Skráning netfanga á tölvupóstfangalista
Persónuvernd hefur tekið ákvörðun um að vefmarkaðstorgi hafi verið óheimilt að skrá viðskiptavini sína á tölvupóstfangalista annarar vefverslunar. Þá var vefversluninni óheimilt að taka við og notast við þau netföng. Var vefversluninni gert að eyða upplýsingunum úr viðskiptamannaskrá sinni.
Ákvörðun
Á fundi stjórnar Persónuverndar hinn 25. ágúst 2015 var tekin svohljóðandi ákvörðun í máli nr. 2014/1662:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Hinn 27. nóvember 2014 sendi Bland ehf. viðskiptavinum sínum tilkynningu um skráningu tölvupóstfanga þeirra hinn 1. desember s.á. hjá Heimkaupum ehf. nema hún yrði afþökkuð, en í slíkri skráningu hefði falist að send yrðu tilboð til viðkomandi um vörur og þjónustu á vegum þriðju aðila. Af þessu tilefni bárust Persónuvernd fyrirspurnir og ábendingar og með bréfi, dags. 28. nóvember 2014, óskaði stofnunin skýringa Blands ehf. á framangreindu. Svarað var með bréfi, dags. 12. desember s.á. Þar segir:
„Þann 27. nóvember sl. sendi bland.is notendum sínum tölvupóst með fyrirsögninni „Þú átt inneign hjá Heimkaup.is“. Í póstinum var notendum gert kleift, með áberandi rauðum „takka“ að afþakka inneignina sem í boði var hjá heimkaup.is og fara þar með ekki á póstlista Heimkaupa.
Þann 1. desember voru póstlistar félaganna samkeyrðir, en aðeins hjá þeim viðskiptavinum bland.is sem höfðu opnað póstinn sem sendur var þann 28. nóvember 2014.
Nýir notendaskilmálar tóku gildi á bland.is þann 20. nóvember sl. Þar segir í 5. tl. 5. gr. að notandi heimili Bland að miðla skráðu netfangi til þriðja aðila. Þá heimilar notandi jafnframt að sá aðili sem netfangi hans er miðlað til sendi honum tölvupóst. Í lokamálslið 5. tl. 5. gr. skilmálanna kemur fram að ef notandi vill ekki að netfangi hans sé miðlað til þriðja aðila geti hann sent tölvupóst þar að lútandi á þjónustustjóra á netfangið bland[hjá]bland.is.
Í því tilfelli sem hér um ræðir hefur notandi á bland.is samþykkt, með því að samþykkja notendaskilmála Blands, að netfangi hans verði miðlað til annarra. Telur bland.is að með því að notandi sendi ekki tölvupóst með óskum um að netfangi hans sé ekki miðlað til þjónustustjóra bland.is samþykki notandi að netfangi hans sé miðlað. Þar með teljast ákvæði 1. mgr. 7. gr. og 1. tl. 1. mgr. 8. gr. persónuverndarlaga uppfyllt.
Rétt er að taka fram að bland.is hefur ákveðið að breyta vinnulagi við póstsendingar eins og þá sem hér um ræðir. Í framtíðinni mun verða áberandi „takki“ sem móttakandi pósts þarf að ýta á til að samþykkja slík tilboð, og mun netfangi því ekki verða miðlað nema móttakandi hafi óskað eftir því með því að ýta á hann.“
Með framangreindu bréfi fylgdu hinir nýju notendaskilmálar. Í inngangi að skilmálunum segir meðal annars:
„Ef notandi bland.is notar bland.is og/eða þjónustu eftir að breytingarnar hafa verið kynntar, er litið svo á að notandi bæði skilji og samþykki breytingarnar. Því hvetur Bland notanda að kynna sér hvort breytingar hafa átt sér stað á skilmálunum í hvert sinn sem hann skoðar bland.is eða færir sér í nyt þjónustu vefsíðunnar. Neðst í skjalinu kemur fram hvaða útgáfu skilmálanna er um að ræða.“
Á þeim „takka“ eða hnapp, sem getið er í framangreindu bréfi, segir: „Nei, takk! Ég vil ekki fá inneign eða vera á póstlista Heimkaupa.“
2.
Með bréfi, dags. 30. apríl 2014, óskaði Persónuvernd frekari skýringa, þ.e. um hvernig Bland ehf. og Heimkaup ehf. teldu umrædda vinnslu horfa við kröfum um ótvírætt samþykki. Ekki barst svar frá Heimkaupum ehf. Bland ehf. svaraði hins vegar með bréfi, dags. 18. maí 2015. Þar segir meðal annars:
„Það er mat bland.is að í því að notandi samþykki notendaskilmála á vefsvæðinu www.bland.is felist ótvírætt samþykki hans um að miðla megi tölvupóstfangi hans til þriðja aðila, sbr. 1. tl. 1. mgr. 8. gr. laga um persónuvernd og mefðerð persónuupplýsinga nr. 77/2000. Við samþykki notendaskilmálanna samþykkir notandi miðlunina sbr. 5. mgr. 5. gr. skilmálanna. Notandi getur óskað eftir því við þjónustustjóra bland.is að netfangi hans sé ekki miðlað. Við fyrstu innskráningu á bland.is þarf að fylla út upplýsingar til að fá aðgang að síðunni. Þar má lesa notendaskilmála bland.is í heild sinni og haka í þar til gert hólf til að samþykkja skilmálana. Á sama stað og innskráningin á sér stað er hægt að afþakka skráningu á póstlista bland.is.“
Einnig segir að Bland ehf. gangi út frá að notendur lesi og skilji notendaskilmálana áður en þeir samþykkja þá við innskráningu á vefsíðu fyrirtækisins, bland.is. Þá hafi notendur val um að nýta sér síðuna og verði að hafa náð 18 ára aldri til að skrá sig inn. Til að ganga úr skugga um að þeim aldri sé náð séu nöfn og kennitölur nýskráðra notenda samkeyrðar við þjóðskrá. Umrædd skráning á tölvupóstlista Heimkaupa ehf. hafi verið notendum til hagsbóta, þ.e. með von um að þeir mynda nýta sér þau tilboð og þann afslátt sem boðinn er á vefsíðu þess fyrirtækis, heimkaup.is. Að auki segir:
„Notendum bland.is var tilkynnt um breytingar á notendaskilmálum með áberandi tilkynningu á forsíðu bland.is. Þess var ekki sérstaklega getið að um breytingar á skilmálum er varða vinnslu persónuupplýsinga væri að ræða. Til stendur að benda sérstaklega á ef breytingar verða á skilmálum er varða vinnslu persónuupplýsinga með áberandi tilkynningu á forsíðu.“
Í niðurlagi bréfs Blands ehf. segir að ákveðið hafi verið að fara í saumana á verklagsreglum vegna tölvupóstsendinga og muni væntanlega verða óskað eftir umsögn frá Persónuvernd áður en þær taka og notendaskilmálar verða uppfærðir.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér er um meðferð persónuupplýsinga að ræða sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Bland ehf. ábyrgðaraðili að þeirri vinnslu sem fólst í skráningu á viðskiptavinum fyrirtækisins á tölvupóstfangalista Heimkaupa ehf. Þá það telst það fyrirtæki vera ábyrgðaraðili að þeirri vinnslu sem felst í móttöku netfanga og notkun þeirra.
2.
Svo að vinna megi með persónuupplýsingar verður ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Í framkvæmd Persónuverndar hefur áður fjallað um hvort það hafi átt við um slíka miðlun tölvupóstfanga og hér um ræðir, þ.e. í úrskurði, dags. 13. mars 2014, í máli nr. 2013/1111. Þar taldi stofnunin hins vegar ekki liggja fyrir að veittur hefði verið kostur á andmælum við skráningu á tölvupóstfangi eins og hér háttar til heldur aðeins við móttöku tölvupósts. Í ljósi þessa var í úrskurðinum fjallað um fyrirliggjandi ágreiningsefni í ljósi 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um heimild til að vinna með persónuupplýsingar þegar lögmætir hagsmunir af vinnslu vega þyngra en grundvallarréttur og frelsi hins skráða. Taldi Persónuvernd skipta máli við það hagsmunamat hvort veittur hefði verið nægur andmælaréttur. Varð niðurstaðan sú að svo væri ekki og var því talið, m.a. í ljósi 5. mgr. 28. gr. laganna, að um óheimila vinnslu hefði verið að ræða.
Í máli þessu var veittur kostur á andmælum við því að netfang væri á póstlista Heimkaupa ehf. Við mat á því hvaða skilyrði 8. gr. laga nr. 77/2000 geta átt við hverju sinni getur hins vegar einnig þurft að líta til ákvæða í öðrum lögum. Eins og hér háttar til reynir þá einkum á ákvæði í fjarskiptalögum nr. 81/2003. Samkvæmt 1. mgr. 46. gr. þeirra laga er notkun tölvupósts í þágu beinnar markaðssetningar háð því skilyrði að áskrifandi að fjarskiptaþjónustu hafi veitt samþykki sitt fyrir fram. Frá þeirri kröfu er gerð undantekning í 2. mgr. sömu greinar, en hún tekur aðeins til markaðssetningar á eigin vörum eða þjónustu þegar viðskiptavinum hefur verið gefinn kostur á að andmæla slíkra notkun tölvupóstfanga við skráningu. Getur sú undantekning því ekki átt við hér.
Einnig ber að líta til 1. mgr. 45. gr. laga nr. 81/2003 þar sem fjallað er um „opinberar númera- og vistfangaskrár“. Er þar meðal annars mælt fyrir um rétt manna til að vera óskráðir í slíkum skrám, en af því verður ráðin sú afstaða löggjafans að upplýsingar um meðal annars netföng einstaklinga skuli njóta sérstakrar verndar og að þeir eigi að geta ákveðið sjálfir hvernig þeim er ráðstafað.
Meðal annars í ljósi framangreindra ákvæða fjarskiptalaga telur Persónuvernd einkum 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000 geta átt við um þá vinnslu persónuupplýsinga sem hér um ræðir, þ.e. annars vegar miðlun Blands ehf. á upplýsingunum til Heimkaupa ehf. og hins vegar móttöku síðarnefnda fyrirtækisins á upplýsingunum og notkun þeirra í starfsemi sinni. Í umræddu ákvæði laga nr. 77/2000 er nánar tiltekið mælt fyrir um heimild til vinnslu persónuupplýsinga á grundvelli samþykkis hins skráða. Af ákvæðinu leiðir að samþykki verður að vera ótvírætt.
Við mat á því hvort framangreindu skilyrði til samþykkis teljist hafa verið fullnægt ber að líta til túlkunar Póst- og fjarskiptastofnunar á 1. mgr. 46. gr. laga nr. 81/2003. Er það afstaða hennar að samþykki þurfi að vera veitt, sbr. meðal annars ákvörðun hennar frá 23. desember 2014 í máli nr. 42/2014, en þar kemur meðal annars fram að athafnaleysi geti ekki talist til ótvíræðrar yfirlýsingar um heimild til notkunar á netfangi. Þá kemur fram að sérstök afskráning fyrir frekari tölvupóstföngum geti ekki talist samþykki fyrir að vera skráður á netfangalista í þágu markaðssetningar. Sama afstaða birtist í framkvæmd úrskurðarnefndar fjarskipta- og póstmála, sbr. meðal annars úrskurð hennar frá 31. október 2013 í máli nr. 2/2013.
Í ljósi framangreinds telur Persónuvernd umrædda skráningu Blands ehf. á viðskiptavinum sínum á tölvupóstlista Heimkaupa ehf. ekki hafa fullnægt kröfum til samþykkis samkvæmt 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þá gátu aðrar heimildir 8. gr. ekki rennt stoðum undir skráninguna, auk þess sem móttaka og notkun Heimkaupa ehf. á netföngum skorti heimild í sömu grein. Umrædd vinnsla upplýsinga um netföng manna var því báðum fyrirtækjunum óheimil. Ber Heimkaupum ehf. að eyða þeim úr viðskiptamannaskrá sinni, en staðfesting á að það hafi verið gert skal berast Persónuvernd eigi síðar en 25. september nk.
Á k v ö r ð u n a r o r ð:
Blandi ehf. var óheimilt að skrá viðskiptavini sína á tölvupóstfangalista Heimkaupa ehf. Heimkaupum var óheimilt að taka við og notast við netföng viðkomandi og ber að eyða þeim úr viðskiptamannaskrá sinni. Staðfesting á að það hafi verið gert skal send Persónuvernd eigi síðar en 25. september nk.