Miðlun lögmannsstofu á persónuupplýsingum samræmdist ekki lögum um persónuvernd

Mál nr. 2020082239

30.9.2021

Úrskurður

Hinn 22. september 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020082239:

I.

Málsmeðferð

1.

Tildrög máls

Hinn 27. ágúst 2020 barst Persónuvernd kvörtun frá [A](hér eftir kvartandi) yfir vinnslu persónuupplýsinga hennar af hálfu Magna Lögmanna ehf. Laut kvörtunin að því að lögmannsstofan hefði sent kröfubréf, ásamt fylgigögnum, á persónulegt netfang kvartanda hjá Gmail og á almennt netfang sveitarfélagsins [X]. Meðal fylgigagna hefði verið ráðningarsamningur við fyrri vinnuveitanda kvartanda, sem geymt hefði persónuupplýsingar viðkvæms eðlis, þ.e. um laun kvartanda og nýtingu vinnumarkaðsúrræðis á vegum Vinnumálastofnunar. Í ráðningarsamningi hefði einnig verið að finna upplýsingar um stéttarfélagsaðild kvartanda. Með kvörtuninni fylgdi afrit tölvupóstsins og ráðningarsamningsins.

Með bréfi, dags. 18. nóvember 2020, var Magna Lögmönnum ehf. tilkynnt um kvörtunina og veittur kostur á að tjá sig um hana. Svarað var af hálfu lögmannsstofunnar með bréfi, dags. 10. desember 2020. Meðal þess sem fram kom í svarbréfi lögmannsstofunnar var að hún teldi sig vinna persónuupplýsingar í umboði umbjóðenda sinna. Að því virtu upplýsti Persónuvernd Magna Lögmenn ehf., með bréfi dags. 15. júní 2012, að til greina kæmi að álíta stofuna ábyrgðaraðila að umræddri vinnslu og veitti henni kost á að tjá sig aftur um efni kvörtunarinnar með hliðsjón af því. Var því bréfi ekki svarað af hálfu lögmannsstofunnar. 

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.

Sjónarmið kvartanda

Kvartandi byggir á því að persónuupplýsingum hennar, þar á meðal viðkvæmum persónuupplýsingum um stéttarfélagsaðild hennar, hafi verið miðlað til óviðkomandi aðila. Í fyrsta lagi hafi upplýsingarnar verið sendar á óvarið netfang hennar sjálfrar hjá Gmail. Með því hafi persónuupplýsingarnar komist í hendur Google en óvíst sé hvaða rétt fyrirtækið áskilji sér varðandi notkun þeirra. Í öðru lagi hafi persónuupplýsingarnar verið sendar á almennt netfang sveitarfélagsins [X]. Ekki verði séð að þeir starfsmenn sveitarfélagsins, sem aðgang hafi að netfanginu hafi haft þörf fyrir upplýsingarnar eða að þær hafi haft nokkra þýðingu fyrir úrlausn ágreinings kvartanda við umbjóðanda Magna Lögmanna ehf. 

Fram kemur í umræddum tölvupósti að afrit hans hafi verið sent sveitarfélaginu [X] til upplýsinga.

3.

Sjónarmið Magna Lögmanna ehf.

Í bréfi Magna Lögmanna ehf. til Persónuverndar, dags. 10. desember 2020, er lýst almennu verklagi lögmannsstofunnar við meðferð persónuupplýsinga. Segir þar meðal annars að það leiði af hlutverki hennar gagnvart umbjóðendum að allar ráðstafanir við gæslu hagsmuna tiltekins umbjóðanda, þ.m.t. ráðstafanir varðandi vinnslu persónuupplýsinga í þágu slíkrar hagsmunagæslu, séu gerðar í umboði umbjóðandans og í samræmi við fyrirmæli hans til viðkomandi lögmanns lögmannsstofunnar. Magna Lögmenn ehf. hafi ekki heimild til að vinna persónuupplýsingar sem umbjóðandi láti stofunni í té með öðrum hætti en leiði af þeim ákvörðunum sem umbjóðandinn taki um ráðstöfun hagsmuna sinna. Í samræmi við það taki lögmannsstofan engar sjálfstæðar ákvarðanir um vinnslu persónuupplýsinga um þriðja mann í tengslum við hagsmunagæslu umbjóðenda, í skilningi 6. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Þá segir í bréfinu að vinnsla Magna Lögmanna ehf. með persónuupplýsingar um þriðja mann, í tengslum við gæslu hagsmuna umbjóðenda lögmannsstofunnar, byggi að jafnaði á heimild samkvæmt 6. tölul. 9. gr. laga nr. 90/2018. Vinnsla viðkvæmra persónuupplýsinga fullnægi skilyrði 6. tölul. 1. mgr. 11. gr. laganna. 

Magna Lögmenn ehf. telur að við mat á því hvort tiltekin vinnsla persónuupplýsinga sé nauðsynleg í því skyni að gæta lögmætra hagsmuna umbjóðenda og til að stofna, hafa uppi eða verja réttarkröfur verði að líta til þess hvaða réttarúrræði séu tiltæk í því skyni hverju sinni og hver sé líklegur árangur þeirra í hverju tilviki. Svigrúm til vinnslu persónuupplýsinga í tengslum við réttarágreining sé þó ekki óheft. Gæta verði vissrar varfærni við mat á nauðsyn tiltekinnar vinnslu sem fram fari í tengslum við úrlausn ágreiningsins, þannig að möguleikar aðila til að verja hagsmuni sína og fylgja eftir kröfum verði ekki fyrir borð bornir.

II.

Forsendur og niðurstaða

1.

Afmörkun máls

Kvörtun málsins lýtur annars vegar að því að Magna Lögmenn ehf. hafi miðlað persónuupplýsingum um kvartanda á almennt netfang sveitarfélagsins [X] í tölvupósti og hins vegar að því að lögmannsstofan hafi sent sömu persónuupplýsingar á netfang kvartanda sjálfrar og þar með til þjónustuaðilans, þ.e. fyrirtækisins sem hýsir tölvupóstfangið, sem er Google í þessu tilviki.

Að mati Persónuverndar er ekki hægt að líta svo á að Magna Lögmenn ehf. hafi með framangreindri háttsemi miðlað persónuupplýsingum til Google, þrátt fyrir að kvartandi noti tölvupóstþjónustu fyrirtækisins. Verður því lagt til grundvallar að persónuupplýsingum um kvartanda hafi í þessu tilviki verið miðlað til hennar sjálfrar, enda var um að ræða einkatölvupósthólf hennar, óháð því hvaða þjónustuveitanda hún notaði. Við miðlun persónuupplýsinga í tölvupósti getur hins vegar reynt á reglur persónuverndarlöggjafarinnar um upplýsingaöryggi.

2.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Sem fyrr greinir lýtur úrlausn þessa máls að miðlun Magna Lögmanna ehf. á persónuupplýsingum um kvartanda til sveitarfélagsins [X] með tölvupósti. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. 

Við afmörkun ábyrgðar samkvæmt tilvitnuðu ákvæði getur eftir atvikum þurft að líta til ákvæða í öðrum lögum. Í 2. mgr. 21. gr. laga nr. 77/1998 um lögmenn er að finna ákvæði um ráðstafanir sem lögmönnum eru heimilar fyrir hönd umbjóðenda sinna. Segir í ákvæðinu að sé ekki sýnt fram á annað feli umboð aðila til lögmanns í sér heimild til að gera hvaðeina sem venjulegt megi teljast til að gæta hagsmuna fyrir dómi. Innan þeirra marka sé umbjóðandinn bundinn af ráðstöfunum lögmanns þótt hann fari út fyrir þá heimild sem umbjóðandinn hafi veitt honum.

Persónuvernd telur ljóst af tilvitnuðu ákvæði laga nr. 77/1998 að lögmönnum sé veitt svigrúm til sjálfstæðis og ákvörðunartöku um ráðstafanir í þágu hagsmunagæslu skjólstæðinga sinna. Af því leiðir að lögmenn geta þurft að taka ákvarðanir um aðferðir og tilgang vinnslu persónuupplýsinga, s.s. um gagnaðila.

Við afmörkun ábyrgðar á vinnslu persónuupplýsinga ber jafnframt að líta til leiðbeininga Evrópska persónuverndarráðsins nr. 07/2020, sbr. e-lið 1. mgr. 70. gr. reglugerðar (ESB) 2016/679. Í leiðbeiningunum er meðal annars fjallað um það hvenær sá sem vinnur með persónuupplýsingar telst vera ábyrgðaraðili og hvenær hann getur talist vera vinnsluaðili, meðal annars út frá hlutverkum aðila og stöðu, ákvarðanatöku, sérfræðiþekkingu og öðru sem máli getur skipt. Í 27. efnisgrein leiðbeininganna er í dæmaskyni nefnt að lögmannsstofa geti þurft að vinna persónuupplýsingar í tengslum við hagsmunagæslu í ágreiningsmálum. Grundvöllur vinnslu sé þá umboð sem varði ekki sérstaklega vinnslu persónuupplýsinga. Lögmannsstofan sé að verulegu leyti sjálfstæð í störfum sínum, svo sem við ákvarðanatöku um hvaða persónuupplýsingar eru notaðar, án fyrirmæla skjólstæðings um hvernig vinnslu skuli hagað. Vinnsla fari fram í þágu hlutverks lögmannsstofu sem málsvara skjólstæðings og sé því tengd virku hlutverki hennar. Þar af leiðandi ætti að álíta lögmannsstofu ábyrgðaraðila að vinnslu persónuupplýsinga í tengslum við málarekstur.

Af svörum Magna Lögmanna ehf. má ráða að lögmannsstofan álíti umbjóðanda sinn ábyrgðaraðila að þeirri vinnslu persónuupplýsinga sem er til umfjöllunar í málinu. Lögmannsstofan hefur hins vegar ekki sýnt fram á að ákvörðun um vinnsluna hafi verið tekin af umbjóðanda sínum, s.s. með því að leggja fram vinnslusamning eða önnur skrifleg fyrirmæli um vinnsluna því til staðfestingar. Persónuvernd telur því að leggja verði til grundvallar að vinnslan hafi verið framkvæmd í krafti sjálfstæðis lögmannsstofunnar og heimildar hennar til eigin ákvörðunartöku í þágu gæslu hagsmuna umbjóðandans. Vinnslan hafi verið í þágu hlutverks lögmannsstofunnar sem málssvara umbjóðandans og þannig verið tengd virku hlutverki hennar. 

Þá verður ekki annað ráðið af svörum Magna Lögmanna ehf. en að vinnsla persónuupplýsinga, í þágu hagsmunagæslu fyrir umbjóðendur hennar, fari fram á vegum lögmannsstofunnar en ekki af hálfu einstakra lögmanna. Samkvæmt því verður ekki lagt til grundvallar að einstakir lögmenn lögmannsstofunnar teljist ábyrgðaraðilar í skilningi 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.

Að öllu framangreindu virtu telst Magna Lögmenn ehf. ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem hér er til umfjöllunar, samkvæmt 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt a-lið 3. tölul. 3. gr. laganna teljast upplýsingar um aðild að stéttarfélagi viðkvæmar, en af kvörtun og fylgigögnum hennar verður ráðið að Magna Lögmenn ehf. hafi miðlað upplýsingum um stéttarfélagsaðild kvartanda, sem komu fram í ráðningarsamningi hennar við umbjóðanda ábyrgðaraðila, til sveitarfélagsins [X]. 

Þá þarf vinnsla persónuupplýsinga ávallt að samrýmast meginreglum 1. mgr. 8. gr. laganna og 1. mgr. 5. gr. reglugerðarinnar, sem lúta meðal annars að því að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins. Ábyrgðaraðili ber ábyrgð á að því að vinnsla persónuupplýsinga samrýmist ávallt meginreglunum og skal geta sýnt fram á það, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.

