Vinnsla Landsbankans á persónuupplýsingum ekki í samræmi við lög
Mál nr. 2020092451
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir því að faðir kvartanda hefði haft lesaðgang í heimabanka að tveimur bankareikningum hjá Landsbankanum. Föður kvartanda hafði verið veittur umræddur aðgangur þegar kvartandi var ólögráða og farist hafði fyrir að fella hann niður þegar kvartandi náði 18 ára aldri. Persónuvernd komst að þeirri niðurstöðu að vinnsla Landsbankans á persónuupplýsingum kvartanda hafi ekki verið í samræmi í lög þar sem kvartandi hafði hvorki veitt föður sínum umboð né annað samþykki fyrir áframhaldandi aðgangi að reikningum sínum. Persónuvernd telur ekki tilefni til að beina fyrirmælum til bankans um úrbætur þar sem þegar hafa verið gerðar breytingar á fyrirkomulagi og ráðstöfunum við veitingu aðgangsheimilda að reikningum.
Úrskurður
Hinn 17. desember 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020092451.
I.
Málsmeðferð
1.
Tildrög máls
Hinn 24. september 2020 barst Persónuvernd kvörtun [A], (hér eftir nefndur kvartandi), yfir því að óviðkomandi þriðji aðili hefði haft lesaðgang í heimabanka að tveimur bankareikningum hennar hjá Landsbankanum.
Með bréfi, dags. 4. maí 2021, var Landsbankanum boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 7. júní 2021.
Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna, þó svo að ekki sé gerð sérstaklega grein fyrir þeim að öllu leyti í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Af hálfu kvartanda hefur komið fram að Landsbankinn hafi veitt föður hennar óheimilan aðgang að heimabanka hennar frá því að hún var 18 ára og þar til hún var 27 ára. Landsbankinn hafi ekki getað sýnt fram á að kvartandi hafi veitt leyfi fyrir slíkum aðgangi og því sé um mannleg mistök að ræða.
3.
Sjónarmið Landsbankans
Í bréfi Landsbankans kemur fram að hinn 27. desember 2018 hafi kvartandi haft samband við bankann og óskað eftir skýringum á því hvers vegna faðir hennar hefði enn aðgang að reikningum hennar. Samdægurs hafi bankinn gripið til viðeigandi ráðstafana og fellt niður aðgangsheimild föður kvartanda. Við skoðun bankans í kjölfarið hafi komið í ljós að faðir kvartanda hafi stofnað tvo reikninga fyrir hönd kvartanda þegar hún var ólögráða og þar með haft lesaðgang að þeim, en í því sambandi er vísað til 2. mgr. 51. gr. og 1. mgr. 67. gr. lögræðislaga nr. 71/1997. Reikningarnir hafi verið stofnaðir á árunum 2002 og 2008 en verklag við veitingu aðgangsheimilda að reikningum ólögráða barna hafi verið annað þá en nú. Á þeim tíma hafi forsjáraðilum verið veittur lesaðgangur að reikningum barna sinna á grundvelli samþykkis og forsjárskyldna þeirra. Forsjáraðilar, þ.m.t. faðir kvartanda, hefðu verið upplýstir um gildistíma aðgangsheimilda og um að þær næðu eingöngu til tímabilsins á meðan börn væru ófjárráða sökum aldurs. Þeim hafi því borið að afturkalla aðgangsheimild sína þegar barnið yrði lögráða.
Þrátt fyrir að bankinn harmi að faðir kvartanda hafi haft lesaðgang að reikningum hennar eftir að hún varð lögráða telur bankinn ekki unnt að líta fram hjá því að eðlilegt hefði verið að faðir kvartanda hefði upplýst hana um aðgang hans að bankareikningum hennar og óskað eftir samþykki hennar fyrir áframhaldandi heimild eftir að hún varð fullorðin. Faðir kvartanda hafi mátt vita að honum væri óheimilt að sækja upplýsingar um reikninga kvartanda eftir 18 ára afmælisdag hennar og á honum hafi hvílt skylda til að fella niður heimildir sínar við það tímamark. Þá hvíli ekki lagaskylda á bankanum til að fella niður lesaðgang og umboð á reikningum viðskiptavina að eigin frumkvæði en lög geri ráð fyrir að slík aðgerð fari fram að frumkvæði umboðsveitanda eða reikningseiganda sjálfs. Þó geti ungt fólk skort yfirsýn yfir það hverjir hafi stofnað reikninga í nafni þess áður en það varð lögráða eða haft aðgang að þeim. Bankinn hafi því gripið til umfangsmikilla breytinga á verklagi við móttöku, afgreiðslu og niðurfellingu aðgangsheimilda og umboða í bankanum, en í svarbréfi bankans er þeim ráðstöfunum lýst nánar og meðal annars vísað til þess að nýtt verklag byggi á mati á áhrifum á persónuvernd og sé ætlað að tryggja innbyggða og sjálfgefna persónuvernd.
II.
Forsendur og niðurstaða
1.
Lagaskil og afmörkun máls
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sem í gildi voru þegar upphafleg atvik málsins áttu sér stað, voru leyst af hólmi með lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sem tóku gildi hinn 15. júlí 2018. Þau lögfestu jafnframt persónuverndarreglugerðina, (ESB) 2016/679, eins og hún var aðlöguð og tekin upp í EES-samninginn.
Kvörtun þessi beinist að ástandi sem var til staðar frá árinu 2010, þegar kvartandi varð lögráða, til loka ársins 2018. Hvað varðar aðgang föður kvartanda að reikningum hennar fram til 15. júlí 2018, þegar lög nr. 90/2018 tóku gildi, fer því samkvæmt lögum nr. 77/2000. Eftir 15. júlí 2018 fer hins vegar um aðganginn eftir lögum nr. 90/2018.
2.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Gildissvið laga nr. 77/2000 og valdsvið Persónuverndar samkvæmt þeim var afmarkað með sambærilegum hætti.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laga nr. 90/2018 og 1. tölul. 4. gr. reglugerðarinnar, sbr. áður 1. tölul. 2. gr. laga nr. 77/2000.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, þar á meðal aðferðir til að gera persónuupplýsingar tiltækar, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar, sbr. áður 2. tölul. 2. gr. laga nr. 77/2000.
Mál þetta lýtur að því að faðir kvartanda hélt lesaðgangi sínum að tveimur bankareikningum hennar í heimabanka eftir að hún varð lögráða. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili, sbr. jafnframt 4. tölul. 2. gr. laga nr. 77/2000. Eins og hér háttar til telst Landsbankinn vera ábyrgðaraðili að umræddri vinnslu.
3.
Lögmæti vinnslu
3.1.
Lagaumhverfi
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 9. gr. laga nr. 90/2018. Má þar nefna að vinnsla getur talist heimil á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. þeirrar greinar, eða þess að vinnslan sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gæti nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. sömu málsgreinar. Sambærileg ákvæði voru áður í 8. gr. laga nr. 77/2000, sbr. 1. og 7. tölul. 1. mgr. þess ákvæðis.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.) og að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi (2. tölul.). Sambærileg ákvæði voru áður í 1. mgr. 7. gr. laga nr. 77/2000. Samkvæmt 2. mgr. 8. gr. laga nr. 90/2018 ber ábyrgðaraðili ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. sömu greinar og skal geta sýnt fram á það.
Þá er kveðið á um að persónuupplýsingar skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.). Sú meginregla er nánar útfærð í IV. kafla laga nr. 90/2018, sbr. einnig IV. kafla reglugerðar (ESB) 2016/679.
Í 23. gr. laganna kemur fram að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar samkvæmt nánari fyrirmælum 24. og 25. gr. hennar. Þá segir í 1. mgr. 27. gr. laganna að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglugerðarinnar. Í upplýsingaöryggi felst meðal annars að persónuupplýsingum skal leynt gagnvart óviðkomandi og að þær skulu einungis aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda.
Fjallað er um innbyggða og sjálfgefna persónuvernd í 24. gr. laganna, sbr. 25. gr. reglugerðarinnar. Samkvæmt 1. mgr. 25. gr. reglugerðarinnar skal ábyrgðaraðilinn, bæði þegar ákveðnar eru aðferðir við vinnsluna og þegar vinnslan sjálf fer fram, gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem hannaðar eru til að framfylgja meginreglum um persónuvernd, svo sem lágmörkun gagna, með skilvirkum hætti og fella nauðsynlegar verndarráðstafanir inn í vinnsluna til að uppfylla kröfur reglugerðarinnar og vernda réttindi skráðra einstaklinga. Þá segir í 2. mgr. 25. gr. reglugerðarinnar að ábyrgðaraðilinn skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Þessi skylda gildir um það hversu miklum persónuupplýsingum er safnað, að hvaða marki unnið er með þær, hversu lengi þær eru varðveittar og aðgang að þeim.
Ákvæði um öryggi persónuupplýsinga var áður að finna í 11. gr. laga nr. 77/2000, en með 1. mgr. þeirrar greinar var meðal annars lögð sú skylda á ábyrgðaraðila að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi. Í 2. mgr. ákvæðisins sagði að beita skyldi ráðstöfunum sem tryggðu nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja ætti, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Ábyrgðaraðili bar ábyrgð á því að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga væru í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skyldi öryggi upplýsinga, sbr. 3. mgr. ákvæðisins, og á því að áhættumat væri endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefði til að uppfylla ákvæði 11. gr. ákvæðisins, sbr. 4. mgr. þess.
3.2.
Niðurstaða
Á forráðamönnum barna hvílir meðal annars sú skylda að varðveita og ávaxta eignir þeirra, sbr. 1. tölul. 67. gr. lögræðislaga nr. 71/1997. Af skýringum Landsbankans verður ráðið að vegna þeirrar skyldu hafi föður kvartanda verið veittur umræddur lesaðgangur við stofnun reikninganna. Hins vegar er óumdeilt í málinu að aðgangur föður kvartanda að reikningum hennar eftir að hún varð 18 ára gat einungis stuðst við samþykki hennar sjálfrar, svo sem með vísan til gilds umboðs sem hún hefði sjálf getað gefið út. Í málinu liggur ekkert fyrir um að kvartandi hafi samþykkt umræddan aðgang og því hefur ekki verið haldið fram að hún hafi veitt föður sínum umboð eða að Landsbankinn hafi móttekið tilkynningu frá henni þess efnis.
Svo sem að framan er rakið hefur Landsbankinn vísað til þess að eðlilegt hefði verið að faðir kvartanda hefði upplýst hana um aðgang hans að bankareikningum hennar og óskað eftir samþykki hennar fyrir áframhaldandi aðgangi eftir að hún varð 18 ára. Persónuvernd fellst hins vegar ekki á að þetta leysi bankann undan skyldum sínum tengdum þeirri vinnslu sem talin er á ábyrgð bankans og fólst í að veita umræddan aðgang og gera persónuupplýsingar kvartanda tiltækar eftir að hún varð 18 ára.
Með vísan til framangreinds er það niðurstaða Persónuverndar að engin heimild hafi staðið til vinnslunnar, hvorki samkvæmt 1. mgr. 8. gr. laga nr. 77/2000 né samkvæmt 9. gr. laga nr. 90/2018, sbr. einnig 6. gr. reglugerðar (ESB) 2016/679.
Þá verður það fyrirkomulag Landsbankans að fella ekki niður aðgangsheimildir forsjáraðila þegar eigendur reikninga urðu lögráða ekki talið hafa samrýmst 1. tölul. 1. mgr. 7. gr. og 11. gr. laga nr. 77/2000, svo og 1. og 6. tölul. 1. mgr. 8. gr., 23., 24. og 27. gr. laga nr. 90/2018, sbr. a- og f-lið 1. mgr. 5. gr., 24., 25. og 32. gr. reglugerðar (ESB) 2016/679.
Með vísan til lýsingar Landsbankans á þeim breytingum sem gerðar hafa verið á fyrirkomulagi og ráðstöfunum við veitingu aðgangsheimilda að reikningum þykir ekki tilefni til að beina fyrirmælum til bankans um úrbætur, eins og hér háttar til.
Ú r s k u r ð a r o r ð:
Vinnsla Landsbankans á persónuupplýsingum um [A], sem leiddi til aðgangs óviðkomandi að fjárhagsupplýsingum hennar frá því að hún varð 18 ára og til 14. júlí 2018, samrýmdist ekki lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Vinnsla Landsbankans á persónuupplýsingum um [A], sem leiddi til aðgangs óviðkomandi að fjárhagsupplýsingum hennar frá 15. júlí 2018 og þar til aðganginum var lokað, samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd, 17. desember 2021
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir