Varðveisla Landsbankans hf. á upplýsingum um afskriftir – 2013/413

19.3.2014

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 13. febrúar 2014 var kveðinn upp svohljóðandi úrskurður í máli nr. 2013/413:

 

I.

Málavextir og bréfaskipti

1.

Hinn 14. mars 2013 barst Persónuvernd erindi frá [A] (hér eftir nefndur „kvartandi“) varðandi vinnslu persónuupplýsinga um hann í Landsbankanum hf. Upphaflega var litið á erindið sem almenna fyrirspurn, en í tölvupóstsamskiptum milli kvartanda og Persónuverndar hinn 6. og 7. maí s.á. kom fram að líta bæri á erindið sem kvörtun. Sú kvörtun lýtur annars vegar að því að varðveisla tiltekinna upplýsinga um kvartanda í tölvukerfum bankans sé komin fram úr meðalhófskröfum og því beri að eyða upplýsingunum. Hins vegar lýtur kvörtunin að sérstakri merkingu við nafn hans í tölvukerfum bankans, en þá merkingu telur hann ólögmæta. Nánar tiltekið segir í erindinu að [á árinu] 2013 hafi hann rætt við þjónustufulltrúa hjá bankanum með það í huga að yfirtaka lán sem hvílir á fasteign sem hann hafði hug á að kaupa. Þá kemur fram að kvartandi hafi verið búsettur erlendis [...] og hafi ekki verið viðskiptamaður bankans þann tíma. Þjónustufulltrúinn hafi tjáð honum að hann gæti ekki yfirtekið lánið þar sem hann væri með svo „ljóta merkingu“ í tölvukerfinu, en hún væri tilkomin vegna afskrifta. Segir í kvörtun að þær afskriftir tengist atvinnurekstri kvartanda fyrir aldamótin, en enn séu upplýsingarnar skráðar í tölvukerfi bankans.

 

2.

Í kjölfar fyrrnefndra tölvupóstsamskipta sendi Persónuvernd Landsbankanum bréf, dags. 21. júní 2013, þar sem honum var veitt færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 3. júlí 2013, þar sem fram kemur að bankinn telur varðveislu umræddra upplýsinga, nánar tiltekið á afskriftum sem áttu sér stað [á árinu] 2001, styðjast við m.a. 3. og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, þess efnis að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu og til að gæta lögmætra hagsmuna sem vega þyngra en grundvallarréttindi og frelsi hins skráða. Þá segir m.a. varðandi varðveislu upplýsinga um afskriftir:

„Landsbankinn lítur svo á að fjármálafyrirtæki hafi bæði lagaskyldu og samningsskyldu til að skrá og varðveita slíkar upplýsingar í kerfum sínum. Í 1. málsl. 1. mgr. 17. gr. laga nr. 161/2002, um fjármálafyrirtæki, kemur fram að fjármálafyrirtæki skuli á hverjum tíma hafa yfir að ráða tryggu eftirlitskerfi með áhættu í tengslum við starfsemi sína. Slíkt eftirlitskerfi byggir eðli máls samkvæmt á nákvæmri skráningu á viðskiptaupplýsingum sem skipta máli fyrir áhættur og áhættumat. Umræddar viðskiptaupplýsingar varða lánsviðskipti og tengjast því útlánaáhættu. Því er ljóst að fjármálafyrirtæki ber að skrá slíkar upplýsingar.“

Einnig segir að viðskipti, sem umræddar upplýsingar lúta að, byggi á tvíhliða samningssambandi fjármálafyrirtækis og viðskiptavinar. Auk framangreindrar lagaskyldu hafi fjármálafyrirtæki samningsskyldu til að skrá og varðveita slíkar upplýsingar, enda verði að telja að skráning og varðveisla upplýsinganna sé í samræmi við eðlilega og heilbrigða viðskiptahætti og venjur á fjármálamarkaði. Í þessu sambandi vísar Landsbankinn til 1. mgr. 26. laga nr. 77/2000, þess efnis að þegar ekki sé lengur málefnaleg ástæða til að varðveita persónuupplýsingar skuli eyða þeim, en málefnaleg ástæða til varðveislu geti m.a. byggst á fyrirmælum í lögum eða á því að enn sé unnið með upplýsingar í samræmi við upphaflegan tilgang með öflun þeirra. Þá segir:

„Landsbankinn telur ríka hagsmuni og málefnalegar ástæður standa til þess að varðveita upplýsingar um öll lánsviðskipti sem viðskiptavinur hefur átt við bankann óháð því hvort umræddum viðskiptum sé lokið, sem og tímamörkum frá lokum þeirra. Þá telur Landsbankinn bæði eðlilegt og nauðsynlegt að varðveita slíkar upplýsingar. Bankanum er þá enda kleift að leggja heildstætt og nákvæmt mat á forsendur hugsanlegra viðskipta sem viðskiptavinur kann síðar að óska eftir gagnvart bankanum. Slíkt er jafnframt nauðsynlegt til að meta áhættu af væntanlegum viðskiptum og viðkomandi viðskiptavinum. Að þessu leyti er bankinn því enn að vinna með slíkar upplýsingar í samræmi við upphaflegan tilgang með söfnun þeirra. Hins vegar er engan veginn öruggt að byggt verði á slíkum upplýsingum þegar tekin er ákvörðun um hugsanleg ný viðskipti. Komi til mats á hugsanlegum nýjum viðskiptum verður í samræmi við reglur bankans leitað eftir nýjum upplýsingum sem gefa munu uppfærða mynd af forsendum hugsanlegra viðskipta. Í ljósi framangreinds eru ekki forsendur fyrir hendi til að skylda bankann til að eyða umræddum upplýsingum.“

3.

Með tölvubréfi hinn 10. júlí 2013, var kvartanda veitt færi á að tjá sig um framangreint svar Landsbankans hf. Send var ítrekun hinn 30. október s.á. og barst svar frá kvartanda samdægurs. Þar segir m.a. að hann sé ekki í vafa um að umrædd vinnsla persónuupplýsinga fari ekki fram með sanngjörnum, málefnalegum eða lögmætum hætti né heldur í samræmi við vandaða vinnsluhætti persónuupplýsinga. Þá segir m.a.: „Er jafnræðisregla virt (hafa allir fyrrverandi starfsmenn bankans sem höfðu víkjandi lán í bankanum við hrun og hafa fengið afskriftir verið merktir og meðhöndlaðir á sama hátt?)“.

4.

Persónuvernd taldi þörf á frekari skýringum frá Landsbankanum hf. varðandi þann þátt kvörtunar sem snýr að merkingu í tölvukerfum bankans. Með bréfi, dags. 31. október 2013, var þess því óskað af bankanum að hann upplýsti (a) hvort kvartandi væri auðkenndur með sérstakri merkingu og, (b) ef svo væri, greindi frá því hver sú merking væri og á hvaða lagagrundvelli bankinn teldi hana byggjast. Svarað var með bréfi, dags. 20. nóvember 2013. Þar segir m.a.:

„Hvað a-lið fyrirspurnar Persónuverndar varðar skal það tekið fram að kvartandi er ekki auðkenndur með sérstakri merkingu sem viðskiptavinur. Þegar kvartanda er hins vegar flett upp í viðskiptakerfi bankans koma upp tvö rauð stopp merki. Við merkin stendur: „Afskrift“. Þar við hliðina á kemur fram í athugasemdum að afskrifað hafi verið hjá kvartanda annars vegar vegna skulda kvartanda sjálfs og hins vegar vegna skulda sem hann var í ábyrgð fyrir. Í athugasemdunum koma jafnframt fram dagsetningar og fjárhæðir umræddra afskrifta.“

Einnig segir m.a.:

„Landsbankinn telur ríka hagsmuni og málefnalegar ástæður standa til þess að hafa umræddar skráningar. Þá telur Landsbankinn bæði eðlilegt og nauðsynlegt að varðveita slíkar skráningar, óháð tímamörkunum frá því að umræddar afskriftir áttu sér stað. Bankanum er þá enda kleift að leggja heildstætt og nákvæmt mat á forsendur hugsanlegra viðskipta sem viðskiptavinur kann síðar að óska eftir gagnvart bankanum. Slíkt er jafnframt nauðsynlegt til að meta áhættu af væntanlegum viðskiptum og viðkomandi viðskiptavinum. Að þessu leyti er bankinn því enn að vinna með slíkar merkingar í samræmi við upphaflegan tilgang með vinnslunni. Þá er augljóst hagræði fyrir bankann að hafa afskriftarmerkingar. Slíkar merkingar spara tíma og koma í veg fyrir óæskilegar áhættur við ákvarðanir um lánafyrirgreiðslur. Hins vegar er engann veginn öruggt að byggt verði á slíkum merkingum þegar tekin er ákvörðun um hugsanleg ný viðskipti. Merkingarnar útiloka þannig viðskiptavini ekki fyrirfram frá því að geta átt í síðari viðskiptum við bankann. Komi til mats á hugsanlegum nýjum viðskiptum er í samræmi við reglur bankans ávallt leitað eftir nýjum upplýsingum sem gefa uppfærða mynd af forsendum hugsanlegra viðskipta.“

Í símtali starfsmanns Persónuverndar við starfsmann Landsbankans hf. hinn 21. nóvember 2013 var bent á þversögn í bréfi bankans, þ.e. að tekið sé þar fram að kvartandi sé ekki auðkenndur með sérstakri merkingu sem viðskiptavinur en jafnframt að þegar honum sé flett upp í viðskiptakerfi bankans komi upp tiltekin merki. Samdægurs var Landsbankanum hf. sent tölvubréf þar sem þetta var rakið, auk þess sem óskað var eftir að greint yrði frá því (a) hvort aðgangsstýringar væru að umræddum merkjum og (b) hverjar þær þá væru. Svarað var með tölvubréfi hinn 29. nóvember 2013, en þar segir:

„Hvað a-lið fyrirspurnar þinnar varðar skal það tekið fram að umrædd merki koma fram í viðskiptamannakerfi innan bankans sem nefnist Lísa. Merkin eru aðgengileg öllum sem hafa aðgang að umræddu kerfi. Hins vegar hafa ekki allir starfsmenn bankans aðgang að kerfinu heldur einungis þeir sem þurfa að nota kerfið. 

Þrátt fyrir að ekki sé um aðgangsstýringar að ræða sem slíkar er brýnt fyrir starfsmönnum að fletta ekki upp í umræddu kerfi að óþörfu. Landsbankinn hefur í því sambandi reglulega haldið námskeið fyrir starfsfólk þar sem farið er yfir ákveðnar vinnureglur og menn áminntir um að fletta ekki upp viðskiptamönnum í Lísu nema óskað sé eftir fyrirgreiðslu. Auk þess er notkun starfsmanna á kerfinu skráð og hægt að fylgjast með hverjum er flett upp í kerfinu. Verði starfsmenn uppvísir að óþarfa uppflettingum eru þeir áminntir og eftir atvikum beittir viðurlögum í samræmi við starfsreglur bankans.

Þá er rétt að geta þess að allir gjaldkerar bankans vinna með svokallað AKLÍ kerfi, þar sem umræddar merkingar koma ekki fram. Gjaldkerar bankans vinna þannig að öllu jöfnu ekki með Lísu.“

Einnig segir að bankinn vinni að því að taka upp nýtt viðskiptamannakerfi og hafi samhliða því tekið til skoðunar að hætta notkun á umræddum merkjum eða, eftir atvikum, að stýra aðgangi að þeim þannig að þau birtist eingöngu starfsmönnum sem starfs síns vegna þurfa nauðsynlega aðgang að þeim upplýsingum sem merkin standa fyrir, s.s. starfsmönnum með útlánaheimildir, í lögfræðiinnheimtu og álíka.

 

5.

Með tölvubréfi hinn 24. desember 2013 veitti Persónuvernd kvartanda færi á að tjá sig um fyrrgreint bréf Landsbankans hf. til stofnunarinnar, dags. 20. nóvember s.á. Hann svaraði með tölvubréfi hinn 27. desember 2013 þar sem fram kemur að hann er ósammála niðurstöðu Landsbankans og óskar úrskurðar um það. Hinn 2. janúar 2014 sendi Persónuvernd kvartanda tölvubréf þar sem stofnunin vísaði til þess að fyrrgreind samskipti stofnunarinnar og bankans hinn 21. og 29. nóvember 2013 hefðu ekki verið send honum eins og þó hefði átt að gera. Var kvartanda veitt færi á að tjá sig um þau innan tiltekins frests. Ekki barst svar frá kvartanda.

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

 

2.

Í máli þessu er ekki deilt um hvort skráning umræddra upplýsinga hafi verið lögmæt í upphafi heldur hvort varðveisla á þeim sé lögmæt. Sú varðveisla þarf, eins og öll vinnsla almennra persónuupplýsinga, að fullnægja einhverju skilyrðanna í 8. gr. laga nr. 77/2000.

 

Að auki verður, eins og ávallt þegar unnið er með persónuupplýsingar, að fara að öllum grunnkröfum 7. gr. laga nr. 77/2000,  þ. á m. að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að persónuupplýsingar skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

 

Samkvæmt 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Þá er í 7. tölul. sömu málsgreinar mælt fyrir um að slík vinnsla sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Í 1. mgr. 17. gr. laga nr. 161/2002 um fjármálafyrirtæki er mælt fyrir um skyldu slíkra fyrirtækja til að hafa á hverjum tíma yfir að ráða tryggu eftirlitskerfi með áhættu í tengslum við alla starfsemi sína, en ætla verður að upplýsingar um viðskiptasögu geti haft þýðingu í því samhengi. Einnig er til þess að líta að af vinnslu einstaklinga og lögaðila á upplýsingum varðandi löggerninga og viðskipti, sem þeir hafa sjálfir átt aðild að, geta verið lögmætir hagsmunir, m.a. af því að hafa yfirsýn yfir eigin fjármál og viðskiptasögu og geta litið til hennar þegar ákveðið er hvort stofnað skuli til viðskipta og á hvaða kjörum. Af því leiðir jafnframt að viðkomandi aðila verður þá talið heimilt að varðveita slíkar upplýsingar sem hér um ræðir nema eitthvað sérstakt komi til, s.s. lagaákvæði um eyðingu, en í máli þessu verður ekki séð að um slíkt sé að ræða.

 

Þegar litið er til framangreinds telur Persónuvernd varðveislu Landsbankans hf. á umræddum upplýsingum um kvartanda styðjast við fullnægjandi heimild í 8. gr. laga nr. 77/2000. Í ljósi skýringa bankans verður og talið að sérstök merking, sem gefur til kynna afskriftir, geti talist málefnaleg og samrýmst framangreindum ákvæðum. Jafnframt má hins vegar telja ljóst, m.a. þegar litið er skýringa bankans, að aðgangur að slíkri merkingu eigi að vera þröngur, enda sé rúmur aðgangur ekki nauðsynlegur í starfsemi bankans. Af hálfu hans hefur komið fram að til skoðunar sé að breyta fyrirkomulagi varðandi merkingar af umræddu tagi þannig að eingöngu þeir sem þess nauðsynlega þurfa hafi aðgang að þeim. Samkvæmt þessu hefur aðgangurinn verið umfram nauðsyn og því ekki samrýmst fyrrgreindum ákvæðum 1. og 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Með vísan til þess er lagt fyrir bankann, sbr. 1. mgr. 40. gr. laga nr. 77/2000, að senda Persónuvernd eigi síðar en 1. apríl nk. lýsingu á því hvernig úr framangreindu hafi verið bætt.

 

Að lokum skal tekið fram að eins og mál þetta liggur fyrir afmarkast úrlausn Persónuverndar alfarið við vinnslu upplýsinga um kvartanda sjálfan. Ekki er því tekin afstaða varðandi vinnslu persónuupplýsinga um aðra sem afskrifað hefur verið hjá, þ. á m. hvort jafnræðis hafi verið gætt í samanburði við kvartanda.

 

Ú r s k u r ð a r o r ð:

Landsbankanum hf. er heimilt að varðveita upplýsingar um afskriftir sínar á kröfum á hendur [A].

Landsbankanum ber að tryggja að aðgangur að upplýsingum um afskriftir takmarkist við þá sem þarfnast hans vegna starfa sinna við bankann. Skal bankinn eigi síðar en 1. apríl nk. senda Persónuvernd lýsingu á því hvernig hafi verið bætt úr því.