Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu [stéttarfélags X] í máli nr. 2025041148:

Málsmeðferð

1. Hinn 15. apríl 2025 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga hans af hálfu [stéttarfélagsins X] (hér eftir [X] eða félagið).

2. Persónuvernd bauð [X] að tjá sig um kvörtunina með bréfi, dags. 23. september 2025, og bárust svör 3. nóvember s.á. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör [X] með bréfi, dags. 7. s.m., og bárust þær með tölvupósti 21. s.m. Loks var [X] boðið að tjá sig um athugasemdir kvartanda og bárust svör félagsins 11. desember s.á.

3. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Ágreiningsefni

4. Ágreiningur er um heimild [X] til vinnslu upplýsinga um laun kvartanda í tengslum við bréfaskriftir til [vinnustaðarins Y] (hér eftir [Y] eða […]) í þágu kjaraviðræðna.

Atvik máls og fyrirliggjandi gögn

5. Fyrir liggur að [X] bárust, með tölvupósti frá starfsmanni [Y], upplýsingar um iðgjaldagreiðslur alls starfsfólks [Y], þ. á m. kvartanda, í lífeyrissjóði og stéttarfélög vegna september og nóvember [ártal], en einungis hluti starfsfólks [Y] tilheyrir [X]. Í kjölfarið notuðu stjórnendur [X] upplýsingarnar til að kanna launasetningu mismunandi hópa starfsmanna [Y] og settu upp töflu með vísun í starfsheiti og laun sem greidd voru fyrir viðkomandi starf. Þeirri töflu var miðlað í bréfi til stjórnenda og stjórnar [Y], í tengslum við kjaraviðræður milli [X] og [Z] fyrir hönd [Y].

6. Í málinu liggur fyrir afrit af framangreindu bréfi [X] til stjórnenda og stjórnar [Y], dags. [dags.]. Einnig liggja fyrir afrit af bréfaskiptum milli lögmanns [X] og lögmanns [Y], sem áttu sér stað í kjölfarið.

Sjónarmið aðila

Helstu sjónarmið kvartanda

7. Kvartandi byggir á því að [X] hafi ekki haft heimild til að vinna með persónuupplýsingar hans umrætt sinn. Félaginu hafi mátt vera ljóst að um óviðkomandi persónuupplýsingar væri að ræða sem því væri óheimilt að vinna með og nýta sér. Telur kvartandi vinnsluna ekki í samræmi við meginreglur persónuverndarlöggjafarinnar og ekki hafa grundvallast á vinnsluheimild, sbr. 8. og 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 5. og 6. gr. reglugerðar (ESB) 2016/679.

8. Í athugasemdum við svarbréfi [X] vísar kvartandi til þess að framkvæmdastjóri [Y] hafi staðfest að persónuupplýsingum hans hafi verið miðlað til fimm aðila utan [Y]. Því sé ekki rétt að persónuupplýsingum hans hafi aðeins verið miðlað til æðstu stjórnenda [Y], líkt og [X] haldi fram í svarbréfi sínu til Persónuverndar. [X] geti því jafnframt ekki staðfest að persónuupplýsingunum hafi verið eytt hjá öllum sem fengu þær sendar, þó þeim hafi mögulega verið eytt af hálfu félagsins.

Helstu sjónarmið [X]

9. Byggt hefur verið á því af hálfu [X] að ekki hafi verið unnið með persónuupplýsingar kvartanda umrætt sinn. Félaginu hafi borist tölvupóstur frá starfsmanni [Y] sem hafði að geyma skilagreinar vegna lífeyrissjóðs- og stéttarfélagsgjalda, sem hafi að mati [X] sagt ákveðna sögu um launasetningu innan [Y]. [X] hafi gert upplýsingarnar ópersónugreinanlegar með því að setja upp töflu með vísun í starfsheiti og laun sem greidd voru fyrir viðkomandi starf. Aðeins þeirri töflu hafi verið miðlað í bréfi til stjórnenda og stjórnar [Y], engum launaupplýsingum starfsmanna eftir nafni.

10. Komist Persónuvernd að þeirri niðurstöðu að um vinnslu persónuupplýsinga hafi verið að ræða er byggt á því að vinnslan hafi verið [X] heimil á grundvelli 6. tölul. 9. gr. laga nr. 90/2018 og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Vísar félagið til þess að hagsmunir af vinnslunni hafi verið lögmætir, þ.e. að greina launasetningu á vinnustað þar sem meðal annars hafi verið vísbendingar um að brotið væri gegn félagsmönnum [X], sbr. t.a.m. gegn lögum nr. 150/2020 um jafna stöðu og jafnan rétt kynjanna og lögum nr. 86/2018 um jafna meðferð á vinnumarkaði. Tilgangur vinnslunnar hafi verið að draga saman þá gjá sem hafi myndast í launasetningu milli félagsmanna [X] annars vegar og [….] og annarra lykilstarfsmanna [Y] hins vegar. Framangreindri töflu hafi því verið miðlað til æðstu stjórnenda [Y], þ.e.a.s. formanns stjórnar, framkvæmdastjóra og [….], auk stjórnar, í tengslum við kjaraviðræður. Vinnsla upplýsinganna hafi verið nauðsynleg í þessu skyni þar sem félagið hefur það hlutverk að gæta að kjörum félagsmanna sinna. Þá hafi hagsmunir annarra starfsmanna af því að laun þeirra hjá [Y] færu leynt ekki vegið þyngra en þessir hagsmunir félagsmanna [X].

11. [X] vísar einnig til þess, í tengslum við framangreint hagsmunamat, að aðeins framkvæmdastjóri félagsins hafi séð persónuupplýsingar kvartanda sem bárust með tölvupósti frá starfsmanni [Y]. Umræddar persónuupplýsingar hafi aldrei farið út fyrir skrifstofu félagsins og viðtakendur bréfsins, dags. [dags.], hafi þegar búið yfir þeim launaupplýsingunum eftir starfsheitum sem miðlað var. Áréttað er síðara í svarbréfi [X] til Persónuverndar, varðandi þá staðfestingu framkvæmdastjóra [Y] að bréfi [X] hafi verið miðlað til fimm aðila utan [Y], að þeir sem hafi fengið afrit af bréfinu hafi verið aðilar í samninganefnd [X]. Vísað er til þess að nefndina skipi fimm félagsmenn [X], auk formanns og framkvæmdastjóra [X]. Samninganefndin starfi í umboði [X] og nefndarmenn eru bundnir trúnaði um allar upplýsingar sem þeir fá í störfum sínum fyrir félagið og hafi borið sameiginlega ábyrgð á málinu. [X] hafi því aldrei dreift upplýsingunum til óviðkomandi þriðja aðila.

12. Loks staðfestir [X] að þeim gögnum, sem framkvæmdastjóra félagsins bárust í tölvupósti frá starfsmanni [Y], hafi verið eytt. Félagið hafi jafnframt óskað eftir því að aðilar á vegum félagsins sem fengu bréfið sent eyði því.

Forsendur og niðurstaða

Lagaumhverfi

13. Gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Samkvæmt 39. gr. laga nr. 90/2018 hefur sérhver skráður einstaklingur eða fulltrúi hans rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann hér á landi eða samkvæmt sérreglum 7. gr. laganna brjóti í bága við lögin eða reglugerð (ESB) 2016/679.

14. [X] hefur byggt á því að ekki hafi verið unnið með persónuupplýsingar um kvartanda umrætt sinn. Félagið hafi aðeins unnið með launaupplýsingar starfsmanna [Y] eftir starfsheitum þeirra.

15. Persónuupplýsingar eru skilgreindar sem sérhverjar upplýsingar um persónugreindan eða persónugreinanlegan einstakling, sbr. 2. tölul. 3. gr. laga nr. 90/2018. Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti. Í athugasemdum við 3. gr. í greinargerð með frumvarpi því er varð að lögum nr. 90/2018 segir meðal annars að hugtakið persónuupplýsingar sé víðfeðmt og taki til allra upplýsinga, álita og umsagna sem beint eða óbeint má tengja tilteknum einstaklingi, þ.e. upplýsinga sem eru persónugreindar eða persónugreinanlegar.

16. Fyrir liggur að [X] bárust upplýsingar um iðgjaldagreiðslur kvartanda í lífeyrissjóð og stéttarfélag. Félagið notaði upplýsingarnar til að kanna launasetningu mismunandi hópa starfsmanna [Y] og til undirbúnings bréfaskipta við [ Y]. Sett var upp tafla með vísun í starfsheiti og laun sem greidd voru fyrir viðkomandi starf en kvartandi er eini starfsmaður [Y] sem gegnir tilteknu starfi. Var þannig unnt að persónugreina kvartanda út frá auðkenningu starfsheitis og tengja launaupplýsingarnar við hann. Teljast allar framangreindar upplýsingar því persónuupplýsingar um hann í skilningi þeirra ákvæða sem rakin eru í efnisgrein 15 hér að framan. Varðar málið því vinnslu persónuupplýsinga um kvartanda og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.

17. Ábyrgðaraðili vinnslu er sá einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

18. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins getur vinnsla persónuupplýsinga verið heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra.

19. Til þess að vinnsla geti talist heimil á grundvelli tilvitnaðra ákvæða þarf þremur skilyrðum að vera fullnægt. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir. Í öðru lagi þarf vinnslan að vera nauðsynleg í þágu hinna lögmætu hagsmuna. Í þriðja lagi mega hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hinir lögmætu hagsmunir sem vísað er til. Með þriðja skilyrðinu er gerður áskilnaður um hagsmunamat, þar sem hinir lögmætu hagsmunir af því að vinnslan fari fram eru vegnir andspænis hagsmunum hins skráða.

20. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins. Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt meginreglur persónuverndarlöggjafarinnar og þarf að geta sýnt fram á það, sbr. 2. mgr. 8. gr. laganna, sbr. 2. mgr. 5. gr. reglugerðarinnar.

Niðurstaða

21. Samkvæmt fyrirliggjandi gögnum ákvað [X] tilgang og aðferðir við þá vinnslu persónuupplýsinga sem hér er til umfjöllunar, þ.e. notkun upplýsinga um iðgjaldagreiðslur kvartanda í tengslum við bréfaskriftir til [Y] í þágu kjaraviðræðna. Telst [X] því vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

22. [X] hefur meðal annars byggt á því að umrædd vinnsla persónuupplýsinga hafi verið heimil á þeim grundvelli að hún hafi verið nauðsynleg vegna lögmætra hagsmuna félagsmanna sinna, sem vegi þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga, samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Eins og hér háttar til verður að mati Persónuverndar ekki séð að aðrar vinnsluheimildir samkvæmt fyrrgreindum ákvæðum geti komið til greina.

23. Fyrir liggur að [X] vann upplýsingar um laun kvartanda í tengslum við kjaraviðræður fyrir hönd félagsmanna sinna í þeim tilgangi að benda á það, sem að mati félagsins, gæfi vísbendingu um að brotið væri gegn félagsmönnum þeirra, meðal annars samkvæmt lögum nr. 150/2020 um jafna stöðu og jafnan rétt kynjanna og lögum nr. 86/2018 um jafna meðferð á vinnumarkaði, sbr. umfjöllun í efnisgrein 10. [X] er hagsmuna-, fag- og stéttarfélag [….]. Hlutverk þess er að gæta hagsmuna félagsmanna sinna og fer félagið með fullt samningsumboð fyrir félagsmenn sína í kjarasamningum við atvinnuveitendur, þ. á m. við [Y]. Það er mat Persónuverndar að vinnsla launaupplýsinga starfsmanna, í tengslum við kjarasamningsviðræður, geti því verið [X] nauðsynleg vegna þeirra lögmætu hagsmuna sem félagið gætir.

24. Hvað varðar þriðja skilyrðið, um mat á þeim lögmætu hagsmunum sem ábyrgðaraðili gætir andspænis hagsmunum, grundvallarréttindum og frelsi hins skráða sem krefjast verndar persónuupplýsinga hans, er til þess að líta að við framangreint hagsmunamat getur meðal annars haft þýðingu hvort ábyrgðaraðili gætir að öðrum ákvæðum persónuverndarlöggjafarinnar við vinnsluna, svo sem varðandi sanngirni og gangsæi, sem og réttmætar væntingar hins skráða. Að mati Persónuverndar verður ekki ráðið af gögnum málsins að kvartanda hafi verið gert ljóst að unnið væri með persónuupplýsingar hans af hálfu [X] eða að hvaða marki, hver tilgangur vinnslunnar væri eða hverjir væru viðtakendur upplýsinganna. Eins og hér háttar til er það því mat Persónuverndar þeir lögmætu hagsmunir sem [X] gætir hafi umrætt sinn ekki vegið þyngra en hagsmunir hins skráða.

25. Þegar litið er til alls framangreinds telur Persónuvernd að sú vinnsla [X] á persónuupplýsingum kvartanda, sem hér er til umfjöllunar, hafi ekki verið í samræmi við 1. tölul. 1. mgr. 8. gr. og 9. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

26. Þrátt fyrir þessa niðurstöðu kemur ekki til álita að gefa félaginu fyrirmæli um eyðingu persónuupplýsinga á grundvelli 7. tölul. 42. gr. laga nr. 90/2018, í ljósi þess sem fram hefur komið í svörum [X], sbr. umfjöllun í efnisgrein 12, að persónuupplýsingum kvartanda hafi þegar verið eytt.

Ákvörðun um beitingu valdheimilda

27. Persónuvernd getur veitt ábyrgðaraðila eða vinnsluaðila áminningu ef vinnsluaðgerðir hafa brotið í bága við reglugerð (ESB) 2016/679, sbr. 2. tölul. 42. gr. laga nr. 90/2018, og getur lagt stjórnvaldssektir á þá sem brjóta, af ásetningi eða gáleysi, gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 1. og 5. mgr. þeirrar lagagreinar. Samkvæmt 1. tölul. 3. mgr. 46. gr. eru þar á meðal ákvæði um grundvallarreglur vinnslu, meðal annars samkvæmt 1. mgr. 5. gr. og 1. mgr. 6. gr. reglugerðarinnar.

28. Við ákvörðun um hvort framangreindum ákvæðum um sektarheimild skal beitt, sem og um fjárhæð sektar, ber að líta til 1. mgr. 47. gr. laga nr. 90/2018 þar sem kveðið er á um þau atriði sem ýmist geta verið metin hlutaðeigandi til málsbóta eða honum í óhag. Að virtum þeim sjónarmiðum sem tilgreind eru í tilvísuðu ákvæði og málsatvikum öllum, svo og að teknu tilliti til reglna um meðalhóf, sbr. 1. mgr. 83. gr. reglugerðar (ESB) 2016/679 og 12. gr. stjórnsýslulaga nr. 37/1993, þykja ekki næg efni til að leggja stjórnvaldssekt á [X] vegna þeirra brota gegn persónuverndarlöggjöfinni sem rakin eru í efnisgrein 25 hér að framan. Rétt þykir þó að veita [X] áminningu, sbr. 2. tölul. 42. gr. laganna, vegna fyrrgreindra brota

Ú r s k u r ð a r o r ð:

Notkun [stéttarfélagsins X] á persónuupplýsingum [A] umrætt sinn samrýmdist ekki 1. tölul. 1. mgr. 8. gr. og 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og a-lið 1. mgr. 5. gr. og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

[Stéttarfélaginu X] er veitt áminning, sbr. sbr. 2. tölul. 42. gr. laga nr. 90/2018, vegna framangreindra brota.

Persónuvernd, 5. febrúar 2026

Bjarni Freyr Rúnarsson

Edda Þuríður Hauksdóttir