Afgreiðsla Reykjavíkurborgar á aðgangsbeiðni einstaklings
Mál nr. 2018/1443
Persónuvernd hefur úrskurðað í máli vegna kvörtunar yfir afgreiðslu Reykjavíkurborgar á beiðni einstaklings um aðgang að persónuupplýsingum sínum. Taldi Persónuvernd að skýra bæri 3. mgr. 12. gr. reglugerðar (ESB) 2016/679 svo að þegar fallist er á að veita einstaklingi aðgang beri að gera það innan mánaðar frá móttöku beiðni eða innan þriggja mánaða frá sama tímamarki sé skilyrðum fyrir framlengingu frests fullnægt. Fyrirhugi ábyrgðaraðili að synja beiðni beri honum að gera það innan mánaðar, sbr. 4. mgr. sömu greinar. Þar sem Reykjavíkurborg afgreiddi aðgangsbeiðni kvartanda eftir að lögbundinn hámarksfrestur var liðinn komst Persónuvernd að þeirri niðurstöðu að afgreiðslan hafi ekki samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679.
Úrskurður
Hinn 28. nóvember 2019 kvað stjórn Persónuverndar upp svohljóðandi úrskurð
í máli nr. 2018/1443:
I.
Málsmeðferð
1.
Kvörtun
Hinn 18. september 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir drætti á afhendingu gagna frá Reykjavíkurborg, á grundvelli laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og yfir því að hafa ekki fengið nægar upplýsingar um afhendingartíma gagnanna innan lögbundins frests. Í kvörtuninni segir að kvartandi hafi upphaflega lagt aðgangsbeiðni sína fram þann 23. júlí 2018 en að honum hafi borist upplýsingar um töf á afgreiðslu beiðninnar þann 31. ágúst s.á. eða rúmum mánuði eftir að hann setti hana fyrst fram.
2.
Skýringar Reykjavíkurborgar
Með bréfi, dags. 22. október 2018, var Reykjavíkurborg boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 5. nóvember s.á. Þar segir að sveitarfélagið hafi afhent kvartanda umbeðin gögn með tölvupósti þann 5. nóvember s.á. Afrit af umræddum tölvupósti, ásamt yfirliti yfir afhent gögn, fylgdi bréfinu.
Í bréfinu kemur jafnframt fram að talsverðar tafir hafi orðið á vinnslu aðgangsbeiðna skráðra einstaklinga samkvæmt 17. gr. laga nr. 90/2018 þar sem miklar annir hafi verið hjá persónuverndarfulltrúa Reykjavíkurborgar vegna gildistöku nýrra laga um persónuvernd og vinnslu persónuupplýsinga þann 15. júlí 2018. Þá sé verið að móta rafrænt umsóknarferli vegna aðgangsbeiðna, þar sem hinir skráðu geti auðkennt sig með einfaldari hætti, þ.e. með rafrænum skilríkjum.
3.
Samskipti við kvartanda
Þann 6. nóvember 2018 barst Persónuvernd tölvupóstur frá kvartanda þar sem fram kom að hann teldi sig ekki hafa fengið fullnægjandi gögn frá Reykjavíkurborg og að hann hefði sent persónuverndarfulltrúa sveitarfélagsins erindi þess efnis. Nánar tiltekið væri í sumum tilvikum ekki um að ræða afrit af frumritum, svo sem undirrituðum samningum, og í öðrum tilvikum sæjust undirskriftir eða annar handritaður texti ekki. Fram kom að kvartandi hefði, í erindi sínu til Reykjavíkurborgar, óskað eftir að fá sent afrit af öllum undirrituðum ráðningarsamningum sínum og að séð yrði til þess að allt sæist vel eftir skönnun.
Með bréfi, dags. 10. desember 2018, kynnti Persónuvernd kvartanda framangreint svarbréf Reykjavíkurborgar, dags. 5. nóvember s.á., vegna kvörtunar hans. Þá upplýsti Persónuvernd kvartanda um að stofnunin teldi rétt að aðhafast ekki frekar í málinu fyrr en Reykjavíkurborg hefði lokið afgreiðslu erinda hans. Var jafnframt óskað eftir að kvartandi upplýsti Persónuvernd um málalok vegna erinda hans til Reykjavíkurborgar og þá hvert endanlegt umkvörtunarefni væri.
Kvartandi svaraði bréfi Persónuverndar með tölvupósti þann 11. janúar 2019. Þar kom fram að endanlegt umkvörtunarefni væri að gögn hefðu borist of seint og illa frá Reykjavíkurborg. Honum hefði aldrei borist tiltekinn ráðningarsamningur, gögn hefðu verið ófullnægjandi og að hluta til ólæsileg í byrjun.
4.
Frekari skýringar Reykjavíkurborgar
Með bréfi, dags. 28. janúar 2019, var Reykjavíkurborg boðið að koma á framfæri frekari skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 11. febrúar s.á. Þar segir meðal annars að sveitarfélaginu hafi upphaflega borist aðgangsbeiðni kvartanda þann 23. júlí 2018 en þann 31. júlí s.á. hafi kvartandi verið upplýstur um að fyrirsjáanlega yrðu tafir á afgreiðslu beiðninnar og þann 31. ágúst s.á. hafi honum verið tilkynnt um frekari tafir á afgreiðslunni. Þann 5. nóvember s.á. hafi kvartanda verið afhent afrit þeirra gagna sem óskað hefði verið eftir og fundist hefðu hjá mannauðsdeild sveitarfélagsins. Þann 9. nóvember s.á. hafi kvartandi óskað sérstaklega eftir gögnum frá deildinni um starfsmat og svörun hans í starfsmannasamtali en bréfi Reykjavíkurborgar til Persónuverndar fylgdi afrit af bréfi sveitarfélagsins til kvartanda, dags. 7. desember 2018, þar sem þessum þætti beiðni hans var synjað í meginatriðum.
Þá segir í bréfi Reykjavíkurborgar til Persónuverndar að með tölvupósti þann 14. desember 2018 hafi kvartandi farið þess á leit við mannauðsdeild sveitarfélagsins að fá afrit af tilteknum vinnusamningum sem ekki hefðu borist honum í fyrrgreindum tölvupósti frá 5. nóvember s.á. Kvartanda hafi verið send afrit þessara samninga með tölvupósti þann 3. janúar 2019.
Þann 8. desember 2018 hafi kvartandi óskað eftir að þau gögn, sem honum bárust með fyrrgreindum tölvupósti þann 5. nóvember s.á., yrðu send honum aftur þar sem hann taldi þau óskýr og ófullnægjandi að hluta. Þann 4. janúar 2019 hafi kvartanda verið send aftur umbeðin afrit þeirra gagna sem beiðni hans laut að. Hluti þeirra gagna sem upphaflega voru send hafi geymt óljósar undirskriftir, en á öllum stigum hafi meginmál gagnanna þó verið greinilegt.
Með tölvupósti þann 7. janúar 2019 hafi kvartandi óskað eftir skýringum varðandi það hvers vegna gögnin bæru með sér að enginn ráðningarsamningur hefði verið í gildi á milli aðila á tilteknu tímabili. Sveitarfélagið telji þó að veittur hafi verið aðgangur að umræddu skjali, þ.e. ráðningarsamningi sem tók til þessa tímabils, þann 5. nóvember 2018, en það hafi þó aðeins verið undirritað af hálfu sveitarfélagsins. Gerð hafi verið árangurslaus leit hjá sveitarfélaginu að umræddum samningi undirrituðum af sveitarfélaginu og kvartanda og gögnum tengdum þeim samningi, sem hafi tafið málið. Kvartandi hafi verið upplýstur um það.
Loks eru í bréfinu rakin lagarök Reykjavíkurborgar, þar sem meðal annars kemur fram að sveitarfélagið telji að skýra verði 2. mgr. 17. gr. laga nr. 90/2018 og 13.-15. gr. reglugerðar (ESB) 2016/679 með hliðsjón af ákvæðum 1. mgr. 9. gr. og 10. gr. stjórnsýslulaga, nr. 37/1993, þegar ábyrgðaraðili er stjórnvald. Af þeirri skýringu leiði meðal annars að töf á afgreiðslu beiðni skráðs einstaklings um aðgang megi ekki vera óréttlát en meta verði eðlilegan afgreiðslutíma sérstaklega hverju sinni. Þá beri að skýra framangreind ákvæði laga nr. 90/2018 og reglugerðarinnar, svo og 59. lið formálsorða hennar, svo að ábyrgðaraðila beri að grípa til aðgerða vegna aðgangsbeiðni innan þeirra tímamarka sem þar er kveðið á um, sem hafi verið gert með samskiptum ábyrgðaraðila við kvartanda.
Ekki þykir ástæða til að gera hér nánar grein fyrir efni svarbréfs Reykjavíkurborgar en hliðsjón hefur verið höfð af efni þess við úrlausn málsins.
5.
Athugasemdir kvartanda
Með bréfi, dags. 18. febrúar 2019, var kvartanda veitt færi á athugasemdum við framangreindar skýringar Reykjavíkurborgar. Svarað var með tölvupósti þann 25. febrúar s.á. Þar segir að kvartandi vísi til fyrri athugasemda sinna vegna málsins. Jafnframt telji kvartandi að hann hafi ekki þurft að tilgreina þau gögn sem beiðni hans laut að en hann hafi þó gert það í tölvupósti til Reykjavíkurborgar, dags. 6. nóvember 2018 og 10. desember s.á. Hefði sveitarfélagið yfirfarið þau gögn sem send voru kvartanda hefði þegar orðið ljóst að gögnin væru ófullnægjandi og illa skönnuð í heild og að óskýrleikinn hafi ekki einungis verið bundinn við undirritun heldur einnig aðrar áritanir, þ.m.t. í meginmáli.
II.
Forsendur og niðurstaða
1.
Afmörkun máls
Gildissvið laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og reglugerðar (ESB) 2016/679, sem lögfest hefur verið hér á landi með 2. gr. laga nr. 90/2018, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að rétti einstaklings til aðgangs að persónuupplýsingum hans sem unnar eru af hálfu mannauðsdeildar Reykjavíkurborgar. Fellur sú vinnsla undir gildissvið laga nr. 90/2018. Að því virtu og með hliðsjón af framangreindum ákvæðum fellur mál þetta undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Reykjavíkurborg vera ábyrgðaraðili að umræddri vinnslu.
2.
Lagaumhverfi og niðurstaða
Í máli þessu reynir á það hvort ábyrgðaraðili hafi afgreitt beiðni kvartanda um aðgang að persónuupplýsingum hans í samræmi við ákvæði laga nr. 90/2018 og reglugerð (ESB) 2016/679.
Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 15. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 15. gr. reglugerðarinnar er meðal annars kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að persónuupplýsingum. Þá segir í 3. mgr. sömu greinar að ábyrgðaraðili skuli láta í té afrit af þeim persónuupplýsingum sem séu í vinnslu.
Ábyrgðaraðila ber að gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynninga til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 17. gr. laga nr. 90/2018. Samkvæmt 3. mgr. 12. gr. reglugerðarinnar skal ábyrgðaraðili veita skráðum einstaklingi upplýsingar um aðgerðir, sem gripið er til vegna aðgangsbeiðni, án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar frá viðtöku beiðninnar. Lengja má frestinn um tvo mánuði til viðbótar sé á því þörf, með hliðsjón af fjölda beiðna og því hversu flóknar þær eru. Ábyrgðaraðila ber að tilkynna hinum skráða um slíkar framlengingar innan mánaðar frá viðtöku beiðninnar, ásamt ástæðum fyrir töfinni.
Í athugasemdum við 17. gr. í frumvarpi því sem varð að lögum nr. 90/2018 segir meðal annars að hafa beri í huga að réttindi samkvæmt ákvæðinu verði ávallt að skoða í ljósi meginreglna 8. gr. þess. Aðgangsréttur einstaklinga er ótvírætt þáttur í kröfu 1. tölul. 1. mgr. þeirrar greinar, sem kveður meðal annars á um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með gagnsæjum hætti gagnvart hinum skráða.
Þá ber einnig að líta til þess að markmið persónuverndarlöggjafarinnar er meðal annars að stuðla að því að farið sé með persónuupplýsingar í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs, sbr. 1. mgr. 1. gr. laganna og 2. mgr. 1. gr. reglugerðarinnar. Aðgangsréttur skráðra einstaklinga er þýðingarmikill í því skyni að þeim sé gert kleift að neyta annarra réttinda sem þeim eru tryggð samkvæmt lögunum og reglugerðinni, s.s. réttarins til leiðréttingar og eyðingar persónuupplýsinga og andmælaréttar. Stuðlar aðgangsrétturinn þannig að því að framangreint markmið náist.
Við skýringu 3. mgr. 12. gr. reglugerðar (ESB) 2016/679 er nauðsynlegt að gæta að því að ákvæðið takmarkast ekki við afgreiðslu aðgangsbeiðna einstaklinga, sbr. 15. gr. reglugerðarinnar, heldur nær það einnig til afgreiðslu beiðna vegna annarra réttinda samkvæmt reglugerðinni, s.s. beiðna um leiðréttingu og eyðingu persónuupplýsinga. Ólík réttindi einstaklinga kalla á mismunandi aðgerðir af hálfu ábyrgðaraðila, allt samkvæmt því hvers eðlis þau réttindi eru sem á reynir hverju sinni. Tekur það orðalag ákvæðisins, að ábyrgðaraðila beri að veita hinum skráða upplýsingar um aðgerðir sem gripið er til í tilefni af beiðni hans, mið af því að ábyrgðaraðili getur þurft að grípa til mismunandi aðgerða vegna beiðna skráðra einstaklinga er varða ólík réttindi. Sú ályktun er í samræmi við 5. mgr. 12. gr. reglugerðar (ESB) 2016/679 sem kveður á um að aðgerðir sem gripið er til skuli vera án endurgjalds. Reglan er nánar skýrð í 59. lið formálsorða reglugerðarinnar en þar segir að koma ætti á nánari reglum til að greiða fyrir því að skráður einstaklingur geti neytt réttar síns samkvæmt reglugerðinni, meðal annars ráðstöfunum sem geri honum kleift að fara fram á og, ef við á, fá því endurgjaldslaust framgengt að honum sé veittur aðgangur að persónuupplýsingum, þær séu leiðréttar eða þeim eytt, sem og að hann geti neytt andmælaréttar síns. Þá segir þar jafnframt að ábyrgðaraðila ætti að vera skylt að svara beiðnum skráðs einstaklings án ótilhlýðilegrar tafar og innan eins mánaðar hið mesta og færa fram rök ef hann hyggst ekki taka slíkar beiðnir til greina.
Samkvæmt öllu því sem að framan er rakið ber að skýra ákvæði 3. mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018, svo að þegar um er að ræða aðgangsbeiðni einstaklings felist viðeigandi aðgerð ábyrgðaraðila í því að veita eða synja um aðgang, sbr. 4. mgr. 12. gr. reglugerðarinnar, þ.m.t. að taka efnislega afstöðu til réttarins til afrits af þeim persónuupplýsingum sem ábyrgðaraðili vinnur með. Samkvæmt því verður að leggja til grundvallar að þegar fallist er á beiðni einstaklings um aðgang að persónuupplýsingum, sbr. framangreint, beri ábyrgðaraðila að afgreiða beiðnina innan þeirra tímamarka sem tilgreind eru í 3. mgr. 12. gr. reglugerðarinnar, þ.e. að jafnaði innan mánaðar frá því að honum berst beiðnin eða þriggja mánaða frá sama tímamarki sé fullnægt skilyrðum ákvæðisins fyrir framlengingu frestsins. Sé beiðninni synjað skal það hins vegar tilkynnt hinum skráða innan mánaðar, sbr. 4. mgr. 12. gr. reglugerðarinnar.
Í máli þessu liggur fyrir að kvartandi óskaði fyrst eftir afriti af þeim persónuupplýsingum sem mannauðsdeild Reykjavíkurborgar hafði til vinnslu og vörðuðu hann með tölvupósti til ábyrgðaraðila þann 23. júlí 2018, í samræmi við 1. og 3. mgr. 15. gr. reglugerðar (ESB) 2016/679. Þann 5. nóvember s.á. sendi Reykjavíkurborg kvartanda afrit af hluta þeirra persónuupplýsinga sem beiðni kvartanda laut að og þann 3. janúar 2019 fékk kvartandi send afrit annarra persónuupplýsinga sem beiðnin varðaði. Þá liggur jafnframt fyrir að Reykjavíkurborg lét kvartanda í té ný afrit af tilteknum persónuupplýsingum þann 4. janúar s.á. þar sem handskrifaður texti var greinilegur.
Hvað varðar beiðni kvartanda um afrit af tilteknum ráðningarsamningi með undirritun f.h. beggja aðila, þ.e. kvartanda og Reykjavíkurborgar, telur Persónuvernd rétt að taka fram að réttur hins skráða til aðgangs að gögnum samkvæmt áðurnefndum ákvæðum nær eingöngu til fyrirliggjandi gagna. Samkvæmt skýringum Reykjavíkurborgar hefur umræddur samningur með undirskrift beggja aðila ekki fundist, en kvartanda var þess í stað afhent afrit af eintaki samningsins án undirskriftar hans sjálfs. Eins og hér háttar til verður miðað við að Reykjavíkurborg hafi með því uppfyllt skyldu sína samkvæmt 1. málsl. 3. mgr. 15. gr. reglugerðar (ESB) 2016/679.
Af framangreindu er ljóst að afhending gagnanna fór ekki fram fyrr en meira en þrír mánuðir voru liðnir frá því að aðgangsbeiðni kvartanda var lögð fram, eða eftir að lögbundnir frestir til afhendingarinnar samkvæmt 3. mgr. 12. gr. reglugerðar (ESB) 2016/679 voru liðnir. Þar sem umbeðin gögn voru afhent kvartanda eftir lögbundinn hámarksfrest, þ.e. þrjá mánuði, telur Persónuvernd ekki þörf á að taka afstöðu til þess hvort skilyrði hafi verið til að framlengja afgreiðslufrestinn.
Verður samkvæmt öllu framangreindu lagt til
grundvallar að Reykjavíkurborg hafi ekki afgreitt aðgangsbeiðni kvartanda í
samræmi við 3. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr.
90/2018.
Ú r s k u r ð a r o r ð:
Afgreiðsla Reykjavíkurborgar á beiðni [A] um aðgang að persónuupplýsingum sem unnið var með um hann hjá mannauðsdeild borgarinnar samrýmdist ekki lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og reglugerð (ESB) 2016/679.
Í Persónuvernd, 28. nóvember 2019
Björg Thorarensen
formaður
Aðalsteinn Jónasson Ólafur Garðarsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson