Dagsektir vegna kennitöluskráningar

Hinn 22. júní 2011 kvað stjórn Persónuverndar upp úrskurð í máli nr. 2011/198. Í honum er, m.a. með vísun til laga nr. 64/2006 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, komist að þeirri niðurstöðu að ekki hafi verið heimild til að skrá kennitölu viðskiptavinar við sölu á 60 evrum.  Var lagt fyrir bankann að stöðva slíka vinnslu. Í úrskurðinum segir m.a.:

„Í 40. gr. laga nr. 77/2000 kemur fram að Persónuvernd getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, þar á meðal söfnunar, skráningar eða miðlunar, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Þá segir í 1. mgr. 41. gr. að sé ekki farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. geti hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að hennar mati. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt.
Í 42. gr. laganna kemur fram að brot á ákvæðum þeirra og reglugerða settra samkvæmt þeim varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar. Ef brot er framið í starfsemi lögaðila má gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga.

Með vísun til framangreinds hefur Persónuvernd ákveðið að leggja fyrir Arion banka hf. að láta þegar af þeirri vinnslu með persónuupplýsingar sem að samkvæmt framangreindu fer í bága við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Skal bankinn eigi síðar en 1. ágúst nk. hafa tilkynnt Persónuvernd um með hvaða hætti hann hyggst gera það.“

Arion banki hefur ekki farið að framangreindum úrskurði.

Persónuvernd hefur nú móttekið bréf Arion banka, dags. 2. nóvember 2011. Þar segir m.a.:

„[...]Arion andmælir ekki því mati Persónuverndar, að núverandi verklag bankans byggi á því að hinn skráði verði að andmæla vinnslu. Þá tekur Arion banki undir það mat Persónuverndar að ef ekki er fyrir hendi lagaheimild sem kveður á um vinnslu persónuupplýsinga, verði slík vinnsla að byggja á skýru og ótvíræðu samþykki hins skráða.
Arion banki getur þó ekki hjá því komist að lýsa yfir áhyggjum sínum á þeirri þróun mála sem er að eiga sér stað í eftirliti með peningaþvætti og fjármögnun hryðjuverka, vegna úrskurða Persónuverndar.
Það er enn sem fyrr mat bankans að bæði 3. og 5. tölul. 8. gr. persónuverndarlaga gildi um umrædda vinnslu, og að umrædd vinnsla þurfi því ekki að byggja á skýru og ótvíræðu samþykki hins skráða.
Tilgangur laga nr. 64/2006 er að standa vörð um brýna almannahagsmuni, þ.e. leitast við að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka. Ef ekki er unnt að rekja slóð fjármuna, torveldar það hugsanlegar rannsóknir yfirvalda og eykur hættuna á því að íslensk fjármálstarfsemi verði misnotuð, með augljósri áhættu. Þetta hefur í för með sér að auðveldara er að koma undan illa fengnu fé (s.s. vegna fíkniefnaviðskipta eða skattsvika) og jafnvel að fjármagna hryðjuverkastarfsemi, með mögulega ógnvænlegum afleiðingum.

Með lögum er fjármálafyrirtækjum falið það hlutverk að framkvæma áreiðanleikakönnun í einstökum viðskiptum sem nema að jafnvirði EUR 1.000, ef um gjaldeyrisviðskipti er að ræða, en EUR 15.000 í öðrum viðskiptum. Athugið að áreiðanleikakönnun er meira en að óska eftir kennitölu. Í henni felst m.a. að fylla út ákveðinn spurningarlista, og framvísa skilríkjum sem síðan eru skönnuð til varðveislu.
Í lögunum er enn fremur lögð sú skylda á fjármálafyrirtæki að framkvæma slíka könnun, ef um er að ræða fleiri færslur sem virðast tengjast hver annarri og ná samtals fyrrnefndum fjárhæðarmörkum. Í framkvæmd hefur þetta ákvæði verið túlkað á þann hátt að nauðsynlegt er að geta rakið sérhver viðskipti, svo hægt sé að fylgjast með hvort um fleiri tengdar færslur sé að ræða, sem leiða til þess að bankanum er skylt að framkvæma áreiðanleikakönnun. Það er öðrum kosti illmögulegt að fylgjast með tengdum færslum, enda gæti viðskiptavinur hæglega átt viðskipti með kr. 2 milljónir í hverju útibúi af fætur öðru án þess að nokkrar viðvörunarbjöllur færu af stað.
Í úrskurði Persónuverndar er að finna túlkun á lögum nr. 64/2006, þar sem Persónuvernd virðist líta svo á að „smávægileg“ viðskipti geti vart tengst slíkri starfsemi. Er Arion banka skipað að gæta „meðalhófs“ og leitast ekki við að tryggja rekjanleika í slíkum tilvikum. Á sama tíma gerir Persónuvernd þó ekki athugasemd við að fjármálastofnanir viðhafi nauðsynlegar ráðstafanir til að girða fyrir peningaþvætti og fjármögnun hryðjuverka.

Rekjanleiki sérhverra viðskipta er að mati Arion banka nauðsynleg varúðarráðstöfun til að fyrirbyggja hættu á peningaþvætti og fjármögnun hryðjuverka. Í yfirgnæfandi meirihluta tilvika er í raun um ónauðsynlegt eftirlit að ræða, þar sem hverfandi líkur eru á að viðskiptin tengist slíkri starfsemi, en vinnsla persónuupplýsinga hjá heiðarlegum viðskiptavinum er þó sá fórnarkostnaður sem fylgir slíku eftirliti. Vinnsla þessara upplýsinga snýst eingöngu um að greina grunsamlegar fjármagnshreyfingar, og eru ekki notaðar í nokkrum öðrum tilgangi.
Arion banki furðar sig á þeim úrskurði Persónuverndar, að þeir eftirlitshagsmunir sem um ræðir vegi ekki þyngra en persónulegir hagsmunir hins skráða. Ríkir almannahagsmunir réttlæta slíkan fórnarkostnað. Úrskurður Persónuverndar, er til þess fallinn að verja aðila frá því að bankanum sé unnt að viðhafa öflugt eftirlit, á kostnað þessara almannahagsmuna. Sá eini hópur sem í raun nýtur góðs af slíkri vörn, er einmitt sá hópur sem ráðstöfunum er beint gegn.

Sú réttaróvissa sem hefur skapast af úrskurði Persónuverndar, setur fjármálafyrirtæki á milli steins og sleggju. Valið stendur á milli þess að draga úr mikilvægu eftirliti skv. lögum nr. 64/2006, eða brjóta gegn úrskurði Persónuverndar. Arion banki hefur með breyttu verklagi reynt að fara bil beggja, en afraksturinn er sennilega sá að bankinn uppfyllir í raun hvorugt.
Arion banki vill vitaskuld hlýta lögum, sem og úrskurðum Persónuverndar. Bankinn óskar því eftir áliti Persónuverndar á því hvort það myndi uppfylla kröfur stofnunarinnar ef hætt væri með öllu að óska eftir kennitölum í viðskiptum undir kr. 100.000 (sem þýðir jafnframt að ekki er mögulegt að leiðrétta hugsanleg mistök í slíkum viðskiptum), en krefjast kennitölu í öllum öðrum viðskiptum.
Ef slíkt fyrirkomulag er ekki fullnægjandi að mati Persónuverndar, fer bankinn fram á leiðbeiningar frá Persónuvernd, um hvernig bankinn geti gætt meðalhófs, en þó tryggt að unnt sé að tengja saman fleiri færslur til að uppfylla lagaskyldu bankans um framkvæmd áreiðanleikakannana. “

Af tilefni framangreinds vill Persónuvernd minna á að fyrir liggur skýr afstaða löggjafans til þess hvenær heimilt er að framkvæma áreiðanleikakönnun á viðskiptamönnum, m.a. vegna gjaldeyriskaupa. Engin réttaróvissa er í þeim efnum. Einungis löggjafinn sjálfur getur breytt lögum og er það hvorki á valdi Arion banka né einstakra stjórnvalda að breyta þeim. Sú leið sem Arion banki leggur til í bréfi sínu, dags. 2. nóvember 2011, er ekki í samræmi við ákvæði 4. gr. laga nr. 64/2006, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Þegar af þeirri ástæðu getur stofnunin ekki fallist á þá framkvæmd sem þar er lýst. Telji Arion banki að ekki hafi verið farin skynsamleg leið við umrædda lagasetningu eða gerð alþjóðlegra reglna, sem nái ekki tilgangi sínum, eins og þær hafa verið innleiddar með framangreindum lögum nr. 64/2006, leiðbeinir Persónuvernd bankanum um að fara sömu leið og almennt er viðhöfð í þeim efnum. Meðan lögin gilda ber hins vegar að virða þau.

Þar sem ekki hefur verið farið að úrskurði Persónuverndar, dags. 22. júní 2011, í máli nr. 2011/198, er til skoðunar að beita því þvingunarúrræði sem hún hefur samkvæmt 41. gr. laga nr. 77/2000. Þar segir:

Ef ekki er farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. getur hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að mati Persónuverndar. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt.
Ef ákvörðun Persónuverndar um dagsektir er skotið til dómstóla byrja dagsektir ekki að falla á fyrr en dómur er endanlegur. Dagsektir renna í ríkissjóð og má án undangengins dóms gera aðför til fullnustu þeirra.

Persónuvernd ítrekar hér með fyrri sjónarmið sín er fram koma í úrskurði stofnunarinnar frá 22. júní 2011. Ítrekar stofnunin jafnframt að Arion banki breyti því verklagi sem bankinn viðhefur, að því er varðar skráningu kennitölu við gjaldeyrisviðskipti, ef fjárhæð þeirra er undir 1000 evrum, á þann hátt að það samrýmist gildandi lögum og úrskurði Persónuverndar frá 22. júní 2011. Er Arion banka á ný veittur frestur til að gera úrbætur. Er sá frestur veittur til 10. febrúar 2012. Hafi Arion banki ekki upplýst stofnunina um breytt verklag fyrir þann tíma mun þvingunarúrræði samkvæmt 41. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, koma til framkvæmda.