Miðlun lista frá umboðsmanni skuldara - mál nr. 2011/674

14.9.2012

Hinn 11. september 2012 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2011/674:

 

I.

Upphaf máls

Málavextir og bréfaskipti

 

1.

Forsaga málsins er sú að hinn 31. maí 2011 barst Persónuvernd bréf frá Festu lífeyrissjóði þar sem hann vakti athygli á miðlun persónuupplýsinga til sín frá stofnun umboðsmanns skuldara. Með fylgdi afrit af tölvubréfi sem sú stofnun hafði sent sjóðnum hinn 17. maí 2011, en í viðhengi með því var listi með nöfnum, heimilisföngum og kennitölum 1.717 einstaklinga og 798 para. Með þessu tölvubréfi hafði stofnunin spurt Festu hverjir þessara einstaklinga hefðu sótt til sjóðsins um niðurfærslu veðskulda að 110% af verðmæti fasteignar og eftir atvikum hver staðan væri þá á þeirra málum.

 

Fyrir liggur að listinn var ekki aðeins sendur Festu heldur einnig til starfsmanna Landspítalans, Gildis – lífeyrissjóðs, Landssambands lífeyrissjóða og Lífeyrissjóðs starfsmanna sveitarfélaga. Í samtali Persónuverndar við starfsmann stofnunarinnar hinn 27. ágúst 2012 var spurt hvers vegna Landspítalinn hefði verið á meðal viðtakenda tölvubréfsins. Því var svarað að þetta hafi verið mistök. 

 

2.

Með bréfi, dags. 28. júlí 2011, óskaði Persónuvernd skýringa stofnunarinnar. Í svarbréfi, dags. 16. ágúst 2011, kom fram að hún byggi ekki yfir tækni til að dulkóða tölvupóst og að sú tækni væri ekki heldur fyrir hendi hjá þeim sem hún væri í samskiptum við. Sagði að tilgangur sendingarinnar hafi verið sá að flýta fyrir niðurfærslu veðskulda að 110% af verðmæti eigna. Allir á listanum hefðu sótt um greiðsluaðlögun.

 

Með bréfi, dags. 5. september 2011, óskaði Persónuvernd nánari skýringa, m.a. svo meta mætti hvort unnið hefði verið í samræmi við meginreglur 7. gr. laga nr. 77/2000. Svar barst með bréfi, dags. 17. nóvember 2011. Þar segir m.a.:

 

 „.... Þessir einstaklingar voru tilgreindir með nafni, kennitölu og heimilisfangi. Ekki fylgdu með frekari upplýsingar, s.s. um hvort þeir væru skjólstæðingar umboðsmanns skuldara, hefðu leitað til embættisins í ráðgjöf eða sótt um greiðsluaðlögun. Allir þeir sem á listanum voru höfðu sótt um greiðsluaðlögun. Jafnvel þó það hefði komið fram í umræddum tölvupósti þá væri í raun ekki um að ræða miðlun upplýsinga sem ekki væru nú þegar orðnar opinberar, enda birtast nöfn umsækjenda um greiðsluaðlögun í Lögbirtingablaðinu og fylgjast fjármálastofnanir grannt með því. Þá lá fyrir skriflegt samþykki umsækjenda um gagnaöflun umboðsmanns skuldara [...] Af framangreindu þykir rakið að umræddar upplýsingar eru ekki aðeins mikilvægar heldur nauðsynlegar við úrlausn viðkomandi mála Tilgangur erindis embættisins til lífeyrissjóðanna var að flýta fyrir úrvinnslu skuldamála. Vöntun áðurnefndra upplýsinga tafði vinnslu samninga um greiðsluaðlögun. Var það vandkvæðum bundið að senda fyrirspurnir til hvers lífeyrissjóðs fyrir sig sem einungis innihéldi lista yfir sjóðfélaga viðkomandi sjóðs án þess að valda frekari töf á frágangi mála hjá embættinu. Í 1. mgr. 32. gr. laga um skyldutrygginga lífeyrisréttinda og starfsemi lífeyrissjóða nr. 129/1997 er svo kveðið á um þagnarskyldu stjórnarmanna, framkvæmdastjóra sem og annarra starfsmanna lífeyrissjóða. Þá hafa sjóðirnir einnig sett siða- og samskiptareglur þar sem ofangreint ákvæði um þagnarskyldu er ítrekað, en reglurnar eru til þess fallnar að skapa persónuvernd fyrir viðskiptamenn, sem og þá einstaklinga sem tilgreindir voru í umræddu erindi embættisins til lífeyrissjóðanna. Með hliðsjón af framangreindu er það mat embættis umboðsmanns skuldara að ekki hafi verið brotið í bága við 7. gr. laga nr. 77/2000 með umræddu erindi til Festu lífeyrissjóðs [...]“

