Vinnsla persónuupplýsinga af hálfu Reykjavíkurborgar

Mál nr. 2020010603

5.4.2023

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu Reykjavíkurborgar í máli nr. 2020010603:

I.
Málsmeðferð
1.
Almennt

Hinn 22. mars 2019 barst Persónuvernd kvörtun frá [A], f.h. [B], (hér eftir kvartandi) yfir vinnslu persónuupplýsinga um hann hjá Reykjavíkurborg. Nánar tiltekið laut kvörtunin annars vegar að öflun, skráningu og miðlun persónuupplýsinga um kvartanda af hálfu umsjónarmanns [búsetuúrræði], forstöðumanns [....], félagsráðgjafa þjónustumiðstöðvar Breiðholts, starfsmanna vettvangs- og ráðgjafarteymis (VOR-teymis) þjónustumiðstöðvar Vesturbæjar, Miðborgar og Hlíða, svo og starfsmanna velferðarsviðs Reykjavíkurborgar.

Með bréfi, dags. 12. júní 2019, óskaði Persónuvernd staðfestingar kvartanda á afmörkun umkvörtunarefnisins og fyrirhugaðri frávísun á hluta kvörtunar. Svarað var með bréfi, dags. 26. s.m., og var kvartanda tilkynnt um umrædda frávísun með bréfi Persónuverndar, dags. 14. apríl 2020. Með bréfi, dags. 15. júní 2020, var Reykjavíkurborg boðið að tjá sig um kvörtunina og bárust svör borgarinnar með bréfi, dags. 18. ágúst s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Reykjavíkurborgar með bréfi, dags. 3. september s.á, og bárust þær með bréfi frá [A], dags. 24. s.m. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó að ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Beðist er velvirðingar á töfum sem orðið hafa á meðferð málsins, m.a. vegna mikilla anna hjá Persónuvernd.

2.
Sjónarmið kvartanda

Af hálfu kvartanda er byggt á því að umsjónarmanni [búsetuúrræði], sem rekið var af Reykjavíkurborg og starfrækt frá [....] til og með [....], hafi verið óheimilt að afla og skrá persónuupplýsingar um kvartanda. Kvartandi vísar til þess að velferðarsvið Reykjavíkur hafi ekki sýnt fram á hvernig umsjónarmaður [búsetuúrræði] hafi tryggt öryggi þeirra gagna sem legið hafi fyrir um kvartanda eða hvernig varðveislu gagna hafi verið háttað. Í því sambandi vísar kvartandi til þess að umsjónarmaður [búsetuúrræði] hafi notað persónulegt netfang með endingunni „@gmail.com“ til þess að taka á móti trúnaðargögnum um kvartanda í tölvupóstum milli starfsmanna Reykjavíkurborgar þann 25. og 26. júlí 2018, en þeir voru hjálagðir með kvörtun og var umsjónarmaðurinn viðtakandi afrita af þeim. Þá er jafnframt byggt á því að umsjónarmanni [búsetuúrræði] hafi verið óheimilt að miðla persónuupplýsingum um kvartanda til VOR-teymis þjónustumiðstöðvar Vesturbæjar, Miðborgar og Hlíða og annarra dvalargesta. Vísar kvartandi m.a. til þess að umsjónarmaður [búsetuúrræði] hafi margsinnis talað um hann við aðra dvalargesti [búsetuúrræði] ásamt því að hafa verið í samskiptum við félagsráðgjafa hans, starfsmenn [....] og starfsmenn VOR-teymisins.

Kvartandi byggir einnig á því að félagsráðgjafi hans hjá þjónustumiðstöð Breiðholts hafi skráð niður óáreiðanlegar, viðkvæmar persónuupplýsingar um hann, án hans samþykkis og vitneskju, þegar hann skráði niður viðtöl sem hann hafi átt við kvartanda á tímabilinu frá apríl til júlí 2018. Þá hafi félagsráðgjafi hans miðlað óáreiðanlegum, viðkvæmum persónuupplýsingum um kvartanda til umsjónarmanns [búsetuúrræði], forstöðumanns [....], starfsmanna velferðarsviðs Reykjavíkurborgar og þjónustumiðstöðvar Vesturbæjar, Miðborgar og Hlíða, með áðurnefndum tölvupóstum þann 25. og 26. júlí 2018, án þess að kvartandi hafi verið upplýstur um það.

Þá byggir kvartandi á því að tilgreindir starfsmenn velferðarsviðs Reykjavíkurborgar og starfsmenn VOR-teymisins hafi skráð niður og miðlað persónuupplýsingum um kvartanda sín á milli og til félagsráðgjafa hans, án hans vitneskju og samþykkis. Vísar kvartandi meðal annars til þess að tilgreindir starfsmenn velferðarsviðs Reykjavíkurborgar og VOR-teymisins hafi móttekið tölvupósta frá félagsráðgjafa hans, þann 25. og 26. júlí 2018, þar sem fram hafi komið óáreiðanlegar, viðkvæmar persónuupplýsingar um kvartanda. Því geri kvartandi ráð fyrir því að framangreindir starfsmenn hafi átt í samskiptum sín á milli og við félagsráðgjafa hans, án þess að hafa haft aðkomu að málefnum hans.

Af hálfu kvartanda er ennfremur byggt á því að forstöðumanni [....], sem rekið er af Reykjavíkurborg, hafi verið óheimilt að skrá niður upplýsingar um hann og miðla þeim, með tölvupósti þann 26. júlí 2018, til félagsráðgjafa hans, umsjónarmanns [búsetuúrræði], velferðarsviðs Reykjavíkurborgar og þjónustumiðstöðvar Vesturbæjar, Miðborgar og Hlíða án þess að hann væri upplýstur um það.

3.
Sjónarmið Reykjavíkurborgar

Reykjavíkurborg vísar til þess að umsjónarmaður [búsetuúrræði] hafi starfað sem slíkur á grundvelli samnings við velferðarsvið Reykjavíkurborgar. Alls hafi sviðið gert þrjá samninga við umsjónarmanninn, dags. 23. febrúar[...], 25. maí [....] og 8. janúar [....], sem hafi grundvallast á lögum um félagsþjónustu sveitarfélaga nr. 40/1991. Skyldur umsjónarmanns hafi meðal annars verið að hafa eftirlit með þeim einstaklingum sem dvöldu í búsetuúrræði og veita þeim stuðning, ásamt því að umsjónarmaður hafi borið ákveðnar tilkynningarskyldur til velferðarsviðs Reykjavíkurborgar og lögreglu samkvæmt 4. gr. samninganna. Fram kemur af hálfu Reykjavíkurborgar að umsjónarmaður [búsetuúrræði] hafi eingöngu veitt viðeigandi starfsmönnum velferðarsviðs upplýsingar um kvartanda með munnlegum hætti. Þá er vísað til þess að velferðarsvið Reykjavíkurborgar hafi miðlað tilteknum upplýsingum til umsjónarmannsins til þess að hann gæti uppfyllt starfsskyldur sínar samkvæmt samningi og hægt væri að halda úti úrræðinu. Hins vegar hafi umsjónarmaður [búsetuúrræði] ekki farið með neina skráningu persónuupplýsinga þeirra einstaklinga sem þar dvöldu heldur hafi slík skráning farið fram af hálfu velferðarsviðs. Umsjónarmaður [búsetuúrræði] hafi þannig ekki búið yfir neinum skráðum upplýsingum um kvartanda eða varðveitt samskiptasögu, tölvupósta eða önnur gögn með persónuupplýsingum kvartanda. Þá er vísað til þess að umsjónarmaður [búsetuúrræði] hafi verið bundinn þagnarskyldu samkvæmt 42. og 43. gr. stjórnsýslulaga, nr. 37/1993, og 60. gr. laga um félagsþjónustu sveitarfélaga, nr. 40/1991, og hafi ekki orðið uppvís að því að brjóta þagnarskyldu.

Hvað varðar vinnslu persónuupplýsinga af hálfu félagsráðgjafa kvartanda vísar Reykjavíkurborg til þess að þær upplýsingar sem félagsráðgjafinn hafi skráð niður hafi verið upplýsingar um stöðu og félagssögu kvartanda sem hann hafi sjálfur veitt ráðgjafanum í viðtölum þann 30. apríl, 31. maí og 27. júlí 2018 og hafi skipt máli við úrlausn mála hans, auk munnlegra upplýsinga frá umsjónarmanni [búsetuúrræði]. Ekki er fallist á að um skráningu óáreiðanlegra persónuupplýsinga hafi verið að ræða. Reykjavíkurborg byggir einnig á því að miðlun félagsráðgjafa kvartanda á persónuupplýsingum í tölvupósti, þann 25. og 26. júlí 2018, hafi verið innan sama ábyrgðaraðila og að tilteknir starfsmenn sem fengu tölvupóstinn hafi komið að málefnum kvartanda í sambandi við dvöl hans í [búsetuúrræði].

Í svarbréfi Reykjavíkurborgar kemur einnig fram að forstöðumaður [....] hafi jafnframt verið forstöðumaður VOR-teymis þjónustumiðstöðvar Vesturbæjar, Miðborgar og Hlíða. Vísað er til þess að VOR-teymið hafi sinnt ráðgjöf og stuðningi við þá einstaklinga sem hafi dvalið í [búsetuúrræði], hafi haldið þar reglulega húsfundi og verið umsjónarmanni til ráðgjafar. Einnig er vísað til þess að velferðarsvið Reykjavíkurborgar sinni margvíslegri þjónustu og hafi þjónusta við kvartanda haft marga snertifleti á mismunandi starfsstöðvum innan sviðsins, einkum hjá þjónustumiðstöð Breiðholts, [búsetuúrræði], skrifstofu velferðarsviðs og VOR-teyminu. Af því leiði að persónuupplýsingum hafi verið miðlað milli þessara starfsstöðva í því skyni að veita lögboðna þjónustu.

Byggt er á því að framangreind vinnsla persónuupplýsinga um kvartanda af hálfu tilgreindra starfsmanna Reykjavíkurborgar hafi verið í beinum efnislegum tengslum við störf þeirra og feli í sér stuðning við einstakling sem nýti sér lögboðna þjónustu velferðarsviðs Reykjavíkurborgar samkvæmt lögum um félagsþjónustu sveitarfélaga, nr. 40/1991. Nánar tiltekið 12., 16., 17., 45. og 46. gr. laganna sem kveða á um ráðgjöf til handa þeim sem á þurfa að halda innan sveitarfélags, sem og skyldu félagsþjónustu sveitarfélaga til að tryggja íbúum sveitarfélags húsnæði í ákveðnum tilvikum. Telur Reykjavíkurborg því að vinnsla þeirra persónuupplýsinga sem kvörtunin lúti að hafi samrýmst meginreglum laga nr. 90/2018 og verið heimil samkvæmt 2. og 3. tölul. 9. gr. og 2. tölul. 11. gr. laganna.

II.
Niðurstaða
1.
Lagaskil – Gildissvið persónuverndarlaga

Kvörtun máls þessa lýtur að vinnslu persónuupplýsinga um kvartanda í tengslum við félags- og húsnæðisvanda kvartanda og dvöl hans í [búsetuúrræði], sem starfrækt var á tímabilinu frá [....] til og með [....]. Atvik málsins áttu sér stað í gildistíð eldri persónuverndarlaga, þ.e. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, en einnig í gildistíð núgildandi laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Þau lög leystu eldri lögin af hólmi hinn 15. júlí 2018. Þau lögfestu jafnframt reglugerð (ESB) 2016/679 um persónuvernd, eins og hún var aðlöguð og tekin upp í EES-samninginn. Við úrlausn málsins verður því vísað til hvors tveggja, ákvæða þágildandi og núgildandi laga, en tekið skal fram að ekki urðu neinar efnislegar breytingar með nýju lögunum á þeim reglum sem hér reynir á.

Gildissvið laga nr. 77/2000, sbr. 1. mgr. 3. gr. þeirra laga, náði til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem voru eða áttu að verða hluti af skrá. Hugtakið vinnsla var skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið var með persónuupplýsingar, hvort heldur sem vinnslan var handvirk eða rafræn, sbr. 2. tölulið sömu greinar.

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Þá er hugtakið vinnsla skilgreint í 4. tölul. 3. gr. laganna sem aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.

Af framangreindu má ráða að munnleg miðlun persónuupplýsinga, ein og sér, féll almennt hvorki undir gildissvið laga nr. 77/200 né fellur hún, samkvæmt framangreindu, almennt undir gildissvið laga nr. 90/2018 heldur þurfa upplýsingar með einhverjum hætti að vera á stafrænu eða skráðu formi.

Í máli þessu liggur fyrir að umsjónarmaður [búsetuúrræði] veitti starfsmönnum velferðarsviðs Reykjavíkurborgar upplýsingar um kvartanda með munnlegum hætti. Einnig hefur því verið lýst af hálfu kvartanda að umsjónarmaðurinn hafi margsinnis rætt trúnaðarupplýsingar um hann við aðra dvalargesti [búsetuúrræði]. Af fyrri úrskurðum Persónuverndar í málum um munnlega miðlun, sbr. t.d. mál nr. 2018010086, 2016/911 og 2015/692, sem allir voru kveðnir upp í gildistíð eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, má ráða að við úrlausn slíkra mála fer fram atviksbundið mat á því hvort persónuupplýsingar, sem miðlað er munnlega, séu í beinum, sérstökum og nægjanlegum tengslum við skrá í skilningi 3. gr. laga nr. 77/2000, sbr. nú 4. gr. laga nr. 90/2018. Ekkert liggur fyrir í þessu máli sem staðfestir að skrá hafi verið notuð við miðlun umræddra upplýsinga. Af hálfu Reykjavíkurborgar hefur því verið haldið fram að umsjónarmaður [búsetuúrræði] hafi ekki búið yfir neinum skráðum upplýsingum um kvartanda og ekki varðveitt samskiptasögu, tölvupósta eða önnur gögn með persónuupplýsingum kvartanda. Þá verður ekki séð að unnt sé að afla frekari gagna til þess að rannsaka það frekar.

