Bréf Persónuverndar vegna afstöðu sinnar til heimildar viðskiptaráðherra
Persónuvernd hefur borist erindi frá viðskiptaráðuneytinu, dags. 16. nóvember sl., þar sem stofnuninni er boðið að koma á framfæri afstöðu sinni vegna heimildar viðskiptaráðherra til þess að setja í reglugerð ákvæði um að tilkynningar fjármálafyrirtækja á grundvelli 30. gr. laga nr. 108/2007 um verðbréfaviðskipti skuli innihalda upplýsingar um auðkenni viðskiptavina fjármálafyrirtækja.
Í erindi viðskiptaráðuneytisins koma fram fjórar tillögur að útfærslum á heimild 30. gr. laga nr. 108/2007, en þær eru eftirfarandi:
„1. Að krefjast auðkenningar sem er sérkennandi fyrir viðskiptavin, þannig að hún vísi einungis til viðkomandi viðskiptavinar. Ekki er átt við kennitölu í þessu sambandi. Hin sérkennandi auðkenning skal notuð í öllum tilkynningum hlutaðeigandi fjármálafyrirtækis til Fjármálaeftirlitsins um viðskipti hans. Fjármálafyrirtækjum kann að vera í sjálfsvald sett í hvaða formi auðkenningin er, s.s. viðskiptanúmer eða reikningsnúmer. Annar möguleiki er að skilgreina auðkennið nánar í reglugerðinni (s.s. viðskipta- eða reikningsnúmer).
2. Að heimila notkun kennitölu til auðkenningar viðskiptavina í tilkynningu um viðskipti skv. 30. gr. Þegar erlendir aðilar og/eða aðrir sem ekki eiga kennitölu eru annars vegar væri hægt að notast við númer vegabréfs.
3. Að heimila auðkenningu viðskiptavina í tilkynningum um viðskipti skv. 30. gr. í formi nafns og heimilisfangs og/eða reikningsnúmers.
4. Að setja ekki reglugerð á grundvelli 3. tölul. 2. mgr. 31. gr. laga nr. 108/2007."
Áður en lengra er haldið er rétt að benda á að afstaða Persónuverndar í þessu máli er afmörkuð við auðkenningu einstaklinga, Persónuvernd tekur enga afstöðu til þess hvernig auðkenningu lögaðila kunni að verða háttað.
Þann 23. október sl. veitti Persónuvernd umsögn um drög viðskiptaráðuneytisins að reglugerð um tilkynningar um viðskipti skv. 30. gr. laga nr. 108/2007. Í framangreindum drögum var fjallað um auðkenningu viðskiptavina og sagði að auðkenning skyldi vera sérkennandi fyrir viðskiptavin þannig að hún vísaði einungis til viðkomandi viðskiptavinar. Í umsögn Persónuverndar var bent á að í stað þess að nota kennitölur manna mætti nota einhvers konar viðskiptanúmer sem viðkomandi fjármálafyrirtæki notar til að auðkenna sína viðskiptavini.
Í samræmi við framangreinda afstöðu lítur Persónuvernd svo á að sá kostur sem nefndur er í lið eitt hér að framan, þ.e. að notast við viðskiptanúmer eða reikningsnúmer en ekki kennitölur einstaklinga, sé frá sjónarhóli einkalífsverndar æskilegur.
Varðandi þá tillögu sem sett er fram í lið tvö hér að framan, þ.e. að heimilt verði að notast við kennitölur sem auðkenningu viðskiptavina í tilkynningum um viðskipti, vísast til þess sem fram kom í framangreindri umsögn Persónuverndar frá 23. október sl. Frá sjónarhóli einkalífsréttar er varhugavert að auðkenna slíkar tilkynningar með kennitölum, enda getur það leitt til þess að mjög umfangsmiklar upplýsingar um fjármál fjölda einstaklinga verði aðgengilegar hjá opinberu stjórnvaldi. Þá er það mat stjórnar Persónuverndar að ef það hafi verið ætlan löggjafans að notast yrði við einkvæm persónuauðkenni, á borð við kennitölur, hefði það komið fram í lögum nr. 108/2007 eða öðrum lögskýringargögnum. Einnig er rétt að benda á þær víðtæku heimildir sem Fjármálaeftirlitið hefur til upplýsingaöflunar vegna athugunar tiltekins máls en samkvæmt 2. mgr. 133. gr. laga nr. 108/2007 er Fjármálaeftirlitinu, í tengslum við athugun tiltekins máls, heimilt að krefja einstaklinga og lögaðila um allar upplýsingar og gögn sem það telur nauðsynleg.
Í þriðja lið er tillaga um að í tilkynningum um viðskipti skv. 30. gr. laga nr. 108/2007 verði nöfn manna og heimilisföng notuð sem auðkenni. Ólíkt kennitölum eru slík auðkenni ekki einkvæm og bjóða ekki upp á samskonar vinnslumöguleika, s.s til samkeyrslna. Notkun slíkra auðkenna er, frá sjónarhóli einkalífsréttarins, þar af leiðandi æskilegri heldur en notkun kennitalna. Þessu til stuðnings er rétt að benda á að Persónuvernd er kunnugt um að framangreind leið hafi verið farin í Danmörku við innleiðingu MiFID tilskipunarinnar nr. 2004/39/EB í danskan rétt. Stofnuninni er aftur á móti ekki kunnugt um að sú leið hafi verið farin, hjá þeim ríkjum sem innleitt hafa MiFID tilskipunina í landsrétt, að notast við einkvæm persónuauðkenni á borð við kennitölur við auðkenningu viðskiptavina vegna tilkynninga um viðskipti.
Persónuvernd tekur ekki afstöðu til þess hvort notast eigi við upplýsingar um nafn og heimilisfang ásamt upplýsingum um reikningsnúmer eða hvort notast eigi við upplýsingar um reikningsnúmer í stað upplýsinga um heimilisfang en vísar í ákvæði 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga þar sem fram kemur að við meðferð persónuupplýsinga skuli þess m.a. gætt að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.
Í fjórða lið erindis viðskiptaráðuneytisins er sú tillaga sett fram að ekki verði sett reglugerð á grundvelli 3. tölul. 2. mgr. 31. gr. laga nr. 108/2007. Persónuvernd tekur almennt ekki afstöðu til þess hvort setja eigi reglugerð á grundvelli heimildar 3. tölul. 2. mgr. 31. gr. laga nr. 108/2007 en bendir þó á að setning reglugerðar geti verið til þess fallin að auka fyrirsjáanleika innan stjórnsýslunnar og kunni því að vera æskileg í ljósi almennra stjórnsýslusjónarmiða.