Úrskurður um miðlun á greiðslukortanúmeri

17.11.2015

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 3. nóvember 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/793:

 

I.

Grundvöllur máls

Málavextir og bréfaskipti

 

1.

Tildrög máls

Þann 18. maí 2015 barst Persónuvernd kvörtun frá [A], hrl., f.h. [B] (hér eftir nefndur kvartandi), vegna ólögmætrar miðlunar persónuupplýsinga. Í kvörtuninni segir m.a. að þegar kvartandi noti greiðslukort inni á veitingastaðnum [C], að […], sé það annar aðili en leyfishafi staðarins sem móttekur greiðsluna.  Samkvæmt leyfisbréfi lögreglustjóra til reksturs veitinga- og skemmtistaðar sem sé öllum aðgengilegt á veitingastaðnum þá sé leyfishafi félagið [D]. Á greiðslukvittunum úr kortakerfi sjáist hins vegar að móttakandi greiðslu frá staðnum sé félagið [E]. Kvartandi telur að með því að annar aðili en leyfishafi, samkvæmt útgefnu leyfisbréfi lögreglustjóra, taki á móti greiðslum kvartanda þá séu persónuuupplýsingar hans útsettar til þriðja aðila. Ekkert liggi fyrir um heimildir þess aðila, þ.e. félagsins[E], til móttöku gagna né heldur greiðslna.

 

Þá barst Persónuvernd einnig kvörtun sama dag frá [A], hrl., f.h. [F] ehf., vegna ólögmætrar miðlunar persónuupplýsinga milli [E] og Borgunar hf. (Borgun). Þar kemur fram að [F] sé helmingseigandi að hlutafé í félaginu [D]. [D] sé rekstraraðili veitingastaðarins [C]. Samkvæmt vottorði frá fyrirtækjaskrá þá fari [G] og [H] með sameiginlega prókúru. Þá segir að án vitneskju fyrirsvarsmanns [F] og [H] hafi [G] undirritað þjónustu og samstarfssamning, dags. […], við fyrirtækið [E] og feli samningurinn í sér að [E] taki að sér innheimtur og fjárvörslu vegna sölu áfengis á veitingastaðnum.

 

Í því mál sem hér um ræðir telur kvartandi, [B], að viðskiptavinir veitingastaðarins [C] sem framvísi greiðslukortum sínum í viðskiptum séu varnarlausir gagnvart upplýsingaöflun [E]. Eins og posastrimlar sýni þá renni greiðslur til [E] þrátt fyrir að [D] sé rekstraraðili og leyfishafi staðarins. Hið leyfislausa fyrirtæki [E] geti því með einföldum hætti aflað sér allra upplýsinga um hvern þann sem notar greiðslukort  á staðnum. Öllum fjármunum [D] sé stýrt inn á reikninga í eigu [E], sem um leið hafi beinan aðgang að persónuupplýsingum allra viðskiptavina veitingastaðarins [C] í gegnum þjónustusamning við Borgun. Telji kvartandi það brot á friðhelgi einkalífs.

 

Þá telur kvartandi að greiðslukortafyrirtækjum sé eðli máls samkvæmt heimill aðgangur að persónuupplýsingum en misnotkun fyrirtækis á þjónustu þess þar sem fyrirtækið öðlast um leið aðgang að persónuupplýsingum um einstaklinga sé lögbrot af hálfu Borgunar hf.

 

2.

Frávísun kvörtunar [F]

Með bréfi Persónuverndar, dags. 2. júlí 2015, var [F], tilkynnt um að ekki yrði aðhafst sérstaklega af tilefni kvörtunar þess. Í bréfi Persónuverndar segir eftirfarandi:

 

„Samkvæmt 2. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga úrskurðar Persónuvernd í ágreiningsmálum sem upp kunna að koma um vinnslu persónuupplýsinga á Íslandi. Almennt er gert ráð fyrir því að þeir sem til stofnunarinnar leita vegna slíkra ágreiningsmála hafi einstaklingsbundinna hagsmuna að gæta af úrlausn málsins, s.s. vegna ágreinings varðandi vinnslu persónuupplýsinga um sig persónulega. Á slíkt ekki við um kvartanir eins fyrirtækis yfir athöfnum annars.

 

Í því felst jafnframt að viðkomandi félag telst ekki vera aðili máls í skilningi stjórnsýslulaga nr. 37/1993, eins og það hugtak hefur verið skilgreint í stjórnsýslurétti, en þar er meðal annars byggt á því að um slíka hagsmuni sé að ræða sem að framan greinir.

 

Af því leiðir að [F] verður ekki talið hafa einstaklingsbundna hagsmuni í tengslum við umræddar aðgerðir og þar af leiðandi ekki málsaðild samkvæmt meginreglum stjórnsýsluréttar. Í ljósi þess mun Persónuvernd ekki aðhafast sérstaklega af tilefni kvörtunar yðar. Stofnunin þakkar hins vegar þær ábendingar sem þar koma fram, en jafnramt upplýsist að stofnunin hefur til meðferðar aðra kvörtun af tilefni umræddra aðgerða af hálfu [E] og Borgunar hf. Skýringar þær sem koma fram í kvörtun yðar munu verða teknar til greina við meðferð þess máls.“

Afmarkast úrlausnarefni máls þessa því við kvörtun [B].

 

3.

Málsmeðferð

Með bréfi, 2. júlí 2015, var [E] og Borgun tilkynnt um kvörtunina og boðið að koma á framfæri skýringum vegna hennar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf Borgunar hf., dags. 16. júlí 2015, barst Persónuvernd þann 17. s.m. Þar segir m.a.:

 „Rétt er að Borgun hefur gert þjónustusamning um greiðslumiðlun við [E]. Við samningsgerð er ljóst að tilgangur samnings er að taka við greiðslum fyrir hönd veitingahússins [C].

Ekki verður séð að lög um persónuvernd hafi verið brotin. Í fyrsta lagi hefur [E] líkt og aðrir seljendur undirritað þjónustusamning og samþykkt viðskiptaskilmála Borgunar hf. Með samþykki á viðskiptaskilmálum undirgengst seljandi að gæta fyllsta trúnaðar gagnvart korthafa og uppfylla almennt þær kröfur sem settar eru fram varðandi upplýsingaöryggi. Í öðru lagi hefur seljandi ekki aðgang að persónuupplýsingum. Sölunóta seljanda geymir einungis upplýsingar um fjárhæð kaupa, kortanúmer og gildistíma. Úttekt er staðfest með innslætti pinns. Seljendur geta ekki notað þessar upplýsingar til að komast yfir persónuupplýsingar, hvorki í búnaði sínum, né gegnum Borgun hf. Með öðrum orðum getur [E] ekki notað upplýsingar á sölunótu til þess að finna nafn korthafa né nokkrar aðrar persónuupplýsingar.“

Þá hafði [I], f.h. [E], samband símleiðis þann 20. júlí 2015. Í símtalinu kom fram að í ljósi þeirra skýringa sem Borgun hefði gefið, teldi hann ekki tilefni til að [E] sendi sérstakt svar.

 

Með tölvupósti, dags. 5. ágúst 2015, var lögmanni kvartanda gefinn kostur á að tjá sig um fram komin svör Borgunar. Svarbréf lögmanns kvartanda, dags. 5. ágúst 2015, barst Persónuvernd s.d. Þar segir m.a. að því sé mótmælt að [E] hafi ekki aðgang að persónuupplýsingum um viðskiptavini [E]. Kvartandi telur að Borgun fari með ósannindi en kvartandi hafi m.a. í kjölfar fyrirspurna til kortafyrirtækis fengið uppgefnar persónuupplýsingar og upplýsingar um kortanúmer í gegnum síma við kortafyrirtæki. Kvartandi byggi það þó fyrst og síðast á eigin reynslu en leggi ekkert fram í þeim efnum. Þá geri kvartandi tvær athugasemdir við svarbréf Borgunar. Annars vegar að ef upp kemur ágreiningur um kortafærslu geti kaupandi þjónustu haft samband við Borgun, sem hafi síðan milligöngu um að koma á sambandi milli þjónustukaupa og eiganda korts, í því skyni að þeir geri út um ágreining sinn. Með því að kortaeigandi hafi samband við þjónustukaupa fái þjónustukaupi nær allar upplýsingar um eiganda kortsins fyrir milligöngu Borgunar. Hins vegar telur kvartandi það óeðlilegt fyrirkomulag að Borgun hafi gert þjónustusamning við [E], þar sem fram kemur að fyrirtækið taki við greiðslum fyrir [D]. Slíkt stríði gegn viðskiptaskilmálum Borgunar. Þá telur kvartandi eðlilegra að Borgun semji beint við [D] um viðskipti sín á milli.

 

Með tölvupósti, dags. 16. september 2015, óskaði Persónuvernd eftir staðfestingu Borgunar á því hvort að þjónustukaupi fengi afhent heildarkortanúmer viðskiptavinar, s.s. við útkeyrslu sölunóta í lok dags. Svar Borgunar barst með tölvupósti dags. 22. september s.á. en þar kemur fram „að öllum líkindum prentist fullt kortanúmer á sölunótu seljanda þ.e. eintakið sem er afrit af því sem korthafa er afhent.“ 

 

Þá hafði lögmaður kvartanda samband við Persónuvernd hinn 30. september 2015. Í símtalinu ítrekaði lögmaðurinn þau sjónarmið kvartanda að enginn samningur væri í gildi á milli Borgunar og [D] og því væri Borgun óheimilt að taka við gögnum um viðskiptavini [C].

 

Með tölvupósti, dags. 16. október 2015, óskaði Persónuvernd staðfestingar frá Borgun um það að fullt kortanúmer prentist á sölunótu seljanda. Svar Borgunar barst sama dag þar sem fram kemur að að í dag komi fram fullt kortanúmer á sölunótu seljanda. Hins vegar sé unnið að breytingum á þessu fyrirkomulagi þannig að fullt kortanúmer muni ekki birtast seljanda.

 

Þá barst Persónuvernd bréf lögmanns kvartanda, dags. 16. október 2015, þar sem áréttað er að kvörtunin beinist bæði gegn [E] fyrir að safna saman persónuupplýsingum og kortanúmerum og Borgun fyrir að safna umræddum upplýsingum. Borgun hafi enga heimild frá [D] til þess að safna nokkrum upplýsingum um viðskiptavini veitingastaðarins [C] þar sem enginn skriflegur samningur sé milli þessara aðila. Samkvæmt lögum geti kortaþjónustufyrirtæki eingöngu safnað saman og varðveitt upplýsingar um viðskiptavini þegar fyrir liggi skriflegur samningur milli fyrirtækisins og þess sem kaupir þjónustu. Þá telur lögmaðurinn að það að upplýsingar um fullt kortanúmer og gildistíma korts séu veittar seljanda sé brot á lögum nr. 77/2000. Einnig kemur fram að þar sem [E] sé ekki rekstraraðili né heldur leyfishafi á veitingastaðnum [C] heldur [D] og engar heimildir séu fyrir framangreindri upplýsingasöfnun frá [D] til Borgunar.

 

Einnig barst Persónuvernd tölvupóstur frá kvartanda, dags. 16. október 2015, en honum fylgdi afrit af bréfi Valitor, dags. 6. október 2015, til lögmanns kvartanda. Í bréfinu kemur fram að um sé að ræða svar við fyrirspurn lögmannsins þar sem spurt er hvort að aðila sé heimilt að framleigja posa samkvæmt viðskiptaskilmálum Valitor. Sé svarið við þeirri spurningu neikvætt, hafi lögmaðurinn einnig óskað svara um hvaðan sú regla sé fengin og hvort hana megi rekja til reglna kortasamtakanna sjálfra. Í svari Valitor kemur fram að í viðskiptaskilmálum fyrirtækisins [...] á meðan samstarfssamningur um leigubúnaðar sé í gildi megi söluaðili ekki framselja öðrum búnaðinn, veita öðrum aðila afnot af honum eða afhenda hann með öðrum hætti án skriflegs samþykkis Valitor. Þessa reglu sé ekki að finna nákvæmlega í reglum MasterCard en bæði MasterCard og Visa leggi áherslu á að leyfishafar sjái til þess að um greiðslukerfi kortasamtakanna fari ekki ólöglegar greiðslur, t.d. vegna peningaþvættis eða fjármögnun hryðjuverka o.fl. Til að leyfishafi komi í veg fyrir slíkt verði hann að vita hver viðskiptavinurinn er og því séu gerðar áreiðanleikakannanir áður en viðskiptavinur er samþykktur í viðskipti og á meðan hann er í viðskiptum. Ef posi er framleigður þá veit Valitor ekki hver hinn raunverulegi söluaðili er og hvers konar vörur hann er að selja.

 

 

II.

Forsendur og niðurstaða

1.

Afmörkun kvörtunarefnis

Efni kvörtunar þessarar lýtur að því að Borgun hafi gengið til samninga við [E], en ekki [D], sem sé rekstraraðili og leyfishafi að veitingastaðnum [C], og miðli til þess upplýsingum um fullt kortanúmer og gildistíma korts hans.

 

Varðandi málsástæðu kvartanda sem lýtur að því hvort Borgun hafi verið heimilt eða óheimilt að ganga til samninga við [E] og hvort brotið hafi verið gegn viðskiptaskilmálum Borgunar telur Persónuvernd að það falli ekki undir valdssvið stofnunarinnar samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, að meta hvort umræddur samningur samrýmist ákvæðum laga nr. 120/2011, um greiðsluþjónustu, enda fellur eftirlit með þeim lögum undir Fjármálaeftirlitið. Er því þeim hluta kvörtunarinnar vísað frá. Þá fellur það ekki undir valdssvið Persónuverndar að skera úr um hvernig rekstraraðili ákveður að setja saman rekstrarform sitt, s.s. með því að eitt einkahlutafélag taki við greiðslum fyrir annað félag, svo lengi sem slíkt samræmist öðrum lögum s.s. lögum nr. 134/1998, um einkahlutafélög.

 

Þá hefur Persónuvernd vísað frá kvörtun [F] ehf., sbr. umfjöllun í kafla I.2.

 

Eftir stendur að skera úr um hvort miðlun persónuupplýsinga um kvartanda frá Borgun til [E] samrýmist ákvæðum laga nr. 77/2000. Miðast eftirfarandi úrlausn við það.

 

2.

Gildissvið laga nr. 77/2000

Efnislegt gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þar með valdsvið Persónuverndar, nær til vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna.

 

Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna.

 

Af framangreindu er ljóst að miðlun kreditkortanúmers kvartanda til [E] fellur undir gildissvið laga nr. 77/2000. Líkt og að framan greinir þá taka ákvæði laga nr. 77/2000 eingöngu til rafrænnar vinnslu persónuupplýsinga eða handvirkar vinnslu, sem er eða á að verða hluti af skrá.

 

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Borgun vera ábyrgðaraðili að umræddri vinnslu.

 

 

3.

Lögmæti vinnslu

 

Öll vinnsla almennra persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í því felst meðal annars að ávallt verður að vera fullnægt einhverju af skilyrðum 8. gr. laganna. Í 3. tölul. 1. mgr. 8. gr. segir að vinnsla sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Í 7. tölul. 1. mgr. 8. gr. segir að vinnsla sé heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra.

 

Í a-lið 1. mgr. 38. gr. laga nr. 120/2011, um greiðslumiðlun, segir að greiðsluþjónustuveitandi viðtakanda greiðslu skuli afhenda eða gera viðtakanda aðgengilegar upplýsingar um tilvísun sem geri viðtakanda greiðslu kleift að bera kennsl á greiðsluna og, ef við á, greiðanda, svo og þær upplýsingar sem kunna að hafa verið sendar með greiðslunni. Af framangreindu ákvæði verður ekki annað séð en að greiðsluþjónustuveitanda, líkt og Borgun, kunni að vera skylt að afhenda viðtakanda greiðslu upplýsingar sem geri viðtakandanum kleift að bera kennsl á greiðanda. Er það því mat Persónuverndar að afhending kortanúmers viðskiptavinar geti stuðst við 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000.

 

Með hliðsjón af þessu má einnig telja að það falli undir lögmæta hagsmuni greiðsluþjónustufyrirtækis og viðtakanda greiðslu, sbr. framangreindan 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, að fyrir liggi tilteknar lágmarksupplýsingar um þann sem innir umrædda greiðslu af hendi til að rafræn viðskipti geti farið fram, m.a. með móttöku greiðslna í gegnum greiðsluþjónustu.

 

Þeim sem selur vörur eða þjónustu getur verið heimilt að afla tiltekinna persónuupplýsinga til að tryggja lögmæta hagsmuni sína og geta sjónarmið um samningsfrelsi í viðskiptum haft þýðingu í því sambandi. Þá kann neytendalöggjöf að mæla fyrir um takmarkanir á því frelsi. Í því máli sem hér um ræðir liggur ekki fyrir að önnur vinnsla en sú sem nauðsynleg er í þágu rafrænna viðskipta, hafi átt sér stað, þ.e. nauðsynleg upplýsingaskipti í tengslum við greiðslukortanotkun. Kvartandi hefur ekki sýnt fram á aðra miðlun persónuupplýsinga en þá sem fram fór í fyrrnefndum tilgangi.

 

Þá hefur kvartandi sjálfur ekki rökstutt að umrædd miðlun persónuupplýsinga um hann frá Borgun til [E] hafi í umræddu tilviki ógnað eða geti ógnað grundvallareinkalífsrétti hans eða frelsi þannig að telja megi að hagsmunir hans, af því að vinnslan fari ekki fram, vega þyngra en framangreindir hagsmunir fyrirtækjanna tveggja.

 

Að mati Persónuverndar samrýmdist vinnsla persónuupplýsinga um kvartanda því einnig 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.

 

Þá er það mat Persónuverndar að vinnsla persónuupplýsinga um kvartanda eins og hér um ræðir hafi farið fram í sanngjörnum, málefnalegum og lögmætum tilgangi auk þess sem hún hafi verið nægileg, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang hennar, sbr. 1. og 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000.

 

Í ljósi framangreinds er það mat Persónuverndar að umrædd vinnsla hafi samrýmst lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

 

 

Ú r s k u r ð a r o r ð:

 

Vinnsla Borgunar hf. á persónuupplýsingum um kvartanda var í samræmi við lög nr. 77/2000.