Vinnsla upplýsinga um lánshæfismat
Úrskurður
Á fundi stjórnar Persónuverndar þann 14. desember 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2014/1750:
I.
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 18. desember 2014 barst Persónuvernd erindi frá [X] (hér eftir nefndur kvartandi) varðandi uppflettingu Netgíró ehf. á lánshæfismati hans hjá Creditinfo Lánstrausti hf. (hér eftir Creditinfo) [í] desember 2014. Í erindinu tilgreinir kvartandi sérstaklega að hann muni ekki til þess að hafa ýtt á hnapp til þess að ljúka staðfestingu við skráningu í Netgíró, en þrátt fyrir það hafi verið búinn til reikningur fyrir hann hjá félaginu. Með tölvupósti, mótteknum þann 9. janúar 2015, staðfesti kvartandi að líta ætti á framangreint erindi hans sem formlega kvörtun til Persónuverndar.
2.
Bréfaskipti
Með bréfi, dags. 26. mars 2015, var Netgíró ehf. og Creditinfo boðið að koma á framfæri andmælum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993.
Svarbréf Netgíró ehf., dags. 8. apríl 2015, barst Persónuvernd þann sama dag.
Um málavexti segir m.a. í svari Netgíró ehf. að þann 16. desember 2014 hafi kerfisvinnsla hjá Netgíró ehf. valdið því að sótt hafi verið lánshæfismat hjá Creditinfo fyrir afmarkaðan hóp viðskiptavina, nánar tiltekið upplýsingar um lánshæfisflokk viðskiptavina. Þá hafi þau mistök átt sér stað að inn á gagnalistann hafi farið viðskiptavinir félagsins sem ekki stóð til að sækja lánshæfismat fyrir. Þegar mistökin hafi orðið ljós hafi keyrslan verið stöðvuð og þeim viðskiptavinum, sem ranglega var sóttur lánshæfisflokkur fyrir, tilkynnt um mistökin. Jafnframt hafi verið hafist handa við að eyða gögnum sem sótt voru og starfsmönnum Creditinfo boðið að koma til Netgíró og sannreyna eyðinguna, sem þeir og hafi gert.
Um skráningu viðskiptavina hjá Netgíró ehf. og skilmála félagsins segir m.a. að samkvæmt skilmálum fyrirtækisins samþykki viðskiptavinur að Netgíró ehf. kalli eftir upplýsingum um vanskil og lánshæfismat til að meta viðskipti. Þá skilmála sé nauðsynlegt að samþykkja svo viðskiptavinur geti lokið við skráningu sína, ella sé ekki veittur aðgangur að kerfinu. Þá segir einnig að þar sem viðskiptavinur samþykki skilmála félagsins við skráningu sé ekki um brot á viðskiptaskilmálum Netgíró að ræða. Loks segir:
„[X] skráir sig sem viðskiptavin Netgíró 31.7.2013 kl. 13:08 í gegnum vefinn bland.is og samþykkir við þá skráningu skilmála Netgíró þar sem fram kemur heimild Netgíró til þess að sækja lánshæfismat (upplýsingar um lánshæfisflokk á bilinu A-E) eins og lýst var hér að ofan. Samkvæmt fylgiskjölum erindis þessa sendir [X] fyrirspurn um skráninguna til Netgíró sama dag og fær svör á móti þar sem starfsmaður Netgíró spyr að því hvaða aðgerð hann hafi verið að framkvæma á Bland.is. Lýsingin sem starfsmaður sendir er ekki lýsandi fyrir allt ferlið þar sem [við] skráninguna koma upp skilmálar sem samþykkja þarf til þess að skráningin skili sér inn með þeim hætti sem hér hefur verið. Svo virðist sem ekki hafi borist svar frá [X] og því hefur starfsmaður ekki getað skoðað málið frekar á sínum tíma né aðhafst frekar í málinu.
