Alcan á Íslandi telst vera ábyrgðaraðili þeirra persónuupplýsinga sem söfnuðust við upplýsingaöflun félagsins í tengslum við kosningar um stækkun álversins í Straumsvík
Hinn 26. júní sl. kvað Persónuvernd upp úrskurð um hvort Alcan á Íslandi hf. teldist ábyrgðaraðili persónuupplýsinga sem söfnuðust við upplýsingaöflun félagsins í tengslum við kosningar um fyrirhugaða stækkun álversins í Straumsvík.
Forsaga málsins er sú að um miðjan marsmánuð bárust Persónuvernd símtöl vegna upplýsingaöflunarinnar. Símtal við framkvæmdastjóra hjá Alcan á Íslandi hf. þótti gefa tilefni til þess að taka málið til frekari athugunar.
Í framhaldinu áttu sér stað bréfaskipti þar sem fram komu athugasemdir, er taldar voru leiða til þess að áður en skorið yrði úr því hvort upplýsingaöflunin væri í samræmi við ákvæði laga um persónuvernd, yrði að skera úr um hvort Alcan á Íslandi hf. teldist ábyrgðaraðili upplýsinganna, í heild eða hluta. Það hefði aftur áhrif á hverjum stæði næst að veita Persónuvernd upplýsingar við rannsókn málsins.
Persónuvernd taldi ljóst af gögnum málsins að Alcan á Íslandi hf. fór með ákvörðunar- og ráðstöfunarvald þeirra persónuupplýsinga sem söfnuðust í upplýsingaöflun félagsins og komst því að þeirri niðurstöðu að Alcan á Íslandi hf. teldist vera ábyrgðaraðili þeirra í skilningi laga. Gildir það bæði um upplýsingarnar eins og þær birtust í notendaviðmóti sem starfsmenn Alcan á Íslandi hf. höfðu aðgang að og eins og þær voru skráðar hjá aðstandendum kerfisins „kosningavelin.net.“
Tekið skal fram að afstaða hefur ekki verið tekin til þess hvort upplýsingaöflunin var í samræmi við ákvæði laga um persónuvernd eða ekki.
Ú r s k u r ð u r
Á fundi stjórnar Persónuverndar þann 26. júní 2007 var kveðinn upp svohljóðandi úrskurður í máli nr. 2007/258:
I.
Dagana 14. og 15. mars sl. bárust Persónuvernd símtöl frá mönnum sem kváðust vera starfsmenn Alcan á Íslandi hf. Þeir greindu frá því að starfsmenn félagsins hafi fengið tilmæli um að safna upplýsingum um a.m.k. 10 nágranna sína eða vini og skoðanir þeirra á fyrirhugaðri stækkun álversins í Straumsvík. Fyrst og fremst hafi menn verið beðnir um að safna upplýsingum um meðlimi samtakanna Sólar í Straumi. Fram kom að starfsmenn skyldu skrá sig inn á vefsíðu með notendanafni og lykilorði sem þeim hafði verið úthlutað og færa upplýsingarnar þar inn. Mennirnir vildu ekki leggja inn erindi í eigin nafni af ótta við uppsögn.
Hinn 15. mars var samband haft símleiðis við Gunnar Guðlaugsson framkvæmdastjóra hjá Alcan á Íslandi á hf. og grennslast fyrir um málið. Gunnar skýrði frá því að starfsmönnum Alcan á Íslandi hf. hefði verið boðið að taka þátt í að hringja í vini og ættingja, spyrja um afstöðu þeirra til stækkunar og skrá í kerfið „kosningavelin.net," en það væri ekki skylda. Nánar aðspurður skýrði hann frá því að Alcan á Íslandi hf. hefði keypt aðgang að kerfinu fyrir milligöngu almannatengslafyrirtækis, það hefði verið sett sérstaklega upp fyrir félagið og að sú skrá sem lögð væri til grundvallar úthringinga væri kjörskráin í Hafnarfirði. Að hans sögn fengi Alcan á Íslandi hf. eingöngu samtölur í hendur. Einnig kom fram að starfsmönnum hefði ekki verið leiðbeint sérstaklega um að upplýsa fólk um að svör þeirra yrðu skráð.
Símtalið þótti gefa tilefni til frekari athugunar og var því, með bréfi dags. 15. mars sl., óskað upplýsinga um tiltekin atriði er sneru að upplýsingasöfnun Alcan á Íslandi hf. Svör bárust, fyrir hönd félagsins, með bréfi Hjördísar Halldórsdóttur hdl., dags. 23. mars sl. Hinn 28. mars sl. var farið í vettvangsheimsókn á starfsstöð Alcan á Íslandi hf. í Straumsvík þar sem fulltrúum Persónuverndar var sýnt viðmót upplýsingakerfisins eins og það sneri að vefstjórum og starfsmönnum félagsins og í kjölfarið hafa frekari bréfaskipti átt sér stað.
Fram hefur komið að á tímabilinu 10.-15. mars 2007 „gátu þeir starfsmenn sem skráðu upplýsingarnar skoðað svör einstaklinga, sem og „administrators" (vefstjórar)," sbr. bréf Hjördísar Halldórsdóttur hdl., dags. 23. mars sl. Í sama bréfi kom fram að „[e]ngar sérstakar leiðbeiningar [hafi] verið veittar um upplýsingaöflunina þar til nú, það er aðrar en um tæknileg atriði, möguleika á úthringingar á vinnutíma og þess háttar." Fyrirspurn Persónuverndar um hvort samið hefði verið við tiltekinn vinnsluaðila um að annast framkvæmd könnunarinnar var svarað með eftirfarandi hætti:
„GPS almannatengsl hf. útvegaði umbjóðanda mínum aðgang að vefnum „kosningavelin.net". Enginn samningur var gerður við þá sem standa að vefnum, en um er að ræða tvo einstaklinga, Skapta Örn Ólafsson og Sævar Guðmundsson. Umbjóðandi minn lítur svo á að ekki verði sagt að sérstakur vinnsluaðili hafi verið fenginn til að framkvæma könnunina, enda skrá starfsmenn umbjóðanda míns svörin í gagnagrunninn, og forrit breytir svörunum sjálfvirkt og tafarlaust í þær tölfræðiupplýsingar sem umbjóðandi minn hefur aðgang að."
II.
Samkvæmt 38. gr. laga nr. 77/2000 getur Persónuvernd krafið ábyrgðaraðila, vinnsluaðila og þá sem starfa á þeirra vegum um allar þær upplýsingar og skriflegar skýringar sem henni eru nauðsynlegar til þess að rækja hlutverk sitt, þar á meðal þær upplýsingar sem hún þarf til að geta metið hvort tiltekin starfsemi eða vinnsla falli undir ákvæði laganna.Í samræmi við þetta voru upplýsingar, sem fram komu í vettvangsheimsókn Persónuverndar hinn 28. mars sl., taldar gefa tilefni til að ganga úr skugga um hvort þær upplýsingar sem varðveittar væru hjá aðstandendum kerfisins „kosningavelin.net," væru rekjanlegar til einstaklinga eða ekki, og þá eftir atvikum hvort þær féllu þar með undir gildissvið laga nr. 77/2000. Samband var haft við Sævar Guðmundsson vegna þessa sama dag og óskað eftir aðgangi að kerfinu. Af þessu tilefni barst Persónuvernd bréf Hjördísar Halldórsdóttur hdl. f.h. Alcan á Íslandi hf., dags. s.d., þar sem segir:
„Eins og áður hefur komið fram felst umbjóðandi minn ekki á að aðstandendur kerfisins teljist vinnsluaðilar gagnvart honum. Umbjóðandi minn má treysta því að sú þjónusta sem hann kaupir af þriðja aðila uppfylli skilyrði laga og reglna, enda er sú þjónusta ekki í eðli sínu ólögmæt, fremur en svo, svo dæmi sé tekið, sorphirðing eða lögmannsþjónusta. Hér verður ekki gerð sú krafa á umbjóðanda minn að hann skuli bera ábyrgð á að þeir sem selji honum þjónustu uppfylli skilyrði laga, hvort sem sú þjónusta felst í aðgangi að vefkerfi eins og þessu, eða hvort um er að ræða, svo dæmi sé tekið, sorphirðingu. Meginreglan er að umbjóðandi minn verður ekki látinn bera ábyrgð á viðsemjendum hans í aðstæðum sem þessum, þegar þjónusta, sem í eðli sínu er ekki ólögmæt, er keypt. Er ástæða til að nefna þetta sérstaklega vegna ýmissa fyrirspurna sem fram komu í morgun um kerfið sem slíkt og starfsemi aðstandenda þess, og er við hæfi að benda á að gagnvart umbjóðanda mínum er einungis rétt að taka mið af notkun hans sjálfs (þ.e. starfsmanna hans) á kerfinu og þeim upplýsingum sem eru honum aðgengilegar."
Í tölvubréfi frá Sævari Guðmundssyni, dags. 30. mars sl., segir hins vegar að honum hefði verið „heimilað" að veita Persónuvernd tímabundinn aðgang að kerfinu. Þar reyndist vera um að ræða aðgang að viðmóti fyrir almennan notanda annars vegar og vefstjóra hins vegar, sem Alcan á Íslandi hf. hafði þegar sýnt fulltrúum Persónuverndar í vettvangsheimsókninni tveimur dögum fyrr, en ekki aðgang að þeim upplýsingum sem þörf var talin á til að staðreyna hvort upplýsingar varðveittar hjá aðstandendum kerfisins væru rekjanlegar til einstaklinga. Frekari tilraunir til að fá aðgang að þeim upplýsingum skiluðu ekki árangri. Í kjölfarið óskaði Persónuvernd nánari upplýsinga frá GSP almannatengslum og Alcan á Íslandi hf. en í þeim svörum sem bárust kom ekki skýrlega fram hvaða aðili tók þá upphaflegu ákvörðun um að starfsmenn Alcan á Íslandi hf. skyldu skrá svör á persónugreinanlegu formi.
III.
Mál þetta var rætt af stjórn Persónuverndar hinn 3. maí sl. og taldi hún að vegna framkominna athugasemda yrði, áður en skorið yrði úr því hvort ákvæði laga nr. 77/2000 hefðu verið brotin við upplýsingaöflun um afstöðu Hafnfirðinga til stækkunar álversins í Straumsvík, að skera úr um hvort Alcan á Íslandi ehf. teldist ábyrgðaraðili upplýsinganna, í heild eða hluta, en það hefði aftur áhrif á hverjum stæði næst að veita Persónuvernd upplýsingar við rannsókn málsins. Úrskurðarefni þessa máls er því að svo stöddu það eitt hvort Alcan á Íslandi ehf. sé ábyrgðaraðili ofangreindrar vinnslu.
Í ljósi framangreindrar ákvörðunar var, með bréfi dags. 12. júní sl., óskað afstöðu Alcan á Íslandi hf. til þess hvort félagið teldist ábyrgðaraðili að vinnslu annars vegar upplýsinga sem voru aðgengilegar starfsmönnum Alcan á Íslandi hf. á tímabilinu 10.-15. mars sl. og hins vegar upplýsinga sem varðveittar voru hjá aðstandendum kerfisins „kosningavelin.net." M.a. var sérstaklega óskað eftir afstöðu Alcan á Íslandi hf. til þess hvort aðstandendum vefsins sé heimilt að ráðstafa upplýsingunum að eigin vild, s.s. afhenda þær öðrum, birta þær opinberlega eða eyða þeim.
Í svarbréfi Áslaugar Björgvinsdóttur lögfræðings f.h. Alcan á Íslandi hf., dags. 21. júní sl., kemur m.a. fram afstaða Alcan á Íslandi hf. til þess, hvort félagið teljist ábyrgðaraðili þeirra upplýsinga sem voru aðgengilegar starfsmönnum Alcan á Íslandi hf. á tímabilinu 10.-15. mars sl. Þar segir:
„Á tímabilinu 10.-15. mars sl. gátu þeir starfsmenn sem skráðu upplýsingar um viðmælendur skoðað svör þeirra sem og kerfisstjórar. Samkvæmt orðanna hljóðan og með vísan í 1. tl. 2. gr. laganna nr. 77/2000 verður því að telja að þessar upplýsingar hafi verið persónuupplýsinga á hinu tilgreinda tímabili þar sem upplýsingarnar voru persónugreinanlegar. Af því leiðir að umbjóðandi minn kann mögulega að vera skilgreindur sem ábyrgðaraðili vinnslu þessara upplýsinga frá 10.-15. mars sl. með vísan í 4. tl. 2. gr. laganna."
Í svarbréfinu kemur afstaða Alcan á Íslandi hf. til þess, hvort félagið teljist ábyrgðaraðili þeirra upplýsinga sem varðveittar voru hjá aðstandendum kerfisins „kosningavelin.net," fram með eftirfarandi hætti:
„Allar upplýsingar sem skráðar voru af starfsmönnum umbjóðanda míns, bæði þær sem falla undir b- og c-lið hér að ofan voru varðveittar hjá aðstandendum vefsins „kosningavelin.net." Þannig voru engar upplýsingar varðveittar hjá umbjóðanda mínum sjálfum. Þær upplýsingar sem umbjóðandi minn fékk aðgang að frá GSP voru eðli málsins samkvæmt jafnframt vistaðar hjá aðstandendum vefsins „kosningavelin.net." Hér vísast því til þess sem kemur fram undir lið I. hér að ofan."
Undir lið I. er í fyrsta lagi fjallað um upplýsingar um nöfn og símanúmer viðmælenda, sem eins og áður segir eru ekki til umfjöllunar hér, í öðru lagi upplýsingar sem voru aðgengilegar starfsmönnum Alcan á Íslandi hf. á tímabilinu 10.-15. mars sl., sbr. hér að ofan, og í þriðja lagi upplýsingar um svör viðmælenda sem starfsmenn Alcan á Íslandi hf. skráðu niður eftir 15. mars og urðu, að sögn félagsins, ópersónugreinanlegar. Það hefur ekki verið staðreynt. Um síðastnefndu upplýsingarnar segir í svarbréfinu:
„Um leið og starfsmenn umbjóðanda míns skráðu upplýsingar inn í gagnagrunn urðu þær ópersónugreinanlegar, að undanskildu því tímabili sem fjallað er um í lið c. [10.-15. mars, innsk. Persónuverndar] Þannig vistuðust aðeins tölfræðilegar upplýsingar og upplýsingar um hverja hafði verið hringt í.
Lög nr. 77/2000 ná aðeins til persónuupplýsinga, en skv. 1. tl. 2. gr. laganna eru persónuupplýsingar sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða. Þar sem upplýsingar þær sem starfsmenn umbjóðanda míns skráðu í gagnagrunninn voru aftengdar viðmælendum við skráningu og ekki lengur hægt að persónugreina svör þeirra er ljóst að vernd laganna nær ekki yfir þessa athöfn starfsmanna umbjóðanda míns. Það er því ekki hægt að tala um sérstakan ábyrgðaraðila hvað þessar upplýsingar varðar."
Í svarbréfinu er því ekki tekin afstaða til þess hvort Alcan á Íslandi hf. hafi talist ábyrgðaraðili þeirra persónuupplýsinga sem sannanlega voru varðveittar hjá aðstandendum kerfisins á tímabilinu 10.-15. mars. Ekki er heldur tekin afstaða til þess hvort aðstandendum kerfisins sé heimilt að ráðstafa upplýsingum sem söfnuðust að eigin vild, s.s. afhenda þær öðrum, birta þær opinberlega eða eyða þeim, heldur er vísað til þess að upplýsingarnar hafi, eftir 15. mars, verið ópersónugreinanlegar og að eftir því sem bréfritari best veit hafi þeim verið eytt 31. mars sl. Af því tilefni skal tekið fram að í tölvubréfi Sævars Guðmundssonar til Persónuverndar, dags. 2. apríl sl., segir að senn líði að því að upplýsingunum verði eytt og er því ljóst að misvísandi upplýsingar hafa borist um þetta atriði.
IV.
Samkvæmt 4. tölul. 2. gr. laga nr. 77/2000 telst ábyrgðaraðili að vinnslu persónuupplýsinga vera sá aðili sem ákveður tilgang vinnslunnar, þann útbúnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Í athugasemdum í greinargerð með frumvarp því er varð að lögum nr. 77/2000 segir að átt sé við þann aðila sem hefur ákvörðunarvald um vinnslu persónuupplýsinga og að jafnvel þótt slíkur aðili feli öðrum meðferð upplýsinganna beri hann ábyrgðina, svo fremi hann hafi áfram ákvörðunarvaldið. Vinnsluaðili er hins vegar sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Í athugasemdum í greinargerð með ofannefndu frumvarpi segir að vinnsluaðili geti t.d. verið aðili sem sér um að þróa upplýsingakerfi eða gera við og viðhalda tölvuhugbúnaði.
Um samband ábyrgðaraðila og vinnsluaðila er nánar kveðið í 13. gr. laga nr. 77/2000, en þar kemur fram að ábyrgðaraðila sé heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laga nr. 77/2000. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmd viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Slíkur samningur skal vera skriflegur og þar skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast.
Í málinu liggur fyrir að ákvörðun um upplýsingaöflun þá sem hér um ræðir var tekin af Alcan á Íslandi hf. og var hún hluti af kosningabaráttu félagsins vegna fyrirhugaðrar stækkunar álversins í Straumsvík. Starfsmenn félagsins öfluðu upplýsinganna, skráðu sig inn á vefsíðu með notendanafni og lykilorði sem félagið hafði úthlutað þeim og færðu upplýsingarnar þar inn. Í svarbréfi Hjördísar Halldórsdóttur hdl. f.h. Alcan á Íslandi hf., dags. 23. mars sl., kemur fram að tölfræðiupplýsingar sem söfnuðust skyldu notaðar til að gefa félaginu mynd af afstöðu kjósenda til stækkunar álversins í Straumsvík fram að kosningum, en eftir þann tíma yrði þeim eytt. Í bréfinu kemur einnig fram að breytingar hafi verið gerðar á tilhögun upplýsingaöflunarinnar 15. og 21. mars sl. Í bréfi Hjördísar frá 28. mars sl. kemur fram að þær breytingar hafi verið gerðar með því að beiðni um þær hafi verið sendar frá Alcan á Íslandi hf. til GSP almannatengsla og þaðan hafi beiðnum verið beint til aðstandenda kerfisins.
Af framangreindu er ljóst að Alcan á Íslandi hf. fór með ákvörðunar- og ráðstöfunarvald þeirra persónuupplýsinga sem söfnuðust í upplýsingaöflun félagsins og telst því bera ábyrgð á því að vinnsla þeirra og meðferð sé í samræmi við ákvæði laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Gildir þetta bæði um upplýsingarnar eins og þær birtust í notendaviðmóti sem starfsmenn Alcan á Íslandi hf. höfðu aðgang að og eins og þær voru skráðar voru skráðar hjá aðstandendum kerfisins „kosningavelin.net," en ljóst er að þar voru persónuupplýsingar varðveittar a.m.k. á tímabilinu 10.-15. mars sl. og ekki hefur verið gengið úr skugga um hvort svo hafi verið eftir þann tíma. Aðstandendur kerfisins „kosningavelin.net" teljast aftur á móti vera vinnsluaðilar í skilningi 5. tölul. 2. gr. laga nr. 77/2000.
Ú r s k u r ð a r o r ð :
Alcan á Íslandi hf. telst vera ábyrgðaraðili þeirra persónuupplýsinga sem söfnuðust í upplýsingaöflun félagsins í tengslum við kosningar um stækkun álversins í Straumsvík. Gildir þetta bæði um upplýsingarnar eins og þær birtust í notendaviðmóti sem starfsmenn Alcan á Íslandi hf. höfðu aðgang að og eins og þær voru skráðar voru skráðar hjá aðstandendum kerfisins „kosningavelin.net."