Aðgerð Símans kærð til lögreglu

20.1.2011

 

Ákvörðun

Á fundi sínum hinn 18. janúar sl. komst stjórn Persónuverndar að eftirfarandi niðurstöðu í máli nr. 2010/488:

I.

Málavextir og bréfaskipti

1.

Tildrög máls og bréfaskipti

Upphaf máls þessa er að rekja til rannsóknar Samkeppniseftirlitsins af tilefni kvörtunar Nova yfir því að Síminn hf. beindi sérstökum tilboðum til þeirra viðskiptavina Nova sem töldust til stórnotenda. Af bráðabirgðaúrskurði Samkeppniseftirlitsins nr. 2/2010, frá 21. maí 2010, um framangreint mátti ráða að hjá Símanum hf. hafði átt sér stað heimildarlaus meðferð á persónuupplýsingum. Þar segir m.a. :

„Upplýsinga um umrædda stórnotendur hjá Nova kveðst Síminn hafa aflað með því að nýta sér svokallaðar CDR-færslur sem verða til miðlægt í símstöð. Þessar upplýsingar hafi verið notaðar af smásölu Símans til þess að finna úr hvaða símanúmerum hafi mest verið hringt í viðskiptavini Símans. Þær upplýsingar hafi síðan verið keyrðar saman við gagnagrunn www.ja.is og þannig útbúnir listar.

Þeir listar sem um er að ræða, og Samkeppniseftirlitið hefur undir höndum, hafa að geyma sundurgreinanlegar upplýsingar um mörg þúsund viðskiptavina Nova. Á umræddum listum eru ekki aðeins upplýsingar um símanúmer og nöfn viðkomandi viðskiptavina Nova heldur jafnframt kennitölur, heimilisföng og í mörgum tilvikum starfsheiti þeirra. Auk þess koma á listunum fram upplýsingar um fjölda símtala hvers og eins, lengd í mínútum eða sekúndum og lengd meðaltalssímtals. “

Þann 8. júní 2010 barst Persónuvernd fyrirhuguð ákvörðun Póst- og fjarskiptastofnunar þar sem er m.a. vikið að afstöðu stofnunarinnar til lögmætis vinnslu og ákvörðun um að eyða persónuupplýsingum. Þar segir m.a.:

„Að mati PFS kemur ekki til greina að fella niður skráningu Símans né afturkalla tíðnileyfi eða önnur réttindi félagsins vegna ofangreindrar háttsemi eingöngu. Til þess þarf brot að vera mjög alvarlegt og/eða ítrekað. Þótt PFS líti hugsanleg brot Símans, sem um er fjallað í máli þessu, alvarlegum augum væri of viðurhlutamikið og ekki í samræmi við meðalhóf að beita svo harkalegum úrræðum nú. Hins vegar hyggst stofnunin kæra umrædda hegðun Símans til lögregluyfirvalda til opinberrar rannsóknar þar sem stofnunin hefur ekki lagaheimild til að ljúka málinu með stjórnvaldssekt eins og vel kæmi til álita í tilviki sem þessu, væri slík heimild fyrir hendi.

Þá hyggst PFS mæla fyrir um að umferðargögnum, sem kunna að vera í fórum smásöludeildarinnar í öðrum tilgangi en viðmiðunartilboð og samtengisamningar gera ráð fyrir, verði eytt að viðstöddum fulltrúa PFS eða óháðum sérfræðingi í upplýsingatækni sem PFS tilnefnir.[...]

Að öllu ofangreindu virtu hefur PFS í hyggju að taka formlega, kæranlega ákvörðun um að Síminn hafi brotið gegn ákvæði 26. gr. og 4. mgr. 42. gr. fjarskiptalaga nr. 81/2003, sbr. 7. mgr. sömu greinar hafi Síminn ekki sett sér verklagsreglur um meðferð persónuupplýsinga og eyðingu gagna, [...]“

Stjórn Persónuverndar ræddi málið á fundi sínum þann 22. júní 2010. Þar sem ráða mátti að Póst- og fjarskiptastofnun hefði tekið afstöðu til málsins en væri enn með það til skoðunar var ekki talin ástæða til að Persónuvernd tæki það til meðferðar að svo stöddu. Hins vegar var ákveðið að óska þess að hún yrði upplýst um framvindu málsins.

Þann 27. júlí 2010 barst Persónuvernd bréf Póst- og fjarskiptastofnunar, dags. 23. júlí s.á., þar sem óskað var umsagnar varðandi þá staðhæfingu Símans hf. að hluti málsins heyrði fremur undir Persónuvernd en Póst- og fjarskiptastofnun. Persónuvernd barst einnig bréf Símans hf., dags. sama dag en á blaðsíðu 16 í því sagði m.a.:

„Eins og að framan er rakið gildir 4. mgr. 42. gr. ekki um vinnslu persónuupplýsinga um þriðja aðila sem ekki er viðskiptavinur Símans. Þar sem ákvæðið tekur ekki á vernd þriðja aðila né önnur ákvæði laganna telur Síminn það mögulegt að ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gildi um slíka vinnslu. Síminn hyggst fara vandlega yfir það og eftir atvikum með því að leita til Persónuverndar hvernig málið horfir við þeirri stofnun. Persónuvernd er m.a. sent afrit af bréfi þessu. Því skal þó haldið til haga að PFS skortir valdheimildir til að ákvarða um hvort tilvitnuðum lögum um persónuvernd hafi verið fylgt.“

Persónuvernd svaraði Póst- og fjarskiptastofnun með bréfi þann 29. júlí s.á. Þar segir m.a.:

„Persónuvernd annast eftirlit með framkvæmd laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Sértæk ákvæði um persónuvernd í fjarskiptum er hins vegar að finna í ákvæðum fjarskiptalaga nr. 81/2003 sem sett eru með hliðsjón af tilskipun Evrópubandalagsins nr. 58/2002/EB um vinnslu persónuupplýsinga og verndun einkalífs í fjarskiptum. Þar eru m.a. reglur sem eiga að takmarka það ónæði sem notendur fjarskiptaþjónustu geta orðið fyrir vegna markaðssetningar með hjálp fjarskiptatækni, eins og komist er að orði í greinargerð sem fylgdi frumvarpinu sem varð að lögum nr. 81/2003 um fjarskipti.

Þegar framangreind tilskipun var innleidd hér á landi var sú leið valin að fela Póst og fjarskiptastofnun eftirlit með framkvæmd þeirra reglna er varða vernd persónuupplýsinga og friðhelgi einkalífs (ákvæði IX kafla fjarskiptalaga). Að lögum er því staðan sú að Persónuvernd hefur eftirlit með því hvort hinar almennu reglur um persónuvernd í lögum nr. 77/2000 hafa verið brotnar en Póst- og fjarskiptastofnun hvort reglur um persónuvernd í IX. kafla fjarskiptalaga hafa verið brotnar. Vandinn við þessa skiptingu er sá að í málum varðandi brot á ákvæðum IX. kafla fjarskiptalaga reynir iðulega einnig á almennar reglur laga nr. 77/2000 sem gilda ávallt þar sem sérákvæðum IX. kafla fjarskiptalaga sleppir og eru þeim að öðru leyti til fyllingar.

Í framkvæmd hefur framangreint valdið allnokkrum vanda. Hin sértæku ákvæði fjarskiptalaga um persónuvernd ganga framar hinum almennu ákvæðum um persónuvernd í lögum nr. 77/2000 og við eftirlitsstörf hefur margþættur vandi skapast, bæði vegna skörunar á valdmörkum stofnana og vegna skörunar á hinum efnislegum reglum sem byggja skal á. Undir Póst- og fjarskiptastofnun getur t.d. fallið að skoða að hluta til hvort ábyrgðaraðili hafi brotið gegn sínum viðskiptavini við vinnslu upplýsinga um tiltekin samskipti hans við annan mann. Í hlut Persónuverndar gæti hins vegar t.d. komið að fjalla um kvörtun viðmælanda þessa viðskiptavinar yfir því að þessi sami ábyrgðaraðili hafi brotið gegn einkalífsrétti hans við vinnslu upplýsinga um samskiptin.

Í því máli sem hér um ræðir reynir á hvoru tveggja. Hér reynir bæði á lögmæti notkunar Símans hf. á persónuupplýsingum um eigin viðskiptavini og um aðra, þ.e. við þá vinnslu sem fram fór í markaðssetningartilgangi og lýst er í bráðabirgðaúrskurði Samkeppniseftirlitsins nr. 2/2010. Við mat á því undir hvaða stofnun slíkt mál fellur ber að líta til þess hvernig gildissvið laga nr. 77/2000 er afmarkað.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Af öllu framansögðu er ljóst að framangreint mál lýtur að hluta til einnig að vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 svo sem að því er varðar vinnslu persónuupplýsinga um þriðju aðila, sem ekki voru viðskiptavinir Símans.“

Þann 17. nóvember 2010 barst Persónuvernd ákvörðun Póst- og fjarskiptastofnunar nr. 37/2010 varðandi brot Símans. Um málsatvik segir m.a.:

„Gögn málsins gefa til kynna að Síminn hafi gripið til umfangsmikilla markaðsaðgerða sem beindust að öðrum fjarskiptafyrirtækjum. Tilgangurinn var markvisst sá að ná frá félögunum mikilvægum viðskiptavinum með óeðlilegri notkun á trúnaðarupplýsingum sem ekki ber að nota í markaðslegum tilgangi. Síminn hefur viðurkennt að umrædd notkun á framangreindum upplýsingum hafi ekki verið lögum samkvæmt. Að mati PFS er um að ræða yfirgripsmiklar aðgerðir af hálfu Símans. Þeir listar sem Síminn vann upp úr umræddum umferðargögnum höfðu að geyma sundurgreinanlegar upplýsingar um mörg þúsund viðskiptavini annarra fjarskiptafyrirtækja. Þar var ekki aðeins um að ræða upplýsingar um símanúmer og nöfn viðkomandi viðskiptavina heldur jafnframt kennitölur, heimilisföng og í mörgum tilvikum starfsheiti, auk upplýsinga um fjölda símtala hvers og eins, lengd í sekúndum og lengd meðalsímtals.

