Vinnsla persónuupplýsinga af hálfu Landsbankans hf.
Mál nr. 2021061295
Notkun kennitölu er heimil ef hún á sér málefnalegan tilgang og er nauðsynleg til að að tryggja örugga persónugreiningu. Í þessu máli vildi kvartandi leggja inn reiðufé á bankareikning og dugði nafn hans ekki eitt og sér til að tryggja örugga persónugreiningu í bankaviðskiptum.
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir skráningu kennitölu við reiðufjárviðskipti í útibúi Landsbankans hf. Nánar tiltekið krafðist bankinn þess að fá kennitölu kvartanda þegar hann lagði inn reiðufé á bankareikning dóttur sinnar hjá útibúi bankans.
Niðurstaða Persónuverndar var sú að vinnsla Landsbankans hf. á persónuupplýsingum hafi samrýmst ákvæðum laga um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
um kvörtun yfir vinnslu persónuupplýsinga við reiðufjárviðskipti af hálfu Landsbankans hf. í máli nr. 2021061295:
I.
Málsmeðferð
Hinn 7. júní 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir kröfu Landsbankans hf. (hér eftir Landsbankinn) um skráningu kennitölu hans við reiðufjárviðskipti í útibúi bankans.
Persónuvernd bauð Landsbankanum að tjá sig um kvörtunina með bréfi, dags 28. júlí 2021, og bárust svör bankans með bréfi dags. 13. ágúst 2021. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Landsbankans með bréfi, dags. 26. ágúst 2021, og bárust þær með bréfi dags. 27. september 2021. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi ákvörðun.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
___________________
Ágreiningur er um hvort Landsbankanum hafi verið heimilt að krefjast kennitölu kvartanda þegar hann lagði inn reiðufé að fjárhæð 99.000 krónur á bankareikning dóttur sinnar hjá bankanum.
Kvartandi telur að Landsbankanum hafi ekki verið heimilt að krefjast kennitölu hans við umrædd viðskipti. Hann bendir á að Persónuvernd hafi úrskurði í máli nr. 583/2010 komist að þeirri niðurstöðu að Landsbanka Íslands/NBI hf. hafi verið óheimilt að skrá kennitölu einstaklings þegar hann hugðist greiða tvo greiðsluseðla fyrir annan einstakling. Þá telur kvartandi að ákvæði laga nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, leggi ekki þær kröfur á fjármálafyrirtæki að kanna áreiðanleika viðskiptamanna þegar fjárhæðir viðskipta ná ekki viðmiðunarfjárhæð samkvæmt lögunum. Ákvæði laganna um bann við nafnlausum viðskiptum eigi heldur ekki við þar sem kvartandi hugðist leggja reiðuféð inn á reikning í nafni ákveðins einstaklings.
Landsbankinn telur að vinnslan byggist á lagaskyldu sem kveði á um að fjármálafyrirtækjum sé bannað að bjóða upp á nafnlaus viðskipti. Þá sé mikilvægt að bankinn geti metið hvort einstök viðskipti eða færslur geti tengst hver annarri og þannig náð viðmiði sem lög nr. 140/2018 gera skilyrðislausa kröfu um að framkvæmd sé áreiðanleikakönnun á. Skráning kennitölu sé jafnframt nauðsynleg til að tryggja örugga persónugreiningu, en reiðufjárviðskipti feli í sér áhættusöm viðskipti líkt og fram komi í gildandi áhættumati Ríkislögreglustjóra vegna peningaþvættis og fjármögnunar hryðjuverka. Þá sé notkun kennitölu nauðsynleg í þágu öryggis og rekjanleika viðskipta, m.a. til að viðhafa nauðsynlegar varúðarráðstafanir til að tryggja áreiðanleika viðskipta, geta leiðrétt hugsanleg mistök í afgreiðslu og/eða upplýsa um auðkennaþjófnað, fjársvik, peningaþvætti eða annars konar refsiverðan verknað í starfsemi bankans.
II.
Niðurstaða
1.
Lögmæti vinnslu
Mál þetta lýtur að skráningu Landsbankans á kennitölu kvartanda við reiðufjárviðskipti í útibúi bankans. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 og reglugerðar (ESB) 2016/679 og þar með valdsvið Persónuverndar. Landsbankinn telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul. lagaákvæðisins).
Loks er notkun kennitölu háð því að hún eigi sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu, sbr. 13. gr. laga nr. 90/2018.
Við mat á lögmæti vinnslu samkvæmt framangreindum ákvæðum verður að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Landsbankinn er fjármálafyrirtæki og fellur undir gildissvið laga nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, sbr. a.-lið 1. mgr. 2. gr. þeirra, og er tilkynningaskyldur aðili samkvæmt sömu lögum, sbr. 17. tölul. 3. gr. laganna.
Markmið laga nr. 140/2018 er að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka með því að skylda aðila, sem stunda starfsemi sem kann að vera notuð til peningaþvættis eða fjármögnunar hryðjuverka, til að þekkja deili á viðskiptamönnum sínum og starfsemi þeirra og tilkynna um það til lögbærra yfirvalda vakni grunur um eða verði þeir varir við slíka ólögmæta starfsemi, sbr. 1. gr. laganna.
Þá er tilkynningarskyldum aðilum óheimilt að bjóða upp á nafnlaus viðskipti, sbr. 1. mgr. 7. gr. laga nr. 140/2018. Á þetta bann við óháð því hvort tilkynningarskyldum aðila beri að framkvæma áreiðanleikakönnun samkvæmt 8. gr. laganna. Í athugasemdum við 7. gr. í frumvarpi því sem varð að lögum nr. 140/2018 segir að með ákvæðinu sé tekinn af allur vafi um að tilkynningarskyldum aðilum sé óheimilt að bjóða upp á nafnlaus viðskipti. Ákvæðið taki til allra viðskipta, hvaða nafni sem þau nefnist, svo sem innlánsreikninga, fjárvörslureikninga, geymsluhólfa, eignastýringar, stofnunar fyrirtækja, stafrænna veskja o.s.frv. Hliðstætt ákvæði var ekki að finna í lögum nr. 64/2006 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, sem voru í gildi þegar úrskurður Persónuverndar í máli nr. nr. 583/2010 var kveðinn upp.
Að mati Persónuverndar ber að skýra ákvæði 1. mgr. 7. gr. laga nr. 140/2018 með hliðsjón af markmiði laganna, eins og það er ákvarðað í 1. gr. þeirra, og framangreindum athugasemdum í frumvarpi því sem varð að lögunum. Verður samkvæmt því að miða við að í banni við nafnlausum viðskiptum samkvæmt 1. mgr. 7. gr. laganna felist jafnframt krafa um að tilkynningarskyldir aðilar þekki deili á viðskiptamönnum sínum. Sú skylda taki jafnt til eigenda reikninga sem og þeirra sem hyggjast leggja reiðufé inn á reikninga hjá fjármálastofnunum sem þeir eiga ekki sjálfir.
Persónuvernd telur mega fallast á að nafn viðskiptamanna dugi ekki eitt og sér til þess að að tryggja örugga persónugreiningu í bankaviðskiptum. Af því leiðir að tilkynningarskyldum aðila er í reynd nauðsynlegt að afla frekari upplýsinga til persónugreiningar viðskiptamanna í því skyni að fullnægja þeirri lagaskyldu sem á honum hvílir samkvæmt 1. mgr. 7. gr. laga nr. 140/2018, eins og ákvæðið er skýrt hér að framan.
Að þessu gættu telur Persónuvernd mega líta svo á að Landsbankanum hafi verið nauðsynlegt að skrá kennitölu kvartanda til að tryggja örugga persónugreiningu hans, í þeim tilgangi að uppfylla þær kröfur sem hvíldu á bankanum samkvæmt lögum nr. 140/2018.
Með hliðsjón af öllu framangreindu er það mat Persónuverndar að vinnsla Landsbankans á persónuupplýsingum um kvartanda hafi verið heimil á grundvelli 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018, þess efnis að vinnslan hafi verið nauðsynleg til að uppfylla þá lagaskyldu sem hvíldi á bankanum samkvæmt 1. mgr. 7. gr. laga nr. 140/2018. Þá verður ekki talið að vinnsla persónuupplýsinga hjá Landsbankanum hafi farið gegn meðalhófsreglu 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, eða öðrum meginreglum löggjafarinnar. Loks hafi vinnslan samrýmst ákvæði 13. gr. laga nr. 90/2018 sem lýtur að notkun kennitölu. Vinnslan samrýmdist því lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vinnsla Landsbankans hf. á persónuupplýsingum um [A] samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679.
Persónuvernd, 10. júlí 2023
Helga Sigríður Þórhallsdóttir Bjarni Freyr Rúnarsson