Úrskurður

um kvörtun yfir afgreiðslu Landsbankans hf. á beiðni um aðgang að persónuupplýsingum, í máli nr. 2025010109 (áður 2023040717):

Málsmeðferð

1. Hinn 13. apríl 2023 barst Persónuvernd kvörtun, ásamt fylgiskjölum, frá [B], fyrir hönd [A] (hér eftir kvartandi), yfir afgreiðslu Landsbankans hf. (hér eftir Landsbankinn eða bankinn) á beiðni hennar um aðgang að persónuupplýsingum sínum. Laut beiðni hennar nánar til tekið að því að fá afrit af þeim persónuupplýsingum sem bankinn vann með á tilteknu tímabili. Með tölvupósti 27. júlí s.á. sendi kvartandi Persónuvernd afrit af annars vegar ítrekunarbréfi til Landsbankans og hins vegar öðru bréfi sem merkt var sem viðbót við fyrri póst, bæði dags. 26. s.m. Þá áframsendi kvartandi til Persónuverndar svarpóst Landsbankans frá sama degi.

2. Persónuvernd fór fram á upplýsingar frá Landsbankanum með bréfi, dags. 12. október 2023, og barst svarbréf bankans með tölvupósti 1. nóvember s.á., ásamt þremur fylgiskjölum. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör Landsbankans með bréfi dags. 21. s.m. Hún svaraði með tölvupósti 3. og 4. desember s.á.

3. Persónuvernd fór fram á frekari upplýsingar frá Landsbankanum með bréfi, dags. 4. janúar 2024. Svör bankans ásamt fylgiskjali bárust með bréfi, dags. 2. febrúar s.á. Þann 6. s.m. fór stofnunin fram á staðfestingu bankans á því að hann byggi ekki yfir frekari persónuupplýsingum um kvartanda. Svör bankans bárust með tölvupósti 14. s.m. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör Landsbankans með bréfi, dags. 20. s.m. Hún svaraði með tölvupósti 11. og 12. mars og 23. júní s.á.

4. Með bréfi, dags. 7. nóvember 2024, óskaði Persónuvernd eftir nánari upplýsingum frá Landsbankanum, m.a. rökstuðningi fyrir því hvers vegna tiltekin gögn voru undanskilin aðgangi kvartanda. Bankinn svaraði með bréfi, dags. 4. desember s.á., ásamt fylgiskjali. Með bréfi, dags. 16. s.m., var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör bankans. Hún svaraði með bréfi, dags. 2. janúar 2025.

5. Með bréfi, dags. 9. janúar 2025, fór Persónuvernd þess á leit við Landsbankann að stofnuninni yrði afhent til skoðunar afrit allra gagna sem lágu til grundvallar niðurstöðu bankans í tilteknu endurkröfumáli kvartanda hjá honum, í því skyni að leggja mat á innihald þeirra m.t.t. afgreiðslu bankans á aðgangsbeiðni hennar. Landsbankinn svaraði með bréfi, dags. 31. janúar s.á., og afhenti jafnframt umbeðin gögn til skoðunar.

6. Persónuvernd barst tölvupóstur frá kvartanda 31. júlí 2025, ásamt átta viðhengjum, m.a. afrit tölvupósta milli kvartanda og Landsbankans í sama mánuði; nýja kvörtun til Persónuverndar og afrit af bréfi kvartanda til persónuverndarfulltrúa bankans, dags. 21. s.m. Persónuvernd svaraði framangreindu erindi kvartanda með tölvupósti 8. september s.á., og tilkynnti m.a. að litið yrði á hina nýju kvörtun sem frekari athugasemdir í fyrirliggjandi máli. Með bréfi, dags. 13. nóvember s.á., bauð Persónuvernd kvartanda að tjá sig um svarbréf Landsbankans frá annars vegar 31. janúar og hins vegar 26. júní s.á. Kvartandi svaraði með tölvupósti 21. nóvember s.á. og upplýsti um að hún gerði ekki frekari athugasemdir í málinu. Persónuvernd barst tölvupóstur 22. janúar 2026 frá Landsbankanum, ásamt gögnum sem bankinn óskaði eftir að fá að leggja fram til að varpa ljósi á afgreiðslu bankans á aðgangsbeiðni kvartanda, en vísað er til þess að gögnin beri með sér að þau hafi verið send umboðsmanni kvartanda í september 2025.

7. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna þó ekki sé gerð sérstaklega grein fyrir þeim öllum í úrskurði þessum.

Ágreiningsefni

8. Ágreiningur er um hvort Landsbankinn hafi afgreitt aðgangsbeiðni kvartanda efnislega í samræmi við 17. gr. laga nr. 90/2018 og 12. og 15. gr. reglugerðar (ESB) 2016/679.

Atvik máls og fyrirliggjandi gögn

9. Haustið 2022 vaknaði grunur hjá kvartanda og fjölskyldu hennar um að hún kynni að hafa lent í kortasvikum sem leitt hefðu til umtalsverðs fjártjóns fyrir hana. Fyrir liggur að Landsbankinn synjaði bóta- og endurkröfu sem kvartandi hafði uppi af framangreindu tilefni, með bréfi, dags. 24. nóvember 2022.

10. Í kjölfar þess lagði kvartandi fram aðgangsbeiðni hjá Landsbankanum 22. febrúar 2023, þar sem óskað var eftir afriti af öllum upplýsingum sem tengdust henni, aftur til ársins 2010, og ekkert væri þar undanskilið. Ráðið verður af gögnum málsins að bankinn hafi svarað kvartanda og afgreitt framangreinda beiðni þann 23. mars s.á. með afhendingu tiltekinna gagna. Svar bankans til kvartanda bar ekki með sér að tilteknar upplýsingar um hana hefðu verið undanþegnar aðgangi hennar.

11. Kvartandi hefur síðan þá ítrekað upphaflega beiðni sína. Fram kemur í svörum Landsbankans til Persónuverndar að 26. júlí 2023 hafi bankinn svarað einni slíkri ítrekun kvartanda með tölvupósti, m.a. á þá leið að bankinn hefði þegar afhent allar upplýsingar sem honum væri skylt að veita. Þá kemur jafnframt fram í svarbréfi bankans að beiðni kvartanda um afrit persónuupplýsinga í gögnum umfram það sem bankanum væri skylt að veita, svo sem í vinnuskjölum sem hefðu verið notuð við undirbúning ákvörðunar, hafi ekki verið afhent. Þá hafi ekki verið orðið við beiðni kvartanda um að fá afhent afrit myndbandsupptöku úr hraðbanka, þar sem útibússtjóri hafi staðfest að upptakan sýndi kvartanda. Myndefni úr hraðbönkum, sem tekið væri í öryggistilgangi, væri ekki afhent viðskiptavinum, en kæmi beiðni frá lögreglu í þágu rannsóknar máls væri orðið við beiðni um afhendingu.

Skoðun gagna af hálfu Persónuverndar

12. Persónuvernd fór fram á að Landsbankinn afhenti til yfirferðar afrit allra gagna sem lágu til grundvallar niðurstöðu bankans í fyrrgreindu endurkröfumáli kvartanda, þ.m.t. öll vinnuskjöl, óháð því hvort gögnin voru álitin innihalda persónuupplýsingar um kvartanda eða ekki og óháð því hvort þau hefðu þegar verið afhent kvartanda. Um var að ræða alls 98 skjöl en fimm skjalanna innihéldu ekki persónuupplýsingar um kvartanda. Þau skjöl sem bankinn undanskildi aðgangsrétti kvartanda voru alls 28. Um var að ræða tölvupóstsamskipti milli starfsmanna Landsbankans í tengslum við málið sem og samskipti þeirra við vinnsluaðila sinn.

Sjónarmið aðila

Helstu sjónarmið kvartanda

13. Kvartandi byggir á því að Landsbankinn hafi ekki afgreitt aðgangsbeiðni hennar í samræmi við ákvæði laga nr. 90/2018 og reglugerðar (ESB) 2016/679. Landsbankinn hafi við afgreiðsluna undanskilið mikilvæg gögn eða falið gögn fyrir kvartanda. Þá hafi vantað í gögnin ýmis samskipti umboðsmanna kvartanda við bankann og þau skjöl sem þeir hafi afhent eða sent bankanum fyrir hönd kvartanda.

Helstu sjónarmið Landsbankans

14. Fram kemur í svörum Landsbankans að aðgangsbeiðni kvartanda hafi verið afgreidd þann 22. mars 2023 með afhendingu afrita af persónuupplýsingum kvartanda í netbanka hennar hjá Landsbankanum, þ.e. yfirlitsskýrslu um þær persónuupplýsingar kvartanda sem bankinn ynni með, auk fylgiskjala sem væru afrit af persónuupplýsingum sem unnið væri með en væru ekki aðgengilegar í netbanka kvartanda. Á umræddu yfirliti hafi m.a. komið fram athugasemdir sem væru skráðar í viðskiptamannakerfið. Byggt er á því af hálfu bankans að aðgangsbeiðni kvartanda hafi verið afgreidd innan mánaðar í samræmi við 12. gr. reglugerðar (ESB) 2016/679 og bankinn hafi uppfyllt beiðni kvartanda um aðgang í samræmi við 3. mgr. 15. gr. sömu reglugerðar.

15. Við ítrekanir kvartanda á beiðni hennar kveðst bankinn hafa ítrekað fyrri svör sín um að bankinn hafi þegar afhent allar upplýsingar sem hann byggi yfir og væri skylt að veita, en bankanum væri óskylt að afhenda upplýsingar úr vinnuskjölum. Fram kemur í svörum bankans að um hafi verið að ræða tölvupósta milli starfsfólks bankans, auk samskipta í tölvupóstum við vinnsluaðila bankans í kortaútgáfu. Innihald samskiptanna hafi ekki verið talið hafa efnislega þýðingu fyrir niðurstöðu endurkröfumálsins. Landsbankinn afhenti undir rannsókn málsins yfirlit yfir umrædda tölvupósta, ásamt dagsetningu þeirra og stuttri lýsingu á efni þeirra. Vísar bankinn til úrskurðar Persónuverndar frá 24. nóvember 2020 í máli nr. 2020010740 máli sínu til stuðnings. Að mati bankans falli tölvupóstar á milli starfsfólks hans undir framangreinda skilgreiningu á vinnuskjölum. Þá hafi fylgiskjöl sem fylgdu umræddum tölvupóstum verið afhent kvartanda.

16. Jafnframt er á því byggt af hálfu Landsbankans að starfsfólk þurfi að geta átt í samskiptum sín á milli varðandi málefni viðskiptavina án þess að mega búast við því að þau verði afhent viðskiptavini. Slík samskipti feli ekki í sér endanlega úrlausn máls heldur undirbúning að endanlegri ákvörðun sem komi fram í formlegu svari bankans við erindi viðskiptavinar. Huga verði að grundvallarréttindum starfsfólks og þeim skorðum sem vinnuveitanda séu settar varðandi aðgang að tölvupósti þeirra, sbr. leiðbeiningar Persónuverndar um meðferð tölvupósts, skráasvæða og eftirlit með netnotkun. Við mat á undanþáguákvæði 5. mgr. 17. gr. laga nr. 90/2018 verði jafnframt að líta til þess að hagsmunir starfsfólks af því að þurfa ekki að sæta því að samskipti þeirra á milli séu afhent þriðja aðila kunni að vega þyngra en réttur hins skráða á að fá slík samtöl í hendur. Við það hagsmunamat verði að líta til þeirrar umfangsmiklu vinnslu persónuupplýsinga sem vinnuveitandi þyrfti að ráðast í á póstþjónum bankans til þess að geta fundið og afhent tölvupóstsamskipti. Þá bendir bankinn á að þrátt fyrir afmáningu persónuupplýsinga kunni samskiptin að fela í sér persónugreinanlegar upplýsingar og geti varðað grundvallarréttindi starfsfólks. Að mati bankans hafi það ekki verið tilgangur löggjafans með lagasetningunni að aðgangsréttur hins skráða væri óskoraður hvað varðar afhendingu persónuupplýsinga.

17. Landsbankinn kveðst hafa afhent kvartanda umfangsmeiri upplýsingar en almennt eru afhentar samkvæmt aðgangsbeiðnum. Í síðari svörum bankans hefur komið fram, sbr. umfjöllun í efnisgrein 12, að í gögnunum sem bankinn afhenti Persónuvernd hafi verið mappa sem innihélt færsluyfirlit og skýringar á merkingum auðkenninga, sem óvíst væri hvort kvartandi hefði fengið afhent, en ekkert væri því til fyrirstöðu að afhenda þau gögn. Þá hafi kvartandi fengið upplýsingar um IP-tölu ásamt leiðbeiningum um að leita til símaþjónustufyrirtækis.

18. Þá telur Landsbankinn að beiðni kvartanda um gögn sem stafi frá henni sjálfri, geti talist tilhæfulaus. Bankinn myndi þó fúslega verða við beiðni um afhendingu óskaði kvartandi eftir þeim að nýju.

19. Hvað varðar beiðni kvartanda um afrit af myndbandsupptöku úr hraðbanka kveður Landsbankinn útibússtjóra hafa staðfest við skoðun myndefnisins að kvartandi hafi verið notandi bankans í umrætt sinn en myndefnið væri ekki afhent viðskiptavinum nema fram kæmi beiðni frá lögreglu í þágu rannsóknar máls.

Forsendur og niðurstaða

Lagaumhverfi

20. Mál þetta lýtur að því hvort efnisleg afgreiðsla Landsbankans á beiðni kvartanda um aðgang að persónuupplýsingum hennar hafi verið í samræmi við ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679. Fellur málið því undir valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.

21. Landsbankinn telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

22. Persónuupplýsingar eru skilgreindar sem sérhverjar upplýsingar um persónugreindan eða persónugreinanlegan einstakling, sbr. 2. tölul. 3. gr. laga nr. 90/2018. Einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti. Í athugasemdum við 3. gr. í frumvarpi því er varð að framangreindum lögum segir m.a. að hugtakið persónuupplýsingar sé víðfeðmt og taki til allra upplýsinga, álita og umsagna sem beint eða óbeint megi tengja tilteknum einstaklingi, þ.e. upplýsinga sem séu persónugreindar eða persónugreinanlegar.

23. Ein af meginreglum persónuverndarlöggjafarinnar mælir fyrir um gagnsæi við vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Ábyrgðaraðili ber ábyrgð á að vinnsla persónuupplýsinga uppfylli ávallt framangreinda meginreglu og skal geta sýnt fram á það, sbr. 2. mgr. lagaákvæðisins og 2. mgr. reglugerðarákvæðisins.

24. Aðgangsréttur samkvæmt 17. gr. laga nr. 90/2018 og 15. gr. reglugerðar (ESB) 2016/679 er þáttur í því að tryggja gagnsæi við vinnslu persónuupplýsinga og er forsenda þess að hinn skráði geti nýtt sér ýmis réttindi sín samkvæmt löggjöfinni. Aðgangsréttinn verður að skoða í því ljósi.

25. Samkvæmt 1. mgr. 15. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018, skal skráður einstaklingur eiga rétt á að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar um hann og, ef svo er, rétt til aðgangs að persónuupplýsingunum. Samkvæmt 3. mgr. sömu greinar reglugerðarinnar skal ábyrgðaraðili láta hinum skráða í té afrit af þeim persónuupplýsingum sem eru í vinnslu. Samkvæmt 4. mgr. greinarinnar skal rétturinn til að fá afrit, sem um getur í 3. mgr., ekki skerða réttindi og frelsi annarra.

26. Í 4. mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 17. gr. laga nr. 90/2018, kemur fram að verði ábyrgðaraðili ekki við beiðni skráðs einstaklings skuli hann tilkynna honum, án tafar og í síðasta lagi innan mánaðar frá viðtöku beiðninnar, um ástæðurnar fyrir því að það var ekki gert og um möguleikann á að leggja fram kvörtun hjá eftirlitsyfirvaldi og leita réttarúrræðis.

27. Umfang aðgangsréttarins endurspeglast í hinni víðtæku skilgreiningu persónuupplýsingahugtaksins, sbr. umfjöllun í efnisgrein 22. Af 2. málsl. 1. mgr. 12. gr. reglugerðar (ESB) 2016/679 leiðir að upplýsingarnar er hægt að veita á ýmsu sniði. Vísað er til þess í 152. efnisgrein leiðbeininga Evrópska persónuverndarráðsins (EDPB) nr. 1/2022 um aðgangsrétt, að hinn skráði eigi ekki ávallt rétt á að fá afrit af tilteknu skjali í heild, heldur einvörðungu óbreytt afrit af persónuupplýsingum hans sem unnið er með í skjalinu (sbr. 150. efnisgrein í eldri útgáfu leiðbeininganna sem í gildi var þegar aðgangsbeiðni kvartanda var upphaflega sett fram). Séu upplýsingarnar t.d. veittar með samantekt megi hún ekki vera svo úr garði gerð að hún feli í sér breytingu á innihaldi persónuupplýsinganna. Þá segir í 19. efnisgrein leiðbeininganna að skyldan til að veita aðgang að upplýsingunum sé ekki háð gerð eða uppruna upplýsinganna og hún eigi við að fullu jafnvel í tilvikum þar sem hinn skráði hafi upphaflega látið ábyrgðaraðila upplýsingarnar í té, því markmiðið sé að upplýsa hinn skráða um að umræddar upplýsingar séu í reynd unnar hjá ábyrgðaraðila.

28. Í 63. lið formála reglugerðar (ESB) 2016/679 segir m.a. að þegar ábyrgðaraðili vinnur með mikið magn upplýsinga sem varða skráðan einstakling ætti hann að geta óskað eftir því að hinn skráði tilgreini nánar um hvaða upplýsingar eða vinnsluaðgerðir beiðnin snýst, áður en upplýsingarnar eru veittar. Í b-lið 35. efnisgreinar fyrrgreindra leiðbeininga EDPB nr. 1/2022 er áréttað að beiðni um slíka tilgreiningu skuli ekki miða að því að takmarka svar við aðgangsbeiðni og skuli ekki notuð til að fela upplýsingar um gögn eða vinnslu sem varði hinn skráða. Ef hinn skráði, sem beðinn var um að afmarka umfang aðgangsbeiðni sinnar, staðfestir að hann óski eftir öllum persónuupplýsingum sem varða hann, verði ábyrgðaraðili að veita þær í heild sinni.

29. Í 4. mgr. 17. gr. laga nr. 90/2018, sbr. 1. mgr. 23. gr. reglugerðar (ESB) 2016/679, er kveðið á um að heimilt sé með lögum að takmarka rétt sem veittur sé með 13.–15. gr. reglugerðarinnar, virði slík takmörkun eðli grundvallarréttinda og mannfrelsis og teljist nauðsynleg og hófleg ráðstöfun í lýðræðisþjóðfélagi til að tryggja nánar tilgreinda hagsmuni sem taldir eru upp í tölul. 1.–8.

30. Kveðið er á um slíka takmörkun í 5. mgr. 17. gr. laga nr. 90/2018 en þar er að finna sérreglu, sem kom inn við þinglega meðferð málsins, um heimild til að takmarka rétt hins skráða til aðgangs að persónuupplýsingum í vinnuskjölum. Þar segir að heimilt sé að beita fyrrnefndri 4. mgr. 17. gr. um persónuupplýsingar í slíkum skjölum sem notuð séu við undirbúning ákvarðana hjá ábyrgðaraðila, og ekki hafi verið dreift til annarra, að því marki sem nauðsynlegt sé til að tryggja undirbúning málsmeðferðar. Í lögskýringargögnum, þ.e. nefndaráliti meiri hluta allsherjar- og menntamálanefndar, segir um framangreint ákvæði 5. mgr. 17. gr. að rétt sé að sömu takmarkanir gildi varðandi aðgang að vinnugögnum hjá opinberum aðilum og einkafyrirtækjum. Eru þar nefnd í dæmaskyni ýmis innanhússamskipti milli starfsmanna sem hafi enga þýðingu fyrir hinn skráða til að gæta réttinda sinna, sem og persónuupplýsingar í skjölum sem varði undirbúning ákvarðanatöku og hætta sé á að málsmeðferðin skaðist fái hinn skráði upplýsingarnar. Áréttað er að um sé að ræða undanþáguheimild frá meginreglu laganna um rétt einstaklings til upplýsinga og aðgangs að persónuupplýsingum sínum, sem beri að skýra þröngt í samræmi við meginreglur um túlkun lagaákvæða.

31. Þá kveður 3. mgr. 17. gr. laga nr. 90/2018, sbr. 1. mgr. 23. gr. reglugerðar (ESB) 2016/679, á um að ákvæði 15. gr. reglugerðarinnar, um réttindi hins skráða, gildi ekki ef brýnir hagsmunir einstaklinga tengdir upplýsingunum, þ. á m. hins skráða sjálfs, vegi þyngra. Jafnframt segir í 4. mgr. 15. gr. reglugerðarinnar, líkt og fyrr greinir, að rétturinn til að fá afrit, sem um geti í 3. mgr. sama ákvæðis, skuli ekki skerða réttindi og frelsi annarra. Þegar til greina kemur að takmarka aðgangsrétt hins skráða á þessum grundvelli, er í 173. efnisgrein leiðbeininga EDPB nr. 1/2022 (sbr. 171. efnisgrein eldri útgáfu leiðbeininganna) vísað til þess að ábyrgðaraðila beri að vega og meta hagsmuni hins skráða andspænis hagsmunum annarra einstaklinga, með hliðsjón af meginreglu persónuverndarlöggjafarinnar um meðalhóf. Í leiðbeiningunum er lagt til að umrætt mat fari fram í þremur skrefum. Í fyrsta lagi þurfi að vega og meta hagsmuni allra hlutaðeigandi með hliðsjón af kringumstæðum hvers máls, þar sem litið er til þess hversu líkleg og alvarleg áhættan er sem miðlun upplýsinganna kann að hafa í för með sér. Í öðru lagi er lagt til að ábyrgðaraðili reyni að sætta hagsmuni sem rekast á, t.d. með því að grípa til viðeigandi ráðstafana til að draga úr áhættu fyrir réttindi og frelsi annarra. Með hliðsjón af 63. lið formála reglugerðarinnar ætti vernd réttinda og frelsis annarra samkvæmt framansögðu ekki að leiða til þess að synjað sé um að veita hinum skráða allar upplýsingar. Þetta þýði t.d. að upplýsingar um aðra verði gerðar ólæsilegar eins og kostur er í stað þess að synja að veita afrit af persónuupplýsingunum. Takist ekki að finna lausn samkvæmt framangreindu verði ábyrgðaraðili í þriðja lagi að ákvarða hvorir hagsmunirnir eigi að vega þyngra.

32. Loks er ábyrgðaraðila heimilt að neita því að verða við aðgangsbeiðni ef hann sýnir fram á að beiðnin sé augljóslega tilefnislaus eða óhófleg, sbr. b-lið 5. mgr. 12. gr. reglugerðar (ESB) 2016/679. Samkvæmt 175. efnisgrein áðurgreindra leiðbeininga EDPB nr. 1/2022 (sbr. 173. efnisgrein fyrri útgáfu) ber að skýra þessa undanþágu þröngt og á þann hátt að ekki verði grafið undan meginreglum persónuverndarlöggjafarinnar um gagnsæi og að hinir skráðu geti neytt lögbundinna réttinda sinna gjaldfrjálst.

Niðurstaða

33. Mál þetta lýtur að því hvort beiðni kvartanda um aðgang að persónuupplýsingum hennar sem Landsbankinn vann með hafi fengið efnislega rétta afgreiðslu af hálfu bankans í samræmi við 17. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 12. og 15. gr. reglugerðar (ESB) 2016/679.

34. Fyrir liggur að kvartandi lagði fram aðgangsbeiðni til Landsbankans þann 22. febrúar 2023 þar sem óskað var eftir öllum gögnum sem henni tengdust, aftur til ársins 2010, og ekkert væri þar undanskilið, sbr. umfjöllun í efnisgrein 10. Ekki verður séð að beiðnin hafi að öðru leyti verið takmörkuð. Persónuvernd telur því að líta verði svo á að kvartandi hafi óskað eftir afriti af öllum persónuupplýsingum sínum sem bankinn vann með á umræddu tímabili, líkt og kvartanda var heimilt að gera, sbr. umfjöllun í efnisgreinum 27 og 28. Rannsókn Persónuverndar hefur leitt í ljós að Landsbankinn varð ekki við framangreindri beiðni kvartanda að öllu leyti, en ráðið verður af gögnum málsins að bankinn hafi við afgreiðslu beiðninnar talið sér heimilt að undanskilja í heild ýmis gögn sem innihéldu persónuupplýsingar um kvartanda.

35. Líkt og rakið er í efnisgreinum 23 og 24 er aðgangsréttur hins skráða þáttur í því að tryggja gagnsæi við vinnslu persónuupplýsinga og er hann forsenda þess að hinn skráði geti nýtt sér ýmis réttindi sín samkvæmt löggjöfinni. Í samræmi við 4. mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. umfjöllun í efnisgrein 26, bar Landsbankanum án tafar og í síðasta lagi innan mánaðar frá viðtöku beiðni kvartanda að upplýsa hana um að tiltekin gögn yrðu ekki afhent og hverjar ástæður þess væru. Að mati Persónuverndar er ljóst að Landsbankinn lét hjá líða að upplýsa kvartanda um framangreint innan tilskilins frests enda varð grundvöllur fyrir afgreiðslu bankans á beiðni kvartanda ekki fyllilega ljós fyrr en í svörum hans til Persónuverndar við rannsókn þessa máls.

36. Að framangreindu virtu er það niðurstaða Persónuverndar að afgreiðsla Landsbankans á beiðni kvartanda hafi að þessu leyti ekki verið í samræmi við ákvæði 4. mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 17. gr. laga nr. 90/2018, sbr. umfjöllun í efnisgreinum 23–26.

37. Kemur þá til skoðunar hvort, og að hvaða marki, Landsbankanum hafi verið heimilt að takmarka aðgang kvartanda að persónuupplýsingum hennar í tilteknum tölvupóstsamskiptum og öðrum gögnum, á grundvelli 3. og 5. mgr. 17. gr. laga nr. 90/2018, sbr. 4. mgr. 15. gr. og 1. mgr. 23. gr. reglugerðar (ESB) 2016/679, sbr. umfjöllun í efnisgreinum 15 og 16.

38. Persónuvernd hefur í fyrri úrskurði sínum, frá 24. nóvember 2020 í máli nr. 2020010740, litið svo á, með hliðsjón af orðalagi 5. mgr. 17. gr. laga nr. 90/2018 og lögskýringargögnum, að leggja verði til grundvallar að ákvæðið geymi sjálfstæða heimild til að takmarka réttindi skráðra einstaklinga þegar um sé að ræða persónuupplýsingar sem fram koma í vinnuskjölum. Samkvæmt niðurlagi ákvæðisins er heimilt að beita takmörkuninni að því marki sem nauðsynlegt er til að tryggja undirbúning málsmeðferðar. Áðurnefnd lögskýringargögn bera jafnframt með sér að beiting takmörkunarinnar komi aðeins til greina við tilteknar aðstæður, sbr. umfjöllun í efnisgrein 30.

39. Við skýringu á 5. mgr. 17. gr. laga nr. 90/2018 ber jafnframt að líta til þess að reglugerð (ESB) 2016/679 geymir ekki hliðstæða heimild til að takmarka rétt hins skráða til aðgangs að persónuupplýsingum í vinnuskjölum. Heimildin var tekin upp í íslenskan rétt á grundvelli 1. mgr. 23. gr. reglugerðarinnar, sbr. jafnframt 4. mgr. 17. gr. laganna, en ákvæðin krefjast þess að takmörkun virði eðli grundvallarréttinda og mannfrelsis, og teljist nauðsynleg og hófleg ráðstöfun í lýðræðisríki í þágu tilgreindra hagsmuna, líkt og nánar er rakið í efnisgreinum 29 og 30 hér að framan. Að teknu tilliti til þess að ákvæði reglugerðarinnar ganga framar ákvæðum laganna, sbr. 3. mgr. 5. gr. laganna, verður aðgangsréttur, sem skráðum einstaklingum er veittur í 15. gr. reglugerðarinnar, ekki takmarkaður á grundvelli 5. mgr. 17. gr. laganna í rýmra mæli en heimilt er samkvæmt 1. mgr. 23. gr. reglugerðarinnar.

40. Með hliðsjón af því sem rakið er í efnisgreinum 38 og 39 hér að framan, telur Persónuvernd að ábyrgðaraðila beri að gæta meðalhófs við takmörkun á aðgangsrétti á grundvelli 5. mgr. 17. gr. laga nr. 90/2018 og haga afgreiðslu á beiðni um aðgang í samræmi við þau sjónarmið sem rakin eru í efnisgrein 31 hér að framan, eftir því sem við getur átt.

41. Þá ber að skoða undanþágu 3. mgr. 17. gr. laga nr. 90/2018 og 4. mgr. 15. gr. reglugerðar (ESB) 2016/679 með hliðsjón af 63. lið formála reglugerðarinnar. Ber ábyrgðaraðila líkt og fyrr greinir að framkvæma mat á þeim hagsmunum sem þar kunna að vegast á, sbr. umfjöllun í efnisgrein 31, og leita leiða til að ná jafnvægi milli andstæðra hagsmuna, t.d. með því að grípa til ráðstafana á borð við afmáningu upplýsinga um aðra einstaklinga áður en upplýsingar eru afhentar hinum skráða, í stað þess að neita honum alfarið um afrit þeirra.

42. Að mati Persónuverndar er ekkert fram komið um að mat samkvæmt framansögðu hafi farið fram af hálfu bankans, en honum bar að sýna fram á að svo hafi verið gert, með hliðsjón af þeirri ábyrgðarskyldu sem á honum hvílir samkvæmt 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er það því mat Persónuverndar að bankinn hafi ekki sýnt fram á að hann hafi haft forsendur til að beita umræddum undanþáguákvæðum með þeim hætti að synja kvartanda alfarið um afrit af persónuupplýsingum hennar, sem koma meðal annars fram í áðurnefndum tölvupóstsamskiptum.

43. Jafnframt liggur fyrir að kvartanda voru ekki afhent afrit af myndbandsupptökum úr hraðbanka, sem innihéldu myndefni af kvartanda, þegar þær voru enn til. Slíkar myndbandsupptökur teljast persónuupplýsingar í skilningi laga nr. 90/2018, sbr. umfjöllun í efnisgrein 22. Undir rekstri málsins hjá Persónuvernd hefur Landsbankinn byggt á því að myndefni sem þetta sé ekki afhent viðskiptavinum nema fram komi beiðni frá lögreglu í þágu rannsóknar máls, sbr. umfjöllun í efnisgrein 19. Þrátt fyrir framangreinda afstöðu bankans hefur komið fram við rannsókn Persónuverndar að bankinn afhenti kvartanda myndir af henni, úr hraðbanka, frá 4. og 20. ágúst 2022, en framangreint verður ráðið af bréfi bankans til kvartanda, dags. 24. nóvember 2022, sem var meðal þeirra gagna sem Persónuvernd fékk til skoðunar, sbr. umfjöllun í efnisgrein 12. Hvað framangreint varðar telur Persónuvernd í fyrsta lagi að bankinn hafi ekki sýnt fram á að hann hafi haft forsendur til að undanskilja myndbandsupptökur aðgangsrétti kvartanda. Það eitt að um hafi verið að ræða persónuupplýsingar um kvartanda sem til urðu við rafræna vöktun leiðir ekki til þess að synja beri kvartanda um afrit af upplýsingunum og vísast í því samhengi til sömu sjónarmiða og rakin voru í efnisgrein 41 og 42, sbr. efnisgrein 31. Í öðru lagi, varðandi myndir sem kvartanda voru afhentar með bréfi dags. 24. nóvember 2022, telur Persónuvernd að afhending kyrrmynda, þegar hinar upprunalegu persónuupplýsingar voru í formi hreyfimynda geti, eins og hér háttar til, ekki talist fullt afrit persónuupplýsinganna í skilningi 3. mgr. 15. gr. reglugerðar (ESB) 2016/679. Er í því sambandi til þess að líta að hreyfimynd felur m.a. í sér upplýsingar um tímaröð og samhengi atvika sem ekki verða ráðnar af kyrrmyndum einum og sér.

44. Hvað varðar sjónarmið Landsbankans er lúta að afhendingu gagna sem stafa frá kvartanda sjálfri eða umboðsmönnum hennar, sbr. umfjöllun í efnisgrein 18, er til þess að líta að EDPB hefur í leiðbeiningum sínum nr. 1/2022 bent á að skyldan til að afhenda persónuupplýsingar í þessu samhengi eigi við að fullu óháð því að upplýsingarnar stafi frá hinum skráða sjálfum, sbr. umfjöllun í efnisgrein 27 hér að framan. Með hliðsjón af því, og að teknu tilliti til þess lögskýringarsjónarmiðs sem rakið er í efnisgrein 31 hér að framan, verður ekki fallist á að Landsbankanum hafi verið heimilt á grundvelli b-liðar 5. mgr. 12. gr. reglugerðar (ESB) 2016/679 að synja kvartanda um afrit af persónuupplýsingum, sem bankinn hefur til vinnslu, með vísan til þess að upplýsingarnar stafi frá henni sjálfri.

45. Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að Landsbankinn hafi ekki sýnt fram á að hafa afgreitt beiðni kvartanda um afrit af persónuupplýsingum hennar í samræmi við 17. gr. laga nr. 90/2018 og 12. og 15. gr. reglugerðar (ESB) 2016/679.

Fyrirmæli

46. Í samræmi við þessa niðurstöðu, og með vísan til 3. tölul. 42. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Landsbankann að taka aðgangsbeiðni kvartanda til efnislegrar afgreiðslu að nýju í samræmi við þau sjónarmið sem rakin hafa verið í úrskurði þessum, innan þess frests sem áskilinn er í lögunum og reglugerðinni. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en fjórum vikum eftir afgreiðslu beiðninnar ásamt lýsingu á nýrri afgreiðslu hennar.

Ákvörðun um beitingu valdheimilda

47. Persónuvernd getur veitt ábyrgðaraðila eða vinnsluaðila áminningu ef vinnsluaðgerðir hafa brotið í bága við reglugerð (ESB) 2016/679, sbr. 2. tölul. 42. gr. laga nr. 90/2018, og getur lagt stjórnvaldssektir á þá sem brjóta, af ásetningi eða gáleysi, gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 1. og 5. mgr. þeirrar lagagreinar.

48. Við ákvörðun um hvort framangreindum ákvæðum um sektarheimild skal beitt ber að líta til 1. mgr. 47. gr. laga nr. 90/2018 þar sem kveðið er á um þau atriði sem ýmist geta verið metin hlutaðeigandi til málsbóta eða honum í óhag. Að virtum þeim sjónarmiðum sem tilgreind eru í tilvísuðu ákvæði og málsatvikum öllum, svo og að teknu tilliti til reglna um meðalhóf, sbr. 1. mgr. 83. gr. reglugerðar (ESB) 2016/679 og 12. gr. stjórnsýslulaga nr. 37/1993, þykja ekki næg efni til að leggja stjórnvaldssekt á Landsbankann vegna þeirra brota gegn persónuverndarlöggjöfinni sem rakin eru í efnisgreinum 36 og 45 hér að framan. Rétt þykir þó að veita Landsbankanum áminningu, sbr. 2. tölul. 42. gr. laganna, vegna fyrrgreindra brota.

Ú r s k u r ð a r o r ð:

Afgreiðsla Landsbankans hf. á aðgangsbeiðni [A] samrýmdist ekki 17. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 12. og 15. gr. reglugerðar (ESB) 2016/679.

Lagt er fyrir Landsbankann hf. að taka aðgangsbeiðni [A] til nýrrar afgreiðslu. Eigi síðar en fjórum vikum eftir afgreiðslu beiðninnar skal Landsbankinn hf. senda Persónuvernd staðfestingu á því að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á nýrri afgreiðslu beiðninnar.

Landsbankanum hf. er veitt áminning, sbr. 2. tölul. 42. gr. laga nr. 90/2018.

Persónuvernd, 12. mars 2026

Dóra Sif Tynes
formaður

Árnína Steinunn Kristjánsdóttir

Gunnar Ingi Ágústsson

Jónas Sturla Sverrisson

Thor Aspelund