Miðlun netfangs í þágu markaðssetningar
Úrskurður
Á fundi stjórnar Persónuverndar hinn 24. febrúar 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/71:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 12. janúar 2015 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) vegna miðlunar Hópkaupa ehf. (hér eftir Hópkaup) á persónuupplýsingum um hann og eftirfarandi vinnslu þeirra hjá DCG Iceland ehf. (hér eftir DCG). Í kvörtuninni er því haldið fram að Hópkaup hafi miðlað persónuupplýsingum um kvartanda til DCG og að kvartandi hafi ekki orðið var við þá miðlun fyrr en tölvupóstur hafi borist frá DCG um þjónustu sem vísað er til sem „Netkrónur“. Ber kvartandi fyrir sig að um sé að ræða miðlun persónuupplýsinga milli tveggja aðskildra lögaðila og að ekki skipti máli í því sambandi að DCG sé móðurfélag Hópkaupa eða að umsjón Netkróna fari fram í gegnum vef Hópkaupa. Þar að auki telur kvartandi að áskilnaður í skilmálum Hópkaupa, um að félaginu sé heimilt að færa tölvupóstföng á milli vörumerkja eða fyrirtækja í eigu Hópkaupa eða móðurfélags þeirra, DCG ehf., standist ekki lög og Hópkaup bjóði ekki upp á raunhæfa leið fyrir viðskiptavini til þess að afþakka eða frábiðja sér slíka miðlun. Af þeim sökum hafi fullnægjandi lagaheimild ekki verið til staðar sem heimilar miðlun netfangs kvartanda frá Hópkaupum til DCG.
2.
Bréfaskipti
Með bréfi, dags. 26. febrúar 2015, ítrekuðu 22. maí s.á., var Hópkaupum boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Þann 16. júlí hafði [B] hdl. samband símleiðis, f.h. Hópkaupa, og óskaði eftir að svarfrestur félagsins yrði framlengdur vegna sumarleyfa. Varð Persónuvernd við framlengingu til 4. ágúst 2015. Engin svör bárust. Þann 10. ágúst s.á. tilkynnti lögmaður Hópkaupa að svar myndi berast Persónuvernd á allra næstu dögum og 7. september s.á. tilkynnti lögmaðurinn að erfiðlega gengi að fá svör frá ábyrgðaraðila. Með bréfi, dags. 15. september s.á., ítrekaði stofnunin ósk sína um svör en ekki var orðið við henni.
Með bréfi, dags. 5. október s.á., var tilkynnt að starfsmenn Persónuverndar myndu mæta á starfsstöð Hópkaupa þann 7. s.m. kl. 10.00 í því skyni að afla nauðsynlegra upplýsinga vegna málsins, sbr. 2. mgr. 38. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Var þess jafnframt óskað að framkvæmdastjóri félagsins yrði viðstaddur til að svara spurningum stofnunarinnar.
Við vettvangsskoðun Persónuverndar 7. október hittu starfsmenn Persónuverndar fyrir [C] og [D] en framkvæmdastjóri Hópkaupa var ekki viðstaddur eins og óskað hafði verið eftir. Persónuvernd reifaði málið og óskaði eftir upplýsingum um það hvort Netkrónur væru sjálfstætt starfandi félag eða þjónusta sem Hópkaup veitti viðskiptavinum sínum. Þá var spurt hvaða félag væri eigandi Netkróna. Fram kom af hálfu Hópkaupa að Netkrónur væru alfarið í eigu Hópkaupa og væru jafnframt inneignarkerfi félagsins. Viðskiptavinir Hópkaupa fengju endurgreiðslu í formi Netkróna í stað hefðbundinna inneignarnótna. Einnig kom fram að 1. júlí s.á. hefði félagið Móberg ehf. keypt Hópkaup auk þess sem [B] hdl. væri ekki lögmaður Hópkaupa heldur [E] hdl. hjá […]. [B] hefði verið lögmaður DCG, sem var móðurfélag Hópkaupa fyrir kaup Móbergs. Staðfesti starfsmaðurinn að DCG hefði verið móðurfélag Hópkaupa í desember þegar umræddur tölvupóstur hefði verið sendur kvartendum.
Annar starfsmaður Hópkaupa, [D], greindi frá því að hann teldi að engin miðlun hefði átt sér stað. Hópkaup hefðu sent út umræddan póst og hann hefði verið sendur innan sama kerfis og félagið notaði almennt. Villa í kerfinu hefði valdið því að tölvupóstur var sendur kvartendum í stað þess að þeim væri einungis gefin inneign, eins og til stóð. Tók [D] fram að ekki hefði verið um markpóst að ræða til að selja vöru eða þjónustu, heldur einungis upplýsingapóst. Í kjölfarið spurði starfsmaður Persónuverndar hvort tölvubréfið hefði ekki verið sent til að kynna þjónustu Netkróna og játti starfsmaður Hópkaupa því.
Í lok vettvangsheimsóknarinnar tilkynnti Persónuvernd að stofnunin myndi óska staðfestingar frá Hópkaupum á því sem fram fór á fundinum. Í kjölfarið myndi lögmaður Hópkaupa fá tveggja vikna frest til að svara umkvörtunarefni kvartenda formlega.
Með tölvubréfi, dags. 7. október 2015, var Hópkaupum sent afrit af minnisblaði Persónuverndar um vettvangsskoðunina auk þess sem félaginu var veittur lokafrestur til 21. október s.á. til að koma andmælum sínum á framfæri við stofnunina. Var vakin athygli á því að ef svör bærust ekki innan frestsins myndi Persónuvernd úrskurða í málinu á grundvelli fyrirliggjandi gagna. Ekki barst svar frá Hópkaupum og verður því úrskurðað í þessu máli á grundvelli fyrirliggjandi gagna.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til teljast Hópkaup ehf. vera ábyrgaraðili að umræddri vinnslu.
Af framangreindu er ljóst að miðlun upplýsinga um netfang kvartenda frá Hópkaupum ehf. til DCG fellur undir gildissvið laga nr. 77/2000.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga þarf að uppfylla eitthvert af skilyrðum 8. gr. laga nr. 77/2000 svo hún sé heimil. Getur þar einkum átt við 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þar sem segir að vinnsla sé heimil byggi hún á samþykki hins skráða. Í 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna ábyrgðaraðila eða þriðja aðila sem upplýsingunum er miðlað til. Að mati Persónuverndar getur vinnsla persónuupplýsinga í markaðssetningartilgangi talist til lögmætra hagsmuna í þessum skilningi, að öðrum ákvæðum uppfylltum.
Að auki verður, eins og ávallt þegar unnið er með persónuupplýsingar, að fara að öllum grunnkröfum 7. gr. laga nr. 77/2000, þ. á m. um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.). Þá verður, þegar unnið er með persónuupplýsingar í markaðssetningarstarfsemi, að fara að sérákvæði 28. gr. laganna. Ákvæðið gerir ráð fyrir sérstökum og ríkum andmælarétti hins skráða að því er varðar notkun persónuupplýsinga um hann í tengslum við markaðssetningarstarfsemi.
Í 28. gr. laga nr. 77/2000, með áorðnum breytingum, er fjallað um rétt hins skráða til að andmæla notkun nafns síns í þágu markaðssetningar. Rúm túlkun á hugtakinu markaðssetning hefur verið talin forsenda þess að ákvæði 28. gr. nái verndarmarkmiði sínu. Í 5. mgr. ákvæðisins er að finna sérstaka reglu um það hvenær heimilt er að afhenda félaga-, starfsmanna- og viðskiptamannaskrár til þriðja aðila til nota í tengslum við markaðssetningu. Þar segir að slíkt sé heimilt að því gefnu að:
1. ekki séu afhentar viðkvæmar persónuupplýsingar;
2. hinum skráðu sé veittur kostur á að andmæla því fyrir afhendinguna, hverjum fyrir sitt leyti, að upplýsingar um þá birtist á hinni afhentu skrá;
3. slíkt fari ekki gegn reglum eða samþykktum viðkomandi félags; og
4. kannað sé hvort einhver hinna skráðu hafi látið færa nafn sitt á bannskrá, en upplýsingum um viðkomandi skuli þá eytt áður en skráin er látin af hendi.
Kvörtun í þessu máli lýtur að því að ábyrgðaraðili, Hópkaup, hafi miðlað netföngum, og þar með persónuupplýsingum kvartanda, til DCG án fullnægjandi heimildar. Óumdeilt er í málinu að kvartanda barst tölvupóstur sem innihélt kynningu á þjónustu sem kallast Netkrónur. Var sá skilningur staðfestur af starfsmanni ábyrgðaraðila í vettvangsheimsókn Persónuverndar sem fram fór á skrifstofu Hópkaupa þann 7. október 2015.
Í notendaskilmálum Hópkaupa sem fylgdu kvörtun kvartanda kemur fram að við skráningu á vefnum www.hopkaup.is skrái notandi fullt nafn og tölvupóstfang. Þá segir að Hópkaup áskilji sér rétt til að senda viðskiptavini markpóst með tölvupósti eða smáskilaboðum. Hópkaup áskilji sér jafnframt rétt til að færa tölvupóstföng á milli vörumerkja eða fyrirtækja í eigu Hópkaupa eða móðurfélags þeirra, DCG ehf. Viðskiptavinur geti þó frábeðið sér þessa þjónustu.
Af hálfu Hópkaupa kemur fram, að félagið sjálft hefði sent kvartanda þann tölvupóst sem um ræðir í málinu og kynnt þá þjónustu sem kallast Netkrónur, en það hafi verið gert innan sama kerfis og félagið notar almennt. Ábyrgðaraðili hefur hins vegar ekki sýnt fram á að kvartanda hafi verið gefinn kostur á að andmæla miðlun upplýsinga um netfang sitt eins og skilmálar félagsins gera ráð fyrir. Ábyrgðaraðili hefur auk þess ekki kosið að koma skýringum sínum og andmælum formlega á framfæri við stofnunina og hefur hann ítrekað kosið að svara ekki bréfum Persónuverndar. Verður hann að bera hallann af því.
Þegar hinum skráða er gefinn kostur á að andmæla því að upplýsingar um hann verði á afhentri skrá í þágu markaðssetningarstarfsemi til þriðja aðila skal gera það með skýrum hætti. Af hálfu ábyrgðaraðila hefur ekki verið sýnt fram á að viðskiptamönnum, þ. á m. kvartanda, hafi verið veittur kostur á að andmæla sérstaklega umræddri afhendingu á netföngum í skilningi 2. tölul. 5. mgr. 28. gr. laga nr. 77/2000. Þegar af þeirri ástæðu verður ekki talið að afhending Hópkaupa ehf. á netfangi kvartanda til DCG hafi verið í samræmi við 5. mgr. 28. gr. og 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000.
Persónuvernd beinir þeim fyrirmælum til Hópkaupa ehf. að senda Persónuvernd staðfestingu á því hvernig félagið muni tryggja það að viðskiptavinum þess verði veittur kostur á að andmæla, hverjum fyrir sitt leyti, því að upplýsingum um þá verði miðlað til þriðja aðila í þágu markaðssetningar. Ber að senda slíka staðfestingu eigi síðar en 1. apríl 2016.
Ú r s k u r ð a r o r ð:
Afhending Hópkaupa ehf. á netfangi [A] til DCG var ekki í samræmi við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.