Miðlun Íbúðalánasjóðs á persónuupplýsingum
Mál nr. 2016/1777
Persónuvernd hefur úrskurðað að miðlun Íbúðalánasjóðs á persónuupplýsingum um kvartanda hafi verið andstæð ákvæðum laga nr. 77/2000. Nánar tiltekið laut kvörtun að því að upplýsingum um lán kvartanda hjá Íbúðalánasjóði hefði verið miðlað til bróður kvartanda eða lögmanns hans án heimildar. Óumdeilt var að umræddar persónuupplýsingar um kvartanda stöfuðu frá Íbúðalánasjóði, þótt ekki lægi fyrir með hvaða hætti miðlunin atvikaðist. Samkvæmt upplýsingum málsins var miðlunin afleiðing mistaka og engin heimild fyrir henni samkvæmt 1. mgr. 8. gr. laga nr. 77/2000. Í ljósi viðbragða Íbúðalánasjóðs var ekki talin ástæða til að aðhafast frekar, en minnt var á að við alla vinnslu persónuupplýsinga beri að fara að ákvæðum 11. gr. laga nr. 77/2000, sbr. einnig 4. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga.
Úrskurður
Á fundi stjórnar Persónuverndar þann 26. júní 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1777.
I.
Málsmeðferð
1.
Tildrög máls
Þann 12. desember 2016 barst Persónuvernd tölvupóstur frá [A] (hér eftir nefnd kvartandi) varðandi miðlun persónuupplýsinga án heimildar frá Íbúðalánasjóði. Í póstinum gerir kvartandi nánar tiltekið athugasemd við að upplýsingum um lán hennar hjá Íbúðalánasjóði, sem hún greiddi upp nokkrum árum áður, hafi verið miðlað til bróður hennar eða lögmanns hans án heimildar.
Samkvæmt tölvupósti, þann 19. s.m., kemur fram að kvartandi hafi komið í höfuðstöðvar sjóðsins og rætt við ráðgjafa í nóvember 2016. Þar hafi kvartandi framvísað gögnum sem m.a. höfðu að geyma greiðsluyfirlit yfir lánið sem kvartandi var með hjá Íbúðalánasjóði. Samkvæmt upplýsingum frá kvartanda, í fyrrgreindu erindi dags. 12. desember s.á., hafi bróðir kvartanda og lögmaður hans komist yfir þessar upplýsingar með einhverjum hætti og sent kvartanda. Í tölvupóstinum segir að ekki liggi fyrir upplýsingar eða skráningar um að öðrum hvorum þeirra hafi verið afhentar þessar upplýsingar af hálfu sjóðsins. Þó sé ljóst að upplýsingarnar stafi frá sjóðnum og bendi allt til þess að þær hafi verið afhentar út úr sjóðnum. Slíkt sé skýrt brot á þeim reglum sem gildi innan sjóðsins um meðferð trúnaðarupplýsinga, og sé t.a.m. með öllu óheimilt að afhenda upplýsingar um viðskipti við einstaklinga nema til viðskiptavinarins sjálfs eða þess sem framvísar gildu umboði til að koma fram fyrir hans hönd. Hafi annað verið gert hafi verið um mistök eða brot í starfi að ræða. Loks er tekið fram að farið hafi verið yfir málið með starfsfólki og reglurnar áréttaðar og kvartandi að lokum beðinn afsökunar.
Með tölvupósti, dags. 21. febrúar 2017, leiðbeindi Persónuvernd kvartanda um möguleika á að senda stofnuninni formlega kvörtun, væri til staðar ágreiningur um lögmæti vinnslu persónuupplýsinga. Svarbréf kvartanda barst Persónuvernd sama dag. Kom þar fram að hún óskaði eftir því að litið yrði á erindi hennar frá 12. desember 2016 sem formlega kvörtun. Með tölvupósti, dags. 22. febrúar s.á., leiðbeindi Persónuvernd kvartanda m.a. um að þegar kvörtun væri tekin til meðferðar væri gagnaðila tilkynnt um það og honum gefinn kostur á að koma á framfæri andmælum sínum.
