Úrskurður um aðgang að þjóðskrárupplýsingum hjá Reykjavíkurborg
Mál nr. 2017/1771
Úrskurður
Á fundi stjórnar Persónuverndar hinn 15. október 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/1771:
I.
Málsmeðferð
1.
Tildrög máls – Kvörtun
Persónuvernd hefur borist kvörtun frá [A], dags. 4. desember 2017, yfir aðgangi starfsmanna Reykjavíkurborgar að þjóðskrá. Nánar tiltekið segir að mjög ítarlegar þjóðskrárupplýsingar um alla landsmenn séu á innri vef borgarinnar og að þær séu þar aðgengilegar öllum tölvutengdum starfsmönnum hennar. Vísað er til þess að samkvæmt stjórnarskránni nýtur friðhelgi einkalífs verndar og segir að hún sé brotin með þessum aðgangi að þjóðskrá. Kvartandi sendi því kvörtun sína bæði sem borgarbúi og Íslendingur. Út úr korti sé að allir tölvutengdir starfsmenn borgarinnar hafi þennan aðgang. Allir starfsmenn borgarinnar eigi ekki að vita hvort fólk sé skilið, í sambúð eða gift og þá hverjum, hvað þá að hafa aðgang að upplýsingum um nöfnin á börnum fólks. Vel megi vera að sumir starfsmenn þurfi á þessum upplýsingum að halda en þar sé ekki um að ræða nema brotabrot af þeim sem nú hafi aðganginn. Að auki sé brotið gegn persónuverndarlögum.
Tekið er fram í kvörtun að óskað sé nafnleyndar. Af því tilefni greindi Persónuvernd kvartanda frá því í tölvupósti hinn 18. desember 2018 að ekki væri unnt að verða við beiðni um nafnleynd í kvörtunarmálum, m.a. í ljósi 1. mgr. 15. gr. stjórnsýslulaga nr. 37/1993 þar sem mælt er fyrir um rétt til aðgangs að gögnum. Óskaði kvartandi nafnleyndar væri hins vegar litið á kvörtun hans sem ábendingu sem kynni að leiða til frumkvæðisathugunar Persónuverndar ef tilefni þætti til. Kvartandi svaraði í tölvupósti samdægurs og tók fram að hann teldi málið mikilvægt og varða jafnvel almannahagsmuni. Hann gæfi því leyfi til að málið yrði tekið fyrir án nafnleyndar.
2.
Skýringar Reykjavíkurborgar
Með bréfi, dags. 19. desember 2017, ítrekuðu með bréfi, dags. 8. janúar 2018, var Reykjavíkurborg veitt færi á skýringum af tilefni framangreindrar kvörtunar. Svarað var með bréfi, dags. 22. janúar 2018. Þar segir meðal annars að starfsmenn Reykjavíkurborgar hafi uppflettiaðgang að þjóðskrá á grundvelli samnings milli borgarinnar og Þjóðskrár Íslands um afnot af nafnaskrám þjóðskrár á tölvutæku formi, en hann hafi fyrst verið undirritaður 16. desember 2004. Samningurinn veiti Reykjavíkurborg heimild fyrir allar undirstofnanir sínar og deildir til afnota af nafnaskrá þjóðskrár á tölvutæku formi með viðbótarupplýsingum, horfinnaskrá, þ.e. skrá með upplýsingum um látið fólk sem var með lögheimili skráð í þjóðskrá, og utangarðsskrá, þ.e. skrá með upplýsingum um þá sem dvelja skemur á Íslandi en í 3–6 mánuði. Fyrir aðganginn greiði Reykjavíkurborg afnotagjald sem taki mið af því að allar undirstofnanir og deildir borgarinnar hafi aðgang að skránni.
Einnig segir að upplýsinga- og tæknideild Reykjavíkurborgar haldi utan um aðgang starfsmanna að þjóðskrá. Sé uppflettikerfið einungis aðgengilegt starfsmönnum sem skráðir séu á innra net Reykjavíkurborgar og sé þess gætt að öll vinnsla og öryggisráðstafanir séu í samræmi við persónuverndarlög, þ. á m. reglur um öryggi persónuupplýsinga. Upplýsingar úr skránni sé aðeins heimilt að nota í þágu þeirra starfa sem starfsmenn Reykjavíkurborgar vinni. Samkvæmt 2. mgr. 57. gr. sveitarstjórnarlaga nr. 138/2011 séu starfsmenn borgarinnar bundnir þagnarskyldu um atriði sem þeir fái vitneskju um í starfi sínu og leynt eiga að fara samkvæmt lögum, fyrirmælum yfirboðara eða eðli máls.
Með vísan til framangreinds er því hafnað í bréfi Reykjavíkurborgar að kerfi til uppflettinga í þjóðskrá á innri vef borgarinnar feli í sér brot á persónuverndarlögum eða stjórnarskránni, enda byggi kerfið á aðgangssamningi við Þjóðskrá Íslands sem sé ábyrgðaraðili þeirra upplýsinga sem sé að finna í þjóðskrá.
Hjálagt með bréfinu er afrit af fyrrnefndum samningi Reykjavíkurborgar um aðgang að þjóðskrá, dags. 16. desember 2004, en hann var gerður við Hagstofu Íslands sem þá var ábyrgðaraðili þjóðskrár. Í 1. gr. samningsins kemur fram að aðgangur sé veittur að nafnaskrá þjóðskrár með viðbótarupplýsingum, horfinnaskrá og utangarðsskrá. Í grunnskrá komi fram nafn einstaklings, kennitala, heimili, póstnúmer, póststöð, bannmerking, auk nafns og póstfangs umboðsmanns einstaklings sem búsettur sé erlendis sé um slíkt að ræða. Viðbótarupplýsingarnar séu nafnnúmer, fjölskyldunúmer, lögheimiliskóði, kyn, hjúskaparstaða, ríkisfang, fæðingarstaður, fæðingardagur, makakennitala, lögheimiliskóði, dagsetning breytinga, aðseturskóði, dagsetning nýskráningar, síðasta lögheimili á Íslandi, hvort hlutaðeigandi sé nýr á skrá, heimilisfang, afdrif, dagsetning brottfellingar og breyting á nafni eða kennitölu.
Einnig segir meðal annars í 1. gr. samningsins að Reykjavíkurborg greiði samkvæmt honum fyrir allar undirstofnanir sínar og deildir að undanskildum fyrirtækjum á vegum borgarinnar sem séu sjálfstæðir lögaðilar. Að auki segir í 3. gr. samningsins að Reykjavíkurborg sé eingöngu heimilt að nota þjóðskrárupplýsingar í eigin þágu, til uppflettingar og samkeyrslu við eigin viðskiptamanna- og félagsskrár. Þá mælir 4. gr. samningsins fyrir um bann við afhendingu á upplýsingum til þriðja aðila, takmörkun við hagnýtingu þeirra í þágu áróðurs, kynningar og auglýsinga, sem og bann við að þriðja aðila sé veittur uppflettiaðgangur að upplýsingum með beinum eða óbeinum hætti.
3.
Athugasemdir kvartanda
Með bréfi, dags. 24. janúar 2018, var kvartanda veittur kostur á að tjá sig um framangreindar skýringar Reykjavíkurborgar. Kvartandi svaraði í tölvupósti hinn 31. janúar 2018 þar sem meðal annars er vísað til þess sem greinir um þagnarskyldu starfsmanna borgarinnar í skýringum hennar. Kemur fram af hálfu kvartanda að á starfstíma sínum hjá Reykjavíkurborg hafi hann unnið í […] með aðgang að tölvu og þar með umræddum þjóðskrárupplýsingum. Hafi hann þá ekki verið látinn rita undir þagnarskylduyfirlýsingu. Hins vegar hafi hann einnig starfað á […] á vegum borgarinnar án aðgangs að tölvu, en þá hafi hann hugsanlega undirritað slíkt skjal.
Frekari athugasemdir bárust frá kvartanda í tölvupósti hinn 1. febrúar 2018. Þar er aftur vísað til þess sem greinir um þagnarskyldu í skýringum Reykjavíkurborgar. Lýsir kvartandi sig sammála því að hér sé um að ræða viðkvæmar upplýsingar sem ekki eigi að berast óviðkomandi og því skilji hann ekki að þegar hann hafi unnið sem […] skuli hann og allir tölvutengdir starfsmenn borgarinnar hafa haft að þeim aðgang. Er varpað fram þeirri spurningu til hvers […] þurfi að hafa þjóðskráraðgang. Þá er áréttað að kvartandi hafi aldrei verið látinn rita undir þagnarskylduyfirlýsingu þegar hann vann í ráðhúsinu og í raun aldrei verið upplýstur af yfirmönnum um hina miklu ábyrgð í þeim efnum. Það væri ekki ásættanlegt.
Með bréfi, dags. 22. febrúar 2018, óskaði Persónuvernd þess að kvartandi tilgreindi þá einstaklingsbundnu hagsmuni sem hann ætti af úrlausn í málinu, en samkvæmt almennum aðildarreglum stjórnsýsluréttarins gæti eingöngu sá átt aðild að máli sem hefði slíkra hagsmuna af úrlausn þess. Kvartandi svaraði í tölvupósti hinn 28. febrúar 2018 þar sem vísað var til þess að á meðal upplýsinga í þjóðskrá væru upplýsingar um hann sjálfan og að þær gætu meðal annars verið unnt að nota, eftir atvikum með öðrum upplýsingum, honum í óhag. Til dæmis gæti verið um að ræða upplýsingar sem notaðar væru sem svör við leynispurningum til að enduropna tölvupósthólf hafi lykilorð gleymst. Þá væri hægt að taka smálán í nafni einstaklings með því einu að hafa undir höndum kennitölu hans og reikningsnúmer.
II.
Forsendur og niðurstaða
1.
Lagaskil
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sem giltu þegar kvörtun þessi barst, voru leyst af hólmi með lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga sem tóku gildi 15. júlí 2018. Þau lögfestu jafnframt reglugerð (ESB) 2016/679 um persónuvernd, eins og hún var aðlöguð og tekin upp í EES-samninginn. Þar sem kvörtun í máli þessu beinist að ástandi sem enn er til staðar, þ.e. því hvernig aðgangi að þjóðskrárupplýsingum er háttað á innri vef Reykjavíkurborgar, auk þess sem þær reglur laga um persónuvernd sem á reynir hafa ekki breyst efnislega, verður leyst úr málinu á grundvelli laga nr. 90/2018.
2.
Gildissvið laga nr. 90/2018
Ábyrgðaraðili – Afmörkun máls
Gildissvið laga nr. 90/2018 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 4. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling, en einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, s.s. með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti, sbr. 2. tölulið 3. gr. laganna. Þá er með vinnslu átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, s.s. söfnun, skráningu, flokkun, kerfisbindingu, varðveislu, aðlögun eða breytingu, heimt, skoðun, notkun, miðlun með framsendingu, dreifingu eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtengingu eða samkeyrslu, aðgangstakmörkun, eyðingu eða eyðileggingu, sbr. 4. tölulið sömu greinar.
Mál þetta lýtur að aðgangi starfsmanna Reykjavíkurborgar að upplýsingum um einstaklinga úr þjóðskrá á innri vef borgarinnar. Að því virtu er ljóst að mál þetta varðar vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga. Eins og hér háttar til telst Reykjavíkurborg vera ábyrgðaraðili að umræddri vinnslu.
Í bréfaskiptum vegna máls þessa var auk þjóðskrár vikið að svokallaðri horfinnaskrá og utangarðsskrá. Fyrrnefnda skráin hefur að geyma upplýsingar um látið fólk sem var með lögheimili skráð í þjóðskrá en sú síðarnefnda upplýsingar um þá sem dvelja skemur á Íslandi en í 3–6 mánuði. Ekki verður talið að kvartandi í máli þessu hafi lögmæta hagsmuni af því að fá úrlausn um þessar tvær skrár en auk þess er ljóst að fyrrnefnda skráin fellur að verulegu leyti utan gildissviðs laga nr. 90/2018, sbr. fyrrnefnd ákvæði 2. tölul. 3. gr. og 1. mgr. 4. gr. laganna. Að því virtu verður í úrskurði þessum einungis tekin afstaða til kvörtunarinnar að því er varðar aðgang innan Reykjavíkurborgar að þjóðskrá.
3.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir einhverja af heimildum 9. gr. laga nr. 90/2018. Þær heimildir sem einkum koma til álita í tengslum við vinnslu persónuupplýsinga hjá stjórnvöldum, í þessu tilviki Reykjavíkurborg, eru að vinnsla sé nauðsynleg til að fullnægja lagaskyldu eða við beitingu opinbers valds, sbr. 3. og 5. tölul. 9. gr. laga nr. 90/2018.
Persónuvernd telur ljóst að svo að unnt sé að rækja lögbundin verkefni Reykjavíkurborgar geti aðgangur að þjóðskrá verið nauðsynlegur. Í samræmi við það telur Persónuvernd að sú vinnsla hjá borginni, sem felst í veitingu slíks aðgangs til starfsmanna, styðjist við fullnægjandi vinnsluheimild samkvæmt framangreindum töluliðum 9. gr. laga nr. 90/2018. Þótt fullnægjandi vinnsluheimild liggi fyrir þarf vinnslan hins vegar jafnframt að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018. Í því felst meðal annars að fullnægja þarf meðalhófskröfu 3. tölul. ákvæðisins um að upplýsingarnar skulu vera viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.
Fyrir liggur að öllum starfsmönnum Reykjavíkurborgar, sem hafa aðgang að tölvu við störf sín, er veittur aðgangur að þjóðskrá hjá Reykjavíkurborg. Annars vegar er þar um að ræða grunnskrá sem hefur að geyma nafn einstaklings, kennitölu, heimili, póstnúmer, póststöð, bannmerkingu og, eftir atvikum, nafn og póstfang umboðsmanns einstaklings sem búsettur er erlendis. Hins vegar er um að ræða viðbótarupplýsingar, þ.e. nafnnúmer, fjölskyldunúmer, lögheimiliskóða, kyn, hjúskaparstöðu, ríkisfang, fæðingarstað, fæðingardag, makakennitölu, lögheimiliskóða, dagsetningu breytinga, aðseturskóða, dagsetningu nýskráningar, síðasta lögheimili á Íslandi, hvort hlutaðeigandi sé nýr á skrá, heimilisfang, afdrif, dagsetningu brottfellingar og breytingu á nafni eða kennitölu.
Í ljósi fyrrgreindrar meðalhófskröfu 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 telur Persónuvernd ljóst að svo víðtækur þjóðskráraðgangur sem að framan greinir, veittur öllum tölvutengdum starfsmönnum Reykjavíkurborgar, sé ekki í samræmi við lögin, en aðgangssamningur við Þjóðskrá leysir borgina ekki undan umræddri kröfu. Með vísan til 4. tölul. 42. gr. laga nr. 90/2018 beinir Persónuvernd því þeim fyrirmælum til Reykjavíkurborgar að laga heimildir til aðgangs að þjóðskrá til samræmis við það sem nauðsynlegt er í þágu verkefna borgarinnar. Skulu gögn um hvernig farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 15. nóvember nk.
Ú r s k u r ð a r o r ð:
Aðgangur að þjóðskrá hjá Reykjavíkurborg er ekki í samræmi við lög nr. 90/2018. Lagt er fyrir borgina að laga heimildir til aðgangs að skránni til samræmis við það sem nauðsynlegt er í þágu verkefna borgarinnar. Eigi síðar en 15. nóvember 2018 skulu gögn hafa borist Persónuvernd um hvernig farið hafi verið að þessum fyrirmælum.