Kári skrifar: Hvaða rétt hefur fólk í mafíuþjóðfélagi? - Einkarekin eftirlitsfyrirtæki -

            Það er ríkt í mannlegu eðli að draga úr alvarleika mála, sérstaklega ef málin þykja óþægileg. Þá er stutt í meðvirkni og afneitun. Mikið bar á því árin fyrir hrunið. Á meðan unnið er að auðlindaráni á gulleggjum þjóðarinnar er rætt á Alþingi um brennivín í búðir og frjálsan aðgang að eiturlyfjum. Fólk í vímu er enda ólíklegt til þess að velta fyrir sér þjóðfélagsmálum og því hagur stjórnmálanna og mafíuaflanna að halda sem flestum í annarlegu ástandi. Margur þingmaðurinn segir aldrei orð af viti og svarar út í hött ef á hann er gengið. Sömu þingmenn hafa eina hópskoðun og forðast í lengstu lög að kynna sér mál og taka sjálfstæða afstöðu. Hjarðhegðun er skilgreind sem „samstaða“.

            Margir stjórnmálamenn nútímans líkjast meira áhrifavöldum á samfélagsmiðlum en fólki sem stendur vörð um almannahagsmuni og þorir að taka ákvarðanir í samræmi við það. „Sannleikur“ í stjórnmálum er það sem valdaklíkan skilgreinir sem „sannleika“. Sannleikurinn er ekki afleiðing af rækilegri rannsókn mála heldur kemur á undan og „staðreyndirnar“ síðan lagaðar að „sannleikanum“ eftirá. Gott dæmi um það er auðvitað innleiðing orkupakka þrjú þar sem þingmeirihlutinn gekk hiklaust gegn almannahagsmunum. Þegar ljóst varð að margir vildu ekki láta blekkjast var hraðsoðinn fyrirvari sem auðvitað mun reynast gagnslaus með öllu, enda hefur Evrópurétturinn forgang.

            Fullyrða má að fáir þingmenn hafi skilið hvað raunverulega felst í innleiðingunni og áhrifum hennar á íslenskt þjóðfélag. Ýmist völdu þeir að þegja þunnu hljóði (sem var e.t.v. það skásta sem þeir gátu gert miðað við eigin skilning á málinu) eða fylgdu hópskoðun valdsins og jörmuðu í samræmi við hana.      Niðurstaðan er hrikaleg, og á eftir að koma betur í ljós, fyrir almenning og innlend fyrirtæki – yfirstjórn orkumálanna komin undir Orkustofnun Evrópu, ACER, snjallmælum er troðið upp á fólk, nýjir „ævintýramenn“ spretta fram og bjóða rafmagn á lægra verði á nóttunni (N.B. rafmagn sem þeir hafa ekki framleitt sjálfir heldur fá frá fyrirtækjum almennings) og fleira í sama dúr. Þjóðin þarf að taka valdið aftur til sín og segja þessu fólki upp störfum sem svona hefur staðið að málum. Þetta eru pólitísk umboðssvik, þar sem fólk í stjórnmálum fer út fyrir umboð sitt. Það væri raunar athugandi að bæta við ákvæðum í almenn hegningarlög um einmitt pólitísk umboðssvik.

Creditinfo

            Meðal þess sem Alþingi lætur viðgangast er starfsemi einkarekins „njósnafyrirtækis“ sem aðgang hefur að einkamálum fólks og fjármálum. Samband viðskiptavina og banka er trúnaðarsamband. Það tíðkast almennt ekki að bankar eða fjármálastofnanir sendi fjölmiðlum eða öðrum fréttir af því þótt viðskiptavinir taki lán eða leggi inn fé. Það skýtur því mjög skökku við að þriðji aðili hafi beinan aðgang að upplýsingum sem hann ætti alls ekki að hafa nokkurn aðgang að. Það að starfsmenn viðkomandi fjármálastofnunar kanni hagi lántakenda getur ekki talist ámælisvert, og er raunar nauðsynlegt, en þar með er ekki sagt að hægt sé að fela þriðja aðila það hlutverk.

            Við rannsókn á lögmæti reksturs sem hér um ræðir koma ýmsar réttarheimildir til skoðunar. Þar ber að nefna íslensku stjórnarskrána, mannréttindasáttmála Evrópu, lög um fjármálafyrirtæki, neytendarétt,[i] persónuverndarlög, upplýsingalög og Evrópurétt. Til viðbótar þarf að rýna dóma sem þessu tengjast. Hér gefst ekki færi á að gera ítarlega úttekt á málinu en þó vert að kanna nokkur atriði.

