Úrlausnir
Upplýsingar úr starfsmannaviðtölum
Maður kvartaði yfir því að yfirmaður hans hefði skilið möppu, með
upplýsingum úr starfsmannasamtölum, eftir á borði í starfsmannarými. Þar
hefðu aðrir getað skoðað möppuna og það sem í henni var. Persónuvernd
lagði fyrir ábyrgðaraðila að fara yfir starfsreglur sínar um meðferð
trúnaðarupplýsinga.
Ákvörðun
Hinn 17. ágúst 2011 tók stjórn Persónuverndar ákvörðun í máli nr. 2011/600:
I.
Kvörtun
Persónuvernd barst kvörtun J (hér eftir nefndur „kvartandi“), dags. 11. maí 2011, yfir því að mappa með upplýsingum úr starfsmannaviðtölum hafi legið á borði í starfsmannarými á heimili fyrir fatlaða í Seljudal í Reykjanesbæ, þannig að allir starfsmenn gætu nálgast upplýsingarnar. Í kvörtuninni segir meðal annars:
„Starfsmannasamtal [..] lá á borði í starfsmannarými sem var búið að fylla út fyrirfram. Upplýsingar sem eru trúnaðarupplýsingar milli starfsmanns og Forstöðukonu. Ég sem stuðningsfulltrúi er mjög ósáttur við það að aðrir starfsmenn geti skoðað mitt trúnaðarmál milli mín og yfirmans míns.Ég var á næturvakt frá 23-00 til 8-00 og átti svo að mæta í þetta starfsmannasamtal eftir næturvaktina 8-30 til 10-00“Með bréfi, dags. 17. maí 2011, var Fjölskyldu- og félagsþjónustunni í Reykjanesbæ boðið að tjá sig um þessa kvörtun. Þann 23. maí 2011 barst Persónuvernd svar frá félagsmálastjóra Reykjanesbæjar. Þar segir meðal annars:
„Starfsreglur á heimilum fatlaðs fólks (sambýlum) í Reykjanesbæ varðandi meðferð trúnaðarupplýsinga eru á þann veg að þær eru ávallt geymdar í læstum hirslum. Þetta á við um trúnaðarupplýsingar er varða bæði íbúa heimilisins og starfsmenn.
Í umræddu tilviki urðu forstöðumanni á mistök, þar sem gögn varðandi tiltekinn starfsmann lágu á skrifborði forstöðumanns frá kvöldi og til morguns. Forstöðumaðurinn uppgötvaði mistök sín strax að morgni þegar hann mætti til vinnu og bað viðkomandi starfsmann afsökunar á atvikinu. Þess má geta að forstöðumaður var ásamt öðrum starfsmanni síðastur af vakt að kvöldi og kom fyrstur inn að morgni og næturvaktarstarfsmaðurinn var sá sem gögnin vörðuðu.“
Með bréfi, dags. 1. júní 2011, var kvartanda veittur kostur á að tjá sig um svar félagsmálastjóra Reykjanesbæjar. Ekkert svar barst.
II.
Ákvörðun
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.
Samkvæmt 11. gr. laganna skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Meðal öryggisráðstafana í þessum skilningi eru skipulagslegar ráðstafanir s.s. gerð starfs - og verklagsreglna. Í máli þessu liggur fyrir að ábyrgðaraðili hefur þegar sett starfsreglur um meðferð trúnaðarupplýsinga.
Óumdeilt er að reglur þessar voru brotnar og að um tilfallandi mistök forstöðumanns mun hafa verið að ræða í umrætt sinn, þ.e. þegar að mappa tengd starfsmannaviðtali við kvartanda lá á borði yfir nótt í starfsmannarými. Hins vegar liggur ekki fyrir að nokkur óviðkomandi hafi séð gögnin - en forstöðumaðurinn var ásamt kvartanda síðastur af vakt að kvöldi og kom fyrstur inn að morgni næsta dags. Málið er að mati Persónuverndar upplýst og ekki liggur að öðru leyti fyrir efnislegur ágreiningur um atvik þess eða lögmæti vinnslu persónuupplýsinga.
Með vísan til 1. tölul. 3. mgr. 37. gr. laga nr. 77/2000 er hér með lagt fyrir ábyrgðaraðila að nota umrætt tilefni til þess að fara yfir starfsreglur sínar um meðferð trúnaðarupplýsinga með forstöðumönnum og lykilstarfsmönnum sem heyra undir fjölskyldu- og félagsþjónustu Reykjanesbæjar.