Úrlausnir

Birting persónuupplýsinga á Facebook-síðu einstaklings

Mál nr. 2020010550

28.9.2020

Persónuvernd hefur úrskurðað að birting einstaklings á persónuupplýsingum um annan einstakling á Facebook-síðu sinni samrýmist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Um var að ræða kennitölu kvartanda, reikningsnúmer og yfirlit greiðslna inn á bankareikning kvartanda. Í úrskurðinum er jafnframt tekið fram að skoðanir einstaklinga og gildisdómar um annan einstakling teljist ekki til persónuupplýsinga um þann síðarnefnda og falli þar af leiðandi ekki undir gildissvið laganna. Áðurnefndar upplýsingar um kennitölu kvartanda, reikningsnúmer og yfirlit greiðslna inn á bankareikning kvartanda teljist hins vegar til persónuupplýsinga og sé Persónuvernd því bær til að úrskurða um lögmæti vinnslu þeirra. Niðurstaða Persónuverndar var sú að vinnsla umræddra upplýsinga styddist ekki við heimild samkvæmt 9. gr. laganna og var lagt fyrir ábyrgðaraðila að fjarlægja þær. 

Úrskurður


Á fundi stjórnar Persónuverndar hinn 27. ágúst 2020 var kveðinn upp svohljóðandi úrskurður í máli nr. 2020010550 (áður 2019030709):

I.

Málsmeðferð

1.

Tildrög máls

Hinn 18. mars 2019 barst Persónuvernd kvörtun frá [A] ([hér eftir kvartandi]) yfir birtingu [einstaklingsins Y] á persónuupplýsingum um [kvartanda] á Facebook-síðu [Y]. Með kvörtuninni fylgdu skjáskot af umræddum upplýsingum. Með bréfi, dags. 8. júlí 2019, ítrekuðu 28. ágúst og 29. október s.á., var [Y] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Engin svör bárust.

Meðferð málsins hefur dregist vegna mikilla anna hjá Persónuvernd.

2.

Sjónarmið kvartanda

Kvartandi byggir á því að [Y] hafi án […] samþykkis birt á Facebook-síðu sinni [yfirlit yfir greiðslur inn á bankareikning kvartanda]. Á yfirlitinu hafi verið að finna upplýsingar um fjárhæðir greiðslna, kennitölu kvartanda og reikningsnúmer […]. [Y] hafi með birtingunni brotið gegn réttindum kvartanda.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Samkvæmt 2. mgr. 4. gr. laga nr. 90/2018 gilda ákvæði þeirra og reglugerðarinnar ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða fjölskyldu hans eða eru einvörðungu ætlaðar til persónulegra nota. Í 18. gr. formálsorða reglugerðarinnar segir meðal annars að vinnsla sem sé einungis í þágu einstaklings eða fjölskyldu hans geti t.d. tekið til notkunar samfélagsmiðla og Netnotkunar sem fram fer í tengslum við slíka vinnslu. Mál þetta lýtur að birtingu upplýsinga um kennitölu, reikningsnúmer og greiðslur til kvartanda á Facebook-síðu [Y], en síðan er opin og aðgengileg öllum þeim sem skráðir eru inn á samfélagsmiðilinn. Sé notast við vefslóð sem vísar beint á umrædda færslu og þau skjöl sem henni fylgja eru þau einnig aðgengileg þeim sem ekki eru skráðir inn á miðilinn. Verður því ekki litið svo á að sú vinnsla, sem í birtingunni felst, taki aðeins til persónuupplýsinga sem ætlaðar eru til persónulegra nota. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst [Y] vera ábyrgðaraðili að umræddri vinnslu. [...]

2.

Valdsvið Persónuverndar –

Tjáningarfrelsi og vernd persónuupplýsinga

Eins og hér háttar til kemur til álita þýðing þess að vinnsla persónuupplýsinga, sem kvartað er yfir, felur í sér tjáningu er nýtur verndar 73. gr. Stjórnarskrár lýðveldisins Íslands, nr. 33/1944, sbr. einnig 10. gr. mannréttindasáttmála Evrópu.

Í 1. mgr. 73. gr. stjórnarskrárinnar segir að allir séu frjálsir skoðana sinna og sannfæringar, og í 2. mgr. sömu greinar segir að hver maður eigi rétt á að láta í ljós hugsanir sínar, en að ábyrgjast verði hann þær fyrir dómi. Þá segir í 1. mgr. 10. gr. mannréttindasáttmála Evrópu að sérhver maður eigi rétt til tjáningarfrelsis. Sá réttur skuli einnig ná yfir frelsi til að hafa skoðanir, taka við og skila áfram upplýsingum og hugmyndum heima og erlendis án afskipta stjórnvalda.

Þegar aðili nýtir sér frelsi sitt til að lýsa skoðunum sínum og sannfæringu samkvæmt framangreindu, svo og gildisdómum um einstaklinga sem leiddir eru af staðreyndum, hefur Persónuvernd litið svo á að stofnunin sé ekki bær til þess að leggja mat á hvort aðili hafi farið út fyrir stjórnarskrárvarið tjáningarfrelsi sitt gagnvart friðhelgi einkalífs einstaklings sem verndar nýtur samkvæmt 71. gr. stjórnarskrárinnar og 8. gr. mannréttindasáttmálans og þannig bakað sér ábyrgð að lögum. Þar sem skoðanir eða hugmyndir manna um einstaklinga teljast ekki persónuupplýsingar um þá síðargreindu í skilningi 2. tölul. 3. gr. laga nr. 90/2018, fellur ágreiningur þar um ekki undir gildissvið laganna, heldur heyrir undir dómstóla að skera úr um hvar mörkin liggja milli hinna stjórnarskrárvernduðu réttinda í hverju tilviki.

Sú kvörtun sem hér er til úrlausnar lýtur sem fyrr segir að miðlun upplýsinga um fjárhæðir greiðslna [...] til kvartanda, kennitölu […] og reikningsnúmer með birtingu yfirlits þar að lútandi. Umrætt yfirlit var ein nokkurra mynda og skjáskota sem ábyrgðaraðili birti með tveimur færslum á Facebook-síðu sinni [...]. Ljóst er að texti færslnanna felur í sér tjáningu ábyrgðaraðila á [eigin skoðunum] og sannfæringu. Þá ber textinn með sér að ábyrgðaraðili hafi birt afrit umrædds yfirlits yfir greiðslur til kvartanda til að renna stoðum undir þær fullyrðingar sem þar voru settar fram. Á hinn bóginn verður ekki litið fram hjá því að yfirlitið hefur einungis að geyma staðreyndir sem unnt er að sannreyna með hlutlægum hætti, t.d. með uppflettingu í þjóðskrá og viðskiptamannakerfum hlutaðeigandi fjármálafyrirtækis. Þar koma fram persónuupplýsingar um kvartanda sem Persónuvernd er bær til að fjalla um á grundvelli laga nr. 90/2018.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði gefið samþykki sitt fyrir vinnslunni í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. þeirrar greinar, eða sé vinnslan nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. sömu greinar.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

Líkt og að framan greinir bárust engin svör frá ábyrgðaraðila undir rekstri málsins. Að mati Persónuverndar gæti umrædd miðlun persónuupplýsinga ekki stuðst við aðrar heimildir en 6. tölul. 9. gr. laga nr. 90/2018. Af orðalagi ákvæðisins er ljóst að áður en til vinnslu kemur á grundvelli þess þarf að framkvæma ákveðið hagsmunamat. Án frekari upplýsinga eða röksemda af hálfu ábyrgðaraðila þar að lútandi er hins vegar ekki unnt að líta svo á að þeir hagsmunir, sem kunna að hafa kallað á birtingu upplýsinga um kvartanda að mati ábyrgðaraðila, hafi vegið þyngra en hagsmunir kvartanda af því að upplýsingarnar yrðu ekki birtar. Þá liggur fyrir að kvartandi [leggst gegn] birtingunni.

Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla [Y] á persónuupplýsingum um kvartanda samrýmist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í samræmi við þessa niðurstöðu, og með vísan til 6. og 7. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir [Y] að fjarlægja af Facebook-síðu sinni rafræn yfirlit yfir greiðslur [...] til kvartanda, nánar tiltekið í færslum sem birtar voru dagana [...]. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 24. september 2020.

Ú r s k u r ð a r o r ð:

Vinnsla [Y] á persónuupplýsingum um [A] með birtingu persónuupplýsinga um [kvartanda] á Facebook samrýmist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Með vísan til 6. og 7. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir [Y] að fjarlægja af Facebook-síðu sinni rafræn yfirlit yfir greiðslur [...] til kvartanda, nánar tiltekið í færslum sem birtar voru dagana [...]. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 24. september 2020.

Í Persónuvernd, 27. ágúst 2020

Björg Thorarensen
formaður

Ólafur Garðarsson                   Björn Geirsson


Vilhelmína Haraldsdóttir                      Þorvarður Kári Ólafsson



Var efnið hjálplegt? Nei