Vinnsla persónuupplýsinga og afgreiðsla á aðgangsbeiðni hjá stéttarfélagi

Mál nr. 2020010704

3.5.2022

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga og efnislegri afgreiðslu aðgangs- og upplýsingabeiðni af hálfu [stéttarfélagsins X] í máli nr. 2020010704 (áður 2019122294):

I.
Málsmeðferð

Hinn 6. desember 2019 barst Persónuvernd kvörtun frá [A] (lögmanni kvartanda) fyrir hönd [B] (hér eftir nefnd kvartandi). Laut kvörtunin annars vegar að því að persónuupplýsingar kvartanda, sem er fyrrverandi starfsmaður og stjórnarmaður í [stéttarfélaginu X] , um stéttarfélagsaðild hennar og annarra félagsmanna hefðu verið gerðar aðgengilegar óviðkomandi aðilum. Hins vegar laut kvörtunin að því að kvartandi hefði hvorki fengið upplýsingar um vinnslu á persónuupplýsingum um sig né aðgang að öllum þeim persónuupplýsingum um hana, sem [X] vann með, í samræmi við beiðni hennar þar að lútandi. Með kvörtuninni fylgdu meðal annars skrifleg samskipti málsaðila, þar á meðal upplýsinga- og aðgangsbeiðni kvartanda og svar [X] við beiðninni.

Persónuvernd bauð [stéttarfélaginu X] að tjá sig um kvörtunina, auk þess sem stofnunin óskaði tiltekinna upplýsinga frá félaginu, með bréfi, dags. 18. nóvember 2020. Svarað var af hálfu [X] með bréfi, dags. 8. janúar 2021. Persónuvernd ítrekaði hluta beiðni sinnar um upplýsingar frá félaginu með bréfi, dags. 25. júní s.á. Svarað var af hálfu [X] með bréfi, dags. 9. september s.á.

Með bréfi, dags. 30. september 2021, var lögmanni kvartanda veittur kostur á að koma á framfæri athugasemdum við svör [X]. Bárust þær í bréfi, dags. 5. nóvember 2021.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.

___________________

Mál þetta varðar að mati Persónuverndar annars vegar öryggi við vinnslu persónuupplýsinga af hálfu [stéttarfélagsins X] , þ.e. að óviðkomandi aðilar hafi í heimildarleysi fengið aðgang að þeim. Hins vegar er uppi ágreiningur um afgreiðslu félagsins á aðgangs- og upplýsingabeiðni kvartanda.

Í málsgögnum kemur fram að gögn, sem meðal annars geymdu upplýsingar um stéttarfélagsaðild kvartanda og annarra félagsmanna [X], hafi verið varðveitt af hálfu starfsmanna [X] í möppu á Google Drive. Meðal umræddra gagna voru félagatal [X] með upplýsingum um nálægt 25.000 félagsmenn, listi yfir trúnaðarmenn og aðrir listar yfir hópa innan stéttarfélagsins. Kvartandi hafi látið af störfum hjá [X] í mars 2019 og af stjórnarsetu nokkrum mánuðum síðar, en um það leyti sem hún lét af störfum hafi annar starfsmaður, sem einnig lét af störfum hjá [X] í lok mars 2019, yfirfært stjórnunarréttindi að umræddri möppu yfir á kvartanda. Þau réttindi hafi hún haft þar til í september sama ár, skömmu áður en hún lét af stjórnarsetu í félaginu.

___________________

Kvartandi vísar til þess að í september 2019 hafi henni verið gefið að sök að hafa vanrækt að upplýsa forsvarsmenn félagsins um að henni hefðu verið fengin stjórnunarréttindi að umræddri möppu á Google Drive. Þá hafi því verið haldið fram af hálfu forsvarsmanna félagsins að gögn um stéttarfélagsaðild kvartanda og annarra félagsmanna hafi verið gerð aðgengileg óviðkomandi aðilum og að í því fælist öryggisbrestur sem væri tilkynningarskyldur til Persónuverndar samkvæmt 27. gr. laga nr. 90/2018. Kvartandi hafi verið sökuð um að hafa átt þar hlut að máli.

Kvartandi vísar jafnframt til þess að henni hafi ekki verið ljóst strax í byrjun að stjórnunarréttindi að möppunni hefðu verið færð yfir á hana. Hún hafi ekki búið möppuna til sjálf og hún hafi auk þess ekki séð nein sönnunargögn um að utanaðkomandi aðilar hafi fengið aðgang að henni. Hún hafi hins vegar sjálf, ásamt öðrum stjórnarmönnum og starfsfólki [X], notað þessi gögn við störf sín. Bæði stjórn og starfsfólki hafi því mátt vera fullkunnugt um tilvist og innihald möppunnar.

