Afgreiðsla Icelandair á aðgangsbeiðni einstaklinga

Mál nr. 2020010681

23.6.2021

Úrskurður

Hinn 10. júní 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010681 (áður 2019101894):

I.
Málsmeðferð

1.
Tildrög máls

Hinn 9. október 2019 barst Persónuvernd kvörtun frá [A] og [B] (hér eftir kvartendur) yfir afgreiðslu Icelandair ehf. á beiðni þeirra um aðgang að persónuupplýsingum um þau sem fyrirtækið vinnur með.

Með bréfi, dags. 25. mars 2020, var Icelandair ehf. tilkynnt um framkomna kvörtun og veittur kostur á að tjá sig um hana. Svarað var af hálfu fyrirtækisins með tölvupósti 5. maí s.á. Með bréfi, dags. 21. júlí s.á., kynnti Persónuvernd kvartendum um framkomin svör Icelandair ehf. og veitti þeim færi á að tjá sig um þau. Óskaði Persónuvernd jafnframt eftir nánar tilgreindum upplýsingum frá kvartendum. Svarað var af hálfu kvartenda með tölvupósti 13. ágúst s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð þessa máls hefur dregist vegna mikilla anna hjá Persónuvernd.

2.
Sjónarmið kvartenda

Í kvörtun segir að kvartendur hafi með bréfi, dags. 19. ágúst 2019, farið þess á leit við Icelandair ehf. að þeim yrðu meðal annars afhentar allar þær persónuupplýsingar þeirra sem fyrirtækið hefði í bókum sínum og upplýsingakerfum, þ.m.t. afrit af upptökum sem kynnu að hafa verið gerðar um borð í flugvélum fyrirtækisins, skýrslur áhafna í tengslum við ágreining í tilteknu flugi og öll önnur gögn sem kynnu að geyma persónuupplýsingar þeirra. Icelandair ehf. hafi staðfest móttöku bréfsins með tölvupósti 21. s.m. Á kvörtunardegi hefðu engin efnisleg svör borist kvartendum frá fyrirtækinu vegna beiðninnar. 

Í svari kvartenda til Persónuverndar, dags. 13. ágúst 2020, segir meðal annars að þeim hafi, undir rekstri kvörtunarmálsins, borist þau gögn frá Icelandair ehf. sem beiðni þeirra laut að, þó að frátalinni persónugreinanlegri skýrslu vegna umrædds flugs sem vísað var til í kvörtun. Af svarinu verður jafnframt ráðið að kvartendur óski eftir úrlausn Persónuverndar um rétt þeirra til aðgangs að umræddri skýrslu svo og þann tíma sem fyrirtækið tók til að afgreiða beiðni þeirra.

3.
Sjónarmið Icelandair ehf.

Í svari Icelandair ehf. til Persónuverndar, dags. 5. maí 2020, segir meðal annars að í ljós hafi komið að fyrirtækið hafi ekki brugðist við aðgangsbeiðni kvartenda þar sem hún hafi verið mislögð og þar með hafi henni ekki verið beint til rétts starfsmanns. Kvartendum yrðu þó afhentar þær persónuupplýsingar sem fyrirtækið ynni með en í því sambandi var þó bent á að fyrirtækið ynni ekki með persónugreinanlegar skýrslur eða upptökur sem sneru að ágreiningi kvartenda vegna þess flugs sem þeir hefðu vísað til.

II.
Forsendur og niðurstaða

1.
Gildissvið - Afmörkun máls

Gildissvið laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og reglugerðar (ESB) 2016/679, sem lögfest hefur verið hér á landi með 2. gr. laga nr. 90/2018, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Mál þetta lýtur að rétti einstaklinga til aðgangs að persónuupplýsingum þeirra sem unnar eru af hálfu Icelandair ehf., meðal annars með notkun rafrænna upplýsingakerfa. Fellur sú vinnsla undir gildissvið laga nr. 90/2018. Að því virtu og með hliðsjón af framangreindum ákvæðum fellur mál þetta undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Icelandair ehf. vera ábyrgðaraðili að umræddri vinnslu.

2.
Lagaumhverfi og niðurstaða

Í máli þessu reynir á það hvort ábyrgðaraðili hafi afgreitt beiðni kvartenda um aðgang að persónuupplýsingum þeirra í samræmi við ákvæði laga nr. 90/2018 og reglugerð (ESB) 2016/679. Nánar tiltekið kemur hér til skoðunar hvort beiðni kvartenda hafi verið rétt afgreidd efnislega, svo og hvort hún hafi verið afgreidd innan þess tíma sem lög áskilja.

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 15. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 15. gr. reglugerðarinnar er meðal annars kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að persónuupplýsingum. Þá segir í 3. mgr. sömu greinar að ábyrgðaraðili skuli láta í té afrit af þeim persónuupplýsingum sem séu í vinnslu. 

Óumdeilt er að kvartendur hafa fengið aðgang að þeim persónuupplýsingum sínum sem Icelandair ehf. vinnur með og þeir óskuðu eftir, að því frátöldu að þeir fengu ekki afhenta skýrslu um tiltekið flug sem þeir telja að hafi verið skráð en fyrirtækið hefur hafnað því að svo hafi verið. Að mati Persónuverndar er ekkert í gögnum málsins sem gefur annað til kynna en að fyrirtækið hafi uppfyllt skyldu sína samkvæmt framangreindum ákvæðum. Telur Persónuvernd þar af leiðandi ekki ástæðu til þess að beita þeim úrræðum, sem henni eru búin samkvæmt 41. gr. laga nr. 90/2018. 

Kemur þá til úrlausnar hvort beiðni kvartenda hafi verið afgreidd innan lögbundinna tímamarka.

Ábyrgðaraðila ber að gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynninga til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 17. gr. laga nr. 90/2018. Samkvæmt 3. mgr. 12. gr. reglugerðarinnar skal ábyrgðaraðili veita skráðum einstaklingi upplýsingar um aðgerðir, sem gripið er til vegna aðgangsbeiðni, án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar frá viðtöku beiðninnar. Lengja má frestinn um tvo mánuði til viðbótar sé á því þörf, með hliðsjón af fjölda beiðna og því hversu flóknar þær eru. Ábyrgðaraðila ber að tilkynna hinum skráða um slíkar framlengingar innan mánaðar frá viðtöku beiðninnar, ásamt ástæðum fyrir töfinni. 

Reynt hefur á skýringu framangreindra ákvæða í framkvæmd Persónuverndar, sbr. úrskurð stofnunarinnar frá 28. nóvember 2019 í máli nr. 2018/1443. Í úrskurðinum var ákvæði 3. mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018, skýrt svo að þegar um væri að ræða aðgangsbeiðni einstaklinga fælist viðeigandi aðgerð ábyrgðaraðila í því að veita eða synja um aðgang, sbr. 4. mgr. 12. gr. reglugerðarinnar, þ.m.t. að taka efnislega afstöðu til réttarins til afrits af þeim persónuupplýsingum sem ábyrgðaraðili ynni með. Samkvæmt því yrði að leggja til grundvallar að væri fallist á beiðni einstaklings um aðgang að persónuupplýsingum, sbr. framangreint, bæri ábyrgðaraðila að afgreiða beiðnina innan þeirra tímamarka sem tilgreind eru í 3. mgr. 12. gr. reglugerðarinnar, þ.e. að jafnaði innan mánaðar frá því að honum bærist beiðnin eða þriggja mánaða frá sama tímamarki væri fullnægt skilyrðum ákvæðisins fyrir framlengingu frestsins. Væri beiðninni synjað skyldi það hins vegar tilkynnt hinum skráða innan mánaðar, sbr. 4. mgr. 12. gr. reglugerðarinnar. 

Í máli þessu liggur fyrir að kvartendur óskuðu fyrst eftir aðgangi að þeim persónuupplýsingum sínum sem Icelandair ehf. hafði til vinnslu með bréfi sem móttekið var 21. ágúst 2019. Af svari fyrirtækisins til Persónuverndar, dags. 5. maí 2020, verður ráðið að beiðni kvartenda hafði þá ekki verið afgreidd en þann 13. ágúst s.á. staðfestu kvartendur að fyrirtækið hefði tekið afstöðu til beiðni þeirra. 

