Afgreiðsla Reykjavíkurborgar á aðgangsbeiðni einstaklings og varðveisla persónuupplýsinga

Mál nr. 2023030483

21.12.2023

Úrskurður

um kvörtun yfir afgreiðslu aðgangsbeiðni af hálfu Reykjavíkurborgar í máli nr. 2023030483:

I.

Málsmeðferð

Hinn 6. mars 2023 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir afgreiðslu Reykjavíkurborgar á beiðni hennar um afrit af þeim persónuupplýsingum sem borgin hafði til vinnslu vegna starfsleyfisumsókna hennar á tilgreindu tímabili. Þá var jafnframt kvartað yfir því að öryggi varðveittra gagna hjá Reykjavíkurborg væri ábótavant.

Persónuvernd bauð Reykjavíkurborg að tjá sig um kvörtunina með bréfi, dags. 14. apríl 2023, og bárust svör borgarinnar 26. maí s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Reykjavíkurborgar með bréfi, dags. 1. júní s.á., ítrekuðu með bréfi 30. s.m., og bárust þær með tölvupósti 13. júlí s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó svo að ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

___________________

Ágreiningur er um efnislega afgreiðslu Reykjavíkurborgar á beiðni kvartanda um aðgang að persónuupplýsingum hennar sem borgin hafði til vinnslu. Einnig hvort Reykjavíkurborg hafi tryggt fullnægjandi öryggi við vörslu gagnanna.

Í kvörtun segir að kvartandi hafi ekki fengið afrit af öllum persónuupplýsingum sínum sem Reykjavíkurborg hafi haft til vinnslu vegna starfsleyfisumsókna hennar hjá borginni þrátt fyrir ítrekaðar beiðnir. Kvartandi hafi tilgreint öll þau gögn sem aðgangsbeiðnin hafi náð til og sent borginni lista yfir þau gögn sem upp á hafi vantað. Þannig hafi beiðnin miðast við persónuupplýsingar sem urðu til hjá borginni vegna starfsleyfisumsókna hennar frá 1. september 1998 til 3. febrúar 2023 þegar aðgangsbeiðnin var send. Þá byggir kvartandi á að í ljósi þess að öll umbeðin gögn hafi ekki fundist hafi Reykjavíkurborg ekki gætt að fullnægjandi öryggi við varðveislu gagnanna.

Í svari Reykjavíkurborgar er á því byggt að fyrirkomulag útgáfu og vörslu gagna vegna umræddra starfsleyfa hafi breyst mikið á því tímabili sem aðgangsbeiðni kvartanda taki til. Reykjavíkurborg hafi þegar afhent kvartanda, eftir ítarlega leit og öflun gagnanna innan borgarinnar, öll umbeðin gögn sem fundist hafi í gagnagrunnum borgarinnar og Borgarskjalasafns. Ekki hafi náðst að staðsetja öll gögn sem kvartandi hafi óskað eftir en um hafi verið að ræða umfangsmikla beiðni sem náð hafi yfir langt tímabil. Gögnin sem ekki hafi tekist að staðsetja hafi verið umsókn um starfsleyfi, starfsleyfið og læknis- og sakavottorð frá 1998; umsókn um endurnýjun starfsleyfis og starfsleyfi frá 2003; starfsleyfi og læknisvottorð frá 2008; og umsókn um endurnýjun starfsleyfis frá 2016 Kvartanda hafi því verið afhent öll umbeðin gögn sem fyrir liggi hjá sveitarfélaginu og aðgangsbeiðni hennar hafi tekið til.

Þá kemur fram í bréfi Reykjavíkurborgar að hún hafi ætíð unnið að því að tryggja öryggi þeirra persónuupplýsinga sem séu til meðferðar hjá borginni með vissri skjalavörslu, aðgangsstýringu, dulkóðun og skjalavistun í samræmi við viðeigandi lagaákvæði gildandi persónuverndarlaga og laga um opinber skjalasöfn á hverjum tíma.

II.

Niðurstaða

1.Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Í 4. tölul. 3. gr. laga nr. 90/2018 er vinnsla skilgreind sem aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Eins og hér háttar til telst Reykjavíkurborg vera ábyrgðaraðili að umræddri vinnslu.

