Bráðabirgðastarfsleyfi fyrir Samband íslenskra sparisjóða vegna lokanaskrár

Bráðabirgðastarfsleyfi fyrir Samband íslenskra sparisjóða

til að annast söfnun upplýsinga í Lokanaskrá, í því skyni að miðla þeim til annarra, sbr. 33. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 4. tl. 1. mgr. 7. gr. reglna Persónuverndar nr. 698/2004 og 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, að því er varðar upplýsingar um einstaklinga og sbr. 2. mgr. 45. gr. laga nr. 77/2000 og 1. mgr. 2. gr. reglugerðar nr. 246/2001, að því er varðar upplýsingar um lögaðila.

Sambandi íslenskra sparisjóða, kt. 450979-0239, í leyfi þessu nefnt starfsleyfishafi, er heimilt að safna og miðla tilteknum persónuupplýsingum sem varða fjárhag og lánstraust einstaklinga og lögaðila samkvæmt því sem nánar greinir í starfsleyfi þessu.

Starfsleyfi þetta heimilar Sambandi íslenskra sparisjóða söfnun upplýsinga um fjárhagsmálefni einstaklinga og lögaðila úr eigin viðskiptamannaskrám í sk. Lokanaskrá sem vistuð er hjá Reiknistofu bankanna, sem gera þarf vinnslusamning um í samræmi við 13. gr. laga nr. 77/2000. Leyfi þetta heimilar einnig miðlun þessara upplýsinga með beinlínutengingu til annarra eigenda Reiknistofu bankanna, þ.e. Landsbanka Íslands hf., Kaupþings banka hf., Glitnis hf., Kreditkorta hf. og Greiðslumiðlunar hf.

Starfsleyfið heimilar ekki vinnslu upplýsinga sem eðli sínu samkvæmt geta ekki haft þýðingu við mat á fjárhag og lánstrausti hins skráða. Aldrei er heimilt að vinna með viðkvæmar persónuupplýsingar við slíkt mat, sbr. 8. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum. Upplýsingar um skuldastöðu manna má ekki veita með þeim hætti að þær geti verið grundvöllur mats á fjárhagslegri stöðu annars en þess er þær varða.

2. gr.

Starfsleyfishafa er heimilt að safna upplýsingum í Lokanaskrá um þá reikninga einstaklinga og lögaðila sem sparisjóðir hafa lokað vegna vanefnda reikningseigenda.

Heimilt er að skrá eftirfarandi upplýsingar í Lokanaskrá:

1. Kennitala þess einstaklings eða lögaðila sem í hlut á

2. Nafn og heimili reikningseiganda

3. Upplýsingar um númer banka, höfuðbókar og reiknings

4. Lokunardagur, þ.e. sá dagur þegar reikningur er færður á lokanaskrá.

5. Lausnardagur, þ.e. sá dagur þegar reikningur er opnaður að nýju.

6. Niðurfellingardagur, þ.e. sá dagur þegar kennitala er felld úr lokanaskrá (lokanasögu)

7. Tilvísunarkennitala, þ.e. tengsl á milli prókúruhafa og lögaðila

Upplýsingum þeim sem starfsleyfishafi má safna samkvæmt 2. gr. starfsleyfis þessa má hann einungis miðla með beinlínutengingu til annarra eigenda Reiknistofu bankanna, enda geri slík tenging það einungis mögulegt að fletta einum einstaklingi upp í einu.

Heimilt er að varðveita upplýsingar um lokanasögu einstaklinga þannig að upplýsingar um að reikningi hafi verið lokað sé unnt að finna í 2 ár frá lokunardegi. Þetta tímamark lengist um 1 ár við hvert nýtt brot.

Starfsleyfishafi skal, að kröfu reikningseiganda, stöðva miðlun upplýsinga um nafn og kennitölu hans hafi viðkomandi krafa verið greidd eða henni komið í skil með öðrum hætti.

Persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta.

5. gr.

Réttur hins skráða

Um upplýsingarétt hins skráða, um rétt hans til að fá viðvaranir og um rétt hans til að fá rökstuðning fyrir ákvörðunum sem byggja á rafrænni vinnslu, fer samkvæmt III. kafla laga nr. 77/2000.

Sá sem skráður er á Lokanaskrá á hvenær sem er rétt á að fá vitneskju um hvaða upplýsingar um hann er eða hefur verið unnið með, tilgang vinnslunnar, hver fái, hafi fengið eða muni fá upplýsingar um hann, hvaðan upplýsingarnar hafi komið og hvaða öryggisráðstafanir séu viðhafðar við vinnsluna, að því marki sem það skerðir ekki öryggi vinnslunnar.

Starfsleyfishafa er skylt að afhenda hinum skráða endurrit eða ljósrit af þeim upplýsingum sem hann hefur undir höndum um viðkomandi. Ekki má krefjast hærra endurgjalds af þessari þjónustu en sem nemur þeim upphæðum sem innheimta má á hverjum tíma samkvæmt gjaldskrá forsætisráðuneytis fyrir ljósrit og afrit sem veitt eru á grundvelli upplýsingalaga, sbr. nú 2. gr. gjaldskrár nr. 838/2004.

