Leyfi; vinnsla fjárhagsupplýsinga
Ákvörðun
um heimild til vinnslu almennra persónuupplýsinga
samkvæmt 3. mgr. 8. gr. laga nr. 77/2000
Persónuvernd hefur tekið ákvörðun varðandi:
- umsóknir frá Íbúðalánasjóði, NBI hf., Nýja Glitni Banka hf., Nýja Kaupþingi Banka hf., Frjálsa fjárfestingabankanum hf., Lýsingu hf., Avant hf., SP-Fjármögnun, Sparisjóði Ólafsfjarðar, SPRON, Sparisjóði Þórshafnar og nágrennis, Sparisjóði Mýrasýslu, Sparisjóðnum í Keflavík, Sparisjóði Svarfdæla og Sparisjóðinum Dalvík, BYR sparisjóði, Sparisjóði Bolungarvíkur, AFL – sparisjóði, Sparisjóði Suður-Þingeyinga, Sparisjóði Norðfjarðar, Sparisjóði Strandamanna, Sparisjóði Vestmannaeyja og Sparisjóði Höfðahverfis um leyfi til að miðla til Seðlabanka Íslands upplýsingum um viðskiptavini sína;
og varðandi
- umsókn Seðlabanka Íslands um leyfi til að samkeyra upplýsingarnar.
I.
Upphaf og meðferð máls
Umsókn vegna framangreindrar vinnslu f.h. Seðlabanka Íslands barst Persónuvernd þann 21. janúar 2009, með tölvupósti frá M, hdl. Umsóknir annarra bárust 2., 3. og 6. febrúar. Í upphaflegri umsókn sagði að tilgangur vinnslunnar væri að leggja mat á „áhrif kreppunnar á efnahagsreikninga heimila og getu þeirra til að standa undir aukinni greiðslubyrði þegar kaupmáttur rýrnar og atvinna dregst saman". Sagði að upplýsingar myndu „nýtast við mat á fjármálastöðugleika og stefnumörkun á því sviði. Upplýsingarnar [myndu] sömuleiðis nýtast til að leggja mat á aðgerðir til að koma til móts við heimilin í landinu".
Persónuvernd óskaði eftir nánari tilgreiningu á því hvaða einstaklinga unnið yrði með upplýsingar um. Þann 6. febrúar 2009 svaraði M, hdl. Í svarinu kom fram að unnið yrði með upplýsingar um alla einstaklinga sem séu á Þjóðskrá og hafi kennitölu.
Í umsókn sagði að öll persónuauðkenni yrðu dulkóðuð. Var lýst aðferð við sendingu gagna um netið og notkun „IPS"-dulkóðunarkerfis. Þann 28. janúar var haldinn fundur hjá Persónuvernd með fulltrúum umsækjenda og farið yfir aðferðir til að tryggja áreiðanleika vinnslunnar. Meðal annars voru ræddar aðrar leiðir en að flytja gögn um netið. Var rædd sú leið að öll vinnsla persónuupplýsinga færi fram á vélbúnaði í umsjá tilsjónarmanns sem Persónuvernd myndi semja við og að Seðlabankinn myndi greiða kostnað af vinnu hans. Síðar þann sama dag barst Persónuvernd svohljóðandi yfirlýsing frá Seðlabankanum:
„Með vísan til umsóknar Seðlabanka Íslands til Persónuverndar um vinnslu persónuupplýsinga, f. h. fjármálafyrirtækja sem ábyrgðaraðila gagna, og með vísan til fundar sem haldinn var hjá Persónuvernd í dag, telur Seðlabanki Íslands ekkert því til fyrirstöðu að við framkvæmd vinnslunnar verði farin sú leið sem kom fram á fundinum. Fólst sú leið í því að í stað þess að dulkóðun gagna færi fram hjá vinnsluaðila, myndi dulkóðun gagna eiga sér stað í tölvu í vörslu Persónuverndar undir eftirliti tilsjónarmanns stofnunarinnar."
Með tölvupósti, dags. 30. janúar sl., staðfesti M, hdl., að Seðlabankinn myndi standa straum af þeim kostnaði sem hlýst af vinnu tilsjónarmanns.
II.
Ákvörðun
1.
Gildissvið laga nr. 77/2000
Lögmæti vinnslu, almennt
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og handvirka vinnslu slíkra upplýsinga, sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, sbr. 1. tölul. 2. gr. laganna. Í máli þessu er um að ræða slíkar upplýsingar. Í skilningi laganna er vinnsla sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af því leiðir að miðlun persónuupplýsinga og samkeyrsla, slík sem hér um ræðir, er vinnsla í skilningi laganna.
Mál þetta lýtur að almennum persónuupplýsingum. Vinnsla með þær þarf að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Þótt ekki sé ljóst að vinnsla geri það segir í 3. mgr. að Persónuvernd geti heimilað hana telji hún brýna almannahagsmuni eða hagsmuni einstaklinga mæla með því. Skal Persónuvernd binda heimild sína þeim skilyrðum sem hún telur nauðsynleg hverju sinni. Ákvæðið ber að skýra með hliðsjón af markmiðsákvæðum 1. mgr. 1. gr. laga nr. 77/2000, en þar kemur fram að markmið þeirra sé m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs.
2.
Leyfi
Að virtu því sem að framan greinir, og í ljósi ákvæða IV. kafla laga nr. 36/2001, um Seðlabanka Íslands, og þess tilgangs sem að baki umræddri vinnslu býr, og þess að aðeins er um tímabundna vinnslu að ræða en ekki undirbúning að gerð gagnagrunns með persónuupplýsingum um hina skráðu, hefur Persónuvernd ákveðið að :
- heimila Íbúðalánasjóði, NBI hf., Nýja Glitni Banka hf., Nýja Kaupþingi Banka hf., Frjálsa fjárfestingabankanum hf., Lýsingu hf., Avant hf., SP-Fjármögnun, Sparisjóði Ólafsfjarðar, SPRON, Sparisjóði Þórshafnar og nágrennis, Sparisjóði Mýrasýslu, Sparisjóðnum í Keflavík, Sparisjóði Svarfdæla og Sparisjóðinum Dalvík, BYR sparisjóði, Sparisjóði Bolungarvíkur, AFL – sparisjóði, Sparisjóði Suður-Þingeyinga, Sparisjóði Norðfjarðar, Sparisjóði Strandamanna, Sparisjóði Vestmannaeyja og Sparisjóði Höfðahverfis að miðla til Seðlabanka Íslands upplýsingum um viðskiptavini sína varðandi þau atriði sem greinir á fylgiskjali nr. 1 með ákvörðun þessari;
og
- heimila Seðlabanka Íslands að samkeyra þær upplýsingar sem hann fær frá framangreindum aðilum.
Framangreind heimild er bundin eftirfarandi skilmálum:
2.1.
Sérstakir skilmálar
1. Tilsjón
Öll vinnsla með persónuupplýsingar í þágu verkefnisins skal fara fram undir eftirliti manns sem Persónuvernd velur. Þegar samið hefur verið við hann og leyfi þetta hefur öðlast gildi getur vinnsla hafist.
2. Tilsjónarmaður, nánar
- Haga skal allri vinnslu í samræmi við lýsingu sem tilsjónarmaðurinn gefur leyfishöfum. Geri þeir athugarsemdir frestar það gildistöku leyfis þessa.
- Rísi einstök álitaefni varðandi strörf tilsjónarmanns, meðan á vinnslu persónuuupplýsinga stendur, skulu mál borin undir Persónuvernd.
- Allur kostnaður vegna vinnu tilsjónarmanns skal greiddur af Seðlabanka Íslands.
3. Framkvæmd
Vinnsla skal framkvæmd þannig að:
3.1. - Fjármálastofnanir skrá á geisladiska þær persónuupplýsingar um viðskiptavini sína sem tilgreindar eru á fylgiskjali nr. 1 með ákvörðun þessari, í því formi og á því skráarsniði sem Seðlabanki Íslands ákveður og tilsjónarmaður samþykkir, að fengnum fyrirmælum Persónuverndar. Fjármálastofnunum er aðeins að heimilt afhenda diskana beint til Seðlabanka Íslands, en þó – í því skyni að verja þá aðgangi – aðeins með aðferð sem tilsjónarmaðurinn hefur samþykkt.
- Tilsjónarmaður tryggir að ekki sé unnið með persónuupplýsingar frá öðrum aðilum en sem leyfi þetta tekur til.
3.2. - Seðlabanki Íslands skal leggja til fartölvu sem uppfyllir settar kröfur tilsjónarmanns. Skal öll vinnsla framangreindra persónuupplýsinga á persónugreinanlegu formi fara fram á þeirri vél.
- Vélin skal geymd í skjalageymslu Persónuverndar milli þess sem vinnsla samkvæmt leyfi þessu fer fram.
- Á vélinni skal setja upp dulkóðunarbúnað sem notaður verður til að dulkóða kennitölur og fjölskyldunúmer með einkvæmum hætti. Skal lýsing búnaðarins og dulkóðunaraðferð hafa verið samþykkt af tilsjónarmanni.
- Til að fyrirbyggja allan hugsanlegan aðgang að unnum persónuupplýsingum, þ. á m. aðgang tilsjónarmanns Persónuverndar og hennar sjálfrar, skal þess gætt við upphafsuppsetningu vélarinnar að fulltrúi Seðlabanka Íslands velji lykilorð, sem hann einn skal kunna, fyrir eina aðganginn að vélinni. Skal viðkomandi fulltrúi læsa henni í hvert sinn sem hún er flutt úr starfsstöð Seðlabankans. Skal þetta fara fram í viðurvist tilsjónarmanns.
- Nota skal vélina til þess að lesa fyrrgreindar persónuupplýsingar af geisladiskum á harðan disk fartölvunnar. Að hverjum innlestri loknum skal tilsjónarmaður eyðileggja viðkomandi geisladisk. Því næst skal dulkóðun kennitalna og fjölskyldunúmera fara fram á fartölvunni. Skal textaskrá með dulkóðuðum kennitölum og fjölskyldunúmerum brennd á geisladisk í fartölvunni og því næst lesin af þeim diski inn á tölvubúnað Seðlabanka Íslands undir eftirliti tilsjónarmanns. Að loknum hverjum slíkum útlestri gagna skal tilsjónarmaður eyðileggja viðkomandi geisladisk.
- Eftir að vinnslu lýkur og fram til loka gildistíma leyfis þessa, sbr. lið 4 hér að neðan, skal vél varðveitt hjá Persónuvernd. Að þeim tíma liðnum skal tilsjónarmaður sjá til þess að eini varanlegi gagnamiðill (harður diskur) fartölvunnar sé eyðilagður. Að því búnu ber tilsjónarmanni að skila henni til Seðlabanka Íslands.
3.3. - Ef leyfishafar kjósa, s.s. til hagræðingar, að semja við vinnsluaðila um framkvæmd dulkóðunar er það heimilt enda séu þá virt ákvæði 13. gr. laga nr. 77/2000 og tryggt að framangreindar aðgerðir fari fram í viðurvist tilsjónarmanns.
4.Gildistími
Leyfi þetta tekur gildi um leið og Persónuvernd hefur samið við tilsjónarmann. Það rennur út 9. febrúar árið 2010.
2.2.
Almennir skilmálar
A. Lögmæt vinnsla persónuupplýsinga og þagnarskylda
a. Leyfi þetta heimilar einvörðungu að miðlað sé framangreindum persónuupplýsingum, sbr. fylgiskjal I, og aldrei upplýsingum sem ekki geta haft gildi fyrir verkefni um mat á áhrifum fjármálakreppunnar á heimilin í landinu.
b. Leyfishafar bera ábyrgð á því að sú vinnsla persónuupplýsinga, sem leyfi þetta tekur til, fullnægi ávallt kröfum 1. mgr. 7. gr. laga nr. 77/2000.
c. Farið skal með persónuupplýsingar í samræmi við lög nr. 77/2000 og reglur nr. 299/2001 um öryggi persónuupplýsinga. Hvílir þagnarskylda á leyfishöfum og öðrum þeim sem koma að vinnu við framangreint verkefni. Þagnarskylda helst þótt látið sé af störfum. Brot á slíkri þagnarskyldu varðar refsingu samkvæmt 136. gr. almennra hegningarlaga.
B. Öryggi við vinnslu persónuupplýsinga
a. Leyfishöfum ber að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi í samræmi við 11. og 12. gr. laga nr. 77/2000, sbr. reglur nr. 299/2001 um öryggi persónuupplýsinga. Í 11. gr. laganna er m.a. áskilið:
að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra; og
að tryggja skuli að áhættumat og öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar um hvernig tryggja skal öryggi upplýsinga, þ.m.t. þá staðla sem hún ákveður að skuli fylgt.
b. Leyfishafar bera ábyrgð á því að hverjir þeir er starfa í umboði þeirra og hafa aðgang að persónuupplýsingum vinni aðeins með þær í samræmi við skýr fyrirmæli sem þeir gefa og að því marki að falli innan skilyrða leyfis þessa, nema lög mæli fyrir á annan veg, sbr. 3. mgr. 13. gr. laga nr. 77/2000.
C. Almennir skilmálar
a. Leyfishafar bera ábyrgð á að farið sé með öll persónuauðkennd gögn í samræmi við lög, reglur og ákvæði þessa leyfis.
b. Leyfishafar ábyrgjast að engir fái í hendur persónugreinanleg gögn, sem sérstaklega er unnið með vegna þeirrar vinnslu sem leyfi þetta tekur til, nema þeir hafi til þess heimild samkvæmt ákvæðum leyfisins.
c. Leyfishöfum ber að veita Persónuvernd, starfsmönnum og tilsjónarmanni hennar allar umbeðnar upplýsingar um vinnslu persónuupplýsinga sé eftir því leitað í þágu eftirlits. Brot á ákvæði þessu getur varðað afturköllun á leyfinu.
d. Persónuvernd getur látið gera úttekt á því hvort leyfishafar fullnægi skilyrðum laga nr. 77/2000 og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Getur Persónuvernd ákveðið að leyfishafar greiði þann kostnað sem af því hlýst. Semji Persónuvernd við sérfræðing skal hún gæta þess að hann undirriti yfirlýsingu um að hann lofi að gæta þagmælsku um það sem hann fær vitneskju um í starfsemi sinni og leynt ber að fara eftir lögum eða eðli máls. Brot á slíkri þagnarskyldu varðar refsingu samkvæmt 136. gr. almennra hegningarlaga. Þagnarskyldan helst þótt látið sé af starfi.