Vinnsla persónuupplýsinga af hálfu Íslandsbanka hf.

Mál nr. 2022020333

14.12.2022

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu Íslandsbanka hf. í máli nr. 2022020333:

I.
Málsmeðferð
1.
Tildrög máls

Hinn 7. febrúar 2022 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi). Laut kvörtunin að því að Íslandsbanki hf. (hér eftir Íslandsbanki) hefði miðlað upplýsingum um skuldastöðu kvartanda til óviðkomandi aðila með bréfpósti. Nánar tiltekið hefði Íslandsbanki sent stöðu tveggja veðskuldabréfa til annarra sem áttu fasteign í sama húsi og kvartandi.

Persónuvernd bauð Íslandsbanka að tjá sig um kvörtunina með bréfi, dags. 24. október 2022 og bárust svör bankans með tölvupósti 8. nóvember s.á.

Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.
Helstu sjónarmið málsaðila

Ágreiningur er um lögmæti vinnslu persónuupplýsinga um kvartanda af hálfu Íslandsbanka, sem fólst í miðlun upplýsinga um skuldastöðu hans til annarra sem áttu fasteign í sama húsi og kvartandi.

Kvartandi byggir í meginatriðum á því að Íslandsbanki hafi í heimildarleysi staðið að umræddri miðlun.

Af hálfu Íslandsbanka er á því byggt að umrædd vinnsla hafi grundvallast á d-lið 1. mgr. 7. gr. laga nr. 32/2009, um ábyrgðarmenn, sem skyldi bankann til að senda ábyrgðarmanni láns tilkynningu um stöðu láns sem ábyrgð stendur fyrir og yfirlit yfir ábyrgðir eftir hver áramót. Bankinn bendir á að við gerð slíkra tilkynninga séu upplýsingar um útgefendur veðskulda- og tryggingabréfa bornar saman við eigendur fasteigna samkvæmt þinglýsingabókum sýslumanna, og sé útgefandi annar en eigandi eignar, sé um svokallað lánsveð að ræða sem bankanum sé skylt að tilkynna eiganda eignarinnar um samkvæmt fyrrgreindu ákvæði laga um ábyrgðarmenn. Í því tilviki sem kvartað er yfir, hafi skráning í þinglýsingabók verið með þeim hætti að allir íbúðareigendur í húsi kvartanda hafi verið skráðir þinglýstir eigendur fasteignar hans. Íslandsbanki bendir á að málið hafi verið kannað hjá sýslumanni eftir að bankinn hafi fengið athugasemd frá kvartanda vegna málsins. Samkvæmt skýringum sýslumanns virðist umrædd skráning hafa verið gerð í tengslum við þinglýsingu á breytingu á lóðarleigusamningi og var skráningin leiðrétt í kjölfar athugasemda bankans.

Íslandsbanki telur sig hafa mátt treysta á skráningu þinglýsingabókar við útsendingu tilkynninganna þar sem slíkar skráningar eru almennt áreiðanlegar. Þá telur Íslandsbanki að umrædd vinnsla hafi ekki verið öryggisbrestur í skilningi persónuverndarlöggjafarinnar þar sem bankinn taldi sig styðjast við áreiðanlega eigendaskráningu opinbers aðila. Loks byggir Íslandsbanki á því að umræddar persónuupplýsingar séu ekki viðkvæmar þar sem þær séu skráðar í opinberri skráningu í þinglýsingabók.

Íslandsbanki sendi Persónuvernd afrit af veðbandayfirliti vegna fasteignar kvartanda, dags. 9. maí 2021, til stuðnings málatilbúnaði sínum. Samkvæmt veðbandayfirlitinu var kvartandi þinglýstur eigandi 100% eignarhlutar samkvæmt skilyrtri eignarheimild, þ.e. kaupsamningi, en annar einstaklingur var þinglýstur eigandi 100% eignarhlutar samkvæmt óskilyrtri eignarheimild, þ.e. afsali. Samkvæmt veðbandayfirlitinu voru 25 aðrir einstaklingar jafnframt þinglýstir eigendur samkvæmt lóðarleigusamningi en eignarhlutdeild þeirra var ekki tilgreind.

II.
Niðurstaða
1.
Gildissvið - Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Mál þetta lýtur að miðlun Íslandsbanka á upplýsingum um skuldastöðu kvartanda til annarra sem áttu fasteign í sama húsi og kvartandi. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Upplýsingar um skuldastöðu eru ekki viðkvæmar persónuupplýsingar, eins og þær eru skilgreindar í 3. tölul. 3. gr. laga nr. 90/2018, sbr. 1. mgr. 9. gr. reglugerðar (ESB) 2016/679, en fjárhagsupplýsingar geta þó varðað hreina einkahagi fólks. Þær upplýsingar sem mál þetta varðar, þ.e. raunskuldastaða, eru ekki skráðar opinberri skráningu í þinglýsingabók líkt og Íslandsbanki heldur fram, enda sýnir veðbandayfirlit aðeins upphaflega fjárhæð veðskuldabréfa. Endurspeglar veðbandayfirlit því ekki raunskuldastöðu á hverjum tíma, gagnstætt þeim tilkynningum sem mál þetta varðar.

Eins og hér háttar til telst Íslandsbanki vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

2.
Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Hefur Íslandsbanki vísað til þess að sú vinnsla sem hér er til umfjöllunar hafi verið nauðsynleg til að fullnægja lagaskyldu sem hvíli á bankanum samkvæmt lögum nr. 32/2009, um ábyrgðarmenn, sbr. 3. tölul. lagaákvæðisins, sbr. c-lið 1. mgr. reglugerðarákvæðisins.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul. lagaákvæðisins). Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga samrýmist ávallt meginreglunum og skal geta sýnt fram á það, sbr. 2. mgr. 8. gr. laganna, sbr. 2. mgr. 5. gr. reglugerðarinnar.

Nánari ákvæði er varða öryggi persónuupplýsinga er að finna í 27. gr. laga nr. 90/2018 og 32. gr. reglugerðar (ESB) 2016/679. Samkvæmt 1. mgr. beggja ákvæða skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga. Þegar viðunandi öryggi er metið skal einkum hafa hliðsjón af þeirri áhættu sem vinnsla hefur í för með sér, meðal annars að veittur sé aðgangur að persónuupplýsingum í leyfisleysi, sbr. 2. mgr. reglugerðarákvæðisins.

Við mat á lögmæti samkvæmt framangreindum ákvæðum ber jafnframt að líta til annarra réttarreglna sem við eiga.

Samkvæmt skýringum Íslandsbanka byggist sú vinnsla persónuupplýsinga sem hér er til umfjöllunar á d-lið 1. mgr. 7. gr. laga nr. 32/2009, um ábyrgðarmenn. Ákvæðið mælir fyrir um að lánveitanda beri að senda ábyrgðarmanni tilkynningu um hver áramót um stöðu láns sem hann er í ábyrgðum fyrir. Samkvæmt 2. mgr. 2. gr. sömu laga tekur hugtakið ábyrgðarmaður meðal annars til einstaklings sem veðsetur tilgreinda eign sína til tryggingar efndum lántaka, að nánari skilyrðum uppfylltum.

Þá er til þess að líta að samkvæmt ólögfestri reglu þinglýsingaréttar hafa þinglýsingabækur það sem kallað hefur verið raunverulegur áreiðanleiki. Í því felst að jafnan standa líkur til að upplýsingar í þinglýsingabókum séu réttar. Í tilvikum þar sem ekki er fullt samræmi milli þinglýstra réttinda yfir eign og raunverulegra réttinda, til dæmis vegna mistaka þinglýsingarstjóra við þinglýsingar, megi almennt treysta á áreiðanleika upplýsinga sem skráðar eru í þinglýsingabækur.

Málatilbúnaður Íslandsbanka verður skilinn svo að bankinn hafi litið á þá einstaklinga, sem voru tilgreindir eigendur fasteignar kvartanda í þinglýsingabók, sem ábyrgðarmenn þeirra veðskulda sem hvíldu á eign kvartanda í skilningi 2. mgr. 2. gr. laga nr. 32/2009 og því hafi bankanum borið að senda þeim tilkynningu um stöðu láns samkvæmt d-lið 1. mgr. 7. gr. sömu laga.

Lög nr. 32/2009 áskilja hvorki né banna að litið sé til þinglýsts eignarhalds við mat á því hvort einstaklingur hafi gengist í ábyrgð fyrir veðskuld með því að veðsetja eign sína. Er samkvæmt því ljóst að lánveitendur geta ákveðið að hafa hliðsjón af þinglýsingabókum í þessum tilgangi og mega jafnan ganga út frá því að slíkt fyrirkomulag leiði til öruggrar vinnslu persónuupplýsinga, í ljósi hinnar óskráðu reglu þinglýsingaréttar um raunverulegan áreiðanleika þinglýsingabóka.

Hins vegar kann þinglýst eigendaskráning að gefa lánveitendum sérstakt tilefni til frekari könnunar áður en tilkynningar samkvæmt lögum nr. 32/2009 eru sendar, sé sá háttur hafður á. Þetta getur til að mynda átt við þegar augljóst er að þinglýsingabækur geyma rangar upplýsingar um eignarhald. Er í þessu sambandi litið til þess sem að framan greinir um eðli þeirra upplýsinga sem fram koma í tilkynningum af þessum toga, þ.e. að um er að ræða fjárhagsupplýsingar sem geta varðað hreina einkahagi fólks og eru ekki skráðar opinberri skráningu. Kallar það á að lánveitandi hugi sérstaklega að öryggi upplýsinganna, þ.m.t. að óviðkomandi aðilar fái ekki aðgang að þeim, að teknu tilliti til ákvæða 27. gr. laga nr. 90/2018 og 32. gr. reglugerðar (ESB) 2016/679. Getur lánveitandi því ekki reitt sig alfarið á upplýsingar úr þinglýsingabókum í þeim tilgangi að senda út tilkynningar samkvæmt lögum nr. 32/2009.

Á veðbandayfirliti því sem Íslandsbanki hafði hliðsjón af við sendingu tilkynninga í fyrirliggjandi máli eru þinglýstir eigendur alls 27. Þar kemur fram að kvartandi eigi 100% eignarhlut í umræddri fasteign samkvæmt kaupsamningi en annar einstaklingur eigi samsvarandi eignarhlut samkvæmt afsali. Jafnframt kemur fram á veðbandayfirlitinu að eignarheimild hinna 25 sé lóðarleigusamningur og er eignarhlutdeild þeirra ekki tilgreind. Að mati Persónuverndar gáfu þessi atriði, þ.e. fjöldi þinglýstra eigenda, eignarheimild þeirra og skortur á eignarhlutdeild, Íslandsbanka fullt tilefni til að kanna nánar eigendaskráningu í þinglýsingabók áður en tilkynningar voru sendar til annarra en afsalshafa. Af skýringum bankans verður hins vegar ekki séð að þetta hafi verið gert heldur hafi hann þvert á móti reitt sig alfarið á þinglýsta eigendaskráningu í þessum tilgangi.

Þegar litið er til framangreinds telur Persónuvernd ekki unnt að fallast á það með Íslandsbanka að umrædd vinnsla hafi grundvallast á lagaskyldu, sbr. 3. tölul. 9. gr. laga nr. 90/2018 og c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, enda var upplýsingunum ekki aðeins miðlað til þeirra sem Íslandsbanki gat í góðri trú álitið ábyrgðarmenn í skilningi laga nr. 32/2009. Í því felst jafnframt að bankinn hefur ekki sýnt fram á að viðeigandi öryggi persónuupplýsinganna hafi verið tryggt, sbr. 6. tölul. 1. mgr. og 2. mgr. 8. gr. laganna, sbr. f-lið 1. mgr. og 2. mgr. 5. gr. reglugerðarinnar, sbr. jafnframt 27. gr. laganna og 32. gr. reglugerðarinnar.

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er lagt fyrir Íslandsbanka að gera ráðstafanir til að tryggja að viðeigandi öryggi persónuupplýsinga verði eftirleiðis viðhaft í tengslum við sendingu tilkynninga samkvæmt lögum nr. 32/2009. Ráðstafanirnar skulu miða að því að komið verði í veg fyrir óheimilan aðgang að persónuupplýsingum við slíkar sendingar. Geta þær til að mynda falist í viðvörunum í upplýsingakerfum, sem notuð kunna að vera við slíka vinnslu, um að eigendaskráning í þinglýsingabókum gefi tilefni til sérstakrar athugunar áður en tilkynning er send.

Skal staðfesting á því að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á inntaki þeirra ráðstafana sem gerðar eru af þessu tilefni, berast Persónuvernd eigi síðar en 23. janúar 2023.

Ú r s k u r ð a r o r ð:

Miðlun Íslandsbanka hf. á persónuupplýsingum um [A], sem fólst í því að óviðkomandi aðilum voru sendar upplýsingar um skuldastöðu hans samkvæmt tveimur veðskuldabréfum sem hann hafði gefið út til bankans, grundvallaðist hvorki á heimild né samrýmdist hún meginreglum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, um öryggi persónuupplýsinga.

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er lagt fyrir Íslandsbanka hf. að gera ráðstafanir til að tryggja að viðeigandi öryggi persónuupplýsinga verði eftirleiðis viðhaft í tengslum við sendingu tilkynninga samkvæmt lögum nr. 32/2009 um ábyrgðarmenn. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á inntaki þeirra ráðstafana sem gerðar eru af þessu tilefni, berast Persónuvernd eigi síðar en 23. janúar 2023.

 

Persónuvernd, 14. desember 2022

Helga Þórisdóttir           Bjarni Freyr Rúnarsson