Vinnsla persónuupplýsinga hjá Vodafone
Mál nr. 2020010376
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir vinnslu persónuupplýsinga hjá Vodafone í tengslum við markaðssetningu. Farsímanúmer kvartanda var bæði á bannskrá Þjóðskrár Íslands og óskráð í símaskrá Já.is. Í úrskurðinum er komist að þeirri niðurstöðu að vinnsla og notkun persónuupplýsinganna hafi ekki samrýmst lögum um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
Þann 4. febrúar 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010376 (áður 20199091658).
I.
Málsmeðferð
1.
Tildrög máls
Þann 9. september 2019 barst Persónuvernd framsend kvörtun frá Póst- og fjarskiptastofnun, dags. 19. júní s.á., að [A] (hér eftir nefnd, kvartandi), sem óskaði eftir að erindið yrði sent Persónuvernd til meðferðar. Kvörtunin varðar öflun Vodafone, sem heyrir undir Sýn hf. (hér eftir Sýn), á farsímanúmeri kvartanda, vinnslu með upplýsingarnar og að fyrirtækið hafi ekki virt merkingu í bannskrá Þjóðskrár Íslands við markaðssetningu með tveimur símtölum í farsímanúmer hennar.
Með bréfi dags. 1. október 2019, var Sýn boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 18. nóvember 2019. Með bréfi, dags. 19. desember 2019, var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Sýnar. Svarað var með tölvupósti þann 3. janúar 2020 og með tölvupósti þann 9. janúar 2020.
Með bréfi, dags. 28. ágúst 2020, var óskað eftir frekari skýringum frá Sýn. Erindið var ítrekað með símtali og tölvupósti þann 15. desember 2020. Svarað var með tölvupósti þann 5. janúar 2021.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur dregist vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Í kvörtun kemur fram að sölumaður hjá Sýn (Vodafone) hafi hringt í farsíma kvartanda […] júní 2019. Kvartandi kveður farsímanúmer sitt ekki hafa verið birt í símaskrá á miðlum Já hf. síðan […] janúar 2013 og að hún hafi einnig verið skráð á bannskrá Þjóðskrár Íslands frá […] júní 1998, en kvartandi lagði fram staðfestingar frá Já.is og Þjóðskrá Íslands hvað þetta varðar. Hún hafi fengið þær upplýsingar frá sölumanninum að símanúmer hennar væri á lista sem hann hefði fengið frá yfirmanni sínum, en skýringar hafi ekki fengist á því hvaðan yfirmaðurinn hefði fengið númerið. Kvartandi segist vera viðskiptavinur Símans og hringingarnar hafi hafist sama dag og hún kom við í verslun Símans til að skipta gamalli gerð af símkorti út fyrir nýtt. Telur hún vera tengsl milli þess atviks og þess að Sýn (Vodafone) hafi fengið upplýsingar um símanúmerið. Samkvæmt skráningu Símans sé símanúmer hennar þó hvergi gefið upp. Að lokum óskar kvartandi þess að upplýst verði hver hafi gefið Sýn (Vodafone) upp símanúmer hennar.
3.
Sjónarmið Sýnar
Af hálfu Sýnar (Vodafone) er byggt á því að umrædd símtöl hafi verið fyrir mistök. Farsímanúmer kvartanda hafi verið fengið frá Já hf. í markaðssetningartilgangi, en misfarist hafi að tengja númerið við uppfærðar upplýsingar um bannmerkingar í símaskrá hjá Já hf. Innlestrarskjal þar sem númer kvartanda hafi komið fram hafi verið tekið út í júní 2019. Úr þessu hafi nú verið bætt með því að farsímanúmerinu hafi verið eytt og númerið sé því ekki lengur að finna í upplýsingakerfum Sýnar. Þá hafi verið gripið til ráðstafana sem eigi að koma í veg fyrir að atvik af þessu tagi endurtaki sig. Fram kemur að félagið telji sig hafa virt bannmerkingar í símaskrá hjá Já hf. og þar með að unnið hafi verið með persónuupplýsingar kvartanda með lögmætum, sanngjörnum og gagnsæjum hætti, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018. Jafnframt hafi upplýsingarnar verið fengnar í skýrum, tilgreindum og málefnalegum tilgangi, sbr. 2. tölul. sama ákvæðis. Auk þess hafi verið stuðst við ákvæði 45. gr. fjarskiptalaga nr. 81/2003 og verklagsreglur sem settar hafi verið á grundvelli ákvæðisins.
Þá sé það almenn vinnuregla hjá félaginu að kanna hvort viðkomandi sé skráður í bannskrá Þjóðskrár Íslands áður en hringt er út, en vera megi að það hafi misfarist í umrætt skipti. Beðist er velvirðingar á því. Hugleiðingum kvartanda um að tengsl séu á milli öflunar símanúmersins og komu kvartanda í verslun Símans er jafnframt andmælt.
II.
Forsendur og niðurstaða
1.
Afmörkun máls
Úrlausnarefni máls þessa afmarkast við vinnslu persónuupplýsinga í þágu markaðssetningar. Persónuvernd fjallar ekki um notkun fjarskiptatækni við markaðssetningu. Í máli þessu reynir því ekki á ákvæði fjarskiptalaga nr. 81/2003 varðandi óumbeðin fjarskipti, en eftirlit með þeim ákvæðum fellur ekki undir Persónuvernd heldur undir Póst- og fjarskiptastofnun. Svo sem áður var rakið óskaði kvartandi eftir því í erindi sínu að upplýst yrði hver hefði miðlað farsímanúmeri hennar til Sýnar. Sýn hefur upplýst að farsímanúmerið hafi verið fengið hjá Já.is en kvartandi hefur framvísað tölvupósti frá Já.is þar sem staðfest er að númerið hafi ekki verið birt af hálfu fyrirtækisins síðan […] janúar 2013. Samkvæmt þessu stendur orð á móti orði um það hvaðan upplýsingarnar voru fengnar. Eins og hér háttar til telur Persónuvernd ekki tilefni til þess að stofnunin beiti þeim valdheimildum, sem henni eru fengnar í lögum nr. 90/2018, til þess að rannsaka það nánar. Óumdeilt er hins vegar að Sýn aflaði upplýsinga um farsímanúmer kvartanda og notaði það til að hafa samband við hana í þágu markaðssetningar. Verður umfjöllun Persónuverndar afmörkuð við lögmæti þeirrar vinnslu sem í því fólst.
2.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölulið 3. gr. laganna og 1. tölulið 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölulið 3. gr. laganna og 2. tölulið. 4. gr. reglugerðarinnar.
Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda hjá Sýn í tengslum við markaðssetningu. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölulið 4. gr. reglugerðarinnar. Eins og hér háttar til telst Sýn hf. vera ábyrgðaraðili að umræddri vinnslu.
3.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Þær heimildir sem einkum koma til álita hér eru að hinn skráði hafi gefið samþykki sitt fyrir vinnslu persónuupplýsinga um sig í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. 9. gr., að vinnsla sé nauðsynleg til að efna samning sem hinn skráði er aðili að, sbr. 2. tölul. 9. gr., eða að vinnsla sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. sömu greinar.
Í þessu máli reynir á hvort Sýn var heimilt að afla upplýsinga um símanúmer kvartanda, sem var ekki í viðskiptum við fyrirtækið og var á bannskrá Þjóðskrár Íslands, og nota það síðan við beina markaðssetningu.
Í framkvæmd Persónuverndar hefur einkum verið litið svo á að vinnsla í þágu beinnar markaðssetningar geti stuðst við annað hvort samþykki hins skráða eða nauðsyn vegna lögmætra hagsmuna þess aðila, sem stendur að markaðssetningunni. Í þessu máli liggur ekki fyrir að hin skráða hafi veitt samþykki sitt fyrir umræddri vinnslu og verður vinnslan því ekki talin hafa verið heimil á grundvelli þess. Kemur þá til skoðunar hvort félagið hafi haft lögmæta hagsmuni til að beina markaðssetningu að henni. Til þess að heimilt sé að vinna með persónuupplýsingar á grundvelli 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þurfa þrjú skilyrði að vera uppfyllt. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir. Í öðru lagi er áskilið að vinnslan sé nauðsynleg í þágu þeirra hagsmuna. Í þriðja lagi mega hagsmunir og grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hagsmunir annarra af vinnslunni.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Þau atvik sem kvartað er yfir áttu sér stað í júní 2019. Þá var enn í gildi 2. mgr. 21. gr. laga nr. 90/2018, þar sem fjallað var um bannskrá þjóðskrár, en ákvæðið var síðar fellt út úr lögunum samhliða gildistöku laga nr. 140/2019 um skráningu einstaklinga. Samkvæmt ákvæðinu bar ábyrgðaraðila sem starfaði í beinni markaðssókn og þeim sem notuðu skrá með nöfnum, heimilisföngum, netföngum, símanúmerum og þess háttar, áður en slík skrá væri notuð í slíkum tilgangi, að bera hana saman við skrá Þjóðskrár Íslands yfir þá sem andmæltu því að nöfn þeirra væru notuð í markaðssetningarstarfsemi, til að koma í veg fyrir að markpóstur yrði sendur eða hringt yrði til einstaklinga sem hefðu andmælt slíku. Samsvarandi ákvæði er nú að finna í 15. gr. áðurnefndra laga nr. 140/2019 um skráningu einstaklinga, sem tóku gildi 1. janúar 2020.
Með vísan til framangreinds og þess að kvartandi var á bannskrá Þjóðskrár Íslands þegar hringt var í hana er niðurstaða Persónuverndar að Sýn hf. hafi, samkvæmt þágildandi 2. mgr. 21. gr. laga nr. 90/2018, borið að eyða nafni kvartanda af þeim lista sem lagður var til grundvallar úthringingum […] júní 2019 og […] júní 2019.
Að þessu gættu telur Persónuvernd að umrædd vinnsla hafi ekki samrýmst lögum nr. 90/2018.
Ú r s k u r ð a r o r ð:
Vinnsla og notkun Sýnar hf. (Vodafone) á persónuupplýsingum um farsímanúmer [A] samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd, 4. febrúar 2021
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir