Úrskurður um eineltiskönnun Fjármálaráðuneytisins

16.2.2011

 

Úrskurður

Hinn 18. janúar 2010 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2010/1046:

I.

Efni máls

Upphaf og bréfaskipti

Í nóvember 2010 barst Persónuvernd ábending frá lögreglu um að persónuupplýsingar hefðu í september s.á. verið teknar ófrjálsri hendi frá Miðlun ehf. af fyrrum starfsmanni þess. Meðal þess sem hann tók voru svör sem einstaklingar gáfu þegar þeir tóku þátt í könnun fjármálaráðuneytisins á einelti meðal ríkisstarfsmanna. Svörin voru merkt með nöfnum viðkomandi einstaklinga.

Frá fjármálaráðuneytinu hafa borist gögn um málið. Þann 18. nóvember sendi það Persónuvernd m.a. gögn um með hvaða hætti fræða átti þátttakendur og hvaða spurningar skyldi leggja fyrir þá. Samkvæmt þeirri fræðslu átti ekki með nokkrum hætti að vera unnt að rekja svör til þeirra. Í þeirri fræðslu sem þeir fengu sagði orðrétt:

„Við framkvæmd könnunarinnar er í hvívetna farið að ákvæðum laga um persónuvernd og meðferð persónuupplýsinga (nr. 77, 23. maí 2000) og tryggt er að ekki verður á nokkurn hátt unnt að rekja niðurstöður til einstakra þátttakenda. Þér er hvorki skylt að svara einstökum spurningum né spurningalistanum í heild. Könnunin hefur hlotið leyfi Persónuverndar og verður farið með öll gögn samkvæmt fyrirmælum hennar. Nafn þitt mun hvergi koma fram í úrvinnslu og niðurstöðum könnunarinnar og tryggt er að ekki verði hægt að rekja neinar upplýsingar til einstakra svarenda.“

Í framhaldi af ábendingu lögreglu fór Persónuvernd, hinn 19. nóvember 2010, í heimsókn til Miðlunar ehf. og skoðaði sérstaklega vinnslu þess fyrir fjármálaráðuneytið vegna umræddrar eineltiskönnunar. Þá upplýsti Miðlun ehf. að félagið hefði eytt ýmsum persónuupplýsingum eftir að mál varðandi þjófnað fyrrum starfsmanns þess kom til rannsóknar lögreglu. Hins vegar kom fram að gögnin hefðu fram að því verið vistuð í tölvukerfi félagsins. Þar hefði verið skrá yfir spurningar og svör við þeim auðkennd með nöfnum þátttakenda. Svörin munu almennt hafa birst sem númer spurninga sem hakað var við. Í vissum tilvikum hafi verið gert ráð fyrir að þátttakendur rituðu texta í frjálsa textareiti og mátti þá lesa þann texta.

Starfsmaður Persónuverndar hefur skoðaði þau gögn sem lögregla hefur í fórum sínum um málið. Það eru afrit þeirra gagna sem tekin voru ófrjálsri hendi frá Miðlun ehf. af starfsmanni félagsins. Er framangreind lýsing Miðlunar ehf. í samræmi við það sem í ljós kom á fundinum með lögreglu, þ.e. að svör svarenda voru merkt svarendum en ekki nafnlaus eins og þeim hafði verið lofað.

Ráðuneytið hefur sent Persónuvernd með faxi afrit af vinnslusamningi þess við Miðlun ehf., dags. 1. apríl 2008. Samkvæmt 5. gr. samningsins átti að eyða persónugreinanlegum svörum að liðnum tveimur vikum frá því að lokið yrði við að safna þeim. Geta má þess að umrædd könnunin var tilkynnt Persónuvernd 16. apríl 2008 (tilkynning nr. S3906).

Með bréfi, dags. 30. nóvember 2010, óskaði Persónuvernd þess að fjármálaráðuneytið:

veitti skýringar á misræmi milli 5. gr. fyrrgreinds samnings þess við Miðlun ehf., dags. 1. apríl 2008, og skriflegrar fræðslu til þátttakenda. Samninginn mætti skilja svo að gögn mætti varðveita á persónugreinanlegu formi í tvær vikur frá því söfnun svara lauk, en af fræðslu yrði hins vegar ráðið að svör ættu aldrei að vera persónugreinanleg (með öllu órekjanleg);

skýrði hvers vegna í fræðslu til þátttakenda segði að aflað hafi verið leyfis Persónuverndar, en ekki var um slíkt að ræða; og

hvort ráðuneytið teldi sig hafa gefið Miðlun ehf. nægilega skýr fyrirmæli um umrædda vinnslu í samræmi við 13. gr. laga nr. 77/2000.

Fjármálaráðuneytið svaraði með bréfi, dags. 21. desember 2010. Þar segir:

„Það skal tekið fram að vegna þess sem rannsaka átti, þ.e. einelti hjá ríkisstarfsmönnum, ákvað ráðuneytið að fá utanaðkomandi aðila til að framkvæma könnunina í stað þess að sjá um það sjálft eins og það hefur gert við fyrri kannanir. Var það gert vegna þess að um viðkvæmt málefni var að ræða og til að svarendur drægju ekki trúverðugleika hennar í efa. Leitað var til Miðlunar ehf. vegna sérfræðiþekkingar starfsmanna þess við framkvæmd kannana.