Með vísan til framangreinds verður ekki talið sýnt fram á að sá þáttur kvörtunarinnar, er lýtur að vinnslu persónuupplýsinga af hálfu umsjónarmanns [búsetuúrræði], heyri undir gildissvið laga nr. 77/2000 eða laga nr. 90/2018 og valdsvið Persónuverndar, eins og það er skilgreint í lögum nr. 90/2018 og reglugerð (ESB) 2016/679. Af þeirri ástæðu er umræddum hluta kvörtunarinnar vísað frá.

Að öðru leyti lýtur kvörtunin að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

2.
Ábyrgðaraðili – Lögmæti vinnslu og öryggi

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölulið 4. gr. reglugerðarinnar, sbr. og sambærilegt ákvæði í 4. tölulið 2. gr. eldri laga nr. 77/2000. Eins og hér háttar til telst Reykjavíkurborg vera ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem til úrlausnar er, enda almennt litið svo á að ábyrgðaraðili sé hlutaðeigandi stofnun eða fyrirtæki en ekki einstaka starfsmenn, hvort sem um ræðir stjórnendur eða almenna starfsmenn.

Öll vinnsla persónuupplýsinga verður að byggjast á einhverri þeirra heimilda sem greinir í 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. 6. gr. reglugerðar (ESB) 2016/679, sbr. sambærilegt ákvæði 1. mgr. 8. gr. eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laga nr. 90/2018 og c-lið 1. mgr. 6. gr. reglugerðarinnar, sbr. ákvæði 3. tölul. 8. gr. eldri laga nr. 77/2000. Þá er vinnsla m.a. heimil sé hún nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. 9. gr. laga nr. 90/2018 og e-lið 1. mgr. 6. gr. reglugerðarinnar, sbr. 6. tölul. 8. gr. eldri laga nr. 77/2000.

Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar, sbr. 1. mgr. 9. gr. eldri laga nr. 77/2000. Samkvæmt b-lið 3. tölul. 3. gr. laga nr. 90/2018, sbr. c-lið 8. tölul. 2. gr. eldri laga nr. 77/2000, eru heilsufarsupplýsingar viðkvæmar, en af kvörtun verður ráðið að unnið hafi verið með upplýsingar um heilsufar og áfengisnotkun kvartanda. Eins og hér háttar til kemur þá einkum til skoðunar 2. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 9. gr. reglugerðarinnar, sbr. 7. tölul. 1. mgr. 9. gr. eldri laga nr. 77/2000. Samkvæmt 2. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 9. gr. reglugerðarinnar, er vinnsla viðkvæmra persónuupplýsinga heimil sé hún nauðsynleg til að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf og löggjöf um almannatryggingar og félagslega vernd og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða. Samkvæmt 7. tölul. 1. mgr. 9. gr. eldri laga nr. 77/2000 var vinnsla viðkvæmra persónuupplýsinga jafnframt heimil væri hún nauðsynleg til að krafa yrði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.

Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Í 12. gr. laga nr. 40/1991 um félagsþjónustu sveitarfélaga segir meðal annars að sveitarfélag skuli veita íbúum þjónustu og aðstoð og jafnframt tryggja að þeir geti séð fyrir sér og sínum. Aðstoð og þjónusta skuli jöfnum höndum vera til þess fallin að bæta úr vanda og koma í veg fyrir að einstaklingar og fjölskyldur komist í þá aðstöðu að geta ekki ráðið fram úr málum sínum sjálf. Þá segir í 16. gr. laganna að félagsmálanefndir skuli bjóða upp á félagslega ráðgjöf, en í henni felist m.a. að veita upplýsingar og leiðbeiningar um félagsleg réttindamál og stuðning vegna félagslegs og persónulegs vanda. Samkvæmt 17. gr. sömu laga tekur félagsleg ráðgjöf til ráðgjafar á sviði fjármála, húsnæðismála, uppeldismála, skilnaðarmála o.fl. Segir að henni skuli ætíð beitt í eðlilegu samhengi við aðra aðstoð samkvæmt lögunum og í samvinnu við aðra þá aðila sem bjóða upp á slíka þjónustu. Enn fremur er í 45. og 46. gr. laganna kveðið á um skyldu sveitarfélaga til að tryggja íbúum sínum húsnæði. Nánar tiltekið segir í 45. gr. laganna að sveitarstjórnir skulu, eftir því sem kostur er og þörf er á, tryggja framboð af leiguhúsnæði, félagslegu kaupleiguhúsnæði eða félagslegum eignaríbúðum handa þeim fjölskyldum og einstaklingum sem ekki geta með öðrum hætti séð sér fyrir húsnæði sökum lágra launa, þungrar framfærslubyrðar eða annarra félagslegra aðstæðna. Með lögum nr. 148/2019 var bætt við ákvæðið nýjum málsgreinum, m.a. um skyldu ráðherra til að gefa út leiðbeiningar til sveitarstjórna um úthlutun félagslegs íbúðarhúsnæðis á vegum sveitarfélaga og um að sveitarstjórn setti sér reglur á grundvelli þeirra leiðbeininga. Í samræmi við framangreint hefur Reykjavíkurborg sett sér reglur um félagslegt húsnæði, nr. 465/2019, sem tóku gildi hinn 7. maí 2019, þ.e. eftir að atvik þessa máls áttu sér stað. Verður því hér ekki litið til þeirra heldur þess í stað þágildandi II. kafla reglna Reykjavíkurborgar frá 24. febrúar 2004 um félagslegar leiguíbúðir og sérstakar húsaleigubætur í Reykjavík. Á meðal ákvæða þess kafla var 6. gr. reglnanna, þess efnis að aðstæður umsækjenda yrðu metnar til tiltekins fjölda stiga við mat á forgangsröðun umsókna um félagslegt leiguhúsnæði.  Í 46. gr. laga nr. 40/1991, um félagsþjónustu sveitarfélaga, segir enn fremur að félagsmálanefndir skuli sjá til þess að veita þeim fjölskyldum og einstaklingum, sem ekki eru fær um það sjálf, úrlausn í húsnæðismálum til að leysa úr bráðum vanda meðan unnið er að varanlegri lausn. Þá er í 7. gr. laganna kveðið á um heimild sveitarfélaga til að hafa samvinnu um verkefni samkvæmt lögunum, sem og önnur verkefni sem félagsþjónustunni er ætlað að sinna, og er sveitarfélögum heimilt að mynda sérstök þjónustusvæði um verkefnin, enda sé gætt að ákvæðum 5. gr. laganna og sveitarstjórnarlaga.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 1. mgr. 7. gr. eldri laga nr. 77/2000. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, sbr. 1. tölul. 1. mgr. 7. gr. eldri laga nr. 77/2000; að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum og að persónuupplýsingum, sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli eyða eða leiðrétta án tafar, sbr. 4. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og d-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. eldra ákvæði 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000; og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt, sbr. 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr. reglugerðarinnar.

Hvað snertir öryggi vísast einnig til skyldu til að viðhafa viðeigandi öryggisráðstafanir samkvæmt 1. mgr. 27. gr. laga nr. 90/2018 og nánari ákvæðum 32. gr. reglugerðar (ESB) 2016/679), sbr. 11. gr. eldri laga nr. 77/2000, sbr. og kröfu um vandaða vinnsluhætti í 1. tölul. 1. mgr. 7. gr. sömu laga. Samkvæmt umræddu ákvæði laga nr. 90/2018 og 1. mgr. 32. gr. reglugerðarinnar skulu ráðstafanir tryggja viðunandi öryggi með hliðsjón af m.a. nýjustu tækni, kostnaði, eðli vinnslu og umfangi hennar og er sérstaklega tilgreint í a-lið ákvæðis reglugerðarinnar að dulkóðun persónuupplýsinga geti verið nauðsynleg á þessum grundvelli. Þá var tekið fram í 2. mgr. 11. gr. laga nr. 77/2000 að beita skyldi ráðstöfunum sem tryggðu nægilegt öryggi miðað við áhættu af vinnslu og eðli þeirra gagna sem verja ætti, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.

3.
Niðurstaða

Ljóst er af gögnum málsins að sú vinnsla persónuupplýsinga sem kvörtunin lýtur að, af hálfu félagsráðgjafa þjónustumiðstöðvar Breiðholts, starfsmanna VOR-teymis þjónustumiðstöðvar Vesturbæjar, Miðborgar og Hlíða og velferðarsviðs Reykjavíkurborgar, fór fram í tengslum við félags- og húsnæðisvanda kvartanda og dvöl hans í [búsetuúrræði]. Þá liggur einnig fyrir að kvartandi var á biðlista eftir félagslegu leiguhúsnæði á vegum Reykjavíkurborgar.

Með lögum nr. 40/1991 var sveitarfélögum falið það hlutverk, og þar með það opinbera vald sem því tengist, að hafa samvinnu um verkefni sem félagsþjónustunni er ætlað að sinna, þ. á m. að tryggja íbúum þess húsnæði og leysa úr bráðum húsnæðisvanda einstaklinga meðan unnið er að varanlegri lausn. Leggja verður til grundvallar að þegar umrædd vinnsla persónuupplýsinga átti sér stað hafi Reykjavíkurborg verið lögheimilissveitarfélag kvartanda í samræmi við 4. gr. laga um lögheimili og aðsetur, nr. 80/2018, sbr. sambærilegt ákvæði eldri laga um lögheimili nr. 21/1990, en þar er m.a. mælt fyrir um skráningu lögheimilis í því sveitarfélagi þar sem viðkomandi hefur átt a.m.k. þriggja mánaða samfellda búsetu ef ekki verður með öðrum hætti skorið úr um óvissu í þeim efnum. Af ákvæðum laga um félagsþjónustu sveitarfélaga verður því ekki annað ráðið en að Reykjavíkurborg hafi verið heimil vinnsla upplýsinga um kvartanda í þeim tilgangi að veita honum félagsþjónustu og reyna að leysa úr húsnæðisvanda hans, sbr. 3. og 5. tölul. 9. gr. laga nr. 90/2018, sbr. c- og e-liði 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. sambærileg ákvæði 3. og 6. tölul. 1. mgr. 8. gr. eldri laga nr. 77/2000. Þá verður talið að fullnægt hafi verið skilyrði 2. tölul. 1. mgr. 11. gr. laganna og b-liðar 2. mgr. 9. gr. reglugerðarinnar, sbr. ákvæði 7. tölul. 1. mgr. 9. gr. eldri laga nr. 77/2000.

Líkt og að framan greinir verður vinnsla persónuupplýsinga einnig að samrýmast öllum meginreglum persónuverndarlöggjafarinnar. Meðal annars er kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðarinnar, sbr. 1. tölul. 1. mgr. 7. gr. eldri laga nr. 77/2000. Fram hefur komið af hálfu kvartanda að hann hafi ekki haft vitneskju um að félagsráðgjafi hans myndi skrá niður viðkvæmar persónuupplýsingar um hann sem fram komu í viðtölum þeirra, auk þess sem kvartandi telur persónuupplýsingarnar hafa verið óáreiðanlegar. Fyrir liggur að félagsráðgjafi kvartanda skráði niður upplýsingar úr viðtölum við kvartanda, þann 30. apríl, 31. maí og 27. júlí 2018, en þær lúta m.a. að högum hans, húsnæðisvanda og áfengisnotkun. Að sögn Reykjavíkurborgar voru upplýsingarnar fengnar frá kvartanda sjálfum og frá umsjónarmanni [búsetuúrræði] með munnlegum hætti.

Krafan um sanngjarna og gagnsæja vinnslu persónuupplýsinga felur m.a. í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað, þær notaðar, skoðaðar eða unnar á annan hátt. Einnig á þeim að vera ljóst að hvaða marki persónuupplýsingar eru eða munu verða unnar. Til að meta hvort skilyrðið um gagnsæi hafi verið uppfyllt við vinnslu persónuupplýsinga getur þurft að líta til ákvæða um fræðsluskyldu, sbr. 17. gr. laga nr. 90/2018 og 12.-14. gr. reglugerðar (ESB) 2016/679, sbr. og ákvæða 20. og 21. gr. eldri laga nr. 77/2000, og eftir atvikum til ákvæða annarra laga.

Þegar persónuupplýsinga er aflað hjá hinum skráða fer um fræðsluskyldu samkvæmt 13. gr. reglugerðarinnar, sbr. ákvæði 20. gr. eldri laga nr. 77/2000, og þegar persónuupplýsinga er aflað annars staðar frá fer um fræðsluskyldu samkvæmt 14. gr. reglugerðarinnar, sbr. ákvæði 21. gr. eldri laga nr. 77/2000. Fræðsluskylda ábyrgðaraðila, þ.e. skyldan til að veita hinum skráða upplýsingar um vinnslu persónuupplýsinga hans, á almennt við óháð þeim lagagrundvelli sem vinnslan byggist á.

