Skráning kennitölu hjá banka við sölu á gjaldeyri

21.7.2011

Úrskurður

Hinn 22. júní 2011 kvað stjórn upp Persónuverndar svohljóðandi úrskurð í máli nr. 2011/198:

I.
Efni máls.
Málavextir og bréfaskipti

1.
Kvörtun til Persónuverndar
Mál þetta lýtur að kvörtun J yfir því að kennitala hans hafi verið skráð við sölu á 60 evrum í Arion banka. Í kvörtun hans, sem barst Persónuvernd hinn 9. febrúar 2011, segir m.a.:

„[...] Undirritaður gerði sér ferð í útibú Arion banka við Hlemm (útibú nr. 303) 8. febrúar síðastliðinn til að skipta fáeinum evrum (lægri fjárhæð en 1.000 evrur) í krónur.  Viðkomandi gjaldkeri óskaði eftir kennitölu. Þegar gjaldkeranum var bent á að bankanum væri óheimilt að óska eftir kennitölu ef fjárhæðin væri lægri en 1.000 evrur var bent á að tala við útibússtjórann, sem ekki var við. Náði ég tali af aðstoðarútibústjóra, S. Hann sagðist vel kunnugt um nýlegan úrskurð Persónuverndar í máli Landsbankans en vildi hringja eitt símtal áður en hann svaraði mér endanlega. Eftir þetta símtal tjáði hann mér að Arion banki ætlaði að fara að tilmælum FME, nr. 2/2008, og virða að vettugi úrskurð Persónuverndar. Þessi tilmæli byggja á lögum 64/2006 með síðari breytingum. Ekki dugar að benda bankanum á ofangreinda úrskurði Persónuverndar og að umrædd lög kveða skýrt á um fjárhæðarmörkin 1.000 evrur.

Undirritaður getur ekki séð að FME hafi lagaheimild til að krefja fjármálastofnanir um að óska eftir kennitölum eða öðrum persónuauðkennum til skráningar þegar fjárhæðin er lægri en 1.000 evrur sbr. 4. gr. laga 64/2006. Eftir því er óskað að Persónuvernd taki mál þetta fyrir og knýi á um með sínum ráðum að Arion banki fari að lögum þessa lands í þessu máli.“

Með tölvubréfi, dags. 9. júní 2011, óskaði Persónuvernd eftir nánari upplýsingum frá kvartanda um fjárhæð þeirra gjaldeyrisviðskipta sem um ræðir í málinu, n.t.t. hver margar evrur kvartandi hugðist selja fyrir íslenskar krónur í umrætt sinn. Liggur fyrir að um var að ræða sölu á 60 evrum.

2.
Sjónarmið Arion banka
Með bréfi, dags. 22. febrúar 2011, var Arion banka tilkynnt um kvörtunina og boðið að koma á framfæri andmælum sínum til samræmis við 13. og 14. gr. stjórnsýslulaga nr. 37/1993 með vísan til ákvæði 10. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og c-liðar 4. gr. laga nr. 64/2006, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.

Svarbréf barst með bréfi dags. 16. mars 2011. Þar segir m.a.:

„Arion óskar eftir kennitölu þegar bankinn veitir þjónustu ef viðskiptin yrðu að öðrum kosti nafnlaus. Sú tilhögun tryggir að bankinn geti rakið viðskipti sem eiga sér stað í bankanum.
Að mati Arion er rekjanleiki viðskipta ekki eingöngu í þágu bankans, stjórnvalda eða lögreglu heldur ekki hvað síst í þágu viðskiptavina. Ástæðan er sú að jafnvel þótt starfsmenn bankans leitist ávallt við að inna störf sín vel af hendi koma upp tilvik þar sem eitthvað misferst.
Dæmi um þekktar tegundir mistaka er þegar gjaldkeri velur rangan gjaldmiðil þegar verið er að skipta einum gjaldmiðli fyrir annan. Afleiðingin er sú að viðskiptavinurinn fær ekki rétta fjárhæð í hendurnar heldur ýmist of háa eða lága. Önnur þekkt tegund mistaka er þegar viðskiptavinur kemur í útibú til að greiða nokkra gíróseðla. Allir seðlarnir eru stimplaðir greiddir, en fyrir mistök ferst greiðslan fyrir á einum eða fleiri seðlum.
Mistök af þessu tagi vill bankinn gjarnan geta leiðrétt. Viðskiptavinir gera einnig mjög ríkar kröfur til þjónustu bankans og réttleika þeirra viðskipta sem bankinn hefur milligöngu um. Ef bankinn hefur engar upplýsingar um þann aðila sem þjónustan var veitt á bankinn hins vegar ekki möguleika á að bæta hans hlut.
[...]
Í bankaviðskiptum geta einstök viðskipti numið háum fjárhæðum. Að mati Arion eykst mikilvægi rekjanleika eftir því sem umfang fjárhagslegra hagsmuna eykst. Sömuleiðis ítrekar Arion þær ríku almennu kröfur sem viðskiptavinir, eftirlitsaðilar, stjórnvöld, lögregla og almenningur gera til áreiðanleika þjónustu bankans. Í því samhengi er nánast óhugsandi að bankinn stundi nafnlaus viðskipti sem varða tugi- eða hundruð þúsunda króna.
[...]
Því hefur verið haldið fram að þegar viðskiptavinur kemur í banka og hyggst skipta einum gjaldmiðli fyrir annan eða greiða reikninga, að þá sé um hefðbundin staðgreiðsluviðskipti að ræða. Að mati Arion banka geta samskipti bankans við viðskiptavini sína hins vegar ekki talist til hefðbundinna staðgreiðsluviðskipta. Starfsemi viðskiptabanka, eins og Arion, er starfsleyfisskyld starfsemi sem lýtur opinberu eftirliti Fjármálaeftirlitsins, sbr. l. nr. 161/2002 um fjármálafyrirtæki og l. nr. 87/1998 um opinbert eftirlit með fjármálastarfsemi.
Ef eingöngu er litið til starfsemi sem gengur út á að skipta einum gjaldmiðli fyrir annan, þá er milliganga um gjaldeyrisviðskipti og verslun með erlendan gjaldeyri heldur ekki hefðbundin staðgreiðsluviðskipti, enda háð leyfi frá Seðlabanka Íslands sbr. 8. gr. l.nr. 87/1992 um gjaldeyrismál og skráningarskyld hjá Fjármálaeftirlitinu, sbr. 25. gr. a. l. nr. 64/2006.
Að lokum:  Í ljósi alls framanritaðs telur Arion að kennitöluskráning bankans sé framkvæmd í málefnalegum tilgangi til að tryggja örugga persónugreiningu og uppfylli þar af leiðandi skilyrði 10. gr. l. nr. 77/2000.“

3.
Athugasemdir kvartanda við svör Arion
Kvartanda var gefinn kostur á að tjá sig um svar Arion banka. Svarbréf hans er dags. 28. mars 2011. Þar segir m.a.:

„[...] 4. gr. c-liður l. nr. 64/2006 skylda fjármálafyrirtæki til að óska eftir persónugreinanlegum upplýsingum vegna gjaldeyrisviðskipta ef fjárhæðin er 1.000 evrur eða hærri. Þessi lög heimila hvorki né banna að óskað sé eftir þessum upplýsingum ef upphæðin er undir umræddum fjárhæðarmörkum. Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær yfir kvörtunarefni þessa máls. Af svörum Arion að dæma er bankinn þessu ósammála og sýnt það með verklagi sínu um langa hríð. Kemur því til úrskurðar Persónuverndar.
Almennt má segja um svör Arion að þau standast ekki glögga skoðun. Þau bera þess skýr merki að Arion telur sig ekki þurfa að fara að l. nr. 77/2000 enda hefur bankinn ekki átt frumkvæði af því að fá úrskurð frá Persónuvernd varðandi þetta verklag. Til þess hefur hann þó haft mörg ár. Það hefði verið hin rétta atvikaröð ef Arion hefði viljað sýna samfélagslega ábyrgð og ganga fram með góðu fordæmi. Hann kýs frekar að láta reka sig inní réttir eins og villuráfandi sauður, svo ég taki samlíkingu úr sveitinni.
[...]
Þegar viðskiptavinur ákveður staðgreiðsluviðskipti án skráningar á persónugreinanlegum upplýsingum er honum ljóst að e-ð getur misfarist. Það er því á ábyrgð beggja aðila að vanda til verka. Arion getur aukið gæði verkferla í staðgreiðsluviðskiptum á ýmsa vegu án skráningar á persónuupplýsingum og þannig tekið þátt í að standa vörð um lögvarin réttindi einstaklinga um persónuvernd[...].
Við setningu l. nr. 64/2006 og l. nr. 77/2000 var tekið mið af hagsmunum fjölmargra aðila og ekki síst fjármálastofnana. Alþingi leitast ávallt eftir því að kalla eftir umsögnum um lagafrumvörp frá fjölbreyttum hópi hagsmunaaðila. Það er gert svo lög endurspegli þjóðfélagið í heild en ekki þrönga sérhagsmuni, t.d. fjármálafyrirtækja. Óviturlegt er að ætla að önnur vinnubrögð hafi verið viðhöfð við setningu þessara tveggja laga, sem eru samræmd innan EES.

Telji Arion að lögin gangi ekki nógu langt hvað varðar heimildir til skráningu persónugreinanlegra upplýsinga þá er rétti farvegurinn að taka málið upp við Alþingi Íslendinga. [...]
Mat bankans að viðskipti bankans við viðskitpavin teljist ekki til staðgreiðsluviðskipta er rangt. Öllum skilyrðum staðgreiðsluviðskipta er fullnægt þegar verðmæti skipta um hendur, þ.e. gagngjald kemur fyrir vöru, þjónustu eða annað eins og segir í skilgreiningunni hér að pfan. Í kvörtunarefni undirritaðs teljast peningar undir flokkinn annað.
Leyfi frá SÍ [Seðlabanka Íslands] sbr. 8. gr. l. nr. 87/1992 og tengdar reglugerðir (Rgl. 387/2002. Rgl. 1098/2008. Rgl. 950/2010) og lögin almennt fjalla ekkert um hugtakið staðgreiðsluviðskipti.
Viðskipti eru talin staðgreiðsluviðskipti ef peningagreiðsla á sér stað við afhendingu vöru eða þjónustu, þ.e. gagngjald. Að öðrum kosti er um lánsviðskipti/greiðslufrest að ræða eða fjársvik sbr. BA ritgerð til BA prófs í lögfræði: Skilyrði 248. gr. alm. hgl. og meginflokkar fjársvika - BA ritgerð til BA prófs í lögfræði við HÍ - eftir E.

Það að starfsemi sé leyfisbundin breytir ekki eðli staðgreiðsluviðskipta. [...]. Það verður ekki komið í veg fyrir [misfellur] með skráningu á persónugreinanlegum upplýsingum heldur með breytingu á verkferlum. Hér er fyrst og fremst um gæðavandamál að ræða, sem ekki verður lagað með því að vega að lögvörðum réttindum um persónuvernd. [...]

Undirritaður hefur hrakið öll rök Arion hér að ofan og hefur engu við það að bæta. Óskað er eftir að Persónuvernd úrskurði í þessu máli við fyrsta hentuga tækifæri. Að öðru leyti sendist þetta til þóknanlegrar meðferðar.“

II.
Forsendur og niðurstaða Persónuverndar

1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Skráning á kennitölum manna felur í sér vinnslu persónuupplýsinga í þessum skilningi og fellur mál þetta því undir valdsvið Persónuverndar, sbr. 37. gr. laga nr. 77/2000.

Um það álitaefni, sem mál þetta lýtur að, hefur þegar verið fjallað af hálfu Persónuverndar. Vísast til úrskurðar Persónuverndar, dags. 23. febrúar 2009 (mál nr. 2008/780). Í honum voru ákvæði laga nr. 64/2006 túlkuð vegna kvörtunar yfir kröfu um kennitölu við greiðslu nokkurra gíróseðla. Til frekar skýringar má og vísa til álits Persónuverndar, dags. 13. mars 2006 (mál 2005/263), af tilefni kvörtunar manns yfir því að hafa ekki getað keypt gjaldeyri án þess að gefa upp kennitölu sína í KB-banka.

2.
Lögmæti vinnslunnar
Svo að vinnsla persónuupplýsinga, þ. á m. kennitalna, sé heimil þarf hún að fullnægja einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.  Þar kemur í fyrsta lagi til álita að hinn skráði hafi ótvírætt samþykkt vinnsluna sbr. 1. tölul. 1. mgr. 8. gr. Af atvikum máls þessa má ráða að þetta ákvæði á ekki við.

 Í öðru lagi er í 2. tölulið 1. mgr. 8. gr. það ákvæði að vinnsla sé heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Hér undir fellur vinnsla persónuupplýsinga um hinn skráða sem er nauðsynleg til að efna samning við hann, s.s. til að vita hverjum á að afhenda pantaða vöru. Það liggur í hlutarins eðli að sé um staðgreiðsluviðskipti að ræða á þetta skilyrði ekki við nema alveg sérstaklega standi á og fyrir liggi að af einhverjum ástæðum verði slík viðskipti ekki efnd nema kennitala sé skráð. Af hálfu Arion banka hefur því verið haldið  fram að samskipti bankans við viðskiptavini sína geti ekki talist til hefðbundinna staðgreiðsluviðskipta, enda sé starfsemi bankans starfsleyfisskyld og lúti opinberu eftirliti Fjármálaeftirlitsins. Þá sé milliganga um gjaldeyrisviðskipti og verslun með erlendan gjaldeyri háð leyfi frá Seðlabanka Íslands og skráningarskyld hjá Fjármálaeftirlitinu. Að mati Persónuverndar leiða þessi sjónarmið ekki til þeirrar niðurstöðu að um sé að ræða vinnslu er studd verði við ákvæði  2. töluliðar 1. mgr. 8. gr. laga nr. 77/2000.

Í þriðja lagi er í 3. tölul. 1. mgr. 8. gr. ákvæði um vinnslu sem er heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Hér ber að líta til laga nr. 64/2006 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Þar er að finna fyrirmæli löggjafans um hvenær og hvernig skuli gera svonefnda áreiðanleikakönnun - en með því er átt við að viðskiptamaður skuli sanni á sér deili. Í 4. gr. þeirra er rakið hvenær gera skal slíka könnun. Þar segir, með áorðnum breytingum:

„Tilkynningarskyldir aðilar samkvæmt lögum þessum skulu kanna áreiðanleika viðskiptamanna sinna í samræmi við ákvæði þessa kafla í eftirfarandi tilvikum:
a. Við upphaf viðvarandi samningssambands.
b. Vegna einstakra viðskipta að fjárhæð 15.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni, hvort sem viðskiptin fara fram í einni færslu eða fleirum sem virðast tengjast hver annarri.
c. Vegna gjaldeyrisviðskipta að fjárhæð 1.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni, hvort sem viðskiptin fara fram í einni færslu eða fleirum sem virðast tengjast hver annarri.
d. Þegar grunur leikur á um peningaþvætti eða fjármögnun hryðjuverka, án tillits til undanþágna eða takmarkana af neinu tagi.
e. Þegar vafi leikur á því að fyrirliggjandi upplýsingar um viðskiptamann séu réttar eða nægilega áreiðanlegar. “

Ekki hefur komið fram af hálfu ábyrgðaraðila að nokkuð framangreindra skilyrða 4. gr. laga nr. 64/2006 hafi verið uppfyllt. Þá liggur ekki fyrir að nauðsynlegt hafi verið, vegna ákvæða í öðrum lögum, að skrá kennitölu kvartanda í umrætt sinn við sölu á 60 evrum. Verður því ekki séð að vinnslan hafi samrýmst 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000.

Í 7. tölulið 1. mgr. 8. gr. laga nr. 77/2000 segir að heimil sé vinnsla sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Í þessu felst að meta skal þá hagsmuni sem vegast á. Bæði þarf að líta til réttinda og frelsis hins skráða og lögmætra hagsmuna annarra af því að vinnslan fari fram. Af hálfu ábyrgðaraðila, Arion banka hf., hefur komið fram að bankinn skrái kennitölur því viðskipti yrðu að öðrum kosti nafnlaus en hann þurfi að geta rakið viðskipti sem eiga sér stað í honum. Þótt starfsmenn bankans leitist við að inna störf sín vel af hendi komi upp mistök sem bankinn vilji geta leiðrétt. Þá þurfi bankinn að geta uppfyllt þær ríku almennu kröfur sem viðskiptavinir, eftirlitsaðilar, stjórnvöld, lögregla og almenningur geri til áreiðanleika þjónustu bankans. Að mati Persónuverndar er hér um að ræða lögmæta hagsmuni í skilningi 7. tölulið 1. mgr. 8. gr. Bankinn hefur hins vegar ekki sýnt hvernig þeir vegi þyngra en hagsmunir hins skráða. Þá hagga þau atriði sem bankinn bendir á ekki því að fyrir liggur skýr ákvörðun löggjafans sem fram kemur í framangreindri 4. gr. laga nr.  nr. 64/2006. Hún er sú að við slík gjaldeyrisviðskipti sem hér um ræðir skuli miða við það hvort fjárhæð sé 1.000 evrur eða hærri miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni, hvort sem viðskiptin fara fram í einni færslu eða fleirum sem virðast tengjast hver annarri. Einungis löggjafinn sjálfur getur breytt þessari reglu en hvorki bankinn né einstök stjórnvöld.

Samkvæmt framangreindu verður hvorki séð að skráning á kennitölu kvartanda hafi samrýmst 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 né öðrum lagaákvæðum. Var hún því óheimil.

Til að forðast misskilning skal áréttað að ekki eru gerðar athugasemdir við að fjármálastofnanir viðhafi nauðsynlegar varúðarráðstafanir til að tryggja áreiðanleika vinnslu eða girða fyrir peningaþvætti og fjármögnun hryðjuverka. Við mótun slíkra ráðstafana verður hins vegar að fara að settum lögum og gæta meðalhófs þannig að ekki fari fram ónauðsynlegt eftirlit með einstaklingum, þ. á m. þegar um er að ræða smávægileg viðskipti sem hverfandi líkur – ef einhverjar – eru á að tengist slíkri starfsemi.

3.
Stöðvun vinnslu

Í 40. gr. laga nr. 77/2000 kemur fram að Persónuvernd getur mælt fyrir um stöðvun vinnslu persónuupplýsinga, þar á meðal söfnunar, skráningar eða miðlunar, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Þá segir í 1. mgr. 41. gr. að sé ekki farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. geti hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að hennar mati. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt.

Í 42. gr. laganna kemur fram að brot á ákvæðum þeirra og reglugerða settra samkvæmt þeim varða fésektum eða fangelsi allt að þremur árum nema þyngri refsing liggi við samkvæmt öðrum lögum. Sama refsing liggur við ef ekki er farið að fyrirmælum Persónuverndar. Ef brot er framið í starfsemi lögaðila má gera lögaðilanum fésekt skv. II. kafla A almennra hegningarlaga.

Með vísun til framangreinds hefur Persónuvernd ákveðið að leggja fyrir Arion banka hf. að láta þegar af þeirri vinnslu með persónuupplýsingar sem að samkvæmt framangreindu fer í bága við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Skal bankinn eigi síðar en 1. ágúst nk. hafa tilkynnt Persónuvernd um með hvaða hætti hann hyggst gera það.


Ú r s k u r ð a r o r ð:

Arion banka hf. var óheimilt að skrá kennitölu J þegar hann seldi gjaldeyri að fjárhæð 60 evrur í útibúi bankans við Hlemm 8. febrúar 2011. Fyrir 1. ágúst nk. skal Arion banki hf. hafa stöðvað slíka vinnslu persónuupplýsinga sem mál þetta lýtur að.