Uppfletting Securitas í vanskilaskrá
Úrskurður
Á fundi stjórnar Persónuverndar þann 6. apríl 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2014/1775:
I.
Málsmeðferð
1.
Tildrög máls
Þann 30. desember 2014 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) vegna uppflettingar starfsmanns Securitas á fjárhagsupplýsingum um kvartanda í gagnagrunni Creditinfo. Kvartað er yfir því að Securitas hafi flett kennitölu kvartanda upp í vanskilaskrá Creditinfo án þess að kvartandi sjálfur, eða annar á hans vegum, hafi óskað eftir viðskiptum við Securitas. Í kvörtun kemur fram að kvartandi hafi leitað skýringa hjá Securitas á uppflettingunni. Þær hafi verið á þá leið að starfsmaður fyrirtækisins hefði fengið símtal frá konu sem hefði pantað slökkvitæki frá Securitas í nafni kvartanda. Hringt hafi verið í einkasíma starfsmanns Securitas utan vinnutíma úr óskráðu númeri. Starfsmaðurinn hafi flett kennitölu kvartanda, sem gefin var upp í símtalinu, upp á vefsvæði Ríkisskattstjóra og í framhaldinu sent beiðni til fjármálasviðs Securitas um uppflettingu á vanskilaskrá.
Þá segir í kvörtun að lögaðilar þurfi að hafa lögvarða hagsmuni af uppflettingu í gagnagrunni Creditinfo. Meginreglan í viðskiptum sé staðgreiðsla og ekki geti talist nauðsynlegt að kalla eftir fjárhagsupplýsingum um kaupendur við þær aðstæður. Ekkert hafi komið fram um að í áðurnefndu símtali hafi verið óskað eftir reikningsviðskiptum. Þá hafi starfsmanni Securitas mátt vera ljóst að kennitalan sem gefin var upp í símtalinu tilheyrði ekki konunni sem hefði lagt inn pöntunina.
Í símtali við starfsmann Persónuverndar hinn 16. febrúar staðfesti kvartandi að hann hefði aldrei haft samband við Securitas sjálfur, eða annar á hans vegum, til að panta slökkvitæki.
2.
Bréfaskipti
2.1.
Með bréfi, dags. 6. janúar 2015, var Securitas boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfum Securitas, dags. 13. janúar 2015 og 25. janúar 2016, kemur fram að fyrirtækið viðhafi það verklag að kanna hvort nýir aðilar, sem teknir eru á viðskiptaskrá, séu á vanskilaskrá Creditinfo. Þetta sé gert í þeim tilgangi að taka upplýsta ákvörðun um hvort lánsviðskipti verði heimiluð. Þá segir að staðgreiðsluviðskipti eigi sér mjög sjaldan stað í viðskiptum fyrirtækisins og að flestir viðskiptavinir þess velji reikningsviðskipti. Um uppflettinguna sjái sérstakir starfsmenn á fjármálasviði Securitas. Í máli þessu hafi starfsmaður Securitas tekið við beiðni um kaup á slökkvitæki og gefið sér þá forsendu að viðskiptin væru í takt við 97% annarra viðskipta fyrirtækisins með slökkvitæki, þ.e. reikningsviðskipti. Þegar umrætt slökkvitæki var pantað hafi verið boðað að kvartandi myndi koma á starfsstöð Securitas og sækja það. Því hafi verið eðlilegt að til staðar væru upplýsingar um hvort heimilt væri að afhenda tækið með gjaldfresti eða ekki. Rannsókn Securitas á málsatvikum hafi ekki leitt í ljós ásetning um brot á þeim reglum sem Creditinfo starfar eftir. Þá vilji Securitas árétta að almennir starfsmenn fyrirtækisins fái engar upplýsingar frá fjármálasviði þess um fjárhagsstöðu viðskiptavina eða væntanlegra viðskiptavina, heldur eingöngu upplýsingar um hvort reikningsviðskiptum sé hafnað eða ekki.
Með bréfi, dags. 28. janúar 2015, ítrekuðu 17. mars. s.á., var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Securitas til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf kvartanda, dags. 30. mars 2015, barst Persónuvernd þann sama dag. Þar kemur fram að kvartandi telji óeðlilegt að vísa til þess, sem ástæðu fyrir uppflettingu á upplýsingum um viðskiptavini á vanskilaskrá Creditinfo, að flestir viðskiptavinir Securitas séu í reikningsviðskiptum. Heimild til uppflettingar verði að byggjast á skýrum og ótvíræðum óskum viðkomandi einstaklings um reikningsviðskipti, en slíkt lá ekki fyrir hér eins og áður hefur komið fram.
Í athugasemdum kvartanda kom einnig fram að kvörtun hefði verið send lögreglunni á höfuðborgarsvæðinu. Þann 8. apríl 2015 tilkynnti Persónuvernd aðilum málsins að ekki væru efni til þess að stofnunin fjallaði um málið á meðan það væri til meðferðar hjá öðru stjórnvaldi. Þegar þeirri málsmeðferð lyki gæti Persónuvernd tekið málið til meðferðar að nýju, bærist stofnuninni ósk þess efnis. Með tölvupósti sem barst Persónuvernd 30. september 2015 tilkynnti kvartandi að málsmeðferð lögreglu væri lokið og óskaði eftir áframhaldandi meðferð málsins hjá Persónuvernd, og varð stofnunin við þeirri beiðni.
2.2.
Með bréfi, dags. 5. janúar 2016, var Securitas boðið að koma á framfæri athugasemdum sínum við framkomnar athugasemdir kvartanda til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf [X] lögmanna f.h. Securitas, dags. 25. janúar 2016, barst Persónuvernd 27. s.m. Eins og áður hefur komið fram segir í bréfinu að Securitas viðhafi það verklag, þegar nýr aðili sé tekinn á viðskiptaskrá, að kanna hvort hann sé á vanskilaskrá Creditinfo svo hægt sé að taka upplýsta ákvörðun um það hvort lánaviðskipti verði heimiluð.
Í bréfinu kemur fram að Securitas telji þetta verklag, að fletta nýjum aðila á viðskiptaskrá upp í vanskilaskrá Creditinfo, í samræmi við það sem almennt sé tíðkað. Creditinfo hafi ekki gert athugasemdir við það, enda hafi Securitas sýnt fram á lögvarða hagsmuni af því að kanna stöðu væntanlegs viðskiptavinar. Í samningum Creditinfo við áskrifendur sína sé tekið fram að upplýsingar úr skrám Creditinfo séu trúnaðarmál og megi eingöngu nota við könnun á lánstrausti, í tengslum við væntanleg eða yfirstandandi viðskipti við áskrifanda, eða þegar lögvarðir hagsmunir séu að öðru leyti fyrir hendi. Þá sé upplýst samþykki ekki skilyrði fyrir uppflettingu í vanskilaskrá Creditinfo, auk þess sem stór hluti viðskipta fari fram um síma og með rafrænum hætti, þar sem erfitt sé að staðreyna hver gagnaðilinn er.
2.3.
Með tölvupósti, dags. 17. febrúar 2016, var lögmanni Securitas boðið að koma á framfæri athugasemdum sínum við þær upplýsingar sem kvartandi veitti með símtali þann 16. s.m., um að kvartandi hafi ekki haft samband við Securitas sjálfur og óskað eftir kaupum á slökkvitæki. Svarbréf [X] lögmanna f.h. Securitas, dags. 25. febrúar 2016, barst Persónuvernd 2. mars sl. Þar segir að ljóst hafi verið frá upphafi að það hafi ekki verið kvartandi sjálfur sem hafði samband við starfsmann Securitas og óskaði eftir viðskiptum heldur hafi það verið kona, sem gaf kvartanda upp sem væntanlegan viðskiptamann. Ljóst megi telja af framhaldinu að hún hafi ekki haft umboð til þessa, eða þá að kennitalan hafi verið ranglega skráð af starfsmanni Securitas. Securitas telji sig hins vegar hafa haft lögmæta ástæðu til að afla upplýsinganna auk þess sem engum upplýsingum hafi verið miðlað.
Með bréfi, dags. 9. mars 2016, var kvartanda boðið að tjá sig um bréf [X] lögmanna frá 25. janúar og 25. febrúar 2016. Svarbréf [Y], f.h. kvartanda, barst Persónuvernd 23. mars 2016. Þar er bent á að skýringar [X] lögmanna f.h. Securitas stangist á við skýringar starfsmanns Securitas í tölvupósti til yfirmanna sinna, dags. 14. nóvember 2014, þar sem komi skýrlega fram að konan sem pantaði slökkvitækið hafi ætlað að sækja það sjálf, en tölvupósturinn liggi fyrir í málinu. Þá sé ljóst að niðurstöðu uppflettingarinnar hafi verið miðlað til annarra en þeirra starfsmanna sem sjá um slíkar uppflettingar, þar sem starfsmenn á lager hafi fengið skilaboð um að afhenda ekki slökkvitækið. Skýringar Securitas á uppflettingunni séu ekki fullnægjandi og fyrirtækið hafi ekki haft lögmæta hagsmuni af henni.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Securitas vera ábyrgðaraðili að umræddri vinnslu.
Af framangreindu er ljóst að uppfletting Securitas á fjárhagsupplýsingum um kvartanda í gagnagrunni Creditinfo fellur undir gildissvið laga nr. 77/2000.
2.
Lögmæti vinnslu
Í 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er mælt fyrir um hvenær vinna má með persónuupplýsingar. Þarf einhverri af kröfum þess ákvæðis ávallt að vera fullnægt við slíka vinnslu, þ. á m. við uppflettingar í skrá Creditinfo um fjárhagsmálefni og lánstraust einstaklinga, þ.e. vanskilaskrá, en hún er haldin samkvæmt starfsleyfi frá Persónuvernd, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sbr. 45. gr. laga nr. 77/2000. Er framangreint sérstaklega áréttað í grein 2.1. í starfsleyfi Persónuverndar til starfrækslu skrárinnar, dags. 19. desember 2013 (mál nr. 2013/1169), sem í gildi var þegar atvik málsins áttu sér stað.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er meðal annars mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
Uppflettingar í framangreindri skrá geta einkum stuðst við 7. tölul. 1. mgr. 8. gr., þar sem fram kemur að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að ábyrgðaraðili geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Securitas hefur upplýst að fyrirtækið viðhafi það verklag, þegar nýr aðili er tekinn á viðskiptaskrá, að kanna hvort hann sé á vanskilaskrá Creditinfo svo hægt sé að taka upplýsta ákvörðun um það hvort lánsviðskipti verði heimiluð. Ekki verður talið að Securitas hafi lögmæta hagsmuni af því að kanna hvort allir nýir viðskiptavinir fyrirtækisins, sem teknir eru á viðskiptaskrá, séu á vanskilaskrá, enda þarf Securitas að geta sýnt fram á að fyrirtækið eigi lögmæta hagsmuni af hverri uppflettingu fyrir sig. Geta slíkir hagsmunir til að mynda verið fyrir hendi ef viðskiptavinur hefur óskað eftir lána- eða reikningsviðskiptum. Kvartandi hefur upplýst að hann hafi ekki óskað eftir slíkri fyrirgreiðslu hjá Securitas, eða viðskiptum yfirleitt, og hefur fyrirtækið ekki andmælt frásögn hans að því leyti eða sýnt fram á annað. Verður því ekki fallist á að Securitas hafi verið að gæta lögmætra hagsmuna sinna þegar kvartanda var flett upp í vanskilaskrá. Þegar af þeirri ástæðu fór uppflettingin í bága við lög nr. 77/2000.
Þá verður ekki talið að uppfletting Securitas á upplýsingum um kvartanda í vanskilaskrá Creditinfo hafi verið í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, en uppflettingin var framkvæmd á grundvelli beiðni um viðskipti sem fyrirtækið gat ekki sannreynt að hefði borist frá kvartanda. Starfsmanni Securitas var ljóst að kvartandi óskaði ekki sjálfur eftir viðskiptunum en tók engu að síður við pöntun á slökkvitæki í nafni hans. Var uppflettingin á kvartanda því framkvæmd án þess að fyrir lægi að hann hefði óskað eftir viðskiptum við Securitas. Samrýmist slíkt verklag ekki kröfum 1.-2. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um sanngjarna og málefnalega vinnslu eða kröfu 3. tölul. sama ákvæðis um að persónuupplýsingar skuli ekki vera umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.
Persónuvernd beinir þeim fyrirmælum til Securitas að félagið skuli, eigi síðar en 10. maí næstkomandi, senda stofnuninni skriflega lýsingu á því hvernig tryggt verði framvegis að uppflettingar í skrá Creditinfo um fjárhagsmálefni og lánstraust einstaklinga samrýmist lögum.
Ú r s k u r ð a r o r ð:
Uppfletting Securitas á [A] í vanskilaskrá Creditinfo fór í bága við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Skal Securitas, eigi síðar en 10. maí 2016, senda Persónuvernd skriflega lýsingu á því hvernig tryggt verði framvegis að uppflettingar í skránni samrýmist lögum.