Úrlausnir

Vinnsla á persónuupplýsingum og afgreiðsla aðgangsbeiðni hjá HEI – Medical Travel – sektarákvörðun

Mál nr. 2020051610

10.5.2022

Persónuvernd úrskurðaði í máli þar sem kvartað var yfir öflun, skráningu, varðveislu og notkun netfangs kvartanda hjá HEI – Medical Travel (HEI) en kvartandi fékk sendan markpóst í tölvupósti frá fyrirtækinu. Jafnframt var kvartað yfir afgreiðslu fyrirtækisins á aðgangsbeiðni.

Persónuvernd komst að þeirri niðurstöðu að engin heimild hefði staðið til öflunar, skráningar, varðveislu og notkunar netfangs kvartanda. HEI hafði nýtt netfangalista sem starfsmaður fyrirtækisins hafði aflað með því að skrá sig inn á innri vef Læknafélags Íslands, með aðgangi læknis sem tengdur var starfsmanninum fjölskylduböndum, og sótt þaðan netföng fjölda lækna. Þá var jafnframt komist að þeirri niðurstöðu að aðgangsbeiðni kvartanda hefði ekki verið afgreidd í samræmi við lög, en persónuupplýsingum hans var eytt eftir að aðgangsbeiðnin var lögð fram.

Stjórnvaldssekt að fjárhæð 1.500.000 krónur var lögð á HEI – Medical Travel. Við ákvörðun sektarinnar var m.a. horft til þess að þrátt fyrir að HEI hefði talið sér heimilt að nýta listann þá lægi ekkert fyrir í málinu sem sýndi fram á að fyrirtækið hefði gert athugasemdir við eða gengið úr skugga um að heimild stæði til öflunar netfanganna og var brotið í öllu falli talið vera framið af stórfelldu gáleysi. Þá var einnig litið til þess að HEI eyddi persónuupplýsingum kvartanda eftir að aðgangsbeiðni barst og var réttur kvartanda til aðgangs að persónuupplýsingum sínum hjá fyrirtækinu því ekki virtur. Var því lagt til grundvallar að síðarnefnda brotið hefði verið framið af ásetningi. 

Úrskurður

Hinn 3. maí 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020051610:

I.
Málsmeðferð
1.
Tildrög máls

Hinn 12. maí 2020 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir öflun, skráningu og varðveislu netfangs hans hjá HEI – Medical Travel (HEI). Auk þess lýtur kvörtunin að því að HEI hafi ekki afgreitt beiðni kvartanda um aðgang að persónuupplýsingum sínum hjá fyrirtækinu í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Með bréfi, dags. 12. október 2020, var kvartandi upplýstur um afmörkun Persónuverndar á umkvörtunarefninu. Með bréfi, dags. 2. nóvember 2020, ítrekuðu 30 s.m., var HEI boðið að koma á framfæri skýringum vegna þess hluta kvörtunarinnar sem féll undir valdsvið Persónuverndar. HEI svaraði með bréfi, dags. 18. janúar 2021. Með bréfi, dags. 28. apríl 2021, ítrekuðu 28. maí s.á., óskaði Persónuvernd eftir nánari upplýsingum frá HEI. Svör HEI bárust með bréfi, dags. 2. júní s.á. Með bréfi, dags. 19. nóvember 2021, ítrekuðu 14. desember s.á., var kvartanda boðið að tjá sig um svör HEI. Svar barst með tölvupósti þann 20. desember 2021. Með bréfi, dags. 15. mars 2022, tilkynnti Persónuvernd HEI um að stofnunin teldi tilefni kunna að vera til beitingar 46. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, þar sem stofnuninni er veitt heimild til álagningar stjórnvaldssekta í samræmi við 83. gr. reglugerðar (ESB) 2016/679. Svarað var af hálfu HEI með tölvupósti þann 5. apríl 2022.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð málsins hefur dregist vegna anna hjá Persónuvernd.

