Óheimil miðlun persónuupplýsinga frá lögreglu - mál nr. 2013/458
Úrskurður
Á fundi stjórnar Persónuverndar hinn 18. september 2013 var kveðinn upp svohljóðandi úrskurður í máli nr. 2013/458:
I.
Bréfaskipti
1.
Hinn 25. mars 2013 barst Persónuvernd kvörtun, dags. 20. s.m., frá A, fyrir hönd B yfir að starfsfólk tilkynningar- og boðunardeildar Lögreglunnar á höfuðborgarsvæðinu hafi greint [ættingja] B (hér eftir nefnd „kvartandi“) frá máli vegna kynferðisofbeldis sem [kvartandi] hafði kært. Segir að [kvartandi] hafi verið [á milli 18 og 20] ára að aldri þegar brotið var framið og hafi [sjálfur verið búinn] að ákveða að upplýsa [viðkomandi ættingja sinn] ekki um málið að svo stöddu. Þá segir m.a.: […]
„Umbjóðandi minn telur að upplýsingar sem starfsfólk embættisins veitti [ættingja kvartanda] hafi verið eins viðkvæmar og þær gátu verið. Þá voru þær mjög persónulegar og persónugreinanlegar auk þess sem þær vörðuðu einkalíf umbjóðanda míns.
[…]
Starfsfólk lögregluembætta vinnur með viðkvæmar og persónulegar upplýsingar um líf fólks sem oft eru ekki öðrum opinberar. Það hvílir rík skylda á starfsfólkinu að tryggja rétt þeirra sem leita til embættanna til friðhelgi einkalífs og fjölskyldu og jafnframt að starfsfólkið geri sér grein fyrir þeirri skyldu sem á því hvílir og þeim rétti sem einstaklingar, sem leita til embættanna, hafa.
Umbjóðandi minn telur því að starfsfólk embættisins hafi brotið gegn lögum um persónuvernd og meðferð persónuupplýsinga nr. 77/2000 þegar [ættingi kvartanda] var [upplýstur] án samþykkis um að [kvartandi] tengdist kynferðisbrotamáli og að [kvartandi] hefði verið fórnarlamb kynferðisafbrots. […]“
2.
Með bréfi, dags. 30. apríl 2013, var Lögreglunni á höfuðborgarsvæðinu veitt færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 13. maí s.á. Þar segir:
„Embættið getur staðfest tilvikin sem tilgreind eru í erindi lögmannsins; […]
Umræddur starfsmaður gerir sér grein fyrir mistökum sínum og hefur óskað eftir að koma á framfæri afsökunarbeiðni til B vegna þess.“
Með bréfi, dags. 24. maí 2013, ítrekuðu með bréfi, dags. 10. júlí s.á., veitti Persónuvernd lögmanni kvartanda færi á að tjá sig um framangreint svar Lögreglunnar á höfuðborgarsvæðinu. Hann svaraði með tölvubréfi hinn 15. júlí 2013 þar sem segir að hann telji ekki þörf á frekari athugasemdum.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að meðferð upplýsinga, sem skráðar höfðu verið um nafn kvartanda og það mál sem [kvartandi] hafði kært, felur í sér vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Við vinnslu persónuupplýsinga ber m.a. að fara að grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000. Þar er m.a. mælt fyrir um að við meðferð persónuupplýsinga skuli þess gætt að hún samrýmist vönduðum vinnsluháttum, sbr. 1. tölul.
Í 11. gr. laga nr. 77/2000 er regla um öryggi persónuupplýsinga. Samkvæmt 1. mgr. 11. gr. ber að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. 11. gr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Einnig ber að virða reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Í 4. gr. þeirra segir m.a. að ábyrgðaraðili skuli gera viðeigandi öryggisráðstafanir og beri ábyrgð á því að vinnsla persónuupplýsinga sé í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður. Markmið skipulags- og tæknilegra öryggisráðstafana sé að tryggja nægilegt öryggi og vernda persónuupplýsingar m.a. gegn því að þær glatist. Við val öryggisráðstafana skuli taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á. Þá segir m.a. að þær skuli tryggja nægilegt öryggi með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.
Vegna viðkvæms eðlis slíkra persónuupplýsinga sem mál þetta varðar telur Persónuvernd, einkum í ljósi áðurnefndra krafna 1. tölul. 1. mgr. 7. gr. og 11. gr. laga nr. 77/2000, að gæta beri sérstaks öryggis við meðferð þeirra. Þurfa öryggisráðstafanir m.a. að miða að því að starfsmenn veiti ekki munnlega upplýsingar úr skráðum gögnum sem varðar skulu trúnaði. Í því sambandi ber m.a. að líta til 4. tölul. 5. gr. reglna nr. 299/2011 um öryggi persónuupplýsinga, settra með stoð í m.a. 11. gr. laga nr. 77/2000. Í umræddu ákvæði reglnanna kemur fram að í þágu öryggis persónuupplýsinga skuli starfsmönnum með reglubundnum hætti gerð grein fyrir starfsskyldum sínum og þeim afleiðingum sem það getur haft í för með sér að brjóta þær.
Samkvæmt 22. gr. lögreglulaga nr. 90/1996 hvílir þagnarskylda á lögreglumönnum og öðru starfsliði lögreglu um þau atvik sem þeim verða kunn í starfi sínu eða vegna starfs síns og leynt eiga að fara vegna lögmætra almanna- eða einkahagsmuna. Þá segir að þetta taki til m.a. upplýsinga um einkahagi manna sem eðlilegt er að leynt fari samkvæmt lögum, starfsreglum lögreglu eða eðli máls. Fyrir liggur að í umræddum símtölum voru veittar upplýsingar um mál í tilefni af kæru kvartanda sem féllu undir þagnarskyldu samkvæmt framangreindu. Af því leiðir jafnframt að farið var í bága við fyrrgreind ákvæði 1. tölul. 1. mgr. 7. gr. og 11. gr. laga nr. 77/2000.
Í ljósi framangreinds, og með vísan til 1. mgr. 38. gr. laga nr. 77/2000, er hér með lagt fyrir Lögregluna á höfuðborgarsvæðinu að upplýsa Persónuvernd um það fyrir 1. desember nk. til hvaða ráðstafana hún hafi þá gripið til að girða fyrir að slík öryggisatvik og hér um ræðir endurtaki sig.
Ú r s k u r ð a r o r ð:
Miðlun Lögreglunnar á höfuðborgarsvæðinu á upplýsingum um B, sem átti sér stað í tveimur símtölum við [ættingja B] vegna máls tengdu kæru B á kynferðisbroti, fór í bága við lög nr. 77/2000. Fyrir 1. desember nk. skal Lögreglan á höfuðborgarsvæðinu upplýsa Persónuvernd um til hvaða ráðstafana hún hafi þá gripið til að girða fyrir að slík öryggisatvik og hér um ræðir endurtaki sig.