Umsögn um frumvarp til laga um greiðsluþjónustu
Mál nr. 2021030652
Efni: Umsögn um frumvarp til laga um greiðsluþjónustu
Persónuvernd vísar til beiðni efnahags- og viðskiptanefndar Alþingis frá 12. mars 2021 um umsögn um frumvarp til laga um greiðsluþjónustu (þskj. 991, 583. mál á 151. löggjafarþingi).
Frumvarpinu er ætlað að innleiða tilskipun Evrópuþingsins og ráðsins (ESB) 2015/2366 um greiðsluþjónustu á innri markaðnum í íslenskan rétt. Samkvæmt greinargerð með frumvarpinu er tilgangur tilskipunarinnar meðal annars að efla innri markaðinn á sviði greiðsluþjónustu, auka samkeppni á því sviði, auka öryggi og hagræði fyrir neytendur og stuðla að tækniframþróun í Evrópu. Enn fremur er henni ætlað að tryggja eftirlit með nýjum aðilum á markaði sem nú lúta margir engu eftirliti og tryggja upplýsingaöryggi.
1.
Persónuvernd veitti fjármálaráðuneyti umsögn, dags. 1. desember 2020, um frumvarpsdrög sem birt voru í samráðsgátt stjórnvalda þann 4. nóvember 2020. Í umsögn Persónuverndar voru meðal annars gerðar athugasemdir við orðalag 1. mgr. 68. gr. og 1. mgr. 71. gr. frumvarpsdraganna sem fjalla um meðhöndlun upplýsinga og gagna sem greiðsluvirkjandi aflar í tengslum við að veita þjónustu sína og meðhöndlun gagna sem reikningsupplýsingaþjónustuveitandi aflar.
Í umsögninni taldi Persónuvernd æskilegra að nota orðalagið „vinna með“ í stað „nota, nálgast og geyma“ sem notast var við í frumvarpsdrögunum og í því frumvarpi sem nú er til meðferðar. Hugtakið „vinnsla“ væri skilgreint í lögum nr. 90/2018 og væri það hugtak víðtækara heldur en það orðalag sem notast væri við í frumvarpsdrögunum. Að mati Persónuverndar gæti mismunandi hugtakanotkun leitt til óskýrrar réttarstöðu og óvissu um hvort tiltekin vinnsla persónuupplýsinga væri heimil.
Fjallað er um umsögn Persónuverndar í 5. kafla greinargerðar með frumvarpi því sem nú er óskað umsagnar um. Þar segir að ekki hafi verið fallist á framangreinda athugasemd Persónuverndar, þar sem ákvæðin væru í samræmi við tilskipun (ESB) 2015/2366. Þess í stað var tillaga Persónuverndar felld inn í texta skýringa við ákvæðin.
Persónuvernd ítrekar hér fyrri umsögn sína og bendir á að orðalag frumvarpsins getur leitt til óvissu um hvort tiltekin vinnsla persónuupplýsinga sé heimil.
2.
Í fyrrnefndri umsögn Persónuverndar voru jafnframt gerðar athugasemdir við að víða væri vísað til meðferðar persónuupplýsinga, svo sem í 99. gr. frumvarpsdraganna (nú 98. gr. frumvarpsins). Að mati Persónuverndar var talið æskilegra að talað væri um vinnslu persónuupplýsinga og lagði stofnunin til að frumvarpsdrögin yrðu yfirfarin með hliðsjón af því. Í samráðskafla greinargerðar þeirrar sem fylgir með frumvarpinu segir að fallist hafi verið á þá athugasemd Persónuverndar. Persónuvernd bendir á að í 98. gr. frumvarpsins er enn í tvígang vísað til meðferðar persónuupplýsinga, en í ákvæðinu segir meðal annars „[u]m meðferð persónuupplýsinga fer samkvæmt lögum um persónuvernd […]“.
Er fyrri athugasemd Persónuverndar um að notast sé við orðalagið vinnsla persónuupplýsinga því ítrekuð og leggur Persónuvernd til að frumvarpið verði yfirfarið aftur með hliðsjón af framangreindu.
3.
Í fyrrnefndri umsögn Persónuverndar var einnig að finna umfjöllun um 113. gr. frumvarpsdraganna (nú 112. frumvarpsins) þar sem fjallað er um opinbera birtingu stjórnvaldsviðurlaga. Í 1. mgr. ákvæðisins segir að Fjármálaeftirlitið skuli birta án tafar á vefsíðu sinni sérhverja niðurstöðu um beitingu stjórnvaldsviðurlaga. Niðurstaðan sem er birt skal að lágmarki innihalda upplýsingar um tegund og eðli brots og nafn hins brotlega. Telji Fjármálaeftirlitið að opinber birting á nafni hins brotlega, annarra lögaðila eða einstaklinga sem koma fram í niðurstöðu samrýmist ekki meðalhófskröfu stjórnsýsluréttar eða að birting geti stofnað stöðugleika fjármálamarkaða í hættu eða skaðað yfirstandandi rannsókn geti Fjármálaeftirlitið frestað birtingu eða birt niðurstöðu án þess að nafngreina hinn brotlega, aðra lögaðila eða einstaklinga sem getið er í ákvörðun Fjármálaeftirlitsins, sbr. 2. mgr. sama ákvæðis. Í 6. mgr. ákvæðisins segir einnig að Fjármálaeftirlitið skuli birta á vefsíðu sinni þá stefnu sem eftirlitið fylgi við framkvæmd birtingar samkvæmt 112. gr.
