Varðveisla upplýsinga sem safnað er skv. tilmælum FME nr. 3/2010

4.5.2011

Álit

Hinn 7. apríl 2011 veitti stjórn Persónuverndar svohljóðandi álit í máli nr. 2010/1143:

I.
Bréfaskipti
1.
Persónuvernd vísar til fyrri bréfaskipta af tilefni tölvubréfs KPMG hf. frá 7. desember 2010 um mat á hæfi lykilstarfsmanna í samræmi við tilmæli Fjármálaeftirlitsins nr. 3/2010. Þau eru um hæfi lykilstarfsmanna, þ.e. einstaklinga í stjórnunarstarfi í fjármálafyrirtæki, annarra en framkvæmdastjóra, sem hafa umboð til að taka ákvarðanir sem geta haft áhrif á framtíðarþróun og afkomu fyrirtækisins, sbr. 8. tölul. 1. gr. a í lögum nr. 161/2002 um fjármálafyrirtæki, sbr. lög nr. 75/2010. Í tilmælunum er fjármálafyrirtækjum leiðbeint um hvernig þeim beri að meta hæfi lykilstarfsmanna, sbr. m.a. 7. tölul. tilmælanna þar sem segir:

„Nánar tiltekið beinir Fjármálaeftirlitið þeim tilmælum til allra eftirlitsskyldra aðila að þeir takist á hendur að skrá og meta lykilstarfsmenn og hæfi þeirra. Í því sambandi verði ferill viðkomandi kannaður og árangur hans í fyrri störfum. Höfð verði hliðsjón af hugsanlegri rekstrar- og orðsporsáhættu fjármálafyrirtækis vegna starfa hlutaðeigandi. Leiði slík könnun í ljós að vafi leiki á um að æskilegt sé að hlutaðeigandi gegni lykilstarfi, skuli séð til þess að hann gegni ekki áfram lykilstarfi í þágu fyrirtækisins.“

Í tölvubréfinu er spurt hvernig best sé að haga geymslu gagna sem notuð eru við hæfismat samkvæmt framangreindu, sem og hvort geyma megi afrit úr skrá Creditinfo Lánstrausts hf. um fjárhagsmálefni og lánstraust einstaklinga og upplýsingar um hvort starfsmaður sé á sakaskrá.

2.
Með bréfi, dags. 24. febrúar 2011, óskaði Persónuvernd þess að Fjármálaeftirlitið útskýrði lagagrundvöll áðurnefndra tilmæla nr. 3/2010. Fjármálaeftirlitið svaraði með bréfi, dags. 18. mars s.á. Þar segir m.a.:

„Leiðbeinandi tilmæli um hæfi lykilstarfsmanna nr. 3/2010 frá 5. október 2010 voru sett af Fjármálaeftirlitinu í tilefni af því að með lögum nr. 75/2010 var lögum um fjármálafyrirtæki nr. 161/2010 breytt og fólu breytingarnar m.a. í sér ýmis nýmæli er varða lykilstarfsmenn. Fjármálaeftirlitið taldi að þrátt fyrir að ekki hafi verið lögfest ákvæði um hæfi lykilstarfsmanna í lögum sem um fjármálastarfsemi gilda þá væri nauðsynlegt að gætt væri að hæfi þeirra jafnt og að hæfi stjórnarmanna og framkvæmdastjóra fyrirtækjanna. Í tilmælunum var því beint til hinna eftirlitsskyldu aðila að þeir setji sér reglur um hæfi lykilstarfsmanna og Fjármálaeftirlitið muni fara yfir og veita endurgjöf á reglurnar. Þá segir í tilmælunum að eftirlitsskyldir aðilar eigi að halda skrá yfir hverjir teljst til lykilstarfsmanna, hvaða stöðu þeir gegna og hvers vegna þeir teljist til lykilstarfsmanna. Í þessu felst hins vegar ekki að halda skrá yfir og geyma fjárhagsupplýsingar um lykilstarfsmenn né upplýsingar um sakaferil þeirra eða að öðru leyti upplýsingar um hæfi viðkomandi starfsmanns.“

Einnig segir í bréfi Fjármáleftirlitsins:

„Svar við spurningu Persónuverndar um það hvort stofnunin telji að fjármálafyrirtækjum sé á grundvelli leiðbeinandi tilmæla nr. 3/2010 skylt að afla og geyma fjárhagsupplýsingar um hina skráðu og um sakaferil þeirra er því samkvæmt framansögðu neitandi. Fjármálafyrirtækin eru hins vegar skyldug skv. 19. gr. laga um fjármálafyrirtæki til að starfa í samræmi við eðlilega og heilbrigða viðskiptahætti og venjur á fjármálamarkaði. Samkvæmt 1. mgr. 8. gr. laga um opinbert eftirlit með fjármálastarfsemi nr. 87/1998 hefur Fjármálaeftirltið eftirlit með því að fyrirtækin starfi í samræmi við lög, reglugerðir, reglur eða samþykktir sem um starfsemina gilda og að starfsemin sé að öðru leyti í samræmi við eðlilega og heilbrigða viðskiptahætti. Það er fyrirtækjanna sjálfra að meta hæfi lykilstarfsmannanna en Fjármálaeftirlitið telur að það falli undir eðlilega og heilbrigða viðskiptahætti að hæfi þeirra sé metið með fullnægjandi hætti og í störfin veljist einstaklingar sem teljist hæfir með tilliti til m.a. ferils og árangurs í fyrri störfum.“


II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

2.
Í erindi KPMG hf. er spurt hvernig haga beri geymslu tiltekinna gagna sem safnað sé vegna hæfismats sem gert sé í ljósi leiðbeinandi tilmæla Fjármálaeftirlitsins nr. 3/2010. Eins og fram kemur í framangreindu bréfi þess skylda tilmælin fjármálafyrirtæki ekki til öflunar þeirra upplýsinga sem hér um ræðir. Svo að geyma megi gögnin er hins vegar ljóst að heimilt þarf að vera að afla þeirra.

Svo að vinnsla sé heimil verður hún að fullnægja einhverju skilyrðanna í 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Ef um ræðir viðkvæmar persónuupplýsingar verður að auki að vera fullnægt einhverri af kröfunum í 9. gr. sömu laga. Upplýsingar um að maður hafi verið dæmdur fyrir refsiverðan verknað eru viðkvæmar, sbr. b-lið 8. tölul. 2. gr. laganna.

Við mat á framangreindum heimildum er til þess að líta að á fjármálafyrirtækjum hvíla skyldur til að starfa í samræmi við eðlilega og heilbrigða viðskiptahætti, sbr. 19. gr. laga nr. 161/2002 um fjármálafyrirtæki. Í ljósi þess telur Persónuvernd 7. tölul. 1. mgr. 8. gr. koma til álita sem heimild fyrir meðferð persónuupplýsinga í þágu umrædds hæfismats, þ. á m. uppflettingu í umræddri skrá Creditinfo Lánstrausts hf., en í ákvæðinu er mælt fyrir um að vinna megi með persónuupplýsingar sé vinnslan nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.

Þegar um ræðir viðkvæmar persónuupplýsingar verður einkum talið að byggja megi á samþykki sem heimild til vinnslu, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Sérstaklega er tekið fram í 2. mgr. 237. gr. laga nr. 88/2008 um meðferð sakamála að ótvírætt samþykki hlutaðeigandi þurfi til aðgangs að sakavottorði.

3.
Við mat á því hvort geyma megi umrædd gögn reynir á kröfur 1. mgr. 7. gr. laga nr. 77/2000, en þeim þarf ávallt að vera fullnægt við vinnslu persónuupplýsinga. Þar er mælt fyrir um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær séu áreiðanlegar og uppfærðar eftir þörfum (4. tölul.); og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

Í framangreindu felst m.a. að gæta ber meðalhófs við vinnslu persónuupplýsinga, þ. á m. við varðveislu. Af því leiðir að persónuupplýsingum skal eytt þegar ekki er lengur nauðsynlegt að varðveita þær í lögmætum og málefnalegum tilgangi.

Við mat á því hvort varðveita megi upplýsingar úr framangreindri skrá Creditinfo Lánstrausts hf., reynir á ákvæði reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sbr. 45. gr. laga nr. 77/2000, sem og starfsleyfis Persónuverndar til starfrækslu skrárinnar, dags. 3. ágúst 2010 (mál nr. 2010/566), veitts með stoð í 1. mgr. 2. gr. reglugerðarinnar. Samkvæmt 6. gr. reglugerðarinnar skal þess gætt við starfrækslu slíkrar skráar að áskrifendur geti m.a. ekki afritað skrána. Í samræmi við það segir í grein 7.3.3 í áðurnefndu starfsleyfi að samningar Creditinfo Lánstrausts hf. við áskrifendur skuli hafa að geyma ákvæði þar að lútandi. Staðfest hefur verið af hálfu félagsins, þ.e. með tölvubréfi til Persónuverndar hinn 27. janúar 2011, að samningar við áskrifendur samrýmist þessu.

Með vísan til framangreinds telur Persónuvernd óheimilt að afrita skrá Creditinfo Lánstrausts hf. Hins vegar er fjármálastofnun heimilt að færa til bókar þær upplýsingar úr skránni sem nýttar eru við hæfismat á lögmætum og málefnalegum grundvelli. Varðveita má þær upplýsingar, auk sakavottorðs, svo lengi sem nauðsynlegt er í þágu málefnalegs tilgangs með öflun þeirra. Það fellur í hlut þess sem ábyrgð ber á vinnslu persónuupplýsinga, í þessu tilviki þeirrar fjármálastofnunar sem viðhefur hæfismat, að taka afstöðu til þess hver málefnalegur varðveislutími sé. Ætla má að varðveisla á meðan viðkomandi gegnir störfum geti talist málefnaleg. Komi til þess að starfsmaður teljist ekki hæfur til að gegna starfi lykilstarfsmanns getur varðveisla sakavottorðs í tiltekinn tíma að fenginni þeirri niðurstöðu talist málefnaleg, s.s. á meðan viðkomandi einstaklingur getur leitað réttar síns eða farið fram á endurskoðun matsins. Þegar ekkert slíkt á við verður ekki séð að lengur sé ástæða til að varðveita sakavottorð og ætti því þá að vera eytt.

Minnt er að á að veita ber hinum skráðu fræðslu um vinnslu persónuupplýsinga um sig, sbr. kröfu 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um sanngirni við vinnslu persónuupplýsinga, sbr. einnig 20. og 21. gr. laganna. Þá verður við varðveislu að gæta upplýsingaöryggis, sbr. 11. gr. laga nr. 77/2000. Samkvæmt 1. mgr. þeirrar greinar skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Í ljósi þessa verður við varðveislu gagna um hæfismat að gera öryggisráðstafanir sem tryggja m.a. að ekki hafi aðrir aðgang að gögnum en þess þurfa.


Á l i t s o r ð:

Upplýsingar í skrá Creditinfo Lánstrausts hf., sem nýttar eru við hæfismat, má færa til bókar hjá viðkomandi fjármálastofnun. Varðveita má upplýsingarnar, ásamt sakavottorði, svo lengi sem nauðsynlegt er í þágu tilgangsins með öflun þeirra. Gæta ber fullnægjandi öryggis við varðveisluna, en auk þess ber að veita viðeigandi fræðslu um vinnslu upplýsinga úr bæði skrá Creditinfo Lánstrausts hf. og sakavottorði.