Orkuveitu Reykjavíkur var óheimilt að senda viðvörun um fyrirhugaða lokun í opinni póstsendingu.
Hinn 11. janúar 2002 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í málinu nr. 2001/435:
Með bréfi, dags. 6. apríl 2001, óskaði G eftir afstöðu Persónuverndar til þess hvort að póstlagning Orkuveitu Reykjavíkur á korti án umslags með yfirskriftinni "Viðvörun um fyrirhugaða lokun", samrýmdist ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Málavextir eru þeir að Orkuveita Reykjavíkur sendi G kort, dags. 22. febrúar 2001, sem póstlagt var án umslags, þar sem tilkynnt var um fyrirhugaða lokun fyrir rafmagn á heimili hans vegna ógreiddra reikninga hans við fyrirtækið. Fram kemur á kortinu að um sé að ræða "Viðvörun um fyrirhugaða lokun", að samkvæmt skuldayfirliti hafi hann ekki greitt reikninga þrátt fyrir áður sendar tilkynningar og að búast megi við lokun eftir 4 daga frá dagsetningu viðvörunarinnar. Telur G að það samrýmist ekki lögum um persónuvernd og meðferð persónuupplýsinga að senda slíka viðvörun í opnum pósti þar sem allir, sem kortið meðhöndla, geta lesið það.
Með bréfi Persónuverndar, dags. 27. apríl 2001, var Orkuveitu Reykjavíkur kynnt erindið og óskað upplýst hvort forsvarmenn fyrirtækisins hefðu hugleitt að senda slíkar tilkynningar í lokuðum umslögum og ef svo væri, hver hafi orðið niðurstaðan og á hverju hún hafi verið byggð. Var erindið ítrekað með bréfi Persónuverndar, dags. 19. júní sl. Svarbréf Orkuveitu Reykjavíkur er dags. 21. júní 2001. Þar kemur fram að Orkuveita Reykjavíkur muni framvegis senda tilkynningar um vanskil og fyrirhugaðar lokanir í lokuðum umslögum. Fyrir nokkrum árum hafi í sparnaðarskyni verið ákveðið að senda allar innheimtutilkynningar út án umslaga. Þessi ákvörðun hafi nú verið endurskoðuð þar sem fyrirtækið meti rétt viðskiptavinar til trúnaðar meira en þann kostnað sem af hlýst. Persónuvernd sendi afrit af bréfi Orkuveitu Reykjavíkur til G og upplýsti jafnframt, með bréfi dags. 11. júlí 2001, að stofnunin teldi ekki tilefni til að aðhafast frekar í málinu.
Með bréfi, dags. 16. ágúst 2001, óskaði G eftir nánari skýringu og útfærslu Persónuverndar á því hvort framangreind útsending Orkuveitunnar á opinni orðsendingu um lokun brjóti gegn ákvæðum laga nr. 77/2000. Í bréfinu kemur fram að ástæða fyrirspurnarinnar sé bréf Orkuveitu Reykjavíkur til hans, dags. 13. ágúst sl. þar sem fram komi m.a. eftirfarandi:
".... Orkuveita Reykjavíkur getur ekki fallist á að útsending tilkynningar um fyrirhugaða lokun, sendar í opnum pósti, hafi brotið lög um persónuvernd ...."
Einnig komi fram í bréfinu:
".... felst í þeirri ákvörðun engin viðurkenning á að ekki sé heimilt að senda innheimtutilkynningar í opnum pósti".
Með bréfi, dags. 23. ágúst sl., tilkynnti G að hann hefði sent umboðsmanni Alþingis kvörtun vegna þeirra málsmeðferðar og afgreiðslu sem erindi hans hafi hlotið hjá Persónuvernd. Umboðsmaður Alþingis óskaði, með bréfi dags. 6. september sl., eftir afstöðu Persónuverndar til kvörtunar G sem samkvæmt bréfi umboðsmanns var tvíþætt. Í fyrsta lagi hvort Persónuvernd væri skylt að taka kæru sem henni berst til efnislegrar meðferðar, á þann hátt sem kærandi óskar sjálfur og í öðru lagi hvort Persónuvernd væri skylt að upplýsa með ótvíræðum hætti hvort lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga hafi verið brotin eða ekki. Vegna þessa ákvað Persónuvernd að taka málið upp að nýju og veita efnislega úrlausn um hvort Orkuveita Reykjavíkur hafi brotið gegn lögum nr. 77/2000 með því að póstleggja tilkynningar um fyrirhugaða lokun vegna vanskila sem opna sendingu. Var umboðsmanni Alþingis tilkynnt þessi ákvörðun Persónuverndar með bréfi, dags. 21. september sl., sem í framhaldi af því tilkynnti kvartanda að hann teldi ekki tilefni til frekari umfjöllunar um kvörtun hans og lyki því athugun sinni með vísun til a-liðar 2. mgr. 10. gr. laga nr. 85/1997, um umboðsmann Alþingis.
Með bréfum Persónuverndar til G og Orkuveitu Reykjavíkur, dagsettum 18. október sl., eru málsatvik rakin, málsaðilum tilkynnt að Persónuvernd muni taka málið til efnislegrar afgreiðslu og þeim gefinn kostur á að koma á framfæri frekari athugasemdum fyrir 5. nóvember 2001. Hvorugur málsaðili hefur nýtt sér þann rétt.
1.
Í lögum nr. 77/2000 er jafnframt að finna ýmis ákvæði varðandi réttarstöðu hinna skráðu s.s. um nauðsyn samþykkis þeirra, um rétt þeirra til afturköllunar samþykkis og um rétt þeirra til að fá upplýsingar um hvað um þá er skráð. Ábyrgðaraðili upplýsinga er sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Samkvæmt greinargerð með lögunum tekur vinnsla persónuupplýsinga til hvers konar meðferðar á persónuupplýsingum, þ.m.t. til söfnunar, skráningar, varðveislu, flokkunar og miðlunar þeirra. Á ábyrgðaraðila upplýsinga hvíla margvíslegar skyldur til að tryggja vernd þeirra upplýsinga sem skráðar eru á hans vegum. Skyldunar varða m.a. aðgerðir sem skylt er að beita til að tryggja öryggi þeirra upplýsinga sem skráðar eru á hans vegum og um innra eftirlit með þeim öryggisráðstöfunum, sbr. 11. gr. laga nr. 77/2000. Þá ber ábyrgðaraðili ábyrgð á lögmæti vinnslu hvort heldur er samkvæmt ákvæðum almennra laga eða sérlaga. Ber honum því að tryggja að ákvæði 7. gr. og 8. gr. og eftir atvikum 9. gr. séu uppfyllt.
Skrá Orkuveitu Reykjavíkur yfir viðskiptamenn fyrirtækisins fellur undir ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í 8. gr. laganna er kveðið á um almennar heimildir til vinnslu persónuupplýsinga. Samkvæmt 1. tölul. 1. mgr. er skráning heimil þegar fyrir liggur samþykki hins skráða og samkvæmt 2. tölul. ef vinnslan er nauðsynleg til að efna samning sem hinn skráði er aðili að. Er af þessu ljóst að vinnsla Orkuveitu Reykjavíkur á framangeindum persónuupplýsingum er heimil að því er varðar söfnun og skráningu upplýsinganna. Samningur aðila um kaup og sölu á tiltekinni þjónustu, í þessu tilviki á raforku, felur hins vegar ekki í sér heimild til að miðla upplýsingum um samningsaðila til þriðja aðila.
Fallast ber á það með G að tilkynning Orkuveitu Reykjavíkur í opinni póstsendingu um fyrirhugaða lokun fyrir raforku til hans vegna vanskila, geti hæglega haft í för með sér miðlun upplýsinga um fjárhagsstöðu hans við fyrirtækið. Um miðlun upplýsinga gilda ákvæði 8. gr. laga nr. 77/2000. Þar er kveðið á um almennar heimildir fyrir vinnslu persónuupplýsinga, þ.m.t. miðlun þeirra. Þarf eitt þeirra skilyrða sem þar er kveðið á um að vera til staðar svo miðlun teljist heimil. Einungis 1. tölul. 1. mgr. kemur til álita hér, þ.e. að fyrirliggi samþykki hins skráða. Af gögnum málsins er ljóst að slíkt samþykki lá ekki fyrir þegar G var send tilkynning um fyrirhugaða lokun vegna vanskila. Af þessum sökum var slík miðlun upplýsinganna óheimil.
Orkuveita Reykjavíkur er ábyrgðaraðili þeirra upplýsinga sem unnið er með um viðskiptamenn fyrirtækisins. Eins og rakið var hér að framan þá hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með á hans vegum. Ábyrgðaraðila er m.a. skylt að gera viðeigandi ráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi, sbr. 1. mgr. 11. gr. laga nr. 77/2000, sbr. 5. gr. laga nr. 90/2001. Þar sem Orkuveitu Reykjavíkur var óheimilt að miðla persónuupplýsingum um fjárhagsstöðu orkukaupanda við fyrirtækið, var fyrirtækinu skylt að grípa til viðeigandi ráðstafana með tilliti til eðlis þeirra gagna sem verja átti, sbr. 2. mgr. 11. gr. laga nr. 77/2000, sbr. 5. gr. laga nr. 90/2001. Verður ekki talið að Orkuveita Reykjavíkur hafi uppfyllt þessa skyldu sína þegar hún valdi þá leið að senda út innheimtutilkynningar í opinni póstsendingu til G, enda gat slíkt útsendingarform hæglega haft í för með sér að óviðkomandi gætu kynnt sér efni tilkynninga. Það er því niðurstaða Persónuverndar að Orkuveita Reykjavíkur hafi brotið í bága við ákvæði 11. gr. laga nr. 77/2000, sbr. 5. gr. laga nr. 90/2001, þegar fyrirtækið sendi G viðvörun um fyrirhugaða lokun í opinni póstsendingu hinn 22. febrúar 2001.
Orkuveitu Reykjavíkur var óheimilt að senda viðvörun um fyrirhugaða lokun í opinni póstsendingu til G hinn 22. febrúar 2001.