Þar sem ekki stóð til að sækja lánshæfismat (upplýsingar um lánshæfisflokk) fyrir [X] var tekin ákvörðun um að eyða þeim upplýsingum úr kerfi og grunni Netgíró. Fyrirtækið hefur ekki upplýsingar um lánshæfisflokk [X] auk þess sem reikningi hans var eytt í kjölfar tölvupósts frá honum sem sendur var í kjölfarið á mistökunum þann 18.12.2014. [...]“
Þann 13. apríl 2015 barst Persónuvernd svarbréf Creditinfo, dags. sama dag. Í bréfinu segir meðal annars að félagið vísi til sjónarmiða sem komu fram í svarbréfi félagsins til Persónuverndar í sambærilegu máli stofnunarinnar, nr. 2014/1749. Þá segir að félagið staðfesti að upplýsingar um lánshæfismat kvartanda hafi verið sóttar af Netgíró ehf. þann 16. desember 2014. Hafi kvartandi fengið tilkynningu þess efnis frá Creditinfo, þar sem vakin hafi verið athygli hans á því að hann gæti haft samband við Creditinfo teldi hann að samþykki fyrir vinnslunni lægi ekki fyrir. Þá hafi félagið fylgt ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga í tengslum við umrædda vinnslu og skilyrði fyrir vinnslunni hafi verið samþykki hins skráða. Netgíró ehf. hafi borið ábyrgð á því að afla samþykkis áður en vinnslan fór fram. Þá hafi Creditinfo sent tilkynningu til hins skráða um vinnsluna, skráð uppflettinguna í loggskrá og miðlað upplýsingunum með öruggum gagnasamskiptum til Netgíró ehf. Að öðru leyti vísar Creditinfo til röksemda fyrirtækisins sem fram koma í fyrrgreindu máli stofnunarinnar nr. 2014/1749.
Með bréfi, dags. 16. apríl 2015, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Netgíró ehf. og Creditinfo til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi kvartanda, sem barst stofnuninni með tölvupósti þann 19. s.m., segir m.a. eftirfarandi:
„[...] Í fyrri samskiptum hefur komið fram að ég telji mig ekki hafa samþykkt að gerast notandi hjá Netgíró þar sem ég fékk póst frá þeim um að skrá mig sem notanda. Í þeim pósti var tengill sem mér bar að ýta á til að staðfesta að ég yrði notandi. Ég tel mig ekki hafa ýtt á þann tengil og taldi mig því ekki vera notanda. Ég get þó ekki verið fullviss um að ég hafi ekki ýtt á tengilinn en er nokkuð viss um að svo var ekki. Hvort sem er ætti Netgíró að geta sýnt fram á úr tölvukerfum sínum. Notendur hljóta að þurfa að staðfesta skráningu sína svo það sé ekki hver sem er sem skrái þá?! [...]“
Með bréfi, dags. 4. maí 2015, óskaði Persónuvernd frekari upplýsinga frá Netgíró ehf. um skráningu kvartanda. Nánar tiltekið óskaði stofnunin eftir því að henni bærist afrit af þeim skilmálum sem kvartandi átti að hafa samþykkt við skráningu í Netgíró þann 31. júlí 2013. Jafnframt var þess óskað að stofnuninni bærist skjáskot af því viðmóti sem birtist viðskiptavinum þegar þeir skrá sig sem viðskiptavini Netgíró á vefnum bland.is á því tímabili sem kvartandi á að hafa gerst viðskiptavinur félagsins, n.t.t. 31. júlí 2013.
Ódagsett svarbréf Netgíró ehf. barst Persónuvernd með tölvupósti þann 18. maí 2015. Með bréfinu fylgdi afrit af skilmálum Netgíró sem félagið segir kvartanda hafa samþykkt þann 31. júlí 2013. Því til staðfestingar mátti finna afrit af skjáskoti af skráningarviðmótinu sem birtist kvartanda við skráningu þann sama dag. Í fyrrnefndu skráningarviðmóti segir um greiðslumáta: „Borga með Netgíró. Reikningur sendur í netfang borga þarf innan 14 daga.“. Þá er notanda bent á að kynna sér vandlega skilmála Netgíró og að með því að samþykkja skilmálana gefi viðkomandi leyfi til miðlunar kennitölu og símanúmers til Netgíró. Því næst er upphæð reiknings tilgreind fyrir ofan hnappinn „Borga með Netgíró“. Að lokum segir: „Með því að smella á borga ertu að samþykkja að þú hafir lesið og samþykkt skilmála Netgíró. Auk þess veitir þú Netgíró ehf. heimild til að afla fjárhagsupplýsinga, s.s. upplýsinga um vanskil og lánshæfismat hjá Creditinfo Lánstraus[ti]í tengslum við mat á lánshæfi þínu.“.
Með bréfi, dags. 21. maí 2015, var kvartanda veittur kostur á að koma á framfæri athugasemdum við framkomnar skýringar Netgíró ehf. Með tölvupósti, mótteknum þann 30. s.m., benti kvartandi á að Netgíró ehf. hefði enn ekki sýnt fram á að hann hefði staðfest skráningu hjá félaginu.
Með tölvupósti, sendum þann 1. júní 2015, óskaði Persónuvernd eftir frekari upplýsingum frá Netgíró ehf. um hvort félagið gæti sýnt fram á, t.d. með gögnum eða skjáskotum, að kvartandi hefði í raun staðfest skráningu í Netgíró þann 31. júlí 2013. Þann 10. júní 2015 barst Persónuvernd svar Netgíró ehf. með tölvupósti, en þar segir að félagið sé ekki með slíkar upplýsingar í aðgengilegu formi, þ.e. útprentuðum gögnum eða skjáskotum. Þær séu einungis aðgengilegar í kóðanum þar sem skráður (loggaður) sé aðili, dagsetning, tími og aðgerðin sjálf. Einnig segir að umræddur kóði endurspegli það að kerfið hleypi skráningunni ekki áfram nema að undangengnum fyrri skrefum. Ekki sé til hjá félaginu nein skýrsla (e. „report“) sem unnt sé að prenta út og afhenda Persónuvernd heldur geti forritarar einungis skoðað skráningar (logga) inni í kerfi félagsins.
Kvartandi var upplýstur um framangreint svar Netgíró ehf. með tölvupósti sama dag, þ.e. 10. júní 2015. Í svari kvartanda, sem barst með tölvupósti síðar sama dag, segir að hann telji að Netgíró ehf. eigi engu að síður að geta kallað fram gögn sem staðfesti meinta skráningu hans. Að öllu jöfnu sé skipunin ásamt gögnunum sem sýna staðfestingu úr töflunni sýnd í einu lagi til að þriðji aðili geti komið og sannreynt umrædda aðgerð. Áréttar kvartandi með tölvupósti þann 16. s.m. að hann telji sig ekki hafa ýtt á tengil í staðfestingarpósti félagsins og tekur jafnframt fram að hann hafi ekki áhuga á að hafa frekari afskipti af málinu.
Með tölvupósti, sendum þann 3. júlí 2015, óskaði Persónuvernd frekari upplýsinga frá Netgíró ehf. um hvort sá skilningur stofnunarinnar væri réttur að einstaklingar þyrftu að afturkalla ætlað samþykki fyrir notendaskilmálum félagsins (e. „opt-out“) í stað þess að veita það með aðgerð, ella yrði viðkomandi talinn hafa samþykkt skilmálana og væri þar með orðinn viðskiptavinur Netgíró ehf. Var skýringanna óskað í ljósi tölvupósts sem starfsmaður félagsins hafði sent kvartanda þann 31. júlí 2013, og var á meðal gagna málsins, þar sem m.a. sagði að ef kvartandi hefði ekki „hakað úr boxi“ þá væri hann skráður hjá félaginu, og að til þess að ljúka skráningu þyrfti að smella á tengil og búa til lykilorð. Af framangreindu virtist því mega ráða að einstaklingar væru ekki orðnir viðskiptavinir Netgíró ehf. fyrr en þeir smelltu á tiltekinn tengil og hefðu búið sér til lykilorð fyrir vefsíðu Netgíró.
Í svari Netgíró ehf., sem barst með tölvupósti þann 9. s.m., segir að viðskiptavinur verði ekki skráður hjá Netgíró fyrr en hann er búinn að smella á takkann „Borga“ og velja sér lykilorð hjá Netgíró og að fyrrnefnd lýsing starfsmanns Netgíró til kvartanda um að „afhaka“ þurfi við tiltekinn reit til að afturkalla samþykki hafi ekki verið í samræmi við ferli skráningarinnar í reynd. Þá segir einnig:
„Ferlið inni á Bland[.is] er þannig að fyrst velur viðskiptavinurinn hvernig hann ætlar að borga þ.e. með kreditkorti eða Netgíró. Hér hakar hann við „Borga með Netgíró“. Til þess að klára það þarf hann að fara og smella á takkann „Borga með Netgíró“ sem er aðeins neðar og þá er hann fluttur yfir á skráningarform þar sem hann þarf að velja sér lykilorð hjá Netgíró. Þar þarf hann að staðfesta til að skráningin fari yfir til Netgíró. Að skráningu lokinni opnaðist greiðslusíðan og þar staðfestir hann kaupin. Í tilfelli [X] hefur hann hætt við kaupin með Netgíró eftir að hann staðfestir skráningu þar sem engin auglýsing var keypt með Netgíró en skráningin var staðfest.“
Með bréfi, dags. 24. ágúst 2015, benti Persónuvernd Netgíró ehf. á að það félli í hlut félagsins að sanna með fullnægjandi hætti að samþykki kvartanda væri fyrir hendi, enda hefði kvartandi í þessu tilviki bent á að vafi kynni að leika á því hvort slíkt samþykki hefði verið veitt. Af þeirri ástæðu áréttaði Persónuvernd fyrri beiðni sína um gögn sem sýndu fram á að kvartandi hefði í raun staðfest skráningu hjá Netgíró, þ.e. þann 31. júlí 2013, ella yrði málið tekið til úrskurðar á grundvelli fyrirliggjandi gagna.
Svarbréf Netgíró ehf., ódags., barst Persónuvernd þann 2. október 2015. Í því segir m.a. að við ítarlegri skoðun á máli kvartanda hafi komið í ljós að kvartandi hafi verið forskráður hjá félaginu í gegnum þjónustu sem bauð upp á slíkt hjá bland.is. Þá segir að kvartandi hafi farið inn á þjónustuvef Netgíró þann 1. ágúst 2013 í gegnum tengil sem honum var sendur í tölvupósti frá Netgíró, í kjölfar skráningar hans þann 31. júlí 2013. Það að smella á tengilinn og val á lykilorði séu síðustu skrefin í skráningarferli Netgíró. Kemur fram að kvartandi hafi lokið skráningunni með því að velja sér lykilorð og með því hafi hann fengið aðgang að þjónustusíðum Netgíró. Þann 17. desember 2014 hafi kvartandi einnig skráð sig inn á fyrrnefndar þjónustusíður og óskað eftir nýju lykilorði. Bréfinu fylgdu einnig afrit af sk. notendaskrá Netgíró sem sýnir m.a. hvaðan skráning kvartanda kom, hvaða dag hún var framkvæmd og hvenær dags kvartandi skráði sig sem viðskiptavin Netgíró.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið „vinnsla“ er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, skv. 2. tölul. 2. gr. laganna. Með vinnslu er t.d. átt við söfnun og skráningu og þar undir fellur m.a. rafræn vöktun, flokkun, varðveisla, breyting, leit, miðlun, samtenging eða hver sú aðferð sem nota má til að gera upplýsingar tiltækar, sbr. athugasemdir í greinargerð með frumvarpi því er varð síðar að lögum nr. 77/2000.
Með vísun til framangreinds telst öflun Netgíró ehf. á lánshæfismati kvartanda frá Creditinfo sem og eftirfarandi miðlun þess frá Creditinfo til Netgíró ehf. vera vinnsla persónuupplýsinga og fellur mál þetta þar með undir gildissvið laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Netgíró ehf. vera ábyrgðaraðili að þeirri vinnslu sem kvörtunin varðar, þ.e. að því er varðar stofnun viðskiptareiknings og vinnslu persónuupplýsinga um kvartanda í þeim tilgangi annars vegar og öflun lánshæfismats fyrir kvartanda frá Creditinfo hins vegar.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Samkvæmt lögunum þarf vinnsla almennra persónuupplýsinga, s.s. upplýsinga um fjárhagsmálefni og lánstraust, ávallt að eiga sér stoð í einhverjum af töluliðum 1. mgr. 8. gr. laganna. Í tengslum við uppflettingu á lánshæfismati hjá Creditinfo, sem byggist meðal annars á upplýsingum úr vanskilaskrá, ber og að líta til starfsleyfis Persónuverndar sem lögmæti þeirrar skráar byggist á, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, sbr. 45. gr. laga nr. 77/2000. Er ákvæði 8. gr. laga nr. 77/2000 þar áréttað, sbr. grein 2.1. í því starfsleyfi, dags. 19. desember 2013 (mál nr. 2013/1169), sem í gildi var þegar atvik málsins áttu sér stað.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er meðal annars mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
2.1.
