Nýtt starfsleyfi Creditinfo Lánstrausts hf.
STARFSLEYFI
Hinn 18. nóvember 2024 gaf Persónuvernd út svohljóðandi starfsleyfi fyrir Creditinfo Lánstraust hf. í máli nr. 2023101646:
I.
Um starfsleyfi Creditinfo Lánstrausts hf
Persónuvernd hefur ákveðið að veita fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf., kt. 710197-2109, starfsleyfi með heimild í 1. mgr. 15. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 3. gr. reglugerðar nr. 606/2023 um vinnslu upplýsinga um fjárhagsmálefni og lánstraust, sbr. 2. mgr. sömu greinar laganna.
Starfsleyfið tekur til vinnslu upplýsinga um fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráningar og gerðar skýrslna um lánshæfi, í því skyni að miðla þeim til annarra.
Starfsleyfið er bundið þeim skilyrðum sem mælt er fyrir um í reglugerð nr. 606/2023, svo og eftirfarandi skilmálum sem Persónuvernd mælir fyrir um í samræmi við 2. mgr. 3. gr. sem og 15. gr. reglugerðarinnar.
Creditinfo Lánstrausti hf. er ávallt skylt, við vinnslu persónuupplýsinga samkvæmt starfsleyfinu, að gæta að lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.
Creditinfo Lánstraust hf. skal ávallt hafa á reiðum höndum gögn til að geta sýnt fram á að skilyrði starfsleyfisins, reglugerðar nr. 606/2023, laga nr. 90/2018 og reglugerðar (ESB) 2016/679 séu uppfyllt.
Leyfið tekur ekki til öflunar áskrifenda á upplýsingum um skuldastöðu einstaklings eða lögaðila frá öðrum áskrifendum í gegnum kerfi Creditinfo Lánstrausts hf.
II.
Starfsleyfisskilmálar Creditinfo Lánstrausts hf.
1.
Sérstakar skyldur varðandi réttindi skráðra einstaklinga og lögaðila
Með vísan til 15. gr. reglugerðar 606/2023 er leyfi Persónuverndar til handa Creditinfo Lánstrausti hf. bundið eftirfarandi skilmálum:
1.1.
Almennt um réttindi skráðra einstaklinga og lögaðila
Creditinfo Lánstrausti hf. er skylt að gera viðeigandi ráðstafanir til að tryggja að réttindi skráðra einstaklinga, samkvæmt III. kafla laga nr. 90/2018 og III. kafla reglugerðar (ESB) 2016/679, sbr. einnig V. kafla reglugerðar nr. 606/2023, séu ávallt virt.
Creditinfo Lánstrausti hf. er jafnframt skylt að gera viðeigandi ráðstafanir til að tryggja að réttindi lögaðila, samkvæmt III. kafla laga nr. 90/2018 og III. kafla reglugerðar (ESB) 2016/679, sbr. einnig V. kafla reglugerðar nr. 606/2023, séu ávallt virt, með þeim takmörkunum sem leiðir af 1. mgr. 15. gr. laga nr. 90/2018.
2.
Viðvörunar- og fræðsluskylda Creditinfo Lánstrausts hf.
2.1.
Almennt um tilhögun fræðslu
Skráður einstaklingur eða lögaðili á rétt á fræðslu frá Creditinfo Lánstrausti hf. um vinnslu persónuupplýsinga á vegum fjárhagsupplýsingastofunnar svo sem nánar greinir í 11. gr. reglugerðar nr. 606/2023, sbr. 12.-14. gr. reglugerðar (ESB) 2016/679.
Fræðslu samkvæmt 1. mgr. má senda í bréfpósti á skráð lögheimili skráðs einstaklings eða lögaðila. Auk þess er heimilt að senda hana með öruggum rafrænum hætti, svo sem á öruggt vefsvæði, enda hafi viðtakandanum áður verið sannanlega tilkynnt um það.
Verði Creditinfo Lánstraust hf. þess vart að fræðsla hafi ekki komist til skila, eða hafi ástæðu til að ætla að svo sé, skal fjárhagsupplýsingastofan senda viðkomandi fræðsluna að nýju.