2.
Sjónarmið kvartanda

Kvartandi vísar til þess að í kjölfar óumbeðins markpósts frá HEI, dags. 27. janúar 2020, til hans og fjölda annarra lækna hafi hafist umræður um það hvernig fyrirtækið hefði aflað netfanga þeirra þar sem þeir hefðu ekki skráð sig fyrir slíkum markpósti. Í yfirlýsingu frá Læknafélagi Íslands hafi komið fram að starfsmaður HEI hafi skráð sig inn á lokað svæði á vefsíðu félagsins undir nafni læknis, sem ekki hafi vitað af því, og afritað þaðan netföng lækna. Kvartandi hafi sett fram formlega beiðni til HEI um afrit af þeim gögnum sem fyrirtækið hefði um hann og upplýsingar um þau gögn. Ekki hafi verið orðið við þeirri beiðni.

Í fylgigögnum með kvörtun er að finna tölvupóstsamskipti kvartanda við HEI. Þann 28. janúar 2020 óskaði kvartandi eftir upplýsingum um hvaðan HEI hefði fengið netfang hans. Svar barst nokkrum mínútum síðar þar sem HEI sagði að netföng væru fundin eftir fleiri en einni leið og að ekki væri hægt að upplýsa um hvaðan netfang kvartanda hefði komið. Kvartandi ítrekaði upplýsingabeiðni sína samstundis og barst svar stuttu síðar um að HEI væri að reyna að átta sig á stöðunni og myndi bregðast við þegar málið hefði verið kannað betur. Kvartandi sendi þá tölvupóst á HEI, nánar tiltekið kl. 14:31 sama dag, og lagði fram formlega beiðni um afrit af öllum gögnum um hann hjá fyrirtækinu, hversu lengi upplýsingum um hann yrði safnað, hvaðan upplýsingarnar væru upprunnar og hver væri tilgangur vinnslunnar. Í svari HEI, kl. 14:40, til kvartanda kom fram að öllum persónuupplýsingum um hann hjá HEI yrði eytt og hann myndi fá skýringar fljótlega. Kvartandi svaraði nokkrum mínútum síðar og tók fram að hann vildi ekki að upplýsingunum yrði eytt, heldur að hann fengi afrit þeirra og svör. Með tölvupósti þann 20. desember 2021 upplýsti kvartandi Persónuvernd um að enn hefði ekki verið brugðist við aðgangsbeiðni hans.

3.
Sjónarmið HEI

HEI vísar til þess að skráning og varðveisla netfangs kvartanda hjá fyrirtækinu hafi verið mistök. HEI hafi upplýst Læknafélagið um hvernig netfangalistinn hafi verið fenginn, þ.e. að viðkomandi starfsmaður HEI, sem hafi látið HEI hafa netfangalistann, hafi gert mistök og viðurkennt þau. Þá kveðst HEI hafa eytt netfangi kvartanda um leið og kvörtun til HEI hafi borist og að það verði ekki notað aftur nema ef erindi berist frá kvartanda sem réttlæti það. Persónuvernd óskaði eftir upplýsingum um hversu margir læknar hefðu verið á netfangalistanum en HEI kvaðst ekki hafa upplýsingar um það þar sem búið væri að eyða listanum. Í svörum HEI kemur jafnframt fram að eftir að pósturinn hafi verið sendur hafi nokkrir læknar haft samband við HEI en aðrir haft samband við Læknafélag Íslands. Læknafélagið hafi haft samband við HEI og fyrirtækið upplýst félagið um hvernig netfangalistinn hafi verið fenginn. HEI hafi lofað Læknafélaginu að nota hann ekki aftur og við það hafi verið staðið. Læknafélagið hafi ákveðið að beita sér ekki frekar gegn HEI vegna málsins.

Í andmælum HEI við mögulegri sektarákvörðun kemur fram að starfsmaður sem var verkefnaráðinn til HEI í nokkra mánuði hafi útvegað netfangalista lækna, en starfsmaðurinn sé [tengdur lækni fjölskylduböndum]. Hún hafi minnst á að hún hefði aðgang að listanum og HEI hafi langað að koma skilaboðum til lækna. Þá kemur fram að HEI hafi ekki vitað annað en að starfsmaðurinn mætti nýta netfangalistann. Verði það ekki talið heimilt eigi málið að sækjast til starfsmannsins en ekki til HEI. Auk þess hafi HEI beðist afsökunar þegar kvartanir bárust frá nokkrum læknum og eytt listanum. Verði HEI talið ábyrgt fyrir vinnslunni er þess óskað að sektin verði sem allra lægst. 

4.
Tilkynning Læknafélags Íslands til Persónuverndar um öryggisbrest

Persónuvernd barst tilkynning um öryggisbrest frá Læknafélagi Íslands þann 30. janúar 2020. Í tilkynningunni kom fram að [aðili sem tengdur sé lækni fjölskylduböndum] hefði farið inn á innri vef félagsins og útbúið póstlista úr netföngum lækna og sendur hafi verið tölvupóstur á þá sem voru á listanum. Þá kom fram að áætlaður fjöldi einstaklinga sem öryggisbresturinn hefði haft áhrif á væri á bilinu 1.001 – 10.000. Jafnframt kom fram í tilkynningunni að sendandi hefði beðist afsökunar og eytt listanum. Læknafélagið hafi látið vita með frétt um atvikið á innri vef sínum og læknum hafi verið bent á að passa að veita ekki utanaðkomandi aðilum aðgang að innri vef félagsins.

Með bréfi, dags. 11. apríl 2020, tilkynnti Persónuvernd Læknafélagi Íslands um að ekki væri talið tilefni til frekari aðgerða gagnvart félaginu af hálfu stofnunarinnar vegna öryggisbrestsins miðað við þær upplýsingar sem veittar voru í tilkynningunni. Byggðist niðurstaðan á því að öryggisbresturinn fæli í sér afmarkað og einstakt tilvik með takmarkaðri áhættu fyrir réttindi og frelsi einstaklinga og að þær ráðstafanir sem Læknafélag Íslands hefði gripið til í því skyni að milda skaðleg áhrif öryggisbrestsins teldust nægjanlegar miðað við áhættu. Í bréfinu var jafnframt tekið fram að ef kvörtun bærist frá einstaklingi vegna öryggisbrestsins, sem og ef nýjar tilkynningar um öryggisbrest bærust frá ábyrgðaraðila, kynni málið að verða tekið upp að nýju, í heild sinni eða að hluta.

II.
Forsendur og niðurstaða
1.
Afmörkun máls – Gildissvið – Ábyrgðaraðili

Í upphafi málsmeðferðarinnar var kvartandi upplýstur um að Persónuvernd myndi ekki fjalla um þann hluta kvörtunarinnar sem varðaði óumbeðin fjarskipti, sem fjallað er um í 46. gr. fjarskiptalaga nr. 81/2003, þar sem eftirlit með þeim lögum heyrði ekki undir Persónuvernd heldur Póst- og fjarskiptastofnun (nú Fjarskiptastofu). Kvartanda var jafnframt boðin framsending á þeim hluta kvörtunarinnar til Póst- og fjarskiptastofnunar. Úrlausnarefni máls þessa afmarkast samkvæmt því við öflun, skráningu og notkun netfangs kvartanda og afgreiðslu á aðgangsbeiðni hans hjá HEI.

Gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Mál þetta lýtur að öflun, skráningu, varðveislu og notkun persónuupplýsinga hjá HEI ásamt afgreiðslu fyrirtækisins á aðgangsbeiðni kvartanda. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Almennt er litið svo á að ábyrgðaraðili sé hlutaðeigandi stofnun eða fyrirtæki, en ekki einstaka starfsmenn, hvort sem um ræðir stjórnendur eða almenna starfsmenn. Eins og hér háttar til telst HEI – Medical Travel vera ábyrgðaraðili að umræddri vinnslu.

2.
Lögmæti vinnslu
2.1.
Öflun, skráning og varðveisla netfangs

HEI hefur viðurkennt að öflun, skráning, varðveisla og notkun netfangs kvartanda hafi verið mistök af hálfu starfsmanns fyrirtækisins. Fram hefur komið í málinu að hlutaðeigandi starfsmaður hafi skráð sig inn á lokað svæði á vefsíðu Læknafélagsins undir nafni annars aðila, þ.e.[aðila tengdum starfsmanninum fjölskylduböndum] sem sé læknir, og afritað þaðan netföng lækna. Netfangalistinn hafi síðan verið notaður af HEI til að senda út óumbeðinn markpóst en ekki liggur fyrir hversu margir læknar voru á netfangalistanum, þó áætla megi af tilkynningu Læknafélags Íslands um öryggisbrest til Persónuverndar að þeir hafi verið á bilinu 1.001 – 10.000. Er óumdeilt að ekki stóð heimild til vinnslunnar samkvæmt 1. mgr. 9. gr. laga nr. 90/2018. Þegar af þeirri ástæðu er það mat Persónuverndar að öflun, skráning, varðveisla og notkun netfangs kvartanda hafi ekki samrýmst lögum nr. 90/2018, sbr. reglugerð (ESB) 2016/679.

2.2.
Afgreiðsla á aðgangsbeiðni kvartanda

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 15. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 15. gr. reglugerðarinnar er meðal annars kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að persónuupplýsingunum. Þá segir í 3. mgr. sömu greinar að ábyrgðaraðili skuli láta skráðum einstaklingi í té afrit af þeim persónuupplýsingum sem séu í vinnslu. Jafnframt má nefna að samkvæmt 2. málsl. 4. mgr. 21. gr. laganna á viðtakandi markpósts rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu eða útsendingu til grundvallar. Lögmætur réttur einstaklings til aðgangs að persónuupplýsingum um sig getur reynst honum mikilvægur til að neyta annarra réttinda sem hann gæti átt samkvæmt persónuverndarlöggjöfinni eða á grundvelli annarra laga og reglna, þegar svo ber undir. Ef ábyrgðaraðilar uppfylla ekki skyldur sínar til réttrar afgreiðslu á aðgangsbeiðnum, svo sem með því að eyða upplýsingum, kann því að vera komið í veg fyrir að einstaklingur geti neytt slíkra réttinda.

Fyrir liggur að kvartandi óskaði eftir aðgangi að þeim persónuupplýsingum sem HEI hafði til vinnslu og vörðuðu hann, þ.m.t. upplýsingum um hvaðan upplýsingarnar hefðu verið fengnar, með tölvupósti til fyrirtækisins þann 28. janúar 2020. Óumdeilt er að kvartandi fékk ekki aðgang að persónuupplýsingum sínum í samræmi við beiðnina og að HEI eyddi umræddum netfangalista, þ.m.t. persónuupplýsingum kvartanda, eftir að beiðni um aðgang barst fyrirtækinu. Þá er ljóst að HEI upplýsti kvartanda ekki um hvaðan upplýsingarnar væru fengnar, sbr. g-lið 1. mgr. 15. gr. reglugerðarinnar.

Af framangreindu er ljóst að réttur kvartanda til aðgangs að persónuupplýsingum sínum hjá fyrirtækinu var ekki virtur og verður því lagt til grundvallar að HEI hafi ekki afgreitt aðgangsbeiðni kvartanda í samræmi við 1. og 3. mgr. 15. gr. reglugerðarinnar, sbr. 2. mgr. 17. gr. laga nr. 90/2018.

III.
Beiting viðurlaga
1.
Sjónarmið um beitingu viðurlaga

Kemur næst til skoðunar hvort beita skuli HEI – Medical Travel stjórnvaldssektum vegna framangreindra brota, sbr. 46. gr. laga nr. 90/2018, sbr. einnig 83. gr. reglugerðar (ESB) 2016/679. Við ákvörðun þar að lútandi og um fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag. Eftirfarandi atriði koma til skoðunar í þessu máli.

a. Hvers eðlis og hversu alvarlegt brotið er

Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brotið var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir.

Við beitingu þessara ákvæða hefur Persónuvernd í framkvæmd sinni litið til fjölda þeirra einstaklinga sem eins er ástatt um, þ.e. sem hafa orðið fyrir sama broti, en ekki aðeins þeirra brota sem varða beinlínis þann einstakling sem leggur fram kvörtun. Vísast í þessu sambandi til kafla II.3.a í úrskurði stofnunarinnar frá 15. júní 2021 í máli nr. 2020010545.

Í fyrirliggjandi máli var netfang kvartanda á netfangalista sem starfsmaður HEI aflaði. Síðar varð ljóst að starfsmaðurinn aflaði listans með því að skrá sig inn á lokað vefsvæði á vefsíðu Læknafélags Íslands með aðgangi [aðila tengdum starfsmanninum fjölskylduböndum]. Af gögnum málsins verður ekki séð að HEI hafi gengið úr skugga um að netfangalistinn hafi verið fenginn með lögmætum hætti. Þá verður ekki séð að HEI hafi gert athugasemdir við framkvæmdina, heldur þvert á móti varðveitt upplýsingarnar og notað þær til að senda út óumbeðinn markpóst til kvartanda ásamt fjölda annarra lækna. Þá er jafnframt ljóst að kvartandi fékk ekki aðgang að persónuupplýsingum sínum í samræmi við aðgangsréttarbeiðni sína og að HEI eyddi auk þess persónuupplýsingum kvartanda eftir að beiðnin var lögð fram.

Í málinu er um að ræða vinnslu almennra persónuupplýsinga. Þá er ljóst af gögnum málsins að upplýsingar um netföng fjölmargra lækna voru á umræddum netfangalista sem starfsmaður HEI aflaði.

Ekkert liggur fyrir um að kvartandi eða aðrir einstaklingar hafi orðið fyrir tjóni vegna vinnslunnar.

b. Hvort brotið var framið af ásetningi eða af gáleysi

Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi.

Hvað varðar brot gegn ákvæði 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679 um vinnsluheimildir er til þess að líta að HEI notfærði sér netfangalista sem starfsmaður fyrirtækisins aflaði, án þess að tryggja að heimild hefði staðið til öflunar hans eða til notkunarinnar af hálfu HEI. Þrátt fyrir að HEI hafi samkvæmt svörum fyrirtækisins talið sér heimilt að nýta listann leysir það HEI, sem ábyrgðaraðila, ekki undan skyldum sínum að tryggja að öll vinnsla persónuupplýsinga á þeirra vegum sé í samræmi við persónuverndarlöggjöfina. Í málinu liggur ekkert fyrir sem sýnir fram á að HEI hafi gert athugasemdir við eða gengið úr skugga um að heimildir stæðu til öflunar listans. Verður því samkvæmt þessu lagt til grundvallar að brot gegn framangreindum ákvæðum hafi í öllu falli verið framið af stórfelldu gáleysi.

Hvað varðar brot gegn ákvæði 2. mgr. 17. gr. laga nr. 90/2018 og 15. gr. reglugerðar (ESB) 2016/679 um réttindi einstaklings til upplýsinga og aðgangs að persónuupplýsingum sínum verður ekki annað séð en að HEI hafi eytt persónuupplýsingum kvartanda og umræddum netfangalista eftir að kvartandi lagði fram aðgangsréttarbeiðni og gerði athugasemdir við notkun netfangsins. Þá er ljóst af gögnum málsins að kvartanda var aldrei veittur aðgangur að persónuupplýsingum sínum hjá HEI. Verður samkvæmt þessu lagt til grundvallar að brot gegn þessum ákvæðum hafi verið framið af ásetningi.

c. Aðgerðir til að draga úr tjóni skráðra einstaklinga

Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga.

Þrátt fyrir að HEI hafi ekki verið talið heimilt að eyða gögnum kvartanda eftir að aðgangsbeiðni hans barst, og mögulega annarra einstaklinga sem kunna að hafa lagt fram aðgangsbeiðni, verður að mati Persónuverndar að telja eyðingu netfangalistans að öðru leyti, og þar af leiðandi frekari notkun hans, til aðgerða sem almennt voru til þess fallnar að draga úr tjóni annarra skráðra einstaklinga.

d. Umfang samvinnu við Persónuvernd

Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess.

Fyrir liggur að Persónuvernd gekk nokkuð erfiðlega að afla upplýsinga um málið hjá HEI. Í því sambandi er sérstaklega bent á að ítreka þurfti beiðnir Persónuverndar um svör vegna málsins og svar barst Persónuvernd í einu tilfelli töluvert eftir að svarfrestur var liðinn. Þá fékk Persónuvernd ekki umbeðnar upplýsingar frá HEI um hversu margir einstaklingar hefðu verið á umræddum netfangalista þar sem búið væri að eyða honum.

Verður því lagt til grundvallar að nokkuð hafi skort á samvinnu við stofnunina að þessu leyti, í skilningi tilvitnaðs ákvæðis.

2.
Niðurstaða um álagningu og fjárhæð sektar

Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679, getur Persónuvernd lagt stjórnarvaldssektir á hvern þann ábyrgðaraðila eða vinnsluaðila skv. 4. mgr. ákvæðisins sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar og laganna sem talin eru upp í 2. og 3. mgr. ákvæðisins.

Í 1. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. a-lið 5. mgr. 83. gr. reglugerðarinnar (ESB) 2016/679, kemur fram að brot gegn grundvallarreglum um vinnslu samkvæmt 5., 6., 7. og 9. gr. reglugerðarinnar geti varðað stjórnvaldssektum. Sem fyrr greinir braut HEI gegn ákvæðum 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679 um vinnsluheimildir. Í 2. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. b-lið 5. mgr. 83. gr. reglugerðarinnar (ESB) 2016/679, kemur fram að brot gegn ákvæðum um réttindi einstaklinga samkvæmt 12. – 22. gr. reglugerðarinnar geti varðað stjórnvaldssektum. Sem fyrr greinir braut HEI gegn ákvæðum 2. mgr. 17. gr. laga nr. 90/2018 og 15. gr. reglugerðar (ESB) 2016/679 um réttindi einstaklings til upplýsinga og aðgangs að persónuupplýsingum sínum.

Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að leggja beri stjórnvaldssekt á HEI – Medical Travel.

Um fjárhæð stjórnvaldssektar vegna brota gegn fyrrgreindum ákvæðum fer samkvæmt framansögðu eftir 3. mgr. 46. gr. laga nr. 90/2018, sbr. 5. mgr. 83. gr. reglugerðar (ESB) 2016/679. Stjórnvaldssektir samkvæmt 3. mgr. ákvæðisins geta numið frá 100 þúsund kr. til 2,4 milljarða kr. eða ef um er að ræða fyrirtæki allt að 4% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.

Með tilliti til þeirra sjónarmiða sem rakin eru að framan um ákvörðun viðurlaga þykir stjórnvaldssekt vera hæfilega ákveðin 1.500.000 krónur.

Ú r s k u r ð a r o r ð:

Vinnsla HEI – Medical Travel á persónuupplýsingum um [A], sem fólst í öflun, skráningu, varðveislu og notkun netfangs hans hjá fyrirtækinu, samrýmdist ekki ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um vinnsluheimildir.

Afgreiðsla HEI – Medical Travel á beiðni [A] um aðgang að persónuupplýsingum hans, sem unnið var með hjá fyrirtækinu, samrýmdist ekki lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Lögð er 1.500.000 króna stjórnvaldssekt á HEI – Medical Travel. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu úrskurðar þessa, sbr. 6. mgr. 46. gr. laga nr. 90/2018.

Persónuvernd, 3. maí 2022

Ólafur Garðarsson

formaður

                                Björn Geirsson                                        Sindri M. Stephensen

                           Vilhelmína Haraldsdóttir                             Þorvarður Kári Ólafsson

 

 



Var efnið hjálplegt? Nei