Úrskurður um heimild fjármálastofnunar til að biðja um kennitölu

24.3.2009

Úrskurður

Hinn 23. febrúar 2009 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2008/780:

I.

Bréfaskipti

Persónuvernd vísar til fyrri bréfaskipta af tilefni kvörtunar B (hér eftir nefndur „kvartandi"), dags. 5. nóvember 2008, yfir því að Landsbanki Íslands/NBI hf. hafi beðið hann um kennitölu þegar hann hugðist greiða nokkra gíróseðla, samtals að upphæð 90.000 kr., fyrir annan einstakling í útibúi bankans í Holtagörðum sama dag og kvörtunin er dagsett. Þar sem hann hafi ekki gefið upp kennitölu sína hafi honum verið neitað um að fá að greiða gíróseðlana. Óskar hann þess að Persónuvernd úrskurði formlega um hvort þessi neitun á afgreiðslu hafi átt við lög eða reglugerðir að styðjast.

Með bréfi, dags. 21. nóvember 2008, bauð Persónuvernd Landsbanka Íslands/NBI hf. að tjá sig um framangreinda kvörtun. Með vísan til verkefna- og valdsviðs Persónuverndar, sbr. 38. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, var tekið fram að stofnunin gæti ekki fjallað um hvort neitun á afgreiðslu í umrætt sinn hafi samrýmst lögum. Hins vegar gæti stofnunin úrskurðað um það hvort löglegt hafi verið að óska eftir kennitölu, sbr. 10. gr. laga nr. 77/2000. Var því óskað athugasemda Landsbanka Íslands/NBI hf. um málið í ljósi þess ákvæðis. Einnig vísaði stofnunin til 4. og 5. gr. laga nr. 64/2006 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka þar sem fjallað er um hvenær fjármálastofnunum er skylt að sannreyna hverjir eiga viðskipti í þeim.

Landsbanki Íslands/NBI hf. svaraði með bréfi, dags. 5. desember 2008. Þar segir:

„NBI hf. telst tilkynningarskyldur aðili í skilningi laga nr. 64/2006 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka skv. 5. tl. 3. gr. sbr. a-lið 1. mgr. 2. gr. laganna, sbr. einnig 1. gr. laga nr. 161/2002 um fjármálafyrirtæki.

Í 1. gr. laga nr. 64/2006 kemur fram að markmið laganna sé að skylda aðila sem stunda starfsemi er kann að verða notuð til peningaþvættirs og fjármögnunar hryðjuverka til að þekkja deili á viðskiptamönnum sínum og starfsemi þeirra.

Í áliti Persónuverndar frá 13. mars 2006 í máli 2005/263, er varðaði öflun kennitölu við gjaldeyrisviðskipti segir: „Að mati Persónuverndar getur slíkt jafnvel talist heimilt enda þótt það sé ekki lögskylt samkvæmt framangreindum ákvæðum laga nr. 80/1993, þ.e. þegar ástæða er til að ætla að viðskiptin eigi uppruna sinn að rekja til brots eða fari fram í þágu þriðja manns?Þegar upphæðir eru lágar má hins vegar efast um að hagsmunir fjármálastofnana af því að fá upplýsingar um kennitölu vegi þyngra en réttur viðskiptamanna til að gefa hana ekki upp."

Óumdeilt er að viðskipti þau, sem eru grundvöllur kvörtunar [B], hefðu verið í þágu þriðja manns, hefðu þau farið fram. Þó ekki hafi verið um gjaldeyrisviðskipti að ræða var um að ræða viðskipti í þágu þriðja manns sem ekki var sjálfur á staðnum og því mikilvægt, ekki síður fyrir viðskiptamanninn en bankanna að vita deili á þeim aðila sem framkvæmdi viðskiptin. Hvað fjárhæðina varðar verða 90.000 kr. hér vart talin svo lág fjárhægð að hagsmunir bankans af því að fá upplýsingar um kennitölu séu léttvægari en hagsmunir greiðanda af .því að gefa hana ekki upp. Rétt er að ítreka að meginmarkmið laga nr. 64/2006 er að skylda fjármálafyrirtæki til að þekkja viðskiptavini sína, og þjónar notkun kennitölu í tilviki sem þessu sannarlega þeim tilgangi. Þá segir í greinargerð með frumvarpi því, er varð að síðastnefndum lögum, að „lagt [sé] til að gerðar verði auknar kröfur til tilkynningarskyldra aðila um að þeim sé ljóst hver viðskiptamaður þeirra er?", en lög þessi tóku gildi eftir að álit Persónuverndar nr. 2005/263 var gefið út. Því má ætla að eftir gildistöku laga nr. 64/2006 hafi fjármálafyrirtæki bæði aukið svigrúm og heimild til að óska eftir kennitölu viðskiptamanna við tilfallandi viðskipti eins og þau, sem hér ræðir um, hvort sem viðkomandi er þar í reglulegum viðskiptum eður ei.

Að öllu ofangreindu virtu er það mat NBI hf. að það standist ákvæði 10. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga að óska eftir kennitölu greiðanda greiðsluseðla, jafnvel þótt þeir séu á nafni þriðja manns. Lítur bankinn því svo á að gjaldkera hafi verið heimilt, í umrætt skipti, að óska eftir kennitölu [B]."

Með bréfi, dags. 22. desember 2008, bauð Persónuvernd kvartanda að tjá sig um framangreint svar Landsbanka Íslands/NBI hf. Hann svaraði með bréfi, dags. 9. janúar 2009. Þar segir:

„Svar Landsbankans (nú NBI) er innihaldslaust, þar sem allar tilvísanir í aðgerðir gegn peningaþvætti og þess háttar eru marklausar, þegar um innlenda gíróseðla fyrir húsaleigu, rafmagn og hita o.þ.h. er að ræða. Aðgerðir gegn peningaþvætti miðast einnig við upphæðin nemi 10.000 evrum eða meira, þannig að hér er um langt um lægri upphæð að ræða og að reyna að tengja þetta tvennt saman er fyrirsláttur af versta tagi.

Til gamans gerði undirritaður sér ferð í Landsbankann með lítinn greiðsluseðil upp á 455 kr, og þar var nákvæmlega sama uppi á teningnum, hann fékkst ekki greiddur nema að kennitala væri gefin upp. Það má því ljóst vera að bankinn krefst kennitölu við afgreiðslu á ÖLLUM viðskiputm hjá gjaldkera, óháð upphæð.

[?] [G]ífurleg hætta [er] á, eftir að skattayfirvöld fengu viðurkennt fyrir dómstólum að bönkum væri skylt að gefa allar hreyfingar viðskiptamanna upp til skattayfirvalda (nú síðast notkun á erlendum greiðslukortum) að upplýsingar af því tagi sem hér um ræðir verði „samkeyrðar" með öðrum skrám, t.d. skrám Tryggingastofnunar ríkisins, og til dæmis notaðar til þess að fella niður bætur til öryrkja (en greiðsluseðlar þeir sem hér átti að greiða voru einmitt fyrir öryrkja). Greiðandinn sjálfur, eftir að hans kennitala er komin inn í slíka samkeyrslu, gæti augljóslega orðið fyrir miklum óþægindum af ýmsum sökum.

Eins og kunnugt er, þá er óvörð persónuupplýsinga- og kennitölunotkun komin út í algjörar öfgar á Íslandi og langt út fyrir það sem þekkist á nokkru öðru byggðu bóli. Mörg önnur þjóðfélög, reyndar flest, komast ágætlega af án kennitölunotkunar, og standa sig t.d. síst verr í baráttunni við peningaþvætti en Íslendingar. Það liggur því í augum uppi að ef „ofnotkun" kennitölu, líkt og hér stóð til að stunda í Landsbankanum, er heimiluð, þá er orðið „persónuvernd" einnig merkingarlaus dauður bókstafur á Íslandi.

Að lokum skal hér bent á að slík krafa um kennitölu hjá gjaldkera stangast á við lög um Gjaldmiðil Íslands, nr 222, frá 23 apríl 1968. En þar segir í 3 gr: „peningar þeir, sem hann lætur slá og gefur út, skulu vera lögeyrir í allar greiðslur hér á landi með fullu ákvæðisverði" Punktur

Að neita að taka við greiðslu með ófölsuðum og fullkomlega eðlilegum íslenskum peningaseðlum (eða eingöngu gegn einhverjum annarlegum skilyrðum eins og bankinn virðist setja sér einhliða) er BROT á þessum lögum."

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr.

Krafa Landsbanka Íslands/NBI hf. um kennitölu kvartanda fól í sér að unnið yrði með persónuupplýsingar um hann í framangreindum skilningi. Fellur mál þetta því undir valdsvið Persónuverndar, sbr. 37. gr. laga nr. 77/2000.

2.

Lögmæti vinnslunnar

Svo að notkun kennitölu sé heimil verður að vera fullnægt kröfum 1. málsl. 10. gr. laga nr. 77/2000. Þar segir: „Notkun kennitölu er heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu."

Þegar um ræðir kröfu fjármálastofnana til þess að viðskiptavinir gefi upp kennitölu verður, við túlkun þessa ákvæðis, að líta til ákvæða laga nr. 64/2006 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka. Samkvæmt 4. og 5. gr. þeirra laga ber fjármálastofnunum, sbr. a-lið 2. gr. laganna, að sannreyna hverjir viðskiptamenn séu í ákveðnum tilvikum. Samkvæmt 4. gr. er fjármálastofnunum það skylt við upphaf viðvarandi samningssambands (a-liður), vegna einstakra viðskipta að fjárhæð 15.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni (b-liður), vegna gjaldeyrisviðskipta að fjárhæð 1.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni, hvort sem viðskiptin fara fram í einni færslu eða fleirum sem virðast tengjast hver annarri (c-liður), þegar grunur leikur á um peningaþvætti eða fjármögnun hryðjuverka (d-liður) og þegar vafi leikur á því að fyrirliggjandi upplýsingar um viðskiptamann séu réttar eða nægilega áreiðanlegar (e-liður).

Samkvæmt a-lið 1. mgr. 5. gr. skulu einstaklingar framvísa gildum persónuskilríkjum, sem gefin eru út af stjórnvöldum eða eru viðurkennd af þeim, til að unnt sé, í framangreindum tilvikum, að sannreyna hverjir þeir séu. Í 6. mgr. 1. gr. er fjármálastofnunum gert skylt að varðveita afrit af persónuskilríkjum og öðrum gögnum sem krafist er, eða fullnægjandi upplýsingar úr þeim, í a.m.k. fimm ár frá því að viðskiptasambandi lýkur eða einstök viðskipti hafa sér stað. Telja verður að í þessu felist að afla geti þurft kennitölu viðskiptamanns og varðveita hana. Þegar viðskiptin falla ekki undir eitthvert framangreindra ákvæða 4. gr. laga nr. 77/2000 er slíkt hins vegar ekki lögskylt. Það kann þó engu að síður að vera heimilt með vísan til 10. gr. laga nr. 77/2000.

Ekki aðeins verður skilyrðum 10. gr. laga nr. 77/2000 þá að vera fullnægt heldur einnig öðrum ákvæðum sömu laga, þ. á m. grunnkröfum 7. gr. laganna. Þar er m.a. mælt fyrir um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

Í því tilviki, sem hér um ræðir, var fjárhæð þeirra viðskipta sem viðskiptamaður hugðist eiga, þ.e. 90.000 kr., til muna lægri en gert er ráð fyrir í b-lið 4. gr. laga nr. 64/2006, auk þess sem ekkert þeirra tilvika, sem talin eru upp í a-lið og c–e-liðum ákvæðisins átti við. Viðskiptin sjálf, þ.e. greiðsla á ýmsum reikningum, voru að auki þess eðlis að ekki verður séð að önnur atvik hafi gefið sérstakt tilefni til þess að fara fram á kennitölu kvartanda. Telur Persónuvernd því að krafa Landsbanka Íslands/NBI hf. þar að lútandi hafi ekki átt stoð í 10. gr. laga nr. 77/2000, sbr. og framangreindar kröfur 7. gr. laga nr. 77/2000.

Ú r s k u r ð a r o r ð:

Landsbanka Íslands/NBI hf. var ekki rétt að krefja B um kennitölu sína þegar hann hugðist greiða gíróseðla í útibúi bankans í Holtagörðum 5. nóvember 2008.