Notkun kennitalna til að rekja uppflettingar
Álit
Hinn 14. desember 2015 samþykkti stjórn Persónuverndar, með vísun til 6. tölul. 3. mgr. 37. gr. laga nr. 77/2000, svohljóðandi álit í máli nr. 2015/905:
I.
Erindi Creditinfo
Persónuvernd hefur borist bréf frá fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf., dags. 10. júní 2015, þar sem óskað er eftir áliti stofnunarinnar á skráningu kennitalna starfsmanna Íslandsbanka hf. í tengslum við fyrirspurnir sem þeir gera í skrár sem stofan heldur, nánar tiltekið vefþjónustu fyrir lánshæfismat, vanskilaskrá og svonefnda VOG, þ.e. upplýsingakerfi sem auk vanskilaskrár hefur að geyma upplýsingar um kaupmála, lögræðissviptingar og um einstaklinga sem gegnt hafa tilteknum stjórnunarstöðum. Í bréfinu segir m.a.:
„Creditinfo hf. (hér eftir CI) og Íslandsbanki (hér eftir ÍSB) hafa að undanförnu átt í samskiptum vegna skráninga á kennitölum starfsmanna ÍSB við fyrirspurnir í vefþjónustur fyrir VOG, vanskilaskrá og lánshæfismat.
Í vefþjónustunni er gert ráð fyrir að með hverri fyrirspurn fylgi kennitala þess starfsmanns ÍSB sem framkvæmir fyrirspurn í vefþjónustuna. Í stað þess að skrá kennitölur starfsmanns hefur ÍSB skráð kennitölu bankans.“
Í bréfi framangreindrar fjárhagsupplýsingastofu eru rakin sjónarmið Íslandsbanka varðandi skráningu stofunnar á kennitölum starfsmanna bankans. Segir að Íslandsbanki telji stofuna ekki geta farið fram á afhendingu kennitalna starfsmanna bankans í fyrrnefndu samhengi og telji að með því sé gengið of langt gagnvart persónu starfsmanna hans. Íslandsbanki telji einnig að hvorki verði ráðið af lögum né núgildandi starfsleyfi stofunnar fyrir vinnslu upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, dags. 29. desember 2014, að hún eigi rétt á að safna upplýsingum um kennitölur hvers og eins starfsmanns bankans sem fletti upp í skrám hennar. Túlkun bankans á grein 2.9. í starfsleyfinu sé sú að ákvæðið feli einungis í sér að stofan eigi að tryggja það í samningi við Íslandsbanka að uppflettingar í skrám hennar séu rekjanlegar og að með slíkum samningi sé ábyrgðinni á rekjanleikanum velt yfir á bankann. Þá telji Íslandsbanki ennfremur að fyrrnefnd túlkun sé í samræmi við 1. mgr. í grein 2.9 í starfsleyfinu um að stofan eigi að haga allri meðferð persónuupplýsinga með sanngjörnum og málefnalegum hætti.
Í bréfinu kemur einnig fram að Íslandsbanki telji fjárhagsupplýsingastofuna ekki hafa þörf fyrir framangreindar upplýsingar um kennitölu starfsmanna bankans til að tryggja auðkenningu og rekjanleika þar sem stofan muni ekki geta metið einhliða lögmæti uppflettinga sem kvartað sé yfir. Innri eftirlitsaðilar Íslandsbanka þurfi ávallt að koma að málinu og skipti það þá aðila engu hvort stofunni sé fært að gefa upp nafn þess sem flettir upp í skrám bankans. Þær upplýsingar séu ávallt tiltækar hjá honum. Þá kemur fram að Íslandsbanki telji ljóst að þótt stofan teldi viðbrögð bankans við kvörtun óviðunandi gæti hún ekki metið lögmæti uppflettingar án þess að afla sér upplýsinga um samskipti viðkomandi aðila við bankann. Telji bankinn að slíkar upplýsingar myndu að öllum líkindum falla undir trúnaðarskyldu milli Íslandsbanka og þess sem flett var upp. Réttur þess sem teldi á sér brotið væri allt að einu tryggður, enda ætti hann, að ábendingu stofunnar, ávallt möguleika á að koma kvörtun til Persónuverndar. Loks hefur stofan eftir Íslandsbanka að það sé mat bankans að hún sé ekki eftirlitsaðili og að ekki megi ráða það af framangreindu starfsleyfi að stofan eigi að geta staðreynt, eða haft eftirlit með því, hvort bankinn loki á tiltekinn starfsmann að beiðni stofunnar. Íslandsbanki sé ábyrgur fyrir því að framfylgja þeim skyldum sem lagðar séu á hann í samningi við stofuna, að viðlögðum viðurlögum, og það sé Persónuverndar að hafa eftirlit með því að farið sé að lögum og öðrum reglum um meðferð persónuupplýsinga.
Samkvæmt bréfinu telur fjárhagsupplýsingastofan nauðsynlegt að óska eftir kennitölu starfsmanns Íslandsbanka fyrir sérhverja fyrirspurn bankans í kerfi stofunnar. Í því sambandi vísar hún til greinar 2.9 í starfsleyfinu þar sem segir að tryggja skuli rekjanleika uppflettinga þannig að í hvert skipti sem uppfletting eigi sér stað, eða fyrirspurn sé gerð, skuli skrá hver gerði hana, hvaða upplýsingar hafi verið unnar, hvernig og hvenær. Þá vísar stofan til 3. gr. samnings hennar og Íslandsbanka frá 28. febrúar 2011, en þar er tekið fram að starfsmenn bankans skuli hafa tiltekna auðkenningu, þ.e. leyniorð, þegar þeir noti skrár stofunnar. Þegar vefþjónustan sé notuð sé þetta ekki framkvæmanlegt með öðrum hætti en að láta kennitölu fyrirspyrjanda fylgja með til að tryggja auðkenningu og rekjanleika.
Loks segir í bréfinu að þar sem fjárhagsupplýsingastofan sé ábyrgðaraðili umræddrar vinnslu og Íslandsbanki vinnsluaðili, þá meti stofan það svo að það sé á ábyrgð hennar að tryggja rekjanleika uppflettinga í kerfum sínum. Stofan telji nauðsynlegt að unnt sé að bregðast við óheimilli uppflettingu með því að loka fyrirspurnaraðgangi þess starfsmanns sem framkvæmi óheimila fyrirspurn. Vissulega gæti Íslandsbanki lokað á aðgang hlutaðeigandi starfsmanns að beiðni stofunnar, en þá lokun gæti stofan hvorki staðreynt né haft eftirlit með. Í því fælist að stofan gæti ekki fullnægt kröfum greinar 2.9 í fyrrnefndu starfsleyfi Persónuverndar sem kveði á um að stofan skuli viðhafa tæknilegar og skipulagslegar ráðstafanir til að hindra misnotkun persónuupplýsinga. Að mati stofunnar felist í greininni að hún verði að geta lokað á aðgengi tiltekinna starfsmanna verði þeir uppvísir að misnotkun persónuupplýsinga. Stofan hafi áréttað við Íslandsbanka að hinn skráði eigi einungis að fá upplýsingar um það hvaða áskrifandi, ekki starfsmaður, hafi flett honum upp í skrám stofunnar og með því sé tryggt að ekki sé gengið of langt gagnvart persónu starfsmanna Íslandsbanka.
II.
Álit Persónuverndar
1.
Gildissvið og ábyrgðaraðili
Starfsleyfisskylda
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna, og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Telst fjárhagsupplýsingastofan Creditinfo Lánstraust hf. vera ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem felst í að safna fjárhagsupplýsingum um einstaklinga í umrædd upplýsingakerfi og miðla þeim til áskrifenda sinna. Viðkomandi áskrifendur, í þessu tilviki Íslandsbanki hf., teljast hins vegar vera ábyrgðaraðilar að uppflettingum sínum í kerfunum og eftirfarandi vinnslu upplýsinga sem þannig eru fengnar.
Söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, þarf að byggjast á starfsleyfi Persónuverndar, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sem sett er með stoð í 45. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Starfsemi Creditinfo Lánstrausts hf. fellur að miklu leyti undir framangreind ákvæði og hefur Persónuvernd veitt félaginu leyfi í samræmi við þau, sbr. nú fyrrnefnt leyfi, dags. 29. desember 2014 (mál nr. 2014/1640). Þó skal tekið fram að vinnsla persónuupplýsinga í þágu gerðar lánshæfismats fellur ekki undir starfsleyfið, sbr. niðurlag 1. mgr. 1. gr. áðurnefndrar reglugerðar þar sem segir að hún taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi.
2.
Öryggisráðstafanir fjárhagsupplýsingastofu
Í 11. gr. laga nr. 77/2000 er fjallað um öryggi persónuupplýsinga, en samkvæmt 1. mgr. ákvæðisins ber að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. 11. gr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Í 3. mgr. 11. gr. segir að ábyrgðaraðili beri ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög og reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga.
Þá ber einnig að virða reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Í 4. gr. reglnanna segir meðal annars að ábyrgðaraðili skuli gera viðeigandi öryggisráðstafanir og beri ábyrgð á því að vinnsla persónuupplýsinga sé í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skuli öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður. Markmið skipulagslegra og tæknilegra öryggisráðstafana sé að tryggja nægilegt öryggi og vernda persónuupplýsingar meðal annars gegn óleyfilegum aðgangi. Þá segir í 3. tölul. 7. gr. reglnanna að ábyrgðaraðili skuli tryggja rekjanleika uppflettinga og vinnsluaðgerða í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum bilana og óheimils aðgangs að vinnslubúnaði.
Í grein 2.9 í starfsleyfi Persónuverndar fyrir vinnslu upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, dags. 29. desember 2014, kemur fram að fjárhagsupplýsingastofa skuli, við alla meðferð persónuupplýsinga sem starfsleyfið tekur til, gæta þess að haga henni með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga. Þá kemur fram í greininni að gera skuli nauðsynlegar ráðstafanir, tæknilegar og skipulagslegar, til að hindra misnotkun persónuupplýsinga og vernda þær gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Tryggja skuli rekjanleika uppflettinga þannig að í hvert skipti sem uppfletting eigi sér stað, eða fyrirspurn sé gerð, skráist hver gerði hana, hvaða upplýsingar hafi verið unnar, hvernig og hvenær.
Af framangreindum ákvæðum og framlögðum gögnum þessa máls er ljóst að til að fjárhagsupplýsingastofan Creditinfo Lánstraust hf. geti gætt þeirra öryggisráðstafana, sem koma fram í lögum nr. 77/2000, reglum nr. 299/2001 og starfsleyfi Persónuverndar frá 29. desember 2014, þarf stofan að geta skráð nákvæmlega hverja uppflettingu sem kemur frá áskrifendum hennar. Eftirlit fjárhagsupplýsingastofu með öryggi upplýsingakerfisins, lögmæti hverrar uppflettingar, misnotkun upplýsinga eða óleyfilegum aðgangi verður ekki tryggt nema hún hafi öruggan rekjanleika á þeim aðgangi og þeim uppflettingum sem fara fram í upplýsingakerfum hennar. Þá má benda á að í þeim tilfellum þar sem upp kemur vafi um lögmæti uppflettingar eða öryggi aðgangsheimildar að upplýsingakerfi fjárhagsupplýsingastofu getur hún þurft að grípa til þess úrræðis að loka viðkomandi aðgangi að upplýsingakerfum hennar og verður slíkum öryggisúrræðum einungis beitt ef rekjanleiki uppflettinga er tryggður.
3.
Notkun kennitölu
Í 10. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga kemur fram að notkun kennitölu er heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Þá segir í 2. mgr. í grein 2.9 í áðurnefndu starfsleyfi Creditinfo Lánstrausts hf. að skrá skuli í hvert skipti hver geri uppflettingu til að tryggja rekjanleika hennar. Í ákvæðinu er ekki tiltekið með hvaða hætti upplýsingar um uppflettingu skuli skráðar, svo sem hvort það sé gert með kennitölu starfsmanna eða kennitölu bankans.
Samkvæmt álitsbeiðni í máli þessu telur Íslandsbanki að með því að skrá niður kennitölur starfsmanna bankans sé gengið of langt gagnvart persónu þeirra. Af gögnum málsins er þó ljóst að einstaklingar, sem skráðir eru í upplýsingakerfi Creditinfo Lánstrausts hf., fá ekki upplýsingar um kennitölur starfsmanna heldur aðeins um hvaða áskrifendur hafi flett þeim upp. Að mati Persónuverndar er hér uppfyllt skilyrði 10. gr. laga nr. 77/2000, þar sem notkun þessi á sér málefnalegan tilgang og er nauðsynleg til að tryggja rekjanleika umræddra uppflettinga.
Á l i t s o r ð:
Notkun á kennitölum starfsmanna Íslandsbanka til að tryggja rekjanleika uppflettinga í vefþjónustu Creditinfo Lánstrausts hf. er heimil.