Úrlausnir
Söfnun persónuupplýsinga í gegnum tölvuleik
Efni: Svar við fyrirspurn um vinnslu
persónuupplýsinga /Battlefield
I.
Fyrirspurn
Í tölvupósti þínum, dags. 19. október 2011, segir m.a.:Fyrirspurn
„Ég er að leita mér upplýsinga varðandi tölvuleik sem ég hafði hug á að kaupa en hef verið að sjá greinar á netinu sem snúa að forriti sem þarf til að keyra viðkomandi leik. Þetta forrit á víst að hafa leyfi (samkvæmt notendaskilmálum) til að skoða allar upplýsingar á viðkomandi tölvu og nota til markaðssetningar. Ég er hreinlega að velta fyrir mér hvort þetta standist lög um persónuvernd? Leikurinn sem um ræðir heitir Battlefield 3 og forritið Origin Hlekkur í notendaskilmála : http://eacom.s3.amazonaws.com/EULA_Origin_8.24.11.pdf“
II.
Svar
1.
Sjónarmið um gildissvið
Persónuvernd hefur eftirlit með framkvæmd laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Þau byggja efnislega á tilskipun nr. 95/46/EB og gilda um sérhverja rafræna vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna. Það tilvik sem þú spyrð um er rafræn vinnsla persónuupplýsinga í framangreindum skilningi sem fellur undir lögin. Um bandarískan ábyrgðaraðila er að ræða en í 2. mgr. 6. gr. segir að lögin gildi um vinnslu á vegum ábyrgðaraðila með staðfestu utan Evrópska efnahagssvæðisins noti hann búnað eða aðstöðu hér á landi.Svar
1.
Sjónarmið um gildissvið
Sá tölvuleikur sem þú nefnir er þannig að áður en hann er keyrður í fyrsta skipti er notanda gert að setja upp tiltekið forrit á tölvuna sína. Forritið gerir söluaðila leiksins kleift að skoða upplýsingar á tölvu notandans. Tölvan er þá orðinn búnaður hér á landi, í skilningi ákvæðisins. Af því leiðir að lögin geta átt við að því er varðar þá vinnslu persónuupplýsinga um þig sem fram fer á þinni tölvu hér á landi.
2.
Vinnsluheimild
Öll vinnsla persónuupplýsinga sem fellur undir lögin þarf að samrýmast einhverju af heimildarákvæðum 1. mgr. 8. gr. þeirra. Við lauslega athugun á þeim notendaskilmálum sem þú vísar til sést að litið er svo á að notandi hafi, með því að nota tenginguna, samþykkt vinnsluna („by installing or using the Application, you consent to be bound by this License“). Að lögum þarf samþykki hins vegar að vera skýrt og ótvírætt. Aftur á móti segir í 2. tölul. 1. mgr. 8. gr. að sú vinnsla sé heimil sem er nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Auk þess þarf vinnsla persónuupplýsinga að samrýmast 7. gr. – þ. á m. um að hún sé sanngjörn og hófleg. Í svari þessu verður, eins og áður segir, ekki tekin efnisleg afstaða til þess hvort um heimila vinnslu sé að ræða, þ.e. hvort hún uppfylli 1. eða 2. tölul. 1. mgr. 8. gr. og samrýmist 7. gr.Vinnsluheimild
3.
Sjónarmið um valdmörk, lögsögu og fullnustu
Þótt umrædd vinnsla persónuupplýsinga falli undir lög nr. 77/2000 er ljóst að kæmi upp ágreiningur yrði að huga að reglum um valdmörk og lögsögu. Almenna reglan er sú að Persónuvernd úrskurðar um lögmæti vinnslu persónuupplýsinga sem fram fer hér á landi. Í skilmálum þess skjals sem þú vísar til í tölvupóstinum þínum eru hins vegar ákvæði um „governing law“ (sjá 14. lið) og gerðardómsmeðferð (sjá 17. lið). Yrði úrskurðaraðili þá m.a. að skoða hvort þú hafir, með því að haka við í tiltekna reiti, gert fullgildan samning og veitt ótvírætt og afdráttarlaust samþykki í lagaskilningi.Sjónarmið um valdmörk, lögsögu og fullnustu
Loks er ljóst að þótt málið teldist lúta úrskurðarvaldi Persónuverndar gæti fullnusta úrskurðar orðið þrautin þyngri þar sem ábyrgðaraðilinn er utan íslenskrar lögsögu. Innan Evrópu hefur ekki verið endanlega ákveðið hvernig bregðast megi við slíku. Er von á nýjum evrópskum reglum og mun vera fyrirhugað að taka á þessu atriði. Til fróðleiks má vitna í fréttatilkynningu sem var birt 15. þ.m. á vef framkvæmdastjórnar ESB. Þar segir m.a.:
„The Vice-President of the European Commission, Viviane Reding, and the German Federal Minister for Consumer Protection, Ilse Aigner, have issued a joint statement regarding the proposed reform of the Data Protection Directive (95/46/EC). As well as revealing that the proposal will be published in January 2012, the statement gave several clues as to the nature of the proposals. It said that data protection "needs to be addressed at the European level, through high, common European standards with global appeal". Also, "companies who direct their services to European consumers should be subject to EU data protection laws. Otherwise, they should not be able to do business on our internal market." Finally, the statement said that "EU law should require that consumers give their explicit consent before their data are used. And consumers generally should have the right to delete their data at any time.“Í þessu felst m.a. að hinir skráðu þurfi að gefa yfirlýst og afdráttarlaust samþykki, geta fengið persónuupplýsingum um sig eytt og staðreynt að það hafi verið gert. Þá mun jafnvel vera ráðgert að útiloka aðila frá því að selja vöru sína, þ. á m. tölvuleiki, á hinum innra markaði Evrópu nema þeim hlíti evrópskum lögum í þessum efnum.