Skráning kennitalna einstaklinga vegna gjaldeyrisviðskipta

I.
Erindi Seðlabanka Íslands

1.
Efni máls og efnistök

Seðlabanki Íslands hefur farið þess á leit við Persónuvernd að hún endurskoði þær niðurstöður sínar sem fram komi í ákvörðununum hennar í máli nr. 2011/198. Málið var rætt á fundi stjórnar Persónuverndar með fulltrúum bankans hinn 14. febrúar 2012. Var málið falið forstjóra, sbr. i-lið 2. gr. reglna nr. 231/2012.

Seðlabankinn vísar til og byggir ósk sína á 2. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þar kemur fram að Persónuvernd geti úrskurðað í ágreiningsmálum, hvort sem íslensk lög eða lög annars ríkis gilda um vinnsluna. Þá geti hún a) fjallað um einstök mál að eigin frumkvæði eða b) samkvæmt erindi þess sem telur að ekki hafi verið unnið með persónuupplýsingar um sig í samræmi við lög nr. 77/2000 og reglur sem settar eru samkvæmt þeim eða einstökum fyrirmælum.

Ekki liggur fyrir ákvörðun Persónuverndar um að taka málið upp sem frumkvæðismál skv. 2. mgr. 37. gr. laga nr. 77/2000. Þá liggur heldur ekki fyrir erindi manns sem telur að ekki hafi verið unnið með persónuupplýsingar um sig í samræmi við lög. Eru því ekki forsendur til þess að afgreiða málið í samræmi við 2. mgr. 37. gr. laga nr. 77/2000. Þá eru ekki uppfyllt skilyrði 24. gr. stjórnsýslulaga nr. 37/1993 til endurupptöku. Því verður veitt almennt svar með ábendingum um helstu sjónarmið í ljósi laga nr. 77/2000.

2.
Úrskurður Persónuverndar,
dags. 22. júní 2011

Í erindi Seðlabanka Íslands er í fyrsta lagi getið úrskurðar stjórnar Persónuverndar í máli nr. 2011/198, dags. 22. júní 2011. Það er úrskurður í máli manns sem taldi ekki hafa verið unnið með persónuupplýsingar um sig í samræmi við lög. Tildrög þess voru að hann hafði ekki getað skipt 60 evrum í útibúi Arion-banka nema kennitala hans yrði skráð. Arion-banki sýndi ekki fram á nokkra skráningarheimild og var honum, á grundvelli þeirra forsendna sem þá lágu fyrir, ekki talið hafa verið heimilt að skrá kennitölu kvartanda í umrætt sinn. Var lagt fyrir bankann að stöðva alla slíka skráningu fyrir 1. ágúst 2011.

Í öðru lagi er í bréfi bankans getið ákvörðunar Persónuverndar, dags. 17. janúar sl. Með henni var umræddur frestur framlengdur til 10. febrúar 2012 og Arion-banka gert aðvart um að hefði hann ekki upplýst stofnunina um breytt verklag fyrir þann tíma gætu þvingunarúrræði, samkvæmt 41. gr. laga nr. 77/2000, komið til framkvæmda. Með bréfi, dags. 7. febrúar 2012, tilkynnti Arion-banki Persónuvernd um breytt verklag og lét hún málið þá niður falla.

3.
Bréfaskipti

Í bréfi Seðlabankans, dags. 10. febrúar 2012, kemur fram að hann telur að viðskiptabankar eigi að skrá kennitölur þeirra viðskiptamanna, sem eiga gjaldeyrisviðskipti við bankana, þótt ekki sé um að ræða tilvik sem falli undir 4. gr. laga nr. 64/2006 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Um það segir m.a. í bréfinu:

„...er það afstaða Seðlabanka Íslands að skráning kennitölu þeirra sem eiga gjaldeyrisviðskipti milligönguaðila um gjaldeyrisviðskipti sé nauðsynleg svo að Seðlabankinn geti sinnt hlutverki sínu samkvæmt lögum um gjaldeyrismál og lögum um Seðlabanka Íslands. Rétt er að taka fram að sú könnun sem fer fram á grundvelli 4. gr. laga nr. 64/2006 um peningaþvætti og fjármögnun hryðjuverka, er ekki fullnægjandi til að Seðlabanki Íslands geti sinnt framangreindu hlutverki sínu.“

 

Seðlabankinn telur vera nauðsynlegt að viðskiptabankar framkvæmi umrædda skráningu í ljósi lögboðins hlutverks bankans. Er vísað til 14. og 17. gr. laga nr. 87/1992 um gjaldeyrismál og 3., 4., 29. og 31. gr. laga nr. 36/1986 um Seðlabanka Íslands. Þá er tekið fram að á grundvelli 2. mgr. 8. gr. laga nr. 87/1992 um gjaldeyrismál hafi verið settar reglur nr. 13/1995 um upplýsingaskyldu vegna gjaldeyrisviðskipta og fjármagnshreyfinga á milli landa. Á grundvelli 2. gr. þeirra hafi verið gefin út handbók Seðlabanka Íslands um gjaldeyrismál og gjaldeyrisviðskipti. Í henni séu taldar upp þær upplýsingar sem milligönguaðilum beri að skrá í s.k. GV-kerfi Seðlabanka Íslands. Af henni megi ráða að skrá eigi kennitölur einstaklinga sem kaupi innlendan og erlendan gjaldeyri án tillits til fjárhæðartakmörkunar.

Með tölvubréfi þann 16. febrúar 2012 óskaði Persónuvernd skýringa. Þar segir m.a.:

„Í reglunum sjálfum segir að þær séu settar með heimild í þágildandi 11. gr. laga nr. 87/1992. Hún hefur nú verið felld brott. Efnislega sambærilegt ákvæði er nú að finna í 14. gr. laganna. Hins vegar segir í bréfi SÍ frá 10. febrúar 2012 að reglurnar séu settar á grundvelli 2. mgr. 8. gr. laga nr. 87/1992. Er því nokkuð óljóst hvaða lagaheimild liggi reglunum til grundvallar og væri gott að fá frekari skýringar á þessu atriði áður en Persónuvernd lýkur umfjöllun sinni. “

 

Svar Seðlabankans barst með tölvubréfi þann 17. febrúar 2012. Þar segir m.a.:

„Samkvæmt 10. gr. reglna nr. 13/1995 um upplýsingaskyldu vegna gjaldeyrisviðskipta og fjármagnshreyfinga milli landa, eru reglurnar settar af Seðlabanka Íslands samkvæmt heimild í 11. gr. laga nr. 87/1992 um gjaldeyrismál. Með 2. gr. laga nr. 128/1999 um breyting á lögum um gjaldeyrismál var þremur nýjum lagagreinum bætt við lög um gjaldeyrismál nr. 87/1992 og varð 11. gr. því að 14. gr. laganna. Ákvæðið hefur því ekki verið fellt brott. Í dag sækja reglur nr. 13/1995 hvort tveggja stoð í 2. mgr. 8. gr. og 14. gr. laga um gjaldeyrismál.
 
Ákvæði 14. gr. laga um gjaldeyrismál er víðtækara en ákvæði 2. mgr. 8. gr. sömu laga og veitir Seðlabankanum heimild til þess að kalla eftir öllum þeim upplýsingum um gjaldeyrisviðskipti sem bankinn kann að óska eftir til að hann geti sinnt nauðsynlegu eftirliti. Er ákvæði 14. gr. ekki bundið við upplýsingagjöf frá milligönguaðilum um gjaldeyrisviðskipti eins og 2. mgr. 8. gr laganna.
 
