Úrskurður Persónuverndar um aðgang að atburðaskrám (log-skrám) viðskiptabanka.
Á fundi stjórnar Persónuverndar þann 28. febrúar 2005 var kveðinn upp svohljóðandi úrskurður í máli nr. 2004/144:
I.
Grundvöllur máls
Þann 2. apríl 2004 barst Persónuvernd kvörtun frá A, hér eftir nefndur málshefjandi, yfir því að X hafi hafnað kröfu hans um að fá lista yfir nöfn þeirra starfsmanna bankans sem skoðað hafi fjárhagsupplýsingar um hann, hvenær það hafi verið gert og í hvaða útibúi bankans. Í kvörtuninni segir að tildrög kröfunnar séu að honum hafi borist orðrómur um að það tíðkist eða hafi tíðkast, hjá einhverjum starfsmönnum, að skoða fjárhagsupplýsingar viðskiptamanna fyrir forvitni sakir. Með erindinu fylgdi afrit af tölvubréfi frá X, dags. 24. mars 2004, þar sem fram kemur að bankinn fellst ekki á kröfuna. Málshefjandi byggir kröfu sína um aðgang að framangreindum upplýsingum á 3. tl. 1. mgr. 18. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en samkvæmt því ákvæði á hinn skráði rétt á því að ábyrgðaraðili veiti honum vitneskju um "hver fær, hefur fengið eða mun fá upplýsingar um hann."
Bréfaskipti
Með bréfi til X, dags. 16. apríl 2004, veitti Persónuvernd honum kost á því að tjá sig um kvörtun málshefjanda. Í svarbréfi bankans, dags. 18. maí 2004, kemur fram að hann telji upplýsingarétt hins skráða, samkvæmt 3. tl. 1. mgr. 18. gr. laga nr. 77/2000, ekki veita málshefjanda rétt til aðgangs að umbeðnum upplýsingum, nema sérstök ástæða gefist til. Enn fremur er skírskotað til sjónarmiða um kostnað sem af því myndi hljótast ef leggja ætti í rannsókn á umræddum upplýsingum af minnsta tilefni.
Málshefjanda var, með bréfi Persónuverndar dags. 27. maí 2004, boðið að gera athugasemdir við framangreint svar X. Í svarbréfi sínu, dags. 8. júní 2004, mótmælir hann því að krafa um afhendingu umbeðinna upplýsinga verði að styðjast við frekari rökstuðning eða vera til komin af sérstöku tilefni. Þá er því andmælt að bankinn geti borið fyrir sig sjónarmið um kostnað við að rannsaka umbeðin gögn, enda lúti krafan eingöngu að afhendingu þeirra.
Með bréfi Persónuverndar, dags. 14. júní 2004, voru framangreindar athugasemdir málshefjanda sendar X til kynningar og honum gefið tækifæri að tjá sig um þær. Í svari X, dags. 20. ágúst 2004, segir að áðurgreint bréf málshefjanda, dags. 8. júní 2004, gefi ekki tilefni til frekari athugasemda.
Í samtali sem málshefjandi átti við Persónuvernd þann 24. ágúst 2004 kom fram að hann takmarkaði kröfu sína við upplýsingar um aðgerðir framkvæmdar síðustu sex mánuði fyrir dagsetningu kvörtunarinnar. Með bréfi, dags. 6. september 2004, til Reiknistofu bankanna óskaði Persónuvernd svara um það hvort unnt væri tæknilega að veita málshefjanda umbeðnar upplýsingar. Svar barst með bréfi Reiknistofu bankanna, dags. 6. september 2004. Þar kemur fram að umræddar upplýsingar séu tiltækar og aðgengilegar í tölvukerfi Reiknistofu bankanna en henni sé óheimilt láta þær í té öðrum en ábyrgðaraðila þeirra, í þessu tilviki X.
Í ljósi framangreindra svara Reiknistofu bankanna kannaði Persónuvernd hvort afstaða X væri óbreytt, þ.e. um að hafna kröfu málshefjanda. Með bréfi dags. 22. september 2004 staðfesti X afstöðu sína.
Með vísun til 38. gr. laga nr. 77/2000 óskaði Persónuvernd eftir því, með bréfi dags. 8. október 2004, að framkvæma vettvangsathugun hjá X. Með svarbréfi, dags. 1. nóvember 2004, lýsti bankinn því yfir að hann teldi ekki vera efni til þess að framkvæma sérstaka vettvangsathugun vegna málsins. Bankinn sendi Persónuvernd hins vegar umræddar upplýsingar á formi atburðaskráa (log-skráa) en gerði þann fyrirvara að þær yrðu ekki afhentar málshefjanda nema á grundvelli rökstuddrar niðurstöðu um að bankanum bæri lagaskylda til þess. Umrædd vettvangsheimsókn fór síðan fram þann 17. febrúar 2005 og var þá m.a. farið yfir umræddar atburðaskrár og fengnar skýringar á efni þeirra.
Með bréfi Persónuverndar, dags. 18. nóvember 2004, var nefnt bréf X sent málshefjanda til kynningar og honum gefinn frestur til að gera athugasemdir við það. Engar athugasemdir bárust frá honum.
