Varðveisla fjármálafyrirtækis á upplýsingum um viðskiptavin - mál nr. 2011/1268

25.4.2012

Úrskurður

Á fundi stjórnar Persónuverndar hinn 17. apríl 2012 var kveðinn upp svohljóðandi úrskurður í máli nr. 2011/1268:

I.
Málavextir og bréfaskipti

1.
Tildrög máls
Þann 18. nóvember 2011 barst Persónuvernd kvörtun frá A (hér eftir nefndur kvartandi), vegna varðveislu Íslandsbanka (Ergo fjármögnunarþjónustu) á upplýsingum um lánasamning sinn við bankann frá árinu 1995. Í kvörtun hans segir m.a.:

„Ég var að kaupa bifreið og bílasali hefur samband við Ergo, sem er dótturfyrirtæki Íslandsbanka, vegna bílaláns. Bílasalinn hefur svo samband við mig og telur upp þau gögn sem Ergo krefst vegna greiðslumats. Mér fannst gögnin frekar ítarleg og hafði samband við ráðgjafa Ergo. Þar fæ ég að vita að ástæðan fyrir gögnunum sem þau krefjast sé að einu upplýsingarnar sem til eru í tölvukerfinu hjá þeim sé að ég hafi verið með lánasamning hjá Íslandsbanka sem hafi farið í innheimtu. Ég kannaðist ekkert við þetta mál og ráðgjafinn leitaði í nokkra stund og komst síðan að því (eftir nokkrar rangar fullyrðingar) að um var að ræða tölvulán sem tekið var 1995 og greitt upp 1997.[...]

Ég kvartaði við ráðgjafa Ergo og hún sendi fyrirspurn til lögfræðideildar. Svarið frá þeim er eftirfarandi:

„Ekki verður talið að varðveislan brjóti í bága við 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga enda er varðveisla upplýsinga af þessu tagi nauðsynleg til að fyrirtækið geti gætt lögmætra hagsmuna sinna. Þannig telur Ergo sér vera heimilt að varðveita upplýsingar um viðskiptasögu sbr. 7. tölul. 1. mgr. 8. gr. laga um persónuvernd.“
Mér finnst satt að segja lélegt að fá þetta framan í mig núna, 15 árum síðar. Mér finnst óeðlilegt að geyma upplýsingar svona lengi. Ráðgjafinn margendurtók það við mig að þetta hefði engin áhrif á viðkomandi umsókn, þetta væri bara í tölvunni.[...]“

2.
Skýringar Íslandsbanka
Með bréfi, dags. 23. nóvember 2011, var Íslandsbanka, Ergo fjármögnunarþjónustu, boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi, dags. 6. desember 2011, segir m.a.:

„Í viðskiptum á milli aðila verður til reynsla, sem báðir aðilar horfa til við ákvörðun framtíðarviðskipta. Í lögum nr. 161/2002 er gert ráð fyrir að upplýsingar um viðskipti séu skráðar sbr. 17. gr., 19. gr., 20. gr. Ekki verður talið að varðveislan brjóti í bága við 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga enda er varðveisla upplýsinga af þessu tagi nauðsynleg til að fyrirtækið geti gætt lögmætra hagsmuna sinna. Þannig telur Ergo sér vera heimilt að varðveita upplýsingar um viðskiptasögu sbr. 7. tölul. 1. mgr. 8. gr. laga um persónuvernd.
Réttarþróun síðustu ára beinist æ meira í þá átt að auka áhættu aðila sem falla undir ákvæði laga [nr.] 161/2002 um fjármálafyrirtæki. Dómstólar hafa lagt auknar skyldur á fjármálafyrirtæki um gaumgæfni við lánaákvarðanir, sem beinist að mati á greiðsluhæfi viðskiptavinarins og skjalafrágang. Til þess að fjármálafyrirtæki geti á vandaðan hátt lagt mat á beiðni viðskiptavinarins og mat á getu hans til að efna skuldbindingar sínar er þeim nauðsynlegt að hafa aðgengi að upplýsingum sem skipta máli þar á meðal fyrri viðskiptasaga.“

Með bréfi, dags. 12. desember 2011, var kvartanda gefinn kostur á að koma á framfæri athugasemdum við framkomnar skýringar Íslandsbanka, Ergo fjármögnunarþjónustu. Svarfrestur var veittur til 28. desember 2011. Með bréfi, dags. 24. janúar 2012, ítrekaði Persónuvernd ósk sína um svör og nýr frestur veittur til 9. febrúar 2012. Í bréfinu áréttaði Persónuvernd við kvartanda að ef engin svör myndu berast stofnuninni, mætti vænta þess að úrskurðað yrði í máli hans á grundvelli fyrirliggjandi gagna. Engin svör bárust Persónuvernd frá kvartanda.

II.
Forsendur og niðurstaða

1.
Gildissvið laga nr. 77/2000
Efnislegt gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þar með valdsvið Persónuverndar, nær til vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr.

Varðveisla Ergo fjármögnunarþjónustu Íslandsbanka á upplýsingum um viðskiptasögu kvartanda, n.t.t. um lánasamning hans við Íslandsbanka, er því vinnsla persónuupplýsinga í skilningi laganna og fellur því undir úrskurðarvald Persónuverndar.

2.
Forsendur og niðurstaða
Í máli þessu er ekki deilt um hvort skráning umræddra upplýsinga hafi verið lögmæt í upphafi heldur aðeins hvort varðveisla á þeim sé lögmæt. Sú varðveisla þarf, eins og öll vinnsla almennra persónuupplýsinga, að fullnægja einhverju skilyrðanna í 8. gr. laga nr. 77/2000.

Að auki verður, eins og ávallt þegar unnið er með persónuupplýsingar, að fara að öllum grunnkröfum 7. gr. laga nr. 77/2000,  þ. á m. að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að persónuupplýsingar skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta (4. tölul.).

Samkvæmt 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er heimil vinnsla sem er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila og í 7. tölul. sömu greinar segir að heimil sé sú vinnsla sem er nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Í svarbréfi Íslandsbanka, Ergo fjármögnunarþjónustu, kemur fram að hann telur sér vera heimilt að varðveita upplýsingar um viðskiptasögu enda sé hún nauðsynleg til að hann geti gætt lögmætra hagsmuna sinna. Þá vísar bankinn til aukinna skyldna sem hvíli á fjármálafyrirtækjum samkvæmt lögum nr. 161/2002 um fjármálafyrirtæki. Í 17. gr. þeirra er ákvæði um eftirlitskerfi með áhættu, í 17. gr. a er ákvæði um uppfærða skuldbindingaskrá um alla þá sem njóta lánafyrirgreiðslu og í 17. gr. b. er ákvæði um skyldu lántaka til að veita upplýsingar.

Með vísun til framangreinds telur Persónuvernd að varðveisla umræddra upplýsinga samrýmist 1. mgr. 8. gr. laga nr. 77/2000 og sé því ekki óheimil.


Ú r s k u r ð a r o r ð:

Íslandsbanka, Ergo fjármögnunarþjónustu, var heimilt að varðveita upplýsingar um lán sem hann veitti A árið 1995.