Vinnsla persónuupplýsinga af hálfu Reykjavíkurborgar og rekstraraðila gististaðar
Mál nr. 2020010736
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir vinnslu upplýsinga af hálfu Reykjavíkurborgar og gististaðar rekinn af X. Nánar tiltekið var kvartað yfir því að velferðarsvið Reykjavíkurborgar hefði skráð og aflað persónuupplýsinga um kvartanda og miðlað þeim áfram á milli sviða hjá borginni og til X án hans heimildar. Jafnframt laut kvörtun að því að fræðslu hefði skort til hans um vinnsluna. Kvörtun gagnvart X beindist að skráningu og miðlun persónuupplýsinga um hann án heimildar eða vitneskju kvartanda þar um. Þá laut kvörtun að afgreiðslu á upplýsingabeiðni kvartanda, bæði hjá velferðarsviði Reykjavíkurborgar og X.
Niðurstaða Persónuverndar var sú að Reykjavíkurborg hefði haft heimild til vinnslunnar á grundvelli laga og að fræðsluskyldan hefði ekki átt við vegna þess. Reykjavíkurborg var hins vegar ekki talin hafa afgreitt aðgangsbeiðni kvartanda í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga. Þá var X talið hafa haft heimild til vinnslu upplýsinga um kvartanda vegna lagaskyldu og lögmætra hagsmuna þess. Hins vegar var X ekki talið hafa afgreitt aðgangsbeiðni kvartanda í samræmi við lög.
Persónuvernd lagði fyrir Reykjavíkurborg og X að afgreiða aðgangsbeiðnir kvartanda.
Úrskurður
um kvörtun yfir vinnslu persónuupplýsinga af hálfu Reykjavíkurborgar í máli nr. 2020010736 (áður mál nr. 2018020340):
I.
Málsmeðferð
1.
Tildrög máls
Hinn 13. febrúar 2018 barst Persónuvernd kvörtun frá [A] f.h. [B] yfir vinnslu persónuupplýsinga um hann hjá annars vegar velferðarsviði Reykjavíkurborgar og hins vegar [gististaðnum Y], sem [rekinn] er af [X]. Kvartað er yfir því að velferðarsvið Reykjavíkurborgar hafi aflað og skráð persónuupplýsingar um kvartanda og miðlað þeim áfram á milli sviða hjá borginni og til [X] án hans heimildar. Jafnframt hafi skort fræðslu til hans um vinnsluna. Hvað varðar [X] beinist kvörtunin að skráningu og miðlun persónuupplýsinga án heimildar eða vitneskju kvartanda þar um. Kvörtunin lýtur einnig að afgreiðslu á upplýsingabeiðni frá kvartanda, bæði hjá velferðarsviði Reykjavíkur og [X].
Með bréfi, dags. 4. apríl 2018, óskaði Persónuvernd staðfestingar kvartanda á afmörkun umkvörtunarefnisins. Svarað var með bréfi, dags. 17. s.m. Með bréfum, dags. 14. maí 2018, var Reykjavíkurborg og [X] tilkynnt um framangreinda kvörtun og boðið að tjá sig um efni hennar. Svör bárust með bréfi frá Reykjavíkurborg, dags. 2. ágúst s.á., og bréfi frá [X], dags. 20. júlí s.á. Með bréfi, dags. 24. ágúst 2018, var kvartanda boðið að tjá sig um framkomin svör. Athugasemdir kvartanda, auk viðbótar við upphaflegt umkvörtunarefni, bárust með bréfi, dags. 7. september s.á. Með bréfum, dags. 21. september 2018, var Reykjavíkurborg og [X] boðið að tjá sig um viðbótina. Svar Reykjavíkurborgar, dags. 25. október s.á., og svar [X], dags. 5. október s.á., voru send kvartanda til athugasemda með bréfi, dags. 26. október s.á. Svarað var með bréfi, dags. 9. nóvember s.á. Með bréfum, dags. 12. mars 2019, óskaði Persónuvernd frekari upplýsinga frá Reykjavíkurborg og [X] varðandi upplýsingabeiðni kvartanda. Svar Reykjavíkurborgar barst með bréfi, dags. 25. s.m., og svar [X] barst með tölvupósti hinn 22. s.m. Með bréfi, dags. 4. apríl 2019, var kvartanda boðið að tjá sig um framkomin viðbótarsvör. Svarað var með tveimur bréfum, dags. 24. s.m.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna og fylgiskjala, þó að ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Beðist er velvirðingar á töfum sem orðið hafa á meðferð málsins, m.a. vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Í kvörtun og athugasemdum kvartanda í málinu kemur fram að hann hafi leigt aðstöðu á [gististaðnum Z] frá sumrinu 2017 og haft aðgang að eldhúsi og hreinlætisaðstöðu á [gististaðnum Y]. Í febrúar 2018 hafi starfsmenn [Z] tilkynnt um að lokað yrði fyrir aðstöðuna á [Y]. Kvartandi vísar til viðtals við framkvæmdastjóra [Z] sem birst hafi í [fréttamiðli] í [...] um einstaklinga sem leigi aðstöðu [hjá Z] en þar hafi komið fram [lýsing á félagslegum aðstæðum þeirra]. Kvartandi tekur fram að síðar í sama mánuði hafi starfsmenn Reykjavíkurborgar komið á [gististaðinn Z] til að ræða við hann og hafi þeir verið með tilbúinn samning um dvöl í [tilteknu búsetuúrræði], útfylltan með nafni hans, kennitölu og heimilisfangi. Tekur kvartandi fram að starfsmaður borgarinnar hafi upplýst um að haft hefði verið samband við [Y] af hálfu Reykjavíkurborgar og spurt um stöðu hans. Forsvarsmaður [rekstraraðilans X] hafi síðan miðlað upplýsingum um hann til starfsmanna [gististaðarins Z]. Kvartandi bendir á að hann hafi aldrei gefið starfsmönnum borgarinnar upplýsingar um sig. Jafnframt er kvartað yfir miðlun persónuupplýsinga á milli einstakra sviða Reykjavíkurborgar.
