Ólögmæt miðlun persónuupplýsinga frá banka - mál nr. 2011/1306

19.2.2013

Úrskurður

Á fundi stjórnar Persónuverndar þann 25. janúar 2013 var kveðinn upp svohljóðandi úrskurður í máli nr. 2011/1306:

I.
Grundvöllur máls
Málavextir og bréfaskipti

1.
Upphaf máls
Þann 29. nóvember 2011 barst Persónuvernd kvörtun frá A (hér eftir nefndur kvartandi), yfir vinnslu persónuupplýsinga um sig hjá SP-Fjármögnun, nú Landsbankanum hf., og Vörslusviptingum-LMS ehf. Nánar tiltekið kvartaði kvartandi yfir því að sér hefði verið neitað um aðgang að gögnum um sig hjá Vörslusviptingum-LMS ehf., og að SP-fjármögnun hf. (nú Landsbankinn hf.) hafi afhent Vörslusviptingum-LMS ehf. upplýsingar um sig. Loks óskaði kvartandi þess að Persónuvernd skoðaði hvort framangreindir aðilar færu að lögum, og ef svo væri ekki, að stofnunin myndi grípa til viðeigandi aðgerða svo úr yrði bætt.

2.
Bréfaskipti við kvartanda,
Landsbankann og Vörslusviptingar-LMS ehf.
Með bréfi, dags. 2. desember 2011, var Landsbankanum hf. og Vörslusviptingum-LMS ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993.

Í svarbréfi X, hrl., f.h. Vörslusviptinga-LMS ehf., dags. 20. desember 2011, segir m.a. eftirfarandi um starfemi félagsins:

„Starfsemi umbj.m. felst einkum í því að hann selur þjónustu aðallega til lánastofnana, fjármögnunarfyrirtækja, lögmanna og lögfræðistofa, sem felst í því að framfylgja vörslusviptingu á lausafé, s.s. bifreiðum og tækjum.[...] Vörslusviptingar og aðstoð við rýmingu eigna er alltaf unnin fyrir aðra aðila eins og áður er rakið. Umbj.m. hefur aldrei frumkvæði að því að fara út í slíkar aðgerðir. Allar svona gerðir eru unnar á ábyrgð verkbeiðanda sem eru í sumum tilfellu[m] gerðarbeiðendur eða vinna í umboði gerðarbeiðanda, s.s. lögmenn. Ljóst er að hver einasta lögmannsstofa, banki eða lánafyrirtæki getur ekki rekið svona starfsemi og fjárfest í búnaði og aðstöðu til að veita svona sérhæfða þjónustu, né er það hagkvæmt vegna kostnaðar. Sá aðili sem biður umbj.m. um að vinna fyrir sig sendir honum beiðni um að framkvæma viðkomandi verk og þau gögn sem liggja að baki þeirrar heimildar að vörslusvipta viðkomandi hlut eða til að rýma fasteignir.[...]
Vörslusvipting á hlutum fer oft fram í kjölfar þess að nauðungarsölubeiðni hefur verið send sýslumanni[...]. Í sumum tilfellum felst heimildin í samningi gerðarþola við viðkomandi lánafyrirtæki þar sem eru skýr ákvæði um það að gerðarþoli/viðsemjandi skuli skila hlut ef vanskil verða á reglubundnum greiðslum. Í þeim tilfellum skila gerðarþolarnir yfirleitt hlutnum umyrðalaust. Hins vegar eru undantekningar á því og það á jafnt við hvort sem heimild til vörslusviptingar byggist á heimild frá sýslumanni eða skv. úrskurði eða dómi eða skv. samningsákvæði.
Gögn þau sem umbj.m. fær frá gerðarbeiðendum eru afrit af áðurgreindum skjölum. Umbj.m. skráir í tölvukerfi sitt lítið úr þeim gögnum annað en hann þarf til að halda utan um það hver verkbeiðandinn er og hver er gerðarþoli. Símanúmer gerðarþola eru skráð ef þau finnast í símaskrá og lögheimili skv. þjóðskrá. Í verkbókhaldi er síðan haldið utan um verkið, hvenær og hvar gerðin á sér stað og minnispunktar ef eitthvað óvenjulegt kemur upp og einnig er skráð í verkbókhald sundurliðun á því sem er unnið í verkinu og fjöldi tíma til að geta gert verkkaupa grein fyrir umfangi verks og til að rökstyðja þá vinnu sem fer í viðkomandi verk. Í undantekningartilfellum þarf að skoða þessi gögn aftur til upprifjunar, minnispunkta um verkið sem eru alfarið ætluð umbj.m., t.d. ef starfsmaður umbj.m. er kvaddur fyrir dóm ef óskað er eftir vitnisburði hans.[...]
Ef gerðarþoli eða lögmaður hans eða aðili sem hefur skriflegt umboð gerðarþola til að óska eftir gögnum máls hjá umbj.m. er vísað til þess að viðkomandi getur snúið sér til verkbeiðanda/gerðarbeiðanda, auk þess sem gögn eru geymd hjá sýslumanni og dómstólum þegar svo ber undir. Þess ber þó að geta að gerðarþola á ekki að hafa dulist það innheimtuferli sem að lokum leiðir til vörslusviptingar eða útburðar. Umbj.m. getur þá vísað viðkomandi á verkbeiðandann sem á mun heildstæðari gögn um allt ferlið en umbj.m., auk þess sem gerðarbeiðandi er sá aðili sem ber ábyrgð á gerðinni.“

Um erindi kvartanda segir lögmaður Vörslusviptinga-LMS ehf. eftirfarandi:

„Umbj.m. vísar því á bug þessari kvörtun og áréttar að það er ekki haldið utan um nein persónuleg gögn í einhverjum gagnagrunni um gerðarþola nema þær sem koma frá þjóðskrá og símaskrá og hjá Íslandspósti og grunnupplýsingar um viðkomandi mál eins og áður er lýst.[...] Þá skal ennfremur áréttað að á vinnustað umbj.m. kom maður að nafni [...], og með honum voru tveir menn, sem gáfu ekkert upp um hverjir þeri væru. Enginn þessara manna framvísaði persónuskilríkjum. [...] kvaðst vera umboðsmaður A, en framvísaði engu umboði því til sönnunar. [...E]igandi Vörslusviptinga-LMS ehf. neitaði því að ræða nokkuð við þessa menn um málefni A, en ef annar þessara manna sem voru þarna ásamt [...] var kærandi málsins, þá var umbj.m. ókunnugt um það.“

Þann 29. desember 2011 barst Persónuvernd hjálagt svarbréf Landsbankans hf., dags. 22. desember 2011. Þar segir m.a.:

„SP-fjármögnun sem kallast nú Landsbankinn fjármögnun [...] hefur borist erindi Persónuverndar sem dagsett er 2. desember sl. þar sem óskað er eftir afstöðu bankans vegna kvörtunar A.[...]
Landbankinn hefur þá stefnu að láta alla verktaka, þjónustuaðila og aðra þá sem inna verk af hendi fyrir bankann [að] undirrita trúnaðaryfirlýsingu. Eftir atvikum er gerður samningur um þjónustuna þar sem kröfur bankans til þjónustukaupanna koma fram og þar á meðal meðferð trúnaðarupplýsinga. Vörslusviptingar-LMS er þar engin undantekning en við upphaf samstarfs SP-fjármögnunar og Vörslusviptinga-LMS var gerður samningur um þjónustuna þar sem m.a. var kveðið á um trúnaðarskyldu þjónustuaðilans. Landsbankinn getur því miður ekki orðið við þeirri beiðni Persónuverndar að afhenda núgildandi samning á milli SP-fjármögnunar og Vörslusviptinga-LMS þar sem samningurinn finnst ekki. Þess skal þó geta að Landsbankinn hefur undanfarið unnið að gerð þjónustusamnings bankans við Vörslusviptingar-LMS þar sem reynt verður eins og kostur er að taka tillit til þeirra kvartana sem bankanum hefur borist vegna starfa þjónustuaðilans.
Í viðskiptaskilmálum á milli kvartanda og Landsbankans er með skýrum hætti kveðið á um áskilnað bankans til að leita aðstoðar þjónustuaðila líkt og Vörslusviptinga-LMS.[...]“

Um þær upplýsingar sem bankinn afhendir til Vörslusviptinga-LMS ehf., og innheimtuferlið sem hefst í kjölfarið, segir m.a.:

