Miðlun Íslandspósts ohf. á persónuupplýsingum
Mál nr. 2021020477
Ábyrgðaraðili er sá sem ákveður tilgang og aðferðir við vinnslu persónuupplýsinga. Vinnsluaðili er sá sem vinnur persónuupplýsingar fyrir hönd ábyrgðaraðila á grundvelli samnings þar að lútandi. Í þessu tilfelli var Íslandspóstur ohf. vinnsluaðili persónuupplýsinganna sem unnar voru á grundvelli samnings þar að lútandi milli ábyrgðaraðila (Western Union) og vinnsluaðila (Íslandspósts ohf.).
----
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir miðlun persónuupplýsinga af hálfu Íslandspósts ohf. Nánar tiltekið var kvartað yfir því að Íslandspóstur hefði tekið afrit af ökuskírteini kvartanda og miðlað því til Western Union.
Niðurstaða Persónuverndar var sú að umkvörtunarefnið heyrði ekki undir ábyrgð Íslandspósts sem vinnsluaðila á persónuupplýsingum um kvartanda og að Íslandspóstur hefði ekki farið út fyrir heimild sína sem vinnsluaðili þegar afrit af ökuskírteini kvartanda var sent til WU. Samrýmdist vinnslan því lögum um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
um kvörtun yfir vinnslu persónuupplýsinga af hálfu Íslandspósts ohf. í máli nr. 2021020477:
I.
Málsmeðferð
Hinn 20. febrúar 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir miðlun Íslandspósts á persónuupplýsingum hans til Western Union (hér eftir WU). Nánar tiltekið lýtur kvörtunin að því að Íslandspóstur hafi tekið afrit af ökuskírteini kvartanda og miðlað því til WU í tengslum við veitingu á þjónustu við peningasendingar milli landa.
Persónuvernd bauð Íslandspósti að tjá sig um kvörtunina með bréfi, dags. 17. nóvember 2021, og bárust svör fyrirtækisins með bréfi, dags. 7. desember s.á. Með bréfi, dags. 18. febrúar 2022, var bréf Persónuverndar til Íslandspósts, frá 17. nóvember 2021, ítrekað í heild sinni auk þess sem óskað var eftir upplýsingum um hvort Íslandspósti hefði verið falið að vinna persónuupplýsingar fyrir hönd WU á grundvelli vinnslusamnings, sbr. 3. mgr. 25. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Svör bárust frá Íslandspósti með bréfi, dags. 10. mars s.á., en ekki voru veitt svör við öllum spurningum Persónuverndar. Persónuvernd óskaði því eftir frekari svörum frá Íslandspósti með bréfum, dags. 16. september og 2. nóvember s.á., og barst svar Íslandspósts með bréfi, dags. 25. nóvember s.á.
Með bréfi, dags. 13. janúar 2023, upplýsti Persónuvernd kvartanda um að með hliðsjón af efni svarbréfa Íslandspósts og fylgiskjala teldi stofnunin geta komið til álita að WU teldist ábyrgðaraðili að þeirri vinnslu persónuupplýsinga kvörtun hans lyti að. Var kvartanda veittur kostur á að beina kvörtun sinni að WU og jafnframt að koma á framfæri athugasemdum við svör Íslandspósts. Svar barst frá kvartanda með tölvupósti, þann sama dag, þar sem hann ítrekaði kvörtun sína yfir vinnslu persónuupplýsinga af hálfu Íslandspósts.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
___________________
Kvartandi telur að Íslandspósti hafi ekki verið heimilt að senda afrit af ökuskírteini hans til WU. Vísað er til þess að WU sé erlendur aðili sem hafi ekki fullkomið vald á þeirri persónuvernd sem persónuverndarlöggjöfin kveði á um. Kvartandi byggir á því að Íslandspóstur, sem umboðsaðili WU á Íslandi, hefði getað ábyrgst að ökuskírteini hans væri lögmætt og tilheyrði honum án þess að þörf væri á að senda afrit þess til WU.
Íslandspóstur vísar til þess að kvartandi hafi verið að nýta sér þjónustu WU en ekki Íslandspósts og hafi af því tilefni samþykkt að undirgangast alþjóðlega skilmála WU. Þá er vísað til þess að öll vinna við þjónustu WU vegna peningasendinga milli landa sé framkvæmd af WU og Íslandspóstur hafi ekkert forræði á því hvernig sú þjónusta sé veitt. WU fari fram á að umboðsaðilar útvegi sönnun fyrir lögmæti skilríkja við afgreiðslu peningasendinga og að slík sönnun sé geymd til þess að rekja megi færslur og skilríki sem notuð séu til auðkenningar. Ástæða þess sé sú að þjónusta og starfsemi WU heyri undir lög nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. WU sé því skylt, áður en viðskipti eiga sér stað, að gera kröfu um að einstaklingar sanni á sér deili með framvísun viðurkenndra persónuskilríkja og að fyrir liggi fullnægjandi upplýsingar um raunverulegan eiganda.
Í svarbréfi Íslandspósts kemur einnig fram að afrit ökuskírteina þeirra einstaklinga sem nýti sér þjónustu WU séu geymd í möppu sem sé aðgengileg því starfsfólki sem sinni afgreiðslu á þeim stöðum þar sem þjónusta WU er veitt. Gögnin séu ekki geymd lengur en í 30 daga.
II.Niðurstaða
1.
Afmörkun máls – ábyrgðaraðili – vinnsluaðili
Kvörtun í máli þessu varðar miðlun persónuupplýsinga um kvartanda af hálfu Íslandspósts til WU. Með bréfi, dags. 13. janúar 2023, upplýsti Persónuvernd kvartanda um að stofnunin teldi WU vera ábyrgðaraðila að þeirri vinnslu persónuupplýsinga sem kvörtun hans lyti að. Með bréfinu var kvartanda því jafnframt gefinn kostur á að beina kvörtun sinni að WU. Þá var kvartandi einnig upplýstur um að Persónuvernd teldi Íslandspóst vera vinnsluaðila sem ynni persónuupplýsingar fyrir, samkvæmt fyrirmælum og undir stjórn WU. Kvartandi kaus hins vegar að beina kvörtun sinni áfram að Íslandspósti. Tekur úrskurður í máli þessu því eingöngu til Íslandspósts en ekki WU.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Eins og hér háttar til og að virtum gögnum málsins telst WU vera ábyrgðaraðili að umræddri vinnslu.
Samkvæmt 7. tölul. 3. gr. laga nr. 90/2018 telst sá einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila vera vinnsluaðili, sbr. 8. tölul. 4. gr. reglugerðar (ESB) 2016/679. Að virtum gögnum málsins þykir verða að leggja til grundvallar að Íslandspóstur teljist vinna þær persónuupplýsingar kvartanda sem hér eru til umfjöllunar á vegum WU. Telst Íslandspóstur því vinnsluaðili í framangreindum skilningi.
Í 25. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, er að finna almennar reglur um vinnsluaðila en nánari fyrirmæli er að finna í 28. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 25. gr. laganna, sbr. 1. mgr. 28. gr. reglugerðarinnar, segir að ábyrgðaraðili skuli einungis leita til vinnsluaðila sem veita nægilegar tryggingar fyrir því að þeir geri viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vinnslan uppfylli kröfur reglugerðarinnar og að vernd réttinda hins skráða séu tryggð. Jafnframt segir í 29. gr. reglugerðarinnar að vinnsluaðili og sérhver aðili, sem starfar í umboði ábyrgðaraðila eða vinnsluaðila og hafi aðgang að persónuupplýsingum, skuli því aðeins vinna með þær að fyrir liggi fyrirmæli ábyrgðaraðila nema honum sé annað skylt samkvæmt Evrópulöggjöf eða lögum aðildarríkis.
Að auki segir í 3. mgr. 25. gr. laganna, sbr. upphaf 3. mgr. 28. gr. reglugerðarinnar, að vinnsla af hálfu vinnsluaðila skuli byggjast á samningi eða annarri réttargerð samkvæmt lögum sem skuldbindi vinnsluaðila gagnvart ábyrgðaraðila og tilgreini viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans.
Þá er í 3. mgr. ákvæðis reglugerðarinnar að finna upptalningu á þeim efnisatriðum sem tiltaka skal í samningi við vinnsluaðila og vinnsluaðili ber ábyrgð á. Á meðal þessara efnisatriða er að vinnsluaðili geri allar nauðsynlegar öryggisráðstafanir sem krafist er samkvæmt 32. gr. reglugerðarinnar, sbr. c-lið 3. mgr. 28. gr., að vinnsluaðila aðstoði ábyrgðaraðila, að því marki sem hægt er, við að svara beiðnum frá hinum skráða þegar hann leitast við að neyta réttinda sinna, sbr. e-lið, og að hann eyði eða skili, að vali ábyrgðaraðila, öllum persónuupplýsingum til hans eftir að veitingu þjónustu, sem tengst vinnslu, lýkur auk þess sem hann eyði öllum afritum nema Evrópulöggjöf eða lög aðildarríkis krefjist annars, sbr. g-lið 3. mgr. 28. reglugerðarinnar.
Samkvæmt gögnum málsins hafa persónuupplýsingar um kvartanda verið unnar hjá Íslandspósti sem umboðsaðila þeirrar þjónustu sem WU veitir vegna peningasendinga milli landa. Fyrir liggur að WU hefur gert umboðsmannasamning (e. Wupsil Tied Agent & Agent Management Agreement) við Íslandspóst vegna framangreindrar vinnslu sem dagsettur er 31. ágúst 2022. Samkvæmt upplýsingum frá Íslandspósti var sambærilegur samningur í gildi milli Íslandspósts og WU þegar afrit var tekið af ökuskírteini kvartanda, dags. 1. ágúst 2017 með gildistíma til fimm ára. Fyrirliggjandi umboðsmannasamningur skuldbindur Íslandspóst gagnvart WU, tilgreinir viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga, flokka skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans, í samræmi við ákvæði 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þá er í skjali sem er hluti af framangreindum umboðsmannasamningi (e. International Service Manual) kveðið á um skyldu Íslandspósts til að taka afrit af viðurkenndum persónuskilríkjum viðskiptavina WU, t.d. ökuskírteini.
Eins og hér háttar til verður því ekki talið að umkvörtunarefnið heyri undir ábyrgð Íslandspósts sem vinnsluaðila á persónuupplýsingum um kvartanda. Þá verður ekki talið að Íslandspóstur hafi farið út fyrir heimild sína sem vinnsluaðili þegar afrit af ökuskírteini kvartanda var sent til WU.
Í ljósi framangreinds er niðurstaða Persónuverndar sú að vinnsla persónuupplýsinga um kvartanda hjá Íslandspósti hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vinnsla Íslandspósts ohf. sem vinnsluaðila á persónuupplýsingum um [A] við framkvæmd þeirrar þjónustu sem Western Union veitir vegna peningasendinga milli landa samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Persónuvernd, 19. júní 2023
Helga Sigríður Þórhallsdóttir Edda Þuríður Hauksdóttir