Úrskurður um vinnslu persónuupplýsinga af hálfu Lindabergs ehf. (T10 Hótel)

Mál nr. 2020010621

17.11.2020

Úrskurður

Hinn 28. október 2020 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2020010621 (áður 2019040918):

I.

Málsmeðferð

1.

Tildrög máls og málsmeðferð

Hinn 16. apríl 2019 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga hans af hálfu T10 hótels sem rekið var af Lindabergi ehf. Í fyrsta lagi beinist kvörtunin að því að listi yfir dvalargesti hótelsins hafi verið aðgengilegur í anddyri þess. Í öðru lagi er kvartað yfir vinnslu persónuupplýsinga í gegnum vefsíðu hótelsins með notkun vefkaka (hér er hugtakið vefkaka notað sem þýðing á hugtakinu „cookie“, en í íslenskri þýðingu reglugerðar (ESB) 2016/679 er notað hugtakið smygildi, sbr. nánar í kafla II.2.). Í þriðja lagi lýtur kvörtunin að því að kvartanda hafi ekki verið veitt fræðsla um vinnslu persónuupplýsinga af hálfu félagsins.

Með bréfi, dags. 24. júlí 2019, var Lindabergi ehf. tilkynnt um framangreinda kvörtun og því veittur kostur á að tjá sig um hana, en Persónuvernd óskaði sérstaklega eftir tilteknum upplýsingum frá félaginu. Svarað var af hálfu félagsins með tölvupósti þann 8. ágúst s.á. Með bréfi, dags. 4. október s.á., ítrekaði Persónuvernd hluta þeirra spurninga sem stofnunin hafði áður beint að félaginu. Svarað var af hálfu félagsins með tölvupósti þann 1. nóvember s.á. Með bréfi, dags. 16. apríl 2020 var kvartanda boðið að tjá sig um framkomin svör Lindabergs ehf. Svarað var af hálfu kvartanda með tölvupósti þann 11. maí s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð þessa máls hefur dregist vegna mikilla anna hjá Persónuvernd.

2.

Sjónarmið kvartanda

Kvartandi byggir á því að hann hafi ekki fengið fræðslu um vinnslu persónuupplýsinga hans af hálfu Lindabergs ehf., hvorki með almennum hætti, svo sem í gegnum persónuverndarstefnu á vefsíðu T10 hótels, né eftir að hafa óskað sérstaklega eftir slíkri fræðslu.

Þá segir í kvörtun að vefsíða T10 hótels komi fyrir vefkökum á vélbúnaði notenda. Í tölvupósti kvartanda til Persónuverndar þann 11. maí 2020 kemur fram að á vefsíðunni séu meðal annars vefkökur frá Facebook og öðrum aðilum, sem ætlað sé að rekja vefnotkun notenda og séu notaðar í þágu persónusniðinna auglýsinga, sem kvartandi hafi ekki samþykkt.

Kvartandi hefur jafnframt upplýst um að nafn hans hafi ekki verið á þeim lista sem lá frammi í móttöku hótelsins. Hins vegar hafi starfsfólk hótelsins staðfest við hann að nöfn gesta ásamt herbergisnúmerum séu gerð aðgengileg í móttöku í því skyni að gera gestum ljóst hvar þeir dvelja.

3.

Sjónarmið Lindabergs ehf.

Lindaberg ehf. byggir á því að félagið hafi hvorki unnið með persónuupplýsingar gesta T10 hótels né notenda vefsíðu hótelsins. Vísar félagið í því sambandi til þess að það hafi látið setja upp einfalda vefsíðu fyrir hótelið en að hún hafi verið látin afskiptalaus af hálfu félagsins þar sem notendanafn og lykilorð hafi glatast. Þar sem félagið hafi ekki unnið með persónuupplýsingar hafi engin fræðsla þar að lútandi verið veitt einstaklingum.

Í tölvupósti Lindabergs ehf. til Persónuverndar þann 8. ágúst 2019 sagði jafnframt að úr bókunarkerfi hótelsins hafi verið prentaður út listi yfir gesti, á vegum tiltekinnar ferðaskrifstofu, og herbergisnúmer þeirra. Fyrir mistök hafi listinn legið frammi í anddyri hótelsins en að nafn kvartanda hafi hins vegar ekki verið á umræddum lista. Slíkir listar hafi þó stundum verið útbúnir og prentaðir út og afhentir fararstjórum ef þess gerðist þörf. Í umræddum tölvupósti segir jafnframt að fyrirhugað sé af hálfu félagsins að ráðast í gerð persónuverndarstefnu og ráða persónuverndarfulltrúa í hlutastarfi.

Þá segir í tölvupósti félagsins til Persónuverndar þann 1. nóvember 2019 að annað félag hafi nú tekið við rekstri T10 hótels.

4.

Athugun Persónuverndar á vefsíðu T10 hótels

Þann 8. ágúst 2019 framkvæmdi Persónuvernd skoðun á vefsíðu T10 hótels í því skyni að kanna hvort vefkökur væru þar notaðar, og þá hvaða vefkökur. Athugunin leiddi í ljós notkun á vefkökum sem nauðsynlegar voru fyrir virkni og öryggi vefsins en einnig notkun vefköku sem skráir fjölda og lengd heimsókna notenda. Athugun Persónuverndar leiddi hins vegar ekki í ljós vinnslu persónuupplýsinga með notkun annarra vefkaka, þ.m.t. frá Facebook.

Hins vegar leiddi lokaathugun Persónuverndar, sem fram fór við uppkvaðningu þessa úrskurðar, í ljós að vefsíða T10 Hótels væri ekki lengur aðgengileg á vefnum.

II.

Forsendur og niðurstaða

1.

Afmörkun máls

Mál þetta lýtur meðal annars að því að listi yfir gesti T10 hótels og herbergisnúmer þeirra hafi verið aðgengilegur í anddyri hótelsins.

Samkvæmt 1. málsl. 2. mgr. 39. gr. laga nr. 90/2018 á sérhver skráður einstaklingur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við reglugerð (ESB) 2016/679 eða ákvæði laganna. Úrskurðar Persónuvernd þá um hvort brot hafi átt sér stað.

Ágreiningslaust er að upplýsingar um kvartanda var ekki að finna á umræddum lista. Samkvæmt því verður ekki séð að persónuupplýsingar kvartanda hafi verið unnar með þeim hætti sem þessi þáttur kvörtunar hans lýtur að. Að því gættu telur Persónuvernd ekki efni til að kveða upp úrskurð um hvort brot hafi átt sér stað við vinnslu persónuupplýsinga kvartanda vegna umrædds lista, sbr. 2. mgr. 39. gr. laga nr. 90/2018, og er þeim þætti kvörtunarinnar vísað frá.

2.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar. Þá segir meðal annars í 30. lið formálsorða reglugerðarinnar að tæki og tól, forrit og samskiptareglur, sem einstaklingar nota, geti tengt Netauðkenni við þá, s.s. IP-tölur (e. internet protocol addresses), smygildaauðkenni (e. cookie identifiers) eða önnur auðkenni, s.s. fjarskiptatíðniauðkenningar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Annars vegar lýtur mál þetta að því að unnið hafi verið með persónuupplýsingar kvartanda, þegar hann heimsótti vefsíðu T10 hótels, með notkun vefkaka. Hins vegar lýtur málið að því að kvartanda hafi ekki verið veitt fræðsla um vinnslu persónuupplýsinga af hálfu T10 hótels, sem rekið var af Lindabergi ehf.

Af athugasemdum Lindabergs ehf. er ljóst að félagið vann með persónuupplýsingar gesta T10 hótels í gegnum rafrænt bókunarkerfi. Þá staðfesti athugun Persónuverndar að á vefsíðu hótelsins var notuð vefkaka sem skráði fjölda og lengd heimsókna notenda hennar. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Þó er til þess að líta að ekki liggur fyrir að persónuupplýsingar kvartanda hafi verið unnar með notkun vefkaka sem ætlað var að stuðla að virkni og öryggi vefsíðu T10 Hótels. Með vísan til þess tekur úrskurður þessi ekki til þeirrar notkunar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar.

Af hálfu Lindabergs ehf. hefur komið fram að félagið telji sig ekki bera ábyrgð á þeirri vinnslu persónuupplýsinga sem hér um ræðir. Í leiðbeiningum Evrópska persónuverndarráðsins nr. 7/2020, um hugtökin ábyrgðaraðili og vinnsluaðili samkvæmt reglugerð (ESB) 2016/679 segir meðal annars að ábyrgð á vinnslu persónuupplýsinga kunni m.a. að vera ákvörðuð með lögum.

Við mat á því hver telst ábyrgðaraðili í því máli sem hér er til skoðunar er nauðsynlegt að líta til 1. mgr. 3. gr. og 7. gr. laga nr. 85/2007, um veitingastaði, gististaði og skemmtanahald. Af ákvæðinu leiðir að rekstur hótela er háður rekstrarleyfi sýslumanns. Taki nýr aðili við rekstri sem leyfi er fyrir eða hyggist leyfishafi hætta hinni leyfisskyldu starfsemi skal það tilkynnt leyfisveitanda án tafar og ber leyfishafi ábyrgð á rekstrinum þar til slík tilkynning hefur borist sýslumanni en nýr aðili sem við rekstrinum tekur frá þeim tíma og skal hann þegar í stað sækja um nýtt rekstrarleyfi, sbr. 2. mgr. 12. gr. sömu laga. Samkvæmt 20. gr. laganna ber sýslumanni að birta skrá yfir útgefin rekstrarleyfi með aðgengilegum hætti, svo sem á heimasíðu sinni.

Af skrá sýslumanns, sem aðgengileg er á vefsíðu hans, verður ekki annað séð en að Lindaberg ehf. hafi leyfi fyrir rekstri T10 Hótels sem útgefið var samkvæmt lögum nr. 85/2007. Ber félagið samkvæmt því ábyrgð á rekstri T10 Hótels á grundvelli 2. mgr. 12. gr. laganna. Þegar litið er til þess, svo og tilvitnaðs ákvæðis 6. tölul. 3. gr. laga nr. 90/2018 telur Persónuvernd, eins og hér háttar til, að leggja beri til grundvallar að Lindaberg ehf. teljist ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem hér er til umfjöllunar.

3.

Lögmæti vinnslu

Eins og áður greinir lýtur fyrirliggjandi mál meðal annars að því að Lindaberg ehf. hafi unnið með persónuupplýsingar kvartanda með notkun vefkaka þegar hann heimsótti vefsíðu T10 hótels.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar hafi skráður einstaklingur veitt samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. þeirrar greinar, eða sé vinnslan nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir og grundvallarréttindi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. sömu greinar. Eins og hér háttar til verður að mati Persónuverndar ekki séð að aðrar vinnsluheimildir samkvæmt fyrrgreindu ákvæði geti komið til greina.

Samkvæmt 8. tölul. 3. gr. laga nr. 90/2018 telst samþykki vera óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig.

Í 32. lið formálsorða reglugerðar (ESB) 2016/679 segir að veita ætti samþykki með skýrri staðfestingu, s.s. skriflegri yfirlýsingu, þ.m.t. með rafrænum hætti, eða munnlegri yfirlýsingu, á því að fyrir liggi óþvinguð, afmörkuð, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sem varða hann sjálfan. Þetta geti falið í sér að haka við reit þegar farið er inn á vefsetur á Netinu, velja tæknilegar stillingar fyrir þjónustu í upplýsingasamfélaginu eða aðra yfirlýsingu eða athöfn sem gefur skýrt til kynna í þessu samhengi að skráður einstaklingur samþykki fyrirhugaða vinnslu á persónuupplýsingum um sig. Þögn, reitir sem þegar er búið að haka við eða aðgerðarleysi ættu því ekki að fela í sér samþykki. Í leiðbeiningum Evrópska persónuverndarráðsins nr. 5/2020, um samþykki, sem gefnar voru út á grundvelli e-liðar 1. mgr. 70. gr. reglugerðar (ESB) 2016/679, er þessi lögskýring jafnframt áréttuð.

Af hálfu Lindabergs ehf. hefur komið fram að félagið telji sig ekki hafa unnið með persónuupplýsingar í gegnum vefsíðu T10 hótels, auk þess sem áréttað hefur verið að félagið hafi ekki haft aðgang að þeim þar sem notendanafn og lykilorð að vefsíðunni hefðu glatast. Þá hafi engar upplýsingar um vinnslu persónuupplýsinga birst á vefsíðunni þar sem félagið hafi litið svo á að ekki hefði verið um að ræða vinnslu slíkra upplýsinga.

Samkvæmt þessu telur Persónuvernd vera ljóst að Lindaberg ehf. leitaði ekki eftir samþykki kvartanda fyrir þeirri vinnslu persónuupplýsinga um hann, sem fram fór með notkun vefkaka, í þeim tilgangi að fylgjast með fjölda og lengd heimsókna notenda vefsíðu T10 Hótels. Af þeirri ástæðu, og með vísan til alls þess sem að framan greinir, verður að mati Persónuverndar ekki á því byggt að vinnslan hafi verið heimil samkvæmt 1. tölul. 9. gr. laga nr. 90/2018.

Kemur þá til skoðunar hvort vinnslan hafi stuðst við heimild samkvæmt 6. tölul. 9. gr. laga nr. 90/2018. Í leiðbeiningum Evrópska persónuverndarráðsins nr. 8/2020, um vinnslu persónuupplýsinga notenda samfélagsmiðla, sem gefnar voru út á grundvelli e-liðar 1. mgr. 70. gr. reglugerðar (ESB) 2016/679, kemur meðal annars fram að þremur skilyrðum þurfi að vera fullnægt svo heimilt sé að vinna með persónuupplýsingar á grundvelli f-liðar 1. mgr. 6. gr. reglugerðarinnar, sem er efnislega samhljóða tilvitnuðu ákvæði laga nr. 90/2018. Í fyrsta lagi þurfi vinnsla að fara fram í þágu lögmætra hagsmuna ábyrgðaraðila eða þriðja aðila sem aðgang hefur að persónuupplýsingunum. Í öðru lagi er áskilið að vinnslan sé nauðsynleg í þágu þeirra hagsmuna. Í þriðja lagi megi hagsmunir og grundvallarréttindi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hagsmunir annarra af vinnslunni.

Að mati Persónuverndar getur skráning fjölda og lengd heimsókna einstaklinga á vefsíður talist fara fram í þágu lögmætra hagsmuna félags. Af athugasemdum Lindabergs ehf. verður hins vegar ráðið að vefsíða T10 Hótels hafi verið látin afskiptalaus af hálfu félagsins og að félagið hafi ekki haft þörf fyrir þær persónuupplýsingar kvartanda sem safnað var með umræddri vefköku, auk þess sem félagið hafi ekki haft virkan aðgang að umsjónarkerfi vefsíðunnar né hafi það reynt að afla sér hans. Samkvæmt því verður ekki séð að félagið hafi nýtt þær persónuupplýsingar sem söfnuðust í gegnum vefsíðuna þrátt fyrir að hafa staðið að söfnun þeirra og að lögmætir hagsmunir gætu staðið til slíkrar vinnslu. Verður af þeirri ástæðu ekki fallist á að umrædd vinnsla hafi verið félaginu nauðsynleg. Að auki hefur félagið ekki rökstutt sérstaklega hvernig hagsmunir þess af umræddri vinnslu hafi vegið þyngra en hagsmunir kvartanda en fyrir liggur að hann er andsnúinn vinnslunni. Að þessu gættu telur Persónuvernd að umrædd vinnsla hafi ekki stuðst við 6. tölul. 9. gr. laga nr. 90/2018.

Þegar litið er til alls framangreinds telur Persónuvernd að vinnsla Lindabergs ehf. með persónuupplýsingar um fjölda og lengd heimsókna kvartanda á vefsíðu T10 hótels, með notkun vefköku, hafi ekki verið heimil samkvæmt 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Er niðurstaða Persónuverndar því sú að vinnslan hafi ekki samrýmst lögunum og reglugerðinni.

4.

Fræðsluskylda

Mál þetta lýtur einnig að því að kvartandi hafi ekki fengið fræðslu af hálfu T10 hótels um vinnslu þess með persónuupplýsingar um hann.

Samkvæmt 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 skal þess gætt við vinnslu persónuupplýsinga að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða. Ábyrgðaraðili ber ábyrgð á að vinnsla persónuupplýsinga uppfylli alltaf fyrrgreint ákvæði og geta sýnt fram á það, sbr. 2. mgr. sömu greinar.

Nánari ákvæði um gagnsæi vinnslu er að finna í 17. gr. laga nr. 90/2018. Samkvæmt 2. mgr. þess ákvæðis á skráður einstaklingur rétt til upplýsinga um vinnslu persónuupplýsinga hans, hvort sem persónuupplýsinganna er aflað hjá honum sjálfum eða ekki, samkvæmt nánari fyrirmælum 13. og 14. gr. reglugerðar (ESB) 2016/679. Í tilvitnuðum ákvæðum reglugerðarinnar er meðal annars kveðið á um hvaða upplýsingar beri að veita skráðum einstaklingum vegna vinnslu persónuupplýsinga þeirra og hvenær það skuli gert.

Sem fyrr greinir er ljóst að Lindaberg ehf. vann með persónuupplýsingar kvartanda í tengslum við dvöl hans á T10 hóteli og þegar hann notaði vefsíðu þess. Bar félaginu því samkvæmt tilvitnuðum ákvæðum laga nr. 90/2018 og reglugerðar 2016/679 að veita kvartanda fræðslu um þá vinnslu. Hins vegar er ljóst af svörum félagsins að honum var ekki veitt fræðsla um vinnslu persónuupplýsinga hans af hálfu félagsins, hvorki með almennum hætti, svo sem með persónuverndaryfirlýsingu á vefsíðu T10 hótels, né þegar hann fór þess sérstaklega á leit að fá slíka fræðslu, enda leit félagið svo á að því bæri ekki að veita slíka fræðslu.

Þegar litið er til alls framangreinds telur Persónuvernd að Lindaberg ehf. hafi brotið gegn kröfum 1. tölul. 1. mgr. 8. gr. og 2. mgr. 17. gr. laga nr. 90/2018, sbr. 13. og 14. gr. reglugerðar (ESB) 2016/679, um gagnsæi og veitingu fræðslu til kvartanda um vinnslu persónuupplýsinga hans.

5.

Fyrirmæli

Í samræmi við framangreint, og með vísan til 3. tölul. 42. gr. sömu laga er lagt fyrir Lindaberg ehf. að veita kvartanda fræðslu um vinnslu persónuupplýsinga hans af hálfu þess til samræmis við 2. mgr. 17. gr. nr. laganna, sbr. 13. og 14. gr. reglugerðar (ESB) 2016/679. Með vísan til 4. tölul. 42. gr. sömu laga er jafnframt lagt fyrir Lindaberg ehf. að veita skráðum einstaklingum eftirleiðis fræðslu um vinnslu persónuupplýsinga til samræmis við tilvitnuð ákvæði.

Skal staðfesting á að farið hafi verið að þessum fyrirmælum send Persónuvernd í síðasta lagi þann 30. nóvember 2020.

Í ljósi þess að vefsíða T10 Hótels er ekki lengur aðgengileg á vefnum er það mat Persónuverndar að ekki sé þörf á að beina sérstökum fyrirmælum til Lindabergs ehf. vegna þeirrar vinnslu persónuupplýsinga kvartanda sem fram fór með notkun vefköku.

Ú r s k u r ð a r o r ð:

Vísað er frá þeim þætti kvörtunar [A] sem lýtur að lista yfir gesti sem lá frammi í anddyri T10 hótels sem rekið var af Lindabergi ehf.

Vinnsla Lindabergs ehf. á persónuupplýsingum um [A] með vefköku samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Lindaberg ehf. veitti [A] ekki fræðslu um vinnslu persónuupplýsinga hans í samræmi við lög nr. 90/2018 og reglugerð (ESB) 2016/679.

Lagt fyrir Lindaberg ehf. að veita [A] fræðslu um vinnslu persónuupplýsinga hans af hálfu þess til samræmis við 2. mgr. 17. gr. nr. 90/2018, sbr. 13. og 14. gr. reglugerðar (ESB) 2016/679. Er jafnframt lagt fyrir Lindaberg ehf. að veita skráðum einstaklingum eftirleiðis fræðslu um vinnslu persónuupplýsinga til samræmis við tilvitnuð ákvæði.

Skal staðfesting um að farið hafi verið að þessum fyrirmælum send Persónuvernd í síðasta lagi þann 30. nóvember 2020.

Í Persónuvernd, 28. október 2020

Björg Thorarensen

Ólafur Garðarsson                                           Björn Geirsson

Vilhelmína Haraldsdóttir                                  Þorvarður Kári Ólafsson