„Það skal áréttað að Vörslusviptingar-LMS fær eingöngu lágmarks persónuupplýsingar frá Landsbankanum. Þegar málefni viðskiptavina er beint í þann farveg sem felst í þjónustu Vörslusviptinga-LMS þá sendir bankinn verkbeiðni á fyrirtækið þar sem fram kemur heimilisfang, aðsetur, símanúmer, netfang og í tilfelli kvartanda var jafnframt gefið upp bílnúmer og lýsing á bifreið. Þegar Vörslusviptingar-LMS móttekur verkbeiðnina þá kanna starfsmenn hvort að upplýsingar í verkbeiðni séu uppfærðar og réttar s.s. bera þær saman við upplýsingar hjá www.ja.is, Þjóðskrá sem og öðrum upplýsingum sem kunna að vera opinberar. Þegar fyrirtækið hefur gengið úr skugga um að persónuupplýsingar í verkbeiðninni séu réttar þá hefst innheimtuferlið. [...F]yrsta skref fyrirtækisins [er] að hringja í viðkomandi og tilkynna honum um næstu aðgerðir, ef sú viðvörun dugar ekki er haft aftur samband við aðila og óskað eftir fundi með viðkomandi til að ganga frá þeim atriðum sem í verkbeiðni fólust, sem er oft á tíðum vörslusvipting tækis. Ef viðkomandi verður ekki við fundarbeiðninni þá gera starfsmenn Vörslusviptinga-LMS tilraun til að hafa uppá viðkomandi á heimili, dvalarstað eða vinnustað. Starfsmenn Vörslusviptinga-LMS kynna sig almennt sem starfsmenn fyrirtækisins og að þeir séu að vinna fyrir hönd t.d. Landsbankans fjármögnunar.“

Um beiðni kvartanda um aðgang að gögnum segir bankinn eftirfarandi:

„Í erindi kvartanda kom fram að hann hafi ásamt vitnum tekið hús á Vörslusviptingum-LMS ehf. með það að markmiði að fá afrit af öllum þeim persónuupplýsingum sem félagið vistar um kvartanda en hefði verið neitað um það. Þegar Landsbankinn leitaði skýringa á umræddri málsmeðferð verktakans þá gaf X hrl., sem er lögmaður félagsins sömu skýringar og félagið hefur þegar komið á framfæri við Persónuvernd með vísan til bréfs hans til Persónuverndar dagsett 20. desember sl.[...] Í þessu skyni ber að hafa í huga að þagnarskylda 58. gr. laga nr. 161/2002 um fjármálafyrirtæki framlengist til allra þeirra aðila, þ.m.t. verktaka, sem fá vitneskju um upplýsingar sem falla undir þagnarskylduna. Verktakar sem vinna verk fyrir hönd bankans ber því að gera ríkar kröfur til allra upplýsingabeiðna sem þeim berast. Hefði beiðni um almenna vinnslu persónuupplýsinga hjá Landsbankanum og verktökum á hans vegum verið beint til bankans þá hefði bankinn orðið góðfúslega við henni.“

Með bréfi, dags. 24. janúar 2012, óskaði Persónuvernd eftir nánari skýringum frá Landsbankanum hf. Í erindi Persónuverndar segir m.a. eftirfarandi:

„Af gögnum máls má ráða að Landsbankinn sé ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fram fer hjá Vörslusviptingum-LMS ehf. í tilviki kvartanda og að Vörslusviptingar-LMS ehf. hafi stöðu vinnsluaðila. Með vísan til framangreinds óskar Persónuvernd eftir nánari skýringum frá Landsbankanum um hvernig hann hyggst eða hefur brugðist við beiðni kvartanda, í ljósi 18. gr. laga nr. 77/2000.“

Þann 9. febrúar 2012 barst Persónuvernd hjálagt svarbréf Landsbankans hf., dags. 6. febrúar 2012. Í því bréfi segir m.a.:

„Landsbankinn hefur ekki hug á að bregðast frekar við af fyrra bragði við kvörtun A þar sem beiðni um ítarlegri gögn hefur ekki borist bankanum frá kvartanda. Þá taldi Landsbankinn framangreindar upplýsingar [í bréfi bankans til Persónuverndar, dags. 22. desember 2011] vera fullnægjandi til að kvartandi gæti áttað sig á umfangi vinnslu persónuupplýsinga sem varða hann vegna starfa Vörslusviptinga-LMS. Í fyrra bréfi Landsbankans komu fram þeir fimm töluliðir sem 18. gr. laga nr. 77/2000 gerir ráð fyrir að kvartandi eigi rétt á að fá vitneskju um s.s.
1. Hvaða upplýsinga unnið hefur verið með sbr. 1. tl.
Nafn, heimilisfang, aðsetur, símanúmer, netfang, skráningarnúmer bifreiðar og lýsing á bifreið. Þá kanna Vörslusviptingar jafnframt hvort að fleiri upplýsingar séu aðgengilegar og opinberlega á vefnum en Landsbankanum er ekki kunnugt um að öðrum upplýsingum en úr Þjóðskrá og símaskrá hafi verið aflað.
2. Tilgangur vinnslunnar sbr. 2. tl.
Tilgangur vinnslunnar var þekktur og kynntur fyrir kvartanda þ.e.a.s. vegna vanefnda á samning.
3. Hver hefur fengið upplýsingar um kvartanda sbr. 3. tl.
Starfsfólk Landsbankans sem vinnur að úrlausn málefna kvartanda sem og starfsmenn Vörslusviptinga-LMS hafa unnið með upplýsingarnar í samræmi við þær aðferðir sem lýst hefur verið.
4. Hvaðan koma upplýsingarnar sbr. 4. tl.
Upplýsingarnar koma frá kvartanda sjálfum við upphaf samningssambands aðila. Þá hefur ábyrgðaraðili uppfært upplýsingarnar eins og tilefni hefur verið til í samræmi við kröfur laga. Jafnframt hefur Vörslusviptingar-LMS gert tilraun til að afla frekari upplýsinga um kvartanda sem hefur verið birt opinberlega á vefnum.
5. Öryggisráðstafanir við vinnsluna sbr. 5. tl.
Kvartandi óskaði ekki eftir upplýsingum um öryggisráðstafanir.
Landsbankinn getur ekki orðið við kröfu kvartanda um að veita afrit af öllum upplýsingum sem bankinn kann að vista um kvartanda þar sem önnur gögn en hér að framan er getið teljast sem vinnuskjöl bankans og kunna sem slík að vera ónákvæm. Dæmi um önnur gögn vegna málsins eru tölvupóstar á milli starfsmanna, vinnuskýrslur starfsmanna Vörslusviptinga-LMS sem og önnur samskipti þar sem málefni annarra viðskiptavina bankans kunna að koma fram og eru því ekki tæk til afhendingar til kvartanda.
Að lokum skal geta þess að í kjölfar kvörtunarinnar hefur Landsbankinn skipað vinnuhóp innan bankans til að endurskoða samstarf og verkefni Vörslusviptinga-LMS. Vinnuhópurinn er m.a. ætlað að útfæra nýjan vinnslusamning bankans við Vörslusviptinga-LMS. Samningurinn er ekki fullgerður en Landsbankinn mun senda Persónuvernd afrit af samningnum komi fram beiðni um það.“

Með bréfi, dags. 9. febrúar 2012, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomin svarbréf Landsbankans hf. og Vörslusviptinga-LMS ehf., til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Þá var þess jafnframt óskað að fram kæmi hvort kvartandi hefði þegar snúið sér til Vörslusviptinga-LMS ehf. eða Landsbankans hf. og beðið um aðgang að upplýsingum um sig, sbr. ákvæði 18. gr. laga nr. 77/2000, en verið synjað.

Í svarbréfi kvartanda, dags. 23. febrúar 2012, er óskað eftir lengri svarfresti til 29. febrúar 2012, til að svara áðurnefndu bréfi Persónuverndar. Þó svarar kvartandi í bréfinu þeirri spurningu Persónuverndar, um hvort hann hafi þegar snúið sér til Vörslusviptinga-LMS ehf. eða Landsbankans hf. og beðið um aðgang að upplýsingum um sig, með þeim hætti að hann hafi ítrekað leitað til SP-fjármögnunar hf./Landsbankans hf. og Vörslusviptinga-LMS ehf. og óskað eftir aðgangi að eða afriti af öllum upplýsingum um hann sem vistaðar eru í tölvukerfum eða gagnasöfnum þessara aðila. Þá hafi þess verið óskað bréflega, munnlega símleiðis sem og í heimsóknum kvartanda til beggja aðila. Í öllum tilvikum hafi honum verið neitaðar þessar upplýsingar. Fullyrðing bankans um að hann hefði orðið góðfúslega við slíkri beiðni eigi við engin rök að styðjast.
Í síðara svarbréfi kvartanda, dags. 29. febrúar 2012, segir m.a. að það komi skýrt fram í svarbréfi X, hrl., f.h. Vörslusviptinga-LMS ehf. að umbeðin gögn séu til staðar og því sé það krafa hans að hann leggi fram afrit af þeim. Þá bendir kvartandi á að Vörslusviptingar-LMS ehf. hafa aldrei sótt um starfsleyfi í samræmi við innheimtulög nr. 95/2008, og dregur hann í efa að Landsbankinn geti með þjónustu- eða verktakasamningi, eða engum samningi, falið ótengdum aðila án starfsleyfis innheimtu fyrir hönd bankans. Loks bendir kvartandi á að hann vill fá afrit af öllum þeim upplýsingum er kunna að vera vistaðar um hann í gagnasafni Landsbankans og gagnasafni þjónustuaðilans, Vörslusviptinga-LMS ehf.

Með bréfi, 14. mars 2012, var kvartanda tilkynnt um að Persónuvernd hefði óskað eftir afstöðu Fjármálaeftirlitsins til lögmætis starfsemi Vörslusviptinga-LMS ehf. Þá var kvartanda tilkynnt að málið yrði tekið til frekari skoðunar hjá Persónuvernd þegar niðurstaða FME lægi fyrir.

Með bréfi, dags. 7. ágúst 2012, var þess óskað að Landsbankinn skýrði frá því hvaða upplýsingar hann hefði þegar veitt kvartanda og hvort hann teldi sig hafa uppfyllt skyldu sína gagnvart kvartanda, sbr. 18. gr. laga nr. 77/2000. Í svarbréfi bankans, dags. 17. ágúst 2012, segir að bankinn hafi þegar afhent kvartanda afrit af öllum þeim upplýsingum sem hann hefur óskað eftir og sem hann hefur rétt á að fá afhent sem viðskiptavinur bankans. Þá sagðist bankinn ekki hafa tök á að útlista með skýrum hætti hvaða upplýsingar kvartandi hefði þegar fengið afhentar þar sem ekki er haldin sérstök skrá yfir slíkt. Einu upplýsingarnar sem kvartanda hefur verið neitað um eru gögn vegna sölu bankans á bifreið sem var vörslusvipt af kvartanda, þar sem slíkar upplýsingar eru trúnaðarmál á milli kaupanda bifreiðarinnar og bankans. Óski kvartandi frekari upplýsinga en þær sem þegar hafa verið afhentar mun bankinn verða við slíkri beiðni.

Kvartanda var sent afrit af framangreindu svarbréfi bankans með bréfi, dags. 5. september 2012, og honum gefinn kostur á að koma á framfæri athugasemdum. Þá var þess óskað að kvartandi upplýsti Persónuvernd um hvaða ágreining hann teldi vera uppi milli hans og ábyrgðaraðila, en væri slíkum ágreiningi ekki lengur til að dreifa mætti vænta þess að málið yrði fellt niður að því er varðar þann þátt kvörtunarinnar. Svarfrestur var veittur til 20. september s.á., en engar athugasemdir bárust.

3.
Öflun upplýsinga hjá Fjármálaeftirlitinu
Í tilefni af ábendingu kvartanda um að Vörslusviptingar-LMS ehf. hefði ekki innheimtuleyfi frá Fjármálaeftirlitinu (FME) sendi Persónuvernd bréf til FME dags. 6. mars 2012 með fyrirspurn um það efni. Var  þar upplýst um að Persónuvernd hafi borist allnokkrar kvartanir yfir umræddri innheimtustarfsemi. Áður en unnt væri að taka afstöðu til þess hvort umrædd vinnsla persónuupplýsinga fari fram með réttum aðferðum þyrfti sú forsenda að liggja fyrir að um lögmæta starfsemi sé að ræða. Vísað var til innheimtulaga nr. 95/2008, og ákvæða 15. og 16. gr. þeirra um leyfisveitingar, og spurt hvort FME hefði veitt tilgreindum aðilum slík starfsleyfi. Í svarbréfi FME, dags. 20. mars 2012, kom fram að hvorki Vörslusviptingar ehf. né Vörslusviptingar-LMS ehf. hefðu slíkt starfsleyfi en óskað var frekari upplýsinga frá Persónuvernd um starfsemi viðkomandi félaga. Í framhaldinu urðu frekari bréfaskipti milli Persónuverndar og FME um starfsemi félaganna.
Niðurstaða FME  um það hvort viðkomandi félög hefðu þurft starfsleyfi á því tímabili sem kvörtunin beinist barst til Persónuverndar, dags. 17. september 2012, þar sem segir m.a.:

„Frá gildistöku [innheimtulaganna nr. 95/2008] var það túlkun Fjármálaeftirlitsins að vörslusvipting sem slík félli ekki undir frum- eða milliinnheimtu og því væri starfsemi slíkra fyrirtækja ekki leyfisskyld samkvæmt lögunum.
Með lögum nr. 78/2012, sem tóku gildi 18. júní 2012, var gildissviðinu breytt á þann veg að innheimtuaðili teljist vera einstaklingur eða lögaðili sem annast innheimtu, þ.m.t. vörslusviptingu. Það er mat Fjármálaeftirlitsins að með framangreindri lagabreytingu hafi gildissvið laganna verið útvíkkað þannig að það taki einnig til fyrirtækja sem annist vörslusviptingu fyrir aðra. Í því felst að nú þurfa slík fyrirtæki að fá innheimtuleyfi frá Fjármálaeftirlitinu og uppfylla öll ákvæði laganna.
Niðurstaða Fjármálaeftirlitsins í tengslum við framangreinda skoðun var að miðað við fyrirliggjandi gögn og upplýsingar væri ekki tilefni til frekari athugunar á starfsemi félagsins. Áskildi Fjármálaeftirlitið sér þó rétt til þess að taka málið aftur til skoðunar ef fram kæmu ný gögn eða upplýsingar.
Í ofangreindu felst að ekki var staðfest að í háttsemi Vörslusviptinga-LMS ehf., hafi falist innheimta sem væri leyfisskyld samkvæmt innheimtulögum.
Fjármálaeftirlitið hefur þegar sent bréf til þeirra fyrirtækja sem stunda vörslusviptingu í tengslum við frum- og milliinnheimtu þar sem athygli er vakin á þeim breytingum sem gerðar voru á innheimtulögunum með lögum nr. 78/2012 og skorað á þau fyrirtæki að sækja um innheimtuleyfi í samræmi við ákvæði laganna.“

Með bréfi, dags. 1. október 2012, gerði FME síðan frekari grein fyrir niðurstöðu sinni. Þar segir m.a.:

 [...] Í niðurstöðu[...] [Fjármálaeftirlitsins, dags. 17. september sl.] felst að ekki var hægt að sýna fram á það að Vörslusviptingar-LMS ehf., hafi í starfsemi sinni sinnt öðrum verkefnum en vörslusviptingu og því hafi starfsemi þeirra samræmst innheimtulögum eins og gildissvið þeirra var skilgreint á þeim tíma sem háttsemin fór fram.
Eftir þær breytingar sem gerðar voru í tengslum við skilgreiningu frum- og milliinnheimtu innheimtulaganna í júní sl., er enginn vafi á því að fyrirtæki sem sinna vörslusviptingu fyrir aðra þurfa að afla sér starfsleyfis samkvæmt lögunum.“

II.
Forsendur og niðurstaða

1.
Afmörkun úrlausnarefnis
Úrlausnarefnið í máli þessu er þríþætt. Í fyrsta lagi var kvartað yfir því að Vörslusviptingar-LMS ehf. hafði ekki veitt kvartanda aðgang að upplýsingum um sig. Eins og að framan hefur verið rakið telur ábyrgðaraðili gagnanna, n.t.t Landsbankinn hf., sig hafa fullnægt skilyrðum 18. gr. laga nr. 77/2000 og veitt kvartanda fullnægjandi upplýsingar. Kvartanda var gefinn kostur á að mótmæla framangreindu, teldi hann enn ágreining vera til staðar og var svarfrestur veittur til 20. september 2012. Engin svör bárust og telur því Persónuvernd að enginn ágreiningur sé nú uppi um þennan þátt og er hann því felldur niður.

Í öðru lagi var óskað eftir því að Persónuvernd kannaði hvort framangreindir aðilar færu að lögum. Af tilefni þessa kvörtunar, sem og annarra er bárust stofnuninni, var óskað eftir því við Fjármálaeftirlitið að það tæki til skoðunar hvort Vörslusviptingar-LMS ehf. starfaði í samræmi við ákvæði innheimtulaga nr. 95/2008, eins og áður greinir. Í svarbréfi FME, dags. 1. október 2012, segir að ekki hafi verið unnt að sýna fram á það að Vörslusviptingar-LMS ehf. hafi sinnt öðrum verkefnum en þeim var heimilt samkvæmt innheimtulögum, eins og gildissvið laganna var afmarkað á þeim tíma er háttsemin fór fram. Í ljósi framangreinds taldi FME að ekki væri um ólögmæta starfemi að ræða hjá Vörslusviptingum-LMS ehf.

Í þriðja lagi var kvartað yfir því að Landsbankinn hf. (áður SP-fjármögnun hf.) hafi miðlað upplýsingum um kvartanda til Vörslusviptinga-LMS ehf. Mun eftirfarandi umfjöllun lúta að úrlausn þessa álitamáls.

2.
Töf við afgreiðslu málsins
Eins og þegar hefur verið rakið bárust Persónuvernd á árinu 2011 nokkrar kvartanir yfir vinnslu persónuupplýsinga hjá Vörslusviptingum-LMS ehf. Við meðferð málanna vöknuðu spurningar um lögmæti starfseminnar er þar fór fram og var því óskað eftir áliti Fjármálaeftirlitsins þar að lútandi. Var kvartanda í þessu máli tilkynnt sérstaklega um það með bréfi, dags. 14. mars og 5. september 2012, og honum tjáð að mál hans yrði tekið til frekari skoðunar hjá Persónuvernd þegar niðurstaða FME lægi fyrir.

Niðurstaða FME barst Persónuvernd með bréfi, dags. 1. október 2012, eins og áður segir. Í kjölfarið voru þær kvartanir, er enn voru til meðferðar hjá stofnunni, teknar til frekari skoðunar og var m.a. einu máli lokið með úrskurði þann 19. desember 2012, en ekki voru sambærileg umkvörtunarefni að öllu leyti í því máli og kæran beindist að öðrum ábyrgðaraðila.

3.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.

Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.

Úrlausnarefni máls þessa er það hvort Landsbankanum hf. hafi verið heimilt að láta Vörslusviptingum-LMS ehf. í té persónuupplýsingar um kvartanda. Af framangreindu er ljóst að það fellur undir gildissvið laga nr. 77/2000.

4.
Ábyrgðaraðili vinnslu
Samkvæmt 4. tölul. 2. gr. laga nr. 77/2000 telst ábyrgðaraðili að vinnslu persónuupplýsinga vera sá aðili sem ákveður tilgang vinnslunnar, þann útbúnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Hann er jafnan sá sem hefur frumkvæði að vinnslu og ákveður að hún skuli fara fram. Í athugasemdum í greinargerð með frumvarp því er varð að lögum nr. 77/2000 segir að átt sé við þann aðila sem hefur ákvörðunarvald um vinnslu persónuupplýsinga og að jafnvel þótt slíkur aðili feli öðrum meðferð upplýsinganna beri hann ábyrgðina, svo fremi hann hafi áfram ákvörðunarvaldið.

Vinnsluaðili er hins vegar sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Um samband ábyrgðaraðila og vinnsluaðila er nánar kveðið í 13. gr. laga nr. 77/2000.

Um tilefni þess að Landsbankinn hf. lét Vörslusviptingum-LMS ehf. í té persónuupplýsingar um viðskiptavin sinn, A, hefur bankinn sagt það hafa verið í þeim tilgangi að vörslusvipta bifreið kvartanda. Segir bankinn það stefnu sína að láta alla verktaka, þjónustuaðila og aðra þá sem inna verk af hendi fyrir hann að undirrita trúnaðaryfirlýsingu. Eftir atvikum sé gerður samningur um þjónustuna þar sem kröfur bankans til þjónustukaupanna komi fram, þar á meðal um meðferð persónuupplýsinga. Vörslusviptingar-LMS hafi þar ekki verið nein undantekning en við upphaf samstarfs SP-fjármögnunar og Vörslusviptinga-LMS hafi verið gerður samningur um þjónustuna, þar sem m.a. hafi verið kveðið á um trúnaðarskyldu þjónustuaðilans. Í viðskiptaskilmálum á milli kvartanda og Landsbankans hafi með skýrum hætti verið kveðið á um áskilnað bankans að leita aðstoðar þjónustuaðila líkt og Vörslusviptinga-LMS. Þá hafi starfsmenn Vörslusviptinga-LMS kynnt sig almennt sem starfsmenn fyrirtækisins og að þeir væru að vinna fyrir hönd t.d. Landsbankans fjármögnunar.

Af framangreindu er ljóst að Landsbankinn hf. fór með ákvörðunar- og ráðstöfunarvald þeirra persónuupplýsinga um kvartanda sem hann lét Vörslusviptingar-LMS ehf. fá og ber ábyrgð á að til þess hafi hann haft heimild samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

5.
Heimild til vinnslu almennra
persónuupplýsinga
5.1.
Skilyrði 1. mgr. 8. gr.
Í 8. gr. laga nr. 77/2000 eru almennar reglur um heimildir fyrir vinnslu persónuupplýsinga. Er vinnsla persónuupplýsinga heimil ef einhverjir þeirra þátta sem þar eru taldir upp eru fyrir hendi. Það á m.a. við um miðlun persónuupplýsinga til þriðja aðila og er hún heimil ef eitthvert af skilyrðum 1. mgr. 8. gr. er uppfyllt.

Samkvæmt almennum sönnunarreglum hvílir sönnunarbyrði um það hvort svo sé á ábyrgðaraðila, hér Landsbankanum hf.

Landsbankinn hf. hefur hins vegar ekki haldið því að hér hafi verið um að ræða miðlun persónuupplýsinga til þriðja aðila, heldur afhendingu til vinnsluaðila. Kemur þá til skoðunar hvort uppfyllt hafi verið þau skilyrði sem gilda um slíka afhendingu.

5.2.
Afhending til vinnsluaðila
Almennt er ekki gerð sú krafa að afhending til vinnsluaðila uppfylli skilyrði 1. mgr. 8. gr. laga nr. 77/2000 með sama hætti og þegar um er að ræða miðlun til þriðja aðila. Hins vegar þarf þá að uppfylla skilyrði framangreinds ákvæðis 13. gr. laganna. Þar kemur fram að ábyrgðaraðila sé heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laga nr. 77/2000. Slíkt er í fyrsta lagi háð því að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Það er í öðru lagi háð því að hann hafi gefið honum fyrirmæli um vinnslu í samræmi við 3. mgr. 13. gr. laga nr. 77/2000 og að þau fyrirmæli komi fram í samningi. Í samningnum skal koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila. Ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gilda einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. sama ákvæðis. Slíkur samningur skal vera skriflegur. Um framangreint hefur Landsbankinn sagt að á milli sín og Vörslusviptinga-LMS ehf. hafi verið gerður samningur en að hann sé týndur, sbr. bréf bankans, dags. 22. desember 2011.

Þá hefur Persónuvernd borist staðfesting frá Landsbankanum, dags. 18. júní 2012, í tengslum við niðurstöðu annars máls, þess efnis að samningar við þá aðila sem sinna vörslusviptingum á fullnustueignum bankans, þ.m.t. við Vörslusviptingar-LMS ehf., hafa nú verið endurnýjaðir.

Þrátt fyrir framangreint hvílir sönnunarbyrði um lögmæti vinnslu persónuupplýsinga í því tilviki sem hér er kvartað yfir á ábyrgðaraðila, hér Landsbankanum hf., eins og áður segir. Bankinn hefur hins vegar týnt þeim samningi sem hann kveðst hafa gert við Vörslusviptingar-LMS ehf. Getur hann þar með ekki sannað gerð vinnslusamnings samkvæmt 13. gr. laga nr. 77/2000, og þar með lögmæti afhendingar persónuupplýsinga um kvartanda til Vörslusviptinga-LMS ehf. Þá liggur ekkert fyrir um að bankinn hafi, áður en hann afhenti Vörslusviptingum-LMS ehf. persónuupplýsingar um kvartanda, sannreynt að það félag gæti uppfyllt skyldur sínar að lögum. Verður afhending umræddra persónuupplýsinga því ekki talin hafa samrýmst ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Ú r s k u r ð a r o r ð:

Landsbankanum hf. var óheimilt að afhenda Vörslusviptingum-LMS ehf. persónuupplýsingar um viðskiptavin sinn, A.