Vinnsla upplýsinga um símtöl starfsmanna
Úrskurður
Á fundi stjórnar Persónuverndar þann 3. nóvember 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/241:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Hinn 17. febrúar 2015 barst Persónuvernd kvörtun frá [A], [B] og [C] (hér eftir nefnd kvartendur), vegna skoðunar Hafnarfjarðarbæjar á upplýsingum um farsímanotkun þeirra. Í kvörtuninni kemur fram að kvartendur séu öll bæjarfulltrúar hjá Hafnarfjarðarbæ og eigi sæti í bæjarráði sem fari með starfsmannamál og málefni fyrirtækja í eigu bæjarins. Á fundi ráðsins hinn 12. febrúar 2015 hafi bæjarstjóri farið yfir mál sem hafi verið á dagskrá hafnarstjórnar Hafnarfjarðarhafna 2. febrúar s.á. Hafi bæjarstjóri upplýst að í tengslum við það mál hafi farið fram könnun á því hvort símtal hafi átt sér stað úr símum á vegum bæjarins til málsaðila á tilteknu tímabili. Staðfesti bæjarstjóri að símar kjörinna fulltrúa hafi verið hluti af þeirri könnun. Telja kvartendur að þar sem ekki hafi verið leitað eftir samþykki þeirra áður en könnun á farsímanotkun þeirra fór fram hafi Hafnarfjarðarbær og bæjarstjóri brotið gegn lögum um persónuvernd og meðferð persónuupplýsinga.
2.
Málsmeðferð
2.1
Samskipti við Hafnarfjarðarbæ
Með bréfi, dags. 18. febrúar 2015, var Hafnarfjarðarbæ boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var þess sérstaklega óskað að sveitarfélagið veitti Persónuvernd upplýsingar um: hvernig umrædd vinnsla hefði farið fram og hvort sveitarfélagið væri áskrifandi að tal- og farsímaþjónustu kvartenda, hvernig sveitarfélagið teldi að umrædd vinnsla samrýmdist 1. mgr. 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sérstaklega ákvæðum 1. og 2. tölul. ákvæðisins, og á grundvelli hvaða heimildar í 1. mgr. 8. gr. sömu laga umrædd vinnsla hefði byggst.
Svarbréf Juris, f.h. Hafnarfjarðarbæjar, dags. 4. mars 2015, barst Persónuvernd s.d. Um málavexti segir m.a. að þann 12. janúar 2015 hafi Hafnarfjarðarbær óskað eftir því með tölvupósti til Vodafone - Fjarskipta hf. (hér eftir Vodafone), sem annast símaþjónustu fyrir Hafnarfjarðarbæ, að látnar yrðu í té upplýsingar um símhringingar í tiltekið símanúmer á tímabilinu frá kl. 10.00-16.00 þann 14. nóvember 2014, úr símanúmerum sem skráð væru á nafn Hafnarfjarðarbæjar. Vodafone hafi hins vegar ekki svarað fyrirspurn Hafnarfjarðarbæjar eins og um hafi verið beðið heldur hafi verið sendur listi yfir símhringingar úr símum sem skráðir voru á Hafnarfjarðarbæ á framangreindu tímabili. Af hálfu Vodafone var talið að erindinu hefði verið svarað til samræmis við 9. gr. reglugerðar nr. 526/2011, um reikningsgerð fyrir fjarskiptaþjónustu. Þau gögn sem Vodafone afhenti hafi hins vegar eingöngu innihaldið upplýsingar um símhringingar úr símanúmerum sem sveitarfélagið sé skráð rétthafi að og greiði að fullu, en það eigi almennt eingöngu við um síma sem ekki eru ætlaðir til persónulegra nota starfsmanna eða bæjarfulltrúa.
Þá segir í bréfinu að almennt sé tilhögun símaafnota og greiðslna fyrir slík afnot á þann veg að einstaka starfsmenn, og kjörnir bæjarfulltrúar, fái farsíma til afnota hjá sveitarfélaginu. Sveitarfélagið greiði hins vegar eingöngu símareikninga upp að ákveðnu fjárhæðarmarki. Slíkt fyrirkomulag sé sérstaklega tilkynnt til Vodafone í hverju tilviki fyrir sig og sé þá viðkomandi einstaklingur skráður sem greiðandi þjónustunnar ásamt Hafnarfjarðarbæ. Framangreint fyrirkomulag eigi hins vegar ekki við um bæjarstjóra á hverjum tíma og muni hann sá eini sem fær símareikning greiddan að fullu af hálfu sveitarfélagsins. Símreikningar kvartenda séu hins vegar greiddir upp að ákveðnu marki. Því hafi símanúmer þeirra ekki átt að koma fram á umræddum lista. Bærinn hafi staðreynt að símanúmer kvartendanna [A] og [C] hafi ekki verið á umræddum lista sem Vodafone afhenti Hafnarfjarðarbæ. Telji bærinn því að vísa beri kvörtunum þeirra frá. [B] hafi hins vegar gegnt starfi bæjarstjóra fram á síðasta ár og virðist, vegna mistaka, enn hafa notið framangreindra kjara, þ.e. símareikningur hennar hafi verið greiddur að fullu á því tímabili sem hér um ræðir, án framangreindrar greiðsluskiptingar. Af þeim ástæðum sé ekki hægt að útiloka að upplýsingar vegna þess símanúmers hafi verið á þeim lista sem barst frá Vodafone.
Um tilefni upplýsingaöflunarinnar segir í bréfi Juris að í desember 2014 hafi komið upp mál vegna hugsanlegs öryggisatviks á aðalskrifstofum sveitarfélagsins og í stjórnsýslu þess, sem hafi gefið bæjarstjóra tilefni til að óska eftir nánari rannsókn á því. Nánar tiltekið hafi bæjarstjóri fengið afrit af tölvubréfi frá tilteknu stéttarfélagi þar sem fram komu ásakanir um að bæjarstjóri hefði boðað starfsmann Hafnarfjarðarhafna til fundar og með óviðeigandi hætti fjallað þar um störf og fyrirkomulag starfa við höfnina. Bæjarstjórinn hafi hins vegar ekki kannast við slíkan fund. Á fundi bæjarstjóra með viðkomandi starfsmanni og fulltrúa stéttarfélagsins hafi starfsmaður hafnarinnar hins vegar borið því við að það hefði verið misskilningur sinn að bæjarstjóri hefði setið fundinn. Staðhæfði hann þó að að hann hefði verið boðaður á fund þann 15. nóvember 2014 í ráðhúsi Hafnarfjarðarbæjar með símtali þann 14. s.m. Við komuna á fundinn hafi tveir menn tekið á móti honum. Þá hafi hann fengið þær upplýsingar frá 118 upplýsingaveitu að númerið sem hringt var úr hafi verið skráð á Hafnarfjarðarbæ, en fyrirtækið hafi ekki getað upplýst um hvaða númer það hafi verið. Hafi bæjarstjóri talið að um alvarlegt öryggisbrot væri að ræða, ef rétt reyndist.
