Úrlausnir
Krafa um kennitölu við kaup á gjaldeyri
Á l i t
Hinn 13. mars 2006 komst stjórn Persónuverndar að svohljóðandi niðurstöðu í máli nr. 2005/263:
I.
Bréfaskipti
1.
Hinn 3. maí 2005 barst Persónuvernd tölvubréf frá A þar sem hann kvartar yfir því að hafa ekki getað keypt gjaldeyri í B og D án þess að gefa upp kennitölu sína. Í tölvubréfinu segir:Bréfaskipti
1.
"Undirritaður þurfti nýlega á lítilsháttar upphæð í dönskum krónum að halda. Hinn 13. apríl 2005 skundaði undirritaður í B í . . . til þeirra hluta. Það var auðsótt þar til kom að því er gjaldkerinn neitaði að afgreiða nema gefin væri upp kennitala. Var gjaldkeranum bent á að í fjármálaráðherratíð Matthíasar Á. Mathiesen 1974-78 var reglum breytt og menn þurftu aðeins að gera grein fyrir u.þ.b. einbýlishúsaverði sem skipt væri. Meira að segja væri síðan búið að fella niður þá tímabundnu kröfu.
Allt kom fyrir ekki. Eftir samtal gjaldkera í stúku nr. 2 við yfirmann sinn, þá var enn neitað um skiptin án kennitölu. Aðspurður kvaðst gjaldkerinn ekki þurfa á kennitölu að halda ef erlendir ríkisborgarar skipta gjaldeyri. Undirritaður kvaðst ósáttur við að vera settur skör lægra útlendingum sem íslendingur í Íslenskum banka. Sömu sögu var að segja um D í . . . Hjá D í . . .óskaði undirritaður eftir því að þeir gæfu út skriflega neitun sína á að afgreiða gjaldeyri án kennitölu. Sagðist útibússtjórinn ætla að senda ósk um þetta til aðalbankans. Það bréf hefur ekki enn borist undirrituðum þann 3.5.2005. Óskin um slíkt bréf var lögð fram 13.4.2005.
Hjá Fjármálaeftirlitinu var leitað eftir því hvort það gerði einhverjar þær kröfur til bankanna sem gera bönkunum nauðsynlegt að kalla eftir kennitölu viðskiptavinar við tækifæri sem þessi. Svörin þar voru á þá lund að ekkert væri í lögum eða reglum, hvað þá reglum þeirra, sem kallaði á þetta. Vísuðu þeir á gjaldeyrisdeild Seðlabankans sem eina hugsanlega kröfuhafann þar um, ef einhver væri.
Hjá gjaldeyrisdeild Seðlabankans voru svörin á þá leið að þeir kölluðu eftir upplýsingum um viðskipti sem færu yfir IKR 600.000,-. Um það væru þó ekki laga- eða reglugerðarkröfur, meira í ætt við lögregluóskir. Til Seðlabankans kæmu öll viðskipti persónugreinanleg frá viðskiptabönkunum, en eftir flokkun eftir krónuupphæð sem fyrr var nefnt, þá væru upplýsingum um viðskiptin breytt yfir í ópersónugreinanleg."
Allt kom fyrir ekki. Eftir samtal gjaldkera í stúku nr. 2 við yfirmann sinn, þá var enn neitað um skiptin án kennitölu. Aðspurður kvaðst gjaldkerinn ekki þurfa á kennitölu að halda ef erlendir ríkisborgarar skipta gjaldeyri. Undirritaður kvaðst ósáttur við að vera settur skör lægra útlendingum sem íslendingur í Íslenskum banka. Sömu sögu var að segja um D í . . . Hjá D í . . .óskaði undirritaður eftir því að þeir gæfu út skriflega neitun sína á að afgreiða gjaldeyri án kennitölu. Sagðist útibússtjórinn ætla að senda ósk um þetta til aðalbankans. Það bréf hefur ekki enn borist undirrituðum þann 3.5.2005. Óskin um slíkt bréf var lögð fram 13.4.2005.
Hjá Fjármálaeftirlitinu var leitað eftir því hvort það gerði einhverjar þær kröfur til bankanna sem gera bönkunum nauðsynlegt að kalla eftir kennitölu viðskiptavinar við tækifæri sem þessi. Svörin þar voru á þá lund að ekkert væri í lögum eða reglum, hvað þá reglum þeirra, sem kallaði á þetta. Vísuðu þeir á gjaldeyrisdeild Seðlabankans sem eina hugsanlega kröfuhafann þar um, ef einhver væri.
Hjá gjaldeyrisdeild Seðlabankans voru svörin á þá leið að þeir kölluðu eftir upplýsingum um viðskipti sem færu yfir IKR 600.000,-. Um það væru þó ekki laga- eða reglugerðarkröfur, meira í ætt við lögregluóskir. Til Seðlabankans kæmu öll viðskipti persónugreinanleg frá viðskiptabönkunum, en eftir flokkun eftir krónuupphæð sem fyrr var nefnt, þá væru upplýsingum um viðskiptin breytt yfir í ópersónugreinanleg."
Í framhaldi af þessu víkur kvartandi að þeim rökum sem bankarnir hafi fært fyrir kröfu um kennitölu viðskiptavinar við gjaldeyriskaup. Þau séu þau að (a) kennitöluskráning gjaldeyrisviðskipta sé viðskiptavini til hagræðis fái hann of lága upphæð við gjaldeyrisyfirfærslu og (b) bönkunum til hagræðis sé upphæðin of há. Hið fyrra sé léttvægt þar sem viðskiptavinurinn ætti að geta fengið ókennitölumarkaða kvittun fyrir yfirfærslunni. Hið fyrra sé einnig léttvægt þar sem bankar beri húsbóndaábyrgð á starfsmönnum sínum. Telur kvartandi því engin rök mæla með því að bankastofnanir hafi nokkuð við það að gera að fylgjast með gjaldeyrisviðskiptum fólks. Hið sama telur hann gilda um löggæsluna. Hún verði að nýta sér aðrar aðferðir en skoðun á gögnum banka um kennitölur gjaldeyriskaupenda til þess að rannsaka mál og þá samkvæmt dómsúrskurði.
Með bréfi, dags. 29. júní 2005, var óskað skýringa frá Samtökum banka og verðbréfafyrirtækja (SBV) og Sambandi íslenskra sparisjóða (SÍSP). Var þess einkum óskað að fram kæmi (a) hvenær SBV og SÍSP teldu heimilt að óska eftir kennitölu þegar það er ekki lögskylt, sbr. 3. gr. laga nr. 80/1993 um peningaþvætti, og (b) hversu lengi SBV og SÍSP teldu heimilt að varðveita upplýsingar um kennitölur gjaldeyriskaupenda.
Hinn 5. júlí 2005 barst Persónuvernd tölvubréf frá SBV þar sem farið var fram á frest til 1. viku septembermánaðar til að tjá sig í samræmi við framangreint. Var fresturinn veittur með bréfi, dags. 6. júlí 2005. Með bréfi, dags. s.d., var og SÍSP veittur sami frestur. Ekki barst svar frá SÍSP, en SBV svaraði með bréfi, dags. 8. september 2005. Þar segir:
"Lög um aðgerðir gegn peningaþvætti, nr. 80/1993 gera mjög ríkar kröfur til fjármálafyrirtækja að þekkja viðskiptamenn sína, sbr. og reglugerð nr. 272/1994. Þróun á alþjóðavettvangi hefur einnig verið að herða slíkar reglur. Samkvæmt 3. gr. laganna ber að óska eftir fullgildum persónuskilríkjum við upphaf viðskiptasambands og þegar um tilfallandi viðskipti er að ræða. Eru fjárhæðarmörkin 15.000 evrur tiltekin í ákvæðinu, en þó tekið fram að slíkt skuli ávallt gera ef grunur leikur á að rekja megi uppruna eignar til brots, hver sem fjárhæðin kann að vera. Þá gerir 5. gr. laganna þá kröfu að krafist sé framvísunar persónuskilríkja ef ástæða er til að ætla að tiltekin viðskipti fari fram í þágu þriðja manns. Í 6. gr. fyrrnefndrar reglugerðar kemur skýrt fram að neiti viðskiptamaður að framvísa skilríkjum beri viðkomandi fjármálafyrirtæki að hafna viðskiptum.
Það liggur ljóst fyrir að þegar starfsfólk banka og sparisjóða (gjaldkerar) sinnir tilfallandi viðskiptum er algengt að starfsfólkið þekki ekki viðkomandi viðskiptamann vel, a.m.k. ekki það vel að [það] geti metið forsendur viðskiptanna. Það mundi þannig reynast mjög erfitt að fara að leggja sjálfstætt mat í hvert og eitt sinn á hvort ástæða væri til að ætla að uppruni eignar geti verið rakin[n] til brots eða að viðskiptin fari fram í þágu þriðja manns. Í ljósi þess og með hliðsjón af þeim stífu kröfum sem lögin gera hafa bankar og sparisjóðir ekki talið sér stætt á öðru en að krefja viðskiptamenn almennt um persónuskilríki vegna gjaldeyrisviðskipta.
Skv. 10. gr. laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000, er notkun kennitölu heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Ekki leikur vafi á að ósk um framvísun persónuskilríkja við gjaldeyrisviðskipti á sér málefnalegan tilgang. Á það skal hins vegar bent að greinin mælir jafnframt fyrir um að Persónuvernd geti bannað notkun kennitölu ef hún telur ástæðu til.
Varðandi síðari spurningu Persónuverndar skal á það bent að lög um bókhald, nr. 145/1994, gera kröfu um að bókhaldi sé hagað á skýran og aðgengilegan hátt þannig að rekja megi viðskipti og notkun fjármuna (6. gr.). Þá skylda lögin þá sem undir þau falla til að varðveita gögn í 7 ár frá lokum viðkomandi reikningsárs."
Það liggur ljóst fyrir að þegar starfsfólk banka og sparisjóða (gjaldkerar) sinnir tilfallandi viðskiptum er algengt að starfsfólkið þekki ekki viðkomandi viðskiptamann vel, a.m.k. ekki það vel að [það] geti metið forsendur viðskiptanna. Það mundi þannig reynast mjög erfitt að fara að leggja sjálfstætt mat í hvert og eitt sinn á hvort ástæða væri til að ætla að uppruni eignar geti verið rakin[n] til brots eða að viðskiptin fari fram í þágu þriðja manns. Í ljósi þess og með hliðsjón af þeim stífu kröfum sem lögin gera hafa bankar og sparisjóðir ekki talið sér stætt á öðru en að krefja viðskiptamenn almennt um persónuskilríki vegna gjaldeyrisviðskipta.
Skv. 10. gr. laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000, er notkun kennitölu heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Ekki leikur vafi á að ósk um framvísun persónuskilríkja við gjaldeyrisviðskipti á sér málefnalegan tilgang. Á það skal hins vegar bent að greinin mælir jafnframt fyrir um að Persónuvernd geti bannað notkun kennitölu ef hún telur ástæðu til.
Varðandi síðari spurningu Persónuverndar skal á það bent að lög um bókhald, nr. 145/1994, gera kröfu um að bókhaldi sé hagað á skýran og aðgengilegan hátt þannig að rekja megi viðskipti og notkun fjármuna (6. gr.). Þá skylda lögin þá sem undir þau falla til að varðveita gögn í 7 ár frá lokum viðkomandi reikningsárs."
Með bréfi, dags. 17. október 2005, var A boðið að tjá sig um framangreint svar SBV fyrir 5. nóvember s.á. Í símtali hinn 8. s.m. bað hann um að sá frestur yrði framlengdur til 11. s.m. og var orðið við því. Ekki hefur borist svar frá A.
2.
Með bréfi, dags. 23. janúar 2006, bauð Persónuvernd D og B að tjá sig um erindi A. D svaraði með bréfi, dags. 30. s.m. Þar segir:
"[D] ítrekar þau sjónarmið, er í svarbréfi SBV greinir.
Íslenskum fjármálafyrirtækjum er ekki einungis heimilt að krefjast þess að viðskiptavinir þeirra sanni á sér deili með framvísun persónuskilríkja (og þar með kennitölu þegar um ræðir innlenda aðila); þeim er það skylt lögum samkvæmt við ýmsar aðstæður og af ýmsum ástæðum. Vísast til laga nr. 145/1995 um bókhald, laga nr. 80/1993 um aðgerðir gegn peningaþvætti og þeirra ríku skyldna sem á fjármálafyrirtækjum hvíla um að þekkja viðskiptavini sína og uppruna fjármuna þeirra.
Athygli Persónuverndar er vakin á nýrri Evróputilskipun frá 26. október 2005 um ráðstafanir gegn því að fjármálakerfið sé notað til peningaþvættis og fjármögnunar hryðjuverka nr. 2005/60/EB sem leggur enn ríkari skyldur á herðar evrópskum fjármálafyrirtækjum um að þekkja viðskiptavini sína en áður. Unnið er að innleiðingu ákvæða tilskipunarinnar í iðnaðar- og viðskiptaráðuneytinu, sbr. aðild Íslands að samningnum um Evrópskt efnahagssvæði.
Af ofanrituðu má ljóst vera að um ræðir málefnalegan tilgang notkunar kennitölu við gjaldeyriskaup og -sölu í íslenskum fjármálafyrirtækjum, í skilningi 10. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga."
Íslenskum fjármálafyrirtækjum er ekki einungis heimilt að krefjast þess að viðskiptavinir þeirra sanni á sér deili með framvísun persónuskilríkja (og þar með kennitölu þegar um ræðir innlenda aðila); þeim er það skylt lögum samkvæmt við ýmsar aðstæður og af ýmsum ástæðum. Vísast til laga nr. 145/1995 um bókhald, laga nr. 80/1993 um aðgerðir gegn peningaþvætti og þeirra ríku skyldna sem á fjármálafyrirtækjum hvíla um að þekkja viðskiptavini sína og uppruna fjármuna þeirra.
Athygli Persónuverndar er vakin á nýrri Evróputilskipun frá 26. október 2005 um ráðstafanir gegn því að fjármálakerfið sé notað til peningaþvættis og fjármögnunar hryðjuverka nr. 2005/60/EB sem leggur enn ríkari skyldur á herðar evrópskum fjármálafyrirtækjum um að þekkja viðskiptavini sína en áður. Unnið er að innleiðingu ákvæða tilskipunarinnar í iðnaðar- og viðskiptaráðuneytinu, sbr. aðild Íslands að samningnum um Evrópskt efnahagssvæði.
Af ofanrituðu má ljóst vera að um ræðir málefnalegan tilgang notkunar kennitölu við gjaldeyriskaup og -sölu í íslenskum fjármálafyrirtækjum, í skilningi 10. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga."
B svaraði með bréfi, dags. 6. febrúar 2006. Þar segir:
"[D] tekur undir þau sjónarmið sem fram koma í framangreindu svari Samtaka banka og verðbréfafyrirtækja. Bankinn vill þó leggja áherslu á nokkur atriði sem hér verða rakin.
Með 3. gr. laga nr. 80/1993 gegn peningaþvætti er lögfest sú skylda að aðili sem fellur undir lögin, í þessu tilviki fjármálafyrirtæki, krefji viðskiptamann ávallt um persónuskilríki við ákveðnar aðstæður, þ.e. við upphaf viðskipta, við ákveðin fjárhæðarmörk ef viðkomandi er ekki í föstu viðskiptasambandi og ef grunur leikur á að rekja megi uppruna eignar til brots. Þau tilvik sem falla undir síðastgreindu aðstæðurnar eru oft viðskipti með gjaldeyri og þá gjarnan kaup á gjaldeyri. Sé aðeins krafist skilríkja í framangreindum tilvikum, getur ósk um framlagningu skilríkja, þegar ekki er um að ræða skyldu vegna upphafs viðskipta eða fjárhæðarmarka, gefið viðskiptamanni til kynna að grunur sé uppi um refsiverðan verknað. Eðli málsins samkvæmt getur það vart verið heppilegt. Í sumum tilvikum vaknar grunur um að uppruna eignar megi rekja til brots fyrst eftir að viðskipti hafa átt sér stað. Nefna má í þessu sambandi einnig 10. gr. laganna þar sem þess er krafist að fjármálafyrirtæki geri og varðveiti skriflegar skýrslur um öll grunsamleg viðskipti. Slíkum skýrslum er ekki hægt að halda til haga nema unnt sé að rekja viðskipti til einstakra viðskiptamanna og þá er kennitalan helsta auðkennið. Á grundvelli Evróputilskipana er settar hafa verið til að sporna við peningaþvætti er lögð rík áhersla á að fjármálafyrirtæki gæti þess að viðskipti séu ávallt rekjanleg, meðal annars í því skyni að hægt sé að greina óeðlilegar færslur eftir á sem virðast eðlilegar þegar viðskipti eiga sér stað. Því verður það að teljast eðlileg ráðstöfun til þess að unnt sé að framfylgja ákvæðum laga nr. 80/1993 að krefjast skilríkja af viðskiptamanni við þessa tegund viðskipta.
Þessu til viðbótar má nefna að fjármálafyrirtækjum er í sumum tilvikum skylt, t.d. samkvæmt ákvæðum tollalaga og laga um tekju- og eignarskatt að láta í té upplýsingar til yfirvalda, stundum er varða einstök viðskipti, þ.á.m. gjaldeyrisviðskipti. Ókleift væri að gefa slíkar upplýsingar nema hægt væri að rekja viðskiptin til tiltekinna viðskiptamanna með því að notast við kennitöluauðkenni."
Með 3. gr. laga nr. 80/1993 gegn peningaþvætti er lögfest sú skylda að aðili sem fellur undir lögin, í þessu tilviki fjármálafyrirtæki, krefji viðskiptamann ávallt um persónuskilríki við ákveðnar aðstæður, þ.e. við upphaf viðskipta, við ákveðin fjárhæðarmörk ef viðkomandi er ekki í föstu viðskiptasambandi og ef grunur leikur á að rekja megi uppruna eignar til brots. Þau tilvik sem falla undir síðastgreindu aðstæðurnar eru oft viðskipti með gjaldeyri og þá gjarnan kaup á gjaldeyri. Sé aðeins krafist skilríkja í framangreindum tilvikum, getur ósk um framlagningu skilríkja, þegar ekki er um að ræða skyldu vegna upphafs viðskipta eða fjárhæðarmarka, gefið viðskiptamanni til kynna að grunur sé uppi um refsiverðan verknað. Eðli málsins samkvæmt getur það vart verið heppilegt. Í sumum tilvikum vaknar grunur um að uppruna eignar megi rekja til brots fyrst eftir að viðskipti hafa átt sér stað. Nefna má í þessu sambandi einnig 10. gr. laganna þar sem þess er krafist að fjármálafyrirtæki geri og varðveiti skriflegar skýrslur um öll grunsamleg viðskipti. Slíkum skýrslum er ekki hægt að halda til haga nema unnt sé að rekja viðskipti til einstakra viðskiptamanna og þá er kennitalan helsta auðkennið. Á grundvelli Evróputilskipana er settar hafa verið til að sporna við peningaþvætti er lögð rík áhersla á að fjármálafyrirtæki gæti þess að viðskipti séu ávallt rekjanleg, meðal annars í því skyni að hægt sé að greina óeðlilegar færslur eftir á sem virðast eðlilegar þegar viðskipti eiga sér stað. Því verður það að teljast eðlileg ráðstöfun til þess að unnt sé að framfylgja ákvæðum laga nr. 80/1993 að krefjast skilríkja af viðskiptamanni við þessa tegund viðskipta.
Þessu til viðbótar má nefna að fjármálafyrirtækjum er í sumum tilvikum skylt, t.d. samkvæmt ákvæðum tollalaga og laga um tekju- og eignarskatt að láta í té upplýsingar til yfirvalda, stundum er varða einstök viðskipti, þ.á.m. gjaldeyrisviðskipti. Ókleift væri að gefa slíkar upplýsingar nema hægt væri að rekja viðskiptin til tiltekinna viðskiptamanna með því að notast við kennitöluauðkenni."
II.
Forsendur og niðurstaða
"Við upphaf viðskipta, einkum við opnun reiknings og eignavörslu, skal einstaklingur eða lögaðili sem nefndur er í 1. gr. krefjast þess af viðskiptamanni að hann sanni á sér deili með framvísun persónuskilríkja um nafn, lögheimili og kennitölu samkvæmt vottorði útgefnu af Hagstofu Íslands eða ríkisskattstjóra. Sama gildir um prókúruhafa eftir því sem við getur átt.
Einnig skal krefjast þess að viðskiptamaður, sem ekki er í föstum viðskiptum skv. 1. mgr., framvísi persónuskilríkjum þegar hann á í viðskiptum með hærri fjárhæð en sem nemur 15.000 evrum miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni. Ef um er að ræða starfsemi sem hlotið hefur starfsleyfi, sbr. 2. mgr. 1. gr., skulu þó framangreind fjárhæðarmörk vera 1.000 evrur miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni. Ef fjárhæðin er ekki þekkt á þeim tíma er viðskiptin eiga sér stað eða viðskiptin fara fram í einni eða fleiri aðgerðum sem virðast tengjast hver annarri skal krefjast framvísunar persónuskilríkja um leið og vitneskja fæst um fjárhæðina og ljóst er að hún er hærri en að framan greinir.
Ef grunur leikur á að rekja megi uppruna eignar til brots sem lýst er í 2. gr. [þ.e. samkvæmt almennum hegningarlögum nr. 19/1940 og tilteknum öðrum lögum] skal krefjast þess af viðskiptamanni að hann framvísi persónuskilríkjum þótt um sé að ræða viðskipti með lægri fjárhæð en skv. 2. mgr."
Einnig skal krefjast þess að viðskiptamaður, sem ekki er í föstum viðskiptum skv. 1. mgr., framvísi persónuskilríkjum þegar hann á í viðskiptum með hærri fjárhæð en sem nemur 15.000 evrum miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni. Ef um er að ræða starfsemi sem hlotið hefur starfsleyfi, sbr. 2. mgr. 1. gr., skulu þó framangreind fjárhæðarmörk vera 1.000 evrur miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni. Ef fjárhæðin er ekki þekkt á þeim tíma er viðskiptin eiga sér stað eða viðskiptin fara fram í einni eða fleiri aðgerðum sem virðast tengjast hver annarri skal krefjast framvísunar persónuskilríkja um leið og vitneskja fæst um fjárhæðina og ljóst er að hún er hærri en að framan greinir.
Ef grunur leikur á að rekja megi uppruna eignar til brots sem lýst er í 2. gr. [þ.e. samkvæmt almennum hegningarlögum nr. 19/1940 og tilteknum öðrum lögum] skal krefjast þess af viðskiptamanni að hann framvísi persónuskilríkjum þótt um sé að ræða viðskipti með lægri fjárhæð en skv. 2. mgr."
Úr framangreindum ákvæðum má lesa þær meginreglur að við upphaf varanlegs viðskiptasambands skuli viðskiptavinur í allflestum tilvikum framvísa persónuskilríkjum og þar með gefa upp kennitölu sína. Sama eigi við þegar viðskiptamaður, sem ekki er í föstum viðskiptum, á viðskipti í fjármálastofnun, s.s. með kaupum á gjaldeyri, sé um að ræða fjárhæð yfir ákveðnum mörkum. Loks gildi hið sama um viðskiptamann, hvort sem hann er í föstum viðskiptum eður ei, leiki grunur á um að eign eigi uppruna sinn að rekja til tiltekinna brota.
Auk þessara ákvæða vísa Samtök banka og verðbréfafyrirtækja til 5. gr. laga nr. 80/1993 þar sem kveðið er á um að hafi einstaklingur eða lögaðili, sem veitir fjármálaþjónustu, vitneskju eða ástæðu til að ætla að tiltekin viðskipti fari fram í þágu þriðja manns skuli viðskiptamaður krafinn upplýsinga um hver sá þriðji maður sé. Telja samtökin að í þessu ákvæði sé fólgin krafa um að sá sem kaupir gjaldeyri fyrir hönd þriðja manns framvísi persónuskilríkjum og gefi þar með upp kennitölu sína. Af því tilefni bendir Persónuvernd á að samkvæmt orðalagi ákvæðisins er þess ekki krafist, en auk þess kemur ekki fram í athugasemdum við ákvæðið í því frumvarpi, sem varð að lögum nr. 80/1993, að það beri að skilja á þennan hátt. Er því ekki unnt að líta svo á að það mæli fyrir um að án undantekninga skuli þeir sem kaupa gjaldeyri fyrir hönd þriðja manns framvísa persónuskilríki og um leið gefa upp kennitölu sína.
B heldur því fram að í Evróputilskipunum, sem settar hafa verið til að sporna gegn peningaþvætti, sé lögð rík áhersla á að fjármálafyrirtæki gæti þess að viðskipti séu ávallt rekjanleg, m.a. í því skyni að hægt sé að greina óeðlilegar færslur eftir á sem virðast eðlilegar þegar viðskipti eiga sér stað. D vísar og til nýrrar tilskipunar nr. 2005/60/EB um ráðstafanir gegn því að fjármálakerfið sé notað til peningaþvættis og til fjármögnunar hryðjuverkamanna.
Í tengslum við tilvísanir þessar til Evrópulöggjafar bendir Persónuvernd á að sú löggjöf hefur ekki að geyma þá reglu að ávallt skuli beðið um persónuauðkenni viðskiptamanns, en af því leiðir einnig að ekki þurfa öll viðskipti, sama hversu lítilfjörleg þau eru, að vera rekjanleg. Samkvæmt nýjustu tilskipuninni varðandi peningaþvætti, sem nefnd er hér að ofan, og nú er fyrirhugað að innleiða í íslenskan rétt, þarf þannig aðeins að staðfesta deili á viðskiptamanni við tilteknar aðstæður, m.a. við stofnun reikninga og bankabóka, sbr. 6. gr., við upphaf viðskiptatengsla, sbr. a-lið 7. gr., og þegar tilfallandi viðskipti að upphæð 15.000 evrur eða meira eiga sér stað, sbr. b-lið sömu greinar. Þess má geta að í hinum 40 tilmælum um aðgerðir gegn peningaþvætti, sem samtök OECD-ríkja um slíkar aðgerðir, FATF (Financial Action Task Force on Money Laundering), hafa gefið út kemur fram svipaður skilningur, sbr. 5. tilmælin þar sem fram kemur að ekki þarf að staðfesta deili á viðskiptavini nema í ákveðnum tilvikum, s.s. þegar fjárhæð er ofan skilgreindra viðmiðunarmarka.
Auk þess sem B vísar til Evrópulöggjafar telur hann 2. mgr. 10. gr. laga nr. 80/1993 gera þá kröfu að upplýsingar um öll bankaviðskipti, þ. á m. gjaldeyriskaup, séu skráðar þannig að fram komi persónuauðkenni viðskiptavina. Sé þá kennitala helsta auðkennið. Telur hann að ekki sé að öðrum kosti unnt að fara að þeirri reglu umrædds ákvæðis að fjármálafyrirtæki skuli gera og varðveita skriflegar skýrslur um öll grunsamleg viðskipti. Til þess að slíkt sé unnt verði að vera hægt að rekja viðskipti til einstakra viðskiptamanna.
Af þessu tilefni bendir Persónuvernd á að samkvæmt skýrum ákvæðum 1.–3. mgr. 3. gr. laganna þarf aðeins að afla vitneskju um hver viðskiptavinur er í þeim tilvikum sem þar er lýst, s.s. þegar viðskipti fara fram úr tiltekinni upphæð. Líta ber svo á að ákvæði 2. mgr. 10. gr. beri að túlkast í ljósi þessa og að því feli það ekki í sér skyldu til skráningar persónuauðkenna, þ. á m. kennitalna, í öllum tilvikum svo að hægt sé að rekja viðskipti til einstaklinga eftir á. Þegar ekki eiga við ákvæði 1. og 2. mgr. 3. gr., þ.e. um skyldu til að óska eftir persónuskilríkjum við upphaf viðskipta og þegar viðskipti nema meiru en tiltekinni upphæð, skuli 2. mgr. 10. gr. þannig ekki skýrast á slíkan hátt. Feli ákvæðið þá aðeins í sér að þegar upp kemur grunur um refsivert athæfi við framkvæmd viðskiptanna sjálfra, og því skuli óskað persónuskilríkja í samræmi við sérreglu 3. mgr. 3. gr. um slíkar aðstæður, skuli gerð um það skýrsla.
Til viðbótar við ofangreint vísar B til þess að fjármálafyrirtækjum er í sumum tilvikum skylt, t.d. samkvæmt ákvæðum tollalaga nr. 55/1987 og laga um tekju- og eignarskatt nr. 90/2003, að láta í té upplýsingar til yfirvalda, stundum varðandi einstök viðskipti, þ. á m. gjaldeyrisviðskipti. Ókleift sé að gefa slíkar upplýsingar nema hægt sé að rekja viðskiptin til tiltekinna viðskiptamanna með því að notast við kennitölur. Á þessar röksemdir B fellst Persónuvernd ekki. Telur stofnunin að gera verði greinarmun á upplýsingaskyldu til stjórnvalda annars vegar og varðveisluskyldu hins vegar. Upplýsingaskylda felur þannig í sér skyldu til að veita stjórnvöldum þær upplýsingar sem tiltækar eru en felur ekki í sér varðveisluskyldu nema sérstaklega sé kveðið á um hana í lögum.
