Hoppa yfir valmynd

Haus fyrir smærri skjái

Merki Stjórnarráðs Íslands Stjórnarráð Íslands

715/2018. Úrskurður frá 3. janúar 2018

Úrskurður

Hinn 3. janúar 2018 kvað úrskurðarnefnd um upplýsingamál upp svohljóðandi úrskurð nr. 715/2018 í máli ÚNU 16070001.  

Kæra og málsatvik

Með erindi, dags. 4. júlí 2016, kærði A synjun Neytendastofu á beiðni um afhendingu gagna um staðfestingar frá þar til bærum aðilum um að kröfum til öruggs undirskriftarbúnaðar teljist fullnægt, einkum:

  1. Nafn þess sem veitti Auðkenni ehf. staðfestingu.
  2. Hvenær staðfestingin var gerð.
  3. Hvenær staðfestingin barst Neytendastofu.
  4. Hvaða búnaður hafi hlotið staðfestingu.

Kærandi óskaði eftir gögnunum með bréfi, dags. 1. júní 2016. Með bréfi, dags. 8. júní 2016, synjaði Neytendastofa beiðninni með vísan til þess að um væri að ræða viðkvæmar viðskiptaupplýsingar sem væru atvinnuleyndarmál. Þá kom fram að í úttektunum væri jafnframt að finna upplýsingar sem varði öryggi og uppfærslur undirskriftabúnaðar sem Auðkenni ehf. noti. Því krefðust mikilvægir almanna- og einkahagsmunir þess að aðgangur að gögnunum í heild eða að hluta væri takmarkaður, sem og tilgreining þeirra. Vísað var til 9. og 10. gr. upplýsingalaga nr. 140/2012 í þessu sambandi.

Í kæru kemur fram að Neytendastofa hafi ekki tiltekið þær lágmarksupplýsingar sem kærandi hafi farið fram á að gerðar yrðu opinberar, þ.e. hvaða „þar til bærir aðilar“ hafi gefið út slíkar staðfestingar, hvenær slíkar staðfestingar voru gerðar, hvenær þær bárust Neytendastofu og til hvaða búnaðar staðfestingarnar nái. Þá hafi ekki verið rökstutt frekar hvers vegna jafnvel tilgreining gagnanna eða aðgangur að hluta þeirra stefni mikilvægum almanna- og einkahagsmunum í hættu. Kærandi segist hafna þeirri túlkun Neytendastofu að gögnin falli undir ákvæði 9. gr. upplýsingalaga en ólíklegt sé að þau varði mikilvæga fjárhags- eða viðskiptahagsmuni fyrirtækja. Kærandi tekur fram að innihaldi hluti gagnanna slíkt efni eigi að veita aðgang að öðrum hlutum gagnanna og að lágmarki að upplýsa um þau fjögur atriði sem kærandi hafi farið fram á að upplýst yrði um. Þá hafnar kærandi því að gögnin geti fallið undir 3.tl. 10. gr. upplýsingalaga en Neytendastofa hafi ekki rökstutt hvernig efnahagslega mikilvægum hagsmunum ríkisins yrði stefnt í hættu ef gögnin væru opinber.

Kærandi telur þá afstöðu Neytendastofu að neita að upplýsa um hver hafi vottað að lausnir uppfylli skilyrði laga nr. 28/2001 um rafrænar undirskriftir ekki standast í ljósi þeirrar stöðu sem „fullgildar“ rafrænar undirskriftir njóti skv. lögunum. Tekið er fram að slíkar rafrænar undirskriftir hafi sömu réttaráhrif og undirskriftir á pappír og geti þær skuldbundið aðila á sama hátt. Öryggisveikleikar tengdir slíkum undirskriftum geti því skuldbundið aðila án samþykkis þeirra. Því hafi neytendur ríka hagsmuni af því að upplýst verði um hver hafi staðfest að slíkar lausnir uppfylli skilyrði laga nr. 28/2001. Þá kemur fram að lausnirnar séu ætlaðar almenningi sem þurfi að treysta á að bærir aðilar votti að þær samrýmist lögunum. Því telur kærandi að upplýsingar um það hverjir séu bærir til að staðfesta að kröfum sé fullnægt, hvenær staðfesting var gerð og hvenær Neytendastofu barst slík staðfesting sem og um hvaða búnað sé að ræða, séu grundvallarupplýsingar sem Neytendastofu beri að upplýsa.