Í ljósi framangreinds hafi þótt nauðsynlegt að afla upplýsinga um hvort framangreindur fundur hafi verið haldinn og þá hvort boðað hafi verið til hans með símtali úr símkerfi sveitarfélagsins. Fyrst hafi verið óskað eftir því að umræddur starfsmaður aflaði sjálfur upplýsinga frá sínu símafyrirtæki um tilgreint símtal í heimasíma sinn. Hann kveðst hins vegar hafa fengið þau svör að ekki væri unnt að afhenda umræddar upplýsingar vegna bilunar í símkerfi viðkomandi fyrirtækis í Hafnarfirði. Hafi þá verið ákveðið að kanna hvort hringt hafi verið úr síma skráðum á Hafnarfjarðarbæ í heimasíma starfsmannsins. Fyrst hafi verið könnuð þau númer sem hringt hafði verið í úr aðalnúmerum Hafnarfjarðarbæjar en þá hafi ekki verið hægt að sjá úr hvaða innanhússnúmeri hafi verið hringt. Fleiri númer en aðalnúmerið hafi því verið könnuð og hafi þau númer sem hringt var í eingöngu birst að hluta. Hinn 12. janúar 2015 hafi Hafnarfjarðarbær leitað eftir því við Vodafone að fá upplýsingar um símhringingar úr símanúmerum sem skráð væru á sveitarfélagið í heimasíma starfsmannsins á áðurgreindu tímabili. Þegar listinn barst frá Vodafone hafi sviðsstjóri stjórnsýslu eingöngu leitað eftir því númeri sem átti að hafa verið hringt í. Kom í ljós að svo var ekki og hafi skránni því verið lokað aftur. Síðar hafi verið ákveðið að kanna aftur með sama hætti hvort hringt hefði verið í farsímanúmer starfsmanns Hafnarfjarðarhafna en svo hafi ekki reynst vera. Ekki hafi verið unnið frekar með upplýsingarnar sem bárust frá Vodafone og gögnunum eytt. Eingöngu sviðsstjóri stjórnsýslu og innkaupastjóri hafi haft aðgang að þessum upplýsingum, en ekki t.a.m bæjarstjóri eða aðrir starfsmenn sveitarfélagsins. Á listanum hafi eingöngu verið að finna upplýsingar um símanúmer sem Hafnarfjarðarbær hafi verið skráður fyrir, bæði sem áskrifandi og greiðandi að fullu. Þá telji Vodafone að sendingin hafi verið í fullu samræmi við verklagsreglur Fjarskipta hf. og að fyllsta öryggis hafi verið gætt við meðhöndlun þeirra.
Einnig segir í bréfinu að Hafnarfjarðarbær telji að gætt hafi verið að sjónarmiðum 1. mgr. 7. gr. laga nr. 77/2000. Gagnaöflunin hafi ekki verið víðtækari en nauðsynlegt var, þar sem sveitarfélagið hafi eingöngu óskað eftir upplýsingum um tiltekið símtal. Þá hafi könnunin verið sanngjörn, málefnaleg og lögmæt auk þess sem upplýsingarnar hafi ekki verið geymdar lengur en þörf hafi verið á. Einnig hafi tilgangur vinnslunnar verið yfirlýstur, skýr og málefnalegur. Hvað varðar heimild til vinnslunnar samkvæmt 1. mgr. 8. gr. laga nr. 77/2000 vísar Hafnarfjarðarbær til þess að upplýsinganna hafi verið aflað vegna rannsóknar á máli sem hafi getað varðað alvarlega vankanta í öryggiskerfi sveitarfélagsins og því hafi verið afar mikilvægt að upplýsa málið. Sveitarfélagið hafi haft lögmæta hagsmuni af könnun á símtalaupplýsingum með þeim hætti sem gert var enda hafi meðferð upplýsinganna verið þannig að gætt hafi verið að grundvallarréttindum og frelsi einstakra notenda. Könnun sveitarfélagsins hafi því verið í samræmi við 7. tölul. 8. gr. laga nr. 77/2000. Þá segir í lok bréfsins að samkvæmt 8. og 9. gr. reglugerðar nr. 526/2011, um reikningagerð fyrir fjarskiptaþjónustu, eigi áskrifendur rétt á ítarlegum upplýsingum um fjarskiptaþjónustu. Þá beri fjarskiptafyrirtækjum að hafa hliðsjón af lögum nr. 77/2000 við gerð sundurliðaðra reikninga. Ekki verði annað séð en að upplýsingagjöfin hafi verið í samræmi við ákvæði tilvísaðrar reglugerðar.
Með framangreindu bréfi Juris fylgdi einnig afrit af tölvupósti innkaupastjóra Hafnarfjarðarbæjar frá 12. janúar 2015 til Vodafone. Þar kemur fram að bærinn óski eftir upplýsingum um úthringingar úr símkerfum Hafnarfjarðarbæjar í númer framangreinds starfsmanns Hafnarfjarðarhafna þann 14. nóvember milli kl. 10 og 16.
Með bréfi, dags. 26. mars 2015, óskaði Persónuvernd að staðfest yrði hvort sveitarfélaginu hefðu eingöngu borist upplýsingar um símtalaskráningu símanúmera sem Hafnarfjarðarbær er áskrifandi og greiðandi að, en enga farsíma. Þá óskaði stofnunin eftir að staðfest yrði að Hafnarfjarðarbæ hefði ekki borist yfirlit yfir hringd símtöl úr farsímum starfsmanna, þ.m.t. kvartenda. Enn fremur óskaði stofnunin eftir upplýsingum um hvernig gætt hefði verið að ákvæðum um viðvörunarskyldu gagnvart hinum skráðu samkvæmt 21. gr. laga nr. 77/2000.
Svarbréf Juris, f.h. Hafnarfjarðarbæjar, barst Persónuvernd þann 21. apríl 2015. Í bréfinu segir m.a. að einungis hafi verið óskað eftir upplýsingum um hringingar í tiltekið símanúmer. Þær upplýsingar sem Vodafone hafi sent sveitarfélaginu hafi hins vegar náð til allra þeirra símanúmera sem væru að fullu greidd af Hafnarfjarðarbæ, samkvæmt þeim reglum sem Vodafone ynni eftir. Þau númer næðu yfir fastlínusíma, en einnig nokkur farsímanúmer, þ.e. vegna farsíma sem notaðir eru á vegum sveitarfélagsins, s.s. vaktsíma o.fl., en væru ekki ætlaðir til persónulegra nota. Símar sem ekki eru greiddir að fullu af hálfu sveitarfélagsins hafi ekki verið á umræddum lista en tveir kvartenda hafi notið slíkra kjara og hafi upplýsingar Vodafone ekki náð til þeirra. Þá kemur fram að þar sem umræddum lista hafði þá þegar verið eytt hafi ekki verið hægt að staðreyna hvort [B], fyrrum bæjarstjóri, hafi verið á honum.
Hvað varðar viðvörunarskyldu samkvæmt 21. gr. laga nr. 77/2000 segir að í ljósi þess að hvorki hafi staðið til að afla persónuupplýsinga, né fá upplýsingar um notkun hvers símanúmers eða tiltekinna símanúmera, hafi Hafnarfjarðarbær ekki upplýst sérstaklega um vinnslu á grundvelli ákvæðisins, enda hafi bærinn ekki talið tilefni til slíks. Þá telji Hafnarfjarðarbær að þar sem ekki hafi orðið ljóst að upplýsingar kynnu að hafa komið fram um farsímanotkun fyrrverandi bæjarstjóra fyrr en eftir að listanum hafði verið eytt, verði vart talið að ákvæðið eigi hér við.
2.2
Samkipti við Vodafone
Með bréfi, dags. 26. mars 2015, óskaði Persónuvernd eftir svörum frá Vodafone um á grundvelli hvaða heimildar í 1. mgr. 8. gr. laga nr. 77/2000 miðlun umræddra gagna til Hafnarfjarðarbæjar hefði byggst og hvernig félagið teldi vinnsluna samrýmast 1. mgr. 7. gr. framangreindra laga. Þá óskaði Persónuvernd enn fremur eftir afriti af umræddum lista sem sendur var frá Vodafone til Hafnarfjarðarbæjar auk afrits af verklagsreglum Fjarskipta hf.
Svarbréf Landslaga, f.h. Vodafone, barst Persónuvernd þann 21. apríl 2015. Í bréfinu er fyrst vikið að því að Vodafone telji að uppi sé vafi um valdmörk Persónuverndar og Póst- og fjarskiptastofnunar varðandi ákvæði fjarskiptalaga. Þar segir m.a. að í ljósi þess vafa, framkvæmdar Póst- og fjarskiptastofnunar við meðferð sambærilegra mála sem og lögskýringarsjónarmiða, fari Vodafone þess á leit við stofnunina að afstaða verði tekin til þess undir hvora stofnunina mál þetta heyri.
Þá hafi Póst- og fjarskiptastofnun á undanförnum árum talið sig bæra til að taka til ákvörðunar mál sem lúti að meðferð persónuupplýsinga sem fólgnar séu í umferðarupplýsingum, svo sem um sendanda, móttakanda og tímasetningu sendingar. Einnig telur lögmaður Vodafone að lagaskil þessara tveggja laga, laga nr. 77/2000 og laga nr. 81/2003, séu ekki háð jafn mikilli óvissu og framangreind valdmörk. Í ljósi þeirrar lögskýringarreglu að sérlagaákvæði gangi framar almennum lögum megi ráða að ákvæði fjarskiptalaga um meðferð persónuupplýsinga, sem falli undir lögin, verði talin til sérlagaákvæða sem gangi þess vegna framar ákvæðum laga nr. 77/2000.
Um heimild til vinnslu segir lögmaður Vodafone að miðlun umræddra gagna hafi byggst á 38. gr. laga nr. 81/2003, um fjarskipti, sbr. og reglugerð nr. 526/2011, um reikningagerð fyrir fjarskiptaþjónustu. Með ákvæðum laganna og reglugerðarinnar er lögð sú skylda á fjarskiptafyrirtæki að veita áskrifendum fjarskiptaþjónustu reikninga sína sundurliðaða. Því hafi umrædd vinnsla verið nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Um það hvernig félagið telji að vinnslan hafi samrýmst ákvæðum 1. mgr. 7. gr. laga nr. 77/2000 segir að miðlun upplýsinganna hafi í einu og öllu farið að fyrirmælum 38. gr. laga nr. 81/2003, sem og ákvæðum reglugerðar nr. 526/2011, sem séu sérákvæði um þá vinnslu persónuupplýsinga sem felst í sundurliðun reikninga og gangi því framar ákvæðum laga nr. 77/2000. Telji Vodafone því að miðlun upplýsinganna hafi þegar af þeirri ástæðu samrýmst ákvæðum 1. mgr. 7. gr. framangreindra laga.
Þá áréttar lögmaður Vodafone að Persónuvernd taki ákvörðun um valdmörk hennar og Póst- og fjarskiptastofnunar áður en að listi yfir símnotkun verði afhentur stofnuninni.
Með bréfi Persónuverndar til Vodafone, dags. 2. júlí 2015 var því svarað til að stofnunin væri bær til að úrskurða í máli þessu, þar sem ekki lægi skýrt fyrir að miðlunin hefði farið fram í þágu reikningagerðar samkvæmt 38. gr. laga nr. 81/2003.
Þá óskaði Persónuvernd eftir nánari skýringum um hvernig Vodafone gengi úr skugga um að félagið hefði fullnægjandi heimildir samkvæmt 8. gr. laga nr. 77/2000 til að miðla persónuupplýsingum til þriðja aðila. Enn fremur óskaði stofnunin eftir afriti af umræddum lista, í þeim tilgangi að leggja mat á hvort kvartendur hefðu verið á honum. Þá var Vodafone gefinn kostur á að koma á framfæri frekari andmælum, í samræmi við 13. gr. stjórnsýslulaga nr. 37/1993.