Kvartandi byggir á því að hvorki velferðarsvið Reykjavíkurborgar né [X] hafi haft heimild til vinnslu persónuupplýsinga um hann og eins hafi skort á fræðslu til hans, meðal annars um hvaðan upplýsingarnar voru fengnar og í hvaða tilgangi. Kvartandi byggir jafnframt á því að [Y] hafi skort heimild til þess að miðla persónuupplýsingum um hann til fjölmiðla. Þá tekur kvartandi meðal annars fram að [A] hafi sent bréf f.h. hans til Reykjavíkurborgar, dags. 28. desember 2017 og 31. janúar 2018, þar sem óskað hafi verið tiltekinna upplýsinga varðandi [fyrrgreint] búsetuúrræðið [...]. Hafi þeim bréfum ekki verið svarað.
Við málsmeðferðina bætti kvartandi við umkvörtunarefni sitt og kvartaði einnig yfir afgreiðslu Reykjavíkurborgar og [X] á upplýsingabeiðni hans, sbr. 18. gr. þágildandi laga nr. 77/2000, þar sem beiðni hans hafi verið svarað of seint og með ófullnægjandi hætti.
3.
Sjónarmið Reykjavíkurborgar
Reykjavíkurborg byggir meðal annars á því að samkvæmt 45. og 46. gr. laga nr. 40/1991 um félagsþjónustu sveitarfélaga beri sveitarfélögum að tryggja íbúum sínum húsnæði. Í ljósi [neyðar sem uppi hafi verið] hafi verið tekin sú ákvörðun hjá borginni að bjóða öllum einstaklingum sem gistu á [gististaðnum Z], óháð lögheimili, að nýta það neyðarúrræði sem komið hafði verið á fót í [...], gegn því að lögheimilissveitarfélag niðurgreiddi dvalarkostnað. Byggt er á því að engum persónuupplýsingum um kvartanda hafi verið miðlað til [gististaðarins Y]. Þær upplýsingar sem hafi verið veittar [Y] hafi eingöngu verið þær að öllum gestum [gististaðarins Z] yrði boðin tímabundin búseta í [...].
Því er einnig lýst að vettvangs- og ráðgjafarteymi velferðarsviðs Reykjavíkurborgar, sem heyri undir Þjónustumiðstöð Vesturbæjar, Miðborgar og Hlíða (svokallað VOR-teymi), hafi farið á [gististaðinn Z] til að grennslast fyrir um þá sem þar gistu og boðið þeim pláss í [...]. Teymið hafi gefið sig á tal við fjölda [gesta] sem flestir hafi gefið upp nafn og oftast kennitölu. Á sama tíma hafi verið víðtæk fjölmiðlaumfjöllun um málið þar sem nöfn [gesta] hafi meðal annars verið birt. Af hálfu Reykjavíkurborgar er því haldið fram að ekki sé vitað með vissu með hvaða hætti upplýsingar um nafn kvartanda hafi komist til vitundar starfsmanna velferðarsviðs Reykjavíkurborgar en það hafi getað verið með tvennum hætti. Annars vegar hafi þær getað borist til VOR-teymisins í vettvangsferð um [gististaðinn] og hins vegar úr fjölmiðlaumfjöllun. Upplýsingar um kennitölu kvartanda ásamt lögheimili hafi annaðhvort verið fengnar frá kvartanda sjálfum eða úr þjóðskrá. Þá hafi kvartandi áður þegið boð um gistingu í [...] og dvalið þar í um það bil mánuð frá 20. desember 2017, án þess þó að undirrita samning.
