Beiðni um endurupptöku 2005/510
Efni: Niðurstaða Persónuverndar um beiðni Kreditkorts hf. um endurskoðun tiltekinna fyrirmæla í ákvörðun, dags. 4. júlí 2005, um varðveislu persónuupplýsinga hjá félaginu.
I.
Beiðni um endurupptöku og rökstuðningur
Persónuvernd vísar til fyrri samskipta við Kreditkort hf. vegna niðurstöðu úttektar á öryggi persónuupplýsinga hjá félaginu, dags. 4. júlí sl. (mál nr. 2003/169). Með bréfi, dags. 7. september sl., var óskað eftir endurskoðun Persónuverndar á þeim hluta niðurstöðunnar sem snýr að varðveislutíma persónuupplýsinga og lagt til að félaginu verði heimilað að geyma persónugreinanleg gögn í þrjú ár til viðbótar á segulmiðli í eldtraustum og læstum geymslum, í því skyni að sinna upplýsingaskyldu félagsins við stjórnvöld og eigin þörfum vegna afskrifaðra lána.
Þau fyrirmæli sem óskað er að tekin verði til endurskoðunar eru svohljóðandi:
Í bréfi Kreditkorts hf., dags. 7. september sl., er ósk um endurskoðun rökstudd með eftirfarandi hætti:
Kreditkort hf. hefur fjölþættar upplýsingaskyldur, einkum við stjórnvöld. Má þar nefna rannsóknaraðila á borð við ríkislögreglustjóra og skattrannsóknarstjóra. Þá hefur félagið skyldur til að vakta og upplýsa um peningaþvætti. Þessar skyldur eru án tímatakmarkana og kemur til álita að túlka það þannig að það auki við skyldur félagsins umfram lágmark.
Eðli málsins samkvæmt er jafnan um að ræða ,,persónugreinanlegar" upplýsingar í saka- og skattamálum. Þessar upplýsingaskyldur kveða ekki á um varðveislutíma gagna en ljóst er að alvarlegustu sakamál fyrnast seint eða ekki. Þykir stjórnendum félagsins rétt að hafa víðara sjónarhorn í þessum efnum en það sem bókhalds- og skattalög ein ákveða sem lágmark varðveislutímans. Þá er á það að líta að félagið sjálft þarf að varðveita upplýsingar um t.d. afskrifuð lán í lengri tíma en 7 ár. Félagið hefur þá vinnureglu að afskrifuð lán eru sett í svonefnda ,,kröfuvakt" að undangengnu gjaldþroti, árangurslausu fjárnámi eða annarri staðfestingu eignaleysis. Starfsregla félagsins er sú að vera reiðubúið að ,,fyrirgefa" afskrift kröfunnar á 10 árum. Til þess að framkvæma þetta þarf félagið að geyma upplýsingar um viðskipti í lengur en 7 ár, en þessar upplýsingar þurfa þó ekki að vera aðgengilegar almennu starfsfólki umfram þann tíma.
Um leið og Kreditkort hf. staðfestir að hafa eytt persónugreinanlegum gögnum eldri en 7 ára úr upplýsingakerfum sínum hefur félagið staðnæmst við að rétt sé að slík gögn séu geymd í þrjú ár til viðbótar á segulmiðli í eldtraustum og læstum geymslum. Varðveisla þeirra hefur einungis þann tilgang að félagið geti sinnt upplýsingaskyldu við stjórnvöld og eigin þörfum vegna afskrifaðra lána. Er þess óskað að Persónuvernd fallist á þessa reglu og hliðri fyrri ákvörðun til sem því nemur."
Forsendur og niðurstaða
Í 1. tölul. 1. mgr. 24. gr. stjórnsýslulaga nr. 37/1993 er kveðið á um rétt málsaðila á því að mál sé tekið til meðferðar á ný ef ákvörðun hefur byggst á ófullnægjandi eða röngum upplýsingum um málsatvik. Kreditkort hefur rökstutt beiðni sína um endurupptöku með tvennum hætti:
2. Þörf á varðveislu upplýsinga um afskriftir lána
Með vísan til þess að framangreind atriði komu ekki sérstaklega til athugunar í niðurstöðu máls nr. 2003/169 verður tekin efnisleg afstaða til þeirra.
Ljóst er að lögum samkvæmt getur Kreditkorti hf. borið skylda til að afhenda stjórnvöldum tilteknar upplýsingar um viðskiptavini sína. Í bréfi Kreditkorts hf., dags. 7. september sl., er bent á að þessar skyldur séu án tímatakmarkana og komi til álita að túlka þær þannig að það auki við skyldur félagsins umfram lágmark. Persónuvernd fellst ekki á þessa röksemd Kreditkorts hf. og telur að greinarmun verði að gera á upplýsingaskyldu annars vegar og varðveisluskyldu hins vegar. Upplýsingaskylda felur í sér skyldu til að veita stjórnvöldum þær upplýsingar sem tiltækar eru, en felur ekki í sér varðveisluskyldu nema sérstaklega sé á um það kveðið í lögum.