2.
Bréfaskipti
Með bréfi, dags. 22. júní 2017, var Íbúðalánasjóði boðið að koma á framfæri skýringum vegna kvörtunarinnar. Var sérstaklega óskað eftir upplýsingum um þær öryggisráðstafanir sem sjóðurinn hefði gripið til í því skyni að koma í veg fyrir að ólögmæt miðlun persónuupplýsinga ætti sér stað.
Svarbréf Íbúðalánasjóðs, dags. 5. júlí 2017, barst Persónuvernd þann 7. s.m. Í bréfinu kemur m.a. fram að kvartandi hafi komið í Íbúðalánasjóð í lok nóvember 2016. Erindi hennar hafi verið að kanna hvort greiðsluyfirlit láns, sem hún hafði þá þegar greitt upp, hefði verið afhent bróður hennar eða lögfræðingi hans. Meðferðis hafði hún útprentun á téðu greiðsluyfirliti ásamt öðrum gögnum, sem hún sagði að bróðir hennar og lögmaður hans hefðu komist yfir. Þjónustufulltrúi hafi tjáð henni að málið yrði kannað og að ef upplýsingarnar hefðu verið afhentar án heimildar væri það litið alvarlegum augum. Þá er tekið fram að athugun hafi leitt í ljós að ekki lægju fyrir upplýsingar eða skráning um að bróður kvartanda eða lögmanni hans hefðu verið afhentar þessar upplýsingar. Hins vegar sé ljóst að upplýsingarnar stafi frá Íbúðalánasjóði og því líklegt að þær hafi verið afhentar út úr sjóðnum. Kvartanda hafi verið sendur tölvupóstur, dags. 19. desember 2016, þar sem henni hafi verið gert viðvart um þetta. Í svarbréfinu er enn fremur vísað til reglna stjórnar Íbúðalánasjóðs um meðferð trúnaðarupplýsinga, sem settar hafi verið á grundvelli 8. gr. f. laga um húsnæðismál, nr. 44/1998, og 18. gr. laga um réttindi og skyldur starfsmanna ríkisins, nr. 70/1996. Gildandi reglur hafi verið samþykktar þann 9. september 2015. Yfirlýst markmið reglnanna sé að vernda einkahagsmuni viðskiptavina sjóðsins og gæta að því að meðferð upplýsinga sé ávallt í samræmi við lög og vandaða stjórnsýsluhætti. Í þeim sé kveðið á um vandaða meðferð gagna og upplýsinga sem háðar séu þagnarskyldu. Þá sé sérstaklega fjallað um upplýsingar um málefni viðskiptavina, hvaða upplýsingar sé heimilt að veita, hverjum og við hvaða aðstæður. Umræddar reglur fylgdu með bréfi Íbúðalánasjóðs. Í bréfinu er jafnframt áréttað að allir starfsmenn Íbúðalánasjóðs skuli upplýstir um helstu reglur sem um starfsemi sjóðsins gilda og að starfsmenn hafi allir aðgang að gæðahandbók á innri vefsíðu sjóðsins, þar sem umræddar reglur séu birtar.
Í svarbréfinu er tekið fram að í kjölfar þess máls, sem hér um ræðir, hafi farið fram sérstök yfirferð á málinu á fundi viðskiptasviðs Íbúðalánasjóðs, sem annast upplýsingagjöf til viðskiptavina. Í kjölfarið hafi reglur stjórnar sjóðsins um meðferð trúnaðarupplýsinga verið ítrekaðar og sérstaklega sendar starfsmönnum viðskiptasviðs ásamt skýringum. Þá hafi allir starfsmenn setið kynningu á lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sem lögfræðingur sjóðsins hélt. Að lokum er tekið fram að umrætt mál hafi verið tekið til ítarlegrar skoðunar innan sjóðsins og teljist upplýst, að því marki sem unnt er, en ekki liggi ljóst fyrir að bróður kvartanda eða lögmanni hans hafi verið afhentar umræddar upplýsingar. Aftur á móti sé ljóst að upplýsingarnar hafi stafað frá Íbúðalánasjóði, sem áður segir. Að athugun sjóðsins lokinni hafi kvartanda verið send tilkynning þess efnis frá framkvæmdastjóra viðskiptasviðs, ásamt afsökunarbeiðni. Loks er ítrekað að starfsmenn hafi í kjölfarið verið minntir á hvaða kröfur séu gerðar til þeirra um meðferð trúnaðarupplýsinga. Tekur Íbúðalánasjóður fram að um eitt og einangrað tilvik sé að ræða, sem felist að öllum líkindum í vangá starfsmanns á að tryggja að fullnægjandi umboð hafi legið fyrir. Viðkomandi starfsmaður sé ekki lengur starfandi hjá Íbúðalánasjóði.
Með bréfi, dags. 21. ágúst 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Íbúðalánasjóðs, til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var svarfrestur veittur til 4. september s.á. Kvartandi hafði samband símleiðis og óskaði eftir lengri svarfresti, sem var veittur til 18. s.m. Engin svör bárust og var erindi Persónuverndar ítrekað með bréfi til kvartanda, dags. 20. október s.á., en í því var upplýst að bærust engin svör fyrir 6. nóvember s.á. yrði málið tekið til efnislegrar úrlausnar hjá stofnuninni. Engin svör bárust.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Íbúðalánasjóður vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í því felst m.a. að ávallt verður að vera fullnægt einhverju af skilyrðum 1. mgr. 8. gr. laganna. Þegar um ræðir vinnslu persónuupplýsinga á vegum stjórnvalda reynir einkum á 3., 5. og 6. tölul. ákvæðisins, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt (a) til að fullnægja lagaskyldu, (b) vegna verks sem unnið er í þágu almannahagsmuna eða (c) við beitingu opinbers valds.
Óumdeilt er að umræddar persónuupplýsingar um kvartanda stöfuðu frá Íbúðalánasjóði, þótt ekki liggi fyrir nákvæmlega með hvaða hætti miðlunin atvikaðist. Þær upplýsingar sem miðlað var voru upplýsingar er varða greiðsluyfirlit yfir lán sem kvartandi hafði hjá Íbúðalánasjóði. Samkvæmt þeim upplýsingum sem liggja fyrir í máli þessu var miðlun framangreindra persónuupplýsinga afleiðing mistaka og engin heimild fyrir henni samkvæmt 1. mgr. 8. gr. laga nr. 77/2000. Var hún því andstæð ákvæðum laganna.
Samkvæmt skýringum frá Íbúðalánasjóði hefur verið farið yfir atvikið og reglur stjórnar Íbúðalánasjóðs um meðferð trúnaðarupplýsinga áréttaðar við starfsmenn. Þá hafi sérstaklega verið farið yfir málið með starfsmönnum á því sviði sjóðsins, sem annast upplýsingagjöf til viðskiptavina, auk þess sem þeim hafi verið sendar fyrrgreindar reglur. Auk þess hafi allir starfsmenn sjóðsins setið sérstaka kynningu á lögum nr. 77/2000. Í ljósi fyrrgreindra viðbragða Íbúðalánasjóðs telur Persónuvernd ekki ástæðu til að aðhafast frekar. Engu að síður minnir Persónuvernd á að við alla vinnslu persónuupplýsinga, þ.m.t. miðlun þeirra, ber að fara að ákvæðum 11. gr. laga nr. 77/2000, sbr. einnig 4. gr. reglna nr. 299/2001, um öryggi persónuupplýsinga. Í því felst að gera þarf skipulagslegar og tæknilegar öryggisráðstafanir til að tryggja öryggi persónuupplýsinga, s.s. að þær berist ekki óviðkomandi. Við val öryggisráðstafana skal taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á. Skulu þær tryggja nægilegt öryggi með hliðsjón af nýjustu tækni og kostnað við framkvæmd þeirra.
Meðferð máls þessa hefur tafist vegna mikilla anna hjá Persónuvernd.
Ú r s k u r ð a r o r ð:
Miðlun Íbúðalánasjóðs á persónuupplýsingum um [A] samrýmdist ekki ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.