Gerð skýrslu um lánshæfi hjá Creditinfo Lánstrausti hf.
Mál nr. 2017/1842
Kvartað var yfir að árangurslaust fjárnám hjá einkahlutafélagi, sem kvartandi átti 20% hlut í, hefði orðið til að lækka lánshæfismat hennar. Komist var að þeirri niðurstöðu að mat á lánshæfi einstaklings yrði að byggjast á mati á fjárhag hlutaðeigandi sjálfs og þeim skuldbindingum sem á honum hvíldu. Þar sem ekki hefði verið um slíkt að ræða í tilviki kvartanda hefði vinnsla persónuupplýsinga um hana vegna gerðar skýrslu um lánshæfi hennar ekki samrýmst persónuverndarlögum.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 31. janúar 2019 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/1842:
I.
Málsmeðferð
1.
Kvörtun
Persónuvernd hefur borist kvörtun, dags. 12. desember 2017, frá [A] (hér eftir nefnd „kvartandi“) yfir vinnslu persónuupplýsinga vegna gerðar skýrslu um lánshæfi hennar hjá Creditinfo Lánstrausti hf. Í kvörtuninni segir að lánshæfismat hennar hafi verið lækkað vegna eignar hennar á hlutabréfum í félagi eftir að gert hafi verið hjá því árangurslaust fjárnám. Segir að hún sé ekki í neinum fjárhagslegum ábyrgðum fyrir félagið og ekki í stjórn þess, en hins vegar eigi hún í því 20% hlut. Það að félagið verði gjaldþrota komi ekki til með að hafa nein áhrif á fjárhag hennar og geti þar af leiðandi ekki haft áhrif á líkur hennar á greiðslufalli.
2.
Athugasemdir Creditinfo Lánstrausts hf.
Með bréfi, dags. 24. janúar 2018, veitti Persónuvernd Creditinfo Lánstrausti hf. færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 12. febrúar s.á. Þar er vísað til skyldna lánveitenda samkvæmt lögum nr. 33/2013 um neytendalán sem hafi það að markmiði að koma í veg fyrir lánveitingar til einstaklinga sem líklegir séu til að lenda í vanskilum. Hafi 10. gr. laganna að geyma þá meginreglu að lánveitanda sé óheimilt að veita lán ef lánshæfis- eða greiðslumat bendi til þess að lántaki hafi ekki fjárhagslega burði til að standa í skilum með slíkt lán. Fram komi í 5. gr. reglugerðar nr. 920/2013 um lánshæfis- og greiðslumat að lánshæfismat skuli byggt á viðskiptasögu lánveitanda og lántaka eða upplýsingum úr gagnagrunni þriðja aðila um fjárhagsmálefni og lánstraust. Þá segir:
„Miklar breytingar hafa orðið á lánamarkaði á undanförnum árum á þann veg að fleiri aðilar bjóða neytendum aðgengi að lánsfé. Í mjög mörgum tilfellum er því engri viðskiptasögu til að dreifa hjá lánveitanda og til að uppfylla lagaskyldu sína skv. lögum um neytendalán þarf lánveitandi að leita upplýsinga úr gagnagrunni um fjárhagsmálefni og lánstraust, afla opinberra upplýsinga og eftir atvikum að óska eftir frekari upplýsingum frá lántaka með hans samþykki sbr. það sem segir í 5. gr. reglugerðar um lánshæfis- og greiðslumat. Lögð er skylda á lánveitanda að nýta áreiðanlegar upplýsingar til að meta lánshæfi og því ljóst að lánshæfismat verður að byggja á gögnum og upplýsingum sem geta á áreiðanlegan hátt metið líkur á að viðkomandi lántaki geti staðið í skilum með skuldbindingar sínar. Bæði lánveitendur og lántakar hafa hagsmuni af því að þær upplýsingar og þau gögn sem notuð eru til að meta lánshæfi séu eins ítarleg og hlutlæg og völ er á.“
Einnig segir að Creditinfo Lánstraust hf. bjóði áskrifendum sínum upp á gerð lánshæfismats sem meti líkur á greiðslufalli og skráningu á vanskilaskrá næstu tólf mánuði. Eins og fram komi í starfsleyfi félagsins til að halda þá skrá taki það ekki til útgáfu skýrslna um lánshæfi. Hins vegar sé kveðið á um það í leyfinu að félaginu sé heimilt að ákveðnum skilyrðum uppfylltum að nýta upplýsingar um fyrrum skráningar á vanskilaskrá í þágu gerðar lánshæfismats að beiðni hins skráða, enda sé ekki miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum. Auk upplýsinga um fyrrum skráningar séu notaðir lýðfræðilegir áhrifaþættir við gerð matsins, s.s. aldur, búseta og hjúskaparstaða en einnig upplýsingar úr skattskrá, svo og upplýsingar um tengsl einstaklinga við atvinnulífið. Söguleg gögn um vanskil sýni að þeir aðilar sem tengist fyrirtækjum í fjárhagslegum vandræðum séu mun líklegri en aðrir til að lenda í vanskilum á næstu 12 mánuðum, þeim mun líklegri eftir því sem tengslin séu sterkari. Nefna megi sérstaklega í þessu samhengi að þeir aðilar sem hafi sambærileg tengsl við fyrirtæki og kvartandi, þ.e. eingöngu eignatengsl sem hluthafar með 15–25% eign, séu rúmlega tvöfalt líklegri til að lenda á vanskilaskrá en aðilar sem ekki hafi slík tengsl. Bent sé á að tengsl einstaklinga við fyrirtæki séu þeim oftar en ekki til framdráttar, en tengingar við fjárhagslega sterk fyrirtæki sem ekki séu með opin vanskil geti haft jákvæð áhrif á lánshæfismat viðkomandi. Creditinfo Lánstraust hf. framkvæmi reglulega uppfærslur á þeim þáttum sem liggi til grundvallar matinu til að tryggja sem best áreiðanleika þess. Vægi einstakra þátta geti þannig breyst, eftir atvikum aukist eða minnkað.
Að auki segir að í aðdraganda gerðar skýrslu um lánshæfi frá Creditinfo Lánstrausti hf. undirriti kvartandi beiðni sem heimili gerð hennar, en þar sé tekið fram að í því skyni verði notast við upplýsingar úr vanskilaskrá, hlutafélagaskrá og fleiri skrám. Þá segir meðal annars að heimild til vinnslu persónuupplýsinga í umræddu sambandi sé að finna í 2. og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
3.
Athugasemdir lögmanns kvartanda
Með bréfi, dags. 13. febrúar 2018, ítrekuðu með bréfi, dags. 25. apríl s.á., veitti Persónuvernd kvartanda færi á að tjá sig um framangreint svar Creditinfo Lánstrausts hf. Svar fyrir hönd kvartanda, dags. 14. maí 2018, barst frá [B] lögmanni. Þar segir að umrædd vinnsla sé ólögmæt þar sem hún samrýmist hvorki lögum né gildandi starfsleyfi Creditinfo Lánstrausts hf. Um ræði skráningu á upplýsingum um að árangurslaust fjárnám hafi verið gert hjá félagi sem kvartandi var hluthafi í og hafði fyrir löngu hætt í stjórn hjá. Einnig segir að um ræði skráningu sem í fyrsta lagi varði ekki á nokkurn hátt fjárskuldbindingar kvartanda. Ef fallist yrði á það að rétt væri að halda utan um slíkar upplýsingar og láta þær hafa neikvæð áhrif á lánstraust hefði það víðtæk áhrif, en í því sambandi megi benda á að að stór hluti íslensku þjóðarinnar hafi átt hlutabréf í íslensku bönkunum sem hafi farið í slitameðferð og síðar í gegnum nauðasamninga. Megi vera ljóst að fráleitt væri að þessi hópur hefði átt að lenda á vanskilaskrá fyrir vikið. Þá segir að í öðru lagi sé um að ræða upplýsingar sem Creditinfo Lánstrausti hf. sé ekki heimilt að safna samkvæmt heimildum í starfsleyfi félagsins og sem falli ekki undir nokkra af heimildum 8. gr. laga nr. 77/2000 til vinnslu persónuupplýsinga. Megi því vera ljóst að um ræði ólögmæta vinnslu persónuupplýsinga sem beri að afmá úr skrám Creditinfo Lánstrausts hf. og eyða að fullu að viðlögðum dagsektum samkvæmt 41. gr. laga nr. 77/2000. Að auki krefjist kvartandi þess að hún verði upplýst um það með hvaða hætti umræddar upplýsingar hafi verið notaðar og hvert þeim hafi verið dreift.
II.
Forsendur og niðurstaða
1.
Lagaskil
Mál þetta varðar kvörtun sem lýtur að atvikum frá því fyrir gildistöku núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga hinn 15. júlí 2018. Umfjöllun og efni þessa úrskurðar takmarkast því við ákvæði eldri laga, nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en ekki er um efnislegar breytingar að ræða í lögum nr. 90/2018 á þeim reglum laganna sem hér reynir á.
2.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Creditinfo Lánstraust hf. vera ábyrgðaraðili að þeirri vinnslu sem kvartað er yfir, þ.e. notkun upplýsinga varðandi eignarhlut í félagi við gerð skýrslu um lánshæfismat.
3.
Um leyfisskyldu
Söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, þarf að byggjast á starfsleyfi Persónuverndar, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust sem sett er með stoð í 45. gr. laga nr. 77/2000. Starfsemi Creditinfo Lánstrausts hf. fellur að miklu leyti undir framangreind ákvæði og hefur Persónuvernd veitt fyrirtækinu leyfi í samræmi við þau, sbr. nú leyfi, dags. 28. desember 2015 (mál nr. 2015/1428). Varðandi þá vinnslu sem um ræðir í máli þessu verður hins vegar að líta til 1. mgr. 1. gr. áðurnefndrar reglugerðar, en þar segir að hún taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi. Hér ræðir um gerð slíkrar skýrslu og fellur því umrædd vinnsla ekki undir leyfisskyldu samkvæmt framangreindu. Hins vegar verður hún að eiga sér heimild samkvæmt lögum nr. 77/2000 eins og fjallað verður um í 4. kafla hér á eftir.
4.
Lögmæti vinnslu
Svo að vinnsla persónuupplýsinga sé heimil þarf ávallt að vera fullnægt einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Samkvæmt 1. tölul. þeirrar málsgreinar er vinnsla persónuupplýsinga heimil á grundvelli samþykkis. Ekki hefur annað komið fram en að áður en gerð var skýrsla um lánshæfi hjá Creditinfo Lánstrausti hf. hafi legið fyrir beiðni hins skráða í samræmi við almennt verklag. Við mat á því hvort beiðnin feli í sér samþykki er til þess að líta að samþykki þarf að vera veitt af fúsum og frjálsum vilja, sbr. 7. tölul. 2. gr. laga nr. 77/2000. Ljóst er hins vegar, m.a. þegar litið er til laga nr. 33/2013 um neytendalán, að vilji einstaklingur eiga tiltekin viðskipti getur hann ekki komist hjá því að lánshæfi hans sé metið. Það að til staðar sé raunverulegt val einstaklings er skilyrði þess að kröfum til samþykkis sé fullnægt og telur Persónuvernd að eins og hér háttar til geti skort á að svo sé. Jafnframt skal þó tekið fram að stofnunin telur engu að síður mikilvægt að í aðdraganda gerðar lánshæfismats liggi fyrir beiðni hins skráða, m.a. í ljósi sjónarmiða um sanngirni vinnslu, sbr. það sem síðar greinir um 7. gr. laga nr. 77/2000, og til að fullnægjandi fræðsla sé veitt, sbr. 20. og 21. gr. sömu laga.
Samkvæmt 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Þá er vinnsla heimil samkvæmt 3. tölul. sömu málsgreinar sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, en slík lagaskylda getur falist í lögum nr. 33/2013. Telja má þessar tvær vinnsluheimildir geta rennt stoðum undir vinnslu persónuupplýsinga í tengslum við gerð lánshæfismats hjá lánveitanda sem metur lánshæfi einstaklings sem æskir fjárhagslegrar fyrirgreiðslu. Fyrirtæki, sem útbýr skýrslur um lánshæfi í því skyni að miðla þeim til lánveitenda, er ekki aðili að samningi um þess háttar fyrirgreiðslu, auk þess sem lagaskylda samkvæmt lögum nr. 33/2013 hvílir ekki á því. Framangreindar tvær vinnsluheimildir geta því ekki átt við um Creditinfo Lánstraust hf. sem slíkt fyrirtæki. Til þess er hins vegar að líta að samkvæmt 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Telur Persónuvernd þetta ákvæði einkum geta átt við um þá vinnslu persónuupplýsinga sem fram fer í upplýsingakerfum Creditinfo Lánstrausts hf. vegna gerðar skýrslna um lánshæfi.
Auk þess sem heimild þarf að vera fyrir vinnslu persónuupplýsinga í 8. gr. laga nr. 77/2000 verður öllum grunnkröfum 1. mgr. 7. gr. sömu laga að vera fullnægt við slíka vinnslu. Þar er meðal annars mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og vera í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.).
Fyrir liggur að skráðar voru upplýsingar um að kvartandi hefði átt 20% hlut í félagi sem gert var árangurslaust fjárnám hjá. Í því sambandi er til þess að líta að upplýsingar um stærstu eigendur félaga eru opinberar upplýsingar, sbr. 3. mgr. 65. gr. og 2. mgr. 3. gr. laga nr. 3/2006 um ársreikninga, sbr. 4. mgr. 109. gr. þeirra laga, sbr. 1. mgr. sömu greinar. Fyrrnefnt ákvæði 45. gr. laga nr. 77/2000 gerir ráð fyrir þeirri undanþágu frá almennu gildissviði laganna, sbr. umfjöllun í 2. kafla hér að framan, að skráning upplýsinga um vanskil lögaðila sé starfsleyfisskyld, sbr. 2. mgr. greinarinnar, og var í gildi slíkt starfsleyfi til handa Creditinfo Lánstrausti hf., dags. 23. desember 2016 (mál nr. 2016/1822), þegar atvik máls þessa áttu sér stað. Með stoð í 45. gr. laganna hefur verið sett reglugerð nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, en þar er meðal annars mælt fyrir um hvaða heimildir felist í slíku leyfi. Samkvæmt 1. mgr. 3. gr. reglugerðarinnar veitir það eingöngu heimild til vinnslu upplýsinga sem eðli sínu samkvæmt hafa afgerandi þýðingu við mat á fjárhag og lánstrausti hins skráða. Líta verður svo á að upplýsingar um árangurslaust fjárnám falli þar undir, en þær eru opinberar upplýsingar, 2. mgr. 8. gr. og 7. gr. reglugerðar nr. 17/1992 um málaskrár og gerðarbækur vegna aðfarargerða, kyrrsetningar, löggeymslu og lögbanns, sbr. m.a. 18. gr. laga nr. 90/1989 um aðför.
Til þess er hins vegar jafnframt að líta að umræddar upplýsingar um árangurslaust fjárnám lutu ekki að kvartanda heldur lögaðila sem hún á eignarhlut í. Hefur ekki komið fram að fjárhagsleg staða þess lögaðila hafi haft áhrif á fjárhagsstöðu hennar. Af hálfu Creditinfo Lánstrausts hf. hefur því hins vegar verið haldið fram að einstaklingar, sem eiga ámóta eignarhlut og hún í félagi sem gert er hjá árangurslaust fjárnám, lendi fremur á vanskilaskrá fyrirtækisins en aðrir. Ekki liggur fyrir á hvaða forsendum tölfræði þar að lútandi er fundin. Til þess er hins vegar að líta að mat á lánshæfi einstaklings, í ljósi meðal annars 1., 3. og 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000, verður talið þurfa að byggjast á mati á fjárhag hlutaðeigandi sjálfs og þeim skuldbindingum sem á honum hvíla. Þar sem ekki var um slíkt að ræða í máli þessu telst vinnsla Creditinfo Lánstrausts hf. á persónuupplýsingum um kvartanda vegna gerðar skýrslu um lánshæfi hennar ekki hafa verið í samræmi við lög nr. 77/2000.
Ú r s k u r ð a r o r ð:
Vinnsla Creditinfo Lánstrausti hf. á persónuupplýsingum um [A] vegna gerðar skýrslu um lánshæfi hennar var ekki í samræmi við lög nr. 77/2000.