Miðlun Arion banka hf., Íslandsbanka og Landsbankans hf. á upplýsingum um lögheimili úr þjóðskrá gegnum netbanka
Mál nr. 2020010602
Persónuvernd hefur úrskurðað að Arion banka hf., Íslandsbanka og Landsbankanum hf. sé heimilt að gera upplýsingar um lögheimili kvartanda eins og það er skráð í þjóðskrá aðgengilegt í gegnum netbanka. Með 12. gr. laga nr. 140/2019, um skráningu einstaklinga, er Þjóðskrá Íslands veitt heimild til að miðla upplýsingum úr þjóðskrá og til að heimila öðrum miðlun slíkra upplýsinga. Þá er í 14. gr. sömu laga og í 7. gr. laga nr. 80/2018, um lögheimili og aðsetur, sérstaklega fjallað um hvenær Þjóðskrá Íslands er heimilt að fallast á ósk einstaklings um dulið lögheimili. Með vísan til framangreindra lagaákvæða er komist að þeirri niðurstöðu að fyrir liggi það mat löggjafans að hagsmunir af miðlun upplýsinga um lögheimili vegi þyngra en hagsmunir einstaklinga af því að þeim verði ekki miðlað. Vinnslan geti þ.a.l. byggst á 6. tölul. 9. gr. laga nr. 90/2018 og samrýmist því ákvæðum laganna.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 28. maí 2020 var kveðinn upp svohljóðandi
úrskurður í máli nr. 2020010602 (áður 2019030755):
I.
Málsmeðferð
1.
Tildrög máls
Hinn 25. mars 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) yfir miðlun Arion banka hf., Íslandsbanka og Landsbankans hf. á upplýsingum um lögheimili úr þjóðskrá til þriðju aðila án samþykkis kvartanda.
Með bréfum, dags. 2. maí 2019, var bönkunum þremur boðið að koma á framfæri skýringum vegna kvörtunarinnar. Barst svar Arion banka hf. með bréfi, dags. 16. maí 2019 og svör Íslandsbanka annars vegar og Landsbankans hf. hins vegar með bréfum, dags. 15. maí 2019. Með bréfi, dags. 9. ágúst 2019, var kvartanda boðið að koma að athugasemdum við sjónarmið bankanna. Kvartandi staðfesti símleiðis við Persónuvernd þann 27. ágúst 2019 að hún hygðist ekki koma á framfæri frekari athugasemdum en óskaði þess að málið yrði tekið til úrlausnar á grundvelli fyrirliggjandi gagna.
2.
Sjónarmið kvartanda
Kvartandi byggir á því að miðlun banka á upplýsingum um lögheimili hennar úr þjóðskrá sé ekki heimil án sérstaks samþykkis þar að lútandi. Kvartandi geri ekki athugasemdir við að Þjóðskrá Íslands miðli upplýsingum um aðsetur hennar til banka og annarra stofnana sem þurfi að geta unnið með slíkar upplýsingar né við það að bankarnir veiti aðgang að kennitölum vegna bankaviðskipta. Hins vegar vilji kvartandi ekki, starfs síns vegna, að heimilisfang hennar sé gert aðgengilegt þriðju aðilum.
3.
Sjónarmið Arion banka hf.
Arion banki hf. byggir á því að viðskiptavinir bankans þurfi að hafa aðgang að þeim lágmarksupplýsingum sem aðgengilegar eru í þjóðskrá gegnum netbanka til þess að geta afgreitt sig sjálfir, svo sem með millifærslum eða stofnun krafna. Leiði þetta meðal annars til þess að dregið sé úr líkum á því að krafa sem viðskiptavinur þurfi að stofna stofnist á rangan skuldara. Aðgengi að réttum upplýsingum við stofnun kröfu eða millifærslu fjármuna sé því öryggismál. Þá sé heimilisfang notað til aðgreiningar fyrir einstaklinga sem beri sama nafn. Önnur aðferð til aðgreiningar fæli að öllum líkindum í sér víðtækari vinnslu persónuupplýsinga. Einungis sé hægt að fletta upp eftir nafni eða heilli kennitölu en ekki eftir heimilisfangi.
