Úrskurður um miðlun persónuupplýsinga hjá Nova hf.
Mál nr. 2017/935
Persónuvernd hefur úrskurðað að miðlun Nova hf. á persónuupplýsingum um kvartanda samrýmdist ekki lögum nr. 77/2000, auk þess sem Nova hf. hafi ekki gert ráðstafanir til að koma í veg fyrir að upplýsingarnar kæmust í hendur óviðkomandi aðila og þannig brotið gegn 11. gr. laga nr. 77/2000.
Úrskurður
Á fundi stjórnar Persónuverndar þann 18. janúar 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/935:
I.
Málsmeðferð
1.
Tildrög máls
Þann 14. júní 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), yfir miðlun Nova hf. á persónuupplýsingum um hann. Í kvörtuninni kemur meðal annars fram að fyrrverandi eiginkona kvartanda fékk útprentað yfirlit yfir símanúmer hans hjá Nova hf., sem skráð er á fyrirtækið [B]. Sá hún þar við hverja hann hafði talað í síma og hverjum hann hafði sent SMS-skilaboð. Segir að hún hafi komið auga á að kvartandi hafði verið í samskiptum við tiltekna konu, sem hún þekkti til. Hafi hún í framhaldinu farið til konunnar og ráðist á hana með ofbeldi. Upplýsti kvartandi að sú líkamsárás hefði verið kærð til lögreglu.
2.
Bréfaskipti
Persónuvernd hafði samband við Póst- og fjarskiptastofnun með tölvupósti, dags. 14. september 2017, vegna málsins og óskaði eftir áliti á því hvort málið félli undir valdsvið Persónuverndar eða Póst- og fjarskiptastofnunar. Í tölvupósti Póst- og fjarskiptastofnunar, dags. sama dag, kom fram að í 38. gr. laga nr. 81/2003, um fjarskipti, væri fjallað um rétt áskrifenda til að fá sundurliðun á reikningi fyrir fjarskiptanotkun, sem væri nánar útfærður í reglum. Aftur á móti væri ekki fjallað um miðlun slíkra upplýsinga til annarra aðila. Væri því talið að almenn ákvæði um vinnslu persónuupplýsinga, samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, myndu eiga við um einstök álitamál í þeim efnum.
Með tölvupósti, dags. 19. september 2017, óskaði Persónuvernd eftir upplýsingum frá kvartanda um hvort málið væri til meðferðar hjá lögreglu. Kvartandi upplýsti, með tölvupósti sama dag, að kvörtun hans til Persónuverndar lyti eingöngu að miðlun Nova hf. á persónuupplýsingum um hann en að kæran til lögreglu varðaði framangreinda líkamsárás.
Með bréfi, dags. 20. september 2017, var Nova hf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Sérstaklega var óskað eftir upplýsingum um við hvaða heimild í 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, umrædd vinnsla studdist.
Í svarbréfi Nova hf., dags. 5. október 2017, segir að fyrrverandi eiginkona kvartanda hafi gefið í skyn að hún væri að óska eftir umræddum gögnum fyrir hönd [B] og villt á sér heimildir með því að framvísa greiðslukorti með nafni fyrirtækisins. Hafi hún þannig blekkt þann starfsmann Nova hf. sem afhenti henni umbeðnar upplýsingar. Kemur því fram að Nova hf. telji að frumástæða þess að viðkomandi komst yfir upplýsingarnar megi rekja til blekkinga hennar. Aftur á móti segir að starfsmaður Nova hf. hafi gert mistök með afhendingu upplýsinganna, þar sem vinnulag Nova hf. geri ekki ráð fyrir að upplýsingar af þessu tagi séu afhentar þeim sem um þær biður, jafnvel þótt það sé skráður notandi eða greiðandi vegna símanúmersins, heldur sé þeim sem óskar slíkra upplýsinga bent á að nálgast þær á læstu vefsvæði viðkomandi á þjónustuvef Nova hf. Þá er tekið fram að eftir atvikið hafi stjórnendur Nova hf. hitt kvartanda og útskýrt sína hlið mála. Þá vísar Nova hf. til þess að fyrirtækið sé fjarskiptafyrirtæki og að um starfsemi þess gildi meðal annars lög um fjarskipti nr. 81/2003, með síðari breytingum. Í þeim lögum sé sérstakur kafli um vernd persónuupplýsinga og friðhelgi einkalífs. Telur Nova hf. þær upplýsingar sem fyrirtækið hefur varðveitt vegna símanotkunar viðskiptavina sinna rúmast innan þeirra heimilda, sem fram koma í fjarskiptalögum.
