Söfnun persónuupplýsinga vegna kaupa á aðgöngumiða á viðburð í Hörpu – sektarákvörðun

8.3.2022

 

Úrskurður

Á fundi stjórnar Persónuverndar hinn 8. mars 2022 var kveðinn upp svohljóðandi úrskurður í máli nr. 2020010611 (áður 2019040834):

I.
Málsmeðferð
1.
Tildrög máls

Hinn 9. apríl 2019 barst Persónuvernd kvörtun [A](hér eftir kvartandi). Laut kvörtunin að kröfu um skráningu kennitölu eða upplýsinga um fæðingardag við kaup á aðgöngumiða á skemmtun á vegum Hörpu tónlistar- og ráðstefnuhúss ohf. (hér eftir Harpa) í gegnum rafrænt miðasölukerfi Tix Miðasölu ehf. Urðu þessi atvik áður en Covid-19 barst til Íslands og þar með áður en settar voru reglur sem áskildu skráningu persónuupplýsinga í tengslum við viðburðasókn, sbr. fyrst 7. mgr. 5. gr. reglugerðar nr. 957/2020 um takmörkun á samkomum vegna farsóttar, sem öðlaðist gildi 5. október 2020.

 

Með bréfi, dags. 23. apríl 2019, var Hörpu og Tix Miðasölu ehf. tilkynnt um framkomna kvörtun og boðið að tjá sig um hana. Svarað var af hálfu Tix Miðasölu ehf. með tölvupósti þann 9. maí s.á. og af hálfu Hörpu með bréfi, dags. 23. s.m. Með bréfi, dags. 1. október s.á., ítrekuðu 17. desember s.á., óskaði Persónuvernd eftir frekari upplýsingum frá fyrirtækjunum. Svarað var af hálfu Hörpu með bréfi, dags. 27. janúar 2020. Með bréfi, dags. 16. apríl s.á., upplýsti Persónuvernd Tix Miðasölu ehf. um framkomin svör Hörpu og frumafstöðu stofnunarinnar til ábyrgðar á þeirri vinnslu persónuupplýsinga sem kvartað var yfir. Var Tix Miðasölu ehf. boðið að koma á framfæri athugasemdum eða skýringum af því tilefni en engin svör bárust frá fyrirtækinu. Með bréfi, dags. 22. júlí s.á, ítrekuðu með bréfi, dags. 3. september s.á., símtali og tölvupósti þann 28. október s.á., svo og bréfi, dags. 13. janúar 2021, óskaði Persónuvernd eftir frekari upplýsingum frá Hörpu. Svarað var af hálfu fyrirtækisins með bréfi, dags. 2. febrúar s.á. Með bréfi, dags. 12. apríl s.á., tilkynnti Persónuvernd Hörpu um að stofnunin teldi tilefni kunna að vera til beitingar 46. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, þar sem stofnuninni er veitt heimild til álagningar stjórnvaldssekta í samræmi við 83. gr. reglugerðar (ESB) 2016/679. Svarað var af hálfu Hörpu með bréfi, dags. 4. maí s.á. Með bréfi, dags. 15. desember s.á., óskaði Persónuvernd eftir frekari skýringum frá Hörpu varðandi athugun stofnunarinnar á vefsíðu fyrirtækisins, sbr. umfjöllun í kafla I.4. Svarað var af hálfu Hörpu með bréfi, dags. 1. febrúar 2022.

Við úrlausn málsins hefur verið tekið tillit til allra gagna og fylgiskjala þeirra þótt ekki sé gerð grein fyrir þeim öllum í úrskurði þessum.

Meðferð málsins hefur dregist vegna tafa á svörum frá Hörpu og vegna anna hjá Persónuvernd.

