Úrlausnir

Afgreiðsla BL ehf. á aðgangsbeiðni ekki í samræmi við lög

Mál nr. 2021061304

31.10.2022

Persónuvernd úrskurðaði í máli þar sem kvartað var yfir synjun á beiðni um aðgang að viðgerðar- og þjónustusögu bifreiðar í eigu kvartanda af hálfu BL ehf. Nánar tiltekið óskaði félag í umboði kvartanda eftir upplýsingum frá BL ehf. um viðgerðar- og þjónustusögu bifreiðar í eigu kvartanda, þar með talið frá verkstæðum og þjónustuaðilum.

Í samskiptum við BL ehf. sem fylgdu kvörtun sagði að félagið teldi að það þyrfti ekki að vinna söguleg gögn úr kerfum sínum og að slíkt hefði í för með sér mikinn kostnað og óljóst væri hvort vinnslan væri lögmæt. Við meðferð málsins bar BL ehf. einnig fyrir sig að beiðni um upplýsingar hafi komið rafrænt frá öðrum en kvartanda og að slík gögn séu eingöngu afhent á pappír gegn framvísun persónuskilríkja en ekki send rafrænt.

Niðurstaða Persónuverndar var sú að afgreiðsla BL ehf. á aðgangsbeiðni kvartanda samrýmdist ekki ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga. Einnig var BL ehf. veitt áminning fyrir brot gegn ákvæðum laga og lagt fyrir BL ehf. að taka aðgangsbeiðni kvartanda til efnislegrar afgreiðslu.

-----

Almennt eiga einstaklingar rétt á að óska eftir sínum persónuupplýsingum. Upplýsingar um þjónustu- og viðgerðarsögu bifreiða, sem bifreiðin fékk meðan hún er í þeirra eigu teljast til slíkra upplýsinga.

Í þessu tilfelli hafnaði ábyrgðaraðili að afgreiða beiðni kvartanda efnislega en það samrýmdist ekki persónuverndarlögum sem og var verklag við afhendingu gagnanna talið ófullnægjandi.  

Úrskurður


um kvörtun yfir synjun BL ehf. um aðgangsbeiðni af hálfu Autoledger ehf. f.h. [A] í máli nr. 2021061304:

I.
Málsmeðferð
1.
Tildrög máls

Hinn 9. júní 2021 barst Persónuvernd kvörtun frá lögmannsstofunni Juris, f.h. [A] (hér eftir kvartandi), yfir synjun BL ehf. um aðgang að viðgerðar- og þjónustusögu bifreiðar í eigu kvartanda.

Í kvörtun segir að félagið Autoledger ehf. hafi þann 11. febrúar 2021, í umboði kvartanda, óskað eftir upplýsingum frá BL ehf. um viðgerðar- og þjónustusögu bifreiðar í eigu hans. Með kvörtun fylgdi umboð, undirritað rafrænt af kvartanda, þar sem segir að kvartandi veiti Autoledger umboð til að sækja, varðveita og vinna með upplýsingar um viðgerðar- og þjónustusögu bifreiðar í eigu kvartanda hjá þriðja aðila, þar með talið verkstæðum og þjónustuaðilum.

Í svari lögmanns BL ehf. við aðgangsbeiðninni, dags. 26. s.m., sem fylgdi með kvörtun, segir að Autoledger ehf. hafi óskað eftir upplýsingum um 878 bifreiðar hjá félaginu, en að það telji að það þurfi ekki að vinna söguleg gögn fyrir ótiltekinn fjölda bíla upp úr kerfum sínum. Tekið er fram að slíkt hefði mikinn kostnað í för með sér, auk þess sem óljóst sé hvort slík vinnsla persónuupplýsinga sé lögmæt. Að auki segir að þjónustusaga flestra bifreiða nái yfir fleiri en einn viðskiptavin og að umboð frá fyrri eigendum liggi ekki fyrir. Þá séu ábyrgðarviðgerðir og margar tjónaviðgerðir ekki greiddar af eiganda heldur af framleiðanda eða tryggingafélagi, en það geri það að verkum að áreiðanleiki slíks heildaryfirlits sé ekki mikill.

Persónuvernd bauð BL ehf. að tjá sig um kvörtunina með bréfi, dags. 1. desember 2021, og bárust svör fyrirtækisins þann 6. janúar 2022. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör BL ehf. með bréfi, dags. 13. s.m., og bárust þær með bréfi, dags. 2. febrúar s.á. Með bréfi, dags. 13. júní 2022, óskaði Persónuvernd eftir frekari upplýsingum frá kvartanda. Svar barst með tölvupósti þann 1. júlí s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó svo að ekki sé gerð sérstaklega grein fyrir þeim öllum í úrskurði þessum.

2.
Sjónarmið kvartanda

Að mati kvartanda á hann rétt á aðgangi að persónuupplýsingum sínum sem felist í þjónustu- og viðgerðarsögu bifreiðar í hans eigu sem varðveittar eru hjá BL ehf. Tekur kvartandi fram að aðgangsbeiðnin hafi verið send af hálfu Autoledger ehf. á grundvelli umboðs frá honum og sé það jafngilt því að hann hafi sjálfur óskað eftir upplýsingunum.

Að mati kvartanda felur synjun BL ehf. á aðgangi að þessum upplýsingum í sér brot gegn réttindum hans samkvæmt persónuverndarlögum.

3.
Sjónarmið BL ehf.

Í svarbréfi BL ehf. segir að félagið hafi eingöngu fengið beiðni frá Autoledger ehf. um upplýsingar á rafrænu formi um þjónustusögu bifreiða, en enga formlega beiðni beint frá kvartanda. Einnig segir að vinnulag félagsins sé á þá leið að þessum gögnum sé framvísað ef viðskiptavinur mætir á staðinn og framvísar persónuskilríkjum og að gögnin séu eingöngu afhent á pappír en ekki send rafrænt.

II.
Forsendur og niðurstaða
1.
Afmörkun máls – Gildissvið – Ábyrgðaraðili

Í upphafi málsmeðferðar var kvartandi upplýstur um að lög nr. 90/2018 og reglugerð (ESB) 2016/679 veittu einstaklingum rétt til aðgangs að eigin persónuupplýsingum, en ekki rétt til aðgangs að persónuupplýsingum um aðra, svo sem um persónuupplýsingar fyrri eiganda sem gætu falist í viðgerðar- og þjónustusögu bifreiðar. Persónuvernd myndi því eingöngu fjalla um rétt kvartanda til aðgangs að upplýsingum um viðgerðar- og þjónustusögu bifreiðarinnar meðan hún var í hans eigu, en ekki til upplýsinga um þá þjónustu sem bifreiðin hefði hlotið í tíð annarra eigenda.

Tekið skal fram að þar kann að reyna á sjónarmið samkvæmt annarri löggjöf en persónuverndarlöggjöfinni, svo sem samkvæmt neytendalöggjöf, sbr. m.a. kafla 3.6 í almennum athugasemdum með því frumvarpi sem varð að lögum nr. 27/2021. Þá kann að reyna á rétt kaupanda til upplýsinga um söluhlut, sbr. b-lið 1. mgr. 19. gr. laga nr. 50/2000 um lausafjárkaup, en ætla má að viðgerðasaga kynni að falla þar undir. Skyldur í þeim efnum hvíla þó aðeins á seljanda hlutar en gætu þó skipt máli við mat á heimild annarra þeirra sem búa yfir upplýsingum um hlutinn til að veita þær upplýsingar.

Mál þetta lýtur að afgreiðslu BL ehf. á beiðni um aðgang að persónuupplýsingum um kvartanda sem felast í þjónustu- og viðgerðarsögu bifreiðar í hans eigu. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar eins og það er afmarkað í lögum nr. 90/2018. BL ehf. telst vera ábyrgðaraðili að þeirri vinnslu samkvæmt þeim lögum, svo og reglugerð (ESB) 2016/679.

2.
Lagaumhverfi

Í þessu máli reynir á hvort ábyrgðaraðili hafi afgreitt beiðni Autoledger ehf. um aðgang að persónuupplýsingum um kvartanda í samræmi við ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 15. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 15. gr. reglugerðarinnar er meðal annars kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að persónuupplýsingum. Í 3. mgr. sömu greinar segir að ábyrgðaraðili skuli láta í té afrit af þeim persónuupplýsingum sem eru í vinnslu og að ef hinn skráði leggi beiðni fram rafrænt skuli upplýsingarnar látnar í té með rafrænu sniði sem almennt er notað nema hann fari fram á annað. Þá segir í 2. mgr. 12. gr. reglugerðarinnar að ábyrgðaraðili skuli auðvelda skráðum einstaklingi að neyta réttar síns samkvæmt 15.-22. gr.

Í 1. mgr. 10. gr. laga nr. 7/1936 segir að geri umboðsmaður löggerning í nafni umbjóðanda og innan takmarka umboðs síns, þá skapi sá löggerningur skyldu fyrir umbjóðanda án þess að frekari löggerningur, frá umboðsmanni eða umbjóðanda, þurfi til að koma.

 

3.
Niðurstaða

 

Af hálfu ábyrgðaraðila hefur komið fram að félagið hafi eingöngu fengið aðgangsbeiðni frá Autoledger ehf. um upplýsingar á rafrænu formi, og að félagið hafi ekki fengið neina formlega ósk beint frá kvartanda. Af hálfu kvartanda hefur komið fram að félagið Autoledger ehf. hafi óskað eftir upplýsingunum á grundvelli umboðs.

Almennt verður talið að þegar aðila er veitt umboð komi umboðsaðili fram fyrir hönd umbjóðanda án þess að til frekari athafna þurfi að koma af hálfu þess síðarnefnda. Verður því talið að beiðni Autoledger ehf. hafi verið jafngild og ef kvartandi hefði sjálfur óskað eftir persónuupplýsingum um sig frá ábyrgðaraðila. Auk þess verður talið að á grundvelli 2. mgr. 12. gr. reglugerðar (ESB) 2016/679 hefði ábyrgðaraðila, ef hann taldi umboðinu ábótavant, borið að leiðbeina umboðsaðila um hvernig uppfylla mætti formkröfur um framlagningu aðgangsbeiðni, í stað þess að synja beiðninni.

Þá segir einnig í svari ábyrgðaraðila að gögn séu afhent viðskiptavinum á pappír, en ekki rafrænt, þegar þeir mæta á staðinn og framvísi skilríkjum. Eins og að framan greinir ber ábyrgðaraðila, sem fær rafræna beiðni um aðgang að persónuupplýsingum, að afgreiða beiðnina rafrænt á sniði sem almennt er notað, nema beiðandi fari fram á annað.

Að framangreindu virtu er það niðurstaða Persónuverndar að afgreiðsla ábyrgðaraðila á aðgangsbeiðni Autoledger ehf., f.h. kvartanda, hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Í samræmi við þessa niðurstöðu, og með vísan til 3. tölul. 42. gr. laga nr. 90/2018, sbr. c.-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir BL ehf. að taka aðgangsbeiðni Autoledger ehf., f.h. kvartanda, til efnislegrar afgreiðslu. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 28. nóvember 2022.

Ú r s k u r ð a r o r ð:

Afgreiðsla BL ehf. á aðgangsbeiðni Autoledger ehf., f.h. [A], samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Með vísan til 2. tölul. 2. mgr. 42. gr. laga nr. 90/2018 og b-liðar 2. mgr. 58. gr. reglugerðar (ESB) 2016/679 er BL ehf. veitt áminning fyrir brot gegn ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679.

Lagt er fyrir BL ehf. að taka aðgangsbeiðni Autoledger ehf., f.h. [A], til efnislegrar afgreiðslu. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 28. nóvember 2022.

Persónuvernd, 31. október 2022

Vigdís Eva Líndal                       Gunnar Ingi Ágústsson



Var efnið hjálplegt? Nei