Þá segir loks að Nova hf. hafi skerpt enn frekar á starfsreglum sínum í kjölfar umrædds atviks til að freista þess að útiloka með öllu að rangur aðili geti villt á sér heimildir og þannig öðlast á grundvelli blekkingar aðgang að upplýsingum sem honum séu óviðkomandi.
Með bréfi, dags. 10. október 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Nova hf. til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi kvartanda, dags. 31. s.m., er því mótmælt að fyrrverandi eiginkona hans hafi haft í umráðum sínum greiðslukort með nafni [B] auk þess sem slíkt greiðslukort hafi aldrei verið til. Þá er tekið fram að háttsemi Nova hf. verði á engan hátt réttlætt og að útskýringar Nova hf. breyti engu um sök félagsins vegna afhendingar gagnanna. Hafi brot Nova hf. leitt til þess að sá einstaklingur, sem fékk upplýsingarnar afhentar, réðst á annan einstakling með ofbeldi. Eru því fyrri sjónarmið kvartanda ítrekuð og farið fram á að Nova hf. verði beitt viðeigandi viðurlögum.
Með tölvupósti þann 12. janúar 2018 óskaði Persónuvernd eftir upplýsingum frá Nova hf. um hvort skráð hafi verið hjá fyrirtækinu með einhverjum hætti hvaða einstaklingar hefðu heimild til að fá í hendur upplýsingar um notkun þeirra símanúmera, sem skráð voru á fyrirtækið sem um ræðir í málinu; [B.] Var svarfrestur veittur til 16. janúar s.á. en engin svör bárust.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.
Fyrir liggur að í því yfirliti yfir símnotkun sem Nova hf. afhenti fyrrverandi eiginkonu kvartanda mátti sjá samskipti sem hann hafði átt og rekjanleg voru til hans sem einstaklings, fremur en eingöngu þess lögaðila sem skráður er fyrir viðkomandi símanúmeri. Af þessu og öllu framangreindu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Nova hf. vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Má þar nefna að aflað sé samþykkis, sbr. 1. tölul. 1. mgr. þeirrar greinar, eða að hún sé nauðsynleg til að gæta lögmætra hagsmuna, enda vegi grundvallarréttindi og frelsi hins skráða ekki þyngra, sbr. 7. tölul. sömu málsgreinar
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Eins og atvikum hér var háttað afhenti Nova hf. yfirlit yfir fjarskiptanotkun kvartanda með síma fyrirtækis hans, en ekki liggur fyrir að viðtakandi yfirlitsins hafi verið skráður hjá Nova hf. sem einstaklingur með heimild til að fá í hendur upplýsingar um notkun þess síma. Verður ekki séð að heimild hafi staðið til miðlunarinnar samkvæmt 1. mgr. 8. gr. laga nr. 77/2000. Var hún því óheimil.
Þá er til þess að líta að í 1. mgr. 11. gr. laga nr. 77/2000 kemur fram að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi, sbr. einnig reglur nr. 299/2001 um öryggi persónuupplýsinga. Af framangreindu leiðir að Nova hf. bar að gera ráðstafanir til að koma í veg fyrir að umræddar upplýsingar kæmust í hendur óviðkomandi, til dæmis með því að tryggja að sá sem óskar afhendingar sé skráður sem þar til bær aðili fyrir hönd fyrirtækisins. Verður ekki séð að þetta hafi verið gert og var því brotið gegn ákvæðum 11. gr. laga nr. 77/2000.
Samkvæmt skýringum Nova hf. hefur verið skerpt á starfsreglum fyrirtækisins um afhendingu símagagna í kjölfar atviksins. Með vísan til 1. mgr. 40. gr. laga nr. 77/2000 leggur Persónuvernd fyrir Nova hf. að senda stofnuninni afrit af reglunum eigi síðar en 15. febrúar næstkomandi, auk upplýsinga um hvernig fræðslu til starfsmanna er háttað um efni verklagsreglnanna.
Ú r s k u r ð a r o r ð:
Miðlun Nova hf. á persónuupplýsingum um kvartanda til fyrrverandi eiginkonu hans samrýmdist ekki lögum nr. 77/2000. Eigi síðar en 15. febrúar nk. skal fyrirtækið senda Persónuvernd afrit af starfsreglum sínum um afhendingu símagagna, auk upplýsinga um hvernig fræðslu til starfsmanna um efni verklagsreglnanna er háttað.