Úrskurður um vinnslu viðkvæmra persónuupplýsinga af hálfu opinberrar stofnunar og sveitarfélags

Mál nr. 2020010628

22.10.2020

Úrskurður

Hinn 29. september 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010628 (áður 2019050922):

I.

Málsmeðferð

1.

Kvörtun og málsmeðferð

Hinn 3. maí 2019 barst Persónuvernd kvörtun frá [A] (hér eftir […] kvartandi) yfir vinnslu persónuupplýsinga [kvartanda] af hálfu [opinberrar stofnunar X] og bæjarráðs [sveitarfélagsins Y]. Nánar tiltekið var kvartað yfir því að fram hefðu komið upplýsingar um [heilsufar og veikindaleyfi kvartanda] í að minnsta kosti tveimur fundargerðum stjórnar [stofnunarinnar X] sem miðlað hefði verið til aðildarsveitarfélaga stofnunarinnar, þ.m.t. [sveitarfélagsins Y], sem hefði birt fundargerðirnar á vef sínum í tengslum við birtingu fundargerða bæjarráðs. Kvörtuninni fylgdu níu fylgiskjöl sem varpa ljósi á atvik málsins.

Með bréfum, dags. 30. september 2019, var [stofnuninni X] og bæjarráði [sveitarfélagsins Y] tilkynnt um framangreinda kvörtun og veitt færi á að tjá sig um hana. Svarað var af hálfu [sveitarfélagsins Y] með bréfi, dags. 17. október s.á., ásamt fylgigögnum, og af hálfu [stofnunarinnar X] með bréfi, dags. 22. s.m., ásamt fylgigögnum. Með bréfi, dags. 19. nóvember s.á., ítrekuðu með bréfi, dags. 8. apríl 2020, var kvartanda boðið að tjá sig um framkomin svör gagnaðila. Þann 19. maí s.á. staðfesti kvartandi símleiðis við starfsmann Persónuverndar að [kvartandi] hygðist ekki koma á framfæri frekari athugasemdum en óskaði eftir úrlausn stofnunarinnar um umkvörtunarefnið.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð þessa máls hefur dregist vegna mikilla anna hjá Persónuvernd.

2.

Sjónarmið kvartanda

Fram kemur í kvörtun að upplýsingar um [heilsufar og veikindaleyfi kvartanda] hafi verið bókaðar í að minnsta kosti tvær fundargerðir stjórnar [stofnunarinnar X], en kvartandi [gegndi trúnaðarstöðu hjá stofnuninni]. Þá hafi fundargerðunum verið miðlað til þeirra sveitarfélaga sem aðild eiga að stofnuninni, þar á meðal til [sveitarfélagsins Y].

Kvartandi telur að stjórn [stofnunarinnar X] hafi borið að bóka upplýsingar um heilsufar […] sem trúnaðarmál og að ekki hafi átt að gera upplýsingarnar aðgengilegar öðrum en stjórn stofnunarinnar og forstöðumanni hennar. Umræddar upplýsingar hafi hins vegar verið birtar á vefsíðu [sveitarfélagsins Y] sem fylgiskjöl undir fundargerðum bæjarráðs.

Í kvörtun segir enn fremur að önnur fundargerðin hafi verið fjarlægð af vef sveitarfélagsins en að hin sé þar enn í birtingu.

3.

Sjónarmið [stofnunarinnar X]

Í fyrrgreindu bréfi [stofnunarinnar X] til Persónuverndar, dags. 22. október 2019, segir að í kjölfar þess að tiltekin fundargerð stjórnar stofnunarinnar hafi verið rituð hafi hún verið send aðildarsveitarfélögum til upplýsingar en ráðið verður af bréfinu að í fundargerðina hafi verið skráðar persónuupplýsingar um veikindaleyfi kvartanda. Í kjölfar þess hafi fundargerðin verið tekin fyrir á bæjarráðsfundi [sveitarfélagsins Y] og birt á vef [þess] með fundargerð þess fundar. [Í kjölfarið hafi sveitarfélagið Y og stofnunin X] tilkynnt öryggisbrest til Persónuverndar en Persónuvernd hafi upplýst [stofnunina X] um að stofnunin teldi ekki tilefni til frekari aðgerða.

Þá verður ráðið af bréfinu að [stofnunin X] telji að í þeirri vinnslu persónuupplýsinga sem kvörtunin lýtur að hafi falist öryggisbrestur, að því er varðar dreifingu á fundargerðum sem hafi innihaldið upplýsingar um veikindafjarvistir kvartanda, sem hafi jafnframt [geymt nafn kvartanda]. Nú séu slíkar upplýsingar hins vegar færðar í trúnaðarbók, auk þess sem gripið hafi verið til frekari ráðstafana til að tryggja upplýsingaöryggi.

Loks segir í bréfinu að líta verði til þess að eðli veikinda kvartanda hafi ekki verið tilgreint í fundargerðum og að þeim hafi einungis verið miðlað til þeirra sveitarfélaga sem aðild eiga að [stofnuninni X], sem eigi lögmæta hagsmuni af því að fá upplýsingar um störf stofnunarinnar. Að auki sé stofnuninni skylt að lögum að veita aðildarsveitarfélögum sínum slíkar upplýsingar, sbr. [ákvæði sérlaga sem um starfsemina gilda, þar sem fram komi að aðildarsveitarfélög beri ábyrgð á rekstri stofnunarinnar], en launakostnaður sé stærsti kostnaðarliður stofnunarinnar og kostnaður vegna greiðsluskyldra fjarvista og afleysinga hafi veruleg áhrif á fjárhag hennar.

4.

Sjónarmið [sveitarfélagsins Y]

Í fyrrgreindu bréfi [Y] til Persónuverndar, dags. 17. október 2019, kemur fram að [sveitarfélagið] sé eitt aðildarsveitarfélaga [stofnunarinnar X]. Stjórn stofnunarinnar hafi sent aðildarsveitarfélögum fundargerðir vegna starfseminnar en sveitarstjórn hafi tekið þær fyrir og birt á vefsíðu sveitarfélagsins. Fyrir mistök stjórnar [stofnunarinnar X] hafi viðkvæmar persónuupplýsingar kvartanda verið skráðar í fundargerð stofnunarinnar en upplýsingarnar hafi síðan verið birtar á vef sveitarfélagsins þar sem starfsmenn hafi ekki áttað sig á því að umrædd fundargerð geymdi viðkvæmar persónuupplýsingar.

Þá segir í bréfinu að [sveitarfélagið Y] hafi fyrst með bréfi Persónuverndar, dags. 30. september 2019, fengið vitneskju um að fleiri fundargerðir með viðkvæmum persónuupplýsingum kvartanda hefðu verið til birtingar á vef sveitarfélagsins og að þær hafi þá þegar verið teknar úr birtingu.

Loks eru í bréfinu raktar þær aðgerðir sem [sveitarfélagið Y] hefur gripið til í því skyni til að takmarka tjón af umræddri vinnslu og til að fyrirbyggja sambærileg atvik, sem felist meðal annars í leiðbeiningum til [stofnunarinnar X] um að skrá viðkvæmar persónuupplýsingar í trúnaðarbók í stað fundargerða.

5.

Tilkynningar um öryggisbresti

Persónuvernd fékk tilkynningu frá [stofnuninni X] um öryggisbrest, dags. 13. mars 2019, sbr. mál nr. 2019030673 hjá Persónuvernd. Laut tilkynningin að því að skortur á skipulagslegum ráðstöfunum hefði leitt til þess að viðkvæmar persónuupplýsingar um kvartanda hefðu verið skráðar í fundargerð. Fundargerðin hefði síðan verið send aðildarsveitarfélögum stofnunarinnar, þar með talið [sveitarfélaginu Y], sem hefði birt hana á vef sínum. Þá kom fram að gripið yrði til aðgerða til að milda skaðleg áhrif öryggisbrestsins, sem fælust í því að fara yfir fundargerðir síðasta árs, fjarlægja þaðan upplýsingar sem ekki hefði verið heimilt að skrá þar samkvæmt lögum nr. 90/2018 og færa þær í trúnaðarbók, afturkalla fyrri fundargerðir frá aðildarsveitarfélögum sem hefðu innihaldið viðkvæmar persónuupplýsingar og senda sveitarfélögunum uppfærðar fundargerðir.

Persónuvernd fékk einnig tilkynningu frá [sveitarfélaginu Y] um öryggisbrest, dags. 12. mars 2019, sbr. mál nr. 2019030662 hjá Persónuvernd. Laut tilkynningin að því að mannleg mistök hefðu orðið til þess að á vef sveitarfélagsins hefði verið birt fundargerð stjórnar [stofnunarinnar X] sem geymt hefði viðkvæmar persónuupplýsingar um kvartanda. Þá kom fram að gripið hefði verið til aðgerða til að milda skaðleg áhrif öryggisbrestsins, þ.e. að fundargerðin hefði verið tekin úr birtingu. Einnig kom fram í tilkynningunni að [stofnuninni X] yrðu veittar leiðbeiningar um að færa ekki viðkvæmar persónuupplýsingar í fundargerðir og miðla þeim til annarra.

Með bréfum, dags. 14. mars 2019, upplýsti Persónuvernd [stofnunina X] og [sveitarfélagið Y] um að stofnunin teldi ekki tilefni til aðgerða miðað við þær upplýsingar sem veittar voru í tilkynningunum. Í bréfunum kom jafnframt fram að málin kynnu að verða tekin upp að nýju, í heild eða að hluta, ef nýjar upplýsingar kæmu fram eða nýjar tilkynningar um öryggisbrest bærust.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðilar

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að skráningu og miðlun upplýsinga um veikindafjarvistir einstaklings í fundargerð, svo og birtingu þeirra upplýsinga á Netinu. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst [stofnunin X] vera ábyrgðaraðili að skráningu umræddra upplýsinga og miðlun þeirra en [sveitarfélagið Y] telst vera ábyrgðaraðili að birtingu upplýsinganna á vef sínum.

2.

Lagaumhverfi og niðurstaða

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laganna og c-lið 1. mgr. 6. gr. reglugerðarinnar.

Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 1. og 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt b-lið 3. tölul. 3. gr. laganna eru heilsufarsupplýsingar viðkvæmar, en af kvörtun verður ráðið að unnið hafi verið með upplýsingar um veikindi kvartanda og fjarvistir þeim tengdar.

Eins og hér háttar til kemur þá einkum til skoðunar 2. tölul. 1. mgr. 11. gr. laganna, sbr. b-lið 2. mgr. 9. gr. reglugerðarinnar, þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. 1. mgr. 8. gr. laganna); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt (6. tölul.).

Nánar er fjallað um öryggi persónuupplýsinga í 27. gr. laga nr. 90/2018. Í 1. mgr. ákvæðisins segir að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglugerðar (EBS) 2016/679. Samkvæmt 2. mgr. reglugerðarákvæðisins skal, við mat á viðunandi öryggi, hafa hliðsjón af þeirri áhættu sem vinnsla persónuupplýsinga hefur í för með sér að því er varðar að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.

2.1.

Vinnsla [stofnunarinnar X]

Af þeim upplýsingum sem liggja fyrir í máli þessu, svo og fyrrgreindri tilkynningu [stofnunarinnar X] um öryggisbrest til Persónuverndar, má ráða að [stofnunin X] líti á þá vinnslu sem hér er til umfjöllunar sem öryggisbrest í skilningi laga nr. 90/2018. Því hefur ekki verið haldið fram af hálfu [stofnunarinnar X] að heimild hafi staðið til vinnslunnar samkvæmt 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679, né að fullnægt hafi verið skilyrðum 11. gr. sömu laga fyrir vinnslu viðkvæmra persónuupplýsinga, sbr. 9. gr. reglugerðarinnar. Stofnunin hefur þó borið því við að aðildarsveitarfélög hennar hafi haft lögmæta hagsmuni af því að fá upplýsingar um starfsemi stofnunarinnar og að samkvæmt [sérlögum sem um starfsemina gildi] hafi stofnuninni borið að veita þeim slíkar upplýsingar. Í því sambandi hefur [stofnunin X] bent á að kostnaður vegna greiðsluskyldra fjarvista starfsmanna og afleysinga getur haft veruleg áhrif á fjárhag stofnunarinnar.

[Stofnunin X] starfar samkvæmt [nánar tilgreindum sérlögum, þar sem meðal annars kemur fram að aðildarsveitarfélög beri ábyrgð á starfsemi hennar og rekstri, auk þess sem þau komi að skipun stjórnar stofnunarinnar. Stjórn fjalli meðal annars um fjárhagsmálefni stofnunarinnar og ráðningu í stöðuna sem kvartandi gegndi.]

Þá er til þess að líta að samkvæmt 1. mgr. 28. gr. sveitarstjórnarlaga nr. 138/2011 á sérhver sveitarstjórnarmaður rétt á að kynna sér gögn og upplýsingar sem fyrir liggja í stjórnsýslu sveitarfélags og varða málefni sem komið geta til umfjöllunar í sveitarstjórn. Í 2. mgr. sömu greinar segir að sveitarstjórnarmaður skuli eiga eðlilegan aðgang að skrifstofu og stofnunum sveitarfélagsins í þeim tilgangi að kynna sér starfsemi sveitarfélagsins og rekstur.

