Úrlausnir

Vinnsla persónuupplýsinga af hálfu Allianz á Íslandi hf. söluumboðs, Nýju vátryggingaþjónustunnar ehf. og Markvisst ehf.

Mál nr. 2022050843

26.3.2024

Vinnsla persónuupplýsinga í þágu markaðssetningar hefur verið talin geta þjónað lögmætum hagsmunum og þá geta samrýmst ákvæðum persónuverndarlaga. Þó þarf að gæta hagsmuna þeirra sem hlut eiga að máli og líta til tækifæris hins skráða til að andmæla vinnslunni.

----

Persónuvernd úrskurðaði í máli þar sem kvartað var yfir því að Allianz á Íslandi hf. söluumboð miðlaði upplýsingum varðandi vátryggingarsamning kvartanda til Nýju vátryggingaþjónustunnar ehf. sem hafði samband við kvartanda símleiðis, í þeim tilgangi að bjóða honum ráðgjöf um vátryggingavernd og miðlun vátryggingaafurða, þrátt fyrir að símanúmer hans væri bannmerkt í símaskrá. Við framangreinda vinnslu persónuupplýsinga notaði Nýja vátryggingaþjónustan ehf. markhópalista sem keyptur var af félaginu Markvisst ehf.

Niðurstaða Persónuverndar var að hagsmunir Allianz á Íslandi hf. söluumboðs af því að hafa beint markaðssetningu að kvartanda voru lögmætir og samrýmdust lögum um persónuvernd og vinnslu persónuupplýsinga. Að mati Persónuverndar voru hagsmunir og grundvallarréttindi og frelsi kvartanda sem krefjast verndar persónuupplýsinga ekki taldir vega þyngra en hagsmunir ábyrgðaraðila af vinnslunni umrætt sinn, þrátt fyrir að kvartandi hefði komið andmælum sínum við beinni markaðssetningu á framfæri með almennum hætti með bannmerkingu í símaskrá.

Einnig var það niðurstaða Persónuverndar að Nýja vátryggingaþjónustan ehf. hefði unnið persónuupplýsingar kvartanda sem vinnsluaðili og aðgangur félagsins að persónuupplýsingum kvartanda því byggður á vinnslusamningi en ekki heimild til vinnslu persónuupplýsinga samkvæmt 9. gr. laga 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Þá var vinnsla persónuupplýsinga um kvartanda af hálfu Markvisst ehf. jafnframt talin samrýmast lögum um persónuvernd og vinnslu persónuupplýsinga.

Úrskurður


um kvörtun yfir vinnslu persónuupplýsinga af hálfu Allianz á Íslandi hf. söluumboðs, Nýju vátryggingaþjónustunnar ehf. og Markvisst ehf. í máli nr. 2022050843:

I.

Málsmeðferð

1.

Tildrög máls

Hinn 3. maí 2022 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu og miðlun persónuupplýsinga af hálfu Allianz á Íslandi hf. söluumboðs (hér eftir Allianz á Íslandi) án samþykkis hans. Nánar tiltekið lýtur kvörtunin að því að Allianz á Íslandi hafi miðlað upplýsingum varðandi vátryggingarsamning kvartanda við þýska vátryggingafélagið Allianz Lebensversicherung-AG til Nýju vátryggingaþjónustunnar ehf. án samþykkis hans. Í framhaldinu hafi Nýja vátryggingaþjónustan ehf. haft samband við kvartanda símleiðis, í þeim tilgangi að bjóða honum ráðgjöf um vátryggingavernd og miðlun vátryggingaafurða, þrátt fyrir að símanúmer hans væri bannmerkt í símaskrá. Við framangreinda vinnslu persónuupplýsinga hafi Nýja vátryggingaþjónustan ehf. notað markhópalista sem keyptur hafi verið af félaginu Markvisst ehf.

Persónuvernd bauð Allianz á Íslandi að tjá sig um kvörtunina með bréfi, dags. 30. nóvember 2022, og bárust svör frá lögmanni félagsins 28. desember s.á. Kvartanda var gefinn kostur á að koma á framfæri athugasemdum við svör Allianz á Íslandi með bréfi, dags. 7. september 2023, og bárust þær með tölvupósti 27. s.m. Þá var Allianz á Íslandi boðið að koma á framfæri frekari skýringum vegna athugasemda kvartanda með tölvupósti 22. nóvember s.á. og barst svar frá lögmanni félagsins með bréfi, dags. 1. desember s.á. Persónuvernd bauð jafnframt Markvisst ehf. að tjá sig um kvörtunina með bréfi, dags. 30. nóvember 2022, og barst svar félagsins með tölvupósti 19. desember s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.

2.

Sjónarmið kvartanda

Kvartandi telur að Allianz á Íslandi hafi ekki haft heimild til þess að miðla persónuupplýsingum hans til Nýju vátryggingaþjónustunnar ehf. Kvartandi vísar til þess að hann hafi ekki veitt samþykki fyrir miðlun persónuupplýsinga sinna, hvorki almennt samþykki né í tengslum við tilgreind samskipti við Nýju vátryggingaþjónustuna ehf. þegar honum var boðin ráðgjöf um vátryggingavernd og miðlun vátryggingaafurða. Byggir kvartandi á því að í samningi hans við Allianz Lebensversicherung AG um lífeyristryggingu sé fólgin heimild til handa Allianz á Íslandi til gagnavinnslu, annars vegar í þeim tilgangi að meta áhættu og ganga frá endurtryggingum og hins vegar til að þjóna eðlilegri framkvæmd samningsins. Hafnar kvartandi því að í samþykkisyfirlýsingu vátryggingasamningsins felist svo rúm heimild til miðlunar og vinnslu persónuupplýsinga að heimilt hafi verið að miðla persónuupplýsingum hans til Nýju vátryggingaþjónustunnar ehf., enda hafi vátryggingamiðlunin ekkert hlutverk við að þjóna eðlilegri framkvæmd gildandi vátryggingasamninga vátryggingasamsteypunnar Allianz við vátryggingataka, þ.m.t. þess samnings sem kvartandi er aðili að. Þá vísar kvartandi til þess að heimild Nýju vátryggingaþjónustunnar ehf. til vinnslu persónuupplýsinga, í þágu beinnar markaðssetningar, geti ekki grundvallast á samningssambandi við Allianz á Íslandi um miðlun vátrygginga til Allianz.

Hvað varðar vinnslu persónuupplýsinga um hann af hálfu Markvisst ehf. telur kvartandi að gerð markhópalista þar sem nafn hans, heimilisfang, kennitala og símanúmer komi fram, án þess að fyrir liggi samþykki fyrir vinnslunni, feli í sér brot á persónuverndarlöggjöfinni.

3.

Sjónarmið Allianz á Íslandi

Í svörum Allianz á Íslandi kemur fram að félagið sé umboðsaðili fyrir þýsku tryggingafélögin Allianz Lebensversicherungs AG og Allianz Versicherung AG. Vísað er til þess að starfsemi Allianz á Íslandi hér á landi sé heimil á grundvelli XX. kafla laga nr. 100/2016 um vátryggingastarfsemi og byggist á starfsleyfi sem þýsku vátryggingafélögunum innan samsteypunnar hafi verið veitt í Þýskalandi. Þar af leiðandi lúti sú starfsemi sem innt sé af hendi fyrir Allianz hér á landi lögum Sambandslýðveldisins Þýskalands og heyri undir eftirlit þýsku persónuverndarstofnunarinnar.

Þá er byggt á því að söfnun persónuupplýsinga um kvartanda og miðlun þeirra til samningsbundinna ráðgjafa grundvallist á samþykki kvartanda, sbr. 1. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Í því sambandi vísar Allianz á Íslandi til þess að við umsókn og samningsgerð um lífeyrissparnað við Allianz Lebensversicherung AG hafi kvartandi, með undirritun sinni, veitt félaginu heimild til að setja almennar umsóknar-, samnings- og bótaupplýsingar í sameiginlegt samskipta- og gagnavinnslukerfi Allianz samsteypunnar. Jafnframt hafi hann samþykkt að upplýsingarnar mætti vista hjá miðlara eða tryggingarsala og koma á framfæri við miðlara og önnur þýsk félög Allianz samsteypunnar, sem hafi með tryggingarmál hans að gera, að svo miklu leyti sem það þjónar eðlilegri framkvæmd samnings hans eða snertir reglulega umönnun viðskiptavina.

Einnig byggir Allianz á Íslandi á því að lögmætir hagsmunir, til nýtingar grunnupplýsinga í viðskiptamannagrunni sínum til beinnar markaðssetningar, heimili umrædda vinnslu persónuupplýsinga. Frekari upplýsingar, en þörf hafi verið á í þágu þeirra hagsmuna, hafi ekki verið unnar eða þeim miðlað og ekki verði séð að hagsmunir eða grundvallarréttindi hins skráða sem krefjast verndar vegi þyngra. Vottaðir ráðgjafar Allianz á Íslandi, þ. á m. Nýja vátryggingaþjónustan ehf., dreifi vátryggingum Allianz á grundvelli samningsbundinnar heimildar þar um og hafi í þeim tilgangi aðgang að grunnupplýsingum viðskiptavina Allianz í sérstöku tilboðs- og umsóknarkerfi, sem Allianz á Íslandi reki, í gegnum rafræn skilríki. Framangreind vinnsla persónuupplýsinga í þágu beinnar markaðssetningar geti því einnig grundvallast á 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

4.

Svar frá Markvisst ehf.

Í svari frá Markvisst ehf. greinir eigandi félagsins frá því að Nýja vátryggingaþjónustan ehf. hafi óskað eftir markhópalista frá félaginu sem innihélt nafn, heimilisfang og símanúmer einstaklinga. Markvisst ehf. hafi unnið markhópalistann upp úr upplýsingum af vefsíðunni ja.is en að ósk Nýju vátryggingaþjónustunnar ehf. hafi listinn einnig innihaldið símanúmer sem væru bannmerkt í símaskrá.

II.

Forsendur og niðurstaða

1.

Gildissvið - Afmörkun

Gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39 gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Tengslum laga nr. 90/2018 við sérlög er lýst í 5. gr. laganna. Segir í 1. mgr. ákvæðisins að sérákvæði annarra laga um vinnslu persónuupplýsinga sem sett eru innan ramma reglugerðarinnar gangi framar ákvæðum laga nr. 90/2018.

Í 94. laga um fjarskipti, nr. 70/2022, er fjallað um óumbeðin fjarskipti. Í ákvæðinu eru meðal annars reglur um það hvenær óumbeðin fjarskipti í þágu beinnar markaðssetningar eru heimil. Samkvæmt 6. mgr. lagaákvæðisins skulu þeir sem nota almenna tal- og farsímaþjónustu sem lið í markaðssetningu virða merkingu í símaskrá sem gefur til kynna að viðkomandi notandi vilji ekki slíkar símhringingar í símanúmer sitt. Eftirlit með framkvæmd fjarskiptalaga heyrir undir Fjarskiptastofu, sbr. 4. gr. fjarskiptalaga. Fyrir liggur að kvartandi var bannmerktur í símaskrá á þeim tíma sem fjarskiptin sem kvörtun þessi lýtur að áttu sér stað. Að þessu virtu var þeim hluta kvörtunarinnar, er lýtur að því hvort bannmerking í símaskrá hafi verið virt, framsendur Fjarskiptastofu.

Úrlausn þessa máls er því afmörkuð við notkun umræddra aðila á persónuupplýsingum kvartanda í markaðstilgangi.

2.

Ábyrgðaraðili og vinnsluaðili

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laga 90/2018 er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

Vinnsluaðili er skilgreindur í 7. tölul. 3. gr. laga nr. 90/2018 sem einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. einnig 8. tölul. 1. mgr. 4. gr. reglugerðar (ESB) 2016/679.

Starfsemi Allianz á Íslandi byggist á heimild í XX. kafla laga nr. 100/2016 um vátryggingastarfsemi. Félagið starfar sem vátryggingaumboðsmaður í skilningi laga nr. 62/2019 um dreifingu vátrygginga, en samkvæmt 3. mgr. 31. gr. laganna skal vátryggingaumboðsmaður sjá til þess að skilyrðum laga um persónuvernd og vinnslu persónuupplýsinga sé fullnægt við dreifingu vátrygginga. Starfsemi Allianz á Íslandi takmarkast við íslenska ríkisborgara eða einstaklinga sem eiga lögheimili á Íslandi.

Félagið starfaði á umræddum tíma eftir ákvæðum sérstaks umboðssamnings við Allianz Beratungs- und Vertriebs-AG (hér eftir Allianz BV), sem undirritaður var 29. nóvember 1996 (e. Agency Agreement of November 29/1996/December 27/1996). Fram kemur í viðauka samningsins nr. 27., frá maí 2019, að Allianz á Íslandi sé eini samningsaðili og umboðsmaður Allianz BV og að samningsaðilar Allianz á Íslandi starfi ekki sem sjálfstæðir umboðsmenn fyrir Allianz BV.

Allianz á Íslandi gerði samning við Nýju vátryggingaþjónustuna ehf., dags. 3. september 2020, um miðlun vátrygginga. Samningurinn var undirritaður af báðum aðilum og kveður á um efni viðskiptasambands aðilanna og skilmála sem Nýja vátryggingaþjónustan ehf. hefur undirgengist. Samkvæmt þeim bar Nýju vátryggingaþjónustunni ehf. að hlíta fyrirmælum, leiðbeiningum og starfsreglum Allianz á Íslandi varðandi starfshætti, þ.m.t. reglum um meðhöndlun trúnaðarupplýsinga eins og mælt er fyrir um í lögum, þ. á m. lögum um persónuvernd og vinnslu persónuupplýsinga. Þá lagði Allianz á Íslandi Nýju vátryggingaþjónustunni ehf. til þau gögn sem nauðsynleg voru við gerð vátryggingasamninga.

Að öllu framangreindu virtu og eins og hér háttar til telur Persónuvernd ljóst að ákvarðanir um tilgang og aðferðir við vinnslu persónuupplýsinga, sem kvörtun þessi lýtur að, hafi verið teknar af Allianz á Íslandi. Telst Allianz á Íslandi því vera ábyrgðaraðili að vinnslu persónuupplýsinga kvartanda í þágu markaðssetningar fyrir Allianz BV. Af því leiðir jafnframt að sá hluti málsins sem varðar vinnslu persónuupplýsinga á ábyrgð Allianz á Íslandi fellur undir valdsvið Persónuverndar, sbr. 7. gr. laga[nr. 90/2018].

Persónuvernd lítur einnig svo á að með samningi Allianz á Íslandi og Nýju vátryggingaþjónustunnar ehf. hafi síðarnefnda félagið tekið á sig skuldbindingar sem vinnsluaðili gagnvart Allianz á Íslandi sem ábyrgðaraðila, sbr. 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðarinnar. Að því virtu þykir verða að leggja til grundvallar að Nýja vátryggingaþjónustan ehf. hafi unnið þær persónuupplýsingar kvartanda sem hér eru til umfjöllunar á vegum Allianz á Íslandi.

Með hliðsjón af því að Markvisst ehf. ákvað tilgang og aðferðir við þá vinnslu persónuupplýsinga sem fólst í því að útbúa markhópalista fyrir Nýju vátryggingaþjónustuna ehf. telst það vera ábyrgðaraðili þess þáttar vinnslunnar, sbr. 6. tölul. 3. gr. laga 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Í 6. tölul. 9. gr. laganna, sbr. f-lið reglugerðarákvæðisins, segir að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn. Vinnsla í þágu markaðssetningar hefur verið talin geta þjónað lögmætum hagsmunum og þá geta samrýmst þessu ákvæði, enda hafi verið gætt hagsmuna þeirra sem hlut eiga að máli. Til þess getur m.a. þurft að líta til tækifæris hins skráða til að andmæla vinnslunni.

Mælt er fyrir um andmælarétt skráðra einstaklinga í 21. gr. laga nr. 90/2018. Samkvæmt 1. mgr. þeirrar greinar er skráðum einstaklingum meðal annars heimilt að andmæla vinnslu persónuupplýsinga um sig sem byggist á fyrrgreindum f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 og skal ábyrgðaraðili þá ekki vinna persónuupplýsingarnar frekar nema hann geti sýnt fram á mikilvægar lögmætar ástæður fyrir vinnslunni sem ganga framar hagsmunum, réttindum og frelsi hins skráða. Hinn skráði getur til dæmis komið andmælum sínum við beinni markaðssetningu á framfæri með bannmerkingu í símaskrá eða fengið nafn sitt fært á miðlæga bannskrá Þjóðskrár, samkvæmt 15. gr. laga um skráningu einstaklinga nr. 140/2019, og þar með andmælt allri vinnslu persónuupplýsinga um sig í tengslum við markaðssetningarstarfsemi, óháð því hvað er verið að kynna, auglýsa eða selja og óháð þeirri aðferð eða tækni sem er notuð. Þá stendur hinum skráða ávallt til boða að beina andmælum við frekari vinnslu persónuupplýsinga í þágu markaðssetningar beint til ábyrgðaraðila.

Þrátt fyrir framangreind ákvæði er almennt talið að fyrirtækjum sé heimil ákveðin vinnsla persónuupplýsinga um viðskiptamenn sína, óháð almennum bannmerkingum. Af gögnum málsins verður ráðið að kvartandi hafi gert samning um lífeyrissparnað við Allianz BV fyrir milligöngu Allianz á Íslandi. Allianz á Íslandi starfaði eftir ákvæðum sérstaks umboðssamnings við Allianz BV, sem kvað á um skyldur félagsins til þess að beita sér að fullum krafti fyrir útbreiðslu viðskiptavina Allianz tryggingarfélaganna og sjá til þess að reglulega bættust við nýjar tryggingar og að þær héldust sem fyrir væru. Í því skyni að halda við tryggingum sem fyrir væru skyldi Allianz á Íslandi hafa stöðugt samband við tryggingartaka og veita þeim ráðgjöf að eigin frumkvæði eða að þeirra ósk. Fram kemur að markmiðið með því hafi verið að viðskiptavinurinn væri og yrði vel tryggður.

Að framangreindu virtu verða hagsmunir Allianz á Íslandi af því að hafa beint markaðssetningu að kvartanda taldir lögmætir. Þá verður jafnframt ekki séð að hagsmunir og grundvallarréttindi og frelsi kvartanda sem krefjast verndar persónuupplýsinga hafi vegið þyngra en hagsmunir ábyrgðaraðila af vinnslunni umrætt sinn, þrátt fyrir að kvartandi hefði komið andmælum sínum við beinni markaðssetningu á framfæri með almennum hætti með bannmerkingu í símaskrá. Að mati Persónuverndar var umrædd vinnsla persónuupplýsinga af hálfu Allianz á Íslandi þar af leiðandi heimil á grundvelli 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Sem fyrr greinir er lagt til grundvallar að Nýja vátryggingaþjónustan ehf. hafi unnið þær persónuupplýsingar kvartanda sem hér eru til umfjöllunar sem vinnsluaðili. Af því leiðir að aðgangur Nýju vátryggingaþjónustunnar ehf. að persónuupplýsingum kvartanda var byggður á vinnslusamningi og reynir því ekki á það hvort heimild hafi staðið til miðlunar persónuupplýsinga, samkvæmt 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðarinnar, eða hvort skilyrði til afhendingar viðskiptamannaskrár til nota í tengslum við markaðssetningarstarfsemi hafi verið uppfyllt, samkvæmt 5. mgr. 21. gr. laganna. Þá verður ekki talið að Nýja vátryggingaþjónustan ehf. hafi farið út fyrir heimild sína sem vinnsluaðili þegar óskað var eftir markhópalista frá Markvisst ehf.

Hvað varðar vinnslu persónuupplýsinga kvartanda af hálfu Markvisst ehf. er til þess að líta að félagið veitir þjónustu á sviði upplýsingatækni, þ. á m. markhópavinnslu. Í því tilviki sem hér um ræðir notaði félagið upplýsingar, meðal annars um kvartanda, af vefsíðunni ja.is til að útbúa markhópalista. Að mati Persónuverndar getur sú vinnsla persónuupplýsinga verið heimil á grundvelli 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, að því gefnu að gætt sé að öðrum skilyrðum laganna og reglugerðarinnar. Er þá litið til þess að með hliðsjón af afmörkun þeirrar vinnslu sem fór fram hjá Markvisst ehf. fól hún ein og sér ekki í sér að markaðssetningu væri beint að kvartanda.

Ú r s k u r ð a r o r ð:

Allianz á Íslandi hf. söluumboði og Nýju vátryggingaþjónustunni ehf. var heimilt að vinna persónuupplýsingar [A] í þágu markaðssetningar gagnvart honum samkvæmt ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, um vinnsluheimild.

Markvisst ehf. var heimilt að vinna persónuupplýsingar [A] sem fengust af vefsíðunni ja.is í þeim tilgangi að gera markhópalista samkvæmt ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679, um vinnsluheimild.

Persónuvernd, 12. mars 2024

Valborg Steingrímsdóttir                                  Edda Þuríður Hauksdóttir



Var efnið hjálplegt? Nei