Öflun fjárhagsupplýsinga við útgáfu kreditkorts
Úrskurður
Á fundi stjórnar Persónuverndar hinn 6. desember 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/4:
I.
Málsmeðferð
1.
Tildrög máls
Þann 30. desember 2015 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), vegna vinnslu persónuupplýsinga um hann hjá Kreditkorti. Í kvörtuninni segir m.a. að kvartandi hafi haft samband við Kreditkort til að fá fyrirframgreitt kreditkort fyrir fyrirtæki sitt, [X] ehf. Honum hafi þá verið boðið að sækja um hefðbundið kreditkort sem hann hafi lagt inn umsókn fyrir, ásamt fylgigögnum. Í kjölfarið hafi kvartanda verið tilkynnt um að Kreditkort gæti ekki samþykkt umsókn hans um kreditkort og honum boðið fyrirframgreitt kort þar sem kvartandi hefði sótt um greiðsluaðlögun. Hann hafi mótmælt því að hans persónulegu högum væri blandað saman við málefni fyrirtækis síns þar sem hér væri um tvo aðskilda aðila að ræða. Hann hafi ekki skrifað undir leyfi til að Kreditkort gæti skoðað eða leitað eftir upplýsingum um sig persónulega. Þá hafi hann fengið þær upplýsingar hjá starfsmanni Kreditkorts að um væri að ræða viðurkennda vinnureglu. Í kvörtuninni segir einnig að staðfest hafi verið af Creditinfo Lánstrausti hf. að fyrirtæki kvartanda, [X] ehf., hafi verið flett upp í vanskilaskrá en engin uppfletting hafi verið gerð á kvartanda persónulega. Þá gerir kvartandi einnig athugasemd við að Kreditkort haldi skrá um einstaklinga þar sem honum hafi ekki verið kunnugt um hana.
2.
Skýringar Kreditkorta
Með bréfi, dags. 23. mars 2016, var Kreditkorti tilkynnt um kvörtunina og boðið að koma á framfæri skýringum vegna hennar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf Íslandsbanka, f.h. Kreditkorts, barst Persónuvernd þann 7. apríl 2016. Þar segir að uppflettingar á kvartanda í tengslum við umsókn um kreditkort hafi farið fram í gegnum afgreiðslukerfi Íslandsbanka, nefnt „Íslind“. Í kerfinu komi fram allar helstu upplýsingar um viðskiptavini svo sem heimilisfang, velta og viðskiptaþættir. Einnig komi fram upplýsingar um viðskiptavin sem háðar séu opinberri skráningu og geti haft áhrif á lánshæfi, svo sem hvort viðskiptavinur sé í greiðsluaðlögun. Þá segir að Kreditkort sé afkomueining innan Íslandsbanka.
Að auki segir að umrædd vinnsla hafi verið framkvæmd með þeim hætti að fyrirtækjaráðgjafi Íslandsbanka hafi flett kvartanda upp í afgreiðslukerfinu og séð að hann hafi sótt um greiðsluaðlögun. Að frátalinni skoðun á viðskiptum fyrirtækisins hafi engar aðrar uppflettingar verið gerðar í sambandi við umsókn kvartanda. Þá segir að bankinn áskilji sér rétt til þess að fletta upp eiganda þó svo að umsókn lúti að korti fyrir félag með takmarkaða ábyrgð. Slíkar uppflettingar séu háðar samþykki, sbr. 8. gr. laga nr. 77/2000 og telur bankinn að slíkt samþykki hafi legið fyrir. Með umsókninni hafi kvartandi samþykkt, ásamt fyrirtækinu, viðskiptaskilmála Kreditkorts. Í grein 2.2 í skilmálunum komi fram að Kreditkort áskilji sér rétt til að leita allra upplýsinga um greiðslugetu umsækjanda og fjárhag, sem nauðsynlegar séu að mati Kreditkorts til að afgreiða umsóknina, þar á meðal lánayfirlits um fjárhagsstöðu korthafa í bönkum og sparisjóðum og upplýsinga úr skrám Creditinfo Lánstrausts, allt samkvæmt sérstakri heimild sem umsækjandi geti veitt skriflega eða með samþykki á umsóknarsíðu Kreditkorts. Þá segir í bréfinu:
„Í máli þessu liggur fyrir að kvartandi samþykkti framangreinda vinnslu skriflega á skjali sem ber heitið „Umboð til að óska eftir fjárhagslegum upplýsingum.“. Í skjalinu skrifar kvartandi undir fyrir hönd félagsins, sem prókúruhafi og einnig persónulega. Ofarlega á skjalinu kemur fram að „Undirritaður/við undirrituð/veiti/veitum Kreditkorti, fullt og ótakmarkað umboð til þess að óska eftir stöðu allra innlána og útlána og annarra fjárskuldbindinga sem ég/við/félagið nú stend/stöndum/stendur í við fjármálastofnanir og opinbera aðila, hvort sem um er að ræða banka, sparisjóði, lífeyrissjóði, skattayfirvöld, Íbúðalánasjóð eða aðrar fjármálastofnanir, ásamt öllum öðrum gögnum tengdum þeim fjárskuldbindingum mínum/okkar, þ. á m. hvort þær séu í vanskilum eða komnar í innheimtu hjá þriðja aðila.“
Einnig segir að meðalhófs hafi verið gætt enda hafi fyrirtækjaráðgjafinn eingöngu leitað að upplýsingum í fyrrgreindu afgreiðslukerfi en ekki utan bankans. Í bréfi sínu vísar bankinn enn fremur til leiðbeinandi tilmæla FME nr. 1/2014, grein 3.3, þar sem fram kemur að eigi viðskiptamaður eignarhlut í fyrirtæki annars viðskiptamanns og sá eignarhlutur samsvari verulegum hluta eigin fjár fyrrnefnda aðilans þurfi að meta fjárhagsleg tengsl þeirra. Til þess að uppfylla lagaskilyrði og til stuðnings starfsmönnum við lánveitingar veiti umrætt upplýsingakerfi upplýsingar um tengda aðila. Þá segir í bréfinu:
„Meginreglan varðandi mat á fjárhagslegum tengslum aðila snýst um líkur á að fjárhagserfiðleikar annars aðilans hafi áhrif á greiðslugetu hins aðilans. Sé það líklegt að mati bankans, burtséð frá lagalegri ábyrgð, að fjárhagsvandi annars aðilans hafi áhrif á greiðslugetu hins ber bankanum að líta á skuldbindingar beggja aðila sem sömu áhættu.
Þótt ofangreindar skilgreiningar séu úr reglum og leiðbeinandi tilmælum er varða stórar áhættur og mál það sem hér um ræðir sé alls ekki af þeirri stærðargráðu að viðkomandi útlán mælist sem stór áhætta skv. skilgreiningu 30. gr. laga nr. 161/2002 um fjármálafyrirtæki er það bæði eðlilegt og skynsamlegt fyrir bankann að styðjast við sömu skilgreiningu við allar lánaákvarðanir. Þegar umsókn um lán er metin þarf starfsmaður að meta hvort líkur á vanefndum þess sem sækir um séu meiri en ásættanlegt er fyrir bankann. Sé annar aðili tengdur umsækjandanum í þeim skilningi að líkur séu á að fjárhagserfiðleikar hans hafi áhrif á greiðslugetu umsækjandans er ómögulegt að meta líkur á vanefndum umsækjandans án þess að skoða fjárhagsstöðu hins tengda aðila. Því var bæði rétt og skylt að athuga viðskiptasögu hins tengda aðila við bankann, þ.m.t. afskriftasögu hans, áður en lánsumsókn var afgreidd.“
Í niðurlagi bréfsins segir að í því tilviki sem hér um ræði séu kvartandi og maki hans einir stofnendur fyrirtækisins og hlutafé 500.000 kr. Fyrirtækið hafi enga viðskiptasögu við bankann og ársuppgjör fyrir 2015 hafi ekki verið birt. Samkvæmt lið 6.4 í framangreindum viðskiptaskilmálum, sem kvartandi hafi samþykkt, beri korthafi persónulega ábyrgð á öllum úttektum fyrirtækjakorta ef korthafi er eigandi, forsvarsmaður eða stjórnarmaður fyrirtækis.
3.
Athugasemdir kvartanda
Með bréfi, dags. 15. júlí 2016, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Íslandsbanka til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf kvartanda barst Persónuvernd þann 17. ágúst 2016. Þar ítrekar kvartandi fyrri athugasemdir sínar um að ekki hafi verið talað um samtengingu milli hans persónulega og [X] ehf. nema sem fulltrúa og prókúruhafa félagsins. Þá telur kvartandi að þó honum hafi verið kunnugt um eignarhald Íslandsbanka á Kreditkortum hafi honum ekki verið kunnugt um eða hann upplýstur um að úrvinnsla umsóknarinnar yrði lögð í hendur bankans eins og raunin varð. Hans skilningur hafi verið sá að Kreditkort sé sjálfstætt fyrirtæki, sem lúti eigin stjórn og lögum og reglum. Það sé því umhugsunarvert að þær upplýsingar sem gefnar hafi verið upp í umsókn hans hafi síðan verið sendar þriðja aðila. Þá segir kvartandi að hann hafi ekki verið að leitast eftir viðskiptum við Íslandsbanka, hvorki persónulega né fyrir fyrirtækið.
Þá segir í bréfi kvartanda að allar undirskriftir sem hann hafi veitt vegna umsóknar [X] ehf. hafi verið veittar af honum sem prókúruhafa fyrirtækisins í nafni þess, en ekki af honum persónulega. Þannig telji hann að Kreditkort og Íslandsbanki hafi ekki aflað fullnægjandi samþykkis eins og það sé skilgreint í 7. tölul. 2. gr. laga nr. 77/2000. Þá er kvartandi ósammála þeim skilningi Íslandsbanka að hann hafi veitt samþykki fyrir vinnslunni, þar sem hann hafi talið sig vera í tvíhliða samskiptum við Kreditkort og hafi ekki gefið Kreditkorti leyfi til að framselja skoðun fyrirtækisins á upplýsingum um [X ehf.] til Íslandsbanka. Þá telur kvartandi alvarlega á honum brotið þar sem þriðji aðili, sem hann sé ekki í samskiptum við, kanni hans persónulegu hagi í sambandi við umsókn [X ehf.]. Þá bendir kvartandi á að hann er einn tveggja eigenda fyrirtækisins og segir að hinn eigandinn hafi ekki verið tekinn til athugunar.
Auk þess vísar kvartandi til skilgreiningarinnar á einkahlutafélagi í 1. gr. laga nr. 138/1994 um einkahlutafélög. Sú aðgerð Íslandsbanka að tengja saman fjárhag kvartanda og fyrirtækis hans sé úr tengslum við íslenska löggjöf. Ef bankinn meti það til áhættu að Kreditkort veiti yfirdráttarheimild upp á 300.000 kr., eins og gefið sé í skyn með tilvísun til leiðbeinandi tilmæla FME, þá ætti bankinn að íhuga rekstrargrundvöll sinn. Ef Íslandsbanki telji að áhættan sé sérstaklega mikil vegna mögulegra fjárhagsörðugleika eiganda fyrirtækisins, sem þannig muni misnota veittan yfirdrátt, þá sé lagt bann við slíku í framangreindum lögum nr. 138/1994. Kvartandi sé ábyrgur samfélagsþegn sem framfylgi lögum og standi við skuldbindingar sem hann gangist við persónulega.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar.
Af framangreindu er ljóst að sú aðgerð að afla upplýsinga um kvartanda, þ.m.t. fjárhagsupplýsinga um hann, í tengslum við umsókn hans um kreditkort fellur undir gildissvið laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Í viðskiptaskilmálum Kreditkorta segir að útgefandi kreditkorta sé Kreditkort sem sé sérhæft kortaútibú innan Íslandsbanka hf. með sérstaka kennitölu. Þá kemur glögglega fram á heimasíðu Kreditkorta að fyrirtækið hafi verið starfrækt sem sérstakt svið innan Íslandsbanka frá 2012 auk þess sem í umfjöllun um vernd persónuupplýsinga á heimasíðu Kreditkorta er vísað til Íslandsbanka sem ábyrgðaraðila að vinnslunni. Enn fremur segir í fyrirtækjaskrá ríkisskattstjóra að Kreditkort sé sérhæfð kortaþjónusta Íslandsbanka og sé rekið sem útibú eða deild hlutafélags. Með vísan til þess og eins og hér háttar til telst Íslandsbanki vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Svo að vinnsla persónuupplýsinga sé heimil verður ávallt að vera fullnægt einhverri af kröfunum í 1. mgr. 8. gr. laga nr. 77/2000. Eins og hér háttar til reynir þá einkum á 1. tölul. 1. mgr. 8. gr., þess efnis að vinnsla sé heimil hafi hinn skráði ótvírætt samþykkt vinnsluna eða veitt samþykki skv. 7. tölul. 2. gr. laganna.
Við mat á því hvort framangreind vinnsla styðjist við heimild skv. 8. gr. laga nr. 77/2000 þarf fyrst að huga að því hvort fullnægjandi samþykki hafi verið veitt skv. 1. tölul. 1. mgr. 8. gr. laganna. Þegar um er að ræða samþykki fyrir vinnslu almennra persónuupplýsinga er almennt ekki gert ráð fyrir því að fyrir hendi þurfi að vera samþykki sem uppfylli kröfur 7. tölul. 2. gr. laganna. Samþykki fyrir vinnslu almennra persónuupplýsinga getur því verið veitt í verki eða með einhvers konar athöfn af hálfu hins skráða. Af gögnum málsins má ráða að kvartandi sótti um kreditkort f.h. fyrirtækis síns, [X], og að hann skyldi vera handhafi kortsins. Á umboði því sem kvartandi veitti Kreditkorti til að óska eftir fjárhagslegum upplýsingum, sem og eyðublaði fyrir umsókn hans um kreditkort fyrirtækis, kemur fram að hann veiti Kreditkorti, sérhæfðu kortaútibúi Íslandsbanka, fullt og ótakmarkað umboð til að óska eftir stöðu allra innlána og útlána og annarra fjárskuldbindinga sem hann eða félagið standi í við fjármálastofnanir og opinbera aðila. Undir framangreind eyðublöð skrifar kvartandi á tveimur stöðum, annars vegar ritar kvartandi nafn sitt og kennitölu sem handhafi þess kreditkorts sem óskað er eftir og hins vegar ritar kvartandi nafn og kennitölu fyrirtækis síns þar sem gerð er sú krafa að prókúruhafi skrifi undir fyrir hönd umrædds fyrirtækis. Skrifar kvartandi því á tveimur stöðum undir að hann samþykki að veita ábyrgðaraðila heimild til öflunar fjárhagslegra upplýsinga í tengslum við umsókn hans um kreditkort, annars vegar um hann persónulega og hins vegar um hann sem prókúruhafa fyrirtækisins.
Auk heimildar í 8. gr.verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfunum um gæði gagna og vinnslu í 1. mgr. 7. gr. laga nr. 77/2000. Þar er m.a. mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.) og að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Samkvæmt 2. mgr. 7. gr. ber ábyrgðaraðili ábyrgð á að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. ákvæðisins. Forsenda þess að vinnsla teljist sanngjörn, samkvæmt áðurnefndum 1. tölul. 1. mgr. 7. gr., er að hún sé gagnsæ gagnvart hinum skráða en í því felst meðal annars að hinn skráði viti um vinnsluna og hafi fengið fræðslu um hana, sbr. ákvæði 20. gr. laga nr. 77/2000. Af þeim gögnum sem lögð hafa verið fram í málinu verður ekki annað ráðið en að kvartandi hafi mátt gera sér grein fyrir að umrædd vinnsla færi fram á vegum Íslandsbanka og að aflað yrði persónuupplýsinga um hann sjálfan sem korthafa og prókúruhafa þess fyrirtækis sem hann óskaði eftir kreditkorti fyrir.
Þegar litið er til alls þessa telur Persónuvernd vinnslu Íslandsbanka á þeim upplýsingum um kvartanda, sem um ræðir í máli þessu, hafa átt stoð í áðurgreindu ákvæði 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en auk þess telur Persónuvernd ekki hafa komið fram að farið hafi verið gegn kröfum 1. mgr. 7. gr. sömu laga um m.a. sanngirni við vinnslu persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Vinnsla persónuupplýsinga um kvartanda hjá Íslandsbanka, vegna umsóknar hans um kreditkort f.h. [X] ehf., samrýmdist lögum nr. 77/2000.