Af framangreindu er ljóst að afhending gagnanna fór ekki fram fyrr en meira en þrír mánuðir voru liðnir frá því að aðgangsbeiðni kvartenda var lögð fram, eða eftir að lögbundnir frestir til afhendingarinnar samkvæmt 3. mgr. 12. gr. reglugerðar (ESB) 2016/679 voru liðnir. Þar sem umbeðin gögn voru afhent kvartendum eftir lögbundinn hámarksfrest, þ.e. þrjá mánuði, telur Persónuvernd ekki þörf á að taka afstöðu til þess hvort skilyrði hafi verið til að framlengja afgreiðslufrestinn. 

Verður samkvæmt öllu framangreindu lagt til grundvallar að Icelandair ehf. hafi ekki afgreitt aðgangsbeiðni kvartenda í samræmi við 3. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018.

3.
Fyrirmæli - Áminning

Persónuvernd telur að líta verði til þess að með bréfi, dags. 27. ágúst 2019, tilkynnti stofnunin Icelandair ehf. um lok máls nr. 2019040916 sem hún hafði haft til meðferðar. Laut málið að kvörtun einstaklings á afgreiðslutíma aðgangsbeiðni sem lögð hafði verið fram hjá Icelandair ehf. Af hálfu Icelandair ehf. hafði verið upplýst að aðgangsbeiðnin hefði verið mislögð innan fyrirtækisins. Ítrekaði Persónuvernd mikilvægi þess að fyrirtæki yrði við aðgangsbeiðnum með þeim hætti sem mælt er fyrir um í lögum nr. 90/2018. Var lagt fyrir Icelandair að tryggja með viðunandi hætti að allar aðgangsbeiðnir fengju þá afgreiðslu sem lögin mæla fyrir um.

Í samræmi við niðurstöðu þessa máls um afgreiðslutíma aðgangsbeiðni kvartenda, sem rakin er í kafla II.2., og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, og að teknu tilliti til fyrri fyrirmæla Persónuverndar til Icelandair ehf., er lagt fyrir fyrirtækið að afgreiða aðgangsbeiðnir einstaklinga eftirleiðis innan þeirra tímamarka sem mælt er fyrir um í 3. og 4 mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 17. gr. laganna. Í þessu skyni skal fyrirtækið setja sér skriflegar verklagsreglur um afgreiðslu aðgangsbeiðna og senda Persónuvernd afrit þeirra, eigi síðar en 12. júlí 2021. Skulu þær meðal annars taka til þess hver innan fyrirtækisins ber ábyrgð á afgreiðslu slíkra beiðna og skyldu annarra starfsmanna til að framsendingar þeirra.

Þá telur Persónuvernd málin varpa ljósi á ítrekaða misbresti sem orðið hafa á afgreiðslu aðgangsbeiðna af hálfu Icelandair ehf. Að því gættu og með vísan til 2. tölul. 42. gr. laga nr. 90/2018, telur Persónuvernd rétt að veita Icelandair ehf. áminningu vegna brots fyrirtækisins í fyrirliggjandi máli. 

Í ljósi þess að umrætt bréf Persónuverndar er dagsett eftir að kvörtun í því máli sem hér er til umfjöllunar barst stofnuninni telur Persónuvernd þó ekki tilefni til leggja stjórnvaldssekt á Icelandair ehf. í fyrirliggjandi máli, þrátt fyrir ákvæði 5. tölul. 1. mgr. 47. gr. laga nr. 90/2018. 

Ú r s k u r ð a r o r ð:

Efnisleg afgreiðsla Icelandair ehf. á beiðni [A] og [B] til aðgangs að persónuupplýsingum þeirra samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Afgreiðslutími Icelandair ehf. á aðgangsbeiðni [A] og [B] samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Lagt er fyrir Icelandair ehf. að afgreiða aðgangsbeiðnir einstaklinga eftirleiðis innan þeirra tímamarka sem mælt er fyrir um í 3. og 4 mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 17. gr. laganna. Skal fyrirtækið setja sér skriflegar verklagsreglur um afgreiðslu slíkra beiðna og senda Persónuvernd afrit þeirra, eigi síðar en 12. júlí 2021.

Icelandair ehf. er veitt áminning vegna fyrrgreinds brots á afgreiðslutíma aðgangsbeiðni [A] og [B].

Persónuvernd, 10. júní 2021

Helga Þórisdóttir                           Vigdís Eva Líndal