Umsögn um frumvarp til breytinga á lögum um gjaldeyrismál
Umsögn um frumvarp til laga um breytingu á lögum nr. 87/1992, um gjaldeyrismál, með síðari breytingum (rýmkun heimilda, aukið eftirlit, hækkun sekta o.fl.)
Persónuvernd vísar til tölvubréfs efnahags- og viðskiptanefndar Alþingis frá 30. apríl 2012 þar sem óskað er umsagnar stofnunarinnar um frumvarp til laga um breytingu á lögum nr. 87/1992, um gjaldeyrismál, með síðari breytingum (rýmkun heimilda, aukið eftirlit, hækkun sekta o.fl.) Þskj. 1169, 731. mál á 140. löggjafarþingi.
Í frumvarpinu er m.a. gert ráð fyrir auknu eftirliti Seðlabanka Íslands með fjármálastofnunum og einstaklingum vegna gjaldeyrishafta. Þá er þar að finna ákvæði um auknar heimildir bankans til upplýsingaöflunar, þ. á m. söfnunar persónuupplýsinga. Hafa þær heimildir þó þegar verið auknar til muna, þ.e. með lögum nr. 78/2010 um breytingu á lögum nr. 87/1992. Vakin er athygli á að við þá lagasetningu láðist að leita umsagnar Persónuverndar eins og þó bar að gera, sbr. 6. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Í 11. gr. frumvarpsins eru lagðar til eftirfarandi breytingar á 14. gr. núgildandi laga:
Orðin „um gjaldeyrisviðskipti“ í 1. málsl. falla brott.
Á eftir 1. málsl. koma tveir nýir málsliðir sem orðast svo: Skiptir ekki máli í því sambandi hvort upplýsingarnar varða þann aðila sem beiðninni er beint til eða þau skipti annarra aðila við hann er hann getur veitt upplýsingar um og varða athuganir og eftirlit Seðlabankans. Lagaákvæði um þagnarskyldu takmarka ekki skyldu til þess að veita upplýsingar og aðgang að gögnum.
Í athugasemdum þeim er fylgja frumvarpinu segir að með ákvæðinu sé lagt til að heimildir Seðlabanka Íslands til að afla upplýsinga vegna lögbundins eftirlits bankans með lögunum verði ekki eingöngu bundnar við upplýsingar er lúta að gjaldeyrisviðskiptum. Mikilvægt sé fyrir Seðlabankann að geta óskað eftir annars konar upplýsingum til að honum sé unnt að framkvæma hið lögbundna eftirlit með fullnægjandi hætti. Þannig verði heimildir til Seðlabankans til öflunar upplýsinga vegna eftirlits þær sömu og að því er varða rannsóknir vegna meintra brota á ákvæðum laganna.
Með vísan til framangreinds vill Persónuvernd koma eftirfarandi á framfæri.
1.
Skráning kennitölu við gjaldeyrisviðskipti
Með bréfi, dags. 9. mars 2012, veitti Persónuvernd Seðlabanka Íslands leiðbeinandi svar, í tilefni af beiðni bankans um að stofnunin myndi endurskoða niðurstöður sínar í máli nr. 2011/198. Það eru annars vegar úrskurður Persónuverndar, dags. 22. júní 2011, í ágreiningsmáli af tilefni kvörtunar manns sem taldi ekki hafa verið unnið með persónuupplýsingar um sig í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Hann hafði ekki getað selt 60 evrur í útibúi Arion-banka nema kennitala hans yrði skráð. Arion-banki sýndi ekki fram á heimild fyrir skráningunni og Persónuvernd taldi, á grundvelli þeirra forsendna sem þá lágu fyrir í málinu, að bankanum hefði ekki verið heimilt að skrá kennitölu kvartanda í umrætt sinn. Var lagt fyrir bankann að stöðva alla slíka skráningu fyrir 1. ágúst 2011. Hins vegar er um að ræða ákvörðun Persónuverndar, dags. 17. janúar sl., þar sem framangreindur frestur Arion banka, til að láta af umræddri skráningu, var framlengdur til 10. febrúar 2012. Var Arion-banka jafnframt gert aðvart um að hefði hann ekki upplýst stofnunina um breytt verklag fyrir þann tíma gætu þvingunarúrræði, samkvæmt 41. gr. laga nr. 77/2000, komið til framkvæmda. Með bréfi, dags. 7. febrúar 2012, tilkynnti Arion-banki Persónuvernd um breytt verklag og lét hún málið þá niður falla.
Í framangreindri ósk Seðlabanka Íslands um að Persónuvernd myndi endurskoða afstöðu sína vísaði hann til ríkra heimilda sinna til upplýsingasöfnunar. Persónuvernd féllst ekki á ósk hans, enda léki í fyrsta lagi ríkur vafi á um að lagaheimild stæði til að skrá upplýsingarnar hjá viðskiptabönkunum. Þá kom fram af hálfu Persónuverndar að hver einstakur þáttur vinnslunnar yrði að eiga sér fullnægjandi stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í svari hennar segir m.a.:
„Það nægir því t.d. ekki að skráning upplýsinga samrýmist lögum nr. 77/2000 heldur þarf miðlun þeirra einnig að gera það, varðveisla þeirra o.s.frv. Þannig dugar einum ábyrgðaraðila t.d. skammt að mega safna persónuupplýsingum frá öðrum aðilum ef þeir hafa ekki heimildir til að skrá þær eða varðveita. Þá verður, ef stjórnvöld eiga hlut að máli, að gæta lögmætisreglunnar. Samkvæmt henni er þeim skorinn sá stakkur sem lögin setja þeim, m.a. að því er varðar heimildir þeirra til að gefa einkaaðilum fyrirmæli um skráningu persónuupplýsinga.“
Í tilvitnuðum texta felst m.a. að ekki nægir að Seðlabanki Íslands hafi heimild að lögum til öflunar tiltekinna skráðra upplýsinga ef sá sem á að láta honum þær í té hefur ekki heimild til að skrá þær. Gera verður greinarmun á þessu tvennu, skráningu og öflun. Þá þarf öll skráning kennitalna að fullnægja kröfum 10. gr. laga nr. 77/2000 um notkun kennitölu. Ekki verður séð að 11. gr. framangreinds frumvarps myndi - enda þótt hún yrði samþykkt - hafa að geyma slíka heimild.
2.
Upplýsingasöfnun Seðlabankans
Persónuvernd lýsir hins vegar áhyggjum sínum af þeirri gríðarmiklu söfnun persónuupplýsinga um borgara þessa lands, sem nú þegar á sér stað hjá Seðlabanka Íslands - og þeirri fyrirætlan að auka enn umfang hennar.
Sú upplýsingasöfnun sem nú fer fram mun að mestu leyti vera af tilefni gjaldeyrishafta. Samkvæmt fyrirliggjandi frumvarpi er hins vegar ekki aðeins fyrirhugað að auka eftirlit Seðlabanka Íslands með einstaklingum vegna gjaldeyrishafta, heldur jafnvel að fella það viðmið niður. Engin skýr viðmið virðast eiga að koma í staðinn. Sé það fyrirætlun löggjafans að heimila Seðlabanka Íslands að afla upplýsinga um einstaklinga umfram það sem þörf krefur vegna gjaldeyriseftirlits eykst sú ógn sem fylgir upplýsingasöfnun Seðlabankans frá sjónarhóli einkalífsverndar.
Hvorki í frumvarpinu sjálfu, né í athugasemdum þeim er fylgja því, kemur fram að hvaða marki bankanum gæti verið nauðsynlegt að afla persónuupplýsinga sem ekki tengjast gjaldeyriseftirliti. Enn fremur er ekkert fjallað um tilgang slíkrar upplýsingaöflunar og engar skorður eru settar við því hvaða tegund upplýsinga bankanum er heimilt að safna. Óvíst er að slík löggjöf standist ákvæði 71. gr. stjórnarskrárinnar. Til þess yrði fyrir það fyrsta að setja öryggisákvæði í lögin. Í sett lög hefur skort fullnægjandi öryggisákvæði, s.s. um takmarkanir á heimildum til ráðstöfunar á upplýsingunum.
Meðal annars skortir ákvæði um eyðingu upplýsinga. Bent er á að í 13. gr. p í lögum nr. 52/1992 er að finna ákvæði þess efnis að innan tilgreinds frests skuli eyða upplýsingum sem safnað er á grundvelli tiltekinna ákvæða um eftirlit með gjaldeyrisviðskiptum en þar er ekki vísað til 14. gr. laganna svo hafið sé yfir vafa að öllum persónuupplýsingum, sem safnað er vegna gjaldeyrishafta, skuli eytt nema þær varði meint brot gegn lögunum eða liggi til grundvallar niðurstöðum rannsókna á meintum brotum.
3.
Samantekt
Það er verðugt umhugsunarefni hvort svo sé komið að upplýsingasöfnun Seðlabanka Íslands fái ekki samrýmst nútíma sjónarmiðum um einkalífsrétt í lýðræðisríki. Persónuvernd er ekki kunnugt um að nokkur annar seðlabanki í hinum vestræna heimi safni svo víðtækum persónuupplýsingum um borgara ríkisins, eins og frumvarpið gerir ráð fyrir.
Persónuvernd leggur til að ákvæði 11. gr. frumvarpsins verði fellt brott. Í stað þess komi ákvæði þar sem skýrt verði kveðið á um eftirlitsskyldu Seðlabankans og takmörk á vinnslu persónuupplýsinga vegna hennar. Þá þarf 14. gr. að verða á meðal þeirra ákvæða sem talin eru upp í 13. gr. p í lögum nr. 52/1992. Auk þess vantar ákvæði um eyðinu annarra persónuupplýsinga.
Persónuvernd hefur skilning á þörf fyrir vinnslu persónuupplýsinga í þágu almenns eftirlits við framkvæmd og beitingu opinbers valds Seðlabankans. Það breytir þó ekki því að löggjafinn þarf nú að ígrunda vandlega hvert hann vill stefna í þessum efnum og láta, áður en hann tekur frekari ákvarðanir um persónuupplýsingasöfnun hjá Seðlabankanum, meta hvaða persónuupplýsingar fjármálastofnunum sé í raun nauðsynlegt að skrá og láta honum í té.
Hjálagt er svarbréf Persónuverndar til Seðlabanka Íslands, dags. 9. mars 2012.