 

Með bréfi, dags. 6. janúar 2012, óskaði Persónuvernd enn frekari skýringa, m.a. um veitta fræðslu í samræmi við ákvæði laga nr. 77/2000. Persónuvernd barst svar með bréfi, dags. 18. janúar 2012. Þar segir:

 

„Umsóknir einstaklinga sem tilgreindir voru á umræddum lista voru mislangt komnar í umsóknarferli um greiðsluaðlögun. Á þeim tíma er listinn var sendur til Festu lífeyrissjóðs, þann 17. maí sl., gilti 2. gr. bráðabirgðaákvæðis laga um greiðsluaðlögun einstaklinga nr. 101/2010. Í 1. mgr. ákvæðisins kemur fram að frestun greiðslna skv. 11. gr. laganna hefjist þegar umboðsmaður hefur móttekið umsókn um greiðsluaðlögun. Frestun taki einnig til umsókna sem embættið hafi móttekið fyrir gildistöku laganna. Um leið og umsókn um greiðsluaðlögun var skilað til embættisins fóru einstaklingar því strax í svokallað greiðsluskjól nema umsókn hefði verið hafnað á síðustu þremur mánuðum, sbr. 2. mgr. ákvæðisins. Í 3. mgr. ákvæðisins kemur fram að eftir móttöku umsóknar skuli embættið óska eftir því að athugasemd um að umsókn um greiðsluaðlögun hafi borist verði skráð í þinglýsingabækur, eftir því sem við á. Sambærilegrar skráningar skuli óskað vegna umsókna sem hafi borist fyrir gildistöku laganna. Þá skal embættið einnig birta skráningu um tímabundna frestun greiðslna í Lögbirtingablaði, sbr. framangreint ákvæði.

 

Í samræmi við bráðabirgðaákvæði 2. gr. hafði embættið móttekið allar umsóknir þeirra aðila sem fram komu á umræddum lista og óskað eftir skráningu um það í þinglýsingabækur og Lögbirtingablaðið. Í einhverjum tilvikum var búið að veita samþykki fyrir greiðsluaðlögun, skipa umsjónarmann og birta innköllun til kröfuhafa í Lögbirtingablaði, í samræmi við ákvæði 10. gr. ofangreindra laga. Þá var þó ekki síður brýnt að fá umræddar upplýsingar því oft kom upp sú staða að einstaklingar höfðu sótt um svokalla 110% leið án þess að láta umsjónarmann sinn vita. Fjármálastofnanir tilkynna ekki umsjónarmönnum skuldara um slíkt samþykki heldur einungis skuldaranum sjálfum. Slíkar upplýsingar eru þó mikilvægar fyrir umsjónarmann til að sinna starfi sínu við frumvarpsgerð um hvernig tekjum skuldara skuli ráðstafað enda hefur heildarfjárhæð eftirstandandi skulda mikil áhrif á efni greiðsluaðlögunarsamnings. Mikilvægt var því að embættið gæti fengið umræddar upplýsingar þrátt fyrir að umsjónarmenn hafi verið skipaðir í einhverjum málum, enda þá mögulegt að tilkynna umsjónarmönnum viðkomandi mála um þá breytingu á stöðu skuldara.

 

Til þess að tryggja að embættið fylgi 3. gr. laga um umboðsmann skuldara nr. 100/2010 og 21. gr. laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000 skrifa umsækjendur um greiðsluaðlögun undir svokallað samþykki fyrir gagnaöflun þegar þeir skila inn umsókn sinni. Umsækjendum er kynnt vinnsla embættisins og gefst tækifæri á að spyrja nánar hvað felist í slíku samþykki og/eða gera athugasemdir eða fyrirvara á samþykkið. [...]“

 

II.

Niðurstaða

1.

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

 

2.

