Úrlausnir

Varðveisla persónuupplýsinga, þ.m.t. sms-skeyta, á Mínum síðum hjá Fjarskiptum hf.- Mál nr. 2013/1510

28.5.2014

Úrskurður

 

Á fundi stjórnar Persónuverndar hinn 13. maí 2014 var kveðinn upp svohljóðandi úrskurður í máli nr. 2013/1510:

 

I.

Málavextir og bréfaskipti

1.

Persónuvernd hefur borist kvörtun frá [A] (hér eftir nefndur „kvartandi“), dags. 1. desember 2013, í tilefni af innbroti í tölvukerfi Vodafone, sem rekið er af Fjarskiptum hf., og birtingar á gögnum þaðan á Netinu. Nánar tiltekið kvartar hann yfir varðveislutíma hjá Fjarskiptum hf. á upplýsingum um hann sem eru í framangreindum gögnum, þ.e. um símanúmer hans, sms-skilaboð, kennitölu og netfang, sem og því hvernig öryggis upplýsinganna var gætt hjá fyrirtækinu. Kemur fram að sms-skilaboðin hafi mörg lotið að mjög viðkvæmum málum, þ. á m. sjúkdómssögu hans. Þá segir:

„M.a. fann ég upplýsingar um það að ég hafi verið að biðja um innlögn á [heilbrigðisstofnun]. Ég tel það grafalvarlegt mál að svona upplýsingar leki út á meðal almennings. Nú þegar eru mörg þúsund manns búnir að niðurhala þessum upplýsingum.“

2.

Með bréfi til kvartanda, dags. 23. desember 2013, var honum greint frá því að Persónuvernd og Póst- og fjarskiptastofnun ættu í samskiptum um valdmörk stofnananna í tengslum við framangreint öryggisatvik. Eftir að niðurstaða fékkst í þeim samskiptum, þess efnis að Póst- og fjarskiptastofnun fjallaði um atriði tengd upplýsingaöryggi en Persónuvernd um lögmæti umræddrar varðveislu, var Fjarskiptum hf. sent bréf, dags. 31. janúar 2014, þar sem fyrirtækinu var veitt færi á að tjá sig um kvörtunina.

 

Advel lögmenn slf. svöruðu f.h. fyrirtækisins með bréfi, dags. 7. mars 2014. Þar segir meðal annars að Fjarskipti hf. telji varðveislu umræddra gagna fela í sér vinnslu persónuupplýsinga í skilningi 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þar með falli upplýsingarnar undir gildissvið þeirra laga. Þar sem upplýsingarnar lúti meðal annars að heilsuhögum séu þær viðkvæmar, sbr. skilgreiningu 8. tölul. 2. gr. laganna. Vísað er til þess að vinnsla persónuupplýsinga er því aðeins heimil að hún falli undir eitthvert af skilyrðum 8. gr. laganna, sem og að vinnsla viðkvæmra persónuupplýsinga þarf einnig að samrýmast einhverju af skilyrðum 9. gr. Lýst er þeirri afstöðu að urmrædd varðveisla hafi fallið undir heimildir í hvorum tveggja greinunum, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. um heimild til vinnslu á grundvelli samþykkis. Um það segir nánar:

„Í gegnum tíðina hefur Vodafone gert viðskiptavinum sínum kleift að senda vefskilaboð í gegnum umrædda vefsíðu. Um tvær tegundir skilaboða var að ræða. Annars vegar var um að ræða FRÍ-SMS þar sem hægt var að setja 70 stafi í hvert skilaboð, skrá einn móttakanda og ekki birtust upplýsingar um hver var sendandi. Hins vegar var um að ræða vef-SMS, þar sem hægt var að setja allt að 1000 stafi og senda á fleiri en einn móttakanda. Síðarnefndu skilaboðin var hægt að vista í skeytasögu og það eru þau vefskilaboð sem tölvuþrjótnum tókst að stela í innbroti sínu. Skilaboð sem ekki voru vistuð í skeytasögu eyddust jafnóðum af síðunni. Engum notanda þjónustusíðu félagsins gat dulist að ef hakað var við reitinn vista samskiptasögu þá sá hann eldri skilaboð sem hann hafði sent. Jafnframt var mjög auðveld aðgerð að eyða þeim skilaboðum sem þegar höfðu vistast stæði vilji notanda til þess.

Samþykki getur talist ótvírætt þótt það sé ekki veitt berum orðum heldur í verki. Ekki eru skilyrði fyrir því í persónuverndarlögum að um skriflegt samþykki sé að ræða. Allri vinnslu upplýsinga á síðunni átti notandi vefgáttarinnar frumkvæði að og stjórnaði notkuninni og varðveislunni. Í boði var að vista samskiptasöguna og kom það bersýnilega í ljós þegar gáttin var opnuð hvort samskiptin voru vistuð í samskiptasögu eða ekki. Með því að stofna persónulega gátt á „Mínum síðum“ hjá Vodafone og setja tilheyrandi upplýsingar þar inn og notfæra sér þjónustu fyrirtækisins telur Vodafone að nægjanlega ótvírætt og upplýst sanmþykki hafi legið fyrir um varðveislu þeirra gagna sem notendurnir sjálfir settu þar inn. Þetta á bæði við um varðveislu gagna á vefgáttinni sjálfri sem og vefskilaboðin sem send voru af gáttinni.“

Lýst er þeirri afstöðu í bréfinu að umrædd gögn falli ekki undir 42. gr. fjarskiptalaga nr. 81/2003. Í máli þessu beri því ekki að líta til 3. mgr. þeirrar greinar, þess efnis að upplýsingar, sem falla undir svonefnda lágmarksskráningu gagna um fjarskiptaumferð, skulu ekki varðveittar lengur en í sex mánuði. Nánar tiltekið segir meðal annars að samkvæmt greinargerð með því frumvarpi, sem varð að fjarskiptalögum, sé í 42. gr. byggt á tilskipun 2002/58/EB um einkalífsvernd í fjarskiptum, en samkvæmt þeirri tilskipun sé með umferðargögnum átt við „gögn sem unnin eru í þeim tilgangi að flytja fjarskiptasendingu á rafrænu fjarskiptaneti eða til að gefa út reikninga vegna þess“, sbr. b-lið 2. mgr. 2. gr. tilskipunarinnar. Þá er vísað til þess að í greinargerð með lögum nr. 78/2005, sem juku fyrrgreindu ákvæði 3. mgr. 42. gr. við fjarskiptalög, er fjallað um hvað felist í áðurnefndri lágmarksskráningu samkvæmt ákvæðinu. Segir að samkvæmt greinargerðinni sé þar meðal annars átt við gögn um hver sé notandi tiltekins fjarskiptatækis, hverjum hann tengist, hvenær sú tenging hafi átt sér stað, hversu lengi tenging vari og hversu mikið af gögnum hafi verið flutt á milli fjarskiptanotenda. Auk þess segir meðal annars varðandi gögn sem vistast á þjónustusíðu Vodafone:

„Mikilvægt er að átta sig á muninum á annars vegar gögnum um fjarskiptaumferð og síðan þau gögn (loggar) sem verða til um þær aðgerðir sem gerðar eru á vefsíðunni sjálfri. Þegar vefskilaboð eru send af heimasvæði notenda á vefsíðu félagsins verða til fjarskiptaumferðargögn í fjarskiptakerfum sem eiga uppruna sinn að rekja til vefsins á nákvæmlega sama hátt og þegar smáskilaboð eru send á milli farsíma. Í skjala- og gagnaáætlun Vodafone var sérstaklega tilgreint að eyða ætti persónugreinanlegum fjarskiptaumferðargögnum áskrifenda eftir sex mánuði einnig á „Mínum síðum“. Hefur slíkum verkferlum verið fylgt hjá félaginu og voru engin gögn um fjarskiptaumferð, eldri en sex mánaða, til staðar á „Mínum síðum“ er vefsíða félagsins varð fyrir netárásinni. Þau gögn (loggar) sem stolið var voru ekki fjarskiptaumferðargögn heldur upplýsingar um aðgerðir viðskiptavina á vefnum.“

3.

Með bréfi, dags. 10. mars 2014, veitti Persónuvernd kvartanda færi á að tjá sig um framangreint bréf Advel lögmanna slf. Ekki bárust skriflegar athugasemdir og kom fram í símtali við kvartanda hinn 3. apríl 2014 að hann teldi þeirra ekki þörf. Hann vænti þess hins vegar að Persónuvernd úrskurðaði í málinu.

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í greinargerð með því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Með vísan til þess er í úrskurði þessum tekin afstaða til þess álitaefnis hvort varðveisla umræddra upplýsinga hafi verið heimil. Í samræmi við þá afmörkun á valdmörkum Persónuverndar og Póst- og fjarskiptastofnunar, sem rakin er í upphafi 2. kafla I. þáttar úrskurðar þessa, fellur það hins vegar í hlut síðarnefndu stofnunarinnar að fjalla um álitaefni varðandi öryggi upplýsinganna.

 

2.

Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Samkvæmt 2. tölul. 1. mgr. þeirrar greinar er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að. Þá kemur fram í 7. tölul. sömu málsgreinar að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi hins skráða vegi þyngra. Í tengslum við varðveislu Fjarskipta hf. á upplýsingum um símanúmer kvartanda, netfang hans og kennitölu reynir einkum á hvort kröfum þessara ákvæða sé fullnægt. Hvað kennitöluna varðar ber og að líta til 10. gr. laga nr. 77/2000, þess efnis að notkun kennitölu sé heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Ekki liggur fyrir að unnið hafi verið með kennitölu kvartanda í andstöðu við þetta ákvæði. Þá verður ekki annað séð en að bæði kennitalan, sem og símanúmer kvartanda og netfang, teljist til almennra grunnupplýsinga um hann sem viðskiptavin Fjarskipta hf. sem varðveita megi samkvæmt fyrrnefndum ákvæðum 8. gr. laga nr. 77/2000. Álítur Persónuvernd því varðveislu þessara upplýsinga hafa samrýmst þeim lögum.

 

Að auki varðveittu Fjarskipti hf. sms-skilaboð sem kvartandi hafði sent af vefsíðu fyrirtækisins, en í þeim var meðal annars að finna upplýsingar um heilsuhagi hans. Þar er um að ræða viðkvæmar persónuupplýsingar, sbr. 8. tölul. 2. gr. laga nr. 77/2000. Ljóst er að Fjarskiptum hf. var ekki ætlað að greina innihald umræddra fjarskiptaskilaboða, en til þess er hins vegar að líta að almennt verður að gera ráð fyrir að viðkvæmar persónuupplýsinga geti farið um fjarskiptakerfi. Af því leiðir að ekki aðeins þurfti vinnsla umræddra upplýsinga um kvartanda að fullnægja einhverju skilyrðanna í 8. gr. laga nr. 77/2000 heldur einnig einhverju viðbótarskilyrðanna fyrir vinnslu viðkvæmra persónuupplýsinga í 9. gr. sömu laga.

 

Í 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er mælt fyrir um heimild til að vinna með persónuupplýsingar á grundvelli samþykkis hins skráða. Þá er sérstaklega mælt fyrir um heimild til vinnslu viðkvæmra persónuupplýsinga á þeim grundvelli í 1. tölul. 1. mgr. 9. gr. laganna. Þarf þá að vera um að ræða yfirlýsingu hins skráða sem fullnægir kröfum 7. tölul. 2. gr. laga nr. 77/2000 til samþykkis, en þar segir að með samþykki sé átt við sérstaka, ótvíræða yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.

 

Samkvæmt 3. mgr. 42. gr. fjarskiptalaga nr. 81/2003 skulu fjarskiptafyrirtæki, í þágu rannsókna sakamála og almannaöryggis, varðveita svonefnda lágmarksskráningu gagna um fjarskiptaumferð notenda í sex mánuði. Tekið er fram í ákvæðinu að eyða skuli gögnunum að þessum tíma liðnum, enda sé þeirra ekki þörf lengur til reikningsgerðar fyrir áskrifendur og uppgjörs fyrir samtengingu, sbr. og 2. mgr. 42. gr. Ekki er tekið fram í 3. mgr. 42. gr. að víkja megi frá fyrirmælum um eyðingu upplýsinganna ef fjarskiptanotandi samþykkir áframhaldandi varðveislu. Til þess ber hins vegar að líta að löggjöf um vernd persónuupplýsinga byggist meðal annars á grundvallarreglunni um sjálfsákvörðunarrétt einstaklingsins. Ætla verður í ljósi þeirrar reglu að sú vinnsla persónuupplýsinga, sem felst í varðveislu fjarskiptaskilaboða, geti verið heimil samkvæmt lögum nr. 77/2000 þegar fjarskiptanotandi hefur farið fram á hana með yfirlýsingu sem fullnægir framangreindum kröfum 7. tölul. 2. gr. þeirra laga, sbr. og til hliðsjónar 4. mgr. 47. gr. fjarskiptalaga þar sem gert er ráð fyrir heimild til geymslu fjarskiptaupplýsinga að fengnu samþykki notanda. Verður ekki séð að í því sambandi skipti máli hvort um ræði upplýsingar um fjarskiptaumferð í skilningi fyrrgreinds ákvæðis 2. mgr. 42. gr. fjarskiptalaga. Gerist þess því ekki þörf í úrskurði þessum að taka afstöðu til þess álitaefnis.

 

Við mat á því hvort samþykki var veitt ber að líta til þess hvort viðkomandi einstaklingur hafði raunverulega atbeina að þeirri yfirlýsingu sem um ræðir. Þegar um ræðir persónuupplýsingar um mjög almenna þætti geta kröfur í þeim efnum verið vægar og jafnvel talist nægilegt að samþykki sé veitt í verki, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000 þar sem fram kemur að samþykki samkvæmt því ákvæði þarf ekki ávallt að samrýmast kröfum 7. tölul. 2. gr. laganna. Eins og fyrr greinir verða fjarskiptafyrirtæki hins vegar almennt að gera ráð fyrir að í fjarskiptaskilaboðum geti verið viðkvæmar persónuupplýsingar, en af því leiðir meðal annars að um þarf að vera að ræða yfirlýsingu sem fjarskiptanotandi sjálfur gefur, sbr. orðalag fyrrnefnds ákvæðis. Það að ekki sé afhakað við reit, þar sem fram kemur að unnið verði með persónuupplýsingar, verður ekki talið fela í sér að slík yfirlýsing hafi verið gefin.

 

Í ljósi framangreinds var kröfum til samþykkis samkvæmt 7. tölul. 2. gr. laga nr. 77/2000 ekki fullnægt gagnvart kvartanda, en auk þess verður ekki séð að aðrar vinnsluheimildir en samþykki geti hér átt við. Með vísan til þess er niðurstaða Persónuverndar sú að heimild hafi brostið til varðveislu umræddra fjarskiptaskilaboða með viðkvæmum persónuupplýsingum um kvartanda.

 

Ú r s k u r ð a r o r ð:

Varðveisla Fjarskipta hf. á sms-skilaboðum, sem [A] sendi af vefsíðu fyrirtækisins, samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.



Var efnið hjálplegt? Nei