Öflun netfangs í þágu markaðssetningar

4.6.2015

Úrskurður

Á fundi stjórnar Persónuverndar þann 22. apríl 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2014/1278:

I.

Grundvöllur máls

Málavextir og bréfaskipti

1.

Tildrög máls

Þann 24. september 2014 barst Persónuvernd erindi frá Póst- og fjarskiptastofnun (PFS), dags. 19. s.m., vegna kvörtunar [A](hér eftir nefndur kvartandi), dags. 6. maí 2014, um notkun vefsíðunnar www.uppboðshus.is á netfangi hans, [x@x.is], til að senda honum markpóst. Var kvörtun hans framsend Persónuvernd þar sem að PFS taldi að sá hluti kvörtunarinnar, sem laut að því hvort öflun netfanga hafi verið með lögmætum hætti, félli undir verksvið Persónuverndar. Í kvörtuninni segir m.a. að að kvartandi viti ekki hvernig Uppboðshús hafi fengið upplýsingar um netfang hans.  

2.

Bréfaskipti

Með bréfi, dags. 28. október 2014, var Kljúfi ehf., sem samkvæmt heimasíðunni www.uppbodshus.is rekur umrædda heimasíðu, boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var þess sérstaklega óskað að upplýst yrði um það hvaðan uppýsingar um netfang kvartanda hefðu verið fengnar. Þá óskaði Persónuvernd einnig upplýsinga um hvort uppfyllt hafi verið ákvæði 21. gr. laga nr. 77/2000 um persónuvernd og meðferð persónupplýsinga, þegar upplýsinga um netfang kvartanda var aflað.  

Með bréfi, dags. 2. desember 2014, og tölvupósti, dags. 23. desember 2014, var erindi Persónuverndar ítrekað. Persónuvernd barst svar Kljúfs ehf. með tölvupósti þann 30. desember 2014. Þar segir m.a.

„Uppboðshús var opnað fyrir lítinn pening og mikla hjálp góðra vina. Til að laða að viðskiptavini var leitað í allskonar leiki og tengslanet í gegnum facebook og aðra miðla. Einn af leikjunum fólst í sér að setja inn netfang vina, (s.s. vinaleik), eina sem mér dettur í hug er að þetta netfang hafi komið í slíkum leik.“

Með bréfi, dags. 19. janúar 2015, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Kljúfs ehf. til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Þá óskaði Persónuvernd eftir upplýsingum um það hvort kvartandi teldi ágreining enn vera uppi í málinu sem kvartandi óskaði efnislegrar úrlausnar um.

Svarbréf kvartanda, dags. 30. janúar 2015, barst Persónuvernd þann 2. febrúar 2015. Þar kom m.a. fram að kvartandi telji ennþá vera ágreining til staðar og óski hann eftir efnislegri úrlausn í málinu. Kvartandi telji að úrskurða þurfi um með hvaða hætti fyrirtækjum er heimilt að safna netföngum, t.d. með svokölluðum vinaleikjum, og hvort þar sé til staðar samþykki fyrir vinnslu persónupplýsinga í markaðssetningartilgangi.

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.

Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.

Netfang kvartanda endar á „[X].is“ og vísar til tilteknnar vefsíðu en af henni má ráða að  hún sé í eigu kvartanda og geymir m.a. [vefdagbók kvartanda]. Þar sem óbeint er unnt að rekja upplýsingar um netfang kvartanda til hins skráða er það mat Persónuverndar að umrædd vinnsla falli undir gildissvið laga nr. 77/2000.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Kljúfur ehf. vera ábyrgðaraðili að umræddri vinnslu enda aflaði félagið persónuupplýsinga um kvartanda og sendi honum tölvupóst í markaðssetningarskyni.

2.

Afmörkun kvörtunarefnis

Þann 2. október 2014 tók Póst- og fjarskiptastofnun ákvörðun í máli nr. 23/2014 varðandi óumbeðin fjarskipti Uppboðshúss í kjölfar kvörtunar [A]. Í ákvörðuninni kemst stofnunin að þeirri niðurstöðu að Uppboðshús hafi brotið gegn ákvæði 3. mgr. 46. gr. laga nr. 81/2003, um fjarskipti þegar það sendi tölvupóst fyrir beina markaðssetningu á netfang kvartanda. Þá hafi félagið einnig brotið gegn ákvæði 4. mgr. 46. gr. framangreindra laga þegar það sendi umræddan tölvupóst án þess að heimilisfang þess kæmi fram með skýrum hætti í texta tölvupóstsins.

Af þeirri ástæðu kemur sá þáttur kvörtunarinnar ekki til frekari skoðunar af hálfu Persónuverndar og afmarkast úrlausnarefnið hér eingöngu við öflun netfangs kvartanda.

3.

Lögmæti vinnslu

3.1

Svo að vinna megi með persónuupplýsingar verður ávallt að vera fullnægt einhverri af kröfum 8. gr. laga nr. 77/2000. Það ákvæði sem einkum reynir á í tengslum þá vinnslu persónuupplýsinga sem hér um ræðir er 1. tölul. 1. mgr. 8. gr. laganna. Þar segir að vinnsla sé heimil liggi fyrir samþykki hins skráða.

Í því máli sem hér er til skoðunar hefur ábyrgðaraðili vinnslunnar ekki sýnt fram á að hann hafi aflað samþykkis kvartanda áður en hann notaði upplýsingarnar í markaðssetningartilgangi. Þess í stað hafi upplýsinganna líklega verið aflað frá óþekktum aðila í s.k. vinaleik, sem fólst í því að einstaklingar sem tóku þátt í leiknum gáfu upplýsingar um netföng vina sinna. Hvorki liggur fyrir hver afhenti ábyrgðaraðila umrætt netfang né að sá aðili hafi haft heimild til að afhenda upplýsingar um netfang kvartanda til ábyrgðaraðila í þessum tilgangi, sbr. tölvupóst frá ábyrgðaraðila þann 30. desember 2014.

Könnun Persónuverndar hefur leitt í ljós að umrætt netfang kvartanda er aðgengilegt á einum stað á erlendri vefsíðu. Hins vegar er ekki mögulegt að nálgast umrætt netfang nema með því einu að hafa netfangið sjálft undir höndum. Með vísan til þess telur Persónuvernd að kvartandi hafi ekki getað séð fyrir að netfangið yrði notað í framangreindum tilgangi.

3.2

Þá er í 21. gr. laga nr. 77/2000 lögð sú skylda á ábyrgðaraðila að láta hinn skráða vita þegar hann aflar persónuupplýsingum frá öðrum en hinum skráða og ber ábyrgðaraðila að greina honum frá þeim atriðum sem talin eru upp í 3. mgr. 21. gr., m.a. nafn og heimilisfang ábyrgðaraðila og tilgang vinnslunnar. Af hálfu ábyrgðaraðila hefur ekki komið fram að hann hafi látið skráða vita samtímis og persónuupplýsinganna var aflað, sbr. ákvæði 21. gr. laga nr. 77/2000.

Auk fullnægjandi vinnsluheimildar ber ávallt að gæta að því við vinnslu persónuupplýsinga að fullnægt sé öllum kröfum 1. mgr. 7. gr. laga nr. 77/2000, en þar er meðal annars mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.). Samkvæmt 2. mgr. 7. gr. ber ábyrgðaraðili ábyrgð á að eftir þessum kröfum sé farið.

Forsenda þess að vinnsla teljist sanngjörn samkvæmt framangreindum 1. tölul. 1. mgr. 7. gr. er að hún sé gagnsæ gagnvart hinum skráða en í því felst m.a. að hinn skráði viti um vinnsluna og hafi fengið fræðslu um hana, sbr. ákvæði 20. og 21. gr. laga nr. 77/2000.

3.3

Ábyrgðaraðila að vinnslu persónuupplýsinga ber að hafa frumkvæði að því að hinn skráði geti gætt réttinda sinna, m.a. að veita honum fræðslu þegar persónuupplýsinga um hann er safnað frá öðrum en honum sjálfum, sbr. fyrrnefnt ákvæði 21. gr. laga nr. 77/2000. Í því máli sem hér er til úrlausnar liggur fyrir að ábyrgðaraðili hefur ekki sýnt fram á að fyrir liggi fullnægjandi heimild fyrir vinnslu persónuupplýsinga um kvartanda, s.s. á grundvelli samþykkis hans. Þá hefur ábyrgðaraðili ekki sýnt fram á að hann hafi leitað eftir samþykki kvartanda fyrir notkun netfangs hans í þágu markaðssetningar eða frætt hann um öflun þess, sbr. 21. gr. laga nr. 77/2000.

Með vísan til framangreinds telur Persónuvernd að framangreind öflun netfangs kvartanda hafi ekki verið í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

Ú r s k u r ð a r o r ð:

Öflun Kljúfs ehf. á netfangi [A] var ekki í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.