Ákvörðun um fyrirhugaða birtingu Arion banka á ljósmyndum af liðum á fótboltamóti barna á Facebook-síðu bankans

Mál nr. 2020010425

30.6.2020

Ákvörðun

Hinn 25. júní 2020 tók stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2020010425 (áður 2019081543):

I.

Málsmeðferð

1.

Upphaf máls

Persónuvernd barst ábending um að samkvæmt færslu á Facebook-síðu Arion banka hinn 18. ágúst 2019 yrðu liðamyndir frá Arion banka-mótinu í fótbolta barna s.á. gerðar aðgengilegar á Facebook-síðu bankans innan örfárra daga. Með vísan til þessa ákvað Persónuvernd að hefja frumkvæðisathugun á vinnslu persónuupplýsinga vegna fyrirhugaðrar birtingar ljósmynda, sbr. 3. mgr. 39. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. b-lið 1. mgr. 58. gr. reglugerðar (ESB) 2016/679. Af því tilefni sendi stofnunin bankanum bréf, dags. 20. s.m., þar sem vísað var til tilmæla stofnunarinnar frá 6. september 2018 til leikskóla, grunnskóla, frístundaheimila og íþróttafélaga um notkun á samfélagsmiðlum. Í bréfinu var áréttað að ljósmyndir af einstaklingum teldust almennt til persónuupplýsinga og bent á að í tilmælunum væri því beint til þeirra aðila sem koma að starfi með börnum að nota ekki Facebook eða sambærilega miðla fyrir miðlun persónuupplýsinga um þau, hvort heldur um almennar eða viðkvæmar persónuupplýsingar væri að ræða. Jafnframt var í bréfinu óskað skýringa um á hvaða heimild samkvæmt 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðarinnar, byggt væri við birtinguna og hvernig fræðslu til hinna skráðu og foreldra og forsjármanna hefði verið háttað.

2.

Svör Arion banka

Hinn 30. ágúst 2019 barst Persónuvernd svar frá Arion banka. Þar segir meðal annars að til að koma í veg fyrir að myndir yrðu teknar af börnum og settar á Facebook án samþykkis foreldra eða forráðamanna hafi myndatakan verið sett upp með þeim hætti að ekki hafi verið hægt að komast í myndatökuna án þess að fara út af keppnissvæðinu og inn á sérstakt svæði þar sem myndatakan hafi farið fram. Við innganginn hafi verið skilti þar sem fram hafi komið að myndataka færi þar fram og að myndirnar yrðu gerðar aðgengilegar á Facebook-síðu Arion banka. Þessu til staðfestingar fylgdi bréfinu ljósmynd sem sýnir umræddan inngang á mótinu 2019, auk ljósmyndar af röð fólks á leið inn á ljósmyndasvæði vegna mótsins 2018. Á fyrrnefndu ljósmyndinni gefur að líta skilti fyrir ofan innganginn með eftirfarandi áletrun:

„Myndataka
Teknar eru myndir af öllum
liðum og verða þær birtar á
Facebooksíðu Arion banka“

Með vísan til þessa segir í bréfi Arion banka að hann telji umrædda myndatöku hafa verið heimila á grundvelli samþykkis, sbr. 1. tölul. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sem og lögmætra hagsmuna, sbr. 6. tölul. sömu lagagreinar, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar. Segir í tengslum við samþykki sem vinnsluheimild að með því að taka ákvörðun um að fara með börn sín í myndatöku hafi foreldrar og forráðamenn veitt samþykki fyrir myndatökunni í verki, en þeim hafi verið í sjálfsvald sett að gera það ekki. Upplýsingar um að allar myndir yrðu birtar á Facebook-síðu bankans hafi verið augljósar og settar fram með þeim hætti að þær færu ekki framhjá þeim sem ákváðu að þiggja þjónustuna. Engum öðrum upplýsingum hafi verið blandað saman við tilkynninguna um myndbirtingu á Facebook-síðu bankans og hafi fræðsla verið á einföldu og auðskiljanlegu máli. Ekki sé gerður áskilnaður um að samþykki sé skriflegt heldur verði það að vera veitt með einhvers konar aðgerð af hálfu hins skráða og telji bankinn að fylgd foreldra með barni í myndatöku feli í sér slíka aðgerð.

Hvað fyrrnefnd tilmæli Persónuverndar varðar er lýst þeirri afstöðu bankans að þau geti ekki girt fyrir þann möguleika að Arion banki geti aflað samþykkis eða haft lögmæta hagsmuni af að nýta Facebook sem samskiptamiðil fyrir persónuupplýsingar. Aðstaða bankans gagnvart börnunum sé ólík aðstöðu skóla og íþróttafélaga, enda fari þeir aðilar með umsjá barna samhliða því að þau dvelji hjá þeim hluta úr degi og fái kennslu. Foreldrar og forráðamenn séu ekki nærri yfir daginn og geti ekki tekið ákvarðanir um vinnslu persónuupplýsinga. Á Arion banka-mótinu sé bankinn styrktaraðili sem bjóði upp á þá þjónustu að ljósmyndari taki liðsmyndir sé þess óskað og þær birtar með fyrirfram auglýstum hætti. Bankinn fari ekki með umsjá barnanna og sé aðkoma hans því með engum hætti sambærileg við aðkomu leikskóla, grunnskóla, frístundaheimila og íþróttafélaga.

Í framhaldi af þessu segir meðal annars að Arion banki hafi lögmætra hagsmuna að gæta af að geta nýtt sér þjónustu Facebook sem samskiptamiðils, enda sé um að ræða þann miðil sem flestir Íslendingar nýti sér í sínu persónulega lífi. Þá segir að Arion banki hafi auk þess lögmætra hagsmuna að gæta af að mynda tengsl við samfélagið, byggja upp jákvæða ímynd með þátttöku í samfélaginu og kynningu á því. Birting á myndum af umræddu móti sé hápunkturinn í rafrænni snertingu við Íslendinga, sem séu markhópur bankans, og fái mest jákvæð viðbrögð frá almenningi og svörun. Því séu verulegir hagsmunir í húfi fyrir bankann.

Tekið er fram í bréfinu að bankinn hafi ekki birt umræddar myndir á Facebook-síðu bankans í ljósi þess að Persónuvernd hafi hafið frumkvæðisathugun á lögmæti vinnslunnar. Þá kemur fram að sams konar liðamyndir hafi verið birtar á Facebook-síðu bankans 2017 og 2018. Hjá Persónuvernd liggur hins vegar ekki fyrir hvernig staðið var að þeirri vinnslu. Samhliða þessari ákvörðun er því sent bréf til Arion banka þar sem óskað er skýringa þar um.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölulið 3. gr. laganna og 1. tölulið 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölulið 3. gr. laganna og 2. tölulið 4. gr. reglugerðarinnar.

Mál þetta lýtur að fyrirhugaðri birtingu ljósmynda af liðum sem tóku þátt í fótboltamóti barna á Facebook-síðu Arion banka. Ljósmyndir af einstaklingum teljast almennt til persónuupplýsinga. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Arion banki vera ábyrgðaraðili að umræddri vinnslu.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þá verður vinnsla viðkvæmra persónuupplýsinga, sbr. 3. tölul. 3. gr. sömu laga, sbr. 1. mgr. 9. gr. reglugerðarinnar, að samrýmast einhverju af viðbótarskilyrðum 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Í þeim tilvikum sem hér um ræðir verður ekki litið svo á að um sé að ræða persónuupplýsingar sem talist geti viðkvæmar eða viðkvæms eðlis.

Samkvæmt 1. tölul. 1. mgr. 9. gr. laga nr. 90/2018 er vinnsla persónuupplýsinga heimil á grundvelli samþykkis hins skráða, sbr. a-lið 1. mgr. 6. gr. reglugerðarinnar. Samkvæmt 8. tölul. 3. gr. sömu laga telst samþykki vera óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig, sbr. 11. tölul. 4. gr. reglugerðarinnar. Í skilgreiningunni felst því að samþykki verður að vera veitt með einhvers konar aðgerð af hálfu hinna skráðu. Í máli þessu eru hinir skráðu ólögráða einstaklingar og fara forsjárforeldrar þeirra með lögformlegt fyrirsvar þeirra, sbr. 5. mgr. 28. gr. barnalaga nr. 76/2003, og þannig með hæfi til að veita samþykki fyrir vinnslu persónuupplýsinga þeirra.

Til að samþykki teljist vera upplýst þarf ábyrgðaraðili að veita hinum skráða tiltekna lágmarksfræðslu, áður en samþykkis er aflað, til að hinn skráði skilji hvað hann er að samþykkja og afleiðingar þess. Meðal þeirra atriða sem fræða þarf um eru að skráður einstaklingur á rétt á að draga samþykki sitt til baka hvenær sem er og að ábyrgðaraðili þarf að geta sýnt fram á að skráður einstaklingur hafi samþykkt vinnslu persónuupplýsinga um sig. Fyrir liggur að eina fræðslan sem Arion banki veitti hinum skráðu var á skilti við svæðið þar sem myndatakan fór fram en þar stóð að myndir yrðu teknar af öllum liðum og þær birtar á Facebook-síðu bankans. Samkvæmt þessu er ljóst að ótvírætt samþykki forsjáraðila þeirra barna sem hér um ræðir er ekki fyrir hendi.

Samkvæmt 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar. Almennt er litið svo á að markaðssetning banka sé heimil á grundvelli lögmætra hagsmuna. Hins vegar ber hér að líta til eðlis þeirrar vinnslu sem um ræðir og þeirrar staðreyndar að hin skráðu eru börn.

Í 38. lið formálsorða að reglugerðinni kemur fram að persónuupplýsingar barna eigi að njóta sérstakrar verndar, þar sem þau kunni að vera síður meðvituð um áhættu, afleiðingar og réttindi sín í tengslum við vinnslu þeirra. Þessi sérstaka vernd eigi einkum að eiga við um notkun persónuupplýsinga barna í markaðssetningarskyni. Jafnframt felst í þessari vernd meðal annars að réttur til eyðingar persónuupplýsinga er mjög ríkur gagnvart börnum og geta þau þannig átt ríkari rétt en fullorðnir til þess að upplýsingum um þau sé eytt, t.d. á Netinu. Í skilmálum Facebook, sem notendur miðilsins samþykkja, kemur fram að Facebook safnar þeim upplýsingum sem miðlað er í gegnum síðuna. Þegar Arion banki birtir ljósmyndir af börnum á Facebook-síðu bankans er þeim samtímis miðlað til Facebook. Fyrir liggur að Facebook deilir persónuupplýsingum með fyrirtækjum sem tengjast Facebook, sem og öðrum aðilum, við nánar tilgreindar aðstæður. Arion banki hefur því ekki fulla stjórn á þeim ljósmyndum sem bankinn setur þar inn. Má í því sambandi geta þess að í tilmælum Persónuverndar frá 6. september 2018 til leikskóla, grunnskóla, frístundaheimila og íþróttafélaga er mælst til þess að allir aðrir opinberir aðilar og einkaaðilar, sem koma að starfi með börnum, noti ekki Facebook eða sambærilega miðla, fyrir miðlun persónuupplýsinga um börn.

Jafnframt ber að líta til þess að eins og hér háttar til gætu lögmætir hagsmunir einkum komið til álita sem lagagrundvöllur fyrir vinnslu persónuupplýsinga í ljósi viðeigandi tengsla milli hins skráða og ábyrgðaraðilans. Dæmi um tengsl sem koma hér til greina eru þegar hinn skráði er viðskiptavinur ábyrgðaraðilans eða í þjónustu hans. Slíku sambandi var ekki til að dreifa í máli þessu enda eru hinir skráðu börn. Með hliðsjón af því sem að framan greinir, sem og þeirri staðreynd að Arion banki veitti hinum skráðu ekki fullnægjandi fræðslu, verður ekki talið að Arion banki geti átt lögmæta hagsmuni af myndbirtingunni, en gera verður ríkar kröfur um fræðslu til hinna skráðu þegar unnið er með persónuupplýsingar á grundvelli þessarar vinnsluheimildar.

Að framangreindu virtu er niðurstaða Persónuverndar sú að fyrirhuguð birting Arion banka á ljósmyndum af liðum sem tóku þátt í fótboltamóti bankans 2019 á Facebook-síðu hans samrýmist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Í samræmi við þessa niðurstöðu, og með vísan til 6. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Arion banka að gera umræddar myndir eingöngu aðgengilegar með aðgangsstýrðum hætti fyrir hlutaðeigandi íþróttarfélög þannig að þau geti haft milligöngu um afhendingu mynda til forsjáraðila barnanna, sbr. f-lið 2. mgr. 58. gr. reglugerðarinnar. Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 27. júlí 2020.

Á k v ö r ð u n a r o r ð:

Fyrirhuguð birting Arion banka á ljósmyndum af liðum í fótboltamóti bankans 2019, á Facebook-síðu hans, samrýmist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Arion banki skal eingöngu gera umræddar myndir aðgengilegar með aðgangsstýrðum hætti fyrir hlutaðeigandi íþróttarfélög. Staðfesting á því að farið hafi verið að þessum fyrirmælum skal berast Persónuvernd eigi síðar en 27. júlí 2020.

Í Persónuvernd, 25. júní 2020.

Björg Thorarensen
formaður

Ólafur Garðarsson                   Björn Geirsson

Vilhelmína Haraldsdóttir                     Þorvarður Kári Ólafsson