Vinnsla persónuupplýsinga af hálfu Hagsmunasamtaka heimilanna

Mál nr. 2021081651

6.1.2023

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu Hagsmunasamtaka heimilanna í máli nr. 2021081651:

I.
Málsmeðferð

Hinn 28. ágúst 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu Hagsmunasamtaka heimilanna á persónuupplýsingum um hann sem fólst í stofnun og birtingu Hagsmunasamtaka heimilanna á valkvæðri kröfu í heimabanka hans.

Fram kemur að þann 21. apríl 2021 hafi kvartandi sagt sig úr Hagsmunasamtökum heimilanna og óskað eftir því að valgreiðslukrafan yrði fjarlægð úr heimabanka kvartanda. Þeirri beiðni hafi verið hafnað og samtökin hafi ráðlagt kvartanda að fela kröfuna þar til hún félli sjálfkrafa niður að tveimur árum liðnum.

Persónuvernd bauð Hagsmunasamtökum heimilanna að tjá sig um kvörtunina með bréfi, dags. 4. október 2021, og bárust svör með bréfi, dags. 25. s.m. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör samtakanna með bréfi, dags. 28. desember s.á., og bárust þær með tölvupósti þann 15. janúar 2022. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

___________________

Ágreiningur er um heimild Hagsmunasamtaka heimilanna til að stofna og birta valgreiðslukröfu í heimabanka. Kvartandi telur jafnframt að samtökunum hafi verið óheimilt að synja beiðni hans um eyðingu kröfunnar.

Hagsmunasamtök heimilanna telja að sú vinnsla sem um ræðir, þ.e. birting valgreiðslukrafna sem liður í fjáröflun, sé nauðsynlegur þáttur í starfsemi frjálsra félagasamtaka og ef slíkt væri talið óheimilt myndi það kollvarpa starfsemi margvíslegra félagasamtaka. Í bréfinu segir að einu sinni á ári séu upplýsingar um kennitölur félagsmanna sóttar í félagaskrá samtakanna til að stofna kröfur vegna félagsgjalda. Um heimild til vinnslu segir í bréfi samtakanna að vinnsla persónuupplýsinga fari fyrst og fremst fram á grundvelli samþykkis hins skráða, sbr. 1. tölul. 9. gr. laga nr. 90/2018, en með skráningu í samtökin undirgangist félagsmenn samþykktir samtakanna sem feli meðal annars í sér ákvæði um skyldur félagsmanna samkvæmt 1. mgr. 12. gr. samþykktanna um félagsgjöld. Þá segir að vinnslan eigi sér einnig stoð í 5. tölul. 9. gr. laga nr. 90/2018, þar sem segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna. Í því samhengi segir að samtökin starfi í þágu almannahagsmuna, og að þau hafi verið tilnefnd af stjórnvöldum til að gæta heildarhagsmuna neytenda. Í bréfi samtakanna er vísað til auglýsingar nr. 1320/2011 um tilnefningu stjórnvalda og samtaka sem rétt hafa til lögbannsaðgerða í þágu heildarhagsmuna neytenda, en í 9. tölul. b-liðar auglýsingarinnar segir að samtökin séu meðal þeirra sem hafa rétt til slíkra lögbannsaðgerða.

Í bréfinu segir að viðbrögð samtakanna við beiðni kvartanda um að krafan yrði fjarlægð hafi verið þau að hann gæti falið valgreiðslukröfuna í heimabankanum þar til henni yrði sjálfkrafa eytt að liðnum tveimur árum. Þetta hafi verið ráðlagt til að forða samtökunum frá þeim kostnaði og vinnu sem það myndi útheimta að fella slíkar kröfur niður. Að mati samtakanna er þetta hagkvæm og hófsöm leið til fjáröflunar í formi félagsgjalda. Einnig er áréttað að krafan sé valkvæð og að hún verði ekki innheimt með neinum sérstökum innheimtuaðgerðum.

II.
Niðurstaða
1.
Lögmæti vinnslu

Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda, sem fólst í stofnun og birtingu Hagsmunasamtaka heimilanna á valkvæðri kröfu í heimabanka hans. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Af gögnum málsins verður ekki annað ráðið en að Hagsmunasamtök heimilanna hafi ákveðið tilgang og aðferð við vinnslu persónuupplýsinga um kvartanda og teljast samtökin því vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum, sbr. 1. tölul. 9. gr. lagaákvæðisins og a-lið 1. mgr. 6. gr. reglugerðarákvæðisins, sé vinnslan nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, sbr. 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins, eða sé vinnslan nauðsynleg í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins. Eins og hér háttar til verður að mati Persónuverndar ekki séð að aðrar vinnsluheimildir samkvæmt fyrrgreindu ákvæði geti komið til greina.

Samkvæmt 8. tölul. 3. gr. laga nr. 90/2018 og 11. tölul. 1. mgr. 4. gr. reglugerðar (ESB) 2016/679 telst samþykki vera óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Þegar vinnsla er byggð á samþykki skal ábyrgðaraðili geta sýnt fram á að skráður einstaklingur hafi samþykkt vinnslu persónuupplýsinga sinna samkvæmt nánari skilyrðum 7. og 8. gr. reglugerðarinnar, sbr. 1. mgr. 10. gr. laganna og 1. mgr. 7. gr. reglugerðarinnar. Ef hinn skráði veitir samþykki sitt með skriflegri yfirlýsingu, sem einnig varðar önnur málefni, skal beiðnin um samþykki sett fram á þann hátt að hún sé auðgreinanleg frá hinum málefnum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli, sbr. 2. mgr. sama ákvæðis og 2. mgr. 7. gr. reglugerðar (ESB) 2016/679.

Í 32. lið formálsorða reglugerðar (ESB) 2016/679 segir enn fremur að veita ætti samþykki með skýrri staðfestingu, s.s. skriflegri yfirlýsingu, þ.m.t. með rafrænum hætti, eða munnlegri yfirlýsingu, á því að fyrir liggi óþvinguð, afmörkuð, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sem varða hann sjálfan. Þetta geti falið í sér að haka við reit þegar farið er inn á vefsetur á Netinu, velja tæknilegar stillingar fyrir þjónustu í upplýsingasamfélaginu eða aðra yfirlýsingu eða athöfn sem gefur skýrt til kynna í þessu samhengi að skráður einstaklingur samþykki fyrirhugaða vinnslu á persónuupplýsingum um sig. Þögn, reitir sem þegar er búið að haka við eða aðgerðarleysi ættu því ekki að fela í sér samþykki. Samþykki ætti að ná til allrar vinnslustarfsemi sem fram fer í sama tilgangi, einum eða fleiri. Þegar vinnslan er í margvíslegum tilgangi ætti að gefa samþykki fyrir hverjum og einum þeirra. Þá skal hinn skráði eiga kost á að afturkalla samþykki sitt án þess að verða fyrir neikvæðum afleiðingum í kjölfarið, en þegar samþykkið ef afturkallað ber ábyrgðaraðila að hætta þeirri vinnslu sem fór fram á grundvelli samþykkis. Í leiðbeiningum Evrópska persónuverndarráðsins nr. 5/2020, um samþykki, sem gefnar voru út á grundvelli e-liðar 1. mgr. 70. gr. reglugerðar (ESB) 2016/679, er þessi lögskýring jafnframt áréttuð.

Af hálfu Hagsmunasamtaka heimilanna hefur komið fram að samtökin töldu sig vinna með persónuupplýsingar kvartanda á grundvelli samþykkis hans. Í bréfi samtakanna segir að við skráningu á félagaskrá í gegnum vefsíðu samtakanna veiti hinn skráði samþykki sitt fyrir vinnslu persónuupplýsinga um sig í þágu eins eða fleiri tiltekinna markmiða. Einnig segir að með slíkri skráningu undirgangist félagsmenn samþykktir samtakanna sem eru aðgengilegar á sömu vefsíðu, þ. á m. ákvæði um heimild stjórnar til að bera fram tillögur um félagsgjöld til samþykktar á aðalfundi, sbr. 1. mgr. 12. gr. samþykktanna.

Að mati Persónuverndar verður ekki talið að sú vinnsla persónuupplýsinga sem kvartað er yfir, þ.e. stofnun og birting valgreiðslukröfu í heimabanka kvartanda, hafi uppfyllt framangreind skilyrði um að samþykki skuli vera afmarkað og sérgreint frá öðrum vinnsluaðgerðum og veitt með aðgerð. Gat vinnslan því ekki stuðst við 1. tölul. 9. gr. laga nr. 90/2018 og a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Hvað varðar 2. tölul. 9. gr. laganna, sbr. b-lið 1. mgr. 6. gr. reglugerðarinnar, sem heimilar vinnslu persónuupplýsinga sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, er til þess að líta að samkvæmt upplýsingum á vefsíðu ábyrgðaraðila fylgja skráningu í félagið engar kvaðir, hvorki fjárhagslegar eða aðrar, heldur eru félagsgjöld valfrjáls. Greiðsla félagsgjalda er því ekki forsenda fyrir félagsaðild og því getur vinnsla persónuupplýsinga kvartanda í tengslum við stofnun og birtingu valgreiðslukröfu vegna þeirra í heimabanka hans ekki talist nauðsynleg í skilningi ákvæðisins. Eru skilyrði þess því ekki uppfyllt.

Eins og hér háttar til kemur þá einkum til skoðunar 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Áður en vinnsla persónuupplýsinga hefst á grundvelli þessarar heimildar þarf ábyrgðaraðili að ganga úr skugga um að skilyrði ákvæðisins séu uppfyllt, meðal annars með því að framkvæma það hagsmunamat sem vísað er til í ákvæðinu.

Það er hlutverk ábyrgðaraðila að tryggja að vinnsla persónuupplýsinga á hans vegum sé lögmæt, sbr. m.a. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Þá minnir Persónuvernd á 2. mgr. 8. gr. laganna, sbr. 2. mgr. 5. gr. reglugerðarinnar, um að ábyrgðaraðili beri ábyrgð á að farið sé að meginreglum laganna og geti sýnt fram á það. Það má til að mynda gera með því að skjalfesta niðurstöður hagsmunamats samkvæmt áðurnefndu ákvæði 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar.

Af hálfu Hagsmunasamtaka heimilanna hefur komið fram að félagið leit svo á að vinnsla persónuupplýsinga um kvartanda byggðist á samþykki hans. Eins og hér háttar til er því ekki unnt að byggja á því að félagið hafi metið sérstaklega þá lögmætu hagsmuni sem félagið gætir, hvort vinnslan sé nauðsynleg í þágu þeirra hagsmuna eða hvernig lögmætir hagsmunir þess af umræddri vinnslu hafi vegið þyngra en hagsmunir hins skráða. Eins og hér og háttar til hefur Persónuvernd ekki forsendur til að leggja mat á hvort að vinnslan uppfylli skilyrði ákvæðisins, en ætla má að umrædd vinnsluheimild geti eftir atvikum komið til greina að undangengnu hagsmunamati sem staðfestir að skilyrði ákvæðisins séu uppfyllt.

Þegar litið er til alls framangreinds telur Persónuvernd að vinnsla Hagsmunasamtaka heimilanna á persónuupplýsingum um kvartanda, hafi ekki verið heimil samkvæmt 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þegar af þeirri ástæðu er niðurstaða Persónuverndar því sú að vinnslan hafi ekki samrýmst lögunum og reglugerðinni.

Í samræmi við þessa niðurstöður, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. sbr. d-lið, 2. mgr. 58. gr. reglugerðar (ESB) 2016/679 er lagt fyrir Hagsmunasamtök heimilanna að stöðva þá vinnslu persónuupplýsinga um [A] sem felst í birtingu valgreiðslukröfu úr heimabanka hans. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 6. febrúar 2023.

Ú r s k u r ð a r o r ð:

Vinnsla Hagsmunasamtaka heimilanna á persónuupplýsingum um [A] sem felst í birtingu valgreiðslukröfu í heimabanka hans samrýmist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679 um vinnsluheimildir.

Lagt er fyrir Hagsmunasamtök heimilanna að stöðva þá vinnslu persónuupplýsinga um [A] sem felst í birtingu valgreiðslukröfu úr heimabanka hans. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 6. febrúar 2023.

Persónuvernd, 6. janúar 2023

Helga Sigríður Þórhallsdóttir                          Gunnar Ingi Ágústsson