Úrskurður um vinnslu persónuupplýsinga hjá Þjónustumiðstöð Breiðholts
Mál nr. 2016/766
Persónuvernd hefur úrskurðað um að vinnsla persónuupplýsinga hjá Þjónustumiðstöð Breiðholts hafi samrýmst lögum nr. 77/2000.
Úrskurður
Á fundi stjórnar Persónuverndar þann 20. nóvember 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/766:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 3. maí 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir vinnslu persónuupplýsinga hjá Þjónustumiðstöð Breiðholts. Í kvörtuninni segir m.a. að um árabil hafi kvartandi þurft að sæta yfirheyrslum af hálfu [B], félagsráðgjafa, þar sem óskað hafi verið eftir upplýsingum sem þjóni engum tilgangi. Einnig má ráða af kvörtun að umræddur félagsráðgjafi hafi beitt hann þrýstingi til að fara til tannlæknis. Þá hafi annar félagsráðgjafi tekið við hans málum í hennar stað og þannig hafi persónuupplýsingum hans verið miðlað milli starfsmanna Þjónustumiðstöðvarinnar.
2.
Bréfaskipti
Með bréfi, dags. 28. júní 2016, var Þjónustumiðstöð Breiðholts tilkynnt um framangreinda kvörtun og veittur kostur á að tjá sig um hana. Í svarbréfi þjónustumiðstöðvarinnar, dags. 8. júlí s.á., segir m.a. að vinnsla persónuupplýsinga um kvartanda hjá miðstöðinni sé heimil samkvæmt 3. tölul. 1. mgr. 8. gr. og 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Vísar þjónustumiðstöðin í því sambandi til IV. og V. kafla laga nr. 40/1991 um félagsþjónustu sveitarfélaga, sem og 60. gr. sömu laga, þess efnis að málsgögn er varða persónulega hagi einstaklinga skuli varðveitt með tryggilegum hætti þannig að óviðkomandi fái þar ekki aðgang. Er umrædd vinnsla talin hafa hafa uppfyllt öll skilyrði 7. gr. laga nr. 77/2000 og ekki hafa verið umfram það sem nauðsynlegt hafi verið miðað við tilgang hennar. Segir í bréfinu að fyllsta öryggis hafi verið gætt og að umræddum upplýsingum hafi aðeins verið miðlað milli þess starfsfólks þjónustumiðstöðvarinnar sem hafi komið að málefnum kvartanda. Af því tilefni sé áréttað að starfsmenn þjónustumiðstöðvarinnar fari með mál einstaklinga í skjóli stjórnsýsluvalds þess sem Reykjavíkurborg sé falið að lögum. Mál séu færð milli starfsmanna stofnunarinnar eftir álagi og skipulagi starfsemi þar hverju sinni. Slíkur flutningur mála feli þannig ekki í sér að óviðkomandi fái aðgang að gögnum sem varða einstakling sem þiggur þjónustu af Reykjavíkurborg.
Með bréfi, dags. 4. ágúst 2016, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Þjónustumiðstöðvar Breiðholts til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Engin svör bárust og var erindið ítrekað með bréfum, dags. 15. september 2016 og 11. október s.á. Engin svör bárust frá kvartanda.
Með bréfi, dags. 19. júlí 2017, ítrekuðu með bréfi, dags. 3. október s.á., var óskað frekari skýringa frá kvartanda um hvernig hann teldi að upplýsingasöfnun Þjónustumiðstöðvarinnar hefði verið umfram það sem nauðsynlegt var, þ. á m. um hvaða upplýsingar hefði verið að ræða. Þann 26. október s.á. kom kvartandi í móttöku Persónuverndar og tilkynnti starfsmanni hennar að hann ætlaði ekki að koma á framfæri frekari athugasemdum í málinu.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili að vinnslu
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Þjónustumiðstöð Breiðholts vera ábyrgðaraðili að umræddri vinnslu um kvartanda.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Má þar nefna að vinnsla sé nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 1. mgr. þeirrar greinar, eða að vinnsla sé nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 6. tölul. sömu málsgreinar. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna. Samkvæmt c-lið 8. tölul. 2. gr. laganna eru heilsufarsupplýsingar viðkvæmar, en af kvörtun verður ráðið að skráðar hafi verið upplýsingar sem varða tannheilsu kvartanda. Eins og hér háttar til kemur þá einkum til skoðunar 2. tölul. 1. mgr. 9. gr., þess efnis að vinnsla sé heimil standi til hennar sérstök heimild samkvæmt lögum.
Um heimild til vinnslu persónuupplýsinga vísar Þjónustumiðstöð Breiðholts m.a. til IV. og V. kafla laga nr. 40/1991 um félagsþjónustu. Segir m.a. í 12. gr. þeirra laga að sveitarfélag skuli veita íbúum þjónustu og aðstoð og jafnframt tryggja að þeir geti séð fyrir sér og sínum. Aðstoð og þjónusta skuli jöfnum höndum vera til þess fallin að bæta úr vanda og koma í veg fyrir að einstaklingar og fjölskyldur komist í þá aðstöðu að geta ekki ráðið fram úr málum sínum sjálf. Þá segir í 16. gr. laganna að félagsmálanefndir skuli bjóða upp á félagslega ráðgjöf, en í henni felist m.a. að veita stuðning vegna félagslegs og persónulegs vanda. Samkvæmt 17. gr. sömu laga tekur félagsleg ráðgjöf til ráðgjafar á sviði fjármála, húsnæðismála, uppeldismála, skilnaðarmála o.fl. Segir að henni skuli ætíð beitt í eðlilegu samhengi við aðra aðstoð samkvæmt lögunum og í samvinnu við aðra þá aðila sem bjóða upp á slíka þjónustu, svo sem skóla og heilsugæslustöðvar eftir því sem við á. Þá kemur fram í 1. mgr. 4. gr. laga nr. 40/1991 að sveitarfélög beri ábyrgð á félagsþjónustu innan sinna marka. Hefur sveitarfélögum þannig með lögum verið falið þetta hlutverk, og þar með það opinbera vald sem því tengist, en Reykjavíkurborg hefur kosið að starfrækja þjónustumiðstöðvar til að sinna þessu hlutverki sveitarfélagsins sem þar með teljast ábyrgðaraðilar, eins og fyrr segir, að vinnslu persónuupplýsinga í því sambandi. Af ákvæðum laganna verður ekki annað ráðið en að Þjónustumiðstöð Breiðholts sé heimil slík vinnsla upplýsinga um kvartanda í þeim tilgangi að veita honum félagslega þjónustu sem hann óskar eftir og á rétt á, sbr. 3. og 6. tölul. 1. mgr. 8. gr. og 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000.
Hvað varðar sérstaklega miðlun upplýsinga um kvartanda milli starfsmanna Þjónustumiðstöðvar Breiðholts, þ.e. félagsráðgjafa sem báðir komu að málum hans, skal tekið fram að ábyrgðaraðili vinnslunnar, í þessu tilviki þjónustumiðstöðin, ber ábyrgð á verkum starfsmanna gagnvart hinum skráða. Eins og hér háttar til er því ekki um miðlun persónuupplýsinga til óviðkomandi að ræða enda var vinnsla persónuupplýsinga um kvartanda liður í starfi umræddra starfsmanna fyrir ábyrgðaraðila og byggð á framangreindum heimildum í lögum nr. 40/1991.
Auk heimildar í 8. og, eftir atvikum, 9. gr. laga nr. 77/2000, verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfunum um gæði gagna og vinnslu í 1. mgr. 7. gr. sömu laga. Þar er m.a. mælt fyrir um að persónuupplýsingar skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. þeirrar málsgreinar. Ekki hefur komið fram að umrædd vinnsla hafi verið andstæð þessari kröfu, né heldur öðrum kröfum laganna.
Meðferð máls þessa hefur dregist vegna mikilla anna hjá Persónuvernd.
Ú r s k u r ð a r o r ð:
Vinnsla persónuupplýsinga um [A] hjá Þjónustumiðstöð Breiðholts samrýmdist ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.