S24 - persónuskilríki afrituð
Úrskurður
Hinn 14. september kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2010/377:
I.
Grundvöllur máls og bréfaskipti
1.
Þann 26. mars 2010 barst Persónuvernd kvörtun G, viðskiptavinar S24, yfir söfnun þess fyrirtækis á upplýsingum um hann. Hann kvartaði yfir því að persónuskilríki hans var afritað, yfir söfnun upplýsinga með notkun tiltekins eyðublaðs og yfir að hafa fengið ónóga fræðslu. Í kvörtuninni sagði m.a. að:
„- Fræðslu- og upplýsingaskyldu var ekki fullnægt þegar ég var boðaður í bankann til að sýna skilríki - þrátt fyrir að hafa verið í viðskiptum við bankann í áraraðir.
- Þær upplýsingar sem ég er beðinn um eru of ítarlegar - nálgast persónunjósnir.
- Þessi beiðni hafði mjög slæm áhrif. 1. Skipað að mæta í S24 (tilkynning á netinu) þar sem beðið er um að koma með skilríki. 2. Þegar ég vildi ekki setja inn upplýsingar (persónulegar) þá var mér sagt að lögregla yrði hugsanlega látin fylgja því eftir að skila inn upplýsingunum.“
Í tilefni af kvörtuninni óskaði Persónuvernd með bréfi, dags. 13. apríl sl., eftir skýringum frá Samtökum fjármálafyrirtækja. Í svarbréfi samtakanna, dags. 10. maí 2010, er vísað til 4. mgr. 5. gr. laga nr. 64/2006, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Er og vísað til úttektarskýrslu FATF (Financial Action Task Force on Measures against Money Laundering).
2.
Með bréfi, dags. 3. júní 2010, var S24 tilkynnt um kvörtunina og boðið að koma fram með andmæli sín. Svarbréf barst með tölvubréfi þann 14. júní sl. Þar sagði m.a.:
„1. Skipað að mæta í S24 (tilkynning á netinu) þar sem beðið er um að koma með skilríki.
Svar: S24 hefur ekki skipað neinum að koma í S24 með skilríki. Við höfum hins vegar vakið athygli á því átaki sem SFF var með í gangi á þessum tíma til að hvetja viðskiptavini til að koma í sinn banka og framkvæma áreiðanleikakönnun sem felst í því að fylla út eyðublað um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka skv lögum 64/2006. S24 ásamt öðrum bönkum og sparisjóðum tók þátt í þessu átaki. Samkvæmt tilmælum frá Fjármálaeftirlitinu (FME) í kjölfar hertra reglna í fjármálaumhverfinu þá dugar ekki að nýjir viðskiptavinir komi og sanni deili á sér heldur þurfa núverandi viðskiptavinir að gera það líka þ.e. þeir viðskiptavinir sem hafa ekki fyllt út eyðublað gegn peningaþvætti og fjármögnun hryðjuverka né látið bankann taka ljósrit af skilríkjum sínum. Þetta þýðir að núverandi viðskiptavinur getur ekki stofnað nýja þjónustu hjá S24 nema að koma og sanna deili á sér. Vakin var athygli á þessu með skilaboðum á vefsíðu S24 auk skilaboða í Netbanka S24. Í afgreiðslu okkar er síðan bæklingur með ítarlegum upplýsingum um hvers vegna við erum að gera þetta. Hér má sjá afrit af þeim skilaboðum sem birtust í Netbanka S24:
Öryggi í viðskiptum - afrit af skilríkjum
22. Mars 2010
Kæri viðskiptavinur,
Til að auka öryggi þitt í viðskiptum og koma í veg fyrir misnotkun á auðkenni þínu þurfum við að biðja þig um að koma til okkar í næsta útibú og láta taka ljósrit af skilríkjum þínum. Samkvæmt lögum nr. 64/2006, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, ber okkur að fá ljósrit af skilríkjum núverandi viðskiptavina okkar. Þú getur farið í hvaða sparisjóð sem er, allt eftir því hvað hentar þér. Gild skilríki eru vegabréf, ökuskírteini og nafnskírteini.
Ef þú hefur einhverjar spurningar getur þú sent okkur fyrirspurn í tölvupósti, s24@s24.is og við munum svara eins fljótt og auðið er.
Með kveðju,
S24
2. Þegar ég vildi ekki setja inn upplýsingar (persónulegar) þá var mér sagt að lögregla yrði látin fylgja því eftir að skila inn upplýsingum
Svar: Starfsfólk S24 hótar viðskiptavinum ekki með lögreglu. Einhver misskilningur hlýtur að hafa átt sér stað þarna. Ég ræddi þetta við þann starfsmann sem afgreiddi Guðjón og sagðist hún ekki hafa minnst á lögreglu. Hún hafi hins vegar minnst á að okkur bæri að fylgja þessu á eftir og að FME legði ríka áherslu á að þetta væri gert og ekki væri hægt að stofna til frekari viðskipta við S24 ef þessar upplýsingar lægju ekki fyrir. Ef um einhvern misskiling er að ræða þá biðst ég afsökunar fyrir hönd S24.
Varðandi athugasemd um að beðið sé um of ítarlegar upplýsingar – nánast persónunjósnir – þá vil ég benda á að við erum búin að einfalda eyðublaðið okkar þónokkuð mikið. Gerðum við það í tengslum við kvörtun [...] 2009. Ég var búinn að tilkynna [...] þær breytingar. Allir bankar og sparisjóðir eru að biðja um þessar upplýsingar. Okkur ber skv lögum að biðja um þessar upplýsingar og eru eftirlitsaðilar s.s. FME mjög harðir á því að þetta sé gert. Má nefna að starfsmenn banka og sparisjóða gætu hugsanlega verið ákærðir ef þeir sinna þessari upplýsingasyldu ekki rétt skv l. 149/2009, 7.gr. Þannig að ábyrgðin á starfsfólki er mikil.
Varðandi athugasemd um að fræðslu og upplýsingaskyldu hafi ekki verið fullnægt þá kemur t.d fram í þeim skilaboðum sem send voru í netbankann að ef viðskiptavinur vill vita meira um málið þá geti hann sent okkur tölvupóst. Auk þess sem í afgreiðslu okkar er ítarlegur bæklingur gefinn út af SSF um þetta mál. Starfsmaður okkar taldi sig líka hafa útskýrt hvers vegna við þyrftum þessar upplýsingar“
3.
Svarbréf S24 var borið undir kvartanda með bréfi, dags. 15. júní 2010. Svarbréf hans barst stofnuninni með tölvubréfi þann 18. júní sl. Þar sagði:
„Hér eru athugasemdir vegna bréfs S24.
1. Það var beðið um að koma með skilríki til ljósritunnar. EKKI minnst á að fylla þyrfti út spurningablað.
2. Sagt var af starfsmanni bankans að lögregla myndi fylgja málinu eftir ef öllum spurningum væri ekki svarað.“
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr.
Af þessu leiðir að ljósritun og varðveisla afrita af persónuskilríkjum einstaklinga hjá fjármálastofnunum, og söfnun persónuupplýsinga með notkun umræddra eyðublaða, er vinnsla persónuupplýsinga og fellur úrlausn ágreinings þessa því undir valdsvið Persónuverndar.
2.
Í máli þessu er í fyrsta lagi til úrlausnar lögmæti þess að taka afrit af persónuskilríki kvartanda hjá S24 og varðveita það. Vinnsla almennra persónuupplýsinga er heimil fullnægi hún einhverju af skilyrðum 8. gr. laga nr. 77/2000. Samkvæmt 3. tölul. 1. mgr. 8. gr. er vinnsla heimil ef hún er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Varðandi lagaskyldu í þessu tilliti ber að líta til peningaþvættislaga nr. 64/2006. Samkvæmt 4. gr. þeirra laga skulu tilkynningarskyldir aðilar (hér S24) kanna áreiðanleika viðskiptamanna sinna þegar við upphaf viðvarandi samningssambands. Sé ekki um viðvarandi samband að ræða gilda hins vegar ákveðnar viðmiðunarfjárhæðir og þarf slík könnun þá ekki að fara fram nema viðskiptafjárhæð fari yfir tiltekið lágmark. Um þau tilvik þegar hins vegar þarf að gera slíka könnun er fjallað í 5. gr. laganna. Hún hljóðar svo, með áorðnum breytingum:
„Áður en samningssambandi er komið á eða áður en viðskipti eiga sér stað skal tilkynningarskyldur aðili gera kröfu um að nýr viðskiptamaður sanni á sér deili með eftirfarandi hætti:
a. Einstaklingar: Með framvísun gildra persónuskilríkja sem gefin eru út af stjórnvöldum eða eru viðurkennd af stjórnvöldum.
b. Lögaðilar: Með framlagningu vottorðs úr fyrirtækjaskrá ríkisskattstjóra eða sambærilegri opinberri skrá með heiti, heimilisfangi og kennitölu eða sambærilegum upplýsingum. Prókúruhafar og aðrir þeir sem hafa sérstaka heimild til að koma fram fyrir hönd viðskiptavinar gagnvart fjármálafyrirtæki, þar með taldir framkvæmdastjórar og stjórnarmenn, skulu sanna á sér deili. Jafnframt skulu aðilar sýna fram á að þeir séu réttilega að prókúru eða sérstakri heimild komnir.
Tilkynningarskyldir aðilar skulu afla upplýsinga um raunverulegan eiganda, sbr. 4. tölul. 3. gr. Í tilvikum þar sem ekki er ljóst af framlögðum gögnum hver endanlegur móttakandi fjár verður skal krefjast frekari upplýsinga um það atriði)
Afla skal upplýsinga um tilganginn með fyrirhuguðum viðskiptum hjá verðandi viðskiptamanni.
Tilkynningarskyldur aðili skal gera kröfu um að viðskiptamaður sem þegar er í viðskiptum sanni á sér deili skv. 1. mgr. og afli upplýsinga um raunverulegan eiganda skv. 2. mgr.,hafi hann ekki þegar gert það.
Hafi einstaklingur eða starfsmaður tilkynningarskylds aðila vitneskju um eða ástæðu til að ætla að tiltekin viðskipti fari fram í þágu þriðja manns skal viðskiptamaður í samræmi við a- og b-lið 1. mgr. krafinn upplýsinga um hver sá þriðji maður er.
Tilkynningarskyldir aðilar skulu varðveita afrit af persónuskilríkjum og öðrum gögnum sem krafist er, eða fullnægjandi upplýsingar úr þeim, í a.m.k. fimm ár frá því að viðskiptasambandi lýkur eða einstök viðskipti hafa átt sér stað“.
Af framangreindu ákvæði má ráða að tilkynningarskyldum aðila, hér S24, er skylt, áður en viðvarandi samningssambandi er komið á eða áður en viðskipti eiga sér stað, að gera kröfu um að nýr viðskiptamaður sanni á sér deili með framvísun gildra persónuskilríkja. Skal einnig gera slíka kröfu til viðskiptavinar sem þegar er í viðskiptum hafi hann ekki þegar gert það. Skulu tilkynningarskyldir aðilar varðveita afrit af persónuskilríkjum, og öðrum gögnum sem krafist er, í a.m.k. fimm ár frá því að viðskiptasambandi lýkur eða einstök viðskipti hafa átt sér stað.
Samkvæmt framangreindu, og með vísun til 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000, telst S24 hafa verið heimilt að óska persónuskilríkis kvartanda, sem var í viðvarandi samningssambandi við S24, og að taka afrit af skilríkinu og varðveita það.
3.
Í máli þessu er í öðru lagi til úrlausnar lögmæti þess að safna frá kvartanda upplýsingum með notkun eyðublaðs, en það gerir ráð fyrir því að veittar séu upplýsingar um þjóðerni viðskiptamanns, um uppruna fjár, tilgang viðskipta og raunverulegan eiganda fjár.
Vinnsla almennra persónuupplýsinga er heimil fullnægi hún einhverju af skilyrðum 8. gr. laga nr. 77/2000. Samkvæmt 3. tölul. 1. mgr. 8. gr. er vinnsla heimil ef hún er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila.
Við mat á því hvort þessu skilyrði hafi verið fullnægt, að því er varðar upplýsingar um tilgang viðskipta og raunverulegan eiganda fjár, ber að líta til ákvæða í II. kafla laga nr. 64/2006 um könnun á áreiðanleika viðskiptamanna. Í 5. gr. þeirra er afmarkað hvenær óska beri slíkra upplýsinga. Segir að tilkynningarskyldir aðilar, í þessu tilviki S24, skuli afla upplýsinga um raunverulegan eiganda, sbr. 2. mgr. 5. gr., og í 3. mgr. 5. gr. laganna kemur og fram að afla skuli upplýsinga um tilganginn með fyrirhuguðum viðskiptum. Samkvæmt framangreindu var S24 því heimilt að óska upplýsinga um tilgang viðskipta og raunverulegan eiganda fjár.
Að því er varðar upplýsingar um uppruna fjármagns segir í 12. gr. laga nr. 64/2006, að ef samningssamband eða viðskipti eru við einstaklinga sem teljast vera í áhættuhópi vegna stjórnmálalegra tengsla sinna, og eru búsettir í öðru landi, skulu tilkynningarskyldir aðilar samkvæmt fullnægja tilteknum skilyrðum . Meðal þeirra skilyrða er að grípa til viðeigandi ráðstafana til að sannreyna uppruna fjármuna sem notaðir eru í samningssambandinu eða viðskiptunum. Ekki liggur fyrir að kvartandi hafi verið búsettur erlendis. Þegar af þeirri ástæðu var skilyrði þessa ákvæðis ekki fullnægt og því ekki heimilt að afla umræddra upplýsinga.
4.
Í máli þessu er í þriðja lagi til úrlausnar hvort S24 hafi uppfyllt fræðsluskyldu sína gagnvart kvartanda samkvæmt 20. gr. laga nr. 77/2000. Samkvæmt því ákvæði skal ábyrgðaraðili, þegar hann aflar persónuupplýsinga hjá hinum skráða sjálfum, upplýsa hann um nafn og heimilisfang ábyrgðaraðila og eftir atvikum fulltrúa hans, um tilgang vinnslunnar og veita honum aðrar upplýsingar, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna.
Af hálfu S24 hefur verið vísað til fræðslu sem veitt var með upplýsingabæklingum SFF. Einnig hafi fræðsla verið veitt á vefsíðu S24 og með skilaboðum sem S24 sendi öllum viðskiptavinum í netbanka þeirra. Í þeim skilaboðum sem kvartanda voru send í hans netbanka, en útprentað afrit þeirra fylgdi með kvörtun, segir:
„Öryggi í viðskiptum - afrit af skilríkjum
22. Mars 2010
Kæri viðskiptavinur,
Til að auka öryggi þitt í viðskiptum og koma í veg fyrir misnotkun á auðkenni þínu þurfum við að biðja þig um að koma til okkar í næsta útibú og láta taka ljósrit af skilríkjum þínum. Samkvæmt lögum nr. 64/2006, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, ber okkur að fá ljósrit af skilríkjum núverandi viðskiptavina okkar. Þú getur farið í hvaða sparisjóð sem er, allt eftir því hvað hentar þér. Gild skilríki eru vegabréf, ökuskírteini og nafnskírteini.
Ef þú hefur einhverjar spurningar getur þú sent okkur fyrirspurn í tölvupósti, s24@s24.is og við munum svara eins fljótt og auðið er.
Með kveðju,
S24“
Þegar er litið er til framangreinds er það mat Persónuverndar að S24 hafi fullnægt fræðsluskyldu sinni samkvæmt 20. gr. laga nr. 77/2000 gagnvart kvartanda, að því er varðar fræðslu um tilgang þess að afrita persónuskilríki og afla upplýsinga um tilgang viðskipta og raunverulegan eiganda fjár.
Ú r sk u r ð a r o r ð:
S24 var heimilt að taka afrit af persónuskilríkjum G og varðveita það. Þá var S24 heimilt að afla upplýsinga um tilgang viðskipta og raunverulegan eiganda fjár en ekki um uppruna fjármagns. S24 uppfyllti fræðsluskyldu sína um framangreint gagnvart kvartanda.