Úrskurður

um kvörtun yfir miðlun forsætisráðuneytisins á persónuupplýsingum kvartanda, í máli nr. 2025041108:

Málsmeðferð

1. Hinn 8. apríl 2025 barst Persónuvernd kvörtun [A] (hér eftir kvartandi) yfir miðlun forsætisráðuneytisins á persónuupplýsingum um hana. Nánar tiltekið lýtur kvörtunin að því að persónuupplýsingum kvartanda hafi verið miðlað til þáverandi mennta- og barnamálaráðherra, án samþykkis kvartanda og án þess að hún væri upplýst um miðlun þeirra.

2. Með bréfi, dags. 15. apríl 2025, óskaði Persónuvernd nánari upplýsinga frá forsætisráðuneytinu til þess að leggja mat á hvort kvörtunin yrði tekin til frekari rannsóknar, með vísan til 3. málsl. 2. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Forsætisráðuneytinu var jafnframt boðið að tjá sig um kvörtunina að öðru leyti. Svör ráðuneytisins bárust með bréfi, dags. 20. maí s.á., og var kvartanda veittur kostur á að koma á framfæri athugasemdum við svörin með bréfi, dags. 2. júní s.á. Með tölvupósti 4. s.m., staðfesti kvartandi að hún hygðist ekki bregðast efnislega við bréfi ráðuneytisins. Loks tilkynnti Persónuvernd forsætisráðuneytinu með tölvupósti 13. s.m. að stofnunin hefði ákveðið að taka mál vegna kvörtunar kvartanda til úrskurðar um hvort brot hefði átt sér stað. Ráðuneytinu var veitt færi á að koma að frekari athugasemdum og tilkynnt að annars yrði málið tekið til úrlausnar á grundvelli fyrirliggjandi gagna. Engin frekari svör bárust frá forsætisráðuneytinu.

3. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Ágreiningsefni

4. Ágreiningur er um heimild forsætisráðuneytisins til að miðla upplýsingum um nafn kvartanda, símanúmer og heimilisfang hennar til þáverandi mennta- og barnamálaráðherra.

Atvik máls og fyrirliggjandi gögn

5. Fyrir liggur að kvartandi sendi erindi til forsætisráðuneytisins 9. mars 2025, í gegnum vefsíðu Stjórnarráðsins, þar sem hún óskaði eftir fundi með forsætisráðherra. Í erindinu gaf kvartandi upp nafn og símanúmer sitt. Kvartandi ítrekaði beiðnina, með tölvupósti á almennt netfang ráðuneytisins 11. s.m. Þar kom fram að erindið varðaði þáverandi mennta- og barnamálaráðherra og að það væri í góðu lagi að viðkomandi ráðherra sæti fundinn líka ef forsætisráðherra óskaði þess. Í tölvupóstinum kom fram nafn kvartanda, heimilisfang og símanúmer.

6. Í kjölfarið sendi aðstoðarmaður forsætisráðherra skjáskot af fundarbeiðni kvartanda í textaskilaboðum til aðstoðarmanns mennta- og barnamálaráðherra, þar sem hann innti eftir því hvort síðarnefndi ráðherrann þekkti til sendanda eða hugsanlegs fundarefnis. Kvartandi átti í frekari tölvupóstsamskiptum við forsætisráðuneytið, þar sem hún meðal annars reifaði erindið, en að lokum hafnaði ráðuneytið fundarbeiðninni 14. mars 2025. Í framhaldinu hafði þáverandi mennta- og barnamálaráðherra samband við kvartanda, fyrst símleiðis en svo með viðkomu á heimili hennar. Varð kvartanda þá ljóst að þáverandi mennta- og barnamálaráðherra hefði verið veittur aðgangur að framangreindum persónuupplýsingum hennar.

7. Með kvörtuninni fylgdi afrit af tölvupóstsamskiptum kvartanda við forsætisráðuneytið dagana 9.-17. mars 2025.

Sjónarmið aðila

Helstu sjónarmið kvartanda

8. Kvartandi byggir á því að forsætisráðuneytið hafi ekki haft heimild til að miðla persónuupplýsingum hennar til þáverandi mennta- og barnamálaráðherra, samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679. Jafnframt telur kvartandi að forsætisráðuneytið hafi ekki sinnt fræðsluskyldu sinni samkvæmt e-lið 1. mgr. 13. gr. reglugerðarinnar, þar sem henni voru ekki veittar upplýsingar um viðtakendur persónuupplýsinganna.

9. Vísar kvartandi til þess að forsætisráðuneytið hafi heitið henni trúnaði þegar hún hafði samband við ráðuneytið símleiðis til þess að fá upplýsingar um hvert hún gæti beint fundarbeiðni sinni. Hún hafi því litið á tölvupóstsamskipti sín við ráðuneytið sem trúnaðarmál. Telur kvartandi að ef forsætisráðuneytið hafi talið nauðsynlegt að veita mennta- og barnamálaráðherra upplýsingar um erindi hennar hefði ráðuneytið getað upplýst um það án þess að miðla persónuupplýsingum hennar í leiðinni.

Helstu sjónarmið forsætisráðuneytisins

10. Forsætisráðuneytið byggir miðlun persónuupplýsinga kvartanda umrætt sinn á 3. og 5. tölul. 9. gr. laga nr. 90/2018, sbr. c- og e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Vísað er til þess að samkvæmt óskráðri meginreglu stjórnsýsluréttar, sem nefnd hefur verið svarreglan, sé ráðuneytinu skylt að svara erindum frá borgurum nema erindið beri með sér að svars sé ekki vænst. Þær kröfur sem gerðar séu til efnislegs inntaks svars ráðist af öðrum réttarreglum, svo sem leiðbeiningarskyldu stjórnsýsluréttar, vönduðum stjórnsýsluháttum sem og af eðli erindis. Með vísan til þess hafi forsætisráðuneytinu borið að leggja erindi kvartanda í réttan farveg og svara því efnislega og með fullnægjandi hætti. Í ljósi þess að erindið bar með sér að málið kynni að tengjast stjórnarmálefnum annars ráðherra hafi verið nauðsynlegt, með vísan til þeirrar rannsóknarskyldu sem á ráðuneytinu hvílir, að afla nauðsynlegra upplýsinga um efni málsins svo að unnt væri að leggja það í viðeigandi farveg, eftir atvikum með því að vísa því að hluta eða öllu leyti til annars stjórnvalds. Því hafi verið nauðsynlegt að kanna hvort, og með hvaða hætti, efni erindisins heyrði undir mennta- og barnamálaráðherra. Slík könnun hafi verið liður í því að uppfylla leiðbeiningarskyldu sem hvíli á stjórnvöldum óháð því hvort meðferð erinda lýkur með ákvörðun um rétt eða skyldu.

11. Samkvæmt skýringum forsætisráðuneytisins liggur það jafnframt í hlutarins eðli að mennta- og barnamálaráðherra sé ekki boðaður á fund með forsætisráðherra og tilteknum borgara án þess að vera upplýstur um hverjir sitji fundinn. Nauðsynlegt hafi verið fyrir mennta- og barnamálaráðherra umrætt sinn að fá vitneskju um hver það væri sem óskaði eftir fundi, í því skyni að taka afstöðu til þess hvort tilefni væri til þess að sitja fundinn. Ekkert í erindi kvartanda hafi gefið tilefni til að ætla að það varðaði annað en embættisverk ráðherrans og stjórnsýslu ráðuneytisins. Miðlun persónuupplýsinga kvartanda hafi því verið málefnaleg og ekki umfram það sem nauðsynlegt var til þess að geta lagt erindið í réttan farveg. Með hliðsjón af þeim atvikum sem síðar urðu telur forsætisráðuneytið þó að æskilegra hefði verið að óska eftir frekari skýringum frá kvartanda um efni fundarbeiðninnar áður en mennta- og barnamálaráðherra var upplýstur um erindið.

12. Loks telur forsætisráðuneytið að ekki hafi verið skylt að upplýsa kvartanda sérstaklega um miðlun upplýsinganna til mennta- og barnamálaráðherra. Í ljósi efnis erindisins gat forsætisráðuneytið ekki gert ráð fyrir öðru en að kvartandi gerði sér grein fyrir því að erindið yrði kynnt ráðherranum. Ekkert í erindinu gaf það til kynna að ekki mætti upplýsa viðkomandi ráðherra um fundarbeiðnina og þvert á móti tekið fram að heimilt væri að boða ráðherrann á fundinn. Forsætisráðuneytið hafi verið að sinna lögbundnu hlutverki sínu og því hafi upplýsingaskylda vegna vinnslu persónuupplýsinga ekki verið fyrir hendi, sbr. 19. gr. laga nr. 90/2018.

Forsendur og niðurstaða

Lagaumhverfi

13. Mál þetta lýtur að miðlun forsætisráðuneytisins á persónuupplýsingum kvartanda til mennta- og barnamálaráðherra. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 2. mgr. 1. gr., 1. mgr. 4. gr. og 1. mgr. 39. gr. laganna.

14. Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Almennt er litið svo á að ábyrgðaraðili sé hlutaðeigandi stofnun eða fyrirtæki en ekki einstaka starfsmenn, hvort sem um ræðir stjórnendur eða almenna starfsmenn.

15. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinnsla er heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, eða vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins.

16. Þegar vinnsla persónuupplýsinga fer fram á grundvelli heimildar samkvæmt 3. eða 5. tölul. 9. gr. laga nr. 90/2018, sbr. c- og e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þarf vinnslan jafnframt að uppfylla kröfur 3. mgr. 6. gr. reglugerðarinnar. Þar segir að mæla skuli fyrir um grundvöll vinnslunnar í lögum Sambandsins eða lögum aðildarríkis sem ábyrgðaraðili heyrir undir og að tilgangur vinnslu skuli ákvarðaður á þeim lagagrundvelli. Í því felst, þegar byggt er á 3. tölul. 9. gr. laganna, að löggjafinn þarf að hafa ákveðið með skýrum hætti í lögum að tiltekin vinnsla skuli fara fram þannig að fyrir liggi lagaskylda í skilningi ákvæðisins. Þegar byggt er á 5. tölul. sömu greinar er einnig gert ráð fyrir að vinnsla sé nauðsynleg í ljósi gildandi löggjafar. Hins vegar er ekki á því byggt að vinnslan þurfi beinlínis að vera lögákveðin heldur að stjórnvöld hafi svigrúm til að meta hvaða vinnsla er nauðsynleg til að framfylgja lögbundnum verkefnum með vísan til almannahagsmuna og beitingar opinbers valds.

17. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, þ.e. þeim sem upplýsingarnar varða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins.

18. Krafan um lögmæti, sanngirni og gagnsæi við vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, er nánar útfærð í 39. og 40. lið formála reglugerðarinnar. Þar segir að við söfnun, notkun, skoðun og aðra vinnslu persónuupplýsinga ætti einstaklingum að vera ljóst að hvaða marki persónuupplýsingar eru eða munu verða unnar. Í 61. lið formálans segir ennfremur að veita ætti skráðum einstaklingi upplýsingar í tengslum við vinnslu persónuupplýsinga um hann á þeim tíma þegar upplýsinganna er aflað hjá honum eða, þegar persónuupplýsinganna er aflað frá öðrum heimildum, innan hæfilegs tíma, með hliðsjón af aðstæðum í hverju tilviki fyrir sig. Ef fá má öðrum viðtakanda persónuupplýsingar í hendur með lögmætum hætti ætti að tilkynna það hinum skráða þegar viðtakandinn fær persónuupplýsingarnar í fyrsta sinn.

19. Við mat á því hvort skilyrði um gagnsæi og sanngirni sé uppfyllt getur jafnframt þurft að líta til ákvæða um fræðsluskyldu ábyrgðaraðila gagnvart skráðum einstaklingi, sem nánar er útfærð í 13.-14. gr. reglugerðarinnar, sbr. 17. gr. laga nr. 90/2018. Samkvæmt framangreindum ákvæðum reglugerðarinnar skal ábyrgðaraðili meðal annars láta hinum skráða í té upplýsingar um viðtakendur persónuupplýsinga og ef ábyrgðaraðili hyggst vinna persónuupplýsingar frekar í öðrum tilgangi en þeim sem lá að baki söfnun þeirra skal hann láta hinum skráða í té upplýsingar um þennan nýja tilgang áður en sú frekari vinnsla hefst, sbr. 3. mgr. 13. gr. reglugerðarinnar.

20. Í 19. gr. laga nr. 90/2018 er hins vegar að finna undantekningu frá upplýsingaskyldu vegna vinnslu persónuupplýsinga hjá stjórnvöldum. Samkvæmt ákvæðinu gildir upplýsingaskylda 3. mgr. 13. gr. og 4. mgr. 14. gr. reglugerðar (ESB) 2016/679 ekki þegar stjórnvald miðlar persónuupplýsingum til annars stjórnvalds í þágu lögbundins hlutverks við framkvæmd laga og upplýsingum er miðlað aðeins að því marki sem nauðsynlegt er til að rækja lagaskyldu stjórnvalds. Í athugasemdum við 19. gr. í frumvarpi því sem varð að lögum nr. 90/2018 segir að ákvæðið sæki fyrirmynd til 23. gr. danska frumvarpsins til nýrra persónuverndarlaga og sé sett innan þess ramma sem 23. gr. reglugerðar (ESB) 2016/679 ráðgerir um takmarkanir á réttindum hins skráða. Ákvæðið byggist á sjónarmiðum um að umrædd upplýsingaskylda kunni að fela í sér óþarfa stjórnsýslulega byrði fyrir stjórnvöld í ljósi þess að önnur ákvæði laga tryggja sérstaklega vernd einstaklinga í samskiptum við þau, t.d. ákvæði stjórnsýslu- og upplýsingalaga.

