Vinnsla Menntasjóðs námsmanna á persónuupplýsingum
Mál nr. 2020061813
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir því að Menntasjóður námsmanna tengdi almennar fyrirspurnir, sem kvartandi setti fram í tölvupósti og vörðuðu ekki réttindi hennar hjá sjóðnum, við kennitölu hennar sem skráð hafði verið við netfang hennar í skjalavistunarkerfi sjóðsins. Auk þess var kvartað yfir því að kvartandi hefði hvorki verið upplýstur um vinnsluna né getað gefið gilt samþykki fyrir henni.
Persónuvernd komst að þeirri niðurstöðu að vinnslan hefði verið lögmæt þar sem Menntasjóði námsmanna hefði verið skylt að skrá fyrirspurnir kvartanda á skilvirkan og kerfisbundinn hátt, með vísan til ákvæða upplýsingalaga og laga um opinber skjalasöfn. Þá hefði vinnslan samrýmst gagnsæiskröfu persónuverndarlaganna.
Úrskurður
Hinn 10. mars 2022 Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020061813:
I.
Málsmeðferð
Hinn 4. júní 2020 barst Persónuvernd kvörtun frá [A](hér eftir kvartandi) yfir vinnslu persónuupplýsinga hennar af hálfu Lánasjóðs íslenskra námsmanna (nú Menntasjóðs námsmanna). Nánar tiltekið laut kvörtunin að því að öll erindi kvartanda til sjóðsins hefðu verið skráð á kennitölu hennar, óháð því hvort þau vörðuðu persónuleg réttindi hennar eða geymdu almennar fyrirspurnir.
Með bréfi, dags. 18. nóvember 2020, var Menntasjóði námsmanna tilkynnt um kvörtunina og veittur kostur á að tjá sig um hana. Svarað var af hálfu sjóðsins með ódagsettu bréfi sem barst Persónuvernd 8. janúar 2021. Með bréfi, dags. 21. júní 2021, ítrekuðu 26. júlí s.á., óskaði Persónuvernd eftir frekari upplýsingum frá Menntasjóði námsmanna. Svarað var með bréfi, dags. 1. september s.á. Kvartanda var boðið að tjá sig um svör Menntasjóðs námsmanna með bréfi, dags. 14. október s.á., og svaraði hún þann 7. nóvember s.á.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
__________________
Í málinu er deilt um lögmæti þess að Menntasjóður námsmanna hafi tengt almennar fyrirspurnir, sem kvartandi setti fram, við kennitölu hennar sem skráð hafði verið við netfang hennar í skjalavistunarkerfi sjóðsins.
Kvartandi byggir á því að hún hafi sent Menntasjóði námsmanna almennar fyrirspurnir sem hafi ekki varðað persónubundin réttindi hennar. Telur kvartandi tengingar þessara upplýsinga, þ.e. um netfang og kennitölu, ekki hafa verið nauðsynlegar í því skyni að svara almennum fyrirspurnum hennar. Þá hafi upplýsingaréttur kvartanda ekki verið virtur, meðal annars vegna þess að hún hafi ekki verið upplýst um þessa vinnslu við skráningu netfangs síns hjá sjóðnum. Að auki hafi skráning netfangsins ekki farið fram á grundvelli samþykkis hennar, í ljósi þess að hún hafi ekki haft val um annað en að skrá netfangið, né hafi hún með þeirri skráningu veitt samþykki fyrir þeirri vinnslu sem mál þetta varðar. Loks gerir kvartandi athugasemdir við að Menntasjóður námsmanna hafi undir rannsókn málsins miðlað upplýsingum til Persónuverndar um að hún sé viðskiptavinur sjóðsins. Telur hún að það séu upplýsingar sem hafi ekki vægi fyrir úrlausn málsins. Telur kvartandi að nægt hafi í þessu tilliti að upplýsa Persónuvernd um að hún hafi skráð netfang sitt hjá sjóðnum.
