Varðveisla persónuupplýsinga, þ.m.t. sms-skeyta, á Mínum síðum hjá Fjarskiptum hf.- Mál nr. 2014/377
Úrskurður
Í samræmi við niðurstöðu stjórnar Persónuverndar í kjölfar fundar hennar hinn 13. maí 2014 hefur stofnunin kveðið upp svohljóðandi úrskurð í máli nr. 2014/377:
I.
Málavextir og bréfaskipti
1.
Með bréfi Póst- og fjarskiptastofnunar, dags. 14. febrúar 2014, var Persónuvernd framsend kvörtun lögmannsstofunnar Réttar f.h. [A], dags. 5. desember 2013, í tilefni af innbroti í tölvukerfi Vodafone, sem rekið er af Fjarskiptum hf., og birtingar á gögnum þaðan á Netinu, þ. á m. upplýsinga um [A] (hér eftir nefnd „kvartandi“). Var Persónuvernd framsend kvörtunin í framhaldi af samskiptum stofnananna tveggja um valdmörk þeirra í tengslum við framangreint öryggisatvik. Varð niðurstaðan úr þeim samskiptum sú að Póst- og fjarskiptastofnun fjallaði um öryggi umræddra gagna en að Persónuvernd tæki til umfjöllunar lögmæti varðveislu Fjarskipta hf. á þeim persónuupplýsingum sem þau hafa að geyma.
Með vísan til framangreinds veitti Persónuvernd Fjarskiptum hf. færi á að tjá sig um umrædda kvörtun með bréfi, dags. 21. febrúar 2014, og hvort varðveislutími umræddra persónuupplýsinga um kvartanda, þ.e. sms-skilaboða í farsímanúmer hennar, hafi samrýmst lögum. Að sendu því bréfi barst Persónuvernd erindi frá Rétti, dags. 20. s.m., með viðbót við framangreinda kvörtun. Var Fjarskiptum hf. veitt færi á að tjá sig um það erindi með bréfi, dags. 25. s.m. Advel lögmenn slf. svöruðu f.h. Fjarskipta hf. með bréfi, dags. 7. mars 2014, sem Persónuvernd veitti Rétti færi á að tjá sig um með bréfi, dags. 10. s.m. Svaraði Réttur með bréfi, dags. 21. s.m.
2.
Í kvörtun, dags. 5. desember 2013, segir að vegna framangreinds innbrots í tölvukerfi Vodafone hafi afar viðkvæmar persónulegar upplýsingar um einkamálefni kvartanda komist í umferð, sem og rangar ásakanir um háttsemi sem hún hafi hvergi viðhaft. Þá segir:
„Umrædd gögn hafa nú komist í stórfellda dreifingu til almennings, þar sem þau eru aðgengileg á veraldarvefnum, hafa verið birt á heimasíðum og umbj. minn hefur fregnir af því að gögnin sem varða hana gangi nú manna á milli með tölvupóstum.“
Einnig segir meðal annars í kvörtun:
„Í fyrsta lagi er þar um að ræða [smáskilaboð] frá [X], um einkalíf hennar [...]. Allt voru þetta gögn varðandi einkalíf umbj. míns sem skyldi njóta friðhelgis, meðal annars samkvæmt 71. gr. stjórnarskrár lýðveldisins Íslands, sbr. lög nr. 33/1944, og 8. gr. Mannréttindasáttmála Evrópu, sbr. lög nr. 62/1994. Umbj. minn bendir í þessu samhengi á að upplýsingarnar sem gögnin innihéldu um hana falla undir skilgreiningu á viðkvæmum persónuupplýsingum í 8. tl., sbr. 1. tl. 1. mgr. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Í öðru lagi inniheldur stærstur hluti smáskilaboða þessara afar alvarlegar ásakanir í garð umbj. míns. Ásakanir sem eiga ekki neina stoð í raunveruleikanum, meðal annars um [...]. Eðli málsins samkvæmt eiga þessar röngu ásakanir alls ekkert erindi til almennings, ekki frekar en önnur málefni tengd einkalífi umbj. míns, hvort heldur sem er sönn eða ósönn.
Það sem eykur þó enn á alvarleika málsins að mati umbj. míns er að gögn þessi hefðu alls ekki átt að vera til og var varðveisla þeirra með öllu óheimil samkvæmt fyrirmælum laga nr. 81/2003 um fjarskipti. Í 42. gr. laganna er þar að auki kveðið skýrt á um að fjarskiptafyrirtæki á borð við Vodafone megi einungis varðveita gögn um fjarskiptaumferð notenda og ekki annað. Megi slík varðveisla að hámarki vara í sex mánuði. Gildir þá einu hvort gögn fjarskiptafyrirtækis um þá umferð eru hýst á vefsíðum eða í harðlæstri hvelfingu á starfsstöð þess. Öll þau gögn um einkamálefni umbj. míns sem komust í dreifingu í kjölfar innbrotsins á vefsíðu Vodafone voru eldri en sex mánaða og sum hver meira en þriggja ára gömul.
Þá liggur ekkert fyrir um að Fjarskipti hf. hafi sett verklagsreglur fyrir Vodafone um meðferð persónuupplýsinga og eyðingu gagna á borð við þau sem hefur nú verið dreift til almennings á veraldarvefnum líkt og félaginu var skylt samkvæmt 7. mgr. 42. gr. laga nr. 81/2003.“
Með vísan til framangreinds segir í kvörtuninni að með skráningu og vinnslu umræddra upplýsinga hafi Fjarskipti hf. gerst brotlegt við IX. kafla laga nr. 81/2003 um fjarskipti, einkum 42. og 47. gr., sbr. 1. mgr., sbr. 3. mgr. 74. gr. sömu laga.
Í bréfi Réttar til Persónuverndar, dags. 20. febrúar 2014, þar sem fram kemur viðbót við framangreinda kvörtun, segir meðal annars:
„Umbjóðandi minn telur að sá þáttur í starfsemi Vodafone sem fólst í því að vista innihald smáskilaboða viðskiptavina á vefsíðu fyrirtækisins, þar sem þeim stóð til boða að senda smáskilaboð inni á svokölluðum „Mínum síðum“, hafi farið í bága við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Umbj. minn telur að svo sé einkum vegna þess að umrædd gögn innihéldu gríðarlegt magn af viðkvæmum persónuupplýsingum í skilningi 8. tl., sbr. 1. tl. 1. mgr. 2. gr. laganna. Í þessu tilliti vísar umbj. minn einkum til skyldu Vodafone samkvæmt II. kafla, einkum 7.–13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.“
Þá segir meðal annars að það auki enn á alvarleika málsins að þjónustusvæðið „Mínar síður“ á vodafone.is gerði sjálfkrafa ráð fyrir því að viðskiptavinir félagsins vildu vista skilaboð sín er þau höfðu verið send, en fyrirfram hafi verið hakað í þar til gerðan reit á vefsvæðinu um vistun gagna. Auk þess segir:
„Það sem gerir málið enn alvarlegra er sú staðreynd að Vodafone gerði aldrei tilraun til þess að upplýsa viðskiptavini sína um það að hætta væri á því að leynd persónugagna þeirra gæti verið rofin með þeim hætti sem raun ber vitni. Þvert á móti gerði Vodafone ráðstafanir til að auka tiltrú viðskiptavina félagsins á því að upplýsingar um þá væru öruggar á hinum svokölluðu „Mínum síðum“ vefsvæðisins vodafone.is.“
Um þetta er í bréfinu vísað til svohljóðandi umfjöllunar á vefsíðu Vodafone um öryggi upplýsinga:
„Mínar síður veita mjög nákvæmar upplýsingar um fjarskiptaþjónustu þína og aðgang að mikilvægum stillingum hennar. Því fylgjum við ítrustu öryggiskröfum til að tryggja að óviðkomandi geti ekki fengið aðgang að Mínum síðum. Til að fá fullgildan aðgang að Mínum síðum, þar sem hægt er að nota alla þá þjónsutu sem þar er í boði þarf því bæði að staðfesta netfang og fá lykilorð sent í heimabanka.“
3.
Í bréfi Advel lögmanna slf. til Persónuverndar, dags. 7. mars 2014, segir meðal annars að Fjarskipti hf. telji varðveislu umræddra gagna fela í sér vinnslu persónuupplýsinga í skilningi 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þar með falli upplýsingarnar undir gildissvið þeirra laga. Þar sem upplýsingarnar lúti meðal annars að heilsuhögum séu þær viðkvæmar, sbr. skilgreiningu 8. tölul. 2. gr. laganna. Vísað er til þess að vinnsla persónuupplýsinga er því aðeins heimil að hún falli undir eitthvert af skilyrðum 8. gr. laganna, sem og að vinnsla viðkvæmra persónuupplýsinga þarf einnig að samrýmast einhverju af skilyrðum 9. gr. Lýst er þeirri afstöðu að umrædd varðveisla hafi fallið undir heimildir í hvorum tveggja greinunum, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. um heimild til vinnslu á grundvelli samþykkis. Um það segir nánar:
„Í gegnum tíðina hefur Vodafone gert viðskiptavinum sínum kleift að senda vefskilaboð í gegnum umrædda vefsíðu. Um tvær tegundir skilaboða var að ræða. Annars vegar var um að ræða FRÍ-SMS þar sem hægt var að setja 70 stafi í hvert skilaboð, skrá einn móttakanda og ekki birtust upplýsingar um hver var sendandi. Hins vegar var um að ræða vef-SMS, þar sem hægt var að setja allt að 1000 stafi og senda á fleiri en einn móttakanda. Síðarnefndu skilaboðin var hægt að vista í skeytasögu og það eru þau vefskilaboð sem tölvuþrjótnum tókst að stela í innbroti sínu. Skilaboð sem ekki voru vistuð í skeytasögu eyddust jafnóðum af síðunni. Engum notanda þjónustusíðu félagsins gat dulist að ef hakað var við reitinn vista samskiptasögu þá sá hann eldri skilaboð sem hann hafði sent. Jafnframt var mjög auðveld aðgerð að eyða þeim skilaboðum sem þegar höfðu vistast stæði vilji notanda til þess.
