Persónuupplýsingar úr tölvuleik fluttar út fyrir EES

8.11.2011

Úrskurður

Hinn 12. október 2011 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2011/84:

I.
Málavextir og bréfaskipti
1.
Afmörkun máls
Persónuvernd barst erindi B (hér eftir nefndur „kvartandi“) hinn 20. janúar 2011 vegna vinnslu CCP hf. á upplýsingum um hann. Nánar tilekið segir í erindinu að hann hafi verið verið viðskiptavinur CCP vegna þátttöku sinnar í tölvuleiknum EVE Online. Fyrirtækið hafi lokað fyrir aðgang hans að leiknum en haldið áskriftargjöldum hans. Í kjölfar þess hafi hann farið fram á að sjá upplýsingar sem skráðar höfðu verið um hann en verið synjað um það. Þá gerði hann fleiri athugasemdir varðandi vinnslu persónuupplýsinga á vegum CCP. Leyst var úr flestum ágreiningsefnunum með úrskurði, dags. 17. ágúst 2011. Ekki hefur hins vegar verið tekin afstaða til lögmætis flutnings persónuupplýsinga til landa sem ekki eru talin veita slíkum upplýsingum fullnægjandi vernd, en tilefni athugunar á slíkum flutningi persónuupplýsinga var ábending í tölvubréfi kvartanda til Persónuverndar hinn 2. apríl 2011.

2.
Bréfaskipti varðandi flutning upplýsinga úr landi
Í ljósi framangreindrar ábendingar kvartanda sendi Persónuvernd bréf, dags. 20. júní 2011, til L lögmannsþjónustu sem kom fram fyrir hönd CCP. Í bréfinu óskaði Persónuvernd svara um hvort CCP flytti persónuupplýsingar til landa sem ekki veita persónuupplýsingum fullnægjandi vernd, sbr. 30. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þá hvaða. Svarað var með bréfi, dags. 8. júlí 2011. Þar segir m.a. að í ljósi starfsemi sinnar sendi CCP persónuupplýsingar til dótturfélaga sinna í Bandaríkjunum og Kína. Vísað er til persónuverndarstefnu fyrirtækisins í því sambandi (e. Privacy Policy), en þar segir að upplýsingar um leikmenn geti verið sendar til staðar utan EES eða varðveittar þar. Einnig geti komið til þess að unnið sé með upplýsingar af starfsfólki utan EES sem vinni fyrir fyrirtækið eða einhvern af þjónustuaðilum þess. Slíkt starfsfólk geti m.a. unnið að því afgreiða pöntun, haft meðferð greiðsluupplýsinga með höndum og veitt stuðningsþjónustu. Með því að gefa upp um sig upplýsingar sé miðlun í þágu framangreinds samþykkt, sem og varðveisla og vinnsla.

Með bréfi, dags. 14. júlí 2011, veitti Persónuvernd kvartanda færi á að tjá sig um framangreint, m.a. hvort hann teldi sig hafa samþykkt flutning persónuupplýsinga til landa utan EES. Í svari hans, dags. 18. júlí 2011, segir m.a. að þegar hann hafi skráð sig sem þátttakanda í umræddum tölvuleik hafi upplýsingar um vinnslu persónuupplýsinga ekki verið til á hans móðurmáli, þ.e. þýsku, heldur aðeins á ensku. Þá hafi hann ekki fundið neina fræðslu sem greini skýrlega frá því að upplýsingar verði sendar heimshorna á milli. Hvergi sé beðið um samþykki fyrir miðlun upplýsinga, hvort sem sé innan eða út fyrir EES.

Með tölvubréfi til L lögmannsþjónustu hinn 9. ágúst 2011 óskaði Persónuvernd þess að upplýst yrði í hvaða tilgangi upplýsingar væru fluttar til aðila í Bandaríkjunum og Kína og hvaða vinnsla færi þar fram. Svarað var með bréfi, dags. 1. september 2011. Þar er áréttuð sú afstaða, sem áður hefur verið lýst, að þátttakendur í umræddum tölvuleik hafi samþykkt flutninginn. Þá segir m.a. að allir þátttakendur, þ. á m. kvartandi, undirgangist með skýrum hætti fyrrnefnda persónuverndarstefnu CCP, auk notendaskilmála, áður en gengið sé til leiks í fyrsta sinn. Það sé gert með því að haka við sérstakan reit í notendaviðmóti leiksins og liggi þá fyrir samþykki sem samrýmist kröfum 7. tölul. 2. gr. laga nr. 77/2000. Í því sambandi er bent á að í áliti nr. 5/2004 frá vinnuhópi samkvæmt 29. gr. persónuverndartilskipunarinnar nr. 95/46/EB, þ.e. ráðgefandi vinnuhópi fulltrúa persónuverndarstofnana innan ESB, sé mælt með því að samþykkis á Netinu sé aflað með því að notandi fylli út óútfylltan reit. Um fyrirkomulagið segir m.a.:

