Leiðbeinandi tilmæli FME nr. 3/2010
Persónuvernd hefur svarað fyrirspurn fjármálafyrirtækis um hvort vinnsla fjármálafyrirtækja með upplýsingar um fjárhagsmálefni starfsmanna - sem fram fer samkvæmt tilmælum FME - samræmist lögum um persónuvernd. Þá var spurt hvort starfsmenn gætu neitað að afhenda upplýsingarnar.
Efni:
Svör við fyrirspurn varðandi vinnslu persónuupplýsinga um lykilstarfsmenn í fjármálafyrirtækjum.
I.
Fyrirspurn
Persónuvernd vísar til bréfs yðar, dags. 4. maí 2011, varðandi vinnslu persónuupplýsinga í ljósi tilmæla Fjármálaeftirlitsins um hæfi lykilstarfsmanna nr. 3/2010. Í bréfi yðar kemur m.a. fram að:
„Fjármálafyrirtæki með viðskiptabankaleyfi hefur falið X lögmannsstofu hf. að senda kvörtun til Persónuverndar vegna leiðbeinandi tilmæla Fjármálaeftirlitsins (Hér eftir „FME“) um hæfi lykilstarfsmanna nr. 3/2010. Umbjóðandi minn kýs að koma ekki fram undir nafni en fer fram á að Persónuvernd meti, í ljósi eftirfarandi umfjöllunar, hvort forsendur séu til að hefja frumkvæðisrannsókn á lögmæti tilmælanna með vísan til 3. mgr. 37. gr. persónuverndarlaga nr. 77/2000 („pvl.“).
[...]
Umbjóðandi minn óskar þess að Persónuvernd taki það til skoðunar hvort fyrirhuguð vinnsla fjármálafyrirtækjanna á viðkvæmum persónuuppýsingum og upplýsingum um fjárhagsmálefni starfsmanna þeirra samræmist II. kafla pvl. Þá er óskað álits Persónuverndar á því hvort starfsmenn fjármálafyrirtækja, sem falla undir tilmæli FME, geti neitað að afhenda fjármálafyrirtækjum persónuupplýsingar um sjálfa sig en umbjóðandi minn dregur í efa að tilmælin hafi lagastoð, líkt og bent er á í erindi til Umboðsmanns Alþingis [...]
Umbjóðandi minn telur að tilmæli FME hafi ekki lagastoð þar sem hvergi í lögum er fjallað um hæfi lykilstarfsmanna. Um frekari rökstuðning vísast til bréfs umbjóðanda míns til Umboðsmanns Alþingis“
Stjórn Persónuverndar ræddi málið á fundi sínum í dag, þann 22. júní 2011. Með vísan til framangreinds vill hún koma eftirfarandi á framfæri.
II.
Svar
1.
Um lögmæti vinnslu og tilmæli FME nr. 3/2010
Í bréfi yðar er spurt hvort fyrirhuguð vinnsla fjármálafyrirtækjanna á viðkvæmum persónuuppýsingum og upplýsingum um fjárhagsmálefni starfsmanna þeirra samræmist II. kafla laga nr. 77/2000. Minnt er á að það er skylda og hlutverk ábyrgðaraðilra sjálfra, hér viðkomandi fjármálafyrirtækja, að meta og taka afstöðu til þess hvort þau hafi að lögum heimild til sérhverrar vinnslu persónuupplýsinga á sínum vegum.
Til leiðsagnar er bent á að öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af heimildarákvæðum 1. mgr. 8. gr. Ef um viðkvæmar persónuupplýsingar er að ræða þarf einnig að uppfylla eitthvert af skilyrðunum í 1. mgr. 9. gr. laganna. Það hvaða upplýsingar eru viðkvæmar er skýrt í 8. tölul 2. gr. laganna. Auk þess þarf öll vinnsla að samrýmast meginreglunum í 7. gr.
Almennt gæti slík vinnsla sem hér um ræðir stuðst við samþykki hins skráða, sbr. 1. tölulið 1. mgr. 8. gr. - að uppfylltum skilyrðum 7. gr. Þá getur vinnsla persónuupplýsinga verið nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölulið 1. mgr. 8. gr. Það hvort svo sé ræðst m.a. af því hvort umrædd tilmæli FME hafi aðeins að geyma almenna leiðsögn eða hvort um stjórnvaldsfyrirmæli sé að ræða. Um það atriði telur Persónuvernd eðlilegt að þér leitið svara FME.
Vegna óskar um að Persónuvernd geri frumkvæðisrannsókn á lögmæti tilmæla FME, og athugasemdar um að tilmælin hafi ekki lagastoð, er bent á að það er hlutverk dómstóla og eftir atvikum umboðsmanns Alþingis að leysa úr ágreiningsefnum um lögmæti reglugerða og annarra stjórnvaldsfyrirmæla.
2.
Um heimild hins skráða til að segja nei við
vinnslu persónuupplýsinga um sjálfan sig
Í bréfi yðar er einnig spurt hvort hinn skráði geti neitað að afhenda ábyrgðaraðila (hér tilt. fjármálafyrirtæki) persónuupplýsingar um sjálfa sig. Almenna svarið er já. Það er meginreglan að maður geti sagt nei við vinnslu persónuupplýsinga um sig, nema lög mæli fyrir um annað. Að sama skapi gera lögin ráð fyrir því að vinnsla sé heimil samþykki hinn skráði hana, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Samþykki til vinnslu persónuupplýsinga þarf hins vegar að uppfylla ýmis skilyrði, m.a. verður það að vera frjálst og óþvingað. Hafi hinn skráði veitt samþykki vegna þess að honum hefur þótt hann vera nauðbeygður til þess, s.s. vegna þess að hann myndi að öðrum kosti geta misst vinnuna, gæti niðurstaðan orðið sú að samþykki hans hafi verið ógilt. Niðurstaðan ræðst af mati á aðstæðum hverju sinni.
Berist Persónuvernd kvartanir tekur hún þær til efnislegrar meðferðar eftir því sem efni standa til. Lúti ágreiningur að því hvort samþykki hafi í raun staðið til vinnslu þarf að skoða aðstæður í tilviki kvartanda. Almennt hvílir sönnunarbyrði um að samþykki til vinnslu persónuupplýsinga liggi fyrir á hlutaðeigandi ábyrgðaraðila (fjármálafyrirtæki). Haldi hinn skráði því hins vegar fram að hann hafi verið beittur einhvers konar nauðung til að samþykkja vinnslu persónuupplýsinga um sig ber hann almennt sönnunarbyrði um það atriði.