Óviðkomandi veittur lesaðgangur í heimabanka að vörslusafni verðbréfaeignar viðskiptamanns hjá Íslandsbanka

Mál nr. 2020010649

23.9.2020

Úrskurður

Hinn 4. september 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010649:

I.

Málsmeðferð

1.

Tildrög máls

Hinn 14. júlí 2019 barst Persónuvernd kvörtun [A], (hér eftir nefndur kvartandi), yfir því að Íslandsbanki hafi veitt óviðkomandi þriðja aðila lesaðgang í heimabanka að vörslusafni verðbréfaeignar hans hjá bankanum.

2.

Bréfaskipti

Með bréfi dags. 3. september 2019 var Íslandsbanka boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 23. september 2019. Með bréfi, dags. 1. október s.á. var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Íslandsbanka. Bárust athugasemdir kvartanda með bréfi, dags. 11. október s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

3.

Sjónarmið kvartanda

Kvartandi byggir kvörtun sína á að óviðkomandi, sem sé móðir hans, hafi verið veittur lesaðgangur í gegnum heimabanka að fjárhagsupplýsingum hans, nánar tiltekið að vörslusafni verðbréfaeignar án hans samþykkis. Ólíkt Íslandsbanka telur kvartandi þá staðreynd að hinn óviðkomandi sé honum nákominn auki á alvarleika málsins. Þá telur kvartandi að framangreint feli í sér m.a. brot á réttindum hans til trúnaðar og friðhelgi einkalífs.

4.

Sjónarmið Íslandsbanka

Í bréfi Íslandsbanka kemur fram að hinn 29. júlí 2019 hafi kvartandi haft samband við bankann og óskað eftir skýringum á því hvers vegna móðir hans hefði aðgang að gögnum hans í heimabanka. Við skoðun bankans í kjölfarið hafi komið í ljós að um mannleg mistök starfsmanns hafi verið að ræða sem hafi þegar í stað verið leiðrétt. Talið var að mistökin hafi átt sér stað við stofnun safnsins árið 2000, þegar aðilar hafi gert samning við bankann á sama tíma og að sami starfsmaður hafi sinnt afgreiðslu erinda þeirra beggja. Einnig kom fram að hvorki umboð né samþykki kvartanda hafi legið fyrir til stofnunar slíks aðgangs. Þá kom fram að það hafi verið mat bankans að ekki hafi verið tilefni til þess að tilkynna framangreindan öryggisbrest til Persónuverndar þar sem bankinn taldi það afar ólíklegt að hann hefði í för með sér áhættu fyrir réttindi og frelsi kvartanda, sbr. 2. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Um hafi verið að ræða aðila tengdan kvartanda fjölskylduböndum, sem bankinn hafi talið að almennt mætti ætla að drægi úr hættu á að frekari brot á trúnaði yrði og að móðir hans hafi aðeins haft lesaðgang að þessu tiltekna vörslusafni verðbréfaeignar kvartanda en ekki að öðrum gögnum hans eða heimild til að framkvæma aðgerðir.

II.

Forsendur og niðurstaða

1.

Lagaskil og afmörkun máls

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sem í gildi voru þegar upphafleg atvik málsins áttu sér stað, voru leyst af hólmi með lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sem tóku gildi hinn 15. júlí 2018. Þau lögfestu jafnframt persónuverndarreglugerðina, (ESB) 2016/679, eins og hún var aðlöguð og tekin upp í EES-samninginn.

Þar sem kvörtun þessi beinist að ástandi sem var til staðar frá árinu 2000 til ársins 2019, auk þess sem þær reglur laga um persónuvernd sem á reynir hafa ekki breyst efnislega, verður leyst úr málinu á grundvelli laga nr. 90/2018.

2.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að því að óviðkomandi var veittur aðgangur að fjárhagsupplýsingum kvartanda með netaðgangi í heimabanka, þ.e. að tilteknu vörslusafni verðbréfaeignar hans. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679 teljast fjárhagsupplýsingar almennar persónuupplýsingar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Íslandsbanki vera ábyrgðaraðili að umræddri vinnslu.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 9. gr. laga nr. 90/2018. Má þar nefna að vinnsla getur talist heimil á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. þeirrar greinar, eða þess að vinnslan sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili, eða þriðji maður gæti nema grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. sömu málsgreinar.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.). Framangreind grunnkrafa er nánar útfærð í 23. og 24. gr. fyrrgreindra laga. Þar kemur fram að sú skylda hvíli á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með. Í upplýsingaöryggi felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi og að þær séu einungis aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda.

Samkvæmt 23. gr. laga nr. 90/2019, sbr. 24. gr. reglugerðar (ESB) 2016/679, skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar. Einnig kemur fram í 24. gr. laganna, sbr. 25. gr. reglugerðarinnar, að með fyrrgreindum ráðstöfunum skuli tryggja að persónuvernd sé innbyggð og sjálfgefin. Þá kemur fram í 2. mgr. sömu greinar laganna að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni samkvæmt nánari fyrirmælum 2. mgr. 25. gr. reglugerðarinnar. Í framangreindu felst m.a. að gerðar séu ráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi.

Samkvæmt þeim upplýsingum sem liggja fyrir í málinu var miðlun Íslandsbanka á umræddum persónuupplýsingum til óviðkomandi afleiðing mistaka sem fram fór án samþykkis kvartanda og var engin heimild fyrir henni samkvæmt 9. gr. laga nr. 90/2018. Var viðeigandi öryggis upplýsinganna því ekki tryggt líkt og áskilið er í 6. tölul. 1. mgr. 8. gr., 23., 24. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5., 24., 25. og 32. gr. reglugerðar (ESB) 2016/679. Var hún því andstæð ákvæðum laganna.

Að framangreindu virtu er það niðurstaða Persónuverndar að vinnsla Íslandsbanka á persónuupplýsingum um kvartanda, hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Lagt er fyrir Íslandsbanka að gera öryggisráðstafanir í samræmi við kröfur laga nr. 90/2018. Þá er lagt fyrir bankann að sannreyna með viðeigandi hætti að í verkferlum bankans felist verndar- og öryggisráðstafanir, t.d. þegar stofnaður er aðgangur viðskiptamanns að rafrænni þjónustu, þannig að aðgangsheimild verði ekki víðtækari en viðskiptavinur bankans staðfestir. Skal Íslandsbanki senda Persónuvernd staðfestingu á framangreindu fyrir 25. september næstkomandi.

Ú r s k u r ð a r o r ð:

Vinnsla Íslandsbanka sem leiddi til aðgangs óviðkomandi að fjárhagsupplýsingum [A], samrýmdist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Lagt er fyrir Íslandsbanka að gera öryggisráðstafanir í samræmi við kröfur laga nr. 90/2018 og reglugerð (ESB) 2016/679. Þá er lagt fyrir bankann að sannreyna með viðeigandi hætti að í verkferlum bankans felist verndar- og öryggisráðstafanir, t.d. þegar stofnaður er aðgangur viðskiptamanns að rafrænni þjónustu þannig að aðgangsheimild verði ekki víðtækari en viðskiptavinur bankans staðfestir. Skal Íslandsbanki senda Persónuvernd staðfestingu á framangreindu fyrir 25. september næstkomandi.

Í Persónuvernd, 4. september 2020

Helga Þórisdóttir                          Vigdís Eva Líndal