Afhending óheimil vegna skorts á vinnslusamningi - mál nr. 2012/818

3.12.2012

Úrskurður

 

Hinn 27. nóvember 2012 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2012/818:

I.

Grundvöllur máls

Málavextir og bréfaskipti

1.

Upphaf máls

Þann 25. júní 2012 barst Persónuvernd kvörtun frá X, hrl., f.h. Y (hér eftir nefnd kvartandi), dags. 21. s.m., yfir vinnslu persónuupplýsinga af hálfu Sjóvár-Almennra trygginga hf. (hér eftir nefnt Sjóvá). Z sá um vinnsluna sem verktaki fyrir Sjóvá og framkvæmdi hraðaútreikning vegna árekstrar sem Y lenti í í maí 2012. Í kvörtuninni segir m.a.:

„Y fékk aldrei upplýsingar um það í hvaða tilgangi upplýsingarnar væru notaðar, hvaða þýðingu þær hefðu og hvaða hagsmunir væru í húfi. Þó að hún veitti samþykki sitt til að svara spurningum fulltrúa Sjóvá þá var það samþykki ekki upplýst - Y var ekki frædd um tilgang upplýsingaöflunarinnar. Þar með fór upplýsingaöflunin gegn 20. gr. laga nr. 77/2000.

Af lýsingu Y á manninum sem heimsótti hana og hringdi í hana umrætt sinn má leiða að um hafi verið að ræða Z. Samkvæmt þeim upplýsingum sem Sjóvá hefur gefið okkur er Z ekki starfsmaður hjá félaginu heldur verktaki. Vegna þess er einkar brýnt að félagið upplýsi hvort farið hafi verið eftir 13. gr. laga nr. 77/2000 við vinnslu persónuupplýsinganna um Y enda gilda sérstakar reglur ef utanaðkomandi aðilar annast vinnslu persónuupplýsinga fyrir hönd ábyrgðaraðila, sem í þessu tilfelli er Sjóvá.“

2.

Sjónarmið Sjóvár Almennra trygginga hf.

Með bréfi, dags. 29. júní 2012, var Sjóvá veittur kostur á að koma á framfæri skýringum sínum til samræmis við ákvæði 13. og 14. gr. stjórnsýslulaga nr. 37/1993. Þá óskaði Persónuvernd upplýsinga um hvort téður Z væri vinnsluaðili og gerður hefði verið samningur við hann í samræmi við 13. gr. laga nr. 77/2000.

Í svarbréfi Sjóvár, dags. 18. júlí 2012, segir að Z framkvæmi útreikninga á hraða og höggkrafti við árekstra, þegar félagið telji slíkt geta leitt í ljós staðreyndir um alvarleika áreksturs og orðið mikilvæg viðbót við önnur sönnunargögn. Z hafi starfað um langt árabil hjá félaginu, og m.a. framkvæmt hraðaútreikninga, en hann hafi látið af störfum hjá félaginu haustið 2011. Síðan þá hafi hann sinnt hraðaútreikningum fyrir félagið í verktöku.

Segir að Sjóvá hafi borist tjónaskýrsla Aðstoðar & Öryggis (A&Ö) um umræddan árekstur í lok maí 2012. Óumdeilt hafi verið að sá ökumaður er ók aftan á bifreið kvartanda hafi valdið árekstrinum og að Sjóvá hafi, sem vátryggingarfélagi þess ökumanns, borið að bæta það sannanlega fjártjón sem af honum hlaust. Síðar hafi félaginu borist bréf um að kvartandi teldi sig hafa hlotið baktognun í árekstrinum. Í ljósi þess hve litlar skemmdir hafi verið sjáanlegar á ökutækjum hafi Sjóvá þá ákveðið að óska eftir útreikningi á hraðabreytingu og höggkrafti við áreksturinn. Hafi beiðni þess efnis verið send Z þann 8. júní s.á. Tjónaskýrsla A&Ö hafi fylgt með beiðninni. Þann 11. júní hafi Z greint Sjóvá frá því að hann hafi rætt við báða ökumenn og m.a. tekið ljósmyndir af bifreið kvartanda með leyfi hennar.

Sjóvá segir að Z hafi kynnt sig fyrir kvartanda sem hafi greiðlega veitt umbeðnar upplýsingar um staðsetningu bifreiðanna, aðdraganda slyssins, veðurskilyrði, hvort farþegar hafi verið í bifreiðinni eða þungur farangur. Z hafi sérstaklega tekið fram að Sjóvá hafi óskað eftir að hann reiknaði hraða og krafta í viðkomandi árekstri. Hann hafi ekki villt á sér heimildir, ekki sagst vera að gera skoðanakönnun fyrir félagið eða spurt út í einkahagi kvartanda, eins og segi í kvörtun til Persónuverndar. Þá hafi hann enn síður ásakað kvartanda um aksturslag, enda komi upplýsingar um orsakir slyssins fram í tjónaskýrslu. Kvartandi hafi aftur á móti upplýst að hún hygðist fara með bifreið sína í tjónaskoðun og því hafi hann reynt án árangurs að ná símasambandi við hana síðdegis þann 13. júní 2012 til þess að kanna hvort það hafi verið gert. Síðar sama kvöld hafi hann mætt kvartanda á bifreið hennar fyrir tilviljun á hringtorgi við Lönguhlíð og Hamrahlíð, en þar hafi hann verið í persónulegum erindagjörðum. Hún hafi lagt bifreið sinni skammt frá hringtorginu og hann tekið hana tali, kynnt sig og óskað heimildar hennar til þess að taka myndir af framenda ökutækisins, sem hún gaf honum.

Tryggingafélagið telur ljóst að orð standi gegn orði um samskiptin á milli þeirra. Félaginu þyki miður að kvartandi hafi upplifað samskipti sín við Z með þeim hætti sem segi í kvörtuninni. Engu að síður mótmæli það því að umrædd vinnsla hafi ekki verið í samræmi við ákvæði laga nr. 77/2000.

Z hafi upplýst kvartanda um það sérstaklega að hann væri ekki starfsmaður Sjóvár heldur verið fenginn til þess að framkvæma hraðaútreikning fyrir félagið vegna umrædds áreksturs og því telji félagið að fræðsluskyldu skv. 20. gr. laga nr. 77/2000 hafi verið fullnægt.

Ekki hafi verið tilbúinn undirritaður skriflegur samningur við Z, enda hafi verið stutt síðan hann hóf störf í verktöku fyrir félagið, en drög að samningi hafi legið fyrir.

Með bréfi, dags. 3. ágúst 2012, óskaði Persónuvernd nánari upplýsinga um samningsgerð. Í svarbréfi Sjóvár, dags. 20. ágúst 2012, segir að vinnslusamningur hafi verið undirritaður þann 14. ágúst 2012 og muni taka gildi þann 1. september s.á. Afrit af samningnum fylgdi með. Í honum segir að verkefni Z felist í gagnaöflun, vettvangsskoðun, skoðun á ökutækjum, myndatökum og mælingum, viðtölum við ökumenn, útreikningum og skýrslugerð, eftir því sem þörf sé á hverju sinni. Þá segir að með verkbeiðnum Sjóvár fylgi afrit af lögregluskýrslum og/eða tjónstilkynningum vegna áreksturs, frásögn aðila af árekstri auk upplýsinga um skemmdir á bifreiðum og viðgerðir. Það sé hlutverk Z að upplýsa viðskiptavini um tilurð samtalsins, tilgang skoðunar og í hvers umboði hann starfi. Sérstakt ákvæði í samningnum lúti að þagnarskyldu og meðferð persónuupplýsinga.

3.

Sjónarmið kvartanda

Með bréfi, dags. 27. ágúst 2012, var X, hrl., f.h. kvartanda, veittur kostur á að koma á framfæri athugasemdum við svarbréf Sjóvár.

Í svarbréfi hans, dags. 30. ágúst 2012, eru ítrekuð þau sjónarmið sem komu fram í upphaflegri kvörtun til Persónuverndar. Segir að vitað sé að Z hafi framkvæmt hraðaútreikninga fyrir Sjóvá í lok árs 2011, vegna annars áreksturs. Því standist ekki þau rök tryggingafélagsins að vinnslusamningur hafi ekki verið undirritaður af þeirri ástæðu að Z hafi verið nýbyrjaður sem verktaki, eða vegna sumarleyfa. Þá fylgdi með svarbréfinu nafnhreinsað afrit af tölvubréfi Sjóvár til Z, þar sem óskað er eftir framkvæmd hraðaútreiknings, dags. 6. desember 2011. Með hliðsjón af framangreindu telur lögmaðurinn að Z hafi unnið með persónuupplýsingar f.h. félagsins í a.m.k. hálft ár án viðeigandi öryggisráðstafana og þagnarskyldu.

Lögmaðurinn kveður Z ekki hafa frætt kvartanda um í hvaða tilgangi vinnslan fór fram. Til þess að fá upplýst samþykki kvartanda hefði Z þurft að upplýsa hana um að hraðaútreikningurinn yrði lagður til grundvallar ákvörðun félagsins um bótaskyldu og að hann gæti mögulega leitt til þess að henni yrði synjað um bætur.

4.

Sjónarmið Z

Með bréfi, dags. 20. september 2012, var Z boðið að tjá sig um málið. Í svari hans til Persónuverndar, dags. 2. október 2012, segir m.a. að tækin sem hann noti við umræddan útreikning séu eign Sjóvár, bæði tölva og forrit í henni. Hann fái beiðnir frá Sjóvá um að reikna út krafta og hraða í ákveðnum árekstrum. Skýrslan sem hann geri sé á formi sem ákveðið sé af Sjóvá – bæði uppsetningin og með hvaða hætti settar eru fram niðurstöður útreikninga. Hann fái tjónstilkynningu og tjónamat bíla frá Sjóvá og grundvalli vinnu sína á þeim, þar á meðal vettvangsrannsókn. Þessar niðurstöður setji hann í „PC-Crash“ forrit og fái fram niðurstöður, sem hann skili til Sjóvár. Sjóvá ákveði hvað sé gert við skýrslurnar. Hann hafi sinnt sömu verkefnum þegar hann hafi verið starfsmaður Sjóvár á tímabilinu 2005-2011.

Z kom frekari athugasemdum á framfæri með tölvubréfi þann 3. október sl. Þar segir hann að hlutverk sitt sé ekki að safna persónuupplýsingum, heldur að gera vettvangsrannsókn á árekstri bíla. Hann hafi ekki óskað eftir persónuupplýsingum frá kvartanda og að hans mati séu rangfærslur um málsatvik í upphaflegri kvörtun. Einu upplýsingarnar sem hann fái frá Sjóvá séu verkbeiðni, tjónstilkynning og lögregluskýrsla. Í þeim tilvikum sem vettvangsrannsókn hafi ekki verið fullnægjandi þurfi að afla nánari upplýsinga um aðstæður þegar áreksturinn átti sér stað. Engar persónuupplýsingar komi fram í endanlegum skýrslum, að frátöldum bílnúmerum. Jafnframt telur Z að Sjóvá hafi verið heimil framangreind vinnsla með tilliti til ákvæðis 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.

Varðandi gerð vinnslusamnings milli sín og Sjóvár segir hann að sér hafi verið sagt upp störfum hjá félaginu þann 1. september 2011, en þá hafi verið gerður munnlegur samningur um gerð hraðaútreikninga. Hann telur sig ekki vera ábyrgðaraðila vinnslunnar, í skilningi 4. tölul. 1. mgr. 2. gr. laga nr. 77/2000, m.a. því tryggingafélagið ákveði hverju sinni hvaða málum hann skuli vinna að og hvernig. Þá kveðst hann hafa, strax í fyrsta símtali sínu við kvartanda, greint frá tilgangi vinnunnar. Hann hafi sérstaklega tekið fram að Sjóvá hafi beðið sig um að vinna verkið. Kvartandi hafi samþykkt að veita þær upplýsingar sem hann óskaði eftir, þ.e. um aðstæður á vettvangi.

Með bréfi, dags. 4. október 2012, gaf Persónuvernd Sjóvá kost á athugasemdum við framangreint. Engar athugasemdir bárust.

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.

Úrlausnarefni máls þessa er vinnsla persónuupplýsinga og hvort henni hafi verið hagað í samræmi við fyrirmæli laga nr. 77/2000. Fellur það undir verksvið Persónuverndar. Hins vegar fellur það utan hennar verksviðs að fjalla um hvort Z hafi verið ónærgætinn í samskiptum sínum við kvartanda, og verður ekki skorið úr því.

2.

Um ábyrgðaraðila og vinnsluaðila

Sá er ábyrgðaraðili að vinnslu persónuupplýsinga sem ákveður tilgang hennar, þann útbúnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna – sá sem ákveður að hún skuli fara fram og hvernig. Sá sem hefur ákvörðunarvald um vinnslu persónuupplýsinga ber ábyrgð á henni, jafnvel þótt hann hafi falið öðrum að annast hana. Hugtakið er skilgreint í 4. tölul. 2. gr. laga nr. 77/2000.

Sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila er nefndur vinnsluaðili, sbr. 5. tölul. 2. gr. laganna. Um samband ábyrgðaraðila og vinnsluaðila er nánar kveðið í 13. gr. laga nr. 77/2000. Vinnsluaðili er sá sem framkvæmir fyrirmæli ábyrgðaraðila, að minnsta kosti að því er varðar tilgang vinnslu, aðferðir og búnað. Lögmæti þess sem hann gerir ræðst af því umboði sem ábyrgðaraðili hefur gefið honum. Gangi vinnsluaðili lengra en umboðið nær, eða taki hann að einhverju marki sjálfstæðar ákvarðanir, getur hann talist ábyrgur – a.m.k. á þeim þáttum sem hann ræður sjálfur og tekur ákvarðanir um.

Í bréfi Z til Persónuverndar, dags. 2. október 2012, segir að þau tæki sem hann hafi notað séu eign Sjóvá, bæði tölva og forrit. Skýrslan verið á formi ákveðnu af Sjóvá, þ.e. útlit, uppsetning og framsetning niðurstaðna. Í ljósi framangreinds er það niðurstaða Persónuverndar að Sjóvá beri ábyrgð á umræddri vinnslu. Kemur þá næst til skoðunar hvort Sjóvá hafi gert vinnslusamningur með þeim hætti að félaginu hafi verið heimilt að afhenda þær vinnsluaðila, Z.

Þegar réttarsamband er milli ábyrgðar- og vinnsluaðila hvílir sú skylda á þeim að ljúka gerð skriflegs samnings í samræmi við 13. gr. laga nr. 77/2000. Í bréfi Sjóvár til Persónuverndar, dags. 20. ágúst 2012, segir að skriflegur samningur hafi ekki verið til staðar þegar atvik máls þessa átti sér stað í maí 2012. Hann hafi ekki verið gerður fyrr en 14. ágúst sl. og tekið gildi þann 1. september sl. Þar sem enginn slíkur samningur var til staðar, á þeim tíma sem atvik máls þessa urðu, var afhending umræddra persónupplýsinga frá Sjóvá til Z ekki í samræmi við framangreint ákvæði 13. gr. og þar með ekki heimil.

3.

Fræðsluskylda

Af hálfu kvartanda hefur komið fram að hún hafi ekki fengið fræðslu um að hraðaútreikningurinn yrði lagður til grundvallar ákvörðun félagsins um bótaskyldu og gæti mögulega leitt til þess að sér yrði synjað um bætur.

Samkvæmt 1. mgr. 20. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga ber ábyrgðaraðila að upplýsa hinn skráða um tiltekin atriði þegar hann aflar persónuupplýsinga frá honum. M.a. þarf hann að greina frá tilgangi vinnslunnar og öðrum atriðum sem hinn skráði þarf að vita um, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, til að geta gætt hagsmuna sinna.

Eins og komið hefur fram var vinnslusamningur gerður 14. ágúst 2012. Hann hefur að geyma fyrirmæli frá ábyrgðaraðila til vinnsluaðila um hvernig standa skuli að fræðslu. Ekki liggur fyrir að fram að því hafi Sjóvá gefið fyrirmæli í samræmi við 2. mgr. 13. gr. laga nr. 77/2000 og standa orð gegn orði um hvort kvartandi hafi í raun verið fræddur um þau atriði sem greinir í 20. gr., en sönnunarbyrði um það hvílir á ábyrgðaraðila. Verður því ekki talið að Sjóvá hafi rækt fræðsluskyldu sína gagnvart Y.

Úrskurðarorð

Sjóvá var ekki heimilt, hinn 8. júní 2012, að afhenda Z persónupplýsingar um Y vegna tilgreinds árekstrar, og það rækti ekki fræðsluskyldu sína gagnvart henni.

Með vísan til 1. tölul. 3. mgr. 37. gr.  laga nr. 77/2000 er lagt fyrir Sjóvá að gefa vinnsluaðila fyrirmæli um að veita fræðslu um þau atriði sem greinir í 20. gr. laga nr. 77/2000. Að því marki sem félagið gefur vinnsluaðila ekki slík fyrirmæli þarf það sjálft að veita fræðsluna.