Kvartandi óskar þess að Persónuvernd staðreyni fullyrðingar forsvarsmanna [X] um að upplýsingar um stéttarfélagsaðild kvartanda og annarra félagsmanna hafi verið gerðar aðgengilegar óviðkomandi aðilum, og þá hverjum. Hún eigi sérstakra hagsmuna að gæta af því að það verði rannsakað þar sem hún hafi verið sökuð um að hafa átt þátt í meintu misferli tengdu þessum gögnum.

Þá byggir kvartandi á því að hún hafi með bréfi til [X], dags. 3. október 2019, óskað eftir upplýsingum um vinnslu persónuupplýsinga hennar af hálfu félagsins, auk aðgangs að persónuupplýsingunum, með vísan til 2. mgr. 17. gr. laga nr. 90/2018. Félagið hafi svarað beiðni hennar með bréfi, dags. 13. nóvember s.á., á þá leið að það hefði engar persónuupplýsingar um hana til vinnslu. Það fái að mati kvartanda ekki staðist í ljósi stjórnarsetu hennar í félaginu og sökum þess að um hana hafi verið fjallað í fundargerðum stjórnar, sem henni hafi verið meinaður aðgangur að.

___________________

Af hálfu [stéttarfélagsins X] hefur komið fram að áðurnefnd gögn hafi verið varðveitt af hálfu fyrrverandi starfsmanna og sjálfboðaliða félagsins á Google Drive án heimildar og vitneskju stjórnenda þess. Kvartanda hafi í heimildarleysi verið veittur aðgangur að umræddum gögnum, og þar með upplýsingum um aðra einstaklinga. Ljóst er af svörum [X] að félagið telur þessa varðveislu gagnanna og aðgang kvartanda að þeim öryggisbrest í skilningi persónuverndarlaga sem hafi þó ekki verið skylt að tilkynna Persónuvernd um með skriflegum hætti. Stofnuninni hafi þó verið gert viðvart um öryggisbrestinn með símtali 9. september 2019. Félagið hafi gripið til aðgerða í því skyni að endurheimta gögnin, loka umræddum aðgangi á Google Drive og takmarka aðgang óviðkomandi aðila að gögnunum. Þá hafi verið farið yfir reglur um vistun gagna með öllum starfsmönnum félagsins og meðal annars tiltekið að vistun þeirra í skýjalausnum á borð við Google Drive væri ekki samþykkt verklag hjá félaginu. Þær ráðstafanir sem gripið var til hafi verið taldar nægja til að stemma stigu við allri mögulegri áhættu fyrir réttindi og frelsi einstaklinga og því hafi verið ákveðið að senda ekki inn skriflega tilkynningu um öryggisbrest til Persónuverndar.

Hvað síðara umkvörtunarefnið varðar telur [X] að kvartandi hafi haft greiðan aðgang að öllum persónuupplýsingum sem tengdust almennri félagsaðild hennar í rafrænni gátt á vefsíðu félagsins. Félagið hafi hins vegar ekki álitið beiðni kvartanda varða aðgang að þessum upplýsingum. Í ljósi þess að engin ítrekun, viðbrögð eða nánari skýringar hafi borist félaginu frá kvartanda hafi verið gert ráð fyrir því að skilningur þess á beiðninni hafi verið réttur. Þá hafi kvartandi haft greiðan aðgang að fundargerðum stjórnar félagsins sem stjórnarmaður. Ekki sé kunnugt um að til staðar séu frekari persónuupplýsingar um kvartanda. [X] vísar jafnframt til þess að félagið hafi sett sér persónuverndarstefnu og verklagsreglur sem séu aðgengilegar á vefsíðu þess.

II.
Niðurstaða
1.
Afmörkun máls – Frávísun að hluta

Mál þetta lýtur meðal annars að öryggi persónuupplýsinga, í ljósi þess að kvartandi hefur staðhæft að [X] hafi í heimildarleysi miðlað persónuupplýsingum um kvartanda og aðra félagsmenn, meðal annars um stéttarfélagsaðild þeirra, til óviðkomandi aðila.

