Veittu manni ó­leyfi­legan að­gang að banka­reikningum

Föður kvartanda hafði verið veittur umræddur aðgangur þegar hún var ólögráða og farist hafði fyrir að fella hann niður við 18 ára aldur.

Persónuvernd komst að þeirri niðurstöðu að vinnsla Landsbankans á persónuupplýsingum kvartanda hafi ekki verið í samræmi í lög þar sem hún hafði hvorki veitt föður sínum umboð né annað samþykki fyrir áframhaldandi aðgangi að reikningum sínum.

Að sögn Persónuverndar var ekki talið tilefni að beina fyrirmælum til bankans um úrbætur þar sem þegar hafi verið gerðar breytingar á fyrirkomulagi og ráðstöfunum við veitingu aðgangsheimilda að reikningum.

Með ólöglegan lesaðgang í níu ár

Að sögn kvartanda veitti Landsbankinn föður hennar óheimilan aðgang að heimabanka hennar frá því að hún var 18 ára og þar til hún var 27 ára. Landsbankinn hafi ekki getað sýnt fram á að hún hafi veitt leyfi fyrir slíkum aðgangi og því væri um mannleg mistök að ræða.

Í bréfi Landsbankans til Persónuverndar kemur fram að hinn 27. desember 2018 hafi dóttirin haft samband við bankann og óskað eftir skýringum á því hvers vegna faðir hennar hefði enn aðgang að reikningum hennar. Samdægurs hafi bankinn gripið til viðeigandi ráðstafana og fellt niður aðgangsheimild hans. Við skoðun bankans kom í ljós að föðurinn hafi stofnað tvo reikninga fyrir hönd kvartanda þegar hún var ólögráða og þar með haft lesaðgang að þeim, í samræmi við lög.

Féllst ekki á skýringar bankans

„Þrátt fyrir að bankinn harmi að faðir kvartanda hafi haft lesaðgang að reikningum hennar eftir að hún varð lögráða telur bankinn ekki unnt að líta fram hjá því að eðlilegt hefði verið að faðir kvartanda hefði upplýst hana um aðgang hans að bankareikningum hennar og óskað eftir samþykki hennar fyrir áframhaldandi heimild eftir að hún varð fullorðin.

Faðir kvartanda hafi mátt vita að honum væri óheimilt að sækja upplýsingar um reikninga kvartanda eftir 18 ára afmælisdag hennar og á honum hafi hvílt skylda til að fella niður heimildir sínar við það tímamark. Þá hvíli ekki lagaskylda á bankanum til að fella niður lesaðgang og umboð á reikningum viðskiptavina að eigin frumkvæði en lög geri ráð fyrir að slík aðgerð fari fram að frumkvæði umboðsveitanda eða reikningseiganda sjálf,“ segir í ákvörðun Persónuverndar þar sem vísað er til svars frá Landsbankanum.

Persónuvernd féllst hins vegar ekki á að þetta leysi bankann undan skyldum sínum tengdum þeirri vinnslu persónuupplýsinga sem talin er á ábyrgð bankans og fólst í að veita umræddan aðgang og gera persónuupplýsingar kvartanda tiltækar eftir að hún varð 18 ára.

Nú gert með sjálfvirkum hætti

Fram kemur í yfirlýsingu frá Landsbankanum til fréttastofu að umboð sem faðirinn hafði, og þar með lesaðgangur hans að reikningunum, hafi ekki fallið niður þegar dóttir hans varð 18 ára vegna mistaka. 

„Almennt verklag hjá bankanum á þeim tíma, fól í sér að starfsfólk sá um um að fella slík umboð niður þegar reikningseigandi náði lögræðisaldri. Frá árinu 2014 hafa slík umboð verið felld niður með sjálfvirkum hætti á 18 ára afmælisdegi reikningseigenda. 

Eftir að reikningseigandi tilkynnti um þetta tiltekna mál til bankans sendi bankinn að eigin frumkvæði tilkynningu um atvikið til Persónuverndar og gekk úr skugga um að ekki væri um fleiri sambærileg tilvik að ræða hjá bankanum. Okkur þykir þetta leitt en um var að ræða mannleg mistök.“