Creditinfo-Lánstraust ber ábyrgð á að heimild sé til vinnslu persónuupplýsinga
Fyrir liggur niðurstaða um að Creditinfo-Lánstrausti hafi verið óheimilt að reikna út og selja mat á lánshæfi manns án hans samþykkis. Fyrirtækið hafði selt umræddar upplýsingar til þriðja aðila og taldi hina heimildarlausu vinnslu vera á ábyrgð þess aðila. Í niðurstöðu Persónuverndar kemur fram að Creditinfo-Lánstrausts ber ábyrgð á þeirri vinnslu sem það sjálft framkvæmir og skal, með viðhlítandi ráðstöfunum, tryggja að heimild standi til þeirrar vinnslu sem það hefur með höndum.
Úrskurður
Hinn 22. júní 2010 fjallaði stjórn Persónuverndar um erindi í máli nr. 2010/331 og kvað upp svofelldan úrskurð:
I.
Málavextir og bréfaskipti
1.
Þann 14. apríl 2010 barst Persónuvernd bréf V (hér eftir nefndur „málshefjandi“) varðandi upplýsingar um hann sem ATOZ Alhliða viðskiptaráðgjöf sf. fékk úr svonefndu einstaklingsskori Creditinfo-Lánstrausts hf., þ.e. um útreikning á lánshæfi hans (líkur á því að nafn hans verði fært á vanskilaskrá sem fyrirtækið heldur / áhættumat ).
Áður en framangreint erindi barst Persónuvernd höfðu átt sér stað bréfaskipti vegna annars erindis málshefjanda sem tengdist miðlun persónuupplýsinga um hann frá Creditinfo-Lánstrausti hf. (mál nr. 2009/1069). Í tengslum við það mál barst Persónuvernd afrit af upplýsingum Creditinfo-Lánstraust hf. um málshefjanda. Honum var sent afritið með bréfi, dags. 29. mars 2010, og er því máli lokið.
Í framangreindu erindi, dags. 14. apríl 2010, segir m.a.:
„Ég hef loksins nú, níu mánuðum á eftir fyrirtækinu ATOZ, fengið fyrir tilstuðlan Persónuverndar tækifæri til að sjá þann spádóm sem Lánstraust/Creditinfo hefur gert um traust mitt og líkleg afdrif mín í viðskiptum á ókomnum tíma, að mér óvörum, og kýs að kalla „einstaklingsskor“. Þennan spádóm sinn hefur Lánstraust/Creditinfo gert aðgengilegan þriðju aðilum sem mér er hvorki kunnugt um hverjir né heldur hve margir, og þeir hafa tekið tilboðinu í andstöðu við vilja minn og í heimildarleysi af minni hálfu. Þetta tel ég vera með öllu ólíðandi og ósiðlegt.
Ég spyr Persónuvernd: a) Er þetta háttarlag heimilt á almennum forsendum? b) Hefur Persónuvernd veitt Lánstrausti/Creditinfo sérstakt leyfi til þessarar starfsemi? c) Ef b; Hefur þá Lánstraust/Creditinfo farið að leyfisforsendum Persónuverndar?“
Í þeim fyrri bréfaskiptum, sem áður er getið (v. máls nr. 2009/1069), kom fram hvaða upplýsingar Creditinfo-Lánstraust hf. vinnur við gerð lánshæfismats – þ.e í bréfi félagsins til Persónuverndar, dags. 14. desember 2009. Samkvæmt því byggist það mat á einstaklingum á upplýsingum úr:
skatta- og útsvarsskrá;
hlutafélagaskrá um hlutafélagaþáttöku og er þá tekið mið af áhættumati félagsins þegar viðkomandi er í stjórn þess;
þjóðskrá, en þar er nánar tiltekið um að ræða upplýsingar um fjöskyldustærð, aldur, hjúskaparstöðu og búsetu eins og fram kom í vettvangsheimsókninni;
uppflettingar á viðkomandi einstaklingum í skrá um fjárhagsmálefni og lánstraust einstaklinga, þ.e. fjölda þeirra og hverjir hafa flett viðkomandi upp, en hafi verið flett upp að tilefnislausu er ekki tekið tillit til uppflettinganna eins og fram kom í heimsókninni; og
hvort kennitala viðkomandi sé skráð í svonefnt vakthólf, sbr. 5. mgr. 5. gr. framangreinds starfsleyfis (þar sem segir að starfsleyfishafi megi veita þjónustu sem felst því að bera skilgreindar kennitölur, sem hann fær frá áskrifendum, saman við þá vanskilaskrá sem hann heldur, enda hafi áður verið tryggt að hagsmunir af samkeyrslunni vegi þyngra en grundvallarréttindi og frelsi hins skráða, sbr. 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000; tekið er fram að með vanskilavakt sé ekki átt við miðlun lista heldur þjónustu sem felst í því að fylgjast með og láta áskrifanda vita ef tiltekinn einstaklingur er færður á skrá sem starfsleyfishafi heldur).
Fram kom í vettvangsheimsókn Persónuverndar til Creditinfo-Lánstraust hf. að framangreindum upplýsingum er ekki miðlað til áskrifenda. Hins vegar er niðurstöðum lánshæfismats á grundvelli upplýsinganna miðlað. Creditinfo-Lánstraust hf. kveðst gera það skilyrði gagnvart þeim sem kaupir upplýsingar af félaginu að hann hafi aflað samþykkis hins skráða. Félagið gengur ekki sjálft úr skugga um að slíkt samþykki hafi verið veitt. Hins vegar er hinum skráða sent bréf, honum greint frá miðlun upplýsinga og bent á að hafa samband sé hann ekki samþykkur.
2.
Í bréfi málshefjanda, dags. 14. apríl 2010, eru gerðar athugasemdir við áreiðanleika upplýsinga í áhættumati sem unnið var um hann, en hann telur upplýsingar úr skatta- og útsvarsskrá ekki gefa rétta mynd af fjárhag sínum. Þá gerir hann athugasemdir við að litið sé til uppflettinga á viðkomandi einstaklingum í skrá um fjárhagsmálefni og lánstraust einstaklinga. Um það segir:
„Til að vita vissu mína um það hvort nafn mitt sé á vanskilaskrá, t.d. fyrir mistök, fékk ég viðskiptafyrirtæki, sem ég greiði með boðgreiðslum Visa sem aldrei klikka, til að fletta mér upp nú meðan ég skrifa þessar línur. Var það gild eða ógild uppfletting? Var ég e.t.v. að skerða viðskiptavild mína og lánshæfi með þeirri aðgerð?“
Einnig segir m.a. í bréfi málshefjanda:
„Ég vil hvetja Persónuvernd til að setja sig í spor mín og hvers þess sem fyrir þessari áreitni verður. Upplýsinganna er aflað án vitundar einstaklingsins, og ekki sannreynt að þær séu réttar. Á grundvelli þessara upplýsinga er settur fram spádómur um traust og líkleg viðskiptaleg afdrif einstaklingsins á ókomnum tíma. Hver er tölfræðilegur styrkur (Power) þessara ályktana? Spádómnum er síðan dreift með a.m.k. ófullkominni aðferð, ef þá nokkurri, þannig að opin leið er fyrir nánast hvern sem er að fá hann í hendur, án vitundar og gegn vilja þess sem um er fjallað. Yfirleitt eru ályktanir sem byggðar eru á röngum forsendum einnig rangar. Í því tilviki sem hér um ræðir fullyrði ég að Lánstraust/Creditinfo er að dreifa um mig heimildaskáldsögu sem byggð er á kolröngum heimildum og snýr því staðreyndum málsins á haus! Hvað mig varðar persónulega er hér um uppspunninn róg að ræða, sem er til þess eins fallinn að skaða orðspor mitt og viðskiptavild. Sjálfur spái ég illa fyrir þessu fúski.“
3.
Með bréfi, dags. 27. apríl 2010, veitti Persónuvernd Creditinfo-Lánstrausti hf. kost á að tjá sig um framangreint bréf málshefjanda. Creditinfo-Lánstraust hf. svaraði með bréfi, dags. 14. maí s.á. Þar segir:
„Vinnsla og miðlun byggir á því að hinn uppfletti gefi upplýst samþykki áður en vinnsla fer fram. Notanda er gerð afar góð grein fyrir því, áður en uppfletting getur átt sér stað, að upplýst og sannanlegt samþykki er ófrávíkjanlegt skilyrði fyrir uppflettingunni. Notandi þarf að smella á hnapp með textanum „Staðfesta heimild / Sækja áhættumat“ og loks er einnig tekið greinilega fram að hinn uppfletti fær tilkynningu um uppflettinguna, þ.e. hver fletti honum upp og hvenær. Þá eru allar uppflettingar skráðar. Fyrirkomulagið varðandi heimild til afhendingar upplýsinga til notanda er því sambærilegt og þegar stuðst er við lögmæta hagsmuni, þó þannig að í þessu tilviki er um að ræða upplýst samþykki en lögvarða hagsmuni ef sækja á upplýsingar í vanskilaskrá.
Vinnsla fer því ekki fram fyrr en heimild er staðfest af notanda.
Svarið við þeirri spurningu á hvaða grundvelli Lánstraust vann og seldi (þ.e. miðlaði) upplýsingar um áhættumat um V, verður í hans tilviki óhjákvæmilega að vinnslan var án heimildar, þar sem það liggur fyrir að hann gaf ekki samþykki sitt fyrir henni. Misnotkunin er hins vegar á ábyrgð áskrifanda, líkt og tekið er fram í samningsskilmálum félagsins við áskrifendur, sem og að misnotkunin kann að leiða af sér riftun samnings – og þar með lokun aðgangs.“
Með bréfi, dags. 27. apríl 2010, var málshefjanda veitt færi á að tjá sig um framangreint svar Creditinfo-Lánstrausts hf. Hann svaraði með bréfi, dags. 27. s.m., þar sem hann ítrekar þau atriði sem fram koma í bréfi hans til Persónuverndar, dags. 14. apríl 2010.
II.
Forsendur og niðurstaða
1.
Gildissvið laga og skilgreining hugtaka
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Leyfisskylda
Málshefjandi dregur í efa að Lánstraust hf. hafi haft leyfi Persónuverndar til vinnslu persónuupplýsinga um lánshæfi. Af því tilefni er tekið fram að viss starfsemi Creditinfo-Lánstrausts hf. fer fram á grundvelli starfsleyfis Persónuverndar. Núgildandi leyfi er dags. 11. mars 2009 (mál nr. 2008/960). Það heimilar félaginu að safna og skrá upplýsingum sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra. Starfsleyfisskyldan byggist á ákvæðum reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sem sett er með stoð í 45. gr. laga nr. 77/2000. Reglugerð nr. 246/2001 tekur ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi, sbr. 1. mgr. 1. gr. reglnanna.
Sú vinnsla sem mál þetta lýtur að tengist hins vegar útreikningi á lánshæfi. Slík vinnsla er ekki starfsleyfisskyld samkvæmt framansögðu. Reynir því ekki á ákvæði reglugerðarinnar um starfsleyfisskyldu í tengslum við umrædda vinnslu og hefur ekki verið gefið út leyfi vegna hennar. Þegar af þeirri ástæðu eru ekki forsendur til frekari umfjöllunar um það atriði hvort „Lánstraust/Creditinfo [hafi] farið að leyfisforsendum Persónuverndar“.
3.
Heimild til vinnslu
Skylda og hlutverk ábyrgðaraðila
Erindi málshefjandi lýtur í öðru lagi að vinnslu Creditinfo-Lánstrausts hf. og því hvort það „háttarlag sé heimilt á almennum forsendum“. Persónuvernd tekur ekki afstöðu til þess. Það er hins vegar hennar hlutverk að fjalla um og taka afstöðu til þess hvort tiltekin vinnsla hafi samrýmst lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Sá sem ber ábyrgð á að því að farið sé að kröfum laga nr. 77/2000 er í lögunum nefndur ábyrgðaraðili. Ábyrgðaraðili ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laganna. Bæði Creditinfo-Lánstraust hf. og ATOZ höfðu stöðu ábyrgðaraðila að því er varðar vinnslu persónuupplýsinga um lánshæfi málshefjanda. Félagið ATOZ bar ábyrgð á öflun og notkun umrædds lánshæfismats en Creditinfo-Lánstraust hf. bar ábyrgð á gerð matsins og sölu þess til annarra, þ.á m. til ATOZ. Hér er hins vegar aðeins til umfjöllunar sá vinnsluþáttur sem Creditinfo-Lánstraust hf. ber ábyrgð á.
Af hálfu Creditinfo-Lánstrausts hf. hefur verið staðfest að ekki var heimild til vinnslu persónuupplýsinga um lánshæfi málshefjanda, V. Er því ekki ágreiningur um það atriði. Af hálfu félagsins hefur því þó vegar verið haldið fram að „misnotkunin“ sé ekki á þess ábyrgð heldur áskrifanda, þ.e. ATOZ. Það er hins vegar hlutverk og skylda Creditinfo-Lánstrausts hf. sem ábyrgðaraðila vinnslu gagna um lánshæfi tiltekins einstaklings að tryggja sjálft með viðhlítandi ráðstöfunum að heimild standi til þeirrar vinnslu sem það framkvæmir. Umrædd vinnsla var á þess ábyrgð og bar því sjálfu að ganga úr skugga um að vinnslan væri heimil. Tekið er fram að ákvæði gildandi starfsleyfis að því er varðar sérstaka samningsskilmála við áskrifendur ná ekki til skýrslna um áhættumat á einstaklingum.
Úrskurðarorð
Gerð Lánstrausts/Creditinfo hf. á áhættumati um V, þ.e. á líkunum á því að nafn hans yrði fært á skrá fyrirtækisins um fjárhagsmálefni og lánstraust einstaklinga, og miðlun þess mats til ATOZ Alhliða viðskiptaráðgjar sf., án hans samþykkis, samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Creditinfo-Lánstrausts hf. bar ábyrgð á vinnslu félagsins á persónuupplýsingum um V, og að það hefði heimild til þeirrar vinnslu.