Starfsleyfishafi skal verða við beiðni hins skráða um upplýsingar svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku beiðninnar. Ef sérstakar ástæður valda því að ómögulegt er fyrir starfsleyfishafa að afgreiða erindið innan eins mánaðar er honum heimilt að gera það síðar. Þegar svo hagar til skal starfsleyfishafi innan mánaðarfrestsins gefa hlutaðeigandi skriflegar skýringar á ástæðum tafarinnar og hvenær svars sé að vænta.

Hafi starfsleyfishafi í vörslum sínum frekari upplýsingar um hinn skráða en þær sem beiðni lýtur að skal starfsleyfishafi gera honum grein fyrir því. Jafnframt skal starfsleyfishafi gera hinum skráða grein fyrir rétti sínum til þess að fá að kynna sér upplýsingar af eigin raun.

6. gr.

Skyldur starfsleyfishafa

6.1. Viðvörunarskylda

Þegar starfsleyfishafi skráir upplýsingar í samræmi við ákvæði 2. gr. leyfis þessa skal hann gera hinum skráða viðvart og skýra honum m.a. frá þeim atriðum sem talin eru upp í 3. mgr. 21. gr. laga nr. 77/2000, að því marki sem þörf er á fyrir hinn skráða þannig að hann geti gætt hagsmuna sinna. Skal hann senda slíka viðvörun eigi síðar en 10 dögum áður en hann miðlar upplýsingunum í fyrsta sinn, sbr. 2. mgr. 21. gr. sömu laga. Ekki er nauðsynlegt að senda viðvörun ef um alvarlega misnotkun á reikningi er að ræða og nauðsynlegt er að koma í veg fyrir misnotkun á reikningum í öðrum bönkum eða sparisjóðum.

Starfsleyfishafa er þó ekki skylt að senda slíka viðvörun ef ætla má að hinum skráða sé þegar kunnugt um vinnsluna, s.s. vegna þess að hann hafi áður fengið tilkynningu um að nafn hans hafi verið fært á Lokanaskrá. Þetta á þó ekki við hafi lengri tími en eitt ár liðið frá síðustu skráningu.

6.2. Vandaðir vinnsluhættir

Starfsleyfishafi skal, við alla vinnslu persónuupplýsinga, sem leyfi þetta tekur til, gæta þess að haga vinnslunni með sanngjörnum, málefnalegum og lögmætum hætti og fara með upplýsingarnar í samræmi við vandaða vinnsluhætti persónuupplýsinga. Í því felst m.a. að gæta verður þess að upplýsingarnar séu áreiðanlegar og uppfærðar eftir þörfum. Persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta. Hafi röngum eða villandi upplýsingum verið miðlað eða þær notaðar ber starfsleyfishafa, eftir því sem honum frekast er unnt, að hindra að það hafi áhrif á hagsmuni hins skráða.

6.3. Skuldbindingar þeirra sem hafa aðgang að Lokanaskrá

Þeir sem hafa aðgang að upplýsingum í Lokanaskrá skuldbinda sig til að afrita ekki skrána eða upplýsingar úr henni, samtengja þær við aðrar skrár eða vinna með þær á nokkurn annan hátt, þótt viðkomandi kunni að fá tækifæri til slíks, t.d. fyrir mistök. Loks skuldbinda umræddir aðilar sig, synji þeir um lánveitingu/stofnunar reiknings á grundvelli upplýsinga í Lokanaskrá, að greina viðkomandi frá þeirri ástæðu og jafnframt greina frá heimild viðkomandi til að fá að vita hvaða upplýsingar um hann starfsleyfishafi vinni með.

6.4. Öryggi vinnslu

Starfsleyfishafi skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.

6.5. Vinnsluaðili

Starfsleyfishafa er heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á enda hafi hann áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit.

Hverjum þeim er starfar í umboði starfsleyfishafa eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.

6.6. Starfsmenn

Hver sá sem starfar hjá starfsleyfishafa er þagnarskyldur um þau atriði sem hann kemst að í starfi sínu og leynt eiga að fara, sbr. 58. gr. laga nr. 161/2002.

Upplýsingagjöf samkvæmt starfsleyfi þessu mega einungis annast þeir starfsmenn Reiknistofu bankanna sem eru og verða sérstaklega til þess valdir og Persónuvernd tilkynnt um.

6.7. Upplýsingagjöf til Persónuverndar

Persónuvernd getur hvenær sem er óskað upplýsinga frá starfleyfishafa/vinnsluaðila um hve margir hafi aðgang að upplýsingum í Lokanaskrá, hverjir það séu og hve margir einstaklingar og fyrirtæki séu skráðir í Lokanaskrá á hverjum tíma.

6.8. Annað

Auk ákvæða starfsleyfis þessa skal starfsleyfishafi ávallt fara að lögum um persónuvernd og meðferð persónuupplýsinga eins og þau lög eru á hverjum tíma, sbr. nú lög nr. 77/2000 með áorðnum breytingum, auk annarra laga og réttarreglna sem í gildi eru hverju sinni, sbr. m.a. reglugerð nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust og reglur nr. 299/2001 um öryggi persónuupplýsinga.

7. gr.

Gildistaka

Starfsleyfi þetta gildir til 1. október 2007.

 

Virðingarfyllst

Sigrún Jóhannesdóttir