Ákvörðun Persónuverndar; III. áfangi í könnun á stöðu heimilanna
Ákvörðun
um heimild til vinnslu almennra persónuupplýsinga
samkvæmt 3. mgr. 8. gr. laga nr. 77/2000
Persónuvernd hefur tekið ákvörðun varðandi:
umsókn Seðlabanka Íslands, dags. 27. mars 2009, um leyfi til að samkeyra upplýsingar frá Vinnumálastofnun við upplýsingar sem Seðlabankinn aflaði frá tilteknum aðilum samkvæmt leyfum, dags. 9. febrúar og 6. apríl s.á. Þær upplýsingar voru samkeyrðar til að meta áhrif yfirstandandi fjármálakreppu á heimilin í landinu og er það einnig tilgangurinn með þeirru samkeyrslu sem framangreind umsókn lýtur að.
umsókn Vinnumálastofnunar, dags. 4. maí 2009, um heimild til að miðla Seðlabanka Íslands framangreindum upplýsingum.
I.
Um vinnsluna
Eins og fyrr greinir er tilgangur þeirrar vinnslu, sem framangreindar umsóknir lúta að, sá að meta áhrif yfirstandandi fjármálakreppu á heimilin í landinu. Felur vinnslan í sér framhald af vinnslu sem fram fór samkvæmt leyfum Persónuverndar, dags. 9. febrúar og 6. apríl 2009, þ.e. samkeyrslu Seðlabankans á upplýsingum um fjárhag einstaklinga frá Íbúðalánasjóði, bönkum, fjármögnunarfyrirtækjum, sparisjóðum og Ríkisskattstjóra í áðurnefndu skyni.
Samkvæmt umsókn Seðlabankans, dags. 27. mars 2009, er fyrirhugað að afla upplýsinga frá Vinnumálastofnun um þá sem eru á atvinnuleysiskrá. Í tölvubréfi, sem Ingvi Snær Einarsson hdl. sendi f.h. Seðlabankans hinn 8. maí 2009, segir að um sé að ræða upplýsingar um kennitölur einstaklinga á atvinnuleysisskrá í maí 2009, hlutfall atvinnuleysisbóta í apríl 2009, hlutfall hlutastarfs í apríl 2009, dagsetningu nýjustu umsóknar um atvinnuleysisbætur og fjárhæð greiddra atvinnuleysisbóta í apríl 2009. Segir í umsókn að vinnsluaðferð og öll meðferð upplýsinga verði með sama sniði og gert er ráð fyrir í fyrrgreindu leyfi Persónuverndar, dags. 9. febrúar 2009. Með því sé einkum átt við að öll vinnsla persónuupplýsinga fari fram undir eftirliti tilsjónarmanns Persónuverndar og persónuupplýsingar verði dulkóðaðar áður en þær verði samkeyrðar.
Vinnumálastofnun muni skrá umræddar upplýsingar á geisladiska sem afhentir verði Seðlabankanum með aðferð sem tilsjónarmaður Persónuverndar samþykki. Að öðru leyti segir um vinnsluna í umsókn Seðlabankans:
„Öll vinnsla persónuupplýsinga á persónugreinanlegu formi fer fram á fartölvu sem uppfyllir kröfur tilsjónarmanns og geymd er hjá Persónuvernd milli þess sem vinnsla fer fram.
Á fartölvuna verður settur upp dulkóðunarbúnaður samþykktur af tilsjónarmanni Persónuverndar. Vélin verður síðan notuð til þess að lesa fyrrgreindar persónuupplýsingar af geisladiskum á harðan disk fartölvunnar. Að hverjum innlestri loknum mun tilsjónarmaður eyðileggja viðkomandi geisladisk. Því næst fer dulkóðun kennitalna og fjölskyldunúmera fram á fartölvunni. Textaskrá með dulkóðuðum kennitölum er brennd á geisladisk í fartölvunni og því næst lesin af þeim diski inn á tölvubúnað Seðlabanka Íslands undir eftirliti tilsjónarmanns. Að loknum hverjum slíkum útlestri gagna mun tilsjónarmaður eyðileggja viðkomandi geisladisk.
Til að tryggja að innlesin og dulkóðuð gögn glatist ekki verður tekið öryggisafrit af gögnunum sem safnast á harða disk fartölvunnar. Lagt er til að öryggisafrit verði varðveitt hjá Persónuvernd."
II.
Ákvörðun
1.
Gildissvið laga nr. 77/2000
Lögmæti vinnslu, almennt
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, sbr. 1. tölul. 2. gr. laganna. Í máli þessu er um að ræða slíkar upplýsingar. Í skilningi laganna er vinnsla sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af því leiðir að miðlun persónuupplýsinga og samkeyrsla, slík sem hér um ræðir, er vinnsla í skilningi laganna.
Mál þetta lýtur að almennum persónuupplýsingum. Vinnsla með þær þarf að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Þótt ekki sé ljóst að vinnsla falli undir eitthvert þeirra skilyrða segir í 3. mgr. að Persónuvernd geti heimilað hana telji hún brýna almannahagsmuni eða hagsmuni einstaklinga mæla með því. Skal Persónuvernd binda heimild sína þeim skilyrðum sem hún telur nauðsynleg hverju sinni. Ákvæðið ber að skýra með hliðsjón af markmiðsákvæðum 1. mgr. 1. gr. laga nr. 77/2000, en þar kemur fram að markmið þeirra sé m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs.
2.
Leyfi
Að virtu því sem að framan greinir, og í ljósi ákvæða IV. kafla laga nr. 36/2001, um Seðlabanka Íslands, og þess tilgangs sem að baki umræddri vinnslu býr, og þess að aðeins er um tímabundna vinnslu að ræða en ekki undirbúning að gerð gagnagrunns með persónuupplýsingum um hina skráðu, hefur Persónuvernd ákveðið að:
- heimila Vinnumálastofnun að miðla til Seðlabankans tilteknum upplýsingum;
og
- heimila Seðlabanka Íslands að samkeyra þær upplýsingar, sem hann fær frá Vinnumálastofnun, við upplýsingar frá Íbúðalánasjóði, bönkum, fjármögnunarfyrirtækjum, sparisjóðum og Ríkisskattstjóra sem aflað var á grundvelli leyfa Persónuverndar til Seðlabankans, dags. 9. febrúar og 6. apríl 2009.
Heimild Persónuverndar er bundin eftirfarandi skilmálum:
2.1.
Sérstakir skilmálar
1. Tilsjón
Öll vinnsla með persónuupplýsingar í þágu verkefnisins skal fara fram undir eftirliti manns sem Persónuvernd velur.
2. Tilsjónarmaður, nánar
- Haga skal allri vinnslu í samræmi við lýsingu sem tilsjónarmaðurinn gefur leyfishöfum. Geri þeir athugasemdir frestar það gildistöku leyfis þessa.
- Rísi einstök álitaefni varðandi störf tilsjónarmanns, meðan á vinnslu persónuupplýsinga stendur, skulu mál borin undir Persónuvernd.
- Allur kostnaður vegna vinnu tilsjónarmanns skal greiddur af Seðlabanka Íslands.
3. Framkvæmd
Vinnsla skal framkvæmd þannig að:
3.1. - Vinnumálastofnun skráir á geisladiska persónuupplýsingar um kennitölur einstaklinga á atvinnuleysisskrá í maí 2009, hlutfall atvinnuleysisbóta í apríl 2009, hlutfall hlutastarfs í apríl 2009, dagsetningu nýjustu umsóknar um atvinnuleysisbætur og fjárhæð greiddra atvinnuleysisbóta í apríl 2009. Upplýsingarnar skráir Vinnumálastofnun í því formi og á því skráarsniði sem Seðlabanki Íslands ákveður og tilsjónarmaður samþykkir, að fengnum fyrirmælum Persónuverndar. Vinnumálastofnun er aðeins heimilt að afhenda diskana beint til Seðlabanka Íslands, en þó – í því skyni að verja þá aðgangi – aðeins með aðferð sem tilsjónarmaðurinn hefur samþykkt.
- Tilsjónarmaður tryggir að ekki sé unnið með persónuupplýsingar frá öðrum aðilum en sem leyfi þetta tekur til.
3.2. - Seðlabanki Íslands skal leggja til fartölvu sem uppfyllir settar kröfur tilsjónarmanns. Skal öll vinnsla framangreindra persónuupplýsinga á persónugreinanlegu formi fara fram á þeirri vél.
- Vélin skal geymd í skjalageymslu Persónuverndar milli þess sem vinnsla samkvæmt leyfi þessu fer fram.
- Á vélinni skal setja upp dulkóðunarbúnað sem notaður verður til að dulkóða kennitölur og fjölskyldunúmer með einkvæmum hætti. Skal lýsing búnaðarins og dulkóðunaraðferð hafa verið samþykkt af tilsjónarmanni.
- Til að fyrirbyggja allan hugsanlegan aðgang að unnum persónuupplýsingum, þ. á m. aðgang tilsjónarmanns Persónuverndar og hennar sjálfrar, skal þess gætt við upphafsuppsetningu vélarinnar að fulltrúi Seðlabanka Íslands velji lykilorð, sem hann einn skal kunna, fyrir eina aðganginn að vélinni. Skal viðkomandi fulltrúi læsa henni í hvert sinn sem hún er flutt úr starfsstöð Seðlabankans. Skal þetta fara fram í viðurvist tilsjónarmanns.
- Nota skal vélina til þess að lesa fyrrgreindar persónuupplýsingar af geisladiskum á harðan disk fartölvunnar. Að hverjum innlestri loknum skal tilsjónarmaður eyðileggja viðkomandi geisladisk. Því næst skal dulkóðun kennitalna og fjölskyldunúmera fara fram á fartölvunni. Skal textaskrá með dulkóðuðum kennitölum og fjölskyldunúmerum brennd á geisladisk í fartölvunni og því næst lesin af þeim diski inn á tölvubúnað Seðlabanka Íslands undir eftirliti tilsjónarmanns þar sem þær verði ekki auðkenndar með öðru heldur en aldursbili einstaklinga og upplýsingum um það svæði þar sem þeir eru búsettir, sbr. nánar fylgiskjal með leyfi þessu. Að loknum hverjum útlestri gagna skal tilsjónarmaður eyðileggja viðkomandi geisladisk.
- Eftir að vinnslu lýkur og fram til loka gildistíma leyfis þessa, sbr. lið 4 hér að neðan, skal vél varðveitt hjá Persónuvernd. Að þeim tíma liðnum skal tilsjónarmaður sjá til þess að eini varanlegi gagnamiðill (harður diskur) fartölvunnar sé eyðilagður. Að því búnu ber tilsjónarmanni að skila henni til Seðlabanka Íslands.
3.3. - Ef leyfishafar kjósa, s.s. til hagræðingar, að semja við vinnsluaðila um framkvæmd dulkóðunar er það heimilt enda séu þá virt ákvæði 13. gr. laga nr. 77/2000 og tryggt að framangreindar aðgerðir fari fram í viðurvist tilsjónarmanns.
4. Gildistími
Leyfi þetta rennur út 9. febrúar árið 2010.
2.2.
Almennir skilmálar
A. Lögmæt vinnsla persónuupplýsinga og þagnarskylda
a. Leyfi þetta heimilar einvörðungu að miðlað sé framangreindum persónuupplýsingum, þ.e. þeim upplýsingum frá Vinnumálastofnun sem taldar eru upp í grein 3.1 í kafla 2.1 hér að framan, og aldrei upplýsingum sem ekki geta haft gildi fyrir verkefni um mat á áhrifum fjármálakreppunnar á heimilin í landinu.
b. Leyfishafar bera ábyrgð á því að sú vinnsla persónuupplýsinga, sem leyfi þetta tekur til, fullnægi ávallt kröfum 1. mgr. 7. gr. laga nr. 77/2000.
c. Farið skal með persónuupplýsingar í samræmi við lög nr. 77/2000 og reglur nr. 299/2001 um öryggi persónuupplýsinga. Hvílir þagnarskylda á leyfishöfum og öðrum þeim sem koma að vinnu við framangreint verkefni. Þagnarskylda helst þótt látið sé af störfum. Brot á slíkri þagnarskyldu varðar refsingu samkvæmt 136. gr. almennra hegningarlaga.
B. Öryggi við vinnslu persónuupplýsinga
a. Leyfishöfum ber að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi í samræmi við 11. og 12. gr. laga nr. 77/2000, sbr. reglur nr. 299/2001 um öryggi persónuupplýsinga. Í 11. gr. laganna er m.a. áskilið:
að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra; og
að tryggja skuli að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skal öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt.
b. Leyfishafar bera ábyrgð á því að hverjir þeir er starfa í umboði þeirra og hafa aðgang að persónuupplýsingum vinni aðeins með þær í samræmi við skýr fyrirmæli sem þeir gefa og að því marki að falli innan skilyrða leyfis þessa, nema lög mæli fyrir á annan veg, sbr. 3. mgr. 13. gr. laga nr. 77/2000.
C. Almennir skilmálar
a. Leyfishafar bera ábyrgð á að farið sé með öll persónuauðkennd gögn í samræmi við lög, reglur og ákvæði þessa leyfis.
b. Leyfishafar ábyrgjast að engir fái í hendur persónugreinanleg gögn, sem sérstaklega er unnið með vegna þeirrar vinnslu sem leyfi þetta tekur til, nema þeir hafi til þess heimild samkvæmt ákvæðum leyfisins.
c. Leyfishöfum ber að veita Persónuvernd, starfsmönnum og tilsjónarmanni hennar allar umbeðnar upplýsingar um vinnslu persónuupplýsinga sé eftir því leitað í þágu eftirlits. Brot á ákvæði þessu getur varðað afturköllun á leyfinu.
d. Persónuvernd getur látið gera úttekt á því hvort leyfishafar fullnægi skilyrðum laga nr. 77/2000 og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Getur Persónuvernd ákveðið að leyfishafar greiði þann kostnað sem af því hlýst. Semji Persónuvernd við sérfræðing skal hún gæta þess að hann undirriti yfirlýsingu um að hann lofi að gæta þagmælsku um það sem hann fær vitneskju um í starfsemi sinni og leynt ber að fara eftir lögum eða eðli máls. Brot á slíkri þagnarskyldu varðar refsingu samkvæmt 136. gr. almennra hegningarlaga. Þagnarskyldan helst þótt látið sé af starfi.