Álit Persónuverndar um vinnslu upplýsinga um fjárhagsmálefni lögaðila
Mál nr. 2017/854
Persónuvernd hefur gefið út álit um að það félli utan valdsviðs stofnunarinnar að skera úr um hvort uppfletting á upplýsingum um lögaðila á vanskilaskrá Creditinfo Lánstrausts hf. hefði þurft að byggjast á lögmætum hagsmunum.
Álit
Hinn 8. mars 2018 veitti stjórn Persónuverndar eftirfarandi álit í máli nr. 2017/854:
I.
Tildrög máls – Bréfaskipti
Í tölvupósti hinn 19. júní 2017 barst Persónuvernd beiðni frá [A] um álit í tengslum við uppflettingu hans á félaginu [X] ehf. í skrá Creditinfo Lánstrausts ehf. um fjárhagsmálefni og lánstraust lögaðila. Nánar tiltekið lutu athugasemdirnar að því að uppflettingin hefði ekki grundvallast á lögmætum hagsmunum. Í álitsbeiðni sinni lýsir [A] hins vegar þeirri afstöðu að lögmætir hagsmunir hafi verið til staðar en óskar þess jafnframt að Persónuvernd svari til um hvort slíkir hagsmunir hafi í raun verið skilyrði fyrir uppflettingu.
Í þessu sambandi vísar [A] til þess að fyrrnefnd skrá með upplýsingum um lögaðila er haldin á grundvelli leyfis sem Persónuvernd veitir með stoð í 2. mgr. 45. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Einnig vísar [A] til þess að lög nr. 77/2000 gilda almennt aðeins um einstaklinga, sbr. 1. mgr. 3. gr. og 1. tölul. 2. gr. þeirra laga, og að hér ræðir því um undantekningu frá hinu almenna gildissviði laganna. Þá vísar [A] til þess að í 2. mgr. 45. gr. laganna er að finna upptalningu á þeim ákvæðum þeirra sem gilda um umrædda skrá, sem og að 7. tölul. 1. mgr. 8. gr. laganna, sem fjallar um lögmæta hagsmuni sem heimild til vinnslu persónuupplýsinga, er ekki þar á meðal.
Með bréfi, dags. 31. október 2017, ítrekuðu með bréfi, dags. 15. febrúar 2018, var [X] ehf. veitt færi á að koma sjónarmiðum sínum varðandi framangreint á framfæri. Ekki barst svar. Hins vegar barst bréf frá Creditinfo Lánstrausti hf., dags. 4. nóvember 2017, en fyrirtækinu hafði, sem þeim aðila sem heldur fyrrnefnda skrá, verið sent afrit af fyrra bréfinu til [X] ehf. Í bréfi Creditinfo Lánstrausts hf. segir meðal annars að óháð túlkun á lögum nr. 77/2000 verði að líta til þess hver séu skilyrði uppflettinga í umræddri skrá á grundvelli þeirra samninga sem gerðir eru við áskrifendur að henni og þeir skuldbindi sig til að hlíta, en uppflettingar séu einungis heimilar þeim sem undirritað hafi slíkan samning. Þá segir meðal annars:
„Í áskriftarsamningum er kveðið á um það að eingöngu megi nota upplýsingar úr skrám Creditinfo við könnun á lánstrausti í tengslum við væntanleg eða yfirstandandi viðskipti áskrifanda eða ef lögvarðir hagsmunir eru að öðru leyti fyrir hendi. Hér er ekki gerður greinarmunur á því hvort um einstaklinga eða lögaðila er að ræða. Þá er kveðið á um það í samningunum að Creditinfo hafi rétt til að óska eftir upplýsingum frá áskrifendum um tilteknar uppflettingar til að kanna hvort lögvarðir hagsmunir hafi verið fyrir hendi í tengslum við umræddar uppflettingar. Ennfremur kemur fram í samningunum að berist ekki skýringar frá áskrifendum eða ef þær þyki ekki trúverðugar sé heimilt að rifta samningi aðila að undangenginni viðvörun.“
Að auki er vísað til 6. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sbr. fyrrnefnt ákvæði 45. gr. laga nr. 77/2000, en í umræddu ákvæði reglugerðarinnar er fjallað um það hvernig megi miðla upplýsingum til áskrifenda að skrám eins og þeirri sem hér um ræðir. Segir að ekkert í reglugerðarákvæðinu eða öðrum ákvæðum reglugerðarinnar standi því í vegi að Creditinfo Lánstraust hf. ákvarði það í samningnum við áskrifendur sína hvaða skilyrðum þurfi að fullnægja til að fletta megi upp upplýsingum sem skráðar eru um lögaðila. Með vísan til þessa segir:
„Creditinfo er ábyrgðaraðili vanskilaskrárinnar, þ.e. ákveður tilgang vinnslunnar, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna allt innan þeirra marka sem lög um persónuvernd og meðferð persónuupplýsinga og reglna settra á grundvelli þeirra svo og ákvæði starfsleyfis félagsins kveða á um.
Með vísan til framanritaðs telur Creditinfo að félaginu sé heimilt að kveða á um það í samningum sínum við áskrifendur hvaða skilyrði eru fyrir því að nota megi upplýsingar um lögaðila úr vanskilaskrá félagsins.“
II.
Álit Persónuverndar
Gildissvið laga nr. 77/2000 miðast við það að unnið sé með upplýsingar um einstaklinga, sbr. 1. mgr. 3. gr. og 1. tölul. 2. gr. laganna. Í 2. mgr. 45. gr. laganna er hins vegar að finna undantekningu frá þessari afmörkun gildissviðs, en þar segir meðal annars að í reglugerð skuli mælt fyrir um heimild til söfnunar og skráningar upplýsinga sem varða fjárhagsmálefni og lánstraust fyrirtækja, svo og annarra lögaðila, í því skyni að miðla til annarra upplýsingum um það efni. Hefur verið sett reglugerð á grundvelli þessa ákvæðis, sbr. einnig 1. mgr. 45. gr. laga nr. 77/2000, þ.e. reglugerð nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust. Samkvæmt 1. mgr. 2. gr. þeirrar reglugerðar er söfnun og skráning upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, í því skyni að miðla þeim til annarra, óheimil án starfsleyfis sem Persónuvernd veitir. Hefur stofnunin veitt fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf. slík starfsleyfi varðandi lögaðila, sbr. nú leyfi, dags. 23. desember 2016 (mál nr. 2016/1822).
Svo að vinna megi með persónuupplýsingar þarf meðferð upplýsinganna ávallt að falla undir einhverja af heimildum 1. mgr. 8. gr. laga nr. 77/2000. Hefur slík söfnun og skráning upplýsinga og hér um ræðir um einstaklinga verið talin falla undir 7. tölul. málsgreinarinnar, þ.e. um að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg í þágu lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Að auki hafa uppflettingar áskrifenda á persónuupplýsingum hjá fjárhagsupplýsingastofu verið taldar geta stuðst við 2. tölul. umræddrar málsgreinar. Nánar tiltekið er þar þær mælt fyrir um heimild til vinnslu persónuupplýsinga sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, en í kröfu þessarar vinnsluheimildar um nauðsyn fyrir vinnslu felst áskilnaður um lögmæta hagsmuni.
Af fyrrnefndu ákvæði 2. mgr. 45. gr. laga nr. 77/2000 leiðir að eingöngu tiltekin ákvæði laganna gilda um slíka vinnslu og hér um ræðir þegar upplýsingarnar lúta ekki að einstaklingum heldur lögaðilum. Er þar meðal annars um að ræða ákvæði 11. og 12. gr. laganna um öryggi og innra eftirlit, ákvæði 18. og 21. gr. laganna um upplýsingarétt hins skráða og fræðslutilkynningar til hans, sem og 25. og 26. gr. laganna um leiðréttingu eða eyðingu óáreiðanlegra upplýsinga eða upplýsinga sem ekki er lengur málefnalegt að varðveita. Ekki kemur hins vegar fram í upptalningu 2. mgr. 45. gr. laganna að heimild þurfi að standa til vinnslu upplýsinga um lögaðila samkvæmt ákvæðinu á grundvelli 1. mgr. 8. gr. laganna. Þar sem um ræðir tæmandi upptalningu verður ekki gerð krafa um slíka heimild.
Þó svo að ekki séu tilgreindir tilteknir lögmætir hagsmunir af uppflettingu á lögaðila, í þessu tilviki [X] ehf., sem skráðar hafa verið hjá Creditinfo Lánstrausti hf. á grundvelli starfsleyfis frá Persónuvernd með heimild til slíks, verður samkvæmt framangreindu ekki talið hafa verið brotið gegn lögum nr. 77/2000. Tekið skal hins vegar fram að hér er ekki tekin afstaða til þess hvort fjárhagsupplýsingastofa megi krefjast slíkra hagsmuna af uppflettingum á lögaðilum í samningum við áskrifendur né heldur hvort í umræddu tilviki hafi verið brotið gegn samningsákvæðum þar að lútandi, enda verður það talið falla utan verksviðs Persónuverndar eins og það er skilgreint í 37. gr. laganna.
Meðferð máls þessa hefur dregist vegna mikilla anna hjá Persónuvernd.