Hinn 17. júlí 2015 barst Persónuvernd tölvupóstur frá lögmanni Vodafone. Þar óskaði hann eftir að áður en umræddur listi yrði afhentur stofnuninni yrðu persónupplýsingar annarra en kvartenda gerðar ópersónugreinanlegar, þó þannig að yfirlýstum tilgangi stofnunarinnar með því að kalla eftir listanum yrði náð.
Með tölvupósti þann 17. júlí 2015 féllst Persónuvernd á framkomna beiðni lögmanns Vodafone, þ.e. að svert yrðu út nöfn annarra einstaklinga en kvartenda þó þannig að hægt yrði að greina að þar væri ekki um að ræða nöfn neinna af kvartendum, t.d. með því að skilja eftir ósvertan fyrsta bókstaf í nafni viðkomandi. Hinn 28. júlí 2015 mætti lögmaður Vodafone á skrifstofu Persónuverndar og afhenti svarbréf, dags. sama dag, ásamt framangreindum lista.
Í svarbréfinu var ítrekað að álitamál væri um valdmörk Persónuverndar og Póst- og fjarskiptastofnunar. Þá ítrekar lögmaðurinn að óumdeilt sé að Hafnarfjarðarbær eigi skýlausan rétt til ítarlegrar sundurliðunar reikninga sinna, sbr. 1. mgr. 38. gr. laga nr. 81/2003 og 8.-11. gr. reglugerðar nr. 526/2011. Vodafone hafi því afgreitt beiðnina í samræmi við þessar réttarreglur og verklagsreglur sínar. Vodafone hafi hins vegar ekki borist upplýsingar um það frá Hafnarfjarðarbæ, hver raunverulegur tilgangur beiðninnar væri. Því sé ekki haldið fram í bréfi lögmanns Hafnarfjarðarbæjar og segi þar reyndar þvert á móti að af hálfu Vodafone hafi verið talið að erindinu hefði verið svarað til samræmis við 9. gr. framangreindrar reglugerðar. Þá sé því alfarið vísað á bug að ekki liggi skýrt fyrir að umrædd miðlun Vodafone til Hafnarfjarðarbæjar hafi farið fram í þágu reikningsgerðar, hver svo sem tilgangur Hafnarfjarðarbæjar hafi verið með beiðninni, enda hafi Vodafone haft fullt tilefni til að halda að beiðnin væri sett fram í hefðbundnum tilgangi vegna reikningsgerðar.
Með vísan til framangreinds telji Vodafone að umrædd kvörtun lúti ekki að þeirri vinnslu persónuupplýsinga sem hafi falist í afgreiðslu félagsins á umræddri beiðni Hafnarfjarðarbæjar heldur annars vegar að ástæðum þess að bærinn hafi ákveðið að leggja fram umrædda beiðni og hins vegar að meðferð bæjarins á þeim upplýsingum sem fram koma í sundurliðuninni, eftir að hann tók við þeim. Vodafone hafi hvorki haft vitneskju né hafi verið í aðstöðu til að taka ákvarðanir um þessi atriði. Þá telji félagið að málið, sé um það ágreiningur, heyri frekar undir verksvið Póst- og fjarskiptastofnunar, heldur en Persónuverndar.
Í bréfinu er síðan vikið að málavöxtum, en þar segir að hinn 23. desember 2014 hafi aðaltengiliður Hafnarfjarðarbæjar haft samband símleiðis við Vodafone og óskað eftir upplýsingum um úthringingar þann 14. nóvember 2014 milli kl. 11-14 á símstöð bæjarins og í hvaða númer hafi verið hringt. Hafi Vodafone óskað eftir skriflegri staðfestingu bæjarins og barst hún samdægurs í tölvupósti svohljóðandi:
„Sæll
Í framhaldi af símtali okkar áðan þá vantar okkur upplýsingar um úthringingar úr símstöðinni okkar hér á strandgötu [...] og í hvaða númer var hringt. Tímabilið sem um ræð[i]rer 14 November á milli kl. 11-14.00“
Að lokinni sannprófun á beiðninni og skyldu Vodafone til að verða við henni hafi ítarleg sundurliðun verið tekin út samkvæmt verklagsreglum félagsins og gildandi réttarreglum. Hafi umbeðin sundurliðun verið prentuð út og boðsend bænum þann 30. desember 2014. Þann 12. janúar 2015 hafi borist önnur beiðni frá aðaltengilið Hafnarfjarðarbæjar með tölvupósti til Vodafone, svohljóðandi:
„Komdu sæll
Mig vantar upplýsingar vegna úthringinga úr símkerfum Hafnarfjarðarbæja[r] [kt.] 590169-7579 í númerið […] tímabilið 14. nóvember 2014 á milli kl[.] 10:00-16:00 sama dag.
Svo allt sé sk[ý]rt hringdi einhver sími Hafnarfjarðarbæjar í viðkomandi númer á tilteknum tíma.“
Að lokinni sannprófun á seinni beiðni sveitarfélagsins og skyldu til að verða henni hafi ítarleg sundurliðun verið tekin út og hafi hún verið gerð aðgengileg bænum á „Mínum síðum“, sem nú höfðu verið virkjaðar fyrir hann, í takmarkaðan tíma.
Í bréfinu kemur fram að af efni beiðnanna sjáist að þær séu afar áþekkar og í hvorugri þeirra komi fram ósk um að hreinsaðar yrðu úr hinum ítarlegu sundurliðunum upplýsingar sem ekki skyldu sendar til sveitarfélagsins, þ.e. að sveitarfélaginu væri nauðsynlegt að fá eingöngu upplýsingar um símtöl í hið tilgreinda símanúmer mótttakanda. Hafi Vodafone því ekki haft tilefni til að túlka síðari beiðnina svo þröngt, enda hafi verið um að ræða fremur óvenjulega beiðni. Slík ósk hefði falið í sér viðbótarvinnu fyrir félagið sem ekki verði séð að tengist skyldu þess til að láta af hendi ítarlega sundurliðun reikninga sinna. Því sé ekki hægt að fallast á þá lýsingu Hafnarfjarðarbæjar að Vodafone hafi ekki svarað fyrirspurn sveitarfélagsins eins og um var beðið heldur verði að telja afgreiðslu félagsins á beiðninni vera í samræmi við eðlilegan skilning á efni hennar.
