að kynna fyrir starfsmönnum framangreint myndavélaeftirlit sem og aðgangskerfi, þ.á m. hvaða tilgangi það þjóni, hvernig notkun þess sé háttað, hverjir hafi aðgang að upplýsingum úr kerfinu og hversu lengi þær séu varðveittar.

Svarbréf lögfræðings Landhelgisgæslunnar er dags. 11. nóvember 2002. Segir þar að fyrir um 10 árum hafi staðið til að setja upp fjórar eftirlitsmyndavélar í flugskýlinu en vegna mótmæla flugvirkja hafi einungis verið sett upp ein vél. Með notkuninni sé gert kleift að fylgjast með mannaferðum í flugskýlinu í öryggisskyni, svo sem vegna hættu á skemmdarverkum eða þjófnaði. Inni í flugskýlinu sé hluti af helstu björgunartækjum þjóðarinnar. Þá sé í flugskýlinu einnig verðmætur varahlutalager. Sú myndavél, sem þarna sé, sýni aðeins hluta flugskýlisins, hún sé ekki tengd upptökuvél og myndin mjög óskýr. Ekki sé t.d. hægt að greina á mynd hvaða starfsmenn séu þarna á ferli. Þegar myndavélin hafi verið sett upp, hafi starfandi flugvirkjum og aðstoðarmönnum þeirra verið tilkynnt um myndavélina og gerð grein fyrir tilgangi hennar. Sú tilkynning hafi ekki verið með formlegum hætti enda þá ekki í gildi lög um persónuvernd. Þar sem ekki felist nein breyting í því að sýna mynd á tölvuskjá í stað sjónvarpsskjás, hafi ekki verið talin þörf á að tilkynna þá breytingu sérstaklega. Um það tilvik að starfsmenn hafi getað farið inn á nánast hvaða tölvu sem væri og kallað fram hin vöktuðu svæði, segir að þegar umrætt tilvik hafi átt sér stað hafi verið nýhafin prófun á kerfinu og að eftir hafi verið að setja inn notandanafn og leyniorð á slóðina.

Segir að eftir að myndavélin hafi verið sett upp, hafi aðstæður í heiminum breyst verulega. Hryðjuverkaógn og aukin glæpatíðni auki þörfina á slíkri vöktun. Vegna þessa sé verið að breyta myndavélaeftirlitinu. Verið sé að setja upp fullkomnari myndavél til þess að þjóna betur öryggishagsmunum Landhelgisgæslunnar og landsmanna allra sem treysti á þessi björgunartæki. Fyrirhugað sé að hafa myndirnar það greinilegar að þær nýtist betur í öryggisskyni og einnig sé fyrirhugað að tengja vélarnar við upptökutæki. Sú breyting verði tilkynnt Persónuvernd. Þá segir:

„Auk framangreindra röksemda fyrir myndavélaeftirliti er rétt að geta þess að nauðsynlegt er fyrir starfsmenn í stjórnstöð Landhelgisgæslunnar að geta fylgst með framgangi útkalla. Stjórnstöðin er að Seljavegi 32, en flugskýlið á Reykjavíkurflugvelli. Erfitt er fyrir starfsmenn stjórnstöðvar að þurfa að hringja í áhafnir vélanna til að fá upplýsingar þegar útkall stendur yfir enda getur hver mínúta skipt sköpum þegar neyðarástand varir. Starfsmönnum stjórnstöðvar ber að skrifa skýrslur um framgang útkalla og oft á tíðum eru fleiri en Landhelgisgæslan að sinna sama útkallinu. Þá er nauðsynlegt að upplýsingar liggi fyrir í stjórnstöðinni, þ.á m. um hvenær þyrla eða flugvél fór í loftið o.s.frv. svo hægt sé að upplýsa hlutaðeigandi aðila, t.d. lækna og björgunarsveitarmenn svo eitthvað sé nefnt. Myndavélaeftirlit í flugskýlinu auðveldar starfsmönnum stjórnstöðvar að fá nauðsynlegar upplýsingar.“

Í bréfi Landhelgisgæslunnar segir að sérhver starfsmaður hafi kort eða hring með skynjara til að komast inn á vinnustað sinn. Tilgangur kerfisins sé að fá upplýsingar um hvar starfsmenn séu staddir hverju sinni en Landhelgisgæslan hafi þrjár starfsstöðvar, við Reykjavíkurhöfn, á Reykjavíkurflugvelli og aðalskrifstofur að Seljavegi 32, Reykjavík. Þá sé aðgangskerfinu ætlað að koma í veg fyrir að óviðkomandi aðilar komist inn á starfsstöðvar Landhelgisgæslunnar. Þá segir:

„Aðgangskerfið skráir þann tíma er starfsmaður kemur í hús og þegar hann yfirgefur það. Það hefur ekki verið notað sem stimpilklukka enda þurfa skráningar úr kerfinu ekki að liggja fyrir þegar yfirvinnuskýrslur eru samþykktar eða laun afgreidd. Hins vegar hafa komið upp einstaka tilvik, þegar skráning yfirvinnutíma er augljóslega röng, að upplýsingar úr kerfinu eru notaðar til að sannreyna hvort starfsmaður var í raun þar sem hann segist hafa verið. Hefur þetta verð gert af gefnu tilefni … Starfsmenn sem senda inn rangar vinnuskýrslur hljóta að búast við því að stofnunin leiti allra leiða til að upplýsa hið rétt í þeim efnum.“

Þá segir að aðgang að upplýsingunum hafi einungis deildarstjóri tæknideildar Landhelgisgæslunnar og að hans sögn séu útskriftir varðveittar frá þeim tíma er kerfið var tekið í notkun.

2.

Flugvirkjafélag Íslands tjáði sig um svarbréf Landhelgisgæslunnar með bréfi, dags. 29. nóvember 2002. Þar segir:

„Undirritaður sér vel öryggissjónarmiðin í því að hafa myndavélar í gangi utan vinnutíma í flugskýlinu þar sem það væri gott fyrir starfsmann stjórnstöðvar að geta litið á þær ef öryggiskerfið færi í gang og gefið upplýsingar til lögreglu … Hvað varðar að hafa myndavélar í gangi á vinnutíma getur undirritaður ekki séð að það séu nógu sterk rök fyrir því, það er mikill fjöldi starfsmanna á staðnum sem veita bestu vöktun sem völ er á og ef ætti að hafa myndavélarnar í gangi yfir daginn væri erfitt fyrir þann aðila sem vaktaði þær að gera greinarmun á hverjir væru óviðkomandi og hverjir ekki.“

Um þá röksemd Landhelgisgæslunnar að starfsmenn í stjórnstöð þurfi að geta fylgst með framvindu útkalla segir að yfirmönnum hafi ítrekað verið bent á að mun markvissara sé að hafa myndavélar fyrir utan þar sem vélarnar eru gangsettar. Starfsmaður í stjórnstöð fái mun gleggri mynd af stöðu útkalls með því að sjá þegar vél sé sett í gang. Sá tími sem vélarnar séu inni í flugskýli á meðan verið sé að undirbúa útkall sé hins vegar mjög misjafn, allt frá 5 mínútum til 45 mínútna.

Landhelgisgæslan hafi ekki tilkynnt starfsmönnum sínum um þær breytingar sem unnið hafi verið að á undanförnum mánuðum. Það hafi verið fyrst með svarbréfi Landhelgisgæslunnar til Persónuverndar sem fengist hafi vitneskja um þær. Bent er á að trúnaðarmaður starfsmanna flugvirkja hafi komist inn á myndavélarnar í fjórum mismunandi tölvum í rúman mánuð. Mótmælt er því þeirri fullyrðingu að engin breyting felist í því að færa vöktunina frá sjónvarpsskjá yfir í tölvuskjá. Slík breyting hljóti að kalla á auknar öryggiskröfur.

Að því er varði það markmið aðgangskerfisins að koma í veg fyrir að óviðkomandi aðilar komist inn á starfsstöðvar Landhelgisgæslunnar segir að á flugskýlinu séu fimm hurðir sem ekki séu tengdar þessu kerfi og séu oft ólæstar á dagvinnutíma. Þá er bent á að með því að varðveita útskriftir úr kerfinu frá þeim tíma sem það var tekið í notkun sé um að ræða varðveislu persónuupplýsinga sem engin augljós gagnsemi sé af.

III.

Samkvæmt fyrirliggjandi gögnum fer fram hjá Landhelgisgæslunni vöktun með þeim hætti að myndavélar eru tengdar skjáum í stjórnstöð fyrirtækisins. Þar sem þessi búnaður er hvorki tengdur upptökuvélum, né liggur fyrir að hann sé með annarri aðferð nýttur til söfnunar eða annars konar vinnslu persónuupplýsinga, telst ekki vera um að ræða vinnslu persónuupplýsinga í skilningi 2. tl. 2. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum (pul.). Hins vegar er um að ræða rafræna vöktun í skilningi 6. tl. 2. gr. sömu laga, en með því er átt við vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði. Um sjónvarpsvöktun, þ.e. rafræna vöktun sem fer fram með notkun sjónvarpsvéla, myndbandsbúnaðar, vefmyndavéla eða annars samsvarandi búnaðar og ekki telst vera rafræn vinnsla, er fjallað í 4. gr. laganna. Segir þar að um slíka vöktun fari samkvæmt tilteknum ákvæðum laganna, þ.m.t. 7. gr. um meðferð persónuupplýsinga og 24. gr. um viðvaranir um rafræna vöktun.

Í 7. gr. er kveðið á um meginreglur um gæði gagna og vinnslu og er þar m.a. áskilið að persónuupplýsingar séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga, þær séu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, og þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 1., 2. og 3. tl. 1. mgr.

Samkvæmt 24. gr. er skylt að merkja eða gera á annan áberandi hátt glögglega viðvart um þá vöktun sem fram fer á vinnustað eða á almannafæri og hver sé ábyrgðaraðili hennar.

1.

Flugvirkjafélag Íslands hefur beint til Persónuverndar ýmsum spurningum er lúta að lögmæti viðhafðrar vöktunar. Eru þær þessar:

a) Flugvirkjafélagið hefur í fyrsta lagi óskað afstöðu Persónuverndar til þess hvort Landhelgisgæslunni sé skylt að tilkynna starfsfólki um tilgang vöktunarinnar og hvernig að henni sé staðið.

Eins og vikið er að hér að framan er, samkv. 24. gr. pul., skylt að merkja eða gera á annan áberandi hátt glögglega viðvart um þá vöktun sem fram fer og hver sé ábyrgðaraðili hennar. Í ljósi 2. tl. 1. mgr. 7. gr. ber að túlka framangreindan áskilnað 24. gr. svo að vöktunin skuli eiga sér yfirlýstan, skýran og málefnalegan tilgang og að Landhelgisgæslunni beri að skýra frá tilgangi vöktunarinnar og hvernig að henni sé staðið, komi fram beiðni þar um.

b) Flugvirkjafélagið hefur í öðru lagi óskað afstöðu Persónuverndar til þess hvort krafist sé rökstuðnings fyrir því að vöktun fari fram á vinnutíma. Skilja verður fyrirspurnina svo að óskað sé afstöðu til þess hvort áskilin sé sérstök nauðsyn þegar vöktun beinist að starfsmönnum á vinnutíma, en Flugvirkjafélagið telur ekki vera þörf á slíkri vöktun.

Af ákvæði 7. gr. pul. leiðir að vöktun sem beinist að starfsmönnum á vinnutíma verður eins og önnur vöktun að vera málefnaleg og lögmæt og eiga sér yfirlýstan, skýran og málefnalegan tilgang. Við mat á því hvenær vöktun telst málefnaleg ber atvinnurekanda að taka mið af því markmiði laga nr. 77/2000 að virða skuli grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs, sbr. 1. gr. Að því virtu, og að gættu ákvæði 3. tl. 7. gr., ber að gæta meðalhófs við vöktun á vinnustað, ekki síst þegar vöktun fer fram á vinnutíma og beinist að starfsmönnum. Af því leiðir að þrátt fyrir rétt atvinnurekanda til eðlilegs eftirlits með því að starfsmenn vinni sitt starf, og til að tryggja öryggi eigna sinna, ber honum að virða eðlilegan einkalífsrétt starfsmanna á vinnustöðum. Í því felst m.a. að vöktun sem beinist að starfsmönnum í starfi verður að eiga sér sérstakt málefnalegt markmið og að forðast ber vöktun manna við störf sín nema atvinnurekandi geti ekki náð þessu markmiði með aðferð sem síður er til þess fallin að skerða einkalífsrétt þeirra.

c) Flugvirkjavélag Íslands óskar í þriðja lagi eftir afstöðu Persónuverndar til þess hvort ekki þurfi að merkja með greinanlegum hætti að sjónvarpsvöktun sé í gangi.

Um svar við þessu vísast til svars í a-lið.

d) Flugvirkjafélagið óskar í fjórða lagi eftir afstöðu Persónuverndar til þess hvort heimilt sé að veita hverjum sem er aðgang að myndum úr vöktunarvélum.

Hér ber sem fyrr að virða áskilnað 2. og 3. tl. 1. mgr. 7. gr. pul. Af þeim ákvæðum leiðir að vinnsla skal eiga sér yfirlýstan, skýran og málefnalegan tilgang og vera nægileg, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang hennar. Í þessu felst m.a. að einungis þeir sem starfa sinna vegna þurfa að hafa aðgang að vélunum skuli hafa hann en aðrir ekki. Ber Landhelgisgæslunni að viðhafa nauðsynlegar ráðstafanir til að tryggja þetta.

e) Flugvirkjafélagið óskar í fimmta lagi eftir afstöðu Persónuverndar til þess hvort heimilt sé að nota vitneskju sem til verður með vöktuninni gegn starfsmanni, komi upp deilur um hvar ákveðinn starfsmaður var og hvað hann var að gera á tilteknum tíma.

Þar sem þessi fyrirspurn lýtur að efni sem lögfræðilega séð er einkum vinnuréttarlegs eðlis, og fellur að því leyti utan þess sviðs sem fellur undir svið laga nr. 77/2000, getur Persónuvernd ekki tjáð sig um það að öðru leyti en því að vísa til þeirra meginreglna sem kveðið er á um 7. gr. laga nr. 77/2000 um meðferð persónuupplýsinga.

f) Að lokum hefur Flugvirkjafélagið spurt hvort Persónuvernd telji vera þörf á að aðhafast eitthvað vegna sjónvarpsvöktunarinnar.

Eins og vikið er að hér að framan áskilja lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, að atvinnurekandi meti nauðsyn vöktunar sinnar andspænis hagsmunum og rétti starfsmanna til friðhelgi einkalífs á vinnustað. Fyrir liggur að myndgæði í því kerfi sem nú er notað eru slík að erfitt getur verið að bera kennsl á þá einstaklinga sem birtast á skjáum. Nú mun hins vegar vera í undirbúningi að taka upp nýtt eftirlitskerfi hjá Landhelgisgæslunni. Af gögnum málsins virðist mega vænta þess að í framtíðinni verði viðhöfð vöktun sem jafngildi vinnslu persónuupplýsinga, í skilningi laganna. Bent skal á að þegar og ef til þess kemur verður vinnslan að eiga sér stoð í 8. gr. og eftir atvikum 9. gr. laganna, ef um er að ræða vinnslu viðkvæmra persónuupplýsinga. Um þá vinnslu gilda jafnframt ýmis ákvæði laganna sem tryggja réttarstöðu hinna skráðu, þ.e. þeirra sem myndaðir verða. Að öðru leyti verður ekki hér tekin frekar afstaða til þessa, en berist síðar ósk þess efnis verður hún skoðuð sérstaklega.

2.

Flugvirkjafélag Íslands hefur beint til Persónuverndar ýmsum spurningum er lúta að lögmæti notkunar aðgangskorta hjá Landhelgisgæslunni. Eru þær þessar:

a) Flugvirkjafélagið spyr hvort nota megi upplýsingar sem til verða með notkun aðgangskorta í öðrum tilgangi en þeim sem tilkynntur hefur verið starfsmönnum og hver sé réttarstaða starfsmanna ef þær eru notaðar t.d. við að staðreyna vinnu starfsmanns.

Ljóst er að með notkun aðgangskorta verða til persónuupplýsingar, þ.e. upplýsingar um hvenær starfsmaður er í vinnunni og hvar hann er hverju sinni innan fyrirtækisins. Þarf slík vinnsla að eiga sér stoð í einhverju þeirra skilyrða sem kveðið er á um í 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum. Af hálfu Landhelgisgæslunnar hefur verið vísað til þess að notkun kerfisins hafi ekki getað farið fram hjá neinum starfsmanni, þar sem hver og einn fékk sitt kort eða hring með skynjara. Verður því við það að miða að starfsmenn hafi fallist á vinnsluna í skilningi 1. tl. 1. mgr. 8. gr. pul. Þá felst í stjórnunarrétti atvinnurekanda réttur hans til að fylgjast með því hvort starfsmaður er í vinnunni. Má því líta svo á að vinnslan eigi sér jafnframt stoð í 7. tl. 1. mgr. 8. gr., þar sem hún sé atvinnurekanda nauðsynleg og hagsmunir hans af henni ríkari en hagsmunir starfsmanna af því að hún fari ekki fram.

Varðandi fyrirspurn um réttarstöðu starfsmanna skal tekið fram að í III kafla laga nr. 77/2000 er m.a. fjallað um upplýsingarétt hins skráða og upplýsingaskyldu ábyrgðaraðila, svo og um fræðslu- og viðvörunarskyldu hans. Skal ábyrgðaraðili persónuupplýsinga upplýsa hinn skráða um þau atriði sem þar eru tilgreind, m.a. um tilgang vinnslunnar og rétt hins skráða til leiðréttingar eða eyðingar rangra eða villandi upplýsinga um hann. Fyrir liggur að upplýsingar úr aðgangskerfinu eru í einstaka tilvikum notaðar til að „leiðrétta rangar“ vinnuskýrslur. Slík vinnsla getur verið í fullu samræmi við þær meginreglur um gæði gagna og vinnslu sem kveðið er á um í 7. gr. og átt sér stoð í 7. tl. 1. mgr. 8. gr. pul.

b) Flugvirkjafélagið spyr hvort starfsmenn þurfi að samþykkja útprentun úr aðgangskortakerfinu ef bera á hana saman við vinnuskýrslur þeirra.

Þar sem þessi fyrirspurn lýtur að efni sem lögfræðilega séð er einkum vinnuréttarlegs eðlis, og fellur að því leyti utan sviðs laga nr. 77/2000, getur Persónuvernd ekki tjáð sig um það að öðru leyti en því að vísa til þess sem þegar er fram komið um að umrædd vinnsla persónuupplýsinga eigi sér stoð í 7. tl. 1. mgr. 8. gr. pul., og því sé útprentun úr kerfinu heimil að uppfylltum öðrum ákvæðum þeirra laga. Þá má, vegna athugasemdar í bréfi Landhelgisgæslunnar, dags. 11. nóvember 2002, um að deildarstjóri tæknideildar hafi einn aðgang að upplýsingum úr aðgangskerfinu og geymi útskriftir úr því frá þeim tíma að kerfið var tekið í notkun, minna á að samkvæmt 5.tl. 1. mgr. 7. gr. pul. skulu persónuupplýsingar ekki varðveittar á persónugreinanlegu formi lengur en þörf krefur miðað við tilgang vinnslu. Þá segir í 1. mgr. 26. gr. laganna að þegar ekki sé lengur málefnaleg ástæða til að varðveita persónuupplýsingar skuli ábyrgðaraðili eyða þeim. Málefnaleg ástæða til varðveislu getur m.a. byggst á fyrirmælum í lögum eða á því að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra.

4.5. Starfsleyfi fyrir Lánstraust hf.

Hinn 26. febrúar 2003 gaf Persónuvernd út svofellt starfsleyfi (mál nr. 2003/34):

Starfsleyfi fyrir Lánstraust hf. til að annast söfnun og skráningu upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust og 4. tl. 1. mgr. 7. gr. reglna Persónuverndar nr. 90/2001.

1. gr.

Lánstrausti hf., kt. 710197-2109, í leyfi þessu nefnt starfsleyfishafi, er heimilt að safna og miðla tilteknum persónuupplýsingum sem varða fjárhag og lánstraust einstaklinga, samkvæmt því sem nánar greinir í leyfinu.

Starfsleyfi þetta heimilar söfnun upplýsinganna í eitt miðlægt gagnasafn og miðlun þeirra með beinlínutengingu við hóp áskrifenda að því gagnasafni.

Starfsleyfi þetta tekur ekki til útgáfu skýrslna um lánshæfi („credit-rating reports“).

Starfsleyfið heimilar ekki vinnslu upplýsinga sem eðli sínu samkvæmt geta ekki haft þýðingu við mat á fjárhag og lánstrausti hins skráða. Aldrei er heimilt að taka í slíka skrá viðkvæmar persónuupplýsingar, sbr. 8. tl. 2. gr. laga nr. 77/2000, með áorðnum breytingum. Upplýsingar um skuldastöðu manna má ekki veita með þeim hætti að þær geti verið grundvöllur mats á fjárhagslegri stöðu annars en þess er þær varða.

Starfsleyfi þetta heimilar ekki samtengingu skráa sem falla undir ákvæði starfsleyfisins eða laga nema sérstök heimild frá Persónuvernd standi til þess. Halda skal aðskildum þeim skrám sem til verða samkvæmt 2. gr. Þó má bjóða áskrifendum að leita samtímis í tveimur eða fleirum af þeim skrám sem haldnar eru á grundvelli starfsleyfis þessa.

2. gr.
Upplýsingar sem heimilt er að safna og skrá.

Starfsleyfishafi má safna upplýsingum með tvenns konar hætti:

a. Frá áskrifendum.

Starfsleyfishafi má safna frá áskrifendum upplýsingum um skuldir einstaklinga sem nema a.m.k. kr. 30.000,- að höfuðstóli, enda hafi starfsleyfishafi fengið óyggjandi skriflega upplýsingar er staðfesti tilvist viðkomandi skuldar og um að a.m.k. eitt eftirfarandi skilyrða sé uppfyllt:

a.1. Skuldari hafi fallist á að greiða skuldina með sátt sem er aðfararhæf samkvæmt 1. gr. aðfararlaga nr. 90/1989.

a.2. Skuldara hafi sannanlega verið birt greiðsluáskorun vegna skuldarinnar, enda uppfylli hún öll skilyrði 7. gr. laga nr. 90/1989, og fyrir liggi að frestur samkvæmt því ákvæði sé liðinn.

a.3. Skuldari hafi verið dæmdur til að greiða skuldina.

a.4. Fyrir liggi sannanlega vanefndur nauðasamningur sem skuldari hefur gert og áskrifandi er, eftir atvikum auk annarra, aðili að.

a.5. Skuldari hafi skriflega gengist við því fyrir kröfuhafa (áskrifanda) að skuld sé í gjalddaga fallin.

a.6. Skuldari hafi með sérstakri yfirlýsingu í láns- eða skuldaskjali, sem skuldin er sprottin af, fallist á heimild áskrifanda til að óska skráningar LT á vanskilunum enda séu skilyrði til þeirrar heimildar uppfyllt. Slík heimild skal vera áberandi og skýr í skjalinu og við það miðuð að vanskil hafi varað í a.m.k. 40 daga. Áskrifandi sem óskar skráningar á grundvelli slíkrar heimildar skal um leið ábyrgjast að honum sé ekki kunnugt um að skuldari hafi nokkrar réttmætar mótbárur gegn greiðslu skuldarinnar. Beiðni um skráningu skal undirrituð af lögmanni í þjónustu áskrifanda eða fulltrúa hans.

b. Úr opinberum gögnum.

Úr skrám sem aðgengilegar eru almenningi má starfsleyfishafi safna:

b.1. Upplýsingum dómstóla um skuldara skv. uppkveðnum dómum, eða skv. áritunum dómara á stefnur í málum þar sem ekki hefur verið mætt fyrir stefnda við þingfestingu máls eða þingsókn hefur síðar fallið niður af hans hálfu, sbr. 113. gr. laga nr. 91/1991. Slíkar upplýsingar má aðeins skrá ef um er að ræða skuld eða skuldir sama skuldara við tiltekinn kröfuhafa sem nema a.m.k. kr. 30.000,- að höfuðstóli hver skuld.

b.2. Upplýsingum um framkvæmd fjárnáma, skv. málaskrám um fjárnámsbeiðnir sem sýslumenn halda í samræmi við 4. gr. reglugerðar nr. 17/1992. Upplýsingar um árangurslaus fjárnám má þó skrá án tillits til fjárhæðar fjárnámskrafna, en um fjárnám með árangri því aðeins að fjárhæð viðkomandi fjárnámskröfu nemi a.m.k. kr. 30.000.

b.3. Upplýsingum um uppboð, sem sýslumaður hefur þegar auglýst í Lögbirtingablaðinu eða í dagblöðum eða á annan hátt í samræmi við 1. mgr. 20. gr. og 2. mgr. 26. gr. laga nr. 90/1991.

b.4. Upplýsingum um töku búa til gjaldþrotaskipta, sem fengnar eru í skrám þeim um gjaldþrotaskipti, sem héraðsdómstólar halda í samræmi við reglugerð nr. 226/1992. Heimild þessi tekur eingöngu til þeirra upplýsinga sem tilgreindar eru í 2., 3. 6. og 8. tl. 4. gr. reglugerðarinnar. Slíkar upplýsingar er einungis heimilt að varðveita þar til birt hefur verið auglýsing um skiptalok.

b.5. Upplýsingum um nauðasamningsumleitanir, innkallanir og skiptalok, sem birtar hafa verið í Lögbirtingablaðinu, skv. 5. mgr. 85. gr. og 2. mgr. 162. gr. laga nr. 1/1991.

b.6. Upplýsingum um greiðslustöðvanir sem fengnar eru í skrám þeim um gjaldþrotaskipti sem héraðsdómstólar halda í samræmi við reglugerð nr. 226/1992. Heimildin tekur eingöngu til þeirra upplýsinga sem tilgreindar eru í 2. gr. reglugerðarinnar.

b.7. Upplýsingum frá hlutafélagaskrá um stofnendur, stjórnarmenn og framkvæmdastjóra hlutafélaga og einkahlutafélaga, enda hafi þeir staðið að a.m.k. tveimur slíkum félögum sem úrskurðuð hafa verið gjaldþrota s.l. fjögur ár.

b.8. Upplýsingum um gerða kaupmála og fjárræðissviptingar sem birtar hafa í Lögbirtingablaðinu, skv. 2. mgr. 86. gr. hjúskaparlaga nr. 31/1993 og 3. tl. 14. gr. lögræðislaga nr. 71/1997.

3. gr.
Miðlun upplýsinga

Upplýsingum þeim sem starfsleyfishafi má safna samkvæmt 2. gr. má einungis miðla með eftirfarandi hætti:

a. Með beinlínutengingu við áskrifendur:

Starfsleyfishafi má veita áskrifendum eftirfarandi upplýsingar með beinlínutengingu, enda geri slík tenging aðeins mögulegt að fletta einum einstaklingi upp í einu:

a.1. Upplýsingar frá áskrifendum/kröfuhöfum.

Af þeim upplýsingum sem starfsleyfishafi fær um vanskil frá einum áskrifanda, skv. a-lið 2. gr., má hann aðeins miðla til annarra upplýsingum um nafn, heimilisfang og kennitölu skuldara, hvort vanskil séu fyrir hendi þegar uppfletting fer fram og um fjárhæðir vanskila.

a.2. Upplýsingar úr almennt aðgengilegum skrám.

Af þeim upplýsingum sem starfsleyfishafi safnar úr opinberum gögnum og almennt aðgengilegum skrám, þ.e. skv. b-lið 2. gr., má hann aðeins miðla upplýsingum um nafn, heimilisfang og kennitölu skuldara, fjárhæð kröfu og hvort um sé að ræða dóm, áritun á stefnu, framkvæmt fjárnám, greiðslustöðvun, nauðungarsölu, gjaldþrotaskipti, innköllun eða skiptalok. Taka skal fram hvaðan viðkomandi upplýsingar eru fengnar.

Af þeim upplýsingum sem safnað er samkvæmt lið b.7. má þó ekki miðla upplýsingum um stofnendur nema félögin hafi verið úrskurðuð gjaldþrota á innan við þremur árum frá stofnun.

b. Með afhendingu skrár til Reiknistofu bankanna:

Starfsleyfishafi má afhenda Reiknistofu bankanna heildarsafn þeirra upplýsinga sem hann safnar úr opinberum og almennt aðgengilegum skrám, sbr. b-lið 2. gr., með þeirri aðferð og þeim skilyrðum sem greinir í a-lið þessarar greinar. Um notkun Reiknistofu bankanna á þeirri skrá fer nú samkvæmt gildandi lögum og stjórnvaldsreglum um meðferð persónuupplýsinga, auk starfsleyfis sem tölvunefnd veitti og Persónuvernd kann að veita Reiknistofunni.

c. Með afhendingu skrár til einstakra banka og sparisjóða vegna svonefndrar „heimabankaþjónustu“:

Starfsleyfishafi má semja beint við einstaka banka og sparisjóði um afhendingu heildarskrár gagngert og eingöngu til endursölu í svokallaðri „heimabankaþjónustu“. Sú skrá skal einungis bera með sér þær upplýsingar sem starfsleyfishafi safnar úr opinberum og almennt aðgengilegum skrám, skv. b-lið 2. gr., og skal einungis vera aðgengileg með þeirri aðferð og þeim skilyrðum sem greinir í a. lið þessarar greinar. Að öðru leyti skal um þá notkun, eftir því sem við á, fara samkvæmt þeim skilmálum sem almennt gilda um skrána samkvæmt starfsleyfi þessu, m.a. um rekjanleika fyrirspurna o.s.frv.

d. Með því að afhenda lista yfir fyrirhugaðar framhaldssölur á fasteignum:

Þessi heimild er takmörkuð við þær framhaldssölur sem sýslumaður hefur þegar auglýst í samræmi við 2. mgr. 26. gr. laga nr. 90/1991.

4. gr.
Eyðing upplýsinga úr skrá
Bann við miðlun upplýsinga

Óheimilt er að miðla upplýsingum um nafn skuldara ef starfsleyfishafa er kunnugt um að viðkomandi krafa hafi verið greidd eða henni komið í skil með öðrum hætti. Á þetta við hvort heldur um er að ræða almennt aðgengilegar upplýsingar eða ekki. Sýni hinn skráði fram á að umrædd krafa hafi verið að fullu greidd, eða henni komið í skil með öðrum hætti, er starfsleyfishafa þ.a.l. óheimil öll frekari birting nafns viðkomandi í skránni. Með sama hætti skal eyða upplýsingum um skráðan kaupmála ef fyrir liggur að gengið hefur verið frá lögskilnaði þeirra aðila sem gerðu hinn skráða kaupmála.

Þegar starfsleyfishafi selur aðgang að skránni skal hann setja það sem skilyrði að viðkomandi áskrifandi skuldbindi sig til að tilkynna þegar í stað um greiðslu skuldar. Skal í umræddum samningi tekið fram að áskrifandi beri ábyrgð á að slíkar upplýsingar berist starfsleyfishafa svo ekki verði á skrá upplýsingar um mann nema hann sé skráður vegna annarra vanskila.

Persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta.

Óheimilt er að miðla upplýsingum um töku bús til gjaldþrotaskipta þegar birt hefur verið auglýsing um skiptalok.

Óheimilt er að skrá og/eða miðla upplýsingum um fjárhagsmálefni sem eldri eru en fjögurra ára. Upplýsingar um töku bús til gjaldþrotaskipta má þó varðveita þar til birt hefur verið auglýsing um skiptalok. Þegar upplýsingar verða 4 ára gamlar skal skv. framanrituðu jafnharðan taka þær af þeim skrám sem miðlað er úr en starfsleyfishafa er þó heimilt að varðveita upplýsingarnar í 3 ár til viðbótar, enda lúti þær ströngum aðgangstakmörkunum og þess gætt að ekki hafi aðrir að þeim aðgang en þeir starfsmenn sem nauðsynlega þurfa starfs síns vegna.

5. gr.
Réttur hins skráða

Einstaklingur sem er skráður hjá starfsleyfishafa á hvenær sem er rétt á að fá vitneskju um hvaða upplýsingar um hann er eða hefur verið unnið með, tilgang vinnslunnar, hver fái, hafi fengið eða muni fá upplýsingar um hann, hvaðan upplýsingarnar hafi komið og hvaða öryggisráðstafanir séu viðhafðar við vinnsluna, að því marki sem það skerðir ekki öryggi vinnslunnar.

Starfsleyfishafa er skylt að afhenda skráðum einstaklingi endurrit eða ljósrit af þeim upplýsingum sem hann hefur undir höndum um viðkomandi. Ekki má krefjast hærra endurgjalds af þessari þjónustu en sem nemur þeim upphæðum sem innheimta má á hverjum tíma skv. gjaldskrá forsætisráðuneytis fyrir ljósrit og afrit sem veitt eru á grundvelli upplýsingalaga, sbr. nú 2. gr. gjaldskrár nr. 579/1996.

Starfsleyfishafi skal verða við beiðni hins skráða um upplýsingar svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku beiðninnar. Ef sérstakar ástæður valda því að ómögulegt er fyrir ábyrgðaraðila að afgreiða erindið innan eins mánaðar er honum heimilt að gera það síðar. Þegar svo hagar til skal ábyrgðaraðili innan mánaðarfrestsins gefa hlutaðeigandi skriflegar skýringar á ástæðum tafarinnar og hvenær svars sé að vænta.

Hafi starfsleyfishafi í vörslum sínum frekari upplýsingar um hinn skráða en þær sem beiðni lýtur að skal starfsleyfishafi gera beiðanda grein fyrir því. Jafnframt skal gera hinum skráða grein fyrir rétti sínum til þess að fá að kynna sér efni skrár af eigin raun.

6. gr.
Skyldur starfsleyfishafa

6.1. Viðvörunarskylda

Þegar starfsleyfishafi safnar persónuupplýsingum í samræmi við ákvæði 2. gr. leyfis þessa skal hann gera hinum skráða viðvart og skýra honum frá þeim atriðum sem talin eru í 2. mgr. 16. gr. laga nr. 77/2000, með áorðnum breytingum. Skal hann senda slíka viðvörun eigi síðar en14 dögum áður en hann miðlar upplýsingunum í fyrsta sinn.

Starfsleyfishafa er þó ekki skylt að senda slíka viðvörun ef ætla má að hinum skráða sé þegar kunnugt um vinnsluna, svo sem vegna þess að hann hafi áður fengið tilkynningu um að nafn hans hafi verið fært á skrá starfsleyfishafa. Þetta á þó ekki við hafi lengri tími en eitt ár liðið frá síðustu skráningu.

6.2. Vandaðir vinnsluhættir

Starfsleyfishafi skal, við alla meðferð persónuupplýsinga sem leyfi þetta tekur til, gæta þess að haga vinnslunni með sanngjörnum, málefnalegum og lögmætum hætti og haga allri meðferð þeirra í samræmi við vandaða vinnsluhætti persónuupplýsinga. Í því felst m.a. að gæta þess að upplýsingarnar séu áreiðanlegar og uppfærðar eftir þörfum. Persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta. Hafi röngum eða villandi upplýsingum verið miðlað eða þær notaðar ber starfsleyfishafa, eftir því sem honum er frekast unnt, að hindra að það hafi áhrif á hagsmuni hins skráða.

6.3. Samningsgerð við áskrifendur

Þegar starfsleyfishafi gerir samninga við áskrifendur skal tryggt að fram komi að áskrifendur skuldbindi sig til þess að senda starfsleyfishafa upplýsingar um það ef skuld er greidd eða henni með öðrum hætti komið í skil. Þá skal það vera skilyrði að áskrifandi skuldbindi sig til að afrita ekki skrána, samtengja hana við aðra skrá eða vinna með hana á nokkurn annan hátt, þótt viðkomandi kunni að fá tækifæri til slíks, t.d. fyrir mistök. Loks skal áskrifandi skuldbinda sig, synji hann um lánveitingu á grundvelli upplýsinga úr skránum, að greina viðkomandi frá þeirri ástæðu og jafnframt greina frá heimild viðkomandi til að fá að vita hvaða upplýsingar séu um hann færðar í skrár starfsleyfishafa.

6.4. Öryggi vinnslu

Starfsleyfishafi skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.

6.5. Vinnsluaðili

Starfsleyfishafa er heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á enda hafi hann áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit.

Hverjum þeim er starfar í umboði starfsleyfishafa eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.

6.6. Starfsmenn

Hver sá sem starfar hjá starfsleyfishafa er þagnarskyldur um þau atriði sem hann kemst að í starfi sínu og leynt eiga að fara. Sérhver starfsmaður starfsleyfishafa skal undirrita þagnarheit þegar eftir útgáfu leyfis þessa, hafi hann ekki þegar gert það. Nýir starfsmenn skulu undirrita slíkt heit þegar þeir hefja störf hjá starfsleyfishafa.

Upplýsingagjöf samkvæmt starfsleyfi þessu mega einungis annast þeir starfsmenn Lánstrausts hf. sem eru og verða sérstaklega til þess valdir og Persónuvernd tilkynnt um.

6.7. Skýrslugjöf til Persónuverndar

Starfsleyfishafi skal ársfjórðungslega tilkynna Persónuvernd um hve margir hafi aðgang að skrám hans og hverjir það eru, hve margir einstaklingar og fyrirtæki séu á skránum og hve mikið sé skráð af hverri tegund upplýsinga.

6.8. Annað

Auk ákvæða starfsleyfis þessa skal starfsleyfishafi ávallt fara að lögum um persónuvernd og meðferð persónuupplýsinga eins og þau lög eru á hverjum tíma, sbr. nú lög nr. 77/2000 með áorðnum breytingum, auk annarra laga og réttarreglna sem í gildi eru hverju sinni, sbr. m.a. reglugerð nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust og reglur nr. 299/2001 um öryggi persónuupplýsinga.

7. gr.

Gildistími

Starfsleyfi þetta gildir til 26. febrúar 2004.

4.6. Viðvera umboðsmanna framboðslista við kosningar og heimild þeirra til að miðla, út úr kjördeild, upplýsingum um það hverjir hafi þegar mætt á kjörstað og hverjir ekki

Hinn 10. mars 2003 gaf Persónuvernd út svofellt álit í máli nr. 2002/252:

I.

Með bréfi, dags. 17. maí 2002, óskuðu JS, hrl., og LVJ, hrl., umboðsmenn R-listans í Reykjavík, eftir því að Persónuvernd tjáði sig um það hvort það samrýmist lögum nr. 77/2000 að við framkvæmd kosninga sitji fulltrúar einstakra stjórnmálaflokka eða samtaka inni í kjördeildum og fylgist með því og skrái niður hverjir taki þátt í kosningum, sbr. 6. tl. 2. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Erindinu fylgdi bókun umboðsmanna R-listans sem lögð hafði verið fram á fundi yfirkjörstjórnar við borgarstjórnarkosningarnar í Reykjavík þann 17. maí 2002. Erindi fylgdi einnig afrit af bréfi Yfirkjörstjórnar til NN, dags. 17. maí 2002.

Í erindinu segir að í áratugi hafi verið gerðar athugasemdir við það að fulltrúar framboðsaðila séu inni í kjördeildum, þar sem slíkt brjóti í bága við friðhelgi einkalífs og þá meginreglu að kosningar séu leynilegar. Þeim athugasemdum hafi hingað til verið vísað á bug. Í erindinu segir m.a.:

„Á fundi í Yfirkjörstjórn Reykjavíkur í dag, 17. maí 2002, lögðu umboðsmennirnir fram bókun, þar sem óskað var eftir að yfirkjörstjórn leitaði álits Persónuverndar um þetta atriði. Yfirkjörstjórn hafnaði erindinu, en hún hafði áður fjallað um sams konar erindi frá NN, og lagði fram á fundinum svarbréf til NN. Í bréfinu kom fram að yfirkjörstjórn taldi það vera utan síns verkahrings að leita álits Persónuverndar á máli þessu. …

Nú er óskað álits Persónuverndar á málinu með vísan til nýrra laga um persónuvernd og meðferð persónuupplýsinga, sem tóku gildi 1. janúar 2001 og þeirrar réttaróvissu sem virðist ríkja um það hvort sú venja við framkvæmd sveitarstjórnarkosninga að fulltrúar frambjóðenda sitji í kjördeildum standist ný lög.“

II.

Áþekk erindi vegna framkvæmdar borgarstjórnarkosninganna í Reykjavík bárust Persónuvernd frá sex öðrum aðilum. Í flestum var óskað álits á því hvort fulltrúum stjórnmálaflokka eða samtaka sé í fyrsta lagi heimilt að sitja inni í kjördeildum, í öðru lagi hvort þeim sé heimilt að merkja við hverjir hafa kosið og í þriðja lagi hvort þeim sé heimilt að afhenda fulltrúum framboðslista, sem staddir eru utan kjörstaðar, skrá með nöfnum þeirra sem hafa kosið.

Fyrir lá að tilefni erindanna var sú ákvörðun Sjálfstæðisflokksins að hafa fulltrúa í öllum kjördeildum í Reykjavík við fyrrnefndar borgarstjórnarkosningar. Jafnframt lágu fyrir upplýsingar um að aðrir stjórnmálaflokkar eða samtök sem buðu fram hygðust ekki gera hið sama. Sjálfstæðisflokknum var því gefinn kostur á að koma að sjónarmiðum sínum til framangreindra erinda með bréfi, dags. 27. júní 2002, og þess óskað að svör bærust Persónuvernd fyrir 23. júlí s.á.

Með bréfi dags. 8. júlí óskaði Sjálfstæðisflokkurinn eftir fresti til 1. nóvember 2002 til að svara erindinu. Jafnframt óskaði Sjálfstæðisflokkurinn afrita af þeim erindum sem Persónuvernd höfðu borist hér að lútandi sem og afrita af þeim álitum sem Persónuvernd og forveri hennar, tölvunefnd, hefðu látið frá sér fara um mál af þessum toga. Umbeðin gögn voru send og umbeðinn frestur veittur. Var Sjálfstæðisflokknum tilkynnt þetta með bréfi dags. 17. júlí 2002. Reykjavíkurlistanum, svo og öðrum þeim sem sent höfðu Persónuvernd erindi um málið, var gerð grein fyrir stöðu málsins með bréfi dags. 18. júlí 2002. Þar sem svarbréf Sjálfstæðisflokksins barst ekki innan umbeðins frests var honum, með bréfi dags. 11. nóvember 2002, veittur lokafrestur til 1. desember 2002 til að nýta lögboðinn umsagnar- og andmælarétt. Svarbréf barst ekki. Með ábyrgðarbréfi, dags. 5. febrúar 2003, var erindið enn á ný ítrekað og þess einkum óskað að Sjálfstæðisflokkurinn rökstyddi nauðsyn þess að fara með umrædd gögn út úr kjördeild í því skyni að geta gætt lögmætra eftirlitshagsmuna sinna með framkvæmd kosninganna. Svör bárust hins vegar ekki frá Sjálfstæðisflokknum.

Með bréfi, dags. 22. maí 2002, hafði Persónuvernd óskað álits yfirkjörstjórnar Reykjavíkur á erindunum, einkum til þess að fulltrúar stjórnmálaflokka fari með lista yfir þá sem þegar hafa kosið út úr kjördeildum á meðan kosningar standa yfir. Svör yfirkjörstjórnar bárust með bréfi, dags. 24. maí s.á., og verður efni bréfsins rakið í kafla III hér á eftir. Persónuvernd hefur einnig aflað eftirfaranda gagna:

1. Svars félagsmálaráðuneytisins, dags. 23. maí 2002, við erindi yfirkjörstjórnar í Kópavogi er m.a. varðaði heimild stjórnmálaflokka til að hafa fulltrúa sinn í kjördeild á kjördegi.

2. Úrsk. nefndar samkvæmt 93. gr. laga nr. 5/1998, um kosningar til sveitarstjórna, sem uppkv. var 20. júní 2002 í kærumálum Húmanistaflokksins og NN varðandi framkvæmd borgarstjórnakosninga í Reykjavík, 25. maí 2002.

3.Úrskurður félagsmálaráðuneytisins uppkveðinn 14. ágúst 2002 um kröfu NN um ómerkingu úrskurðar nefndar samkvæmt 93. gr. laga nr. 5/1998, um kosningar til sveitarstjórna, frá 20. júní 2002.

III.

Eins og að framan er rakið óskaði Persónuvernd með bréfi, dags. 22. maí 2002, eftir afstöðu yfirkjörstjórnar í Reykjavík til þeirrar venju við framkvæmd sveitarstjórnarkosninga að fulltrúar einstakra stjórnmálaflokka eða samtaka sitji inni í kjördeildum, fylgist með því og skrái niður hverjir taki þátt í kosningum. Var þess einkum óskað að gerð yrði grein fyrir afstöðu yfirkjörstjórnar til þess að fulltrúar stjórnmálaflokka fari með lista yfir þá sem þegar hafa kosið út úr kjördeildum, meðan kosningar standa yfir.

Í svarbréfi yfirkjörstjórnar Reykjavíkur, dags. 24. maí 2002, segir svo:

„Samkvæmt lögum nr. 5/1998 um kosningar til sveitarstjórna er hlutverk yfirkjörstjórnar að sjá til þess að komandi borgarstjórnarkosningar fari fram í samræmi við fyrirmæli þeirra laga. Í 1. mgr. 74 gr. laganna segir orðrétt: „Umboðsmenn lista eiga rétt á að gæta þess að kjörstjórn og kjósendur hegði sér lögum samkvæmt við kosningarathöfnina og má hver þeirra átelja við kjörstjórnina það er honum þykir áfátt.“ Í samræmi við þetta ákvæði og þá meginreglu íslensks réttar, að kosningar til sveitarstjórna skuli vera lýðræðislegar, lítur yfirkjörstjórn svo á að þeir framboðslistar, sem í kjöri eru, eigi rétt á því að umboðsmenn þeirra séu viðstaddir kosningu í sérhverri kjördeild, enda trufli þeir ekki framkvæmd kosningarinnar. Þá eigi umboðsmenn rétt á að fá að vita nafn og önnur deili á hverjum þeim, sem óskar að neyta atkvæðisréttar, til þess að geta gengið úr skugga um hvort maður, sem er á kjörskrá, sé meinað að greiða atkvæði eða hvort maður, sem ekki er á kjörskrá, fái að kjósa. Í þessu skyni og til að ganga úr skugga um, að enginn kjósandi fái að neyta atkvæðisréttar oftar en einu sinni, eigi umboðsmenn jafnframt rétt á að hafa hjá sér eintak af kjörskrá til þess að merkja jafnóðum við þá sem greitt hafa atkvæði í kjördeildinni.

Yfirkjörstjórn er þeirrar skoðunar að þessi réttur umboðsmanna framboðslista samkvæmt lögum um sveitarstjórnarkosningar verði ekki skertur af almennum ákvæðum laga um persónuvernd og meðferð persónuupplýsinga. Yfirkjörstjórn telur það hins vegar ekki í verkahring sínum að taka afstöðu til þess hvort frekari meðferð og vinnsla þeirra upplýsinga, sem umboðsmenn framboðslista fá með fyrrgreindum hætti, samrýmist þeim lögum.“

Sama afstaða til ofangreinds álitaefnis kemur fram í bréfi yfirkjörstjórnar til NN, dags. 17. maí 2002, en þar segir:

„Með því skilorði, að það trufli ekki framkvæmd kosningarinnar, og í samræmi við fyrri venju verður ennfremur ekki gerð athugasemd við það af hálfu yfirkjörstjórnar þótt umboðsmenn framboðslista komi af og til inn í kjörfundarstofu til þess að gæta þess að kjörstjórn og kjósendur hegði sér lögum samkvæmt við kosningarathöfnina. Í samræmi við fyrri venju mun yfirkjörstjórn heldur ekki hafa afskipti af því þótt umboðsmenn afli sér þannig upplýsinga um það hjá umboðsmönnum, sem þar kunna að vera staddir fyrir, hvaða kjósendur hafa greitt atkvæði í kjördeildinni.“

IV.

Fyrir liggur úrskurður nefndar samkvæmt 93. gr. laga nr. 5/1998, um kosningar til sveitarstjórna, uppkveðinn 20. júní 2002, í kærumáli NN. Var honum skotið til félagsmálaráðuneytisins, með erindi dags. 5. júlí 2002, sem kvað upp úrskurð sinn þann 14. ágúst s.á. Þótt um sé að ræða kæru einstaklings sem ekki á beina aðild að þessu máli, telur Persónuvernd rétt að rekja efni þessara úrskurða hér þar sem þeir varða afmörkun á úrskurðarvaldi á stjórnsýslustigi í því ágreiningsefni sem hér er til umfjöllunar.

Í úrskurði nefndar samkvæmt 93. gr. laga nr. 5/1998, um kosningar til sveitarstjórna, segir að ástæða kærunnar sé söfnun Sjálfstæðisflokksins á persónuupplýsingum um kjósendur í kjördeildum í Reykjavík og að skilja verði kæruna á þann veg að krafist sé ógildingar borgarstjórnarkosninganna í Reykjavík sem haldnar voru 25. maí 2002. Í úrskurði nefndarinnar er vísað til þess að umboðsmenn lista eigi samkvæmt 1. mgr. 74. gr. laga nr. 5/1998, um kosningar til sveitarstjórna, rétt á að gæta þess að kjörstjórn og kjósendur hegði sér lögum samkvæmt við kosningarathöfnina. Ákvæðið beri að skilja svo að umboðsmenn lista eigi rétt á því að kanna hvort þeir sem neyta kosningaréttar séu á kjörskrá og eins gæta þess að manni sem skráður er á kjörskrá sé ekki meinað að neyta atkvæðisréttar. Til þess að rækja þetta hlutverk sitt sé umboðsmönnum heimilt að merkja við á eintaki af kjörskrá, hvort menn hafi neytt atkvæðisréttar. Með því fari fram vinnsla persónuupplýsinga í skilningi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Framangreind vinnsla sé heimil samkv. 5. tl. 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, þ.e. um sé að ræða vinnslu persónuupplýsinga sem sé nauðsynleg vegna verks sem unnið sé í þágu almannahagsmuna. Í úrskurðinum segir síðan:

„Samkvæmt þessu telur nefndin að umboðsmönnum framboða sé heimilt að merkja við á sínu eintaki af kjörskrá, hvort viðkomandi hafi neytt atkvæðisréttar og hafi framkvæmd borgarstjórnarkosninga í Reykjavík verið í samræmi við ákvæði laga um kosningar til sveitarstjórna sem og persónuverndarlaga. Er það því niðurstaða nefndarinnar að hafna kröfu NN.“

Í úrskurðinum er tekið fram að af 93. gr. og 94. gr. laga nr. 5/1998 um kosningar til sveitarstjórna, dragi „nefndin þá ályktun, að verksvið hennar sé afmarkað við það að skera úr um, hvort framkvæmd kosninganna hafi brotið gegn ákvæðum nefndra laga og eftir atvikum, hvort gætt sé annarra viðeigandi réttarheimilda.“ Tekur nefndin því enga afstöðu til þess, hvort frekari vinnsla á persónuupplýsingum en sú sem að framan er rakin, sé í samræmi við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, þar sem það álitaefni falli utan verksviðs nefndarinnar.

Félagsmálaráðuneytið vísaði kærunni frá með úrskurði uppkveðnum 14. ágúst 2002. Í úrskurðinum er vísað til þess að erindi frá kæranda sé einnig til meðferðar hjá Persónuvernd, sem sé að lögum falið það hlutverk að annast eftirlit með framkvæmd laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000 og reglna sem settar séu á grundvelli þeirra. Til þessa hafi stofnunin víðtækar heimildir. Þá segir í úrskurðinum:

„Ráðuneytið telur að í ljósi framangreinds hlutverks Persónuverndar hljóti úrskurðarvald ráðuneytisins og nefndar skv. 93. gr. laga um kosningar til sveitarstjórna nr. 5/1998 við meðferð kærumála um framkvæmd sveitarstjórnarkosninga að takmarkast við ákvæði kosningalaga. Málsástæðum kæranda er varða ákvæði laga um persónuvernd og meðferð persónuupplýsinga beri því að vísa frá nema í þeirri háttsemi sem þar er lýst felist einnig brot gegn ákvæðum laga nr. 5/1998, sbr. einkum XIII. og XVIII kafla.

Tekið skal fram að í áliti félagsmálaráðuneytisins frá 23. maí 2002, sem veitt var að beiðni yfirkjörstjórnarinnar í Kópavogi, var komist að þeirri niðurstöðu að ákvæði 23. gr. laga um kosningar til sveitarstjórna veiti umboðsmönnum framboðslista heimild til að vera í kjörfundarstofu á meðan kosning stendur yfir. Af öðrum ákvæðum laganna, svo sem 2. mgr. 49. gr., 53. gr., 1. mgr. 67. gr. og 74. gr., má ráða að umboðsmenn hafa víðtækan rétt til þess að fylgjast með framkvæmd kosningarinnar og gera athugasemdir ef þeir telja að kjörstjórn eða kjósendur hegði sér ekki lögum samkvæmt við kosningarathöfnina. Í því felst meðal annars að umboðsmenn eiga rétt á að gæta þess að einungis þeir sem eru á kjörskrá greiði atkvæði og að enginn greiði atkvæði oftar en einu sinni. Ráðuneytið komst að sömu niðurstöðu í áliti sínu frá 29. júní 1994 (ÚFS 1994:97).

Þá skal þess getið að í bréfi yfirkjörstjórnarinnar í Reykjavík til kæranda, dags. 17. maí 2002, er lýst þeirri afstöðu, með vísan til 1. mgr. 74. gr. laga nr. 5/1998, að umboðsmenn eigi rétt á að hafa hjá sér eintak af kjörskrá til þess að merkja jafnóðum við þá sem greitt hafa atkvæði í kjördeildinni. Þessi afstaða er ítrekuð í bréfi til Persónuverndar, dags. 24. maí 2002, sem er meðal framlagðra gagna í máli þessu.

Í erindi kæranda til sýslumannsins í Reykjavík, dags. 23. maí 2002, er eingöngu að finna tilvísanir til ákvæða laga um persónuvernd og meðferð persónuupplýsinga og er engin tilraun gerð til þess í erindinu að sýna fram á á hvern hátt upplýsingasöfnun Sjálfstæðisflokksins í kjördeildum í Reykjavík og úrvinnsla þeirra upplýsinga sé andstæð ákvæðum laga um kosningar til sveitarstjórna. Sama máli gegnir um erindi kæranda til ráðuneytisins, dags. 5. júlí 2002.

Er það niðurstaða ráðuneytisins að nefnd sem skipuð var af sýslumanninum í Reykjavík hafi af þessari ástæðu verið rétt að vísa erindi kæranda frá, í stað þess að fjalla um erindið á grundvelli laga nr. 77/2000, en eins og áður er fram komið hefur löggjafinn falið Persónuvernd að hafa eftirlit með framkvæmd þeirra laga og úrskurða í ágreiningsmálum.“

V.
Forsendur
1.

Með setningu laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, var innleidd í íslenskan rétt tilskipun Evrópuþingsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Markmið tilskipunarinnar er annars vegar að tryggja grundvallarmannréttindi einstaklinga og alveg sérstaklega rétt manna til þess að njóta friðhelgi um einkalíf sitt í tengslum við meðferð persónuupplýsinga og hins vegar að tryggja frjálst flæði persónuupplýsinga milli aðildarríkja ESB, sbr. m.a. ákvæði 8. tl. til og með 11. tl. í formálskafla hennar. Lög nr. 77/2000 auka verulega réttindi þeirra sem upplýsingar varða og hafa að geyma mun ítarlegri efnisreglur um vinnslu persónuupplýsinga en eldri lög á þessu sviði. Þá er í 1. gr. þeirra tilgreint að markmið laganna sé m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga.

2.

Í fyrsta lagi hefur verið óskað álits Persónuverndar á því hvort umboðsmönnum framboðslista hafi verið heimil viðvera í kjördeildum í borgarstjórnarkosningunum í maí 2002. Segir í erindi umboðsmanna R-listans í Reykjavík að í „áratugi hafi verið gerðar athugasemdir við það að fulltrúar framboðsaðila séu inni í kjördeildum, þar sem slíkt brjóti í bága við friðhelgi einkalífsins og þá meginreglu að kosningar séu leynilegar.“

Bæði félagsmálaráðuneytið og yfirkjörstjórn í Reykjavík hafa látið uppi rökstutt álit sitt á þessu álitaefni. Hafa því þar til bær stjórnvöld fjallað um þennan rétt umboðsmanna framboðslista samkvæmt lögum nr. 5/1998, um kosningar til sveitarstjórna, og telja hann heimilan. Verkefni Persónuverndar eru rakin í 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum. Er það m.a. að hafa eftirlit með framkvæmd þeirra laga, þ.m.t. að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga, að úrskurða í ágreiningsmálum sem upp kunna að koma um vinnslu persónuupplýsinga og tjá sig samkvæmt beiðni eða að eigin frumkvæði um álitaefni varðandi meðferð persónuupplýsinga. Fellur því utan verksviðs Persónuverndar að taka afstöðu til þess hvort viðvera fulltrúa framboðslista í kjördeild á meðan á kjörfundi stendur samrýmist meginreglunni um leynilegar kosningar.

3.

Í öðru lagi hefur verið óskað álits Persónuverndar á því hvort fulltrúum stjórnmálaflokka eða samtaka sé heimilt að merkja í kjörskrá við það hverjir koma á kjörstað og neyta atkvæðisréttar.

Merking í kjörskrá við þá sem kosið hafa, telst handvirk vinnsla persónuupplýsinga sem eru hluti af skrá og fellur því undir gildissvið laga nr. 77/2000, sbr. 1. mgr. 3. gr. laganna. Slík vinnsla verður bæði að uppfylla gæðareglur 7. gr. laganna og eiga sér stoð í einhverri þeirra heimilda sem kveðið er á um í 1. mgr. 8. gr. eða heimild í sérlögum. Í áliti félagsmálaráðuneytisins frá 23. maí 2002, sem veitt var að beiðni yfirkjörstjórnar í Kópavogi, segir að af ákvæðum laga nr. 5/1998 um kosningar til sveitarstjórna megi ráða að umboðsmenn framboðslista hafi víðtækan rétt til þess að fylgjast með framkvæmd kosninga og gera athugasemdir ef þeir telja að kjörstjórn eða kjósendur hegði sér ekki lögum samkvæmt við kosningarathöfnina. Í því felist m.a. réttur til að gæta þess að einungis þeir sem eru á kjörskrá greiði atkvæði og að enginn greiði atkvæði oftar en einu sinni. Er um lagastoð vísað til 2. mgr. 49. gr., 53. gr., 1. mgr. 67. gr. og 74. gr. laga nr. 5/1998, um kosningar til sveitarstjórna.

Þá hefur yfirkjörstjórn í Reykjavík lýst þeirra afstöðu sinni að samkv. 1. mgr. 74. gr. laga nr. 5/1998, eigi umboðsmenn framboðslista rétt á að hafa hjá sér eintak af kjörskrá til þess að merkja jafnóðum við þá sem greitt hafa atkvæði í kjördeildinni, sbr. bréf yfirkjörstjórnar, dags. 17. maí og 24. maí 2002.

Samkvæmt 5. tl. 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er vinnsla persónuupplýsinga heimil vegna verks sem unnið er í þágu almannahagsmuna. Segir í greinargerð með ákvæðinu að með verkefni í almannaþágu sé átt við verkefni sem hafi þýðingu fyrir breiðan hóp manna. Er sérstaklega tekið fram að vinnslan geti talist fara fram í þágu almannahagsmuna þótt hún fari ekki fram á vegum hins opinbera svo fremi sem hún þjóni hagsmunum breiðs hóps manna.

Samkvæmt 7. tl. sömu greinar er vinnsla persónuupplýsinga heimil ef hún er nauðsynleg til að ábyrgðaraðili eða þriðji maður, eða aðili sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema ef grundvallarréttindi og frelsi hins skráða sem vernda ber lögum samkvæmt vegi þyngra. Felst í ákvæðinu að ábyrgðaraðili skuli viðhafa ákveðið mat á hagsmunum, þ.e. mat á því hvort hagsmunir hins skráða af því að vinnslan fari ekki fram vegi þyngra en þeir hagsmunir sem mæla með vinnslunni.

Einn af hornsteinum lýðræðislegs stjórnskipulags er ekki aðeins að kosningar fari fram með lögmætum hætti, heldur einnig að það sé sýnilegt að svo hafi verið. Er því í lögum nr. 5/1998, um kosningar til sveitarstjórna, tilgreindur réttur og skylda þeirra sem að framboðslistum standa við framkvæmd kosninganna. Má þar nefna rétt framboðslista til að tilnefna umboðsmenn sína til að fylgjast með allri framkvæmd og rétt umboðsmanna til að koma að athugasemdum telji þeir eitthvað ámælisvert, sbr. 23. gr. og 2. mgr. 74. gr. laga nr. 5/1998. Þá skulu tilteknar athafnir, er kosningunni tengjast, fara fram að umboðsmönnum framboðslistanna viðstöddum, sbr. t.d. 53. gr., 2. mgr. 67. gr. og 77. gr. laga nr. 5/1998. Fyrir liggur að í framangreindu eftirlitshlutverki felst réttur til að gæta þess að einungis þeir sem eru á kjörskrá greiði atkvæði og að enginn greiði atkvæði oftar en einu sinni. Verður vart séð að umboðsmenn framboðslista geti gegnt þessu hlutverki, sem þeim er heimilað að lögum, með öðrum og vægari hætti gagnvart rétti manna til friðhelgi um einkamálefni sín en með viðveru í kjördeild og merkingu í kjörskrá. Verður því að telja umrædda vinnslu unna með sanngjörnum, málefnalegum og lögmætum hætti, upplýsingarnar fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 1., 2. og 3. tl. 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum.

Þegar virtir eru þeir hagsmunir sem framboðslistar hafa af því að allur undirbúningur og framkvæmd kosninga fari fram lögum samkvæmt og þær skyldur og réttindi sem umboðsmönnum þeirra eru falin samkvæmt lögum nr. 5/1998, verður að telja að framangreind vinnsla fari fram í þágu almannahagsmuna í skilningi 5. tl. 1. mgr. 8. gr. laga nr. 77/2000. Jafnframt verður að telja að hagsmunir hinna skráðu, þ.e. kjósenda, af því að fulltrúar stjórnmálaflokka fái ekki upplýsingar um hvort þeir nýti kosningarétt sinn beri að víkja fyrir þeim lögvörðu hagsmunum framboðslista að fylgjast með því að öll framkvæmd kosninganna fari að lögum. Á framangreind vinnsla sér því stoð í 5. tl. og 7. tl. 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

4.

Í þriðja lagi er óskað álits á því hvort umboðsmönnum framboðslista í kjördeild sé heimilt að afhenda fulltrúum framboðslista skrá með nöfnum þeirra sem hafa kosið til að fara með út úr kjördeild.

Vinnsla persónuupplýsinga telst sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, óháð því hvaða aðferð er notuð til að gera upplýsingarnar tiltækar. Miðlun persónuupplýsinga til þriðja aðila telst því vinnsla persónuupplýsinga í skilningi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum. Óumdeilt er að fulltrúar Sjálfstæðisflokksins hafi farið með upplýsingar um þá sem hafa kosið út úr kjördeild. Í ljósi þessa var ítrekað óskað rökstuddrar afstöðu flokksins til þess hvort og þá með hvaða hætti framangreind miðlun upplýsinga út úr kjördeild væri flokknum nauðsynleg vegna þeirra lögbundnu hagsmuna hans að gæta þess að kjörstjórn og kjósendur hegði sér lögum samkvæmt við kosningaathöfnina. Var síðasti frestur til þessa veittur til 1. mars 2003. Svör bárust hins vegar ekki.

Eins og að framan er rakið er heimil vinnsla persónuupplýsinga í kjördeild í þeim tilgangi að gera umboðsmönnum framboðslista kleift að hafa eftirlit með því að einungis þeir sem eru á kjörskrá greiði atkvæði og að enginn greiði atkvæði oftar en einu sinni, sbr. 7. gr. og 5. tl. og 7. tl. 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Í 7. gr. laganna eru taldar upp þær meginreglur sem virða ber um gæði gagna og vinnslu. Samkvæmt 2. tl. skulu persónuupplýsingar fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Þá skulu þær vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Af þessu má ráða að miðlun þeirra upplýsinga sem hér er um deilt getur verið lögmæt svo fremi hún eigi sér þann sama tilgang og merking í kjörskrá og sé nauðsynleg vegna þess eftirlitshlutverks sem stjórnmálaflokkum er heimilað að lögum að viðhafa. Ekki liggja hins vegar fyrir í máli þessu upplýsingar frá ábyrgðaraðila vinnslunnar, Sjálfstæðisflokknum, um tilgang þess að persónuupplýsingum var miðlað út úr kjördeild á meðan á kjörfundi stóð. Þá hefur Sjálfstæðisflokkurinn ekki vísað til þess að miðlun persónuupplýsinganna eigi sér annan tilgang, heimilaðan að lögum.

Það er álit Persónuverndar að yfirkjörstjórnir eigi úrskurðarvald um meðferð þeirra persónuupplýsinga sem fram koma í kjörskrá komi upp ágreiningur um notkun þeirra við lögmætt eftirlit umboðsmanna stjórnmálaflokka við kosningar. Í því felst að það fellur undir yfirkjörstjórn að skera úr hvort heimilt sé að miðla upplýsingum úr kjördeild um það hverjir hafa kosið, sé því haldið fram að miðlunin og eftirfarandi vinnsla upplýsinganna sé eðlilegur og lögmætur þáttur í eftirliti með framkvæmd kosninganna. Öll notkun þessara upplýsinga, önnur en sú sem fer fram í þágu eftirlits með lögmæti kosninga, er óheimil nema hún styðjist við ákvæði 1. mgr. 8. gr. laga nr. 77/2000 eða ákvæði í sérlögum. Rísi ágreiningur leysir Persónuvernd úr honum.

Samkvæmt 83. gr. laga nr. 5/1998, um kosningar til sveitarstjórna, er það á ábyrgð yfirkjörstjórnar að sjá til þess að kjörskrám sé eytt að loknum kærufresti eða að fullnaðarúrskurði uppkveðnum varðandi kosninguna, hafi kosning verið kærð. Skal yfirkjörstjórn skrá yfirlýsingu þar um í gerðabók kjörstjórnar. Verður að skilja ákvæðið svo að það taki jafnframt til þeirra kjörskráa sem umboðsmenn framboðslista fá til afnota á kjörfundi. Er það í samræmi við þá meginreglu sem kveðið er á um í 5. tl. 7. gr. laga nr. 77/2000, þess efnis að persónuupplýsingar skuli ekki varðveittar í því formi að unnt sé að bera kennsl á skráða aðila lengur en þörf krefur. Framangreind meginregla er áréttuð í 26. gr. laganna er kveður á um að þegar ekki er lengur málefnaleg ástæða til að varðveita persónuupplýsingar skuli ábyrgðaraðili eyða þeim. Segir þar að málefnaleg ástæða til varðveislu upplýsinga geti m.a. byggst á fyrirmælum í lögum eða á því að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra.

Það leiðir af framansögðu að miðlun upplýsinga út af kjörfundi um það hverjir hafa kosið, þ.e. miðlun í öðrum tilgangi en þeim sem hér hefur verið vísað til, er óheimil nema til hennar standi sérstök heimild að lögum.

5.
Niðurstaða Persónuverndar

Það er álit Persónuverndar að umboðsmönnum framboðslista sé heimil viðvera í kjördeildum og að merkja í kjörskrá við þá sem koma og nýta atkvæðarétt sinn. Hins vegar telur Persónuvernd þeim vera óheimilt að miðla þessum upplýsingum út úr kjördeild nema slíkt sé nauðsynlegt í þeim tilgangi að hafa eftirlit með því að kosning fari löglega fram, t.d. tryggja að umboðsmenn framboðslistanna geti rækt það hlutverk sitt að hafa eftirlit með því að þeir einir sem eru á kjörskrá greiði atkvæði og að enginn greiði atkvæði oftar en einu sinni.

4.7. Lögmæti þess að birta persónuupplýsingar um tiltekinn mann í Guðfræðingatalinu – gegn vilja hans

Hinn 19. febrúar 2003 kvað Persónuvernd upp svofelldan úrskurð í máli nr. 2003/103:

I.

Með bréfi, dags. 3. febrúar sl., óskaði A eftir afstöðu Persónuverndar til þess hvort brotið hefði verið gegn lögum með birtingu myndar og upplýsinga um A í Guðfræðingatali 1847–2002. Með bréfi, dags. 21. s.m., bauð Persónuvernd S, formanni ritnefndar guðfræðingatalsins, og G, ritstjóra þess, að tjá sig um erindið. Barst Persónuvernd síðan svarbréf þeirra, dags. 26. s.m. Með bréfi, dags. 7. mars sl., bauð Persónuvernd A að tjá sig um efni þeirra. Barst Persónuvernd svarbréf hennar, dags. 20. s.m. Taldi Persónuvernd nánari upplýsinga og gagna vera þörf og óskaði þeirra með bréfum til A, S og G, dags. 11. apríl sl. Svaraði S með bréfi, dags. 15. s.m., G með bréfi, dags. s.d., og A með bréfi, dags. 24. s.m.

Forsaga málsins er sú að sumarið 1999 barst A bréf frá ritnefnd Guðfræðingatals 1847–2002. Með bréfinu fylgdu eyðublöð sem beðið var um að fyllt yrðu út með persónulegum upplýsingum sem birta átti í ritinu. A tilkynnti formanni ritnefndar, S, það símleiðis að vilji sinn væri að upplýsingar um sig birtust ekki í ritinu. Kvaðst hann myndu athuga málið. Með bréfum til S, dags. 8. júlí og 12. desember 1999, ítrekaði A afstöðu sína. Í síðara bréfinu segir: „Þar sem ég hef ekki heyrt frá þér, skil ég það sem samþykki, sbr. máltækið: „Þögn er sama sem samþykki“, þ.e. að ég verði ekki með í væntanlegu guðfræðingatali.“ Einnig kom A afstöðu sinni á framfæri við ritstjóra, G, með tölvupósti hinn 19. desember 2000, en þar segir: „Hér með ítreka ég að ég hef ekki áhuga á að vera með í þessu Guðfræðingatali eins og ég hef tjáð formanni ritnefndar Guðfræðingatals bæði símleiðis og skriflega. Ég treysti að það standi.“ Áður hafði G sent A próförk af æviágripi til yfirlestrar og gefið til kynna að þannig yrði ágripið prentað nema mótmæli kæmu fram. Próförkin var send A aftur til yfirlestrar á vordögum árið 2002, en A sendi hana ekki til baka. Þrátt fyrir áðurnefnd mótmæli var æviágripið birt óbreytt í guðfræðingatalinu, sem gefið var út á aðventu 2002. Æviágripið samdi G sjálfur og notaði til þess eftirfarandi heimildir: Þjóðskrá, íbúatöl og dánarskrár Hagstofu Íslands; Lögfræðingatal 1736–1992; Árbók Háskóla Íslands 1976–1979, en þar voru upplýsingar um brautskráningu A og einkunn; upplýsingar frá Biskupsstofu, þ.e. um prestsvígslu og skipun í embætti; og Hreiðarsstaðakotsætt, I. bindi, þar sem var að finna ættfræðiupplýsingar um A og mynd.

II.

Bréfaskipti
Sjónarmið málsaðila

Í bréfi A til Persónuverndar, dags. 3. febrúar sl., segir:

„Forsaga:
Sumarið 1999 fékk ég bréf ásamt eyðublöðum frá Ritnefnd Guðfræðingatals [1847–2002] sem sagði að ég ætti að fylla vegna væntanlegs guðfræðingatals.
Ég hringdi í sr. S, formann nefndarinnar og sagði að ég hefði ekki áhuga á að vera í guðfræðingatalinu. Hann sagðist ætla að athuga það.
Þar sem ég hafði ekki heyrt aftur frá sr. S skrifaði ég honum um þetta efni 8. júlí 1999.

Ég sendi S aftur bréf 12. des. 1999 um þetta efni þar sem ég hafði ekkert heyrt í honum.

Ég sendi e-mail til G ritstjóra og höfundar æviágripa þar sem ég ítrekaði og bað um að réttur minn um að vera ekki með yrði virtur.

Hvað er málið?

Nýlega kom út Guðfræðingatal gefið út af Prestafélagi Íslands í tveimur bindum. Ritstjóri og höfundur æviágripa þess er G. Þrátt fyrir ofangreindar óskir mínar var ég með í Guðfræðingatalinu.

…
Nú leyfi ég mér hér með að spyrja ykkur hvort þau vinnubrögð nefndarinnar hafi verið lögbrot þ.e. að birta mynd og upplýsingar um mig gegn vilja mínum. Ég tel mig ekki hafa neina skuldbindingu gagnvart þeim sem vilja gefa út guðfræðingatal þótt ég sé guðfræðingur.“

Með bréfi, dags. 21. febrúar sl., bauð Persónuvernd S, formanni ritnefndar Guðfræðingatals 1847–2002, og G, ritstjóra þess, að tjá sig um ofanrakið erindi A. S og G svöruðu með bréfum, dags. 26. s.m. Í bréfi S segir:

„Mig rekur minni til þess að A hefði samband við mig bæði bréflega og símleiðis, eins og A nefnir réttilega í bréfi sínu. Enda þótt ég færi ekki með hlutverk ritstjóra Guðfræðingatals sagðist ég mundu kanna málið, eins og A nefnir einnig, en lét í ljós þá skoðun ritnefndar að fráleitt væri að gefa út stéttartal íslenskra guðfræðinga án þess að öllum væri til skila haldið úr þeim hópi. Í símtali okkar nefndi ég við A að eðlilegt væri að A sneri sér beint til ritstjóra Guðfræðingatals, G, sem hefði með höndum öflun og skráningu persónuupplýsinga um ritið, enda var hann sérstaklega ráðinn til verksins af forleggjara Guðfræðingatals samkvæmt útgáfusamningi, og ábyrgist því æviskrárþátt þess að fullu og öllu.

Hlutur minn í að kanna málið fólst í því að ég hafði símasamband við Persónuvernd, og spurðist fyrir um hvort heimilt væri að birta persónuupplýsingar af því tagi sem almennt hefði tíðkast í stéttatölum, án samþykkis viðkomandi. Var mér tjáð að ekki væri óheimilt að birta lýðfræðilegar upplýsingar um fólk, enda þótt það legðist sjálft gegn því…

Ég hafði ekki frekara samband við A vegna málsins, þar sem ég hafði vísað A á að setja sig í samband við G ritstjóra eins og áður getur. Þótti mér fara best á því að þau hefðu með sér milliliðalaus samskipti um málið.“

Í bréfi G um erindi A segir m.a.:

„Sem ritstjóri [Guðfræðingatals 1847–2002] og höfundur æviágripa ber ég fulla ábyrgð á meðferð upplýsinga um guðfræðinga, framsetningu efnis og frágangi æviskráa. Þetta er kynnt nánar í inngangskafla mínum að ritinu (bls. 11–19), þar sem m.a. er getið þeirra meginreglna sem ritnefndin setti sér um aðgengi fólks að æviskrárhluta ritsins. Segir þar m.a.:

Við upphaf verks tók ritnefndin afstöðu til þess hvernig fara skyldi með æviágrip þeirra einstaklinga, sem hugsanlega myndu ekki sinna beiðni um upplýsingar eða jafnvel óska eftir að sín yrði ekki getið í ritinu. Ákveðið var að slíkum tilvikum yrði mætt með því að birta einungis lágmarksupplýsingar um uppruna, menntun, störf og fjölskylduhagi viðkomandi, og einungis að því marki sem þær væru aðgengilegar í opinberum gögnum og útgefnum ritum. Slík æviágrip skyldu auðkennd með stjörnu (*) við nafn viðkomanda svo auðsætt væri lesendum að þær samantektir væru unnar af ritstjóra og ekki yfirfarnar af þeim sem í hlut ættu. Sömuleiðis skyldu æviágrip þeirra sem höfnuðu aðild að ritinu sérmerkt með tveimur stjörnum (**). Að öðru leyti var ritstjóra gert skylt að fylgja þeim meginreglum sem gilda skyldu um frágang æviágripa þannig að sem fyllsta samræmi næðist í einstökum efnisþáttum. Sérbeiðnum um meðferð og frágang upplýsinga skyldi þó reynt að mæta eftir því sem kostur væri.

Þessum vinnureglum reyndi ég sem ritstjóri að fylgja í hvívetna, en tekið skal fram að þær voru settar og samþykktar að minni áeggjan. Til þess liggja þær meginástæður. að við samantekt stéttatala berast ætíð ekki umbeðnar upplýsingar frá nokkrum hluta þess hóps sem leitað er til. Vil ég í þessu samhengi nefna dæmi af þeim ritum, sem ég er höfundur að og þekki til:…

Afstaða ritnefnda allra þessara stéttatala var sú sama og ritnefndar Guðfræðingatals, þ.e. að safna saman tiltækum opinberum upplýsingum um þá sem ekki svöruðu kalli, einkum af þeirri ástæðu að fjarvist einstaklinga myndi rýra mjög upplýsingagildi viðkomandi stéttartals. Um þetta efni var t.d. gerð sú ráðstöfun við samantekt lækna á Íslandi, að ritnefndin leitaði með formlegum hætti heimildar landlæknis og heilbrigðis- og tryggingamálaráðuneytis um öflun upplýsinga í skjalasöfnum viðkomandi embætta. Sömuleiðis var af því tilefni leitað umsagnar Tölvunefndar og segir m.a. eftirfarandi í bréfi hennar til undirritaðs, dagsettu 4. ágúst 1999:…

… Við upplýsingaöflun vegna Guðfræðingatals 1847-2002 bárust ekki svör frá sjö guðfræðingum (erlendir guðfræðingar undanskildir) þrátt fyrir ítrekanir símleiðis og bréflega. Þeir sem ekki sendu inn upplýsingar voru: … Hin þrjú síðastnefndu (…, … og A) höfnuðu því bréflega og/eða símleiðis að eiga nokkra aðild að ritinu. Beiðni sinni kom A á framfæri við formann ritnefndar og ritstjóra (GH), eins og A réttilega tilgreinir í bréfi sínu. Fjöldi annarra guðfræðinga færði fram séróskir (bréflega og/eða símleiðis) varðandi aðskiljanlegustu efnisatriði eða framsetningu þeirra, s.s. um heiti sveitarfélaga, einkunnir, framsetningu á æviferli og félagsstörfum, upplýsingum um barnsmæður/-feður, fyrri hjúskap, börn o.fl. Þessar beiðnir voru ekki teknar sérstaklega fyrir á fundum ritstjóra og ritnefndar, þótt margar þeirra hafi komið þar til umræðu. Um afgreiðslu einstakra séróska var því engin bókun gerð, enda var mér sem ritstjóra í þessu efni sem öðru eðlilega sýnt það traust að leita farsællrar niðurstöðu. Og í öllum tilvikum lagði ég mig fram um að mæta óskum fólks eftir því sem framast gat talist raunhæft. Það er að vísu vandaverk, þegar sumir sem leggja til upplýsingar vilja um leið vera ritstjórar verksins! Má sem dæmi nefna, að undantekningarlaust voru felldar niður upplýsingar um einkunnir (gömul arfleifð frá eldri Guðfræðingatölum) og hliðrað til með uppruna barna guðfræðinga utan hjónabands, þegar þess var óskað eindregið. Í nokkrum öðrum tilvikum neyddist ritstjóri til að hafna tilmælum fólks og kom þeim boðum á framfæri með nýrri próförk ásamt athugasemdum og rökstuðningi.

Í samræmi við þær framangreindu vinnureglur, sem mér voru settar sem ritstjóra, tók ég saman knappar æviskrár þeirra sjö guðfræðinga sem engar upplýsingar veittu og áður eru nefndir. Eru þau æviágrip sérstaklega auðkennd (* og **)…Eins og áður segir einskorðaði ég þessar samantektir við þær lágmarksupplýsingar sem fyrir liggja í (a) opinberum gögnum (s.s. kirkjubókum, þjóðskrá, manntölum, dánarskrám etc.), (b) prentuðum ritum (s.s. árbókum H.Í. og framhaldsskóla, ættfræðiritum etc.) og (c) skýrslum Biskupsstofu um störf þjóna Þjóðkirkjunnar (vígslur, setningar/skipanir í embætti etc.).

…Upplýsingar þær sem birtar eru…um A eru dregnar saman úr þeim gögnum, sem nefnd voru hér að framan. Um er að ræða eftirtaldar heimildir: Þjóðskrá, Íbúatöl og Dánarskrár Hagstofu Íslands (ýmis ár); Lögfræðingatal 1736–1992…; Árbók Háskóla Íslands 1976–1979 (Rvík 1981), … (brautskráning/einkunn); upplýsingar frá Biskupsstofu (vígsla og skipun í embætti); Hreiðarsstaðakotsætt [. . .], Rvík 1988, I. bindi … (ættfræðiupplýsingar og mynd)…“

Með bréfi, dags. 7. mars sl., bauð Persónuvernd A að tjá sig um efni ofanrakinna bréfa S og G, dags. 26. febrúar sl. A svaraði með bréfi, dags. 20. mars sl. Þar segir:

Mér er boðið að tjá mig um efni nefndra bréfa sem ég geri á eftirfarandi hátt.

„Bréf formanns ritnefndar Guðfræðingatals, S:

1. Eftir að ég hafði hringt 7. júní 1999 og tjáð S að ég hefði ekki áhuga á að vera með í væntanlegu Guðfræðingatali, beið ég eftir svari frá honum þar sem hann sagðist ætla að athuga þessa afstöðu mína nánar. Ég kannast því ekki við að hann hafi nefnt við mig að eðlilegt væri að ég sneri mér beint til ritstjóra Guðfræðingatals, G enda skrifaði ég honum eftir símtalið tvö bréf, annað dagsett 8. júlí 1999 og hitt 12. desember 1999 sem styðja mál mitt og fylgja hér með afrit af þeim bréfum.

2. S segir einnig í bréfi sínu: „Ég hafði ekki frekara samband við A vegna málsins…“ en þessi orð hljóða eins og hann hafi aldrei haft samband við mig að eigin frumkvæði. Hið rétta er að hann hafði aldrei neitt samband við mig, þótt ég hefði bæði hringt í hann og sent honum bréf.

Bréf ritstjóra Guðfræðingatals, G:

1. Hvaðan sækir ritnefndin vald sitt og ákveður vísvitandi að ég skuli vera í Guðfræðingatalinu gegn mínum vilja? Hvar fær ritnefndin vald sitt til að setja vinnureglur sem skylda mig til að vera með í talinu þó að nefndin viti að þetta sé gegn vilja mínum? Ritstjórinn segist í öllum tilvikum hafa lagt sig fram um að mæta óskum fólks eftir því sem framast gat talist raunhæft en hunsar síðan algjörlega þá sem vildu ekki vera í Guðfræðingatalinu. Hvaða lög heimila honum að hunsa þá sem ekki vildu vera í talinu? Hvernig getur ritstjórinn leyft sér að viðurkenna að það hafi verið guðfræðingar sem höfnuðu aðild að ritinu og sett tvær stjörnur við nöfn þeirra og haft þá í ritinu þrátt fyrir það?

Ég hlýt að eiga rétt til þess að ráða mínum málum. Í athugasemdum við 71. gr. stjórnarskrárinnar segir m.a. að í friðhelgi einkalífsins felist fyrst og fremst réttur manns til að ráða yfir lífi sínu og líkama og til að njóta friðar um lífshætti sína og einkahagi. Jafnframt er litið svo á að tilfinningalíf og tilfinningasambönd við aðra njóti verndar samkvæmt ákvæðinu.

2. Ritstjórinn nefnir rit sem hann er höfundur að eins og t.d. Lögfræðingatal, Tannlæknatal, Læknar á Íslandi og svo frv. og segir síðan að engin eftirmál hafi orðið vegna útgáfu þessara rita umfram eðlilegar leiðréttingar og viðauka. Þótt raunin hafi orðið sú, eru það engin rök í þessu máli.

3. Ég fékk próförk frá ritstjóranum og átti ég að gera athugasemdir og leiðréttingar. Af því tilefni sendi ég honum strax e-mail þar sem ég ítrekaði afstöðu mína um að réttur minn til að ákveða að vera ekki með í talinu yrði virtur. Satt að segja var ég undrandi að fá próförk þar sem ég hafði verið í góðri trú um að ósk mín hefði verið gild enda fékk ég aldrei svarbréf eða tilkynningu um að nefndin hafnaði beiðni minni.

4. Mér er nú kunnugt um að mynd sú sem birtist af mér í Guðfræðingatalinu er komin úr bókinni „Hreiðarsstaðakotsætt.“ En hver veitti ritnefndinni/ritstjóranum leyfi til að nota mynd þessa í Guðfræðingatalinu sem annar á höfundarétt að, sbr. 3. gr. laga nr. 73/1972? Ekki hef ég veitt slíka heimild.

5. Ritstjórinn segir: „A kom andmælum sínum um birtingu samviskusamlega á framfæri við mig og formann ritnefndar. Ég afréð hins vegar að sinna þeim ekki og þótti eðlilegra í þessu efni sem öðru að fylgja þeim vinnureglum sem mér voru settar af ritnefnd.“ Mér sárnaði mjög mikið að vita hvernig ritstjórinn af ásetningi og með tilvísun til vinnureglna hunsaði algjörlega mína afstöðu og minn rétt, auk þess sem ekki heyrðist frá honum eitt einasta orð þó að hann vissi af minni afstöðu gagnvart ritinu, heldur keyrði hann málið áfram án tillits til andmæla minna og sýndi vald sitt.

Satt að segja datt mér ekki í huga að ég yrði í ritinu. Ég hafði ekki heyrt neitt frá forsvarsmönnum Guðfræðingatalsins og var því í góðri trú að mitt mál væri afgreitt þannig að ég yrði ekki með í ritinu enda ekki við öðru að búast eftir skrif mín til þessara tveggja manna. Það var því ekki fyrr en starfsbróðir minn sagði mér á aðventu árið 2002 að hann hefði séð mig í Guðfræðingatalinu með stjörnu.“

Þegar Persónuvernd höfðu borist framangreind bréf A, S og G, taldi hún frekari upplýsingar enn vera nauðsynlegar. Sendi hún því A bréf, dags. 11. apríl sl., þar sem þess var óskað að hún upplýsti (1) hvort A hefði tilgreint einhverjar sérstakar ástæður fyrir því að upplýsingar mætti ekki birta í Guðfræðingatali 1847–2002 og þá hvaða ástæður það hefðu verið og (2) hvort A hefði samþykkt birtingu einkunna sinna í Árbók Háskóla Íslands 1976–1979 og birtingu myndar af sér í ritinu Hreiðarsstaðakotsætt, I. bindi, en eins og kemur fram í ofanröktum bréfum voru upplýsingar um þessi atriði fengnar úr þessum ritum við útgáfu guðfræðingatalsins. Þá var þess óskað að A sendi Persónuvernd öll gögn sem A kynni að hafa undir höndum og tengdust málinu, þ. á m. útprentun af tölvupósti til G, sem getið er í gögnum málsins, þar sem A mótmælti birtingu upplýsinga um sig í guðfræðingatalinu.

Einnig sendi Persónuvernd S og G bréf, dags. 11. apríl sl., og spurði hvort A hefði tilgreint einhverjar sérstakar ástæður fyrir því að upplýsingar um A yrðu ekki birtar í Guðfræðingatali 1847–2002 og þá hvaða ástæður það hefðu verið. Þá var þess óskað að þeir tjáðu sig um hvort og þá hvernig þeir teldu sig hafa farið að 21. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga um upplýsingaskyldu við hinn skráða þegar upplýsinga er aflað frá öðrum en honum sjálfum, 1. mgr. 28. gr. sömu laga um rétt hins skráða til að andmæla vinnslu persónuupplýsinga um sig og 14. gr. sömu laga um að ábyrgðarmaður að vinnslu persónuupplýsinga skal afgreiða erindi frá hinum skráða, m.a. samkvæmt 28. gr., svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku þess. Að lokum var þess óskað að þeir sendu Persónuvernd öll gögn sem þeir kynnu að hafa undir höndum og tengdust málinu, þ. á m. framangreindan tölvupóst frá A til G.

S svaraði með bréfi, dags. 15. apríl sl. Þar segir:

„Ég hlýt að verða við þeirri ósk yðar að ég upplýsi Persónuvernd um hvort séra A hafi tilgreint einhverjar sérstakar ástæður fyrir því að upplýsingar um A mætti ekki birta í Guðfræðingatali 1847–2002 í samskiptum A við mig sem formann ritnefndar, og þá hverjar.

Eins og fram kemur í bréfi mínu til Persónuverndar dagsettu 26. febrúar 2003 vegna málsins, hafði séra A samband við mig sem formann ritnefndar, bæði bréflega og símleiðis, og kvaðst ekki hafa áhuga á að vera með í væntanlegu guðfræðingatali. Sendi A mér í pósti bréf dagsett 12. júlí 1999 og annað með faxi dagsett 12. desember [1999]. Í millitíðinni hringdi A í mig einu sinni, til að fylgja eftir erindi sínu.

Aðrar ástæður fyrir beiðni sinni en þær, að A hefði ekki áhuga á að vera með í væntanlegu guðfræðingatali, tilgreindi séra A ekki í samskiptum sínum við mig.“

Í svarbréfi G, sem með fylgdi meðal annars útprentun af framangreindum tölvupósti frá A, segir síðan:

„Hef í dag móttekið bréf yðar dagsett 11. þ.m. vegna fyrirspurnar A frá 3. febrúar 2003 varðandi birtingu æviágrips A í Guðfræðingatali 1847–2002. Mun ég nú leitast við að svara því sem um er spurt.

1. Í bréfi yðar er þess óskað að ég upplýsi “Persónuvernd um hvort A tilgreindi einhverjar sérstakar ástæður fyrir því að upplýsingar um A mætti ekki birta í guðfræðingatalinu í samskiptum A við [mig] og, hafi A gert það, hvaða ástæður það voru”. Jafnframt er þess óskað að ég sendi Persónuvernd öll gögn sem ég kunni að hafa undir höndum “og tengjast þessu máli, þ. á m. útprentun af tölvupósti” til mín “þar sem A mótmælti birtingu upplýsinga um sig í guðfræðingatalinu”.

Í aðsendum, útfylltum eyðublöðum, leiðréttum próförkum og öðrum gögnum sem bárust frá guðfræðingum við vinnslu handrits og ég hef undir höndum, er ekkert annað að finna varðandi æviágrip A en meðfylgjandi tölvubréf dags. 19. desember 2000. Það var sent Þjóðsögu ehf., en stílað á mig sem ritstjóra verksins (fskj. 1). Texti bréfsins er svohljóðandi: “Hér með ítreka ég að ég hef ekki áhuga á að vera með í þessu Guðfræðingatali eins og ég hef tjáð formanni ritnefndar Guðfræðingatals bæði símleiðis og sk[r]iflega. Ég treysti að það standi”.

Annað bréf en þetta minnist ég ekki að hafa móttekið frá A, en hafði hins vegar á fyrri stigum málsins (árið 1999) veður af samskiptum A og formanns ritnefndar. Mér var því ljóst að A hafði ekki áhuga á því að vera með í guðfræðingatalinu, enda bárust mér ekki til baka þær prófarkir sem sendar voru A.

2. Þá er í bréfi yðar óskað eftir því að ég tjái mig um “hvort og þá hvernig” ég telji mig hafa “farið að 21. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga um upplýsingaskyldu við hinn skráða þegar upplýsinga er aflað frá öðrum en honum sjálfum”.

Í þessu sambandi vil ég taka eftirfarandi fram til að skýra nánar hvernig að upplýsingaöflun var staðið:

a) Með bréfi dags. 18. febr. 1999 (fskj. 2) var sent út eyðublað til allra þálifandi guðfræðinga og aðstandenda þeirra sem látnir voru. Einnig fylgdi með útskrift þeirra upplýsinga, sem ég hafði þá þegar skráð í tölvu sem nokkurs konar frumkast æviágripa. Þar var í fyrsta lagi um að ræða æviágrip guðfræðinga úr eldri útgáfu guðfræðingatals (frá 1976) í nýrri uppsetningu ásamt upplýsingum, sem ég hafði aukið við úr öðrum og nýrri heimildum. Í öðru lagi gloppótt drög að æviágripum yngri guðfræðinga, þar sem ég hafði dregið saman upplýsingar með hliðstæðum hætti. Þetta vinnulag hefur gefist mér vel á undanförnum árum við samantekt stéttartala af mörgum ástæðum, sem hér er óþarft að skýra nánar. – A mun hafa fengið við þetta tækifæri slíka útskrift eða frumdrög eins og allir aðrir, þótt engin skrá hafi verið haldin um hvað kom í hlut hvers og eins á því stigi.

b) Jafnóðum og útfyllt eyðublað og/eða leiðrétt útskrift barst mér í hendur frá guðfræðingum, jók ég upplýsingum í tölvuhandritið, lagfærði það sem rangt hafði verið hermt og felldi annað út að beiðni fólks eins og gengur. Þrátt fyrir ýmsar ítrekanir (bréfleiðis og símleiðis) af hálfu formanns ritnefndar og útgáfunnar miðaði upplýsingaöfluninni hægar en ráðgert hafði verið. Það reyndist því ekki kleift að senda út nýja útskrift æviágripa til guðfræðinga fyrr en 16. janúar 2000. Höfðu þá allmargir ekkert látið frá sér heyra. Öllum var send útskrift, en þeir sem ekki höfðu svarað fyrra erindi eða ítrekunum fengu póstsent meðfylgjandi bréf (fskj. 3). Önnur áþekk ítrekun var síðan send út hinn 1. maí 2000 vegna þeirrar tafar sem varð á verkinu (fskj. 4) og fylgdi með slíku bréfi til A meðfylgjandi útskrift, sem síðar gekk óbreytt til prentsmiðju (fskj. 5).

c) Með ofangreindum hætti tel ég mig hafa á öllum stigum reynt að upplýsa A um þau atriði sem tiltekin eru í 21. gr. laga 77/2000.

3. Þá óskið þér að ég tjái mig um hvort ég telji mig hafa tekið tillit til ákvæða 1. mgr. 28. gr. laga 77/2000 “um rétt hins skráða til að andmæla vinnslu persónuupplýsinga um sig”.

Við vinnslu prenthandrits móttók ég engin þau tilmæli frá A sem gáfu mér ástæðu til að ætla að A hefði “til þess lögmætar og knýjandi ástæður vegna sérstakra aðstæðna sinna” að andmæla því að birtar yrðu um A þær upplýsingar sem ég hafði tekið saman í æviágrip. Þau skilaboð sem mér bárust frá formanni ritnefndar um að A hefði ekki áhuga á því að vera með í ritinu gáfu ekkert slíkt til kynna. Nokkrir guðfræðingar sem seint svöruðu, en létu um síðir til leiðast, viðruðu áþekk viðhorf og þessi til ritsins.

4. Síðan vísið þér til ákvæða 14. og 28. gr. laga 77/2000 um frest ábyrgðaraðila til að svara erindum frá hinum skráða, þ.e. skyldur mínar í þessu sambandi gagnvart A.

Því er til að svara, að bréf A dags. 19. desember 2000 barst mér ekki í hendur fyrr en að prentvinnsla hafði legið niðri um fjögurra mánaða skeið. Þá var reyndar útlit fyrir að útgáfu ritsins yrði hætt með öllu. Mínu hlutverki sem ritstjóra guðfræðingatals var á þessum tíma þannig í reynd lokið. Taldi ég við þessar aðstæður enga ástæðu til að svara bréfi A fremur en síðbúnum leiðréttingum frá allmörgum guðfræðingum, löngu eftir að ritið átti samkvæmt uppgefnum eindaga að vera komið í dreifingu! Þar á ofan taldi ég mig hafa í fyrri bréfum talað nægilega skýrt til þeirra sem ekki sinntu kalli um upplýsingagjöf og vart á það bætandi (fskj. 3 og 4).

5. Ákvörðun um að reyna aftur til við útgáfu guðfræðingatalsins var síðan tekin á vordögum 2002. Þá leystu Prestafélag Íslands og Skálholtsútgáfan til sín verkið með sérstökum samningum við Þjóðsögu ehf. og Prentsmiðjuna Odda hf. Síðan samdi stjórn Prestafélagsins við mig um að búa hið rykfallna prenthandrit til útgáfu. Það var gert með þeim hætti, að af hálfu Skálholtsútgáfunnar voru sendar út prófarkir af fyrirliggjandi prenthandriti (frá sumrinu 2000) til allra guðfræðinga með ósk um að menn “uppfærðu” sinn texta, þ.e. ykju við hann eftir þörfum. Líkt og allmargir aðrir svaraði A ekki slíkum tilmælum. Voru því æviágrip þeirra sem svo háttaði til um prentuð eins og þau voru þegar í prenthandriti sumarið 2000. Í nokkrum tilvikum var þó aukið við upplýsingum, sem oftast fyrir tilviljun bárust í hendur, s.s. úr dánarskrám Hagstofu Íslands, minningargreinum eða skýrslu Biskupsstofu um stöðubreytingar presta. Þannig minnist ég þess t.d., að á lokasprettinum skaut ég inn í próförk A dánardegi tengdaföður, sem lést í september 2000.“

A svaraði ofannefndu bréfi Persónuverndar, dags. 11. apríl sl., með bréfi, dags. 24. s.m. Þar segir:

„Vísað er til bréfs þíns frá 11. þ.m. þar sem óskað er eftir frekari upplýsingum af minni hálfu, sbr. eftirtalda töluliði:

1. Hvort ég hafi tilgreint einhverjar sérstakar ástæður fyrir því að upplýsingar um mig mætti ekki birta í guðfræðingatalinu í samskiptum mínum við ritnefnd þess og G, ritstjóra þess, og, hafi verið svo, hvaða ástæður það voru?

Svar: Ég tjáði formanni og ritstjóra ritnefndar Guðfræðingatalsins að ég hefði ekki áhuga á að vera með í Guðfræðingatalinu. Forsvarsmenn Guðfræðingatalsins fóru ekki fram á það að ég tilgreindi einhverjar aðrar ástæður.

2. Hvort ég hafi samþykkt birtingu einkunna minna í Árbók Háskóla Íslands 1976–1979 og birtingu myndar af mér í ritinu Hreiðarsstaðakotsætt, I. bindi, sem út kom árið 1988.

Svar: a. Ef einkunnir mínar hafa birst í Árbók Háskóla Íslands 1976–1979, þá hefur það verið gert algjörlega án míns samþykkis, enda vissi ég ekki að þetta rit birti einkunnir fyrr en það var nefnd í sambandi við þetta mál.

b. Maki minn er af Hreiðarsstaðakotsætt. Mér var kunnugt um að send hafi verið fjölskyldumynd í þeim tilgangi að hún yrði notuð eingöngu í þessu riti.“

IV.
Niðurstaða

Árið 2002 gaf Prestafélag Íslands út ritið Guðfræðingatal 1847–2002. Höfundur þess er G. Fyrir liggur að þrátt fyrir að A hafi andmælt því að þar birtust upplýsingar um A var það engu að síður gert. Þar eru birtar upplýsingar um uppruna A, fæðingardag og -stað, upphaflegt kenninafn, foreldra, nám og námsframmistöðu og fyrri störf – auk upplýsinga um maka og börn. Þá eru upplýsingarnar um A auðkenndar með tveimur stjörnum (**) og þannig upplýst að A sé andvígur birtingu upplýsinga um sig í ritinu.

1. Í máli þessu er í fyrsta lagi til úrlausnar lögmæti birtingar andlitsmyndar og persónuupplýsinga um A í Guðfræðingatali 1847–2002. Í 1. tl. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga er hugtakið persónuupplýsingar skilgreint sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Persónuvernd hefur litið svo á að hugtakið persónuupplýsingar taki til andlitsmynda ef unnt er að bera kennsl á þann mann sem er á myndinni og segja má að hún beri með sér upplýsingar um hann.

1.1. Vinnsla persónuupplýsinga telst lögmæt ef hún fullnægir einhverju af skilyrðum 8. gr. og eftir atvikum 9. gr. laga nr. 77/2000. Ákvæði 8. gr. gilda um vinnslu almennra upplýsinga en 9. gr. um vinnslu viðkvæmra persónuupplýsinga. Kemur helst til álita að vinnsla almennra upplýsinga í þágu ættfræði- eða æviskrárrita falli undir 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þar segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber samkvæmt lögum, vegi þyngra. Þá má til hliðsjónar benda á ákvæði 6. tölul. 1. mgr. 9. gr. laga nr. 77/2000 um að vinnsla viðkvæmra persónuupplýsinga sé heimil taki hún einungis til upplýsinga sem hinn skráði hefur sjálfur gert opinberar. Við túlkun þessara ákvæða þarf að hafa hliðsjón af athugasemdum með 71. gr. stjórnarskrárinnar um friðhelgi einkalífs, eins og henni var breytt með 9. gr. laga nr. 97/1995. Þar segir að í friðhelgi einkalífsins felist m.a. réttur manns til að njóta friðar um lífshætti sína og einkahagi. Fram kemur að mjög raunhæft dæmi um svið, þar sem álitaefni vakni um hvort brotið er gegn friðhelgi einkalífs, sé skráning persónuupplýsinga um einstaklinga, en þó segir að ýmsar almennar skrár af opinberum toga falli utan verndar ákvæðisins.

Þótt vinnsla teljist vera heimil samkvæmd framangreindum ákvæðum laga nr. 77/2000 þarf hún ennfremur að samrýmast þeim grunnreglum sem kveðið er á um í 1. mgr. 7. gr. laga nr. 77/2000. Í 1. tölul. ákvæðisins er kveðið á um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skuli vera í samræmi við vandaða vinnsluhætti persónuupplýsinga. Þá segir í 2. tölul. að persónuupplýsingar skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi. Persónuvernd telur vinnslu persónuupplýsinga í þágu gerðar æviskrárrita geta verið málefnalega ef hún er sanngjörn og fer að öðru leyti fram í samræmi við grunnreglur þessa ákvæðis.

Í 5. gr. laga nr. 77/2000 er kveðið á um að víkja megi frá ákvæðum laganna í þágu bókmennta að því marki sem það er nauðsynlegt til að samræma sjónarmið um rétt til einkalífs annars vegar og tjáningarfrelsis hins vegar. Þá er þar kveðið á um að þegar persónuupplýsingar eru einvörðungu unnar í þágu bókmenntalegrar starfsemi gildi aðeins tiltekin ákvæði laganna. Persónuvernd telur vinnslu persónuupplýsinga í þágu æviskrárrita vera bókmenntalegs eðlis. Hins vegar telur hún ekki unnt að líta svo á að slík vinnsla persónuupplýsinga fari einungis fram í þágu bókmenntalegrar starfsemi og sé þar af leiðandi undanþegin tilteknum ákvæðum laga nr. 77/2000. Túlka verður 5. gr. svo að henni sé einkum ætlað að gilda um þá vinnslu persónuupplýsinga sem fram fer við listræna tjáningu og tjáningu skoðana og viðhorfa, en að mati Persónuverndar fellur vinnsla persónuupplýsinga í þágu æviskrárrita hins vegar ekki þar undir. Gilda lög nr. 77/2000 þar af leiðandi um slíka vinnslu.

1.2. Áður en lög nr. 77/2000 tóku gildi fór um meðferð persónuupplýsinga samkvæmt lögum nr. 121/1989 og hafði tölvunefnd eftirlit með framkvæmd þeirra laga. Skráning í þágu ættfræðirita og æviskrárrita féll utan marka laganna en almennt var þó litið svo á að við slíka skráningu yrði að gæta annarra reglna um friðhelgi einkalífs. Þetta viðhorf kemur m.a. fram í bréfi, dags. 4. ágúst 1999, sem tölvunefnd sendi einum af aðilum þessa máls, G. Þar segir meðal annars:

„Samkvæmt 2. gr. laga um skráningu og meðferð persónuupplýsinga nr. 121/1989 fellur skráning í þágu ættfræðirita og æviskrárrita utan marka laganna og þar með utan valdsviðs Tölvunefndar. Telja verður læknatal til æviskrárrita í skilningi þess ákvæðis. Í greinargerð með lögunum kemur hins vegar fram að við ættfræðirannsóknir og samningu æviskrárrita kunni eigi að síður að þurfa að gæta annarra reglna er varða vernd einkalífs. Í umræðum nefndarinnar um mál þetta kom fram það viðhorf að hæpið sé að menn geti varnað því að í slíku riti birtist um þá almennar lýðskrárupplýsingar, s.s. um nafn og kennitölu, nöfn niðja, foreldra og núverandi maka, um menntun og opinberar stöður sem menn hafa gegnt. Að áliti Tölvunefndar er hins vegar eðlilegt að sýna eðlilega tillitsemi og byggja á samþykki hlutaðeigandi fyrir birtingu annarra upplýsinga, einkum um hjúskaparstöðu annars fólks (s.s. foreldra), um nöfn fyrri maka, barnsfeðra/mæðra, um einkunnir, ættleiðingu o.s.frv. Minnir Tölvunefnd hér sérstaklega á niðurstöðu Hrd. 1968:1007.“

Persónuvernd telur að þessi afstaða tölvunefndar eigi enn efnislega við að mörgu leyti. Persónuvernd telur að með stoð í 7. tl. 8. gr., sbr. og eftir atvikum með hliðsjón af 6. tl. 9. gr, megi skrá í æviskrárrit almennar lýðskrárupplýsingar, s.s. nafn og fæðingardag, nöfn niðja, foreldra og núverandi maka, menntun og opinberar stöður sem menn hafa gegnt, og gera þær aðgengilegar almenningi í slíkum ritum, nema fram komi rökstudd andmæli hins skráða sem réttmætt sé að taka tillit til. Sama á við um birtingu myndar af manni í slíku riti, enda sé hún málefnaleg, sanngjörn og í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, þegar litið sé til efnis hennar, framsetningar og þess samhengis sem hún birtist í. Um vinnslu annarra upplýsinga, s.s. um einkunnir, ættleiðingar og önnur atriði er varða einkamálefni, hefur Persónuvernd hins vegar litið til 1. tl. 8. gr. um samþykki hins skráða, sé hann á lífi. Til að skýra þessa afstöðu til upplýsinga um einkunnir má benda á það almenna viðhorf að upplýsingar um frammistöðu einstakra nemenda á prófum séu upplýsingar um einkamálefni þeirra sem sanngjarnt sé og eðlilegt að leynt fari. Þetta viðhorf kemur til dæmis fram í þeirri grundvallarreglu 2. mgr. 45. gr. laga um grunnskóla nr. 66/1995 að almennt skuli ekki veita upplýsingar um vitnisburði nemenda. Hafi hinn skráði hins vegar sjálfur áður samþykkt opinbera birtingu upplýsinga um einkunnir kann málið, með hliðsjón af 6. tölul. 1. mgr. 9. gr., að horfa öðruvísi við.

Persónuvernd telur, með vísan til ofangreinds, að heimilt hafi verið að birta í Guðfræðingatali 1847–2002 almennar lýðskrárupplýsingar um A, þ. á m. um brautskráningu, prestsvígslu, skipun í embætti og ættir, enda hefur ekki verið sýnt fram á að hagsmunirnir af birtingunni hafi gengið framar hagsmunum A af því upplýsingarnar yrðu ekki birtar. Sama gildir um birtingu myndar af A enda verður ekki annað séð en að hún hafi, m.t.t. efnis hennar, framsetningar og þess samhengis sem hún birtist í, verið málefnaleg, sanngjörn og í samræmi við vandaða vinnsluhætti persónuupplýsinga á hlutaðeigandi sviði, sbr. 1. tl. 7. gr. laga nr. 77/2000. Tekið skal fram að Persónuvernd tekur ekki afstöðu til þess hvort með birtingu myndarinnar hafi verið brotið gegn höfundarrétti, enda fellur það álitaefni utan valdsviðs Persónuverndar. Persónuvernd telur hins vegar að óheimilt hafi verið án samþykkis A að birta einkunnir, enda hafði A sjálf hvorki gert þær opinberar, né hefur verið rökstutt að slíkir hagsmunir hafi verið af birtingu einkunnanna að þeir hafi gengið framar hagsmunum A af því að fá að ráða hvort einkunnirnar yrðu birtar eða ekki, sbr. 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.

1.3. Fram kemur í gögnum málsins að í Guðfræðingatali 1847–2002 eru upplýsingar um A auðkenndar með tveimur stjörnum (**) til að sýna að A sé því andvígur að upplýsingar séu birtar í guðfræðingatalinu. Samkvæmt 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 skal þess gætt við vinnslu persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Telja verður að með því að auðkenna að A hafi verið andvígur birtingu upplýsinga um sig hafi verið brotið gegn þessu ákvæði, enda hafa ábyrgðarmenn vinnslunnar ekki sýnt fram á sérstaka hagsmuni sem þar hafi verið í húfi né verður séð að það hafi verið gert í málefnalegum tilgangi.

2. Í máli þessu er í öðru lagi til úrlausnar hvort virt hafi verið ákvæði 21. gr. laga nr. 77/2000 um skyldu ábyrgðaraðila til að láta hinn skráða vita um vinnslu persónuupplýsinga sem er aflað hjá öðrum en honum sjálfum. Þar segir að upplýsa skuli um nafn og heimilisfang ábyrgðaraðila, svo og önnur atriði sem hinum skráða er nauðsynlegt að fá vitneskju um til að gæta hagsmuna sinna í tengslum við vinnsluna. Breyting varð á ákvæði 21. gr. með 3. gr. laga nr. 81/2002 en kröfur til upplýsingagjafar ábyrgðaraðila til hins skráða voru sambærilegar fyrir og eftir breytinguna að því fráskildu að fyrir breytinguna var ekki kveðið á um skyldu til að greina frá ákvæðum um upplýsingarétt hins skráða. Meðal þess sem skylt hefur verið að greina frá, bæði fyrir og eftir breytinguna, er hvaðan viðkomandi persónuupplýsingar eru fengnar.

Samskipti A við ritnefnd Guðfræðingatals 1847–2002 og ritstjóra þess áttu sér að nokkru stað í gildistíð laga nr. 121/1989 um skráningu og meðferð persónuupplýsinga en þar var ekki að finna sambærilegt ákvæði og nú er í 21. gr. laga nr. 77/2000. Verður ekki fullyrt að á ritnefnd guðfræðingatalsins og ritstjóra þess hafi í gildistíð þeirra hvílt sú skylda að veita A upplýsingar með þeim hætt sem nú er skylt að gera. Síðari próförk var send út eftir að lög nr. 77/2000 tóku gildi þann 1. janúar 2001. Persónuvernd telur að skýra verði 21. gr. laga nr. 77/2000 á þann veg að hún eigi við þótt umrædd vinnsla hafi byrjað fyrir gildistöku laganna, hafi henni ekki verið lokið þegar þau tóku gildi. Byggist sú skýring á því markmiði laganna „að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga“, sbr. 1. mgr. 1. gr. Þetta markmiðsákvæði ber með sér að lögunum er ætlað að vernda hagsmuni hins skráða en ekki ábyrgðaraðila og ber því, við ákvörðun þess hver skil þeirra og eldri laga skuli vera, að horfa til þess hvernig hagsmunum hins skráða verði best borgið.

Í ljósi þessa telur Persónuvernd að þegar lög nr. 77/2000 tóku gildi hafi ritstjóra og ritnefnd Guðfræðingatals 1847–2002 orðið skylt að upplýsa A í samræmi við 21. laganna. Í próförkinni, sem er meðal gagna málsins, er ekki getið heimilda fyrir þeim upplýsingum sem þar eru né verður ráðið af öðrum gögnum málsins að A hafi verið nægilega vel upplýstur um það. Verður enda ekki séð að við hafi átt þær undantekningar frá upplýsingaskyldunni sem tilgreindar eru í 4. mgr. 21. gr. en tilgreindar voru í 2. mgr. sama ákvæðis fyrir 29. apríl 2002.

3. Í máli þessu er í þriðja lagi til úrlausnar hvort virt hafi verið ákvæði 28. gr. laga nr. 77/2000 um andmælarétt hins skráða. Segir þar að hinum skráða sé heimilt að andmæla vinnslu upplýsinga um sjálfan sig hafi hann til þess lögmætar og knýjandi ástæður vegna sérstakra aðstæðna sinna nema kveðið sé á um annað í öðrum lögum. Eigi andmælin rétt á sér er ábyrgðaraðila óheimil frekari vinnsla umræddra upplýsinga.

Við umfjöllun um þetta ber að greina á milli tvenns, annars vegar skyldu ábyrgðaraðila til að verða við andmælum hins skráða og hins vegar málsmeðferðar ábyrgðaraðila við umfjöllun um andmælin:

a) Ljóst er að A andmælti því eindregið að upplýsingar yrðu birtar í Guðfræðingatali 1847–2002. Andmæli A bárust fyrir gildistöku laga nr. 77/2000 en Persónuvernd telur að skýra verði 28. gr. laga nr. 77/2000 á þann veg að ábyrgðaraðila beri að virða andmæli hins skráða um vinnslu persónuupplýsinga þótt hún hafi byrjað fyrir gildistöku laganna, þar sem henni var ekki lokið þegar þau tóku gildi. Þá ber að túlka ákvæðið með hliðsjón af ákvæðum 45. gr. í formálsorðum tilskipunar 95/46/EB og ákvæði a-liðar 14. gr. tilskipunarinnar, en 28. gr. er ætlað að innleiða í íslenskan rétt efni þessara ákvæða. Af því leiðir að skilja ber ákvæði 28. gr. svo að hinum skráða sé heimilt að andmæla vinnslu persónuupplýsinga um sjálfan sig færi hann fram réttmætar ástæður, sem eðlilegt sé að taka tillit til.

Fyrir liggur að A andmælti því eindregið að upplýsingar yrðu birtar í Guðfræðingatali 1847–2002 með bréfum til formanns ritnefndar þess, dags. 8. júlí og 12. desember 1999, og tölvupósti til ritstjóra þess hinn 19. desember 2000. Hins vegar verður hvergi séð að A hafi tilgreint einhverjar sérstakar ástæður fyrir því að upplýsingar mætti ekki birta í guðfræðingatalinu. Þá liggur ekki fyrir að ábyrgðarmenn hafi kallað eftir þeim svo sem eðlilegt hefði verið. Ekki verður þó framhjá því litið að A tilgreindi engar ástæður fyrir andmælum sínum eins og áskilið er í 28. gr. Verður því ekki fullyrt að ábyrgðarmönnum Guðfræðingatals 1847–2002 hafi borið lagaskylda til þess að taka tillit til órökstuddra andmæla A.

b) Í 14. gr. laga nr. 77/2000 er kveðið á um ábyrgðaraðili að vinnslu persónuupplýsinga skuli afgreiða erindi samkvæmt tilteknum ákvæðum laganna, m.a. 28. gr., svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku þess.

Öll erindi A vegna Guðfræðingatals 1847–2002 bárust fyrir gildistöku laga nr. 77/2000, hið síðasta 19. desember 2000. Þá giltu lög nr. 121/1989, en þar var ekki að finna ákvæði sambærilegt við það sem nú er í 14. gr. laga nr. 77/2000. Hins vegar verður, eðli málsins samkvæmt, að líta svo á að þá hafi gilt sú óskráða regla að svara ætti erindum frá hinum skráða nægilega fljótt til að hann gæti neytt réttar síns gagnvart ábyrgðaraðila. Persónuvernd telur því að ritnefnd og ritstjóra guðfræðingatalsins hafi verið skylt að svara erindum A og það án ástæðulausrar tafar.

Ú r s k u r ð a r o r ð:

Ritstjóra og ritnefnd Guðfræðingatals 1847–2002 var heimilt að birta þar mynd af A auk upplýsinga um brautskráningu, prestsvígslu, skipun í embætti og ættir. Óheimilt var hins vegar að birta þar upplýsingar um einkunnir A svo og að auðkenna upplýsingar um A þar með tveimur stjörnum (**).

4.8. Lögmæti miðlunar dómsmálaráðuneytisins á upplýsingum um félagsmenn í Falun Gong í þeim tilgangi að hindra komu þeirra til landsins

Hinn 5. júní 2003 kvað Persónuvernd upp svofelldan úrskurð í máli nr. 2002/276:

I.
Úrlausnarefni
Atvik máls

Hinn 12. júní 2002 barst Persónuvernd símbréf frá RA hæstaréttarlögmanni varðandi skrá lögreglu yfir meðlimi í Falun Gong og notkun dómsmálaráðuneytisins á henni í því skyni að meina þeim landgöngu þegar Kínaforseti kom hingað til lands dagana 13.–16. s.m. Lögmaðurinn hefur upplýst að einn af umbjóðendum hans X, hugbúnaðarverkfræðingur, búsettur í Belleview, Ontario, Kanada, hafi verið á listanum.

Persónuvernd bar málið undir dómsmálaráðuneytið, upphaflega með bréfi, dags. 16. júlí 2002. Í svarbréfi þess, dags. 10. september s.á., kemur fram að það hafi, eftir að athugun lögreglu hafði leitt í ljós að hópar fólks ætluðu að koma hingað til lands til að efna hér til mótmæla, sent Flugleiðum hf. bréf með fyrirmælum um að synja tilteknu fólki um flugfar. Segir í bréfinu að með umræddu ráðuneytisbréfi til Flugleiða hafi fylgt listi yfir þá einstaklinga sem vitað var samkvæmt rannsókn lögreglu að væru fylgismenn í Falun Gong og ættu bókað far með flugvélum Flugleiða hf. til Íslands heimsóknardagana. Segir og að listinn hafi jafnframt verið sendur til sendiráða Íslands í Bandaríkjunum, Noregi, Danmörku, Bretlandi og Frakklandi.

Persónuvernd óskaði ítrekað eftir nánari skýringum frá ráðuneytinu, einkum um heimildir þess að lögum til að miðla upplýsingunum til Flugleiða. Í bréfi þess, dags. 8. maí sl., segir m.a.: „Að þessari ákvörðun komu öll framangreind ráðuneyti og þau lögregluembætti sem að framan greinir, sem heyra undir dómsmálaráðuneytið að frátöldum sýslumanninum á Keflavíkurflugvelli sem heyrir undir utanríkisráðuneytið. […] var í þeim hópi X, kanadískur ríkisborgari, sem synjað var um flutning til Íslands frá Kaupmannahöfn 12. júní sl. Hann mun síðan hafa komið til landsins degi síðar, samkvæmt því sem fram kemur í áður tilvitnuðum gögnum.“

II.
Bréfaskipti
Sjónarmið málsaðila

Með símbréfi RA hrl. frá 9. júlí 2002 fylgdi afrit af bréfi frá einum umbjóðenda hans, X, til sendiráðs Íslands í Kanada, dags. 27. júní s.á. Þar segir m.a.:

„Iceland's “blacklist” of peaceful practitioners of Falun Gong is a serious cause for concern for all free and democratic countries around the world. This is the first time a government other than that of China uses a “blacklist” to block law-abiding citizens from entering their country. It is a breach of personal privacy, security and safety. It also constitutes an attack on the dignity and reputation of the individuals directly concerned as well as on the good standing of the Falun Gong practice in general. In fact, practicioners have been commended by Canadian officials as being a “model of good order” at events and activities to appeal for an end to the persecution.“

Með bréfi, dags. 16. júlí 2002, ítrekuðu með bréfi, dags. 29. ágúst s.á., bauð Persónuvernd dómsmálaráðuneytinu að tjá sig um erindi lögmannsins. Ráðuneytið svaraði með bréfi, dags. 10. september s.á. Þar segir:

„Vegna löggæslu og öryggisgæslu í tilefni af opinberri heimsókn forseta Kína hingað til lands í júní sl. var af hálfu lögreglunnar fylgst með heimsóknum til Íslands og hugsanlegum aðgerðum einstaklinga og hópa sem til þess gátu verið fallin að trufla dagskrá heimsóknarinnar eða stofna öryggi og almannafriði í hættu. Við upplýsingaöflun lögreglunnar, einkum embættis ríkislögreglustjóra, bárust lögreglu upplýsingar um hópa fólks sem áætluðu að koma til landsins, í þeim tilgangi að efna til mótmæla. Þessar upplýsingar komu m.a. frá erlendum lögregluyfirvöldum og var í kjölfarið hafin nákvæm rannsókn á því af hálfu lögreglu hverjar væru fyrirætlanir hópsins og hvaða einstaklingar ættu í hlut. Upplýsingar bárust um það frá erlendum lögregluyfirvöldum og víðar að það væru meðlimir í hreyfingunni Falun Gong sem ætluðu að fjölmenna hingað til lands til áðurnefndra aðgerða. Á grundvelli þeirra upplýsinga og upplýsinga sem lögreglan aflaði með öðrum hætti, m.a. hjá umræddu fólki, var settur saman af hálfu lögreglu listi yfir meðlimi Falun Gong sem vitað var að væru á leiðinni hingað til lands, m.a. til þess að meta umfang fyrirhugaðra mótmælaaðgerða.

Rannsókn lögreglu staðfesti að von væri á nokkur hundruð fylgismönnum Falun Gong hreyfingar hingað til lands. Af því tilefni og til að tryggja allsherjarreglu og öryggi í hinni opinberu heimsókn var af íslenskum stjórnvöldum ákveðið að grípa til tiltekinna aðgerða til að takmarka heimildir þekktra félaga úr hreyfingunni til þess að koma hingað til lands meðan á heimsókninni stæði. Dómsmálaráðuneytinu var falið að senda Flugleiðum hf. bréf með fyrirmælum um að synja umræddu fólki um flugfar til landsins í ljósi áðurnefndrar ákvörðunar. Með umræddu bréfi ráðuneytisins til Flugleiða hf. fylgdi listi yfir þá einstaklinga sem vitað var samkvæmt rannsókn lögreglu að væru fylgismenn í Falun Gong og ættu bókað far með flugvélum Flugleiða hf. til Íslands heimsóknardagana. Listinn var jafnframt sendur til sendiráða Íslands í Bandaríkjunum, Noregi, Danmörku, Bretlandi og Frakklandi, en verkefni sendiráðanna var að veita umræddum einstaklingum upplýsingar um ákvörðun íslenskra stjórnvalda og greiða götu þeirra eftir því sem kostur væri.

Þegar þessum aðgerðum lauk var óskað eftir því við framangreinda aðila að listarnir yrðu sendir embætti ríkislögreglustjóra á ný. Vinnugögnum lögreglu um þetta löggæsluverkefni var í kjölfarið lokað og afritum lögreglu eytt, en frumrit umræddra gagna eru geymd og varðveitt tryggilega eins og lög standa til. Listi þessi er með engu móti uppfærður eða ætlaður til frekari vinnslu, enda eingöngu unnt að líta á hann sem vinnugagn í tengslum við tiltekið löggæsluverkefni sem lokið er. Ábyrgð á þessu löggæsluverkefni var á herðum ríkislögreglustjóra sem jafnframt ber ábyrgð á öllum þeim gögnum sem unnin voru í tengslum við það, þar á meðal umræddum lista. Dreifing listans til annarra stofnana og einkaaðila byggðist á því að miðlun umræddra upplýsinga væri nauðsynleg til að koma í veg fyrir alvarlega og aðsteðjandi hættu á röskun á allsherjarreglu og öryggi í tengslum við umrædda opinbera heimsókn.

Rétt er að taka fram að lögregluyfirvöld stóðu engan að alvarlegri refsiverðri háttsemi í tengslum við opinbera heimsókn forseta Kína þannig að enginn var skráður inn í skrár lögreglu. Af þeirri ástæðu hefur lögregla hvorki í skrám sínum né skýrslum nöfn á fólki af þessu tilefni. Engin nöfn eru því skráð í skrár lögreglu og lögregluyfirvöldum í öðrum löndum hefur ekki og verða ekki gefnar upplýsingar um nöfn þeirra sem hingað komu eða áætluðu að koma í tengslum við umrædda heimsókn.“

Persónuvernd taldi ítarlegri skýringa en þessara þörf, m.a. um hvaða lagaheimild dómsmálaráðuneytið teldi sig hafa haft til þeirrar vinnslu persónuupplýsinga sem fólst í gerð og notkun skráarinnar, og óskaði þeirra með bréfi, dags. 19. september 2002, ítrekuðu með bréfi, dags. 31. október s.á. Ráðuneytið svaraði með bréfi, dags. 4. nóvember s.á. Þar segir:

„Vísað er til bréfs [Persónuverndar], dags. 19. september, svo og ítrekunarbréfs, dags. 31. október sl., varðandi lista sem settir voru saman í tilefni af opinberri heimsókn forseta Kína hingað til lands í júní sl. Í áðurnefndum bréfum er þess óskað að ráðuneytið „svari því með nákvæmari hætti en í því bréfi, sem Persónuvernd hefur borist, frá hverjum upplýsingarnar á listanum voru fengnar“ auk þess [sem] óskað er eftir því að ráðuneytið tilgreini hvaða lagaheimildir „það telji hafa staðið til framangreindrar vinnslu persónuupplýsinga“, eins og það er orðað í bréfi [Persónuverndar].

Í fyrsta lagi er ráðuneytinu ekki unnt að útskýra með nákvæmari hætti en gert hefur verið hvaðan upplýsingar bárust íslenskum lögregluyfirvöldum. Þegar hefur verið upplýst að safnað var saman upplýsingum frá erlendum lögregluyfirvöldum, þar á meðal lögregluyfirvöldum í Þýskalandi og Bandaríkjunum, í tengslum við hina opinberu heimsókn. Jafnframt hefur verið upplýst að upplýsingar bárust íslenskum lögregluyfirvöldum frá þeim einstaklingum sem í hlut áttu, auk þess sem upplýsinga var aflað með hefðbundnum aðferðum lögreglu, t.d. með eftirgrennslan hjá flutningsaðilum, á hótelum og gististöðum hér innanlands, sbr. heimildir í lögum og reglugerð um eftirlit með útlendingum.

Lagaheimildir fyrir söfnun upplýsinga af þessu tagi er að finna í lögreglulögum, sbr. einkum 1. gr. þeirra þar sem m.a. segir að hlutverk lögreglu sé að gæta almannaöryggis og halda uppi lögum og reglu. Rétt er að árétta það sem fram kom í fyrra bréfi ráðuneytisins að þegar aðgerðum lögreglu lauk voru öll gögn sem send voru öðrum afturkölluð og vinnugögnum lögreglu var í kjölfarið lokað og afritum eytt. Ekki er unnt að líta á þennan lista sem varanlega skrá lögreglu, sbr. 2. og 3. gr. reglugerðar um meðferð persónuupplýsinga hjá lögreglu nr. 322/2001, heldur var hann vinnugagn í tengslum við tiltekið og afmarkað löggæsluverkefni. Engu að síður var farið með umræddar upplýsingar á grundvelli þeirra reglna sem þar er að finna eftir því sem við átti. Til dæmis var dreifing upplýsinga til annarra stofnana og einkaaðila byggð á því að miðlun upplýsinga væri nauðsynleg til að koma í veg fyrir alvarlega og aðsteðjandi hættu á röskun á allsherjarreglu og öryggi í tengslum við opinbera heimsókn, sbr. 6. gr. reglugerðarinnar.“

Með bréfi, dags. 8. nóvember 2002, ítrekuðu með bréfi, dags. 9. desember s.á., bauð Persónuvernd lögmanni X að tjá sig um þessi svör dómsmálaráðuneytisins. Lögmaðurinn svaraði með símbréfi hinn 23. desember s.á. Þar segir:

„Ég vísa til bréfa yðar dags. 8. nóvember og 9. desember 2002 varðandi ofangreint málefni og leyfi mér að gera eftirfarandi athugasemdir við efni bréfa dómsmálaráðuneytisins, dags. 10. september 2002 og 4. nóvember 2002.

1. Staðhæfingar dómsmálaráðuneytisins um að hinir svörtu listar um Falun Gong iðkendur hafi orðið til hjá lögregluyfirvöldum eru afar ótrúverðugar. Því er með öllu mótmælt að slíkir listar séu til hjá lögregluyfirvöldum í öðrum löndum. […]

2. […]

3. Lýsing ráðuneytisins á því hvernig listar um Falun Gong iðkendur voru búnir til eru ótrúverðugar. Heimsóknir á hótel til að afla gestalista löngu fyrir komu gestanna eru ólíklegar til að hafa borið árangur enda líklegt að í hótelpöntunum hafi aðeins verið að finna upplýsingar um fjölda en ekki nöfn gesta.

4. Í bréfi ráðuneytis segir m.a. að upplýsinga um iðkun Falun Gong hafi m.a. verið aflað hjá “umræddu fólki”. Með þessu er sagt að talað hafi verið við fólk utan Íslands og það spurt hvort það ætlaði til Íslands og hvort það væri Falun Gong iðkendur. Þetta er óframkvæmanlegt.

5. Í bréfi ráðuneytisins er vísað til þess að heimsóknir Falun Gong iðkenda gætu verið fallnar til að trufla dagskrá heimsóknarinnar eða stofna öryggi og almannafriði í hættu. Er það því ein skýring á því hvers vegna aflað var upplýsinga um nöfn Falun Gong iðkenda sem hugðust heimsækja Ísland í júní 2002. En hvaðan komu heimildir um að Falun Gong iðkendur væru hættulegir öryggi og almannafriði. Frá “erlendum lögregluyfirvöldum og víðar” segir í bréfi ráðuneytisins. Engar fregnir eru um að Falun Gong iðkendur hafi stofnað almannaöryggi í hættu nokkurs staðar í heiminum. Kínversk stjórnvöld eru einu stjórnvöldin sem því halda fram. Samkvæmt upplýsingum frá Falun Gong iðkendum sæta þeir ofsóknum af hálfu kínverskra stjórnvalda ekki aðeins í Kína heldur hvarvetna þar sem þau stjórnvöld komast upp með slíkt. Dómsmálaráðuneytið getur staðfest það við Persónuvernd að það, svo og önnur ráðuneyti hér, voru beitt stórfelldum þrýstingi í því skyni að þau kæmu í veg fyrir að Falun Gong iðkendur kæmust hingað til lands og færi svo að þeir kæmust til Íslands þá til að forsetinn þyrfti ekki að sjá til þeirra. […] Vakin er á því athygli að í bréfi ráðuneytisins kemur fram að skráin um Falun Gong iðkendur var í vörslum ráðuneytisins og það var ráðuneytið sem sendi listann til Flugleiða h.f. með fyrirmælum um að það kæmi í veg fyrir komu fólksins til Íslands. Bendir þetta eindregið til að ráðuneytið hafi fengið listann frá kínverskum stjórnvöldum. Hefði íslenska lögreglan sett saman listann var það í hennar verkahring að eiga nauðsynleg samskipti við Flugleiðir h.f. Því má ætla að ríkislögreglustjóri hafi fengið listann úr hendi dómsmálaráðuneytisins. Hafnað er því sjónarmiði að ríkislögreglustjóri einn beri ábyrgð á svörtu listunum eins og segir í bréfi ráðuneytisins.

6. […]

7. Staðhæfingar ráðuneytis um að listum hafi verið eytt eru ósannaðar og engum gögnum studdar. Hvaða óhlutdrægum aðilum var gefinn kostur á að fylgjast með og staðreyna eyðilegginguna? Hversu víða fóru listarnir og hvernig er unnt að sanna að þeim hafi verið skilað án þess að ljósrituð eintök yrðu eftir?

8. Í síðara bréfi ráðuneytis segir að ekki sé unnt að útskýra með nákvæmari hætti en gert hefur verið hvaðan upplýsingar bárust. Sagt er að upplýsingum hafi verið safnað frá þýskum og bandarískum lögregluyfirvöldum. Því er mótmælt sem röngu að þessi stjórnvöld hafi lista um Falun Gong iðkendur og hafi látið þá í té íslenskum yfirvöldum. Með þessum staðhæfingum bera íslensk stjórnvöld á erlend stjórnvöld að þau ástundi ólöglega skráningu á þeim sem teljast Falun Gong iðkendur.

9. Í bréfi dómsmálaráðuneytis er vísað til lögreglulaga nr. 90/1996 og reglugerðar nr. 322/2001. Enga heimild til gerðar slíkrar skrár og hér er um fjallað er [að finna] í lögreglulögum, enda vitnar ráðuneytið ekki í tiltekna heimild eða grein í lögunum. Reglugerð nr. 322/2001 á við um rafrænar skrár eingöngu og kemur því ekki til álita í máli þessu. Þar sem ráðuneytið vitnar til reglugerðarinnar þrátt fyrir það er rétt að benda á að skv. 6. gr. hennar bar lögregluyfirvöldum að afla heimildar Persónuverndar til dreifingar.

10. Hinir svörtu listar dómsmálaráðuneytisins eru brýnt brot á fjölmörgum skuldbindingum Íslands, svo sem eins og 12. gr. Mannréttindayfirlýsingar SÞ, sbr. 18. og 19. gr. sama; 8. gr. Mannréttindasáttmála Evrópu, sbr. 9. og 10. gr. sama; 17. gr. alþjóðasamnings um borgaraleg og stjórnmálaleg réttindi, sbr. 18. og 19. gr. sama. Brot á þessum ákvæðum eru aðeins undanþæg í undantekningartilvikum er nauðsyn ber til í lýðræðisríki.

11. Skráning Falun Gong telst skráning viðkvæmra persónuupplýsinga skv. 9. gr. l. nr. 77/2000 um persónuvernd o.fl. Slík skráning er óheimil nema einhver þeirra undantekninga sem raktar eru í 9. gr. eigi við. Engin þeirra á við í máli þessu. Í 45. gr. 3. mgr. er fjallað um þröngan möguleika lögreglu til að halda rafrænar skrár skv. reglugerð sem Persónuvernd samþykkir. Teljist það ákvæði eiga við með einhverjum hætti í máli þessu þá skal þess getið að það hefur verið margbrotið í framkvæmd ráðuneytis og lögreglu í þessu tilviki sem hér er um fjallað.

12. […]

13. […]

Með bréfi, dags. 9. janúar sl., ítrekuðu með bréfi, dags. 24. febrúar sl., var dómsmálaráðuneytinu boðið að tjá sig um þessi svör lögmanns X. Þess var sérstaklega óskað að ráðuneytið rökstyddi hvernig það teldi skilyrðum 2. mgr. 6. gr. reglugerðar nr. 322/2001 fyrir miðlun upplýsinga frá lögreglu til annarra stjórnvalda og einkaaðila hafa verið fullnægt þegar það afhenti Flugleiðum hf. og sendiráðum Íslands í nokkrum löndum skrá yfir meðlimi Falun Gong. Persónuvernd spurði ennfremur hvort og þá hvernig ráðuneytið teldi öflun upplýsinga um lífsskoðanir fólks hafa verið heimila samkvæmt lögum nr. 45/1965 um eftirlit með útlendingum, lögreglulögum nr. 90/1996 og grundvallarreglum um friðhelgi einkalífs. Þá var þess óskað að ráðuneytið léti vita ef það liti svo á að afstaða þess í málinu hefði þegar að öllu leyti komið fram í fyrri bréfum þess til Persónuverndar. Ráðuneytið svaraði með bréfi, dags. 3. mars sl., og ítrekaði þar þau sjónarmið sem komið höfðu fram í fyrri bréfum þess. Í bréfi ráðuneytisins segir m.a.:

„Ráðuneytið vill af tilefni fullyrðinga í bréfi Persónuverndar taka fram að íslensk lögregluyfirvöld stóðu á engan hátt að öflun upplýsinga um lífsskoðanir fólks í tengslum við þetta löggæsluverkefni eða stunda það af öðrum tilefnum. Af hálfu ríkislögreglustjóra var settur saman listi yfir einstaklinga sem talið var að væru á leið hingað til lands í því skyni að efna til mótmæla og trufla þannig opinbera heimsókn þjóðhöfðingja til Íslands. Fyrir lá að umræddur hópur væri af þeirri stærðargráðu að umfang mótmælanna gæti orðið íslenskum lögregluyfirvöldum ofviða og þannig skapað margskonar hættu. Umræddum lista var einungis miðlað til annarra stjórnvalda og einkaaðila vegna þess að það var metið nauðsynlegt til að koma í veg fyrir alvarlega og aðsteðjandi hættu á röskun á allsherjarreglu og öryggi í tengslum við hina opinberu heimsókn, sbr. framangreint. Skilyrðum 2. mgr. 6. gr. reglugerðar nr. 322/2001 fyrir slíkri miðlun var því skýrlega fullnægt.“

Með bréfi, dags. 10. mars sl., óskaði Persónuvernd þess af dómsmálaráðuneytinu að það tjáði sig um hvaða forsendur hefðu búið að baki vinnslu upplýsinga um X. Með bréfi til ráðuneytisins, dags. næsta dag, skýrði Persónuvernd nánar þessa ósk sína. Segir þar að óskað sé upplýsinga um af hvaða ástæðu talið hafi verið heimilt að taka X á umrædda skrá og af hvaða ástæðu talið hafi verið heimilt að miðla upplýsingum um hann samkvæmt þeim lagaheimildum sem tilgreindar eru í bréfum ráðuneytisins. Ráðuneytið svaraði með bréfi, dags. 20. mars sl. Þar segir:

„Ástæða þess að sá einstaklingur, sem vísað er til í framangreindum bréfum yðar, var á listum íslensku lögreglunnar vegna öryggisráðstafana í tengslum við umrædda heimsókn, er væntanlega sú að lögreglan hafi haft undir höndum upplýsingar um að hann ætlaði að efna til mótmæla í tengslum við heimsóknina og jafnframt verið hluti af þeim hópi sem samkvæmt upplýsingum lögreglu ætlaði hingað til lands eingöngu í þeim erindagjörðum. Fram hefur komið í bréfum ráðuneytisins til Persónuverndar að umræddur hópur væri af þeirri stærðargráðu að umfang þeirra mótmæla sem til stóð að efna til gæti orðið íslenskum lögregluyfirvöldum ofviða og þannig skapað margs konar hættu. Á þeirri forsendu var gripið til þeirra aðgerða sem ítarlega hefur verið lýst í fyrri bréfum. Ráðuneytið tekur fram að það vann ekki umrædda lista og hefur því ekki undir höndum upplýsingar um þá einstaklinga sem í hlut áttu eða þær ástæður sem lágu til grundvallar ákvörðun í hverju og einu tilviki. Ráðuneytið tekur jafnframt fram, að það hefur ítarlega og ítrekað svarað spurningum Persónuverndar um hvaða ástæður og lagarök lágu til grundvallar miðlun þessara upplýsinga, og hefur engu við það að bæta.“

Með bréfi, dags. 28. mars sl., óskaði Persónuvernd þess af Útlendingastofnun að hún greindi frá því hvort forveri stofnunarinnar, Útlendingaeftirlitið, hefði komið að máli X og þá með hvaða hætti og á grundvelli hvaða lagaheimildar. Útlendingastofnun svaraði með bréfi, dags. 2. apríl sl. Þar segir að stofnunin hafi ekki komið að málinu með neinum hætti og að engar skrár sé að finna hjá henni með upplýsingum um X.

Með bréfi, dags. 31. mars sl., óskaði Persónuvernd þess af dómsmálaráðuneytinu að það tjáði sig um á grundvelli hvaða lagaheimildar það hefði miðlað skrá yfir félagsmenn í Falun Gong til Flugleiða hf. og íslenskra sendiráða og, þar sem svar við þeirri spurningu væri háð því á hvaða lagaheimild ráðuneytið byggði þá ákvörðun sína að mæla svo fyrir að Flugleiðum hf. bæri að synja X um flugfar frá Danmörku til Íslands, að það upplýsti um á hvaða lagaheimild sú ákvörðun þess hefði byggst. Þá var þess óskað að aflað yrði upplýsinga frá Ríkislögreglustjóra um ástæður þess að nafn X var tekið á þá skrá sem send var Flugleiðum hf. Ráðuneytið svaraði með bréfi, dags. 8. maí sl. Því fylgdi bréf ráðuneytisins til Ráðherraráðs Evrópusambandsins, dags. 7. júní 2002, þar sem tilkynnt var að Ísland myndi taka upp landamæraeftirlit á innri landamærum Schengen-svæðisins í tilefni heimsóknar Kínaforseta hingað til lands. Einnig var meðfylgjandi bréf ráðuneytisins til Flugleiða hf., dags. 11. s.m., þar sem mælt var fyrir um að þeim sem væru á skrá yfir meðlimi í félaginu Falun Gong skyldi ekki heimilað að ganga um borð í flugvélar félagsins. Í bréfi ráðuneytisins, dags. 8. maí sl., segir:

„Hvað varðar tilurð lista sem fjallað hefur verið um í máli þessu hefur því þegar verið lýst í bréfum ráðuneytisins til Persónuverndar hvernig listar þessir voru settir saman og hvernig þeir voru notaðir. Fyrir liggur að embætti ríkislögreglustjóra vann umrædda lista, á grundvelli upplýsinga sem aflað var með hefðbundinni upplýsingaöflun lögreglu í tengslum við væntanlega opinbera heimsókn. Á þeim tíma sem aðgerðir lögreglu stóðu yfir tóku umræddir listar sífelldum breytingum, enda bárust oft á dag nýjar upplýsingar um einstaklinga sem væntanlegir voru hingað til lands. Listunum var eingöngu miðlað frá embætti ríkislögreglustjóra til flutningsaðila og viðeigandi sendiráða, alfarið án milligöngu eða aðkomu ráðuneytisins, en tekið skal fram að listi frá embætti ríkislögreglustjóra fylgdi fyrra bréfi ráðuneytisins til Flugleiða þann 10. júní 2002.

Í tengslum við umrædda opinbera heimsókn höfðu þrjú ráðuneyti nána samvinnu um aðgerðir, þ.e. forsætis-, utanríkis- og dóms- og kirkjumálaráðuneyti, svo og stofnanir sem undir þau ráðuneyti heyra, þ.e. embætti ríkislögreglustjóra, Útlendingaeftirlitið (nú Útlendingastofnun), lögreglustjórinn í Reykjavík og lögreglustjórinn á Keflavíkurflugvelli. Ákváðu þau að höfðu samráði við umræddar stofnanir að grípa til tiltekinna aðgerða á grundvelli lagaheimilda í þágildandi lögum um eftirlit með útlendingum, þegar ljóst [var] samkvæmt upplýsingum lögreglu hver staðan væri og að lagaskilyrði fyrir umræddum aðgerðum væru fyrir hendi. Fyrstu aðgerðir miðuðu að því að upplýsa alla farþega á leið til Íslands að þei[m] einstakling[um] sem væru meðlimir í Falun Gong og væru á leið til Íslands til að efna til mótmæla í tengslum við heimsókn forseta Kína, yrði synjað um landgöngu af lögreglustjórum, hvar svo sem þeir kæmu að landinu, sbr. heimild í þágildandi lögum, þ.e. 10. tl. 1. mgr. 10. gr. laga um eftirlit með útlendingum nr. 45/1965, sbr. 6. gr. laga nr. 25/2000. Þar sagði að meina bæri útlendingi landgöngu ef hann teldist geta ógnað allsherjarreglu, þjóðaröryggi eða alþjóðasamskiptum ríkisins eða annars ríkis sem tekur þátt í Schengen-samstarfinu.

Þessi aðgerð, sem beitt var á grundvelli meðalhófs, hafði ekki tilætluð áhrif og hætti enginn farþegi við för til Íslands þrátt fyrir skýrar aðvaranir um að búast mætti við landgöngusynjun. Stórum hópi mótmælenda sem komu umræddan dag til landsins, þ.e. 11. júní 2002, var við komu synjað um landgöngu af sýslumanninum á Keflavíkurflugvelli, en að höfðu samráði allra framangreindra aðila ákvað sýslumaðurinn á Keflavíkurflugvelli að hleypa hópnum inn í landið síðar umrætt kvöld. Jafnframt var ákveðið að meina flutningsaðilum að flytja til landsins einstaklinga sem ætluðu að efna til mótmæla og í því skyni var umræddum listum lögreglu miðlað til Flugleiða. Að fengnu bréfi ráðuneytisins, dags. 11. júní 2002, synjuðu Flugleiðir stórum hópi einstaklinga um flutning til Íslands, með hliðsjón af því að í bréfi ráðuneytisins kom fram að viðkomandi einstaklingum yrði synjað um landgöngu við komu til landsins. Að þessari ákvörðun komu öll framangreind ráðuneyti og þau lögregluembætti sem að framan greinir, sem heyra undir dóms- og kirkjumálaráðuneytið að frátöldum sýslumanninum á Keflavíkurflugvelli sem heyrir undir utanríkisráðuneytið. Samkvæmt fylgigögnum með bréfi Persónuverndar dags. 11. mars sl. var í þeim hópi X, kanadískur ríkisborgari, sem synjað var um flutning til Íslands frá Kaupmannahöfn 12. júní sl. Hann mun síðan hafa komið til landsins degi síðar, samkvæmt því sem fram kemur í áður tilvitnuðum gögnum. Ráðuneytið hefur engar aðrar upplýsingar undir höndum um tilvitnaðan einstakling en þær sem fram koma í þeim gögnum sem fylgdu áðurnefndu bréfi Persónuverndar.

Það er mat dómsmálaráðuneytisins að skýrar heimildir hafi verið fyrir vinnslu lögreglu á þeim persónuupplýsingum sem hér um ræðir, sbr. eftir atvikum ákvæði 8. og 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. einnig ákvæði áðurnefndra laga um eftirlit með útlendingum svo og ákvæði lögreglulaga nr. 90/1996. Það er jafnframt mat ráðuneytisins að gætt hafi verið meðalhófs í allri notkun umræddra gagna, en fyrir liggur að þau hafa verið innkölluð og öllum aukaeintökum eytt. Miðlun eða frekari vinnsla á umræddum gögnum stendur ekki til og hefur aldrei staðið til.

Til frekari glöggvunar skal tekið fram að með bréfi ráðuneytisins til ráðherraráðs ESB dags. 7. júní 2002 var tilkynnt að Ísland myndi í samræmi við 2. mgr. 2. gr. Schengen sáttmálans taka upp landamæraeftirlit á innri landamærum Schengen frá þeim degi til 16. júní 2002, vegna opinberrar heimsóknar forseta Kína til landsins. Umrætt heimildarákvæði er þröngt en þar segir að þegar allsherjarregla eða þjóðaröryggi krefjist geti samningsaðili ákveðið, að höfðu samráði við aðra samningsaðila, að taka tímabundið upp landamæraeftirlit á innri landamærum Schengen í samræmi við tilefni. Umræddar aðgerðir voru einnig kynntar aðildarríkjum Schengen á fundi háttsettra embættismanna á sviði lögreglumála í Brussel sama dag. Í bréfinu og á fundinum var óskað eftir því að aðildarríkin gerðu athugasemdir við framangreinda ákvörðun, teldu þau ástæðu til. Engar athugasemdir voru gerðar á umræddum fundi eða síðar með öðrum hætti.“

Með bréfi, dags. 13. maí sl., var þess óskað af dómsmálaráðuneytinu að það sendi Persónuvernd afrit af bréfi þess til Flugleiða hf., dags. 10. júní 2002. Til þess er vísað í ofanröktu bréfi ráðuneytisins, dags. 8. maí sl., en afrit af því hefur ekki borist Persónuvernd. Sama dag var RA hrl. gefinn kostur á að koma að athugasemdum við bréf ráðuneytisins. Hann svaraði með bréfi, dags. 19. maí sl., og krafðist þess að Persónuvernd gripi „til þeirra heimilda sem lög veita stofnuninni, þar á meðal til að leita án dómsúrskurðar í húsnæði dómsmálaráðuneytis og ríkislögreglustjóra og beita þessa aðila dagsektum.“

III.
Niðurstaða

Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, byggja á því meginsjónarmiði að vernda beri rétt einstaklinga til að njóta friðhelgi um einkamálefni sín. Til að svo megi verða ber að tryggja að öll notkun persónuupplýsinga sé með sanngjörnum, málefnalegum og lögmætum hætti, upplýsinganna aflað í yfirlýstum, skýrum og málefnalegum tilgangi og þær ekki notaðar í öðrum og ósamrýmanlegum tilgangi, sbr. 7. gr. laganna. Hugtakið persónuupplýsingar er skilgreint sem „sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi“, sbr. 1. tölul. 1. mgr. 2. gr. laganna. Hugtakið skrá er skilgreint sem „sérhvert skipulagsbundið safn persónuupplýsinga þar sem finna má upplýsingar um einstaka menn“, sbr. 3. tölul. 1. mgr. sömu greinar. Samkvæmt b-lið 8. tölul. 2. gr. laga nr. 77/2000 teljast upplýsingar um lífsskoðanir fólks til viðkvæmra persónuupplýsinga.

Að mati Persónuverndar höfðu skrár um félagsmenn í Falun Gong að geyma viðkvæmar persónuupplýsingar í skilningi laga nr. 77/2000. Gerð slíkra skráa og frekari notkun þeirra getur verið lögmæt byggi hún á einhverju þeirra skilyrða sem tilgreind eru í 8. og 9. gr. laganna.

1.
Skráning lögregluyfirvalda
um félagsmenn í Falun Gong

Hlutverk lögreglu er skilgreint í 2. mgr. 1. gr. lögreglulaga nr. 90/1996. Þar segir að hlutverk hennar sé m.a. að gæta almannaöryggis og halda uppi lögum og reglu, leitast við að tryggja réttaröryggi borgaranna og vernda eignarrétt, opinbera hagsmuni og hvers konar lögmæta starfsemi. Einnig að koma í veg fyrir athafnir sem raska öryggi borgaranna og ríkisins og veita yfirvöldum vernd eða aðstoð við framkvæmd starfa sinna samkvæmt fyrirmælum laga eða venju eftir því sem þörf er á. Þá ber lögreglu að starfa í samvinnu við önnur stjórnvöld og stofnanir sem hafa með höndum verkefni sem tengjast starfssviði hennar. Þegar atburðir þessa máls áttu sér stað var lögreglustjóra, skv. 10. tölul. 1. mgr. 10. gr. þágildandi laga um eftirlit með útlendingum nr. 45/1965, sbr. 6. gr. laga nr. 25/2000, heimilt að meina útlendingi landgöngu ef hann taldi útlendinginn geta ógnað allsherjarreglu, þjóðaröryggi eða alþjóðasamskiptum ríkisins eða annars ríkis sem tekur þátt í Schengen-samstarfinu. Um miðlun upplýsinga lögreglu er m.a. fjallað í 6. gr. reglugerðar nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu. Þar segir að dreifing lögreglu á upplýsingum til annarra stofnana og einkaaðila sé henni heimil sé hún nauðsynleg til að koma í veg fyrir alvarlega og aðsteðjandi hættu á röskun á allsherjarreglu og öryggi.

Af framangreindu leiðir, eðli málsins samkvæmt, að lögregla þarf að geta viðhaft víðtæka vinnslu persónuupplýsinga til að rækja hlutverk sitt. Í tengslum við væntanlega heimsókn Kínaforseta, dagana 13.–16. júní 2002, kannaði lögregla mögulegt umfang mótmæla vegna hennar, þ. á m. hvort einhver ólögmæt háttsemi væri fyrirhuguð sem þyrfti að stemma stigu við. Telur Persónuvernd að lögreglu hafi verið heimilt að vinna með persónuupplýsingar, þ. á m. um X, fyrir heimsókn Kínaforseta að því marki sem henni bar nauðsyn til svo að hún gæti rækt hlutverk sitt, sbr. 6. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og 7. tölul. 1. mgr. 9. gr. sömu laga.

2.
Miðlun dómsmálaráðuneytisins til Flugleiða o.fl.
á upplýsingum um X sem meðlims í Falun Gong

Eins og fram kemur í bréfi dómsmálaráðuneytisins, dags. 8. maí 2003, sendi ráðuneytið Flugleiðum hf. og fleiri aðilum upplýsingar um X, o.fl. meðlimi í Falun Gong, með bréfi dags. 10. júní 2002. Í bréfinu vísar ráðuneytið m.a. til heimilda lögreglu til slíkrar miðlunar, sbr. 8. og 9. gr. laga nr. 77/2000, en í máli þessu er hins vegar til úrlausnar hvort ráðuneytið sjálft hafi haft slíka heimild.

Varðandi tengsl dómsmálaráðherra og lögreglu skal tekið fram að í 4. gr. lögreglulaga nr. 90/1996 segir að dómsmálaráðherra sé æðsti yfirmaður lögreglunnar í landinu og að ríkislögreglustjóri fari með málefni lögreglu í umboði hans. Í 9. gr. laganna er hins vegar talið upp hverjir séu handhafar lögregluvalds og er dómsmálaráðherra ekki þeirra á meðal. Að mati Persónuverndar verður ákvæði 4. gr. ekki túlkað þannig að dómsmálaráðherra hafi sömu heimild og lögregla hefur til vinnslu og miðlunar persónuupplýsinga. Verður því ekki fallist á að dómsmálaráðherra, og þar með dómsmálaráðuneytið, hafi haft heimild til að miðla til Flugleiða upplýsingum um lífs- eða stjórnmálaskoðanir X, þ.e. um aðild hans að Falun Gong, í þeim tilgangi að hindra komu hans til landsins.

Í bréfi ráðuneytisins, dags. 8. maí 2003, er gefið til kynna að það hafi miðlað umræddum persónuupplýsingum í umboði annars og til þess bærs aðila, sbr. að þar segir að þrjú ráðuneyti hafi haft „nána samvinnu um aðgerðir, þ.e. forsætis-, utanríkis- og dóms- og kirkjumálaráðuneyti, svo og stofnanir sem undir þau ráðuneyti heyra, þ.e. embætti ríkislögreglustjóra, Útlendingaeftirlitið (nú Útlendingastofnun), lögreglustjórinn í Reykjavík og lögreglustjórinn á Keflavíkurflugvelli.“ Segir að þau hafi ákveðið „að höfðu samráði við umræddar stofnanir að grípa til tiltekinna aðgerða á grundvelli lagaheimilda í þágildandi lögum um eftirlit með útlendingum, þegar ljóst [var] samkvæmt upplýsingum lögreglu hver staðan væri og að lagaskilyrði fyrir umræddum aðgerðum væru fyrir hendi.“ Einnig segir að skránum hafi eingöngu „verið miðlað frá embætti ríkislögreglustjóra til flutningsaðila og viðeigandi sendiráða, alfarið án milligöngu eða aðkomu ráðuneytisins“, en þó tekið fram að listi frá embætti ríkislögreglustjóra hafi fylgt fyrra bréfi ráðuneytisins til Flugleiða þann 10. júní 2002. Minnt skal á að Persónuvernd fór þess á leit við dómsmálaráðuneytið, með bréfi dags. 13. maí 2003, að það sendi Persónuvernd afrit af bréfi þess til Flugleiða hf., dags. 10. júní 2002, en við þeirri ósk hefur ráðuneytið ekki orðið.

Af tilefni framangreindra ummæla dómsmálaráðuneytisins skal tekið fram að Persónuvernd telur að þrátt fyrir þessi ummæli verði ekki framhjá því litið að samkvæmt bréfi ráðuneytisins, dags. 8. maí 2003, sendi það með bréfi, dags. 10. júní 2002, upplýsingar um X o.fl. félagsmenn í Falun Gong til Flugleiða og fleiri aðila. Þá ber ráðuneytið hallann af því að hafa ekki sýnt fram á að það hafi sent umrædda lista í umboði annars og til þess bærs aðila.

Vegna athugasemda í bréfi dómsmálaráðuneytisins um „að gætt hafi verið meðalhófs“, skal tekið fram að það fellur ekki innan verkahrings Persónuverndar að leggja mat á það hvort svo hafi verið. Þá fellur það ekki innan verkahrings Persónuverndar að meta hvort málefnalegar ástæður hafi búið að baki þeirri ákvörðun að beita 10. gr. þágildandi laga um eftirlit með útlendingum nr. 45/1965, sbr. 6. gr. laga nr. 25/2000, til að meina X landgöngu vegna þess að hann gæti ógnað allsherjarreglu, þjóðaröryggi eða alþjóðasamskiptum ríkisins eða annars þátttökuríkis í Schengen-samstarfinu. Þá tekur Persónuvernd ekki afstöðu til þess hvort fullnægt hafi verði skilyrðum ákvæðis 2. gr. Schengen-sáttmálans um að þátttökuríki geti tekið upp landamæraeftirlit á innri landamærum Schengen ef allsherjarregla eða þjóðaröryggi krefjast þess, enda verður ekki litið svo á að það ákvæði varði heimild til vinnslu persónuupplýsinga í skilningi laga nr. 77/2000.

Ú r s k u r ð a r o r ð:

Miðlun dómsmálaráðuneytisins á upplýsingum um X, sem meðlims í Falun Gong, til Flugleiða hf. og sendiráða Íslands í Bandaríkjunum, Noregi, Danmörku, Bretlandi og Frakklandi, í því skyni að hindra komu hans til landsins, var óheimil.

4.9. Rafræn vöktun með notkun myndavéla á lokuðum skrifstofum í Búnaðarbankanum

Hinn 8. ágúst 2003 kvað Persónuvernd upp svofelldan úrskurð í máli nr. 2002/579:

I.
Málavextir

Með bréfi, dags. 29. nóvember 2002, óskaði EÞS, hdl., f.h. NN, eftir því að Persónuvernd kannaði hvort framkvæmd rafrænnar vöktunar hjá Búnaðarbanka Íslands hafi verið í samræmi við ákvæði laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum. Tilefnið var að kvöldið 25. september og aðfaranótt 26. september 2002 höfðu, með notkun viðbótarmyndavéla sem settar höfðu verið upp á tilteknum skrifstofum í Búnaðarbankanum, náðst myndir af NN, sem þá starfaði þar sem vaktmaður. Myndirnar leiddu til þess að á hann féll grunur um refsivert brot og honum var sagt upp störfum. Var verknaðurinn kærður til lögreglu.

Að fengnu framangreindu erindi óskaði Persónuvernd með bréfi, dags. 17. desember 2002, skýringa Búnaðarbankans. Svarbréf Búnaðarbanka Íslands er dags. 7. febrúar 2003. Því fylgdi m.a. eintak af verklagsreglum bankans vegna öryggismyndavélakerfa, afrit úr öryggishandbók útgefinni af Öryggisnefnd banka og sparisjóða, afrit af tölvupósti frá Verkfræðistofu SI og ljósrit úr DV frá 1. október 2002. Fram kom að verkfræðistofan hannaði það öryggismyndavélakerfi sem Búnaðarbankinn notar og var sett upp árið 2001. Með bréfi, dags. 18. febrúar 2003, var EÞS, hdl., kynnt svarbréf Búnaðarbanka Íslands og ofangreind fylgigögn og honum gefinn kostur á að tjá sig um þær skýringar sem þar koma fram og eftir atvikum koma að frekari upplýsingum. Hann svaraði með bréfi, dags. 10. mars 2003. Með bréfi, dags. 16. maí 2003, óskaði Persónuvernd nánari skýringa frá Búnaðarbankanum um hvernig uppfyllt hafi verið fræðsluskylda gagnvart starfsmönnum, sbr. 20. gr. laga nr. 77/2000. Persónuvernd sendi afrit þess bréfs til EÞS, hdl. Svarbréf Búnaðarbankans er dags. 20. júní 2003. Persónuvernd sendi það EÞS, hdl., til kynningar með bréfi dags. 1. júlí s.á. og gaf honum kost á að tjá sig um það og eftir atvikum koma að frekari upplýsingum. Hann svaraði með bréfi dags. 7. júlí. Með bréfi, dags. 9. júlí sl., var Búnaðarbanka Íslands gefinn kostur á að tjá sig um það og svaraði bankinn með bréfi dags. 18. júlí 2003.

II.
Nánar um bréfaskipti
og sjónarmið málsaðila

Í bréfum sínum til Persónuverndar, dags. 29. nóvember 2002 og 10. mars 2003, vísar EÞS, hdl., til þess að vaktmaðurinn telji að ekki hafi verið rétt staðið að framkvæmd rafrænnar vöktunar í Búnaðarbankanum. Í 24. gr. laga nr. 77/2000 sé áskilið að þegar rafræn vöktun fari fram á vinnustað eða á almannafæri skuli með merki eða á annan áberandi hátt gera glögglega viðvart um vöktunina og hver sé ábyrgðaraðili hennar. Samkvæmt upplýsingum vaktmannsins hafi ekki verið staðið rétt að þessu hjá Búnaðarbankanum. Er því mótmælt að einhvers konar neyðarréttur réttlæti uppsetningu aukaöryggismyndavéla innan bankans. Breyti engu þótt þær hafi verið inni á einkaskrifstofum, því starfsvettvangur vaktmannsins hafi einnig verið þar. Hafi hann því átt skýlausa kröfu til að vera látinn vita af vélunum en það hafi ekki verið gert. Einhvers konar neyðarréttur geti ekki réttlætt að myndavélum sé komið upp utan ramma laga sem ætlað sé að vernda rétt einstaklinga til friðhelgi, en ekki óskilgreinda hagsmuni bankastofnana. Þá er því mótmælt að ummæli vaktmannsins, sem hann lét hafa eftir sér í lögregluskýrslu eftir að hafa vakað í 36 klst., geti orðið grundvöllur þess að aðili sem brýtur gegn lögum nr. 77/2000 komist upp með það. Önnur sjónarmið megi ekki komast að í málinu, enda ekki lagaskilyrði til þess og ljóst, af svari Búnaðarbanka Íslands, dags 7. febrúar sl., að grunur vaktmannsins um að bankinn hafi gerst brotlegur við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, hafi verið á rökum reistur.

Geta má þess að hinn 21. október 2002 hafði vaktmaðurinn símleiðis samband við Persónuvernd og ræddi almennt um gildandi reglur um myndavélaeftirlit. Sagði hann að starfsmenn bankans vissu almennt ekki að þar færi fram rafræn vöktun með eftirlitsmyndavélum, en að hins vegar hefði hann sjálfur vitað af vöktuninni og einnig því að grunur léki á að hann læki upplýsingum til Norðurljósa. Sagðist hann þess vegna hafa „sett á svið leikþátt“ þegar hann var á næturvakt, m.a. hafi hann tekið skjöl og ljósritað þau (eða þóst ljósrita þau). Í framhaldi af þessu hafi honum verið sagt upp störfum að ósekju.

Í bréfi Búnaðarbanka Íslands, dags. 7. febrúar 2003, segir að sú rafræna vöktun sem þar fari fram með notkun öryggismyndavéla eigi sér annars vegar þann tilgang að gefa aukna yfirsýn yfir húsnæðið með áhorfi á skjái og hins vegar að safna upplýsingum sem nota megi vakni grunur um afbrot. Strangar reglur gildi um skoðun á vistuðu myndefni en það eyðist sjálfkrafa eftir 20–30 daga. Í bankanum séu varðveittar persónuupplýsingar um fjárhag einstaklinga og fyrirtækja sem vernda beri samkvæmt lögum um fjármálafyrirtæki, lögum um persónuvernd og reglum Persónuverndar nr. 299/2001. Segi þar í 6. gr. að í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum óheimils aðgangs, skuli ábyrgðaraðili grípa til þeirra öryggisráðstafana sem við eigi hverju sinni, t.d. með því að stýra aðgangi að húsnæði með úthlutun lykla, aðgangskorta o.þ.h. og með því að viðhafa öryggisvörslu, t.d. með öryggisvörðum, viðvörunarkerfum eða rafrænni vöktun. Öryggismyndavélakerfi bankans sé m.a. liður í framangreindu. Þá segir:

„Vegna ríkra viðskiptahagsmuna bankans og í því skyni að verja einn af hornsteinum hans, bankaleyndina, var viðbótarmyndavélum komið fyrir í ágúst sl. á lokuðum skrifstofum þaðan sem talið var að trúnaðarupplýsingar hefðu horfið. Myndavélunum var beint að skrifborðum viðkomandi starfsmanna þannig að allrar hreyfingar á og við skrifborðin voru tekin upp utan venjulegs vinnutíma. Eftir handtöku vaktmannsins í september voru umræddar viðbótarmyndavélar […] teknar niður.

Afrit af upptökum nokkurra öryggismyndavéla af tilteknum ferðum umrædds fyrrverandi vaktmanns bankans á kvöldvakt þann 25. september og næturvakt hans þann 26. september hafa verið afhent Lögreglunni í Reykjavík að hennar beiðni. Innri endurskoðandi bankans varðveitir jafnframt afrit þessara upptaka með tryggum hætti meðan rannsókn umrædds máls stendur yfir.“

Varðandi vitneskju vaktmannsins um umræddar myndavélar er m.a. vísað til frásagnar í dagblaðinu DV þann 1. október 2002 þar sem fram komi að honum hafi verið kunnugt um umræddar myndavélar og að hann hafi „sett upp leikrit“ þegar hann stundaði, að mati bankans, annarlega og saknæma iðju. Þá segir að við alla innganga í byggingar bankans séu skýrar merkingar um að vöktun með öryggismyndavélum eigi sér stað.

Með bréfi, dags. 16. maí 2003, óskaði Persónuvernd nánari skýringa frá Búnaðarbankanum um hvernig uppfyllt hafi verið fræðsluskylda gagnvart starfsmönnum, sbr. 20. gr. laga 77/2000. Í svarbréfi Búnaðarbankans, dags. 20. júní sl., segir m.a.:

„Umrædd rafræn vöktun var framkvæmd með þeim hætti að komið var fyrir myndavélum inná skrifstofum bankastjóra og nokkurra framkvæmdastjóra Kaupþings Búnaðarbanka hf. þar sem talið var að trúnaðarupplýsingar hefðu horfið. Myndavélunum var m.a. komið fyrir að tillögu lögreglumanns Lögreglunnar í Reykjavík í samtali við þáverandi aðallögfræðing bankans en bankinn hafði grun um að einhver væri að afhenda trúnaðargögn úr bankanum og brjóta þar með starfsreglur bankans um vörslu bankagagna og 43. gr. laga nr. 113/1996, um viðskiptabanka og sparisjóði (nú 58. gr. laga nr. 161/2002, um fjármálafyrirtæki).

Myndavélunum var eingöngu beint að skrifborðum bankastjóra og framkvæmdastjóra og tóku því ekki myndir af öðrum en þeim sem störfuðu við skrifborðin. Takmarkaður hópur hafði heimild og erindi að því svæði sem var rafrænt vaktað og höfðu allir þeir sem störfuðu á hinu vaktaða svæði vitneskju um hina rafrænu vöktun. Myndavélarnar voru aðeins í gangi utan hefðbundins opnunartíma bankans og átti því enginn erindi að hinu vaktaða svæði nema í ólögmætum tilgangi.

…
Í ljósi tilgangs vöktunarinnar var nauðsynlegt að tilkynna eingöngu þeim starfsmönnum sem heimilt var að starfa á því takmarkaða svæði sem var rafrænt vaktað um vöktunina, ella hefði tilgangi rannsóknarinnar ekki verið náð. Tilkynningin var því gerð munnlega án frekari auglýsingar.“

Afrit framangreinds bréfs var sent EÞS, hdl., til kynningar með bréfi, dags. 1. júlí s.á., og honum gefinn kostur á að tjá sig og eftir atvikum koma að frekari upplýsingum. Hann svaraði með bréfi dags. 7. júlí. Þar segir m.a.:

„Í bréfi bankans kemur fram, að myndavélunum hafi einungis verið beint að skrifborðum bankastjóra og framkvæmdastjóra og því hafi þær ekki tekið myndir af öðrum en þeim sem við þau störfuðu. Við þessa fullyrðingu hefur umbjóðandi minn það við að athuga, að í starfsskyldum hans fólst að ganga um allt hið vaktaða svæði, þ.m.t. upp að skrifborðum viðkomandi aðila innan bankans. Ljóst er því að verið var að taka myndir af honum við skyldustörf sín, án þess að hann hefði vitneskju um það. Slíkt er í beinni andstöðu við ákvæði laga nr. 77/2000. Þeirri fullyrðingu er því mótmælt sem rangri að allir sem störfuðu á hinu vaktaða svæði hafi haft vitneskju um hina rafrænu vöktun. Umbjóðandi minn var einn af þeim sem á grundvelli starfs síns vann á hinu vaktaða svæði, en enginn upplýsti hann um hinar földu myndavélar. Af bréfi bankans má ráða að umbjóðandi minn hafi verið á svæðinu í ólögmætum tilgangi. Því er mótmælt sem alröngu, enda hafði hann starfsskyldur til að fara inn á svæðið. Ákvæðum 20. gr. laga nr. 77/2000 var því í engu fullnægt, gagnvart umbjóðanda mínum. Með vísan til þessa er því sú ályktun bankans röng, að ekki hafi borið að tilkynna umbjóðanda mínum um vöktunina, þar sem hans starfssvæði var m.a. á svæði myndavélanna. Hér sem hingað til virðist tilgangur bankans hafa helgað meðal hans, en slíkt er í skýrri andstöðu við ákvæði laga nr. 77/2000.“

Með bréfi, dags. 9. júlí 2003 gaf Persónuvernd Búnaðarbanka Íslands kost á að tjá sig um framangreint og afmarka frekar starfsskyldur vaktmanns og vinnusvæði. Var óskað starfslýsingar, ef til væri. Bankinn svaraði með bréfi, dags. 18. júlí 2003. Þar segir m.a. að ekki liggi fyrir starfslýsing fyrir vaktmenn en að Verkfræðistofa SI hafi unnið handbók vaktmanna fyrir nokkrum árum. Þar segi að vaktmenn skuli fara í svokallað frágangseftirlit, þar sem vandlega skuli fara yfir öll tæki og búnað og athuga að slökkt sé á því sem eigi að vera slökkt á. Öll herbergi skuli yfirfarin, þ.e. hvort gluggar séu lokaðir, eldtraustar geymslur og lausir skápar lokaðir og millihurðum lokað. Þá segir:

„Í vinnuhandbók vaktmanna er ekkert kveðið á um skrifborð starfsmanna enda gildir sú meginregla hjá vaktmönnum sem og öðrum starfsmönnum bankans að óheimilt sé með öllu að eiga við skrifborð annarra starfsmanna en þeirra eigin, enda samræmist það ekki meginreglu bankans um meðferð trúnaðarskjala, þ.e. að starfsmönnum er óheimilt að afla sér eða skýra óviðkomandi aðilum frá málefnum bankans, viðskiptum einstakra aðila, stofnana eða fyrirtækja við hann, svo og skuldum þeirra eða eignum.

Eins og fram kemur í bréfi EÞS, hdl. til Persónuverndar, dags. 7. júlí 2003, var Kaupþing Búnaðarbanki hf. að kljást við innanhúsvandamál, þ.e. að grunur lék á því að starfsmaður bankans sem hafði aðgang að öllum svæðum bankans væri að fara inn á svæði sem honum var óheimilt að fara, þ.e. við skrifborð framkvæmdastjóra og bankastjóra og afla gagna með ólögmætum hætti. Eins og fram kom í bréfi Kaupþings Búnaðarbanka hf. dags. 2. júní sl., þá var komið fyrir myndavélum á skrifstofum framkvæmdastjóra og bankastjóra sem vöktuðu rafrænt skrifborð og þröngt og afmarkað svæði bakvið þau. Í samræmi við framangreint hlutverk vaktmanns í þeim herbergjum sem um ræðir áttu hvorki vaktmenn né aðrir starfsmenn en þeir sem höfðu vitneskju um hina rafrænu vöktun erindi að hinu vaktaða svæði nema í ólögmætum tilgangi.

Í ljósi framangreinds mótmælir Kaupþing Búnaðarbanki hf. rangri fullyrðingu EÞS hdl. þess efnis að vaktmönnum beri að ganga upp að skrifborðum og að bankinn hafi brotið gegn ákvæðum laga nr. 77/2000, um persónuvernd.“

III.
Forsendur og niðurstaða

Fyrir liggur að Búnaðarbankinn kom myndavélum fyrir á lokuðum skrifstofum, þaðan sem talið var að trúnaðarupplýsingar hefðu horfið, og aflaði þannig mynda af ferðum vaktmannsins þegar hann var á kvöldvakt þann 25. september og næturvakt þann 26. september 2002, en myndirnar voru taldar bera með sér upplýsingar um refsiverðan verknað.

Sjónvarpsvöktun er ein tegund rafrænnar vöktunar. Með rafrænni vöktun er átt við vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, sbr. 6. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Vinnsla persónuupplýsinga er skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 1. mgr. sömu greinar. Vinnsla myndefnis sem til verður við rafræna vöktun telst vera vinnsla persónuupplýsinga í þessum skilningi og fer um hana samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Geta má þess að með lögum nr. 46/2003, sem samþykkt voru á Alþingi þann 14. mars 2003, var að nokkru breytt ákvæðum laganna um slíka vöktun en í úrskurði þessum er byggt á lögunum eins og þau voru á þeim tíma þegar umræddur atburður átti sér stað.

1.
Lögmæti vöktunarinnar

Samkvæmt 2. mgr. 8. gr. laga nr. 77/2000, eins og hún var á þeim tíma er atvik máls þessa áttu sér stað, var rafræn vöktun staðar þar sem takmarkaður hópur fólks færi um að jafnaði heimil væri hennar sérstök þörf vegna eðlis þeirrar starfsemi sem þar færi fram. Öll myndavélavöktun þarf að uppfylla 24. gr. laganna um að merkja skuli eða gera á annan áberandi hátt glögglega viðvart um vöktunina og hver sé ábyrgðaraðili hennar. Ekki er um það deilt að við alla innganga Búnaðarbankans var að finna slíkar viðvaranir. Ákvæði 24. gr. áskilur hins vegar ekki að gert sé viðvart um staðsetningu eða fjölda myndavéla. Verður því ekki fullyrt að Búnaðarbankinn hafi brotið gegn 24. gr. þótt ekki hafi verið sett upp sérstök merki í öllum vistarverum bankans. Af frumvarpsathugasemdum með þessu ákvæði verður hins vegar ráðið að ákvæðið á einkum við þegar engin bein tengsl verða milli ábyrgðaraðila og hins skráða. Þegar slíkum tengslum er hins vegar til að dreifa, og um er ræða vöktun sem telst vera vinnsla persónuupplýsinga, þarf einnig að uppfylla hina almennu reglu 20. gr. um einstaklingsbundnar viðvaranir. Tilgangur slíkra viðvarana er m.a. að gefa hinum skráða kost á að gæta hagsmuna sinna. Ekki er ágreiningur um að þeim viðbótarmyndavélum sem um er deilt í máli þessu var beint að tilteknum skrifborðum í bankanum. Þá er óumdeilt að þeim sem unnu við þessi borð var munnlega gerð grein fyrir vöktuninni og tilgangi hennar. Ákvæði laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, áskilja ekki að sérstakt form sé viðhaft við slíka fræðslu. Verður því að telja að um lögmæta vöktun hafi verið að ræða, að því er varðar framkvæmdastjóra og bankastjóra, þ.e. þá sem unnu við hin vöktuðu skrifborð.

Hins vegar er ljóst að eðli málsins samkvæmt mátti ætla að aðrir starfsmenn en umræddir framkvæmdastjórar og bankastjórar færu um hið vaktaða svæði, þ. á m. ræstingafólk og vaktmenn. Af gögnum málsins verður hins vegar ekki ráðið að þessir starfsmenn hafi verið fræddir um umrædda uppsetningu nýrra véla á lokuðum skrifstofum. Er þá til skoðunar hvort gagnvart þeim hafi verið um leynda vöktun að ræða. Varðandi vöktun með leynd skal minnt á þá meginreglu íslenskrar réttarskipunar að það er hlutverk lögreglu að vinna að uppljóstran brota, stöðva ólögmæta háttsemi og fylgja málum eftir í samræmi við ákvæði laga um meðferð opinberra mála eða eftir öðrum lögum, sbr. 2. tl. 1. gr. lögreglulaga nr. 90/1996. Samkvæmt 1. mgr. 66. gr. laga um meðferð opinberra mála nr. 19/1991 (oml.) fer lögreglan með rannsókn opinberra mála nema öðruvísi sé mælt fyrir í öðrum lögum. Í 86. gr. oml. er mælt fyrir um töku mynda í þágu rannsóknar og er hún, skv. 87. gr. sömu laga, háð leyfi dómara nema um sé að ræða töku mynda á almannafæri. Lögreglu kann, að skýrum skilyrðum uppfylltum, að vera heimil leynileg myndataka í þágu rannsóknar, en hvergi eru í lögum sambærilegar heimildir fyrir aðra til leynilegrar myndatöku.

Þótt í bréfi Búnaðarbankans, dags. 20. júní sl., segi að myndavélunum hafi verið komið fyrir að tillögu lögreglunnar í Reykjavík stendur eftir það álitaefni hvort umrædd vöktun hafi samrýmst ákvæðum oml. Samkvæmt 1. mgr. 37. gr. laga nr. 77/2000 er hlutverk Persónuverndar að annast eftirlit með framkvæmd þeirra laga og reglna sem settar hafa verið samkvæmt þeim. Eftirlit með framkvæmd laga um meðferð opinberra mála fellur utan verkahrings Persónuverndar og tekur hún þar af leiðandi ekki afstöðu til þess álitaefnis.

Eins og áður segir mátti bankinn, eðli málsins samkvæmt, ætla að aðrir starfsmenn en umræddir framkvæmdastjórar og bankastjórar færu um hið vaktaða svæði, þ. á m. ræstingafólk og vaktfólk. Ekki liggur fyrir að gagnvart þessu fólki hafi bankinn uppfyllt fræðsluskyldu sína samkvæmt 1. mgr. 20. gr. laga nr. 77/2000. Í þessu máli er hins vegar aðeins til úrlausnar mál NN, og er tilefni þess það þegar tilteknar myndavélar, sem settar höfðu verið upp á sérstökum skrifstofum í Búnaðarbankanum náðu, kvöldið 25. september og aðfaranótt 26. september 2002, myndum af honum sem taldar voru bera með sér upplýsingar um refsiverðan verknað. Í lögregluskýrslu sem tekin var af vaktmanninum þann, 26. september 2002, segir eftirfarandi: „Mætti taldi líkur á því að þetta skjal lægi þarna á borði Á bankastjóra á 4. hæð líklega sem gildra eða prófsteinn hvort hann tæki skjalið ef settar hefðu verið upp fleiri öryggismyndavélar en búið var að tilkynna mætta að það væri í bígerð. Mætti segist sjálfur hafa viljað prófa hvort öryggismyndavélar hefðu verið settar upp þarna í nágrenninu eða inni á skrifstofu bankastjóra.“ Þessi skýring á málsatvikum er síðan áréttuð í símtali vaktmannsins við starfsmann Persónuverndar hinn 21. október 2002. Lýsing vaktmannsins á atvikum máls hefur hvorki verið dregin til baka né véfengd. Hins vegar segir í bréfi lögmanns hans, dags 10 mars 2003, að ummæli umbjóðanda hans í lögregluskýrslu geti ekki orðið grundvöllur þess að aðili sem brýtur gegn lögum nr. 77/2000 komist upp með það. Það er aftur á móti mat Persónuverndar að umrædd lýsing á málsatvikum hafi þýðingu varðandi úrlausn málsins. Verður þannig lagt til grundvallar að vaktmaðurinn hafi, í samræmi við fyrrgreind málsatvik, haft eða mátt hafa vitneskju um staðsetningu myndavélanna í umræddum herbergjum og um þá rafrænu vöktun sem viðhöfð var með þeim. Kemur því til skoðunar ákvæði 2. mgr. 20. gr. þar sem segir að ákvæði 1. mgr. um fræðsluskyldu eigi ekki við hafi hinn skráði þegar fengið vitneskju um þau atriði sem fræða skal um. Með vísun til þess verður umrædd vöktun ekki talin ólögmæt á þeirri forsendu að bankinn hafi ekki veitt vaktmanninum fræðslu í samræmi við 1. mgr. 20. gr. laga nr. 77/2000.

Telja má uppsetningu umræddra eftirlitsmyndavéla hafa verið eðlilegan lið í að uppfylla ákvæði 11. og 12. gr. laga nr. 77/2000 og reglur 299/2001 um öryggi persónuupplýsinga og hafi þannig haft málefnalegan og lögmætan tilgang í skilningi 1. og 2. tl. 7. gr. laga nr. 77/2000. Samkvæmt 2. mgr. 8. gr. laganna, eins og þau voru á þessum tíma, var heimil rafræn vöktun staðar þar sem takmarkaður hópur fólks færi að jafnaði um ef hennar væri sérstök þörf vegna eðlis þeirrar starfsemi sem þar færi fram, enda væri skilyrðum laga nr. 77/2000 um fræðsluskyldu fullnægt, sbr. 24. gr. og eftir atvikum 20. gr. Persónuvernd telur að þessum skilyrðum hafi verið fullnægt eins og hér stóð á. Óumdeilt er að við alla innganga Búnaðarbankans voru viðvaranir um að hann væri vaktaður, en ákvæðið áskilur ekki að gert sé viðvart um staðsetningu eða fjölda myndavéla. Þeir sem unnu við þau skrifborð sem viðbótarmyndavélum var beint að, framkvæmdastjórar og bankastjórar, höfðu fengið fræðslu í samræmi við ákvæði 1. mgr. 20. gr. laganna. Þá er það mat Persónuverndar að vaktmaðurinn hafi haft eða mátt hafa vitneskju um tilvist umræddra véla og því hafi fræðsluskylda samkvæmt 1. mgr. 20. gr. laganna ekki tekið til hans. Eins og máli þessu er háttað og með vísun til framangreinds telur Persónuvernd, að ekki verði fullyrt að sú vöktun sem mál þetta varðar – þ.e. vöktun sem átti sér stað með notkun viðbótarmyndavéla sem settar höfðu verið upp á tilteknum skrifstofum í Búnaðarbankanum og náðu, kvöldið 25. september og aðfaranótt 26. september 2002, myndum af NN, sem þá starfaði þar sem vaktmaður – hafi farið í bága við ákvæði laga nr. 77/2000.

2.
Lögmæti vinnslunnar

Eins og áður segir telst vinnsla myndefnis sem til verður við rafræna vöktun vera vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Svo að vinnsla persónuupplýsinga sé heimil verður hún að fullnægja einhverju af skilyrðum 8. og/eða 9. gr. þeirra laga. Vinnsla almennra upplýsinga þarf að uppfylla ákvæði 8. gr. en vinnsla viðkvæmra upplýsinga þarf einnig að uppfylla eitthvert af skilyrðum 9. gr. Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað teljast vera viðkvæmar persónuupplýsingar, sbr. b. lið 8. tl. 2. gr. laganna. Myndefni sem verður til í eftirlitsmyndavélum af refsiverðum verknaði manns telst því til viðkvæmra persónuupplýsinga samkvæmt lögum nr. 77/2000. Af því leiðir að sú vinnsla sem hér um ræðir telst ekki lögmæt nema hún hafi bæði uppfyllt eitthvert af skilyrðum 8. gr. og 9. gr. laga nr. 77/2000.

Samkvæmt 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Í athugasemdum við 8. gr. frumvarps þess, er varð að lögum nr. 77/2000, segir svo um þetta ákvæði: „Í 3. tölul. kemur fram að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Þetta ákvæði byggist á c-lið 7. gr. tilskipunar ESB. Með lagaskyldu er átt við hvers konar skyldu sem leiðir af lagasetningu, m.a. skyldur samkvæmt reglugerðum eða öðrum stjórnvaldsfyrirmælum sem eiga sér stoð í lögum“.

Samkvæmt 43. gr. laga nr. 113/1996, um viðskiptabanka og sparisjóði, sem í gildi voru þegar atburðir máls þessa áttu sér stað, voru allir starfsmenn viðskiptabanka og sparisjóða bundnir þagnarskyldu um allt það er varðaði hagi viðskiptamanna hlutaðeigandi stofnunar og önnur þau atriði sem þeir fengu vitneskju um í starfi sínu og leynt áttu að fara samkv. lögum eða eðli máls, sbr. nú 58. gr. laga nr. 161/2002, um fjármálafyrirtæki. Með vísun til þessarar skyldu telur Persónuvernd framangreindu skilyrði 3. tl. 8. gr. vera fullnægt.

Samkvæmt 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Í athugasemdum við 9. gr. frumvarps þess er varð að lögum nr. 77/2000 segir m.a. um þetta ákvæði: „Ákvæðið byggist á e-lið, i.f., 8. gr. tilskipunar ESB. Vinnuveitanda getur t.d. verið nauðsynlegt að vinna upplýsingar um heilsufar starfsmanns til að geta sýnt fram á lögmætar forsendur fyrir uppsögn. Það er ekki skilyrði að málið verði lagt fyrir dómstóla heldur nægir að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum. Vinnsla viðkvæmra persónuupplýsinga í þessum tilgangi telst hins vegar því aðeins vera lögleg að krafan verði hvorki afmörkuð né staðreynd með öðrum hætti.“

Fyrir liggur í máli þessu að með umræddri vinnslu náðust myndir sem leiddu til þess að vaktmanninum var sagt upp störfum. Er ljóst að hefði komið til málareksturs vegna meintrar ólögmætrar uppsagnar hefði bankanum, án slíkra gagna, getað reynst torvelt að sanna brottrekstrarsök. Í ljósi framangreindrar atburðarásar, þ. á m. þess hvernig bankinn brást við gagnvart lögreglu, og þess hvernig hér stóð á að öðru leyti, telst vinnslan hafa átt sér stoð í 7. tölul. 1. mgr. 9. gr.

Með vísun til framangreinds telur Persónuvernd að um lögmæta vinnslu í skilningi laga nr. 77/2000 hafi verið að ræða, enda hafi hún uppfyllt skilyrði 7. gr. laganna. Samkvæmt því ákvæði má vinnsla persónuupplýsinga aldrei verða meiri að umfangi en nauðsyn krefur hverju sinni. Verði tilgreindu markmiði náð með beitingu annarra viðurhlutaminni ráðstafana, skal þeim beitt, sbr. 3. tölul. 1. mgr. 7. gr. laganna. Ljóst er að taka mynda af fólki er í eðli sínu afar viðkvæms eðlis og getur falið í sér mikla ógn við friðhelgi einkalífs þess. Við mat á því hvort vinnsla mynda af manni sem bera með sér viðkvæmar persónuupplýsingar sé heimil samkvæmt lögum nr. 77/2000, vegast á annars vegar sjónarmiðið um friðhelgi einkalífs og hins vegar hagsmunir ábyrgðaraðila, hér Búnaðarbankans og viðskiptavina hans, af því að vinnslan fari fram. Að mati Persónuverndar fór notkun eftirlitsmyndavéla, eins og hér stóð á, ekki í bága við framangreint ákvæði. Þá er það skoðun Persónuverndar að vinnslan hafi átt sér málefnalegan tilgang í skilningi 1. og 2. tl. 7. gr. pul., og, með vísun til þess sem fram hefur komið um hvernig bankinn eyðir myndefni, séu uppfyllt skilyrði 3., 4. og 5. tl. sömu greinar.

Með vísun til framangreinds telur Persónuvernd að umrædd vinnsla, eins og henni er lýst í gögnum málsins, hafi ekki farið í bága við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Úrskurðarorð

Rafræn vöktun með notkun myndavéla á lokuðum skrifstofum í Búnaðarbankanum, og eftirfarandi vinnsla þeirra upplýsinga sem þannig var aflað um NN, með þeim hætti sem greinir í máli þessu, fór ekki í bága við ákvæði laga nr. 77/2000.

4.10. Rafræn vöktun á dvalarheimilinu Hrafnistu

Hinn 2. september 2003, kvað Persónuvernd upp svofelldan úrskurð í máli nr. 2003/69:

I.
Úrlausnarefni
Atvik máls
1.

Með bréfi, dags. 23. janúar 2003, óskaði KÓK, lögmaður Eflingar-stéttarfélags, eftir því að Persónuvernd kannaði hvort framkvæmd rafrænnar vöktunar á dvalarheimilinu Hrafnistu í Reykjavík, og vinnsla viðkvæmra persónuupplýsinga í tengslum við hana, hafi samrýmst ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum [pul.]. Segir að tilefnið sé að til félagsins hafi leitað NN, starfsmaður Hrafnistu, og skýrt svo frá að hún hafi, þann 22. janúar 2003, verið tekin til yfirheyrslu af starfsmönnum Metons hf. vegna gruns um refsiverðan verknað. Þann 23. janúar 2003 móttók Persónuvernd tilkynningu um vinnsluna, sbr. 31. gr. pul.

Með bréfi, dags. 19. febrúar 2003 var erindið kynnt S, forstjóra Hrafnistu, og skýringa óskað. Svarbréf lögmanns Hrafnistu er dags. 21. mars 2003. Því fylgdi eintak af samningi Hrafnistu og Metons ehf. frá 22. janúar 2003 um öryggisþjónustu. Einnig fylgdi greinargerð, dags. 27. febrúar 2003, frá starfsmönnum Metons ehf. um samskipti þeirra og NN. Með bréfi dags. 29. apríl sl. var Eflingu-stéttarfélagi gefinn kostur á að tjá sig um efni ofangreindra gagna. Er svarbréf lögmanns félagsins dags. 4. júní 2003. Með bréfi, dags. 17. júlí sl., óskaði Persónuvernd nánari upplýsinga um það hvaða fræðslu starfsmenn fengu áður en umrædd vöktun hófst og eintaks af tilgreindu fréttabréfi Hrafnistu til starfsmanna þar sem sagt var að vöktunin hefði verið kynnt. Eintak fréttabréfsins barst Persónuvernd með bréfi lögmanns Hrafnistu, dags. 7. ágúst sl. Því fylgdi jafnframt afrit af fundargerð framkvæmdastjórnarfundar frá 16. ágúst 2002 þar sem bókuð er ákvörðun um uppsetningu eftirlitsmyndavélakerfis.

2.

Samkvæmt fyrirliggjandi gögnum eru atvik máls þessa þau að haustið 2002 létu forsvarsmenn Hrafnistu í Reykjavík setja upp eftirlitsmyndavélar í húsakynnum dvalarheimilisins til að koma í veg fyrir og upplýsa um þjófnaði eða önnur afbrot; en fram kom í bréfi lögmanns Hrafnistu, dags. 21. mars sl., að nokkuð hefði borið á því að verðmæti hyrfu frá heimilismönnum. Er eftirlitsmyndavélunum lýst svo að þær séu af stafrænni gerð og taki upp myndefni á tölvudisk. Myndefni eyðist sjálfkrafa eftir 30 daga, þegar tekið sé yfir eldri upptökur. Ef upp komi atvik sem talið sé nauðsynlegt að skoða nánar sé hægt að taka afrit af því á geisladisk, en Hrafnista hafi sjálf ekki haft nauðsynlegan búnað til slíks. Eftir uppsetningu eftirlitsmyndavélanna hafi engin tilvik komið upp sem hafi gefið tilefni til afritunar fyrr en atvik máls þessa áttu sér stað. Það var þegar einn heimilismaður á Hrafnistu saknaði verðmæta úr herbergi sínu í tvígang, þann 6. janúar 2003 og 15. janúar 2003. Til að skoða upptökur úr þeirri myndavél sem staðsett var á gangi þessa heimilismanns var haft samband við öryggisfyrirtækið Meton ehf. Þann 22. janúar gerði Hrafnista síðan skriflegan samning við fyrirtækið, en í þeim samningi segir m.a. að verktaki [þ.e. Meton ehf.] taki að sér öryggisráðgjöf og vinnu sem snúi að því að fara yfir og taka efni eða gögn út úr eftirlitsmyndavélakerfi verkkaupa [þ.e. Hrafnistu]. Þá skuli Meton sjá um að útbúa og leggja fram kærur til lögreglu fyrir hönd Hrafnistu komi upp slík tilvik og að verkkaupi heimili, fyrir sitt leyti, að verktaki ræði við starfsfólk og/eða heimilisfólk um málefni sem tengjast kunna störfum verktaka.

Þann 22. janúar 2003 bað deildarstjóri NN, starfsmanns á Hrafnistu, hana um að ræða við tvo menn frá Meton ehf. vegna framangreindra atvika Er þessu lýst svo í bréfi lögmanns Eflingar-stéttarfélags, dags. 23. janúar 2003:

„Voru þar á ferðinni tveir menn frá fyrirtækinu Meton ehf., Bæjarlind 2, Kópavogi, en fyrirtækið mun gefa sig út fyrir að starfa að forvörnum, rannsóknum og öryggisráðgjöf. Var starfsmaðurinn beðinn um að fylgja þeim og var ekið að starfsstöð Meton ehf. í Kópavogi. Þegar þangað var komið kveður starfsmaðurinn mennina hafa strax vænt hana um að hafa stolið peningum frá vistmanni á Hrafnistu og að þeir hafi haft í frammi ýmsar hótanir. Best væri fyrir hana að viðurkenna strax þjófnaðinn til þess að gera hlutina ekki verri, þar sem þeir vissu um sekt hennar. Kvað hún yfirheyrsluna hafa staðið í um klukkustund, henni hafi verið neitað um að fá að hringja í lögmann, en að lokum hafi hún rokið á dyr. Annar mannanna hafi komið á eftir henni út og hafi hún krafist þess að vera ekið beint á Hrafnistu. Á leiðinni hafi sá haldið áfram að þrýsta á hana um að viðurkenna þjófnaðinn og m.a. keyrt mun lengri leið að Hrafnistu en eðlilegt hafi verið. Starfsmanninum var mjög brugðið við þessa meðferð og leitaði til Eflingar-stéttarfélags í kjölfar atviksins.

Fulltrúar Eflingar-stéttarfélags ræddu við starfsmanninn og umræddan deildarstjóra á fundi í dag. Á fundinum staðfesti starfsmaðurinn ofangreinda frásögn […]. Upplýsti deildarstjórinn að það væri rétt að hún hafi beðið starfsmanninn um að ræða við nefnda menn frá Meton ehf. og að starfsmaðurinn hafi farið á brott með þeim. Tilefnið hafi verið það að vistmaður hafi kært hvarf á peningum og við skoðun á myndefni hafi þótt ástæða til að ræða við starfsmanninn. Kvaðst deildarstjórinn ekki vita hvað hafi komið fram í „viðtalinu“. Hún hafi sjálf ekki séð myndefnið, enda hefðu einungis starfsmenn Meton ehf. aðgang að því.“

Í bréfi lögmanns Hrafnistu, dags. 21. mars sl., segir hins vegar að NN hafi aðspurð samþykkt að ræða við starfsmenn Metons ehf. Skrifstofa deildarstjóra hafi verið upptekin og ekki á staðnum verið önnur aðstaða þar sem hægt var að ræða við hana í einrúmi. Því hafi aðilar ákveðið sameiginlega að fara á starfsstöð Metons ehf. Í greinargerð starfsmanna Metons ehf., dags. 27. febrúar sl., segir að NN hafi haft um þetta val og kosið frekar að fara í starfsstöð Metons ehf. Upplýst er af hálfu lögmanns Hrafnistu að Meton ehf. hefur afhent lögreglu öll þau gögn sem unnin voru úr eftirlitsmyndavélum Hrafnistu og að þangað hafi meintur þjófnaður verið kærður.

II.
Sjónarmið málsaðila

Í bréfum sínum, dags. 23. janúar og 4. júní 2003, segir lögmaður Eflingar-stéttarfélags að félagið geri engar athugasemdir við nauðsyn rafrænnar vöktunar með notkun eftirlitsmyndavéla á Hrafnistu í öryggis- og eignavörsluskyni. Tilefni erindisins til Persónuverndar sé hins vegar það mat Eflingar-stéttarfélags að Hrafnista hafi brotið gegn ákvæðum laganna um meðferð viðkvæmra persónuupplýsinga sem til verði í tengslum við vöktunina. Vísar lögmaðurinn til þess að þegar starfsmenn Metons ehf. yfirheyrðu starfsmann Hrafnistu þann 22. janúar 2003, hafi engin fræðsla verið veitt starfsmönnum Hrafnistu um tilvist þessa fyrirtækis eða hvaða tilgangi það þjónaði. Fræðslan hafi ekki verið veitt fyrr en eftir umrætt atvik og hafi samningur Hrafnistu og Metons ehf. ekki verið gerður fyrr en sama dag og starfsmaðurinn var tekinn til yfirheyrslu. Þá segir í bréfi lögmannsins, dags. 4. júní 2003:

„Starfsmaður Hrafnistu stendur fast við orð sín um hvernig staðið var að yfirheyrslunni, en tekið skal fram að í bréfi undirritaðs, dags. 23. janúar 2003, var látið nægja að stikla á fáeinum atriðum varðandi yfirheyrslutækni fulltrúa Metons ehf. Hefur Efling-stéttarfélag enga ástæðu til þess að ætla annað en að frásögn hennar [sé] sönn. Starfsmaðurinn mótmælir því sem röngu að henni hafi sjálfri verið umhugað um að yfirheyrslan færi fram í starfsstöð Metons ehf. Kveður hún þetta hafa verið þann eina kost sem henni stóð til boða. Efling-stéttarfélag leggur áherslu á að einmitt það hvernig staðið var að yfirheyrslu starfsmannsins geri það að verkum að ómögulegt er nú fyrir starfsmanninn að sanna fullyrðingar sínar. Starfsmaðurinn fékk hér engu um ráðið og nú fer orð gegn orði.

Hrafnista, sem ábyrgðarmaður hinnar rafrænu vinnslu, ber fulla ábyrgð á Meton ehf. sem vinnsluaðila upplýsinganna samkvæmt 13. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Það samrýmist ekki tilgangi laganna að vinnsluaðila sé með samningi, að ekki sé talað um eftirásamningi, veitt óskilyrt leyfi til þess að ganga að starfsmönnum ábyrgðaraðila og yfirheyra á grundvelli viðkvæmra persónuupplýsinga sem vinnsluaðili hefur undir höndum. Eigi að heimila vinnsluaðila viðkvæmra persónuupplýsinga að rannsaka og vinna úr þeim persónuupplýsingum verður slík heimild að mati Eflingar-stéttarfélags að byggja á skýrum og skilyrtum grunni; grunni sem Persónuvernd verður að móta eða leggja blessun sína yfir og sem verður að innibera það m.a. að starfsmaður sé ekki kallaður til yfirheyrslu eða viðtals nema að viðstöddum trúnaðarmanni eða öðrum aðila sem starfsmaður kýs að hafa viðstaddan. Í því sambandi bendir Efling-stéttarfélag á þær heimildir sem Persónuvernd eru veittar skv. ákvæði 5. mgr. 37. gr. laga um persónuvernd og meðferð persónuupplýsinga.“

Í bréfi sínu til forsvarsmanna Hrafnistu, dags. 19. febrúar sl., óskaði Persónuvernd þess m.a. að upplýst yrði hvernig staðið hefði verið að kynningu og fræðslu til starfsmanna, sbr. 20. gr. pul. Um þetta atriði segir í bréfi lögmanns Hrafnistu, dags. 21. mars sl.:

„Eftir að stjórn Hrafnistu hafði tekið ákvörðun um uppsetningu eftirlitsmyndavéla, voru haldnir tveir kynningarfundir um málið á Hrafnistu. Var annar fundurinn með heimilisfólki og hinn með starfsmönnum. Fór fundurinn með heimilisfólki fram þann 23. ágúst 2002 og með starfsmönnum þann 26. ágúst 2002. Var mæting meðal starfsmanna góð á fundinn. Kynnti S forstjóri þar áformin um að setja upp eftirlitsmyndavélar og hver tilgangur þeirra væri. Jafnframt kom þar fram að hvorki yfirmenn né aðrir starfsmenn Hrafnistu myndu hafa aðgang að myndefninu heldur yrði gerður samningur við utanaðkomandi öryggisfyrirtæki um úrvinnslu gagna gerðist þess þörf. Voru starfsmenn almennt mjög ánægðir með þetta fyrirkomulag þar sem mikið hafði verið um óupplýsta þjófnaði og lágu auðvitað starfsmenn sem og aðrir undir grun.

Áður en fundir þessir voru haldnir hafði forstjóri Hrafnistu einnig samband við Persónuvernd símleiðis og fékk þar leiðbeiningar um hvernig haga ætti kynningu á þessu máli meðal heimilismanna og starfsmanna. Var þeim leiðbeiningum fylgt.

Auk þessa var í fréttabréfi Hrafnistu, sem m.a. er sent út með launaseðlum til starfsmanna, birt sérstök tilkynning um væntanlega uppsetningu eftirlitsmyndavélanna. Við allar inngöngudyr Hrafnistu var einnig settur upp límmiði þar sem fram kemur að eftirlitsmyndavélar séu í húsinu.

Með hliðsjón af ofangreindu telur umbjóðandi okkar að hann hefur fullnægt skilyrðum … laga um persónuvernd um að láta hinn skráða vita um vinnslu persónuupplýsinga og setja upp viðvörun um rafræna vöktun.“

Persónuvernd taldi þörf nánari lýsingar á inntaki þeirrar fræðslu sem fram fór og óskaði, með bréfi dags. 17. júlí 2003, eftir afriti af þeim gögnum sem notuð voru við fræðsluna og eintaki af framangreindu fréttabréfi. Í svarbréfi lögmanns Hrafnistu, dags. 7. ágúst sl., segir að engin eiginleg kynningargögn séu til frá kynningarfundi með starfsmönnum. Í fréttabréfi Hrafnistu frá október 2002, sem sent var öllum starfsmönnum, segir að ákveðið hafi verið að setja upp myndavélar á öllum göngum og við allar dyr Hrafnistu í Reykjavík. Þá segir:

„Þær tengjast síðan móðurtölvu og ef kæra kemur vegna þjófnaðar er hægt að fara í tölvuna og sjá hverjir hafa farið í herbergið á tilteknum tíma. Það verður öryggisfyrirtæki sem sér um tölvuna og starfsmenn Hrafnistu hafa engan aðgang að henni. Gögn úr tölvunni eru síðan afhent lögreglunni sem vinnur málið áfram.“

Um þá vinnslu persónuupplýsinga, sem fram fór með afritun upptöku af tölvudiski í janúar 2003, segir svo í bréfi lögmanns Hrafnistu frá 21. mars sl.:

„Sú vinnsla með upptökur úr einni af eftirlitsmyndavélum Hrafnistu, sem fram fór eftir að verðmæti hurfu í tvígang frá heimilismanni Hrafnistu í janúar 2003, fór fram á þann hátt að starfsmenn Meton ehf. skoðuðu upptökur frá þeim tíma sem að umræddur heimilismaður sagðist hafa skilið eftir herbergi sitt ólæst. Tekið var eitt afrit af þessum upptökum og var það afhent lögreglu. Ekki eru til önnur afrit af upptökunum.“

Lögmaðurinn mótmælir því að fram hafi farið „yfirheyrsla“ yfir starfsmanninum. Að fengnu samþykki starfsmannsins hafi starfsmenn Metons ehf. rætt við hana um efni þeirrar upptöku sem til var af herbergi viðkomandi heimilismanns Hrafnistu og spurt um ýmis atriði. Til þessa hafi þeir haft heimild samkvæmt samningi Metons ehf. og Hrafnistu. Hafi starfsmanninum sjálfum verið umhugað um að þetta samtal færi fram annars staðar en á Hrafnistu til að þau vektu ekki eftirtekt. Telur lögmaðurinn með hliðsjón af framangreindu að umbjóðandi sinn hafi, við uppsetningu og kynningu á rafrænni vöktun á Hrafnistu, svo og við vinnslu þess myndefnis sem þannig verði til, fylgt í alla staði ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

Fyrir liggur greinargerð frá starfsmönnum Metons ehf. til forsvarsmanna Hrafnistu, dags. 27. febrúar 2003. Þar segir að þau gögn sem unnin voru úr eftirlitskerfi Hrafnistu hafi öll verið send lögreglu til viðeigandi meðferðar og að ekkert þeirra gagna eða afrit þeirra hafi orðið eftir í vörslu Metons ehf. eða starfsmanna þess. Hins vegar blandi lögmaður Eflingar-stéttarfélags saman tvennu sem varði persónuvernd, það er annars vegar vinnslu og meðhöndlun viðkvæmra persónuupplýsinga og starfsmannamálefnum hins vegar, s.s. um það hvar og hverjir ræða við starfsmenn Hrafnistu um starfsmannatengd málefni.

III.
Niðurstaða

Varðandi þær athugasemdir sem fram hafa komið varðandi yfirheyrslu Metons ehf. yfir starfsmanni á Hrafnistu skal minnt á þá meginreglu íslenskrar réttarskipunar að það er hlutverk lögreglu að vinna að uppljóstran brota, stöðva ólögmæta háttsemi og fylgja málum eftir í samræmi við ákvæði laga um meðferð opinberra mála eða eftir öðrum lögum, sbr. 2. tl. 1. gr. lögreglulaga nr. 90/1996. Samkvæmt lögum um meðferð opinberra mála nr. 19/1991 (oml.) fer lögreglan með rannsókn opinberra mála nema öðruvísi sé mælt fyrir í öðrum lögum. Samkvæmt 37. gr. laga nr. 77/2000 er það hlutverk Persónuverndar að hafa eftirlit með framkvæmd þeirra laga. Eftirlit með framkvæmd oml. fellur hins vegar utan verksviðs hennar. Mun álit Persónuverndar því einskorðast við það hvort um hafi verið að ræða lögmæta vinnslu persónuupplýsinga í skilningi pul.

Undir lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga fellur vinnsla persónuupplýsinga. Með „persónuupplýsingum“ er þá, sbr. 1. tl. 1. mgr. 2. gr., átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Þá er „vinnsla“ slíkra upplýsinga skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 1. mgr. sömu greinar.

Notkun eftirlitsmyndavéla er ein tegund rafrænnar vöktunar, en við slíka vöktun getur átt sér stað vinnsla persónuupplýsinga. Það ræðst einkum af því hvers konar búnaður er notaður hvort vöktunin leiðir eða getur leitt til söfnunar eða annars konar vinnslu persónuupplýsinga. Tekið skal fram að með lögum nr. 46/2003, sem samþykkt voru á Alþingi þann 14. mars 2003, var að nokkru breytt ákvæðum laganna um vöktun en í úrskurði þessum er byggt á lögunum eins og þau voru á þeim tíma þegar umræddur atburður átti sér stað. Með rafrænni vöktun var þá átt við vöktun sem var viðvarandi eða endurtekin reglulega og fól í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, sbr. 6. tölul. 1. mgr. 2. gr. laganna. Þá var, samkvæmt 2. mgr. 8. gr. pul., eins og hún var á sama tíma, heimilt að viðhafa rafræna vöktun á svæði þar sem takmarkaður hópur fólks fór um að jafnaði, væri hennar sérstök þörf vegna eðlis þeirrar starfsemi sem þar fór fram.

Fyrir liggur að síðsumars árið 2002 voru teknar í notkun stafrænar eftirlitsmyndavélar á Hrafnistu. Þær taka upp myndefni sem varðveitt er á tölvudisk í 30 daga en eyðist þá þegar tekið er yfir eldra efni. Tæknilega séð var frá upphafi unnt að afrita upptökur yfir á tölvudisk með sérstökum búnaði, en ekki liggur fyrir að það hafi verið gert fyrr en í janúar 2003. Slík vöktun telst vera vinnsla persónuupplýsinga, eðli sínu samkvæmt. Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju þeirra almennu skilyrða sem kveðið er á um í 1. mgr. 8. gr. laganna. Hún þarf einnig að eiga sér stoð í einhverju af skilyrðum 1. mgr. 9. gr. fari fram vinnsla viðkvæmra persónuupplýsinga, en það eru t.d. upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, sbr. b.-lið 8. tl. 2. gr. pul. Öll vinnsla þarf að uppfylla meginreglur 7. gr. laganna um gæði gagna og vinnslu. Í því felst m.a. að við meðferð persónuupplýsinga skal þess gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti. Þá er það forsenda lögmætis vinnslu að hinn skráði hafi fengið þá fræðslu sem kveðið er á um í 20. gr. pul. og að uppfyllt hafi verið ýmis önnur skilyrði laganna, þ. á m. um tilkynningarskyldu skv. 31. gr. og um gerð samnings við vinnsluaðila, skv. 13. gr. sömu laga.

Er þá næst til skoðunar hvort þessum skilyrðum hafi verið fullnægt:

1.
Fræðsluskylda

Lögmaður Eflingar-stéttarfélags hefur m.a. vísað til þess að þegar starfsmaðurinn hafi verið „yfirheyrður“ af fulltrúum Metons ehf. hafi engin kynning átt sér stað gagnvart starfsmönnum á tilvist þessa fyrirtækis eða hvaða tilgangi það þjónaði. Slík kynning hafi fyrst farið fram eftir atvikið þann 22. janúar 2003.

Um þetta segir í bréfi lögmanns Hrafnistu, dags. 21. mars. sl., að haldinn hafi verið fundur með starfsmönnum þann 26. ágúst 2002. Þar hafi forstjóri Hrafnistu kynnt fyrir starfsmönnum áform um að setja upp eftirlitsmyndavélar og í hvaða tilgangi. Fram hafi komið að „hvorki yfirmenn né aðrir starfsmenn Hrafnistu myndu hafa aðgang að myndefninu heldur yrði gerður samningur við utanaðkomandi öryggisfyrirtæki um úrvinnslu gagna gerðist þess þörf“. Í fréttabréfi Hrafnistu frá október 2002, þar sem vöktunin var kynnt öllum starfsmönnum, segir að öryggisfyrirtæki muni sjá um tölvuna, að starfsmenn Hrafnistu muni ekki hafa aðgang að gögnum úr henni og að gögn verði afhent lögreglu komi fram grunur um þjófnað.

Um það hvort fræðslan hafi verið í samræmi við 20. gr. pul. skal tekið fram að af gögnum málsins er ljóst að frá því um haustið 2002 fór með notkun eftirlitsmyndavéla fram vinnsla persónuupplýsinga í skilningi laganna. Á þeim sem ber ábyrgð á slíkri vinnslu, í þessu tilviki Hrafnistu, hvílir m.a. sú skylda að upplýsa hinn skráða um þau atriði sem tilgreind eru í 20. gr. pul. Segir þar m.a. að hinn skráði skuli fá upplýsingar um tilgang vinnslunnar, svo og aðrar upplýsingar að því marki sem nauðsyn krefur, með hliðsjón af þeim aðstæðum sem ríkja við vinnsluna, svo hinn skráði geti gætt hagsmuna sinna. Er í því skyni nefnt að hann skuli m.a. fá fræðslu um viðtakendur persónuupplýsinganna. Ákvæðið er að nokkru samhljóða ákvæði 16. gr. pul. þar sem kveðið er á um rétt hins skráða til almennrar vitneskju um vinnslu persónuupplýsinga, en samkvæmt því ákvæði ber ábyrgðaraðila að upplýsa um viðtakendur þeirra persónuupplýsinga sem unnið er með á hans vegum. Í athugasemdum við 16. gr. frumvarpsins, er varð að lögum nr. 77/2000, er tekið fram að ekki sé þörf á að nafngreina einstaka viðtakendur upplýsinganna, heldur einungis að tilgreina tegund eða flokka viðtakenda. Verður við það að miða að hið sama eigi við um skyldu ábyrgðaraðila hér að lútandi samkvæmt 20. gr. pul. Þó svo að á þessum tíma hafi ekki legið fyrir nafn þess fyrirtækis sem sjá myndi um vinnsluna, verður því við það miðað að Hrafnista hafi fullnægt þeim þætti fræðsluskyldu sinnar að upplýsa um viðtakendur upplýsinganna.

Starfsmenn Hrafnistu voru hins vegar ekki upplýstir um að öryggisfyrirtæki yrði veitt heimild til að „ræða við starfsfólk og/eða heimilisfólk um málefni sem tengjast kynnu störfum verktaka …“, eins og segir í 5. gr. verksamnings Hrafnistu og Metons ehf. frá 22. janúar 2003. Á grundvelli þessa ákvæðis ræddu starfsmenn Metons ehf við NN á starfsstöð fyrirtækisins í Kópavogi þann sama dag. Verður við það að miða að NN hafi þá enga vitneskju haft um hvort slíkt fyrirtæki hefði til þess heimild að lögum að „yfirheyra“ hana vegna gruns um refsiverðan verknað, né að öðru leyti haft forsendur til þess að geta gætt hagsmuna sinna. Verður því ekki séð að forsvarsmenn Hrafnistu hafi uppfyllt þá skyldu sína að tryggja að hinn skráði hefði fengið þá fræðslu um vinnsluna sem honum var nauðsynleg, með hliðsjón af þeim sérstöku aðstæðum sem ríktu við vinnsluna, svo að hann gæti gætt hagsmuna sinna, sbr. 3. tl. 1. mgr. 20. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

2.
Tilkynningarskylda

Hér að framan hefur verið fjallað um þá forsendu lögmætis vinnslu að hinn skráði hafi fengið þá fræðslu sem kveðið er á um í 20. gr. pul. Að auki þarf ábyrgðaraðili að uppfylla fleiri ákvæði laganna, þar á meðal varðandi tilkynningarskyldu til Persónuverndar. Samkvæmt 1. mgr. 31. gr. pul. skal sérhver ábyrgðaraðili persónuupplýsinga sem beitir rafrænni tækni við vinnslu persónuupplýsinga tilkynna Persónuvernd um vinnsluna, áður en hún hefst. Samkvæmt 3. mgr. 31. gr. getur Persónuvernd ákveðið að vissar tegundir vinnslu almennra persónuupplýsinga skuli undanþegnar tilkynningarskyldu eða að um þær gildi einfaldari tilkynningarskylda. Persónuvernd hefur á grundvelli þessa ákvæðis sett reglur nr. 90/2001, um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Þar er að finna ýmsar undanþágur frá tilkynningarskyldunni en samkvæmt 5. tl. 5. gr. þeirra er þó skylt að tilkynna til Persónuverndar um rafræna vöktun sem er að hluta til eða að öllu leyti stafræn eða unnin þannig að finna megi í safni mynda/hljóða upplýsingar um tilgreinda menn. Af 3. mgr. 4. gr. reglnanna leiðir að ábyrgðaraðila er óheimilt að hefja tilkynningarskylda vinnslu fyrr en honum berst staðfesting frá Persónuvernd um móttöku tilkynningar um vinnsluna eða ef liðnir eru 10 dagar frá því að hann sendi tilkynninguna.

Eftirlitsmyndavélar voru settar upp á Hrafnistu og myndefni skoðað þegar grunur vaknaði um refsiverðan verknað á dvalarheimilinu. Var fyrirtækinu Meton ehf. falið að tilkynna til Persónuverndar um þessa vinnslu og móttók stofnunin tilkynningu um vinnsluna þann 23. janúar 2003. Hins vegar liggur fyrir að umræddar myndavélar höfðu þegar verið settar upp í ágúst 2002 og að áður en tilkynningin var send til Persónuverndar hafði myndefni verið safnað og m.a. skoðað sérstaklega vegna gruns um refsiverðan verknað á dvalarheimilinu. Verður því ekki séð að Hrafnista hafi uppfyllt skyldu sína skv. 31. gr. pul., sbr. og 4. og 5. gr. reglna nr. 90/2001, um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga.

3.
Gerð samnings við vinnsluaðila

Samkvæmt 13. gr. pul. um trúnaðarskyldu vinnsluaðila við meðferð persónuupplýsinga er ábyrgðaraðila heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laganna. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit skv. 12. gr. sömu laga. Í slíkum samningi skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og gilda ákvæði pul. um skyldur ábyrgðaraðila einnig um þá vinnslu sem vinnsluaðili annast.

Fyrir liggur að í janúar 2003 var myndefni skoðað sérstaklega vegna gruns um refsiverðan verknað á dvalarheimilinu fyrr í sama mánuði. Með notkun eftirlitsmyndavéla og söfnun og skoðun myndefnis í tengslum við hana fór fram vinnsla persónuupplýsinga. Þá vinnslu önnuðust starfsmenn Metons ehf. auk þess sem þeir „yfirheyrðu“ starfsmann sem grunaður var um refsiverðan verknað. Ekki liggur hins vegar fyrir að gerður hafi verið samningur milli Hrafnistu og þessa fyrirtækis fyrr en þann 22. janúar 2003. Verður því ekki séð að uppfyllt hafi verið ákvæði 13. gr. laga nr. 77/2000 um gerð vinnslusamnings.

4.

Með vísun til alls framangreinds, og með hliðsjón af því hvernig hér stóð á og þá sérstaklega að teknu tilliti til aðstöðu NN þegar umrædd „yfirheyrsla“ fór fram, er það niðurstaða Persónuverndar að tilgreind vinnsla viðkvæmra persónuupplýsinga um hana í tengslum við framkvæmd rafrænnar vöktunar á dvalarheimilinu Hrafnistu í Reykjavík, hafi ekki samrýmst ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum.

Úrskurðarorð

Vinnsla viðkvæmra persónuupplýsinga um NN í tengslum við rafræna vöktun á dvalarheimilinu Hrafnistu í Reykjavík var ólögmæt.

4.11. Lögmæti vöktunar hjá Mjólkursamsölunni í Reykjavík

Hinn 7. október 2003 kvað Persónuvernd upp svofelldan úrskurð í máli nr. 2002/436:

I.
Úrlausnarefni
Bréfaskipti

Persónuvernd barst þann 6. júní 2002 tilkynning frá Mjólkursamsölu Reykjavíkur (hér eftir nefnd MS) um fyrirhugaða vinnslu persónuupplýsinga, sbr. 31. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga [pul.] og reglur nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Segir þar að tilgangur vinnslunnar sé öryggiseftirlit og að unnið verði með myndir teknar utanhúss og innan.

Rafiðnaðarsamband Íslands óskaði með tölvubréfum, dags. 23. júlí og 30. júlí 2002, eftir því að Persónuvernd kannaði lögmæti vinnslunnar. Voru erindin kynnt MS með bréfi, dags. 9. ágúst s.á., og tiltekinna upplýsinga óskað. Í framhaldi af því, eða þann 22. ágúst 2002, barst Persónuvernd tilkynning frá MS um breytingu á vinnslu persónuupplýsinga.

Með bréfi, dags. 24. september 2002, upplýsti KÓK, lögmaður Eflingar-stéttarfélags að til félagsins hefðu leitað nokkrir starfsmenn MS vegna óánægju með myndavélaeftirlit á vinnustaðnum. Segir að Efling-stéttarfélag viti að til meðferðar sé hjá Persónuvernd erindi Rafiðnaðarsambands Íslands vegna umræddrar vöktunar. Segir og að þar sem erindið varði einnig brýna hagsmuni félagsmanna Eflingar-stéttarfélags sé þess farið á leit við Persónuvernd að Efling-stéttarfélag verði upplýst um framvindu málsins og niðurstaða Persónuverndar kynnt félaginu þegar hún liggi fyrir.

Persónuvernd sendi, með bréfi dags. 4. desember s.á., bæði Rafiðnaðarsambandinu og Eflingu-stéttarfélagi afrit af framangreindum tilkynningum MS og öðrum gögnum frá fyrirtækinu. Var tekið fram að ef Rafiðnaðarsambandið eða Efling-stéttarfélag óskaði frekari afskipta af hálfu Persónuverndar, eða hefði sérstakar athugasemdir við framkomnar upplýsingar Mjólkursamsölunnar, þyrfti að gera það með rökstuddum og afmörkuðum hætti.

Engin slík ósk kom frá Rafiðnaðarsambandinu. Frá Eflingu-stéttarfélagi barst hins vegar erindi þann 17. janúar 2003. Segir þar að af tilkynningum, fylgigögnum og samtölum við fulltrúa starfsmanna MS megi ráða að myndavélum sé í nokkrum mæli beint að vinnusvæðum starfsmanna innanhúss, svæðum þar sem aðgangur sé takmarkaður við starfsmenn MS eingöngu og sem varin séu með sérstökum merkingum og talnalásum. Þá segir:

„Efling-stéttarfélag telur brýnt að MS veiti nánari upplýsingar og rökstuðning um vöktun á þeim svæðum sem ætluð eru starfsmönnum eingöngu. Ennfremur sé brýnt að myndavélum á vinnusvæðum starfsmanna, sem óviðkomandi er bannaður aðgangur að, verði stillt þannig upp að áhersla sé lögð á að vakta aðkomuleiðir. Nauðsynlegt sé einnig, með vísan til þeirra sjónarmiða sem fram komi í úrskurði Persónuverndar, dags. 21. desember 2001, í máli Ölgerðar Egils Skallagrímssonar ehf., að Persónuvernd geri MS skylt að setja sér vinnureglur um meðferð þess myndefnis sem safnað er, um upplýsingagjöf til starfsmanna og um önnur atriði sem máli skipta, sbr. nánar niðurlag tilvitnaðs úrskurðar Persónuverndar.“

Persónuvernd kynnti framangreint erindi fyrir forsvarsmönnum MS með bréfi, dags. 31. mars s.á., og gaf þeim kost á að tjá sig um það. Var óskað skýringa sem af mætti ráða hvort unnið væri í samræmi við innsenda tilkynningu um vinnslu persónuupplýsinga. Þá var þess óskað að kannað yrði hvort öll rafræn vöktun hjá MS færi fram í málefnalegum tilgangi og aðeins að því marki sem sérstök þörf krefði vegna eðlis þeirrar starfsemi sem þar færi fram – og hvort að öðru leyti uppfyllt væru skilyrði 7. gr. laga nr. 77/2000. Að lokum var spurt hvort fyrirtækið hefði sett sér sérstakar reglur um vöktunina til að tryggja að nýir starfsmenn fengju fræðslu um hana, og ef ekki hvort þá væri fyrirhugað að setja slíkar reglur.

Svarbréf ÞG, hrl., f.h. MS, er dags. 22. apríl 2003. Persónuvernd taldi þó enn vera þörf frekari upplýsinga og óskaði þeirra með bréfi dags. 25. apríl s.á. Er svarbréf lögmanns MS dags. 20. maí s.á. Því fylgdi bæði eintak af fréttabréfi MS frá ágúst 2002, þar sem nýtt og endurbætt eftirlits- og öryggiskerfi MS er kynnt, og gögn frá kynningarfundum með starfsmönnum sem haldnir voru í desember 2002. Framangreind svarbréf og fylgigögn voru kynnt lögmanni Eflingar-stéttarfélags, með bréfi dags. 30 maí 2003, og honum gefinn kostur á að tjá sig um þau. Svarbréf hans er dagsett 20. júní s.á.

II.
Sjónarmið málsaðila

Að loknum framangreindum bréfaskiptum stendur eftir að fyrir hendi er ágreiningur um vöktun eftirtalinna 5 vinnusvæða: móttöku á vögnum frá verslun, pökkunarsalar, umbúðalagers og mjólkurkælis – en á síðastnefnda svæðinu er ekki búið að tengja vélarnar upptökubúnaði.

Lögmaður Eflingar-stéttarfélags vísar til þess í bréfum sínu, dags. 9. janúar og 20. júní 2003, að samkvæmt 2. mgr. 8. gr. laga nr. 77/2000, sé rafræn vöktun staðar þar sem takmarkaður hópur fólks fer að jafnaði um heimil sé hennar sérstök þörf vegna eðlis þeirrar starfsemi sem þar fari fram. Að mati Eflingar-stéttarfélags hafi MS hins vegar ekki rökstutt þörf á myndavélaeftirliti á umræddum vinnusvæðum, en aðgangur að þeim takmarkist við starfsmenn og þau séu varin með sérstökum merkingum og talnalásum. Svo virðist sem tilgangur myndavélaeftirlits á þessum svæðum sé sá einn að fylgjast með daglegum athöfnum starfsmanna. Vísar lögmaðurinn því til stuðnings til umfjöllunar MS um hagræðingu í verkstjórn. Með því sé að mati Eflingar-stéttarfélags og starfsmanna MS vegið að persónufrelsi þeirra en persónufrelsi starfsmanna vegi þyngra heldur en hagsmunir MS af því að hafa myndavélaeftirlit á þessum stöðum. Starfsmenn MS geri hins vegar ekki athugasemd við að myndavélar séu notaðar sem hjálpartæki við verkstjórn á svæðum sem útilokað sé að hafa yfirsýn yfir með öðrum hætti. Þá segir í bréfi lögmanns Eflingar, dags. 20. júní sl.:

„Hagræðing í verkstjórn getur hins vegar að mati Eflingar-stéttarfélags aldrei réttlætt myndavélaeftirlit með upptökubúnaði á vinnusvæði starfsmanna, enda fer slíkt í bága við ákvæði laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Efling-stéttarfélag getur að virtum skýringum lögmanns MS ekki fallist á að nauðsynlegt sé að beina myndavélum sem tengdar eru við upptökubúnað að vinnusvæðum starfsmanna. Telur félagið að unnt sé að tryggja öryggi framleiðslu MS með öðrum hætti s.s. með aðgangsstýringu að vinnusvæðum og vöktun aðkomuleiða með eftirlitsmyndavélum, enda um að ræða svæði sem eru ætluð starfsmönnum eingöngu. Í þessu sambandi vill Efling-stéttarfélag benda á ummæli í greinargerð með frumvarpi til laga um breyting á lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga (l. nr. 81/2002) þar sem kemur fram í athugasemdum um 1. gr. frumvarpsins að túlka beri heimildir til vöktunar á vinnustað þröngt og að gæta verði þess að einkalífsréttur starfsmanna sé virtur. Samkvæmt framangreindu telur Efling-stéttarfélag rétt að sjónarhorn vélar í pökkun […] verði þrengt þannig að vélinni verði beint að aðkomuleið svæðisins. Sömuleiðis telur félagið að myndavél sem beint er að vinnusvæði starfsmanna á umbúðalager óþarfa […].“

Lögmaður Mjólkursamsölunnar vísar í bréfi sínu, dags. 22. apríl sl., til þess að markmið vöktunar hjá MS sé annars vegar að tryggja öryggi og hins vegar að minnka líkur á rýrnun. MS annist vinnslu og pökkun mjólkurafurða, sem sé viðkvæm matvara. Þá segir:

„Starfsemi MS, eins og annarra fyrirtækja í matvælaiðnaði, er háð ströngum reglum. Má hér nefna lög nr. 7/1998 um hollustuvernd og mengunareftirlit og lög nr. 93/1995 um matvæli og ýmsar reglugerðir settar á grundvelli þeirra laga. Til dæmis segir í 10. gr. laga um matvæli að þeir sem framleiða matvæli eða dreifa þeim skulu haga starfsemi sinni í samræmi við almenna hollustuhætti og tryggja að matvæli valdi ekki heilsutjóni. Þá á að gæta þess að matvælin óhreinkist ekki eða spillist á annan hátt. Þá verður starfsemi MS að taka mið af reglugerð nr. 522/1994 um matvælaeftirlit og hollustuhætti við framleiðslu og dreifingu matvæla. Þar segir í 4. gr. að matvælafyrirtæki skuli starfrækja innra eftirlit til að tryggja gæði, öryggi og hollustu matvæla, ákvarða mikilvæga eftirlitsstaði, sbr. b) lið 1. tl. 4. gr. reglugerðarinnar, koma á fót virku eftirliti á mikilvægum eftirlitsstöðum, sbr. d) lið 1. tl. 4. gr., svo nokkur dæmi séu nefnd. Þá segir í Viðauka 2 við reglugerðina að athafnasvæði matvælafyrirtækja skuli vera þannig að eiturefni og aðskotahlutir berist ekki í matvæli, og að útiloka megi hættu á krosssmiti m.a. vegna utanaðkomandi mengunar. Út frá öryggissjónarmiðum og hollustuverndarsjónarmiðum er því nauðsynlegt að tryggja að óviðkomandi hafi ekki óheftan aðgang að MS. Staðsetning allra myndavéla hjá MS tekur mið af þessari staðreynd.“

Í bréfum lögmannsins, dags. 22. apríl og 20. maí sl., eru síðan í máli og myndum raktar ástæður vöktunar á þeim vinnusvæðum sem ágreiningur er um. Að því er varðar móttöku vagna frá verslunum segir að um sé að ræða tvennar stórar dyr sem flutningabílar komi að, einar dyr sem séu út í ruslagáma, einar sem varðar séu með talnalási og einar sem séu frá þessu vinnusvæði yfir í tengiálmu Emmessís hf. og séu þær varðar með aðgangskortalesara. Nauðsynlegt sé að vakta inn- og útgöngudyr í fyrirtækið til að minnka líkur á umgengni óviðkomandi. Fram kemur að vegna athugasemda frá trúnaðarmanni starfsfólks hafi verið ákveðið að setja upp tvær myndavélar í stað einnar – í því skyni að þrengja sjónarhorn vélanna og gera það eins þröngt og mögulegt sé. Það sé langt því frá að vera með þeim hætti sem æskilegast væri fyrir fyrirtækið.

Þá segir að einungis lítill hluti pökkunarsalar sé vaktaður og að hið vaktaða svæði sé sjaldan notað. Um nauðsyn vöktunar þessa svæðis segir svo í bréfi lögmannsins frá 22. apríl sl.:

„Á umræddu svæði eru stórar dyr sem tiltölulega auðvelt er að komast inn um og þær eru um leið einnig mögulegar útgöngudyr. Á þessu svæði er almennt ekki verið að vinna nema ef svæðið er notað sem skammtímageymsla fyrir vagna eða lagfæra þarf eitthvað upp á færibandinu hægra megin í myndinni. Augljóst er að vakta þarf dyrnar og umgengni inn í umbúðalagerinn.

Þriðja svæðið sem trúnaðarmaður Eflingar hefur gert athugasemd við er á umbúðalager. Umbúðalagerinn er mjög viðkvæmt svæði því þar er hægt að komast í snertingu við umbúðirnar að innanverðu áður en vörum er pakkað í þær. Samkvæmt 14. gr. laga nr. 93/1995 um matvæli ber MS að gæta þess að umbúðir geti ekki spillt vörunni og svo sem rakið var hér á undan ber MS ábyrgð á því að aðskotahlutir eða mengun berist ekki í framleiðsluvöruna og/eða umbúðir um þær. Því er mikilvægt að geta fylgst með því sem fram fer á umbúðalager öryggisins vegna þannig að enginn geti komist í umbúðirnar sem síðan eru notaðar utan um framleiðsluvörur fyrirtækisins. […] Myndin til vinstri er af þremur inngöngum inn á umbúðalagerinn og sú til hægri sýnir umbúðirnar sem verið er að nota á hverjum tíma til pökkunar. Ekki hefur verið deilt um vélina til vinstri en sú hægra megin sýnir að mati trúnaðarmannsins vinnusvæði einstaklings sem þar með feli í sér brot á persónufrelsi hans. MS hefur ítrekað skýrt honum frá því að fyrirtækið er á grundvelli þeirra reglna sem því ber að starfa eftir að vakta umbúðirnar en ekki vinnu starfsmannsins.“

Um þá athugasemd lögmanns Eflingar-stéttarfélags, að fram hafi komið í bréfi hjá MS að uppsetning vélanna hafi verið liður í hagræðingu í verkstjórn, segir svo í framangreindu bréfi:

„Vegna þessa skal tekið fram að þar er átt við að tvö vinnusvæði eru það stór að útilokað er að hafa yfirsýn yfir þau nema með myndavélakerfi. Afgreiðslukælir er t.d. rúmlega 1.600m2 að stærð en þar starfa liðlega 20 manns. Myndavélakerfi gefur verkstjóra möguleika á verkstjórn sem hann hafði ekki áður. Engar kvartanir hafa borist frá starfsmönnum kælis vegna myndavélakerfisins. Meginmarkmið þeirra myndavéla er hins vegar að vakta inn- og útgönguleiðir að kælinum.“

Þetta sjónarmið er áréttað í bréfi lögmanns MS frá 20. maí sl. Þar segir:

„Allar söluvörur MS fara inn eða út úr kælinum. Öryggismyndavélunum verður beint að útgöngudyrum en það er óhjákvæmilegt að nánasta umhverfi inn- og útgöngudyra sjáist á myndavélum. Kælirinn er 30 metra breiður og 78 metra langur og á honum eru 11 stórar dyr fyrir flutningabíla, auk dyra sem snúa að pökkunarsal, starfsmannaaðstöðu og vagnamóttöku. Hér er því mesta hættan á því að óviðeigandi aðilar komist að framleiðsluvörum MS. Þegar rætt er um hagræði fyrir verkstjóra þá felst það í því að þeir munu sjá á myndavélunum hvað er að gerast við dyrnar sem eru lengst í burtu frá þeirra starfsstöð. Þeir geta því fylgst með ferðum óviðkomandi, án þess að þurfa að yfirgefa sína starfsstöð.“

Þá segir að starfsmönnum hafi verið rækilega kynnt uppsetning og staðsetning myndavélanna, markmið vöktunarinnar og hverjir hefðu aðgang að myndefninu. Þetta hafi verið gert bæði á sérstökum kynningarfundi og í fréttabréfi fyrirtækisins. Nýir starfsmenn fái kynningu við ráðningu. Séu því uppfyllt skilyrði 20. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

III.
Niðurstaða

Markmið laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum, er m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs.

Undir lögin fellur vinnsla persónuupplýsinga. Með „persónuupplýsingum“ er þá, sbr. 1. tl. 1. mgr. 2. gr., átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Þá er „vinnsla“ slíkra upplýsinga skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 1. mgr. sömu greinar. Þá taka lögin til „rafrænnar vöktunar“ en með því er átt við vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, sbr. 6. tl. 2. gr. laganna. Notkun eftirlitsmyndavéla er ein tegund rafrænnar vöktunar, en við slíka vöktun getur átt sér stað vinnsla persónuupplýsinga, s.s. ef vöktunarbúnaður leiðir eða getur leitt til söfnunar eða annars konar vinnslu persónuupplýsinga. Tekið skal fram að með lögum nr. 46/2003, sem samþykkt voru á Alþingi þann 14. mars 2003, var að nokkru breytt ákvæðum laganna um vöktun en í úrskurði þessum er byggt á lögunum eins og þau voru á þeim tíma þegar umrætt erindi barst Persónuvernd. Samkvæmt 2. mgr. 8. gr. pul, eins og hún var fyrir setningu framangreindra laga nr. 46/2003, sagði að viðhafa mætti rafræna vöktun á svæði þar sem takmarkaður hópur fólks færi um að jafnaði, væri hennar sérstök þörf vegna eðlis þeirrar starfsemi sem þar færi fram.

Í máli þessu er til úrlausnar lögmæti rafrænnar vöktunar / vinnslu persónuupplýsinga á tilteknum vinnusvæðum í MS, þ.e. við móttöku á vögnum frá verslun, í pökkunarsal, á umbúðalager og í afgreiðslukæli. Á síðastnefnda svæðinu er ekki búið að tengja vélarnar upptökubúnaði og því telst sú rafræna vöktun sem þar fer fram, eðli sínu samkvæmt, ekki jafngilda vinnslu persónuupplýsinga. Hún þarf engu að síður að uppfylla ákvæði 7. gr. um meðferð upplýsinga og önnur ákvæði, þ. á m. um viðvaranir, um rafræna vöktun. Önnur vöktun, þ.e. sú sem fer fram við móttöku á vögnum frá verslun, í pökkunarsal og á umbúðalager, felur í sér vinnslu persónuupplýsinga í skilningi laga nr. 77/2000. Þarf hún þá jafnframt að eiga sér stoð í einhverju þeirra skilyrða sem kveðið er á um í 1. mgr. 8. gr. og eftir atvikum einhverju þeirra skilyrða sem kveðið er á um í 9. gr., ef um viðkvæmar persónuupplýsinga er að ræða. Samkvæmt b-lið 8. tl. 2. gr. pul. teljast upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað til viðkvæmra persónuupplýsinga. Í tilkynningu MS segir að ef í ljós komi grunur um refsiverðan verknað sem snerti eigur eða starfsemi fyrirtækisins, og ákveðið verði að kæra slíkan verknað til lögreglu, sé líklegt að gögn úr eftirlitsmyndavélum verði afhent lögreglunni. Verður því við það miðað að uppfylla þurfi eitthvert af skilyrðum 1. mgr. 9. gr. til vinnslu viðkvæmra persónuupplýsinga í skilningi laganna.

1.
Lögmæti vöktunar

Hjá MS eru ýmis svæði vöktuð, þ. á m. móttaka á vögnum frá verslun, pökkunarsalur, umbúðalager og afgreiðslukælir. Þá er aðgangsstýring við útidyr og ýmsar dyr innanhúss, en ekki er ágreiningur með aðilum um að nauðsynlegt sé „vegna eðlis þeirrar starfsemi sem þar fer fram“ að vakta þessar aðkomuleiðir til að koma í veg fyrir aðgang óviðkomandi aðila. Þá er hvorki ágreiningur um nauðsyn þess að vakta aðgengi milli hinna ýmsu vinnslusvæða innan fyrirtækisins né þau vinnslusvæði þar sem útilokað er fyrir verkstjórn að hafa yfirsýn með öðrum hætti.

Varðandi vöktun á þeim svæðum sem deilt er um, þ.e. í móttöku á vögnum frá verslun, pökkunarsal, umbúðalager og afgreiðslukæli, ber að hafa í huga að öll rafræn vöktun verður, óháð því hvort hún felur í sér vinnslu persónuupplýsinga eða ekki, að uppfylla gæðareglur 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Í því felst m.a. að þess skal gætt að vöktun fari fram með sanngjörnum, málefnalegum og lögmætum hætti, sbr. 1. tl. 1. mgr. 7. gr. pul., og að hún eigi sér yfirlýstan, skýran og málefnalegan tilgang, sbr. 2. tl. 1. mgr. sömu greinar.

Rafrænt eftirlit með starfsmönnum við störf sín verður almennt að telja meira íþyngjandi en annars konar hefðbundið eftirlit. Ákvæði laga nr. 77/2000 taka mið af þessu og áskilja að sérstök þörf þurfi að standa til vöktunarinnar vegna eðlis þeirrar starfsemi sem þar fer fram, sbr. 2. mgr. 8. gr. laganna. Þeim meira íþyngjandi sem vöktunin er fyrir starfsmenn því brýnni þörf þarf að vera til nauðsynjar vöktunarinnar. Þetta á ekki síst við fari fram söfnun persónuupplýsinga, t.d. upptaka, samhliða vöktuninni. Upplýst er að markmið vöktunar hjá MS er tvíþætt. Annars vegar að uppfylla öryggissjónarmið. Eru svæði vöktuð til að koma í veg fyrir eða til að gera fyrirtækinu kleift að fyrirbyggja skemmdarverk. Hins vegar til að fyrirbyggja rýrnun.

Af hálfu MS hefur því verið haldið fram að staðsetning allra myndavéla taki mið af nauðsyn þess, vegna öryggis- og hollustuverndarsjónarmiða, að hindra óheftan aðgang óviðkomandi að MS, því þar sé framleidd viðkvæm matvara, en um slíkt gildi strangar reglur á sviði hollustuverndar og mengunareftirlits.

Þegar litið er til þess hve starfsemi fyrirtækja í matvælaiðnaði er háð ströngum reglum, m.a. lögum nr. 7/1998, um hollustuvernd og mengunareftirlit, og lögum nr. 93/1995, um matvæli, og reglugerðum sem settar hafa verið á grundvelli þeirra laga, telur Persónuvernd uppfyllt skilyrði 2. mgr. 8. gr. pul., eins og hún var fyrir setningu framangreindra laga nr. 46/2003, um að sérstök nauðsyn standi til vöktunarinnar vegna eðlis þeirrar starfsemi sem þar fari fram. Þá hefur, að mati Persónuverndar, ekkert komið fram er staðfesti að umrædd vöktun fari í bága við framangreind ákvæði 7. gr. laga nr. 77/2000, né að brotið hafi verið gegn öðrum ákvæðum er gilda um slíka vöktun vinnusvæða.

2.
Lögmæti vinnslu.

Öll vinnsla persónuupplýsinga, þ. á m. sú sem fram fer í tengslum við rafræna vöktun, þarf að eiga sér stoð í einhverju þeirra skilyrða sem kveðið er á um í 1. mgr. 8. gr., og eftir atvikum einhverju þeirra skilyrða sem kveðið er á um í 9. gr., ef um viðkvæmar persónuupplýsingar er að ræða.

Þau ákvæði 1. mgr. 8. gr. pul. sem helst koma til skoðunar, að mati Persónuverndar, eru ákvæði 7. tl. þeirrar greinar, um að vinnsla geti verið heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna sinna, enda leiði grundvallarréttindi og frelsi hins skráða, sem vernda ber samkvæmt lögum, ekki þyngra.

Um starfsemi MS fer m.a. samkvæmt lögum nr. 7/1998, um hollustuvernd og mengunareftirlit, og lögum nr. 93/1995, um matvæli, og reglugerðum sem settar hafa verið á grundvelli þeirra. Markmið þessara laga og reglugerða er einkum að tryggja neytendavernd. Til þess þurfa fyrirtæki í matvælaiðnaði að viðhafa allar nauðsynlegar aðgerðir að því marki sem eðlilegt og sanngjarnt er til að tryggja hreinleika og gæði framleiðslunnar. Er t.d. í IV. og V. kafla laga nr. 93/1995 ítarlega kveðið á um skyldur framleiðenda í þessu skyni, og um eftirlitsskyldu stjórnvalda. Þessi skylda er síðan nánar útfærð í reglugerð nr. 522/1994, um matvælaeftirlit og hollustuhætti við framleiðslu og dreifingu matvæla, sbr. t.d. 4. gr. hennar um öryggisaðgerðir og innra eftirlit með þeim. Þá ber að líta til þess að það getur varðað refsiábyrgð fyrirtækis og/eða stjórnenda þess ef brotið er gegn framangreindum lögum og reglugerðum, sbr. 31. gr. laga nr. 93/1995 og 33. og 34. gr. laga nr. 7/1998.

Það hvort 7. tl. 1. mgr. 8. gr. eigi við ræðst af mati á því hvort hagsmunir hinna skráðu (hér starfsmanna MS) af því að vinnslan fari ekki fram vegi þyngra en þeir hagsmunir sem mæla með vinnslunni. Við mat á þessum hagsmunum ber að líta til ríkra almannahagsmuna í ljósi fjölda neytenda umræddrar vöru. Þá ber að hafa í huga framangreinda löggjöf og hvernig tryggja megi að unnið sé í samræmi við fyrirmæli hennar. Þá ber að hafa í huga að tvö vinnusvæði af þeim þremur sem um er deilt, þ. á m. afgreiðslukælir, eru það stór að örðugt er vegna eðlilegrar verkstjórnar að hafa yfirsýn yfir þau nema með myndavélakerfi. Þá hefur ekkert komið fram um að starfsmenn njóti ekki skjóls frá slíkri vöktun á svæðum þar sem þeir mega ætla að njóta einkalífsverndar, s.s. á kaffistofum og í búningsherbergjum. Því er það niðurstaða Persónuverndar að að baki vinnslu persónuupplýsinganna, í tengslum við vöktun umræddra vinnusvæða, standi lögmætir hagsmunir sem telja verður ríkari þeim rétti starfsmanna að vinnsla fari ekki fram á þessum svæðum. Því eigi vinnslan sér stoð í 7. tölul. 1. mgr. 8. gr. l. nr. 77/2000.

Fyrir liggur, sbr. það sem fram kemur í tilkynningu MS, að ef í ljós komi grunur um refsiverðan verknað, sem snerti eigur eða starfsemi fyrirtækisins, kunni gögn úr eftirlitsmyndavélum að verða afhent lögreglunni. Þar af leiðandi þarf vinnslan að uppfylla eitthvert þeirra skilyrða sem greinir í 9. gr. laga nr. 77/2000. Samkvæmt 7. tölul. 1. mgr. 9. gr. laga er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Í athugasemdum við 9. gr. frumvarps þess er varð að lögum nr. 77/2000 segir m.a. um þetta ákvæði: „Ákvæðið byggist á e-lið, i.f., 8. gr. tilskipunar ESB. Vinnuveitanda getur t.d. verið nauðsynlegt að vinna upplýsingar um heilsufar starfsmanns til að geta sýnt fram á lögmætar forsendur fyrir uppsögn. Það er ekki skilyrði að málið verði lagt fyrir dómstóla heldur nægir að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum. Vinnsla viðkvæmra persónuupplýsinga í þessum tilgangi telst hins vegar því aðeins vera lögleg að krafan verði hvorki afmörkuð né staðreynd með öðrum hætti.“ Að mati Persónuverndar má, með vísun til framangreinds, við það miða að umrædd vinnsla eigi sér stoð í 7. tölul. 1. mgr. 9. gr. l. nr. 77/2000.

Loks þarf, svo um lögmæta vinnslu teljist vera að ræða, að liggja fyrir að hún uppfylli skilyrði 7. gr. laganna. Vinnsla persónuupplýsinga skal eiga sér málefnalegan tilgang í skilningi 1. og 2. tl. 7. gr. pul. Þá er, í 3. tl. 1. mgr. 7. gr., áskilið að ábyrgðaraðili gæti ákveðinna hlutfallssjónarmiða milli magns upplýsinga og tilgangs vinnslunnar. Í því felst að vinnsla persónuupplýsinga má aldrei verða meiri að umfangi en nauðsyn krefur hverju sinni. Verði tilgreindu markmiði náð með beitingu annarra viðurhlutaminni ráðstafana, skal þeim beitt. Ljóst er að viðvarandi taka mynda af fólki við störf sín getur verið afar íþyngjandi og getur jafnvel falið í sér ógn við friðhelgi einkalífs þess. Við mat á því hvort vinnsla slíkra mynda af starfsmönnum sé heimil samkvæmt lögum nr. 77/2000, vegast á annars vegar sjónarmiðið um friðhelgi einkalífs og hins vegar hagsmunir ábyrgðaraðila, hér MS og viðskiptavina hennar, af því að vinnslan fari fram. Segir í greinargerð með ákvæðinu að vinnsla ábyrgðaraðila megi ekki ganga lengra en þörf krefur til að ná því markmiði sem ábyrgðaraðila er heimilt að ná. Þegar tekið er mið af eðli þeirrar matvælaframleiðslu sem fram fer hjá MS og þeim ströngu reglum sem um hana gilda, m.a. vegna neytendaverndar, og að virtum öðrum gögnum sem lögð hafa verið fram í máli þessu, þ.m.t. myndum af umræddum vinnusvæðum, telst vinnsla hvorki fara fram í ómálefnalegum tilgangi né að umfang vinnslunnar sé svo umfangsmikið að í bága fari við framangreind ákvæði.

Þá er það forsenda lögmætis vinnslu að hinn skráði hafi fengið þá fræðslu sem kveðið er á um í 20. gr. pul. Samkvæmt fyrirliggjandi gögnum voru starfsmenn MS upplýstir um tilgang rafrænnar vöktunar hjá fyrirtækinu og um önnur þau atriði sem kveðið er á um í 20. gr. laganna, áður en rafræn vöktun hófst á umræddum vinnusvæðum. Hefur m.a. komið fram, og því ekki verið mótmælt, að starfsmönnum var rækilega kynnt uppsetning og staðsetning myndavélanna, markmið vöktunarinnar og hverjir myndu hafa aðgang að myndefninu. Þetta var gert bæði á sérstökum kynningarfundi og með útsendingu fréttabréfs fyrirtækisins. Auk þess hefur komið fram að nýir starfsmenn fá vitneskju um vinnsluna við ráðningu. Þá liggur fyrir að komið hafi verið til móts við ýmsar ábendingar og óskir starfsmanna. Þegar mið er tekið af þessu er það mat Persónuverndar að ábyrgðaraðili hafi uppfyllt skyldu sína samkvæmt 20. gr. laga nr. 77/2000.

3.
Krafa um að MS setji vinnureglur

Lögmaður Eflingar-stéttarfélags hefur óskað eftir að Persónuvernd leggi fyrir forsvarsmenn Mjólkursamsölunnar að setja vinnureglur um meðferð þess myndefnis sem safnað er, um upplýsingagjöf til starfsmanna og önnur atriði sem máli skipta. Er í því sambandi vísað til leyfis Ölgerðarinnar Egils Skallagrímssonar ehf., útgefins 21. desember 2001. Vegna þessa skal tekið fram að framangreint leyfi var veitt á grundvelli 2. mgr. 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. nú 3. mgr. sömu greinar. Var áskilnaðurinn um setningu vinnureglna hluti af leyfisskilmálum. Með vísun til þeirrar breytingar sem gerð var á 9. gr. pul., með lögum nr. 81 /2002, er hins vegar nú ekki litið svo á að umrædd vöktun hjá MS sé háð leyfi Persónuverndar. Hún er einungis tilkynningarskyld í samræmi við 31. gr. laganna og reglur nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga.

Fræðsla til starfsmanna er forsenda lögmætis vinnslu persónuupplýsinga. Setning sérstakra vinnureglna er ein leið til að tryggja að lögbundin fræðsla fari fram. Markmiðinu má einnig ná með öðrum hætti, s.s. með kynningu á heimasíðu fyrirtækis eða með umfjöllun í handbók starfsmanna. Ákvörðun um hvernig að fræðslu er staðið er alfarið ábyrgðaraðila vinnslunnar, hér MS, en ekki Persónuverndar. Eru þegar af þeirri ástæðu ekki efni til að Persónuvernd verði við framangreindri beiðni lögmanns Eflingar-stéttarfélags.

Úrskurðarorð

Rafræn vöktun á þeim vinnusvæðum Mjólkursamsölunnar í Reykjavík, sem um er deilt í máli þessu, og vinnsla persónuupplýsinga í tengslum við hana, er lögmæt.

4.12. Söfnun heilsufarsupplýsinga um ættingja sjúklings til nota við erfðaráðgjöf hjá Erfðaráðgjöf krabbameinssjúkdóma

Hinn 7. október 2003 gaf Persónuvernd út svofellda umsögn í máli nr. 2003/260:

I.

Erindi yðar

Persónuvernd vísar til fyrri bréfaskipta vegna erindis yðar [ÓÞJ læknis], dags. 16. apríl sl., þar sem þér berið undir stofnunina sérstakt fyrirkomulag, sem þér hyggist viðhafa, á söfnun heilsufarsupplýsinga um ættingja sjúklings til nota við erfðaráðgjöf við hann á Landspítala-háskólasjúkrahúsi (LSH), þ.e. hjá Erfðaráðgjöf krabbameinssjúkdóma (ER) sem er deild innan Krabbameinsmiðstöðvar LSH. Á þetta fyrirkomulag að leiða til þess að heilsufarsupplýsingarnar verði hægt að skrá í sjúkraskrá sjúklingsins án þess að ættingjarnir verði þekkjanlegir. Kemur fram að hópur skjólstæðinga bíði nú þess að hægt verði að beita þessu fyrirkomulagi.

Samkvæmt erindi yðar mun verða fylgt eftirfarandi vinnuferli: Sjúklingur greini frá sögu krabbameins í ætt sinni í viðtali við lækni hjá ER. Hann verði síðan beðinn um að veita ER nákvæmari upplýsingar um ætt sína, þ.e. stærð ættarinnar, nöfn ættingja, fæðingarár ættingja, hvort þeir séu lifandi eða látnir, hvort þeir hafi greinst með krabbamein eður ei, við hvaða aldur þeir hafi greinst og, hafi þeir greinst, við hvaða aldur. Ekki verði óskað eftir kennitölum ættingja. Jafnframt þessu verði sjúklingur beðinn um að veita skriflegt samþykki fyrir ættrakningu með hjálp Erfðafræðinefndar Háskólans (EH) og samkeyrslu ættarupplýsinga við Krabbameinskrá krabbameinsfélags Íslands (KKÍ) og, sé grunur um góðkynja æxli, skrár Rannsóknarstofu Háskólans (RH) í meinafræði. Þá verði beðið um samþykki fyrir varðveislu gagna í Krabbameinsmiðstöð LSH (KMLSH) og reglulegri uppfærslu þeirra. Einnig verði upplýsingar frá sjúklingi notaðar til að teikna upp ættartré sjúklings, en það verði ekki hluti af sjúkraskrá hans. Ritari móttöku KMLSH muni sjá um það. Síðar verði til tvö önnur ættartré. Um gerð þeirra segið þér að eftir að sjúklingur hafi veitt skriflegt samþykki sitt verði send beiðni til EH um að rekja ætt sjúklings upp um tvo ættliði og síðan niður til núlifandi ættingja í föðurætt og móðurætt. Frumrit samþykkisyfirlýsingarinnar muni fylgja með. Að ættrakningunni lokinni verði niðurstaðan send á diskettu frá EH til ritara móttökunnar á KMLSH. Samþykkisyfirlýsingin fylgi með. Ritari móttökunnar muni þá færa upplýsingarnar inn í gagnagrunn móttökunnar sem sé á sérstökum netþjóni KMLSH. Aðgengi að honum verði að öðru leyti takmarkað við ritara ER. Starfsmenn KMLSH muni ekki hafa aðgang að upplýsingunum. Ættarupplýsingar verði varðveittar sér fyrir hverja einstaka ætt og ekki verði til nein heildarskrá. Gert sé ráð fyrir að unnt verði að leita eftir kennitölum til að komast að því hvort einstaklingur, sem leitar til ER, sé í þekktri ætt. Eftir þessa skráningu verði búið til nýtt ættartré til viðbótar ættartré sjúklings, svonefnt klínískt ættartré, en það verði ekki hluti af sjúkraskrá sjúklings. Munurinn á þessum ættartrjám sé sá að á hinu klínísku ættartré verði klínískt staðfestar upplýsingar sem ekki verði á ættartré sjúklings. Ritari móttöku KMLSH muni sjá um að teikna upp klínískt ættartré.

Ættarskrá hverrar ættar verði uppfærð árlega með samkeyrslu við KKÍ til að meta hvort nýjar upplýsingar hafi bæst við sem breyti mati á ættgengni og ráðlögðu eftirliti. Verði þá fyrst búin til svonefnd útskrá, en á henni verði kennitölur þeirra sem skráðir hafi verið í gagnagrunninn á móttöku KMLSH. Engar aðrar upplýsingar, s.s. tengslaupplýsingar, verði þar. Útskráin verði send á læstri diskettu til Krabbameinsfélags Íslands (KÍ) ásamt frumriti samþykkisyfirlýsingar sjúklings. Lykilorð til að opna diskettuna verði sent í tölvupósti til þess starfsmanns KÍ sem sjái um samkeyrsluna. Hann muni síðan keyra útskrána saman við KKÍ, vista niðurstöðuna á diskettunni og senda hana til baka ásamt frumriti samþykkisyfirlýsingar. Verði þá komnar á diskettuna upplýsingar um tegund krabbameina meðal ættmenna, staðsetningu þeirra og aldur við greiningu. Verði talin þörf á upplýsingum frá RH verði viðhaft sama vinnuferli.

Þegar gögn berist frá KKÍ og RH verði þau keyrð saman við ættarskrá sjúklings í gagnagrunninum á móttöku KMLSH. Síðan muni ritari móttökunnar búa til nýtt ættartré, svonefnt móttökutré, sem muni einungis innihalda myndtákn og upplýsingar um þau krabbamein sem sjúklingur þekki til og kyn þeirra sem merktir séu á ættartréð, en hvorki nöfn né kennitölur. Þetta ættartré muni fara inn í sjúkraskrá sjúklings, ólíkt ættartré sjúklings og klínísku ættartré. Upplýsingar, sem fengist hafi við samkeyrslu við KKÍ og skrár RH, verði ekki færðar inn á móttökutréð, né heldur verði rangar upplýsingar sjúklings lagfærðar. Þessar upplýsingar verði hins vegar notaðar til að reikna út áhættu á krabbameini og veita ráðleggingar um eftirlit.

Auk móttökutrés verði venjulegar sjúkraskrárupplýsingar færðar inn í sjúkraskrá eins og endranær, s.s. upplýsingar sem veittar séu við komur, ráðleggingar um eftirlit, upplýsingar um erfðapróf o.fl. Upplýsingar um ættingja, þ. á m. erfðapróf, verði hins vegar ekki færðar inn í sjúkraskrá. Þó verði gerð undantekning verði lífsýni látins einstaklings notað til erfðagreiningar fyrir afkomanda.

Samkvæmt erindi yðar mun læknir sjúklings ekki sjá um að skrá upplýsingar inn í gagnagrunn, né heldur um að teikna ættartré, heldur sjái ritari KMLSH um þá vinnu. Þetta teljið þér leiða til þess að læknir sjúklings verði „blindaður“ fyrir persónugreinanlegum upplýsingum um ættingja hans, þ.e. hann fái einungis klínískar upplýsingar um ættingja sjúklingsins en geti ekki tengt þær neinum tilteknum ættingjum. Þá takið þér fram að engar vísindalegar rannsóknir verði gerðar með upplýsingum úr gagnagrunninum á móttöku KMLSH, nema að fengnum sérstökum heimildum Vísindasiðanefndar, Persónuverndar og viðkomandi einstaklinga, og að erfðaráðgjöf vegna krabbameina sé læknisfræðileg starfsemi innan veggja LSH.

II.

Bréfaskipti um málið

Með bréfi til yðar, dags. 27. maí sl., óskaði Persónuvernd eftir nánari skýringum og gögnum áður en hún ákvæði hvort og þá með hvaða hætti hún tæki efnislega afstöðu til málsins, þ. á m. gögnum um afstöðu yfirstjórnar LSH til erfðaráðgjafar innan veggja sjúkrahússins, m.a. um stefnu þess almennt varðandi starfsemi á sviði erfðaráðgjafar og um það hvort slík starfsemi teldist meðal starfsskyldna þess, þ.e. væri liður í læknismeðferð eða annarri venjulegri heilbrigðisþjónustu. Þér svöruðuð með tölvupósti hinn 5. júní sl. og óskuðuð eftir að haldinn yrði fundur um málið. Með bréfi, dags. 7. júlí sl., lýsti Persónuvernd því yfir að hún væri reiðubúin til að eiga með yður slíkan fund og var hann haldinn í húsnæði stofnunarinnar hinn 6. ágúst sl. Ítrekaði Persónuvernd þar ósk sína um frekari skýringar og hefur Persónuvernd nú borist bréf frá LSH, dags. 12. þ.m., þar sem lýst er afstöðu sjúkrahússins til þess hvort erfðaráðgjöf sé á meðal starfsskyldna þess. Í bréfinu segir:

„Á mörgum deildum koma upp þau sjúkdómstilvik sem tengjast erfðum, sum hver mjög alvarleg og hefur það lengi tíðkast að nánustu aðstandendur fái stuðning og ráðgjöf t.d. varðandi eigin lífsmynstur, barneignir og fjölmargt annað. Með þróun erfðavísindanna á síðustu árum hefur þörfin fyrir ítarlegri og sérhæfðari ráðgjöf á þessu sviði farið stórvaxandi og orðið óaðskiljanlegur hluti, einkum hvað varðar illkynja sjúkdóma, ýmsa sjúkdóma er tengjast meðgöngu og fæðingum og taugasjúkdóma. Vegna vaxandi þarfar hefur spítalinn komið sér upp klínískri erfðaráðgjöf […]. Hlutverk ÓÞJ er að sinna þessu klíníska starfi sem hér hefur verið lýst, einkum hvað varðar illkynja sjúkdóma. Varðandi erfðatengda sjúkdóma og greiningu þeirra þarf iðulega að hafa aðgang að upplýsingum og stundum lífsýnum úr skyldmennum. Það er svo aftur í mörgum tilvikum mjög viðkvæmt siðfræðilegt vandamál hversu mikið ber að upplýsa skyldmenni sem gætu verið arfberar alvarlegra sjúkdóma. Meðal annars vegna þess hversu vandmeðfarin þau mál eru, þá hefur þróast sérgreinin erfðaráðgjöf eða öllu heldur sérmenntaðir menn sem fást við þessi vandamál. Erfðaráðgjöf er því hluti af starfsskyldum LSH.“

III.

Niðurstaða

Fyrirhuguð vinnsla yðar á persónuupplýsingum í tengslum við erfðaráðgjöf verður, eins og öll önnur vinnsla persónuupplýsinga, að fullnægja einhverju af skilyrðum 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Einnig verður vinnslan að fullnægja einhverju af sérstökum skilyrðum 9. gr. sömu laga fyrir vinnslu viðkvæmra persónuupplýsinga. Upplýsingarnar, sem vinnslan lýtur að, eru um heilsuhagi, þ. á m. erfðaeiginleika, en slíkar upplýsingar eru viðkvæmar, sbr. c-lið 8. tölul. 2. gr. laganna.

Persónuvernd telur vinnsluna að hluta til eiga stoð í 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en þar er vinnsla persónuupplýsinga heimiluð hafi hinn skráði samþykkt hana. Þessi heimild getur aðeins átt við um sjúkling sem biður um erfðaráðgjöf. Vinnsla upplýsinga um ættingja hans verður því að eiga stoð í einhverju öðru ákvæði 8. gr. Persónuvernd telur 7. tölul. 1. mgr. 8. gr. helst koma til álita, en þar er vinnsla persónuupplýsinga heimiluð sé hún nauðsynleg til að lögmætra hagsmuna verði gætt nema grundvallarréttindi og frelsi hins skráða, sem vernda ber samkvæmt lögum, vegi þyngra. Persónuvernd telur hagsmuni sjúklings af sem öruggastri erfðaráðgjöf vega þyngra en hagsmuni ættingja hans af að ekki verði unnið með heilsufarsupplýsingar um þá við ráðgjöfina. Er því niðurstaðan sú að umrædd vinnsla upplýsinga um ættingja sjúklings eigi stoð í framangreindu ákvæði. Sem endranær verður þá að gæta þess að ekki sé unnið með meiri upplýsingar en nauðsyn krefur, sbr. 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000.

Skal þá vikið að því hvort vinnslan eigi stoð í 9. gr. laga nr. 77/2000. Í 1. tölul. 1. mgr. 9. gr. er vinnsla persónuupplýsinga heimiluð hafi hinn skráði samþykkt hana. Er þá átt við samþykki samkvæmt 7. tölul. 2. gr. laganna, þ.e. svonefnt upplýst samþykki. Framangreind ákvæði um samþykki geta átt við um sjúkling sem biður um erfðaráðgjöf, enda fullnægi samþykkið öllum lagaskilyrðum. Svo að vinnsla upplýsinga um ættingja hans sé einnig heimil verður hún hins vegar að eiga stoð í einhverju öðru ákvæði 9. gr. en 1. tölul. 1. mgr. Persónuvernd telur 8. tölul. 1. mgr. 9. gr. helst koma til álita, en þar er vinnsla viðkvæmra persónuupplýsinga heimiluð sé hún nauðsynleg vegna læknismeðferðar, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu. Í ljósi bréfs LSH, dags. 12. þ.m., verður að líta svo á að erfðaráðgjöf eins og sú sem lýst er í erindi yðar, dags. 16. apríl sl., sé nauðsynlegur þáttur í læknismeðferð. Þar af leiðandi verður að líta svo á að umrædd vinnsla persónuupplýsinga eigi stoð í framangreindu ákvæði.

Af ofangreindu er ljóst að fyrirhuguð vinnsla yðar á persónuupplýsingum í tengslum við erfðaráðgjöf er heimil. Einnig verður hins vegar að vera fullnægt kröfum 11. gr. laga nr. 77/2000 til öryggis persónuupplýsinga, sbr. reglur Persónuverndar nr. 299/2001 um það efni. Í 1. mgr. 11. gr. laga nr. 77/2000 er kveðið á um að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá er í 2. mgr. 11. gr. kveðið á um að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslu og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Persónuvernd telur þær öryggisráðstafanir, þ. á m. dulkóðun, sem lýst er í bréfi yðar, fullnægja kröfum framangreindra ákvæða að því undanskildu að ekki er þar gert ráð fyrir að ritari KMLSH, sem á að sjá um skráningu upplýsinga um ættarsögu sjúkdóms, riti undir trúnaðaryfirlýsingu. Telur Persónuvernd, í ljósi þess hversu viðkvæmar upplýsingar um er að ræða, slíka trúnaðaryfirlýsingu vera nauðsynlega. Persónuvernd leggur og áherslu á að skjalfest verði hvernig gæta á öryggis upplýsinganna, sbr. 5. mgr. 11. gr. laga nr. 77/2000 þar sem kveðið er á um að ábyrgðaraðili að vinnslu persónuupplýsinga skuli skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 3. gr. reglna nr. 299/2001 þar sem nánar er kveðið á um hvernig standa skal að skjalfestingu upplýsingaöryggis.

Að lokum minnir Persónuvernd á ákvæði 31. og 32. gr. laga nr. 77/2000, sbr. 2.–4. og 6. gr. reglna stofnunarinnar nr. 90/2001 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Samkvæmt þessum reglum ber yður að tilkynna umrædda vinnslu til Persónuverndar áður en hún hefst. Það skal gert á eyðublaði sem er að finna á heimasíðu stofnunarinnar, www.personuvernd.is (undir hnappinum „Tilkynningar“), og má senda útfyllt eyðublað beint þaðan.

4.13. Skylda Skýrr hf. til að hlíta fyrirmælum Umferðarstofu um vinnslu persónuupplýsinga úr ökutækjaskrá

Hinn 18. nóvember 2003 kvað Persónuvernd upp svofelldan úrskurð í máli nr. 2003/421:

I.
Grundvöllur málsins og bréfaskipti

Þann 17. september 2003 barst Persónuvernd bréfleg tilkynning frá Skýrr hf., dags. 11. september 2003, um breytingu á tilkynningu nr. 185 um vinnslu persónuupplýsinga. Tilkynningin var síðan send á rafrænu formi í gegnum heimasíðu stofnunarinnar þann 19. september. Í fyrrnefndu bréfi var breyting á tilkynningu nr. 185 sögð gerð til samræmis við breytingar á samskonar þjónustu sem Umferðarstofa var sögð veita í samkeppni við Skýrr hf.

Samkvæmt tilkynningunni er ráðgert að vinna persónuupplýsingar úr tilteknum opinberum skrám, þ. á m. úr ökutækjaskrá. Tilgangi vinnslunnar er lýst með svofelldum hætti:

„Upplýsingaþjónusta[n] felst í því að Skýrr hf. veitir einstaklingum og fyrirtækjum aðgang að fjölbreyttum gagnasöfnum á grundvelli samnings og gegn áskriftargjaldi.“

Þar sem Umferðarstofa annast skráningu ökutækja og aðra umsýslu varðandi skráningu ökutækja, gerð þeirra og búnað, sbr. a.-lið 1. mgr. 112. gr. umferðarlaga nr. 50/1987, þótti Persónuvernd rétt, sbr. bréf 18. september, að leita eftir formlegu áliti Umferðarstofu á fyrirhugaðri vinnslu Skýrr hf. eins og henni er lýst í nefndri tilkynningu fyrirtækisins frá 17. september.

Með bréfi, dags. 19. september, var Skýrr hf. tilkynnt um þessa málsmeðferð og fyrirtækinu látið í té ljósrit af bréfi Umferðarstofu til Persónuverndar, dags. 27. ágúst sl., er varðar ágreiningsefni málsins. Þá var Skýrr hf. tilkynnt um að fyrirtækinu væri óheimilt að hefja tilkynnta vinnslu fyrr en afstaða Persónuverndar til málsins lægi fyrir.

Álit Umferðarstofu á fyrirhugaðri vinnslu Skýrr hf. á upplýsingum úr afriti ökutækjaskrár, sbr. fyrrgreinda tilkynningu þess efnis, barst Persónuvernd með bréfi dags. 29. september. Í álitinu kemur fram sú afstaða, með skírskotun til ákvæða laga og reglna, að Umferðarstofa er ósamþykk því að Skýrr hf. hefji tilkynnta vinnslu á persónuupplýsingum úr ökutækjaskrá.

Umrætt álit Umferðarstofu var sent Skýrr hf. þann 1. október og fyrirtækinu gefinn kostur á að koma á framfæri andmælum við efni þess. Með bréfi Skýrr hf. til Persónuverndar, dags 6. október sl., er sjónarmiðum Umferðarstofu mótmælt. Færð eru rök fyrir því, og vísað til ákvæða laga og reglna því til stuðnings, að gagnvart sínum viðskiptavinum hafi fyrirtækið stöðu ábyrgðaraðila varðandi vinnslu persónuupplýsinga úr ökutækjaskrá og að Umferðarstofu sé skylt að veita fyrirtækinu aðgang að skránni á jafnræðisgrundvelli.

Með bréfi Umferðarstofu til Persónuverndar, dags 14. október, voru gerðar athugasemdir við sjónarmið Skýrr hf., sbr. fyrrgreint bréf frá 6. október, auk þess sem fyrri afstaða stofnunarinnar til málsins var áréttuð. Með bréfi, dags. 15. október, var Skýrr hf. sent ljósrit af umræddu bréfi og öllum fyrri bréfaskiptum Umferðarstofu og Persónuverndar í tengslum við málið.

II.
Um formhlið málsins

Í bréfi Skýrr hf., dags. 6. október, voru gerðar athugasemdir varðandi formhlið málsins. Í erindinu kom í fyrsta lagi fram sú afstaða fyrirtækisins að Persónuvernd gæti ekki aðhafst í málinu fyrr en fyrir lægi úrlausn samkeppnisyfirvalda um það hvort samningur Skýrr hf. og Umferðarstofu, dags. 12. febrúar 2003, fæli í sér brot á samkeppnislögum nr. 8/1993. Í öðru lagi var gerð svohljóðandi krafa: „Þá krefst Skýrr hf. þess, að á meðan ekki liggur fyrir úrlausn samkeppnisyfirvalda um brot Umferðarstofu á ákvæðum samkeppnislaga, verði Skýrr hf. heimilt að veita aðgang að ökutækjaskrá á jafnræðisgrundvelli við Umferðarstofu.“

Á fundi stjórnar Persónuverndar, sem haldinn var þriðjudaginn 7. október 2003, voru lögð fram gögn varðandi ágreining Umferðarstofu og Skýrr hf. um miðlun upplýsinga úr ökutækjaskrá. Varðandi framangreint segir svo í fundargerð stjórnar Persónuverndar:

„Framangreint erindi Skýrr var rætt. Þar kom fram að eðli málsins samkvæmt væri það fyrst og fremst hlutverk Persónuverndar að fjalla um málið út frá lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þar af leiðandi væri ekki ástæða til að bíða með að taka málið til efnislegrar úrlausnar þótt Skýrr hefði vísað því til Samkeppnisyfirvalda vegna meints brots á samkeppnislögum. Þá þóttu ekki vera forsendur til útgáfu sérstakrar vinnsluheimildar til handa Skýrr. Hins vegar var ákveðið að hraða því, eftir föngum, að komast að efnislegri niðurstöðu í málinu.“

Á grundvelli þessa var ákveðið að taka málið til úrskurðar, sbr. 2. mgr. 37. gr. laga nr. 77/2000, og var málsaðilum tilkynnt um það bréflega, Skýrr hf. með bréfi, dags. 7. október, og Umferðarstofu með bréfi, dags 8. október, þar sem stofnuninni var jafnframt gefið tækifæri til að gera athugasemdir við bréf Skýrr hf. frá 6. október.

III.
Málavextir

Umferðarstofa, sem annast skráningu ökutækja og aðra umsýslu varðandi skráningu ökutækja, gerð þeirra og búnað, sbr. a.-lið 1. mgr. 112. gr. umferðarlaga nr. 50/1987, selur upplýsingar úr skránni samkvæmt gjaldskrá nr. 681/2002 frá 26. september 2002, sem sett er af dómsmálaráðherra, og starfsreglum um upplýsingaveitu úr ökutækjaskrá frá 1. apríl 2003, sem Persónuvernd tók til umsagnar, sbr. bréf dags. sama dag. Samkvæmt starfsreglunum veitir Umferðarstofa áskrifendum rétt til að fletta upp eftir fastnúmeri, skráningarnúmeri eða verksmiðjunúmeri ökutækja annars vegar og eftir kennitölum eigenda og umráðamanna hins vegar. Áskrift til að fletta upp eftir kennitölum er eingöngu heimiluð skattayfirvöldum, lögreglu, innheimtumönnum ríkissjóðs, s.s. tollstjóra, og lögmönnum, sem lagt hafa fram beiðni um aðför til fullnustu á fjárkröfum. Tekið er 14 króna gjald fyrir hverja uppflettingu eftir fastnúmeri, skráningarnúmeri eða verksmiðjunúmeri ökutækis, en 700 krónur fyrir hverja uppflettingu eftir kennitölu.

Með skriflegum samningi milli Umferðarstofu og Skýrr hf., dags. 11. júní 2002, var ákveðið að Skýrr hf. tæki að sér, sem verktaki, að keyra og þjónusta skeytamiðlara og vista afrit af ökutækjaskrá þannig að tryggt yrði að Landskerfi fjármálaráðuneytisins og ökutækjaskrá gætu sótt og sent upplýsingar sín á milli, sbr. 1. gr. samningsins. Þetta afrit er eingöngu ætlað fyrir keyrslu og til að fletta upp í skránni fyrir Landskerfin en ekki til annarra þarfa eða til endursölu. Með samningi milli sömu aðila, dags. 12. febrúar 2003, var þó samið um aðgang Skýrr hf. að upplýsingum úr ökutækjaskrá til endursölu, enda mætti, skv. 3. tl. samningsins eingöngu fletta upp í frumriti ökutækjaskrár samkvæmt verksmiðjunúmeri, skráningarnúmeri eða fastnúmeri ökutækis.

Í bréfi til Persónuverndar, dags. 27. ágúst sl., er því haldið fram af hálfu Umferðarstofu að Skýrr hf. hafi orðið uppvíst að því að brjóta umræddan samning með því að veita upplýsingar úr ökutækjaskrá eftir kennitöluuppflettingu. Í bréfinu er m.a. vísað í tölvupóst frá Skýrr hf., dags. 20. ágúst, þar sem segir eftirfarandi:

„Eftir samtal okkar þá fór ég einnig yfir þessi mál hér innanhús með H, forstjóra Skýrr, og það sem gerir málið erfitt fyrir er að við höfum nýlega fengið viðskipti á grundvelli þess að geta boðið upp á þessa þjónustu með notkun á kennitölum og því þurfum við að sannreyna þessa hluti við Persónuvernd eins hratt og kostur er.“

Eftir nokkur bréfaskipti Persónuverndar og Umferðarstofu varðandi bréf Umferðarstofu, dags. 27. ágúst, þar sem farið var fram á gerð úttektar á vörslu og miðlun upplýsinga í ökutækjaskrá með tilliti til ofangreindra samninga við Skýrr hf., barst Persónuvernd áðurgreind tilkynning Skýrr hf., dags. 11. september sl., um fyrirhugaða vinnslu persónuupplýsinga úr tilteknum opinberum skrám, þ. á m. ökutækjaskrá. Í bréfi Skýrr hf., dags. 6. október, segir að Umferðastofa hafi, með vísan í ofangreindan samning aðila frá 12. febrúar 2003, neitað fyrirtækinu um heimild til að veita upplýsingar úr ökutækjaskrá eftir kennitöluuppflettingu. Fór málið þá í þann farveg sem áður hefur verið lýst.

IV.
Sjónarmið aðila
1.

Í minnisblaði lögfræðings Umferðarstofu, dags. 13. september sl., eru reifuð ákvæði umferðarlaga nr. 50/1987, og reglugerðar nr. 78/1997, er varða skráningu ökutækja og um hlutverk Umferðastofu í því sambandi. Þar segir að samkvæmt 63. gr. umferðarlaga skuli skrá bifreiðar, bifhjól, torfærutæki eða dráttarvélar og fleiri tiltekin ökutæki áður en þau eru tekin í notkun. Samkvæmt 112. gr. sömu laga sé það hlutverk Umferðarstofu að annast skráningu ökutækja og aðra umsýslu varðandi skráningu ökutækja, gerð þeirra og búnað. Þá segir að Umferðarstofa haldi ökutækjaskrá, sem sé opinber ská yfir ökutæki sem skráð hafa verið hér á landi, sbr. 1. gr. fyrrnefndrar reglugerðar. Samkvæmt 5. gr. hennar skuli færa upplýsingar um ökutækið sjálft, þ.e. upplýsingar um fastnúmer, skráningarnúmer og verksmiðjunúmer ökutækis, og um eiganda og umráðamann ökutækis, þ.e. upplýsingar um nafn, heimili og kennitölu.

Varðandi vörslu og meðferð ofangreindra upplýsinga er byggt á því að um sé að ræða persónuupplýsingar í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Samkvæmt 4. tl. 2. gr. laganna, og með hliðsjón af 5. tl. sömu greinar, sé Umferðarstofa ábyrgðaraðili ökutækjaskrár. Með vísan til þess hvernig hugtakið ábyrgðaraðili er skýrt í greinargerð, sem fylgdi frumvarpi því sem varð að lögum nr. 77/2000, verði að álykta sem svo að það sé á valdi Umferðarstofu að mæla fyrir um eða samþykkja með hvaða hætti Skýrr hf. fer með upplýsingar sem fyrirtækið sækir í frumrit ökutækjaskrár og selur viðskiptavinum sínum. Þá er og skírskotað til markmiðs laganna, sem sé að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga. Þetta markmið móti efni laganna að því er varðar skráningu og meðferð persónuupplýsinga, þ.m.t. miðlun þeirra til þriðja manns.

Í bréfi Umferðarstofu, dags. 29. september 2003, segir að í tilkynningu Skýrr hf. um vinnslu persónuupplýsinga, m.a. úr ökutækjaskrá, sé boðað að Skýrr hf. muni fletta upp í ökutækjaskrá kennitölum eigenda ökutækja og tengja þær upplýsingar ýmsum öðrum upplýsingum sem þar er að finna, m.a. um ökutækjaeign einstaklinga og fyrirtækja. Gert sé ráð fyrir því samkvæmt tilkynningunni að sérhver notandi á kennitöluuppflettingum muni sjálfur bera ábyrgð á sínum uppflettingum en engar takmarkanir séu hins vegar á því hverjir megi verða slíkir notendur.

Vísað er til þess að um miðlun upplýsinga úr ökutækjaskrá gilda sérstakar reglur, sbr. 4. mgr. 3. gr. reglugerðar nr. 79/1997 um starfshætti skráningarstofu ökutækja. Samkvæmt ákvæðinu ber Umferðarstofu að setja sér starfsreglur um miðlun upplýsinga úr ökutækjaskrá. Með stoð í þessu reglugerðarákvæði hafi Umferðastofa sett sér starfsreglur, dags. 1. apríl 2003. Samkvæmt reglunum sé aðgangur að upplýsingum eftir kennitöluuppflettingu óheimill öðrum en þeim sem hafi rétt til slíks aðgangs samkvæmt sérstakri heimild í lögum, sbr. skatta- og tollayfirvöld og lögregla, auk þess sem lögmenn hafa slíkan aðgang við innheimtu á fjárnámshæfum kröfum og til að geta sinnt störfum sínum sem skiptastjórar dánar- og þrotabúa. Í fyrrnefndu minnisblaði, dags. 13. september sl., er vitnað í umsögn Persónuverndar um starfsreglurnar, sbr. bréf, dags. 1. apríl 2003, þar sem fram kemur að stofnunin telji „að persónuverndarsjónarmiða sé nægilega vel gætt, enda [sé] kveðið á um að aðgangur lögmanna skuli vera samkvæmt samningi þar sem lögmenn lýsa því yfir að þeir muni aðeins nota aðganginn í tengslum við innheimtu fjárnámshæfrar kröfu, auk þess sem kveðið er á um að allar uppflettingar eftir kennitölum skuli skráðar og að misnotkun aðgangs varði niðurfellingu hans.“

Þá er vísað til ákvæða í samningum sem Umferðarstofa og Skýrr hf. hafa gert sín á milli um vinnslu upplýsinga úr ökutækjaskrá. Samkvæmt 1. gr. rekstrarsamnings, dags. 11. júní 2002, sé afrit ökutækjaskrár eingöngu ætlað fyrir keyrslur og uppflettingar í Landskerfum fjármálaráðuneytisins, en ekki til endursölu. Gerður hafi verið sérstakur samningur um aðgang Skýrr hf. að upplýsingum til endursölu, dags. 12. febrúar 2003. Samkvæmt 3. gr. hans sé uppfletting eingöngu heimil eftir verksmiðjunúmeri, skráningarnúmeri eða fastnúmeri ökutækis.

Með vísan til umræddra reglna um miðlun upplýsinga úr ökutækjaskrá, og ákvæða samninga aðila þar að lútandi, hafi Umferðarstofa bannað Skýrr hf. að hefja tilkynnta vinnslu persónuupplýsinga úr ökutækjaskrá, sbr. tilkynningu þess, dags. 11. september 2003. Þá vísar Umferðarstofa til þess að á grundvelli 3. mgr. 13. gr. laga nr. 77/2000 beri Skýrr hf. skylda til þess, sem vinnsluaðila persónuupplýsinga úr ökutækjaskrá, að fara að fyrirmælum ábyrgðaraðila, þ.e. Umferðarstofu samkvæmt 112. gr. umferðarlaga nr. 50/1987, varðandi vinnslu persónuupplýsinga úr skránni. Á grundvelli alls framangreinds telur Umferðarstofa að Persónuvernd eigi að hafna tilkynningu Skýrr hf., sbr. niðurlagsorð í bréfi stofnunarinnar, dags. 29. september 2003.

2.

Í bréfi Skýrr hf., dags. 6. október 2003, er fjallað um hlutverk Umferðarstofu samkvæmt 112. gr. umferðarlaga nr. 50/1987. Þar segir að Umferðarstofa hafi tekið við hlutverki Skráningarstofunnar hf., samkvæmt lögum nr. 83/2002 um breytingu á umferðarlögum. Vísað er í umsögn fjárlagaskrifstofu fjármálaráðuneytisins um frumvarpið sem varð að umræddum lögum nr. 83/2002, þar sem fram komi að eftir lögfestingu frumvarpsins eigi að skipa verkefnisstjórn til að taka ákvarðanir um vistun verkefna sem hafa verið unnin hjá forverum Umferðarstofu. Í umsögninni sé tekið sem dæmi að Skráningarstofan hf. hafi haft umsjón með rekstri margra helstu tölvukerfa löggæslustofnana og sýslumannsembætta. Til álita komi að færa slíkan rekstur til hýsingarfyrirtækis að undangengnu útboði að uppfylltum ströngum kröfum um öryggi og eftirlit. Af þessum ummælum megi draga þá ályktun að þó svo Umferðarstofu hafi í frumvarpinu verið falið að annast ökutækjaskrá, hafi löggjafinn gert ráð fyrir því frá upphafi að hýsing og rekstur tölvu- og upplýsingakerfa mætti fela öðrum aðilum en Umferðarstofu sjálfri. Hvergi sé að finna ákvæði í umferðarlögum þess efnis, eða þess getið í frumvarpinu, að Umferðarstofu sé veitt einkaleyfi að lögum til að miðla upplýsingum úr ökutækjaskrá. Þvert á móti sé gert ráð fyrir því að öðrum aðilum verði falin tiltekin verkefni, t.d. rekstur einstakra tölvu- og upplýsingakerfa eða veitt heimild til að veita þjónustu tengda ökutækjaskrá, svo sem miðlun upplýsinga úr henni. Heimild til þessa sé að finna í 2. mgr. 112. gr. umferðarlaga, þar sem segir að Umferðarstofu sé heimilt að fela öðrum framkvæmd verkefna sem henni tilheyra, samkvæmt reglum sem dómsmálaráðherra setur. Þá er enn fremur vísað til 3. gr. reglugerðar um starfshætti skráningarstofu ökutækja nr. 79/1997, þar sem segir m.a. að einstaklingum, fyrirtækjum og stofnunum sé heimill aðgangur að upplýsingum um einstök ökutæki úr ökutækjaskrá eins og nánar sé kveðið á um í starfsreglum skráningarstofu, sem staðfestar skulu af Tölvunefnd, nú Persónuvernd.

Í fyrrnefndu bréfi er vikið að efni samnings Umferðarstofu og Skýrr hf., dags. 12. febrúar 2003, um aðgang Skýrr hf. að upplýsingum úr ökutækjaskrá, og starfsreglna Umferðarstofu sem samningurinn byggir á, sbr. 5. tl. hans. Þar kemur fram sú afstaða Skýrr hf. að 3. gr. samningsins brjóti gegn 11. gr. samkeppnislaga nr. 8/1993, þar sem samningsákvæðið feli í sér misnotkun Umferðarstofu á markaðsráðandi stöðu. Umferðarstofa geti ekki selt fyrirtækjum á borð við Skýrr hf. og Lánstraust hf. aðgang að ökutækjaskrá á samkeppnismarkaði, í þeim tilgangi að þau geti endurselt viðskiptavinum sínum aðgang að skránni, en um leið neitað þessum fyrirtækjum um að veita viðskiptavinum sínum sams konar aðgang að ökutækjaskrá og Umferðarstofa býður viðskiptavinum sínum. Þar sem Umferðarstofa hafi ekki einkaleyfi eða einkarétt til að miðla upplýsingum úr ökutækjaskrá, samkvæmt sérstöku lagaákvæði þess efnis, gildi um markaðinn, þ.e. upplýsingamiðlunina, almenn ákvæði samkeppnislaga.

[…]¹

Skýrr hf. telur að Umferðarstofa réttlæti mismunun á aðgangi samkeppnisaðila hennar að ökutækjaskrá á þeirri forsendu að með því sé verið að tryggja öryggi persónuupplýsinga. Í þessu sambandi vísar Skýrr hf. til þess að árið 1998 hafi verið til skoðunar hjá þáverandi Tölvunefnd tiltekin beiðni um svonefndan kennitöluaðgang að ökutækjaskrá. Vegna þessa erindis hafi Tölvunefnd leitað álits Skráningarstofunnar, þar sem þessa sjónarmiðs var getið með eftirfarandi orðum: „Í þessu samhengi er rétt að taka fram að Skráningarstofan telur að öryggi persónuupplýsinga í ökutækjaskrá sé best tryggt með því að upplýsingamiðlun úr skránni sé á hendi eins aðila sem starfar í nánu samráði við Tölvunefnd.“ Samkvæmt þessu telji Umferðarstofa sig geta réttlætt brot á 11. gr. samkeppnislaga nr. 8/1993 með því að vísa til laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Skýrr hf. telji aftur á móti að Umferðarstofa geti ekki beitt fyrir sig ákvæðum laga nr. 77/2000 og með þeim réttlætt þau brot á ákvæðum samkeppnislaga sem felast í samningi stofnunarinnar og Skýrr hf. frá 12. febrúar 2003. Jafnframt er tekið fram að Skýrr hf. uppfylli allar kröfur laga nr. 77/2000 til þess að geta miðlað upplýsingum úr ökutækjaskrá til viðskiptavina sinna.

Þá er vikið að samningi Umferðarstofu og Skýrr hf. frá 12. febrúar 2003 um aðgang Skýrr hf. að upplýsingum úr ökutækjaskrá. Telur Skýrr hf. að Umferðarstofa hafi, með því að veita Skýrr hf. heimild til að selja viðskiptavinum sínum aðgang að ökutækjaskrá og setja fram upplýsingarnar eftir eigin höfði, veitt fyrirtækinu stöðu ábyrgðaraðila gagnvart viðskiptavinum sínum. Umferðarstofa fái engar upplýsingar um það hvaða viðskiptavinir Skýrr hf. gera fyrirspurnir í ökutækjaskrá eða hvert efni þeirra fyrirspurna er. Þannig geti Umferðarstofa ekki talist vera ábyrgðaraðili ökutækjaskrár gagnvart viðskiptavinum Skýrr hf. eða rækt það lögbundna ábyrgðar- eða eftirlitshlutverk sem ábyrgðaraðila er falið með lögum nr. 77/2000 gagnvart hinum skráða. Samkvæmt ákvæði 1. gr. fyrrnefnds samnings sé Skýrr hf. í hlutverki ábyrgðaraðila gagnvart sínum viðskiptavinum og ákveði tilgang vinnslu ökutækjaskrár, þann búnað sem notaður er við miðlun á upplýsingum úr skránni, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tl. 2. gr. nefndra laga. Þá bendir Skýrr hf. á að samkvæmt tilkynningu nr. 185 frá 4. maí 2001, um vinnslu persónuupplýsinga úr ökutækjaskrá, sé fyrirtækinu skýrlega lýst sem ábyrgðaraðila varðandi þær ráðstafanir sem ábyrgðaraðila ber að gera til að tryggja öryggi upplýsinganna, sbr. 11. gr. laga nr. 77/2000. Þetta komi einnig fram í tilkynningu frá 19. september 2003 um breytingu á fyrrnefndri tilkynningu.

Þá telur Skýrr hf. sig einnig hafa stöðu ábyrgðaraðila á grundvelli samkeppnislaga nr. 8/1993. Samkvæmt þeim beri Umferðarstofu skylda til að veita samkeppnisaðilum aðgang að ökutækjaskrá á jafnræðisgrundvelli og án mismununar. Slíkt verði ekki gert nema samkeppnisaðilar hafi báðir stöðu ábyrgðaraðila, þar sem ella kynni samkeppnisstaða að skekkjast mjög vegna þeirrar samningsstöðu sem ábyrgðaraðili hefði gagnvart vinnsluaðila, m.a. til einhliða uppsagnar á slíkum samningi og allra ákvarðana um starfsemi vinnsluaðila.

Að lokum telur Skýrr hf. miklar líkur vera til þess að rekstur Umferðarstofu á ökutækjaskrá brjóti jafnframt gegn ákvæði 14. gr. samkeppnislaga nr. 8/1993 sé horft til skipurits og uppbyggingar Umferðarstofu.

3.

Í bréfi sínu, dags. 14. október 2003, hafnar Umferðarstofa sjónarmiðum Skýrr hf. um að stofnunin eigi í samkeppni við Skýrr hf. um miðlun upplýsinga úr ökutækjaskrá. Stofnunin veiti öllum upplýsingar úr ökutækjaskrá sem þess óska á grundvelli 1. tl. 3. gr. starfsreglna sinna, þ.á.m. Skýrr hf. Að lokum áréttar Umferðarstofa sjónarmið sitt um að öryggi persónuupplýsinga sé best tryggt með því að upplýsingamiðlun úr ökutækjaskrá eftir kennitölu fari milliliðalaust frá Umferðarstofu, sem ábyrgðaraðila, til þeirra sem fá slíkan aðgang eða áskrift, allt í nánu samráði við Persónuvernd. Ekki verði séð að sú málsmeðferð varði við samkeppnislög nr. 8/1993.

V.
Forsendur og niðurstaða
1.

Ágreiningur þessa máls snýst um það hvort Skýrr hf. megi, án samþykkis Umferðarstofu, taka ákvarðanir um tilhögun miðlunar upplýsinga úr ökutækjaskrá til viðskiptavina sinna. Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, með síðari breytingum, gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga. Til að vinnsla teljist rafræn er nóg að einhver þáttur vinnslunnar sé rafrænn. Hugtakið vinnsla er í lögunum skilgreint svo: „Sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn“, sbr. 2. tl. 2. gr. laganna. Þannig telst beinlínutenging við ökutækjaskrá, eða aðgangur að upplýsingum úr henni á lokuðum svæðum á internetinu, vera vinnsla í skilningi laganna. Eins og áður hefur komið fram er ökutækjaskrá skrá yfir nöfn, heimilisföng og kennitölur eigenda og umráðamanna ökutækja, auk þess sem ýmsar upplýsingar um ökutækið sjálft eru þar skráðar, s.s. fastnúmer, skráningarnúmer og verksmiðjunúmer. Þessar upplýsingar teljast vera persónuupplýsingar í skilningi laga nr. 77/2000, en í 1. tl. 2. gr. þeirra er hugtakið persónuupplýsingar skilgreint svo: „Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.“ Með vísan til framangreinds er ljóst að um er að ræða vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 og þar með fellur ágreiningurinn undir úrlausnarvald Persónuverndar.

2.

Samkvæmt 63. gr. umferðarlaga nr. 50/1987 er skylt að skrá ökutæki, sem eru nánar tiltekin í ákvæðinu, áður en þau eru tekin til notkunar. Í a.-lið 64. gr. sömu laga segir að dómsmálaráðherra setji reglur um skráningu ökutækja og eigendur þeirra. Með stoð í þessu ákvæði, auk 60. og 67. gr. laganna, setti dómsmálaráðherra, þann 6. október sl., reglugerð nr. 751/2003 um skráningu ökutækja, sem leysti af hólmi reglugerð nr. 78/1997 sama efnis. Fjallað er um skráningarskyld ökutæki í 1. gr. reglugerðarinnar og er ákvæðið efnislega samhljóða 63. gr. laganna.

Með lögum nr. 83/2002, um breytingu á umferðarlögum nr. 50/1987, var sérstakri ríkisstofnun komið á fót, þ.e. Umferðarstofu, til að annast stjórnsýslu á sviði umferðarmála, sbr. 6. gr. laganna. Í greinargerð sem fylgdi frumvarpi því sem varð að lögum nr. 83/2002 er ákvæðið skýrt svo: „Lagt er til að stofnuð verði sérstök ríkisstofnun er beri heitið Umferðarstofnun. Stofnunin verði undir yfirstjórn dómsmálaráðherra og annist stjórnsýslu eins og nánar er tilgreint í 7. gr. frumvarpsins. Í samræmi við almennar reglur stjórnsýslulaga munu ákvarðanir Umferðarstofnunar sæta kæru til dómsmálaráðuneytisins. […]“

Í 112. gr. umferðarlaga er hlutverki Umferðarstofu lýst og helstu verkefni hennar tilgreind. Samkvæmt a.-lið ákvæðisins „annast [Umferðarstofa] skráningu ökutækja og aðra umsýslu varðandi skráningu ökutækja, gerð þeirra og búnað.“ Fjallað er um ökutækjaskrá í 4. gr. fyrrnefndrar reglugerðar nr. 751/2003 og er 1. mgr. ákvæðisins orðuð svo: „Umferðarstofa heldur ökutækjaskrá og annast aðra umsýslu varðandi skráningu ökutækja, gerð þeirra og búnað.“

Dómsmálaráðherra hefur sett reglugerð nr. 79/1997 um starfshætti skráningarstofu ökutækja, nú Umferðarstofu, sem m.a. tekur til miðlunar upplýsinga úr ökutækjaskrá. Í 4. mgr. 3. gr. segir eftirfarandi: „Einstaklingum, fyrirtækjum og stofnunum er heimill aðgangur að upplýsingum um einstök ökutæki úr ökutækjaskrá eins og nánar er kveðið á um í starfsreglum skráningarstofu, sem staðfestar skulu af tölvunefnd. Skráningarstofa hefur umsjón með aðgengi að skránni. Miðlun upplýsinga um eigendur og umráðamenn ökutækja er háð leyfi tölvunefndar [nú Persónuverndar]. Opinber birting upplýsinga úr ökutækjaskrá eða miðlun þeirra er óheimil. Þó getur skráningarstofa, að fengnu samþykki tölvunefndar, heimilað slíkt, enda komi þá jafnan fram hvaðan upplýsingarnar eru fengnar.“ Eins og ráða má af þessu reglugerðarákvæði er Umferðarstofu falið að móta nánar í starfsreglum sínum hvernig hátta eigi miðlun upplýsinga til einstaklinga, fyrirtækja eða stofnana. Þó er tekið fram að opinber birting upplýsinga úr ökutækjaskrá sé óheimil, nema fyrir liggi samþykki tölvunefndar, nú Persónuverndar, og þá sé jafnan getið hvaðan upplýsingarnar eru fengnar.

Í samræmi við nefnt reglugerðarákvæði hefur Umferðarstofa sett sér starfsreglur, dags. 1. apríl 2003, um upplýsingaveitu úr ökutækjaskrá. Samkvæmt 1. tl. 1. gr. þeirra er gert ráð fyrir að Umferðarstofa geti selt uppflettiaðgang að ökutækjaskrá eftir beinlínutengingu. Síðan segir: „Með slíkum uppflettiaðgangi má fletta upp einstöku ökutæki út frá fastnúmeri þess, áletrun á skráningarmerki eða verksmiðjunúmeri og kalla fram á skjá þær upplýsingar um ökutækið sem tilgreindar eru í 4. gr.“ Samkvæmt því ákvæði eru upplýsingar um nafn, heimilisfang og kennitölu eiganda eða umráðamanns ökutækis háðar takmörkunum. Fjallað er um miðlun upplýsinga um einstaka aðila í 3. gr. starfsreglnanna, en 1. mgr. greinarinnar er svohljóðandi: „Almennt er óheimilt að miðla upplýsingum um eignastöðu einstakra aðila í ökutækjaskrá. Áskrifendum að ökutækjaskrá skal vera ókleift að fletta upp einstökum aðilum eftir nöfnum þeirra eða kennitölum og fá upplýsingar um ökutækjaeign þeirra.“ Í 3. mgr. er hins vegar heimild til að semja við skattayfirvöld, lögreglu, innheimtumenn ríkissjóðs, og lögmenn, sem lagt hafa fram beiðni um aðför til fullnustu á fjárkröfum, um að fletta upp eftir kennitölum í skránni.

Í 4. tl. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga er hugtakið ábyrgðaraðili skilgreint sem: „Sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.“ Í greinargerð sem fylgdi frumvarpinu segir m.a. eftirfarandi til skýringar á ákvæðinu: „Hugtakið er nýtt en er skylt hugtakinu skrárhaldari í gildandi lögum. Hugtakið ábyrgðaraðili á sér fyrirmynd í d-lið 2. gr. tilskipunar ESB og er átt við þann aðila sem hefur ákvörðunarvald um vinnslu persónuupplýsinga, tilganginn með vinnslu þeirra og hvað sá hugbúnaður sem notaður er á að gera. Jafnvel þótt slíkur aðili feli öðrum meðferð upplýsinganna ber hann ábyrgðina, svo fremi sem hann hafi áfram ákvörðunarvaldið. Sá sem vinnur með upplýsingarnar á vegum ábyrgðaraðila er hins vegar nefndur vinnsluaðili. Skilyrði þess að geta talist ábyrgðaraðili er að hafa aðildarhæfi og að geta svarað til saka fyrir tiltekna vinnslu persónuupplýsinga fyrir dómstólum, ef svo ber undir.“

Með vísan til ofangreindra ákvæða laga og reglna er Umferðarstofa stjórnvald sem að lögum hefur verið fengið vald til að ákveða hvort, og þá með hvaða hætti, upplýsingum úr ökutækjaskrá sé miðlað til annarra, hvort heldur er til allsherjar- eða einkaréttarlegra aðila, nema ákvæði laga eða reglna setji því skorður. Með vísan til þessa, og að virtum þeim ákvæðum sem um starfssemi Umferðarstofu gilda, telst hún vera ábyrgðaraðili ökutækjaskrár.

3.

Í bréfi Skýrr hf. frá 6. október sl. segir að draga megi þá ályktun af frumvarpi því sem varð að lögum nr. 83/2002 um breytingu á umferðarlögum, að löggjafinn hafi frá upphafi gert ráð fyrir því að hýsing og rekstur tölvu- og upplýsingakerfa mætti fela öðrum aðilum en Umferðarstofu sjálfri. Þessu til stuðnings er m.a. vísað til 2. mgr. 112. gr. umferðarlaga og til 4. mgr. 3. gr. reglugerðar nr. 79/1997 um starfshætti skráningarstofu ökutækja. Umferðarstofu hafi þannig verið heimilt að gera samning við Skýrr hf. um vinnslu persónuupplýsinga úr ökutækjaskrá. Skilja verði samning aðila frá 12. febrúar 2003 á þann veg að með honum hafi Umferðarstofa veitt Skýrr hf. stöðu ábyrgðaraðila, þar sem fyrirtækinu hafi verið veitt heimild til að selja viðskiptavinum sínum aðgang að ökutækjaskrá og setja fram upplýsingarnar eftir eigin höfði, sbr. 1. gr. samningsins. Samkvæmt ákvæði 1. gr. samningsins sé Skýrr hf. í hlutverki ábyrgðaraðila gagnvart sínum viðskiptavinum og geti þannig ákveðið tilgang vinnslunnar, þann búnað sem notaður er við miðlun á upplýsingum úr ökutækjaskrá, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tl. 2. gr. nefndra laga.

Eins og bent er á í fyrrgreindu bréfi Skýrr hf. er að finna í 2. mgr. 112. gr. umferðarlaga nr. 50/1987 heimildarákvæði til handa Umferðarstofu til að fela öðrum aðilum framkvæmd þeirra verkefna sem henni eru falin lögum samkvæmt. Það skal þó gert samkvæmt reglum sem dómsmálaráðherra setur eins og áskilið er í ákvæðinu. Reglur um það að hvaða marki Umferðarstofu sé heimilt að fela öðrum aðilum framkvæmd þeirra verkefna, sem tilgreind eru í 1. mgr. 112. gr., hafa ekki enn verið settar af hálfu dómsmálaráðherra. Persónuvernd tekur þó ekki afstöðu til þess hvort skortur á slíkum reglum leiði til þess að Umferðarstofu sé óheimilt að veita öðrum aðila stöðu ábyrgðaraðila varðandi vinnslu persónuupplýsinga úr ökutækjaskrá.

Ætla má að undir vissum kringumstæðum geti ábyrgðaraðili persónuupplýsinga, með samningi, falið öðrum aðila umráð og ábyrgð yfir persónuupplýsingum, að hluta eða öllu leyti. Þetta getur þó, eftir atvikum, verið háð ýmsum skilyrðum, s.s. eðli þeirra persónuupplýsinga sem um er að ræða, að í samningnum sé nákvæmlega tilgreint til hvaða persónuupplýsinga og vinnslu hann nái, að þar sé skýrlega kveðið á um réttarstöðu aðila, þ.e. að ákvörðunarvald yfir vinnslu persónuupplýsinga færist yfir til viðsemjanda, og að efni samningsins geti ekki orðið hinum skráða til tjóns. Þá verður að túlka slíkan samning í ljósi raunverulegrar framkvæmdar hans. Þegar skoðað er efni samnings aðila máls þessa, dags. 12. febrúar 2003, verður ekki fullyrt að hann fullnægi þessum kröfum. Í samningnum er þess hvergi getið berum orðum að Skýrr hf. hafi stöðu ábyrgðaraðila varðandi vinnslu persónuupplýsinga úr ökutækjaskrá. Þá bera ákvæði samningsins ekki með sér að Umferðarstofa hafi fengið Skýrr hf. ákvörðunarvald yfir upplýsingum úr ökutækjaskrá, að öðru leyti en því að fyrirtækinu er heimilað að haga framsetningu upplýsinganna, sem því er heimilt að vinna með, eftir eigin höfði, sbr. 1. gr. samningsins. Þá segir hvergi að Skýrr hf. sé í „hlutverki ábyrgðaraðila gagnvart sínum viðskiptavinum“. Sú ábyrgð sem hvílir á ábyrgðaraðila ökutækjaskrár, samkvæmt lögum nr. 77/2000, verður ekki lögð að jöfnu við ábyrgð fyrirtækis gagnvart viðskiptavinum sínum. Hinn skráði nýtur sjálfstæðs réttar samkvæmt lögum nr. 77/2000, og getur ábyrgðaraðili ekki vikið sér undan ábyrgð eða takmarkað skyldur sínar gagnvart hinum skráða með samningi eða yfirlýsingu þar að lútandi.

Þá ber að skoða samninginn í ljósi reglna sem gilda um miðlun upplýsinga úr ökutækjaskrá, sbr. 4. mgr. 3. gr. reglugerðar nr. 79/1997 um starfshætti skráningarstofu ökutækja, sem eru bindandi gagnvart Umferðarstofu og viðsemjendum hennar. Þar segir að einstaklingum, fyrirtækjum og stofnunum sé heimill aðgangur að upplýsingum um einstök ökutæki úr ökutækjaskrá eins og nánar sé kveðið á um í starfsreglum, sem staðfestar skulu af Tölvunefnd, nú Persónuvernd. Þá segir enn fremur að Skráningarstofa, forveri Umferðarstofu, hafi umsjón með aðgangi að skránni. Samkvæmt þessu ber að gera samninga um miðlun upplýsinga úr ökutækjaskrá á grundvelli starfsreglna sem Umferðarstofa setur sér og samþykktar skulu af Persónuvernd. Þessar starfsreglur mynda ramma utan um efni slíkra samninga þar sem í þeim er tiltekið hvaða upplýsingum úr ökutækjaskrá heimilt er að miðla og til hvaða aðila. Þessar starfsreglur, sem samningur aðila frá 12. febrúar 2003 hvílir á, sbr. 5. tl. hans, veita enga leiðsögn um að túlka megi umræddan samning aðila á þá leið, að með honum hafi Skýrr hf. verið veitt staða ábyrgðaraðila ökutækjaskrár.

Í bréfi Skýrr hf., dags. 6. október sl., er því haldið fram að umræddur samningur frá 12. febrúar 2003 brjóti gegn 11. gr. samkeppnislaga nr. 8/1993, þar sem ekki sé skýrlega kveðið á um það í umferðarlögum nr. 50/1987 að Umferðarstofa hafi einkarétt til að miðla upplýsingum úr ökutækjaskrá. Þá er talið að rekstur Umferðarstofu, sé horft til skipurits og uppbyggingar stofnunarinnar, brjóti gegn 14. gr. sömu laga. Persónuvernd er hins vegar ekki bært stjórnvald að lögum til þess að taka afstöðu til þess hvort umræddur samningur brjóti í bága við samkeppnislög nr. 8/1993.

4.

Umferðarstofa hefur vísað til þess, sbr. bréf stofnunarinnar, dags. 29. september sl., að samningur aðila frá 12. febrúar 2003 sé vinnslusamningur í skilningi laga nr. 77/2000 og að samkvæmt 3. mgr. 13. gr. laganna beri vinnsluaðila, þ.e. Skýrr hf., að fara að fyrirmælum Umferðarstofu, ábyrgðaraðila ökutækjaskrár, varðandi vinnslu persónuupplýsinga úr ökutækjaskrá.

Ljóst er að á grundvelli samnings aðila máls þessa, dags. 12. febrúar 2003, er Skýrr hf. heimilt að miðla tilteknum upplýsingum úr ökutækjaskrá innan þess ramma sem ákvarðaður er í 3. tl. samningsins og í 3. gr. starfsreglna Umferðarstofu. Eins og áður er getið fellur miðlun persónuupplýsinga undir hugtakið vinnsla, sbr. 2. tl. 2. gr. laga nr. 77/2000. Því hefur þegar verið slegið föstu að Umferðarstofa hefur ein stöðu ábyrgðaraðila ökutækjaskrár, í skilningi 4. tl. 2. gr. laga nr. 77/2000. Má því fallast á það sjónarmið Umferðarstofu, að með samningi hennar við Skýrr hf., þann 12. febrúar 2003, hafi Skýrr hf. verið veitt staða vinnsluaðila skrárinnar í skilningi 5. tl. 2. gr. laganna. Þar er hugtakið vinnsluaðili skilgreint svo: „Sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.“ Í athugasemdum við þetta ákvæði í greinargerð frumvarpsins kemur fram sá skilningur á hugtakinu að nauðsynlegt sé að vinnslan fari fram fyrir hönd ábyrgðaraðila og sé byggð á vilja hans.

Fjallað er um trúnaðarskyldu vinnsluaðila við meðferð persónuupplýsinga í 13. gr. laga nr. 77/2000. Í 1. mgr. ákvæðisins segir að ábyrgðaraðila sé heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laganna. Slíkur samningur skal vera skriflegur og skal þar m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laganna um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr. Í 3. mgr. ákvæðisins er nánar vikið að stöðu vinnsluaðila í samningssambandi hans við ábyrgðaraðila, en þar segir eftirfarandi: „Hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.“ Tilgangur þessarar reglu er að tryggja að vinnsla persónuupplýsinga af hálfu vinnsluaðila fari ávallt fram í samræmi við vilja ábyrgðaraðila, sbr. það sem áður sagði til skýringar á hugtakinu vinnsluaðili, óháð því hvort vinnslusamningur milli aðila kunni að vera ófullkominn eða óljós um þetta atriði.

Í bréfi Skýrr hf., dags. 6. október sl., er vikið að samstarfi aðila á grundvelli samningsins. Þar segir að Umferðarstofa fái engar upplýsingar um það hvaða viðskiptavinir Skýrr hf. gera fyrirspurnir í ökutækjaskrá eða hvert efni þeirra fyrirspurna er. Þannig geti Umferðarstofa ekki talist ábyrgðaraðili ökutækjaskrár gagnvart viðskiptavinum Skýrr hf. eða rækt það lögbundna ábyrgðar- og eftirlitshlutverk sem ábyrgðaraðila er falið samkvæmt lögum nr. 77/2000.

Um þetta atriði er því til að svara að á vinnsluaðila hvílir sú skylda að vinna eingöngu innan þess ramma sem vinnslusamningurinn setur og í samræmi við ákvæði laga nr. 77/2000, sbr. 2. mgr. 13. gr. Þá ber honum jafnframt skylda til að hlíta einstökum fyrirmælum ábyrgðaraðila varðandi vinnsluna, nema lög mæli fyrir á annan veg, sbr. 3. mgr. 13. gr. Í þessu felst að vinnsluaðili ber sjálfstæða ábyrgð á því að sú vinnsla persónuupplýsinga sem fram fer á hans vegum sé hvort tveggja málefnaleg og lögmæt og í samræmi við þær kröfur sem gerðar eru til öryggis persónuupplýsinganna, sbr. lög nr. 77/2000 og reglur nr. 299/2001 sem settar hafa verið með stoð í þeim.

Með vísan til framangreinds, og að því gættu að ábyrgð vinnsluaðila er í eðli sínu ekki sambærileg við stöðu ábyrgðaraðila í skilningi 4. tl. 2. gr. laga nr. 77/2000, jafnvel þótt sá síðarnefndi vanræki skyldur sínar samkvæmt lögunum, verður ekki fallist á framangreint sjónarmið Skýrr hf.

Í samræmi við framangreint ber Skýrr hf. á grundvelli 3. mgr. 13. gr. laga nr. 77/2000 að fara að lögmætum fyrirmælum Umferðarstofu varðandi vinnslu persónuupplýsinga úr ökutækjaskrá. Skýrr hf. er því óheimilt að veita viðskiptavinum sínum aðgang að upplýsingum úr ökutækjaskrá eftir kennitöluuppflettingu í samræmi við fyrirmæli Umferðarstofu þess efnis.

Ú r s k u r ð a r o r ð:

Umferðarstofa er ábyrgðaraðili ökutækjaskrár og ber Skýrr hf., sem vinnsluaðila ökutækjaskrár, að hlíta lögmætum fyrirmælum Umferðarstofu varðandi vinnslu persónuupplýsinga úr skránni.

5. Erlent samstarf

5.1. Samstarf norrænna persónuverndarstofnana

1. Vorfundur forstjóra norrænna persónuverndarstofnana var haldinn í Helsinki í Finnlandi dagana 20.–22. ágúst. Fundurinn var sóttur af forstjóra og Margréti Steinarsdóttur, lögfræðingi.

Nánari umfjöllun um fundinn er hér að neðan í kafla 5.6.1.

2. Fundur starfsmanna hjá persónuverndarstofnunum á Norðurlöndunum var haldinn í Stokkhólmi í Svíþjóð dagana 5.–7. maí. Fundurinn var sóttur af Þórði Sveinssyni, lögfræðingi.

Nánari umfjöllun um fundinn er hér að neðan í kafla 5.6.2.

3. Fundur um framkvæmd sameiginlegra úttekta norrænna persónuverndarstofnana var haldinn í Stokkhólmi í Svíþjóð hinn 6. nóvember. Fundinn sótti Sigrún Jóhannesdóttir, forstjóri.

5.2. Samstarf evrópskra persónuverndarstofnana

1. Samráðsfundur forstjóra evrópskra persónuverndarstofnana var haldinn í Brussel í Belgíu 20. nóvember. Fundurinn var sóttur af forstjóra.

2. Vorfundur forstjóra evrópskra persónuverndarstofnana var haldinn í Sevilla á Spáni dagana 3. og 4. apríl. Fundurinn var ekki sóttur.

3. 7. fundur starfsmanna hjá evrópskum persónuverndarstofnunum, þ.e. í ríkjum sem innleitt hafa tilskipun 95/46/EB, var haldinn í Varsjá í Póllandi dagana 10. og 11. mars. Fundinn sótti Elsa S. Þorkelsdóttir lögfræðingur.

8. fundur sama hóps var haldinn í Róm dagana 23. og 24. október. Fundurinn var sóttur af Birni Geirssyni, lögfræðingi.

Nánari umfjöllun um fundina eru hér að neðan í kafla 5.6.3.

4. Vinnuhópur samkvæmt 29. gr. tilskipunar 95/46/EB hélt 6 fundi á árinu. Þórður Sveinsson, lögfræðingur, sótti fundi sem haldnir voru dagana 20. og 21. mars og 12. og 13. júní. Fundir, sem haldnir voru dagana 28. og 29. janúar, 5. maí og 23. og 24. september, voru ekki sóttir. Fundur, sem haldinn var dagana 20. og 21. nóvember, var sóttur af forstjóra.

Nánari umfjöllun um starf þessa vinnuhóps er hér að neðan í kafla 5.6.4.

5. Sameiginlega Schengen-eftirlitsnefndin (JSA) hélt 5 fundi á árinu. Margrét Steinarsdóttir, lögfræðingur, sótti fundi sem haldnir voru 26. júní og 7. október. Fundir, sem haldnir voru 7. mars og 25. september, voru ekki sóttir. Fundur, sem haldinn var 11. desember, var sóttur af Birni Geirssyni, lögfræðingi.

Nánari umfjöllun um starf Sameiginlegu Schengen-eftirlitsnefndarinnar er hér að neðan í kafla 5.6.5.

6. Málþing í Evrópuþinginu um þróun SIS II (Schengen Information System II), þ.e. framtíðaruppfærslu með algjörlega nýrri högun fyrir miðlægan gagnagrunn Schengen-upplýsingakerfisins (nefndur C.SIS (Central Schengen Information System)), var haldið 6. október af Nefnd Evrópuþingsins um frelsi og réttindi þegna. Margrét Steinarsdóttir, lögfræðingur, sat þingið sem fulltrúi Persónuverndar hjá JSA.

7. Ráðstefna, er fjallaði um SIS II, m.a. í tengslum við Europol, var haldin í Búdapest í Ungverjalandi 20. nóvember. Ráðstefnan var ekki sótt.

8. Fulltrúar væntanlegra aðildarríkja ESB ásamt fulltrúum Íslands og Noregs í JSA og ritara heimsóttu höfuðstöðvar Europol í Haag í Hollandi 8. og 9. mars 2003. Þar tóku ýmsir af yfirmönnum og sérfræðingum Europol á móti þeim og greindu frá starfsemi stofnunarinnar, samvinnu aðildar/samstarfsríkja, umræðum um breytingar á samningnum o.fl. Margrét Steinarsdóttir, lögfræðingur, var fulltrúi Íslands.

5.3. Alþjóðlegt samstarf persónuverndarstofnana

25. alþjóðaráðstefna forstjóra persónuverndarstofnana var haldin í Sidney í Ástralíu dagana 9.–12. september. Ráðstefnan var sótt af forstjóra.

Nánari umfjöllun um ráðstefnuna er hér að neðan í kafla 5.6.6.

5.4. Samstarf á vettvangi Evrópuráðsins

1. Ráðgefandi nefnd Evrópuráðsins um gagnavernd (T-PD) hélt fund í Strassborg dagana 26.–28. nóvember. Fundinn sótti forstjóri.

Nánari umfjöllun um fundinn er hér að neðan í kafla 5.6.7.

2. Vinnunefnd Evrópuráðsins um persónuvernd (CJ-PD) hélt fund í Strassborg dagana 24.–26. nóvember. Fundinn sótti forstjóri. 12. fundur samhæfingarhóps vinnunefndarinnar (CJ-PD-GC), sem haldinn var í Strassborg dagana 20.–22. maí, var ekki sóttur vegna anna.

Nánari umfjöllun um fundinn dagana 24.–26 nóvember er hér að neðan í kafla 5.6.7.

5.5. Erlent samstarf vegna ýmissa sérverkefna eða einstakra mála

1. Fundur vinnuhóps um rafræna stjórnsýslu var haldinn í Vín 19. maí. Fundurinn var ekki sóttur.

2. 33. fundur vinnuhóps um persónuvernd í fjarskiptum var haldinn í Zürich í Sviss dagana 17. og 18. mars. Fundurinn var ekki sóttur.

3. 34. fundur þessa vinnuhóps var haldinn í Berlín dagana 2. og 3. september. Fundurinn var sóttur af Birni Geirssyni, lögfræðingi.

Nánari umfjöllun um fundinn er hér að neðan í kafla 5.6.8.

4. Ráðstefna um söfnun og framlagningu gagna í tölvuglæpamálum (Collecting and Producing Electronic Evidence in Cybercrime Cases) var haldin í Namur í Belgíu 13. mars. Ráðstefnan var ekki sótt.

5. Fundur vinnuhóps um líftækniupplýsingar á vegum DG Information Society var haldinn í Brussel 3. apríl. Stofnunin sá sér ekki fært að senda þangað fulltrúa vegna anna.

6. 10. fundur lífsiðfræðinefndar Menningarmálastofnunar sameinuðu þjóðanna (UNESCO International Bioethics Committee (IBC)) var haldinn í París dagana 12.–14. maí. Fundurinn var ekki sóttur.

7. Ráðstefna um notkun stafrænnar tækni í heilbrigðisþjónustu, er bar heitið „eHealth“, var haldin í Brussel dagana 22. og 23. maí. Ráðstefnan var ekki sótt.

8. Málþing um hvernig tryggja má vernd persónuupplýsinga við notkun hugbúnaðar, þ.e. í tengslum við svonefnt PISA-verkefni (Privacy Incorporated Software Agent), var haldið í Delft í Hollandi 28. nóvember. Stofnunin sá sér ekki fært að senda fulltrúa á málþingið vegna anna.

9. Fundur um aðgerðir gegn rusltölvupósti (spamming) var haldinn í Brussel 12. desember. Fundurinn var sóttur af Birni Geirssyni, lögfræðingi.

Nánari umfjöllun um fundinn er hér að neðan í kafla 5.6.9.

5.6. Nánari umfjöllun um einstaka þætti erlends samstarfs sem tilgreint er hér að framan

5.6.1. Um fund forstjóra norrænna persónuverndarstofnana

Fundur forstjóra norrænna persónuverndarstofnana var haldinn í Helsinki í Finnlandi dagana 21. og 22. ágúst 2003. Fundinn sóttu af hálfu Íslands þær Sigrún Jóhannesdóttir, forstjóri, og Margrét Steinarsdóttir, lögfræðingur. Rætt var á fundinum um merkustu viðburði í hverju einstöku ríki frá því síðasti fundur forstjóra var haldinn 2002, rafræna stjórnsýslu, alþjóðleg persónuskilríki, veitingu leyfa til vinnslu persónuupplýsinga í erfðarannsóknum, manngreiniupplýsingar, rafræna vöktun á vinnustöðum, þörf á norrænni samvinnu í tengslum við fjarskiptatækni og einkalífsvernd, áhrif finnska persónuupplýsingaumboðsmannsins í samfélaginu, samnorrænar úttektir á vinnslu persónuupplýsinga, samvinnu norrænna persónuverndarstofnana á vettvangi vinnuhóps samkvæmt 29. gr. tilskipunar 95/46/EB (sjá kafla 5.6.4), endurnýtingu opinberra upplýsinga (sjá lið 7 í kafla 5.6.4) og framtíð samvinnu norrænna persónuverndarstofnana.

5.6.2. Um fund starfsmanna norrænna persónuverndarstofnana

Vinnufundur löglærðra starfsmanna norrænna persónuverndarstofnana var haldinn í Stokkhólmi dagana 5.–7. maí 2003. Fundinn sótti f.h. Persónuverndar Þórður Sveinsson, lögfræðingur. Rætt var á fundinum um merkustu viðburði í hverju einstöku ríki frá því síðasti fundur löglærðra starfsmanna var haldinn 2002; vinnslu persónuupplýsinga á internetinu; vinnslu persónuupplýsinga í vísindarannsóknum, n.t.t. leyfisskyldu, kröfur um upplýsingagjöf til hins skráða í tengslum við samþykki og hvenær vinna mætti með persónuupplýsingar án samþykkis; úttektir á vinnslu persónuupplýsinga; hvernig meta skyldi hvort hagsmunir af vinnslu persónuupplýsinga eða hagsmunir af einkalífsvernd væru ríkari, einkum í tengslum við beina markaðssetningu og vinnslu persónuupplýsinga á internetinu; vinnslu vinnuveitenda á persónuupplýsingum um starfsmenn; og vinnslu persónuupplýsinga hjá ráðningarfyrirtækjum.

5.6.3. Um fundi starfsmanna hjá evrópskum persónuverndarstofnunum, þ.e. í ríkjum sem innleitt hafa tilskipun 95/46/EB

Dagana 10. og 11. mars var haldinn í Varsjá í Póllandi 7. fundur vinnuhóps um meðferð mála og erinda sem persónuverndarstofnunum berast. Fundinn sat Elsa S. Þorkelsdóttir, lögfræðingur.

Þar sem nokkur ný ríki höfðu bæst í hópinn frá síðasta fundi þótti rétt að hefja þennan fund á því að þessi ríki gerðu grein fyrir helstu áherslum í starfsemi sinna stofnana. Því næst var fjallað um skráningu fjárhagsmálefna einstaklinga, einkum svokallaða „svarta lista“ eða „neikvæða lista“. Fram kom að reglur aðildarríkjanna eru mjög misjafnar, ekki síst að því er varðar heimild til varðveislu þessara upplýsinga eftir að skuld hefur verið greidd, um hana samið eða henni að öðru leyti verið komið í skil. Þá var jafnframt rætt um skráningu refsiverðra brota, s.s. svika, en slík skráning er algeng víða innan tryggingageirans. Var niðurstaða fundarmanna eftir þessa umræðu að framkvæmd væri mjög misjöfn í aðildarríkjunum og hér þyrfti að vinna að samræmingu. Þá var rætt um flutning persónuupplýsinga úr landi. Ítalir gerðu grein fyrir tveimur málum er bæði vörðuðu meðferð starfsmannaupplýsinga hjá alþjóðlegum fyrirtækjum. Þessi dæmi kölluðu á mikla umræðu um gildi samþykkis starfsmanna fyrir vinnslu persónuupplýsinga um sig.

Dagana 23. og 24. október var haldinn í Róm á Ítalíu 8. fundur umrædds vinnuhóps. Fundinn sat Björn Geirsson, lögfræðingur.

Á fundinum var m.a. fjallað um líftækniupplýsingar, einkum nauðsyn þess að samræma reglur um tilkynninga- og leyfisskyldu varðandi vinnslu slíkra upplýsinga. Kom sú skoðun fram að mikilvægt væri að ábyrgðaraðilar tilkynntu um slíka vinnslu á meðan tæknin væri ný og enn í þróun. Í framtíðinni og að fenginni reynslu ætti hins vegar ekki að vera nauðsynlegt að tilkynna slíka vinnslu. Þá voru rædd álitamál varðandi vinnslu persónuupplýsinga í tengslum við klínískar lyfjarannsóknir. Sérstaklega var vikið að mismunandi túlkun ríkja á upplýstu samþykki þátttakenda í lyfjarannsóknum, þ.e. að hvaða marki upplýst samþykki gæti verið grundvöllur að lögmæti vinnslu persónuupplýsinga í slíkum rannsóknum. Virtist það vera skoðun flestra fundarmanna að með tilliti til aðstæðna þátttakenda væri tæplega unnt að líta á samþykki þeirra sem frjálst og óþvingað. Vinnsla persónuupplýsinga í klínískum lyfjarannsóknum yrði þannig ávallt að eiga sér frekari lagastoð samkvæmt einhverju af skilyrðum 8. gr. tilskipunar 95/46/EB. Einnig var rætt um meðferð kvartana í tengslum við internetið, aðallega vegna ruslpósts. Í þeim tilgangi að samræma aðgerðir ríkja til að hefta útbreiðslu ruslpósts var lagt til að búin yrði til samevrópsk viðbragðsáætlun, sem fæli í sér að komið yrði á fót sérstakri heimasíðu þar að lútandi. Þá voru tekin til umræðu ýmis álitaefni varðandi flutning persónuupplýsinga á milli landa. Sérstaklega var rætt um nauðsyn þess að samræma túlkun ríkja á 1. og 2. mgr. 26. gr. tilskipunar 95/46/EB er fjalla um undantekningar frá reglum um flutning persónuupplýsinga til þriðju ríkja, þ.e. ríkja sem ekki veita persónuupplýsingum sambærilega vernd og samkvæmt tilskipuninni. Að endingu var fjallað um miðlun persónuupplýsinga um lánstraust einstaklinga, en það færist í vöxt að fyrirtæki í einstökum atvinnugreinum, s.s. á sviði fjarskipta, miðli upplýsingum sín á milli um skuldir viðskiptavina sinna.

5.6.4. Um starf vinnuhóps samkvæmt 29. gr. tilskipunar 95/46/EB

Hér er um að ræða ráðgefandi vinnuhóp sem starfar samkvæmt 29. gr. tilskipunar 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga, en íslensk löggjöf verður að sam­rýmast þessari tilskipun.

Vinnuhópurinn er skipaður fulltrúum eftirlits­­­yfirvalda í aðildarríkjum að tilskipuninni. Ísland sendir áheyrnarfulltrúa á fundi hóps­ins, en þeir eru haldnir í Brussel. Á árinu 2003 voru haldnir sex fundir: 37. fundur, 28. og 29. janúar; 38. fundur, 20. og 21. mars; 39. fundur, 5. maí; 40. fund­ur, 12. og 13. júní; 41. fundur, 23. og 24. september; og 42. fundur, 20. og 21. nóvember. Persónuvernd sendi fulltrúa á 38., 40. og 42. fund. Vegna anna stofnunarinnar reyndist hins vegar ekki unnt að senda fulltrúa á 37., 39. og 41. fund.

Vinnuhópurinn tekur mál upp að frumkvæði formanns, eftirlitsyfirvalda í aðildarríkjum Evrópusambandsins eða framkvæmdastjórnar þess. Á fundunum eru síðan sam­þykkt, með einföldum meirihluta atkvæða, álit og tilmæli um þau efni sem þar eru rædd. Þau eru send framkvæmdastjórninni, sem tekur síðan bindandi ákvarðanir, m.a. um til hvaða landa utan EES-svæðisins senda megi persónuupplýsingar, og ráðgjaf­ar­nefnd hennar um málefni tengd vinnslu persónuupplýsinga. Ákvæði um þá nefnd eru í 31. gr. tilskipunar 95/46/EB. Hún er skipuð fulltrúum aðildar­ríkja Evrópusambandsins og á fundi hennar sendir Ísland ekki áheyrnarfulltrúa enda ekki gert ráð fyrir því.

Þau álit, sem vinnuhópurinn samþykkti á árinu 2003 (og finna má á vefslóðinni http://europa.eu.int/comm/internal_market/privacy/index_en.htm), eru sem hér segir (en auk þess voru samþykkt ýmis önnur skjöl sem finna má á vefslóðinni, þ. á m. ársskýrsla fyrir árið 2001 um vernd persónuupplýsinga í ríkjum ESB og öðrum ríkjum):

1. Álit nr. 1/2003 um varðveislu gagna um fjarskiptanotkun í þágu reikningsgerðar. – Í þessu áliti fjallaði vinnuhópurinn um ákvæði 6. gr. tilskipunar 2002/58/66/EB um einkalífsvernd í fjarskiptum (sem er ekki enn orðin hluti af EES-samningnum; aftur á móti var lögum nr. 81/2003 ætlað að innleiða ákvæði þessarar tilskipunar engu að síður). Þar er kveðið á um að gögn um fjarskiptaumferð megi ekki varðveita lengur en nauðsynlegt er vegna afgreiðslu ákveðinnar fjarskiptasendingar (sbr. 1. mgr. 42. gr. laga nr. 81/2003), sbr. þó nokkur ákvæði tilskipunarinnar um undanþágur frá þessu vegna m.a. þjóðaröryggis og rannsóknar brota. Þá er þar kveðið á um að gögn um fjarskiptanotkun, sem nauðsynleg séu vegna reikningsgerðar eða uppgjörs fyrir samtengingu, megi ekki varðveita lengur en þar til ekki er lengur hægt að véfengja reikning eða hann fyrnist (sbr. 2. mgr. 42. gr. laga nr. 81/2003).

Vinnuhópurinn taldi þessa reglu um hversu lengi varðveita má gögn vegna reikningsgerðar eða uppgjörs fyrir samtengingu eingöngu heimila reglubundna varðveislu slíkra upplýsinga í 3–6 mánuði. Ekki mætti varðveita slíkar upplýsingar lengur í einstökum tilvikum nema vegna ágreinings um greiðsluskyldu o.þ.u.l. eða – í undantekningartilvikum – vegna rökstudds grunar um að slíkur ágreiningur kynni að rísa. Þá mætti aðeins varðveita þær upplýsingar sem væru nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt væri, sbr. c-lið 1. mgr. 6. gr. tilskipunar 95/46/EB (sbr. 3. tölul. 1. mgr. 7. gr. pul.). Þegar gögn um greiðslur væru varðveitt í lengri tíma af skattalegum ástæðum ætti aðeins að varðveita upplýsingar um greiðslurnar sjálfar en ekki um þau fjarskipti sem urðu tilefni greiðslnanna.

2. Álit nr. 2/2003 um beitingu reglna um vernd persónuupplýsinga varðandi Whois-skrár. – Í þessu áliti er fjallað um svonefndar Whois-skrár, þ.e. skrár yfir þá sem eru skráðir fyrir vefsvæðum, n.t.t. nöfn, símanúmer, tölvupóstföng o.s.frv. Hinn upphaflegi tilgangur með þessum skrám var að gera þeim sem ábyrgð bera á tölvunetum kleift að hafa samband við þá sem bera ábyrgð á öðrum tölvunetum ef upp kæmu tæknileg vandamál. Vinnuhópurinn taldi þetta lögmætan tilgang. Hins vegar taldi hann þau markmið, sem skrárnar þjónuðu að öðru leyti, verða að vera mjög vel skilgreind, en ekki hefðu fengist nægilegar skýringar hvað það varðaði. Auk þess benti vinnuhópurinn á c-lið 1. mgr. 6. gr. tilskipunar 95/46/EB um að ekki má vinna með meiri persónuupplýsingar en nauðsynlegt er. Samkvæmt því yrði að gæta þess að ekki væri skráð of mikið af upplýsingum um einstaklinga í umræddar skrár. Þetta fæli það í sér að þegar fyrirtæki væru skráð fyrir vefsvæðum ætti ekki að vera hægt að neyða einstaklinga til að vera skráðir sem tengiliðir. Þá fæli þetta í sér að upplýsingar um einstaklinga, sem skráðir væru fyrir vefsvæðum, ætti ekki sjálfkrafa að birta almenningi. Slík birting upplýsinga fæli í sér brot gegn rétti einstaklinga til að ráða því hvort upplýsingar um þá, t.d. um heimilisföng og símanúmer, birtust í opinberum skrám (sbr. 2. mgr. 12. gr. tilskipunar 2002/58/EB um einkalífsvernd í fjarskiptum hvað varðar síma- og vistfangaskrár (sbr. 1. mgr. 45. gr. laga nr. 81/2003 um fjarskipti)). Til að ná fram hinum upphaflega tilgangi með svonefndum Whois-skrám væri nóg að upplýsingar um einstaklinga, sem skráðir væru fyrir vefsvæðum, væru aðgengilegar viðkomandi internetþjónustufyrirtæki. Nauðsynlegt væri að reyna að finna nýjar leiðir til að ná fram þessum tilgangi sem fælu ekki í sér að þessar skrár væru aðgengilegar öllum á internetinu. Að lokum lýsti vinnuhópurinn yfir stuðningi sínum við það starf að gera þessar skrár áreiðanlegri en hvatti til þess að bætt yrði úr framangreindum atriðum.

3. Álit nr. 3/2003 um evrópskar starfsreglur FEDMA um notkun persónuupplýsinga í beinni markaðssetningu. – FEDMA (The European Federation of Direct Marketing), þ.e. Evrópusamtök um beina markaðssetningu, lagði drög að starfsreglum um notkun persónuupplýsinga í beinni markaðssetningu fyrir vinnuhópinn til umsagnar. Var þess óskað að hann svaraði annars vegar því hvort reglurnar fullnægðu kröfum tilskipunar 95/46/EB og löggjafar í einstökum aðildarríkjum að henni og hins vegar því hvort í þeim væri tekið nægilega á spurningum og vandamálum varðandi meðferð persónuupplýsinga í umræddri starfsemi, sem og hvort fundnar væru nægilega skýrar lausnir. Vinnuhópurinn svaraði fyrri spurningunni játandi en lagði þó til að skilgreiningu á hugtakinu „persónuupplýsingar“ yrði breytt þar sem orðalagið gæti valdið misskilningi. Seinni spurningunni svaraði vinnuhópurinn einnig játandi en lagði til að í sérstökum viðauka yrði þó fjallað nánar um notkun internetsins við beina markaðssetningu. Þá hvatti vinnuhópurinn til þess að FEDMA kynnti reglurnar með virkum hætti svo að fólk væri meðvitað um þær.

4. Álit nr. 4/2003 um það verndarstig sem tryggt er í Bandaríkjunum vegna miðlunar farþegaupplýsinga. – Þetta álit tengist kröfum frá Bandaríkjunum um að upplýsingum um flugfarþega verði miðlað til þarlendra stjórnvalda til notkunar í baráttu gegn hryðjuverkum og fleiri glæpum. Um er að ræða svonefndar APIS-upplýsingar (APIS: Advanced Passenger Information System) og svonefndar PNR-upplýsingar (PNR: Passenger Name Records). Lýsingu á þessum kröfum er að finna í áliti vinnuhópsins nr. 6/2002, en fjallað er um það í ársskýrslu Persónuverndar fyrir árið 2002 á bls. 89 og 90. Í áliti nr. 4/2003 veitti vinnuhópurinn frekari umsögn um kröfur Bandaríkjanna og það hvernig hann teldi þær samrýmast reglum um vinnslu persónuupplýsinga í ljósi þeirra skrefa sem stigin höfðu verið í samningaviðræðum framkvæmdastjórnar ESB við bandaríska tolla- og landamæraeftirlitið (Bureau of Customs and Border Protection (CBP)), þ. á m. að hún hafði afhent framkvæmdastjórninni skjal, dags. 22. maí 2003 (nefnt „Undertakings“), þar sem því er lýst hvernig hún hyggst vinna með og vernda upplýsingarnar.

Vinnuhópurinn tók fram að baráttan gegn hryðjuverkum væri nauðsynlegur þáttur í lýðræðissamfélögum. Í þeirri baráttu yrðu hins vegar grundvallarréttindi og frelsi manna að vera tryggð, þ. á m. rétturinn til friðhelgi einkalífs og verndar persónuupplýsinga. Valið um hvernig upplýsingar bærust bandarískum stjórnvöldum, þ.e. hvort þau fengju beinan aðgang að gagnagrunnum flugfélaga og sæktu upplýsingarnar sjálf eða hvort flugfélögin sæju um að miðla upplýsingunum, vekti ekki aðeins tæknilegar spurningar heldur einnig spurningar um hversu langt mætti ganga við vinnslu persónuupplýsinga. Ljóst væri að með beinum aðgangi fengju bandarísk stjórnvöld ríkari rétt til aðgangs að gögnum en dómstólar, lögregla og innflytjendayfirvöld hefðu í Evrópuríkjum, og jafnvel ríkari rétt en leyniþjónustur hefðu þar. Þar sem vinnslan næði til mjög margra einstaklinga, um 10 eða 11 milljóna á ári, og fæli í sér hættu á reglubundnu eftirliti þriðja ríkis yrði að sýna málinu hina ítrustu athygli.

Kröfur Bandaríkjanna mótuðust af mjög alvarlegum, alþjóðlegum aðstæðum sem nú væru uppi (þ.e. hættunni á hryðjuverkum). Með vísan til þess lagði vinnuhópurinn til að með skömmu millibili yrði endurmetið hvort enn væri þörf á miðlun persónuupplýsinga í samræmi við þessar kröfur. Þar sem hinar alþjóðlegu aðstæður kynnu að breytast lagði hann því einnig til að í samkomulagi framkvæmdastjórnarinnar við Bandaríkin um miðlunina yrði ákvæði um endurskoðun að þremur árum liðnum. Þá yrði að endurmeta stöðuna ef ekki yrði farið réttilega eftir þeim skuldbindingum sem Bandaríkin tækju sér á herðar. Þess vegna væri mikilvægt að framkvæmdastjórnin fengi reglulega skýrslu frá bandarískum yfirvöldum um hvernig eftir þeim væri farið.

Mikilvægt væri að heildstæð mynd lægi fyrir af bandarískri löggjöf varðandi vinnslu umræddra persónuupplýsinga. Þá væri mikilvægt að ákvörðun, sem framkvæmdastjórnin tæki um að heimilt væri að miðla upplýsingum frá flugfélögum til bandarískra stjórnvalda, byggðist ekki aðeins á yfirlýsingu frá þeim um hvernig farið yrði með þær (sbr. framangreint skjal frá 11. maí 2003, nefnt „Undertakings“). Ekki væri og unnt að taka þá afstöðu að nægileg vernd væri veitt umræddum persónuupplýsingum ef vinna ætti með þær samkvæmt bandarískri löggjöf sem ekki væri unnt að telja nægilega skýra um rétt til aðgangs að upplýsingum. Þá væri ekki unnt að taka slíka afstöðu hvað varðaði stórtækar samkeyrslur persónuupplýsinga í tölvukerfum sem ekki lægju fyrir nægilega skýrar upplýsingar um.

Eina aðferðin við að láta upplýsingar um flugfarþega berast bandarískum stjórnvöldum, sem ekki hefði í för með sér mikil vandamál, væri að flugfélögin sæju alfarið um að miðla upplýsingunum, en bandarísk stjórnvöld hefðu ekki beinan aðgang að gagnagrunnum þeirra og sæktu þær því ekki sjálf. Með vísan til þessa fagnaði vinnuhópurinn því að bandarísk stjórnvöld hefðu ekkert við það athuga að miðlunin færi fram með fyrrnefndu aðferðinni.

Tilgangurinn, sem nota mætti upplýsingarnar í, ætti að vera að berjast gegn hryðjuverkum eingöngu. Ekki ætti hins vegar að skilgreina hann svo að upplýsingarnar mætti nota í baráttu gegn öðrum alvarlegum brotum (other serious offences) eins og bandarísk stjórnvöld hefðu gert. Í stað slíkrar skilgreiningar ættu þau að telja upp þau brot sem tengdust hryðjuverkum beint og sem upplýsingarnar mætti því nota í baráttu gegn. Þá yrði að skýra betur hvaða opinberar stofnanir aðrar en Tolla- og landamæraeftirlitið ættu að hafa aðgang að upplýsingum. Telja ætti þær sérstaklega upp og aðgangur ætti aðeins að vera veittur í afmörkuðum tilvikum þar sem barist væri gegn hryðjuverkum. Ekki ætti að nota upplýsingarnar í öðrum tilgangi.

Þeir flokkar upplýsinga, sem Bandaríkin færu fram á, væru of margir. Þau ættu ekki að fá neinar þær upplýsingar sem líta yrði á sem viðkvæmar persónuupplýsingar. Upplýsingar ættu ekki að berast bandarískum stjórnvöldum fyrr en 48 tímar væru til brottfarar og ættu aðeins að geta uppfærst einu sinni. Lýsa yrði yfir efasemdum um að varðveisla upplýsinganna í langan tíma, en þær tækju til milljóna flugfarþega, gæti haft gildi vegna rannsóknar mála. Með varðveislu upplýsinganna í 7–8 ár væri gengið of langt. Aðeins væri unnt að fallast á varðveislu þeirra í nokkrar vikur eða jafnvel mánuði. Hins vegar væri unnt að fallast á varðveislu upplýsinga, sem tengdust einstökum málum, sem rannsökuð væru, í lengri tíma.

Flugfarþegar ættu að vera fræddir á skýran og nákvæman hátt um umrædda vinnslu persónuupplýsinga. Þeir ættu að hafa aðgang að upplýsingum um sig og kost á að fá upplýsingar leiðréttar. Tryggja yrði aðgang þeirra að réttarúrræðum. Þá væri mikilvægt að fram færi reglubundið eftirlit með því hvernig farið væri eftir skuldbindingum Bandaríkjanna og að sendar væru skýrslur um það eftirlit. Þessar skuldbindingar yrðu að vera fyllilega, lagalega bindandi og birtar sem slíkar. Hvað aðgang að réttarúrræðum varðaði væru meiri háttar gallar á yfirlýsingu Bandaríkjanna (sbr. framangreint skjal frá 11. maí 2003, nefnt „Undertakings“) og ekki væri skýrt hvort líta ætti svo á að yfirlýsingin veitti flugfarþegum lagalegan rétt sem ná mætti fram fyrir dómstólum.

Niðurstaða vinnuhópsins var sú að þótt á endanum yrði að taka pólitískar ákvarðanir hvetti hann til þess að álit hans yrði fyllilega haft að leiðarljósi í viðræðum framkvæmdastjórnarinnar við bandarísk stjórnvöld. Þá lýsti hann því yfir að hnattræn nálgun hvað varðaði notkun farþegaupplýsinga í þágu öryggismarkmiða kynni að vera nauðsynleg.

5. Álit nr. 5/2003 um vernd persónuupplýsinga í Guernsey. – Guernsey hefur æskt þess af framkvæmdastjórn ESB að vera talið veita persónuupplýsingum nægilega vernd í skilningi tilskipunar 95/46/EB og að því skuli vera heimilt að flytja persónuupplýsingar þangað með sama hætti og milli aðildarríkja að tilskipuninni, en framkvæmdastjórnin ákveður hvaða lönd það séu sem þetta gildir um, sbr. 6. mgr. 25. gr. tilskipunarinnar. Hún óskaði eftir umsögn vinnuhópsins og birtist hún í álitinu. Er niðurstaða vinnuhópsins sú að Guernsey veiti persónuupplýsingum nægilega vernd.

6. Álit nr. 6/2003 um vernd persónuupplýsinga á Mön. – Mön hefur æskt þess af framkvæmdastjórn ESB að vera talin veita persónuupplýsingum nægilega vernd í skilningi tilskipunar 95/46/EB og að því skuli vera heimilt að flytja persónuupplýsingar þangað með sama hætti og milli aðildarríkja að tilskipuninni. Framkvæmdastjórnin óskaði eftir umsögn vinnuhópsins og birtist hún í álitinu. Er niðurstaða vinnuhópsins sú að Mön veiti persónuupplýsingum nægilega vernd.

7. Álit nr. 7 um endurnýtingu opinberra upplýsinga og verndun persónuupplýsinga – Að ná fram jafnvægi. – Í álitinu vék vinnuhópurinn að því að í smíðum væri tilskipun um svonefnda endurnýtingu opinberra upplýsinga (re-use of public sector information), þ.e. það að upplýsingar, sem til yrðu við starfsemi stjórnvalda, væru gerðar aðgengilegar einkaaðilum svo að þeir gætu skapað úr þeim verðmæti. Þetta gætu m.a. verið upplýsingar um landafræði, viðskipti, ferðamál, umferð og menntun. Persónuupplýsingar væru því ekki það sem efst væri haft í huga, en auðvitað gæti komið til þess að óskað yrði eftir aðgangi að slíkum upplýsingum í því skyni að endurnýta þær. Hafa yrði í huga að það að veittur væri aðgangur að upplýsingum í þessu skyni væri annars eðlis en þegar hinum skráða væri veittur aðgangur að persónuupplýsingum um sig samkvæmt reglum tilskipunar 95/46/EB og þegar veittur væri aðgangur að gögnum hjá hinu opinbera með vísan til upplýsingalaga. Aðgangur samkvæmt reglum tilskipunarinnar væri þáttur í réttindum hins skráða og aðgangur samkvæmt upplýsingalögum væri til þess ætlaður að auka gagnsæi stjórnsýslunnar þannig að almenningur væri meðvitaður um hvað fram færi innan hennar; þyrfti hann því ekki að rökstyðja beiðni um afhendingu upplýsinga. Aðgangi að gögnum til endurnýtingar upplýsinga væri hins vegar ætlað að koma að notum í atvinnustarfsemi og fæli því í sér efnahagsleg gæði sem ekkert hefðu með mannréttindi eða gagnsæi stjórnsýslu að gera. Þessi munur hefði áhrif á beitingu þeirra reglna sem kveðið væri á um í tilskipun 95/46/EB.

Kröfum þeirra reglna yrði ávallt að vera fullnægt sem birtist m.a. í því að einhverju af skilyrðum 7. gr. um hvenær heimilt er að vinna með persónuupplýsingar yrði að vera fullnægt. Einkum kæmu þar til greina að hinn skráði hefði ótvírætt samþykkt vinnsluna, að vinnslan væri nauðsynleg vegna samnings sem hinn skráði væri aðili að eða til að gera ráðstafanir að beiðni hans fyrir gerð samnings, að hún væri lögskyld, að hún væri nauðsynleg í þágu almannahagsmuna eða beitingu opinbers valds og að hún væri nauðsynleg í þágu lögmætra hagsmuna sem vægju þyngra en grundvallarréttindi og frelsi hins skráða. Væri um viðkvæmar persónuupplýsingar að ræða þyrfti einhverju af skilyrðum 8. gr. að vera fullnægt að auki. Af þeim kæmu einkum til greina afdráttarlaust samþykki hins skráða og að hann hefði sjálfur skilmerkilega gert þær opinberar.

Auk ofangreinds yrði skilyrðum 6. gr. til þess hvernig heimilt er að vinna með persónuupplýsingar ávallt að vera fullnægt. Af þeim skilyrðum hefði grundvallarþýðingu regla b-liðar 1. mgr. um að upplýsingar skulu ekki notaðar í tilgangi sem er ósamrýmanlegur þeim sem upphaflega var ákveðinn. Þau tilvik, þar sem best yrði að vera hugað að mati á þessu, væru þegar lögskylt hefði verið að veita upplýsingar, s.s. vegna greiðslu skatta, og þegar um viðkvæmar persónuupplýsingar væri að ræða. Ljóst væri hins vegar að það hvort veita mætti aðgang að persónuupplýsingum yrði ávallt að meta sérstaklega og á vandaðan hátt til að ná fram jafnvægi milli annars vegar réttarins til friðhelgi einkalífs og hins vegar réttarins til aðgangs að opinberum gögnum. Auk þess yrði réttur hins skráða að vera tryggður, m.a. til vitneskju um vinnslu persónuupplýsinga um sig og til að andmæla vinnslunni (10., 11. og 14. gr.), einkum ef nota ætti upplýsingarnar í atvinnustarfsemi, s.s. beinni markaðssetningu.

8. Álit nr. 8/2003 um drög að stöðluðum samningsskilmálum sömdum af viðskiptasamtökum („valkostur um fyrirmynd að samningi“). – Meginreglan er sú að miðlun persónuupplýsinga til landa, sem ekki fylgja reglum tilskipunar 95/46/EB, er óheimil. Frá því eru hins vegar undantekningar, m.a. að með upplýsingarnar verði farið í samræmi við staðlaða samningsskilmála, samþykkta af framkvæmdastjórn ESB, sbr. 4. mgr. 26. gr. tilskipunarinnar. Í þessu áliti veitti vinnuhópurinn umsögn sína um drög að slíkum samningsskilmálum. Var niðurstaða hans sú að álit hans á skilmálunum væri jákvætt svo fremi sem bætt yrði úr þremur megingöllum sem vörðuðu skyldu til samvinnu við persónuverndarstofnanir í Evrópuríkjum, takmarkanir á rétti hins skráða til aðgangs að vitneskju um vinnslu persónuupplýsinga um sig og hvernig hinn skráði ætti að geta náð fram rétti sínum gagnvart þeim sem ynnu með persónuupplýsingar um hann. Hvatti vinnuhópurinn því framkvæmdastjórnina til að tryggja að farið yrði að athugasemdum hans og að tekið yrði á göllum á skilmálunum í ákvörðun hennar, reyndist það nauðsynlegt. Þá áskildi hann sér rétt til að veita umsögn um drög að ákvörðun.

5.6.5. Um starf Sameiginlegu Schengen-eftirlitsstofnunarinnar – JSA

Hér er um að ræða sjálfstæða stofnun sem starfar samkvæmt 115. gr. samnings um framkvæmd Schengen-samkomulagsins frá 14. júní 1985 milli upphaflegra aðildarríkja samkomulagsins, þ.e. Belgíu, Hollands, Þýskalands, Lúxemborgar og Frakklands. Stofnunin hefur aðsetur í Brussel. Persónuvernd tekur þátt í starfsemi stofnunarinnar í samræmi við 18. gr. laga nr. 16/2000 um Schengen-upplýsingakerfið á Íslandi þar sem kveðið er á um að hún hafi eftirlit með því upplýsingakerfi.

Upplýsingakerfum Schengen má skipta í 3 meginhluta, þ.e. „Schengen Information System“ (SIS), „Supplementary Information Request at National Entry“ (SIRENE) og „Visa Inquiry Open border Network“ (VISION).

SIS er byggt upp í kringum miðlægan gagnagrunn, „Central SIS“ (C.SIS), sem staðsettur er í Strasbourg í Frakklandi. Í hverju Schengen-þátttökulandi eru síðan svokölluð „National SIS“ (N.SIS) sem hafa afrit af C.SIS-gagnagrunninum. Aðilar í hverju landi leita í sínu N.SIS. Nýjar upplýsingar eru færðar inn í C.SIS og uppfærðar þaðan í öll N.SIS, þ.e. skráningarupplýsingar þátttökulands eru ekki færðar beint í N.SIS viðkomandi lands. Schengen-upplýsingakerfið er þannig uppbyggt að aðildarlöndin geta ekki skipst á upplýsingum beint hvert til annars heldur einungis með skeytasendingum til C.SIS sem fullgildir skráningar og varpar þeim síðan til gagnagrunna þátttökulandanna. Með reglubundnu millibili eru N.SIS þátttökulandanna borin saman við C.SIS til að tryggja samræmi í skráningu.

Nú er unnið að framtíðaruppfærslu með algerlega nýrri högun fyrir C.SIS, svonefndu SIS II. Núverandi útgáfa ræður ekki við fleiri en 18 aðildarlönd og á SIS II að bæta úr því. Litið er til stækkunar ESB til austurs í þessu sambandi og reiknað með að lönd eins og Tékkland, Pólland o.fl. eigi eftir að bætast við síðar.

Helstu verkefni JSA-stofnunarinnar eru þessi:

• Persónuverndarmál í tengslum við Schengen.

• Eftirlit með öryggis-, aðgangs- og persónuverndarþáttum í rekstri C.SIS í Strasbourg.

• Ráðgefandi hlutverk varðandi öryggismál upplýsingakerfisins.

• Samstarf við persónuverndarstofnanir í þátttökulöndum samstarfsins.

• Að samræma innlenda lagaframkvæmd og lagatúlkun í málum er upp koma vegna Schengen-upplýsingakerfisins.

Á árinu 2003 voru haldnir 5 fundir. Sóttir voru fundir er haldnir voru 26. júní, 7. október og 11. desember. Fundir, er haldnir voru 7. mars og 25. september, voru ekki sóttir vegna anna stofnunarinnar.

Á fundunum mótaði JSA framkvæmd sameiginlegrar úttektar á upplýsingakerfum Schengen samkvæmt 96. gr. Schengen-samningsins. Fer úttektin fram í þremur liðum. Fyrsti liðurinn felst í því að kortleggja lagaumhverfið í öllum Schengen-ríkjunum, þ.e. þær lagareglur sem í hverju ríki gilda um meðferð persónuupplýsinga í Schengen-tölvukerfum. Verður þetta framkvæmt með þeim hætti að öll ríkin fylla út spurningalista þar að lútandi. Næstu áfangar felast í því að hvert ríki fyllir út upplýsingayfirlit – fyrst Model I (ætlað að ná fram yfirsýn yfir ábyrgðaraðila og verkaskiptingu á milli þeirra) og síðan Model II (nánari rýni á ástandi – felur í sér skoðun á vettvangi, m.a. á því hvernig staðið er að varðveislu, eyðingu gagna o.s.frv., sbr. 112. gr. Schengen-samningsins). Stefnt er að verklokum haustið 2004.

Einnig var á fundunum m.a. fjallað um SIS II. JSA hefur frá upphafi fylgst með þróun þess gagnagrunns og leitast við að hafa áhrif á uppbyggingu hans með tilliti til persónuverndarsjónarmiða. Vinnur JSA m.a. að gerð ályktunar um þróun SIS II þar sem gerð verður grein fyrir helstu álitaefnum í þessu sambandi.

Fulltrúum væntanlegra, nýrra aðildarríkja ESB ásamt fulltrúum Íslands og Noregs í JSA og ritara var boðið í heimsókn til höfuðstöðva Europol í Haag í Hollandi 8. og 9. mars 2003. Þar tóku ýmsir af yfirmönnum og sérfræðingum Europol á móti þeim og greindu frá starfsemi stofnunarinnar, samvinnu aðildar/samstarfsríkja, umræðum um breytingar á samningnum o.fl. Margrét Steinarsdóttir, lögfræðingur, var fulltrúi Íslands.

Málþing í Evrópuþinginu um þróun SIS II var haldið 6. október af Nefnd Evrópuþingsins um frelsi og réttindi þegna. Margrét Steinarsdóttir, lögfræðingur, sat þingið sem fulltrúi Persónuverndar hjá JSA..

Ráðstefna, er fjallaði um SIS II, var haldin í Búdapest í Ungverjalandi 20. nóvember. Stofnunin sá sér ekki fært að sækja ráðstefnuna vegna anna.

5.6.6. Um 25. alþjóðaráðstefnu forstjóra persónuverndarstofnana

25. alþjóðaráðstefna forstjóra persónuverndarstofnana var haldin í Sidney í Ástralíu dagana 10.–12. september. Ráðstefnan var sótt af forstjóra. Rætt var m.a. um áherslur í vernd persónuupplýsinga í einstökum ríkjum, hvernig fyrirtæki gætu aukið traust viðskiptavina með virkri vernd persónuupplýsinga, hvernig samrýma mætti sjónarmið um vernd persónuupplýsinga og um öryggi þegnanna, kerfi til auðkenningar einstaklinga og hvernig auka mætti meðvitund um vernd persónuupplýsinga. Sigrún Jóhannesdóttir, forstjóri, stýrði umræðum um einn dagskrárlið, en hann fjallaði um hvernig unnt væri að koma kerfum til auðkenningar einstaklinga, s.s. þar sem notaðar væru manngreiniupplýsingar, þannig fyrir að ekki væri vegið að friðhelgi einkalífs. Samþykktar voru fjórar ályktanir, en þær má finna á heimasíðu ráðstefnunnar: http://www.privacyconference2003.org/rego.asp (undir „Commissioners Resolutions“). Þessar ályktanir voru sem hér greinir:

1. Ályktun um hvernig bæta skyldi miðlun upplýsinga um persónuvernd og um vernd persónuupplýsinga. – Í þessari ályktun vöktu forstjórarnir athygli einkafyrirtækja og opinberra stofnana á að bæta þyrfti hvernig upplýsingum væri miðlað um hvernig unnið væri með persónuupplýsingar og þær verndaðar. Koma yrði á samræmi í því hvernig þetta væri gert á alþjóðavísu. Þetta myndi bæta skilning hinna skráðu á vinnslu persónuupplýsinga og möguleika þeirra til að leita réttar síns, sem og hvetja til að bæta aðferðir við vinnslu persónuupplýsinga. Var m.a. hvatt til þess að nota staðlað form og einfalt mál; að einstök atriði, sem tengdust meginreglum um vernd persónuupplýsinga, kæmu skýrt fram; og að auðvelt yrði fyrir hina skráðu að nálgast ítarlegri upplýsingar á aðgenginlegan hátt, s.s. upplýsingar um löggjöf og heildstæða lýsingu á vinnslu persónuupplýsinga hjá ábyrgðaraðila. Þá var m.a. bent á mikilvægi þess að hinir skráðu fengju upplýsingar nógu snemma til að geta kosið hvaða upplýsingar þeir veittu eða ráðið því hvaða upplýsinga yrði aflað um þá.

2. Ályktun um flutning farþegaupplýsinga. – Í þessari ályktun minntu forstjórarnir á að í tengslum við baráttuna gegn hryðjuverkum og skipulagðri glæpastarfsemi væri í sumum löndum verið að íhuga úrræði sem ógnuðu grundvallarmannréttindum og frelsi, einkum réttinum til friðhelgi einkalífs. Úrræði, sem ættu að vernda lýðræði og frelsi, gætu því ógnað þessum gildum. Kröfur á hendur flugfélögum um aðgang að ítarlegum farþegaupplýsingum í bókunarkerfum gætu brotið gegn meginreglum um vernd persónuupplýsinga á alþjóðavísu eða í einstökum löndum. Lýstu forstjórarnir því yfir að í baráttunni gegn hryðjuverkum og skipulagðri glæpastarfsemi ættu ríki að taka fullt tillit til grundvallarreglna um vernd persónuupplýsinga, en þær væru hluti þeirra gilda sem verið væri að verja. Þar sem reglubundinn flutningur persónuupplýsinga á milli landa væri nauðsynlegur ætti hann að fara fram þannig að persónuupplýsingar væru verndaðar, s.s. samkvæmt alþjóðlegum samningi þar sem kveðið væri á um hvernig það skyldi gert þannig að tilgangur yrði skýrt afmarkaður, ekki væri safnað of miklu af upplýsingum, þær væru ekki varðveittar of lengi, hinir skráðu fengju vitneskju um vinnsluna, réttinda þeirra væru tryggð og sjálfstætt eftirlit væri haft með vinnslunni.

3. Ályktun um vernd persónuupplýsinga og alþjóðasamtök. – Í þessari ályktun hvöttu forstjórarnir alþjóðasamtök til að tryggja vernd persónuupplýsinga. Samtök, sem ynnu með persónuupplýsingar, skyldu koma á fót yfirstjórn um vernd persónuupplýsinga sem skyldi hafa eftirlitsvald. Þá skyldu samtök, sem ynnu að þróun staðla, reglna og sameiginlegs verklags, sem áhrif hefðu á vinnslu persónuupplýsinga, tryggja vernd slíka upplýsinga, s.s. með samráði við persónuverndarstofnanir.

4. Ályktun um persónuauðkenningu með útvarpsbylgjum. – Í þessari ályktun fjölluðu forstjórarnir um búnað sem sendir útvarpsbylgjur, þ.e. örsmáan örtölvukubb sem jafnframt er útvarpssendir (RFID-tags, RFID: Radio Frequency Identification (sjá einnig um þetta kafla 5.6.9)). Forstjórarnir gátu þess að slíkur búnaður hefði hingað til aðallega verið notaður til vöruskráningar, s.s. til að tryggja réttan uppruna vöru, fylgjast með framleiðslu hennar, staðsetningu o.fl. (þess má geta að hann er t.d. hafður á vörum í verslunum og sendir frá sér merki hafi ekki verið greitt eða gleymst hafi að afvirkja hann við greiðslu). Hins vegar minntu forstjórarnir á að mögulegt gæti verið að tengja útvarpsmerkin við persónuupplýsingar, t.d. þegar umræddur búnaður væri á greiðslukortum, eða jafnvel nota þennan búnað til söfnunar persónuupplýsinga og gerðar persónusniða um þá sem hefðu hann undir höndum. Þá mætti einnig beita honum til staðsetningar einstaklinga og til að tengja upplýsingar, sem safnað hefði verið, við gagnagrunna með persónuupplýsingum. Var minnt á að í tengslum við þennan búnað yrði að fara eftir öllum grundvallarreglum um persónuvernd og meðferð persónuupplýsinga. Ætti því ekki að taka hann í notkun ef unnt væri að nota annars konar búnað. Væri sýnt fram á að vinnsla persónuupplýsinga væri nauðsynleg ætti og að safna þeim á opinn og gagnsæjan hátt. Þá mætti aðeins nota þær í þeim tilgangi sem þeirra var aflað í og þær mætti ekki varðveita lengur en nauðsynlegt væri vegna þess tilgangs. Loks skyldu einstaklingar, sem hefðu undir höndum umræddan búnað, geta, ef aflað væri persónuupplýsinga, eytt slíkum upplýsingum eða búnaðinum sjálfum. Sú aðstaða að unnt væri að lesa útvarpsbylgjur eða virkja slíkan búnað úr fjarlægð vekti upp viðbótarálitaefni um friðhelgi einkalífs.

5.6.7. Um samstarf á vettvangi Evrópuráðsins

Persónuvernd tekur fyrir Íslands hönd þátt í starfi tveggja nefnda á vegum Evrópuráðsins.

Annars vegar er um að ræða ráðgefandi nefnd um gagnavernd (Consultative Committee of the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (ETS 108) (T-PD)). Hún starfar á grundvelli 13. gr. Evrópusamnings um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga sem gerður var í Strassborg 28. janúar 1981 (CONVENTION nr. 108 for the Protection of Individuals with Regard to Automatic Processing of Personal Data). Fullgildingarskjal Íslands vegna þessa samnings var afhent aðalframkvæmdastjóra Evrópuráðsins 25. mars 1991, en hann hafði verið undirritaður fyrir Íslands hönd 27. september 1982 með fyrirvara um fullgildingu. Með ályktun 17. desember 1990 heimilaði Alþingi ríkisstjórninni að fullgilda samninginn og öðlaðist hann gildi að því er Ísland varðar 1. júlí 1991.

Hins vegar er um að ræða vinnunefnd Evrópuráðsins um persónuvernd (Project Group of Data Protection (CJ-PD)).

Á árinu 2003 var starfið sem hér segir:

1. 12. fundur samhæfingarhóps CJ-PD, þ.e. CJ-PD-GC, var haldinn í Strassborg dagana 20.–22. maí. Fundurinn var ekki sóttur.

2. T-PD fundur var haldinn í Strassborg dagana 26.–28. nóvember. Fundinn sótti forstjóri.

3. CJ-TP fundur var haldinn í Strassborg dagana 24.–26. nóvember. Fundinn sótti forstjóri.

Nánari umfjöllun um þetta starf er að finna á heimasíðu Evrópuráðsins. Tengil við hana er að finna á heimasíðu Persónuverndar undir hnappinum „Áhugaverðar síður“.

5.6.8. Um fund vinnuhóps um persónuvernd í fjarskiptum

Fundur þessa vinnuhóps var haldinn í Berlín dagana 2. og 3. september. Fundinn sótti Björn Geirsson, lögfræðingur. Fjallað var m.a. um varðveislu fjarskiptafyrirtækja á fjarskiptaupplýsingum. Í því sambandi kynntu Bretar drög að verklagsreglum sem byggjast á því að bresk fjarskiptafyrirtæki safni umræddum upplýsingum samkvæmt samkomulagi við stjórnvöld. Í regludrögunum eru fjarskiptaupplýsingar flokkaðar í mismunandi tegundir og ákvarðaður hámarksvarðveislutími hverrar einstakrar tegundar. Þá var rætt um hvernig bregðast ætti við hættum sem kunna að steðja að persónuupplýsingum samfara notkun á þráðlausum internettengingum, s.s. ólögmætum aðgangi utanaðkomandi aðila að rafrænum sjúkraskrám. Einnig voru rædd ýmis álitamál sem tengjast ENUM, sem er skammstöfun (ENUM: Telephone Number Mapping) á n.k. kennitölu sem tengir saman símanúmer (faxnúmer, GSM-númer, talhólf o.s.frv.), og IP-tölur, þ.e. númer sem fylgja hverri tölvu. Í reynd er því um að ræða eins konar persónuauðkenni þegar tölva er í umráðum tiltekins einstaklings. Fundurinn ályktaði, með samþykkt vinnuskjals, að mikilvægt væri að gæta eftirfarandi sjónarmiða varðandi notkun ENUM:

1. Að einstaklingar ættu þess kost að velja sér notandanafn fyrir ENUM.

2. Að hverjum einstaklingi gæfist kostur á fleiri en einu ENUM.

3. Hafa þyrfti í huga að „öfug uppfletting“, s.s. leit að heimilisfangi eða kennitölu í gegnum símanúmer, væri bönnuð í sumum löndum.

4. ENUM-þjónusta ætti eingöngu að bjóðast einstaklingum á grundvelli upplýsts samþykkis þeirra.

5. Ekki mætti birta eða gera ENUM einstaklinga aðgengileg almenningi nema með samþykki hinna skráðu.

6. Skilgreina þyrfti löglega notkun ENUM og setja reglur um eyðingu persónuupplýsinga þeirra einstaklinga sem segja sig úr ENUM-þjónustu.

Þá ályktaði fundurinn með sams konar hætti um þær meginreglur er varða persónuvernd sem þarf að hafa í heiðri við notkun RFID-tækni, en það er skammstöfun (RFID: Radio Frequency Identification) á kennimerkjum sem gefa frá sér útvarpsbylgjur (sjá einnig um þetta kafla 5.6.6, lið 4). Þessi merki eru nú fyrst og fremst notuð til auðkenningar á vörum. Hins vegar væri möguleiki á því að nota merkin til þess að skrá og geyma upplýsingar um kreditkortanúmer. Enn fremur mætti nota þessa tækni til þess að staðsetja einstaklinga sem bera slík merki eða til að gera persónusnið um þá. Meginreglurnar, að mati fundarins, eru eftirfarandi:

1. Ábyrgðaraðilar eiga, áður en þeir taka til notkunar RFID-búnað, að íhuga hvort ekki sé hægt að ná sama markmiði með öðrum aðferðum sem ekki fela í sér söfnun persónuupplýsinga eða gerð persónusniðs um einstaklinga.

2. Persónuupplýsingar skulu vera ábyrgðaraðila nauðsynlegar og verður þeim að vera safnað í yfirlýstum og skýrum tilgangi til að koma í veg fyrir að brotið sé gegn friðhelgi einkalífs með óréttmætum hætti.

3. Aðeins má nota persónuupplýsingar í þeim afmarkaða tilgangi sem þeim var upphaflega ætlað að þjóna.

5.6.9. Um fund er haldinn var í Brussel um aðgerðir gegn rusltölvupósti (spamming)

Fundurinn var haldinn í Brussel 12. desember að tilstuðlan framkvæmdastjórnar ESB. Markmið fundarins var að leita leiða til þess að samræma aðgerðir Evrópuríkja í þeim tilgangi að vinna bug á sívaxandi flæði ruslpósts. Í þessu sambandi hefur það verið vandamál að málaflokkurinn hefur verið á hendi mismunandi stjórnvalda innan aðildarríkja Evrópusambandsins. Í sumum ríkjum er málaflokkurinn á verksviði fjarskiptastofnana, en í öðrum fara persónuverndarstofnanir með mál af þessu tagi. Í nokkrum tilvikum, eins og reyndin er hér á landi, skiptist málaflokkurinn á milli þessara tveggja eða jafnvel fleiri stjórnvalda. Þar sem þessi mismunandi stjórnvöld hafa ekki sameiginlegan samráðsvettvang innan ESB var á fundinum í fyrsta lagi ákveðið að útbúa póstlista með nöfnum þeirra starfsmanna sem vinna að þessu máli í hverju einstöku ríki. Í öðru lagi var ákveðið að ríki tilnefndu sérstakan tengilið til að vera í fyrirsvari varðandi frekara samstarf ríkjanna á þessu sviði. Einn starfsmaður frá Persónuvernd og einn frá Póst- og fjarskiptastofnun eru á póstlistanum, en sá síðarnefndi hefur jafnframt verið tilnefndur tengiliður af hálfu Íslands.

6. Lög og reglur

6.1. Lög nr. 77/2000 eins og þau voru eftir þær breytingar sem gerðar voru á þeim á árinu 2001, sbr. lög nr. 90/2001, á árinu 2002, sbr. lög nr. 81/2002, og á árinu 2003, sbr. lög nr. 46/2003 og 72/2003

I. kafli. Markmið, skilgreiningar og gildissvið.

1. gr.

Markmið.

Markmið laga þessara er að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins.

Sérstök stofnun, Persónuvernd, annast eftirlit með framkvæmd laga þessara og reglna sem settar verða samkvæmt þeim, sbr. nánar ákvæði 36. gr.

2. gr.

Skilgreiningar.

Merking orða og hugtaka í lögum þessum er sem hér segir:

1. Persónuupplýsingar: Sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.

2. Vinnsla: Sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn.

3. Skrá: Sérhvert skipulagsbundið safn persónuupplýsinga þar sem finna má upplýsingar um einstaka menn.

4. Ábyrgðaraðili: Sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.

5. Vinnsluaðili: Sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila.
 6. [Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði. Hugtakið tekur til:
   a. vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga, og
   b. sjónvarpsvöktunar sem fer fram með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.]¹⁾

7. Samþykki: Sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.

8. Viðkvæmar persónuupplýsingar:

a. Upplýsingar um uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir.

b. Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað.

c. Upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun.
   d. Upplýsingar um kynlíf manna og kynhegðan.

e. Upplýsingar um stéttarfélagsaðild.

9. Sértæk ákvörðun: Ákvörðun sem afmarkar rétt og/eða skyldur eins eða fleiri tilgreindra einstaklinga.

¹⁾L. 46/2003, 1. gr.

3. gr.

Efnislegt gildissvið.

Lögin gilda um sérhverja rafræna vinnslu persónuupplýsinga. Lögin gilda einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá.

Ákvæði 16., 18.–21., 24., 26., 31. og 32. gr. laganna gilda ekki um vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu. Lögin gilda ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða eru einvörðungu ætlaðar til persónulegra nota.

4. gr.

[Rafræn vöktun.

Rafræn vöktun er ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis þar sem takmarkaður hópur fólks fer um að jafnaði er jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram.

Vinnsla persónuupplýsinga sem á sér stað í tengslum við rafræna vöktun skal uppfylla ákvæði laga þessara.

Um sjónvarpsvöktun fer, auk ákvæðis 1. mgr., samkvæmt ákvæðum 7., 24., 40. og 41. gr. laganna, svo og eftir því sem við á ákvæðum 31., 32. og 38. gr. laganna.]¹⁾

¹⁾L. 46/2003, 2. gr.

5. gr.

Tengsl við tjáningarfrelsi.

Að því marki sem það er nauðsynlegt til að samræma sjónarmið um rétt til einkalífs annars vegar og tjáningarfrelsis hins vegar má víkja frá ákvæðum laganna í þágu fjölmiðlunar, lista eða bókmennta. Þegar persónuupplýsingar eru einvörðungu unnar í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi gilda aðeins ákvæði 4. gr., 1. og 4. tölul. 7. gr., 11.–13. gr. og 24., 28., 42. og 43. gr. laganna.

6. gr.

Landfræðilegt gildissvið.

[Lögin gilda um vinnslu persónuupplýsinga á vegum ábyrgðaraðila sem hefur staðfestu hér á landi, enda fari vinnsla persónuupplýsinganna fram á Evrópska efnahagssvæðinu, [í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu]¹⁾ eða í landi eða á stöðum sem Persónuvernd auglýsir í Stjórnartíðindum.²⁾

[Lögin gilda einnig um vinnslu persónuupplýsinga þótt ábyrgðaraðili hafi hvorki staðfestu í ríki á Evrópska efnahagssvæðinu né í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu ef hann notar tæki og búnað sem er hér á landi.]¹⁾

Lögin gilda einnig um vinnslu upplýsinga um fjárhagsmálefni og lánstraust lögaðila, sbr. 45. gr. laganna, enda þótt ábyrgðaraðili hafi ekki staðfestu hér á landi, ef hann notar tæki og búnað sem er hér á landi.

Ákvæði 2. og 3. mgr. gilda ekki ef umræddur tækjabúnaður er einungis notaður til að flytja persónuupplýsingar um Ísland.

Þegar svo hagar til sem greinir í 2. og 3. mgr. skal ábyrgðaraðili tilnefna fulltrúa sinn sem hefur staðfestu hér á landi og gilda þá ákvæði laganna varðandi ábyrgðaraðila um þann fulltrúa eftir því sem við á.]³⁾

¹⁾L. 72/2003, 5. gr.²⁾Augl. 435/2003, sbr. augl. 974/2003. ³⁾L. 90/2001, 1. gr.

II. kafli. Almennar reglur um vinnslu persónuupplýsinga.

7. gr.

[Meginreglur um gæði gagna og vinnslu.]¹⁾

Við meðferð persónuupplýsinga skal allra eftirfarandi þátta gætt:

1. að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga;

2. að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, en frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt;

3. að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar;

4. að þær séu áreiðanlegar og uppfærðar eftir þörfum, persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta;

5. að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu.

[Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr.]¹⁾

¹⁾L. 90/2001, 2. gr.

8. gr.

[Almennar reglur um heimildir fyrir vinnslu persónuupplýsinga.]¹⁾

Vinnsla persónuupplýsinga er því aðeins heimil að einhverjir eftirfarandi þátta séu fyrir hendi:

1. [hinn skráði hafi ótvírætt samþykkt vinnsluna eða veitt samþykki skv. 7. tölul. 2. gr.]¹⁾

2. vinnslan sé nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður;

3. vinnslan sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila;

4. vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða;

5. vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna;

6. vinnslan sé nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með;

7. vinnslan sé nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra.
…²⁾

[Persónuvernd getur heimilað vinnslu persónuupplýsinga í öðrum tilvikum en greinir í 1. og 2. mgr. ef sýnt þykir að brýnir almannahagsmunir eða hagsmunir einstaklinga, þar með taldir hagsmunir hins skráða, krefjist þess. Skal þá ótvírætt að þörfin fyrir vinnsluna vegi þyngra en tillitið til þess að hún fari ekki fram. Getur Persónuvernd bundið slík leyfi þeim skilyrðum sem hún metur nauðsynleg hverju sinni til að tryggja hagsmuni hins skráða.]¹⁾

¹⁾L. 90/2001, 3. gr.²⁾L. 46/2003, 3. gr.

9. gr.

[Sérstök skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga.]¹⁾

[Vinnsla viðkvæmra persónuupplýsinga er óheimil nema uppfyllt sé eitthvert af skilyrðum 1. mgr. 8. gr. og enn fremur eitthvert af eftirfarandi skilyrðum:]¹⁾

1. hinn skráði samþykki vinnsluna;

2. sérstök heimild standi til vinnslunnar samkvæmt öðrum lögum;

3. ábyrgðaraðila beri skylda til vinnslunnar samkvæmt samningi aðila vinnumarkaðarins;
   4. vinnslan sé nauðsynleg til að verja verulega hagsmuni hins skráða eða annars aðila sem ekki er sjálfur fær um að gefa samþykki sitt skv. 1. tölul.;

5. vinnslan sé framkvæmd af samtökum sem hafa stéttarfélagsleg markmið eða af öðrum samtökum sem ekki starfa í hagnaðarskyni, svo sem menningar-, líknar-, félagsmála- eða hugsjónasamtökum, enda sé vinnslan liður í lögmætri starfsemi samtakanna og taki aðeins til félagsmanna þeirra eða einstaklinga sem samkvæmt markmiðum samtakanna eru, eða hafa verið, í reglubundnum tengslum við þau; slíkum persónuupplýsingum má þó ekki miðla áfram án samþykkis hins skráða;

6. vinnslan taki einungis til upplýsinga sem hinn skráði hefur sjálfur gert opinberar;

7. vinnslan sé nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja;

8. vinnslan sé nauðsynleg vegna læknismeðferðar eða vegna venjubundinnar stjórnsýslu á sviði heilbrigðisþjónustu, enda sé hún framkvæmd af starfsmanni heilbrigðisþjónustunnar sem bundinn er þagnarskyldu;

9. vinnslan sé nauðsynleg vegna tölfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á.

[Þrátt fyrir að skilyrði 1. mgr. séu ekki uppfyllt er heimilt, í tengslum við framkvæmd rafrænnar vöktunar, að safna efni sem verður til við vöktunina, svo sem hljóð- og myndefni, með viðkvæmum persónuupplýsingum ef eftirfarandi skilyrði eru uppfyllt:

1. að vöktunin sé nauðsynleg og fari fram í öryggis- og eignavörsluskyni;

2. að það efni sem til verður við vöktunina verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða samkvæmt ákvörðun Persónuverndar; heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað en þá skal þess gætt að eyða öllum öðrum eintökum af efninu;

3. að því efni sem safnast við vöktunina verði eytt þegar ekki er lengur málefnaleg ástæða til að varðveita það, nema sérstök heimild Persónuverndar skv. 3. mgr. standi til frekari varðveislu.]²⁾

Persónuvernd getur heimilað vinnslu viðkvæmra persónuupplýsinga í öðrum tilvikum en greinir í [1. og 2. mgr.]²⁾ telji hún brýna almannahagsmuni mæla með því. Persónuvernd bindur slíka heimild þeim skilyrðum sem hún telur nauðsynleg hverju sinni til að tryggja hagsmuni hinna skráðu.

Persónuvernd setur, að fenginni umsögn vísindasiðanefndar, reglur um hvernig velja má og nálgast fólk til þátttöku í vísindarannsóknum og hvaða fræðslu skuli veita því áður en samþykkis þess er óskað.

Persónuvernd leysir úr ágreiningi um hvort persónuupplýsingar skuli teljast viðkvæmar eða ekki.

¹⁾L. 90/2001, 4. gr.²⁾L. 81/2002, 1. gr.

10. gr.

Notkun kennitölu.

Notkun kennitölu er heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Persónuvernd getur bannað eða fyrirskipað notkun kennitölu.

11. gr.

[Áhættumat, öryggi og gæði persónuupplýsinga.

Ábyrgðaraðili skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.

Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur¹⁾ og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt.

Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar.

Ábyrgðaraðili skal skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir. Skal Persónuvernd hafa aðgang að upplýsingum um framangreind atriði hvenær sem hún óskar.]²⁾

¹⁾Rgl. 299/2001. ²⁾L. 90/2001, 5. gr.

12. gr.

Innra eftirlit.

[Ábyrgðaraðili skal viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

Innra eftirlit skal viðhaft með reglubundnum hætti. Tíðni eftirlitsins og umfang þess skal ákveðið með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd eftirlitsins. Það skal þó eigi fara fram sjaldnar en árlega.

Ábyrgðaraðili skal sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skal lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skal varðveita tryggilega. Persónuvernd hefur rétt til að aðgangs að þeim hvenær sem er.

Persónuvernd getur sett frekari fyrirmæli¹⁾ um framkvæmd innra eftirlits og veitt undanþágu frá því að slíkt innra eftirlit skuli viðhaft eða takmarkað til hvaða þátta í vinnslunni það skuli taka.]²⁾

¹⁾ Rgl. 299/2001 . ²⁾L. 90/2001, 6. gr.

13. gr.

[Trúnaðarskylda vinnsluaðila við meðferð persónuupplýsinga.

Ábyrgðaraðila er heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laga þessara. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit skv. 12. gr. laga þessara.

Samningur skv. 1. mgr. skal vera skriflegur og a.m.k. í tveimur eintökum. Þar skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga þessara um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast. Ábyrgðaraðili og vinnsluaðili skulu hvor varðveita sitt eintak af samningnum.

Hverjum þeim er starfar í umboði ábyrgðaraðila eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.

Hafi vinnsluaðili staðfestu í öðru ríki á Evrópska efnahagssvæðinu en ábyrgðaraðili, sbr. 1. mgr. 6. gr., skal jafnframt mælt svo fyrir í samningi að lög og reglur þess ríkis þar sem vinnsluaðili hefur staðfestu gildi um öryggisráðstafanir við vinnslu persónuupplýsinga. Getur Persónuvernd t.d. í auglýsingu¹⁾ í Stjórnartíðindum áskilið að slíkur samningur innihaldi stöðluð ákvæði sem séu í samræmi við ákvörðun framkvæmdastjórnar Evrópubandalagsins. Sama á við þegar ábyrgðaraðili hefur staðfestu í ríki á Evrópska efnahagssvæðinu en vinnsluaðili ekki fari vinnslan fram í landi eða á stöðum sem upp eru taldir í auglýsingu sem Persónuvernd gefur út.]²⁾

[Ákvæði 4. mgr. gilda einnig þegar vinnsluaðili á staðfestu í öðru aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu en ábyrgðaraðili, sbr. 1. mgr. 6. gr., og þegar ábyrgðaraðili hefur staðfestu í aðildarríki stofnsamnings Fríverslunarsamtaka Evrópu en vinnsluaðili ekki.]³⁾

¹⁾Augl. 435/2003, sbr. augl. 974/2003. ²⁾L. 90/2001, 7. gr.³⁾L. 72/2003, 6. gr.

14. gr.

Frestur til að fullnægja skyldum.

Ábyrgðaraðili skal afgreiða erindi samkvæmt ákvæðum 16., 18., 22., 25., 26., 27. og 28. gr. svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku þess.

Ef sérstakar ástæður valda því að ómögulegt er fyrir ábyrgðaraðila að afgreiða erindi innan eins mánaðar er honum heimilt að gera það síðar. Þegar svo hagar til skal ábyrgðaraðili innan mánaðarfrestsins gefa hlutaðeigandi skriflegar skýringar á ástæðum tafarinnar og hvenær svars sé að vænta.

15. gr.

Greiðsla kostnaðar.

Verða skal við erindi samkvæmt ákvæðum 16., 18., 22., 25., 26., 27. og 28. gr. án þess að taka fyrir það sérstakt gjald. Þó má, ef um er að ræða mikinn kostnað, svo sem vegna ljósritunar skjala, taka greiðslu fyrir samkvæmt gjaldskrá sem ákveðin er af dómsmálaráðherra með reglugerð.

III. kafli. Upplýsingaréttur og upplýsingaskylda. Fræðslu- og viðvörunarskylda. Réttur til rökstuðnings.

16. gr.

Réttur til almennrar vitneskju um vinnslu persónuupplýsinga.

Ábyrgðaraðila er skylt að veita hverjum sem þess óskar almenna vitneskju um þá vinnslu persónuupplýsinga sem fram fer á hans vegum.

Þeim sem þess óskar skal enn fremur, að því er varðar tiltekna tegund vinnslu, veitt vitneskja um eftirtalin atriði:

1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.;

2. hver ber daglega ábyrgð á því að fullnægt sé skyldum ábyrgðaraðila samkvæmt lögum þessum;

3. tilgang vinnslunnar;

4. skilgreiningu og aðra lýsingu á þeim tegundum persónuupplýsinga sem unnið er með;

5. hvaðan upplýsingar koma;

6. viðtakendur upplýsinga, þar á meðal um hvort ætlunin sé að flytja upplýsingar úr landi og þá til hverra.

Kröfu skv. 1. mgr. skal beint til ábyrgðaraðila, eða fulltrúa hans skv. 6. gr., og má krefjast skriflegrar greinargerðar um þau atriði sem óskað er vitneskju um.

17. gr.

Opinber skrá um veittar heimildir og mótteknar tilkynningar.

Persónuvernd skal halda skrá yfir alla vinnslu sem henni er tilkynnt um í samræmi við 31. gr. og þá vinnslu sem hún heimilar skv. 33. gr. Þar skulu að lágmarki koma fram þau atriði sem talin eru í 2. mgr. 16. gr.

Skráin skal vera aðgengileg almenningi með þeirri aðferð sem Persónuvernd ákveður.

18. gr.

Upplýsingaréttur hins skráða.

Hinn skráði á rétt á að fá frá ábyrgðaraðila vitneskju um:

1. hvaða upplýsingar um hann er eða hefur verið unnið með;

2. tilgang vinnslunnar;

3. hver fær, hefur fengið eða mun fá upplýsingar um hann;

4. hvaðan upplýsingarnar koma;

5. hvaða öryggisráðstafanir eru viðhafðar við vinnslu, enda skerði það ekki öryggi vinnslunnar.

Kröfu um vitneskju skv. 1. mgr. skal beina til ábyrgðaraðila eða fulltrúa hans skv. 6. gr. Veita skal vitneskju skriflega sé þess óskað.

19. gr.

Takmarkanir á upplýsingarétti hins skráða.

Réttur hins skráða til að fá vitneskju skv. 18. gr. nær ekki til upplýsinga sem einvörðungu eru notaðar til tölfræðivinnslu eða vísindarannsókna, enda geti vinnsla þeirra ekki haft bein áhrif á hagsmuni hans.

Ákvæði 18. gr. eiga ekki við ef réttur hins skráða samkvæmt því ákvæði þykir eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra eða hans eigin. Skal þá m.a. tekið tillit til heilsu hins skráða og hagsmuna venslamanna hans. Þó má samkvæmt beiðni veita umboðsmanni hins skráða vitneskjuna, enda mæli engar sérstakar ástæður gegn því.

Réttur hins skráða til að fá vitneskju samkvæmt ákvæðum 18. gr. nær ekki til upplýsinga sem eru undanþegnar aðgangi samkvæmt upplýsinga- eða stjórnsýslulögum. Þegar um er að ræða gögn í vörslu annarra ábyrgðaraðila en stjórnvalda ná ákvæði 18. gr. ekki til vitneskju um efni vinnuskjala eða annarra sambærilegra gagna sem unnin eru af ábyrgðaraðila sjálfum eða aðilum á hans vegum, t.d. sérstökum ráðgjöfum eða sérfræðingum.

Þótt gögn séu undanþegin upplýsingarétti hins skráða skv. 3. mgr. getur hann óskað greinargerðar um efnislegt innihald þeirra, útdráttar eða annars konar samantektar nema hann geti kynnt sér staðreyndir málsins með öðrum hætti.

Dragi veiting vitneskju um tilteknar upplýsingar úr möguleikum á að leiða til lykta mál sem er til meðferðar má fresta veitingu upplýsinganna þar til lokið er undirbúningi málsmeðferðar.

Persónuvernd getur sett skilmála um beitingu upplýsingaréttar hins skráða í reglum sem ráðherra staðfestir.

20. gr.

[Fræðsluskylda þegar persónuupplýsinga er aflað hjá hinum skráða.

Þegar ábyrgðaraðili aflar persónuupplýsinga hjá hinum skráða sjálfum skal hann upplýsa hinn skráða um eftirtalin atriði:

1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.,

2. tilgang vinnslunnar,

3. aðrar upplýsingar, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, svo sem upplýsingar um:

a. viðtakendur eða flokka viðtakenda upplýsinganna,

b. hvort honum sé skylt eða valfrjálst að veita umbeðnar upplýsingar og hvaða afleiðingar það kunni að hafa veiti hann þær ekki,

c. ákvæði laganna um upplýsingarétt hins skráða, svo og rétt hins skráða til leiðréttingar og eyðingar rangra eða villandi persónuupplýsinga um hann.

Ákvæði 1. mgr. gilda ekki hafi hinn skráði þegar fengið vitneskju um þau atriði sem fram koma í 1.–3. tölul. 1. mgr.]¹⁾

¹⁾L. 81/2002, 2. gr.

21. gr.

[Skylda til að láta hinn skráða vita um vinnslu persónuupplýsinga þegar þeirra er aflað hjá öðrum en honum sjálfum.

Þegar ábyrgðaraðili aflar persónuupplýsinga frá öðrum en hinum skráða skal hann samtímis láta hinn skráða vita af því og greina honum frá þeim atriðum sem talin eru í 3. mgr. Sé ætlun ábyrgðaraðila hins vegar að miðla upplýsingunum innan hæfilegra tímamarka frá öflun þeirra má hann þó fresta því þar til hann miðlar upplýsingunum í fyrsta sinn.

Þrátt fyrir 2. málsl. 1. mgr. skal ábyrgðaraðili sem annast miðlun upplýsinga um fjárhagsmálefni og lánstraust láta hinn skráða vita 14 dögum áður en slíkum upplýsingum er miðlað í fyrsta sinn.

Í tilkynningu til hins skráða skal veita upplýsingar um:

1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.,

2. tilgang vinnslunnar,

3. aðrar upplýsingar, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, svo sem upplýsingar um:

a. tegundir eða flokka þeirra upplýsinga sem unnið er með,

b. hvaðan upplýsingarnar koma,

c. viðtakendur eða flokka viðtakenda upplýsinganna,

d. ákvæði laganna um upplýsingarétt hins skráða, svo og rétt hins skráða til leiðréttingar og eyðingar rangra eða villandi persónuupplýsinga um hann.

Ákvæði 1. mgr. gilda ekki ef:

1. óframkvæmanlegt er að láta hinn skráða vita eða það leggur þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast,

2. ætla má að hinum skráða sé þegar kunnugt um vinnsluna,

3. lagaheimild stendur til skráningar eða miðlunar upplýsinganna eða

4. hagsmunir hins skráða af því að fá vitneskju um upplýsingarnar þykja eiga að víkja fyrir veigamiklum almannahagsmunum eða einkahagsmunum, þ.m.t. hagsmunum hans sjálfs.]¹⁾

¹⁾L. 81/2002, 3. gr.

22. gr.

Rökstuðningur sértækra ákvarðana sem byggjast á sjálfvirkri upplýsingavinnslu.

Ef fyrir liggur sértæk ákvörðun sem að öllu leyti er byggð á rafrænni vinnslu persónuupplýsinga getur sá sem ákvörðunin beinist að krafist rökstuðnings fyrir niðurstöðunni. Í rökstuðningi skal ábyrgðaraðili gera grein fyrir þeim reglum sem hin rafræna vinnsla byggist á og liggja ákvörðuninni til grundvallar.

23. gr.

Viðvaranir um notkun persónusniða.

Þegar persónusnið sem skilgreinir tiltekið hátterni, smekk, hæfileika eða þarfir er lagt til grundvallar:

1. við sértæka ákvörðun skv. 9. tölul. 2. gr. eða

2. við að nálgast hinn skráða, velja úrtak, markhóp o.s.frv.,

getur Persónuvernd, þegar henni berst tilkynning um slíka vinnslu, ákveðið að ábyrgðaraðili geri hinum skráða viðvart og greini frá því hver sé ábyrgðaraðili vinnslunnar, hvaða upplýsingar hann noti og hvaðan þær komi.

Við ákvörðun skv. 1. mgr. skal Persónuvernd m.a. líta til þess hvort viðvörun er að hennar mati óframkvæmanleg eða leggi þyngri byrðar á ábyrgðaraðila en með sanngirni má krefjast.

24. gr.

Viðvaranir um rafræna vöktun.

Þegar rafræn vöktun fer fram á vinnustað eða á almannafæri skal með merki eða á annan áberandi hátt gera glögglega viðvart um þá vöktun og hver sé ábyrgðaraðili.

IV. kafli. Leiðrétting, eyðing, lokun o.fl.

25. gr.

Leiðrétting og eyðing rangra og villandi persónuupplýsinga.

Ef skráðar hafa verið persónuupplýsingar sem eru rangar, villandi eða ófullkomnar, eða persónuupplýsingar hafa verið skráðar án tilskilinnar heimildar, skal ábyrgðaraðili sjá til þess að upplýsingarnar verði leiðréttar, þeim eytt eða við þær aukið ef umræddur annmarki getur haft áhrif á hagsmuni hins skráða. Hafi slíkum upplýsingum verið miðlað eða þær notaðar ber ábyrgðaraðila, eftir því sem honum er frekast unnt, að hindra að það hafi áhrif á hagsmuni hins skráða.

Ef eyðing eða breyting þeirra upplýsinga sem um ræðir í 1. mgr. er óheimil samkvæmt ákvæðum annarra laga getur Persónuvernd bannað notkun upplýsinganna.

26. gr.

Eyðing og bann við notkun persónuupplýsinga sem hvorki eru rangar né villandi.

Þegar ekki er lengur málefnaleg ástæða til að varðveita persónuupplýsingar skal ábyrgðaraðili eyða þeim. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða á því að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra.

Ef ákvæði annarra laga standa því ekki í vegi getur skráður aðili engu síður krafist þess að upplýsingum um hann skv. 1. mgr. sé eytt eða notkun þeirra bönnuð ef slíkt telst réttlætanlegt út frá heildstæðu hagsmunamati. Við slíkt hagsmunamat skal taka tillit til hagsmuna annarra, almennra persónuverndarhagsmuna, almannahagsmuna og þeirra aðgerða sem þörf er á til að verða við kröfunni.

Persónuvernd getur, bæði í einstökum tilvikum eða með setningu almennra reglna, bannað notkun slíkra upplýsinga eða mælt fyrir um eyðingu þeirra.

27. gr.

Réttur til að fá ákvörðun sem byggist á handvirkri vinnslu upplýsinga.

Ef fyrir liggur sértæk ákvörðun í skilningi 9. tölul. 2. gr., sem að öllu leyti hefur byggst á sjálfvirkri vinnslu persónuupplýsinga, getur sá sem ákvörðun beinist að, eða mál varðar beinlínis með öðrum hætti, krafist þess að fá ákvörðunina handunna, enda sé um að ræða ákvörðun sem varðar persónulega hagi eða eiginleika hans og hefur verulega þýðingu fyrir hann.

Réttur skv. 1. mgr. er ekki til staðar ef beitt er viðhlítandi ráðstöfunum til að gæta persónuverndarhagsmuna viðkomandi og um er að ræða ákvörðun sem byggist á fyrirmælum laga eða tengist gerð eða efndum samnings.

28. gr.

[Um andmælarétt hins skráða og um bannskrá Hagstofunnar.

Hinum skráða er heimilt að andmæla vinnslu upplýsinga um sjálfan sig ef hann hefur til þess lögmætar og knýjandi ástæður vegna sérstakra aðstæðna sinna nema kveðið sé á um annað í öðrum lögum. Eigi andmælin rétt á sér er ábyrgðaraðila óheimil frekari vinnsla umræddra upplýsinga.

Hagstofa Íslands skal halda skrá yfir þá sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi, en Hagstofa Íslands setur nánari reglur um gerð og notkun slíkra skráa og hvaða upplýsingar skuli koma þar fram í samráði við Persónuvernd. Ábyrgðaraðilar sem starfa í beinni markaðssókn og þeir sem nota skrá með nöfnum, heimilisföngum, netföngum, símanúmerum og þess háttar eða miðla þeim til þriðja aðila í tengslum við slíka starfsemi skulu, áður en slík skrá er notuð í slíkum tilgangi, bera hana saman við skrá Hagstofunnar til að koma í veg fyrir að markpóstur verði sendur eða hringt verði til einstaklinga sem hafa andmælt slíku. Persónuvernd getur heimilað undanþágu frá þessari skyldu í sérstökum tilvikum.

Öll notkun bannskrár skv. 2. mgr. er óheimil í öðrum tilgangi en þar er lýst.

Skylt er að nafn ábyrgðaraðila komi fram á áberandi stað á útsendum markpósti og hvert þeir sem andmæla því að fá slíkan markpóst og marksímtöl geti snúið sér. Viðtakandi markpósts á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu eða útsendingu til grundvallar. Þetta gildir ekki um markaðssetningu ábyrgðaraðila á eigin vöru og þjónustu sem notar eigin viðskiptamannaskrár, enda beri útsent efni með sér hvaðan það kemur. [Ef markpóstur er sendur með rafrænum hætti er skylt að fram komi á ótvíræðan hátt um leið og hann er móttekinn að um slíkan póst sé að ræða.]¹⁾

Ábyrgðaraðila er heimilt að afhenda félaga-, starfsmanna- eða viðskiptamannaskrár til nota í tengslum við markaðssetningarstarfsemi. Þetta á þó aðeins við ef:

1. ekki telst vera um afhendingu viðkvæmra persónuupplýsinga að ræða,

2. hinum skráðu hefur, áður en afhending fer fram, verið gefinn kostur á að andmæla því, hverjum fyrir sitt leyti, að upplýsingar um viðkomandi birtist á hinni afhentu skrá,

3. slíkt fer ekki gegn reglum eða samþykktum viðkomandi félags,

4. ábyrgðaraðili kannar hvort einhver hinna skráðu hefur komið andmælum á framfæri við Hagstofuna, sbr. 2. mgr., og eyðir upplýsingum um viðkomandi áður en hann lætur skrána af hendi.

Ákvæði 5. mgr. gildir ekki ef afhending félaga-, starfsmanna- eða viðskiptamannaskrár til nota við dreifingu markpósts byggist á samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr.

Ákvæði 1.–5. mgr. gilda, eftir því sem við á, einnig um markaðs-, neyslu- og skoðanakannanir. Persónuvernd er heimilt að undanþiggja vísindarannsóknir og hliðstæðar rannsóknir slíkum takmörkunum, enda þyki ljóst að slíkt geti skert til muna áreiðanleika niðurstöðu rannsóknarinnar.]²⁾

¹⁾L. 30/2002, 23. gr.²⁾L. 90/2001, 8. gr.

V. kafli. Flutningur persónuupplýsinga úr landi.

29. gr.

Flutningur persónuupplýsinga til ríkis sem veitir fullnægjandi persónuupplýsingavernd.

Heimill er flutningur persónuupplýsinga til annars ríkis ef lög þess veita persónuupplýsingum fullnægjandi vernd.

Ríki sem framfylgir tilskipun Evrópusambandsins 95/46/ESB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga telst fullnægja skilyrðum 1. mgr. [Sama á við um lönd eða staði sem Persónuvernd auglýsir¹⁾ í Stjórnartíðindum að virtum ákvörðunum framkvæmdastjórnar Evrópubandalagsins.]²⁾

Við mat á því hvort ríki sem ekki framfylgir tilskipun 95/46/ESB fullnægi skilyrðum 1. mgr. skal m.a. líta til reglna viðkomandi ríkis um meðferð persónuupplýsinga, reglna um góða viðskiptahætti og þeirra öryggisráðstafana sem viðhafðar eru hjá viðtakanda. Þá skal taka mið af því hvort viðkomandi ríki hafi fullgilt samning Evrópuráðsins nr. 108 frá 28. janúar 1981, um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga.

¹⁾Augl. 435/2003, sbr. augl. 974/2003. ²⁾L. 90/2001, 9. gr.

30. gr.

Flutningur persónuupplýsinga til ríkis sem ekki veitir fullnægjandi persónuupplýsingavernd.

Óheimill er flutningur persónuupplýsinga til ríkis sem ekki veitir fullnægjandi persónuupplýsingavernd nema:

1. hinn skráði hafi samþykkt flutninginn, eða

2. slíkt sé nauðsynlegt til efnda á þjóðréttarskuldbindingum eða vegna aðildar Íslands að alþjóðastofnun, eða

3. heimild standi til slíks flutnings í öðrum lögum, eða

4. afhendingin sé nauðsynleg til að gera eða efna samning milli hins skráða og ábyrgðaraðila, eða

5. flutningurinn sé nauðsynlegur til að gera eða efna samning í þágu hins skráða, eða
   6. afhendingin sé nauðsynleg til að verja verulega hagsmuni hins skráða,
   [7. ef miðlun er nauðsynleg eða fyrirskipuð samkvæmt lögum vegna þess að brýnir almannahagsmunir krefjast þess eða til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, eða

8. um sé að ræða upplýsingar sem almennur aðgangur er að].¹⁾

Persónuvernd getur heimilað flutning upplýsinga til ríkis er greinir í 1. mgr. telji hún sérstök rök mæla með því, jafnvel þótt skilyrðum ákvæðisins sé ekki fullnægt. Í slíku tilviki skal m.a. taka tillit til eðlis upplýsinganna, fyrirhugaðs tilgangs vinnslunnar og hve lengi hún varir. [Persónuvernd getur heimilað miðlun persónuupplýsinga til þriðju landa þótt þau hafi ekki verið talin veita friðhelgi borgaranna nægilega einkalífsvernd. Slíkt er háð því að ábyrgðaraðili hafi, að mati stofnunarinnar, veitt nægilegar tryggingar fyrir slíku. Getur stofnunin t.d. áskilið að ábyrgðaraðili hafi gert við viðtökuaðila skriflegan samning sem hafi að geyma tiltekin stöðluð samningsákvæði í samræmi við ákvörðun sem Persónuvernd hefur auglýst í Stjórnartíðindum, að teknu tilliti til ákvarðana framkvæmdastjórnar Evrópubandalagsins, sbr. 2. mgr. 29. gr. laga þessara. Að öðru leyti getur Persónuvernd sett nánari fyrirmæli um flutning persónuupplýsinga úr landi.]¹⁾

¹⁾L. 90/2001, 10. gr.

VI. kafli. Tilkynningarskylda, leyfisskylda o.fl.

31. gr.

Tilkynningarskylda

Sérhver ábyrgðaraðili sem beitir rafrænni tækni við vinnslu persónuupplýsinga, sbr. 8. gr. og 1. mgr. 9. gr., skal á þar til gerðu formi tilkynna Persónuvernd um vinnsluna tímanlega áður en hún hefst. Tilkynna skal allar breytingar sem verða frá því sem greinir í upphaflegri tilkynningu.

Tilkynningarskyldan á ekki við ef einungis er unnið með upplýsingar sem gerðar hafa verið og eru aðgengilegar almenningi.

Persónuvernd getur ákveðið¹⁾ að vissar tegundir vinnslu almennra upplýsinga skuli vera undanþegnar tilkynningarskyldu eða að um þær gildi einfaldari tilkynningarskylda. Persónuvernd getur jafnframt ákveðið¹⁾ að vissar tegundir vinnslu skuli vera leyfisskyldar. Um vinnslu sem undanþegin er tilkynningarskyldu getur Persónuvernd sett fyrirmæli, þar á meðal um þau atriði sem talin eru í 2. mgr. 35. gr. Persónuvernd getur einnig mælt fyrir um ráðstafanir til að draga úr óhagræði sem slík vinnsla persónuupplýsinga kann að hafa í för með sér fyrir hinn skráða.

¹⁾Rgl. 90/2001, sbr. rgl. 170/2001.

32. gr.

Efni tilkynninga.

Í tilkynningu til Persónuverndar skv. 31. gr. skal tilgreina eftirfarandi atriði:

1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans, sbr. 6. gr.;

2. hver ber daglega ábyrgð á að uppfylla skyldur ábyrgðaraðila;

3. tilgang vinnslunnar;

4. skilgreiningu og aðra lýsingu á þeim tegundum upplýsinga sem notaðar verða við vinnslu;

5. hvert upplýsingarnar eru sóttar;

6. þá heimild sem stendur til söfnunar upplýsinganna;

7. hverjum upplýsingarnar verða afhentar;

8. hvort ráðgert sé að flytja persónuupplýsingarnar úr landi;

9. hvort ráðgert sé að birta upplýsingarnar á netinu;

10. hvaða öryggisráðstafanir verða viðhafðar í vinnslunni;

11. hvort og hvenær persónuupplýsingum eða persónuauðkennum verði eytt;

[12. hvernig uppfyllt séu fyrirmæli 20. og 21. gr.]¹⁾

Persónuvernd getur sett nánari fyrirmæli²⁾ um form og efni tilkynninga og um framkvæmd tilkynningarskyldunnar að öðru leyti.

Ábyrgðaraðili skal sjá til þess að Persónuvernd hafi á hverjum tíma undir höndum réttar upplýsingar um vinnsluna. Þegar liðin eru þrjú ár frá því að tilkynning var send Persónuvernd skal senda henni nýja tilkynningu með uppfærðum upplýsingum nema henni hafi áður verið tilkynnt um breytta vinnslu. Persónuvernd getur mælt fyrir um ráðstafanir til að tryggja gæði og áreiðanleika tilkynninga og ákveðið mismunandi tilkynningarfrest eftir tegund og eðli vinnslu.

¹⁾L. 81/2002, 4. gr.²⁾Rgl. 90/2001.

33. gr.

Leyfisskyld vinnsla.

Sé um að ræða vinnslu almennra eða viðkvæmra persónuupplýsinga sem getur falið í sér sérstaka hættu á að farið verði í bága við réttindi og frelsi skráðra aðila getur Persónuvernd ákveðið¹⁾ að vinnslan megi ekki hefjast fyrr en hún hefur verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar. Persónuvernd getur ákveðið²⁾ að slík leyfisskylda falli brott þegar settar hafa verið almennar reglur og öryggisstaðlar sem fylgja skuli við slíka vinnslu.

¹⁾Rgl. 90/2001, sbr. rgl. 170/2001. ²⁾Rgl. 170/2001, sbr. rgl. 157/2003.

34. gr.

Forsendur leyfisveitingar o.fl.

Ábyrgðaraðila má aðeins veita leyfi skv. 33. gr., eða einstakar aðrar heimildir samkvæmt lögum þessum, ef líklegt er að hann geti fullnægt skyldum sínum samkvæmt lögunum eða fyrirmælum Persónuverndar.

Við afgreiðslu mála er tengjast vinnslu viðkvæmra persónuupplýsinga skal Persónuvernd, innan þeirra marka sem greinir í II. kafla laganna, meta hvort vinnslan geti valdið hinum skráða slíku óhagræði að ekki verði úr því bætt með forsvaranlegum hætti með skilyrðum sem sett eru skv. 35. gr. Ef slíkt óhagræði getur orðið skal Persónuvernd meta hvort hagsmunir sem mæla með vinnslunni vegi þyngra en hagsmunir hins skráða.

35. gr.

Skilmálar Persónuverndar um vinnslu persónuupplýsinga.

Þegar ábyrgðaraðila er veitt leyfi skv. 33. gr. skal Persónuvernd binda það skilyrðum, svo sem um dulkóðun persónuauðkenna og öðrum sem hún metur nauðsynleg hverju sinni, til að draga úr eða koma í veg fyrir hugsanlegt óhagræði hins skráða af vinnslunni. Sama gildir eftir því sem við á þegar Persónuvernd berst tilkynning um vinnslu viðkvæmra persónuupplýsinga sem fellur undir 1. mgr. 9. gr.

Við mat á því hvaða skilyrði skal setja fyrir vinnslu skal Persónuvernd m.a. athuga:

1. hvort tryggt sé að hinn skráði geti nýtt réttindi sín samkvæmt lögunum, þar á meðal til að hætta þátttöku í verkefni, og eftir atvikum fá eytt skráðum persónuupplýsingum, til að fá fræðslu um réttindi sín og beitingu þeirra;

2. hvort persónuupplýsingar verði nægjanlega öruggar, áreiðanlegar og uppfærðar í samræmi við tilgang vinnslunnar skv. 7. gr.;

3. hvort með persónuupplýsingarnar verði farið af þeirri varúð sem reglur um þagnarskyldu og tilgangur vinnslunnar krefst;

4. hvort skipulagt hafi verið hvernig hinum skráða verði veittar upplýsingar og leiðbeiningar, innan þeirra marka sem sanngjarnt er að ætlast til miðað við umfang vinnslunnar og aðrar öryggisráðstafanir sem viðhafðar eru;

5. hvort stofnað hafi verið til öryggisráðstafana sem séu eðlilegar miðað við tilgang vinnslunnar.

Persónuvernd getur ákveðið að ábyrgðaraðili og vinnsluaðili, svo og starfsmenn á vegum þeirra, skuli undirrita yfirlýsingu um að þeir lofi að gæta þagmælsku um viðkvæmar persónuupplýsingar sem þeir fá vitneskju um við vinnslu þeirra. Ábyrgðaraðili eða fulltrúi hans skal votta rétta undirskrift starfsmanns og dagsetningu slíkrar yfirlýsingar og koma til Persónuverndar innan tilskilins frests. Brot á slíkri þagnarskyldu varðar refsingu skv. 136. gr. almennra hegningarlaga. Þagnarskyldan helst þótt látið sé af starfi.

Persónuvernd getur afgreitt erindi er lýtur að vinnslu viðkvæmra persónuupplýsinga með skilyrði um að sérstakur tilsjónarmaður verði skipaður til að hafa eftirlit fyrir hönd Persónuverndar með því að vinnsla sé í samræmi við lög og að ábyrgðaraðili greiði allan kostnað sem af því hlýst.

VII. kafli. Eftirlit og viðurlög.

36. gr.

Skipulag Persónuverndar og stjórnsýsla.

Persónuvernd er sjálfstæð stofnun með sérstaka stjórn og heyrir stjórnarfarslega undir dómsmálaráðherra.

Persónuvernd er sjálfstæð í störfum sínum og verður ákvörðunum hennar samkvæmt lögum þessum ekki skotið til annarra stjórnvalda.

Ráðherra skipar fimm menn í stjórn Persónuverndar og jafnmarga til vara til fjögurra ára í senn. Formann og varaformann stjórnarinnar skipar ráðherra án tilnefningar og skulu þeir vera lögfræðingar og fullnægja hæfisskilyrðum héraðsdómara. Hæstiréttur tilnefnir einn stjórnarmann og Skýrslutæknifélag Íslands annan og skal hann vera sérfróður á sviði tölvu- og tæknimála. Varamenn skulu fullnægja sömu skilyrðum og aðalmenn.

Ráðherra ákveður laun stjórnarmanna.

Þegar stjórnarmenn eru ekki sammála ræður meiri hluti niðurstöðu máls. Ef atkvæði eru jöfn ræður atkvæði formanns.

Ráðherra skipar forstjóra Persónuverndar til fimm ára í senn að fenginni tillögu stjórnar. Forstjóri situr fundi stjórnar með málfrelsi og tillögurétti.

Forstjóri Persónuverndar annast daglega stjórn og ræður annað starfsfólk Persónuverndar.

Forstjóri ber ábyrgð á fjárreiðum og starfsmannahaldi Persónuverndar. Stjórn Persónuverndar ákveður að öðru leyti skiptingu starfa á milli stjórnar og starfsmanna hennar.

37. gr.

Verkefni Persónuverndar.

Persónuvernd annast eftirlit með framkvæmd laga þessara og reglna settra samkvæmt þeim.

Persónuvernd úrskurðar í ágreiningsmálum sem upp kunna að koma um vinnslu persónuupplýsinga [á Íslandi, hvort sem íslensk lög eða lög annars ríkis gilda um vinnsluna].¹⁾ Persónuvernd getur fjallað um einstök mál að eigin frumkvæði eða samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um hann í samræmi við lög þessi og reglur sem settar eru samkvæmt þeim eða einstökum fyrirmælum.

Verkefni Persónuverndar eru m.a. eftirfarandi:

1. að afgreiða leyfisumsóknir, taka við tilkynningum og mæla, eftir því sem þurfa þykir, fyrir um ráðstafanir að því er varðar tækni, öryggi og skipulag vinnslunnar þannig að hún verði í samræmi við ákvæði laganna,²⁾

2. að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum,

3. að fylgjast með almennri þróun á sviði persónuupplýsingaverndar á innlendum og erlendum vettvangi og hafa yfirsýn yfir og kynna helstu álitaefni sem tengjast vinnslu persónuupplýsinga,

4. að skilgreina og afmarka hvar persónuvernd er hætta búin og veita ráð um leiðir til lausnar,

5. að leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar, eða þróa kerfi fyrir slíka vinnslu, um persónuvernd, þar á meðal með því að aðstoða við gerð starfs- og siðareglna fyrir einstaka hópa og starfsstéttir,³⁾

6. að tjá sig, samkvæmt beiðni eða að eigin frumkvæði, um álitaefni varðandi meðferð persónuupplýsinga og veita umsagnir við setningu laga og annarra reglna sem þýðingu hafa fyrir persónuvernd,

7. að birta árlega skýrslu um starfsemi sína.

Persónuvernd getur ákveðið að ábyrgðaraðili skuli greiða þann kostnað sem hlýst af eftirliti með því að hann fullnægi skilyrðum laga þessara og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Persónuvernd getur einnig ákveðið að ábyrgðaraðili greiði kostnað við úttekt á starfsemi við undirbúning útgáfu vinnsluleyfis og annarrar afgreiðslu.

[Persónuvernd setur reglur um rafræna vöktun og vinnslu efnis sem verður til við vöktunina, svo sem hljóð- og myndefnis, þar á meðal um öryggi, varðveislu og notkun þess. Þá getur hún gefið fyrirmæli um rétt þess sem myndaður hefur verið til að skoða myndir sem teknar hafa verið af honum. Persónuvernd setur jafnframt reglur og gefur fyrirmæli um eyðingu efnis sem til verður við framkvæmd rafrænnar vöktunar, ákveður varðveisluaðferð og varðveislutíma og heimilar afhendingu þess í öðrum tilvikum en þeim sem mælt er fyrir um í 2. mgr. 9. gr.]⁴⁾

¹⁾L. 90/2001, 11. gr.²⁾Rgl. 340/2003. ³⁾Augl. 1001/2001. ⁴⁾L. 81/2002, 5. gr.

38. gr.

Aðgangur Persónuverndar að upplýsingum o.fl.

Persónuvernd getur krafið ábyrgðaraðila, vinnsluaðila og þá sem starfa á þeirra vegum um allar þær upplýsingar og skriflegar skýringar sem henni eru nauðsynlegar til þess að rækja hlutverk sitt, þar á meðal þær upplýsingar sem hún þarf til að geta metið hvort tiltekin starfsemi eða vinnsla falli undir ákvæði laganna. Einnig getur Persónuvernd kvatt ábyrgðaraðila, vinnsluaðila og þá sem starfa á þeirra vegum á sinn fund til að veita munnlegar upplýsingar og skýringar varðandi ákveðna vinnslu persónuupplýsinga.

Persónuvernd hefur í eftirlitsstörfum sínum án dómsúrskurðar aðgang að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þar á meðal stöðum þar sem varðveittar eru skrár, myndir, sbr. 4. gr., persónuupplýsingar sem lúta rafrænni vinnslu, og tæki til slíkrar vinnslu. Persónuvernd getur framkvæmt hverja þá prófun eða eftirlitsaðgerð sem hún telur nauðsynlega og krafist nauðsynlegrar aðstoðar starfsfólks á slíkum vettvangi til að framkvæma prófun eða eftirlit. Persónuvernd getur óskað liðveislu lögreglu ef einhver leitast við að hindra hana í eftirlitsstörfum sínum.

Réttur Persónuverndar til að krefjast upplýsinga eða aðgangs að starfsstöðvum og tækjabúnaði verður ekki takmarkaður með vísun til reglna um þagnarskyldu.

39. gr.

Undanþágur frá þagnarskyldu.

Ákvæði um þagnarskyldu standa því ekki í vegi að Persónuvernd veiti persónuverndarstofnunum erlendis upplýsingar þegar slíkt er nauðsynlegt til að hún eða hin erlenda persónuverndarstofnun geti ákveðið eða framkvæmt aðgerðir til að tryggja persónuvernd.

40. gr.

Stöðvun vinnslu o.fl.

Persónuvernd getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, þar á meðal söfnunar, skráningar eða miðlunar, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Við mat á því hvort og þá hvaða úrræðum skuli beitt skal Persónuvernd m.a. taka tillit til þeirra atriða sem greinir í 2. mgr. 35. gr.

Komi í ljós að fram fer vinnsla persónuupplýsinga sem brýtur í bága við ákvæði laga þessara eða reglur settar samkvæmt þeim er Persónuvernd heimilt að fela lögreglustjóra að stöðva til bráðabirgða starfsemi viðkomandi og innsigla starfsstöð hans þegar í stað.

Sinni aðili ekki fyrirmælum Persónuverndar skv. 1. mgr. getur hún afturkallað leyfi sem hún hefur veitt samkvæmt ákvæðum laga þessara þar til úr hefur verið bætt að hennar mati.

41. gr.

Dagsektir.

Ef ekki er farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. getur hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati Persónuverndar. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt.

Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.

42. gr.

Refsingar.

Brot á ákvæðum laga þessara og reglugerða settra samkvæmt þeim varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar.

Nú er brot framið í starfsemi lögaðila og má þá gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga.

43. gr.

Bætur.

Hafi ábyrgðaraðili eða vinnsluaðili unnið með persónuupplýsingar í andstöðu við ákvæði laga þessara, reglna eða fyrirmæla Persónuverndar skal ábyrgðaraðili bæta hinum skráða það fjárhagslega tjón sem hann hefur orðið fyrir af þeim völdum. Ábyrgðaraðila verður þó ekki gert að bæta tjón sem hann sannar að hvorki verður rakið til mistaka né vanrækslu af hans hálfu eða vinnsluaðila.

VIII. kafli.

Lagatengsl, gildistaka o.fl.

44. gr.

Tengsl við ákvæði annarra laga.

Lögin gilda um vinnslu og meðferð persónuupplýsinga sem fram fer samkvæmt öðrum lögum nema þau lög tilgreini annað sérstaklega.

Lög þessi takmarka ekki þann rétt til aðgangs að gögnum sem mælt er fyrir um í upplýsingalögum og stjórnsýslulögum.

45. gr.

Reglugerðir um einstaka flokka starfsemi.

Með reglugerð má mæla fyrir um meðferð persónuupplýsinga í tiltekinni starfsemi og hjá einstökum starfsstéttum.

Í reglugerð¹⁾ skal mælt fyrir um heimild til söfnunar og skráningar upplýsinga sem varða fjárhagsmálefni og lánstraust fyrirtækja, svo og annarra lögaðila, í því skyni að miðla til annarra upplýsingum um það efni. Heimild til slíkrar starfsemi skal bundin leyfi Persónuverndar og um hana gilda eftirfarandi ákvæði laganna: 11. gr. um öryggi og gæði upplýsinga, 12. gr. um innra eftirlit, 13. gr. um meðferð vinnsluaðila á upplýsingum, 18. gr. um upplýsingarétt hins skráða, 21. gr. um viðvörunarskyldu þegar upplýsingum er safnað frá öðrum en hinum skráða, 25. gr. um leiðréttingu og eyðingu rangra og villandi upplýsinga, 26. gr. um eyðingu og bann við notkun upplýsinga sem hvorki eru rangar né villandi, 33. gr. um leyfisskylda vinnslu, 34. gr. um forsendur leyfisveitingar, 35. gr. um skilmála, 38. gr. um aðgang Persónuverndar að upplýsingum o.fl., 40. gr. um stöðvun vinnslu o.fl., 41. gr. um dagsektir, 42. gr. um refsingar og 43. gr. um bætur.

Að fenginni umsögn Persónuverndar skal ráðherra í reglugerð²⁾ mæla nánar fyrir um eftirlit Persónuverndar með rafrænni vinnslu persónuupplýsinga hjá lögreglu. Þar skal m.a. mælt fyrir um skyldu lögreglu til að tilkynna Persónuvernd um rafrænt unnar skrár sem hún heldur og efni slíkra tilkynninga. Þá skal mælt fyrir um í hvaða tilvikum og með hvaða hætti hinn skráði á rétt til aðgangs að persónuupplýsingum sem skráðar hafa verið um hann hjá lögreglu, svo og heimild lögreglu til miðlunar upplýsinga í öðrum tilvikum. Loks skal mælt fyrir um öryggi persónuupplýsinga og innra eftirlit lögreglu með því að vinnslu persónuupplýsinga sé hagað í samræmi við lög, svo og um tímalengd á varðveislu skráðra upplýsinga.

Þá skal í reglugerð kveða nánar á um starfsemi þeirra sem nota nafnalista, vinna nafnáritanir, þar á meðal við markaðssetningarstarfsemi, og við gerð markaðs- og skoðanakannana.

¹⁾Rg. 246/2001. ²⁾Rg. 322/2001.

46. gr.

Gildistaka.

Lög þessi öðlast gildi 1. janúar 2001. …

Ákvæði til bráðabirgða.

[…]

6.2. Um stjórnvaldsreglur

Á árinu 2003 gaf Persónuvernd út tvennar stjórnvaldsreglur, þ.e. verklagsreglur nr. 340/2003 um afgreiðslu umsókna um aðgang að sjúkraskrám vegna aftursýnna vísindarannsókna, og auglýsingu nr. 435/2003 um flutning persónuupplýsinga til annarra landa. Verklagsreglurnar eru birtar í ársskýrslu Persónuverndar fyrir árið 2002, sem og á heimasíðu stofnunarinnar (www.personuvernd.is). Auglýsingin er birt í kafla 6.3 hér að neðan og auk þess á heimasíðunni.

6.3. Auglýsing Persónuverndar nr. 435/2003 um flutning persónuupplýsinga til annarra landa (breytt með augl. nr. 974/2003),

1. gr.

Útvíkkun gildissviðs

Lög um persónuvernd og meðferð persónuupplýsinga gilda um vinnslu persónuupplýsinga á vegum ábyrgðaraðila sem hefur staðfestu hér á landi, enda fari vinnsla persónuupplýsinganna fram á Evrópska efnahagssvæðinu eða í eftirtöldum löndum:

1. Sviss

2. Ungverjaland

3. Kanada

[4. Argentína

5. Guernsey

6. Mön] ( Augl. nr. 974/2003)

Hið sama á við um vinnslu sem fram fer af hálfu fyrirtækja sem uppfylla í hvívetna skilyrði meginreglna um „örugga höfn“, sbr. leiðbeiningar í „algengum spurningum og svörum“, sem birtar hafa verið í EES-viðbæti við Stjórnartíðindi EB nr. 2001/EES/51/38, bls. 335.

2. gr.

Fullnægjandi vernd

Lög þeirra ríkja sem talin eru upp í 1. mgr. 1. gr. teljast veita persónuupplýsingum fullnægjandi vernd í skilningi 29. gr. laga um persónuvernd og meðferð persónuupplýsinga og því er heimilt að flytja persónuupplýsingar til þeirra ríkja, að fullnægðum skilyrðum laganna.

Hið sama á við um þær meginreglur um „örugga höfn“, sbr. leiðbeiningar í „algengum spurningum og svörum“, sem tilgreindar eru í 2. mgr. 1. gr.

3. gr.

Föst samningsákvæði

Ábyrgðaraðila er heimilt að miðla persónuupplýsingum til ábyrgðaraðila í þriðja ríki, þótt það veiti ekki fullnægjandi persónuupplýsingavernd í skilningi 30. gr. laga um persónuvernd og meðferð persónuupplýsinga, ef hinn hérlendi ábyrgðaraðili hefur áður gert við viðtökuaðila skriflegan samning sem hefur að geyma þau föstu samningsákvæði sem birt hafa verið í EES-viðbæti við Stjórnartíðindi EB nr. 2002/EES/47/12, bls. 78.

Ábyrgðaraðila er heimilt að miðla persónuupplýsingum til vinnsluaðila í þriðja ríki, sem ekki veitir fullnægjandi persónuupplýsingavernd í skilningi 30. gr. laga um persónuvernd og meðferð persónuupplýsinga, ef ábyrgðaraðili hefur áður gert við viðtökuaðila skriflegan samning sem hefur að geyma þau föstu samningsákvæði sem birt eru í EES-viðbæti við Stjórnartíðindi EB nr. 2003/EES/23/49, bls. 316.

4. gr.

Auglýsing þessi er gefin út með stoð í 1. mgr. 6. gr., 4. mgr. 13. gr. og 2. mgr. 29. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. lög nr. 90/2001.

Persónuvernd, 22. maí 2003.

7. Rekstrarreikningur 2003

Hér að neðan er að finna rekstrarreikning Persónuverndar, sem unninn var af Ríkisendurskoðun.

Rekstrarreikningur ársins 2003
			2003		2002
	Tekjur
	Seld þjónusta.................................................		11.358.692		11.358.692
			11.358.692		11.358.692
	Gjöld
	Launagjöld.....................................................		39.197.640		34.835.908
	Aðkeypt þjónusta...........................................		3.144.715		17.331.193
	Starfstengdur kostnaður.................................		3.144.715		3.567.280
	Húsnæðiskostnaður........................................		2.388.492		2.088.127
	Rekstrarkostnaður................................		1.235.250		1.386.845
			59.209.353		59.209.353
	Eignakaup......................................................		582.827		341.978
			48.277.986		59.551.331
	Tekjuafgangur (-halli) fyrir ríkisframlag		(45.486.521)		(48.192.639)
	Ríkisframlag..................................................		51.600.000		48.600.000
	Tekjuafgangur (tekjuhalli) ársins		6.113.479		407.361