Sala upplýsinga um áhættumat á einstaklingum
Reykjavík, 12. október 2011
Ákvörðun
Hinn 12. október 2011 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2011/968:
I.
Bréfaskipti
Persónuvernd vísar
til bréfs Creditinfo Lánstrausts hf., dags. 9. september 2011, varðandi
sölu upplýsinga um áhættumat sitt á einstaklingum. Í bréfinu segir:
„Creditinfo Lánstraust hf. (hér eftir félagið) vísar til úrskurðar Persónuverndar í máli nr. 2010/331 þar sem stofnunin komst að þeirri niðurstöðu að félagið hafi borið ábyrgð á því að vinnsla um lánshæfi (áhættumat) hafi ekki byggst á upplýstu samþykki áskrifanda félagsins. Í rökstuðningi stofnunarinnar var vísað til þess að félagið bæri ábyrgð á því að gripið væri til viðhlýtandi ráðstafana til að fyrirbyggja misnotkun.
Félagið hefur nú ákveðið að bjóða umrædda þjónustu aðeins til fyrirtækja er lúta eftirlitsvaldi FME, þ.e. fjármálafyrirtækja, í ljósi þess að í lögum er kveðið á um ríkar skyldur um aðgang starfsmanna þeirra að upplýsingum um viðskiptavini, sbr. t.d. 19.b og 58. gr. laga nr. 161/2002. Brjóti starfsmenn fjármálafyrirtækis þær reglur sem viðkomandi fjármálafyrirtæki hafa sett og lúta að upplýsingum um viðskiptamenn, þá getur slíkt varðað tilfærslu og/eða brottvikningu úr starfi.
Félagið mun eftir sem áður senda tilkynningu til hins skráða ef fjármálafyrirtæki hefur skoðað áhættumat hlutaðeigandi hjá félaginu. Slíkt er til þess fallið að fyrirbyggja heimildarlausa notkun og tryggir algert gagnsæi í umræddri vinnslu.
Með þessari breytingu verður framkvæmdin sú sama og í tilviki svokallaðs FE-yfirlits Reiknistofu bankanna. Þá er framkvæmdin jafnframt að þessu leyti í samræmi við notkun svokallaðs Skuldastöðukerfis skv. 3. gr. starfsleyfis félagsins þar sem hinum skráða er tilkynnt um uppflettingu sem framkvæmd er á grundvelli upplýsts samþykkis.“
Í bréfi Creditininfo Lánstrausts hf.
er vísað til 1. mgr. 8. gr. tilskipunar Evrópusambandsins nr.
2008/48/EB um neytendalán, en þar er mælt fyrir um skyldu til að tryggja
að áður en lánssamningur er gerður sé lánshæfi neytanda metið á
grundvelli fullnægjandi upplýsinga. Með vísan til þess ákvæðis segir í
bréfi félagsins:
„Þrátt fyrir að framangreind tilskipun hafi ekki verið innleidd í íslenskan rétt þá telur félagið að túlka beri íslensk lög með hliðsjón af framangreindu ákvæði. Af því leiðir að fjármálafyrirtæki ber að afla upplýsinga frá neytanda eða þriðja aðila til að meta lánshæfi hlutaðeigandi. Telur félagið að neytandinn hafi val um það að afla slíkra gagna sjálfur eða veita fjármálafyrirtæki heimild til að sækja slíkar upplýsingar á grundvelli upplýsts samþykkis. Fjármálafyrirtæki munu hins vegar ekki geta látið hjá líða að afla slíkra upplýsinga þar sem slíkt slíkt gæti verið metið sem óábyrg lánveiting […].“
Vísað er til 26. gr. inngangsorða
umræddrar tilskipunar um neytendalán í tengslum við framangreint. Nánar
tiltekið er vísað til þess að samkvæmt ákvæðinu eiga aðildarríki að
stuðla að ábyrgum starfsháttum á öllum stigum lánastarfsemi, vara
neytendur við þeirri áhættu sem fylgir of mikilli skuldasöfnun, girða
fyrir að lánveitendur stundi óábyrga lánastarfsemi eða veiti lán án þess
að hafa áður fengið mat á lánshæfi, stuðla að því að lánveitendur beri
ábyrgð á að lánshæfi neytenda sé athugað í hverju einstöku tilviki og
sjá til þess að lánveitendur geti ekki aðeins notað upplýsingar, sem
neytandi veitir, meðan á undirbúningi viðkomandi lánssamnings stendur
heldur einnig á meðan langvarandi viðskiptasamband varir.
Í niðurlagi bréfsins segir:
„Það er von félagins að fyrrgreint fyrirkomulag teljist tilhlýðilegt að mati Persónuverndar og sé í samræmi við góða viðskiptahætti enda er notkun áhættumats til þess fallin að draga úr skuldsetningu umfram greiðslugetu […].“
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð
persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið
Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar
rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra
upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar
eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e.
upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings,
látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver
aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort
heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í
athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr.
77/2000, kemur fram að hver sú aðferð, sem nota má til að gera
upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál
þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið
Persónuverndar.
2.
Söfnun og skráning upplýsinga, sem varða
fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim
til annarra, þarf að byggjast á starfsleyfi Persónuverndar. sbr. 1. mgr.
2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um
fjárhagsmálefni og lánstraust sem sett er með stoð í 45. gr. laga nr.
77/2000 um persónuvernd og meðferð persónuupplýsinga. Starfsemi
Creditinfo Lánstrausts hf. fellur að miklu leyti undir framangreind
ákvæði og hefur Persónuvernd veitt félaginu leyfi í samræmi við þau,
sbr. nú leyfi, dags. 10. maí 2011 (mál nr. 2010/1029). Varðandi þá
vinnslu, sem um ræðir í máli þessu, verður hins vegar að líta til 1.
mgr. 1. gr. áðurnefndrar reglugerðar, en þar segir að hún taki ekki til
starfsemi sem felst í útgáfu skýrslna um lánshæfi. Gerð áhættumats, sem
felur í sér gerð slíkra skýrslna, er því ekki leyfisskyld. Hún er hins
vegar tilkynningarskyld og ber félaginu að senda um hana sérstaka
tilkynningu í samræmi við 31. gr. laga nr. 77/2000.
3.
Vinnsla
persónuupplýsinga í tengslum við gerð áhættumats verður að fullnægja
öllum kröfum laga nr. 77/2000. Það felur m.a. í sér að fullnægt þarf að
vera einhverju skilyrðanna í 1. mgr. 8. gr. laganna eins og ávallt við
vinnslu persónuupplýsinga. Verði slíkt áhættumat lögskylt gæti 3.
töluliður 1. mgr. 8. gr. átt við. Þá getur, að því marki sem umsækjandi
um neytendalán á í raun val um það hvort áhættumat fari fram, komið til
skoðunar að grundvalla slíka vinnslu á ákvæði 1. tölul. 1. mgr. 8. gr.
Verður samþykki þá í raun að vera upplýst, frálst og ótvírætt. Í öðrum
tilvikum kemur til álita ákvæði 2. tölul. 1. mgr. 8. gr. um vinnsla
persónuupplýsinga sem er heimil sé hún nauðsynleg til að efna samning
sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins
skráða áður en samningur er gerður.
Í 1. mgr. 8. gr.
Evróputilskipunar nr. 48/2008/EB, um neytendalánasamninga, er mælt fyrir
um skyldu til að tryggja að áður en lánssamningur sé gerður sé lánshæfi
neytanda metið á grundvelli fullnægjandi upplýsinga. Tilskipunin hefur
ekki verið innleidd í íslenskan rétt, en hún hefur hins vegar verið
tekin upp í EES-samninginn, sbr. gr. 7h í XIX. viðauka við samninginn,
sbr. ákvörðun Sameiginlegu EES-nefndarinnar nr. 16/2009 frá 19. mars
2009. Hvílir því sú skylda á Íslandi að laga íslenskan rétt að
tilskipuninni. Að því marki er litið til hennar við úrlausn máls þessa.
Að virtum efnislegum ákvæðum tilskipunar 48/2008/EB, og þeim
sjónarmiðum sem hún byggist á og fram koma í formálsorðum hennar, telur
Persónuvernd mega fallast á það að gerð áhættumats, til að undirbúa
samning um neytendalán geti uppfyllt skilyrði 2. tölul. 1. mgr. 8. gr.
laga nr. 77/2000, enda sé hún nauðsynleg ráðstöfun til að undirbúa
samningsgerð við hinn skráða og fari fram að hans ósk.
4.
Í
1. mgr. 7. gr. laga nr. 77/2000 er mælt fyrir um grunnkröfur um gæði
gagna og vinnslu sem ávallt þarf að vera fullnægt við vinnslu
persónuuplýsinga. Þar er m.a. mælt fyrir um. að persónuupplýsingar skuli
unnar með sanngjörnum, málefnalegum og lögmætum hætti og vera í samræmi
við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að
persónuupplýsingar skuli fengnar í yfirlýstum, skýrum, málefnalegum
tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2.
tölul.); að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki
umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.);
og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en
persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við
tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.).
Í
sanngirnisreglu 1. töluliðar 7. gr. felst m.a. að við vinnslu
persónupplýsinga skal þess gætt að hún sé gagnsæ gagnvart hinum skráða.
Til samræmis er mælt fyrir um fræðsluskyldu ábyrgðaraðila í 20. og 21.
gr. Saman leiða þær til þeirrar niðurstöðu að gera þarf hinum skráða
aðvart og veita honum fræðslu til tryggja sanngjarna vinnslu. Þá er
sérregla um aðvaranir í 23. gr. laga nr. 77/2000. Hún á við þegar
persónusnið er lagt til grundvallar við töku sértækra ákvarðana, en
ákvarðanir um lánveitingar teljast til slíkra ákvarðana. Ákvæðið á við
þegar persónusnið er lagt til grundvallar við töku ákvörðunar, en jafna
má notkun áhættumats til þess. Á grundvelli 2. tölul. 1. mgr. þeirrar
greinar skal gera hinum skráða viðvart og hvílir skyldan til þess á
ábyrgðaraðila.
5.
Með ábyrgðaraðila er átt við þann sem
ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er,
aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2.
gr. laga nr. 77/2000.
Lánveitendur eiga samskipti við hinn
skráða og bera ábyrgð á samningsgerð við hann. Þeir eru ábyrgðaraðilar
þeirrar vinnslu persónuupplýsinga sem fram fer um hinn skráða á þeirra
vegum og er þeim nauðsynleg í þágu samningsgerðarinnar. Þeir skulu ganga
úr skugga um að umrædd ráðstöfun, þ.e. öflun áhættumats, fari fram að
beiðni hins skráða vegna samningsgerðarinnar og tryggja að fyrir liggi
gögn þar að lútandi. Þá skulu þeir, sbr. 2. tl. 1. mgr. 23. gr., tryggja
að hinn skráði fái fullnægjandi fræðslu um það hvaða upplýsingar
lánveitandinn noti og hvaðan þær komi - m.a. um öflun áhættumats frá
Creditinfo Lánstrausti hf.
Ljóst er að Creditinfo Lánstraust
hf. tekur einnig veigamiklar ákvarðanir um vinnsluna. Það ákveður á
hvaða staðreyndum mat þess byggist og ber ábyrgð á gæðum þess og
áreiðanleika. Í þeim skilningi hefur félagið einnig stöðu ábyrgðaraðila í
skilningi laga nr. 77/2000. Því ber þ.a.l. að ganga úr skugga um að
heimild standi til vinnslu og óska stafestingar frá lánveitanda um að
öflun mats byggist á beiðni hins skráða. Þá ber félaginu, sbr. 2. tl. 1.
mgr. 23. gr., að senda hinum skráða tilkynningu um að það hafi gert mat
á honum og bjóða honum að fá afrit af því.
Á l i t s o r ð:
Vinnsla
persónuupplýsinga í tengslum við gerð áhættumats á manni, sem sótt
hefur um neytendalán til fyrirtækis er lýtur eftirlitsvaldi FME, getur
átt sér stoð í 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000, enda fari
vinnslan fram að beiðni hins skráða áður en samið er við hann um
lánveitinguna og hann fengið viðhlítandi fræðslu um vinnsluna.
Lánveitandi skal veita hinum skráða fullnægjandi fræðslu, þ. á m. um
notkun áhættumats og hvaðan það komi. Creditinfo Lánstraust hf. ber
ábyrgð á gæðum áhættumats og áreiðanleika. Því ber að gera hinum skráða
aðvart um að það hafi gert áhættumat á honum og bjóða honum að fá afrit
af því.
Creditinfo Lánstraust hf. ber að senda Persónuvernd
tilkynningu um gerð áhættumats í samræmi við 31. gr. laga nr. 77/2000.
Sama á við um einstaka lánveitendur sem afla slíkra persónuupplýsinga um
einstaklinga og vinna með þær.