Varðveisla persónuupplýsinga, þ.m.t. sms-skeyta, á Mínum síðum hjá Fjarskiptum hf. - Mál nr. 2014/378
Úrskurður
Í samræmi við niðurstöðu á fundi stjórnar Persónuverndar hinn 13. maí 2014 hefur verið kveðinn upp svohljóðandi úrskurður í máli nr. 2014/378:
I.
Málavextir og bréfaskipti
1.
Með bréfi Póst- og fjarskiptastofnunar, dags. 14. febrúar 2014, var Persónuvernd framsend kvörtun lögmannsstofunnar Réttar f.h. [A], dags. 22. janúar 2013, í tilefni af innbroti í tölvukerfi Vodafone, sem rekið er af Fjarskiptum hf., og birtingar á gögnum þaðan á Netinu, þ. á m. upplýsinga um [A] (hér eftir nefndur „kvartandi“). Var Persónuvernd framsend kvörtunin í framhaldi af samskiptum stofnananna tveggja um valdmörk þeirra í tengslum við framangreint öryggisatvik. Varð niðurstaðan úr þeim samskiptum sú að Póst- og fjarskiptastofnun fjallaði um öryggi umræddra gagna en að Persónuvernd tæki til umfjöllunar lögmæti varðveislu Fjarskipta hf. á þeim persónuupplýsingum sem þau hafa að geyma.
Með vísan til framangreinds veitti Persónuvernd Fjarskiptum hf. færi á að tjá sig um umrædda kvörtun með bréfi, dags. 21. febrúar 2014, og hvort varðveislutími umræddra persónuupplýsinga um [A], þ.e. sms-skilaboða frá farsímanúmeri hans, hafi samrýmst lögum. Að sendu því bréfi barst Persónuvernd erindi frá Rétti, dags. 20. s.m., með viðbót við framangreinda kvörtun. Var Fjarskiptum hf. veitt færi á að tjá sig um það erindi með bréfi, dags. 25. s.m. Advel lögmenn slf. svöruðu f.h. Fjarskipta hf. með bréfi, dags. 7. mars 2014, sem Persónuvernd veitti Rétti færi á að tjá sig um með bréfi, dags. 10. s.m. Svaraði Réttur með bréfi, dags. 21. s.m.
2.
Í kvörtun, dags. 22. janúar 2014, segir meðal annars:
„Umbj. minn var í fríi [... með [B] á árinu] 2013. Á veitingastað að kvöldi þess dags barst [B] símtal frá óþekktum aðila [erlendis]. Sá aðili greindi henni í stuttu máli frá lekanum af vefsíðu Vodafone á Íslandi og að kreditkortaupplýsingar mætti tengja við símanúmerið sem hann væri að hringja í. Umbj. mínum var illa brugðið þegar hann uppgötvaði að um hans kreditkort væri að ræða og hringdi umsvifalaust í neyðarnúmer kreditkortafyrirtækisins. Þar var honum greint frá því að samkvæmt upplýsingum frá Vodafone hefðu engar kortaupplýsingar lekið af vefsíðu Vodafone. Hins vegar barst umbj. mínum skömmu síðar símtal frá kreditkortafyrirtækinu sem hafði þá fengið staðfest að kortaupplýsingum hefði í raun verið lekið út og var þá afráðið að korti umbj. míns yrði lokað. Til allrar lukku hafði enginn nýtt sér kortaupplýsingarnar í málinu.
Fljótlega í kjölfarið gerði umbj. minn sér grein fyrir því að umrædd gögn um einkalíf hans væru komin í dreifingu til almennings, þá er fréttaflutningur um málið færðist í aukana. Strax sama dag var unnt að kanna á vefsíðum sem aðgengilegar eru öllum hvort lekið hefði verið gögnum tengdum eigendum símanúmera og einnig var hægt að leita eftir kennitölum. Umbj. minn komst við þá leit að því að [...] smáskilaboð úr hans símanúmeri [xxxxxxx] voru hluti af þeim gögnum sem lekið var á veraldarvefinn.
Smáskilaboð þessi innihalda upplýsingar um ýmis einkamálefni umbj. míns og annarra aðila sem honum eru tengdir. Stór hluti smáskilaboðanna eru skilaboð frá umbj. mínum til [C]. Innihéldu þau ekki aðeins viðkvæmar upplýsingar um [...] heldur einnig upplýsingar um einkamálefni [D og F]. Þá er hluti smáskilaboðanna til [B] og sum hver með afar persónulegum upplýsingum. Jafnframt má finna aðrar sendingar til vina og samstarfsfélaga umbj. míns. Allt eru þetta skilaboð með viðkvæmum persónuupplýsingum, bæði um umbj. minn og aðra aðila honum tengda, sem eiga það sameiginlegt að vera ekki ætluð öðrum en móttakanda til aflestrar. Þessum upplýsingum hefur nú verið lekið fyrir augu almennings og gerir það stöðu umbj. míns afar erfiða.
Gagnalekinn af síðu Vodafone hefur ekki aðeins haft alvarlegar afleiðingar fyrir umbj. minn heldur einnig aðra aðila. Fyrst ber að nefna að [D og F] hafa orðið fyrir aðkasti [...]. Þá hefur vinur og samstarfsfélagi umbj. míns orðið fyrir mannorðstjóni sem og miklu ónæði og áreiti vegna skilaboða frá umbj. mínum sem voru rangtúlkuð [...]. Þá voru skilaboðin til sýnis á vefsíðunni [Z]. Skömmu síðar var vefsíðunni [Z] komið á fót og innihélt hún sama efni. Báðum þessum vefsíðum virðist nú hins vegar hafa verið lokað eða eytt, en skaðinn er engu að síður skeður.
Það sem eykur þó enn á alvarleika málsins að mati umbj. míns er að gögn þessi hefðu alls ekki átt að vera til og var varðveisla þeirra með öllu óheimil samkvæmt fyrirmælum laga nr. 81/2003 um fjarskipti. Í 42. gr. laganna er þar að auki kveðið skýrt á um að fjarskiptafyrirtæki á borð við Vodafone megi einungis varðveita gögn um fjarskiptaumferð notenda og ekki annað. Megi slík varðveisla að hámarki vara í sex mánuði. Gildir þá einu hvort gögn fjarskiptafyrirtækis um þá umferð eru hýst á vefsíðum eða í harðlæstri hvelfingu á starfsstöð þess. Öll þau gögn um einkamálefni umbj. míns sem komust í dreifingu í kjölfar innbrotsins á vefsíðu Vodafone voru eldri en sex mánaða og sum hver tæplega þriggja ára gömul.
Þá liggur ekkert fyrir um að Fjarskipti hf. hafi sett verklagsreglur fyrir Vodafone um meðferð persónuupplýsinga og eyðingu gagna á borð við þau sem hefur nú verið dreift til almennings á veraldarvefnum líkt og félaginu var skylt samkvæmt 7. mgr. 42. gr. laga nr. 81/2003.“
Með vísan til framangreinds segir í kvörtuninni að með skráningu og vinnslu umræddra upplýsinga hafi Fjarskipti hf. gerst brotlegt við IX. kafla laga nr. 81/2003 um fjarskipti, einkum 42. og 47. gr., sbr. 1. mgr., sbr. 3. mgr. 74. gr. sömu laga.
Í bréfi Réttar til Persónuverndar, dags. 20. febrúar 2014, þar sem fram kemur viðbót við framangreinda kvörtun, segir meðal annars:
„Umbjóðandi minn telur að sá þáttur í starfsemi Vodafone sem fólst í því að vista innihald smáskilaboða viðskiptavina á vefsíðu fyrirtækisins, þar sem þeim stóð til boða að senda smáskilaboð inni á svokölluðum „Mínum síðum“, hafi farið í bága við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Umbj. minn telur að svo sé einkum vegna þess að umrædd gögn innihéldu gríðarlegt magn af viðkvæmum persónuupplýsingum í skilningi 8. tl., sbr. 1. tl. 1. mgr. 2. gr. laganna. Í þessu tilliti vísar umbj. minn einkum til skyldu Vodafone samkvæmt II. kafla, einkum 7.–13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.“
Þá segir meðal annars að það auki enn á alvarleika málsins að þjónustusvæðið „Mínar síður“ á vodafone.is gerði sjálfkrafa ráð fyrir því að viðskiptavinir félagsins vildu vista skilaboð sín er þau höfðu verið send, en fyrirfram hafi verið hakað í þar til gerðan reit á vefsvæðinu um vistun gagna. Auk þess segir:
„Það sem gerir málið enn alvarlegra er sú staðreynd að Vodafone gerði aldrei tilraun til þess að upplýsa viðskiptavini sína um það að hætta væri á því að leynd persónugagna þeirra gæti verið rofin með þeim hætti sem raun ber vitni. Þvert á móti gerði Vodafone ráðstafanir til að auka tiltrú viðskiptavina félagsins á því að upplýsingar um þá væru öruggar á hinum svokölluðu „Mínum síðum“ vefsvæðisins vodafone.is.“
Um þetta er í bréfinu vísað til svohljóðandi umfjöllunar á vefsíðu Vodafone um öryggi upplýsinga:
„Mínar síður veita mjög nákvæmar upplýsingar um fjarskiptaþjónustu þína og aðgang að mikilvægum stillingum hennar. Því fylgjum við ítrustu öryggiskröfum til að tryggja að óviðkomandi geti ekki fengið aðgang að Mínum síðum. Til að fá fullgildan aðgang að Mínum síðum, þar sem hægt er að nota alla þá þjónustu sem þar er í boði þarf því bæði að staðfesta netfang og fá lykilorð sent í heimabanka."
3.
Í bréfi Advel lögmanna slf. til Persónuverndar, dags. 7. mars 2014, segir meðal annars að Fjarskipti hf. telji varðveislu umræddra gagna fela í sér vinnslu persónuupplýsinga í skilningi 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þar með falli upplýsingarnar undir gildissvið þeirra laga. Þar sem upplýsingarnar lúti meðal annars að heilsuhögum séu þær viðkvæmar, sbr. skilgreiningu 8. tölul. 2. gr. laganna. Vísað er til þess að vinnsla persónuupplýsinga er því aðeins heimil að hún falli undir eitthvert af skilyrðum 8. gr. laganna, sem og að vinnsla viðkvæmra persónuupplýsinga þarf einnig að samrýmast einhverju af skilyrðum 9. gr. Lýst er þeirri afstöðu að umrædd varðveisla hafi fallið undir heimildir í báðum greinunum, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. um heimild til vinnslu á grundvelli samþykkis. Um það segir nánar:
„Í gegnum tíðina hefur Vodafone gert viðskiptavinum sínum kleift að senda vefskilaboð í gegnum umrædda vefsíðu. Um tvær tegundir skilaboða var að ræða. Annars vegar var um að ræða FRÍ-SMS þar sem hægt var að setja 70 stafi í hvert skilaboð, skrá einn móttakanda og ekki birtust upplýsingar um hver var sendandi. Hins vegar var um að ræða vef-SMS, þar sem hægt var að setja allt að 1000 stafi og senda á fleiri en einn móttakanda. Síðarnefndu skilaboðin var hægt að vista í skeytasögu og það eru þau vefskilaboð sem tölvuþrjótnum tókst að stela í innbroti sínu. Skilaboð sem ekki voru vistuð í skeytasögu eyddust jafnóðum af síðunni. Engum notanda þjónustusíðu félagsins gat dulist að ef hakað var við reitinn vista samskiptasögu þá sá hann eldri skilaboð sem hann hafði sent. Jafnframt var mjög auðveld aðgerð að eyða þeim skilaboðum sem þegar höfðu vistast stæði vilji notanda til þess.
Samþykki getur talist ótvírætt þótt það sé ekki veitt berum orðum heldur í verki. Ekki eru skilyrði fyrir því í persónuverndarlögum að um skriflegt samþykki sé að ræða. Allri vinnslu upplýsinga á síðunni átti notandi vefgáttarinnar frumkvæði að og stjórnaði notkuninni og varðveislunni. Í boði var að vista samskiptasöguna og kom það bersýnilega í ljós þegar gáttin var opnuð hvort samskiptin voru vistuð í samskiptasögu eða ekki. Með því að stofna persónulega gátt á „Mínum síðum“ hjá Vodafone og setja tilheyrandi upplýsingar þar inn og notfæra sér þjónustu fyrirtækisins telur Vodafone að nægjanlega ótvírætt og upplýst samþykki hafi legið fyrir um varðveislu þeirra gagna sem notendurnir sjálfir settu þar inn. Þetta á bæði við um varðveislu gagna á vefgáttinni sjálfri sem og vefskilaboðin sem send voru af gáttinni.“
Lýst er þeirri afstöðu í bréfinu að umrædd gögn falli ekki undir 42. gr. fjarskiptalaga nr. 81/2003. Í máli þessu beri því ekki að líta til 3. mgr. þeirrar greinar, þess efnis að upplýsingar, sem falla undir svonefnda lágmarksskráningu gagna um fjarskiptaumferð, skulu ekki varðveittar lengur en í sex mánuði. Nánar tiltekið segir meðal annars að samkvæmt greinargerð með því frumvarpi, sem varð að fjarskiptalögum, sé í 42. gr. byggt á tilskipun 2002/58/EB um einkalífsvernd í fjarskiptum, en samkvæmt þeirri tilskipun sé með umferðargögnum átt við „gögn sem unnin eru í þeim tilgangi að flytja fjarskiptasendingu á rafrænu fjarskiptaneti eða til að gefa út reikninga vegna þess“, sbr. b-lið 2. mgr. 2. gr. tilskipunarinnar. Þá er vísað til þess að í greinargerð með lögum nr. 78/2005, sem bættu fyrrgreindu ákvæði 3. mgr. 42. gr. við fjarskiptalög, er fjallað um hvað felist í áðurnefndri lágmarksskráningu samkvæmt ákvæðinu. Segir að samkvæmt greinargerðinni sé þar meðal annars átt við gögn um hver sé notandi tiltekins fjarskiptatækis, hverjum hann tengist, hvenær sú tenging hafi átt sér stað, hversu lengi tenging vari og hversu mikið af gögnum hafi verið flutt á milli fjarskiptanotenda. Auk þess segir meðal annars varðandi gögn sem vistast á þjónustusíðu Vodafone:
„Mikilvægt er að átta sig á muninum á annars vegar gögnum um fjarskiptaumferð og síðan þeim gögnum (loggar) sem verða til um þær aðgerðir sem gerðar eru á vefsíðunni sjálfri. Þegar vefskilaboð eru send af heimasvæði notenda á vefsíðu félagsins verða til fjarskiptaumferðargögn í fjarskiptakerfum sem eiga uppruna sinn að rekja til vefsins á nákvæmlega sama hátt og þegar smáskilaboð eru send á milli farsíma. Í skjala- og gagnaáætlun Vodafone var sérstaklega tilgreint að eyða ætti persónugreinanlegum fjarskiptaumferðargögnum áskrifenda eftir sex mánuði einnig á „Mínum síðum“. Hefur slíkum verkferlum verið fylgt hjá félaginu og voru engin gögn um fjarskiptaumferð, eldri en sex mánaða, til staðar á „Mínum síðum“ er vefsíða félagsins varð fyrir netárásinni. Þau gögn (loggar) sem stolið var voru ekki fjarskiptaumferðargögn heldur upplýsingar um aðgerðir viðskiptavina á vefnum.“
4.
Í bréfi Réttar til Persónuverndar, dags. 21. mars 2014, segir að það fyrirkomulag að sms-skilaboð send af vefsíðu Vodafone vistuðust þar sjálfkrafa, þ.e. ef sendandinn afþakkaði ekki vistunina sérstaklega, hafi verið gallað, en þetta hafi Fjarskipti hf. þegar viðurkennt, sbr. tilkynningu fyrirtækisins til viðskiptavina hinn 1. desember 2013. Þá segir að engar eða ónógar leiðbeiningar hafi verið veittar um afleiðingar þess að senda skilaboð af vefsíðunni og hafi ekki verið upplýst um það að skilaboð væru þar vistuð, enda sé Fjarskiptum hf. lögum samkvæmt ekki heimilt að geyma annað en upplýsingar um fjarskiptaumferð viðskiptavina, sbr. 42. gr. laga nr. 81/2003, þ.e. hvenær skilaboð eru send og til hvers. Í ljósi skorts á leiðbeiningum sé ekki unnt að líta svo á að vistunin hafi verið samþykkt.
Einnig segir í bréfi Réttar að engri af kröfum 1. mgr. 7. gr. laga nr. 77/2000, þ.e. um meðal annars sanngirni og meðalhóf við vinnslu persónuupplýsinga, hafi verið fullnægt um vinnslu umræddra upplýsinga. Þá segir meðal annars að ekki sé ástæða til að svara þeim sjónarmiðum varðandi 42. gr. fjarskiptalaga sem lýst er í bréfi Advel lögmanna slf., dags. 7. mars 2014, enda eigi slík sjónarmið ekki við í máli þessu, sbr. þá afmörkun á valdmörkum Persónuverndar og Póst- og fjarskiptastofnunar sem lýst er fremst í úrskurði þessum.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í greinargerð með því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Varðveisla Fjarskipta hf. á þeim gögnum, sem mál þetta lýtur að, felur því í sér vinnslu persónuupplýsinga um kvartanda sem fellur undir valdsvið Persónuverndar. Einnig liggur fyrir að gögnin hafa að geyma upplýsingar um aðra einstaklinga. Umfjöllun Persónuverndar afmarkast hins vegar við varðveislu upplýsinga um kvartanda sjálfan. Þá verður hér ekki fjallað um öryggi upplýsinganna heldur fellur það í hlut Póst- og fjarskiptastofnunar, sbr. þá afmörkun á valdmörkum hennar og Persónuverndar sem rakin er í upphafi úrskurðar þessa.
2.
Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Þegar um ræðir viðkvæmar persónuupplýsingar þarf að auki að vera fullnægt einhverju viðbótarskilyrðanna í 9. gr. sömu laga. Almennt verður að gera ráð fyrir að í slíkum skilaboðum geti komið fyrir viðkvæmar persónuupplýsingar, sbr. 8. tölul. 2. gr. laga nr. 77/2000, og getur fjarskiptafyrirtæki ekki kannað það í einstökum tilvikum enda slíkum fyrirtækjum ekki ætlað að greina innihald fjarskiptaskilaboða.
Af framangreindu leiðir að við vinnslu umræddra upplýsinga um kvartanda þurfti að vera fullnægt einhverju skilyrðanna í bæði 8. og. 9. gr. laga nr. 77/2000. Í 1. tölul. 1. mgr. 8. gr. er mælt fyrir um heimild til að vinna með persónuupplýsingar á grundvelli samþykkis hins skráða. Þá er sérstaklega mælt fyrir um heimild til vinnslu viðkvæmra persónuupplýsinga á þeim grundvelli í 1. tölul. 1. mgr. 9. gr. Þarf þá að vera um að ræða yfirlýsingu hins skráða sem fullnægir kröfum 7. tölul. 2. gr. laga nr. 77/2000 til samþykkis, en þar segir að með samþykki sé átt við sérstaka, ótvíræða yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv.
Samkvæmt 3. mgr. 42. gr. fjarskiptalaga nr. 81/2003 skulu fjarskiptafyrirtæki, í þágu rannsókna sakamála og almannaöryggis, varðveita svonefnda lágmarksskráningu gagna um fjarskiptaumferð notenda í sex mánuði. Tekið er fram í ákvæðinu að eyða skuli gögnunum að þessum tíma liðnum, enda sé þeirra ekki þörf lengur til reikningsgerðar fyrir áskrifendur og uppgjörs fyrir samtengingu, sbr. og 2. mgr. 42. gr. Ekki er tekið fram í 3. mgr. 42. gr. að víkja megi frá fyrirmælum um eyðingu upplýsinganna ef fjarskiptanotandi samþykkir áframhaldandi varðveislu. Til þess ber hins vegar að líta að löggjöf um vernd persónuupplýsinga byggist meðal annars á grundvallarreglunni um sjálfsákvörðunarrétt einstaklingsins. Ætla verður í ljósi þeirrar reglu að sú vinnsla persónuupplýsinga, sem felst í varðveislu fjarskiptaskilaboða, geti verið heimil samkvæmt lögum nr. 77/2000 þegar fjarskiptanotandi hefur farið fram á hana með yfirlýsingu sem fullnægir framangreindum kröfum 7. tölul. 2. gr. þeirra laga, sbr. og til hliðsjónar 4. mgr. 47. gr. fjarskiptalaga þar sem gert er ráð fyrir heimild til geymslu fjarskiptaupplýsinga að fengnu samþykki notanda. Verður ekki séð að í því sambandi skipti máli hvort um ræði upplýsingar um fjarskiptaumferð í skilningi fyrrgreinds ákvæðis 2. mgr. 42. gr. fjarskiptalaga. Gerist þess því ekki þörf í úrskurði þessum að taka afstöðu til þess álitaefnis.
Við mat á því hvort samþykki var veitt ber að líta til þess hvort viðkomandi einstaklingur hafði raunverulega atbeina að þeirri yfirlýsingu sem um ræðir. Þegar um ræðir persónuupplýsingar um mjög almenna þætti geta kröfur í þeim efnum verið vægar og jafnvel talist nægilegt að samþykki sé veitt í verki, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000 þar sem fram kemur að samþykki samkvæmt því ákvæði þarf ekki ávallt að samrýmast kröfum 7. tölul. 2. gr. laganna. Eins og fyrr greinir verða fjarskiptafyrirtæki hins vegar almennt að gera ráð fyrir að í fjarskiptaskilaboðum geti verið viðkvæmar persónuupplýsingar, en af því leiðir meðal annars að um þarf að vera að ræða yfirlýsingu sem fjarskiptanotandi sjálfur gefur, sbr. orðalag fyrrnefnds ákvæðis. Það að ekki sé afhakað við reit, þar sem fram kemur að unnið verði með persónuupplýsingar, verður ekki talið fela í sér að slík yfirlýsing hafi verið gefin.
Í ljósi framangreinds var kröfum til samþykkis samkvæmt 7. tölul. 2. gr. laga nr. 77/2000 ekki fullnægt gagnvart kvartanda, en auk þess verður ekki séð að aðrar vinnsluheimildir en samþykki geti hér átt við. Með vísan til þess er niðurstaða Persónuverndar sú að heimild hafi brostið til varðveislu umræddra fjarskiptaskilaboða.
Ú r s k u r ð a r o r ð:
Varðveisla Fjarskipta hf. á sms-skilaboðum, sem [A] sendi af vefsíðu fyrirtækisins, samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.