Persónuupplýsingum kvartanda miðlað til óviðkomandi aðila – mál nr. 2013/419
Persónuvernd hefur úrskurðað í máli varðandi miðlun persónuupplýsinga frá þjónustumiðstöð Grafarvogs og Kjalarness til óviðkomandi aðila. Persónuvernd úrskurðaði að með vinnslunni hefði verið brotið gegn reglum um öryggi við meðferð persónuupplýsinga.
Úrskurður
Á fundi stjórnar Persónuverndar þann 12. nóvember 2013 var kveðinn upp svohljóðandi úrskurður í máli nr. 2013/419:
I.
Málavextir og bréfaskipti
Hinn 18. mars 2013 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd „kvartandi“). Laut kvörtunin að því að Miðgarður – Þjónustumiðstöð Grafarvogs og Kjalarness hefði afhent [þriðja aðila] afrit af húsaleigusamningi sem hún hafði lagt inn hjá miðstöðinni í tengslum við umsókn sína um húsaleigubætur. Í kvörtuninni segir m.a.:
„Þann […] afhendir starfsmaður Miðgarðs þjónustumiðstöðvar Grafarvogs leigusamninginn minn í hendur [þriðja aðila] sem var umboðsmaður á leigusamningnum.
Starfsmenn Miðgarðs tjáðu mér að hann hafi komið, sagst vera bróðir minn og honum afhentur samningurinn.
Ég var stödd erlendis, […] ég var ekki látin vita af þessu en komst að þessu þegar ég fékk ekki húsaleigubætur þann 1. júlí 2013.
Þá var hann búin að fara með samninginn til sýslumanns, falsa nafnið mitt og láta rifta samningum. Ég er búin að kæra hann til lögreglu.
Ég endaði á götunni, og hafði mikið fyrir því að Miðgarður reddaði mér gistingu fyrir þeirra mistök […].
Ég hef ekki ennþá fengið að vita hvaða starfsmaður afhenti honum samninginn og ástæðuna af hverju hann fékk samninginn í hendurnar.“
Með bréfi, dags. 30. apríl 2013, veitti Persónuvernd Miðgarði færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 17. maí 2013. Þar segir:
„Miðgarður harmar það mjög að röngum aðila voru látin persónuleg gögn í hendur er starfsmanni urðu á mistök í starfi. Málið er litið alvarlegum augum og farið hefur verið yfir verkferla við mál sem þetta og reglur varðandi afhendingu gagna verið ítrekaðar við starfsmenn. Þá hafa frekari kröfur verið gerðar til sönnunar á því að réttum aðila séu færð persónuleg gögn í hendur og má m.a. nefna að ávallt er nú óskað persónuskilríkja við afhendingu gagna.
Fyrir hönd Miðgarðs þá biðst undirrituð innilega afsökunar á þeim skaða og óþægindum sem þjónustumiðstöðin hefur valdið [A] og vonar að slík atvik endurtaki sig ekki aftur.“
Með bréfi, dags. 24. maí 2013, ítrekuðu með bréfum, dags. 10. júlí og 4. september s.á., var kvartanda veitt færi á að tjá sig um framangreint svar Miðgarðs. Hún svaraði með bréfi hinn 1. október s.á. Þar lýsir hún þeirri afstöðu að Miðgarður hefði, samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, eingöngu mátt afhenda umræddan húsaleigusamning með hennar samþykki. Með afhendingu samningsins hafi Miðgarður því brotið gegn þeim lögum og valdið henni miklum óþægindum, þ. á m. heilsutengdum, sem og umtalsverðu fjárhagstjóni. Auk þess áréttar kvartandi m.a. að Miðgarður hafi neitað að upplýsa hana um nafn þess starfsmanns sem afhenti samninginn og feli það í sér brot á persónulegum réttindum hennar.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Við vinnslu persónuupplýsinga ber m.a. að fara að grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000. Þar er m.a. mælt fyrir um að við meðferð persónuupplýsinga skuli þess gætt að hún samrýmist vönduðum vinnsluháttum, sbr. 1. tölul.
Í 11. gr. laga nr. 77/2000 er regla um öryggi persónuupplýsinga. Samkvæmt 1. mgr. 11. gr. ber að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. 11. gr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Einnig ber að virða reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Í 5. gr. þeirra kemur m.a. fram að skilgreina skuli með skýrum hætti hlutverk og skyldur hvers starfsmanns sem hefur aðgang að persónuupplýsingum, sem og að gera skuli nauðsynlegar ráðstafanir til þess að starfsmönnum sé með reglubundnum hætti gerð grein fyrir starfsskyldum sínum og þeim afleiðingum sem það getur haft í för með sér að brjóta þær, sbr. 3. og 4. tölul.
Vegna eðlis slíkra gagna, sem mál þetta varðar, telur Persónuvernd, einkum í ljósi áðurnefndra krafna 1. tölul. 1. mgr. 7. gr. og 11. gr. laga nr. 77/2000, að viðhafa beri sérstakar öryggisráðstafanir við afhendingu þeirra, t.d. að sá sem óskar afhendingar sé ávallt beðinn um að framvísa persónuskilríkjum og að auki skriflegu umboði þegar upplýsingar eru sagðar sóttar fyrir annars hönd. Fyrir liggur að ekkert slíkt var gert í umræddu tilviki og var því brotið gegn ákvæðum 1. tölul. 1. mgr. 7. gr., 1. og 2. mgr. 11. gr. laga nr. 77/2000 og reglum Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.
Fyrir liggur að Miðgarður hyggst koma í veg fyrir að tilvik, eins og það sem hér um ræðir, endurtaki sig. Af því tilefni skal minnt á að samkvæmt 5. mgr. 11. gr. laga nr. 77/2000 skal sá sem ábyrgð ber á vinnslu persónuupplýsinga skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. nánari fyrirmæli í 3. gr. reglna nr. 299/2001. Með vísan til þess er hér með lagt fyrir Miðgarð að afhenda slík gögn um öryggi persónuupplýsinga – þar sem m.a. komi fram hvernig fyrirbyggja eigi ólögmæta afhendingu gagna – eigi síðar en 2. desember nk.
Varðandi það að kvartanda hafi ekki verið veittar upplýsingar um nafn þess starfsmanns, sem afhenti umræddan húsaleigusamning, vísast til upplýsingaskyldu stjórnvalda innan þess ramma sem þeirri skyldu er markaður í II og III. kafla upplýsingalaga nr. 140/2012. Sé beiðni um afhendingu gagna samkvæmt þeim lögum synjað, þ. á m. gagna um verk tiltekinna starfsmanna, er unnt að bera réttmæti þeirrar synjunar undir úrskurðarnefnd um upplýsingamál, sbr. V. kafla laganna.
Ú r s k u r ð a r o r ð:
Brotið var gegn reglum um öryggi við meðferð persónuupplýsinga þegar Miðgarður – Þjónustumiðstöð Grafarvogs og Kjalarness afhenti óviðkomandi einstaklingi afrit af húsaleigusamningi sem [A] hafði fengið miðstöðinni í hendur til að fá húsaleigubætur. Skal þjónustumiðstöðin eigi síðar en 2. desember nk. senda Persónuvernd gögn samkvæmt 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. gr. reglna nr. 299/2001, þar sem m.a. komi fram hvernig fyrirbyggja eigi ólögmæta afhendingu gagna.