Miðlun upplýsinga um lífeyrisréttindi
Úrskurður
Á fundi stjórnar Persónuverndar þann 26. mars 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2014/1151:
1.
Málavextir og bréfaskipti
Þann 27. ágúst 2014 barst
Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi), vegna
miðlunar persónuupplýsinga um hana frá Íslandsbanka og Sjóvá-Almennum
tryggingum hf. (Sjóvá) til Viðskiptatengsla ehf. Í kvörtuninni segir að
kvartandi hafi fengið símtal frá Viðskiptatengslum og hafi tilgangur
símtalsins verið að bjóða sér möguleika á lífeyrissparnaði. Viðmælandi
kvartanda hafi sagt að Viðskiptatengsl væru í viðskiptum við
Íslandsbanka og Sjóvá og hann hefði þar af leiðandi upplýsingar um
kvartanda. Kvartandi telur hins vegar að um sé að ræða upplýsingar sem
trúnaður eigi að ríkja um og um sé að ræða brot á persónuvernd. Hún
greiði í erlendan sparnaðarsjóð og af einhverjum ástæðum hafi umrætt
fyrirtæki haft þær upplýsingar undir höndum.
Með bréfi, dags. 14. október 2014, var Íslandsbanka, Sjóvá og Viðskiptatengslum boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var frestur til að svara veittur til 29. s.m. Vegna flutninga Viðskiptatengsla barst bréf til þeirra ekki á tilskildum tíma. Bréfið var því endursent þann 3. nóvember 2014 og frestur þá veittur til 14. s.m.
Svarbréf Íslandsbanka, dags. 21. október 2014, barst Persónuvernd þann 24. s.m. Þar segir að Viðskiptatengsl hafi starfað sem verktaki fyrir Íslandsbanka (VÍB) við sölu lífeyrissparnaðar. Verktakinn vinni eftir eigin skipulagi við úthringingar og bankinn afhendi ekki upplýsingarnar til verktakans um þá aðila sem eru fyrir með lífeyrissparnað hjá bankanum. Bankinn hafði ekki upplýsingar um hvar aðilar, sem verktakinn hefur samband við, kunni að hafa stofnað til lífeyrissparnaðar og því ekki látið neitt slíkt af hendi. Þá kemur fram í svari bankans að hann hafi ekki upplýsingar um hvaðan umræddum verktaka kynnu að hafa borist gögn um lífeyrissparnað þeirra sem haft hafi verið samband við eða hvort heimilt hafi verið að nota þau. Bankinn hafi ekki verið upplýstur um að verktakinn hefði slík gögn undir höndum og þaðan af síður hafi verið ætlast til að verktakinn nýtti slík gögn í þágu bankans. Þá fylgdi hjálagður samningur um verktöku Viðskiptatengsla fyrir bankann frá 15. ágúst 2014.
Svarbréf Sjóvár, dags. 28. október 2014, barst Persónuvernd þann 31. s.m. Þar kemur m.a. fram að Sjóvá hafi hvorki fyrr né síðar haft samningssamband við það fyrirtæki sem um ræðir í kvörtuninni, þ.e. Viðskiptatengsl. Þar af leiðandi hafi félagið ekki framselt neins konar ábyrgð né vinnslurétt persónuupplýsinga til umrædds félags. Hins vegar hafi fyrirtækið verið í samningssambandi við Tryggingar og ráðgjöf um miðlun vátrygginga og byggi sá samningur á lögum nr. 32/2005, um miðlun vátrygginga, en Tryggingar og ráðgjöf séu löggilt vátryggingamiðlun. Þá kemur fram í bréfi Sjóvár að félaginu sé kunnugt um að Tryggingar og ráðgjöf ráði til sín verktaka til vátryggingasölu en ábyrgð vegna þeirra hvílir sjálfstætt á vátryggingarmiðluninni, sbr. 24. gr. laga nr. 32/2005. Viðskiptatengsl hafi verið slíkur verktaki hjá Tryggingum og ráðgjöf.
