Fara beint í efnið
Persónuvernd Forsíða
Persónuvernd Forsíða

Persónuvernd

Kortanúmer á greiðslukortakvittunum

Persónuvernd barst ábending þess efnis að þegar greitt væri með greiðslukorti í tiltekinni matvöruverslun kæmi kortanúmerið í heild sinni fram á greiðsluseðli (posanótu), en ekki aðeins hluti þess. Af því tilefni sendi Persónuvernd versluninni bréf, þar sem m.a. kom eftirfarandi fram:

"Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Greiðslukortanúmer teljast þannig til persónuupplýsinga þar sem þær má rekja til handhafa greiðslukorts.

Samkvæmt 1. mgr. 11. gr. laga nr. 77/2000 skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.

Eðli greiðslukortanúmera er slíkt að handhöfn óviðkomandi aðila á þeim býður ekki einungis upp á misferli í viðskiptum, heldur getur viðkomandi einnig aflað sér upplýsinga um viðskipti korthafa.

Með vísan til þess sem að framan greinir er óskað eftir að [A] upplýsi um hvort kortanúmer komi séu prentuð í heild sinni á posanótur. Ef svo er, er óskað skýringa á því hvernig það samrýmist ákvæðum laga nr. 77/2000 um öryggi persónuupplýsinga."

Í svarbréfi verslunarinnar sagði eftirfarandi:

"Rétt er að kortanúmer kemur fram á kassakvittun og kortakvittun viðskiptavinar hjá okkur í [A]. Einnig kemur kortanúmer fram í heild sinni á frumriti kortanótu sem [A] heldur eftir með undirskrift viðskiptavinar eins og reglur kortafyrirtækjanna gera ráð fyrir. Engar upplýsingar aðrar en kortanúmer koma þó fram á kassa- eða kortakvittun viðskiptavinar, svo sem nafn eða nokkuð annað sem má nota til að rekja ákveðna kvittun til hans. Í öllum tilfellum er viðskiptavin afhent kassa- og kortakvittun sín í lok afgreiðslu og þannig eru þær í hans höndum og undir viðskiptavin komið hvernig hann ráðstafar þessum kvittunum líkt og skjölum með persónulegum upplýsingum.

Kassakerfi okkar uppfyllir allar núgildandi reglur sem okkur hafa verið settar af kortafyrirtækjunum og virkar svipað og gömlu posarnir sem eru í tvíriti hvað birtingu kortanúmers í heild varðar á kvittun.

Kassakerfi okkar er komið nokkuð til ára sinna og bíður því miður ekki upp á að fela hluta kortanúmers á kassa- og kortakvittun eins og flest nýrri kerfi gera. [A] vill fyrir alla muni gæta fyllsta öryggis í viðskiptum og fara í einu og öllu eftir reglum og ábendingum sem við fáum varðandi það. Við erum að hefjast handa við útskiptingu á kassakerfi í verslunum okkar og höfum gengið úr skugga um að í nýju kerfi sé það tryggt að kortanúmer komi einungis fram að hluta á kvittunum viðskiptavinar eins og venja er með öll nýrri kerfi í dag. Við áætlum að hefja útskiptingu á kassakerfum okkar seinni part sumars og reiknum með að henni verði lokið í byrjun næsta árs."

Persónuvernd taldi því ekki ástæðu til að aðhafast frekar og lauk málinu með bréfi þar sem m.a. sagði:

"Persónuvernd þakkar bréf yðar [...] þar sem kom m.a. fram að hafist hafi verið handa við útskiptingu á kassakerfum í verslunum [A] og tryggt verði að með nýju kassakerfi muni einungis hluti greiðslukortanúmers koma fram á kvittunum til viðskiptavina.

Í ljósi ofangreinds telur Persónuvernd ekki tilefni til að aðhafast frekar vegna málsins en rétt er að nefna að það er algengt að almenningur hendir korta- og/eða kassakvittunum án vitneskju um að á slíkum kvittunum er bæði að finna fullt kortanúmer ásamt gildistíma kortsins sem geti haft í för með sér misnotkun á viðkomandi greiðslukorti. Því skal minnt á ákvæði 2. mgr. 11. gr. laga nr. 77/2000 þar sem kemur fram að tryggja þurfi nægjanlegt öryggi við sérhverja vinnslu persónuupplýsinga miðað við eðli þeirra gagna sem unnið er með og með hliðsjón af nýjustu tækni hverju sinni."

Persónuvernd

Hafa samband

postur@personuvernd.is

Sími: 510 9600

Afgreiðslu­tími

Virka daga frá 9 til 12 og 13 til 15

Símatími lögfræðinga er alla fimmtudaga frá 9 til 12

Stað­setning

Laugarvegur 166, 4. hæð

105 Reykjavík, Ísland

Kennitala: 560800-2820