Miðlun frá tryggingarfyrirtæki til Seðlabanka Íslands

Efni: Miðlun persónuupplýsinga frá Allianz til Seðlabanka Íslands

Persónuvernd vísar til fyrri bréfaskipta vegna erindis yðar, f.h. umbjóðenda yðar, Allianz á Íslandi hf. og Allianz Lebensversicherungs-AG í Þýskalandi, dags. 14. ágúst 2011. Erindið varðar miðlun persónuupplýsinga frá umbjóðendum yðar til Seðlabanka Íslands í tengslum við framkvæmd bankans á lögum um gjaldeyrismál nr. 87/1992, með áorðnum breytingum. Fer svar Persónuverndar hér á eftir:


Í erindi yðar, dags. 14. ágúst 2011, segir m.a.:

„Seðlabankinn sendi Allianz á Íslandi hf. [...] tilkynningu um upphaf rannsóknar á ætluðu broti gegn lögum nr. 87/1992 um gjaldeyrismál. Meðfylgjandi er afrit af bréfinu en samskonar bréf voru send framkvæmdastjóra og stjórnarformanni félagsins. Í bréfinu er með vísan til ákvæðis 1. mgr. 15. gr. e laganna óskað eftir upplýsingum um viðskiptavini félagsins. Í ákvæðinu, eins og því var breytt með lögum nr. 78/2010, segir að Seðlabanka Íslands sé í tengslum við rannsókn mála heimilt að krefja einstaklinga og lögaðila um allar upplýsingar og gögn sem hann telur nauðsynleg. Skipti ekki máli í því sambandi hvort upplýsingarnar varða þann aðila sem beiðninni er beint til eða þau skipti annarra aðila við hann er hann getur veitt upplýsingar um og varða athuganir og eftirlit Seðlabankans. Þá segir að lagaákvæði um þagnarskyldu takmarki ekki skyldu til þess að veita upplýsingar. Að mati umbjóðenda minna hefur Seðlabankinn ekki lögmæta ástæðu til að óska eftir upplýsingunum að svo komnu máli. Um er að ræða persónuupplýsingar í skilningi 1. tl. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og telja umbjóðendur mínir ósk bankans ekki samrýmast grunnreglum laganna. Sér í lagi er vísað til 2. og 3. tl. 1. mgr. 7. gr., sbr. einnig 3. og 6. tl. 1. mgr. 8. gr. laganna. Þær upplýsingar sem bankinn óskar eftir varða ekki með neinum hætti það hvort íslenskum aðila sé heimilt að gera samning við Allianz Lebensversicherungs-AG um viðbótarlífeyristryggingu á grundvelli laga nr. 129/1997 um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða eða hvort slíkt fari gegn gjaldeyrishöftum. Það er að mati umbjóðenda minna ekki fyrr en í fyrsta lagi eftir að úr því hefur verið skorið sem Seðlabanki Íslands verður talinn hafa lögmæta ástæðu til að afla þeirra upplýsinga á grundvelli tilvísaðrar lagaheimildar. Þá benda umbjóðendur mínir á að undanþágur þýskra laga frá skýru banni við því að tryggingarfélag og umboðsmenn þess afhendi persónuupplýsingar eru afar takmarkaðar og virðast ekki eiga við í þessu máli.“

Með bréfinu fylgdi afrit af bréfi Seðlabanka Íslands til Allianz á Íslandi hf., dags. 27. maí 2011. Þar segir m.a.:

„Samkvæmt lögum nr. 87/1992 um gjaldeyrismál ber Seðlabanka Íslands að hafa eftirlit með lögum og reglum um gjaldeyrismál. Samkvæmt 14. gr. laganna er skylt, að viðlögðum dagsektum, að veita Seðlabanka Íslands allar þær upplýsingar um gjaldeyrisviðskipti sem bankinn kann að óska eftir til að hann geti sinnt nauðsynlegu eftirliti. Með vísan til þessa óskar Seðlabanki Íslands eftir upplýsingum sem Allianz býr yfir.[...] Seðlabankinn óskar eftir upplýsingum frá Allianz varðandi eftirfarandi atriði:
1. Sundurliðun á nýjum samningum gerðum eftir 28. nóvember 2008. Í sundurliðun þessari skal eftirfarandi koma fram:
- Nöfn og kennitölur viðskiptavina
- Tegund og lengd samnings
- Mánaðarlegar- og heildarfjárhæðir sem sendar hafa verið úr landi af eða fyrir hönd hvers viðskiptavinar
- Greiðslumáti viðskiptavinar
2. Upplýsingar um aðila sem hafa tekið sparnað út að hluta eða heild og/eða sagt upp samningi og þá í því sambandi framkvæmd Allianz þegar slíkt kemur upp m.t.t. reglna nr. 370/2010 um gjaldeyrismál.
3. Rökstuðningur Allianz ef talið er að þær sparnaðarleiðir sem boðið er upp á séu í samræmi við lög og reglur um gjaldeyrismál.“

Með bréfi Persónuverndar, dags. 18. ágúst 2011, til yðar, var óskað staðfestingar á þeim skilningi stofnunarinnar að málið lyti að miðlun persónuupplýsinga frá Allianz á Íslandi hf. til Seðlabankans en ekki miðlun frá Allianz Lebensversicherungs-AG.  Í svari yðar til Persónuverndar, dags. 16. september 2011, var framangreindur skilningur stofnunarinnar staðfestur, en einnig greint frá því að Allianz Lebensversicherungs-AG hefði afhent bankanum persónuupplýsingar. Um það er fjallað síðar.
Með bréfinu fylgdi afrit af samkomulagi um þátttöku Allianz á Íslandi í rafrænum samskipta- og gagnavinnslukerfum Allianz samsteypunnar. Í grein 1.4. í því segir m.a.:

„Félagið og umboðsaðili skulu sjá til þess að óviðkomandi aðilar komist ekki í þau gögn sem þau hafa fengið í tengslum við verkefnin sem þau vinna að og gildir það bæði um persónuleg gögn og önnur gögn þess vinnustaðar sem ábyrgur er fyrir gögnunum. Þetta gildir allt frá afhendingu gagnanna og þar til þeim hefur verið skilað að fullu og einnig um hugsanlega förgun gagnanna eða gagnamiðla. Í þessu skyni skal grípa til þeirra öryggisráðstafana sem mælt er fyrir um í lögum um persónuvernd og meðferð persónuupplýsinga (Bundesdatenschutzgesetz, BDSG) eins og þeim er lýst í handbók gagnavörslufulltrúa og gagnavinnsludeilda eða reiknistofa um meðferð persónuupplýsinga (Handbuch Datenschutz, HDS), (Datenschutzbeauftragten, (DSB). Skrárnar eru einnig aðgengilegar þeim umboðsaðilum okkar í aðalstarfi sem sinna hagsmunagæslu. Fara skal að þeim reglum sem gilda um meðferð og vinnslu gagna.“

Persónuvernd gaf Seðlabanka Íslands kost á að tjá sig um málið með bréfi, dags. 26. september 2011. Í svarbréfi bankans, dags. 31. október 2011, segir m.a.:
„...Samkvæmt 15. gr. e í lögum nr. 87/1992 um gjaldeyrismál með áorðnum breytingum er Seðlabanka Íslands heimilt, í tengslum við rannsókn mála, að krefja einstaklinga og lögaðila um allar upplýsingar og gögn sem hann telur nauðsynleg. Skiptir ekki máli í því sambandi hvort upplýsingarnar varða þann aðila sem beiðninni er beint til eða þau skipti annarra aðila við hann sem hann getur veitt upplýsingar um og varða athuganir og eftirlit Seðlabankans. Í tilvikinu sem vitnað er til í erindi Persónuverndar var gjaldeyriseftirlit Seðlabankans nauðsynlegt vegna rannsóknar tiltekins máls að afla þeirra upplýsinga sem bankinn óskaði eftir hjá Allianz á Íslandi hf., þar á meðal lista yfir nöfn og kennitölur þeirra viðskiptavina félagsins sem höfðu gert við það samninga af tiltekinni gerð. Einstaklingarnir á listanum eru ekki grunaðir um brot sem viðurlög eða refsingar liggja við. Seðlabankinn lítur svo á að öflun, móttaka og vinnsla þessara almennu persónuupplýsinga sé heimil samkvæmt 3. og 6. tl. 1. mgr. 8. gr. laga nr. 77/2000 enda sé við vinnsluna gætt ákvæða 7. gr. sömu laga.“

Allianz á Íslandi hf. er með staðfestu á Íslandi í skilningi 6. gr. laga nr. 77/2000 og fer samkvæmt því um vinnslu þess á persónuupplýsingum að þeim lögum. Samkvæmt þeim þarf öll vinnsla að styðjast við eitthvert af heimildarákvæðum 1. mgr. 8. gr. og - ef um viðkvæmar persónuupplýsingar er að ræða - einnig við eitthvert af skilyrðum 1. mgr. 9. gr.

Persónuvernd hefur áður tekið afstöðu til þess að hvaða marki slík vinnsla sem erindi yðar varðar samrýmist þessum ákvæðum, sbr. ákvörðun hennar frá 3. mars 2010 í máli nr. 2010/610. Ákvörðunin er birt á vefsíðu Persónuverndar og vísast efnislega um afstöðu Persónuverndar, til þess sem þar kemur fram.

Til skýringar er tekið fram að um er að ræða ákvörðun í máli sem til var stofnað að frumkvæði Persónuverndar til að ganga úr skugga um (1) hvort Seðlabanki Íslands hefði lagaheimild til að safna persónuupplýsingum við gjaldeyriseftirlit, (2) minna Seðlabanka Íslands á þær reglur sem samhliða þarf að huga að, svo sem 7. gr. laga nr. 77/2000, og (3) taka afstöðu til þess hvort fram þyrfti að fara öryggisúttekt á vinnslu Seðlabanka Íslands á persónuupplýsingum.

Ákvörðunin felur ekki í sér að Persónuvernd hafi heimilað Seðlabanka Íslands vinnslu persónuupplýsinga við gjaldeyriseftirlit - aðeins að bankinn hefur lagaheimild til þess að safna persónuupplýsingum við gjaldeyriseftirlit.


Í bréfi yðar, dags. 16. september 2011, er greint frá því að Allianz Lebensversicherungs-AG í Þýskalandi hafi afhent Seðlabanka Íslands tilteknar persónuupplýsingar. Hér er um að ræða miðlun af hálfu ábyrgðaraðila sem hefur staðfestu í Þýskalandi en ekki á Íslandi. Þarf því að líta til ákvæða um það hvaða lög gilda um þessa vinnslu og undir hvaða stofnun það fellur að taka afstöðu til lögmætis hennar.

Eins og áður segir gilda lög nr. 77/2000 um vinnslu persónuupplýsinga á vegum ábyrgðaraðila sem hefur staðfestu hér á landi, sbr. 1. mgr. 6. gr. laganna. Það ákvæði byggir á lagaskilareglu 4. gr. tilskipunar 95/46/EB sem var innleidd hér á landi með lögum nr. 77/2000. Í 4. gr. tilskipunarinnar segir m.a. að beita skuli innlendum ákvæðum varðandi vinnslu persónuupplýsinga sem fer fram í tengslum við starfsemi fyrirtækis ábyrgðaraðila á yfirráðasvæði aðildarríki. Í 6. lið 28. gr. tilskipunarinnar segir að hvert eftirlitsyfirvald sé bært á yfirráðasvæði eigin aðildarríkis til að beita þeim heimildum sem því hafi verið fengnar án tillits til þess hvaða lög gilda um viðkomandi vinnslu. Þar segir einnig að eftirlitsyfirvöld skuli hafa með sér samstarf að því marki sem það sé nauðsynlegt til að þau geti gegnt skyldustörfum sínum, einkum með því að skiptast á öllum gagnlegum upplýsingum. Til samræmis segir í 2. mgr. 37. gr. laga nr. 77/2000 að Persónuvernd úrskurði í ágreiningsmálum sem upp kunna að koma um vinnslu persónuupplýsinga sem fram fer á Íslandi.

Allianz Lebensversicherungs-AG hefur höfuðstöðvar í Stuttgart í Þýskalandi og umrædd miðlun persónuupplýsinga er vinnsla sem fór fram í Þýskalandi. Með vísun til framangreinds telur Persónuvernd umrædda vinnslu falla utan sinna valdmarka. Eftirlitsaðili með meðferð persónuupplýsinga þar í landi er Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Persónuvernd mun vekja athygli hinnar þýsku stofnunar á málinu.