Úrskurður um óheimila miðlun persónuupplýsinga frá Tækniskólanum ehf.
Mál nr. 2017/842
Persónuvernd hefur úrskurðað um að miðlun persónuupplýsinga frá Tækniskólanum ehf. til Háskólans í Reykjavík hafi ekki samrýmst lögum nr. 77/2000 þar sem kvartandi var skráður á bannskrá Þjóðskrár Íslands og ekki var aflað samþykkis hans fyrir miðluninni.
Úrskurður
Á fundi stjórnar Persónuverndar þann 20. nóvember 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/842:
I.
Málsmeðferð
1.
Tildrög máls
Þann 24. maí 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) vegna miðlunar persónuupplýsinga um hann frá Tækniskólanum ehf. til Háskólans í Reykjavík þrátt fyrir að kvartandi hafi verið skráður á bannskrá Þjóðskrár Íslands. Í kvörtuninni segir m.a. að kvartanda hafi verið sendur markpóstur frá Háskólanum í Reykjavík vorið 2017 vegna Háskóladagsins, en í ljós kom að upplýsingum um hann hafði verið miðlað frá Tækniskólanum til háskólans. Í kvörtun segir jafnframt að kvartandi sé bannmerktur í skrá Þjóðskrár Íslands og að hann sé ósamþykkur því að persónuupplýsingum um hann sé miðlað með þessum hætti til þriðja aðila.
2.
Bréfaskipti
Með bréfi, 21. júní 2017, var Tækniskólanum ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarað var með bréfi, dags. 27. s.m., en þar segir að þann 6. febrúar 2017 hafi Tækniskólanum borist erindi frá verkefnastjóra Háskóladagsins fyrir hönd Háskólans í Reykjavík þar sem óskað var eftir lista yfir útskriftarnemendur vegna Háskóladagsins sem haldinn var þann 6. mars s.á. Sama dag sendi Tækniskólinn lista yfir útskriftarefni vorannar 2017 til verkefnastjóra Háskóladagsins. Sendar voru upplýsingar um nöfn og póstfang, en fram kom í bréfinu að Tækniskólinn hefði ekki heimild til að senda kennitölur einstaklinganna. Með svarbréfi Tækniskólans fylgdi framangreint erindi verkefnastjóra Háskóladagsins.
Í svarbréfinu er bent á að Tækniskólinn telji að það sé á ábyrgð þeirra sem senda markpóst f.h. háskólanna, en ekki Tækniskólans að tryggja að farið sé að reglum um sendingu markpósts. Að auki segir að Tækniskólinn telji að kynning á námi og námsframboði háskóla á sameiginlegum Háskóladegi flokkist ekki sem markaðssetningarstarfsemi í skilningi 28. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Með bréfi, dags. 19. júlí 2017, ítrekuðu með bréfi, dags. 2. október s.á., var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Tækniskólans til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svar barst með tölvupósti þann 13. október s.á. Í svari kvartanda segir að hann telji ljóst að ábyrgðin liggi aðallega hjá Tækniskólanum
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Sú vinnsla sem hér er kvartað yfir er miðlun persónuupplýsinga um kvartanda frá Tækniskólanum til Háskólans í Reykjavík, en eins og hér háttar til telst Tækniskólinn vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Kemur hér helst til álita 7. tölul. 1. mgr. þeirrar greinar. Það ákvæði mælir fyrir um að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Vinnsla í þágu markaðssetningar hefur verið talin geta þjónað lögmætum hagsmunum og því geta samrýmst þessu ákvæði, enda hafi verið gætt hagsmuna þeirra sem hlut eiga að máli. Til þess þarf hins vegar að virða ákvæði um andmælarétt hins skráða.
Um vinnslu persónuupplýsinga í markaðssetningarstarfsemi gildir sérákvæði 28. gr. laga nr. 77/2000, með áorðnum breytingum. Ákvæðið gerir ráð fyrir sérstökum og ríkum andmælarétti hins skráða að því er varðar notkun persónuupplýsinga um hann í tengslum við markaðssetningarstarfsemi. Er þessi réttur ekki takmarkaður við að hinn skráði tilgreini sérstakar ástæður fyrir andmælum sínum. Þá er rúm túlkun á hugtakinu markaðssetning forsenda þess að ákvæði 28. gr. nái verndarmarkmiði sínu. Persónuvernd hefur því talið að undir það falli ekki aðeins kynning á vöru eða þjónustu sem í boði er gegn gjaldi heldur einnig annað áróðurs-, auglýsinga- og kynningarstarf þar sem reynir á sömu sjónarmið. Nánar tiltekið er litið svo á að undir hugtakið falli öll vinnsla við beina markaðssókn, þ.e. beina sókn að skilgreindum hópi einstaklinga í þeim tilgangi að hafa áhrif á þá, skoðanir þeirra eða hegðun. Tekur hugtakið markaðssetningarstarfsemi þannig skýrlega til miðlunar Tækniskólans ehf. til verkefnastjóra Háskóladagsins, f.h. Háskólans í Reykjavík, í þeim tilgangi að kynna starfsemi háskólanna á Háskóladeginum.
Ákvæði 28. gr. laga nr. 77/2000 gerir ráð fyrir að Þjóðskrá Íslands haldi skrá yfir þá sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi. Nánar tiltekið segir í 1. mgr. ákvæðisins að þeir sem nota slíkar skrár, s.s. eigin viðskiptamannaskrár, í tengslum við markaðssetningarstarfsemi, skuli bera þær saman við bannskrá Þjóðskrár áður en þær eru notaðar í slíkum tilgangi, til að koma í veg fyrir að markpóstur verði sendur eða hringt verði til einstaklinga sem hafa andmælt slíku.
Um þá sem miðla félaga-, starfsmanna- eða viðskiptamannaskrám til nota í slíkum tilgangi gildir hins vegar ákvæði 5. mgr. 28. gr. Sú skrá sem mál þetta varðar, og Tækniskólinn afhenti í þágu markaðssetningar, hefur að geyma nöfn og póstföng tilvonandi útskriftarefna vorannar 2017. Við mat á því hvort um viðskiptamannaskrá hafi verið að ræða í skilningi 5. mgr. þarf m.a. líta til 1. gr. laganna um markmið þeirra. Telja verður í ljósi þess ákvæðis að túlka verði ákvæði 5. mgr. rúmt til að verndarmarkmið þess náist. Að framangreindu virtu telur Persónuvernd að um hafi verið að ræða skrá er jafna megi til viðskiptamannaskrár í skilningi 5. mgr. 28. gr.
Samkvæmt 5. mgr. 28. gr. er ábyrgðaraðila heimilt að afhenda félaga-, starfsmanna- eða viðskiptamannaskrár til nota í tengslum við markaðssetningarstarfsemi ef skilyrði ákvæðisins eru uppfyllt. Þar á meðal eru þau skilyrði að hinum skráðu hafi, áður en afhending fór fram, verið gefinn kostur á að andmæla því, hverjum fyrir sitt leyti, að upplýsingar um viðkomandi birtist á hinni afhentu skrá. Einnig ber ábyrgðaraðila að kanna hvort einhver hinna skráðu hafi komið andmælum á framfæri við Þjóðskrá Íslands og þá eytt upplýsingum um viðkomandi áður en hann lét skrána af hendi. Ákvæði 5. mgr. 28. gr. gildir ekki ef afhending félaga-, starfsmanna- eða viðskiptamannaskrám til nota við dreifingu markpósts byggist á samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr. sömu laga.
Í málinu liggur fyrir að Tækniskólinn bar ekki saman hvort kvartandi hafði skráð sig á bannskrá Þjóðskrár Íslands áður en hann miðlaði lista yfir tilvonandi útskriftarnemendur til Háskólans í Reykjavík og jafnframt liggur fyrir að afhending skrárinnar byggðist ekki á samþykki hins skráða.
Þar sem ekki var gætt að andmælarétti hins skráða skv. 28. gr. laga nr. 77/2000 verður jafnframt ekki talið að miðlun Tækniskólans á persónuupplýsingum um kvartanda hafi samrýmst meginreglum 7. gr. sömu laga, þar sem m.a. er kveðið á um sanngirni og meðalhóf við vinnslu persónuupplýsinga.
Af framangreindu er því ljóst að vinnsla persónuupplýsinga um kvartanda hjá Tækniskólanum ehf. samrýmdist ekki ákvæðum 28. gr. laga nr. 77/2000, enda var kvartandi skráður í bannskrá Þjóðskrár og ekki var aflað samþykki hans fyrir miðluninni.
Ú r s k u r ð a r o r ð:
Miðlun Tækniskólans ehf. á persónuupplýsingum um kvartanda samrýmdist ekki ákvæðum 28. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Eigi síðar en 15. janúar 2018 skal Tækniskólinn senda Persónuvernd lýsingu á ráðstöfunum sem tryggja að farið sé að framangreindu ákvæði.