Miðlun persónuupplýsinga milli sveitarfélags og stéttarfélags

Mál nr. 2020010394

5.5.2021

Úrskurður

Hinn 16. apríl 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010394 (áður 2019101965):

I.

Málsmeðferð

1.

Tildrög máls

Hinn 16. október 2019 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir miðlun persónuupplýsinga á milli [sveitarfélags X] og [stéttarfélags Y].

Með bréfum, dags. 7. janúar 2020, var [X] og [Y] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svar [Y] barst með tölvupósti þann 14. s.m. og svar [X] barst með bréfi, dags. 23. s.m. Með bréfi, dags. 9. júní s.á., var kvartanda boðið að koma á framfæri athugasemdum við framkomin svör ábyrgðaraðila. Svar kvartanda barst með tölvupósti 2. júlí s.á. Í því voru ekki gerðar athugasemdir við svör ábyrgðaraðila en af hálfu kvartanda kom fram að hún óskaði úrskurðar um þá vinnslu persónuupplýsinga sem um ræðir.

Við úrlausn málsins hefur verið tekið til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð máls þessa hefur dregist vegna mikilla anna hjá Persónuvernd.

2.

Sjónarmið kvartanda

Í kvörtun segir að kvartandi hafi óskað eftir að vinnustaður hennar, [Z], myndi taka þátt í kostnaði við nám sem hún stundaði samhliða starfi. Þá segir að kvartandi hafi afhent yfirmanni sínum kvittanir fyrir kostnaði og að launadeild [X] hafi átt að greiða þann kostnað. Mánudaginn 14. október 2019 hafi kvartandi hins vegar fengið framsendan tölvupóst frá yfirmanni sínum hjá [Z] þar sem fylgdi með svar stéttarfélags hennar, [Y]. Í tölvupóstinum kom fram að hún hefði þegar fengið kostnaðinn greiddan hjá stéttarfélaginu. Loks segir að ekki hafi verið haft samband við hana eða hennar yfirmann. Þess í stað hafi sveitarfélagið haft beint samband við stéttarfélag hennar til að fá upplýsingar um það nám og þau námskeið sem hún hafði fengið greitt fyrir úr sjóðum stéttarfélagsins og að stéttarfélagið hafi veitt þær upplýsingar. Með kvörtun fylgdi einnig afrit af tölvupósti frá stéttarfélaginu þar sem segir að kvartandi hafi fengið námskeiðin greidd að fullu úr námssjóði stéttarfélagsins, auk dagsetninga og upphæðar greiðslnanna.

Kvartandi telur að á henni hafi verið brotið þar sem ekki hafi verið haft samband við hana eða yfirmann hennar og spurt út í kvittanir heldur hafi sveitarfélagið aflað upplýsinga frá stéttarfélagi hennar, án hennar vitneskju, um það nám og þau námskeið sem hún hafi fengið greitt fyrir úr sjóðum stéttarfélagsins.

3.

Sjónarmið ábyrgðaraðila – [stéttarfélagið Y]

Í svari [Y] segir að stéttarfélagið hafi svarað tölvupósti sem því barst frá mannauðsstjóra [X] þann 14. október 2019. Í tölvupóstinum hafi verið spurt hvort stéttarfélagið greiddi fyrir námskeið sem kvartandi hafði tekið og í viðhengi með póstinum hafi fylgt kvittanir frá kvartanda vegna umræddra námskeiða. Í svarpósti stéttarfélagsins hafi verið greint frá því að hún hefði fengið þessi námskeið greidd frá stéttarfélaginu, auk dagsetninga og upphæðar greiðslna til kvartanda. Öðrum sjónarmiðum var ekki haldið fram af hálfu stéttarfélagsins.

4.

Sjónarmið ábyrgðaraðila – [sveitarfélagið X]

Í svari [X] segir að þann 14. október 2019 hafi tölvupóstur verið sendur til [Y] með fyrirspurn um hvort starfsmenntunarsjóður stéttarfélagsins greiddi fyrir námskeið sem tilgreind voru á kvittunum kvartanda sem hafi fylgt með tölvupósti [X] til stéttarfélagsins. Í svarinu segir að fyrirspurnin hafi verið send þar sem vinnureglur [X] hafi kveðið á um að skilyrði þess að sveitarfélagið úthlutaði styrkjum til náms af þessu tagi væri að starfsmenn nýttu fyrst rétt sinn til úthlutunar úr starfsmennta- og starfsþróunarsjóðum.

Einnig segir að þegar fyrirspurnin hafi verið send hafi heimildir til vinnslu persónuupplýsinga ekki verið hafðar í huga þar sem tilgangurinn hafi einungis verið að afla upplýsinga um hvort Starfsmenntunarsjóður stéttarfélagsins greiddi fyrir umrædd námskeið. Kvartanda hafi því ekki verið gerð grein fyrir því að fyrirspurnin yrði send til stéttarfélagsins. Jafnframt segir að búið sé að fara yfir verklag og tryggja að tilvik sem þetta muni ekki endurtaka sig.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Mál þetta lýtur að sendingu tölvupósta sem innihéldu persónuupplýsingar um kvartanda á milli [sveitarfélagsins X] og [stéttarfélagsins Y]. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Eins og hér háttar til teljast [X] og [Y] hvor um sig vera ábyrgðaraðili að vinnslu þeirra persónuupplýsinga sem þau miðluðu í tölvupóstum.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna.

Samkvæmt 5. tölul. 9. gr. laga nr. 90/2018 og e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 er vinnsla persónuupplýsinga heimil ef hún er nauðsynleg vegna verkefnis sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með. Þá er vinnsla persónuupplýsinga heimil sé hún nauðsynleg í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji aðili gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

Í svari [sveitarfélagsins X], dags. 23. janúar 2020, segir að ekki hafi verið hafðar í huga heimildir til vinnslu persónuupplýsinga við miðlun upplýsinga um kvartanda til stéttarfélagsins. Hafi tilgangurinn einungis verið sá að afla upplýsinga um hvort umrætt nám væri styrkhæft hjá starfsmenntunarsjóði stéttarfélagsins.

Í svari [stéttarfélagsins Y], dags. 14. janúar 2020, segir að stéttarfélagið hafi einungis svarað fyrirspurn sem barst stéttarfélaginu frá [X] með tölvupósti þann 14. október 2019. Í fyrirspurn bæjarfélagsins var spurt hvort starfsmenntunarsjóðurinn greiddi fyrir tiltekin námskeið og í svari stéttarfélagsins var upplýst um að kvartandi hefði þegar fengið námskeiðin greidd að fullu úr starfsmenntunarsjóði, auk upphæðar styrkjanna og dagsetningar greiðslnanna.

Samkvæmt svörum ábyrgðaraðila og þeim upplýsingum sem liggja fyrir í máli þessu var ekki heimild fyrir miðlun framangreindra persónuupplýsinga samkvæmt 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Þegar af þeirri ástæðu er það mat Persónuverndar að vinnsla [sveitarfélagsins X] og [stéttarfélagsins Y] á persónuupplýsingum um kvartanda hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Ú r s k u r ð a r o r ð:

Vinnsla [sveitarfélagsins X] og [stéttarfélagsins Y] á persónuupplýsingum um [A] samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Persónuvernd, 16. apríl 2021

Helga Þórisdóttir                                   Helga Sigríður Þórhallsdóttir