Undirritun á kvittun við gjaldeyriskaup

20.1.2012

Úrskurður

Á fundi stjórnar Persónuverndar hinn 17. janúar 2012 var kveðinn upp svohljóðandi úrskurður í máli nr. 2011/846:

I.
Grundvöllur máls
Málavextir og bréfaskipti

1.
Tildrög máls
Þann 2. ágúst 2011 barst Persónuvernd kvörtun frá A (hér eftir nefndur kvartandi) yfir að hafa verið beðinn um undirskrift þegar hann átti gjaldeyrisviðskipti við Arion banka. Í kvörtuninni segir m.a.:

„Ég gerði mér ferð í Arion Banka að Hlemmi nú í dag til að skipta 100 evrum í íslenskar krónur. Fyrst var ég beðinn um kennitölu en með semingi var fallist á að óska ekki eftir kennitölu eftir að ég vísaði í úrskurð Persónuverndar, sem bannar bankanum að óska eftir kennitölu. Þar með var málinu ekki lokið vegna þess að bankinn krafðist þess að ég skrifaði undir kvittun fyrir viðskiptunum. Ég skrifað e-ð óskiljanlegt prjál á blað til að losna frá þessum yfirgangi. Starfsmaður bankans, gjaldkeri, kannaðist vel við nýfallinn úrskurð gegn bankanum en sagði digurbarklega að undirskrift væri ekki sama og kennitala þannig að heyrðist vel yfir allan afgreiðslusalinn.
 
Auðlesin undirskrift er persónugreinanleg eins og kennitala. Tel ég því augljóst að bankinn ætlar ekki að láta segjast þrátt fyrir nýfallinn úrskurð Persónuverndar og heldur áfram að óska eftir persónugreinanlegum upplýsingum - í þessu tilviki undirskrift eftir að hafa gert tilraun til að fá kennitölu gefna upp! [...]“

2.
Bréfaskipti
Með bréfi, dags. 11. október 2011, var Arion banka hf. tilkynnt um kvörtunina og boðið að koma á framfæri andmælum sínum til samræmis við 13. og 14. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi Arion banka hf., dags. 1. nóvember 2011,  segir m.a.:

„Tilgangur þess að láta viðskiptamann kvitta fyrir viðskiptum almennt, er að staðfesta að viðskipti hafi átt sér stað og að staðfesta réttmæti þeirra. Í umræddu tilviki felst því í undirritun viðskiptamanns staðfesting á því að hann hafi fengið rétta vöru fyrir greiðslu sína (þ.e. rétt magn af krónum fyrir evrur, miðað við skiptigengi bankans).

Afgreiðslukerfi bankans prentar út kvittanir fyrir öllum færslum, og gert er ráð fyrir að mótaðili undirriti þær. Hér skiptir ekki máli hvernig viðskipti um er að ræða. Kerfið myndi t.d. einnig prenta út kvittanir fyrir viðskiptavin sem óskar eftir að skipta fimm þúsund króna seðli í tíkalla.

Bankinn varðveitir allar kvittanir, en þær eru flokkaðar eftir tímasetningum og útibúum en ekki samkvæmt persónuupplýsingum. Það er ekki hægt að finna umrædda kvittun með því að leita eftir nafni eða kennitölu.

Að mati Arion banka er því ekki um „vinnslu persónuupplýsinga“ að ræða, og fellur þetta því utan gildissviðs laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000. Sé það mat Persónuverndar, að um vinnslu sé að ræða, og að varðveisla bankans á kvittunum almennt teljist „skrá“, í skilningi laganna, vill bankinn koma fram því sjónarmiði að kvittanir sem þessar teljast ekki „persónugreindar eða persónugreinanlegar upplýsingar“. Í umræddu dæmi eru t.a.m. fimm einstaklingar, skv. Þjóðskrá, sem bera nafnið Jóhann Þorvarðarson, og hefur bankinn ekki nokkra leið til þess að vita hver þeirra átti umrædd viðskipti.

Kvittun kemur í raun einungis til álita ef ágreiningur kæmi upp um umrædd viðskipti, en þá mætti sannreyna undirskriftina. Án slíkrar kvittunar, er ómögulegt að sýna fram á að viðskiptin hefðu átt sér stað yfir höfuð. Þá getur bankinn einnig skoðað kvittanir ef það kemur upp skekkja í sjóðum bankans, til þess að rekja orsök skekkjunnar.

Með vísan til framangreinds er það mat Arion banka að heimilt sé að setja það skilyrði fyrir sérhverjum viðskiptum að viðskiptamaður kvitti fyrir þeim. Þá er það mat Arion banka að slík kvittun er ekki sambærilegt skráningu kennitölu, líkt og fjallað var um í úrskurði Persónuverndar í máli nr. 2011/198.“

Með bréfi, dags. 14. nóvember 2011, var kvartanda boðið að tjá sig um svarbréf Arion banka. Í svarbréfi hans, dags. 16. nóvember 2011, sagði m.a.:

„Almennt má segja að umrætt svar Arion banka er enn eitt merkið um einbeittan brotavilja bankans á lögum um persónuvernd. Það góða við svar bankans er að þar er verkferlum lýst þokkalega eins og í fyrra svarinu og því hægt að benda bankanum aftur á hagræðingarleið. Bankinn situr augljóslega eftir í samanburði við erlenda banka í pappírslausum viðskiptum. Það er lag hjá bankanum að hætta allri þessari prentun kvittana. Þar sem bankinn tekur sem dæmi að prentuð er út kvittun þegar fimm þúsund krónu seðli er skipt í tíkalla þá má benda bankanum á að erlendis, t.d. í Bandaríkjunum, er ekki prentuð út kvittun fyrir þesslags viðskiptum. Björgum trjánum!

Undirskrift er persónugreinanleg, ef ekki af hverju er þá verið að óska eftir undirskrift? Það þarf í raun ekki að hafa fleiri orð um þetta svo borðliggjandi er málið! Það að einstök nöfn eru sjaldgæf eða algeng eru engin rök og hefur ekkert með málið að gera. Allir eru jafnir fyrir lögum um persónuvernd burt séð frá því hvað þeir heita.

Í þessu nýja svari bankans er haldið áfram að halda því fram að nauðsynlegt sé að geta rakið og staðfest viðskipti þrátt fyrir fyrri úrskurði Persónuverndar um ólögmæti þess. Að óska eftir persónugreinanlegum upplýsingum við staðgreiðsluviðskipti þegar fjárhæðir eru undir 1.000 evrum er ekki heimilt, þ.e. bankinn virði úrskurðinn að vettugi.

Annars vísa ég í fyrra svar mitt frá 28. mars 2011. Rökin þar eru gild fyrir allar tegundir af persónugreinanlegum upplýsingum (kennitölu, undirskrift o.s.frv.)“

Vegna tilvísunar kvartanda í bréf sitt, dags. 28. mars 2011, þykir rétt að vitna til þess - en það tengist hins vegar ágreiningi um kennitölur og sérreglu 10. gr. laganna um þær. Í bréfinu segir  m.a.:

„[...] 4. gr. c-liður l. nr. 64/2006 skylda fjármálafyrirtæki til að óska eftir persónugreinanlegum upplýsingum vegna gjaldeyrisviðskipta ef fjárhæðin er 1.000 evrur eða hærri. Þessi lög heimila hvorki né banna að óskað sé eftir þessum upplýsingum ef upphæðin er undir umræddum fjárhæðarmörkum. Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær yfir kvörtunarefni þessa máls. Af svörum Arion að dæma er bankinn þessu ósammála og sýnt það með verklagi sínu um langa hríð. Kemur því til úrskurðar Persónuverndar.
Almennt má segja um svör Arion að þau standast ekki glögga skoðun. Þau bera þess skýr merki að Arion telur sig ekki þurfa að fara að l. nr. 77/2000 enda hefur bankinn ekki átt frumkvæði af því að fá úrskurð frá Persónuvernd varðandi þetta verklag. Til þess hefur hann þó haft mörg ár. Það hefði verið hin rétta atvikaröð ef Arion hefði viljað sýna samfélagslega ábyrgð og ganga fram með góðu fordæmi. Hann kýs frekar að láta reka sig inní réttir eins og villuráfandi sauður, svo ég taki samlíkingu úr sveitinni.
[...]
Þegar viðskiptavinur ákveður staðgreiðsluviðskipti án skráningar á persónugreinanlegum upplýsingum er honum ljóst að e-ð getur misfarist. Það er því á ábyrgð beggja aðila að vanda til verka. Arion getur aukið gæði verkferla í staðgreiðsluviðskiptum á ýmsa vegu án skráningar á persónuupplýsingum og þannig tekið þátt í að standa vörð um lögvarin réttindi einstaklinga um persónuvernd[...].
Við setningu l. nr. 64/2006 og l. nr. 77/2000 var tekið mið af hagsmunum fjölmargra aðila og ekki síst fjármálastofnana. Alþingi leitast ávallt eftir því að kalla eftir umsögnum um lagafrumvörp frá fjölbreyttum hópi hagsmunaaðila. Það er gert svo lög endurspegli þjóðfélagið í heild en ekki þrönga sérhagsmuni, t.d. fjármálafyrirtækja. Óviturlegt er að ætla að önnur vinnubrögð hafi verið viðhöfð við setningu þessara tveggja laga, sem eru samræmd innan EES.
Telji Arion að lögin gangi ekki nógu langt hvað varðar heimildir til skráningu persónugreinanlegra upplýsinga þá er rétti farvegurinn að taka málið upp við Alþingi Íslendinga. [...]
Mat bankans að viðskipti bankans við viðskiptavin teljist ekki til staðgreiðsluviðskipta er rangt. Öllum skilyrðum staðgreiðsluviðskipta er fullnægt þegar verðmæti skipta um hendur, þ.e. gagngjald kemur fyrir vöru, þjónustu eða annað eins og segir í skilgreiningunni hér að ofan. Í kvörtunarefni undirritaðs teljast peningar undir flokkinn annað.
Leyfi frá SÍ [Seðlabanka Íslands] sbr. 8. gr. l. nr. 87/1992 og tengdar reglugerðir (Rgl. 387/2002. Rgl. 1098/2008. Rgl. 950/2010) og lögin almennt fjalla ekkert um hugtakið staðgreiðsluviðskipti.
Viðskipti eru talin staðgreiðsluviðskipti ef peningagreiðsla á sér stað við afhendingu vöru eða þjónustu, þ.e. gagngjald. Að öðrum kosti er um lánsviðskipti/greiðslufrest að ræða eða fjársvik sbr. BA ritgerð til BA prófs í lögfræði: Skilyrði 248. gr. alm. hgl. og meginflokkar fjársvika - BA ritgerð til BA prófs í lögfræði við HÍ - eftir Elisabeth Patriarca.
Það að starfsemi sé leyfisbundin breytir ekki eðli staðgreiðsluviðskipta. [...]. Það verður ekki komið í veg fyrir [misfellur] með skráningu á persónugreinanlegum upplýsingum heldur með breytingu á verkferlum. Hér er fyrst og fremst um gæðavandamál að ræða, sem ekki verður lagað með því að vega að lögvörðum réttindum um persónuvernd. [...]
Undirritaður hefur hrakið öll rök Arion hér að ofan og hefur engu við það að bæta. Óskað er eftir að Persónuvernd úrskurði í þessu máli við fyrsta hentuga tækifæri. Að öðru leyti sendist þetta til þóknanlegrar meðferðar.“

II.
Forsendur og niðurstaða

1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga svo og til handunninnar meðferðar ef persónuupplýsingarnar eru eða eiga að verða hluti af skrá.

Ábyrgðaraðili hefur vísað til þess að ekki sé um vinnslu persónuupplýsinga að ræða en að mati kvartanda er undirskrift persónugreinanleg. Af því tilefni þarf í fyrsta lagi að taka afstöðu til þess hvort um sé að ræða persónuupplýsingar í skilningi laga nr. 77/2000. Hugtakið persónuupplýsingar er skilgreint í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Orðið sérhverjar vísar til þess að hugtakið eigi að skýrast rúmt. Með hliðsjón af 26. lið formálsorða tilskipunar 95/46/EB verður þó aðeins tekið mið af þeim aðferðum sem eðlilegt er að hugsa sér að ábyrgðaraðili, eða annar aðili, beiti til að rekja upplýsingar til hins skráða og má ekki vera mjög ósennilegt eða langsótt að til þess geti komið. Af bréfi Arion banka má ráða að upplýsingar á kvittunum kunni að verða tengdar við hinn skráða rísi ágreiningur um umrædd viðskipti. Er því er ekki ósennilegt að slíkar upplýsingar verði raktar til tiltekinna einstaklinga og teljast þær því til persónuupplýsinga sem falla undir gildissvið laga nr. 77/2000.

Í öðru lagi þarf að taka afstöðu til þess hvort um sé að ræða vinnslu sem falli undir gildissvið laga nr. 77/2000.  Hugtakið „vinnsla“ er í lögunum skilgreint svo: „Sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn“, sbr. 2. tölul. 1. gr. laganna. Samkvæmt 1. mgr. 3. gr. laganna gilda þau um sérhverja rafræna vinnslu persónuupplýsinga. Til að vinnsla teljist rafræn er nóg að einhver þáttur hennar sé rafrænn. Í máli þessu er óumdeilt að umræddar kvittanir eru prentaðar út úr rafrænu afgreiðslukerfi bankans þótt viðskiptavinir skrifi á þær eigin hendi. Samkvæmt því er gerð þeirra að hluta til rafræn og fellur vinnslan því undir lög nr. 77/2000.

Af framangreindu er ljóst að um er að ræða vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 77/2000 og þar með valdsvið Persónuverndar, sbr. 37. gr. laganna.

2.
Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í 7. tölul. þeirrar greinar er ákvæði um vinnslu sem er nauðsynleg til að ábyrgðaraðili, eða þriðji maður, eða aðili sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber lögum samkvæmt, vegi þyngra.

Af hálfu bankans hefur verið bent á að kvittanir séu nauðsynlegar til leysa úr ágreiningsmálum um tiltekin viðskipti og að án slíkra kvittana sé ómögulegt að sýna fram á að viðskipti hafi átt sér stað yfir höfuð. Auk þess geti bankinn þurft að skoða kvittanir komi upp skekkja í sjóðum bankans, til þess að rekja orsök skekkjunnar. Að mati Persónuverndar telst hér vera um að ræða lögmæta hagsmuni í skilningi ákvæðis 7. töluliðar. Hins vegar er það skilyrði að grundvallarréttindi og frelsi hins skráða vegi ekki þyngra en þessir hagsmunir. Við mat á því hvort svo sé þarf að líta til þess með hvaða aðferð vinnsla persónuupplýsinganna fer fram hjá ábyrgðaraðila, Arion banka. Hann hefur lýst því svo að hann varðveiti allar kvittanir en flokki þær ekki eftir persónuauðkennum sem vísi til hinna skráðu - heldur aðeins eftir tímasetningum og útibúum. Því sé t.d. ekki hægt að finna tilteknar kvittanir með því að leita eftir nafni eða kennitölu.

Með allt framangreint í huga er það mat Persónuverndar að umrædd vinnsla geti grundvallast á 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þá telst tilgangur vinnslunnar vera málefnalegur og að öðru leyti í samræmi við 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Verður því ekki á það fallist að vinnslan fari í bága við ákvæði laga nr. 77/2000.


Ú r s k u r ð a r o r ð:

Arion banka hf. var, hinn 2. ágúst 2011, heimilt að fá undirritun A á kvittun þegar hann fékk 100 evrum skipt í íslenskar krónur.