Miðlun viðkvæmra persónuupplýsinga um barn af hálfu Garðabæjar

Mál nr. 2022061030

19.6.2023

Úrskurður

um kvörtun yfir miðlun persónuupplýsinga af hálfu Garðabæjar í máli nr. 2022061030:

I.
Málsmeðferð
1.
Tildrög máls

Hinn 7. júní 2022 barst Persónuvernd kvörtun frá [A] og [B] fyrir hönd ólögráða barns þeirra (hér eftir nefnd kvartendur) yfir miðlun persónuverndarfulltrúa Garðabæjar á viðkvæmum persónuupplýsingum barnsins til úrskurðarnefndar um upplýsingamál (ÚNU).

Nánar tiltekið er kvartað yfir miðlun á persónuupplýsingum um heilsufar barnsins til ÚNU vegna máls er kvartendur hófu hjá nefndinni í kjölfar gagnabeiðni þeirra í eineltismáli hjá [skóla] er varðaði umrætt barn.

Þar sem Persónuvernd hafði áður leyst úr sambærilegu ágreiningsefni upplýsti stofnunin kvartanda um það með bréfi, dags. 14. nóvember 2022, og óskaði jafnframt eftir að kvartandi upplýsti stofnunina um það hvort hann óskaði enn eftir efnislegri úrlausn á kvörtun sinni. Hinn 25. s.m. barst Persónuvernd tölvupóstur frá kvartanda með staðfestingu þess efnis að hann óskaði enn eftir efnislegri úrlausn kvörtunar sinnar. Persónuvernd bauð Garðabæ að tjá sig um kvörtunina með bréfi, dags. s.d., og bárust svör bæjarins þann 28. desember s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Garðabæjar með bréfi, dags. 30. janúar 2023, og bárust þær með tölvupósti 16. febrúar s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.
Sjónarmið kvartenda

Af hálfu kvartenda hefur komið fram að upphaf málsins eigi rætur sínar að rekja til beiðni þeirra um gögn frá [skóla] í eineltismáli barns þeirra. Í stað þess að afhenda umbeðin gögn hafi persónuverndarfulltrúi Garðabæjar sent svör til ÚNU ásamt viðkvæmum persónuupplýsingum um heilsufar barns þeirra. Umræddum upplýsingum hafi verið miðlað án þeirra samþykkis og að nauðsynjalausu fyrir meðferð málsins sem þar var til úrlausnar.

3.
Sjónarmið Garðabæjar

Af hálfu Garðabæjar hefur komið fram að barn kvartenda hafi verið nemandi í [skóla] og hafi meint eineltismál verið þar til meðferðar í langan tíma. Kvartendur hafi leitað til ÚNU og hafið þar mál vegna gagnabeiðni þeirra hjá skólanum. Persónuverndarfulltrúi Garðabæjar hafi sent umræddar upplýsingar sem hafi verið nauðsynlegar til að skýra samhengi hlutanna, málavexti og verja kröfur bæjarins við málsmeðferð stjórnsýslumálsins hjá ÚNU. Mál kvartenda fyrir nefndinni séu fjölmörg eða 18 talsins. Í ljósi framangreinds og málafjölda kvartenda vegna sama málefnis hjá nefndinni telur Garðabær að kvartendur hefðu mátt gera sér grein fyrir að viðkvæmar persónuupplýsingar um barn þeirra kynnu að koma fram á grundvelli málsmeðferðarreglna fyrir nefndinni og heimilda hennar til að óska eftir gögnum. Auk þess hafi umræddar upplýsingar þegar legið fyrir hjá nefndinni, m.a. í áliti fagráðs eineltismála frá 25. mars 2020 sem ÚNU hefði fengið upplýsingar um en jafnframt vegna fyrri mála kvartenda hjá nefndinni.

II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili – Lagaumhverfi

Mál þetta lýtur að miðlun persónuupplýsinga um barn kvartenda af hálfu persónuverndarfulltrúa Garðabæjar og fellur því undir valdsvið Persónuverndar. Eins og hér háttar til verður Garðabær talinn ábyrgðaraðili að umræddri vinnslu, sbr. 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt b-lið 3. tölul. 3. gr. laganna eru persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings viðkvæmar, en af kvörtun verður ráðið að unnið hafi verið með upplýsingar um heilsufar barns kvartenda. Eins og hér háttar til kemur þá einkum til skoðunar 6. tölul. 1. mgr. 11. gr., þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, sbr. f-lið 2. mgr. 9. gr. reglugerðarinnar.

