Kennitöluskráning Dominos
Persónuvernd hefur svarað fyrirspurn Dominos um hvort skráning á kennitölum viðskiptavina samrýmist 10. gr. laganna. Hún telur svo geta verið þegar vara er pöntuð og greidd við afhendingu en ekki ef staðgreiðsluviðskipti er að ræða. Það á m.ö.o. ekki við þegar viðskiptavinur kemur inn á sölustað fyrirtækisins, leggur inn pöntun og borgar um leið - en fær vöruna afhenta þegar hún er tilbúin.
Svar við fyrirspurn
Hinn 18. janúar 2011 fjallaði stjórn Persónuverndar um mál nr. 2010/1020 og ákvað að veita eftirfarandi svar:
I.
Fyrirspurn Pizza Pizza ehf.
1.
Þann 15. nóvember 2010 barst Persónuvernd fyrirspurn Pizza Pizza ehf. (Dominos Pizza) um hvort skráning kennitalna viðskiptavina félagsins stæðist lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í erindinu segir m.a.:
„Þegar pizza er pöntuð hjá fyrirtækinu þá er hringt í þjónustuverið, á bakvið pöntunina er gefið upp símanúmer, pizzan er útbúin og greitt fyrir við afhendingu pizzunnar.
Fyrirtækið hefur lent í því að pizza hefur verið hrifsuð úr höndum sendla okkar og neitað að greiða fyrir, eins gerist það að pantaðar eru pizzur sem við útbúum með tilheyrandi kostnaði fyrir fyrirtækið sem eru síðan aldrei sóttar og því ekki greitt fyrir þær. Með því að halda utan um viðskiptasögu viðkomandi eingöngu á símanúmerum þá glötum við sögunni ef viðkomandi skiptir um símanúmer. Með því að halda utan um viðskipti á kennitölum þá myndum við halda viðskiptasögunni inn í okkar kerfum og kæmum þá í veg fyrir að fólk gæti endurtekið þessa háttsemi.“
2.
Með bréfi, dags. 6. desember 2010, óskaði Persónuvernd nánari svara. Bent var á að söfnun kennitalna er því aðeins heimil ef uppfyllt eru skilyrði 10. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, þ.e. að hún eigi sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu.
Með bréfi, dags. 21. desember 2010, barst Persónuvernd svarbréf K og M, hjá Deloitte, fyrir hönd Pizza Pizza ehf. Þar segir:
„Skv. 2. tl. 1. mgr. 8. gr. laga nr. 77/2000, er heimilt að afla persónuupplýsinga ef vinnslan er nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Í öllum tilfellum er það viðskiptavinur Pizza Pizza ehf. sem fer fram á viðskipti við félagið, yfirleitt með símtali og pantar vöruna án þess að greiðsla eigi sér stað. Hér er því um einstaklingsbundin viðskipti að ræða sem gerð eru af viðskiptavininum sjálfum í hvert sinn sem pöntun er gerð. Með slíkri pöntun er litið svo á að samningur og skuldbindingargildi beggja aðila sé komið á, annars vegar er það viðskiptavinurinn sem gerir sérpöntun á framleiðsluvöru fyrirtækisins sem skuldbindur sig til að afhenda hina sérútbúnu pöntun á ákveðnu tímamarki. Því er nauðsynlegt fyrir Pizza Pizza ehf., að geta bókað sérpöntunina á þá persónu sem er gagnaðili fyrirtækisins í viðskiptum.
Skv. 10. gr. laga nr. 77/2000 er notkun kennitölu heimil ef hún á sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Pizza Pizza ehf. hefur til dagsins í dag notast við símanúmer viðskiptavinar til að tryggja persónugreiningu. Þessi greining á gagnaðila viðskiptanna er ekki nægjanleg þar sem ekki liggur ljóst fyrir hver raunverulegur viðskiptavinur fyrirtækisins er. Það er einnig í viðskiptum tveggja aðila sem gerð er sérpöntun á framleiðsluvöru fyrirtækisins eðlilegt að upplýst sé hver gagnaðili viðskiptanna [sé]. Fyrirtækið leggur í kostnað áður en viðskiptavinurinn sækir sérpöntun sína eða fær hana afhenta á það heimilisfang sem hann óskar í hvert sinn. Það telst til málefnalegra[...] þátta að fyrirtækið geti brugðist við misnotkun viðskiptavinar ef svo ber undir. Þannig væri hægt að synja aðila um viðskipti t.d. ef hann hefur margoft sérpantað vöru og ekki sótt hana eða neitað að greiða án þess að kvörtun um gæði vörunnar hafi borist. Því er nú svo komið að upplýsingar um kennitölu eru nauðsynlegar til þess að upplýsinga um hver gagnaðilinn er, því aðrar aðgerðir hafa ekki reynt nægjanlega traustar og geta gefið villandi upplýsingar um viðskiptavininn og gagnast þá ekki sem skyldi sbr. framangreint.
Að endingu skal þess getið að það er ákvörðun hvers og eins viðskiptavinar hvort hann veiti upplýsingar um kennitölu sína og veitir fyrirtækinu þar með heimild til að skrá hana í viðskiptum aðila.“
II.
Svar Persónuverndar
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr.
Skráning Pizza Pizza ehf. á kennitölum viðskiptavina sinna felur í sér vinnslu persónuupplýsinga í framangreindum skilningi. Fellur mál þetta því undir gildissvið laga nr. 77/2000 og þar með leiðbeiningarhlutverk Persónuverndar, sbr. 5. tölul. 3. mgr. 37. gr. laganna.
2.
Í 10. gr. laga nr. 77/2000 er afmarkað hvenær heimilt er að nota kennitölu og hvenær ekki. Þar kemur fram að notkunin er heimil ef hún á sér málefnalegan tilgang og er nauðsynleg til að tryggja örugga persónugreiningu. Ákvæði 10. gr. er ákvæði 8. gr. til fyllingar. Ábyrgðaraðili þarf m.ö.o. bæði að uppfylla eitthvert af heimildarákvæðum 1. mgr. 8. gr. og haga vinnslu kennitalna í samræmi við 10. gr. Ákvæði 10. gr. er ætlað að hindra að kennitölur séu notaðar að óþörfu.
Ákvæðum 1. mgr. 8. gr. er t.d. fullnægt þegar það er skylt samkvæmt lögum að skrá kennitölu eða ef hinn skráði hefur samþykkt það. Í bréfi K og M, hjá Deloitte, f.h. Pizza Pizza ehf., segir að það sé „ákvörðun hvers og eins viðskiptavinar hvort hann veiti upplýsingar um kennitölu sína og veiti fyrirtækinu þar með heimild til að skrá hana í viðskiptum aðila.“ Að því tilskildu að hinn skráði samþykki vinnslu kennitölunnar telst hún því eiga sér stoð í 1. tölulið 1. mgr. 8. gr. laga nr. 77/2000.
3.
Samkvæmt 10. gr. þarf skráning kennitölu að vera nauðsynleg og þjóna málefnalegum tilgangi. Pizza Pizza ehf. hefur gefið þá skýringu að skráning kennitalna myndi fara fram til þess að fyrirtækið geti brugðist við misnotkun viðskiptavina s.s. með því að synja þeim um viðskipti sem hafa margoft sérpantað pizzur en ekki sótt þær eða neitað að greiða án þess að kvörtun um gæði vörunnar hafi borist. Hafi aðrar aðgerðir, þ.e. skráning símanúmera, ekki reynst nægja fyrirtækinu í þessu skyni. Að mati Persónuverndar er hér um málefnalegan tilgang að ræða í skilningi 10. gr. og er því skilyrði þar með fullnægt.
Skráning kennitölu þarf og að vera nauðsynleg í skilningi 10. gr. Þessu skilyrði er sjaldnast fullnægt þegar um staðgreiðsluviðskipti er að ræða en getur verið það í annars konar viðskiptum þegar ætla má að aðilar þurfi að eiga frekari samskipti s.s. vegna sérkjara um vöruskil eða reikningsgerðar. Hér er um að ræða skráningu á kennitölum þeirra sem panta pizzu. Í eðli sínu er ekki um hefðbundin staðgreiðsluviðskipti að ræða heldur viðskipti sem felast í því að pöntuð er sérútbúin vara sem ekki er greitt fyrr en hún hefur verið afhent - hún sótt eða heimsend.
Samkvæmt framangreindu er tilgangur Pizza Pizza ehf. með skráningu kennitalna málefnalegur. Þá uppfyllir skráningin það skilyrði að teljast vera fyrirtækinu nauðsynleg í skilningi ákvæðisins, að því er varðar þau viðskipti þegar vara er pöntuð og greidd við afhendingu. Það á hins vegar ekki við um þau tilvik þegar um staðgreiðsluviðskipti er að ræða, þ.e. þegar viðskiptavinur kemur inn á sölustað fyrirtækisins, leggur inn pöntun og borgar um leið - en fær vöruna afhenta þegar hún er tilbúin.
N i ð u r s t a ð a :
Skráning upplýsinga um kennitölur þeirra sem panta mat hjá Pizza Pizza ehf. getur uppfyllt skilyrði 10. gr. laga nr. 77/2000 enda sé ekki um staðgreiðsluviðskipti að ræða.