Kvörtun yfir söfnun persónuupplýsinga hjá Velferðarsviði - mál nr. 2011/1047

10.9.2012

Efni:

Vinnsla persónuupplýsinga vegna fjárhagsaðstoðar Reykjavíkurborgar

Fyrirmæli gefin, sbr. 1. tölul. 3. mgr. 37. gr. laga nr. 77/2000

Ákvörðun

Persónuvernd hefur tekið eftirfarandi ákvörðun í máli nr. 2011/1047:

I.

Grundvöllur máls
Málavextir og bréfaskipti

Persónuvernd barst kvörtun A þann 27. september 2011 yfir söfnun persónuupplýsinga um sig hjá Reykjavíkurborg. Hann telur Velferðarsvið Reykjavíkurborgar hafa safnað meiri upplýsingum um sig en samþykki sitt hafi gert ráð fyrir og að vinnslan samrýmist ekki lögum um persónuvernd og meðferð persónuupplýsinga.

Með bréfi, dags. 4. október 2011, tilkynnti Persónuvernd Velferðarsviði Reykjavíkurborgar um kvörtunina til samræmis við 13. og 14. gr. stjórnsýslulaga nr. 37/1993 og óskaði skýringa. Var þess sérstaklega óskað að fram kæmi hvaða vinnsla persónuupplýsinga færi fram við afgreiðslu umsókna um fjárhagsaðstoð.

Svarbréf Velferðarsviðs Reykjavíkurborgar er dags. 28. október 2011. Þar kemur m.a. fram að samkvæmt 12. gr. laga um félagsþjónustu sveitarfélaga nr. 40/1991 skuli sveitarfélög  veita íbúum þjónustu og aðstoð og jafnframt tryggja að þeir geti séð fyrir sér og sínum. Á grundvelli laganna hafi borgin sett sér reglur um veitingu fjárhagsaðstoðar, samþykktar í velferðarráði 17. nóvember 2010 og borgarráði 25. nóvember 2010.

Segir að kvartandi hafi sótt um fjárhagsaðstoð þann 23. maí og 9. ágúst 2011, undirritað umsókn um fjárhagsaðstoð og veitt starfsfólki fullt og ótakmarkað umboð til þess að kanna tekjur sínar og eignir - m.a. með því að afla upplýsinga um sig hjá Tryggingastofnun ríkisins, skattyfirvöldum, Hagstofu Íslands, Atvinnuleysistryggingasjóði, vinnumiðlun Hins Hússins (ÍTR), Útlendingastofnun, sjúkrasjóðum stéttarfélögum, innlendum og erlendum lífeyrissjóðum og hjá atvinnurekendum, sbr. 8. og 9. gr. reglna um fjárhagsaðstoð, og hjá Lánasjóði íslenskra námsmanna, sbr. 8. og 15. gr. reglnanna. Þá hafi kvartandi skuldbundið sig til að tilkynna um breytingar á tekjum, eignum, hjúskaparstöðu, dvalarleyfi eða öðru sem áhrif gæti haft á afgreiðslu umsóknarinnar. Með því hafi hann veitt samþykki, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

Í bréfinu segir einnig að samkvæmt 16. gr. laga nr. 40/1991, um félagsþjónustu, bjóði sveitarfélög félagslega ráðgjöf. Hún taki m.a. til ráðgjafar á sviði fjármála, húsnæðismála, uppeldismála, skilnaðarmála, þar með talinna forsjár- og umgengnismála, ættleiðingarmála o.fl. Henni skuli beitt í eðlilegu samhengi við aðra aðstoð, svo sem af hálfu skóla og heilsugæslustöðva, sbr. 17. gr. laganna. Velferðarsvið Reykjavíkurborgar hafi veitt kvartanda slíka ráðgjöf. Hann hafi verið boðaður í viðtöl þar sem staða hans hafi verið könnuð og honum veitt ráðgjöf. Þær upplýsingar sem viðkomandi þjónustumiðstöð hafi þá fengið, umfram þær sem hann samþykkti með undirritun sinni, hafi einungis komið frá honum sjálfum í símtölum og viðtölum.

Þann 11. janúar 2012 fóru fulltrúar Persónuverndar á fund í þjónustumiðstöð Velferðarssviðs Reykjavíkur fyrir [...] í þeim tilgangi að fá skýra mynd af vinnslu persónuupplýsinga um kvartanda. Fram kom að við komu hans og ósk um aðstoð fór ráðgjafi þjónustumiðstöðvarinnar yfir málið með honum og kannaði aðstæður hans. Athugun á málaskrá leiddi í ljós að hann hefur óskað eftir margvíslegri þjónustu, m.a. húsnæðisaðstoð, náms- og starfsráðgjöf sem og fjárhagsaðstoð allt frá árinu 2008. Upplýsingar um hagi hans voru í minnisblöðum um viðtöl og/eða símtöl við hann. Starfsmenn þjónustumiðstöðvarinnar bentu á að í  6. gr. reglna um fjárhagsaðstoð frá Reykjavíkurborg kæmi fram að kanna yrði sérstaklega aðstæður þeirra sem hefðu fengið fjárhagsaðstoð lengur en í 6 mánuði. Það væri gert í viðtölum og það ætti við í tilviki kvartanda.

Þann 27. mars 2012 bárust Persónuvernd athugasemdir kvartanda. Þar segir að henn telji sig hafa þurft að fórna sinni eigin persónuvernd til að fá aðstoð við að fjármagna fæði og húsaskjól þ.e. með því að heimila starfsmönnum þjónustumiðstöðvarinnar að skoða allar upplýsingar um sig. Hann segir að sér hafi verið tjáð að ef hann myndi neita að svara spurningum ráðgjafa munnlega yrði honum synjað um fjárhagsaðstoð. Þá varpar hann fram því álitaefni hvort eðlilegt sé að allir starfsmenn þjónustumiðstöðva eða Velferðarsviðs Reykjavíkurborgar, sem séu honum óþekkt stærð, eigi að hafa greiðan aðgang að persónuupplýsingum um sig. Hann telur að umsækjendur um aðstoð hjá þjónustumiðstöðvum eigi að geta verið öruggir um að persónuupplýsingar sínar séu lokaður gagnvart öðru starfsfólki en því sem fjalli um mál viðkomandi.

Þann 30. maí barst Persónuvernd bréf Velferðarsviðs Reykjavíkurborgar þar sem til áréttingar er minnt á þann lagagrundvöll sem umrædd vinnsla byggist á. Með hliðsjón af lögum nr. 40/1991, um félagsþjónustu, hafi vinnsla persónuupplýsinga um kvartanda verið nauðsynleg svo borgin gæti fullnægt lagaskyldu sinni. Þá hafi borgin fullnægt fræðsluskyldu sinni með því að ræða við kvartanda og gera honum ljóst að tilgangur viðtala við hann væri að kanna forsendur þess að veita honum aðstoð. Loks var tekið fram að þjónustumiðstöð [...] hefði ein aðgang að upplýsingum um kvartanda. Þeim væri ekki miðlað til annarra.

Með bréfi, dags. 18. júní 2012, var kvartanda boðið að koma á framfæri frekari athugasemdum, en engar bárust.

II.
Ákvörðun

1.
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.

Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Þar undir geta m.a. fallið miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, sbr. það sem fram kemur í athugasemdum í greinargerð með frumvarpi því er varð að lögum nr. 77/2000, sem og b-lið 2. gr. tilskipunar nr. 95/46/EB. Með vísan til framangreinds telst sú aðgerð að skrá og safna persónuupplýsingum um kvartanda af tilefni umsóknar hans um fjárhagsaðstoð, og til að geta veitt hana, vera vinnsla persónuupplýsinga í skilningi laga nr. 77/2000.

2.
Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í því felst m.a. að ávallt verður að vera fullnægt einhverju af skilyrðum 8. gr. laganna og ef unnið er með viðkvæmar persónuupplýsingar þarf einnig að vera uppfyllt eitthvert af skilyrðum 1. mgr. 9. gr.

Samkvæmt 3. tölul. 1. mgr. 8. gr. er sú vinnsla heimil sem er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Á Reykjavíkurborg hvíla m.a. þær skyldur er fram koma í lögum  nr. 40/1991 um félagsþjónustu sveitarfélaga. Ljóst er að sú skylda verður ekki innt af hendi nema með vinnslu persónuupplýsinga um þann sem æskir slíkrar þjónustu. Samkvæmt 2. tölul. 1. mgr. 9. gr. getur vinnsla viðkvæmra persónuupplýsinga einnig verið heimil standi sérstök lagaheimild til hennar. Samkvæmt 24. gr. laga nr. 40/1991 er skylt að veita félagsmálanefndum upplýsingar úr skattskýrslum þeirra sem leita fjárhagsaðstoðar eða hafa fengið hana. Að öðru leyti segir í 21. gr. að sveitarstjórn skuli setja reglur um framkvæmd fjárhagsaðstoðar, að fengnum tillögum félagsmálanefndar. Slíkar reglur hafa verið settar, verið birtar í Stjórnartíðindum þann 27. desember 2010 og eru nr. 1026/2010. Breyting á þeim, dags. 28. desember 2011, hefur verið birt með auglýsingu nr. 1329/2011.

Í 8. gr. framangreindra reglna eru ákvæði um umsóknir og þau gögn sem þeim skuli fylgja.  Þar er gert ráð fyrir vinnslu viðkvæmra persónuupplýsinga og segir m.a. að hafi umsækjandi ekki fengið atvinnuleysisbætur vegna veikinda skuli hann framvísa læknisvottorði og að einstaklingar sem afpláni dóma eigi ekki rétt á fjárhagsaðstoð. Þá segir í 9. gr. að þjónustumiðstöð megi, ef þörf krefji, afla frekari upplýsinga um umsækjanda, m.a. hjá Tryggingastofnun ríkisins, Útlendingastofnun og lífeyrissjóðum. Það skuli þó gert í samráði við umsækjanda.

Með vísun til framangreindra ákvæða, og fyrirliggjandi gagna í máli þessu, verður að telja umrædda vinnslu hafa samrýmst 3. tölul. 1. mgr. 8. gr. og 2. tölul. 1. mgr. 9. laga nr. 77/2000. Þá verður, m.a. með hliðsjón af því hvernig staðið er að gerð umsókna samkvæmt 8. og 9. gr. framangreindra reglna Reykjavíkurborgar um fjárhagsaðstoð, ekki annað séð en að uppfyllt hafi verið  fræðsluskylduákvæði 20. og 21. gr. laganna.

3.
Hins vegar verður, eins og ávallt þegar unnið er með persónuupplýsingar, einnig að fara að öllum grunnkröfum 7. gr. laga nr. 77/2000,  þ. á m. að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að persónuupplýsingar skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta (4. tölul.).

Athugun Persónuverndar á máli kvartanda, A, þ. á m. með vettvangsheimsókn sem fram fór hinn  11. janúar 2012, hefur ekki leitt í ljós að upplýsingum um hann hafi verið safnað án heimildar eða að safnað hafi verið meiri persónuupplýsingum en hann gat hafa vitað að yrði gert eða þörf hafi verið fyrir. Liggur þannig hvorki fyrir að brotið hafi verið gegn 8. og 9. gr. laga nr. 77/2000 eða að brotið hafi verið gegn meginreglum 7. gr. um sanngirni og meðalhóf.

Í 1. tölul. 1. mgr. 7. gr. er einnig sú krafa að vinnslu persónuupplýsinga sé hagað í samræmi við vandaða vinnsluhætti persónuupplýsinga. Liður í skyldu ábyrgðaraðila til að tryggja vandaða vinnsluhætti er að uppfylla kröfur um upplýsingaöryggi. Í „upplýsingaöryggi“ felast þrír grundvallarþættir: (a) Að persónuupplýsingum sé leynt gagnvart óviðkomandi, (b) að þær séu áreiðanlegar og (c) að þær séu aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda. Ákvæði um öryggi er í 11. gr. laga nr. 77/2000. Samkvæmt henni hvílir sú skylda á ábyrgðaraðila (Velferðarsviði Reykjavíkurborgar) að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar. Meðal annars skal verja þær gegn óleyfilegum aðgangi.

4.
Málið er að mati Persónuverndar upplýst og ekki liggur að öðru leyti fyrir efnislegur ágreiningur um atvik þess. Með vísan til 1. tölul. 3. mgr. 37. gr. laga nr. 77/2000 er þó hér með lagt fyrir ábyrgðaraðila að nota umrætt tilefni til þess að fara yfir starfsreglur sínar um meðferð trúnaðarupplýsing, þ. á m.  daglega notkun og aðgang að málaskrá, með forstöðumönnum og lykilstarfsmönnum sem heyra undir Velferðarsvið Reykjavíkur.