Bréf til dómsmálaráðuneytisins um skýrari lagaramma um starfsemi fjárhagsupplýsingastofa

Dómsmálaráðuneytið
Borgartúni 26
105 Reykjavík

Reykjavík, 19. nóvember 2024
Tilvísun: 2024020218/IAH

Efni: Þörf á skýrari lagaramma um starfsemi fjárhagsupplýsingastofa

Persónuvernd hefur gefið út nýtt starfsleyfi til handa Creditinfo Lánstrausti hf., á grundvelli 15. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Leyfið öðlast gildi 1. desember 2024.

Um er að ræða fyrsta starfsleyfi Creditinfo Lánstrausts hf. sem gefið er út eftir að eldri reglugerð nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, var felld úr gildi og ný reglugerð nr. 606/2023, um vinnslu upplýsinga um fjárhagsmálefni og lánstraust, tók gildi þann 1. september 2023.

Hið nýja starfsleyfi er töluvert frábrugðið eldri starfsleyfum Creditinfo Lánstrausts hf. og eru skilmálar þess mun styttri og efnisminni en áður var. Ástæða þess er einkum sú að reglugerð nr. 606/2023, ólíkt eldri reglugerð, gerir einungis ráð fyrir því að Persónuvernd geti, í skilmálum starfsleyfis, mælt fyrir um sérstakar skyldur fjárhagsupplýsingastofu hvað varðar viðvörunar- og fræðsluskyldu hennar, aðgangs- og upplýsingarétt skráðra einstaklinga og lögaðila, rétt þeirra til að fá upplýsingar sínar leiðréttar, þeim eytt og vinnslu þeirra takmarkaða og rétt skráðs einstaklings til að andmæla vinnslu.

Við gerð starfsleyfisins hefur Persónuvernd kannað ítarlega núverandi lagaumgjörð um starfsemi fjárhagsupplýsingastofa. Er það niðurstaða stofnunarinnar að tilefni kunni að vera til þess að endurskoða hana með það að markmiði að settur verði skýrari lagarammi um slíka starfsemi en nú er.

Ástæður þessa verða raktar í meginatriðum hér á eftir, en þær lúta meðal annars að vinnslutíma þeirra upplýsinga sem fjárhagsupplýsingastofur vinna með, afmörkun á þeim tegundum upplýsinga sem heimilt er að vinna með og lagagrundvelli vinnslunnar.

1.

Í hjálögðu skjali dómsmálaráðuneytisins um niðurstöður samráðs vegna reglugerðar nr. 606/2023 kemur fram að ætlunin með setningu reglugerðarinnar sé að setja ramma um starfsskilyrði fjárhagsupplýsingastofu sem ábyrgðaraðila að vinnslu upplýsinga um fjárhagsmálefni og lánstraust. Kemur þar einnig fram að meginmarkmið reglugerðarinnar sé að vinnsla persónuupplýsinga sé í samræmi við meginreglur laga nr. 90/2018 og að með ákvæðum reglugerðarinnar sé leitast við að tryggja eftirfylgni við þær reglur sem um vinnsluna gildi með áherslu á ábyrgðarskyldu fjárhagsupplýsingastofa og eftirlitshlutverk Persónuverndar.

Áherslan á ábyrgðarskyldu fjárhagsupplýsingastofa í þessu sambandi endurspeglast meðal annars í 5. gr. reglugerðar nr. 606/2023, þar sem fjallað er almennt um heimila vinnslu. Kemur þar fram að fjárhagsupplýsingastofu sé einungis heimilt að vinna með persónuupplýsingar sem séu áreiðanlegar og hafi afgerandi þýðingu við mat á fjárhagsstöðu og lánstrausti einstaklings eða lögaðila, sbr. 1. mgr. ákvæðisins. Þá er í 2. mgr. ákvæðisins mælt fyrir um skyldu fjárhagsupplýsingastofu til að tryggja að farið verði að öllum meginreglum um vinnslu persónuupplýsinga og geta á hverjum tíma sýnt fram á það, skv. 8. gr. laga nr. 90/2018 og 5. gr. reglugerðar (ESB) 2016/679, þ. á m. að þær upplýsingar sem unnið sé með og útreikningur á grundvelli þeirra veiti sem réttasta mynd af fjárhagsstöðu og lánstrausti viðkomandi og að ekki séu unnar aðrar upplýsingar en þær sem séu nauðsynlegar miðað við tilgang vinnslunnar.