Um nánari skýringar á heimildum til vinnslu segir í bréfi lögmanns Vodafone að sú miðlun sem fram hafi farið með umræddri afhendingu lúti að skyldum félagsins til að standa áskrifendum skil á upplýsingum um notkun á þjónustu félagsins og gjaldtöku þess. Sé hér um að ræða lögmælta vinnslu sem einkum sé fjallað um í III. kafla laga nr. 81/2003. Í 38. gr. framangreindra laga sé kveðið á um rétt áskrifenda tal- og farsímaþjónustu til að fá reikninga fyrir fjarskiptanotkun sína sundurliðaða og skuli þeir eiga rétt á slíku án þess að greiðsla komi fyrir. Þá sé hvergi áskilið í ákvæðinu að áskrifendur þurfi að tilgreina sérstakan tilgang með notkun upplýsinganna, svo sem til að sannreyna réttmæti reikninga sinna, til þess að þeir teljist mega nýta sér þennan rétt sinn, hvað þá að fjarskiptafyrirtækjum sé heimilt að krefja áskrifendur um að þeir upplýsi um tilgang sinn með upplýsingaöfluninni, í þeim tilgangi að meta hvort hann sé lögmætur eða málefnalegur eða til að neita að verða við beiðni áskrifenda telji fyrirtækið tilganginn ekki vera málefnalegan.
Þá segir að í ákvæðum reglugerðar nr. 526/2011 sé ekki að finna tæmandi talningu á þeim upplýsingum sem skuli koma fram í sundurliðun reiknings, heldur sé einungis kveðið á um að í ítarlegri sundurliðun felist að áskrifandi geti fengið nákvæmari upplýsingar en þær sem birtist á almennum reikningi hans um fjarskiptaþjónustu, sbr. 8. gr. reglugerðarinnar. Hins vegar sé tilgreint í 9. gr. hennar að tilteknar lágmarksupplýsingar skuli koma fram. Þá segi að við gerð hina sundurliðuðu reikninga skuli hafa hliðsjón af lögum nr. 77/2000. Eina takmörkunin á rétti til upplýsinga á sundurliðuðum reikningum sé að finna í 10. gr. reglugerðar nr. 526/2011 og varði gjaldfrjáls númer, þ.m.t. símtöl vegna ráðgjafar á vegum félagslegrar þjónustu.
Einnig segir í bréfi Vodafone að til að ganga úr skugga um að Vodafone hafi fullnægjandi heimildir til vinnslu persónuupplýsinga samkvæmt 8. gr. hafi félagið greint þá vinnslu sem fari fram á vegum þess eftir því hver af heimildum 1. mgr. 8. gr. eigi við. Þegar lagaskylda hvíli á félaginu sé heimild fyrir henni að finna í 3. tölul. 1. mgr. 8. gr. Í þeim tilvikum framkvæmi félagið sannprófun á að uppfyllt séu þau skilyrði sem sett eru í þeim réttarreglum sem leggja viðkomandi lagaskyldu á félagið.
Í bréfinu er farið yfir hvernig sú sannprófun fer fram og hvernig miðlun upplýsinganna varðandi það atvik sem kvörtunin lýtur að hafi samrýmst henni. Segir m.a. að gengið sé úr skugga um að sá sem beri upp beiðnina sé til þess bær, en í því tilviki sem hér um ræðir hafi borist skrifleg beini frá aðaltengilið áskrifanda. Þá sé gengið úr skugga um að beiðnin lúti að tegundum upplýsinga sem falli undir upplýsingaskyldu félagsins en í því tilviki sem hér um ræðir hafi verið óskað eftir upplýsingum um einstök hringd símtöl, sbr. b-lið 1. mr. 9. gr. reglugerðar nr. 526/2011. Einnig sé gengið úr skugga um að beiðnin lúti að tímabili sem áskrifandi hefur heimild til að kalla eftir upplýsingum um, sbr. verklagsreglur félagsins. Hér hafi verið um að ræða upplýsingar frá síðasta undanfarandi reikningstímabili. Enn fremur sé gengið úr skugga um að beiðnin taki einungis til upplýsinga um þjónustu sem viðkomandi er áskrifandi að en sú prófun fari fram sjálfkrafa. Þannig geti áskrifandi ekki fengið upplýsingar um notkun á þjónustu annars áskrifanda, jafnvel þótt hann taki þátt í greiðslu kostnaðar vegna þeirrar þjónustu. Í því tilviki sem hér um ræðir hafi einungis verið afhentar upplýsingar um einstök hringd símtöl úr símanúmerum sem beiðandi var sjálfur áskrifandi að og greiddi að fullu kostnað af. Þá sé gengið úr skugga um að ekki séu afhentar upplýsingar um símtöl í gjaldfrjáls númer, sbr. 10. gr. reglugerðarinnar. Einnig sé gengið úr skugga um að höfð sé hliðsjón af ákvæðum laga nr. 77/2000 og 9. gr. reglugerðarinnar. Í því tilviki sem hér um ræðir hafi beiðnin gefið tilefni til að ætla að einkum væri leitað eftir upplýsingum um einstök hringd símtöl á tilteknu tímabili, þau símanúmer sem hringt var úr og í og gjaldtöku fyrir þau og hafi sundurliðunin því verið takmörkuð við þær tegundir upplýsinga. Þá sé gengið úr skugga um að eingöngu starfsmenn sem hafi til þess heimild vinni að málinu í samræmi við verklagsreglur. Hér hafi þartilgreindir starfsmenn félagsins komið að afgreiðslu beiðninnar. Að lokum sé gengið úr skugga um að afhending sé með öruggum hætti, sbr. verklagsreglur félagsins sem áskilji að einungis megi afhenda slíkar upplýsingar með ábyrgðarpósti eða á aðgangsstýrðu svæði rétthafa á vefsvæðinu „Mínum síðum“. Í því tilviki sem hér um ræðir hafi síðari afhendingarmátinn verið nýttur og upplýsingarnar gerðar aðgengilegar í takmarkaðan tíma.
Með bréfi Vodafone fylgdi sem fyrr segir afrit af umræddum lista yfir símnotkun, þar sem svert höfðu verið nöfn einstaklinga sem kvörtunin lýtur ekki að, að undanskildum fyrsta staf nafns viðkomandi. Listinn inniheldur eftirfarandi tegundir upplýsinga: dags., nafn/heiti innan áskrifanda (frjáls texti áskrifanda), áskriftarleið, símanúmer sem hringt var úr, símanúmer sem hringt var í, gjaldfærsluflokk, hvort notkun falli undir fyrirtækjasamning, rukkaðar mínútur og upphæð með vsk. Af þeim færslum sem eru á listanum eru 10 færslur þar sem tilgreind eru nöfn einstaklinga og í einni af þeim er um að ræða nafn eins kvartenda, [B]. Upphafsstafi annarra kvartenda er ekki að finna á listanum.
2.3
Samskipti við kvartendur
Með bréfi, dags. 5. júní 2015, var kvartendum boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Hafnarfjarðarbæjar og Vodafone. Svarbréf kvartenda er dags. 17. júní 2015 en þar er vísað til upphafs málsins, þ.e. að bæjarstjóri hafi tilkynnt á fundi bæjarráðs að farsímanotkun starfsmanna bæjarins og bæjarfulltrúa hefðu verið könnuð.i, í þeim tilgangi að komast að því hvort hringt hefði verið í tiltekinn starfsmann. Þá segir að í kjölfar þessa atviks hafi fréttatilkynning birst á vef Hafnarfjarðarbæjar þann 18. febrúar 2015 en þar komi ekkert fram sem bendi til þess ætlunin hafi verið að kanna samskipti bæjarfulltrúa né heldur að gera hafi átt greinarmun á því hvort leitað væri í samskiptagögnum eftir því hvort bærinn greiddi símnotkun umræddra símanúmera að hluta eða öllu leyti. Þær skýringar hafi komið fram í annarri fréttatilkynningu þann 25. s.m. og séu ekki studdar neinum haldbærum gögnum öðrum en yfirlýsingu frá viðkomandi fjarskiptafyrirtæki.
Þá segir að hvað sem frekari skoðun kunni að leiða í ljós og hvort hún staðfesti að samskiptagögn kvartenda hafi í reynd verið hluti af umræddri skoðun eða ekki þá telji kvartendur í ljósi framangreinds að frá upphafi hafi legið fyrir skýr ásetningur um að samskiptagögn þeirra yrðu könnuð. Hafi kvartendum ekki verið tilkynnt um þá framkvæmd fyrr en eftir að hún hafi farið fram.
2.4
Frekari bréfaskipti við Hafnarfjarðarbæ
Með bréfi, dags. 13. ágúst 2015, var Hafnarfjarðarbæ gefinn kostur á að koma að frekari athugasemdum af tilefni skýringa Vodafone og athugasemda kvartenda. Svarbréf Juris barst Persónuvernd þann 28. ágúst 2015. Í bréfinu segir að Hafnarfjarðarbær líti svo á að forsendur kvörtunar þeirra einstaklinga, sem ekki áttu númer á umræddum lista, séu brostnar og beri því að fella málið niður hvað þau varði.
Þá segir um tilgreiningu númers [B] að Hafnarfjarðarbær hafi átt rétt á sundurliðun notkunar á því númeri á grundvelli 1. mgr. 38. gr. laga nr. 81/2003. Líta verði svo á að eingöngu hafi verið óskað eftir takmörkuðum upplýsingum um símanotkun Hafnarfjarðarbæjar sem áskrifanda á nánar tilgreindu tímabili og því hafi verið óþarft að óska sérstaklega eftir því við Vodafone að aðrar upplýsingar yrðu hreinsaðar út, líkt og Vodafone gangi út frá í athugasemdum sínum.
Þá er því sérstaklega mótmælt að í upphafi hafi legið fyrir ásetningur bæjarins til að skoða samskiptagögn kvartenda, líkt og haldið sé fram í athugasemdum þeirra frá 17. júní 2015. Umrædd athugun hafi eingöngu verið liður í könnun á öryggisatriðum sem að skrifstofu sveitarfélagsins lutu.
Hvað varðar fræðslu á grundvelli 21. gr. laga nr. 77/2000 segir í bréfinu að við mat á því hvort fræðsluskyldu hafi verið fullnægt, verði að líta til þess að Hafnarfjarðarbær hafi í reynt átt að vera „hinn skráði“ í skilningi ákvæðisins, þ.e. einn áskrifanda þeirra símanúmera sem upplýsingarnar lutu að. Upplýsingarnar hafi þannig eingöngu átt að lúta að símanúmerum sem Hafnarfjarðarbær var einn greiðandi að, en ekki að símanúmerum sem sérstakir starfsmenn höfðu til afnota, og greiddu að hluta til fyrir notkun af. Því hafi ekki verið tilefni til að tilkynna „notendum“ símanúmera, þ.e. þeim starfsmönnum sem hafa aðgang að umræddum símanúmerum sem skráð séu á Hafnarfjarðarbæ, enda hefði slík vinnsla verið illframkvæmanleg og valdið óþarfa óhagræði eins og hér stóð á. Telji Hafnarfjarðarbær að skylda til fræðslu samkvæmt 1. mgr. 21. gr. laganna hafi ekki átt við í umræddu tilviki. Bendir bærinn þó á að kvartendur hafi á fundi bæjarráðs þann 12. febrúar 2015 engu að síður fengið upplýsingar um að leitað hefði verið eftir framangreindum upplýsingum. Þannig hafi þeir fengið upplýsingar um vinnsluna eftir á.
Enn fremur segir í bréfinu að áskrifandi að símanúmeri hafi lagalegan rétt á að fá afhenta sundurliðaða reikninga vegna notkunar fjarskipta, sbr. áðurnefnda 1. mgr. 38. gr. laga nr. 81/2003. Tilgangur eða ástæða slíkrar beiðni geti að sönnu og í reynd engu breytt í því sambandi, enda sé ákvæðið ekki bundið neinum skilyrðum hvað það varðar. Að auki sé hægt að gera upplýsingar um fjarskiptanotkun áskrifenda aðgengilegar á s.k. „Mínum síðum“ í gegnum heimasíðu Vodafone. Þá segir að ákvæði 3. mgr. 38. gr. laga nr. 81/2003 að við gerð sundurliðaðra reikninga skuli höfð hliðsjón af löggjöf um persónuvernd. Eigi það augljóslega eingöngu við um það hvernig fjarskiptafyrirtæki sundurliði reikninga en kveði ekki á neinn hátt um að móttaka og vinnsla áskrifanda sjálfs á slíkri sundurliðun sé háð þeirri löggjöf. Ekki verði séð að lög nr. 77/2000 geti takmarkað skýlausan rétt áskrifanda til þessara upplýsinga.
Í niðurlagi bréfsins segir að ekki sé unnt að líta svo á að Hafnarfjarðarbær hafi leitað eftir upplýsingum um notkun símanúmers [B], enda hafi símanúmer hennar átt að vera skráð þannig að hún væri greiðandi að hluta til og félli því ekki undir þær upplýsingar sem Vodafone veitti bænum. Hins vegar hafi upplýsingar um hana komið fram á umræddu yfirliti þar sem hún hafi fyrir mistök enn notið kjara sem bæjarstjóri, þrátt fyrir að hafa látið af störfum. Hafnarfjarðarbæ hafi hins vegar ekki verið kunnugt um tilvist númersins á umræddum lista, þar sem einungis hafi verið leitað eftir afmörkuðum upplýsingum af listanum og honum síðan eytt. Það sé því fráleitt að líta svo á að „unnið hafi verið með“ upplýsingar að því er varði nefnt símanúmer, eða að tilvist þess á listanum geti talist fela í sér brot á lögum nr 77/2000.
II.
Forsendur og niðurstaða
1.
Aðild máls
Persónuvernd hefur farið yfir afrit umrædds lista sem miðlað var frá félaginu til Hafnarfjarðarbæjar en líkt og að framan greinir er eingöngu að finna nafn eins kvartanda á listanum, þ.e. [B]. Nöfn annarra á listanum hafa verið svert að undanskildum upphafsstöfum, en þar er ekki um að ræða upphafsstafi annarra kvartenda.
Með vísan til framangreinds telur Persónuvernd að kvartendurnir [A] og [C] eigi ekki aðild að máli þessu. Í ljósi þess er þeim hluta kvörtunarinar sem snýr að þeim vísað frá stofnuninni.
2.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Í athugasemdum við ákvæðið í frumvarpi því sem varð að lögum nr. 77/2000 segir enn fremur að hugtakið sé vítt og taki til hvers konar meðferðar á persónuupplýsingum, óháð þeirri aðferð sem notuð sé. Með vinnslu sé t.d. átt við söfnun og skráningu og þar undir falli m.a. flokkun, leit, miðlun eða hver sú aðferð sem nota má til að gera upplýsingar tiltækar. Sama eigi við um lokun og eyðingu upplýsinga. Af framangreindu er ljóst að annars vegar miðlun persónuupplýsinga um kvartanda [B] frá Vodafone til Hafnarfjarðarbæjar og hins vegar eftirfarandi vinnsla Hafnarfjarðarbæjar á persónuupplýsingum um kvartanda fellur undir gildissvið laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Vodafone vera ábyrgðaraðili að miðlun persónuupplýsinga um símnotkun kvartanda til Hafnarfjarðarbæjar. Hafnarfjarðabær telst ábyrgðaraðili að eftirfarandi vinnslu persónuupplýsinga um kvartanda.
2.
Miðlun persónuupplýsinga um kvartanda frá Vodafone til Hafnarfjarðarbæjar
Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í því felst meðal annars að ávallt verður að vera fullnægt einhverju af skilyrðum 8. gr. laganna. Í 3. tölul. 1. mgr. 8. gr. laganna segir að vinnsla sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Af hálfu Vodafone hefur komið fram að miðlun umræddra upplýsinga hafi farið fram á grundvelli 1. mgr. 38. gr. laga nr. 81/2003, um fjarskipti, í kjölfar beiðni frá áskrifanda, Hafnarfjarðarbæ. Í framangreindu ákvæði segir að áskrifendur tal- og farsímaþjónustu eigi rétt á að fá reikninga fyrir fjarskiptanotkun sína sundurliðaða og skuli áskrifendur alþjónustu eiga rétt á slíkum reikningum án þess að greiðsla komi fyrir. Nánari ákvæði um sundurliðun reikninga er að finna í reglugerð nr. 526/2011, um reikningagerð fyrir fjarskiptaþjónustu. Af framangreindu lagaákvæði verður ekki annað ráðið en að áskrifendur eigi rétt á umræddum upplýsingum. Á þeim tíma sem miðlun upplýsinga um kvartanda fór fram naut hún enn kjara sem bæjarstjóri, þ.e. símreikningur hennar var greiddur að fullu af Hafnarfjarðarbæ, og hann skráður áskrifandi að símreikningi hennar. Vodafone höfðu ekki borist upplýsingar um að breyting hefði orðið þar á. Er það því mat Persónuverndar að á Vodafone hafi hvílt lagaskylda, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000, til að miðla þeim upplýsingum sem um ræðir í máli þessu til Hafnarfjarðarbæjar. Að öðru leyti er eftirlit með ákvæðum laga nr. 81/2003 í höndum Póst- og fjarskiptastofnunar.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er m.a. mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul., og að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. Af hálfu Vodafone hefur komið fram að umrædd miðlun persónuupplýsinga hafi farið fram á grundvelli 1. mgr. 38. gr. laga nr. 81/2003 og að gögnin hafi verið afhent í samræmi við verklagsreglur félagsins. Þá hafi gögnin eingöngu verið aðgengileg áskrifanda í tiltekinn tíma. Með vísan til þess telur Persónuvernd að afhending umræddra gagna hafi verið í samræmi við 1. og 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000.
3.
