Vinnsla Íslandsbanka hf. á persónuupplýsingum viðskiptavinar

Mál nr. 2018/1605

28.6.2019

Úrskurður

Persónuvernd kvað upp svohljóðandi úrskurð 20. júní 2019 í máli nr. 2018/1605:

I.

Málsmeðferð

1.

Kvörtun

Hinn 5. október 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) yfir því að Kreditkort hf., nú Íslandsbanki hf., hefði sent upplýsingar um greiðsludreifingu á greiðslukorti hennar á netfang þriðja aðila.

Nánar tiltekið segir í kvörtuninni að kvartandi hafi stofnað greiðslukort hjá Kreditkortum hf. 27. desember 2016. Hún hafi hringt í Kreditkort hf. 3. október 2018 og spurt um stöðu á greiðsludreifingu sem hún hafi stofnað til á framangreindu korti en verið tjáð að ekki væri unnt að veita þær upplýsingar í síma. Viðkomandi starfsmaður hafi boðist til að senda henni þessar upplýsingar í tölvupósti, sem hún hafi þegið. Hún hafi hins vegar ekki fengið umræddan tölvupóst. Tveimur dögum síðar hafi hún fengið upplýsingar frá þriðja aðila um að hann hefði fengið tölvupóstinn sem ætlaður hafi verið henni 3. október 2018. Sá aðili hafi áframsent kvartanda póstinn frá noreply@borgun.is og tilkynnt Kreditkortum hf. strax sama dag um mistökin en ekki fengið nein svör.

Kvörtuninni fylgdi afrit af framangreindum tölvupósti og umsókn kvartanda um kreditkortið, dagsett 27. desember 2016. Á umsóknina hefur verið skráð rétt netfang kvartanda.

2.

Bréfaskipti

Með bréfi, dagsettu 2. janúar 2019, var Íslandsbanka hf. boðið að koma á framfæri skýringum vegna kvörtunarinnar. Persónuvernd óskaði sérstaklega upplýsinga um hvort öryggisbresturinn hefði verið tilkynntur til stofnunarinnar. Íslandsbanki hf. svaraði með bréfi, dagsettu 16. janúar 2019. Í bréfinu segir að kvartandi hafi í fyrrgreindu símtali óskað eftir upplýsingum um stöðu greiðsludreifingar á greiðslukorti sem hún hafi stofnað árið 2008. Í kjölfarið hafi verið sendur póstur með upplýsingum á netfang einstaklings sem hafi verið aukakorthafi að umræddu korti. Aukakortinu hafi verið lokað árið 2012 en netfangið hafi enn verið tengt kortinu í kerfum bankans, ásamt réttu netfangi kvartanda. Þá segir í svarbréfinu að umsóknin sem fylgt hafi kvörtuninni sé ekki tengd framangreindum greiðslukortum, aðal- og aukakorti. Um annað kort sé að ræða. Umsóknin og það netfang sem þar sé skráð hafi því ekki breytt skráningu netfanga sem tengd hafi verið eldri kortunum. Netfangi þriðja aðila hafi verið eytt úr kerfum bankans og haft hafi verið samband við kvartanda og henni tilkynnt um þá ráðstöfun. Loks segir að Íslandsbanki hf. hafi tilkynnt Persónuvernd um atvikið með tilkynningu um öryggisbrest 9. janúar 2019. Tilkynning þriðja aðila, sem fengið hafi umræddar upplýsingar fyrir mistök, virðist ekki hafa borist bankanum og því hafi bankinn ekki orðið var við atvikið fyrr en með tilkynningu Persónuverndar um málið.

Með bréfi Persónuverndar, dagsettu 29. janúar 2019, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Íslandsbanka hf. Kvartandi svaraði með bréfi, dagsettu 7. febrúar 2019. Í bréfinu segir að kvartandi hafi lokað eldra korti 4. júní 2012. Hún hafi sótt um nýtt kort í desember 2016 og greitt fyrsta reikninginn af nýju korti í febrúar 2017. Hún skilji því ekki þá fullyrðingu sem fram komi í svarbréfi Íslandsbanka hf. um að umsóknin frá árinu 2016 tengist ekki því korti sem hún hafi fengið greiðsludreifingu á og um ræðir í þessu máli.

Með bréfi Persónuverndar, dagsettu 14. febrúar 2019, var óskað staðfestingar Íslandsbanka hf. á því hvort umrætt yfirlit yfir greiðsludreifingu hefði tilheyrt greiðslukorti kvartanda sem hún hefði stofnað til árið 2008 eða 2016. Íslandsbanki hf. svaraði með bréfi, dagsettu 27. febrúar 2019. Þar segir að starfsmaður bankans hafi þegar haft samband við kvartanda og beðist afsökunar á mislestri úr kerfum bankans. Þegar kvartandi hafi sótt um nýtt kort árið 2016 hafi eldri reikningur, tengdur kortinu sem hún hafi sótt um árið 2008, verið enduropnaður. Saga eldra korts sé þá til um leið og ný hefjist. Þetta hafi leitt til þess að í fyrra svari hefði verið fullyrt að um ræddi greiðslukort kvartanda sem stofnað hefði verið til árið 2008. Til skoðunar sé hvort hægt sé að aftengja þann möguleika að velja aukakorthafa þegar greiðsludreifingar séu afgreiddar.

Með bréfi Persónuverndar, dagsettu 13. mars 2019, var kvartanda boðið að koma á framfæri athugasemdum við þessar skýringar Íslandsbanka hf. Kvartandi svaraði með bréfi, dagsettu 27. mars 2019. Í bréfinu segir að kvartandi óski eftir að fá úrlausn um það hvort vinnsla persónuupplýsinga hjá Íslandsbanka hf. umrætt sinn hafi verið í samræmi við ákvæði persónuverndarlaga. Kvartandi geri athugasemdir við að hún hafi ekki verið upplýst um að eldri reikningur hafi verið enduropnaður þegar hún hafi sótt um nýtt kort í desember 2016. Hefði hún vitað það hefði hún örugglega farið yfir skráðar persónuupplýsingar. Þá geri kvartandi athugasemdir við að Íslandsbanki hf. hafi ekki brugðist við öryggisbrestinum þegar viðtakandi upplýsinganna hafi gert bankanum viðvart þar um, með því að láta kvartanda og Persónuvernd vita.

II.

Forsendur og niðurstaða

1.

Afmörkun máls

Í málinu er óumdeilt að öryggisbrestur varð þegar Íslandsbanki hf. sendi persónuupplýsingar kvartanda óviðkomandi aðila. Hins vegar er deilt um það hvort Íslandsbanki hf. hafi tilkynnt Persónuvernd, og eftir atvikum kvartanda, um öryggisbrestinn án ótilhlýðilegrar tafar í samræmi við ákvæði 2. og 3. mgr. 27. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. ákvæði 33. og 34. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679.

Þá vill kvartandi einnig fá úr því skorið hvort vinnsla persónuupplýsinga hjá Íslandsbanka hf. umrætt sinn hafi verið í samræmi við ákvæði persónuverndarlaga. Þó er ekki ágreiningur um að Íslandsbanka hf. hafi verið heimilt að vinna persónuupplýsingar um kvartanda í tengslum við greiðslukortaþjónustu sem henni var veitt.

2.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem eru einkennandi fyrir hann, sbr. 2. tölulið 3. gr. laganna og 1. tölulið 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölulið 3. gr. laganna og 2. tölulið 4. gr. reglugerðarinnar.

Mál þetta lýtur að skráningu og miðlun persónuupplýsinga um kvartanda í tengslum við greiðslukortaþjónustu sem henni var veitt. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölulið 4. gr. reglugerðarinnar. Eins og hér háttar til telst Íslandsbanki hf. vera ábyrgðaraðili að umræddri vinnslu.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að byggjast á einhverri þeirra heimilda sem greinir í 9. gr. laga nr. 90/2018. Líkt og að framan greinir er ekki ágreiningur um það í málinu að Íslandsbanka hf. hafi verið heimilt að vinna persónuupplýsingar um kvartanda í tengslum við greiðslukortaþjónustu sem henni var veitt. Slík vinnsla getur enda verið heimil á grundvelli samþykkis hins skráða, samkvæmt 1. tölulið 9. gr., á grundvelli 2. töluliðar 9. gr., sem kveður á um að vinnsla sé heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að, og á grundvelli 6. töluliðar 9. gr., sem kveður á um að vinnsla sé heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjist verndar persónuupplýsinga vegi þyngra. Er jafnan talið að vinnsla sem grundvallast á viðskiptasambandi milli aðila geti byggst á síðastnefnda ákvæðinu. Að mati Persónuverndar var Íslandsbanka hf. því heimilt að vinna persónupplýsingar um kvartanda í tengslum við þá greiðslukortaþjónustu sem henni var veitt, þ. á m. upplýsingar um greiðsludreifingu og tengiliðaupplýsingar.

Í málinu liggur fyrir að öryggisbresturinn varðaði upplýsingar um greiðsludreifingu. Eftir atvikum geta persónuupplýsingar, sem unnið er með vegna greiðslukortaþjónustu, fallið undir skilgreiningu viðkvæmra persónuupplýsinga, þ.e. þegar um ræðir kortafærslur fyrir greiðslur t.d. í vínbúðum eða fyrir heilbrigðisþjónustu, sbr. b-lið 3. töluliðar 3. gr. laga nr. 90/2018. Auk heimildar samkvæmt 9. gr. laga nr. 90/2018 þarf þá að vera fullnægt einhverju af viðbótarskilyrðunum fyrir vinnslu slíkra persónuupplýsinga, samkvæmt 11. gr. laganna. Upplýsingar um greiðsludreifingu verða ekki taldar falla þar undir, enda lúta þær ekki að einstökum kortafærslum. Þá hefur ekkert komið fram um að um viðkvæmar persónuupplýsingar hafi verið að ræða í þessu máli og reynir því ekki á umrædd viðbótarskilyrði.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga ávallt að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, sem kveður meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. töluliður); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingum, sem séu óáreiðanlegar eða ófullkomnar miðað við tilgang vinnslu þeirra, skuli eytt eða þær leiðréttar án tafar (4. töluliður); og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. töluliður).

Við mat á því hvort ábyrgðaraðili fullnægi grunnkröfum persónuverndarlaga verður að horfa til tilgangs vinnslunnar. Tilgangur skráningar tengiliðaupplýsinga greiðslukorthafa er meðal annars að unnt sé að miðla upplýsingum varðandi greiðslukortanotkun til korthafa með skjótum og einföldum hætti þannig að tryggt sé ákveðið gagnsæi gagnvart korthafa og að kortaviðskipti gangi eðlilega fyrir sig. Tilgangur vinnslu upplýsinga um greiðsludreifingu lýtur að viðskiptahagsmunum beggja aðila og gagnsæi gagnvart korthafa.

Að því virtu að þær upplýsingar sem unnið er með í tengslum við greiðslukortaþjónustu geta verið umfangsmiklar persónuupplýsingar, sem í einhverjum tilvikum eru viðkvæmar, eins og lýst er hér að framan, verður að gera ríkar kröfur til þeirra aðila, sem veita slíka þjónustu, um að öryggi þessara upplýsinga sé tryggt, sbr. 6. tölulið 1. mgr. 8. gr. laga nr. 90/2018. Þá er kveðið á um það í 1. mgr. 27. gr. laganna að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi einstaklinga, samkvæmt nánari fyrirmælum 32. reglugerðar (ESB) 2016/679. Hvað skipulagslegar ráðstafanir varðar ber ekki síst að líta til þeirra grunnkrafna sem um getur í 1. mgr. 8. gr. laganna, sbr. 5. gr. reglugerðarinnar, meðal annars um að upplýsingar skuli vera áreiðanlegar og uppfærðar eftir þörfum en persónuupplýsingum, sem séu óáreiðanlegar eða ófullkomnar miðað við tilgang vinnslu þeirra, skuli eytt eða þær leiðréttar án tafar, sbr. 4. tölulið 1. mgr. 8. gr. Sú krafa felur í sér að tengiliðaupplýsingar korthafa skulu ávallt vera uppfærðar með hliðsjón af því hverjir eru rétthafar korts hverju sinni til þess að upplýsingum um greiðslukortanotkun sé ekki miðlað til óviðkomandi aðila.

Fram kom í svarbréfi Íslandsbanka hf., dagsettu 27. febrúar 2019, að til skoðunar væri hvort hægt væri að aftengja þann möguleika að aukakorthafi væri valinn við afgreiðslu greiðsludreifinga. Að mati Persónuverndar hvílir ótvíræð skylda á bankanum, með hliðsjón af framangreindum ákvæðum, að tryggja áreiðanleika upplýsinga með þeim hætti að aðeins sá sem óskar eftir greiðsludreifingu fái upplýsingar þar um.

Í samræmi við ákvæði 4. töluliðar, sem og 1. töluliðar 1. mgr. 8. gr. laganna, sbr. 1. og 4. töluliði 1. mgr. 7. gr. þágildandi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, hefði enn fremur verið rétt að gera kvartanda í þessu máli grein fyrir því, þegar hún stofnaði til greiðslukorts í desember 2016, að í því fælist að eldri reikningur hennar hjá fyrirtækinu væri opnaður á ný og að skráðar persónuupplýsingar sem honum tengdust fylgdu honum áfram. Gerir Persónuvernd athugasemdir við að fræðsla þar að lútandi hafi verið ófullnægjandi, sbr. 3. tölulið 1. mgr. 20. gr. laga nr. 77/2000.

Með hliðsjón af því sem að framan er rakið er niðurstaða Persónuverndar sú að vinnsla Íslandsbanka hf. á persónuupplýsingum kvartanda hafi ekki samrýmst ákvæðum laga nr. 90/2018 og 77/2000.

Með vísan til 4. töluliðar 42. gr. laga nr. 90/2018 beinir Persónuvernd þeim fyrirmælum til Íslandsbanka hf. að gera viðeigandi ráðstafanir til þess að tryggja áreiðanleika upplýsinga greiðslukortahafa, sem meðal annars fela í sér að óviðkomandi geti ekki fengið sendar upplýsingar tengdar greiðslukortanotkun. Þá beinir Persónuvernd einnig þeim fyrirmælum til Íslandsbanka hf. að hann bæti úr fræðslu til viðskiptavina sinni svo þeim megi vera ljóst ef persónuupplýsingar þeirra, sem bankinn varðveitir vegna eldri viðskipta, verða notaðar í viðskiptum þeirra við bankann.

4.

Tilkynning um öryggisbrest

Samkvæmt 2. mgr. 27. gr. laga nr. 90/2018 skal ábyrgðaraðili tilkynna Persónuvernd öryggisbrest við meðferð persónuupplýsinga án ótilhlýðilegrar tafar og, ef mögulegt er, eigi síðar en 72 klukkustundum eftir að hann verður brestsins var nema ólíklegt þyki að hann leiði til áhættu fyrir réttindi og frelsi einstaklinga, sbr. 1. mgr. 33. gr. reglugerðar (ESB) 2016/679. Ef Persónuvernd er ekki tilkynnt um öryggisbrest innan 72 klukkustunda skal tilgreina ástæður tafarinnar í tilkynningunni. Í 3. mgr. 27. gr. laganna er svo kveðið á um að ef líklegt er að öryggisbrestur við meðferð persónuupplýsinga leiði af sér mikla áhættu fyrir réttindi og frelsi einstaklinga skuli ábyrgðaraðili tilkynna skráðum einstaklingum um brestinn án ótilhlýðilegrar tafar, sbr. 1. mgr. 34. gr. reglugerðarinnar.

Líkt og fram hefur komið varð öryggisbrestur sá sem mál þetta varðar 3. október 2018. Þá liggur fyrir að Íslandsbanki hf. tilkynnti Persónuvernd um öryggisbrestinn 9. janúar 2019. Í tilkynningu Íslandsbanka hf. er réttilega greint frá því hvenær öryggisbresturinn varð en jafnframt tekið fram að hans hafi ekki orðið vart fyrr en bankanum hafi borist bréf Persónuverndar 8. janúar 2019. Þá segir að í kvörtun þessa máls komi fram að viðtakandi upplýsinganna hafi látið bankann vita en að upplýsingar um slíka tilkynningu finnist ekki í pósthólfum bankans og að atvikið hafi ekki verið skráð í rekstraráhættu- og öryggisbrestakerfi bankans eins og gert sé þegar atvik af þessu tagi komi upp.

Þegar orð standa gegn orði hefur Persónuverndar að lögum ákveðin úrræði til að upplýsa mál. Samkvæmt 6. tölulið 1. mgr. 41. gr. laga nr. 90/2018 fer stofnunin með heimildir til aðgangs að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þ.m.t. hvers kyns gagnavinnslubúnaður, og getur Persónuvernd framkvæmt hverja þá prófun eða eftirlitsaðgerð sem hún telur nauðsynlega og krafist nauðsynlegrar aðstoðar starfsfólks á slíkum vettvangi til að framkvæma prófun eða eftirlit.

Við mat á því hvort valdheimildum samkvæmt framangreindu skuli beitt er til þess að líta að samkvæmt kvartanda fékk hún upplýsingar frá þriðja aðila tveimur dögum eftir að öryggisbresturinn varð um að hann hefði fengið umræddan tölvupóst, sem ætlaður var henni. Þá hefur komið fram að viðkomandi aðili var kvartanda kunnugur og fékk hann tölvupóstinn sendan vegna þess að netfang hans var skráð í kerfi bankans tengt fyrri greiðslukortaviðskiptum kvartanda. Loks hefur ekkert komið fram um að þær upplýsingar sem öryggisbresturinn varðar hafi verið viðkvæms eðlis. Í þessu sambandi skiptir máli að ekki var um að ræða yfirlit yfir kortafærslur heldur yfirlit yfir greiðsludreifingu. Með hliðsjón af atvikum öllum, þá sérstaklega eðli og umfangi öryggisbrestsins, er það mat Persónuverndar að ólíklegt hafi verið að umræddur öryggisbrestur leiddi til áhættu fyrir réttindi og frelsi kvartanda. Því hafi ekki verið fortakslaus skylda á Íslandsbanka hf. að tilkynna öryggisbrestinn til Persónuverndar og kvartanda, samkvæmt 2. og 3. mgr. 27. gr. laga nr. 90/2018, sbr. 1. mgr. 33. gr. og 1. mgr. 34. gr. reglugerðarinnar.

Þó skal áréttað að sé ekki staðið rétt að skráningu netfanga við veitingu greiðslukortaþjónustu skapast hætta á alvarlegri öryggisbrestum en hér um ræðir, m.a. á því að óviðkomandi fái í hendur upplýsingar um einstakar greiðslukortafærslur, þ. á m. upplýsingar sem teljast viðkvæmar. Af þeim sökum er brýnt að upplýsingar um netföng séu réttar og uppfærðar, sbr. umfjöllun í 3. kafla hér að framan um grunnkröfu persónuverndarlöggjafar um áreiðanleika persónuupplýsinga.

Að því virtu hins vegar að ekki hvíldi fortakslaus skylda á Íslandsbanka hf. að tilkynna Persónuvernd og kvartanda um öryggisbrestinn í samræmi við fyrrgreind ákvæði er að mati Persónuverndar ekki tilefni til að beita valdheimildum stofnunarinnar samkvæmt 6. tölulið 1. mgr. 41. gr. laga nr. 90/2018 til að rannsaka atvik þessa máls frekar. Af þeim sökum er af hálfu Persónuverndar ekki tekin afstaða til þess hvort Íslandsbanka hf. hafi verið kunnugt um öryggisbrestinn fyrir 8. janúar 2019.

Ú r s k u r ð a r o r ð:

Vinnsla Íslandsbanka hf. á persónuupplýsingum um [A] í tengslum við greiðslukortaþjónustu sem henni var veitt samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og þágildandi lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

Persónuvernd beinir þeim fyrirmælum til Íslandsbanka hf. að gera viðeigandi ráðstafanir til þess að tryggja áreiðanleika upplýsinga greiðslukortahafa, sem meðal annars fela í sér að óviðkomandi geti ekki fengið sendar upplýsingar tengdar greiðslukortanotkun.

Persónuvernd beinir þeim fyrirmælum til Íslandsbanka hf. að hann bæti úr fræðslu til viðskiptavina sinni svo þeim megi vera ljóst ef persónuupplýsingar þeirra, sem bankinn varðveitir vegna eldri viðskipta, verða notaðar í viðskiptum þeirra við bankann.

Staðfesting á að farið hafi verið að framangreindum fyrirmælum skal berast Persónuvernd eigi síðar en 18. júlí 2019.

F.h. Persónuverndar,

                                   Helga Þórisdóttir                          Valborg Steingrímsdóttir