Vinnsla persónuupplýsinga af hálfu BYKO ehf.
Mál nr. 2022091432
Í lögum nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnum hryðjuverka segir að tilkynningarskyldum aðilum beri að vinna áhættumat á starfsemi sinni, samningssamböndum og einstaka viðskiptum. Þá ber embætti ríkislögreglustjóra, skv. 1. mgr. 4. gr. sömu laga, að vinna áhættumat á tveggja ára fresti sem inniheldur greiningu og mat á hættu á peningaþvætti og fjármögnun hryðjuverka á Íslandi og leiðir til að draga úr metinni áhættu. Í áhættumati ríkislögreglustjóra var talin vera veruleg áhætta af peningaþvætti á sviði verslunar og þjónustu, einkum með hliðsjón af reiðufjárnotkun. Í þessu máli greiddi einstaklingur fyrir vörur í BYKO ehf. með reiðufé og taldi BYKO ehf. nauðsynlegt að skrá hver ætti í viðskiptunum við fyrirtækið til að uppfylla ákvæði laganna.
----
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir vinnslu persónuupplýsinga viðskiptavinar BYKO ehf. við reiðufjárkaup. Nánar tiltekið var kvartað yfir því að kvartandi hafi þurft að gefa upp kennitölu og framvísa persónuskilríkjum við reiðufjárviðskipti við BYKO ehf.
Niðurstaða Persónuverndar var sú að vinnslan hafi samrýmst ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
um kvörtun yfir vinnslu BYKO ehf. á persónuupplýsingum viðskiptavinar við reiðufjárkaup í máli nr. 2022091432:
I.
Málsmeðferð
Hinn 1. september 2022 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir kröfu um framvísun persónuskilríkja og skráningu kennitölu við reiðufjárviðskipti hans hjá BYKO ehf. á vörum að fjárhæð 115.100 krónur.
Persónuvernd bauð BYKO ehf. að tjá sig um kvörtunina með bréfi, dags. 14. júní 2023, og bárust svör fyrirtækisins með bréfi dags. 4. júlí s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör BYKO ehf. með bréfi, dags. 6. s.m., og bárust þær með tölvupósti 8. ágúst s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
___________________
Ágreiningur er um hvort BYKO ehf. hafi verið heimilt að krefja kvartanda um persónuskilríki og skrá kennitölu hans, 28. júlí 2022, þegar kvartandi átti reiðufjárviðskipti við fyrirtækið að fjárhæð 115.100 krónur.
Kvartandi byggir á að hann hafi ekki samþykkt vinnsluna. Einnig að engar lagaheimildir hafi verið fyrir vinnslunni og þeirri verklagsreglu BYKO ehf. að krefja viðskiptavini sína um persónuskilríki við reiðufjárviðskipti að 50.000 krónur eða meira. Kvartandi vísar til þess að sérstaklega sé tekið fram í s-lið 2. gr. laga nr. 140/2018, sem BYKO ehf. byggi vinnslu sína á, að ákvæðið eigi við um lögaðila og einstaklinga sem í atvinnuskyni eigi viðskipti sem greitt sé fyrir með reiðufé og að viðmiðið sé 10.000 evrur, hvort heldur sem viðskiptin fari fram í einni greiðslu eða fleiri sem tengist hver annarri. BYKO ehf. hafi því ekki uppfyllt skilyrði laganna um 10.000 evru lágmarksfjárhæð þegar fyrirtækið hafi krafið hann um persónuskilríki og skráð kennitölu hans. Þá byggir kvartandi á að í kröfu um framkvæmd áreiðanleikakönnunar, sbr. a-lið 8. gr. laganna, sé vísað til upphafs samningssambands og gefi ákvæðið því til kynna að stofnað sé til samnings um viðskiptasamband sem taki til tímabils viðskipta. Kvartandi hafi ekki átt í slíku viðskiptasambandi við BYKO ehf. enda hafi verið um einstaklingsviðskipti að ræða.
Af hálfu BYKO ehf. er byggt á heimildum í lögum nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Einnig að ríkisskattstjóri hafi skilgreint fyrirtækið, sem sé umfangsmikið á íslenskum byggingavörumarkaði, sem tilkynningarskyldan aðila samkvæmt fyrrnefndum lögum. Samkvæmt 5. gr. sömu laga beri tilkynningarskyldum aðilum að vinna áhættumat á starfsemi sinni, samningssamböndum og einstaka viðskiptum. Við það beri m.a. að hafa til hliðsjónar áhættumat ríkislögreglustjóra sem hafi verið útgefið 2019. Í áhættumatinu hafi ríkislögreglustjóri talið verulega áhættu vera af peningaþvætti á sviði verslunar og þjónustu, einkum með hliðsjón af reiðufjárnotkun. Auk þess hafi stjórnvöld sérstaklega fjallað um reiðufjárviðskipti í aðgerðaráætlun sinni gegn peningaþvætti og fjármögnun hryðjuverka frá sama tíma og hafi lagt til að takmarka fjárhæð reiðufjár sem heimilt sé að taka við vegna kaupa á vörum og þjónustu við 300.000 krónur.
Þá byggir BYKO ehf. á að byggingariðnaður hafi löngum verið álitinn áhættusamur með tilliti til tenginga við skipulagða brotastarfsemi, svarta atvinnustarfsemi og annars konar ólöglegt athæfi. Umfang reiðufjárviðskipta hafi verið mikið í byggingavöruverslunum og hjá fyrirtækjum í mannvirkjagerð samanborið við aðra geira atvinnulífsins. Til að koma í veg fyrir að fyrirtækið yrði notað sem vettvangur til að þvætta ólöglegan ávinning, hafi það verið niðurstaða áhættumats BYKO ehf. að nauðsynlegt hafi verið að herða reglur um móttöku reiðufjár.
Loks byggir BYKO ehf. á að rekstraraðilum beri að framkvæma áreiðanleikakönnun á viðskiptavinum sínum sem eigi viðskipti með reiðufé að fjárhæð er jafngildi 10.000 evrum eða meira, hvort sem viðskiptin fari fram í einni greiðslu eða fleiri sem virðast tengjast hver annarri. Ekki sé að finna í lögskýringargögnum nánari leiðsögn um hvað teljist til viðskipta sem sem fari fram með fleiri tengdum greiðslum en orðalag ákvæðisins gefi til kynna að nauðsynlegt kunni að vera að skoða viðskiptasögu viðskiptamanns í samhengi til að leggja mat á það hvort tengsl séu milli einstaka viðskipta. Auk þess eigi tilkynningarskyldir aðilar að hafa reglubundið eftirlit með samningssambandinu við viðskiptamenn sína til að tryggja að viðskipti þeirra séu í samræmi við fyrirliggjandi upplýsingar um þá, t.d. með athugun á viðskiptum sem eiga sér stað á meðan á samningssambandinu stendur, sbr. 4. mgr. 10. gr. laga nr. 140/2018. Til að uppfylla framangreinda lagaskyldu hafi BYKO ehf. talið nauðsynlegt, a.m.k. varðandi stærri einstök reiðufjárviðskipti, að rekja þau og skrá hver eigi í viðskiptunum. BYKO ehf. hafi því sett sér verklagsreglur annars vegar um að taka ekki á móti reiðufé umfram 300.000 krónur og að krefjast auðkenningar fari viðskipti þar sem greitt sé með reiðufé yfir 50.000 krónur í hvert sinn. Þannig hafi fyrirtækið getað tryggt rekjanleika stærri viðskipta um leið og meðalhófs gagnvart viðskiptamönnum félagsins væri gætt, enda feli langflest viðskipti með reiðufé í sér lægri fjárhæðir en 50.000 krónur.
II.
Niðurstaða
1.
Lagaumhverfi
Mál þetta lýtur að framvísun persónuskilríkja og skráningu kennitölu við reiðufjárviðskipti hjá BYKO ehf. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.BYKO ehf. telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins.
Notkun kennitölu er auk framangreinds háð því að hún eigi sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu, sbr. 13. gr. laga nr. 90/2018.
Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Koma í því sambandi einkum til skoðunar lög nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Verður í úrskurði þessum vikið að einstaka ákvæðum framangreindra laga eftir því sem við á.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins.
2.
Lögmæti vinnslu
Markmið laga nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka er að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka með því að skylda aðila sem stunda starfsemi er kann að verða notuð til peningaþvættis eða fjármögnunar hryðjuverka til að þekkja deili á viðskiptamönnum sínum og starfsemi þeirra og tilkynna um það til lögbærra yfirvalda vakni grunur um eða verði þeir varir við slíka ólögmæta starfsemi, sbr. 1. mgr. laganna. Í 2. gr. laganna er fjallað um gildissvið þeirra og þeir aðilar tilgreindir sem lögunum er ætlað að taka til. Samkvæmt s-lið 1. mgr. 2. gr. laganna fellur starfsemi þar sem lögaðilar og einstaklingar sem í atvinnuskyni eiga viðskipti þar sem greitt er fyrir með reiðufé, hvort sem viðskiptin fara fram í einni greiðslu eða fleiri sem virðast tengjast hver annarri, að fjárhæð 10.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni. Samkvæmt skýringum BYKO ehf. og skilgreiningu ríkisskattstjóra, sem hefur ásamt Fjármálaeftirlitinu eftirlit með því að tilkynningarskyldir aðilar fari að ákvæðum laganna, telst fyrirtækið tilkynningaskyldur aðili og gilda því lög nr. 140/2018 um starfsemi þess.
Í 8. gr. laga nr. 140/2018 er fjallað um þau tilvik þegar tilkynningarskyldum aðilum ber að kanna áreiðanleika viðskiptamanna sinna, þ. á m. við upphaf samningssambands (a-liður) og við viðskipti með vöru eða þjónustu sem greitt er fyrir með reiðufé, hvort sem viðskiptin fara fram í einni greiðslu eða fleiri sem virðast tengjast hver annarri, að fjárhæð 10.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni (d-liður) og þegar grunur leikur á um peningaþvætti eða fjármögnun hryðjuverka, án tillits til hvers konar undanþága eða takmarkana (f-liður).
Í athugasemdum við 8. gr. í frumvarpi er varð að lögum nr. 140/2018 segir m.a. að með einstökum viðskiptum sé eingöngu átt við viðskipti aðila sem ekki eru í viðvarandi samningssambandi við tilkynningarskyldan aðila. Þá segir enn fremur að tilkynningarskyldir aðilar þurfi að haga starfsemi sinni og eftirlitskerfum með þeim hætti að unnt sé að greina margar lægri færslur sem tengist sama aðila eða sömu viðskiptum. Í 10. gr. laga nr. 140/2018 segir einnig að áður en samningssambandi sé komið á eða áður en viðskipti eigi sér stað skuli tilkynningarskyldur aðili gera kröfu um að einstaklingar sanni á sér deili með framvísun viðurkenndra persónuskilríkja.
Í ljósi framangreindra lagaákvæða og lögskýringargagna er BYKO ehf. gert að fylgjast með reiðufjárviðskiptum viðskiptamanna sinna hvort heldur sem þeir eiga í viðvarandi viðskiptasambandi við fyrirtækið eða í einstaka viðskiptum og tengja saman greiðslur sem stafa frá sama viðskiptamanni. Eðli málsins samkvæmt verður það ekki gert nema að fyrirtækið viti deili á viðskiptamanninum.
Sú vinnsla persónuupplýsinga, sem kvörtunin lýtur að, fór fram á grundvelli laga nr. 140/2018 og fór fram í þeim tilgangi að persónugreina kvartanda og skrá kennitölu hans í sölukerfi fyrirtækisins svo tengja mætti aðrar greiðslur kvartanda saman og framfylgja þannig lögbundnu eftirliti fyrirtækisins með reiðufjárnotkun viðskiptamanna sinna.
Að framangreindu virtu er það mat Persónuverndar að vinnslan hafi getað stuðst við 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þess efnis að vinnslan hafi verið nauðsynleg til að uppfylla þá lagaskyldu sem hvílir á BYKO ehf. samkvæmt lögum nr. 140/2018. Auk þess er það mat Persónuverndar að skráning kennitölu kvartanda, eins og hér háttar til, hafi átt sér málefnalegan tilgang og hafi verið nauðsynleg til að tryggja örugga persónugreiningu til að framfylgja kröfum laganna, sbr. 13. gr. laga nr. 90/2018.
Þá verður ekki séð að vinnslan hafi brotið gegn meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Að öllu framangreindu virtu er það niðurstaða Persónuverndar að sú vinnsla sem er til úrlausnar hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vinnsla BYKO ehf. á persónuupplýsingum [A] samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Persónuvernd, 14. nóvember 2023
Edda Þuríður Hauksdóttir Rebekka Rán Samper