Kortaskilmálar Kaupþings
Í mars síðastliðnum barst Persónuvernd kvörtun einstaklings vegna kortaskilmála Kaupþings sem taka áttu gildi 10. þess mánaðar. Jafnframt barst erindi frá Neytendasamtökunum. Kortaskilmálarnir sem um ræðir sneru m.a. að gerð persónusniða og sendingu sms-skilaboða til korthafa.
Í mars síðastliðnum barst Persónuvernd kvörtun einstaklings vegna kortaskilmála Kaupþings sem taka áttu gildi 10. þess mánaðar. Jafnframt barst erindi frá Neytendasamtökunum. Kortaskilmálarnir sem um ræðir sneru m.a. að gerð persónusniða og sendingu sms-skilaboða til korthafa. Þeir voru svohljóðandi:
10) Samþykki fyrir vinnslu persónuupplýsinga og persónuvernd
Persónuupplýsingar verða til í greiðslumiðlunarkerfum RÁS og kortakerfum Borgunar hf. og VALITOR hf. Útgefanda er nauðsynlegt og ber lagaskylda til að vinna þessar upplýsingar til að gegna hlutverki sínu sem fjármálafyrirtæki og til að tryggja öryggi í fjármálaþjónustu. Persónuupplýsingar eru notaðar við mat á umsóknum, útgáfu reikninga og við aðra eðlilega starfsemi útgefanda. Útgefandi vinnur upplýsingar um korthafa, handhafa korta og ábyrgðarmenn.
Korthafi veitir með samþykki skilmála þessara Kaupþingi heimild til að vinna persónuupplýsingar sem verða til við notkun kortsins í greiðslumiðlunarkerfum.
Útgefandi ber almennt ábyrgð á vinnslu og meðferð persónuupplýsinga. Vinnsluaðili er sá sem vinnur persónuuppýsingar á vegum ábyrgðaraðila. Við vinnslu þeirra er aðgangur takmarkaður við þá starfsmenn útgefanda og vinnsluaðila sem hann þurfa starfs síns vegna. Auk þess er útgefanda og vinnsluaðila heimilt að miðla persónuupplýsingum sín á milli og til aðila sem gert hafa þjónustusamninga við útgefanda eða vinnsluaðila, ábyrgðaraðila að skuld korthafa eða aðra aðila sem korthafi heimilar. Útgefandi og vinnsluaðilar tryggja persónuvernd að persónuupplýsingum með því að leitast við að uppfylla á hverjum tíma lög og reglugerðir sem lúta að persónuvernd, m.a. með mótun öryggisstefnu og setningu þeirra öryggis- og verklagsreglna sem krafist er. Persónuupplýsingar korthafa eru varðveittar á meðan kort korthafa er í gildi, eins lengi og lög mæla fyrir um eða viðskiptahagsmunir útgefenda eða vinnsluaðila krefjast þess og málefnaleg ástæða þykir til.
Einnig eru persónugreinanlegar upplýsingar um færslur á korti MasterCard korthafa sendar MasterCard Worldwide, þ.e.: upplýsingar um kortnúmer, hvenær færsla er gerð, fjárhæð færslu og hver starfsemi seljanda er.
Korthafi veitir Kaupþing heimild til að vinna persónuupplýsingar til þess að búa til persónusnið. Persónusnið verður til þegar persónuupplýsingum er steypt saman til að finna hóp fólks sem fellur inn í sameiginlegt mynstur að því er varðar hátterni og þarfir. Korthafi veitir Kaupþingi heimild til að vinna persónuupplýsingar í persónusnið í þeim tilgangi að geta haft samband við og boðið korthafa vörur og þjónustu með samstarfsaðilum sem tekur mið af framangreindri vinnslu persónuupplýsinga. Heimildin til vinnslu gildir í 5 ár en Kaupþingi er heimilt að vinna upplýsingar áfram eftir að þær hafa verið gerðar ópersónugreinanlegar.
Korthafi veitir Kaupþing heimild til að vinna úr persónuupplýsingum markaðsupplýsingar til þess að skipuleggja gerð tilboða, afslátta eða sérkjara til korthafa, meta svörun og árangur og miðla slíkum markaðsupplýsingum til samstarfsaðila eftir að þær hafa verið gerðar ópersónugreinanlegar. Með orðinu „ópersónugreinanlegar“ er átt við að ekki er hægt að rekja markaðsupplýsingar til tiltekins korthafa.
Umsækjandi og korthafi heimila Kaupþingi að vinna persónuupplýsingar sem veittar eru við umsókn til að greina og meta lánshæfi, skilvísi og greiðslugetu. Persónuupplýsingum er hvorki miðlað til umsækjenda eða korthafa um aðra einstaklinga við mat á greiðslugetu og lánshæfi né er persónuupplýsingum miðlað til annarra um umsækjanda og korthafa. Heimildin til að vinna með persónuupplýsingarnar gildir í tvö ár frá því að umsókn er lögð inn til Kaupþings. Umsækjandi og korthafi veita Kaupþing jafnframt heimild til þess að Kaupþing vinni persónuupplýsingarnar eftir þann tíma eftir að þær hafa verið gerðar ópersónugreinanlegar.
Öll vinnsla persónuupplýsinga fer að öðru leyti fram í samræmi við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
15) Heimild til að hafa samband við korthafa í gegnum farsíma, tölvupóst og önnur fjarskiptatæki
Korthafi veitir Kaupþingi heimild til þess að senda SMS, MMS, tölvupóst eða önnur rafræn skilaboð 3-5 sinnum í mánuði um tilboð, afslátt eða sérkjör frá samstarfsfyrirtækjum. Korthafi veitir Kaupþingi heimild til að senda korthafa skilaboð er varða notkun kortsins eða tilkynningar um breytingar á skilmálum kortsins. Rafrænu skilaboðin og innihald þeirra byggja á vinnslu persónuupplýsinga um korthafa sem fram fer á grundvelli samþykkis í grein 10 í skilmálum þessum.
Í tilefni af kvörtuninni óskaði Persónuvernd eftir afstöðu Kaupþings til þess hvort bankinn teldi skilmála þessa í samræmi við 7.-9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í ljósi þess að skilmálarnir áttu að taka gildi 10. mars óskaði Persónuvernd jafnframt eftir afstöðu bankans til þess að fresta gildistöku þeirra skilmála sem kvörtunin lyti að á meðan á afgreiðslu málsins stæði.
Hinn 5. mars ákvað Kaupþing að afturkalla gildistöku kortaskilmálanna. Persónuvernd ákvað því að aðhafast ekki frekar í málinu. Vegna fyrirspurna sem stofnuninni hafa borist skal tekið fram að engin afstaða var tekin til þess hvort skilmálarnir hafi samræmst ákvæðum laga um persónuvernd.