Sýnishorn af leyfum veittum bönkum vegna færslu upplýsinga í Lokanaskrá

Starfsleyfi fyrir X banka hf.

til færslu persónuupplýsinga í Lokanaskrá í því skyni að miðla þeim til annarra og til að miðla úr skránni.

Leyfi skv. 4. tl. 1. mgr. 4. gr. reglna Persónuverndar nr. 712/2008 og 2. gr. reglugerðar nr. 246/2001, sbr. 2. mgr. 45. gr. og 33. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga

X banka hf, kt. xxxxxx-xxxx, (hér eftir starfsleyfishafi), er heimilt að safna upplýsingum úr eigin viðskiptamannaskrám og færa þær í svokallaða Lokanaskrá eftir því sem nánar greinir í leyfi þessu.

Starfsleyfið heimilar ekki vinnslu upplýsinga sem eðli sínu samkvæmt geta ekki haft þýðingu við mat á fjárhag og lánstrausti hins skráða. Aldrei er heimilt að vinna með viðkvæmar persónuupplýsingar við slíkt mat, sbr. 8. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum. Upplýsingar um skuldastöðu manna má ekki veita með þeim hætti að þær geti verið grundvöllur mats á fjárhagslegri stöðu annars en þess er þær varða.

2. gr.

Starfsleyfishafa er heimilt að færa í Lokanaskrá upplýsingar um tilvik þegar reikningi hefur verið lokað fyrir áframhaldandi viðskiptum, s.s. vegna vanefnda reikningseiganda, og greiðslukort eftir atvikum verið ógilt vegna misnotkunar.

Heimilt er að skrá eftirfarandi upplýsingar í Lokanaskrá:

1. Kennitala, nafn og heimili reikningseiganda

3. Númer banka, höfuðbókar og reiknings

4. Lokunardagur, þ.e. sá dagur þegar reikningi er lokað

5. Lausnardagur, þ.e. sá dagur þegar reikningur er opnaður að nýju.

6. Niðurfellingardagur, þ.e. sá dagur þegar kennitala er felld úr lokanaskrá

7. Tilvísunarkennitala, þ.e. tengsl á milli prókúruhafa og lögaðila

Framangreindum upplýsingum má starfsleyfishafi miðla með beinlínutengingu, og þá þannig að einungis verði mögulegt að fletta einum reikningseiganda upp í einu.

Einungis má miðla upplýsingum til aðila sem hafa sambærileg starfsleyfi og X banki hf. Þó er starfsleyfishafa einnig heimilt að miðla til greiðslukortafyrirtækis upplýsingum um korthafa sem starfsleyfishafi hefur gefið út kort til. Sömuleiðis getur það greiðslufyrirtæki sem veitir starfsleyfishafa þjónustu við útgáfu korta haft með höndum færslu upplýsinga skv. ákvæði þessu í Lokanaskrá.

Persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta.

Eyða skal upplýsingum lokun þegar liðin eru 2 ár frá lokunardegi. Þetta tímamark lengist um 1 ár við hvert nýtt brot.

4. gr.

Réttur hins skráða

Um upplýsingarétt hins skráða, um rétt hans til að fá viðvaranir og um rétt hans til að fá rökstuðning fyrir ákvörðunum sem byggja á rafrænni vinnslu, fer samkvæmt III. kafla laga nr. 77/2000.

Sá sem skráður er á Lokanaskrá á hvenær sem er rétt á að fá vitneskju um hvaða upplýsingar um hann er eða hefur verið unnið með, tilgang vinnslunnar, hver fái, hafi fengið eða muni fá upplýsingar um hann og hvaðan upplýsingarnar hafi komið. Þá á hinn skráði rétt á vitneskju um hvaða öryggisráðstafanir eru viðhafðar við vinnsluna, að því marki sem það skerðir ekki öryggi vinnslunnar.

Starfsleyfishafa er skylt að afhenda hinum skráða endurrit eða ljósrit af þeim upplýsingum sem hann hefur undir höndum um viðkomandi. Ekki má krefjast hærra endurgjalds af þessari þjónustu en sem nemur þeim upphæðum sem innheimta má á hverjum tíma samkvæmt gjaldskrá forsætisráðuneytis fyrir ljósrit og afrit sem veitt eru á grundvelli upplýsingalaga, sbr. nú 2. gr. gjaldskrár nr. 306/2009.

Starfsleyfishafi skal verða við beiðni hins skráða um upplýsingar svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku beiðninnar. Ef sérstakar ástæður valda því að ómögulegt er fyrir starfsleyfishafa að afgreiða erindið innan eins mánaðar skal starfsleyfishafi innan mánaðarfrestsins gefa hlutaðeigandi skriflegar skýringar á ástæðum tafarinnar og hvenær svars sé að vænta.

Hafi starfsleyfishafi í vörslum sínum frekari upplýsingar um hinn skráða en þær sem beiðni lýtur að skal starfsleyfishafi gera honum grein fyrir því. Jafnframt skal starfsleyfishafi gera hinum skráða grein fyrir rétti sínum til þess að fá að kynna sér upplýsingar af eigin raun.

5. gr.

Skyldur starfsleyfishafa

5.1. Viðvörunarskylda

Þegar starfsleyfishafi skráir upplýsingar í samræmi við ákvæði 2. gr. leyfis þessa skal hann gera hinum skráða viðvart og skýra honum m.a. frá þeim atriðum sem talin eru upp í 3. mgr. 21. gr. laga nr. 77/2000, að því marki sem þörf er á fyrir hinn skráða þannig að hann geti gætt hagsmuna sinna. Skal hann senda slíka viðvörun eigi síðar en 10 dögum áður en hann miðlar upplýsingunum í fyrsta sinn, sbr. 2. mgr. 21. gr. sömu laga. Ekki er nauðsynlegt að senda viðvörun ef um alvarlega misnotkun á reikningi er að ræða og nauðsynlegt er að koma í veg fyrir misnotkun á reikningum í öðrum bönkum eða sparisjóðum.

Starfsleyfishafa er þó ekki skylt að senda slíka viðvörun ef ætla má að hinum skráða sé þegar kunnugt um vinnsluna, s.s. vegna þess að hann hafi áður fengið tilkynningu um að nafn hans hafi verið fært á Lokanaskrá. Þetta á þó ekki við hafi lengri tími en eitt ár liðið frá síðustu skráningu.

5.2. Vandaðir vinnsluhættir

Starfsleyfishafi skal, við alla vinnslu persónuupplýsinga, sem leyfi þetta tekur til, gæta þess að haga vinnslunni með sanngjörnum, málefnalegum og lögmætum hætti og fara með upplýsingarnar í samræmi við vandaða vinnsluhætti persónuupplýsinga. Í því felst m.a. að gæta verður þess að upplýsingarnar séu áreiðanlegar og uppfærðar eftir þörfum. Persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta. Hafi röngum eða villandi upplýsingum verið miðlað eða þær notaðar ber starfsleyfishafa, eftir því sem honum frekast er unnt, að hindra að það hafi áhrif á hagsmuni hins skráða.

5.3. Skuldbindingar þeirra sem hafa aðgang að Lokanaskrá

Þeir sem hafa aðgang að upplýsingum í Lokanaskrá skuldbinda sig til að afrita ekki skrána eða upplýsingar úr henni, samtengja þær við aðrar skrár eða vinna með þær á nokkurn annan hátt, þótt viðkomandi kunni að fá tækifæri til slíks, t.d. fyrir mistök. Loks skuldbinda umræddir aðilar sig, synji þeir um lánveitingu/stofnunar reiknings á grundvelli upplýsinga í Lokanaskrá, að greina viðkomandi frá þeirri ástæðu og jafnframt greina frá heimild viðkomandi til að fá að vita hvaða upplýsingar um hann starfsleyfishafi vinni með.

5.4. Öryggi vinnslu

Starfsleyfishafi skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.

5.5. Vinnsluaðili

Starfsleyfishafa er heimilt, í samræmi við 13. gr. laga nr. 77/2000, að semja við Reiknistofu bankanna um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á enda hafi hann áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit.

Hverjum þeim er starfar í umboði starfsleyfishafa eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.

5.6. Starfsmenn

Hver sá sem starfar hjá starfsleyfishafa er þagnarskyldur um þau atriði sem hann kemst að í starfi sínu og leynt eiga að fara, sbr. 58. gr. laga nr. 161/2002. Sama gildir um þá starfsmenn Reiknistofu bankanna sem koma að þeirri vinnslu sem starfsleyfi þetta tekur til.

5.7. Upplýsingagjöf til Persónuverndar

Persónuvernd getur hvenær sem er óskað upplýsinga frá starfleyfishafa/vinnsluaðila um hve margir hafi aðgang að upplýsingum í Lokanaskrá, hverjir það séu og hve margir einstaklingar og fyrirtæki séu skráðir í Lokanaskrá á hverjum tíma.

5.8. Annað

Auk ákvæða starfsleyfis þessa skal starfsleyfishafi ávallt fara að lögum um persónuvernd og meðferð persónuupplýsinga eins og þau lög eru á hverjum tíma, sbr. nú lög nr. 77/2000 með áorðnum breytingum, auk annarra laga og réttarreglna sem í gildi eru hverju sinni, sbr. m.a. reglugerð nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust og reglur nr. 299/2001 um öryggi persónuupplýsinga.

6. gr.

Gildistaka

Starfsleyfi þetta gildir til 1. janúar 2011.