Þá má benda á III. kafla reglugerðarinnar, sem inniheldur ákvæði um skrár fjárhagsupplýsingastofu, þ.e. skrá um opinberar gjörðir, sbr. 7. gr., og vanskilaskrá, sbr. 8. gr. reglugerðarinnar. Í ákvæðunum er mælt fyrir um tiltekin skilyrði fyrir vinnslu upplýsinga, í hvorri skrá fyrir sig, en þó er þar ekki að finna nákvæma útlistun á þeim tegundum upplýsinga sem fjárhagsupplýsingastofum er heimilt að vinna með í skrám sínum.

Hingað til hafa starfsleyfi Persónuverndar til handa Creditinfo Lánstrausts hf. innihaldið slíka útlistun, sbr. ákvæði 2.2.1 og 2.2.2 í starfsleyfisskilmálum fyrirtækisins sem giltu frá 1. mars 2023 og til dagsins í dag (mál nr. 2022111817 hjá Persónuvernd), en skilmálarnir fylgja bréfi þessu.

Með hliðsjón af breyttum heimildum stofnunarinnar til að setja starfsemi fjárhagsupplýsingastofa skilmála um vinnslu persónuupplýsinga telur Persónuvernd nauðsynlegt að í reglugerð, eða eftir atvikum í lögum, verði fjárhagsupplýsingastofum settar einhverjar skorður í þessu sambandi. Má nefna að til dæmis hefur bæði finnsk og norsk löggjöf að geyma slíka upptalningu, sbr. 13. gr. finnsku laganna (https://www.finlex.fi/sv/laki/ajantasa/2007/20070527) og 2. og 3. gr. norskrar reglugerðar um fjárhagsupplýsingastofur (https://lovdata.no/dokument/SF/forskrift/2022-05-20-883).

Persónuvernd telur jafnframt að með því að setja slíka upptalningu fram í löggjöf um starfsemi fjárhagsupplýsingastofa, eða eftir atvikum í reglugerð, mætti auka gagnsæi vinnslunnar.

Það er mat Persónuverndar að reglugerð nr. 606/2023 sé haldin annmörkum að þessu leyti og er meðal ástæðna þess að stofnunin telur þörf á endurskoðun reglugerðarinnar.

2.

Í framkvæmd hefur vinnsla persónuupplýsinga í starfsemi Creditinfo Lánstrausts hf. almennt verið studd við vinnsluheimild í 6. tölul. 9. gr. laga nr. 90/2018, sbr. einnig f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt ákvæðunum er vinnsla persónuupplýsinga heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra.

Í Noregi hefur sama heimild verið talin komin til álita en þess má þó jafnframt geta að við setningu nýlegra laga þar í landi um vinnslu persónuupplýsinga í starfsemi fjárhagsupplýsingastofa, nr. 2019-12-20-109, var tekið til sérstakrar skoðunar hvaða vinnsluheimildir gætu þar átt við og þá talið nærtækara að byggja vinnsluna á nauðsyn vegna verks sem unnið væri í þágu almannahagsmuna, sbr. umfjöllun í kafla 3.1 (bls. 13 og 14) í greinargerð með frumvarpi að umræddum lögum („Prop. 139 L (2018-2019) – Proposisjon til Stortinget (forslag til lovvedtak) – Lov om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven)“). Í Danmörku hefur einnig verið litið til nauðsynjar vegna verks í þágu almannahagsmuna sem vinnsluheimildar fyrir fjárhagsupplýsingastofur, sbr. umfjöllun í kafla 2.3.11.2 (bls. 141) í frumvarpi til þarlendra persónuverndarlaga nr. 502/2018 sem innleiddu reglugerð (ESB) 2016/679 („Lovforslag nr. L 68 – Forslag til lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysningar og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)“). Hið sama er og að segja um Svíþjóð, sbr. umfjöllun í kafla 8.3.4 (efst á bls. 126, þ.e. aftast í undirkaflanum „Uppgifter av allmännt interesse som utförs av privaträttsliga organ“) í skýrslu um ný persónuverndarlög þar í landi (2018:218) til innleiðingar á ESB-reglugerðinni („SOU 2017:39 – Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning“).

Með hliðsjón af fyrrgreindri nálgun í Noregi, Danmörku og Svíþjóð sem að framan er lýst má telja sterk rök standa til þess að vinnsla persónuupplýsinga hjá fjárhagsupplýsingastofum styðjist við nauðsyn vegna verks í þágu almannahagsmuna sem vinnsluheimild, frekar en nauðsyn vegna lögmætra hagsmuna, og að slíkt geti raunar, eftir atvikum, talist óhjákvæmilegt. Er þá litið til þess, eins og áður hefur komið fram, að vinnslan getur verið mjög íþyngjandi gagnvart hinum skráða eins og sérstaklega er vitnað til á framangreindum stöðum í norskum og dönskum lögskýringargögnum, en í því sambandi má nefna að í hinu danska frumvarpi er sérstaklega tekið fram að af þessari ástæðu kalli almannahagsmunir á skýrar reglur um umrædda vinnslu.

