Fjárhagsupplýsingar sendar á opið póstfang - mál nr. 2012/983

27.2.2013

Ákvörðun

Hinn 25. janúar 2013 tók Persónuvernd eftirfarandi ákvörðun í máli nr. 2012/983:




I.
Grundvöllur máls
Málavextir og bréfaskipti

Þann 29. ágúst 2012 barst Persónuvernd erindi frá Egilsson ehf. varðandi miðlun persónuupplýsinga frá Lögfræðistofu Suðurnesja. Þeim var miðlað með tölvupósti sem innihélt upplýsingar um einstaklinga sem sótt höfðu um greiðsluaðlögun. Þar segir m.a.:

„Fyrirtæki okkar var að berast þessi póstur frá lögfræðistofu. Er allt í lagi að senda svona póst um einkalíf og persónulega hagi fólks til Jóns Jónssonar út í bæ? Þessi póstur er sendur á tölvupóstföng sem í fyrirtækjum eru skoðaðir af flestum ef ekki öllum starfsmönnum. T.d. fengum við þetta tvisvar bæði á sala[hjá]a4.is og egilsson[hjá]egilsson.is. Er ekki aðferðin í svona málum að senda á starfsmenn sem hafa með málið að gera en ekki alla starfsmenn viðkomandi fyrirtækis.“

Þann 24. október sendi Persónuvernd Lögfræðistofu Suðurnesja bréf og óskaði skýringa. Lögfræðistofan svaraði með bréfi, dags. 9. nóvember 2012. Þar segir m.a.:

„[...]Umsjónarmenn hafa valið þá leið að senda frumvörp til kröfuhafa með tölvupósti og er það viðtekin venja í greiðsluaðlögunarmálum. Til að auðvelda vinnslu hafa stærstu kröfuhafarnir útbúið sérstök netföng fyrir móttöku greiðsluaðlögunarfrumvarpa. Lögfræðistofan hefur notast við slík netföng við útsendingu greiðsluaðlögunarfrumvarpa auk þess að hafa leitast við að senda tölvupósta á ákveðin netföng eða netföng ákveðinna starfsmanna innan viðkomandi fyrirtækis. Allajafna er ákveðinn starfsmaður sem ber ábyrgð á og hefur umsjón með slíkum netföngum og áframsendir tölvupósta á einstaka starfsmenn eftir því sem við á. Við á lögfræðistofunni höfum gengið út frá því að sá háttur sé á hjá þeim kröfumhöfum sem okkur hefur borið að senda greiðsluaðlögunarfrumvörp. Við þetta má bæta að starfsfólk lögfræðistofunnar hafði ástæðu til að ætla að sú framkvæmd sem hér hefur verið lýst væri almennt viðurkennd enda hefur hún tíðkast í málum sem þessum.

Það kom starfsfólki lögfræðistofunnar í opna skjöldu að almenn netföng væru í einhverjum tilfellum opin öllum starfsmönnum viðkomandi fyrirtækis enda verður það að teljast óábyrgt og óeðlilegt af hálfu þess. Það skal tekið fram að í kjölfar ábendingar dags. 29. ágúst 2012 hefur starfsfólk lögfræðisofunnar leitast við að hafa samaband við kröfuhafa til að fá uppgefið sérstakt netfang eða netfang sérstaks starfsmanns þegar þannig stendur á að viðkomandi kröfuhafi er ekki með sérstakt netfang til móttöku greiðsluaðlögunarfrumvarpa.

Að því sögðu verður þó talið að sending greiðsluaðlögunarfrumvarps á viðkomandi netföng hafi samræmst áskilnaði 1. mgr. 11. gr. laga nr. 77/2000 og skulu hér sundurliðaðar ástæður þess. Í fyrsta lagi er í titli tölvupóstsins sérstaklega tilgreint að hann innihaldi frumvarp til greiðsluaðlögunar og ætti það að gefa starfsmanni sem ekki hefur heimild til að skoða innihald hans skýrt til kynna að um sé að ræða póst sem hann hefur ekki heimild til að opna. Í öðru lagi þá kemur fram í tölvupóstinum sjálfur fyrirvari um að ef sá er móttekur póstinn er réttur viðtakandi þá beri honum að láta umsjónarmann vita eða áframsenda hann á réttan viðtakanda ef hann er honum kunnur. Að auki fylgir eftirfarandi staðlaður fyrirvari öllum tölvupóstum sem fara frá lögfræðistofunni: „Vinsamlegast athugið að þessi tölvupóstur og viðhengi hans eru eingöngu ætluð þeim sem tölvupósturinn er stílaður á og gæti hann innihaldið upplýsingar sem eru trúnaðarmál. Ef viðtakandi þessa tölvupósts er ekki sá sem hann er stílaður á, er viðkomandi vinsamlegast beðinn um að tilkynna sendanda það, eins og lög segja til um, og eyða tölvupóstinum ásamt viðhengjum hans án þess að afrita, dreifa til þriðja aðila eða notfæra sér á annan hátt. Sé efni þessa tölvupósts og viðhengja ótengt starfsemi LS Legal ehf., LS Finance ehf. eða LS Credit ehf. er sendandi einn ábyrgur. Óheimil notkun getur varðað bótaábyrgð og refsingu.“ Í þriðja lagi er vert að hafa í huga að viðkomandi frumvarp auk greiðsluáætlunar er sent sem viðhengi viðkomandi tölvupósts svo að jafnvel þó starfsmaður slysist til að opna slíkan tölvupóst í leyfisleysi þá blasa viðkomandi persónuupplýsingar ekki við þá þegar heldur þarf sérstakan ásetning starfsmanns til þess að nálgast þær. Að auki má benda á í þessu tilliti að sú aðferð sem hér hefur verið lýst er vafalaust öruggari með tilliti til persónuverndar og áskilnað 1. mgr. 11. gr. laga nr. 77/2000 en venjulegur bréfpóstur en líta má svo á að almennt netfang fyrirtækis jafngildi heimilisfangi þess á þeim tímum er við lifum í dag.“

Með bréfi, dags. 20. janúar 2013, voru svör Lögfræðistofu Suðurnesja borin undir Egilsson ehf. Þá var félaginu veittur kostur á að gera athugasemdir og koma að sínum sjónarmiðum. Engin svör hafa borist.

II.
Forsendur og niðurstaða
1.
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Í 11. og 12. gr. laga nr. 77/2000 kemur m.a. fram að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Það er dæmi um öryggisráðstöfun að hindra að persónuupplýsingar séu sendar í netföng sem ekki er vitað hver gengur um.

Lögmannsstofa Suðurnesja hefur bent á að í 1. mgr. 17. gr. laga nr. 101/2010 um greiðsluaðlögun einstaklinga sé sú skylda lögð á umsjónarmann með greiðsluaðlögun að senda frumvarp til samnings um greiðsluaðlögun á alla þekkta kröfuhafa er málið varðar til að þeir geti komið fram andmælum við umsjónarmann áður en frumvarp er samþykkt sem og að þeir geti farið með kröfur sínar í samræmi við frumvarpið enda bindi það alla þekkta kröfuhafa óháð því hvort þeir hafi lýst kröfum, sbr. 3. mgr. 10. gr. laga nr. 101/2010.

2.
Á lögfræðistofu Suðurnesja hefur verið valin sú leið að senda frumvörp til kröfuhafa með tölvupósti og mun stofan hafa talið það vera viðtekna venju í greiðsluaðlögunarmálum. Stofan segir að til að auðvelda vinnslu hafi stærstu kröfuhafar útbúið sérstök netföng fyrir móttöku greiðsluaðlögunarfrumvarpa og stofan hafi notast við slík netföng við útsendingu greiðsluaðlögunarfrumvarpa. Slík netföng séu hins vegar ekki alltaf fyrir hendi og í einhverjum tilvikum hafi greiðsluaðlögunarfrumvörp því verið send á almenn netföng fyrirtækja. Af hennar hálfu hefur enn fremur komið fram að allajafna beri ákveðinn starfsmaður ábyrgð og hafi umsjón með slíkum netföngum, en áframsendi tölvupósta á einstaka starfsmenn eftir því sem við á. Lögfræðistofan segir að í kjölfar bréfaskipta við Persónuvernd hafi hún leitast við að hafa samband við kröfuhafa til að fá uppgefin netföng  þeirra sem fari með mál. Að mati stjórnar Persónuverndar verða ráðstafanir stofunnar ekki taldar hafa verið nægilegar í það sinn sem mál þetta varðar enda liggur ekki fyrir að lögfræðistofan hafi notað tölvupóstfang sem hún gat ætlað að tilheyrðu þeim starfsmönnum Egilsson ehf. sem færu með afgreiðslu greiðsluaðlögunarmála hjá félaginu. Með því var ekki fylgt fyrirmælum 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

N i ð u r s t a ð a
 
Lögfræðistofa Suðurnesja fór ekki að fyrirmælum 11. gr. laga nr. 77/2000 er hún sendi Egilsson hf. upplýsingar um greiðsluáætlanir einstaklinga í greiðsluaðlögun með tölvupósti. Með vísun til 40. gr. laganna er lagt fyrir stofuna að gera viðeigandi ráðstafanir eftirleiðis til að vernda persónuupplýsingar gegn óleyfilegum aðgangi.