Varðveisla upplýsinga hjá Vodafone - mál nr. 2014/374
Úrskurður
Hinn 17. desember 2014 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2014/374:
I.
Málavextir og bréfaskipti
Með bréfi Póst- og fjarskiptastofnunar, dags. 14. febrúar 2014, var Persónuvernd framsend kvörtun [A], dags. 2. desember 2013, af tilefni innbrots í tölvukerfi Vodafone, sem rekið er af Fjarskiptum hf., og birtingar á gögnum þaðan á Netinu, þ. á m. upplýsinga um [A](hér eftir nefndur „kvartandi“). Var Persónuvernd framsend kvörtunin í framhaldi af samskiptum stofnananna tveggja um valdmörk þeirra í tengslum við framangreint öryggisatvik. Varð niðurstaðan úr þeim samskiptum að Póst- og fjarskiptastofnun fjallaði um öryggi umræddra gagna en að Persónuvernd tæki til umfjöllunar lögmæti varðveislu Fjarskipta hf. á þeim persónuupplýsingum sem þau hafa að geyma.
Í kvörtuninni kemur fram að kennitala og ódulkóðað lykilorð kvartanda hafi verið á meðal þeirra upplýsinga sem komist var yfir í fyrrnefndu innbroti og birtar voru í kjölfarið. Þá kemur fram að einu og hálfu ári áður hafði kvartandi sagt upp viðskiptum við Fjarskipti hf. Með vísan til þess krefst hann eyðingar upplýsinga um sig sem Fjarskipti hf. hafa á skrá.
Með bréfi, dags. 21. febrúar 2014, veitti Persónuvernd Fjarskiptum hf. færi á að tjá sig um umrædda kvörtun. Með bréfum, dags. sama dag, veitti Persónuvernd fyrirtækinu einnig færi á að tjá sig um fleiri kvartanir af tilefni fyrrgreinds öryggisatviks. [X] svöruðu fyrir hönd fyrirtækisins með bréfum, dags. 7. mars s.á. Í kjölfar þess var úrskurðað í sjö kvörtunarmálanna (nr. 1509, 1510 og 1607/2013 og 373 og 376–378/2014) en ekki í máli kvartanda. Í þeim málum, sem úrskurðað var í, var komist að þeirri niðurstöðu að varðveisla sms-skilaboða, sem send höfðu verið af vefsíðu Vodafone og voru á meðal þeirra upplýsinga sem birtar voru í kjölfar framangreinds innbrots, hefði verið óheimil, enda hefði kröfum til samþykkis fyrir varðveislunni ekki verið fullnægt. Þá reyndi í sumum málanna á hvort varðveita hefði mátt upplýsingar eins og þær sem hér um ræðir. Taldi Persónuvernd það heimilt þar sem um væri að ræða viðskiptamannaupplýsingar sem nauðsynlegar væru til að veita viðskiptavinum umsamda þjónustu. Af hálfu kvartanda hefur hins vegar, eins og fyrr er lýst, komið fram að hann hafi ekki lengur verið viðskiptavinur Fjarskipta hf. þegar umrætt öryggisatvik átti sér stað.
Í ljósi framangreinds taldi Persónuvernd þörf á að óska sérstaklega skýringa frá Fjarskiptum hf. varðandi varðveislu kennitölu og lykilorðs kvartanda eftir að hann hafði sagt upp viðskiptum við fyrirtækið. Var það gert með bréfi, dags. 30. maí 2014, ítrekuðu með bréfum, dags. 30. júní og 21. október s.á. Svar barst frá Fjarskiptum hf. með bréfi, dags. 29. október 2014, en þar segir meðal annars:
„Vodafone eyðir ekki gögnum um nafn og kennitölu um leið og viðskiptamenn slíta viðskiptum við félagið. Nauðsynlegt er fyrir félagið að geta haft grunnviðskiptamannaupplýsingar um fyrrverandi viðskiptamenn í ákveðinn tíma eftir að viðskiptum lýkur. Benda má á að þær upplýsingar sem um ræðir eru aðgengilegar í þjóðskrá Íslands. Vodafone telur nauðsynlegt að hafa umræddar upplýsingar á skrá hjá sér ef upp koma fyrirspurnir eða athugasemdir við reikninga eða annað sem snertir viðskiptin í a.m.k. fjögur ár sem er almennur fyrningartími kröfuréttinda, sbr. 3. gr. laga nr. 150/2007 um fyrningu kröfuréttinda. Allir reikningar viðskiptavina eru útbúnir með því að keyra saman upplýsingar um þjónustur skráðar á nafn, kennitölu og heimilisfang og síðan fjarskiptanotkun. Grundvöllurinn fyrir viðskiptasambandi aðila er samningurinn og undirritun sem liggur þar til grundvallar. Undirritun getur eins og að framan greinir verið rafræn eða hefðbundin.
Þá er þessi varðveislutími einnig rökstuddur með vísan til 20. gr. laga nr. 145/1994 um bókhald þar sem kveðið er á um að allar bækur, bókhaldsgögn og fylgiskjöl, svo og bréf, myndrit og skeyti eða samrit þeirra, þ.m.t. gögn sem varðveitt eru í tölvutæku formi, á örfilmu eða annan sambærilegan hátt, skuli varðveita í a.m.k. sjö ár frá lokum viðkomandi reikningsárs. Nauðsynlegt er fyrir félagið að geta haft samband við fyrrverandi viðskiptamenn ef eitthvað kemur upp á eftir að viðskiptum er lokið í tengslum við reikningsgerð eða síðar tilkomnar kröfur sem rekja má til viðkomandi viðskiptamanns.
Með vísan til framangreinds telur Vodafone að varðveislutími umræddra grunnviðskiptamannaupplýsinga hafi samrýmst ákvæðum 5. tölul. 1. mgr. 7. gr. og 26. gr. laga nr. 77/2000.“
Einnig segir meðal annars í bréfi Fjarskipta hf.:
„Hvað varðar geymslu á lykilorði viðskiptavinar þá eru það upplýsingar sem nauðsynlegt er að geyma hafi viðskiptavinur Vodafone stofnað aðgang að þjónustusíðu félagsins „Mínar síður“. Eigi viðskiptavinur að geta nýtt sér síðuna verða upplýsingar að vera geymdar til að tryggja áframhaldandi notkun á þjónustusíðunni. Greina þarf samsvörun milli þess notandanafns og lykilorðs sem aðgangur er stofnaður með og þess notandanafns og lykilorðs sem notað er eftir að aðgangur var stofnaður.“
Með bréfi, dags. 3. nóvember 2014, var kvartanda veitt færi á að tjá sig um framangreind svör Fjarskipta hf. Í símtali hinn 3. desember s.á. áréttaði hann þá afstöðu sína að Fjarskiptum hf. væri óheimil varðveisla umræddra upplýsinga.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í greinargerð með því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Varðveisla Fjarskipta hf. á þeim gögnum, sem mál þetta lýtur að, felur því í sér vinnslu persónuupplýsinga um kvartanda sem fellur undir valdsvið Persónuverndar. Ekki verður hins vegar fjallað hér um öryggi upplýsinganna heldur fellur það í hlut Póst- og fjarskiptastofnunar, sbr. þá afmörkun á valdmörkum hennar og Persónuverndar sem rakin er í upphafi úrskurðar þessa.
2.
Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Samkvæmt 7. tölul. 1. mgr. þeirrar greinar er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi hins skráða vegi þyngra. Í tengslum við varðveislu Fjarskipta hf. á kennitölu kvartanda reynir einkum á hvort kröfum þessa ákvæðis sé fullnægt. Fram hefur komið af hálfu fyrirtækisins að sú varðveisla þjóni þeim tilgangi að geta greitt úr álitaefnum varðandi viðskipti sem á reynir eftir að þeim lýkur, s.s. ef fyrirspurnir eða athugasemdir berast við reikninga. Þá kemur fram af hálfu fyrirtækisins að höfð sé hliðsjón af hinum almenna fjögurra ára fyrningarfresti krafna sem mælt er fyrir um í 3. gr. laga nr. 150/2007 um fyrningu kröfuréttinda, sem og skyldu til að varðveita bókhaldsgögn í sjö ár samkvæmt 20. gr. laga nr. 145/1994 um bókhald.
Persónuvernd telur ekki unnt að útiloka að eftir að viðskiptasambandi lýkur megi gera ráð fyrir því um nokkurt skeið að reynt geti á einstaka þætti sambandsins eða einstaka reikninga og annars konar löggerninga sem því tengjast, t.d. ef krafist er endurgreiðslna á reikningum sem fyrrum viðskiptavinur telur hafa verið of háa. Fyrrgreind ákvæði laga nr. 150/2007 og 145/1994 geta þá eftir atvikum haft gildi. Síðarnefndu lögin eiga við þegar um ræðir „[a]llar bækur sem fyrirskipaðar eru í lögum þessum, ásamt bókhaldsgögnum, svo og bréf, myndrit og skeyti eða samrit þeirra, þar með talin gögn sem varðveitt eru í rafrænu formi, á örfilmu eða annan sambærilegan hátt“, sbr. 1. mgr. 20. gr. laganna. Ekki verður séð að upplýsingar um kennitölu kvartanda falli undir þessa skilgreiningu eins og hér háttar til. Verður því jafnframt ekki séð að áðurnefnd sjö ára varðveisluskylda samkvæmt lögunum eigi hér við. Hins vegar telur Persónuvernd að varðveisla upplýsinganna um skammt árabil geti haft vægi, sbr. til hliðsjónar þann tímaramma sem mælt er fyrir um í áðurnefndu ákvæði laga nr. 150/2007.
Þegar litið er til 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og þess að fá ár eru liðin frá lokum viðskipta kvartanda við Fjarskipti hf. telur Persónuvernd því umrædda varðveislu á kennitölu hans vera heimila. Ekki verður hins vegar séð að framangreind rök geti átt við um varðveislu lykilorðs kvartanda. Röksemdir Fjarskipta hf. varðandi þá varðveislu gætu aðeins haft vægi að því gefnu að kvartandi væri enn viðskiptamaður fyrirtækisins. Gæti varðveislan þá stuðst við fyrrgreint ákvæði 7. tölul. 1. mgr. 8. gr., sbr. og 2. tölul. sömu málsgreinar þar sem fram kemur meðal annars að vinna má með persónuupplýsingar sé það nauðsynlegt til að efna samning sem hinn skráði er aðili að. Til þess er hins vegar að líta að samkvæmt 5. tölul. 1. mgr. 7. gr. laga nr. 77/2000 skulu persónuupplýsingar varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu. Eins og hér háttar til fullnægir varðveisla Fjarskipta hf. á lykilorði kvartanda ekki kröfum þessa ákvæðis. Er hún því óheimil og skal lykilorðinu eytt.
Ú r s k u r ð a r o r ð:
Varðveisla Fjarskipta hf. á kennitölu [A] samrýmist lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Varðveisla lykilorðs hans er hins vegar óheimil og skal því eytt.