Öryggi persónuupplýsinga hjá Akraneskaupstað
Mál nr. 2017/947
Persónuvernd hefur úrskurðað um að öryggi persónuupplýsinga hjá Akraneskaupstað við sendingu gagna til málsaðila í barnaverndmáli hafi verið ábótavant. Kvartað var yfir því að bréf sem innihélt mikið magn viðkvæmra persónuupplýsinga, þ. á m. viðkvæmar persónuupplýsingar, hafi verið afhent nágranna kvartanda. Í svörum ábyrgðaraðila segir að bréfið hafi verið afhent kærasta kvartanda, en engin gögn eru sönnunar sökum þess að ekki var kvittað fyrir móttöku. Af þeim sökum var talið að Akraneskaupstaður verði að bera hallann á því að ekki liggi fyrir gögn um afhendingu bréfsins og komist var að þeirri niðurstöðu að vinnslan hafi ekki samrýmst öryggiskröfum persónuverndarlaga nr. 77/2000.
Úrskurður
Á fundi stjórnar Persónuverndar þann 31. janúar 2019 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/947:
I.
Málsmeðferð
1.
Tildrög máls
Þann 19. júní 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) yfir meðferð Akraneskaupstaðar á persónuupplýsingum um hana. Í kvörtuninni segir m.a. að þann 12. júní 2017 hafi bréf til hennar verið afhent af hálfu leigubílstjóra til nágranna kvartanda. Tilviljun ein hafi ráðið því að kærasti kvartanda var utandyra og varð vitni að því þegar leigubílstjórinn afhenti nágrannanum bréfið, en í kjölfarið hafi hann tekið við því frá nágrannanum. Í kvörtun segir einnig að í bréfinu hafi m.a. verið mikið magn persónuupplýsinga, þ. á m. upplýsingar um heilsuhagi og lögregluskýrslur, en bréfið hafi verið merkt sem trúnaðarmál með rauðum stöfum og flest skjölin í bréfinu hafi einnig verið merkt með sama stimpli.
Með kvörtun fylgdu einnig tölvupóstsamskipti milli kvartanda og Akraneskaupstaðar. Í tölvupósti frá Akraneskaupstað frá 14. júní 2017 segir m.a. að bréfið hafi verið afhent manni að nafni [B] og að gert sé ráð fyrir að hann sé sambýlismaður hennar. Í svari kvartanda við tölvupóstinum er spurt hvenær kærastinn á að hafa gefið upp nafn sitt þegar hann tók við bréfinu. Í svari Akraneskaupstaðar segir þá að þetta séu upplýsingar frá þeim starfsmanni sem afhenti bréfið.
2.
Bréfaskipti
Með bréfi, dags. 10. ágúst 2018, var Akraneskaupstað boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf Akraneskaupstaðar er dagsett 11. september 2017. Í svarbréfinu segir að þegar um sé að ræða boðun málsaðila á fund barnaverndarnefndar sé gögnum ýmist komið í hendur málsaðila á bæjarskrifstofu kaupstaðarins eða þau keyrð beint heim til viðkomandi af þjónustuaðila sem annast hefur þennan þátt undanfarin ár, en viðkomandi starfar sem leigubílstjóri á Akranesi. Einnig segir að ef gögnin séu keyrð til málsaðila sé reynt eftir fremsta megni að koma gögnum beint í hendur málsaðila. Ef ekki sé mögulegt að afhenda málsaðila gögnin séu þau afhent öðrum heimilismanni og viðkomandi beðinn um að koma þeim í hendur málsaðila, en í bréfinu segir að þetta heyri til undantekninga en komi þó fyrir. Gögn séu afhent í lokuðu umslagi, merktu málsaðila, og umslagið merkt trúnaðarmál. Þá segir að fulltrúar félagsþjónustunnar kalli eftir upplýsingum frá þjónustuaðilanum um hvort afhending hafi tekist og um framkvæmdina almennt. Einnig segir að almenn regla sé að kvittað sé fyrir móttöku, en í þessu tiltekna tilviki hafi það fyrirfarist sökum þess að eyðublað var ekki meðfylgjandi. Þá segir að varðandi birtingu fyrir málsaðilum hafi verið höfð hliðsjón af þeim reglum sem gilda um birtingar stefnuvotta.
Með bréfi, dags. 10. október 2017, ítrekuðu með bréfi, dags. 4. desember s.á., var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Akraneskaupstaðar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Ekkert svar barst frá kvartanda.
Með bréfi, dags. 2. maí 2018, var óskað eftir frekari upplýsingum frá Akraneskaupstað. Óskað var eftir upplýsingum um það meðal annars hvort til væru skriflegar verklagsreglur um sendingu bréfa, auk afrits gagna sem til væru um framangreint. Með tölvupósti þann 9. s.m. óskaði Akraneskaupstaður eftir fresti til að koma á framfæri athugasemdum til 23. s.m. Engin svör bárust og var erindi Persónuverndar því ítrekað með tölvupósti þann 18. júní s.á. og með bréfi, dags. 11. september s.á. Engin frekari svör hafa borist frá Akraneskaupstað.
II.
Forsendur og niðurstaða
1.
Lagaskil
Mál þetta varðar kvörtun sem barst Persónuvernd þann 19. júní 2017 og lýtur að atvikum sem gerðust fyrir gildistöku núgildandi laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, þann 15. júlí 2018. Umfjöllun og efni þessa úrskurðar byggjast því á ákvæðum eldri laga, nr. 77/2000. Athygli er þó vakin á því að í núgildandi lögum nr. 90/2018 eru gerðar auknar kröfur til ábyrgðaraðila er varða öryggi persónuupplýsinga.
2.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Akraneskaupstaður vera ábyrgðaraðili að umræddri vinnslu.
3.
Öryggi persónuupplýsinga
Öll vinnsla persónuupplýsinga þarf að samrýmast meginreglum 7. gr. laga nr. 77/2000. Samkvæmt 1. tölul. 1. mgr. 7. gr. skal þess gætt við meðferð persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Liður í því að tryggja vandaða vinnsluhætti er að uppfylla kröfur um upplýsingaöryggi. Í upplýsingaöryggi felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi en að þær séu jafnframt aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda. Ákvæði um öryggi er í 11. gr. laga nr. 77/2000, en samkvæmt því skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. ákvæðisins. Meðal þess sem getur þurft að líta til í því sambandi er hvort ábyrgðarðili er bundinn þagnarskyldu eða falli undir sambærilegar reglur, en það á við um barnaverndarnefndir og starfsfólk þeirra, sbr. 9. gr. upplýsingalaga nr. 140/2012 og 2. mgr. 57. gr. sveitarstjórnarlaga nr. 138/1998. Þá getur reynt á hvort gögn séu þess eðlis að tryggja eigi sönnun fyrir móttöku þeirra.
Í bréfi Akraneskaupstaðar segir að horft hafi verið til þeirra reglna sem gilda um birtingar stefnuvotta. Um það efni gildir 85. gr. laga nr. 19/1991 um meðferð einkamála. Í 2. mgr. þeirrar greinar er mælt fyrir um þá meginreglu að stefnu skuli birta fyrir stefnda sjálfum á skráðu lögheimili hans eða þar sem hann hefur fasta búsetu, dvalarstað eða vinnustað. Eins og fram kemur í 3. mgr. ákvæðisins er birting einnig lögmæt sé stefna birt á skráðu lögheimili stefnda fyrir heimilismanni hans. Þá kemur þar fram að sé heimilismanns ekki kostur má birta fyrir þeim sem dvelst á skráðu lögheimili stefnda, en sé heldur ekki um neinn slíkan að ræða má birta fyrir þeim sem hittist þar fyrir.
4.
Niðurstaða
Persónuvernd telur að í ljósi eðlis þess málaflokks sem barnaverndarnefndir fara með kunni að vera eðlilegt að afhenda gögn í slíkum málum á sambærilegan hátt og þegar stefna er birt af stefnuvotti, að því undanskildu þó að ekki getur verið til staðar svigrúm til að afhenda gögnin óviðkomandi einstaklingi sem hittist fyrir á lögheimili hlutaðeigandi með svipuðum hætti og gerst getur við stefnubirtingar. Í kvörtun segir að umrætt bréf hafi verið afhent nágranna kvartanda, sem hafi afhent það kærasta hennar sem hafi komið því til kvartanda, en í skýringum Akraneskaupstaðar segir að bréfið hafi verið afhent kærasta kvartanda. Jafnframt segir í skýringum kaupstaðarins að ekki hafi verið kvittað fyrir móttöku þar sem viðeigandi eyðublað hafi ekki fylgt með og sé því ekki hægt að skera úr um með fullnægjandi hætti hverjum bréfið var afhent. Stendur því orð gegn orði um það atriði og ber að telja Akraneskaupstað verða að bera hallann af því að ekki liggi fyrir gögn um afhendingu bréfsins.
Samkvæmt þessu er niðurstaða Persónuverndar sú að vinnsla Akraneskaupstaðar á persónuupplýsingum um kvartanda hafi ekki fullnægt öryggiskröfum laga nr. 77/2000. Eigi síðar en 1. mars næstkomandi skal Akraneskaupstaður senda Persónuvernd verklagsreglur um birtingu upplýsinga fyrir málsaðilum í barnaverndarmálum.
Mál þetta hefur tafist vegna mikilla anna Persónuverndar.
Ú r s k u r ð a r o r ð:
Vinnsla Akraneskaupstaðar á persónuupplýsingum um kvartanda samrýmdist ekki öryggiskröfum laga nr. 77/2000.
Eigi síðar en 1. mars næstkomandi skal Akraneskaupstaður senda Persónuvernd verklagsreglur um birtingu upplýsinga fyrir málsaðilum í barnaverndarmálum sem samrýmast kröfum laga nr. 90/2018.