Sjóvá hafi hins vegar ekki framselt neina ábyrgð eða vinnslurétt á persónuupplýsingum sem varði viðskiptavini félagsins til Tryggingar og ráðgjafar en löggilt vátryggingamiðlun beri sjálfstæða ábyrgð gagnvart vernd persónuupplýsinga samkvæmt 3. mgr. 27. gr. laga nr. 32/2005. Geti vátryggingamiðlun sem slík búið yfir ýmsum persónuupplýsingum og jafnvel viðkvæmum persónuupplýsingum um viðskiptamenn sína enda leiði það af eðli þeirra viðskipta sem vátryggingamiðlun stundi. Að lokum segir í svarbréfi Sjóvár að það telji að félagið eigi ekki aðild að umræddri kvörtun heldur Tryggingar og ráðgjöf sem hafi tiltekin starfsréttindi og ber sjálfstæða skyldu sem slíka að lögum. Þá er einnig tekið fram að kvartandi sé ekki í viðskiptum við Sjóvá.
Svarbréf Viðskiptatengsla, dags. 12. nóvember 2014, barst Persónuvernd þann 14. s.m. Þar segir að Viðskiptatengsl séu með sölusamning við VÍB, dótturfélag Íslandsbanka, en hafi ekki haft aðgang að neinum gögnum um viðskiptavini VÍB eða Íslandsbanka enda sé, við sölustarfsemi fyrirtækisins, eingöngu stuðst við almennar upplýsingar úr þjóðskrá.
Þá kemur fram að Viðskiptatengsl séu ekki með samning við Sjóvá en félagið hafi hins vegar í stuttan tíma tekið að sér að selja tryggingar Sjóvár gegnum tryggingarmiðlunina Tryggingar og ráðgjöf, sem sé með starfsleyfi frá Fjármálaeftirlitinu. Þeirri sölustarfsemi hafi hins vegar verið hætt í ágúst/september 2014 í framhaldi af nýrri stefnu félagsins. Við framkvæmd þeirrar sölu hafi ráðgjafar Viðskiptatengsla haft aðgang að sölukerfi Tryggingar og ráðgjafar. Ráðgjafar Viðskiptatengsla hafi í raun verið verktakar þar vegna sölu fyrir Sjóvá og starfað undir þeirra starfsleyfi. Hins vegar hafi Viðskiptatengsl ekki komið að neinni vinnslu á upplýsingum úr kerfum Tryggingar og ráðgjafar ehf. né hafi fyrirtækið upplýsingar um slíkt.
Einnig kemur fram að Viðskiptatengsl telji sig ekki vera vinnsluaðila fyrir Íslandsbanka eða Sjóvá, enda hafi fyrirtækið ekki fengið neinar persónuupplýsingar afhentar frá þeim.
Telji fyrirtækið að hér gæti misskilnings þar sem ráðgjafi þess hafi í stuttan tíma unnið fyrir Tryggingar og ráðgjöf ehf. og hafi sem slíkur haft aðgang að sölukerfi þeirra sem gæti hafa innihaldið upplýsingar um að kvartanda hafi verið seldur erlendur sparnaður á vegum Tryggingar og ráðgjafar ehf. Þá hafi Trygging og ráðgjöf einnig á þessum tíma unnið að því að upplýsa viðskiptavini sína um að Friends Provident væri að fara af íslenskum markaði en að fyrirtækið myndi halda áfram þjónustu við sína viðskiptavini sem greitt hefðu í sjóði Friends Provident.
Með bréfi, dags. 24. nóvember 2014, var kvartanda gefinn kostur á að koma á framfæri athugasemdum við framkomnar skýringar Íslandsbanka, Sjóvá og Viðskiptatengsla ehf. Var svarfrestur veittur til 8. desember s.á. Engin svör bárust. Var erindið ítrekað með bréfi þann 23. s.m. og frestur veittur á ný til 13. janúar 2015. Engin svör bárust.
Með bréfi, dags. 4. febrúar 2014, var Tryggingum og ráðgjöf ehf. tilkynnt um framkomna kvörtun. Þá óskaði stofnunin sérstaklega eftir því að upplýst yrði um það hvort að fyrirtækið hefði umræddar upplýsingar um að kvartandi hefði greitt í erlendan sparnaðarsjóð undir höndum og hvort þeirra hefði verið aflað í tengslum við sölu á erlendum sparnaði frá Tryggingum og ráðgjöf ehf. til hennar. Var svara óskað fyrir 15. febrúar 2015.
Svarbréf Trygginga og ráðgjafar ehf., dags. 16. febrúar 2015, barst Persónuvernd þann 23. s.m. Þar segir að þann [X] hafi kvartandi gert samning um sparnaðarlíftryggingu hjá Friends Provident International fyrir milligöngu Tryggingar og ráðgjafar. Tryggingar og ráðgjöf ehf. þjónusti þann samning og hafi aðgang að upplýsingum um samninginn. Þá segir að þann 1. september 2014 hafi kvartanda verið sendar skýringar með tölvupósti en fyrirtækið hafi ekki fengið svar. Þá hafi fyrirtækið ítrekað reynt að ná í kvartanda til að skýra málið frekar en ekki náð sambandi. Enn fremur kemur fram í bréfinu að skýrar reglur gildi um meðferð trúnaðarupplýsinga hjá Tryggingum og ráðgjöf ehf. Þær upplýsingar séu varðveittar í lokuðu kerfi sem aðeins framkvæmdastjóri fyrirtækisins hafi aðgang að.
Með bréfi, dags. 27. febrúar 2015, var kvartanda gefinn kostur á að koma á framfæri athugasemdum sínum við bréf Tryggingar og ráðgjafar ehf. Var svarfrestur veittur til 16. mars 2015. Engin svör bárust.
2.
Niðurstaða
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Þar undir geta m.a. fallið miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, sbr. það sem fram kemur í athugasemdum við frumvarp það er varð að lögum nr. 77/2000, sem og b-lið 2. gr. tilskipunar nr. 95/46/EB.
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, s.s. upplýsinga um heilsufar eða refsiverðan verknað, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna. Upplýsingar um fjárhagsmálefni einstaklinga teljast ekki til viðkvæmra persónuupplýsinga. Nægir því að vinnsla með þær uppfylli eitt af skilyrðum 1. mgr. 8. gr. laganna.
Almennt er talið að fyrirtækjum sé heimil vinnsla persónuupplýsinga um viðskiptamenn sína. Í 7. tölul. 1. mgr. 8. gr. segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna sinna. Af gögnum málsins verður ekki annað ráðið en að kvartandi hafi gert samning um sparnaðarlíftryggingu hjá Friends Provident International fyrir milligöngu Tryggingar og ráðgjafar. Þegar að Friends Provident International hafi ákveðið að fara af íslenskum markaði hafi Tryggingar og ráðgjöf fengið Viðskiptatengsl til að tilkynna viðskiptavinum sínum um þær breytingar. Þá hafi viðskiptamönnum einnig verið tilkynnt um að Tryggingar og ráðgjöf myndi halda áfram þjónustu við þá sem greitt hefðu í framangreindan sjóð. Með vísan til skýringa Viðskiptatengsla og Tryggingar og ráðgjafar er það niðurstaða Persónuverndar að slík vinnsla hafi ekki farið í bága við ákvæði laga nr. 77/2000.
Ú r s k u r ð a r o r ð:
[Vinnsla] persónuupplýsinga [hjá] Viðskiptatengslum ehf. [...] fór ekki gegn ákvæðum laga nr. 77/2000.