Úrskurður um vinnslu persónuupplýsinga hjá Tryggingastofnun ríkisins
Mál nr. 2016/1646
Persónuvernd hefur úrskurðað um að fyrirhuguð vinnsla Tryggingastofnunar ríkisins á persónuupplýsingum um einstakling, í tilefni af umsókn hans um greiðslu ellilífeyris, hafi samrýmst lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Úrskurður
Á fundi stjórnar Persónuverndar þann 22. ágúst 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1646:
I.
Málsmeðferð
1.
Tildrög máls
Þann 31. október 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), yfir vinnslu persónuupplýsinga um hann hjá Tryggingastofnun ríkisins (TR.) Sama dag og kvörtun hans barst sótti kærandi um um að hefja töku ellilífeyris. Í umsókn sinni til TR neitaði kvartandi að undirrita yfirlýsingu um að hann veitti stofnuninni heimild til að afla tiltekinna upplýsinga um hann. Yfirlýsingin er svohljóðandi:
„Með undirskrift minni veiti ég Tryggingastofnun heimild til að afla nauðsynlegra upplýsinga sem kunna að hafa áhrif á fjárhæð greiðslna, við eftirlit og við innheimtu ofgreiddra bóta, frá skattyfirvöldum, lífeyrissjóðum, Atvinnuleysistryggingasjóði, Vinnumálastofnun og hjá sambærilegum stofnunum erlendis þegar við á. Jafnframt veiti ég Tryggingastofnun heimild til að afla nauðsynlegra gagna frá Sjúkratryggingum Íslands, Þjóðskrá Íslands, Innheimtustofnun sveitarfélaga, Fangelsismálastofnun, Útlendingastofnun, ríkislögreglustjóra, Samgöngustofu, sjúkrastofnunum, dvalar- og hjúkrunarheimili, sveitarfélögum, Lánasjóði íslenskra námsmanna, viðurkenndum menntastofnunum innan almenna menntakerfisins og skólum á háskólastigi til að unnt sé að meta rétt til greiðslna.“
Telur kvartandi framangreint fela í sér of víðtækar heimildir TR til gagnaöflunar.
2.
Bréfaskipti
Með bréfi, dags. 14. febrúar 2017, var TR boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svar TR barst Persónuvernd með bréfi, dags. 6. mars 2017. Kemur þar meðal annars fram að stofnuninni sé lögum samkvæmt falið að annast greiðslur almannatrygginga, skv. lögum nr. 100/2007 um almannatryggingar og lögum um félagslega aðstoð nr. 99/2007. Í því lögbundna hlutverki felist meðal annars greiðsla ellilífeyris skv. 17. gr. laga nr. 100/2007. Tiltekin skilyrði séu fyrir greiðslu ellilífeyris auk aldurstakmörkunar, eða lágmarks búseta á Íslandi auk tekna undir tilteknum mörkum. Stofnunin hafi auk þess eftirlitsskyldu með því að réttar bætur séu greiddar sbr. 45. gr. sömu laga. Til þess að stofnuninni sé mögulegt að gegna hlutverki sínu sé nauðsynlegt að hafa aðgang að tilteknum upplýsingum. Sé því umsækjanda og bótaþega skylt að veita TR allar nauðsynlegar upplýsingar til þess að hægt sé að taka ákvörðun um bótarétt, fjárhæð og greiðslu bóta, auk þess sem stofnunin hafi víðtækar heimildir til að afla upplýsinga frá öðrum aðilum, sbr. 39. og 43. gr. laga nr. 100/2007. Einnig er tekið fram að meðalhófs sé gætt við öflun upplýsinga. Um heimild til vinnslu vísar TR til 3. og 5. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þá áréttar TR að gætt sé að kröfum 7. gr. laga nr. 77/2000, á þann veg að ekki sé óskað eftir upplýsingum sem bersýnilega eru óþarfar. Auk þess sé gætt við alla vinnslu persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Loks er tekið fram að fræðsluskyldu til ellilífeyrisþega og annarra sé sinnt með ýmsum hætti, s.s. með víðtækum upplýsingum á heimasíðu, upplýsingabréfum sem send eru til þeirra sem eru að verða 67 ára, og mánaðarlegum kynningarfundum um réttindi þeirra sem eru orðnir 67 ára.
Með bréfi, dags. 20. mars 2017, sendi kvartandi Persónuvernd viðbótar upplýsingar varðandi kvörtunina, þar sem kemur fram að TR hafi óskað eftir upplýsingum um rétta lögheimilisskráningu hans, ella yrði greiðsla lífeyris stöðvuð, með vísan til þess að skráning lögheimilis sé forsenda greiðslna frá TR. Varð kvartandi ekki við því, og með bréfi, dags. 3. apríl 2017, upplýsti hann Persónuvernd að TR hefði fellt niður lífeyrisgreiðslur af framangreindum ástæðum.
Með bréfi, dags. 22. júní 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar TR. Svarbréf kvartanda barst Persónuvernd, dags. 4. júlí 2017, þar sem fyrri sjónarmið eru áréttuð og því er mótmælt að meðalhófs sé gætt í öflun upplýsinga hjá TR.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 – Ábyrgðaraðili
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar.
Af framangreindu er ljóst að beiðni TR um upplýsingar um kvartanda fellur undir gildissvið laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst TR vera ábyrgðaraðili að umræddri vinnslu.
2.
Niðurstaða
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, svo sem heilsufarsupplýsinga, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna.
Þegar stjórnvöld afla upplýsinga í tengslum við lögbundið hlutverk sitt getur vinnslan stuðst við 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þess efnis að vinnslan telst heimil sé hún nauðsynleg til að fullnægja lagaskyldu, sbr. einnig 2. tölul. 1. mgr. 9. gr. að því er varðar vinnslu viðkvæmra persónuupplýsinga. Við mat á því hvort slík skylda sé hér til staðar verður að líta til þeirra lagareglna sem TR starfar eftir. Af svari TR verður ráðið að stofnunin styðjist við heimildir í lögum nr. 100/2007 um almannatryggingar, en skv. 39. gr. laganna er umsækjanda eða greiðsluþega meðal annars skylt að veita TR þær upplýsingar sem nauðsynlegar eru svo unnt sé að taka ákvörðun um bótarétt, fjárhæð og greiðslu bóta og endurskoðun þeirra. Kemur jafnframt fram í 40. gr. að TR sé heimilt, að fengnu skriflegu samþykki umsækjanda og greiðsluþega, að afla nauðsynlegra upplýsinga um tekjur umsækjanda og greiðsluþega hjá skattyfirvöldum, og greiðslur hjá lífeyrissjóðum, Vinnumálastofnun og sambærilegum stofnunum erlendis þegar það á við með rafrænum hætti eða á annan hátt. Þar að auki skulu Þjóðskrá Íslands, Innheimtustofnun sveitarfélaga, Fangelsismálastofnun, Útlendingastofnun, ríkislögreglustjóri, Samgöngustofa, lífeyrissjóðir, sjúkrastofnanir, dvalar- og hjúkrunarheimili, sveitarfélög, Lánasjóður íslenskra námsmanna, viðurkenndar menntastofnanir innan hins almenna menntakerfis og skólar á háskólastigi skuli láta TR í té upplýsingar með rafrænum hætti eða á annan hátt að því marki sem slíkar upplýsingar séu nauðsynlegar til að unnt sé að framfylgja lögunum, sbr. 1. mgr. 43. gr. laganna. Þá bendir TR jafnframt á lög nr. 99/2007 um félagslega aðstoð. Vísar TR þannig til lögboðins hlutverks síns skv. lögum nr. 100/2007 til að meðal annars greiða ellilífeyri. Telur Persónuvernd, í ljósi alls framangreinds, vinnsluna geta fallið undir framangreint ákvæði 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um sanngirni og meðalhóf. Ekkert bendir til þess að framangreind vinnsla brjóti gegn þeim kröfum, enda er meðal annars búseta hér á landi í tiltekinn tíma skilyrði fyrir rétti til ellilífeyri, sbr. ákvæði laga nr. 100/2007, né heldur öðrum kröfum sem leiddar verði af lögum. Þegar litið er til alls framangreinds telur Persónuvernd að umrædd vinnsla persónuupplýsinga hafi samrýmst lögum nr. 77/2000.
Meðferð þessa máls hefur dregist vegna mikilla anna hjá stofnuninni.
Ú r s k u r ð a r o r ð:
Fyrirhuguð vinnsla TR á persónuupplýsingum um kvartanda, í tilefni af umsókn um greiðslu ellilífeyris, samrýmdist ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.