Bréf Persónuverndar til Arion banka hf. vegna stöðu persónuverndarfulltrúa bankans

15.2.2021

1.

Erindi Arion banka hf. og yfirlit samskipta vegna þess

Hinn 30. september 2019 barst Persónuvernd bréf frá Arion banka hf. þar sem tilkynnt var um að persónuverndarfulltrúi bankans hefði látið af störfum í kjölfar skipulagsbreytinga. Ákveðið hefði verið að hlutverk persónuverndarfulltrúa skyldi flutt til regluvarðar bankans en í því fælist engin breyting á verkefnum og skyldum persónuverndarfulltrúa. Markmiðið með breytingunni væri að einfalda stjórnskipulag bankans, en á sama tíma að styrkja stöðuna með því að færa hana í stærri og sterkari einingu sem njóti trausts innan bankans og þekki starfsemi hans vel. Í bréfinu segir að breytingunni sé ekki ætlað að hafa áhrif á þá aðila sem útvistað hafa verkefnum persónuverndarfulltrúa til Arion banka hf., en þar er um að ræða Stefni hf., Vörð hf., Frjálsa lífeyrissjóðinn, Eftirlaunasjóð félags íslenskra atvinnuflugmanna, Lífeyrissjóð Rangæinga og Lífeyrissjóð starfsmanna Búnaðarbanka Íslands.

Með bréfi, dags. 12. febrúar 2020, gerði Persónuvernd grein fyrir því mati stofnunarinnar að staða og verksvið regluvarðar fjármálafyrirtækja væri með þeim hætti að ekki væri unnt að útiloka að hagsmunaárekstrar geti orðið, gegni regluvörður einnig stöðu persónuverndarfulltrúa. Þá telji Persónuvernd vafa leika á því að allar starfsstöðvar hafi greiðan aðgang að persónuverndarfulltrúa Arion banka hf. þegar litið er til fjölda útibúa bankans og þeirra aðila, sem útvistað hafa hlutverki persónuverndarfulltrúa til hans. Beindi Persónuvernd því til Arion banka hf. að taka tilnefningu persónuverndarfulltrúa til endurskoðunar á grundvelli þeirra sjónarmiða sem reifuð eru í bréfinu.

Arion banki hf. færði fram frekari skýringar fyrir umræddri breytingu með bréfi, dags. 6. mars 2020. Í kjölfarið óskaði Persónuvernd eftir nánari upplýsingum með bréfi, dags. 4. júní 2020, og bárust þær með bréfi Arion banka hf., dags. 25. s.m. Þá óskaði Arion banki hf. eftir fundi með tölvupósti 6. júlí 2020. Var fulltrúum bankans boðið til fundar á starfsstöð Persónuverndar þann 20. ágúst s.á. Á fundinum, sem og með tölvupósti 24. september 2020, ítrekuðum 2. október, 5. nóvember, 26. nóvember og 15. desember s.á., óskaði Persónuvernd eftir frekari gögnum í samræmi við efni fundarins. Bárust þau með tölvupóstum 15. og 17. desember 2020.

Verður efni framangreindra gagna og samskipta rakið hér að neðan eftir því sem við á.

2.

Kröfur laga nr. 90/2018 og reglugerðar (ESB) 2016/679 til persónuverndarfulltrúa

Samkvæmt 1. mgr. 35. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga skulu ábyrgðaraðili og vinnsluaðili tilnefna persónuverndarfulltrúa í ákveðnum tilvikum, þ.m.t. þegar meginstarfsemi viðkomandi aðila felst í vinnsluaðgerðum sem krefjast, sakir eðli síns, umfangs eða tilgangs, umfangsmikils, reglubundins og kerfisbundins eftirlits með skráðum einstaklingum, sbr. 2. tölul. ákvæðisins. Þá segir í 2. mgr. 35. gr. laganna að fyrirtækjasamstæðu sé heimilt að tilnefna einn persónuverndarfulltrúa að því tilskildu að sérhver starfsstöð hafi greiðan aðgang að honum. Um hæfni persónuverndarfulltrúa, stöðu hans og verkefni gilda að öðru leyti fyrirmæli 37.-39. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 35. gr. laga nr. 90/2018.

