Svar við athugasemdum VÍS við ákvörðun Persónuverndar dags. 9. nóvember 2010.

18.2.2011

 

　

Persónuvernd vísar til erindis yðar, dags. 30. nóvember 2010, þar sem gerðar eru athugasemdir við ákvörðun Persónuverndar, frá 9. nóvember 2010, um vátryggingarsvikahnapp VÍS. Niðurstaða Persónuverndar var í meginatriðum sú að það kerfi sem VÍS hafði sett upp, þar sem tilkynnanda var boðið að senda inn nafnlausar ábendingar um svik annarra, fengist ekki samrýmst ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og reglum settum á grundvelli þeirra, sérstaklega ekki 1. og 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000, auk þess sem loforð VÍS um trúnað, gagnvart þeim sem sendi inn nafnlausa ábendingu, væru villandi.

Með vísan til 1. mgr. 40. gr. laga nr. 77/2000 var lagt fyrir VÍS að endurskoða fyrirkomulag söfnunar persónuupplýsinga með svokölluðum svikahnappi á vefsíðu sinni og haga því í samræmi við þær reglur sem fjallað var um í ákvörðuninni.

Erindi yðar hefur verið rætt á fundi stjórnar í dag og er þeim athugasemdum sem þar koma fram vísað á bug. Auk þess er bent á eftirfarandi:

1.

Birting ákvörðunar á heimasíðu Persónuverndar

Í erindi yðar segir:

„Umbjóðandi okkar stóð í þeirri trú að Persónuvernd myndi beina svari sínu til umbjóðanda okkar sérstaklega. Ekkert í samskiptum við Persónuvernd gaf umbjóðanda okkar tilefni til þess að ætla að stofnunin myndi taka opinbera ákvörðun í málinu. Sú málalykta kom umbjóðanda okkar í opna skjöldu.

Í 5. tl. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga („persónuverndarlög“) kemur fram að eitt af verkefnum Persónuverndar sé að leiðbeina þeim sem ráðgera að vinna með persónuupplýsingar. Þá segir jafnframt í 6. tl. sömu málsgreinar að í verkefni Persónuverndar felist að tjá sig samkvæmt beiðni um álitaefni varðandi meðferð persónuupplýsinga.

Að veita leiðbeiningar um álitaefni í tengslum við vinnslu persónuupplýsinga á þannig að vera eitt af verkefnum Persónuverndar. Er sú leiðbeiningarskylda í samræmi við þá grundvallarreglu sem gildir um leiðbeiningarskyldu stjórnvalda almennt, sbr. 1. mgr. 7. gr. stjórnsýslulaga nr. 37/1993 („stjórnsýslulög“).

Í leiðbeiningarskyldu hlýtur að felast að aðilar eiga að geta leitað ráða og leiðbeininga hjá Persónuvernd án þess að eiga það á hættu að opinberlega séu birtar upplýsingar um beiðni viðkomandi og þau álitaefni sem uppi geta verið. Vinnsla persónuupplýsinga getur verið viðkvæm og umræða um slíka vinnslu er oft vandmeðfarin. Það er því ljóst að Persónuvernd verður sérstaklega að gæta hófs í málsmeðferð og við val á þeim úrræðum sem gripið er til.

Með því að birta afstöðu Persónuverndar til vátryggingasvikahnapps umbjóðanda okkar opinberlega með ákvörðun tók Persónuvernd með engum hætti tekið tillit til hagsmuna umbjóðanda okkar. Ákvörðun Persónuverndar olli töluverðri fjölmiðlaumfjöllun sem getur haft neikvæð áhrif á orðspor og viðskiptavild umbjóðanda okkar.“

Framangreint virðist byggt á þeirri röngu forsendu að framangreindur hnappur hefði eingöngu verið fyrirhugaður en ekki verið kominn í notkun þegar Persónuvernd tók sína ákvörðun. Vissulega má fallast á að erindi VÍS bar þess merki í upphafi að hnappurinn hefði ekki verið tekinn í notkun en þegar kom að því að taka afstöðu hjá Persónuvernd hafði hann þegar verið tekinn í notkun og var vinnsla hafin. Því varð að taka formlega ákvörðun um vinnsluna og lögmæti hennar.

Ákvarðanir Persónuverndar, umsagnir, úrskurðir og álit eru birt á heimasíðu hennar að því marki sem það þykir nauðsynlegt í ljósi leiðbeiningarhlutverks og skyldu hennar til að gera grein fyrir verkum sínum. Er hér m.a. litið til 7. töluliðar 3. mgr. 37. gr. laga nr. 77/2000 sem byggir á 5. mgr. 28. gr tilskipunar 95/46/EB. Er framangreint og í samræmi við grundvallarsjónarmið um gagnsæja stjórnsýslu og vinnslu persónupplýsinga. Sama markmiði þjóna önnur ákvæði laganna, þ. á m. ákvæði 17. gr. laganna um skyldu Persónuverndar til að halda skrá yfir alla vinnslu sem henni er tilkynnt um og þá vinnslu sem hún heimilar og að sú skrá skuli vera aðgengileg almenningi. Var það því niðurstaða stjórnar að birta umrædda ákvörðun á heimasíðu stofnunarinnar.

2.

Andmælaréttur

Í erindi yðar segir:

„Umbjóðanda okkar var ekki veitt tækifæri til þess að tjá sig um afstöðu Persónuverndar og var því jafnframt brotið á andmælarétti umbjóðanda okkar, sbr. 13. gr. stjórnsýslulaga. Eðlilegt hefði verið að umbjóðandi okkar hefði fengið að sjá röksemdir Persónuverndar fyrir afstöðu sinni áður en stofnunin tók ákvörðun sem birt var opinberlega“.

Í 13. gr. stjórnsýslulaga er fjallað um andmælarétt aðila máls. Þar segir að aðili máls skuli eiga þess kost að tjá sig um efni máls áður en stjórnvald tekur ákvörðun í því, enda liggi ekki fyrir í gögnum málsins afstaða hans og rök fyrir henni eða að slíkt sé augljóslega óþarft. Andmælaréttur tekur ekki til þess að stjórnvöld skuli kynna aðilum niðurstöðu sína áður en ákvörðun er tekin í máli. Er það mat stjórnar Persónuverndar að andmælaréttur hafi að fullu verið virtur þar sem VÍS hafði fengið tækifæri til að tjá sig og hafnar hún þeirri athugasemd að brotið hafi verið á andmælarétti VÍS.

3.

Aðrir aðilar nota sambærileg kerfi

Þá segir í erindi yðar:

„Þar fyrir utan virðist umbjóðandi okkar þurfa að gjalda fyrir það að leita til stofunarinnar að fyrra bragði. Það er ljóst að fjölmargir aðilar hafa sambærilegan tilkynningarhnapp og umbjóðandi okkar á vefsíðum sínum en Persónuvernd hefur ekki talið ástæðu til þess að fjalla sérstaklega um þá hnappa.“

Tekið er fram að Persónuvernd hefur til meðferðar mál fjölmargra aðila sem sett hafa upp slíka hnappa, einkum opinberra aðila. Verður ekki séð að umbjóðandi yðar hafi þurft að gjalda fyrir það að leita til stofnunarinnar að fyrra bragði.

4.

Almennt álit eða bindandi ákvörðun

Í erindi yðar segir:

„Umbjóðandi okkar [óskaði] eftir áliti Persónuverndar á því hvort ástæða væri til þess að setja ákvæði um vátryggingasvikahnapp umbjóðanda okkar í vátryggingarskilmála félagsins sem og áliti Persónuverndar á þeim verklagsreglum sem umbjóðandi okkar hafði sett um umræddan vátryggingasvikahnapp. Ekkert er vikið að fyrrnefnda álitaefninu í ákvörðun Persónuverndar og aðeins með óbeinum hætti að því síðarnefnda.

Ef markmið Persónuverndar með birtingu ákvörðunar um vátryggingarsvikahnapp umbjóðanda okkar var ætlað að hafa einhvers konar varnaðargildi hefði verið nærtækara fyrir Persónuvernd að birta almennt álit er tekur á tilkynningarhnöppum sem þessum í stað þess að láta umbjóðanda okkar gjalda þess að hafa leitað til stofnunarinnar að fyrra bragði. Slík stjórnsýsla er ekki til eftirbreytni og er ekki til þess fallin að stuðla að samstarfi ábyrgðaraðila og Persónuverndar.“

Vísað er til þess sem þegar hefur verið útskýrt af tilefni fyrri athugasemda og einnig er, þar sem afstaða lögmanns VÍS virðist byggð á þeirri röngu forsendu að umræddur hnappur hafi ekki þegar verið tekinn í notkun þegar ákvörðunin var tekin, sérstaklega áréttað að svo var ekki. Hnappurinn var þá þegar kominn í notkun. Því var nauðsynlegt að taka formlega, rökstudda og bindandi ákvörðun á grundvelli 1. mgr. 40. gr. laga nr. 77/2000 - þ.e. um skyldu VÍS til að stöðva vinnsluna og haga henni í samræmi við þær reglur sem fjallað er ákvörðuninni.

5.

Gagnrýni á forsendur í ákvörðun Persónuverndar

Enn fremur segir í erindi yðar:

„Umbjóðandi okkar er ekki sammála niðurstöðu Persónuverndar né einstökum forsendum hennar sem birtist í ákvörðun stofnunarinnar frá 9. nóvember sl. Hann vill koma því á framfæri að hann telur niðurstöðuna byggða á afar hæpnum forsendum sem ekki séu skýrar.

Í persónuverndarlögum er ekki að finna skýrt bann á því kerfi sem umbjóðandi okkar hefur sett upp í tengslum við vátryggingasvikahnapp hans. Niðurstaða Persónuverndar byggir á ályktun af almennum reglum í 1. mgr. 7. gr. laganna en umbjóðandi okkar mótmælir því að hægt sé að draga þær ályktanir af reglunum eins og Persónuvernd gerir í ákvörðun sinni“

Þótt lög nr. 77/2000 geti sumpart virst flókin er bent á að þau fela í sér innleiðingu á tilskipun 95/46/EB sem áður hefur verið fjallað um. Með lögum nr. 77/2000 var Persónuvernd falið það hlutverk að hafa eftirlit með framkvæmd þeirra. Það rækti hún með töku umræddrar ákvörðunar. Henni ber að túlka lög nr. 77/2000 með það markmið að leiðarljósi að stuðla að því að farið sé með persónuupplýsingar í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga. Í lögum nr. 77/2000 er ekki talin upp með tæmandi hætti sú vinnsla og þær vinnsluaðferðir sem unnt er að viðahafa þegar unnið er með persónuupplýsingar. Því til stuðnings má benda á að í athugasemdum þeim er fylgdu frumvarpi því er varð að lögum nr. 77/2000 segir, að ekki verði með tæmandi hætti taldar upp allar þær aðgerðir sem geti talist til vinnslu, enda ekki hægt að sjá fyrir nýjungar í tölvutækni sem hægt er, og verður hægt að nota, til að vinna með persónuupplýsingar.

Af framangreindu er ljóst að Persónuvernd ber, við meðferð mála hjá stofnuninni, að draga ályktanir af ákvæðum laganna og meta hvort tiltekin vinnsla samræmist ákvæðum þeirra. Í því tilviki sem hér um ræðir var framkvæmd vinnslunnar bæði talin óáreiðanleg og ósanngjörn, eins og ítarlega er skýrt í ákvörðuninni. Slíkt stangast á við ákvæði 1. mgr. 7. gr. laga nr. 77/2000 þar sem fram kemur meðal annars að vinnsla skuli fara fram á áreiðanlegan og sanngjarnan hátt, sbr. 1. og 4. tölul. 1. mgr. 7. gr. laganna. Er því ekki unnt að fallast á sjónarmið yðar um að ákvörðun Persónuverndar sé byggð á hæpnum forsendum.

6.

Nýjar breytingar á verklagsreglum VÍS

Í erindi yðar kemur fram að ýmsar breytingar hafi nú verið gerðar á verklagsreglum VÍS og þeim upplýsingum sem fram koma á heimasíðu félagsins. Á heimasíðu VÍS sé nú mælst til þess að tilkynningar séu sendar inn undir nafni nema sértækar og/eða sérstakar aðstæður mæli með öðru. Þá séu tilkynnendur nú, samkvæmt verklagsreglum, hvattir til að senda inn tilkynningu undir nafni. Einnig komi nú fram í verklagsreglum að trúnaðarskylda umbjóðanda yðar hafi ekki áhrif á rannsóknarheimildir lögreglu. Þá segir í erindi yðar að í kjölfar ákvörðunarinnar hafi ákvæðum um upplýsinga- og andmælarétt hins skráða, sbr. 18. og 19. gr. laga nr. 77/2000 verið breytt í verklagsreglum VÍS.

Persónuvernd fagnar framangreindum breytingum en tekur fram að sjálfstæð úttekt hefur ekki verið gerð á síðunni eins og hún lítur út núna eða tekin efnisleg ákvörðun um hana.

7.

Ákvæði 3. mgr. 19. gr. laga nr. 77/2000

Í erindi yðar segir:

„Tilgangur 3. mgr. 19. gr. persónuverndarlaga er sá að aðili geti ekki á grundvelli persónuverndarlaga krafist aðgangs að skjölum eða öðrum gögnum sem undanþegin eru aðgangi samkvæmt stjórnsýslu- og upplýsingalögum.

Umrætt ákvæði er með engum hætti ætlað að leiða til þess að upplýsingaréttur hins skráða verði hinn sami og á grundvelli upplýsingalaga eða stjórnsýslulaga. Í því sambandi ber að minna á það að umbjóðandi okkar er einkafyrirtæki.

Í 3. mgr. 19. gr. persónuverndarlaga er aðeins að finna eina undantekningu frá upplýsingarétti hins skráða en takmarkanir á slíkum upplýsingarétti geta jafnframt byggst á öðrum málsgreinum 19. gr. laganna.“

Af tilefni framangreinds er leiðbeint um að í 3. mgr. 19. gr. laga nr. 77/2000 segir meðal annars að réttur hins skráða til að fá vitneskju samkvæmt ákvæðum 18. gr. nái ekki til upplýsinga sem eru undanþegnar aðgangi samkvæmt upplýsinga- eða stjórnsýslulögum. Í athugasemdum þeim er fylgdu frumvarpi því er varð að lögum nr. 77/2000 segir við ákvæðið að þar séu mörkuð skil upplýsingaréttar samkvæmt stjórnsýslu- og upplýsingalögum annars vegar og persónuupplýsingalögum hins vegar. Miðað sé við að réttur til aðgangs samkvæmt persónuupplýsingalögum verði sambærilegur við rétt aðila máls samkvæmt 15. gr. stjórnsýslulaga og rétt almennings samkvæmt 9. gr. upplýsingalaga. Af því leiðir að aðili getur ekki á grundvelli persónuupplýsingalaga krafist aðgangs að skjölum eða öðrum gögnum sem undanþegin eru aðgangi samkvæmt stjórnsýslu- eða upplýsingalögunum. Þá segir í athugasemdunum að með vísun til þess að hjá einkaaðilum geti reynt á svipaða hagsmuni og hjá stjórnvöldum sé lagt til að sömu reglur gildi um aðgang að gögnum þeirra og gilda um aðgang að gögnum stjórnvalda. Með þessu hefur löggjafinn með skýrum hætti tekið afstöðu til þess hvernig ákvæði 3. mgr. 19. gr. skuli túlkað og er það ekki á valdi Persónuverndar að breyta því.