Kærandi telur Neytendastofu vera í lófa lagið að upplýsa um þessi fjögur atriði án þess að mikilvægum hagsmunum sé stefnt í hættu. Að lokum tekur kærandi fram að þeir „þar til bæru aðilar“ sem vísað sé til í 9. gr. laga nr. 28/2001 eigi að koma fram í reglugerð sem ráðherrra setji um framkvæmd laganna. Því sé ekki unnt að líta svo á að nafn slíks aðila sé atvinnuleyndarmál. Þvert á móti sé nauðsynlegt að upplýsa um nafn þessa aðila svo hægt sé að átta sig á hvort viðkomandi lausn uppfylli skilyrði laganna. Hið sama eigi við um önnur atriði sem kærandi óski eftir upplýsingum um.

Málsmeðferð

Kæran var kynnt Neytendastofu með bréfi, dags. 8. júlí 2016, og veittur kostur á að koma á framfæri umsögn um hana. Jafnframt var þess óskað að úrskurðarnefndinni yrði látið í té afrit af þeim gögnum sem kæran lýtur að.

Í umsögn Neytendastofu, dags. 19. ágúst 2016, segir að kæranda hafi tvívegis verið synjað um aðgang að umbeðnum gögnum, fyrst með bréfi, dags. 31. maí 2016, og síðar með bréfi, dags. 8 júní 2016. Í fyrrnefnda bréfinu hafi komið fram að Neytendastofa teldi að gögnin geymdu viðkvæmar upplýsingar um rekstrar- og samkeppnisstöðu Auðkennis ehf. og aðra mikilvæga viðskiptahagsmuni fyrirtækisins. Þá yrði að takmarka aðgang almennings að gögnunum með vísan til 3. tl. 10. gr. upplýsingalaga þar sem mikilvægir almannahagsmunir krefðust þess að aðgangur yrði takmarkaður, enda geymi gögnin upplýsingar um öryggi þeirra rafrænu skilríkjalausna sem neytendur nýti sér við rafrænar undirskriftir. Neytendastofa telur að afhending þeirra geti m.a. skaðað öryggi þeirra rafrænu skilríkjalausna sem íslenskir neytendur noti. Um sé að ræða gögn sem Neytendastofa hafi einungis aðgang að sem eftirlitsaðili og þá á starfstöð Auðkennis ehf. Þá vísar Neytendastofa til þess að í bréfi til kæranda, dags. 8. júní 2016, hafi komið fram að í úttektunum séu að finna upplýsingar um hugbúnað, örgjörva og samsetningu undirskriftarbúnaðar, auk upplýsinga sem varði öryggi og uppfærslur undirskriftarbúnaðar sem Auðkenni ehf. noti. Því krefðust mikilvægir almanna- og einkahagsmunir þess að bæði tilgreining gagnanna sem og aðgangur að þeim yrði takmarkaður, bæði í heild og að hluta, sbr. 9. gr. og 3. tl. 10. gr. upplýsingalaga.

Neytendastofa tekur fram að það sé mat stofnunarinnar að gögnin hafi að geyma upplýsingar um það hvort og hvernig búnaður Auðkennis ehf. uppfylli grunnkröfur laga nr. 28/2001 og reglugerðar um rafræn skilríki nr. 780/2011. Gögnin hafi að geyma ítarlegar kerfis- og búnaðarlýsingar á undirskriftarbúnaði Auðkennis ehf., tegund örgjörva, samsetningu og virkni og upplýsingar um hugbúnað. Þá hafi þau að geyma upplýsingar um uppfærslur í undirskriftarbúnaðinum, frávik og niðurstöður öryggisprófana sem framkvæmdar hafi verið af hinum þar til bærs aðila sem sé erlendur. Tekið er fram að fyrirtæki, sem gefi út fullgild rafræn skilríki, notist við mismunandi tegundir búnaðar og hugbúnaðar, auk þess sem uppfærslur og samsetning þeirra sé mismunandi eftir því við hvaða birgja þau eiga viðskipti. Neytendastofa telur þær upplýsingar vera atvinnuleyndarmál þeirra fyrirtækja sem gefa út rafræn skilríki og birgja þeirra.

Neytendastofa telur upplýsingarnar einnig falla undir ákvæði 4. mgr. 20. gr. laga nr. 28/2001 sem sé sérstakt þagnarskylduákvæði í skilningi 3. mgr. 4. gr. upplýsingalaga, sbr. úrskurð úrskurðarnefndar um upplýsingamál nr. 613/2016. Um sé að ræða viðkvæmar upplýsingar um viðskipti og rekstur Auðkennis ehf. Í gögnunum komi fram ítarlegar upplýsingar um undirskriftarbúnað fyrirtækisins og hverjir séu birgjar fyrirtækisins. Þá telur Neytendastofa opinberun upplýsinganna geta haft slæm áhrif á samkeppnisstöðu Auðkennis ehf., jafnvel þótt það sé eina fyrirtækið sem tilkynnt hafi um starfsemi af þessu tagi hér á landi. Tekið er fram að Neytendastofa hafi samþykkt að gögnin væru geymd á starfsstöð Auðkennis ehf., sbr. 5. mgr. 22. gr. reglugerðar 780/2011, þar sem þau innihaldi trúnaðarupplýsingar og varði öryggi undirskriftabúnaðar Auðkennis ehf. Að þessu virtu telur Neytendastofa að óheimilt sé samkvæmt 4. mgr. 20. gr. laga nr. 28/2001 og 5. mgr. 22. gr. reglugerðar nr. 780/2011 að veita aðgang að þeim.

Allt að einu telur Neytendastofa að 2. málsliður 9. gr. upplýsingalaga eigi við um gögnin. Gögnin innihaldi ítarlegar upplýsingar um undirskriftarbúnað Auðkennis ehf. sem séu atvinnuleyndarmál fyrirtækisins og birgja þess. Opinberun þeirra væri til þess fallin að valda fyrirtækinu tjóni þar sem slíkar upplýsingar séu ótvírætt trúnaðarmál er varði rekstur og samkeppnishæfni Auðkennis ehf. Upplýsingarnar séu nýlegar og fjalli um undirskriftarbúnað sem sésé í notkun hjá fyrirtækinu og hafi grundvallarþýðingu fyrir allan rekstur og vöruframboð þess.

Neytendastofa bendir á að í kafla 5.7.2 í greinargerð með frumvarpi til laga nr. 28/2001 komi fram að nauðsynlegt sé að samkeppnisstaða íslenskra vottunaraðila sé tryggð og starfsumhverfi þeirra hér á landi sé sem allra best. Neytendastofa telur að hagsmunir af leynd gagnanna vegi þyngra á metunum en þeir hagsmunir sem meginreglu upplýsingalaga um aðgang almennings að gögnum sé ætlað að tryggja. Telur Neytendastofa því að sanngjarnt og eðlilegt sé að þau fari leynt, sbr. 2. málslið 9. gr. upplýsingalaga.

Neytendastofa telur jafnframt að 3. töluliður 10. gr. laga nr. 28/2001 geti átt við gögnin. Neytendastofa bendir á að rafræn skilríki byggi á svokallaðri Íslandsrót sem sé í eigu og umsjá íslenska ríkisins. Íslenska ríkið hafi gert samning við fyrirtækið Auðkenni ehf. um að vera milliliður og gefa út skilríki til almennings. Auðkenni ehf. geti gert samninga við fleiri fyrirtæki um að verða milliliðir við útgáfu rafrænna skilríkja. Fullgild rafræn skilríki séu notuð til auðkenningar og fullgildrar undirritunar í fjölmörgum lögskiptum almennings við opinberar stofnanir, meðal annars til þess að auðkenna sig inn á opinbera vefi og þjónustusíður. Neytendastofa telur að það séu mikilvægir hagsmunir íslenska ríkisins að starfsumhverfi til útgáfu fullgildra rafrænna skilríkja sé sem allra best og að starfsemi þeirra aðila sem gefa út slík skilríki og starfrækja undirskriftabúnað sé traust og öryggi tryggt.

Neytendastofa telur að ekki sé unnt að veita aðgang að hluta gagnanna eða að tilgreina hver sé úttektaraðilinn. Ef veittar yrðu upplýsingar um hina „þar til bæru aðila“ eða nafn/gerð örgjörva þá væri óviðkomandi aðilum unnt að afla upplýsinga um gerð búnaðarins og/eða birgja Auðkennis ehf. sem væri atvinnuleyndarmál.

Neytendastofa tekur fram að óski úrskurðarnefnd um upplýsingamál eftir skoðun á gögnunum þá verði það aðeins gert á skrifstofu Neytendastofu.

Í umsögninni kemur einnig fram að Neytendastofa hafi leitað álits Auðkennis ehf.vegna kærunnar og er það meðfylgjandi umsögninni. Í áliti Auðkennis ehf., dags. 15. ágúst 2016, leggst fyrirtækið gegn því að aðgangur verði veittur að gögnunum. Kemur þar m.a. fram að staðfestingarnar sem óskað sé eftir aðgangi að innihaldi greinargóðar lýsingar á hluta þeirra vara sem notaðar séu í starfsemi Auðkennis ehf. og séu grundvöllur þess að fyrirtækið geti boðið fullgildar rafrænar undirskriftir sem þjónustu á íslenskum markaði. Auðkenni ehf. telur ekki unnt að afmá sérgreindar upplýsingar um vöru fyrirtækisins þar sem ljóst sé að á markaði séu ekki margar vörur sem fullnægi kröfum um öruggan undirskriftarbúnað og aðeins örfáar úttektir framkvæmdar á ári hverju. Því myndi alltaf vera auðvelt að fylla í eyðurnar með upplýsingum sem aðgengilegar eru á netinu.

Umsögn Neytendastofu var kynnt kæranda með bréfi, dags. 24. ágúst 2016, og veittur kostur á að koma á framfæri frekari athugasemdum í ljósi hennar. Í athugasemdum kæranda, dags. 7. september 2016, kemur fram að Neytendastofa kjósi að túlka upplýsingabeiðni kæranda með mun víðtækari hætti en hún gefi tilefni til. Kærandi telur að þessar staðfestingar, séu þær á annað borð til, innihaldi einhvers konar yfirlýsingu frá þar til bærum aðila um að tiltekinn búnaður uppfylli kröfur sem tilteknar eru í lögum. Svarbréf Neytendastofu bendi til þess að stofnunin túlki beiðni kæranda þannig að hún nái til mun víðtækari gagna en þeirra fjögurra atriða sem kærandi hafi tiltekið. Sé það raunin að þessar staðfestingar innihaldi hluta sem halda á leyndum beri skv. 3. mgr. 5. gr. upplýsingalaga  140/2012 að veita aðgang að öðrum hlutum þeirra.

Kærandi telur útilokað að þau atriði sem hann óskaði sérstaklega eftir að upplýst yrði um flokkist á einhvern hátt undir viðkvæmar viðskiptaupplýsingar eða atvinnuleyndarmál. Þessu til stuðnings bendir kærandi á að í 9. gr. laga 28/2001 sé tekið fram að ráðherra geti í reglugerð kveðið á um slíka aðila. Þetta hafi ekki verið gert í reglugerð og því sé óljóst hvort einhver þar til bær aðili hafi yfirhöfuð staðfest að kröfum til búnaðarins sé fullnægt. Ljóst sé að nöfn þar til bærra aðila ættu að koma fram í reglugerð ráðherra og því engan veginn hægt að álykta að þau séu á einhvern hátt viðkvæmar viðskiptaupplýsingar eða atvinnuleyndarmál.

Þá bendir kærandi á að Auðkenni ehf. hafi áður gefið út opinberar yfirlýsingar um það hvaða aðilar hafi vottað öryggi lausna þeirra og er vísað til fréttar Auðkennis ehf. um að bandaríska netöryggisfyrirtækið NowSecure (áður viaForensics) hafi vottað öryggi rafrænna skilríkja Auðkennis ehf. í farsímum. Kærandi segir þessa yfirlýsingu sýna að Auðkenni ehf. líti ekki á upplýsingar um þá sem votta öryggi rafrænna skilríkja sem viðkvæmar viðskiptaupplýsingar eða atvinnuleyndarmál. Kærandi ítrekar að hann óski ekki eftir öllum þeim gögnum sem Neytendastofa hafi samþykkt að geymd séu á starfsstöð Auðkennis ehf. Kærandi hafi einungis óskað eftir afritum af staðfestingum þar til bærra aðila um að kröfum til öruggs undirskriftarbúnaðar teljist fullnægt.

Úrskurðarnefnd um upplýsingamál ítrekaði beiðni sína um afrit af umbeðnum gögnum með bréfi, dags. 25. ágúst 2016. Með bréfi, dags. 16. september 2016, ítrekaði Neytendastofa fyrri afstöðu sína um að úrskurðarnefnd um upplýsingamál skoðaði gögnin á starfsstöð Neytendastofu svo unnt væri að tryggja öryggi gagnanna. Tekið er fram að ef úrskurðarnefnd um upplýsingamál krefjist þess að fá aðgang að gögnunum utan starfstöðvar Neytendastofu sé stofnunin reiðubúin til að koma upp sérstöku gagnaherbergi með viðeigandi öryggisstillingum þar sem nefndarmenn og starfsmenn úrskurðarnefndarinnar einir hafi aðgang að gögnunum.

Með bréfi, dags. 20. september 2016, lýsti Auðkenni ehf. því yfir að fyrirtækið væri andvígt því að úrskurðarnefnd um upplýsingamál fengi afrit umbeðinna gagna. Í bréfinu kemur fram að Auðkenni ehf.  telji ekki þörf á efnislegu mati á innihaldi einstakra skjala því samræmd beiting á sérstökum þagnarskylduákvæðum, þar á meðal 4. mgr. 20. gr. laga 28/2001, komi í veg fyrir þörf á efnislegri afstöðu.

Í bréfinu mótmælir Auðkenni ehf. þeirri túlkun úrskurðarnefndarinnar sem sett var fram í úrskurði úrskurðarnefndar um upplýsingamál nr. 613/2016, að ákvæði 4. mgr. 20. gr. laga 28/2001 verði ekki túlkað svo rúmt að allar upplýsingar sem íslenskir vottunaraðilar láta stofnuninni í té teljist upplýsingar um viðskipti og rekstur viðkomandi aðila sem leynt skuli fara. Sú túlkun fari m.a. í bága við þá staðreynd að Auðkenni ehf. afhendi Neytendastofu engar aðrar upplýsingar en þær sem snúi beint að viðskiptum og rekstri þeirra þátta félagsins sem lúti eftirlitsskyldunni. Auðkenni ehf. telur að öll gögn sem sem það afhendi Neytendastofu séu þannig undanþegin upplýsingaskyldu upplýsingalaganna. Þá mótmælir Auðkenni ehf.  þeirri ályktun sem dregin var í niðurstöðukafla úrskurðar úrskurðarnefndar um upplýsingamál nr. 613/2016 um að skjal sem inniheldur staðfestingu þar til bærs aðila um að kröfum til öruggs undirskriftarbúnaðar teljist fullnægt, geymi einkum upplýsingar um það hvort Auðkenni ehf. hafi fengið slíka staðfestingu og þá frá hverjum. Tekið er fram að skjöl sem lögð séu fram til staðfestingar þess að Auðkenni ehf. uppfylli kröfur laga og reglna séu úttektarskjöl sem innihaldi lýsingar á því hvernig staðfestingu er náð fram. Skjölin séu rík af upplýsingum sem tengist beint viðskiptum og rekstri Auðkennis ehf. sem eftirlitsskylds vottunaraðila, tengdra aðila og eftir atvikum annarra. Auðkenni ehf. leggst harðlega gegn því að slík skjöl séu afhent þriðja aðila enda hvíli á Neytendastofu sú skylda að afhenda engum þau gögn sem Auðkenni ehf.  hafi verið þvingað til að afhenda stofnuninni. Þá er því jafnframt andmælt að orðalagið „viðskipti og rekstur vottunaraðila, tengdra aðila eða annarra“, sem fram kemur í 4. mgr. 20. gr. laga nr. 28/2001, verði túlkað svo þröngt að einvörðungu upplýsingar um sambönd Auðkennis ehf. við viðskiptamenn þess, þau viðskiptakjör sem Auðkenni ehf. nýtur, álagning þess eða afkoma falli þar undir. Ljóst sé að ýmsar upplýsingar sem Auðkenni sé þvingað til þess að afhenda Neytendastofu vegna eftirlits stofnunarinnar með starfsemi Auðkennis ehf. varði rekstur félagsins án þess að í þeim skjölum séu viðskiptakjör eða aðrar fjárhagslegar upplýsingar. Lýsingar á kerfum eða rekstrareiningum einstakra kerfa varði t.d. augljóslega viðskipti og rekstur Auðkennis ehf., tengdra aðila eða annarra, án þess að nokkrar fjárhagstengdar upplýsingar komi þar fram.

Með tölvupósti, dags. 16. nóvember 2016, fór úrskurðarnefnd um upplýsingamál þess á leit við Neytendastofu að upplýst yrði á hvaða sniði umbeðin gögn væru. Sú fyrirspurn var ítrekuð með tölvupósti dags. 12. desember 2016. Neytendastofa svaraði fyrirspurninni með tölvupósti, dags. 6. janúar 2017, og lagði jafnframt til að úrskurðarnefndin fengi aðgang að gögnunum í gegnum sérstakt vefviðmót (rafrænt gagnaherbergi) þar sem unnt væri að skoða gögnin. Úrskurðarnefndin samþykkti þá tillögu með tölvupósti, dags. 9. janúar 2017. Eftir frekari samskipti úrskurðarnefndarinnar og Neytendastofu tilkynnti stofnunin nefndinni þann 22. júní 2017 að unnt væri að nálgast gögnin í rafrænu gagnaherbergi. Gagnaherbergið reyndist hins vegar lokað þegar starfsmenn úrskurðarnefndarinnar gerðu tilraun til að nálgast gögnin og tókst það ekki fyrr en í lok ágúst 2017.

Með bréfi, dags. 17. nóvember 2017, óskaði úrskurðarnefndin eftir því að Neytendastofa staðfesti að úrskurðarnefndin hefði fengið afrit af öllum gögnum sem kæra kæranda lýtur að. Þá var óskað eftir nánari skýringar um efni hluta gagnanna. Auðkenni ehf. var jafnframt gefinn kostur á að koma á framfæri athugasemdum í ljósi fyrirspurnarinnar.

Meðferð málsins hefur dregist óhæfilega hjá úrskurðarnefnd um upplýsingamál. Ástæðurnar er fyrst og fremst að rekja til þess dráttar sem varð á því að úrskurðarnefndin fengi aðgang að umbeðnum gögnum, sbr. 2. mgr. 22. gr. upplýsingalaga nr. 140/2012. Þannig leið meira en eitt ár frá því að úrskurðarnefndin óskaði eftir þeim og þar til Neytendastofa varð við óskinni með því að koma upp sérstöku rafrænu gagnaherbergi, sem stofnunin kvað nauðsynlegt til að tryggja öryggi umbeðinna gagna. Það athugast sérstaklega að engin þörf var á þeirri ráðstöfun. Úrskurðarnefnd um upplýsingamál á skýlausan rétt til afrita af öllum gögnum sem kæru varðar á grundvelli 2. mgr. 22. gr. upplýsingalaga. Nefndin ber sjálf ábyrgð á því að tryggja öryggi gagna í vörslum hennar. Neytendastofu var því ekki stætt á því að láta hjá líða að verða við kröfu nefndarinnar um afrit umbeðinna gagna innan tiltekins frests á þeirri forsendu að þörf væri á sérstökum öryggisráðstöfunum. Verður ekki hjá því komist að átelja harðlega þá meðferð sem beiðni úrskurðarnefndarinnar um afrit umbeðinna gagna hlaut hjá Neytendastofu.

Niðurstaða
1.

Í máli þessu er deilt um aðgang kæranda að staðfestingum sem Auðkenni ehf. hefur fengið á því að kröfum til öruggs undirskriftarbúnaðar fyrirtækisins teljist fullnægt og Neytendastofa hefur í vörslum sínum sem eftirlitsaðili á starfsemi Auðkennis ehf. sem vottunaraðila fyrir rafrænum undirskriftum á Íslandi, sbr. 18. gr. laga um rafrænar undirskriftir nr. 28/2001. Kærandi reisir rétt sinn til aðgangs að upplýsingunum á 5. gr. upplýsingalaga nr. 140/2012 um upplýsingarétt almennings.

Í kæru afmarkar kærandi upplýsingabeiðni sína þannig að óskað sé upplýsinga um fjögur atriði sem komi fram í umbeðnum gögnum. Þau eru:

  1. Nafn þess sem veitti Auðkenni ehf. staðfestingu.
  2. Hvenær staðfestingin var gerð.
  3. Hvenær staðfestingin barst Neytendastofu.
  4. Hvaða búnaður hafi hlotið staðfestingu.

Neytendastofa hefur afmarkað beiðnina við tiltekin gögn í vörslum stofnunarinnar. Úrskurðarnefnd um upplýsingamál hefur ekki forsendur til að ætla að önnur gögn í vörslum stofnunarinnar geymi upplýsingar um atriðin sem kærandi tiltekur í beiðni sinni.

2.

Neytendastofa telur óheimilt að veita aðgang að umbeðnum gögnum þar sem þau hafi að geyma upplýsingar sem falli undir þagnarskylduákvæði 4. mgr. 20. gr. laga nr. 28/2001 og 9. gr. og 3. tl. 10. gr. upplýsingalaga nr. 140/2012.

Í 4. mgr. 20. gr. laga nr. 28/2001 segir orðrétt: 

Starfsmenn Neytendastofu eru bundnir þagnarskyldu. Þeir mega ekki að viðlagðri ábyrgð skýra óviðkomandi frá því er þeir komast að í starfi sínu og leynt á að fara um viðskipti og rekstur vottunaraðila, tengdra aðila eða annarra. Sama gildir um sérfræðinga sem starfa fyrir Neytendastofu að eftirlitsstarfi samkvæmt lögum þessum. Þagnarskyldan helst þótt látið sé af starfi.

Í úrskurði úrskurðarnefndar um upplýsingamál nr. 613/2016 var komist komist að þeirri niðurstöðu að ákvæðið væri sérstakt þagnarskylduákvæði í skilningi 3. mgr. 4. gr. upplýsingalaga og gildi um upplýsingar sem leynt eiga að fara um „viðskipti og rekstur“ þeirra aðila sem Neytendastofu er falið að hafa eftirlit með. Að því leyti sem ákvæðið tilgreinir ekki með nákvæmum hætti þær upplýsingar sem beri að gæta trúnaðar um felur það hins vegar í sér almenna reglu um þagnarskyldu sem takmarkar ekki rétt til aðgangs samkvæmt upplýsingalögum, sbr. 3. mgr. 4. gr. upplýsingalaga. Að þessu leyti þarf einnig að hafa hliðsjón af 2. málslið 9. gr. upplýsingalaga við mat á efni umbeðinna gagna. 

3.

Úrskurðarnefnd um upplýsingamál hefur farið yfir gögnin sem Neytendastofa hefur afmarkað beiðni kæranda við. Þau eru einkum af tvennum toga. Í fyrsta lagi er um að ræða erindi frá Auðkenni ehf. til Neytendastofu þar sem gerð er grein fyrir búnaði sem fyrirtækið notar til að dreifa rafrænum skilríkjum til neytenda og ýmsum öðrum atriðum í rekstri félagsins. Í öðru lagi er meðal umbeðinna gagna nokkur fjöldi skýrslna og úttekta erlendra stofnana á búnaðinum sem Auðkenni ehf. hefur sent til Neytendastofu á grundvelli eftirlitshlutverks stofnunarinnar, sbr. VII. kafla laga nr. 28/2001. Það athugast að síðarnefndu skjölin eru flest eða öll aðgengileg almenningi á vefjum viðkomandi aðila. Hins vegar telur úrskurðarnefnd um upplýsingamál unnt að fallast á það með Neytendastofu að tilgreining á þeim búnaði sem félagið notast við til að staðfesta rafrænar undirskriftir geti falið í sér upplýsingar um viðskipti og rekstur Auðkennis ehf. sem leynt eigi að fara í skilningi þagnarskylduákvæðis 4. mgr. 20. gr. laga nr. 28/2001. Skoðun úrskurðarnefndarinnar á hinum umbeðnu gögnum hefur ekki leitt í ljós að þau innihaldi aðrar upplýsingar en þær sem falla undir gildissvið ákvæðisins.

Í 3. mgr. 4. gr. upplýsingalaga nr. 140/2012 er tekið fram að almenn ákvæði um þagnarskyldu takmarki ekki rétt til aðgangs að gögnum samkvæmt lögunum. Með gagnályktun frá þessu ákvæði verður hins vegar að telja að sérstök þagnarskylduákvæði geti, ein og sér, komið í veg fyrir að aðgangur verði veittur að gögnum í vörslum stjórnvalda, hvað sem líður öðrum lagaákvæðum um upplýsingaskyldu. Þar sem umbeðin gögn eru samkvæmt framangreindu undirorpin sérstakri þagnarskyldu verður staðfest ákvörðun Neytendastofu um að synja kæranda um aðgang að þeim.

Úrskurðarorð:

Staðfest er ákvörðun Neytendastofu, dags. 8. júní 2016, um synjun á beiðni kæranda um aðgang að gögnum um staðfestingar um að kröfum til öruggs undirskriftarbúnaðar teljist fullnægt.


 

Hafsteinn Þór Hauksson

formaður

 

 

Sigurveig Jónsdóttir                                                                                     Friðgeir Björnsson

 

Úrskurðir, ákvarðanir og aðrar úrlausnir sem birtast á vef Stjórnarráðsins eru á ábyrgð viðkomandi stjórnvalds. 
Stjórnarráðið ber ekki ábyrgð á efni frá sjálfstæðum stjórnvöldum umfram það sem leiðir af lögum.

Hafa samband

Ábending / fyrirspurn
Ruslvörn
Vinsamlegast svaraðu í tölustöfum