Vinnsla viðkvæmra persónuupplýsinga af hálfu lögmanns Icelandair, Icelandair ehf., Global Aerospace Underwriting og Holman Fenwick Willan LLP

Mál nr. 2020092335

7.2.2023

Úrskurður

um kvörtun yfir vinnslu viðkvæmra persónuupplýsinga af hálfu [C] lögmanns, Icelandair ehf., Global Aerospace Underwriting og Holman Fenwick Willan LLP í máli nr. 2020092335:

I.
Málsmeðferð
1.
Tildrög máls

Hinn 10. september 2020 barst Persónuvernd kvörtun frá [B] lögmanni, fyrir hönd [A] (hér eftir kvartandi), yfir vinnslu viðkvæmra persónuupplýsinga um hana af hálfu lögmanns Icelandair ehf. (hér eftir Icelandair) Laut kvörtunin að því að miðlað hefði verið gögnum, sem hefðu innihaldið persónuupplýsingar um kvartanda (þ.m.t. um heilsufar hennar), til sérfræðings í Bandaríkjunum, án hennar samþykkis og vitundar, í tengslum við mál vegna dómkvaðningar matsmanna sem kvartandi höfðaði á hendur Icelandair.

Kvörtuninni var upphaflega eingöngu beint að [C] lögmanni (hér eftir lögmaður Icelandair), en hann gætti hagsmuna Icelandair í matsmáli því sem kvartandi höfðaði á hendur félaginu. Persónuvernd bauð lögmanni Icelandair að tjá sig um kvörtunina með bréfi, dags. 25. júní 2021. Svör bárust frá lögmanni hans, [D], með bréfi, dags. 16. júlí s.á. Með bréfi, dags. 19. október s.á, upplýsti Persónuvernd lögmann kvartanda um að með hliðsjón af efni svarbréfs lögmanns Icelandair teldi stofnunin geta komið til álita að Icelandair, og eftir atvikum tryggingafélag fyrirtækisins, teldist ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem kvörtunin laut að. Með tölvupósti, þann 27. október s.á., staðfesti lögmaður kvartanda að kvörtuninni væri jafnframt beint að umræddum aðilum. Með bréfi, dags. 11. mars 2022, var Icelandair tilkynnt um kvörtunina og boðið að tjá sig um hana. Svör Icelandair bárust með bréfi, dags. 31. s.m. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Icelandair og lögmanns fyrirtækisins með bréfi, dags. 31. maí s.á., og bárust þær með bréfi frá lögmanni kvartanda, dags. 20. júní s.á.

Með tölvupósti, dags. 25. nóvember 2022, upplýsti Persónuvernd lögmann kvartanda um að með hliðsjón af efni svarbréfs Icelandair teldi stofnunin geta komið til álita að bæði aðaltryggjandi vátryggingar Icelandair, Global Aerospace Underwriting (hér eftir Global Aerospace) og lögmannsstofa vátryggingarfélagsins, Holman Fenwick Willan LLP (hér eftir HFW), teldust ábyrgðaraðilar þeirrar vinnslu persónuupplýsinga sem kvörtunin laut að. Lögmaður kvartanda staðfesti með tölvupósti samdægurs að kvörtuninni væri jafnframt beint að framangreindum aðilum. Með bréfum, dags. 28. s.m. var Global Aerospace og HFW tilkynnt um kvörtunina og boðið að tjá sig um hana. Í bréfunum var tekið fram að bærust svör ekki innan tilskilins frests yrði litið svo á að svör annarra aðila sem kvörtun var beint að tækju jafnframt til Global Aerospace og HFW. Svör HFW bárust með bréfi, dags 12. desember s.á. Engin svör bárust frá Global Aerospace. Ekki var talin sérstök þörf á að veita kvartanda kost á að koma á framfæri athugasemdum við svör HFW en svörin voru efnislega samhljóða svörum Icelandair og lögmanns fyrirtækisins, sem kvartandi hafði áður tekið afstöðu til.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd sem og vegna þess að kvörtuninni var á síðari stigum beint að fleiri aðilum en gert var í upphaflegri kvörtun.

2.
Sjónarmið kvartanda

Kvartandi vísar til þess að hún telji sig hafa orðið fyrir eitrun við störf sín sem flugfreyja hjá Icelandair sem hún rekur til lélegra loftgæða í flugvél. Kvartandi hafi óskað eftir því að dómkvaddir yrðu óvilhallir matsmenn til þess að meta orsakatengsl milli einkenna hennar og eitrunar í flugvél Icelandair. Sú dómkvaðning hafi farið fram og Icelandair verið matsþoli. Í því skyni hafi kvartandi m.a. leitað til sérfræðings í [...], sem hafi sérhæft sig í téðum loftgæðatilvikum, og hafi þar gengist undir viðamiklar rannsóknir. Niðurstaða sérfræðingsins í [...] hafi verið sú að einkenni kvartanda hafi samsvarað [...]. Á matsfundi, þann 24. júní 2020, hafi lögmaður Icelandair lagt fram skýrslu frá eiturefnasérfræðingi í Bandaríkjunum á vegum Icelandair. Kvartanda hafi þá orðið ljóst að allar rannsóknarniðurstöður hennar og viðkvæm læknisfræðileg gögn frá sérfræðingnum í [...] hefðu verið send til Bandaríkjanna, án hennar vitundar og samþykkis.

Kvartandi byggir á því að sú vinnsla persónuupplýsinga sem kvartað er yfir hafi verið óheimil og ekki hafi verið fyrir hendi sérstök skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga samkvæmt 11. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Þá hafi ekki verið gætt meðalhófs, sanngirnis og gagnsæis við vinnsluna í samræmi við þær meginreglur sem koma fram í 8. gr. laganna.

Kvartandi telur einnig að fræðsluskylda hafi verið vanrækt en samkvæmt 13. gr. reglugerðar (ESB) 2016/679 eigi fræðsluskyldan við óháð þeim lagagrundvelli sem vinnsla persónuupplýsinga byggist á. Kvartanda hafi ekki á neinu stigi málsins verið gefinn kostur á að tjá sig um eða yfirhöfuð gefnar upplýsingar um fyrirhugaða vinnslu. Byggt er á því að ekki hafi verið höfðað eiginlegt dómsmál, heldur hafi kvartandi aðeins óskað eftir dómkvaðningu matsmanna. Gera verði greinarmun á því hvort verið sé að höfða eiginlegt dómsmál eða afla sönnunargagna utan réttar. Að mati kvartanda hefði vel verið hægt að upplýsa hana um vinnslu persónuupplýsinganna án þess að það hefði komið í veg fyrir möguleika varnaraðila á að setja fram fullnægjandi varnir.

Þá er einnig byggt á því að fullnægjandi vernd gagnanna hafi ekki verið nægilega tryggð, þar sem persónuupplýsingum um kvartanda hafi verið miðlað til þriðja lands. Telur kvartandi að borið hafi að skýra henni frá því að miðla ætti persónuupplýsingum til Bandaríkjanna. Þá hafi ekki hafi legið fyrir ótvírætt samþykki kvartanda fyrir miðlun persónuupplýsinga til þriðja lands.

3.
Sjónarmið gagnaðila um ábyrgð vinnslu
3.1
Sjónarmið lögmanns Icelandair

Í svarbréfi lögmanns Icelandair, dags. 16. júlí 2021, er byggt á því að hann geti ekki talist ábyrgðaraðili í skilningi 6. tölul. 1. mgr. 3. gr. laga nr. 90/2018 að þeirri vinnslu persónuupplýsinga sem kvörtunin lýtur að. Vísað er til þess að Icelandair hafi, ásamt vátryggingafélagi sínu, tekið ákvörðun um það að fá bandarískan eiturefnasérfræðing til þess að skoða og leggja mat sitt á þau gögn sem kvartandi hafi lagt fram í tilefni af dómkvaðningu matsmanna. Aðkoma lögmanns Icelandair að málinu hafi eingöngu falist í því að afhenda sérfræðingnum þau gögn sem lögmaðurinn hafði fengið aðgang að. Hafi hann þannig ekki tekið ákvörðun um tilgang eða aðferðir við vinnslu persónuupplýsinganna sem kvörtunin lýtur að.

3.2
Sjónarmið Icelandair

Í svarbréfi Icelandair, dags. 31. mars 2022, er byggt á því að fyrirtækið geti ekki talist ábyrgðaraðili, í skilningi 6. tölul. 1. mgr. 3. gr. laga nr. 90/2018 að þeirri vinnslu persónuupplýsinga sem kvörtunin lýtur að. Í svarbréfi Icelandair er greint frá aðdraganda þeirrar ákvörðunar að fá bandarískan sérfræðing til þess að skoða og leggja mat sitt á þau gögn sem kvartandi hafði lagt fram í tilefni af dómkvaðningu matsmanna. Segir í svari Icelandair að ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinganna hafi verið tekin af aðalvátryggjanda Icelandair í samráði við lögmannsstofu aðalvátryggjanda og lögmann Icelandair, á fundi sem hafi farið fram þann 6. maí 2020. Fram kemur að á framangreindum fundi hafi verið rætt um mál kvartanda og til hvaða varnaraðgerða æskilegt væri að grípa til í ljósi þeirra gagna sem kvartandi hafði lagt fram frá erlendum sérfræðingum. Eftir umræður, og á grundvelli ráðlegginga HFW, hafi Global Aerospace talið tilefni til þess að fá hinn bandaríska sérfræðing til þess að leggja mat á gögnin. Byggt er á því að aðkoma Icelandair hafi aðeins verið sú að veita lögmönnum aðalvátryggjanda og lögmanni Icelandair upplýsingar og aðgang að viðeigandi gögnum.

3.3
Sjónarmið HFW

Í svarbréfi HFW, dags. 12. desember 2022, er byggt á því að lögmannsstofan hafi fengið fyrirmæli frá Global Aerospace um aðstoð við að verjast réttarkröfu sem kvartandi hafði uppi gagnvart Icelandair, þar sem Global Aerospace væri aðalvátryggjandi Icelandair. Vísað er til þess að lögmannsstofan hafi verið fengin til að aðstoða Icelandair og lögmann fyrirtækisins við að verjast réttarkröfunni. Eftir að hafa átt í samskiptum við framangreinda aðila hafi HFW mælt með því að fá bandarískan sérfræðing til þess að skoða og leggja mat sitt á þau gögn sem kvartandi hafði lagt fram. Lögmaður Icelandair hafi í kjölfarið verið í samskiptum við tilgreindan bandarískan sérfræðing og að mati HFW geti lögmannsstofan ekki talist ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem kvörtunin lýtur að.

4.
Sjónarmið gagnaðila um lögmæti vinnslu

Sjónarmið þeirra aðila, sem kvörtun er beint að, varðandi lögmæti vinnslu eru efnislega samhljóða, verði aðilarnir taldir ábyrgðaraðilar í skilningi persónuverndarlöggjafarinnar. Verður því gerð grein fyrir sjónarmiðum þeirra sameiginlega í þessum kafla.

Byggt er á því að vinnslan hafi verið heimil á grundvelli 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, en í ákvæðinu er mælt fyrir um heimild til vinnslu persónuupplýsinga þegar hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn.

Vísað er til þess að vinnsla þeirra persónuupplýsinga sem kvörtunin lýtur að hafi átt sér stað í tengslum við beiðni kvartanda um dómkvaðningu matsmanna þar sem Icelandair hafi verið matsþoli og megin málatilbúnaður kvartanda hafi byggt á gögnum sem innihéldu persónuupplýsingar. Því hafi verið algjör forsenda þess að Icelandair, sem varnaraðili málsins, gæti sett fram fullnægjandi varnir að gögnin yrðu unnin og vinnsla þeirra hafi farið fram í þeim eina tilgangi að verjast kröfum kvartanda. Þá er vísað til þess að megin ágreiningur málsins hafi lotið að mjög umdeildu atriði sem sé eingöngu á færi sérfræðinga að leggja mat á. Hafi því verið talið nauðsynlegt að fá utanaðkomandi sérfræðing til þess að meta þau gögn sem lögð höfðu verið fram og fá mat annars vegar á vísindalegum þætti fullyrðinga kvartanda og hins vegar öðrum fullyrðingum kvartanda með vísan til þeirra gagna sem hún hafði aflað erlendis frá.

Með hliðsjón af aðstæðum hafi það verið mat gagnaðila að hagsmunir kvartanda vægju ekki þyngra en hagsmunir félagsins af vinnslunni.

Einnig er byggt á því að við mat á heimild til að byggja vinnsluheimild á 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018, í tengslum við rekstur máls fyrir dómi, verði ekki litið fram hjá því að sérstök heimild er í 6. tölul. 1. mgr. 11. gr. sömu laga til vinnslu viðkvæmra persónuupplýsinga í því skyni að hafa uppi eða verja réttarkröfur. Það bendi til þess að undir lögmæta hagsmuni samkvæmt 6. tölulið. 1. mgr. 9. gr. laganna geti fallið hagsmunir til þess að taka til varna í dómsmáli.

Byggt er á því að sérstök skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga hafi verið uppfyllt, með vísan til 6. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 9. gr. reglugerðar (ESB) 2016/679, en skilyrði ákvæðisins er að vinnslan sé nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur. Vinnsla þeirra viðkvæmu persónuupplýsinga sem kvörtunin lýtur að hafi farið fram í þeim eina tilgangi að bregðast við málatilbúnaði kvartanda, verja hagsmuni Icelandair og leiða hið rétta í ljós í málinu. Með hliðsjón af þekkingu þess sérfræðings sem leitað var til hafi verið talið líklegt að hið sanna og rétta yrði leitt í ljós í málinu. Vísað er til þess að almennt verði að játa aðilum dómsmáls rúmar heimildir til þess að leggja mat á það hvaða aðgerðir teljist nauðsynlegar til þess að verjast réttarkröfum. Hugtakið nauðsyn, í skilningi 6. tölul. 1. mgr. 11. gr. laganna og f-lið 2. mgr. 9. gr. reglugerðarinnar, verði því að skýra rúmt þegar persónuupplýsingar eru unnar í þeim tilgangi, enda sé það í samræmi við það forræði á sönnunarfærslu sem málsaðilum er tryggður í lögum og sem helsti hluti réttlátrar málsmeðferðar sem tryggður er í 70. gr. Stjórnarskrár lýðveldisins Íslands.

Fram kemur í skýringum gagnaðila að við vinnslu þeirra persónuupplýsinga sem kvörtunin lýtur að hafi verið gætt sanngirnis og gagnsæis. Kvartanda hafi verið fullkunnugt um og í öllu falli mátt vera ljóst að Icelandair myndi vinna með þær persónuupplýsingar sem hún hafi sjálf lagt fram í matsmálinu, en málatilbúnaður kvartanda hafi að mestu leyti verið byggður á þeim. Einnig er vísað til þess að gögnin hafi aðeins verið send til þeirra sem nauðsynlega þurftu að fá aðgang að þeim og með ítarlegum hætti greint frá því hvernig öryggi gagnanna hafi verið tryggt í samræmi við 27. gr. laga nr. 90/2018. Hafi því við vinnslu persónuupplýsinganna verið gætt að meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, þar sem persónuupplýsingarnar hafi verið unnar með lögmætum, sanngjörnum og gagnsæjum hætti, meðalhófs gætt við vinnsluna og viðeigandi öryggi þeirra hafi verið tryggt.

Í skýringum gagnaðila er einnig lögð áhersla á að vinnsla þeirra persónuupplýsinga sem kvörtunin lýtur að hafi átt sér stað í tengslum við dómsmál. Verði því að taka mið af þeim takmörkunum sem gildi á réttindum hins skráða til upplýsinga og aðgangs samkvæmt 4. mgr. 17. gr. laga nr. 90/2018 enda hafi ekki verið hægt að tryggja hagsmuni og kröfur Icelandair með fullnægjandi hætti, í því máli sem kvartandi höfðaði, ef gagnaðilum væri gert að upplýsa kvartanda um vinnsluna. Í ákvæði 4. mgr. 17. gr. laganna sé þannig að finna heimild til að takmarka rétt hins skráða, sem veittur er með 13 – 15. gr. reglugerðar (ESB) 2016/679, virði slík takmörkun eðli grundvallarréttinda og mannfrelsis og teljist nauðsynleg og hófleg ráðstöfun í lýðræðisþjóðfélagi til að tryggja það að einkaréttarlegum kröfum sé fullnægt. Byggt er á því að það væri ógerningur fyrir aðila að taka til varna með fullnægjandi hætti í ágreiningsmálum fyrir dómi, þar sem meginágreiningur snýst um persónuupplýsingar, ef þeir ættu að veita gagnaðila upplýsingar um það hvernig málsvörn yrði háttað og hvaða gögn kynnu að vera notuð sem hluti af málsvörn, í því skyni að uppfylla fræðslu- og upplýsingaskyldu hins skráða samkvæmt 17. gr. laga nr. 90/2018. Því sé ljóst að mati gagnaðila að undantekningarregla sú sem mælt er fyrir um í 7. tölul. 4. mgr. 17. gr. laga nr. 90/2018 sé einmitt sett fram í því skyni að koma í veg fyrir að fræðsluskylda sé lögð á aðila og lögmenn þeirra í tengslum við málarekstur.

Þá er jafnframt vísað til þess að sú lögbundna þagnarskylda sem hvíli á lögmönnum komi í veg fyrir að gagnaðili í dómsmáli geti átt rétt á fræðslu og upplýsingum, í samræmi við undantekningarreglu 8. tölul. 4. mgr. 17. gr. laga nr. 90/2018. Skýra verði lög nr. 90/2018 til samræmis við þau réttindi sem tryggð eru í stjórnarskrá, þ.m. t. 70. gr. hennar um réttláta málsmeðferð.

Loks er á því byggt að miðlun persónuupplýsinganna til Bandaríkjanna hafi verið heimil á grundvelli e-liðar 1. mgr. 49. gr reglugerðar (ESB) 2016/679, til þess að stofna, hafa uppi eða verja réttarkröfur. Vísað er til þess að í 111. lið formálsorða reglugerðarinnar segi að setja ætti ákvæði um möguleika á miðlun til þriðja ríkis þegar miðlunin er tilfallandi og nauðsynleg í tengslum við samning eða réttarkröfu, hvort heldur er við dómsmeðferð, stjórnsýslumeðferð eða aðra málsmeðferð utan dómstóla, þ.m.t. málsmeðferð hjá eftirlitsaðilum.

II.
Niðurstaða
1.
Gildissvið – Ábyrgðaraðilar – Samningur um skiptingu ábyrgðar

Mál þetta lýtur að miðlun á persónuupplýsingum um kvartanda til sérfræðings í Bandaríkjunum. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laganna og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Ef tveir eða fleiri ábyrgðaraðilar ákveða sameiginlega tilgang vinnslu og aðferðir við hana skulu þeir teljast vera sameiginlegir ábyrgðaraðilar, sbr. 23. gr. laganna og 1. mgr. 26. gr. reglugerðarinnar.

Við afmörkun ábyrgðar samkvæmt tilvitnuðum ákvæðum getur eftir atvikum þurft að líta til ákvæða í öðrum lögum. Í 2. mgr. 21. gr. laga nr. 77/1998 um lögmenn er að finna ákvæði um ráðstafanir sem lögmönnum eru heimilar fyrir hönd umbjóðenda sinna. Segir í ákvæðinu að sé ekki sýnt fram á annað feli umboð aðila til lögmanns í sér heimild til að gera hvaðeina sem venjulegt megi teljast til að gæta hagsmuna fyrir dómi. Innan þeirra marka sé umbjóðandinn bundinn af ráðstöfunum lögmanns þótt hann fari út fyrir þá heimild sem umbjóðandinn hafi veitt honum.

Persónuvernd telur ljóst af tilvitnuðu ákvæði laga nr. 77/1998 að lögmönnum sé veitt svigrúm til sjálfstæðis og ákvörðunartöku um ráðstafanir í þágu hagsmunagæslu skjólstæðinga sinna. Af því leiðir að lögmenn geta þurft að taka ákvarðanir um aðferðir og tilgang vinnslu persónuupplýsinga, s.s. um gagnaðila.

Við afmörkun ábyrgðar á vinnslu persónuupplýsinga ber jafnframt að líta til leiðbeininga Evrópska persónuverndarráðsins nr. 07/2020, sbr. e-lið 1. mgr. 70. gr. reglugerðar (ESB) 2016/679. Í leiðbeiningunum er meðal annars fjallað um það hvenær sá sem vinnur með persónuupplýsingar telst vera ábyrgðaraðili og hvenær hann getur talist vera vinnsluaðili, meðal annars út frá hlutverkum aðila og stöðu, ákvarðanatöku, sérfræðiþekkingu og öðru sem máli getur skipt. Í 27. efnisgrein leiðbeininganna er í dæmaskyni nefnt að lögmannsstofa geti þurft að vinna persónuupplýsingar í tengslum við hagsmunagæslu í ágreiningsmálum. Grundvöllur vinnslu sé þá umboð sem varði ekki sérstaklega vinnslu persónuupplýsinga. Lögmannsstofan sé að verulegu leyti sjálfstæð í störfum sínum, svo sem við ákvarðanatöku um hvaða persónuupplýsingar eru notaðar, án fyrirmæla skjólstæðings um hvernig vinnslu skuli hagað. Vinnsla fari fram í þágu hlutverks lögmannsstofu sem málsvara skjólstæðings og sé því tengd virku hlutverki hennar. Þar af leiðandi ætti að álíta lögmannsstofu ábyrgðaraðila að vinnslu persónuupplýsinga í tengslum við málarekstur.

Jafnframt er vísað til þess í leiðbeiningunum að við mat á því hvort um sameiginlega ábyrgðaraðila sé að ræða skuli m.a. líta til þess hvort vinnsla eins aðilans geti staðið án aðkomu hinna.

Í framkvæmd sinni hefur Persónuvernd litið svo á að lögmenn geti talist ábyrgðaraðilar að vinnslu persónuupplýsinga þegar ekki hefur verið sýnt fram á að umbjóðendur þeirra hafi beinlínis tekið ákvörðun um vinnsluna og veitt lögmanni fyrirmæli um hana. Vísast í þessu sambandi til úrskurða Persónuverndar í málum nr. 2020082238 og 2020082239.

Að mati Persónuverndar verður ekki séð af gögnum málsins að Icelandair eða Global Aerospace hafi veitt lögmönnum sínum bein fyrirmæli um þá vinnslu persónuupplýsinga sem hér er til umfjöllunar. Verður því að leggja til grundvallar að vinnsla þeirra persónuupplýsinga sem kvörtunin í fyrirliggjandi máli lýtur að hafi verið framkvæmd í krafti sjálfstæðis lögmanns Icelandair og lögmannsstofunnar HFW og heimildar þeirra til eigin ákvörðunartöku í þágu hagsmunagæslu Icelandair og Global Aerospace. Vinnslan hafi verið í þágu hlutverks lögmanna sem málsvara umbjóðenda og þannig verið tengd virku hlutverki þeirra. Verður því að telja lögmann Icelandair og lögmannsstofuna HFW ábyrgðaraðila að þeirri vinnslu persónuupplýsinga sem hér er til umfjöllunar, samkvæmt 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.

Í skýringum Icelandair kemur fram að haldinn hafi verið fundur, þann 6. maí 2020, milli Icelandair, lögmanns Icelandair, Global Aerospace, HFW og vátryggingamiðlara Icelandair. Fram kemur að á fundinum hafi verið rætt um mál kvartanda og til hvaða varnaraðgerða æskilegt væri að grípa til í ljósi þeirra gagna sem kvartandi hafði lagt fram frá erlendum sérfræðingum. Eftir umræður á fundi, og á grundvelli ráðlegginga HFW, hafi Global Aerospace talið tilefni til þess að fá hinn bandaríska sérfræðing til þess að leggja mat á gögnin. Icelandair hafi í kjölfarið aflað upplýsinga um kostnað við að fá sérfræðinginn til þess að gera greinargerð fyrir hönd Icelandair í matsmálinu.

Með vísan til fyrirliggjandi gagna verður að telja að Icelandair og Global Aerospace hafi, í samvinnu við lögmann Icelandair og HFW, einnig komið að ákvörðun um tilgang og vinnslu þeirra persónuupplýsinga sem kvörtunin lýtur að. Eins og hér háttar til verður því að mati Persónuverndar einnig að telja Icelandair og Global Aerospace ábyrgðaraðila að þeirri vinnslu persónuupplýsinga sem hér er til umfjöllunar, samkvæmt 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.

Með vísan til alls framangreinds er það niðurstaða Persónuverndar að lögmaður Icelandair, HFW, Icelandair og Global Aerospace teljist sameiginlegir ábyrgðaraðilar að þeirri vinnslu persónuupplýsinga sem til úrlausnar er, sbr. 23. gr. laganna og 1. mgr. 26. gr. reglugerðarinnar.

Ef tveir eða fleiri aðilar eru sameiginlegir ábyrgðaraðilar að vinnslu persónuupplýsinga skulu þeir á gagnsæjan hátt ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar með samkomulagi sín á milli, nema að því marki sem kveðið er á um ábyrgð þeirra í lögum, sbr. 1. mgr. 26. gr. reglugerðarinnar. Samkomulag samkvæmt framangreindu skal endurspegla með tilhlýðilegum hætti hlutverk og tengsl hvers ábyrgðaraðila gagnvart skráðum einstaklingum og skal megininntak samkomulagsins gert þeim aðgengilegt, sbr. 2. mgr. sömu greinar.

Slíkt samkomulag liggur hins vegar ekki fyrir milli framangreindra ábyrgðaraðila og teljast fyrrgreind skilyrði 26. gr. reglugerðarinnar því ekki uppfyllt, sbr. 23. gr. laga nr. 90/2018.

2.
Lögmæti vinnslu
2.1
Lagaumhverfi

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn, sbr. 6. tölul. 1. mgr. lagaákvæðisins og f-lið reglugerðarákvæðisins.

Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt b-lið 3. tölul. 3. gr. laganna eru heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, viðkvæmar, en af gögnum málsins verður ráðið að unnið hafi verið með upplýsingar um heilsufar kvartanda. Eins og hér háttar til kemur þá einkum til skoðunar 6. tölul. 1. mgr. 11. gr., þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, sbr. f-lið 2. mgr. 9. gr. reglugerðarinnar. Af niðurlagi 52. liðar formálsorða reglugerðarinnar verður ráðið að ekki hafi þýðingu í því sambandi hvort réttarkrafa sé stofnuð, höfð uppi eða vörð fyrir dómstólum, stjórnvöldum eða utan réttar.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins, að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt, sbr. 6. tölul. lagaákvæðisins.

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á hinn skráði auk þess rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálfum eða ekki, samkvæmt fyrirmælum 13.-14. gr. reglugerðarinnar. Samkvæmt 4. mgr. 17. gr. laganna er þó heimilt að takmarka rétt hins skráða samkvæmt 13. gr. reglugerðarinnar virði slík takmörkun eðli grundvallarréttinda og mannfrelsis og teljist nauðsynleg og hófleg ráðstöfun í lýðræðisþjóðfélagi, m.a. til að tryggja það að einkaréttarlegum kröfum sé fullnægt, sbr. 7. tölul. 4. mgr. 17. gr. laganna og j-lið 1. mgr. 23. gr. reglugerðarinnar.

Þá ber við miðlun persónuupplýsinga til þriðja lands, þ.e. lands utan Evrópska efnahagssvæðisins, að fara að ákvæðum V. kafla reglugerðar (ESB) 2016/679, sbr. 44. gr. reglugerðarinnar. Í e-lið 1. mgr. 49. gr. reglugerðarinnar er kveðið á um það að heimilt sé að miðla persónuupplýsingum til þriðja lands ef miðlunin er nauðsynleg til að stofna, hafa uppi eða verja réttarkröfur.

