Krafa Blands ehf. um reikningsnúmer - mál nr. 2014/471
Persónuvernd hefur úrskurðað um að öflun og notkun Blands ehf. á upplýsingum um reikningsnúmer þeirra sem selja vörur og þjónustu á vefnum bland.is samrýmist ákvæðum persónuverndarlöggjafar. Hins vegar hafi skort á fræðslu til hinna skráðu um rétt þeirra. Var því lagt fyrir Bland ehf. að upplýsa Persónuvernd um hvernig bætt hafi verið úr fræðslu eigi síðar en 3. desember nk.
Úrskurður
Hinn 19. nóvember 2014 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2014/471:
I.
Málavextir og bréfaskipti
1.
Persónuvernd hefur borist kvörtun frá [A], dags. 8. apríl 2014, yfir kröfu á vefsíðunni bland.is um að þeir sem bjóða þar vörur til sölu gefi upp reikningsnúmer sitt til auðkenningar, en sú krafa sé mjög óeðlileg. Í kvörtun segir nánar:
„Rökstuðningur fyrir þessari kvörtun minni er þessi
- Bankareikningsnúmer eru persónubundnar upplýsingar og bankar ráðleggja viðskiptavinum sínum frá því að gefa upp þessi númer í gegnum netið.
- Óvíst er hver hefur aðgang að þessum upplýsingum, hvað verður um þær, og hvernig þessar upplýsingar eru notaðar.
- Engin trygging er fyrir því hjá Bland.is hvað verður um þessar upplýsingar, hvort einhver hefur aðgang að þeim, og hvort að trygging sé fyrir því að óviðkomandi geti nálgast þessar upplýsingar og misnotað þær.
- Óvíst er hvort að það standist lög að Bland.is geti krafist þess að fá bankareikningsnúmer af notendum síðu þeirra með þessum hætti.
- Sæmilega góður hakkari gæti skaffað sér aðgang að heimasíðu Bland.is og nálgast upplýsingar um bankareikninga þá sem notendur síðunnar Bland.is hafa látið Bland.is í té.
- Komast óviðkomandi aðili í upplýsingar um bankareikninga sem geymdir eru hjá Bland.is, gæti viðkomandi aflað sér upplýsinga um tekjur viðkomandi reikningseigenda, neyslumynstur, og jafnvel dregið sér fé af bankareikningi viðkomandi aðila og jafnvel notað reikningsupplýsingar til að kaupa sér vörur og þjónustu.“
Með vísan til framangreinds er í kvörtun óskað athugunar Persónuverndar á því hvort (a) umrædd upplýsingaöflun sé lögleg, (b) hvað verði um þær upplýsingar um reikningsnúmer sem beðið sé um á bland.is, (c) hver hafi aðgang að upplýsingunum, (d) hversu lengi þær séu varðveittar hjá aðstandendnum vefsíðunnar og (e) hverjir standi að henni.
2.
Persónuvernd kannaði hver stendur að umræddri vefsíðu, en þar er um að ræða Bland ehf. Var því fyrirtæki sent bréf, dags. 16. apríl 2014, þar sem því var veitt færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 22. maí s.á. Þar segir að umræddra upplýsinga sé aflað til auðkenningar notenda til að fyrirbyggja svik, en eftir að öflun upplýsinganna hófst hafi svikum og svikatilraunum fækkað til muna. Um upplýsingaöflunina sé fjallað í notendaskilmálum á bland.is sem séu hluti af samningi við notanda. Hún eigi sér stoð í 1., 2. og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þess efnis að vinnsla persónuupplýsinga er heimil þegar aflað er samþykkis hins skráða, þegar hún er nauðsynleg vegna samningsgerðar í samræmi við tiltekin skilyrði og þegar hún er nauðsynleg í þágu lögmætra hagsmuna sem vegna þyngra en grundvallarréttindi og frelsi hins skráða. Auk þess sé kröfum laga nr. 77/2000 fullnægt að öðru leyti, þ. á m. kröfum 7. gr. laganna, en þar er m.a. mælt fyrir um að vinnsla skuli fara fram í málefnalegum tilgangi og samrýmast meðalhófskröfum. Þá segir meðal annars:
„Þegar notandi hefur skráð sig inn á Bland.is og auðkennt sig í fyrsta skipti er bankaupplýsingum eytt um leið og gengið hefur verið úr skugga um að um réttan aðila sé að ræða. Kennitölu er haldið eftir í gagnagrunni, dulkóðaðri, og er einskonar öryggisventill ef grunur leikur á að um svik sé að ræða. Hafi notandi ekki verið virkur í sex mánuði er kennitölu einnig eytt úr gagnagrunni.“
Í framhaldi af þessu er tekið fram að eingöngu þjónustustjóri og vefstjóri hafi aðgang að dulkóðuðum upplýsingum.
3.
Með bréfi, dags. 8. apríl 2014, ítrekuðu með bréfum, dags. 3. september og 21. október s.á., var kvartanda veitt færi á að tjá sig um framangreind svör Blands ehf. Tekið var fram í síðara ítrekunarbréfinu að ef engin svör bærust yrði kvörtunin tekin til afgreiðslu á grundvelli fyrirliggjandi gagna. Ekki hafa borist svör.
II.
Forsendur og niðurstaða
1.
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Vinnsla persónuupplýsinga er heimil ef einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga er fullnægt. Af hálfu Blands ehf. hefur í því sambandi meðal annars verið vísað til 2. tölul. ákvæðisins, þess efnis að vinnsla persónuupplýsinga er heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Í athugasemdum við 2. tölul. í greinargerð með því frumvarpi, sem varð að lögunum, segir að í tengslum við efndir samnings við hinn skráða megi viðhafa nauðsynlega vinnslu, s.s. á pöntunum, reikningum og kvittunum. Undir umræddan tölulið falli að auki sú aðstaða þegar vinnsla er nauðsynleg til að undirbúa gerð samnings.
Persónuvernd telur ekki ótvírætt, m.a. þegar litið er til framangreindrar umfjöllunar í lögskýringargögnum, að umrædd vinnsla teljist nauðsynleg vegna samnings eða samningsgerðar í þeim skilningi sem krafist er samkvæmt 2. tölul. 1. mgr. 8. gr. Reynir þá á hvort aðrar heimildir samkvæmt ákvæðinu geti átt við, en einkum koma þar til álita 1. og 7. tölul. 1. mgr. Samkvæmt fyrrnefnda ákvæðinu er vinnsla persónuupplýsinga heimil þegar aflað hefur verið samþykkis hins skráða. Þá segir í því síðarnefnda að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna, enda vegi þeir þyngra en grundvallarréttindi og frelsi hins skráða.
Í skýringum Blands ehf. kemur fram að með öflun reikningsnúmers þeirra sem nýta vefinn bland.is til sölu á vörum og þjónustu sé leitast við að koma í veg fyrir svik. Persónuvernd telur að skilyrði um lögmæta hagsmuni samkvæmt 7. tölul. 1. mgr. 8 .gr. sé fullnægt eins og hér stendur á. Þá telur stofnunin, eins og hér háttar til, að þeir vegi þyngra en hagsmunir seljenda á vefnum af því að veita ekki umræddar upplýsingar. Á öflun upplýsinganna því stoð í umræddu ákvæði.
Það hvort samþykki í skilningi 1. tölul. 1. mgr. 8. gr. sé einnig til staðar ræðst meðal annars af því hvort hinum skráðu megi vera nægilega kunnugt um hvers vegna og með hvaða hætti vinnsla fer fram þegar þeir veita upplýsingar um reikningsnúmer sitt. Í því felst að um þarf að vera að ræða ótvírætt samþykki hins skráða eða samþykki í skilningi 7. tölul. 2. gr. laganna eins og tekið er fram í umræddum tölulið. Þar sem vinnsla persónuupplýsinga þarf ekki að samrýmast fleiri en einu af heimildarákvæðum 8. gr. gerist þess ekki þörf að taka hér afstöðu til þess hvort umræddum kröfum til samþykkis sé fullnægt. Hins vegar er ljóst að þegar persónuupplýsinga er aflað frá hinum skráða sjálfum verður, óháð því hvort byggt er á samþykki eða annarri vinnsluheimild, að veita honum fræðslu í samræmi við ákvæði 1. mgr. 20. gr. laga nr. 77/2000. Samkvæmt því ákvæði ber að upplýsa um nafn og heimilisfang þess sem ábyrgð ber á vinnslu persónuupplýsinga, sem og tilgang vinnslunnar. Þá ber að veita aðrar upplýsingar, að því marki sem þær eru nauðsynlegar með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna. Nefnd eru dæmi um hvað geti fallið þar undir, þ. á m. fræðsla um viðtakendur eða flokka viðtakenda upplýsinga, sbr. a-lið 3. tölul. ákvæðisins, og um ákvæði laga nr. 77/2000 um upplýsingarétt hins skráða, sbr. c-lið sama töluliðar. Nánar tiltekið er þar átt við 18. gr. laganna þar sem mælt er fyrir um nánari fræðslu sem veitt er hinum skráða samkvæmt beiðni hans.