Svar við lið 1.

Ljóst er að ákveðið misræmi er á milli 5. gr. samnings ráðuneytisins við Miðlun ehf. og skriflegrar fræðslu til þátttakenda. Miðlun ehf. sá um að semja textann sem var ætlaður til að upplýsa svarendur um meðferð og varðveislu gagnanna, þ.e. skriflegu fræðsluna. Það var ekki ætlunin að gefa svarendum rangar upplýsingar. Fram kom á fundi með framkvæmdastjóra Miðlunar ehf. að um mistök af þeirra hálfu var að ræða við samningu textans.

Svar við lið 2.

Eins og áður segir sá Miðlun ehf. um að semja textann sem var ætlaður til að upplýsa svarendur um meðferð og varðveislu gagnanna. Það að hugtakið „leyfi“ var notað í stað „tilkynningar“ var vegna mistaka við samningu textans. Skýringin er sú að höfundur textans (starfsmaður Miðlunar ehf.) sem skrifaði þennan efnishluta hafði afritað eldri texta úr könnun, þar sem talað var um „leyfi“ Persónuverndar í stað „tilkynningar“. Það var ekki ætlun né ásetningur að láta það líta svo út sem könnunin hefði farið í gegnum það ferli að fá leyfi og samþykki Persónuverndar, heldur var um mistök að ræða.

Svar við lið 3.

Ráðuneytið vísar til vinnslusamnings um meðferð persónuupplýsinga, dags. 1. apríl 2008, sem ráðuneytið gerði við Miðlun ehf. og Persónuvernd hefur afrit af. Í málsgreinum tvö til sjö eru útlistuð nákvæm fyrirmæli til Miðlunar ehf. um hvernig haga bæri vinnslunni. Miðlun ehf. var einungis heimilt að starfa í samræmi við þau fyrirmæli sem fram koma í áðurnefndum samningi.“

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Tekið er fram að úrskurður þessi lýtur eingöngu að þætti fjármálaráðuneytisins en ekki Miðlunar ehf. Á þætti Miðlunar ehf. verður tekið í öðru máli.

2.

Í 20. gr. laga nr. 77/2000 er mælt fyrir um að þegar persónuupplýsinga er aflað hjá hinum skráða sjálfum skuli ábyrgðaraðili upplýsa hinn skráða um vinnsluna. Meðal þess sem veita skal vitneskju um eru þau atriði sem hinum skráða er nauðsynlegt að vita um, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hann geti gætt lögmætra hagsmuna sinna.

Framangreind skylda hvílir á ábyrgðaraðila. Með ábyrgðaraðila er átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000. Samkvæmt 13. gr. laganna er ábyrgðaraðila heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laganna. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit skv. 12. gr. laganna.

Umrædd rannsókn á einelti meðal ríkisstarfsmanna var unnin samkvæmt ákvörðun fjármálaráðuneytisins og var ákvörðunarvald um fyrirkomulag könnunarinnar í höndum þess. Lítur Persónuvernd því á fjármálaráðuneytið sem ábyrgðaraðila vinnslunnar.

3.

Í skýringum fjármálaráðuneytisins kemur fram að sú fræðsla sem svarendur fengu hafi ekki samrýmst raunverulegri fyrirætlan ráðuneytisins um verklag við könnunina. Ekki hafi verið ætlun þess að gefa svarendum rangar upplýsingar. Um mistök hafi verið að ræða hjá vinnsluaðila, Miðlun ehf. Að mati Persónuverndar haggar það ekki því að samkvæmt 5. gr. þess samnings sem ráðuneytið gerði við Miðlun ehf. átti félagið að geyma svör rekjanleg í tvær vikur frá því að þau voru gefin. Hins vegar sagði í fræðslubréfum til þátttakenda að aldrei yrði hægt að rekja svör til þeirra. Þessi fræðslubréf voru bæði undirrituð af starfsmanni ráðuneytisins og starfsmanni Miðlunar ehf.

Eins og fyrr greinir ber ábyrgðaraðili lögum samkvæmt ábyrgð á því að hinir skráðu fái rétta fræðslu um vinnslu, þ. á m. um tilgang hennar og þau atriði sem honum eru nauðsynleg svo hann geti gætt hagsmuna sinna. Ber fjármálaráðuneytið, sem ábyrgðaraðili, ótvírætt ábyrgð á hinni röngu fræðslu sem þátttakendum í könnuninni var veitt. Er þá einkum litið til þess að í fræðslubréfi var ranglega fullyrt að svör þátttakenda yrðu með öllu órekjanleg, þótt til hafi staðið að hafa annan hátt á. Fræðslan samrýmdist því ekki kröfum 20. gr. laga nr. 77/2000.

　

Ú r s k u r ð a r o r ð:

Fjármálaráðuneytið braut gegn fyrirmælum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, þegar þátttakendum í könnun á einelti meðal ríkisstarfsmanna var veitt röng fræðsla um með hvaða hætti svör yrðu rekjanleg til þeirra.