Álit um svikahnapp VÍS

12.11.2010

 

Ákvörðun

Hinn 9. nóvember 2010 tók stjórn Persónuverndar eftirfarandi ákvörðun í máli nr. 2010/412:

I.

Erindi VÍS

1.

Almennt

Persónuvernd vísar til fyrri samskipta af tilefni erindis Vátryggingafélags Íslands hf. (VÍS) frá 27. apríl 2010 þar sem félagið greindi frá uppsetningu svokallaðs svikahnapps á vefsíðu sinni. Hann getur fólk notað til að tilkynna um meint vátryggingasvik annarra án þess að koma fram undir nafni. Hinn 5. maí 2010 komu fulltrúar VÍS á fund í húsakynnum Persónuverndar til að fara yfir álitaefni tengd umræddum hnappi. Í kjölfar fundarins sendi Persónuvernd VÍS bréf, dags. 7. s.m., þar sem óskað var eftir afriti af verklagsreglum VÍS vegna þessara ábendinga, sem og skýringa á nánar tilteknum atriðum. VÍS svaraði með bréfi, dags. 9. júní 2010.

2.

Skýringar VÍS

Á framangreindum fundi kom fram af hálfu VÍS að gerð hefði verið könnun þar sem fólk hefði verið spurt hvort það væri reiðubúið til að senda inn tilkynningu um möguleg vátryggingasvik án þess að gera það undir nafni; hefðu um 50% þeirra sem svöruðu verið reiðubúin til þess. Í ljósi þessara niðurstaðna hefði VÍS talið rétt að setja upp hnapp á heimasíðu sinni fyrir slíkar tilkynningar. Einnig sögðu fulltrúar VÍS á fundinum að könnunin benti til þess að mörg hundruð milljóna væru sviknar út úr vátryggingafélögum á hverju ári. Tilgangur hnappsins væri að draga úr kostnaði af þeim orsökum.

Í áðurnefndu bréfi VÍS, dags. 9. júní 2010, kemur fram að tilkynnendum er nú boðið upp á að velja hvort þeir láti nafn sitt fylgja tilkynningu eða ekki. Segir að fyrirtækið hvetji því ekki til nafnlausra tilkynninga, en tilkynnendur geti þó valið að fara þá leið. Þá segir m.a. í bréfi VÍS:

„Í bréfi sínu vísar Persónuvernd jafnframt til álits vinnuhóps skv. 29. gr. tilskipunar 95/46/EB. Félagið bendir á að álit það varði annars konar tilkynningar en um ræðir í því máli sem hér er til skoðunar. Þannig telur félagið að veigameiri rök séu fyrir því að heimila nafnlausar tilkynningar um meint vátryggingasvik en sambærilegar tilkynningar starfsmanna fyrirtækis um meint brot samstarfsmanns. Félagið mun þó að sjálfsögðu hafa til hliðsjónar þau grundvallarsjónarmið sem fram koma í álitinu er varða persónuvernd einstaklinga.“

Í bréfi VÍS segir einnig að samkvæmt rannsóknum í nágrannaríkjunum megi áætla að hlutfall vátryggingasvika sé um það bil 10–15% á ári og leiði þau til hærri iðgjalda. Umræddum hnappi sé ætlað að sporna við því með varnaðaráhrifum, ásamt því að komið sé upp um vátryggingasvik. Þá segir í bréfinu:

„Eins og fram kemur í 7. gr. verklagsreglna þeirra sem félagið hefur sett sér skal framkvæmdastjóri tjónasviðs, er tekur við öllum tilkynningum um meint vátryggingasvik, tilkynna hinum skráða um að félaginu hafi borist ábending um meint vátryggingasvik hans, svo framarlega sem það skaðar ekki rannsóknarhagsmuni félagsins. Þegar hinn skráði fær upplýsingar er lúta að meintu vátryggingasviki fær sá hinn sami rétt til að tjá sig um málið og koma að sínum andmælum.

Umræddur vátryggingasvikahnappur hefur verið mikið til umfjöllunar í fréttum að undanförnu og ætti vátryggingatökum því að vera kunnugt um tilvist hans. Auk þess er að finna upplýsingar um tilvist hans á heimasíðu félagsins, www.vis.is, en tenging á hnappinn er að finna á forsíðu heimasíðu félagsins.“

3.

Verklagsreglur VÍS

Í þeim verklagsreglum, sem vísað er til í framangreindu bréfi VÍS, er m.a. að finna ákvæði þess efnis að:

aðeins skuli óskað upplýsinga sem lúta að meintum vátryggingasvikum (grein 2.1);

öðrum upplýsingum skuli eytt tafaraust (2.2);

upplýsingar skuli aðeins notaðar í þeim tilgangi að rannsaka og koma upp um meint vátryggingasvik, en önnur notkun sé óheimil (2.3);

tilkynnandi geti valið hvort hann komi fram undir nafni (3.1);

kjósi tilkynnandi að koma fram undir nafni sé því haldið leyndu, nema annað sé nauðsynlegt vegna kæru eða dómsmáls, og eytt um leið og efni tilkynningarinnar sjálfrar (3.4 og 3.5);

tryggt skuli að upplýsingar séu aðeins aðgengilegar þeim starfsmönnum VÍS sem hafa með umrædd mál að gera (4.1);

telji framkvæmdastjóri tjónasviðs ástæðu til þess að rannsaka meint vátryggingasvik nánar skuli hann kynna málið í fimm manna vátryggingasvikanefnd sem taki ákvörðun um framhald málsins (4.4);

starfsmenn séu bundnir trúnaði um umræddar upplýsingar (4.5);

eyða skuli röngum eða ófullkomnum upplýsingum eða leiðrétta þær tafarlaust (5);

öllum tilkynningum, sem augljóslega eiga ekki við rök að styðjast, skuli eytt eins fljótt og kostur er (6.1);

þegar ekki sé lengur nauðsynlegt að varðveita upplýsingar skuli þeim eytt (6.2);

ekki skuli geyma upplýsingar lengur en í tvo mánuði frá því að rannsókn á meintum vátryggingasvikum ljúki nema sérstök, málefnaleg rök standi til annars, en sé ákveðið að kæra eða höfða mál á hendur þeim, sem tilkynning lýtur að, megi þó varðveita upplýsingarnar lengur, þ.e. þar til máli er lokið og ekki er lengur hægt að áfrýja niðurstöðu eða kæra hana (6.3 og 6.4);

telji VÍS það ekki skaða rannsóknarhagsmuni félagsins skuli hinn skráði upplýstur um að fram hafi komið ábending um meint vátryggingasvik og honum veitt færi á að andmæla og veita skýringar (7.1);

ekki skuli veita hinum skráða upplýsingar um tilkynnanda, en upplýsa skuli um efni tilkynningar og hver hafi fengið eða muni fá upplýsingar um tilkynninguna eftir því sem rétt þyki hverju sinni með tilliti til almannahagsmuna og hagsmuna VÍS, auk þess sem upplýsa skuli um tilgang vinnslu og hvaða öryggisráðstafanir séu viðhafðar, enda skerði það ekki öryggi vinnslunnar (7.2);

ekki skuli afhenda utanaðkomandi upplýsingar um efni tilkynninga nema slíkt sé nauðsynlegt vegna rannsóknar máls, auk þess sem gerður sé trúnaðarsamningur við viðkomandi (8.1);

utanaðkomandi geti fengið vitneskju um meint svik ef ákveðið sé að kæra meint vátryggingasvik til lögreglu eða stefna hinum skráða fyrir dómstól (8.2);

tryggja skuli öryggi þeirra upplýsinga sem VÍS fær í gegnum vátryggingasvikahnappinn í samræmi við lög og reglur (9); og

lög nr. 77/2000 gildi um vinnsluna að því leyti sem ekki sé mælt fyrir um annað í reglunum (10).

4.

Ósk VÍS

Í niðurlagi framangreinds bréfs VÍS segir:

„Óskað er eftir áliti Persónuverndar á því hvort ástæða sé til þess að setja inn ákvæði um umræddan vátryggingasvikahnapp í vátryggingaskilmála félagasins í því skyni að upplýsa vátryggingartaka um umrædda vinnslu.

Félagið leggur ríka áherslu á að skilyrði persónuverndarlaga séu uppfyllt og óskar því eftir áliti Persónuverndar á verklagsreglum þeim sem félagið hefur sett sér og finna má í fylgiskjali með bréfi þessu.“

II.

Svar Persónuverndar

1.

Gildissvið og lagaumhverfi

Þau lög, sem Persónuvernd framfylgir og starfar eftir, þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, gilda um vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Þegar vátryggingafélag opnar gátt á vefsíðu sinni fyrir tilkynningar um meint vátryggingasvik geta borist persónuupplýsingar um þá gátt, þ. á m. um að einstaklingar séu grunaðir um slík svik. Af því leiðir að í notkun upplýsingagáttarinnar felst vinnsla persónuupplýsinga sem fellur undir lög nr. 77/2000.

2.

Helstu ákvæði laga nr. 77/2000 sem líta ber til

Sjónarmið um sanngirni og áreiðanleika

Öll vinnsla persónuupplýsinga verður að fullnægja grunnkröfum 1. mgr. 7. gr. laganna. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

Í framangreindum ákvæðum felst í stuttu máli að þess skal gætt við vinnslu persónuupplýsinga að hún sé sanngjörn, málefnaleg, áreiðanleg og ekki umfram það sem nauðsyn krefur. Í áreiðanleika felst að persónuupplýsingar eiga að vera sem réttastar. Þegar opnuð er upplýsingagátt fyrir nafnlausar tilkynningar um meint lögbrot skapast hætta á að um hana berist óáreiðanlegar persónuupplýsingar þar sem gáttin kann m.a. að verða notuð sem vettvangur til að koma höggi á menn í skjóli nafnleysis. Í því sambandi er rétt að minnast þess að hver, sem með rangri kæru, röngum framburði eða rangfærslu eða á annan hátt leitast við að koma því til leiðar að saklaus maður verði sakaður fyrir refsiverðan verknað, skal sæta fangelsi allt að 10 árum sbr., 148. gr. almennra hegningarlaga nr. 19/1940.

Í sanngirni felst m.a. að vinnsla á að vera gagnsæ, en í því felst ekki síst að hinn skráði á rétt á að vita um vinnsluna. Sú krafa birtist m.a. í 18. gr. laga nr. 77/2000 þar sem fram kemur að hinn skráði á að geta fengið vitneskju um vinnslu persónuupplýsinga um sig, þ. á m. um hvaðan upplýsingar um hann koma, sbr. 4. tölul. 1. mgr. Einnig má nefna að samkvæmt 21. gr. laga nr. 77/2000 ber að gera hinum skráða viðvart þegar upplýsinga um hann er aflað frá þriðja aðila. Í því felst m.a. að fræða á hinn skráða um hvaðan upplýsingarnar koma, sbr. b-lið 3. mgr. 18. gr. laganna.

Frá framangreindum rétti hins skráða eru nokkrar undantekningar, sbr. 19. gr. sömu laga. Má þar nefna að samkvæmt 2. mgr. 19. gr. eiga ákvæði 18. gr. ekki við ef réttur hins skráða samkvæmt þeim þykir eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra. Einnig eru undantekningar frá skyldu samkvæmt 21. gr. til að gera hinum skráða viðvart um öflun upplýsinga um hann frá þriðja aðila, sbr. 4. mgr. þeirrar greinar. Má þar nefna að samkvæmt 4. tölul. 4. mgr. fellur viðvörunarskyldan niður þegar hagsmunir hins skráða af því að fá vitneskju um vinnslu þykja eiga að víkja fyrir veigamiklum almannahagsmunum eða einkahagsmunum. Reynt getur á framangreindar undantekningar frá meginreglum 19. og 21. gr. Þannig geta rannsóknarhagsmunir leitt til þess að ekki beri að fræða hinn skráða um vinnslu persónuupplýsinga um meint vátryggingasvik hans, að svo stöddu.

Auk framangreinds verður við vinnslu persónuupplýsinga að gæta að öryggi upplýsinganna, sbr. 11. gr. laga nr. 77/2000.

3.

Álit vinnuhóps skv. tilskipun 95/46/EB

Ákvæði laga nr. 77/2000 byggjast á ákvæðum tilskipunar 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Á grundvelli 29. gr. tilskipunarinnar starfar vinnuhópur skipaður fulltrúum persónuverndarstofnana aðildarríkja ESB og áheyrnarfulltrúa EFTA-ríkja. Hann gefur m.a. út álit um málefni sem snerta vernd persónuupplýsinga. Hvað varðar nafnlausar ábendingar um meint lögbrot má þar nefna álit nr. 1/2006 um beitingu evrópskra persónuverndarreglna á „flautublástur“ (e. whistleblowing) á sviði endurskoðunar, innri endurskoðunar, innra eftirlits og baráttu gegn mútum, brotum í starfsemi banka og fjármálabrotum.

Álitið var gefið út 1. febrúar 2006 af tilefni upplýsingagátta, sem verið var að taka í notkun innan ýmissa fjölþjóðlegra fyrirtækja að kröfu bandarískra yfirvalda, til að gera starfsmönnum kleift að senda tilkynningar um brot í starfsemi fyrirtækjanna til sérstakra deilda innan þeirra án þess að fram kæmi hverjir þeir væru. Um gat verið að ræða alveg nafnlausar tilkynningar þannig að ekki einu sinni yfirvöld fengju vitneskju um hver sendandi tilkynningar væri.

Vinnuhópurinn taldi ýmis tormerki vera á nafnlausum tilkynningum og benti m.a. á að þá er erfiðara að rannsaka mál þar eð ekki er hægt að ráðfæra sig við tilkynnandann, að innan fyrirtækis kann það að verða venjubundið að sendar séu nafnlausar tilkynningar til að koma höggi á menn og að andrúmsloftið innan fyrirtækis kynni að verða slæmt ef starfsmenn væru sér meðvitaðir um að sendar kynnu að verða um þá nafnlausar tilkynningar (bls. 10 og 11 í álitinu).

Í ljósi þessa telur vinnuhópurinn að almennt eigi aðeins að taka við tilkynningum undir nafni. Lítur hann þar til þess grundvallarskilyrðis að vinnsla á að vera sanngjörn. Engu að síður telur hann ekki hægt að útiloka nafnlausar tilkynningar, enda geti það verið svo í ákveðnum tilvikum að tilkynnandi sé ekki í aðstöðu til að koma fram undir nafni. Ekki beri hins vegar að hvetja til nafnlausra tilkynninga. Þá eigi m.a. að fræða þá sem hyggjast senda inn tilkynningu um að komi þeir fram undir nafni verði því haldið leyndu að því undanskildu að nauðsynlegt geti verið að greina þeim sem koma að meðferð máls, s.s. innan dómskerfisins, frá því hverjir þeir séu (bls. 11 í álitinu). Segir að þetta sé nauðsynlegt til að slíkar upplýsingagáttir, sem hér um ræðir, komi að tilætluðum notum. Þá segir að nafn tilkynnenda skuli ekki gefið upp gagnvart þeim sem ásökun lýtur að nema þegar vísvitandi hefur verið send röng tilkynning og sá sem tilkynnt var um hyggst leita réttar síns gagnvart tilkynnanda af því tilefni, t.d. með því að höfða meiðyrðamál (bls. 15 í álitinu).

4.

Niðurstaða

4.1.

Um nafnlausar tilkynningar

Í 7. gr. laga nr. 77/2000 er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

Í ljósi framangreindra grunnreglna telur Persónuvernd eðlilegt að þegar opnaður er vettvangur til tilkynninga um meint lögbrot einstaklinga skuli þeir sem senda inn slíkar tilkynningar koma fram undir nafni. Er þá einkum litið til sjónarmiða um sanngirni og áreiðanleika. Verður ekki litið fram hjá hættu á því menn sendi í skjóli nafnleyndar inn ábendingar til þess að koma höggi á aðra. Slíkar ábendingar geta - jafnvel þótt þær eigi ekki við rök að styðjast - haft í för með sér  alvarlegar afleiðingar fyrir þá sem bent er á, auk þess sem upplýsingaréttur og andmælaréttur kann að vera brotinn á málsaðila. Þá skiptir einnig máli að í raun er villandi gagnvart tilkynnandanum að um „nafnlausar“ tilkynningar sé að ræða. Þegar fólk veitir upplýsingar með þessum hætti á Netinu geta þær verið persónugreinanlegar þótt engin nöfn eða kennitölur séu gefin upp, en með IP-tölum og greiningartólum er unnt að rekja nær alla fjarskiptaumferð til ákveðinna tölva og notenda þeirra. Ekki er hægt að útiloka að mál geti verið svo alvarlegt að lögregla sjái ástæðu til að rekja hver sent hafi inn tilkynningu, krefjist rannsóknarhagsmunir þess. Það er ekki á forræði VÍS að lofa að slíkt verði ekki gert og eru verklagsreglur VÍS villandi að þessu leyti.

Samkvæmt framansögðu telur Persónuvernd að það kerfi sem VÍS hefur sett upp þar sem tilkynnanda er lofað að hann geti frjálst valið hvort hann sendi inn nafnlausa ábendingu eða ábendingu undir nafni fái ekki samrýmst þeim reglum sem hér að framan hefur verið vikið að.

4.2.

Um upplýsingarétt hins skráða

Um upplýsingarétt hins skráða, að því er varðar þau gögn sem til verða hjá VÍS, fer samkvæmt 18. og 19. gr. laga nr. 77/2000. Samkvæmt 1. mgr. 18. gr. laga nr. 77/2000 á hann m.a. rétt á að fá frá ábyrgðaraðila vitneskju um hvaðan upplýsingarnar um hann koma. Umræddu ákvæði er ætlað að innleiða ákvæði a-liðar 12. tilskipunar 95/46/EB um rétt til aðgangs. Það ákvæði hefur verið skýrt með hliðsjón af ákvæði 13. gr. tilskipunarinnar um að hvaða marki takmarka megi þann rétt. Við skýringu ákvæðisins er og rétt að hafa hliðsjón af 41. tölul. formálsorða tilskipunarinnar þar sem fram kemur að hver og einn skuli hafa rétt til aðgangs að þeim upplýsingum um hann sjálfan sem eru í vinnslu. Að baki býr það markmið að gera honum kleift að geta sannreynt áreiðanleika upplýsinga um sig og lögmæti vinnslunnar.

Upplýsingarétti hins skráða eru takmörk sett í ákvæði 19. gr. laga nr. 77/2000. Þar kemur fram að réttur hans samkvæmt 18. gr. laganna getur þurft að víkja að nokkru eða öllu að vissum skilyrðum uppfylltum. Þau skilyrði sem hér koma helst til álita eru í ákvæðum 2. mgr. og 3. mgr. 19. gr. sem að framan hafa verið rakin. Að mati Persónuverndar þarf, í ljósi markmiðsákvæðis 1. mgr. 1. gr. laganna, að túlka undanþáguákvæðin þröngt og líta svo á að þau nái ekki yfir tilvik nema ljóst sé að hagsmunir tilkynnenda af nafnleynd séu mun ríkari en hins skráða af því að njóta upplýsingaréttar.

Í 2. mgr. 19. gr. segir að ákvæði 18. gr. eigi ekki við þyki réttur hins skráða samkvæmt því ákvæði eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra eða hans eigin. Þótt meta verði hvert tilvik sérstaklega er ljóst að í vissum tilvikum vega hagsmunir hins skráða þyngra en hagsmunir annarra, þ. á m. tilkynnanda. Því er rétt að fræða þann sem hyggst senda inn tilkynningu um að nauðsynlegt geti orðið að greina hinum skráða frá því hver tilkynnandinn er. Til dæmis getur þurft að gera það ef vísvitandi hefur verið send röng eða villandi tilkynning og sá sem tilkynnt var um hyggst af því tilefni leita réttar síns gagnvart tilkynnanda, t.d. með því að höfða meiðyrðamál. Í öðrum tilvikum getur niðurstaðan orðið önnur s.s. ef tilkynnandi getur átt á hættu að verða fyrir áreiti eða missa starf sitt verði gefið upp hver hann er.

Í 3. mgr. 19. gr. segir að réttur hins skráða samkvæmt ákvæðum 18. gr. nái ekki til upplýsinga sem eru undanþegnar aðgangi samkvæmt upplýsinga- eða stjórnsýslulögum. Um merkingu þessa ber að líta til þess að í athugasemdum í greinargerð með frumvarpi því er varð að lögum nr. 77/2000 segir að í 3. mgr. 19. gr. séu mörkuð skil upplýsingaréttar samkvæmt stjórnsýslu- og upplýsingalögum annars vegar og persónuupplýsingalögum hins vegar. Sé miðað við að réttur til aðgangs samkvæmt persónuupplýsingalögum verði sambærilegur við rétt aðila máls samkvæmt 15. gr. stjórnsýslulaga nr. 37/1993. Af því leiðir að sömu sjónarmið gilda um upplýsingarétt samkvæmt 18. gr. laga nr. 77/2000 og gilda samkvæmt 15. gr. stjórnsýslulaga. Hefur ekki verið talið að stjórnvöld hafi það á valdi sínu að heita málsaðilum trúnaði nema það sé sérstaklega tekið fram í lögum, s.s. er til dæmis gert í barnaverndarlögum.

Af framangreindu leiðir að upplýsingaréttur hins skráða er lögmæltur og VÍS hefur það ekki á sínu valdi að heita tilkynnendum trúnaði sem ekki fær samrýmst lögum.

4.3.

Samandregin niðurstaða

Persónuvernd telur að það kerfi sem VÍS hefur sett upp, þar sem tilkynnanda er lofað að hann geti frjálst valið hvort hann sendi inn nafnlausa ábendingu eða ábendingu undir nafni, fái ekki samrýmst þeim reglum sem hér að framan hefur verið vikið að. Svo almennar heimildir til að senda inn nafnlausar tilkynningar samrýmast ekki þeim kröfum um sanngirni og áreiðanleika sem mælt er fyrir um í 1. og 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000, auk þess sem loforð VÍS um trúnað gagnvart þeim sem sendir inn nafnlausa ábendingu eru villandi.

Með vísan til 1. mgr. 40. gr. laga nr. 77/2000 er lagt fyrir VÍS að endurskoða fyrirkomulag söfnunar á persónuupplýsingum með svokölluðum svikahnappi á vefsíðu sinni og haga því í samræmi við þær reglur sem fjallað hefur verið um í þessari ákvörðun.