Umfjöllun Tryggja ehf. um leigjanda á samskiptamiðli

Mál nr. 2016/1527

29.11.2017

Úrskurður

 Á fundi stjórnar Persónuverndar hinn 16. október 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1527:

 

I.
Bréfaskipti

Hinn 24. október 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur „kvartandi“) yfir [B] sem er á meðal eigenda vátryggingamiðlunarinnar Tryggja ehf. Umkvörtunarefnið er færsla sem [B] ritaði á samfélagsmiðilinn Facebook um mál af tilefni kröfu fyrrum leigusala kvartanda um greiðslur frá honum eftir lok leigusamnings, en fyrirtækið hafði með höndum uppgjör þess máls í tengslum við þjónustu sem það veitir, þ.e. svonefnda leiguvernd. Var færslunni, sem sjá má í skjáskoti sem hjálagt var með kvörtun, ætlað að svara gagnrýni kvartanda á vinnu fyrirtækisins við þetta uppgjör sem hann hafði áður birt á umræddum samfélagsmiðli. Í færslu [B] var meðal annars farið gagnrýnum orðum um framkomu kvartanda og tekið fram að vegna milligöngu Tryggja ehf. hefði kvartandi þurft að greiða mun minna fyrir tjón, sem hann hefði verið ábyrgur fyrir, en sem nam upphaflegri kröfu leigusalans, en upphæð hennar hefði skipt hundruðum þúsunda króna. Mótmælir kvartandi því sem í færslunni var haldið fram um framkomu hans. Þá segir í kvörtun að með áðurnefndri umfjöllun um kröfugerð leigusalans og lækkun sem náðst hafi fram á henni hafi verið brotið gegn 27. gr. laga nr. 32/2005 um miðlun vátrygginga, en að auki hafi verið farið rangt með upphæð kröfunnar sem hafi einungis verið að andvirði rúmra 200.000 króna.

Með bréfi, dags. 13. desember 2016, veitti Persónuvernd Tryggja ehf. færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 27. s.m. Þar segir að kvartandi hafi átt frumkvæðið að þeirri umræðu sem varð tilefni fyrrnefndrar færslu af hálfu fyrirtækisins. Hafi hann farið rangt með málavexti og hafi áðurnefndur eigandi að fyrirtækinu, sem komið hafi að úrlausn þess máls sem athugasemdin laut að, talið að sér vegið og því svarað með beinum hætti. Fyrirtækið geti ekki setið hjá aðgerðalaust þegar ráðist sé að því með þeim hætti sem kvartandi gerði. Þegar farið sé með misfærslur og komið fram af ósanngirni megi viðkomandi ætla að sér verði svarað með þeim upplýsingum sem hann mistúlki og hagræði sér til bóta. Í umræddu tilviki hafi verið um að ræða slíka leiðréttingu. Að auki hafi ekki verið birtar neinar upplýsingar sem með beinum hætti upplýstu um uppgjör fyrrnefndrar kröfu. Hafi vinnsla persónuupplýsinga í þessu sambandi verið nauðsynleg til að gæta lögmætra hagsmuna og því átt sér stoð í 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þá er vísað til 6. tölul. 1. mgr. 9. gr. sömu laga, þess efnis að vinna má með viðkvæmar persónuupplýsingar ef vinnsla tekur einungis til upplýsinga sem hinn skráði hefur sjálfur gert opinberar.

Með bréfi, dags. 22. febrúar 2017, ítrekuðu með bréfi, dags. 10. apríl s.á., veitti Persónuvernd kvartanda færi á að tjá sig um framangreint bréf Tryggja ehf. Þá var þess óskað að hann sendi Persónuvernd afrit af þeirri færslu hans á samfélagsmiðlinum Facebook sem svarað var með áðurnefndri athugasemd [B]. Svar barst frá kvartanda í tölvupósti hinn 11. september 2017. Kemur þar fram að hann hafi færsluna ekki undir höndum þar sem lögmaður Tryggja ehf. hafi haft samband við hann sama dag og hún var birt og krafist þess að hún yrði tekin út. Í viðhengi með svari kvartanda er að finna afrit samskipta við lögmanninn þar sem hann lýsir þeirri afstöðu að vænlegast sé að bæði kvartandi og [B] fjarlægi umræddar færslur, auk þess sem meðal annars er tekið fram að með færslu kvartanda baki hann sér mögulega skaðabótaskyldu gagnvart Tryggja ehf.

Í kjölfar framangreindra samskipta við kvartanda hafði Persónuvernd samband við Tryggja ehf. í tölvupósti hinn 21. september 2017 til að kanna hvort fyrirtækið byggi yfir afriti af umræddri færslu hans. Svo reyndist vera og var það sent Persónuvernd samdægurs. Þar varaði kvartandi við áðurgreindri leiguverndarþjónustu fyrirtækisins þar sem það reyndist eingöngu hugsa um hagsmuni leigusala og að fá sem mestar greiðslur frá þeim. Þá segir að leigjendur beri allan kostnað af þjónustunni eftir að leigu ljúki. Sé stóra myndin sú að fyrirtækið beri hag leigusala fyrir brjósti og að leigjendur borgi fyrir það. Þegar beðið hafi verið um nánari útskýringar á viljandi rangfærslum hafi því verið svarað til að ekki væri tími fyrir umræður um málið. Í niðurlagi færslu kvartanda var þeim sem vildu nánari upplýsingar bent á að hafa samband.

 

II.
Forsendur og niðurstaða

1.
Gildissvið laga nr. 77/2000
Ábyrgðaraðili

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að birting Tryggja ehf. á upplýsingum um kvartanda í svari við færslu hans á samfélagsmiðlinum Facebook fól í sér vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Tryggja ehf. vera ábyrgðaraðili að umræddri vinnslu.

 

2.
Lögmæti vinnslu

Svo að vinnsla persónuupplýsinga sé heimil þarf ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Hefur Tryggja ehf. vísað til 7. tölul. 1. mgr. ákvæðisins, þess efnis að vinna megi með slíkar upplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna sem vega þyngra en grundvallarréttindi og frelsi hins skráða. Að auki hefur Tryggja ehf. vísað til 6. tölul. 1. mgr. 9. gr., en þar kemur fram að vinna má með viðkvæmar persónuupplýsingar þegar vinnsla tekur einungis til upplýsinga sem hinn skráði hefur sjálfur gert opinberar. Í 8. tölul. 2. gr. laga nr. 77/2000 er að finna upptalningu á því hvaða upplýsingar eru viðkvæmar og er ekki um slíkar upplýsingar að ræða í máli þessu. Engu að síður er ljóst að hafa má umrædda heimild samkvæmt 9. gr. laganna til hliðsjónar þegar fyrir liggur að hinn skráði hefur birt upplýsingar um sig sjálfur þó svo að þær teljist ekki viðkvæmar, sbr. úrskurð Persónuverndar, dags. 19. maí 2003, í máli nr. 2003/103. Við mat á því hvort heimild hafi staðið til umræddrar vinnslu persónuupplýsinga er því ljóst að líta yrði til fyrri birtingar upplýsinganna að frumkvæði kvartanda.

Auk þess sem heimild þarf að vera til vinnslu persónuupplýsinga í 8. gr. laga nr. 77/2000 verður vinnslan ávallt að fullnægja öllum grunnkröfum 1. mgr. 7. gr. sömu laga, þ. á m. um sanngirni og vandaða vinnsluhætti, sbr. 1. tölul. þeirrar málsgreinar, sem og um að persónuupplýsingar skuli vera áreiðanlegar, sbr. 4. tölul. sömu málsgreinar. Af hálfu kvartanda er því haldið fram að farið hafi verið rangt með upphæð kröfu á hendur honum. Er ljóst að í því sambandi reynir á kröfuna um áreiðanleika við vinnslu.

Þegar skorið er úr um hvort vinnsla persónuupplýsinga hafi samrýmst lögum nr. 77/2000 getur, eftir atvikum, þurft að horfa til ákvæða í öðrum lögum sem við eiga um vinnsluna og starfsemi ábyrgðaraðila. Eins og hér háttar til reynir þá einkum á 27. gr. laga nr. 32/2005 um miðlun vátrygginga, en samkvæmt 1. mgr. þess ákvæðis eru allir þeir sem taka að sér verk í þágu vátryggingamiðlara bundnir þagnarskyldu um allt það sem þeir fá vitneskju um við framkvæmd starfa síns og varðar viðskipta- eða einkamálefni viðskiptamanna, nema skylt sé að veita upplýsingar samkvæmt lögum.

Fyrir liggur að af hálfu Tryggja ehf. voru í umræddri færslu á samfélagsmiðlinum Facebook birtar upplýsingar þess efnis að kvartandi bæri ábyrgð á tjóni, sem og að það tjón næmi hundruðum þúsunda króna. Af hálfu kvartanda hefur því verið haldið fram að farið hafi verið rangt með upphæð kröfu á hendur honum, enda hefði hún einungis verið að andvirði 200.000 króna. Rangfærsla við tilgreiningu á upphæð kröfu gæti falið í sér brot gegn fyrrnefndri grunnreglu 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um áreiðanleika persónuupplýsinga. Þar sem hins vegar má líta svo á að rúmlega 200.000 króna krafa geti, samkvæmt almennum málskilningi, talist hlaupa á hundruðum þúsunda verður hér ekki talið að brotið hafi verið gegn því ákvæði. Hins vegar telur Persónuvernd, í ljósi fyrrgreinds ákvæði 27. gr. laga nr. 32/2005, að umrædd umfjöllun af hálfu Tryggja ehf. um tjónsábyrgð og fjárhæð kröfu hafi hvorki getað átt sér stoð í áðurnefndri heimild 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, né heldur öðrum heimildum sömu greinar. Þá verður ekki talið að birting upplýsinganna hafi samrýmst áskilnaði 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um sanngirni og vandaða vinnsluhætti.

 

Ú r s k u r ð a r o r ð:

Umfjöllun af hálfu Tryggja ehf. í færslu á samskiptavefnum Facebook um að [A] bæri ábyrgð á tjóni gagnvart leigusala sínum, sem og um upphæð kröfu af því tilefni, samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.