Úrskurður Persónuverndar í máli er varðar vinnslu persónuupplýsinga vegna könnunar Alcan á Íslandi
Hinn 5. október sl. komst Persónuvernd að niðurstöðu í máli er varðar vinnslu persónuupplýsinga í tengslum við könnun Alcan á Íslandi hf. á afstöðu Hafnfirðinga til stækkunar álversins í Straumsvík.
Tildrög málsins voru þau að Persónuvernd bárust símtöl frá starfsmönnum Alcan á Íslandi hf. (hér eftir nefnt Alcan). Þeir greindu frá því að starfsmenn félagsins hefðu fengið tilmæli um að safna upplýsingum um a.m.k. 10 nágranna sína eða vini, þ.e. um skoðanir þeirra á fyrirhugaðri stækkun álversins í Straumsvík. Að eigin sögn vildu mennirnir ekki leggja inn erindi í sínu nafni af ótta við uppsögn.
Í niðurstöðu Persónuverndar kemur fram að skv. 1. tölul. 1. mgr. 7. gr. laga um persónuvernd skuli persónuupplýsingar unnar með sanngjörnum, málefnalegum og lögmætum hætti og að ef vinnsla persónuupplýsinga eigi að vera með sanngjörnum hætti verði hinn skráði að geta fengið vitneskju um að skráning persónuupplýsinga og önnur vinnsla fari fram. Í þessu felist því skilyrði um ákveðinn fyrirsjáanleika og gagnsæi skráningar og vinnslu persónuupplýsinga. Meðal annars beri að veita fræðslu um það hver standi fyrir öflun upplýsinga, í hvaða tilgangi, hvað sé skráð og hvernig varðveislu sé hagað.
Þetta ákvæði sé í nánum tengslum við 20. gr. laganna sem fjallar um fræðsluskyldu þegar afla skal upplýsinga hjá hinum skráða sjálfum. Þar er kveðið á um að fræða skuli hinn skráða um nánar tiltekin atriði, þ. á m. upplýsingar að því marki sem þær séu nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríki við vinnslu upplýsinganna, svo hann geti gætt hagsmuna sinna. Þetta felur í sér jákvæða athafnaskyldu sem hvílir á ábyrgðaraðila vinnslunnar. Í málinu liggi fyrir að Alcan hafi ekki gert ráðstafanir til þess að tryggja að menn fengju fræðslu og því hafi söfnun Alcan á upplýsingum um skoðanir einstakra íbúa í Hafnarfirði brotið í bága við ákvæði laga um persónuvernd.
Úrskurður
Á fundi sínum hinn 5. október 2007 komst stjórn Persónuverndar að eftirfarandi niðurstöðu í máli nr. 2007/258:
I.
Málavextir og bréfaskipti
1.
Dagana 14. og 15. mars 2007 bárust Persónuvernd símtöl frá starfsmönnum Alcan á Íslandi hf. (hér eftir nefnt Alcan). Þeir greindu frá því að starfsmenn félagsins hefðu fengið tilmæli um að safna upplýsingum um a.m.k. 10 nágranna sína eða vini, þ.e. um skoðanir þeirra á fyrirhugaðri stækkun álversins í Straumsvík. Að eigin sögn vildu mennirnir ekki leggja inn erindi í sínu nafni af ótta við uppsögn.
Hinn 15. mars ræddi starfsmaður Persónuverndar við Gunnar Guðlaugsson framkvæmdastjóra Alcan. Hann skýrði frá því að starfsmönnum hefði verið boðið að hringja í vini og ættingja, spyrja um afstöðu þeirra til stækkunar og skrá svörin í tiltekið upplýsingakerfi. Kvað hann Alcan hafa fengið aðgang að umræddu kerfi fyrir milligöngu almannatengslafyrirtækis. Sú skrá sem lögð væri til grundvallar úthringinga væri kjörskráin í Hafnarfirði. Einnig kom fram að starfsmönnum hefði ekki verið leiðbeint sérstaklega um að upplýsa viðmælendur sína um að svör þeirra yrðu skráð.
Persónuvernd þótti þetta gefa tilefni til frekari athugunar og með bréfi, dags. 15. mars sl., óskaði hún nánari upplýsinga. Svör bárust, fyrir hönd félagsins, með bréfi Hjördísar Halldórsdóttur hdl., dags. 23. mars sl. Þar kemur fram að starfsmenn Alcan hafi hringt heiman frá sér eða úr vinnunni og spurt vini og ættingja um afstöðu þeirra til stækkunar álversins í Straumsvík. Í bréfinu segir m.a að byrjað hafi verið á úthringingum 10. mars og fram til 15. mars 2007 hafi þeir sem haft hafi aðgang að kerfinu getað skoðað svör einstakra svarenda. Eftir það hafi kerfinu verið breytt. Kemur fram að starfsmönnum hafi ekki verið leiðbeint sérstaklega um að upplýsa viðmælendur um að svör þeirra yrðu skráð niður, þ.e. ekki fyrr en eftir að félaginu barst erindi Persónuverndar vegna málsins.
2.
Með bréfi, dags. 26. mars 2007, boðaði Persónuvernd að fulltrúar hennar myndu koma í vettvangsheimsókn á starfsstöð Alcan til frekari gagnaöflunar. Í bréfinu var þess óskað að viðstaddir yrðu aðilar sem gætu upplýst hvernig staðið væri að upplýsingavinnslunni.
Í vettvangsheimsókninni var fulltrúum Persónuverndar sýnt viðmót upplýsingakerfisins. Kom fram að þeir sem hannað hefðu kerfið hétu A og B. Þeir voru ekki viðstaddir. Viðstaddur var framkvæmdastjóri fyrirtækisins, lögmaður þess, Hjördís Halldórsdóttir, hdl., og nokkrir starfsmenn. Starfsmaður Alcan sýndi fulltrúum Persónuverndar hvernig kerfið væri notað, m.a. til þess að koma í veg fyrir að hringt væri oftar en einu sinni í sama einstaklinginn. Merkingar á listum gáfu til kynna hvort búið væri að hringja í viðkomandi, hvort hann hefði ekki svarað í símann og hvort ekki mætti hringja í hann vegna bannmerkingar. Þá kom fram hvort hann væri á úthringilista hjá einhverjum öðrum starfsmanni. Auk þess voru upplýsingar um hversu marga einstaklinga tilteknir starfsmenn hefðu hringt í.
Fram kom að á tímabilinu 10.-15. mars 2007 hefðu vefstjórar getað séð persónugreinanleg svör við tveimur spurningum. Annars vegar um hvað hefði mest áhrif á afstöðu viðmælanda til stækkunar álversins í Straumsvík og voru veittir fimm svarmöguleikar, þ.e. „fjárhagsleg og efnahagsleg áhrif“, „loftmengun“, „sjónmengun“, „of nálægt byggð“ og „virkjanamál/orkuöflun“. Hins vegar um hvort viðmælandi gerði ráð fyrir að styðja stækkun álversins og voru veittir fjórir svarmöguleikar, þ.e. „já“, „nei“, „vantar upplýsingar“ og „hef ekki gert upp hug minn“.. Framangreind svör voru ennþá skráð í kerfið, en virtust ekki lengur sýnileg.
Ekki var, með óyggjandi hætti, hægt að sjá hvort til enn væru til skráðar upplýsingar um einstök svör, þ.e. hvort þau væru rekjanleg til einstakra svarenda. Leiðbeindi lögmaður Alcan fulltrúum Persónuverndar um að leita nánari skýringa hjá þeim A og B. Þessa ábendingu ítrekaði lögmaðurinn með bréfi sama dag. Þar segir:
„Þá er Persónuvernd hvött til að afla upplýsinga um tæknilega hlið á kerfinu frá aðstandendum þess, þar með talið um þýðingu einstakra merkinga í töflum sem ekki eru aðgengilegar umbjóðanda mínum og eru meðfylgjandi tilvitnuðum tölvupósti. Er Persónuvernd sérstaklega hvött til að afla staðfestingar á því sem undirrituð hefur verið upplýst um að hálfu [B], það er að tilvist „id“ númera í annarri töflunni leiði ekki til þess að unnt sé að nota þau númer til að persónutengja svör.“
3.
Starfsmenn Persónuverndar höfðu samdægurs samband við B, bæði símleiðis og með tölvupósti, í því skyni að koma á fundi með honum og framkvæma athugun. B vildi einungis svara spurningum skriflega en var þá tjáð að Persónuvernd þyrfti að skoða kerfið. Í tölvubréfi frá honum, dags. 30. mars 2007, segir hann að sér hafi verið „heimilað“ að veita Persónuvernd tímabundinn aðgang. Sá aðgangur sem hann veitti reyndist hins vegar aðeins vera að sambærilegu viðmóti og fulltrúar Persónuverndar höfðu þegar séð í vettvangsheimsókninni til Alcan. B var skýrt frá því en frekari tilraunir Persónuverndar til að fá nauðsynlegar skýringar og gögn skiluðu ekki árangri. Óskin var ítrekuð alls fjórum sinnum. Í tölvupósti sem Persónuvernd sendi honum þann 2. apríl 2007 sagði m.a.:
„Gætið þess [?] vandlega að varðveita allt. Mikilvægt er að engin gögn skemmist eða glatist, sem skýra málið.„
Í bréfi Persónuverndar til lögmanns Alcan, dags. 12. júní, sagði m.a.:
„Í tölvubréfi frá [B], dags. 30. mars sl., segir að honum hefði verið „heimilað“ að veita Persónuvernd tímabundinn aðgang að kerfinu. Þar var hins vegar um að ræða aðgang að viðmóti fyrir almennan notanda annars vegar og vefstjóra hins vegar, sem Alcan hafði þegar sýnt fulltrúum Persónuverndar í vettvangsheimsókninni tveimur dögum fyrr, en ekki aðgang að þeim tæknilegu upplýsingum sem þörf var talin á til að staðreyna hvort upplýsingar varðveittar hjá aðstandendum kerfisins væru rekjanlegar til einstaklinga.“ [Leturbr. Persónuverndar]
4.
Af hálfu lögmanns Alcan var því haldið fram að félagið væri ekki ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fram fór í tengslum við skoðanakönnunina. Hinn 3. maí 2007 komst stjórn Persónuverndar að þeirri niðurstöðu að vegna þessa þyrfti, áður en skorið yrði úr því hvort ákvæði laga nr. 77/2000 hefðu verið brotin við gerð skoðanakönnunarinnar, að skera úr um hvort Alcan væri ábyrgðaraðili – enda hefði það áhrif á hverjum stæði næst að veita Persónuvernd umbeðnar upplýsingar. Þann 26. júní 2007 kvað stjórnin upp úrskurð þess efnis að Alcan væri ábyrgðaraðili vinnslunnar.
Í úrskurðinum var vísað til þess að ákvörðun um öflun upplýsinganna var tekin af Alcan, að starfsmenn félagsins öfluðu þeirra, skráðu þær í kerfi sem félagið úthlutaði þeim og að ákvarðanir um breytingar á tilhögun upplýsingaöflunarinnar hefðu einnig verið teknar af Alcan.
5.
Með bréfi, dags. 18. júlí sl., krafði Persónuvernd Alcan um aðgang að þeim gögnum sem hún hafði hvorki fengið í framangreindri vettvangsheimsókn né hjá þeim aðilum sem Alcan hafði bent Persónuvernd á að snúa sér til. Í bréfinu er vísað til 38. gr. laga nr. 77/2000, þar sem m.a. er kveðið á um að Persónuvernd geti krafið ábyrgðaraðila, vinnsluaðila og þá sem starfa á þeirra vegum um allar þær upplýsingar sem henni eru nauðsynlegar til að rækja hlutverk sitt, þar á meðal þær upplýsingar sem hún þarf til að geta metið hvort tiltekin starfsemi eða vinnsla falli undir ákvæði laganna.
Með tölvubréfum, dags. 16. ágúst og 4. sept. sl., bárust Persónuvernd síðan upplýsingar frá [B], um að öllum gögnum hafi verið eytt hinn 23. júní sl. Hann vísaði á vefslóð til aðgangs að gagnagrunninum og staðfesti athugun Persónuverndar að þar voru engar töflur og þar af leiðandi engin gögn. Hefur því verið eytt þeim gögnum sem Persónuvernd þurfti á að halda til að ganga úr skugga um hvort persónugreinanlegar upplýsingar væru í gagnagrunninum.
