Birting úrskurða og álita endurskoðendaráðs

9.12.2011

Álit

Hinn 22. nóvember 2011 samþykkti stjórn Persónuverndar, með vísun til 5. tölul. 3. mgr. 37. gr. laga nr. 77/2000, svohljóðandi álit í máli nr. 2011/939:


1.
Erindi endurskoðendaráðs

Persónuvernd vísar til bréfs frá Þórði Reynissyni, f.h. endurskoðendaráðs, dags. 1. september 2011. Í bréfinu sagði:

„Endurskoðendaráð er sjálfstæður eftirlitsaðili með störfum endurskoðenda og starfar samkvæmt lögum nr. 79/2008. Í 3. mgr. 18. gr. laganna segir að endurskoðendaráði beri jafnan að leita álits sérfróðra mann utan ráðsins um mál sem eru utan við sérfræðisvið þeirra manna er ráðið skipa og hefur ráðið ákveðið að leita álits Persónuverndar á því í hvaða tilvikum ráðinu sé skylt eða eftir atvikum heimilt að birta niðurstöður sínar opinberlega. Með bréfi þessu óskar endurskoðendaráð eftir umsögn Persónuverndar um það hvort ráðinu sé skylt, eða eftir atvikum heimilt að birta nafn endurskoðenda opinberlega í úrskurðum og álitum sínum.

Samkvæmt lögum um endurskoðendur skal endurskoðendaráð hafa eftirlit með því að endurskoðendur og endurskoðunarfyrirtæki ræki störf sín í samræmi við ákvæði laga um endurskoðendur, siðareglur félags löggiltra endurskoðenda og aðrar reglur er taka til starfa endurskoðenda. Ráðið sinnir bæði reglubundu eftirliti, skv. 15. gr. laga um endurskoðendur, og getur einnig tekið mál til meðferðar að eigin frumkvæði eða á grundvelli kæru, skv. 16. gr. laganna. Ráðið úrskurðar um kæru- og ágreiningsefni, skv. 3. mgr. 16. gr. og getur einnig með rökstuddu áliti, skv. 2. mgr. 17. gr. veitt endurskoðanda áminningu eða með slíku áliti lagt til við ráðherra að réttindi endurskoðanda verði felld niður.

Um birtingu á niðurstöðum endurskoðendaráðs segir eftirfarandi í 7. mgr. 18. gr. laga nr. 79/2008:

„Endurskoðendaráð skal árlega gera skýrslu um störf sín og skal hún opin almenningi. Birta skal opinberlega og rekja alla úrskurði ráðsins skv. 16. gr.“

Samkvæmt framangreindu ákvæði skal birta opinberlega og rekja alla úrskurði ráðsins. Að mati ráðsins felur þetta í sér að skylt sé að birta úrskurði ráðsins með einhverju móti opinberlega, t.d. á réttarheimild.is eða á heimasíðu ráðsins. Að mati ráðsins er þó enn ósvarað þeirri spurningu hvort í þeirri birtingu sé skylt eða heimilt að birta nöfn þeirra aðila er úrskurður varðar. Þá er ekki fjallað um það í lögum nr. 79/2008 hvort birta eigi rökstutt álit um að veita endurskoðanda áminningu eða rökstutt álit um að leggja til við ráðherra að réttindi endurskoðanda verði felld niður. Endurskoðendaráð óskar þess að umsögn Persónuverndar taki til þessara álitamála.

Endurskoðendaráð hefur haft til skoðunar hvort frekari lagaheimildar sé þörf þar sem opinber birting stjórnvaldsákvarðana getur í einhverjum tilvikum talist fela í sér refsikennd viðurlög. Hins vegar bendir endurskoðendaráð á að samkvæmt 3. mgr. 8. gr. laga nr. 79/2008, um endurskoðendur, er endurskoðandi opinber sýslunarmaður við framkvæmd endurskoðunarstarfa. Það er þjóðhagslega mikilvægt að endurskoðandi gæti óhæðis og hlutleysis í starfi sínu þar sem notandi hinna endurskoðuðu upplýsinga er jafnan þriðji aðli sem ekki stendur í beinum tengslum við ráðningarsamband endurskoðandans og verkkaupans. Þannig má sem dæmi nefna að fjárfestar reiða sig á endurskoðuð reikningsskil við ákvarðanatöku um fjárfestingar. Ráðið telur að birting á niðurstöðum þar sem aðilar eru nafngreindir hafi almenn varnaðaráhrif auk þess sem máli geti skipt að þriðju aðilar fái vitneskju um tiltekin brot á lögum um endurskoðendur.“

2.
Forsendur og niðurstaða

2.1.
Þau lög, sem Persónuvernd framfylgir og starfar eftir, þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, gilda um vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Með vísan til framangreinds er ljóst að birting á nöfnum endurskoðenda í úrskurðum eða rökstuddum álitum endurskoðendaráðs fellur undir gildissvið laga nr. 77/2000.

2.2.
Að því marki sem um er að ræða vinnslu almennra persónuupplýsinga um einstaklinga er tekið fram að hún verður að samrýmast einhverju af skilyrðum 8. gr. laga nr. 77/2000 svo hún sé heimil. Ef vinna á með viðkvæmar persónuupplýsingar verður að auki að vera fullnægt einhverju af skilyrðum 9. gr. sömu laga. Upplýsingar um það hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað eru viðkvæmar persónuupplýsingar, sbr. b-lið 8. tölul. 2. gr. laganna. Af 16. og 17. gr. laga nr. 79/2008 um endurskoðendur telur Persónuvernd, sbr. 5. mgr. 9. gr. laga nr. 77/2000, leiða að um viðkvæmar persónuupplýsingar í þeim skilningi geti verið að ræða. Slíkar upplýsingar verða því almennt ekki birtar af opinberum eftirlitsaðila án skýrrar heimildar að lögum.

Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

2.3.
Samkvæmt 14. gr. laga nr. 79/2008 um endurskoðendur skipar ráðherra fimm menn til setu í endurskoðendaráði til fimm ára í senn. Hlutverk endurskoðendaráðs er að hafa eftirlit með því að endurskoðendur og endurskoðunarfyrirtæki ræki störf sín í samræmi við ákvæði þessara laga, siðareglur Félags löggiltra endurskoðenda og aðrar reglur sem taka til starfa endurskoðenda.  Af framangreindu er ljóst að endurskoðendaráð er stjórnvald og verður því að hlíta almennum meginreglum stjórnsýsluréttarins. Þegar ábyrgðaraðili er stjórnvald er, í ljósi lögmætireglunnar, jafnan skoðað hvort uppfyllt er skilyrði 3. töluliðar 1. mgr. 8. gr. laga nr. 77/2000, um að vinnsla sé heimil vegna þess að hún sé ábyrgðaraðila nauðsynleg til að fullnægja lagaskyldu sem hvílir á honum. Þá er, ef um viðkvæmar persónuupplýsingar að ræða, einnig skoðað hvort skilyrði 2. tölul. 9. gr. laganna sé uppfyllt.

Að mati stjórnar Persónuverndar er mál þetta er tvíþætt. Annars vegar snýr það að birtingu úrskurða endurskoðendaráðs og rökstuddra álita um að máli skuli vísað til opinberrar rannsóknar samkvæmt 16. gr. laga nr. 79/2008.  Hins vegar lýtur það að birtingu áminninga og tillagna um sviptingu réttinda samkvæmt 17. gr. sömu laga.

2.3.1.
Um hið fyrrnefnda er fjallað í 7. mgr. 18. gr. laga nr. 79/2008. Þar segir að ráðið skuli árlega gera skýrslu um störf sín og skuli hún opin almenningi. Þá segir að birta skuli opinberlega og rekja alla úrskurði ráðsins samkvæmt 16. gr. laganna, en ráðið getur tekið mál til meðferðar að eigin frumkvæði eða að kvörtun þess sem telur á sér brotið af hálfu endurskoðanda. Þá getur ráðið, með rökstuddu áliti, vísað máli til opinberrar rannsóknar.  Í athugasemdum þeim er fylgdu frumvarpi því er varð að lögum nr. 79/2008 er vísað til þess að tilgangur tilskipunar 2006/43/EB frá 17. maí 2006, um lögboðna endurskoðun ársreikninga og samstæðureikninga, og lögin byggja á, sé að tryggja með betri hætti en áður að fjárfestar og aðrir hagsmunaaðilar geti reitt sig á störf endurskoðenda og að koma í veg fyrir fjármálamisferli innan Evrópusambandsins. Þá má ætla að slíkri birtingu sé ætlað að hafa varnaðaráhrif.

Með vísun til framangreinds er það mat Persónuverndar að löggjafinn hafi tekið afstöðu til opinberrar birtingar úrskurða endurskoðendaráðs og rökstuddra ákvarðana þess um að vísa máli til opinberrar rannsóknar. Telst hún því heimil. Það að hvaða marki ber að afmá nöfn manna úr einstökum ákvörðunum þarf ráðið hins vegar sjálft sem ábyrgðaraðili að meta hverju sinni. Þar þarf að  meta hvort tilgangi laganna verði ekki náð nema með því að birta nöfnin. Þá þarf, í ljósi meðalhófsreglu 7. gr. laganna, að ákveða að hvaða marki beita ber almennum öryggisráðstöfunum til að hindra óþarfa vinnslu persónuupplýsinga, s.s. til að hindra að nafnbirtingar verði aðgengilegar með leitarvélum á netinu.

2.3.2.
Telji endurskoðendaráð sýnt að endurskoðandi hafi í störfum sínum brotið gegn lögum nr. 79/2008, svo að ekki verði við unað, skal það í rökstuddu áliti veita viðkomandi aðila áminningu eða leggja til við ráðherra að réttindi endurskoðandans verði felld niður. Hér er ekki til að dreifa sambærilegu almennu ákvæði um opinbera birtingu enda tekur ákvæði 7. mgr. 18. gr. laganna ekki til ákvarðana samkvæmt 17. gr. laganna. Ekki verður því séð að birting þeirra geti stuðst við ákvæði 3. tölul. 1. mgr. 8. gr. laga og 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000.

Á l i t s o r ð
Heimil er opinber birting úrskurða enduskoðendaráðs og rökstuddra ákvarðana þess um að vísa málum til opinberrar rannsóknar. Slík heimild stendur ekki til að birta áminningar ráðsins og tillögur þess, samkvæmt 2. mgr. 17. gr. laga nr. 79/2008.