Úrskurður um ábendingarhnapp á vefsíðu Tryggingastofnunar ríkisins
Mál nr. 2017/1003
Persónuvernd hefur úrskurðað að vinnsla persónuupplýsinga hjá Tryggingastofnun ríkisins, sem fer fram fyrir tilstilli ábendingahnapps á vefsíðu stofnunarinnar, samrýmist lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Úrskurður
Á fundi stjórnar Persónuverndar þann 8. mars 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/1003:
I.
Málsmeðferð
1.
Tildrög máls
Þann 5. júlí 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) yfir ábendingahnappi á heimasíðu Tryggingastofnunar ríkisins (TR), nánar tiltekið yfir því að unnt sé að senda þar nafnlausar ábendingar um meint brot einstaklinga. Kemur fram af hálfu kvartanda að staðan sé þar með í raun sú sama og var fyrir úrskurði Persónuverndar um ábendingahnapp TR í málum nr. 2014/832 og 2014/1068, báða dags. 25. febrúar 2015, en eins og fram kemur í úrskurðunum er á því byggt að nafnleysi þeirra sem sendu inn ábendingar hafi staðið í vegi fyrir réttindum hins skráða, sbr. meðal annars rétt samkvæmt 18. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, til að fá vitneskju um hvaðan upplýsingar koma. Er þeirri afstöðu lýst í kvörtun að við það verði ekki unað að enn sé unnt að senda inn nafnlausar ábendingar. Vísar kvartandi meðal annars til 65. gr. stjórnarskrárinnar, sem tryggi jafnræði allra einstaklinga, og 71. gr. stjórnarskrárinnar um friðhelgi einkalífs. Séu viðskiptavinir TR venjulegt fólk og engin ástæða til þess að stofnanir hafi sérstaka hnappa á síðum sínum til þess eins að hvetja fólk til að bera saman lífsstíl þess og því sem menn ímynda sér að fólkið hafi í tekjur.
Þá vísar kvartandi til þess að stjórnvöld séu bundin af lögum og reglum og að allar athafnir stjórnvalda verði að hafa lagastoð. Ekki verði séð á hvaða lagagrunni notkun hnappsins sé reist, auk þess sem hvergi hafi komið fram með skýrum hætti hver tilgangur hans sé. Telur kvartandi að með hnappinum, sem nú hafi verið settur upp, felist engin efnisleg breyting frá fyrri hnöppum og því beri TR að taka hann niður. Þótt gert sé ráð fyrir því að einstaklingar gefi upp nafn sitt, sé hægt að gefa upp hvaða nafn sem er, og geti því ábendingarnar í reynd verið nafnlausar. Tryggi hnappurinn því ekki þann rétt sem felst í 18. gr. laga nr. 77/2000.
2.
Bréfaskipti og fundur TR með Persónuvernd
Með bréfi, dags. 28. ágúst 2017, var TR boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 15. september s.á. Segir þar að í maí 2016 hafi verið ákveðið að setja ábendingahnapp upp aftur, að undangenginni gaumgæfilegri skoðun, en þá með breyttu sniði til að mæta kröfum Persónuverndar. Skilyrði var að nafn tilkynnanda ábendingar og netfang kæmi fram í stjörnumerktum reitum og að ekki væri hægt að taka á móti ábendingu án þess að þeir reitir væru fylltir út.
Með þessu taldi TR að öll skilyrði væru uppfyllt, sem tryggðu að ábendingar væru gerðar í nafni sendanda, og þannig væri farið í einu og öllu eftir lögum, reglum og tilmælum Persónuverndar. Þá var nafni ábendingahnappsins breytt úr „Ábendingahnappur um bótasvik“ í ábendingar án þess að nefna bótasvik, enda virkni ekki beint sérstaklega að grun um bótasvik heldur hverju því sem betur má fara í starfsemi TR. Tekið er fram að láðst hafi að tilkynna Persónuvernd um breytta framkvæmd og nýjan ábendingahnapp og er beðist velvirðingar á því.
TR telur að eftirlit til að tryggja réttar forsendur greiðslna sé í samræmi við 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þá er einnig vísað til 2. og 7. tölul. 1. mgr. 9. gr. sömu laga, þar sem upplýsingar um grun um refsiverða háttsemi eru viðkvæmar persónuupplýsingar. Þá er áréttað að TR gæti þess við alla vinnslu persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Með því að krefjast nafns og netfangs sendanda í stjörnumerktum reitum, sem ekki er hægt að komast hjá að fylla út, sé rekjanleiki upplýsinganna tryggður samkvæmt 18. gr. laga nr. 77/2000. Við vinnslu sé öllum ábendingum, sem ekki uppfylla þau skilyrði, umsvifalaust eytt og ekki unnið með þær frekar. Telur því TR fyrirkomulagið vera í samræmi við úrskurði Persónuverndar í fyrrgreindum málum nr. 2014/832 og 2014/1068. Til þess að tryggja að unnið verði áfram í samræmi við kröfur Persónuverndar hafi aftur á móti verið ákveðið að taka hnappinn tímabundið niður.
Meðfylgjandi bréfi TR var útdráttur úr fundargerð fundar framkvæmdastjórnar TR þann 17. maí 2016, þar sem samþykkt var tillaga um að setja upp ábendingahnapp á ný, auk verklagsreglu, dags. 10. maí 2016, sem kvað á um að eftirlit TR tæki ekki við ábendingum sem bærust frá einstaklingum, sbr. úrskurð Persónuverndar frá árinu 2015. Jafnframt fylgdi með afrit af úrskurði Persónuverndar í máli nr. 2010/1040, en í því máli var fjallað um nafnlausar ábendingar til Vinnumálastofnunar.
TR óskaði í fyrrgreindu bréfi eftir fundi með Persónuvernd til að ræða almennt um móttöku ábendinga hjá stofnuninni. Fundurinn fór fram í húsnæði Persónuverndar þann 12. október 2017. Kom þar meðal annars fram að TR teldi mikilvægt að hafa ábendingahnapp, þar sem þar gætu komið fram gagnlegar ábendingar sem annars myndu ekki berast. Hefði TR talið að með því að hafa stjörnumerkta reiti, sem nauðsynlegt væri að fylla inn, þ.e. nafn og netfang, væru skilyrði laga uppfyllt, s.s. um rekjanleika. Þá vísaði TR til þess að sambærilegir ábendingahnappar tíðkuðust hjá norrænum systurstofnunum og tók fram að eftirlit væri nauðsynlegt til að almannatryggingakerfið væri ekki misnotað.
Með bréfi, dags. 25. október 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar TR. Þá var kvartandi upplýstur um að í samræmi við beiðni TR hefði TR átt fund með Persónuvernd þar sem TR hefði ítrekað þau sjónarmið sem fram komu í áðurnefndu bréfi stofnunarinnar, og einnig tekið fram að hún teldi mikilvægt að hafa slíkan ábendingahnapp og hér um ræðir, þar sem þar gætu komið fram ábendingar sem annars myndu ekki berast. Var kvartanda jafnframt send fundargerð fundarins.
[B] lögmaður hjá Öryrkjabandalagi Íslands, svaraði með bréfi, dags. 1. desember 2017, f.h. kvartanda. Kemur þar meðal annars fram að TR hafi mátt vera ljóst að óheimilt væri að setja upp ábendingahnapp á ný án þess að slíkt yrði fyrst borið undir Persónuvernd, enda hafi þegar legið fyrir úrskurðir frá Persónuvernd um lögmæti slíkra hnappa TR.
Einnig er mótmælt rökum TR um að sú vinnsla persónuupplýsinga, sem felst í ábendingahnappinum, sé nauðsynleg til að fullnægja lagaskyldu stofnunarinnar. Þá segir að ekki hafi heldur verið færð fyrir því rök að vinnslan geti talist þjóna almannahagsmunum.
Tekið er fram að hvergi í lögum sé TR falið eftirlit með þeim þáttum sem tilkynningum í gegnum ábendingahnappinn sé ætlað að veita upplýsingar um, en helst sé þar væntanlega um að ræða upplýsingar er lúta að tekjum og búsetu skjólstæðinga stofnunarinnar. Þá sé hvergi í lögum um almannatryggingar nr. 100/2007 að finna heimild til handa TR til að leita upplýsinga um hagi skjólstæðinga sinna með skipulagðri söfnun persónuupplýsinga í gegnum tilkynningar einstaklinga. Þvert á móti sé aðeins heimilt að leita upplýsinga hjá þriðja aðila ef rökstuddur grunur sé um að bætur séu greiddar á röngum eða villandi grunni. Er í því sambandi vísað til 45. gr. laga nr. 100/2007, er kveður á um eftirlit og viðurlög.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst TR vera ábyrgðaraðili að umræddri vinnslu.
Ekki liggur fyrir að ábendingahnappurinn hafi verið nýttur til að senda upplýsingar um kvartanda. Aftur á móti liggur fyrir að kvartandi tilheyrir þeim hópi sem fær greiðslur frá TR, en í því ljósi telur Persónuvernd kvartanda hafa lögmæta, verulega og einstaklingsbundna hagsmuni af úrlausn um lögmæti hnappsins, auk þess sem kvartandi er á meðal skráðra einstaklinga í upplýsingakerfi TR. Eru því, eins og hér háttar til, skilyrði til að kveða upp úrskurð um ágreining milli hins skráða og ábyrgðaraðila að vinnslu persónuupplýsinga.
2.
Lögmæti vinnslu – Öryggi
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, s.s. upplýsinga um hvort maður hafi verið grunaður um refsiverðan verknað, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna.
Af heimildum 8. gr. laganna verður hér einkum talinn koma til greina 5. tölul. 1. mgr. þeirrar greinar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt vegna verks sem unnið er í þágu almannahagsmuna. Þá getur einkum 7. tölul. 1. mgr. 9. gr. laganna komið til álita af heimildum til vinnslu viðkvæmra persónuupplýsinga, þess efnis að vinna megi með slíkar upplýsingar sé það nauðsynlegt til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.
Einnig verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.)
Að auki er til þess að líta að samkvæmt 11. gr. laga nr. 77/2000 verður að tryggja öryggi persónuupplýsinga. Segir þar meðal annars, sbr. 2. mgr. greinarinnar, að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.
3.
Fyrri úrskurðir Persónuverndarum ábendingahnapp TR
Eins og vikið er að í I. kafla hefur Persónuvernd áður úrskurðað um ábendingahnapp TR, í málum nr. 2014/832 og 2014/1068, sbr. úrskurði, dags. 25. febrúar 2015. Í málunum kom fram að ábendingar, sem sendar voru um ábendingahnapp TR, bárust stofnuninni þó svo að sendandi ábendingar gæfi hvorki upp nafn sitt né netfang. Persónuvernd taldi að slíkt fyrirkomulag við móttöku ábendinga kæmi í veg fyrir að hinn skráði gæti notið réttinda samkvæmt 18. gr. laga nr. 77/2000, varðandi upplýsingarétt hins skráða um vinnslu persónuupplýsinga um sig. Samkvæmt 3. tölul. 1. mgr. 18. gr. er vitneskja um hvaðan upplýsingar koma á meðal þess sem hinn skráði á rétt á vitneskju um, enda eigi ekki við einhver af undantekningunum frá rétti til vitneskju um vinnslu, sbr. 19. gr. laga nr. 77/2000. Þegar af þeirri ástæðu var talið að sú vinnsla, sem í móttöku ábendinganna fólst, færi í bága við lögin og var því ekki talin þörf á að taka afstöðu til nánari atriða, s.s. heimilda samkvæmt ákvæðum 8. og 9. gr. laga nr. 77/2000. Með vísan til 1. mgr. 40. gr. sömu laga var því lagt fyrir TR að láta af móttöku nafnlausra ábendinga frá og með móttöku úrskurðanna.
4.
Niðurstaða
Eins og atvikum í máli þessu er lýst var gert að skilyrði af hálfu TR við móttöku ábendinga á vefsíðunni www.tr.is, að nafn tilkynnanda ábendingar og netfang kæmi fram í sér merktum reitum. Ekki var tekið á móti ábendingu án þess að þeir reitir væru fylltir út. Jafnframt hefur komið fram að ekki hafi verið gengið úr skugga um að sendandi ábendingar gæfi í raun upp réttar upplýsingar, en engin tilraun var gerð til sannvottunar auðkenningar þeirra sem notuðu ábendingahnappinn. Var því fullvissustig auðkenningar ekki kannað. Má þannig ætla að í reynd hafi TR getað borist ábendingar, þótt sendandi hafi hvorki gefið upp rétt nafn né rétt netfang, og voru þær ábendingar af þeim sökum nafnlausar.
Við mat á því hversu ríkar kröfur ber að gera til sannvottunar á því hverjir senda stjórnvöldum ábendingar á vefsíðum þeirra er til þess að líta að af því eru almannahagsmunir að almenningur hafi greitt aðgengi að stjórnvöldum, sbr. fyrrnefnt ákvæði 5. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þá er til þess að líta að þann ábendingahnapp sem hér um ræðir tilgreinir vefsíða TR ekki sem gátt fyrir viðkvæmar persónuupplýsingar. Ætla verður að almenn krafa um að ekki sé unnt að eiga rafræn samskipti við stjórnvöld án sannvottunar persónuauðkenna myndi skerða þá almannahagsmuni sem umrætt ákvæði tilgreinir. Það að viðkvæmar persónuupplýsingar kunni að berast um ábendingahnapp vefsíðu, sem ekki er sérstaklega ætlaður fyrir slíkar upplýsingar, ber auk þess að skoða í ljósi þess að stjórnvöldum geta borist viðkvæmar upplýsingar um einstaklinga óumbeðið eftir hvaða leið fyrir skrifleg samskipti sem er, hvort sem um ræðir meðal annars ábendingahnappa á vefsíðum eða tölvupóst. Í ljósi meðalhófs verða því fyrrgreind viðmið 2. mgr. 11. gr. laga nr. 77/2000 um hvaða öryggisráðstafanir á að gera við vinnslu persónuupplýsinga ekki talin áskilja kröfu um sannvottun í öllum slíkum samskiptum.
Með vísan til framangreinds telur Persónuvernd þá vinnslu persónuupplýsinga, sem fram fer fyrir tilstilli ábendingahnapps á vefsíðu TR, samrýmast lögum nr. 77/2000.
Meðferð máls þessa hefur dregist vegna mikilla anna hjá Persónuvernd.
Ú r s k u r ð a r o r ð:
Sú vinnsla persónuupplýsinga, sem fram fer fyrir tilstilli ábendingahnapps á vefsíðu Tryggingastofnunar ríkisins, samrýmist lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.