Vinnsla persónuupplýsinga um barn hjá leikskóla
Mál nr. 2021091900
Persónuupplýsingar barna njóta sérstakrar verndar. Í þessu máli var persónuupplýsingum um barn miðlað til óviðkomandi aðila, en upplýsingarnar vörðuðu einkahagi barnsins sem sanngjarnt og eðlilegt var að færu leynt. Miðlun upplýsinganna var því óheimil.
----
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir vinnslu persónuupplýsinga barns af hálfu leikskóla. Nánar tiltekið var kvartað yfir því að leikskólinn hefði veitt foreldrum annarra barna við leikskólann aðgang að skjali frá barnavernd sem innihélt upplýsingar um barnið.
Niðurstaða Persónuverndar var sú að vinnsla leikskólans á persónuupplýsingum barnsins hefði ekki samrýmst meginreglum um persónuvernd og vinnslu persónuupplýsinga né hefði hún grundvallast á vinnsluheimild.
Úrskurður
um kvörtun yfir vinnslu persónuupplýsinga af hálfu leikskólans [X] í máli nr. 2021091900:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 30. september 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi). Laut kvörtunin að því að leikskólinn [X] hefði veitt foreldrum annarra barna við leikskólann aðgang að skjali frá barnavernd [Y] sem innihélt upplýsingar um barn kvartanda. Nánar til tekið hefði skjalið geymt frásögn barnsins af ætluðu ofbeldi gegn því af hendi starfsmanns leikskólans.
Persónuvernd bauð leikskólanum [X] að tjá sig um kvörtunina með bréfi, dags. 3. nóvember 2021. Svarað var af hálfu leikskólans með bréfi, dags. 22. s.m. Hinn 1. desember s.á. tilkynnti Persónuvernd leikskólanum um fyrirhugaða vettvangsathugun stofnunarinnar. Fór athugunin fram þann 6. s.m. Í kjölfarið óskaði Persónuvernd eftir frekari upplýsingum frá leikskólanum með bréfi, dags. 7. s.m., sem ítrekað var 24. janúar 2022. Svör leikskólans bárust 8. febrúar s.á. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör leikskólans með bréfi, dags. 13. júní s.á., og bárust þær frá lögmanni kvartanda með tölvupósti 4. júlí s.á.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
2.
Helstu sjónarmið málsaðila
Kvartandi byggir í meginatriðum á því að leikskólinn [X] hafi í heimildarleysi veitt foreldrum annarra barna við leikskólann aðgang að umræddu skjali. […]. Telur kvartandi skjalið geyma persónuupplýsingar um barnið í ljósi þess að unnt hafi verið að persónugreina það með lítilli fyrirhöfn og að öllum þeim sem hafi verið veittur aðgangur að skjalinu hafi verið ljóst um hvaða barn ræddi. Þá telur kvartandi upplýsingarnar vera viðkvæmar í skilningi 3. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Af hálfu leikskólans [X] er á því byggt að fulltrúum foreldraráðs ásamt nokkrum öðrum foreldrum hafi verið veittur aðgangur að umræddu skjali. Leikskólinn telur að skjalið innihaldi ekki persónuupplýsingar þar sem barnið er ekki nafngreint í skjalinu og forráðamaður leikskólans hafi yfirstrikað nafn starfsmannsins áður en foreldrum hafi verið veittur aðgangur.
Þrátt fyrir að leikskólinn telji umræddan aðgang foreldra ekki vinnslu persónuupplýsinga samkvæmt framansögðu, þá má ráða af svörum leikskólans að hann telji aðgang foreldra allt að einu heimilan á grundvelli 5. tölul. 9. gr. laga nr. 90/2018, og þess að kvartandi hafi gert upplýsingarnar opinberar, sbr. 5. tölul. 1. mgr. 11. gr. laganna. Leikskólinn bendir á að kvartandi hafi áður lýst því yfir [opinberlega], að barn hennar hafi orðið fyrir ofbeldi af hendi starfsmanns leikskólans. Leikskólinn telur að þeim foreldrum sem veittur hafi verið aðgangur að umræddu skjali hafi því verið fullkunnugt um hvaða barn ræddi. Þá vísar leikskólinn til þess að foreldrar barna á leikskólanum hafi haft miklar áhyggjur af framvindu málsins og hag barna sinna. Leikskólinn byggir á því að veittur hafi verið aðgangur að skjalinu í því skyni að tryggja upplýsingagjöf um hið ætlaða ofbeldi starfsmanns leikskólans og svara þar með áhyggjum foreldra.
3.
Vettvangsathugun Persónuverndar
Sem fyrr greinir fór Persónuvernd í vettvangsathugun hjá leikskólanum [X] vegna rannsóknar þessa máls. Vettvangsathugunin hófst með því að starfsmenn Persónuverndar kynntu sér skjal það sem mál þetta er risið af. Skjalið, dags. 13. ágúst 2021, var frá barnavernd [Y] og bar heitið „Niðurstaða könnunar“.
Í skjalinu mátti finna almenna lýsingu á ábendingu sem borist hafði barnavernd [Y], en í skjalinu er greint frá því að niðurstaða barnaverndar hefði verið sú að ekkert benti til þess að misnotkun á barni hefði átt sér stað. Skjalið geymdi ekki upplýsingar sem persónugreindu kvartanda eða barnið á beinan hátt. Þá var ekki um að ræða upplýsingar sem féllu undir skilgreiningu 3. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. 1. mgr. 9. gr. reglugerðar (ESB) 2016/679. Skjalið geymdi hins vegar upplýsingar um ætlaðan refsiverðan verknað af hálfu starfsmanns leikskólans gagnvart barni kvartanda.
Starfsmenn Persónuverndar óskuðu eftir upplýsingum um varðveislu skjalsins. Af hálfu leikskólastjóra kom fram að skjalið væri geymt í læstum skjalaskápi sem staðsettur var á almennum gangi í leikskólanum og að tveir leikskólastjórar hefðu aðgang að lyklum af skápnum.
II.
Niðurstaða
1.
Gildissvið - Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Mál þetta lýtur að því að leikskólinn [X] hafi veitt foreldrum annarra barna við leikskólann aðgang að skjali varðandi mál barns kvartanda hjá barnavernd tengdu ætluðu ofbeldi gegn því af hálfu starfsmanns leikskólans. Aðila greinir á um hvort skjalið innihaldi persónuupplýsingar í ljósi þess að þar var ekki að finna upplýsingar um auðkenni barnsins eða kvartanda.
Samkvæmt 2. tölul. 3. gr. laga nr. 90/2018, sbr. 1. tölul. 4. gr. reglugerðar (ESB) 2016/679, teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling til persónuupplýsinga. Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn.
Fram kemur í athugasemdum við 2. tölul. 3. gr. í frumvarpi því sem varð að lögum nr. 90/2018, að kjarni persónuupplýsingahugtaksins lúti að því að upplýsingar megi rekja til einstaklings með beinum eða óbeinum hætti. Til þess að upplýsingar séu persónugreinanlegar, þ.e. rekjanlegar, skuli tekið mið af öllum þeim aðferðum sem eðlilegt getur talist að ábyrgðaraðili eða annar aðili beiti til að bera kennsl á viðkomandi einstakling.
Persónuvernd telur einsýnt að leikskólanum [X] hafi, strax við móttöku skjalsins, verið ljóst um hvaða barn var þar fjallað. Þá verður vart önnur ályktun dregin af gögnum málsins en að hið ætlaða ofbeldi starfsmanns leikskólans gagnvart barni kvartanda, og mál hjá barnavernd [Y] sem rekið var af því tilefni, hafi verið á almennu vitorði foreldra annarra barna við leikskólann. Telur Persónuvernd óhjákvæmilegt að sú vitneskja hafi einnig tekið til þess um hvaða barn var að ræða. Verður ekki talið að upplýsingagjöf kvartanda til annarra foreldra hafi neinu breytt hvað þetta varðar.
Þegar litið er til framangreinds þykir ljóst að bæði leikskólanum [X] og foreldrum annarra barna við leikskólann hafi án teljandi fyrirhafnar verið unnt að persónugreina barn kvartanda í umræddu skjali, þrátt fyrir að nafn barnsins hafi ekki verið beinlínis tilgreint.
Með hliðsjón af framansögðu, er það mat Persónuverndar að umrætt skjal innihaldi persónuupplýsingar um barnið. Á hinn bóginn leiddi athugun stofnunarinnar á umræddu skjali ekki í ljós að það hefði að geyma viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679. Þrátt fyrir það má líta svo á að skjalið geymi upplýsingar sem snerti hrein einkamálefni barnsins.
Þar sem málið lýtur að veitingu aðgangs að skjali sem unnið hefur verið í rafrænu upplýsingakerfi, auk þess sem vettvangsathugun benti til þess að það væri hluti af skrá hjá leikskólanum [X], fellur umrædd vinnsla undir valdsvið Persónuverndar.[1]
Eins og hér háttar til telst leikskólinn [X] vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Hefur ábyrgðaraðili einkum vísað til þess að sú vinnsla sem hér er til umfjöllunar hafi grundvallast á 5. tölul. lagaákvæðisins, sbr. e-lið 1. mgr. reglugerðarákvæðisins. Þar er mælt fyrir um að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna. Eins og hér háttar til verður ekki séð að aðrar vinnsluheimildir komi sérstaklega til skoðunar en í því sambandi áréttar Persónuvernd að það leiðir af meginreglum persónuverndarréttar um lögmæti vinnslu og ábyrgðarskyldu að það kemur í hlut ábyrgðaraðila að sýna fram á lagagrundvöll vinnslu persónuupplýsinga, eins og nánar er rakið síðar í þessum kafla.
Af athugasemdum við 9. gr. í frumvarpi því sem varð að lögum nr. 90/2018, er ljóst að við mat á því hvort vinnsla teljist nauðsynleg í skilningi ákvæðisins, beri að líta til eðlis og efnis þeirra upplýsinga sem unnið er með. Meðal annars skipti máli hvort um sé að ræða upplýsingar um hrein einkamálefni einstaklinga og annað sem sanngjarnt er og eðlilegt að fari leynt. Þegar þannig hátti til beri að gera ríkari kröfur varðandi nauðsyn vinnslunnar.
Við mat á nauðsyn vinnslu samkvæmt framangreindum ákvæðum þykir jafnframt rétt að líta til þess hvort hinir skráðu séu börn enda njóta persónuupplýsingar þeirra sérstakrar verndar, sbr. 38. lið formálsorða reglugerðar (ESB) 2016/679.
Auk heimildar verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laganna, sbr. 1. mgr. 5. gr. reglugerðarinnar, sem lúta meðal annars að því að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins. Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga samrýmist ávallt meginreglunum og skal geta sýnt fram á það, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar. Af þessum ákvæðum leiðir meðal annars að ábyrgðaraðili þarf að geta sýnt fram á lögmæti vinnslu, þ. á m. að hún styðjist við viðeigandi vinnsluheimild. Í því felst að ábyrgðaraðili þarf að geta sýnt fram á að öllum skilyrðum tiltekinnar vinnsluheimildar sé fullnægt, meðal annars um nauðsyn vinnslu. Í þessu samhengi vísast t.d. til úrskurða Persónuverndar málum nr. 2020082238 og nr. 2020082239.
Sem fyrr segir lýtur mál þetta að vinnslu persónuupplýsinga um barn kvartanda sem varða hreina einkahagi þess, sem jafnframt má telja sanngjarnt að fari leynt. Af þeirri ástæðu bar ábyrgðaraðila að gera ríka kröfu til nauðsynjar þeirrar vinnslu sem hér er til umfjöllunar, með hliðsjón af efni lögskýringargagna.
Ábyrgðaraðili hefur borið því við að vinnslan hafi verið nauðsynleg í því skyni að tryggja upplýsingagjöf um hið ætlaða ofbeldi starfsmanns leikskólans og svara með því áhyggjum foreldra af framvindu málsins og hag barna sinna í ljósi þeirra ásakana í garð starfsmanns leikskólans sem kvartandi hafi gert opinberar.
Að mati Persónuverndar er ekkert fram komið í málinu sem styður það að veita hafi þurft foreldrum annarra barna við leikskólann beinan aðgang að umræddu skjali, og þar með persónuupplýsingum um barn kvartanda, í því skyni að tryggja nauðsynlega upplýsingagjöf.
Þegar litið er til alls framangreinds telur Persónuvernd ekki unnt að fallast á að ábyrgðaraðili hafi sýnt fram á að sú vinnsla sem mál þetta varðar hafi verið nauðsynleg í skilningi 5. tölul. 9. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Gat vinnslan samkvæmt þessu ekki grundvallast á tilvitnuðum ákvæðum. Í því felst jafnframt að ábyrgðaraðili hefur ekki sýnt fram á að vinnslan hafi verið lögmæt, sbr. 1. tölul. 1. mgr. og 2. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. og 2. mgr. 5. gr. reglugerðarinnar.
Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla leikskólans á persónuupplýsingum barns kvartanda hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vinnsla leikskólans [X] á persónuupplýsingum um barn [A], sem fólst í því að óviðkomandi aðilum var veittur aðgangur að skjali, sem innihélt upplýsingar um barnið, samrýmdist hvorki meginreglum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um lögmæta, sanngjarna og gagnsæja vinnslu og ábyrgðarskyldu, né grundvallaðist hún á vinnsluheimild.
Persónuvernd, 21. október 2022
Bjarni Freyr Rúnarsson Helga Sigríður Þórhallsdóttir