Landsbankinn - krafa um kennitölu við greiðslu gíróseðils
Úrskurður
Hinn 14. september 2010 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2010/583:
I.
Bréfaskipti
Þann 28. júní barst Persónuvernd kvörtun G (hér eftir nefndur „málshefjandi“), dags. 21. júní 2010. Hann kvartar yfir því að Landsbanki Íslands/NBI hf. hafi krafist þess að fá kennitölu hans þegar hann hugðist greiða tvo greiðsluseðla fyrir systur sína að upphæð 12.606 kr., í útibúi bankans í Kletthálsi hinn 15. s.m. Í erindinu segir:
„Ég fer þess hér með á leit, að Persónuvernd taki til meðferðar kröfur Landsbankans um að fá uppgefna kennitölu þriðja aðila, sem tekur að sér að borga greiðsluseðla í bankanum með peningum, jafnvel þegar um mjög lága upphæð er að ræða.
Ég byggi þessa málaleitan á eigin reynslu. Málsatvik eru þessi: Ég kom þann 15. júní síðastliðinn í útibú Landsbankans að Kletthálsi 1, Reykjavík, til að borga tvo greiðsluseðla að upphæð samtals 12.606 kr. fyrir systur mína, sem þá lá á sjúkrahúsi. Á greiðsluseðlunum komu fram ítarlegar persónuupplýsingar um hana. Ég greiddi fyrir með peningaseðlum, en þegar þeir höfðu verið afhentir krafðist gjaldkerinn þess að fá að vita kennitölu mína. Er ég neitaði, var mér sagt að þá yrði að afturkalla greiðslufærsluna. Ég sá mig tilneyddan að láta undan með þeim yfirlýsta fyrirvara að ég myndi leita álits Persónuverndar á réttmæti gjörningsins.
Viðkomandi starfsmaður kvaðst eingöngu vera að hlýða fyrirmælum yfirmanna sinna um að krefjast kennitölu í tilvikum sem þessum, og hef ég enga ástæðu til að rengja það.
Eftir því sem ég kemst næst, er Landsbankinn því vísvitandi að hunsa úrskurð Persónuverndar frá 23. febrúar 2009 í hliðstæðu máli, sbr. heimasíðu stofnunarinnar. Ég bið Persónuvernd að skoða málið í því ljósi.“
Með bréfi, dags. 23. júlí 2010, var Landsbankanum veitt færi á að tjá sig um framangreinda kvörtun. Hann svaraði með bréfi, dags. 9. ágúst s.á. Þar segir:
„Landsbankinn óskar almennt eftir kennitölu allra þeirra aðila sem eiga viðskipti við bankann en er það fyrst og fremst gert til þess að tryggja rekjanleika viðskipta svo bankinn eigi kost á að leiðrétta mistök sem kunna að koma upp við afgreiðslu viðskiptamanna. Eins og er hér að neðan rakið þá ber fjármálafyrirtækjum skýr lagaskylda til þess að tryggja örugga persónugreiningu allra viðskiptamanna og er kennitala heppilegasta leiðin til þess.
