Sending valgreiðslukrafna í netbanka

9.9.2015

Úrskurður

 

Hinn 25. ágúst 2015 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2015/711:

 

I.

Bréfaskipti

1.

Hinn 28. apríl 2015 barst Persónuvernd kvörtun [A] (hér eftir nefnd „kvartandi“) yfir að fyrirtæki og stofnanir hafi aðgang að netbanka hennar hjá Íslandsbanka hf. Nánar tiltekið er kvartað yfir að kröfur frá þessum aðilum birtist í netbankanum án þess að kvartandi hafi gefið leyfi til þess. Með kvörtun fylgir afrit af tölvupóstsamskiptum kvartanda og framangreinds banka hinn 27. apríl 2015. Í þeim samskiptum kemur fram að kvartandi óski eftir að allar valgreiðslur verði fjarlægðar úr netbanka hennar, sem og að hann verði stilltur þannig að engar valgreiðslur birtist framvegis. Einnig kemur fram að Íslandsbanki hafi svarað kvartanda svo til að bankinn geti ekki eytt valgreiðslum í netbankanum, en kvartandi geti hins vegar falið slíka reikninga og eytt þeim. Þá segir í svari bankans að hann geti ekki stjórnað því hvaða reikningar séu sendir í netbankann. Hins vegar geti kvartandi prófað að hafa samband við viðeigandi yfirvöld og óskað eftir að vera tekin af listum sem fyrirtæki hafi aðgang að.

Með bréfi, dags. 22. maí 2015, var Íslandsbanka hf. veitt færi á að tjá sig um þessa kvörtun. Svarað var með bréfi, dags. 5. júní s.á. Þar segir:

„Sú virkni að fyrirtæki og aðrir geti sent reikninga eða beiðni um styrki og annað í gegnum fyrirtækjabanka inn á netbanka viðskiptamanna fjármálafyrirtækis er í eðli sínu rafræn bréfalúga með þeirri viðbótarvirkni að móttakandi getur greitt kröfuna (ef hann svo kýs) í gegnum netbankann. Hið eina sem skráningaraðili þarf er kennitala móttakanda sem unnt er að nálgast í gegnum þjóðskrá. Líkt og bankinn hefur bent á, verður móttakandi að leita til skráningaraðila, hafi hann athugasemdir við réttmæti kröfu. Bankinn hefur ekki heimild til að hafa afskipti af vali skráningaraðila á viðskiptavinum sínum eða samskiptum við þá.

Aðstaða bankans og þjónusta er að vissu leyti sambærileg við þann sem kemur almennum bréfapósti til skila til skráðs móttakanda. Slíkur aðili hefur engar forsendur til þess að hafna útburði á þeim nafnskráðu sendingum sem viðtakanda eru ekki að skapi. Að sama skapi hefur bankinn engin tök á að loka fyrir skráningar á kröfum sem sama marki kunna að vera brenndar. Hins vegar getur notandi netbankans „hent“ kröfunni líkt og viðtakandi bréfapósts með því að velja þann valkost í netbankanum að fela kröfuna. Skráningin ein og sér leggur ekki auknar skyldur á herðar móttakanda til greiðslu kröfunnar og skráningaraðili hefur engin tök á að grafast fyrir um hvernig móttakandi velur að meðhöndla kröfuna þegar hún hefur birst í netbankanum, hvað þá að skráningaraðili öðlist við skráninguna aðgang að netbankanum að öðru leyti.

Bankinn afhendir þannig engar upplýsingar um móttakanda til skráningaraðila við skráningu kröfu eða síðar (að frátaldri kvittun ef móttakandi greiðir) og engin vinnsla persónuupplýsinga í skilningi 3. gr. laga nr. 77/2000 fer fram af því tilefni. Að mati bankans virðist umkvörtunarefnið af þeim sökum ekki heyra undir Persónuvernd hvað þátt bankans varðar.“

Með bréfi, dags. 16. júní 2015, var kvartanda veitt færi á að tjá sig um framangreint svar Íslandsbanka hf. Hún svaraði með tölvubréfi hinn 23. júní 2015. Þar segir meðal annars:

„Bankanum ber að mínu mati að ganga úr skugga um réttmæti krafna sem tilteknir aðilar fara fram á að bankinn taki til innheimtu í gegnum heimabanka minn. Það gengur ekki að bankinn skrái hvaða kröfur sem er til innheimtu, algjörlega án þess að kanna réttmæti þeirra. Ef sá skilningur væri ofan á, þá gætu t.d. alls kyns óprúttnir aðilar eða vafasöm samtök sent kröfur til innheimtu, í þeirri von að viðtakandi kröfunnar greiði hana í ógáti. Það verður að gera lágmarkskröfur til bankans í þessu sambandi.

Ég hef ekki gefið Íslandsbanka heimild að taka við kröfum sem eru stílaðar á mig hvort sem þær eru réttar eða rangar. Né heldur rétt til þess að vinna úr slíkum upplýsingum eða vista upplýsingar um slíkar kröfur i tölvukerfi þeirra. Tel ég því bankann vera að brjóta lög um persónuvernd. Það sama gildir þá um öll þau fyrirtæki sem senda upplýsingar til Íslandsbanka um mínar kröfur, réttar eða rangar, þar sem ég hef ekki gefið þeim leyfi til slíks.“

Einnig er því mótmælt að netbanki sé rafræn bréfalúga. Það séu ekki opinberar upplýsingar í hvaða banka kvartandi hafi sín viðskipti eða hvort hún sé með viðskipti við nokkurn banka yfir höfuð. Almennar póstlúgur séu aftur á móti opinberar ólíkt bankaupplýsingum. Bankar hafi enga heimild til að taka við kröfum sem beinast að kvartanda, réttum eða röngum. Allar slíkar kröfur beri bankanum að endursenda viðkomandi stofnun, félagi eða fyrirtæki þar sem kvartandi hafi ekki gefið bankanum leyfi til að hnýsast í sín persónulegu mál. Þá segir:

„Ég get til dæmis verið með bankaviðskipti i 3 bönkum. Notað einn banka til þess að borga reikninga vegna reksturs bíls, annan banka til þess að greiða reikninga varðandi húsnæði og síðan þann þriðja matarreikninga og síðan framvegis. Hvernig getur bankinn talið sig hafa heimild til þess að taka við kröfum réttum eða röngum fyrir mína hönd?“

Með símtali og tölvubréfi hinn 29. júlí 2015 óskaði Persónuvernd þess að Íslandsbanki hf. upplýsti með hvaða hætti utanaðkomandi gætu skráð kröfur í netbanka fólks án þess að það hefði veitt viðkomandi vitneskju um hvaða banka það skipti við og aðrar nauðsynlegar upplýsingar, s.s. um reikningsnúmer. Veitt voru svör samdægurs í tölvupósti, þess efnis að svokallaður kröfupottur, sem Reiknistofa bankanna heldur utan um fyrir hönd fjármálastofnana, væri nýttur í þessu skyni.

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Íslandsbanki hf. vera ábyrgðaraðili að þeirri vinnslu sem kvartað er yfir, þ.e. að taka við upplýsingum um kröfur, sem berast í svokallaðan kröfupott hjá Reiknistofu bankanna, og gera þær aðgengilegar í netbanka þeirra einstaklinga sem kröfurnar beinast að.

 

2.

Svo að vinnsla persónuupplýsinga sé heimil verður ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Á meðal þeirra er að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna, sbr. 7. tölul. 1. mgr. 8. gr. Það að greiðslumiðlun sé skilvirk má telja að falli þar undir, bæði þegar um ræðir kröfur sem  skylt er að greiða og, eftir atvikum, óskir um fjárframlög sem ekki er skylt að inna af hendi, m.a. þegar um ræðir fjáröflun góðgerðasamtaka og sambærilega starfsemi. Ef fjármálastofnanir þyrftu að ganga sérstaklega úr skugga um lögmæti hverrar og einnar kröfu, sem beinast að viðskiptavinum þeirra, verður að ætla að mjög örðugt yrði að gæta framangreindrar skilvirkni. Þá má jafnframt telja að í slíkri rannsókn fjármálafyrirtækja gæti falist nærgöngul vinnsla persónuupplýsinga um viðkomandi viðskiptavini sem vegið gæti að friðhelgi einkalífs þeirra. Þegar litið er til þessa, sem og meginreglunnar um forræði manna á ráðstöfun eigin hagsmuna, verður það fyrirkomulag að teljast eðlilegra að sá sem krafa er beint til taki afstöðu til þess hvort hann telji kröfuna réttmæta frekar en að fjármálastofnun taki það hlutverk að sér.

Í ljósi alls framangreinds telur Persónuvernd umrædda vinnslu hjá Íslandsbanka hf. á persónuupplýsingum um kvartanda samrýmast 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og því vera heimila. Hins vegar er vakin athygli á að samkvæmt 2. mgr. 28. gr. laganna er óheimilt að senda þeim bein markaðssetningarskilaboð sem hafa látið færa nafn sitt á skrá Þjóðskrár Íslands yfir þá sem andmæla því að nöfn þeirra séu notuð í markaðssetningarstarfsemi, þ.e. bannskrá. Eftir atvikum kann sending á valgreiðslu til einstaklings að fela í sér beina markaðssetningu samkvæmt þessu ákvæði. Hvílir þá sú skylda á þeim, sem sendir valgreiðsluna inn í fyrrnefndan kröfupott hjá Reiknistofu bankanna, að ganga úr skugga um að viðkomandi sé ekki á bannskrá. Ekki verður hins vegar talið að viðkomandi fjármálastofnun beri að fullvissa sig um að sendandi valgreiðslunnar hafi farið að þessari skyldu.

Af hálfu kvartanda hefur komið fram að hún vilji að allar valgreiðslur verði fjarlægðar úr netbanka hennar. Í lögum nr. 77/2000 er ekki að finna ákvæði um andmælarétt skráðs einstaklings, sem átt gæti við um valgreiðslur, umfram það sem að framan greinir. Telur Persónuvernd því hér vera um að ræða álitaefni sem fremur eigi undir yfirvöld á sviði neytendaverndarmála, þ.e. Neytendastofu. Verður hér því ekki fjallað efnislega um þetta atriði.

 

Ú r s k u r ð a r o r ð:

Íslandsbanka hf. er heimil sú vinnsla persónuupplýsinga um [A] sem felst í að gera kröfur á hendur henni, sem berast í kröfupott hjá Reiknistofu bankanna, aðgengilegar í netbanka hennar.