Miðlun upplýsinga úr augnskanna
Persónuvernd hefur úrskurðað að World Class hafi verið heimilt að miðla upplýsingum til manns sem varð fyrir tjóni á bílastæði við líkamsræktarstöðina. Um var að ræða upplýsingar um að tiltekinn annar maður hafði verið í líkamsræktarstöðinni á þeim tíma sem tjónsatvikið átti sér stað. Upplýsingarnar voru sóttar í augnskanna. Talið var að miðlunin hafi verið nauðsynleg til að sá sem fékk upplýsingarnar gæti gætt lögmætra hagsmuna sinna.
ÚRSKURÐUR
Þann 14. september 2010 kvað stjórn Persónuverndar upp eftirfarandi úrskurð í máli nr. 2010/493:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 20. maí 2010 barst Persónuvernd kvörtun K (hér eftir nefndur kvartandi) vegna vinnslu persónuupplýsinga um hann hjá World Class. Nánar til tekið er kvartað yfir miðlun persónuupplýsinga frá World Class til þriðja aðila í tilefni af umferðaróhappi sem kvartandi varð valdur að á bílastæði við líkamsræktarstöðina þann 3. maí 2010. Mun starfsmaður World Class hafa nýtt upplýsingar úr augnskanna líkamsræktarstöðvarinnar til að staðfesta að kvartandi hafði verið í líkamsræktarstöðinni á þeim tíma sem tjónsatvikið átti sér stað.
2.
Bréfaskipti
Með bréfi, dags. 14. júlí 2010, var World Class tilkynnt um kvörtunina og boðið að koma fram með andmæli sín. Óskaði Persónuvernd eftir því að fram kæmi hvort umrædd miðlun hefði farið fram, í hvaða tilgangi og á grundvelli hvaða heimildar samkvæmt 8., og eftir atvikum 9. gr., laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Svarbréf G hdl., f.h. World Class, barst stofnuninni þann 6. ágúst sl. Þar kom m.a. fram:
„Málsatvik voru þau að eignatjón hafði orðið á bifreið viðskiptavinar líkamsræktarstöðvarinnar í Laugardal. Tjónþolinn hafði undir höndum nafn hins meinta tjónvalds, en vantaði staðfestingu á því hvort viðkomandi hefði verið staddur í líkamsræktarstöðinni þann 3. maí 2010, þannig að mögulegt væri að upplýsa um orsök eignaspjallanna og til að tjónþoli gæti „gætt lögvarinna hagsmuna sinna“, sbr. heimild 7. tölul. 1. mgr. 8. gr. pvl. Starfsmenn staðfestu því við tjónþola að viðkomandi hefði notað augnskanna líkamsræktarstöðvarinnar þennan tiltekna dag. Tjónþolanum var síðan eftirlátið að draga ályktanir af þeirri upplýsingagjöf.
Þess skal getið að augnskannagrunnur umbjóðanda míns veitir takmarkaðar persónuupplýsingar. Hann staðfestir eingöngu að tiltekinn einstaklingur hafi komið við í World Class á tilteknum tíma. Af honum verður ekki ráðið hvort viðkomandi hafi nýtt sér aðstöðuna þann tiltekna dag eða hversu löng viðvera var, enda er ekki skráð í grunninn hvenær viðkomandi yfirgefur líkamsræktarstöðina. Tjónþoli fékk því einungis staðfestingu á því að viðskiptavinurinn hefði komið við í ræktinni þann 3. maí 2010. Miðlun upplýsinga var þannig sambærileg við að tjónþoli hefið spurt starfsmann um hvort hann hefði séð tjónvald í líkamsrækt og honum hefði verið svarað játandi. Slíkt er alvanalegt þegar leitast er við að upplýsa eignatjón. Í þessu ljósi verður ekki talið að ákvæði 9. gr. pvl. eigi við í máli þessu, þar sem ekki er um að ræða „viðkvæmar“ persónuupplýsingar í skilningi 8. tölul. 2. gr. laganna.
Eftirfarandi er áréttað:
1) Um mjög takmarkaðar upplýsingar var að ræða, þ.e. komustaðfestingu í líkamsrækt en ekkert annað.
2) Koma eða vera í líkamsrækt telst ekki til viðkvæmra persónuupplýsinga.
3) Upplýsingum var miðlað í þeim tilgangi að tjónþoli gæti upplýst um eignatjón sitt sem virðist hafa tekist.
Umbjóðanda mínum er umhugað um persónuvernd viðskiptavina sinna og reynir í hvítvetna að virða reglur persónuverndarlaga. Þeir hagsmunir vega hins vegar salt við aðra hagsmuni viðskiptavina, þ.e. vernd eigna þeirra á meðan líkamsrækt stendur. Regla 7. tl. 1. mgr. 8. gr. pvl. er matskennd. Starfsmenn mátu þetta tilfelli einfaldlega svo að tjónþola væri nauðsynlegt að fá umrædda staðfestingu til að upplýsa um tjón sitt. Þeir hagsmunir væru þyngri á metunum en upplýsingamiðlun, sem getur ekki talist annað en smávægileg. Eins og Persónuvernd gerir sér sjálfsagt grein fyrir getur verið erfitt að meta hve mikil miðlun persónuupplýsinga er réttlætanleg og í hvaða tilvikum, fyrir venjulegt starfsfólk sem ekki nýtur sérþekkingar á sviði persónuréttar.“
Svarbréf World Class ehf. var borið undir kvartanda með bréfi, dags. 25. ágúst sl. Í svarbréfi kvartanda, sem barst með tölvubréfi þann 7. september sl., segir:
„Til að svara liðum 1 og 2 þá bendi ég á að koma í líkamsræktarstöð telst mögulega ekki undir viðkvæmar persónuupplýsingar, en persónuupplýsingar eru það vissulega og því ber að meðhöndla þær skv. lögum sem var greinilega ekki gert í þessu tilviki. Það er að þær voru afhentar þriðja aðila án heimildar.
Varðandi lið 3 þá vil ég benda á að tjónþoli hafði allar upplýsingar um tjónvald, þ.m.t. bílnúmer og hafði fengið uppgefið nafn og kt. bíleiganda og málið var hjá lögreglu sem hafði samband við tjónvald.
Auk þess er það hlutverk lögreglu að nálgast slíkar upplýsingar ef þær liggja ekki fyrir en síst hjá einstaklingum og alls ekki hlutverk Lauga að gefa hverjum sem um biður upplýsingar um hverjir nota þeirra augnskanna.
Einnig vil ég taka fram að það er ekki starfsmanna að ákveða hverjir fá upplýsingar um þessi efni og taldi ég að réttur viðskiptavina væri mjög skýr í persónuverdarlögum og væri hafinn yfir duttlunga.“
II.
Niðurstaða Persónuverndar
1.
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Þar undir getur m.a. fallið miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, sbr. það sem fram kemur í athugasemdum í greinargerð með frumvarpi því er varð að lögum nr. 77/2000, sem og b-lið 2. gr. tilskipunar nr. 95/46/EB. Með vísan til framangreinds fellur úrlausn máls þessa undir verkefnasvið Persónuverndar.
2.
Vinnsla persónuupplýsinga er heimil ef eitthvert af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er uppfyllt. Hér kemur helst til álita ákvæði 7. töluliðar. Samkvæmt honum er vinnsla heimil ef hún er nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda beri samkvæmt lögum vegi þyngra.
Við skoðun á því hvort þessu skilyrði sé fullnægt hefur Persónuvernd litið til þess sem fram hefur komið hjá ábyrgðaraðila um lögmæta hagsmuni þriðja aðila, þ.e. tjónþola, af miðluninni, þ. á m. um nauðsynlega staðfestingu á veru kvartanda í líkamsræktarstöðinni. Þá hefur kvartandi hvorki sýnt fram á að umrædd miðlun hafi verið til þess fallin að ógna grundvallarréttindum eða frelsi hans, í skilningi 7. tölul. 1. mgr. 8. gr. laganna, né að umrædd miðlun hafi ekki farið fram í málefnalegum tilgangi.
Með vísan til framangreinds er það niðurstaða Persónuverndar að umrædd miðlun hafi farið fram svo þriðji aðili gæti gætt lögmætra hagsmuna sinna í skilningi 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og hún hafi því verið heimil. Hefur þá verið höfð hliðsjón af ákvæði 7. tölul. 1. mgr. 9. gr. um heimild til vinnslu, sem er nauðsynleg til að krafa verði afmörkuð, sett fram eða varin í dómsmáli eða vegna annarra slíkra laganauðsynja, þótt ekki sé litið svo á að hér hafi verið um viðkvæmar persónuupplýsingar að ræða.
Ú r s k u r ð a r o r ð:
Miðlun World Class á persónuupplýsingum um K til þriðja aðila, í tilefni af tjóni sem sá aðili varð fyrir á bílastæði við World Class hinn 3. maí 2010, var heimil.