Úrskurður um uppflettingar Íslandsbanka hf. á fjárhagsmálefnum einstaklings

Mál nr. 2020010650

23.11.2020

Úrskurður

Hinn 21. október 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010650 (áður mál nr. 2019071389):

I.

Málsmeðferð

1.

Tildrög máls

Hinn 15. júlí 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) yfir uppflettingum um fjárhagsmálefni hennar hjá Íslandsbanka hf. og miðlun upplýsinga um fjárhagsmálefni hennar til fólks utan bankans.

Með bréfi, dagsettu 1. október 2019, var Íslandsbanka boðið að koma á framfæri skýringum vegna kvörtunarinnar. Íslandsbanki svaraði með bréfi, dagsettu 22. október 2019. Með bréfi, dagsettu 21. nóvember 2019, var kvartanda gefinn kostur á að gera athugasemdir við sjónarmið Íslandsbanka. Af hálfu kvartanda var Persónuvernd sendur tölvupóstur 13. mars 2020 þar sem sett var upp tímalína yfir atvik málsins. Með bréfi, dagsettu 28. apríl 2020, voru sendar frekari skýringar um málið frá kvartanda.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.

Sjónarmið kvartanda

Kvartandi kveður upplýsingar um fjárhagsmálefni hennar hafa breiðst út meðal fólks án aðkomu hennar sjálfrar eða aðila nákominna henni og hafi hún rökstuddan grun um að starfsmaður Íslandsbanka hf. (hér eftir nefndur [B]) hafi komið þessum upplýsingum til óviðkomandi. Kvartandi kannist við [B] í gegnum dóttur hans, sem hafi unnið um tíma hjá kvartanda. Kvartandi hafi meðal annars heyrt frá dóttur[B] að hann hafi greint henni frá fjárhagsmálefnum kvartanda.

Kvartandi vísar í og leggur fram afrit af samskiptum milli sín og dóttur [B] og kveður þau benda til þess að [B] beri óvild í garð kvartanda. Þá hafi starfsmaður Íslandsbanka flett kvartanda upp hjá Creditinfo Lánstrausti hf. (hér eftir nefnt Creditinfo) tveimur dögum eftir þessi samskipti.

Kvartandi hefur lagt fram afrit af uppflettingum um hana frá Creditinfo sem sýnir að Íslandsbanki hafi flett henni upp tíu sinnum frá og með 3. ágúst 2018 til og með 18. júní 2019.

3.

Sjónarmið Íslandsbanka hf.

Íslandsbanki hf. hefur upplýst um að kvartandi hafi einnig lagt fram kvörtun hjá bankanum, 28. júlí 2019, þar sem hún hafi talið rökstuddan grun um að tiltekinn starfsmaður bankans, [B], hefði komið upplýsingum um fjárhagsmálefni hennar til óviðkomandi. Í því sambandi vísar Íslandsbanki til 58. gr. laga nr. 161/2002, um fjármálafyrirtæki, sem kveður á um þagnarskyldu starfsmanna fjármálafyrirtækja um þær upplýsingar sem þeir fá vitneskju um við framkvæmd starfa síns og varða viðskipta- og einkamálefni viðskiptamanna. Bankinn hafi einnig sett starfsmönnum sínum starfsreglur sem kveði meðal annars á um að virða skuli reglur um þagnarskyldu og meðferð trúnaðarupplýsinga og að þeir skuli aldrei nýta trúnaðarupplýsingar, sem þeir öðlist í krafti stöðu sinnar, í þágu eigin hagsmuna eða vandamanna. Brot á þessum reglum geti varðað áminningu eða brottrekstur úr starfi. Einnig séu í gildi reglur um meðferð viðskiptamannaupplýsinga sem kveði á um þagnarskyldu. Innri endurskoðun bankans, sem sé sjálfstæð og óháð eining innan bankans, meti hvort notkun starfsmanna á kerfum sem innihalda viðskiptamannaupplýsingar sé í samræmi við reglur. Innri endurskoðun hafi því tekið framangreinda kvörtun til meðferðar með persónuverndarfulltrúa bankans. Við skoðunina hafi verið farið yfir atburðaskrá bankans og uppflettingar og rætt við [B]. Niðurstaða rannsóknarinnar hafi verið að ekkert hafi bent til þess að kvörtunin ætti við rök að styðjast. Kvartanda hafi verið tilkynnt um þau málalok.

Íslandsbanki kveður umræddar uppflettingar hjá Creditinfo hafa verið könnun á fjárhagsstöðu kvartanda í tengslum við fjárskuldbindingar hennar við bankann, sem hafi verið í löginnheimtu. Það sé almennt gert til að kanna vanskilasögu viðkomandi. Skráningar á vanskilaskrá hafi mikið að segja um líkurnar á endurheimtum og þá í hvaða aðgerðir sé ráðist. Ef viðskiptavinur er með skráningar á vanskilaskrá í upphafi innheimtuferils geti verið að kröfur á hendur honum séu afskriftarhæfar þegar í upphafi og þá óþarft og tilgangslaust að ráðast í tímafrekar og kostnaðarsamar aðgerðir. Upplýsingar um skráningu árangurslauss fjárnáms geti leitt til þess að unnt sé að fara fram á gjaldþrotaskipti hjá viðskiptavini ef þörf krefji og því mikilvægt að kanna þær skráningar. Fjármálafyrirtæki skuli á hverjum tíma hafa yfir að ráða tryggu eftirlitskerfi með áhættu í tengslum við starfsemi sína, sbr. 17. gr. laga nr. 161/2002, um fjármálafyrirtæki. Slíkt eftirlitskerfi byggi á að viðhafa þurfi virkt eftirlit með áhættum í starfsemi fjármálafyrirtækis þ.m.t. eftirlit með vanskilaskráningum í tengslum við útlán og innheimtu. Starfsmenn bankans, þ.m.t. [B], þurfi því starfs síns vegna að fletta upp viðskiptamönnum bankans í vanskilaskrá. Umrædd vinnsla persónuupplýsinga byggist þar af leiðandi bæði á lögmætum hagsmunum og lagaskyldu bankans, sbr. 3. og 6. tölulið 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Atburðaskráningar bankans sýni að engar af þeim uppflettingum hjá Creditinfo, sem tilteknar séu í fylgiskjölum með kvörtun málsins, hafi verið framkvæmdar af [B]. Hins vegar hafi kvartandi verið í beinum samskiptum við [B] vegna þeirra fjárskuldbindinga hennar sem hafi verið í löginnheimtu. Kvartanda megi því vera ljóst að [B] hafi unnið með mál tengd henni.

Íslandsbanki telur að afrit af samskiptum milli kvartanda og dóttur [B], sem vísað er til og lagt er fram með kvörtun málsins, hafi ekki þýðingu. Einungis sé um að ræða frásögn af samtali við [B] og engar vísbendingar þar um að óviðkomandi hafi verið greint frá fjárhagsmálefnum kvartanda.

4.

Vettvangsathugun hjá Íslandsbanka hf.

Hinn 24. júní 2020 fóru starfsmenn Persónuverndar á starfsstöð Íslandsbanka hf. í Kópavogi til þess að fara yfir skráningar bankans á uppflettingum um fjárhagsmálefni kvartanda. Farið var yfir uppflettingar bankans á kvartanda hjá Creditinfo á tímabilinu frá og með 3. ágúst 2018 til og með 18. júní 2019 og uppflettingar starfsmannsins [B] á kvartanda í viðskiptamannakerfi bankans árin 2018 og 2019. Í tengslum við þær skráningar var einnig farið yfir tölvupóstsamskipti starfsmannsins [B], bæði við kvartanda og sem vörðuðu kvartanda, frá árunum 2016-2019.

Af framangreindum tölvupóstsamskiptum mátti sjá að árin 2016, 2018 og 2019 var [B] beðinn um að vinna með mál kvartanda af öðrum starfsmönnum bankans og að [B] átti í einhverjum tilvikum í beinum samskiptum við kvartanda vegna mála hennar hjá bankanum.

Af uppflettingum [B] á kvartanda í viðskiptamannakerfi bankans mátti sjá að allar uppflettingar á umræddu tímabili tengdust annaðhvort vinnslu í löginnheimtukerfi bankans eða í samkomulagslista (lista yfir samkomulög um greiðslur skulda). Samkvæmt starfsmanni innri endurskoðunar, sem var viðstaddur athugun Persónuverndar, voru skráningarnar í samræmi við handbók sem starfsmenn vinna eftir.

Þá voru teknar saman upplýsingar um hvaða starfsmenn bankans flettu kvartanda upp í skrám Creditinfo frá og með 3. ágúst 2018 til og með 18. júní 2019 og í hvaða tilgangi. Allar uppflettingarnar á þessum tíma, utan tveggja, voru gerðar vegna „mats á lánshæfi“. Samkvæmt upplýsingum frá bankanum voru þær uppflettingar gerðar vegna könnunar á fjárhagsstöðu kvartanda í tengslum við fjárskuldbindingar sem voru í innheimtu. Ein uppfletting var vegna fjármögnunar (bílalán, fjármögnun tækja eða véla o.þ.h.) hjá Ergo en við eina uppflettingu, 27. nóvember 2018, hefur ekki verið skráður starfsmaður eða tilgangur en notandanafn uppflettingar er „iluppflglitnir“.

Í kjölfarið óskaði Persónuvernd upplýsinga frá Creditinfo um uppflettinguna 27. nóvember 2018. Í svari fyrirtækisins, sem barst Persónuvernd með tölvupósti 7. júlí 2020, kom fram að þessi tiltekna uppfletting hafi ekki verið í vanskilaskrá heldur hafi verið um að ræða uppflettingu í Þjóðskrá, sem gerð hafi verið í gegnum innheimtukerfi bankans.

II.

Forsendur og niðurstaða

1.

Afmörkun máls

Kvörtun málsins lýtur, sem fyrr segir, að uppflettingum um fjárhagsmálefni kvartanda hjá Íslandsbanka hf. og hvort starfsmaður bankans, [B], hafi miðlað upplýsingum um kvartanda, sem hann hefur aðgang að vegna starfs síns, til óviðkomandi.

Samkvæmt 2. mgr. 39. gr. laga nr. 90/2018 á skráður einstaklingur rétt á að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við lögin og reglugerð (ESB) 2016/679 og úrskurðar Persónuvernd um hvort brot hafi átt sér stað.

Í máli þessu hefur ekkert komið fram sem bendir til þess að [B] hafi miðlað upplýsingum um kvartanda, sem hann hefur aðgang að vegna starfs síns, til óviðkomandi, líkt og kvartanda grunar. Af þeim sökum getur Persónuvernd ekki tekið afstöðu til þess hvort meint miðlun persónuupplýsinga falli undir gildissvið laganna og, ef svo, hvort brot hafi átt sér stað.

Úrlausn þessa máls afmarkast því við uppflettingar á fjárhagsmálefnum kvartanda hjá Íslandsbanka á tilteknu tímabili árin 2018 og 2019. Annars vegar er um að ræða uppflettingar bankans á kvartanda hjá Creditinfo og hins vegar uppflettingar starfsmannsins [B] á kvartanda í kerfum bankans.

2.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölulið 3. gr. laganna og 1. tölulið 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölulið 3. gr. laganna og 2. tölulið 4. gr. reglugerðarinnar.

Með hliðsjón af framangreindum ákvæðum teljast uppflettingar Íslandsbanka hf. á kvartanda hjá Creditinfo og uppflettingar starfsmannsins [B] á kvartanda í kerfum bankans vera vinnsla persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölulið 4. gr. reglugerðarinnar. Eins og hér háttar til telst Íslandsbanki vera ábyrgðaraðili að umræddri vinnslu.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að byggjast á einhverri þeirra heimilda sem greinir í 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðarinnar, einnig sú vinnsla sem felst í uppflettingum í skrám um fjárhagsmálefni einstaklinga, hvort sem það eru skrár Creditinfo eða skrár sem bankar halda sjálfir, svo sem á reynir í þessu máli.

Sú vinnsla persónuupplýsinga sem felst í uppflettingum banka á fjárhagsupplýsingum viðskiptamanna hans getur einkum byggst á heimildum samkvæmt 2. tölulið 9. gr. laga nr. 90/2018, sbr. b-lið 1. mgr. 6. gr. reglugerðarinnar, sem kveður á um að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, eða 6. tölulið 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, sem kveður á um að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjist verndar persónuupplýsinga, vegi þyngra.

Þá verður öll vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, sem kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. töluliður); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. töluliður); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. töluliður).

3.1.

Uppflettingar Íslandsbanka hf. á kvartanda í vanskilaskrá Creditinfo Lánstrausts hf.

Skrá Creditinfo um fjárhagsmálefni og lánstraust einstaklinga, þ.e. vanskilaskrá, er haldin samkvæmt starfsleyfi frá Persónuvernd, samkvæmt 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, sbr. 15. gr. laga nr. 90/2018. Í grein 2.1. í gildandi starfsleyfi Persónuverndar, dagsettu 29. desember 2017, er áréttað að vinnsla persónuupplýsinga skuli alltaf, óháð því hver ber ábyrgð á henni, byggjast á heimild í persónuverndarlögum.

Fram kemur í máli Íslandsbanka að tilgangur uppflettinga bankans á kvartanda í skrám Creditinfo hafi verið að kanna fjárhagsstöðu kvartanda í tengslum við fjárskuldbindingar hennar hjá bankanum sem hafi verið í löginnheimtu. Þetta geri bankinn almennt til að meta líkur á endurheimtu og þar með hvaða aðgerðir verði ráðist í. Könnunin geti til dæmis leitt í ljós að óþarft sé og tilgangslaust að ráðast í tímafrekar og kostnaðarsamar aðgerðir eða að unnt sé að fara fram á gjaldþrotaskipti.

Í samræmi við fyrri niðurstöður Persónuverndar, meðal annars í máli nr. 2014/1397, getur það talist helgast af lögmætum hagsmunum og verið nauðsynlegt fyrir lánastofnun að vinna með upplýsingar í tengslum við innheimtu, til dæmis til að líta til greiðsluhæfis viðkomandi þegar ákveðið er hvernig staðið skuli að innheimtu krafna.

Samkvæmt fylgiskjali með kvörtun málsins fletti Íslandsbanki kvartanda upp tíu sinnum í vanskilaskrá Creditinfo frá og með 3. ágúst 2018 til og með 18. júní 2019. Samkvæmt upplýsingum sem Persónuvernd var veittur aðgangur að á starfsstöð bankans var kvartanda flett upp alls fimmtán sinnum í vanskilaskrá Creditinfo af hálfu starfsmanna bankans á því tímabili sem um ræðir. Líkt og fram hefur komið voru allar uppflettingar á þessu tímabili, utan einnar, vegna mats á lánshæfi. Ein var vegna fjármögnunar hjá Ergo.

Með hliðsjón af framangreindu er það mat Persónuverndar að þær uppflettingar bankans í vanskilaskrá Creditinfo, sem voru vegna könnunar á fjárhagsstöðu kvartanda í tengslum við fjárskuldbindingar sem voru í löginnheimtu og vegna fjármögnunar, hafi helgast af lögmætum hagsmunum bankans og verið nauðsynlegar í tengslum við úrvinnslu hans á málum kvartanda hjá bankanum. Þá verður ekki séð að hagsmunir kvartanda af því að vinnslan færi ekki fram hafi vegið þyngra en hagsmunir bankans. Umrædd vinnsla var því lögmæt samkvæmt skilyrðum 6. töluliðar 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar.

Með hliðsjón af því sem að framan greinir um lögmæti vinnslunnar telur Persónuvernd liggja fyrir í málinu að Íslandsbanki hafi aflað upplýsinga um kvartanda úr vanskilaskrá Creditinfo í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og hefur ekkert komið fram sem bendir til þess að þær hafi verið unnar í öðrum og ósamrýmanlegum tilgangi. Þá má sjá af skráningu Íslandsbanka varðandi uppflettingarnar að þær hafa ekki verið umfram það sem nauðsynlegt var miðað við tilgang vinnslunnar. Hvað varðar gagnsæi vinnslunnar gagnvart hinum skráða verður að líta til þess að bankinn heldur skrá um uppflettingar starfsmanna hans í kerfum Creditinfo þar sem fram kemur hver fletti hverjum upp og í hvaða tilgangi. Aðeins í einu tilviki var misbrestur á skráningu tilgangs en unnt var að nálgast þær upplýsingar hjá Creditinfo.

Að framangreindu virtu er niðurstaða Persónuverndar sú að umrædd vinnsla Íslandsbanka á persónuupplýsingum um kvartanda hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

3.2.

Vinnsla fjárhagsupplýsinga um kvartanda innan Íslandsbanka hf.

Kvörtun málsins beinist sérstaklega að tilgreindum starfsmanni Íslandsbanka hf., [B]. Líkt og að framan greinir er [B] ekki skráður við neina af uppflettingum bankans hjá Creditinfo Lánstrausti hf. á umræddu tímabili. Í kvörtuninni segir að [B] gæti hafa fengið upplýsingar um fjárhagsmálefni kvartanda með öðrum hætti en með uppflettingum hjá Creditinfo. Á starfsstöð Íslandsbanka var því farið yfir tölvupóstsamskipti starfsmannsins [B], bæði við kvartanda og sem vörðuðu kvartanda, og uppflettingar starfsmannsins á kvartanda í viðskiptamannakerfi bankans.

Ljóst er af tölvupóstsamskiptunum að [B] var falið að vinna með mál kvartanda af öðrum starfsmönnum bankans og átti í einhverjum tilvikum í beinum samskiptum við kvartanda vegna mála hennar hjá bankanum.

Af uppflettingum [B] á kvartanda í viðskiptamannakerfi bankans mátti sjá að allar uppflettingar á umræddu tímabili tengdust annaðhvort vinnslu í löginnheimtukerfi bankans eða í samkomulagslista. Samkvæmt starfsmanni innri endurskoðunar bankans eru skráningarnar í samræmi við handbók sem starfsmenn vinna eftir.

Með hliðsjón af þeim upplýsingum, sem fram komu í tölvupóstsamskiptum [B], og skráningum bankans varðandi uppflettingar í viðskiptamannakerfi bankans telur Persónuvernd að uppflettingar [B] á kvartanda í viðskiptamannakerfi bankans hafi helgast af lögmætum hagsmunum bankans og verið nauðsynlegar í tengslum við úrvinnslu hans á málum kvartanda hjá bankanum. Þá verður ekki séð að hagsmunir kvartanda af því að vinnslan færi ekki fram hafi vegið þyngra en hagsmunir bankans. Umrædd vinnsla var því lögmæt samkvæmt skilyrðum 6. töluliðar 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar.

Þá benda skráningar Íslandsbanka til þess að [B] hafi eingöngu flett kvartanda upp í skýrt tilgreindum tilgangi í samræmi við handbók bankans og hefur ekkert komið fram sem bendir til þess að upplýsingar um kvartanda, fengnar með þessum hætti, hafi verið unnar í öðrum og ósamrýmanlegum tilgangi. Þá bendir ekkert til annars en að uppflettingarnar hafi verið nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt var miðað við tilgang vinnslunnar. Hvað varðar gagnsæi vinnslunnar gagnvart kvartanda verður að líta til þess að bankinn heldur skrá um uppflettingar starfsmanna hans í viðskiptamannakerfi bankans og heldur utan um það hvenær hver starfsmaður vinnur í löginnheimtukerfi bankans og samkomulagslista.

Að öllu framangreindu virtu er það niðurstaða Persónuverndar að umrædd vinnsla Íslandsbanka á persónuupplýsingum um kvartanda hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Vinnsla Íslandsbanka hf. á persónuupplýsingum um [A], sem fólst í uppflettingum á henni í skrá Creditinfo Lánstrausts hf., um fjárhagsmálefni og lánstraust einstaklinga, frá og með 3. ágúst 2018 til og með 18. júní 2019, samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Vinnsla Íslandsbanka hf. á persónuupplýsingum um [A], sem fólst í uppflettingum [B], starfsmanns bankans, á henni í viðskiptamannakerfi bankans árin 2018 og 2019, samrýmdist lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Persónuvernd, 21. október 2020,

Helga Þórisdóttir                             Helga Sigríður Þórhallsdóttir