Vinnsla persónuupplýsinga um heimilisföng notenda Bland.is

Mál nr. 2020010577

26.3.2021

Úrskurður

Hinn 10. mars 2021 kvað stjórn Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010577:

I.

Málsmeðferð

1.

Kvörtun

Hinn 13. janúar 2020 barst Persónuvernd kvörtun frá […] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga um hann hjá Wedo ehf., sem rekur vefsíðuna Bland.is.

Með bréfi, dags. 5. nóvember 2020, tilkynnti Persónuvernd Wedo ehf. um kvörtunina og veitti félaginu kost á að tjá sig um hana. Svarað var með bréfi, dags. 23. s.m.

Við úrlausn þessa máls hefur verið tekið tillit til framangreinda gagna þótt ekki sé gerð grein fyrir þeim öllum sérstaklega.

Meðferð málsins hjá Persónuvernd hefur tafist vegna anna.

2.

Sjónarmið kvartanda

Í kvörtun segir að við skráningu á söluvefnum Bland.is hafi kvartandi þurft að auðkenna sig með kennitölu og bankareikningi sem, samkvæmt kvörtun, átti að eyða eftir auðkenningu. Í kvörtun segir að þessar upplýsingar hafi verið nýttar til að afla frekari upplýsinga um kvartanda, þ. á m. upplýsinga um heimilisfang hans og að þær upplýsingar hafi verið birtar með auglýsingu hans á Bland.is. Að mati kvartanda var þeim persónuupplýsingum safnað án heimildar og kvartandi blekktur til að útvega þær á fölskum forsendum og þeim bætt við auglýsinguna án hans vitundar.

3.

Sjónarmið Wedo ehf.

Í svari Wedo ehf. segir að þegar notendur auðkenna sig á sölusíðunni Bland.is fletti félagið upp heimilisfangi notanda í þjóðskrá. Þetta sé gert í þeim tilgangi að þjóna betur því milligönguhlutverki sem Bland.is gegnir. Það sé gert með því að setja póstnúmer seljanda við vörur sem settar eru í sölu, enda er það kaupanda í hag að vita hvar á landinu söluaðili er staðsettur, þ.e. hvort varan sé staðsett í Garðabæ eða í Vestmannaeyjum. Í svari félagsins er vísað til persónuverndarstefnu þess, þar sem segir að meðal upplýsinga sem félagið safni um notendur sína séu tengiliðaupplýsingar, s.s. upplýsingar um nafn, kennitölu, kyn, heimilisfang, tölvupóstfang og símanúmer.

Um tilgang söfnunar tengiliðaupplýsinga segi jafnframt í persónuverndarstefnu:

„Þetta gerum við til þess að geta afhent þér vörur og þjónustu og til þess að geta sent þér tilkynningar (með tölvupósti eða SMS-skilaboðum) í tengslum við vörukaup og tilboð á vörum og þjónustu. Tengiliðaupplýsingum söfnum við frá þér í gegnum, síma, utan nets (s.s. með að hringja í þjónustuver), vefsvæði eða tölvupósti, eða með öðrum hætti þar sem þú hefur m.a. veitt sjálfviljugur þessar upplýsingar.“

Í persónuverndarstefnu félagsins segi einnig almennt um tilgang upplýsingaöflunar:

„Til að geta veitt þér þá þjónustu sem þú óskar eftir, hvort sem það er að senda þeim vörur heim að dyrum eða taka á móti greiðslum og/eða í tengslum við aðrar vörur og þjónustu sem við bjóðum upp á eða höfum milligöngu um. Að öðru leyti til að framfylgja skilmálum okkar.“

Í svari Wedo ehf. segir að með hliðsjón af framangreindu hafi félagið fengið samþykki notanda til að birta póstnúmer hans á vefnum, en auk þess segir að kjósi notandi að gefa ekki upp póstnúmer sé honum í lófa lagið að eyða heimilisfangi úr notendastillingum.

Einnig segir í svarinu að í kjölfar kvörtunarinnar hafi verið gerðar tvær breytingar á fræðslu til notenda söluvefsins Bland.is. Annars vegar að við auðkenningu fái notendur fræðslu um að heimilisfangi sé flett upp við skráningu og að það sé notað til hægðarauka við ákvörðunartöku fyrir bæði kaupendur og seljendur. Hins vegar að notendur fái fræðslu um það í notendastillingum vefsins að póstnúmer verði birt með auglýsingum.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna og 2. gr. reglugerðarinnar, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að öflun og birtingu upplýsinga um kvartanda á söluvefnum Bland.is. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Í þeirri persónuverndarstefnu sem birt er á vefsíðunni Bland.is er félagið Wedo ehf. tilgreint sem ábyrgðaraðili þeirra persónuupplýsinga sem unnið er með á vefnum. Eins og hér háttar til telst Wedo ehf. því vera ábyrgðaraðili að umræddri vinnslu.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar hafi skráður einstaklingur veitt samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. 9. gr. laganna og a-lið 1. mgr. 6. gr. reglugerðarinnar, eða sé vinnslan nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir og grundvallarréttindi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar. Eins og hér háttar til verður að mati Persónuverndar ekki séð að aðrar vinnsluheimildir samkvæmt fyrrgreindu ákvæði geti komið til greina.

Samkvæmt 8. tölul. 3. gr. laga nr. 90/2018 og 11. tölul. 1. mgr. 4. gr. reglugerðar (ESB) 2016/679 telst samþykki vera óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig. Þegar vinnsla er byggð á samþykki skal ábyrgðaraðili geta sýnt fram á að skráður einstaklingur hafi samþykkt vinnslu persónuupplýsinga sinna samkvæmt skilyrðum 1. mgr. 10. gr. laga nr. 90/2018, sbr. 7. gr. reglugerðar (ESB) 2016/679. Ef hinn skráði veitir samþykki sitt með skriflegri yfirlýsingu, sem einnig varðar önnur málefni, skal beiðnin um samþykki sett fram á þann hátt að hún sé auðgreinanleg frá hinum málefnum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli, sbr. 2. mgr. sama ákvæðis og 2. mgr. 7. gr. reglugerðar (ESB) 2016/679.

Í 32. lið formálsorða reglugerðar (ESB) 2016/679 segir enn fremur að veita ætti samþykki með skýrri staðfestingu, s.s. skriflegri yfirlýsingu, þ.m.t. með rafrænum hætti, eða munnlegri yfirlýsingu, á því að fyrir liggi óþvinguð, afmörkuð, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sem varða hann sjálfan. Þetta geti falið í sér að haka við reit þegar farið er inn á vefsetur á Netinu, velja tæknilegar stillingar fyrir þjónustu í upplýsingasamfélaginu eða aðra yfirlýsingu eða athöfn sem gefur skýrt til kynna í þessu samhengi að skráður einstaklingur samþykki fyrirhugaða vinnslu á persónuupplýsingum um sig. Þögn, reitir sem þegar er búið að haka við eða aðgerðarleysi ættu því ekki að fela í sér samþykki. Í leiðbeiningum Evrópska persónuverndarráðsins nr. 5/2020, um samþykki, sem gefnar voru út á grundvelli e-liðar 1. mgr. 70. gr. reglugerðar (ESB) 2016/679, er þessi lögskýring jafnframt áréttuð.

Af hálfu Wedo ehf. hefur komið fram að félagið taldi sig vinna með persónuupplýsingar um heimilisfang kvartanda á grundvelli samþykkis. Í bréfi Wedo ehf. er meðal annars vísað til þess að ef notandi kjósi að gefa ekki upp póstnúmer sitt sé honum í lófa lagið að eyða heimilisfangi í notendastillingum söluvefsins. Einnig er í bréfi Wedo ehf. vísað til persónuverndarstefnu félagsins, sem vísað er í að framan, en þar segir að meðal upplýsinga sem félagið safni séu tengiliðaupplýsingar, s.s. heimilisfang. Í sömu málsgrein segir að tengiliðaupplýsingum sé safnað frá notendum í gegnum síma, utan nets (s.s. með símtölum í þjónustuver), vefsvæði eða tölvupósti, eða öðrum hætti þar sem viðkomandi hefur sjálfviljugur veitt þær upplýsingar.

