Skráning kennitölu hjá BYKO heimil
Persónuvernd hefur úrskurðað í máli manns sem kvartaði yfir að þurfa að gefa upp kennitölu hjá byggingarvöruverslun þegar hann verslaði fyrir vinnuveitanda sinn. Hafði vinnuveitandinn farið fram á að allir sem tækju út vörur í reikning á hans nafni sönnuðu á sér deili. Var það niðurstaða Persónuverndar að öflun og skráning kennitölu í þeim tilgangi hafi verið nauðsynleg og farið fram í málefnalegum tilgangi.
Úrskurður
Hinn 7. apríl 2011 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2011/122:
I.
Grundvöllur máls
og bréfaskipti
Þann 31. janúar 2011 barst Persónuvernd kvörtun S vegna þess að þegar
hann verslaði fyrir atvinnurekanda sinni hjá Norvík hf. (í Byko verslun)
var gerð krafa um skráningu á kennitölu hans.
Með bréfi, dags. 4. febrúar 2011, tilkynnti Persónuvernd ábyrgðaraðila
um kvörtunina og bauð honum að koma sínum sjónarmiðum á framfæri. Bréf
Persónuverndar var ítrekað, dags. 17. mars 2011. Svar barst með bréfi
deildarstjóra innheimtu- og reikningsviðskipta Norvíkur hf., dags. 23.
febrúar 2011. Þar segir m.a.:
„Ástæða þess að viðkomandi er beðinn um kennitölu er sú að
atvinnurekandi viðkomandi aðila hefur farið fram á það við BYKO að allir
þeir sem taki vörur út í reikning á hans vegum séu beðnir um kennitölu
og við það skráist nafn og kennitala úttektaraðila á reikninginn. Þetta
gerir atvinnurekandinn í þeim tilgangi að tryggja skilvirka eftirfylgni
með reikningum og einnig til þess að úttektarreikningurinn sé eingöngu
notaður af þar til bærum aðilum.
Samhliða því að biðja um kennitölu úttektaraðila á starfsmaður BYKO að biðja viðkomandi um skilríki en það er vinnuregla BYKO.“
Með bréfi, dags. 28. mars 2011, var kvartanda boðið að tjá sig um framangreind svar. Engar athugasemdir bárust.
II.
Forsendur og niðurstaða
1.
Gildissvið laga og skilgreining hugtaka
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga. Hugtakið persónuupplýsingar
er skilgreint sem sérhverjar persónugreindar eða persónugreinanlegar
upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má
rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla á
við um sérhverja aðgerð eða röð aðgerða þar sem unnið er með
persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn,
sbr. 2. tölul. 2. gr. laga nr. 77/2000. Með vinnslu er t.d. átt við
söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla,
breyting, leit, miðlun, samtenging eða hver sú aðferð sem nota má til að
gera upplýsingar tiltækar, sbr. athugasemdir við frumvarp það er varð
síðar að lögum nr. 77/2000.
Skráning Norvíkur hf. (hjá Byko) á kennitölum einstaklinga sem eru í
viðskiptum við félagið, og eftir atvikum þeirra sem koma fram fyrir
þeirra hönd, er vinnsla persónuupplýsinga í framangreindum skilningi.
Fellur mál þetta því undir valdsvið Persónuverndar, sbr. 37. gr. laga
nr. 77/2000.
2.
Lögmæti vinnslunnar
Í 10. gr. laga nr. 77/2000 er afmarkað hvenær heimilt er að nota
kennitölu og hvenær ekki. Þar kemur fram að notkunin er heimil ef hún á
sér málefnalegan tilgang og er nauðsynleg til að tryggja örugga
persónugreiningu. Ákvæði 10. gr. er ákvæði 8. gr. til fyllingar. Ábyrgðaraðili
þarf m.ö.o. bæði að uppfylla eitthvert af heimildarákvæðum 1. mgr. 8.
gr. og haga vinnslu kennitalna í samræmi við 10. gr. laganna.
Í 3. tölul. 1. mgr. 8. gr. segir að vinnsla sé heimil sé hún nauðsynleg
til að efna samning sem hinn skráði er aðili að eða til að gera
ráðstafanir að hans beiðni áður en samningur er gerður. Hér undir fellur
sú vinnsla sem ábyrgðaraðili þarf að framkvæma í þágu viðskiptanna,
þ.e. til að þau geti farið löglega fram. Hér er einkum átt við vinnslu
með almennar upplýsingar, s.s. nafn viðsemjanda og kennitölu og önnur
þau atriði sem almennt koma fram við reikningagerð. Skilyrðið um að hinn
skráði sé sjálfur aðili þess samnings sem um er að ræða ber að skilja
með sama hætti og endranær í lögskiptum manna, þ. á m. í ljósi ákvæða
II. kafla laga nr. 7/1936 um samningsgerð, umboð og ógilda löggerninga,
með áorðnum breytingum, og almennra óskráðra reglna um umboðsmennsku,
erindisrekstur og heimildir til að skuldbinda aðra menn við samninga.
Samkvæmt þessu er það mat Persónuverndar að framangreindu skilyrði 3.
töluliðar 1. mgr. 8. gr. hafi verið fullnægt að því er varðar skráningu á
kennitölu S þegar hann tók út vörur fyrir hönd atvinnurekanda síns.
Skráning á kennitölu þarf einnig að uppfylla skilyrði 10. gr. laga nr.
77/2000 um að vera nauðsynleg og þjóna málefnalegum tilgangi. Af hálfu
Norvíkur hf. vegna Byko hefur komið fram að kennitala kvartanda hafi
verið skráð vegna þess að atvinnurekandi hans, sá sem er í viðskiptum
við Norvík/Byko, hafi farið fram á það. Séu allir sem taki vörur út í
reikning á hans vegum beðnir um kennitölu. Hann hafi sett það skilyrði
að þeir sem taki út vörur í reikning á hans nafni sanni á sér deili til
að tryggja skilvirka eftirfylgni með reikningum og til þess að
úttektarreikningurinn sé eingöngu notaður af þar til bærum aðilum. Af
framangreindum skýringum leiðir að skráning kennitölunnar var nauðsynleg
að mati Persónuverndar og fór fram í málefnalegum tilgangi. Voru því
einnig uppfyllt skilyrði 10. gr. laganna fyrir umræddri skráningu á
kennitölu S.
Ú r s k u r ð a r o r ð:
Vinnsla Norvíkur hf. á kennitölu kvartanda, S, var heimil.