Vinnsla persónuupplýsinga af hálfu Brimborgar
Mál nr. 2020010698
Þegar fyrirtæki skrá tölvupóstfang einstaklinga á póstlista í markaðssetningartilgangi er æskilegast að skráningin sé byggð á samþykki einstaklinga. Slík vinnsla persónuupplýsinga getur þó talist heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vega þyngra. Einstaklingum ætti þó alltaf að vera ljóst þegar persónuupplýsingum um þá er safnað, þær eru notaðar, skoðaðar eða unnar á annan hátt, og að hvaða marki persónuupplýsingar eru eða munu verða unnar.
----
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir skráningu Brimborgar á tölvupóstfangi kvartanda á póstlista fyrirtækisins í þeim tilgangi að senda honum markpósta. Kvartandi hafði óskað eftir upplýsingum frá Brimborg um vörur fyrirtækisins og þjónustu og var tölvupóstfang hans skráð til þess að fylgja þeirri fyrirspurn eftir, meðal annars með markpósti í þeim tilgangi að fylgja eftir sölutilraunum í tilefni af fyrirspurn kvartanda. Var því talið að viðeigandi tengsl, sem máli skipta við mat á vinnsluheimild á grundvelli lögmætra hagsmuna, hafi verið milli kvartanda og Brimborgar.
Hvað sem öðru líður þarf að meta af kostgæfni hvort um lögmæta hagsmuni er að ræða, m.a. hvort skráður einstaklingur getur, þegar söfnun persónuupplýsinganna fer fram og í samhengi við hana, haft gilda ástæðu til að ætla að vinnsla muni fara fram í þeim tilgangi. Í þessu máli var niðurstaða Persónuverndar að kvartanda var ekki gert ljóst með fullnægjandi hætti, þegar hann skráði tölvupóstfang sitt í fyrirspurnarform á vefsíðu Brimborgar, að póstfangið yrði skráð á póstlista fyrirtækisins í markaðssetningartilgangi. Þegar af þeirri ástæðu var umrædd vinnsla ekki talin samrýmast lögum um persónuvernd og vinnslu persónuupplýsinga. Á hinn bóginn hafði Brimborg virt andmælarétt kvartanda og afmáð tölvupóstfang hans af öllum póstlistum sínum.
Úrskurður
um kvörtun yfir notkun tölvupóstfangs af hálfu Brimborgar ehf. í máli nr. 2020010698:
I.
Málsmeðferð
Hinn 22. nóvember 2019 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir því að Brimborg ehf. hafi bætt tölvupóstfangi hans á póstlista, í kjölfar þess að hann hafi sent fyrirtækinu fyrirspurn, og síðar notað það til að senda honum markpóst.
Persónuvernd bauð Brimborg ehf. að tjá sig um kvörtunina með bréfi, dags. 21. júlí 2020, og bárust svör fyrirtækisins 11. ágúst s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Brimborgar með bréfi, dags. 19. s.m., og bárust þær með tölvupósti 1. september s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna og undirmönnunar hjá Persónuvernd.
___
Ágreiningur er um heimild Brimborgar til að nota tölvupóstfang kvartanda í markaðssetningartilgangi í kjölfar þess að hann sendi fyrirtækinu fyrirspurn af póstfanginu.
Kvartandi byggir á því að Brimborg hafi verið óheimilt að senda honum tölvupóst í markaðssetningartilgangi með kynningu á rýmingarsölu á völdum bílum í vefsýningarsal fyrirtækisins. Kvartandi vísar til þess að hann sé ekki í neinu viðskiptasambandi við fyrirtækið utan eins tölvupósts, sem hann hafi sent til að spyrja um flotaleigu f.h. vinnuveitanda síns. Hann hafi ekki veitt samþykki sitt fyrir því að tölvupóstfang hans færi á póstlista hjá Brimborg og yrði síðar nýtt í þeim tilgangi að senda honum markpóst.
Í svarbréfi Brimborgar er byggt á því að heimild fyrirtækisins til vinnslu persónuupplýsinga um kvartanda grundvallist aðallega á samþykki, sbr. 1. tölul. 9. gr. laga nr. 90/2018. Vísað er til þess að kvartandi hafi sent fyrirspurn til fyrirtækisins í gegnum sérstakt eyðublað á vef fyrirtækisins þar sem hann hafi óskað eftir upplýsingum um rekstarleigu á bílum og í því skyni fyllt út upplýsingar um nafn, kennitölu, netfang og símanúmer. Notkun á vefsíðu fyrirtækisins sé háð notkunarskilmálum þar sem skýrt sé vísað til persónuverndarstefnu fyrirtækisins. Í henni séu skýrar upplýsingar um hvernig fyrirtækið vinnur persónuupplýsingar og í hvaða tilgangi. Í framhaldi af fyrirspurn kvartanda hafi starfsmaður Brimborgar verið í samskiptum við kvartanda og því hafi komið fyrirtækinu á óvart þegar hann gerði athugasemd við markpóst sem honum var sendur. Í kjölfarið hafi fyrirtækið tekið kvartanda af póstlistanum, þar sem það áleit kvartanda hafa dregið til baka samþykki sitt fyrir því að vera á listanum. Einnig er vísað til þess að kvartandi hefði getað afskráð sig af póstlista Brimborgar í gegnum hlekk í þeim tölvupóstum sem hann fékk frá fyrirtækinu og einnig í símtölum sínum við starfsmenn fyrirtækisins.
Þá segir í svörum Brimborgar að útilokað hafi verið að svara fyrirspurnum kvartanda eða uppfylla mögulegan samning um kaup eða rekstrarleigu á bifreið án vinnslu persónuupplýsinga um hann, sbr. 2. tölul. 9. gr. laga nr. 90/2018. Jafnframt hafi Brimborg haft lögmætra hagsmuna að gæta við að fylgja eftir sölutilraunum í tilefni af fyrirspurn kvartanda, en fyrirtækið hafi gert sér vonir um að með markpósti myndi áhugi kvartanda um kaup eða leigu á bifreið vakna að nýju. Vinnsla persónuupplýsinganna hafi því verið nauðsynleg og heimil á grundvelli 6. tölul. 9. gr. laganna. Þá hafi meginreglum 1. mgr. 8. gr. laganna verið fylgt við vinnsluna en unnið hafi verið með persónuupplýsingar kvartanda með lögmætum, sanngjörnum og gagnsæjum hætti og aðeins í framangreindum tilgangi.
II.
Niðurstaða
1.
Gildissvið – afmörkun máls
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Þá er hugtakið vinnsla skilgreint í 4. tölul. 3. gr. laganna sem aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort sem vinnslan er sjálfvirk eða ekki, svo sem söfnun, skráning, flokkun, kerfisbinding, varðveisla, aðlögun eða breyting, heimt, skoðun, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, eyðing eða eyðilegging.
Fjallað er um óumbeðin fjarskipti, þ.m.t. með notkun tölvupósts, í 94. gr. laga nr. 70/2022 um fjarskipti og er eftirlit með slíkum fjarskiptum í höndum Fjarskiptastofu.
Að framangreindu virtu fellur það undir valdsvið Persónuverndar að leysa úr því hvort Brimborg hafi verið heimilt, samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679, að skrá tölvupóstfang kvartanda á póstlista fyrirtækisins í þeim tilgangi að senda honum markpósta. Á hinn bóginn nær valdsvið Persónuverndar ekki til þess hvort notkun á tölvupóstfangi kvartanda, sem fólst í útsendingu markpósts, samrýmdist ákvæði 94. gr. laga nr. 70/2022.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Auk vinnsluheimildar samkvæmt framangreindu þarf vinnsla persónuupplýsinga ávallt að samrýmast meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Samkvæmt 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins skal þess gætt að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða. Hvers kyns vinnsla persónuupplýsinga ætti að vera lögmæt og sanngjörn. Það ætti að vera einstaklingum ljóst þegar persónuupplýsingum um þá er safnað, þær eru notaðar, skoðaðar eða unnar á annan hátt, og að hvaða marki persónuupplýsingar eru eða munu verða unnar. Meginreglan um gagnsæi krefst þess að ábyrgðaraðili veiti skráðum einstaklingum fræðslu samkvæmt 13. og 14. gr. reglugerðarinnar, sbr. 17. gr. laganna, á gagnorðu, gagnsæju, skiljanlegu og aðgengilegu formi og skýru og einföldu máli, sbr. og 1. og 2. mgr. 12. gr. reglugerðarinnar og 1. mgr. 17. gr. laganna.
Þá er í 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins kveðið á um að persónuupplýsingar skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Í 4. mgr. 6. gr. reglugerðarinnar segir meðal annars að þegar vinnsla í öðrum tilgangi en þeim sem er að baki söfnun persónuupplýsinganna byggist ekki á samþykki hins skráða, eða á lögum sem uppfylli nánar tiltekin viðmið, skuli ábyrgðaraðilinn, til þess að ganga úr skugga um hvort vinnsla í öðrum tilgangi samrýmist þeim tilgangi sem var forsenda söfnunar persónuupplýsinganna í upphafi, m.a. taka tillit til hvers kyns tengsla milli þess tilgangs sem er að baki söfnun persónuupplýsinganna og tilgangsins með fyrirhugaðri frekari vinnslu, sbr. a-lið, og til þess í hvaða samhengi persónuupplýsingunum var safnað, einkum að því er varðar tengsl milli skráðra einstaklinga og ábyrgðaraðilans, sbr. b-lið ákvæðisins.
Í samræmi við framangreindar meginreglur er æskilegast að skráning tölvupóstfangs á póstlista í markaðssetningartilgangi byggist á samþykki viðkomandi. Þó getur slík vinnsla einnig talist heimil á grundvelli vinnsluheimildar 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sem mælir fyrir um að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vega þyngra, einkum þegar hinn skráði er barn. Er í þessu sambandi til þess að líta að samkvæmt 94 gr. fjarskiptalaga nr. 77/2022 er meginreglan sú að afla skal samþykkis fyrir notkun tölvupósts við beina markaðssetningu. Þó er heimilt að nota tölvupóstfang við beina markaðssetningu á eigin vörum eða þjónustu þegar viðskiptavinum er gefinn kostur á að andmæla slíku, bæði þegar tölvupóstfang er skráð og í hvert sinn sem skilaboð eru send, sbr. 2. mgr. ákvæðisins.
Í 47. lið formálsorða reglugerðar (ESB) 2016/679 segir meðal annars um fyrrgreinda vinnsluheimild, sem vísar til lögmætra hagsmuna, að hún geti átt við þegar viðeigandi tengsl sem máli skipta eru milli hins skráða og ábyrgðaraðilans, t.d. í tilvikum þar sem hinn skráði er viðskiptavinur ábyrgðaraðilans eða í þjónustu hans. Hvað sem öðru líður þurfi að meta af kostgæfni hvort um lögmæta hagsmuni er að ræða, m.a. hvort skráður einstaklingur getur, þegar söfnun persónuupplýsinganna fer fram og í samhengi við hana, haft gilda ástæðu til að ætla að vinnsla muni fara fram í þeim tilgangi.
Loks er til þess að líta að ef ábyrgðaraðili byggir vinnslu persónuupplýsinga í þágu beinnar markaðssetningar á vinnsluheimild sem vísar til lögmætra hagsmuna skal hann tryggja rétt hins skráða til að andmæla vinnslunni hvenær sem er, sbr. 2. mgr. 21. gr. reglugerðar (ESB) 2016/679 og 21. gr. laga nr. 90/2018.
Brimborg vísar til þess að skráning tölvupóstfangs kvartanda á póstlista fyrirtækisins hafi byggst á samþykki, sbr. 1. tölul. 9. gr. laganna og a-lið 1. mgr. 6. gr. reglugerðarinnar. Mælt er fyrir um skilyrði samþykkis í 10. gr. laganna, sbr. einnig 7. gr. reglugerðarinnar. Af gögnum málsins verður ekki ráðið að kvartandi hafi samþykkt sérstaklega, með sérstakri athöfn eða aðgerð, skráningu á póstlista í markaðssetningartilgangi, þótt hann hafi sent fyrirtækinu fyrirspurn og getið hafi verið um vinnsluna í persónuverndarstefnu fyrirtækisins. Ekki er því unnt að líta svo á að vinnslan hafi stuðst við samþykki samkvæmt framangreindum ákvæðum.
Samkvæmt því sem hér hefur verið rakið getur Brimborg einnig byggt umrædda vinnslu á vinnsluheimild 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, að nánari skilyrðum uppfylltum.
Í fyrsta lagi er til þess að líta hvort viðeigandi tengsl sem máli skipti hafi verið milli kvartanda og Brimborgar. Þrátt fyrir að kvartandi hafi ekki verið viðskiptavinur Brimborgar eða í þjónustu fyrirtækisins, sem hvort tveggja er nefnt í dæmaskyni um viðeigandi tengsl í 47. lið formálsorða reglugerðar (ESB) 2016/679, verður ekki litið framhjá því að hann óskaði upplýsinga frá fyrirtækinu um vörur þess og þjónustu og var tölvupóstfang hans skráð til þess að fylgja þeirri fyrirspurn eftir, meðal annars með markpósti í þeim tilgangi að fylgja eftir sölutilraunum í tilefni af fyrirspurn kvartanda. Verður því talið að viðeigandi tengsl sem máli skipti hafi verið milli kvartanda og Brimborgar.
Í öðru lagi er til þess að líta hvort kvartandi gat, þegar hann sendi Brimborg fyrirspurn sína, haft gilda ástæðu til að ætla að tölvupóstfang hans yrði skráð á póstlista fyrirtækisins í þágu markaðssetningar. Samkvæmt svörum Brimborgar var notkun vefsíðu fyrirtækisins háð notkunarskilmálum þar sem skýrt var vísað til persónuverndarstefnu þess. Í persónuverndarstefnunni hafi svo verið tekið fram að persónuupplýsingum væri safnað og unnið með þær til að vernda lögmæta hagsmuni sem felast í að sinna viðskiptasamböndum við viðskiptavini. Að mati Persónuverndar uppfyllir þetta fyrirkomulag fræðslu ekki kröfur meginreglunnar um gagnsæi við vinnslu persónuupplýsinga samkvæmt 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðarinnar, enda getur fræðslan ekki talist hafa verið á gagnsæju og gagnorðu formi eða á skýru og einföldu máli, sbr. 1. og 2. mgr. 12. gr. reglugerðarinnar og 1. mgr. 17. gr. laganna. Er það því niðurstaða Persónuverndar að kvartanda var ekki gert ljóst með fullnægjandi hætti, þegar hann skráði tölvupóstfang sitt í fyrirspurnarform á vefsíðu Brimborgar, að póstfangið yrði skráð á póstlista fyrirtækisins í markaðssetningartilgangi.
Þegar af þeirri ástæðu telst umrædd vinnsla ekki hafa verið í samræmi við lög nr. 90/2018 og reglugerð (ESB) 2016/679. Á hinn bóginn er til þess að líta að andmælaréttur kvartanda samkvæmt 2. mgr. 21. gr. reglugerðarinnar og 21. gr. laganna var virtur. Þar sem Brimborg hefur afmáð tölvupóstfang kvartanda af öllum póstlistum sínum þykir ekki tilefni til að gefa fyrirtækinu fyrirmæli um að færa vinnsluaðgerðir til samræmis við ákvæði reglugerðarinnar.
Ú r s k u r ð a r o r ð:
Skráning Brimborgar ehf. á netfangi [A] samrýmdist ekki meginreglu laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um gagnsæi við vinnslu persónuupplýsinga.
Persónuvernd, 29. febrúar 2024
Valborg Steingrímsdóttir Edda Þuríður Hauksdóttir