Álit á miðlun kennitalna

5.8.2011

Álit

 

Hinn 22. júní 2011 fjallaði stjórn Persónuverndar um mál nr. 2011/512 og samþykkti að veita svofellt álit:

 

I.

Erindi Þjóðskrár Íslands

Persónuvernd barst erindi Þjóðskrár Íslands, dags. 14. apríl 2011, þar sem óskað er eftir úrskurði Persónuverndar um hvort Þjóðskrá Íslands (ÞÍ) sé heimilt að veita upplýsingar um kennitölur einstaklinga símleiðis, og hvort slík upplýsingagjöf eigi að vera háð einhverjum takmörkunum.

Tekið er fram að eftirfarandi svar Persónuverndar hefur að geyma almennt álit. Það er veitt í samræmi við 6. tölulið 3. mgr. 37. gr. laga nr. 77/2000. Berist Persónuvernd kvörtun frá einstaklingi yfir að ÞÍ hafi miðlað kennitölu hans í gegnum síma, og fyrir liggi ágreiningur um að henni hafi verið það heimilt, getur hins vegar komið til þess að Persónuvernd kveði upp úrskurð, í ljósi atvika í því máli.

 

II.

Svar Persónuverndar

1.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Munnleg miðlun er þar af leiðandi vinnsla persónuupplýsinga. Hún getur fallið undir lögin s.s. ef hún er að einhverju leyti rafræn. Hér er um að ræða miðlun sem veitt er munnlega en símleiðs og úr skrám sem ÞÍ heldur og eru á stafrænu formi. Til að vinnsla teljist vera rafræn nægir að hún sé það aðeins að hluta til. Af framangreindu leiðir að um rafræna vinnslu í skilningi laganna telst vera að ræða sem fellur undir lög nr. 77/2000. Heyrir erindi þetta þar með undir verkefnasvið Persónuverndar, sbr. 37. gr. laganna.

 

2.

Svo að vinna megi með almennar persónuupplýsingar - s.s um kennitölur manna - þarf að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000.

Þar sem ÞÍ er stjórnvald er hún bundin af lögmætisreglu stjórnsýsluréttar. Af reglunni leiðir að ákvarðanir s.s. um vinnslu persónuupplýsinga, verða að vera í samræmi við lög og eiga sér viðhlítandi stoð í þeim. Samkvæmt 3. tölul. 8. gr. er vinnsla almennra persónuupplýsinga heimil sé hún nauðsynleg til þess að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Að því er varðar lagaskyldu ÞÍ í þessum efnum þarf að líta til 19. gr. laga um þjóðskrá og almannaskráningu nr. 54/1962. Þar segir:

Þjóðskrá Íslands veitir upplýsingar um aðsetur manna og önnur atriði samkvæmt skrám sínum og gögnum eftir reglum sem innanríkisráðherra setur.

Þjóðskrá Íslands annast útgáfu fæðingarvottorða og hliðstæðra vottorða til opinberra nota, svo sem um búsetu, hjúskaparstöðu, sambúðarskráningu og staðfestingu á dánardegi.

Ráðherra er heimilt að setja reglugerð um nánari framkvæmd laga þessara, þar á meðal ákvæði um skráningu og rekstur þjóðskrár, aðgang að skránni og innheimtu gjalds, svo sem fyrir útgáfu vottorða og skilríkja, aðgang að skránni og afnot af upplýsingum hennar.

Hagstofu Íslands er heimilt að hagnýta þjóðskrá og gögn hennar til hagskýrslugerðar. Þjóðskrá Íslands skal láta Hagstofunni í té afrit af skránni og upplýsingar úr henni eftir því sem hún óskar og án þess að gjald komi fyrir. Þjóðskrá Íslands skal jafnframt aðstoða Hagstofuna eftir föngum við að finna nöfn og heimilisföng þátttakenda í úrtaksathugunum hennar. Hagstofunni er skylt að fara með skrána og önnur gögn tengd henni sem hagskýrslugögn sem um gildir trúnaður.

Í framangreindu ákvæði er ekki að finna fyrirmæli um að Þjóðskrá Íslands veiti upplýsingar um kennitölur manna gegnum síma. Þar segir að hún veiti upplýsingar um aðsetur manna og önnur atriði eftir reglum sem innanríkisráðherra setur. Í gildi eru reglur nr. 112/1958 um útgáfu vottorða og veitingu upplýsinga úr Þjóðskrá, settar með stoð í 1. mgr. 19. gr. laga nr. 54/1962. Í 3. gr. þeirra segir:

Þjóðskráin veitir, gegn greiðslu, hverjum sem er upplýsingar um aðsetur manna samkvæmt skrám og öðrum gögnum, sem hún hefur yfir að ráða. Þó getur Þjóðskráin orðið við tilmælum manns um, að tilteknum einkaaðilum sé ekki veitt vitneskja um aðsetur hans, ef hann hefur, að dómi Þjóðskrárinnar, réttmæta og eðlilega ástæðu til að aðsetri hans sé haldið leyndu gagnvart þeim. Ákvörðun um að leyna aðsetri á þennan hátt gildir aðeins fyrir eitt ár í senn.

Það fer eftir mati þjóðskrárinnar hverju sinni, hvort látnar eru í té aðrar upplýsingar en þær, er um ræðir í 1. málsgr., eða hvort synjað er um þær. Heimilt er að setja það skilyrði fyrir veitingu slíkra upplýsinga, að fyrirspyrjandi upplýsi nafn sitt og aðsetur.

Samkvæmt framangreindu verður ekki séð að í gildandi reglum sé gert ráð fyrir því að Þjóðskrá Íslands veiti upplýsingar um kennitölur manna í gegnum síma. Skortir því að lögum heimild til þess.

Rétt er að taka fram að enda þótt skilyrði 3. töluliðar sé ekki uppfyllt kunna önnur ákvæði að geta átt við. Samkvæmt 6. tölul. er vinnsla almennra persónuupplýsinga (s.s. miðlun kennitalna gegnum síma) heimil ef hún er nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með. Af ákvæðinu leiðir að stjórnvald getur við meðferð stjórnsýslumáls, þar sem rafræn vinnsla persónuupplýsinga fer fram, miðlað almennum persónuupplýsingum sé það nauðsynlegt við meðferð málsins. Þá getur stjórnvald miðlað almennum persónuupplýsingum til annars stjórnvalds, sé það nauðsynlegt svo að síðarnefnda stjórnvaldið geti beitt opinberu valdi. Stjórnvald getur einnig miðlað persónuupplýsingum til þriðja aðila sé það nauðsynlegt vegna verks sem unnið er í þágu almannahagsmuna, sbr. 5. tölul. 1. mgr. 8. gr. Hið sama gildir sé það nauðsynlegt til að stjórnvaldið, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra, sbr. 7. tölul. 1. mgr. 8. gr. Loks kann samþykki hins skráða að standa til vinnslu.

Hvort ÞÍ telji framangreind skilyrði vera uppfyllt ræðst af tilviksbundnu mati í hverju máli.

 

3.

Til frekari leiðsagnar um miðlun á upplýsingum um kennitölur manna má benda á niðurstöðu systurstofnunar Persónuverndar í Danmörku, Datasynet. Það er mál nr. 2005-632-0077, dags. 18. maí 2005. Þar er m.a. fjallað um miðlun persónuupplýsinga frá dönsku þjóðskránni (CPR), bæði beint til einkaaðila og í gegnum milliliði. Þar er m.a. vikið að upplýsingarétti hins skráða og bent á tvær leiðir sem fara megi til að tryggja hann. Þar er og að finna umfjöllun um vernduð aðsetur, þ.e. upplýsingar um þá einstaklinga sem að hér á landi er fjallað um í 1. mgr. 3. gr. reglna nr 54/1962 og hafa réttmæta og eðlilega ástæðu til að aðsetri þeirra sé haldið leyndu gagnvart tilteknum einkaaðilum. Gerður er greinarmunur á miðlun til einkaaðila og til opinberra aðila. Í 38. gr. dönsku laganna (Bekendtgørelse af lov om Det Centrale Personregister 1134/2006) er talið upp hvaða persónuupplýsingum megi miðla til einkaaðila og eru kennitölur ekki þar á meðal. Í álitinu er tekið fram að m.a. verði að uppfylla meginreglur laga um meðferð persónuupplýsinga. Þar segir m.a.:

„Spørgsmålet om, hvorvidt en dataansvarlig virksomhed mv. er berettiget til at indhente CPR-oplysninger om en person, skal bedømmes efter persondatalovens § 6, jf. afsnit ovenfor. Endvidere skal Indenrigs- og Sundhedsministeriet, CPR-kontorets videregivelse ske under iagttagelse af grundreglerne i persondatalovens § 5, hvilket som anført i afsnit bl.a. medfører, at kontoret har pligt til i et vist omfang at påse, at en virksomhed mv., som anmoder om at modtage, eller som modtager CPR-oplysninger, efter persondataloven er berettiget til at behandle oplysningerne. [...] Datatilsynet finder følgelig, at der generelt bør være mulighed for videregivelse af CPR-oplysninger via databehandlere, men at det er en betingelse i det konkrete tilfælde, at videregivelsen sker i overensstemmelse med persondatalovens regler.“

Samkvæmt dönsku lögunum er upplýsingum um kennitölur miðlað til þeirra sem hafa gert samning við CPR. Í skjalinu er vikið að upplýsingarétti hins skráða og bent á tvær leiðir sem fara megi til að tryggja að hann sé fyrir hendi í raun. Um það segir m.a.:

„Datatilsynet har vurderet denne problemstilling i forhold til persondatalovens regler, navnlig det grundlæggende princip i lovens § 5, stk. 1. I denne bestemmelse fastsættes, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Dette indebærer ifølge forarbejderne bl.a., at behandlingen skal være rimelig og lovlig. En rimelig behandling af oplysninger forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens. Det må ifølge forarbejderne overlades til tilsynsmyndighederne (Datatilsynet) at udfylde den retlige standard ”god databehandlingsskik”. [...]

Datatilsynet kan umiddelbart foreslå Indenrigs- og Sundhedsministeriet, CPRkontoret, to alternative modeller for, hvorledes de registrerede sikres denne mulighed ved videregivelse af CPR-oplysninger. For det første kunne det indgå i dataindholdet i CPR, hvilken dataansvarlig der abonnerer på oplysningerne, selv om disse i praksis leveres via en databehandler. Hvis en registreret søger indsigt i CPR, vil den pågældende således umiddelbart kunne se, hvilke modtagere der aktuelt er.

En anden løsning kunne være, at databehandleren over for Indenrigs- og Sundhedsministeriet, CPR-kontoret – i forbindelse med kontorets vilkår for levering af CPR-oplysninger – indestår for, at der mellem databehandleren og de dataansvarlige modtagere er truffet aftaler/foranstaltninger, som sikrer, at de registrerede har mulighed for at gøre deres rettigheder efter persondataloven gældende, heriblandt de rettigheder, som forudsætter kendskab til en dataansvarligs identitet. “

4.

Hvorki er í lögum um þjóðskrá og almannaskráningu nr. 54/1962, né í reglum settum á grundvelli þeirra, gert ráð fyrir að Þjóðskrá Íslands miðli símleiðis persónuupplýsingum um kennitölur manna. Slík vinnsla styðst þar að leiðandi ekki við 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Af þeim sökum er aðeins heimilt að veita upplýsingar um kennitölur einstaklinga símleiðis að uppfyllt séu skilyrði 1.-2. eða 4.-7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þjóðskrá Íslands þarf að meta það í hverju einstöku tilviki hvort skilyrðin séu uppfyllt.