Ólögmæt afhending viðskiptamannaupplýsinga - mál nr. 2011/931

19.6.2012

Úrskurður

Á fundi stjórnar Persónuverndar hinn 13. júní 2012 var kveðinn upp svohljóðandi úrskurður í máli nr. 2011/931:

I.
Upphaf máls og bréfaskipti

1.
Tildrög máls
Þann 30. ágúst 2011 barst Persónuvernd kvörtun frá [...] (hér eftir nefndur kvartandi), yfir vinnslu persónuupplýsinga um sig af hálfu SP-fjármögnunar hf.; nú Landsbankans hf. Í kvörtuninni segir m.a.:

„Starfsmaður SP-Fjármögnunar [X] hefur verið að hringja í nágranna mína til að afla upplýsinga um mig, m.a. hjúskaparstöðu, nafn á maka, atvinnu o.fl. Símtölin gáfu skýrt í ljós erfiða fjárhagsstöðu hjá mér og tel ég það hafa rýrt traust nágranna minna á mér og gæti haft áhrif á störf mín sem [...] húsfélagsins.
Vísa í ákvæði laga nr. 161/2002 um fjármálafyrirtæki, en þar er m.a. fjallað um þagnarskyldu og miðlun trúnaðarupplýsinga hjá fjármálafyrirtækjum.
Í 58. gr. laganna segir: [S]tarfsmenn og hverjir þeir sem taka að sér verk í þágu fyrirtækisins eru bundnir þagnarskyldu um allt það sem þeir fá vitneskju um við framkvæmd starfa síns og varðar viðskipta- eða einkamálefni viðskiptamanna þess, nema skylt sé að veita upplýsingar samkvæmt lögum.
SP-Fjármögnun hf. hafði enga ástæðu til að afla upplýsinga um mín persónulegu málefni hjá nágrönnum mínum. Allar upplýsingar sem skipta máli hafa þeir ávallt haft undir höndum[,] m.a. símanúmer og tölvupóstfang. Engar tilraunir hafa verið gerðar af þeirra hálfu til að hafa samband við mig beint.“

2.
Bréfaskipti við kvartanda, Landsbankann hf.
og Vörslusviptingar-LMS ehf.

Með bréfi, 8. september 2011, var skýringa óskað. Eftir samruna Avant hf. og SP Fjármögnunar hf. við Landsbankann hf. barst Persónuvernd svar Landsbankans hf. með bréfi, dags. 20. október 2011. Þar segir m.a.:

„Mál kvartanda fór eftir hefðbundnum ferlum innan bankans og þegar viðkomandi virti ekki tilkynningar né önnur samskipti af hálfu bankans var leitað aðstoðar Vörslusviptinga-LMS til að hafa uppá kvartanda. Í viðskiptaskilmálum vegna þeirra viðskipta sem mál þetta er sprottið út af er áskilnaður um að bankinn kunni að leita aðstoðar þjónustuaðila líkt og Vörslusviptinga-LMS ef viðskiptasamband aðilanna fer á tiltekinn veg. Áskilnaður fyrir þjónustu Vörslusviptinga-LMS var uppfylltur á þeim tímapunkti sem leitað var eftir þjónustu fyrirtækisins og því átti kvartanda að vera ljóst í hvaða farveg málið færi óháð því hvort honum hefði borist bréf, símtöl eða önnur samskipti bankans. Þar sem bankinn er bundinn trúnaði um allar upplýsingar sem varða viðskiptavini skv. 58. gr. laga um fjármálafyrirtæki þá hefur bankinn ekki frekari tækifæri til að koma að athugasemdum um tildrög þessa máls eða eðli þess umfram það sem kemur fram í kvörtun.
Á því er vakin sérstök athygli að í kvörtun segir að nafngreindur aðili, sem sagður er starfsmaður SP-fjármögnunar hafi hringt í umrætt símtal en rétt er að viðkomandi starfar hjá Vörslusvipting[um]-LMS. Fyrir liggur að umræddur starfsmaður hringdi í nágranna kvartanda en tilgangur símtalsins var að fá það staðfest hvort viðkomandi væri ennþá búsettur í húsnæðinu. Samkvæmt upplýsingum regluvörslu var það eini tilgangur símtalsins. Gripið var til þessara aðgerða þar sem kvartandi svaraði ekki símtölum eða bréfum og póstlúga/kassi kvartanda í húsnæðinu var ómerktur. Landsbankinn tekur undir það með kvartanda að umrædd vinnubrögð eru ónærgætin og harkaleg. Þó verður að telja símtalið sem kvartað er undan vera vægari aðgerð heldur en þær aðgerðir sem búið var að tilkynna kvartanda að hann ætti yfir höfuð sér. Staðið var að öflun upplýsinganna (þ.e.a.s. um búsetu kvartanda) í skýrum og yfirlýstum tilgangi með það að markmiði að gæta lögvarinna og samningsbundinna réttinda bankans. Með hliðsjón af málsatvikum þá telur Landsbankinn hafa verið staðið að vinnslu persónuupplýsinga kvartanda með málefnalegum hætti.
Eins og áður hefur komið fram miðlar Landsbankinn fjármögnun engum fjárhags eða trúnaðarupplýsingum til verktaka sem vinna sambærileg verk og hér var unnið. Vörslusviptingar-LMS höfðu því engar upplýsingar um fjárhag og stöðu kvartanda aðrar en þær er fólust í verkbeiðni þ.e.a.s. að hafa upp á kvartanda. Þar sem verktakinn hafði engar fjárhagsupplýsingar um kvartanda til að miðla í umræddu símtali, þá má leiða líkur að því að nafn verktakafyrirtækisins hafi fremur vakið athygli nágranna kvartanda á skuldastöðu hans. Í þessu skyni verður að telja nafn á fyrirtækinu óheppilegt þar sem slík auðkenning er til þess fallin að miðla upplýsingum um erfiða fjárhagsstöðu þeirra aðila sem fyrirtækið fæst við.
Þá var jafnframt kannað verklag Vörslusviptinga-LMS að því er varðar meðhöndlun persónuupplýsinga. Samkvæmt forsvarsmanni fyrirtækisins er verkbeiðni frá bankanum skráð í tölvukerfi þeirra og þá er gengið úr skugga um að grunnupplýsingar séu réttar s.s. heimilisfang, aðsetur, símanúmer, netfang o.fl. Notast er við opinberar upplýsingar við uppfærslu á svokölluðum grunnupplýsingum eins og til dæmis ja.is, Íslandspóst, Þjóðskrá sem og aðrar upplýsingar sem kunna að vera aðgengilegar á vefnum. Fyrsta skref fyrirtækisins er að hringja í viðkomandi og tilkynna honum um næstu aðgerðir, ef sú viðvörun dugar ekki er haft aftur samband við aðila og óskað eftir fundi með viðkomandi til að ganga frá þeim atriðum sem í verkbeiðni fólust, sem er oft á tíðum vörslusvipting tækis. Ef viðkomandi verður ekki við fundarbeiðni gera starfsmenn Vörslusviptinga-LMS tilraun til að hafa uppá viðkomandi á heimili, dvalarstað eða vinnustað. Starfsmenn Vörslusviptinga-LMS kynna sig sem starfsmenn fyrirtækisins og eftir atvikum að þeir séu að vinna fyrir hönd t.d. Landsbankans fjármögnunar.
Eins og hér að framan er lýst felur starfsemi Vörslusviptinga-LMS í sér vinnslu á persónuupplýsingum sem þörf er á að gæta sérstakrar nærgætni með sökum eðlis starfseminnar. Viðskiptavinum Landsbankans fjármögnunar er þó ítrekað tilkynnt um þau skref sem tekin verða ef kemur til vanefnda á samningi aðila. Kvartanda var til að mynda fyrst tilkynnt með bréfi 11. maí 2011 um þau skref sem voru væntanleg ef hann mundi ekki bregðast við erindinu. Þá var kvartanda tilkynnt með bréfi dags. [...] að bankinn kæmi til með að nýta sér þjónustu Vörslusviptinga-LMS. Í kjölfar þeirrar tilkynningar mátti kvartanda vera ljóst hvaða aðgerðir væru í vændum með tilheyrandi vinnslu persónuupplýsinga.
Landsbankinn fjármögnun harmar ef aðgerðir á vegum félagsins kunni að hafa haft áhrif á þau trúnaðarstörf sem kvartandi sinnir. Aðgerðirnar voru engu að síður fyrirsjáanlegar, lögmætar og málefnalegar og kvartand[i] hefði sannarlega mátt koma í veg fyrir umrædda vinnslu upplýsinganna ef erindum bankans hefði verið svarað.[...]“

Með bréfi, dags. 21. október 2011, var kvartanda gefinn kostur á að koma á framfæri athugasemdum við svar Landsbankans. Í svarbréfi kvartanda til Persónuverndar, dags. 21. nóvember 2011, segir m.a.:

„Forsaga máls:
Í [...] 2011 sótt ég um greiðsluaðlögun hjá Umboðsmanni skuldara (UMS) og hófst þá greiðsluskjól þar til að umsóknin yrði tekin fyrir. Þá var mér gert ljóst að ég gæti ekki greitt neinum kröfuhafa og öll mín útgjöld þyrftu að rúmast innan ákveðins neysluviðmiðs. Aldrei hafði komið til álita að fjármögnun á bifreið minni væri neitt annað en lán. Þann [...] setur UMS eftirfarandi frétt á heimasíðu sína varðandi bílasamninga og greiðsluskjól:
„Bílasamningar fjármögnunarfyrirtækja eru í flestum tilvikum lán, en ekki leiga. Þetta er alveg skýrt af dómafordæmi Hæstaréttar frá 16. júní 2010. Einstaklingar sem njóta greiðsluskjóls mega ekki greiða af lánum.[...]“
Þann [...] barst mér riftun á samningi frá SP-fjármögnun hf. vegna umsóknar minnar um samning til greiðsluaðlögunar. Sama dag sendi ég afrit af riftuninni á UMS og því er fylgt eftir með símtali þar sem afstaða UMS er ítrekuð og mér gert ljóst að ef ég greiði til SP-fjármögnunar hf. þá verði umsókn minni um greiðsluaðlögun hafnað.[...]
Í kjölfarið að mér barst riftunarbréf þann [...] voru engin frekari samskipti af hálfu SP-fjármögnunar/Landsbankanum vegna þessa máls, hvorki póstur, símtöl, tölvupóstur né með öðrum sannanlegum hætti. Það er því rangt sem haldið er fram í svarbréfi Landsbankans að ég hafi ekki virt tilkynningar eða önnur samskipti af hálfu bankans. Í lok [...] 2011 fæ ég fyrsta sinn símtal frá fyrirtækinu Vörslusviptingar-LMS og sú sem hringir biður mig um að hafa samband við SP-fjármögnun/Landsbankann sem ég geri í framhaldinu.
Eftir símtal mitt við Landsbankann var fullljóst að vinnubrögð bankans eru verulega ámælisverð og þarfnast skoðunar fleiri aðila en Persónuverndar. Það sem snýr að þessu máli sem Persónuvernd hefur til meðhöndlunar er að bankinn hefur brotið lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga með því að afla persónuupplýsinga á þann hátt sem gert var í þessu máli. Símtalið til nágranna míns var þess eðlis að ekki var möguleiki á öðru en að það gæti sterklega til kynna erfiða fjárhagsstöðu og í hvaða farveg málin væru komin. Með það í huga er alveg ljóst að bankinn braut 58. gr. laga nr. 161/2002 um fjármálafyrirtæki sem fjallar um þagnarskyldu“

Persónuvernd gaf Vörslusviptingum-LMS ehf. einnig kost á skýringum. Í svarbréfi [lögmanns], f.h. félagsins, dags. 20. desember 2011, segir m.a.:

„Starfsemi umbj.m. felst einkum í því að hann selur þjónustu, aðallega til lánastofnana, fjármögnunarfyrirtækja, lögmanna og lögfræðistofa, sem felst í því að framfylgja vörslusviptingu á lausafé, s.s. bifreiðum og tækjum.[...] Verkbeiðandi/gerðarbeiðandi byggir kröfur sínar um vörslutöku eða útburð á löglegum heimildum og ber ábyrgð á fullnustugerðinni, sem er á kostnað gerðarþola. Gerðarþola ber að afhenda lausaféð og ef hann neitar að afhenda lausafé eða felur það er hann að hindra framgang hinnar lögmætu fullnustugerðar. Til þess að ná fram vörslutöku á lausafé er eðli máls samkvæmt yfirleitt nauðsynlegt að ná sambandi við gerðarþola áður en lausaféð er tekið úr vörslu gerðarþola.
Umbj.m. vísar á bug þessari kvörtun. Starfsmaður umbj.m. var að reyna að framfylgja réttmætri kröfu SP-fjármögnunar hf. er varðaði vörslusviptingu. Aldrei náðist í [...] á lögheimili hans og var tilgangur símtalsins einungis að athuga hvort [...] byggi í raun á lögheimilinu. Umbj.m. kveður að ekki hafi verið spurt um annað, andstætt því sem segir í kvörtun [...]. Viðmælandinn gat kosið að svara ekki þessari einföldu spurningu. Viðmælandi svaraði því til að [...] byggi á lögheimilinu og var sú athugasemd skráð í vinnslukerfi umbj.m.“

Með bréfi, dags. 4. janúar 2012, var kvartanda veittur kostur á að koma á framfæri athugasemdum. Í bréfi sínu til Persónuverndar, dags. 7. janúar 2012, segir hann m.a.:

„Í svarbréfi lögmanns Vörslusviptinga-LMS kemur ekkert nýtt fram sem getur réttmætt þau alvarlegu lögbrot sem framin voru og vísar hann ábyrgðinni á verkkaupa, Landsbanka Íslands. Hins vegar staðfestist í svarbréfinu að það hefur verið haft samband við fleiri en einn aðila til að afla persónuupplýsinga þar sem einn af nágrönnum hefur staðfest við undirritaðan að hafa ekki svarað neinum af þeim spurningum sem undir hann voru bornar.
Í ljósi þess að réttmæti/lögmæti kröfu verkbeiðanda er vafa undirorpið hefði verið nærtækara að stefna undirrituðum fyrir dóm til þess að þola innsetningu í umrædd verðmæti.
Mat þeirra lögfræðinga sem ég hef leitað aðstoðar til er að vörslusvipting í því máli sem hér um ræðir feli í sér skýrt brot á lögum og yrði slíkri innsetningarbeiðni vísað tafarlaust frá dómi.[...]
Verkkaupi og Vörslusvipting-LMS eru að mati undirritaðs samábyrgir í umræddum brotum. Verkkaupi veit vel að vörslusviptingin sem slík brýtur í bága við lög og er ábyrgur gjörða sinna. Það að verkkaupinn ráði sér málaliða sem neytir ólögmætra úrræða í tengslum við að ná fram ólögmætri vörslusviptingu leysir verkkaupann ekki undan ábyrgð.[...]
Bréf Vörslusviptinga-LMS ehf. og önnur gögn sýna bersýnilega að Vörslusviptingar-LMS ehf. og Landsbanki Íslands hafa gróflega brotið á lögum um persónuupplýsingar og bera sameiginlega ábyrgð á brotunum.“

Með bréfi, dags. 25. apríl 2012, óskaði Persónuvernd staðfestingar Landsbankans hf. á að það væri réttur skilningur sinn að bankinn teldi sig vera ábyrgðaraðila umræddrar vinnslu en Vörslusviptingar-LMS ehf. væri vinnsluaðili. Þá var spurt hvaða fyrirmæli Landsbankinn hafi gefið Vörslusviptingum-LMS ehf. og hvernig farið hafi verið að skilyrðum 13. gr. laga nr. 77/2000, m.a. um gerð skriflegs samnings og að sannreyna að vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit.

Í svarbréfi Landsbankans, dags. 11. maí 2012, segir m.a.:

„Í bréfum bankans vegna kvörtunarinnar hefur verið farið yfir feril slíkra mála, eins og þar hefur verið rakið er það ekki tilgangur þjónustu Vörslusviptinga-LMS að safna persónuupplýsingum fyrir hönd bankans. Engu að síður kann þjónustan að leiða til þess að uppfæra þurfi upplýsingar sem koma fram í verkbeiðni bankans s.s. heimilisfang, dvalarstað, símanúmer, netfang og fleira. Slíkar upplýsingar verða gjarnan úreltar og því kunna Vörslusviptingar-LMS að leiðrétta upplýsingar sem koma fram í verkbeiðni. Slík vinnsla er eingöngu framkvæmd til að fullnægja meginreglum laganna um gæði gagna til að tryggt sé að ávallt sé unnið með réttar og áreiðanleg[ar] upplýsingar. Af mati Landsbankans á vinnsla Vörslusviptinga-LMS ekki að fela í sér söfnun á nýjum persónuupplýsingum heldur eingöngu uppfærslu á úreltum gögnum. Tilgangur þjónustunnar er að gæta lögvarinna og samningsbundinna hagsmuna bankans með vörslusviptingum á bifreiðum, tækjum eða öðrum lausafjármunum. Í umræddum samningum er ávallt fyrirvari um slíka vörslusviptingu komi til vanefnda.
Landsbankinn var verkbeiðandi í því tilviki sem kvartað var yfir og sem slíkur réði bankinn yfir verkefninu. Verkbeiðnir bankans til Vörslusviptinga-LMS fela almennt í sér fyrirmæli um að sækja tiltekið ökutæki eða annað lausafé sem nafngreindur umráðamaður hefur í vörslum sínum og færa tækið á skoðunarstöð eða í geymsluhúsnæði á vegum bankans. Landsbankinn gerir kröfu um að þjónustuaðilar bankans fylgi lögum og reglum sem um störf þeirra gilda og að þeir gæti að eðlilegum öryggisráðstöfunum og trúnaði um þau gögn sem þeir fá. Landsbankanum er ekki kunnugt um annað en að Vörslusviptingar-LMS fylgi settum lögum í störfum sínum fyrir bankann eins og er forsenda fyrir þjónustukaupum bankans.
Á milli bankans og Vörslusviptinga-LMS var gerður samningur um þjónustuna þegar til þjónustukaupana var stofnað fyrir fjölda ára. Samningurinn hefur hins vegar ekki fundist og þar að auki hafa stjórnendur bíla- og tækjafjármögnunarhluta í starfsemi bankans nýverið látið af störfum. Af þeim sökum hafa undirritaðir því ekki geta staðfest hvaða fyrirmæli Vörslusviptingar-LMS hafi verið gert að starfa eftir hvað varðar kynningar í samskiptum við skjólstæðinga. Þess ber þó að geta að samkvæmt forsvarsmanni Vörslusviptinga-LMS þá kynna starfsmenn [sig] sem fulltrúa félagsins og að þeir séu að vinna verk fyrir Landsbankann þegar þeir eiga samskipti við skjólstæðinga félagsins.
Vekja skal sérstaklega athygli á því að sú vinnsla sem hér er kvartað yfir var áskilin í samningi á milli kvartanda og bankans. Þar að auki var búið að tilkynna kvartanda ítrekað um fyrirhugaðar aðgerðir og því voru aðgerðir á vegum bankans fyrirsjáanlegar og málefnalegar.“

3.
Bréfaskipti við Fjármálaeftirlitið
Persónuvernd sendi Fjármálaeftirlitinu bréf, dags. 6. mars 2012, varðandi starfsemi Vörslusviptinga-LMS ehf. og Vörslusviptinga ehf., í ljósi innheimtulaga nr. 95/2008. Þar var vakin athygli á því að Persónuvernd hefðu borist allnokkrar kvartanir yfir þeirri starfsemi. Þá segir að í þeim kvörtunum segi að hjá þessum einkahlutafélögum fari fram starfsemi skv. innheimtulögum nr. 95/2008. Í 15. og 16. gr. þeirra séu ákvæði um leyfisveitingar og eftirlit og að það sé á hendi Fjármálaeftirlitsins. Því telji Persónuvernd Fjármálaeftirlitið vera hið sérhæfða stjórnvald til þess að fjalla um það hvort umrædd starfsemi sé lögmæt.

Í svarbréfi Fjármálaeftirlitsins, dags. 20. mars 2012, segir m.a. að í bréfi Persónuverndar komi ekki fram upplýsingar um það í hverju umrædd vinnsla felist. Þá er greint frá því að hvorki Vörslusvipting-LMS ehf. né Vörslusvipting ehf., hafi ekki fengið leyfi til innheimtustarfsemi. Þar segir:

„Samkvæmt gildissviði innheimtulaga taka þau til frum- og milliinnheimtu gjaldfallinna peningakrafna fyrir aðra eða vegna eigin starfsemi. Með fruminnheimtu er átt við sendingu innheimtuviðvaranna skv. 7. gr. laganna og með milliinnheimtu er átt við innheimtuaðgerðir sem hefjast eftir að skuldari hefur fengið innheimtuviðvörun og áður en löginnheimta hefst, sbr. 2. mgr. 1. gr. laganna. Hafi Persónuvernd upplýsingar þess efnis að viðkomandi félög stundi slíka starfsemi er óskað upplýsinga þar um.
Eins og kemur fram í svari Fjármálaeftirlitsins til efnahags- og viðskiptaráðuneytisins frá 2. febrúar sl., þá gerir 58. gr. laga nr. 161/2002 ráð fyrir því að fjármálafyrirtæki geti falið öðrum að vinna fyrir sig ákveðið verk. Aðilar sem taka að sér slík verk eru bundnir þagnarskyldu á sama hátt og starfsmenn fjármálafyrirtækisins um allt það sem þeir fá vitneskju um við framkvæmd starfa síns og varðar viðskipta- eða einkamálefni fyrirtækisins. Þó verður að ætla að fjármálafyrirtæki geti einungis afhent viðkomandi aðila þær upplýsingar sem nauðsynlegar eru til að hann geti unnið umrætt verk. Sé samkvæmt lögum krafist leyfa eða viðurkenningu til að stunda tiltekna starfsemi mega fjármálafyrirtæki og aðrir eftirlitsskyldir aðilar mega eingöngu útvista verkefnum til aðila sem uppfylla þær kröfur sem gerðar eru til starfseminnar. Í þessu felst m.a. að fjármálafyrirtæki og öðrum eftirlitsskyldum aðilum er eingöngu heimilt að útvista innheimtu krafna til aðila sem hafa hlotið starfsleyfi Fjármálaeftirlitsins eða þeirra sem eru undanskildir innheimtulögum sbr. 2. mgr. 3. gr. laganna.“

Persónuvernd sendi Fjármálaeftirlitinu aftur bréf, dags. 12. apríl 2012, og óskaði svara um hvernig eftirlitið hygist bregðast við í ljósi 16. gr. innheimtulaga nr. 95/2008. Í svari til Persónuverndar, dags. 17. apríl sl., segir Fjármálaeftirlitið m.a.:

„Á síðastliðnu ári var mikið rætt um þetta atriði, m.a. í tengslum við ólögmæt gengistryggð lán. Hér var framkvæmd nokkur athugun á þessu og m.a. var erindum frá ráðuneytum varðandi efnið, svarað. Neðangreindur texti er tekinn úr svari til Efnahags- og viðskiptaráðuneytisins í júní s.l.:
Fjármálaeftirlitið vill benda á gildissvið innheimtulaga nr. 95/2008 en þau taka til frum- og milliinnheimtu gjaldfallinna peningakrafna fyrir aðra eða vegna eigin starfsemi. Með fruminnheimtu er átt við sendingu innheimtuviðvaranna skv. 7. gr. laganna og með milliinnheimtu er átt við innheimtuaðgerðir sem hefjast eftir að skuldari hefur fengið innheimtuviðvörun og áður en löginnheimta hefst, sbr. 2. mgr. 1. gr. laganna. Ef umrætt fyrirtæki stunda innheimtu sem fellur undir innheimtulög ber því að sækja um innheimtuleyfi til Fjármálaeftirlitsins. Í tölvubréfum ráðuneytisins er hins vegar ekki að finna lýsingu á starfsemi þess en þess getið að það stundi vörslusviptingar á eignum fólks. Án þess að hafa upplýsingar um þetta tiltekna fyrirtæki á vörslusviptingin sér væntanlega stað á seinni stigum, þ.e. eftir að búið er að reyna innheimtu samkvæmt innheimtulögum og búið að rifta samningnum milli aðila.
Niðurstaðan skoðunar okkar á þeim tíma var að ekki væri tilefni til að grípa til aðgerða, enda ekki vísbendingar um að fyrirtækin væru að stunda starfsleyfisskylda starfsemi á grundvelli innheimtulaga eða annarra laga sem heyra undir verksvið Fjármálaeftirlitsins.“

Persónuvernd sendi enn bréf til Fjármálaeftirlitsins, dags. 18. apríl 2012, og með því gögn sem fylgt höfðu kvörtunum til hennar er gætu gefið til kynna hvers konar innheimtu væri um er að ræða. Með bréfi, dags. 8. maí 2012, óskaði Persónuvernd staðfestingar á því að Fjármálaeftirlitið myndi taka málið til meðferðar. Í svarbréfi Fjármálaeftirlitsins, dags. 22. maí 2012, segir m.a.:

„Með bréfi, dags. 6. mars sl., kom fram upphafleg beiðni Persónuverndar um að Fjármálaeftirlitið fjalli um hvort starfsemi Vörslusviptinga-LMS ehf. og/eða Vörslusviptinga ehf. væri lögmæt. Fjármálaeftirlitið óskaði í kjölfarið þess, með bréfi dags. 20. mars sl., eftir upplýsingum Persónuverndar þess efnis að áðurnefnd félög stunduðu frum- og/eða milliinnheimtu, væru slíkar upplýsingar fyrir hendi. Í kjölfar áframhaldandi samskipta sendi Persónuverndar, þann 18. apríl sl., kvörtun [...] auk fylgiskjala til Fjármálaeftirlitsins í þeim tilgangi að varpa frekara ljósi á hvers konar starfsemi var um að ræða af hálfu Vörslusviptinga-LMS ehf. og/eða Vörslusviptinga ehf.
Á grundvelli ábendinga og gagna frá Persónuvernd hefur Fjármálaeftirlitið ákveðið að taka til skoðunar ákveðna þætti í starfsemi [...] og Vörslusviptinga-LMS ehf. og/eða Vörslusviptinga ehf.“

II.
Forsendur og niðurstaða

1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.

Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.

Úrlausnarefni máls þessa er það hvort Landsbankanum hf. hafi verið heimilt að láta Vörslusviptingum-LMS ehf. í té persónuupplýsingar um kvartanda. Af framangreindu er ljóst að það fellur undir gildissvið laga nr. 77/2000.

2.
Ábyrgðaraðili vinnslu
Samkvæmt 4. tölul. 2. gr. laga nr. 77/2000 telst ábyrgðaraðili að vinnslu persónuupplýsinga vera sá aðili sem ákveður tilgang vinnslunnar, þann útbúnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Hann er jafnan sá sem hefur frumkvæði að vinnslu og ákveður að hún skuli fara fram. Í athugasemdum í greinargerð með frumvarp því er varð að lögum nr. 77/2000 segir að átt sé við þann aðila sem hefur ákvörðunarvald um vinnslu persónuupplýsinga og að jafnvel þótt slíkur aðili feli öðrum meðferð upplýsinganna beri hann ábyrgðina, svo fremi hann hafi áfram ákvörðunarvaldið.

Vinnsluaðili er hins vegar sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Um samband ábyrgðaraðila og vinnsluaðila er nánar kveðið í 13. gr. laga nr. 77/2000.

Um tilefni þess að Landsbankinn hf. lét Vörslusviptingum-LMS ehf. í té persónuupplýsingar um viðskiptavin sinn, [...], hefur bankinn sagt það hafa verið í skýrum og yfirlýstum tilgangi með það að markmiði að gæta lögvarinna og samningsbundinna réttinda sinna og að starfsmenn einkahlutafélagsins hafi eftir atvikum kynnt sig svo að þeir ynnu fyrir hönd bankans. Um það hefur hann m.a. sagt eftirfarandi:

„Landsbankinn var verkbeiðandi í því tilviki sem kvartað var yfir og sem slíkur réði bankinn yfir verkefninu. Verkbeiðnir bankans til Vörslusviptinga-LMS fela almennt í sér fyrirmæli um að sækja tiltekið ökutæki eða annað lausafé sem nafngreindur umráðamaður hefur í vörslum sínum og færa tækið á skoðunarstöð eða í geymsluhúsnæði á vegum bankans. Landsbankinn gerir kröfu um að þjónustuaðilar bankans fylgi lögum og reglum sem um störf þeirra gilda og að þeir gæti að eðlilegum öryggisráðstöfunum og trúnaði um þau gögn sem þeir fá. Landsbankanum er ekki kunnugt um annað en að Vörslusviptingar-LMS fylgi settum lögum í störfum sínum fyrir bankann eins og er forsenda fyrir þjónustukaupum bankans.“

Af framangreindu er ljóst að Landsbankinn hf. fór með ákvörðunar- og ráðstöfunarvald þeirra persónuupplýsinga um kvartanda sem hann lét Vörslusviptingar-LMS ehf. fá og ber ábyrgð á að til þess hafi hann haft heimild samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

3.
Heimild til vinnslu almennra
persónuupplýsinga
Í 8. gr. laga nr. 77/2000 eru almennar reglur um heimildir fyrir vinnslu persónuupplýsinga. Er vinnsla persónuupplýsinga heimil ef einhverjir þeirra þátta sem þar eru taldir upp eru fyrir hendi. Það á m.a. við um miðlun persónuupplýsinga til þriðja aðila og er hún heimil ef eitthvert af skilyrðum 1. mgr. 8. gr. er uppfyllt.

Samkvæmt almennum sönnunarreglum hvílir sönnunarbyrði um það hvort svo sé á ábyrgðaraðila, hér Landsbankanum hf.

3.1.
Skilyrði 1. mgr. 8. gr.
Ljóst er að við mat á því hvort skilyrði 1. mgr. 8. gr. hafi verið uppfyllt, þegar Landsbankinn hf. lét Vörslusviptingar-LMS ehf. fá persónuupplýsingar um kvartanda, skiptir í fyrsta lagi máli hvort og þá að hvaða marki um var að ræða trúnaðarupplýsingar, þ.e. upplýsingar sem bankinn er bundinn trúnaði um samkvæmt þeirri grein laga um fjármálafyrirtæki sem hann vísar til í bréfi sínu dags. 20. október 2011.

Í öðru lagi skiptir máli hvort uppfyllt hafi verið það skilyrði að um lögmæta starfsemi viðtakanda væri að ræða eða hvort bankanum hafi verið óheimilt að láta hann fá upplýsingarnar því hann hefði ekki gilt leyfi FME til að stunda tiltekna starfsemi, en fjármálafyrirtæki og aðrir eftirlitsskyldir aðilar mega eingöngu útvista verkefnum til aðila sem uppfylla þær kröfur sem gerðar eru til starfseminnar, og í því felst m.a. að þeim er eingöngu heimilt að útvista innheimtu krafna til aðila sem hafa hlotið starfsleyfi Fjármálaeftirlitsins eða til þeirra sem eru undanskildir innheimtulögum.

Samkvæmt framangreindu hefði niðurstaða Persónuverndar um lögmæti þess þegar Landsbankinn hf. lét Vörslusviptingar-LMS ehf. fá persónuupplýsingar um kvartanda getað ráðist af því hvort hann hafi gætt að framangreindum atriðum. Hefði Persónuvernd þá eftir atvikum orðið að bíða efnislegrar niðurstöðu Fjármálaeftirlitsins í því máli sem það hefur nú til skoðunar, sbr. bréf þess til  Persónuverndar, dags. 22. maí sl. Af hálfu Landsbankans hf. hefur því hins vegar ekki verið haldið fram að um hafi verið að ræða miðlun persónuupplýsinga til þriðja aðila heldur afhendingu til vinnsluaðila. Kemur þá til skoðunar hvort uppfyllt hafi verið þau skilyrði sem gilda um slíka afhendingu.

3.2.
Afhending til vinnsluaðila
Almennt er ekki gerð sú krafa að afhending til vinnsluaðila uppfylli skilyrði 1. mgr. 8. gr. laga nr. 77/2000 með sama hætti og þegar um er að ræða miðlun til þriðja aðila. Hins vegar þarf þá að uppfylla skilyrði framangreinds ákvæðis 13. gr. laganna.

Í 13. gr. kemur fram að ábyrgðaraðila sé heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laga nr. 77/2000. Slíkt er háð því að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Slíkur samningur skal vera skriflegur og þar skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast.

Um framangreint hefur Landsbankinn sagt að á milli hans og Vörslusviptinga-LMS ehf. hafi verið gerður samningur en að hann sé týndur. Í bréfi bankans, dags. 11. maí 2012, segir m.a.:

„Á milli bankans og Vörslusviptinga-LMS var gerður samningur um þjónustuna þegar til þjónustukaupana var stofnað fyrir fjölda ára. Samningurinn hefur hins vegar ekki fundist og þar að auki hafa stjórnendur bíla- og tækjafjármögnunarhluta í starfsemi bankans nýverið látið af störfum. Af þeim sökum hafa undirritaðir því ekki geta staðfest hvaða fyrirmæli Vörslusviptingar-LMS hafi verið gert að starfa eftir hvað varðar kynningar í samskiptum við skjólstæðinga. Þess ber þó að geta að samkvæmt forsvarsmanni Vörslusviptinga-LMS þá kynna starfsmenn [sig] sem fulltrúa félagsins og að þeir séu að vinna verk fyrir Landsbankann þegar þeir eiga samskipti við skjólstæðinga félagsins.“

Sem fyrr segir hvílir sönnunarbyrði um lögmæti vinnslu persónuupplýsinga á ábyrgðaraðila, hér Landsbankanum hf. Hann hefur hins vegar týnt þeim samningi sem hann kveðst hafa gert við Vörslusviptingar-LMS ehf. og getur þar með ekki sannað gerð vinnslusamnings samkvæmt 13. gr. laga nr. 77/2000, og þar með lögmæti afhendingar persónuupplýsinga um kvartanda til Vörslusviptinga-LMS ehf. Þá liggur ekkert fyrir um að bankinn hafi, áður en hann afhenti Vörslusviptingum-LMS ehf. persónuupplýsingar um kvartanda, sannreynt að það félag gæti uppfyllt skyldur sínar að lögum. Verður afhending umræddra persónupplýsinga því ekki talin hafa samrýmst ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Ú r s k u r ð a r o r ð:

Landsbankanum hf. var óheimilt að afhenda Vörslusviptingum-LMS ehf. persónuupplýsingar um viðskiptavin sinn, [...].