2.
Sjónarmið kvartanda

Fram kemur í kvörtun að kvartandi hafi ekki getað keypt aðgöngumiða á viðburð á vegum Hörpu í gegnum miðasölukerfi Tix Miðasölu ehf. án þess að skrá þar kennitölu sína. Síðar hafi Tix Miðasala ehf. þó upplýst hann um að nóg væri að skrá fyrstu sex tölustafi kennitölu, þ.e. fæðingardag, við kaup á aðgöngumiðum. Afrit þeirra tölvupóstsamskipta fylgdu kvörtuninni.

 

Kvartandi telur ekki þörf á kennitölu eða upplýsingum um fæðingardag í því skyni að tryggja örugga persónugreiningu við afhendingu aðgöngumiða.

3.
Sjónarmið Hörpu

Af hálfu Hörpu er byggt á því að söfnun kennitölu þeirra sem kaupi miða á viðburði á vegum fyrirtækisins í gegnum miðasölukerfi Tix Miðasölu ehf. sé nauðsynleg til þess að unnt sé að tryggja örugga persónugreiningu þegar miðar séu síðar sóttir í miðasölubás fyrirtækisins. Við afhendingu á miðum í miðasölu Hörpu séu einstaklingar beðnir um nafn og kennitölu, auk þess að framvísa skilríkjum, í þeim tilgangi að auðkenna viðkomandi sem miðakaupendur. 

 

Vinnslan sé nauðsynleg til að efna samning við skráða einstaklinga og grundvallist á 1. og 2. tölul. 1. mgr. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Er vísað til þess í því sambandi að skráning sé valkvæð. Ekki sé um staðgreiðsluviðskipti að ræða þar sem afhending aðgöngumiða fari ekki fram samhliða miðakaupum en kaupin geti átt sér stað mörgum mánuðum fyrir afhendingu og breytingar á miðum, að beiðni viðskiptavina, kalli á notkun kennitölu miðakaupanda.

Harpa telur vinnsluna jafnframt fullnægja skilyrðum 13. gr. laga nr. 90/2018. Með notkun kennitölu geti Harpa tryggt að miðakaupendur missi ekki rétt sinn til að njóta viðburðar þrátt fyrir að aðgöngumiðar glatist. Í ljósi þess hversu langur tími getur liðið frá kaupum að afhendingu sé algengt að aðrar upplýsingar um miðakaupendur, svo sem netföng eða símanúmer, breytist. Kennitala sé aftur á móti föst og einkvæm auðkenningarleið.

Þá kemur fram í svörum Hörpu að kaupendur aðgöngumiða geti valið um þrjá afhendingarmáta aðgöngumiða. Þannig geti kaupendur fengið miða senda í tölvupósti, í bréfpósti á tilgreindan dvalarstað kaupanda eða sótt þá í miðasölubás Hörpu.

Af hálfu Hörpu er á því byggt að fyrirtækið teljist ábyrgðaraðili að þeirri vinnslu sem kvörtunin lýtur að en að Tix Miðasala ehf. teljist vinnsluaðili. Er í því sambandi meðal annars vísað til þess að gerður hafi verið vinnslusamningur milli fyrirtækjanna, sem kveði meðal annars á um vinnslu upplýsinga um kennitölur.

Harpa andmælir því að tilefni sé til að leggja stjórnvaldssekt á fyrirtækið vegna þeirrar vinnslu persónuupplýsinga sem til umfjöllunar er í þessu máli.

Vísar Harpa meðal annars til þess í því sambandi að dráttur fyrirtækisins á svörum til Persónuverndar hafi ekki helgast af tómlæti eða skorti á samstarfsvilja heldur hafi nýr starfsmaður tekið við ábyrgð á persónuverndarmálum innan fyrirtækisins auk þess sem áskoranir vegna Covid-19 hafi tafið svörun.

Þá hafi nýjar reglur vegna sóttvarna girt fyrir að fyrirtækið gæti gert skráningu kennitölu tæknilega valkvæða við miðakaup, á meðan málið var til meðferðar, og að upplýsingagjöf til hinna skráðu þar að lútandi yrði uppfærð. Fyrirtækið vonist til að breyting geti orðið þar á með afléttingu sóttvarnatakmarkana.

Loks byggir Harpa á því að löng hefð sé fyrir því hjá viðburðahöldurum á Íslandi að skrá kennitölu við miðakaup enda sé það talin öruggasta leiðin til að auðkenna miðakaupendur.

4.
Sjónarmið Tix Miðasölu ehf.

Af hálfu Tix Miðasölu ehf. hefur komið fram að kaupendur geti takmarkað upplýsingagjöf í miðasöluferlinu við fæðingardag. Fyrirtækið álíti þær upplýsingar nauðsynlegar til að tryggja örugga persónugreiningu þegar aðgöngumiði sé sóttur, við endurgreiðslu vegna aflýsingar sýningar eða vegna breytinga sem verða á viðburði, svo sem vegna nýrrar dagsetningar eða staðsetningar.

5.
Athugun Persónuverndar

Þann 15. febrúar 2021 framkvæmdi Persónuvernd skoðun á vefsíðu Hörpu og Tix Miðasölu ehf. vegna þeirrar vinnslu sem hér er til umfjöllunar. Sú skoðun leiddi í ljós að hægt var að kaupa miða á vegum Hörpu á vef fyrirtækisins, sem beindi kaupanda í miðasölukerfi Tix Miðasölu ehf. Einnig var hægt að kaupa miða á sömu viðburði beint í gegnum vefsíðu Tix Miðasölu ehf. Hægt var að kaupa miða með innskráningu á sérstakt vefsvæði kaupanda en einnig var unnt að kaupa miða án innskráningar.

 

Við kaup á miðum var stjörnumerktur dálkur þar sem gert var ráð fyrir skráningu kennitölu kaupanda. Upplýsingar um að skráning kennitölu væri valkvæð komu hvorki fram í sjálfu miðasölukerfinu né í persónuverndarstefnum Hörpu og Tix Miðasölu ehf. sem aðgengilegar voru á vefsíðum þeirra. Í persónuverndarstefnu Hörpu kom þvert á móti fram að fyrirtækið safnaði meðal annars upplýsingum um kennitölur einstaklinga við miðakaup þeirra til að tryggja afhendingu miða til réttra eigenda. Upplýsinga um kennitölu var aflað áður en afhendingarmáti miða var valinn.

Í bréfi Hörpu, dags. 1. febrúar 2022, var staðfest að fyrirkomulag miðasölukerfisins hafi verið með sama hætti vorið 2019, þ.e. á þeim tíma sem sú vinnsla sem mál þetta lýtur að fór fram.

II.
Forsendur og niðurstaða
1.
Afmörkun máls - Gildissvið - Ábyrgðaraðili

Mál þetta lýtur að söfnun upplýsinga um einstakling í tengslum við kaup hans á aðgöngumiða á viðburð í Hörpu í gegnum rafrænt miðasölukerfi Tix Miðasölu ehf. Fyrir liggur að þar var óskað eftir upplýsingum um kennitölu kvartanda með stjörnumerktum reit. Telur Persónuvernd verða að leggja til grundvallar að með því hafi kennitölu hans verið safnað, óháð því sem fram hefur komið um að skráning upplýsinga um fæðingardag hans hafi verið tæknileg lágmarkskrafa, enda var engar upplýsingar þar að lútandi að finna á vefsíðum Hörpu eða Tix Miðasölu ehf. Er því ekki fært að líta svo á að um valkvæða skráningu kennitölu hafi verið að ræða. Hins vegar er ljóst að með söfnun kennitölu kvartanda var jafnframt safnað upplýsingum um fæðingardag hans. Að framangreindu virtu varðar mál þetta vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar, sem og 4. tölul. 3. gr. laganna og 2. tölul. reglugerðarinnar. Af því leiðir að umrædd vinnsla persónuupplýsinga fellur undir valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna. 

 

Hins vegar bendir Persónuvernd á að atvik þessa máls urðu áður en heimsfaraldur Covid-19 barst til Íslands. Í úrskurði þessum kemur því ekki til skoðunar söfnun persónuupplýsinga sem fram fór á grundvelli sóttvarnalaga nr. 19/1997 eða annarra réttarheimilda sem settar hafa verið með stoð í þeim.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Harpa vera ábyrgðaraðili að umræddri vinnslu. 

Samkvæmt 7. tölul. 3. gr. laga nr. 90/2018 telst sá einstaklingur eða lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila vera vinnsluaðili, sbr. 8. tölul. 4. gr. reglugerðarinnar. Að virtum gögnum málsins þykir verða að leggja til grundvallar að Tix Miðasala ehf. teljist vinna þær persónuupplýsingar kvartanda sem hér eru til umfjöllunar á vegum Hörpu. Telst Tix Miðasala ehf. því vinnsluaðili í framangreindum skilningi.

2.
Lögmæti vinnslu

Samkvæmt 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679, er vinnsla persónuupplýsinga aðeins heimil sé einhver þeirra þátta, sem lýst er í ákvæðinu, fyrir hendi. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, sbr. 2. tölul. 9. gr. laganna og b-lið 6. gr. reglugerðarinnar. Ekki verður séð að aðrar vinnsluheimildir geti komið til álita. Er í því sambandi sérstaklega bent á að skráningin var áskilin, svo sem áður greinir. Gat vinnslan því ekki grundvallast á samþykki, sbr. 1. tölul. 9. gr. laganna og a-lið 6. gr. reglugerðarinnar, enda fullnægði fyrirkomulag skráningarinnar ekki skilyrðum 8. tölul. 3. gr. laganna að þessu leyti.

 

Jafnframt verður við vinnslu persónuupplýsinga að gæta að meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins) og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul. lagaákvæðisins). Samkvæmt 2. mgr. 8. gr. laganna ber ábyrgðaraðili ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. og skal geta sýnt fram á það.

Notkun kennitölu er auk framangreinds háð því að hún eigi sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu og getur Persónuvernd bannað notkun kennitölu, sbr. 13. gr. laga nr. 90/2018.

Reynt hefur á lögmæti söfnunar kennitalna við staðgreiðsluviðskipti í úrskurðarframkvæmd Persónuverndar. Í úrskurði stofnunarinnar frá 22. júní 2011 í máli nr. 2011/198 reyndi á skýringu ákvæðis 2. tölul. 1. mgr. 8. gr. þágildandi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sem var hliðstætt fyrrgreindu ákvæði 2. tölul. 9. gr. laga nr. 90/2018. Í úrskurðinum sagði meðal annars að undir ákvæðið félli vinnsla persónuupplýsinga um hinn skráða sem hafi verið nauðsynlegar til að efna samning við hann, svo sem til að vita hverjum ætti að afhenda pantaða vöru. Það lægi í hlutarins eðli að væri um staðgreiðsluviðskipti að ræða ætti þetta skilyrði ekki við nema alveg sérstaklega stæði á og fyrir lægi að af einhverjum ástæðum yrðu slík viðskipti ekki efnd nema kennitala yrði skráð. Persónuvernd telur að sömu sjónarmið eigi við um skýringu fyrrgreinds ákvæðis 2. tölul. 9. gr. laga nr. 90/2018 þegar aðgöngumiðar eru afhentir með rafrænum hætti enda eru greiðslur samningsaðila þá inntar af hendi samtímis.

Þá er til þess að líta að í öðrum tilvikum, þ.e. þegar aðgöngumiðar eru keyptir á Netinu og afhentir kaupanda í miðasölubás eða þeir póstsendir, hefur hinn skráði innt greiðslu sína af hendi, þrátt fyrir að viðkomandi fái aðgöngumiðana ekki afhenta henni samhliða. Að þessu leyti horfa viðskiptin eins við gagnvart Hörpu og ef um staðgreiðsluviðskipti væri að ræða, í ljósi þess að fyrirtækið móttekur greiðslu sína um leið og kaupin eru gerð þótt aðgöngumiðar séu þá afhentir síðar. Eiga því í meginatriðum sömu sjónarmið við um þessa afhendingarmáta og fram komu í fyrrgreindum úrskurði. 

Fram hefur komið af hálfu Hörpu að krafist sé nafns og kennitölu, auk framvísunar skilríkja, þegar miðar sem keyptir hafa verið með rafrænum hætti séu sóttir í miðasölubás fyrirtækisins. Hins vegar liggur fyrir að fyrirtækið býður einnig upp á aðra afhendingarmáta vegna slíkra kaupa, nánar tiltekið rafræna afhendingu með tölvupósti og póstsendingu aðgöngumiða á heimilisfang sem kaupandi hefur gefið upp við miðakaupin, en ljóst þykir að kennitala er í þeim tilvikum ekki notuð til að tryggja persónugreiningu við afhendingu. Með hliðsjón af því sem greinir í kafla I.5, um að upplýsinga um kennitölu miðakaupenda sé aflað áður en afhendingarmáti er valinn, verður hins vegar lagt til grundvallar að upplýsingunum sé safnað án tillits til þess afhendingarmáta sem kaupandi velur.

Einnig hefur komið fram af hálfu Hörpu og vinnsluaðila fyrirtækisins að ekki hafi verið gerð skýlaus krafa um skráningu kennitölu við miðakaup enda hafi verið tæknilega fullnægjandi að skrá upplýsingar um fæðingardag.

Að mati Persónuverndar er í ljósi framangreinds einsýnt að tryggja hafi mátt örugga persónugreiningu við afhendingu seldra aðgöngumiða með öðrum hætti en notkun kennitölu eða upplýsinga um fæðingardag kvartanda, svo sem með framvísun greiðslustaðfestingar eða með notkun upplýsinga um heimilisfang, netfang eða símanúmer, allt eftir því sem við átti, óháð því hvaða afhendingarleið kvartandi valdi. Þykir samkvæmt þessu ekki unnt að líta svo á að söfnun kennitölu eða upplýsinga um fæðingardag kvartanda hafi verið Hörpu nauðsynleg, í skilningi framangreindra ákvæða, í þeim tilgangi að afhenda kvartanda aðgöngumiða sem hann hafði keypt enda var hægt að efna samninginn með notkun annarra auðkennandi upplýsinga. Þá verður ekki séð að svo sérstaklega hafi staðið á varðandi kaupin að öðru leyti að það hafi réttlætt söfnun kennitölu kvartanda.

Er það því niðurstaða Persónuverndar að söfnun upplýsinga um kennitölu og fæðingardag kvartanda hafi hvorki samrýmst 2. tölul. 9. gr. laga nr. 90/2018 og b-lið 6. gr. reglugerðar (ESB) 2016/679 né meginreglu 3. tölul. 1. mgr. 8. gr. laganna og c-liðar 1. mgr. 5. gr. reglugerðarinnar þar sem upplýsingar um kennitölu voru umfram það sem nauðsynlegt var til þess að tryggja örugga persónugreiningu í tengslum við afhendingu aðgöngumiða til kvartanda. Jafnframt er það niðurstaða Persónuverndar að söfnun kennitölu kvartanda hafi ekki samrýmst 13. gr. laganna í ljósi þess að vinnslan var ekki nauðsynleg. 

Þá telur Persónuvernd að þar sem kvartandi hafi ekki verið upplýstur um að valfrjálst hafi verið að skrá upplýsingar um kennitölu, heldur hafi verið látið líta út fyrir að slík skráning væri áskilin, hafi Harpa ekki gætt að meginreglu 1. tölul. 1. mgr. 8. gr. laganna og a-liðar 1. mgr. 5. gr. reglugerðarinnar um að vinnslan færi fram með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart honum.

3.
Niðurstaða og fyrirmæli

Með vísan til þess sem rakið er í kafla II.2. er það niðurstaða Persónuverndar að með söfnun upplýsinga um kennitölu og fæðingardag kvartanda í þágu þess að afhenda honum aðgöngumiða, sem hann keypti í rafrænu miðasölukerfi, hafi Harpa brotið gegn ákvæðum 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679 um vinnsluheimildir, meginreglu 3. tölul. 1. mgr. 8. gr. laganna og c-liðar 1. mgr. 5. gr. reglugerðarinnar um lágmörkun gagna, og meginreglu 1. tölul. 1. mgr. 8. gr. laganna og a-liðar 1. mgr. 5. gr. reglugerðarinnar um lögmæti, sanngirni og gagnsæi. Að auki hafi söfnun upplýsinga um kennitölu kvartanda brotið gegn ákvæði 13. gr. laganna.

 

Í samræmi við framangreinda niðurstöðu, og með vísan til 13. gr. og 4. og 6. tölul. 42. gr. laga nr. 90/2018, er lagt fyrir Hörpu að láta af söfnun upplýsinga um kennitölur og fæðingardaga einstaklinga í þágu afhendingar aðgöngumiða á viðburði á vegum fyrirtækisins, á meðan önnur lög eða reglur áskilja ekki slíka upplýsingasöfnun. Jafnframt skal fyrirtækið eyða öllum fyrirliggjandi upplýsingum um kennitölur og fæðingardaga einstaklinga sem safnað hefur verið í þeim tilgangi að auðkenna þá við afhendingu seldra aðgöngumiða, að því marki sem önnur lög eða reglur mæla ekki fyrir um að slíkar upplýsingar séu varðveittar. Eigi síðar en þann 8. apríl 2022 skal Harpa senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum.

III.
Beiting viðurlaga
1.
Sjónarmið um beitingu viðurlaga

Kemur næst til skoðunar hvort beita skuli Hörpu stjórnvaldssektum vegna framangreindra brota, sbr. 46. gr. laga nr. 90/2018, sbr. einnig 83. gr. reglugerðar (ESB) 2016/679. Við ákvörðun þar að lútandi og um fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag. Eftirfarandi atriði koma til skoðunar í þessu máli.

 

 

a. Hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er

Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brotið var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir. 

 

Við beitingu þessara ákvæða hefur Persónuvernd í framkvæmd sinni litið til fjölda þeirra einstaklinga sem eins er ástatt um, þ.e. sem hafa orðið fyrir samskonar brotum, en ekki aðeins þeirra brota sem varða beinlínis þann einstakling sem leggur fram kvörtun. Vísast í þessu sambandi til kafla II.3.a í úrskurði stofnunarinnar frá 15. júní 2021 í máli nr. 2020010545.

Í fyrirliggjandi máli var safnað upplýsingum um kennitölu kvartanda. Um er að ræða vinnslu almennra persónuupplýsinga sem þó er háð sérstökum skilyrðum, sbr. 13. gr. laga nr. 90/2018. Mál þetta varðar samkvæmt þessu aðeins persónuupplýsingar um kvartanda. Þrátt fyrir það er ljóst af svörum Hörpu að upplýsingum um kennitölur fjölmargra einstaklinga hefur um alllangt skeið verið safnað í tengslum við kaup þeirra á aðgangsmiðum á viðburði á vegum fyrirtækisins í þágu afhendingar þeirra, þ.e. að minnsta kosti frá kvörtunardegi þann 9. apríl 2019 fram til gildistöku reglugerðar nr. 957/2020 þann 5. október 2020, sem áskildi söfnun persónuupplýsinga í tengslum við viðburðarsókn. Ber að líta til þess við ákvörðun um álagningu og fjárhæð stjórnvaldssektar.

Hins vegar er að mati Persónuverndar ljóst að Hörpu var ekki unnt að breyta þessari framkvæmd eftir að settar voru reglur vegna sóttvarna, sem áskildu skráningu persónuupplýsinga í tengslum við viðburðasókn. Söfnun kennitalna á grundvelli þeirra reglna hefur því ekki áhrif við mat á því hversu langvarandi brotið var. 

Þá liggur ekkert fyrir um að kvartandi eða aðrir einstaklingar hafi orðið fyrir tjóni vegna vinnslunnar.

 

b. Hvort brotið var framið af ásetningi eða af gáleysi

Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi. 

 

Að mati Persónuverndar verður ekki annað séð en að Harpa hafi safnað umræddum upplýsingum í góðri trú um að vinnslan væri lögmæt. Auk þess hefur fyrirtækið byggt á því að vinnslan hafi samrýmst viðtekinni framkvæmd fyrirtækja hér á landi sem stunda sambærilegan rekstur. Verður samkvæmt þessu lagt til grundvallar að brot hafi verið framið af gáleysi.

 

c. Ábyrgð ábyrgðaraðila eða vinnsluaðila með hliðsjón af tæknilegum og skipulagslegum ráðstöfunum

Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana sem þeir hafa komið til framkvæmda.
Í því tilviki sem hér um ræðir og með hliðsjón af fyrirliggjandi gögnum, þ. á m. vinnslusamningi Hörpu við Tix Miðasölu ehf., verður ekki annað séð en að Harpa beri óskerta ábyrgð á þeirri vinnslu sem hér um ræðir.

 

 

d. Fyrri brot ábyrgðaraðila sem máli skipta, ef einhver eru

Samkvæmt 5. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. e-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fyrri brota ábyrgðaraðila eða vinnsluaðila sem máli skipta, ef einhver eru. 

 

Engar upplýsingar liggja fyrir um slík brot sem komið gætu til skoðunar í máli þessu. 

 

e. Umfang samvinnu við Persónuvernd

Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess.

 

Fyrir liggur að Persónuvernd gekk erfiðlega að afla upplýsinga um málið hjá Hörpu. Í því sambandi er sérstaklega bent á að svör Hörpu vegna málsins bárust Persónuvernd í sumum tilvikum eftir að svarfrestur var liðinn og í kjölfar ítrekana, sbr. nánar umfjöllun í kafla I.1. Hefur Harpa borið því við að dráttur á svörum hafi meðal annars helgast af breytingum á starfsmannahaldi hjá fyrirtækinu og heimsfaraldri Covid-19. Að mati Persónuverndar skýrir þetta ekki allar tafir sem orðið hafa á svörum fyrirtækisins. Í því sambandi skal bent á að stofnunin veitti fyrirtækinu viðbótarsvarfresti af þessum ástæðum undir rekstri málsins, sem hafa ekki verið virtir í öllum tilvikum. Verður því lagt til grundvallar að skort hafi á samvinnu við stofnunina að þessu leyti, í skilningi tilvitnaðs ákvæðis.

Hins vegar er til þess að líta að Harpa hefur upplýst Persónuvernd um fyrirhugaðar breytingar á miðasölukerfinu sem miða að því að gera skráningu kennitölu valkvæða, sem og um fræðslu gagnvart viðskiptavinum þar að lútandi, sem ekki hafi verið unnt að ráðast í vegna skyldu fyrirtækisins til skráningar upplýsinga um gesti, samkvæmt löggjöf og reglum varðandi sóttvarnir vegna heimsfaraldurs Covid-19. Þá hefur Harpa óskað leiðbeininga Persónuverndar um rétta framkvæmd hvað varðar umrædda vinnslu. Telur Persónuvernd mega líta svo á að í þessu felist viðleitni Hörpu til að gera nauðsynlegar úrbætur.

Að loknu heildstæðu mati á framangreindum sjónarmiðum þykir rétt að virða skort á samvinnu Hörpu í óhag að nokkru marki.

2.
Niðurstaða um álagningu og fjárhæð sektar

Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679, getur Persónuvernd lagt stjórnarvaldssektir á hvern þann ábyrgðaraðila eða vinnsluaðila skv. 4. mgr. ákvæðisins sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar og laganna sem talin eru upp í 2. og 3. mgr. ákvæðisins. 

 

Í 1. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. a-lið 5. mgr. 83. gr. reglugerðarinnar (ESB) 2016/679, kemur fram að brot gegn grundvallarreglum um vinnslu samkvæmt 5., 6., 7. og 9. gr. reglugerðarinnar geti varðað stjórnvaldssektum. Hins vegar varðar brot gegn 13. gr. laganna ekki stjórnvaldssektum.

Sem fyrr greinir braut Harpa gegn ákvæðum 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679 um vinnsluheimildir, meginreglu 3. tölul. 1. mgr. 8. gr. laganna og c-liðar 1. mgr. 5. gr. reglugerðarinnar um lágmörkun gagna, og meginreglu 1. tölul. 1. mgr. 8. gr. laganna og a-liðar 1. mgr. 5. gr. reglugerðarinnar um lögmæti, sanngirni og gagnsæi. 

Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að leggja beri stjórnvaldssekt á Hörpu.

Um fjárhæð stjórnvaldssektar vegna brota gegn fyrrgreindum ákvæðum fer samkvæmt framansögðu eftir 3. mgr. 46. gr. laga nr. 90/2018, sbr. 5. mgr. 83. gr. reglugerðar (ESB) 2016/679. Stjórnvaldssektir samkvæmt 3. mgr. ákvæðisins geta numið frá 100 þúsund kr. til 2,4 milljarða kr. eða ef um er að ræða fyrirtæki allt að 4% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra, og hefur sekt verið ákveðin samkvæmt því. 

Með tilliti til þeirra sjónarmiða sem rakin eru að framan um ákvörðun viðurlaga þykir stjórnvaldssekt vera hæfilega ákveðin 1.000.000 krónur.

Ú r s k u r ð a r o r ð:

Harpa tónlistar- og ráðstefnuhús ohf. braut gegn 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679 um vinnsluheimildir, meginreglu 3. tölul. 1. mgr. 8. gr. laganna og c-liðar 1. mgr. 5. gr. reglugerðarinnar um lágmörkun gagna og meginreglu 1. tölul. 1. mgr. 8. gr. laganna og a-liðar 1. mgr. 5. gr. reglugerðarinnar um lögmæti, sanngirni og gagnsæi með söfnun upplýsinga um kennitölu og fæðingardag [A]vegna kaupa hans á aðgöngumiða á viðburð á vegum fyrirtækisins. Þá braut Harpa tónlistar- og ráðstefnuhús ohf. gegn ákvæði 13. gr. laganna með söfnun upplýsinga um kennitölu [A].

 

Lagt er fyrir Hörpu tónlistar- og ráðstefnuhús ohf. að láta af söfnun upplýsinga um kennitölur og fæðingardaga í tengslum við kaup einstaklinga á aðgöngumiðum á viðburði á vegum fyrirtækisins, á meðan önnur lög eða reglur áskilja ekki slíka upplýsingasöfnun. Jafnframt skal fyrirtækið eyða öllum fyrirliggjandi upplýsingum um kennitölur og fæðingardaga einstaklinga sem safnað hefur verið í þeim tilgangi að auðkenna þá við afhendingu seldra aðgöngumiða, að því marki sem önnur lög eða reglur mæla ekki fyrir um að slíkar upplýsingar séu varðveittar. Eigi síðar en þann 8. apríl 2022 skal Harpa senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum.

Lögð er 1.000.000 króna stjórnvaldssekt á Hörpu tónlistar- og ráðstefnuhús ohf. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu úrskurðar þessa, sbr. 6. mgr. 46. gr. laga nr. 90/2018.

Persónuvernd, 8. mars 2022

Ólafur Garðarsson

formaður

 

Björn Geirsson                                  Sindri M. Stephensen

 

Vilhelmína Haraldsdóttir                          Þorvarður Kári Ólafsson