Þegar litið er til framangreindra lagaákvæða þykir verða að leggja til grundvallar að á [stofnuninni X] hvíli lagaskylda til að veita sveitarstjórnarmönnum þeirra sveitarfélaga sem aðild eiga að stofnuninni aðgang að gögnum varðandi rekstur og starfsemi hennar, þar með talið um veikindi starfsmanna sem gegna trúnaðarstöðum hjá stofnuninni og haft geta teljandi áhrif á rekstur stofnunarinnar. Ber í því sambandi sérstaklega að merkja þá lögboðnu ábyrgð sem sveitarfélögin bera á rekstri [stofnunarinnar X] en í ljósi hennar getur sveitarfélögunum verið skylt að veita stofnuninni fé til að mæta ófyrirséðum útgjöldum og gera henni þannig kleift að standa við fjárhagsskuldbindingar sínar, þ.m.t. gagnvart starfsfólki.

Þegar litið er til alls framangreinds telur Persónuvernd verða að leggja til grundvallar að [stofnuninni X] hafi verið heimilt samkvæmt 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, að miðla upplýsingum um veikindaleyfi kvartanda til bæjarráðs [sveitarfélagsins Y]. Þá telur Persónuvernd jafnframt að fullnægt hafi verið skilyrði 2. tölul. 1. mgr. 11. gr. sömu laga vegna vinnslunnar, sbr. b-lið 2. mgr. 9. gr. reglugerðarinnar.

Kemur þá næst til skoðunar hvort gætt hafi verið að 6. tölul. 1. mgr. 8. gr. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. og 2. mgr. 32. gr. reglugerðar (ESB) 2016/679, við þá vinnslu sem hér er til umfjöllunar. Líkt og áður er rakið telur Persónuvernd að heimild hafi staðið til þeirrar vinnslu sem hér er til umfjöllunar og að jafnframt hafi verið fullnægt lagaskilyrðum vegna hennar. Þegar litið er til þess telur Persónuvernd ekki unnt að fullyrða að brotið hafi verið gegn tilvitnuðum lagaákvæðum með miðlun upplýsinga um kvartanda til [sveitarfélagsins Y] af hálfu [stofnunarinnar X]. Þá verður ekki talið að vinnslan hafi farið í bága við aðrar meginreglur laganna, sbr. 1.-5. tölul. 1. mgr. 8. gr. og a-e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Að framangreindu virtu er það niðurstaða Persónuverndar að sú vinnsla [stofnunarinnar X] með persónuupplýsingar kvartanda sem hér er til umfjöllunar hafi samrýmst lögum nr. 90/2018.

2.2.

Vinnsla [sveitarfélagsins Y]

Samkvæmt þeim upplýsingum sem liggja fyrir í máli þessu var vefbirting umræddra persónuupplýsinga um kvartanda af hálfu [sveitarfélagsins Y] afleiðing mistaka. Þá hefur komið fram í þessu máli, svo og í fyrrgreindri tilkynningu [sveitarfélagsins Y] um öryggisbrest til Persónuverndar, að sveitarfélagið líti á vinnsluna sem öryggisbrest í skilningi laga nr. 90/2018. Loks hefur því ekki verið haldið fram af hálfu sveitarfélagsins að heimild hafi staðið til vinnslunnar samkvæmt 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679, né að fullnægt hafi verið skilyrðum 11. gr. sömu laga, sbr. 9. gr. reglugerðarinnar, fyrir vinnslu viðkvæmra persónuupplýsinga.

Telja verður að sú skylda hvíli á ábyrgðaraðila að yfirfara gögn, sem innihalda persónuupplýsingar, áður en þau verða birt og ganga úr skugga um að birtingin samrýmist lögum, sbr. 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. meðal annars úrskurð Persónuverndar frá 27. ágúst 2020 í máli nr. 2020010584.

Að framangreindu virtu er það niðurstaða Persónuverndar að engin heimild hafi staðið til birtingar [sveitarfélagsins Y] á persónuupplýsingum kvartanda. Birtingin hafi því ekki samrýmst lögum nr. 90/2018.

Með vísan til þess sem fram hefur komið um viðbrögð [sveitarfélagsins Y] í málinu er það mat Persónuverndar að ekki sé þörf á að beina sérstökum fyrirmælum til sveitarfélagsins vegna þeirrar vinnslu sem hér er til umfjöllunar.

Ú r s k u r ð a r o r ð:

Vinnsla [stofnunarinnar X] á persónuupplýsingum um [A] samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Vinnsla [sveitarfélagsins Y] á persónuupplýsingum um [A] samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í Persónuvernd, 29. september 2020

Helga Þórisdóttir                                 Helga Sigríður Þórhallsdóttir