Af hálfu Magna Lögmanna ehf. er á því byggt að vinnsla persónuupplýsinga sé lögmannsstofunni nauðsynleg í þágu gæslu hagsmuna umbjóðenda hennar. Samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 má vinna með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagmuna sem ábyrgðaraðili eða þriðji maður gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Þá er vinnsla viðkvæmra persónuupplýsinga heimil sé hún nauðsynleg til að stofna, hafa uppi eða verja réttarkröfur, samkvæmt 6. tölul. 1. mgr. 11. gr. laganna og f-lið 2. mgr. 9. gr. reglugerðarinnar. 

Magna Lögmenn ehf. telur að umrædd vinnsla hafi verið heimil á grundvelli framangreindra ákvæða enda hafi hún uppfyllt skilyrði þeirra, meðal annars um nauðsyn. 

Að mati Persónuverndar má fallast á að aðilum ágreiningsmála sé ljáð svigrúm til mats á því hvaða persónuupplýsingar nauðsynlegt er að vinna með í þágu úrlausnar réttarágreinings og með hvaða hætti. Hugtakið nauðsyn, í skilningi framangreindra ákvæða, verði því að skýra rúmt þegar persónuupplýsingar eru unnar í þeim tilgangi.

Af framangreindum ákvæðum 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679 leiðir að ábyrgðaraðili þarf að geta sýnt fram á lögmæti vinnslu, þ. á m. að hún styðjist við viðeigandi vinnsluheimildir. Í því felst að ábyrgðaraðili þarf að geta sýnt fram á að öllum skilyrðum tiltekinnar vinnsluheimildar sé fullnægt, meðal annars um nauðsyn vinnslu. Í því sambandi vísast t.d. til úrskurðar Persónuverndar frá 2. júní 2021 í máli nr. 2020061849. 

Magna Lögmenn ehf. hefur ekki gert reka að því að rökstyðja nauðsyn þeirrar vinnslu persónuupplýsinga sem hér er til umfjöllunar, þ.e. miðlun þeirra á almennt netfang sveitarfélagsins [X], í þágu úrlausnar réttarágreinings umbjóðanda lögmannsstofunnar og kvartanda. Þá er jafnframt til þess að líta að fram kemur í tölvupósti Magna Lögmanna ehf. að afrit hans hafi verið sent sveitarfélaginu til upplýsinga. Að mati Persónuverndar bendir þessi framsetning ekki til þess að miðlunin hafi verið nauðsynleg í þágu úrlausnar réttarágreinings umbjóðanda lögmannsstofunnar og kvartanda. Þá liggur ekkert fyrir um að sveitarfélagið hafi átt aðkomu að ágreiningnum.

Með vísan til framangreinds verður ekki séð að sú vinnsla persónuupplýsinga sem hér er til umfjöllunar hafi verið nauðsynleg í þágu úrlausnar réttarágreinings umbjóðanda Magna Lögmanna ehf. og kvartanda. Af því leiðir að hvorki eru efni til að fallast á að umrædd vinnsla hafi verið Magna Lögmönnum ehf. heimil samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 né að fullnægt hafi verið skilyrði 6. tölul. 1. mgr. 11. gr. laganna og f-lið 2. mgr. 9. gr. reglugerðarinnar, að því leyti sem um var að ræða miðlun upplýsinga um stéttarfélagsaðild kvartanda. Þegar af þeirri ástæðu er það niðurstaða Persónuverndar að vinnslan hafi ekki samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Með hliðsjón af þessari niðurstöðu kemur ekki til skoðunar hvort vinnslan hafi samrýmst meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, m.a. hvort miðlun viðkvæmra persónuupplýsinga með tölvupósti hafi uppfyllt kröfu 6. tölul. lagaákvæðisins og f-liðar reglugerðarákvæðisins um að persónuupplýsingar skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.


Ú r s k u r ð a r o r ð:

Vinnsla Magna Lögmanna ehf. á persónuupplýsingum um [A], sem fólst í miðlun þeirra á almennt netfang sveitarfélagsins [X], samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

 

Ólafur Garðarsson

formaður

 

Björn Geirsson                      Vilhelmína Haraldsdóttir

 

Þorvarður Kári Ólafsson