2.2
Vinnsluheimild og skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga

Að hálfu þeirra aðila sem kvörtunin beinist að er á því byggt að vnnsla persónuupplýsinga um kvartanda hafi verið nauðsynleg til þess að gæta lögmætra hagsmuna Icelandair í tengslum við mál vegna dómkvaðningar matsmanna þar sem Icelandair var matsþoli.

Að mati Persónuverndar má fallast á að aðilum ágreiningsmála sé ljáð svigrúm til mats á því hvaða persónuupplýsingar nauðsynlegt er að vinna með til þess að unnt sé að stofna, hafa uppi eða verja réttarkröfur og með hvaða hætti. Hugtakið nauðsyn, í skilningi 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og 6. tölul. 1. mgr. 11. gr. laganna, sbr. f-lið 2. mgr. 9. gr. reglugerðarinnar, verði því að skýra rúmt þegar persónuupplýsingar eru unnar í þeim tilgangi.

Af ákvæði 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679 leiðir að ábyrgðaraðili þarf að geta sýnt fram á lögmæti vinnslu, þ. á m. að hún styðjist við viðeigandi vinnsluheimildir. Í því felst að ábyrgðaraðili þarf að geta sýnt fram á að öllum skilyrðum tiltekinnar vinnsluheimildar sé fullnægt, meðal annars um nauðsyn vinnslu. Þeir aðilar sem kvörtunin beinist að hafa rökstutt nauðsyn þeirrar vinnslu persónuupplýsinga sem hér er til umfjöllunar, þ.e. miðlun heilsufarsupplýsinga til sérfræðings í Bandaríkjunum, með vísan til þess að hún hafi verið nauðsynleg fyrir Icelandair til þess að geta haft uppi og varið réttarkröfu í ágreiningi fyrirtækisins og kvartanda. Byggt er á því að meginágreiningur málsins hafi lotið að mjög umdeildu atriði sem hafi verið deiluefni í alþjóðlega flugheiminum í mörg ár og sé eingöngu á færi sérfræðinga að leggja mat á. Því hafi verið talið nauðsynlegt að fá utanaðkomandi sérfræðing til þess að leggja mat á vísindalegan þátt fullyrðinga kvartanda með vísan til þeirra gagna sem kvartandi hafði aflað erlendis frá.

Með vísan til framangreinds verður að fallast á það að sú vinnsla persónuupplýsinga sem hér er til umfjöllunar hafi verið nauðsynleg í þágu þess að Icelandair gæti haft uppi og varið réttarkröfu gagnvart kvartanda. Með hliðsjón af efni 52. lið formálsorða reglugerðar (ESB) 2016/679, sem rakið var að framan, verður það ekki talið hafa þýðingu í þessu sambandi að vinnslan hafi farið fram í tengslum við mál vegna dómkvaðningar matsmanna en ekki eiginlegt dómsmál.

Að framangreindu virtu er það niðurstaða Persónuverndar að vinnsla persónuupplýsinga um kvartanda hafi verið heimil samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 og að fullnægt hafi verið skilyrði 6. tölul. 1. mgr. 11. gr. laganna og f-lið 2. mgr. 9. gr. reglugerðarinnar.

2.3
Sanngjörn og gagnsæ vinnsla – fræðsla - öryggi upplýsinga

Kemur þá til skoðunar hvort vinnslan hafi samrýmst meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, m.a. hvort persónuupplýsingarnar hafi verið unnar með lögmætum, sanngjörnum og gagnsæjum hætti, hvort gætt hafi verið meðalhófs og hvort viðeigandi öryggi upplýsinganna hafi verið tryggt, sbr. 1., 3. og 6. tölul. 1. mgr. 8. gr. laganna og a-, c- og f-lið 1. mgr. 5. gr. reglugerðarinnar.

Krafan um sanngjarna og gagnsæja vinnslu persónuupplýsinga felur m.a. í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað, þær notaðar, skoðaðar eða unnar á annan hátt. Nánari reglur um gagnsæi og fræðslu eru í 12.-15. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018, þar sem mælt er fyrir um tilkynningar- og fræðsluskyldu ábyrgðaraðila og upplýsinga- og aðgangsrétt skráðra einstaklinga og takmarkanir þar á. Í 1.-3. mgr. 13. gr. reglugerðarinnar er fjallað um þær upplýsingar sem ber að veita við öflun persónuupplýsinga hjá skráðum einstaklingi. Samkvæmt 4. mgr. 17. gr. laganna og 1. mgr. 23. gr. reglugerðarinnar er þó heimilt að takmarka rétt hins skráða samkvæmt 13. gr. reglugerðarinnar virði slík takmörkun eðli grundvallarréttinda og mannfrelsis og teljist nauðsynleg og hófleg ráðstöfun í lýðræðisþjóðfélagi, m.a. til að tryggja það að einkaréttarlegum kröfum sé fullnægt, sbr. 7. tölul. 4. mgr. 17. gr. laganna og j-lið 1. mgr. 23. gr. reglugerðarinnar.

Komist hefur verið að þeirri niðurstöðu að sú vinnsla persónuupplýsinga sem hér er til umfjöllunar hafi verið nauðsynleg í þágu þess að stofna, hafa uppi eða verja réttarkröfu.

Með vísan til þess er það niðurstaða Persónuverndar að heimilt hafi verið að takmarka rétt kvartanda til upplýsinga samkvæmt 13. gr. reglugerðar (ESB) 2016/679 á grundvelli 7. tölul. 4. mgr. 17. gr. laga nr. 90/2018, enda má telja að slík takmörkun hafi verið forsenda þess að unnt væri að verjast réttarkröfu kvartanda. Þá telur Persónuvernd að kvartanda hafi mátt vera ljóst að Icelandair, sem matsþoli í því máli sem kvartandi hafði frumkvæði að, myndi vinna með þær persónuupplýsingar sem hér eru til umfjöllunar, en kvartandi lagði upplýsingarnar sjálf fram og byggði málatilbúnað sinn í matsmálinu að mestu leyti á þeim.

Fram hefur komið af hálfu ábyrgðaraðila að persónuupplýsingar um kvartanda hafi aðeins verið sendar til þeirra sem nauðsynlega þurftu að fá aðgang að þeim og meðalhófs hafi þannig verið gætt við vinnsluna. Þá hafa ábyrgðaraðilar með ítarlegum hætti skýrt frá því hvernig gerðar voru viðeigandi tæknilegar og skipulagslegar ráðstafanir við vinnslu persónuupplýsinganna til að tryggja viðunandi öryggi þeirra samkvæmt 27. gr. laga nr. 90/2018, sbr. 32. gr. reglugerðar (ESB) nr. 2016/679.

Með vísan til alls framangreinds er það niðurstaða Persónuverndar að sú vinnsla persónuupplýsinga sem til úrlausnar er hafi samrýmst meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

2.4
Miðlun persónuupplýsinga til þriðja lands

Þegar miðla á persónuupplýsingum sem eru í vinnslu til þriðja lands, þ.e. lands utan Evrópska efnahagssvæðisins, ber að fara að ákvæðum V. kafla reglugerðar (ESB) 2016/679, sem ætlað er að tryggja fullnægjandi vernd við miðlun persónuupplýsinga til þriðju landa eða alþjóðastofnana. Í 49. gr. reglugerðarinnar er að finna undanþágur vegna miðlunar persónuupplýsinga til þriðja lands eða alþjóðastofnana, vegna sérstakra aðstæðna, þegar ekki liggur fyrir ákvörðun um að vernd sé fullnægjandi samkvæmt 3. mgr. 45. gr. reglugerðarinnar eða þegar ekki hafa verið gerðar viðeigandi verndarráðstafanir samkvæmt 46. gr. reglugerðarinnar. Í e-lið 1. mgr. 49. gr. reglugerðarinnar er kveðið á um það að heimilt sé að miðla persónuupplýsingum til þriðja lands ef miðlunin er nauðsynleg til að stofna, hafa uppi eða verja réttarkröfur.

Með hliðsjón af því sem áður hefur verið rakið um að sú vinnsla sem mál þetta varðar hafi verið nauðsynleg í þágu þess að stofna, hafa uppi eða verja réttarkröfu er það niðurstaða Persónuverndar að skilyrði e-liðar 1. mgr. 49. gr. reglugerðarinnar, fyrir miðlun persónuupplýsinga til þriðja ríkis, hafi verið uppfyllt.

2.5
Niðurstaða

Að framangreindu virtu er það niðurstaða Persónuverndar að sú vinnsla sem er til úrlausnar hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Vinnsla [C] lögmanns, Icelandair ehf., Global Aerospace Underwriting og Holman Fenwick Willan LLP á heilsufarsupplýsingum um [A] og miðlun þeirra til þriðja aðila í Bandaríkjunum samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Við vinnslu á persónuupplýsingum um [A] var hins vegar skilyrði 26. gr. reglugerðar (ESB) 2016/679, sbr. 23. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, um samkomulag um skiptingu ábyrgðar, ekki uppfyllt af hálfu [C] lögmanns, Icelandair ehf., Global Aerospace Underwriting og Holman Fenwick Willan LLP.

Persónuvernd, 7. febrúar 2023

Ólafur Garðarsson

formaður

 

Björn Geirsson                       Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson