Úrskurður um vinnslu persónuupplýsinga hjá Hagstofu Íslands
Mál nr. 2017/702
Persónuvernd hefur úrskurðað að það verklag Hagstofu Íslands, að hringja í einstaklinga sem veljast í úrtak rannsókna þar til afstaða þeirra liggur fyrir, án takmarkana, hafi ekki samrýmst lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Úrskurður
Á fundi stjórnar Persónuverndar þann 14. desember 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/702:
I.
Málsmeðferð
1.
Tildrög máls
Þann 28. apríl 2017 barst Persónuvernd kvörtun frá A (hér eftir nefndur kvartandi), vegna vinnslu persónuupplýsinga um hann hjá Hagstofu Íslands. Í kvörtuninni segir m.a.:
„Fékk sent bréf varðandi [rannsókn] á notkun á tæknibúnaði og neti, svo er stanslaust verið að reyna að hringja í mig [...] (allavega 15 sinnum) [...]“
Þá kemur fram í kvörtuninni að kvartandi sé bannmerktur í símaskrá og hjá Hagstofu Íslands.
2.
Bréfaskipti
Með bréfi, dags. 18. júlí 2017, var Hagstofu Íslands boðið að koma á framfæri skýringum vegna kvörtunarinnar. Í svarbréfi Hagstofunnar, dags. 7. ágúst 2017, kemur meðal annars fram að Hagstofan framkvæmi árlega úrtaksrannsóknir meðal einstaklinga og heimila, en þar falli undir rannsókn á notkun á tæknibúnaði og neti. Framkvæmd rannsókna taki mið af þeim lögum og reglum sem um starfsemina gilda auk þess að byggja á gagnreyndu og viðurkenndu alþjóðlegu verklagi. Einstaklingar sem veljist í úrtak rannsókna hjá Hagstofunni fái sent kynningarbréf þar sem meðal annars komi fram að Hagstofan hyggist hringja í viðkomandi. Lögð sé rík áhersla á að ná í þá aðila sem veljist í úrtak en einstaklingar geti hvenær sem er neitað þátttöku í rannsókn í heild eða að hluta. Misjafnt sé hve oft er reynt að ná til einstaklinga í úrtaki þar til að svar liggi fyrir. Ef neitun liggur fyrir stöðvist hringingar.
Jafnframt segir að Hagstofan leggi áherslu á að vinna í samræmi við lög og reglur sem í gildi eru um hagskýrslugerð, þar með talið lög nr. 163/2007 um Hagstofu Íslands og opinbera hagskýrslugerð og lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þá vinni Hagstofan eftir verklagsreglum í samræmi við gæðastefnu stofnunarinnar og starfrækir formlegt stjórnkerfi upplýsingaöryggis.
Þá kemur enn fremur fram að það sé mat Hagstofunnar að verklag við framkvæmd rannsókna samrýmist 7. gr. laga nr. 77/2000. Til að tryggja að svarbyrði sé ekki umfram það sem hóflegt megi teljast hyggist Hagstofan yfirfara verklag með það fyrir augum að takmarka fjölda hringinga.
Með bréfi, dags. 2. október 2017, ítrekuðu 31. október s.m., var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Hagstofu Íslands til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Engin svör bárust frá kvartanda.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna, og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Hagstofa Íslands vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í því felst meðal annars að ávallt verður að vera fullnægt einhverju af skilyrðum 8. gr. laganna. Þegar um ræðir vinnslu persónuupplýsinga á vegum stjórnvalda reynir einkum á 3., 5. og 6. tölul. 1. mgr. 8. gr. laganna, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt (a) til að fullnægja lagaskyldu, (b) vegna verks sem unnið er í þágu almannahagsmuna eða (c) við beitingu opinbers valds.
Einnig verður að líta til þeirra ákvæða í öðrum lögum sem við eiga hverju sinni. Í 1. gr. laga nr. 163/2007 um Hagstofu Íslands kemur fram að hún skuli vinna að opinberri hagskýrslugerð. Samkvæmt 2. mgr. þeirrar greinar er þar átt við söfnun gagna til tölfræðilegrar úrvinnslu um landshagi Íslands og þjóðfélagsleg málefni, úrvinnslu gagnanna og miðlun tölfræðilegra upplýsinga til almennings, fyrirtækja, stofnana og stjórnvalda. Samkvæmt 8. gr. laganna skal Hagstofan afla nauðsynlegra hagskýrslugagna um einstaklinga og heimili úr opinberum skrám og á grundvelli stjórnsýslugagna eftir því sem kostur er. Hagstofunni sé að öðru leyti heimilt að afla persónubundinna upplýsinga beint frá einstaklingum.
Þegar litið er til framangreindra ákvæða 8. gr. laga nr. 77/2000 og laga nr. 163/2007 telur Persónuvernd ljóst að Hagstofa Íslands hafi heimild til að vinna með persónuupplýsingar í þágu umræddrar rannsóknar, þ.e. rannsóknar á notkun á tæknibúnaði og neti.
Auk þess sem vinnsla persónuupplýsinga þarf að falla undir einhverja af heimildum 8. gr. laga nr. 77/2000 verður hún að samrýmast öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000, þ. á m. því skilyrði 1. tölul. þeirrar málsgreinar að persónuupplýsingar skulu unnar með sanngjörnum málefnalegum og lögmætum hætti og að öll meðferð þeirra skal samrýmast vönduðum vinnsluháttum persónuupplýsinga.
Eins og að framan greinir þá styðst Hagstofa Íslands við það verklag að hafa samband símleiðis við einstaklinga sem veljast í úrtak rannsókna. Reynt sé að ná til einstaklinga í úrtaki þar til að svar liggur fyrir. Þegar neitun viðkomandi einstaklings liggur hins vegar fyrir eru hringingar til hans stöðvaðar. Með hliðsjón af framangreindu, og þar sem Hagstofan hefur ekki andmælt þeim upplýsingum sem fram koma í kvörtun um framkvæmd við símhringingar stofnunarinnar, er það lagt til grundvallar að Hagstofan hafi hringt í kvartanda með þeim hætti sem lýst er í kvörtuninni.
Í athugasemdum við 7. gr. frumvarps þess sem varð að lögum um persónuvernd og meðferð persónuupplýsinga kemur meðal annars fram að áskilnaður um lögmæti vinnslu í skilningi 7. gr. feli ekki einungis í sér skírskotun til skráðra lagareglna heldur einnig til óskráðra grundvallarreglna um persónuvernd og friðhelgi einkalífs. Þá kemur einnig fram að vinnsla persónuupplýsinga teljist ólögmæt ef tilgangur hennar fær ekki samrýmst almennum sjónarmiðum um persónuvernd. Með vísan til alls framangreinds og þess að engar takmarkanir eru í verklagsreglum Hagstofu Íslands á því hversu oft megi hringja í þátttakendur, telur Persónuvernd að verklagsreglur Hagstofu Íslands, sem taka til símhringinga í þá sem veljast í úrtök rannsókna, hafi ekki verið í samræmi við vandaða vinnsluhætti, sbr. 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Vinnslan samrýmdist því ekki ákvæðum laga nr. 77/2000.
Lagt er fyrir Hagstofu Íslands að senda Persónuvernd afrit af uppfærðum verklagsreglum, sem tekur mið af framangreindri niðurstöðu, eigi síðar en 15. janúar 2018.
Ú r s k u r ð a r o r ð:
Það verklag Hagstofu Íslands, að hringja í einstaklinga sem veljast í úrtak rannsókna þar til afstaða þeirra liggur fyrir, án takmarkana, fer í bága við ákvæði 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, þess efnis að vinnsla persónuupplýsinga skuli vera lögmæt og í samræmi við vandaða vinnsluhætti.
Skal Hagstofa Íslands yfirfara verklagsreglurnar og senda Persónuvernd afrit af uppfærðum verklagsreglum eigi síðar en 15. janúar 2018.