Við mat á því hvort heimild standi til vinnslu persónuupplýsinga og því hvort skilyrðum sé fullnægt fyrir vinnslu viðkvæmra persónuupplýsinga verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Eins og hér háttar til telur Persónuvernd einkum að líta verði til upplýsingalaga nr. 140/2012 og stjórnsýslulaga nr. 37/1993. Verður hlutaðeigandi laga getið hér að neðan eftir því sem við á.

Úrskurðarnefnd um upplýsingamál er starfrækt á grundvelli V. kafla upplýsingalaga nr. 140/2012 til að leysa úr ágreiningsmálum um aðgang almennings að upplýsingum hjá stjórnvöldum. Samkvæmt 2. mgr. 22. gr. sömu laga er þeim sem kæra beinist að skylt að láta nefndinni í té afrit af þeim gögnum sem kæra lýtur að, enda falli viðkomandi undir gildissvið laganna skv. I. kafla. Nefndin getur mælt svo fyrir í bréfi þar sem óskað er afrits gagna samkvæmt þessari málsgrein að gögn sem henni eru afhent í trúnaði séu auðkennd sérstaklega. Þá fer um meðferð mála hjá úrskurðarnefndinni að öðru leyti eftir II.–VIII. kafla stjórnsýslulaga nr. 37/1993 eftir því sem við getur átt. Samkvæmt rannsóknarreglu 10. gr. stjórnsýslulaganna skal stjórnvald sjá til þess að mál sé nægjanlega upplýst áður en ákvörðun er tekin í því. Mál telst nægjanlega upplýst þegar þeirra upplýsinga hefur verið aflað sem eru nauðsynlegar til þess að hægt sé að taka efnislega rétta ákvörðun í því. Rannsóknarreglan tengist mjög náið andmælarétti, en oft verður mál ekki nægjanlega upplýst nema aðila hafi verið gefinn kostur á að kynna sér gögn máls, svo og að koma að frekari upplýsingum um málsatvik. Hluti rannsóknar máls felst því jafnframt í að veita aðila máls kost á að tjá sig um efni þess áður en stjórnvald tekur ákvörðun í því enda liggi ekki fyrir í gögnum málsins afstaða hans og rök fyrir henni eða slíkt sé augljóslega óþarft, sbr. 13. gr. stjórnsýslulaga. Nefndarmenn ÚNU eru bundnir þagnarskyldu skv. X. kafla stjórnsýslulaga. Sama gildir um þá sem nefndin kann að kveðja sér til aðstoðar, sbr. 2. mgr. 21. gr. laga nr. 140/2012.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.) og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

2.
Niðurstaða

Kvartendur byggja kvörtun sína á að miðlun heilsufarsupplýsinga um barn þeirra til ÚNU hafi verið óheimil, óviðkomandi og ónauðsynleg vegna þeirrar gagnabeiðni sem til skoðunar hafi verið hjá ÚNU.

Fyrir liggur að kvartendur voru málshefjendur að kærumáli fyrir ÚNU vegna gagnabeiðni þeirra í eineltismáli hjá [skóla] er varðaði barn þeirra. Í skýringum Garðabæjar kemur fram að tilgangur miðlunarinnar á heilsufarsupplýsingum umrædds barns hafi verið að skýra samhengi, málavexti og rökstyðja afstöðu Garðabæjar áður en tekin yrði ákvörðun í umræddu máli.

Líkt og að framan greinir er ÚNU sjálfstæð í störfum sínum og er skylt að afla allra þeirra gagna og upplýsinga sem nefndin telur nauðsynleg til að málsatvik séu nægjanlega upplýst áður en ákvörðun er tekin í því. Hluti þeirrar skyldu er að veita málaðilum kost á að neyta andmælaréttar síns, skv. 13. gr. stjórnsýslulaga. Felst sá réttur m.a. í því að þeim er veitt tækifæri til að tjá sig um mál áður en ákvörðun er tekin í því. Þannig getur málsaðili komið athugasemdum sínum á framfæri, bent á misskilning eða ónákvæmni í gögnum máls og jafnframt bent á heimildir sem geta eftir atvikum orðið grundvöllur að ákvörðun máls.

Persónuvernd hefur áður fjallað um miðlun persónuupplýsinga til kærunefnda, sbr. úrskurð í máli frá 15. september 2022 nr. 2020102684 hjá stofnuninni. Í úrskurðinum segir m.a. að aðilar að ágreiningsmáli hjá opinberri kærunefnd geti átt lögmætra hagsmuna að gæta af því að senda persónuupplýsingar um málsaðila til nefndarinnar sem hluta rökstuðnings í máli.

Það er mat Persónuverndar að sömu sjónarmið geti átt við um aðila að ágreiningsmáli fyrir opinberri úrskurðarnefnd. Garðabær telst því, sem aðili að umræddu stjórnsýslumáli fyrir ÚNU, eiga lögmætra hagsmuna að gæta af niðurstöðu þess og í þeirri viðleitni að gæta umræddra hagsmuna getur það talist bæjarfélaginu nauðsynlegt að styðja mál sitt nægjanlegum rökum og gögnum. Þá verður ekki séð að hagsmunir kvartenda af því að vinnsla persónuupplýsinga um barn þeirra fari ekki fram í máli sem þau eru sjálf málshefjendur að séu ríkari en hagsmunir Garðabæjar af því að koma sjónarmiðum sínum að í sama máli. Er þá auk framangreinds litið til þess að nefndarmenn ÚNU og þeir aðilar sem nefndin kveður sér til aðstoðar eru bundnir þagnarskyldu skv. X. kafla stjórnsýslulaga. Það er því mat Persónuverndar að miðlunin geti stuðst við 6. tölul. 9. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Kemur þá til skoðunar hvort miðlun viðkvæmra persónuupplýsinga geti stuðst við 6. tölul. 1. mgr. 11. gr., þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, sbr. f-lið 2. mgr. 9. gr. reglugerðarinnar.

Í athugasemdum við 6. tölul. 1. mgr. 11. gr. í greinargerð með frumvarpi er varð að lögum nr. 90/2018 segir að það sé ekki skilyrði að málið verði lagt fyrir dómstóla heldur nægi að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum. Einnig kemur fram í niðurlagi 52. liðar formálsorða reglugerðarinnar að vinnsla upplýsinga vegna slíkra krafna geti farið fram hvort heldur er á vegum dómstóls, við stjórnsýslumeðferð eða við málsmeðferð utan réttar.

Þá hefur Persónuvernd litið svo á að nauðsynlegt geti verið að ljá aðilum ágreiningsmála nokkuð rúmt svigrúm til mats á því hvaða persónuupplýsingar er nauðsynlegt að vinna með í þágu úrlausnar ágreiningsmála fyrir kærunefnd og með hvaða hætti. Það er því mat Persónuverndar að framangreind sjónarmið eigi við í fyrirliggjandi máli og að miðlun Garðabæjar á viðkvæmum persónuupplýsingum barns kvartenda til ÚNU í þágu úrlausnar máls hjá úrskurðarnefndinni sem foreldrar þess voru sjálfir málshefjendur að hafi getað talist ábyrgðaraðila nauðsynleg í þágu úrlausnar málsins og að miðlunin hafi getað stuðst við 6. tölul. 1. mgr. 11. gr., sbr. f-lið 2. mgr. 9. gr. reglugerðarinnar.

Við skýringu á meginreglu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, um gagnsæi við vinnslu persónuupplýsinga þarf, eftir því sem við á, að líta til ákvæða um fræðsluskyldu ábyrgðaraðila gagnvart hinum skráða, sbr. 2. mgr. 17. gr. laga nr. 90/2018 og 13. og 14. gr. reglugerðar (ESB) 2016/679.

Hér er þó til þess að líta að samkvæmt 1. mgr. 23. gr. reglugerðar (ESB) 2016/679 er með lögum heimilt að takmarka gildissvið þeirra skyldna og réttinda sem getið er um í 13. og 14. gr. reglugerðarinnar. Samsvarandi ákvæði er að finna í 4. mgr. 17. gr. laga nr. 90/2018. Í athugasemdum við ákvæðið í frumvarpi því sem varð að lögunum segir að þar sé mælt fyrir um undantekningar sem gerðar eru frá réttindum hins skráða. Þessar undantekningar byggist á heimildum sem fram komi í 1. mgr. 23. gr. reglugerðarinnar.

Persónuvernd telur ljóst af lögskýringargögnum að ákvæði 4. mgr. 17. gr. laga nr. 90/2018 miði ekki aðeins að lögfestingu undanþáguheimildar 1. mgr. 23. gr. reglugerðar (ESB) 2016/679 heldur felist einnig í lagaákvæðinu sjálfstæðar undanþágur frá 13.-15. gr. reglugerðarinnar í þágu tilgreindra markmiða, sbr. m.a. úrskurð Persónuverndar frá 7. febrúar 2022 í máli nr. 2021101915 og 16. desember 2021 í máli nr. 2020010635.

Samkvæmt 7. tölul. 4. mgr. 17. gr. laga nr. 90/2018 er þannig heimilt að takmarka fræðsluskylduna samkvæmt 13. og 14. gr. reglugerðar (ESB) 2016/679 sé það nauðsynlegt svo að einkaréttarlegum kröfum sé fullnægt. Undir það geta eftir atvikum fallið einkaréttarlegar kröfur samkvæmt stjórnsýslulegum réttarúrræðum. Er ákvæðið samhljóða j-lið 1. mgr. 23. gr. reglugerðarinnar. Telur Persónuvernd samkvæmt þessu verða að leggja til grundvallar að skýra verði umrætt ákvæði svo að heimilt geti verið að víkja frá ákvæðum 13. gr. reglugerðar (ESB) 2016/679 í tengslum við miðlun persónuupplýsinga til kæru- eða úrskurðarnefndar í því skyni að aðilar máls geti nýtt andmælarétt sinn og stutt mál sitt fullnægjandi rökum.

Við túlkun meginreglunnar sem lýtur að sanngjarnri og gagnsærri vinnslu persónuupplýsinga má auk þess líta til c-liðar 5. mgr. 14. gr. reglugerðarinnar sem kveður á um að upplýsingarétturinn eigi ekki við þegar skýrt er mælt fyrir um öflun eða miðlun upplýsinganna í lögum sem kveða á um viðeigandi ráðstafanir til að vernda lögmæta hagsmuni hins skráða. Líkt og að framan greinir eru skýr ákvæði bæði í upplýsingalögum nr. 140/2012 og stjórnsýslulögum nr. 37/1993 um skyldu stjórnvalds, áður en það tekur ákvörðun í máli, að afla nauðsynlegra upplýsinga um málsatvik, þar á meðal hjá málsaðilum.

Með hliðsjón af öllu framangreindu telur Persónuvernd að ábyrgðaraðila hafi, eins og hér háttar til, ekki verið skylt að veita kvartanda fræðslu um þá vinnslu persónuupplýsinga hans sem hér er til umfjöllunar til samræmis við 14. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018. Þá verður, með hliðsjón af þeirri niðurstöðu, ekki talið að miðlunin hafi farið í bága við gagnsæiskröfu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Að auki verður ekki annað séð, í ljósi þess svigrúms sem aðilum ágreiningsmála er veitt til mats á hvaða gögn teljist nauðsynleg í þágu úrlausnar máls fyrir úrskurðarnefnd, að sú miðlun upplýsinga sem hér er til umfjöllunar hafi verið í málefnalegum tilgangi og ekki umfram það sem nauðsynlegt mátti teljast í þágu sönnunar málsatvika í umræddu máli. Því telur Persónuvernd að Garðabær hafi gætt að tilgangsreglu 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og meðalhófskröfu 3. tölul. sama lagaákvæðis , sbr. b- og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 við vinnsluna.

Er niðurstaða Persónuverndar því sú að miðlunin hafi samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Miðlun Garðabæjar til Úrskurðarnefndar um upplýsingamál á heilsufarsupplýsingum barns [A] og [B] samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Persónuvernd, 19. júní 2023

Helga Sigríður Þórhallsdóttir                 Rebekka Rán Samper