Úrlausnir

Afgreiðsla Landsbankans á aðgangsbeiðni í samræmi við lög

Mál nr. 2021040978

19.10.2022

Persónuvernd úrskurðaði í máli þar sem kvartað var yfir afgreiðslu Landsbankans hf. á beiðni um aðgang að persónuupplýsingum kvartanda. Nánar tiltekið laut aðgangsbeiðnin að tölvupóstsamskiptum starfsmanna bankans, sem fóru fram í gegnum netföng þeirra hjá bankanum en vörðuðu ekki starfsemi bankans.

Niðurstaða Persónuverndar var sú að synjun Landsbankans hf. á aðgangsbeiðni samrýmdist lögum um persónuvernd og vinnslu persónuupplýsinga.

Úrskurður


Hinn 19. október 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2021040978:

I.
Málsmeðferð
1.
Tildrög máls

Hinn 27. apríl 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir afgreiðslu Landsbankans hf. á beiðni hans um aðgang að persónuupplýsingum sínum sem bankinn kynni að búa yfir. Nánar tiltekið laut aðgangsbeiðnin að tölvupóstsamskiptum starfsmanna bankans, sem fóru fram í gegnum netföng þeirra hjá bankanum en vörðuðu ekki starfsemi bankans.

Með bréfi, dags. 6. september 2021, var Landsbankanum boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 22. september 2021. Með bréfi, dags. 15. nóvember 2021, var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Landsbankans. Bárust athugasemdir kvartanda með bréfi, dags. 6. desember 2021.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.
Sjónarmið kvartanda

Af hálfu kvartanda hefur komið fram að rök Landsbankans fyrir synjun á aðgangsbeiðni hans standist ekki skoðun enda sé bankinn vinnsluaðili þeirra upplýsinga sem um ræðir. Kvartandi eigi rétt á aðgangi að öllum þeim upplýsingum sínum sem unnar hafi verið af þeim starfsmönnum bankans sem beiðnin snúi að. Það standist ekki skoðun að kvartanda sé bent á að hafa samband við ótengd félagasamtök til þess að fá aðgang að gögnum sem varðveitt séu í pósthólfi á vegum Landsbankans. Gagnabeiðninni sé beint að Landbankanum vegna þess að fyrir liggi að netfang bankans hafi verið notað við vinnslu og dreifingu upplýsinga um kvartanda og því sé beiðninni réttilega beint að bankanum.

3.
Sjónarmið Landsbankans

Í svörum Landsbankans kemur fram að bankinn hafi tekið beiðni kvartanda um aðgang að eigin persónuupplýsingum til meðferðar í samræmi við ákvæði persónuverndarlaga. Kvartanda hafi verið afhent afrit af öllum þeim persónuupplýsingum sem unnar séu um hann í starfsemi bankans sem ábyrgðaraðila að vinnslu persónuupplýsinganna. Þeir starfsmenn Landsbankans sem kvartandi nefnir í kvörtun sinni hafi ekki komið að málum kvartanda í störfum sínum fyrir Landsbankann. Sá hluti aðgangsbeiðni kvartanda, sem bankinn hafi vísað frá, varði annan sjálfstæðan ábyrgðaraðila, þ.e. Samtök starfsmanna fjármálafyrirtækja (hér eftir SSF). Landsbankinn sé ekki vinnsluaðili fyrir SSF. Kvartandi sé fyrrverandi starfsmaður SSF og að mati bankans sé beiðni hans um aðgang að tilteknum tölvupóstum nafngreindra starfsmanna bankans, sem tengist trúnaðarstörfum þeirra fyrir SSF, ekki sett fram í góðri trú. Beiðnin sé ekki lögð fram til að neyta upplýsinga- og aðgangsréttar að persónuupplýsingum sem Landsbankinn vinni um kvartanda sem ábyrgðaraðili í starfsemi sinni. Svo virðist sem kvartandi sé að reyna að nálgast persónuupplýsingar úr starfsemi þriðja aðila í gegnum réttindagátt Landsbankans. Aðgangsréttur persónuverndarlaga eigi við um ábyrgðaraðila vinnslu og tilgangur hans sé ekki að gera einstaklingum kleift að óska eftir aðgangi að persónuupplýsingum úr starfsemi ótengdra aðila eins og kvartandi hafi farið fram á.

II.
Forsendur og niðurstaða
1.
Lagaumhverfi og niðurstaða

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Mál þetta lýtur að afgreiðslu Landsbankans á beiðni kvartanda um aðgang að persónuupplýsingum sínum hjá bankanum. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. 

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Í aðgangsréttarbeiðni kvartanda til Landsbankans eru taldir upp tveir starfsmenn bankans, sem jafnframt eru annars vegar [stjórnarmaður B] SSF og hins vegar [stjórnarmaður C] SSF, og óskað eftir afriti af tölvupóstsamskiptum þeirra við þriðja aðila sem varðað hafi kvartanda. Ljóst er af gögnum málsins að framangreind tölvupóstsamskipti vörðuðu störf umræddra einstaklinga fyrir SSF en í þeim eru m.a. rædd málefni kvartanda, sem er fyrrverandi starfsmaður SSF. Eins og hér háttar til er það mat Persónuverndar að sambærileg sjónarmið eigi við um tölvupóstsamskiptin sem hér um ræðir og gilda um meðferð einkatölvupósts starfsmanna sem ekki tengist starfsemi vinnuveitanda, sbr. m.a. til hliðsjónar ákvæði 9. gr. reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, en samkvæmt þeim er meðal annars óheimilt að skoða einkapóst starfsmanna nema brýna nauðsyn beri til, svo sem vegna tölvuveiru eða sambærilegs tæknilegs atviks. Samkvæmt framansögðu eru tölvupóstsamskiptin því Landsbankanum hf. óviðkomandi, enda varða þau ekki starfsemi bankans. Þá er ljóst að Landsbankinn hf. getur ekki lagt mat á rétt kvartanda til aðgangs að umræddum gögnum og hvort eitthvað beri að undanskilja, enda heyrir það mat undir SSF sem ábyrgðaraðila gagnanna.

Með vísan til framangreinds telur Persónuvernd að Landsbankanum hf. hafi verið heimilt að synja beiðni um aðgang að umræddum tölvupóstsamskiptum.

Ú r s k u r ð a r o r ð:

Synjun Landsbankans á aðgangsbeiðni kvartanda samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Persónuvernd, 19. október 2022,

Helga Sigríður Þórhallsdóttir                     Bjarni Freyr Rúnarsson



Var efnið hjálplegt? Nei