Úrlausnir

Upplýsingaréttur tengdur þátttöku í tölvuleik á netinu

13.9.2011

Maður kvartaði yfir því að CCP hefði ekki virt upplýsingarétt sinn. Persónuvernd taldi að umrædd vinnsla hafi verið CCP heimil og að fyrirtækið hefði veitt kvartanda þá vitneskju sem því bar, að virtum atvikum máls.

Úrskurður


Hinn 17. ágúst 2011 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2011/84:

I.
Málavextir og bréfaskipti


1.
Kvörtun

Persónuvernd barst erindi B (hér eftir nefndur „kvartandi“) hinn 20. janúar 2011 vegna vinnslu CCP hf. á upplýsingum um hann. Nánar tiltekið segir í erindinu að hann hafi verið verið viðskiptavinur CCP hf. vegna þátttöku sinnar í tölvuleiknum EVE Online. Fyrirtækið hafi lokað fyrir aðgang hans að leiknum en haldið áskriftargjöldum hans. Í kjölfar þess hafi hann farið fram á að sjá upplýsingar sem skráðar höfðu verið um hann en verið synjað um það. Unnt sé að persónugreina einstaka notendur í tölvukerfi fyrir umræddan tölvuleik án þess að þeir hafi verið fræddir um það og án þess að þeir geti fengið persónuupplýsingum um sig eytt.


2.
Bréfaskipti

Með bréfi, dags. 24. janúar 2011, veitti Persónuvernd CCP hf. kost á að tjá sig um framangreint erindi. Ekki barst svar og sendi Persónuvernd því fyrirtækinu ítrekun, dags. 8. mars 2011, þar sem einnig var minnt á ákvæði 18. gr. og 1. mgr. 26. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga um upplýsingarétt hins skráða og eyðingu upplýsinga. Með bréfi til Persónuverndar, dags. 15. mars 2011, greindi L lögmannsþjónusta frá því að hún færi með málið fyrir hönd fyrirtækisins. Svarað yrði svo fljótt sem unnt væri.  Með bréfi til L lögmannsþjónustu, dags. s.d., áréttaði Persónuvernd ábendingar í framangreindu bréfi, dags. 8. mars 2011, en spurði auk þess um fræðslu sem veitt væri hinum skráðu.

Persónuvernd sendi kvartanda tölvubréf, þ.e. hinn 23. mars 2011, þar sem honum var greint frá meðferð málsins.

Lögmannsstofan L sendi Persónuvernd svar með bréfi, dags. 29. mars 2011. Þar segir:

„Erindi B varðar þrjú atriði sem dregin eru fram í bréfum Persónuverndar:

(1) Að honum hafi ekki verið veittar þær upplýsingar sem hann á rétt á.
(2) Að til staðar séu persónuupplýsingar um hann hjá CCP sem eigi að eyða.
(3) Að í tölvukerfi fyrir leikinn EVE Online sé hægt að persónugreina einstaka notendur án þess að þeir verði fræddir um það.

1. Upplýsingaréttur
CCP svaraði erindi B með bréfi, dags. 29. mars 2011, í samræmi við 18. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Afrit af bréfinu til B fylgir með.

2. Eyðing upplýsinga
CCP hefur ekki eytt persónuupplýsingum um B, sem það hefur undir höndum, enda álítur félagið að málefnalegar ástæður séu til að varðveita þær, a.m.k. um sinn.
Vegna brota á notendaskilmálum, sem ekki er tilefni til að gera grein fyrir hér, var B meinaður aðgangur að EVE Online leiknum. Af erindi hans má skilja að hann telji sig eiga endurgreiðslukröfu vegna áskriftargjalda og ekki er hægt að útiloka að hann fari með þá kröfu, eða aðrar, fyrir dómstóla.
Á meðan hugsanlegt er að B láti reyna á kröfur sínar fyrir dómstólum, þá telur CCP lögvarða hagsmuni af því að geta lagt fram upplýsingar sem varða B og háttsemi hans í EVE Online leiknum. Hér ber að geta að lögskýringargögn gera sérstaklega ráð fyrir því að réttaröryggishagsmunir sem þessir geti gengið framar persónuverndarsjónarmiðum, einkum hvað eyðingu persónuupplýsinga varðar.

3. Fræðsluskylda
CCP getur persónugreint einstaka notendur tölvuleiksins EVE Online. Um það eru notendur fræddir í almennum notendaskilmálum („End User License Agreement“) sem þeir verða að samþykkja áður en þeir geta spilað leikinn.
Skilmálarnir eru aðgengilegir á heimasíðu EVE Online:
www.eveonline.com/pnp/eula.asp.
Í skilmálunum kemur fram að CCP sé félag með höfuðstöðvar í Reykjavík á Íslandi, sbr. 1. mgr. 20. gr. laganna.
Í samræmi við 2. mgr. 20. gr. laganna kemur fram í skilmálunum að tilgangur vinnslunnar sé að:
  • Hafa umsjón með tölvukerfi CCP.
  • Gera CCP kleift að eiga samskipti við notandann.
  • Fylgjast með því hvort notandinn virðir almenna notendaskilmála.
  • Safna tölfræðilegum upplýsingum sem sendar eru þriðju aðilum.
CCP lítur svo á að ekki séu fyrir hendi sérstakar aðstæður við vinnslu upplýsinganna, sem gefi tilefni til aukinnar upplýsingagjafar, sbr. 3. mgr. 20. gr. laganna.
Að auki er persónuverndarstefna CCP aðgengileg á heimasíðu EVE Online leiksins:
www.eveonline.com/pnp/privacy.asp.
Þá vill CCP benda Persónuvernd á að útbúnar hafa verið innanhússreglur um meðferð persónuupplýsinga. Efni reglnanna hefur verið kynnt þeim starfsmönnum félagsins, sem koma að vinnslu persónuupplýsinga, og mun nýir starfsmenn hljóta sambærilega fræðslu um persónuverndarmál.“

Í bréfinu til kvartanda, sem vísað er til í framangreindu bréfi L lögmannsþjónustu, segir að unnið hafi verið með upplýsingar um fæðingardag hans, nafn, tölvupóstfang, dagsetningu á stofnun aðgangs að umræddum tölvuleik, land og tímabelti, tungumál í notendaviðmóti, dag- og tímasetningu síðustu innskráningar og útskráningar, fjölda innskráninga, IP-tölu, MAC-tölu, stýrikerfi, myndkort, tegund gjörva, greiðsluaðferð, atburðaskráningu fyrir persónur í leiknum á vegum kvartanda, sendan og móttekin póst í tölvukerfi leiksins, beiðnir í leiknum og atburðaskráningu á spjallvef. Í bréfinu er einnig fjallað um (a) tilgang vinnslu; (b) hver fær upplýsingar í hendur, þ.e. þjónustuaðili CCP hf. í Þýskalandi, auk lögmanna og Persónuverndar í tengslum við meðferð máls þessa; (c) hvaðan upplýsingar eru fengnar, þ.e. annars vegar frá kvartanda sjálfum og hins vegar frá öðrum notendum sem kvartað hafa undan háttsemi hans í umræddum leik; og (d) öryggisráðstafanir við vinnsluna.

Kvartandi greindi frá því, í tölvubréfi til Persónuverndar hinn 29. mars 2011, að honum hefði borist framangreint en gerði þá athugasemd að honum væri enn meinað að fá að sjá sjálfar upplýsingarnar. Sama dag barst Persónuvernd afrit af tölvubréfi kvartanda til L lögmannsþjónustu þar sem hann fór fram á að sjá allt sem skráð hefði verið um hann.

Með bréfi, dags. 30. mars 2011, veitti Persónuvernd kvartanda færi á að tjá sig um framangreindar skýringar L lögmannsþjónustu. Hinn 2. apríl 2011 barst Persónuvernd tölvubréf frá kvartanda þar sem hann staðfesti móttöku á bréfi Persónuverndar. Þá barst Persónuvernd tölvubréf frá kvartanda hinn 12. s.m. þar sem greinir frá því að hann hafi ekki fengið að sjá umræddar upplýsingar. Þá gerði hann athugasemdir við það í tölvubréfi hinn 9. júní 2011 að hafa ekki fengið vitneskju um nöfn og heimilisföng annarra leikmanna sem kvartað höfðu undan háttsemi hans í leiknum.

Með bréfi til L lögmannsþjónustu, dags. 20. júní 2011, óskaði Persónuvernd þess að upplýst yrði hvort CCP hf. hefði orðið eða hygðist verða við beiðni kvartanda um frekari vitneskju um upplýsingar um sig en honum hafði verið veitt. L lögmannsþjónusta svaraði með bréfi, dags. 8. júlí s.á. Þar segir:

„Þann 7. júlí var frekara erindi B svarað bréflega. Einungis hluti af þeim upplýsingum, sem B fór fram á, varða hann sjálfan og er CCP ekki heimilt að láta B fá önnur gögn en hans eigin persónuupplýsingar. Þess vegna voru ekki veittar upplýsingar um „hverjir það væru sem standa á bak við kvartanirnar, s.s. nafn og heimilisfang“. Þá liggja ekki fyrir „skjöl og minnisblöð sem starfsmenn CCP hafa gert um [B]“.

Hins vegar fékk B afrit af „upplýsingum um hegðun hans (behaviour profiles) og persónulegum upplýsingum um hann „í samræmi við lög um persónuvernd.“

Með bréfi, dags. 14. júlí 2011, var kvartanda veitt færi á að tjá sig um framangreint svar L lögmannsþjónustu. Hann svaraði með tölvubréfi hinn 18. s.m. Þar gerir hann þá athugasemd að í fyrrnefndu bréfi til hans frá 7. júlí 2011, þar sem honum voru sendar upplýsingar um sig hjá CCP hf., skorti samskipti við starfsmann fyrirtækisins hinn 14. febrúar 2010 varðandi tímabundið bann frá leiknum sem hann hafði verið settur í. Einnig gerir kvartandi þá athugasemd að í þeim gögnum, sem CCP hf. hafi tekið saman vegna beiðni hans um upplýsingar um sig, sé málum þannig stillt upp að hann birtist í óhagstæðu ljósi en fyrirtækið hagstæðu. Í gögnunum séu falskar ávirðingar í hans garð og falsanir.

Í bréfaskiptum vegna máls þessa hefur einnig verið fjallað um lögmæti flutnings CCP hf. á persónuupplýsingum til landa utan EES, sbr. tölvubréf kvartanda til Persónuverndar frá 2. mars 2011, framangreint bréf Persónuverndar til L lögmannsþjónustu, dags. 20. júní 2011, fyrrnefnt svar lögmannsþjónustunnar, dags. 8. júlí s.á., og tölvubréf Persónuverndar til hennar frá 9. ágúst 2011. Ekki liggja enn fyrir nægar upplýsingar til að úrskurða um það atriði og verður það gert þegar þær liggja fyrir.


II.
Forsendur og niðurstaða

1.
Gildissvið
Afmörkun máls

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Eins og fyrr greinir varðar mál þetta m.a. lögmæti flutnings persónuupplýsinga til landa utan EES. Sem stendur verður ekki tekin afstaða þar að lútandi. Það verður hins vegar gert þegar nánari upplýsingar um flutninginn liggja fyrir. Afmarkast úrlausnarefni máls nú við lögmæti vinnslu og upplýsingarétt kvartanda.


2.
Heimildir til vinnslu persónuupplýsinga
Gæði gagna og vinnslu
Svo að vinnsla persónuupplýsinga sé heimil verður að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Samkvæmt 2. tölul. 1. mgr. 8. gr. er heimilt að vinna með persónuupplýsingar sé það nauðsynlegt til að efna samning sem hinn skráði er aðili að. Þá segir í 7. tölul. 1. mgr. 8. gr. að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.

Auk þess sem vinnsla þarf að eiga stoð í einhverju af ákvæðum 8. gr. verður hún ávallt að fullnægja öllum grunnkröfum 1. mgr. 7. gr. laganna um gæði gagna og vinnslu. Þar er m.a. mælt fyrir um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (1. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

Persónuvernd telur ekki annað fram komið en að þær upplýsingar, sem skráðar voru um kvartanda þegar á samningssambandi við hann stóð, hafi verið þess eðlis að þær megi fella undir framangreint ákvæði 2. tölul. 1. mgr. 8. gr. Af hálfu CCP hf. hefur komið fram að af samskiptum við kvartanda verði ráðið að hann telji sig eiga endurgreiðslukröfu vegna áskriftargjalda og ekki sé hægt að útiloka að hann fari með þá kröfu, eða aðrar, fyrir dómstóla. Varðveisla upplýsinganna eftir lok samningssambands sé því álitin nauðsynleg vegna mögulegs réttarágreinings við kvartanda. Á þessi rök er fallist og verður því varðveisla CCP hf. á umræddum upplýsingum nú talin eiga stoð í 7. tölul. 1. mgr. 8. gr.

Í kröfu framangreinds ákvæðis 7. gr. laga nr. 77/2000 um sanngirni við vinnslu persónuupplýsinga felst m.a. að hún sé gagnsæ, en í gagnsæi vinnslu felst m.a. að vinnsla fari ekki fram með leynd gagnvart hinum skráða. Samkvæmt kvörtun hafa notendur umrædds tölvuleiks ekki verið fræddir um að unnt sé að persónugreina þá. Þegar litið er til þess að þeir verða að gefa upp hverjir þeir séu við innskráningu, m.a. svo að unnt sé að krefja þá um greiðslur, telur Persónuvernd hins vegar ljóst að notendum megi vera ljóst að unnt sé að persónugreina þá. Verður því ekki talið að umrædd vinnsla brjóti gegn framangreindu ákvæði 1. tölul. 1. mgr. 7. gr. Þá verður ekki séð að hún brjóti gegn öðrum ákvæðum sömu greinar.


3.
Réttur til vitneskju um vinnslu
Um rétt hins skráða til vitneskju um vinnslu persónuupplýsinga um sig er fjallað í 18. gr. laga nr. 77/2000. Skylda samkvæmt ákvæðinu hvílir á ábyrgðaraðila, þ.e. þeim sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 2. tölul. 2. gr. laga nr. 77/2000, í þessu tilviki CCP hf. Nánar tiltekið segir í 18. gr. að hinn skráði eigi rétt á að fá vitneskju frá honum um (1) hvaða upplýsingar um hann er eða hefur verið unnið með; (2) tilgang vinnslunnar; (3) hver fær hefur fengið eða mun fá upplýsingar um hann; (4) hvaðan upplýsingarnar koma; og (5) hvaða öryggisráðstafanir eru viðhafðar við vinnsluna. Þá segir að veita skuli vitneskju um framangreind atriði skriflega sé þess óskað.

Fram kemur af hálfu kvartanda að hann vill vita nöfn og heimilisföng þeirra sem kvörtuðu undan háttsemi hans í umræddum tölvuleik. Í 19. gr. laga nr. 77/2000 er mælt fyrir um undantekningar frá upplýsingarétti samkvæmt 18. gr., þ. á m. þegar réttur hins skráða þykir eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra eða hans eigin. Fyrir liggur að þeir sem taka þátt í leiknum eiga þess kost að gera það undir dulnefni. Þá mega leikmenn vænta þess að athafnir þeirra á vettvangi leiksins, þ. á m. kvartanir undan háttsemi sem þeir telja brjóta gegn leikreglum, séu ekki tengdar við nafn þeirra og heimilisfang - að öðru leyti en þarf vegna reikningsgerðar o.þ.h. Með vísan til þess, og framangreinds ákvæðis 2. mgr. 19. gr., er það mat Persónuverndar að CCP hf. sé rétt að takmarka upplýsingarétt kvartanda vegna verndar annarra skráðra aðila, enda yrði að öðrum kosti að rjúfa þá nafnleynd sem félagið hefur lofað öðrum þátttakendum í leiknum.

Í framangreindu felst nánar tiltekið að almennt verður talið nægilegt að vísa til kvartana frá öðrum leikmönnum án þess að þeir séu tilgreindir frekar. Telur Persónuvernd - bæði í ljósi þessa og þeirrar vitneskju um umrædda vinnslu, sem CCP hf. hefur þegar veitt kvartanda - að félagið hafi þegar rækt skyldu sína gagnvart honum samkvæmt 18. gr. laga nr. 77/2000.



Ú r s k u r ð a r o r ð:

CCP hf. er heimil vinnsla persónuupplýsinga um B sem skráðar hafa verið vegna samningssambands við hann svo lengi sem þær eru í raun nauðsynlegar vegna mögulegs réttarágreinings. Sú vitneskja, sem CCP hf. hefur veitt honum um vinnslu persónuupplýsinga um sig, samrýmist kröfum 18. gr. laga nr. 77/2000.



Var efnið hjálplegt? Nei