Að mati Seðlabanka Íslands hafa ákvæði 2. mgr. 8. gr. og 14. gr. laga nr. 87/1992 um gjaldeyrismál því hvort tveggja að geyma fullnægjandi heimild fyrir reglum nr. 13/1995 og þeim stjórnvaldsfyrirmælum sem felast í leiðbeiningum til milligönguaðila um skráningu í upplýsingakerfi Seðlabanka Íslands um gjaldeyrisviðskipti.“

 

Bankinn hefur einnig vísað til lagaraka sem eru í bréfi hans, dags. 7. desember 2010, en það var sent Persónuvernd vegna máls nr. 2010/610. Í því er bent á heimild bankans til setningar reglna sem takmarka eða stöðva tímabundið tiltekna flokka fjármagnshreyfinga og gjaldeyrisviðskipti sem þeim tengjast, sbr. þágildandi ákvæði til bráðabirgða í lögum nr. 87/1992 um gjaldeyrismál, sbr. lög nr. 134/2008. Ákvæði um slíkar takmarkanir á fjármagnshreyfingum og gjaldeyrisviðskiptum, sem hér um ræðir, hafa nú verið færð inn í texta laganna sjálfra, sbr. 13. gr. n til 13. gr. o í lögunum, sbr. lög nr. 127/2011.

Með vísan til þess að lagðar hafi verið á takmarkanir samkvæmt framangreindu segir í umræddu bréfi Seðlabankans.

„Samkvæmt 1. mgr. 17. gr. laga nr. 87/1992, um gjaldeyrismál, sbr. 4. gr. laga nr. 134/2008, skal Seðlabankinn fylgjast með að starfsemi aðila sé í samræmi við lögin.

Á Seðlabanka Íslands hvílir því sú skylda að hafa eftirlit með lögum og reglum um gjaldeyrismál og hefur bankinn heimild til að leggja á stjórnvaldssektir vegna tiltekinna brota, sbr. 1. mgr. 15. gr. a í lögum nr. 87/1992. Auk þessa hefur bankinn heimild til að ljúka málum með sátt, með samþykki málsaðila, enda sé ekki um að ræða meiriháttar mál, sbr. 15. gr. b.

Til þess að Seðlabanki Íslands geti sinnt nauðsynlegu eftirliti segir í 14. gr. laga nr. 87/1992 að skylt sé að veita Seðlabankanum allar þær upplýsingar um gjaldeyrisviðskipti sem hann kann að óska eftir. Auk þess segir í 15. gr. e að í tengslum við rannsókn mála sé Seðlabanka Íslands heimilt að krefja einstaklinga og lögaðila um allar upplýsingar og gögn sem hann telur nauðsynleg. Skiptir ekki máli í því sambandi hvort upplýsingarnar varða þann aðila sem beiðninni er beint til eða þau skipti annarra aðila við hann er hann getur veitt upplýsingar um og varða athuganir og eftirlit Seðlabankans. Jafnframt segir í 15. gr. f að í tengslum við athuganir tiltekinna mála sé Seðlabanka heimilt að afla upplýsinga og gagna frá öðrum stjórnvöldum óháð þagnarskyldu þeirra.

Með hliðsjón af lögboðnu hlutverki Seðlabanka Íslands sem er að hafa eftirlit með því að starfsemi aðila sé í samræmi við lög um gjaldeyrismál og reglur settar á grundvelli þeirra, auk þess hlutverks bankans að rannsaka hugsanleg brot og eftir atvikum að leggja á stjórnvaldssektir, gera sátt eða vísa málum til lögreglu, er það mat Seðlabankans að vinnsla viðkvæmra persónuupplýsinga sé nauðsynleg til að bankinn geti sinnt framangreindu hlutverki sínu.“

 

Hinn 2. mars 2012 sendi Persónuvernd fyrirspurn til Seðlabankans um hvort umrædd handbók hafi verið birt. Í svari bankans, dags. 5. s.m., segir að kaflar úr henni hafi verið birtir á heimasíðu Seðlabankans, undir flipanum Hagtölur, eyðublöð og leiðbeiningar, og þar sé skjölin að finna neðst undir fyrirsögninni Gjaldeyrisviðskipti.  

II.
Svar Persónuverndar

1.
Afmörkun umfjöllunarefnis

Persónuvernd hefur þegar tekið efnislega afstöðu til skráningar kennitölu við gjaldeyrisviðskipti, sbr. úrskurð hennar í máli Persónuverndar nr. 2011/198, dags. 22. júní 2011. Hann byggðist á þeim sjónarmiðum sem þá lágu fyrir og var niðurstaðan sú að umrædd vinnsla yrði ekki studd við ákvæði 1. mgr. 8. gr. laga nr. 77/2000. Þá liggur fyrir afstaða Persónuverndar varðandi heimildir Seðlabanka Íslands til að afla frá viðskiptabönkunum þeirra persónuupplýsinga sem þeim er heimilt að skrá. Afstaðan kemur fram í ákvörðun stofnunarinnar, dags. 3. mars 2011, í máli Persónuverndar nr. 2011/610. Hér á eftir fer hins vegar almennt svar sem tekur mið af þeim rökum sem Seðlabankinn hefur nú vísað til. 

2.
Um sjónarmið Seðlabankans

Það er afstaða Seðlabanka Íslands að viðskiptabönkum sé ávallt og óháð fjárhæð viðskipta skylt að skrá kennitölur þeirra einstaklinga sem eiga gjaldeyrisviðskipti við þá. Hann telur að slík skráning samrýmist a) 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um vinnslu sem er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, b) 5. tölul. um vinnslu sem er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna og c) 6. tölul. um vinnslu sem er nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með.

Bankinn hefur bent á að gert sé ráð fyrir kennitöluskráningu í handbók hans um gjaldeyrismál og gjaldeyrisviðskipti. Þar sé m.a. fjallað um skráningu í gjaldeyrisviðskiptaupplýsingakerfi – svokallað GV-kerfi. Þar komi fram að milligönguaðilar um gjaldeyrisviðskipti, og aðrir þeir sem hafi takmarkað leyfi til gjaldeyrisviðskipta, skuli skrá sín gjaldeyrisviðskipti og senda til Reiknistofu bankanna. Hún sjái síðan um að framsenda þessar upplýsingar til tölvudeildar Seðlabanka Íslands. Þeir sem ekki séu aðilar að RB sendi upplýsingar um gjaldeyrisviðskipti beint til Seðlabanka Íslands á tölvutæku formi í samræmi við nánari fyrirmæli Seðlabanka Íslands.

Í handbókinni er lýsing á tölvuskráningu gjaldeyrisviðskipta banka og annarra aðila sem leyfi hafa til milligöngu um gjaldeyrisviðskipti og verslunar með erlendan gjaldeyri. Þar kemur fram að meðal þess sem skal skrá eru upplýsingar um banka, kennitölu, hvort um sé að ræða kaup eða sölu og á hvaða formi viðskipti eiga sér stað (seðlar, ferðatékkar, millifærslur o.s.frv.) Er gert ráð fyrir að við gjaldeyrisviðskipti sé kennitala innlends aðila skráð en ef hann er erlendur, og kennitala er ekki fyrir hendi, á aðeins að skrá tölurnar 111111-1119.

Handbókin er gefin út á grundvelli 1. mgr. 2. gr. reglna nr. 13/1995 um upplýsingaskyldu vegna gjaldeyrisviðskipta og fjármagnshreyfinga milli landa. Þar segir:

„Þeir aðilar sem heimild hafa til milligöngu um gjaldeyrisviðskipti og verslunar með erlendan gjaldeyri skv. 1. mgr. 8. gr. laga nr. 87/1992, skulu fullnægja kröfum Seðlabankans um skráningu gjaldeyrisviðskipta. Flokka skal viðskiptin eftir eðli þeirra í samræmi við flokkunarlykla Seðlabankans og sundurliða þau í tölvutæku formi, sbr. handbók Seðlabanka Íslands um gjaldeyrismál og gjaldeyrisviðskipti, og koma þeim upplýsingum til Seðlabankans.“

 

Samkvæmt 7. gr. reglnanna eru þær settar samkvæmt heimild í 11. gr. laga nr. 87/1992 um gjaldeyrismál, sbr. og 10. gr. reglugerðar nr. 679/1994 um gjaldeyrismál. Með 2. gr. laga nr. 128/1999, um breyting á lögum um gjaldeyrismál, var lögunum breytt. Féll 11. gr. brott en svipað ákvæði er í 14. gr. laganna. Ákvæði 11. gr. laga nr. 87/1992 var svohljóðandi:

„Skylt er að veita Seðlabankanum allar þær upplýsingar um gjaldeyrisviðskipti sem hann kann að óska eftir til að hann geti sinnt nauðsynlegu eftirliti og hagskýrslugerð, sbr. ákvæði laga um Seðlabanka Íslands. Bankanum er heimilt að setja nánari reglur um framkvæmd gjaldeyrisviðskipta, svo sem um skráningar- og tilkynningarskyldu vegna reikninga innlendra aðila í erlendum innlánsstofnunum, framlagningu gagna, almenna upplýsingagjöf og gerð eyðublaða.“

 

Í 14. gr. laga nr. 87/1992 um gjaldeyrismál segir nú:

„Skylt er að veita Seðlabankanum allar þær upplýsingar um gjaldeyrisviðskipti sem hann kann að óska eftir til að hann geti sinnt nauðsynlegu eftirliti, að viðlögðum dagsektum skv. 15. gr. h. Að sama skapi ber að veita bankanum allar nauðsynlegar upplýsingar til hagskýrslugerðar, sbr. ákvæði laga um Seðlabanka Íslands. Bankanum er heimilt að setja nánari reglur um framkvæmd gjaldeyrisviðskipta, svo sem um skráningar- og tilkynningarskyldu vegna reikninga innlendra aðila í erlendum innlánsstofnunum, framlagningu gagna, almenna upplýsingagjöf og gerð eyðublaða.“

 

Í athugasemdum sem fylgdu ákvæði 11. gr. þess frumvarps, sem varð að lögum nr. 87/1992, sagði:

„Í þessari grein er kveðið á um skyldu til að veita upplýsingar um gjaldeyrisviðskipti. Lagt er til að ákvæði þar að lútandi verði afdráttarlaust. Jafnframt er ákvæði þess efnis að Seðlabankinn geti sett nánari reglur um framkvæmd gjaldeyrisviðskipta, svo sem um skráningar- og tilkynningarskyldu vegna reikninga í eigu innlendra aðila í erlendum innlánsstofnunum, framlagningu gagna, almenna upplýsingagjöf og gerð eyðublaða.

Í flestum tilvikum mun upplýsingaskyldunni verða fullnægt með þeim hætti að viðskiptavinur fyllir út eyðublað í banka eða sparisjóði með lágmarksupplýsingum rétt eins og gildir um fjölmörg svið innlendra viðskipta. Upplýsingar um heildargjaldeyrisviðskipti dagsins samkvæmt helstu flokkum ganga síðan til Seðlabankans. Í öðrum tilvikum verður gerð sú krafa að tilkynna verður einstök viðskipti. Á þetta sérstaklega við um opnun bankareikninga erlendis og notkun þeirra. Er talið eðlilegt að lögfesta ekki framkvæmdaratriði af þessu tagi heldur fela Seðlabankanum að setja reglur þar að lútandi.“

3.
Heimfærsla til heimildarákvæða
 laga nr. 77/2000

Öll vinnsla persónuupplýsinga þarf að uppfylla skilyrði laga nr. 77/2000. Ábyrgðaraðili þarf að tryggja að heimild standi til þeirrar vinnslu sem fram fer á hans vegum. Hún þarf bæði að eiga sér stoð í einhverju af ákvæðum 1. mgr. 8. gr., og eftir atvikum 1. mgr. 9. gr., og að samrýmast meginreglum 7. gr.
Framangreint á við um alla vinnsluþætti. Það nægir því t.d. ekki að skráning upplýsinga samrýmist lögum nr. 77/2000 heldur þarf miðlun þeirra einnig að gera það, varðveisla þeirra o.s.frv. Þannig dugar einum ábyrgðaraðila t.d. skammt að mega safna persónuupplýsingum frá öðrum aðilum ef þeir hafa ekki heimildir til að skrá þær eða varðveita. Þá verður, ef stjórnvöld eiga hlut að máli, að gæta lögmætisreglunnar. Samkvæmt henni er þeim skorinn sá stakkur sem lögin setja þeim, m.a. að því er varðar heimildir þeirra til að gefa einkaaðilum fyrirmæli um skráningu persónuupplýsinga.

3.1.
5. töluliður 1. mgr. 8. gr. laga nr. 77/2000

Seðlabankinn hefur í fyrsta lagi vísað til ákvæðis 5. töluliðar 1. mgr. 8. gr. laga nr. 77/2000. Þar segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg vegna verks sem unnið sé í þágu almannahagsmuna.  Ákvæðið tekur mið af e-lið 7. gr. tilskipunar nr. 95/46/EB og hefur m.a. verið talið taka til tölfræðivinnslu í þágu hagstjórnar ríkisins.
Ekki hefur verið sýnt fram á það af hálfu Seðlabankans að viðskiptabönkunum hafi verið falið verk í þessum skilningi. Þá ber að nefna að við beitingu umrædds ákvæðis tilskipunarinnar hefur verið talið að sýna beri hóf í vinnslu, hvorki safna né varðveita nafngreindar upplýsingar að nauðsynjalausu og gæta þess að mismuna mönnum ekki við skráningu persónuupplýsinga eftir því í hvaða Evrópulandi þeir búa. Til nánari skýringar má benda á dóm Evrópudómstólsins, frá 16. desember 2008 (mál C-524/06).

3.2.
6. töluliður 1. mgr. 8. gr. laga nr. 77/2000

Seðlabankinn hefur í öðru lagi vísað til 6. töluliðar 1. mgr. 8. gr. laga nr. 77/2000 um vinnslu almennra persónuupplýsinga sem sé nauðsynleg við beitingu opinbers valds. Á grundvelli þessa ákvæðis er stjórnvöldum heimilt að vinna með almennar persónuupplýsingar við framkvæmd starfa sem lögum samkvæmt heyra undir þau. Það getur tengst töku stjórnvaldsákvörðunar eða annarri lögmæltri stjórnsýslu.  Ákvæðið á við um vinnslu vegna lagaskyldu sem hvílir á stjórnvaldi og það skarast við 3. tölul. 1. mgr. 8. gr.
Ákvæðið á einnig við um miðlun persónuupplýsinga sem er nauðsynleg við beitingu opinbers valds sem þriðji maður, sem upplýsingum er miðlað til, fer með. Líta má á Seðlabankann sem þriðja mann í þessum skilningi og getur miðlun upplýsinga til hans samrýmst þessu ákvæði. Hins vegar verður ekki staðhæft að ákvæðið geti eitt og sér falið í sér sjálfstæða heimild fyrir viðskiptabankana til að skrá alltaf kennitölur einstaklinga sem eiga við þá gjaldeyrisviðskipti. Til þess þurfa þeir sjálfir að hafa sérstaka vinnsluheimild - s.s. samþykki, fyrirmæli í lögum eða í settum reglum sem eiga sér lagastoð.

 
3.3.
3. töluliður 1. mgr. 8. gr. laga nr. 77/2000

Seðlabankinn hefur í þriðja lagi vísað til þess að umrædd kennitöluskráning sé í samræmi við ákvæði 3. töluliðar 1. mgr. 8. gr. laga nr. 77/2000. Þar segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila.

3.3.1.
Almenn gjaldeyrisviðskipti

Persónuvernd hefur farið yfir þau laga- og reglugerðarákvæði sem bankinn hefur bent á, því til staðfestingar að lagaskylda til umræddrar kennitöluskráningar hvíli á viðskiptabönkunum.
Samkvæmt orðalagi sínu eiga þau ákvæði fyrst og fremst við um samskipti Seðlabankans við viðskiptabankana og um skyldu þeirra til að miðla upplýsingum til Seðlabankans til að hann geti sinnt nauðsynlegu eftirliti og hagskýrslugerð. Þar er Seðlabankanum veitt heimild til að setja nánari reglur um framkvæmd gjaldeyrisviðskipta, svo sem um skráningar- og tilkynningarskyldu vegna reikninga innlendra aðila í erlendum innlánsstofnunum, framlagningu gagna, almenna upplýsingagjöf og gerð eyðublaða.
Af tilgreindum lagaákvæðum verður ekki ráðið að löggjafinn hafi lagt á viðskiptabankana skyldu til að skrá alltaf kennitölur þeirra sem eiga við þá gjaldeyrisviðskipti. Hins vegar kemur vilji löggjafans í þeim efnum fram í lögum nr. 64/2006, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka um hvenær og hvernig gera beri svonefnda áreiðanleikakönnun á viðskiptamanni, sbr. II. kafla laganna. Hún felst m.a. í því að gengið sé vandlega úr skugga um hver viðskiptamaður sé og hefur skráning kennitölu verið álitinn þáttur í því. Í lögunum er að finna viðmiðunarmörk um fjárhæðir, en m.a. er skylt að gera áreiðanleikakönnun þegar um ræðir einstök viðskipti að fjárhæð 15.000 evrur eða meira og þegar um ræðir gjaldeyrisviðskipti að fjárhæð 1.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni, hvort sem viðskiptin fari fram í einni færslu eða fleirum sem virðast tengjast hver annarri.
Í handbók sem Seðlabankinn hefur gefið út á grundvelli 1. mgr. 2. gr. reglna nr. 13/1995, er reyndar mælt fyrir um slíka skráningu en ekki liggur fyrir að hún hafi verið birt í samræmi við lög nr. 15/2005 um Stjórnartíðindi og Lögbirtingablað, né eldri lög nr. 64/1943 um birtingu laga og stjórnvaldserinda. Það hvort telja megi efnisatriði handbókarinnar hafa að geyma lagaskyldu er hvíli á ábyrgðaraðilum (þ.e. viðskiptabönkunum), í skilningi 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000, ræðst af því hvort þau teljist hafa að geyma bindandi stjórnvaldsfyrirmæli sem eigi sér viðhlítandi stoð í lögum. Verði niðurstaðan sú að svo sé geta skilyrði 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 talist uppfyllt. Það er hlutverk dómstóla að leysa úr ágreiningsefnum um lögmæti reglugerða og annarra stjórnvaldsfyrirmæla.

3.3.2.
Sjónarmið um gjaldeyrishöft

Seðlabankinn hefur einnig vísað til ákvæða um takmörkun eða tímabundna stöðvun tiltekinna flokka fjármagnshreyfinga og gjaldeyrisviðskipta sem þeim tengjast, sbr. nú 13. gr. n til 13. gr. o í lögum nr. 87/1992, sbr. lög nr. 127/2011. Seðlabankinn hefur lýst því mati sínu að í kjölfar hruns þriggja stærstu viðskiptabanka landsins haustið 2008, og fyrirséðs samdráttar, stóraukins fjárlagahalla og mikillar aukningar opinberra skulda, hafi verið óhjákvæmilegt að beita tímabundnum gjaldeyrishöftum. Að mati bankans hafi enn ekki skapast þær aðstæður að rými sé til þess að aflétta umræddum gjaldeyrishöftum að fullu, en núgildandi lög um gjaldeyrismál geri ráð fyrir heimild til slíkra takmarkana til ársloka 2013. Til að gjaldeyrishöft nái markmiðum sínum telur bankinn vera mikilvægt að umræddar upplýsingar séu skráðar í GV-kerfið.
Persónuvernd gerir ekki athugasemdir við framangreint mat Seðlabanka Íslands. Það fellur ekki undir hennar valdsvið.

4.
Meginreglur 7. gr. laga nr. 77/2000

Við alla vinnslu persónuupplýsinga ber að virða þær meginreglur sem eru í 7. gr. laganna. Aðeins skal vinna með nægilegar og viðeigandi persónuupplýsingar og ekki meiri en nauðsynlegt er miðað við tilgang vinnslunnar. Með öðrum orðum þarf, enda þótt eitthvert af skilyrðum 1. mgr. 8. gr. sé uppfyllt, ávallt að virða reglur 7. gr. Ein þeirra er svonefnd hlutfallsregla. Hún kemur fram í 3. tölul. 1. mgr. 7. gr. Af henni leiðir m.a. að söfnun og skráning persónuupplýsinga þarf að vera í réttu hlutfalli við þann málefnalega og lögmæta tilgang sem að er stefnt. Til þess yrði, við ákvörðun um slíka skráningu, að meta og afmarka við hvaða fjárhæðir ætti að miða og hve miklar persónuupplýsingar ætti að skrá.

5.
Fræðsluskylduákvæði 20. og 21. gr. laga nr. 77/2000

Í 20. gr. laga nr. 77/2000 er fjallað um fræðsluskyldu ábyrgðaraðila þegar hann aflar persónuupplýsinga beint frá hinum skráða sjálfum og í 21. gr. er ákvæði um fræðsluskyldu þess sem aflar persónuupplýsinga frá öðrum en hinum skráða. Í daglegu tali eru 20. og 21. gr. oft einu nafni kallaðar fræðsluskyldureglur.  Markmið þeirra er að tryggja að hinn skráði geti á upplýstan hátt tekið afstöðu til vinnslu persónuupplýsinga um sig og eftir atvikum nýtt sér þau réttindi sem lögin veita honum, s.s. til að fá rangar upplýsingar leiðréttar. Samkvæmt 4. mgr. 21. gr. gildir fræðsluskyldan ekki ef lagaheimild stendur til skráningar eða miðlunar upplýsinganna.

6.
Regla 10. gr. laga nr. 77/2000 um kennitölur

Í 10. gr. laga nr. 77/2000 er afmarkað hvenær heimilt er að nota kennitölu og hvenær ekki. Þar kemur fram að hún er heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Ákvæðið er 8. gr. til fyllingar, sem þýðir að bæði þarf að uppfylla eitthvert af heimildarákvæðum 1. mgr. 8. gr. og hlíta 10. gr. laganna. Almennt þurfa viðskiptabankar því að hafa sérstaka heimild samkvæmt 8. gr. til að skrá kennitölur en einnig að virða viðbótarskilyrði 10. gr. laganna.

7.
Lokaorð

Samkvæmt framanrituðu leikur ríkur vafi á um að 3., 5. eða 6. tölul. 1. mgr. 8. gr. laga nr. 77/2000 geti að óbreyttu borið uppi lögmæti þeirrar víðtæku kennitöluskráningar sem Seðlabankinn telur vera nauðsynlega í þágu eftirlits með gjaldeyrishöftum.

Með lögum hefur Seðlabankanum verið falið ríkt eftirlitshlutverk með framkvæmd gjaldeyrisviðskipta hér á landi. Þótt á það megi fallast að þeim mun minni upplýsingar, sem skráðar séu um gjaldeyrisviðskipti einstaklinga í viðskiptabönkunum, þeim mun torveldara verði honum að rækja þetta eftirlitshlutverk sitt, verður að skýra ákvæði laga nr. 77/2000 með hliðsjón af markmiðsákvæði 1. gr. Þar segir m.a. að markmið þeirra sé að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs. Friðhelgi einkalífs er varin í 71. gr. stjórnarskrárinnar, en af 2. mgr. hennar leiðir m.a. að ekki má takmarka friðhelgina nema með sérstakri lagaheimild og ef brýna nauðsyn ber til vegna réttinda annarra. Í þeim laga- eða reglugerðarákvæðum sem Seðlabankinn vísar til er ekki mælt fyrir um skyldu fjármálastofnana til umræddrar kennitöluskráningar.
 
Minnt er á að enda þótt heimild, í skilningi 1. mgr. 8. gr. laga nr. 77/2000, teljist standa til vinnslu almennra persónuupplýsinga þarf einnig að gæta annarra ákvæða laganna, þ. á m. 7. og 21. gr. Að öðrum kosti telst ekki vera um að ræða lögmæta vinnslu persónuupplýsinga.

Í almennu svari eins og þessu verður ekki með bindandi hætti skorið úr um lögmæti umræddrar kennitöluskráningar. Berist Persónuvernd kvörtun frá einstaklingi yfir tiltekinni skráningu persónuupplýsinga um sig verður það mál eftir atvikum tekið fyrir og úrskurðað í því í ljósi málsatvika, kröfugerðar og þeirra málsástæðna sem fram yrðu settar.

Bréf þetta verður birt á vefsíðu Persónuverndar.