Í 38. gr. reglugerðarinnar er fjallað um stöðu persónuverndarfulltrúa. Þar er meðal annars kveðið á um að ábyrgðaraðili og vinnsluaðili skuli tryggja að persónuverndarfulltrúi komi, með viðeigandi hætti og tímanlega, að öllum málum sem tengjast vernd persónuupplýsinga (1. mgr.); að ábyrgðaraðili og vinnsluaðili skuli styðja persónuverndarfulltrúann við framkvæmd þeirra verkefna sem um getur í 39. gr. reglugerðarinnar með því að láta honum í té nauðsynleg úrræði til að inna þau af hendi, auk aðgangs að persónuupplýsingum og vinnsluaðgerðum, og gera honum kleift að viðhalda sérþekkingu sinni (2. mgr.); að ábyrgðaraðili og vinnsluaðili skuli tryggja að persónuverndarfulltrúi fái engin fyrirmæli varðandi framkvæmd verkefna sinna, honum skuli hvorki vikið úr starfi né honum refsað fyrir framkvæmd þeirra og að persónuverndarfulltrúi skuli heyra beint undir æðsta stjórnunarstig hjá ábyrgðaraðila eða vinnsluaðila (3. mgr.); og að persónuverndarfulltrúi megi sinna öðrum verkefnum og skyldustörfum, en ábyrgðaraðili eða vinnsluaðili skuli tryggja að slík verkefni og skyldustörf leiði ekki til hagsmunaárekstra (6. mgr.).

3.

Staða persónuverndarfulltrúa Arion banka hf.

Í máli þessu hafa einkum komið til skoðunar ákvæði 1. málsl. 2. mgr. 35. gr. laga nr. 90/2018 um greiðan aðgang sérhverrar starfsstöðvar að persónuverndarfulltrúa sem tilnefndur er fyrir fyrirtækjasamstæðu, og 6. mgr. 38. gr. reglugerðarinnar um að önnur verkefni og skyldustörf persónuverndarfulltrúa leiði ekki til hagsmunaárekstra.

3.1.

Aðgengi að persónuverndarfulltrúa, aðstaða og heimildir

Í leiðbeiningum Persónuverndar um persónuverndarfulltrúa, sem byggðar eru á leiðbeiningum Evrópska persónuverndarráðsins (e. European Data Protection Board, EDPB) um sama efni, er fjallað um þá aðstöðu og þær heimildir (e. resources) sem eru persónuverndarfulltrúa nauðsynlegar til að geta sinnt starfi sínu. Meðal þess sem persónuverndarfulltrúi skal að lágmarki hafa, með tilliti til eðlis og umfangs starfsemi, er nægur tími til að sinna verkefninu. Slíkt er einnig forsenda þess að allar starfsstöðvar teljist hafa greiðan aðgang að persónuverndarfulltrúa sem sinnir því hlutverki fyrir fyrirtækjasamstæðu.

Líkt og að framan greinir lýsti Persónuvernd þeirri afstöðu sinni í bréfi, dags. 12. febrúar 2020, að stofnunin teldi vafa leika á að nýtt fyrirkomulag Arion banka hf. uppfyllti kröfur 2. mgr. 35. gr. laga nr. 90/2018 um aðgengi að persónuverndarfulltrúa fyrirtækjasamstæðu. Í bréfi Arion banka hf., dags. 3. mars 2020, kemur fram að hlutverk persónuverndarfulltrúa bankans hafi verið brothætt í fyrra fyrirkomulagi. Með því að hafa það innan regluvörslu sé starfinu nú sinnt af tíu manna deild innan Arion banka hf. í stað eins einstaklings áður. Regluvarsla sé sýnileg og aðgengileg starfsfólki bankans og njóti trausts og stuðnings yfirstjórnar. Þá kemur fram í bréfi bankans, dags. 4. júní 2020, að í kjölfar skipulagsbreytinga þar sem regluvörður var tilnefndur persónuverndarfulltrúi hefði einn lögfræðingur verið ráðinn til regluvörslu. Viðkomandi hafi nokkra þekkingu og reynslu á sviði persónuverndar og hafi meðal annars öðlast CIPP/E vottun. Stuttu síðar hafi einnig verið ráðinn inn sérfræðingur í upplýsingatækni og gagnamálum. Telji Arion banki hf. því ljóst að regluvarsla hafi næg aðföng til að sinna þeim verkefnum sem henni hafa verið falin á sviði persónuverndar í kjölfar fyrrnefndra skipulagsbreytinga.

Í áðurnefndum leiðbeiningum Persónuverndar um persónuverndarfulltrúa kemur meðal annars fram að þegar um umfangsmikla starfsemi er að ræða geti þurft að skipta teymi persónuverndarfulltrúa, þ.e. persónuverndarfulltrúa og starfsmenn hans. Í slíkum tilvikum þurfi skipulag teymisins og verkefni hvers og eins að vera skýrt skilgreind. Verkefnum persónuverndarfulltrúa getur því verið sinnt af teymi frekar en af einum tilteknum einstaklingi. Ávallt þarf þó að tilnefna persónuverndarfulltrúann sjálfan sem þarf að uppfylla allar kröfur laga nr. 90/2018 og reglugerðarinnar.

Að mati Persónuverndar gefa þær upplýsingar og þau gögn sem Arion banki hf. hefur látið stofnuninni í té ekki tilefni til annars en að fallast á að regluvarsla bankans hafi, að svo stöddu, næg aðföng til að sinna þeim verkefnum er leiða af tilnefningu regluvarðar sem persónuverndarfulltrúa. Kemur þá til skoðunar hvort sú skipan geti samrýmst ákvæðum laga nr. 90/2018 og reglugerðarinnar að því er varðar hugsanlega hagsmunaárekstra.

3.2.

Staða regluvarðar sem persónuverndarfulltrúa með tilliti til hagsmunaárekstra

Rík áhersla er lögð á sjálfstæði persónuverndarfulltrúa í reglugerð (ESB) 2016/679, einkum í 3. mgr. og 6. gr. 38. gr. og í 97. lið formálsorða hennar. Í því felst meðal annars að ábyrgðaraðili eða vinnsluaðili má ekki beina fyrirmælum til persónuverndarfulltrúa um hvernig hann skuli sinna starfi sínu, auk þess sem ekki má segja persónuverndarfulltrúa upp störfum eða refsa honum með öðrum hætti fyrir störf sín. Persónuverndarfulltrúa er heimilt að sinna öðrum verkefnum og skyldustörfum en tryggja þarf að þau leiði ekki til hagsmunaárekstra. Hvílir sú skylda á ábyrgðaraðila eða vinnsluaðila, sbr. 2. málsl. 6. mgr. 38. gr. reglugerðarinnar.

Í leiðbeiningum Persónuverndar um persónuverndarfulltrúa segir meðal annars að almenna reglan sé sú að hagsmunaárekstrar geti orðið ef persónuverndarfulltrúi er millistjórnandi í stofnun eða fyrirtæki, t.a.m. framkvæmdastjóri, rekstrarstjóri, fjármálastjóri, markaðsstjóri, mannauðsstjóri, tæknistjóri o.fl. Hið sama geti einnig átt við aðra lægra setta starfsmenn ef störf þeirra fela í sér ákvarðanatöku um tilgang og aðferðir við vinnslu persónuupplýsinga. Af því leiðir að við mat á því hvort hætta sé á hagsmunaárekstrum vegna annarra verkefna persónuverndarfulltrúa er ekki einungis litið til stöðu hans með tilliti til skipurits stofnunar eða fyrirtækis, heldur einnig til verkefna viðkomandi með hliðsjón af framangreindu.

Fyrir liggur að undir verkefni regluvarðar, eins og þau eru skilgreind í reglum nr. 1050/2012, um meðferð innherjaupplýsinga og viðskipti innherja, sem og í leiðbeinandi tilmælum Fjármálaeftirlitsins nr. 5/2011, um stöðu og verksvið regluvörslu fjármálafyrirtækja, fellur ýmis konar vinnsla persónuupplýsinga. Hér undir falla meðal annars gerð innherjalista og meðferð þeirra að öðru leyti, eftirlit með flokkun viðskiptavina og með eigin viðskiptum starfsmanna fjármálafyrirtækis. Getur hlutverk regluvarðar að þessu leyti falið í sér töku ákvarðana um hvernig vinnslu persónuupplýsinga í þessum tilvikum skuli háttað.

Í bréfi Arion banka hf., dags. 6. mars 2020, kemur fram að vinnsla persónuupplýsinga þar sem regluvörður tekur ákvörðun um tilgang og aðferð sé afar lítill hluti af þeim vinnslum sem falli undir verksvið persónuverndarfulltrúa. Þetta feli þó vissulega í sér ákveðna hættu á hagsmunaárekstrum sem bankanum hafi verið ljós þegar ákvörðun um tilnefningu regluvarðar sem persónuverndarfulltrúa var tekin. Vegna þess sé kveðið sérstaklega á um það í reglum bankans að innri endurskoðandi skuli reglulega endurskoða ákvarðanir regluvörslu í tengslum við slíkar vinnslur, til að staðfesta að þeim sé sinnt af óhlutdrægni og með sama hætti og öðrum. Það sé mat Arion banka hf. að þessi ráðstöfun sé fullnægjandi til að draga úr þeirri áhættu sem felist í hagsmunaárekstrum í þessu samhengi.

Á fundi Persónuverndar og Arion banka hf. þann 20. ágúst 2020 benti Persónuvernd á að setja þyrfti verklagsreglur um hvernig meðhöndla skuli tilvik þar sem upp koma hagsmunaárekstrar vegna stöðu regluvarðar bankans sem persónuverndarfulltrúa, en í bréfi bankans, dags. 25. júní s.á., kom fram að slíkar reglur hefðu ekki verið settar á þeim tíma. Einnig kom fram að fyrsta árlega úttekt innri endurskoðunar Arion banka hf. á vinnslu persónuuppýsinga hjá regluvörslu stæði yfir. Óskaði Persónuvernd eftir afriti af niðurstöðu úttektarinnar. Barst vinnulýsing ráðstafana gegn hagsmunaárekstrum vegna vinnslu regluvörslu á persónuupplýsingum ásamt þeim hluta úr erindisbréfi regluvörslu er varðar sjálfstæði hennar með tölvupósti 15. desember 2020. Þá barst minnisblað vegna úttektar innri endurskoðunar með tölvupósti 17. s.m. en minnisblaðið er dagsett þann sama dag.

