Úrlausnir

Uppfletting í vanskilaskrá óheimil

9.6.2015

Persónuvernd hefur úrskurðað að bílasölu hafi verið óheimilt að fletta einstaklingi upp í vanskilaskrá. Þá var því beint til bílasölunnar að senda Persónuvernd skriflega lýsingu á því hvernig tryggt yrði framvegis að uppflettingar í skránni samrýmdust lögum.

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 29. maí 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/394:

 

I.

Grundvöllur máls

Málavextir og bréfaskipti

 

1.

Tildrög máls

Þann 27. febrúar 2015 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), vegna uppflettingar Brimborgar ehf. í vanskilaskrá Creditinfo Lánstrausts hf. (hér eftir Creditinfo) um hann. Beindist kvörtunin einnig að Creditinfo fyrir að hafa miðlað persónuupplýsingum um hann til Brimborgar ehf. úr vanskilaskrá.

Í kvörtuninni segir m.a. að móðir kvartanda hafi falið honum, með umboði, að annast kaup á bifreið hjá Brimborg. Kvartandi hafi tekið skýrt fram við starfsmenn Brimborgar að hann yrði aldrei kaupandi og tækist því ekki á hendur neinar ábyrgðir af neinum toga í tengslum við umrædd bifreiðakaup, heldur væri hann einungis milligöngumaður með skriflegu umboði frá móður sinni. Þrátt fyrir framangreint hafi Brimborg flett kvartanda upp í vanskilaskrá Creditinfo. Var kvartanda ekki kunnugt um uppflettinguna fyrr en honum barst bréf Creditinfo þar að lútandi, dags. 4. febrúar 2015.

Telur kvartandi að engin heimild hafi verið veitt af hans hálfu fyrir uppflettingunni auk þess sem Brimborg hafi aldrei gefið til kynna að félagið gæti þurft að afla slíkra upplýsinga um hann.

Í kvörtuninni vísar kvartandi jafnframt til ódagsetts svars sem honum barst frá Creditinfo vegna málsins. Í svarinu segir að uppfletting Brimborgar í vanskilaskrá hafi verið óheimil. Þá segir að Creditinfo fari eftir tilteknum verklagsreglum ef í ljós kemur að félag með aðgang hefur flett upp aðila án lögvarinna hagsmuna. Greinir Creditinfo næst frá því hvað felist í slíkum verklagsreglum. Leiðbeinir loks Creditinfo kvartanda um að leita til Persónuverndar vegna málsins telji hann þörf á.

2.

Bréfaskipti við Brimborg ehf., Creditinfo Lánstraust hf. og kvartanda

Með bréfi, dags. 5. mars 2015, var Brimborg ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf [X], hrl., f.h. Brimborgar ehf., dags. 11. mars 2015, barst Persónuvernd sama dag.

Um málavexti segir meðal annars í svarbréfinu:

„Umbjóðandi minn telur málið að fullu upplýst. Það liggur fyrir að starfsmaður hans fletti upp nafni kvartanda án tilskilinnar heimildar skv. skilmálum Creditinfo Lánstrausts hf.

Mistökin fólust í því að viðkomandi starfsmaður taldi ranglega að hann gæti flýtt fyrir bílaviðskiptum, sem kvartandi annaðist milligöngu um, með því að kanna greiðsluhæfi kvartanda. Þetta hefur verið útskýrt í símtölum og tölvupóstum til kvartanda og hann beðinn afsökunar.“

Í svarbréfinu segir einnig eftirfarandi:

„Viðbrögð kvartanda við skýringum og afsökunarbeiðnum umbj. míns hafa verið með miklum ólíkindum líkt meðfylgjandi tölvupóstur frá 27. febrúar sl. ber vitni um.[...]

Viðbrögð kvartanda eru ekki í samræmi við tilefnið og hann færir engin rök fyrir því að hann hafi orðið fyrir tjóni eða óhagræði venga umræddra mistaka. Hann vísar aðeins almennt til laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Ekki er ljóst hvaða ákvæði laganna kvartandi telur umbj. minn hafa brotið og hverjar afleiðingarnar ættu að vera.

Umbj. minn á þannig óhægt um vik að svara fyrir hugsanleg brot á einstökum lagagreinum persónuverndarlaga en telur ekkert tilefni til aðgerða af hálfu Persónuverndar vegna umrædds atviks.“

Með bréfi, dags. 12. mars 2015, var Creditinfo boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf Creditinfo, dags. 27. mars 2015, barst Persónuvernd þann sama dag.

Í svarbréfinu segir m.a. eftirfarandi um lögmæti uppflettingar Brimborgar í vanskilaskrá þann 23. janúar 2015:

„Í kjölfar kvörtunar málshefjanda sendi Creditinfo Brimborg fyrirspurn þar sem óskað var eftir upplýsingum um þá lögvörðu hagsmuni sem legið hafi að baki umræddrar uppflettingar í vanskilaskrá. Svar barst frá Brimborg næsta dag - sent samtímis til málshefjanda og Creditinfo - og þar kom greinilega fram að engir lögvarðir hagsmunir bjuggu að baki uppflettingunni. Creditinfo telur því óumdeilt að umrædd uppfletting Brimborgar hafi verið óheimil skv. samningsskilmálum aðila.“

Þá segir m.a. eftirfarandi í svarbréfinu um ráðstafanir Creditinfo í kjölfar atviksins:

„Í kjölfar framangreinds tilkynnti Creditinfo Brimborg um neðangreint:

·   Uppflettingin var án nokkurs vafa óheimil;

·   Atvikið verður þar af leiðandi sett á athugasemdaskrá, og Creditinfo áskilur sér rétt til að grípa til frekari ráðstafana ef athugasemdum vegna óréttmætra uppflettinga fjölgar umfram það sem eðlilegt má teljast (Creditinfo miðar við næstu 12 mánuði frá áminningu);

·   Atvikið gefur Brimborg jafnframt tilefni til að fara vandlega yfir samningsskilyrði svo þeim starfsmönnum félagsins sem hafa aðgang að vanskilaskrá sé fullkunnugt um hvenær þeir hafi heimild, skv. lögvörðum hagsmunum Brimborgar, til að fletta aðilum upp og hvenær ekki.

Framangreindar ráðstafanir Creditinfo eru í samræmi við fyrirmæli Persónuverndar í eldri starfsleyfum félagsins þar sem finna mátti útlistun á því hvernig stofnunin taldi rétt að félagið brygðist við ólögmætri uppflettingu. Í þeim var kveðið á um áminningu, hækkun samningsgjalds og/eða lokun aðgangs. Þrátt fyrir að Persónuvernd hafi talið rétt að fella umrædd ákvæði úr starfsleyfi Creditinfo þá hefur félagið kosið að fylgja þeim línum sem þar voru lagðar enda lagaramminn óbreyttur hvað þetta varðar.

[...] Creditinfo stendur við þau orð sín að í þessu tilviki gaf atvikið hvorki ástæðu til að kæra Brimborg til lögreglu, né að loka alfarið fyrir aðgang félagsins að vanskilaskrá. Þannig var hér um að ræða einangrað tilvik hjá Brimborg enda hefur félagið ekki verið uppvíst að ólögmætri uppflettingu á síðustu 12 mánuðum (og mun lengra aftur í tímann sé út í það farið). [...] Í þeim tilvikum þar sem í ljós kemur að upplýsingar voru sóttar í heimildaleysi miða ráðstafanir Creditinfo í upphafi við að áminna og leiðbeina um reglur um notkun, líkt og fram hefur komið, þ.e. ef brot á samningsskilmálum sé ekki þeim mun alvarlegra. Þyngri ráðstafanir koma því til ef þessar upphafsráðstafanir nægja ekki til að fara eftir samningsskilmálum, sbr. 2.8. gr. í starfsleyfi Creditinfo.“

Með bréfum, dags. 12. og 27. mars 2015, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar [X], hrl., f.h. Brimborgar, og skýringar Creditinfo til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993.

Svarbréf kvartanda, dags. 1. apríl 2015, barst Persónuvernd þann sama dag. Þar segir m.a. að kvartandi telji það sannað að honum hafi með ólögmætum hætti verið flett upp í vanskilaskrá og þannig hafi verið brotið gróflega gegn rétti hans. Einnig telur hann að kæra beri málið til lögreglu. Þá telur hann að ekkert liggi fyrir um að Creditinfo hafi áminnt Brimborg eða starfsmenn þess og engin slík staðfesting eða tilkynning hafi borist honum. Loks áskilur kvartandi sér rétt til að krefjast bóta vegna þeirrar vinnu sem málareksturinn hafi kallað á.

Með tölvupósti mótteknum þann 7. apríl 2015 bárust frekari athugasemdir frá kvartanda. Þar segir m.a. að hann telji það sæta furðu að ekki hafi verið lokað fyrir aðgang Brimborgar að vanskilaskrá í ljósi þess að félagið hafi viðurkennt brot sitt. Þá hafi hann grun um að sá starfsmaður Brimborgar sem fletti honum upp í vanskilaskrá hafi einnig miðlað þeim til þriðja aðila. Einnig telur kvartandi að þær skýringar Brimborgar og Creditinfo, að um einangrað tilvik hafi verið að ræða, séu ekki réttar, enda séu félögin með þessu einungis að vísa til að ekki hafi á síðustu 12 mánuðum verið kært eða kvartað undan lögbrotum Brimborgar. Því ætti að rannsaka það sérstaklega með því að skoða aðgerðarskráningar Brimborgar til þess að kanna hvort fleiri sambærileg brot hafi verið framin.

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af framangreindu er ljóst að sú aðgerð, að fletta kvartanda upp í vanskilaskrá Creditinfo, felur í sér vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Creditinfo vera ábyrgaraðili vanskilaskrár, en Brimborg telst vera ábyrgðaraðili að þeirri vinnslu sem kvörtunin varðar, þ.e. uppflettingunni í vanskilaskrá um kvartanda.

2.

Lögmæti uppflettingar Brimborgar í vanskilaskrá

Í 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga er mælt fyrir um hvenær vinna má með persónuupplýsingar. Þarf einhverri af kröfum þess ákvæðis ávallt að vera fullnægt við slíka vinnslu, þ. á m. við uppflettingar í skrá Creditinfo um fjárhagsmálefni og lánstraust einstaklinga, þ.e. vanskilaskrá, en hún er haldin samkvæmt starfsleyfi frá Persónuvernd, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, sbr. 45. gr. laga nr. 77/2000. Er framangreint sérstaklega áréttað í grein 2.1. í starfsleyfi Persónuverndar til starfrækslu skrárinnar, dags. 29. desember 2014 (mál nr. 2014/1640), sem í gildi var þegar atvik málsins áttu sér stað.

Uppflettingar í framangreindri skrá geta einkum stuðst við 7. tölul. 1. mgr. 8. gr., þess efnis að vinna má með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Í því tilviki sem hér um ræðir liggur aftur á móti fyrir að starfsmaður Brimborgar fletti upp kvartanda í vanskilaskrá án heimildar, skv. samningsskilmálum félagsins við Creditinfo. Liggur því ekki fyrir að Brimborg hafi verið að gæta lögmætra hagsmuna sinna þegar kvartanda var flett upp í vanskilaskrá og þegar af þeirri ástæðu fór uppflettingin í bága við lög nr. 77/2000.

3.

Um ráðstafanir Creditinfo

Samkvæmt ákvæði 2. mgr. greinar 2.8. í starfsleyfi Creditinfo skal fjárhagsupplýsingastofa, ef í ljós kemur að áskrifandi hafi brotið gegn áskriftarskilmálum, grípa til viðhlítandi ráðstafana með það fyrir augum að hindra að slíkt endurtaki sig - eftir atvikum með hækkun áskriftargjalds.

Hefur Creditinfo bent á að félagið hafi þegar veitt Brimborg áminningu vegna atviksins sem mál þetta varðar, þ.e. um samningsskilyrði félaganna, og leiðbeint um reglur um notkun á vanskilaskrá og uppflettingar í henni. Einnig hafi það tilkynnt Brimborg um að atvikið hafi verið sett á athugasemdaskrá Creditinfo og að það áskilji sér rétt til að grípa til frekari ráðstafana ef athugasemdum vegna óréttmætra uppflettinga fjölgar umfram það sem eðlilegt megi teljast næstu 12 mánuði frá áminningu. Þá muni Creditinfo grípa til þyngri ráðstafana ef framangreindar upphafsráðstafanir munu ekki nægja til að fara eftir samningsskilmálum, sbr. grein 2.8. í starfsleyfi Creditinfo. Jafnframt hefur komið fram að Creditinfo hafi ekki skráð athugasemd um Brimborg vegna uppflettinga án lögvarinna hagsmuna síðustu 12 mánuði fyrir umrætt atvik. Þá kalli stakt atvik á síðustu 12 mánuðum hvorki á aðgangslokun né kæru til Persónuverndar eða lögreglu að mati Creditinfo.

Með vísun til alls framangreinds verður að telja að þær ráðstafanir sem Creditinfo hefur gripið til í kjölfar atviksins, þ.m.t. þegar það upplýsti kvartanda um uppflettingu Brimborgar með bréfi, dags. 4. febrúar 2015, og áminnti félagið um samningsskilmála sem og sett Brimborg á athugasemdaskrá, hafi verið í samræmi við skilmála núgildandi starfsleyfi félagsins. Komi upp fleiri tilvik næstu 12 mánuði eftir að áminning Creditinfo var veitt telur Persónuvernd nauðsynlegt að Creditinfo grípi til frekari ráðstafana vegna ítrekaðra brota áskrifandans á samningsskilmálum, svo sem með hækkun áskriftargjalds eða lokun aðgangs, líkt og Creditinfo hefur þegar bent á. Við mat á framangreindu ber einkum að líta til fjölda uppflettinga og mögulegra skýringa áskrifandans um uppflettingarnar.

Aftur á móti beinir Persónuvernd þeim fyrirmælum til Brimborgar að félagið skuli, eigi síðar en 1. ágúst næstkomandi, senda stofnuninni skriflega lýsingu á því hvernig tryggt verði framvegis að uppflettingar í skrá Creditinfo Lánstrausts hf. um fjárhagsmálefni og lánstraust einstaklinga samrýmist lögum.

 

Ú r s k u r ð a r o r ð:

Uppfletting Brimborgar ehf. á [A] í vanskilaskrá Creditinfo Lánstrausts hf. fór í bága við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Skal Brimborg ehf. eigi síðar en 1. ágúst næstkomandi senda Persónuvernd skriflega lýsingu á því hvernig tryggt verði framvegis að uppflettingar í skránni samrýmist lögum.




Var efnið hjálplegt? Nei