Þegar vinnsla persónuupplýsinga styðst við nauðsyn vegna almannahagsmuna, sbr. áðurnefnda 5. mgr. 9. gr. laga nr. 90/2018 og samsvarandi ákvæði í e-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, getur þurft að líta til annarra ákvæða í löggjöfinni.

Í b-lið 1. málsl. 3. mgr. 6. gr. reglugerðar (ESB) 2016/679 segir nánar tiltekið að mæla skuli fyrir um grundvöll vinnslunnar, sem um getur í c- og e-lið 1. mgr. ákvæðisins, í lögum aðildarríkis sem ábyrgðaraðili heyrir undir. Þá segir í 2. málsl. sama ákvæðis að tilgangur vinnslunnar skuli ákvarðaður á þeim lagagrundvelli eða, að því er varðar vinnsluna sem um getur í e-lið 1. mgr., vera nauðsynlegur vegna framkvæmdar verkefnis sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með. Lagagrundvöllurinn geti m.a. verið sértæk ákvæði til að aðlaga beitingu reglna þessarar reglugerðar, m.a. um: almenn skilyrði varðandi lögmæta vinnslu ábyrgðaraðilans, tegund gagna sem vinnslan varðar, hlutaðeigandi skráða einstaklinga, hvaða stofnanir megi fá persónuupplýsingarnar í hendur og í hvaða tilgangi, takmörkun vegna tilgangs, varðveislutímabil og vinnsluaðgerðir og verklag við vinnslu, þ.m.t. ráðstafanir til að tryggja að vinnsla fari fram á lögmætan og sanngjarnan hátt, s.s. ráðstafanir varðandi aðrar sérstakar vinnsluaðstæður eins og kveðið er á um í IX. kafla. Lög Sambandsins eða lög aðildarríkis skuli þjóna hagsmunum almennings og hæfa því lögmæta markmiði sem stefnt sé að.

Með vísan til framangreinds telur Persónuvernd rétt að tekið verði til skoðunar að setja skýrari lagaramma utan um starfsemi fjárhagsupplýsingastofa á Íslandi.

3.

Í reglugerð nr. 606/2023 er ekki mælt fyrir um ákveðinn hámarkstíma á vinnslu þeirra upplýsinga sem fjárhagsupplýsingastofur nota í starfsemi sinni. Þá er ekki gert ráð fyrir að slík tímamörk séu sett í starfsleyfisskilmálum.

Á þetta jafnt við um hversu lengi megi hafa upplýsingar á skrá um opinberar gjörðir eða í vanskilaskrá, hversu lengi megi nota upplýsingar um fyrri skráningar á slíkar skrár við gerð skýrslna um lánshæfi og jafnframt hversu lengi megi varðveita slíkar upplýsingar í öðrum tilgangi, svo sem til að verða við beiðnum frá skráðum einstaklingum um vitneskju um vinnslu persónuupplýsinga um sig og til að leysa úr ágreiningi um réttmæti skráningar. Einungis er nú mælt fyrir um skyldu fjárhagsupplýsingastofa til að eyða upplýsingum af skrá um opinberar gjörðir og vanskilaskrá þegar þær uppfylla ekki lengur 1. og 2. mgr. 5. gr. reglugerðarinnar.

Áður en lengra er haldið þykir rétt að árétta að varðveislu og notkun upplýsinga hafa fram til þessa verið sett tímamörk í starfsleyfisskilmálum Creditinfo Lánstrausts hf. Í hjálögðu eldra starfsleyfi Creditinfo Lánstrausts hf., sem gilti frá 1. mars 2023 (mál nr. 2022111817), var heimild til varðveislu upplýsinga á vanskilaskrá þannig miðuð við fjögur ár og jafnframt eru þar settar skorður við heimild til notkunar upplýsinga um fyrri vanskil vegna gerðar skýrslna um lánshæfi, sbr. grein 5.3. í leyfinu. Sú notkunarheimild hefur nánar tiltekið miðast við tiltekinn tíma eftir afskráningu upplýsinganna, hvort sem sú afskráning kom til vegna þess að kröfunni var komið í skil eða vegna þess að hámarksvarðveislutími upplýsinganna var liðinn (ef viðkomandi greiddi ekki kröfu sem lá til grundvallar vanskilaskráningu).

Auk framangreinds hafa starfsleyfisskilmálar Creditinfo Lánstrausts hf. innihaldið ákvæði um tiltekinn umframvarðveislutíma upplýsinganna í öðrum tilgangi (til að verða við beiðnum frá skráðum einstaklingum um vitneskju um vinnslu persónuupplýsinga um sig og til að leysa úr ágreiningi um réttmæti skráningarinnar), sbr. grein 5.3. í leyfinu.

Eins og áður var vísað til leiða núgildandi reglur til þess að fjárhagsupplýsingastofur meta sjálfar hvenær upplýsingarnar sem þær vinna með teljast ekki lengur áreiðanlegar eða hafa afgerandi þýðingu við mat á fjárhagsstöðu og lánstrausti einstaklings eða lögaðila. Persónuvernd getur þó endurskoðað það mat, svo sem á grundvelli kvörtunar eða á öðrum grunni.

Persónuvernd telur þetta fyrirkomulag mjög óæskilegt og nauðsynlegt að því verði breytt.

Í fyrsta lagi má benda á að ákvörðun um áreiðanleika þeirra upplýsinga sem Creditinfo Lánstraust hf. vinnur með, í samhengi við útreikninga og mat á fjárhagsstöðu og lánstrausti, er byggð á útreikningum sem ekki ríkir gagnsæi um. Þá geta forsendur slíkra útreikninga tekið breytingum. Að mati stofnunarinnar væri æskilegra að skýrt yrði tekið af skarið um það í lögum eða reglugerð hversu lengi er heimilt að nýta upplýsingar í þessum tilgangi.

Í öðru lagi telur Persónuvernd rétt að litið verði til fleiri þátta en áreiðanleika upplýsinganna við ákvörðun um það hversu lengi má nýta upplýsingar í starfsemi fjárhagsupplýsingastofa í áðurnefndum tilgangi.

Við útgáfu fyrri starfsleyfa til handa Creditinfo Lánstrausts hf. hefur Persónuvernd meðal annars litið til hins sérlega íþyngjandi eðlis þeirrar vinnslu persónuupplýsinga sem fjárhagsupplýsingastofur hafa með höndum, til að mynda í tengslum við möguleika hinna skráðu á lánafyrirgreiðslu vegna íbúðakaupa eða ófyrirséðra útgjalda. Mikilvægt er að áreiðanlegar upplýsingar liggi fyrir um fjárhagsstöðu og lánstraust aðila sem óskar fyrirgreiðslu eða undirgengst fjárhagslegar skuldbindingar. Ekki er þó síður mikilvægt að huga að hagsmunum þeirra, sem einhvern tímann hafa lent í greiðsluerfiðleikum, af því að fá tækifæri til að byggja upp gott lánstraust að nýju og bæta stöðu sína.

Þá má í þriðja lagi vísa til 2. málsl. 3. mgr. 6. gr. reglugerðar (ESB) 2016/679, sem fjallað var um framar í bréfi þessu, en þar eru talin upp dæmi um þau atriði sem mælt gæti verið fyrir um í sértækum ákvæðum í lagagrundvelli aðildarríkis fyrir vinnslu í þágu almannahagsmuna. Á meðal umræddra atriða er varðveislutímabil. Nærtækt má telja, í ljósi umrædds ákvæðis reglugerðarinnar, að í löggjöf um starfsemi fjárhagsupplýsingastofa sé tekið af skarið í þeim efnum.

Með vísan til framangreinds telur Persónuvernd rétt að í lögum eða reglugerð verði kveðið á um hámarkstíma á varðveislu og notkun upplýsinga við mat á fjárhagsstöðu og lánstrausti aðila. Við ákvörðun um það hvaða tímamörk beri að miða við í því sambandi væri æskilegt að líta bæði til tölfræðilegra upplýsinga sem segja til um áreiðanleika upplýsinganna, en einnig samfélagslegra þátta og jafnvægis milli hagsmuna fjármálastofnana og annarra lánveitenda annars vegar, og hagsmuna hinna skráðu hins vegar.

4.

Í 4. mgr. 5. gr. reglugerðar nr. 606/2023 segir að fjárhagsupplýsingastofu sé óheimilt að skrá viðkvæmar persónuupplýsingar og upplýsingar um refsiverða háttsemi.

Tíðkast hefur að Creditinfo Lánstraust hf. skrái upplýsingar um fjárræðissviptingar einstaklinga í skrá um opinberar gjörðir. Afstaða Persónuverndar er sú að fallast megi á að upplýsingar um fjárræðissviptingar geti í eðli sínu talist mikilvægar í ljósi tilgangs með starfsemi fjárhagsupplýsingastofa.

Það er hins vegar jafnframt afstaða Persónuverndar að upplýsingar um fjárræðissviptingar feli í sér viðkvæmar persónuupplýsingar, í skilningi 3. tölul. 3. gr. laga nr. 90/2018, en öll skilyrði lögræðissviptingar lúta með einhverjum hætti að heilsuhögum einstaklings samkvæmt 4. gr. lögræðislaga nr. 71/1997. Á það við óháð því hvort um er að ræða sviptingu sjálfræðis, fjárræðis eða hvort tveggja.

Með vísan til þessa telur Persónuvernd að gera þurfi breytingu á reglugerðinni, sé vilji til þess að heimila skráningu upplýsinga um fjárræðissviptingar.

Vakin er athygli á því að slíka breytingu mætti eftir atvikum útfæra í samhengi við upptalningu á þeim upplýsingum sem fjárhagsupplýsingastofum er heimilt að vinna með, sbr. umfjöllun framar í bréfi þessu.

5.

Að lokum er á það bent að þegar um ræðir vinnslu persónuupplýsinga, sem getur verið áhættusöm fyrir hinn skráða, gerir reglugerð (ESB) 2016/679 iðulega ráð fyrir að aðildarríki mæli sérstaklega fyrir um það í lögum hvernig persónuupplýsingar skuli verndaðar með „viðeigandi og sértækum ráðstöfunum“ eða „viðeigandi verndarráðstöfunum“ til að vernda grundvallarréttindi og hagsmuni hins skráða, sbr. einkum upptalningu 2. mgr. 9. gr. sömu reglugerðar á heimildum til vinnslu viðkvæmra persónuupplýsinga (sbr. 3. tölul. 3. gr. og 1. mgr. 11. gr. laga nr. 90/2018).

Þá er notast við sambærilegt orðalag í tengslum við vinnslu persónuupplýsinga í þágu almannahagsmuna í 2. mgr. 6. gr. reglugerðarinnar, þ.e. að aðildarríki geti sett fram „með ítarlegri hætti sértækar kröfur til vinnslunnar og aðrar ráðstafanir til að tryggja lögmæta og sanngjarna vinnslu“.

Í því sambandi má jafnframt vísa til niðurlags athugasemda við 15. gr. í því frumvarpi sem varð að lögum nr. 90/2018, þess efnis að rétt gæti verið að setja sérstök lög um vinnslu persónuupplýsinga hjá fjárhagsupplýsingastofum í ljósi þess mikla umfangs sem er á vinnslu persónuupplýsinga um fjárhagsmálefni og lánstraust og margvíslegra áhrifa sem slík vinnsla hefur á stöðu einstaklinga, einkum gagnvart fjármálafyrirtækjum. Með hliðsjón af umfangi og eðli þeirra upplýsinga sem um ræðir telur Persónuvernd þörf á að löggjafinn setji starfsemi fjárhagsupplýsingastofa ramma, fremur en að það verði látið falla nær alfarið undir ábyrgðarskyldu þeirra.

Í ljósi alls þess sem að framan er rakið auk grunnreglna um sanngirni og meðalhóf við vinnslu persónuupplýsinga, sbr. 1. og 3. tölul. 1. mgr. 8. gr. laganna og a- og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, er það mat Persónuverndar að þörf sé á endurskoðun lagaumhverfis fjárhagsupplýsingastofa. Setja þurfi skýrari lagaramma um vinnslu fjárhagsupplýsinga í starfsemi þeirra sem innihaldi skýrari, ítarlegri og sértækari skilyrði fyrir vinnslu slíkra upplýsinga heldur en nú er.

F.h. Persónuverndar,

Helga Þórisdóttir                                 Inga Amal Hasan

Hjálagt:
Niðurstöður samráðs í málinu „Vinnsla upplýsinga um fjárhagsmálefni og lánstraust“
Eldra starfsleyfi Creditinfo Lánstrausts hf. (mál nr. 2022111817)

Afrit:
Félags- og vinnumarkaðsráðuneytið
Síðumúla 24
108 Reykjavík
--
Fjármála- og efnahagsráðuneytið
Arnarhvoli, Lindargata 7
101 Reykjavík
--
Menningar- og viðskiptaráðuneytið
Hafnarstræti 5
101 Reykjavík
--
Creditinfo Lánstraust hf.
Borgartúni 25
105 Reykjavík