Ákvörðun um vinnslu persónuupplýsinga hjá GAMMA og Hinu íslenska bókmenntafélagi
Mál nr. 2016/1784
I.
Málavextir og bréfaskipti
1.Tildrög máls
Persónuvernd barst í lok árs 2016 ábending um bréf, dags. í nóvember 2016, sem sent var til starfsmanna, viðskiptavina og tengiliða viðskiptavina GAMMA Capital Management hf. (hér eftir nefnt „GAMMA“) þar sem tilkynnt var um miðlun persónuupplýsinga um viðtakanda bréfsins frá GAMMA til Hins íslenska bókmenntafélags og skráningu viðkomandi á félagaskrá þess. Í bréfinu segir m.a.:„Vér hjá GAMMA höfum veitt því athygli að þér eruð ekki félagi í Hinu íslenzka bókmenntafélagi. Þar af leiðandi höfum vér tekið oss bóthildarleyfi til að skrásetja yður sem félaga og greitt árstillagið til eins árs í yðar nafni.“
2.Bréfaskipti
Með bréfi, dags. 3. janúar 2017, óskaði Persónuvernd eftir skýringum frá GAMMA og Hinu íslenska bókmenntafélagi um hvort sá skilningur stofnunarinnar væri réttur að GAMMA hefði miðlað persónuupplýsingum um viðskiptavini sína til bókmenntafélagsins og í kjölfarið hefði bókmenntafélagið skrásett þá einstaklinga, sem ekki voru þegar skráðir, í félagið.
Í bréfi Persónuverndar til GAMMA var óskað upplýsinga um hvaða persónuupplýsingum hefði verið miðlað þaðan til Hins íslenska bókmenntafélags, á hvaða heimild í 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga miðlunin hefði byggst, hvort fræðsla skv. 20. gr. laganna hefði verið veitt hinum skráða og hvers efnis sú fræðsla hefði verið. Hið íslenska bókmenntafélag var jafnframt spurt á grundvelli hvaða heimildar í 1. mgr. 8. gr. laga nr. 77/2000 vinnslan hefði farið fram, auk þess sem spurt var hvort fræðsla skv. 21. gr. laganna hefði verið veitt hinum skráða og hvers efnis sú fræðsla hefði verið.
Svar frá lögmannsstofunni Landslögum, f.h. GAMMA, barst Persónuvernd með bréfi, dags. 26. janúar 2017. Í bréfinu segir að GAMMA hafi miðlað kennitölum tiltekinna aðila, sem félagið taldi að kynnu að hafa áhuga á starfsemi Hins íslenska bókmenntafélags, í þeim tilgangi að vekja athygli á starfsemi bókmenntafélagsins og fjölga félagsmönnum þess. Þess hafi verið óskað að viðkomandi aðilar fengju kynningaráskrift að bókmenntafélaginu, auk þess sem GAMMA hafi greitt eins árs áskriftargjald fyrir þá. Hafi verið um að ræða hóp starfsmanna og viðskiptavina félagsins og tengiliða viðskiptavina GAMMA. Jafnframt segir að bókmenntafélaginu hafi ekki verið veittar neinar upplýsingar um tengsl viðkomandi við GAMMA. Hvað varðar heimild félagsins til vinnslu persónuupplýsinganna segir m.a.:
„Umbj.m. leggur mikla áherslu á samfélagsábyrgð í rekstri sínum og er til að mynda aðalstyrktaraðili Sinfóníuhljómsveitar Íslands og einn af aðalstyrktaraðilum Hins íslenska bókmenntafélags. Það er meðal forgangsverkefna umbj.m. að styðja við bakið á menningarlegri starfsemi og leitast hann í því skyni við að vekja athygli bæði starfsfólks síns, viðskiptavina og annarra sem tengjast félaginu á slíkri starfsemi, svo sem með því að gefa miða á viðburði, styrkja átak í félagaöflun og því um líkt.
Þessi áhersla umbj.m. á samfélagslega ábyrgð sína hefur verið vel kynnt viðskiptavinum hans, svo sem með miðlun upplýsingaefnis, aðgöngumiða og annarra slíkra tækifærisgjafa til þeirra, auk þess sem þessar áherslur umbj.m. koma skýrlega fram á heimasíðu hans, http://www.gamma.is/. Er kynningarstarfsemin mikilvægur þáttur í þeirri þjónustu sem umbj.m. hefur kosið að veita og lítur hann á það sem hlutverk sitt að vekja athygli viðskiptavina sinna á þeirri menningarlegu starfsemi sem hann hefur tekið að sér að styðja við. Mega viðskiptavinir umbj.m. því búast við - og jafnvel ætlast til - að hann beini slíku kynningarstarfi að þeim og sé það því hluti af viðskiptasambandi þeirra, þrátt fyrir að vera ekki sérstakt umfjöllunarefni í skriflegum skilmálum félagsins.
[...] Í ljósi þess að um var að ræða hluta af þjónustu umbj.m. við viðkomandi viðskiptavini, [...] er af hálfu umbj. m. litið svo á að vinnslan hafi verið nauðsynleg til að efna samning aðila um þjónustuna, sbr. 2. tl. 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. “
Jafnframt segir að hverjum nýjum starfsmanni og viðskiptavini sé gerð grein fyrir samfélagslegum áherslum GAMMA og því kynningarstarfi sem félagið standi fyrir. Hins vegar hafi ekki verið sérstaklega áréttað í þeirri fræðslu að boð um kynningaráskrift að menningarfélögum, með þeim hætti sem hér um ræði, komi til álita sem hluti af slíku kynningarstarfi. Að lokum segir að Hið íslenska bókmenntafélag hafi ekki verið upplýst um hvort einhverjir þeirra sem fengu kynningaráskrift hafi verið viðskiptavinir GAMMA, að bókmenntafélagið hafi verið í góðri trú og hafi ekki mátt búast við öðru en að full heimild væri fyrir skráningu viðkomandi aðila í félagið á grundvelli þeirra upplýsinga sem því bárust frá GAMMA.
Einnig barst svar frá fyrrgreindri lögmannsstofu f.h. Hins íslenska bókmenntafélags, dags. 27. janúar 2017. Í bréfinu segir að bókmenntafélagið hafi ekki verið upplýst um hvort einhverjir þeirra aðila sem fengu boð um kynningaráskrift kynnu að vera viðskiptavinir GAMMA. Hinu Íslenska bókmenntafélagi hafi einungis verið fengnar í té kennitölur þeirra aðila sem óskað var eftir að fengju kynningaráskrift að félaginu, auk þess sem GAMMA hafi greitt áskriftina fyrir þá aðila til eins árs. Auk þess segir að bókmenntafélagið hafi verið í góðri trú um að sú miðlun persónuupplýsinga hafi byggst á samþykki viðkomandi. Jafnframt segir að bókmenntafélagið hafi ekki veitt hinum skráðu fræðslu, enda hafi félagið mátt ætla að þeim væri þegar kunnugt um vinnsluna, sbr. 2. tölul. 4. mgr. 21. gr. laga nr. 77/2000.
Í niðurlagi beggja bréfa var tekið fram að ef Persónuvernd teldi tilefni til frekari aðgerða í málinu, s.s. með töku ákvörðunar, yrði GAMMA Capital Management hf. og Hinu íslenska bókmenntafélagi áður gefið tækifæri til að koma að andmælum sínum.
Með tölvupósti þann 18. ágúst 2017 var GAMMA og Hinu íslenska bókmenntafélagi tilkynnt að til stæði að taka ákvörðun í málinu og þeim gefinn kostur á að koma á framfæri frekari athugasemdum. Athugasemdir Hins íslenska bókmenntafélags bárust með bréfi, dags. 7. september 2017. Í bréfinu eru fyrri athugasemdir félagsins ítrekaðar auk þess sem áréttað er að sú vinnsla persónuupplýsinga sem átti sér stað hjá félaginu hafi einungis verið „hefðbundin vinnsla sem tekur til allra félaga í bókmenntafélaginu, svo sem prentun nafna og heimilisfanga félaga til útsendingar á tímariti félagsins, Skírni“. Andmæli GAMMA bárust Persónuvernd með tölvupósti þann 12. september 2017, en þar eru fyrri athugasemdir GAMMA ítrekaðar auk þess sem fram kemur að um hafi verið að ræða fyrsta og eina skiptið sem GAMMA hafi miðlað upplýsingum um viðskiptavini sína til þriðja aðila í þeim tilgangi að veita viðkomandi kynningaráskrift af einhverju tagi.
II.Ákvörðun
1.Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar.
Af öllu framangreindu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar, þ.e. þegar um ræðir einstaklinga. Tekur ákvörðun þessi eingöngu til þess hluta umræddra upplýsinga sem snýr að þeim en ekki þess hluta upplýsinganna sem snýr að lögaðilum.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Telst GAMMA Capital Management hf. vera ábyrgðaraðili að þeirri miðlun persónuupplýsinga sem hér um ræðir en Hið íslenska bókmenntafélag að eftirfarandi vinnslu upplýsinganna í þágu starfsemi sinnar, þ.e. skráningu viðkomandi í félagaskrá bókmenntafélagsins.
2.Heimild til miðlunar og skráningar á upplýsingum
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Sú vinnsla sem hér um ræðir er miðlun lista með kennitölum tiltekins hóps starfsmanna, viðskiptavina og tengiliða viðskiptavina GAMMA og eftirfarandi skráning Hins íslenska bókmenntafélags á kennitölunum. Af hálfu GAMMA hefur komið fram að þessi vinnsla persónuupplýsinga hafi verið talin nauðsynleg til að uppfylla samning aðila um þjónustuna, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þá hafi áhersla GAMMA á samfélagslega ábyrgð, m.a. með styrkjum til menningarlegrar starfsemi, verið vel kynnt viðskiptavinum GAMMA, s.s. með miðlun upplýsingaefnis, aðgöngumiða og annarra slíkra tækifærisgjafa til viðskiptavina, auk þess sem þessar áherslur komi skýrt fram á heimasíðu fyrirtækisins.
Vinnsla persónuupplýsinga getur ekki fallið undir 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000 nema hún sé nauðsynleg til að efna samning sem hinn skráði er aðili að. Mat á þeirri nauðsyn sem hér um ræðir ræðst af því hvaða afleiðingar það hafi fari vinnsla persónuupplýsinganna ekki fram. Sé unnt að eiga viðskiptin án vinnslunnar er hún ekki nauðsynleg í skilningi ákvæðisins. Verður umrædd miðlun persónuupplýsinga um starfsmenn, viðskiptavini og tengiliði viðskiptavina GAMMA ekki talin nauðsynleg til að efna samning um fjárfestingarþjónustu, enda hefur samningurinn ekki að geyma ákvæði um slíka miðlun. Getur umrædd vinnsla því ekki átt sér stoð í 2. tölul. 1. mgr. 8. gr., en að auki verður ekki séð að aðrar heimildir skv. sömu grein hafi átt við um vinnsluna.
Hvað varðar skráningu upplýsinga í félagaskrá Hins íslenska bókmenntafélags hefur komið fram af hálfu félagsins að það hafi verið í góðri trú um að miðlun persónuupplýsinganna til þess hafi verið með vitund og vilja viðkomandi og vinnslan þar af leiðandi byggð á 1. eða 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þessi skilningur bókmenntafélagsins hefur jafnframt verið staðfestur af hálfu GAMMA. Ábyrgðaraðili persónuupplýsinga ber hins vegar ábyrgð á að vinnslan samrýmist lögum nr. 77/2000 og getur ekki eingöngu byggt á góðri trú um heimildir þess sem miðlaði til hans upplýsingum. Í málinu liggur fyrir að ekki var til staðar samningur sem kvað á um vinnslu persónuupplýsinga hjá Hinu íslenska bókmenntafélagi, sem og að ekki var aflað samþykkis fyrir vinnslunni. Telst umrædd vinnsla persónuupplýsinga því hvorki vera í samræmi við 1. né 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en auki verður ekki séð að hún hafi átt sér stoð í öðrum heimildum skv. sömu grein.
3. Fræðsla til hins skráða
Auk vinnsluheimildar samkvæmt framangreindu þarf vinnsla persónuupplýsinga að samrýmast öllum grunnkröfum 7. gr. laga nr. 77/2000, þ. á m. því skilyrði 1. tölul. 1. mgr. þeirrar greinar að persónuupplýsingar skuli unnar með sanngjörnum hætti. Felst m.a. í því að vinnsla skal vera gagnsæ gagnvart hinum skráða þannig að hann viti um vinnsluna og hafi fengið fræðslu um hana eftir því sem kostur er.
Um fræðslu samkvæmt framangreindu fer samkvæmt 20. gr. laga nr. 77/2000, þar sem fjallað er um fræðslu til hins skráða við öflun persónuupplýsinga frá honum sjálfum, og 21. gr. sömu laga, þar sem fjallað er um skyldu viðtakanda persónuupplýsinga til að senda hinum skráða viðvörun þegar persónuupplýsinga er aflað frá þriðja aðila.
Samkvæmt c-lið 3. tölul. 1. mgr. 20. gr. laga nr. 77/2000 ber m.a. að veita fræðslu um viðtakendur eða flokka viðtakenda upplýsinga þar sem það á við, sbr. c-lið 3. tölul. 1. mgr. ákvæðisins, en það tímamark fyrir fræðslu, sem ákvæðið gerir ráð fyrir, er það þegar upplýsinga um viðkomandi einstakling er aflað, s.s. við upphaf starfs- eða viðskiptasambands. Ekki liggur hins vegar fyrir að GAMMA upplýsi starfsmenn sína, viðskiptavini og tengiliði viðskiptavina, við upphaf slíks sambands, um miðlun upplýsinga í tengslum við samfélagslegar áherslur og kynningarstarf. Þá var bréf GAMMA til framangreinds hóps til að fræða hann um miðlun upplýsinga til Hins íslenska bókmenntafélags ekki sent fyrr en eftir fyrrgreint tímamark. Telst GAMMA því ekki hafa farið að kröfum 20. gr. laga nr. 77/2000 í aðdraganda umræddrar miðlunar.
Á viðtakanda upplýsinga, í þessu tilviki Hinu íslenska bókmenntafélagi, hvílir ekki fræðsluskylda samkvæmt 21. gr. laga nr. 77/2000 megi hann ætla að hinum skráða sé þegar kunnugt um vinnsluna, sbr. 2. tölul. 4. mgr. þeirrar greinar. Þegar af þeirri ástæðu að GAMMA sendi hinum skráðu áðurnefnt bréf þurfti félagið því ekki að senda hinum skráðu sérstaka fræðslu á grundvelli 21. gr. laganna.
4.
Niðurstaða
Miðlun GAMMA á upplýsingum um starfsmenn sína, viðskiptavini og tengiliði viðskiptavina til Hins íslenska bókmenntafélags, sem og skráning þess félags á upplýsingunum í félagaskrá sína, samrýmdist ekki 8. gr. laga nr. 77/2000. Þá var ekki farið að 20. gr. sömu laga, þar sem mælt er fyrir um fræðslu til hins skráða þegar upplýsinga er aflað hjá honum sjálfum, í aðdraganda miðlunarinnar. Með stoð í 1. mgr. 40. gr. laganna er hér með lagt fyrir GAMMA að senda Persónuvernd, eigi síðar en 1. apríl 2018, skýringar um hvernig miðlun persónuupplýsinga í kynningarstarfi fyrirtækisins verði hagað framvegis, þ. á m. hvernig háttað verði fræðslu til hins skráða. Að auki er lagt fyrir Hið íslenska bókmenntafélag að senda Persónuvernd, fyrir sama tímamark, staðfestingu á því að félagið hafi eytt þeim persónuupplýsingum sem miðlað var til þess.
Á k v ö r ð u n a r o r ð:
Miðlun GAMMA Capital Management hf. á persónuupplýsingum um
starfsmenn sína, viðskiptavini og tengiliði viðskiptavina til Hins íslenska
bókmenntafélags samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð
persónuupplýsinga.
Eigi síðar en 1. apríl 2018 skal GAMMA Capital Management hf.
senda Persónuvernd lýsingu á því hvernig fyrirtækið muni haga miðlun
persónuupplýsinga í kynningarstarfi sínu framvegis, þ.m.t. hvernig fræðslu til
hinna skráðu verði háttað.
Skráning Hins íslenska bókmenntafélags á persónuupplýsingum, sem
miðlað var frá GAMMA Capital Management hf., í félagaskrá sína samrýmdist ekki
lögum nr. 77/2000.
Eigi síðar en 1. apríl 2018 skal Hið íslenska bókmenntafélag senda Persónuvernd staðfestingu á því að félagið hafi eytt þeim persónuupplýsingum sem GAMMA Capital Management hf. miðlaði til þess.