Nýtt starfsleyfi fyrir Creditinfo Lánstraust hf.

Reykjavík, 19. desember 2013

1.
Um leyfisskyldu

Creditinfo Lánstraust hf. (LT) er fjárhagsupplýsingastofa sem er háð starfsleyfi frá Persónuvernd samkvæmt reglugerð nr. 246/2001, sbr. 45. gr. laga nr. 77/2000. Það á bæði við um þá vinnslu sem LT stendur að sem ábyrgðaraðili og sem vinnsluaðili. Í starfsleyfisskyldu felst m.a. að á starfsleyfishafa hvíla, auk þeirra skyldna sem fram koma í lögum nr. 77/2000, og reglum settum á grundvelli þeirra, þær skyldur er greinir í skilmálum starfsleyfis þessa. Brot geta m.a. leitt til þess að fjárhagsupplýsingastofa teljist að mati Persónuverndar ekki líkleg til að geta fullnægt skyldum sínum og verður henni þá ekki veitt endunýjað starfsleyfi.

Handhafi slíks leyfis er nefndur fjárhagsupplýsingastofa, sbr. 2. gr. reglugerðar nr. 246/2001. Í  2. mgr. 2. gr. hennar er ákvæði sem hljóðar svo:

„Persónuvernd getur bundið slíkt starfsleyfi þeim skilmálum sem hún telur vera nauðsynlega hverju sinni. Skal hún þá m.a. taka mið af þeim atriðum er greinir í 35. gr. laga um persónuvernd og meðferð persónuupplýsinga. Ef sérstaklega stendur á að mati Persónuverndar, getur stofnunin vikið frá ákvæðum reglugerðarinnar við veitingu starfsleyfis.“

Persónuvernd hefur fallist á að veita fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf. umbeðið starfsleyfi – en með eftirfarandi skilmálum:

Ávallt skal, óháð því hver ber ábyrgð á vinnslu persónuupplýsinga, vera uppfyllt eitthvert af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Aðeins má vinna með persónupplýsingar sem eðli sínu samkvæmt geta haft þýðingu við mat á fjárhag og lánstrausti hins skráða. Aldrei má taka á skrá viðkvæmar persónuupplýsingar, sbr. 8. tl. 2. gr. laga nr. 77/2000.

Heimil er vinnsla upplýsinga sem hafa verið löglega birtar í opinberum auglýsingum, þó ekki um greiðsluaðlögun þegar greiðsluaðlögunartímabili, sbr. 2. mgr. 16. gr. laga nr. 101/2010 um greiðsluaðlögun einstaklinga, er lokið. Ef upplýsingar, sem mæla gegn lánshæfi hins skráða, eru orðnar fjögurra ára gamlar, má ekki miðla þeim.

Óheimil er vinnsla upplýsinga um umdeildar skuldir. Það á við ef skuldari hefur andmælt skuld og hún ekki verið staðfest með réttargjörð. Það er almennt skilyrði að löginnheimta sé hafin gegn hinum skráða, s.s. að stefna hafi verið birt, eða að hann hafi skriflega viðurkennt fyrir kröfuhafa að skuld sé fallin í gjalddaga.

Fjárhagsupplýsingastofa skal ávallt hafa á reiðum höndum nauðsynleg skjöl til að geta sýnt að framangreind skilyrði séu uppfyllt. Ekki er þó gerð krafa um að hún varðveiti skjöl, s.s. ljósrit af skuldaviðurkenningum eða stefnum, lengur en í þrjá mánuði, enda gæti hún þess, í samskiptum sínum við áskrifendur, að þeir geti lagt þau fram ef þörf krefji.

Að öðru leyti er vísað til 3. gr. reglugerðar nr. 246/2001.

Miðla má upplýsingum um fjárhagsmálefni og lánstraust einstaklinga skriflega eða með stafrænum hætti (með öruggri fjartengingu). Þá má miðla samandregnum upplýsingum (d. summariske kreditoplysninger) til áskrifenda símleiðis. Með samandregnum upplýsingum er átt við upplýsingar sem ekki eru tæmandi heldur t.d. um það hvort maður sé á vanskilaskrá eða ekki.

Óheimilt er að miðla samandregnum upplýsingum nema skuld sé a.m.k. 50.000 krónur. Þá er óheimil miðlun upplýsinga um skuld sé fjárhagsupplýsingastofu kunnugt um að hún sé ekki lengur í vanskilum – s.s. vegna skuldajöfnuðar, þess að hún hafi verið felld niður, greidd eða henni komið í skil með öðrum hætti.

Óheimilt er að miðla upplýsingum um hve oft tilteknum einstaklingi eða einstaklingum hefur verið flett upp.

Um miðlun fer að öðru leyti að 6. gr. reglugerðar nr. 246/2001.

Hinn skráði á rétt á fræðslu fjárhagsupplýsingastofu um að hún hafi fært nafn hans á skrá sem hún ber ábyrgð á. Slíka fræðslu skal stofan veita honum eigi síðar en fjórum vikum eftir að hún skráir upplýsingar um hann. Þó má hún fresta því þar til 14 dögum áður en hún miðlar upplýsingunum í fyrsta sinn. Hún skal veita honum  þá fræðslu sem hann þarf til að geta gætt hagsmuna sinna. Það skal gert skriflega og honum að kostnaðarlausu.

Í fræðslu skal greina frá upplýsinga- og andmælarétti hins skráða, rétti hans til að fá rangar upplýsingar leiðréttar og til að bera ákvarðanir fjárhagsupplýsingastofu undir Persónuvernd. Að öðru leyti er vísað til 1. mgr. 4. gr. reglugerðar nr. 246/2001, þar sem segir:

„Þegar fjárhagsupplýsingastofa safnar fjárhagsupplýsingum frá öðrum en hinum skráða skal hún samtímis gera hinum skráða viðvart og skýra honum frá eftirtöldum atriðum:
1. hvert sé nafn og heimilisfang fjárhagsupplýsingastofu;
2. hver beri daglega ábyrgð á því að fullnægt sé skyldum ábyrgðaraðila samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga og reglum sem settar hafa verið á grundvelli þeirra;
3. hver sé tilgangur vinnslunnar;
4. hvaða persónuupplýsingar um viðkomandi verði unnið með;
5. hvaðan upplýsingar koma;
6. hverjir verði viðtakendur upplýsinga, þar á meðal um hvort ætlunin sé að miðla upplýsingum um Netið eða flytja þær með öðrum hætti úr landi, hvernig og til hverra.“

Ef ekki liggur fyrir nein réttargjörð, sem staðfestir réttleika upplýsinga um vanskil, skal geta þess í fræðslu að þeim verði eytt af skránni, snúi viðkomandi sér til stofunnar og andmæli tilvist kröfu eða fjárhæð hennar. Greina skal frá því að slíkri mótbáru megi koma á framfæri munnlega eða skriflega.

Sé skuldsetning þess eðlis að ekki verði gefnar samandregnar upplýsingar um hana, þótt taka megi mið af henni við mat á lánshæfi, skal geta þess í fræðslu að upplýsingum um hana verði ekki miðlað. Fræðsla skal innhalda skýra og greinargóða almenna lýsingu á þeim breytum sem teknar eru með í reikninginn við mat á lánshæfi o.þ.h.

Senda skal fræðslutilkynningu á skráð lögheimili samkvæmt Þjóðskrá. Auk þess er heimilt að senda hana með rafrænum hætti á sérstakt og öruggt vefsvæði, s.s. í heimabanka. Verði fjárhagsupplýsingastofa þess vör að fræðsla hafi ekki komist til skila, eða hafi hún ástæðu til að ætla að svo sé, skal hún senda hinum skráða aðra tilkynningu.

Þegar fjárhagsupplýsingastofa er ábyrgðaraðili, og fræðsluskyldan hvílir á henni sjálfri, ber henni að veita fræðslu í samræmi við ófrávíkjanlegt ákvæði 2. mgr. 21. gr. laga nr. 77/2000. Í því felst þó ekki að aldrei megi hafa mann á skrá nema hann hafi sannanlega fengið fræðslu í hendur. Hafi fræðslutilkynning verið endursend, og fjárhagsupplýsingastofa kannað hvort hann hafi fengið nýtt heimilisfang samkvæmt Þjóðskrá, og reynt að senda honum nýja tilkynningu þangað, en hún verið endursend, eða send um hæl með áritun um að hann hafi ekki vitjað sendingar, eða neitað að veita henni viðtöku, má stofan hafa nafn hans á skrá.

Velji fjárhagsupplýsingastofa að fylgja framangreindu verkferli skal hún ávallt hafa undir höndum gögn er staðfesti að hún hafi gert það og geta framvísað þeim að ósk Persónuverndar.

Þegar upplýsinga er aflað hjá hinum skráða sjálfum ber fjárhagsupplýsingastofu að veita honum fræðslu í samræmi við ákvæði 20. gr. laganna. Það á við þótt upplýsingaöflunin gerist símleiðis eða í viðtali við hann. M.a. skal fræða hann um rétt sinn til að svara ekki og hvaða afleiðingar það geti haft. Að öðru leyti er vísað til  4. gr. reglugerðar nr. 246/2001 þar sem segir m.a.:

„Ef upplýsingar um fjárhagsmálefni og lánstraust eru fengnar hjá hinum skráða skal fjárhagsupplýsingastofa fræða hann um hver sé ábyrgðaraðili, hvert sé markmið söfnunarinnar, hvernig auðkenningu upplýsinga verði hagað, hverjum upplýsingarnar verði afhentar, hvort honum sé skylt eða valfrjálst að veita umbeðnar upplýsingar og hvaða afleiðingar það kunni að hafa í för með sér geri hann það ekki. [...] Frekari fræðslu skal veita ef það er nauðsynlegt til að tryggja að hinn skráði geti gætt hagsmuna sinna, t.d. fræða hann um upplýsingarétt sinn samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga.“

Persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða – eða breyta þeim til leiðréttingar. Það skal gert tafarlaust eða svo fljótt sem verða má. Sé óheimilt að eyða þeim eða breyta, vegna ákvæða annarra laga, getur Persónuvernd bannað áframhaldandi notkun á þeim.

Þegar hinn skráði dregur áreiðanleika upplýsinga í efa, og greinir t.d. frá því að skuld hafi verið komið í skil, með greiðslu eða annarri aðferð, getur fjárhagsupplýsingastofa hvorki gert þá kröfu til hans að hann beri erindið upp skriflega né sett sem skilyrði að hann leggi fram skrifleg gögn máli sínu til sönnunar. Hún má þó gera athugun hjá viðkomandi ábyrgðaraðila á réttmæti fullyrðingar hins skráða (skuldarans).

Hafi röngum, villandi eða ófullkomnum upplýsingum verið miðlað, eða þær notaðar á annan hátt, ber fjárhagsupplýsingastofu, eftir því sem henni er frekast unnt, að hindra að það hafi áhrif á hagsmuni hins skráða. Til þess skal hún senda skriflega leiðréttingu til allra sem fengu slíkar upplýsingar á síðastliðnu hálfu ári. Hún skal einnig fræða hinn skráða um það hverjir hafa fengið upplýsingarnar á því tímabili og hvaðan þær hafi komið.

Hinn skráði á rétt til að andmæla vinnslu persónuupplýsinga um sig. Ef andmæli hans lúta að því að upplýsingar séu óáreiðanlegar skal fjárhagsupplýsingastofa ganga úr skugga um áreiðanleika þeirra og getur hvorki ætlast til þess að hann leggi fram skrifleg andmæli né skrifleg gögn þeim til staðfestingar.

Svara skal andmælum skriflega og ekki síðar en að fjórtán dögum liðnum. Þetta á bæði við þegar hinn skráði telur upplýsingar vera rangar eða villandi – og fer fram á eyðingu, leiðréttingu eða lokun fyrir notkun á þeim – og ef hann telur vinnsluna vera óheimila. Haldi hann því fram að skuld sé greidd, eða henni hafi með öðrum hætti verið komið í skil, er fjárhagsupplýsingastofu heimilt að gera athugun á réttmæti þess. Það má hún t.d. gera með því að bera málið undir viðkomandi áskrifanda/kröfuhafa og eftir atvikum fá færsluna bakfærða.

Fallist fjárhagsupplýsingastofa ekki á andmæli hins skráða skal hún greina honum frá því skriflega og skýra honum frá rétti sínum til að kæra synjunina til Persónuverndar innan þriggja mánaða.

Að öðru leyti gilda ákvæði 8. gr. reglugerðar nr. 246/2001.

Eyða skal upplýsingum um einstakar skuldir sé vitað að þeim hafi verið komið í skil – og um skráðan kaupmála ef þau hjón sem hann gerðu eru skilin að lögum. Þá skal eyða úr skrám fjárhagsupplýsingastofu upplýsingum, sem mæla gegn lánshæfi hins skráða, þegar þær verða fjögurra ára gamlar. Stofan má þó geyma þær í 3 ár til viðbótar ef þær lúta ströngum aðgangstakmörkunum og ef þess er vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn stofunnar sem þess þurfa nauðsynlega starfs síns vegna. Að þeim fresti liðnum skal þeim eytt.

Um eyðingu og leiðréttingu rangra eða villandi persónuupplýsinga gilda að öðru leyti ákvæði 5. gr. reglugerðar nr. 246/2001, en um eyðingu og bann við notkun persónuupplýsinga, sem hvorki eru rangar né villandi, fer samkvæmt 26. gr. laga um persónuvernd og meðferð persónuupplýsinga.

Fjárhagsupplýsingastofu er hvenær sem er skylt að verða við ósk hins skráða um að fá vitneskju um vinnslu persónuupplýsinga um sjálfan sig. Hann á rétt á að fá að vita hver hafi flett sér upp, fyrir hvern og til hvers. Einnig um það hvort aðeins hafi verið miðlað upplýsingum um staðreyndir eða einhvers konar mati á honum.

Samkvæmt 7. gr. reglugerðar nr. 246/2001 á hann rétt á að vita um eftirfarandi atriði:

„1. hvaða upplýsingar um hann er eða hefur verið unnið með;
2. tilgang vinnslunnar;
3. hver fær, hefur fengið eða getur fengið upplýsingar um hann;
4. hvaðan upplýsingarnar hafa komið;
5. hvaða öryggisráðstafanir eru og verða viðhafðar við vinnslu.“

Hinn skráði getur gert kröfu um að fá skrifleg svör. Þá er fjárhagsupplýsingastofu skylt að afhenda honum endurrit eða ljósrit af þeim upplýsingum sem hún hefur undir höndum. Um endurgjald fer að 15. gr. laga nr. 77/2000.

Verða skal við ósk hins skráða svo fljótt sem verða má og eigi síðar en innan tveggja vikna frá móttöku hennar. Valdi sérstakar ástæður því að ómögulegt sé fyrir fjárhagsupplýsingastofu að afgreiða erindið innan þessa frests má hún þó gera það síðar – en þá skal hún, innan frestsins, útskýra ástæðu tafarinnar og hvenær svars sé að vænta.

Hafi fjárhagsupplýsingastofa undir höndum aðrar upplýsingar um hinn skráða en þær sem beiðni hans lýtur að skal hún greina honum frá því og upplýsa hann um rétt sinn til að kynna sér þau gögn af eigin raun.

Fjárhagsupplýsingastofa skal gera skriflega samninga við áskrifendur sína. Hún ber ábyrgð á því að í áskriftarsamningum komi eftirfarandi fram:

a. - Að í hvert sinn sem áskrifandi geri uppflettingu skuli tilgreina og skrá til hvers það sé gert. Það getur t.d. verið til að kanna lánstraust tiltekins einstaklings vegna væntanlegra eða yfirstandandi lánaviðskipta eða vegna greiðslukortaþjónustu.

b. - Að ábyrgðaraðili noti persónuupplýsingar ekki við ráðningar í störf, óháð því hvort hinn skráði hafi gefið samþykki sitt fyrir því, nema um alveg sérstakt trúnaðarstarf sé að ræða og nauðsynlegt sé, eðlis starfsins vegna, að afla upplýsinganna.

c. - Að áskrifandi láti fjárhagsupplýsingastofu vita ef skuld er greidd eða henni komið í skil með öðrum hætti.

d. - Að áskrifandi megi ekki afrita skrá fjárhagsupplýsingastofu, samtengja hana við aðrar skrár eða vinna hana á nokkurn annan hátt, þótt hann kunni að fá tækifæri til slíks, t.d. vegna tæknibilunar eða fyrir mistök.

e. - Að áskrifandi, eða hver starfsmaður hans, skuli hafa eigið aðgangsorð sem honum sé óheimilt að láta öðrum í té eða endurnýta, t.d. við starfsmannaskipti.

f. - Að hinum skráða verði ávallt veitt lögskyld fræðsla. Í því felst m.a. að þegar áskrifandi afli sér persónuupplýsinga um hinn skráða verði hann látinn vita af því. Skal tilkynning þar að lútandi send hinum skráða eigi síðar en mánuði frá uppflettingu.

h. - Að synji áskrifandi hinum skráða um lánveitingu, vegna upplýsinga sem komi úr þeim skrám sem starfsleyfi þetta tekur til, verði honum greint frá því.

i. - Að allar uppflettingar verði rekjanlegar.

Komi í ljós að áskrifandi hafi brotið gegn áskriftarskilmálum skal fjárhagsupplýsingastofa grípa til viðhlítandi ráðstafana með það fyrir augum að hindra að slíkt endurtaki sig – eftir atvikum með hækkun áskriftargjalds.

Fjárhagsupplýsingastofa skal, við alla meðferð persónuupplýsinga, sem leyfi þetta tekur til, gæta þess að haga henni með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga.

Gera skal nauðsynlegar ráðstafanir, tæknilegar og skipulagslegar, til að hindra misnotkun persónuupplýsinga og vernda þær gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Tryggja skal rekjanleika uppflettinga þannig að í hvert skipti sem uppfletting á sér stað, eða fyrirspurn er gerð, skráist hver gerði hana, hvaða upplýsingar voru unnar, hvernig og hvenær. Varðveita skal upplýsingar úr slíkri atvikaskrá („log-skrá“) í 2 ár.

Öll gagnaskipti milli fjárhagsupplýsingastofu og áskrifenda, um óvarið internet, skulu vera á dulkóðuðu formi. Nota skal öruggar fjartengingar. Fái áskrifendur aðgang að gögnum fjárhagsupplýsingastofu í gegnum tiltekna vefsíðu skal stofan viðhafa allar nauðsynlegar tæknilegar ráðstafanir til að tryggja öryggi vernd gegn óleyfilegum aðgangi, s.s. hafa sérstök aðgangsstýrð vefsvæði.

Hver sá sem starfar hjá fjárhagsupplýsingastofu er þagnarskyldur um þau atriði sem hann kemst að í starfi sínu, og leynt eiga að fara. Hann skal undirrita þagnarheit.

Skilmálar leyfis þessa gilda þar til annað hefur verið ákveðið. Persónuvernd tekur þá til endurskoðunar telji hún ástæðu til þess. Þeir standa við hlið ákvæða laga nr. 77/2000, og reglna settra á grundvelli þeirra, og eru þeim til fyllingar.

Meiri háttar breytingar á vinnslu persónuupplýsinga eru háðar leyfi Persónuverndar en minni háttar breytingar nægir að tilkynna. Það má gera eftirá en þó ekki síðar en fjórum vikum eftir að þær eru gerðar. Stöðvun á rekstri og vinnslu skal tilkynna þegar í stað.

Fjárhagsupplýsingastofu er heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hún sjálf ber ábyrgð á enda hafi hún áður sannreynt að hann geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit.

Hverjum þeim er starfar í umboði fjárhagsupplýsingastofu eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og sem hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli í vinnslusamningi nema lög mæli fyrir á annan veg.

Leyfi þetta öðlast gildi 1. janúar 2014 og gildir til 31. desember s.á.