Úrlausnir

Vinnsla sveitarfélags á aðgangsbeiðni

Mál nr. 2022040729

21.6.2023

Einstaklingar eiga rétt á því að fá aðgang að persónuupplýsingum sem fyrirtæki eða stjórnvöld vinna um þá. Beiðni um aðgang má setja fram munnlega eða skriflega. Aðgangsbeiðnum skal svara án ótilhlýðilegrar tafar og eigi síðar en innan mánaðar frá því að hún berst fyrirtækinu/stjórnvaldinu.

Í þessu tilfelli var beiðni um aðgang lögð fram skriflega og henni fylgt eftir með símtölum og tölvupóstum. Aðgangsbeiðninni var ekki svarað af hálfu sveitafélagsins og var því vinnsla þess ekki samræmi við lög um persónuvernd og vinnslu persónuupplýsinga.

----

Persónuvernd úrskurðaði í máli þar sem kvartað var yfir afgreiðslu [sveitarfélags] á aðgangsbeiðni. Nánar tiltekið óskaði kvartandi eftir því að fá aðgang að persónuupplýsingum sínum sem sveitafélagið kynni að búa yfir. Kvartandi óskaði eftir að fá aðgang með tölvupósti og fylgdi því eftir með símtölum ásamt því að hafa fylgt eftir með tölvupóstsamskiptum við persónuverndarfulltrúa.

Niðurstaða Persónuverndar var sú að [sveitarfélagið] hefði ekki afgreitt aðgangsbeiðni kvartanda í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga.

Persónuvernd lagði fyrir [sveitarfélagið] að taka aðgangsbeiðni kvartanda til efnislegrar afgreiðslu. Skal staðfesting á því að það hafi verið gert send til Persónuverndar í síðasta lagi 19. júlí 2023. 

Úrskurður


um kvörtun yfir afgreiðslu á beiðni um aðgang að persónuupplýsingum af hálfu [sveitarfélags] í máli nr. 2022040729:

I.
Málsmeðferð

Hinn 11. apríl 2022 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir afgreiðslu [sveitarfélags] á beiðni hans um aðgang að persónuupplýsingum hans sem sveitarfélagið kynni að búa yfir. 

Persónuvernd bauð [sveitarfélaginu] að tjá sig um kvörtunina með bréfi, dags. 8. nóvember 2022, og ítrekun, dags. 9. desember s.á., og bárust svör sveitarfélagsins með bréfi frá [...] lögmannsstofu, dags. 12. janúar 2023. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör [sveitarfélagsins] með bréfi, dags. 20. janúar 2023, og bárust þær með tölvupósti frá kvartanda þann 14. febrúar s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

___________________

Ágreiningur er um afgreiðslu [sveitarfélagsins] á aðgangsbeiðni kvartanda að persónuupplýsingum sínum.

Kvartandi vísar til þess að hann hafi haustið 2021 óskað eftir því, með tölvupósti til persónuverndarfulltrúa [sveitarfélagsins], að fá afhent afrit allra persónuupplýsinga sem sveitarfélagið kynni að búa yfir þar sem nafn hans og persóna væri til umfjöllunar. Þá vísar kvartandi til þess að hann hafi ítrekað beiðnina með símtali til [...] þann 21. mars 2022. Erindi hans hafi hins vegar enn ekki verið svarað.

[Sveitarfélagið] vísar til þess að kvartandi hafi sent fyrirspurn til persónuverndarfulltrúa sveitarfélagsins, dags. 8. júlí 2021. Byggt er á því persónuverndarfulltrúi sveitarfélagsins hafi svarað erindi kvartanda með tölvupósti, dags. 27. júlí 2021, þar sem kvartanda hafi verið leiðbeint um að senda erindið til sviðsstjóra stjórnsýslu- og þjónustusviðs sem myndi koma fyrirspurn hans í viðeigandi ferli. Með svarbréfi [sveitarfélagsins] fylgdi afrit af tölvupóstsamskiptum persónuverndarfulltrúa sveitarfélagsins við kvartanda. Jafnframt var vísað til þess að samkvæmt upplýsingum frá skjalastjóra [sveitarfélagsins] væri ekki að sjá að kvartandi hefði sent erindið til stjórnsýslu- og þjónustusviðs sveitarfélagsins.

Í athugasemdum kvartanda við svör [sveitarfélagsins] vísar kvartandi til þess að hann hafi átt tvö símtöl við persónuverndarfulltrúa sveitarfélagsins í byrjun árs 2022. Í símtölunum hafi hann ítrekað aðgangsbeiðni sína en einnig greint persónuverndarfulltrúanum frá því að upphaflega erindið hefði verið sent úr tölvupósthólfi sem hann hafi ekki lengur aðgang að í kjölfar uppsagnar. Kvartandi vísar einnig til þess að persónuverndarfulltrúi [sveitarfélagsins] sé jafnframt skjalastjóri sveitarfélagsins. Þá gerir kvartandi athugasemd við að persónuverndarfulltrúi sveitarfélagsins hafi ekki fylgt málinu eftir sem verði að teljast ámælisvert.

II.
Niðurstaða
1.
Lögmæti vinnslu

Mál þetta lýtur að rétti kvartanda til aðgangs að persónuupplýsingum hans. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. [Sveitarfélagið] telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Í máli þessu reynir á það hvort ábyrgðaraðili hafi afgreitt beiðni kvartanda um aðgang að persónuupplýsingum hans í samræmi við ákvæði laga nr. 90/2018 og reglugerð (ESB) 2016/679. Með svarbréfi [sveitarfélagsins] fylgdi afrit af tölvupóstsamskiptum persónuverndarfulltrúa sveitarfélagsins við kvartanda. Í svari persónuverndarfulltrúa [sveitarfélagsins] til kvartanda í tilefni að beiðni hans um aðgang að persónuupplýsingum, dags. 27. júlí 2021, er kvartanda leiðbeint um að senda erindið til sviðsstjóra stjórnsýslu- og þjónustusviðs sem myndi koma fyrirspurn hans í viðeigandi ferli. Persónuverndarfulltrúinn tekur svo fram í lok svarsins að hann skuli „annars skoða þetta þegar [hann kæmi] aftur til vinnu um mánaðamótin“.

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 15. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 15. gr. reglugerðarinnar er meðal annars kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að persónuupplýsingum. Þá segir í 3. mgr. sömu greinar að ábyrgðaraðili skuli láta í té afrit af þeim persónuupplýsingum sem séu í vinnslu.

Ábyrgðaraðila ber að gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynninga til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 17. gr. laga nr. 90/2018. Samkvæmt 3. mgr. 12. gr. reglugerðarinnar skal ábyrgðaraðili veita skráðum einstaklingi upplýsingar um aðgerðir, sem gripið er til vegna aðgangsbeiðni, án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar frá viðtöku beiðninnar. Lengja má frestinn um tvo mánuði til viðbótar sé á því þörf, með hliðsjón af fjölda beiðna og því hversu flóknar þær eru. Ábyrgðaraðila ber að tilkynna hinum skráða um slíkar framlengingar innan mánaðar frá viðtöku beiðninnar, ásamt ástæðum fyrir töfinni.

Í athugasemdum við 17. gr. í frumvarpi því sem varð að lögum nr. 90/2018 segir meðal annars að hafa beri í huga að réttindi samkvæmt ákvæðinu verði ávallt að skoða í ljósi meginreglna 8. gr. þess. Aðgangsréttur einstaklinga er ótvírætt þáttur í kröfu 1. tölul. 1. mgr. þeirrar greinar, sem kveður meðal annars á um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða.

Þá ber einnig að líta til þess að markmið persónuverndarlöggjafarinnar er meðal annars að stuðla að því að farið sé með persónuupplýsingar í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs, sbr. 1. mgr. 1. gr. laganna og 2. mgr. 1. gr. reglugerðarinnar. Aðgangsréttur skráðra einstaklinga er þýðingarmikill í því skyni að þeim sé gert kleift að neyta annarra réttinda sem þeim eru tryggð samkvæmt lögunum og reglugerðinni, svo sem réttarins til leiðréttingar og eyðingar persónuupplýsinga og andmælaréttar. Stuðlar aðgangsrétturinn þannig að því að framangreint markmið náist.

Að mati Persónuverndar ber að skýra ákvæði 3. mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018, svo að þegar um er að ræða aðgangsbeiðni einstaklings felist viðeigandi aðgerð ábyrgðaraðila í því að annaðhvort veita eða synja hinum skráða um aðgang, sbr. 4. mgr. 12. gr. reglugerðarinnar, þ.m.t. að taka efnislega afstöðu til réttarins til afrits af þeim persónuupplýsingum sem ábyrgðaraðili vinnur með.

Í málinu liggur fyrir að haustið 2021 óskaði kvartandi eftir því, með tölvupósti til persónuverndarfulltrúa [sveitarfélagsins], að fá afhent afrit allra persónuupplýsinga sem sveitarfélagið kynni að búa yfir þar sem nafn hans og persóna væri til umfjöllunar. Af hálfu kvartanda hefur því einnig verið haldið fram að hann hafi átt tvö símtöl við persónuverndarfulltrúa sveitarfélagsins í byrjun árs 2022. Í símtölunum hafi hann ítrekað aðgangsbeiðni sína en einnig greint persónuverndarfulltrúanum frá því að upphaflega erindið hefði verið sent úr tölvupósthólfi sem hann hefði ekki lengur aðgang að. Um stöðu og verkefni persónuverndarfulltrúa er fjallað í 38.-39. gr. reglugerðar (ESB) 2016/679. Segir þar m.a. í 4. mgr. 38. gr. reglugerðarinnar að skráðir einstaklingar geta haft samband við persónuverndarfulltrúa með öll mál sem tengjast vinnslu á persónuupplýsingum þeirra og því hvernig þeir geta neytt réttar síns samkvæmt reglugerðinni. Þá ber ábyrgðaraðila að auðvelda skráðum einstaklingi að neyta réttar síns, sbr. 2. mgr. 12. gr. reglugerðarinnar, og skal hann meðal annars veita hinum skráða upplýsingar um samskiptaupplýsingar persónuverndarfulltrúa, ef við á, sbr. 1. mgr. 13. gr. og 1. mgr. 14. gr. reglugerðarinnar. Jafnframt skal ábyrgðaraðili gera viðeigandi ráðstafanir, bæði þegar ákveðnar eru aðferðir við vinnslu persónuupplýsinga og þegar vinnslan sjálf fer fram, til að framfylgja meginreglum um persónuvernd og vernda réttindi skráðra einstaklinga, sbr. 24. gr. laga nr. 90/2018 og 25. gr. reglugerðarinnar. Með vísan til framangreinds er það mat Persónuverndar að [sveitarfélagið] hafi borið að koma aðgangsbeiðni kvartanda áleiðis og í réttan farveg innan sveitarfélagsins um leið og hún barst. Þá er einnig til þess að líta að kvartandi mátti hafa réttmætar væntingar til þess að persónuverndarfulltrúi [sveitarfélagsins] myndi fylgja erindinu eftir, líkt og kom fram í svari persónuverndarfulltrúans til kvartanda, dags. 27. júlí 2021.

Í 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, segir að ábyrgðaraðili beri ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. lagaákvæðisins og 1. mgr. reglugerðarinnar og skuli geta sýnt fram á það. Verður samkvæmt öllu framangreindu lagt til grundvallar að [sveitarfélagið] hafi ekki afgreitt aðgangsbeiðni kvartanda í samræmi við 3. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018.

Í samræmi við þessa niðurstöðu og með vísan til 3. tölul. 42. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 38. gr. reglugerðar (ESB) 2016/679, er lagt fyrir [sveitarfélagið] að taka aðgangsbeiðni kvartanda til efnislegrar afgreiðslu. Skal staðfesting á því að það hafi verið gert send Persónuvernd í síðasta lagi 19. júlí 2023.

Ú r s k u r ð a r o r ð:

Afgreiðsla [sveitarfélagsins] á beiðni [A] um aðgang að persónuupplýsingum sem unnið var með um hann hjá sveitarfélaginu samrýmdist ekki lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og reglugerð (ESB) 2016/679.

Lagt er fyrir [sveitarfélagið] að taka aðgangsbeiðni [A] til efnislegrar afgreiðslu. Skal staðfesting á því að það hafi verið gert send Persónuvernd í síðasta lagi 19. júlí 2023.

Persónuvernd, 21. júní 2023


Helga Sigríður Þórhallsdóttir              Edda Þuríður Hauksdóttir



Var efnið hjálplegt? Nei