Samkvæmt framangreindu er ekki ávallt lögskylt að krefjast kennitölu viðskiptamanns við kaup á gjaldeyri. Þá reynir hins vegar á hvort það sé engu að síður heimilt og þá hvenær. Í því sambandi ber að líta til áðurnefnds ákvæðis 10. gr. laga nr. 77/2000 um að notkun kennitölu sé heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Í bréfi Samtaka banka og verðbréfafyrirtækja kemur fram sá skilningur að það samrýmist þessu ákvæði að krefja viðskiptamenn ávallt um kennitölu við gjaldeyriskaup, enda væri mjög erfitt í hvert og eitt sinn að leggja sjálfstætt mat á hvort ástæða sé til að ætla að eign eigi uppruna sinn að rekja til brots eða viðskiptin fari fram í þágu þriðja manns. Eins og að framan greinir hvílir hins vegar ekki sú skylda á fjármálastofnunum að ganga ávallt úr skugga um þessi atriði, sbr. 3. mgr. 3. gr. og 5. gr. laga nr. 80/1993, heldur aðeins þegar einhver ástæða er til að ætla að atvik og aðstæður séu með þeim hætti sem lýst er í ákvæðunum eða ef viðskipti fara fram úr tiltekinni upphæð og viðskiptamaður er ekki í föstum viðskiptum við viðkomandi fjármálastofnun. Af þessu má þannig sjá að hin nýja tilskipun hefur að geyma reglur sem mjög eru sambærilegar við þær reglur laga nr. 80/1993 um þetta sem raktar eru hér að framan.
Við mat á því hvort fullnægt sé skilyrðum 10. gr. laga nr. 77/2000 fyrir notkun kennitalna, þ.e. að hún þjóni málefnalegum tilgangi og sé nauðsynleg til að tryggja örugga persónugreiningu, skipta framangreind atriði meginmáli. Með því að kveða ekki á um undantekningarlausa skyldu til að biðja um kennitölur kaupenda gjaldeyris hefur löggjafinn í raun lýst yfir þeirri afstöðu að slíkt sé ekki ávallt nauðsynlegt. Þá ber að líta til eftirfarandi athugasemda við 10. gr. í því frumvarpi sem varð að lögum nr. 77/2000:
"Kröfunni um málefnalegan tilgang verður ekki fullnægt nema önnur auðkenni, svo sem nafn, heimilisfang eða viðskiptanúmer, séu ófullnægjandi. Við mat á málefnalegum tilgangi ber m.a. að líta til þess hvort örugg persónugreining sé mikilvæg fyrir hinn skráða, fyrir ábyrgðaraðila eða vegna almannahagsmuna."
Þegar litið er til framangreinds telur Persónuvernd þá framkvæmd fjármálastofnana að krefja viðskiptamenn ávallt um kennitölu sína við kaup á gjaldeyri ekki fá samrýmst lögum nr. 77/2000, en þó geti svo verið í sérstökum tilvikum. Að mati Persónuverndar getur slíkt jafnvel talist heimilt enda þótt það sé ekki lögskylt samkvæmt framangreindum ákvæðum laga nr. 80/1993, þ.e. þegar ástæða er til að ætla að viðskiptin eigi uppruna sinn að rekja til brots eða fari fram í þágu þriðja manns. Til dæmis geti slíkt talist löglegt þegar upphæðir eru háar enda kunna einka- eða almannahagsmunir þá að vera slíkir að skilyrðum 10. gr. laga nr. 77/2000 teljist vera fullnægt. Þegar upphæðir eru lágar má hins vegar efast um að hagsmunir fjármálastofnana af því að fá upplýsingar um kennitölu vegi þyngra en réttur viðskiptamanna til að gefa hana ekki upp.
Persónuvernd leggur til að óvissu verði eytt um það hvenær fjármálastofnunum er heimilt að krefja viðskiptamann um kennitölu við kaup á gjaldeyri. Það má t.d. gera með setningu starfsreglna. Í þeim gætu m.a. verið ákvæði um hvaða fjárhæðir fjármálastofnanir miði við.
N i ð u r s t a ð a:
Ekki liggur fyrir að krafa B í . . . og D í . . . um kennitölu A þegar hann keypti danskan gjaldeyri hinn 13. apríl 2005 hafi samrýmst 10. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.