Miðlun persónuupplýsinga við sölu bankaútibús.
Úrskurðað hefur verið í máli vegna kvörtunar yfir miðlun Glitnis banka hf. á persónuupplýsingum um viðskiptamann til Sparisjóðs Siglufjarðar.
ÚRSKURÐUR
Þann 13. ágúst 2009 kvað stjórn Persónuverndar upp eftirfarandi úrskurð í máli nr. 2006/686:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 23. nóvember 2006 barst Persónuvernd kvörtun B (hér eftir nefndur kvartandi) vegna miðlunar Glitnis banka hf. á persónuupplýsingum um hann til Sparisjóðs Siglufjarðar. Um var að ræða miðlun sem tengdist sölu Glitnis á útibúi sínu á Siglufirði til Sparisjóðsins.
2.
Bréfaskipti
2.1.
Svar Fjármálaeftirlitsins
Með bréfi, dags. 29. nóvember 2006, sendi Persónuvernd erindið til Fjármálaeftirlitsins (FME). Persónuvernd tilkynnti kvartanda að hún myndi ekki fjalla um málið meðan það væri til meðferðar hjá FME. Síðar var og greint frá því að málið yrði tekið til meðferð þegar svar FME lægi fyrir, en niðurstaða um lögmæti vinnslunnar réðist einkum af því hvort sala á útibúinu hefði verið lögmæt með hliðsjón af lögum nr. 161/2002, um fjármálafyrirtæki.
Nokkur töf varð á afgreiðslu málsins meðan beðið var svars FME. Þann 8. júní 2007 kvartaði kvartandi til Umboðsmanns Alþingis yfir töfinni. Umboðsmaður svaraði með áliti nr. 5038/2007, dags. 4. september 2007. Niðurstaða hans var sú að lögmæti umrædds sölugernings réðist af ákvæðum laga nr. 161/2002 um fjármálafyrirtæki en eftirlit með starfsemi fjármálafyrirtækja samkvæmt framangreindum lögum hvíldi á Fjármálaeftirlitinu. Taldi umboðsmaður ekki tilefni til frekari umfjöllunar um þá töf sem orðið hafði á afgreiðslu erindis kvartanda.
Með bréfi FME, dags. 21. maí 2007, var greint frá því að eftirlitið myndi ekki úrskurða í máli B heldur skoða málið almennt. Myndi afgreiðsla dragast af þeim sökum. Þá var útskýrt að FME hefði ekki úrskurðarvald í einstökum málum milli eftirlitsskyldra aðila og viðskiptavina þeirra en gæti tekið mál til almennrar athugunar. Persónuvernd tilkynnti kvartanda þann 27. júní 2007, að hún myndi taka mál hans til efnislegrar úrlausnar þegar svar FME lægi fyrir.
Eftir nokkur bréfaskipti barst Persónuvernd svar FME, dags. 1. júlí 2009. Þar er fjallað almennt um sölu útibúa á milli fjármálafyrirtækja, þ.m.t. flutning þagnarskyldra upplýsinga. Telur FME heimilt að yfirfæra upplýsingar á milli fjármálastofnana, sem þagnarskylda ríkir um samkvæmt 1. mgr. 58. gr. laga nr. 161/2002, án samþykkis viðskiptamanna, í þeim tilvikum þar sem yfirfærsla er tilkomin vegna samruna í skilningi 106. gr. laga nr. 161/2002. Segir að Glitni og Sparisjóði Siglufjarðar hafi láðst að óska eftir fyrirfram samþykki FME fyrir umræddum gerningi og því hafi hann ekki verið auglýstur í samræmi við ákvæði 5. mgr. (nú 6. mgr.) 106. gr. laga nr. 161/2002. Telur FME umræddan annmarka óverulegan í ljósi þess að bæði Glitnir og Sparisjóður Siglufjarðar hafi afhent FME tvö bréf, dags. 6. og 19. júní 2006, sem höfðu verið send viðskiptamönnum umrædds útibús Glitnis hf. Auk þess hafi bankarnir gefið út sameiginlega fréttatilkynningu þann 2. júní 2006. Var niðurstaða FME sú að ekki væri ástæða til aðgerða gagnvart bankastofnununum. Sú afstaða byggðist á því að bæði Glitnir og Sparisjóður Siglufjarðar væru háð þagnarskyldu og eftirliti. Var og vísað til fyrri framkvæmdar við sölu á útibúum fjármálastofnana og þess að viðskiptavinir útibúsins virðist hafa haft tækifæri til þess að bregðast við áður en til yfirfærslunnar kom. Var beðist velvirðingar á þeim drætti sem varð á því að svara Persónuvernd með vísan til aðstæðna á fjármálamarkaði undanfarna mánuði.
2.2.
