Fylgiskjal með starfsleyfi Creditinfo - Lánstrausts hf.
Reykjavík, 28. febrúar 2017Efni: Nýtt starfsleyfi Creditinfo Lánstrausts hf. til vinnslu upplýsinga um fjárhagsmálefni og lánstraust einstaklinga
Samkvæmt 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sbr. 1. mgr. 45. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, þarf starfsleyfi frá Persónuvernd til söfnunar og skráningar upplýsinga um fjárhagsmálefni og lánstraust einstaklinga í því skyni að miðla þeim til annarra. Hjálagt er nýtt starfsleyfi fyrir fjárhagsupplýsingastofuna Creditinfo Lánstraust hf. á grundvelli þessara ákvæða, en það kemur í stað leyfis, dags. 28. desember 2015 (mál nr. 2015/1428). Er leyfið veitt að fengnu bréfi Creditinfo Lánstrausts hf., dags. 28. október 2016, þar sem óskað er tiltekinna breytinga frá þeim leyfisskilmálum sem gilt hafa. Hér á eftir er farið yfir afstöðu Persónuverndar til einstakra breytingatillagna og ný eða breytt ákvæði rakin.
1.
Heimildir til vinnslu
1.1.
Upptalning á heimildum til vinnslu
Í 1. kafla bréfs Creditinfo Lánstrausts hf., dags. 28. október 2016, er meðal annars lýst þeirri afstöðu að skýrar megi kveða á um heimildir til vinnslu í samræmi við það sem tíðkaðist í leyfum Persónuverndar fyrir árið 2012. Af þeirri reynslu, sem fengist hefur frá útgáfu leyfis það ár, þ.e. leyfis, dags. 19. september 2012 (mál nr. 2012/266), fellst Persónuvernd á það mat. Var þá í fyrsta sinn gefið út leyfi sem ekki hafði að geyma nákvæma upptalningu á því hvaða upplýsingar mætti skrá. Þess í stað var byggt á því að beitt yrði tilvikabundnu mati á grundvelli 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga en að við það mat yrði að virða 2. málsl. 3. mgr. greinar 2.1 í leyfinu, þess efnis að það sé almennt skilyrði fyrir skráningu upplýsinga að löginnheimta sé hafin gegn hinum skráða, s.s. að stefna hafi verið birt, eða að hann hafi skriflega viðurkennt fyrir kröfuhafa að skuld sé fallin í gjalddaga. Komið hefur í ljós, einkum af fyrirspurnum frá skráðum einstaklingum, að umrætt fyrirkomulag leiðir til minna gagnsæis um umrædda vinnslu. Hefur Persónuvernd því ákveðið að taka aftur upp slíka upptalningu og áður greinir, sbr. grein 2.2 í hjálögðu starfsleyfi. Það ákvæði er samhljóða 2. gr. starfsleyfisins frá 10. maí 2011 (mál nr. 2010/1029) þegar undanskildar eru nokkrar breytingar, gerðar í samræmi við tillögur sem Persónuvernd bárust frá Creditinfo Lánstrausti hf. í aðdraganda útgáfu fyrrnefnds leyfis árið 2012. Í ljósi þeirrar breyttu nálgunar, sem þá var viðhöfð við útgáfu leyfis og sem fyrr er lýst, var ekki byggt á tillögunum, en ástæða þykir til þess nú, sbr. umfjöllun í köflum 1.1.1 til 1.1.5 hér á eftir.
Einnig skal tekið fram að Persónuvernd telur hið almenna skilyrði fyrir skráningu um að löginnheimta sé hafin eða að fyrir liggi skrifleg viðurkenning skuldara eiga betur heima í öðru samhengi en það hefur komið fram í hingað til, þ.e. í áðurnefndu ákvæði fyrrnefnds starfsleyfis frá 2012 og sama ákvæði þeirra starfsleyfa sem veitt hafa verið síðan. Telur stofnunin nánar tiltekið að umrætt skilyrði eigi betur heima í 1. mgr. greinar 2.1 í starfsleysskilmálunum. Í ljósi þess hljóðar það ákvæði svo í hjálögðu starfsleyfi:
„Vinnsla persónuupplýsinga skal ávallt, óháð því hver ber ábyrgð á henni, uppfylla eitthvert af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Aðeins má vinna með persónuupplýsingar sem eðli sínu samkvæmt geta haft þýðingu við mat á fjárhag og lánstrausti hins skráða. Gert er að skilyrði að löginnheimta sé hafin gegn hinum skráða, s.s. að stefna hafi verið birt eða að hann hafi skriflega viðurkennt fyrir kröfuhafa að skuld sé fallin í gjalddaga. Aldrei má taka á skrá viðkvæmar persónuupplýsingar, sbr. 8. tölul. 2. gr. laga nr. 77/2000.“
1.1.1.
Skráning upplýsinga um staðfesta nauðasamninga
Í bréfi frá Creditinfo Lánstrausti hf. til Persónuverndar, dags. 15. febrúar 2012, sbr. nánari útfærslu í skjali sem sent var stofnuninni í tölvupósti hinn 3. apríl s.á., var lögð til breyting á ákvæði 5. tölul. b-liðar 2. gr. þágildandi leyfisskilmála, sbr. 5. tölul. greinar 2.2.2 í hjálögðu starfsleyfi.
Nánar tiltekið laut tillaga fyrirtækisins að því að skrá mætti upplýsingar um staðfesta nauðasamninga, enda hefðu þeir vægi við mat á lánstrausti hins skráða. Persónuvernd fellst á það og hljóðar fyrrnefnt ákvæði hjálagðs starfsleyfis svo: „5. Upplýsingar um nauðasamningsumleitanir, staðfesta nauðasamninga, innkallanir og skiptalok sem birtar hafa verið í Lögbirtingablaðinu, sbr. 5. mgr. 85. gr. og 2. mgr. 162. gr. laga nr. 21/1991.“
1.1.2.
Skráning upplýsinga um nauðungarsölur sem ná fram að ganga með framhaldssölu
Í framangreindu bréfi Creditinfo Lánstrausts hf. til Persónuverndar, dags. 15. febrúar 2012, sbr. nánari útfærslu í því skjali sem stofnuninni barst hinn 3. apríl s.á., var lögð til breyting á ákvæði 3. tölul. b-liðar 2. gr. þágildandi leyfisskilmála, sbr. 3. tölul. greinar 2.2.2 í hjálögðu starfsleyfi.
Í tillögu fyrirtækisins var lagt til að nýjum málslið yrði bætt við ákvæðið sem hafði haft að geyma heimild þess til skráningar upplýsinga um uppboð sem sýslumaður hafði þegar auglýst í Lögbirtingablaðinu, í dagblöðum eða á annan hátt í samræmi við 1. mgr. 20. gr. og 1. mgr. 26. gr. laga nr. 90/1991 um nauðungarsölu. Samkvæmt tillögunni, eins og hún var nánar útfærð í skjalinu frá 3. apríl 2012, átti hinn nýi málsliður að veita heimild til skráningar upplýsinga um nauðungarsölur sem sannanlega hefðu náð fram að ganga með framhaldssölu, enda yrðu þá allar undangengnar upplýsingar, er vörðuðu sömu eign, fjarlægðar úr safni upplýsinga um hinn skráða.
Var þeirri afstöðu lýst í fyrrnefndu skjali að skráning umræddra upplýsinga, sem fæli í sér að þær yrðu aðgengilegar áskrifendum að skrám Creditinfo Lánstrausts hf., gæti stuðst við 4. gr. reglugerðar nr. 227/1992 um málaskrár og gerðabækur fyrir nauðungarsölur, sbr. 4. gr. laga nr. 90/1991 um nauðungarsölu. Í umræddu ákvæði reglugerðarinnar segir að aðilar að nauðungarsölu eigi rétt á að fá upplýsingar úr málaskrá um mál sem varða þá. Að auki segir að sá sem sýni fram á að hann hafi lögvarinna hagsmuna að gæta eigi einnig rétt á upplýsingum úr málaskrá.
Ekki verður séð að það geti fallið undir framangreind skilyrði reglugerðarákvæðisins að áskrifendum Creditinfo Lánstrausts hf. verði veittur aðgangur að umræddum upplýsingum um nauðungarsölur. Til þess er hins vegar að líta að samkvæmt 5. mgr. 35. gr. laga nr. 90/1991 skal sýslumaður auglýsa framhald uppboðs með þeim hætti sem segir í 2. mgr. 26. gr. laganna. Ekki verður séð að rök standi gegn því að Creditinfo Lánstraust hf. skrái upplýsingar úr slíkum auglýsingum eins og þegar um ræðir auglýsingar samkvæmt síðastnefndu ákvæði.
Með vísan til þess hefur fyrrnefnt ákvæði hjálagðs starfsleyfis að geyma svohljóðandi málslið:
„Einnig er heimilt að skrá upplýsingar um framhald nauðungarsölu sem sýslumaður hefur auglýst í Lögbirtingablaði samkvæmt 5. mgr. 35. gr. sömu laga, enda verði þá allar undangengnar uppboðsauglýsingar, er varða sömu eign, fjarlægðar úr safni upplýsinga um hinn skráða.“
1.1.3.
Skráning á upplýsingum um að ekki hafi verið svarað áskorun um að staðfesta greiðslugetu
Hinn 11. júní 2012 sendi Creditinfo Lánstraust hf. Persónuvernd tillögu í tölvupósti að viðbót við þágildandi leyfisskilmála. Nánar tiltekið var lagt til að heimilt yrði að skrá upplýsingar um það þegar skuldari hefði ekki orðið við áskorun lánardrottins samkvæmt 5. tölul. 2. mgr. 65. gr. laga nr. 21/1991 um gjaldþrotaskipti o.fl., sbr. lög nr. 95/2010, um að skuldarinn lýsti því skriflega yfir að hann yrði fær um að greiða tiltekna skuld. Ef áskorun er ekki svarað innan tiltekins tíma skapast grundvöllur til að fara fram á gjaldþrotaskipti hjá viðkomandi skuldara, sbr. upphaf 2. mgr. ákvæðisins.
Í 1. mgr. 3. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sbr. 45. gr. laga nr. 77/2000, segir að fjárhagsupplýsingastofu sé einungis heimilt að vinna með upplýsingar sem eðli sínu samkvæmt hafa afgerandi þýðingu við mat á fjárhag og lánstrausti hins skráða. Persónuvernd telur þær upplýsingar sem hér um ræðir hafa slíka þýðingu og er því að fallist á að færa slíkt ákvæði, sem hér um ræðir, inn í starfsleyfi Creditinfo Lánstrausts hf. Nánar tiltekið er ákvæðið í 9. tölul. greinar 2.2.1 í hjálögðu starfsleyfi og hljóðar það svo:
„Skuldari hafi ekki innan 3 vikna orðið við áskorun lánardrottins, sem birt hefur verið honum eftir sömu reglum og gilda um birtingu stefnu í einkamáli, um að lýsa því skriflega yfir að hann verði fær um að greiða skuld við hlutaðeigandi lánardrottinn eða innan skamms tíma ef hún er þegar gjaldfallin, sbr. 5. tölul. 2. gr. laga nr. 21/1991 um gjaldþrotaskipti o.fl., sbr. lög nr. 95/2010.“
1.1.4.
Skráning upplýsinga um innheimtuviðvaranir
Í 1. kafla bréfs Creditinfo Lánstrausts hf., dags. 28. október 2016, er meðal annars óskað heimildar til skráningar upplýsinga um innheimtuviðvaranir samkvæmt 7. gr. innheimtulaga nr. 95/2008 eða annars konar áskorunar sem fullnægir formskilyrðum innheimtuviðvörunar. Við mat á þessari ósk fyrirtækisins ber að líta til 1. mgr. 3. gr. reglugerðar nr. 246/2001, þess efnis að fjárhagsupplýsingastofu sé einungis heimilt að vinna með upplýsingar sem eðli sínu samkvæmt hafa afgerandi þýðingu við mat á fjárhag og lánstrausti hins skráða. Á grundvelli þessa ákvæðis hefur verið á því byggt að um þurfi að vera að ræða veruleg vanskil, sem annaðhvort hafi hlotið einhvers konar opinbera staðfestingu, s.s. með aðfarargerð eða dómi, eða falli undir ákvæði í samningi um heimild til skráningar að tilteknum skilyrðum fullnægðum. Persónuvernd telur innheimtuviðvaranir einar og sér ekki geta orðið grundvöll skráningar samkvæmt þessu. Er því synjað um veitingu heimildar til færslu upplýsinga um slíkar viðvaranir á umrædda skrá.
1.2.
