Úrlausnir

Öryggi bréfsendingar frá sýslumanninum á höfuðborgarsvæðinu

Mál nr. 2018040785

26.2.2020

Persónuvernd hefur úrskurðað um að vinnsla sýslumannsembættisins á höfuðborgarsvæðinu við útsendingu bréfs, sem varðaði mál sem kvartandi var með til meðferðar hjá embættinu, í almennum bréfpósti hafi ekki brotið gegn ákvæðum 1. tölul. 1. mgr. 7. gr., sbr. einnig 11. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Bréfið var hins vegar sent kvartanda á rangt heimilisfang þrátt fyrir að kvartandi hafði tilkynnt sýslumannsembættinu um nýtt heimilisfang sitt áður en umrætt bréf var sent honum á eldra heimilisfang. Var því talið að við sendingu bréfsins hafi ekki verið gætt nægjanlega að kröfum 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um að persónuupplýsingar skuli vera áreiðanlegar og uppfærðar eftir þörfum. Þær kröfur feli meðal annars í sér að tengiliðaupplýsingar málsaðila skuli ávallt vera uppfærðar svo persónuupplýsingum verði ekki miðlað til óviðkomandi aðila. Þá var sérstaklega talið að gæta beri að áreiðanleika tengiliðaupplýsinga í þeim tilvikum þar sem málsmeðferðartími getur verið langur.

Úrskurður


Hinn 6. febrúar 2020 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2018040785

I.

Málsmeðferð

1.

Kvörtun og málsmeðferð

Hinn 25. apríl 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) vegna bréfsendinga sýslumannsins á höfuðborgarsvæðinu með almennum pósti.

Með bréfi, dagsettu 26. júlí 2018, var embætti sýslumannsins á höfuðborgarsvæðinu tilkynnt um framangreinda kvörtun og boðið að tjá sig um hana. Svarað var af hálfu embættisins með bréfi, dags. 7. september s.á., en meðfylgjandi var afrit af bréfi embættisins til kvartanda, dags. 11. júní 2018. Með bréfi, dags. 5. október 2018, var kvartanda boðið að tjá sig um svar sýslumannsembættisins. Kvartandi svaraði með tölvupósti, dags. 27. mars 2019. Með tölvupósti, dags. 13. maí 2019, var óskað nánari skýringar kvartanda á efni kvörtunarinnar. Kvartandi svaraði með tölvupósti, dags. 13. júní s.á. Með bréfi, dags. 7. nóvember 2019, óskaði Persónuvernd eftir frekari upplýsingum frá embætti sýslumannsins á höfuðborgarsvæðinu um efni þess bréfs sem kvörtunin tekur til. Embættið svaraði með bréfi, dags. 3. desember s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna og fylgiskjala, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.

Sjónarmið kvartanda

Kvartandi vísar til þess að embætti sýslumannsins á höfuðborgarsvæðinu hafi sent honum bréf í almennum pósti sem varðaði meðferð ágreiningsmáls kvartanda um umgengni við börn hans. Bréfið hafi auk þess verið sent á rangt heimilisfang sem kvartandi telji að megi annaðhvort rekja til vanrækslu embættisins á að uppfæra eintak þess af þjóðskrá eða ófullnægjandi kerfishönnunar.

Kvartandi bendir meðal annars á að bréf í málum af þessu tagi séu almennt send frá sýslumannsembættum til viðtakenda í almennum pósti þrátt fyrir að þau geti innihaldið persónugreinanlegar upplýsingar um ólögráða börn, afstöðu foreldra til ágreinings um umgengni eða gögn frá barnaverndarnefndum og sálfræðingum, svo dæmi séu nefnd. Telur hann þá framkvæmd ekki til þess fallna að tryggja nægilega vel öryggi persónuupplýsinganna og að réttara væri að notast við ábyrgðarpóst. Þá bendir kvartandi á að þar sem upplýsingar um heimili fólks séu ekki uppfærðar samkvæmt þjóðskrá geti bréfin ratað í hendur óviðkomandi aðila, fari þau á rangt heimilisfang.

3.

Sjónarmið sýslumannsins á höfuðborgarsvæðinu

Embætti sýslumannsins á höfuðborgarsvæðinu byggir á því að málsmeðferð í umræddu máli, sem er ágreiningsmál um umgengni, sé á grundvelli barnalaga nr. 76/2003. Í slíkum málum séu báðir foreldrar aðilar máls og eigi rétt á aðgangi að málsgögnum. Þá er vísað til þess að sending gagna frá embættinu, sem eðli máls samkvæmt innihaldi alltaf persónuupplýsingar, með bréfpósti sé sú leið sem beitt sé í málum af þessu tagi til að kynna aðilum framlögð gögn og meðferð máls. Einkum er vísað til 70. og 77. gr. barnalaga nr. 76/2003 þar sem fjallað er um notkun ábyrgðarbréfa eða rekjanlegra bréfa. Þar sé ekki áskilið að önnur bréf sýslumanns en úrskurðir, sem og bréf í þeim tilvikum sem aðili hefur ekki sinnt tilmælum um að mæta eða tjá sig, séu send með sannanlegum hætti. Sýslumaður hafi því talið sér heimilt að senda önnur bréf vegna mála á grundvelli barnalaga með almennum bréfpósti. Jafnframt er vísað til þess að lög nr. 19/2002 um póstþjónustu eigi að tryggja áreiðanleika þeirrar þjónustu. Í 31. gr. laganna segi m.a. að póstsendingu skuli dreift til eða afhent þeim aðila sem hún sé stíluð á eða hafi umboð til viðtöku hennar, í bréfkassa eða pósthólf viðtakanda eða þangað sem utanáskrift segi að öðru leyti til um. Einnig segi að póstsending teljist vera í vörslu póstrekanda og á ábyrgð hans frá móttöku og þar til hún hafi verið afhent á ákvörðunarstað. Þá er vísað til þess að sendingar með rekjanlegu bréfi séu of kostnaðarsamar til að nýta þær almennt.

Hvað varði bréfið sem kvörtunin taki til, dags. […], hafi það verið sent á eldra heimilisfang kvartanda fyrir mistök en það hafi síðar verið endursent til sýslumanns. Bréfið hafi því ekki týnst og innihald þess ekki komist í hendur óviðkomandi. Þá hafi bréfið ekki innihaldið viðkvæmar persónuupplýsingar, sbr. skilgreiningu í 3. tölul. 1. mgr. 3. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

II.

Forsendur og niðurstaða

1.

Lagaskil og afmörkun máls

Atvik máls þessa gerðust fyrir gildistöku núgildandi laga, nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, hinn 15. júlí 2018. Umfjöllun og efni þessa úrskurðar byggjast því á ákvæðum eldri laga, nr. 77/2000, en með gildistöku laga nr. 90/2018 voru ekki gerðar efnislegar breytingar á þeim reglum sem hér reynir á.

2.

Gildissvið – Ábyrgðaraðili

Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, giltu um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem voru eða áttu að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar voru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint mátti rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla var skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið var með persónuupplýsingar, hvort heldur vinnslan var handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna.

Mál þetta lýtur að útsendingu bréfs, sem innihélt persónuupplýsingar um kvartanda, frá sýslumanninum á höfuðborgarsvæðinu til kvartandaAð því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem bar ábyrgð á að vinnsla persónuupplýsinga samrýmdist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna var þar átt við þann sem ákvað tilgang vinnslu persónuupplýsinga, þann búnað sem notaður var, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst sýslumaðurinn á höfuðborgarsvæðinu vera ábyrgðaraðili að umræddri vinnslu.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skuli vera í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.) og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.).

Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Í 70. og 77. gr. barnalaga nr. 76/2003 er fjallað um notkun ábyrgðarbréfa. Sem fyrr segir er ekki sérstaklega áskilið þar að önnur bréf sýslumanns en úrskurðir, sem og bréf í þeim tilvikum sem aðili hefur ekki sinnt tilmælum um að mæta eða tjá sig, séu send með sannanlegum hætti.

Samkvæmt gögnum málsins tilkynnti kvartandi sýslumanni um nýtt heimilisfang sitt í bréfi sem barst embættinu […], en fram hefur komið að mistök hafi orðið til þess að bréfið sem kvörtunin tekur til, dags. […] s.á., hafi engu að síður verið sent á eldra heimilisfang hans.

Samkvæmt lögum nr. 77/2000 hvíldi sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið var með, sbr. 11.-13. gr. laganna og reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Í 11. gr. laganna var meðal annars fjallað um öryggisráðstafanir. Samkvæmt ákvæðinu skyldi ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glötuðust eða breyttust fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skyldi ráðstöfunum sem tryggðu nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja átti, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr. Það er ávallt mat ábyrgðaraðila hverju sinni hvernig öryggi upplýsinga verði tryggt með fullnægjandi hætti en það mat getur sætt endurskoðun Persónuverndar.

Persónuvernd hefur áður, í úrskurði sínum frá 23. ágúst 2016 (mál nr. 2016/445), komist að niðurstöðu um að viðhafa bæri sérstakar öryggisráðstafanir við sendingu vegabréfa í pósti. Var þar meðal annars vísað til þess að við val á öryggisráðstöfunum skyldi taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja ætti hverju sinni. Með vísan til eðlis þeirra persónuupplýsinga sem finna má í vegabréfum, þar á meðal lífkennaupplýsingar, var niðurstaða Persónuverndar sú að telja yrði það til vandaðra vinnsluhátta, í skilningi 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, að senda útgefin vegabréf í ábyrgðarpósti til viðtakanda.

Við mat á því hvort sambærilegar kröfur beri að gera við sendingu bréfa af því tagi sem mál þetta tekur til verður að líta til eðlis þeirra upplýsinga sem um ræðir. Af svörum sýslumannsins á höfuðborgarsvæðinu verður ekki ráðið að í bréfi embættisins til kvartanda, sem sent var á rangt heimilisfang, hafi verið viðkvæmar persónuupplýsingar eins og þær voru skilgreindar í 8. tölul. 2. gr. laga nr. 77/2000. Hins vegar má telja að um sé að ræða upplýsingar sem standa nærri einkalífi manna. Eins og hér háttar til verður þó ekki talið að sýslumaðurinn á höfuðborgarsvæðinu hafi brotið gegn ákvæðum 1. tölul. 1. mgr. 7. gr., sbr. einnig 11. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með því að senda umrætt bréf, dags. […], til kvartanda í almennum pósti.

Hins vegar verður talið að við sendingu bréfsins hafi ekki verið gætt nægjanlega að kröfum 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um að persónuupplýsingar skuli vera áreiðanlegar og uppfærðar eftir þörfum. Þær kröfur fela meðal annars í sér að tengiliðaupplýsingar málsaðila skuli ávallt vera uppfærðar svo persónuupplýsingum verði ekki miðlað til óviðkomandi aðila. Þá verður sérstaklega talið að gæta beri að áreiðanleika tengiliðaupplýsinga í þeim tilvikum þar sem málsmeðferðartími getur verið langur. Hér ber jafnframt að líta til þess að kvartandi hafði tilkynnt sýslumannsembættinu um nýtt heimilisfang sitt áður en umrætt bréf var sent honum á eldra heimilisfang.

Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla sýslumannsins á höfuðborgarsvæðinu á persónuupplýsingum um kvartanda við útsendingu bréfs, dags. 23. mars 2018, í almennum bréfpósti hafi ekki samrýmst 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000, um persónuvernd og vinnslu persónuupplýsinga.

Persónuvernd áréttar að þrátt fyrir ákvæði 70. og 77. gr. barnalaga nr. 76/2003 er sýslumanni ekki einungis heimilt að senda bréf með sannanlegum hætti í öðrum tilfellum en þeim sem tilgreind eru sérstaklega í fyrrgreindum ákvæðum barnalaga, heldur getur það verið nauðsynlegt með vísan til ákvæða persónuverndarlaga. Sýslumannsembættinu ber þannig að leggja á það sjálfstætt mat hverju sinni hvort viðhafa beri sérstakar öryggisráðstafanir við sendingu þeirra persónuupplýsinga sem unnið er með hverju sinni, að teknu tilliti til eðlis upplýsinganna. Það mætti til að mynda gera með því að senda þær með rekjanlegum pósti, eða eftir atvikum nýta þær tæknilegu lausnir sem í boði eru á hverjum tíma. Ábyrgðaraðili ber ábyrgð á því að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur laganna og reglugerðarinnar, sbr. 23. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.

Afgreiðsla þessa máls hefur dregist vegna mikilla anna hjá Persónuvernd.

Ú r s k u r ð a r o r ð:

Vinnsla sýslumannsins á höfuðborgarsvæðinu á persónuupplýsingum um [A] við útsendingu bréfs til hans, dags. […], samrýmdist ekki 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

Í Persónuvernd, 6. febrúar 2020

Björg Thorarensen
formaður

Aðalsteinn Jónasson                     Ólafur Garðarsson



Vilhelmína Haraldsdóttir                        Þorvarður Kári Ólafsson



Var efnið hjálplegt? Nei