Eftirfarandi vinnsla á persónuupplýsingum um kvartanda hjá Hafnarfjarðarbæ
Líkt og að framan greinir verður öll vinnsla persónuupplýsinga að fullnægja einhverju af þeim skilyrðum sem fram koma í 8. gr. laga nr. 77/2000. Í 7. tölul. 1. mgr. 8. gr. segir að vinnsla sé heimil sé hún nauðsynleg til að ábyrgðaraðili eða þriðji maður eða aðilar, sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Af hálfu Hafnarfjarðarbæjar hefur komið fram að eftirfarandi vinnsla á þeim upplýsingum sem bárust frá Vodafone, þ.e. könnun á því hvort símanúmer í eigu Hafnarfjarðarbæjar hefðu hringt í símanúmer starfsmanns Hafnarfjarðarhafna, hafi farið fram í þeim tilgangi að kanna hvort öryggisbrot hefði átt sér stað á skrifstofum bæjarins. Lögmætir hagsmunir ábyrgðaraðila geta verið af ýmsum toga. Í áliti vinnuhóps skv. 29. gr. tilskipunar 94/46/EB nr. 6/2014, um hugtakið lögmætir hagsmunir, kemur fram að til slíkra hagsmuna geti mögulega talist aðgerðir til að tryggja ytra öryggi og eftirlit með starfsmönnum í þágu öryggis eða stjórnunar, s.s. hverjir hafi aðgang að húsnæði ábyrgðaraðila og á hvaða tímum. Hins vegar sé það háð því skilyrði að grundvallarréttindi og frelsi hins skráða sem vernda beri lögum samkvæmt vegi ekki þyngra. Í því felst m.a. að vinnsla persónuupplýsinga þarf að vera nægileg, viðeigandi og ekki ganga lengra en nauðsynlegt er. Af hálfu ábyrgðaraðila hefur komið fram að í upphafi hafi verið óskað eftir upplýsingum frá þeim starfsmanni Hafnarfjarðarhafna sem borið hafði umræddar fullyrðingar á borð. Þær aðgerðir hafi hins vegar ekki borið árangur og því verið gripið til þess ráðs að óska eftir sundurliðun símareikninga á tilteknu tímabili. Leitað hafi verið að símanúmeri starfsmanns Hafnarfjarðarhafna og þegar áðurnefnd leit hafi ekki borið árangur hafi skjalinu verið lokað og því síðar eytt. Þær upplýsingar sem m.a. koma fram í umræddu skjali um kvartanda eru nafn og símanúmer hennar og símanúmer þess sem hringt var í en samkvæmt skýringum frá Hafnarfjarðarbæ var nafn hennar eingöngu á umræddum lista þar sem bærinn var ei[nn] skráð[ur] rétthafi að númeri hennar. Almennt sé Hafnarfjarðarbær einn skráður rétthafi af símanúmerum sem ekki eru ætlaðir til persónulegra nota starfsmanna eða bæjarfulltrúa. Við mat á því hvort grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra verður að taka tillit til framangreinds, þ.e. að almennt séu slík númer ekki ætluð til persónulegra nota. Að mati Persónuverndar verður ekki séð að sú vinnsla persónuupplýsinga sem fram fór í umræddu tilviki sé í eðli sínu þannig að hún ógni grundvallarréttindum og frelsi hinnar skráðu þannig að þyngra þyki vega en tilgreindir hagsmunir ábyrgðaraðila enda hafi þær upplýsingar sem Vodafone miðlaði til Hafnarfjarðarbæjar eingöngu tekið til símareikninga sem voru að fullu greiddir af bænum og áttu ekki að vera til persónulegra nota.
Að mati Persónuverndar telst Hafnarfjarðarbær hafa haft af því lögmæta hagsmuni að kanna hvort öryggisbrot hafi átt sér stað með þeim hætti sem lýst er hér að framan. Þá verður ekki séð að grundvallarréttindi og frelsi hins skráða hafi vegið þyngra miðað við atvik máls. Var vinnslan því í samræmi við 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
4.
Fræðsluskylda samkvæmt 21. gr. laga nr. 77/20000
Í 1. mgr. 21. gr. laga nr. 77/2000 er mælt fyrir um fræðsluskyldu ábyrgðaraðila þegar hann aflar persónuupplýsinga frá öðrum en hinum skráða. Þar segir nánar að ábyrgðaraðili skuli samtímis og hann aflar persónuupplýsinga frá öðrum, láta hinn skráða vita af því og greina honum frá þeim atriðum sem talin eru upp í 3. mgr. ákvæðisins. Í 3. mgr. segir að í tilkynningu til hins skráða skuli veita upplýsingar um:
1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.,
2. tilgang vinnslunnar,
3. aðrar upplýsingar, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, svo sem upplýsingar um:
a. tegundir eða flokka þeirra upplýsinga sem unnið er með,
b. hvaðan upplýsingarnar koma,
c. viðtakendur eða flokka viðtakenda upplýsinganna,
4. ákvæði laganna um upplýsingarétt hins skráða, svo og rétt hins skráða til leiðréttingar og eyðingar rangra eða villandi persónuupplýsinga um hann.
Af hálfu ábyrgðaraðila hefur því verið haldið fram að þar sem ekki hafi verið ætlun hans að afla persónuupplýsinga hafi ekki verið þörf á að fræða kvartanda um umrædda vinnslu. Hins vegar hafi bæjarfulltrúar verið upplýstir um upplýsingaöflunina á fundi bæjarráðs, eftir að henni var lokið. Að mati Persónuverndar verður slík almenn tilkynning ekki talin fullnægja skilyrðum 21. laga nr. 77/2000 auk þess sem ábyrgðaraðila bar, þegar við móttöku listans, að kanna hvort þar væri að finna persónuupplýsingar og í kjölfar þess upplýsa þá sem á listanum voru, þ.m.t. kvartanda, um þau atriði sem fram koma í 3. mgr. 21. gr. laganna. Það var hins vegar ekki gert og verður ábyrgðaraðili því ekki talinn hafa uppfyllt fræðsluskyldu sína samkvæmt framangreindu ákvæði.
Með vísan til framangreinds leggur Persónuvernd fyrir Hafnarfjarðarbæ að fræða kvartanda, ásamt þeim níu einstaklingum sem einnig var að finna á listanum, um þá vinnslu persónuupplýsinga sem fram fór um þá af hálfu bæjarins í samræmi við ákvæði 21. gr. laga nr. 77/2000. Skal staðfesting þar að lútandi send Persónuvernd eigi síðar en 1. janúar 2016.
Ú r s k u r ð a r o r ð:
Miðlun persónuuplýsinga frá Vodafone til Hafnarfjarðarbæjar var í samræmi við lög nr. 77/2000.
Vinnsla Hafnarfjarðarbæjar á persónuupplýsingum um kvartanda var í þágu lögmætra hagsmuna bæjarins og í samræmi við lög nr. 77/2000. Fræðsla til hinna skráðu uppfyllti hins vegar ekki skilyrði 21. gr. laganna.