Úrlausnir

Miðlun netfangalista í þágu vísindarannsóknar

11.2.2016

Persónuvernd hefur úrskurðað um miðlun netfangalista frá Hjallastefnunni til Rannsóknarseturs Háskólans í Reykjavík. Er niðurstaða stofnunarinnar sú að miðlunin hafi verið óheimil þar sem hún byggði ekki á fullnægjandi vinnslusamningi. Þá var fræðslu til þátttakenda einnig ábótavant.

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 25. janúar 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/867:

 

I.

Málsmeðferð

1.

Tildrög máls

Þann 11. ágúst 2015 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) vegna miðlunar persónuupplýsinga frá Hjallastefnunni til Rannsóknarseturs Háskólans í Reykjavík í þágu vísindarannsóknarinnar „[...]“. Í kvörtuninni segir m.a. að kvartanda hafi borist tölvupóstur frá Háskólanum í Reykjavík þar sem henni var boðin þátttaka í fyrrnefndri könnun en tilgangur hennar var að fá sýn foreldra/forráðamanna á þætti er tengjast leik- og grunnskólastarfi. Kvartandi telur að könnunin hafi verið kostuð af Hjallastefnunni þar sem spurt var um afstöðu hennar til Hjallastefnunnar annars vegar og almenna skólakerfisins hins vegar. Þá telur kvartandi inngang og kynningu könnunarinnar hafa verið villandi auk þess sem hún efast um réttmæti þess að Hjallastefnan varðveiti upplýsingar um foreldra og börn sem hafa hætt í skólanum og nýti þær í rannsóknarskyni óháð menntun og líðan barns kvartanda. Loks bendir kvartandi á að í svörum Háskólans í Reykjavík  kom fram að Hjallastefnan hefði miðlað upplýsingum um kvartanda til Háskólans í Reykjavík. Spyr kvartandi hvort um eðlileg vinnubrögð sé að ræða við framkvæmd rannsóknarinnar.

 

2.

Bréfaskipti

Með bréfi, dags. 12. október 2015, var Rannsóknarsetri Háskólans í Reykjavík og Hjallastefnunni ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Óskaði Persónuvernd sérstaklega eftir upplýsingum um hver teldist ábyrgðaraðili rannsóknarinnar „[...]“; hvort Hjallastefnan hefði falið Rannsóknarsetri HR að vinna persónuupplýsingar fyrir sig, og ef svo væri, hvort til staðar væri vinnslusamningur milli fyrrgreindra aðila, sbr. 13. gr. laga nr. 77/2000; hvernig úrtakslista rannsóknarinnar hefði verið aflað, nánar tiltekið hvort, og eftir atvikum hvaða, upplýsingum um kvartanda var miðlað frá Hjallastefnunni til Háskólans í Reykjavík; á hvaða heimild í 1. mgr. 8. gr. laga nr. 77/2000 vinnsla persónuupplýsinga um kvartanda byggðist og loks hvort þátttakendum hefði verið veitt fræðsla um rannsóknina í samræmi við 20. gr. laga nr. 77/2000, og hver hefði þá veitt hana.

 

Svarbréf [B], f.h. Rannsóknarseturs HR, dags. 21. október 2015, barst Persónuvernd þann 28. október 2015. Í bréfinu segir að [B] sé ábyrgðaraðili rannsóknarinnar og að hún sé samstarfsverkefni Rannsóknarseturs HR og Hjallastefnunnar sem grundvallist á samstarfssamningi milli aðila. Starfsmaður Hjallastefnunnar hafi sent könnunina út rafrænt til foreldra núverandi nemenda í Hjallastefnuskólum en rannsóknarsetrið hafi sent könnuna út til foreldra fyrrverandi nemenda í Hjallastefnuskólum. Þá hafi könnunin verið send til foreldra nemenda í samanburðarskólum í gegnum upplýsingakerfið Mentor fyrir tilstuðlan skólastjórnenda. Þátttakendalisti, í formi netfanga, hafi verið fenginn hjá Hjallastefnunni. Þá segir að hvorki nöfn né aðrar persónuupplýsingar hafi fylgt netfangalistanum. Einnig er tekið fram að könnunin hafi verið nafnlaus og með öllu órekjanleg og innhaldi af þeirri ástæðu engar viðkvæmar upplýsingar. Varðandi þá fræðslu sem kvartanda var veitt segir að tölvupóstur hafi verið sendur kvartanda og öðrum foreldrum með vefslóð á könnunina. Í kynningu á rannsókninni kemur ekki fram að könnunin sé samvinnuverkefni Hjallastefnunnar og Háskólans í Reykjavík þar sem rannsakendur telja að slíkt gæti haft áhrif á svör þátttakenda. Þá segir í kynningunni að könnunin sé partur af menntarannsókn sem Háskólinn í Reykjavík stendur fyrir, og hver tilgangur hennar sé. Þá vísar [B] í upplýsingar sem birtar voru á forsíðu könnunarinnar en þar þakkar Háskólinn í Reykjavík fyrir þátttöku auk þess sem fram kemur að ekki sé skylt að svara einstaka spurningum.

 

Svarbréf Hjallastefnunnar, dags. 12. nóvember 2015, barst Persónuvernd þann 16. nóvember 2015. Í bréfinu komu fram svör við spurningum Persónuverndar sem voru efnislega sambærileg við svör í bréfi [B], dags. 21. október 2015. Nánar tiltekið kemur fram að rannsóknin sé á ábyrgð [B] sem starfar hjá rannsóknarsetri Háskólans í Reykjavík, að samstarfssamningur milli Hjallastefnunnar og Háskólans í Reykjavík [...] hafi verið undirritaður þann 3. apríl 2014 og að netfangalisti foreldra núverandi og fyrrverandi nemenda í Hjallastefnuskólum hafi verið afhentur rannsóknarsetrinu.

 

Með bréfi, dags. 1. desember 2015, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar [B] og Hjallastefnunnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var kvartanda veittur frestur til 14. s.m. í því skyni. Engin svör bárust frá kvartanda.

 

Þann 20. janúar 2016 óskaði starfsmaður Persónuverndar eftir því að [B], f.h. rannsóknarseturs Háskólans í Reykjavík, afhenti afrit af samstarfssamningi þeim er gerður var milli rannsóknarsetursins og Hjallastefnunnar og vísað er til í svarbréfum fyrrnefndra aðila.

 

Með tölvupósti þann sama dag barst Persónuvernd afrit af samstarfssamningi Háskólans í Reykjavík og Hjallastefnunnar. Þar kemur m.a. fram að fyrrnefndir aðilar gangi til samstarfs um eflingu rannsókna og menntunar á sviðum menntunar, menntastefnu, uppeldis- og þroskasálfræði.

 

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.

Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.

 

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til teljast Hjallastefnan og rannsóknarsetur Háskólans í Reykjavík vera ábyrgaraðili að umræddri vinnslu enda miðlaði Hjallastefnan netfangi kvartanda til rannsóknarseturs Háskólans í Reykjavík sem í kjölfarið sendi kvartanda tölvupóst og bauð henni þátttöku í vísindarannsókn.

 

Af framangreindu er ljóst að vinnsla persónuupplýsinga og miðlun þeirra í þágu umræddrar vísindarannsóknar fellur undir gildissvið laga nr. 77/2000.

 

2.

Lögmæti vinnslu

Öll vinnsla almennra persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá þarf vinnsla viðkvæmra persónuupplýsinga, sbr. upptalningu 8. tölul. 2. gr. sömu laga á slíkum upplýsingum, jafnframt að fullnægja einhverju þeirra skilyrða sem kveðið er á um í 1. mgr. 9. gr. laganna. Þær persónuupplýsingar um kvartanda sem kvörtun þessi lýtur að eru ekki viðkvæmar samkvæmt áðurnefndri upptalningu. Er því eingöngu þörf á að meta hvort vinnsla þeirra hafi átt sér stoð í fyrrnefndri 8. gr. laganna.

 

Í 5. tölul. 1. mgr. 8. gr. segir að vinnsla persónuupplýsinga sé heimil vegna verks sem unnið er í þágu almannahagsmuna. Í athugasemdum við framangreint ákvæði í frumvarpi því sem varð að lögum nr. 77/2000 kemur fram að töluliðurinn geti átt við vinnslu sem fer fram í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi.

Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda í tengslum við vísindarannsóknina „[...]“, m.a. miðlun netfangs hans frá Hjallastefnunni til rannsóknarseturs Háskólans í Reykjavík. Tilgangur rannsóknarinnar var að skoða þætti er tengdust leik- og grunnskólastarfi og fá innsýn foreldra/forráðamanna í þessa þætti.

Með vísan til framangreinds er ljóst að vinnsla almennra persónuupplýsinga í vísindalegum tilgangi getur verið heimil, enda sé persónuvernd tryggð með tilteknum ráðstöfunum og öðrum ákvæðum laga nr. 77/2000 fylgt.

Um samband ábyrgðaraðila og vinnsluaðila er nánar kveðið í 13. gr. laga nr. 77/2000. Samkvæmt 1. mgr. 13. gr. er ábyrgðaraðila heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laganna. Lögmæti þess sem vinnsluaðili gerir ræðst af því umboði sem ábyrgðaraðili hefur gefið honum. Þá segir í 2. mgr. 13. gr. að vinnslusamningur skuli vera skriflegur og a.m.k. í tveimur eintökum. Þar skal koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast.

 

Það samkomulag sem liggur miðlun persónuupplýsinga um kvartanda til grundvallar er almennur samstarfssamningur um rannsóknir og menntun. Samstarfið felst í rannsóknum á sviði menntunar, menntastefnu, uppeldis- og þroskasálfræði þar sem fram kemur að starfsemi og stefna Hjallastefnunnar verði sérstakt viðfangsefni rannsókna. Þá kemur einnig fram að Hjallastefnan muni veita þeim starfsmönnum HR  sem vinna að ofangreindum rannsóknum aðgengi að gögnum og þekkingu sem Hjallastefnan kann að búa yfir og stutt geti rannsóknarvinnuna. Í samstarfssamningnum er hins vegar ekki gerður greinarmunur á hvor samningsaðila teljist ábyrgðaraðili og/eða vinnsluaðili. Þá kemur ekki fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila né hver þau fyrirmæli séu. Í ljósi þess að ekki er til staðar vinnslusamningur sem fullnægir form og efniskröfum 13. gr. laga nr. 77/2000 telst miðlunin óheimil.

 

3.

Fræðsla

Í 21. gr. laga nr. 77/2000 er lögð sú skylda á ábyrgðaraðila að láta hinn skráða vita þegar hann aflar persónuupplýsinga frá öðrum en hinum skráða og ber ábyrgðaraðila að greina honum frá þeim atriðum sem talin eru upp í 3. mgr. 21. gr., m.a. nafni og heimilisfangi ábyrgðaraðila,  tilgangi vinnslunnar og öðrum upplýsingum, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, s.s. um hvaðan upplýsingarnar koma, sbr. b-lið 3. tölul. 3. mgr. 21. gr.

Auk fullnægjandi vinnsluheimildar ber ávallt að gæta að því við vinnslu persónuupplýsinga að fullnægt sé öllum kröfum 1. mgr. 7. gr. laga nr. 77/2000, en þar er meðal annars mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.). Samkvæmt 2. mgr. 7. gr. ber ábyrgðaraðili ábyrgð á að eftir þessum kröfum sé farið. Forsenda þess að vinnsla teljist sanngjörn samkvæmt framangreindum 1. tölul. 1. mgr. 7. gr. er að hún sé gagnsæ gagnvart hinum skráða en í því felst m.a. að hinn skráði viti um vinnsluna og hafi fengið fræðslu um hana, sbr. ákvæði 20. og 21. gr. laga nr. 77/2000.

Af hálfu ábyrgðaraðila hefur komið fram að Hjallastefnan miðlaði upplýsingum um netfang kvartanda til rannsóknarstofnunar HR í þágu rannsóknarinnar „[...]“. Í kjölfarið sendi [B], f.h. rannsóknarseturs Háskólans í Reykjavík, kvartanda tölvupóst með boði um þátttöku í rannsókninni. Í þeirri fræðslu kemur fram að rannsóknin sé hluti af menntarannsókn sem Háskólinn í Reykjavík standi fyrir. Þá segir jafnframt að Háskólinn í Reykjavík fari þess á leit við kvartanda að hann taki þátt í könnuninni. Á forsíðu könnunarinnar mátti finna viðbótarupplýsingar um að Háskólinn í Reykjavík þakkaði þátttakendum fyrir þátttöku. Í þeirri fræðslu sem kvartanda var veitt kemur hvorki fram að rannsóknin sé samstarfsverkefni rannsóknarseturs HR og Hjallastefnunnar né að Hjallastefnan teljist einnig ábyrgðaraðili að vinnslunni. Þá eru ekki veittar upplýsingar um það hvaðan upplýsingar um kvartanda voru fengnar, sbr.  b-lið 3. tölul. 3. mgr. 21. gr. laga nr. 77/2000.

 

Ábyrgðaraðila að vinnslu persónuupplýsinga, sem aflar persónuupplýsinga frá öðrum en hinum skráða, í þessu tilviki rannsóknarstofnun Háskólans í Reykjavík, ber að hafa frumkvæði að því að hinn skráði geti gætt réttinda sinna, m.a. með því að veita honum fræðslu þegar persónuupplýsinga um hann er safnað frá öðrum en honum sjálfum, sbr. fyrrnefnt ákvæði 21. gr. laga nr. 77/2000. Í því máli sem hér er til úrlausnar liggur fyrir að ábyrgðaraðili hefur ekki sýnt fram á að kvartanda hafi verið veitt fullnægjandi fræðsla um þá vinnslu persónuupplýsinga sem fyrirhuguð var hjá ábyrgðaraðila í vísindalegum tilgangi, sbr. 21. gr. laga nr. 77/2000.

 

Með vísan til framangreinds telur Persónuvernd að fræðsla til kvartanda hafi ekki verið í samræmi við 21. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

 

Ú r s k u r ð a r o r ð:

Miðlun persónuupplýsinga um [A] frá Hjallastefnunni til rannsóknarseturs Háskólans í Reykjavík var óheimil. Fræðsla til hennar samrýmdist ekki 21. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

 



Var efnið hjálplegt? Nei