Að mati Persónuverndar verður ekki talið að heimild kvartanda til að fjarlægja heimilisfang í notendastillingum á vefsíðunni uppfylli framangreint skilyrði um að samþykki skuli veitt með aðgerð. Einnig verður ekki talið að samþykkisyfirlýsing sú sem Wedo ehf. býður upp á uppfylli skilyrði þess að vera upplýst þar sem félagið aflaði tengiliðaupplýsinga úr þjóðskrá, en í persónuverndarstefnu segir að tengiliðaupplýsinga verði aflað frá notendum, auk þess sem samþykkið var ekki afmarkað og sérgreint frá öðrum vinnsluaðgerðum sem fóru fram í öðrum tilgangi. Gat vinnslan því ekki ekki stuðst við 1. tölul. 9. gr. laga nr. 90/2018 og a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Eins og hér háttar til kemur þá einkum til skoðunar 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Af hálfu Wedo ehf. hefur komið fram að félagið leit svo á að vinnsla persónuupplýsinga um kvartanda byggðist á samþykki hans. Verður því ekki talið að félagið hafi metið sérstaklega þá lögmætu hagsmuni sem félagið gætir, hvort vinnslan sé nauðsynleg í þágu þeirra hagsmuna eða hvernig lögmætir hagsmunir þess af umræddri vinnslu hafi vegið þyngra en hagsmunir hins skráða. Eins og hér og háttar til hefur Persónuvernd ekki forsendur til að leggja mat á hvort að vinnslan uppfylli skilyrði ákvæðisins, en ætla má að umrædd vinnsluheimild geti komið til greina að undangengnu hagsmunamati sem staðfestir að skilyrði ákvæðisins séu uppfyllt. Þá minnir Persónuvernd á 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, um að ábyrgðaraðili beri ábyrgð á að farið sé að meginreglum laganna og geti sýnt fram á það.

Þegar litið er til alls framangreinds telur Persónuvernd að öflun og birting Wedo ehf. á persónuupplýsingum um heimilisfang kvartanda, hafi ekki verið heimil samkvæmt 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Er niðurstaða Persónuverndar því sú að vinnslan hafi ekki samrýmst lögunum og reglugerðinni.

Í samræmi við þessa niðurstöðu, og með vísan til 6. og 7. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Wedo ehf. að stöðva vinnslu persónuupplýsinga um heimilisfang notenda söluvefsins Bland.is þar til félagið hefur sent Persónuvernd lýsingu þess efnis á grundvelli hvaða heimildar í 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 vinnslan fari fram og Persónuvernd staðfest að vinnslan uppfylli ákvæði laganna. Í því sambandi er Wedo ehf. leiðbeint um að ef vinnslan á að fara fram á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. 9. gr. laga nr. 90/2018, þarf hinn skráði að vera upplýstur um þá vinnslu sem um ræðir, samþykkið þarf að vera sérgreint frá öðrum vinnsluaðgerðum og veitt með sérstakri aðgerð. Ef vinnslan á að fara fram á grundvelli lögmætra hagsmuna, sbr. 6. tölul. sama ákvæðis, er Wedo ehf. nauðsynlegt að meta þá lögmætu hagsmuni sem félagið gætir, hvort vinnslan sé nauðsynleg í þágu þeirra hagsmuna og hvort hagsmunir félagsins af því að vinnslan fari fram vegi þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða.

Skal staðfesting á framangreindri stöðvun vinnslu berast Persónuvernd eigi síðar en 24. mars 2021.

Ú r s k u r ð a r o r ð:

Öflun Wedo ehf. á persónuupplýsingum um heimilisfang […] og birting á póstnúmeri hans samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Wedo ehf. skal stöðva vinnslu persónuupplýsinga um heimilisföng notenda söluvefsins Bland.is og senda Persónuvernd staðfestingu þess efnis eigi síðar en 24. mars 2021. Wedo ehf. er óheimilt að hefja aftur vinnslu á þeim upplýsingum fyrr en Persónuvernd hefur staðfest að vinnslan uppfylli skilyrði laga nr. 90/2018.

Í Persónuvernd, 10. mars 2021

Ólafur Garðarsson
starfandi formaður

Björn Geirsson                          Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson