Svar Persónuverndar við fyrirspurn viðskiptaráðherra

Persónuvernd barst erindi yðar, herra ráðherra, með bréfi, dags. 1. október sl., þar sem þér spyrjið hvort Persónuvernd telji lagabreytinga þörf ef tryggja eigi rétt viðskiptamanna fjármálafyrirtækja til upplýsinga um hvaða starfsmenn fyrirtækjanna hafi haft aðgang að upplýsingum um fjármál þeirra. Í bréfi yðar kemur fram að tilefni fyrirpurnarinnar sé það að í ráðuneyti yðar sé nú unnið að frumvarpi til breytingar á lögum um fjármálafyrirtæki.

Um upplýsingarétt hins skráða er almennt kveðið í 18. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Þar segir:

„Hinn skráði á rétt á að fá frá ábyrgðaraðila vitneskju um:

1.      hvaða upplýsingar um hann er eða hefur verið unnið með;

2.      tilgang vinnslunnar;

3.      hver fær, hefur fengið eða mun fá upplýsingar um hann;

4.      hvaðan upplýsingarnar koma;

5.      hvaða öryggisráðstafanir eru viðhafðar við vinnslu, enda skerði það ekki öryggi vinnslunnar.

Kröfu um vitneskju skv. 1. mgr. skal beina til ábyrgðaraðila eða fulltrúa hans skv. 6. gr. Veita skal vitneskju skriflega sé þess óskað“.

Í framkvæmd hefur Persónuvernd lagt þann skilning í 3. tl. ákvæðisins að með því sé átt við það þegar persónuupplýsingar flytjast frá einum ábyrgðaraðila til annars, en ekki það þegar þær færast milli starfsmanna eins og sama ábyrgðaraðila. Í samræmi við þessa túlkun hefur stjórn Persónuverndar, á fundi sínum fyrr í dag, ákveðið að setja ekki - gegn andmælum Landsbankans - skilmála í starfsleyfi fjármálafyrirækja vegna Lokanaskrár um svo ríkan upplýsingarétt hins skráða. Var það mat stjórnar að slíkur réttur væri umfram þau réttindi sem ákvæði 18. gr. laga nr. 77/2000 veitir hinum skráða. Sem annað dæmi um framkvæmd Persónuverndar má geta máls nr. 2004/144. Þar var fjallað um kvörtun viðskiptamanns Íslandsbanka yfir því að bankinn hafnaði kröfu hans um að fá lista yfir nöfn þeirra starfsmanna bankans sem skoðað hafi fjárhagsupplýsingar um hann, hvenær og í hvaða útibúi bankans. Það var niðurstaða Persónuverndar í málinu að bankanum væri ekki skylt að verða við kröfu kvartandans enda bæri ekki að túlka ákvæði 3. tl. 18. gr. svo að átt sé það þegar upplýsingar berast milli einstakra starfsmanna sama ábyrgðaraðila.

Af ofangreindu leiðir, að ef ótvírætt á að lögfesta rétt viðskiptamanns fjármálafyrirtækja til að fá að vita hvaða starfsmenn fyrirtækjanna hafi skoðað fjárhagsupplýsingar um sig, þarf að gera það sérstaklega, enda leiði slíkt ekki af gildandi lögum um persónuvernd og meðferð persónuupplýsinga nr. 77/2000. Í slíku lagaákvæði þyrfti jafnframt að taka afstöðu til þess hvort  takmarka ætti upplýsingarétt hins skráða í sérstökum tilvikum og þá hvaða.