Uppfletting Deloitte ehf. á kennitölu væntanlegs viðskiptavinar í vanskilaskrá Creditinfo Lánstrausts hf.

Mál nr. 2020010631

9.12.2020

Úrskurður

Á fundi stjórnar Persónuverndar hinn 28. október 2020 var kveðinn upp svohljóðandi úrskurður í máli nr. 2020010631 (áður 2019051025):

I.

Málsmeðferð

1.

Kvörtun

Hinn 10. maí 2019 barst Persónuvernd kvörtun frá [C] lögmanni f.h. [A] (hér eftir kvartandi), vegna uppflettingar starfsmanns Deloitte á fjárhagsupplýsingum um kvartanda í vanskilaskrá Creditinfo Lánstrausts hf. (Creditinfo).

Með bréfi, dags. 11. júní 2019, tilkynnti Persónuvernd Deloitte um kvörtunina og veitti fyrirtækinu kost á að tjá sig um hana. Svarað var með bréfi, dags. 8. júlí 2019. Með bréfi, dags. 29. ágúst 2019, var kvartanda veitt færi á að tjá sig um svarbréf Deloitte. Svarað var með bréfi, dags. 5. september 2019. Bréfið innihélt viðbót við upphaflega kvörtun kvartanda og óskaði Persónuvernd eftir nánari upplýsingum í því sambandi með tölvupósti til kvartanda þann 5. maí 2020. Svar kvartanda barst stofnuninni 6. maí 2020. Með bréfi, dags. 28. maí 2020, var óskað nánari upplýsinga frá kvartanda. Svar kvartanda barst með tölvupósti 20. júlí 2020. Með bréfi, dags. 17. ágúst 2020, var Deloitte boðið að tjá sig um fyrrnefnda viðbót við kvörtunina. Svar fyrirtækisins barst með bréfi, dags. 4. september s.á.

Við úrlausn þessa máls hefur verið tekið tillit til allra framangreinda gagna þótt ekki sé gerð grein fyrir þeim öllum sérstaklega.

Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.

2.

Sjónarmið kvartanda

Kvartað er yfir því að tiltekinn starfsmaður Deloitte, B, hafi þann 25. september 2018 flett kvartanda upp á vanskilaskrá Creditinfo og gefið það upp að uppflettingin væri vegna viðskipta.

Kvartandi kveðst aldrei hafa sóst eftir viðskiptum við Deloitte og því hafi henni brugðið þegar hún hafi orðið vör við umrædda uppflettingu. Kvartandi hafi óskað eftir skýringum frá Creditinfo vegna uppflettingarinnar og fengið í kjölfarið eftirfarandi skýringu:

,,Fyrirspurnir umrædds aðila við Deloitte kölluðu á þjónustu [félagsins] til handa viðkomandi. Í ljósi þess að um reikningsviðskipti yrði að ræða var umrædd uppfletting framkvæmd.“

Bendir kvartandi aftur á að hún hafi aldrei óskað eftir þjónustu eða reikningsviðskiptum við Deloitte og hafi því verið ljóst að fyrirtækið hafi borið fyrir sig ósannar upplýsingar. Kvartandi hafi ítrekað kvörtun sína við Creditinfo og upplýst að hún hafi aldrei óskað eftir þjónustu Deloitte. Samkvæmt tölvupósti Creditinfo til kvartanda hafi Deloitte síðan borið fyrir sig að lögmaður kvartanda hefði óskað eftir þjónustu fyrirtækisins fyrir hennar hönd. Kvartandi kveður það rangt þar sem lögmaður hennar hafi aldrei óskað eftir þjónustu hjá Deloitte fyrir hönd kvartanda. Vísar kvartandi til þess að viðkomandi starfsmaður Deloitte gæti hagsmuna andstæðinga kvartanda í erfðamáli og lögmaður kvartanda gæti hagsmuna hennar í sama máli. Aldrei hefði farið saman að lögmaður andstæðinga hennar tæki að sér launaða hagsmunagæslu í hennar þágu.

Með vísan til framangreinds telur kvartandi ástæðu til að ætla að misfarið hafi verið með persónuupplýsingar hennar og þær notaðar til að valda henni tjóni. Er því óskað eftir rannsókn Persónuverndar á því í hvaða skyni Deloitte hafi aflað upplýsinga um fjárhag kvartanda, hvernig fyrirtækið hafi unnið með þær upplýsingar og hvort og þá með hvaða hætti upplýsingarnar hafi verið áframsendar. Kvartandi telur upplýsingarnar hafa verið áframsendar eða endursagðar bræðrum hennar sem hafi notað þær til að hafa áhrif á aldraðan föður þeirra í umræddu erfðamáli.

3.

Sjónarmið Deloitte

Í bréfi Deloitte er ásökunum kvartanda hafnað. Fyrirtækið vísar til þess að það hafi um árabil veitt þjónustu á sviði ársreikninga- og skattframtalsgerðar til félagsins [X] ehf., þar sem kvartandi sé hluthafi. Þá hafi Deloitte jafnframt veitt þjónustu til föður kvartanda á sviði framtalsgerðar. Telur fyrirtækið það nauðsynlegt samhengisins vegna að rifja upp til skýringa að hinn 4. júlí 2013 hafi faðir kvartanda óskað eftir því að Deloitte útbyggi erfðafjárskýrslu um fyrirframgreiddan arf til þriggja barna sinna og kvartandi hafi verið eitt þeirra. Þegar drög hafi verið send föður kvartanda hafi Deloitte verið upplýst um að vegna fjárhagsstöðu kvartanda kæmi hennar hlutur ekki til afhendingar að sinni. Því hafi verið gengið frá gögnum í framhaldinu til tveggja barna föður kvartanda.

Bendir Deloitte á að í júlí 2018 hafi borist beiðni frá föður kvartanda um að börn hans yrðu arfleidd, með fyrirframgreiddum arfi, að tilgreindum eignum, þar með töldum hlutabréfum í [X] ehf. Eins og áður hafi verið um að ræða hefðbundna þjónustu þar sem starfsmenn Deloitte hafi tekið saman verðmæti þeirra eigna sem arfláti vildi skipta milli barna sinna, auk þess að útbúa tilfallandi skjöl til undirritunar. Í fyrirliggjandi máli væri aðkoma Deloitte annars vegar tengd arfláta og hins vegar [X] ehf., sem væri viðskiptavinur hjá fyrirtækinu og ekki aðili að erfðamálinu.

Ágreiningur kvartanda við fjölskyldu sína hafi leitt til þess að hún hafi ákveðið að fá lögmann til að gæta hagsmuna sinna. Eins og ljóst sé, sé það ekki á færi lítils hluthafa að beina fyrirmælum til endurskoðanda félags nema á hluthafafundum, þar sem mál sé tekið fyrir. Kvartandi sé ekki í stöðu hjá félaginu til að beina fyrirspurnum til endurskoðanda, enda hvorki í stjórn né framkvæmdastjóri félagsins. Samskipti Deloitte við félagið fari því eftir almennum reglum. Þá hafi kvartandi ekki komið fram fyrir hönd föður síns. Deloitte hafi því ekki verið í beinum samskiptum við kvartanda fyrr en fyrirtækið hafi fengið tölvupóst frá lögmanni kvartanda þann 4. september 2018 vegna erfðamálsins. Í þeim tölvupósti segi:

,,Það þarf að útbúa viðbótarskjal vegna fyrirframgreiðslu arfs í formi peninga fyrir [A]. [Starfsmaður D] kannast við málið.

Þá hefur [A] óskað eftir því að ég skoði eignastöðu og virði félagsins. Verður þú mér innan handar með nauðsynleg gögn.“

Vísar Deloitte til þess að [X] ehf. hafi á þessum tíma ekki samþykkt að láta vinna sértæka vinnu fyrir hluthafann, en hafi ekki gert athugasemd við að Deloitte upplýsti um tilgreind atriði fyrir reikning kvartanda, kæmi til þess. Í framangreindum tölvupósti lögmanns kvartanda væri með beinum hætti óskað eftir því að Deloitte framkvæmdi vinnu sem sérstaklega væri sniðin að þörfum kvartanda.

Lögmaður kvartanda og umræddur starfsmaður Deloitte hafi náð saman í síma þann 25. september 2018 og þá hafi verið farið yfir þá þætti sem vörðuðu frágang á beiðni föður kvartanda, sem og meðal annars ósk kvartanda um að fá að skoða tilgreind gögn, enda hafi kvartandi haft aðrar hugmyndir um verðmæti þess arfshluta sem hún hafi átt von á.

Þann sama dag hafi farið fram tölvupóstsamskipti milli starfsmanna Deloitte og lögmannsins, þar sem Deloitte hafi meðal annars upplýst um að ekki væru til staðar aðrar upplýsingar um verðmæti hlutanna í [X] ehf. en ársreikningur frá 2017. Í tölvupósti Deloitte til lögmanns kvartanda komi fram að til þess að komast að því hver rekstrarniðurstaðan væri þyrfti að gera drög að uppgjöri og hafi fyrirtækið bent á að hugsanlega væri hægt að fá grófa stöðu beint frá rekstraraðilum, ef það væri nægilegt. Lögmaður kvartanda hafi svarað og kveðið það miður og talið að það hefði þurft að koma úr uppfærðu bókhaldi í gegnum Deloitte. Deloitte kveður lögmann kvartanda ekki hafa haft samband við [X] ehf. til að fá tilgreindar upplýsingar.

Deloitte vísar til þess að á grundvelli margítrekaðrar beiðni lögmannsins um sértæka vinnu fyrir kvartanda, sem ekki hafi verið hluti af þeirri þjónustu sem Deloitte veitti [X] ehf., hafi starfsmaður fyrirtækisins sett í gang könnun á væntanlegum viðskiptamanni og því hafi verið kannað hvort væntanlegur viðskiptavinur væri skráður með vanskil, sbr. fyrri upplýsingar sem Deloitte hefði fengið um fjárhagsstöðu kvartanda.

Deloitte hafi á þessum tímapunkti ekki getað metið það öðruvísi en svo að verið væri að óska eftir vinnu fyrir kvartanda, enda hafi með beinum hætti verið óskað eftir vinnuframlagi fyrirtækisins, kvartanda til handa. Miðað við umrædd samskipti hafi Deloitte verið í góðri trú um slíkt og hafi því haft lögvarða hagsmuni af því að kanna hvort sá aðili sem óskaði eftir þjónustu frá fyrirtækinu væri borgunarmaður fyrir þjónustunni og hafi það ekki átt að koma kvartanda á óvart.

Við öflun gagna um væntanlega viðskiptamenn án samþykkis þeirra, eins og við eigi í tilviki kvartanda, sé eingöngu litið til lögvarinna hagsmuna. Gagna sé aldrei aflað fyrir hnýsni, eins og haldið hafi verið fram í kvörtuninni. Sem hluta af könnun væntanlegs viðskiptamanns, sbr. framangreint, framkvæmi Deloitte bakgrunnsathugun á væntanlegum viðskiptavinum áður en gengið sé frá þjónustusamningi við viðkomandi. Einn af þeim þáttum sem Deloitte geti skoðað í slíkri bakgrunnsathugun sé hvort viðkomandi sé þannig fjárhagslega staddur að hann geti staðið við skuldbindingar sínar vegna þeirrar þjónustu sem innt verði af hendi af hálfu fyrirtækisins. Liggi fyrir upplýsingar um bága fjárhagsstöðu væntanlegs viðskiptamanns kunni Deloitte að kanna hvort viðkomandi sé skráður á vanskilaskrá til að sannreyna þær upplýsingar áður en tekin sé ákvörðun um að hafna viðskiptum við viðkomandi. Þetta sé hefðbundið ferli hjá Deloitte vegna nýrra viðskipta og sérstaklega þegar fyrir liggi vitneskja frá fyrri tíð, í þessu tilviki um að kvartandi hafi ekki getað móttekið fjármuni á árinu 2013 vegna fjárhagsvandamála.

Þegar fyrir hafi legið að ekki yrði af umræddum viðskiptum hafi upplýsingum um uppflettinguna verið eytt, sbr. 3. tölul. 3. mgr. 14. gr. laga nr. 90/2018. Þá er því hafnað sem ósönnu og tilhæfulausu að starfsmaður Deloitte hafi áframsent gögn með upplýsingum um kvartanda enda liggi ekkert fyrir um að svo hafi verið.

4.

Viðbót við kvörtun og sjónarmið Deloitte þar um

Í svarbréfi kvartanda, dags. 5. september 2019, var óskað eftir því að Persónuvernd tæki til skoðunar hvort starfsmaður Deloitte hefði einnig flett kvartanda upp á vanskilaskrá árið 2013, sbr. það sem fram hafi komið í svarbréfi Deloitte, dags. 8. júlí 2019, en í svarbréfi kvartanda er vísað til umfjöllunar Deloitte um fjárhagsstöðu hennar á árinu 2013 og upplýst að kæranda sé ókunnugt um hvort Deloitte hafi flett henni upp á vanskilaskrá það ár. Í svarbréfi Deloitte vegna framangreinds er því hafnað að fyrirtækið hafi flett kvartanda upp í vanskilaskrá árið 2013.