Ef fræðsla sem send hefur verið í bréfpósti er endursend skal Creditinfo Lánstraust hf. kanna hvort viðkomandi skráður einstaklingur eða lögaðili hefur fengið nýtt heimilisfang samkvæmt þjóðskrá eða fyrirtækjaskrá, eftir því sem við á. Reynist svo vera skal Creditinfo Lánstraust hf. jafnframt senda honum fræðsluna þangað. Þegar um ræðir tilkynningu um færslu upplýsinga á skrá samkvæmt III. kafla reglugerðar nr. 606/2023, og hún er í kjölfar þessa endursend með áritun um að sendingarinnar hafi ekki verið vitjað, eða viðtöku synjað, má Creditinfo Lánstraust hf. hafa upplýsingarnar á skrá.
Creditinfo Lánstrausti hf. ber að tryggja að upplýsingar um þá vinnslu sem fjárhagsupplýsingastofan viðhefur séu aðgengilegar opinberlega, svo sem á vefsíðu hennar. Nánar tiltekið ber Creditinfo Lánstrausti hf. að lágmarki að gera grein fyrir þeim tegundum upplýsinga sem unnið er með, í hvaða tilgangi er unnið með þær og hversu lengi.
Fræðsla skal veitt á íslensku en hún skal auk þess vera aðgengileg á algengustu erlendu tungumálum á Íslandi. Upplýsingarnar skulu vera gagnorðar, aðgengilegar og auðskiljanlegar, á skýru og einföldu máli.
2.2.
Fræðsla um fyrirhugaða skráningu upplýsinga á skrá um opinberar gjörðir eða vanskilaskrá
Auk þeirrar fræðsluskyldu sem hvílir á Creditinfo Lánstrausti hf. samkvæmt 1. og 4. mgr. 11. gr. reglugerðar nr. 606/2023 skal skráður einstaklingur eða lögaðili, eftir því sem við á, fræddur um að upplýsingar sem fyrirhugað er að færa á skrá um opinberar gjörðir eða vanskilaskrá verði ekki settar á skrá ef:
a. krafa hefur verið greidd eða henni verið komið í skil með öðrum hætti,
b. réttmætur vafi leikur á um lögmæti kröfu eða fjárhæð hennar,
c. skuldari hefur sannanlega andmælt kröfu gagnvart kröfuhafa, og andmælin eru ekki augljóslega tilefnislaus, eða
d. skráningargrundvöll samkvæmt reglugerð nr. 606/2023 skortir að öðru leyti.
Þá skal hinn skráði upplýstur um að hann geti snúið sér til Creditinfo Lánstrausts hf., hvort heldur munnlega eða skriflega, hafi hann athugasemdir við skráninguna í samræmi við 1. mgr.
Í fræðslu um fyrirhugaða skráningu upplýsinga á vanskilaskrá eða skrá um opinberar gjörðir skal einnig upplýsa skráðan einstakling eða lögaðila um tilgang skráningarinnar og hámarkstíma varðveislu upplýsinganna hjá Creditinfo Lánstrausti hf. Auk þess skal fræða um hvernig upplýsingarnar geti verið unnar, þar á meðal hversu lengi, og um þau áhrif sem slík skráning getur haft á gerð skýrslu um lánshæfi viðkomandi.
2.3.
Fræðsla vegna skýrslna um lánshæfi
Við veitingu fræðslu um hvaða upplýsingar og breytur verði notaðar við gerð skýrslu um lánshæfi, sbr. 2. mgr. 11. gr. reglugerðar nr. 606/2023, skal Creditinfo Lánstraust hf. veita upplýsingar um vægi einstakra breytna, hvers vegna vinnsla upplýsinganna er talin nauðsynleg og hvernig þær eru taldar hafa afgerandi þýðingu við mat á fjárhagsstöðu og lánstrausti viðkomandi. Í fræðslu skal jafnframt koma fram að skráður einstaklingur eða lögaðili eigi kost á aðgangi að fyrirliggjandi skýrslum um lánshæfi endurgjaldslaust.
Fræðsla skal veitt með skýrum hætti, svo sem með því að vísa á hlekk á vefsíðu eða með því að leggja hana fram skriflega á þar til gerðu stöðluðu formi sem Creditinfo Lánstraust hf. útbýr.
