Úrlausnir

Álit Persónuverndar vegna skráningar og vinnslu persónuupplýsinga í tengslum við mansal á Íslandi

Mál nr. 2016/1492

2.10.2017

Persónuvernd hefur veitt álit á ályktun frá Rauða krossi Íslands um skráningu og vinnslu persónuupplýsinga vegna mansals á Íslandi. 

Álit

Hinn 22. ágúst 2017 samþykkti stjórn Persónuverndar, með vísun til 5. tölul. 3. mgr. 37. gr. laga nr. 77/2000, svohljóðandi álit í máli nr. 2016/1492:

I.

Málsmeðferð

Persónuvernd barst tölvupóstur [A], verkefnastjóra neyðarvarna - 1717, þann 17. október 2016. Þar er óskað eftir áliti Persónuverndar á ályktun sem unnin var af verkefnisstjóra Rauða kross Íslands um skráningu og vinnslu persónuupplýsinga vegna mansals á Íslandi, með hliðsjón af lögum um persónuvernd og meðferð persónuupplýsinga nr. 77/2000. Þá er óskað eftir því að metið verði hvort þær aðgerðir sem eru lagðar til í skjalinu, samræmist nýrri persónuverndarlöggjöf sem taka mun gildi í Evrópu 2018.

1.1.

Markmið ályktunarinnar

Í inngangi ályktunarinnar er vísað til þess að í áætlun ríkisstjórnar Íslands um aðgerðir gegn mansali árin 2013-2016 sé meðal annars lögð áhersla á að viðurkenna hlutverk frjálsra félagasamtaka við vitundarvakningu og forvarnir gegn mansali og stefnt að samstarfi og þátttöku þar sem við eigi. Þann 10. desember 2015, á alþjóðaráðstefnu Rauða krossins og aðildarríkja Genfarsáttmálans, hafi íslensk stjórnvöld og Rauði krossinn á Íslandi skrifað undir heit þar sem Rauði krossinn hafi skuldbundið sig til að láta að sér kveða í baráttunni gegn mansali í samstarfi við íslensk stjórnvöld. Heitin feli meðal annars í sér að notast við og kynna hjálparlínu sem gátt fyrir þolendur mansals. Í því skyni muni Hjálparsími Rauða krossins 1717 verða nýttur sem upplýsingasími og sálfélagslegt úrræði fyrir mögulega þolendur mansals á Íslandi. Hlutverk Hjálparsímans sé því fyrst og fremst að veita virka hlustun og ráðgjöf til þeirra sem til hans leiti vegna mansals.

Þá segir að til umræðu hafi komið hvort þörf sé á því að Hjálparsíminn skrái niður persónuupplýsingar þegar grunur leiki á að tilvik flokkist undir mansal. Í ályktuninni sé lagt mat á hvort lagaheimild sé fyrir vinnslu persónuupplýsinga og hvaða áhrif slík vinnsla muni hafa á starfsemi Hjálparsímans. Á grundvelli þessarar vinnu verði leitast við að móta verklagsreglur fyrir skráningu símtala vegna mansals.

1.2.

Um Hjálparsímann

Í ályktuninni kemur fram að Hjálparsíminn sé samfélagslegt úrræði og skjólstæðingum hans sé heitið fullri nafnleynd, trúnaði og hlutleysi varðandi allt það sem kunni að koma fram í símtalinu. Í þessu felist að skjólstæðingum sé ekki skylt að gefa upp persónugreinanlegar upplýsingar. Kjósi þeir hins vegar að veita slíkar upplýsingar séu þær ekki skráðar niður og því ómögulegt að rekja þær til einstaklinganna með beinum eða óbeinum hætti. Þá ríki fullur trúnaður við vinnslu upplýsinga, en í því felist að upplýsingar um símtöl séu ekki afhentar þriðja aðila og þær séu aðeins aðgengilegar þeim sem starfi við Hjálparsímann á grundvelli undirritaðs samnings um trúnaðar- og þagnarskyldu. Skráning, vinnsla og varsla þeirra gagna fari fram í læstum gagnagrunni frá þjónustuaðilanum Salesforce. Frávik frá trúnaðar- og þagnarskyldu Hjálparsímans séu þó gerð vegna lögbundinnar tilkynningarskyldu samkvæmt IV. kafla barnaverndarlaga nr. 80/2002. Í slíkum tilfellum séu persónuupplýsingar ekki geymdar í gagnagrunni Hjálparsímans heldur aðeins komið áfram til viðeigandi aðila, svo sem lögreglu eða barnaverndar.

Þá kemur fram að Hjálparsíminn sé hugsaður sem þolendamiðað úrræði og að ákvörðunarréttur skjólstæðinga sé virtur í nafni hlutleysis. Af því leiði að möguleg skráning og vinnsla upplýsinga fari aðeins fram með samþykki skjólstæðinga í þeim tilgangi að veita þeim sérhæfðari aðstoð og stuðning. Í ljósi þess séu persónuupplýsingar einungis skráðar og unnar ef fyrir liggi að það samræmist hagsmunum og vilja mögulegra þolenda. Þegar Hjálparsíminn skrái niður persónuupplýsingar um mögulega þolendur og/eða gerendur mansals sé það aðeins gert til að miðla upplýsingum til Lögreglunnar á höfuðborgarsvæðinu. Slíkri upplýsingamiðlun sé ætlað að þjóna tvenns konar tilgangi, þ.e. að þjónusta mögulega þolendur mansals um frekari aðstoð og stuðning og sporna við mögulegri starfsemi mansals. Í þessu samhengi sé þó vert að benda á að símtöl í Hjálparsímann séu aldrei hljóðrituð. Því geti reynst erfitt að sanna ótvírætt samþykki ef á reyni. Í ljósi þess sé æskilegt að skráning persónuupplýsinga styðjist við aðra heimild að lögum.

1.3.

Skráning upplýsinga með samþykki

Í ályktuninni segir að þegar hinn skráði sé sá sem veitir upplýsingar, þ.e. þolandi mansals, liggi í augum uppi að fyrir liggi ótvírætt samþykki skv. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Með hliðsjón af því, og með vísan til hagsmuna hins skráða, sé ályktað að skráning upplýsinga frá þolendum sjálfum sé heimil samkvæmt 1. og 6. tölul. 1. mgr. 8. gr. og 1. og 4. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Þá segir að verklagsreglur Hjálparsímans myndu í framkvæmd taka mið af 7. tölul. 2. gr. sömu laga, en í ákvæðinu er samþykki skilgreint sem sérstök, ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.

1.4.

Skráning upplýsinga án samþykkis

Í ályktuninni kemur fram að þegar fjallað sé um skráningu upplýsinga án samþykkis sé átt við upplýsingar sem berist frá öðrum en hinum skráða. Slíkar upplýsingar kunni að berast frá þolendum mansals eða þriðja aðila sem standi utan þess sem tilkynnt er. Þegar tilkynning berist frá þriðja aðila beri að líta til þess að óheimilt sé að skrá persónuupplýsingar um tiltekinn einstakling án samþykkis hans, nema skráningin styðjist við aðra heimild í 1. mgr. 8. gr. og 1. mgr. 9. gr. laga nr. 77/2000. Berist upplýsingar um þolanda mansals frá þriðja aðila fari skráning þeirra fram í þeim tilgangi að miðla þeim til Lögreglunnar á höfuðborgarsvæðinu, til þess að vernda brýna hagsmuni hins skráða, þ.e. þolanda, enda sé hann ekki fær um að gefa samþykki sitt. Berist upplýsingar um gerendur mansals frá þriðja aðila eða þolanda fari skráning persónuupplýsinga fram í þeim tilgangi að miðla upplýsingum til Lögreglunnar á höfuðborgarsvæðinu vegna beitingar opinbers valds. Vinnsla slíkra upplýsinga verði einnig að teljast nauðsynleg til þess að Lögreglan á höfuðborgarsvæðinu geti gætt lögmætra hagsmuna þolenda. Því sé ályktað að skráning persónuupplýsinga, án samþykkis, sé heimil með vísan til 4., 6. og 7. tölul. 1. mgr. 8. gr. og 4. tölul. 1. mgr. 9. gr. laga nr. 77/2000.

Í ályktuninni er að auki fjallað um upplýsingarétt og upplýsingaskyldu, sem og fræðslu- og viðvörunarskyldu, sbr. 16., 18., 19. og 21. gr. laga nr. 77/2000. Þá segir að 16. gr., 1. mgr. 18. gr. og 1. mgr. 21. gr. eigi þó ekki við ef lagaheimild standi til skráningar eða miðlunar upplýsinga eða hagsmunir hins skráða af því að fá vitneskju um upplýsingarnar þyki eiga að víkja fyrir veigamiklum almannahagsmunum eða einkahagsmunum, þ.m.t. hagsmunum hans sjálfs, sbr. 4. mgr. 21. gr. laganna. Fram kemur að í þessu samhengi liggi beinast við að hagsmunir hins skráða, þ.e. geranda mansals, eigi að víkja fyrir einkahagsmunum þolenda, þar sem upplýsingar til gerenda mansals kunni að ógna hagsmunum þolenda. Er sú ályktun dregin að upplýsingaréttur hins skráða skv. 18. gr. laganna eigi ekki við með vísan til 2. mgr. 19. gr. þeirra.

1.5.

Niðurstaða ályktunar Rauða kross Íslands

Í ályktuninni er að lokum komist að þeirri niðurstöðu, með vísan til 1. og 6. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000, að Hjálparsímanum sé heimilt að skrá persónuupplýsingar um þolendur mansals, berist þær frá hinum skráða, til þess eins að miðla upplýsingum til Lögreglunnar á höfuðborgarsvæðinu. Jafnframt sé heimilt að skrá persónuupplýsingar án samþykkis hins skráða til þess að miðla þeim til lögreglu, með stoð í 4., 6. og 7. tölul. 1. mgr. 8. gr. og 4. tölul. 1. mgr. 9. gr. sömu laga. Upplýsingaskylda hvíli á Hjálparsímanum að því leyti að upplýsa beri skjólstæðing um tilgang vinnslu persónuupplýsinga, hvernig hún fari fram, hvernig persónuvernd verði tryggð og að honum sé heimilt að afturkalla samþykki sitt, sbr. 7. tölul. 2. gr. laganna. Upplýsingaréttur hins skráða á grundvelli 1. mgr. 18. gr. laganna eigi hins vegar ekki við, með vísan til 2. mgr. 19. gr. þeirra.

1.6.

Bréfaskipti

Með bréfi til Rauða kross Íslands, dags. 10. apríl 2017, ítrekuðu 22. maí s.á., benti Persónuvernd á að vistun gagna hjá Salesforce fæli, samkvæmt upplýsingum á vefsíðu fyrirtækisins, í sér flutning þeirra til Bandaríkjanna og vistun í tölvuskýi. Af því tilefni óskaði Persónuvernd eftir ítarlegri upplýsingum um fyrirhugaða notkun á hugbúnaðinum. Í svarbréfi Rauða kross Íslands, dags. 6. júní 2017, sbr. einnig símtal starfsmanns Persónuverndar við starfsmann Rauða krossins 11. apríl 2017, kemur fram að Rauði krossinn skrái hvorki né hyggist skrá persónugreinanlegar upplýsingar í Salesforce-kerfið.

Með símtali við starfsmann Rauða kross Íslands 27. júlí 2017 óskaði Persónuvernd eftir upplýsingum um tilhögun á fyrirhugaðri skráningu og miðlun persónuupplýsinga um þolendur og gerendur mansals til lögreglu. Í símtalinu kom fram að ekki hefði verið ákveðið hvernig skráningu og miðlun þessara upplýsinga yrði háttað. Fram hefði komið hugmynd um að lögregla kæmi upp tilkynningarhnappi á Netinu, sem starfsmenn Hjálparsímans gætu nýtt í þessum tilgangi. Á meðan engin slík lausn hefði verið tekin í notkun mætti e.t.v. skrá upplýsingarnar í Word-skjal, miðla þeim símleiðis til lögreglu án tafar og eyða skjalinu að því loknu.

II.

Svar við álitsbeiðni

2.1.

Gildissvið laga nr. 77/2000 – Ábyrgðaraðili

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna, og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að um er að ræða meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Rauði kross Íslands vera ábyrgðaraðili að umræddri vinnslu.

2.2.