Samkvæmt 4. mgr. 13. gr. reglugerðar (ESB) 2016/679, sbr. ákvæði 2. mgr. 20. gr. eldri laga nr. 77/2000, er fræðsluskylda ábyrgðaraðila hins vegar ekki til staðar ef og að því marki sem hinn skráði hefur þegar fengið vitneskju um þau atriði sem upplýsa ber um á grundvelli ákvæðisins. Þá segir í c-lið 5. mgr. 14. gr. reglugerðarinnar að fræðsluskylda samkvæmt ákvæðinu sé ekki til staðar ef og að því marki sem skýrt er mælt fyrir um öflun eða miðlun upplýsinganna í lögum aðildarríkis sem ábyrgðaraðili heyrir undir og sem kveða á um viðeigandi ráðstafanir til að vernda lögmæta hagsmuni hins skráða. Í ákvæði 3. tölul. 4. mgr. 21. gr. eldri laga nr. 77/2000 var einnig kveðið á um að fræðsluskylda samkvæmt ákvæðinu væri ekki til staðar ef lagaheimild stæði til skráningar eða miðlunar upplýsinganna.

Eins og hér háttar til reynir á ákvæði 27. gr. upplýsingalaga nr. 140/2012. Samkvæmt 1. mgr. þeirrar greinar skulu stjórnvöld, við meðferð mála þar sem taka á ákvörðun um rétt eða skyldu manna, skrá upplýsingar um málsatvik sem veittar eru munnlega eða viðkomandi fær vitneskju um með öðrum hætti ef þær hafa þýðingu fyrir úrlausn máls og er ekki að finna í öðrum gögnum. Í sömu málsgrein segir einnig að hið sama eigi við um helstu ákvarðanir um meðferð máls og helstu forsendur ákvarðana, enda komi þær ekki fram í öðrum gögnum málsins. Þá segir í 2. mgr. umræddrar greinar að stjórnvöld skuli að öðru leyti gæta þess að haldið sé til haga mikilvægum upplýsingum, m.a. um samskipti við almenning og önnur stjórnvöld, svo sem með skráningu fundargerða og minnisblaða.

Samkvæmt þessu verður að telja umrætt ákvæði upplýsingalaga fela í sér beina skyldu félagsráðgjafa, sem og annarra starfsmanna velferðarsviðs Reykjavíkurborgar, til að skrá niður upplýsingar úr viðtölum við notendur félagsþjónustu í tengslum við veitingu á félagslegri ráðgjöf og við mat á aðstæðum umsækjanda um félagslegt leiguhúsnæði til tiltekinna fjölda stiga, samkvæmt lögum nr. 40/1991 um félagsþjónustu sveitarfélaga og reglum Reykjavíkurborgar um félagslegt húsnæði nr. 456/2019, áður reglur Reykjavíkurborgar um félagslegar leiguíbúðir frá 24. febrúar 2004.

Með vísan til framangreinds verður litið svo á að kvartandi hafi fengið vitneskju um vinnslu þeirra persónuupplýsinga sem kvörtunin lýtur að á þeim grundvelli að hún hafi átt sér stoð í gildandi lögum. Jafnframt telur Persónuvernd að almennt megi þeim sem leita til stjórnvalda vera ljóst að það sé þáttur í málsmeðferð þeirra að skrá helstu upplýsingar um mál, þ. á m. það sem fram kemur á fundum og í viðtölum. Með vísan til framangreinds er það niðurstaða persónuverndar að Reykjavíkurborg hafi ekki þurft að fræða kvartanda sérstaklega um framangreinda vinnslu persónuupplýsinga þar sem undanþáguákvæði 4. mgr. 13. gr. og 5. mgr. 14. gr. reglugerðarinnar, sbr. ákvæði 2. mgr. 20. gr. og 4. mgr. 21. gr. eldri laga nr. 70/2000, hafi átt við. Með vísan til framangreinds verður að telja umrædda vinnslu persónuupplýsinga hafa verið sanngjarna og gagnsæja gagnvart hinum skráða. 

Ákvæði 4. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og d-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. eldra ákvæði 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000, mælir fyrir um að við vinnslu persónuupplýsinga skuli þess gætt að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en að persónuupplýsingum, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli eytt eða þær leiðréttar án tafar. Í samræmi við þessa kröfu eiga skráðir einstaklingar jafnframt rétt til að fá óáreiðanlegar persónuupplýsingar um sig leiðréttar, sbr. 1. mgr. 20. gr. laga nr. 90/2018, samkvæmt nánari fyrirmælum 16. gr. reglugerðar (ESB) 2016/679, sbr. sambærilegt ákvæði 1. mgr. 25. gr. eldri laga nr. 77/2000. Ekki liggja fyrir upplýsingar í málinu um að kvartandi hafi leitað til Reykjavíkurborgar og lagt fram beiðni um leiðréttingu skráðra upplýsinga, á grundvelli 1. mgr. 20. gr. laga nr. 90/2018. Í ljósi þess verður ekki talið að til staðar sé ágreiningur um leiðréttingu persónuupplýsinga sem skera þurfi úr um en kvartanda er leiðbeint um rétt sinn samkvæmt framangreindu. Þá skal tekið fram að leiðréttingu í þessum efnum verður hér að skoða í ljósi laga nr. 77/2014 um opinber skjalasöfn, en samkvæmt þeim lögum er m.a. sveitarfélögum skylt að varðveita skjöl sín að því marki sem annað er ekki heimilað sérstaklega samkvæmt samþykkt þjóðskjalavarðar, reglum sem Þjóðskjalasafn Íslands setur eða sérstökum lagaákvæðum, sbr. 24. gr. laganna. Í þessu verða talin felast takmörk við breytingu skjala, sbr. og 4. mgr. 22. gr. laganna, og verður leiðréttingu því eftir atvikum að koma við með öðrum hætti, svo sem með því að varðveita athugasemd frá hinum skráða ásamt skjali sem hann telur hafa að geyma óáreiðanlegar upplýsingar.

Hvað varðar vinnslu persónuupplýsinga um kvartanda er fram komu í tölvupóstum milli starfsmanna velferðarsviðs Reykjavíkurborgar, þann 25. og 26. júlí 2018, skal tekið fram að ábyrgðaraðili vinnslunnar, í þessu tilviki Reykjavíkurborg, ber ábyrgð á störfum og verkefnum stjórnenda og starfsmanna gagnvart hinum skráða. Líkt og fram kemur í kafla II.2. hér að framan er ábyrgðaraðili vinnslu persónuupplýsinga almennt sú stofnun eða fyrirtæki sem um ræðir en ekki einstakir starfsmenn, og teljast þeir þannig ekki til þriðju aðila heldur starfsmanna innan sama ábyrgðaraðila. Þá verður ekki talið að umsjónarmaður [búsetuúrræði], sem var viðtakandi afrita af póstunum, hafi talist til þriðja aðila, en efni þeirra tengdist störfum hans á grundvelli sérstaks samnings við Reykjavíkurborg. Eins og hér háttar til reynir því ekki á 13. og 14. gr. reglugerðar (ESB) 2016/679 þannig að upplýsa hefði þurft kvartanda um vinnslu persónuupplýsinganna á grundvelli þeirra ákvæða. Þá hefur komið fram í svörum Reykjavíkurborgar að allir þeir starfsmenn sem fengu umrædda tölvupósta höfðu aðkomu að málefnum kvartanda í sambandi við veitingu á félagsþjónustu og í sambandi við dvöl hans í [búsetuúrræði]. Verður í ljósi þess og annars framangreinds því ekki séð að upplýsingar hafi verið sendar óviðkomandi þannig að brotið hafi verið gegn kröfum um sanngirni og meðalhóf, sbr. 1. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a- og c-liði 1. mgr. 5. gr. reglugerðarinnar.

Persónuvernd telur hins vegar verða að líta til þess að í tölvupóstunum var notast við gmail-netfang umsjónarmanns [búsetuúrræði]. Í ljósi þess að samskiptin lutu að viðkvæmum málefnum verður það verklag ekki talist hafa samrýmst þeim kröfum sem gera verður til öryggis persónuupplýsinga, sbr. 6. tölul. 1. mgr. 8. gr. og 1. mgr. 27. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr. og 32. gr. reglugerðarinnar.

Með vísan til framangreinds er það mat Persónuverndar að vinnsla Reykjavíkurborgar á persónuupplýsingum kvartanda hafi stuðst við fullnægjandi lagaheimildir og samrýmst gagnsæiskröfum en að brotið hafi verið gegn kröfunni um fullnægjandi upplýsingaöryggi.

Ú r s k u r ð a r o r ð:

Vísað er frá þeim hluta kvörtunar er snýr að vinnslu persónuupplýsinga um [B] af hálfu umsjónarmanns [búsetuúrræði].

Vinnsla Reykjavíkurborgar á persónuupplýsingum, þ. á m. heilsufarsupplýsingum, um [B] samrýmdist ekki kröfum til öryggis persónuupplýsinga samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Persónuvernd, 5. apríl 2023

Þórður Sveinsson                       Bjarni Freyr Rúnarsson