2.4.
Fræðsla vegna notkunar viðbótarupplýsinga við gerð skýrslna um lánshæfi einstaklings
Áður en skráður einstaklingur samþykkir vinnslu Creditinfo Lánstrausts hf. á öðrum upplýsingum en greinir í 3. mgr. 9. gr. reglugerðar nr. 606/2023, í því skyni að framkvæma áreiðanlegt mat á lánshæfi hans, sbr. 4. mgr. sama ákvæðis, skal veita honum fræðslu um vinnsluna og hvað í samþykkinu felst í samræmi við 10. og 17. gr. laga nr. 90/2018, sbr. 7. og 13.-14. gr. reglugerðar (ESB) 2016/679.
Meðal þess sem upplýsa skal um er að fyrir hendi sé réttur til að draga samþykkið til baka hvenær sem er, án þess þó að það hafi áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni, sbr. eftir atvikum c-lið 2. mgr. 13. gr. eða d-lið 2. mgr. 14. gr. reglugerðar (ESB) 2016/679.
Í fræðslu skal meðal annars upplýsa hinn skráða um hvaða viðbótarupplýsingar er unnið með að fengnu samþykki hans, um hvernig upplýsingarnar eru notaðar og hvert vægi þeirra er.
2.5.
Fræðsla um miðlun upplýsinga úr landi
Hyggist Creditinfo Lánstraust hf. miðla upplýsingum til viðtakanda í þriðja landi eða alþjóðastofnunar skal upplýsa skráðan einstakling eða lögaðila um það, sbr. f-lið 1. mgr. 13. gr. eða f-lið 1. mgr. 14. gr. reglugerðar (ESB) 2016/679. Einnig skal upplýsa um hvort og í hvaða mæli framkvæmdastjórn ESB hefur tekið ákvörðun um hvort persónuupplýsingum er veitt fullnægjandi vernd í viðkomandi þriðja landi eða innan hlutaðeigandi alþjóðastofnunar. Liggi fyrir slík ákvörðun skal jafnframt upplýst um hvar hægt er að nálgast hana.
Falli miðlunin ekki undir ákvörðun um fullnægjandi vernd skal fræðslan innihalda upplýsingar um þær ráðstafanir sem gerðar eru til verndar upplýsingunum samkvæmt 47. og 48. gr. reglugerðar (ESB) 2016/679 eða um það á hvaða grundvelli samkvæmt 1. mgr. 49. gr. sömu reglugerðar miðlunin er fyrirhuguð.
3.
Upplýsinga- og aðgangsréttur
Skráður einstaklingur eða lögaðili hefur upplýsinga- og aðgangsrétt svo sem nánar greinir í 12. gr. reglugerðar nr. 606/2023, sbr. 15. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018.
Réttur þessi tekur meðal annars til upplýsinga um hvaða áskrifendur hafa sótt upplýsingar um viðkomandi eða vaktað kennitölu hans og í hvaða tilgangi. Jafnframt tekur rétturinn til aðgangs að fyrirliggjandi skýrslum um lánshæfi viðkomandi og afrits af þeim upplýsingum sem eru í vinnslu og varða viðkomandi.
Um einstök atriði varðandi upplýsinga- og aðgangsrétt skráðs einstaklings og lögaðila, þ. á m. hvað upplýsa ber um, hvernig afgreiðslu beiðna skal háttað og hvaða undantekningar eru frá umræddum rétti, vísast að öðru leyti til þeirra ákvæða í löggjöf sem vísað er til í 1. mgr., sbr. einnig 12. gr. reglugerðar (ESB) 2016/679.
4.
Leiðrétting, eyðing og takmörkun á vinnslu
Skráður einstaklingur eða lögaðili á rétt á að fá upplýsingar sínar leiðréttar, þeim eytt eða vinnslu þeirra takmarkaða svo sem nánar greinir í 13. gr. reglugerðar nr. 606/2023, sbr. 1. mgr. 20. gr. laga nr. 90/2018, sbr. 16.-19. gr. reglugerðar (ESB) 2016/679.
Creditinfo Lánstraust hf. skal svara beiðnum samkvæmt 1. mgr. með skriflegum hætti eða rafrænt á öruggu vefsvæði, sbr. nánari fyrirmæli í ákvæði 2.1 í leyfi þessu.
Creditinfo Lánstrausti hf. er jafnframt skylt að eyða upplýsingum að eigin frumkvæði, þrátt fyrir að ekki liggi fyrir beiðni þar að lútandi, þegar uppfyllt eru skilyrði 17. gr. reglugerðar (ESB) 2016/679.
5.
Andmælaréttur
Skráður einstaklingur á rétt á að andmæla vinnslu persónuupplýsinga um sig hjá Creditinfo Lánstrausti hf. svo sem nánar greinir í 14. gr. reglugerðar nr. 606/2023, sbr. 1. mgr. 21. gr. laga nr. 90/2018, sbr. 1. mgr. 21. gr. reglugerðar (ESB) 2016/679. Frekari vinnsla upplýsinganna er óheimil ef andmælin eiga rétt á sér, sbr. fyrirmæli ákvæðanna þar að lútandi.
Creditinfo Lánstrausti hf. er einnig óheimilt að vinna frekar með upplýsingar um kröfu ef hinn skráði hefur sannanlega andmælt henni gagnvart kröfuhafa og Creditinfo Lánstraust hf. fengið vitneskju um það, enda uppfylli andmælin að öðru leyti skilyrði 6. mgr. 5. gr. reglugerðar nr. 606/2023.
Ef andmæli hins skráða lúta að því að upplýsingar séu óáreiðanlegar, t.d. þar sem réttmætur vafi leiki á um lögmæti kröfu eða skuld hafi verið greidd eða henni komið í skil með öðrum hætti, getur Creditinfo Lánstraust hf. hvorki gert þá kröfu að hann beri erindið upp skriflega né sett sem skilyrði að hann leggi fram skrifleg gögn máli sínu til sönnunar. Þetta á þó ekki við að því marki sem slík gögn eru nauðsynleg til að sýna fram á andmæli samkvæmt 2. mgr.
Creditinfo Lánstraust hf. skal ganga úr skugga um áreiðanleika andmæla eins og þörf krefur, svo sem með því að bera málið undir viðkomandi áskrifanda/kröfuhafa, enda liggi ekki þegar fyrir nauðsynlegar upplýsingar sem sýni fram á réttmæti andmæla.
6.
Réttur til yfirferðar á skýrslu um lánshæfi
Skráður einstaklingur á rétt á að niðurstaða skýrslu um lánshæfi hans, sem komist er að á sjálfvirkan hátt, sé yfirfarin af starfsmanni Creditinfo Lánstrausts hf. í samræmi við 3. mgr. 22. gr. reglugerðar (ESB) 2016/679, sbr. 22. gr. laga nr. 90/2018. Að auki á hinn skráði rétt á að láta skoðun sína á skýrslunni í ljós og vefengja niðurstöðu hennar, sbr. sömu ákvæði. Leiði yfirferð í ljós að niðurstaðan hafi verið óáreiðanleg, miðað við þær forsendur sem lagðar eru til grundvallar lánshæfismati, skal hún leiðrétt og áhrif á hagsmuni hins skráða hindruð í samræmi við ákvæði 3. mgr. 13. gr. reglugerðar nr. 606/2023.
Beiðni hins skráða um yfirferð starfsmanns ábyrgðaraðila samkvæmt 1. mgr. skal afgreidd innan 14 daga frá móttöku. Úrvinnsla beiðninnar skal jafnframt vera hinum skráða að kostnaðarlausu nema hún sé tilefnislaus eða óhófleg, sbr. 5. mgr. 12. gr. reglugerðar (ESB) 2016/679.
III.
Skjalfesting Creditinfo Lánstrausts hf.
Creditinfo Lánstraust hf. skal skjalfesta og ávallt hafa á reiðum höndum gögn sem sýna fram á að vinnsla persónuupplýsinga samkvæmt leyfi þessu samrýmist skilmálum þess, lögum nr. 90/2018, reglugerð (ESB) 2016/679 og reglugerð nr. 606/2023. Á það meðal annars við um hvaða upplýsingar er unnið með, að hvaða marki er unnið með þær, hversu lengi þær eru varðveittar og aðgang að þeim ásamt því hvernig gætt er að áreiðanleika upplýsinganna. Þá á það við um hvernig gætt er að viðvörunar- og fræðsluskyldu gagnvart hinum skráða eða lögaðila, upplýsinga- og aðgangsrétti sömu aðila, rétti þeirra til eyðingar upplýsinga, rétti skráðra einstaklinga til andmæla, auk réttar þeirra til yfirferðar á skýrslu um lánshæfi þeirra.
