Vinnsla persónuupplýsinga hjá fjármálastofnun í tengslum við reiðufjárviðskipti

Mál nr. 2020010532

26.3.2021

Úrskurður

Á fundi stjórnar Persónuverndar hinn 10. mars 2021 var kveðinn upp svohljóðandi úrskurður í máli nr. 2020010532.

I.

Málsmeðferð

1.

Tildrög máls

Hinn 8. janúar 2020 barst Persónuvernd kvörtun frá […] (hér eftir kvartandi), yfir kröfu Landsbankans hf. (hér eftir Landsbankinn) um upplýsingar um áramótastöðu á reikningi kvartanda hjá Kviku banka í tengslum við beiðni kvartanda um tiltekin viðskipti hjá Landsbankanum

Með bréfi, dags. 7. september 2020, var Landsbankanum tilkynnt um framangreinda kvörtun og veitt færi á að tjá sig um hana. Svarað var af hálfu Landsbankans með bréfi, dags. 18. s.m.

Meðferð máls þessa hefur dregist vegna verulegra anna hjá Persónuvernd.

2.

Sjónarmið kvartanda

Í kvörtun segir að kvartandi hafi millifært um það bil fjórar milljónir króna frá Kviku banka hf. (hér eftir Kvika banki) til Landsbankans í desember 2019. Í janúar 2020 hafi kvartandi óskað eftir því við Landsbankann að taka út þrjár milljónir króna í reiðufé. Í kvörtun segir að með vísan til laga um peningaþvætti hafi Landsbankinn krafist upplýsinga um uppruna fjármunanna og óskað eftir ársuppgjöri á reikningi kvartanda hjá Kviku banka frá síðustu þremur árum. Telur kvartandi að æskilegra hefði verið, í því skyni að tryggja meðalhóf við vinnslu, að hann fengi til dæmis að afhenda Landsbankanum staðfestingu á lögmætum uppruna fjármagnsins frá Kviku banka.

Að mati kvartanda brýtur krafa Landsbankans gegn rétti hans til persónuverndar auk þess sem hann telur að upplýsingar um stöðu reiknings kvartanda hjá Kviku banka geti ekki veitt Landsbankanum fullvissu um að fjármunirnir séu réttmæt eign hans og ekki illa fengnir. Þá telur kvartandi jafnframt að meðalhófs hafi ekki verið gætt þar sem hægt hefði verið að óska eftir einfaldri staðfestingu frá Kviku banka, eða eftir atvikum regluverði bankans, þess efnis að fjármunirnir væru löglega fengnir.

3.

Sjónarmið Landsbankans hf.

Í svari Landsbankans segir að þann 3. janúar 2020 hafi […] komið ásamt kvartanda í útibú Landsbankans til að aðstoða hann við úttekt á reiðufé sem nam þremur milljónum króna af reikningi kvartanda. Fram kemur að fjármunirnir hafi verið millifærðir af reikningi kvartanda hjá Kviku banka til Landsbankans skömmu áður.

Einnig segir að Landsbankinn sé tilkynningarskyldur aðili samkvæmt lögum nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og sé því skylt að afla upplýsinga sem staðfesti uppruna fjármuna. Þá er einnig í bréfinu vísað til áhættumats Ríkislögreglustjóra vegna peningaþvættis og fjármögnunar hryðjuverka, dags. 5. apríl 2019, sem og áhættumats Landsbankans, þar sem segi að áhætta af reiðufjárviðskiptum sé í hæsta áhættuflokki.

