Ákvörðun um eðli persónuupplýsinga við gjaldeyriseftirlit SÍ
Persónuvernd hefur komist að þeirri niðurstöðu að vinnsla Seðlabanka Íslands vegna eftirlits með gjaldeyrisviðskiptum einstaklinga lúti, a.m.k. að hluta til, að viðkvæmum persónuupplýsingum. Hefur málið verið tekið til meðferðar í því ljósi og er nú beðið skýringa bankans, m.a. um með hvaða hætti hann uppfyllir þær kröfur sem lög nr. 77/2000 gera til vinnslu viðkvæmra persónuupplýsinga.
Í ákvörðun Persónuverndar segir m.a.:
"1.
Ákvörðun um eðli persónuupplýsinga
1.1.
Persónuvernd vísar til fyrri bréfaskipta um vinnslu Seðlabanka Íslands á persónuupplýsingum um gjaldeyrisviðskipti einstaklinga. Í bréfi bankans, dags. 2. september sl., er vinnslu hans á persónuupplýsingum ítarlega lýst.
Ljóst er að umfangsmikil vinnsla fer nú fram, m.a. með upplýsingar sem bankinn sækir til fjármálastofnana, tollyfirvalda og greiðslukortafyrirtækja. Kemur fram að vakni grunur um brotlega háttsemi geti komið til þess að Seðlabankinn kalli eftir yfirliti hreyfinga á bankareikningum í eigu aðila sem rannsókn beinist að. Síkt yfirlit berst frá Reiknistofu bankanna eftir að henni hefur verið send formleg gagnaöflunarbeiðni og lýtur að öllum fjárhagslegum aðgerðum í tölvukerfum stofunnar á þeim bankareikningum og því tímabili sem óskað er eftir. Þá segir að til þess geti komið að upplýsinga um aðila, sem til rannsóknar eru, sé aflað beint frá fjármálastofnunum. Þar er um að ræða staðfest afrit símgreiðsluskeyta; afrit tölvupóstskeyta og annarra gagna sem liggja til grundvallar tilteknum viðskiptum eða fjármagnshreyfingum; ítarupplýsingar um tilteknar hreyfingar á innlánsreikningum sem ekki reynist unnt að rekja með hefðbundnum hætti, s.s. afrit gjaldkerakvittana; gögn sem fjármálafyrirtæki afla frá viðskiptavinum á grundvelli laga nr. 64/2006 um peningaþvætti og fjármögnun hryðjuverka; og aðrar upplýsingar sem fjármálastofnanir meta viðeigandi eftir atvikum.
Seðlabankinn telur umræddar upplýsingar ekki viðkvæmar því brot á lögum um gjaldeyrismál nr. 87/1992 varði stjórnvaldssektum sem ekki teljist til refsinga í skilningi refsiréttar, sbr. 15. gr. a í lögum um gjaldeyrismál, sbr. lög nr. 78/2010.
1.2.
Af því tilefni er tekið fram að hugtakið viðkvæmar persónuupplýsingar er skilgreint í 8. tölul. 2. gr. laga nr. 77/2000. Þar eru taldar upp í fimm stafliðum þær tegundir upplýsinga sem teljast vera viðkvæmar. Samkvæmt blið 8. tölul. eru upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, viðkvæmar persónuupplýsingar.
Samkvæmt 15. gr. laga um gjaldeyrismál nr. 87/1992 er Seðlabanka Íslands heimilt að leggja stjórnvaldssektir á hvern þann sem brýtur gegn tilgreindum ákvæðum. Í 16. gr. og 16. gr. a. - d. er hins vegar að finna ákvæði þar sem kveðið er á um heimildir til refsingar við nánar tilteknum brotum. Það hvort brot varði stjórnvaldssekt eða öðrum viðurlögum felur eingöngu í sér stigsmun en ekki eðlismun og skiptir ekki máli við mat á því hvort um telst vera að ræða viðkvæmar persónuupplýsingar í skilningi 8. tl. 2. gr. laga nr. 77/2000. Hefur þannig ekki þýðingu í þessu máli hvort brot kunni að leiða til stjórnvaldssektar eða annars konar viðurlaga. Auk þess verður við skýringu á 8. tölul. 2. gr. laga nr. 77/2000, eins og við túlkun á öðrum ákvæðum laganna, að hafa hliðsjón af markmiðsákvæði 1. gr. þeirra. Markmið laganna er m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga.
Það er niðurstaða stjórnar Persónuverndar að sú vinnsla sem Seðlabanki Íslands lýsir í framangreindu bréfi sínu lúti, a.m.k. að hluta til, að viðkvæmum persónuupplýsingum og þurfi samkvæmt því að uppfylla þær kröfur sem lög nr. 77/2000 gera til vinnslu slíkra persónuupplýsinga. Ákvörðun þessi byggir á 5. mgr. 9. gr. þeirra laga."