Vinnsla persónuupplýsinga af hálfu Lögreglunnar á höfuðborgarsvæðinu og Landsbankans
Mál nr. 2020112935
Persónuvernd hefur úrskurðað um vinnslu persónuupplýsinga af hálfu Lögreglunnar á höfuðborgarsvæðinu og Landsbankans í tengslum við innheimtu hraðasektar. Niðurstaða Persónuverndar var að Lögreglunni á höfuðborgarsvæðinu var heimilt að miðla upplýsingum um refsiverða háttsemi kvartanda til Landsbankans í því skyni að innheimta kröfu um greiðslu hraðasektar. Var miðlunin talin nauðsynleg vegna verks sem var unnið í almannaþágu og í þágu lögbundinna verkefna viðkomandi stjórnvalds. Persónuvernd komst einnig að þeirri niðurstöðu að Landsbankanum hafi verið heimilt að vinna sömu persónuupplýsingar í því skyni að færa umrædda kröfu í heimabanka kvartanda, þar sem bankinn hafi haft af því lögmæta hagsmuni sem vógu þyngra en hagsmunir og grundvallarréttindi og frelsi kvartanda umrætt sinn. Loks var það niðurstaða Persónuverndar að ekki hafi verið brotið gegn rétti kvartanda til eyðingar upplýsinga eða leiðréttingar þeirra.
Úrskurður
um kvörtun yfir vinnslu persónuupplýsinga af hálfu
Lögreglunnar á höfuðborgarsvæðinu og Landsbankans í tengslum við færslu sektarboðs í
heimabanka, í máli nr. 2020112935:
I.
Málsmeðferð
Hinn 26. nóvember 2020 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir miðlun Lögreglunnar á höfuðborgarsvæðinu á persónuupplýsingum um hann til Landsbankans vegna innheimtu hraðasektar og færslu bankans á kröfunni í heimabanka hans. Einnig er kvartað yfir því að ekki hafi verið farið að beiðnum kvartanda um eyðingu kröfunnar, svo og yfir því að andmælaréttur hans hafi ekki verið virtur, né heldur upplýsinga- og aðgangsréttur hans.
Hinn 31. maí 2022 sendi Persónuvernd kvartanda bréf þar sem honum voru veittar skýringar á sjónarmiðum og afmörkun Persónuverndar á umkvörtunarefninu, auk þess sem kvartandi var upplýstur um að gögn málsins gæfu ekki annað til kynna en að Lögreglan á höfuðborgarsvæðinu hefði uppfyllt skyldu sína um aðgang hans að umbeðnum gögnum. Þá var kvartandi upplýstur um að bærust andmæli hans varðandi afstöðu Persónuverndar ekki innan tilgreinds frests yrði málið fellt niður. Þar sem engin svör bárust var kvartanda sent ítrekunarbréf, dags. 9. ágúst 2022. Við vinnslu málsins komst Persónuvernd að því að ósvarað var bréfi kvartanda, dags. 27. júlí s.á., sem barst stofnuninni sama dag og ítrekunarbréfið var sent. Var kvartanda því sent nýtt bréf, dags. 22. nóvember s.á., þar sem mistökunum var lýst og kvartanda veittur nýr frestur til að andmæla afstöðu stofnunarinnar til umkvörtunarefnis hans. Bárust andmæli kvartanda með bréfi, dags. 12. desember s.á., þar sem hann upplýsti Persónuvernd m.a. um að hann hygðist halda kröfu sinni til streitu. Þá óskaði hann jafnframt afrita allra gagna málsins og tilkynnti Persónuvernd um nýtt lögheimili sitt.
Persónuvernd bauð Lögreglunni á höfuðborgarsvæðinu að tjá sig um kvörtunina með bréfi, dags. 2. júní 2023, og bárust svör hennar 23. s.m. Með bréfi, dags. s.d., var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör lögreglu og bárust þær með tölvupósti 11. júlí 2023. Að auki var Landsbankanum tilkynnt um hana með bréfi, dags. 2. janúar 2024, og honum boðið að tjá sig um kvörtunina auk þess sem Persónuvernd óskaði tiltekinna skýringa. Bárust svör bankans með bréfi, dags. 24. s.m. Þá barst Persónuvernd bréf kvartanda hinn 25. s.m. þar sem hann óskaði, með vísan til fyrrgreinds bréfs stofnunarinnar til bankans, eftir að Persónuvernd krefði Landsbankann frekari skýringa á aðgangi starfsmanna bankans að heimabanka hans og hvernig eftirliti með aðganginum væri háttað. Í ljósi svara Landsbankans var ekki talin þörf á frekari skýringum bankans vegna bréfs kvartanda.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó svo að ekki sé gerð sérstaklega grein fyrir þeim öllum í úrskurði þessum.
Meðferð málsins hefur tafist vegna framangreindra bréfaskipta og mikilla anna hjá Persónuvernd.
___________________
Ágreiningur er annars vegar um hvort Lögreglunni á höfuðborgarsvæðinu var heimilt að senda sektarboð til innheimtu í heimabanka kvartanda hjá Landsbankanum og hins vegar um vinnslu bankans á persónuupplýsingum kvartanda með færslu kröfunnar í heimabankann án hans samþykkis.
Kvartandi telur að ekki sé lagaheimild fyrir því að Lögreglan á höfuðborgarsvæðinu sendi Fjársýslu ríkisins og bankastofnunum persónuupplýsingar um viðkvæm einkamálefni hans, þ. á m. tilkynningu um sekt til færslu í heimabanka án hans samþykkis. Byggir kvartandi á að færsla Landsbankans á kröfunni í heimabanka án samþykkis hans hafi einnig verið óheimil. Þá kvartar hann yfir aðgengi bankastarfsmanna að bankareikningum hans, enda innihaldi þeir viðkvæmar einkalífsupplýsingar.
Auk framangreinds er kvartað yfir fjölmörgu öðru, svo sem afgreiðslu upplýsingabeiðna kvartanda hjá Lögreglunni á höfuðborgarsvæðinu vegna hraðasektarinnar, m.a. um það hvaða lögreglumenn hafi staðið að hraðamælingunum og sektartilkynningunni, hvort merkt löggæslubifreið hafi verið notuð við hraðamælingarnar eða ómerkt, hvert númer bifreiðarinnar hafi verið, heimildir lögreglu til tiltekinna aðgerða og málsmeðferð hennar. Þá má nefna neitun Lögreglunnar og Landsbankans um að eyða umræddri kröfu og veita kvartanda aðgang að þjónustusamningi gerðum milli þeirra um innheimtu krafna vegna umferðarlagabrota.
Lögreglan á höfuðborgarsvæðinu byggir á því að þegar einstaklingar eru skráðir hjá lögreglu með ljósmynd og rafrænni hraðamælingu vegna gruns um brot gegn umferðarlögum sé málið skráð ásamt persónuupplýsingum viðkomandi á grundvelli 2. gr. reglugerðar nr. 577/2020 um skrár lögreglu og vinnslu persónuupplýsinga í löggæslutilgangi. Ríkislögreglustjóri skrái málið í lögreglukerfið LÖKE og beri jafnframt ábyrgð á kerfinu skv. c-lið 2. mgr. 5. gr. lögreglulaga nr. 90/1996 og reglugerðar nr. 577/2020. Þegar lögreglustjóri umdæmis hafi tekið ákvörðun um að leggja á sektarboð skv. 6. gr. reglugerðar um lögreglustjórasektir nr. 205/2009 stofnist krafa hjá Fjársýslu ríkisins, sem sé féhirðir þess skv. 64. gr. laga um opinber fjármál nr. 123/2015. Fjársýsla ríkisins annist meðal annars innheimtu á kröfum eins og sektum, sbr. 51. gr. sömu laga. Hún deili síðan kröfunum til reiknistofu bankanna, sem sjái um að færa þær í heimabanka viðkomandi.
Landsbankinn byggir á því að Reiknistofa bankanna (RB) sé innviðafélag sem hafi meðal annars það hlutverk að efla öryggi og stuðla að skilvirkni í rekstri fjármálainnviða og þannig stuðla að hagkvæmara umhverfi fjármálastofnana sem hafa gert samning við RB um notkun þjónustunnar. Kröfupotturinn sé innheimtulausn sem RB bjóði aðildarfélögum sínum upp á og sé þar haldið utan um kröfur fyrir alla íslensku bankana. Í Kröfupottinum sé hægt að skoða og greiða kröfur í öllum heimabönkum óháð því hver kröfubankinn eða kröfuhafinn sé. Vinnsla Landsbankans hafi einungis lotið að birtingu kröfunnar undir ógreiddum kröfur í netbanka Landsbankans, en það sé hluti þeirrar þjónustu sem bankinn veiti viðskiptavinum sínum. Fræðsla um vinnsluna komi fram í almennum viðskiptaskilmálum Landsbankans sem kvartandi hafi samþykkt þegar hann stofnaði til viðskipta við bankann. Í grein 2.1 í skilmálunum komi fram upptalning á þeim upplýsingum sem bankinn vinni með og afli, þ. á m. upplýsingum úr Kröfupotti RB. Þá komi fram í grein 3.1 í skilmálunum að bankinn beri ekki ábyrgð á þeim kröfum sem birtast á lista yfir ógreidda reikninga og bankinn er ekki kröfuhafi að. Slíkar upplýsingar til viðskiptavina séu í samræmi við notkunarreglur Kröfupottsins þangað sem upplýsingar um ógreiddar kröfur viðkomandi viðskiptavinar séu sóttar sjálfkrafa þegar viðskiptavinurinn skráir sig inn í netbankann. Viðskiptavinur geti síðan stillt í netbankanum hvaða tilkynningar hann óski eftir að fá varðandi ógreiddar kröfur. Viðskiptavinur geti falið ákveðnar kröfur en ekki fellt þær niður. Um aðgengi starfsfólks Landsbankans að upplýsingum um ógreiddar kröfur í Kröfupottinum gildi mjög strangar aðgangsreglur og starfsfólk bankans hafi ekki aðgang að upplýsingum um ógreiddar kröfur viðskiptavinar. Eini aðgangur bankans að kröfum í Kröfupotti sé tæknilegs eðlis varðandi rekstur og viðhald kerfisins og miðist við að geta gert viðskiptavinum bankans yfirlit yfir ógreiddar kröfur aðgengilegt í netbanka. Starfsmenn bankans geti því ekki flett upp yfirliti yfir ógreiddar kröfur viðskiptavinarins eða séð sambærilegt yfirlit og það sem viðskiptavinur sér í netbanka sínum. Eina leiðin fyrir starfsmenn bankans til þess að skoða ógreidda kröfu sé á grundvelli upplýsinga viðskiptavinar um hvaða ógreiddu kröfu sé að ræða, þ.e. með því að fá uppgefnar upplýsingar um númer kröfu, kennitölu kröfuhafa og gjalddaga kröfunnar. Aðeins í slíkum tilvikum geti bankinn, með samþykki viðskiptavinar, fengið upplýsingar um kröfu. Þá hafi bankinn ekki upplýsingar um tegund persónuupplýsinga í tengslum við kröfur sem birtast í Kröfupottinum og því ekki upplýsingar um það hvort krafa tengist refsiverðri háttsemi.
Enn fremur kemur fram í svörum Landsbankans að bankinn hafi ekki heimild til þess að fella ógreiddar kröfur niður eða gefa fyrirmæli um niðurfellingu kröfu fyrir hönd viðskiptavinar. Auk þess falli það hvorki undir hlutverk né heimild bankans að taka afstöðu til réttmætis kröfu eða forsendna fyrir stofnun hennar. Komi upp ágreiningur um slíkt sé það greiðanda og kröfuhafa að jafna þann ágreining.
II.
Niðurstaða
1.
Gildissvið, afmörkun máls og ábyrgðaraðilar
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar samkvæmt 1. mgr. 39. gr. sömu laga, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í löggæslutilgangi gilda lög nr. 75/2019, sbr. 1. mgr. 3. gr. laganna, og er í 2. mgr. þeirrar greinar að finna sambærilega afmörkun gildissviðs.
Eins og fyrr er rakið lýtur kvörtun í málinu að fjölmörgum atriðum og má þar nefna afgreiðslu upplýsingabeiðna kvartanda hjá Lögreglunni á höfuðborgarsvæðinu, m.a. um starfsmenn lögreglu, viðkomandi löggæslubifreið, heimildir lögreglunnar fyrir tilteknum aðgerðum og málsmeðferð hennar, auk synjunar á beiðni um aðgang að þjónustusamningi sem hún hefur gert við Landsbankann. Umkvörtunarefnin falla að mestu leyti utan efnislegs gildissviðs laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig reglugerð (ESB) 2016/679, svo og laga nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi. Er málinu vísað frá að því marki sem þetta á við, þ.e. um önnur atriði en þau sem fjallað verður um hér á eftir.
Annars vegar er þar um að ræða miðlun Lögreglunnar á höfuðborgarsvæðinu á persónuupplýsingum til Fjársýslu ríkisins í tengslum við innheimtu kröfu vegna meintrar hraðafjársektar og færslu hennar í heimabanka kvartanda hjá Landsbankanum. Hins vegar er um að ræða neitun Lögreglunnar á höfuðborgarsvæðinu og Landsbankans um að eyða þaðan kröfunni. Þegar Lögreglan á höfuðborgarsvæðinu innheimtir kröfur vegna umferðarlagabrota miðlar hún kröfuupplýsingunum til Fjársýslu ríkisins sem miðlar þeim til Reiknistofu bankanna (RB), þaðan sem bankastofnanir sækja kröfur í sameiginlegan kröfupott á grundvelli kennitölu viðskiptamanna sinna. Kröfupottur Reiknistofu bankanna hf. (Kröfupotturinn) er nafn á miðlægum gagnagrunni sem varðveitir greiddar og ógreiddar kröfur kröfuhafa. Um er að ræða beinlínukerfi þannig að staða kröfu uppfærist jafnóðum og aðgerð er framkvæmd. Kröfupotturinn er notaður af aðildarfyrirtækjum pottsins og viðskiptavinum þeirra til að stofna og meðhöndla á ýmsan rafrænan hátt kröfur á hendur greiðendum. Rafræn krafa sem stofnuð er í kerfinu birtist og er greiðsluhæf í hvaða viðskiptabanka og sparisjóði sem er. RB sér um vöktun á og hefur eftirlit með Kröfupottinum. Lögreglan á höfuðborgarsvæðinu er aðili að honum.
Þegar lögregla innheimtir kröfur vegna sektarboða telst sú vinnsla persónuupplýsinga ekki vera í löggæslutilgangi heldur almenn kröfuinnheimta. Fer því um vinnslu lögreglunnar við kröfuinnheimtu sektarboða samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679. Um vinnslu Landsbankans á persónuupplýsingum kvartanda fer einnig samkvæmt sömu lögum og reglugerðinni.
Varðar málið að þessu leyti vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Lögreglan á höfuðborgarsvæðinu telst vera ábyrgðaraðili að miðlun persónuupplýsinga kvartanda til Fjársýslu ríkisins og Landsbankinn telst vera ábyrgðaraðili að þeirri vinnslu sem felst í að taka við kröfu Lögreglunnar á höfuðborgarsvæðinu til færslu í heimabanka kvartanda, sbr. 6. tölul. 3. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé vinnslan nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins.
Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Viðkvæmar persónuupplýsingar eru skilgreindar í 3. tölul. 3. gr. laganna. Upplýsingar um fjárhagsmálefni einstaklinga og upplýsingar um refsiverða háttsemi teljast ekki viðkvæmar persónuupplýsingar, sbr. 3. tölul. 3. gr. laganna. Hins vegar er sérstakt ákvæði um refsiverða háttsemi að finna í 12. gr. laganna, en fyrir liggur að unnið hefur verið með upplýsingar um sekt sem kvartandi hlaut. Í 1. mgr. ákvæðisins er kveðið á um að stjórnvöld megi ekki vinna með upplýsingar um refsiverða háttsemi einstaklinga nema það sé nauðsynlegt í þágu lögbundinna verkefna þeirra. Þá er í 2. mgr. kveðið á um að upplýsingum samkvæmt 1. mgr. megi ekki miðla nema að uppfylltu einhverju þeirra fjögurra skilyrða sem tilgreind eru í ákvæðinu. Nánar tiltekið má ekki miðla upplýsingunum nema því aðeins að hinn skráði hafi gefið afdráttarlaust samþykki sitt fyrir miðluninni, sbr. 1. tölul. 2. mgr. 12. gr., miðlunin sé nauðsynleg í þágu lögmætra hagsmuna hins opinbera eða einkaaðila sem auðsjáanlega vega þyngra en þeir hagsmunir sem eru af leynd um upplýsingarnar, þ. á m. hagsmunir hins skráða, sbr. 2. tölul., miðlunin sé nauðsynleg í þágu lögbundinna verkefna viðkomandi stjórnvalds eða til að unnt sé að taka stjórnvaldsákvörðun, sbr. 3. tölul., eða miðlunin sé nauðsynleg í þágu lögmætra hagsmuna sem auðsjáanlega vega þyngra en grundvallarréttindi og frelsi hins skráða, sbr. 4. tölul.
Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni, svo sem umferðarlaga nr. 77/2019, lögreglulaga nr. 90/1996, laga nr. 123/2015 um opinber fjármál, laga nr. 161/2002 um fjármálafyrirtæki, laga nr. 120/2001 um greiðsluþjónustu (sem í gildi voru þegar atvik máls áttu sér stað, sbr. nú lög nr. 114/2021 um sama efni) og reglugerðar nr. 205/2009 um lögreglustjórasektir.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins, að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli eyða eða leiðrétta án tafar, sbr. 4. tölul. lagaákvæðisins og d-lið reglugerðarákvæðisins.
2.1.
Miðlun lögreglunnar á
persónuupplýsingum um kvartanda til innheimtu kröfu á hendur honum
Fyrir liggur að Lögreglan á höfuðborgarsvæðinu taldi kvartanda ábyrgðarmann greiðslu sektar vegna umferðarlagabrots. Einnig að lögreglustjóri ákvað að gefa honum kost á að ljúka málinu með lögreglustjórasekt og sendi honum af því tilefni greiðsluseðil með sektarboði, sbr. 6. gr. reglugerðar um lögreglustjórasektir nr. 205/2009. Við ákvörðun lögreglustjórans stofnaðist krafa hjá Fjársýslu ríkisins sem annast m.a. féhirslu þess og greiðsluþjónustu fyrir ríkisaðila, þar með talda lögregluna, auk innheimtu á kröfum samkvæmt 3. mgr. 64. gr., sbr. einnig 1. mgr. 51. gr. laga nr. 123/2015 um opinber fjármál.
Í innheimtu kröfu vegna umferðarlagabrots kvartanda felst beiting opinbers valds sem lögreglan fer með í almannaþágu.
Að framangreindu virtu er það mat Persónuverndar að miðlun Lögreglunnar á höfuðborgarsvæðinu á persónuupplýsingum kvartanda til Fjársýslu ríkisins til innheimtu kröfu í Kröfupotti RB vegna umferðarlagabrots hafi getað stuðst við 5. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Þá telst miðlun Lögreglunnar á höfuðborgarsvæðinu á upplýsingum um refsiverða háttsemi kvartanda til Fjársýslu ríkisins hafa verið nauðsynleg í þágu lögbundinna verkefna lögreglunnar við umferðareftirlit, sbr. 3. tölul. 2. mgr. 12. gr. laga nr. 90/2018.
Í málinu liggja fyrir bréf frá lögreglunni, þ. á m. bréf, dags. 5. febrúar 2020 og 26. mars s.á., þar sem lögreglan upplýsir kvartanda um hraðasektina og ástæður hennar. Kvartanda er þar gefinn kostur á að upplýsa lögregluna um hver hafi verið ökumaður í umrætt sinn, sbr. 58. gr. umferðarlaga nr. 77/2019, telji hann kröfunni beint að röngum aðila.
Líkt og fram er komið er jafnframt kvartað yfir því að lögreglan féllst ekki á að afturkalla umrædda kröfu. Samkvæmt 4. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. d-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, skal við vinnslu persónuupplýsinga gæta að því að þær séu áreiðanlegar og uppfærðar eftir þörfum; persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar. Af gögnum málsins gefst ekki tilefni til að álykta að brotið hafi verið gegn þessari kröfu og þar með að eyða beri umræddum upplýsingum eða leiðrétta þær.
Þá verður ekki séð að vinnslan hafi brotið gegn öðrum meginreglum um vinnslu persónuupplýsinga. þ. á m. um gagnsæi, tilgang og meðalhóf, sbr. 1.-3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
2.2.
Færsla Landsbankans á kröfu í
heimabanka kvartanda
Fyrir liggur að kvartandi hlaut sekt fyrir að aka bifreið sinni yfir leyfilegum hámarkshraða og að honum var birt sektarkrafa í heimabanka í kjölfar þess. Verður ekki annað talið en að vinnslan sem fólst í viðtöku Landsbankans á kröfunni til færslu í heimabanka kvartanda hafi verið nauðsynleg í þágu lögmætra hagsmuna sem auðsjáanlega hafi vegið þyngra en grundvallarréttindi og frelsi hans. Það er því mat Persónuverndar að framangreind vinnsla á persónuupplýsingum um kvartanda hafi getað stuðst við 6. tölul. 9. gr. og 3. mgr. 12. gr. laga nr. 90/2018.
Í kvörtun er vikið að því að allar kröfur sem beint sé til kvartanda séu aðgengilegar starfsmönnum annarra bankastofnana, jafnvel þeim sem kvartandi eigi ekki í viðskiptum við. Líkt og greinir í 2. kafla hér að framan er Kröfupottur RB miðlægur gagnagrunnur sem varðveitir greiddar og ógreiddar kröfur kröfuhafa. Rafræn krafa sem stofnuð er í kerfinu birtist og er greiðsluhæf í hvaða viðskiptabanka og sparisjóði sem er. Í svarbréfi Landsbankans kemur fram að starfsmenn bankans hafi ekki aðgang að yfirliti yfir ógreiddar kröfur viðskiptavinar og að þeir geti ekki skoðað þær persónuupplýsingar sem fylgi kröfu, svo sem hvort krafa tengist refsiverðri háttsemi. Starfsmenn geti því aðeins flett upp tiltekinni kröfu þegar viðskiptavinur hefur samþykkt það og gefur starfsmanni bankans upplýsingar um númer kröfu, kennitölu kröfuhafa og gjalddaga kröfunnar.
Ekki verður séð að tilefni gefist til annars en að fallast á þessar skýringar, en í ljósi þeirra verður vinnslan ekki talin hafa brotið gegn þeim meginreglum um vinnslu persónuupplýsinga sem einkum reynir hér á, þ.e. um sanngirni og meðalhóf, sbr. 1. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a- og c-liði 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Þá verður ekki séð að brotið hafi verið gegn öðrum þeim meginreglum sem mælt er fyrir um í sömu greinum.
___________________
Að öllu framangreindu virtu er það því niðurstaða Persónuverndar að sú vinnsla sem hér er til úrlausnar hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Miðlun Lögreglunnar á höfuðborgarsvæðinu á persónuupplýsingum um [A] til Fjársýslu ríkisins til innheimtu í Kröfupotti Reiknistofu bankanna hf. samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Viðtaka Landsbankans á kröfu lögreglunnar til færslu í heimabanka [A] samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Persónuvernd, 16. maí 2024
Þórður Sveinsson Rebekka Rán Samper