Réttarheimildir

            Mannréttindi eru skilgreind af Sameinuðu þjóðunum sem réttindi sem fólk hefur vegna þess að það er til sem mannverur [náttúruréttur]. Þau eru ekki veitt af neinu ríki.[ii] Í 1. mgr. 71. gr. stjórnarskrárinnar er kveðið á um að „Allir skulu njóta friðhelgi einkalífs, heimilis og fjölskyldu“. Takmarka má með sérstakri lagaheimild ákvæði 1. mgr. „...ef brýna nauðsyn ber til vegna réttinda annarra.“ [3. mgr. 71. gr.]. Ekki eru það hagsmunir fyrirtækja á borð við Creditinfo sem þar falla undir „réttindi annara“?

            Friðhelgi einkalífs og fjölskyldu er einnig tryggð undir 1. mgr. 8. gr. mannréttindasáttmála Evrópu. Í 2. mgr. 8. gr. eru tilgreindar undanþágur frá meginreglunni og lúta að opinberum stjórnvöldum. Spurningin er þá sú í hvaða tilvikum opinber stjórnvöld geta réttlætt að gengið sé á réttinn til friðhelgi einkalífs og fjölskyldu. Við túlkun á 8. gr. mannréttindasáttmálans þarf að skoða bæði jákvæðar og neikvæðar skyldur aðildarríkja. Oft er það svo að ríki hafa skyldur til þess að aðhafast [jákvæð skylda] en í öðrum tilvikum skyldur til þess að aðhafast ekki [neikvæð skylda]. 8. gr. mannréttindasáttmálans fellur einkum undir neikvæða skyldu. Hins vegar geta ríki haft jákvæða skyldu líka, til þess að tryggja að réttur undir 8. gr. sé virtur, jafnvel á milli einkaaðila [lárétt áhrif].[iii] Þá vaknar spurning: hefur íslenska ríkið gert allt sem í þess valdi stendur til þess að tryggja að ekki sé „njósnað“ um fólk sem á í viðskiptum við banka og fjármálastofnanir, af hálfu þriðja aðila, sem aftur gæti ógnað friðhelgi einkalífs?

            Á Íslandi gilda lög um fjármálafyrirtæki nr. 161/2002, með síðari breytingum. Þar eru m.a. ákvæði um þagnarskyldu. Í 1. mgr. 58. gr. laganna segir svo: „Stjórnarmenn fjármálafyrirtækis, framkvæmdastjórar, endurskoðendur, starfsmenn og hverjir þeir sem taka að sér verk í þágu fyrirtækisins eru bundnir þagnarskyldu um allt það sem þeir fá vitneskju um við framkvæmd starfa síns og varðar viðskipta- eða einkamálefni viðskiptamanna þess, nema skylt sé að veita upplýsingar samkvæmt lögum. Þagnarskyldan helst þótt látið sé af starfi.“[iv]

            Samkvæmt þessu verður vikið frá reglunni um þagnarskyldu þegar „skylt er að veita upplýsingar samkvæmt lögum“. Á það kann að reyna t.d. við sakamálarannsókn (efnahagsbrot). En nær ekki trúnaðarskylda fjármálafyrirtækja til þriðja aðila á borð við Creditinfo? Hvaða lagastoð er fyrir því að veita slíku fyrirtæki upplýsingar um fjármál einstaklinga (og fyrirtækja) að þeim forspurðum?

            Á grunni Evrópuréttar voru sett á Íslandi lög um persónuvernd nr. 90/2018.[v] Í 15. gr. er fjallað um vinnslu upplýsinga um fjárhagsmálefni og lánstraust. Þar segir m.a. í 1. mgr. 15. gr.: „Starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning og gerð lánshæfismats, í því skyni að miðla þeim til annarra, skal bundin leyfi Persónuverndar.“[vi]

            Í lagagreininni er áskilið að leyfi Perónuverndar þurfi til ef ætlunin er að miðla umræddum persónuupplýsingum til annara [þriðja aðila]. En hvað með einstaklingana sjálfa sem í hlut eiga og upplýsingarnar ná til? Er ekki eðlilegt, og jafnvel sanngjarnt, að áskilja einnig skriflegt samþykki þeirra? Hér er rétt að hafa í huga að enda þótt fyrir liggi leyfi Persónuverndar[vii] [eða hvaða annarar stofnunar] þá eru mannréttindi, eðli málsins samkvæmt, persónubundin, sbr. réttur til friðhelgi einkalífs. Fram hjá því verður ekki gengið, nema brýna nauðsyn beri til. Brjóti ákvæði laga gegn mannréttindum ber að breyta þeim.

            Þessu til viðbótar er rétt að vekja athygli á 16., 17. og 18. gr. sömu laga. Eitt er að fá aðgang að upplýsingum um eigin málefni annað að hafa eitthvað um það segja hvert sömu upplýsingar lenda. Það er ekki sami hlutur.