Í svarbréfi Reykjavíkurborgar, dags. 18. ágúst 2020, í öðru máli sem jafnframt varðar kvartanda og velferðarsvið Reykjavíkurborgar (sbr. mál nr. 2020010725 hjá Persónuvernd), kom að auki fram að um misræmi hefði verið að ræða í svörum borgarinnar um hvaðan framangreindar upplýsingar væru fengnar. Í því bréfi kemur fram að nöfn einstaklinganna hafi ekki komið úr fjölmiðlaumfjöllun heldur hafi viðkomandi aðilar sjálfir gefið þau upp, m.a. kvartandi. Þá segir jafnframt að ekki sé með vissu hægt að fullyrða hvernig upplýsingar um kennitölu og lögheimili bárust velferðarsviði Reykjavíkurborgar í tilviki kvartanda en annaðhvort hafi kvartandi veitt þær sjálfur eða þá að þeim hafi verið flett upp í þjóðskrá í því skyni að útbúa drög að dvalarsamningi. Slíkum persónuupplýsingum hafi hins vegar ekki verið flett upp í þjóðskrá án þess að viðkomandi aðili gæfi upp nafn sitt og sýndi vilja til að þiggja þjónustu velferðarsviðs. Byggt er á að enginn listi með nöfnum þeirra sem gistu á [gististaðnum Z] hafi verið búinn til af velferðarsviði og einu upplýsingarnar sem skráðar hafi verið séu upplýsingar sem gestir [gististaðarins] veittu VOR-teyminu. Þá er á því byggt af hálfu Reykjavíkurborgar að engum upplýsingum um kvartanda hafi verið miðlað á milli sviða borgarinnar.
Hvað varðar fræðslu til kvartanda um vinnslu persónuupplýsinga er byggt á því að þær upplýsingar sem veittar hafi verið [Y], þ.e. að öllum [gestum] hafi staðið til boða búsetuúrræði í [...], hafi ekki verið þess eðlis að gæta þyrfti að fræðsluskyldu á grundvelli 20. og 21. gr. þágildandi laga nr. 77/2000 við miðlun þeirra.
Í svarbréfi Reykjavíkurborgar til Persónuverndar, dags. 25. október 2018, kemur fram að láðst hafi að svara bréfi frá kvartanda, dags. 18. apríl s.á., þar sem hann hafi óskað eftir gögnum um sig. Þá kemur fram að úr því hafi verið bætt og hafi honum verið sent bréf, dags. 25. október s.á., með upplýsingum í tengslum við annars vegar umsókn hans um fjárhagsaðstoð árið 2005 og hins vegar umsóknir um félagslegt húsnæði árin 2002 og 2005, sem til hafi verið um hann hjá borginni, en eins og fram hafi komið í bréfinu hefðu engin mál verið skráð á kvartanda í málaskrá síðan árið 2006. Jafnframt hafi verið vísað til þess að hluti eldri gagna hefði verið afhentur Borgarskjalasafni. Einnig segir að gögnunum hafi ekki verið miðlað annað og að upplýsingarnar hafi stafað frá kvartanda sjálfum, svo sem í umsóknum sem hann hafi sjálfur lagt fram.
4.
Sjónarmið [X], rekstraraðila [Y]
Af hálfu [X] er á því byggt að velferðarsvið Reykjavíkurborgar hafi leitað til forsvarsmanns [gististaðarins Z], sem [rekinn] sé af [X], í þeim tilgangi að fá upplýsingar um það hvort kvartandi hefðist [þar við] þar sem til stæði að bjóða honum tímabundið búsetuúrræði í [...]. Í kjölfarið hafi starfsmanni [gististaðarins Y] verið greint frá framangreindum upplýsingum frá velferðarsviði Reykjavíkurborgar.
Af hálfu [X] er því alfarið neitað að fjölmiðlum hafi verið veittar persónulegar upplýsingar um kvartanda. Vísað er til þess að í viðtali forsvarsmanns [X] við tiltekinn fjölmiðil hafi kvartandi hvergi verið nefndur á nafn og engar myndir birtar af [...].
Þá er byggt á því að skráning gesta á [gististaðnum Z] fari eftir verklagi sem byggt sé á reglugerð um veitingastaði, gististaði og skemmtanahald nr. 1277/2016, sbr. áður reglugerð nr. 585/2007 um sama efni. Samkvæmt 6. gr. tilvísaðrar reglugerðar skal á gististað haldin skrá yfir næturgesti með upplýsingum um nafn, kennitölu eða fæðingardag, heimilisfang og þjóðerni. Því til viðbótar hafi starfsfólk [gististaðarins] skráð niður tilteknar viðbótarupplýsingar um langtímagesti í tengslum við vinnu sína við eftirlit [...], umsjón með greiðslum og til að bregðast mætti við mögulegum neyðartilvikum. Þessar upplýsingar komi frá gestunum sjálfum við innritun og staðfestingu á áframhaldandi dvöl. Meðal annars hafi verið skráð [...] símanúmer og tengiliðaupplýsingar aðstandenda sem gestir hafi gefið upp og leyft að haft yrði samband við ef til þess kæmi, og upplýsingar um hvort gæludýr fylgdu gestinum. Ekki kemur fram í svörum [X] að upplýsingabeiðni frá kvartanda, dags. 18. apríl 2018, hafi verið afgreidd, en með tölvupósti til Persónuverndar þann 22. mars 2019 fylgdi afrit af gögnum með upplýsingum um kvartanda frá [Y], þ.e. tveimur gestalistum af [gististaðnum Z], þ.e. fyrir veturna 2017-2018 og 2018-2019, auk skjáskots úr bókhaldskerfi [X] sem sýndi greiðslustöðu kvartanda. Kvartandi fékk sent afrit þessara gagna með bréfi frá Persónuvernd, dags. 4. apríl 2019.
II.
Forsendur og niðurstaða
1.
Lagaskil og afmörkun máls
Atvik máls þessa gerðust fyrir gildistöku núgildandi laga, nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, hinn 15. júlí 2018, sbr. einnig reglugerð (ESB) 2016/679. Umfjöllun og efni þessa úrskurðar byggjast því í meginatriðum á ákvæðum eldri laga, nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Um það hvort farið hafi verið að lögum við afgreiðslu á upplýsingabeiðni kvartanda fer eftir þágildandi lögum nr. 77/2000. Um rétt kvartanda til upplýsinga um vinnslu persónuupplýsinga um sig þegar þessi úrskurður er kveðinn upp gilda hins vegar núgildandi lög nr. 90/2018 og reglugerð (ESB) 2016/679. Þá er jafnframt byggt á lögum nr. 90/2018 hvað varðar fyrirmæli Persónuverndar um ráðstafanir sem grípa þarf til.
2.
Gildissvið – Ábyrgðaraðili
Gildissvið eldri persónuverndarlaga, nr. 77/2000, sbr. 1. mgr. 3. gr. þeirra laga, náði til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem voru eða áttu að verða hluti af skrá. Persónuupplýsingar voru skilgreindar sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint mátti rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölulið 2. gr. laganna, og vinnsla var skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið var með persónuupplýsingar, hvort heldur sem vinnslan var handvirk eða rafræn, sbr. 2. tölulið sömu greinar.
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Mál þetta lýtur annars vegar að öflun, skráningu og miðlun persónuupplýsinga um kvartanda hjá Reykjavíkurborg og [X] og hins vegar að rétti hans til upplýsinga um vinnslu persónuupplýsinga um sig. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist persónuverndarlögum er nefndur ábyrgðaraðili. Eins og hér háttar til telst Reykjavíkurborg ábyrgðaraðili að vinnslu persónuupplýsinga um kvartanda hjá borginni, m.a. öflun þeirra og skráningu. [X telst] vera ábyrgðaraðili að vinnslu persónuupplýsinga um kvartanda, m.a. skráningu, hjá [Y].
3.
Ábyrgðaraðilinn Reykjavíkurborg
3.1.
Lögmæti vinnslu
Samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sem í gildi voru þegar atvik máls þessa áttu sér stað, varð öll vinnsla persónuupplýsinga að byggjast á einhverri þeirra heimilda sem greindi í 8. gr. laganna. Væri um viðkvæmar persónuupplýsingar að ræða þurfti vinnsla þeirra einnig að styðjast við eitt þeirra skilyrða sem í 9. gr. laganna greindi. Ekki verður séð að þær persónuupplýsingar sem á reynir í máli þessu flokkist sem viðkvæmar persónuupplýsingar í skilningi laganna þrátt fyrir að sumar þeirra, líkt og upplýsingar um [félagslegar aðstæður], megi telja viðkvæms eðlis. Þegar um ræðir vinnslu persónuupplýsinga sem fram fer á vegum stjórnvalda hefur einkum verið talið að við geti átt 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þess efnis að vinnsla sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu, 5. tölul. 1. mgr. sömu greinar, sem heimilar vinnslu sem er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna, eða 6. tölul. 1. mgr. sömu greinar, um vinnslu sem er nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingunum er miðlað til, fer með.
Við mat á því hvort heimild stendur til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Í 1. mgr. 12. gr. laga nr. 40/1991 um félagsþjónustu sveitarfélaga er að finna almennt ákvæði sem kveður á um að sveitarfélag skuli sjá um að veita íbúum þjónustu og aðstoð samkvæmt lögunum og jafnframt tryggja að þeir geti séð fyrir sér og sínum. Þá segir í 2. mgr. sömu greinar að aðstoð og þjónusta skuli vera til þess fallin að bæta úr vanda og koma í veg fyrir að einstaklingar og fjölskyldur komist í þá aðstöðu að geta ekki ráðið fram úr málum sínum sjálf. Enn fremur er í 45. og 46. gr. fyrrgreindra laga kveðið á um skyldu sveitarfélaga til að tryggja íbúum sínum húsnæði. Nánar tiltekið segir í 46. gr. að félagsmálanefndir skuli sjá til þess að veita þeim fjölskyldum og einstaklingum, sem ekki eru færir um það sjálfir, úrlausn í húsnæðismálum til að leysa úr bráðum vanda meðan unnið er að varanlegri lausn. Þá er í 7. gr. laganna kveðið á um að sveitarfélögum sé heimilt að hafa samvinnu um verkefni samkvæmt lögunum sem og önnur verkefni sem félagsþjónustunni er ætlað að sinna. Sú staðreynd að kvartandi var ekki með lögheimili í Reykjavík girðir því ekki fyrir að Reykjavíkurborg geti verið heimilt í samvinnu við lögheimilissveitarfélag kvartanda að vinna að úrræði í húsnæðismálum hans.
Til þess er jafnframt að líta að við meðferð mála samkvæmt lögum nr. 40/1991 verður að fara að hinni almennu skráningarskyldu stjórnvalda samkvæmt 27. gr. upplýsingalaga nr. 140/2012. Segir þar nánar tiltekið að við meðferð mála, þar sem taka á ákvörðun um rétt eða skyldu manna, skuli stjórnvöld skrá upplýsingar um málsatvik sem veittar eru munnlega eða fengnar eru með öðrum hætti ef þær hafa þýðingu fyrir úrlausn máls og er ekki að finna í öðrum gögnum.
Auk heimildar samkvæmt framangreindu varð vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 7. gr. þágildandi laga nr. 77/2000. Var þar meðal annars kveðið á um að persónuupplýsingar skyldu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skyldi vera í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.) og að þær skyldu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.).
Sem fyrr segir þurfti öll vinnsla persónuupplýsinga að byggja á einhverri heimild 8. gr. laga nr. 77/2000. Ljóst er að líta verður á afskipti borgarinnar af húsnæðismálum kvartanda sem afmarkaðan þátt í lögbundnum verkefnum borgarinnar við að veita viðunandi félagsþjónustu samkvæmt lögum nr. 40/1991.
Hvað varðar sérstaklega meinta miðlun upplýsinga um kvartanda milli sviða Reykjavíkurborgar skal tekið fram að ábyrgðaraðili vinnslunnar, í þessu tilviki Reykjavíkurborg, ber ábyrgð á verkum starfsmanna gagnvart hinum skráða. Borginni er skipt í svið og undir hvert svið heyrir fjöldi starfseininga. Eins og hér háttar til verður ekki séð að um miðlun á milli sviða hafi verið að ræða. Þá hafi sú vinnsla sem fram fór getað verið liður í þeirri starfsemi sem hver starfseining sem kom að málum kvartanda fór með.
Með vísan til framangreinds verður talið að vinnsla persónuupplýsinga kvartanda hjá Reykjavíkurborg hafi getað stuðst við heimild í 3. og 6. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Forsenda þess að vinnsla teldist sanngjörn, í samræmi við grunnkröfu 1. mgr. 7. gr. þágildandi laga nr. 77/2000, var að hún væri gagnsæ gagnvart hinum skráða en í því fólust m.a. kröfur til þess að hinn skráði vissi um vinnsluna og fengi um hana fræðslu. Við mat á því hvort skilyrði um gagnsæi hafi verið uppfyllt gat meðal annars þurft að líta til ákvæða laganna um fræðsluskyldu. Í 21. gr. laganna var kveðið á um að þegar ábyrgðaraðili aflaði persónuupplýsinga um hinn skráða frá öðrum en honum sjálfum skyldi hann samtímis láta hinn skráða vita af því og greina honum frá tilteknum atriðum, sbr. upptalningu í 3. mgr. ákvæðisins. Þetta átti hins vegar ekki við ef ætla mátti að hinum skráða væri þegar kunnugt um vinnslu persónuupplýsinga um sig, sbr. 2. tölul. 4. mgr. 21. gr. laganna, sem og ef lagaheimild stóð til skráningar eða miðlunar upplýsinganna, sbr. 3. tölul. sömu málsgreinar.
Þótt málsaðilum beri ekki saman um það hvaðan velferðarsvið Reykjavíkurborgar fékk upplýsingar um nafn og kennitölu kvartanda og búsetu hans á [gististaðnum Z] er ljóst að upplýsingarnar voru síðan notaðar til útfyllingar samnings um dvöl að [...] sem kvartanda var síðar boðinn. Gegn andmælum kvartanda verður ekki á því byggt að upplýsingarnar hafi komið frá honum sjálfum. Hins vegar er það mat Persónuverndar að eins og hér háttar til hafi fræðsluskylda samkvæmt 21. gr. laganna ekki verið til staðar, með vísan til undantekningarákvæðisins í 3. tölul. 4. mgr. ákvæðisins, þar sem lagaheimild hafi staðið til vinnslu upplýsinganna. Með hliðsjón af því verður ekki heldur talið að brotið hafi verið gegn 1. mgr. 7. gr. laga nr. 77/2000 um að persónuupplýsingar skyldu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skyldi vera í samræmi við vandaða vinnsluhætti persónuupplýsinga.
3.2.
Upplýsinga- og aðgangsréttur hins skráða hjá Reykjavíkurborg
Líkt og að framan greinir beindi kvartandi upplýsingabeiðni til velferðarsviðs Reykjavíkurborgar í gildistíð eldri persónuverndarlaga nr. 77/2000 og var beiðnin grundvölluð á 18. gr. þeirra laga. Hins vegar var beiðnin ekki afgreidd fyrr en eftir að lög nr. 90/2018 höfðu tekið gildi og verður því einnig að líta til ákvæða núgildandi laga um hvernig afgreiðslunni var háttað.
Í 18. gr. laga nr. 77/2000 var kveðið á um rétt hins skráða til að fá frá ábyrgðaraðila vitneskju, meðal annars um hvaða upplýsingar um hann var eða hafði verið unnið með, tilgang vinnslunnar og hvaðan upplýsingarnar komu. Samkvæmt 1. mgr. 14. gr. þágildandi laga nr. 77/2000 skyldi afgreiða erindi samkvæmt 18. gr. laganna svo fljótt sem verða mátti og eigi síðar en innan mánaðar frá móttöku þess. Í 2. mgr. 14. gr. var mælt fyrir um að yllu sérstakar ástæður því að ómögulegt væri fyrir ábyrgðaraðila að afgreiða erindi innan eins mánaðar væri honum heimilt að gera það síðar. Þegar svo hagaði til skyldi ábyrgðaraðili innan mánaðarfrestsins gefa hlutaðeigandi skriflegar skýringar á ástæðum tafarinnar og hvenær svars væri að vænta.
Kvartandi lagði fram upplýsingabeiðni til velferðarsviðs Reykjavíkurborgar með bréfi þann 18. apríl 2018. Svarað var af hálfu borgarinnar þann 25. október s.á. Beiðnin var því ekki afgreidd fyrr en rúmlega sex mánuðir voru liðnir frá því að hún var lögð fram. Liggur samkvæmt þessu fyrir að Reykjavíkurborg afgreiddi upplýsingabeiðni kvartanda ekki innan tilskilins frests. Lét borgin jafnframt hjá líða að upplýsa um ástæður tafarinnar og hvenær svars væri að vænta, líkt og lög kváðu á um.
Fyrir liggur að í afgreiðslu Reykjavíkurborgar, sbr. bréf borgarinnar til kvartanda dags. 25. október 2018, voru honum veittar upplýsingar í tengslum við annars vegar umsókn um fjárhagsaðstoð árið 2005 og hins vegar umsóknir um félagslegt húsnæði árin 2002 og 2005. Sérstaklega var tekið fram í bréfinu að ekki hefði nein vinnsla farið fram á þeim upplýsingum, sem til væru um kvartanda í málaskrá velferðarsviðs, eftir að fyrrgreindu máli vegna umsóknar um fjárhagsaðstoð frá árinu 2005 var lokið árið 2006.
Hafa ber í huga að aðgangsréttur skráðs einstaklings samkvæmt 15. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018, gildir óháð því hvernig upplýsingarnar sem um ræðir eru varðveittar, svo sem hvort þær eru vistaðar í málaskrárkerfi og hvort þær eru skráðar á kennitölu hins skráða sjálfs eða ekki, en þá getur þó eftir atvikum reynt á að hinn skráði veiti ábyrgðaraðila viðbótarupplýsingar til þess að gera honum kleift að finna þær persónuupplýsingar sem um ræðir.
Ljóst er af gögnum þessa máls að frá því síðla árs 2017 bjó velferðarsvið Reykjavíkurborgar yfir persónuupplýsingum um kvartanda í tengslum við [félagslegar aðstæður] hans og neyðarúrræðið í [...], en fyrir liggur jafnframt að hann dvaldi þar frá 20. desember 2017 í um mánuð. Svo sem áður kom fram var kvartanda þó svarað á þá leið að ekki hefði nein vinnsla farið fram á persónuupplýsingum hans í málaskrá velferðarsviðs frá árinu 2006. Þá hefur ekki komið fram í málinu að velferðarsvið hafi talið að undantekningar frá aðgangsréttinum ættu við um framangreind gögn.
Verður samkvæmt öllu framangreindu lagt til grundvallar að Reykjavíkurborg hafi ekki afgreitt upplýsingabeiðni kvartanda í samræmi við 1. mgr. 14. gr. laga nr. 77/2000, sbr. nú 1. mgr. 17. gr. laga nr. 90/2018 og 3. mgr. 12. gr. reglugerðar (ESB) 2016/679. Þá hafi efnisleg afgreiðsla Reykjavíkurborgar á upplýsingabeiðni kvartanda ekki samrýmst 2. mgr. 17. gr. laga nr. 90/2018, sbr. 15. gr. reglugerðarinnar.
Í samræmi við framangreint, og með vísan til 3. tölul. 42. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Reykjavíkurborg að afgreiða upplýsingabeiðni kvartanda til samræmis við 2. mgr. 17. gr. laga nr. 90/2018, sbr. 15. gr. reglugerðar (ESB) 2016/679. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 5. maí 2023.
4.
Ábyrgðaraðilinn [X]
4.1.
Lögmæti vinnslu
Sem fyrr greinir varð öll vinnsla persónuupplýsinga að byggja á einhverri þeirra heimilda sem greindi í 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Hvað varðar þá vinnslu sem hér er til umfjöllunar, þ.e. skráningu upplýsinga um kvartanda, lá samþykki hans ekki fyrir, sbr. 1. tölul. 1. mgr. 8. gr. laganna. Kemur þá einkum til skoðunar hvort vinnslan hafi verið nauðsynleg til að efna samning sem hinn skráði var aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur var gerður, sbr. 2. tölul. sömu málsgreinar, til að fullnægja lagaskyldu sem hvíldi á ábyrgðaraðila, sbr. 3. tölul. sömu málsgreinar, eða til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum var miðlað til, gætu gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vægju þyngra, sbr. 7. tölul. sömu málsgreinar.
Í skýringum [X] er vísað til þess að skylt hafi verið að skrá tilteknar upplýsingar um kvartanda samkvæmt 6. gr. reglugerðar nr. 1277/2016 um veitingastaði, gististaði og skemmtanahald, en í ákvæðinu segir að á gististað skuli haldin skrá yfir næturgesti með upplýsingum um nafn, kennitölu eða fæðingardag, heimilisfang og þjóðerni. Skráning þessara upplýsinga gat því stuðst við heimild í 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000, með vísan til nauðsynjar til að fullnægja lagaskyldu sem hvíldi á ábyrgðaraðila.
Jafnframt liggur fyrir að starfsfólk [X] skráði niður tilteknar viðbótarupplýsingar um langtímagesti á [gististaðnum Z] í tengslum við eftirlit [...], umsjón með greiðslum og til að bregðast við mögulegum neyðartilvikum. Nánar tiltekið var um að ræða upplýsingar um [...] símanúmer og tengiliðaupplýsingar aðstandenda sem gestir höfðu gefið upp og leyft að haft yrði samband við ef til þess kæmi, og upplýsingar um hvort gæludýr fylgdu gestum, auk upplýsinga um dvalartíma og greiðslur. Af málsgögnum má sjá að skráðar voru upplýsingar um [...], símanúmer hans og netfang, ýmsar upplýsingar tengdar dvalartíma og greiðslum, sem og upplýsingar um gæludýr kvartanda. Ekki voru skráðar upplýsingar um aðstandendur hans. Að mati Persónuverndar gat skráning framangreindra upplýsinga talist nauðsynleg til þess að gæta lögmætra hagsmuna ábyrgðaraðila og gat hún því stuðst við heimild í 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Kvörtunin Kvörtunin lýtur einnig að því að forsvarsmaður [X] hafi miðlað upplýsingum, sem hún hafi fengið um stöðu kvartanda í símtali við velferðarsvið Reykjavíkurborgar, til annarra starfsmanna [gististaðarins Z]. Af málsgögnum verður ekki annað ráðið en að um hafi verið að ræða almennar upplýsingar um að borgin hygðist bjóða langtímagestum [gististaðarins], þar með töldum kvartanda, samninga um tímabundna dvöl í búsetuúrræði í [...]. Þá er til þess að líta að ábyrgðaraðilinn er, sem áður segir, [X], en almennt er ekki litið svo á að einstakir starfsmenn séu ábyrgðaraðilar vinnslu í skilningi persónuverndarlaganna. Ekki er því um eiginlega miðlun að ræða í skilningi laganna þar sem upplýsingarnar voru eingöngu nýttar innan starfsemi [X]. Hins vegar kváðu lög nr. 77/2000 á um viðeigandi öryggisráðstafanir við vinnslu persónuupplýsinga, sbr. m.a. 11. gr. þeirra, en í slíkum ráðstöfunum getur til að mynda falist að takmarka beri aðgang að persónuupplýsingum við þá starfsmenn sem þurfa slíkan aðgang starfa sinna vegna. Á það ekki síst við ef um er að ræða viðkvæmar upplýsingar. Eins og hér háttar til verður að mati Persónuverndar ekki talið að [X] hafi verið óheimilt að veita öðrum starfsmönnum en forsvarsmanninum aðgang að umræddum upplýsingum.
Líkt og fyrr segir er það forsenda þess að vinnsla geti talist sanngjörn að hún sé gagnsæ gagnvart hinum skráða, en í því felast m.a. kröfur til þess að hinn skráði viti um vinnsluna og fái um hana fræðslu, sbr. m.a. 20. og 21. gr. laga nr. 77/2000. Nánar tiltekið var fjallað um fræðsluskyldu þegar persónuupplýsinga var aflað hjá hinum skráða sjálfum í 20. gr. laganna, en í 21. gr. var ákvæði um fræðsluskyldu þegar persónuupplýsinga var aflað frá öðrum en hinum skráða.
Eins og hér háttar til telur Persónuvernd að þær aðstæður sem gætu hafa virkjað fræðsluskyldu samkvæmt 21. gr. laganna hafi ekki verið til staðar í málinu, en ekki liggur fyrir að [X] hafi átt frumkvæði að því að afla upplýsinga um kvartanda frá öðrum. [X] öfluðu hins vegar tiltekinna persónuupplýsinga frá kvartanda sjálfum.
Samkvæmt 1. mgr. 20. gr. laga nr. 77/2000 bar ábyrgðaraðila að upplýsa hinn skráða um nafn sitt og heimilisfang og tilgang vinnslunnar, auk þess sem veita átti aðrar upplýsingar sem teljast máttu nauðsynlegar til þess að hinn skráði gæti gætt hagsmuna sinna, svo sem um viðtakendur upplýsinga, hvort skylt væri eða valfrjálst að veita þær og hvaða afleiðingar það hefði að veita þær ekki, svo og um ákvæði laganna um tiltekin réttindi hins skráða. Í 2. mgr. ákvæðisins sagði að 1. mgr. gilti ekki hefði hinn skráði þegar fengið vitneskju um þau atriði sem þar voru tiltekin.
Í því tilviki sem hér um ræðir má telja að kvartanda hafi verið ljóst hvert nafn og heimilisfang [X] var og hver var tilgangur vinnslunnar, en eins og hér háttar til verður jafnframt ekki talin hafa virkjast skylda til að veita frekari upplýsingar sem honum væru nauðsynlegar í ljósi hagsmuna sinna. Hvað varðar fræðsluskyldu í tengslum við upplýsingaöflun Reykjavíkurborgar um dvöl kvartanda á [gististaðnum Z] vísast til umfjöllunar í kafla II.3.1 hér að framan.
Að framangreindu virtu er niðurstaða Persónuverndar sú að skráning [X] á persónuupplýsingum um kvartanda hafi getað stuðst við heimild í. 3. og 7. tölul. 1. mgr. 8. gr. þágildandi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Þá hafi hún ekki brotið í bága við 1. tölul. 1. mgr. 7. gr. laganna hvað gagnsæi varðar.
Kvartandi telur að [X] hafi miðlað persónuupplýsingum hans til fjölmiðla. [X] hafa hafnað því að hafa veitt persónuupplýsingar um kvartanda þegar forsvarsmaður [gististaðarins Z] ræddi við fjölmiðla um almenna stöðu þeirra einstaklinga sem bjuggu [þar]. Í kvörtuninni er vísað í tiltekin ummæli forstöðumanns [X] í nánar tilgreindu viðtali. Ekki verður hins vegar séð að þau ummæli hafi falið í sér persónuupplýsingar um kvartanda. Er þessum þætti kvörtunarinnar því vísað frá.
4.2.
Upplýsinga- og aðgangsréttur hins skráða hjá [X]
Í kafla 3.2 hér að framan má finna almenna umfjöllun um þær lagaheimildir sem giltu um aðgangsrétt kvartanda.
Kvartandi lagði fram upplýsingabeiðni til [X] með bréfi þann 18. apríl 2018. Af gögnum málsins verður ekki séð að beiðni kvartanda hafi verið afgreidd og honum afhent þau gögn er beiðnin laut að. Undir rekstri málsins óskaði Persónuvernd eftir því við [X] að veittar yrðu upplýsingar um og afrit af öllum persónuupplýsingum sem unnið væri með um kvartanda. Í svörum [X] var svarað almennt til um hvaða tegundir persónuupplýsinga væri unnið með af hálfu [gististaðarins Z] varðandi gesti [...]. Því var hins vegar ekki svarað sérstaklega hvaða upplýsingar væri unnið með um kvartanda eða hver tilgangur þeirrar vinnslu væri að öðru leyti en því að Persónuvernd fékk senda tvo gestalista af [gististaðnum], annars vegar fyrir veturinn 2017-2018 og hins vegar veturinn 2018-2019, ásamt skjáskoti úr bókhaldskerfi [X] sem sýndi greiðslustöðu kvartanda.
Verður því ekki séð að [X] hafi afgreitt beiðni kvartanda með fullnægjandi hætti í samræmi við 1. mgr. 14. gr. laga nr. 77/2000, sbr. nú 1. mgr. 17. gr. laga nr. 90/2018 og 3. mgr. 12. gr. reglugerðar (ESB) 2016/679.
Eins og rakið var að framan afhentu [X] tiltekin gögn um kvartanda með svarbréfi sínu til Persónuverndar og fékk kvartandi í kjölfarið aðgang að þeim undir rannsókn málsins. Þar sem beiðni kvartanda var ekki formlega svarað liggur þó ekki fyrir hvort um önnur gögn var að ræða.
Í samræmi við framangreint, og með vísan til 3. tölul. 42. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir [X] að afgreiða upplýsingabeiðni kvartanda. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 5. maí 2023.
Ú r s k u r ð a r o r ð:
Vinnsla Reykjavíkurborgar á persónuupplýsingum um [B] samrýmdist lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Afgreiðsla Reykjavíkurborgar á upplýsingabeiðni [B] samrýmdist ekki 1. mgr. 14. gr. laga nr. 77/2000, sbr. nú 1. mgr. 17. gr. laga nr. 90/2018 og 3. mgr. 12. gr. reglugerðar (ESB) 2016/679. Þá samrýmdist efnisleg afgreiðsla Reykjavíkurborgar á upplýsingabeiðni kvartanda ekki 2. mgr. 17. gr. laga nr. 90/2018, sbr. 15. gr. reglugerðarinnar.
Með vísan til 3. tölul. 42. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er lagt fyrir Reykjavíkurborg að afgreiða upplýsingabeiðni [B] til samræmis við 2. mgr. 17. gr. laga nr. 90/2018, sbr. 15. gr. reglugerðar (ESB) 2016/679. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 5. maí 2023.
Þeim hluta kvörtunar er snýr að miðlun [X] á persónuupplýsingum um [B] til fjölmiðla er vísað frá.
Vinnsla [X] á persónuupplýsingum um [B] samrýmdist ákvæðum laga 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Afgreiðsla [X] á upplýsingabeiðni [B] samrýmdist ekki 1. mgr. 14. gr. laga nr. 77/2000, sbr. nú 1. mgr. 17. gr. laga nr. 90/2018 og 3. mgr. 12. gr. reglugerðar (ESB) 2016/679.
Með vísan til 3. tölul. 42. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er lagt fyrir [X] að afgreiða upplýsingabeiðni kvartanda. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 5. maí 2023.
Persónuvernd, 5. apríl 2023
Þórður Sveinsson Bjarni Freyr Rúnarsson