Úrskurður vegna varðveislu persónuupplýsinga hjá Íslandsbanka
Mál nr. 2018/126
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir varðveislu upplýsinga um kvartanda hjá Íslandsbanka hf. eftir að hann hætti viðskiptum við bankann. Kvartandi sleit viðskiptasambandi við bankann í ágúst 2017, en í október sama ár fékk hann markaðssetningartölvupóst frá bankanum. Í kjölfarið kvartaði hann til Póst- og fjarskiptastofnunar, en þess var óskað að sá hluti málsins sem félli undir verksvið Persónuverndar yrði framsendur þangað. Komst Persónuvernd að þeirri niðurstöðu að ekki sé unnt að útiloka að eftir að viðskiptasambandi lýkur megi gera ráð fyrir því um nokkurt skeið að reynt geti á einstaka þætti sambandsins, einstaka reikninga og annars konar löggerninga sem því tengjast og samrýmdist varðveisla ábyrgðaraðila á netfangi kvartanda því þágildandi lögum nr. 77/2000.
Úrskurður
Á fundi stjórnar Persónuverndar þann 28. nóvember 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2018/126:
I.
Málsmeðferð
1.
Tildrög máls
Þann 15. janúar 2018 barst Persónuvernd framsend kvörtun frá Póst- og fjarskiptastofnun, dags. 30. október 2017, frá X (hér eftir nefndur kvartandi) vegna vinnslu persónuupplýsinga um hann hjá Íslandsbanka hf. Kvartað var yfir óumbeðnum fjarskiptum Íslandsbanka, nánar tiltekið markaðssetningartölvupósti sem sendur var frá Íslandsbanka til kvartanda, eftir að kvartandi hætti viðskiptum við Íslandsbanka.
Í kvörtun segir m.a. að í ágúst 2017 hafi kvartandi hætt viðskiptum við Íslandsbanka og lokað öllum reikningum sínum hjá bankanum, en þann 27. október s.á. hafi hann fengið sendan markaðssetningartölvupóst frá bankanum.
2.
Málsmeðferð hjá Póst- og fjarskiptastofnun
Póst- og fjarskiptastofnun tilkynnti Íslandsbanka um kvörtunina með bréfi, dags. 15. nóvember 2017, þar sem óskað var eftir afstöðu félagsins til þess hvort markaðssetning þess til kvartanda hefði samrýmst 46. gr. fjarskiptalaga nr. 81/2003. Svar barst með bréfi, dags. 29. s.m., þar sem segir m.a. að Íslandsbanki hafi yfirfarið málið og að sú rannsókn hafi leitt í ljós að mistök hafi verið gerð við sendingu tölvupóstsins að því leyti að nafn kvartanda hafi ekki átt að vera á lista yfir þá sem pósturinn var sendur til. Þá segir að netfangi kvartanda hafi þegar verið eytt úr kerfum bankans og að verklag hafi verið yfirfarið í því skyni að sambærileg atvik eigi sér ekki stað aftur. Með bréfi Póst- og fjarskiptastofnunar, dags. 11. desember 2017, var kvartanda tilkynnt um niðurfellingu málsins á þeim grundvelli að bankinn hefði lýst því yfir að ekki hefði átt að senda honum umræddan póst. Stofnunin teldi þar með ekki um að ræða ágreining í málinu sem skera þyrfti úr með ákvörðun.
Í kvörtuninni sem barst Póst- og fjarskiptastofnun var meðal annars farið fram á við stofnunina að hún myndi gera Íslandsbanka að eyða þeim persónuupplýsingum sem bankinn varðveitti um kvartanda. Þá var þess óskað að sá hluti málsins sem félli undir verksvið Persónuverndar yrði framsendur þangað til þóknanlegrar afgreiðslu, en eins og að framan greinir var það gert með áðurnefndu bréfi, sem barst Persónuvernd þann 15. janúar 2018.
3.
Bréfaskipti
Með bréfi Persónuverndar, dags. 13. júní 2018, var Íslandsbanka hf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Óskað var upplýsinga um á grundvelli hvaða heimildar í lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, netfang kvartanda var varðveitt eftir að hann lauk viðskiptum við bankann og þar til netfanginu var eytt úr kerfum bankans í kjölfar kvörtunar hans til Póst- og fjarskiptastofnunar.
Svar barst með bréfi, dags. 25. júní 2018. Í bréfinu segir m.a. að Íslandsbanki eyði ekki gögnum um nafn, kennitölu og netfang um leið og viðskiptamenn slíti viðskiptum við bankann, en reikningur kvartanda hafi verið eyðilagður þann 24. ágúst 2017. Þá segir að bankinn byggi varðveislu á netfangi kvartanda eftir að viðskiptum lauk á heimild 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þar sem varðveislan sé nauðsynleg til að gæta lögmætra hagsmuna bankans. Nauðsynlegt sé fyrir bankann að geta geymt grunnupplýsingar um fyrrverandi viðskiptamenn í ákveðinn tíma eftir að viðskiptum lýkur, þ.m.t. samskiptaupplýsingar líkt og netfang. Einnig segir að bankinn telji nauðsynlegt að hafa umræddar upplýsingar á skrá hjá sér ef fram komi fyrirspurnir eða athugasemdir við eitthvað sem snertir viðskiptin í a.m.k. fjögur ár, sem sé almennur fyrningartími kröfuréttinda, sbr. 3. gr. laga nr. 150/2007 um fyrningu kröfuréttinda.
Með bréfi, dags. 18. september 2018, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Íslandsbanka. Svarbréf kvartanda er dagsett þann 3. október s.á. Þar segir m.a. að skýringar Íslandsbanka mæti skilningi kvartanda en einar og sér geti þær þó ekki réttlætt þá vinnslu persónuupplýsinga sem leiddi til beinnar markaðssetningar gagnvart honum. Í bréfinu segir að þegar viðskiptasambandi kvartanda og bankans hafi lokið þá hafi bankinn tapað heimild sinni til varðveislu og vinnslu persónuupplýsinga um kvartanda, nema í þeim tilvikum þar sem varðveislan fari fram á grundvelli lagaskyldu eða annarrar viðunandi heimildar sem haldi gildi sínu þrátt fyrir lok viðskiptasambandsins. Við lok þess hafi bankanum borið að tryggja eyðingu þeirra persónuupplýsinga sem hann aflaði í tengslum við viðskiptin og stöðvun vinnslu persónuupplýsinga sem ekki ætti sér stoð í slíkri heimild.
Þá er því mótmælt að heimilt sé að varðveita netfangið á grundvelli lögmætra hagsmuna í tengslum við fyrningu kröfuréttinda, en í bréfinu segir m.a. að kvartandi telji ekki heimilt að varðveita persónuupplýsingar á þeim grundvelli nema með réttu megi ætla að þeirra sé þörf vegna meðhöndlunar krafna innan bankans, hvort sem þeim sé haldið uppi af bankanum sjálfum eða til andsvara vegna krafna sem hafðar eru uppi gagnvart honum. Bankinn geti ekki borið fram slíkar almennar réttlætingarástæður heldur þurfi hann að meta hversu nauðsynlegt sé að varðveita hverja tegund persónuupplýsinga vegna mögulegra krafna á meðan á fyrningartíma stendur.
II.
Forsendur og niðurstaða
1.
Lagaskil
Mál þetta varðar kvörtun sem barst Persónuvernd þann 8. janúar 2018 og lýtur að atvikum sem gerðust fyrir gildistöku núgildandi laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, þann 15. júlí 2018. Umfjöllun og efni þessa úrskurðar verða því byggð á ákvæðum eldri laga, nr. 77/2000, en ekki er um efnislegar breytingar að ræða í lögum nr. 90/2018 á þeim ákvæðum laganna sem hér reynir á.
2.
Afmörkun máls og gildissvið laga nr. 77/2000
Í kvörtuninni sem barst Póst- og fjarskiptastofnun þann 30. október 2017 var kvartað yfir óumbeðnum fjarskiptum Íslandsbanka, nánar tiltekið sendingu tölvupósts í markaðssetningartilgangi. Hér er hinsvegar til skoðunar hvort varðveisla Íslandsbanka á netfangi kvartanda, eftir að viðskiptasambandi þeirra lauk í ágúst 2017, samrýmdist lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Íslandsbanki vera ábyrgðaraðili að umræddri vinnslu.
3.
Lögmæti vinnslu
Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Samkvæmt 7. tölul. 1. mgr. þeirrar greinar er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi hins skráða vegi þyngra. Í tengslum við varðveislu Íslandsbanka hf. á tengiliðaupplýsingum kvartanda, þ.m.t. netfangi, reynir einkum á hvort kröfum þessa ákvæðis sé fullnægt. Fram hefur komið af hálfu bankans að varðveislan þjóni þeim tilgangi að hægt verði að greiða úr álitaefnum varðandi viðskipti sem á reynir eftir að þeim lýkur, s.s. ef fram koma fyrirspurnir eða athugasemdir við eitthvað sem snertir viðskiptin. Þá kemur fram af hálfu bankans að höfð sé hliðsjón af hinum almenna fjögurra ára fyrningarfresti krafna sem mælt er fyrir um í 3. gr. laga nr. 150/2007 um fyrningu kröfuréttinda.
Persónuvernd telur ekki unnt að útiloka að eftir að viðskiptasambandi lýkur megi gera ráð fyrir því um nokkurt skeið að reynt geti á einstaka þætti sambandsins eða einstaka reikninga og annars konar löggerninga sem því tengjast. Telur Persónuvernd því að tímabundin varðveisla upplýsinganna geti verið heimil, sbr. til hliðsjónar þann tímaramma sem mælt er fyrir um í áðurnefndu ákvæði laga nr. 150/2007. Þegar litið er til 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og þess að skammur tími var liðinn frá lokum viðskipta kvartanda við Íslandsbanka hf. þegar tölvupósturinn var sendur, sem og þegar netfanginu var eytt, telur Persónuvernd því umrædda varðveislu upplýsinga um hann hafa samrýmst lögum nr. 77/2000.
Ú r s k u r ð a r o r ð:
Varðveisla Íslandsbanka hf. á netfangi kvartanda samrýmdist lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.