Vinnsla persónuupplýsinga af hálfu Sjálfsbjargar, landssambands hreyfihamlaða

Mál nr. 2021112121

6.12.2022

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu Sjálfsbjargar, landssambands hreyfihamlaðra, í máli nr. 2021112121:

I.
Málsmeðferð

Hinn 1. nóvember 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir því að Sjálfsbjörg, landssamband hreyfihamlaðra, (hér eftir Sjálfsbjörg) hefði stofnað og birt valgreiðslukröfu í heimabanka hans, án þess að hann hafi óskað eftir því eða sé í viðskiptasambandi við Sjálfsbjörgu.

Persónuvernd bauð Sjálfsbjörgu að tjá sig um kvörtunina með bréfi, dags. 11. maí 2022, og bárust svör Sjálfsbjargar með tölvupósti þann 9. júní 2022. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

___________________

Kvartandi telur Sjálfsbjörgu ekki hafa haft heimild til þess að stofna og birta valgreiðslukröfu í heimabanka hans án þess að hann hafi óskað eftir því eða sé í viðskiptasambandi við Sjálfsbjörgu. Hann hafi lögmæta hagsmuni af því af fá ekki slíka kröfu í heimabankann. Að mati kvartanda hafi Sjálfsbjörg ekki lögmæta hagsmuni af því að geta stofnað og birt óumbeðnar kröfur í heimabanka einstaklinga heldur geti félög, eins og Sjálfsbjörg, óskað eftir fjárframlögum með öðrum hætti.

Sjálfsbjörg byggir á því að þegar tiltekin valgreiðslukrafa hafi verið stofnuð og birt í heimabanka kvartanda hafi verið stuðst við upplýsingar sem þegar voru til í innheimtukerfi Sjálfsbjargar um valgreiðslur sem áður höfðu verið stofnaðar. Valgreiðslukröfur hafi síðan verið stofnaðar aftur á þá aðila sem upplýsingar lágu fyrir um, þ. á m. kvartanda. Í svari Sjálfsbjargar kemur fram að samtökin hafi til margra ára stofnað slíkar kröfur til fjáröflunar en þeir aðilar sem fái slíkar kröfur í heimabanka hafi val um að greiða þær. Ekki sé kvöð eða skylda að greiða slíka kröfu og notandi heimabanka geti sjálfur fellt kröfuna niður í heimabanka sínum. Í svari Sjálfsbjargar kemur jafnframt fram að Sjálfsbjörg telji þó ekki skýrt hvort slík vinnsla, þ.e. að stofna valgreiðslukröfu í heimabanka, geti fallið undir 6. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

II.
Niðurstaða
1.
Lögmæti vinnslu

Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda sem fólst í stofnun og birtingu á valgreiðslukröfu í heimabanka hans, af hálfu Sjálfsbjargar, án þess að hann hefði óskað eftir því eða væri í viðskiptasambandi við Sjálfsbjörgu. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Af gögnum málsins verður ekki annað ráðið en að Sjálfsbjörg hafi ákveðið tilgang og aðferð við vinnslu persónuupplýsinga um kvartanda og telst sambandið því vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum, sbr. 1. tölul. 9. gr. lagaákvæðisins og a-lið 1. mgr. 6. gr. reglugerðarákvæðisins, eða ef vinnslan er nauðsynleg í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. 9. gr. lagaákvæðisins og f-lið 1. mgr. 6. gr. reglugerðarákvæðisins. Eins og hér háttar til verður að mati Persónuverndar ekki séð að aðrar vinnsluheimildir samkvæmt fyrrgreindu ákvæði geti komið til greina.

Samkvæmt 8. tölul. 3. gr. laga nr. 90/2018 og 11. tölul. 1. mgr. 4. gr. reglugerðar (ESB) 2016/679 telst samþykki vera óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Þegar vinnsla er byggð á samþykki skal ábyrgðaraðili geta sýnt fram á að skráður einstaklingur hafi samþykkt vinnslu persónuupplýsinga sinna samkvæmt nánari skilyrðum 7. og 8. gr. reglugerðarinnar, sbr. 1. mgr. 10. gr. laganna og 1. mgr. 7. gr. reglugerðarinnar. Ef hinn skráði veitir samþykki sitt með skriflegri yfirlýsingu, sem einnig varðar önnur málefni, skal beiðnin um samþykki sett fram á þann hátt að hún sé auðgreinanleg frá öðrum málefnum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli, sbr. 2. mgr. sama ákvæðis og 2. mgr. 7. gr. reglugerðar (ESB) 2016/679.

Í 32. lið formálsorða reglugerðar (ESB) 2016/679 segir enn fremur að veita ætti samþykki með skýrri staðfestingu, s.s. skriflegri yfirlýsingu, þ.m.t. með rafrænum hætti, eða munnlegri yfirlýsingu, á því að fyrir liggi óþvinguð, afmörkuð, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sem varða hann sjálfan. Þetta geti falið í sér að haka við reit þegar farið er inn á vefsetur á Netinu, velja tæknilegar stillingar fyrir þjónustu í upplýsingasamfélaginu eða aðra yfirlýsingu eða athöfn sem gefur skýrt til kynna í þessu samhengi að skráður einstaklingur samþykki fyrirhugaða vinnslu á persónuupplýsingum um sig. Þögn, reitir sem þegar er búið að haka við eða aðgerðarleysi ættu því ekki að fela í sér samþykki. Samþykki ætti að ná til allrar vinnslustarfsemi sem fram fer í sama tilgangi, einum eða fleiri. Þegar vinnslan er í margvíslegum tilgangi ætti að gefa samþykki fyrir hverjum og einum þeirra. Þá skal hinn skráði eiga kost á að afturkalla samþykki sitt án þess að verða fyrir neikvæðum afleiðingum í kjölfarið, en þegar samþykkið ef afturkallað ber ábyrgðaraðila að hætta þeirri vinnslu sem fór fram á grundvelli samþykkis. Í leiðbeiningum Evrópska persónuverndarráðsins nr. 5/2020, um samþykki, sem gefnar voru út á grundvelli e-liðar 1. mgr. 70. gr. reglugerðar (ESB) 2016/679, er þessi lögskýring jafnframt áréttuð.

Af hálfu Sjálfsbjargar hefur komið fram að við vinnslu persónuupplýsinganna hafi verið stuðst við upplýsingar sem þegar voru til í innheimtukerfi Sjálfsbjargar yfir valgreiðslur sem áður höfðu verið stofnaðar. Valgreiðslukröfur hafi síðan verið stofnaðar aftur á þá aðila sem upplýsingar lágu fyrir um, þ. á m. kvartanda.

Að mati Persónuverndar verður ekki talið að sú vinnsla persónuupplýsinga sem kvartað er yfir, þ.e. birting greiðsluseðils í heimabanka kvartanda, hafi uppfyllt framangreind skilyrði um að samþykki skuli vera afmarkað og sérgreint frá öðrum vinnsluaðgerðum og veitt með aðgerð, enda verði samþykki ekki veitt með þögn. Gat vinnslan því ekki ekki stuðst við 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Eins og hér háttar til kemur þá einkum til skoðunar 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Áður en vinnsla persónuupplýsinga hefst á grundvelli þessarar heimildar þarf ábyrgðaraðili að ganga úr skugga um að skilyrði ákvæðisins séu uppfyllt, meðal annars með því að framkvæma það hagsmunamat sem vísað er til í ákvæðinu.

Það er hlutverk ábyrgðaraðila að tryggja að vinnsla persónuupplýsinga á hans vegum sé lögmæt, sbr. m.a. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Þá minnir Persónuvernd á 2. mgr. 8. gr. laganna, sbr. 2. mgr. 5. gr. reglugerðarinnar, um að ábyrgðaraðili beri ábyrgð á að farið sé að meginreglum laganna og geti sýnt fram á það. Það má til að mynda gera með því að skjalfesta niðurstöður hagsmunamats samkvæmt áðurnefndu ákvæði 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar.

Af hálfu Sjálfsbjargar hefur komið fram að sambandið telji ekki skýrt hvort vinnsla persónuupplýsinga um kvartanda hafi getað fallið undir 6. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Eins og hér háttar til er því ekki unnt að byggja á því að Sjálfsbjörg hafi metið sérstaklega þá lögmætu hagsmuni sem sambandið gætir, hvort vinnslan sé nauðsynleg í þágu þeirra hagsmuna eða hvernig lögmætir hagsmunir þess af umræddri vinnslu hafi vegið þyngra en hagsmunir hins skráða. Þá hefur Persónuvernd ekki forsendur til að leggja mat á hvort vinnslan uppfylli skilyrði ákvæðisins, en ætla má að umrædd vinnsluheimild geti eftir atvikum komið til greina að undangengnu hagsmunamati sem staðfestir að skilyrði ákvæðisins séu uppfyllt.

Þegar litið er til alls framangreinds telur Persónuvernd að vinnsla Sjálfsbjargar á persónuupplýsingum um kvartanda, hafi ekki verið heimil samkvæmt 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þegar af þeirri ástæðu er niðurstaða Persónuverndar því sú að vinnslan hafi ekki samrýmst lögunum og reglugerðinni.

Í samræmi við þessa niðurstöðu, og með vísan til 6. tölul. 42. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Sjálfsbjörgu, landssamband hreyfihamlaðra, að stöðva þá vinnslu á persónuupplýsingum kvartanda sem felst í birtingu valgreiðslukröfu í heimabanka hans. Skal staðfesting á því að birtingin hafi verið stöðvuð berast Persónuvernd eigi síðar en 5. janúar 2023.

Ú r s k u r ð a r o r ð:

Vinnsla Sjálfsbjargar, landssambands hreyfihamlaðra, á persónuupplýsingum um [A] sem felst í birtingu valgreiðslukröfu í heimabanka hans samrýmist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679 um vinnsluheimildir.

Lagt er fyrir Sjálfsbjörgu, landssamband hreyfihamlaðra, að stöðva þá vinnslu persónuupplýsinga um [A] sem felst í birtingu valgreiðslukröfu í heimabanka hans og senda staðfestingu á því til Persónuverndar eigi síðar en 5. janúar 2023.

Persónuvernd, 6. desember 2022

Helga Sigríður Þórhallsdóttir                     Edda Þuríður Hauksdóttir