Öflun fyrirtækis á lánshæfismati
Persónuvernd hefur úrskurðað að öflun fyrirtækis á lánshæfismati hafi ekki verið í samræmi við lög nr. 77/2000, enda hafði hvorki verið fengið samþykki né hafði fyrirtækið lögmæta hagsmuni af vinnslunni.
Úrskurður
Á fundi stjórnar Persónuverndar þann 25. ágúst 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2014/1749:
I.
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 18. desember 2014 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) varðandi uppflettingu Netgíró ehf. á lánshæfismati hans hjá Creditinfo Lánstrausti hf. (hér eftir Creditinfo). Kvörtunin lýtur einnig að miðlun lánshæfismatsins frá Creditinfo til Netgíró ehf. Með kvörtuninni fylgdi afrit af tölvupósti Netgíró ehf. til kvartanda frá 17. desember 2014, þar sem félagið tilkynnir um að vegna kerfismistaka hafi það kallað eftir lánshæfismati frá Creditinfo fyrir kvartanda. Þá segir einnig að lánshæfismatið hafi verið sótt fyrir mistök og að félagið biðjist velvirðingar á þeim. Loks segir að villan hafi verið lagfærð og gögnunum eytt.
2.
Bréfaskipti
Með bréfi, dags. 8. janúar 2015, var Netgíró ehf. og Creditinfo boðið að koma á framfæri andmælum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Ódagsett svarbréf Netgíró ehf. barst Persónuvernd þann 20. janúar 2015.
Um málavexti segir m.a. í svari Netgíró ehf. að þann 16. desember 2014 hafi kerfisvinnsla hjá Netgíró ehf. falið í sér að sótt hafi verið lánshæfismat Creditinfo fyrir afmarkaðan hóp viðskiptavina, nánar tiltekið upplýsingar um lánshæfisflokk viðskiptavina. Þá hafi þau mistök átt sér stað að inn á gagnalistann hafi farið viðskiptavinir félagsins sem ekki stóð til að sækja lánshæfismat fyrir. Þegar mistökin hafi orðið ljós hafi keyrslan verið stöðvuð og þeim viðskiptavinum, sem ranglega var sóttur lánshæfisflokkur fyrir, tilkynnt um mistökin. Jafnframt hafi verið hafist handa við að eyða gögnum sem sótt voru og starfsmönnum Creditinfo boðið að koma til Netgíró og sannreyna eyðinguna, sem þeir og hafi gert.
Um skráningu viðskiptavina hjá Netgíró ehf. og skilmála félagsins segir m.a. að samkvæmt skilmálum fyrirtækisins samþykki viðskiptavinur að Netgíró ehf. kalli eftir upplýsingum um vanskil og lánshæfismat til að meta viðskipti. Þá skilmála sé nauðsynlegt að samþykkja svo viðskiptavinur geti klárað skráningu sína, ella sé ekki veittur aðgangur að kerfinu. Þá segir einnig að þar sem viðskiptavinur samþykki skilmála félagsins við skráningu sé ekki um brot á viðskiptaskilmálum Netgíró að ræða. Loks segir:
„[A] skráir sig sem viðskiptavin Netgíró [...] kl. [...] í gegnum vefinn bland.is og samþykkir við þá skráningu skilmála Netgíró þar sem fram kemur heimild Netgíró til þess að sækja lánshæfismat (upplýsingar um lánshæfisflokk á bilinu A-E) eins og lýst var hér að ofan.
