Miðlun Vegagerðarinnar á umsóknargögnum til ráðningarstofu
Mál nr. 2021051061
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir að persónuupplýsingar kvartanda hefðu verið afhentar ráðningarstofu er hann sótti um starf hjá Vegagerðinni. Í auglýsingu um starfið kom ekki fram að utanaðkomandi einkafyrirtæki fengi aðgang að umsóknargögnum vegna umsókna um starfið.
Samkvæmt Vegagerðinni hefur áður verið notast við ráðningarstofu. Liggur ekki í öllum tilvikum fyrir hvort óskað verði aðstoðar ráðningarfyrirtækis, en ákvörðun um slíkt fari eftir aðstæðum hverju sinni. Í því tilviki sem kvartað var yfir var ákveðið að leita ráðgjafar ráðningarstofu eftir að umsóknarfrestur var liðinn og ljóst var hversu margir umsækjendur voru um starfið. Umsjón, stjórn og ábyrgð hafi þó verið í höndum Vegagerðarinnar sem vísaði einnig til þess að starfsmenn ríkisins gætu átt von á því að upplýsingar þeirra komi fyrir sjónir þriðja aðila.
Þegar persónuupplýsinga er aflað hjá hinum skráð skal ábyrgðaraðili fræða meðal annars um viðtakanda eða flokkum viðtakenda persónuupplýsinganna, ef einhverjir eru. Kvartanda voru ekki veittar upplýsingar um aðkomu ráðningarstofunnar í starfsauglýsingunni eða eftir að umsóknarfresti lauk. Komst Persónuvernd því að þeirri niðurstöðu að vinnsla Vegagerðarinnar á persónuupplýsingum kvartanda hafi ekki samrýmst ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga um fræðsluskyldu og gagnsæi.
Úrskurður
Hinn 4. apríl 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2021051061.
I.
Málsmeðferð
1.
Tildrög máls
Hinn 7. maí 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir afhendingu persónuupplýsinga um hann frá Vegagerðinni til ráðningarstofu. Nánar tiltekið segir að hann hafi sótt um starf hjá Vegagerðinni sem auglýst var í lok árs 2020, en í auglýsingunni hafi ekki komið fram að utanaðkomandi einkafyrirtæki myndi fá aðgang að umsóknargögnum vegna umsókna í starfið.
Með bréfi, dags. 30. ágúst 2021, var Vegagerðinni boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 27. september s.á. Með bréfi, dags. 11. október s.á., var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Vegagerðarinnar. Bárust athugasemdir kvartanda með tölvupósti þann 15. s.m. Með tölvupósti þann 8. febrúar 2022 óskaði Persónuvernd eftir frekari upplýsingum frá Vegagerðinni, en svar barst með bréfi, dags. 14. s.m.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Kvartandi byggir á því að persónuupplýsingar hans hafi verið afhentar utanaðkomandi einkafyrirtæki án þess að hann hafi verið upplýstur um það áður en afhendingin átti sér stað, enda hefði hann þá mögulega látið vera að sækja um starfið. Kvartandi segir að hann hafi gætt þess að upplýsingar um starfsferil hans væru ekki í einkagagnasöfnum ráðningarstofa eða starfsmanna þeirra, sem safni upplýsingum um einstaklinga í fjárhagslegum tilgangi. Einnig segir að hann fallist ekki á að eðlilegt sé að ríkisstofnun auglýsi starf á Starfatorgi, beini umsóknarferli í gegnum ráðningarvef ríkisins og afhendi í kjölfarið upplýsingarnar til ráðningarstofu án þess að umsækjendur séu upplýstir um það.
3.
Sjónarmið Vegagerðarinnar
Í bréfi Vegagerðarinnar segir að Vegagerðin og ráðningarstofan hafi gert með sér vinnslusamning vegna ráðningarverkefna. Í 10. gr. vinnslusamningsins er kveðið á um meðferð persónuupplýsinga að loknu ráðningarferli, en þar segir að vinnsluaðili skuli afhenda eða eyða öllum persónuupplýsingum við lok gildistíma samningsins eða þegar þær eru ekki lengur nauðsynlegar í þeim tilgangi sem þeirra var aflað.
Þá segir að Vegagerðin leiti til ráðgjafa á ýmsum sviðum starfseminnar, meðal annars til ráðgjafa á sviði ráðninga, og feli utanaðkomandi ráðgjöf í sér vinnslu persónuupplýsinga sé gerður sérstakur samningur þar um. Þegar Vegagerðin taki ákvörðun um auglýsingu starfs liggi ekki í öllum tilvikum fyrir hvort óskað verði aðstoðar ráðningarfyrirtækis, en ákvörðun um slíkt fari eftir aðstæðum hverju sinni. Í því tilviki sem hér um ræðir hafi verið ákveðið að leita ráðgjafar ráðningarstofu eftir að umsóknarfrestur var liðinn og ljóst var hversu margir umsækjendur voru um starfið. Hlutverk ráðningarstofunnar hafi fyrst og fremst verið að sjá um ákveðna forvinnu á umsóknargögnum og um samskipti á meðan á ráðningarferlinu stóð. Umsjón, stjórn og ábyrgð á ráðningarferlinu hafi aftur á móti verið að öllu leyti hjá Vegagerðinni. Þá er vísað til þess að umsækjendur um störf megi almennt gera ráð fyrir þeim möguleika að ráðgjafa verði falin afmörkuð verkefni í ráðningarferlinu, eins og raunin hafi verið í þessu tilviki. Jafnframt leiði af ákvæðum laga um réttindi og skyldur starfsmanna ríkisins, nr. 70/1996, stjórnsýslulaga nr. 37/1993 og upplýsingalaga nr. 140/2012 að umsækjandi um starf geti ekki vænst þess að upplýsingar um umsókn hans komi ekki fyrir sjónir þriðja aðila.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Mál þetta lýtur að því að Vegagerðin hafi veitt ráðningarstofu aðgang að persónuupplýsingum sem áttu uppruna sinn í starfsumsókn hans hjá stofnuninni. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila er hins vegar nefndur vinnsluaðili, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Vegagerðin vera ábyrgðaraðili að umræddri vinnslu og ráðningarstofan vinnsluaðili.
2.
Lögmæti miðlunarinnar
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins, en í stjórnsýslurétti er almennt litið svo á að ákvarðanir um ráðningar einstaklinga í opinber störf teljist til stjórnvaldsákvarðana. Verður því almennt talið að stjórnvöldum sé heimilt að vinna með persónuupplýsingar um umsækjendur um störf á grundvelli framangreindrar heimildar.
Ábyrgðaraðila persónuupplýsinga er heimilt að fela vinnsluaðila að vinna fyrir sig persónuupplýsingar að hluta til eða í heild, sbr. 25. gr. laga nr. 90/2018 og 28. gr. reglugerðar (ESB) 2016/679, að tilteknum skilyrðum uppfylltum. Vinnsluaðila er þá einungis heimilt að vinna með persónuupplýsingar fyrir hönd ábyrgðaraðila á grundvelli vinnslusamnings og samkvæmt fyrirmælum hans. Í því tilviki sem hér um ræðir hefur Vegagerðin undirritað vinnslusamning við ráðningarstofuna.
Að framangreindu virtu verður við það miðað að vinnsla á vegum Vegagerðarinnar á persónuupplýsingum í umsóknargögnum kvartanda hafi getað stuðst við heimild í 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 6. gr. reglugerðar (ESB) 2016/679. Þá hafi afhending Vegagerðarinnar á persónuupplýsingum um kvartanda til ráðningarstofunnar getað farið fram á grundvelli vinnslusamnings, sbr. 25. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og 28. gr. reglugerðar (ESB) 2016/679.
3.
Fræðsluskylda - meginreglur
Fram kemur í kvörtuninni að kvartandi hafi ekki verið upplýstur um að persónuupplýsingum hans yrði miðlað til ráðningastofunnar og að ef hann hefði verið upplýstur um það hefði hann mögulega látið vera að sækja um starfið. Af hálfu Vegagerðarinnar hefur komið fram að þegar starf er auglýst liggi ekki ávallt fyrir hvort óskað verði aðstoðar ráðningarstofu, en slíkt fari meðal annars eftir fjölda umsækjenda, umfangs fylgigagna og verkefnastöðu mannauðsdeildar. Voru kvartanda því ekki veittar upplýsingar um aðkomu ráðningarstofunnar í starfsauglýsingunni eða eftir að umsóknarfresti lauk.
Þegar persónuupplýsinga er aflað hjá hinum skráða, eins og hér háttar til, fer um fræðsluskyldu samkvæmt 13. gr. reglugerðarinnar. Í 1. mgr. ákvæðisins segir að þegar persónuupplýsinga um hinn skráða sé aflað hjá honum sjálfum skuli ábyrgðaraðilinn, við söfnun persónuupplýsinganna, skýra honum frá meðal annars viðtakendum eða flokkum viðtakenda persónuupplýsinganna, ef einhverjir eru, sbr. e-lið 1. mgr. 13. gr.
Hugtakið „viðtakandi“ er skilgreint í 9. tölul. 4. gr. reglugerðar (ESB) 2016/679 sem einstaklingur eða lögaðili, opinber yfirvald, sérstofnun eða annar aðili sem fær í hendur persónuupplýsingar, hvort sem hann er þriðji aðili eða ekki. Viðtakandi í þessum skilningi getur því verið ábyrgðaraðili, sameiginlegur ábyrgðaraðili eða vinnsluaðili. Er sú túlkun í samræmi við leiðbeiningar um gagnsæi (WP260 rev. 01 frá 11. apríl 2018) sem Evrópska persónuverndarráðið staðfesti á fyrsta fundi sínum 25. maí 2018, en leiðbeiningarnar voru unnar af forvera ráðsins, svokölluðum 29. gr. vinnuhópi (Article 29 Working Party) sem skipaður var fulltrúum evrópskra persónuverndarstofnana.
Af fyrirliggjandi málsgögnum er ljóst að Vegagerðin veitti kvartanda ekki fræðslu um að persónuupplýsingum hans yrði miðlað til ráðningastofunnar. Þá er slíkar upplýsingar ekki að finna í persónuverndarstefnu Vegagerðarinnar sem aðgengileg er á vefsíðu stofnunarinnar, en jafnframt liggur raunar ekki fyrir að kvartanda hafi verið vísað á persónuverndarstefnuna. Í þessu sambandi ber að líta til þess að samkvæmt 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, er ábyrgðaraðili ábyrgur fyrir því að farið sé að meginreglum löggjafarinnar, þ. á m. um gagnsæi, og skal geta sýnt fram á það.
Með vísan til framangreinds er það niðurstaða Persónuverndar að Vegagerðin hafi ekki veitt kvartanda fræðslu samkvæmt e-lið 13. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018, auk þess sem skilyrði 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar, um gagnsæja vinnslu persónuupplýsinga var ekki uppfyllt.
Ekki verður séð að vinnsla ábyrgðaraðila hafi farið í bága við aðrar meginreglur 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vinnsla Vegagerðarinnar á persónuupplýsingum um kvartanda til ráðningarstofu samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um fræðsluskyldu og gagnsæi.
Persónuvernd, 4. apríl 2022.
Helga Sigríður Þórhallsdóttir Gunnar Ingi Ágústsson