Embætti umboðsmanns skuldara hefur gefið skýringar á því hvers vegna það taldi sér vera heimilt að miðla umræddum persónuupplýsingum til lífeyrissjóða með þeim hætti sem gert var. Embættið hefur í fyrsta lagi vísað til þess að einstaklingarnir hafi aðeins verið tilgreindir með nafni, kennitölu og heimilisfangi en engar frekari upplýsingar hafi komið fram, s.s. um hvort þeir væru skjólstæðingar stofnunarinnar. Í öðru lagi hefur verið vísað til þess að fyrir hafi legið skriflegt samþykki umsækjenda um greiðsluaðlögun og í þriðja lagi til þess að viðtakendur upplýsinganna hafi verið þagnarskyldir. Í fjórða lagi hefur verið vísað til þess að um hafi verið að ræða miðlun upplýsinga sem þegar voru orðnar opinberar, enda birtist nöfn umsækjenda um greiðsluaðlögun í Lögbirtingablaðinu.

 

Af tilefni framangreindra skýringa er bent á að við mat á heimildum stjórnvalda til að miðla persónuupplýsingum til óviðkomandi skiptir máli hvort um sé að ræða upplýsingar sem almenningi er heimill aðgangur að grundvelli upplýsingalaga nr. 50/1996. Samkvæmt 5. gr. þeirra er óheimilt að veita almenningi aðgang að gögnum um einka- eða fjárhagsmálefni einstaklinga sem sanngjarnt er og eðlilegt að leynt fari, nema sá samþykki sem í hlut á. Hér er ekki aðeins átt við gögn þar sem slíkar upplýsingar koma beinlínis fram heldur einnig þær, sem í tengslum við aðrar upplýsingar, afhjúpa atriði sem falla undir 5. gr. Þegar litið er til samhengis þeirra lista sem umboðsmaður skuldara sendi út, og efnis tölvubréfanna, er ljóst að hér var um  slíkar upplýsingar að ræða.

 

Embætti umboðsmanns hefur í öðru lagi vísað til þess að umsækjendur um greiðsluaðlögun hafi skrifað undir „svokallað samþykki“ fyrir gagnaöflun. Það er mat Persónuverndar að hér sé efnislega ekki um að ræða skýr samþykki fyrir slíkri miðlun sem mál þetta varðar heldur fræðslu, í skilningi 21. gr. laga nr. 77/2000, um að aflað verði upplýsinga um viðkomandi, þ.e. upplýsinga sem umboðsmaður telji skipta máli varðandi tekjur, gjöld, skuldir og eignir.

 

Í þriðja lagi hefur verið vísað til þess að þeir sem fengu upplýsingarnar hafi verið þagnarskyldir. Hins vegar verður almennt verður ekki talið að slík þagnarskylda viðtakanda leiði til þess að  miðlun, sem ella væri óheimil, teljist vera heimil.

 

Loks hefur verið vísað til þess að umræddar upplýsingar hafi þegar verið birtar opinberlega. Þegar upplýsingar hafa verið gerðar opinberar á löglegan hátt, hætta þær að vera háðar þagnarskyldu frá og með slíkri birtingu. Ef hins vegar er um að ræða persónuupplýsingar, sem falla undir lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, þarf engu að síður áfram að uppfylla eitthvert af ákvæðum þeirra til að miðla megi þeim til þriðju aðila, en ákvæði 8. og 9. gr. laga nr. 77/2000 fela í reynd í sér lagaáskilnaðarreglu á þessu sviði. Hafi stjórnvald skort lagaheimild til miðlunar persónuupplýsinga hefur hún verið þar af leiðandi verið því óheimil.

 

3.

Kemur þá til skoðunar hvort umboðsmanni skuldara hafi, hinn 17. maí 2011, verið heimilt að miðla persónuupplýsingum um nöfn, heimilisföng og kennitölur 1.717 einstaklinga og 798 para, sem höfðu sótt um greiðsluaðlögun, til Festu lífeyrissjóðs, Landspítalans, Gildis – lífeyrissjóðs, Landssambands lífeyrissjóða og Lífeyrissjóðs starfsmanna sveitarfélaga.

 

Öll vinnsla persónuupplýsinga þarf að uppfylla eitthvert af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Í 6. tölul. hennar er ákvæði um vinnslu persónuupplýsinga sem er nauðsynleg til að rækja verkefni, sem heyrir undir stjórnsýsluvald, sem ábyrgðaraðili eða þriðji maður, sem upplýsingum er miðlað til, fer með. Segir að heimil sé vinnsla sem „sé nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með“. Undir þennan tölulið fellur m.a. sú vinnsla persónuupplýsinga sem er nauðsynleg fyrir töku stjórnvaldsákvarðana og einnig sú sem er liður í lögmætri stjórnsýslu.

 

Embætti umboðsmanns skuldara tekur m.a. ákvarðanir um hvort veita skuli mönnum heimildir til að leita greiðsluaðlögunar. Slíkar ákvarðanir eru stjórnvaldsákvarðanir og því getur vinnsla vegna þeirra fallið hér undir. Eftir að slík ákvörðun hefur verið tekin skipar umboðsmaður svonefndan umsjónarmann með greiðsluaðlögun. Samkvæmt 16. gr. laga nr. 101/2010, um greiðsluaðlögun einstaklinga, hefur umsjónarmaður það hlutverk að gera, í samráði við skuldara, drög að samningi milli skuldarans og kröfuhafa - þ.e. drög að samningi um greiðsluaðlögun. Samkvæmt 9. gr. laganna geta umsjónarmenn ýmist verið starfsmenn stofnunar umboðsmanns skuldara eða lögmenn sem hann ræður til verksins. Í báðum tilvikum fer um starfið að lögum nr. 101/2010. Að því marki sem þeir starfa á vegum og á ábyrgð umboðsmanns skuldara getur sú vinnsla sem tengist störfum þeirra þá einnig stuðst við 6. tölul. 1. mgr. 8. gr. laga nr. 77/2000.

 

4.

Öll vinnsla persónuupplýsinga verður einnig að samrýmast grunnkröfum 7. gr. laganna, þ. á m. kröfu 3. tölul. um að ekki sé gengið lengra í vinnslu en nauðsynlegt er miðað við tilgang hennar. Vinnslan þarf m.ö.o. að vera í réttu hlutfalli við tilganginn. Embætti umboðsmanns skuldara hefur lýst því yfir að það hafi þurft að fá upplýsingar um hvort menn hafi sótt um svokalla 110% leið, en margir hafi gert það án þess að láta embættið, eða eftir atvikum umsjónarmann í þess þjónustu, vita af því. Heildarfjárhæð eftirstandandi skulda hafi mikil áhrif á efni samninga um greiðsluaðlögun og sé því mikilvæg.

 

Persónuvernd dregur framangreint ekki í efa. Hins vegar þarf öll vinnsla stjórnvalda á persónuupplýsingum einnig að vera með lögmætum hætti. Það á m.a. við um miðlun þeirra. Lög nr. 101/2010, um greiðsluaðlögun einstaklinga, hafa að geyma rúmar heimildir til gagnaöflunar um þá sem æskja greiðsluaðlögunar. Í 5. gr. þeirra er ákvæði um gagnaöflun áður en slík ákvörðun er tekin. Það hljóðar svo

 

„Umboðsmaður skuldara skal ganga úr skugga um að í umsókn skuldara komi fram allar nauðsynlegar upplýsingar og getur hann ef þörf krefur krafist þess að skuldari staðfesti upplýsingarnar með skriflegum gögnum.

 

Umboðsmaður skuldara skal auk þess afla frekari upplýsinga sem hann telur geta skipt máli varðandi skuldir, eignir, tekjur og framferði skuldara, áður en hann tekur ákvörðun um hvort veita skuli heimild til að leita greiðsluaðlögunar. Komi til þess skal veita skuldara fræðslu í samræmi við ákvæði 21. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, um fræðsluskyldu ábyrgðaraðila þegar upplýsinga er aflað frá öðrum en hinum skráða. Ef þörf krefur er umboðsmanni skuldara heimilt að kalla skuldara eða aðra sem málið varðar á sinn fund til að afla upplýsinganna.“

 

Í 10. gr. laga nr. 101/2010 er afmarkað með hvaða hætti standa skuli að gagnaöflun síðar, þ.e. eftir upphaf greiðsluaðlögunarumleitana. Þar segir að gagna skuli afla með eftirfarandi hætti:

 

„Umsjónarmaður skal tafarlaust eftir skipun sína gefa út og fá birta tvívegis í Lögbirtingablaði innköllun þar sem skorað er á þá, sem telja sig eiga kröfur á hendur skuldaranum, að lýsa kröfum fyrir umsjónarmanni innan fjögurra vikna frá því að innköllunin birtist fyrra sinni.

 

Nú nýtur lánardrottinn veðréttar eða ábyrgðar annars aðila fyrir kröfum á hendur skuldaranum án þess að veðið eða ábyrgðin taki til ákveðinnar skuldar, og skal þá lánardrottinn tiltaka í kröfulýsingu hvaða skuld eigi þar undir.

 

Vanlýst krafa skal falla undir greiðsluaðlögunina, en viðkomandi kröfuhafa er þá ekki heimilt að hafa afskipti af greiðsluaðlögunarumleitunum.

 

Þeim kröfuhöfum sem vitað er um, þar á meðal ábyrgðarmönnum og samskuldurum skuldara, skal kunngert að greiðsluaðlögunarumleitanir séu hafnar með því að umsjónarmaður sendir þeim afrit af innkölluninni. Þar skal einnig upplýst hvaða kröfur skuldari hefur gefið upp að viðkomandi kröfuhafar eigi og tilkynna þeim um frestun greiðslna skv. 11. gr.“

 

Geta má þess að um forstöðumann embættis umboðsmanns skuldara gilda sérstök lög. Þau eru nr. 100/2000, en þau hafa ekki að geyma efnislega aðrar heimildir en að framan greinir, s.s. til miðlunar upplýsinga um einstaklinga. Í 3. gr. þeirra er ákvæði um rétt til að krefja stjórnvöld um allar þær upplýsingar sem umboðsmaður telur nauðsynlegar til að geta sinnt hlutverki sínu. Hann má einnig afla upplýsinga frá fyrirtækjum og samtökum ef þær eru nauðsynlegar að mati stofnunarinnar til að hún geti sinnt hlutverki sínu.

 

Í tilvitnuðum ákvæðum er því þannig skýrt lýst með hvaða hætti afla má persónuupplýsinga um þá einstaklinga sem óskað hafa greiðsluaðlögunar. Samkvæmt þeim hefði t.d. mátt senda fyrirspurnir til hvers lífeyrissjóðs um sjóðfélaga þess sjóðs – eins og vikið er að í bréfi umboðsmanns, dags. 17. nóvember 2011.

 

Í lögunum er hins vegar ekki gert ráð fyrir því að embættið sendi slíka lista sem hér um ræðir til allra aðila sem hugsanlega kunni að búa yfir upplýsingum um einstaklingana. Verður því ekki séð að slík miðlun hafi verið lögmæt í skilningi 1. tölul. 1. mgr. 7. gr. Það breytir því ekki hvort að með henni hafi mátt flýta fyrir framkvæmd á samkomulagi lánveitenda á íbúðalánamarkaði um niðurfærslu veðskulda að 110% af verðmæti.

 

5.

Í 11. og 12. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga kemur m.a. fram að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Til slíkra ráðstafana telst það að minna starfsmenn á þagnarskyldu sína og að gera vinnslusamninga við umsjónarmenn sem uppfylli 13. gr. laga nr. 77/2000. Tæknilegar öryggisráðstafanir geta t.d. falist í því að senda upplýsingar ekki um óvarið net nema notaðar séu öruggar fjartengingar.

 

Með vísan til 1. og 5. tölul. 3. mgr. 37. gr. leiðbeinir Persónuvernd umboðsmanni skuldara um að beita viðeigandi öryggisráðstöfunum, tæknilegum og skipulagslegum, til að vernda persónuupplýsingar. Þá leggur Persónuvernd fyrir hann að útbúa öryggiskerfi í samræmi við 11. gr. laga nr. 77/2000 og 3. gr. reglna nr. 299/2001 um öyggi persónuupplýsinga - og skila Persónuvernd skriflegri lýsingu á því eigi síðar en 1. janúar 2013.

 

Á k v ö r ð u n a r o r ð:

 

Embætti umboðsmanns skuldara skorti heimild til að senda Festu – lífeyrissjóði, Landspítala og Gildi – lífeyrissjóði, Landssambandi lífeyrissjóða og Lífeyrissjóði starfsmanna sveitarfélaga lista yfir 1.717 einstaklinga og 798 pör, sem leitað höfðu til hans um aðstoð við greiðsluaðlögun.

 

Umboðsmanni skuldara er leiðbeint um skyldu sína til að beita öryggisráðstöfunum. Lagt er fyrir hann að gera skriflega lýsingu á öryggiskerfi sínu og senda hana til Persónuverndar fyrir  1. janúar 2013.