Úrskurður um vinnslu Heklu hf. á upplýsingum um viðgerðarstöðu bifreiðar
Mál nr. 2016/1262
Úrskurður
Á fundi stjórnar Persónuverndar þann 18. maí 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1262:
I.
Málsmeðferð
1.
Tildrög máls
Þann 7. september 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), vegna miðlunar persónuupplýsinga um hann frá Heklu hf. til Króks bílauppboðs ehf. Í kvörtuninni segir m.a. að þann 5. júlí 2016 hafi kvartandi sótt bifreið sína úr viðgerð til Heklu hf. eftir að skipt hafði verið um olíu á sjálfskiptingu; Viðgerðin hafi borið þann árangur sem kvartandi vænti og hafi hann verið ánægður með hvernig til tókst. Nokkrum dögum síðan hafi kvartandi tekið eftir olíuflekk undir bílnum og fór með bílinn í viðgerð enn á ný. Bíllinn hafi virkað næstu daga eins og ekkert hefði í skorist þrátt fyrir að starfsmaður Heklu hf. hefði tjáð kvartanda að við fyrstu prófanir hjá bifvélavirkja hefði skiptingin ekki hagað sér eðlilega. Í framhaldi af þessu hafi kvartandi ákveðið að skrá bílinn til sölu á uppboðssíðu Króks Bílauppboðs ehf.
Kvartandi tiltók jafnframt að þann 10. ágúst 2016 hafi hann fengið símtal frá starfsmanni bílauppboðsins vegna bifreiðarinnar. Hafi honum verið tjáð að starfsmaður Heklu hafi upplýst bílauppboðið um að sjálfskiptingin í bílnum væri ónýt og slíkt þyrfti að koma fram í uppboðsgögnum. Kvartandi telur að framferði starfsmanna Heklu hf. hafi falið í sér brot gegn persónuvernd kvartanda og meðferð persónuupplýsinga hjá Heklu hf. Kvartandi telur í þessu sambandi að brotið hefði verið á réttindum hans skv. 8-10. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og 13. gr. laga nr. 57/2005 um eftirlit með viðskiptaháttum og markaðssetningu.
Þá er í kvörtuninni lýst orðaskiptum kvartanda og starfsmanna Heklu hf. eftir að starfsmenn Heklu hf. höfðu haft samband við bílauppboðið. Þar kemur fram að kvartandi sé ósammála skýringum starfsmanna Heklu hf. Kvartandi telji að það séu engar forsendur fyrir því hvers vegna Hekla hf. ætti að hafa vitneskju um að bílinn væri til sölu hjá Krók bílauppboði. Þá hafnar kvartandi því að starfsmenn Heklu hf. hafi verið í fullum rétti að hafa samband að eigin frumkvæði við bílauppboðið.
2.
Bréfaskipti
Með bréfi, dags. 24. október 2016, var Heklu hf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf Heklu hf., dags. 25. janúar 2017, barst Persónuvernd samdægurs.
Í bréfinu segir m.a. að megintilgangur Heklu hf. hafi verið að að verja hagsmuni Heklu hf. annars vegar og mögulegs nýs eiganda bílsins hins vegar, með því að vekja athygli á því að framsettar upplýsingar í auglýsingu Króks bílauppboðs væru villandi og til þess fallnar að vekja falskt traust verðandi kaupanda á bílnum, m.a. varðandi aðkomu Heklu hf. Engum upplýsingum um seljanda bílsins, þ. á m. persónuauðkennum, hafi verið miðlað til Króks bílauppboðs vegna þessarar hagsmunagæslu Heklu hf., heldur eingöngu upplýsingum um það sem sneri að Heklu hf. í auglýsingunni, þ.e. um aðkomu félagsins að þeirri viðgerð á bílnum sem um var rætt í hinni opinberlegu birtu auglýsingu. Því hafi ekki veri um að ræða neina miðlun persónuupplýsinga.
Jafnframt sagði í bréfinu að sé Persónuvernd ekki sammála framkomnum skýringum Heklu hf. þá væri það afstaða Heklu hf. að félagið hafi verið í fullum rétti að verja orðspor sitt á opinberum vettvangi og vinnslan hafi verið nauðsynleg til að félagið geti gætt lögvarða hagsmuna sinna, sbr. 7. tölul. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Með bréfi, dags. 21. febrúar 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Heklu hf. til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf kvartanda, dags. 1. mars 2017, barst Persónuvernd samdægurs. Þar segir m.a. að kvörtunin snúist ekki um að persónuupplýsingum hafi verið miðlað til Króks bílauppboðs heldur að ólögmætar uppflettingar, þ.e. vinnsla á persónuupplýsingum, hafi verið gerðar innanhúss hjá Heklu hf. til að fá upplýsingar um sögu bílsins og þar með eigendur hans. Að mati kvartanda geti uppfletting Heklu hf. á upplýsingum um sig ekki stuðst við þær heimildir sem fyrirtækið hefur vísað til þar sem afdrif bílsins hafi ekki komið þeim við.
Þá sagði í bréfi kvartanda að ekki verði litið svo á að vinnsla á þessum persónuupplýsingum hafi verið nauðsynleg vegna verks sem unnið væru í þágu almannahagsmuna eins og forsvarsmenn Heklu hf. tiltóku í svarbréfi sínu.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af málsatvikum verður ekki annað ráðið en að Hekla hf. hafi flett upp upplýsingum um bifreiða kvartanda í upplýsingakerfi sínu og miðlað áfram upplýsingum um ástand umræddrar bifreiðar til Króks bílauppboðs hf. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Hekla hf. vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Helst kemur til álita að fella framangreinda vinnslu undir 7. tölul. 1. mgr. þeirrar greinar. Í ákvæðinu er mælt fyrir um að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra.
Það er skilyrði að þeir hagsmunir ábyrgðaraðila af vinnslu persónuupplýsinga séu lögmætir. Við skoðun á því hvort þessu skilyrði sé fullnægt ber að líta til þess sem fram hefur komið hjá ábyrgðaraðila að framsettar upplýsingar í auglýsingu Króks bílauppboðs hafi verið villandi að hans mati og til þess fallnar að vekja falskt traust hjá verðandi kaupanda á bílnum. Slík vinnsla persónuupplýsinga, þ.e. uppfletting þjónustusögu bíls kvartanda hjá Heklu hf., í því skyni að verja hagsmuni Heklu hf. annars vegar og mögulegs nýs eiganda hins vegar telst fara fram í þágu lögmætra hagsmuna í skilningi 7. tölul. Þá hefur kvartandi hvorki sýnt fram á að umrædd miðlun hafi verið til þess að fallin að ógna grundvallarréttindum eða frelsi hans, í skilningi 7. tölul. 1. mgr. 8. gr. laganna, né að umrædd miðlun hafi ekki farið fram í málefnalegum tilgangi.
Með vísan til framangreinds er það niðurstaða Persónuverndar að umrædd miðlun hafi farið fram svo ábyrgðaraðili gæti gætt lögmætra hagsmuna sinna í skilningi 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og hún hafi því verið heimil.
Ú r s k u r ð a r o r ð:
Vinnsla persónuupplýsinga um kvartanda hjá Heklu hf. var í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.