Vinnsla Pizza-Pizza ehf. á persónuupplýsingum

Mál nr. 2022010143

16.6.2023

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu Pizza-Pizza ehf. í máli nr. 2022010143:

I.
Málsmeðferð

Hinn 17. janúar 2022 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga af hálfu Pizza-Pizza ehf., rekstraraðila Domino‘s á Íslandi. Nánar tiltekið laut kvörtunin að birtingu nafns hans á skjá í verslun Domino‘s Pizza við afgreiðslu pöntunar.

Persónuvernd bauð Pizza-Pizza ehf. að tjá sig um kvörtunina með bréfi, dags. 14. febrúar 2022, og bárust svör fyrirtækisins með bréfi dags., 21. mars s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Pizza-Pizza ehf. með bréfi, dags. 3. nóvember s.á, og bárust þær með tölvupósti 9. s.m. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

___________________

Ágreiningur er um heimild Pizza-Pizza ehf. til þess að birta nafn kvartanda á skjá í verslun Domino‘s við afgreiðslu pöntunar.

Kvartandi vísar til þess að í pöntunarferli við pöntun á pizzu hjá Domino‘s hafi hvergi komið fram upplýsingar um að nafn hans yrði birt við afgreiðslu pöntunarinnar. Jafnframt komi hvergi fram í pöntunarferlinu upplýsingar um að ekki sé þörf á að setja inn fullt nafn eða að hægt sé að breyta því hvaða nafn birtist á skjá við afgreiðslu pöntunar.

Pizza-Pizza ehf. vísar til þess að algengt sé að engar persónugreinanlegar upplýsingar birtist á skjáum í verslunum Domino‘s Pizza við afgreiðslu pantana heldur eingöngu upplýsingar til aðgreiningar, líkt og fornöfn viðskiptavina. Að mati Pizza-Pizza ehf. feli birting slíkra upplýsinga á skjáum inni í verslunum því ekki í sér vinnslu persónuupplýsinga samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, þar sem ekki sé unnt að persónugreina einstaklinga aðeins með fornafni.

Í svarbréfi Pizza-Pizza ehf. er einnig vísað til þess að það nafn sem birtist á skjá í verslun Domino‘s hverju sinni sé það nafn sem viðskiptavinur hafi gefið upp í símtali, á vef eða í appi við pöntun pizzu hjá fyrirtækinu. Þegar viðskiptavinur hafi kosið að veita upplýsingar um fullt nafn við pöntun telur Pizza-Pizza ehf. að fyrirtækinu sé heimilt að birta nafnið á skjá í tiltekinni verslun í þeim tilgangi að veita sem besta þjónustu. Tilgangurinn sé að veita upplýsingar um stöðu pöntunar og til auðkenningar við afgreiðslu en nafnið hverfi af skjánum um leið og pöntun hefur verið afgreidd. Byggir Pizza-Pizza ehf. á því að um lögmæta og sanngjarna vinnslu sé að ræða þar sem ekki sé gengið lengra en þörf krefjist miðað við tilgang vinnslunnar

Í svarbréfi Pizza-Pizza ehf. kemur jafnframt fram að Pizza-Pizza ehf. hafi áður lagt mat á heimild fyrirtækisins til birtingar nafna viðskiptavina með þeim hætti sem um ræðir. Hafi það verið mat stjórnenda að slík birting nafna bryti ekki gegn hagsmunum viðskiptavina. Í tilefni af kvörtuninni hafi texti á vefsíðu og í appi fyrirtækisins engu að síður verið uppfærður. Í reit þar sem viðskiptavinir auðkenni sig sé nú m.a. að finna upplýsingar um að ekki sé þörf á setja inn fullt nafn. Einnig komi nú fram að kjósi viðkomandi viðskiptavinur að setja inn persónugreinanlegar upplýsingar samþykki hann að upplýsingarnar birtist á skjá í verslun Domino‘s við afgreiðslu pöntunar.

II.
Niðurstaða
1. Lögmæti vinnslu

Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda sem fólst í birtingu nafns hans á skjá í verslun Domino‘s á Íslandi við afgreiðslu pöntunar. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Pizza-Pizza ehf., rekstraraðili Domino‘s á Íslandi, telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum, sbr. 1. tölul. 9. gr. lagaákvæðisins og a-lið 1. mgr. 6. gr. reglugerðarákvæðisins, eða ef vinnslan er nauðsynleg í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. 9. gr. lagaákvæðisins og f-lið 1. mgr. 6. gr. reglugerðarákvæðisins. Eins og hér háttar til verður að mati Persónuverndar ekki séð að aðrar vinnsluheimildir samkvæmt fyrrgreindu ákvæði geti komið til greina.

Auk framangreinds verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, og að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins.

Samkvæmt 8. tölul. 3. gr. laga nr. 90/2018 og 11. tölul. 1. mgr. 4. gr. reglugerðar (ESB) 2016/679 telst samþykki vera óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Þegar vinnsla er byggð á samþykki skal ábyrgðaraðili geta sýnt fram á að skráður einstaklingur hafi samþykkt vinnslu persónuupplýsinga sinna samkvæmt skilyrðum 1. mgr. 10. gr. laga nr. 90/2018, sbr. 7. gr. reglugerðar (ESB) 2016/679. Ef hinn skráði veitir samþykki sitt með skriflegri yfirlýsingu, sem einnig varðar önnur málefni, skal beiðnin um samþykki sett fram á þann hátt að hún sé auðgreinanleg frá hinum málefnunum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli, sbr. 2. mgr. sama ákvæðis og 2. mgr. 7. gr. reglugerðar (ESB) 2016/679.

Í 32. lið formálsorða reglugerðar (ESB) 2016/679 segir enn fremur að veita ætti samþykki með skýrri staðfestingu, s.s. skriflegri yfirlýsingu, þ.m.t. með rafrænum hætti, eða munnlegri yfirlýsingu, á því að fyrir liggi óþvinguð, afmörkuð, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sem varða hann sjálfan. Þetta geti falið í sér að haka við reit þegar farið er inn á vefsetur á Netinu, velja tæknilegar stillingar fyrir þjónustu í upplýsingasamfélaginu eða aðra yfirlýsingu eða athöfn sem gefur skýrt til kynna í þessu samhengi að skráður einstaklingur samþykki fyrirhugaða vinnslu á persónuupplýsingum um sig. Þögn, reitir sem þegar er búið að haka við eða aðgerðarleysi ættu því ekki að fela í sér samþykki. Samþykki ætti að ná til allrar vinnslustarfsemi sem fram fer í sama tilgangi, einum eða fleiri. Þegar vinnslan er í margvíslegum tilgangi ætti að gefa samþykki fyrir hverjum og einum þeirra. Þá skal hinn skráði eiga kost á að afturkalla samþykki sitt án þess að verða fyrir neikvæðum afleiðingum í kjölfarið, en þegar samþykkið ef afturkallað ber ábyrgðaraðila að hætta þeirri vinnslu sem fór fram á grundvelli samþykkis. Í leiðbeiningum Evrópska persónuverndarráðsins nr. 5/2020, um samþykki, sem gefnar voru út á grundvelli e-liðar 1. mgr. 70. gr. reglugerðar (ESB) 2016/679, er þessi lögskýring jafnframt áréttuð.

Af hálfu Pizza-Pizza ehf. hefur komið fram að texti á vefsíðu og í appi fyrirtækisins hafi nú verið uppfærður. Í reit þar sem viðskiptavinir auðkenni sig sé nú að finna upplýsingar um að ekki sé þörf á að setja inn fullt nafn. Einnig sé nú að finna upplýsingar um að kjósi viðskiptavinur að setja inn persónugreinanlegar upplýsingar samþykki hann að upplýsingarnar birtist á skjá í verslun Domino‘s við afgreiðslu pöntunar.

Fyrir liggur að á þeim tíma sem kvartandi skráði inn persónuupplýsingar sínar á vefsíðu og í app fyrirtækisins höfðu framangreindar upplýsingar um auðkenni viðskiptavina og birtingu persónuupplýsinga ekki verið uppfærðar á vefsíðunni eða í appinu. Að mati Persónuverndar verður því ekki talið að sú vinnsla persónuupplýsinga sem kvartað er yfir, þ.e. birting nafns kvartanda á skjá í verslun Domino‘s, hafi uppfyllt framangreind skilyrði um að samþykki skuli vera upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga um sig. Gat vinnslan því ekki ekki stuðst við 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Eins og hér háttar til kemur þá einkum til skoðunar 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra.

Telja verður að Pizza-Pizza ehf. geti haft lögmæta hagsmuni af því að birta nöfn viðskiptavina sinna á skjáum í verslunum sínum sem lið í því að bæta þjónustu við viðskiptavini. Tilgangur með birtingunni er að veita upplýsingar um stöðu og biðtíma pantana og til auðkenningar við afgreiðslu. Ekki verður séð að sú vinnsla persónuupplýsinga sem fram fer með því að birta nöfn viðskiptavina á skjáum í verslunum Pizza-Pizza ehf. sé í eðli sínu til þess fallin að ógna grundvallarréttindum og frelsi kvartanda þannig að þyngra þyki vega en tilgreindir hagsmunir ábyrgðaraðila. Þá verða upplýsingar um nöfn viðskiptavina taldar nægilegar og viðeigandi og fallast má á að vinnslan geti talist nauðsynleg í þágu þessara lögmætu hagsmuna fyrirtækisins, enda sé gætt að rétti hins skráða til að andmæla vinnslunni.

Til þess að hinn skráði geti nýtt rétt sinn til að andmæla vinnslu persónuupplýsinga sem byggist á 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 er nauðsynlegt að persónuupplýsingar séu unnar með gagnsæjum hætti og að tilgangur vinnslu sé skýr, ásamt því að hinn skráði fái fullnægjandi fræðslu um vinnsluna.

Meginreglur 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, kveða meðal annars á um að þess skuli gætt að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða og að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laganna og a- og b-liði 1. mgr. 5. gr. reglugerðarinnar. 

Krafan um sanngjarna og gagnsæja vinnslu persónuupplýsinga felur m.a. í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað, þær notaðar, skoðaðar eða unnar á annan hátt. Einnig á þeim að vera ljóst að hvaða marki persónuupplýsingar eru eða munu verða unnar. Hvers kyns upplýsingar og samskipti, sem tengjast vinnslunni, skulu jafnframt vera auðveldlega aðgengileg og auðskiljanleg og á skýru og einföldu máli.

Til að meta hvort skilyrðið um gagnsæi hafi verið uppfyllt við vinnslu persónuupplýsinga getur þurft að líta til ákvæða um fræðsluskyldu, sbr. 17. gr. laga nr. 90/2018 og 12.-14. gr. reglugerðar (ESB) 2016/679.

Þegar persónuupplýsinga er aflað hjá hinum skráða, eins og hér háttar til, fer um fræðsluskyldu samkvæmt 13. gr. reglugerðarinnar. Fræðsluskylda ábyrgðaraðila, þ.e. skyldan til að veita hinum skráða upplýsingar um vinnslu persónuupplýsinga hans, á almennt við óháð þeim lagagrundvelli sem vinnslan byggist á.

Í 13. gr. reglugerðarinnar er fjallað um þær upplýsingar sem ber að veita við söfnun persónuupplýsinga hjá skráðum einstaklingi. Í 1. mgr. ákvæðisins segir að þegar persónuupplýsinga um hinn skráða sé aflað hjá honum sjálfum skuli ábyrgðaraðilinn, við söfnun persónuupplýsinganna, skýra honum frá tilganginum með fyrirhugaðri vinnslu persónuupplýsinganna og hver lagagrundvöllur hennar er, sbr. c-lið, og þegar vinnslan byggist á f-lið 1. mgr. 6. gr., skal einnig skýra frá því hvaða lögmætu hagsmunir það eru sem ábyrgðaraðili eða þriðji aðili gætir, sbr. d-lið 1. mgr. 13. gr. reglugerðarinnar. Þá segir einnig í 1. mgr. ákvæðisins að þegar persónuupplýsinga um hinn skráða sé aflað hjá honum sjálfum skuli ábyrgðaraðilinn, við söfnun persónuupplýsinga, skýra honum frá meðal annars viðtakendum eða flokkum viðtakenda persónuupplýsinganna, ef einhverjir eru, sbr. e-lið 1. mgr. 13. gr. Hugtakið „viðtakandi“ er skilgreint í 9. tölul. 4. gr. reglugerðar (ESB) 2016/679 sem einstaklingur eða lögaðili, opinbert yfirvald, sérstofnun eða annar aðili sem fær í hendur persónuupplýsingar, hvort sem hann er þriðji aðili eða ekki.

Líkt og að framan greinir höfðu upplýsingar um auðkenni viðskiptavina og birtingu persónuupplýsinga á skjáum í verslunum ekki verið uppfærðar á vefsíðu og í appi Pizza-Pizza ehf. á þeim tíma sem kvartandi skráði inn persónuupplýsingar sínar. Af hálfu kvartanda hefur komið fram að sem viðskiptavinur Domino‘s, sem hafi áður skráð upplýsingar um fullt nafn í stillingar á vefsíðu og í app fyrirtækisins, hafi hann hvergi fengið upplýsingar um að nafn hans yrði birt á skjá eða upplýsingar um að hann gæti breytt því hvaða nafn myndi birtast.

Af fyrirliggjandi málsgögnum verður ekki ráðið að Pizza-Pizza ehf. hafi veitt kvartanda fræðslu um þá vinnslu sem kvörtunin tekur til. Er þá einnig til þess að líta að upplýsingar um birtingu nafna á skjáum í verslunum var ekki að finna í persónuverndarstefnu Pizza-Pizza ehf. Í því sambandi ber að líta til þess að samkvæmt 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, er ábyrgðaraðili ábyrgur fyrir því að farið sé að meginreglum löggjafarinnar og skal geta sýnt fram á það.

Með vísan til framangreinds er það niðurstaða Persónuverndar að Pizza-Pizza ehf. hafi ekki veitt kvartanda fræðslu samkvæmt b-, c- og e-lið 13. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018. Þegar af þeirri ástæðu verður ekki séð að Pizza-Pizza ehf. hafi við vinnslu persónuupplýsinga kvartanda gætt þess að þær hafi verið unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða og fengnar í skýrt tilgreindum tilgangi, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a- og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Pizza-Pizza ehf. að veita framvegis öllum viðskiptavinum sínum, þ. á m. þeim viðskiptavinum sem hafa skráð upplýsingar um fullt nafn í stillingar á vefsíðu og í app fyrirtækisins áður en upplýsingar um auðkenni viðskiptavina og birtingu persónuupplýsinga á skjáum í verslunum voru uppfærðar, fræðslu um þá vinnslu persónuupplýsinga sem kann að eiga sér stað í tengslum við birtingu nafna þeirra á skjáum í verslunum.

Eigi síðar en 14. júlí 2023 skal Pizza-Pizza ehf. senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á framkvæmd fræðslunnar og upplýsingum um efni hennar.

Ú r s k u r ð a r o r ð:

Vinnsla Pizza-Pizza ehf. á persónuupplýsingum um [A] samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um fræðsluskyldu og gagnsæi.

Með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Pizza-Pizza ehf. að veita framvegis öllum viðskiptavinum sínum, þ. á m. þeim viðskiptavinum sem hafa skráð upplýsingar um fullt nafn í stillingar á vefsíðu og í app fyrirtækisins áður en upplýsingar um auðkenni viðskiptavina og birtingu persónuupplýsinga á skjáum í verslunum voru uppfærðar, fræðslu um þá vinnslu persónuupplýsinga sem kann að eiga sér stað í tengslum við birtingu nafna þeirra á skjáum í verslunum.

Eigi síðar en 14. júlí 2023 skal Pizza-Pizza ehf. senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á framkvæmd fræðslunnar og upplýsingum um efni hennar.

Persónuvernd, 16. júní 2023

Helga Sigríður Þórhallsdóttir                              Edda Þuríður Hauksdóttir