Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu Arion banka hf., í máli nr. 2025010129 (áður 2023030441):

Málsmeðferð

1. Hinn 27. febrúar 2023 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu Arion banka hf. (hér eftir Arion banki hf. eða bankinn) á persónuupplýsingum hans. Nánar tiltekið er kvartað yfir því (i) að Arion banki hf. hafi skráð kvartanda á markhópalista bankans án samþykkis hans, (ii) að bankinn hafi komið í veg fyrir löglega fyrningu upplýsinga um fjárhagsmálefni hans með því að framkvæma reglulega lánshæfismat og annars konar fjárhagsgreiningu án heimildar og (iii) að upplýsingar um kreditkort, sjálfskuldarábyrgð og veðsamninga hafi verið varðveittar lengur en nauðsynlegt hafi verið.

2. Persónuvernd bauð Arion banka hf. að tjá sig um kvörtunina með bréfi dags. 12. október 2023, og bárust svör bankans með bréfi, dags. 31. s.m. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Arion banka hf. með bréfi, dags. 3. janúar 2024, og bárust þær með tölvupósti 18. s.m.

3. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði. Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.

Ágreiningsefni

4. Ágreiningur er um heimild Arion banka hf. til að skrá kvartanda á markhópalista bankans, vinnslu bankans á persónuupplýsingum um kvartanda, meðal annars í tengslum við framkvæmd lánshæfismats og endurskipulagningu skulda, og varðveislutíma upplýsinga tengdum viðskiptum kvartanda við bankann.

Sjónarmið aðila

Helstu sjónarmið kvartanda

5. Kvartandi byggir á því að Arion banki hf. hafi sjálfkrafa og án samþykkis skráð hann á markhópalista bankans og unnið með persónuupplýsingar um hann í markaðstilgangi.

6. Einnig telur kvartandi að bankinn hafi komið í veg fyrir lögmæta fyrningu gagna um fjárhagsmálefni og lánstraust hans með því að gera reglulega og án heimildar lánshæfismat eða annars konar greiningu á fjárhag hans. Framangreindu til stuðnings vísar kvartandi til skráninga undir liðnum „staðlaðar textalínur“ í aðgangsskýrslu sem hann fékk afhenta frá bankanum, þ. á m. vegna afskrifta og vinnslu dags. 5. mars 2021, sem hann hafi ekki veitt heimild fyrir.

7. Þá byggir kvartandi á að bankinn varðveiti fjárhagsupplýsingar hans í óhóflega langan tíma þ. á m. upplýsingar um kreditkort, sjálfskuldarábyrgðir og veðsamninga frá árunum 2003-2015. Kvartandi hafnar því að hagsmunir bankans af varðveislu upplýsinganna vegi þyngra en hagsmunir hans af því að vinnslan fari ekki fram, auk þess sem kvartandi telur að Arion banki hf. hafi ekki framkvæmt mat á lögmætum hagsmunum í samræmi við 47. lið formálsorða persónuverndarreglugerðarinnar.

Helstu sjónarmið Arion banka hf.

8. Í svarbréfi Arion banka hf. kemur fram að kvartandi hafi síðast verið í virkum viðskiptum við bankann árið 2020 og að síðasta bankareikningi hans hafi verið lokað, að hans beiðni, í febrúar 2023. Bankinn byggir á að hann vinni með upplýsingar viðskiptavina sinna í þágu beinnar markaðssetningar á grundvelli sérstaks samþykkis en einnig á grundvelli lögmætra hagsmuna bankans. Bankinn hafi framkvæmt hagsmunamat vegna vinnslunnar og metið að hagsmunir bankans vegi þyngra en hagsmunir viðskiptavina af því að vinnslan fari ekki fram. Vegi þar þungt þær takmörkuðu upplýsingar sem unnið sé með og reynsla bankans af upplifun viðskiptavina. Tilgangur vinnslunnar sé að kynna viðskiptavinum sérsniðnar vörur, þjónustu og fríðindi sem bankinn hafi upp á að bjóða. Viðskiptavinur geti afþakkað slík samskipti með því að breyta samþykkisstillingu í netbanka eða með því að hafa samband við bankann. Upplýsingar um vinnsluna sé að finna í persónuverndaryfirlýsingu bankans. Í tilviki kvartanda hafi eingöngu verið unnið með grunnupplýsingar hans og því ekki verið þörf á að afla sérstaks samþykkis fyrir vinnslunni. Um leið og kvartandi hafi andmælt vinnslunni, 22. nóvember 2022, hafi hann verið tekinn út af markhópalistum bankans og ekki fengið frekari markaðsskilaboð.

9. Hvað framkvæmd lánshæfismats eða annarra greininga á fjárhag kvartanda varðar vísar Arion banki hf. til þeirra ríku krafna er hvíli á bankanum um það hvenær honum sé heimilt að framkvæma lánshæfismat og það sé ekki gert nema sérstök heimild liggi því til grundvallar. Sama eigi við um aðrar persónugreinanlegar greiningar á fjárhag viðskiptavina og þær fari aldrei fram án sérstakrar heimildar. Framkvæmd lánshæfismats í gegnum Creditinfo Lánstraust hf. fari ávallt fram í samráði við viðskiptavin óski hann eftir tilgreindri vöru eða þjónustu. Viðskiptavinir skrifi þá undir sérstaka skilmála þar sem nánari upplýsingar séu jafnframt veittar um vinnsluna. Til viðbótar við lánshæfismat Creditinfo Lánstrausts hf. framkvæmi bankinn lánshæfismat á viðskiptavinum sem eru með fyrirgreiðslu hjá bankanum. Í tilviki kvartanda hafi slíkt mat síðast farið fram árið 2017 í tengslum við veðskuldabréf sem hafi komið til innheimtu árið 2014 og lauk með samningi árið 2017. Í aðgangsskýrslu sem hafi verið afhent kvartanda hafi undir liðnum „endurskipulagning skulda“ verið færslur vegna sex krafna bankans á hendur honum á grundvelli fjögurra útgefinna kreditkorta, yfirdráttar, veðskuldabréfa og innheimtulána. Kröfurnar hafi bankinn ýmist þurft að afskrifa eða fella niður að hluta í tengslum við skuldaleiðréttingu og samninga um endurskipulagningu fjárhags og uppgjör við kvartanda. Kröfurnar hafi því tengst málum sem lokað hafi verið á árunum 2010-2017.

10. Hvað snertir þann málatilbúnað kvartanda um að bankinn hafi komið í veg fyrir fyrningu gagna um fjárhagsmálefni hans, með gerð lánshæfismats og annarri fjárhagsgreiningu, vísar bankinn til þess að skráningar frá 5. mars 2021, í þeirri aðgangsskýrslu sem kvartanda var afhent, vísi til yfirfærslu á upplýsingum í nýtt kerfi bankans og varði því ekki eiginlega skráningardagsetningu. Vinnslan hafi átt sér stað í tengslum við afskriftir og endurskipulagningu fjárhags kvartanda á árunum 2010-2017, sbr. framangreinda umfjöllun. Engin frekari vinnsla á upplýsingum um kvartanda hafi átt sér stað við yfirfærsluna á árinu 2021.

11. Í svarbréfi Arion banka hf. segir einnig að vinnsla bankans á framangreindum upplýsingum um kvartanda byggi á lögmætum hagsmunum, auk þess sem í ákveðnum tilvikum sé bankanum skylt á grundvelli laga nr. 161/2002 um fjármálafyrirtæki að varðveita upplýsingar um viðskiptasögu viðskiptavina í tengslum við eftirlitskerfi með áhættu og skuldbindingaskrá um alla þá sem njóta fyrirgreiðslu, sbr. einnig skyldu til slíkrar varðveislu samkvæmt reglugerð nr. 920/2013 í þeim tilgangi að geta framkvæmt lánshæfismat og/eða greiðslumat. Kvartandi hafi notið lánafyrirgreiðslu í mismunandi formi hjá bankanum og hafi framangreindar skyldur fjármálafyrirtækja því átt við um hann.

12. Arion banki hf. byggir varðveislu upplýsinga um viðskiptasögu kvartanda á lögmætum hagsmunum bankans og vísar til þess að bankinn varðveiti ákveðnar grunnupplýsingar um viðskiptasögu viðskiptavina sinna í allt að 15 ár frá því að viðskiptum lýkur. Bankinn hafi framkvæmt hagsmunamat við afmörkun á varðveislutímanum og telji sig eiga ríkra hagsmuna að gæta af varðveislu upplýsinga um endurskipulagningu skulda viðskiptavina bankans, svo sem um eftirgjöf krafna, enda þurfi bankinn að geta litið til slíkrar upplýsinga við afgreiðslu á nýjum lánafyrirgreiðslum. Þær upplýsingar sem bankinn varðveiti um kreditkort kvartanda séu útgáfu- og lokunardagur og ástæða lokunar. Upplýsingarnar séu varðveittar á grundvelli lögmætra hagsmuna bankans, en jafnframt sé honum skylt á grundvelli laga um fjármálafyrirtæki að varðveita upplýsingar um viðskiptasögu viðskiptavina.

13. Hvað varðveislutíma upplýsinga um sjálfskuldarábyrgðir og veðsamninga kvartanda varðar vísar bankinn til þess að þrátt fyrir að sjálfskuldarábyrgðir kvartanda og veðsamningar séu frá árunum 2003-2015 hafi undirliggjandi samningar kvartanda við bankann ekki verið gerðir óvirkir fyrr en síðar og séu síðustu færslur tengdar umræddum skuldbindingum frá árunum 2010-2017. Afmörkun á varðveislutíma þeirra miðist því við það tímamark. Þá byggi varðveisla þeirra á sömu heimildum og fyrr greinir, þ.e. lögmætum hagsmunum bankans, en í tilvikum þeirra er njóta lánafyrirgreiðslu hjá bankanum byggi vinnslan á lagaskyldu á grundvelli laga um fjármálafyrirtæki í tengslum við eftirlitskerfi með áhættu og skuldbindingaskrá.

Forsendur og niðurstaða

Lagaumhverfi

14. Mál þetta lýtur að vinnslu upplýsinga um fjárhagsmálefni kvartanda. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 2. mgr. 1. gr., 1. mgr. 4. gr., og 1. mgr. 39. gr. laganna.

15. Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

16. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Fram kemur í 3. tölul. 9. gr. laganna, sbr. c-lið 6. gr. reglugerðarinnar, að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Þá segir í 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra.

17. Við mat á því hvort vinnsla persónuupplýsinga sé heimil með vísan til 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 6. gr. reglugerðar (ESB) 2016/679 ber að líta til þess að samkvæmt orðanna hljóðan er gert ráð fyrir því að löggjafinn hafi ákveðið með skýrum hætti í lögum að tiltekin vinnsla skuli fara fram. Lagaskyldan sem þar er vísað til þarf að hvíla á þeim ábyrgðaraðila sem hefur þá vinnslu með höndum sem sækir stoð í ákvæðið.

18. Við mat á því hvort vinnsla persónuupplýsinga sé heimil með vísan til 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 6. gr. reglugerðar (ESB) 2016/679 þarf þremur skilyrðum að vera fullnægt. Fyrir það fyrsta þarf vinnslan að fara fram í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir. Í öðru lagi þarf vinnslan að vera nauðsynleg í þágu hinna lögmætu hagsmuna og í þriðja lagi mega hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hinir lögmætu hagsmunir sem um ræðir. Í þriðja skilyrðinu er gerður áskilnaður um hagsmunamat þar sem lögmætir hagsmunir ábyrgðaraðila af vinnslunni eru bornir saman við hagsmuni hins skráða.

19. Í 47. lið formálsorða reglugerðarinnar segir meðal annars að ofangreind vinnsluheimild geti átt við þegar viðeigandi tengsl sem máli skipta eru milli hins skráða og ábyrgðaraðilans, t.d. í tilvikum þar sem hinn skráði er viðskiptavinur ábyrgðaraðilans eða í þjónustu hans. Hvað sem öðru líður þurfi að meta af kostgæfni hvort um lögmæta hagsmuni er að ræða, m.a. hvort skráður einstaklingur getur, þegar söfnun persónuupplýsinganna fer fram og í samhengi við hana, haft gilda ástæðu til að ætla að vinnsla muni fara fram í þeim tilgangi.

20. Þegar vinnsla persónuupplýsinga byggist á ofangreindri vinnsluheimild skal hinum skráða enn fremur heimilt að andmæla vinnslunni í samræmi við 1. mgr. 21. gr. laga nr. 90/2018 og 1. mgr. 21. gr. reglugerðar (ESB) 2016/679. Samkvæmt 4. mgr. sömu greinar reglugerðarákvæðisins skal gera hinum skráða grein fyrir andmælarétti hans í síðasta lagi þegar fyrst er haft samband við hann.

21. Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Eins og hér háttar til koma helst til skoðunar lög nr. 161/2002 um fjármálafyrirtæki, lög nr. 33/2013 um neytendalán og reglugerð 920/2013 um lánshæfismat og greiðslumat.

22. Samkvæmt 1. mgr. 77. gr. a í lögum nr. 161/2002 skal fjármálafyrirtæki á hverjum tíma hafa yfir að ráða tryggu eftirlitskerfi með áhættu í tengslum við alla starfsemi sína. Í 1. mgr. 78. gr. a í lögum nr. 161/2002 er kveðið á um að fjármálafyrirtæki skuli byggja lánveitingar sínar á traustum og vel skilgreindum viðmiðum og tryggja að ferlar vegna samþykktar, breytinga, endurnýjunar og endurfjármögnunar lánveitinga, eða hvers kyns skilmálabreytinga þeirra, séu til staðar. Í 2. mgr. sama ákvæðis segir m.a. að fjármálafyrirtæki skuli beita eigin aðferðafræði sem geri því kleift að meta útlánaáhættu af áhættuskuldbindingum einstakra viðskiptamanna. Þá er í 17. gr. a. í sömu lögum að finna ákvæði um uppfærða skuldbindingaskrá um alla þá sem njóta lánafyrirgreiðslu og í 17. gr. b. er ákvæði um skyldu lántaka til að veita upplýsingar.

23. Í 1. mgr. 10. gr. laga nr. 33/2013 um neytendalán segir að áður en samningur um neytendalán er gerður skuli lánveitandi meta lánshæfi neytanda. Þá segir í 2. mgr. sama ákvæðis að lánveitandi skuli, auk lánshæfismats skv. 1. mgr., framkvæma greiðslumat við lánveitingu ef fjárhæð lánssamnings er 2.000.000 kr. eða meira.

24. Þá kemur fram í 5. gr. reglugerðar nr. 920/2013 um lánshæfis- og greiðslumat að lánshæfismat skuli byggt á viðskiptasögu milli lánveitanda og lántaka og/eða upplýsingum úr gagnagrunni um fjárhagsmálefni og lánstraust. Greiðslumat skuli jafnframt, ef hægt er, byggja á upplýsingum sem rekja megi til viðskiptasambands aðila samkvæmt 6. gr. reglugerðarinnar, auk annarra tilgreindra upplýsinga.

25. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins, að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins.

Niðurstaða

26. Arion banki hf. ákvað tilgang og aðferðir við þá vinnslu persónuupplýsinga sem hér eru til umfjöllunar og telst því vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

27. Fyrir liggur að kvartandi var viðskiptavinur Arion banka hf. um langt árabil og þáði fjölbreytta þjónustu og fyrirgreiðslu hjá bankanum. Einnig liggur fyrir að kvartandi óskaði eftir því í nóvember 2022 að honum bærust ekki frekari samskipti í markaðslegum tilgangi frá bankanum. Í framkvæmd Persónuverndar hefur verið litið svo á að vinnsla í þágu beinnar markaðssetningar geti stuðst við annað hvort samþykki hins skráða eða nauðsyn vegna lögmætra hagsmuna þess aðila sem stendur að markaðssetningunni. Í þessu máli liggur fyrir að í aðgangsskýrslu sem kvartandi óskaði eftir var hakað við reit sem heimilaði bankanum að beina markaðsefni sínu að honum. Gegn neitun kvartanda um að hafa veitt slíkt samþykki verður vinnslan ekki talin hafa verið heimil á grundvelli samþykkis hans.

28. Kemur þá til skoðunar hvort bankinn hafi lögmæta hagsmuni af því að beina markaðssetningu til kvartanda. Til þess að heimilt sé að vinna með persónuupplýsingar á grundvelli 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þurfa þrjú skilyrði að vera uppfyllt sbr. framangreinda umfjöllun í efnisgrein 18. Það er mat Persónuverndar að almennt geti vinnsla persónuupplýsinga viðskiptavina fyrirtækis í markaðstilgangi talist fara fram í þágu lögmætra hagsmuna þess. Þá getur slík vinnsla talist nauðsynleg fyrirtækinu til að kynna viðskiptavinum sínum þá vöru og þjónustu sem það hefur upp á að bjóða. Hvað varðar þriðja skilyrðið, um mat á hagsmunum ábyrgðaraðila andspænis hagsmunum, grundvallarréttindum og frelsi hins skráða sem krefjast verndar persónuupplýsinga hans, er til þess að líta að sérstaklega var upplýst um það í þágildandi persónuverndaryfirlýsingu Arion banka hf. að bankinn vinnur með persónuupplýsingar til beinnar markaðssetningar svo hægt sé að kynna fyrir viðskiptavini þær sérsniðnu vörur og þjónustu sem bankinn hefur að bjóða þeim. Að mati Persónuverndar mátti kvartandi því vænta þess að samskiptaupplýsingar hans yrðu unnar með þessum hætti. Í ljósi þess að viðskiptavinurinn getur ávallt andmælt slíkri vinnslu, og að þau andmæli ber fyrirtækinu þá að virða, geta hagsmunir og grundvallarréttindi og frelsi hins skráða ekki talist vega þyngra en hagsmunir fyrirtækisins af vinnslunni. Kvartandi andmælti umræddri vinnslu í nóvember 2022 og var fjarlægður af markhópalistum bankans. Að framangreindu virtu er það mat Persónuverndar að vinnsla Arion banka hf. á persónuupplýsingum kvartanda í markaðstilgangi, fram að því er hann andmælti vinnslunni, hafi getað stuðst við 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og hafi jafnframt verið í samræmi við 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar.

29. Koma þá næst til skoðunar aðrar þær vinnsluaðgerðir Arion banka hf. sem kvartað er yfir. Samkvæmt 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, er sú vinnsla heimil sem er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. efnisgrein 17. Svo sem fyrr greinir heimilar 6. tölul. lagaákvæðisins og f-liður reglugerðarákvæðisins jafnframt vinnslu sem er nauðsynleg vegna lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga, sbr. efnisgrein 18.

30. Á fjármálafyrirtækjum hvíla margvíslegar skyldur, þ. á m. samkvæmt lögum nr. 161/2002 um fjármálafyrirtæki, lögum nr. 33/2013 um neytendalán og reglugerð nr. 920/2013 um lánshæfismat og greiðslumat, sbr. umfjöllun í efnisgreinum 21-24.

31. Líkt og fram hefur komið þáði kvartandi lánafyrirgreiðslur hjá bankanum, kreditkort, yfirdráttarheimild, skrifaði upp á sjálfskuldarábyrgð og gerði við bankann veðsamninga. Á grundvelli framangreindra viðskipta þurfti bankinn ýmist að afskrifa kröfur sínar á hendur kvartanda eða fella niður að hluta í tengslum við skuldaleiðréttingu, endurskipulagningu skulda kvartanda og gerð samninga um uppgjör. Á grundvelli fyrirgreiðslna kvartanda framkvæmdi bankinn lánshæfismat síðast árið 2017 í tengslum við veðskuldabréf sem komið hafði til innheimtu árið 2014 og lauk með samningi árið 2017. Þá er til þess að líta að af vinnslu einstaklinga og lögaðila á upplýsingum varðandi löggerninga og viðskipti, sem þeir hafa sjálfir átt aðild að, geta verið lögmætir hagsmunir, m.a. af því að hafa yfirsýn yfir eigin fjármál og viðskiptasögu og geta litið til hennar þegar ákveðið er hvort stofna skuli til viðskipta og á hvaða kjörum. Af því leiðir jafnframt að viðkomandi aðila verður þá talið heimilt að varðveita slíkar upplýsingar og hér um ræðir nema eitthvað sérstakt komi til, svo sem lagaákvæði um eyðingu, en í máli þessu verður ekki séð að um slíkt sé að ræða.

32. Í ljósi skýringa Arion banka hf. verður talið að sú vinnsla bankans á persónuupplýsingum kvartanda, sem tengdist endurskipulagningu skulda og lánafyrirgreiðslu hans hjá bankanum, geti talist málefnaleg og nauðsynleg til að uppfylla skyldur bankans sem fjármálafyrirtækis samkvæmt fyrrgreindum lögum og reglum. Auk þess er það mat Persónuverndar að Arion banki hf. geti talist eiga lögmæta hagsmuni af því að varðveita hluta viðskiptasögu kvartanda þrátt fyrir að hann sé ekki lengur virkur viðskiptavinur bankans en ákvæði persónuverndarlöggjafarinnar um varðveislu persónuupplýsinga ber, eftir atvikum, að skýra til hliðsjónar við önnur lagaákvæði, sbr. meðal annars fyrrgreinda umfjöllun í efnisgreinum 21-24. Þá er það jafnframt mat Persónuverndar að Arion banki hf. hafi veitt fullnægjandi skýringar á skráningum færslna 5. mars 2021 í þeirri aðgangsskýrslu sem var afhent kvartanda. Óumdeilt er að vinnsla persónuupplýsinga fór fram í kerfum bankans þann dag og ekkert sem bendir til annars en að skýringar bankans, að um yfirfærslu á upplýsingum í nýtt kerfi bankans hafi verið að ræða, séu réttar. Er því að mati Persónuverndar ekki þörf á að kalla eftir afriti af aðgerðarskráningum í því sambandi, líkt og kvartandi hefur farið fram á.

33. Með vísan til framangreinds telur Persónuvernd að vinnsla, þ. á m. varðveisla, umræddra fjárhagsupplýsinga kvartanda geti samrýmst 3. og 6. tölul. 9. gr. laga nr. 90/2018, sbr. c- og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þá verður ekki talið að vinnsla persónuupplýsinga kvartanda hjá Arion banka hf. hafi farið gegn meginreglum 2., 3. eða 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. b-, c- og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Vinnsla Arion banka hf. á persónuupplýsingum [A] í markaðstilgangi, fram að því er hann andmælti vinnslunni, var í samræmi við vinnsluheimild 6. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og jafnframt í samræmi við 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar.

Vinnsla Arion banka hf. á persónuupplýsingum um fjárhagsmálefni [A] samrýmist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Persónuvernd, 14. febrúar 2025

Edda Þuríður Hauksdóttir
Snorri Örn Clausen