Markaðssetningarherferð Kreditkorta

13.9.2011

EFNI:
Svar við bréfi Neytendasamtakanna, dags. 8. júní 2011

1.
Erindi Neytendasamtakanna

Persónuvernd vísar til bréfs Neytendasamtakanna, dags. 8. júní 2011, vegna markaðssetningar American Express kreditkorta. Þar segir:

„Neytendasamtökin hafa veitt athygli því „vinakerfi“ sem Kreditkort bjóða upp á í tengslum við American Express kreditkorta. Í kerfinu felst að viðskiptamaður Kreditkorta sem er með American Express kort, er boðið upp á að benda á vini sína og fá þannig vildarpunkta sem „þakklætisvott“. Viðskiptamaðurinn skráir inn nafn og netfang vinar síns á heimasíðu Kreditkorta og vinurinn fær í kjölfarið sendan tölvupóst frá Kreditkortum, en í nafni viðskiptamannsins, þar sem kynnt er fyrir vininum möguleiki á að sækja um American Express kort. Ef vinurinn sækir um American Express kort þá fær sá sem benti á vininn vildarpunkta og fer fjöldi þeirra eftir því hvaða kort vinurinn sækir um.
Upplýsingar um kerfið er að finna á www.americanexpress.is.
Neytendasamtökin telja ofangreinda markaðssetningu vafasama og kunna að brjóta gegn ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Í 1. tl. 2. gr. kemur fram að persónuupplýsingar séu sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Samtökin telja að netföng falli undir skilgreininguna þar sem netfang má rekja til tiltekins einstaklings og teljist því persónuupplýsingar.
Með vinnslu persónuupplýsinga er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða sjálfvirk, sbr. 2. tl. 2. gr.  Telja verður að í því felist vinnsla þegar tiltekið netfang er slegið inn og í kjölfarið sendur tölvupóstur á netfangið. Einnig verður að telja að vinnslan sé af hálfu Kreditkorta þar sem hvatt er til þess á heimasíðu félagsins að einstaklingar gefi upp netföng annarra og í kjölfarið er sendur tölvupóstur af vefsíðu Kreditkorta í það netfang sem slegið var inn. Þessa tilhögun verður að telja vinnslu í skilningi laganna og Kreditkort ábyrgðaraðila fyrir vinnslunni, sbr. 4. tl. 2. gr. Hér þarf einnig að hafa í huga að persónuupplýsingarnar eru gefnar upp að tilstuðlan Kreditkorta og vinnslan í kjölfarið eftir ákvörðun fyrirtækisins.
Í 8. gr. kemur síðan fram að vinnsla persónuupplýsinga sé því aðeins heimil að einhverjir þeir þættir sem taldir eru upp í ákvæðinu séu fyrir hendi. Samtökin telja umrædda vinnslu ekki geta fallið undir neitt af því sem talið er upp í ákvæðinu.  Sérstaklega má taka fram að samtökin telja vinnsluna ekki geta fallið undir 2. tl. ákvæðisins þar sem hinn skráði í þessu tilfelli er ekki aðili samnings og ekki er verið að gera ráðstafanir að beiðni hins skráða fyrir gerð samnings, þar sem það er þriðji aðili sem veitir umræddar persónuupplýsingar eftir hvatningu Kreditkorta, og hvergi kemur því fram beiðni hins skráða á þessu stigi ferlisins. Einnig er ljóst að hinn skráði hefur ekki veitt ótvírætt samþykki sitt fyrir vinnslunni enda veit hann ekki af henni fyrr en hann fær sendan tölvupóst frá Kreditkortum.
Neytendasamtökin óska því góðfúslega eftir því að Persónuvernd taki til skoðunar hvort ofangreind vinnsla persónuupplýsinga sé í samræmi við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.“

2.
Skýringar Kreditkorta hf.

Persónuvernd sendi Kreditkortum hf. bréf, dags. 21. júlí 2011. Í fyrsta lagi óskaði hún svara um hvernig farið er með þær persónuupplýsingar sem safnast við umrædda markaðsetningu, þ. á m. um varðveislu upplýsinga um þá viðskiptavini Kreditkorta hf. sem benda á vini sína og um þá vini sem bent er á. Í öðru lagi var spurt um þá fræðslu sem veitt er. Í þriðja lagi var spurt um vinnslu með kennitölur.

Í svarbréfi Kreditkorta hf, dags. 4. ágúst 2011, segir m.a.

„[...]
1) Með hvaða hætti er farið með þær persónuupplýsingar sem safnast:
Vefumsjónarkerfið Eplica, sem rekið og hýst er af Hugsmiðjunni ehf. og heldur utan um vefkerfi Kreditkorts, skráir niður tölvupóstfang og nafn þess sem bent er á í þeim tilgangi að senda tölvupóst sjálfkrafa til viðkomandi um að vinur hafi bent honum á að kynna sér American Express kortið. Sá sem bendir á er í sjálfsvald sett hvort hann skrifar skilaboð til vinarins eða notar þau skilaboð sem tölvupósturinn býður upp á.
[...] Á um það bil 3ja vikna fresti ber starfsmaður í markaðsdeild Kreditkorts saman tölvupóstföngin sem skráðst hafa í gegnum „Vinur minn er vinur þinn“ ábendingarkerfið við tölvupóstföng nýrra korthafa. Það er gert í þeim tilgangi að mögulegt sé að leggja inn tilheyrandi fjölda Vildarpunkta á korthafann (ábendiaðilann) ef vinurinn sótti sannanlega um American Expess kort og fékk kortið samþykkt af umsóknardeild Kreditkorts. Upplýsingarnar eru varðveittar í vefumsjónarkerfinu og eru einungis notaðar til að bera saman ábent netföng við netföng nýrra American Express korthafa.

Eru varðveittar upplýsingar bæði um það hverjir senda vinum slík skilaboð og hvaða vinir fá þau:
Upplýsingar varðveitast í Eplicu bæði um American Express korthafa sem ábendendur og eins hvaða aðila bent var á (einungis nafn og tölvupóstfang). Að öðru leyti eru nöfn og netföng þeirra sem bent er á ekki notuð í neinum öðrum markaðslegum tilgangi. Ábendandi þarf ekki að skrá inn fullt nafn né heldur rétt tölvupóstfang hjá vini sínum, en hans hagur er að okkar mati að ábendingin skili sér á réttan stað. [...]
Hafandi 5. lið 7. grein laga nr. 77/2000 til hliðsjónar (sem kveður á um að persónuupplýsingar „...séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu“,) telur Kreditkort sig knúið til að varðveita gögin í allt að ári frá ábendingu, annars vegar til að finna samsvörun á milli þeirra sem sóttu um og fengu American Express kort og þeirra sem bentu á vini í gegnum ábendingarkerfið og vinur sótti um eftir fyrstu þrjá mánuðina. Eins telur Kreditkort að mikilvægt sé að möguleiki sé fyrir hendi að hægt sé að sannreyna ábendingar ef upp koma kvartanir frá ábendanda t.d. að Vildarpunktar hafi ekki skilað sér sem skyldi.  [...]

Ef þær eru varðveittar er þess óskað að fram komi með hvaða hætti þeim sé ráðstafað:
Þar sem enn er innan við ár síðan markaðsaðgerðin „Vinur þinn er vinur okkar“ fór af stað eru til staðar skráðar upplýsingar um ábent tölvupóstföng í Eplica kerfinu. Þegar ár er liðið verður þessum gögnum eytt. Mikilvægt er fyrir Kreditkort að geyma þessar upplýsingar í 12 mánuði frá því að ábendiaðili sendir vini tölvupóst til að geta sannreynt ábendingar ef upp koma ágreiningsmál.

2) Hvaða fræðslu fá einstaklingar sem nota vinakerfið?
Gagnvart korthöfum okkar kveða viðskiptaskilmálarnir skýrt á um hvernig samskiptum okkar við þá er háttað og samþykkir hann skilmálana við umsókn kortsins.
II.3 Korthafi veitir Kreditkorti hf. heimild til þess að senda SMS, MMS, tölvupóst eða önnur rafræn skilaboð að hámarki 3 sinnum í mánuði um tilboð, afslætti eða sérkjör frá Kreditkorti hf. eða samstarfsaðilum. Korthafi veitir Kreditkorti hf. heimild til að senda korthafa skilaboð er varðar notkun kortsins eða tilkynningar um breytingu á skilmálum kortsins. Korthafi getur valið um að afskrá sig af póstlita Kreditkorts. [...]
Korthafar okkar fá að vita um „vinur þinn er vinur okkar“ ábendingarkerfið í gegnum beinan tölvupóst á okkar viðskiptavini en þeir geta svo einnig farið sjálfir inn á síðuna í gegnum forsíðu ww.americanexperss.is. Ekki eru keyptir utanaðkomandi markhópalistar heldur einungis sent á okkar núverandi American Express korthafa sem allir hafa undirgengist ofangreinda skilmála.  [...]

Eftirfarandi texta fær sá sem korthafi bendir á ef ábendandinn kýs ekki að skrifa persónulega skilaboð:
Subject (fyrirsögn): [nafn sendanda] vill kynna fyrir þér frábæra leið að safna Vildarpunktum
Kæri vinur,
Mig langar að kynna fyrir þér alveg frábært kreditkort, Icelandair American Express - Kortið sem kemur þér út.
Þetta er eina kortið á Íslandi sem gefur þér Vildarpunkta Icelandair af allri veltu, bæði hér heima og í útlöndum og meira að segja af öllum viðskiptum á netinu. Þannig getur þú komist til útlanda á aðeins 14 mánuðum, báðar leiðir, og átt auk þess möguleika á Félagamiða sem gerir þér kleyft að bjóða vini þínum með þér.
Því fyrr sem þú sækir um, því fyrr byrjar þú að safna punktum.
Ég mæli svo sannarlega með þessu korti - enda er ég með eitt!
Bestu kveðjur,
þinn vinur

Möguleiki er fyrir ábendandann að breyta ofangreindum texta og skrifa persónuleg skilaboð til vinarins. Ábendendum, sem eru korthafar Kreditkorts, er að okkar mati frjálst að gefa upp og senda tölvupóst á vini og kunningja. Eins er viðtakanda eða þeim sem bent er á, frjálst að sækja um American Express kortið sannfærist hann um kosti þess, því eftir sem áður þarf umsækjandinn að fara í gegnum stíft umsóknarferli til að vera samþykktur sem korthafi. Ábendandinn fær ekki umrædda Vildarpunkta hjá Kreditkorti fyrr en sá sem bent er á hefur sótt um og fengið umsóknina samþykkta og greiðir fullt árgjald. Það er því enginn hagur fyrir ábendanda að senda vinum og vandamönnum gegndarlausa tölvupósta í allar áttir.

3) Ef kennitölur einstaklinga sem nota kerfið eru skráð er skýringa óskað í ljósi 10. gr. laga nr. 77/2000
[...] Korthafi okkar skráir kennitölu sína í ábendingakerfi „Vinur þinn er vinur okkar“. Þannig er hægt að bera kennsl á hann til að leggja inn Vildarpunktana þegar einstaklingur eða einstaklingar sækja um kreditkort og fær/fá umsóknina samþykkta. Kreditkort hefur enga vitneskju um kennitölu aðilans sem bent er á.
Kreditkort telur, þegar lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga eru skoðuð, að ekki sé gerður neinn greinamunur á venjulegum tölvupóstsamskiptum annars vegar og samskiptum í gegnum samfélagsmiðla hins vegar. Í tilfelli „vinur þinn er vinur okkar“ hýsir Kreditkort einungis umgjörðina en korthafar okkar hafa svo frumkvæði að því sjálfir að senda tölvupóstinn á vini og kunningja og fær því í raun ekki „umbun“ fyrr en sá sem bent var á hefur sótt um American Express kort, fengið það samþykkt og greitt árgjaldið.“

3.
Svar Persónuverndar

Fyrir liggur að Kreditkort hf. bjóða á vef sínum upp á tiltekna tegund fjarskiptaþjónustu. Menn geta skráð sig inn á vefinn, opnað þar sérstakan tengil - sem ber heitið „vinur þinn er vinur okkar“ - og sent þaðan tölvupósta. Menn geta samið og sent eigin texta og skilaboð en geri þeir það ekki fær viðtakandinn staðlaðan texta með upplýsingum um American Express kort. Upplýsingar um nöfn og netföng, bæði sendenda og viðtakenda, eru varðveittar hjá félaginu í eitt ár. Félagið ber skráð netföng saman við tölvupóstföng nýrra korthafa til að vita hvaða ábendingar / tölvupóstar hafa leitt til þess að nýjir aðilar hafa fengið slíkt greiðslukort. Kennitölur þeirra sem senda tölvupósta, með notkun þjónustunnar, eru skráðar til að tryggja að þeim berist vildarpunktar í samræmi við loforð félagsins.

3.1.
Í 46. gr. laga um fjarskipti nr. 81/2003 er bann við notkun sjálfvirkra uppkallskerfa - símbréfa, tölvupósts o.þ.h. - fyrir beina markaðssetningu nema ef áskrifandi hefur áður veitt samþykki sitt fyrir því. Ákvæðið hljóðar svo:

46. gr. Óumbeðin fjarskipti.
Notkun sjálfvirkra uppkallskerfa, símbréfa eða tölvupósts, [þ.m.t. hvers konar rafrænna skilaboða (SMS og MMS)], fyrir beina markaðssetningu er einungis heimil þegar áskrifandi hefur veitt samþykki sitt fyrir fram.
Þrátt fyrir ákvæði 1. mgr. er heimilt að nota tölvupóstfang við sölu á vörum eða þjónustu fyrir beina markaðssetningu á eigin vörum eða þjónustu ef viðskiptavinum er gefinn kostur á að andmæla slíkri notkun tölvupóstfanga þeim að kostnaðarlausu þegar skráning á sér stað og sömuleiðis í hvert sinn sem skilaboð eru send hafi viðskiptavinurinn ekki þegar í upphafi hafnað slíkri notkun.
Að öðru leyti en mælt er fyrir í 1. og 2. mgr. eru óumbeðin fjarskipti í formi beinnar markaðssetningar óheimil til þeirra áskrifenda sem óska ekki eftir að taka á móti þeim.
Óheimilt er að senda tölvupóst sem þátt í beinni markaðssetningu þar sem nafn og heimilisfang þess sem stendur að markaðssetningu kemur ekki skýrt fram.
[Þeir sem nota almenna tal- og farsímaþjónustu sem lið í markaðssetningu skulu virða merkingu í símaskrá sem gefur til kynna að viðkomandi áskrifandi vilji ekki slíkar símhringingar í símanúmer sitt. Áskrifandi á rétt á að fá vitneskju um hvaðan þær upplýsingar koma sem liggja úthringingu til grundvallar.]

Með vísun til 1. mgr. 7. gr. stjórnsýslulaga nr. 37/1993 er bent á að Póst- og fjarskiptastofnun hefur umsjón með fjarskiptum innan lögsögu íslenska ríkisins og hefur eftirlit með framkvæmd laga um fjarskipti nr. 81/2003.

3.2.
Að virtu efni máls þessa - og skörunar við valdmörk við Póst- og fjarskiptastofnun - er máli þessu vísað frá.