Hoppa yfir valmynd

613/2016. Úrskurður frá 7. mars 2016

Úrskurður 

Hinn 7. mars 2016 kvað úrskurðarnefnd um upplýsingamál upp svohljóðandi úrskurð nr. 613/2016 í máli ÚNU 14120011.

Kæra og málsatvik

Með erindi dags. 29. desember 2014 kærði A synjun Neytendastofu um aðgang að gögnum um rafrænar skilríkjalausnir Auðkennis ehf.

Beiðni kæranda um aðgang var lögð fram með bréfi dags. 23. október 2014 þar sem kærandi óskaði eftir því að fá afhent „öll þau gögn sem Neytendastofa hefði um málið, þar með talið niðurstöður þess, sé málinu lokið af hálfu Neytendastofu“. Þann 30. október 2014 var beiðninni synjað með vísan til þess að samkvæmt 4. mgr. 20. gr. laga nr. 28/2001, sbr. lög nr. 50/1996, væru gögn sem varði starfsemi vottunaraðila og útgáfu fullgildra rafrænna skilríkja bundin trúnaði af hálfu eftirlitsaðila, þ.e. Neytendastofu. Með bréfi Neytendastofu fylgdi skjalið „Kröfur til öruggs undirskriftarbúnaðar“ en jafnframt vísaði stofnunin til „ákvæða gildandi laga og reglugerða um nánari kröfur sem gerðar [væru] til starfsemi vottunaraðila og annarra krafna sem gerðar [væru] í Evrópurétti og íslenskum lögum um umgjörð fullgildra rafrænna undirskrifta.“

Með bréfi dags. 3. nóvember 2014 lagði kærandi aftur fram beiðni um aðgang að gögnum varðandi rafrænar skilríkjalausnir Auðkennis ehf. og afmarkaði beiðnina nánar. Óskað var eftir aðgangi að eftirfarandi gögnum:

  1. Afritum af staðfestingum þar til bærra aðila sem Neytendastofu hefur borist frá Auðkenni ehf. á grundvelli liðar 4.4. í 22. gr. reglugerðar nr. 780/2011.

  2. Svörum Auðkennis ehf. (dags. 24. september 2014) varðandi erindi kæranda til Neytendastofu um alvarlegan öryggisgalla í lausn Auðkennis ehf.

  3. Upptalningu á því hver nákvæmlega séu þau „önnur kröfuskjöl“ sem vísað er til í svari Neytendastofu til kæranda vegna ábendingar um alvarlegan öryggisgalla í lausn Auðkennis ehf. Væru þessi kröfuskjöl ekki aðgengileg annars staðar var óskað eftir afritum af þeim.

  4. Upptalningu á því hvaða prófanir eða úttektir, ef einhverjar, Neytendastofa hafi af eigin frumkvæði gert eða látið gera á öryggi lausna Auðkennis ehf. á sviði rafrænna skilríkja. Hafi slíkar prófanir eða úttektir átt sér stað var einnig óskað eftir afritum af þeim skjölum sem til væru um þær.

Með bréfi, dags. 22. desember 2014 var beiðninni synjað í heild sinni með vísan til þess að umbeðin gögn væru trúnaðargögn sem undanþegin væru upplýsingarétti skv. 10. gr. upplýsingalaga nr. 140/2012, sbr. 6. gr. sömu laga. Auk þess var vísað til þess að á Neytendastofu hvíldi „rík trúnaðarskylda varðandi gögn sem eðli máls samkvæmt ættu að fara leynt varðandi „viðskipti og rekstur vottunaraðila, tengdra aðila eða annarra“, sbr. 4. mgr. 20. gr. laga nr. 28/2001, um rafrænar undirskriftir og því óheimilt að afhenda óviðkomandi aðilum.“

Í rökstuðningi fyrir kæru kemur fram að Neytendastofa hafi ekki tiltekið til hvaða töluliða í 10. gr. og 6. gr. laga nr. 140/2012 synjun væri byggð á. Varðandi 10. gr. laganna teldi kærandi það ólíklegt að umbeðin gögn geymi þær upplýsingar sem lagagreinin tiltekur. Á sama hátt yrði ekki séð að 6. gr. laganna hafi þýðingu varðandi umbeðin gögn en Neytendastofa hafi ekki haldið því fram í svari sínu að um vinnugögn væri að ræða, sbr. 5. tölul. 6. gr. upplýsingalaga. Þá teldi kærandi að upplýsingar um hvort búnaður Auðkennis ehf. uppfylli lagaskilyrði fyrir vottun gætu ekki fallið undir það að vera upplýsingar sem leynt ættu að fara um viðskipti og rekstur vottunaraðila. Gera yrði þá kröfu um að hin umbeðnu gögn væru metin hvert fyrir sig með tilliti til þess hvort veita beri aðgang að þeim.  

Málsmeðferð

Með bréfi dags. 6. janúar 2015 var kæran kynnt Neytendastofu og stofnuninni veittur kostur á að koma á framfæri umsögn um hana og frekari rökstuðningi fyrir ákvörðuninni. Þess var jafnframt óskað að úrskurðarnefndinni yrði látið í té afrit af umbeðnum gögnum í trúnaði. Umsögn Neytendastofu, dags. 28. janúar barst úrskurðarnefndinni þann 29. sama mánaðar. Í umsögninni var ítrekað að umbeðin gögn væru trúnaðargögn og þar með undanþegin upplýsingarétti, skv. 10. gr. upplýsingalaga, sbr. og 6. gr. sömu laga. Auk þess hvíldi rík trúnaðarskylda á Neytendastofu á grundvelli 4. mgr. 20. gr. laga nr. 28/2001. Væri Neytendastofu því óheimilt að afhenda gögnin. Þessu til viðbótar benti Neytendastofa á að tekið væri fram í 4. mgr. 20. gr. laga nr. 28/2001 að brot á trúnaðarskyldu væri að viðlagðri refsiábyrgð og hvíldi því sérstaklega rík þagnarskylda á starfsmönnum stofnunarinnar um atriði sem eiga undir lög nr. 28/2001. Með umsögn Neytendastofu fylgdi afrit af bréfi Auðkennis ehf. til Neytendastofu, dags. 24. september 2014, auk fylgiskjalanna „Viðauki B: Samningur við fjarskiptafyrirtæki og „Rammasamningur milli Auðkennis og XX.“ Önnur gögn sem tilgreind voru í gagnabeiðni kæranda bárust nefndinni ekki.

Umsögn Neytendastofu var kynnt kæranda með bréfi dags. 3. febrúar 2015 og veittur kostur á að koma á framfæri frekari athugasemdum. Í svari kæranda, dags. 9. febrúar 2015, segir í fyrsta lagi að kærandi hafni því að 6. eða 10. gr. laga nr. 140/2012 eigi við um umbeðnar upplýsinga en í umræddum lagagreinum væri ekki neitt það að finna sem umbeðin gögn gætu fallið undir. Þá næði þagnarskylda skv. 4. mgr. 20. gr. laga nr. 28/2001 eingöngu til þeirra atriða sem leynt eiga að fara um viðskipti og rekstur vottunaraðila. Ákvæðið feli ekki í sér að allt það sem snúi að vottunaraðila eigi að fara leynt og þyrfti því að vega og meta umbeðin gögn með tilliti til þess hvort þau innihaldi eitthvað um viðskipti og rekstur vottunaraðila sem eðlilegt sé að leynt fari. Tekið var fram að ef hluti gagnanna innihaldi slíkar upplýsingar eigi að gefa aðgang að öðrum hlutum gagnanna. Þá setti kærandi fram efasemdir um að stofnunin hafi látið úrskurðarnefndinni í té öll gögn sem að beiðninni sneri. Sem dæmi var bent á það að ekki virtist vera um neitt gagn að ræða með titli sem ótvírætt gæti fallið að 1. lið beiðninnar um afrit af staðfestingum þar til bærra aðila sem Neytendastofu hafi borist frá Auðkenni ehf. á grundvelli liðar 4.4. í 22. gr. reglugerðar nr. 780/2011.

Niðurstaða

1.

