Afgreiðsla Hugarheims ehf. á aðgangsbeiðni

Mál nr. 2021040979

21.6.2023

Úrskurður

um kvörtun yfir afgreiðslu á beiðni um aðgang að persónuupplýsingum af hálfu Hugarheims ehf. í máli nr. 2021040979:

I.
Málsmeðferð

Hinn 27. apríl 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir afgreiðslu Hugarheims ehf. á beiðni hans um aðgang að persónuupplýsingum hans sem félagið kynni að búa yfir.

Persónuvernd bauð Hugarheimi ehf. að tjá sig um kvörtunina með bréfi, dags. 26. ágúst 2021. Með tölvupósti, dags. 13. september s.á., barst Persónuvernd tölvupóstur frá Hugarheimi ehf. þar sem meðal annars var óskað eftir frekari upplýsingum um efnislegt gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Með tölvupósti Persónuverndar til Hugarheims þann 30. s.m. var félagið upplýst um gildissvið laganna ásamt nánari upplýsingum á vefsíðu stofnunarinnar. Óskaði Persónuvernd jafnframt eftir efnislegu svari við bréfi stofnunarinnar frá 26. ágúst s.á. Með tölvupóstum, dags. 2. og 21. október s.á., ítrekaði Hugarheimur ehf. þá afstöðu sína að félagið teldi málið ekki falla undir gildissvið laga nr. 90/2018 en engin efnisleg svör bárust við bréfi Persónuverndar frá 26. ágúst. Með bréfi, dags. 14. september 2022, var Hugarheimi ehf. veittur lokafrestur til þess að veita efnisleg svör við bréfi Persónuverndar frá 26. ágúst 2021 og jafnframt tilkynnt um það að ef engin svör bærust frá félaginu kynni málið að vera tekið til úrlausnar án frekari tilkynninga. Engin frekari svör bárust frá Hugarheimi ehf.

___________________

Kvartandi vísar til þess að hann hafi með skriflegri beiðni, dags. 16. mars 2021, óskað eftir afriti af öllum gögnum í vörslu Hugarheims ehf. sem á einhvern hátt hafi fjallað um málefni hans. Óskað hafi verið eftir afriti af tölvupóstsamskiptum, minnisblöðum sem og öðrum gögnum er kynnu að geyma persónuupplýsingar hans og væru varðveittar hjá félaginu. Með kvörtun fylgdi afrit af aðgangsbeiðni kvartanda til Hugarheims ehf. Þá byggir kvartandi á því að þriðji aðili hafi fyrir dómi lagt fram samskipti við Hugarheim ehf. er hafi varðað málefni kvartanda og átt sér stað í ágúst og september árið 2020. Vísar kvartandi einnig til þess að hann hafi haft ástæður til að ætla að frekari samskipti og vinnsla persónuupplýsinga um hann hafi átt sér stað af hálfu Hugarheims ehf. og því hafi hann lagt fram beiðnina. Beiðni hans hafi hins vegar aldrei verið svarað, þrátt fyrir að vera skýrt afmörkuð og í fullu samræmi við 17. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Hugarheimur ehf. vísar til þess að félagið hafi tekið að sér að aðstoða vinnuveitanda kvartanda vegna samskiptavanda á vinnustaðnum, þar sem kvartandi hafi átt í hlut. Starfmenn Hugarheims ehf. hafi gert sitt besta til að greiða úr þeim ágreiningi, meðal annars með því að upplýsa báða aðila um afstöðu hins. Byggir Hugarheimur ehf. á því að ekki hafi verið um sjálfvirka vinnslu persónuupplýsinga að ræða og engum upplýsingum hafi verið ætlað að verða hluti af skrá. Því telji félagið að störf þess geti ekki fallið undir efnislegt gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Þá vísar félagið einnig til þess að trúnaður gagnvart skjólstæðingi félagsins komi í veg fyrir afhendingu umbeðinna upplýsinga.

Með tölvupósti, dags. 21. október 2021, vísaði Hugarheimur ehf. jafnframt til þess að ef fallist væri á að um sjálfvirka vinnslu persónuupplýsinga væri að ræða teldi félagið ljóst að ábyrgðaraðili vinnslunnar væri sá sem fyrir henni hefði staðið, haft ávinning af henni og greitt fyrir hana. Í tölvupóstinum vísaði Hugarheimur ehf. ennfremur til þess að engin gögn væru um kvartanda hjá félaginu til þess að afhenda.

II.
Niðurstaða
1.
Gildissvið laga og ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Hugtakið vinnsla er skilgreint í 4. tölul. 3. gr. laganna sem aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging. Í athugasemdum við ákvæði 4. tölul. 3. gr. frumvarps þess er varð síðar að lögum nr. 90/2018 segir að túlka beri hugtakið um vinnslu rúmt og að það taki til hvers konar meðferðar á persónuupplýsingum, óháð þeirri aðferð sem notuð er og óháð því hvort gagnagrunnur er miðlægur eða dreifður. Þá segir í athugasemdum við ákvæði 1. mgr. 4. gr. frumvarpsins að augljóst sé að þegar persónuupplýsingar eru að öllu leyti verðveittar eða unnar í tölvu sé vinnslan sjálfvirk. Þegar aðrar aðferðir en sjálfvirk vinnsla, með öðrum orðum handvirk vinnsla er notuð, er gerð krafa um að persónuupplýsingar séu eða eigi að verða hluti af skrá.

Mál þetta lýtur að aðgangi að gögnum sem kunna að vera geymd á tölvutæku formi og því um sjálfvirka vinnslu persónuupplýsinga að ræða. Varðar mál þetta því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Samkvæmt upplýsingum á vefsíðu Hugarheims ehf. er félagið ráðgjafarfyrirtæki sem sérhæfir sig í fjölbreyttri og þverfaglegri þjónustu til fyrirtækja og einstaklinga á sviði vinnusálfræði. Fyrir liggur að Hugarheimur ehf. tók að sér að aðstoða vinnuveitanda kvartanda og kvartanda í máli vegna samskiptavanda á vinnustaðnum. Þegar slíkur sérfræðiaðili tekur að sér verkefni getur sérþekking hans og sjálfstæð staða haft þau áhrif að hann teljist ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem hann viðhefur við framkvæmd verksins, sbr. m.a. úrskurði Persónuverndar í málum 2020010729, 2016/290 og 2018/1183. Gera verður ráð fyrir að vinnsla Hugarheims ehf. hafi grundvallast á sérfræðiþekkingu starfsmanna félagsins og vandséð er hvernig unnt hefði verið að vinna verkið undir nákvæmri handleiðslu verkkaupa. Telur Persónuvernd því að Hugarheimur ehf. hafi farið með ákvörðunarvald um það hvernig staðið var að vinnslu persónuupplýsinga kvartanda. Með vísan til framangreinds telur Persónuvernd Hugarheim ehf. hafa haft stöðu ábyrgðaraðila að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679, enda litið svo á að félagið hafi tekið ákvörðun, eitt eða í samvinnu við aðra, um tilgang og aðferðir við vinnslu persónuupplýsinga um kvartanda.

2.
Lögmæti vinnslu

Mál þetta lýtur að rétti kvartanda til aðgangs að persónuupplýsingum og hvort ábyrgðaraðili hafi afgreitt beiðni kvartanda um aðgang að upplýsingunum í samræmi við ákvæði laga nr. 90/2018 og reglugerðar (ESB) 2016/679. Með kvörtuninni fylgdi afrit að beiðni kvartanda til Hugarheims ehf. um aðgang að persónuupplýsingum hans, dags. 16. mars 2021, og afrit af staðfestingu frá Íslandspósti á afhendingu ábyrgðarbréfsins til Hugarheims ehf., dags. 23. s.m.

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 15. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 15. gr. reglugerðarinnar er meðal annars kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að persónuupplýsingum. Þá segir í 3. mgr. sömu greinar að ábyrgðaraðili skuli láta í té afrit af þeim persónuupplýsingum sem séu í vinnslu.

Ábyrgðaraðila ber að gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynninga til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 17. gr. laga nr. 90/2018. Samkvæmt 3. mgr. 12. gr. reglugerðarinnar skal ábyrgðaraðili veita skráðum einstaklingi upplýsingar um aðgerðir, sem gripið er til vegna aðgangsbeiðni, án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar frá viðtöku beiðninnar. Lengja má frestinn um tvo mánuði til viðbótar sé á því þörf, með hliðsjón af fjölda beiðna og því hversu flóknar þær eru. Ábyrgðaraðila ber að tilkynna hinum skráða um slíkar framlengingar innan mánaðar frá viðtöku beiðninnar, ásamt ástæðum fyrir töfinni.

Í athugasemdum við 17. gr. í frumvarpi því sem varð að lögum nr. 90/2018 segir meðal annars að hafa beri í huga að réttindi samkvæmt ákvæðinu verði ávallt að skoða í ljósi meginreglna 8. gr. þess. Aðgangsréttur einstaklinga er ótvírætt þáttur í kröfu 1. tölul. 1. mgr. þeirrar greinar, sem kveður meðal annars á um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða.

Þá ber einnig að líta til þess að markmið persónuverndarlöggjafarinnar er meðal annars að stuðla að því að farið sé með persónuupplýsingar í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs, sbr. 1. mgr. 1. gr. laganna og 2. mgr. 1. gr. reglugerðarinnar. Aðgangsréttur skráðra einstaklinga er þýðingarmikill í því skyni að þeim sé gert kleift að neyta annarra réttinda sem þeim eru tryggð samkvæmt lögunum og reglugerðinni, svo sem réttarins til leiðréttingar og eyðingar persónuupplýsinga og andmælaréttar. Stuðlar aðgangsrétturinn þannig að því að framangreint markmið náist.

Að mati Persónuverndar ber að skýra ákvæði 3. mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018, svo að þegar um er að ræða aðgangsbeiðni einstaklings felist viðeigandi aðgerð ábyrgðaraðila í því að annaðhvort veita eða synja hinum skráða um aðgang, sbr. 4. mgr. 12. gr. reglugerðarinnar, þ.m.t. að taka efnislega afstöðu til réttarins til afrits af þeim persónuupplýsingum sem ábyrgðaraðili vinnur með.

Fram kemur í kvörtun að aðgangsbeiðni kvartanda hafi ekki verið svarað. Undir meðferð málsins kom fram í svörum Hugarheims ehf., að ef fallist yrði á að um vinnslu persónuupplýsinga væri að ræða, væri það mat félagsins að trúnaður gagnvart skjólstæðingi þess kæmi í veg fyrir afhendingu umbeðinna upplýsinga.

Um undanþágur og takmarkanir frá rétti einstaklings til upplýsinga um það hvort verið sé að vinna með persónuupplýsingar hans, til að fá afrit af þeim persónuupplýsingum sem unnið er um hann og til að fá aðrar upplýsingar um vinnsluna er fjallað í 3.-6. mgr. 17. gr. laga nr. 90/2018. Ábyrgðaraðili að vinnslu persónuupplýsinga getur ekki samið sig frá því að veita skráðum einstaklingi aðgang að upplýsingum um sig, eigi hann rétt á þeim samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 og 15. gr. reglugerðar (ESB) 2016/679.

Í 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, segir að ábyrgðaraðili beri ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. lagaákvæðisins og 1. mgr. reglugerðarinnar, um að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, og skuli geta sýnt fram á það. Verður samkvæmt öllu framangreindu lagt til grundvallar að Hugarheimar ehf. hafi ekki afgreitt aðgangsbeiðni kvartanda í samræmi við 3. mgr. 12. gr. reglugerðarinnar, sbr. 2. mgr. 17. gr. laga nr. 90/2018.

Í samræmi við þessa niðurstöðu og með vísan til 3. tölul. 42. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 38. gr. reglugerðar (ESB) 2016/679, er lagt fyrir Hugarheim ehf. að taka aðgangsbeiðni kvartanda til efnislegrar afgreiðslu. Skal staðfesting á því að það hafi verið gert send Persónuvernd í síðasta lagi 19. júlí 2023.

 

Ú r s k u r ð a r o r ð:

Afgreiðsla Hugarheims ehf. á beiðni [A] um aðgang að persónuupplýsingum sem unnið var með um hann hjá félaginu samrýmdist ekki lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og reglugerð (ESB) 2016/679.

Lagt er fyrir Hugarheim ehf. að taka aðgangsbeiðni [A] til efnislegrar afgreiðslu. Skal staðfesting á því að það hafi verið gert send Persónuvernd í síðasta lagi 19. júlí 2023.

Persónuvernd, 21. júní 2023

Helga Sigríður Þórhallsdóttir                           Edda Þuríður Hauksdóttir