Samkvæmt 1. málsl. 2. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga hefur sérhver skráður einstaklingur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við reglugerð (ESB) 2016/679 eða ákvæði laganna. Úrskurðar Persónuvernd þá um hvort brot hafi átt sér stað. Tilvitnað ákvæði ber að skýra með hliðsjón af skilyrðum um aðild að stjórnsýslumáli samkvæmt meginreglum stjórnsýsluréttarins. Af þeim leiðir að til þess að maður verði talinn eiga aðild að stjórnsýslumáli hjá Persónuvernd þarf hann að uppfylla skilyrði um að eiga beinna, verulegra, sérstakra og lögvarinna hagsmuna að gæta af úrlausn þess. Af samspili þessara reglna leiðir að Persónuvernd getur almennt aðeins tekið til efnislegrar úrlausnar kvartanir sem stafa frá skráðum einstaklingum eða umboðsmönnum þeirra.

Kvartandi hefur ekki lagt fram umboð frá öðrum félagsmönnum [X] til að leggja fram kvörtun vegna vinnslu persónuupplýsinga þeirra. Þá verður ekki séð að kvartandi eigi hagsmuna að gæta af úrlausn stofnunarinnar um lögmæti vinnslu persónuupplýsinga um aðra en hana sjálfa. Verður hún samkvæmt því ekki talin fullnægja skilyrðum um aðildarstöðu samkvæmt meginreglum stjórnsýsluréttar vegna þessa umkvörtunarefnis. Er þessum þætti kvörtunarinnar því vísað frá.

2.
Gildissvið - Ábyrgðaraðili

Mál þetta lýtur að vinnslu og öryggi persónuupplýsinga um stéttarfélagsaðild og afgreiðslu á aðgangs- og upplýsingabeiðni. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 reglugerðar (ESB) 2016/679 og þar með valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðarinnar. Telst [stéttarfélagið X] vera ábyrgðaraðili að umræddri vinnslu, í skilningi laganna og reglugerðarinnar.

3.
Upplýsingaöryggi

Sem fyrr greinir lýtur mál þetta í fyrsta lagi að þeirri staðhæfingu kvartanda að [X] hafi gert persónuupplýsingar hennar, meðal annars um aðild hennar að félaginu, aðgengilegar óviðkomandi aðilum.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679, og samrýmast meginreglum 1. mgr. 8. gr. laganna, sbr. 1. mgr. 5. gr. reglugerðarinnar. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul. lagaákvæðisins og f-liður reglugerðarákvæðisins). Við mat á því hvort vinnsla persónuupplýsinga samrýmist þessu ákvæði getur eftir atvikum þurft að líta til annarra ákvæða löggjafarinnar. Þannig segir meðal annars í 2. mgr. 32. gr. reglugerðarinnar að þegar viðunandi öryggi er metið skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, meðal annars að því er varðar geymslu persónuupplýsinga og að veittur sé aðgangur að þeim í leyfisleysi.

Af skýringum [X] verður ráðið að sú vinnsla persónuupplýsinga, sem til umfjöllunar er í þessu máli, hafi falist í því að upplýsingar um kvartanda, og aðra félagsmenn, hafi verið varðveittar í möppu á Google Drive sem fyrrverandi starfsmenn og sjálfboðaliðar hjá félaginu hafi haft aðgang að eftir að þeir létu af störfum fyrir félagið, þar á meðal kvartandi. Á hinn bóginn liggur ekkert fyrir um það í málinu að upplýsingarnar hafi verið gerðar aðgengilegar öðrum. Þá er til þess að líta að samkvæmt fyrirliggjandi svörum [X] í málinu taldi félagið þær ráðstafanir sem það greip til vegna framangreinds nægja til að stemma stigu við allri mögulegri áhættu fyrir réttindi og frelsi einstaklinga.

Jafnframt liggur fyrir sú afstaða [X] að félagið telji framangreinda vistun gagnanna á Google Drive hafa falið í sér öryggisbrest í skilningi persónuverndarlöggjafarinnar. Að mati Persónuverndar felst í því viðurkenning á að viðeigandi öryggi persónuupplýsinga kvartanda hafi ekki verið tryggt í skilningi 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, eins og ákvæðin verða skýrð með hliðsjón af 2. mgr. 32. gr. reglugerðarinnar. Loks hefur því ekki verið haldið fram af hálfu [X] að heimild hafi verið fyrir þessari vinnslu samkvæmt 9. gr. laganna, sbr. 6. gr. reglugerðarinnar, né að uppfyllt hafi verið skilyrði samkvæmt 11. gr. laganna, sbr. 9. gr. reglugerðarinnar.

Með vísan til alls framangreinds telur Persónuvernd að leggja verði til grundvallar að sú vinnsla persónuupplýsinga sem hér er til umfjöllunar hafi ekki samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Með hliðsjón af þeim ráðstöfunum sem félagið hefur þegar gripið til í því skyni að tryggja viðeigandi öryggi umræddra upplýsinga telur Persónuvernd ekki þörf á að beina sérstökum fyrirmælum til [X] vegna framangreinds brots.

4.
Afgreiðsla aðgangs- og upplýsingabeiðni

Málið varðar í öðru lagi efnislega afgreiðslu [stéttarfélagsins X] á aðgangs- og upplýsingabeiðni kvartanda.

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á hinn skráði rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálfum eða ekki, svo og rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.-15. gr. reglugerðar (ESB) 2016/679. Ábyrgðaraðili skal gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynningar til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðarinnar svo að hann geti neytt upplýsingaréttar síns og réttar til aðgangs, sbr. 1. mgr. lagaákvæðisins.

Samkvæmt 1. mgr. 15. gr. reglugerðar (ESB) 2016/679 skal skráður einstaklingur eiga rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar er varða hann sjálfan og, ef svo er, rétt til aðgangs að persónuupplýsingunum og að upplýsingum um tiltekin atriði, sbr. nánar stafliði ákvæðisins. Ábyrgðaraðila ber að láta í té afrit af þeim persónuupplýsingum sem eru í vinnslu, sbr. 3. mgr. sömu greinar.

Ljóst er af gögnum málsins að aðgangs- og upplýsingabeiðni kvartanda var afgreidd af hálfu [X] með svari um að félagið ynni ekki með persónuupplýsingar hennar. Við rannsókn málsins hefur félagið hins vegar gengist við því að vinna með persónuupplýsingar kvartanda, bæði varðandi almenna félagsaðild hennar en einnig varðandi setu hennar í stjórn félagsins.

[X] hefur byggt á því að kvartandi hafi haft aðgang að hluta persónuupplýsinga sinna í rafrænni gátt félagsins og að fundargerðir stjórnar félagsins frá stjórnarsetu hennar hafi verið henni aðgengilegar. Loks hefur félagið vísað til þess að upplýsingar um vinnslu persónuupplýsinga megi nálgast á vefsíðu þess.

Í svari [X] við aðgangs- og upplýsingabeiðni kvartanda var henni hvorki leiðbeint um hvar hún gat nálgast persónuupplýsingar sínar varðandi almenna félagsaðild hennar né voru henni þar veittar upplýsingar um vinnslu persónuupplýsinga, svo sem með tilvísun á persónuverndarstefnu á vefsíðu félagsins. Þá hefur félagið ekki sýnt fram á með hvaða hætti fundargerðir stjórnar voru gerðar kvartanda aðgengilegar. Að þessu gættu telur Persónuvernd ekki unnt að leggja til grundvallar að beiðni kvartanda hafi verið afgreidd efnislega í samræmi við ákvæði 1. og 3. mgr. 15. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018.

Í samræmi við þessa niðurstöðu, og með vísan til 3. tölul. 42. gr. laga nr. 90/2018, er lagt fyrir [X] að veita kvartanda upplýsingar um þá vinnslu persónuupplýsinga hennar sem félagið hefur með höndum, sbr. 1. mgr. 15. gr. reglugerðar (ESB) 2016/679. Með vísan til sama ákvæðis er jafnframt lagt fyrir [X] að láta kvartanda í té afrit af þeim persónuupplýsingum hennar sem félagið hefur til vinnslu, sbr. 3. mgr. reglugerðarákvæðisins. Eigi síðar en þann 3. júní 2022 skal [X] senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum.

Ú r s k u r ð a r o r ð:

Vísað er frá þeim þætti kvörtunar kvartanda [B] sem lýtur að vinnslu [stéttarfélagsins X] á persónuupplýsingum um aðra félagsmenn en hana sjálfa.

Vinnsla [stéttarfélagsins X] með persónuupplýsingar um stéttarfélagsaðild kvartanda samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, um upplýsingaöryggi.

Afgreiðsla [stéttarfélagsins X] á aðgangs- og upplýsingabeiðni kvartanda samrýmdist ekki lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Lagt er fyrir [stéttarfélagið X] að veita kvartanda upplýsingar um vinnslu persónuupplýsinga hennar af hálfu félagsins, sbr. 1. mgr. 15. gr. reglugerðar (ESB) 2016/679. Jafnframt er lagt fyrir [stéttarfélagið X] að láta kvartanda í té afrit af þeim persónuupplýsingum hennar sem félagið hefur haft til vinnslu, sbr. 3. mgr. reglugerðarákvæðisins. Skal félagið senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum eigi síðar en 3. júní 2022.

Persónuvernd, 3. maí 2022

Ólafur Garðarsson

Björn Geirsson                                  Sindri M. Stephensen

Vilhelmína Haraldsdóttir                       Þorvarður Kári Ólafsson