Personvernnemndas avgjørelse av 13.05.05 (Jon Bing, Gro Hillestad Thune, Hanne Bjurstrøm, Tom Bolstad, Svein-Erik Eikeid, Tore Hauglie, Lars Erik Fjørtoft)
1. Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage fra Vesta Forsikring på tilsynets uttalelse av 25.8.2004 om å avvise et krav fra forsikringsselskapet om å få utlevert fakturamottakeres e-postadresser fra fakturamottakers bankforbindelse i forbindelse med avtale om e-fakturatjeneste.
2 Saksgang
Datatilsynet mottok den 27.3.2003 en e-post fra konsulentselskapet ”Itbanken” vedrørende e-fakturautsteders, her Vesta Forsikring (Vesta), mulighet til å få utlevert egne kunders (fakturamottakeres) e-postadresse fra kundens bank. Datatilsynet uttalte seg generelt om innhenting og bruk av kunders e-postadresser i brev av 31.7.2003.
I e-post av 8.12.2003 redegjorde Vesta for sin oppfatning av bruk av e-postadresser i tilknytning til e-fakturaavtaler. I brev av 12.12.2003 uttaler Datatilsynet at tilsynet oppfatter bankene som en databehandler i denne sammenheng, og at Vesta har krav på tilgang til e-postadressene.
Den 6.7.2004 oversender DnB NOR Bank (DnB NOR) et notat til Datatilsynet, der banken redegjør for sitt syn på utleveringsspørsmålet. Datatilsynet og DnB NOR hadde samme dag hatt et møte i sakens anledning.
Datatilsynet ga i brev av 25.8.2004 uttrykk for at saken fremstår som en strid vedrørende tolkning av avtalen mellom fakturautsteder og fakturamottakers bank, og at avtaletolkning faller utenfor Datatilsynets kompetanseområde. På denne bakgrunn trakk Datatilsynet tidligere uttalelser tilbake.
I brev av 15.10.2004 erklærer Vesta seg uenig i Datatilsynets håndtering av saken. Vesta ber om at brevet anses som en klage.
Datatilsynet fastholder sin vurdering av at saken faller utenfor tilsynets kompetanseområde. Tilsynet mener det er uklart om uttalelsen av 25.8.2004 er å anse som et enkeltvedtak eller ikke, men legger til grunn at innholdet i brevet i realiteten innebærer en avvisning av saken. Grunnet sakens innhold og problemstillingens komplekse karakter, oversendte Datatilsynet saken til Personvernnemnda.
Personvernnemnda mottok saken den 7.1.2005. Nemnda mottok kommentarer fra DnB NOR i brev av 17.1.2005, og kommentarer fra Vesta i brev av 27.1.2005.
3 Faktum
E-faktura er en tjeneste som tilbys av bankene for elektronisk presentasjon av betalingskrav med tilhørende fakturainformasjon (regninger) i kundens nettbank. Kunden er i denne sammenheng fakturamottaker og betaler (vanligvis en forbruker), mens fakturautsteder (her Vesta) er fordringshaver og betalingsmottaker. Vesta benytter bankenes e-fakturatjeneste for å få formidlet fakturainformasjon i elektronisk form frem til sine forsikringskunders nettbanker for betaling av forsikringspremier mv i henhold til underliggende forsikringsavtale. Mellom Vesta og forsikringskundene foreligger det en forsikringsavtale som er grunnlaget for betaling av forsikringspremie mv. Forsikringskundens avtale om å kunne motta eller få tilgang til e-fakturaer fra fakturautsteder i egen nettbank inngår kunden med sin egen bank (her DnB NOR).
Mellom fakturautsteder (her Vesta) og fakturamottakers bank (her DnB NOR Bank) foreligger det ingen avtale om e-faktura eller direkte tilknytning for øvrig.
Nedenfor følger en figur som viser de ulike partsforhold og relasjoner for øvrig.
Regler om bankenes formidling av elektronisk fakturainformasjon
Som det fremgår av figuren til høyre har bankene som tilbydere av e-fakturatjenesten flere oppgaver. Bankene er kontoførende bank for henholdsvis fakturautsteder og fakturamottaker, tilretteleggere og tilbydere av e-fakturatjenestene, og de er leverandører av nettbanktjenestene som bl.a. er mottakersted for betalingskrav og fakturainformasjon i elektronisk form. Fakturautsteder inngår foruten en vanlig kontoavtale, en e-fakturaavtale (utstederavtale) med sin egen bank. På mottakersiden har fakturamottaker en kontoavtale, nettbankavtale og e-fakturaavtale (mottakeravtale) med sin bank (her DnB NOR). Fakturautsteders bank og fakturamottakers bank er to forskjellige banker, med mindre fakturautsteder og fakturamottaker er kunde i samme bank (noe som ikke er tilfelle i denne saken).
Gjennom Finansnæringens Servicekontor og Sparebankforeningens Servicekontorhar bankene seg i mellom vedtatt såkalte interbankregler for e-faktura; ”Regler om bankenes formidling av elektronisk fakturainformasjon” (2001). Dette er grunnvilkår for den felles infrastruktur som gjør det mulig for en fakturautsteder som er kunde i en bank å sende elektroniske fakturaer til kunder som benytter nettbank i en hvilken som helst annen bank.
Et sentralt element i denne samordningen er Koblingsenheten. I Koblingsenheten fører bankene et Utstederregister og Mottakerregister med det formål å sikre at bankene har tilgang til nødvendige og riktige opplysninger om henholdsvis hvilke fakturautstedere som kan levere e-fakturautsendelser og om hvilke fakturamottakere som ønsker e-faktura gjort tilgjengelig i nettbanken. BBS er for tiden driftssted for Koblingsenheten.
Ved inngåelse av avtale om e-faktura mellom fakturamottaker (betaler) og fakturamottakers bank skal banken registrere de opplysninger om betaler som er nødvendige for at fakturautsteders bank skal kunne få sendt fakturainformasjon fra fakturautsteder (betalingsmottaker) til betalers nettbank. Dersom betaler ønsker å bli varslet på e-post av sin bank om at det i nettbanken er innkommet et nytt betalingskrav med tilhørende fakturainformasjon, oppgir betaler sin e-postadresse til banken. Denne e-postadresse blir ikke registrert i Mottakerregisteret og er således heller ikke tilgjengelig for utstedersiden via Koblingsenheten.
4 Anførslene
I denne saken ønsker Vesta som fakturautsteder å få utlevert de e-postadresser som fakturamottakerne/betalerne eventuelt oppgir til sin bank, dvs. her til DnB NOR som fakturamottakers/betalers bankforbindelse. DnB NOR mener at det verken er nødvendig eller tillatt å utlevere de e-postadresser som banken har mottatt fra egne kunder. Vesta og DnB NOR er videre uenige om hvilken betydning e-postadressene har for tjenesten, herunder om e-postadressen er nødvendig for å kunne oppfylle e-fakturaavtalene med henholdsvis fakturautsteder og fakturamottaker og om oppgivelse av e-postadresse er et vilkår for å benytte seg av e-fakturatjenesten.
Vesta anfører at forsikringsselskapet er rettmessig eier og behandlingsansvarlig for fakturamottakers/kundenes e-postadresse, med DnB NOR som databehandler, jf personopplysningsloven § 2 nr 4 og 5. Vesta er av den oppfatning at bankene utfører en tjeneste overfor fakturautstederne, og at nettbankene kun er en distribusjonskanal eller ”postkasse” for fremsendelse av påkrav fra fakturautstederne.
Vesta mener at e-postadressene er innhentet utelukkende med det formål å utføre oppdrag på vegne av fakturautstederne. Vesta anfører at bankene ikke rettmessig kan holde tilbake adressene under påskudd av blant annet taushetsplikt overfor Vesta.
Vesta mener at måten kunden inngår avtale om e-faktura på, er å anse som en avtale mellom Vesta og fakturamottaker (kunden). Bankene har kun en administrativ rolle. Avtaleinngåelsen skjer ved at det fylles ut et skjema som ”popper” opp som et ekstra vindu på dataskjermen. Vesta mener følgelig at forsikringsselskapet må være den rette part til å definere hvilke opplysninger som skal fremgå av avtalen mellom Vesta og kunden. Videre mener Vesta at fakturautsenderne må ha disposisjon over, kontroll med og innsyn i opplysningene som fremgår av denne avtalen, innenfor de begrensninger som følger av personopplysningsloven § 11.
Vesta anfører videre at en utkontrahering av tjenester ikke medfører en tilsvarende ansvarsoverføring. Forsikringsselskapet har i dette tilfellet fortsatt ansvaret for at forsikringstakeren får den informasjon og oppfølging som forsikringstakeren har krav på. Forsikringsselskapet vedgår at det ikke klart fremstår at e-fakturaavtalen er en avtale mellom Vesta og kunden. Vesta mener imidlertid at kunden forstår det slik, og at kunden er inneforstått med og forventer at e-postadressen er tilgjengelig for Vesta i de tilfeller der kunden velger å registrere den. Vesta anfører at tilgang til e-postadressen er nødvendig for å kunne gjennomføre de arbeidsoppgaver som følger av e-fakturaavtalen overfor den som har registrert sin e-post. Kunden vil ha forventning om å bli varslet via e-post om at ny faktura har inngått i nettbanken, og om feil ved fakturautsendelsen. E-postadressen er også viktig for å kunne sende påkrav til skyldneren dersom betaling uteblir. Vesta poengterer viktigheten av at forsikringspremien betales til rett tid, da forsikringstakeren risikerer å stå uten forsikring dersom premien uteblir.
Forsikringsselskapet anfører forøvrig at en videresending av kunders e-postadresser er lite ressurskrevende å få satt i drift, da løsningen teknisk sett er på plass hos både nettbankene og utstederne.
Det fremgår av DnB NORs anførsler at brukerhåndboka gjør det klart at Vesta ikke kan kreve utlevering av e-postadressene, da brukerhåndboka oppgir at e-postadressen ”ikke er i bruk”. Vesta ser seg ikke enig i denne tolkningen. Brukerhåndboka beskriver ifølge Vesta utelukkende tekniske og funksjonelle krav som gjelder for e-faktura. Den kan ikke sies å regulere fakturautsendernes adgang til å kreve utlevering av e-postsdressene. Vesta anfører at utstederne under hele prosessen har gitt uttrykk for å kreve utlevering av e-postadressene.
Vesta anfører at det er grunn til å tro at bankene ønsker å bruke e-postadressene til egne formål. Forsikringsselskapet mener at bankene ikke har anledning til dette. E-faktura-avtalen samler inn opplysninger som er nødvendig for å gjennomføre avtalen. Kundene er ikke informert om at e-postadressen skal brukes av bankene til andre formål. Vesta kan derfor ikke se at kundene har samtykket til at e-postadressene skal bli brukt til andre formål, jf. reglene om samtykke i personopplysningsloven.
I de tilfeller fakturautsteder er et forsikringsselskap, anser Vesta bankenes eventuelle bruk av e-postadressene til egne formål, som et brudd på reglene om taushetsplikt i lov om forsikringsvirksomhet § 3-1. Vesta anfører at disse reglene ikke bare omfatter ansatte i et forsikringsselskap, men også andre som utfører oppdrag for forsikringsselskap. De ansatte i bankene som utfører oppdrag på vegne av forsikringsselskapene er underlagt denne straffesanksjonerte taushetspliktregelen, og vil således ikke kunne utlevere opplysninger som de mottar i forbindelse med oppdraget. Vesta anfører i denne forbindelse at banken har en særskilt plikt til å skille mellom den virksomhet som drives på egne vegne, og den virksomhet som drives på vegne av andre. Opplysninger som er innsamlet på vegne av andre kan ikke brukes til egne formål. Personopplysningslovens § 15 angir at en databehandler (bankene) ikke kan behandle personopplysninger på en annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige (utsenderne).
DnB NOR anfører at banken er rettmessig mottaker av e-postadressene. DnB NOR oppfatter kundens mulighet for varsling per e-post, som et avtaleforhold mellom banken på den ene siden og nettbankkunden på den andre. Varslingen er regulert i DnB NORs avtalevilkår overfor nettbankkunder som benytter e-faktura, og utføres på vegne av banken.
DnB NOR bestrider med andre ord at banken er å anse som en tjenesteformidler eller databehandler for fakturautsteder. Banken avviser Vestas anførsler om at forsikringsselskapet skal definere innholdet i e-fakturaavtalen. DnB NOR mener at det må være opp til banken selv å avgjøre hvilke tjenester man ønsker å tilby nettbankkundene og innholdet i disse tjenestene.
Banken mener at nettbankkundenes e-postadresser ikke omfattes av e-fakturatjenesten, men av bankenes nettbanktjeneste som sådan. Varsling til kunder per e-post er kun et tilbud til nettbankkundene. Banken anfører at i den grad det er passende å tale om ”eierskap” til opplysninger ved fakturamottakers aksept av en e-fakturaavtale, vil det være begrenset til hvorvidt (1) vedkommende kunde har registrert seg som mottaker av e-faktura, samt (2) e-fakturareferansen, som er produsert av fakturautsteder.
DnB NOR anfører at det følger av avtalen mellom Vesta og Vestas bankforbindelse (fakturautsteders bank), at Vesta ikke kan kreve e-postadressene utlevert. Banken mener at avtalen ikke gir noen holdepunkter for at nettbankkundenes e-postadresser er en del av e-fakturatjenesten. Banken henviser til brukerhåndboka, der det fremgår at e-postfunksjonen ikke skal benyttes. DnB NOR er av den oppfatning at bankens innhenting av kunders e-postadresser skjer på bankens eget initiativ, for å kunne tilby de nettbankkunder som også er e-fakturakunder, en egen varslingstjeneste når det er kommet nye fakturaer til vedkommende kundes nettbank. DnB NOR mener følgelig at Vesta ikke har noen berettiget forventning om at e-postadressene skal tilgjengeliggjøres.
DnB NOR anfører at e-postadresse ikke er nødvendig for gjennomføringen av e-fakturatjenesten. Verken e-fakturatjenesten eller den enkelte nettbank fremsetter fakturaen til mottakerens e-postadresse.
DnB NOR er av den oppfatning at banken under enhver omstendighet, i relasjon til nettbankkundene/fakturamottakerne, har rett og plikt til å unnlate å videreformidle kundenes e-postadresser til fakturautstederne eller andre. Videreformidling forutsetter at det foreligger samtykke etter personopplysningsloven. Banken mener videre at en utlevering av e-postadressene uten samtykke fra kunden vil stride mot bankens taushetsplikt etter forretningsbankloven § 18.
Banken bemerker at den ikke benytter de innhentede e-postadressene til annet enn det formål de i denne sammenheng er innhentet for og som kommer til uttrykk i e-fakturaavtalen mellom DnB NOR og kundene. DnB NOR anfører at banken ikke engang har adgang til databasen som oppbevarer e-postadressene, og som på vegne av bankene sender varsel til e-postadressene når ny e-faktura foreligger.
DnB NOR anfører at en tilpasning av e-fakturatjenesten som innebærer utlevering av nettbankkundenes e-postadresser, ville kreve betydelige praktiske og økonomiske ressurser, både i forbindelse med utvikling og vedlikehold. Fakturautsenderne kan ikke uten rettslig grunnlag velte en slik belastning over på bankene. Et slikt rettslig grunnlag for utlevering av e-postsdresser finnes ifølge DnB NOR ikke.
DnB NOR mener at dersom det subsidiært forutsettes at det følger av avtalen mellom Vesta og Vestas bankforbindelse, at Vesta har krav på å få utlevert e-postadressene, må det gjøres en selvstendig vurdering av om slik utlevering er tillatt i relasjon til nettbankkundene. Banken er av den oppfatning at personopplysningsloven § 8, jf § 11 første ledd litra c, må anses å være til hinder for slik utlevering som Vesta krever. Banken anfører videre at forretningsbankloven § 18 pålegger taushetsplikt i dette tilfellet.
5 Datatilsynets vurdering
Datatilsynet mener det avgjørende i denne saken vil være hvorvidt fakturautsteder eller fakturamottakers bank er å anse som behandlingsansvarlig for e-postadressene, og således hvem som har en viss rett til å bestemme formålet med innhentingen og bruken av disse, jf. personopplysningsloven § 2 nr 4 (definisjon av behandlingsansvarlig). Plasseringen av behandlingsansvaret og forholdet til de pliktene behandlingsansvarlig er pålagt i medhold av personopplysningslovens bestemmelser, kan først gjøres etter at innholdet i avtalene er tolket. Tilsynet presiserer at avtaletolkning som hovedregel faller utenfor Datatilsynets kompetanseområde, men mener likevel at denne saken bør kunne løses gjennom å tolke de inngåtte avtaler. Informasjon til fakturamottaker, og hva disse har fått inntrykk av, vil være viktige tolkningsmomenter.
Dersom fakturamottakers bank kun er databehandler eller en annen form for underleverandør vil det etter Datatilsynets vurdering ikke være snakk om en utlevering i personopplysningslovens forstand.
Etter Datatilsynets oppfatning vil dessuten ikke alltid plassering av behandlingsansvaret og eierrettighetene til personopplysninger være sammenfallende. Ifølge tilsynet er det viktig å ha i mente at personopplysningsloven i utgangspunktet ikke regulerer eiendomsrettigheten til personopplysninger. Personopplysningsloven etablerer videre aldri en utleveringsplikt, men derimot en utleveringsrett for den behandlingsansvarlige.
Det fremstår videre vanskelig for Datatilsynet å legge rett faktum til grunn når de to partene er grunnleggende uenig i e-postadressenes betydning for e-fakturatjenestens funksjon.
Datatilsynet viser videre til at personvernet til de aktuelle kundene blir berørt av den pågående tvisten, men forholdet til personvern, herunder behandlingsgrunnlag og informasjonsplikt, fremstår etter tilsynets vurdering som underordnet i denne sammenhengen. Tilsynet mener at personverntrusselen for den enkelte kunde i forhold til påtenkt bruk, ikke heller fremstår som overhengende.
6 Personvernnemndas vurderinger
Personvernnemnda konstaterer innledningsvis at en e-postadresse som kan knyttes til en fysisk person er å anse som en personopplysning i henhold til definisjonen i personopplysningsloven § 2 nr 1. Enhver bruk av e-postadresser herunder innsamling, registrering og eventuelt utlevering er videre å anse som behandling av personopplysninger, jfr. personopplysningsloven § 2 nr 2.
Nemnda vil så gå over til å drøfte om Vesta som fakturautsteder eller DnB NOR som fakturamottakers bank er å anse som behandlingsansvarlig etter definisjonen i personopplysningslovens § 2 nr 4. Nemnda legger i denne forbindelse til grunn at personkunden (fakturamottaker/betaler) ved inngåelse av den såkalte mottakeravtalen med DnB NOR (”Avtalevilkår for eFaktura”) får anledning til å oppgi sin e-postadresse til sin bank med det formål å bli varslet på e-post når nye e-fakturaer er innkommet i kundens nettbank. Nemnda viser til at varslingsformålet er bestemt av banken og nedfelt i bankens mottakeravtale med kunden, jfr. avtalens pkt 4 andre avsnitt. Nemnda viser også til at kunden avgir sin e-postadresse på frivillig grunnlag til banken og at e-postadressen ikke overføres til Mottakerregisteret i Koblingsenheten på lik linje med andre opplysninger om kunden. E-postadressen gjøres således ikke tilgjengelig for andre banker og fakturautstedere. Nemnda kan etter dette vanskelig se at kundenes e-postadresse er et obligatorisk og nødvendig element i e-fakturatjenesten.
Det er i saken reist spørsmål om DnB NOR eventuelt opptrer som databehandler eller annen form for underleverandør for Vesta og at banken på det grunnlag innsamler e-postadressen på vegne av Vesta, jfr. definisjonen av databehandler i personopplysningsloven § 2 nr 5. Nemnda har ingen holdepunkter for å mene at DnB NOR opptrer som databehandler for Vesta så lenge det ikke foreligger en avtale eller forståelse mellom Vesta og DnB NOR om å opptre som databehandler eller lignende. Nemnda viser i den forbindelse til at det ved slik utkontraktering skal foreligge en databehandleravtale etter reglene i personopplysningsloven § 15.
Nemnda vil også tilføye at dersom det var meningen at DnB NOR skulle innsamle e-postadresser på vegne av Vesta, burde et slikt formål ha vært angitt for kunden i forbindelse med avgivelsen av samtykke. Etter Nemndas vurdering må det følge av kravet om informert samtykke at et utleveringsformål er angitt tydelig for kunden ved avgivelse av samtykke.
Personvernnemnda legger etter dette til grunn at DnB NOR er å anse som behandlingsansvarlig for innsamlede e-postadresser og andre personopplysninger som banken har innsamlet direkte fra sine kunder i forbindelse med bankens inngåelse av Avtalevilkår for eFaktura.
Nemnda har ingen holdepunkter for å kunne anta at DnB NOR vil benytte innsamlede e-postadresser til andre formål enn varsling av sine egne kunder om at nye e-fakturaer er innkommet nettbanken, jfr. personopplysningsloven § 11 første ledd litra c).
Nemnda vil på samme måte som Datatilsynet få presisere at en behandlingsansvarlig ikke er forpliktet til å utlevere personopplysninger til andre uten samtykke av den registrerte, med mindre det foreligger en lovbestemt opplysningsplikt. I denne saken kan Nemnda heller ikke utelukke at en eventuell utlevering av e-postadresser uten samtykke fra kunden vil kunne være i strid med bankens taushetsplikt etter forretningsbankloven § 18.
Personvernnemnda vil til slutt si seg enig med Datatilsynet i at tilsynets uttalelse i brev 25.8.2004 i realiteten var en avvisning av saken. For Nemnda fortoner denne saken seg mer som en interessekonflikt mellom to næringsdrivende om funksjonelle sider ved e-fakturatjenesten enn et spørsmål om å ivareta kundenes personvern og rettssikkerhet.
Slik saken står i dag har ingen fysiske personer lidd noen personvernkrenkelse eller rettighetstap etter personopplysningsloven. Dersom DnB NOR hadde utlevert/videresendt e-postadressene til Vesta uten å ha innhentet et informert utleveringssamtykke fra kundene, kunne dette ha medført brudd på grunnvilkårene etter personopplysningsloven §§ 8 og 11 samt eventuelt bankens taushetsplikt.
7 Vedtak
Klagen tas ikke til følge.
Oslo 30.5.2005
Jon Bing
Leder