Lending.is, innsláttur nafna á undirskriftalista á Netinu – 2013/1018
Persónuvernd hefur tekið ákvörðun um að aðhafast ekki frekar af tilefni erindis kvartanda varðandi undirskriftasöfnun á vefsíðunni lending.is þar sem hann teljist ekki aðili máls og hafi ekki lögvarinna hagsmuna að gæta en ekki verði ráðið af fyrirliggjandi upplýsingum að alvarlegur misbrestur sé á umræddri vinnslu persónuupplýsinga.
Ákvörðun
Á fundi stjórnar Persónuverndar hinn 13. mars 2014 var tekin svohljóðandi ákvörðun í máli nr. 2013/1018:
I.
Bréfaskipti
Persónuvernd hefur borist kvörtun, dags. 31. ágúst 2013, frá [A] (hér eftir nefndur „kvartandi“) yfir undirskriftasöfnun á vefsíðunni lending.is. Í kvörtuninni kemur fram að hann telur þörf á að sannreyna hvort undirskriftunum sé safnað samkvæmt sannanlegum gögnum, s.s. þannig að ekki séu skráðar kennitölur og undirskriftir án vitundar eða samþykkis skráðra einstaklinga. Þá segir:
„Samkvæmt upplýsingum í fjölmiðlum er aðgangslyklum úthlutað til að geta skráð sig inn á söfnunarlistann.
Þar með getur hver og einn farið inn á heimabankann sinn og sótt kennitölur allra Íslendinga og skráð þá á listann.“
Einnig segir að um grundvallarmál sé að ræða þar sem á vinnslu umrædds undirskriftalista velti hvort hægt sé að taka mark á slíkum undirskriftalistum.
Með bréfi, dags. 25. september 2013, ítrekuðu með bréfi, dags. 15. nóvember s.á., var [B], sem er á meðal forsvarsmanna umræddrar undirskriftasöfnunar, veitt færi á að tjá sig um hana fyrir hönd þeirra. Hann svaraði með bréfi hinn 9. desember 2013. Þar segir meðal annars:
„Upplýsingar um aðferðafræði hafa verið á lending.is frá því að söfnun undirskrifta hófst. […]Þar kemur glögglega fram hvernig að málum er staðið.
1. Kennitala er prófuð stærðfræðilega. Ef hún stenst vartölupróf er undirskriftin móttekin.
2. Kennitala er könnuð í þjóðskrá og staðfest að hún sé til.
3. Slembiúrtak tekið úr undirskriftasafni og hringt í einstaklinga og réttmæti undirskrifta kannað.
4. Fylgst er með hópskráningum og haft samband við slembivalda einstaklinga úr þeim og réttmæti undirskrifta kannað.
5. Undirskriftir lögaðila eru ekki taldar með.
Við þessa aðferðafræði bætist að allan þann tíma sem undirskriftum var safnað var fylgst náið með því hvaðan þær væru að koma. Hver sá sem skrifar undir skilur eftir sig IP tölu sem geymd er með undirskriftinni. Um leið og margar undirskriftir bárust frá stökum aðila (stakri IP tölu) var haft samband við slembieinstaklinga í þeim skráningum og kannað hvort skráningarnar væru réttmætar. Skemmst er frá því að segja að þær athuganir leiddu ekkert varhugavert í ljós og að í öllum tilvikum voru skráningarnar réttmætar.
Að framangreindu virtu má ljóst vera að það tilvik sem nefnt er í kvörtun [A] átti sér ekki stað í tilviki lendingar.is.
Því má svo við bæta að fyllstu varúðar var gætt við alla vinnslu gagna. Undirskrifendum var heimilt að skrifa undir án þess að nafn þeirra birtist á netinu heldur aðeins í útprentuðum eintökum listans. Þá var leitað til Þjóðskrár sem annaðist ákveðna vinnu við undirbúning listans til afhendingar til opinberra aðila. Að lokum má nefna að listinn var og er birtur á vefsíðunni lending.is þar sem allir geta séð þau nöfn sem á honum eru.“
Með bréfi, dags. 23. desember 2013, var kvartanda veitt færi á að tjá sig um framangreint bréf. Hann svaraði með bréfi, dags. 9. janúar 2014. Þar segir:
„1. tilvitnun
„3. Slembiúrtak tekið úr undirskriftasafni og hringt í einstaklinga og réttmæti undirskrifta kannað.