Þá segir að þar sem um hafi verið að ræða einstök viðskipti umfram 15.000 evrur, sem og reiðufjárviðskipti, hafi kvartanda verið tjáð að bankanum væri skylt að staðfesta uppruna fjármunanna og að framkvæma áreiðanleikakönnun, sbr. b-lið 1. mgr. 8. gr. laga nr. 140/2018, sem og aukna áreiðanleikakönnun samkvæmt c-lið 1. mgr. 13. gr. sömu laga. Hafi það verið gert með því að óska eftir áramótastöðu af reikningi kvartanda hjá Kviku banka þaðan sem fjármunirnir hefðu verið millifærðir inn á reikning kvartanda hjá Landsbankanum. Einnig segir að það hvernig bankinn staðfesti uppruna fjármuna fari eftir aðstæðum hverju sinni, þ. á m. skýringum viðskiptavina á uppruna fjármuna og tilgangi viðskipta. Í tilviki kvartanda hafi skýringar hans á uppruna fjármunanna verið að þeir væru til komnir vegna sparnaðar hans. Þá hafi bankinn gætt meðalhófs með því að óska eingöngu eftir upplýsingum um áramótastöðu reiknings, í stað þess að óska eftir yfirliti yfir allar hreyfingar á reikningi kvartanda yfir tiltekið tímabil, enda hefði slíkt yfirlit sýnt einstaka færslur, innborganir og aðrar hreyfingar sem áramótastaða sýndi ekki.

Með vísan til framangreinds telur Landsbankinn að vinnslan hafi verið heimil á grundvelli 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018, þar sem vinnslan hafi verið nauðsynleg til að uppfylla lagaskyldu samkvæmt lögum nr. 140/2018, og að meðalhófs hafi verið gætt með því að óska einungis eftir áramótastöðu reiknings kvartanda hjá Kviku banka.

4.

Viðmiðunargengi Seðlabanka Íslands

Í svarbréfi Landsbankans er meðal annars vísað til b-liðar 1. mgr. 8. gr. laga nr. 140/2018 þar sem segir að tilkynningarskyldir aðilar þurfi að kanna áreiðanleika viðskiptamanna sinna vegna einstakra viðskipta að fjárhæð 15.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni, en í skýringum við ákvæðið segir að miða skuli við gengi þess dags sem viðskipti eigi sér stað.

Samkvæmt vefsíðu Seðlabanka Íslands var opinbert viðmiðunargengi evru þann 3. janúar 2020, þegar kvartandi óskaði eftir úttekt á þremur milljónum króna í útibúi Landsbanka, 136,9 krónur og námu viðskiptin því 21.913 evrum.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að kröfu Landsbankans á upplýsingum um áramótastöðu á reikningi kvartanda hjá Kviku banka í tengslum við beiðni kvartanda um tiltekin viðskipti hjá Landsbankanum. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Landsbankinn vera ábyrgðaraðili að umræddri vinnslu.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. þeirrar greinar. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna. Það mál sem hér er til úrlausnar lýtur að kvörtun vegna vinnslu fjárhagsupplýsinga, en slíkar upplýsingar flokkast ekki til viðkvæmra persónuupplýsinga samkvæmt 3. tölul. 3. gr. laga nr. 90/2018 og kemur heimild samkvæmt 11. gr. laganna því ekki til skoðunar.

Við mat á heimild til vinnslu persónuupplýsinga verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Landsbankinn er fjármálafyrirtæki í skilningi laga nr. 161/2002 um fjármálafyrirtæki, sbr. 1. tölul. 1. mgr. 1. gr. a. þeirra laga. Slík fyrirtæki falla undir gildissvið laga nr. 140/2018, um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, sbr. a.-lið 1. mgr. 2. gr. þeirra, og eru tilkynningarskyldir aðilar samkvæmt þeim lögum, sbr. 17. tölul. 1. mgr. 3. gr. sömu laga. Samkvæmt 5. gr. laga nr. 140/2018 ber tilkynningarskyldum aðilum að gera áhættumat á rekstri sínum og viðskiptum. Samkvæmt 1. mgr. ákvæðisins skal matið innihalda skriflega greiningu og mat á hættu á peningaþvætti og fjármögnun hryðjuverka og skal m.a. taka mið af áhættuþáttum sem tengjast viðskiptamönnum, vörum, þjónustu, viðskiptum, tækni og dreifileiðum. Við gerð áhættumats ber tilkynningarskyldum aðilum einnig að hafa hliðsjón af áhættumati ríkislögreglustjóra, sbr. 4. gr. sömu laga. Samkvæmt áhættumati ríkislögreglustjóra, dagsettu í apríl 2019, vegna peningaþvættis og fjármögnunar hryðjuverka, sem vísað er til í svari Landsbankans, er áhætta vegna viðskipta með reiðufé talin mikil.

Þá ber tilkynningarskyldum aðilum samkvæmt 1. mgr. 8. gr. laga nr. 140/2018 að framkvæma áreiðanleikakönnun á viðskiptamönnum sínum í tilteknum tilvikum, svo sem vegna einstakra viðskipta að fjárhæð 15.000 evrur eða meira miðað við opinbert viðmiðunargengi eins og það er skráð hverju sinni, sbr. b-lið 1. mgr. ákvæðisins. Eins og fram kemur í kafla I.4 hér að framan var upphæð umræddra viðskipta umfram 15.000 evrur. Einnig ber tilkynningarskyldum aðilum, skv. 13. gr. sömu laga, að beita aukinni áreiðanleikakönnun ef um er að ræða tilvik sem áhættumat, samkvæmt fyrrnefndri 5. gr. laga nr. 140/2018, gefur til kynna að feli í sér mikla áhættu, en eins og að framan greinir er áhætta vegna viðskipta með reiðufé talin mikil samkvæmt áhættumati ríkislögreglustjóra.

Með hliðsjón af framangreindum ákvæðum laga nr. 140/2018 er það mat Persónuverndar að vinnsla Landsbankans á persónuupplýsingum um kvartanda hafi verið heimil á grundvelli 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018, þess efnis að vinnslan hafi verið nauðsynleg til að uppfylla lagaskyldu sem hvíli á ábyrgðaraðila.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (sbr. 3. tölul. ákvæðisins). Í kvörtun segir kvartandi meðal annars að hann telji að meðalhófs hafi ekki verið gætt þar sem hægt hefði verið að óska eftir einfaldri staðfestingu frá Kviku banka, eða eftir atvikum regluverði bankans, þess efnis að fjármunirnir væru löglega fengnir. Af hálfu Landsbankans hefur komið fram að bankinn telji að meðalhófs hafi verið gætt með því að óska ekki eftir umfangsmeiri upplýsingum en þörf hafi verið á til að sannreyna uppruna fjármunanna.

Markmið laga nr. 140/2018 er að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka með því að skylda aðila sem stunda starfsemi sem kann að vera notuð til peningaþvættis eða fjármögnunar hryðjuverka til að þekkja deili á viðskiptamönnum sínum og starfsemi þeirra og tilkynna um það til lögbærra yfirvalda vakni grunur um eða verði þeir varir við slíka ólögmæta starfsemi, sbr. 1. gr. laganna. Samkvæmt þessu hvílir sjálfstæð skylda á þeim sem falla undir gildissvið laga nr. 140/2018 til að þekkja deili á viðskiptamönnum sínum, þ. á m. að staðfesta eftir því sem við á uppruna þeirra fjármuna sem notaðir eru í viðskiptum. Með hliðsjón af öllu framangreindu verður ekki talið að vinnsla persónuupplýsinga hjá Landsbankanum hafi farið gegn meðalhófskröfu 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla Landsbankans á persónuupplýsingum um kvartanda hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Ú r s k u r ð a r o r ð:

Vinnsla Landsbankans hf. á persónuupplýsingum um […] vegna áreiðanleikakönnunar í tengslum við reiðufjárviðskipti hjá bankanum samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í Persónuvernd, 10. mars 2021

Ólafur Garðarsson
starfandi formaður

Björn Geirsson                               Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson