Umsögn um verklagsreglur
Varðveislutími fjarskiptaupplýsinga,
verklagsreglur Símans hf.
I.
Erindi Póst- og fjarskiptastofnunar
Póst- og fjarskiptastofnun hefur sent Persónuvernd verklagsreglur Símans hf. um varðveislutíma fjarskiptaupplýsinga. Forsagan er sú að þann 17. nóvember 2010 lagði Póst og fjarskiptastofnun fyrir Símann hf. að setja sér verklagsreglur um meðferð persónuupplýsinga. Í framhaldi af þeirri ákvörðun sendi hún Persónuvernd bréf, dags. 18. mars og 19. apríl 2011, og óskaði umsagnar um reglur félagsins. Í bréfinu frá 18. mars 2011 segir m.a.:
„Í svarbréfi Símans, dags. 10. janúar sl., staðfestir fyrirtækið að varðveislutími umræddra upplýsinga í kerfum Símans séu 12 mánuðir en ekki 6 mánuðir, óháð því hvort reikningur fyrir viðskiptunum hafi verið greiddur, og segir í bréfinu að Síminn leggi þann skilning í ákvæði 42. gr. fjarskiptalaga að þeim sé heimilt að geyma umræddar upplýsingar í 12 mánuði þar sem það sé nauðsynlegt til reikningsgerðar og vegna uppgjörs fyrir samtengingu.
Hefur PFS lagt þann skilning í ákvæðið að óheimilt sé að varðveita gögn um fjarskiptanotkun lengur en í 6 mánuði, ef reikningur hefur verið greiddur og hans er því ekki þörf til að vefengja reikning. Af þessu tilefni er óskað sérstaklega eftir afstöðu Persónuverndar hvað þetta varðar.“
Persónuvernd svaraði með bréfi dags. 31. maí 2011. Í því segir m.a.:
„Í ljósi framangreinda ákvæða tekur Persónuvernd undir þann skilning á framangreindum ákvæðum að gögnum, sem varðveitt eru á grundvelli 3. mgr. 42. gr. fjarskiptalaga, skuli eytt eftir sex mánuði hafi reikningur verið greiddur og upplýsinganna sé því ekki lengur þörf vegna mögulegs ágreinings um hann.“
Persónuvernd barst síðan bréf Póst- og fjarskiptastofnunar, dags. 22. júní 2011, þar sem Persónuvernd er veitt færi á að skila inn umsögn um reglurnar eða leggja til skilyrði. Reglurnar sjálfar bárust stofnuninni hinn 24. júní sl., ásamt afrit af bréfi Símans hf. til Póst- og fjarskiptastofnunar. Það er dags. 1. mars. 2011.
II.
Svar Persónuverndar
Samkvæmt 1. mgr. 42. gr. laga nr. 81/2003 um fjarskipti skal gögnum um fjarskiptaumferð notenda, sem geymd eru hjá fjarskiptafyrirtæki, eytt eða þau gerð nafnlaus þegar þeirra er ekki lengur þörf við afgreiðslu ákveðinnar fjarskiptasendingar. Í 2. mgr. 42. gr. segir að gögn um fjarskiptanotkun, sem nauðsynleg séu til reikningsgerðar fyrir áskrifendur og uppgjörs fyrir samtengingu, megi geyma þar til ekki sé lengur hægt að véfengja reikning eða hann fyrnist. Í 3. mgr., sbr. lög nr. 78/2005 og 88/2008, segir að varðveita megi gögn í sex mánuði í þágu rannsókna sakamála og almannaöryggis. Ákvæðið hljóðar svo:
„Þrátt fyrir ákvæði 1. og 2. mgr. skulu fjarskiptafyrirtæki, í þágu rannsókna sakamála og almannaöryggis, varðveita lágmarksskráningu gagna um fjarskiptaumferð notenda í sex mánuði. Lágmarksskráningin skal tryggja að fjarskiptafyrirtæki geti upplýst hver af viðskiptavinum þess var notandi tiltekins símanúmers, IP-tölu eða notandanafns, jafnframt því að upplýsa um allar tengingar sem notandinn hefur gert, dagsetningar þeirra, hverjum var tengst og magn gagnaflutnings til viðkomandi notanda. Fjarskiptafyrirtæki skal tryggja vörslu framangreindra gagna og er óheimilt að nota eða afhenda umræddar upplýsingar öðrum en lögreglu eða ákæruvaldi í samræmi við ákvæði 3. mgr. 47. gr. Eyða ber umferðargögnunum að þessum tíma liðnum enda sé ekki þörf fyrir þau á grundvelli 2. mgr.“
Í þeim verklagsreglum Símans hf., sem bárust Persónuvernd hinn 24. júní sl., er ekki að finna skýrt ákvæði um varðveislutíma fjarskiptaupplýsinga hjá félaginu þannig að ljóst sé hvernig þeim sé eytt til samræmis við ákvæði fjarskiptalaga. Í kafla 4.1 eru afmarkaðir einstakir flokkar upplýsinga sem unnið er með. Meðal upplýsingaflokka eru svonefndar „gjaldfærsluupplýsingar.“ Segir að það séu sundurliðaðar upplýsingar um ákveðin símtöl og þær upplýsingar sem nauðsynlegar eru til að mynda gjaldfærslur, s.s. um gerð samskipta, upphafs- og endapunkt og lengd. Þessa skilgreiningu á gjaldfærsluupplýsingum má skilja svo að hún falli saman við skilgreiningu 3. mgr. 42. gr. fjarskiptalaga á lágmarksskráningu gagna um fjarskiptaumferð. Í kafla 7.1 í verklagsreglunum kemur fram að þessar upplýsingar skuli varðveita í 12 mánuði.
Samkvæmt framangreindu eru verklagsreglur Símans hf. ekki nægilega skýrar að því er varðar varðveislutíma persónuupplýsinga um fjarskiptanotkun einstaklinga þannig að af megi ráða hvort hann sé í samræmi við ákvæði 42. gr. fjarskiptalaga nr. 81/2003.
Að öðru leyti hefur Persónuvernd ekki tekið efnislega afstöðu til reglnanna. Til þess getur komið, t.d. ef henni berst kvörtun frá einstaklingi yfir varðveislu persónuupplýsinga um sig - enda falli það mál undir hennar verkvið.