Þrátt fyrir að fjárhæð kvörtunarinnar sé undir viðmiðunarfjárhæðum sem kveðið er á um í lögum nr. 64/2006 um peningaþvætti og fjármögnun hryðjuverka þá ber bankanum að hafa eftirlit með því hvort viðmiðunarfjárhæðin sé greidd í einum hluta eða mörgum. Til að bankinn geti átt raunhæfan möguleika á að fylgjast með því hvort verið sé að greiða viðmiðunarfjárhæðina í mörgum litlum greiðslum þá er nauðsynlegt að staðreyna hver viðskiptamaðurinn er í hvert skipti. Heppilegast er við slíka afgreiðslu að óska eftir kennitölu viðskiptamannsins og það gera starfsmenn bankans. Í þeim fáu tilfellum sem viðskiptamenn vilja ekki gefa upp kennitölu þá hefur verið brýnt fyrir starfsmönnum að notast við aðrar leiðir eins og að óska eftir fullu nafni og heimilisfangi viðkomandi. Yfirleitt helst það í hendur að viðskiptamenn neiti að gefa upp kennitölu og/eða nafn og heimilisfang, því eiga starfsmenn bankans ekki annan kost en að neita slíka viðskiptamönnum um þjónustu bankans.“
Einnig segir m.a. í bréfi Landsbankans:
„Ennfremur skal geta þess að í leiðbeinandi tilmælum Fjármálaeftirlitsins nr. 2 frá 2008 í kafla 2.8 segir að varðveita eigi gögn vegna viðskiptafærslna og viðskiptafærslur skulu ávallt vera rekjanlegar. Slík gögn skuli innihalda nafn viðskiptamanns, lögheimili, kennitölu sem og nánari upplýsingar um viðskiptin sjálf. Þrátt fyrir að greiðslan sem þessi kvörtun varðar sé eins og áður sagði undir því marki sem lög nr. 64 frá 2006 tilgreina þá ætlast Fjármálaeftirlitið til þess að fjármálafyrirtæki geti rekið allar færslur fjármuna sem fara í gegnum bankann, því er nauðsynlegt fyrir bankann að staðreyna hver viðskiptamaðurinn er óháð fjárhæð viðskiptanna.
Þess má geta að að mati undirritaðra telst það sem grunsamleg háttsemi með vísan til V. kafla laga nr. 64 frá 2006 þegar viðskiptamenn bankans neita að gefa upp kennitölu eða aðrar upplýsingar sem tryggt geta örugga persónugreiningu, sérstaklega þegar greitt er fyrir þriðja aðila.
Afstaða Persónuverndar til sambærilegs máls liggur fyrir en í tilvitnuðum úrskurði stofnunarinnar í máli nr. 2008/780 taldi stofnunin að Landsbankanum hefði verið óheimilt að óska eftir kennitölu þegar reikningur að fjárhæð 90.000 kr. var greiddur í afgreiðslu bankans. Með vísan til þess sem að framan greinir og afstöðu Fjármálaeftirlitsins gagnvart tilmælum stofnunarinnar nr. 2 frá 2008, sem fram kom í bréfaskiptum sem m.a. var birt á heimasíðu Persónuverndar þann 26.8.2009 þá er það von undirritaðra að stofnunin endurskoði fyrri afstöðu sína gagnvart því hvað telst málefnaleg notkun á kennitölu.“
Með bréfi, dags. 16. ágúst 2010, veitti Persónuvernd málshefjanda færi á að tjá sig um framangreint bréf Landsbankans. Hann svaraði með bréfi, dags. 20. s.m. Þar segir m.a.:
„Úr því að mér er formlega gefinn kostur á að tjá mig um bréf Landsbankans, skal ég ekki liggja á þeirri skoðun minni, að það lýsi fyrst og fremst þeim eindregna ásetningi bankans að hafa áðurnefndan úrskurð að engu. Að mínu viti halda rök bankans engan veginn. Ekki er almennt til siðs að krefjast persónuupplýsinga við viðskipti af þessari stærðargráðu, til dæmis í matvöruverslunum, í þeim tilgangi að geta leiðrétt mistök eftir á. Hér var um að ræða greiðslu með íslenskum peningaseðlum á rækilega merktum gíróseðlum (þar komu meðal annars fram nafn og kennitala hins eiginlega greiðanda), að upphæð 12.606 krónur samtals. Það hljómar eins og hver önnur hótfyndni, þegar því er haldið fram af hálfu bankans að greiðsla sem þessi geti verið liður í víðtæku peningaþvætti. Í lagagrein þeirri sem Persónuvernd vísaði til í úrskurði sínum, er talað um skyldu fjármálastofnana til að afla persónugreinandi upplýsinga þegar fjárhæð einstakra viðskipta nemur 15.000 evrum eða meira. Bankinn ber fyrir sig, að sá möguleiki sé fyrir hendi að „verið sé að greiða viðmiðunarfjárhæðina í mörgum litlum greiðslum“. Mér reiknast til, að ég hefði þurft að gera mér um það bil 181 ferð í bankann til að ná viðmiðunarfjárhæðinni með sams konar greiðslum. Bankamönnunum tveimur sem rita bréfið virðist þó vera full alvara. Sérstaklega dapurleg – og ámælisverð – eru þau ummæli þeirra að mínu mati, að þeir álíti það vera grunsamlega háttsemi, þegar menn standa gegn kröfu sem Persónuvernd hefur úrskurðað að sé lögleysa, og neita að gefa bankanum upp kennitölu eða aðrar persónugreinandi upplýsingar við aðstæður sem þessar. Ég hlýt að skoða þetta sem óviðurkvæmilega aðdróttun í minn garð.
Eftir því sem ég best fæ séð, snúast þau bréfaskipti milli Fjármálaeftirlitsins og Persónuverndar, sem vísað er til í bréfi Landsbankans, um gerólíkt mál, það er stofnun varanlegs viðskiptasambands milli banka og viðskiptavinar.“
Með bréfi, dags. 31. ágúst 2010, veitti Persónuvernd Landsbankanum færi á að tjá sig um framangreint svar málshefjanda. Hann svaraði með bréfi, dags. 10. september 2010, en þar segir m.a.:
„Kvartandi telur að Landsbankanum sé ekki heimilt að persónugreina viðskiptavini sína á nokkurn hátt hvort sem er með kennitölu eða nafni og heimilisfangi. Máli sínu til stuðnings vísaði kvartandi í úrskurð stofnunarinnar nr. 2008/780. Í úrskurðinum er þó ekki tekin afstaða til þess hvort bankanum sé almennt heimlit að persónugreina viðskiptavini sínu heldur er úrskurðurinn einskorðaður við notkun kennitölu við slíka vinnslu. Notkun kennitölu er ætlað að vera háð ítarlegri kröfum heldur en aðrar persónugreinanlegar upplýsingar. Við alla vinnslu persónuupplýsinga innan Landsbankans er farið eftir kröfum 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, ásamt því að gætt sé að einhver þeirra skilyrða sem fram koma í 8. gr. sömu laga séu til staðar.
Af gefnu tilefni skal á það bent að umræðan er á villigötum hvað varðar 15.000 evru viðmiðunarfjárhæð b-liðar 4. gr. laga nr. 64/2006 og gildissvið laganna almennt. Eins og gerð hefur verið tilraun til að benda á þá er það ekki forsenda þess að framkvæma áreiðanleikakönnun á viðskiptamönnum bankans að einstök viðskipti fari yfir viðmiðunarfjárhæðina. Umræddu viðmiði er ætlað að tryggja að sérstakrar varúðar sé gætt í viðskiptum sem ná mörkunum í einni eða fleiri færslum. Fallast má á þau sjónarmið kvartanda að ólíklegt sé að umrædd viðskipti eða tengd viðskipti nái upp í viðmiðunarfjárhæðina. Engu að síður er þarna um að ræða lagaskyldu sem fjármálafyrirtækjum ber að fara eftir og ekkert svigrúm er gefið fyrir persónulegt mat starfsmanna fjármálafyrirtækja á líkunum á því hvort viðskipti kunni að ná upp í viðmiðunarfjárhæðina. Umrædd lagagrein felur í sér eftirlit sem bankanum ber að starfrækja sem eðli málsins samkvæmt fer fram eftir að viðskiptin eiga sér stað. Þrátt fyrir að tilvitnaður lagatexti kveði ekki á með skýrum hætti að það skuli nota kennitölur við afgreiðslu viðskiptanna þá má þó leiða þá kröfu af tilgangi laganna en nánari túlkun á kröfum laganna má sjá í tilmælum Fjármálaeftirlitsins nr. 2/2008. Af framangreindu virtu verður að telja að persónugreining viðskiptavina standist 7. gr. og 10. gr. laga nr. 77/2000.
Eins og áður sagði þá telst það sem grunsamleg háttsemi hjá viðskiptamanni fjármálafyrirtækis þegar viðkomandi neitar að gefa upp nokkur persónuleg deili á sér. Það liggur ljóst fyrir að bankanum ber að kanna áreiðanleika slíkra viðskiptamanna sinna og þar með er einnig fullnægt kröfu 7. gr. og 10. gr. laga nr. 77/2000.“
Einnig segir í bréfi Landsbankans að sé t.d. bótaþegi ekki látinn sýna fram á hver hann sé við staðgreiðslu á greiðsluseðlum geti hann notað slíka greiðslu til að fela tekjur og eignir fyrir yfirvöldum; þannig geti viðkomandi fengið hærri bætur en hann eigi rétt á. Slíkar rangfærslur teljist til lögbrots og notkun á þeim fjármunum, sem séu ávinningur af brotinu, sé fullunnið peningaþvætti, en markmiðið með lögum nr. 64/2006 sé að koma í veg fyrir að slíkir fjármunir komist í umferð.
Einnig segir m.a. í bréfi Landsbankans:
„Eins og rakið hefur verið hér að framan og í fyrri bréfaskriftum þá er persónugreining Landsbankans við afgreiðslu viðskiptamanna sinna ekki gerð að frumkvæði bankans heldur er slík vinnsla persónuupplýsinga liður í að uppfylla kröfur laga og tilmæla sem opinberir aðilar hafa beint til fjármálafyrirtækja.
Það skal áréttað að undirritaðir telja að bankanum sé heimilt að persónugreina viðskiptavini sína hvort sem er með kennitölum, þ.e.a.s. ef viðkomandi er samþykkur því að gefa upp kennitölu, eða með öðrum leiðum líkt og nafni og heimilisfangi.“
Í niðurlagi bréfs Landsbankans er þess óskað að Persónuvernd úrskurði með skýrum hætti um heimildir fjármálafyrirtækja til þess að persónugreina viðskiptamenn sína.
Auk þess sem að framan greinir er í bréfaskiptum vegna málsins vikið að því hvort málshefjanda hafi verið veitt færi á að gefa aðeins upp nafn og heimilisfang. Kemur fram af hálfu Landsbankans að það sé gert þegar viðskiptamaður neiti að gefa upp kennitölu sína. Ekki hafi hins vegar verið unnt að staðreyna hvort það hafi verið gert í því tilviki sem hér um ræðir. Kemur fram af hálfu kvartanda að honum hafi ekki verið veittur kostur á þessu.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr.
Meðferð Landsbanka Íslands/NBI hf. á kennitölu málshefjanda fól því í sér vinnslu persónuupplýsinga um hann í framangreindum skilningi. Fellur mál þetta því undir valdsvið Persónuverndar, sbr. 37. gr. laga nr. 77/2000.
2.
Lögmæti vinnslu
Svo að vinnsla persónuupplýsinga, þ. á m. kennitalna, sé heimil verður að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Þá þarf að vera fullnægt kröfum 1. málsl. 10. gr. laga nr. 77/2000 um að notkun kennitölu sé heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu.
Af ákvæðum 1. mgr. 8. gr. kemur til skoðunar ákvæði 3. tölul. þess efnis að vinnsla persónuupplýsinga sé heimil til að fullnægja lagaskyldu. Varðandi lagaskyldu í þessu tilliti ber að líta til laga nr. 64/2006. Samkvæmt ákvæðum 4. og 5. gr. laganna ber fjármálastofnunum, sbr. a-lið 2. gr. laganna, að sannreyna hverjir viðskiptamenn séu í ákveðnum tilvikum með því að gera svonefnda áreiðanleikakönnun. Samkvæmt 4. gr. er fjármálastofnunum það skylt við upphaf viðvarandi samningssambands (a-liður), vegna einstakra viðskipta að fjárhæð 15.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni, hvort sem viðskiptin fara fram í einni færslu eða fleirum sem virðast tengjast hver annarri (b-liður), vegna gjaldeyrisviðskipta að fjárhæð 1.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni, hvort sem viðskiptin fara fram í einni færslu eða fleirum sem virðast tengjast hver annarri (c-liður), þegar grunur leikur á um peningaþvætti eða fjármögnun hryðjuverka (d-liður) og þegar vafi leikur á því að fyrirliggjandi upplýsingar um viðskiptamann séu réttar eða nægilega áreiðanlegar (e-liður).
Þegar lög nr. 64/2006 leystu eldri lög um aðgerðir gegn peningaþvætti, nr. 80/1993, af hólmi varð sú breyting að í stað orðanna „viðskiptin fara fram í einni eða fleiri aðgerðum sem virðast tengjast hver annarri“, sbr. 2. mgr. 3. gr., komu orðin „hvort sem viðskiptin fara fram í einni færslu eða fleirum sem virðast tengjast hver annarri“. Ekki verður ráðið að með þessu, þ.e. að skipta út orðinu „aðgerð“ fyrir „færslu“, hafi verið stefnt að efnislegri breytingu, en í athugasemdum við b-lið 4. gr. þess frumvarps, sem varð að lögum nr. 64/2006, segir að ákvæðið sé sambærilegt 2. mgr. 3. gr. eldri laga.
Samkvæmt a-lið 1. mgr. 5. gr. skulu einstaklingar framvísa gildum persónuskilríkjum, sem gefin eru út af stjórnvöldum eða eru viðurkennd af þeim, til að unnt sé, í framangreindum tilvikum, að sannreyna hverjir þeir séu. Í 6. mgr. 1. gr. er fjármálastofnunum gert skylt að varðveita afrit af persónuskilríkjum og öðrum gögnum sem krafist er, eða fullnægjandi upplýsingar úr þeim, í a.m.k. fimm ár frá því að viðskiptasambandi lýkur eða einstök viðskipti hafa sér stað. Telja verður að í þessu felist að afla geti þurft kennitölu viðskiptamanns og varðveita hana. Þegar viðskiptin falla ekki undir eitthvert framangreindra ákvæða 4. gr. laga nr. [64/2006] er slíkt hins vegar ekki lögskylt.
Í því tilviki, sem hér um ræðir, var um stök viðskipti að ræða. Fjárhæð þeirra var 12.606 kr., þ.e. til muna lægri en gert er ráð fyrir í b-lið 4. gr. laga nr. 64/2006. Þá liggur ekkert fyrir um að nokkurt þeirra tilvika, sem talin eru upp í a-lið og c–e-liðum 4. gr., hafi átt við. Hvorki hefur nokkuð komið fram varðandi grun um peningaþvætti eða fjármögnun hryðjuverka, né að vafi hafi leikið á því að fyrirliggjandi upplýsingar um viðskiptamann hafi verið réttar eða nægilega áreiðanlegar. Þá liggur ekkert fyrir um að hér hafi verið um að ræða grunsamleg eða óvenjuleg viðskipti í skilningi liðar 3.1 í Leiðbeinandi tilmælum FME nr. 2/2008 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. M.a. hefur ekki komið fram að kvartandi hafi neitað að sanna deili á sér með fullnægjandi hætti.
Með vísun til framangreinds liggur ekki fyrir að skráning á kennitölu kvartanda hafi verið Landsbankanum nauðsynleg til að fullnægja lagaskyldu sinni í skilningi 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 né verður séð að krafa um skráningu á kennitölu hans hafi samrýmst 10. gr. laga nr. 77/2000. Þá verður ekki fallist á það sjónarmið Landsbankans að ávallt verði að staðreyna hver viðskiptamaður sé, óháð eðli viðskipta hverju sinni, enda hefði sú ákvörðun löggjafans að miða skuli við þær lágmarksfjárhæðir sem greinir í 4. gr. laga nr. 64/2006 – nema um grunsamleg viðskipti sé að ræða – þá verið tilgangslaus.
Til að forðast misskilning skal áréttað að ekki eru gerðar athugasemdir við að fjármálastofnanir viðhafi nauðsynlegar varúðarráðstafanir til að girða fyrir peningaþvætti og fjármögnun hryðjuverka. Við mótun slíkra ráðstafana verður hins vegar að gæta meðalhófs þannig að ekki fari fram ónauðsynlegt eftirlit með einstaklingum, þ. á m. þegar um er að ræða smávægileg viðskipti sem hverfandi líkur – ef einhverjar – eru á að tengist slíkri starfsemi.
3.
Stöðvun vinnslu
Dagsektir
Um það álitaefni, sem mál þetta lýtur að, hefur þegar verið fjallað af hálfu Persónuverndar. Vísast til úrskurðar Persónuverndar, dags. 23. febrúar 2009 (mál nr. 2008/780). Í honum voru ákvæði umræddra laga túlkuð vegna kvörtunar yfir kröfu um kennitölu við sambærilegar aðstæður og um ræðir í máli þessu. Síðan hafa verið gerðar breytingar á lögum nr. 64/2006, þ.e. með lögum nr. 116/2009, en þar sem mál þetta lýtur ekki að slíkri upplýsingasöfnun, sem þar um ræðir, hafa sjónarmið tengd þeim ekki áhrif á úrlausn máls þessa. Til frekar skýringar má og vísa til álits Persónuverndar, dags. 13. mars 2006 (mál 2005/263), af tilefni kvörtunar manns yfir því að hafa ekki getað keypt gjaldeyri án þess að gefa upp kennitölu sína.
Þar sem þegar hefur verið úrskurðað um framangreint álitaefni, án þess að ráða megi að ábyrgðaraðili hafi brugðist við með viðhlítandi hætti, koma til skoðunar úrræði Persónuverndar til að framfylgja sínum ákvörðunum. Í 10. gr. laga nr. 77/2000 er mælt fyrir um að Persónuvernd geti bannað notkun kennitölu. Þá segir í 40. gr. sömu laga að Persónuvernd geti mælt fyrir um stöðvun vinnslu persónuupplýsinga, þar á meðal söfnunar, skráningar eða miðlunar, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, í heild eða að hluta, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Þá segir í 1. mgr. 41. gr. að sé ekki farið að fyrirmælum Persónuverndar skv. 10., 25., 26. eða 40. gr. geti hún ákveðið að leggja dagsektir á þann sem fyrirmælin beinast að þar til úr hefur verið bætt að hennar mati. Sektir geta numið allt að 100.000 kr. fyrir hvern dag sem líður eða byrjar að líða án þess að fyrirmælum Persónuverndar sé fylgt.
Með vísun til framangreinds hefur Persónuvernd ákveðið að leggja fyrir Landsbankann að láta þegar af þeirri vinnslu með persónuupplýsingar sem fer í bága við 4. og 5. gr. laga nr. 64/2006. Skal bankinn eigi síðar en 1. október nk. hafa tilkynnt Persónuvernd um með hvaða hætti hann hyggst fara að þessum fyrirmælum, s.s. með setningu verklagsreglna um hvenær viðskipti skuli telja þess eðlis að sennilegt sé að þau tengist peningaþvætti eða fjármögnun hryðjuverka.
Hafi staðfesting um framangreint ekki borist Persónuvernd þann 1. október 2010 má vænta þess að beitt verði dagsektum samkvæmt 41. gr. laga nr. 77/2000 þar til úr hefur verið bætt.
Ú r s k u r ð a r o r ð:
Landsbanka Íslands/NBI hf. var óheimilt að afla upplýsinga um kennitölu G þegar hann greiddi greiðsluseðla fyrir annan einstakling að fjárhæð kr. 12.606 í útibúi bankans í Kletthálsi hinn 15. júní 2010.
Fyrir 1. október nk. skal Landsbanki Íslands/NBI hf. senda Persónuvernd skriflega staðfestingu um að við framkvæmd áreiðanleikakannana sé farið að 4. og 5. gr. laga nr. 64/2006.