Úrlausnir

Nemendaskrá

31.5.2006

Á fundi sínum þann 15. desember kvað stjórn Persónuverndar upp svofelldan úrskurð í máli nr. 2004/315.

I.
Grundvöllur málsins og bréfaskipti

Hinn 28. maí 2004 barst tölvupóstur frá H þar sem hann kvartaði yfir því að Háskóli Íslands hafi veitt Tryggingamiðstöðinni hf. aðgang að netfangaskrá sinni. Með erindi H fylgdi tölvupóstskeyti sem honum hafði borist frá Tryggingamiðstöðinni, dags. 27. maí 2004. Í erindi hans segir m.a.:

[...] Mér sýnist Háskóli Íslands hafa veitt Tryggingamiðstöðinni aðgang að netfangaskrá sinni til að senda út ruslpóst. Hef ekki séð þetta gert með þessum hætti áður, en þetta kemur svo sem ekki á óvart. Spurning hvort tilefni sé til að benda Háskólanum eða Tryggingamiðstöðinni á að þetta sé óheimilt (ef það er þá raunin), til að fyrirbyggja frekari ruslpóstsendingar?

Af þessu tilefni óskaði Persónuvernd umsagnar Nemendaskrár Háskóla Íslands, með bréfi dags. 5. júlí 2004. Þann 4. ágúst 2004 barst svarbréf frá B fyrir hönd Nemendaskrár Háskóla Íslands. Þar kemur m.a. fram að stúdentum gefist möguleiki á því að má nöfn sín af útsendingarskrá Háskóla Íslands, sbr. fyrirvari sem birtur er á bls. 17. í kennsluskrá á hverju ári. Síðan segir í bréfinu varðandi ofangreint tilvik:

Í umræddu tilviki hafði ég sjálf samband við tryggingafélögin, hvort þau hefðu áhuga að bjóða stúdentum H.Í. skráningargjaldatryggingu (sbr. forfallatryggingu flugfélaga). Þetta gerði ég í kjölfar þeirra[r] ákvörðunar Háskólaráðs um að skráningargjald stúdenta yrði óendurkræft. Þetta var gert með hagsmuni stúdenta í huga. Eitt tryggingafélaganna brást við og ég afhenti þeim netfangalista stúdenta svo þeir gætu sent þeim bréf varðandi tilboð um þessa tryggingu. Það var umtalað að listanum yrði eytt að notkun lokinni.

Kvartanda var boðið að tjá sig um ofangreint svarbréf, sbr. bréf dags. 10. ágúst 2004 en engar frekari athugasemdir bárust.

II.
Forsendur og niðurstöður

Í máli þessu liggur fyrir að þær upplýsingar sem Háskóli Íslands miðlaði í umrætt sinn voru notaðar til beinnar markaðssetningar, þ.e. til beinnar sóknar að einstaklingum í því skyni að selja þeim vöru eða þjónustu. Hér kemur því til skoðunar hvort Háskóla Íslands hafi verið heimilt að afhenda Tryggingamiðstöðinni hf. netfangalista stúdenta í umrætt sinn.

1.
Gildissvið laga nr. 77/2000

Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga. Persónuupplýsingar í skilningi laga nr. 77/2000 teljast sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, skv. 1. tl. 2. gr. laganna. Upplýsingar um netfang teljast vera persónuupplýsingar í skilningi laganna. Hugtakið "vinnsla" er skilgreint í 2. tl. 2. gr. laganna sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn. Með vísan til b-liðar 2. gr. tilskipunar nr. 95/46/EB og athugasemda í greinargerð með frumvarpi því er varð síðar að lögum nr. 77/2000 er miðlun persónuupplýsinga talin falla undir hugtakið vinnslu. Af framangreindu er ljóst að hér er um að ræða vinnslu persónuupplýsinga í skilningi laga nr. 77/2000.

Samkvæmt 4. tl. 2. gr. laga nr. 77/2000 telst ábyrgðaraðili sá sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Háskóli Íslands heldur utan um nemendaskrá, þar sem m.a. er að finna upplýsingar um netföng nemenda. Hann telst því ábyrgðaraðili skárinnar skv. 4. tl. 2. gr. laga nr. 77/2000.

2.
Lögmæti vinnslunnar

Af framangreindu er ljóst að miðlun upplýsinga úr nemendaskrá telst vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Öll vinnsla persónuupplýsinga verður að hafa heimild í 1. mgr. 8. gr. laga nr. 77/2000. Helst kemur til álita að fella ofangreinda vinnslu undir 7. tl. 1. mgr. 8. gr. laga nr. 77/2000. Ákvæðið mælir fyrir um að vinnsla persónuupplýsinga sé heimil ef hún teljist nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Skilyrðið um lögmæta hagsmuni í framangreindu ákvæði hefur verið túlkað þannig að undir það geti fallið hagsmunir aðila sem hyggst nota persónuupplýsingar við beina markaðssetningu.

Um það tilvik sem hér um ræðir ber hins vegar og að líta til sérákvæðis 28. gr. laga nr. 77/2000, með áorðnum breytingum. Þar er fjallað um andmælarétt hins skráða og um bannskrá Hagstofunnar. Í 5. mgr. er að finna sérstakt ákvæði um heimildir til að afhenda félaga-, starfsmanna- eða viðskiptamannaskrár til nota í tengslum við markaðssetningarstarfsemi. Þótt nemendaskráa sé ekki getið í framangreindu ákvæði er ljóst að í vissum tilvikum eru þær í eðli sínu fyllilega sambærilegar við t.d. starfsmannaskrár, einkum þegar um er að ræða skrár yfir nemendur á háskólastigi. Hefur Persónuvernd ákveðið að líta svo á að nemendaskrá Háskóla Íslands falli eðli sínu samkvæmt undir framangreint ákvæði.

Miðlun samkvæmt framangreindu ákvæði er hins vegar háð ýmsum skilyrðum. Þau eru þessi

1. ekki teljist vera um afhendingu viðkvæmra persónuupplýsinga að ræða,
2. hinum skráða hafi, áður en afhending fer fram, verið gefinn kostur á að andmæla því, hverjum fyrir sitt leyti, að upplýsingar um viðkomandi birtist á hinni afhentu skrá,
3. slíkt fari ekki gegn reglum eða samþykktum viðkomandi félags,
4. ábyrgðaraðili kanni hvort einhver hinna skráðu hefur komið andmælum á framfæri við Hagstofuna, sbr. 2. mgr., og eyðir upplýsingum um viðkomandi áður en hann lætur skrána af hendi.

Í því máli sem hér um ræðir kemur einkum til skoðunar hvort ákvæði 2. tl. 5. mgr. 28. gr. laga nr. 77/2000 teljist uppfyllt, þ.e. hvort kvartanda hafi í umrætt sinn verið gefinn kostur á því að andmæla miðlun upplýsinga um netfang sitt áður en afhending fór fram.

Framangreint ákvæði 28. gr. laga nr. 77/2000 lögtekur ákvæði 14. gr. tilskipunar Evrópusambandsins nr. 95/46 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Ákvæði b-liðar 14. gr. tilskipunarinnar hljóðar svo:

Aðildarríkin skulu veita skráðum aðila rétt til að andmæla, með beiðni og sér að kostnaðarlausu, vinnslu persónuupplýsinga um sig sem ábyrgðaraðili fyrirhugar vegna beinnar markaðssetningar, eða rétt til að honum sé skýrt frá því áður en persónuupplýsingarnar eru fyrst fengnar þriðja aðila eða notaðar fyrir þeirra hönd vegna beinnar markaðssetningar og að fá skýrt tilboð um að nýta rétt sinn til að andmæla slíkri miðlun eða notkun, sér að kostnaðarlausu.

Í niðurlagi 14. gr. segir síðan að aðildarríkin skuli gera nauðsynlegar ráðstafanir til að tryggja að skráðir aðilar hafi vitneskju um réttinn sem um getur í fyrsta undirlið b-liðar.

Í gögnum málsins hefur komið fram að á bls. 17 í kennsluskrá Háskóla Íslands er birtur fyrirvari sem gefur stúdentum kost á að fá nöfn sín máð af útsendingarskrá Nemendaskrá Háskóla Íslands þegar hún er notuð samkvæmt sérstöku leyfi af öðrum en Háskóla Íslands. Í ákvæði 2. tl. 5. mgr. 28. gr. laga nr. 77/2000 segir að áður en afhending slíkra skráa fer fram, verði hinum skráðu að hafa verið gefinn kostur á að andmæla því, hverjum fyrir sitt leyti, að upplýsingar um viðkomandi birtist á hinni afhentu skrá. Í ljósi þess að hér er um undanþáguákvæði að ræða, sem túlka ber þröngt, verður ekki á það fallist að ofangreind birting á bls. 17. í kennsluskrá Háskóla Íslands fullnægi 2. tl. 5. mgr. 28. gr. laga nr. 77/2000. Er þá m.a litið til þess að framangreindum tölulið var ætlað að lögtaka ákvæði b-liðar 14. gr. í tilskipun Evrópusambandsins nr. 95/46 sem mælir fyrir um að hinum skráða sé fengið skýrt tilboð um að nýta rétt sinn til andmæla áður en persónuupplýsingar eru fengnar þriðja aðila vegna beinnar markaðssetningar. Í framhaldinu vill Persónuvernd, með hliðsjón af ofangreindum ákvæðum og einnig með hliðsjón af 7. gr. laga nr. 77/2000, sbr. einkum 1. og 2. tl. 1. mgr. 7. gr., benda Háskóla Íslands á að viðhafa mun skýrari aðferð við að uppfylla framangreint ákvæði en þá að birta umræddan fyrirvara í kennsluskrá ár hvert. Slík má t.d. auðveldlega gera með því að hafa fyrirvara um andmælarétt á umsóknareyðublaði eða með því að senda nemendum, með tölvupósti einu sinni á ári, ábendingu um með hvaða hætti þeir geti komið í veg fyrir að netföng þeirra séu á þeim skrám sem Nemendaskrá Háskóla Íslands lætur öðrum í té til nota í tengslum við markaðssetningarstarfsemi.

Úrskurðarorð

Háskóla Íslands var óheimil miðlun netfangaskráar til Tryggingamiðstöðvarinnar hf. í umrætt sinn.



Var efnið hjálplegt? Nei