Varðveisla persónuupplýsinga, þ.m.t. sms-skeyta, á Mínum síðum hjá Fjarskiptum hf. - Mál nr. 2013/1607
Úrskurður
Í samræmi við niðurstöðu á fundi stjórnar Persónuverndar hinn 13. maí 2014 hefur verið kveðinn upp svohljóðandi úrskurður í máli nr. 2013/1607:
I.
Málavextir og bréfaskipti
1.
Persónuvernd hefur borist kvörtun frá [A] (hér eftir nefndur „kvartandi“), dags. 2. desember 2013, í tilefni af innbroti í tölvukerfi Vodafone, sem rekið er af Fjarskiptum hf., og birtingar á gögnum þaðan á Netinu. Nánar tiltekið kvartar hann yfir varðveislutíma hjá Fjarskiptum hf. á upplýsingum um hann sem eru í framangreindum gögnum, þ.e. um lykilorð hans og send og móttekin sms-skilaboð. Liggur fyrir að sms-skilaboðin vistuðust sjálfkrafa á þjónustusvæði á vefsíðu Vodafone nema afhakað væri við reit um vistun gagna.
Að auki segir í kvörtun að umræddar upplýsingar hafi verið ódulkóðaðar og varðveittar með ótryggum hætti, sem og að séu einhver umræddra sms-skilaboða eldri en sex mánaða brjóti varðveisla þeirra gegn fjarskiptalögum nr. 81/2003.
2.
Með bréfi til kvartanda, dags. 23. desember 2013, var honum greint frá því að Persónuvernd og Póst- og fjarskiptastofnun ættu í samskiptum um valdmörk stofnananna í tengslum við framangreint öryggisatvik. Eftir að niðurstaða fékkst í þeim samskiptum, þess efnis að Póst- og fjarskiptastofnun fjallaði um atriði tengd upplýsingaöryggi en Persónuvernd um lögmæti umræddrar varðveislu, var Fjarskiptum hf. sent bréf, dags. 31. janúar 2014, þar sem fyrirtækinu var veitt færi á að tjá sig um kvörtunina.
Advel lögmenn slf. svöruðu f.h. fyrirtækisins með bréfi, dags. 7. mars 2014. Þar segir meðal annars að Fjarskipti hf. telji varðveislu umræddra gagna fela í sér vinnslu persónuupplýsinga í skilningi 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þar með falli upplýsingarnar undir gildissvið þeirra laga. Þar sem upplýsingarnar lúti meðal annars að heilsuhögum séu þær viðkvæmar, sbr. skilgreiningu 8. tölul. 2. gr. laganna. Vísað er til þess að vinnsla persónuupplýsinga er því aðeins heimil að hún falli undir eitthvert af skilyrðum 8. gr. laganna, sem og að vinnsla viðkvæmra persónuupplýsinga þarf einnig að samrýmast einhverju af skilyrðum 9. gr. Lýst er þeirri afstöðu að umrædd varðveisla hafi fallið undir heimildir í báðum greinunum, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. um heimild til vinnslu á grundvelli samþykkis. Um það segir nánar:
„Í gegnum tíðina hefur Vodafone gert viðskiptavinum sínum kleift að senda vefskilaboð í gegnum umrædda vefsíðu. Um tvær tegundir skilaboða var að ræða. Annars vegar var um að ræða FRÍ-SMS þar sem hægt var að setja 70 stafi í hvert skilaboð, skrá einn móttakanda og ekki birtust upplýsingar um hver var sendandi. Hins vegar var um að ræða vef-SMS, þar sem hægt var að setja allt að 1000 stafi og senda á fleiri en einn móttakanda. Síðarnefndu skilaboðin var hægt að vista í skeytasögu og það eru þau vefskilaboð sem tölvuþrjótnum tókst að stela í innbroti sínu. Skilaboð sem ekki voru vistuð í skeytasögu eyddust jafnóðum af síðunni. Engum notanda þjónustusíðu félagsins gat dulist að ef hakað var við reitinn vista samskiptasögu þá sá hann eldri skilaboð sem hann hafði sent. Jafnframt var mjög auðveld aðgerð að eyða þeim skilaboðum sem þegar höfðu vistast stæði vilji notanda til þess.
Samþykki getur talist ótvírætt þótt það sé ekki veitt berum orðum heldur í verki. Ekki eru skilyrði fyrir því í persónuverndarlögum að um skriflegt samþykki sé að ræða. Allri vinnslu upplýsinga á síðunni átti notandi vefgáttarinnar frumkvæði að og stjórnaði notkuninni og varðveislunni. Í boði var að vista samskiptasöguna og kom það bersýnilega í ljós þegar gáttin var opnuð hvort samskiptin voru vistuð í samskiptasögu eða ekki. Með því að stofna persónulega gátt á „Mínum síðum“ hjá Vodafone og setja tilheyrandi upplýsingar þar inn og notfæra sér þjónustu fyrirtækisins telur Vodafone að nægjanlega ótvírætt og upplýst samþykki hafi legið fyrir um varðveislu þeirra gagna sem notendurnir sjálfir settu þar inn. Þetta á bæði við um varðveislu gagna á vefgáttinni sjálfri sem og vefskilaboðin sem send voru af gáttinni.“
Lýst er þeirri afstöðu í bréfinu að umrædd gögn falli ekki undir 42. gr. fjarskiptalaga nr. 81/2003. Í máli þessu beri því ekki að líta til 3. mgr. þeirrar greinar, þess efnis að upplýsingar, sem falla undir svonefnda lágmarksskráningu gagna um fjarskiptaumferð, skulu ekki varðveittar lengur en í sex mánuði. Nánar tiltekið segir meðal annars að samkvæmt greinargerð með því frumvarpi, sem varð að fjarskiptalögum, sé í 42. gr. byggt á tilskipun 2002/58/EB um einkalífsvernd í fjarskiptum, en samkvæmt þeirri tilskipun sé með umferðargögnum átt við „gögn sem unnin eru í þeim tilgangi að flytja fjarskiptasendingu á rafrænu fjarskiptaneti eða til að gefa út reikninga vegna þess“, sbr. b-lið 2. mgr. 2. gr. tilskipunarinnar. Þá er vísað til þess að í greinargerð með lögum nr. 78/2005, sem juku fyrrgreindu ákvæði 3. mgr. 42. gr. við fjarskiptalög, er fjallað um hvað felist í áðurnefndri lágmarksskráningu samkvæmt ákvæðinu. Segir að samkvæmt greinargerðinni sé þar meðal annars átt við gögn um hver sé notandi tiltekins fjarskiptatækis, hverjum hann tengist, hvenær sú tenging hafi átt sér stað, hversu lengi tenging vari og hversu mikið af gögnum hafi verið flutt á milli fjarskiptanotenda. Auk þess segir meðal annars varðandi gögn sem vistast á þjónustusíðu Vodafone:
„Mikilvægt er að átta sig á muninum á annars vegar gögnum um fjarskiptaumferð og síðan þeim gögnum (loggar) sem verða til um þær aðgerðir sem gerðar eru á vefsíðunni sjálfri. Þegar vefskilaboð eru send af heimasvæði notenda á vefsíðu félagsins verða til fjarskiptaumferðargögn í fjarskiptakerfum sem eiga uppruna sinn að rekja til vefsins á nákvæmlega sama hátt og þegar smáskilaboð eru send á milli farsíma. Í skjala- og gagnaáætlun Vodafone var sérstaklega tilgreint að eyða ætti persónugreinanlegum fjarskiptaumferðargögnum áskrifenda eftir sex mánuði einnig á „Mínum síðum“. Hefur slíkum verkferlum verið fylgt hjá félaginu og voru engin gögn um fjarskiptaumferð, eldri en sex mánaða, til staðar á „Mínum síðum“ er vefsíða félagsins varð fyrir netárásinni. Þau gögn (loggar) sem stolið var voru ekki fjarskiptaumferðargögn heldur upplýsingar um aðgerðir viðskiptavina á vefnum.“
3.
Með bréfi, dags. 10. mars 2014, veitti Persónuvernd kvartanda færi á að tjá sig um framangreint bréf Advel lögmanna slf. Ekki bárust skriflegar athugasemdir og kom fram í símtali við kvartanda hinn 22. maí 2014 að hann teldi þeirra ekki þörf. Hann vænti þess hins vegar að Persónuvernd úrskurðaði í málinu.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í greinargerð með því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Með vísan til þess er í úrskurði þessum tekin afstaða til þess álitaefnis hvort varðveisla umræddra upplýsinga hafi verið heimil. Í samræmi við þá afmörkun á valdmörkum Persónuverndar og Póst- og fjarskiptastofnunar, sem rakin er í upphafi 2. kafla I. þáttar úrskurðar þessa, fellur það hins vegar í hlut síðarnefndu stofnunarinnar að fjalla um álitaefni varðandi öryggi upplýsinganna.
2.
Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Samkvæmt 2. tölul. 1. mgr. þeirrar greinar er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að. Þá kemur fram í 7. tölul. sömu málsgreinar að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi hins skráða vegi þyngra. Í tengslum við varðveislu Fjarskipta hf. á lykilorði kvartanda reynir einkum á hvort kröfum þessara ákvæða sé fullnægt. Þegar litið er til þess að upplýsingar um lykilorð viðskiptavina eru Fjarskiptum hf. nauðsynlegar til að veita þeim umsamda þjónustu telur Persónuvernd að svo sé. Liggur því ekki annað fyrir en að varðveisla umrædds lykilorðs hafi verið heimil. Hins vegar skal tekið fram að hér er ekki tekin afstaða til þess hvort öryggis hafi verið nægilega gætt við varðveisluna, enda er það álitaefni til meðferðar hjá Póst- og fjarskiptastofnun.
Að auki varðveittu Fjarskipti hf. sms-skilaboð sem kvartandi hafði sent af vefsíðu fyrirtækisins. Almennt verður að gera ráð fyrir að í slíkum skilaboðum geti komið fyrir viðkvæmar persónuupplýsingar, sbr. 8. tölul. 2. gr. laga nr. 77/2000, og getur fjarskiptafyrirtæki ekki kannað það í einstökum tilvikum enda slíkum fyrirtækjum ekki ætlað að greina innihald fjarskiptaskilaboða. Af því leiðir að ekki aðeins þurfti vinnsla umræddra upplýsinga um kvartanda að fullnægja einhverju skilyrðanna í 8. gr. laga nr. 77/2000 heldur einnig einhverju viðbótarskilyrðanna fyrir vinnslu viðkvæmra persónuupplýsinga í 9. gr. sömu laga.
Í 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er mælt fyrir um heimild til að vinna með persónuupplýsingar á grundvelli samþykkis hins skráða. Þá er sérstaklega mælt fyrir um heimild til vinnslu viðkvæmra persónuupplýsinga á þeim grundvelli í 1. tölul. 1. mgr. 9. gr. laganna. Þarf þá að vera um að ræða yfirlýsingu hins skráða sem fullnægir kröfum 7. tölul. 2. gr. laga nr. 77/2000 til samþykkis, en þar segir að með samþykki sé átt við sérstaka, ótvíræða yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.
Samkvæmt 3. mgr. 42. gr. fjarskiptalaga nr. 81/2003 skulu fjarskiptafyrirtæki, í þágu rannsókna sakamála og almannaöryggis, varðveita svonefnda lágmarksskráningu gagna um fjarskiptaumferð notenda í sex mánuði. Tekið er fram í ákvæðinu að eyða skuli gögnunum að þessum tíma liðnum, enda sé þeirra ekki þörf lengur til reikningsgerðar fyrir áskrifendur og uppgjörs fyrir samtengingu, sbr. og 2. mgr. 42. gr. Ekki er tekið fram í 3. mgr. 42. gr. að víkja megi frá fyrirmælum um eyðingu upplýsinganna ef fjarskiptanotandi samþykkir áframhaldandi varðveislu. Til þess ber hins vegar að líta að löggjöf um vernd persónuupplýsinga byggist meðal annars á grundvallarreglunni um sjálfsákvörðunarrétt einstaklingsins. Ætla verður í ljósi þeirrar reglu að sú vinnsla persónuupplýsinga, sem felst í varðveislu fjarskiptaskilaboða, geti verið heimil samkvæmt lögum nr. 77/2000 þegar fjarskiptanotandi hefur farið fram á hana með yfirlýsingu sem fullnægir framangreindum kröfum 7. tölul. 2. gr. þeirra laga, sbr. og til hliðsjónar 4. mgr. 47. gr. fjarskiptalaga þar sem gert er ráð fyrir heimild til geymslu fjarskiptaupplýsinga að fengnu samþykki notanda. Verður ekki séð að í því sambandi skipti máli hvort um ræði upplýsingar um fjarskiptaumferð í skilningi fyrrgreinds ákvæðis 2. mgr. 42. gr. fjarskiptalaga. Gerist þess því ekki þörf í úrskurði þessum að taka afstöðu til þess álitaefnis.
Við mat á því hvort samþykki var veitt ber að líta til þess hvort viðkomandi einstaklingur hafði raunverulega atbeina að þeirri yfirlýsingu sem um ræðir. Þegar um ræðir persónuupplýsingar um mjög almenna þætti geta kröfur í þeim efnum verið vægar og jafnvel talist nægilegt að samþykki sé veitt í verki, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000 þar sem fram kemur að samþykki samkvæmt því ákvæði þarf ekki ávallt að samrýmast kröfum 7. tölul. 2. gr. laganna. Eins og fyrr greinir verða fjarskiptafyrirtæki hins vegar almennt að gera ráð fyrir að í fjarskiptaskilaboðum geti verið viðkvæmar persónuupplýsingar, en af því leiðir meðal annars að um þarf að vera að ræða yfirlýsingu sem fjarskiptanotandi sjálfur gefur, sbr. orðalag fyrrnefnds ákvæðis. Það að ekki sé afhakað við reit, þar sem fram kemur að unnið verði með persónuupplýsingar, verður ekki talið fela í sér að slík yfirlýsing hafi verið gefin.
Ekki aðeins koma upplýsingar um kvartanda fram í sms-skilaboðum í farsímanúmer hans heldur einnig í sms-skilaboðum sem aðrir viðskiptavinir Vodafone sendu honum af vefsíðu þess fyrirtækis. Varðveisla þeirra skilaboða hefði ekki getað stuðst við samþykki kvartanda sem viðtakanda þeirra heldur hefði þurft fullnægjandi samþykki sendenda skilaboðanna. Framangreint fyrirkomulag, þar sem byggt var á að viðskiptavinur hefði ekki afhakað við tiltekinn reit, fól hins vegar í sér almennan ágalla á vistuninni sem leiddi til þess að hún varð ólögmæt í heild sinni, m.a. að því er varðar persónuupplýsingar um kvartanda í sms-skilaboðum sem aðrir viðskiptavinir Vodafone höfðu sent. Varðveisla þeirra upplýsinga hjá rekstraraðila Vodafone, þ.e. Fjarskiptum hf., brast því heimild samkvæmt lögum nr. 77/2000.
Með vísan til framangreinds, og í ljósi þess að ekki gátu aðrar vinnsluheimildir en samþykki rennt stoðum undir umrædda varðveislu fjarskiptaskilaboða, telur Persónuvernd að heimild hafi brostið til varðveislu þeirra.
Ú r s k u r ð a r o r ð:
Varðveisla Fjarskipta hf. á sms-skilaboðum með persónuupplýsingum um [A], sem send voru af vefsíðu fyrirtækisins, samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.