Lögmæti vinnslu

Vinnsla almennra persónuupplýsinga um einstaklinga verður að samrýmast einhverju af skilyrðum 8. gr. laga nr. 77/2000 svo hún sé heimil. Ef vinna á með viðkvæmar persónuupplýsingar verður að auki að vera fullnægt einhverju af skilyrðum 9. gr. sömu laga. Viðkvæmar persónuupplýsingar eru skilgreindar í 8. tölul. 2. gr. laganna, en undir hugtakið falla meðal annars upplýsingar um það hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, sbr. b-lið ákvæðisins, upplýsingar um heilsuhagi, sbr. c-lið þess, og upplýsingar um kynlíf manna og kynhegðan, sbr. d-lið þess. Samkvæmt framansögðu er ljóst að skráning og miðlun upplýsinga um gerendur og þolendur mansals felur í sér vinnslu viðkvæmra persónuupplýsinga og þarf að styðjast við heimild í 8. og 9. gr. laga nr. 77/2000.

2.2.1.

Vinnsla persónuupplýsinga á grundvelli samþykkis hins skráða

Vinnsla viðkvæmra persónuupplýsinga getur verið heimil á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Þar sem um viðkvæmar persónuupplýsingar er að ræða þarf samþykkið að uppfylla skilyrði 7. tölul. 2. gr. laganna, og þarf það því að fela í sér sérstaka, ótvíræða yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv. Sönnunarbyrðin fyrir því að fullnægjandi fræðsla hafi verið veitt þegar samþykkis var aflað hvílir á ábyrgðaraðila. Þá þarf samþykkið að vera ótvírætt og yfirlýst og ná til allrar þeirrar vinnslu sem fyrirhuguð er, þ.e. skráningar upplýsinganna og miðlunar þeirra til þriðja aðila.

Þess ber jafnframt að geta að samþykki er persónubundið, þ.e. bundið við hinn skráða, persónu hans og hæfi. Hann þarf því að hafa aldur og hæfi til að taka ákvörðun þar að lútandi. Ábyrgðaraðila er samkvæmt framansögðu rétt að fara þess á leit við þann sem gefur slíka yfirlýsingu að hann sanni á sér deili.

Sönnunarbyrði um tilvist samþykkis sem vinnsluheimildar hvílir á ábyrgðaraðila. Í ályktun Rauða kross Íslands kemur ekki fram hvernig samtökin hyggjast tryggja sér slíka sönnun, veita tilskilda fræðslu eða sýna fram á að samþykki fyrir skráningu og miðlun upplýsinga um gerendur og þolendur mansals uppfylli kröfur 7. tölul. 2. gr. laga nr. 77/2000 að öðru leyti. Persónuvernd telur engu að síður að fyrrgreind vinnsla geti stuðst við samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laganna, að því gefnu að samþykkið uppfylli skilyrði laganna. Æskilegt er að Rauði kross Íslands setji sér verklagsreglur um vinnsluna, þar sem meðal annars verði fjallað um fræðslu gagnvart hinum skráðu og hvernig samþykkis verði aflað með fullnægjandi hætti.

2.2.2.

Vinnsla persónuupplýsinga án samþykkis hins skráða

Í ályktun Rauða kross Íslands er einnig vísað til þess að skráning og miðlun persónuupplýsinga um gerendur og þolendur mansals geti stuðst við 4., 6. og 7. tölul. 1. mgr. 8. gr., sem og 4. tölul. 1. mgr. 9. gr. laga nr. 77/2000.

Samkvæmt 4. tölul. 1. mgr. 8. gr. er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að vernda brýna hagsmuni hins skráða. Í athugasemdum við ákvæðið í frumvarpi því, sem varð að lögum nr. 77/2000, segir að um slíkt geti t.d. verið að ræða sé hinn skráði, vegna sjúkdóms, fjarveru eða af öðrum samsvarandi ástæðum, ófær um að veita samþykki sitt. Sama eigi við sé vinnsla upplýsinga um hinn skráða svo áríðandi að hún geti ekki beðið þann tíma sem það tekur að afla slíks samþykkis. Af athugasemdunum má ráða að ákvæðið á einkum við þegar hinn skráði er ófær um að veita samþykki sitt fyrir vinnslunni. Geti hann hins vegar veitt samþykki sitt, en vilji það ekki, verður vinnslan ekki studd við heimild í þessu ákvæði.

Í 6. tölul. 1. mgr. 8. gr. laganna er vinnsla persónuupplýsinga heimiluð sé hún nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með. Þá er slík vinnsla heimil á grundvelli 7. tölul. sama ákvæðis sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Fari vinnslan fram í því skyni að miðla upplýsingum um hugsanleg lögbrot til lögreglu eða annarra eftirlitsstjórnvalda, svo sem barnaverndaryfirvalda, telur Persónuvernd að hún geti stuðst við heimild í þessum ákvæðum, eftir atvikum með hliðsjón af 1. tölul. 1. mgr. 8. gr. Getur það til að mynda átt við um miðlun persónuupplýsinga til lögreglu um gerendur mansals. Þess ber þó að geta að fari vinnslan fram á grundvelli 7. tölul. ákvæðisins ber ábyrgðaraðila að viðhafa mat á því hvort hagsmunir hins skráða af því að vinnslan fari ekki fram vegi þyngra en þeir hagsmunir sem mæla með vinnslunni.

Vinnsla viðkvæmra persónuupplýsinga þarf jafnframt að styðjast við heimild í 1. mgr. 9. gr. laganna, en eins og áður segir vísar Rauði kross Íslands til 4. tölul. 1. mgr. 9. gr. í ályktun sinni. Samkvæmt því ákvæði er vinnsla viðkvæmra persónuupplýsinga heimil sé hún nauðsynleg til að verja verulega hagsmuni hins skráða eða annars aðila sem ekki er sjálfur fær um að gefa samþykki sitt skv. 1. tölul. ákvæðisins. Eins og fram kemur í athugasemdum við ákvæðið í frumvarpi því, sem varð að lögum nr. 77/2000, byggist þessi undantekning á c-lið 2. mgr. 8. gr. tilskipunar 95/46/EB og gefa hin ströngu skilyrði til kynna að ákvæðið beri að túlka þröngt. Af orðalagi tilskipunarinnar má ráða að vinnsla viðkvæmra persónuupplýsinga megi ekki fara fram þegar hinn skráði gefur ekki samþykki sitt þótt hann geti það, jafnvel þótt hann tefli eigin hagsmunum þar með í tvísýnu. Hafi hinn skráði gerhæfi og skilji þá áhættu sem hann tekur á hann ákvörðunarvald í þeim efnum. Með vísan til framangreinds er það álit Persónuverndar að vinnsla viðkvæmra persónuupplýsinga um gerendur og þolendur mansals geti almennt ekki stuðst við 4. tölul. 1. mgr. 9. gr.

Samkvæmt 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er vinnsla viðkvæmra persónuupplýsinga einnig heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Í athugasemdum við ákvæðið í frumvarpi því sem varð að lögum nr. 77/2000 kemur fram að það sé ekki skilyrði að málið verði lagt fyrir dómstóla heldur nægi að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum. Mansal er refsivert samkvæmt 227. gr. a almennra hegningarlaga nr. 19/1940 og telur Persónuvernd að miðlun viðkvæmra persónuupplýsinga til lögreglu vegna gruns um slíkt brot geti almennt stuðst við heimild í umræddu ákvæði laga nr. 77/2000.

2.2.3.

Upplýsingaréttur hins skráða

Í 18. gr. laga nr. 77/2000 er að finna ákvæði um upplýsingarétt hins skráða. Þar kemur fram að hinn skráði eigi rétt á að fá frá ábyrgðaraðila vitneskju um hvaða upplýsingar um hann er eða hefur verið unnið með, tilgang vinnslunnar, hver fær, hefur fengið eða mun fá upplýsingar um hann, hvaðan upplýsingarnar koma og hvaða öryggisráðstafanir eru viðhafðar við vinnslu, enda skerði það ekki öryggi vinnslunnar.

Upplýsingarétti hins skráða samkvæmt 18. gr. laganna eru nokkur takmörk sett í 19. gr. þeirra. Í þessu tilviki kemur einkum til skoðunar 2. mgr. þeirrar greinar, þar sem m.a. kemur fram að ákvæði 18. gr. eigi ekki við ef réttur hins skráða samkvæmt því ákvæði þykir eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra eða hans eigin. Í ályktun Rauða kross Íslands er á því byggt að þessi undanþága eigi við þegar þolendur mansals veita persónuupplýsingar um gerendur, en þá eigi hagsmunir gerendanna af því að fá upplýsingar á grundvelli 18. gr. laganna að víkja fyrir hagsmunum þolenda í þessu samhengi. Ekki er fjallað um þær aðstæður þegar þolendur mansals veita upplýsingar um aðra þolendur.

Ákvæði 19. gr. fela í sér takmörkun á grundvallarréttindum hins skráða og ber því að túlka þau þröngt, en upplýsingaréttur hins skráða er varinn af 8. gr. mannréttindasáttmála Evrópu og 71. gr. stjórnarskrárinnar, sbr. einnig 8. gr. Evrópuráðssamnings nr. 108, um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga. Í ályktun Rauða kross Íslands er komist að þeirri niðurstöðu að ákvæðið eigi almennt við þegar þolendur mansals veita persónuupplýsingar um gerendur, án frekari skoðunar á málavöxtum hverju sinni. Í ljósi framangreinds telur Persónuvernd hins vegar að meta verði í hverju einstöku tilviki hvort tilefni sé til að beita umræddu undanþáguákvæði. Tekið skal þó fram að stofnunin telur jafnframt mega líta svo á að hér ræði um aðstæður sem undir það geti fallið, sbr. til hliðsjónar 5. mgr. 19. gr., þess efnis að dragi veiting vitneskju um tilteknar upplýsingar úr möguleikum á að leiða til lykta mál sem er til meðferðar megi fresta veitingu upplýsinganna þar til lokið sé undirbúningi málsmeðferðar. Þá skal áréttað að sé vinnsla persónuupplýsinganna byggð á samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laganna, þarf ávallt að veita hinum skráða tiltekna fræðslu áður en samþykkið er veitt, sbr. kafla 2.2.5. hér á eftir.

2.2.4.

Fræðsluskylda ábyrgðaraðila

Í 20. gr. laga nr. 77/2000 er fjallað um fræðsluskyldu ábyrgðaraðila þegar persónuupplýsinga er aflað hjá hinum skráða. Samkvæmt ákvæðinu ber ábyrgðaraðila að upplýsa hinn skráða um nánar tiltekin atriði, svo sem tilgang vinnslunnar og viðtakendur eða flokka viðtakenda upplýsinganna. Engar undanþágur eru gerðar frá skyldu ábyrgðaraðila samkvæmt ákvæðinu að öðru leyti en því að fræðsluskyldan er ekki fyrir hendi hafi hinn skráði þegar fengið vitneskju um þau atriði sem hún tekur til, sbr. 2. mgr. 20. gr. laganna. Af þessu leiðir að Rauða krossi Íslands ber, auk annars, að upplýsa viðmælendur Hjálparsímans um að upplýsingum um gerendur og þolendur mansals verði miðlað til lögreglu og/eða annarra eftirlitsstjórnvalda, að því gefnu að miðlunin sé heimil samkvæmt ákvæðum laga nr. 77/2000.

Í ályktun Rauða krossins er vísað til 21. gr. laga nr. 77/2000, en ákvæðið fjallar um viðvörunarskyldu ábyrgðaraðila þegar persónuupplýsinga er aflað hjá öðrum en hinum skráða sjálfum. Er ábyrgðaraðila þá gert að upplýsa hann um tiltekin atriði, þar á meðal um tilgang vinnslunnar, tegundir eða flokka þeirra upplýsinga sem unnið er með, hvaðan upplýsingarnar koma, og viðtakendur eða flokka viðtakenda upplýsinganna, sbr. 3. mgr. 21. gr. Samkvæmt 4. mgr. ákvæðisins gilda frá því vissar undantekningar og vísar Rauði krossinn í því sambandi til 4. tölul. þeirrar málsgreinar, þar sem fram kemur að ákvæði 1. mgr. gildi ekki ef hagsmunir hins skráða af því að fá vitneskju um upplýsingarnar þykja eiga að víkja fyrir veigamiklum almannahagsmunum eða einkahagsmunum, þ.m.t. hagsmunum hans sjálfs.

Ákvæðinu gerir ráð fyrir að fram fari mat á hverju einstöku tilviki. Þá felur það í sér undantekningarreglu, líkt og 19. gr. laganna, og ber því að túlka það þröngt. Þeir einkahagsmunir sem heimilt er að verja samkvæmt ákvæðinu eru t.d. vernd mannréttinda þriðja manns og má því fallast á að ákvæðið geti átt við þegar skráðar eru upplýsingar um þá sem tengjast mansali. Þá skal áréttað að sé vinnsla persónuupplýsinganna byggð á samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laganna, þarf ávallt að veita hinum skráða tiltekna fræðslu áður en samþykkið er veitt, sbr. kafla 2.2.5. hér á eftir.

2.2.5.

Meginreglur 7. gr. laga nr. 77/2000

Öll vinnsla persónuupplýsinga þarf að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

Eins og fram kemur í athugasemdum við 1. tölul. 1. mgr. 7. gr. frumvarps þess, sem síðar varð að lögum nr. 77/2000, getur vinnsla persónuupplýsinga vart talist sanngjörn nema hinn skráði geti fengið vitneskju um hana og eigi, þegar söfnun upplýsinganna á sér stað, kost á fullnægjandi upplýsingum um vinnubrögð, vinnuferli og annað er lýtur að vinnslunni. Reglan er þannig nátengd ákvæðum laganna um upplýsingarétt hins skráða og fræðsluskyldu ábyrgðaraðila, sem áður var fjallað um.

Í ályktun Rauða kross Íslands kemur fram að skjólstæðingum Hjálparsímans sé heitið fullum trúnaði og nafnleynd. Slík fullyrðing samrýmist ekki þeim fyrirætlunum Rauða kross Íslands að miðla persónuupplýsingum, sem veittar eru í símtali við Hjálparsímann, til þriðja aðila án þess að samþykki skjólstæðingsins hafi verið veitt fyrir því. Til þess að skráning og miðlun upplýsinganna við þær aðstæður samrýmist 1. tölul. 1. mgr. 7. gr. laganna er því nauðsynlegt að skjólstæðingurinn fái, áður en upplýsingagjöf hefst, réttar upplýsingar um þá vinnslu sem fyrirhuguð er, svo sem upplýsingar um viðtakendur eða flokka viðtakenda upplýsinganna, sbr. a-lið 3. mgr. 20. gr. laganna.

3.

Samræmi við nýja persónuverndarlöggjöf

Rauði kross Íslands hefur jafnframt óskað eftir því að metið verði hvort ályktun samtakanna samrýmist nýrri Evrópulöggjöf um persónuvernd sem taka mun gildi 2018. Er þar vísað til reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Umrædd reglugerð hefur ekki enn verið tekin upp í EES-samninginn og verið innleidd í íslenska löggjöf. Persónuvernd hefur því enn sem komið er ekki forsendur til að meta hvort ályktun Rauða krossins samrýmist henni.

4.

Niðurstaða

Það er álit Persónuverndar að vinnsla Rauða kross Íslands á viðkvæmum persónuupplýsingum um gerendur og þolendur mansals geti stuðst við 1., 6. og eftir atvikum 7. tölul. 1. mgr. 8. gr., sem og 1. og 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000.

Persónuvernd telur undanþágu 2. mgr. 19. gr. laganna frá upplýsingarétti hins skráða samkvæmt 18. gr. laganna, sem og undanþágu 4. tölul. 4. mgr. 21. gr. frá viðvörunarskyldu samkvæmt 1. mgr. sömu greinar, geta átt við um þær aðstæður sem hér um ræðir. Þá er það álit Persónuverndar að Rauða krossi Íslands beri að veita hinum skráða fræðslu skv. 20. gr. laganna þegar persónuupplýsinga er aflað hjá honum sjálfum.

Að lokum telur Persónuvernd að fullyrðing í ályktun Rauða kross Íslands um að skjólstæðingum Hjálparsímans sé heitið fullum trúnaði og nafnleynd samrýmist ekki þeim fyrirætlunum samtakanna að miðla persónuupplýsingum, sem veittar eru í símtali við Hjálparsímann, til þriðja aðila án þess að samþykki skjólstæðingsins hafi verið veitt fyrir því. Til þess að skráning og miðlun upplýsinganna við þær aðstæður samrýmist 1. tölul. 1. mgr. 7. gr. laganna sé nauðsynlegt að skjólstæðingurinn fái, áður en upplýsingagjöf hefst, réttar upplýsingar um þá vinnslu sem fyrirhuguð er, svo sem upplýsingar um viðtakendur eða flokka viðtakenda upplýsinganna, sbr. a-lið 3. mgr. 20. gr. laganna.



Var efnið hjálplegt? Nei