Úrlausnir

Úrskurður um vinnslu persónuupplýsinga hjá Landsbankanum hf. og Kópavogsbæ

Mál nr. 2016/1770

21.6.2018

Persónuvernd hefur úrskurðað að vinnsla persónuupplýsinga hjá Landsbankanum hf. og Kópavogsbæ um kvartanda hafi samrýmst lögum nr. 77/2000, auk þess sem ekki hafi komið fram að farið hafi verið gegn grunnkröfum 7. gr. laganna, en kvartað var yfir því að farið hefði verið inn á reikning kvartanda og tiltekin fjárhæð tekin þar út. Í gögnum málsins var staðfest að samþykki kvartanda fyrir þeim millifærslum sem um var að ræða lá fyrir, en þetta voru greiðslur í tengslum við útborgun og endurgreiðslu lána sem velferðarsvið Kópavogsbæjar veitti kvartanda.

 

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 31. maí 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1770:

 

I.
Málsmeðferð 

1.
Tildrög máls

Þann 5. desember 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), yfir því að farið hefði verið inn á reikning hans hjá Landsbankanum hf. Með tölvupósti, dags. 18. ágúst 2017, óskaði Persónuvernd eftir nánari upplýsingum frá kvartanda varðandi efni kvörtunarinnar. Var þess óskað að efni kvörtunarinnar yrði nánar upplýst, þ. á m. varðandi hvaða persónuupplýsingar unnið hefði verið með og á hvaða hátt mögulega hefði verið um að ræða brot gegn lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Nánari skýringar kvartanda bárust með bréfi, dags. 28. ágúst 2017. Segir þar m.a. að kvörtunin beinist gegn Landsbankanum og Kópavogsbæ. Kvartað sé yfir því að styrkur frá Kópavogsbæ, kr. 150.314, sem fór inn á reikning kvartanda þann 5. maí 2015, hafi verið tekinn út af reikningnum nokkrum tímum síðar. Aftur hafi verið farið inn á reikning kvartanda þann 28. apríl 2016 og greiðsla, kr. 153.320, tekin út af reikningnum hans. Telur hann að um mikið öryggisrof hafi verið að ræða.

 

2.
Bréfaskipti

Með bréfum dags. 20. september 2017, var Kópavogsbæ annars vegar og Landsbankanum hf. hins vegar boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993.

Í svarbréfi Kópavogsbæjar, dags. 29. september 2017, kemur fram að málavextir séu þeir að kvartandi hafi frá árinu 2009 á tímabilum þegið fjárhagsaðstoð og annan stuðning frá velferðarsviði Kópavogs. Í desember 2015 og fram til 1. mars 2016 hafi aðstoð verið veitt í formi láns, þar sem beðið var niðurstöðu umsóknar um örorkumat hjá Tryggingastofnun. Hluta þeirrar framfærslu sem honum hafi verið greidd hafi verið breytt í styrk en krafist hafi verið endurgreiðslu vegna janúar, mars og apríl 2016. Kvartandi hafi samþykkt með undirritun sinni á millifærslubeiðni að framfærslulánin yrðu endurgreidd af bankareikningi hans. Meðfylgjandi bréfi Kópavogsbæjar voru eftirfarandi millifærslubeiðnir, allar undirritaðar af kvartanda: í fyrsta lagi beiðni, dags. 15. desember 2015, er kveður á um heimild til handa velferðarsviði Kópavogsbæjar til að millifæra kr. 150.314, af bankareikningi kvartanda með nánar tilgreindum hætti; í öðru lagi beiðni, dags. 10. febrúar 2016, er kveður á um sams konar heimild til handa sviðinu til að millifæra kr. 153.320, af bankareikningi kvartanda; og loks í þriðja lagi beiðni, dags. 26. febrúar 2016, um sams konar heimild til handa sviðinu til millifærslu af bankareikningi kvartanda á sömu upphæð. Heimilaði kvartandi samkvæmt þessu velferðarsviði Kópavogsbæjar að millifæra af bankareikningi hans nánar tilteknar fjárhæðir með nánar tilgreindum hætti.

Í svarbréfi Landsbankans hf., dags. 2. október 2017, er vísað til þess að kvörtunin lúti annars vegar að millifærslu af veltureikningi kvartanda að fjárhæð kr. 153.320, dags. 28. apríl 2016, til Félagsþjónustu Kópavogs og hins vegar innborgun frá Félagsþjónustu Kópavogs á sama reikning kvartanda að fjárhæð kr. 150.314, dags. 5. maí 2016. Að mati kvartanda hafi fyrrnefndar fjármagnshreyfingar verið ólögmætar þar sem kvartandi hafi ekki veitt Kópavogsbæ og Landsbankanum hf. sérstakt umboð til þeirra. Um hafi verið að ræða greiðslur í tengslum við útborgun og endurgreiðslu lána sem velferðarsvið Kópavogsbæjar veitti kvartanda. Kvartandi hafi veitt skriflegt samþykki fyrir framkvæmd beggja greiðslna, sbr. fyrrgreindar millifærslubeiðnir, dags. 15. desember 2015 og 26. febrúar 2016, sem jafnframt fylgdu með bréfi Landsbankans hf. Landsbankinn hf. telur að sú vinnsla persónuupplýsinga sem kvörtun beinist að hafi verið heimil á grundvelli samþykkis kvartanda, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þá hafi ekki verið um öryggisbrest að ræða heldur venjubundna afgreiðslu samkvæmt almennu verklagi innan bankans og samningum við kvartanda. Að auki sé það mat bankans að umræddar greiðslur samrýmist meginreglum 7. gr. laga nr. 77/2000, þar sem þær voru liður í hefðbundnum bankaviðskiptum sem leiði af skuldbindingum kvartanda gagnvart velferðarsviði Kópavogsbæjar og Landsbankanum hf.

Með bréfi, dags. 20. október 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Kópavogsbæjar og Landsbankans hf. til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi kvartanda, segir m.a. að ekki hafi verið heimilt að afhenda Landsbankanum hf. persónuupplýsingar og að óheimilt hafi verið að fara inn á reikning hans. Líti hann því málið mjög alvarlegum augum. Með bréfi, dags. 18. janúar 2018, ítrekaði kvartandi fram komin sjónarmið.

 

II.
Forsendur og niðurstaða

 

1.
Gildissvið laga nr. 77/2000

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til teljast Kópavogsbær og Landsbankinn hf. vera ábyrgðaraðilar að umræddri vinnslu.

 

2.
Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Hér kemur einkum til skoðunar 1. tölul. 1. mgr. 8. gr. laganna er heimilar vinnslu persónuupplýsinga á grundvelli samþykkis hins skráða. Staðfest er í gögnum málsins að fyrir lá samþykki kvartanda fyrir þeim millifærslum sem hér um ræðir.

Auk heimildar í 8. gr. laga nr. 77/2000 verður vinnsla persónuupplýsinga ávallt að samrýmast grunnkröfum 7. gr. sömu laga, en þar er m.a. kveðið á um að gæta skuli sanngirni og meðalhófs við vinnslu persónuupplýsinga, sbr. 1. og 3. tölul. 1. mgr. 7. gr. Hefur ekki komið fram að farið hafi verið gegn þessum kröfum við umrædda vinnslu.

Með vísan til framangreinds telur Persónuvernd þá vinnslu persónuupplýsinga um kvartanda, sem hér um ræðir, samrýmast lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Afgreiðsla máls þessa hjá Persónuvernd hefur dregist vegna mikilla anna hjá stofnunni. 

Ú r s k u r ð a r o r ð:

 

Vinnsla persónuupplýsinga um [A] hjá Landsbankanum hf. og Kópavogsbæ samrýmdist lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

 



Var efnið hjálplegt? Nei