Úrskurður um vinnslu persónuupplýsinga af hálfu Elísu Guðrúnar ehf. (Lifandi vísinda)
Mál nr. 2020010673
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir vinnslu persónuupplýsinga í tengslum við markaðssetningu af hálfu Elísu Guðrúnar ehf. (Lifandi vísinda). Í úrskurðinum er komist að þeirri niðurstöðu að varðveisla og notkun Elísu Guðrúnar ehf. (Lifandi vísinda) á persónuupplýsingum um kvartanda hafi ekki í samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679.
Úrskurður
Hinn 27. október 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010673 (áður 2019091811):
I.
Málsmeðferð
1.
Tildrög máls
Hinn 27. september 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur „kvartandi“), sem dagsett var 23. september 2019. Kvartandi kveðst hafa fengið símhringingu frá Elísu Guðrúnu ehf., sem gefur út tímaritið Lifandi vísindi. Um var að ræða símtal í markaðssetningarskyni þar sem honum var boðin kynning og áskrift að tímariti.
Með bréfi, dags. 22. október 2019, ítrekuðu með bréfum dags. 17. desember 2019 og 18. júní 2020, var Elísu Guðrúnu ehf. (hér eftir Lifandi vísindum) boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með tveimur tölvupóstum þann 14. júlí 2020.
Með bréfi, dags. 20. júlí 2020, var kvartanda veitt færi á athugasemdum við framangreindar skýringar Lifandi vísinda. Svarað var með tölvupósti þann 7. ágúst 2020.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Kvartandi taldi sig hafa afþakkað boð um nýja áskrift, í símtali sem hann fékk frá Lifandi vísindum, en hann var staddur í útlöndum, þegar hringt var í hann og sambandið lélegt.
Hann hafi síðan í framhaldinu fengið tímarit sent heim og kröfu í heimabanka. Kvartandi hafi haft samband við skrifstofu tímaritsins og sagst ekki hafa áhuga á að greiða kröfuna. Jafnframt spurði hann hvers vegna haft hefði verið samband við hann. Svörin sem kvartandi fékk voru þau að verið væri að hringja í gamla áskrifendur og bjóða þeim áskrift á nýjan leik. Kvartandi telur að með þessu hafi Lifandi vísindi brotið gegn ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga. Kvartandi vill fá úr því skorið, hvort tímaritið hafi heimild til að eiga og geyma upplýsingar um áskrifendur, mörg ár aftur í tímann.
3.
Sjónarmið ábyrgðaraðila
Í svari Lifandi vísinda segir að fyrirtækið sé í símasölu allt árið og hringi í fólk sem hafi verið áskrifendur áður, en að þeir sem eru á bannlista séu hreinsaðir af listum sem hringt er eftir.
Þá segir að fyrirtækið hafi talið í lagi að hringja í fyrrverandi áskrifendur, en muni hætta því ef það er ekki í lagi.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda hjá Lifandi vísindum í tengslum við markaðssetningu. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Elísa Guðrún ehf. (Lifandi vísindi) vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Þær heimildir sem einkum koma til álita hér eru að hinn skráði hafi gefið samþykki sitt fyrir vinnslu persónuupplýsinga um sig í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. 9. gr. að vinnsla sé nauðsynleg til að efna samning sem hinn skráði er aðili að, sbr. 2. tölul. 9. gr. eða að vinnsla sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga vegi þyngra sbr. 6. tölul. sömu greinar.
Í þessu máli reynir á hvort Lifandi vísindum var heimilt að varðveita upplýsingar um nafn og símanúmer kvartanda, eftir að hann hafði sagt upp áskrift og nota þær síðar við beina markaðssetningu á nýjum áskriftarleiðum.
Í framkvæmd Persónuverndar hefur einkum verið litið svo á að bein markaðssetning geti stuðst við annað hvort samþykki hins skráða eða að hún sé nauðsynleg vegna lögmætra hagsmuna þess aðila, sem stendur að markaðssetningunni. Í þessu máli liggur ekki fyrir að hinn skráði hafi veitt samþykki sitt fyrir umræddri vinnslu og verður vinnslan því ekki talin hafa verið heimil á grundvelli þess. Kemur þá til skoðunar hvort félagið hafi haft lögmæta hagsmuni til að beina markaðssetningu að honum. Almennt er litið svo á að þremur skilyrðum þurfi að vera fullnægt svo heimilt sé að vinna með persónuupplýsingar á grundvelli 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna ábyrgðaraðila eða þriðja aðila, sem aðgang hefur að persónuupplýsingunum. Í öðru lagi er áskilið að vinnslan sé nauðsynleg í þágu þeirra hagsmuna. Í þriðja lagi mega hagsmunir og grundvallarréttindi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hagsmunir annarra af vinnslunni.
Að mati Persónuverndar getur tímabundin varðveisla upplýsinga um nafn og símanúmer fyrrverandi viðskiptavina talist fara fram í þágu lögmætra hagsmuna félags. Af skýringum Lifandi vísinda verður hins vegar ráðið að ekki hafi verið framkvæmt mat á nauðsyn þess að varðveita upplýsingarnar. Að auki hafi félagið ekki rökstutt sérstaklega hvernig hagsmunir þess af umræddri vinnslu hafi vegið þyngra en hagsmunir kvartanda. Að þessu gættu telur Persónuvernd að umrædd vinnsla hafi ekki samrýmst lögum nr. 90/2018.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Af hálfu kvartanda hefur komið fram að þó nokkur ár séu liðin frá því að hann sagði upp áskrift sinni að Lifandi vísindum og hefur því ekki verið mótmælt af ábyrgðaraðila.
Persónuvernd telur ekki unnt að útiloka að eftir að viðskiptasambandi lýkur megi gera ráð fyrir því um nokkurt skeið að reynt geti á einstaka þætti sambandsins eða einstaka reikninga og annars konar löggerninga sem því tengjast. Sú varðveisla skal þó ekki vera ótímabundin, nema um annað sé mælt fyrir í lögum. Af hálfu ábyrgðaraðila hefur ekki komið fram að hann hafi gert sérstakar ráðstafanir til að eyða upplýsingum um eldri áskrifendur með reglubundnum hætti og verður því ekki talið að vinnslan hafi verið í samræmi við framangreindan tölulið ákvæðisins.
Ú r s k u r ð a r o r ð:
Varðveisla og notkun Elísu
Guðrúnar ehf. (Lifandi vísinda) á persónuupplýsingum [A] í tengslum
við markaðssetningu var ekki í samræmi við lög nr. 90/2018 og reglugerð (ESB)
2016/679.
Í Persónuvernd, 27. október 2020
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir