Miðlun upplýsinga um stéttarfélagsaðild - mál nr. 2012/1391
Persónuvernd hefur úrskurðað í máli konu sem kvartaði yfir miðlun upplýsinga um hana úr félagatali stéttarfélags í þágu rannsóknarverkefnis þriðja aðila. Persónuvernd taldi að félaginu hefði verið óheimilt að miðla upplýsingum um nafn og netfang kvartanda til rannsakandans, án hennar samþykkis.
Úrskurður
Hinn 28. maí 2013 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2012/1391:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 23. nóvember 2012 barst Persónuvernd kvörtun frá A (hér eftir nefnd kvartandi), yfir miðlun tölvupóstfangs frá stéttarfélagi sínu til þriðja aðila. Nánar tiltekið telur kvartandi að Sjúkraliðafélagi Íslands hafi verið óheimilt að miðla persónulegu netfangi hennar og upplýsingum um vinnustað til óviðkomandi þriðja aðila, þ.e. B, án leyfis hennar.
2.
Bréfaskipti
Með bréfi, dags. 19. desember 2012, var Sjúkraliðafélagi Íslands boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var þess einkum óskað að fram kæmi hvaða lagaheimild félagið byggir miðlunina á.
Í svarbréfi Sjúkraliðafélags Íslands, dags. 28. desember 2012, segir eftirfarandi um málavexti:
„Í stuttu máli eru atvik þau að B, sem nefnd er þriðji aðili, vann/vinnur að mastersverkefni, sem fólst í að gera könnun meðal sjúkraliða sem lokið hafa tiltekinni framhaldsmenntun og hefur verið í samstarfi við félagið varðandi spurningar og hvernig könnunin nýtist félaginu sem best. Hún óskaði eftir netföngum sjúkraliða sem höfðu lokið menntuninni sem um ræðir. Af hálfu Sjúkraliðafélagsins var litið svo á að verkefnið félli að hagsmunum félagsins, þar sem Sjúkraliðafélagið fengi í hendur niðurstöður verkefnisins. Voru B veittar upplýsingarnar, sem til þurfti.
Í kvörtun A er enginn rökstuðningur er lýtur að því hvaða brot á að hafa verið framið. Sjúkraliðafélagið veitti umræddar upplýsingar í góðri trú um að það væri heimilt. Snúist málið um það hvort B hafi verið óviðkomandi eða ekki, þá er því haldið fram hér að hún hafi ekki verið óviðkomandi eins og á stóð.“
Með bréfi, 14. mars 2013, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Sjúkraliðafélags Íslands til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í tölvupósti kvartanda til Persónuverndar, dags. 10. maí 2013, áréttar kvartandi fyrri athugasemdir sínar sem komu fram í kvörtun hennar til stofnunarinnar, um að Sjúkraliðafélagi Íslands hafi verið óheimilt að miðla upplýsingum um sig til þriðja aðila án samþykkis hennar, en bendir auk þess á að félagið hafi ekki fengið leyfi Persónuverndar fyrir miðluninni.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.
Af framangreindu er ljóst aðmiðlun upplýsinga um netfang og vinnustað kvartanda til B fellur undir gildissvið laga nr. 77/2000.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga þarf að uppfylla eitthvert af skilyrðum 8. gr. laga nr. 77/2000 svo hún sé heimil. Ef um viðkvæmar persónuupplýsingar er að ræða þarf einnig að uppfylla eitthvert af skilyrðum 1. mgr. 9. gr. Upplýsingar um stéttarfélagsaðild teljast vera viðkvæmar, sbr. e-lið 8. tölul. 2. gr. laganna, og þarf vinnsla upplýsinga þar að lútandi því bæði að eiga sér stoð í 8. og 9. gr.
Í 1. tölul. 1. mgr. 9. gr. segir að vinnsla viðkvæmra persónuupplýsinga sé heimil ef hinn skráði hefur samþykkt vinnsluna. Ekkert slíkt samþykki var fengið frá kvartanda fyrir miðlun upplýsinga til þriðja aðila.
Í 5. tölul. 1. mgr. 9. gr. segir að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún framkvæmd af samtökum sem hafa stéttarfélagsleg markmið eða af öðrum samtökum sem ekki starfa í hagnaðarskyni, enda sé vinnslan liður í lögmætri starfsemi samtakanna og taki aðeins til félagsmanna þeirra eða einstaklinga sem samkvæmt markmiðum samtakanna eru, eða hafa verið, í reglubundnum tengslum við þau. Þar sem umrædd vinnsla var ekki liður í lögmætri starfsemi samtakanna getur hún ekki fallið undir 5. tölul. 1. mgr. 9. gr.
Samkvæmt 9. tölul. 1. mgr. 9. gr. er vinnsla heimil ef hún er nauðsynleg vegna tölfræði- eða vísindarannsókna, enda sé persónuvernd tryggð með tilteknum ráðstöfunum eftir því sem við á. Af gögnum þessa máls liggur fyrir að upplýsingum um netföng félagsmanna Sjúkraliðafélags Íslands, sem höfðu lokið tilteknu menntunarstigi, var miðlað til B í þágu vísindarannsóknar hennar í meistaranámi. Félaginu var hins vegar auðið að senda félagsmönnum sínum sjálft upplýsingar um könnunina. Ekki verður því talið að vinnslan hafi verið nauðsynleg, í skilningi ákvæðisins, og getur hún því ekki fallið undir 9. tölul. 1. mgr. 9. gr.
Þar sem ekki lá fyrir samþykki hins skráða fyrir miðlun viðkvæmra persónuupplýsinga um sig til þriðja aðila vegna vísindarannsóknar uppfyllti miðlunin ekki skilyrði 9. gr. laga nr. 77/2000. Þegar af þeirri ástæðu þarf ekki að meta lögmæti hennar í ljósi 8. gr. laganna.
Ú r s k u r ð a r o r ð:
Sjúkraliðafélagi Íslands var óheimilt að miðla upplýsingum um nafn og netfang kvartanda til B.