Fram kemur að Arion banki hf. hafi afnot af nafnaskrá þjóðskrár í lokuðu uppflettikerfi á grundvelli samnings við Þjóðskrá Íslands. Samningurinn geri að skilyrði að bankinn veiti viðskiptavinum sínum einungis aðgang að upplýsingunum í lokuðu uppflettikerfi sem sé „sérstaklega hannað til þess að veita aðgang að ofangreindum gögnum þjóðskrár.“ Með lokuðu uppflettikerfi sé átt við að viðskiptavinur hafi fengið aðgang að kerfinu með formlegum hætti og geti ekki komist inn í það nema með því að slá inn notandanafn og lykilorð.
Loks segir í bréfinu að af framansögðu megi sjá að bankinn hafi lögmæta hagsmuni af þeirri vinnslu persónuupplýsinga sem felist í aðgengi viðskiptavina bankans að grunnupplýsingum úr þjóðskrá, sbr. 6. tölul. 9. gr. laga nr. 90/2018. Þá telji bankinn vinnsluna einnig samrýmast meginreglum 8. gr. sömu laga um vinnslu persónuupplýsinga þar sem hann hafi heimild samkvæmt samningi við Þjóðskrá Íslands til að veita viðskiptavinum sínum aðgengi að téðum persónuupplýsingum og ekki sé unnið með frekari upplýsingar en nauðsynlegt sé.
4.
Sjónarmið Íslandsbanka
Af hálfu Íslandsbanka kemur fram að Þjóðskrá Íslands og Íslandsbanki hafi gert með sér samning um afnot bankans af nafnaskrá þjóðskrár. Bankanum sé þannig unnt að veita viðskiptamönnum sínum aðgang að grunnskrá þjóðskrár í lokuðu uppflettikerfi. Samkvæmt framangreindum samningi þurfi að slá inn alla 10 tölustafina sé leitað eftir kennitölu. Við uppflettingu birtist nafn einstaklings, kennitala, heimilisfang, póstnúmer og póststöð, en ekki upplýsingar um hjúskaparstöðu, heilsufar, þjóðerni, trúarbrögð eða þess háttar upplýsingar. Vinnsla þessi sé til þess fallin að auka öryggi við viðskipti í gegnum netbanka og þannig að gæta hagsmuna hins skráða og/eða annars einstaklings. Brýnt þyki að viðskiptamenn bankans hafi aðgang að uppflettikerfi sem þessu, t.d. til að geta sannreynt að um réttan viðtakanda sé að ræða, áður en millifærsla er framkvæmd.
5.
Sjónarmið Landsbankans hf.
Landsbankinn hf. vísar til þess að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjist verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018. Þær upplýsingar sem kvörtunin varðar teljist til almennra persónuupplýsinga. Jafnframt teljist upplýsingar um lögheimili opinberar upplýsingar sem almennt séu veittar þriðja aðila sé þess óskað. Ætli megi af þeim sökum að ábyrgðaraðilum, sem vinna með upplýsingar um heimilisföng manna, sé játað svigrúm til vinnslu slíkra upplýsinga, svo lengi sem vinnslan samrýmist ákvæðum persónuverndarlaga að öðru leyti.
Fram kemur að viðskiptavinir bankans hafi aðgang að tilteknum upplýsingum um nöfn, heimilisföng, póstnúmer, stað og kennitölu aðila úr grunnskrá þjóðskrár gegnum netbanka. Upplýsingarnar séu einungis veittar þeim viðskiptavinum sem hafi aðgang að netbanka Landsbankans hf. Þá sé meðalhófs gætt þar sem einungis sé unnt að skoða tilteknar grunnupplýsingar þrátt fyrir að margþættar persónuupplýsingar séu skráðar í þjóðskrá þar fyrir utan, þ. á m. viðkvæmar persónuupplýsingar. Enn fremur kemur fram að kvartandi hafi ekki sýnt fram á að grundvallarréttindi hennar og frelsi vegi þyngra en hagsmunir Landsbankans hf. og viðskiptavina bankans af vinnslu upplýsinga um heimilisfang kvartanda.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðilar
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar. Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að miðlun upplýsinga um lögheimili kvartanda úr þjóðskrá til notenda netbanka Arion banka hf., Íslandsbanka og Landsbankans hf. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Ekki verður tekin afstaða til miðlunar kennitölu með sama hætti enda lýtur kvörtunin einvörðungu að miðlun upplýsinga um lögheimili.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til teljast Arion banki hf., Íslandsbanki og Landsbankinn hf. vera ábyrgðaraðilar að þeirri vinnslu sem felst í því að veita aðgang að upplýsingum, sem sóttar eru úr þjóðskrá, gegnum netbanka hlutaðeigandi banka. Eðli málsins samkvæmt verða þeir þó ekki taldir sameiginlegir ábyrgðaraðilar. Hins vegar er um að ræða sömu tegund vinnslu persónuupplýsinga, byggða á sambærilegum samningum við Þjóðskrá Íslands, óháð því hver bankanna á í hlut. Verður í því úrskurði þessum fjallað um umrædda vinnslu á vegum allra þriggja bankanna í einu lagi.
2.
Lagaumhverfi
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. þeirrar greinar.
Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Í 2. mgr. 3. gr. laga nr. 140/2019, um skráningu einstaklinga, segir að Þjóðskrá Íslands sjái um þjóðskrá og tengdar skrár, annist rekstur og þróun gagnagrunna og upplýsingakerfa þjóðskrár og annist skráningu einstaklinga í skrána. Þá er fjallað um afhendingu upplýsinga úr þjóðskrá í 12. gr. sömu laga en samkvæmt 1. mgr. ákvæðisins er öll miðlun úr þjóðskrá leyfisskyld. Jafnframt segir að Þjóðskrá Íslands geti miðlað eða veitt miðlurum leyfi til að annast miðlun þjóðskrár á grundvelli samninga og skilmála sem stofnunin setur í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga. Kveðið skal á um skilyrði fyrir leyfi í reglugerð sem ráðherra setur, en við uppkvaðningu þessa úrskurðar hefur slík reglugerð ekki verið sett. Loks er í 14. gr. laganna lögfest vernd skráðra einstaklinga gegn afhendingu upplýsinga, en greinin tekur gildi 1. janúar 2022. Jafnframt er kveðið á um dulið lögheimili í 7. gr. laga nr. 80/2018, um lögheimili og aðsetur, sem tók gildi 1. janúar 2020. Nánari skilyrði þess að Þjóðskrá Íslands heimili að einstaklingur og fjölskylda hans fái lögheimili sitt dulið í þjóðskrá og að því verði ekki miðlað er að finna í 12. gr. reglugerðar nr. 1277/2018, sem sett er með stoð í 18. gr. laga nr. 80/2018.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul).
Mál þetta lýtur að því hvort ábyrgðaraðilunum Arion banka hf., Íslandsbanka og Landsbankanum hf. sé heimilt að veita viðskiptavinum sínum aðgang gegnum netbanka að upplýsingum, sem fengnar eru úr þjóðskrá, um lögheimili kvartanda. Fyrir liggur að á grundvelli samnings Þjóðskrár Íslands við ábyrgðaraðilana er þeim síðarnefndu óheimilt að gera viðskiptavinum sínum kleift að fletta upp eftir öðru en heilli kennitölu eða nafni. Þannig er hvorki unnt að slá inn tiltekið heimilisfang og fá þannig upplýsingar um alla sem þar eru skráðir til heimilis né að slá einungis inn hluta kennitölu.
Ekki verður séð að sú vinnsla, sem felst í ofangreindri miðlun persónuupplýsinga, geti stuðst við aðra heimild en 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018. Kemur þar einkum til skoðunar hvorir hagsmunirnir vegi þyngra; hagsmunir ábyrgðaraðila af því að gera viðskiptavinum sínum kleift að nálgast upplýsingar um heimilisföng einstaklinga úr þjóðskrá gegnum netbanka annars vegar, eða hins vegar hagsmunir skráðra einstaklinga af því að þriðju aðilar geti ekki nálgast umræddar upplýsingar um þá með þeim hætti. Í því sambandi kemur meðal annars til athugunar hvort umrædd vinnsla sé nauðsynleg til að tryggja rétta auðkenningu einstaklinga og áreiðanleika persónuupplýsinga við viðskipti gegnum netbanka.
3.
Niðurstaða
Bankarnir þrír byggja allir á því að aðgengi viðskiptavina þeirra að upplýsingum úr þjóðskrá gegnum netbanka sé til þess fallið að auka öryggi í viðskiptum. Þannig sé unnt að staðfesta að um rétta viðtakendur millifærslna eða réttan skuldara kröfu sé að ræða. Aðgengi að heimilisföngum sé nauðsynlegt í þeim tilfellum þar sem margir einstaklingar beri sama nafn. Þá veiti Þjóðskrá Íslands þeim sem þess óskar almennt upplýsingar um lögheimili einstaklinga eins og það er skráð í þjóðskrá.
Um það verður ekki deilt að brýnt er að tryggja öryggi í viðskiptum, ekki síst bankaviðskiptum á Netinu, þar sem oft eru miklir fjárhagslegir hagsmunir í húfi. Vegast þeir hagsmunir á við hagsmuni kvartanda af því að upplýsingar um lögheimili hennar séu ekki aðgengilegar öllum þeim, sem aðgang hafa að netbanka Arion banka hf., Íslandsbanka eða Landsbankans hf. Til þess að vinnslan geti byggst á heimild 6. tölul. 9. gr. laga nr. 90/2018 þarf hún að vera nauðsynleg til að gæta þeirra hagsmuna.
Líkt og fjallað hefur verið um hér að framan er í lögum nr. 140/2019, um skráningu einstaklinga, kveðið á um heimildir Þjóðskrár Íslands til að miðla upplýsingum úr þjóðskrá og til að heimila öðrum miðlun slíkra upplýsinga á grundvelli samninga og skilmála sem stofnunin setur í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga. Sérstaklega er fjallað um hvenær Þjóðskrá Íslands er heimilt að fallast á ósk einstaklings um að upplýsingum um lögheimili hans verði ekki miðlað úr þjóðskrá í 14. gr. sömu laga sem og í 7. gr. laga nr. 80/2018, um lögheimili og aðsetur.
Að mati Persónuverndar endurspegla ofangreind lagaákvæði það mat löggjafans að almennt vegi hagsmunir af miðlun upplýsinga um lögheimili einstaklinga þyngra en hagsmunir hlutaðeigandi einstaklinga af því að þeim verði ekki miðlað. Enn fremur verður litið svo á að ákvæði um dulið lögheimili og um vernd skráðra einstaklinga gegn afhendingu upplýsinga feli í sér undantekningu frá þeirri meginreglu, að miðlun upplýsinga um lögheimili sé að öðru leyti heimil á grundvelli samninga við Þjóðskrá Íslands eða skilmála sem hún setur. Þá verður ekki talið að vinnslan brjóti í bága við meginreglur 1. mgr. 8. gr. laga nr. 90/2018.
Að framangreindu virtu er niðurstaða
Persónuverndar sú að vinnsla Arion banka hf., Íslandsbanka og Landsbankans hf. á persónuupplýsingum um kvartanda samrýmist lögum nr. 90/2018, um persónuvernd og
vinnslu persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Vinnsla Arion banka hf., Íslandsbanka og Landsbankans hf. á upplýsingum um lögheimili [A] við leit í þjóðskrá gegnum netbanka samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Í Persónuvernd, 28. maí 2020
Björg Thorarensen
formaður
Aðalsteinn Jónasson Ólafur Garðarsson
Vilhelmína Haraldsdóttir