Sjónarmið Glitnis
Í tölvubréfi frá Glitni banka hf., dags. 23. nóvember 2006, kemur fram að í kaupum Sparisjóðs Siglufjarðar á útibúi Glitnis banka hf. hafi falist að allir innlánsreikningar og sparisjóðsbækur viðskiptavina útibúsins, auk útlána, færðust yfir til Sparisjóðs Siglufjarðar þann 24. júní 2006. Segir einnig að bæði Glitnir banki hf. og Sparisjóður Siglufjarðar hafi kappkostað þess að tryggja viðskiptavinum sambærileg kjör og að kynna þessar breytingar vandlega fyrir viðskiptamönnum sínum, m.a. með því að senda út sameiginlega fréttatilkynningu þann 2. júní 2006 um söluna auk þess sem fjármálastofnanirnar sendu sameiginlegt bréf til allra viðskiptamanna Glitnis, dags. 6. júní 2006. Einnig var haft samband við marga viðskiptavini með símtölum og fyrirhugaðar breytingar útskýrðar. Loks segir að fyrirhugaðar breytingar hafi verið rækilega kynntar kvartanda og honum gefinn nægilegur fyrirvari til þess að leita annað með viðskipti sín, hugnaðist honum það. Andmælir Glitnir banki hf. þeirri staðhæfingu kvartanda, að viðskipti hans hafi verið flutt til Sparisjóðs Siglufjarðar að honum óspurðum, sem rangri.
Með bréfi, dags. 16. júlí 2009, var málið áréttað við nýjan aðila málsins, Skilanefnd Glitnis hf., og honum boðið að koma á framfæri frekari athugasemdum, m.a. í ljósi svarbréfs FME, dags. 1. júlí s.m. Skilanefnd Glitnis tilkynnti símleiðis, þann 22. júlí, að svars væri ekki að vænta frá henni og vísaði til eldra svars bankans frá 23. nóvember 2006.
II.
Niðurstaða Persónuverndar
1.
Almennt
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar" er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla" er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Þar undir geta m.a. fallið miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, sbr. það sem fram kemur í athugasemdum í greinargerð með frumvarpi því er varð að lögum nr. 77/2000, sem og b-lið 2. gr. tilskipunar nr. 95/46/EB. Með vísan til framangreinds telst sú aðgerð að miðla persónuupplýsingum um viðskiptamenn fjármálafyrirtækis vera vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Fellur úrlausn máls þessa þar með undir verkefnasvið Persónuverndar.
2.
Lögmæti vinnslu
Vinnsla persónuupplýsinga er heimil ef eitthvert af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er uppfyllt. Hér koma helst til álita ákvæði 3. og 7. töluliðar.
Samkvæmt 3. tölul. telst vinnsla heimil ef hún er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Með lagaskyldu er átt við hvers konar skyldu sem leiðir af lagasetningu, m.a. skyldur samkvæmt reglugerðum eða öðrum stjórnvaldsfyrirmælum sem eiga sér stoð í lögum. Þá segir í 7. tölul. að heimil sé vinnsla sem er nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda beri samkvæmt lögum vegi þyngra.
Við skoðun á því hvort þessum skilyrðum sé fullnægt hefur Persónuvernd í fyrsta lagi litið til niðurstöðu FME, dags. 1. júlí 2009. Þar kemur fram að sala á útibúi sé að þess mati sala á rekstrareiningu sem fellur undir 1. mgr. 106. gr. laga nr. 161/2002. Við slík viðskipti sé heimilt að yfirfæra þagnarskyldar upplýsingar um viðskiptamenn, skv. 1. mgr. 58. gr. laga nr. 161/2002, án samþykkis viðskiptamanna, sé um að ræða yfrfærslu sem sé tilkomin vegna samruna í skilningi 1. mgr. 106. gr. sömu laga. Þá hefur Persónuvernd í öðru lagi lagt mat á annars vegar á hagsmuni af því að leynd ríki yfir upplýsingunum og hins vegar þá hagsmuni sem tengjast miðlun þeirra til sparisjóðsins.
Með vísun til niðurstöðu FME er það niðurstaða Persónuverndar að umrædd miðlun hafi verið nauðsynleg til að Glitnir og Sparisjóður Siglufjarðar gætu gætt lögmætra hagsmuna sinna. Er þar og litið til almennra hagsmuna af því að tryggja áreiðanleika viðskipta. Einnig skiptir máli að samskonar þagnarskylda gilti um starfsmenn beggja fjármálafyrirtækjanna, sbr. 58. gr. laga nr. 161/2002, og að ekkert hefur komið fram um annað en að miðlunin hafi verið nauðsynleg og átt sér lögmætan og málefnalegan tilgang og að ekki hafi verið miðlað meiri upplýsingum um viðskiptavini útibúsins en nauðsynlegt var til efnda á umræddum samningi.
Með vísan til framangreinds er það niðurstaða Persónuverndar að um lögmæta vinnslu í skilningi laga nr. 77/2000 hafi verið að ræða.
Ú r s k u r ð a r o r ð:
Miðlun viðskiptamannaupplýsinga Glitnis um B til Sparisjóðs Siglufjarðar í tilefni af sölu á útibúi Glitnis á Siglufirði til sparisjóðsins hinn 24. júní 2006 var heimil.