Skuldbindingarskrá fjármálafyrirtækja

12.1.2012

I.
Fyrirspurn Fjármálaeftirlitsins

Persónuvernd vísar til bréfs FME, dags. 10. nóvember 2011, um skuldbindingaskrá, skv. ákvæði 17. gr. a laga nr. 161/2002 um fjármálafyrirtæki. Í erindinu segir m.a. eftirfarandi:

„Fjármálafyrirtæki skulu senda Fjármálaeftirlitinu uppfærða [skuldbindingaskrá] miðað við hver mánaðamót. Tilgangur umræddrar upplýsingasöfnunar er að fylgjast með áhættuskuldbindingum stórra mótaðila innan íslenska fjármálakerfisins þvert á fjármálafyrirtæki. Í skránni er m.a. haldið utan um útlán, verðbréfaeign og afleiður.[...] Fjármálaeftirlitið hefur litið svo á að umrædd vinnsla sé ekki tilkynningarskyld eða leyfisskyld hjá Persónuvernd þar sem hún er nauðsynleg til efnda á lagaskyldu, sbr. 3. tölul. 6. gr. reglna um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga nr. 712/2008. Þrátt fyrir framangreint óskar Fjármálaeftirlitið eftir afstöðu Persónuverndar um það hvort umrædd vinnsla sé tilkynningarskyld eða leyfisskyld hjá Persónuvernd. Jafnframt óskar Fjármálaeftirlitið eftir ábendingum frá Persónuvernd um það hvort skráin samræmist lögum um persónuvernd og meðferð persónuupplýsinga nr. 77/2000, ef tilefni er til.“

Þá segir jafnframt í erindi yðar:

„Fjármálaeftirlitið mun deila ákveðnum upplýsingum úr skránni til Seðlabankans í samræmi við 15. gr. laga um opinbert eftirlit með fjármálastarfsemi nr. 87/1998 og samstarfssamning sömu aðila frá 6. janúar 2011 [...]. Seðlabankinn mun ekki fá sundurgreinanleg gögn niður á fjármálafyrirtæki eða einstaka mótaðila.“

II.
Svar Persónuverndar

Fjármálaeftirlitið hefur óskað eftir ábendingum frá Persónuvernd um það hvort tiltekin vinnsla tengd skulbindingarskrá samræmist lögum um persónuvernd og meðferð persónuupplýsinga nr. 77/2000. Af því tilefni bendir Persónuvernd á að bæði þarf að skoða hvort Fjármálaeftirlitið hafi að lögum heimild til safna persónuupplýsingum á umrædda skrá og til að miðla þeim til Seðlabankans eða annarra.
Þá er spurt hvort umrædd vinnsla sé tilkynningarskyld. Af því tilefni er bent á að að því marki sem aðeins er unnið með almennar persónuupplýsingar, og vinnslan er nauðsynleg til efnda á lagaskyldu, þá er hún ekki tilkynningarskyld. Ef hins vegar er að einhverju leyti unnið með viðkvæmar persónuupplýsingar (sbr. b-lið 8. tölul. 2. gr. laga nr. 77/2000) þá þarf að tilkynna vinnsluna í samræmi við 5. gr. reglna nr. 712/2008, nema vinnslan sé leyfisskyld.
Í bréfinu er einnig spurt um leyfisskyldu. Í 33. gr. laga nr. 77/2000 segir að Persónuvernd geti ákveðið að vinnsla megi ekki hefjast fyrr en hún hefur verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar. Persónuvernd hefur,  með stoð í framangreindu ákvæði, sett reglur nr. 712/2008. Í 1. mgr. 4. gr þeirra er talin upp sú vinnsla sem Persónuvernd hefur ákveðið að sé háð leyfi. Í 2. mgr. segir hins vegar að sú vinnsla sé ekki leyfisskyld sem byggi á fyrirmælum laga.
Bent er á að fræðsluskylda ábyrgðaraðila, samkvæmt 21. gr. laga nr. 77/2000, er ekki til staðar ef lagaheimild stendur til skráningar eða miðlunar upplýsinga,  sbr. 3. tölul. 4. mgr. 21. gr.
Framangreint svar er veitt í ljósi hlutverks Persónuverndar samkvæmt 5. og 6. tölul. 3. mgr. 37. gr. Það er almennt og felur ekki í sér efnislega afstöðu Persónuverndar til lögmætis vinnslu skuldbindingarskráar.