„Í þröngum skilningi flytur CCP ekki persónuupplýsingar milli landa. Allar persónuupplýsingar sem CCP hefur yfir að ráða um notendur eru geymdar á miðlægan og öruggan hátt í miðlurum (e. servers) fyrirtækisins sem staðsettir eru í London. Um tvo miðlara er að ræða.

Annar keyrir EVE Online, fjöldaspilunarleik CCP, og á honum eru geymdar grunnupplýsingar um notandann, þ.e. þjóðerni, nafn, netfang og fæðingardagur/ár, ásamt notendanöfnum. Þessar upplýsingar eru nauðsynlegar til að geta haldið utan um feril notenda hjá CCP.

Hinn miðlarinn heldur utan um greiðslusögu notandans, þ.m.t. hvaða greiðsluform hann hefur notað til þess að greiða fyrir þjónustu fyrirtækisins, ásamt mögulegum frávikum (endurgreiðslum, gefnum spilunartíma vegna tæknilegra örðugleika, o.s.frv.). Vert er að taka það fram að þær upplýsingar sem notandinn gefur upp þegar hann stofnar aðgang að þjónustu hjá CCP eru aldrei bornar saman við greiðsluupplýsingar sem viðkomandi gefur upp.

Þeir starfsmenn fyrirtækisins, sama hjá hvaða starfsstöð þeir starfa, sem nota upplýsingarnar, spegla þær til sín frá þessum miðlurum. Þeir geta ekki flutt upplýsingarnar til sín í þeim skilningi orðsins að þeir hafi neinn annan aðgang að þeim en er þarfur til þess að geta veitt nauðsynlega þjónustu til notenda. Þetta er gert í gegnum hugbúnað sem CCP hefur skapað sérstaklega í þessum tilgangi. Hugbúnaðurinn er eingöngu aðgengilegur þeim sem þurfa að sinna þessari tilteknu þjónustu og einungis frá skrifstofum/vinnuumhverfi fyrirtækisins.“

Einnig segir í bréfi L lögmannsþjónustu:

„Fjöldaspilunarleikurinn EVE Online er svokallaður „single-shared universe“, sem þýðir að ólíkt öðrum slíkum fjöldaspilunarleikjum þá er hann ekki brotinn upp í smærri einingar sem eru reknar og keyrðar sjálfstætt, hver með takmörkuðum fjölda spilara.

EVE Online er keyrður á einum miðlara og allir sem spila leikinn eru á sama tíma að spila við alla aðra notendur leiksins. Þetta hefur ákveðið flækjustig í för með sér, og þýðir að til þess að geta veitt það þjónustustig sem fyrirtækið hefur einsett sér, þá fer þjónustan fram allan sólarhringinn, alla daga ársins. Ennfremur, þar sem leikurinn er spilaður í fjölmörgum löndum, þá vill CCP geta boðið notendum stærri markaða upp á þann möguleika að geta fengið stoðþjónustu á eigin tungumáli.

Starfsmenn stoðþjónustu CCP á Íslandi og í Þýskalandi þjónusta leikmenn yfir dagtímann (á ensku, rússnesku og þýsku), starfsmenn í Bandaríkjunum leysa úr málum sem koma inn á kvöldin (á ensku og rússnesku) meðan starfsmenn CCP í Kína glíma að sama skapi við þau mál sem koma inn á nóttunni (á ensku og kínversku). Allir tímar hér er miðaðir við miðtíma Greenwich.“

Um hvaða vinnsla persónuupplýsinga fari fram í Kína og Bandaríkjunum segir:

„Stoðþjónusta sú sem dótturfélög CCP í Kína og Bandaríkjunum sinna er margvísleg. Þannig annast starfsmenn dótturfélaga CCP í Bandaríkjunum og Kína meðal annars fyrirspurnir sem lúta að greiðslum og greiðslufyrirkomulagi, tæknilegum vandamálum og leysa úr vandamálum leikmanna sem gerst hafa brotlegir við notendaskilmála EVE Online. Jafnframt hafa slíkir starfsmenn úrskurðarvald í ágreiningsmálum milli notenda leiksins, en slík mál eru nokkuð algeng.

Telur CCP að þetta rúmist allt saman innan þeirrar lýsingar sem gefin er í persónuverndarstefnu félagsins, en tekið er fram í því ákvæði sem vitnað er til að ofan að starfsmenn samstæðunnar, sem staðsettir eru utan Evrópska efnahagssvæðisins, kunni að vinna að „úrvinnslu pantana og greiðsluupplýsinga, auk þess að vinna að stoðþjónustu (þýðing: L)“.“

Auk framangreinds segir í bréfi L lögmannsþjónustu að notendaskilmálar og persónuverndarstefna CCP séu í stöðugri endurskoðun til að tryggja faglega úrvinnslu og nægilega vernd persónuupplýsinga. Stór liður í því ferli sé innleiðing innanhússreglna um meðferð persónuupplýsinga hjá félaginu. Efni reglnanna hafi verið kynnt þeim starfsmönnum samstæðunnar sem komi að vinnslu persónuupplýsinga og sé jafnóðum kynnt nýjum starfsmönnum sem að slíkri vinnslu koma. Þá sé þess gætt að láta starfsmönnum ekki í té frekari upplýsingar en nauðsynlegt geti talist.

Í lok bréfsins segir:

„Líkt og áður sagði hefur CCP alla tíð lagt mikla áherslu á vandaða starfshætti við meðferð persónuupplýsinga. Einn liður í því hefur verið að láta starfsmönnum ekki í té frekari upplýsingar en nauðsynlegt getur talist. Þannig fá starfsmenn dótturfélaganna persónuupplýsingar um þá leikmenn sem um ræðir tengt eðli þess vandamáls sem glímt er við hverju sinni og/eða í samræmi við ábyrgðarstöðu viðkomandi starfsmanns.

Lögð er áhersla á að starfsmenn CCP hafa engan aðgang að greiðslukortaupplýsingum notenda, utan síðustu fjögurra tölustafanna í greiðslukortanúmerinu sem nauðsynlegir eru til þess að geta staðfest að notandi hafi réttmætan aðgang að því greiðslukorti sem hann notar til þess að greiða fyrir þjónustu fyrirtækisins. Greiðslukortanúmerið í heild sinni er aðeins vistað hjá vottuðum alþjóðlegum þriðja aðila (GlobaCollect […]).“

II.
Forsendur og niðurstaða
1.
Gildissvið
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

2.
Er um að ræða flutning persónuupplýsinga?
CCP hf. nýtur þjónustu dótturfélaga í Kína og Bandaríkjunum. Bæði þau lönd teljast til þriðju landa, þ.e. landa utan EES, sem ekki eru talin veita persónuupplýsingum fullnægjandi vernd. Í því felst að flutningur persónuupplýsinga til þeirra landa er óheimill nema fullnægt sé skilyrðum 30. gr. laga nr. 77/2000.

Fram hefur komið af hálfu CCP að vafi leiki á því hvort um sé að ræða flutning persónuupplýsinga, í skilningi 30. gr.,  þar sem upplýsingar séu geymdar á miðlægan og öruggan hátt í miðlurum í London og starfsmenn annars staðar, þ. á m. í Bandaríkjum og Kína, spegli þær til sín.

Í dómi Evrópudómstólsins frá 6. nóvember 2003 í svonefndu Lindqvist-máli (nr. C-101/01) var fjallað um hvort birting persónuupplýsinga á Netinu fæli í sér flutning þeirra til þriðju landa. Þó svo að hér ræði ekki um opinbera birtingu upplýsinga á Netinu má hafa þennan dóm til hliðsjónar. Þar var komist að þeirri niðurstöðu að netbirting fæli ekki í sér slíkan flutning, m.a. vegna þess að ekki væri um neinn skilgreindan viðtakanda að upplýsingum að ræða, sbr. 61. og 71. mgr. dómsins.

Í þessu tilviki er hins vegar um að ræða skilgreinda viðtakendur í Kína og Bandaríkjunum sem vinna fyrir CCP við að veita margvíslega stoðþjónustu. Í ljósi þess er um að ræða flutning á persónuupplýsingum til þeirra, jafnvel þótt til þess sé notuð sú aðferð að spegla upplýsingarnar úr gagnagrunnum sem eru innan EES. Er sú afstaða m.a. í samræmi við réttarframkvæmd í Danmörku þar sem talið hefur verið að innri not persónuupplýsinga feli í sér slíkan flutning þegar í þeim felst aðgangur starfsmanna utan EES, sbr. úrlausn dönsku persónuverndarstofnunarinnar frá 5. desember 2006 í máli nr. 2006-42-1061 varðandi vinnslu persónuupplýsinga í tengslum við kerfi fyrir tilkynningar um meint lögbrot innan fyrirtækis (e. whistleblowing) með starfsstöðvar utan og innan EES. Sama á við um flutning upplýsinga til vinnsluaðila.

Með vísan til framangreinds telur Persónuvernd ljóst að umræddur flutningur persónuupplýsinga til Bandaríkjanna og Kína þurfi að samrýmast 30. gr. laga nr. 77/2000.

3.
Skilyrði 30. gr. laga nr 77/2000
Skilyrði 30. gr. laga nr. 77/2000 eru tvenns konar. Annars vegar er um að ræða atvik eða aðstæður sem leiða til þess að flutningur persónuupplýsinga sé heimill, s.s. að hinn skráði samþykki flutninginn, sbr. 1. mgr. 30. gr. Hins vegar getur mátt flytja upplýsingarnar samkvæmt leyfi Persónuverndar í samræmi við 2. mgr. 30. gr.

Af hálfu CCP hefur komið fram að fyrirtækið telur flutning persónuupplýsinganna til Kína og Bandaríkjanna vera heimilan á grundvelli samþykkis, sbr. 1. tölul. 1. mgr. 30. gr. Í athugasemdum við ákvæðið segir að samþykki þurfi að vera upplýst og yfirlýst og samrýmast skilyrðum 7. tölul. 2. gr., en þar er hugtakið samþykki skilgreint sem sérstök ótvíræð yfirlýsing sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv. Um hugtakið samþykki má til frekari skýringar vísa til álits nr. 15/2010 frá vinnuhópi samkvæmt 29. gr. persónuverndartilskipunarinnar nr. 95/46/EB.

Persónuvernd telur að þótt leikmaður haki við persónuverndarstefnu CCP, sem ekki tilgreinir til hvaða landa persónuupplýsingar séu fluttar, hafi hann ekki veitt samþykki sitt fyrir flutingi þeirra samkvæmt framangreindu. Kröfum 1. tölul. 1. mgr. 30. gr. laga nr. 77/2000 er því ekki fullnægt um umræddan flutning persónuupplýsinga til Kína og Bandaríkjanna. Þá hefur ábyrgðaraðili ekki sýnt fram á að uppfyllt séu skilyrði 4. tölul. 1. mgr. 30. gr. laganna, en gera verður ríkar kröfur til þess að flutningur persónuupplýsinga teljist nauðsynlegur í skilningi ákvæðisins.

Persónuvernd getur heimilað flutning upplýsinga til ríkis er greinir í 1. mgr., telji hún sérstök rök mæla með því, jafnvel þótt skilyrðum ákvæðisins sé ekki fullnægt. Slíkt er háð því að ábyrgðaraðili hafi, að mati stofnunarinnar, veitt nægilegar tryggingar fyrir slíku. Þær geta falist í gerð skriflegs samnings við viðtökuaðila, þ.e. samnings sem hafi að geyma tiltekin stöðluð samningsákvæði í samræmi við ákvörðun sem Persónuvernd hefur auglýst í Stjórnartíðindum, sbr. nú auglýsingu nr. 228/2008.

Skal CCP eigi síðar en 1. desember nk. senda Persónuvernd tillögu að fullnægjandi tryggingum fyrir vernd umræddra persónuupplýsinga.


Ú r s k u r ð a r o r ð:

Flutningur CCP hf. á persónuupplýsingum um leikmenn til aðila í Kína og Bandaríkjanna á sér ekki stoð í 1. tölul. 1. mgr. 30. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Skal CCP eigi síðar en 1. desember nk. senda Persónuvernd tillögu að fullnægjandi tryggingum fyrir vernd umræddra persónuupplýsinga, sbr. 2. mgr. 30. gr. laganna.