greinar

Hópkaup, miðlun netfangalista – 2013/1111

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 13. mars 2014 var kveðinn upp svohljóðandi úrskurður í máli nr. 2013/1111:

 

I.

Grundvöllur máls

Málavextir og bréfaskipti

1.

Tildrög máls

Með bréfi, dags. 17. september 2013, framsendi Póst- og fjarskiptastofnun (hér eftir PFS) erindi til Persónuverndar til stjórnsýslulegrar meðferðar með vísun til 2. mgr. 7. gr. stjórnsýslulaga nr. 37/1993. Varðaði erindið kvörtun [AB] (hér eftir nefndur kvartandi), dags. [á árinu] 2013, nánar tiltekið þann þátt kvörtunarinnar um meinta miðlun persónuupplýsinga um sig frá Hópkaupum ehf. til Heimkaupa ehf.

 

Í upphaflegu erindi kvartanda til PFS, dags. [á árinu] 2013, segir m.a.:

„[...É]g gaf ekki Hópkaupum leyfi til þess að miðla netfangi mínu til Heimkaupa né nota það á annan hátt en að miðla þeirra eigin tilboðum.

Samkvæmt fyrirtækjaskrá er rekstur Heimkaupa á annarri kennitölu en Hópkaup og því um tvo aðskilda lögaðila að ræða.“

 

Nánar tiltekið varðar kvörtunin tölvupóst sem kvartanda barst frá Hópkaupum ehf. [á árinu] 2013, en þar segir m.a.:

„Hópkaup hafa eignast „systur“ og bjóða Heimkaup velkomin í fjölskylduna. Hópkaupsnotendum býðst gjöf í formi inneignar hjá Heimkaupum að verðmæti 500 kr. og meðfylgjandi er inneignarkóðinn þinn, sem þú getur nýtt þér þegar þú verslar á Heimkaup.is.[...]

Hafir þú ekki áhuga á að fá tölvupóst frá Heimkaup.is - smelltu hér.[...]

Þessi póstur er sendur til þeirra sem hafa skráð sig á póstlista Hópkaupa á www.hopkaup.is.“

 

2.

Bréfaskipti

Með bréfi, dags. 8. nóvember 2013, var Hópkaupum ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993.

 

Í svarbréfi [D], hdl., f.h. Hópkaupa ehf., dags. 13. desember 2013, segir m.a.:

„Umbjóðandi minn telur að netfangið sem um ræðir teljist ekki persónuupplýsingar þar sem netfangið eitt og sér er ekki rekjanlegt til að bera kennsl á viðkomandi einstakling, t.d. engin tilvísun í kennitölu eða þess háttar. Þá þegar af þeirri ástæðu telur umbj. minn ekki tilefni fyrir Persónuvernd að athafnast í málinu.

Jafnvel þótt netfangið teljist til persónuupplýsinga bendir umbjóðandi minn á að í umræddum tölvupósti […] kemur skýrt fram að ef móttakandi hafi ekki áhuga á að fá tölvupóst frá Heimkaup.is var honum veittur kostur á að smella á tilgreindan stað („smelltu hér“). Á það skal sérstaklega bent í þessu samhengi að kvartandi las tölvupóstinn, skildi innihald hans og vissi jafnframt að mögulegt var að smella á hnapp til þess að afþakka tölvupósta frá Heimkaupum, eins og fram kemur í tölvupósti kvartanda […] til Póst- og fjarskiptastofnunar. Þrátt fyrir það, og að hafa verið meðvitaður um efni tölvupóstsins og fyrirkomulagið (svokallað „opt-out“), smellti kvartandi ekki á hnappinn og leit umbjóðandi minn því svo á að kvartandinn vissi hvað hann var að samþykkja og hvaða afleiðingar það hafði fyrir hann.

Þá bendir umbj. minn á að þar sem um eru að ræða almennar persónuupplýsingar, en ekki viðkvæmar persónuupplýsingar, telur umbj. minn að nægilegt sé að einstaklingar veiti samþykki sitt í verki með því að smella ekki á umræddan hnapp, enda var það á valdi kvartanda að hafna tölvupóstum frá Heimkaup.is. Mismiklar kröfur eru gerðar til samþykkis eftir eðli þeirra persónuupplýsinga sem á að vinna með. Þegar um er að ræða almennar persónuupplýsingar, t.d upplýsingar um nöfn og kennitölur, er stundum hægt að veita samþykki í verki. Í ljósi þess að hér var um að ræða netfang, sem innihélt engar upplýsingar um kennitölu né fullt nafn kvartanda, telur umbj. minn ljóst að fullnægjandi var að afla samþykkis með þeim hætti sem gert var.“

Með bréfi, dags. 9. janúar 2014, og tölvupósti sendum þann sama dag, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Hópkaupa ehf. til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993.


Persónuvernd barst svarbréf kvartanda þann 3. febrúar 2014. Í því segir m.a. að kvartandi telji að tvennt komi til greina í málinu. Annað hvort hafi Hópkaup ehf. sent tölvupóst til hans fyrir hönd Heimkaupa ehf. eða miðlað netfangi hans til Heimkaupa ehf. sem síðarnefnda fyrirtækið noti síðan við útsendingu á markpósti. Hafi báðum möguleikum verið hafnað í svörum Hópkaupa ehf. að mati kvartanda. Þá bendir kvartandi á að í þessu tilviki séu um almennar persónuupplýsingar að ræða enda geti netföng borið með sér nöfn eða einkenni sem gefa til kynna handhafa netfangsins. Þar sem netfang kvartanda væri [A]@[B].is telji kvartandi að um persónuupplýsingar séu að ræða. Loks áréttar kvartandi [...] að hann veitti Hópkaupum ehf. aldrei samþykki fyrir því að mega miðla netfangi sínu til Heimkaupa ehf. og því ætti ekki að fallast á að það hafi verið nóg að afþakka umræddar póstsendingar með þeim hætti sem hér um ræðir.

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.

 

Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.

 

Af framangreindu er ljóst að miðlun upplýsinga um netfang kvartanda frá Hópkaupum ehf. til Heimkaupa ehf. fellur undir gildissvið laga nr. 77/2000.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga þarf að uppfylla eitthvert af skilyrðum 8. gr. laga nr. 77/2000 svo hún sé heimil. Getur þar einkum átt við 7. tl. 1. mgr. 8. gr. laga nr. 77/2000 þar sem segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.

 

Að auki verður, eins og ávallt þegar unnið er með persónuupplýsingar, að fara að öllum grunnkröfum 7. gr. laga nr. 77/2000,  þ. á m. að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.). Þá verður þegar unnið er með persónuupplýsingar í markaðssetningarstarfsemi að fara að sérákvæði 28. gr. laganna. Ákvæðið gerir ráð fyrir sérstökum og ríkum andmælarétti hins skráða að því er varðar notkun persónuupplýsinga um hann í tengslum við markaðssetningarstarfsemi.

 

Þá er í 5. mgr. 28. gr. að finna sérstaka reglu um það hvenær heimilt sé að afhenda félaga-, starfsmanna- og viðskiptamannaskrár þriðja aðila til nota í tengslum við markaðssetningu. Þar segir að slíkt sé heimilt að því gefnu að:

1.   ekki séu afhentar viðkvæmar persónuupplýsingar;

2.   hinum skráðu sé veittur kostur á að andmæla því fyrir afhendinguna, hverjum fyrir sitt leyti, að upplýsingar um þá birtist á hinni afhentu skrá;

3.   slíkt fari ekki gegn reglum eða samþykktum viðkomandi félags; og

4.   kannað sé hvort einhver hinna skráðu hafi látið færa nafn sitt á bannskrá, en upplýsingum um viðkomandi skuli þá eytt áður en skráin er látin af hendi.

Í þessu tilviki var netfang kvartanda á lista yfir viðskiptamenn Hópkaupa ehf. sem afhentur var Heimkaupum ehf. Var listinn afhentur í þeim tilgangi að Heimkaup ehf. gæti notað netföngin til beinnar markaðssetningar gagnvart viðkomandi viðskiptavinum Hópkaupa ehf. Af hálfu ábyrgðaraðila, Hópkaupa ehf., hefur komið fram að kvartanda hafi verið gefinn kostur á að andmæla móttöku tölvupósta í framtíðinni frá Heimkaupum ehf. með því að smella á hlekk neðarlega í tölvupósti frá Hópkaupum ehf. þann 14. mars 2013.

Þegar hinum skráðu er gefinn kostur á að andmæla því að upplýsingar um þá verði á afhentri skrá í þágu markaðssetningarstarfsemi til þriðja aðila skal gera það með skýrum hætti. Af umræddum tölvupósti og svörum Hópkaupa ehf. verður ekki ráðið að viðskiptamönnum Hópkaupa ehf., þ. á m. kvartanda, hafi verið veittur kostur á að andmæla sérstaklega umrædda afhendingu á netfangi í skilningi 2. tölul. 5. mgr. 28. gr. laga nr. 77/2000. Þegar af þeirri ástæðu verður ekki talið að afhending Hópkaupa ehf. á netfangi kvartanda til Heimkaupa ehf. hafi verið í samræmi við 5. mgr. 28. gr. og 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000.

 

 

Ú r s k u r ð a r o r ð:

Afhending Hópkaupa ehf. á netfangi [AB] til Heimkaupa ehf. var ekki í samræmi við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.