Ákvörðun um heimildir Seðlabankans til vinnslu persónuupplýsinga í þágu gjaldeyriseftirlits
Persónuvernd hefur ákvarðað að vinnsla Seðlabankans á persónuupplýsingum í þágu gjaldeyriseftirlits eigi sér lagastoð og að stefnt skuli að öryggisúttekt.
Ákvörðun
Hinn 3. mars 2010 tók stjórn Persónuverndar eftirfarandi ákvörðun í máli nr. 2010/610:
I.
Bréfaskipti
1.
Persónuvernd vísar til fyrri bréfaskipta varðandi skráningu Seðlabanka Íslans á persónuupplýsingum um gjaldeyrisviðskipti. Með bréfi, dags. 16. ágúst 2010, óskaði Persónuvernd þess að bankinn greindi frá þeirri skráningu og lýsti hvernig vinnslu upplýsinganna væri hagað, þ. á m. hverjir hefðu aðgang að þeim, hvernig þær væru auðkenndar og hversu lengi þær yrðu varðveittar. Í bréfinu vísaði Persónuvernd til símtals við lögfræðing hjá Seðlabankanum hinn 13. ágúst 2010 þar sem fram kom að Seðlabankinn fyrirhugaði að hefja víðtaækari kráningu á persónuupplýsingum um gjaldeyrisviðskipti en tíðkast hafði. Seðlabankinn svaraði með bréfi, dags. 2. september s.á.
Í svari Seðlabankans kemur fram að:
1. Bankinn afli upplýsinga um einstök gjaldeyrisviðskipti til skráningar í svonefnt GV-kerfi, en kennitala þeirra sem standi að viðskiptum sé afmáð þegar upphæð er undir 700.000 kr. Rekjanleiki hafi þá undir venjulegum kringumstæðum ekki verið nauðsynlegur, en nú gegni öðru máli í ljósi strangari reglna um gjaldeyrisviðskipti. Hyggist því Seðlabankinn afla upplýsinga um kennitölur þeirra sem standi að umræddum viðskiptum án tillits til fjárhæðarmarka aftur til 28. nóvember 2008 þegar hinar strangari reglur tóku gildi, en slíkt fyrirkomulag hafi raunar verið við lýði áður. Í gögnum um umrædd viðskipti komi m.a. fram upplýsingar um kennitölu og nafn greiðanda og viðtakanda, móttökuland, gjaldmiðill og skýring greiðslu.
2. Hinn 28. september 2009 hafi hafist öflun upplýsinga um svonefndar SWIFT-skeytasendingar, öðru nafni símgreiðslur. Sögulegra gagna hafi verið aflað aftur til 28. nóvemer 2009. Um sé að ræða símgreiðslur sem Seðlabankinn afgreiði fyrir hönd viðskiptavina, en nú sé fyrirhugað að afla einnig símgreiðslna sem varði fjármálaflutninga í nafni fjármálastofnananna sjálfra. Í gögnum um umræddar skeytasendingar sé m.a. að finna kennitölu og nafn greiðanda og viðtakanda, móttökuland, gjaldmiðil og skýringu greiðslu.
3. Frá 22. desember 2009 hafi vikulega borist upplýsingar frá Valitor hf. og Borgun hf. um kreditkortaúttektir í erlendum gjaldeyri. Þá hafi Seðlabankinn óskað eftir sögulegum gögnum aftur til 28. nóvember 2008. Í gögnum um umræddar úttektir komi m.a. fram upplýsingar um kortanúmer þar sem 7.–11. tölustafur sé afmáður, tilvísunarnúmer seljanda, kennitala og nafn greiðanda og korthafa, úttektargjaldmiðill, fjárhæð í gjaldmiðli og íslenskum krónum og nafn, númer og heiti flokks söluaðila.
4. Frá 27. október 2009 hafi vikulega borist tollafgreiðsluskýrslur vegna inn- og útflutnings á vörum, auk þess sem Seðlabankinn hafi fengið afhent söguleg gögn aftur til 1. október 2008. Ástæða þess að umræddra skýrslna sé aflað sé sú að brot gegn reglum um skilaskyldu og bann við gjaldeyriskaupum fari oft saman við brot á tollalögum nr. 88/2005. Þá gagnist samanburður á gögnum frá Tollstjóra við upplýsingar um erlendar greiðslur úr bankakerfinu við gjaldeyriseftirlit. Í gögnum um umræddar skýrslur komi m.a. fram kennitala og nafn inn- eða útflytjanda, viðskiptaland, vörutegund, gjaldmiðill og tollverð í íslenskum krónum. Þá sé m.a. aflað upplýsinga úr innflutningsskýrslum um nafn og heimili viðtakanda.