Samþykki getur talist ótvírætt þótt það sé ekki veitt berum orðum heldur í verki. Ekki eru skilyrði fyrir því í persónuverndarlögum að um skriflegt samþykki sé að ræða. Allri vinnslu upplýsinga á síðunni átti notandi vefgáttarinnar frumkvæði að og stjórnaði notkuninni og varðveislunni. Í boði var að vista samskiptasöguna og kom það bersýnilega í ljós þegar gáttin var opnuð hvort samskiptin voru vistuð í samskiptasögu eða ekki. Með því að stofna persónulega gátt á „Mínum síðum“ hjá Vodafone og setja tilheyrandi upplýsingar þar inn og notfæra sér þjónustu fyrirtækisins telur Vodafone að nægjanlega ótvírætt og upplýst samþykki hafi legið fyrir um varðveislu þeirra gagna sem notendurnir sjálfir settu þar inn. Þetta á bæði við um varðveislu gagna á vefgáttinni sjálfri sem og vefskilaboðin sem send voru af gáttinni.“
Lýst er þeirri afstöðu í bréfinu að umrædd gögn falli ekki undir 42. gr. fjarskiptalaga nr. 81/2003. Í máli þessu beri því ekki að líta til 3. mgr. þeirrar greinar, þess efnis að upplýsingar, sem falla undir svonefnda lágmarksskráningu gagna um fjarskiptaumferð, skulu ekki varðveittar lengur en í sex mánuði. Nánar tiltekið segir meðal annars að samkvæmt greinargerð með því frumvarpi, sem varð að fjarskiptalögum, sé í 42. gr. byggt á tilskipun 2002/58/EB um einkalífsvernd í fjarskiptum, en samkvæmt þeirri tilskipun sé með umferðargögnum átt við „gögn sem unnin eru í þeim tilgangi að flytja fjarskiptasendingu á rafrænu fjarskiptaneti eða til að gefa út reikninga vegna þess“, sbr. b-lið 2. mgr. 2. gr. tilskipunarinnar. Þá er vísað til þess að í greinargerð með lögum nr. 78/2005, sem bættu fyrrgreindu ákvæði 3. mgr. 42. gr. við fjarskiptalög, er fjallað um hvað felist í áðurnefndri lágmarksskráningu samkvæmt ákvæðinu. Segir að samkvæmt greinargerðinni sé þar meðal annars átt við gögn um hver sé notandi tiltekins fjarskiptatækis, hverjum hann tengist, hvenær sú tenging hafi átt sér stað, hversu lengi tenging vari og hversu mikið af gögnum hafi verið flutt á milli fjarskiptanotenda. Auk þess segir meðal annars varðandi gögn sem vistast á þjónustusíðu Vodafone:
„Mikilvægt er að átta sig á muninum á annars vegar gögnum um fjarskiptaumferð og síðan þeim gögnum (loggar) sem verða til um þær aðgerðir sem gerðar eru á vefsíðunni sjálfri. Þegar vefskilaboð eru send af heimasvæði notenda á vefsíðu félagsins verða til fjarskiptaumferðargögn í fjarskiptakerfum sem eiga uppruna sinn að rekja til vefsins á nákvæmlega sama hátt og þegar smáskilaboð eru send á milli farsíma. Í skjala- og gagnaáætlun Vodafone var sérstaklega tilgreint að eyða ætti persónugreinanlegum fjarskiptaumferðargögnum áskrifenda eftir sex mánuði einnig á „Mínum síðum“. Hefur slíkum verkferlum verið fylgt hjá félaginu og voru engin gögn um fjarskiptaumferð, eldri en sex mánaða, til staðar á „Mínum síðum“ er vefsíða félagsins varð fyrir netárásinni. Þau gögn (loggar) sem stolið var voru ekki fjarskiptaumferðargögn heldur upplýsingar um aðgerðir viðskiptavina á vefnum.“
4.
Í bréfi Réttar til Persónuverndar, dags. 21. mars 2014, segir að það fyrirkomulag að sms-skilaboð send af vefsíðu Vodafone vistuðust þar sjálfkrafa, þ.e. ef sendandinn afþakkaði ekki vistunina sérstaklega, hafi verið gallað, en þetta hafi Fjarskipti hf. þegar viðurkennt, sbr. tilkynningu fyrirtækisins til viðskiptavina hinn 1. desember 2013. Þá segir að engar eða ónógar leiðbeiningar hafi verið veittar um afleiðingar þess að senda skilaboð af vefsíðunni og hafi ekki verið upplýst um það að skilaboð væru þar vistuð, enda sé Fjarskiptum hf. lögum samkvæmt ekki heimilt að geyma annað en upplýsingar um fjarskiptaumferð viðskiptavina, sbr. 42. gr. laga nr. 81/2003, þ.e. hvenær skilaboð eru send og til hvers. Í ljósi skorts á leiðbeiningum sé ekki unnt að líta svo á að vistunin hafi verið samþykkt af sendanda skilaboðanna. Auk þess segir að kvartandi sem viðtakandi hafi ekki samþykkt vistuna, en um það segir nánar:
„Ástæða þess er einfaldlega sú að umbj. minn sendi ekki langflest þau skilaboð með viðkvæmum persónuupplýsingum um hana sem láku á netið þann 30. nóvember 2013 af vefsíðu Vodafone. Um þau skilaboð geta engar röksemdir um samþykki í skilningi 8. og 9. gr. laga nr. 77/2000 átt við.“
Einnig segir í bréfi Réttar að engri af kröfum 1. mgr. 7. gr. laga nr. 77/2000, þ.e. um meðal annars sanngirni og meðalhóf við vinnslu persónuupplýsinga, hafi verið fullnægt um vinnslu umræddra upplýsinga. Þá segir meðal annars að ekki sé ástæða til að svara þeim sjónarmiðum varðandi 42. gr. fjarskiptalaga sem lýst er í bréfi Advel lögmanna slf., dags. 7. mars 2014, enda eigi slík sjónarmið ekki við í máli þessu, sbr. þá afmörkun á valdmörkum Persónuverndar og Póst- og fjarskiptastofnunar sem lýst er fremst í úrskurði þessum.
II.
Forsendur og niðurstaða
Eins og rakið hefur verið koma umræddar upplýsingar um kvartanda fram í sms-skilaboðum í farsímanúmer hennar sem send voru af vefsíðu Vodafone af viðskiptavini þess fyrirtækis, nánar tiltekið af þjónustusvæðinu „Mínar síður“. Á fundi stjórnar Persónuverndar hinn 13. maí 2014 voru kveðnir upp úrskurðir þess efnis að varðveisla sms-skilaboða, sendra af umræddu þjónustusvæði, hefði einungis getað talist heimil ef aflað hefði verið samþykkis til varðveislunnar, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 7. tölul. 2. gr. sömu laga. Vísað er til þess í úrskurðunum að á þjónustusvæðinu hafi sjálfkrafa verið gert ráð fyrir að viðskiptavinir vildu vista send skilaboð, en fyrirfram hafi verið hakað í þar til gerðan reit á þjónustusvæðinu um vistun gagna. Þá segir í úrskurðunum að það að ekki sé afhakað við reit, þar sem fram kemur að unnið verði með persónuupplýsingar, verði ekki talið fela í sér yfirlýsingu um samþykki. Með vísan til þess er niðurstaða úrskurðanna sú að heimild hafi brostið til varðveislu sendra skilaboða.
Slík yfirlýsing um samþykki, sem samkvæmt umræddum úrskurðum Persónuverndar skorti á að aflað hefði verið, væri veitt af viðskiptavini Vodafone í tengslum við sendingu hans á sms-skilaboðum af umræddu þjónustusvæði. Ekki reynir því á hvort afla hefði átt samþykkis frá kvartanda sem viðtakanda skilaboða. Það verklag hjá Vodafone við öflun heimildar til vistunar skilaboða, sem að framan er lýst, fól hins vegar í sér almennan ágalla á vistuninni sem leiddi til þess að hún varð ólögmæt í heild sinni, m.a. að því er varðar umræddar persónuupplýsingar um kvartanda. Varðveisla þeirra hjá rekstraraðila Vodafone, þ.e. Fjarskiptum hf., brast því heimild samkvæmt lögum nr. 77/2000.
Ú r s k u r ð a r o r ð:
Varðveisla Fjarskipta hf. á sms-skilaboðum með viðkvæmum persónuupplýsingum um [A], sem send voru af vefsíðu fyrirtækisins, samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.