            Upplýsingalög „...taka til allrar starfsemi stjórnvalda“ eins og fram kemur í 1. mgr. 2. gr. upplýsingalaga nr. 140/2012, með síðari breytingum. Þau „...taka til allrar starfsemi lögaðila sem eru að 51% hluta eða meira í eigu hins opinbera. Þau taka þó ekki til lögaðila, sem sótt hafa um eða fengið opinbera skráningu hlutabréfa samkvæmt lögum um kauphallir, og dótturfélaga þeirra.“ [2. mgr. 2. gr.].

            Í lögunum eru m.a. ákvæði um takmarkanir á upplýsingarétti [almennings] vegna einkahagsmuna. „Óheimilt er að veita almenningi aðgang að gögnum um einka- eða fjárhagsmálefni einstaklinga sem sanngjarnt er og eðlilegt að leynt fari, nema sá samþykki sem í hlut á.[viii] Sömu takmarkanir gilda um aðgang að gögnum er varða mikilvæga [virka] fjárhags- eða viðskiptahagsmuni fyrirtækja og annarra lögaðila.“ [9. gr.][ix]

            En fjárhagsupplýsingar um einstaklinga, sem leynt ættu að fara, rata hins vegar beint til einkarekins fyrirtækis „út í bæ“. Þá þarf ekki samþykki þess sem í hlut á og upplýsingarnar ná til. Þetta merkir að „upplýsingavernd“ er beitt gagnvart almenningi sem óskar upplýsinga. Bankaleynd og upplýsingaleynd er oft borið við þegar almenningur óskar upplýsinga en fyrirtæki eins og Creditinfo fær hins vegar margvíslegar upplýsingar um einkahagi almennings og ekki spurt um samþykki. Ef eitthvert samræmi væri í hlutunum þyrfti einkafyrirtæki sem safnar fjárhagsupplýsingum, og heldur vanskilaskrár, samþykki viðskiptavina/skuldara fyrir slíkri gagnasöfnun.

            Hér má að lokum nefna að fyrr á þessu ári kærði danska gagnaeftirlitið [The Danish Data Supervisory Authority - SA] Danske bank til lögreglu vegna meintra brota á lögum um meðferð gagna og lagði til 10 milljónir danskra króna í sekt. Við rannsókn kom í ljós að mikið vantaði upp á rétta meðferð persónugagna.[x]

Bandarísk alríkislög

            Í lögum um fjárhagslega persónuvernd [Right to Financial Privacy Act, 12 U.S.C. 3401 et seq.] gr. 3402 er lagt bann við aðgangi stjórnvalda að fjárhagslegum gögnum viðskiptavina fjármálastofnana, nema hægt sé að heimfæra aðganginn undir vissar undantekningar. Þær eru tilgreindar:

  1. þegar viðskiptavinur hefur heimilað birtingu í samræmi við gr. 3404 í sama lagabálki;
  2. þegar fjárhagsgögn eru birt sem svar við stjórnsýslustefnu [administrative subpoena] eða stefnu sem uppfyllir kröfur skv. gr. 3405 í sama lagabálki;
  3. þegar fjárhagsgögn eru birt sem svar við húsleitarheimild sem uppfyllir kröfur gr. 3406 í sama bálki;
  4. þegar fjárhagsgögn eru birt sem svar við dómsuppkvaðningu [judicial subpoena] sem uppfyllir kröfur gr. 3407 í sama lagabálki; eða
  5. þegar fjárhagsgögn eru birt sem svar við formlegri skriflegri beiðni sem uppfyllir kröfur gr. 3408 í sama lagabálki.[xi]

            Eins og fram kemur í skýringum við lögin, voru þau sett í framhaldi af dómi Hæstaréttar Bandaríkjanna [U.S. v. Miller 1976] þar sem komist var að þeirri niðurstöðu að viðskiptavinir banka hefðu engan lagalegan rétt til friðhelgi einkalífs hvað snertir fjárhagsupplýsingar þeirra í vörslu fjármálastofnana.[xii]

            Rétt til friðhelgi einkalífs er ekki að finna í bandarísku stjórnarskránni. En Hæstiréttur viðurkenndi og rýmkaði hins vegar þann rétt, miðað við það sem áður var, og tók þar mið af öðrum stjórnarskrárbundnum réttindum. Dómstóllinn taldi að viðskiptavinir banka hefðu ekki stjórnarskrárvarinn rétt til friðhelgi einkalífs á bankareikningum. En án réttar til friðhelgi einkalífs skorti viðskiptavini stöðu til þess að andmæla upplýsingagjöf bankans til alríkisyfirvalda.[xiii]

Að lokum

            Ýmsir hafa, réttilega, undrast aðgang Creditinfo að fjárhagsupplýsingum sínum sem verða til í viðskiptum fólks við banka og fjármálastofnanir. Aðgangur að upplýsingum um viðskiptamenn banka og fjármálafyrirtækja er víða takmarkaður. Sú spurning hlýtur að vakna hvort íslensk stjórnvöld hafi gert allt sem í þeirra valdi stendur til þess að tryggja mannréttindi borgaranna.

            Málið snýst fyrst og fremst um vernd persónuupplýsinga. Gagnrýnislausir fjölmiðlar ræða mest um Creditinfo á viðskiptalegum forsendum og segja af því „fréttir“ hvað seljendur hafi grætt í peningum á sölu fyrirtækisins. Það er þó ekki sú hlið málsins sem mestu máli skiptir.

            Megin fréttaefnið ætti að vera starfsemi og eðli fyrirtækisins sem slíks og lagalegur grundvöllur þess. Þar er fyrst og fremst upp á Alþingi og stjórnvöld að klaga. Það er eðlilegt og nauðsynlegt í sakamálarannsóknum að yfirvöld hafi aðgang að upplýsingum og gögnum sem t.d. varða fjármál. Hitt er í hæsta máta óeðlilegt að fyrirtæki sem viðskiptavinur á engin bein samskipti við hafi aðgang að fjármálaupplýsingum sem verða til í viðskiptum bankastofnana og viðskiptavina þeirra.[xiv]

            Hið rétta í málinu væri að stofna óháða rannsóknarnefnd vegna tilurðar, lögmætis og starfsemi Creditinfo. Nefndina þarf að skipa fólki með „bein í nefinu“, með menntun á sviði lögfræði og viðskipta, sem ekki þjáist af meðvirkni með fjármálakerfinu, heldur hefur burði og sjálfstæði til þess að skoða mál ofan í kjölinn. Fyrir slíka nefnd þarf að kalla viðskiptavini sem gefa skýrslu um reynslu sína og samskipti við Creditinfo. Draga þarf fram í dagsljósið hverjir eru ábyrgir fyrir því að starfsemi sem þessari er leyft að þrífast á Íslandi og hvaða hagsmunir liggja þar undir. Síðast en ekki síst þarf að rannsaka hvort stærstu gerendur íslenska hrunsins (2008) eru á vanskilaskrá hjá Creditinfo eða hafa verið þar. Góðar stundir!

[i]      Sjá t.d.: Judgment of 21 February 2013, Banif Plus Bank Zrt v Csaba Csipai and Viktória Csipai, C-472/11, EU:C:2013:88

[ii]    United Nations Human Rights. What are human rights? https://www.ohchr.org/en/what-are-human-rights

[iii]   European Court of Human Rights. Guide on Article 8 of the Convention – Right to respect for private and family life. https://rm.coe.int/guide-on-article-8-of-the-european-convention-on-human-rights/16808e67cb

[iv]    Lög um fjármálafyrirtæki nr. 161/2002 með síðari breytingum. https://www.althingi.is/lagas/nuna/2002161.html

[v]     Lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. https://www.althingi.is/lagas/nuna/2018090.html

[vi]    Ibid, 1. mgr. 15. gr.

[vii]  Sjá einnig: Persónuvernd. (21.10.2011). Sala Creditinfo á upplýsingum um áhættumat á einstaklingum. https://www.personuvernd.is/urlausnir/nr/1331

[viii] Undirstrikun mín.

[ix]    Upplýsingalög nr. 140/2012, með síðari breytingum. https://www.althingi.is/lagas/nuna/2012140.html

[x]     European Data Protection Board [EDPB]. (11 April 2022). Danish SA: fine proposed for Danske Bank. https://edpb.europa.eu/news/national-news/2022/danish-sa-fine-proposed-danske-bank_en

[xi]    12 U.S.C. § 3402 (1)–(5) (2012) - U.S. Code - Title 12 BANKS AND BANKING. Access to financial records by Government authorities prohibited; exceptions | http://www.accessreports.com/statutes/RFPA.htm

[xii]  Sjá einnig: Federal Deposit Insurance Corporation [FDIC]. Privacy Rule Handbook. https://www.fdic.gov/regulations/examinations/financialprivacy/handbook/index.html

[xiii] Birr, Jimerson. (June 10, 2014). What Banks Need to Know in Responding to Subpoenas for Financial Records. https://www.jimersonfirm.com/blog/2014/06/banks-need-know-responding-subpoenas-financial-records/

[xiv]  Sjá einnig: Third-party relationships: Frequently asked questions to supplement OCC bulletin 2013-29. OCC. (2020, March 5). Retrieved September 11, 2022, from https://www.occ.gov/news-issuances/bulletins/2020/bulletin-2020-10.html

 

Fréttabréf