Rannsókn vegna kvörtunar yfir einelti á vinnustað
Persónuvernd hefur úrskurðað í máli um vinnslu persónuupplýsinga í tengslum við rannsókn sálfræðings vegna kvörtunar yfir einelti á vinnustað. Kvörtun í málinu beindist að vinnustaðnum og var krafist endurskoðunar á niðurstöðum sálfræðingsins. Þar sem Persónuvernd taldi sálfræðinginn, en ekki vinnustaðinn, vera ábyrgðaraðila að vinnslu persónuupplýsinga vegna sjálfrar rannsóknarinnar taldi hún sér ekki unnt að fjalla efnislega um þá kröfu. Jafnframt taldi stofnunin hins vegar vinnustaðinn vera ábyrgðaraðila að varðveislu á greinargerð sálfræðingsins. Taldi Persónuvernd ljóst að vinnustaðnum væri ekki þörf á skýrslunni í þágu starfsemi sinnar, en vegna laga um opinber skjalasöfn, sem hann fellur undir, taldi hún sér ekki unnt að mæla fyrir um eyðingu skýrslunnar. Hins vegar lagði stofnunin bann við notkun greinargerðarinnar og mælti fyrir um að aðgangur að henni skyldi takmarkaður.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 23. ágúst 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/266:
I.
Málsmeðferð
1.
Persónuvernd hefur borist kvörtun frá […] hrl. fyrir hönd [B] (hér eftir nefnd „kvartandi“), dags. 2. febrúar 2016. Lýtur kvörtunin að vinnslu persónuupplýsinga við samningu greinargerðar, dags. […], um mál vegna eineltis sem kvartandi taldi sig verða fyrir hjá [stofnuninni C] þar sem hún starfaði.
Nánar tiltekið segir að kvartandi hafi leitað til trúnaðarmanns stéttarfélags síns í árslok […] vegna umrædds máls. Einnig kemur fram að trúnaðarmaðurinn hafi komið kvörtun frá henni á framfæri við Vinnueftirlitið. Að tillögu hans hafi sálfræðingurinn [D], sem var á lista hjá Vinnueftirlitinu yfir sérfræðinga í vinnustaðamálum, verið fengin til að vinna greinargerð um málið og leita sátta. Við undirbúning greinargerðarinnar hafi hún tekið viðtöl, þ. á m. við kvartanda. Hafi kvartandi ekki fengið að sjá og lesa greinargerðina fyrr en eftir að hún hafði verið afhent í endanlegri gerð og þá komist að því að andmælaréttur hefði verið brotinn á sér. Þá segir:
„Við gerð skýrslunnar var m.a. byggt á persónuupplýsingum sem umbjóðandi minn veitti um sig sjálfa. Umbjóðandi minn lítur svo á að viðtal hennar við sálfræðinginn [D] hafi verið trúnaðarsamtal sem m.a. hafi farið fram til þess að liðsinna henni og leit hún á sig sem skjólstæðing [D], þ.e. að [D] væri að vinna fyrir hana ekki síður en fyrir [stofnunina C]. Í skýrslunni fjallar [D] hins vegar um tillögur að lausn sem varða m.a. framtíð umbjóðanda míns í starfi. Tillögurnar fjölluðu ekki um málsatvik þar sem atburðir voru raktir og aldrei getið um kvartanir á hendur stjórnendum sem umbjóðandi minn endurtók sem alvarlegasta hluta málsins og heldur ekki um hvernig aðbúnaður og hollustuhættir á vinnustaðnum voru á þeim tíma. Í umfjöllun [D] komu fram greiningar sem gátu fyrirsjáanlega haft bein áhrif á líf og hagsmuni umbjóðanda míns og sem gengu langt út fyrir þann ramma sem eitt viðtal gat mögulega haft í för með sér. Var því eðlilegt að gera ríkar kröfur til fræðslu um þau atriði sem talin eru upp í 3. tölulið 1. mgr. 20. gr. laga nr. 77/2000, þ. á m. um atriði sem voru umbjóðanda mínum nauðsynleg til að hún gæti gætt hagsmuna sinna í tengslum við vinnsluna og til að vinnslan færi fram á sanngjarnan hátt gagnvart henni. Sú faglega sérfræðiaðferð sem [D] notaði við öflun og greiningu á upplýsingum um atburði á vinnustaðnum við gerð umræddrar skýrslu telst til vinnsluaðferðar í merkingu 4. töluliðar 2. gr. laga nr. 77/2000.“
Fram kemur að fyrrnefndur sálfræðingur er látinn. Segir að í ljósi þess sé kvörtuninni eingöngu beint að [stofnuninni C] og forstjóra þeirrar stofnunar. Þá kemur fram að krafist er úrskurðar Persónuverndar um að brotið hafi verið gegn ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga við samningu umræddrar greinargerðar, einkum þar sem ekki hafi verið veitt fræðsla samkvæmt 20. gr. laga nr. 77/2000. Að auki er þess krafist að greinargerðin verði leiðrétt og röngum upplýsingum eytt í samræmi við 25. gr. laganna, sem og að [stofnuninni C] verði sem ábyrgðaraðila gert að hindra að upplýsingarnar hafi áhrif á hagsmuni kvartanda.
Með kvörtun var hjálagt afrit af umræddri greinargerð sem bar heitið „[…]“. Á forsíðu var hún merkt því fyrirtæki sem sálfræðingurinn starfaði hjá, þ.e. [fyrirtækinu E], og á öftustu síðu auðkennd með nafni hans. Í 3. kafla greinargerðarinnar sagði meðal annars að […]. Þá kom fram í 4. kafla að sálfræðingurinn teldi tvær leiðir færar að lausn, annars vegar að kvartandi hætti störfum hjá [stofnuninni C] og hins vegar að kvartandi héldi starfi sínu áfram. Rökstutt var hvers vegna fyrrnefnda lausnin var lögð fram og minnt á þær reglur sem gilda um uppsögn ráðningarsamnings. Þá var rakið hvernig sálfræðingurinn taldi unnt að koma síðarnefndu lausninni í framkvæmd, m.a. með því að […]. Tekið var fram í upphafi 3. kafla að með greinargerðinni væri komið áleiðis hlutlausri sýn sálfræðingsins á málið.
Um fræðslu var fjallað í 2. kafla greinargerðarinnar. Sagði þar að öll samtöl hefðu verið opnuð á þann veg að sálfræðingurinn (eða ráðgjafinn, eins og hann var þar nefndur) kynnti verkefnið fyrir starfsmönnum, fór yfir tilgang verkefnis og hlutverk sitt í því, bakgrunn sinn og almennar forsendur. Þá sagði að notast hefði verið við sérstakan viðtalsramma. Í honum sagði meðal annars að tekin væru viðtöl við starfsmenn til að ræða samskiptavanda sem staðið hefði yfir í allnokkurn tíma hjá [stofnuninni C]. Væru þau hluti af greiningarvinnu sem hefði þann tilgang að komast að því hvað nákvæmlega vandinn snerist um. Einnig sagði að vinnan hefði það markmið að draga upp skýra og nákvæma mynd af vandanum, en sú vinna væri forsenda þess að greiða mætti úr honum. Endanlegt markmið væri að bæta og styrkja alla sem að málinu kæmu.
Með kvörtun voru hjálagðar lýsingar kvartanda á atburðarás í umræddu máli. Er þar rökstudd afstaða sem er gagnstæð þeirri sem sálfræðingurinn komst að í umræddri greinargerð.
2.
Með bréfi, dags. 22. apríl 2016, var [stofnuninni C] veitt færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 2. maí s.á. Þar segir að fyrrnefndur sálfræðingur hafi verið á lista Vinnueftirlitsins yfir fagaðila sem vinna að lausn ágreiningsefna á vinnustöðum, að gerður hafi verið verksamningur við það fyrirtæki sem sálfræðingurinn starfaði hjá, að greinargerðin hafi verið unnin í samráði við stéttarfélög og trúnaðarmenn viðkomandi starfsmanna, að viðbrögð [stofnunarinnar C] hafi meðal annars byggst á þágildandi reglugerð nr. 1000/2004 um aðgerðir gegn einelti á vinnustöðum, sem og að í maí [...] hafi [stofnunin C] og kvartandi gert samkomulag um starfslok, þess efnis meðal annars að hvorugur aðili hefði kröfur á hendur hinum umfram það sem leiddi af samkomulaginu.
Hvað varðar fræðslu á grundvelli 20. gr. laga nr. 77/2000 segir:
„Sem ábyrgðaraðili á framangreindri úttekt ráðgjafa frá [frá fyrirtækinu E upplýsti stofnunin C] viðkomandi starfsmenn um þá úttekt sem ráðgjafinn var ráðinn til að vinna auk þess að upplýsa um málið á almennum starfsmannafundi á vinnustaðnum. Auk þess útskýrði ráðgjafi markmið verkefnisins fyrir starfsmönnum sem rætt var við áður en viðtöl fóru fram fram. Þar sem [B] neitaði að vera í samskiptum við forstjóra eða aðra yfirmenn [stofnunarinnar C] vegna málsins tók [F] framkvæmdastjóri stéttarfélagsins [G] að sér að hafa milligöngu um fræðslu og útskýringar. Meðfylgjandi er Viðauki 2 með samskiptagreiningu ráðgjafa sem var notaður til að útskýra fyrir viðkomandi starfsmönnum markmið og hlutverk ráðgjafa.“
Sá viðauki, sem nefndur er í tilvitnuðum texta, er sama skjal og áðurnefndur viðtalsrammi sem fjallað er um í 1. kafla hér að framan.
Hvað varðar kröfu um leiðréttingu og eyðingu upplýsinga er í bréfi [stofnunarinnar C] vísað til þess að umrædd greinargerð hafi verið unnin af fyrrgreindum sálfræðingi. Þó svo að [stofnunin C] hafi verið ábyrgðaraðili að greiningarvinnunni hafi [hún] ekki aðgang að þeim upplýsingum sem til urðu á framkvæmdastigi verkefnisins og hafi því ekki forsendur til að meta réttmæti einstakra ummæla. Ákveðinn ómöguleiki sé fyrir hendi til að meta réttmæti vinnslunnar þar sem sálfræðingurinn sé fallinn frá. Í kvörtuninni komi heldur ekki fram hvaða atriði í greinargerðinni séu álitin röng eða villandi. Þá beri [stofnuninni C] sem stjórnvaldi að varðveita allar upplýsingar sem til verða við meðferð mála þar sem taka á ákvörðun um rétt eða skyldur manna, sbr. 27. gr. upplýsingalaga nr. 140/2012. Auk þess [sé stofnunin C] afhendingarskyldur aðili samkvæmt 3. tölul. 1. mgr. 14. gr. laga nr. 77/2014 um opinber skjalasöfn og megi því ekki eyða gögnum nema með sérstöku leyfi þjóðskjalavarðar samkvæmt 24. gr. þeirra laga. Með vísan til þessa segir:
„[Stofnunin C vill] bjóða fram þá lausn í þessu máli að [B] sendi [stofnuninni C] viðbætur við samskiptagreiningu ráðgjafa [fyrirtækisins E] frá […]. Þessar viðbætur verði varðveittar í skjalasafni stofnunarinnar hjá hinu upprunalega eintaki merktar sem trúnaðarmál eins og samskiptagreiningin sem geymd er í læstum skjalaskáp í skjalageymslu [stofnunarinnar C]. Aðgang að skápnum hafa eingöngu skjalastjóri og forstjóri.“
3.
Með bréfi, dags. 17. maí 2016, veitti Persónuvernd áðurgreindum lögmanni kvartanda færi á að tjá sig um framangreint bréf [stofnunarinnar C], dags. 2. s.m. Svarað var með bréfi, dags. 30. s.m. Þar segir meðal annars að ekki hafi verið veitt skýr fræðsla um hvernig trúnaði um þær persónuupplýsingar, sem veittar voru í viðtalinu, yrði háttað. Hafi kvartandi talið að um ræddi trúnaðarsamtal og að tilgangurinn með því væri að taka á vandamáli sem hún hafði kvartað undan og átt frumkvæði að því að opinbera. Ekki hafi hins vegar komið fram í skriflegri fræðslu hvernig farið yrði með trúnaðarupplýsingar og engum gögnum til um það að dreifa að fyrrnefndur sálfræðingur hafi rætt það atriði við kvartanda. Hafi [F] verið trúnaðarmaður kvartanda og ekki haft neitt hlutverk á vegum [stofnunarinnar C]. Af því megi álykta að almennar reglur um sálfræðiviðtöl hafi gilt, þ. á m. þagnarskylduákvæði 17. gr. laga nr. 34/2010 um heilbrigðisstarfsmenn, sérstaklega ef beðið hafi verið um að ákveðnar upplýsingar yrðu ekki opinberaðar. Hafi því verið eðlilegt að kvartandi hafi talið viðtal, sem sálfræðingurinn tók við hana, vera trúnaðarsamtal.
Einnig segir meðal annars að kvartandi hafi ekki fengið tækifæri til að koma að athugasemdum og andmælum. Hafi réttmæti einstakra ummæla í umræddri greinargerð ekki úrslitaáhrif um réttmæti hennar í heild, en forsendur hennar séu brostnar vegna þeirra vinnubragða sem viðhöfð voru.
Hvað varðar bann við eyðingu gagna hjá stjórnvöldum samkvæmt 24. gr. laga nr. 77/2014 beri að líta til skyldu til leiðréttingar og eyðingar rangra og villandi persónuupplýsinga samkvæmt 25. gr. laga nr. 77/2000. Síðarnefnda ákvæðið sé sérregla sem gangi framar hinni almennu reglu fyrrnefnda ákvæðisins. Af því leiði að á [stofnuninni C] sem stjórnvaldi hvíli rannsóknarskylda samkvæmt stjórnsýslulögum nr. 37/1993. Þá hvíli slík skylda á [stofnuninni C] sem ábyrgðaraðila umrædds verkefnis og beri [henni] því að ganga úr skugga um hvort þær persónuupplýsingar, sem hér um ræðir, séu tilkomnar með eðlilegum hætti og á réttum forsendum, sérstaklega í ljósi þess að kvartandi hafi ítrekað gert athugasemd við meðför þeirra og greinargerðina sjálfa í heild sinni. Komi í ljós við slíka rannsókn að bregðast þurfi við vegna ofangreindra lagaákvæða verði [stofnunin C] að fá leyfi þjóðskjalavarðar til að gögnum verði eytt samkvæmt 25. gr. laga nr. 77/2000.
Því er hafnað í bréfi lögmannsins að fyrir hendi sé ómöguleiki til að meta réttmæti vinnslunnar vegna andláts umrædds sálfræðings. Unnt sé að nálgast gögn um starfsemi þess fyrirtækis sem hún vann hjá, þ.e. hjá fyrrum eigendum þess, en það sé ekki lengur í rekstri. Ekki sé hægt að fallast á það með [stofnuninni C] að kvartandi skuli bera hallann af því óhagræði sem stjórnvald hafi af því að afla gagna samkvæmt rannsóknarskyldu sinni, upplýsa mál og komast að efnislega réttri niðurstöðu. Að auki segir meðal annars:
„Því miður er ekki hægt að fallast á það með [stofnuninni C] að það sé viðunandi lausn að umbjóðandi minn bæti við samskiptagreiningu ráðgjafa [fyrirtækisins E] frá […]. Þar sem áðurnefnd skýrsla hefur að geyma meiðandi rangfærslur sem umbjóðandi minn hefur ítrekað reynt að benda á en ekki fengið svör við. Þá hefur skýrslan farið mun víðar en [stofnun C greinir] frá í svari sínu og hefur augljóslega haft áhrif á hagsmuni umbjóðanda míns.“
Hjálagt með bréfi lögmannsins var skjal frá kvartanda þar sem gerðar eru athugasemdir við umrætt bréf [stofnunarinnar C]. Lúta þær meðal annars að vinnubrögðum við vinnslu greinargerðarinnar og töku viðtala, m.a. því að vantað hafi á viðmælendalista, en því sé dregið í efa að unnt hafi verið að varpa ljósi á málið. Þá er vikið að því sem segir í bréfinu um samkomulag sem gert var um starfslok, þ.e. um orðalag þess efnis að hvorugur aðili hafi átt kröfu á hendur hinum. Er lýst þeirri afstöðu í skjali kvartanda að orðalag þar að lútandi hafi eingöngu átt við um starfslok og launakjör samkvæmt samkomulaginu. Því standi það því ekki í vegi að kvartað sé til Persónuverndar vegna vinnslu umræddrar greinargerðar.
Einnig er vikið að því í skjali kvartanda sem fram kemur í bréfi [stofnunarinnar C] um aðkomu [félagsins G] að samskiptum við hana vegna vinnslunnar. Er vakin athygli á því að [félagið G] er ekki stéttarfélag heldur samlagsfélag um rekstur þjónustuskrifstofu fyrir mörg stéttarfélög, þ. á m. stéttarfélag kvartanda. Þá hafi [F] hjá [G] ekki komið fram sem framkvæmdastjóri félagsins heldur sem trúnaðarmaður kvartanda.
Að auki hefur skjalið meðal annars að geyma kröfugerð. Nánar tiltekið er þess krafist að [stofnunin C] og forstjóri [hennar] sæti stjórnsýsluviðurlögum fyrir brot gegn ákvæðum laga nr. 77/2000, sem og að umrædd greinargerð verði fjarlægð.
II.
Forsendur og niðurstaða
1.
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til reynir á hvort [stofnunin C], umræddur sálfræðingur eða, eftir atvikum, fyrirtækið [E], sem hún starfaði fyrir, teljist hafa verið ábyrgðaraðili að vinnslu í tengslum við samningu umræddrar greinargerðar.
Teljist sálfræðingurinn eða umrætt fyrirtæki ekki hafa talist ábyrgðaraðili yrði að líta svo á að viðkomandi hafi haft stöðu vinnsluaðila. Samkvæmt 5. tölul. 2. gr. laganna er þar átt við aðila sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Þá er tekið fram í 3. mgr. 13. gr. laganna að vinnsluaðila sé aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.
Líta verður svo á að umræddur sálfræðingur hafi unnið fyrir [stofnunina C] sem sjálfstætt starfandi sérfræðingur. Þegar slíkur sérfræðingur tekur að sér verk getur sérþekking hans og sjálfstæð staða haft þau áhrif að hann teljist ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem hann viðhefur við framkvæmd verksins. Um þetta er fjallað í áliti frá starfshópi sem starfar samkvæmt 29. gr. persónuverndartilskipunarinnar nr. 95/46/EB, en hann er skipaður fulltrúum persónuverndarstofnananna í ríkjum sem skuldbundin eru af ákvæðum hennar. Nánar tiltekið er um að ræða álit nr. 1/2010 (WP169) um hugtökin „ábyrgðaraðili“ og „vinnsluaðili“. Þar eru meðal annars nefnd raunhæf dæmi um hvernig á það getur reynt hvort sjálfstæðir sérfræðingar teljist ábyrgðaraðilar að vinnslu sem þeir hafa með höndum í vinnu fyrir aðra. Má þar nefna að ef endurskoðandi tekur að sér verk án þess að fá nákvæm fyrirmæli um hvernig það skuli unnið teljist hann alla jafna vera ábyrgðaraðili að vinnslu persónuupplýsinga sem tengist verkinu. Öðru máli geti hins vegar gegnt ef honum eru nákvæmlega lagðar línurnar um hvernig það skuli unnið (sjá bls. 29 í álitinu).
Eins og fyrr greinir var tekið fram í greinargerð sálfræðingsins að með henni væri komið áleiðis hlutlausri sýn hans á málið. Vandséð er hvernig slíkt hefði átt að vera unnt ef greinargerðin hefði verið unnin undir nákvæmri handleiðslu [stofnunarinnar C]. Telur Persónuvernd í ljósi þessa og annars framangreinds að ábyrgðaraðili þeirrar vinnslu, sem tengdist samningu umræddrar greinargerðar, hafi verið sálfræðingurinn eða, eftir atvikum, framangreint fyrirtæki. Það hvort sálfræðingurinn eða fyrirtækið telst hafa verið ábyrgðaraðili getur meðal annars farið eftir rekstrarfyrirkomulagi fyrirtækisins, s.s. því hvort sálfræðingurinn vann þar sem launþegi eða hvort sjálfstæðum rekstri sérfræðinga, sem störfuðu innan vébanda þess, var þar einungis veitt sameiginleg umgjörð. Eins og hér háttar til þarf ekki að taka afstöðu til álitaefna í því sambandi.
Þar sem sá aðili, sem kvartað er yfir, þ.e. [stofnunin C], telst ekki hafa verið ábyrgðaraðili að vinnslu tengdri samningu greinargerðarinnar hvíldu skyldur samkvæmt lögum nr. 77/2000 ekki á honum í því sambandi. Þar sem ekki er kvartað yfir öðrum en [stofnuninni C] vegna þessarar vinnslu tekur Persónuvernd því ekki efnislega afstöðu til þess í úrskurði þessum hvort hún hafi samrýmst lögum. Hins vegar er ljóst að [stofnunin C telst] ábyrgðaraðili þeirrar vinnslu sem felst í varðveislu greinargerðarinnar og eftirfarandi notkun hjá stofnuninni. Verður því hér tekin afstaða til þeirrar varðveislu, sbr. 3. kafla hér á eftir.
3.
Svo að vinnsla persónuupplýsinga sé heimil þarf ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Samkvæmt 3. tölul. 1. mgr. þeirrar greinar er heimilt að vinna með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu. Þá er í 7. tölul. sömu málsgreinar mælt fyrir um heimild til vinnslu sé hún nauðsynleg til að gæta lögmætra hagsmuna nema frelsi og réttindi hins skráða vegi þyngra.
Að auki þarf ávallt að fara að öllum kröfum 1. mgr. 7. gr. laga nr. 77/2000, m.a. um að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skulu vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.). Felur síðastnefnda krafan í sér að þegar ekki er lengur málefnaleg ástæða til varðveislu persónuupplýsinga skal þeim eytt.
Nánar er útfært í 25. gr. laga nr. 77/2000 hvernig standa ber að leiðréttingu og eyðingu rangra og villandi persónuupplýsinga. Í 26. gr. laganna er auk þess að finna nánari fyrirmæli um eyðingu og bann við notkun persónuupplýsinga sem eru hvorki rangar né villandi. Í báðum ákvæðunum er á því byggt að óheimilt kunni að vera að eyða eða breyta upplýsingum. Segir í 2. mgr. fyrrnefnda ákvæðisins að þegar lög banni slíkt geti Persónuvernd bannað notkun upplýsinga. Þá segir í 1. mgr. síðarnefnda ákvæðisins að málefnaleg ástæða til varðveislu upplýsinga geti meðal annars byggst á fyrirmælum í lögum. Fram kemur í 3. mgr. ákvæðisins að Persónuvernd geti þá bannað notkun upplýsinganna. Rétt er að taka fram að í úrskurði þessum er Persónuvernd ekki að taka efnislega afstöðu til þess hvort upplýsingarnar í greinargerðinni hafi verið rangar eða villandi, þar sem ekki er skorið úr um lögmæti vinnslu upplýsinganna af hálfu sálfræðingsins.
Samkvæmt 3. tölul. 1. mgr. 14. gr. laga nr. 77/2014 um opinber skjalasöfn eru stjórnvöld afhendingarskyld í samræmi við ákvæði laganna. Í því felst að þeim ber að afhenda opinberu skjalasafni skjöl sín, að meginreglu þegar þau hafa náð 30 ára aldri, sbr. 4. mgr. 14. gr. og 1. mgr. 15. gr. laganna. Tekið er fram í 1. mgr. 24. gr. laganna að afhendingarskyldum aðilum sé óheimilt að ónýta eða farga nokkru skjali í skjalasöfnum sínum nema að fengnu samþykki þjóðskjalavarðar, reglna sem hann setur eða sérstaks lagaákvæðis. Þegar lög hafa að geyma orðalag á borð við „sérstakt lagaákvæði“ er litið svo á að átt sé við ákvæði sem sérgreinir eitthvað tiltekið sem undir það fellur. Fyrrnefnd ákvæði laga nr. 77/2000 hafa ekki að geyma slíka sérgreiningu heldur lúta þau almennt að skyldunni til að eyða persónuupplýsingum sem ekki er lengur málefnalegt að varðveita. Eins og fyrr greinir er auk þess vísað til þess í lögunum að ákvæði annarra laga kunni að mæla fyrir um varðveisluskyldu og að eftir henni beri að fara. Þá er og til þess að líta að í athugasemdum við 2. mgr. 25. gr. í greinargerð með því frumvarpi, sem varð að lögum nr. 77/2000, er vísað til 7. gr. þágildandi laga nr. 66/1985 um Þjóðskjalasafn Íslands sem dæmis um ákvæði sem girði fyrir að persónuupplýsingum verði eytt eða þær leiðréttar. Hafði þetta ákvæði að geyma efnislega sambærilega reglu og fyrrnefnt ákvæði 1. mgr. 24. laga nr. 77/2014, en þau lög hafa nú komið í stað laga nr. 66/1985.
Þegar litið er til alls framangreinds telur Persónuvernd ekki unnt að mæla fyrir um að umræddri greinargerð skuli eytt eða að henni skuli breytt. Eftir atvikum kynni Persónuvernd, á grundvelli 1. mgr. 25. gr. laga nr. 77/2000, að geta mælt fyrir um að í gögn, sem óheimilt er að eyða eða breyta, skuli lagðar athugasemdir með leiðréttingum frá hinum skráða. Þá verður að liggja fyrir lágmarkstilgreining á því hvaða upplýsingar séu álitnar rangar eða villandi, auk þess sem færa verður fyrir því fullnægjandi rök. Eins og á stendur skortir slíka lágmarkstilgreiningu og rökstuðning í máli þessu og getur Persónuvernd því ekki mælt fyrir um að umrædd greinargerð skuli varðveitt með slíkum athugasemdum og hér um ræðir. Kvartandi getur komið slíkri tilgreiningu á framfæri við [stofnunina C].
Eins og áður greinir getur Persónuvernd hins vegar, á grundvelli 3. mgr. 26. laga nr. 77/2000, lagt bann við notkun persónuupplýsinga. Þykja hér vera skilyrði til þess, enda verður ekki séð að [stofnuninni C] sé þörf á umræddri greinargerð í starfsemi sinni. Með vísan til umrædds ákvæðis er því lagt bann við notkun hennar. Á grundvelli 1. mgr. 40. gr. laga nr. 77/2000 er auk þess lagt fyrir [stofnunina C] að varðveita greinargerðina með þeim hætti að eingöngu forstjóri [stofnunarinnar C] og sá starfsmaður, sem ábyrgur er fyrir skjalavörslu, geti haft aðgang að henni, sbr. og 11. gr. laganna þar sem fjallað er um öryggi persónuupplýsinga. Má slíkur aðgangur eingöngu þjóna þeim tilgangi að geta sinnt skyldum til afhendingar gagna á opinbert skjalasafn samkvæmt lögum nr. 77/2014, sem og til að geta farið að upplýsingaskyldum samkvæmt 18. og 19. gr. laga nr. 77/2000 gagnvart einstaklingum sem upplýsingar eru skráðar um í greinargerðina.
Ú r s k u r ð a r o r ð:
Óheimilt er að nota greinargerð, dags.[...], sem [D], sálfræðingur hjá [fyrirtækinu E], vann fyrir [stofnunina C]. Skal beitt ráðstöfunum sem tryggja að eingöngu forstjóri stofnunarinnar og sá starfsmaður hennar, sem ábyrgð ber á skjalavörslu, hafi aðgang að greinargerðinni.