Miðlun persónuupplýsinga frá Tryggingamiðstöðinni
Úrskurður
Á fundi stjórnar Persónuverndar þann 4. október 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/911:
I.
Málsmeðferð
1.
Tildrög máls
Þann 3. júní 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) vegna miðlunar persónuupplýsinga um hana frá Tryggingamiðstöðinni hf. (TM) til þriðja aðila án hennar samþykkis. Segir í kvörtun að tilgreindur aðili hafi fengið upplýsingar frá TM um hvað hún greiðir í tryggingar og upphæð bóta sem hún hafi fengið vegna tjóns.
Forsaga málsins er sú að á vormánuðum 2016 varð bifreið í eigu kvartanda fyrir tjóni. Bifreiðin var ábyrgðar- og kaskótryggð hjá TM en ökumaður var annar en kvartandi. Tryggingafélagið og kvartandi náðu samkomulagi um bætur vegna tjónsins. Kvartandi heldur því fram að starfsmaður TM hafi miðlað upplýsingum um að kvartandi hafi fengið bætur og fjárhæð þeirra til [B], en tengsl munu vera milli hans og ökumanns bifreiðarinnar er fyrrgreint umferðaróhapp varð.
2.
Bréfaskipti
Með bréfi, dags. 9. júní 2016, var TM boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarað var með bréfi, dags. 23. júní 2016, en þar segir meðal annars:
„Nú hefur komið í ljós að [dags.] hafði maður að nafni [B] símasamband við tiltekinn starfsmann TM. [B] og starfsmaðurinn munu vera málkunnugir auk þess sem einhver tengsl munu vera milli [B] og þess er ók bifreið kvartanda er fyrrgreint umferðaróhapp varð. Vegna samskipta kvartanda við ökumann bifreiðarinnar þegar óhappið varð, að því er starfsmanninum skildist, óskaði [B] eftir upplýsingum um hvort kvartandi hefði fengið bætur frá félaginu og að hvaða fjárhæð. Starfsmaðurinn veitti [B] umbeðnar upplýsingar.“
Í svarbréfi TM segir að við athugun málsins hafi komið í ljós að um einstakt tilvik hafi verið að ræða og að starfsmanninum hafi orðið ljóst, eftir að umbeðnar upplýsingar höfðu verið veittar, að honum hafi verið óheimilt að veita þær þar sem samþykki kvartanda lá ekki fyrir. Einnig segir að vinnureglur félagsins séu skýrar um að þagnarskyldu skuli gætt í hvívetna um upplýsingar af því tagi sem hér um ræðir og að sú skylda sé áréttuð í öllum ráðningarsamningum við starfsmenn félagsins. TM tilkynnti einnig að félagið ætli engu að síður að yfirfara verkferla sína varðandi meðferð á trúnaðarupplýsingum og skerpa á vitund starfsfólks um þá trúnaðarskyldu sem á því hvílir.
Með bréfi, dags. 27. júní 2016, ítrekuðu með bréfi, dags. 25. júlí s.á., var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar TM til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Engin svör bárust frá kvartanda.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili að vinnslu
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.
Munnleg miðlun upplýsinga ein og sér fellur, samkvæmt framangreindu, ekki undir gildissvið laga nr. 77/2000 heldur þurfa upplýsingarnar með einhverjum hætti að vera á rafrænu og/eða skráðu formi. Í málinu liggur fyrir að þriðja aðila voru veittar upplýsingar um bætur sem kvartandi fékk vegna umferðaróhapps. Þá verður ekki annað ráðið af málsatvikum en að umræddar upplýsingar eigi uppruna sinn í rafrænu skráningarkerfi TM. Telst því hér vera um að ræða vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 77/2000 eins og það er afmarkað í framangreindum ákvæðum.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Í ljósi þess að umræddum upplýsingum var miðlað frá TM telst það félag vera ábyrgðaraðili að miðluninni í skilningi þessa ákvæðis.
Af framangreindu er ljóst að miðlun TM á persónuupplýsingum um kvartanda til þriðja aðila fellur undir gildissvið laga nr. 77/2000.
2.
Lagaumhverfi
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Má þar nefna að aflað sé samþykkis, sbr. 1. tölul. 1. mgr. þeirrar greinar, eða að hún sé nauðsynleg til að gæta lögmætra hagsmuna, enda vegi grundvallarréttindi og frelsi hins skráða ekki þyngra, sbr. 7. tölul. sömu málsgreinar. Þá verður vinnsla viðkvæmra persónuupplýsinga að auki að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna. Af hálfu kvartanda hefur komið fram að starfsmaður TM hafi miðlað upplýsingum um hvað hún greiðir í tryggingar auk fjárhæðar bóta vegna tjóns. Í svarbréfi TM kemur fram að umræddar bætur hafi verið greiddar á grundvelli ábyrgðar- og kaskótryggingar vegna tjóns sem varð á bifreið kvartanda. Samkvæmt þessu reynir ekki á 9. gr. laga nr. 77/2000 heldur einungis 8. gr. sömu laga.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
3.
Niðurstaða
Óumdeilt er að starfsmaður TM miðlaði persónuupplýsingum um kvartanda til þriðja aðila. Þær upplýsingar sem miðlað var lutu að því hvort kvartandi hefði fengið bætur vegna tjóns á bifreið sem var ábyrgðar- og kaskótryggð hjá TM, og fjárhæð bóta. Var upplýsingunum miðlað án þess að aflað væri samþykkis kvartanda og án þess að fyrir lægju lögmætir hagsmunir af miðluninni sem vægju þyngra en grundvallarréttindi og frelsi hennar, sbr. fyrrnefnd ákvæði 8. gr. laga nr. 77/2000. Þá verður ekki séð að heimild hafi staðið til miðlunarinnar samkvæmt þeirri grein að öðru leyti. Var miðlunin því óheimil. Samkvæmt skýringum frá TM er ráðgert að yfirfara verkferla í þessu sambandi. Er hér með lagt fyrir félagið að senda, eigi síðar en 16. nóvember nk., lýsingu á framvindu þeirrar vinnu, þ. á m. mótun ráðstafana sem komi í veg fyrir að slíkt atvik og hér um ræðir endurtaki sig.
Ú r s k u r ð a r o r ð:
Miðlun Tryggingamiðstöðvarinnar hf. á persónuupplýsingum um [A] til þriðja aðila var óheimil. Eigi síðar en 16. nóvember nk. skal félagið hafa sent Persónuvernd lýsingu á vinnu við yfirferð þess á verkferlum við meðferð trúnaðarupplýsinga, þ. á m. mótun ráðstafana til að fyrirbyggja óheimila miðlun.