Úrlausnir

Útgáfa á sérstökum greiðslukortum frá Reiknistofa bankanna og Íslandsbanki-FBA hf.

30.1.2001

Hinn 30. janúar 2001 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2001/45.

I.

Í september 2000 bárust tölvunefnd ábendingar frá þremur mönnum um að í ágústmánuði hefðu félagsmönnum í golfklúbbum hérlendis verið send sérstök kreditkort, svokölluð golfkort, sem gefin voru út af Íslandsbanka-FBA hf. í samvinnu við Golfsamband Íslands og Samvinnuferðir Landsýn hf. Umræddar ábendingar lutu einkum að því að við gerð kortanna hefðu án heimildar verið notaðar persónuupplýsingar og skrár sem stofnað hefði verið til í öðrum tilgangi og á grundvelli heimilda sem ekki tækju til slíkrar vinnslu persónuupplýsinga.
Af ofangreindu tilefni ákvað tölvunefnd, með vísan til 31. gr. laga nr. 121/1989, að rannsaka hvort umræddar upplýsingar hefðu verið látnar af hendi í samræmi við lög. Í úrskurði þessum er fjallað um þátt Íslandsbanka-FBA hf. og Reiknistofu bankanna í málinu, með notkun félagaskrár og þeirra gagna, m.a. mynda- og undirskriftaskráa, sem eru í þeirra vörslu, með þeim hætti sem gert var. Hinn 30. október sl. úrskurðaði tölvunefnd um þátt Golfsambands Íslands í málinu, tilv. nr. 2000/558.

II.

Hinn 15. september sl. ritaði tölvunefnd Íslandsbanka-FBA hf. bréf og tilkynnti að henni hefðu borist nokkrar kvartanir vegna útgáfu umræddra korta og lytu þær einkum að því að við gerð kortanna hafi án heimildar verið notaðar persónuupplýsingar og skrár sem stofnað hafi verið til í öðrum tilgangi og á grundvelli heimilda sem ekki taki til slíkrar vinnslu. Var þess óskað með vísan til 32. gr. laga nr. 121/1989 um skráningu og meðferð persónuupplýsinga, að bankinn skýrði viðhorf sín til málsins og léti í té þau gögn er málið varða. Þann 31. október 2000 ritaði tölvunefnd Reiknistofu bankanna samhljóðandi bréf.
Með bréfi dags. 12. október bárust tölvunefnd skýringar Íslandsbanka FBA. Í svarbréfi þeirra segir m.a:

"Forsaga þessa máls er sú að á árinu 1999 hóf Íslandsbanki hf., nú Íslandsbanki-FBA hf. samstarf við Golfsamband Íslands og var tilgangurinn með því samstarfi að vinna að útbreiðslu og kynningu á golfíþróttinni. Hluti af þessu samstarfi fólst í því að þróa tölvukerfi fyrir golfhreyfinguna auk þess sem samið var um að bankinn gæfi út kort sem jafnframt því að vera meðlimakort að GSÍ yrði fullgilt kreditkort. Ástæðan fyrir því að kortið yrði kreditkort var m.a. sú að þá væri sá möguleiki fyrir hendi að varðveita ýmsar aðrar upplýsingar í segulrönd kortsins eins og t.d. upplýsingar um forgjöf korthafa.
Fjallað var um samstarf GSÍ við Íslandsbanka hf. og þar með útgáfu golfkortsins á Golfþingi sem haldið var þann 12.-13. nóvember 1999. Samkvæmt upplýsingum frá GSÍ var á þinginu samþykkt samhljóða ályktun varðandi framangreind málefni. Samkvæmt lögum GSÍ mun golfþingið fara með æðsta vald í málefnum sambandsins en allir golfklúbbar innan þess munu eiga fulltrúa sína á þinginu. Bankinn hefur ekki talið ástæðu til annars en að ætla að sú umfjöllun og sú samþykkt sem þar var gerð varðandi samstarf GSÍ og bankans og útgáfu golfkortsins hafi verið í samræmi við lög og reglur GSÍ.
Nú í sumar þegar vinnsla golfkortsins var komin á lokastig fékk bankinn afhentar félagaskrár þeirra golfklúbba sem starfa innan GSÍ. Með því að golfþing hafi samþykkt útgáfu kortsins telur bankinn að þar hafi verið aflað heimilda til þess að afhenda bankanum skrárnar. Þær persónuupplýsingar sem fram komu í þeim skrám voru nöfn heimilisföng og kennitölur félagsmanna, en þessar upplýsingar voru nauðsynlegar til að framfylgja ákvörðun þingsins um útgáfu kortanna.
Rétt er að benda á að hverjum og einum félaga innan GSÍ er í sjálfsvald sett hvort hann notar golfkortið eða ekki, en kortið sjálft öðlast ekki gildi sem kreditkort fyrr en það hefur verið notað á greiðslustað eða korthafi samþykkt að greiðslur yrðu skuldfærðar á kortið. Greiðslukortinu fylgja engar kvaðir en handhöfn þess býður hins vegar upp á ýmis fríðindi."

Svör Reiknistofu bankanna bárust með bréfi, dags. 6. nóvember 2000, og segir þar m.a. svo:

"Við útgáfu kreditkorta er frumkvæði kortaútgáfunnar annað hvort í höndum banka eða sparisjóðs eða viðkomandi kortafyrirtækis. Ekki er hægt að gefa út kreditkort fyrir Visa eða Europay án atbeina þeirra, enda eru kortin gefin út í þeirra nafni og með þeirra auðkennum sem njóta alþjóðlegrar viðurkenningar og verndar. Þegar greiðslukort eru framleidd er það gert í lokuðu tölvukerfi, sem eigendur Reiknistofu bankanna hafa einir aðgang að. Ávallt er kannað með sjálfvirkum hætti hvort til sé í myndasafni Reiknistofunnar mynd af viðkomandi og sé hún til, er hún notuð við gerð viðkomandi kreditkorts. Við notkun myndarinnar er stuðst við þá heimild, sem viðkomandi hefur veitt við afhendingu hennar, þ.e. að hann hafi heimilað fjármálastofnunum notkun myndar og undirskriftar til að auka traust og öryggi í viðskiptum.
Í tilfelli umræddra golfkorta, sem eru í grundvallaratriðum venjuleg kreditkort, hafði Reiknistofan ekkert að segja um útgáfu þeirra frekar en annarra sambærilegra korta. Reiknistofan áritar fleiri tugi tegunda greiðslukorta fyrir eigendur sína og er golfkortið í engu frábrugðið. Það er ekki í valdi Reiknistofunnar að fylgjast með því í einstökum tilvikum hver hefur haft fumkvæði að útgáfu greiðslukorta, en gengið hefur verið út frá því sem vísu, að hefðbundin umsókn korthafa væri til staðar."
III.

Er ráðist var í útgáfu ofangreindra golfkorta var í gildi starfsleyfi til Reiknistofu bankanna er gefið var út 28. júní 2000. Voru gerðar töluverðar breytingar á leyfi þessu frá fyrra leyfi er gefið var út 28. september 1999 og gilda skyldi til 1. júlí 2000. Var meðal annars þeim áskilnaði bætt við C. lið 3. kafla leyfisins, er tekur til heimildar Reiknistofu bankanna til að annast áprentun á ökuskírteini fyrir dómsmálaráðuneytið, að eigi síðar en 1. ágúst 2000, skyldi hafa verið breytt þeim eyðublöðum sem notuð eru sem kennispjöld fyrir umsækjendur um tékkareikning/debetkort eða önnur viðskipti. Breyting þessi átti að tryggja að fortakslaust væri að viðkomandi umsækjandi, jafnhliða þeirri heimild er hann veitti Reiknistofu bankanna til að nota mynd hans og undirskrift vegna umsóknar um debetkort/tékkareikning, veitti samþykki sitt fyrir notkun myndar/undirskriftar við áprentun ökuskírteinis.

Í 7. tl. almennra skilmála fyrra leyfis, sagði að leyfishafi skyldi hlíta öllum reglum og fyrirmælum tölvunefndar sem settar hafi verið og settar kynnu að verða um vörslu gagna, öryggisráðstafanir og eyðileggingu gagna og önnur atriði. Í leyfi dags. 28. júní 2000, var eftirfarandi málsgreinum bætt við:

"Þar á meðal skal RB tryggja fullan rekjanleika allra færslna í mynda- og undirskriftaskrá þannig að hægt verði að rekja hver skráir, breytir, skoðar eða sækir upplýsingar í umrædda skrá. Í þessu felst að einnig þarf að halda utan um tilvik þar sem hætt er við færslu eftir að búið er að kalla fram upplýsingar um "atburð". Skrá þarf einkennisnúmer starfsmanns og tíma skráningar eða uppflettingar. Slíkri öryggisráðstöfun skal hafa verið komið á eigi síðar en 15. ágúst 2000. Þá skal RB setja reglur um meðferð og varðveislu log-skráa og afrita og um hverjir megi hafa aðgang að þeim, hverjar verði aðgangstakmarkanir kerfisins, hvernig aðgangsorðum verður úthlutað, til hverra og almennar verklagsreglur um aðgangsorð. Skulu þessar reglur berast tölvunefnd eigi síðan en 1. september 2000."

Í 8. tl. almennra skilmála fyrra leyfis sagði að áorðnar eða fyrirhugaðar breytingar á þeim atriðum er greint væri frá framar í leyfinu skyldu tilkynntar tölvunefnd og þyrftu eftir atvikum samþykki hennar. Í leyfi útgefnu 28. júní 2000, er 8. tl. almennra skilmála svohljóðandi:
"Fyrir 1. september 2000 skulu þær fjármálastofnanir, sem hafa aðgang að mynda- og undirskriftaskrám, gera starfsmönnum skýra grein fyrir þeim reglum er gilda um skrárnar, þ. á m. í hvaða skyni heimilt er að fá aðgang að þeim og vinna með persónuupplýsingar úr þeim. Gera skal starfsmönnum grein fyrir því að uppflettingar í skránum séu rekjanlegar og hverju það geti varðað starfsmann brjóti hann lög og reglur er um skrárnar gilda."
Við 11. tl. almennra skilmála er í fyrra leyfi hljóðaði á þá leið, að tölvunefnd áskildi sér rétt til að afturkalla starfsleyfi þetta eða breyta skilmálum þess, ef hagsmunir einstaklinga eða lögaðila krefðust þess, var bætt við að tölvunefnd myndi skipa tilsjónarmann með því að unnið væri í samræmi við framgreindan skilmála og Reiknistofa bankanna bera þann kostnað sem af því hlytist samkvæmt nánari ákvörðun dómsmálaráðherra skv. 35. gr. laga nr. 121/1989.
Svo sem af ofangreindu má ráða voru skilmálar talsvert hertir í leyfi tölvunefndar er gefið var út 28. júní 2000. Ástæður þessa voru þær að tölvunefnd hafði á árinu 1999 borist kæra vegna birtingar myndar, sem var í mynda- og undirskriftaskrá Reiknistofu bankanna, er birt var í vikublaði án vitundar kæranda eða vilja, sjá úrskurð tölvunefndar í máli 99/457. Enn fremur bárust tölvunefnd, hinn 19. apríl 2000, ábendingar um að mannamyndir úr mynda- og undirskriftaskrá Reiknistofu bankanna hefðu verið notaðar á óheimilan hátt, sjá úrskurð tölvunefndar í máli 2000/365.
Í báðum tilvikum var um að ræða óheimila notkun starfsmanna fjármálastofnana þeirra er aðgang hafa að mynda- og undirskriftaskrám Reiknistofu bankanna og miðuðu skilmálar hins nýja starfsleyfis að því að koma í veg fyrir að slíkt endurtæki sig. Enginn grundvallarmunur er á því hvort um er að ræða óheimila notkun einstaka starfsmanns/manna á framangreindu mynda- og undirskriftasafni eða af hálfu fjármálastofnunar er aðgang hefur af því. Í öllum tilvikum ber að gæta þess að notkun mynda og/eða undirskrifta úr safninu eigi sér ekki stað án þess að leyfis viðkomandi einstaklings hafi verið aflað ef um er að ræða aðra notkun en þá er hann hefur þegar veitt heimild til.

IV.
Forsendur og niðurstaða.
1.

Samkvæmt 31. gr. laga nr. 121/1989, um skráningu og meðferð persónuupplýsinga, er í gildi voru fram til 1. janúar 2001, féll það í hlut tölvunefndar að úrskurða um hvort persónuupplýsingar í mynda- og undirskriftaskrá Reiknistofu bankanna hefðu verið notaðar í samræmi við fyrrnefnd lög og starfsleyfi Reiknistofu bankanna. Hinn 1. janúar 2001, tók Persónuvernd við hlutverki tölvunefndar þegar lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga tóku gildi. Persónuvernd úrskurðar því í máli þessu, sbr. 2. mgr. 37. gr. laga nr. 77/2000. Atvik máls þessa gerðust að öllu leyti í gildistíð laga nr. 121/1989, um skráningu og meðferð persónuupplýsinga. Fer því um efnisúrlausn málsins eftir þeim lögum.

2.

Eins og áður segir, er Reiknistofu bankanna heimilt samkvæmt starfsleyfi, dags. 28. júní 2000, að annast tölvuþjónustu samkvæmt 1. mgr. 25. gr. laga nr. 121/1989 og til að skrá og miðla upplýsingum um fjárhagsmálefni, samkvæmt 15. gr sömu laga, er Reiknistofu bankanna heimilt að halda mynda- og undirskriftaskrá í tengslum við tékka/debetkorta-reikningaskrá.
Samkvæmt 3. gr. laga nr. 121/1989 um skráningu og meðferð persónuupplýsinga er kerfisbundin skráning persónuupplýsinga því aðeins heimil að skráningin sé eðlilegur þáttur í starfsemi viðkomandi aðila og taki einungis til þeirra er tengjast starfi hans eða verksviði, svo sem viðskiptamanna, starfsmanna eða félagsmanna. Samkvæmt 3. mgr. 5. gr. sömu laga er því aðeins heimilt að skýra frá almennum persónuupplýsingum án samþykkis hins skráða að slík upplýsingamiðlun sé eðlilegur þáttur í venjubundinni starfsemi skráningaraðilans.
Framangreind ákvæði eru byggð á því grundvallarviðhorfi um persónuvernd að nota beri persónuupplýsingar með sanngjörnum, málefnalegum og lögmætum hætti, afla þeirra í yfirlýstum, skýrum og málefnalegum tilgangi og ekki nota þær í öðrum og ósamrýmanlegum tilgangi, sbr. samning Evrópuráðsins nr. 108/1981, um vernd einstaklinga varðandi vélræna vinnslu persónuupplýsinga, sem Ísland er aðili að, sbr. auglýsingu utanríkisráðuneytisins nr. 5 27. mars 1991, er birtist í Stj.tíð. C, 1991.
Samkvæmt því sem rakið er hér að framan er Reiknistofu bankanna heimilt að halda mynda- og undirskriftaskrá í þágu banka, sparisjóða og annarra fjármálastofnana til að nota við að bera kennsl á viðskiptamenn. Einvörðungu er heimilt að miðla slíkum myndum úr skránni að slíkt sé eðlilegur þáttur í venjubundinni starfsemi hlutaðeigandi fyrirtækja, s.s. með útgáfu á greiðslukorti o.s.frv.
Af hálfu Reiknistofu bankanna hefur því verið haldið fram að þar sem atbeina viðkomandi banka og kortafyrirtækis þurfi til hafi Reiknistofan ekki haft neitt að segja um útgáfu umræddra korta. Enn fremur er það álit Reiknistofunnar að ef mynd af viðkomandi sé til í myndasafni, sé við notkun hennar stuðst við þá heimild, sem viðkomandi hafi veitt við afhendingu hennar.
Heimild sú sem viðkomandi einstaklingar veittu við afhendingu myndar í myndasafn RB, er bundin við þau viðskipti sem einstaklingurinn hugðist hafa við viðskiptabanka sinn. Ráðist var í útgáfu fyrrnefndra greiðslukorta og persónuupplýsingar notaðar við gerð þeirra án þess að samþykkis viðkomandi einstaklinga væri leitað til þess.
Reiknistofa bankanna er, eins og fram er komið, handhafi starfsleyfis sem útgefið var 28. júní sl. Í starfsleyfinu segir m.a., auk þess er rakið var hér að framan undir lið III, að það sé bundið öllum skilmálum og skilyrðum er greini í lögum nr. 121/1989. Samkvæmt 28. gr. laganna, skal beita virkum ráðstöfunum er komi í veg fyrir að upplýsingar séu misnotaðar eða komist til óviðkomandi manna. Af því leiðir að sú skylda er lögð á Reiknistofuna sem leyfishafa, skrárhaldara, að hafa eftirlit með að réttar heimildir liggi að baki fyrirhugaðri vinnslu persónuupplýsinga, úr skrám hennar, svo sem samþykki eða umsókn viðkomandi viðskiptamanns við útgáfu greiðslukorta eða til annarrar notkunar skráa Reiknistofunnar, en þeirrar sem beinlínis er heimiluð samkvæmt ákvæðum starfsleyfis Reiknistofunnar og lögum nr. 121/1989. Ekki verður því fallist á þau viðhorf Reiknistofu bankanna að hún hafi "ekkert að segja" um útgáfu kortanna í ljósi þess að persónuupplýsingarnar voru fengnar úr skrám hennar við gerð kortanna.

3.

Af hálfu Íslandsbanka - FBA hf. hefur því verið haldið fram að þar sem ákvörðun um útgáfu Golfkorta hafi verið tekin á þingi Golfsambands Íslands og þar hafi verið fulltrúar allra þeirra golfklúbba sem starfandi eru innan þess, hafi þar með verið aflað heimilda til þess að afhenda bankanum skrá yfir félagsmenn einstakra golfklúbba og til útgáfu umræddra greiðslukorta.
Í fyrrnefndum úrskurði tölvunefndar í máli nr. 2000/558, er kveðinn var upp 30. október 2000, segir m.a:
"Í málinu liggur fyrir að Golfsamband Íslands lét af hendi til Íslandsbanka-FBA hf. skrár yfir félagsmenn allra golfklúbba sem eru aðilar að Golfsambandi Íslands. Golfsamband Íslands hefur ekki fengið starfsleyfi samkvæmt ákvæði 1. mgr. 21. laga nr. 121/1989. Þá hefur Golfsambandið heldur ekki aflað samþykkis félagsmanna golfklúbba til að afhenda Íslandsbanka-FBA hf. upplýsingar um þá. Þar sem Golfsamband Íslands hefur ekki sýnt fram á að félagsmenn gólfklúbba samþykki með inngöngu sinni í slík félög, eða með öðrum hætti, að heimila Golfsambandi Íslands afhendingu persónuupplýsinga til fjármálastofnana í því skyni að framleiða greiðslukort, gat sú ákvörðun golfþings að heimila stjórn GSÍ "að vinna að GOLFKORTINU" engu breytt í þessu sambandi, enda skýrlega mælt fyrir um í lögum nr. 121/1989 hver sé bær til að veita heimild til afhendingar slíkra upplýsinga".
Svo sem í úrskurði þessum greinir er í lögum nr. 121/1989, skýrlega mælt fyrir um hver sé bær til að veita heimild til afhendingar upplýsinga sem þeirra er að framan greinir og sú ákvörðun golfþings að heimila stjórn GSÍ "að vinna að Golfkortinu" fékk því engu breytt í þessu sambandi. Er það álit Persónuverndar, að með notkun þeirra gagna, m.a. mynda- og undirskriftaskráa, sem eru í vörslu Reiknistofu bankanna og Íslandsbanka-FBA hf. með þeim hætti sem gert var, hafi umræddir aðilar, við gerð kortanna, notað persónuupplýsingar og skrár sem stofnað hafi verið til í öðrum tilgangi og á grundvelli heimilda sem ekki taka til slíkrar vinnslu er að framan greinir.
Greina má handhafa þeirra korta sem út voru gefin í tvennt með tilliti til þeirra heimilda til vinnslu persónuupplýsinga, sem á reynir í málinu. Annars vegar þá sem eru í viðskiptasambandi við Íslandsbanka-FBA hf. og hins vegar þá sem ekki eru það.
Viðskiptavinir Íslandsbanka-FBA hf. hafa látið bankanum í té mynd og sýnishorn af undirskrift sinni og fallist á svohljóðandi notkun á þeim persónuupplýsingum:
"Umsækjandi heimilar með undirskrift sinni notkun banka, sparisjóða og annarra fjármálastofnana á mynd og undirskrift til að auka traust og öryggi í viðskiptum".
Þessi heimild tók ekki til vinnslu persónuupplýsinga við óumbeðna útgáfu á greiðslukorti. Því má ljóst vera að við útgáfu umræddra greiðslukorta til viðskiptamanna sinna, hafi Íslandsbanki-FBA hf., farið út fyrir umboð það sem viðskiptamenn hans veittu honum, enda lágu eingöngu fyrir heimildir viðkomandi viðskiptamanna til bankans á myndum af þeim og undirskriftum þeirra og þeirri notkun sem þar af leiðir.
Þá verður að telja, hvað varðar útgáfu Íslandsbanka-FBA ehf. á greiðslukortum til einstaklinga sem ekki voru í viðskiptasambandi við bankann, að þar hafi verið um algert heimildarleysi bankans að ræða.

Úrskurðarorð:

Reiknistofu bankanna og Íslandsbanka-FBA hf. var óheimilt án samþykkis hlutaðeigandi einstaklinga að nota persónuupplýsingar um þá í þeim tilgangi að gefa út sérstök greiðslukort.

Var efnið hjálplegt? Nei