Creditinfo Lánstraust hf. skal jafnframt skjalfesta og ávallt hafa á reiðum höndum gögn sem innihalda tölfræðilega útreikninga um að þær tilteknu upplýsingar, sem notaðar eru við gerð skýrslna um lánshæfi einstaklinga og lögaðila, veiti áreiðanlegar og afgerandi vísbendingar um líkindi þess að þeir muni efna lánssamning. Í því sambandi skal Creditinfo Lánstraust hf. geta sýnt fram á að notkun upplýsinganna sé nauðsynleg við matið, sérstaklega með tilliti til þess hve lengi skal nota upplýsingarnar, og að fjárhagsupplýsingastofan hafi að öðru leyti gætt að viðeigandi ákvæðum reglugerðar nr. 606/2023, laga nr. 90/2018 og reglugerðar (ESB) 2016/679.
IV.
Skýrslugjöf Creditinfo Lánstrausts hf. til Persónuverndar
Creditinfo Lánstraust hf. skal, eigi síðar en 1. mars ár hvert, senda Persónuvernd skýrslu fyrir næstliðið almanaksár þar sem tilgreindar eru eftirfarandi upplýsingar:
- Hvaða tegundir upplýsinga fjárhagsupplýsingastofan vinnur, með hvaða hætti og í hvaða tilgangi, hversu lengi er unnið með upplýsingarnar og hvernig slík vinnsla er talin samrýmast lögum nr. 90/2018 og reglugerð 606/2023.
- Fjölda skráðra einstaklinga og lögaðila á annars vegar vanskilaskrá og hins vegar skrá um opinberar gjörðir.
- Fjölda kennitalna sem vaktaðar voru.
- Fjölda einstaklinga í hverjum lánshæfisflokk.
- Fjölda þeirra einstaklinga sem veittu samþykki fyrir notkun viðbótarupplýsinga samkvæmt 4. mgr. 9. gr. reglugerðar nr. 606/2023 og hversu oft það leiddi til:
i. betra lánshæfismats,
ii. verra lánshæfismats, eða
iii. engra breytinga á lánshæfismati.
V.
Þagnarskylda Creditinfo Lánstrausts hf. og áskrifenda
Creditinfo Lánstrausti hf. ber að gera viðeigandi ráðstafanir til að tryggja að hver sá sem starfar hjá fjárhagsupplýsingastofunni sé þagnarskyldur um þau atriði sem hann kemst að í starfi sínu og leynt eiga að fara. Skulu starfsmenn undirrita þagnarheit og helst þagnarskylda þótt látið sé af starfi.
Í samningum Creditinfo Lánstrausts hf. við áskrifendur sína samkvæmt 4. gr. reglugerðar nr. 606/2023 skal jafnframt kveðið á um skyldu þeirra til að tryggja að starfsmenn þeirra séu bundnir sams konar þagnarskyldu.
VI.
Gildistaka o.fl.
Starfsleyfi Creditinfo Lánstrausts hf. er ótímabundið. Um heimildir Persónuverndar til að endurskoða skilmála þess eða afturkalla það fer eftir 5. mgr. 3. gr. reglugerðar nr. 606/2023.
Í samræmi við 3. mgr. 3. gr. reglugerðar nr. 606/2023 ber Creditinfo Lánstrausti hf. að tilkynna Persónuvernd fyrirhugaðar breytingar á vinnslu upplýsinga sem heyrir undir starfsleyfið. Stöðvun á rekstri og vinnslu skal tilkynna Persónuvernd þegar í stað.
Leyfi þetta öðlast gildi 1. desember 2024.
Persónuvernd, 18. nóvember 2024
Ólafur Garðarsson
formaður
Árnína Steinunn Kristjánsdóttir Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson