Birting Sambands íslenskra sveitarfélaga á áliti umboðsmanns Alþingis
Mál nr. 2020010677
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir birtingu á áliti umboðsmanns Alþingis á vefsíðu Sambands íslenskra sveitarfélaga. Niðurstaðan var að sambandinu var óheimilt að birta álitið, með persónugreinanlegum upplýsingum um kvartanda þar sem hún hafi ekki samrýmst öllum grunnkröfum persónuverndarlaga.
Úrskurður
Hinn 22. júní 2020 kvað Persónuvernd
upp svohljóðandi úrskurð í máli nr. 2020010677 (áður 2019101833):
I.
Málsmeðferð
1.
Tildrög máls
Hinn 29. október 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir því að Samband íslenskra sveitarfélaga hefði birt á vefsíðu sinni álit umboðsmanns Alþingis, sem innihélt nafn hans og aðrar persónuupplýsingar um hann.
Með bréfi, dags. 31. október 2019, var Sambandi íslenskra sveitarfélaga boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 28. nóvember 2019. Með bréfi, dags. 16. desember 2019, var kvartanda veitt færi á athugasemdum við framangreindar skýringar Sambands íslenskra sveitarfélaga. Svarað var með tölvupósti 23. desember 2019.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Kvartandi telur birtingu álits umboðsmanns Alþingis á vefsíðu Sambands íslenskra sveitarfélaga ekki hafa samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Álitið hafi verið á vefsíðunni vikum saman. Þegar hann hafi uppgötvað það hafi hann haft samband við starfsmann sambandsins og hafi álitið þá verið tekið úr birtingu. Að mati kvartanda er málið alvarlegt og skaðlegt fyrir hans persónu enda hafi verið áfall fyrir hann að uppgötva að trúnaður væri ekki virtur.
3.
Sjónarmið ábyrgðaraðila
Í svari ábyrgðaraðila segir að um mannleg mistök hefði verið að ræða og öryggisbrest, þar sem upplýsingarnar hafi verið birtar óviljandi. Öryggisbresturinn hafi ekki verið tilkynntur til Persónuverndar þar sem sambandið hafi talið að ólíklegt væri að hann leiddi til áhættu fyrir réttindi og frelsi kvartanda. Sambandið hafi því talið nægjanlegt að skrá öryggisbrestinn í frávikaskráningu.
Ástæðan fyrir þessu mati sé að upplýsingar um að aðili hafi sótt um umrætt starf og ekki fengið séu aðgengilegar á grundvelli upplýsingalaga, en í umræddu áliti hafi komið fram að kvartandi hafi sótt um tiltekið starf, hann hafi ekki verið boðaður í viðtal vegna þess og í kjölfarið kvartað til umboðsmanns Alþingis yfir ráðningarferlinu. Upplýsingar um kvörtun aðila til umboðsmanns Alþingis og að hann hafi ekki verið boðaður í viðtal falli ekki undir upplýsingalög, en þó verði að telja að upplýsingarnar skapi ekki áhættu fyrir kvartanda. Samband íslenskra sveitarfélaga hafi talið að skaðleg áhrif þeirra persónuupplýsinga, sem voru gerðar opinberar, væru óveruleg. Um leið og ábending barst frá kvartanda um að álitið hefði verið birt án þess að persónuupplýsingar hans hefðu verið afmáðar hefði skjalið verið tekið úr birtingu og þess í stað vísað í umrætt álit umboðsmanns Alþingis í nafnhreinsaðri útgáfu á vefsíðu hans. Þá kemur fram að farið hafi verið yfir verkferla innan sambandsins til að fyrirbyggja að mistök af þessu tagi geti átt sér stað aftur.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að birtingu persónuupplýsinga á vefsíðu. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Samband íslenska sveitarfélaga vera ábyrgðaraðili að umræddri vinnslu.
Í bréfaskiptum vegna máls þessa var meðal annars vísað til þess að hér kynni að vera um að ræða öryggisbrest sem tilkynna bæri til Persónuverndar. Málsaðilar telja báðir að birtingin hafi falið í sér öryggisbrest. Þá greinir hins vegar á um hvort hann bar að tilkynna til Persónuverndar, en það var ekki gert.
Samkvæmt 2. mgr. 39. gr. laga nr. 90/2018 á sérhver skráður einstaklingur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við reglugerð (ESB) 2016/679 eða lögin. Að því virtu verður í úrskurði þessum einungis tekin afstaða til þess hvort birting persónuupplýsinga um kvartanda á vefsíðu Sambands íslenskra sveitarfélaga samrýmdist lögum nr. 90/2018.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Þær heimildir sem einkum koma til álita í tengslum við vinnslu persónuupplýsinga hjá stjórnvöldum eru að vinnsla sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr., eða vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. sama ákvæðis.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.); og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.).
Samkvæmt
þeim upplýsingum sem liggja fyrir í máli þessu var birting framangreindra
persónuupplýsinga afleiðing mistaka og engin heimild fyrir henni samkvæmt 9.
gr. laga nr. 90//2018. Samrýmdist hún því ekki ákvæðum laganna.
Ú r s k u r ð a r o r ð:
Birting Sambands íslenskra sveitarfélaga á persónuupplýsingum um [A] á vefsíðu þess samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Í Persónuvernd, 22. júní 2020
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir