Varðveisla upplýsinga hjá Vodafone - mál nr. 2014/375
Úrskurður
Hinn 17. desember 2014 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2014/375:
I.
Málavextir og bréfaskipti
Með bréfi Póst- og fjarskiptastofnunar, dags. 14. febrúar 2014, var Persónuvernd framsend kvörtun [A] frá 4. desember 2013 af tilefni innbrots í tölvukerfi Vodafone, sem rekið er af Fjarskiptum hf., og birtingar á gögnum þaðan á Netinu, þ. á m. upplýsinga um [A] (hér eftir nefndur „kvartandi“). Var Persónuvernd framsend kvörtunin í framhaldi af samskiptum stofnananna tveggja um valdmörk þeirra í tengslum við framangreint öryggisatvik. Varð niðurstaðan úr þeim samskiptum að Póst- og fjarskiptastofnun fjallaði um öryggi umræddra gagna en að Persónuvernd tæki til umfjöllunar lögmæti varðveislu Fjarskipta hf. á þeim persónuupplýsingum sem þau hafa að geyma.
Í kvörtuninni kemur fram að kennitala og netfang kvartanda hafi verið á meðal þeirra upplýsinga sem komist var yfir í fyrrnefndu innbroti og birtar voru í kjölfarið. Þá kemur fram að rúmum tveimur árum áður hafði kvartandi sagt upp viðskiptum við Fjarskipti hf., en með vísan til þess segir í kvörtuninni að fyrirtækið hafi átt að vera búið að eyða umræddum upplýsingum úr sínu kerfi.
Með bréfi, dags. 21. febrúar 2014, veitti Persónuvernd Fjarskiptum hf. færi á að tjá sig um umrædda kvörtun. Með bréfum, dags. sama dag, veitti Persónuvernd fyrirtækinu einnig færi á að tjá sig um fleiri kvartanir af tilefni fyrrgreinds öryggisatviks. [X] svöruðu fyrir hönd fyrirtækisins með bréfum, dags. 7. mars s.á. Í kjölfar þess var úrskurðað í sjö kvörtunarmálanna (nr. 1509, 1510 og 1607/2013 og 373 og 376–378/2014) en ekki í máli kvartanda. Í þeim málum, sem úrskurðað var í, var komist að þeirri niðurstöðu að varðveisla sms-skilaboða, sem send höfðu verið af vefsíðu Vodafone og voru á meðal þeirra upplýsinga sem birtar voru í kjölfar framangreinds innbrots, hefði verið óheimil, enda hefði kröfum til samþykkis fyrir varðveislunni ekki verið fullnægt. Þá reyndi í sumum málanna á hvort varðveita hefði mátt upplýsingar eins og þær sem hér um ræðir. Taldi Persónuvernd það heimilt þar sem um væri að ræða viðskiptamannaupplýsingar sem nauðsynlegar væru til að veita viðskiptavinum umsamda þjónustu. Af hálfu kvartanda hefur hins vegar, eins og fyrr er lýst, komið fram að hann hafi ekki lengur verið viðskiptavinur Fjarskipta hf. þegar umrætt öryggisatvik átti sér stað.
Í ljósi framangreinds taldi Persónuvernd þörf á að óska sérstaklega skýringa frá Fjarskiptum hf. varðandi varðveislu kennitölu og netfangs kvartanda eftir að hann hafði sagt upp viðskiptum við fyrirtækið. Var það gert með bréfi, dags. 30. maí 2014, ítrekuðu með bréfi, dags. 30. júní s.á. Svar barst frá Fjarskiptum hf. með bréfi, dags. 11. ágúst s.á., en þar segir meðal annars:
„Vodafone eyðir ekki gögnum um nafn, kennitölu og netfang um leið og viðskiptamenn slíta viðskiptum við félagið. Nauðsynlegt er fyrir félagið að geta haft grunnviðskiptamannaupplýsingar um fyrrverandi viðskiptamenn í ákveðinn tíma eftir að viðskiptum lýkur. Þær upplýsingar sem um ræðir eru aðgengilegar í þjóðskrá nema upplýsingar um netfang viðskiptavinar. Vodafone telur nauðsynlegt að hafa umræddar upplýsingar á skrá hjá sér ef upp koma fyrirspurnir eða athugasemdir við reikninga eða annað sem snertir viðskiptin í a.m.k. fjögur ár sem er almennur fyrningartími kröfuréttinda, sbr. 3. gr. laga nr. 150/2007 um fyrningu kröfuréttinda. Allir reikningar viðskiptavina eru útbúnir með því að keyra saman upplýsingar um þjónustur skráðar á nafn, kennitölu og heimilisfang og síðan fjarskiptanotkun. Grundvöllurinn fyrir viðskiptasambandi aðila er samningurinn og undirritun sem liggur þar til grundvallar. Undirritun getur eins og að framan greinir verið rafræn eða hefðbundin.
Þá er þessi varðveislutími einnig rökstuddur með vísan til 20. gr. laga nr. 145/1994 um bókhald þar sem kveðið er á um að allar bækur, bókhaldsgögn og fylgiskjöl, svo og bréf, myndrit og skeyti eða samrit þeirra, þ.m.t. gögn sem varðveitt eru í tölvutæku formi, á örfilmu eða annan sambærilegan hátt, skuli varðveita í a.m.k. sjö ár frá lokum viðkomandi reikningsárs. Nauðsynlegt er fyrir félagið að geta haft samband við fyrrverandi viðskiptamenn ef eitthvað kemur upp á eftir að viðskiptum er lokið í tengslum við reikningsgerð eða síðar tilkomnar kröfur sem rekja má til viðkomandi viðskiptamanns.
Með vísan til framangreinds telur Vodafone að varðveislutími umræddra grunnviðskiptamannaupplýsinga hafi samrýmst ákvæðum 5. tölul. 1. mgr. 7. gr. og 26. gr. laga nr. 77/2000.“
Með bréfi, dags. 9. september 2014, ítrekuðu með bréfum, dags. 21. október og 3. nóvember s.á., var kvartanda veitt færi á að tjá sig um framangreind svör Fjarskipta hf. Tekið var fram í síðara ítrekunarbréfinu að ef engin svör bærust yrði kvörtunin tekin til afgreiðslu á grundvelli fyrirliggjandi gagna. Ekki hafa borist svör.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í greinargerð með því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Varðveisla Fjarskipta hf. á þeim gögnum, sem mál þetta lýtur að, felur því í sér vinnslu persónuupplýsinga um kvartanda sem fellur undir valdsvið Persónuverndar. Ekki verður hins vegar fjallað hér um öryggi upplýsinganna heldur fellur það í hlut Póst- og fjarskiptastofnunar, sbr. þá afmörkun á valdmörkum hennar og Persónuverndar sem rakin er í upphafi úrskurðar þessa.
2.
Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Samkvæmt 7. tölul. 1. mgr. þeirrar greinar er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi hins skráða vegi þyngra. Í tengslum við varðveislu Fjarskipta hf. á kennitölu og netfangi kvartanda reynir einkum á hvort kröfum þessa ákvæðis sé fullnægt. Fram hefur komið af hálfu fyrirtækisins að sú varðveisla þjóni þeim tilgangi að geta greitt úr álitaefnum varðandi viðskipti sem á reynir eftir að þeim lýkur, s.s. ef fyrirspurnir eða athugasemdir berast við reikninga. Þá kemur fram af hálfu fyrirtækisins að höfð sé hliðsjón af hinum almenna fjögurra ára fyrningarfresti krafna sem mælt er fyrir um í 3. gr. laga nr. 150/2007 um fyrningu kröfuréttinda, sem og skyldu til að varðveita bókhaldsgögn í sjö ár samkvæmt 20. gr. laga nr. 145/1994 um bókhald.
Persónuvernd telur ekki unnt að útiloka að eftir að viðskiptasambandi lýkur megi gera ráð fyrir því um nokkurt skeið að reynt geti á einstaka þætti sambandsins eða einstaka reikninga og annars konar löggerninga sem því tengjast, t.d. ef krafist er endurgreiðslna á reikningum sem fyrrum viðskiptavinur telur hafa verið of háa. Fyrrgreind ákvæði laga nr. 150/2007 og 145/1994 geta þá eftir atvikum haft gildi. Síðarnefndu lögin eiga við þegar um ræðir „[a]llar bækur sem fyrirskipaðar eru í lögum þessum, ásamt bókhaldsgögnum, svo og bréf, myndrit og skeyti eða samrit þeirra, þar með talin gögn sem varðveitt eru í rafrænu formi, á örfilmu eða annan sambærilegan hátt“, sbr. 1. mgr. 20. gr. laganna. Ekki verður séð að upplýsingar um kennitölu og netfang kvartanda falli undir þessa skilgreiningu eins og hér háttar til. Verður því jafnframt ekki séð að áðurnefnd sjö ára varðveisluskylda samkvæmt lögunum eigi hér við. Hins vegar telur Persónuvernd að varðveisla upplýsinganna um skammt árabil geti haft vægi, sbr. til hliðsjónar þann tímaramma sem mælt er fyrir um í áðurnefndu ákvæði laga nr. 150/2007. Þá er til þess að líta að varðveisla netfangs um tiltekið skeið getur þjónað þeim tilgangi að því sé [ekki] endurúthlutað áður en hæfilegur tími er liðinn frá lokum nota þess hjá fyrrum viðskiptamanni, en slíkt kynni að geta verið áhættuþáttur í tengslum við persónuupplýsingar sem kunna að koma fyrir í tölvupóstsamskiptum.
Þegar litið er til 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og þess að fá ár eru liðin frá lokum viðskipta kvartanda við Fjarskipti hf., sem og áðurnefnds notagildis sem upplýsingar um fyrrum netfang hans geta þjónað, telur Persónuvernd því umrædda varðveislu upplýsinga um hann vera heimila.
Ú r s k u r ð a r o r ð:
Varðveisla Fjarskipta hf. á kennitölu og netfangi [A] samrýmist lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.