Í máli þessu reynir á það hvort ábyrgðaraðili hafi afgreitt beiðni kvartanda um aðgang að persónuupplýsingum hans með fullnægjandi hætti og tryggt öryggi gagnanna í samræmi við ákvæði laga nr. 90/2018 og reglugerð (ESB) 2016/679. Fyrir liggur að umbeðin gögn varða öll kvartanda og lúta að starfsleyfisumsóknum hennar hjá borginni.

2.

Afgreiðsla aðgangsbeiðni

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 15. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 15. gr. reglugerðarinnar er meðal annars kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að upplýsingunum. Þá segir í 3. mgr. sömu greinar að ábyrgðaraðili skuli láta í té afrit af þeim persónuupplýsingum sem séu í vinnslu.

Ábyrgðaraðila ber að gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynninga til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 17. gr. laga nr. 90/2018. Samkvæmt 3. mgr. 12. gr. reglugerðarinnar skal ábyrgðaraðili veita skráðum einstaklingi upplýsingar um aðgerðir, sem gripið er til vegna aðgangsbeiðni, án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar frá viðtöku beiðninnar. Lengja má frestinn um tvo mánuði til viðbótar sé á því þörf, með hliðsjón af fjölda beiðna og því hversu flóknar þær eru. Ábyrgðaraðila ber að tilkynna hinum skráða um slíkar framlengingar innan mánaðar frá viðtöku beiðninnar, ásamt ástæðum fyrir töfinni.

Í athugasemdum við 17. gr. í frumvarpi því sem varð að lögum nr. 90/2018 segir meðal annars að hafa beri í huga að réttindi samkvæmt ákvæðinu verði ávallt að skoða í ljósi meginreglna 8. gr. þess. Aðgangsréttur einstaklinga er ótvírætt þáttur í kröfu 1. tölul. 1. mgr. þeirrar greinar, sem kveður meðal annars á um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða.

Þá ber einnig að líta til þess að markmið persónuverndarlöggjafarinnar er meðal annars að stuðla að því að farið sé með persónuupplýsingar í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs, sbr. 1. mgr. 1. gr. laganna og 2. mgr. 1. gr. reglugerðarinnar. Aðgangsréttur skráðra einstaklinga er þýðingarmikill í því skyni að þeim sé gert kleift að neyta annarra réttinda sem þeim eru tryggð samkvæmt lögunum og reglugerðinni, svo sem réttarins til leiðréttingar og eyðingar persónuupplýsinga og andmælaréttar. Stuðlar aðgangsrétturinn þannig að því að framangreint markmið náist.

Að mati Persónuverndar ber að skýra ákvæði 3. mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018, svo að þegar um er að ræða aðgangsbeiðni einstaklings felist viðeigandi aðgerð ábyrgðaraðila í því að annaðhvort veita eða synja hinum skráða um aðgang, sbr. 4. mgr. 12. gr. reglugerðarinnar, þ.m.t. að taka efnislega afstöðu til réttarins til afrits af þeim persónuupplýsingum sem ábyrgðaraðili vinnur með.

Með kvörtun fylgdu tölvupóstsamskipti kvartanda við Reykjavíkurborg. Kvartandi óskaði, með tölvupósti þann 3. febrúar 2023, eftir afritum af starfsleysisumsóknum sínum hjá borginni ásamt endurnýjun þeirra og fylgiskjölum. Hinn 20. s.m. sendi Reykjavíkurborg kvartanda hluta umbeðinna gagna í læstu skjali. Hinn 23. s.m. sendi kvartandi Reykjavíkurborg lista yfir þau gögn sem enn vantaði og áréttaði beiðni sína. Þá beiðni ítrekaði kvartandi síðan þann 6. mars 2023. Hinn 10. s.m. voru kvartanda send sjö skjöl til viðbótar og henni tilkynnt að frekari gögn fyndust hvorki hjá skóla- og frístundarsviði né skjalaveri borgarinnar né Borgarskjalsafni.

Í framkvæmd sinni hefur Persónuvernd litið svo á að réttur hins skráða til aðgangs að gögnum samkvæmt áðurnefndum ákvæðum nái eingöngu til fyrirliggjandi persónuupplýsinga, sbr. úrskurð stofnunarinnar frá 28. nóvember 2019 í máli nr. 2018/1443.

Af framangreindu er ljóst að aðgangsbeiðni kvartanda hefur verið svarað og hluti umbeðinna gagna afhentur í tveimur læstum skjölum. Þá kemur fram í tölvupóstsamskiptum aðila að þrátt fyrir mjög víðtæka leit hafi ekki tekist að staðsetja öll gögnin og að þau hafi ekki fundist hjá borginni eða skjalavörsluaðilum. Kvartanda hafi því verið afhent öll umbeðin gögn sem fyrir liggi hjá sveitarfélaginu og aðgangsbeiðni hennar hafi tekið til. Reykjavíkurborg telst því hafa afgreitt beiðnina með hliðsjón af þeirri takmörkun. Eins og hér háttar til verður miðað við að Reykjavíkurborg hafi með því uppfyllt skyldu sína samkvæmt 1. málsl. 3. mgr. 15. gr. reglugerðar (ESB) 2016/679.

3.

Öryggi persónuupplýsinga

Líkt og að framan greinir er að auki kvartað yfir að öryggi persónuupplýsinga kvartanda hjá Reykjavíkurborg hafi verið ábótavant. Byggir kvartandi á því að í ljósi þess að ekki hafi verið unnt að staðsetja umrædd gögn og afhenda henni afrit af þeim sé ljóst að öryggi gagnanna hafi ekki verið fullnægjandi.

Samkvæmt 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, skal þess gætt við vinnslu persónuupplýsinga að viðeigandi öryggi upplýsinganna sé tryggt. Ber ábyrgðaraðili ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt þennan áskilnað og skal geta sýnt fram á það, sbr. 2. mgr. ákvæðanna. Ítarlegri ákvæði um upplýsingaöryggi eru í 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar. Þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Þá segir í 2. mgr. 32. gr. reglugerðarinnar að þegar viðunandi öryggi sé metið skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér að því er varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga, sem eru sendar, geymdar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.

Af framangreindu er ljóst að Reykjavíkurborg ber að tryggja viðeigandi upplýsingaöryggi við vinnslu persónuupplýsinga, þ.e. bæði við varðveislu upplýsinganna og með því að gera þær aðgengilegar hinum skráða þegar eftir því er leitað. Tekur sú krafa meðal annars til þess að Reykjavíkurborg geri viðeigandi og viðunandi ráðstafanir sem miða að því að varna gegn því að gögn glatist, þeim sé óviljandi eytt eða óviðkomandi veittur aðgangur að þeim.

Um það hversu ríkar kröfur verða gerðar til upplýsingaöryggis í vörslu Reykjavíkurborgar, samkvæmt fyrrgreindum ákvæðum persónuverndarlög­gjafar­innar, verður að líta til þess að Reykjavíkurborg, líkt og hér háttar til, vann m.a. með upplýsingar um heilsufar kvartanda og er því um að ræða viðkvæmar persónuupplýsingar, sbr. b-lið 3. tölul. 3. gr. laga nr. 90/2018.

Fyrir liggur að Reykjavíkurborg gat ekki staðsett öll umbeðin gögn kvartanda þ. á m. gögn er innihéldu viðkvæmar persónuupplýsingar hennar. Verður því að telja að framangreind gögn hafi glatast, sbr. 2. mgr. 32. gr. reglugerðar (ESB) 2016/679. Telst Reykjavíkurborg því ekki hafa tryggt öryggi gagnanna með fullnægjandi hætti.

Ú r s k u r ð a r o r ð:

Afgreiðsla Reykjavíkurborgar á beiðni [A] um aðgang að persónuupplýsingum sem unnið var með um hana hjá sveitarfélaginu samrýmdist lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og reglugerð (ESB) 2016/679.

Reykjavíkurborg hefur ekki gert viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga [A] í samræmi við 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. f-lið 1. mgr. 5. gr. og 32. gr. reglugerðar (ESB) 2016/679.

Persónuvernd, 18. desember 2023

Þórður Sveinsson                         Rebekka Rán Samper