Notkun áhættumats hjá banka - mál nr. 2014/888
Persónuvernd hefur tekið ákvörðun um að ráðgerðar samkeyrslur hjá lánshæfisfyrirtæki og skráning niðurstaðna úr þeim hjá banka samrýmist ekki persónuverndarlögum.
Ákvörðun
Hinn 17. september 2014 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2014/888:
I.
Bréfaskipti
1.
Persónuvernd barst tilkynning hinn 3. júní 2014 (nr. S6878) frá Arion-banka hf. Þar kemur fram að aflað verði svonefnds CIP-lánshæfismats frá Creditinfo-Lánstrausti hf. um alla viðskiptamenn bankans án þess að samþykkis þeirra sé aflað. Með bréfi til bankans og Creditinfo-Lánstrausts hf., dags. 6. júní 2014, óskaði Persónuvernd þess að:
1. nákvæmlega yrði sundurliðað á hvaða upplýsingum lánshæfismatið myndi byggjast; og
2. upplýst yrði hvers vegna talið væri, í ljósi þeirra upplýsinga sem lánshæfismat styðst við, að ekki þyrfti samþykki til vinnslu persónuupplýsinga í tengslum við matið.
2.
Arion-banki hf. svaraði með bréfi, dags. 25. júní 2014. Þar segir meðal annars:
„Arion-banki telur ekki þörf á að afla samþykkis fyrir vinnslunni þar sem heimildir laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga („pvl.“) fyrir vinnslu persónuupplýsinga eru fyrir hendi. Nánar tiltekið byggir heimild til vinnslunnar á því að vinnslan sé nauðsynleg annars vegar til að bankinn geti fullnægt lagaskyldu sem á honum hvílir og hins vegar til að bankinn geti gætt lögmætra hagsmuna sinna, sbr. 3. og 7. tl. 1. mgr. 8. gr. pvl.“
Þá segir:
„Hvað varðar heimild á grundvelli 3. tl. 1. mgr. 8. gr. pvl. telur bankinn vinnsluna nauðsynlega m.a. til að uppfylla þau ströngu skilyrði laga nr. 161/2002, um fjármálafyrirtæki (ffl.) hvað varðar eftirlitskerfi með áhættu. Skulu þar sérstaklega nefnd lagaákvæði og reglur er varða stórar áhættur, lausafjáráhættu og rekstraráhættu. Í þeim efnum vísar bankinn m.a. til tilskipunar nr. 2006/48/EB um stofnun og rekstur lánastofnana („bankatilskipunin“), sem lög um fjármálafyrirtæki byggja m.a. á. Bankinn undirbúr nú að auki notkun svokallaðrar „Internal Ratings Based Approach“ („IRB“) í mati á útlánasafni sínu. Í d-lið 2. mgr. 48. gr. bankatilskipunarinnar er kveðið á um að lánastofnanir sem noti þá aðferð þurfi að safna og geyma allar upplýsingar sem skipta máli við mat á útlánasafni sínu […].“
Að auki segir að Fjármálaeftirlitið geri kröfu til þess að fjármálafyrirtæki búi yfir öflugu eftirlitskerfi með áhættu og framkvæmi reglulega úttektir þar sem áhætta sé könnuð. Séu kröfur til þess að aukast eins og sjá megi af nýrri bankatilskipun ESB nr. 2013/36/ESB sem nú sé verið að innleiða í íslenskan rétt. Önnur ákvæði laga og reglna feli einnig í sér skyldu fjármálafyrirtækja til að fylgjast með áhættu innan þeirra og megi þar meðal annars nefna reglur um eiginfjárkröfur og áhættugrunn fjármálafyrirtækja, sbr. reglur Fjármálaeftirlitsins nr. 625/2013 um áhættuskuldbindingar, sem og reglur þess nr. 1250/2012 um viðbótareiginfjárliði fyrir fjármálafyrirtæki. Til þess að uppfylla þessar lagaskyldur sé bankanum nauðsynlegt að hafa tilteknar upplýsingar um viðskiptavini sína. Í ljósi þess telji bankinn nauðsynlegt að afla upplýsinga frá þriðja aðila, enda komi slíkt til með að styrkja mat bankans verulega og koma þannig til móts við strangar kröfur löggjafar á fjármálaþjónustumarkaði og eftirlitsaðila.
Einnig segir:
„Jafnframt telur bankinn að vinnslan sé honum nauðsynleg til að gæta lögmætra hagsmuna sinna og að grundvallarréttindi og frelsi þeirra sem upplýsingarnar varða vegi ekki þyngra, sbr. 7. tl. 1. mgr. 8. gr. pvl. Í þessum efnum vísar bankinn til þess að í 49. mgr. 4. hluta viðauka VII (Minimum requirements for IRP Approach) við bankatilskipunina kemur jafnframt fram að því færri gögn sem mat bankans byggir á, því varfærnara þurfi matið að vera og hefur bankinn því mikla hagsmuni af því að mat hans sé sem nákvæmast.“
Í þessu sambandi segir einnig að bankinn hafi hagsmuni af því að mat hans sé sem nákvæmast svo að áhættustýring, lánaákvarðanir og framboð á vöruúrvali til tiltekinna viðskiptavina grundvallist á réttum forsendum, en viðskiptavinir bankans hafi sjálfir ríka hagsmuni af slíku. Þá segir að grundvallarréttindi og frelsi viðskiptavina bankans ættu ekki að standa í vegi fyrir vinnslunni þar sem hann framkvæmi nú þegar lánshæfismat á viðskiptavinum sínum og sé einungis einni breytu bætt við það mat. Það verði því nákvæmara en ella, en þeim mun nákvæmara sem áhættumat sé, þeim mun betri verði áhættustýring bankans og ákvarðanataka tengd viðskiptum við viðskiptavini hans. Með þessu eigi bankinn einnig auðveldara með að greina lánveitingar sem krefjist aukinnar athygli og hversu áhættusamar tilteknar lánveitingar séu.
Tekið er fram í bréfi Arion-banka hf. að hann muni ekki fá afhentar þær upplýsingar sem umrætt áhættumat byggist á. Hann fái aðeins í hendur tölugildi fyrir viðskiptavini bankans sem eingöngu verði nýtt til að styrkja lánshæfismat bankans og þar með uppfylla lagakröfur til eftirlitskerfa með áhættu.
3.
Creditinfo-Lánstraust hf. svaraði með bréfi, dags. 26. júní 2014. Þar segir meðal annars:
„Lánshæfismat Creditinfo metur líkur á að einstaklingar lendi í alvarlegum vanskilum á næstu 12 mánuðum (Probability of Default) og fullnægir þannig m.a. kröfum laga nr. 32/2013 um neytendalán. Þær breytur sem lánshæfismatið notar eru eftirfarandi:
- Aldur (opinberar upplýsingar).
- Búseta (póstnúmer).
- Hjúskaparstaða.
- Uppflettingar í vanskilaskrá síðustu 12 mánuði.
- Ástæður uppflettinga.
- Fjöldi uppflettinga.
- Fjöldi lögheimilisbreytinga.
- Hversu margir eru að vakta viðkomandi í vanskilaskrá.
- Útsvar.
- Auðlegðarskattur.
- Vaxtabætur.
- Vanskilaskráningar síðustu 48 mánuði.
- Vanskilaskráningar tengdra félaga í gegnum stjórnarsetu og framkvæmdastjórn.
- Áhættumat tengdra félaga í gegnum stjórnarsetur og framkvæmdastjórn.
- Greiðsluhegðun tengdra félaga í gegnum stjórnarsetur og framkvæmdastjórn.
Hver breyta hefur mismikið vægi og kann vægi einstakra þátta að taka breytingum í þeim tilgangi að bæta spágetu matsins. Þær breytur sem tengjast vanskilum og innheimtum hafa langmest áhrif til lækkunar á lánshæfismati.“
Þá segir að samkvæmt áreiðanleikaprófunum sé spágeta umrædds áhættumats mjög góð. Hún sé mæld með svokölluðum GINI-stuðli og fái samkvæmt honum einkunnina 82,2, en algengt sé að spálíkön, sem mæli líkur á vanskilum, fái einkunn á bilinu 40–60. Einnig segir:
„Þróun og prófanir á lánshæfismatinu eru framkvæmdar með ópersónugreinanlegum gögnum sem eru tengd saman með einkvæmu númeri. Þegar viðskiptavinir Creditinfo sækja lánshæfismat á vefsvæði félagsins, á grundvelli upplýsts samþykkis hins skráða, þá er lánshæfismat viðkomandi reiknað á grundvelli ofangreindra breyta.“
Auk þess segir að ofangreindar breytur komi ekki fram í niðurstöðu hjá notanda og verði ekki afhentar Arion-banka hf. Hins vegar fái bankinn í hendur fjölda áhættustiga frá 0–400 fyrir hvern viðskiptamann, áhættuflokk A, B, C, D eða E ásamt stigi innan þess flokks á bilinu 1–3, sem og prósentulíkur á vanskilum næstu 12 mánuði, reiknaðar út frá fjölda áhættustiga. Þá fái bankinn samanburði við meðaltal fyrir hvern viðskiptamann og dagsetningu mats sem auðkennt sé með nafni og kennitölu viðkomandi. Undir engum kringumstæðum geti bankinn kannað hvaða upplýsingar ráði niðurstöðum matsins sem sé endurskoðað að minnsta kosti einu sinni á ári út frá sögulegum gögnum um vanskil.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Vinnsla persónuupplýsinga í tengslum við gerð áhættumats verður að fullnægja öllum kröfum laga nr. 77/2000. Það felur m.a. í sér að fullnægt þarf að vera einhverju skilyrðanna í 1. mgr. 8. gr. laganna eins og ávallt við vinnslu persónuupplýsinga. Eftir atvikum geta þar átt við ákvæði 1. eða 2. tölul. ákvæðisins, þess efnis að vinna má með persónuupplýsingar á grundvelli samþykkis hins skráða eða þegar vinnsla telst nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Eins og hér háttar til er ekki ráðgert að leita til hinna skráðu, en af því leiðir að umrædd vinnsla myndi hvorki grundvallast á samþykki þeirra né beiðni í aðdraganda samnings. Hins vegar reynir á hvort um sé að ræða ráðstöfun sem nauðsynleg er til efnda á samningum við viðskiptavini bankans. Í því sambandi ber að líta til athugasemda við 2. tölul. 1. mgr. 8. gr. í greinargerð með því frumvarpi sem varð að lögum nr. 77/2000, en þar segir að í tengslum við efndir samnings við hinn skráða megi viðhafa nauðsynlega vinnslu, s.s. á pöntunum, reikningum og kvittunum. Líta verður svo á að vinnsla verði að hafa nokkuð náin tengsl við tiltekin samning og efndir hans. Hér er hins vegar um að ræða vinnslu í þágu almenns markmiðs, þ.e. að meta áhættu í heildarstarfsemi Arion-banka, sem ekki tengist samningum við einstaka viðskiptamenn með beinum hætti. Verður vinnslan því ekki álitin heimil á þeim grundvelli að hún teljist nauðsynleg vegna samningsefnda.
Af hálfu Arion-banka hf. hefur komið fram að hann álíti vinnsluna styðjast við 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um heimild til vinnslu á grundvelli lögmætra hagsmuna sem vega þyngra en grundvallarréttindi og frelsi hins skráða. Þá telur bankinn vinnsluna einnig styðjast við 3. tölul. sömu málsgreinar, þess efnis að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu. Eins og rakið er í svörum bankans, sem að framan eru rakin, hvíla á honum skyldur að lögum til að meta áhættu, sbr. einkum 17. gr. laga nr. 161/2002 um fjármálafyrirtæki þar sem fjallað er um eftirlitskerfi í því sambandi. Hvorki þar né annars staðar, s.s. í lögum nr. 77/2000, er kveðið á um skyldu til samkeyrslna við gögn úr vanskilaskráningu. Slík skráning fram fer á grundvelli starfsleyfis Persónuverndar samkvæmt 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sbr. 45. gr. laga nr. 77/2000. Að baki þessum lagaramma um skráninguna, sem í eðli sínu telst vera íþyngjandi gagnvart hinum skráðu, býr það mat að vegna þjóðfélagslegra hagsmuna sé nauðsynlegt að unnt sé að meta lánshæfi manna þegar stofnað er til viðskipta þar sem slíkt hefur þýðingu. Eins og fyrr er lýst er hér hins vegar um að ræða samkeyrslur í þágu almennra markmiða sem fela meðal annars í sér að á grundvelli upplýsinga, sem skráðar eru í vanskilaskráningu, séu mönnum án samþykkis þeirra eða beiðni gefnar einkunnir sem sýna eigi fram á hversu mikið fjárhagslegt traust megi bera til þeirra. Í ljósi grunnreglu 71. gr. stjórnarskrárinnar um friðhelgi einkalífs ber að líta svo á að sérstaka lagaheimild þurfi til slíkrar vinnslu, en eins og áður hefur verið lýst er slík lagaheimild ekki til staðar, sbr. og ákvörðun Persónuverndar, dags. 12. október 2011, í máli nr. 2011/968, sem og úrskurð stofnunarinnar, dags. 22. júní 2010, í máli nr. 2010/331.
Í ljósi framangreinds teljast fyrirhugaðar samkeyrslur hjá Creditinfo-Lánstrausti hf. og skráning niðurstaðna úr þeim hjá Arion-banka hf. ekki samrýmast lögum nr. 77/2000.
Á k v ö r ð u n a r o r ð:
Ráðgerðar samkeyrslur hjá Creditinfo-Lánstrausti hf. og skráning niðurstaðna úr þeim hjá Arion-banka hf. samkvæmt tilkynningu, sem Persónuvernd barst hinn 3. júní 2014 (nr. S6878), samrýmast ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.