Þar sem ekki stóð til að sækja lánshæfismat (upplýsingar um lánshæfisflokk) fyrir [...] var tekin ákvörðun um að eyða þeim upplýsingum úr kerfi og grunni Netgíró. [...]“
Þann 23. janúar 2015 barst Persónuvernd svarbréf Creditinfo, dags. 22. s.m. Í bréfinu segir meðal annars að félagið staðfesti að upplýsingar um lánshæfismat kvartanda hafi verið sóttar af Netgíró ehf. þann 16. desember 2014. Hafi kvartandi fengið tilkynningu þess efnis frá Creditinfo, þar sem vakin hafi verið athygli hans á því að að hann gæti haft samband við Creditinfo teldi hann að samþykki fyrir vinnslunni lægi ekki fyrir. Einnig segir í bréfinu að Netgíró ehf. hafi sótt upplýsingar um tiltekinn hóp viðskiptavina fyrir mistök. Þá hafi Creditinfo móttekið skýringar Netgíró ehf. varðandi mistökin, sem og fundað með fulltrúum Netgíró ehf., og telji Creditinfo að atvikið hafi verið með þeim hætti sem Netgíró ehf. lýsir. Einnig beri skilmálar Netgíró ehf. með sér að uppflettingarnar hafi verið heimilar, enda þótt ekki hafi verið ætlunin að sækja upplýsingar um þennan tiltekna hóp viðskiptavina félagsins.
Þá lýsir Creditinfo þeirri afstöðu að túlka ætti lög nr. 33/2013, um neytendalán, með hliðsjón af tilskipun 2008/48/EB sem lögin byggja á, en í 26. tölul. formálsorða tilskipunarinnar segi að skylda hvíli á lánveitanda til að fylgjast með breytingum á lánshæfi viðskiptavina sinna á meðan á viðskiptasambandi standi. Hafi Netgíró ehf. því verið rétt og skylt, í ljósi framangreinds og samþykki viðskiptavina á skilmálum félagsins, að fylgjast með lánshæfi þeirra viðskiptavina sinna sem höfðu úttektarheimildir hjá félaginu þó vissulega hafi verið um mistök að ræða. Verði að skýra afleiðingar mistakanna í þessu ljósi, enda hefði Netgíró ehf. getað kosið að hagnýta umræddar upplýsingar til að fullnægja eftirlitsskyldu með lánshæfi viðskiptavina sinna. Áskilji Creditinfo sér engu að síður rétt til að grípa til aðgangslokunar ef ástæða þyki til. Gefi uppflettingar Netgíró ehf., bæði fyrir og eftir atvikið, ekki tilefni til slíkra ráðstafanna.
Með bréfi, dags. 11. mars 2015, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Netgíró ehf. og Creditinfo til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var svarfrestur veittur til 25. mars 2015, en engin svör bárust. Með bréfi, dags. 30. s.m., var erindi Persónuverndar ítrekað og kvartanda veittur svarfrestur á ný til 16. apríl 2015. Kom meðal annars fram af hálfu stofnunarinnar að ef engin svör bærust frá kvartanda fyrir þann dag mætti vænta þess að úrskurðað yrði í málinu á grundvelli fyrirliggjandi gagna. Ekki bárust svör frá kvartanda.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, skv. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið „vinnsla“ er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, skv. 2. tölul. 2. gr. laganna. Með vinnslu er t.d. átt við söfnun og skráningu og þar undir fellur m.a. rafræn vöktun, flokkun, varðveisla, breyting, leit, miðlun, samtenging eða hver sú aðferð sem nota má til að gera upplýsingar tiltækar, sbr. athugasemdir í greinargerð með frumvarpi því er varð síðar að lögum nr. 77/2000.
Með vísun til framangreinds telst öflun Netgíró ehf. á lánshæfismati kvartanda frá Creditinfo sem og eftirfarandi miðlun þess frá Creditinfo til Netgíró ehf. vera vinnsla persónuupplýsinga og fellur mál þetta þar með undir gildissvið laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Netgíró ehf. vera ábyrgðaraðili að þeirri vinnslu sem kvörtunin varðar, þ.e. að því er varðar öflun lánshæfismats fyrir kvartanda frá Creditinfo.
2.
Lögmæti uppflettinga á lánshæfismati
Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Samkvæmt lögunum þarf vinnsla almennra persónuupplýsinga, s.s. upplýsinga um fjárhagsmálefni og lánstraust, ávallt að eiga sér stoð í einhverjum af töluliðum 1. mgr. 8. gr. laganna. Í tengslum við uppflettingu á lánshæfismati hjá Creditinfo, sem byggist meðal annars á upplýsingum úr vanskilaskrá, ber og að líta til starfsleyfis Persónuverndar sem lögmæti þeirrar skráar byggist á, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, sbr. 45. gr. laga nr. 77/2000. Er ákvæði 8. gr. laga nr. 77/2000 þar áréttað, sbr. grein 2.1. í því starfsleyfi, dags. 19. desember 2013 (mál nr. 2013/1169), sem í gildi var þegar atvik málsins áttu sér stað.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er meðal annars mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
Sú aðgerð Netgíró ehf., að afla upplýsinga um lánshæfismat kvartanda hjá Creditinfo, getur einkum stuðst við 1. tölul. 1. mgr. 8. gr., þar sem fram kemur að vinnsla sé heimil ef hinn skráði hefur veitt samþykki fyrir henni, eða 7. tölul. sama ákvæðis, þess efnis að vinna má með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna ábyrgðaraðila, þriðja aðila eða þess aðila sem upplýsingum er miðlað til nema grundvallarréttindi og frelsi hins skráða vegi þyngra.
Fram hefur komið af hálfu Netgíró ehf. að í því tilviki sem hér er til skoðunar hafi mistök leitt til þess að það aflaði upplýsinga um lánshæfismat tiltekins hóps viðskiptavina, þ. á m. kvartanda. Hafi það því ekki verið ætlun félagsins að sækja umræddar upplýsingar um lánshæfi kvartanda. Telur Netgíró ehf. engu að síður að sér hafi verið heimilt að afla umræddra upplýsinga, enda hafi viðskiptavinir veitt samþykki sitt fyrir öflun slíkra upplýsinga við skráningu hjá félaginu. Nánar tiltekið vísar félagið til þess að samkvæmt viðskiptaskilmálum þess, sem kvartandi hafi samþykkt við skráningu, samþykki viðskiptavinir að það kalli eftir upplýsingum um vanskil og lánshæfismat til að meta viðskipti. Með viðskiptum í framangreindum skilningi sé átt við úttektarheimildir viðskiptavina. Þá vísar Netgíró ehf. til þess að samkvæmt skilmálunum samþykki viðskiptavinur að umræddar upplýsingar séu notaðar til að taka ákvarðanir í tengslum við viðskipti, eftirlit í tengslum við slík viðskipti, boð um tiltekin kjör og í öðrum þeim tilvikum þegar félagið hefur lögvarða hagsmuni af notkun upplýsinganna.
Fyrst ber að meta hvort öflun upplýsinganna hafi verið heimil á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Í athugasemdum við þann tölulið ákvæðisins í greinargerð með því frumvarpi er varð að lögum nr. 77/2000 segir að hér sé átt við samþykki hins skráða samkvæmt skilgreiningu 7. tölul. 2. gr. frumvarpsins. Einnig segir í athugasemdunum að vinnsla persónuupplýsinga sem sé heimil á grundvelli samþykkis hins skráða þurfi jafnframt að fullnægja öllum skilyrðum 7. gr. frumvarpsins. Ljóst þykir að kvartandi veitti Netgíró ehf. samþykki fyrir því að félagið mætti afla þeirra upplýsinga sem hér um ræðir, en aftur á móti telur Persónuvernd að samþykki kvartanda hafi einungis tekið til tilvika þar sem upplýsinganna er þörf vegna ákvarðanatöku í tengslum við viðskipti, eftirlit í tengslum við þau, boð um tiltekin kjör og í öðrum tilvikum þegar Netgíró ehf. hefur lögvarða hagsmuni af notkun umræddra upplýsinga. Þar sem Netgíró ehf. hefur vísað til þess að það hafi ekki verið ætlun félagsins að sækja umræddar upplýsingar telur Persónuvernd það liggja ljóst fyrir að vinnslan hafi ekki samrýmst viðskiptaskilmálum félagsins sem lúta aðeins að vinnslu upplýsinga tengdum viðskiptum við kvartanda. Þá hefur Netgíró ehf. ekki sýnt fram á að neinar þær ástæður, sem falla undir samþykki kvartanda, hafi getað átt við. Af þeim sökum voru upplýsingar um lánshæfismat kvartanda ekki fengnar í yfirlýstum, skýrum og málefnalegum tilgangi í skilningi 2. tölul. 7. gr. laga nr. 77/2000.