Menntasjóður námsmanna byggir á því að sjóðurinn notist við kennitölur viðskiptavina sinna við skráningu erinda og verkbeiðna. Viðskiptavinir séu beðnir um að gefa upp netfang sitt sem síðan sé tengt kennitölu þeirra í kerfi sjóðsins. Erindi sem sjóðnum berist frá skráðum netföngum séu síðan skráð með sjálfvirkum hætti á viðkomandi málsaðila í skjalavistunarkerfi sjóðsins. Kvartandi hafi staðfest netfang sitt og hafi áður haft samskipti við sjóðinn úr sama netfangi. Póstur kvartanda hafi því verið skráður sjálfvirkt undir kennitölu hennar í samræmi við þetta verklag og kerfisvirkni. Sjóðnum berist daglega mikill fjöldi fyrirspurna sem langflestar varði persónuleg viðskipti fyrirspyrjenda. Notkun kennitalna sé ætlað að draga úr hættu á að persónuupplýsingum einstaklinga sé ruglað saman en slíkur ruglingur geti leitt til þess að persónuupplýsingar séu sendar röngum aðilum og að erindum yrði ekki svarað. Fyrirkomulagið styðji þannig við skilvirka stjórnsýslu hjá sjóðnum, meðal annars með tilliti til málshraðareglu stjórnsýsluréttar. Menntasjóður námsmanna telur að kvartanda hafi mátt vera ljóst þegar hún staðfesti netfang sitt hjá sjóðnum og eftir fyrri samskipti hennar úr sama netfangi að það yrði tengt kennitölu hennar. Að öðru leyti hafi réttur hennar til upplýsinga um vinnslu persónuupplýsinga hennar verið tryggður með persónuverndarstefnu sem hafi verið aðgengileg á vef sjóðsins.
II.
Forsendur og niðurstaða
1.
Afmörkun máls
Kvartandi hefur gert athugasemdir við að Menntasjóður námsmanna hafi miðlað til Persónuverndar upplýsingum um að hún sé viðskiptavinur sjóðsins undir rannsókn fyrirliggjandi máls.
Persónuvernd óskaði eftir upplýsingum frá Menntasjóði námsmanna í tengslum við þá kvörtun sem málið er risið af. Umræddar upplýsingar voru veittar Persónuvernd af þessu tilefni og var þeim bersýnilega ætlað að varpa ljósi á þá vinnslu sem kvartað var yfir. Kvartanda gat ekki dulist að óhjákvæmilegt væri að Menntasjóður námsmanna miðlaði til Persónuverndar lágmarksupplýsingum um viðskipti hennar við sjóðinn, í tengslum við kvörtun hennar sjálfrar til stofnunarinnar, enda má telja ósennilegt að hún hefði skráð og staðfest netfang sitt hjá sjóðnum ef ekki væri fyrir þau viðskipti. Í þessu sambandi skal jafnframt tekið fram að ábyrgðaraðila ber, að fenginni beiðni, að hafa samvinnu við stofnunina við framkvæmd verkefna hennar, sbr. 28. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 31. gr. reglugerðar (ESB) 2016/679, og hefur Persónuvernd heimild til að fyrirskipa að ábyrgðaraðili veiti hverjar þær upplýsingar sem hún þarfnast vegna framkvæmdar laganna og reglugerðarinnar, sbr. 1. tölul. 1. mgr. 41. gr. laganna og 1. tölul. 1. mgr. 58. gr. reglugerðarinnar.
Að framangreindu athuguðu og að virtri framsetningu athugasemdanna telur Persónuvernd ekki fært að líta svo á að í þeim hafi falist sérstakt umkvörtunarefni sem óskað var úrlausnar um. Kemur miðlunin því ekki til frekari umfjöllunar í þessum úrskurði.
2.
Lögmæti vinnslu
Sem fyrr greinir er í málinu er deilt um lögmæti þess að Menntasjóður námsmanna hafi tengt almennar fyrirspurnir, sem kvartandi setti fram í tölvupósti, við kennitölu hennar í skjalavistunarkerfi sjóðsins.
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins).
Til viðbótar við framangreint er notkun kennitölu háð því að hún eigi sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu, sbr. 13. gr. laga n. 90/2018.
Við mat á lögmæti vinnslu persónuupplýsinga samkvæmt framangreindum ákvæðum getur að auki þurft að líta til annarra réttarheimilda. Starfsemi Menntasjóðs námsmanna fellur undir gildissvið upplýsingalaga nr. 140/2012, sbr. 1. mgr. 2. gr. þeirra. Í 25. gr. laganna segir að um skráningu mála, skjalaskrár og aðra vistun gagna fari samkvæmt ákvæðum laga nr. 77/2014 um opinber skjalasöfn. Skilgreining hugtaksins skjals tekur meðal annars til hvers kyns gagns sem geymir upplýsingar og hefur borist við starfsemi á vegum stofnunar, sbr. 2. tölul. 2. gr. þeirra laga. Skilgreining hugtaksins skjalastjórn tekur meðal annars til skilvirkrar og kerfisbundinnar stýringar á móttöku skjala. Í 1. mgr. 3. gr. reglna nr. 331/2020, sem settar voru á grundvelli 1. og 3. tölul. laganna, segir að tölvupósta, og fylgiskjöl þeirra, sem varði mál með efnislegum hætti skuli skrá og varðveita í skjalasafni afhendingarskylds aðila. Þá segir meðal annars í 2. gr. reglna nr. 85/2018, sem settar voru á grundvelli 23. gr. laganna, að afhendingarskyldir aðilar skuli skrá mál sem komi til meðferðar hjá þeim á kerfisbundinn hátt. Í 4. tölul. 3. gr. sömu reglna er mælt fyrir um að skrá skuli upplýsingar um málsaðila.
Af framangreindum ákvæðum verður dregin sú ályktun að Menntasjóði námsmanna hafi verið skylt að skrá fyrirspurnir kvartanda á skilvirkan og kerfisbundinn hátt, þ.m.t. upplýsingar um málsaðild hennar sem fyrirspyrjanda.
Að þessu virtu verður lagt til grundvallar að sú vinnsla persónuupplýsinga kvartanda sem hér er til umfjöllunar hafi stuðst við heimild samkvæmt 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Jafnframt er það niðurstaða Persónuverndar að vinnslan hafi mátt vera kvartanda ljós að teknu tilliti framanrakinna ákvæða laga nr. 140/2012 og nr. 77/2014, svo og reglna nr. 331/2020 og 85/2018. Því hafi vinnslan samrýmst gagnsæiskröfu 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar.
Þá er til þess að líta að í framkvæmd Persónuverndar hefur reynt á lögmæti skráningar kennitölu hjá forvera Menntasjóðs námsmanna, þ.e. Lánasjóði íslenskra námsmanna (LÍN), í tengslum við afgreiðslu fyrirspurnar einstaklings, sbr. úrskurð stofnunarinnar frá 7. apríl 2011 í máli nr. 2011/3. Í málinu tók stofnunin sérstaklega til skoðunar hvort sú vinnsla samrýmdist þágildandi ákvæði 10. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sem er samhljóða núgildandi ákvæði 13. gr. laga nr. 90/2018. Í úrskurðinum segir meðal annars: „Af hálfu LÍN hefur komið fram að sjóðurinn telji skráningu kennitalna vera nauðsynlega til að persónuupplýsingum einstakra manna verði ekki ruglað saman og til að tryggja skilvirka stjórnsýslu með vísun í málshraðareglu stjórnsýsluréttarins. Þá kveður sjóðurinn mikinn meirihluta fyrirspurna vera sértæks eðlis og varði beinlínis samskipti einstakra fyrirspyrjanda við sjóðinn. Því séu þær oft hluti af afgreiðslu mála, bæði hjá sjóðinum sjálfum og stjórn LÍN. Með vísun til framangreindra skýringa LÍN er það mat Persónuverndar að umrædd vinnsla sjóðsins á kennitölum fari fram í málefnalegum tilgangi og samrýmist ákvæðum 10. gr. laga nr. 77/2000. Hefur þá m.a. verið litið til þeirrar staðreyndar að nú byggja flest tölvukerfi hins opinbera á persónugreiningu málsaðila á grundvelli kennitalna og að notkun þeirra mun almennt vera talin nauðsynleg í stjórnsýslu til að tryggja örugga persónugreiningu í þágu almannahagsmuna.“
Með vísan til sömu röksemda telur Persónuvernd að leggja verði til grundvallar að sú vinnsla sem mál þetta varðar hafi samrýmst 13. gr. laga nr. 90/2018.
Með hliðsjón af öllu framangreindu er það því niðurstaða Persónuverndar að sú vinnsla persónuupplýsinga kvartanda sem hér er til umfjöllunar hafi samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vinnsla Menntasjóðs námsmanna á persónuupplýsingum um [A], í tengslum við afgreiðslu fyrirspurna hennar til sjóðsins, samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Helga Sigríður Þórhallsdóttir Bjarni Freyr Rúnarsson