Vinnsla dýralæknis á persónuupplýsingum

Mál nr. 2022081269

16.6.2023

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu [B] dýralæknis í máli nr. 2022081269:

I.
Málsmeðferð

Hinn 1. ágúst 2022 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir miðlun persónuupplýsinga um hana af hálfu [B] dýralæknis til þriðja aðila. Nánar tiltekið hafi [B] flett upp eyrnamerki tiltekins kattar í gagnagrunninum Dýraauðkenni í tilefni af beiðni frá þriðja aðila um tilteknar upplýsingar um viðkomandi kött. Undir eyrnamerki kattarins í gagnagrunninum hafi verið skráðar upplýsingar um kvartanda, sem eiganda kattarins, ásamt upplýsingum um meðal annars nafn, kennitölu, heimilisfang og símanúmer hennar. [B] hafi tekið þær upplýsingar saman og miðlað þeim til fyrrnefnds þriðja aðila. Þá lýtur kvörtunin jafnframt að afgreiðslu [B] á aðgangsbeiðni kvartanda, sem barst [B] með tölvupósti 25. júní 2022.

Persónuvernd bauð [B] að tjá sig um kvörtunina með bréfi, dags. 14. október 2022, og bárust svör hennar 4. nóvember s.á. Með tölvupósti þann 8. nóvember s.á. óskaði Persónuvernd eftir frekari skýringum frá [B]. Svar barst með bréfi, dags. 21. s.m. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

___________________

Kvartandi vísar til þess að viðkomandi þriðji aðili sem hafi fengið upplýsingar um nafn, kennitölu, heimilisfang og símanúmer hennar frá [B] dýralækni í tengslum við umræddan kött hafi áður verið eigandi kattarins. Kötturinn hafi hins vegar verið fjarlægður af heimili hans vegna vanrækslu og komið fyrir í umsjá kvartanda. Miðlun [B] á framangreindum upplýsingum um kvartanda hafi orðið til þess að hún hafi orðið fyrir áreiti af hendi þessa þriðja aðila. Telur kvartandi að [B] hafi ekki verið heimilt að miðla fyrrnefndum upplýsingum um sig til þessa þriðja aðila. Þá hafi [B] ekki afgreitt aðgangsbeiðni kvartanda með fullnægjandi hætti.

[B] vísar til þess að í maí 2022 hafi viðkomandi þriðji aðili óskað eftir upplýsingum um fyrrnefndan kött þar sem bólusetningarvottorð hans væri glatað. Í tölvukerfi dýralækningastofu hennar hafi komið fram upplýsingar frá árinu 2013 sem sýndu meðal annars að umræddur þriðji aðili hefði þá verið eigandi kattarins. Vísar hún til þess að hver sá sem hafi auðkenni dýrs, eyrna- eða örmerki, undir höndum geti slegið því upp í gagnagrunn Dýraauðkennis og fengið þar upplýsingar um viðkomandi dýr ásamt upplýsingum um eiganda þess, svo sem nafn, heimilisfang, kennitölu og símanúmer. Upplýsingarnar hafi því verið öllum aðgengilegar. Kveðst [B] hafa afhent þessum þriðja aðila upplýsingar sem fengust þaðan skriflega í kjölfarið.

Varðandi athugasemdir kvartanda um afgreiðslu aðgangsbeiðni hennar vísar [B] til þess að hún hafi ekki svarað henni því hún hafi haldið að um hótanir frá tölvuþrjóti eða svindlara hafi verið að ræða.

II.
Niðurstaða
1.
Lögmæti vinnslu

Mál þetta lýtur að miðlun persónuupplýsinga um kvartanda til þriðja aðila og afgreiðslu á aðgangsbeiðni hennar. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. [B] dýralæknir telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins, eða vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. sama ákvæðis.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.).

Samkvæmt þeim upplýsingum sem liggja fyrir í þessu máli er óumdeilt að upplýsingum um nafn, kennitölu, heimilisfang og símanúmer kvartanda var miðlað til þriðja aðila af hálfu [B]. Eins og áður hefur komið fram hefur [B] neitað því að hafa miðlað upplýsingum um kvartanda til þriðja aðila. Þrátt fyrir þá neitun er ljóst af gögnum málsins að upplýsingunum hafi verið miðlað. Með vísan til þess hvernig atvik voru í þessu máli þykir ljóst að engin heimild var fyrir miðlun framangreinda persónuupplýsinga samkvæmt fyrrnefndu ákvæði 9. gr. laga nr. 90/2018 og var hún því andstæð ákvæðum laganna.

Að framangreindu virtu er það niðurstaða Persónuverndar að vinnsla [B] dýralæknis á persónuupplýsingum um kvartanda hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Varðandi þann hluta kvörtunarinnar sem lýtur að afgreiðslu [B] á aðgangsbeiðni kvartanda er til þess að líta að krafa persónuverndarlöggjafarinnar um lögmæta, sanngjarna og gagnsæja vinnslu, samkvæmt 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðarinnar, felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu vera unnar og í hvaða tilgangi. Aðgangsréttur samkvæmt 17. gr. laga nr. 90/2018 og 15. gr. reglugerðarinnar er þáttur í því að tryggja framangreint og verður að skoða hann í því ljósi. Í 1. mgr. 15. gr. reglugerðarinnar segir að skráður einstaklingur skuli eiga rétt á að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar um hann og, sé svo, rétt til aðgangs að persónuupplýsingunum. Ábyrgðaraðilinn skal veita skráðum einstaklingi upplýsingar um aðgerðir, sem gripið er til vegna beiðni skv. 15.-22. gr. reglugerðarinnar, án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar frá viðtöku beiðninnar, sbr. 3. mgr. 12. gr. reglugerðarinnar. Verði ábyrgðaraðili ekki við beiðni skráðs einstaklings samkvæmt framangreindum ákvæðum skal hann tilkynna honum án tafar um ástæðurnar fyrir því að það var ekki gert og um möguleikann á að leggja fram kvörtun hjá eftirlitsyfirvaldi og leita réttarúrræðis, sbr. 4. mgr. 12. gr. reglugerðarinnar.

Að öllu framangreindu virtu er það niðurstaða Persónuverndar að [B] hafi ekki afgreitt aðgangsbeiðni kvartanda í samræmi við 3. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018.

Í samræmi við þessa niðurstöðu, og með vísan til 3. tölul. 42. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir [B] að veita kvartanda upplýsingar um vinnslu persónuupplýsinga hennar af hálfu dýralækningastofu [B], sbr. 1. mgr. 15. gr. reglugerðar (ESB) 2016/679. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 13. júlí 2023.

Ú r s k u r ð a r o r ð:

 

Miðlun [B] á persónuupplýsingum um [A] samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Afgreiðsla [B] á aðgangsbeiðni [A] samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Lagt er fyrir [B] að veita [A] upplýsingar um vinnslu persónuupplýsinga hennar af hálfu [B], sbr. 1. mgr. 15. gr. reglugerðar (ESB) 2016/679. Skal [B] senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum eigi síðar en 13. júlí 2023.

Persónuvernd, 16. júní 2023

Helga Sigríður Þórhallsdóttir            Inga Amal Hasan