Nánar um sjónarmið málsaðila
1.
Í bréfum sínum hefur málshefjandi gert grein fyrir þeim sjónarmiðum sem búa að baki kröfu hans. Í tölvupósti til X, sem fylgdi upphaflegri kvörtun hans til Persónuverndar, segir eftirfarandi:
Það er mín skoðun að um raunverulega hagsmuni viðskiptavina bankans sé að ræða í þessu máli. Enn fremur er það mín skoðun að eina raunhæfa leiðin til að upplýsa mál af þessu tagi, og eins til að koma í veg fyrir að þau komi upp, sé að veita viðskiptavinum aðgang að upplýsingum um það hverjir hafa skoðað upplýsingar um þá. Að lokum tel ég ekkert hafa komið fram í málinu sem rökstyður að hagsmunir bankans eða starfsmanna hans séu fyrir borð bornir þótt þessar upplýsingar séu veittar."
Hefur málshefjandi hafnað þeirri afstöðu X að afhending upplýsinganna verði að styðjast við frekari rökstuðning, eða vera til komin af sérstöku tilefni, sbr. eftirfarandi ummæli hans í bréfi dags. 8. júní 2004:
Varðandi sjónarmið X um óhóflegan kostnað af því að leggja út í rannsókn af minnsta tilefni, segir málshefjandi:
Um það viðhorf X, að mál þetta snúist um hvort brotið hafi verið gegn ákvæðum laga nr. 161/2002 um fjármálafyrirtæki, þ.e. hvort einhverjir af starfsmönnum bankans hafi rofið þagnarskyldu varðandi viðskipta- eða einkamálefni viðskiptamanna hans, sem á þeim hvílir samkvæmt 58. gr. laganna, segir málshefjandi í fyrrnefndu bréfi:
Í bréfum X kemur fram sú afstaða að upplýsingaréttur hins skráða, samkvæmt 3. tl. 1. mgr. 18. gr. laga nr. 77/2000, veiti hinum skráða ekki rétt til aðgangs að þeim upplýsingum sem hann gerir kröfu til, nema sérstök ástæða gefist til. Í bréfi bankans, dags. 18. maí 2004, segir eftirfarandi:
Í bréfi bankans, dags. 22. september 2004, segir og að ekki sé unnt að nota umræddar upplýsingar í þeim tilgangi að kanna hvort unnið hafi verið með persónuupplýsingar um málshefjanda í samræmi við lög. Þá sé bankanum ókleyft að rannsaka slíkt nema á grundvelli ítarlegri upplýsinga frá málshefjanda. Um þetta segir í nefndu bréfi bankans:
Færi viðskiptavinur fram röksemdir fyrir því að starfsmaður bankans hafi misnotað upplýsingar sem hann hefur aðgang að starfs síns vegna eða hann telji á sér brotið með broti starfsmanns gegn þagnarskyldu, mun bankinn að sjálfsögðu kanna slík mál sé þess óskað enda yrðu slíkar ásakanir litnar alvarlegum augum. bankanum er hinsvegar ókleift að kann hvort brotið hafi verið gegn framangreindum grundvallarreglum nema hann fái nánari upplýsingar um það hvar og hvenær brotið er talið hafa átt sér stað. Bankinn telur hinsvegar ekki eðlilegt að viðskiptamaður rannsaki slík mál sjálfur."
Þá hefur bankinn í bréfi sínu, dags. 18. maí 2004, jafnframt skírskotað til sjónarmiða um kostnað ef leggja ætti í rannsókn "af minnsta tilefni".
Forsendur og niðurstaða
1.
Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við "sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tl. 2. gr. laganna. Þá merkir hugtakið vinnsla "sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun.
Þær upplýsingar sem mál þetta varða eru rafrænt skráðar í s.k. atburðarskrár (log-skrár), annars vegar í fyrirspurnarkerfi Reiknistofu bankanna og hins vegar í upplýsingakerfi X, um uppflettingar og aðrar aðgerðir sem framkvæmdar eru í tengslum við reikningshald bankans um viðskiptamenn. Eftir kennitölum er hægt að sækja og taka saman upplýsingar um aðgerðir sem framkvæmdar hafa verið vegna bankareikninga einstakra viðskiptamanna. Slíkar upplýsingar liggja fyrir varðandi bankareikning málshefjanda yfir sex mánaða tímabil fyrir dagsetningu kvörtunar hans, þ.e. 1. apríl 2004.
Með vísan til framangreinds varðar mál þetta rafræna vinnslu persónuupplýsinga sem fellur undir gildissvið laganna, sbr. 3. gr. þeirra. Eðli sínu samkvæmt er þar bæði um að ræða persónuupplýsingar um málshefjanda og þá starfsmenn X sem framkvæmdu þær aðgerðir í tengslum við bankareikning hans sem skráðar eru á atburðaskrár.
Til úrlausnar er krafa málshefjanda um að fá aðgang að tilteknum upplýsingum sem eru rafrænt skráðar í atburðarskrár (log-skrár), en þá kröfu byggir hann á 3. tl. 1. mgr. 18. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þar er kveðið á um rétt hins skráða á að fá frá ábyrgðaraðila vitneskju um "hver fær, hefur fengið eða mun fá upplýsingar um hann." Í þessari grein er fjallað um rétt hins skráða til aðgangs að upplýsingum og er hér að efni til fylgt a-lið 12. gr. tilskipunar ESB. Markmið umrædds ákvæðis 18. gr. í lögunum er að innleiða umrætt ákvæði tilskipunarinnar og verður í ljósi þess ekki skilið svo að það geti veitt hinum skráða rétt til vitneskju um það þegar upplýsingar berast milli einstakra starfsmanna viðkomandi aðila. Skráning upplýsinga þar að lútandi er hins vegar oft liður í því að uppfylla þær skyldur sem hvíla á ábyrgðaraðila skv. 11. gr. laga nr. 77/2000.
Samkvæmt 11. gr. laga nr. 77/2000 skal ábyrgðaraðili "gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi." Með stoð í 3. mgr. 11. gr. hefur Persónuvernd sett reglur nr. 299/2001, um öryggi persónuupplýsinga, til nánari útfærslu á kröfum ákvæðisins. Í 7. gr. þeirra eru taldar upp nokkrar skipulagslegar og tæknilegar öryggisráðstafanir sem ábyrgðaraðila ber að viðhafa með tilliti til þeirrar vinnslu sem fram fer á hans vegum. Samkvæmt þeim ber ábyrgðaraðila m.a. að "tryggja rekjanleika uppflettinga og vinnsluaðgerða", en sú skylda er í framkvæmd einkum uppfyllt með færslu atburðaskráa (log-skráa).
Á fyrirliggjandi atburðaskrám er að finna upplýsingar um það hvaða starfsmenn bankans unnu með upplýsingar um málshefjanda, hvenær og hvar, og tegund framkvæmdra aðgerða. Af þeim verður hins vegar ekkert ráðið um það hvort persónuupplýsingum um fjárhagsstöðu málshefjanda hafi verið miðlað frá X til einhvers utanaðkomandi aðila.
Loks ber að hafa í huga að af eðli máls leiðir að umræddar atburðaskrár hafa að geyma persónuupplýsingar um starfsmenn bankans og miðlun þeirra út fyrir bankanna getur haft ýmsar afleiðingar gagnvart þeim, s.s. að á þá falli órökstuddur grunur um trúnaðarbrest. Atburðaskrár eru ein tegund gagna sem verða til við rafræna vöktun gagnvart starfsfólki, sbr. 6. tl. 2. gr. laga nr. 77/2000 eins það hugtak er þar skilgreint, og hafa einkum orðið til í þeim við vöktun sem ætla verður að einkum að fari fram í þeim tilgangi að tryggja öryggi og gæði þeirrar vinnslu sem bankinn ber ábyrgð á.
Kvörtun málshefjanda lýtur að því að X hafi hafnað kröfu hans um að fá lista yfir nöfn þeirra starfsmanna bankans sem skoðað hafi fjárhagsupplýsingar um hann, hvenær það hafi verið gert og í hvaða útibúi bankans. Fyrir liggur að tæknilega séð er unnt að veita málshefjanda umbeðnar upplýsingar að vissu marki með notkun atburðarskráa Reiknistofu bankanna og X.
Við mat á því hvort X sé hins vegar skylt að veita málshefjanda aðgang að skránum ber að líta til að hann byggir kröfu sína á 3. tl. 1. mgr. 18. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga en eins og áður segir hefur það ákvæði ekki verið túlkað svo að átt sé það þegar upplýsingar berast milli einstakra starfsmanna viðkomandi aðila. Með vísun til þess og að því virtu sem að framan segir um að af umræddum atburðaskrám verður ekki ráðið hvort persónuupplýsingum um fjárhagsstöðu málshefjanda hafi verið miðlað frá X til utanaðkomandi aðila, verður ekki talið að málshefjandi eigi kröfu til aðgangs að skránum á grundvelli framangreinds ákvæðis. Er þá m.a. hafður í huga sá tilgangur sem býr að baki færslu skránna og það eðlilega tilliti sem taka ber til eðlis þeirra persónuupplýsinga sem skrárnar hafa að geyma um starfsfólk bankans.
Tekið skal fram að þessi niðurstaða haggar ekki skyldu X til að rannsaka, m.a. samkvæmt beiðni málshefjanda, hvort unnið hafi verið með persónuupplýsingar í samræmi við lög og reglur, sbr. 12. gr. laga nr. 77/2000 er kveður á um skyldu ábyrgðaraðila til innra eftirlits, og gera málshefjanda, að því búnu grein fyrir niðurstöðum rannsóknarinnar.
X er ekki skylt að afhenda A upplýsingar um nöfn þeirra starfsmanna bankans sem unnu með persónuupplýsingar um hann, hvenær og í hvaða útibúi bankans, á tímabilinu 1. október 2003 til 1. apríl 2004.