4. Fylgst er með hópskráningum og haft samband við slembivalda einstaklinga úr þeim og réttmæti undirskrifta kannað.“
Athugasemd:
Ekki kemur fram hvert var hlutfall slembiúrtaksins af skráðum undirskriftum.
2. tilvitnun:
„Hver sá sem skrifar undir skilur eftir sig IP tölu sem geymd er með undirskriftinni.“
Athugasemd:
Ekkert er því til fyrirstöðu að skráning sé framkvæmd án vitundar og vilja eiganda kennitölu á tölvu sem ekki hefur verið notuð áður til skráningar í sömu könnun.
3. tilvitnun
„Skemmst er frá því að segja að þær athuganir leiddu ekkert varhugavert í ljós og að í öllum tilvikum voru skráningarnar réttmætar.“
Athugasemd:
Aðeins fullyrðing framkvæmdaaðilans
4. tilvitnun
„Því má svo við bæta að fyllstu varúðar var gætt við alla vinnslu gagna.“
Athugasemd:
Persónuvernd verður að skera úr um hvort þessi orð standist eða hvort hverjum sem er sé heimilt að framkvæma skoðanakönnun sem þessa og birta niðurstöður hennar án þess að geta auðsjáanlegra ágalla á framkvæmd hennar.
Einnig þarf Persónuvernd að skera úr um hvort framkvæmdaraðila slíkra skoðanakannana sé treystandi til að varðveita gögn og að misnota ekki niðurstöðu þeirra í þágu tilgreinds málefnis eða annars.
Niðurstaða:
Eftir stendur að hægt var skrá kennitölu í óleyfi, hafi skráning ekki þegar verið gerð með sömu tölvu (IP númeri), án þess að tryggt væri að viðkomandi skráningu yrði eytt af listanum.“
Í símtali hinn 22. janúar 2014 spurði starfsmaður Persónuverndar kvartanda að því hvort hann hefði kannað hvort hann væri á meðal þeirra sem skráðir væru á umræddan undirskriftalista. Svaraði hann því til að svo væri ekki.
II.
Ákvörðun Persónuverndar
Eins og fyrr segir hefur kvartandi ekki farið fram á það við aðstandendur umræddrar undirskriftasöfnunar að fá að vita hvort nafn hans hafi verið fært á umræddan undirskriftalista. Liggur því ekki fyrir að hann hafi einstaklingsbundinna hagsmuna að gæta af úrlausn máls þessa, s.s. vegna ágreinings varðandi vinnslu persónuupplýsinga um sig.
Í því felst jafnframt að hann telst ekki vera aðili máls í skilningi stjórnsýslulaga nr. 37/1993, eins og það hugtak hefur verið skilgreint í stjórnsýslurétti, en þar er meðal annars byggt á því að um slíka hagsmuni sé að ræða sem að framan greinir.
Persónuvernd getur tekið mál til meðferðar að eigin frumkvæði, sbr. 2. mgr. 37. gr. laga nr. 77/2000. Ef grunur leikur til dæmis á um að alvarlegur misbrestur sé á tiltekinni vinnslu persónuupplýsinga kann að koma til slíks. Af þeim svörum, sem borist hafa fyrir hönd forsvarsmanna umræddrar undirskriftasöfnunar, verður ekki ráðið að svo sé. Hefur Persónuvernd því ekki, að svo komnu máli, sérstakt tilefni til að kanna framkvæmd söfnunarinnar að eigin frumkvæði.
Með vísan til framangreinds var ákveðið á fundi stjórnar Persónuverndar í dag að aðhafast ekki frekar af tilefni erindis [A], dags. 31. ágúst 2013. Stofnunin þakkar hins vegar ábendingar hans.