Að mati PFS falla þær upplýsingar sem lágu til grundvallar ofangreindum úthringilistum að þeim skilgreiningum á upplýsingum sem njóta eiga trúnaðar og aflað er í tengslum við framkvæmd á samtengisamningum í 5. gr. ofangreinds viðmiðunartilboðs Símans og þar með samtengisamningum þeim sem félagið hefur gert við önnur fjarskiptafyrirtæki. Nánar tiltekið er um að ræða skráningu á B-númeri, tíðni og lengd símtala. Samtenging kerfa Símans við kerfi annarra fjarskiptafyrirtækja er eina samskiptalagið sem færir félaginu umræddar upplýsingar. Því er um að ræða upplýsingar sem verða til á heildsölustigi í starfsemi fjarskiptafyrirtækja og falla þ.a.l. undir viðmiðunartilboð og viðeigandi kvaðir þar að lútandi. Samkvæmt ofangreindum ákvörðunum PFS frá 2006 og 2008 bar Símanum að haga starfsemi sinni með þeim hætti að meðferð upplýsinga, sem fram koma við gerð og framkvæmd samtengisamninga væri í samræmi við 26. gr. fjarskiptalaga. Óheimilt væri að afhenda öðrum upplýsingar um lúkningu símtala, þ.m.t. öðrum deildum Símans. PFS telur augljóst að Síminn hafi virt ofangreindar ákvarðanir að vettugi að þessu leyti með framangreindri háttsemi sinni. Eingöngu ber að nota slíkar upplýsingar í þeim tilgangi sem þær voru veittar og skulu fjarskiptafyrirtæki sem fá slíkar upplýsingar á öllum stigum halda trúnað.

Eins og fram hefur komið hér að framan setur ákvæði 26. gr. fjarskiptalaga fjarskiptafyrirtækjum verulegar takmarkanir varðandi meðferð upplýsinga sem fjarskiptafyrirtæki skiptast í tengslum við samtengingu. Verður að telja slíka takmörkun eðlilega og í raun nauðsynlega forsendu fyrir veitingu samtengingar, en samtenging telst til einnar meginstoða fjarskiptaréttarins. Því er gríðarlega mikilvægt fyrir fjarskiptamarkaðinn, sem byggist á samkeppnislegum sjónarmiðum, að með slíkar upplýsingar sé farið sem fullkomið trúnaðarmál milli fyrirtækja og að slíkar upplýsingar séu ekki nýttar innan fjarskiptafyrirtækjanna í markaðslegum tilgangi eða öðrum óskyldum tilgangi.

Samkvæmt 2. mgr. 9. gr. ofangreinds viðmiðunartilboðs Símans skulu aðrar upplýsingar en þær sem ætla megi að séu eða verði á allra vitorði eða öllum aðgengilegar njóta slíks trúnaðar. Ljóst er að framangreind undanþága, sem eðlilegt er að túlka þröngt, á alls ekki við um þær upplýsingar sem um er fjallað í máli þessu og Síminn hefur notað í markaðslegum tilgangi. Slíkar upplýsingar eru að sjálfsögðu ekki á allra vitorði eða öllum aðgengilegar. PFS hafnar einnig veikburða og oft fjarstæðukenndum málatilbúnaði Símans um að þær umferðarupplýsingar sem uppruna sinn eiga í heildsölu Símans vegna framkvæmdar á samtengisamningum og notaðar voru til að vinna umrædda úthringilista eigi ekki undir ofangreind ákvæði 26. gr. fjarskiptalaga eða 9. gr. ofangreinds viðmiðunartilboðs. Með slíkri túlkun er vegið að þeim verndarhagsmunum sem tilvitnað lagaákvæði á að tryggja, sbr. og nefnt þagnarskylduákvæði samtengisamningsins, þ.e. að fjarskiptafyrirtæki nýti sér ekki þá aðstöðu til ávinnings að búa yfir upplýsingum sem nauðsynlegar eru vegna uppgjörs á samtengiumferð.“

Fram kemur í ákvörðuninni að m.a. í ljósi þess að Síminn hf. hafi ekki áður gerst uppvís að samskonar broti áður, og m.t.t. meðalhófs, hyggist Póst- og fjarskiptastofnun falla frá þeim áformum sínum að kæra háttsemi Símans hf. til lögregluyfirvalda að svo stöddu. Í ákvörðunarorðum segir síðan m.a.:

„Síminn hf. hefur brotið gegn 26. gr. fjarskiptalaga, 3. mgr. 9. gr. viðmiðunartilboðs Símans um samtengingu talsímaneta frá 1. júní 2009, afleiddum samtengisamningum og jafnræðiskvöðum þeim sem lagðar voru á félagið með ákvörðunum PFS frá 20. júlí 2006 og 4. desember 2008, með því að hagnýta sér fjarskiptaumferðarupplýsingar sem varða heildsölusamskipti fjarskiptafyrirtækja í markaðslegum tilgangi á smásölustigi gagnvart Nova ehf. og Og fjarskiptum ehf.

[...] Persónuvernd er framsendur sá hluti máls þessa er varðar vinnslu Símans á persónuupplýsingum um áskrifendur annarra fjarskiptafyrirtækja til þóknanlegrar meðferðar. “

Þann 26. nóvember 2010 sendi Póst- og fjarskiptastofnun til Persónuverndar, til þóknanlegrar meðferðar, þann þátt málsins er lýtur að brotum Símans hf. á trúnaðarskyldum gagnvart öðrum en viðskiptavinum Símans.

Með bréfi, dags. 30. nóvember 2010, veitti Persónuvernd Símanum hf. kost á að koma á framfæri sjónarmiðum sínum til þess að Persónuvernd myndi kæra til lögreglu hina heimildarlausu notkun Símans hf. á persónuupplýsingum um einstaklinga sem ekki voru í viðskiptum við félagið. Í því sambandi var vísað til niðurstöðu Póst- og fjarskiptastofnunar um brot fyrirtækisins og heimildarlausa notkun á trúnaðarupplýsingum sem bannað er að nota í markaðslegum tilgangi. Sagði að að virtum alvarleika og umfangi málsins hefði Persónuvernd til rannsóknar og athugunar hvort kæra bæri málið til lögreglu.

Forstjóri og lögmenn Símans hf. óskuðu fundar með Persónuvernd og var hann haldinn 14. desember 2010. Af hálfu félagsins var tildrögum málsins lýst og því hvernig það hefði reynt að tryggja bætta fylgni við lög. Var erindið að leita leiða til að Persónuvernd félli frá hugsanlegri kæru til lögreglu, en samningar þar að lútandi hefðu náðst við Póst- og fjarskiptastofnun. Af hálfu forstjóra Persónuverndar var upplýst að málið yrði á dagskrá fundar stjórnar þann 18. janúar 2011.

Með bréfi dags. 17. desember 2010 óskaði Persónuvernd eftir upplýsingum frá Samkeppniseftirlitinu um stöðu málsins og hvort það hafi ákveðið Símanum hf. viðurlög vegna umrædds máls. Þann 23. desember s.á. barst Persónuvernd svar Samkeppniseftirlitisins. Þar segir m.a.:

„Málið hefur verið í rannsókn hjá Samkeppniseftirlitinu síðan umrædd bráðabirgðaákvörðun var birt þann 21. maí sl. Viðurlög vegna brota á 11. gr. samkeppnislaga varða stjórnvaldssektum, sbr. 37. gr. samkeppnislaga. Þar sem rannsókn málsins er ekki lokið liggur hins vegar ekki fyrir hvort Síminn verður beittur viðurlögum vegna ætlaðra brota á samkeppnislögum. Við mat á hugsanlegum viðurlögum verður eðli málsins ekki tekið mið af mögulegum brotum Símans á lögum um persónuvernd og meðferð persónuupplýsinga nr. 77/2000 enda fellur það ekki undir valdsvið Samkeppniseftirlitsins.“

2.

Sjónarmið Símans hf.

Svar H, lögmanns, fyrir hönd Símans hf., barst með bréfi, dags. 22. desember 2010. Þar er málsástæðum og sjónarmiðum fyrirtækisins lýst. Þar segir:

„Umbjóðandi okkar byggir í fyrsta lagi á því að ekki sé um neina vinnslu persónuupplýsinga að ræða í skilningi laga nr. 77/2000. Líkt og rakið er hér að framan eru hinar svokölluðu samtengiupplýsingar gögn sem umbjóðandi okkar fær sjálfkrafa frá öðrum fjarskiptafyrirtækjum. [á grundvelli lagaskyldu, sbr. 26. gr. fjarskiptalaga.] Eina vinnslan sem talin var ólögmæt í ákvörðun PFS var samkeyrsla þessara upplýsinga við opinberar upplýsingar. Opinberar upplýsingar geta ekki talist persónuupplýsingar í skilningi laga nr. 77/2000. Þar sem eina vinnslan var í raun með þau gögn getur ekki hafa verið um vinnslu persónuupplýsinga að ræða. Í öðru lagi byggir umbjóðandi okkar á því að verði talið um vinnslu persónuupplýsinga sé að ræða, hafi hún verið nauðsynleg til að fullnægja lagaskyldu. Umbjóðandi okkar hafi því haft heimild til hennar á grundvelli 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000. [...]

Líkt og rakið var undir lið II hér að framan byggir meðferð umbjóðanda okkar á þeim upplýsingum sem um ræðir í 26. gr. fjarskiptalaga sem og tveimur tilgreindum stjórnvaldsákvörðunum. Er í ákvæðinu beinlínis kveðið á um að nota skuli upplýsingarnar í þeim tilgangi sem þær voru veittar. Er umbjóðanda okkar því bæði nauðsynlegt og skylt að vinna þær upplýsingar sem um ræðir. Var honum það því heimilt á grundvelli 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Í ákvörðun PFS var komist að þeirri niðurstöðu að upplýsingarnar hefðu verið notaðar í öðrum tilgangi en þeirra var aflað til. Hafi hann því brotið gegn nefndri 26. gr. fjarskiptalaga. Umbjóðandi okkar bendir hins vegar á að það haggi því ekki að vinnslan var heimil út frá 3. tl. 1. mgr. 8. gr. laga nr. 77/2000. Stafar það af því að sá þáttur í meðferð upplýsinganna sem talinn var ólögmætur í ákvörðun PFS fól ekki í sér neina frekari vinnslu persónuupplýsinga heldur aðeins miðlun þeirra milli deilda félagsins og samkeyrslu við opinberar upplýsingar.

Af framansögðu leiðir að þar sem umbjóðandi okkar hafði heimild til vinnslunnar á grundvelli lagaskyldu var ekki um að ræða brot á lögum nr. 77/2000. Í þriðja lagi byggir umbjóðandi okkar á því að brotið sé gegn grundvallarmannréttindum hans með því að nákvæmlega sama háttsemi sé til meðferðar hjá þremur ólíkum eftirlitsaðilum sem allir annað hvort hafi beitt, eða hafi boðað að beita viðurlögum vegna hennar. Telur umbjóðandi okkar þetta brjóta gegn 70. gr. Stjórnarskrár lýðveldisins Íslands og 6. gr. Mannréttindasáttmála Evrópu, sbr. og 1. mgr. 4. gr. 7. samningsviðauka sáttmálans, sbr. lög nr. 62/1994. Hugtakið refsivert brot eins og það er notað í 6. gr. Mannréttindasáttmála Evrópu hefur sjálfstætt inntak og skiptir þannig ekki máli hvað viðkomandi viðurlög nefnast í lögum viðkomandi viðurlög nefnast í lögum aðildarríkja. Þannig hafa fræðimenn byggt á því að stjórnvaldssektir, s.s. vegna brota á samkeppnislögum, geti talist refsing í skilningi sáttmálans. [...]

Óumdeilt er að þrjár eftirlitsstofnanir hafa tekið til meðferðar mál umbjóðanda okkar vegna nákvæmlega sömu atvika. Ein þeirra, PFS, hefur þegar gert umbjóðanda okkar refsingu. Önnur, Samkeppniseftirlitið, hefur tekið bráðabirgðaákvörðun í málinu sem telja verður refsingu í skilningi Mannréttindasáttmála Evrópu. Jafnvel þó að svo yrði ekki talið má vænta þess að hún sé yfirvofandi, enda skilyrði bráðabirgðaákvörðunar þau m.a. að sennilegt sé að viðkomandi háttsemi fari gegn ákvæðum samkeppnislaga. Telur umbjóðandi okkar að með því að þriðja stofnunin, Persónuvernd, tilkynni nú um fyrirhugaða beitingu viðurlaga, sé brotið gegn skýlausum rétti umbjóðanda okkar sem honum er tryggður með 6. gr. Mannréttindasáttmála Evrópu, sbr. 1. mgr. 4. gr. 7. samningsviðauka sáttmálans.

Umbjóðandi okkar vill í fjórða lagi hafna því alfarið sem gefið er í skyn í bréfi Persónuverndar að um hafi verið að ræða viðkvæmar persónuupplýsingar í skilningi 9. gr. laga nr. 77/2000. Hugtakið er skilgreint í 8. tl. 1. mgr. 2. gr. laganna með upptalningu sem greinilega er tæmandi, jafn samkvæmt orðanna hljóðan sem og með vísan til athugasemda með frumvarpi því er varð að lögunum. Falla þær upplýsingar sem hér um ræðir ekki undir þá upptalningu. Þegar af þeirri ástæðu getur ekki verið um viðkvæmar persónuupplýsingar að ræða. Við það má svo bæta að ekki var um að ræða upplýsingar um í hvern viðskiptavina umbjóðanda okkar hver og einn aðili hringdi, heldur aðeins heildarupplýsingar um símtöl viðkomandi aðila í símkerfi umbjóðanda okkar. Gat því verið um að ræða símtöl í hvern sem er af tugum þúsunda viðskiptavina umbjóðanda okkar.“

Í bréfinu er síðan gerð grein fyrir afstöðu Símans hf. til þess að Persónuvernd hafi til rannsóknar og athugunar hvort kæra bæri til lögreglu háttsemi Símans hf. Um það segir:

„Í fyrsta lagi bendir umbjóðandi okkar á að kæra til lögreglu bryti gegn jafnt jafnræðisreglu 11. gr. stjórnsýslulaga nr. 37/1993 sem meðalhófsreglu 12. gr. sömu laga. Þannig veit umbjóðandi okkar ekki dæmi þess að hér á landi hafi höfðað refsimál fyrir brot gegn lögum nr. 77/2000. Verði það gert í máli umbjóðanda okkar sé það ekki í samræmi við fyrri framkvæmd Persónuverndar í alvarlegri málum. Nefna má nokkur dæmi þessu til stuðnings: [...]

Aukinheldur dregur Síminn verulega í efa að ákvæði 42. gr. laga nr. 77/2000 sé nægilega skýr refsiheimild til þess að refsing fáist dæmd. Verður að telja líklegast að ákæru yrði vísað frá dómi og er í því sambandi m.a. bent á dóm Hæstaréttar í máli 92/2007 frá 16. mars 2007.“

II.

Forsendur og niðurstaða

1.

Reglur og lagaumhverfi

1.1.

Gildissvið laga nr. 77/2000

og skilgreining hugtaka

Efnislegt gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þar með valdsvið Persónuverndar, nær til vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna.

Hugtakið „persónuupplýsingar“ er skilgreint í 1. tölul. 2. gr. laga nr. 77/2000. Þar segir að persónuupplýsingar séu sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Með persónugreindum upplýsingum er t.d. átt við upplýsingar sem eru merktar með nafni hins skráða. Persónugreinanlegar upplýsingar eru hins vegar upplýsingar sem unnt er að rekja til tiltekins einstaklings þótt þær séu ekki merktar honum.

Hugtakið „vinnsla“ er skilgreint í 2. tölul. 2. gr. laga nr. 77/2000. Þar segir að vinnsla sé sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn. Skilgreining hugtaksins í lögunum byggist á b-lið 2. gr. tilskipunar 95/46/EB, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Túlka ber vinnsluhugtakið með hliðsjón af þessu ákvæði tilskipunarinnar. Í því ákvæði segir að vinnsla persónuupplýsinga sé sérhver aðgerð eða röð aðgerða, rafrænna eða annarra en rafrænna, svo sem söfnun, skráning, kerfisbinding, geymsla, aðlögun eða breyting, heimt, leit, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtenging eða samkeyrsla, aðgangstakmörkun, afmáun eða eyðilegging.

Af framangreindu er ljóst að sú aðgerð Símans hf., að nota samtengiupplýsingar um aðra viðskiptavini en sína eigin, og samkeyra þær við aðrar upplýsingar þannig að til urðu listar til nota í markaðslegum og fjárhagslegum tilgangi, var vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Fellur málið þar með undir gildissvið þeirra laga, sem og valdsvið Persónuverndar, sbr. 37. gr. laganna.

1.2.

Evróputilskipanir nr. 95/46/EB

og nr. 2002/58/EB

Um vinnslu persónuupplýsinga og um verndun einkalífs á sviði rafrænna fjarskipta gilda tilskipanir Evrópuþingsins og ráðsins, sem hafa verið leiddar í lög hér á landi á grundvelli EES-samningsins og ber að fylgja eftir samkvæmt því. Tilskipun nr. 95/46/EB er um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Tilskipun nr. 2002/58/EB er um vinnslu persónuupplýsinga og um verndun einkalífs á sviði rafrænna fjarskipta (tilskipun um friðhelgi einkalífsins og rafræn fjarskipti).

Sú fyrrnefnda, þ.e. tilskipun nr. 95/46/EB, frá 24. október 1995, var innleidd hér á landi með lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Tilskipun nr. 2002/58/EB var sett til samræmis við hana en ætlað að tryggja réttindi og frelsi einstaklinga að því er varðar vinnslu persónuupplýsinga um fjarskipti. Hún hefur því að geyma sérreglur sem tengjast rétti manna til friðhelgi einkalífsins, að því er varðar fjarskipti, og er m.a. sett í því ljósi að fjarskiptaleynd er tryggð með alþjóðasamningum um mannréttindi, einkum Evrópusáttmálanum um verndun mannréttinda og mannfrelsis, og með stjórnarskrám aðildarríkja.

Tilskipun 2002/58/EB hefur að geyma ákvæði um ráðstafanir til að koma í veg fyrir óheimilan aðgang að fjarskiptasendingum til að standa vörð um leynd fjarskiptasendinga, þ.m.t. bæði efni og hvers kyns gögn sem tengjast slíkum fjarskiptasendingum, sem sendar eru með almennum fjarskiptanetum og rafrænni fjarskiptaþjónustu, auk ákvæða um að allar fjarskiptasendingar skuli háðar því skilyrði að ekki megi nota gögnin í öðrum tilgangi en þeim sem var ástæðan fyrir söfnun þeirra. Að baki búa sjónarmið um öryggi grunnstoða lýðræðisþjóðfélags, þ. á m. nauðsynlegar aðgerðir til að tryggja verndun mannréttinda og mannfrelsis, en í 2. gr. formálsorða hennar segir að með henni sé leitast við að virða grundvallarréttindi og fylgja meginreglum, einkum þeim sem eru viðurkenndar í sáttmála Evrópusambandsins um grundvallarréttindi.

2.

Svör við sjónarmiðum og málsástæðum Símans hf.

Forsendur

2.1.

Vinnsla til að fullnægja lagaskyldu

Að því er varðar það sjónarmið Símans hf. að vinnslan hafi verið félaginu nauðsynleg til að fullnægja lagaskyldu er því til að svara að notkun persónuupplýsinga um viðskiptavini annarra fyrirtækja og samkeyrsla þeirra við aðrar persónuupplýsingar, þ. á m. símaskrá, var félaginu ekki nauðsynleg til að fullnægja lagaskyldu. Þvert á móti var hún bönnuð, sbr. að í 26. fjarskiptalaga segir að fjarskiptafyrirtæki, sem öðlast upplýsingar frá öðru fyrirtæki við gerð samninga um aðgang eða samtengingu eða að loknum samningum, megi eingöngu nota upplýsingarnar í þeim tilgangi sem þær voru veittar og skuli á öllum stigum halda trúnað um þær. Þá segir að óheimilt sé að afhenda upplýsingarnar öðrum, þar á meðal öðrum deildum fyrirtækis, dótturfyrirtækjum eða samstarfsaðilum.

Óumdeilt er að Símanum hf. var heimilt að safna persónuupplýsingum sem urðu til við samtengingu fjarskiptaneta, samkvæmt 26. gr. fjarskiptalaga og 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000, að því marki sem nauðsyn krafði vegna hlutverks þess sem heildsölufyrirtækis. Hins vegar var framangreindum upplýsingum miðlað til smásöludeildar Símans hf., þrátt fyrir skýrt bann við slíkri áframsendingu, og voru þær samkeyrðar við gagnagrunn já.is og þannig unnir listar til nota í fjárhagslegu ábataskyni. Með því notaði Síminn hf. umræddar upplýsingar í öðrum og ósamrýmanlegum tilgangi og braut með því m.a. gegn 2. tölulið 1. mgr. 7. og 8. gr. laga nr. 77/2000.

2.2.

Brot á grundvallarmannréttindum Símans hf.

Að því er varðar það sjónarmið Símans að brotið hafi verið gegn grundvallarmannréttindum hans, samkvæmt mannréttindasáttmála Evrópu, með því að taka nákvæmlega sama brot til rannsóknar hjá þremur ólíkum eftirlitsaðilum sem allir annað hvort hafi beitt, eða hafi boðað að beita viðurlögum vegna háttseminnar, er eftirfarandi til að svara.

Í 4. gr. 7. viðauka við mannréttindasáttmála Evrópu er kveðið á um að enginn skuli sæta lögsókn né refsingu að nýju í sakamáli innan lögsögu sama ríkis fyrir brot sem hann hefur þegar verið sýknaður af eða sakfelldur fyrir með lokadómi samkvæmt lögum og sakamálaréttarfari viðkomandi ríkis. Eitt af þeim skilyrðum sem ákvæði þetta setur er að endanleg ákvörðun liggi fyrir um viðurlög, sem telja megi refsingu í skilningi mannréttindasáttmála Evrópu, og að fyrir liggi endanleg ákvörðun stjórnvalds sem gæti haft neikvæð réttaráhrif samkvæmt 1. mgr. 4. gr. 7. viðaukans. Um þetta er til frekari skýringar bent á dóm Hæstaréttar frá 8. júní 2006, í máli nr. 248/2006.

Framangreindu skilyrði er ekki fullnægt hér að því er varðar þetta mál. Til skýringar er bent á að Póst- og fjarskiptastofnun gerði félaginu hvorki sekt né önnur viðurlög, enda hefur hún ekki lagaheimildir til slíks. Hún ákvað að kæra háttsemi Símans hf. ekki til lögreglu. Auk þess lýtur ákvörðun hennar aðeins að brotum Símans hf gegn eigin viðskiptavinum og var sá hluti málsins er varðar aðra sendur Persónuvernd. Loks tekur ákvörðun Póst- og fjarskiptastofnunar eingöngu til brota Símans hf. á trúnaðarskyldum sínum í ljósi fjarskiptalaga. Að því er varðar aðkomu Samkeppniseftirlitsins er rannsókn málsins þar ekki lokið og liggur ekki fyrir hvort það muni beita Símann hf. viðurlögum vegna brota á samkeppnislögum. Með öllu er því óljóst hvað síðar kann að verða ákveðið af þess hálfu.

Samkvæmt framansögðu er ekki unnt að fallast á með Símanum hf. að ákvörðun Póst- og fjarskiptastofnunar, eða yfirstandandi rannsókn Samkeppniseftirlitsins á ætluðum brotum Símans á samkeppnislögum, leiði til þess að ekki séu efni til þess að Persónuvernd fjalli frekar um málið með tilliti ákvörðunar um að kæra það til lögreglu.

2.3

Viðkvæmar persónuupplýsingar

Hjá Símanum hf. kemur fram að ekki sé að ræða viðkvæmar persónuupplýsingar í skilningi 9. gr. laga nr. 77/2000 þar sem þær upplýsingar sem notaðar voru án heimildar sé ekki að finna í upptalningu 8. tölul. 1. mgr. 2. gr. laga nr. 77/2000.

Það er rétt að þær eru ekki í umræddum tölulið. Hér er hins vegar um að ræða upplýsingar um fjarskipti manna sem njóta eiga sérstakrar verndar. Sú vernd kemur m.a. fram í áðurnefndri tilskipun nr. 2005/58/EB um persónuvernd í fjarskiptum en efnisákvæði hennar hafa verið leidd í lög hér á landi samkvæmt EES-samningum. Í IX. kafla fjarskiptalaga nr. 81/2003, eru m.a. ákvæði um vernd gagna um fjarskiptaumferð notenda sem geymd eru og fjarskiptafyrirtæki vinna úr og eiga að gera nafnlaus þegar þeirra er ekki lengur þörf við afgreiðslu ákveðinnar fjarskiptasendingar. Þar eru einnig ákvæði um skilyrði þess að slíkar upplýsingar megi nota vegna markaðssetningar fjarskiptaþjónustu, um vernd gegn óumbeðnum fjarskiptum, um öryggi og þagnarskyldu, um skjalfestinu á skipulagi upplýsingaöryggis, bann við hlustun, upptöku, geymslu eða hlerun fjarskipta o.s.frv.

Með vísun til framangreinds er ljóst að þótt umræddra upplýsinga sé ekki getið í 8. tölulið 1. mgr. 2. gr. laga nr. 77/2000 eru þær mjög nátengdar einkalífi manna og njóta sérstakar verndar í ljósi grunnreglna um friðhelgi einkalífs, eins og að framan er rakið.

2.4

Jafnræðis- og meðalhófsregla stjórnsýslulaga.

Alvarleiki brots.

Síminn hf. telur að kæra til lögreglu bryti gegn jafnræðisreglu og meðalhófsreglu stjórnsýslulaga nr. 37/1993. Brotið hafi ekki verið svo alvarlegt að kæra beri það til lögreglu, enda hafi notkun upplýsinganna ekki verið skaðleg viðkomandi aðilum.

Þessu er til að svara að fyrir liggur að Síminn hf. notaði í heimildarleysi fjarskiptaupplýsingar um þúsundir einstaklinga sem voru í viðskiptum við önnur fjarskiptafyrirtæki en Símann hf. Um er að ræða upplýsingar um fjarskipti manna sem njóta eiga sérstakrar verndar eins og rakið hefur verið. Þá er óumdeilt að ekki var um slysni eða mistök að ræða heldur var tekin um það sérstök ákvörðun að nota þessar trúnaðarupplýsingar í hagnaðarskyni. Að mati Persónuverndar mátti Símanum hf. vera ljóst að slíkt fengi ekki samrýmst þeim ákvæðum fjarskiptalaga nr. 81/2003, sem innleiddu tilskipun nr. 2005/58/EB, eða persónuverndarlögum nr. 77/2000, sem innleiddu tilskipun nr. 95/46/EB. Er og ljóst að án virkrar eftirfylgni með því að lögunum sé fylgt ná þau ekki tilgangi sínum.

Að öllu framangreindu gættu, og í ljósi þeirrar sérstöku verndar sem þær persónuupplýsingar eiga að njóta sem verða til í fjarskiptum, er það mat Persónuverndar að um mjög alvarlegt mál sé að ræða sem eðlilegt sé og skylt að kæra til lögreglu í ljósi umfangs þess og eðlis.

2.5

Lögmætisreglan

Heimild Persónuverndar til að kæra til lögreglu

Að því er varðar fullyrðingar Símans hf. um að Persónuvernd hafi ekki heimild samkvæmt lögum til að kæra mál til lögreglu er því til að svara að samkvæmt 3. mgr. 52. gr. laga nr. 88/2008 um meðferð sakamála skal kæru vegna refsiverðs brots eða beiðni um rannsókn beint til lögreglu eða ákæranda. Í 42. gr. laga nr. 77/2000 er fjallað um refsingar. Þar segir að brot á ákvæðum laganna og reglugerðra settra samkvæmt þeim varði fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Þá segir í 2. mgr. 42. gr. að sé brot framið í starfsemi lögaðila megi gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga nr. 19/1940.

Við mat á því hvort kæra beri háttsemi til lögreglu telur Persónuvernd rétt að líta til þess hvort brot sé meiri háttar eða alvarlegt, t.d. vegna grófleika brots, hvort verknaður var framinn með sérstaklega vítaverðum hætti eða við aðstæður sem auka mjög á saknæmi brots. Í því tilviki sem hér er til skoðunar er ljóst að umrædd háttsemi var bæði meiri háttar og alvarleg. Hún gekk gegn reglum framangreindra tilskipana um einkalífsrétt og persónuvernd og þeim grunnreglum sem fram koma 7. gr. laga nr. 77/2000. Auk þess leikur grunur á að um brot af ásetningi hafi verið að ræða í ábataskyni. Því verður að mati Persónuverndar ekki undan því vikist að kæra málið til lögreglu.

3.

Niðurstaða

Sú aðgerð Símans hf. að nota samtengiupplýsingar um aðra viðskiptavini en sína eigin, og samkeyra þær við aðrar skrár til að búa til lista til nota í markaðslegum og fjárhagslegum tilgangi, var heimildarlaus og braut gegn ákvæðum laga nr. 77/2000 og verður, í ljósi umfangs brots og alvarleika þess, kærð til lögreglu.