Miðlun upplýsinga til fjármálafyrirtækja um framvísun falsaðrar bankaábyrgðar og handtöku
Á fundi sínum hinn 19. desember sl. komst stjórn Persónuverndar að eftirfarandi niðurstöðu í máli nr. 2006/92:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Tildrög máls þessa eru í stuttu máli þau að í janúarbyrjun á þessu ári hafði A (hér á eftir nefndur kvartandi) samband við Glitni banka (þá Íslandsbanka) með það fyrir augum að selja bankanum, fyrir hönd annars aðila, bankaábyrgð að upphæð 60 milljón evrur. Í ljós kom að bankaábyrgðin var fölsuð og í kjölfarið, eða hinn 19. janúar, voru hann og tveir viðskiptafélagar hans handteknir í Íslandsbanka. Hinn 20. janúar sendi B hdl., regluvörður Íslandsbanka, svohljóðandi tölvubréf til D, framkvæmdastjóra SBV:
„Sæll
Með vísan til samtals okkar áðan sendi ég þér neðangreindar upplýsingar:
Eftirfarandi aðilar: [A, E, F og G], komu í Íslandsbanka hf. og reyndu að koma í verð bankaábyrgð útgefinni af Fortis Banque, Bruxelles, að fjárhæð Euro 60.000.000,-. Við eftirgrennslan kom í ljós að umrædd ábyrgð er fölsuð.
Hafa þrír fyrst nefndu einstaklingarnir [A, E og F] verið handteknir og verður óskað eftir gæsluvarðhaldi yfir þeim síðar í dag. Rannsókn lögreglu leiddi í ljós að í vörslum þremenninganna var fjöldi lánssamninga, ábyrgða og annarra fjármálagernina, þannig að líklegt er að þeir hafi ekki einungis verið að reyna að hafa fé út úr Íslandsbanka hf.
Varar Íslandsbanki hf. því aðrar fjármálastofnanir við að eiga viðskipti við framangreinda einstaklinga.“
Tilkynningu þessa framsendi framkvæmdastjóri SBV síðan til þeirra fulltrúa annarra fjármálafyrirtækja sem hafa með öryggismál að gera. Í héraðsdómi Reykjavíkur var kröfu um farbann yfir kvartanda og viðskiptafélögum hans hafnað. Mál þeirra var fellt niður hjá lögreglu hinn 29. júní sl. þar sem ekki lágu fyrir gögn sem gerðu það líklegt að kvartandi og viðskiptafélagar hans hefðu haft vitneskju um að skjalið væri falsað.
2.
Bréfaskipti
Tekið skal fram að bréfaskipti í máli þessu eru nokkuð umfangsmikil, en fram komin sjónarmið málsaðila lúta þó öðrum þræði að atburðum þeim sem áttu sér stað í Íslandsbanka hinn 19. janúar sl., þ.e. að viðskiptum kvartanda við Íslandsbanka og aðdraganda handtöku hans, meintum röngum sakargiftum og umfjöllun fjölmiðla um málið. Sjónarmið málsaðila verða ekki rakin hér nema að því leyti sem þau hafa þýðingu fyrir mál þetta, sem aðeins varðar það hvort miðlun umræddrar orðsendingar hafi brotið í bága við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og kröfur kvartanda um eyðingu og bann við notkun þeirra upplýsinga sem í orðsendingunni voru.
2.1
Upphaf málsins
Mál þetta hófst hinn 16. febrúar sl. þegar Persónuvernd barst bréf kvartanda þar sem segir m.a.:
„Ég undirritaður hef fengið upplýsingar frá viðskiptabanka mínum um að samtök banka, SFF og/eða SBV hafi sent orðsendingu til allra banka og sparisjóða um mig og viðskiptafélaga mína sem urðum fyrir meintum ólöglegum handtökum í Íslandsbanka þann 19. janúar 2006. Mér er sagt að orðsending þessi hafi verið send af [D] til fjölmargra aðila í bankakerfinu þann 20. janúar 2006 byggða [svo] á munnlegum upplýsingum frá lögreglunni í Reykjavík.
[. . .]
Undirritaður kærir hér með þessa upplýsingaöflun og dreifingu, [og krefst þess] að rannsakaðar verði heimildir SFF/SBV til upplýsingaöflunar og dreifingar. Að þeim verði gert að hætta þessari háttsemi, draga umrædda orðsendingu til baka, senda út leiðréttingu á mjög skaðlegum og ærumeiðandi ummælum og biðja okkur afsökunar. [. . .]“
Í tilefni af því óskaði Persónuvernd eftir skýringum og afstöðu SBV til kvörtunarinnar með bréfi dags. 20. febrúar sl.
Hörður F. Harðarson hrl. svaraði erindinu f.h. SBV með bréfi, dags. 27. febrúar sl. Í því segir að aðkoma SBV að málinu hefði verið fólgin í því að koma á framfæri aðvörun frá Íslandsbanka til tengiliða annarra fyrirtækja innan SBV, sem hafa með öryggismál að gera, um atburð sem var talinn gefa tilefni til að ætla að hætta kynni að vera fyrir hendi á tilraunum til fjármálamisferlis. Um það segir m.a. í bréfinu:
„Það skal áréttað að til framsendingar tilkynningarinnar var gripið í þeim tilgangi einum að bregðast við þeirri hættu sem sannanlega virtist vera fyrir hendi á umræddum tíma. Gríðarlegir hagsmunir voru í húfi þar sem staðfest hafði verið að falsaðir pappírar væru í umferð og um verulegar fjárhæðir að ræða. Ríkar skyldur hvíla á fjármálafyrirtækjum að grípa til aðgerða og upplýsa um tilraunir til brota af þessu tagi, til að mynda á grundvelli laga nr. 80/1993 um peningaþvætti.“
Í svarbréfinu kom einnig fram að SBV hefði sent nýja tilkynningu til þeirra einstaklinga sem fengu tilkynninguna frá 20. janúar. Í hinni nýju tilkynningu hafi komið fram að dómstóll hafi hafnað kröfu Lögreglustjórans í Reykjavík um farbann á viðskiptafélaga kvartanda, að þeim hafi verið tilkynnt að ekki þætti tilefni til að halda áfram opinberri rannsókn á þeim og að líkur stæðu til að mál kvartanda yrði einnig fellt niður innan skamms. Með vísan til þessa óskaði Persónuvernd eftir því, með bréfi dags. 16. mars sl., að kvartandi upplýsti um hvort hann teldi þessar lyktir málsins fullnægjandi eða hvort hann vildi að málinu yrði framhaldið.
2.2
Kvartandi beinir kröfum sínum að Glitni.
Frekari sjónarmið málsaðila.
Með bréfi, dags. 28. mars sl., krafðist kvartandi úrskurðar um málið, jók við kröfur sínar og beindi þeim nú jafnframt að Glitni. Í bréfi hans segir:
„Ég geri þá kröfu að Glitni og SBV verði gert
að koma á framfæri leiðréttingu á þeirri orðsendingu sem þeir sendu á allar fjármálastofnanir landsins þann 20. janúar sl. í gegnum SBV. Að þeim sem fengu orðsendinguna verði gert að koma leiðréttingum á framfæri við alla þá sem að þeir framsendu sjálfir umrædda orðsendingu á.
að eyða umræddri orðsendingu og að bannað verði að nota hana á nokkurn hátt, að það sama gildi um þá sem að fengu orðsendinguna framsenda
að láta af dreifingu slíkra upplýsinga í framtíðinni
að hafa frumkvæði að því að gera ráðstafanir til að milda neikvæð áhrif og fjárhagslegt tjon sem orðið hefur af þessari upplýsingadreifingu.
Einnig krefst ég þess að Persónuvernd úrskurði að Glitnir og SBV hafi gerst sek um ólöglega dreifingu á viðkvæmum persónuupplýsingum.
Einnig krefst ég þess að Glitni verði gert að skila og/eða eyða öllum gögnum sem bankinn hefur fengið frá Lögreglunni í Reykjavík varðandi málið þar með talið mínum persónulegu gögnum. Auk þess krefst ég að fá afrit af öllum samskiptum bankans við aðra aðila varðandi mig og þetta mál.
[. . .]
Auk þess krefst ég þess að þeir aðilar (28 manns) sem fengu orðsendingu Glitnis þann 20. janúar sl. verði gert að gefa upp til hverra þeir hafi miðlað þessum upplýsingum og þeim verði gert að leiðrétta þessar rangfærslur við alla þá sem þeir miðluðu orðsendingunni til og að þeir staðfesti að þeir hafi gert það.“
Þá segir í bréfi kvartanda:
„Í bréfi þann 27. febrúar frá SBV er m.a. haldið fram að þeir hafi verið til þess bær aðili og að tilefni hafi verið brýnt. Ég vill mótmæla greinargerð þeirra m.a. vegna þess að þeir eru ekki stjórnvald og því ekki bærir til að dreifa upplýsingum sem þessum. Í þessu tilefni höfðu að minnsta kosti tvö stjórnvöld komið að málinu, þ.e. bæði Ríkislögreglustjórinn og Lögreglustjórinn í Reykjavík.“
Persónuvernd óskaði, með bréfi dags. 5. apríl sl., eftir skýringum og afstöðu Glitnis til kvörtunarinnar, einkum um það hvaða heimildir bankinn teldi sig hafa haft til umræddrar vinnslu persónuupplýsinga. Með bréfi sama dag var einnig óskað eftir því að SBV tilgreindi þær heimildir sem samtökin teldu sig hafa haft til umræddrar vinnslu persónuupplýsinga. Var einkum óskað eftir því að nánari grein yrði gerð fyrir skyldum fjármálafyrirtækja sem samtökin höfðu vísað til í bréfi sínu, dags. 27. febrúar.
Hörður F. Harðarsonar hrl. svaraði f.h. SBV með bréfi, dags. 12. maí sl., og var afrit af því sent kvartanda með bréfi, dags. 17. maí sl. Í bréfinu var ítrekað að sérstakar aðstæður hefðu verið uppi, um háar fjárhæðir hefði verið að ræða og hætta hefði verið talin á frekara misferli. Það skyti skökku við ef óheimilt væri að vara við hættu sem talin væri vera fyrir hendi á alvarlegu fjármálamisferli. Um skyldur fjármálafyrirtækja sem vísað hafði verið til í bréfi, dags. 27. febrúar sl., sagði:
„Þá hefur umbjóðandi minn bent á það að sérstakar eftirlits- og varúðarskyldur hafi t.d. verið lagðar á starfsmenn fjármálafyrirtækja með lögum nr. 80/1993 um aðgerðir gegn peningaþvætti. Ef brot af því tagi sem tilgreind eru í þeim lögum eru framin í starfsemi fjármálafyrirtækis, óháð sök starfsmanna fyrirtækisins, er unnt að gera fjármálafyrirtækinu sekt. Það er því mikilvægt að starfsmenn fjármálafyrirtækja séu vel þjálfaðir og bregðist fljótt við ef grunur leikur á misferli. Vegna fyrirspurnar Persónuverndar um þetta efni skal hins vegar tekið fram að undirrituðum er ekki kunnugt um ákvæði hérlendra laga sem leggja beinlínis þær skyldur á fjármálafyrirtæki að tilkynna öðrum fjármálafyrirtækjum um tilraunir til fjársvika. Hins vegar telur umbjóðandi minn að líta þurfi til þessara sérstöku eftirlits- og varúðarskyldna við mat Persónuverndar á umræddu atviki. Umbjóðandi minn bendir til fróðleiks á það í þessu sambandi að samkvæmt ákvæðum norskra laga um aðgerðir gegn peningaþvætti er fyrirtækjum og stofnunum sem falla undir þau lög heimilað að skiptast á upplýsingum um viðskiptavini ef rökstuddur grunur er um brot gegn lögunum eða nánar tilteknum ákvæðum hegningarlaga, sbr. 11. gr. meðfylgjandi laga.“
Þá segir í bréfinu að SBV telji sendingu tilkynningarinnar ekki geta talist til vinnslu persónuupplýsinga í skilningi laga nr. 77/2000. Um það segir:
„. . .ekki var um neins konar kerfisbundna söfnun eða skráningu á persónuupplýsingum að ræða. Send var einföld tilkynning til nokkurra einstaklinga og eingöngu í framangreindum tilgangi. Upplýsingar um atvikið voru ekki ætlaðar til varðveislu með þeim hætti að kalla mætti þær fram á ný síðar meir. Viðvöruninni hefði allt eins mátt koma á framfæri með símtali enda alþekkt að tölvupóstsendingar hafa að talsverðu leyti komið í stað símtala þegar kemur að einföldum orðsendingum. Tilkynningunni var ætlað það eitt að tryggja að starfsmenn fjármálafyrirtækja sýndu aukna varkárni á þessum tiltekna tíma í ljósi umfangs málsins og þeirrar hættu sem virtist vera fyrir hendi á frekara misferli.“
Glitnir svaraði með bréfi, dags. 19. júní sl., og var kvartanda sent afrit af því með bréfi, dags. 22. júní sl. Í svarbréfi Glitnis segir að umrædd bankaábyrgð hafi verið fölsuð og að ámælisvert hefði verið að vara önnur fjármálafyrirtæki ekki við viðskiptunum. Þá er vísað til þess að sending tilkynningarinnar hafi farið fram í málefnalegum tilgangi, sbr. 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Um það segir nánar:
„Ljóst er að bankinn fékk staðfestingu frá Fortis banque s.a. að umrædd bankaábyrgð væri fölsuð og að reynt hafi verið að koma í verð sambærilegum skjölum í bönkum annars staðar í Evrópu. Ástæða var því til að ætla að mögulegt væri að hinni fölsuðu bankaábyrgð kynni að vera framvísað í öðrum fjármálastofnunum á Íslandi og reynt að fá fyrir hana fé. Er því ljóst að um málefnalegan tilgang er að ræða að senda viðvörun til regnhlífasamtaka fjármálafyrirtækja á Íslandi og vara við hinni fölsuðu ábyrgð.
Þá er ljóst að umræddar upplýsingar varða ekki einvörðungu hagsmuni [kvartanda], heldur líka hagsmuni bankans svo og mikilsverða almannahagsmuni.
Er jafnframt rétt að árétta að tilgangur laga um persónuvernd og meðferð persónuupplýsinga er ekki að þvinga einstaklinga og lögaðila til að þegja yfir tilraunum til að brjóta gegn þeim og vernda þannig hagsmuni þeirra sem reyna að framvísa fölsuðum gögnum og fá fé fyrir, heldur að vernda lögmæta hagsmuni.“
Kvartandi gerði athugasemdir við svarbréf Glitnis með bréfi, dags. 29. júní, og var það sent bankanum til athugsemda með bréfi, dags. 11. júlí. Í svarbréfi kvartanda eru gerðar ýmsar athugasemdir við málsatvikalýsingu Glitnis, ítrekað að Glitnir hafi ekki verið réttur aðili til að senda út viðvörun til annarra fjármálastofnana og þá eru fyrri kröfur ítrekaðar.
Með bréfi, dags. 12. júlí sl,. upplýsti Hörður F. Harðarson hrl. Persónuvernd um að SBV hefði hinn 3. júlí sent tilkynningu til þeirra einstaklinga, sem fengu tilkynningarnar frá 20. janúar og 24. febrúar, þess efnis að samtökin hefðu fengið staðfestingu frá lögreglu um að rannsókn máls kvartanda hefði verið hætt og það verið fellt niður.
2.3
Málsmeðferð frestað vegna fyrirhugaðrar málshöfðunar
Um miðjan júlímánuð kom kvartandi fram í fjölmiðlum og var á honum að skilja að hann ætlaði að höfða bótamál vegna atburðanna í Íslandsbanka. Af þv tilefni óskaði Persónuvernd, með bréfi dags. 17. júlí sl., eftir því að kvartandi upplýsti hvort hann hygðist leita réttar síns fyrir dómstólum vegna málsins. Í svarbréfi kvartanda, dags. 10. ágúst sl., sagði að „verið [væri] að skoða og gert [væri] ráð fyrir að fara í skaðabótamál á hendur Glitni banka hf. og fleirum vegna miska og fjárhagslegs taps, m.a. vegna rangra sakargifta og orðsendingar þeirrar sem hér er kærð.“ Þá kom fram að lögmaður kvartanda væri að skoða framhald málsins og niðurstaða um það lægi væntanlega fyrir í september. Hinn 14. ágúst sl. fjallaði stjórn Persónuvernd um málið og ákvað að slá meðferð málsins á frest þar til kvartandi hefði tekið ákvörðun um hvort hann hygðist bera málið undir dómstóla. Um það sagði í bréfi Persónuverndar til kvartanda:
„Við úrlausn um bótakröfuna má vænta þess að byggt verði á sömu eða svipuðum málsástæðum og í máli því sem nú er til meðferðar hjá Persónuvernd. Dómstóll myndi leggja á þær sjálfstætt mat og væntanlega taka efnislega afstöðu til þess hvort umrædd upplýsingamiðlun hafi brotið í bága við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Gildi niðurstöðu Persónuverndar í máli þessu og endanlegar málslyktir myndu því ráðast af niðurstöðu dómstóla og úrskurður Persónuverndar hafði takmarkaða eða nokkra sjálfstæða þýðingu fyrir yður að lögum.“
Kvartandi óskaði þá eftir að ákvörðun um frestun málsmeðferðar yrði endurskoðuð. Stjórn Persónuverndar fjallaði um þá ósk kvartanda hinn 19. september og varð ekki við henni. Um það sagði í bréfi Persónuverndar til kvartanda:
„Af ummælum yðar í fjölmiðlum og bréfaskiptum yðar við Persónuvernd hefur skinið í gegn að þér hyggist bera mál þetta undir dómstóla óháð því hvaða niðurstöðu stofnunin kemst að.
Persónuvernd hefur með engu móti farið fram á að þér afsalið yður rétti til að bera mál undir dómstóla, enda hefur stofnunin ekki heimildir til þess og vandséð er hvernig hún ætti að fylgja því eftir. Hins vegar kom fram í bréfi yðar, dags. 10. ágúst sl., að ákvörðun um málshöfðun lægi væntanlega fyrir í septembermánuði. Áralöng venja er fyrir því að fjalla ekki um mál á stjórnsýslustigi um leið og það er til meðferðar hjá dómstólum og vísast um það til álits umboðsmanns Alþingis í máli nr. 1311/1994. Sú venja er í samræmi við stjórnsýsluframkvæmd á Norðurlöndunum, sbr. rit danska stjórnsýslufræðingsins Bent Christensen: Forvaltningsret (1994); Kap. XII.2.; „En igangværende prøvelse i den administrative rekurs og på den overordnedes eget initiativ må formentlig standse, hvis der anlægges en prøvelsessag ved domstolene med påstande og anbringender, som svarer nogenlunde til prøvelsestemaet i den administrative rekurs.“
Ástæður þessa voru raktar í bréfi Persónuverndar til yðar, dags. 15. ágúst sl., þ.e. að þess má vænta að við úrlausn sama máls fyrir stjórnvaldi og dómstólum verði byggt á sömu eða svipuðum málsástæðum. Dómstóll myndi leggja á þær sjálfstætt mat og væntanlega taka efnislega afstöðu til þeirra. Gildi niðurstöðu stjórnvaldsins í málinu og endanlegar málslyktir myndu því ráðast af niðurstöðu dómstólsins og niðurstaða stjórnvaldsins hefði takmarkaða ef nokkra sjálfstæða þýðingu að lögum.
Ekki er ljóst á þessari stundu hvenær niðurstaða yrði fengin í mál yðar hjá Persónuvernd. Það skapast m.a. af því að málið er flókið þar sem þér beinduð kvörtun yðar að öðrum aðila en upphaflega og jukuð við kröfur yðar eftir að það var komið til meðferðar Persónuverndar, sem og af því að bréfaskipti hafa tekið langan tíma. Þegar Persónuvernd varð kunnugt um hugsanlega málshöfðun var því ekki talið ólíklegt að málið yrði enn til meðferðar hjá stofnuninni þegar það yrði borið undir dómstóla. Þess var því óskað að þér upplýstuð um ákvörðun yðar, í því skyni að firra alla aðila, yður sjálfan þar með talinn, óþarfa ómaki, tilkostnaði og tvíverknaði og til að koma í veg fyrir hugsanlega misvísandi túlkun og framkvæmd gildandi laga um persónuvernd og meðferð persónuupplýsinga.“
Jafnframt var óskað eftir því að kvartandi upplýsti hvort ákvörðun hefði verið tekin um málshöfðun vegna upplýsingamiðlunarinnar. Í svarbréfi kvartanda, dags. 5. október sl,. kom fram að ákvörðun um málshöfðun hefði ekki verið tekin og yrði ekki tekin fyrr en úrskurður Persónuverndar lægi fyrir. Þá krafðist kvartandi úrskurðar í málinu við fyrsta tækifæri.
3.
Máli framhaldið
Með bréfum, dags. 12. október sl., var málsaðilum tilkynnt að málið yrði tekið til áframhaldandi meðferðar. Athugasemdir Glitnis bárust með bréfi, dags. 17. október sl., og athugasemdir Harðar F. Harðarsonar hrl. SBV bárust með bréfi, dags. 30. október sl.
Þá barst bréf Harðar F. Harðarsonar hrl. f.h. SBV, dags. 29. nóvember sl., þar sem segir að máli skipti hvort þær upplýsingar sem miðlað var geti talist viðkvæmar í skilningi laga nr. 77/2000 og var óskað eftir að koma athugasemdum þar að lútandi á framfæri. Málið var rætt á fundi stjórnar Persónuverndar hinn 30. nóvember sl., en afgreiðslu þess frestað m.a. í ljósi þessa bréfs. Kvartanda var tilkynnt um þetta og sent umrætt bréf til kynningar. Hinn 1. desember sl. lýsti Hörður F. Harðarson hrl. hins vegar yfir, í símtali, að SBV hygðust láta fram komin sjónarmið nægja.
II.
Gildissvið
Valdsvið Persónuverndar
1.
Almennt
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000.
Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Þar undir geta m.a. fallið miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, sbr. það sem fram kemur í athugasemdum í greinargerð með frumvarpi því er varð að lögum nr. 77/2000, sem og b-lið 2. gr. tilskipunar nr. 95/46/EB.
2.
Tölvupóstsendingar
Í bréfi SBV, dags. 12. maí sl., er bent á að upplýsingunum hefði allt eins mátt koma á framfæri með símtali, enda hafi tölvupóstsendingar komið að talsverðu leyti í stað símtala þegar kemur að einföldum orðsendingum. SBV telur því að tilkynningin sem send var hinn 20. janúar sl. geti ekki talist til vinnslu persónuupplýsinga í skilningi laga nr. 77/2000.
Af þessu tilefni skal bent á að hefði viðvörun þessari verið komið á framfæri með símtali hefði málið þá þegar fallið utan valdsviðs Persónuverndar. Henni var hins vegar komið á framfæri með rafrænum hætti.
Ástæða þess að tölvupóstsendingar hafa að einhverju leyti komið í stað símtala er m.a. sú að tæknin býður upp á þann möguleika að koma upplýsingum á framfæri til margra aðila í einu á skömmum tíma. Slíkt getur verið mjög til hagsbóta og falið í sér ýmiss konar þægindi, en getur jafnframt haft í för með sér aukna hættu á misnotkun persónuupplýsinga eða mistök við meðferð þeirra. Í dæmaskyni má nefna að sé trúnaðarupplýsingum miðlað í trássi við lög geta þær komist til vitundar töluvert fleiri aðila en ella, að upplýsingar kunna að vera sendar til rangs viðtakanda fyrir mistök, að utanaðkomandi aðilar geta komist yfir efni tölvubréfa vegna öryggisbrests og að upplýsingar er unnt að áframsenda með mjög einföldum hætti og getur því verið erfitt að koma í veg fyrir útbreiðslu þeirra.
Sams konar sjónarmið eiga við um aðra rafræna vinnslu persónuupplýsinga, s.s. stafrænar upptökur, birtingu upplýsinga á Netinu og vinnslu upplýsinga í gagnagrunnum. Tilurð persónuverndarlöggjafar má reyndar rekja til þess að með tilkomu tölvutækninnar varð auðveldara að safna, finna, tengja saman og miðla persónuupplýsingum og þrátt fyrir að slíkt geti falið í sér umtalsverður hagsbætur hefur það einnig í för með sér ákveðna hættu fyrir réttindi einstaklinga. Vegna þessa taka lög nr. 77/2000 til sérhverrar rafrænnar vinnslu persónuupplýsinga nema annað sé tekið fram. Slíkar undanþágur er að finna í 2. mgr. 3. gr., þar sem kveðið er á um að tiltekin ákvæði laganna gildi ekki um vinnslu persónuupplýsinga sem varða almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsivörslu og að lögin gildi ekki um meðferð einstaklings á persónuupplýsingum sem eingöngu varða einkahagi hans eða eru einvörðungu ætlaðar til persónulegra nota. Þá er í 5. gr. kveðið á um að víkja megi frá ákvæðum laganna í þágu fjölmiðlunar, lista eða bókmennta, að því marki sem það er nauðsynlegt til að samræma sjónarmið um rétt til einkalífs annars vegar og tjáningarfrelsis hins vegar. Þegar persónuupplýsingar eru einvörðungu unnar í þágu fréttamennsku eða bókmenntalegrar eða listrænnar starfsemi gilda aðeins tiltekin ákvæði laganna.
Sú tilkynning sem hér er til umfjöllunar var hvorki send af einstaklingi um einkahagi eða til persónulegra nota né var hún send í þágu fjölmiðlunar, lista eða bókmennta. Þá varðaði hún ekki almannaöryggi, landvarnir, öryggir ríkisins eða starfsemi ríkisins á sviði refsivörslu. Hún var send á milli fjármálafyritækja í því skyni að vara við viðskiptum við tiltekna einstaklinga. Löggjafinn hefur ekki undanskilið slíka rafræna vinnslu persónuupplýsinga gildissviði laga nr. 77/2000, og fellur hún því undir gildissvið laganna.
3.
Eðli vinnslunnar
Í bréfi SBV, dags. 12. maí sl., segir að máli skipti að ekki hafi verið um neins konar kerfisbundna söfnun eða skráningu á persónuupplýsingum að ræða og að upplýsingarnar hafi ekki verið ætlaðar til varðveislu með þeim hætti að kalla mætti þær fram síðar meir. Þetta telur SBV, ásamt því er þegar hefur verið rakið, leiða til þess að sending tilkynningarinnar geti ekki talist til vinnslu persónuupplýsinga í skilningi laga nr. 77/2000.
M.ö.o. telur SBV að gera eigi greinarmun á sk. „svörtum listum,“ en með því er að öllu jöfnu átt við skrár sem einstaklingar eru færðir á í því skyni að vara við viðskiptum við þá eða neita þeim um tiltekna fyrirgreiðslu eða þjónustu, yfirleitt með kerfisbundnum hætti eða eftir fyrirfram ákveðnum viðmiðum, og sendingu tilkynninga með þeim hætti sem hér um ræðir.
Ólík sjónarmið geta gilt um lögmæti svartra lista annars vegar og sendinga tilkynninga, eins og þeirrar sem hér um ræðir, hins vegar. Aftur á móti er ljóst að hvort tveggja fellur undir gildissvið laga nr. 77/2000, enda er ekki skilyrði að persónuupplýsingar sem unnar eru með rafrænum hætti séu eða eigi að verða hluti af skrá, líkt og gildir um handunnar upplýsingar.
4.
Efni tilkynningarinnar
Í bréfi Glitnis, dags. 19. júní sl., segir að tilgangur laga um persónuvernd sé ekki að „þvinga einstaklinga eða lögaðila [til] að þegja yfir tilraunum til að brjóta gegn þeim og vernda þannig hagsmuni þeirra sem reyna að framvísa fölsuðum gögnum og fá fé fyrir, heldur að vernda lögmæta hagsmuni.“
Röksemd þessi virðist lúta öðrum þræði að því að lög nr. 77/2000 taki ekki til sendingar tilkynningar þeirrar sem hér um ræðir vegna efnis hennar.
Eins og áður hefur komið fram hefði mál þetta fallið utan valdsviðs Persónuverndar hefði viðvörun þeirri sem um ræðir ekki verið komið á framfæri með rafrænum hætti. Þá hefði á hinn bóginn komið til athugunar hvort brotið hefði verið gegn ákvæðum um bankaleynd í lögum nr. 161/2002 um fjármálafyrirtæki eða ákvæðum XXV. kafla almennra hegningarlaga nr. 19/1940.
Að öðru leyti vísast til þess sem áður segir um gildissvið laga nr. 77/2000, og skal sérstaklega bent á að ákvæði 2. mgr. 3. gr. laga nr. 77/2000, sem undanþiggur meðferð einstaklings á persónuupplýsingum sem varða einkahagi hans, tekur eðli málsins samkvæmt ekki til lögaðila.
5.
Niðurstaða um gildissvið
Valdsvið Persónuverndar
Af framangreindu er ljóst að sending og framsending upplýsinga með tölvupósti um það hvort tiltekinn maður sé grunaður um refsiverða háttsemi telst til vinnslu persónuupplýsinga í skilningi laga nr. 77/2000. Umfjöllun um lögmæti þessa fellur því undir valdsvið Persónuverndar, sbr. 2. mgr. 37. gr. laga nr. 77/2000.
Hins vegar skal tekið fram að kröfur kvartanda um miska og skaðabætur, sem og kröfur sem hann beinir að öðrum en Glitni og SBV eru ekki til umfjöllunar hér, enda falla þær ekki undir úrskurðarvald Persónuverndar.
III.
Lögmæti
1.
Almennt
Vinnsla persónuupplýsinga er því aðeins heimil að eitthvert af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sé uppfyllt. Sé um vinnslu viðkvæmra persónuupplýsinga að ræða verður ennfremur að uppfylla eitthvert af skilyrðum 1. mgr. 9. gr. laganna.
Þá ber að gæta í hvívetna meginreglna 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu, en þar er m.a. kveðið á um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti (1. tölul.), að þær séu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.), að upplýsingarnar séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.), að þær séu áreiðanlegar og uppfærðar eftir þörfum (4. tölul.) og að þær séu ekki varðveittar á persónugreinanlegu formi lengur en þörf krefur (5. tölul.)
2.
Eðli upplýsinganna
Talsvert strangari kröfur eru gerðar til lögmætis vinnslu persónuupplýsinga sem teljast viðkvæmar í skilningi laga nr. 77/2000 en til vinnslu annarra persónuupplýsinga. Eins og áður hefur komið fram þarf slík vinnsla t.d. ekki aðeins að uppfylla eitthvert skilyrða 1. mgr. 8. gr. laganna, heldur einnig eitthvert skilyrða 1. mgr. 9. gr. Persónuvernd leysir úr ágreiningi um hvort persónuupplýsingar skuli teljast viðkvæmar eða ekki, sbr. 5. mgr. 9. gr. laganna.
Skilgreiningu á því hvaða persónuupplýsingar teljast viðkvæmar er að finna í 8. tölul. 2. gr. laga nr. 77/2000. Það eru upplýsingar um a) uppruna, litarhátt, kynþátt, stjórnmálaskoðanir, svo og trúar- eða aðrar lífsskoðanir, b) upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, c) upplýsingar um heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun, d) upplýsingar um kynlíf manna og kynhegðan og e) upplýsingar um stéttarfélagsaðild.
Ákvæðið leiðir í lög efni 8. gr. tilskipunar nr. 95/46/EB, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, og ber að skýra með hliðsjón af henni. Í 8. gr. er kveðið á um vinnslu „sérstakra flokka upplýsinga.“ Þar segir að vinnsla persónuupplýsinga „er varða kynþátt eða uppruna, stjórnmálaskoðanir, trúar- eða heimspekiskoðanir og þátttöku í stéttarfélagi og vinnslu uppplýsinga um heilsuhagi eða kynlíf“ skuli bönnuð nema að uppfylltum tilteknum skilyrðum. Í bannákvæðinu er ekki vísað til upplýsinga um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað. Hins vegar er, í 5. mgr. 8. gr., kveðið á um að vinnsla upplýsinga er varða lögbrot, refsidóma eða öryggisráðstafanir sé því aðeins heimil að hún fari fram undir eftirliti opinbers yfirvalds eða ef sett séu sértæk öryggisákvæði í innlendum lögum.
Af framangreindu verður ráðið að samkvæmt tilskipun nr. 95/46/EB gildi nokkuð önnur sjónarmið heldur en í lögum nr. 77/2000 um upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað. Af þeim sökum hefur verið litið svo á að túlka beri ákvæði b-liðar 8. tölul. 2. gr. laga nr. 77/2000 þröngt.
Í tilkynningu þeirri sem hér er til umfjöllunar voru upplýsingar um að bankaábyrgð sem kvartandi og viðskiptafélagar hans reyndu að koma í verð hefði reynst fölsuð, að þeir hefðu verið handteknir, að óskað yrði eftir gæsluvarðhaldi yfir þeim og að önnur skjöl hefðu fundist í fórum þeirra. Upplýsingar um það eitt að tiltekinn einstaklingur hafi framvísað falsaðri bankaábyrgð eða haft skjöl í fórum sínum fela ekki í sér upplýsingar um hvort viðkomandi einstaklingur sé grunaður um refsiverðan verknað eða hafi gerst brotlegur við lög. Upplýsingar um að tiltekinn einstaklingur hafi verið handtekinn í tengslum við slíkt bera hins vegar með sér að sá einstaklingur sé grunaður um refsiverðan verknað, enda er það skilyrði handtöku að rökstuddur grunur leiki á broti sem sætt getur ákæru, sbr. 1. mgr. 97. gr. laga nr. 19/1991 um meðferð opinberra mála.
Með vísan til þessa telur Persónuvernd að upplýsingar í umræddri tilkynningu um handtöku kvartanda teljist viðkvæmar persónuupplýsingar í skilningi b-liðar 8. tölul. 2. gr. laga nr. 77/2000, en að aðrar upplýsingar í tilkynningunni hins vegar ekki.
3.
Heimildir fyrir vinnslu persónuupplýsinga
Hvorki SBV né Glitnir hafa vísað til ákvæða 8. og 9. gr. laga nr. 77/2000 um heimildir sínar til umræddrar vinnslu persónuupplýsinga. Hins vegar hafa báðir aðilar vísað til þeirra miklu hagsmuna sem í húfi voru vegna hugsanlegrar hættu á fjármálamisferli. Þá hefur SBV vísað til þess að líta verði til eftirlits- og varúðarskyldna sem lagðar hafa verið á fjármálafyrirtæki í löggjöf um aðgerðir gegn peningaþvætti og Glitnir segir í bréfi sínu, dags. 17. október sl., að bankanum hafi borið siðferðileg skylda, ef ekki lagaleg, til að vara við fölsuðum skjölum.
Þrátt fyrir að sérstakar eftirlits- og varúðarskyldur hafi verið lagðar á starfsmenn fjármálafyrirtækja með lögum nr. 80/1993 um aðgerðir gegn peningaþvætti hafa þau lög ekki að geyma lagaákvæði sem heimila miðlun upplýsinga til annarra en lögreglu um hvort um tiltekinn einstaklingur er grunaður um fjársvik eða aðra refsiverða háttsemi er tengist peningaþvætti.
Með vísan til alls framagreinds kemur, að mati Persónuverndar, helst til greina að vinnslan eigi sér stoð í 7. tölul. 1. mgr. 8. gr. og 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Verður það nú tekið til sérstakrar athugunar.
3.1
Persónuupplýsingar sem ekki teljast viðkvæmar
Hagsmunamat
Samkvæmt 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga, sem ekki eru viðkvæmar, heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra.
Við beitingu þessa ákvæðis þarf að vega og meta hvort hafi vegið þyngra í þessu tilviki; hagsmunir kvartanda af því að þær upplýsingar í tilkynningunni sem ekki teljast viðkvæmar í skilningi laga nr. 77/2000, þ.e. upplýsingar um að hann hafi framvísað falsaðri bankaábyrgð og haft fleiri skjöl í fórum sínum, yrðu ekki sendar til fjármálafyrirtækjanna eða hagsmunir fjármálafyrirtækjanna af því að fá vitneskju um þessar upplýsingar.
Við það mat verður að líta til þess að í máli þessu voru uppi sérstakar aðstæður og um gríðarlega háar fjárhæðir var að ræða, þ.e. um 60 milljónir evra. Tilkynningin sem um ræðir var send í varúðarskyni og eingöngu til tengiliða fjármálafyrirtækja sem hafa eftirlit með öryggismálum. Telja verður að hagsmunir fjármálafyrirtækjanna af upplýsingunum hafi, eins og hér stendur á, vegið þyngra en hagsmunir kvartanda af því að þær yrðu ekki sendar. Í því samhengi skal m.a. bent á að fjármálafyrirtæki kynnu að vilja kanna falsleysi annarra skjala sem kvartandi hefur framvísað, án þess þó að kvartandi liggi endilega undir grun um að hafa vitneskju um fals eða falsleysi slíkra skjala.
Miðlun SBV og Glitnis, áður Íslandsbanka, á upplýsingum um að kvartandi hafi framvísað falsaðri bankaábyrgð og haft fleiri skjöl í fórum sínum telst því hafa átt sér stoð í 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og var því heimil.
3.2
Viðkvæmar persónuupplýsingar
Lagaheimild
Eins og áður segir þarf vinnsla viðkvæmra persónuupplýsinga, auk þess að eiga sér stoð í 1. mgr. 8. gr. laga nr. 77/2000, að styðjast við eitthvert skilyrða 1. mgr. 9. gr. laganna. Samkvæmt 2. tölul. 1. mgr. 9. gr. er vinnsla viðkvæmra persónuupplýsinga heimil standi til hennar sérstök heimild samkvæmt lögum.
Mat á því hvort lagastoð er fyrir hendi ræðst af skýringu viðkomandi sérlagaákvæðis hverju sinni, en því meiri íhlutun í réttindi einstaklingsins sem umrædd vinnsla hefur í för með sér þeim mun ótvíræðari þarf lagaheimildin að vera. Skýring slíks ákvæðis ræðst þá m.a. af því hvort löggjafinn hafi í raun tekið tillit til þeirra almennu persónuverndarsjónarmiða sem á reynir við meðferð viðkvæmra persónuupplýsinga. Með hliðsjón af því að það er fyrst og fremst stjórnvalda að vinna með upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað verður að telja að ríkar kröfur verði að gera til skýrleika lagaákvæða sem heimila einkaaðilum slíka vinnslu.
Hvorki SBV né Glitnir hafa bent á ákvæði í íslenskum lögum sem hafi heimilað þeim að skiptast á upplýsingum um hvort kvartandi hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað. SBV hefur bent á að ákvæði norskra laga um aðgerðir gegn peningaþvætti heimili upplýsingaskipti á milli fyrirtækja og stofnana ef rökstuddur grunur er um tiltekin lögbrot. Í 2. mgr. 20. gr. núgildandi laga nr. 64/2006, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, er að finna heimildir til handa tilteknum aðilum til þess að miðla upplýsingum um hvort lögreglu hafi verið sendar upplýsingar skv. 17. og 18. gr. laganna. Slíka heimild var ekki að finna í lögum nr. 80/1993 um aðgerðir gegn peningaþvætti. Þá skiptir máli að orðsending sú sem hér um ræðir sneri ekki að tilkynningu til lögreglu vegna grunsemda um peningaþvætti, heldur var um að ræða viðvörun vegna grunsemda um tilraun til fjársvika.
Það verður því ekki séð að miðlun SBV og Glitnis, áður Íslandsbanka, á upplýsingum um handtöku kvartanda hafi átt sér stoð í ákvæði 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
3.3
Niðurstaða
Miðlun Glitnis, áður Íslandsbanka, til SBV á upplýsingum um að kvartandi hafi framvísað falsaðri bankaábyrgð og haft fleiri skjöl í fórum sínum var heimil samkvæmt 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en ekki verður hins vegar séð að miðlun upplýsinga á milli sömu aðila um handtöku kvartanda hafi átt sér stoð í þeim lögum. Sama gildir um miðlun sömu upplýsinga á milli SBV og annarra fjármálafyrirtækja.
IV.
Leiðrétting og eyðing
1.
Almennt
Auk þess að krefjast úrskurðar um lögmæti umræddrar upplýsingamiðlunar hefur kvartandi sett fram kröfur á hendur Glitni og SBV um eyðingu og leiðréttingu upplýsinga um sig.
Í 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 er kveðið á um að persónuupplýsingar skuli áreiðanlegar og uppfærðar eftir þörfum. Persónuupplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta.
Í 1. mgr. 25. gr. laga nr. 77/2000 er kveðið á um að ábyrgðaraðili skuli sjá til þess að upplýsingar sem eru rangar, villandi eða ófullkomnar, eða skráðar án tilskilinnar heimildar séu leiðréttar, þeim eytt eða við þær aukið ef umræddur anmmarki getur haft áhrif á hagsmuni hins skráða. Hafi slíkum upplýsingum verið miðlað eða þær notaðar ber ábyrgðaraðila, eftir því sem honum er frekast unnt, að hindra að það hafi áhrif á hagsmuni hins skráða.
Í 26. gr. laga nr. 77/2000 er fjallað um eyðingu og bann við notkun persónuupplýsinga sem hvorki eru rangar né villandi. Í 1. mgr. segir að persónuupplýsingum skuli eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða á því að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra. Í 2. mgr. er síðan kveðið á um að ef ákvæði annarra laga standa því ekki í vegi geti skráður aðili engu að síður krafist þess að upplýsingum um hann skv. 1. mgr. sé eytt eða notkun þeirra bönnuð ef slíkt telst réttlætanlegt út frá heildstæðu hagsmunamati.
2.
Kröfur kvartanda
Kvartandi krefst þess að komið verði á framfæri „leiðréttingu á þeirri orðsendingu sem [Glitnir og SBV] sendu á allar fjármálastofnanir landsins þann 20. janúar sl. . .“ Þá krefst hann þess að SBV og Glitni verði gert að „eyða umræddri orðsendingu og að bannað verði að nota hana á nokkurn hátt. . .“
Orðsendingin er svohljóðandi:
„Sæll
Með vísan til samtals okkar áðan sendi ég þér neðangreindar upplýsingar:
Eftirfarandi aðilar: [A, E, F og G], komu í Íslandsbanka hf. og reyndu að koma í verð bankaábyrgð útgefinni af Fortis Banque, Bruxelles, að fjárhæð Euro 60.000.000,-. Við eftirgrennslan kom í ljós að umrædd ábyrgð er fölsuð.
Hafa þrír fyrst nefndu einstaklingarnir [A, E og F] verið handteknir og verður óskað eftir gæsluvarðhaldi yfir þeim síðar í dag. Rannsókn lögreglu leiddi í ljós að í vörslum þremenninganna var fjöldi lánssamninga, ábyrgða og annarra fjármálagernina, þannig að líklegt er að þeir hafi ekki einungis verið að reyna að hafa fé út úr Íslandsbanka hf.
Varar Íslandsbanki hf. því aðrar fjármálastofnanir við að eiga viðskipti við framangreinda einstaklinga.“
Nafn kvartanda er misritað og rangt farið með að G hafi komið í Íslandsbanka hinn 19. janúar. Að öðru leyti virðist orðsendingin ekki hafa að geyma rangar upplýsingar, heldur annars vegar upplýsingar um atburði sem sannanlega áttu sér stað og hins vegar það persónulega mat þess sem orðsendinguna skrifar að viðkomandi einstaklingar hafi reynt að hafa fé út úr Íslandsbanka og hugsanlega öðrum aðilum. Því verður ekki mælt fyrir um leiðréttingu upplýsinganna og eðli málsins samkvæmt leysir Persónuvernd ekki úr kröfum um eyðingu eða bann við notkun upplýsinga sem fela í sér persónulegt mat eða skoðun einstaklings. Kröfur kvartanda verða hins vegar teknar til athugunar að öðru leyti.
2.1
Eyðing
Ekki þykir óeðlilegt, í ljósi málsatvika, að Glitnir, áður Íslandsbanki, hafi undir höndum upplýsingar um að kvartandi hafi verið handtekinn í tengslum við atburðina sem mál þetta er sprottið af. Því verður ekki talið að upplýsingarnar hafi verið skráðar án tilskilinnar heimildar þrátt fyrir að miðlun þeirra til SBV og annarra fjármálafyrirtækja hafi verið óheimil. Með vísan til þess verður Glitni ekki gert að eyða umræddri tilkynningu á grundvelli 1. mgr. 25. gr. laga nr. 77/2000.
Samkvæmt 2. mgr. 26. gr. laga nr. 77/2000 getur skráður aðili, standi ákvæði laga því ekki í vegi, krafist þess að upplýsingum um hann, sem málefnalegt er að varðveita, sé eytt eða notkun þeirra bönnuð ef slíkt telst réttlætanlegt út frá heildstæðu hagsmunamati. Þegar litið er til þess að Glitni kann að vera þörf á að varðveita umrædda tilkynningu ef til málshöfðunar af hálfu kvartanda kemur verður ekki, á grundvelli þessa ákvæðis, mælt fyrir um eyðingu hennar eða bann við sérhverri notkun.
Persónuvernd hefur þegar komist að þeirri niðurstöðu að miðlun Glitnis, áður Íslandsbanka, á upplýsingum um handtöku kvartanda til SBV hafi ekki verið í samræmi við lög nr. 77/2000. Að öllu jöfnu hefði því mátt fallast á kröfu kvartanda um að SBV eyddi umræddri tilkynningu þar sem samtökin höfðu ekki heimild til skráningar tiltekinna upplýsinga sem koma fram í henni. SBV framsendi tilkynninguna hins vegar til annarra fjármálafyrirtækja og kvartandi hefur sagt að hann sé að íhuga málshöfðun vegna þess. Samkvæmt 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er vinnsla viðkvæmra persónuupplýsinga heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Því verður að telja að SBV sé heimilt að varðveita tilkynningu þá sem hér um ræðir og verður ekki fallist á kröfu kvartanda um eyðingu hennar eða bann við sérhverri notkun, sbr. einnig 2. mgr. 26. gr. laga nr. 77/2000.
2.2
Aukið við upplýsingarnar
Þá stendur eftir að taka til athugunar hvort Glitni og SBV hafi verið skylt að grípa til aðgerða á þeim grundvelli að upplýsingarnar í tilkynningunni séu ófullkomnar í skilningi 1. mgr. 25. gr. laga nr. 77/2000.
Ákvæði 1. mgr. 25. gr. laga nr. 77/2000 er sett til samræmis við d-lið 1. mgr. 6. gr. tilskipunar nr. 95/46/EB. Þar er kveðið á um að upplýsingar skuli vera áreiðanlegar og, ef þörf krefur, uppfærðar og að gera verði allar eðlilegar ráðstafanir til að tryggja að upplýsingar sem eru óáreiðanlegar eða ófullkomnar, miðað við markmiðin með söfnun þeirra eða frekari vinnslu, verði afmáðar eða leiðréttar. Í samræmi við þetta tekur 1. mgr. 25. gr. m.a. til persónuupplýsinga sem eru ófullkomnar og á að tryggja að úreltar upplýsinnar séu uppfærðar, sé þess þörf.Við slíkar upplýsingar skal aukið ef það hefur áhrif á hagsmuni hins skráða og ef þeim hefur verið miðlað ber ábyrgðaraðila, eftir því sem honum er frekast unnt, að hindra að miðlunin hafi áhrif á hagsmuni hins skráða. Eðli málsins samkvæmt gildir þetta líka þegar persónuupplýsingum hefur verið miðlað með ólögmætum hætti.
Við mat á því hvaða upplýsingar teljast ófullkomnar verður að líta til þeirra markmiða sem upplýsingarnar eru unnar í, sbr. d-lið 1. mgr. 6. gr. tilskipunar nr. 95/46/EB, sbr. einnig 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Fyrir liggur að tilkynningin sem um ræðir var send í varúðarskyni til tengiliða fjármálafyrirtækja sem hafa eftirlit með öryggismálum vegna þess að sendendur hennar töldu að hætta væri á fjármálamisferli. Upplýsingar um afdrif máls kvartanda fyrir dómstólum og hjá lögreglu höfðu því augljóslega vægi að þessu leyti. SBV sendi tilkynningar, dags. 24. febrúar og 3. júlí sl., á sömu viðtakendur og fengu upphaflegu tilkynninguna þess efnis að kröfu um farbann yfir kvartanda hefði verið hafnað, að lögreglurannsókn hefði verið hætt og mál hans verið fellt niður. Því verður að telja að SBV hafi þegar sinnt skyldu 1. mgr. 25. gr. laga nr. 77/2000 að þessu leyti og ekki verður séð að kvartandi hafi hagsmuni af því að Glitnir sendi tilkynningu sama efnis á SBV eða þau fjármálafyrirtæki sem móttóku upphaflegu tilkynninguna.
Úrskurðarorð:
Miðlun Glitnis, áður Íslandsbanka, til SBV á upplýsingum um að kvartandi hafi framvísað falsaðri bankaábyrgð og haft fleiri skjöl í fórum sínum var heimil. Miðlun upplýsinga á milli sömu aðila um handtöku kvartanda var hins vegar óheimil. Sama gildir um miðlun sömu upplýsinga á milli SBV og annarra fjármálafyrirtækja.