Brug af personnummer i netbankløsning

Publiceret 03-12-2004
Historisk afgørelse Private virksomheder

Journalnummer: 2002-213-0143

De har i brev af 13. november 2002 klaget til Datatilsynet over B’s praksis vedrørende brug af personnumre i bankens netbankløsning.

Banken er i breve af 5. februar 2003 og 5. juli 2004 fremkommet med bemærkninger i sagen, som De efterfølgende har kommenteret. Der har ligeledes været afholdt et afklarende møde med deltagere fra B, Finansrådet og Datatilsynet.

Det fremgår herefter, at en kundes brugernummer i B’s netbankløsning er identisk med kundens personnummer.

Banken har oplyst, at kunden får adgang til netbanken ved at taste brugernummer og sikkerhedskode. Sikkerhedskoden kan ændres af kunden efter eget ønske. Brugernummeret kan ligeledes ændres, men det er banken, der sammensætter det nye brugernummer. Brugernummeret kan således være svært at huske, hvorfor det som udgangspunkt udgøres af kundens personnummer. Kommunikationen til banken er krypteret.

B har oplyst, at banken er forpligtet til at behandle kundens personnummer i henhold til skattekontrolloven, lov om forbyggende foranstaltninger mod hvidvaskning af penge og finansiering af terrorisme samt værdipapirhandelsloven bl.a. med henblik på indberetning til Told og Skat. Ifølge banken berører en kundes dispositioner via netbank indirekte disse indberetningsforpligtelser, hvorfor det er nødvendigt, at dispositionerne i netbanken kan knyttes til kunden via personnummeret.

Det er endvidere B’s opfattelse, at kunden giver samtykke til brugen af personnummeret i netbankløsningen, idet kunden kan identificere kundenummeret som sit personnummer, når kunden logger sig på første gang.

B har tillige anført, at brugen af personnummer som brugernummer har flere fordele. Det forhindrer, at kunden opbevarer sit brugernummer uforsvarligt, og at det dermed kommer til uvedkommendes kendskab. Dertil kommer, at brugen af personnummer som nøgle sikrer, at oplysninger i bankens systemer (dvs. både netbanken og offline systemerne) kan sammenlignes direkte, så der ikke opstår problemer med forveksling af forskellige kunder.

Banken lægger endvidere vægt på, at der ikke sker videregivelse af oplysninger om personnummer, og endelig, at løsningen er godkendt af Forbrugerombudsmanden.

De har over for dette anført, at banken har registreret personnummeret af hensyn til indberetningspligten til offentlige myndigheder, og De stiller derfor spørgsmålstegn ved lovligheden af, at banken anvender personnummeret i sin øvrige forretningsgang, herunder som brugernummer i netbanken.

Datatilsynet skal – efter at sagen har været behandlet i Datarådet – udtale følgende:

Betingelserne for, hvornår en privat dataansvarlig må behandle oplysninger om personnummer, følger af persondatalovens § 11, stk. 2. Private kan herefter bl.a. behandle oplysninger om personnummer, når det følger af lov eller bestemmelser fastsat i henhold til lov, eller når den registrerede har givet sit udtrykkelige samtykke til behandlingen.

Kravet til et samtykke fremgår af lovens § 3, nr. 8. Det følger heraf, at et samtykke er enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilliger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.

At samtykket skal være udtrykkeligt betyder, at der ikke kan indhentes et stiltiende eller indirekte samtykke. Der ligger ikke heri et egentlig krav om skriftlighed, men da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige, kan det anbefales, at et samtykke afgives skriftligt.

I kravet om, at et samtykke skal være specifikt, ligger, at samtykket skal være konkretiseret, således at det klart og utvetydigt fremgår, hvad der meddeles samtykke til, herunder hvilke oplysninger der må behandles på baggrund af samtykket, af hvem og til hvilke formål.

Herudover skal der i forbindelse med samtykke gives tilstrækkelig information om samtykkets rækkevidde, således at den der afgiver samtykket er klar over, hvad dette indebærer.

Endvidere kan et afgivet samtykke tilbagekaldes efter bestemmelsen i § 38 i persondataloven.

Persondataloven indeholder endvidere i § 5 en række grundlæggende principper for den dataansvarliges behandling, herunder indsamling, ajourføring, opbevaring m.v. af oplysninger. Disse krav skal altid være opfyldt og gælder i tillæg til behandlingsreglerne i bl.a. § 11.

Af § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.

Det følger af bemærkningerne til § 5, stk. 2, at det bl.a. vil være sagligt at indsamle oplysninger til administrative formål, som det ligger inden for den dataansvarliges virksomheds område at varetage.

Af § 5, stk. 3, følger, at de oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles.

Behandling med hjemmel i særlovgivningen

Oplysninger om personnumre kan som ovenfor nævnt behandles, når det følger af lov eller bestemmelser fastsat i henhold til lov. Hvis en virksomhed, forening mv. kan behandle oplysninger om personnumre på grundlag af en særlig hjemmel i lovgivningen, kan virksomheden mv. efter Datatilsynets praksis tillige anvende oplysningerne internt til administrative formål, der har en sammenhæng med den behandling, som der er særlig hjemmel til.

Det er Datatilsynets opfattelse, at anvendelsen af personnummeret som brugernummer i netbanken ikke udgør et administrativt formål, der har en sådan sammenhæng med indberetningspligten, at behandlingen af personnummeret kan siges at ske med hjemmel i lovgivningen om indberetningspligt til det offentlige. Datatilsynet lægger herved vægt på, at brugen af personnummeret navnlig er begrundet i at gøre det nemmere for kunden at huske brugernummeret, og at andre netbanker kan fungere uden at anvende personnummeret som brugernummer.

Behandling med samtykke

B har anført, at kunden kan genkende sit brugernummer som værende identisk med personnummeret, når kunden logger sig på netbanken første gang. Når kunden alligevel vælger at logge sig på, giver kunden efter B’s opfattelse samtykke til denne brug af personnummeret.

Det er Datatilsynets vurdering, at proceduren omkring pålogning til B’s netbank ikke lever op til persondatalovens krav til et samtykke. Datatilsynet lægger herved vægt på, at første pålogning til netbanken sker, efter at personnummeret er taget under anvendelse, idet det fremtræder som brugernummer, uden at der er foretaget nogen handling fra den registreredes side.

Det understreges, at Datatilsynet ikke hermed anser det for udelukket, at der kan anvendes en tilmeldingsprocedure til netbanken, hvor der f.eks. allerede i forbindelse med kundens oprettelse af aftalen om netbank indhentes et samtykke.

Datatilsynet må imidlertid lægge til grund, at der ikke på nuværende tidspunkt er indført en sådan procedure.

Konklusion

Den procedure, som B benytter sig af på nuværende tidspunkt, er således efter Datatilsynets opfattelse ikke i overensstemmelse med persondatalovens regler. Datatilsynet har derfor i brev af dags dato anbefalet B, at banken fremover enten baserer adgangen til netbanken på et nummer, som ikke er identisk med en kundes personnummer, eller baserer anvendelsen af personnummeret på et udtrykkeligt samtykke, der lever op til persondatalovens krav. Datatilsynet har bedt B bekræfte, at banken vil indrette netbankløsningen i overensstemmelse med Datatilsynets tilkendegivelse.

Datatilsynet har hermed ikke taget stilling til, om anvendelse af personnummeret i en netbankløsning er i overensstemmelse med lov om visse betalingsmidler. Denne lov henhører under Forbrugerombudsmandens kompetenceområde.

Kopi af dette brev er dags dato sendt til B til orientering.