Varðveisla persónuupplýsinga hjá opinberri stofnun
Mál nr. 2020031337
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir varðveislu persónuupplýsinga hjá opinberri stofnun. Í úrskurðinum var komist að þeirri niðurstöðu að stofnuninni væri óheimilt að eyða þeim upplýsingum sem um ræðir á grundvelli laga um opinber skjalasöfn og að vinnsla persónuupplýsinga um kvartanda væri í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
Hinn 25. janúar
2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020031337:
I.
Málsmeðferð
1.
Kvörtun og bréfaskipti
Hinn 29. mars 2020 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur „kvartandi“) yfir vinnslu persónuupplýsinga um hann hjá Landsneti hf. (hér eftir Landsneti).Í kvörtun segir að kvartandi hafi sótt um starf hjá Landsneti, en ekki hlotið starfið. Eftir að umsóknarferlinu lauk hafi hann óskað eftir því að persónuupplýsingum um hann hjá Landsneti yrði eytt. Einnig segir að Landsnet hafi hafnað beiðni hans á þeim grundvelli að félagið væri afhendingarskyldur aðili á grundvelli laga nr. 77/2014 um opinber skjalasöfn og að félaginu væri því óheimilt að ónýta eða farga nokkru skjali í skjalasafni félagsins nema á grundvelli samþykktar þjóðskjalavarðar, reglna Þjóðskjalasafns Íslands eða á grundvelli sérstaks lagaákvæðis.
Með bréfi, dags. 14. september 2020, var Landsneti boðið að koma á framfæri athugasemdum við framkomna kvörtun. Svar Landsnets barst með bréfi, dags. 24. s.m. Með bréfi, dags. 19. nóvember s.á., var kvartanda veittur kostur á að tjá sig um framkomin svör ábyrgðaraðila, en svar barst með bréfi, dags. 26. s.m. Með bréfi, dags. 9. desember s.á., var óskað frekari upplýsinga frá ábyrgðaraðila, en svar barst með bréfi, dags. 4. janúar 2021.
Við úrlausn málsins hefur verið tekið tilliti til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Kvartandi segist hafa lagt fram beiðni um eyðingu munnlega en henni hafi verið synjað. Að mati kvartanda er Landsneti óheimilt að varðveita persónuupplýsingar um hann eftir að fyrir lá að hann yrði ekki ráðinn umrætt starf. Því beri að eyða persónuupplýsingum um hann sem varðveittar eru hjá félaginu.
3.
Sjónarmið Landsnets
Í svari Landsnets segir meðal annars að á grundvelli meginreglna laga nr. 90/2018 skuli ekki varðveita persónuupplýsingar lengur heldur en málefnalegt er með hliðsjón af tilgangi vinnslu, sbr. 5. tölul. 1. mgr. 8. gr. laganna. Einnig segir að ef kveðið sé á um varðveislu upplýsinganna í öðrum lögum þá teljist sú varðveisla málefnaleg. Á grundvelli laga nr. 77/2014 sé félaginu óheimilt að ónýta eða farga nokkru skjali í skjalasafni sínu og að það komi meðal annars fram í 7. gr. persónuverndarreglna félagsins sem aðgengilegar eru á vefsíðu þess.
Einnig segir að Landneti hafi borist fyrirspurn frá kvartanda þann 27. janúar 2020, þar sem óskað var upplýsinga um varðveislutíma starfsumsókna hjá félaginu. Kvartanda var svarað sama dag þar sem honum var greint frá því að vegna ákvæða laga nr. 77/2014 væri Landneti óheimilt að ónýta eða farga nokkru skjali í skjalasafni félagsins og væru upplýsingarnar því varðveittar ótímabundið. Í síðari samskiptum milli Landsnets og kvartanda hafi honum meðal annars verið ráðlagt að hafa samband við Þjóðskjalasafn um heimildir til grisjunar sem og persónuverndarfulltrúa Landsnets. Í svarbréfi Landsnets segir að af þessum samskiptum megi ekki ráða að kvartandi hafi óskað eftir eyðingu starfsumsóknar, einungis hafi verið um að ræða fyrirspurn um varðveislu hjá félaginu, en umrædd samskipti fylgdu með svarbréfi Landsnets til Persónuverndar. Þá segir einnig í svari Landsnets að starfmönnum mannauðsdeildar Landsnets reki ekki minni til þess að slík beiðni hafi komið fram munnlega af hálfu kvartanda, en samkvæmt verklagsreglum Landsnets ber að skrá slíkar beiðnir í skjalakerfi Landsnets.
Með hliðsjón af framangreindu telur Landsnet að félaginu sé skylt að varðveita persónuupplýsingarnar og að félaginu væri óheimilt að eyða þeim persónuupplýsingum sem felast í starfsumsókn kvartanda ef félaginu myndi berast beiðni þess efnis.
II.
Forsendur og
niðurstaða
1.
Afmörkun máls - aðild
Mál þetta varðar annars vegar varðveislu Landsnets á persónuupplýsingum um kvartanda og hins vegar synjun Landsnets á beiðni kvartanda um eyðingu persónuupplýsinga.
Samkvæmt 1. málsl. 2. mgr. 39. gr. laga nr. 90/2018 á sérhver skráður einstaklingur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við reglugerð (ESB) 2016/679 eða ákvæði laganna. Úrskurðar Persónuvernd þá um hvort brot hafi átt sér stað.
Af hálfu kvartanda hefur komið fram að hann hafi óskað eftir því munnlega að Landsnet eyði persónuupplýsingum um hann sem varðveittar eru hjá félaginu. Af hálfu Landsnets er því hafnað að kvartandi hafi borið fram slíka beiðni. Um þetta stendur orð gegn orði og hefur Persónuvernd ekki forsendur til þess að taka afstöðu til þess hvort slík beiðni hafi verið lögð fram við Landsnet.
Með hliðsjón af framangreindu er þeim þætti kvörtunarinnar sem lýtur að synjun á beiðni kvartanda um eyðingu persónuupplýsinga því vísað frá og verður einungis úrskurðað um heimild Landsnets til varðveislu upplýsinganna.
2.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að varðveislu Landsnet á persónuupplýsingum um kvartanda í skjalasafni félagsins. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Landsnet vera ábyrgðaraðili að umræddri vinnslu.
3.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga, þ. á m. varðveisla þeirra, verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laganna og c-lið 1. mgr. 6. gr. reglugerðarinnar.
Landsnet er afhendingarskyldur aðili á grundvelli 2. mgr. 14. gr. laga nr. 77/2014, en í því felst að félaginu er skylt að afhenda skjöl sín opinberu skjalasafni þegar þau hafa náð tilteknum aldri, sbr. 4. mgr. sömu greinar og 1. mgr. 15. gr. laganna. Þá segir í 1. mgr. 24. gr. laganna að afhendingarskyldum aðilum sé óheimilt að ónýta eða farga nokkru skjali í skjalasöfnum sínum nema það sé gert á grundvelli samþykktar þjóðskjalavarðar, tiltekinna reglna settum með stoð í lögunum eða sérstaks lagaákvæðis.
Að mati Persónuverndar getur varðveisla Landsnets persónuupplýsinga um kvartanda farið fram á grundvelli framangreinds ákvæðis laga nr. 77/2014, sbr. 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018 og c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.). Að mati Persónuverndar verður ekki séð að vinnsla persónuupplýsinga hjá Landsneti hafi verið í andstöðu við grunnkröfur 8. gr. laga nr. 90/2018 og 5. gr. reglugerðar (ESB) 2016/679.
Að framangreindu virtu,
sem og í ljósi úrskurðar stjórnar Persónuverndar, dags. 14. desember 2017, í
máli nr. 2016/1433, er niðurstaða Persónuverndar sú að varðveisla Landsnets á
persónuupplýsingum um kvartanda samrýmist lögum nr. 90/2018, um persónuvernd og
vinnslu persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Þeim þætti kvörtunar [A] sem lýtur að synjun Landsnets á beiðni hans um eyðingu persónuupplýsinga er vísað frá.
Varðveisla Landsnets hf. á persónuupplýsingum um [A] vegna
samrýmist lögum nr. 90/2018, um persónuvernd og
vinnslu persónuupplýsinga.
Í Persónuvernd, 25. janúar 2021
Þórður Sveinsson Vigdís Eva Líndal