Umdeildar skuldir
Í 5. kafla bréfs Creditinfo Lánstrausts hf. til Persónuverndar, dags. 28. október 2016, er fjallað um umdeildar skuldir, en samkvæmt 3. mgr. greinar 2.1 í fyrrgreindu starfsleyfi, dags. 28. desember 2015, er vinnsla upplýsinga um þær óheimil. Segir þar nánar að skuld teljist umdeild hafi skuldari andmælt henni og hún ekki verið staðfest með réttargjörð. Er þeirri afstöðu lýst í bréfi Creditinfo Lánstrausts hf. að þetta ákvæði sé ekki nægilega skýrt. Þá er lagt til að í þessu sambandi verði greint á milli opinberra upplýsinga og upplýsinga sem koma frá áskrifendum. Opinberar upplýsingar verði ekki afmáðar af skrám, en beri hinn skráði upp mótmæli við skráningu frá áskrifanda verði Creditinfo Lánstraust hf. gert skylt að bera þau mótmæli upp við kröfuhafa og kanna afstöðu hans. Til að fallist verði á afskráningu verði hinn skráði að hafa borið upp mótmæli og ástæðu mótmæla við kröfuhafa. Kemur fram að hér sé höfð hliðsjón af norskum starfsleyfisskilmálum, en ráðið verður af bréf Creditinfo Lánstrausts hf. að þar sé átt við grein 1.3.2 í stöðluðum skilmálum norsku persónuverndarstofnunarinnar fyrir fjárhagsupplýsingastofur, dags. 30. nóvember 2011. Nánar tiltekið segir í því sambandi:
„Hérna má líta til starfsleyfis norsku persónuverndarstofnunarinnar til handa fjárhagsupplýsingastofum. Eins og áður sagði þá er í leyfunum fjallað ítarlega um það hvaða upplýsingum slík fyrirtæki mega safna og miðla annars vegar frá opinberum aðilum og hins vegar frá öðrum aðilum, líkt og var í eldri leyfum Creditinfo Lánstrausts hf. Sérstaklega er fjallað um skráningu á upplýsingum um innheimtur krafna (inkassooplysninger) og hvernig skuli fara með þær skráningar ef kröfur eru umdeildar. Ekki verður annað séð en hér sé átt við kröfur sem eru til innheimtu og eru ekki aðfararhæfar, s.s. innheimta á reikningum. Meginreglan er sú að ekki megi miðla upplýsingum um umdeildar innheimtukröfur og að leggja eigi til grundvallar huglægt mat skuldara á því hvort krafa teljist umdeild eða ekki. Sérstaklega er tekið fram að krafa sé ekki umdeild liggi fyrir aðfararhæfur dómur eða önnur aðfararhæf ákvörðun í málinu.“
Fjallað hefur verið um hvernig túlka skuli umrætt starfsleyfisákvæði í framkvæmd Persónuverndar, þ.e. í úrskurðum, dags. 24. febrúar og 4. október 2016 (mál nr. 2015/1519 og 2016/303). Í báðum úrskurðunum var fjallað um hvort í auglýsingu sýslumanns um nauðungarsölu samkvæmt 19. gr. laga nr. 90/1991 um slíka sölu, birtrar eftir athugun á beiðninni og grundvelli hennar samkvæmt 1. mgr. 13. gr. sömu laga, fælist réttargjörð sem staðfesti kröfuna. Litið var til þess að samkvæmt 2. mgr. 22. gr. laganna skulu mótmæli af hendi gerðarþola að jafnaði ekki stöðva nauðungarsölu nema þau varði atriði sem sýslumanni bæri að gæta af sjálfsdáðum eða sýslumaður teldi annars valda því að óvíst væri að gerðarbeiðandi ætti rétt á að nauðungarsalan færi fram. Þá segir í ákvæðinu að taki sýslumaður ekki til greina mótmæli gerðarþola stöðvi það ekki frekari aðgerðir að hlutaðeigandi lýsi því yfir að hann muni bera gildi nauðungarsölunnar undir héraðsdóm, sbr. ákvæði XIV. kafla laganna. Vísaði Persónuvernd í þessu sambandi til þess að samkvæmt athugasemdum við 2. mgr. 22. gr. í greinargerð með því frumvarpi, sem varð að lögum nr. 90/1991, gefur orðalag ákvæðisins líkindi fyrir niðurstöðu gerðarbeiðanda í hag, sem og að mótmæli gerðarþola gegn efnislegu réttmæti kröfu gerðarbeiðanda verða að vera studd verulega haldgóðum rökum til þess að sýslumanni sé rétt að stöðva frekari nauðungarsölu vegna þeirra. Með vísan til þessa segir í úrskurðunum:
„Þegar litið er til þessa telur Persónuvernd að sú ákvörðun sýslumanns að auglýsa nauðungarsölu, sem tekin er eftir athugun hans samkvæmt 1. mgr. 13. gr. laga nr. 90/1991, feli í sér réttargerð sem staðfesti skuld í skilningi áðurnefnds ákvæðis 3. mgr. greinar 2.1 í leyfum Persónuverndar til handa Creditinfo Lánstrausti hf. til vinnslu upplýsinga um fjárhagsmálefni og lánstraust einstaklinga í því skyni að miðla þeim til annarra. Jafnframt skal hins vegar tekið fram að fallist sýslumaður á mótmæli gerðarþola, t.d. á grundvelli þess að hann telji fyrirliggjandi réttarágreining eiga að hamla gerðinni, verður að líta svo á að ekki sé lengur í gildi réttargerð samkvæmt starfsleyfisákvæðinu. Af því leiðir þá jafnframt að hafi verið um að ræða umdeilda skuld, sem ekki mátti færa á skrá samkvæmt reglugerð nr. 246/2001 fram að birtingu auglýsingar um nauðungarsölubeiðni, ber að fjarlægja upplýsingar um beiðnina af skránni.“
Persónuvernd telur þau úrskurðarmál, sem hér hafa verið rakin, hafa leitt í ljós að orðalag umrædds ákvæðis í starfsleyfi Creditinfo Lánstrausts hf. megi veri skýrara, þ.e. um hvenær skuld teljist staðfest í skilningi þess. Telur stofnunin að þegar fyrir liggur dómur um greiðsluskyldu eða auglýst ákvörðun sýslumanns, sem felur í sér viðurkenningu á kröfu og mælir fyrir um heimtur hennar með fullnustuaðgerð, sé eðlilegt að líta svo á að slík staðfesting sé fyrir hendi. Einnig telur stofnunin hins vegar að því skilyrði geti ekki talist fullnægt hafi ákvörðun sýslumanns verið felld úr gildi, s.s. þar sem fallist hafi verið á andmæli hins skráða.
Að auki skal tekið fram að Persónuvernd fellst á það með Creditinfo Lánstrausti hf. að gera megi kröfu um að skuldari tilgreini ástæðu andmæla við kröfu. Nánar tiltekið telur stofnunin að andmæli verði að byggjast á raunverulegum réttarágreiningi, annaðhvort um staðreyndir máls, s.s. um hvort krafa hafi raunverulega stofnast, eða um lagalegan grundvöll kröfu. Í þessu sambandi leggur stofnunin þó áherslu á að ekki verður gerð krafa um að skuldari útfæri andmæli sín ítarlega, s.s. með bréfi með lýsingu á málsástæðum og lagarökum, heldur nægir að fyrir liggi sú huglæga afstaða skuldarans, sem komið er á framfæri með sannanlegum hætti, að krafa eigi ekki rétt á sér, auk þess sem tilgreint sé hvers vegna hann telji svo ekki vera.
Með vísan til framangreinds hefur Persónuvernd ákveðið að breyta umræddu starfsleyfisákvæði. Samkvæmt því segir í 3. mgr. greinar 2.1 í nýja starfsleyfinu:
„Óheimil er vinnsla upplýsinga um umdeildar skuldir. Það á við ef skuldari hefur sannanlega komið andmælum við skuld á framfæri við kröfuhafa, greint honum frá ástæðu andmælanna og skuldin hefur ekki verið staðfest með aðfararhæfum dómi eða aðfararhæfri ákvörðun sýslumanns sem kunngjörð hefur verið í opinberri auglýsingu. Fallist sýslumaður, að tekinni slíkri ákvörðun, á andmæli skuldara þannig að fullnustugerð nái ekki fram að ganga telst skuldin aftur vera umdeild.“
Eins og greinir í kafla 1.1 hér að framan hefur 3. mgr. greinar 2.1 í starfsleyfisskilmálum mælt fyrir hið almenna skilyrði fyrir skráningu að löginnheimta sé hafin eða að fyrir liggi skrifleg viðurkenning skuldara á að skuld sé fallin í gjalddaga. Það skilyrði hefur, eins og fram kemur í kaflanum, verið fært yfir í 1. mgr. sömu greinar.
1.3.
Tímalengd vanskila á kröfu samkvæmt láns- eða skuldaskjali
Í 1. kafla bréfs Creditinfo Lánstrausts hf., dags. 28. október 2016, segir meðal annars:
„Í núgildandi starfsleyfi Creditinfo Lánstrausts hf. er ekki getið um það að skráningar vanskila sem berast frá áskrifendum geti ekki farið fram fyrr en vanskil hafi varað í a.m.k. 40 daga eins og kveðið var á um í eldri leyfum. Þrátt fyrir að þetta skilyrði komi ekki fram í núgildandi leyfi félagsins hefur þessi regla verið viðhöfð enda þykir rétt að gæta hér ákveðins meðalhófs og gefa hinum skráðu tækifæri á að breðast við áskorunum kröfuhafa til greiðslu áður en til skráningar kemur. Í ljósi þess að innheimtuferlar hafa verið að styttast á undanförnum árum hafa áskrifendur verið að kalla eftir því að fá að skrá kröfur fyrr á vanskilaskrá. Rétt þykir að taka á þessu í starfsleyfinu. Í norska leyfinu er gert ráð fyrir að upplýsingarnar séu ekki skráðar fyrr en mánuði eftir að hinn skráði hefur fengið viðvörun frá kröfuhafa um gjaldfall kröfu. Samkvæmt innheimtulögum nr. 95/2008 er gert ráð fyrir að skuldari fái 10 daga til að bregðast við viðvörun um innheimtu eftir að slík viðvörun er send út. Eftir að óskað hefur verið skráningar á vanskilaskrá fær hinn skráði 17 daga til að bregðast við tilkynningu um fyrirhugaða skráningu hjá Creditinfo. Því er lagt til að miðað sé við að vanskil hafi varað í amk 30 daga þegar krafa er birt á vanskilaskrá Creditinfo.“
Það ákvæði í eldri leyfum, þ.e. fyrir útgáfu fyrrnefnds leyfis 2012, sem laut að umræddum 40 daga fresti, var síðast að finna í 7. tölul. a-liðar 2. gr. leyfis, dags. 10. maí 2011 (mál nr. 2010/1029). Nánar tiltekið laut það ákvæði að kröfum samkvæmt láns- eða skuldaskjölum. Var mælt fyrir um það í ákvæðinu að skrá mætti upplýsingar um vanskil á slíkum kröfum þegar viðkomandi skjal hefði að geyma sérstaka yfirlýsingu skuldara um að hann féllist á að áskrifandi óskaði skráningar á vanskilum, enda væru skilyrði þeirrar heimildar uppfyllt. Slík heimild skyldi vera áberandi og skýr í skjalinu og við það miðuð að vanskil hefðu varað í a.m.k. 40 daga. Áskrifandi, sem óskaði skráningar á grundvelli slíkrar heimildar, skyldi um leið ábyrgjast að honum væri ekki kunnugt um að skuldari hefði nokkrar réttmætar mótbárur gegn greiðslu skuldarinnar. Beiðni um skráningu skyldi undirrituð af lögmanni í þjónustu áskrifanda eða fulltrúa hans.
Eins og rakið er í kafla 1.1.4 hér að framan telur Persónuvernd innheimtuviðvaranir einar og sér ekki geta orðið grundvöll færslu upplýsinga á umrædda skrá. Samkvæmt því telur stofnunin jafnframt að tímafrestur í tengslum við slíkar viðvaranir samkvæmt innheimtulögum nr. 95/2008, sbr. 1. mgr. 7. gr. þeirra laga, hafi ekki þýðingu í tengslum við þá skráningu. Að auki telur stofnunin, í ljósi þeirra áhrifa sem skráningin hefur á hagsmuni hinna skráðu, að þeim verði að gefast rúmur frestur til að bregðast við áður en að skráningu kemur. Við afmörkun á þeim fresti má hafa hliðsjón af framkvæmd í nágrannalöndum, en Creditinfo Lánstraust hf. vísar til norskra starfsleyfisskilmála í því sambandi. Verður að ætla að þar sé átt við 1. mgr. greinar 1.3.1 í skilmálum, dags. 30. nóvember 2011, sem birtir voru á vefsíðu norsku persónuverndarstofnunarinnar, Datatilsynet, hinn 11. janúar 2012. Samkvæmt því ákvæði má ekki skrá innheimtuupplýsingar fyrr en mánuði eftir að innheimtuaðili hefur sent stefnu eða beiðni um réttarleg skref í málinu (n. før en måned etter at inkassator har sendt stevning eller begjæring om rettslige skritt i saken). Ljóst er að þegar að slíku kemur hafa vanskil þegar varað um eitthvert skeið og þar með lengur en einn mánuð.
Í ljósi framangreinds telur Persónuvernd, að öllu virtu, að 40 dagar séu hæfilegur tími frá því að vanskil hefjast og þar til upplýsingar um slíkar kröfur og hér um ræðir eru skráðar. Jafnframt telur stofnunin ástæðu til að mæla fyrir um frestinn í leyfisskilmálum. Hefur það því nú verið gert, sbr. 7. tölul. greinar 2.2.1 í hjálögðu starfsleyfi, en það ákvæði er sama efnis og fyrrnefnt ákvæði eldri leyfa.
1.4.
Um að mælt verði fyrir um vinnslu byggða á samþykki
Í 2. kafla bréfs Creditinfo Lánstrausts hf., dags. 28. október 2016, segir að ákveðin vinnsla persónuupplýsinga hjá fyrirtækinu, þ. á m. lánshæfismat og veiting upplýsinga um skuldastöðu, byggist á upplýstu samþykki viðkomandi einstaklinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þeir sem veita slíkt samþykki geri ráð fyrir að sú vinnsla falli undir það starfsleyfi sem Persónuvernd veitir fyrirtækinu. Velta megi upp þeirri spurningu hvort rétt væri að taka það fram í starfsleyfinu að undir það falli ekki vinnsla sem byggist á upplýstu samþykki.
Persónuvernd telur vafa leika á því að yfirlýsing einstaklings, þess efnis að hann fallist á að lánshæfismat hans sé metið eða að aflað sé upplýsinga um skuldastöðu hans, geti talist fullnægja kröfum laga nr. 77/2000 til samþykkis, sbr. 7. tölul. 2. gr. þeirra laga. Ástæðan er sú að telja má líkur standa til þess að eftir atvikum geti mönnum reynst ókleift að eiga tiltekin viðskipti án þess að gefa slíka yfirlýsingu, en það skiptir máli í tengslum við skilyrðið um fúsan og frjálsan vilja hins skráða. Samkvæmt þessu telur Persónuvernd eðlilegra að ræða um „beiðni“ hins skráða fremur en „samþykki“, sem og að vinnsla falli fremur undir 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þar sem fjallað er um heimild til vinnslu á grundvelli lögmætra hagsmuna sem vega þyngra en grundvallarréttindi og frelsi hins skráða, fremur en ákvæðið um samþykki í 1. tölul. sömu málsgreinar.
Jafnframt telur Persónuvernd það til skýrleika fallið að í starfsleyfi Creditinfo Lánstrausts hf. komi fram að undir leyfið falli ekki sú vinnsla sem fyrir liggur að fram fer hjá fyrirtækinu en á ekki undir reglugerð nr. 246/2001 og þar með leyfisskyldu samkvæmt reglugerðinni. Eins og á stendur ræðir þar um útgáfu skýrslna um lánshæfismat, sbr. 2. máls. 1. mgr. 1. gr. reglugerðinnar, sem og fyrrnefnda vinnslu upplýsinga um skuldastöðu. Í samræmi við það í segir í niðurlagi 1. gr. hjálagðs starfsleyfis: „Í samræmi við 2. málsl. 1. mgr. 1. gr. umræddrar reglugerðar tekur leyfi þetta ekki til útgáfu skýrslna um lánshæfi. Þá tekur leyfi þetta ekki til öflunar upplýsinga um skuldastöðu einstaklings samkvæmt beiðni hans.“
2.
Skýrslugjöf til Persónuverndar
Í 3. kafla bréfs Creditinfo Lánstrausts hf. til Persónuverndar, dags. 28. október 2016, segir:
„Í eldri starfsleyfum Creditinfo Lánstrausts hf., sbr. grein 7.7 í starfsleyfi dags. 10. maí 2011, er gert ráð fyrir að Creditinfo skuli ársfjórðungslega tilkynna Persónuvernd um hve margir hafi aðgang að skrám félagsins, hve margir einstaklingar eru á skránum og hve mikið sé skráð af hverri tegund upplýsinga. Þrátt fyrir að sambærilegt ákvæði sé ekki að finna í núgildandi leyfi Creditinfo hefur félagið sent Persónuvernd framangreindar skýrslur ársfjórðungslega. Óskað er eftir afstöðu Persónuverndar hvað þessa skýrslugjöf varðar, þ.e. hvort embættið óskar áfram eftir þessum ársfjórðungslegu upplýsingum eða hvort embættið vill kalla eftir þessum upplýsingum þegar þörf krefur. Ef óskað er eftir áframhaldandi skýrslugjöf er spurning hvort upplýsingaskylda félagsins ætti ekki að koma fram í starfsleyfinu.“
Persónuvernd telur þá tölfræði sem hér um ræðir hafa upplýsingagildi og varpa ljósi á umfang þeirrar vinnslu persónuupplýsinga sem fram fer hjá Creditinfo Lánstrausti hf. Í ljósi þess, og með vísan til framangreindrar ábendingar fyrirtækisins, hefur Persónuvernd ákveðið að mæla aftur fyrir um hana í starfsleyfi þess. Er ákvæðið að finna í grein 2.11 í hjálögðu starfsleyfi, svohljóðandi: „Starfsleyfishafi skal ársfjórðungslega tilkynna Persónuvernd um hve margir hafi aðgang að skrám hans og hverjir það eru, hve margir einstaklingar eru á skránum og hve mikið sé skráð af hverri tegund upplýsinga.“
3.
Samningsgerð við áskrifendur
Í 4. kafla bréfs Creditinfo Lánstrausts hf. til Persónuverndar, dags. 28. október 2016, er vísað til þess að samkvæmt starfsleyfisskilmálum skuli fyrirtækið grípa til viðhlítandi ráðstafana brjóti áskrifandi gegn áskriftarskilmálum, með það fyrir augum að hindra að slíkt endurtaki sig, eftir atvikum með hækkun áskriftargjalds, sbr. 2. mgr. greinar 2.8 í fyrrgreindu starfsleyfi, dags. 28. desember 2015. Þá er lýst þeirri afstöðu að æskilegt sé að kveða skýrar á um þetta atriði í starfsleyfisskilmálum eins og gert var fram að gildistöku áðurnefnds leyfis, dags. 19. september 2012. Persónuvernd fellst á það og hefur því hjálagt, nýtt starfsleyfi að geyma ítarlegra ákvæði um umrætt atriði en í leyfinu frá 2015, en 3. mgr. greinar 7.3 í framangreindu starfsleyfi, dags. 10. maí 2011, er þar höfð sem fyrirmynd. Ólíkt því sem var í því ákvæði er í nýja starfsleyfisákvæðinu þó ekki fjallað um skráningu uppflettinga. Þess í stað er umfjöllun um það atriði nú að finna í a-lið 1. mgr. greinar greinar 2.9 í hjálögðu starfsleyfi, en sá liður er samhljóða sama lið í 1. mgr. greinar 2.8 í leyfinu frá 2015 að því undanskildu að í stað skammstöfunarinnar „t.d.“ stendur nú „einkum“.
