I. Kvörtun.
Hinn 8. júní 2010 leitaði C, hæstaréttarlögmaður, til umboðsmanns Alþingis fyrir hönd A og B og kvartaði yfir málsmeðferð og niðurstöðu Persónuverndar í máli nr. 2009/172 frá 10. júní 2009. Í málinu komst Persónuvernd að þeirri niðurstöðu að sjálfseignarstofnunin X og A og B, sem eru starfandi sálfræðingar hjá Y ehf., hefðu ekki veitt starfsmanni X fræðslu í samræmi við 20. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Fræðsluna hafi þeim A og B borið að veita í tengslum við gerð skýrslu sem þau unnu að beiðni X í kjölfar kvörtunar starfsmannsins yfir einelti á vinnustað. Kvörtun A og B beindist einnig að ákvörðun Persónuverndar 13. ágúst 2009 um að verða ekki við beiðni þeirra um endurupptöku málsins.
Með bréfi forseta Alþingis 5. júlí 2012 var undirritaður settur á grundvelli 2. mgr. 14. gr. laga nr. 85/1997 um umboðsmann Alþingis til að fjalla um mál þetta, þar sem kjörinn umboðsmaður hafði ákveðið að víkja sæti í því. Eins og nánar er rakið í kafla IV.1 hefur athugun mín beinst að því atriði í kvörtuninni að 20. gr. laga nr. 77/2000 hafi ekki átt við um störf sálfræðinganna þar sem þeir hafi ekki verið ábyrgðaraðilar vinnslunnar heldur vinnsluaðilar. Þeir hafi því ekki borið sönnunarbyrði fyrir því að lögboðin fræðsla hafi verið veitt.
Ég lauk máli þessu með áliti, dags. 5. september 2012.
II. Málavextir.
Í úrskurði Persónuverndar frá 10. júní 2009 er rakið að í febrúar það ár hafi Persónuvernd borist kvörtun fyrrverandi starfsmanns sjálfseignarstofnunarinnar X, sem hafi síðar verið skýrð nánar með undirritaðri yfirlýsingu sem hann lagði fram 3. mars 2009. Yfirlýsingin hljóðaði svo:
„Ég er að kvarta yfir sálfræðingunum [A] og [B]. Þau unnu skýrslu fyrir minn fyrrum vinnuveitanda, [X]. Í skýrslunni eru m.a. rakin samskipti við mig. Þegar sálfræðingarnir áttu þessi samskipti við mig taldi ég hins vegar að um trúnaðarsamtöl væri að ræða enda létu þau mig aldrei vita að það sem ég segði yrði birt í skýrslunni og henni síðar dreift. Hér tel ég hafa verið brotið gegn ákvæðum persónuverndarlaga.“
Í úrskurðinum er því síðan lýst að skýrslan hafi verið unnin að beiðni X vegna samskipta starfsmannsins og annars starfsmanns X. Í henni sé að finna frásagnir beggja starfsmannanna auk frásagna tveggja annarra starfsmanna af umræddum samskiptum. Í lok skýrslunnar sé að finna túlkun sálfræðinganna á atburðum í ljósi frásagnanna, sem og þá ályktun þeirra að nauðsynlegt sé að stjórnendur gefi umræddum starfsmanni, sem kvartaði yfir eineltinu, skýr skilaboð um framtíð hans í starfi. Hann hafi verið sendur í leyfi og nauðsynlegt sé að meta hvort æskilegt sé að hann komi aftur til starfa.
Persónuvernd ritaði A og B bréf 3. mars 2009 og óskaði eftir skýringum þeirra. Í bréfinu segir m.a. að kvörtun starfsmannsins beinist að því að þau hafi „ekki látið [hann] vita að þær upplýsingar sem [hann] veitti [þeim], í trúnaði að [hann] hélt, yrðu birtar í skýrslu og henni síðar dreift“. Í svarbréfi A og B til Persónuverndar 12. mars 2009 segir m.a.:
„Undirrituð vísa kvörtunum [starfsmannsins] á bug og benda annars vegar á að eðli rannsókna af þessu tagi krefjast þess að sá sem ber ábyrgð á að taka á slíkum málum af vinnustaðarins hálfu hlýtur að vera upplýstur um málavöxtu og hins vegar benda undirrituð á að það er föst vinnuregla [Y] að útskýra verklag og framvindu rannsóknar fyrir viðmælendum í slíkum rannsóknum. Það var gert í tilviki [starfsmannsins].“
Um fyrra atriðið er í bréfinu vísað til 7. gr. reglugerðar nr. 1000/2004 um aðgerðir gegn einelti á vinnustað, þar sem fjallað er um viðbrögð atvinnurekanda. Síðan segir í bréfinu:
„Það er því ljóst að það er atvinnurekandi sem ber hina formlegu ábyrgð og hefur hið formlega vald þegar kemur að málum sem þessum. Hlutverk undirritaðra er að vera hlutlægir rannsakendur og ráðgjafar fyrir atvinnurekandann. Þar af leiðandi er ljóst að atvinnurekandinn (í þessu tilviki framkvæmdastjóri [X]) hlaut að fá í hendur frásagnir beggja málsaðila af málsatvikum, þar sem honum ber skv. reglugerð nr. 1000/2004 að kynna sér þær. Enda væri það með nokkrum ólíkindum ef stjórnandi ætti að byggja ákvarðanir sínar á niðurstöðum og tillögum utanaðkomandi ráðgjafa, án þess að vita á hvaða forsendum þær eru byggðar.“
Í bréfinu er því næst að finna lýsingu á verklagsreglum sem Y ehf. fylgir við rannsókn eineltismála. Í bréfinu segir síðan m.a. að þessar verklagsreglur hafi verið kynntar starfsmanninum í viðtali 29. mars 2006. Honum hafi verið greint frá því að A og B væru að vinna að rannsókn á ásökunum hans að beiðni framkvæmdastjóra X, að hlutverk þeirra væri m.a. að gera tillögur um hvernig verkbeiðandinn ætti að bregðast við og að frá rannsókninni og niðurstöðum hennar yrði greint í skýrslu sem verkbeiðandinn fengi í hendur. Honum hafi verið greint frá því að nafn hans kæmi fram í skýrslunni sem og endursögn af frásögninni. Hann fengi tækifæri til að lesa yfir uppkast að endursögninni og gera á henni breytingar og fullt tillit yrði tekið til athugasemda hans. Þá segir að starfsmaðurinn hafi komið í tvö viðtöl 29. mars og 27. apríl 2006 og síðan komið í þriðja sinn á skrifstofu Y, lesið yfir uppkast af endursögn á frásögn hans og gert við hana ýmsar viðbætur og leiðréttingar.
Persónuvernd veitti starfsmanninum kost á að tjá sig um skýringar A og B með bréfi 16. mars 2009. Í svarbréfi starfsmannsins, sem barst Persónuvernd 23. mars 2009, segir að henni hafi aldrei verið veittar þær upplýsingar sem tilgreindar séu í skýringum A og B.
Persónuvernd leitaði skýringa X með bréfi 20. apríl 2009. Í svarbréfi X kemur fram að starfsmanninum hafi verið kunnugt um tilefni og tilgang athugunar Y ehf. og að hún hafi verið gerð að beiðni X vegna tilmæla Vinnueftirlitsins vegna kvörtunar starfsmannsins yfir einelti á vinnustað. Þá segir að X hafi staðið í þeirri trú að þeir starfsmenn Y ehf. sem unnu skýrsluna hefðu veitt starfsmanninum fræðslu í samræmi við 20. gr. laga nr. 77/2000.
Stjórn Persónuverndar úrskurðaði um ágreininginn 10. júní 2009 og komst að þeirri niðurstöðu að X, A og B hefðu látið undir höfuð leggjast að veita starfsmanninum fræðslu í samræmi við 20. gr. laga nr. 77/2000 við gerð umræddrar skýrslu. Í niðurstöðukafla úrskurðarins segir eftirfarandi:
„Skyldur samkvæmt lögum nr. 77/2000 hvíla á ábyrgðaraðila að vinnslu persónuupplýsinga. Með ábyrgðaraðila er átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laganna. [X] átti frumkvæði að gerð umræddrar skýrslu. Með vísan til þess ber að telja [X] ábyrgðaraðila að vinnslu persónuupplýsinga í tengslum við gerð skýrslunnar. Ljóst má telja að sálfræðingarnir, sem unnu skýrsluna, hafi farið með ákvörðunarvald um það hvernig staðið var að vinnslunni. Telur Persónuvernd þá því einnig hafa haft stöðu ábyrgðaraðila í þessu sambandi.
Í máli þessu er um það deilt hvort veitt hafi verið fræðsla í samræmi við ákvæði 20. gr. laganna. Þar segir að þegar persónuupplýsinga er aflað hjá hinum skráða sjálfum skuli ábyrgðaraðili veita honum fræðslu um ýmis atriði, m.a. atriði sem hinn skráði þarf að vita um til að geta gætt hagsmuna sinna. Það á t.d. við um það hvort honum sé skylt eða valfrjálst að veita umbeðnar upplýsingar og hvaða afleiðingar það kunni að hafa veiti hann þær ekki. Við túlkun á ákvæði 20. gr. laga nr. 77/2000 ber að líta til þess að ákvæðið byggist á 10. gr. persónuverndartilskipunar Evrópusambandsins nr. 95/46/EB. Er þar sérstaklega tilgreint að við mat á því hvort og að hvaða marki skuli veita hinum skráða fræðslu skuli taka mið „af þeim sérstöku aðstæðum sem ríkja við söfnunina, til að tryggja hinum skráða að vinnslan fari fram á sanngjarnan hátt gagnvart honum“.
Við ritun skýrslunnar var m.a. byggt á persónuupplýsingum sem kvartandi veitti um sig sjálfa. Við mat á því hversu miklar kröfur megi gera til fræðslu sem veita átti kvartanda, skv. 20. gr. laga nr. 77/2000, verður að líta til þeirra kringumstæðna sem ríktu þegar þeim upplýsingum, sem liggja skýrslunni til grundvallar, var safnað. Af hálfu kvartanda hefur því verið haldið fram að hún hafi litið svo á að viðtöl hennar við sálfræðingana hafi að miklu leyti verið trúnaðarsamtöl sem m.a. hefðu farið fram til að liðsinna henni. Í skýrslunni er hins vegar m.a. fjallað um þau atriði sem talið var að taka þyrfti til afstöðu um hana, þ. á m. um framtíð hennar í starfi. Í skýrslunni voru gerðar tillögur sem gátu fyrirsjáanlega haft bein áhrif á líf hennar og hagsmuni, en ekki einungis fjallað um málsatvik og greiningu á vandamálum sem upp höfðu komið. Var því eðlilegt að gera ríkar kröfur til fræðslu um þau atriði sem talin eru upp í 3. tölul. 1. mgr. 20. gr. laga nr. 77/2000, þ. á m. um atriði sem voru kvartanda nauðsynleg til að hún gæti gætt hagsmuna sinna í tengslum við vinnsluna og til að vinnslan færi fram á sanngjarnan hátt gagnvart henni.
Af hálfu framangreindra sálfræðinga hefur komið fram að kvartanda hafi verið veitt fræðsla. Þá hefur komið fram af hálfu lögmanns [X] að umbjóðandi hans hafi ávallt staðið í þeirri trú að sálfræðingarnir hafi séð um að veita fræðslu. Það að veita nauðsynlega fræðslu er lagaskylda sem hvílir á ábyrgðaraðila. Hann ber sönnunarbyrði um að hann hafi uppfyllt hana. Af hálfu ábyrgðaraðila hefur engin fræðsluyfirlýsing verið lögð fram eða sambærileg sönnun um veitta fræðslu. Verður þar af leiðandi ekki á því byggt að lögboðin fræðsla hafi verið veitt.”
Úrskurðurinn var kynntur A og B með bréfi 10. júní 2009. Með bréfi 14. júlí 2009 óskaði lögmaður A og B eftir endurupptöku málsins hjá Persónuvernd. Beiðninni fylgdu tölvupóstsamskipti B og starfsmannsins 5. og 11. febrúar 2009 og drög að þeim kafla í umræddri skýrslu sem innihélt frásögn starfsmannsins með handskrifuðum athugasemdum hans.
Stjórn Persónuverndar hafnaði endurupptökubeiðni A og B 13. ágúst 2009. Í niðurstöðukafla ákvörðunarinnar segir m.a. eftirfarandi:
„Samkvæmt erindi yðar átti ekki að líta á umbjóðendur yðar sem ábyrgðaraðila að umræddri vinnslu. Með ábyrgðaraðila er átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000. Þegar sjálfstætt starfandi sérfræðingar vinna verkefni í þágu annars aðila og sinna í meginatriðum stjórn á framkvæmd þess og vinnslu persónuupplýsinga verður almennt að líta svo á að þeir fari með ákvörðunarvald í þessum skilningi ásamt þeim sem óskaði eftir störfum þeirra. Í samræmi við það leit Persónuvernd á skjólstæðinga yðar sem ábyrgðaraðila að umræddri vinnslu. Telur Persónuvernd að þeim hafi mátt vera það ljóst, enda var annað ekki gefið til kynna við meðferð málsins.
Þá ber að líta til bréfs, dags. 20. apríl 2009, sem Persónuvernd sendi þeim aðila sem umrædd skýrsla var unnin fyrir, þ.e. [X]. Í bréfinu, sem umbjóðendum yðar var sent afrit af, segir:
„Fyrir liggur í málinu að umrædda skýrslu unnu [A] og [B] að beiðni [X]. Telst [X] því hafa, auk framangreindra sálfræðinga [leturbreyting Persónuverndar], stöðu ábyrgðaraðila.“
Með vísan til framangreinds telur Persónuvernd ekki tilefni til endurupptöku málsins á þeim grundvelli að umbjóðendur yðar hafi ekki mátt teljast ábyrgðaraðilar að umræddri vinnslu persónuupplýsinga eða að þeir hafi mátt vænta þess að þeir bæru ekki ábyrgð á vinnslunni.“
III. Samskipti umboðsmanns Alþingis og Persónuverndar.
Umboðsmaður Alþingis ritaði Persónuvernd bréf 13. september 2010 og óskaði þess með vísan til 7. og 9. gr. laga nr. 85/1997 um umboðsmann Alþingis að sér yrðu veittar nánar tilteknar upplýsingar og skýringar. Ég tel aðeins þörf á að gera grein fyrir fyrirspurnum umboðsmanns og svörum Persónuverndar að því leyti sem nauðsynlegt er vegna athugunar þessarar eins og hún er nánar afmörkuð í kafla IV.1 hér að aftan.
Í bréfi umboðsmanns til Persónuverndar óskaði umboðsmaður m.a. eftir því að Persónuvernd skýrði nánar hvaða lagasjónarmið byggju að baki þeirri afstöðu stofnunarinnar að sjálfstætt starfandi sérfræðingar, sem ynnu verkefni í þágu annars aðila og sinntu í meginatriðum stjórn á framkvæmd þess og vinnslu persónuupplýsinga, yrðu almennt taldir fara með ákvörðunarvald um vinnsluna ásamt þeim sem óskaði eftir störfum þeirra. Einkum óskaði umboðsmaður upplýsinga um hvort átt væri við að slíkur sjálfstætt starfandi sérfræðingur bæri jafna ábyrgð á öllum sömu vinnsluþáttum og verkbeiðandi og skýringa á hvaða viðmið væru lögð til grundvallar því að aðili færi með „stjórn á framkvæmd verkefnis og vinnslu persónuupplýsinga“. Umboðsmaður óskaði einnig nánari skýringa á því að hvaða leyti Persónuvernd teldi A og B hafa farið með ákvörðunarvald um hvernig staðið yrði að vinnslunni og á grundvelli hvaða gagna, upplýsinga eða atvika sú afstaða byggðist.
Svarbréf stjórnar Persónuverndar barst umboðsmanni 21. október 2010. Í bréfinu segir m.a. eftirfarandi:
„[Það] fer eftir atvikum hverju sinni að hvaða marki líta má á sérfræðing sem ábyrgðaraðila vinnslu sem hann hefur með höndum. Það ræðst einkum af því hvort hann er sjálfstætt starfandi, hvert er forræði hans yfir vinnslunni og raunverulegt ákvörðunarvald um verklag, efnistök o.þ.h. Af því áliti 29. gr.-starfshópsins, sem umboðsmaður vísar til nr. 1/2010 (WP 169), má m.a. ráða að jafnvel þótt ákvörðunarvaldið geti í vissum tilvikum stuðst við sérstaka og afmarkaða yfirlýsingu, s.s. í tilkynningu til eftirlitsstofnunar eða vinnslusamningi, skuli jafnan taka mið af raunverulegum aðstæðum. Í því ljósi er ábyrgðaraðili yfirleitt talinn vera sá sem ákveður að framkvæma tiltekna vinnslu með markmið sem hann velur. Ef annar kemur að vinnslu og tekur t.d. ákvörðun um aðferð við vinnslu getur hann að því marki talist vera ábyrgðaraðili enda liggi ekki fyrir gögn um annað. Það ræðst því af hinu raunverulega ákvörðunarvaldi hverju sinni hvaða verkþáttum sjálfstætt starfandi sérfræðingur ber ábyrgð á, en almennt má segja að sérfræðingur beri ábyrgð svo langt sem hans sérfræðiþekking nær og hann hefur sjálfur tekið ákvörðun um.
Við mat á því hvar ábyrgð liggur má m.a. líta til þeirra lagaákvæða sem gilda um starf viðkomandi sérfræðinga – s.s. lögmanna, lækna og sálfræðinga. Sérþekking slíkra starfsstétta og sjálfstæði í vinnubrögðum er á meðal þess sem líta þarf til við mat á því hver í raun fer með stjórn á framkvæmd verkefnis, eða afmörkuðum þætti þess, og vinnslu persónuupplýsinga vegna þess. Getur skipt máli ef af lögum eða lagaframkvæmd leiðir að á viðkomandi starfsstétt hvíli sérstakar skyldur – s.s. um sjálfstæði, þagnarskyldu og fagleg vinnubrögð. Það hvort sjálfstætt starfandi sérfræðingur beri jafna ábyrgð á vinnsluþætti og verkbeiðandi ræðst m.a. af þessum atriðum.
Varðandi þá sérfræðinga sem hér um ræðir má, til frekari skýringar, nefna 3. gr. laga nr. 40/1976 um sérstaka trúnaðarskyldu sálfræðinga. Segir að sálfræðingi sé skylt að gæta þagmælsku um atriði sem hann fær vitneskju um í starfi sínu og leynt skulu fara samkvæmt lögum eða eðli máls. Í 4. gr. segir að um eftirlit með sálfræðingum, veitingu áminningar og sviptingu starfsleyfa eða takmörkun starfsréttinda, veittra samkvæmt lögunum, auk endurveitingar, gildi ákvæði laga um landlækni. Ákvæði læknalaga gildi að öðru leyti eftir því sem við geti átt um sálfræðinga.
Hér má og geta ákvæða laga nr. 46/1980, um aðbúnað, hollustuhætti og öryggi á vinnustöðum. Í 65. gr., 65. gr. a, 66. gr. og 66. gr. a í þeim lögum er fjallað um áætlun og áhættumat sem vinnuveitanda ber að geta varðandi öryggi og heilsuvernd á vinnustað. Í 1. og 2. mgr. 66. gr. a er fjallað um til þess hæfa þjónustuaðila sem hlotið hafa viðurkenningu Vinnueftirlits ríkisins til að veita vinnuveitanda aðstoð í þeim efnum. Með heimild í e-lið 38. gr. umræddra laga, sbr. einnig 37. gr., 65. gr., 65. gr. a og 66. gr. laganna, hefur félagsmálaráðherra sett reglugerð nr. 1000/2004 um aðgerðir gegn einelti á vinnustöðum. Í 5. gr. reglugerðarinnar er mælt fyrir um að í slíku áhættumati, sem að framan greinir, skuli m.a. meta aðstæður í vinnuumhverfi sem geti leitt til eineltis og grípa til viðeigandi aðgerða í samræmi við niðurstöður þess til að draga úr eða koma í veg fyrir slíkar aðstæður á vinnustaðnum.
Í inngangi umræddrar sérfræðiskýrslu kemur fram að Vinnueftirlitið hafi, í ljósi framangreindra ákvæða, mælst til þess að rannsakað yrði hvað hæft væri í ásökunum um einelti. Samkvæmt upplýsingum á heimasíðu Vinnueftirlitsins hefur [Y] ehf. hlotið slíka viðurkenningu. Einnig er tekið fram á heimasíðunni að sá sem viðurkenndur hefur verið sem þjónustuaðili skuli starfa sem óháður, sérfróður aðili. Auk þess má geta ákvæðis 5. mgr. 66. gr. a í lögum nr. 46/1980, en þar segir: „Þjónustuaðili skal gæta trúnaðar í starfi sínu. Hann skal fara með allar upplýsingar, sem hann kemst að í starfi sínu og varða persónuleg málefni og einkahagi starfsmanna sem trúnaðarmál. Sama gildir um upplýsingar er tengjast fyrirtækjum er hann starfar fyrir.““
Með bréfi dags. 21. október 2010 var lögmanni A og B veittur kostur á að gera þær athugasemdir sem hann teldi ástæðu til að gera í tilefni af skýringum Persónuverndar til mín. Engar athugasemdir bárust. Með bréfi Persónuverndar 18. febrúar 2011 bárust frekari málsgögn.
IV. Álit setts umboðsmanns Alþingis.
1. Afmörkun athugunar.
Með úrskurði 10. júní 2009 í máli nr. 2009/172 komst stjórn Persónuverndar að þeirri niðurstöðu að X, A og B hefðu ekki sýnt fram á að starfsmanni X hefði verið veitt lögboðin fræðsla samkvæmt 20. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga í tengslum við skýrslugerð í tilefni af því að hann sakaði annan starfsmann X um einelti í sinn garð. Forsenda þeirrar niðurstöðu er að umræddir aðilar teljist ábyrgðaraðilar vinnslunnar í skilningi 4. tölul. 2. gr. laga nr. 77/2000. Athugun mín hefur beinst að því hvort þessi forsenda fyrir niðurstöðunni hafi verið í samræmi við lög. Ég tel að aðrar athugasemdir sem koma fram í kvörtuninni gefi ekki tilefni til umfjöllunar af minni hálfu, sbr. 1. mgr. 10. gr. og a-lið 2. mgr. 10. gr. laga nr. 85/1997 um umboðsmann Alþingis, m.a. í ljósi skýringa Persónuverndar til umboðsmanns Alþingis.
Ég vík í upphafi að lagagrundvelli málsins.
2. Lagagrundvöllur málsins.
Um persónuvernd og meðferð persónuupplýsinga gilda lög nr. 77/2000. Markmið þeirra er að stuðla að því að farið sé með persónuupplýsingar í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins, sbr. 1. mgr. 1. gr. laganna. Með lögunum var innleidd tilskipun Evrópusambandsins nr. 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga.
Í 7. gr. laga nr. 77/2000 er að finna meginreglur um gæði gagna og vinnslu og í 8. og 9. gr. er að finna heimildir fyrir vinnslu persónuupplýsinga. Í III. kafla laganna er kveðið á um ýmis réttindi skráðum einstaklingum til handa, þ. á m. fræðsluskyldu, sbr. 20. og 21. gr. laganna. Í 20. gr., sbr. 2. gr. laga nr. 81/2002, er fjallað um fræðsluskyldu þegar persónuupplýsinga er aflað hjá hinum skráða. Ákvæðið hljóðar svo:
„Þegar ábyrgðaraðili aflar persónuupplýsinga hjá hinum skráða sjálfum skal hann upplýsa hinn skráða um eftirtalin atriði:
1. nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans skv. 6. gr.,
2. tilgang vinnslunnar,
3. aðrar upplýsingar, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, svo sem upplýsingar um:
a. viðtakendur eða flokka viðtakenda upplýsinganna,
b. hvort honum sé skylt eða valfrjálst að veita umbeðnar upplýsingar og hvaða afleiðingar það kunni að hafa veiti hann þær ekki,
c. ákvæði laganna um upplýsingarétt hins skráða, svo og rétt hins skráða til leiðréttingar og eyðingar rangra eða villandi persónuupplýsinga um hann.
Ákvæði 1. mgr. gilda ekki hafi hinn skráði þegar fengið vitneskju um þau atriði sem fram koma í 1.–3. tölul. 1. mgr.“
Áður var gert ráð fyrir því að fræðsluskylda samkvæmt ákvæðinu gæti eftir atvikum hvílt á vinnsluaðila. Ákvæðinu var hins vegar breytt með 2. gr. laga nr. 81/2002. Í athugasemdum við 2. gr. frumvarps er varð að þeim lögum segir:
„Í 1. mgr. 20. gr. laganna er kveðið á um að fræðsluskylda hvíli á ábyrgðaraðila, eða eftir atvikum vinnsluaðila. Það þykir ekki í samræmi við ákvæði [tilskipunar Evrópuþingsins og ráðsins nr. 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga], svo og önnur ákvæði laganna, að vinnsluaðili hafi lagaskyldu til að sinna fræðsluskyldu. Slík skylda getur einvörðungu hvílt á vinnsluaðila samkvæmt samningi við ábyrgðaraðila skv. 13. gr. laganna. Því er lögð til sú breyting á orðalagi ákvæðisins að fella brott orðin „eða eftir atvikum vinnsluaðila“. (Alþt. A-deild 2001-2002, bls. 4528-4529.)
Við mat á því hvort skyldur samkvæmt 1. mgr. 20. gr. laga nr. 77/2000 hvíla á þeim sem vinnur með persónuupplýsingar skiptir samkvæmt þessu grundvallarmáli hvort viðkomandi telst ábyrgðaraðili eða vinnsluaðili vinnslunnar og þá eftir atvikum hvort gerður hafi verið vinnslusamningur í skilningi 13. gr. laga nr. 77/2000 þar sem fram kemur að ákvæði laganna um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr.
Samkvæmt 4. tölul. 2. gr. laga nr. 77/2000 er „ábyrgðaraðili“ sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Í athugasemdum við 2. gr. frumvarps þess er síðar var að lögum nr. 77/2000 segir m.a.:
„Hugtakið ábyrgðaraðili á sér fyrirmynd í d-lið 2. gr. tilskipunar ESB og er átt við þann aðila sem hefur ákvörðunarvald um vinnslu persónuupplýsinga, tilganginn með vinnslu þeirra og hvað sá hugbúnaður sem notaður er á að gera. Jafnvel þótt slíkur aðili feli öðrum meðferð upplýsinganna ber hann ábyrgðina, svo fremi sem hann hafi áfram ákvörðunarvaldið. Sá sem vinnur með upplýsingarnar á vegum ábyrgðaraðila er hins vegar nefndur vinnsluaðili.” (Alþt. 1999-2000, A-deild, bls. 2715.)
Síðar í athugasemdunum segir:
„Tilgangur með vinnslu persónuupplýsinga kann að vera skilgreindur í sérlögum og þar afmarkað nákvæmlega hvað megi gera við persónuupplýsingar. Að því marki sem slík lög gera það hins vegar ekki fer um það samkvæmt frumvarpi þessu.” (Alþt. 1999-2000, A-deild, bls. 2715)
Samkvæmt 5. tölul. 2. gr. er „vinnsluaðili“ sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila. Í athugasemdum við 2. gr. frumvarps þess er síðar varð að lögum nr. 77/2000 segir m.a.:
„Vinnsluaðili er sá sem hefur persónuupplýsingar undir höndum og vinnur með þær á vegum ábyrgðaraðila. Vinnsluaðili getur t.d. verið aðili sem sér um að þróa upplýsingakerfi eða gera við og viðhalda tölvuhugbúnaði, enda sér slíkur aðili oft jafnframt um að varðveita upplýsingarnar eða hefur með öðrum hætti aðgang að þeim. Hugtakið á sér nokkra samsvörun við aðila sem hefur starfsleyfi til að annast tölvuþjónustu í skilningi 25. gr. gildandi laga. Skilyrði er að vinnslan fari fram fyrir hönd ábyrgðaraðila og byggist á ósk hans.“ (Alþt. 1999-2000, A-deild, bls. 2715.)
Með 29. gr. tilskipunar nr. 95/46/EB var komið á fót starfshópi, svokölluðum „29. gr. starfshópi“, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga, sem skal gegna ráðgjafarhlutverki og starfa sjálfstætt. Starfshópurinn er skipaður fulltrúum eftirlitsstofnana aðildarríkja Evrópusambandsins. Samkvæmt upplýsingum á heimasíðu Persónuverndar á stofnunin áheyrnaraðild að fundum starfshópsins. Starfshópurinn skal m.a. fjalla um öll mál, sem taka til beitingar innlendra ákvæða sem samþykkt eru á grundvelli tilskipunarinnar, í því skyni að stuðla að samræmdri beitingu þessara ákvæða, sbr. a-lið 1. mgr. 30. gr. tilskipunarinnar. Komist hópurinn að þeirri niðurstöðu að munur sé á lögum og venjum aðildarríkjanna, sem líklegt er að hafi áhrif á jafna vernd einstaklinga í tengslum við vinnslu persónuupplýsinga í bandalaginu, skal hann tilkynna það framkvæmdastjórninni, sbr. 2. mgr. 30. gr. Starfshópurinn er á skrá í bókun 37 við EES-samninginn, sbr. 101. gr. samningsins, sem kveður á um að nefndir á þeirri skrá skuli hafa samstarf við sérfræðinga EFTA-ríkjanna þegar góð framkvæmd samningsins krefst slíks.
Eins og nánar verður rakið í næsta kafla hef ég við umfjöllun mína um mál þetta m.a. haft nokkra hliðsjón af áliti starfshópsins frá 16. febrúar 2010 um túlkun hugtakanna „ábyrgðaraðili“ og „vinnsluaðili“. Hef ég þá horft til þess að þeim sjónarmiðum sem koma fram í áliti er ætlað að vera lýsandi fyrir framkvæmd eftirlitsstofnanna í aðildarríkjum Evrópusambandsins.
3. Var úrskurður stjórnar Persónuverndar í samræmi við lög?
Í úrskurði Persónuverndar frá 10. júní 2009 er lagt til grundvallar að sálfræðingarnir hafi farið með ákvörðunarvald um það „hvernig“ staðið var að vinnslunni og því haft stöðu ábyrgðaraðila ásamt X gagnvart starfsmanninum sem bar fram kvörtun um einelti á vinnustaðnum. Í ákvörðun Persónuverndar frá 13. ágúst 2009 um að hafna endurupptökubeiðni A og B kemur fram að „almennt [verði] að líta svo á að [sjálfstætt starfandi sérfræðingar] fari með ákvörðunarvald ... ásamt þeim sem óskaði eftir störfum þeirra“. Þá kemur fram í skýringum Persónuverndar til umboðsmanns Alþingis að ábyrgð sérfræðings ráðist m.a. af raunverulegu ákvörðunarvaldi hans um verklag, efnistök o.þ.h. og að ef annar kemur að vinnslu en sá sem ákveður að framkvæma tiltekna vinnslu með markmið sem hann velur, t.d. með því að taka ákvörðun um aðferð við vinnslu, geti hann að því marki talist vera ábyrgðaraðili enda liggi ekki fyrir gögn um annað. Það ráðist því af hinu raunverulega ákvörðunarvaldi hverju sinni hvaða verkþáttum sjálfstætt starfandi sérfræðingur ber ábyrgð á, en almennt megi segja að sérfræðingur beri ábyrgð svo langt sem hans sérfræðiþekking nær og hann hefur sjálfur tekið ákvörðun um. Í þessu sambandi er jafnframt tilgreint að sérstakar skyldur hvíli á sálfræðingum lögum samkvæmt, s.s. um sjálfstæði, þagnarskyldu og fagleg vinnubrögð.
Í úrskurði stjórnar Persónuverndar frá 10. júní 2009 er tekið fram að X hafi átt frumkvæði að vinnslunni og teljist því ábyrgðaraðili hennar. Að því virtu og skýringum Persónuverndar verður ganga út frá því að stofnunin hafi talið X hafa haft ákvörðunarvald um tilgang vinnslunnar, þ.e. öflun upplýsinga um starfsmanninn frá honum sjálfum eða öðrum, úrvinnslu þeirra í skýrslu A og B og afhendingu skýrslunnar til X. Með því hafi X leitast við að uppfylla þær skyldur sem hvíla á atvinnurekendum samkvæmt reglugerð 1000/2004 um að bregðast við kvörtunum yfir einelti á vinnustað. Það sé hins vegar afstaða stjórnar Persónuverndar að sálfræðingarnir A og B hafi haft ákvörðunarvald um „aðferð við vinnsluna“ og eftir atvikum aðra ráðstöfun upplýsinganna.
Við mat á því hvort aðili sem vinnur með persónuupplýsingar telst ábyrgðaraðili eða vinnsluaðili í skilningi laga nr. 77/2000 verður að líta til þess hvort hann fer í reynd með ákvörðunarvald um þá efnisþætti sem tilgreindir eru í 4. tölul. 2. gr. laga nr. 77/2000. Í athugasemdum við 4. tölul. 2. gr. laga nr. 77/2000 er ekki að finna frekari skýringu á efnisþáttum ákvæðisins, s.s. um það hvað felst í hugtakinu „aðferð“ við vinnslu. Við nánari túlkun þessa efnisþáttar verður að mínu áliti að hafa hliðsjón af 2. tölul. 2. gr. Þar er hugtakið „vinnsla“ skilgreint á þann hátt að um sé að ræða „aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn“. Þegar litið er til athugasemda við það ákvæði og önnur í lögskýringargögnum með frumvarpi því er varð að lögum nr. 77/2000 má álykta að átt sé við aðgreinda vinnsluþætti eða vinnsluaðgerðir, s.s. söfnun, skráningu, varðveislu eða miðlun, en ekki þá aðferðarfræði eða þá faglegu sérfræðiaðferð sem talið er heppilegt að leggja til grundvallar við öflun eða úrvinnslu á upplýsingum í tilteknu skyni. Styðst þessi ályktun að nokkru marki við álit 29. gr. starfshópsins frá 16. febrúar 2010, sjá kafla III.1.b). Þar kemur fram að skilgreining ábyrgðaraðilahugtaksins í tilskipun nr. 95/46/EB byggist í grunninn á skilgreiningu í Samningi Evrópuráðsins nr. 108 frá 1981 um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga á hugtakinu „skrárhaldara“, þrátt fyrir að á því hafi þó verið gerð tiltekin grundvallarbreyting. Skilgreiningin kemur fram í 2. gr. samningsins. Þar er vísað til þess að skrárhaldari sé sá sem er til þess bær samkvæmt landslögum að ákveða m.a. hvaða „aðgerðum“ (e. operations) megi beita. Í áliti starfshópsins kemur ennfremur fram að við meðferð tilskipunardraga þeirra er síðar urðu að tilskipun nr. 95/46/EB hafi efnisþáttum ábyrgðaraðilahugtaksins verið fækkað úr fjórum samkvæmt upphaflegri tillögu framkvæmdastjórnar EB í tvö og orðalagi þeirra breytt. Meðal annars hafi verið horfið frá því að nota hugtakið „aðgerðir“ (e. operations). Í stað þess sé nú notað hugtakið „aðferðir“ (e. means). Breytingin hafi þó ekki verið efnisleg heldur hafi hún verið til styttingar. Með þetta í huga bendi ég á að í gildandi ákvæðum tilskipunarinnar er hugtakið „aðgerðir“ (e. operations) notað með sambærilegum hætti og í lögum nr. 77/2000 um hugtakið „vinnslu“, sem í tilskipuninni er skilgreint sem „aðgerð eða röð aðgerða, rafrænna eða annarra en rafrænna, svo sem söfnun, skráning, kerfisbinding, geymsla, aðlögun eða breyting, heimt, leit, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækilegar, samantenging eða samkeyrsla, aðgangstakmörkun, afmáun eða eyðilegging“.
Við mat á því hvort sjálfstætt starfandi sérfræðingur sem tekur að sér að vinna verkefni í þágu annars aðila geti talist ásamt verkkaupanum bera ábyrgð í skilningi laga nr. 77/2000 á þeirri vinnslu persónuupplýsinga sem fer fram í þágu verkefnisins verður samkvæmt framangreindu að líta til þess í hverju stjórn verkefnisins, s.s. á verklagi og efnistökum, er fólgin. Nánar tiltekið verður að meta hvort hún felur í sér að sérfræðingurinn fer með ákvörðunarvald um vinnsluaðferðir í skilningi 4. tölul., sbr. 2. tölul. 2. gr. laga nr. 77/2000 eða aðra efnisþætti 4. tölul. 2. gr. laganna. Í úrskurði Persónuverndar frá 10. júní 2009 og ákvörðun stofnunarinnar frá 13. ágúst sama ár er því ekki sérstaklega lýst í hverju stjórn A og B á framkvæmd verkefnis Y ehf. fyrir X fólst. Þá liggur ekki fyrir hvort gerður var skriflegur verksamningur um framkvæmd verkefnisins milli X og Y ehf. eða A og B en slíkan samning var ekki að finna í þeim málsgögnum sem Persónuvernd afhenti umboðsmanni. Að virtum gögnum málsins og skýringum Persónuverndar til umboðsmanns verður þó að álykta að þar hafi verið lagt til grundvallar að A og B hafi í krafti sérþekkingar sinnar, menntunar og færni, haft svigrúm sem X hafði ekki til að ákvarða tilhögun þeirra viðtala sem þau tóku við umræddan starfsmann og aðra starfsmenn X og framsetningu á skýrslu sinni um þann vanda sem uppi var á vinnustaðnum.
Sjálfstætt starfandi sérfræðingur kann eftir atvikum á grundvelli laga, samningssambands, venja sem hafa mótast í framkvæmd eða siðareglna starfsstéttar sinnar, að vera óskylt að hlíta fyrirskipunum viðskiptavinar að því leyti sem reynir á sérfræðiþekkingu hans, þær ályktanir sem hann dregur og þær niðurstöður sem hann kemst að. Hann kann með öðrum orðum að ráða verklagi sínu og efnistökum og getur þannig haft áhrif á inntak upplýsinga sem unnið er með. Hvað sem því líður er ekki sjálfgefið að það sjálfstæði nái til ákvörðunartöku um vinnsluaðferð eða vinnsluþætti persónuupplýsinganna eða aðra efnisþætti í merkingu 4. tölul. 2. gr. laga nr. 77/2000. Sé slíku ákvörðunarvaldi ekki til að dreifa kemur eftir atvikum til greina að sjálfstætt starfandi sérfræðingur verði þá talinn annast vinnslu persónuupplýsinga sem vinnsluaðili í skilningi 5. tölul. 2. gr. laga nr. 77/2000 að frumkvæði ábyrgðaraðila. Ber sérfræðingurinn þá ekki sjálfstæða fræðsluskyldu um vinnsluþætti sem hann hefur ekki ákvörðunarvald yfir nema um hana sé samið í vinnslusamningi, sbr. 13. gr. laganna. Ég minni í þessu sambandi á þær forsendur sem fram koma í athugasemdum að baki 2. gr. laga nr. 81/2002, sem breytti 20. gr. laga nr. 77/2000 um fræðsluskylduna, um að slík skylda geti „einvörðungu hvílt á vinnsluaðila samkvæmt samningi við ábyrgðaraðila skv. 13. gr. laganna“. Fyrir þessa lagabreytingu gat vinnsluaðili eftir atvikum borið fræðsluskyldu í merkingu laganna. Það fyrirkomulag var hins vegar ekki talið í samræmi við ákvæði tilskipunar Evrópuþingsins og ráðsins nr. 95/46/EB frá 24. október 1995, svo og önnur ákvæði laganna.
Ég legg á það áherslu að ég tel ekki útilokað að fræðsluskylda í tilefni af tiltekinni vinnslu persónuupplýsinga geti hvílt á tveimur eða fleiri ábyrgðaraðilum, þ. á m. sjálfstætt starfandi sérfræðingum. Það leiðir hins vegar af uppbyggingu og framsetningu laga nr. 77/2000 að það verður að vera ljóst af gögnum og atvikum máls að sjálfstætt starfandi sérfræðingar, sem fengnir eru af hálfu annars aðila til að vinna með persónuupplýsingar, hafi slíkt ákvörðunarvald um vinnsluaðferðir eða aðra vinnsluþætti í skilningi 4. tölul. 2. gr. laga nr. 77/2000 að þeir beri fræðsluskyldu samhliða þeim sem sannanlega hefur ákvörðunarvald um tilgang vinnslunnar.
Aðstaðan í þessu máli var ekki sú að X hefði veitt A og B svigrúm á grundvelli sérfræðiþekkingar þeirra til að ákveða hvort nauðsynlegt væri að afla upplýsinga um samskipti á vinnustað stofnunarinnar, vinna úr þeim og afhenda síðan skýrslu þar að lútandi til X. Þvert á móti verður ekki annað ráðið af gögnum málsins, einkum lýsingu bæði X annars vegar og A og B hins vegar á aðdraganda þess að umrædd vinnsla persónuupplýsinga fór fram, en að í samningssambandi milli þessara aðila hafi beinlínis falist að upplýsinganna skyldi aflað, að það skyldi unnið úr þeim og að þær skyldu afhentar X. Af fyrirliggjandi gögnum málsins og upplýsingum um atvik þess verður því að mínu áliti ekki fullyrt annað en að ákvörðunarvald um bæði tilgang og vinnsluaðferðir hafi verið í höndum X en ekki A og B. Ég ítreka að sú faglega sérfræðiaðferð sem sálfræðingarnir notuðu við öflun og greiningu á upplýsingum um atburði á vinnustað X við gerð umræddrar skýrslu gat ekki talist ein og sér til vinnsluaðferðar í merkingu 4. tölul. 2. gr. laga nr. 77/2000. Þá verður að hafa í huga að þótt A og B hafi haft svigrúm til þess að ákveða við hverja var rætt og um hvað var spurt hefur því ekki verið haldið fram af hálfu Persónuverndar að þau hafi farið út fyrir þau mörk sem samningssambandið við X markaði upplýsingavinnslunni og þar með skapað því sjálfstæða ábyrgð í skilningi laga nr. 77/2000. Slíkt verður enn fremur ekki séð af fyrirliggjandi gögnum málsins eða umræddri skýrslu. Loks liggur ekki fyrir vinnslusamningur á grundvelli 13. gr. sömu laga þar sem gert var ráð fyrir að þau A og B tækju að sér, að hluta eða í heild, þá fræðsluskyldu samkvæmt 20. gr. laga nr. 77/2000 sem hvíldi á X.
Í skýringum sínum til umboðsmanns Alþingis vísar Persónuvernd til stuðnings afstöðu sinni til 3. gr. laga nr. 40/1976 um sálfræðinga og 5. mgr. 66. gr. a í lögum nr. 46/1980 um aðbúnað, hollustuhætti og öryggi á vinnustöðum. Þau ákvæði lúta eingöngu að þagmælsku og trúnaði. Þau kunna eftir atvikum að hafa áhrif á mat á lögmæti vinnslu sálfræðinga á persónuupplýsingum, sbr. 7.-9. gr. laga nr. 77/2000, s.s. ef slíkur aðili afhendir upplýsingar, birtir þær eða veitir aðgang að þeim. Það er hins vegar sjálfstætt álitaefni og ekki til umfjöllunar hér enda hefur Persónuvernd ekki komist að þeirri niðurstöðu að afhending á skýrslu A og B til X hafi verið ólögmæt. Í því sambandi minni ég á að samband starfsmannsins sem kvartaði yfir eineltinu við A og B var ekki hefðbundið samband sálfræðinga og skjólstæðings þar sem starf sálfræðinganna miðar fyrst og fremst að greiningu, ráðgjöf og meðferð. Sálfræðingarnir voru í hlutverki utanaðkomandi ráðgjafa sem voru fengnir til að meta aðstæður á vinnustað vegna þeirra skyldna sem hvíla á atvinnurekendum samkvæmt reglugerð nr. 1000/2004 um aðgerðir gegn einelti á vinnustað. Starfsmanninum hlaut því að vera ljóst að aðkoma sálfræðinganna að málinu var alfarið reist á frumkvæði X sem atvinnurekenda samkvæmt reglugerð nr. 1000/2004 vegna fyrirliggjandi ásökunar um einelti á vinnustaðnum. Ábyrgð á upplýsingaöfluninni og framkvæmd hennar hafi því sem fyrr verið í höndum X en ekki sálfræðinganna. Að þessu virtu hafa 3. gr. laga nr. 40/1976 og 5. mgr. 66. gr. a í lögum nr. 46/1980 ekki þá lagalegu þýðingu að ákvörðunarvald um umrædda vinnslu persónuupplýsinga hafi verið í höndum A og B í merkingu laga nr. 77/2000. Þá bendi ég á að af gögnum málsins verður ekki ráðið að aðkoma A og B hafi verið falin í gerð áætlunar um öryggi og heilbrigði á vinnustað, þar á meðal mati á áhættu og áætlun um heilsuvernd, líkt og kveðið er á um í 66. gr. a í lögum nr. 46/1980, heldur á grundvelli reglugerðar nr. 1000/2004. Að því virtu verður ekki lagt til grundvallar að 66. gr. a í lögum nr. 46/1980 hafi þýðingu í málinu.
Að öllu framangreindu virtu er það niðurstaða mín að Persónuvernd hafi ekki sýnt fram á að atvik og aðstæður hafi verið með þeim hætti í þessu máli að A og B hafi farið með ákvörðunarvald um þá vinnslu persónuupplýsinga sem um ræddi í málinu í merkingu 4., sbr. 2. tölul. 2. gr. laga nr. 77/2000 og þar af leiðandi borið ábyrgð á að veita lögboðna fræðslu í samræmi við 20. gr. sömu laga. Það er því niðurstaða mín að úrskurður stofnunarinnar frá 10. júní 2009 í máli nr. 2009/172 hafi ekki verið í samræmi við lög. Af þeirri ástæðu er ekki tilefni til þess að fjalla hér um þá niðurstöðu Persónuverndar að A og B hafi ekki sýnt fram á að þau hafi veitt umræddum starfsmanni lögboðna fræðslu. Umfjöllun mín í áliti þessu hefur auk þess takmarkast við ábyrgð á þeirri vinnslu persónuupplýsinga sem Persónuvernd úrskurðaði um í málinu. Hér hefur því ekki verið fjallað um það hvort A og B geti um aðra þætti talist ábyrgðaraðilar að vinnslu þeirra persónuupplýsinga sem þau öfluðu um umræddan starfsmann, s.s. ef upplýsingarnar eru varðveittar í skrám þeirra.
V. Niðurstaða.
Það er niðurstaða mín að úrskurður stofnunarinnar frá 10. júní 2009 í máli nr. 2009/172 hafi ekki verið í samræmi við lög.
Ég mælist til þess Persónuvernd taki mál A og B til meðferðar að nýju, komi fram ósk um það frá þeim, og hagi þá meðferð þess í samræmi við þau sjónarmið sem ég hef gert grein fyrir í þessu áliti. Það eru jafnframt tilmæli mín Persónuverndar að framvegis verði tekið mið af þeim sjónarmiðum sem koma fram í álitinu við meðferð sambærilegra mála hjá stofnuninni.
Undirritaður hefur farið með mál þetta í samræmi við 2. mgr. 14. gr. laga nr. 85/1997 um umboðsmann Alþingis.
Róbert R. Spanó.