Í fyrrnefndri umsögn Persónuverndar kom fram að nauðsynlegt væri við gerð stefnu Fjármálaeftirlitsins skv. 6. mgr. ákvæðisins að hafa hliðsjón af meginreglum persónuverndarlaga, svo sem um meðalhóf við vinnslu, sem og ákvæðum upplýsingalaga nr. 140/2014, þar á meðal takmörkunum á upplýsingarétti almennings vegna einkahagsmuna samkvæmt 9. gr. þeirra laga. Einnig lagði Persónuvernd til að við gerð fyrrnefndrar stefnu yrði skýrt kveðið á um flokka þeirra einstaklinga sem gætu almennt þurft að sæta nafnbirtingu, þar á meðal hvort einungis verði birt nöfn þeirra sem Fjármálaeftirlitið hefur talið brjóta gegn ákvæðum laganna, eða annarra, svo sem þeirra sem gefa skýrslur við meðferð máls. Athygli er vakin á því að athugasemda Persónuverndar um 113. gr. frumvarpsdraganna (112. gr. frumvarpsins) er ekki getið í samráðskafla í greinargerð með frumvarpinu, en ákvæðið hefur ekki tekið breytingum frá fyrra samráði. Gerir Persónuvernd athugasemd við að ekki sé greint frá því hvers vegna athugasemd stofnunarinnar hvað þetta varðar hefur ekki verið tekin til greina.
Við yfirferð frumvarpsins nú er það mat Persónuverndar að ekki sé nauðsynlegt að kveða sérstaklega á um birtingu stjórnvaldsviðurlaga af hálfu Fjármálaeftirlitsins, þar sem í upplýsingalögum eru þegar ákvæði sem kveða á um birtingu upplýsinga að frumkvæði stjórnvalda. Þá hefur einnig verið sett reglugerð nr. 464/2018 um birtingu upplýsinga að frumkvæði stjórnvalda, þar sem finna má nánari fyrirmæli um fyrirkomulag birtingar.
Ef vilji löggjafans stendur engu að síður til þess að lögfesta sérstaklega ákvæði um birtingu stjórnvaldsviðurlaga vegna brota gegn ákvæðum frumvarpsins, sem ganga lengra en upplýsingalög gera ráð fyrir, ítrekar Persónuvernd athugasemdir sínar um að huga þurfi að meginreglum persónuverndarlaga við slíka birtingu og að skýrt verði kveðið á um flokka þeirra einstaklinga sem almennt þurfa að sæta nafnbirtingu.
Að auki leggur Persónuvernd til að auk tilvísunar til meðalhófsreglu stjórnsýsluréttar í 2. mgr. 112. gr. frumvarpsins verði bætt við tilvísun til meginreglna persónuverndarlaga. Yrði 2. mgr. 112. gr. frumvarpsins þá svohljóðandi, með skáletruðum breytingum:
„Telji Fjármálaeftirlitið að opinber birting á nafni hins brotlega, annarra lögaðila eða einstaklinga sem koma fram í niðurstöðu Fjármálaeftirlitsins samræmist ekki meðalhófsreglu stjórnsýsluréttar, meginreglum laga um persónuvernd og vinnslu persónuupplýsinga, eða að birting geti stofnað stöðugleika fjármálamarkaða í hættu eða skaðað yfirstandandi rannsókn getur Fjármálaeftirlitið:
a. frestað birtingu niðurstöðunnar þar til ástæður fyrir að birta hana ekki eru ekki lengur fyrir hendi, eða
b. birt niðurstöðu án þess að nafngreina hinn brotlega eða aðra lögaðila eða einstaklinga sem getið er í ákvörðun Fjármálaeftirlitsins.“
Einnig leggur Persónuvernd til að Fjármálaeftirlitinu verði gert að birta reglur, í stað stefnu, sem eftirlitið fylgi við framkvæmd birtingar samkvæmt 112. gr. frumvarpsins. Yrði 6. mgr. 112. gr. þá svohljóðandi, með skáletruðum breytingum:
„Fjármálaeftirlitið skal birta á vefsíðu sinni þær reglur sem eftirlitið fylgir við framkvæmd birtingar samkvæmt þessari grein.“
Að auki býðst Persónuvernd til að veita Fjármálaeftirlitinu umsögn um drög að slíkum reglum, ef eftir því er óskað.
4.
Ekki eru að öðru leyti gerðar athugasemdir við efni frumvarpsins. Verði frekari umsagnar óskað um einstök atriði verður hún fúslega veitt.
F.h. Persónuverndar,
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir