Klage over banks behandling af personoplysninger
Brevdato: 02.01.02
Journalnummer: 2001-213-0066
Ved e-post af 28. marts 2001 har K, klaget til Datatilsynet over, at internetbanken B nægter at slette oplysninger om hende, samt at banken i forbindelse med behandlingen af hendes ansøgning om oprettelse af en indlånskonto ikke har givet hende tilstrækkelige oplysning om formålet med behandlingen af indsamlede og registrerede oplysninger.
Idet der henvises til sagsfremstillingen i det i kopi vedlagte brev til K, skal Datatilsynet herefter udtale følgende:
Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven) ifølge lovens § 1, stk. 1, gælder for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Loven gælder tillige for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden, jf. § 1, stk. 2.
Behandling af oplysning om personnummer
Ifølge persondatalovens § 11 må private behandle oplysninger om personnummer, når
1) det følger af lov eller bestemmelser fastsat i henhold til lov,
2) den registrerede har givet sit udtrykkelige samtykke hertil eller
3) behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed.
Privates behandling af personnummer i andre situationer end de i persondatalovens § 11, stk. 2, nr. 1 og 3 nævnte kræver således, at den registrerede har givet sit udtrykkelige samtykke hertil. Det er tilsynets umiddelbare vurdering, at det er denne regel, der i givet fald skulle være hjemmel for bankens behandling af K's personnummer. Datatilsynet har herved lagt vægt på, at der f.eks. ikke består en lovbestemt indberetningspligt til skattemyndighederne, når der gives afslag på etablering af et kundeforhold.
Ifølge lovens § 3, nr. 8, defineres et samtykke som enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.
Af bemærkningerne til lovens § 3, nr. 8, fremgår bl.a., at samtykket skal være konkretiseret, således at det klart og utvetydigt fremgår, hvad der meddeles samtykke til, herunder hvilke oplysninger der må behandles på baggrund af samtykket, af hvem og til hvilke formål, samt at der i forbindelse med samtykke gives tilstrækkelig information om samtykkets rækkevidde, således at den der afgiver samtykket er klar over, hvad dette indebærer. Bevisbyrden for at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige.
Da B ikke har kunnet dokumentere internetsidens opbygning og indhold på tidspunktet for K's ansøgning, og da tilsynet i øvrigt har fundet det ubetænkeligt, har tilsynet valgt at lægge til grund, at internetsiden, herunder ansøgningsskemaet, så ud som på den af K fremsendte skærmudskrift af den 26. marts 2001. Skærmudskriften vedlægges i kopi.
Som sagen således er oplyst, finder Datatilsynet at måtte lægge til grund, at B ikke i forbindelse med indsamlingen af oplysningerne om K's personnummer har indhentet et samtykke, der lever op til persondatalovens krav. Datatilsynet har herved lagt vægt på, at det ikke af ansøgningsskemaet med tilstrækkelig tydelighed fremgår, at der med skemaets indsendelse gives samtykke til en behandling af nærmere konkretiseret art.
B's behandling af oplysningen om K's personnummer har således været i strid med persondataloven.
Datatilsynet har noteret sig, at B efterfølgende har indføjet en kort tekst på ansøgningsskemaet vedrørende samtykke til behandlingen af oplysningerne. Teksten er placeret nederst på ansøgningsskemaet umiddelbart foran dialogboksen "send" og indeholder bl.a. en henvisning til bankens almindelige forretningsbetingelser, hvori bankens behandling af personoplysninger beskrives mere udførligt. Datatilsynet skal i den forbindelse anbefale, at der indlægges et link til bankens almindelige forretningsbetingelser.
Oplysningspligt
Persondatalovens kapitel 8 indeholder bestemmelser om den dataansvarliges oplysningspligt over for den registrerede.
Det følger således af lovens § 29, stk. 1, at hvor oplysninger ikke er indsamlet hos den registrerede, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, påhviler det den dataansvarlige eller dennes repræsentant senest ved registreringen, eller når videregivelsen af oplysningerne finder sted, at give den registrerede meddelelse om
1) den dataansvarliges og dennes repræsentants identitet,
2) formålene med den behandling, hvortil oplysningerne er bestemt, samt
3) alle yderligere oplysninger, der under hensyn til de sµrlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks. hvilken type oplysninger det drejer sig om, kategorierne af modtagere, om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.
Det bemærkes, at udtrykket ved registreringen efter Datatilsynets opfattelse skal forstås som dækkende over den omstændighed, at personoplysninger undergives edb-behandling eller indføres i et manuelt register. En søgning i f.eks. et online system må betegnes som en edb-behandling og en indsamling af oplysninger, hvorfor selve søgningen udløser oplysningspligten i § 29.
Således som sagen foreligger oplyst for Datatilsynet, må Datatilsynet lægge til grund, at K først i forbindelse med bankens besvarelse af sin indsigtsbegæring fik oplysning om, at banken havde søgt oplysninger om hende i RKI.
Det er imidlertid Datatilsynets opfattelse, at banken burde have givet K besked om indsamlingen af oplysninger fra RKI senest i forbindelse med afslaget på hendes ansøgning. Datatilsynet har herved bl.a. lagt vægt på, at underretning i henhold til lovens § 29 skal gives på så tidligt et tidspunkt som muligt, hvilket navnlig skal vurderes i forhold til den indsats, der kræves fra den dataansvarliges side for at opfylde oplysningspligten.
Det fremgår således af punkt 2.2.1. i Datatilsynets vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i kapitel 8-19 i lov om behandling af personoplysninger, at hvis den dataansvarlige allerede på selve registreringstidspunktet ved, at der i løbet af ganske kort tid herefter skal rettes henvendelse til den registrerede, f.eks. fordi den dataansvarlige skal forelægge sagens dokumenter for den registrerede, eller der skal foretages andre sagsbehandlingsskridt, vil oplysningspligten som altovervejende hovedregel kunne opfyldes samtidig med denne senere henvendelse. Vejledningen kan ses på Datatilsynets hjemmeside www.datatilsynet.dk under punktet "Lovgivning".
Datatilsynet skal på denne baggrund henstille, at B fremover iagttager persondatalovens § 29 i forbindelse med indsamling af personoplysninger fra andre end den registrerede selv, herunder ved indsamling af oplysninger fra kreditoplysningsbureauer m.v.
Opbevaring af korrespondancen
Til bankens fortsatte opbevaring af korrespondancen i denne sag skal Datatilsynet bemærke, at det efter tilsynets opfattelse må anses som et naturligt led i den normale drift af en virksomhed som B - og dermed i overensstemmelse med persondatalovens § 6, stk.1, nr. 7 - at opbevare korrespondancen i sager som denne, i hvert fald i et vist tidsrum.
I forlængelse heraf bemærkes, at indsamlede oplysninger ifølge lovens § 5, stk. 5, ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Det er i første omgang den dataansvarlige, der skal vurdere hvornår betingelsen i stk. 5 ikke længere er opfyldt. Tilsynet foretager sig på denne baggrund ikke yderligere i anledning af bankens fortsatte opbevaring af de pågældende oplysninger.
Datatilsynet har i øvrigt noteret sig, at B i overensstemmelse med K's ønske herom har slettet alle øvrige oplysninger om hende.
Datatilsynet har endvidere noteret sig, at B efterfølgende har foretaget ændringer af internetsiden...[udeladt].., herunder på de forskellige ansøgningsskemaer samt afsnittet om bankens almindelige forretningsbetingelser, hvor bankens behandling af personoplysninger beskrives.
Hvorvidt ændringerne i fuld tilstrækkelig grad lever op til persondatalovens krav til bl.a. oplysningspligt og behandlingshjemmel er aktuelt under overvejelse i Datatilsynet.
Opbevaring af ansøgerens oplysninger i tilfælde af afslag
Det er oplyst under sagen, at B generelt opbevarer oplysninger om ansøgere, der har fået afslag, til internt brug, idet banken ønsker at have kendskab til tidligere henvendelser ved en potentiel kundes eventuelle senere henvendelse. Banken oplyser bl.a., at dette skyldes hensynet til at imødegå svig, idet banken ind imellem oplever, at ansøgere, der har modtaget afslag, senere henvender sig, men nu med væsentligt ændrede oplysninger. B sletter oplysningerne to år efter afslagsdatoen, idet banken har vurderet, at oplysningerne har relevans i dette tidsrum.
Hvorvidt der uden samtykke lovligt kan behandles oplysninger om ansøgere, der fået afslag og således ikke indgår i et kontraktforhold med den dataansvarlige, skal efter Datatilsynets opfattelse først og fremmest vurderes i forhold til persondatalovens § 6, stk. 1, nr. 7.
Efter denne bestemmelse må registrering, videregivelse og anden behandling af personoplysninger ske, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.
Spørgsmålet om, hvornår en behandling er nødvendig for, at den dataansvarlige kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, beror på en konkret vurdering i det enkelte tilfælde.
Behandling af personoplysninger skal endvidere ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5.
Det følger således af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig.
Endvidere fremgår det, at en rimelig behandling bl.a. forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens §§ 28 og 29 om oplysningspligt.
Af § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. I tilknytning hertil bestemmes det i § 5, stk. 3, at oplysninger, som behandles, må være relevante og tilstrækkelige og ikke omfatte mere end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål hvortil oplysningerne senere behandles.
Det følger af § 5, stk. 4, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger.
Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges. Endelig følger det af § 5, stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.
Det er Datatilsynets umiddelbare opfattelse, at oplysning om, at der er meddelt afslag samt øvrige oplysninger, der ligger til grund for afslaget, kan behandles af B i medfør af persondatalovens §§ 5 og 6 i et vist tidsrum efter meddelelse af afslaget.
Datatilsynet har herved navnlig lagt vægt på, at det ikke kan anses for uforeneligt med det oprindelige formål med indsamlingen - at vurdere hvorvidt der kan stiftes et kundeforhold - at oplysningerne opbevares og inden for to år kan indgå i grundlaget for en vurdering af en ny ansøgning fra samme kunde for således at mindske risikoen for svig.
Det skal i den forbindelse understreges, at hensynet til at undgå, at der behandles urigtige oplysninger, jf. § 5, stk. 4, bevirker, at der ikke bør træffes afgørelse udelukkende på baggrund af de tidligere indhentede oplysninger. Det vil i praksis sige, at der ved fornyet ansøgning på ny skal indhentes oplysning om f.eks. RKI registrering, og at ansøgningen herefter skal underkastes en konkret vurdering på baggrund af de aktuelle oplysninger.
Sikkerhed ved transmission af personoplysninger over det åbne internet
Datatilsynet er i forbindelse med behandlingen af K's klage blevet opmærksom på, at det på internetsiden ...[udeladt]... er muligt at sende oplysninger om økonomiske og skattemæssige forhold ukrypteret.
Af persondatalovens § 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Pligten til at trµffe fornødne sikkerhedsforanstaltninger påhviler efter persondatalovens § 41, stk. 3, såvel den dataansvarlige som en eventuel databehandler.
Ved transmission af oplysninger over det åbne internet er der generelt en risiko for, at oplysningerne undervejs læses og endog ændres af uvedkommende.
Derudover er der en risiko for, at parterne i kommunikationen ikke er dem, de udgiver sig for. Disse risici må vurderes af den dataansvarlige i den konkrete situation, således at der kan træffes de fornødne sikkerhedsforanstaltninger.
Hvad angår fortrolighed kan denne sikres ved forsvarlig kryptering af de transmitterede oplysninger. Hvis der er tale om transmission af oplysninger som f.eks. personnummer og oplysninger om enkeltpersoners økonomiske forhold, skal der som minimum foretages en kryptering.
Hvis de transmitterede oplysninger er af følsom karakter (omfattet af persondatalovens § 7, stk. 1 og § 8, stk. 1), skal der anvendes en stærk kryptering, baseret på en anerkendt algoritme. Sikkerhed for autenticitet (afsenders og modtagers identitet) og integritet (de transmitterede oplysningers ægthed) må sikres i fornødent omfang ved anvendelse af passende sikkerhedsforanstaltninger, f.eks. elektronisk signatur eller individuelle, fortrolige adgangskoder.
Det er Datatilsynets opfattelse, at oplysninger om potentielle kunders økonomiske og skattemæssige forhold bør beskyttes ved transmission over det åbne internet.
Det bemærkes, at den omstændighed at banken har opstillet en mulighed for at benytte en sikker linie til transmissionen fritager imidlertid ikke banken for ansvaret for, at der sker en ukrypteret overførsel af oplysninger om privatpersoners økonomiske og skattemæssige forhold. Det bemærkes, at det ikke er muligt at samtykke sig ud af de sikkerhedsmæssige krav der stilles i henhold til § 41, stk. 3.
Datatilsynet skal derfor anbefale, at B sikrer transmissionen af de nævnte oplysninger, hvilket f.eks. kan ske ved anvendelse af en svag (40-bit) SSLkryptering. Der henvises i øvrigt til Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen), og tilhørende vejledning, som begge kan hentes på Datatilsynets hjemmeside under punktet "Lovgivning".
Datatilsynet skal anmode om at modtage underretning om, hvad B agter at foretage sig i anledning af ovenstående.