VÍS heimilt að senda viðskiptavini þjónustukönnun í kjölfar símtals

Mál nr. 2023122032

15.10.2024

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu VÍS, í máli nr. 2023122032:

Málsmeðferð

1. Hinn 18. desember 2023 barst Persónuvernd kvörtun A (hér eftir kvartandi) yfir vinnslu Vátryggingafélags Íslands hf. (hér eftir VÍS) á persónuupplýsingum hans. Nánar tiltekið lýtur kvörtunin að því að eftir símtal kvartanda við VÍS hafi félagið sent honum þjónustukönnun með tölvupósti þrátt fyrir að hann hefði ekki gefið upp nafn sitt í símtalinu. Kvörtuninni fylgdi afrit tölvupóstsins, sem er dagsettur þann sama dag.
2. Persónuvernd bauð VÍS að tjá sig um kvörtunina með bréfi 15. mars 2024 og bárust svör 12. apríl 2024. Persónuvernd sendi kvartanda bréf sama dag og bauð honum að koma á framfæri athugasemdum við svör félagsins og bárust þær með bréfi 19. apríl 2024. Persónuvernd óskaði frekari skýringa frá VÍS með bréfi 19. ágúst 2024. Svarbréf VÍS ásamt persónuverndarstefnu félagsins, eins og hún var uppfærð 28. nóvember 2023, barst Persónuvernd 13. september 2024. Persónuvernd bauð kvartanda að tjá sig um framkomin gögn og skýringar með bréfi 16. s.m. og bárust athugasemdir hans með bréfi 23. s.m. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.
   
   

   Ágreiningsefni

3. Ágreiningur er um heimild VÍS til að tengja símanúmer kvartanda við viðskiptamannaskrá félagsins, þegar hann hringdi í félagið til að bera upp almenna fyrirspurn, án þess að gefa upp nafn sitt, og nota upplýsingar þaðan til að senda honum í kjölfarið tölvupóst með þjónustukönnun.
   
   

   Atvik máls og fyrirliggjandi gögn

4. Óumdeilt er í málinu að kvartandi, sem var í viðskiptum við VÍS, hringdi í félagið í desember 2023 og óskaði upplýsinga um bílatryggingar án þess að gefa upp nafn sitt, netfang eða aðrar upplýsingar til þess að unnt væri að bera kennsl á hann. Í kjölfarið sendi VÍS kvartanda þjónustukönnun með tölvupósti. VÍS hefur upplýst um að þegar viðskiptavinir félagsins hringja úr því símanúmeri sem er skráð í viðskiptamannaskrá, birtist svokallað viðskiptamannaspjald á skjá þess starfsmanns sem svarar símtalinu, þar sem fram komi nafn þess sem hringir og að viðkomandi sé í viðskiptasambandi við félagið. Í kjölfar símtals sé viðskiptavini send þjónustukönnun með tölvupósti.
5. Í tölvupóstinum sem kvartandi fékk umrætt sinn er honum þakkað fyrir að hafa haft samband við VÍS og hann spurður hvaða einkunn hann myndi gefa þjónustunni. Þá segir: „Við munum nota svör þín til að bæta þjónustuna okkar. Við hvetjum þig til að kynna þér rétt þinn og hvernig VÍS meðhöndlar og verndar persónuupplýsingar þátttakenda með því að lesa Persónuverndarstefnuna okkar. Ef þú vilt ekki fá þjónustukannanir frá okkur þá getur þú svarað þessum tölvupósti og látið okkur vita.“ Á orðinu „Persónuverndarstefnuna“ er hlekkur á persónuverndarstefnu félagsins.
6. Í persónuverndarstefnu VÍS, eins og hún var uppfærð og birt á vef félagsins 28. nóvember 2023, segir að félagið vinni gögn sem auðkenni viðskiptavini og samskiptaupplýsingar, þ. á m. nöfn, kennitölur, netföng og símanúmer. Einnig segir þar að VÍS vinni upplýsingar um viðskiptavini sína m.a. til að hafa samband við þá, t.d. með markaðsefni o.fl., gera markaðsrannsóknir og greiningu, t.d. þjónustukannanir til að bæta þjónustu félagsins.
   
   

   Sjónarmið aðila

   Helstu sjónarmið kvartanda

7. Kvartandi kveðst ekki hafa gefið upp neinar upplýsingar um sig í umræddu símtali en ljóst hafi verið að þjónustufulltrúi eða kerfi félagsins hafi greint úr hvaða númeri væri hringt. Hann hafi ítrekað verið spurður um persónugreinanlegar upplýsingar en hafi alltaf neitað að veita þær þar sem hann væri bara að biðja um almennar upplýsingar sem félagið ætti að geta veitt án þess að vita neitt frekar. Að lokum hafi hann fengið upplýsingarnar sem hann óskaði og hvorki gefið upp nafn né netfang. Kvartandi hafi svo fengið tölvupóst á netfangið sitt þar sem hann hafi verið beðinn um að gefa skoðun sína á því hvernig VÍS stóð sig.
8. Kvartandi telur þetta óheimila vinnsla persónuupplýsinga. Hann er ekki sáttur við að VÍS tengi saman símanúmer sem hringt er úr við upplýsingar sem félagið hafi í viðskiptakerfi sínu. Kvartandi hafi aldrei samþykkt slíkt að sér vitandi og hann sé ósáttur við að geta ekki hringt í félagið án þess að vera persónugreindur af félaginu.
9. Kvartandi telur enn fremur að VÍS hafi í kjölfar símtalsins ekki verið heimilt að nota aðrar tengiliðaupplýsingar hans, sem skráðar voru í viðskiptakerfi félagsins, til að senda honum fyrrgreindan tölvupóst. Hafi VÍS þá notað þessar tengiliðaupplýsingar kvartanda í öðrum tilgangi en félagið hafi aflað þeirra í.
   
   

   Helstu sjónarmið VÍS

10. VÍS byggir á því að umrædd vinnsla hafi verið félaginu heimil. Kvartandi sé viðskiptavinur VÍS, með gilda tryggingu hjá félaginu, og því séu samskiptaupplýsingar hans vistaðar í viðskiptamannakerfi félagsins. Sú vinnsla persónuupplýsinga sem felist í að senda viðskiptavinum þjónustukönnun í kjölfar símtals sé nauðsynleg vegna lögmætra hagsmuna VÍS, sbr. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Það sé markmið VÍS að auka gæði þjónustu við viðskiptavini og notkun þjónustukönnunar sé liður í því. Félagið hafi lögmæta hagsmuni af því að hafa samband við sína viðskiptavini og af því að grípa til aðgerða með það að markmiði að bæta þjónustu sína. Það sé mat VÍS að lögmætir hagsmunir félagsins af því að eiga í samskiptum við viðskiptavini, með það að markmiði að bæta gæði þjónustunnar, vegi þyngra en hagsmunir og grundvallarréttindi hins skráða af því að fá slíka könnun ekki senda.
11. Félagið leggi mikla áherslu á að við vinnslu persónuupplýsinga sé ávallt gætt að meginreglum persónuverndarlaga. Þær persónuupplýsingar sem unnið sé með við útsendingu á þjónustukönnun sé nafn og netfang viðskiptavinar og svar viðkomandi við könnuninni ef hann kýs að svara henni. Til að tryggja að vinnsla sé lögmæt, sanngjörn og gagnsæ gagnvart hinum skráða, sbr. 1. mgr. 8. gr. laganna, sé upplýst í símsvara félagsins að símtalið sé tekið upp og að samskipti kunni að vera skráð. Jafnframt komi fram texti í umræddum tölvupósti sem tryggi gagnsæi gagnvart hinum skráða, þar sem hlekkur sé á persónuverndarstefnu félagsins og viðtakanda bent á að ef hann vill ekki fá þjónustukannanir frá félaginu, geti hann svarað tölvupóstinum og látið félagið vita.
12. Tengiliðaupplýsingar kvartanda hafi verið fengnar í skýrt tilgreindum og lögmætum tilgangi, enda sé nauðsynlegt fyrir félagið að geta haft samband við sína viðskiptavini og eðlilegur hluti í viðskiptasambandi. Það sé í samræmi við framangreindan tilgang að kanna gæði þeirrar þjónustu sem félagið veiti viðskiptavinum. Svör viðskiptavina við þjónustukönnuninni séu eingöngu nýtt til að bæta þjónustuna og slíkum upplýsingum sé aldrei deilt með þriðju aðilum.
    
    

    Forsendur og niðurstaða
    

    
    Lagaumhverfi

13. Mál þetta lýtur að því hvort VÍS var heimilt að tengja símanúmer kvartanda, sem birtist þegar hann hringdi í félagið, við viðskiptamannaskrá félagsins og nota upplýsingar þaðan, nánar tiltekið netfang kvartanda, til þess að senda honum í kjölfarið þjónustukönnun. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.
14. VÍS telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
15. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins getur vinnsla verið heimil ef hún telst nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Til þess að heimilt sé að vinna með persónuupplýsingar á grundvelli þessarar vinnsluheimildar þurfa þrjú skilyrði að vera uppfyllt. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir. Í öðru lagi er áskilið að vinnslan sé nauðsynleg í þágu þeirra hagsmuna. Í þriðja lagi mega hagsmunir og grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hagsmunir annarra af vinnslunni. Við hagsmunamat, samkvæmt þriðja skilyrðinu, hefur einkum verið hugað að fjórum þáttum. Í fyrsta lagi er litið til eðlis hinna lögmætu hagsmuna ábyrgðaraðila og getur þá meðal annars haft þýðingu hvort hagsmunirnir varða atvinnuréttindi ábyrgðaraðila. Einnig getur það ljáð hagsmunum ábyrgðaraðila meira vægi fari þeir saman við breiðari almannahagsmuni. Í öðru lagi er litið til áhrifa vinnslunnar á hinn skráða. Í því tilliti getur eðli upplýsinga sem unnar eru meðal annars haft þýðingu, þ.m.t. hvort um er að ræða viðkvæmar persónuupplýsingar. Jafnframt getur vinnsluaðferð haft þýðingu, þ.m.t. hvort persónuupplýsingar eru gerðar aðgengilegar almenningi, svo og hvort hinn skráði hefur sjálfur opinberað upplýsingarnar. Einnig geta réttmætar væntingar hins skráða skipt máli í þessu sambandi, þ.m.t. með hliðsjón af ákvæðum laga. Þá er að líta til stöðu hins skráða og ábyrgðaraðila, t.d. að því er varðar hugsanlegan aðstöðumun þeirra í milli. Í þriðja lagi hefur þýðingu við hagsmunamatið hvort ábyrgðaraðili gætir að öðrum ákvæðum persónuverndar­löggjafarinnar við vinnsluna, svo sem varðandi meðalhóf. Slíkt getur enda veitt vísbendingu um áhrif vinnslunnar á hinn skráða. Í fjórða lagi geta viðbótarráðstafanir sem ábyrgðaraðili gerir í tengslum við vinnsluna haft þýðingu við hagsmunamatið. Við beitingu vinnsluheimildarinnar hefur ekki verið gerður áskilnaður um að vinnslan megi ekki leiða til neinna neikvæðra afleiðinga fyrir hinn skráða.
16. Í 47. lið formálsorða reglugerðarinnar segir meðal annars að ofangreind vinnsluheimild geti átt við þegar viðeigandi tengsl sem máli skipta eru milli hins skráða og ábyrgðaraðilans, t.d. í tilvikum þar sem hinn skráði er viðskiptavinur ábyrgðaraðilans eða í þjónustu hans. Hvað sem öðru líður þurfi að meta af kostgæfni hvort um lögmæta hagsmuni er að ræða, m.a. hvort skráður einstaklingur getur, þegar söfnun persónuupplýsinganna fer fram og í samhengi við hana, haft gilda ástæðu til að ætla að vinnsla muni fara fram í þeim tilgangi.
17. Ábyrgðaraðili skal sjá til þess að vinnsla persónuupplýsinga samrýmist ávallt öllum meginreglum um persónuvernd, sbr. 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, þar á meðal að vinnslan sé sanngjörn og gagnsæ gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins. Í þeirri meginreglu felst m.a. að það ætti að vera einstaklingum ljóst þegar persónuupplýsingum um þá er safnað, þær eru notaðar, skoðaðar eða unnar á annan hátt, og að hvaða marki persónuupplýsingar eru eða munu verða unnar. Samkvæmt því sem greinir í efnisgrein 15 kemur þessi meginregla sérstaklega til skoðunar við mat á því hvort heimilt getur talist að vinna persónuupplýsingar í þágu lögmætra hagsmun ábyrgðaraðila.
18. Önnur meginregla sem kemur til skoðunar í þessu máli kveður á um að persónuupplýsingar skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. 1. mgr. 8. gr. laganna og b-lið 1. mgr. 5. gr. reglugerðarinnar.
19. Þegar vinnsla persónuupplýsinga byggist á ofangreindri vinnsluheimild skal hinum skráða enn fremur vera heimilt að andmæla vinnslunni í samræmi við 1. mgr. 21. gr. laganna og 1. mgr. 21. gr. reglugerðarinnar. Í síðasta lagi þegar fyrst er haft samband við hinn skráða skal honum gerð grein fyrir rétti sínum til að andmæla vinnslunni, sbr. 4. mgr. reglugerðarákvæðisins.
    
    

    Niðurstaða

20. Með hliðsjón af því að kvartandi var viðskiptavinur VÍS telur Persónuvernd að félagið hafi haft af því lögmæta hagsmuni að senda honum umrædda þjónustukönnun eftir símtal hans við félagið og að vinnslan, sem fólst í að tengja símanúmerið sem hann hringdi úr við aðrar tengiliðaupplýsingar hans hjá félaginu til að beina þjónustukönnuninni til hans, hafi verið nauðsynleg í þeim tilgangi. Hvað varðar hagsmuni, grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga hans er til þess að líta að sérstaklega var upplýst um það í þágildandi persónuverndarstefnu VÍS að tengiliðaupplýsingar viðskiptavina væru unnar í þeim skýrt tilgreinda tilgangi að senda þeim þjónustukannanir. Að mati Persónuverndar mátti kvartandi því vænta þess að tengiliðaupplýsingar hans yrðu unnar með þessum hætti. Enn fremur telur Persónuvernd að kvartanda hafi mátt vera ljóst að símanúmer hans birtist viðmælanda hans hjá VÍS umrætt sinn, með einum eða öðrum hætti, og að unnt væri að fletta því upp í viðskiptamannaskrá félagsins. Þá er til þess að líta að um almennar persónuupplýsingar var að ræða og að kvartanda var, með tölvupóstinum, vísað á persónuverndarstefnu félagsins og leiðbeint um hvernig hann gæti andmælt vinnslunni. Telur Persónuvernd að áhrif vinnslunnar á kvartanda hafi því verið afar takmörkuð. Er það niðurstaða Persónuverndar að hagsmunir og grundvallarréttindi og frelsi kvartanda, sem krefjast verndar persónuupplýsinga, hafi því ekki vegið þyngra en hagsmunir VÍS af vinnslunni, eins og hér stóð á. Að öllu þessu virtu telur Persónuvernd að VÍS hafi verið heimil umrædd vinnsla persónuupplýsinga kvartanda samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laganna og a- og b-lið 1. mgr. 5. gr. reglugerðarinnar.
21. Þrátt fyrir að kvartandi hafi ekki gefið upp nafn, netfang eða aðrar persónugreinanlegra upplýsingar í símtali við VÍS telst ósannað að hann hafi með beinum hætti andmælt því að tengiliðaupplýsingar hans yrðu notaðar til að fylgja símtalinu eftir með tölvupósti. Þar sem skýrar leiðbeiningar voru í tölvupósti VÍS til kvartanda, um hvernig hann gæti andmælt því með einföldum hætti að fá þjónustukannanir félagsins sendar framvegis telur Persónuvernd að andmælaréttur kvartanda hafi verið virtur umrætt sinn, sbr. 1. mgr. 21. gr. laga nr. 90/2018 og 1. og 4. mgr. 21. gr. reglugerðar (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Vátryggingafélagi Íslands hf. var heimilt að tengja símanúmer kvartanda, A, við viðskiptamannaskrá félagsins, þegar hann hringdi í félagið til að bera upp almenn fyrirspurn, og nota upplýsingar þaðan til að senda honum í kjölfarið þjónustukönnun með tölvupósti og tryggði andmælarétt hans með viðeigandi hætti, sbr. ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679 sem lúta að vinnsluheimild og andmælarétti.

Persónuvernd, 8. október 2024

Valborg Steingrímsdóttir                                                       Edda Þuríður Hauksdóttir