Úrlausnir

Aðgangs- og upplýsingaréttur hjá stofnun - mál nr. 2012/224

13.11.2012

Persónuvernd hefur veitt FME leiðsögn um skyldur þess til að veita vitneskju um vinnslu sína á persónuupplýsingum, Persónuvernd benti í fyrsta lagi á ákvæði um þann "aðgangsrétt" (rétt til aðgangs að upplýsingum) sem stjórnsýslulög og upplýsingalög veita þegar ábyrgðaraðili er stjórnvald. Í öðru lagi benti hún á þann "upplýsingarétt" sem allir njóta, skv. lögum um persónuvernd, óháð því hvort ábyrgðaraðili er stjórnvald eða ekki.

Efni: Svar við fyrirspurn Fjármálaeftirlitsins varðandi aðgangsrétt og um upplýsingarétt einstaklinga samkvæmt lögum nr. 77/2000


I.
Erindi Fjármálaeftirlitsins

 Persónuvernd vísar til erindis Fjármálaeftirlitsins, dags. 7. febrúar 2012, þar sem það óskar leiðbeiningar varðandi skyldu sína til að veita vitneskju um vinnslu persónuupplýsinga á grundvelli 18. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í erindinu er aðdragandi þess rakinn, þ.e. að aflað hafi verið gagna hjá eftirlitsskyldum lögaðila, þ. á m. tölvupóstsamskipta nokkurra starfsmanna, á grundvelli 3. mgr. 9. gr. laga nr. 87/1998 um opinbert eftirlit með fjármálastarfsemi og 2. mgr. 133. gr. laga nr. 108/2007 um verðbréfaviðskipti, sbr. 8. gr. laga nr. 87/1998. Viðkomandi lögaðili hafi nú óskað þess, fyrir sína hönd og hönd umræddra starfsmanna, að Fjármálaeftirlitið upplýsi um það með hvaða hætti það uppfylli skyldur sínar samkvæmt lögum nr. 77/2000. Þá fer lögaðilinn fram á að hann og umræddir starfsmenn fái upplýsingar samkvæmt framangreindu ákvæði 18. gr. þeirra laga.

Um þetta segir nánar tiltekið í bréfi Fjármálaeftirlitsins:

„Fjármálaeftirlitið lítur svo á að vinnsla persónuupplýsinga sem stofnunin fær samkvæmt heimild í 3. mgr. 9. gr. laga nr. 87/1998 um opinbert eftirlit með fjármálastarfsemi og 2. mgr. 133. gr. laga nr. 108/2007 um verðbréfaviðskipti, sé nauðsynleg til að fullnægja lagaskyldu, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000. En Fjármálaeftirlitið hefur eftirlit með framkvæmd laga nr. 108/2007 samkvæmt 133. gr. laganna, sbr. 8. gr. laga nr. 87/1998.

Hvað varðar skyldu til að láta „hinn skráða“ vita um vinnslu persónuupplýsinga þegar þeirra er aflað hjá öðrum en honum sjálfum gilda ákvæði 21. gr. laga nr. 77/2000. Fræðsluskylda ábyrgðaraðila, samkvæmt 21. gr. laganna, er ekki til staðar ef lagaheimild stendur til skráningar eða miðlunar upplýsinga, sbr. 3. tölul. 4. mgr. 21. gr. sömu laga. Fjármálaeftirlitið lítur svo á að framangreint eigi við með vísun til þess sem áður er rakið.

Þá telur Fjármálaeftirlitið að með „hinum skráða“ hljóti að vera átt við umrædda starfsmenn en ekki lögaðilann sem umræddra upplýsinga var aflað frá. Því lítur Fjármálaeftirlitið svo á að upplýsingaréttur samkvæmt 18. gr. laga nr. 77/2000 veiti umræddum starfsmönnum þennan rétt en ekki lögaðilanum. Fjármálaeftirlitið telur þó ekki ljóst að „hinn skráði“ eða umræddir starfsmenn eigi þennan rétt þegar 4. mgr. 21. gr. laganna á við.

Þá er fjallað um takmarkanir á upplýsingarétti í 19. gr. laga nr. 77/2000. Í 3. mgr. 19. gr. […] er sérstaklega kveðið á um að réttur hins skráða til að fá vitneskju samkvæmt ákvæðum 18. gr. nefndra laga nái ekki til upplýsinga sem eru undanþegnar aðgangi samkvæmt upplýsinga- og stjórnsýslulögum. Fjármálaeftirlitið telur ekki ljóst af 18. eða 19. gr. laganna hvert sé samspil þeirra og upplýsingalaga annars vegar og stjórnsýslulaga hins vegar. Sé umrædd beiðni um upplýsingar afgreidd á grundvelli upplýsingalaga eða stjórnsýslulaga, væri rétt að veita einnig þær upplýsingar sem taldar eru upp í 1.–5. tölul. 18. gr. laga nr. 77/2000?“

II.
Svar Persónuverndar

 1.
Aðgangur að málsgögnum samkvæmt
stjórnsýslu- og upplýsingalögum
Af erindi Fjármálaeftirlitsins verður ráðið að beiðni umrædds fyrirtækis lúti m.a. að aðgangi að gögnum sem tilheyri stjórnsýslumáli. Um slíkan aðgang og takmarkanir á honum fer eftir ákvæðum stjórnsýslulaga nr. 37/1993 og upplýsingalaga nr. 50/1996. Fyrrnefndu lögin eiga við um aðgang málsaðila að gögnum stjórnsýslumáls, sbr. 15.–17. gr. laganna, en þau síðarnefndu gilda um aðgang almennings að gögnum stjórnvalda, sem og aðgang einstaklinga og lögaðila að gögnum sem varða þá sjálfa, sbr. 3.–8. og 9. gr. laganna.

Samkvæmt 2. mgr. 44. gr. laga nr. 77/2000 takmarka þau lög ekki þann rétt til aðgangs að gögnum sem mælt er fyrir um í upplýsingalögum og stjórnsýslulögum. Í athugasemdum við ákvæðið í því frumvarpi, sem varð að lögum nr. 77/2000, segir m.a. að ákvæði IV. kafla stjórnsýslulaga um aðgang aðila máls að gögnum haldi gildi sínu óháð frumvarpinu.

Í 2. mgr. 2. gr. upplýsingalaga nr. 50/1996 segir að lögin gildi ekki um aðgang að upplýsingum samkvæmt lögum nr. 77/2000 nema óskað sé eftir skjölum eða gögnum sem 2. mgr. 3. gr. upplýsingalaga taki til, þ.e. skjala og gagna í tilteknu stjórnsýslumáli. Umrætt ákvæði upplýsingalaga var fært inn í lögin með breytingalögum nr. 83/2000. Í athugasemdum við ákvæðið í því frumvarpi, sem varð að þeim lögum, segir að samkvæmt því beri að virða ákvæði upplýsingalaga sem sérákvæði í samanburði við lög nr. 77/2000, sbr. 44. gr. þeirra laga. Á þann hátt haldi ákvæði upplýsingalaga gildi sínu óháð lögum nr. 77/2000.

Af framangreindu verður ráðið að þegar stjórnsýslulög eða upplýsingalög gilda um aðgang að gögnum fer um hann að þeim lögum. Eins og hér háttar til má ætla að umræddur lögaðili sé aðili að stjórnsýslumáli sem þau gögn tilheyra sem aðgangs er óskað að. Um rétt hans þar að lútandi fer, eins og lýst hefur verið, samkvæmt 15.–17. gr. stjórnsýslulaga.

Einstakir starfsmenn viðkomandi lögaðila kunna að hafa stöðu aðila máls, þ.e. ef umrætt mál varðar réttindi þeirra og skyldur. Þá á sama við um þeirra rétt. Þótt svo sé ekki gætu þeir átt aðgangsrétt samkvæmt 9. gr. upplýsingalaga, en þar er fjallað um rétt aðila til að fá gögn hjá stjórnvöldum sem hafa að geyma upplýsingar um þá sjálfa.

Það fellur utan valdsviðs Persónuverndar að skera úr um túlkun á ákvæðum stjórnsýslulaga og upplýsingalaga og verður því ekki tekin afstaða til álitaefna í tengslum við upplýsingabeiðni umrædds lögaðila að því er varðar slíkan aðgang.

2.
Upplýsingaréttur samkvæmt lögum um persónuvernd
og meðferð persónuupplýsinga
 Í 18. gr. laga nr. 77/2000 er mælt fyrir um rétt einstaklings (hins skráða) til að ábyrgðaraðili að vinnslu persónuupplýsinga upplýsi sig um tiltekin atriði, sbr. þó ákvæði um takmarkanir á þeim rétti í 19. gr. laganna. Þau atriði, sem talin eru upp í 18. gr., eru eftirfarandi:

  • hvaða upplýsingar um hann er eða hefur verið unnið með;
  • tilgang vinnslunnar;
  • hver fær, hefur fengið eða mun fá upplýsingar um hann;
  • hvaðan upplýsingarnar koma; og
  • hvaða öryggisráðstafanir eru viðhafðar við vinnslu, enda skerði það ekki öryggi vinnslunnar.

Lög nr. 77/2000 veita tiltekinn og rýmri rétt en upplýsinga- og stjórnsýslulög. Samkvæmt 18. gr. á hinn skráði t.d. rétt á upplýsingum um hvaða öryggisráðstafanir eru viðhafðar við vinnslu og samkvæmt 4. mgr. 19. gr. á hann t.d. rétt á að fá greinargerð um efni skjals.

Fyrir liggur að umræddur lögaðili hefur farið fram á vitneskju samkvæmt 18. gr. fyrir hönd starfsmanna sinna. Því þarf að liggja fyrir að viðkomandi einstaklingar hafi veitt lögaðilanum umboð til að fara með sinn upplýsingarétt. Fjármálaeftirlitinu er því leiðbeint um að óska eftir umboði umræddra starfsmanna áður en ákvörðun er tekin með vísan til 18. og 19. gr.

3.
Samandregin niðurstaða
 Um rétt manna til aðgangs að gögnum stjórnvalda fer að stjórnsýslulögum nr. 37/1993 og upplýsingalögum nr. 50/1996. Það fellur utan verksviðs Persónuverndar að túlka ákvæði þeirra laga um slíkan aðgang og takmarkanir á honum.

Í 18. gr. laga nr. 77/2000 er mælt fyrir um þann upplýsingarétt sem hinn skráði nýtur alltaf. Úrskurðarmál um hvort sá réttur hafi verið brotinn falla undir Persónuvernd.

Ef vinnuveitandi hyggst koma fram fyrir hönd starfsmanna (hinna skráðu) ber honum að fá til þess umboð þeirra.

Var efnið hjálplegt? Nei