Vinnsla persónuupplýsinga um kennitölu hjá Vodafone – mál nr. 2013/1052

6.1.2014

Úrskurður

Á fundi stjórnar Persónuverndar þann 12. desember 2013 var kveðinn upp svohljóðandi úrskurður í máli nr. 2013/1052:

I.

Grundvöllur máls

Málavextir og bréfaskipti

1.

Tildrög máls

Þann 10. september 2013 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), vegna vinnslu persónuupplýsinga um hann hjá Fjarskiptum hf. (hér eftir nefnd Vodafone). Í kvörtuninni segir m.a.:

„Óþörf og ástæðulaus söfnun persónuupplýsinga. Tæknimaður sem hringt var í vegna bilunar í nettengingu sagði mér að hann sæi kennitöluna mína á skjánum án þess að ég hefði gefið honum upp nafn mitt; símanúmer mitt kallaði fram þessar upplýsingar. Ég fæ ekki séð að þessi tæknimaður hafi neitt með mína kennitölu að gera.

Einnig tel ég þetta fyrirtæki safna óþarflega miklum upplýsingum. Afgreiðslufólk fyrirtækisins getur til að mynda séð samskipti mín við fyrirtækið aftur í tímann, auk þess eru símtöl hljóðrituð og auðvitað eru viðskiptavinir teknir upp á myndband á afgreiðslustöðum fyrirtækisins. [...]

Einnig tel ég að þessi upplýsingasöfnun geti hrætt sumt fólk og því finnist sér vera ógnað að hver einasti andardráttur þess í samskiptum sem snúast um síma, sé upptekinn og geymdur um óráðinn tíma á meðan allir starfsmenn sjá á skjánum hjá sér viðkvæmar persónulegar upplýsingar um viðkomandi, þannig geti það einnig brotið lög um mannréttindi.“

2.

Bréfaskipti

Með bréfi, dags. 30. september 2013, var Vodafone boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Þann 11. október sl. barst Persónuvernd svarbréf Vodafone, dags. 10. s.m.

Um málavexti og heimild til vinnslu segir m.a. í svarbréfi Vodafone að óumdeilt sé að kvartandi sé viðskiptavinur Vodafone og hafi því sem slíkur undirgengist viðskiptaskilmála Vodafone. Í 1. gr. I. kafla þeirra skilmála komi fram að sá aðili sem óski eftir fjarskiptaþjónustu skuldbindi sig við undirritun eða staðfestingu samnings um fjarskiptaþjónustu til að hlíta þeim kjörum og skilmálum sem Vodafone setur um notkun þjónustunnar. Þá segi í 9. gr. I. kafla skilmálanna að félagið hafi heimild til að vinna úr gögnum um fjarskiptanotkun áskrifanda í því skyni að bjóða honum nýja áskriftarleið, þjónustu eða önnur tilboð til hagsbóta fyrir hann en það ákvæði sé í samræmi við 4. mgr. 42. gr. laga nr. 81/2003 um fjarskipti. Telur Vodafone því að kvartandi hafi með undirritun sinni, eða staðfestingu á samningi við Vodafone veitt félaginu heimild til að vinna persónugreinanleg gögn honum tengd.

Þá segir jafnframt að kvartandi fullyrði að uppköllun kennitölu á upplýsingaspjald viðskiptavinar sé óþörf og ástæðulaus söfnun persónuupplýsinga. Vodafone bendir á að notkun kennitölu er heimil eigi hún sér málefnalegan tilgang og sé nauðsynlegt til að tryggja örugga persónugreiningu sbr. 10. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Einstaklingar sem komi í viðskipti við Vodafone skrái þjónustur sínar hjá félaginu á eigið nafn og kennitölu, það er persónugreinanleg einkenni. Vodafone, líkt og önnur fyrirtæki, geri ráð fyrir að viðskiptavinur sem hafi samband við þjónustuver félagsins sé að leita aðstoðar vegna þeirrar þjónustu sem hann er skráður fyrir. Til að tryggja að starfsmaður Vodafone sé að skoða þjónustu hjá réttum rétthafa, þ.e. þess aðila sem skráður er í upphafi fyrir þjónustunni, kemur sjálfkrafa upp upplýsingaspjald þess viðskiptavinar sem er rétthafi þess símanúmers sem hringt er úr. Vinnsla sem þessi tryggir því ekki eingöngu betri og markvissari þjónustu fyrir viðskiptavini heldur einnig öruggari vernd persónuupplýsinga. Telur Vodafone slíka notkun á kennitölu viðskiptavinar falla undir 7., 8. og 10. gr. laga nr. 77/2000.

Bréfi Vodafone fylgdi afrit af s.k. upplýsingaspjaldi kvartanda. Þar er skráð nafn og kennitala viðskiptavinar ásamt nafni þess starfsmanns sem tekur við ósk viðkomandi viðskiptavinar um aðstoð ásamt lýsingu á því vandamáli sem óskað er úrlausnar um. Þá kemur einnig fram að Vodafone hljóðriti ekki símtöl viðskiptavina þegar þeir hringi í þjónustuver félagsins, í símanúmerið 1414. Þá segir um notkun eftirlitsmyndavéla í verslunum félagsins að öllum skilyrðum um rafræna vöktun sé fylgt og því sé ekkert því til fyrirstöðu að félagið viðhafi síka vöktun í verslununum.

Með bréfi, dags. 15. október sl., var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Vodafone til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Sú ósk var ítrekuð með bréfi, dags. 5. nóvember sl.

Þann 8. nóvember sl. barst Persónuvernd tölvupóstur frá kvartanda. Þar segir m.a.:

„Þrátt fyrir að ég hafi með undirskrift minni samþykkt eitthvað smátt letur sem Vodafone veifar nú þá treysti ég fyrirtækinu er ég fór í viðskipti við það. Vodafone ætti ef til vill að minna sig á það að viðskipti eru samskipti tveggja aðila þar sem hagsmunir beggja aðila ættu að fara saman og þar sem hlutaðeigandi aðilar hafa ákveðið að sýna hvor öðrum ákveðið traust. Með því að birta kennitölu mína hvaða starfsmanni sem verða vill þá brást Vodafone þessum trúnaði.

Ég samþykki ekki þau rök að tæknimaður fyrirtækisins þurfi að sjá kennitölu mína til að staðfesta að ég sé viðskiptavinur. Símanúmer mitt nægir algjörlega til þess. Rökin fyrir því að kennitala mín verði að birtast til að sanna hver ég sé halda ekki þar sem það getur hver sem er hringt úr símanum mínum [...]. Í stuttu máli; það eykur á engan hátt öryggi upplýsinganna um það hvort ég sé hinn lögmæti viðskiptavinur Vodafone sem er að hringja inn, að birta „óbreyttum“ starfsmanni, í þessu tilfelli tæknimanni, kennitölu mína. Símanúmer og nafn, og kannski heimilisfang, nægir.“

Þá segir jafnframt að kvartandi telji Vodafone ganga of langt í upplýsingasöfnun sinni og misnota þær trúnaðarupplýsingar sem fyrirtækinu eru gefnar í góðri trú.

Þann 18. nóvember sl. óskaði Persónuvernd eftir nánari útskýringum frá Vodafone með tölvupósti, n.t.t. um það á hvaða heimild í 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, Vodafone teldi umrædda vinnslu byggjast. Í svarbréfi Vodafone, dags. 21. nóvember sl., kemur fram að umrædd vinnsla byggist á 1., 2., 3. og 4. tölul. 1. mgr. 8. gr. Hinn skráði hafi ótvírætt veitt samþykki sitt sbr. 1. tölul., vinnslan sé nauðsynleg til að efna samning á milli aðila sbr. 2. tölul., vinnslan sé nauðsynleg til að fullnægja lagaskyldu en Vodafone beri að halda utan um ákveðnar upplýsingar svo viðskiptavinir geti nýtt sér lagalegan rétt sinn t.d. samkvæmt fjarskiptalögum nr. 81/2003 auk þess sem vinnslan byggi á 4. tölul. til að vernda brýna hagsmuni hins skráða og tryggja að einungis honum séu veittar ákveðnar upplýsingar um eigin þjónustu.

II.

Forsendur og niðurstaða

1.

Afmörkun úrlausnarefnis

Í máli þessu er í fyrsta lagi kvartað yfir vinnslu persónuupplýsinga, n.t.t. skráningar kennitölu kvartanda, hjá Vodafone. Þá er í öðru lagi kvartað yfir því að óþarflega miklum upplýsingum sé safnað m.a. með hljóðritun símtala og rafrænni vöktun. Í svörum ábyrgðaraðila, Vodafone, kemur fram að símtöl í þjónustuver félagsins séu ekki hljóðrituð og að sú rafræna vöktun sem félagið viðhefði í verslunum sínum væri í samræmi við lög og reglur þar um. Kvartandi hefur ekki mótmælt þeim skýringum ábyrgðaraðila og afmarkast úrlausnarefni þessarar kvörtunar því við vinnslu persónuupplýsinga um kennitölu kvartanda.

2.

Gildissvið laga nr. 77/2000

Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.

Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.

Af framangreindu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 77/2000, enda voru persónuupplýsingar um kvartanda skráðar hjá Vodafone.

3.

Lögmæti vinnslu

Samkvæmt 1. tölulið 1. mgr. 8. gr. er vinnsla heimil sem byggir á samþykki hins skráða. Þá ber að líta til 2. tölul. 1. mgr. 8. gr. þar sem segir að vinnsla sé heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að hans beiðni áður en samningur er gerður. Hér undir getur m.a. fallið sú vinnsla sem ábyrgðaraðili þarf að framkvæma í þágu viðskipta, þ.e. til að þau geti farið löglega fram. Er þá einkum átt við vinnslu með almennar upplýsingar, s.s. nafn viðsemjanda og kennitölu og önnur þau atriði sem almennt koma fram við reikningagerð. Óumdeilt er í málinu að kvartandi hefur undirritað viðskiptaskilmála Vodafone og gerst viðskiptavinur félagsins. Af hálfu Vodafone hefur því verið haldið fram að kvartandi hafi með undirritun sinni veitt félaginu heimild til að vinna persónugreinanleg gögn honum tengd. Hefur þeirri staðhæfingu ekki verið mótmælt af kvartanda.

Skráning á kennitölu þarf einnig að uppfylla skilyrði 10. gr. laga nr. 77/2000. Þar kemur fram að notkunin er heimil ef hún á sér málefnalegan tilgang og er nauðsynleg til að tryggja örugga persónugreiningu. Ákvæði 10. gr. er ákvæði 8. gr. til fyllingar, en svo vinna megi með almennar persónuupplýsingar verður ávallt að vera fullnægt einhverju skilyrðanna í 1. mgr. Hinnar síðarnefndu greinar. Ábyrgðaraðili þarf m.ö.o. bæði að uppfylla eitthvert af heimildarákvæðum 1. mgr. 8. gr. og haga vinnslu kennitalna í samræmi við 10. gr. laganna. Af hálfu Vodafone hefur komið fram að kennitala kvartanda hafi verið skráð í tilefni af viðskiptasambandi kvartanda við Vodafone. Þá geti viðskiptavinir félagsins haft samband við þjónustuver þess, óski þeir eftir aðstoð vegna þeirrar þjónustu sem viðkomandi er skráður fyrir. Í þeim tilgangi að tryggja örugga persónugreiningu viðskiptavinar og að starfsmenn Vodafone skoði þjónustur hjá réttum rétthafa séu m.a. kennitala viðskiptavinar skráð á upplýsingaspjald viðkomandi viðskiptavinar.

Öll vinnsla persónuupplýsinga verður einnig að samrýmast öllum skilyrðum 7. gr. laga nr. 77/2000. Þar er meðal annars mælt fyrir um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Af gögnum þessa máls fæst ekki annað ráðið en að vinnsla umræddra persónuupplýsinga um kvartandi hafi samrýmst framangreindum skilyrðum 7. gr. laga nr. 77/2000.

Með vísan til framangreinds verður umrædd vinnsla Vodafone á kennitölu kvartanda talin hafa farið fram í málefnalegum tilgangi og samrýmst að öðru leyti ákvæðum laga nr. 77/2000. Hefur þá m.a. verið litið til þeirrar staðreyndar að nauðsynleg persónugreining í viðskiptalífi, t.d. persónugreining viðskiptavina fyrirtækja, er jafnan byggð á notkun kennitalna. Þá liggur ekki annað fyrir en að sá tæknimaður þjónustuvers Vodafone, sem kvartandi hafði samband við, hafi þurft aðgang að upplýsingaspjaldi sem innihélt m.a. kennitölu kvartanda starfs síns vegna.

Ú r s k u r ð a r o r ð:

Vinnsla Fjarskipta hf. á kennitölu [A] samrýmdist lögum nr. 77/2000.