Um þetta atriði stendur því orð gegn orði en engin gögn liggja fyrir í málinu um að umrædd uppfletting hafi átt sér stað. Þá telur Persónuvernd ekki ástæðu til þess, eins og hér háttar til, að beita úrræðum sem henni eru búin samkvæmt 41. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, til að upplýsa um atvik í því sambandi. Er þá jafnframt litið til þess að samkvæmt 2. mgr. í grein 2.10. í núgildandi starfsleyfi Creditinfo (mál nr. 2017/1541 hjá Persónuvernd) er Creditinfo einungis skylt að varðveita upplýsingar í atvikaskrá vegna uppflettinga í tvö ár.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að uppflettingu Deloitte á fjárhagsupplýsingum um kvartanda í gagnagrunni Creditinfo. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Deloitte vera ábyrgðaraðili að umræddri vinnslu.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Þarf einhverri af kröfum þess ákvæðis ávallt að vera fullnægt við slíka vinnslu, þ. á m. við uppflettingar í skrá Creditinfo um fjárhagsmálefni og lánstraust einstaklinga, þ.e. vanskilaskrá, en hún er haldin samkvæmt starfsleyfi frá Persónuvernd, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, og 15. gr. laga nr. 90/2018. Er framangreint sérstaklega áréttað í grein 2.1. í starfsleyfi Persónuverndar til starfrækslu skrárinnar, dags. 29. desember 2017 (mál nr. 2017/1541 hjá Persónuvernd), sem í gildi var þegar atvik málsins áttu sér stað.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

Uppflettingar í framangreindri skrá geta stuðst við 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þar sem fram kemur að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Í því tilviki sem hér er til skoðunar framkvæmdi Deloitte uppflettingu í vanskilaskrá. Tildrög uppflettingarinnar voru þau að lögmaður kvartanda hafði óskað eftir þjónustu Deloitte og hefur fyrirtækið upplýst að við slíkar aðstæður fari í gang könnun á væntanlegum viðskiptavinum. Þá kunni Deloitte að kanna sérstaklega, þegar fyrir liggi upplýsingar um bága fjárhagsstöðu væntanlegs viðskiptamanns, hvort viðkomandi sé skráður á vanskilaskrá til að sannreyna þær upplýsingar áður en beinlínis sé tekin ákvörðun um viðskipti við viðkomandi.

Við mat á því hvort umræddar uppflettingar falli undir framangreint ákvæði 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, verður að meta hvort hagsmunir ábyrgðaraðila af því að vinnslan fari fram vegi þyngra en hagsmunir hins skráða af því að vinnslan fari ekki fram. Þá verður vinnsla samkvæmt ákvæðinu einnig að vera nauðsynleg. Ljóst er að Deloitte getur haft lögmæta hagsmuni af því að kanna fjárhagsstöðu væntanlegra viðskiptavina og þá sér í lagi ef fyrirtækið hefur vitneskju um slæma fjárhagsstöðu viðkomandi og stofna á til reikningsviðskipta vegna þjónustunnar. Hins vegar er ljóst að aðila greinir á um það hvort kvartandi hafi óskað eftir þjónustu Deloitte.

Skal í því sambandi tekið fram að fallast má á það með Deloitte að fyrirspurnir lögmanns kvartanda hafi falið í sér ósk um þjónustu. Ekki verður hins vegar séð af gögnum þessa máls að Deloitte hafi upplýst kvartanda um að ekki hafi fengist samþykki [X] ehf. fyrir sértækri vinnu fyrir kvartanda sjálfa, svo og að [X] ehf. gerði hins vegar ekki athugasemdir við að Deloitte upplýsti um tilgreind atriði fyrir reikning kvartanda, kæmi til þess, sbr. framangreint. Þá verður ekki séð að kvartandi hafi að öðru leyti haft vitneskju um þetta atriði.

Með hliðsjón af atvikum máls þessa þykir ekki heldur unnt að fallast á að uppflettingin hafi verið nauðsynleg í áðurnefndum skilningi, á þeim tímapunkti sem hún átti sér stað. Er þá einkum litið til þess að tilgangur vinnslunnar var að kanna fjárhagsstöðu kvartanda áður en stofnað væri til reikningssviðskipta við hana. Í því sambandi er til þess að líta að Deloitte hefði getað staðreynt það, áður en uppfletting var framkvæmd, að kvartandi hygðist stofna til slíkra viðskipta við fyrirtækið.

Með vísan til framangreinds verður því ekki séð að skilyrði 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, hafi verið uppfyllt. Þá verður ekki talið að Deloitte hafi farið að áskilnaði 1. tölul. 1. mgr. 8. gr. laganna um gagnsæi og sanngirni við vinnsluna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar.

Ú r s k u r ð a r o r ð:

Vinnsla Deloitte ehf. á persónuupplýsingum um [A] samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Í Persónuvernd, 28. október 2020

Björg Thorarensen
formaður

Ólafur Garðarsson                 Björn Geirsson

Vilhelmína Haraldsdóttir                  Þorvarður Kári Ólafsson