Úrlausnir

Miðlun ráðgjafarfyrirtækis á persónuupplýsingum ekki í samræmi við lög

Mál nr. 2021051112

20.4.2022

Persónuvernd úrskurðaði um kvörtun yfir því að ráðgjafarfyrirtækið KVAN ehf. hefði miðlað persónuupplýsingum um barn kvartanda til fagráðs eineltismála í grunn- og framhaldsskólum eftir að samstarfi fyrirtækisins og grunnskóla barnsins var lokið.

Persónuvernd komst að þeirri niðurstöðu að KVAN ehf. hefði ekki verið heimilt að vinna persónuupplýsingar í tengslum við mál barnsins eftir að samstarfi við grunnskóla þess lauk og að fyrirtækinu hefði þá verið rétt að afhenda skólanum öll gögn og aðrar upplýsingar sem máli skiptu en eyða öðrum persónuupplýsingum.

Úrskurður


í máli nr. 2021051112 um kvörtun yfir vinnslu persónuupplýsinga af hálfu KVAN ehf.:

I.
Málsmeðferð

Hinn 13. maí 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga barns hans hjá KVAN ehf. eftir að samstarfi grunnskóla barnsins og KVAN var lokið í september 2019. Kvörtuninni fylgdi ljósmynd af hluta tölvuskeytis starfsmanns KVAN til starfsmanns fagráðs eineltismála í grunn- og framhaldsskólum frá 3. desember 2019.

Persónuvernd bauð KVAN að tjá sig um kvörtunina með bréfi, dags. 19. maí 2021, og bárust svör fyrirtækisins 1. júlí sama ár. Svarbréfinu fylgdi afrit framangreinds tölvuskeytis frá 3. desember 2019.

Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna þótt ekki sé gerð sérstaklega grein fyrir þeim að öllu leyti í eftirfarandi úrskurði. 

___________________

Persónuvernd hefur þegar komist að þeirri niðurstöðu, með úrskurði 7. apríl 2021, í máli nr. 2020031243, að grunnskóla umrædds barns hafi verið óheimilt að miðla persónuupplýsingum um barnið til KVAN eftir að samstarfi skólans við fyrirtækið lauk.

Ágreiningur þessa máls lýtur að því hvort KVAN hafi verið heimilt að afla frekari upplýsinga um barnið eftir að grunnskólinn lauk samstarfi við fyrirtækið um mál barnsins og hvort fyrirtækinu hafi verið heimilt að miðla persónuupplýsingum barnsins til fagráðs eineltismála með tölvuskeytinu 3. desember 2019.

Kvartandi telur að KVAN hafi verið óheimilt að vinna persónuupplýsingar barns hans eftir að grunnskóli barnsins lauk samstarfi við fyrirtækið um mál barnsins. Telur kvartandi ljóst af fyrrgreindu tölvuskeyti að með því hafi KVAN sent fagráði eineltismála fjögur viðhengi, sem hann hafi ekki fengið aðgang að.

Í svarbréfi KVAN segir að í lok október 2019 hafi máli barns kvartanda verið vísað til fagráðs eineltismála í grunn- og framhaldsskólum, sem starfi á grundvelli laga, reglugerðar og sérstakra reglna um ráðið. Þegar fagráðið hafi tekið málið til meðferðar hafi það óskað eftir svörum frá KVAN við nánar tilgreindum spurningum sem lotið hafi að meðferð málsins og mati ráðgjafa KVAN á ákveðnum atriðum. Það hafi verið gert með tölvuskeyti til ráðgjafa KVAN 15. nóvember 2019. Ráðgjafi KVAN hafi svarað fyrirspurninni með umræddu tölvuskeyti 3. desember sama ár. Engin viðhengi hafi hins vegar verið í tölvuskeytinu heldur sé um að ræða merki (e. logo) Menntamálastofnunar, sem komi nokkrum sinnum fyrir í tölvupóstsamskiptunum.

KVAN byggir á því að engum persónuupplýsingum hafi verið miðlað með umræddu tölvuskeyti þrátt fyrir að upplýsingar í skeytinu hafi varðað mál barns kvartanda. Þar sé ekki að finna persónuauðkenni og upplýsingar ekki settar fram á persónugreinanlegu formi. KVAN hafi talið sér skylt að svara fagráðinu þar sem það hafi verið að sinna lögbundnu hlutverki sínu og vísar um það til heimilda í 3. og 6. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. KVAN hafi með svörum sínum talið sig vera að þjóna því hlutverki sem fyrirtækinu hefði verið falið án þess að ganga of langt í miðlun upplýsinga. Vinnslan hafi því verið lögmæt, sanngjörn og gagnsæ í samræmi við 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018.

II.
Niðurstaða
1.
Gildissvið og ábyrgðaraðili – Afmörkun máls

Gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 4. gr. laganna og 1. mgr. 2. gr. reglugerðarinnar.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Þá er með vinnslu átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Sem fyrr segir lýtur kvörtun málsins annars vegar að því hvort KVAN ehf. var heimilt að afla frekari upplýsinga um barn kvartanda eftir að grunnskóli þess lauk samstarfi við fyrirtækið um mál barnsins og hins vegar að miðlun persónuupplýsinga barnsins með tölvuskeyti starfsmanns KVAN til starfsmanns fagráðs eineltismála í grunn- og framhaldsskólum 3. desember 2019. 

Í tölvuskeytinu er fjallað um meðferð máls barns kvartanda og samskipti við þau foreldrana án þess þó að bein persónuauðkenni komi fram. Til þess er hins vegar að líta að hugtakið persónuupplýsingar er víðfeðmt eins og sjá má af fyrrgreindri skilgreiningu á því. Í athugasemdum við 2. tölul. 3. gr. laga nr. 90/2018 er það áréttað og tekið fram að hún nái til allra upplýsinga, álita og umsagna sem beint eða óbeint má tengja tilteknum einstaklingi. Í 26. lið formálsorða reglugerðar (ESB) 2016/679 segir enn fremur um hugtakið að til þess að ákvarða hvort einstaklingur sé persónugreinanlegur ætti að taka mið af öllum þeim aðferðum sem ástæða er til að ætla að annaðhvort ábyrgðaraðili eða aðrir geti beitt til að bera kennsl á viðkomandi einstakling með beinum eða óbeinum hætti.

Í umræddu tölvuskeyti frá 3. desember 2019 er fjallað um meðferð máls barns kvartanda og samskipti við þau foreldrana. Af því sem þar kemur fram má ljóst vera að þeir sem þekkja til málsins geta auðveldlega getið sér til um það um hvaða einstaklinga er fjallað. Af þeim sökum verða þær upplýsingar sem þar koma fram taldar persónugreinanlegar. Hið sama á við um upplýsingar í máli þessu að öðru leyti. Með hliðsjón af fyrrgreindum skilgreiningum er hér um vinnslu persónuupplýsinga að ræða sem fellur undir valdsvið Persónuverndar. Þá telst KVAN ehf. vera ábyrgðaraðili að þeirri vinnslu, sbr. 6. tölul. 4. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

Samkvæmt skýringum KVAN átti fyrirtækið í einhverjum samskiptum við grunnskóla barnsins eftir að samstarfinu telst hafa lokið. Ekkert hefur komið fram um að KVAN hafi aflað upplýsinga um barnið annars staðar frá á þessum tíma. Persónuvernd hefur þegar tekið afstöðu til miðlunar persónuupplýsinga barns kvartanda frá umræddum grunnskóla til KVAN eftir að samstarfi þeirra lauk, í fyrrgreindum úrskurði stofnunarinnar í máli nr. 2020031243. Vísast því til niðurstöðu þess úrskurðar um fyrri hluta kvörtunarinnar en í úrskurði þessum fjallað um miðlun KVAN á persónuupplýsingum barnsins til fagráðs eineltismála í grunn- og framhaldsskólum.

2.
Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má persónuupplýsingar ef það telst nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila eða vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji aðili gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn, sbr. 3. og 6. tölul. 9. gr. laga nr. 90/2018 og c- og f-liði 1. mgr. 6. gr. reglugerðarinnar, sem KVAN vísar til í svarbréfi sínu.

Af lögum nr. 91/2008 um grunnskóla, reglugerðum nr. 1040/2011 um ábyrgð og skyldur aðila skólasamfélagsins í grunnskólum og nr. 897/2009 um miðlun og meðferð upplýsinga nemenda í grunnskólum og verklagsreglum nr. 30/2019 um starfsemi fagráðs eineltismála í grunn- og framhaldsskólum verður ekki ráðið að á KVAN hafi hvílt lagaskylda til að veita fagráði eineltismála umræddar upplýsingar. Þá hafa ekki verið færðar fram skýringar á því hvaða lögmætu hagsmunir hafi verið af miðlun upplýsinganna.

Samkvæmt fyrrgreindum úrskurði Persónuverndar í máli nr. 2020031243 var grunnskóla umrædds barns óheimilt að miðla persónuupplýsingum um barnið til KVAN eftir að samstarfi skólans við fyrirtækið lauk en óumdeilt er að samstarfinu var lokið þegar umrætt tölvuskeyti var sent. 

Með sömu rökum verður talið að KVAN hafi ekki verið heimilt að vinna persónuupplýsingar í tengslum við mál barnsins eftir að samstarfi við grunnskólann lauk en fyrirtækinu hefði þá verið rétt að afhenda grunnskólanum öll gögn og aðrar upplýsingar sem máli skiptu en eyða öðrum persónuupplýsingum, sbr. 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðarinnar.

Í umræddu tölvuskeyti eru annars vegar veittar upplýsingar sem lúta eingöngu að meðferð málsins en hins vegar upplýsingar er lúta að mati KVAN á málinu og þeim einstaklingum sem málið varðaði. Með vísan til vinnsluheimilda 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðarinnar, sem þar eru tæmandi taldar, verður ekki talið að KVAN hafi verið heimilt að veita framangreindar upplýsingar að því leyti sem það fól í sér miðlun persónuupplýsinga barns kvartanda.


Að framangreindu virtu er það niðurstaða Persónuverndar að miðlun KVAN á persónuupplýsingum barns kvartanda til fagráðs eineltismála, með tölvuskeyti 3. desember 2019, hafi ekki verið heimil samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Ú r s k u r ð a r o r ð:


Miðlun KVAN ehf. á persónuupplýsingum barns [A] til fagráðs eineltismála í grunn- og framhaldsskólum, með tölvuskeyti 3. desember 2019, samrýmdist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.



Persónuvernd, 6. apríl 2022


Valborg Steingrímsdóttir                  Helga Sigríður Þórhallsdóttir



Var efnið hjálplegt? Nei