Kvörtun vegna skráningar í gagnagrunn Creditinfo

9.2.2016

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 25. janúar 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/1457:

 

I.

Grundvöllur máls

Málavextir og bréfaskipti

1.

Tildrög máls

Þann 23. október 2015 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) vegna skráningar Creditinfo-Lánstrausts hf. (hér eftir nefnt Creditinfo) á persónuupplýsingum hans í gagnagrunn félagsins. Í kvörtuninni segir m.a.:

 

„Málið er að mér var flett upp í kerfinu hjá Creditinfo af fyrirtæki sem ég hef enga tengingu við og því kvartaði ég í Creditinfo og vildi fá skýringar á þessu og það kom í ljós að um mistök var að ræða. Ég óskaði því eftir að það væri ekki hægt að fá upplýsingar um mig úr gagnagrunni Creditinfo nema ég myndi skrifa undir beiðni þess efnis. Svarið frá Creditinfo var að það væri ekki hægt. Þá óskaði ég eftir því að mín kennitala yrði tekinn úr þeim gagnagrunni sem Creditinfo selur viðskiptavinum sínum aðgang að og ég væri þar með ekki til í þeirra kerfum. Svarið frá Creditinfo var að ekki væri hægt að óska eftir því að kennitala mín væri tekinn úr gagnagrunninum hjá þeim þar sem fyrirtækið væri með starfsleyfi frá Persónuvernd og þar af leiðandi ekki í mínu valdi að óska eftir því. Ég get ekki með nokkru móti skilið hvar réttur minn hvarf um það hvort einka fyrirtæki geti verið að selja upplýsingar um mig til annarra fyrirtækja og einstaklinga. Ég er mjög ósáttur með það að hafa ekkert um þetta að segja hver og hverjum eru seldar upplýsingar um mig og mína hagi þó að sumar af þeim upplýsingum séu opinber gögn.“

 

2.

Bréfaskipti við kvartanda og Creditinfo

Með bréfi, dags. 10. nóvember 2015, var Creditinfo boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var svarfrestur veittur til 26. nóvember 2015. Svarbréf Creditinfo, dags. 23. nóvember 2015, barst Persónuvernd þann sama dag. Í svarbréfi Creditinfo segir að forsaga málsins sé sú að kvartandi hafi sett sig í samband við Creditinfo þann 18. ágúst 2015 eftir að hafa fengið bréf með tilkynningu um uppflettingu á kennitölu hans í gagnagrunni félagsins. Þar sem kvartandi kannaðist ekki við að hafa átt í viðskiptum við það fyrirtæki sem fletti honum upp hafi Creditinfo óskað eftir skýringum á því hjá áskrifandanum hvaða lögvörðu hagsmunir hafi búið að baki uppflettingunni á kennitölu kvartanda. Í ljós hafi komið að um mistök hafi verið að ræða. Lögfræðingur áskrifanda hafi haft samband við kvartanda og útskýrt hvers vegna mistökin hafi átt sér stað og beðist afsökunar. Kvartandi hafi að sögn verið sáttur við þá afgreiðslu málsins hjá áskrifanda. Áskrifandi hafi tilkynnt Creditinfo um framangreind málalok [í ] ágúst 2015.

 

[Í ágúst] 2015 hafi kvartandi sent póst til Creditinfo þar sem hann hafi óskað eftir því, vegna framangreinds atviks, að vera tekinn úr gagnagrunni Creditinfo og að ekki væri hægt að nálgast gögn um hann nema hann heimilaði það með undirskrift sinni. Í svari Creditinfo til kvartanda þann [...] kom fram að félagið starfar samkvæmt starfsleyfi frá Persónuvernd sem heimilar félaginu söfnun og miðlun persónuupplýsinga sem eðli sínu samkvæmt geti haft þýðingu um fjárhagsmálefni og lánstraust einstaklinga. Í grein 2.1 í starfsleyfi félagsins frá 29. desember 2014 sé fjallað um heimila vinnslu auk þess sem 3. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, hafi að geyma slík ákvæði.

 

Creditinfo vísar til þess í svarbréfi sínu að í 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga sé mælt fyrir um hvenær megi vinna með persónuupplýsingar. Ávallt þurfi að vera fullnægt við slíka vinnslu einhverri af kröfum framangreinds ákvæðis, þar á meðal við notkun á vanskilaskrá Creditinfo sem haldin sé samkvæmt framangreindu starfsleyfi frá Persónuvernd, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, sbr. 45. gr. laga nr. 77/2000. Þetta sé áréttað í grein 2.1 í gildandi starfsleyfi Creditinfo. Uppflettingar og notkun á vanskilskrá þeirri sem Creditinfo haldi geti einkum stuðst við 7. tölul. 1. mgr. 8. gr. þar sem segi að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.

 

Þá segir í svarbréfi Creditinfo að í framangreindu bréfi til kvartanda hafi komið fram að áskrifendur Creditinfo geti sótt upplýsingar um viðskiptavini sína í vanskilaskrá án sérstaks samþykkis viðkomandi hafi þeir lögvarða hagsmuni af því að sækja slíkar upplýsingar. Við notkun áskrifenda á vanskilaskrá sé þeim gert skylt að skrá ástæðu og tilgang uppflettingar. Fræðsluskylda hvíli á Creditinfo samkvæmt ákvæðum í framangreindu starfsleyfi félagsins, lögum um persónuvernd og meðferð persónuupplýsinga og reglugerð um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga. Þá sé upplýsingaréttur hins skráða ríkur samkvæmt sömu heimildum. Það hafi verið sérstaklega áréttað í framangreindu svari til kvartanda að hinn skráði geti ávallt fengið upplýsingar hjá Creditinfo um skráningar og andmælt skráningu telji hann hana ekki eiga rétt á sér. Þá geti allir einstaklingar, 18 ára og eldri, sótt um aðgang að „Mitt Creditinfo“-vefnum, en það sé upplýsingasíða fyrir einstaklinga til að nálgast þær upplýsingar sem skráðar séu hjá Creditinfo. Með vísan til framangreinds telji Creditinfo að félaginu hafi verið heimilt að afla upplýsinga um kennitölu kvartanda er varði fjárhagsmálefni og lánstraust og miðla þeim samkvæmt þeim lögum og reglum sem vísað sé til hér að framan svo og núgildandi starfsleyfi félagsins.

 

Með bréfi, dags. 18. desember 2015, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Creditinfo. Svarbréf kvartanda, dags. 23. desember 2015, barst sama dag. Þar segir meðal annars að kvartandi telji hugsanlegt að túlkun lögfræðinga Creditinfo sé á þá leið að félagið sé í fullum rétti til að hafna beiðni kvartanda um að vera afskráður úr gagnabanka þess. Félagið Creditinfo lifi á því að safna upplýsingum um fólk og fyrirtæki og selja þær til áskrifenda sinna. Kvartandi telji hins vegar að það sé hans réttur að óska eftir því að vera ekki hluti af þessum gagnabanka sem Creditinfo selji til sinna áskrifenda. Það sé ekki hagur beggja aðila að kvartandi sé skráður í gagnagrunn Creditinfo. Þá telji kvartandi að ef fyrirtæki vilji óska eftir upplýsingum um hann þá eigi það að vera hans ákvörðun hvort og hvaða upplýsingar hann vilji veita.

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af framangreindu er ljóst að sú aðgerð, að skrá upplýsingar um kvartanda í vanskilaskrá Creditinfo, felur í sér vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Af gögnum málsins verður ráðið að ágreiningur aðila snýr ekki að miðlun persónuupplýsinga kvartanda til áskrifenda Creditinfo heldur aðeins að skráningu persónuupplýsinga hjá Creditinfo. Miðast eftirfarandi úrlausn við það.

 

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Creditinfo vera ábyrgðaraðili þeirra upplýsinga sem skráðar eru í gagnagrunn félagsins.

 

2.

Um lögmæti vinnslu hjá Creditinfo

Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í 8. gr. laganna er mælt fyrir um hvenær vinna má með persónuupplýsingar. Þarf einhverri af kröfum þess ákvæðis ávallt að vera fullnægt við slíka vinnslu, þ. á m. við skráningar í skrá Creditinfo um fjárhagsmálefni og lánstraust einstaklinga, þ.e. vanskilaskrá, en hún er haldin samkvæmt starfsleyfi frá Persónuvernd, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, sbr. 45. gr. laga nr. 77/2000. Er framangreint sérstaklega áréttað í grein 2.1. í starfsleyfi Persónuverndar til starfrækslu skrárinnar, dags. 28. desember 2015 (mál nr. 2015/1428). Samskonar ákvæði var einnig að finna í því starfsleyfi Persónuverndar, dags. 29. desember 2014 (mál nr. 2014/1640), sem í gildi var þegar atvik málsins áttu sér stað, en kvartandi setti sig í samband við Creditinfo þann 18. ágúst 2015 eftir að hafa fengið tilkynningu um að kennitölu hans hefði verið flett upp. Litið hefur verið svo á að vinnsla upplýsinga um fjárhagsmálefni og lánstraust geti m.a. átt sér stoð í 7. tölul. 1. mgr. 8. gr., þ.e. á þeim grundvelli að vinnsla sé nauðsynleg í þágu lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.

 

Í grein 2.1. í núgildandi starfsleyfi Persónuverndar til Creditinfo, sem og eldra starfsleyfi, dags. 29. desember 2014, eru taldar upp þær upplýsingar sem handhafi slíks leyfis, þ.e. svonefnd fjárhagsupplýsingastofa, má skrá, en sú upptalning byggist á 1. mgr. 3. gr. reglugerðar nr. 246/2001 þar sem segir að fjárhagsupplýsingastofu sé einungis heimilt að vinna með upplýsingar sem eðli sínu samkvæmt hafa afgerandi þýðingu við mat á fjárhag og lánstrausti hins skráða. Þá er fjallað um fræðsluskyldu fjárhagsupplýsingastofu í grein 2.3. í starfsleyfinu. Ber meðal annars í slíkri fræðslu að greina hinum skráða frá upplýsinga- og andmælarétti hans, sbr. grein 2.3.1.

 

3.

Niðurstaða

Í því tilviki sem hér um ræðir liggur fyrir að kvartanda var flett upp fyrir mistök af áskrifanda að gagnagrunni Creditinfo sem hafði ekki lögmæta hagsmuni af því að fletta kennitölu hans upp. Kvartanda var greint frá uppflettingunni og verður ekki annað ráðið af gögnum málsins en að fræðsluskylda Creditinfo samkvæmt grein 2.3. í starfsleyfi félagsins hafi verið uppfyllt. Verður því talið að upplýsinga- og andmælaréttar kvartanda hafi verið gætt, sbr. grein 2.3.1.

 

Creditinfo starfar á grundvelli starfsleyfis Persónuverndar, dags. 28. desember 2015, sem heimilar félaginu að vinna með persónuupplýsingar um fjárhagsmálefni og lánstraust einstaklinga. Starfsleyfið er gefið út á grundvelli 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, sbr. 45. gr. laga nr. 77/2000. Af gögnum málsins verður ekki ráðið að nokkuð sé þess valdandi að upplýsingar um kvartanda skuli fjarlægðar úr gagnagrunni félagsins. Í ljósi framangreinds er það mat Persónuverndar að ekki sé hægt að verða við kröfu kvartanda um að hann verði afskráður úr gagnagrunni félagsins eða að samþykkis hans verði aflað í hvert skipti sem upplýsingum um fjárhagsmálefni og lánstraust hans er flett upp.

 

Ú r s k u r ð a r o r ð:

Skráning persónuupplýsinga um [A] í gagnabanka Creditinfo samræmist skilyrðum laga nr. 77/2000.