Við mat á því hvort öflun umræddra upplýsinga hafi verið heimil á grundvelli 7. tölul. 1. mgr. 8. gr. laganna verður að líta til þess hvort að hagsmunir ábyrgðaraðila af því að vinnslan fari fram skuli vega þyngra en hagsmunir hins skráða af því að vinnslan fari ekki fram. Þá verður vinnsla samkvæmt ákvæðinu einnig að vera nauðsynleg. Í þessu tilviki hafði Netgíró ehf. ekki lögvarða hagsmuni af því að afla upplýsinga um lánshæfismat kvartanda frá Creditinfo, enda var um mistök voru að ræða, sbr. svarbréf Netgíró ehf. sem barst Persónuvernd þann 20. janúar 2015. Þegar af þeirri ástæðu telur Persónuvernd að umrædd öflun upplýsinga um lánshæfismat kvartanda geti ekki stuðst við 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Með vísun til alls framangreinds er það mat Persónuverndar að öflun Netgíró ehf. á upplýsingum um lánshæfismat kvartanda frá Creditinfo þann 16. desember 2014, hafi ekki samrýmst lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
3.
Um ráðstafanir Netgíró ehf.
Þann 18. desember 2014 barst Persónuvernd afrit af atvikaskýrslu Netgíró ehf. til Creditinfo vegna atviksins. Í atvikaskýrslunni segir meðal annars að mistök félagsins hafi ekki komið í ljós fyrr en tilkynningar fóru að berast viðskiptavinum þess frá Creditinfo. Í kjölfarið hafi keyrslan verið stöðvuð, félagið hefði haft samband við Creditinfo, viðskiptavinum verið tilkynnt um mistökin og beðist velvirðingar á þeim. Hafi vinnu við eyðingu upplýsinganna hjá Netgíró ehf. hafist að kvöldi þann 17. desember 2014 og þeirri vinnu lokið snemma dags þann 18. s.m. Til að sannreyna eyðingu hafi félagið boðið starfsmönnum Creditinfo að koma með lista yfir þá viðskiptavini sem hér um ræðir þannig að unnt væri að taka stikkprufur úr kerfi Netgíró ehf. Loks segir að félagið hafi tekið þá ákvörðun að hætta keyrslum sem þessum, til að tryggja að mistök sem þessi endurtaki sig ekki.
Þrátt fyrir að Netgíró ehf. hafi ákveðið að hætta keyrslum sem þessum er ljóst að félaginu kann að vera heimilt í mörgum tilvikum að afla upplýsinga um lánshæfismat frá Creditinfo um tiltekna viðskiptavini skv. ákvæði 1. mgr. 8. gr. laga nr. 77/2000. Af þeim sökum beinir Persónuvernd þeim fyrirmælum til Netgíró ehf. að félagið skuli, eigi síðar en 1. október næstkomandi, senda stofnuninni skriflega lýsingu á því hvernig tryggt verði framvegis að uppflettingar hjá Creditinfo um fjárhagsmálefni og lánstraust viðskiptavina samrýmist lögum.
Ú r s k u r ð a r o r ð :
Öflun Netgíró ehf. á lánshæfismati [A] hjá Creditinfo þann 16. desember 2014 samrýmdist ekki lögum nr. 77/2000. Ber Netgíró ehf. eigi síðar en 1. október næstkomandi að senda Persónuvernd skriflega lýsingu á því hvernig tryggt verði framvegis að uppflettingar félagsins hjá Creditinfo um viðskiptavini samrýmist lögum.