Ekki verður séð að upplýsingaskylda gagnvart stjórnvöldum leiði til þess að Kreditkorti hf. sé nauðsyn á varðveislu upplýsinga um einstakar færslur allra korthafa umfram lögbundinn lágmarksvarðveislutíma. Af því leiðir að kanna verður hvort ákvæði gildandi laga leggi ríkari varðveisluskyldu á félagið en leiðir af niðurstöðu Persónuverndar í máli nr. 2003/169. Í bréfi Kreditkorts hf., dags. 7. september sl., eru sérstaklega tilgreind tvö stjórnvöld, ríkislögreglustjóri og skattrannsóknarstjóri, auk þess sem vísað er til þess að félaginu beri að vakta og upplýsa um peningaþvætti.
Í 1. mgr. 94. gr. laga nr. 90/2003 um tekjuskatt og eignarskatt, er kveðið á um að öllum aðilum, bæði framtalsskyldum og öðrum, sé skylt að láta skattyfirvöldum í té ókeypis og í því formi sem óskað er allar nauðsynlegar upplýsingar og gögn er þau beiðast og unnt er að láta þeim í té. Ákvæði þetta felur, samkvæmt orðalagi sínu, ekki í sér sjálfstæða skyldu til varðveislu gagna. Ákvæðið leiðir því ekki eitt og sér til nauðsynjar á varðveislu upplýsinga um einstakar færslur allra korthafa til lengri tíma en leiðir af 20. gr. bókhaldslaga nr. 145/1993, sem kveður á um sjö ára varðveislutíma.
Af 1. mgr. 7. gr. laga nr. 80/1993 um aðgerðir gegn peningaþvætti, leiðir að Kreditkorti hf. ber skylda til þess að láta athuga gaumgæfilega öll viðskipti sem grunur leikur á að rekja megi til peningaþvættis og tilkynna ríkislögreglustjóra um viðskipti þar sem slík tengsl eru talin vera fyrir hendi. Samkvæmt beiðni lögreglu, sem rannsakar peningaþvættismál, skal láta í té allar upplýsingar sem nauðsynlegar eru taldar vegna tilkynningarinnar. Þrátt fyrir þetta er ekki að finna ákvæði um almennan varðveislutíma upplýsinga um viðskipti. Skýringuna á því er að finna í athugasemdum í greinargerð við 6. gr. frumvarps til laga nr. 80/1993, en þar segir:
Í 16. gr. laga nr. 51/1968 var kveðið á um að bókhaldsgögn skyldu geymd í 7 ár og var hún því efnislega sambærileg við 20. gr. núgildandi laga nr. 145/1994 að þessu leyti. Það verður því ekki séð að ákvæði laga nr. 80/1993 um aðgerðir gegn peningaþvætti feli í sér skyldu til varðveislu upplýsinga um einstakar færslur allra korthafa til lengri tíma en leiðir af bókhaldslögum.
Í 2. mgr. 10. gr. laga nr. 80/1993 er kveðið á um skyldu til þess að gera skriflegar skýrslur um allar grunsamlegar og óvenjulegar færslur sem verða við framkvæmd viðskipta í starfsemi sem fellur undir lögin. Um varðveislu slíkra gagna fer samkvæmt ákvæðum 6. gr. laganna, þ.e. fullnægjandi upplýsingar úr þeim skal varðveita í a.m.k. fimm ár. Fallast má á að í einhverjum slíkum tilvikum kunni hugsanlega að vera nauðsynlegt að varðveita upplýsingarnar umfram fimm ára lágmarksvarðveislutíma, og jafnvel umfram lágmarksvarðveislutíma bókhaldslaga. Það verður að meta í hverju einstöku tilviki, t.d. með hliðsjón af því hvort viðskiptin hafa verið tilkynnt til ríkislögreglustjóra og líklegt kunni að vera að lögregla óski eftir afhendingu gagnanna.
Í bréfi sínu, dags. 7. september sl., bendir Kreditkort hf. á að félagið þurfi að varðveita upplýsingar um afskrifuð lán í lengri tíma en 7 ár og þurfi því að geyma upplýsingar um viðskipti lengur en það. Félagið hefur haft þá vinnureglu að setja afskrifuð lán í kröfuvakt að undangengnu gjaldþroti, árangurslausu fjárnámi eða annarri staðfestingu eignaleysis og leggur til tíu ára varðveislutíma.
Fyrirmælum Persónuverndar um varðveislutíma upplýsinga um einstakar færslur korthafa var eingöngu ætlað að taka til þeirra krafna sem komið hefur verið í skil. Það verður þó ekki skýrlega ráðið af efni úttektarniðurstöðunnar eða fyrirmælunum sjálfum, og staðfestist því hér með. Með vísan til þessa gerir Persónuvernd ekki athugasemdir við þann varðveislutíma afskrifaðra lána sem Kreditkort hf. leggur til.
Með vísan til framangreinds hefur Persónuvernd komist að eftirfarandi niðurstöðu:
2. Persónuvernd gerir ekki athugasemdir við að upplýsingar um afskrifuð lán séu varðveitt í tíu ár.