Nánar tiltekið er ákvæðið í hjálögðu starfsleyfi um ráðstafanir vegna brota gegn áskriftarskilmálum, þ.e. 2. mgr. greinar 2.9, svohljóðandi:
„Komi í ljós að áskrifandi hafi brotið gegn skilmálum í áskriftarsamningi ber starfsleyfishafa að grípa til viðhlítandi ráðstafana með það fyrir augum að hindra að slíkt endurtaki sig. Í því felst að starfsleyfishafi skal hækka gjald áskrifanda fyrir notkun á skrá í óheimilum tilgangi. Fyrir eitt tilvik skal hækka gjald er svarar til 50% af mánaðarlegu gjaldi skv. verðskrá starfsleyfishafa á hverjum tíma. Fyrir tvö tilvik skal hækka gjald um 100%, enda líði minna en 6 mánuðir á milli tilvika. Verði slík tilvik 3 á innan við 12 mánuðum skal starfsleyfishafi segja upp áskriftarsamningi við viðkomandi. Að liðnum 6 mánuðum má semja við hann að nýju. Verði áskrifandi aftur uppvís að óheimilli notkun innan 6 mánaða frá gerð nýs samnings skal honum sagt upp og ekki gefa honum kost á nýjum samningi fyrr en að 12 mánuðum liðnum.“
4.
Varðveisla og notkun upplýsinga
4.1.
Umfjöllun í bréfi Creditinfo Lánstrausts hf.
Í 6. kafla bréfs Creditinfo Lánstrausts hf. til Persónuverndar, dags. 28. október 2016, er vísað til þess að samkvæmt starfsleyfisskilmálum, þ.e. gr. 2.6 í fyrrgreindu starfsleyfi, dags. 28. desember 2015, skuli fyrirtækið eyða upplýsingum um einstakar skuldir þegar vitað sé að þeim hafi verið komið í skil. Þá skuli eyða upplýsingum sem mæla gegn lánshæfi hins skráða þegar þær verði fjögurra ára gamlar. Þó megi fyrirtækið varðveita þær í þrjú ár til viðbótar, enda lúti þær ströngum aðgangstakmörkunum. Að þeim fresti liðnum skuli þeim eytt.
Einnig segir í bréfi Creditinfo Lánstrausts hf. að vinnsla lánshæfismats sé meðal annars grundvölluð á sögulegum upplýsingum um vanskil, en upplýsingar um skilvísi, vanskil og greiðslusögu hafi mikið forspárgildi um líkur á vanskilum í framtíðinni. Það liggi í hlutarins eðli að tölfræðileg spá um slíkt verði að byggjast á sögulegum upplýsingum, s.s. um skilvísi og greiðslusögu. Lánshæfislíkan Creditinfo Lánstrausts hf. sé tölfræðilegt spálíkan líkt lánshæfislíkönum sem notuð séu víða um heim. Alls staðar í heiminum þar sem lánveitendur notist við lánshæfismat séu sögulegar upplýsingar nýttar í þeim tilgangi að auka áreiðanleika slíks mats. Ef upplýsingar um greiðslusögu í fortíðinni ættu ekki að hafa áhrif á lánshæfismat væri grundvellinum kippt undan gagnsemi matsins. Slíkt mat myndi augljóslega ekki fullnægja kröfum 5. gr. laga nr. 33/2013 um neytendalán og færi þvert gegnum ummælum í athugasemdum við 10. gr. í greinargerð með því frumvarpi sem varð að lögunum, en þar sé tiltekið að lánshæfismat geti meðal annars byggst á skilvísi og greiðslusögu.
Að auki segir að frá gildistöku laga nr. 33/2013 hafi notkun lánshæfismats Creditinfo Lánstrausts hf. aukist gríðarlega. Matið þyki hafa gott forspárgildi og lánveitendur nýti það annaðhvort til hliðsjónar við sína eigin viðskiptasögu eða eitt og sér, t.d. þegar viðskiptasögu sé ekki til að dreifa hjá viðkomandi. Notkun matsins byggist á samþykki hins skráða sem veiti meðal annars heimild að nýta sögulegar upplýsingar um vanskil. Ekki sé hins vegar um að ræða miðlun úr skrá sem háð sé veitingu starfsleyfis frá Persónuvernd, enda séu breytur úr skrá um fjárhagsmálefni og lánstraust einstaklinga, sem hafi áhrif á niðurstöðu lánshæfismats, ekki birtar þeim sem sæki matið. Þá segir:
„Creditinfo Lánstraust hf. telur nauðsynlegt að kveðið sé skýrt á um það í starfsleyfi félagsins að byggist vinnsla á upplýstu samþykki megi félagið nýta gögn um þann sem samþykkir vinnsluna meðan félagið hefur heimild til að geyma gögnin, þ.e. í allt að 4 ár og í 3 ár eftir að færsla fer af skrá.“
4.2.
Afstaða Persónuverndar
Eins og fyrr er rakið þarf söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, að byggjast á starfsleyfi Persónuverndar, sbr. áðurgreint ákvæði 1. mgr. 2. gr. reglugerðar nr. 246/2001, sbr. 45. gr. laga nr. 77/2000. Það á hins vegar ekki við um starfsemi sem felst í útgáfu skýrslna um lánshæfi, enda fellur hún utan gildissviðs reglugerðarinnar, sbr. 1. mgr. 1. gr. hennar. Hins vegar er ljóst að upplýsingar, sem falla undir starfsleyfisskyldu, má ekki nýta í þágu gerðar lánshæfismats á þann hátt að brjóti gegn leyfinu.
Um varðveislutíma upplýsinga, sem færðar eru á skrá um fjárhagsmálefni og lánstraust einstaklinga, er fjallað í 3. mgr. 5. gr. reglugerðar nr. 246/2001, en þar segir að eyða skuli jafnharðan úr skrám fjárhagsupplýsingastofu upplýsingum sem eru eldri en fjögurra ára nema annað sé sérstaklega heimilað í starfsleyfi frá Persónuvernd. Að auki segir í í 2. mgr. 6. gr. reglugerðarinnar að óheimilt sé að miðla upplýsingum sem komið hefur verið í skil.
Með stoð í fyrrnefnda ákvæðinu hefur Persónuvernd heimilað varðveislu upplýsinga, sem færðar hafa verið á umrædda skrá, í þrjú ár til viðbótar eftir að fjögurra ára frestinum samkvæmt ákvæðinu lýkur en með áðurnefndu skilyrði um strangar aðgangstakmarkanir, þ.e. þannig að þess sé vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn Creditinfo Lánstrausts hf. sem þess þurfa nauðsynlega starfs síns vegna. Var ákvæði þessa efnis fyrst tekið upp í starfsleyfi hjá Creditinfo Lánstrausti hf. (þá Lánstrausti hf.) útgefnu hinn 17. október 2002 (mál nr. 2002/371), þ.e. 4. gr. þess. Var byggt á rökstuðningi frá fyrirtækinu sem fram kom í bréfi þess, dags. 17. september s.á., en þar var umræddrar varðveislu sögð þörf þar sem skráðir einstaklingar kynnu að óska eftir vitneskju um upplýsingar sem skráðar hefðu verið um þá og ágreiningur kynni að rísa um réttmæti skráningar.
Skilningur Persónuverndar á hvernig Creditinfo Lánstraust hf. hyggist haga varðveislutíma upplýsinga á umræddri skrá er sem hér greinir:
- Upplýsingar verði að hámarki varðveittar í fjögur ár á þann hátt að áskrifendur að skránni geti flett þeim upp.
- Varðveisla með uppflettiaðgangi verði skemmri þegar vitneskja berist Creditinfo Lánstrausti hf. um að kröfu hafi verið komið í skil, þ.e. þá verði þegar lokað fyrir þann aðgang.
- Að loknu fjögurra ára tímabilinu með uppflettiaðgangi, sbr. 1. tölul. hér að framan, verði upplýsingar varðveittar í þrjú ár til viðbótar en með ströngum aðgangstakmörkunum. Að svo búnu verði þeim eytt.
- Að loknu skemmra tímabili með uppflettiaðgangi, sbr. 2. tölul. hér að framan, verði upplýsingar einnig varðveittar í þrjú ár til viðbótar, með sömu skilyrðum og greinir hér fyrr, en síðan eytt.
Persónuvernd telur framangreinda ráðagerð um varðveislu upplýsinga geta fallið innan þess ramma sem áðurnefnd ákvæði 3. mgr. 5. gr. og 2. mgr. 6. gr. reglugerðar nr. 246/2001 afmarka, en þá er meðal annars litið til þess að síðarnefnda ákvæðið mælir ekki fyrir um eyðingu upplýsinga, sem komið hefur verið í skil, heldur að óheimilt sé að miðla þeim. Einnig er hins vegar ljóst að svo að umrædd ákvæði renni fullnægjandi stoðum undir varðveisluna þarf hún að samrýmast öðrum þeim kröfum í löggjöf sem við eiga, en í því sambandi þarf einkum að taka afstöðu til notkunar upplýsinga í þágu gerðar lánshæfismats.
Sú vinnsla þarf, sem vinnsla persónuupplýsinga endranær, að fullnægja einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Hefur Creditinfo Lánstraust hf. í því sambandi vísað til samþykkis hins skráða sem heimildar, sbr. 1. tölul. þeirrar málsgreinar. Fyrir liggur að áður en gerð er skýrsla um lánshæfi hjá Creditinfo Lánstrausti hf. liggur fyrir beiðni hins skráða. Við mat á því hvort hún teljist fela í sér samþykki er til þess að líta að það þarf að vera veitt af fúsum og frjálsum vilja, sbr. 7. tölul. 2. gr. laga nr. 77/2000. Ljóst er hins vegar, m.a. þegar litið er til skyldu til gerðar lánshæfismats samkvæmt 10. gr. laga nr. 33/2013 um neytendalán, að vilji einstaklingur eiga tiltekin viðskipti getur hann ekki komist hjá því að lánshæfi hans sé metið. Það að til staðar sé raunverulegt val einstaklings er skilyrði þess að kröfum til samþykkis sé fullnægt og telur Persónuvernd að eins og hér háttar til geti skort á að svo sé, sbr. einnig umfjöllun í kafla 1.4 hér að framan. Jafnframt skal þó tekið fram að stofnunin telur engu að síður mikilvægt að í aðdraganda gerðar lánshæfismats liggi fyrir beiðni hins skráða, m.a. í ljósi sjónarmiða um sanngirni vinnslu, sbr. það sem síðar greinir um 7. gr. laga nr. 77/2000, og til að fullnægjandi fræðsla sé veitt, sbr. 20. og 21. gr. sömu laga.
Samkvæmt 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Þá er vinnsla heimil samkvæmt 3. tölul. sömu málsgreinar sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, en slík lagaskylda getur falist í lögum nr. 33/2013. Telja má þessar tvær vinnsluheimildir geta rennt stoðum undir vinnslu persónuupplýsinga í tengslum við gerð lánshæfismats hjá lánveitanda sem metur lánshæfi einstaklings sem æskir fjárhagslegrar fyrirgreiðslu. Fyrirtæki, sem útbýr skýrslur um lánshæfi í því skyni að miðla þeim til lánveitenda, er ekki aðili að samningi um þess háttar fyrirgreiðslu, auk þess sem lagaskylda samkvæmt lögum nr. 33/2013 hvílir ekki á því. Framangreindar tvær vinnsluheimildir geta því ekki átt við um Creditinfo Lánstraust hf. sem slíkt fyrirtæki. Til þess er hins vegar að líta að samkvæmt 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Telur Persónuvernd þetta ákvæði einkum geta átt við um þá vinnslu persónuupplýsinga sem fram fer í upplýsingakerfum Creditinfo Lánstrausts hf. vegna gerðar skýrslna um lánshæfi, sbr. einnig umfjöllun í kafla 1.4 hér að framan.
Auk þess sem heimild þarf að vera fyrir vinnslu persónuupplýsinga í 8. gr. laga nr. 77/2000 verður öllum grunnkröfum 1. mgr. 7. gr. sömu laga að vera fullnægt við slíka vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og vera í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli vera varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Samkvæmt áðurnefndu ákvæði 10. gr. laga nr. 33/2013 um neytendalán skal lánveitandi meta lánshæfi neytanda áður en samningur um neytendalán er gerður. Samkvæmt i-lið 5. gr. laganna er þar um að ræða mat hans á lánshæfi lántaka byggt á upplýsingum um viðskiptasögu aðila á milli og/eða úr gagnagrunnum um fjárhagsmálefni og lánstraust sem eru til þess fallnar að veita áreiðanlegar vísbendingar um líkindi þess hvort lántaki geti efnt lánssamning. Voru lögin meðal annars sett til innleiðingar á tilskipun 2008/48/EB um lánasamninga fyrir neytendur, en samkvæmt 1. mgr. 8. gr. þeirrar tilskipunar skal tryggja að áður en slíkur samningur er gerður meti lánveitandi lánshæfi neytandans á grundvelli fullnægjandi upplýsinga sem eru, þegar við á, fengnar frá neytandanum og á grundvelli leitar í viðeigandi gagnasafni ef þörf krefur. Í 26. lið formála tilskipunarinnar er fjallað nánar um slíkt lánshæfismat, en þar segir meðal annars að gerðar skuli viðeigandi ráðstafanir til að stuðla að ábyrgum starfsháttum í öllum þáttum lánveitinga. Kemur fram að áhætta, sem fylgi vanskilum og skuldasöfnun, skipti máli í því sambandi og að einkum sé mikilvægt að lánveitendur stundi ekki óábyrga lánastarfsemi eða veiti lán án þess að hafa áður fengið mat á lánshæfi. Segir einnig að ákvarða skuli nauðsynleg úrræði til að beita þá lánveitendur viðurlögum sem það geri.
Af framangreindu er ljóst að samkvæmt lögum nr. 33/2013 er rík áhersla á það lögð að gert sé áreiðanlegt lánshæfismat í aðdraganda samnings um neytendalán. Einnig liggur fyrir, eins og áður greinir, að skýrslum Creditinfo Lánstrausts hf. um lánshæfi er ætlað að nýtast til gerðar lánshæfismats samkvæmt þeim lögum. Þá verður ekki litið svo á að það feli í sér óheimila miðlun upplýsinga samkvæmt fyrrnefndu ákvæði 2. mgr. 6. gr. reglugerðar nr. 246/2001 að upplýsingar um kröfur, sem komið hefur verið í skil, hafi áhrif á niðurstöðu slíkra skýrslna, enda berist upplýsingarnar sjálfar ekki viðtakendum matsins heldur eingöngu tölfræðileg niðurstaða.
Einnig skal hins vegar tekið fram að fyrrnefnd heimild 3. mgr. 5. gr. reglugerðar nr. 246/2001 til þess að Persónuvernd leyfi lengri varðveislutíma en fjögur ár er undantekningarheimild. Ber því að túlka hana þröngt. Eins og áður greinir var undantekningarheimildin nýtt til að unnt yrði um þriggja ára skeið að veita skráðum einstaklingum aðgang að upplýsingum um sig og til að leysa úr ágreiningi um réttmæti skráningar að fjögurra ára varðveislutíma liðnum. Ekki var ráðgert að heimila annars konar not, s.s. í tengslum við gerð skýrslna um lánshæfi eins og Creditinfo Lánstraust hf. fyrirhugar samkvæmt því sem fyrr greinir. Þá er ljóst að ef slík not væru heimiluð þegar meira en fjögur eru liðin frá færslu upplýsinga um einstakling á umrædda skrá fyrirtækisins gætu þær haft íþyngjandi réttaráhrif gagnvart honum í alls sjö ár frá skráningu. Persónuvernd telur vafa leika á um að slíkt fái samrýmst fyrrnefndum ákvæðum 7. gr. laga nr. 77/2000 og veitir því ekki heimild til þess.
Að teknu tilliti til framangreinds er grein 2.7 í hjálögðu starfsleyfi, þar sem fjallað er um varðveislu persónuupplýsinga, svohljóðandi:
„Eyða skal upplýsingum um einstakar skuldir sé vitað að þeim hafi verið komið í skil – og um skráðan kaupmála ef þau hjón sem hann gerðu eru skilin að lögum. Þá skal eyða úr skrám fjárhagsupplýsingastofu upplýsingum, sem mæla gegn lánshæfi hins skráða, þegar þær verða 4 ára gamlar. Stofan má þó geyma upplýsingar í 3 ár til viðbótar ef þær lúta ströngum aðgangstakmörkunum og ef þess er vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn stofunnar sem þess þurfa nauðsynlega starfs síns vegna. Að þeim fresti liðnum skal þeim eytt.
Upplýsingar, sem varðveittar eru í 3 ár til viðbótar í samræmi við framangreint, má nýta til að verða við beiðnum frá skráðum einstaklingum um vitneskju um vinnslu persónuupplýsinga um sig og til að til leysa úr ágreiningi um réttmæti skráningar. Að hámarki þar til 4 ár eru liðin frá skráningu upplýsinganna er einnig heimilt að nýta þær í þágu gerðar lánshæfismats að beiðni hins skráða, enda sé ekki miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum. Önnur notkun upplýsinganna er óheimil.
Um eyðingu og leiðréttingu rangra eða villandi persónuupplýsinga gilda að öðru leyti ákvæði 5. gr. reglugerðar nr. 246/2001, en um eyðingu og bann við notkun persónuupplýsinga, sem hvorki eru rangar né villandi, fer samkvæmt 26. gr. laga um persónuvernd og meðferð persónuupplýsinga.“
5.
Fræðsluskylda
Í 7. kafla bréfs Creditinfo Lánstrausts hf. til Persónuverndar, dags. 28. október 2016, er vísað til þess að samkvæmt grein 2.3.2 í fyrrgreindu starfsleyfi, dags. 28. desember 2015, ber fyrirtækinu að senda hinum skráða fræðslutilkynningu um skráningu á lögheimili hans samkvæmt þjóðskrá en að auk þess sé heimilt að senda tilkynningu með rafrænum hætti á sérstakt og öruggt vefsvæði, s.s. í heimabanka. Þá er vísað til þess að samkvæmt grein 3.1 í starfsleyfinu skal hinum skráða send tilkynning um það að áskrifandi hafi aflað sér upplýsinga um hann eigi síðar en mánuði frá uppflettingu. Í þessu sambandi segir:
„Félagið sendir bréf til hins skráða á lögheimili vegna fyrirhugaðrar skráningar á vanskilaskrá og einnig bréf með tikynningum um uppflettingar í skrám félagsins. Bréfin eru mjög ítarleg í samræmi við kröfur um fræðsluskyldu sem eru settar fram í núverandi starfsleyfi. Bréf félagsins eru nú til endurskoðunar og óskar félagið eftir afstöðu Persónuverndar til þess hvort að vísa megi í heimasíðu félagsins varðandi réttindi hins skráða. Félagið telur að upplýsingagjöf geti með þeim hætti verið mun betri og skýrari fyrir hinn skráða enda gefur framsetning á vef mun meiri möguleika en texti á útprentuðu bréfi. Bréfin myndu bera með sér með áberandi hætti hvar mætti finna upplýsingarnar. Ákvæði í starfsleyfinu þyrftu að taka mið af þessum breytingum yrðu þær samþykktar.“
Persónuvernd sér ekkert því til fyrirstöðu að í bréfum, sem Creditinfo Lánstraust hf. sendir skráðum einstaklingum, sé vísað til fræðslu um vinnslu persónuupplýsinga á vefsíðu fyrirtækisins. Jafnframt telur Persónuvernd að í bréfunum sjálfum þurfi að vera að finna tiltekna lágmarksfræðslu, enda er ekki hægt að gera þá kröfu til einstaklinga að þeir afli sér netaðgangs. Telur stofnunin ekki tilefni til að gera breytingar á kröfum til þeirrar fræðslu frá því sem verið hefur, sbr. nú síðast grein 2.3.1 í áðurnefndu starfsleyfi, dags. 28. desember 2015, en í ljósi þess hefur hjálagt starfsleyfi að geyma samhljóða ákvæði, þ.e. í grein 2.4.1. Ekki er þar fjallað sérstaklega um hvort til viðbótar upptalningu efnisatriða, sem fram skal koma í fræðslu samkvæmt ákvæðinu, megi vísa til frekari fræðslu á umræddri vefsíðu, enda verður slíkt talið heimilt óháð skilmálum starfsleyfisins.