Fjárhagsupplýsingar sendar með faxi
Á fundi sínum hinn 11. október 2005 komst stjórn Persónuverndar að eftirfarandi niðurstöðu í máli nr. 2005/410:
Tildrög máls og bréfaskipti
Hinn 9. ágúst sl. barst Persónuvernd afrit af tölvubréfi frá A (hér á eftir nefndur kvartandi) til tollstjórans í Reykjavík. Í tölvubréfinu kemur fram að kvartandi hafi með fyrirspurn í tölvupósti óskað eftir upplýsingum um skuldastöðu sína hjá tollstjóraembættinu. Hann hafi talið víst að upplýsingarnar yrðu sendar með tölvupósti, en þær hafi hins vegar verið sendar með faxi og þannig komist fyrir augu samstarfsmanna hans. M.a. segir í erindinu:
Hinn 10. ágúst sl. barst Persónuvernd síðan formleg kvörtun yfir því að upplýsingar um skuldastöðu kvartanda hjá embætti tollstjórans í Reykjavík hafi verið sendar á faxi til ritstjórnar B. Um það segir í kvörtuninni:
Nú ber svo við að í dag, 9. ágúst, að starfsmenn á vinnustað mínum fara að ræða um það sín í milli hver skuldastaða mín hjá embætti Tollstjóra sé, því staðan sem ég bað um og taldi víst að yrði send með tölvupósti, var send á faxi til ritstjórna [B] hvar ganga um tugir á hverjum degi, og ekki haft fyrir því að láta mig vita að upplýsingar hafi verið sendar."
Með kvörtuninni fylgdi afrit af beiðni um stöðu fasteignagjalda sem send var tollstjóraembættinu og sjálfvirkt svar embættisins. Í beiðninni er óskað eftir upplýsingum um stöðu fasteignagjalda af tiltekinni eign og nöfn og kennitölur kvartanda og meðeiganda hans eru gefin upp. Undirskriftin stendur saman af nafni kvartanda og starfsheiti, tveimur netföngum, símanúmeri, faxnúmeri, gsm-símanúmeri og þremur vefföngum. Í sjálfvirku svari tollstjóraembættisins segir: ,,Fyrirspurn hefur verið móttekin og verður afgreidd eins fljótt og hægt er".
Í tilefni af erindinu óskaði Persónuvernd eftir skýringum tollstjóraembættisins og vísað til 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sem kveður á um að ábyrgðaraðili skuli gera ráðstafanir til að vernda persónuupplýsingar, m.a. gegn óleyfilegum aðgangi.
Í svarbréfi tollstjóraembættisins, dags. 30. ágúst sl., sagði m.a. eftirfarandi:
Þar kemur fram hvernig starfsmenn eiga að svara upplýsingum til gjaldenda. Í 4. gr. segir að heimilt sé að senda gjaldendum upplýsingar með tölvupósti og símbréfi hafi viðkomandi óskað eftir slíkum upplýsingum með formlegum hætti. Reglurnar miða að því að bæta þjónustu við gjaldendur án þess að gengið sé á rétt einstaklinga til verndunar persónuupplýsinga. Af þeim sökum var talið eðlilegt að það væri möguleiki að senda upplýsingar á öðru formi en einungis með bréfi á heimilisfang þannig að gjaldendur fá upplýsingarnar eins fljótt og auðið er. Með því geta þeir klárað mál sín við embættið sem fyrst ef þeir óska eftir því. Taldi tollstjórinn í Reykjavík sig hafa tryggt verndun persónuupplýsinga með ofangreindum verklagsreglum.
Nokkuð er um það að gjaldendur þurfi að fá staðfestingu á skuldastöðu með formlegum hætti og algengt er að slíkt sé sent með símbréfi til viðtakanda.
Eins og sést á meðfylgjandi afriti af bréfi [A] er ekki tekið fram með hvaða hætti hann óskar eftir að fá sendar umbeðnar upplýsingarnar.
Starfsmaður embættisins sem tók við beiðni [A] taldi réttast að senda skuldastöðuna með símbréfi þar sem faxnúmer var gefið upp. Hann leit svo á að [A] þyrfti eflaust á formlegu svari að halda.
Í svari deildarstjóra afgreiðslu- og innheimtudeildar til [A] kemur það fram að embættinu þyki auðvitað leitt ef óviðkomandi hafi lesið svar hans en að erindið hafi verið unnið á grundvelli þeirra verklagsreglna sem gilda um upplýsingagjöf."
Með svarbréfinu fylgdu verklagsreglur tollstjóraembættisins um meðferð og miðlun upplýsinga um gjaldendur o.fl. og afrit af svarbréfi deildarstjóra afgreiðslu- og innheimtudeildar til kvartanda. Rétt þykir að taka fram að það var tölvunefnd, forveri Persónuverndar, en ekki Persónuvernd sem fékk verklagsreglur tollstjóraembættisins til umsagnar á sínum tíma.
Í ljósi þess sem fram kom í svarbréfi tollstjóra taldi Persónuvernd ekki efni til að aðhafast frekar í málinu, nema sérstök rökstudd beiðni bærist þar um frá kvartanda og tilkynnti honum um það með bréfi, dags. 5. september. Hinn 6. september barst tölvubréf frá kvartanda þar sem m.a. sagði:
Þá kom fram í tölvubréfi kvartanda að til álita kæmi hvort brotið hefði verið gegn verklagsreglum tollstjóraembættisins og að skýra þyrfti verkferla í tilfellum sem þessum.
Í ljósi þessa var kvartanda tilkynnt, með bréfi dags. 7. september sl., að málið yrði tekið til frekari afgreiðslu.
Forsendur og niðurstaða 1.
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga. Lögin gilda einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 3. gr. laganna.
Með ,,persónuupplýsingum" er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul 2. gr. laga nr. 77/2000. Með ,,vinnslu" er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Undir vinnslu falla því m.a. miðlun, dreifing og birting persónuupplýsinga.
Af framangreindu er ljóst að sending upplýsinga um skuldastöðu kvartanda með símbréfi telst vera vinnsla persónuupplýsinga og fellur því undir gildissvið laga nr. 77/2000. Persónuvernd úrskurðar í ágreiningsmálum sem upp koma um vinnslu persónuupplýsinga á Íslandi, sbr. 2. mgr. 37. gr. laga nr .77/2000, og verður mál þetta því tekið til efnismeðferðar. Hins vegar heyrir ekki undir stofnunina að leysa úr ágreiningi um hvort brotið hafi verið gegn verklagsreglum tollstjórans í Reykjavík.
Í 11. gr. laga nr. 77/2000 er kveðið á um að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á.
Af framangreindu ákvæði leiðir að tollstjóranum í Reykjavík ber að gera ráðstafanir til að koma í veg fyrir að upplýsingar um skuldastöðu einstaklinga hjá embættinu lendi í höndum óviðkomandi. Með því er ekki einungis átt við að spornað verði við óleyfilegum aðgangi að gögnum sem varðveitt eru hjá embættinu, heldur einnig að gerðar verði ráðstafanir til að koma í veg fyrir að upplýsingar berist röngum eða óviðkomandi aðilum þegar gögnum er miðlað frá tollstjóranum í Reykjavík.
Í máli þessu liggur fyrir að kvartandi óskaði eftir upplýsingum um skuldastöðu sína hjá embætti tollstjórans í Reykjavík með tölvupósti. Í tölvupóstinum voru gefin upp í fastri undirskrift tvö netföng, símanúmer, faxnúmer og gsm-símanúmer, en ekkert var tekið fram um það með hvaða hætti upplýsingarnar skyldu sendar til kvartanda. Upplýsingarnar voru sendar á faxnúmer sem fram kom í beiðni kvartanda og komust á þann hátt undir annarra manna hendur.
Upplýsingar um fjárhagsmálefni einstaklinga teljast ekki til viðkvæmra persónuupplýsinga í skilningi laga nr. 77/2000, sbr. 8. tölul. 2. gr. laganna. Þó verður ekki fram hjá því litið að slíkar upplýsingar standa einstaklingum mun nær en ýmsar aðrar almennar persónuupplýsingar og teljast að öllu jöfnu til einkamálefna, sem sanngjarnt og eðlilegt er að leynt fari. Hins vegar verður ekki fram hjá því litið að umrætt faxnúmer kom fram í beiðni kvartanda og almennt má ganga út frá því að heimilt sé að senda upplýsingar á þá móttökustaði sem gefnir eru upp í beiðni um sendingu þeirra.
Með vísan til framangreinds er það niðurstaða Persónuverndar að ekki verði fullyrt að tollstjórinn í Reykjavík hafi brotið gegn 11. gr. laga nr. 77/2000 í umrætt sinn. Persónuvernd vill þó árétta mikilvægi þess að verklag við miðlun fjárhagsupplýsinga frá tollstjóraembættinu sé ávallt með sem vönduðustum hætti