31.05.2006
Skýrsla um niðurstöður úttektar á söfnun og meðferð persónuupplýsinga við ráðningu í störf tollvarða hjá Tollstjóranum í Reykjavík
I.Framkvæmd úttektar
Persónuvernd vísar til fyrri samskipta vegna úttektar stofnunarinnar á söfnun og meðferð persónuupplýsinga um umsækjendur um störf tollvarða hjá Tollstjóranum í Reykjavík. Um er að ræða þátt í sameiginlegu verkefni persónuverndarstofnananna á Íslandi, í Danmörku, Noregi, Svíþjóð og Finnlandi, en ákveðið var á fundi þeirra dagana 20. og 21. nóvember 2003 að fram skyldi fara úttekt á söfnun og meðferð upplýsinga um umsækjendur hjá þremur aðilum í hverju landanna fimm. Tilgangur slíkrar úttektar væri að sannreyna hvort vinnsla persónuupplýsinga á vegum ábyrgðaraðila væri í samræmi við lög og reglur, og eftir atvikum leiðbeina um meðferð upplýsinganna gerðist þess þörf, sbr. 4. tölul. 1. mgr. 37. gr. laga nr. 77/2000; að bera saman umfang vinnslunnar á milli landanna fimm; og að stuðla að samræmdum vinnubrögðum í löndunum við gerð slíkra úttekta sem hér um ræðir. Persónuvernd ákvað að Tollstjórinn í Reykjavík yrði einn þeirra aðila sem valdir yrðu hér á landi og var embættinu tilkynnt um það með bréfi, dags. 29. mars 2004. Var þar tekið fram að ekki væri um hefðbundna öryggisúttekt að ræða heldur myndi úttektin takmarkast við ráðningar í störf tollvarða.
Á grundvelli framangreindrar ákvörðunar voru skrifstofur Tollstjóraembættisins heimsóttar miðvikudaginn 14. apríl 2004 og þar fundað með Guðnýju Einarsdóttur, forstöðumanni starfsmannasviðs, og Sigmundi Sigurgeirssyni, starfsmannastjóra. Forsvarmönnum Tollstjóraembættisins höfðu verið sendar spurningar Persónuverndar fyrir fundinn og var þeim að hluta til svarað skriflega með skjali sem þar var lagt fram.
Á fundinum voru eftirfarandi gögn auk þess lögð fram:
eyðublað fyrir starfsumsókn,eyðublaðið "Fylgiskjal með umsókn um tollvarðarstarf",samþykkisyfirlýsing vegna öflunar upplýsinga hjá lögreglu og tollgæslu,eintak auglýsingar um laust starf tollvarða,yfirlit yfir spurningar sem spurt er að í viðtali við umsækjanda um starf tollvarðar,próf í dönsku og ensku,matsblað vegna viðtals við umsækjanda um starf tollvarðar,heitstafur,tölulegar upplýsingar um fjölda tollvarða og nýráðningar, ogminnisblað um ráðningarferil, dags. 18. september 2003.
Þessi skýrsla er byggð á ofangreindum, skriflegum gögnum frá forsvarsmönnum Tollstjóraembættisins, sem og þeim munnlegu upplýsingum sem fram komu á ofangreindum fundi. Með bréfi, dags. 6. maí 2004, voru fyrstu drög skýrslunnar send forstöðumanni starfsmannasviðs Tollstjóraembættisins til kynningar og honum gefinn kostur á að koma að athugasemdum, auk þess sem óskað var eftir frekari upplýsingum um tiltekin atriði. Svarað var með bréfi, dags. 19. maí 2004.
Í framangreindum gögnum og munnlegum svörum hafa eftirfarandi atriði komið fram um þá vinnslu persónuupplýsinga um umsækjendur um störf tollvarða sem fram fer hjá Tollstjóranum í Reykjavík:
1. Almennar upplýsingarFram kom á fundinum að ekki hefur verið sett skrifleg öryggisstefna, gert skriflegt áhættumat eða skráð lýsing á öryggisráðstöfunum. Innri endurskoðun embættisins hefði bent á að þörf væri á slíkri stefnu og væru þau mál í athugun. Þá kom fram að í október 2003 var heildarfjöldi tollvarða hjá embættinu í Reykjavík 51. Þeir gegna ýmsum störfum, bæði á skrifstofu embættisins og á vettvangi. Störf tollvarða skiptust þannig að almennir tollverðir voru 24 í október 2003; þeir sem störfuðu við sérhæfð tollvarðarstörf, sem flokksstjórar og við hundaþjálfun voru 10; yfirtollverðir voru 9; og deildarstjórar og aðaldeildarstjórar voru 8. Enginn tollvörður hætti störfum árið 2003, en tveir voru ráðnir og þrír tímabundið. Tollstjóraembættið nýtir sér ekki þjónustu ráðningarstofa við ráðningu í störf tollvarða.
2. Gagnasöfnun
2.1. UmsóknareyðublaðUmsækjandi fyllir oftast út sérstakt eyðublað þegar sótt er um starf, en einnig er tekið á móti annars konar umsóknum, þ.e. bréfum sem þá oft fylgir starfsferilskrá. Fram kom hjá forstöðumanni starfsmannasviðs á fundinum að þar sem slík bréf segja oft heilmikið um umsækjanda sé í reynd hvatt til þess að umsækjendur velji þá leið frekar en að nota hin stöðluðu umsóknareyðublöð. Á umsóknareyðublaði er beðið um almennar lýðskrárupplýsingar, upplýsingar um hjúskaparstöðu og hvort viðkomandi eigi börn. Spurt er hvort viðkomandi reyki, en ekki er spurt um önnur atriði er tengjast heilsu manna. Spurt er um menntun og fyrri störf, tölvuþekkingu og tungumálakunnáttu. Þá er þess óskað að umsækjandi tilgreini meðmælendur aðra en einstaklinga innan fjölskyldu.
2.2. Fylgiskjal með umsókn um tollvarðarstarfGerður er greinarmunur á því hvort umsókn er lögð fram vegna hugsanlegra starfa sem geta losnað eða þegar tilteknar stöður eru auglýstar lausar til umsóknar. Í fyrra tilvikinu er aðeins gerð krafa um almenna umsókn, þó svo að ekkert komi í veg fyrir að frekari gögn séu send með. Ef auglýstar eru tilteknar stöður eða einstaklingur, sem á inni umsókn, kemur til álita í tiltekna stöðu þá er áskilið að fyllt sé út svokallað "Fylgiskjal með umsókn um tollvarðarstarf" og áskilið að tiltekin gögn fylgi umsókn.
Á framangreindu fylgiskjali er krafist upplýsinga um eftirfarandi atriði:
ökuréttindi, n.t.t. hvaða ökuréttindi og hvar og hvenær þau eru fengin;hæð og þyngd;hvort hafin hafi verið rannsókn gegn umsækjanda vegna lagabrota;hvernig umsækjandi telji háttað heilsufari sínu;mat umsækjanda á sjón, heyrn eða öðrum skilningarvitum; oghvort umsækjandi neyti áfengis.
Þá er gerð krafa um að sakavottorð, læknisvottorð og ljósmynd fylgi.
2.3. Upplýsingar sem til verða í viðtaliÍ viðtali undirritar umsækjandi heimild til handa Tollstjóraembættinu til að afla um hann upplýsinga úr málaskrám lögreglu og tollgæslu. Í reynd er einungis óskað upplýsinga um fíkniefnabrot, en heimildin tekur til allra upplýsinga sem þar eru skráðar um viðkomandi. Engin viðmið eru um hve langt aftur farið er og er það alfarið lagt í hendur lögreglu/tollgæslu. Þegar hér er komið sögu í ráðningarferlinu er viðkomandi kominn á svonefndan "shortlist", þ.e. búið er að velja út örfáa umsækjendur sem helst koma til álita í tiltekið starf.
Í viðtali er skráð niður mat á umsækjanda samkvæmt ákveðnu stöðluðu bréfi. Skráð er mat á framkomu og tjáningu, hæfni til mannlegra samskipta/sveigjanleika og þjónustulundar, frumkvæði í starfi og nákvæmni í vinnubrögðum og að lokum mikilvægi reynslu í ákveðnum starfsgreinum. Lögð eru ensku- og dönskupróf fyrir viðkomandi.
3. Fræðsluskylda og viðvörunarskylda við hinn skráðaÍ auglýsingu um laust starf, umsóknareyðublaði og því fylgiskjali, sem fylgja skal með umsókn, kemur að mestu leyti fram hvaða gagna aflað verður um umsækjanda. Í starfsauglýsingu segir að skylt sé að fylla út framangreint fylgiskjal og skila inn læknisvottorði, sakavottorði og ljósmynd. Í starfsviðtali er umsækjandi upplýstur um að forsenda ráðningar sé að hann veiti heimild til öflunar upplýsinga úr málaskrám lögreglu og tollgæslu. Í þeim tilvikum, þegar í málaskrá lögreglu eða tollgæslu finnast upplýsingar þess eðlis að viðkomandi er hafnað í starfið, er honum ekki tilkynnt um þessa ástæðu sérstaklega. Honum, ásamt öllum öðrum, sem hafnað er, er tilkynnt almennum orðum að ekki verði af ráðningu. Í svarbréfi, þar sem þetta er tilkynnt, er þeim bent á að samkvæmt 20. gr. stjórnsýslulaga nr. 37/1993 eigi þeir kost á að óska eftir rökstuðningi fyrir ákvörðun um ráðningu.
4. Afturköllun umsóknar eða afturköllun samþykkis umsækjanda fyrir því að tiltekinna upplýsinga sé aflaðAldrei hefur reynt á afturköllun umsóknar eða samþykkis umsækjanda fyrir því að tiltekinna upplýsinga sé aflað.
5. Miðlun persónuupplýsingaUpplýsingum um umsækjendur er aldrei miðlað til þriðja aðila nema við öflun upplýsinga úr málaskrá lögreglu, en þá er henni tilkynnt að tiltekinn einstaklingur hafi sótt um tollvarðarstarf og tiltekinna upplýsinga óskað, að fengnu samþykki hins skráða.
6. Varðveisla persónuupplýsinga um umsækjendurEkki hefur verið mótuð skýr stefna um varðveislu upplýsinga um umsækjendur. Læknisvottorð og sakavottorð eru endursend umsækjanda þegar ákveðið er að hann skuli ekki ráðinn. Áður fyrr voru umsóknir og endursendar ef engin laus störf voru til staðar nema umsækjandi óskaði annars. Nú eru elstu upplýsingar, sem varðveittar eru um þá umsækjendur, sem ekki eru ráðnir, hins vegar fjögurra mánaða gamlar. Til skoðunar er að varðveita umsóknir framvegis í eitt ár, sem og matsblöð/viðtalsblöð og annað þess háttar, en endursenda sakavottorð og læknisvottorð strax sem fyrr. Hins vegar verði matsblöð/viðtalsblöð og annað þess háttar varðveitt. Fram kom á fundinum að öll þessi mál eru í mótun. Einnig kom fram að væntanlega verður umsækjandi upplýstur um að umsókn hans sé varðveitt. Þá kom fram að Tollstjóraembættið býr ekki yfir því tölvukerfi sem þarf til að halda utan um starfsumsóknir og þau gögn sem þeim fylgja. Upplýst var að meðferð umsóknar er skráð, s.s. að henni sé hafnað, ef óskað er rökstuðnings fyrir ráðningu o.s.frv. Ef umsækjandi er ráðinn fara öll gögn í starfsmannamöppu viðkomandi.
7. Aðgangur hins skráða að upplýsingum um sig
Litið er svo á að hinn skráði eigi rétt til aðgangs að öllum þeim upplýsingum sem um hann eru skráðar. Á þennan rétt hefur reynt við eina innanhúsráðningu, þ.e. stöðubreytingu.
8. Andmælaréttur hins skráða vegna rangra/villandi upplýsingaLitið er svo á að um þetta atriði gildi ákvæði 13. gr. stjórnsýslulaga nr. 37/1993. Á andmælarétt umsækjenda í tengslum við ráðningar í störf hjá Tollstjóraembættinu samkvæmt því ákvæði reyndi í áliti Umboðsmanns Alþingis frá 2. september 2003 í máli nr. 3736/2003. Var þar m.a. fjallað um veitingu andmælaréttar vegna mats á hæfni og persónulegum eiginleikum umsækjenda um starf flokksstjóra og talið að þeim hefði verið veitt takmarkað ráðrúm til að fara yfir þetta mat og meta hvort tilefni væri til athugasemda við það.
9. Öryggisráðstafanir og innra eftirlitSkrifleg lýsing á öryggisráðstöfunum er ekki til staðar, eins og fyrr greinir, né heldur innra eftirlit með því hvernig öryggisráðstöfunum er framfylgt. Nýr forstöðumaður starfsmannasviðis (Guðný Einarsdóttir) tók við haustið 2003 og er stefna embættisins í mótun. Nú eru öll gögn um umsækjendur varðveitt í læstri skúffu á læstri skrifstofu. Skrifleg minnisblöð annarra, sem til verða í tölvu við ráðningarferilinn, eru varðveitt miðlægt hjá forstöðumanni starfsmannasviðs. Einungis hún, Sigmundur Sigurgeirsson og tollstjóri hafa aðgang að því svæði tölvunnar þar sem þessi gögn er að finna.
II.Forsendur
Persónuvernd hefur farið yfir þá vinnslu persónuupplýsinga sem fram fer um umsækjendur um störf tollvarða hjá Tollstjóranum í Reykjavík og komist að þeim niðurstöðum sem raktar eru hér að neðan. Á grundvelli þeirra hefur stofnunin ákveðið að veita Tollstjóraembættinu leiðbeiningar um vinnslu persónuupplýsinga um umsækjendur, sbr. 4. tölul. 1. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga þar sem kveðið er á um það hlutverk stofnunarinnar að skilgreina og afmarka hvar persónuvernd er hætta búin og veita ráð um leiðir til lausnar. En niðurstöður Persónuverndar eru sem hér greinir:
1. Almennt um lögmæti vinnslu persónuupplýsingaSú söfnun á persónuupplýsingum og eftirfarandi vinnsla þeirra, sem fram fer hjá Tollstjóranum í Reykjavík um umsækjendur um störf tollvarða, samrýmist á margan hátt þeim kröfum sem fram koma í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þannig fullnægir vinnslan m.a. að mestu leyti því skilyrði, sem ávallt verður að vera fullnægt um vinnslu persónuupplýsinga, að hún falli undir einhverja af heimildum 8. gr. laganna. Telur Persónuvernd 1. og 7. tölul. 1. mgr. 8. gr. eiga við um mestan hluta vinnslunnar þar sem kveðið er á um að vinnsla persónuupplýsinga sé heimil á grundvelli ótvíræðs samþykkis hins skráða (1. tölul.) og þegar hún sé nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber samkvæmt lögum, vegi þyngra (7. tölul.). Í þessari skýrslu mun hins vegar ekki verða fjallað frekar um, nema þar sem það á við samhengisins vegna, í hvaða atriðum vinnsla Tollstjórans í Reykjavík á persónuupplýsingum samrýmist lögum nr. 77/2000, heldur bent á hvað má betur fara í þeirri vinnslu og hvernig bæta skal úr því.
2. Nauðsynlegar úrbæturGera verður úrbætur á vissum þáttum vinnslu Tollstjórans í Reykjavík á persónuupplýsingum um umsækjendur um störf tollvarða, þ.e. eins og hér greinir:
2.1. Skjalfesting upplýsingaöryggisÍ 5. mgr. 11. gr. laga nr. 77/2000 er kveðið á um að ábyrgðaraðili að vinnslu persónuupplýsinga skuli skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir. Ábyrgðaraðili er sá sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000. Er ljóst að hvað umrædda vinnslu varðar er Tollstjórinn í Reykjavík ábyrgðaraðili samkvæmt þessu ákvæði. Fram hefur komið að það hvernig gæta skal öryggis persónuupplýsinga hjá Tollstjóraembættinu hefur ekki verið skjalfest með framangreindum hætti. Ljóst er að slík skjalfesting á að ná til allrar þeirrar vinnslu sem fram fer hjá ábyrgðaraðila. Skýrsla þessi nær hins vegar aðeins til afmarkaðs sviðs þeirrar vinnslu persónuupplýsinga sem fram fer hjá Tollstjóranum í Reykjavík, þ.e. vinnslu persónuupplýsinga um umsækjendur um störf tollvarða. Eins og málum er háttað verður því ekki vikið hér frekar að heildarskjalfestingu upplýsingaöryggis hjá Tollstjóraembættinu. Hins vegar er embættinu bent á að til að tryggja öryggi persónuupplýsinga um umsækjendur um störf tollvarða er rétt að settar verði verklagsreglur til að tryggja öryggi þeirra.
2.2. Innra eftirlitEkki hefur verið mótuð stefna um framkvæmd innra eftirlits, sbr. 12. gr. laga nr. 77/2000 þar sem kveðið er á um að ábyrgðaraðili skuli viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Þá er þar m.a. kveðið á um að innra eftirlit skuli viðhaft með reglubundnum hætti. Tíðni eftirlitsins og umfang þess skuli ákveðið með hliðsjón af áhættunni sem er samfara vinnslunni, eðli þeirra gagna sem unnið er með, þeirri tækni sem notuð er til að tryggja öryggi upplýsinganna og kostnaði af framkvæmd eftirlitsins. Það skuli þó eigi fara fram sjaldnar en árlega. Nánari ákvæði um innra eftirlit er að finna í 8. gr. reglna nr. 299/2001. Nauðsynlegt er að Tollstjórinn í Reykjavík móti og framkvæmi stefnu um framkvæmd innra eftirlits með því hvernig unnið sé með persónuupplýsingar um umsækjendur um störf tollvarða, m.a. hvort unnið sé í samræmi við verklagsreglur um slíka vinnslu, svo að tryggt verði að kröfum laganna og reglnanna til slíks eftirlits sé fullnægt um vinnsluna.
2.3. Vinnsla viðkvæmra persónuupplýsinga – Umfang slíkrar vinnslu og fræðsla um öflun upplýsinganna
2.3.1. AlmenntAflað er sakavottorða umsækjenda um störf tollvarða hjá Tollstjóranum í Reykjavík, sem og upplýsinga úr málaskrám lögreglu og tollgæslu. Þá er óskað eftir læknisvottorði, auk þess sem spurt er um reykingar á umsóknareyðublöðum og atriði varðandi heilsuhagi og líkamlegt ástand á fylgiskjölum með þeim. Ljóst er að þær upplýsingar, sem fram koma í þessum gögnum, eru viðkvæmar persónuupplýsingar, sbr. b- og c-liði 2. gr. laga nr. 77/2000 um að upplýsingar um að maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað (b-liður), auk upplýsinga um heilsuhagi, þ. á m. um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun (c-liður), séu viðkvæmar.
2.3.2. Öflun upplýsinga um refsiverða háttsemiVinnsla viðkvæmra persónuupplýsinga, þ. á m. um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, þarf að fullnægja einhverju af skilyrðum 1. mgr. 9. gr. laganna. Telur Persónuvernd 1. tölul. 1. mgr. einkum geta átt við um umrædda vinnslu persónuupplýsinga um refsiverða háttsemi, þ.e. hún geti verið heimil á grundvelli samþykkis hins skráða. Er þá átt við sérstaka, ótvíræða yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv., sbr. 7. tölul. 2. gr. laga nr. 77/2000. Hvað upplýsingar úr málaskrá lögreglu varðar skiptir máli ákvæði 1. tölul. 2. mgr. reglugerðar nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu sem sett er með stoð í 3. mgr. 45. gr. laga nr. 77/2000. Í framangreindu ákvæði reglugerðarinnar er kveðið á um að miðlun persónuupplýsinga úr skrám lögreglu til annarra stjórnvalda sé heimil með samþykki hins skráða.
Auk þess sem einhverju af skilyrðum 1. mgr. 9. gr. laga nr. 77/2000 þarf að vera fullnægt fyrir vinnslu viðkvæmra persónuupplýsinga þarf einhverju hinna almennu skilyrða fyrir vinnslu persónuupplýsinga, sem kveðið er á um í 1. mgr. 8. gr. laganna, einnig að vera fullnægt. Í 1. tölul. 1. mgr. 8. gr. er vinnsla persónuupplýsinga heimiluð á grundvelli ótvíræðs samþykkis hins skráða eða samþykkis samkvæmt 7. tölul. 2. gr. laga nr. 77/2000. Í 7. tölul. 1. mgr. 8. gr. er vinnsla persónuupplýsinga og heimiluð sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Telur Persónuvernd þessi ákvæði 8. gr. laga nr. 77/2000 einkum geta átt við um umrædda vinnslu persónuupplýsinga.
Auk þess sem öll vinnsla persónuupplýsinga verður að falla undir einhverja af heimildum 8. gr. og eftir atvikum 9. gr. laga nr. 77/2000 verður þess ennfremur ávallt að vera gætt að fullnægt sé öllum skilyrðum 7. gr. laga nr. 77/2000. Þau skilyrði, sem einkum reynir á í þessu máli, koma fram í 1.–4. tölul. 1. mgr. 7. gr. Þar er kveðið á um að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skal vera í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að persónuupplýsingar skulu vera áreiðanlegar (4. tölul.). Í athugasemdum við 1. tölul. 1. mgr. 8. gr. í greinargerð með því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að samþykki getur ekki orðið grundvöllur lögmætis vinnslu sem ekki samrýmist kröfum 7. gr.
Persónuvernd telur öflun upplýsinga um brotaferil umsækjenda um störf tollvarða hjá Tollstjóraembættinu geta samrýmst þessum kröfum. Er þá litið til þess að þörf getur verið á að tryggja að menn, sem gerst hafa sekir um tiltekin refsiverð brot, séu ekki ráðnir til starfa við tollgæslu, enda fara tollverðir með lögregluvald á sínu starfssviði og þegar þeir annast eða aðstoða við löggæslu, sbr. 4. mgr. 9. gr. lögreglulaga nr. 90/1996. Telur Persónuvernd hvort tveggja að óskað sé eftir því við umsækjendur að þeir afhendi sakavottorð sitt, sem og að þeir samþykki öflun upplýsinga úr málaskrám lögreglu og tollgæslu, geta helgast af framangreindum lagarökum.
Hins vegar telur Persónuvernd að setja verði öflun upplýsinga úr málaskrám lögreglu og tollgæslu mun þrengri stakk en öflun upplýsinga úr sakaskrá. Vegna eðlis starfs tollvarða má ætla að upplýsingar um mörg brot og marga brotaflokka hafi gildi við ráðningar þeirra. Samkvæmt því verður að ætla að heimildin til öflunar upplýsinga úr sakaskrá sé rúm þó að einhver brot kunni að vera þess eðlis að ekki sé þörf á að afla upplýsinga um þau. Hvað varðar upplýsingar úr málaskrám og tollgæslu verður hins vegar að líta til þess að þær byggja á mun óáreiðanlegri grunni en upplýsingar í sakaskrá, enda byggjast síðarnefndu upplýsingarnar á dómum og öðrum réttargerningum sem fela í sér opinbera staðfestingu á því að maður hafi framið tiltekið brot. Það gildir ekki um málaskrár lögreglu og tollgæslu. Fram hefur komið að í reynd er einungis óskað upplýsinga um fíkniefnabrot en að hinn skráði veiti heimild sem taki til allra upplýsinga sem um hann séu skráðar í málaskrám lögreglu og tollgæslu. Þá séu engin viðmið um hversu langt aftur farið sé.
Svo að kröfum framangreindra ákvæða 7. gr. laga nr. 77/2000 sé fullnægt telur Persónuvernd nauðsynlegt að Tollstjóraembættið skilgreini með skýrum hætti nákvæmlega hvaða upplýsinga úr málaskrám lögreglu og tollgæslu nauðsynlegt sé að afla vegna ráðningar í starf tollvarða. Í ljósi hinnar rúmu heimildar til öflunar slíkra upplýsinga, sem fengin er frá hinum skráða, verður ekki séð að það hafi verið gert á nægilega afdráttarlausan hátt. Er því nauðsynlegt að Tollstjóraembættið bæti úr þessu og móti skýra stefnu um öflun upplýsinga úr málaskrám lögreglu og tollgæslu – og þá ekki aðeins hvað varðar brot og brotaflokka heldur einnig aldur þeirra upplýsinga sem aflað er. Þá tekur Persónuvernd fram að nauðsynlegt er að tollstjóraembættið kanni einnig hvort einhverjar upplýsingar úr sakaskrá séu þess eðlis, þ. á m. vegna aldurs þeirra, að ekki sé nauðsynlegt að fá vitneskju um þær við ráðningu í tollvarðarstörf og móti stefnu um það í ljósi framangreindra ákvæða 7. gr. laga nr. 77/2000.
2.3.3. Öflun upplýsinga um heilsuhagi, reykingar og líkamlegt ástand umsækjendaAð óskað sé eftir læknisvottorði frá umsækjendum um störf hjá Tollstjóraembættinu, sem og að aflað sé upplýsinga um reykingar umsækjenda á umsóknareyðublöðum og líkamlegt ástand þeirra á fylgiskjölum með þeim, getur verið heimilt með stoð í framangreindum ákvæðum 1. tölul. 1. mgr. 9. gr. og 1. og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Slík upplýsingaöflun verður ávallt að samrýmast þeim kröfum sem fram koma í framangreindri 7. gr. laganna, en þær fela m.a. í sér þá meðalhófsreglu að aldrei má ganga lengra í vinnslu persónuupplýsinga en nauðsynlegt er í þágu tilgangsins með vinnslunni. Samkvæmt því verða þær upplýsingar, sem Tollstjóraembættið aflar í tengslum við umsóknir um störf tollvarða, að samrýmast því starfi sem tollverðir gegna. Embættinu kann því t.d. að vera heimilt að krefjast læknisvottorðs um líkamshreysti og annað þess háttar, enda ljóst að tollvörðum er ætlað að sinna löggæslustörfum þar sem m.a. getur verið nauðsynlegt að beita valdi, sbr. 4. mgr. 9. gr. laga nr. 90/1996.
Ekki hefur hins vegar komið fram af hvaða ástæðum skila á inn læknisvottorði og til hvaða upplýsinga um heilsuhagi það eigi að taka. Er því ekki, hvað slík vottorð varðar, unnt að fullyrða hvort kröfum þessara ákvæða, og um leið framangreindra ákvæða 8. og 9. gr., sé fullnægt, þ. á m. þeim kröfum að persónuupplýsingar skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi, sbr. 2. tölul. 1. mgr. 7. gr., og að vinnsla persónuupplýsinga skal ekki vera umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. sömu greinar. Er því nauðsynlegt að Tollstjóraembættið hugi að þessum þætti í vinnslu sinni og taki skýra afstöðu til þess hvaða upplýsinga um heilsuhagi nauðsynlegt sé að afla með ósk um afhendingu læknisvottorða og hverra ekki. Einnig er nauðsynlegt að embættið hugi að því að öðru leyti hvort þær persónuupplýsingar um heilsuhagi og líkamlegt ástand umsækjenda, sem aflað er í tengslum við umsóknir þeirra, s.s. hæð þeirra og þyngd, séu allar nauðsynlegar í ljósi tilgangsins með vinnslu þeirra.
2.3.4. Fræðsla um öflun viðkvæmra persónuupplýsingaÍ 20. gr. laga nr. 77/2000 er kveðið á um fræðsluskyldu ábyrgðaraðila við hinn skráða þegar persónuupplýsinga er aflað hjá honum sjálfum. Er þar kveðið á um að fræða skuli hinn skráða um nánar tiltekin atriði þegar svo stendur á, sem og að hinum skráða skuli veittar aðrar upplýsingar, að því marki sem þær séu nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríki við vinnslu upplýsinganna, svo að hann geti gætt hagsmuna sinna. Lítur Persónuvernd svo á að fræðsla um að afla eigi upplýsinga um heilsuhagi og brotaferil falli undir það að vera "aðrar upplýsingar, að því marki sem þær eru nauðsynlegar," svo að hinn skráði geti gætt hagsmuna sinna í ljósi þessa ákvæðis, s.s. hætt við að sækja um starf strax í upphafi og veita Tollstjóraembættinu því ekki um sig neinar upplýsingar.
Ljóst er að þegar í upphafi umsóknarferlis eru umsækjendur upplýstir um að krafist sé sakavottorðs og læknisvottorðs, þ.e. í starfsauglýsingu og fylgiskjali með umsókn. Hvað kröfu um þessi gögn varðar telur Persónuvernd því að fullnægt sé kröfum 20. gr. laga nr. 77/2000 um fræðsluskyldu ábyrgðaraðila. Hvað varðar kröfu um að umsækjandi samþykki öflun upplýsinga úr málaskrám lögreglu og tollgæslu verður hins vegar að líta til þess að hann er fyrst upplýstur um hana í starfsviðtali og er hann þá þegar búinn að veita viðkvæmar persónuupplýsingar um heilsuhagi sína og brotaferil, sé um hann að ræða, nokkuð sem hann hefði e.t.v. ekki gert ef hann hefði í upphafi vitað að kanna ætti málaskrár lögreglu og tollgæslu í tengslum við umsókn hans. Í ljósi þessa telur Persónuvernd kröfum 20. gr. laga nr. 77/2000 ekki vera fullnægt um fræðslu við umsækjanda um öflun upplýsinga úr málaskrám lögreglu og tollgæslu, enda er hann fræddur um það of seint til að geta gætt hagsmuna sinna hvað þær upplýsingar varðar. Er því nauðsynlegt að Tollstjóraembættið breyti verklagi sínu við veitingu fræðslu um að þessara upplýsinga verði krafist þannig að það samrýmist 20. gr. laga nr. 77/2000.
2.4. Viðbrögð þegar umsókn er dregin til baka og samþykki fyrir öflun persónuupplýsinga er afturkallaðHjá Tollstjóranum í Reykjavík hefur ekki reynt á afturköllun umsóknar eða samþykkis umsækjanda fyrir því að tiltekinna upplýsinga sé aflað. Hvað það varðar þegar umsókn er dregin til baka telur Persónuvernd þá að umsókninni og persónuupplýsingum, sem aflað hefur verið í tengslum við hana, skuli eytt eða umsóknin endursend umsækjanda, ásamt öðrum persónuupplýsingum, sem aflað hefur verið, óski umsækjandi þess heldur, enda verður ella ekki talið að meðalhófskröfum 1.–3. tölul. 1. mgr. 7. gr. laga nr. 77/2000 sé fullnægt, sem og 5. tölul. 1. mgr. sömu greinar, en þar er kveðið á um að persónuupplýsingar skuli ekki varðveittar á persónugreinanlegu formi lengur en nauðsynlegt er vegna tilgangs vinnslu. Þá bendir Persónuvernd og á 26. gr. laga nr. 77/2000 um að persónuupplýsingum skuli eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær.
Hvað það varðar þegar samþykki umsækjanda fyrir öflun tiltekinna persónuupplýsinga er afturkallað telur Persónuvernd ljóst að óheimilt sé þá að afla þeirra, enda ber að líta svo á að þegar veitt sé samþykki til vinnslu persónuupplýsinga sé ávallt til staðar réttur til afturköllunar þess, sbr. 7. tölul. 2. gr. laga nr. 77/2000 þar sem fram kemur að með samþykki er átt við yfirlýsingu sem m.a. ber með sér að hinn skráði geri sér grein fyrir að hann geti afturkallað samþykki sitt. Hafi afturköllun samþykkis þá afleiðingu í för með sér að umsækjanda er hafnað telur Persónuvernd að bregðast beri við með sama hætti og þegar umsókn er dregin til baka, þ.e. umsókn og öðrum persónuupplýsingum skuli eytt eða umsóknin, ásamt öðrum persónuupplýsingum, endursend umsækjanda.
2.5. Varðveislutími persónuupplýsingaFram hefur komið að læknisvottorð og sakavottorð eru endursend umsækjanda um tollvarðarstarf þegar ákveðið er að hann skuli ekki ráðinn. Skal tekið fram í því sambandi að Persónuvernd telur þá framkvæmd Tollstjóraembættisins til fyrirmyndar. Að öðru leyti hefur hins vegar ekki verið tekin skýr afstaða til þess hversu lengi varðveita skuli persónuupplýsingar um umsækjendur um störf tollvarða hjá embættinu. Um það hversu lengi varðveita má persónuupplýsingar fer eftir framangreindum ákvæðum 1.–3. og 5. tölul. 1. mgr. 7. gr. og 26. gr. laga nr. 77/2000. Er nauðsynlegt að mótuð verði skýr stefna í ljósi þessara ákvæða um varðveislutíma persónuupplýsinga um umsækjendur.
2.6. Réttur hins skráða til andmæla gegn vinnslu persónuupplýsingaHvað varðar rétt hins skráða til að andmæla vinnslu persónuupplýsinga um sig verður að líta til 18. gr. og 1. mgr. 28. gr. laga nr. 77/2000. Fyrrnefnda ákvæðið fjallar um rétt hins skráða til vitneskju um vinnslu persónuupplýsinga um sig, en slík vitneskja er forsenda þess að hann geti nýtt sér andmælarétt sinn. Um hann er fjallað í síðarnefnda ákvæðinu, en það hljóðar svo: "Hinum skráða er heimilt að andmæla vinnslu upplýsinga um sjálfan sig ef hann hefur til þess lögmætar og knýjandi ástæður vegna sérstakra aðstæðna sinna nema kveðið sé á um annað í öðrum lögum. Eigi andmælin rétt á sér er ábyrgðaraðila óheimil frekari vinnsla umræddra upplýsinga."
Tollstjóraembættið hefur í tengslum við andmæli gegn vinnslu persónuupplýsinga bent sérstaklega á 13. gr. stjórnsýslulaga nr. 37/1993 og álit Umboðsmanns Alþingis í máli nr. 3736/2003. Var þar m.a. fjallað um veitingu andmælaréttar samkvæmt framangreindu ákvæði vegna mats á hæfni og persónulegum eiginleikum umsækjenda um starf flokksstjóra og talið að þeim hefði verið veitt takmarkað ráðrúm til að fara yfir þetta mat og meta hvort tilefni væri til athugasemda við það. Ljóst er að þetta álit varðar ekki beint andmæli gegn vinnslu persónuupplýsinga samkvæmt framangreindum ákvæðum laga nr. 77/2000 heldur rétt til að koma að sjónarmiðum sínum við meðferð stjórnsýslumáls. Tekið skal fram að við vinnslu persónuupplýsinga verður hins vegar að sjálfsögðu að líta til þessara réttarheimilda eftir því sem við á, auk þeirra ákvæða laga nr. 77/2000 sem að framan eru nefnd.
III.Niðurstaða
Í ljósi ofangreinds leiðbeinir Persónuvernd Tollstjóranum í Reykjavík hér með, sbr. 4. tölul. 1. mgr. 37. gr. laga nr. 77/2000, um að gera eftirfarandi úrbætur á vinnslu persónuupplýsinga um umsækjendur um störf tollvarða:
a. setja skriflegar verklagsreglur um hvernig tryggja skal öryggi slíkra upplýsinga;
b. móta stefnu um innra eftirlit með því að vinnsla upplýsinganna sé í samræmi við slíkar verklagsreglur, sem og gildandi lög og reglur um vinnsluna;
c. fara yfir hvort aflað sé meiri upplýsinga úr sakaskrá og málaskrám lögreglu og tollgæslu um brotaferil umsækjenda um störf en máli skipta fyrir störf tollvarða, sem og hvort aflað sé upplýsinga lengra aftur í tímann en nauðsynlegt er;
d. taka skýra afstöðu til þess hvaða upplýsinga nauðsynlegt sé að afla um heilsuhagi og líkamlegt ástand umsækjenda um störf, þ. á m. með ósk um að þeir leggi fram læknisvottorð, í ljósi eðlis starfs tollvarða;
e. fræða umsækjendur um það strax í upphafi, þ.e. áður en þeir leggja fram umsókn, að afla eigi upplýsinga úr málaskrám lögreglu og tollgæslu; og
f. móta stefnu um varðveislutíma og eyðingu persónuupplýsinga um umsækjendur