Vinnsla persónuupplýsinga í Meniga hugbúnaði Íslandsbanka
Persónuvernd hefur úrskurðað um að vinnsla Íslandsbanka á persónuupplýsingum í hugbúnaðinum Meniga í heimabankakerfi bankans samrýmist lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Úrskurður
Á fundi stjórnar Persónuverndar þann 25. janúar 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/508:
I.
Málavextir og málsmeðferð
1.
Tildrög máls
Þann 18. mars 2015 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), dags. sama dag, vegna vinnslu persónuupplýsinga um hann hjá Meniga ehf. annars vegar og miðlun persónuupplýsinga um hann frá Íslandsbanka til Meniga ehf. hins vegar.
Nánar tiltekið er kvartað yfir samningi Meniga við Íslandsbanka um aðgang að fjárhagsupplýsingum um kvartanda í bankanum, enda hafi hann aldrei gefið upplýst samþykki fyrir því. Telur kvartandi að Meniga hafi aðgang að neysluvenjum hans, nánar til tekið hvernig, í hvað og hvar fjármunir hans séu notaðir. Með þeim hætti verði til gagnagrunnur sem verði söluvara til handa þriðja aðila.
Þá segir einnig í kvörtuninni að þegar netbanki Íslandsbanka sé opnaður blasi við aðgengi að „Meniga“. Þegar Meniga-kerfið sé opnað komi fram upplýsingar, sem greinilega séu unnar á grundvelli upplýsinga um notkun fjármuna hans hjá bankanum. Telur kvartandi að hann hafi ekki veitt heimild fyrir aðgangi og notkun framangreindra persónuupplýsinga, hvorki í hans þágu né þriðja aðila.
2.
Bréfaskipti vegna kvörtunar um miðlun og vinnslu persónuupplýsinga hjá Meniga ehf.
Með bréfi, dags. 24. mars 2015, var Meniga ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar. Einkum var þess óskað að fram kæmi í svarbréfi félagsins hvort vinnsla persónuupplýsinga um kvartanda færi fram hjá félaginu, og ef svo væri, hvernig félagið teldi þá vinnslu samrýmast ákvæði 1. mgr. 8. gr. og 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Svarbréf Meniga ehf., dags. 7. apríl 2015, barst Persónuvernd þann 10. s.m. Í því segir m.a. að engin vinnsla persónuupplýsinga um kvartanda fari fram hjá Meniga ehf. Félagið vinni einungis með upplýsingar um þá notendur sem veitt hafi upplýst samþykki, en þar sem kvartandi hafi ekki samþykkt notkunarskilmála Meniga hafi gögn um hann aldrei verið send til Meniga. Þá séu upplýsingar um kvartanda unnar af Íslandsbanka, með notkun hugbúnaðarins Meniga, en félagið Meniga hafi enga aðkomu að þeirri vinnslu. Einnig segir í svarbréfinu:
„Íslandsbanki nýtir vissulega hugbúnað Meniga til þess að veita öllum sínum viðskiptavinum aðgang að sundurgreindum upplýsingum um neyslu. Þetta er hins vegar gert í tölvukerfum Íslandsbanka, þar sem hugbúnaður Meniga hefur verið settur upp. Meniga hefur engan aðgang að þeim grunni. Meniga hefur einungis aðgang að gögnum þeirra notenda sem hafa samþykkt sérstaklega notkunarskilmála Meniga. [...]“
Íslandsbanka var jafnframt með bréfi, dags. 24. mars 2015, boðið að koma á framfæri skýringum vegna kvörtunarinnar. Var þess einkum óskað að fram kæmi hvort persónuupplýsingum um kvartanda hefði verið miðlað frá Íslandsbanka til Meniga.
Þann 14. apríl 2015 barst Persónuvernd svarbréf Íslandsbanka, dags. 13. s.m. Þar segir m.a. um samning bankans við Meniga og um meinta miðlun upplýsinga um kvartanda til félagsins:
„Það er að sönnu rétt, að Íslandsbanki hf. var með fyrstu samstarfsaðilum Meniga [...]. Samningur bankans og félagsins er í meginatriðum tvíþættur:
- að bankinn fái til afnota flokkunarkerfi félagsins utan um neysluliði.
- að viðskiptavinir geti kosið að afhenda gögn um neysluvenjur sínar og þannig lagt sitt af mörkum til myndunar nafnlauss gagnagrunns um almennar neysluvenjur sem þeir geta borið sig saman við.
[...] Vilji viðskiptavinur bera sig saman við aðra neytendur, þ.e. fá fullan aðgang með tilheyrandi flutningi gagna, gerist það ekki á annan hátt en þann að hann opnar Meniga flipa í netbanka og velur „innsýn“. Þar er hann beðinn um að samþykkja skilmála o.s.frv., allt eins og ráð er fyrir gert í samstarfssamningi. Eins og kvartandi upplýsir sjálfur hefur hann ekki valið þá leið. Því er útilokað að gögn hafi flust frá bankanum. [...]“
Að því er varðar notkun bankans á flokkunarkerfi Meniga segir í svarbréfinu að umrætt kerfi sé sambærilegt aðkeyptu flokkunarkerfi af ýmsu tagi, svo sem við birgða- og reikningshald fyrirtækja. Ekki verði séð að gengið sé gegn hagsmunum viðskiptamanna þó viðskiptafærslum sé gefið nafn eða merkt undir tilteknum liðum svo lengi sem slíkum upplýsingum sé ekki miðlað til óviðkomandi. Þá tekur bankinn sérstaklega fram að starfsmenn hans hafi ekki aðgang að þessari flokkun í þeim upplýsingakerfum sem notuð séu til daglegrar afgreiðslu.
Með bréfi, dags. 17. apríl 2015, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Meniga og Íslandsbanka. Óskaði Persónuvernd sérstaklega eftir afstöðu kvartanda til þess hvort, og þá hvernig, hann teldi „vinnslu“ persónuupplýsinga hafa farið fram í málinu, þ.e. hjá hvorum aðila fyrir sig, m.t.t. skilgreiningar hugtaksins í 2. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Svarbréf kvartanda, dags. 11. maí 2015, barst Persónuvernd þann sama dag. Þar segir m.a. að kvartandi telji að af svörum Íslandsbanka megi ráða að enginn starfsmaður Íslandsbanka hafi aðgang að framangreindum upplýsingum. Hins vegar hafi bankinn staðfest að unnið sé með persónugreinanlegar upplýsingar kvartanda sem sóttar séu beint á reikning hans og þá séu neysluvenjur hans skráðar. Auk þess telji kvartandi að önnur víðtækari vinnsla persónuupplýsinga eigi sér stað hjá bankanum. Grunnupplýsingar séu sóttar frá Íslandsbanka og unnar frekar hjá Meniga í þeim tilgangi að búa til gagnagrunn um neysluvenjur sem seldur sé til þriðja aðila.
Þá bendir kvartandi á að Íslandsbanki sé að sækja persónuupplýsingar um hann, greina þær og nota innan bankans til einhvers konar samanburðar. Hafi hann ekki veitt heimild fyrir því. Telur kvartandi að með því að nota hugbúnað Meniga sé bankinn að auka líkur á gagnaþjófnaði eða mistökum við flutning gagna frá bankanum til Meniga. Loks krefst kvartandi þess að þeirri áreitni sem fylgir þessari upplýsinga- og gagnasöfnun verði hætt þegar í stað og að söfnun upplýsinganna verði hætt, ella neyðist hann til að hætta viðskiptum við bankann.
Með bréfum, dags. 18. maí, 28. maí og 1. júlí 2015, óskaði Persónuvernd eftir frekari upplýsingum frá Meniga ehf. og Íslandsbanka varðandi ákvæði í þjónustu- og samstarfssamningi Íslandsbanka við félagið. Í svörum félagsins og bankans, [dags.?], komu fram upplýsingar um að samstarfssamningur hafi verið gerður milli aðilanna. Einnig kom fram að Íslandsbanki hafi framkvæmt áhættumat og gert viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir, sbr. ákvæði 11. gr. laga nr. 77/2000. Þá staðfesti Íslandsbanki skilning Persónuverndar að engum persónugreinanlegum upplýsingum um kvartanda hafi verið miðlað á milli aðilanna.
3.
Bréfaskipti vegna nýrrar kröfu kvartanda um að vinnslu persónuupplýsinga verði hætt
Með bréfi, dags. 19. ágúst 2015, var kvartanda veittur kostur á að koma á framfæri athugasemdum við framkomnar skýringar Íslandsbanka. Í svarbréfi kvartanda, dags. 2. september 2015, segir meðal annars að ljóst sé af svörum bankans að hann safni, flokki og geymi upplýsingar um kvartanda án leyfis og sé það réttlætt með því að vísa til aukinnar þjónustu. Breyti engu í þessu sambandi að mati kvartanda hvort um persónuupplýsingar sé að ræða eða ekki, eða hvort upplýsingarnar séu lesnar af tölvum eða persónum. Þá geti bankinn ekki ábyrgst að gögn sem hann safni, flokki og geymi fari ekki á flakk. Loks sé það skýlaus krafa kvartanda að hætt verði þegar í stað allri söfnun, flokkun og geymslu upplýsinga um hann og að bankanum verði gerð nýting þeirra óheimil.
Með tölvupósti, sendum þann 17. september 2015, óskaði Persónuvernd eftir staðfestingu á því [frá kvartanda] hvort sá skilningur stofnunarinnar væri réttur að framangreind krafa kvartanda tæki til allrar þeirrar vinnslu persónuupplýsinga sem fram færi hjá bankanum um hann, eða hvort hann ætti t.d. einungis við um vinnslu persónuupplýsinga um hann í hugbúnaðinum Meniga hjá bankanum. Svar kvartanda barst með tölvupósti þann 21. s.m. Í svarinu segir meðal annars að það sé réttur skilningur stofnunarinnar að krafa hans lúti að því að Íslandsbanki hætti allri „gagnasöfnun, flokkun og geymslu“ persónuupplýsinga um hann. Þó kunni að vera undanskildar upplýsingar sem bankanum er skylt að varðveita í tiltekinn tíma samkvæmt lögum, en bankinn megi þó ekki vinna með þær upplýsingar á meðan á þeirri varðveislu standi.
Með bréfi, dags. 25. september 2015, var Íslandsbanka boðið að koma á framfæri skýringum við hinn nýja lið kvörtunarinnar, nánar til tekið um að allri vinnslu persónuupplýsinga um kvartanda yrði hætt hjá bankanum. Í svarbréfi Íslandsbanka, dags. 13. október 2015, kom fram að bankinn teldi sér heimilt að varðveita umfangsmiklar upplýsingar um viðskipti viðskiptamanna, t.d. á grundvelli 45. og 46. gr. laga nr. 120/2011 um greiðsluþjónustu sem geri ráð fyrir að bankinn hafi til reiðu upplýsingar varðandi viðtakanda og greiðanda greiðslu og aðrar upplýsingar sem kunni að hafa verið sendar með greiðslunni. Þá bendi bankinn jafnframt á 10. gr. laga nr. 33/2013 um neytendalán sem áskilji lánshæfis- og greiðslumat við lánveitingar til neytenda, hverju nafni sem nefnast og aðgengi að gagnagrunnum til þess að meta lánshæfi, sbr. 11. gr. sömu laga. Þá geri lög um persónuvernd almennt ráð fyrir því að safna megi upplýsingum í því skyni að unnt sé að afgreiða erindi viðskiptalegs eðlis eða til að uppfylla lagaskyldu, sjá t.d. 8. gr. laga nr. 77/2000. Bankinn geti því ekki hætt allri gagnaöflun og geymslu gagna er varði kvartanda og útilokað sé að staðhæfa að engin vinnsla þeirra muni eiga sér stað til allrar framtíðar. Eftir standi þá hvort unnt sé að komast hjá flokkun gagna eða hvort bankanum sem ábyrgðar- og vinnsluaðila sé skylt að láta af flokkuninni.
Í svarbréfi bankans kom fram að skilmálar þeir sem notendur Meniga gangast undir leyfi ópersónugreinanlegar, tölfræðilegar samantektir, ekki söfnun sem gagnist við beina markaðssetningu. Af því leiði að þeir sem ekki nýti þjónustuna sæti engri slíkri vinnslu, hvað þá að flokkun verði notuð í öðru skyni. Hin takmarkaða birtingarmynd flokkunarinnar sé óvalkvæður hluti netbankans með þeim hætti að opna þarf flipa merktan Meniga. Sem stendur sé ekki unnt að loka á flokkunina enda almennt afar erfitt að setja upp persónubundið viðmót fyrir hvern og einn notanda netbanka. Einnig megi líta til þess að flokkunin í þeirri takmörkuðu mynd sem hún birtist hafi verið einn liður í þróun netbankans og hækkunar á þjónustustigi, í þessu tilviki aukning á gegnsæi upplýsinga sem skylt sé að halda saman að lögum. Bankinn telji ólíklegt að takmörkuð og lokuð vinnsla af því tagi gangi gegn persónuverndarhagsmunum notenda. Kvartandi í þessu tilfelli hafi ekki sýnt fram á gengið hafi verið gegn persónuverndarlegum hagsmunum hans við varðveislu, notun eða flokkun persónuupplýsinga. Kvartandi hafi ekki fært fram rök fyrir því hvaða hagsmunum hafi verið raskað. Að teknu tilliti til alls þessa telji bankinn að ekki sé unnt að verða við kröfu kvartanda.
Með bréfi, dags. 17. nóvember 2015, óskaði Persónuvernd eftir frekari upplýsingum frá bankanum, nánar til tekið um hvort það sé réttur skilningur Persónuverndar að bankinn vinni persónuupplýsingar um alla viðskiptavini sína, eða flokki þær, án samþykkis þeirra, hvort kvartandi hafi samþykkt framangreinda vinnslu persónuupplýsinga með hugbúnaðinum, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og ef ekki, þá óskaði Persónuvernd eftir upplýsingum um á hvaða heimild í 1. mgr. 8. gr. laga nr. 77/2000 framangreind vinnsla byggðist. Loks var óskað eftir upplýsingum um hvort, og eftir atvikum hvernig, Íslandsbanki fullnægði fræðsluskyldu samkvæmt 1. mgr. 20. gr. laga nr. 77/2000. Óskaði stofnunin einnig eftir að henni bærist afrit af þeirri fræðslu sem kvartanda var veitt vegna vinnslunnar.
Í svarbréfi Íslandsbanka, dags. 1. desember 2015, segir að sú takmarkaða flokkun persónuupplýsinga sem um ræði í þessu máli sé óvalkvæð og sem standi sé ekki í boði að loka á flokkunina. Þá bendi bankinn á að honum sé skylt að lögum að varðveita all umfangsmiklar upplýsingar um viðskipti viðskiptamanna. Þá kemur fram að í almennum debetkortaskilmálum sé komið inn á heimild bankans til vinnslunnar, en þar segi í 2. gr. i-liðar að með undirritun umsóknar heimili korthafi Íslandsbanka vinnslu upplýsinga sem nauðsynlegar séu til reksturs greiðslumiðlunarkerfisins að baki debetkortinu, svo sem að auðkenna greiðslur frá korthafa og tryggja rekjanleika þeirra. Þá vilji bankinn benda á að hvergi sé að finna í settum lögum fyrirmæli um hvernig röðun færslna á reikningsyfirliti skuli háttað, hvað þá að þjónustuveitanda sé með öllu óheimilt að víkja frá hefðbundinni framsetningu í tímaröð. Að mati bankans séu ekki settar skorður við flokkun eftir viðtakendum, upphæðum eða öðru á reikningsyfirlitum og því megi hafa slíka valkosti uppi án sérstaks samþykkis notanda. Varðandi fræðslu um heimilisbókhald Meniga bendi bankinn á að finna megi upplýsingar um vinnslu Meniga á heimasíðu bankans.
Með bréfi, dags. 4. janúar 2016, var kvartanda gefinn kostur á athugasemdum við skýringar Íslandsbanka. Í svarbréfi kvartanda, dags. 20. janúar 2016, kemur fram að hann telji tilvísun í 45. og 46. gr. laga nr. 120/2011 ekki eiga við í málinu. Frekar skuli litið til 73. gr. sömu laga þar sem segi að vinnsla og meðferð persónuupplýsinga sé heimil af hálfu greiðslukerfa og greiðsluþjónustuveitenda sé hún nauðsynleg til að koma í veg fyrir, rannsaka og greina greiðslusvik, en af bréfi kvartanda verður ráðin sú afstaða að önnur vinnsla skuli þá ekki teljast heimil. Þá eigi tilvísun Íslandsbanka í almenna debetkortaskilmála ekki við þar sem í þeim felist ekki heimild til þeirrar vinnslu með þriðja aðila sem bankinn standi fyrir án heimildar. Verði ekki af skilmálunum ráðið að veitt sé heimild fyrir bankann að nýta slíkar upplýsingar í markaðslegum tilgangi til að auka tekjur sínar, með sölu á upplýsingum um neysluvenjur viðskiptavina sinna. Auk þess telji kvartandi það athyglisvert að bankinn skuli nefna að hvergi sé að finna fyrirmæli í lögum um hvernig yfirlitum um bankareikninga skuli háttað. Kvartandi telji það liggja algjörlega fyrir að bankanum sé ekki heimilt að nota upplýsingar sem varði hann í gagnasafni bankans til að selja áfram eða heimila aðgang að upplýsingum um neysluvenjur hans.
II.
Forsendur og niðurstaða
1.
Afmörkun úrlausnarefnis
Af þeim skýringum sem Persónuvernd hafa borist frá Íslandsbanka og Meniga ehf. verður ráðið að engum persónuupplýsingum um kvartanda hafi verið miðlað frá bankanum til félagsins - hvorki fyrir né eftir gerð núverandi samnings milli bankans og félagsins, dags. 23. október 2014.
Af framangreindu leiðir að þeir þættir kvörtunarinnar er varða meinta miðlun persónuupplýsinga um kvartanda frá Íslandsbanka til Meniga ehf. annars vegar og meinta vinnslu þeirra upplýsinga hjá Meniga ehf. hins vegar falla ekki undir gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, enda fór ekki fram nein vinnsla persónupplýsinga um kvartanda í skilningi ákvæðis 1. mgr. 3. gr. þeirra laga.
Mun eftirfarandi umfjöllun því einungis taka til þess þáttar kvörtunarinnar er varðar vinnslu persónuupplýsinga um kvartanda sem fram fer hjá Íslandsbanka með hugbúnaðinum Meniga, sem fenginn var frá Meniga ehf., bæði að því er varðar lögmæti þeirrar vinnslu sem og beiðni kvartanda um að vinnslu upplýsinga um hann verði hætt.
2.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.
Af framangreindu er ljóst að sú aðgerð að vinna með persónuupplýsingar um kvartanda í hugbúnaðinum Meniga hjá Íslandsbanka fellur undir gildissvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Telst bankinn vera ábyrgðaraðili þeirrar tilteknu vinnslu, sbr. 4. tölul. 2. gr. laga nr. 77/2000.
3.
Niðurstaða
Öll vinnsla persónuupplýsinga verður að samrýmast einhverju af skilyrðum 8. gr. laga nr. 77/2000. Eftir atvikum geta þar átt við ákvæði 1. eða 2. tölul. ákvæðisins, þess efnis að vinna má með persónuupplýsingar á grundvelli samþykkis hins skráða eða þegar vinnsla telst nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Einnig gæti vinnsla verið heimil samkvæmt 3. tölul. ákvæðisins, en þar segir að vinnsla sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Þá er í 7. tölul. sama ákvæðis mælt fyrir um að vinnsla sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Í skýringum Íslandsbanka hefur komið fram að bankinn noti flokkunarkerfið Meniga í þeim tilgangi að veita öllum viðskiptavinum sínum aðgang að sundurgreindum upplýsingum um neyslu. Vinnsla þessi sé ekki valkvæð og geti viðskiptavinir því ekki óskað eftir því að framangreind vinnsla fari ekki fram. Ekki er kveðið á um í lögum með hvaða hætti röðun eða flokkun færslna á reikningsyfirliti skuli háttað. Þá vísar Íslandsbanki til ýmissa upplýsinga sem viðskiptavinum eru veittar vegna þeirrar þjónustu sem bankinn veitir viðskiptavinum sínum og uppfylla eigi fræðsluskyldu skv. 1. mgr. 20. gr. laga nr. 77/2000.
Samkvæmt 45. og 46. gr. laga nr. 120/2011 um greiðsluþjónustu er greiðsluþjónustuveitendum, í þessu tilviki Íslandsbanka, skylt að halda utan um upplýsingar fyrir greiðendur og viðtakendur greiðslna. Taka ákvæðin m.a. til þess hver sé greiðandi og viðtakandi greiðslu og hver sé fjárhæð hennar. Kerfi Íslandsbanka býður notendum upp á að skoða heimilisbókhald sitt með flokkunarkerfi Meniga á þann hátt að sundurgreindar séu ákveðnar greiðslur með þeim hætti að þær gefi notendum upplýsingar um neyslu. Um er að ræða uppröðun og framsetningu á upplýsingum notenda heimabankans sem ekki fer fram í markaðslegum tilgangi. Er því ekki um umfram vinnslu persónuupplýsinga að ræða heldur aðeins framsetningu á framangreindum persónuupplýsingum sem ákvæði laga nr. 120/2011 taka til. Einnig er það mat Persónuverndar að 73. gr. sömu laga, þess efnis að vinnsla og meðferð persónuupplýsinga sé heimil sé hún nauðsynleg til að koma í veg fyrir, rannsaka og greina greiðslusvik, gefi ekki tilefni til að gagnálykta á þann veg að öll önnur vinnsla og meðferð persónuupplýsinga í greiðslukerfum sé óheimil. Þá fer umrædd vinnsla ekki út fyrir kröfur 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu.
Með vísan til framangreinds telur Persónuvernd að umrædd vinnsla Íslandsbanka á persónuupplýsingum í hugbúnaðinum Meniga í heimabankakerfi bankans samrýmist lögum nr. 77/2000. Krafa kvartanda um að vinnslu persónuupplýsinga í kerfinu um hann verði hætt er því ekki tekin til greina.
Ú r s k u r ð a r o r ð:
Vinnsla Íslandsbanka á persónuupplýsingum [A] í hugbúnaðinum Meniga í heimabankakerfi bankans samrýmist lögum nr. 77/2000.