Miðlun persónuupplýsinga frá Tryggingastofnun ríkisins til Vegagerðarinnar óheimil
Persónuvernd hefur úrskurðað að miðlun viðkvæmra persónuupplýsinga um kvartanda frá Tryggingastofnun ríkisins til Vegagerðarinnar hafi brotið gegn lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Úrskurður
Hinn 24. febrúar 2016 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2015/1275:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 30. september 2015 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) varðandi miðlun persónuupplýsinga um hana frá Tryggingastofnun ríkisins (hér eftir TR). Í kvörtuninni kemur fram að kvartandi þiggi örorkubætur en aki einnig leigubifreið í afleysingum. Kvartanda hafi verið bent á að samkvæmt reglugerð um leigubifreiðar gæti hún sótt um meðmæli til TR um að þessi vinna gæti hentað henni og þar með gæti hún fengið réttindi til aksturs í 260 daga á ári. Senda ætti slíkar umsóknir með meðmælum til Vegagerðarinnar, sem sjá um útgáfu slíkra leyfa. Hún hafi sótt tvisvar um meðmæli en í báðum tilvikum hafi hún fengið þau svör að vegna veikinda henti þessi vinna henni ekki og hafi meðmælum því verið synjað í bréfi til Vegagerðarinnar sem hún hafi fengið afrit af. Í þriðja skiptið hafi kvartandi sótt um meðmæli á nýjan leik og óskað eftir rökstuðningi tryggingalæknis TR. Hafi þá upplýsingar um heimilislækni og veikindi kvartanda, sem voru hluti af rökstuðningi tryggingalæknis, verið sendar til Vegagerðarinnar að frumkvæði tryggingalæknis. Vegagerðin hafi ekki sóst eftir þessum upplýsingum og kvartandi hafi gert ráð fyrir því að hún ein fengi afrit af framangreindum rökstuðningi. Þessar upplýsingar hafi því verið sendar án hennar samþykkis til óviðkomandi þriðja aðila.
2.
Bréfaskipti
Með bréfi, dags. 21. október 2015, var TR boðið að koma á framfæri skýringum vegna kvörtunarinnar. Í svarbréfi TR, dags. 2. nóvember s.á., segir m.a. að framangreind vinnsla byggist á 6. gr. reglugerðar um leigubifreiðar nr. 397/2003, þar sem komi fram að Vegagerðinni sé heimilt að taka sérstakt tillit til umsóknar frá öryrkjum enda hafi þeir meðmæli Öryrkjabandalags Íslands og tryggingayfirlæknis um að leiguakstur henti þeim vel og fötlun þeirra hindri þá ekki í starfi. Þá vilji TR benda á að embætti tryggingayfirlæknis hafi verið lagt niður en tryggingalæknar hjá TR hafi engu að síður veitt umsögn samkvæmt ákvæðinu þegar beiðni um umsögn eða meðmæli hafi borist stofnuninni. Séu þá gögn vegna örorkumats lögð til grundvallar en yfirleitt sé ekki óskað eftir frekari gögnum. Ferli umsagna sé almennt þannig að TR berist ósk um umsögn frá umsækjanda. Tryggingalæknir skoði gögn umsækjanda og því næst afgreiði hann málið með umsögn sinni sem send sé til Vegagerðarinnar ásamt því að afrit sé sent umsækjanda.
Í svarbréfi TR til Persónuverndar kemur jafnframt fram að í bréfi kvartanda til TR, dags. 27. júlí 2015, hafi komið fram að hún hafi tvívegis áður óskað eftir umsögn tryggingalæknis en niðurstaða umsagnanna hafi ekki verið kvartanda í hag. Þá segir að í bréfi kvartanda til TR hafi kvartandi í þriðja sinn óskað eftir umsögn og þar að auki óskað eftir rökstuðningi fyrir niðurstöðu tryggingalæknis. Á grundvelli þessa bréfs hafi verið rituð umsögn til leyfisveitinga Vegagerðarinnar og hafi þar komið fram rökstuðningur eins og kvartandi hafi sérstaklega beðið um. Umsögnin hafi verið send Vegagerðinni í samræmi við vinnulag TR og afrit af umsögninni hafi verið sent kvartanda. Í svarbréfi TR kemur fram að engar vísbendingar hafi verið um að afgreiða ætti umsókn þessa með öðrum hætti en venjulega, fyrir utan að óskað var eftir framangreindum rökstuðningi. TR telji því að miðað við efni kvörtunarinnar til Persónuverndar hafi verið um misskilning að ræða milli aðila sem beðist sé velvirðingar á.
Með bréfi, dags. 16. nóvember 2015, óskaði Persónuvernd eftir nánari skýringum frá TR. Var sérstaklega óskað eftir skýringum á því hvaða heimild í 1. mgr. 8. gr. og 1. mgr. 9. gr. laga nr. 77/2000 var stuðst við þegar framangreindum viðkvæmum persónuupplýsingum var miðlað. Í svarbréfi TR, dags. 30. nóvember 2015, segir að byggt hafi verið á samþykki kvartanda, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Erindið hafi verið afgreitt með rökstuðningi í góðri trú tryggingalæknis um að kvartandi hafi óskað eftir rökstuðningi og þar með veitt samþykki sitt fyrir miðlun umræddra upplýsinga. TR hafi talið að orðalag í umsókn kvartanda, dags. 27. júlí 2015, hafi verið skýrt að þessu leyti. Þá bendir TR á að kvartandi hafi óskað eftir rökstuðningi með umsögn tryggingalæknis strax með umsókn sinni en ekki beðið eftir niðurstöðu afgreiðslunnar. TR telji að með hliðsjón af því að umsagnir tryggingalæknis í sambærilegum erindum séu sendar til leyfisveitinga Vegagerðarinnar og þar sem umsækjendur fái almennt einungis afrit af slíkum erindum hafi þar að auki ekki verið hægt að skilja beiðni kvartanda öðruvísi en á framangreindan hátt. Að mati TR hafi kvartanda verið kunnugt um þetta fyrirkomulag enda hafi hún tvívegis áður fengið umsagnir vegna umsókna um leyfi.
Með bréfi, dags. 18. desember 2015, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar TR. Kvartandi svaraði með bréfi, dags. 7. janúar 2016, þar sem fram kemur að með fyrstu tveimur umsóknunum til TR hafi ekki fylgt nákvæmar upplýsingar um fjölda akstursdaga sem hún hafi talið að skipt gætu máli við afgreiðslu erindanna. Með þriðja bréfinu hafi hún látið fylgja upplýsingar um fjölda akstursdaga og þá hafi hún jafnframt óskað eftir rökstuðningi ef tryggingalæknir myndi neita henni í þriðja sinn. Þá telji kvartandi að tryggingalæknir hafi þurft að fá samþykki frá henni áður en sendar voru viðkvæmar persónuupplýsingar um hana til Vegagerðarinnar. Tryggingalæknir hafi ekki aflað slíks samþykkis og hafi hún því ekki búist við því að þessar upplýsingar yrðu sendar Vegagerðinni. Einnig hafi kvartandi talið að tryggingalæknir myndi skrifa tvö mismunandi bréf, eitt til hennar með rökstuðningi og annað til Vegagerðarinnar án rökstuðnings. Kvartandi telji því að tryggingalæknir hafi farið út fyrir valdheimildir sínar með því að senda þessar upplýsingar til Vegagerðarinnar.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst TR vera ábyrgðaraðili að þeirri vinnslu sem kvartað er yfir.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Ákvæði 8. og 9. g. laga nr. 77/2000 geta heimilað vinnslu persónuupplýsinga í þágu meðferðar stjórnsýslumála. Má sem dæmi nefna að vinnsla getur verið á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. ákvæðisins, vegna þess að hún sé nauðsynleg til að fullnægja lagaskyldu, sbr. 3. tölul. sömu málsgreinar, vegna þess að vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða, sbr. 4. tölul. sömu málsgreinar, eða ef vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna, sbr. 5. tölul. sömu málsgreinar. Sé um að ræða viðkvæmar persónuupplýsingar þarf að auki að vera fullnægt einhverju viðbótarskilyrðanna fyrir vinnslu slíkra upplýsinga sem mælt er fyrir um í 9. gr. laga nr. 77/2000. Þar kemur meðal annars fram að vinna má með viðkvæmar persónuupplýsingar hafi hinn skráði samþykkt vinnsluna, sbr. 1. tölul. 1. mgr. 9. ákvæðisins, eða ef sérstök heimild stendur til vinnslunnar samkvæmt öðrum lögum, sbr. 2. tölul. sömu málsgreinar. Skilgreiningu á því hvaða persónuupplýsingar teljast viðkvæmar er að finna í 8. tölul. 2. gr. laga nr. 77/2000. Samkvæmt c-lið þess töluliðar teljast upplýsingar um heilsuhagi einstaklinga viðkvæmar persónuupplýsingar.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skulu vera áreiðanlegar og uppfærðar eftir þörfum (4. tölul.); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Við mat á því hvort farið að sé að framangreindum ákvæðum getur þurft að líta til ákvæða í öðrum lögum, auk stjórnvaldsfyrirmæla settra með stoð í þeim. Eins og hér háttar til reynir þá á 1. mgr. 6. reglugerðar nr. 397/2003 um leigubifreiðar, sbr. 13. gr. laga nr. 134/2001 um sama efni. Nánar tiltekið segir í umræddu ákvæði reglugerðarinnar:
„Að uppfylltum öllum skilyrðum veitir Vegagerðin atvinnuleyfi á takmörkunarsvæðum á grundvelli starfsreynslu við akstur leigubifreiðar. Vegagerðinni er heimilt að taka sérstakt tillit til umsókna frá öryrkjum enda hafi þeir meðmæli Öryrkjabandalags Íslands og tryggingayfirlæknis um að leiguakstur henti þeim vel. Öryrkjar fá metna 260 daga í starfsreynslu við mat á atvinnuleyfisumsókn.“
Framangreind ákvæði 8. og 9. g. laga nr. 77/2000 geta heimilað vinnslu persónuupplýsinga hjá stjórnvaldi og miðlun þeirra frá einu stjórnvalda til annars í þágu meðferðar stjórnsýslumála. Í því máli sem hér um ræðir lá ekki fyrir að Vegagerðin væri með stjórnsýslumál til meðferðar varðandi kvartanda, þ.e. umsókn um atvinnuleyfi á grundvelli 6. gr. reglugerðar nr. 397/2003. Þá ber að líta til þess að í því ákvæði er hvergi tekið fram að TR sé heimilt að miðla persónuupplýsingum beint til Vegagerðarinnar, auk þess sem hér var ekki um að ræða skjal sem fellur undir ákvæðið, þ.e. meðmæli um að leiguakstur henti öryrkja vel. Af gögnum málsins verður auk þess ráðið að ekki hafi legið fyrir skýrt samþykki kvartanda fyrir miðluninni.
Eins og hér háttar til geta því fyrrnefnd ákvæði 8. og 9. gr. laga nr. 77/2000 ekki rennt stoðum undir umrædda miðlun upplýsinga um kvartanda frá TR til Vegagerðarinnar. Miðlun persónuupplýsinga í framangreindu tilviki átti sér hvorki stoð í samþykki kvartanda, né sérstakri heimild í lögum. Auk þess verður ekki séð að miðlunin hafi samrýmst fyrrgreindum meginreglum 1. mgr. 7. gr. laga nr. 77/2000. Með vísan til alls þessa verður því talið að framangreind miðlun persónuupplýsinga kvartanda frá TR til Vegagerðarinnar hafi brotið gegn lögum nr. 77/2000.
Ú r s k u r ð a r o r ð:
Miðlun viðkvæmra persónuupplýsinga um [A] frá TR til Vegagerðarinnar
braut gegn lögum nr. 77/2000, um persónuvernd og meðferð
persónuupplýsinga.