Flutningur persónuupplýsinga frá banka

I.
Erindi A,
dags. 11. janúar 2012

Hinn 11. janúar 2012 barst Persónuvernd erindi frá yður um miðlun persónuupplýsinga um yður og fjölskyldu yðar frá Sparisjóði vélstjóra til Byrshf. Í erindinu segir að þér séuð ekki sáttir við að upplýsingar hafi farið milli bankanna.

Með bréfi, dags. 9. febrúar 2012, var Byr hf. veittur kostur á að tjá sig um erindi yðar. Svar barst frá Íslandsbanka hf., en hann hafði tekið Byr hf. yfir. Svarið er dags. 21. febrúar 2012. Í því segir m.a.:

„Hvað varðar miðlun upplýsinga frá Byr sparisjóði til Byrs hf. þá telur Íslandsbanki að sú ákvörðun eigi sér stoð í ákvörðun FME dags. 22. apríl 2010 (tilvísun 2010040043) en ákvörðunin er tekin með stoð í VI. ákvæði til bráðabirgða í lögum nr. 161/2002 um fjármálafyrirtæki, sbr. VI. ákvæði til bráðabirgða í lögum nr. 44/2009. Með ákvörðun FME verður að telja að öll réttindi og skyldur Byrs sparisjóðs hafi flust yfir til Byrs hf. nema að sérstaklega hafi verið kveðið á um annað skv. ákvörðun FME. Að mati bankans átti þetta einnig við um þau réttindi og skyldur er snertu persónuupplýsingar og átt geta undir gildissvið persónuverndarlaga. Telji Persónuvernd svo ekki vera telur bankinn að taka eigi tillit til eftirfarandi varðandi miðlun upplýsinga um innstæður. Ljóst er að Byr hf. tók yfir þær skyldur gagnvart viðskiptavinum og má ljóst vera að ef afla ætti samþykkis allra viðskiptavina þá hefði hlotist af því verulegt óhagræði fyrir viðskiptavini. Sama á við um greiðendur krafna er Byr hf. eignaðist við yfirfærsluna frá Byr sparisjóði. Aukinheldur verður að telja að skilyrði 4. mgr. 21. gr. persónuverndarlaga séu hér uppfyllt að því er varðar alla töluliði ákvæðisins. Ljóst er að ekki var aðeins um hagsmuni hins nýja banka að ræða heldur hagsmuni þúsunda viðskiptavina hans.“

Persónuvernd ákvað einnig að bera málið undir Fjármálaeftirlitið, þ.e. um ráðstöfunarrétt yfir upplýsingum í slíkum tilvikum. Fjármálaeftirlitið svaraði með bréfi, dags. 17. febrúar 2012, þar sem það vísar til úrskurðar Persónuverndar, dags. 13. ágúst 2009. Í bréfinu segir m.a.:

„Á sambærilegt álitaefni reyndi við sölu Glitnis banka hf., á einu útibúa sinna til Sparisjóðs Siglufjarðar 2006. Í tilefni þess máls sendi Fjármálaeftirlitið bréf, dags. 1. júlí 2009, til Persónuverndar þar sem m.a. kom fram að sala á útibúi fjármálafyrirtækis sé að mati Fjármálaeftirlitsins sala á rekstrareiningu sem falli undir 1. mgr. 106. gr. laga nr. 161/2002 um fjármálafyrirtæki. Jafnframt kom þar fram að Fjármálaeftirlitið telji heimilt að yfirfæra þagnarskyldar upplýsingar um viðskiptamenn skv. 1. mgr. 58. gr. laganna án samþykkis þeirra, sé um að ræða yfirfærslu sem tilkomin er vegna samruna í skilningi 106. gr. laganna. Jafnframt var bent á að móttakandi upplýsinganna er háður sams konar eftirliti og þagnarskyldu og sá sem lét þær af hendi.

Stjórn Persónuverndar kvað þann 13. ágúst 2009 upp úrskurð um yfirfærslu persónuupplýsinga í úrskurði sínum nr. 2006/686. Í úrskurðarorði kom fram að miðlun viðskiptamannaupplýsinga til Sparisjóðs Siglufjarðar í tilefni af sölu á útibúi Glitnis á Siglufirði hefði verið heimil.

Sömu sjónarmið og að framan er getið eiga við um samruna Sparisjóðs vélstjóra og Sparisjóðs Hafnarfjarðar í BYR […]. Við samruna framangreindra félaga var viðeigandi ákvæðum laga fylgt m.a. 106. gr. laga nr. 161/2002 og ákvæðum hlutafélagalaga nr. 2/1995, m.a. hvað varðar auglýsingar í Lögbirtingablaðinu og tímafresti til að gera athugasemdir við yfirfærslu innlánsreikninga.

Í þessu samhengi skal þess getið að samkvæmt ákvæði 6. mgr. 106. gr. laga nr. 161/2002 er gert ráð fyrir því að við samruna séu yfirfærð ýmis réttindi viðskiptavina svo sem innlánsreikningar og skuldaskjöl. Ljóst er að við yfirfærslu slíkra réttinda fylgja upplýsingar um viðskiptavini. Ef sú krafa væri gerð að hver og einn viðskiptavinur þyrfti að samþykkja yfirfærslu sinna réttinda til yfirtökufélagsins yrði framkvæmd samruna svo íþyngjandi að hann gæti ekki farið fram.“

Yður hafa verið send bréf, dags. 9. febrúar og 14. mars 2012. Með því síðara voru yður kynnt framangreind svör Íslandsbanka og FME  og gefinn kostur á athugasemdum. Engar bréflegar athugasemdir bárust. Þér hafið hins vegar í nokkur skipti mætt á skrifstofu Persónuverndar, ásamt hópi annarra manna sem sent hafa stofnuninni, áþekk erindi vegna ýmissa ábyrgðaraðila. Málið var rætt á fundi stjórnar Persónuverndar hinn 13. þ.m. Varð að ráði að senda yður almenn svör, reifa lagaumhverfið og skýra helstu sjónarmið. Fer svarið hér á eftir.

II.
Svar Persónuverndar

Í 1. mgr. 8. gr. laga nr. 77/2000 eru almennar reglur um heimildir fyrir vinnslu persónuupplýsinga. Er vinnsla persónuupplýsinga heimil ef einhver þeirra skilyrða, sem þar eru talin upp, eru uppfyllt. Það á m.a. við um miðlun persónuupplýsinga til þriðja aðila. Er hún þar af leiðandi háð því að eitthvert af skilyrðum 1. mgr. 8. gr. sé uppfyllt. Almennt er ekki gerð sama krafa að því er varðar afhendingu til vinnsluaðila, yfirfærslu milli stofnana sem hafa verið sameinaðar með lögum eða yfirfærslu milli fyrirtækja sem hafa runnið saman með lögmætum hætti. Af því tilefni þarf að rekja aðdraganda þess að sú yfirfærsla upplýsinga til Byrs hf., sem erindi yðar lýtur að, átti sér stað.

Í febrúar 2007 hafði Sparisjóður vélstjóra tekið yfir Sparisjóð Hafnarfjarðar og var nafni Sparisjóðs vélstjóra breytt í Byr sparisjóður. Hinn 22. apríl 2010 tók Fjármálaeftirlitið ákvörðun um að eignum og skuldum Byrs sparisjóðs skyldi ráðstafað til Byrs hf. Ákvörðunin var tekin með stoð í VI. ákvæði til bráðabirgða í lögum nr. 161/2002 um fjármálafyrirtæki, sbr. lög nr. 44/2009, en sams konar ákvæði hafði áður verið í 101. gr. a, sbr. lög nr. 125/2008 um heimild til fjárveitingar úr ríkissjóði vegna sérstakra aðstæðna á fjármálamarkaði o.fl. Samkvæmt 3. mgr. umrædds bráðabirgðaákvæðis getur Fjármálaeftirlitið, ef aðstæður eru mjög knýjandi, tekið yfir vald hluthafafundar eða fundar stofnfjáreigenda í því skyni að taka ákvarðanir um nauðsynlegar aðgerðir, m.a. takmarkað ákvörðunarvald stjórnar, vikið stjórn frá að hluta til eða í heild sinni, tekið yfir eignir, réttindi og skyldur fjármálafyrirtækis í heild eða að hluta eða ráðstafað slíku fyrirtæki í heild eða að hluta. Ákvæði bráðabirgðaákvæðisins hafa m.a. það markmið að unnt sé að ráðstafa öllum réttindum og skyldum fjármálafyrirtækis til nýs fyrirtækis taki Fjármálaeftirlitið ákvörðun þar að lútandi. Til að framfylgja slíkri ákvörðun fær hið nýja fyrirtæki aðgang að nauðsynlegum upplýsingum um viðskiptamenn hins fyrra svo ekki verði rof á starfsemi.

Á meðal þess sem fram kemur í framangreindri ákvörðun FME, dags. 22. apríl 2010, er að Byr hf. taki við öllum réttindum sem tengjast kröfum Byrs sparisjóðs, sbr. 2. tölul. ákvörðunarinnar. Þá kemur m.a. fram að Byr hf. taki við öllum innistæðum, sbr. 7. tölul. Með ákvörðuninni færðist ráðstöfun upplýsinga frá Byr sparisjóði til Byrs hf.

Eins og að framan greinir hefur yfirfærsla persónuupplýsinga við lögmæt eigendaskipti ekki verið lögð að jöfnu við miðlun þeirra til þriðja aðila sem þarf að styðjast við eitthvert af heimildarákvæðum 1. mgr. 8. gr. laga nr. 77/2000. Þó er það forsenda að um lögmæt viðskipti hafi verið að ræða og að vinnsla beggja aðilanna, fyrri eigandans og þess nýja, samrýmist að öðru leyti lögum nr. 77/2000. Í því sambandi má nefna að hinn 28. október 2011 voru kveðnir upp ellefu dómar í Hæstarétti, í málum sem voru sprottin af setningu framangreindra laga nr. 125/2008. Má segja að með dómunum hafi stjórnskipulagt gildi laganna verið staðfest.
[...]