6.
Með bréfi, dags. 6. september sl., bar Persónuvernd þær upplýsingar sem hún hafði fengið frá B undir lögmann Alcan. Spurði Persónuvernd einnig um afstöðu félagsins til þess hvort vinnsla þess á persónuupplýsingum í tengslum við umrædda könnun hafi verið í samræmi við ákvæði laga nr. 77/2000.
Hinn 11. september sl. barst Persónuvernd tölvubréf Hjördísar Halldórsdóttur hdl. þar sem segir m.a.:
„Ekki var óskað eftir neinum gögnum í heimsókn Persónuverndar til Alcan sem ekki voru afhent á staðnum, hvað þá að ítrekað hafi verið óskað eftir þeim síðan. Og ekki var óskað eftir gögnum sem staðreyndu að um ópersónugreinanlegar upplýsingar væri að ræða fyrr en töluverðum tíma eftir að Alcan hafði tilkynnt, eftir bestu vitund og upplýsingum frá [B], að þeim yrði eytt sama dag og kosning færi fram. Þetta kom fram í bréfi LOGOS 28. mars 2007 og fyrst þann 18. júlí 2007 er Alcan kynnt að Persónuvernd vilji fá aðgang að þessum gögnum og óski eftir aðkomu Alcan að skoðun þeirra!“
Í bréfi Persónuverndar, dags. 20. september 2007, var þess óskað að greint yrði frá samskiptum Alcan við B, m.a. um meðferð gagnanna. Afrit var sent honum.
Þann 24. september sendi B Persónuvernd tölvubréf. Þar lýsir hann m.a. aðkomu sinni að upplýsingaöfluninni á þann veg að hans þáttur hafi einungis lotið að því að útvega kerfi með nöfnum Hafnfirðinga sem hafi haft þann innbyggða möguleika að inn í það hafi verið hægt að leggja spurningar sem birtust við nafn hvers og eins. Þeir sem stjórnað hafi úthringingum fyrir Alcan hafi haft fulla stjórn og séð að öllu leyti um hvaða spurninga væri spurt. Hann hafi hvergi komið að því að leggja fram spurningar um persónuleg málefni fólks. Persónuvernd sendi afrit af tölvubréfinu til Alcan og lögmanns þess til kynningar.
Í bréfi lögmanns Alcan, dags. 26. september sl., er afstaða félagsins til eyðingar gagna rakin og því andmælt að Persónuvernd hafi fyrir 18. júlí sl. óskað eftir gögnum til að staðreyna hvort skráðar upplýsingar væru rekjanlegar eða ekki. Einnig kemur fram afstaða félagsins til lögmætis þeirra vinnslu persónuupplýsinga sem fram fór í tengslum við könnun á viðhorfi Hafnfirðinga til stækkunar álversins í Straumsvík.
II.
Forsendur og niðurstaða
1.
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og handvirka vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.
Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, sbr. 1. tölul. 2. gr. laganna. Hugtakið tekur þannig ekki einungis til upplýsinga sem merktar eru persónuauðkennum, s.s. nafni eða kennitölu, heldur einnig til upplýsinga sem hægt er að rekja til einstaklings á grundvelli greiningarlykils eða tilvísunarnúmers sem tengt er slíkum auðkennum. Vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Undir hugtakið falla m.a. söfnun, skráning, varðveisla, eyðing, afmáun, eyðilegging og aftenging persónuupplýsinga. Af framangreindu er ljóst að söfnun og skráning persónuupplýsinga um afstöðu einstaklinga til stækkunar álversins í Straumsvík, og hvers konar eftirfarandi meðferð þeirra, er vinnsla persónuupplýsinga í skilningi laga nr. 77/2000 og fellur þar með undir valdsvið Persónuverndar að skera úr um lögmæti hennar.