Auk þess sem veita ber hinum skráða fræðslu í samræmi við framangreint ber að fara að öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000, en þar er meðal annars mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skuli samrýmast vönduðum vinnsluháttum (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli ekki varðveittar lengur á persónugreinanlegu formi en þörf krefur í ljósi tilgangi vinnslunnar (5. tölul.), en í því felst að þær skulu ekki varðveittar lengur en málefnalegt er og málefnalegan varðveislutíma.
Persónuvernd telur, í ljósi skýringa Blands ehf. á tilgangi umræddrar vinnslu og öðrum atriðum varðandi vinnsluna, að hún samrýmist kröfum 1. mgr. 7. gr. til meðal annars málefnalegs tilgangs, meðalhófs og varðveislutíma. Telur stofnunin því ekki, eins og á stendur, tilefni til sérstakrar umfjöllunar um vinnsluna í ljósi 1. mgr. 7. gr. nema hvað varðar skilyrði 1. tölul. málsgreinarinnar um að vinnsla fari fram með sanngjörnum hætti. Í því skilyrði er meðal annars talin felast gagnsæiskrafa, þ.e. um að hinn skráði fái eða eigi kost á fullnægjandi vitneskju um vinnslu. Umfjöllun um umrætt skilyrði fellur því saman við umfjöllun um fyrrnefnt ákvæði 20. gr. laga nr. 77/2000.
Við athugun Persónuvernd hefur komið í ljós að þegar óskað er eftir reikningsnúmeri hins skráða er hann beðinn um að staðfesta notendaskilmála Blands ehf. Gefinn er upp hlekkur á skilmálanna, en fremst í þeim kemur heiti Blands ehf. fram ásamt heimilisfangi. Þá segir, í því viðmóti þar sem upplýsinganna er óskað, að án þeirra sé ekki hægt að upplýsa hver hinn skráði sé, sem og að upplýsingarnar verði hvorki birtar né þeim deilt með þriðja aðila eða honum heimilað að skrá þær eða nota af vefnum. Auðkenning þjóni þeim tilgangi að gera kaup og sölu öruggari og ábyrgari.
Persónuvernd telur umrædda fræðslu, eins og hér háttar til, fullnægja kröfum 1. mgr. 20. gr. laga nr. 77/2000, sbr. og 1. tölul. 1. mgr. 7. gr. sömu laga, að öðru leyti en því að eins og á stendur skortir leiðbeiningu um ákvæði laganna um upplýsingarétt hins skráða, þ.e. 18. gr.
Með vísan til alls framangreinds er niðurstaða Persónuverndar sú að umrædd vinnsla persónuupplýsinga samrýmist kröfum laga nr. 77/2000 nema hvað varðar fyrrgreint atriði um veitingu fræðslu. Skal Bland ehf. greina Persónuvernd frá því eigi síðar en 3. desember nk. hvernig bætt hafi verið úr fræðslunni þannig að hinum skráðu sé greint frá áðurnefndum rétti sínum til frekari vitneskju um vinnslu persónuupplýsinga. Þá skal minnt á mikilvægi þess að öryggi umræddra upplýsinga sé nægilega gætt, sbr. 11. og 12. gr. laga nr. 77/2000, sbr. reglur nr. 299/2001 um öryggi persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Öflun og notkun Blands ehf. á upplýsingum um reikningsnúmer þeirra sem selja vörur eða þjónustu á vefnum bland.is samrýmist lögum nr. 77/2000 að öðru leyti en því að fræðslu skortir til hinna skráðu um upplýsingarétt þeirra samkvæmt lögum nr. 77/2000. Skal Bland ehf. greina Persónuvernd frá því eigi síðar en 3. desember nk. hvernig bætt hafi verið úr fræðslunni hvað það varðar.