5. Gögn Reiknistofu bankanna um hreyfingar á vegum fyrirtækja á gjaldeyrisreikningum hafi verið gerð aðgengileg gjaldeyriseftirliti Seðlabankans. Fyrirhugað sé að afla einnig gagna um slíka fjármagnsflutninga á vegum einstaklinga. Í gögnum um umrædda reikninga sé m.a. að finna upplýsingar um kennitölu eiganda, gjaldmiðil og dagsetningu og upphæð hreyfingar.
6. Unnið sé með eignir erlendra aðila í íslenskum krónum, þ.e. erlendra fjármálafyrirtækja og annarra valinna lögaðila. Þá annist Seðlabankinn umsýslu uppgjörsreikninga alþjóðlegrar uppgjörsmiðstöðvar verðbréfa.
7. Ef grunur vakni um brotlega háttsemi geti komið til þess að kallað sé eftir yfirliti hreyfinga á bankareikningum í eigu aðila sem rannsókn beinist að. Síkt yfirlit berist frá Reiknistofu bankanna eftir að henni hafi verið send formleg gagnaöflunarbeiðni og lúti að öllum fjárhagslegum aðgerðum í tölvukerfum stofunnar á þeim bankareikningum og því tímabili sem óskað er eftir. Einnig geti komið til þess að upplýsinga um aðila, sem til rannsóknar séu, sé aflað beint frá fjármálastofnunum. Þar sé um að ræða staðfest afrit símgreiðsluskeyta; afrit tölvupóstskeyta og annarra gagna sem liggja til grundvallar tilteknum viðskiptum eða fjármagnshreyfingum; ítarupplýsingar um tilteknar hreyfingar á innlánsreikningum sem ekki reynist unnt að rekja með hefðbundnum hætti, s.s. afrit gjaldkerakvittana; gögn sem fjármálafyrirtæki afla frá viðskiptavinum á grundvelli laga nr. 64/2006 um peningaþvætti og fjármögnun hryðjuverka; og aðrar upplýsingar sem fjármálastofnanir meta viðeigandi eftir atvikum.
Samkvæmt svari Seðlabankans eru öll persónugreinanleg gögn, sem gjaldeyriseftirlit bankans aflar vegna eftirlits með framkvæmd laga um gjaldeyrisviðskipti, varðveitt í aðgangsstýrðum gagnagrunni sem forstöðumaður gjaldeyriseftirlitsins stýrir aðgangi að. Gögnin berist um örugga skráarmiðlunargátt á svæði sem sérstaklega sé úthlutað hverjum innsendingaraðila og ráðstafanir gerðar til að fyrirbyggja aðgengi utanaðkomandi.
Innan gjaldeyriseftirlitsins sjálfs sé beitt aðgangsstýringum sem geri það að verkum að aðeins tveir starfsmenn deildarinnar hafi beinan lesaðgang til uppflettingar, þ. á m. í tengslum við þróun leitarmynstra til að bera kennsl á möguleg brot gegn umræddum lögum og reglum samkvæmt þeim. Aðrir starfsmenn gjaldeyriseftirlitsins, sem starfs síns vegna þarfnist aðgangs, hafi til þess gert leitarviðmót sem útfært sé sérstaklega með tilliti til aðgangsstýringar og virkrar atburðaskráningar. Þar sé átt við sjálfvirka skráningu uppflettinga með auðkenni starfsmanns, tímastimpli og leitarskilyrðum.
Niðurstöður rannsókna, og gögn að baki þeim, séu vistuð á aðgangsstýrðu skráarsvæði á tölvuneti Seðlabankans sem starfsmenn gjaldeyriseftirlitsins hafi einir aðgang að. Við tölvupóstsendingar innanhúss sé jafnframt leitast við að takmarka efni þeirra við gagnaslóðir að fyrrgreindum gögnum á hinu aðgangsstýrða skráarsvæði.
Tölvupóstsamskipti milli Seðlabankans og Fjármálaeftirlitsins séu varin sérstaklega til að koma í veg fyrir aðgengi utanaðkomandi aðila að innihaldi þeirra. Við afhendingu upplýsinga á rafrænu formi, sem varði meint brot á lögum og reglum um gjaldeyrismál, til embættis Ríkislögreglustjórans séu gögnin vistuð á dulkóðuðum minnislykli og þeim eytt að afhendingu lokinni. Þegar gjaldeyriseftirlitið veiti öðrum sviðum Seðlabankans upplýsingar um samtölur, sem þau kunni að óska eftir og byggi á fyrrgreindum gögnum, séu samtöluupplýsingar ekki veittar samanstandi þær af þremur eða færri aðilum eða einn aðili telji yfir 80% af heild.
Fyrirhugað sé að varðveita þau gögn, sem gjaldeyriseftirlit Seðlabankans aflar, svo lengi sem takmörkun á gjaldeyrisviðskiptum og útflæði gjaldeyris séu í gildi eða á meðan rannsókn meintra brota gegn lögum og reglum um gjaldeyrismál stendur yfir. Að þeim tíma liðnum verði viðkomandi gögnum, öðrum en þeim sem liggja til grundvallar niðurstöðum rannsókna á meintum brotum, eytt út úr gagnagrunni Seðlabankans.
2.
Með bréfi, dags. 19. október 2010, óskaði Persónuvernd þess að Seðlabanki Íslands greindi frá því hvaða lagaheimildir stæðu til framangreindrar vinnslu persónuupplýsinga. Þá var þess m.a. óskað að Seðlabankinn sendi Persónuvernd gögn um öryggi við vinnsluna. Fram kom að ef umrædd vinnsla styddist við fullnægjandi lagaheimildir kynni að verða tekið til skoðunar hvort rétt væri að henni staðið, þ. á m. hvort hinum skráðu væri veitt fræðsla samkvæmt 21. gr. laga nr. 77/2000, enda ættu ekki við undanþágur frá fræðsluskyldunni; hvort farið væri að reglum um skyldu til að tilkynna um vinnslu persónuupplýsinga til Persónuverndar; og hvort farið væri að 7. gr. laga nr. 77/2000 þar sem m.a. er mælt fyrir um að gæta skal meðalhófs við vinnslu persónuupplýsinga.
Seðlabankinn svaraði með bréfi, dags. 7. desember 2010. Þar segir m.a.:
„Til þess að Seðlabanki Íslands geti sinnt nauðsynlegu eftirliti segir í 14. gr. laga nr. 87/1992 að skylt sé að veita Seðlabankanum allar þær upplýsingar um gjaldeyrisviðskipti sem hann kann að óska eftir. Auk þessa segir í 15. gr. e að í tengslum við rannsókn mála sé Seðlabanka Íslands heimilt að krefja einstaklinga og lögaðila um allar upplýsingar og gögn sem hann telur nauðsynleg. Skiptir ekki máli í því sambandi hvort upplýsingarnar varða þann aðila sem beiðninni er beint til eða þau skipti annarra aðila við hann er hann getur veitt upplýsingar um og varða athuganir og eftirlit Seðlabankans. Jafnframt segir í 15. gr. f að í tengslum við athuganir tiltekinna mála sé Seðlabanka heimilt að afla upplýsinga og gagna frá öðrum stjórnvöldum óháð þagnarskyldu þeirra.
Með hliðsjón af lögboðnu hlutverki Seðlabanka Íslands sem er að hafa eftirlit með því að starfsemi aðila sé í samræmi við lög um gjaldeyrismál og reglur settar á grundvelli þeirra, auk þess hlutverks bankans að rannsaka hugsanleg brot og eftir atvikum að leggja á stjórnvaldssektir, gera sátt eða vísa málum til lögreglu, er það mat Seðlabankans að vinnsla viðkvæmra persónuupplýsinga sé nauðsynleg til þess að bankinn geti sinnt framangreindu hlutverki sínu.“
Einnig segir í bréfi Seðlabankans að ekki beri að veita hinum skráðu fræðslu samkvæmt 21. gr. laga nr. 77/2000 þar sem við eigi undantekning frá fræðsluskyldunni samkvæmt 4. tölul. 4. mgr. þeirrar greinar, þ.e. um að fræðsluskylda víki þegar hagsmunir hins skráða af vitneskju þykja eiga að víkja fyrir veigamiklum almannahagsmunum. Einnig kemur fram að Seðlabankinn taldi umrædda vinnslu persónuupplýsinga falla utan gildissviðs reglna um skyldu til að tilkynna vinnslu til Persónuverndar og því hefði ekki verið send tilkynning. Þá segir að hann telur vinnsluna fullnægja áðurnefndum kröfum 7. gr. laga nr. 77/2000 um m.a. meðalhóf við vinnslu persónuupplýsinga.
Með bréfi Seðlabankans fylgdu gögn um öryggi umræddrar vinnslu.
II.
Niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Svo að vinnsla persónuupplýsinga sé heimil þarf ávallt að vera fullnægt einhverri af kröfunum í 8. gr. laga nr. 77/2000. Þegar um ræðir viðkvæmar persónuupplýsingar verður að auki vera fullnægt einhverri af viðbótarkröfunum fyrir vinnslu slíkra upplýsinga sem taldar eru upp í 9. gr. laganna. Samkvæmt b-lið 8. tölul. 2. gr. laga nr. 77/2000 eru upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, viðkvæmar persónuupplýsingar. Í 15. og 16. gr. laga nr. 87/1992 um gjaldeyrismál er að finna ákvæði um annars vegar stjórnvaldssektir fyrir brot gegn lögunum sem Seðlabankinn ákveður og hins vegar sektir og fangelsi fyrir ákveðin brot. Í framangreindu bréfi Persónuverndar til Seðlabankans, dags. 19. október 2010, kom fram sú afstaða stofnunarinnar að það hvort brot vörðuðu stjórnvaldssektum eða öðrum viðurlögum varðaði eingöngu stigsmun en ekki eðlismun og skipti því ekki máli um hvort upplýsingar teldust vera viðkvæmar. Með vísan til 5. mgr. 9. gr. laga nr. 77/2000 komst stofnunin að þeirri niðurstöðu að um væri að ræða viðkvæmar persónuupplýsingar.
Í 1. mgr. 15. gr. í lögum nr. 87/1992, eins og ákvæðinu var breytt með lögum nr. 78/2010, segir að Seðlabanka Íslands sé heimilt að krefja einstaklinga og lögaðila um allar upplýsingar og gögn sem hann telji nauðsynleg. Skipti ekki máli í því sambandi hvort upplýsingarnar varði þann aðila sem beiðninni er beint til eða þau skipti annarra aðila við hann er hann getur veitt upplýsingar um og varða athuganir og eftirlit Seðlabankans. Lagaákvæði um þagnarskyldu takmarki ekki skyldu til þess að veita upplýsingar og aðgang að gögnum. Þó er gerð ákveðin undantekning varðandi upplýsingar sem lögmaður öðlast við athugun á lagalegri stöðu skjólstæðings.
Samkvæmt 2. mgr. 15. gr. e getur Seðlabankinn, telji hann að starfsemi samkvæmt lögum nr. 87/1992 sé stunduð án tilskilinna leyfa, krafist gagna og upplýsinga sem nauðsynlegar eru til að ganga úr skugga um hvort svo sé. Þá segir í 4. mgr. að Seðlabankanum sé heimilt að gera sérstakar athuganir og leggja hald á gögn í samræmi við ákvæði laga um meðferð sakamála að nánar tilteknum skilyrðum fullnægðum. Auk þess segir í 15. gr. f að Seðlabankanum sé heimilt að afla upplýsinga og gagna frá öðrum stjórnvöldum óháð þagnarskyldu þeirra, sem og að leita til Fjármálaeftirlitsins vega gagnaöflunar í tengslum við rannsókn tiltekinna mála eins og heimildir Fjármálaeftirlitsins leyfi. Einnig er mælt fyrir um heimild Seðlabankans til að eiga gagnkvæm upplýsingaskipti við opinbera aðila erlendis um atriði sem lög nr. 87/1992 taka til.
Í 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er mælt fyrir um heimild til vinnslu persónuupplýsinga þegar hún er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Þá segir í 6. tölul. 1. mgr. 8. gr. að vinna megi með persónuupplýsingar sé það nauðsynlegt við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með. Samkvæmt 2. tölul. 1. mgr. 9. gr. má vinna með viðkvæmar persónuupplýsingar ef sérstök lagaheimild stendur til vinnslunnar.
Með vísan til alls framangreinds telur Persónuvernd ekki annað hafa komið fram en að söfnun Seðlabanka Íslands á upplýsingum um gjaldeyrisviðskipti styðjist við fullnægjandi lagaheimildir. Eru því ekki gerðar athugasemdir við að umrædd vinnsla fari fram en minnt á að við hana ber að fara að öllum grunnreglum 1. mgr. 7. gr. laga nr. 77/2000. Í því felst m.a. að þess skal gætt að unnið sé með persónuupplýsingar á sanngjarnan, málefnalegan og lögmætan hátt og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Ekki hefur komið fram að í vinnslu Seðlabankans sé brotið gegn þessum ákvæðum, en þessar reglur skulu þó áréttaðar.
3.
Í áðurnefndu bréfi Persónuverndar til Seðlabankans, dags. 19. október 2010, var í tengslum við umrædda vinnslu vikið að 21. gr. laga nr. 77/2000. Þar er mælt fyrir um fræðslu sem veita ber hinum skráða þegar upplýsinga er aflað hjá öðrum en honum sjálfum. Ákvæði 21. gr. eiga ekki við þegar vinnsla byggist á lagaheimild, sbr. 3. tölul. 4. mgr. þeirrar greinar. Svo er í umræddu tilviki eins og að framan er rakið og reynir því hér ekki á ákvæði 21. gr. um fræðslu til hins skráða.
Í 31. og 32. gr. laga nr. 77/2000 er mælt fyrir um tilkynningar um vinnslu persónuupplýsinga til Persónuverndar. Meginreglan er sú að rafræna vinnslu ber að tilkynna á þar til gerðu formi, sbr. 1. mgr. 31. gr., en tilkynning birtist í þar til gerðri skrá á heimasíðu Persónuverndar, sbr. 17. gr. laga nr. 77/2000. Samkvæmt 3. mgr. 31. gr. getur Persónuvernd ákveðið að vissar tegundir vinnslu almennra upplýsinga skuli vera undanþegnar tilkynningarskyldu, sbr. nánar 6. gr. reglna nr. 712/2008 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga sem hefur að geyma slíkar undanþágur. Ákvæði 3. mgr. 31. gr. veitir hins vegar ekki svigrúm til að veita undanþágur frá tilkynningarskyldu þegar um ræðir rafræna vinnslu viðkvæmra persónuupplýsinga og ber því ávallt að tilkynna um hana, sbr. 5. gr. áðurnefndra reglna. Ekki hefur borist tilkynning frá Seðlabankanum og ber honum að bæta úr því.
Eins og fyrr greinir ber að gæta að upplýsingaöryggi þegar unnið er með persónuupplýsingar, sbr. einkum 11. gr. laga nr. 77/2000, sbr. nánar reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Meðal þess sem fram kemur í 11. gr. er að við vinnslu persónuupplýsinga skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi (1. mgr.). Þá segir m.a. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra (2. mgr.).
Samkvæmt 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 hefur Persónuvernd það hlutverk að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga. Þá segir í 4. mgr. 37. gr. að Persónuvernd geti ákveðið að ábyrgðaraðili skuli greiða þann kostnað sem hlýst af eftirliti með því að hann fullnægi skilyrðum laganna og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum.
Með vísan til þessa, sem og með hliðsjón af því hversu mikil og víðtæk vinnsla persónuupplýsinga fer fram í þágu gjaldeyriseftirlits Seðlabankans, telur Persónuvernd þörf úttektar á öryggi hjá bankanum. Til að byrja með myndi hún þurfa að beinast að öryggi við eyðingu gagna í samræmi við lýsingu bankans á bls. 4 í bréfi hans, dags. 2. september 2010, en þar kemur fram að þeim gögnum sem bankinn aflar verði eytt þegar takmarkanir á gjaldeyrisviðskiptum og útflæði gjaldeyris séu ekki lengur í gildi, þ.e. öðrum en þeim sem liggja til grundvallar niðurstöðum rannsókna á tilteknum meintum brotum. Við framkvæmd úttekarinnar má gera ráð fyrir að Persónuvernd leiti aðstoðar sérfræðings á sviði upplýsingaöryggis og kostnaður af vinnu hans lagður á Seðlabankann í samræmi við ákvæði 4. mgr. 37. gr. laga nr. 77/2000. Tekið er fram að umfang slíkrar úttektar - og þörf fyrir hana - ræðst þó af því hvort bankinn hafi áður sjálfur leitað vottunar sérfróðra viðurkenndra vottunaraðila.
Á k v ö r ð u n a r o r ð:
Vinnsla Seðlabanka Íslands á persónuupplýsingum í þágu gjaldeyriseftirlits styðst við fullnægjandi lagaheimildir, en bankanum ber að senda Persónuvernd tilkynningu um vinnsluna.
Gera skal úttekt á öryggi við eyðingu þeirra persónuupplýsinga sem Seðlabankinn vinnur með vegna umrædds eftirlits, þ.e. öðrum en þeim sem liggja til grundvallar niðurstöðum rannsókna á tilteknum meintum brotum