Á tímabilinu 10.-15. mars 2007 voru skráðar persónuupplýsingar um afstöðu einstakra manna til fyrirhugaðrar stækkunar álversins. Af hálfu Alcan hefur því verið haldið fram að eftir þann tíma hafi a) fyrirliggjandi upplýsingar verið gerðar ópersónugreinanlegar og b) síðar skráðar upplýsingar hafi aldrei verið persónugreinanlegar. Nú liggur hins vegar fyrir að eytt hefur verið þeim gögnum sem Persónuvernd voru nauðsynleg til að ganga úr skugga um réttmæti þessarar fullyrðingar.
2.
Samkvæmt 1. tölul. 1. mgr. 7. gr. skal þess gætt að persónuupplýsingar séu unnar með sanngjörnum, málefnalegum og lögmætum hætti. Ákvæði þetta er sett til samræmis við a-lið 1. mgr. 6. gr. tilskipunar 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Í formálsorðum tilskipunarinnar er þessi krafa skýrð nánar, en í 38. lið þeirra segir m.a. að ef vinnsla persónuupplýsinga eigi að vera með sanngjörnum hætti verði hinn skráði að geta fengið vitneskju um að skráning persónuupplýsinga og önnur vinnsla fari fram. Í þessu felst því skilyrði um ákveðinn fyrirsjáanleika og gagnsæi skráningar og vinnslu persónuupplýsinga. Meðal annars ber að veita fræðslu um það hver standi fyrir öflun upplýsinga, í hvaða tilgangi, hvað sé skráð og hvernig varðveislu sé hagað.
Ákvæði 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 er þannig í nánum tengslum við 20. gr. laganna sem fjallar um fræðsluskyldu þegar afla skal upplýsinga hjá hinum skráða sjálfum. Þar er kveðið á um að fræða skuli hinn skráða um nánar tiltekin atriði, þ. á m. upplýsingar að því marki sem þær séu nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríki við vinnslu upplýsinganna, svo hann geti gætt hagsmuna sinna. Þetta felur í sér jákvæða athafnaskyldu sem hvílir á ábyrgðaraðila vinnslunnar. Fyrir liggur að Alcan gerði ekki ráðstafanir til þess að tryggja að menn fengju fræðslu sem mælt er fyrir um í framangreindu ákvæði.
Samkvæmt framanrituðu fór fyrrgreind söfnun Alcan á upplýsingum um skoðanir einstakra íbúa í Hafarfirði í bága við 1. tölul. 1. mgr. 7. gr. og 20. gr. laga nr. 77/2000.
3.
Samkvæmt 38. gr. laga nr. 77/2000 getur Persónuvernd krafið ábyrgðaraðila, vinnsluaðila og þá sem starfa á þeirra vegum um allar þær upplýsingar og skriflegar skýringar sem henni eru nauðsynlegar til þess að rækja hlutverk sitt.
Rannsókn Persónuverndar í málinu beindist að því að kanna að hvaða marki þær upplýsingar, sem unnar voru af hálfu Alcan um skoðanir Hafnfirðinga á stækkun álversins, hefðu verið rekjanlegar til einstakra manna.
Í tilefni af tölvupósti frá B, vinnsluaðila Alcan, til Persónuverndar, dags. 2. apríl 2007, þar sem fram kom að senn liði að því að upplýsingum um viðhorf íbúa Hafnarfjarðar yrði eytt, var honum strax sendur tölvupóstur þar sem skýrt var tekið fram að ekki mætti eyða gögnum sem kynnu að varpa ljósi á málið. Engu að síður var öllum gögnum eytt hin 23. júní 2007. Staðfesting þar að lútandi barst Persónuvernd ekki fyrr en 4. september 2007. Í máli þessu er þáttur B ekki til úrlausnar.
Þar sem Alcan, sjálfum ábyrgðaraðila vinnslunnar, eða lögmanni Alcan, var hins vegar ekki sent sérstakt bréf fyrir 23. júní 2007, þar sem áréttað var að ekki mætti eyða gögnunum, telur stjórn Persónuverndar að eins og málið liggur fyrir verði ekki fullyrt að Alcan hafi brotið ákvæði 38. gr. laga nr. 77/2000.
Úrskurðarorð:
Alcan á Íslandi hf. gætti ekki lögboðinnar fræðsluskyldu þegar könnun var gerð á þess vegum á skoðunum Hafnfirðinga á fyrirhugaðri stækkun álversins í Straumsvík, dagana 10.-15. mars 2007.