Skráning kvartanda og stofnun viðskiptareiknings
Í kvörtun kvartanda kemur fram að hann muni ekki til þess að hafa ýtt á hnapp til þess að staðfesta skráningu hjá Netgíró, en þrátt fyrir það hafi verið búinn til reikningur fyrir hann hjá félaginu. Af hálfu Netgíró hefur komið fram að kvartandi hafi samþykkt skilmála félagsins þegar hann lauk skráningarferli í gegnum vefsíðuna www.bland.is og hafi þ.a.l. skráð sig sem viðskiptavin Netgíró.
Samkvæmt 1. tölul. 1. mgr. 8. gr. er vinnsla sem byggir á samþykki hins skráða heimil. Þá ber að líta til 2. tölul. 1. mgr. 8. gr. þar sem segir að vinnsla sé heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að hans beiðni áður en samningur er gerður. Hér undir getur m.a. fallið sú vinnsla sem ábyrgðaraðili þarf að framkvæma í þágu viðskipta, þ.e. til að þau geti farið löglega fram. Er þá einkum átt við vinnslu með almennar upplýsingar, s.s. nafn viðsemjanda og kennitölu og önnur þau atriði sem almennt koma fram við reikningagerð.
Í bréfi Netgíró, ódags., sem barst þann 2. október 2015, kemur fram að kvartandi hafi verið forskráður hjá Netgíró í gegnum þjónustu sem bauð upp á slíkt á vefsíðunni www.bland.is. Hafi kvartandi smellt á tengil og valið sér lykilorð og með því lokið skráningu sinni sem notandi hjá Netgíró þann 1. ágúst 2013 klukkan 9:03. Að mati Persónuverndar samþykkti kvartandi viðskiptaskilmála Netgíró með því að ljúka skráningarferli félagsins.
Með vísan til framangreinds er umrædd vinnsla Netgíró á persónuupplýsingum kvartanda talin hafa farið fram í málefnalegum tilgangi og samrýmst 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
2.2.
Uppfletting á lánshæfismati kvartanda
Sú aðgerð Netgíró ehf., að afla upplýsinga um lánshæfismat kvartanda hjá Creditinfo, getur einkum stuðst við 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þar sem fram kemur að vinnsla sé heimil ef hinn skráði hefur veitt samþykki fyrir henni, eða 7. tölul. sama ákvæðis, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna ábyrgðaraðila, þriðja aðila eða þess aðila sem upplýsingum er miðlað til nema grundvallarréttindi og frelsi hins skráða vegi þyngra.
Fram hefur komið af hálfu Netgíró ehf. að í því tilviki sem hér er til skoðunar hafi mistök leitt til þess að það aflaði upplýsinga um lánshæfismat tiltekins hóps viðskiptavina, þ. á m. um kvartanda. Hafi það því ekki verið ætlun félagsins að sækja umræddar upplýsingar um lánshæfi kvartanda. Telur Netgíró ehf. engu að síður að sér hafi verið heimilt að afla umræddra upplýsinga, enda hafi viðskiptavinir veitt samþykki sitt fyrir því við skráningu hjá félaginu. Nánar tiltekið vísar félagið til þess að samkvæmt viðskiptaskilmálum þess, sem kvartandi hafi samþykkt við skráningu, samþykki viðskiptavinir að það kalli eftir upplýsingum um vanskil og lánshæfismat til að meta viðskipti. Með viðskiptum í framangreindum skilningi sé átt við úttektarheimildir viðskiptavina. Þá vísar Netgíró ehf. til þess að samkvæmt skilmálunum samþykki viðskiptavinur að umræddar upplýsingar séu notaðar til að taka ákvarðanir í tengslum við viðskipti, eftirlit í tengslum við slík viðskipti, boð um tiltekin kjör og í öðrum þeim tilvikum þegar félagið hefur lögvarða hagsmuni af notkun upplýsinganna.