Mál þetta lýtur að beiðni kæranda um aðgang að gögnum sem nánar eru tilgreind í fjórum töluliðum. Þegar beiðni um aðgang að gögnum samkvæmt upplýsingalögum er sett fram í mörgum liðum ber stjórnvaldi að afgreiða hvern lið fyrir sig og meta í hverju tilfelli hvort rétt sé að veita aðgang að umbeðnum gögnum. Í afgreiðslu Neytendastofu, dags. 22. desember 2014, var beiðninni synjað í heild sinni á þeim grundvelli að umbeðin gögn væru trúnaðargögn og undanþegin upplýsingarétti með vísan til 4. mgr. 20. gr. laga nr. 28/2001 og 10., sbr. 6. gr. upplýsingalaga.

2.

Samkvæmt 5. gr. upplýsingalaga nr. 140/2012 er stjórnvöldum skylt, sé þess óskað, að veita almenningi aðgang að fyrirliggjandi gögnum með þeim takmörkunum sem greinir í 6.-10. gr. laganna. Neytendastofa synjaði beiðni kæranda með vísan til þess að upplýsingarnar væru háðar þagnarskyldu í skilningi 4. mgr. 20. gr. laga nr. 28/2001, með síðari breytingum en í ákvæðinu segir orðrétt:

„Starfsmenn Neytendastofu eru bundnir þagnarskyldu. Þeir mega ekki að viðlagðri ábyrgð skýra óviðkomandi frá því er þeir komast að í starfi sínu og leynt á að fara um viðskipti og rekstur vottunaraðila, tengdra aðila eða annarra. Sama gildir um sérfræðinga sem starfa fyrir Neytendastofu að eftirlitsstarfi samkvæmt lögum þessum. Þagnarskyldan helst þótt látið sé af starfi.“

Í 3. mgr. 4. gr. upplýsingalaga er tekið fram að almenn ákvæði um þagnarskyldu takmarki ekki rétt til aðgangs að gögnum samkvæmt lögunum. Með gagnályktun frá þessu ákvæði verður hins vegar að telja að sérstök þagnarskylduákvæði geti, ein og sér, komið í veg fyrir að aðgangur verði veittur að gögnum í vörslum stjórnvalda hvað sem líður öðrum lagaákvæðum um upplýsingaskyldu. Þegar kemur að samspili einstakra þagnarskylduákvæða í lögum annars vegar og ákvæða upplýsingalaga nr. 140/2012 hins vegar, skiptir því máli hvort þagnarskylduákvæðin teljist almenn eða sérstök.

Í umfjöllun við 4. gr. í athugasemdum í frumvarpi því sem varð að upplýsingalögum nr. 140/2012 kemur fram að það einkenni sérstök þagnarskylduákvæði að þær upplýsingar sem þagnarskyldan taki til séu sérgreindar. Fari þá eftir „efni og orðalagi þagnarskylduákvæðis hvernig slík ákvæði verða skýrð og samþýdd ákvæðum upplýsingalaga.“ Í umfjölluninni er ennfremur tekið fram að ef upplýsingar séu tilgreindar með skýrum hætti beri að skýra þau til samræmis við ákvæði 6.-10. gr. frumvarpsins að því leyti sem slíkum ákvæðum sé ætlað að vernda sömu hagsmuni og að svo miklu leyti sem hægt sé.  

Úrskurðarnefnd um upplýsingamál telur að líta beri á tilvitnað ákvæði 4. mgr. 20. gr. laga nr. 28/2001 sem sérstakt ákvæði um þagnarskyldu í skilningi 3. mgr. 4. gr. upplýsingalaga sem gildi um „viðskipti og rekstur“ þeirra aðila sem tilteknir séu skv. ákvæðinu og sem Neytendastofu sé falið að hafa eftirlit með. Að því leyti sem ákvæðið tilgreinir ekki með nákvæmum hætti þær upplýsingar sem beri að gæta trúnaðar um felur það í sér almenna reglu um þagnarskyldu sem takmarkar ekki rétt til aðgangs samkvæmt upplýsingalögum, sbr. 3. mgr. 4. gr. upplýsingalaga. Í þeim tilvikum verður þó að hafa hliðsjón af 2. málsl. 9. gr. upplýsingalaga þar sem m.a. er kveðið á um að óheimilt sé að veita almenningi aðgang að gögnum er varði mikilvæga fjárhags- eða viðskiptahagsmuni fyrirtækja og annarra lögaðila sem sanngjarnt sé og eðlilegt að leynt fari, nema sá samþykki sem í hlut á.

Ákvæði 4. mgr. 20. gr. laga nr. 28/2001 verður ekki túlkað svo rúmt að allar upplýsingar sem vottunaraðilar eða aðrir láta stofnuninni í té teljist upplýsingar um „viðskipti og rekstur“ viðkomandi aðila sem leynt skuli fara í skilningi 4. mgr. 20. gr. laga nr. 28/2001. Úrskurðarnefndin lítur svo á að markmið 4. mgr. 20. gr. laga nr. 28/2001 sé að koma í veg fyrir að rekstrar- og viðskiptaupplýsingar sem vottunaraðilar, tengdir aðilar eða aðrir veita Neytendastofu lögum samkvæmt verði gerðar opinberar með þeim afleiðingum að þeir hljóti skaða af. Verður því að meta í hverju tilviki fyrir sig hvort skjal geymi slíkar upplýsingar. Ef takmarkanir á upplýsingarétti eiga aðeins við um hluta skjals skal veita aðgang að öðrum hlutum þess.

3.

Neytendastofa sendi úrskurðarnefndinni afrit af því gagni sem tiltekið er í 2. tölul. gagnabeiðni, þ.e. „Svar Auðkennis ehf. vegna ábendingar um vísbendingar um öryggisgalla í rafrænum skilríkjalausnum Auðkennis ehf.“ Fyrir úrskurðarnefndinni liggur því að taka afstöðu til réttar kæranda til aðgangs að umræddu skjali.

Í skjalinu koma fram andsvör og skýringar Auðkennis ehf. við ábendingu kæranda um öryggisgalla í rafrænum skilríkjalausnum félagsins. Í skjalinu er fjallað um þær prófanir sem Auðkenni ehf. framkvæmdi í samræmi við ábendingar kæranda og niðurstöður þeirra prófana. Þá eru sett fram andsvör við skilgreiningu kæranda á hugtökunum „undirskriftargögn“ og „öruggur undirskriftarbúnaður“. Að lokum er með almennum hætti fjallað um öryggi þeirra lausna sem Auðkenni býður upp á. Af umræddu gagni verður engan veginn ráðið að það geymi upplýsingar um viðskipti og rekstur vottunaraðila sem leynt skuli fara í skilningi 4. mgr. 20. gr. laga nr. 28/2001, enda eru þar engar upplýsingar um sambönd félagsins við viðskiptamenn þess, þau viðskiptakjör sem félagið nýtur, álagningu þess eða afkomu. Þá verður ekki séð að mikilvægum hagsmunum Auðkennis ehf. sé hætta búin þótt kæranda verði veittur aðgangur að þeim. Verður því synjun á afhendingu umrædds gagns hvorki byggð á 4. mgr. 20. gr. laga nr. 28/2001 né á 9. gr. upplýsingalaga nr. 140/2012.

Synjun Neytendastofu á gagnabeiðni kæranda var í öðru lagi studd við 10. gr. upplýsingalaga nr. 140/2012, sbr. og 6. gr. sömu laga en í synjuninni var hvorki vísað til tiltekinna töluliða né er þar rökstutt af hverju umrædd ákvæði takmarki aðgang að hinum umbeðnu gögnum. Í tilvitnaðri 10. gr. er fjallað um takmarkanir á upplýsingarétti vegna almannahagsmuna og eru undanþágur frá upplýsingaskyldu taldar upp í 6 töluliðum. Í 6. gr. laganna eru tilgreind í 5 töluliðum þau gögn sem undanþegin eru upplýsingarétti samkvæmt ákvæðinu. Ekki verður séð að það skjal sem úrskurðarnefndinni var afhent varði mikilvæga almannahagsmuni í skilningi 10. gr. upplýsingalaga né verður ráðið að það falli undir þær undanþágur frá upplýsingaskyldu sem tilgreindar eru í 6. gr. laganna. Neytendastofa hefur ekki fært nokkur rök fyrir því að takmarkanir á  upplýsingarétti samkvæmt tilvitnuðum ákvæðum eigi við umrætt skjal. Í ljósi þessa fellst nefndin ekki á að synja beri kæranda um aðgang að því gagni sem tilgreint var í 2. tölul. gagnabeiðni og ber Neytendastofu því að afhenda kæranda umbeðið gagn.

4.

Með skjalinu „Svar Auðkennis ehf. vegna ábendingar um vísbendingar um öryggisgalla í rafrænum skilríkjalausnum Auðkennis ehf.“ fylgdu tvö fylgiskjöl: „Samningur við fjarskiptafyrirtæki“ og „Rammasamningur milli Auðkennis og viðskiptavinar um þjónustu.“ Fallast má á með Neytendastofu að fylgiskjölin séu háð þagnarskyldu á grundvelli 4. mgr. 20. gr. laga nr. 28/2001 en um er að ræða drög að samningum Auðkennis ehf. við viðskiptaaðila félagsins. Telja verður að upplýsingar um samningsskilmála eftirlitsskylds aðila við viðskiptaaðila þess falli undir það að vera upplýsingar um viðskipti og rekstur félags sem leynt skulu fara í skilningi fyrrnefnds ákvæðis. Umrædd gögn falla því undir hina sérstöku þagnarskyldureglu framangreindrar lagagreinar laga nr. 28/2001 sem gengur framar ákvæðum upplýsingalaga og af þeim sökum ná ákvæði upplýsingalaga ekki til deiluefnisins. Kæru vegna synjunar á aðgangi að þeim ber því að vísa frá nefndinni.

5.

Í 2. mgr. 22. gr. upplýsingalaga nr. 140/2012 er lögð sú lagaskylda á stjórnvöld að láta nefndinni í té afrit af fyrirliggjandi gögnum sem kæra lýtur að. Úrskurðarnefndinni hafa ekki borist þau gögn sem tilgreind voru í 1., 3. og 4. tölul. í gagnabeiðni kæranda en í svarbréfi Neytendastofu við bréfi úrskurðarnefndar um upplýsingamál, dags. 28. janúar 2015, var því ekki borið við að gögnin væru ekki í fórum stofnunarinnar. Ef stjórnvald afhendir ekki úrskurðarnefndinni umbeðin gögn á nefndin erfiðara um vik með að sinna því lögboðna hlutverki sínu að endurskoða mat stjórnvalds á því hvort gögn séu undanþegin upplýsingarétti. Hins vegar verður ekki talið að stjórnvald geti komist hjá því að ákvörðun þeirra um synjun afhendingar verði endurskoðuð með því að afhenda úrskurðarnefndinni ekki þau gögn sem kæra lýtur að.

Í gagnabeiðni kæranda var skv. 1. tölul. beiðninnar óskað eftir afritum af staðfestingum þar til bærra aðila sem Neytendastofu hafi borist frá Auðkenni ehf. á grundvelli liðar 4.4. í 22. gr. reglugerðar nr. 780/2011 um rafrænar undirskriftir. Í reglugerðarákvæðinu er kveðið á um þau lágmarksgögn sem fylgja skuli tilkynningu til Neytendastofu um starfsemi vottunaraðila, þar á meðal staðfestingu þar til bærs aðila um að kröfum til öruggs undirskriftarbúnaðar teljist fullnægt, sbr. 8. og 9. gr. laga nr. 28/2001. Af fyrirmælum liðar 4.4. í 22. gr. reglugerðar nr. 780/2011 má draga þá ályktun að skjalið geymi einkum upplýsingar um það hvort Auðkenni ehf. hafi fengið slíka staðfestingu og þá frá hverjum.

Í 3. tölul. í gagnabeiðni kæranda var óskað eftir lista yfir „önnur kröfuskjöl“ sem vísað var til í svari Neytendastofu til kæranda auk afrita af þeim skjölum, væru þau ekki aðgengileg annars staðar. Beiðnin var sett fram í kjölfar svarbréfs Neytendastofu, dags. 30. október 2014, þar sem stofnunin vísar til þess að þeir áhættuþættir sem kærandi tiltaki í upphaflegri ábendingu sinni falli utan þeirrar „kerfisáhættu sem að lög nr. 28/2001, reglugerð nr. 780/2011, stöðlum og öðrum kröfuskjölum er ætlað að vernda og falla undir opinbert eftirlit stofnunarinnar.“ Af svari Neytendastofu má ráða að með „öðrum kröfuskjölum“ sé átt við staðla eða reglur sem stofnunin vinnur eftir við framkvæmd eftirlitshlutverks síns.

Í 4. tölul. í gagnabeiðni kæranda var óskað eftir lista yfir prófanir eða úttektir sem Neytendastofa hafi að eigin frumkvæði gert eða látið gera á öryggi lausna Auðkennis ehf. á sviði rafrænna skilríkja og afrit af slíkum prófunum eða úttektum væru þær til.

Enginn rökstuðningur fylgdi synjun Neytendastofu á aðgangi kæranda að gögnum samkvæmt 1, 3. og 4. tölulið í gagnabeiðni kæranda annar en sá að hin umbeðnu gögn væru trúnaðargögn. Að mati nefndarinnar samræmist málsmeðferð Neytendastofu við töku hinnar kærðu ákvörðunar ekki ákvæði 1. mgr. 19. gr. upplýsingalaga og 22. gr. stjórnsýslulaga. Verður því ekki hjá því komist að fella ákvörðun Neytendastofu um að synja aðgangi að skjölum þeim sem tilgreind voru úr gildi varðandi tölul. 1, 3. og 4. í gagnabeiðni kæranda og leggja fyrir stofnunina að taka málið til nýrrar meðferðar þar sem rökstudd afstaða er tekin til hvers gagns fyrir sig.

Úrskurðarorð:

Neytendastofu ber að afhenda kæranda skjalið „Svör Auðkennis ehf. varðandi erindi kæranda til Neytendastofu um alvarlegan öryggisgalla í lausn Auðkennis ehf“, dags. 24. september 2014.

Kæru á synjun Neytendastofu um aðgang að fylgiskjölunum „Samningur við fjarskiptafyrirtæki“ og „Rammasamningur milli Auðkennis og viðskiptavinar um þjónustu“ er vísað frá úrskurðarnefnd um upplýsingamál.

Ákvörðun Neytendastofu um að synja beiðni A um aðgang að gögnum skv. 1., 3. og 4. tölul. í gagnabeiðni kæranda er felld úr gildi og lagt fyrir stofnunina að taka málið til nýrrar meðferðar. Umræddir hlutar beiðninnar lúta nánar tiltekið að eftirfarandi atriðum:

  • „Afritum af staðfestingum þar til bærra aðila sem Neytendastofu hefur borist frá Auðkenni ehf. á grundvelli liðar 4.4. í 22. gr. reglugerðar nr. 780/2011.“

  • „Upptalningu á því hver nákvæmlega séu þau „önnur kröfuskjöl“ sem vísað er til í svari Neytendastofu til kæranda vegna ábendingar um alvarlegan öryggisgalla í lausn Auðkennis ehf. Væru þessi kröfuskjöl ekki aðgengileg annars staðar var óskað eftir afritum af þeim.“

  • „Upptalningu á því hvaða prófanir eða úttektir, ef einhverjar, Neytendastofa hafi af eigin frumkvæði gert eða látið gera á öryggi lausna Auðkennis ehf. á sviði rafrænna skilríkja. Hafi slíkar prófanir eða úttektir átt sér stað var einnig óskað eftir afritum af þeim skjölum sem til væru um þær.“

 

Hafsteinn Þór Hauksson

formaður

 

Sigurveig Jónsdóttir                                                                                      Friðgeir Björnsson

 


Úrskurðir, ákvarðanir og aðrar úrlausnir sem birtast á vef Stjórnarráðsins eru á ábyrgð viðkomandi stjórnvalds. 
Stjórnarráðið ber ekki ábyrgð á efni frá sjálfstæðum stjórnvöldum umfram það sem leiðir af lögum.

Hafa samband

Ábending / fyrirspurn
Ruslvörn
Vinsamlegast svaraðu í tölustöfum

Ef um er að ræða áríðandi erindi til borgaraþjónustu utanríkisráðuneytisins þá skal senda póst á [email protected]

Upplýsingar um netföng, símanúmer og staðsetningu ráðuneyta