Niðurstaða

21. Forsætisráðuneytið telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679, sbr. umfjöllun í efnisgrein 14.

22. Af fyrirliggjandi gögnum verður ekki annað ráðið en að forsætisráðuneytið hafi miðlað persónuupplýsingum kvartanda til mennta- og barnamálaráðherra í þeim tilgangi að undirbúa svar við fundarbeiðni kvartanda og meta réttan farveg málsins. Í svörum sínum hefur forsætisráðuneytið byggt á því að nauðsynlegt hafi verið að upplýsa viðkomandi ráðherra um fundarbeiðnina, í þeim tilgangi að kanna hvort og með hvaða hætti erindið heyrði undir málefnasvið mennta- og barnamálaráðherra, þar sem kvartandi tók sérstaklega fram í fundarbeiðninni að erindið varðaði viðkomandi ráðherra og að það væri í góðu lagi að ráðherrann sæti fundinn líka. Að mati Persónuverndar verður að játa stjórnvöldum ákveðið svigrúm til að meta hvaða vinnsla er nauðsynleg til að framfylgja lögbundnum verkefnum sínum, sbr. nánari umfjöllun í efnisgrein 16. Með vísan til alls framangreinds, og með hliðsjón af leiðbeiningarskyldu stjórnvalda og hinni óskráðu meginreglu stjórnsýsluréttar sem nefnd hefur verið svarreglan, telur Persónuvernd umrædda miðlun persónuupplýsinga kvartanda hafa verið nauðsynlega við beitingu opinbers valds sem ráðuneytið fer með, sbr. 5. tölul. 9. gr. laga nr. 90/2018 og e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

23. Kvartandi hefur vísað til þess að hún hafi litið á tölvupóstsamskipti sín við forsætisráðuneytið sem trúnaðarmál. Forsætisráðherra hefur hins vegar opinberlega vísað því á bug að kvartanda hafi verið heitið trúnaði um erindi sitt. Stendur því orð gegn orði um þann þátt málsins. Með hliðsjón af gögnum málsins er það mat Persónuverndar að kvartanda hafi mátt vera ljóst að mennta- og barnamálaráðherra yrði upplýstur um fundarbeiðnina og frá hverjum hún hefði borist enda tók kvartandi sérstaklega fram í erindinu að heimilt væri að boða ráðherrann á fundinn. Þá verður ekki talið að á forsætisráðuneytinu hafi hvílt sérstök skylda til að veita kvartanda fræðslu um miðlun upplýsinganna umrætt sinn, sbr. umfjöllun í efnisgrein 20 um sjónarmiðin að baki 19. gr. laga nr. 90/2018. Telur Persónuvernd því miðlun forsætisráðuneytisins á persónuupplýsingum kvartanda einnig samrýmast meginreglum 1. og 3. tölul. 1. mgr. 8. gr. laganna, sbr. a- og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Einnig ber að líta til þess að miðlunin tók einungis til upplýsinga sem kvartandi hefur sjálf gert opinberar með skráningu nafns, heimilis og símanúmers hjá upplýsingaveitum, sem eru aðgengilegar almenningi á netinu. Hefði þáverandi mennta- og barnamálaráðherra því getað nálgast sömu upplýsingar með einfaldri uppflettingu á netinu.

Ú r s k u r ð a r o r ð:

Miðlun forsætisráðuneytisins á persónuupplýsingum [A] til þáverandi mennta- og barnamálaráðherra var í samræmi við 5. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, svo og 1.-3. tölul. 1. mgr. 8. gr. laganna og a–c-lið 1. mgr. 5. gr. reglugerðarinnar.

Persónuvernd, 2. október 2025

Dóra Sif Tynes

formaður

Árnína Steinunn Kristjánsdóttir

Gunnar Ingi Ágústsson

Thor Aspelund