Fyrst ber að meta hvort öflun upplýsinganna hafi verið heimil á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Í athugasemdum við þann tölulið ákvæðisins í greinargerð með því frumvarpi er varð að lögum nr. 77/2000 segir að hér sé átt við samþykki hins skráða samkvæmt skilgreiningu 7. tölul. 2. gr. frumvarpsins. Einnig segir í athugasemdunum að vinnsla persónuupplýsinga sem sé heimil á grundvelli samþykkis hins skráða þurfi jafnframt að fullnægja öllum skilyrðum 7. gr. frumvarpsins. Ljóst þykir af gögnum málsins að kvartandi veitti Netgíró ehf. samþykki fyrir því að félagið mætti afla þeirra upplýsinga sem hér um ræðir, en aftur á móti telur Persónuvernd að samþykki kvartanda hafi einungis tekið til tilvika þar sem upplýsinganna er þörf vegna ákvarðanatöku í tengslum við viðskipti, eftirlit í tengslum við þau, boð um tiltekin kjör og í öðrum tilvikum þegar Netgíró ehf. hefur lögvarða hagsmuni af notkun umræddra upplýsinga. Þar sem Netgíró ehf. hefur vísað til þess að það hafi ekki verið ætlun félagsins að sækja umræddar upplýsingar telur Persónuvernd það liggja ljóst fyrir að vinnslan hafi ekki samrýmst viðskiptaskilmálum félagsins sem lúta aðeins að vinnslu upplýsinga tengdum viðskiptum við kvartanda. Þá hefur Netgíró ehf. ekki sýnt fram á að neinar þær ástæður, sem falla undir samþykki kvartanda, hafi getað átt við. Af þeim sökum voru upplýsingar um lánshæfismat kvartanda ekki fengnar í yfirlýstum, skýrum og málefnalegum tilgangi í skilningi 2. tölul. 7. gr. laga nr. 77/2000.
Við mat á því hvort öflun umræddra upplýsinga hafi verið heimil á grundvelli 7. tölul. 1. mgr. 8. gr. laganna verður að líta til þess hvort hagsmunir ábyrgðaraðila af því að vinnslan fari fram skuli vega þyngra en hagsmunir hins skráða af því að vinnslan fari ekki fram. Þá verður vinnsla samkvæmt ákvæðinu einnig að vera nauðsynleg. Í þessu tilviki hafði Netgíró ehf. ekki lögvarða hagsmuni af því að afla upplýsinga um lánshæfismat kvartanda frá Creditinfo, enda var um mistök að ræða, sbr. svarbréf Netgíró ehf. sem barst Persónuvernd þann 20. janúar 2015. Þegar af þeirri ástæðu telur Persónuvernd að umrædd öflun upplýsinga um lánshæfismat kvartanda geti ekki stuðst við 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Með vísun til alls framangreinds er það mat Persónuverndar að öflun Netgíró ehf. á upplýsingum um lánshæfismat kvartanda frá Creditinfo þann 16. desember 2014 hafi ekki samrýmst lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
3.
Um ráðstafanir Netgíró ehf.
Þann 18. desember 2014 barst Persónuvernd afrit af atvikaskýrslu Netgíró ehf. til Creditinfo vegna öflunar lánshæfismats fyrir viðskiptavini, m.a. kvartanda. Í atvikaskýrslunni segir meðal annars að keyrslan hafi verið stöðvuð þegar mistökin urðu ljós. Hafi vinna við eyðingu upplýsinganna hjá Netgíró ehf. hafist að kvöldi þann 17. desember 2014 og þeirri vinnu lokið snemma dags þann 18. s.m. Þá segir að félagið hafi tekið þá ákvörðun að hætta keyrslum sem þessum, til að tryggja að mistök sem þessi endurtaki sig ekki.
Með úrskurði í máli nr. 2015/1749 beindi Persónuvernd þeim fyrirmælum til Netgíró ehf. að félagið skyldi, eigi síðar en 1. október 2015, senda Persónuvernd skriflega lýsingu á því hvernig tryggt yrði framvegis að uppflettingar hjá Creditinfo um fjárhagsmálefni og lánstraust viðskiptavina samrýmdust lögum en atvik í því máli voru efnislega sambærileg við aðstæður sem lýst er í kafla 2.2. hér að framan. Hefur slík staðfesting nú borist með bréfi Netgíró, dags. 2. nóvember 2015, og þykja því ekki efni til að beina frekari fyrirmælum til Netgíró í tengslum við öflun lánshæfismats viðskiptavina félagsins.
Ú r s k u r ð a r o r ð :
Vinnsla persónuupplýsinga um [X] var heimil á grundvelli 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Öflun Netgíró ehf. á lánshæfismati [X] hjá Creditinfo þann 16. desember 2014 samrýmdist hins vegar ekki lögum nr. 77/2000.