Úrlausnir

Vinnsla barnaverndarnefndar Hafnarfjarðar á persónuupplýsingum ekki í samræmi við lög

Mál nr. 2020010656

3.5.2022

Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir vinnslu persónuupplýsinga hjá barnaverndarnefnd Hafnarfjarðar við eftirlit með umgengni barna sem tengd eru kvartanda fjölskylduböndum, en kvartandi var viðstödd umgengnina. Nánar tiltekið var kvartað yfir hljóðupptökum á farsíma starfsmanna nefndarinnar í eftirlitsheimsóknum og skráningu á upplýsingum úr upptökunum við skýrslugerð um heimsóknirnar. Niðurstaða Persónuverndar var sú að ósannað þótti að hljóðupptaka hefði farið fram við umgengnina en skráning upplýsinganna var ekki talin samrýmast kröfum persónuverndarlaganna um gagnsæi.

Þá taldi Persónuvernd það ámælisvert, í ljósi eðlis þess málaflokks og þeirra persónuupplýsinga sem barnaverndarnefndir fara með, að barnaverndarnefnd Hafnarfjarðar hafi ekki gætt þess að verklag og starfshættir nefndarinnar uppfylltu allar þær öryggiskröfur sem gerðar eru til ábyrgðaraðila til að tryggja fullnægjandi öryggi persónuupplýsinga. 

Úrskurður

Hinn 3. maí 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010656 (áður nr. 2019081471):

I.
Málsmeðferð
1.
Tildrög máls

Hinn 7. ágúst 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) yfir vinnslu persónuupplýsinga hjá barnaverndarnefnd Hafnarfjarðar við eftirlit með umgengni [barna sem tengd eru kvartanda fjölskylduböndum, en kvartandi var viðstödd umgengnina]. Nánar tiltekið er kvartað yfir hljóðupptökum á farsíma starfsmanna nefndarinnar í eftirlitsheimsóknum og skráningu á upplýsingum úr upptökunum við skýrslugerð um heimsóknirnar.

Með bréfi, dags. 22. október 2019, ítrekuðu 17. desember s.á., var barnaverndarnefnd Hafnarfjarðar boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 15. janúar 2020. Með bréfi, dags. 12. mars 2020, ítrekuðu 20. apríl s.á., var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið barnaverndarnefndar Hafnarfjarðar. Bárust athugasemdir kvartanda með tölvupósti þann 6. maí 2020. Með bréfi, dags. 22. júní 2020, óskaði Persónuvernd eftir frekari upplýsingum frá barnaverndarnefnd Hafnarfjarðar. Svarað var með bréfi, dags. 7. ágúst 2020. Þann 2. desember 2020 óskaði Persónuvernd eftir enn frekari upplýsingum frá barnaverndarnefnd Hafnarfjarðar og bárust svör nefndarinnar með tölvupósti þann 8. s.m.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð þessa máls hefur dregist vegna mikilla anna hjá Persónuvernd.

2.
Sjónarmið kvartanda

Kvartað er yfir því að starfsmenn barnaverndarnefndar Hafnarfjarðar noti farsíma sína til hljóðupptöku í eftirliti með umgengnisheimsóknum sem kvartandi hefur tekið þátt í. Upptökurnar séu síðan notaðar til skýrslugerðar þar sem skráð sé orðrétt það sem fram fari við heimsóknina. Kvartandi hafi ekki vitað af upptökunum.

3.
Sjónarmið barnaverndarnefndar Hafnarfjarðar

Nefndin bendir á að sá starfsmaður sem sinnt hafi eftirliti með umgengni hafi notað einkasnjallsíma sinn til að skrifa niður minnispunkta í smáforritið „Notes“ og í kjölfarið sent sér punktana á vinnunetfang sitt og eytt þeim úr símanum að því loknu. Nöfn aðila hafi ekki komið fram. Punktarnir hafi síðan verið notaðir til skýrslugerðar. Starfsmönnum barnaverndarnefndar Hafnarfjarðar sé ekki heimilt að notast við hljóðupptökur í störfum sínum og hafi kvartandi verið upplýst um það.

Barnaverndarnefnd Hafnarfjarðar viðurkennir að framangreint verklag við skráningu upplýsinga í einkasíma starfsmanna samrýmist ekki kröfum um öryggi persónuupplýsinga og upplýsir að gripið hafi verið til ráðstafana til að breyta því. Þá kemur fram í svörum nefndarinnar að engar skráðar verklagsreglur séu til um tækjanotkun starfsmanna við þessar aðstæður. Í framhaldi af bréfi Persónuverndar þar sem tilkynnt var um kvörtunina hafi hins vegar verið ákveðið að semja slíkar reglur. Enn fremur segir að unnið sé að endurskoðun á öryggisstefnu og verklagsreglum hjá fjölskyldu- og barnamálasviði Hafnarfjarðarbæjar. Áformað sé að senda Persónuvernd afrit af áhættumati þegar það hafi farið fram ásamt nýjum verklagsreglum.

Að lokum er bent á að [...] móður barnanna, hafi verið gerð rækilega grein fyrir hlutverki eftirlitsaðila og hvernig umgengni skyldi fara fram. Sami háttur hafi ekki verið hafður á varðandi upplýsingar til kvartanda þar sem hún hafi ekki átt sjálfstæðan umgengnisrétt við börnin, heldur hafi hún fengið að taka þátt í umgengni með móður barnanna á stundum.

Undir rekstri málsins óskaði Persónuvernd eftir að fá afrit af þeim minnispunktum sem starfsmaður barnaverndarnefndar Hafnarfjarðar skráði hjá sér. Í svari nefndarinnar kom fram að starfsmaðurinn eyddi minnispunktunum eftir hverja umgengni. Stundum ynni starfsmaðurinn beint upp úr smáforritinu „Notes“ án þess að senda sér punktana með tölvupósti, en það færi eftir umfangi punktanna. Jafnframt kom fram í svari nefndarinnar að starfsmaðurinn hefði notast við „Hotmail“-netfang fram til janúar 2019 og hefði haft þann vana á að yfirfara póstfangið í kringum hver áramót og eyða pósti sem viðkæmi starfinu.

II.
Forsendur og niðurstaða
1. Gildissvið – Afmörkun máls – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Í máli þessu byggir kvartandi meðal annars á því að starfsmenn barnaverndarnefndar Hafnarfjarðar hafi notað farsíma sína til hljóðupptöku við eftirlit með umgengni þegar kvartandi var viðstödd. Af hálfu barnaverndarnefndar Hafnarfjarðar hefur það ekki verið staðfest og stendur því orð gegn orði auk þess sem ekkert hefur komið fram í gögnum þessa máls sem sannar að svo hafi verið. Ekki er því unnt að fullyrða að sú vinnsla, þ.e. hljóðupptökur, hafi átt sér stað eða að brotið hafi verið gegn rétti kvartanda samkvæmt lögum nr. 90/2018 með þeim hætti.

Mál þetta lýtur jafnframt að skráningu upplýsinga við eftirlit með umgengni á vegum barnaverndarnefndar Hafnarfjarðar. Þrátt fyrir að þessar upplýsingar séu skráðar nafnlaust geta þær að mati Persónuverndar engu að síður verið þess eðlis að hægt sé að tengja þær nafngreindum einstaklingum og þar af leiðandi er um að ræða persónugreinanlegar upplýsingar. Að því virtu varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Eins og hér háttar til telst barnaverndarnefnd Hafnarfjarðar vera ábyrgðaraðili að umræddri vinnslu.

2.
Lögmæti vinnslu2.1. Vinnsluheimild og meginreglur

Öll vinnsla persónuupplýsinga verður að samrýmast einhverju af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar ef það er nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið 1. mgr. reglugerðarákvæðisins, eða vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 9. gr. reglugerðarinnar.

Persónuvernd hefur áður, þ.e. í úrskurði í máli nr. 2020010641, tekið til skoðunar skráningu persónuupplýsinga í málsgögnum barnaverndarnefndar Hafnarfjarðar í málum [barnanna]. Taldi Persónuvernd að skráning persónuupplýsinga um kvartanda í því máli væri nauðsynlegur þáttur í því að meta aðstæður barnanna og þörf þeirra til aðstoðar svo tryggja mætti hag þeirra og velferð. Því gæti skráningin stuðst við heimild í áðurnefndum 5. tölul. 9. gr. laga nr. 90/2018, sbr. einnig 8. tölul. 1. mgr. 11. gr. sömu laga að því leyti sem um viðkvæmar persónuupplýsingar væri að ræða. Persónuvernd telur hið sama eiga við hvað varðar heimildir barnaverndarnefndar Hafnarfjarðar til skráningar á persónuupplýsingum um kvartanda í máli þessu. Um nánari rökstuðning fyrir þeirri niðurstöðu vísast til úrskurðar í máli nr. 2020010641.

Öll vinnsla persónuupplýsinga verður jafnframt að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins); að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.).

Við mat á því hvort skilyrði 1. tölul. 1. mgr. 8. gr. laganna um gagnsæi sé uppfyllt þarf að líta til þess hvort veita þurfti kvartanda fræðslu, sbr. 1.-2. mgr. 17. gr. laga nr. 90/2018, sbr. einnig 13. og 14. gr. reglugerðar (ESB) 2016/679. Þessi ákvæði eiga við um það annars vegar þegar persónuupplýsinga er aflað hjá hinum skráða sjálfum og hins vegar þegar þeirra er aflað hjá öðrum en hinum skráða. Af hálfu barnaverndarnefndar Hafnarfjarðar hefur komið fram að [...] móður barnanna sem umgengnin varðaði, hafi verið gerð grein fyrir hlutverki eftirlitsaðila og hvernig umgengni skyldi fara fram. Kvartanda hafi hins vegar ekki verið veittar sams konar upplýsingar þar sem hún hafi ekki átt sjálfstæðan umgengnisrétt við börnin, heldur hafi hún fengið að taka þátt í umgengni með móðurinni á stundum.

Svo fræðsluskylda ábyrgðaraðila samkvæmt 13. og 14. gr. reglugerðarinnar verði virk verður að gera ráð fyrir einhvers konar ákvörðun eða frumkvæði hans að því að afla upplýsinganna, annaðhvort frá hinum skráða sjálfum, sbr. 13. gr., eða annars staðar frá, sbr. 14. gr. reglugerðarinnar.

Að framangreindu virtu telur Persónuvernd, eins og hér háttar til, að þær aðstæður sem gætu virkjað fræðsluskyldu ábyrgðaraðila gagnvart kvartanda samkvæmt 13. og 14. gr. reglugerðarinnar séu ekki til staðar í málinu. Barnaverndarnefnd Hafnarfjarðar hafi því ekki verið skylt að veita kvartanda upplýsingar samkvæmt 13. eða 14. gr. reglugerðarinnar áður en vinnslan átti sér stað. Kemur þá til skoðunar hvort nefndin fór að meginreglu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um gagnsæi að öðru leyti, sbr. jafnframt a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Af hinni almennu gagnsæiskröfu getur leitt að veita þurfi hinum skráða upplýsingar um vinnslu persónuupplýsinga um hann þegar þeim tilvikum sem falla undir 13. og 14. gr. reglugerðar (ESB) 2016/679 sleppir. Eins og fram kemur í 60. lið formálsorða reglugerðarinnar felst í umræddri meginreglu krafa um að skráðum einstaklingi sé tilkynnt um að vinnsluaðgerð standi yfir og hver sé tilgangur hennar. Þá er vísað til þess að ábyrgðaraðili ætti að veita hinum skráða frekari upplýsingar sem nauðsynlegar eru til að tryggja að gætt sé sanngirni og gagnsæi við vinnslu persónuupplýsinga með tilliti til þeirra sérstöku aðstæðna og samhengis sem eiga við vinnslu þeirra. Þrátt fyrir að kvartandi hafi ekki átt sjálfstæðan umgengnisrétt við börnin var að mati Persónuverndar óhjákvæmilegt að einhverjar persónuupplýsingar um hana yrðu skráðar hjá ábyrgðaraðila þegar hún tók þátt í umgengni sem fram fór undir eftirliti. Því hefur jafnframt ekki verið andmælt af hálfu barnaverndarnefndar Hafnarfjarðar. Jafnframt er litið til þess að Persónuvernd hefur áður (í tengslum við rekstur máls nr. 2020010641 hjá stofnuninni) yfirfarið málsgögn í umræddum málum hjá barnaverndarnefnd Hafnarfjarðar, og styður sú yfirferð framangreint. Er það því mat Persónuverndar að barnaverndarnefnd Hafnarfjarðar hafi borið að upplýsa kvartanda um skráninguna og tilgang vinnslunnar þegar hún fór fram, með vísan til 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Með vísan til alls framangreinds er það niðurstaða Persónuverndar að barnaverndarnefnd Hafnarfjarðar hafi ekki gætt að fyrrnefndum sjónarmiðum um gagnsæi og vinnslan því ekki samrýmst 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Þá lýtur kvörtunin einnig að því að við skýrslugerð í kjölfar umgengnisheimsóknanna hafi starfsmenn barnaverndarnefndarinnar skráð orðrétt það sem fram hafi farið við heimsóknirnar. Kemur þá til skoðunar meðalhófsregla 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018. Svo sem áður segir hefur Persónuvernd áður yfirfarið málsgögn í umræddum málum hjá barnaverndarnefnd Hafnarfjarðar, og fór sú yfirferð meðal annars fram með hliðsjón af því hvort nægilega hafi verið gætt að meðalhófi við skráningu persónuupplýsinga. Komst Persónuvernd að þeirri niðurstöðu að svo hefði verið, og að ekki hefði verið gengið lengra við skráninguna en aðstæður kröfðust hverju sinni.

2.2. Öryggi persónuupplýsinga

Ábyrgðaraðila ber jafnframt að tryggja öryggi persónuupplýsinga, sbr. 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018. Í því felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi en að þær séu jafnframt aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda. Ákvæði er varða öryggi persónuupplýsinga er að finna í 23., 24. og 27. gr. laga nr. 90/2018, sbr. einnig 24., 25. og 32. gr. reglugerðar (ESB) 2016/679. Samkvæmt 1. mgr. 27. gr. laganna skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglugerðarinnar. Samkvæmt 2. mgr. 32. gr. reglugerðarinnar skal þegar viðunandi öryggi er metið einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta eyðingu persónuupplýsinga, sem eru sendar, geymdar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.

Sem fyrr greinir hefur komið fram af hálfu barnaverndarnefndar Hafnarfjarðar að starfsmaður nefndarinnar hafi notað einkasíma til skráningar á atvikum við störf sín við eftirlit með umgengni. Jafnframt er viðurkennt af hálfu stofnunarinnar að framangreint verklag samræmist ekki kröfum um öryggi persónuupplýsinga. Þá hefur komið fram í svörum nefndarinnar að umræddur starfsmaður hafi notað „Hotmail“-netfang sitt fram að ársbyrjun 2019, en ekki hefur komið fram hvenær starfsmaðurinn hóf störf hjá nefndinni.

Persónuvernd telur að í ljósi eðlis þess málaflokks og þeirra persónuupplýsinga sem barnaverndarnefndir fara með sé það ámælisvert að barnaverndarnefnd Hafnarfjarðar hafi ekki gætt þess að verklag og starfshættir nefndarinnar uppfylltu allar þær öryggiskröfur sem gerðar eru til ábyrgðaraðila til að tryggja fullnægjandi öryggi persónuupplýsinga samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Með vísan til 6. tölul. 42. gr. laga nr. 90/2018 er lagt fyrir barnaverndarnefnd Hafnarfjarðar að stöðva alla vinnslu persónuupplýsinga sem tengist starfsemi nefndarinnar og fram fer í einkasímum, einkatölvum, öðrum einkabúnaði og einkatölvupósthólfum starfsmanna, þar til staðfesting hefur verið send Persónuvernd á því að nefndin hafi gert viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi við vinnslu persónuupplýsinga, sbr. m.a. 23., 24. gr. og 1. mgr. 27. gr. laga nr. 90/2018 og 24., 25. og 32. gr. reglugerðar (ESB) 2016/679. Jafnframt er með vísan til 6. tölul. 42. gr. laga nr. 90/2018 lagt fyrir barnaverndarnefnd Hafnarfjarðar að gera ráðstafanir til að þess að tryggja að öllum persónugreinanlegum upplýsingum tengdum starfsemi nefndarinnar, sem skráðar hafa verið í einkasíma, einkatölvur, annan einkabúnað eða einkatölvupósthólf starfsmanna, eða kunna að hafa verið vistaðar í skýjalausnum á þeirra vegum, verði eytt.

Þá er með vísan til 4. tölul. 42. gr. laga nr. 90/2018 lagt fyrir barnaverndarnefnd Hafnarfjarðar að senda Persónuvernd lýsingu á því hvernig nefndin hyggst tryggja viðunandi öryggi við vinnslu persónuupplýsinga framvegis, sbr. m.a. 23., 24. gr. og 1. mgr. 27. gr. laga nr. 90/2018 og 24., 25. og 32. gr. reglugerðar (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Ósannað er að átt hafi sér stað vinnsla persónuupplýsinga um kvartanda með hljóðupptökum á vegum barnaverndarnefndar Hafnarfjarðar sem brotið hafi gegn lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679

Skráning barnaverndarnefndar Hafnarfjarðar á persónuupplýsingum um kvartanda samrýmdist ekki kröfum 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 um gagnsæi við vinnslu persónuupplýsinga.

Með vísan til 6. tölul. 42. gr. laga nr. 90/2018 er lagt fyrir barnaverndarnefnd Hafnarfjarðar að stöðva alla vinnslu persónuupplýsinga sem tengist starfsemi nefndarinnar í einkasímum, einkatölvum, öðrum einkabúnaði og einkatölvupósthólfum starfsmanna, þar til staðfesting hefur verið send Persónuvernd á því að nefndin hafi gert viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi við vinnslu persónuupplýsinga, sbr. m.a. 23., 24. gr. og 1. mgr. 27. gr. laga nr. 90/2018 og 24., 25. og 32. gr. reglugerðar (ESB) 2016/679.

Með vísan til 6. tölul. 42. gr. laga nr. 90/2018 er lagt fyrir barnaverndarnefnd Hafnarfjarðar að gera ráðstafanir til að þess að tryggja að öllum persónugreinanlegum upplýsingum tengdum starfsemi nefndarinnar, sem skráðar hafa verið í einkasíma, einkatölvur, annan einkabúnað eða einkatölvupósthólf starfsmanna, eða kunna að hafa verið vistaðar í skýjalausnum á þeirra vegum, verði eytt.

Með vísan til 4. tölul. 42. gr. laga nr. 90/2018 er lagt fyrir barnaverndarnefnd Hafnarfjarðar að senda Persónuvernd lýsingu á því hvernig nefndin hyggst tryggja viðunandi öryggi við vinnslu persónuupplýsinga framvegis, sbr. m.a. 23., 24. gr. og 1. mgr. 27. gr. laga nr. 90/2018 og 24., 25. og 32. gr. reglugerðar (ESB) 2016/679.

Skal staðfesting á því að farið hafi verið að framangreindum fyrirmælum berast Persónuvernd eigi síðar en 3. júní 2022.

Persónuvernd, 3. maí 2022

Ólafur Garðarsson

formaður

Björn Geirsson                           Sindri M. Stephensen

Vilhelmína Haraldsdóttir              Þorvarður Kári Ólafsson



Var efnið hjálplegt? Nei