Í erindisbréfi regluvörslu segir að innri endurskoðun Arion banka hf. skuli fara með hlutverk persónuverndarfulltrúa vegna vinnslu persónuupplýsinga af hálfu regluvörslu. Þá kemur fram í fyrrnefndri vinnulýsingu að henni sé ætlað að kveða á um verklag vegna atvika þar sem hætta er á að hagsmunaárekstrar geti skapast vegna vinnslu regluvörslu á persónuupplýsingum, í þeim tilgangi að tryggja fylgni við skilyrði 6. mgr. 38. gr. reglugerðarinnar. Vinnulýsingin hefur að geyma myndrænan feril auk skilgreinininga þriggja flokka tilvika þar sem hætta er talin á hagsmunaárekstrum:

1. Nýjar eða breyttar vinnslur persónuupplýsinga sem regluvarsla ber ábyrgð á.

2. Ákvörðun um tilkynningu eða aðgerð vegna öryggisbrests sem stafar af vinnslu regluvörslu á persónuupplýsingum.

3. Kvörtun berst frá þriðja aðila vegna vinnslu regluvörslu á persónuupplýsingum.

Í vinnulýsingunni er fjallað um hvernig bregðast skuli við hverjum flokki tilvika og hvernig skjala skuli gögn í tengslum við þau.

Athugun innri endurskoðunar á hættu á hvort hagsmunaárekstrar skapast vegna vinnslu regluvörslu á persónuupplýsingum, sbr. vinnulýsingu þar um, er lýst í áðurnefndu minnisblaði sem Arion banki hf. hefur látið Persónuvernd í té. Í minnisblaðinu kemur fram að um nýtt verklag sé að ræða og því hafi innri endurskoðun ekki borist tilkynningar um öryggisbresti eða kvartanir í tengslum við vinnslu persónuupplýsinga af hálfu regluvörslu bankans. Hins vegar hafi tvær vinnslur verið skráðar hjá regluvörslu eftir að regluvörður tók við hlutverki persónuverndarfulltrúa til viðbótar við þær fimm vinnslur sem áður höfðu verið skráðar og samþykktar. Fór innri endurskoðun yfir allar vinnslurnar og beindi úrbótakröfum í fjórum liðum að regluvörslu.

Líkt og fram kom í bréfi Persónuverndar, dags. 12. febrúar 2020, var það mat stofnunarinnar að sökum stöðu regluvarðar Arion banka hf. og verkefna væri hætta á hagsmunaárekstrum í tengslum við hlutverk hans sem persónuverndarfulltrúa. Arion banki hf. hefur síðan veitt frekari upplýsingar og skýringar og einnig brugðist við þeim ábendingum sem Persónuvernd hefur komið á framfæri, einkum að því er varðar setningu verklagsreglna og skilgreiningar ferla þegar upp koma hagsmunaárekstrar í tengslum við vinnslu persónuupplýsinga. Er það mat Persónuverndar að þessar ráðstafanir Arion banka hf. feli í sér fullnægjandi varnir gegn hagsmunaárekstrum sem upp kunna að koma vegna stöðu regluvarðar bankans sem persónuverndarfulltrúa. Mat Persónuverndar er hér miðað við núverandi forsendur og þau gögn sem bankinn hefur látið stofnuninni í té. Í því sambandi bendir Persónuvernd hins vegar á að lengri reynsla af fyrirkomulaginu og eftir atvikum breyttar forsendur kynnu að leiða til annarrar niðurstöðu.

4.

Niðurstaða

Af þeim upplýsingum og gögnum sem Arion banki hf. hefur látið Persónuvernd í té er ljóst að bankinn hefur gripið til ýmissa ráðstafana sem ætlað er að tryggja að persónuverndarfulltrúi bankans uppfylli skilyrði laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679. Að svo stöddu gerir Persónuvernd því ekki athugasemdir við tilnefningu regluvarðar Arion banka hf. sem persónuverndarfulltrúa.

Með vísan til 5. tölul. 1. mgr. 42. gr. laga nr. 90/2018 er lagt fyrir Arion banka hf. að láta Persónuvernd í té afrit af niðurstöðum úttekta innri endurskoðunar bankans á vinnslu persónuupplýsinga hjá regluvörslu sem framkvæmdar verða á árunum 2021 og 2022, jafnskjótt og slíkar niðurstöður liggja fyrir.

F.h. Persónuverndar,

Helga Þórisdóttir                       Vigdís Sigurðardóttir