Úrlausnir

Úrskurður um aðgangsrétt einstaklings að persónuupplýsingum hjá vinnuveitanda

Mál nr. 2018/538

15.10.2018

Persónuvernd úrskurðaði í máli þar sem starfsmaður ábyrgðaraðilans X kvartaði yfir vinnslu persónuupplýsinga um sig hjá X í kjölfar kvartana sem X höfðu borist frá nokkrum einstaklingum um hátterni kvartanda, m.a. ásakanir um kynferðislega áreitni. Var kvartað yfir því að X hafði neitað að afhenda kvartanda upplýsingar um kvartanirnar, m.a. uppruna þeirra, að undanskilinni almennri samantekt um efni ásakananna. Bar X því við að einstaklingunum hefði verið heitið nafnleynd þegar kvartanirnar voru bornar fram og taldi X að réttur kvartanda til upplýsinganna viki fyrir hagsmunum þeirra sem báru fram ásakanirnar. Jafnframt vísaði X til þess að skjalið sem hafði að geyma upplýsingarnar teldist vera vinnuskjal og væri X því ekki skylt að afhenda það. Eins og atvikum öllum var háttað í málinu var það mat Persónuverndar, eftir að gerð hafði verið vettvangsathugun hjá X, að hlutaðeigandi einstaklingar yrðu ekki látnir sæta því að sá trúnaður sem þeim var heitið af hálfu X yrði látinn víkja fyrir hagsmunum kvartanda. X hefði því ekki verið skylt, á grundvelli laga nr. 90/2018, að veita kvartanda upplýsingar um uppruna skráðra persónuupplýsinga um hann í umræddu vinnuskjali hjá X.

Úrskurður

Á fundi stjórnar Persónuverndar 15. október 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2018/538:

I.

Málsmeðferð

1.

Tildrög máls

Hinn […] 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), vegna vinnslu persónuupplýsinga um hann hjá [X]. Kvartandi [starfaði] hjá [X]. Í kvörtuninni segir meðal annars að kvartanda hafi verið vikið úr starfi með vísan til þess að [X] hafi borist ásakanir um kynferðislega áreitni af hans hálfu. Um […] frásagnir hafi verið að ræða og hafi að minnsta kosti ein þeirra varðað annan starfsmann [X] eða störf kvartanda hjá [X]. Í kvörtuninni segir að kvartandi hafi ekki fengið upplýsingar um hver eða hverjir hafi ásakað hann um kynferðislega áreitni eða hvers eðlis ásakanirnar séu.

[…]

II.

Forsendur og niðurstaða

1.

Afmörkun máls og lagaskil

Mál þetta varðar kvörtun sem barst Persónuvernd […] 2018 og lýtur að beiðni kvartanda til [X] um upplýsingar um þær persónuupplýsingar um hann sem [X] hefur undir höndum og rétti kvartanda til þess að skráðar upplýsingar um hann séu réttar og áreiðanlegar. Með fyrrgreindu svarbréfi [X], dagsettu […], fylgdi skjal þar sem fram koma þær upplýsingar um vinnslu persónuupplýsinga um kvartanda sem [X] telur sér heimilt að greina frá. Athugasemdir kvartanda við svarbréf [X] bárust Persónuvernd sem fyrr segir í bréfi, dagsettu […]. Í því bréfi kemur fram að með svari [X] megi segja að fengist hafi upplýsingar samkvæmt 5. tölulið 18. gr. þágildandi persónuverndarlaga nr. 77/2000, um hvaða öryggisráðstafanir voru viðhafðar, en að enn eigi eftir að veita kvartanda upplýsingar samkvæmt 1.-4. tölulið sömu greinar. Þá er í bréfinu vísað til réttar kvartanda til þess að skráðar persónuupplýsingar um hann séu áreiðanlegar og unnar með sanngjörnum, málefnalegum og lögmætum hætti samkvæmt 7. gr. laganna. Í samræmi við framangreint afmarkast úrlausnarefni málsins við rétt kvartanda til þeirra upplýsinga sem tilgreindar voru í 1.-4. tölulið 18. gr. laga nr. 77/2000 og rétt hans til þess að skráðar upplýsingar um hann séu réttar og áreiðanlegar.

Þágildandi lög, nr. 77/2000, eru nú fallin úr gildi. Í stað þeirra hafa verið sett lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Um það hvort [X] hafi farið að lögum í framangreindum samskiptum aðila fer eftir þágildandi lögum nr. 77/2000. Um rétt kvartanda til upplýsinga um vinnslu persónuupplýsinga um hann og rétt til þess að skráðar upplýsingar um hann séu réttar og áreiðanlegar, á þeim tíma þegar þessi úrskurður er kveðinn upp, gilda núgildandi lög nr. 90/2018 og hin almenna persónuverndarreglugerð Evrópuþingsins og ráðsins (ESB) 2016/679, sem innleidd er í íslenskan rétt með hinum nýju lögum.

Ákvæði núgildandi og þágildandi löggjafar um það álitaefni sem hér er til umfjöllunar eru að miklu leyti sambærileg en þó hefur upplýsingaréttur hins skráða breyst úr því að vera réttur til vitneskju í að vera réttur til aðgangs. Hvað varðar rétt hins skráða til upplýsinga um uppruna upplýsinga var kveðið á um það í 4. tölulið 1. mgr. 18. gr. eldri laga nr. 77/2000 að hann ætti rétt á vitneskju um hvaðan upplýsingarnar kæmu en í 1. mgr. 15. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. núgildandi laga nr. 90/2018, er kveðið á um rétt hins skráða til þess að fá allar fyrirliggjandi upplýsingar um uppruna þeirra persónuupplýsinga um hann sem unnið er með. Þá var kveðið á um það í 2. mgr. 19. gr. laga nr. 77/2000 að ákvæði 18. gr. laganna ættu ekki við ef réttur hins skráða þætti eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra. Í 3. mgr. 17. gr. núgildandi laga nr. 90/2018 segir að ákvæði 15. gr. reglugerðarinnar gildi ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum vega þyngra. Loks eru meginreglur 1. og 4. töluliða 8. gr. núgildandi laga nr. 90/2018, um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti og að þær séu áreiðanlegar og uppfærðar eftir þörfum, sama efnis og meginreglur 1. og 4. töluliða 7. gr. eldri laga nr. 77/2000.

Að framangreindu virtu er það mat Persónuverndar að þær röksemdir og þau sjónarmið, sem færð hafa verið fram af hálfu málsaðila, eigi við um ákvæði núgildandi laga eins og ákvæði eldri laga. Að mati Persónuverndar er því ekki þörf á að veita aðilum frekari kost á athugasemdum á grundvelli 13. gr. stjórnsýslulaga nr. 37/1993. Með hliðsjón af þeim gögnum sem liggja fyrir telst málið því tækt til úrskurðar.

Um valdheimildir Persónuverndar, frá og með 15. júlí síðastliðnum, fer einnig eftir núgildandi lögum nr. 90/2018.

2.

Gildissvið laga nr. 77/2000 og 90/2018

Gildissvið eldri persónuverndarlaga, nr. 77/2000, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, náði til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga, sem voru eða áttu að verða hluti af skrá. Persónuupplýsingar voru skilgreindar sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint mátti rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölulið 2. gr. laganna, og vinnsla sem sérhver aðgerð eða röð aðgerða þar sem unnið var með persónuupplýsingar, hvort heldur sem vinnslan var handvirk eða rafræn, sbr. 2. tölulið sömu greinar.

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, s.s. með tilvísun í auðkenni, eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti, sbr. 2. tölulið 3. gr. laga nr. 90/2018 og 1. tölulið 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, s.s. söfnun, skráningu, flokkun, kerfisbindingu, varðveislu, aðlögun eða breytingu, heimt, skoðun, notkun, miðlun með framsendingu, dreifingu eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtengingu eða samkeyrslu, aðgangstakmörkun, eyðingu eða eyðileggingu, sbr. 4. tölulið 3. gr. laga nr. 90/2018 og 2. tölulið 4. gr. reglugerðarinnar.

Mál þetta lýtur að rétti kvartanda til upplýsinga um vinnslu persónuupplýsinga um hann hjá [X]. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölulið 4. gr. reglugerðarinnar, sbr. og sambærileg ákvæði í 4. tölulið 2. gr. eldri laga nr. 77/2000. Eins og hér háttar til telst [X] vera ábyrgðaraðili að umræddri vinnslu.

3.

Lögmæti vinnslu

Samkvæmt þágildandi lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, varð öll vinnsla persónuupplýsinga að byggja á einhverri þeirra heimilda sem greindi í 8. gr. laganna. Væri um viðkvæmar persónuupplýsingar að ræða þurfti vinnsla þeirra einnig að styðjast við eitt þeirra skilyrða sem í 9. gr. laganna greindi. Í því máli sem hér er til umfjöllunar liggur fyrir að samþykki kvartanda lá ekki fyrir samkvæmt 1. tölulið 1. mgr. 8. gr. laganna. Kemur þá helst til skoðunar hvort vinnslan hafi verið nauðsynleg til að fullnægja lagaskyldu sem hvíldi á ábyrgðaraðila, samkvæmt 3. tölulið 1. mgr. sömu greinar, sbr. og 2. tölulið 1. mgr. 9. gr. laganna að því leyti sem upplýsingarnar teljast vera viðkvæmar persónuupplýsingar samkvæmt skilgreiningu 8. töluliðar 2. gr. laganna.

Við mat á því hvort heimild hafi verið fyrir hendi á grundvelli framangreindra ákvæða ber að líta til ákvæða í sérlögum, sem við eiga hverju sinni. Kveðið er á um aðgerðir gegn einelti, kynferðislegri áreitni, kynbundinni áreitni og ofbeldi á vinnustöðum í reglugerð nr. 1009/2015, sem sett er á grundvelli laga nr. 46/1980, um aðbúnað, hollustuhætti og öryggi á vinnustöðum. Samkvæmt 2. mgr. 6. gr. reglugerðarinnar skulu atvinnurekendur haga vinnuaðstæðum á vinnustað í samræmi við skriflega áætlun um öryggi og heilbrigði á vinnustað þannig að dregið sé úr hættu á að aðstæður skapist sem líkur séu á að leitt geti til meðal annars kynferðislegrar og kynbundinnar áreitni. Í 7. gr. reglugerðarinnar er kveðið á um aðgerðir atvinnurekanda þegar honum berst kvörtun eða ábending, meðal annars um kynferðislega og kynbundna áreitni á vinnustað. Samkvæmt 4. mgr. 7. gr. skal atvinnurekandi skrá niður allt sem tengist meðferð máls og halda hlutaðeigandi starfsmönnum og vinnuverndarfulltrúa vinnustaðarins upplýstum meðan á meðferðinni stendur, meðal annars með því að veita þeim aðgang að öllum upplýsingum og gögnum í málinu, að teknu tilliti til persónuverndarlaga.

Í 7. gr. reglugerðarinnar er ekki gerður greinarmunur á því hvort kvartanir eða ábendingar berist frá öðrum starfsmönnum eða utanaðkomandi einstaklingum en ætla má, með hliðsjón af skyldum atvinnurekenda samkvæmt ákvæðum 2. mgr. 6. gr. reglugerðarinnar, að þeim beri að skrá allt niður sem varðar áhættu á að tilteknar aðstæður skapist á vinnustaðnum. Að því virtu verður ekki gerður greinarmunur á því hvort kvartanir vegna kvartanda þessa máls bárust frá starfsmönnum [X] eða öðrum.

Með vísan til framangreindra ákvæða verður að telja að [X] hafi verið heimilt á grundvelli 3. töluliðar 1. mgr. 8. gr. og 2. töluliðar 1. mgr. 9. gr. laga nr. 77/2000 að skrá upplýsingar um þær kvartanir sem [X] bárust varðandi háttsemi kvartanda, sem metið var að gætu haft áhrif á aðstæður á vinnustaðnum.

Samkvæmt lögum nr. 77/2000 varð öll vinnsla persónuupplýsinga einnig að fullnægja grunnkröfum 1. mgr. 7. gr. laganna, um gæði gagna og vinnslu. Í því ákvæði var mælt fyrir um að persónuupplýsingar skyldu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skyldu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skyldu vera nægilegar og ekki umfram það sem nauðsynlegt væri miðað við tilgang vinnslunnar (3. tölul.); að þær skyldu vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem væru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skyldi afmá eða leiðrétta (4. tölul.); og að þær skyldu varðveittar í því formi að ekki væri unnt að bera kennsl á hina skráðu lengur en þörf krefði miðað við tilgang vinnslu (5. tölul.). Sambærileg ákvæði eru í 1. mgr. 8. gr. núgildandi laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, og skal öll vinnsla persónuupplýsinga fullnægja þeim grunnkröfum sem þar eru tilgreindar.

Hvað varðar kröfur um sanngjarna og málefnalega vinnslu og áreiðanleika persónuupplýsinga, samkvæmt 1. og 4. tölulið 7. gr. laga nr. 77/2000, sbr. 1. og 4. tölulið 8. gr. laga nr. 90/2018, verður að miða við að skráðar upplýsingar gefi sem réttasta mynd af hinum skráða. Af þeim sökum þarf ætíð að sýna sérstaka varúð við skráningu matskenndra upplýsinga og ber, í slíkum tilvikum, almennt að athuga hversu áreiðanlegar upplýsingarnar eru. Þá ber að líta svo á að þegar um ræðir upplýsingar sem fela í sér afstöðu annarra einstaklinga til hins skráða eigi hinn skráði almennt rétt á að fá færðar inn athugasemdir sínar við þær upplýsingar.

Í því máli sem hér er til umfjöllunar er að mati Persónuverndar ljóst af skráningu upplýsinganna að þær fela í sér lýsingu tiltekinna einstaklinga á persónulegri upplifun þeirra af háttsemi kvartanda. Þá er til þess að líta að upplýsingunum hefur ekki verið miðlað til annarra en þeirra sem komu að starfslokum kvartanda hjá [X] og að tilgangur með skráningu þeirra var ekki að þær yrðu gerðar aðgengilegar öðrum og því síður að þær yrðu gerðar opinberar. Að því virtu og með hliðsjón af tilgangi vinnslunnar og því að viðkomandi einstaklingar tjáðu sig í trúnaði er það mat Persónuverndar, eins og atvikum er háttað í þessu máli, að ekki sé þörf á að færa inn athugasemdir kvartanda við upplýsingarnar og að vinnsla umræddra persónuupplýsinga fullnægi grunnkröfum 7. gr. laga nr. 77/2000 og 8. gr. laga nr. 90/2018.

4.

Aðgangsréttur hins skráða

Samkvæmt því sem fram kemur í kvörtun málsins vill kvartandi vita hverjir það eru sem borið hafa hann ásökunum um kynferðislega áreitni, hvert efnislegt inntak þessara ásakana er, hvort upplýsingum um hann hafi verið miðlað til starfsmanna [X], hvaða gögn [X] hafi undir höndum og hvernig varðveislu þeirra er háttað.

Líkt og að framan greinir gerðust atvik þessa máls í gildistíð eldri persónuverndarlaga nr. 77/2000 og var beiðni kvartanda til [X] um upplýsingar grundvölluð á 18. gr. þeirra laga. Afmarkast úrlausnarefni málsins, sem fyrr segir, við rétt kvartanda til upplýsinga samkvæmt 1.-4. tölulið 18. gr. laganna, sem kváðu á um rétt hins skráða til að fá frá ábyrgðaraðila vitneskju um (1) hvaða upplýsingar um hann var eða hafði verið unnið með, (2) tilgang vinnslunnar, (3) hver fékk, hafði fengið eða myndi fá upplýsingar um hann, og (4) hvaðan upplýsingarnar komu.

Að mati Persónuverndar hefur kvartandi, við meðferð þessa máls, fengið fullnægjandi upplýsingar frá [X] um tilgang vinnslunnar og viðtakendur upplýsinganna, samkvæmt 2. og 3. tölulið 18. gr. laga nr. 77/2000. [X] hefur hins vegar ekki viljað greina kvartanda frá því hvaðan upplýsingarnar komu eða hvert efnislegt inntak upplýsinganna er, samkvæmt 1. og 4. tölulið 18. gr. laganna, að öðru leyti en að þær feli í sér kvartanir sem lúta að kynferðislegri áreitni af hálfu kvartanda. Samkvæmt [X] getur nánari lýsing á efni kvartananna leitt til þess að kvartandi geti greint hverjir báru umræddar kvartanir fram.

Við mat á því hver réttur kvartanda er til nánari upplýsinga um hvaðan umræddar upplýsingar komu og um efnislegt inntak þeirra, á þeim tíma þegar þessi úrskurður er kveðinn upp, verður einnig að líta til ákvæða núgildandi laga, í samræmi við það sem að framan er rakið um lagaskil.

Kveðið er á um rétt hins skráða til aðgangs að persónuupplýsingum um sig og rétt til upplýsinga um vinnslu í 17. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig ákvæði 15. gr. reglugerðar (ESB) 2016/679. Samkvæmt 1. mgr. 15. gr. reglugerðarinnar á hinn skráði rétt á að fá staðfestingu á því frá ábyrgðaraðila hvort unnið sé með persónuupplýsingar um hann og, ef svo er, rétt til aðgangs að persónuupplýsingunum og að upplýsingum um (a) tilgang vinnslunnar, (b) flokka persónuupplýsinga sem unnið er með, (c) viðtakendur eða flokka viðtakenda persónuupplýsinga, (d) varðveislutíma persónuupplýsinga, (e) rétt til að fá persónuupplýsingar leiðréttar, þeim eytt eða vinnslu þeirra takmarkaða og rétt til andmæla, (f) rétt til að kvarta til viðeigandi stjórnvalds, þ.e. Persónuverndar, (g) allar fyrirliggjandi upplýsingar um uppruna persónuupplýsinga, sem aflað er hjá öðrum en hinum skráða sjálfum, og (h) sjálfvirka ákvarðanatöku ef um slíkt er að ræða.

Þar sem beiðni kvartanda um upplýsingar byggði á 18. gr. þágildandi laga nr. 77/2000 reynir hér ekki á það hvort kvartandi hafi verið upplýstur um varðveislutíma, rétt til leiðréttingar upplýsinga, eyðingar þeirra, takmörkunar vinnslu og andmæla, eða rétt til að kvarta til Persónuverndar, enda liggur fyrir að ekki var sérstaklega óskað eftir upplýsingum um þessi atriði. Þá er vinnslan ekki þess eðlis að um hafi verið að ræða sjálfvirka ákvörðunartöku. Hins vegar liggur fyrir, líkt og að framan greinir, að [X] hefur ekki viljað greina frá öllu því sem fyrir liggur um uppruna umræddra upplýsinga um kvartanda, þ.e. hverjir kvörtuðu yfir honum, og að [X] hefur ekki veitt kvartanda aðgang að upplýsingunum sjálfum heldur einungis greint frá því að kvartanirnar varði kynferðislega áreitni af hans hálfu.

[X] telur að því beri ekki að greina frekar frá inntaki skráðra persónuupplýsinga um kvartanda eða hvaðan þær koma á grundvelli þess annars vegar að réttur kvartanda til vitneskju þar um víki fyrir hagsmunum þeirra sem borið hafa fram kvartanirnar og hins vegar að um vinnuskjal sé að ræða.

Í 19. gr. laga nr. 77/2000 var mælt fyrir um undantekningar frá upplýsingarétti samkvæmt 18. gr. laganna. Samkvæmt 2. mgr. 19. gr. áttu ákvæði 18. gr. ekki við ef réttur hins skráða til vitneskju um vinnslu persónuupplýsinga um hann þótti eiga að víkja að nokkru eða öllu leyti fyrir hagsmunum annarra.

Sambærilegt ákvæði er í 3. mgr. 17. gr. laga nr. 90/2018, sbr. i-lið 1. mgr. 23. gr. reglugerðar (ESB) 2016/679, sem kveður á um að framangreindur upplýsingaréttur hins skráða, samkvæmt 1. mgr. 15. gr. reglugerðarinnar, gildi ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum vegi þyngra. Í athugasemdum við 3. mgr. 17. gr. í frumvarpi því sem varð að lögum nr. 90/2018 segir að við beitingu ákvæðisins þurfi að fara fram mat á þeim hagsmunum sem í ákvæðinu eru nefndir. Vega verði hagsmuni hins skráða af því að fá upplýsingar andspænis hagsmunum annarra einstaklinga. Þá sé mikilvægt að hafa í huga að gerð sé krafa um brýna hagsmuni einstaklinga sem sýna þurfi fram á til að réttlæta undantekningu frá upplýsingarétti hins skráða.

Í framangreindu bréfi kvartanda, dagsettu […], kemur fram að fyrir liggi að ákvörðun um uppsögn kvartanda, sem m.a. hafi leitt til þess að hann hafi misst lífsviðurværi sitt, hafi verið tekin á grundvelli umræddra upplýsinga og af þeim sökum hafi hann hagsmuni af því að fá upplýsingar um uppruna þeirra. Jafnframt segir að það sé grundvallarréttur hvers manns, sem borinn sé sökum, að fá upplýsingar um þær og hvers eðlis þær séu.

Kemur þá til skoðunar hvort þeir einstaklingar sem veittu [X] umræddar upplýsingar hafi brýna hagsmuni af því að ekki verði greint frá því hverjir þeir séu og hvort þeir hagsmunir vegi þyngra en hagsmunir kvartanda. Við það mat verður að líta til þess að upplýsingarnar voru veittar í trúnaði og trausti þess að ekki yrði greint frá því hverjir þessir einstaklingar væru. Virðist það hafa verið forsenda þeirra sem veittu upplýsingarnar að þeim yrði ekki miðlað til annarra og því síður að upplýsingarnar yrðu gerðar opinberar. Eins og fram hefur komið hefur upplýsingunum eingöngu verið miðlað, af hálfu [X], til þeirra sem komu að starfslokum kvartanda hjá [X]. Einnig skiptir máli, við þetta hagsmunamat, að upplýsingarnar eru mjög viðkvæms eðlis og fela í sér lýsingu viðkomandi einstaklinga á persónulegri upplifun þeirra af háttsemi kvartanda og samskiptum við hann. Er það mat Persónuverndar að þeir einstaklingar, sem um ræðir, geti haft brýna hagsmuni af því að trúnaðar sé gætt og að ekki verði greint frá því hverjir þeir séu.

Að því virtu þarf að meta hvort brýnir hagsmunir þessara einstaklinga vegi þyngra en hagsmunir kvartanda. Í því sambandi skiptir máli að það er [X] sem tók ákvörðun um meðferð upplýsinganna og um aðgerðir á grundvelli þeirra. Þá er það [X] sem ber skyldur gagnvart kvartanda, m.a. samkvæmt lögum nr. 46/1980, um aðbúnað, hollustuhætti og öryggi á vinnustöðum, og reglugerð nr. 1009/2015, um aðgerðir gegn einelti, kynferðislegri áreitni, kynbundinni áreitni og ofbeldi á vinnustöðum, en ekki hlutaðeigandi einstaklingar. Það heyrir ekki undir valdsvið Persónuverndar að meta hvort [X] hafi í þessu máli farið að öðrum ákvæðum framangreindra laga og reglugerðar en þeim sem varða vinnslu persónuupplýsinga. Hins vegar er það mat Persónuverndar, eins og atvikum öllum er háttað í þessu máli og með hliðsjón af eðli umræddra upplýsinga, að hlutaðeigandi einstaklingar geti ekki verið látnir sæta því að sá trúnaður sem þeim var heitið af hálfu [X] verði látinn víkja fyrir hagsmunum kvartanda sem varða ákvarðanir [X] en ekki viðkomandi einstaklinga. Það er ekki á valdsviði Persónuverndar að taka afstöðu til þess hvort [X] hafi verið heimilt að heita fyrrgreindum trúnaði.

Með vísan til alls þess sem að framan er rakið og í samræmi við 3. mgr. 17. gr. laga nr. 90/2018, sbr. i-lið 1. mgr. 23. gr. reglugerðar (ESB) 2016/679, er það niðurstaða Persónuverndar að [X] sé ekki skylt, á grundvelli laganna og reglugerðarinnar, að veita kvartanda upplýsingar um uppruna skráðra persónuupplýsinga um hann í umræddu vinnuskjali [stjórnanda X], sbr. og 2. mgr. 19. gr. laga nr. 77/2000. Eins og atvikum er háttað verður þá jafnframt lagt til grundvallar að fullnægt sé skilyrðum 8. gr. laga nr. 90/2018 um vinnslu upplýsinganna.

Að mati Persónuverndar getur nákvæmari lýsing á efni upplýsinganna leitt til þess að kvartandi geti, eftir atvikum, greint um hvaða einstaklinga ræðir. Þar af leiðandi er [X] ekki skylt, í samræmi við framangreinda niðurstöðu, að veita kvartanda aðgang að framangreindu vinnuskjali eða nákvæmari lýsingu á efni þess.

Hefur [X] þar af leiðandi þegar rækt skyldu sína gagnvart kvartanda samkvæmt 17. gr. laga nr. 90/2018, sbr. 15. gr. reglugerðarinnar, sbr. og 18. gr. og 2. mgr. 19. gr. laga nr. 77/2000.


Ú r s k u r ð a r o r ð:

Vinnsla [X] á persónuupplýsingum um [A] samrýmdist ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. sambærileg ákvæði laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

[X] hefur veitt [A] fullnægjandi upplýsingar um vinnslu persónuupplýsinga um hann hjá [X] samkvæmt lögum nr. 77/2000 og 90/2018.

Í Persónuvernd 15. október 2018


Aðalsteinn Jónasson
formaður


Ástríður Grímsdóttir                                               Ólafur Garðarsson


Vilhelmína Haraldsdóttir                                      Þorvarður Kári Ólafsson



Var efnið hjálplegt? Nei