Uppfletting í vanskilaskrá vegna raðgreiðslusamninga
Úrskurður
Á fundi stjórnar Persónuverndar þann 6. desember 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/579:
I.
Málsmeðferð
1.
Tildrög máls
Þann 18. mars 2016 barst
Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir
uppflettingu Borgunar hf. á fjárhagsupplýsingum um hann í kerfi
Creditinfo Lánstrausts hf. Í kvörtuninni segir m.a. að uppflettingin
hafi verið óþörf þar sem hann hafi staðið skil á öllum sínum
skuldbindingum.
2.
Bréfaskipti
Með bréfi, dags. 27. júní 2016, var Borgun hf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarað var með bréfi, dags. 11. júlí 2016. Í bréfi Borgunar segir m.a.:
„Samkvæmt neytendalögum nr. 33/2013 ber lánveitendum að framkvæma lánshæfismat áður en samningur um neytendalán er gerður. Forsenda þess að Borgun hf. veiti raðgreiðslulán er sú að framkvæmt sé slíkt lánshæfismat sem byggir m.a. á þjónustu sem Creditinfo Lánstraust hf. býður viðskiptavinum sínum upp á, þ.e. svokallað lánshæfismat einstaklinga. Við gerð raðgreiðslusamnings samþykkir lántaki að framkvæmt verði lánshæfismat sem byggir á upplýsingum frá Creditinfo Lánstrausti hf. [A] [...] gerði samning um tvær raðgreiðslur þann 1. og 6. febrúar sl., annars vegar hjá Dekkjahöllinni og hins vegar hjá Ferðaskrifstofu Íslands. Vegna þessa var kennitölu [A] flett upp í kerfum Creditinfo Lánstrausts hf. við framkvæmd lánshæfismats.“
Kvartanda var veittur kostur á að koma á framfæri athugasemdum við framkomin svör Borgunar með bréfi, dags. 14. júlí 2016, ítrekuðu 4. ágúst s.á. Engin svör bárust frá kvartanda.
Með bréfi, dags. 9. september 2016, óskaði Persónuvernd eftir afriti af framangreindum raðgreiðslusamningum frá Borgun. Svarað var með bréfi, dags. 21. s.m., en hjálögð voru afrit af samningunum, annars vegar vegna raðgreiðslna hjá Dekkjahöllinni og hins vegar hjá Ferðaskrifstofu Íslands. Í bréfi Borgunar segir m.a.:
„Meðfylgjandi er afrit af lánssamningi sem undirritaður er af [A] vegna raðgreiðslna hjá Dekkjahöllinni. Samningur vegna raðgreiðslna hjá Ferðaskrifstofu Íslands er hins vegar óundirritaður þar sem skipting greiðslna fer að jafnaði fram í gegnum heimasíðu Ferðaskrifstofunnar. Í því ferli velur viðskiptavinur fyrirkomulag greiðsludreifingar án þess þó að samþykkja sérstaklega heimild til uppflettingar vegna lánshæfismats.“
Jafnframt segir í bréfi Borgunar að nýr raðgreiðsluvefur sé nú í innleiðingu meðal seljenda. Á nýjum vef muni lántaki þurfa að samþykkja sérstaklega, með haki, umrædda uppflettingu um hann í kerfum Creditinfo.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi.
Með vísun til framangreinds telst öflun Borgunar á lánshæfismati kvartanda frá Creditinfo sem og eftirfarandi miðlun þess frá Creditinfo til Borgunar vera vinnsla persónuupplýsinga og fellur mál þetta þar með undir gildissvið laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Borgun hf. vera ábyrgðaraðili að þeirri vinnslu sem kvörtunin varðar, þ.e. öflun lánshæfismats fyrir kvartanda frá Creditinfo.
2.
Lögmæti vinnslu
Í 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er mælt fyrir um hvenær vinna má með persónuupplýsingar. Þarf einhverri af kröfum þess ákvæðis ávallt að vera fullnægt við slíka vinnslu, þ. á m. við uppflettingar í skrá Creditinfo um fjárhagsmálefni og lánstraust einstaklinga, en hún er haldin samkvæmt starfsleyfi frá Persónuvernd, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, sbr. 45. gr. laga nr. 77/2000. Er framangreint sérstaklega áréttað í grein 2.1. í starfsleyfi Persónuverndar til starfrækslu skrárinnar, dags. 28. desember 2015, mál nr. 2015/1428, sem í gildi var þegar atvik málsins áttu sér stað.
Í því tilviki sem hér er til skoðunar kemur einkum til greina 2. tölul. 1. mgr. 8. gr., en þar segir að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg til að efna samning sem hinn skráði er aðili að, eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Þá getur líka komið til skoðunar 7. tölul. sömu málsgreinar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna ábyrgðaraðila, þriðja aðila eða þess aðila sem upplýsingum er miðlað til, nema grundvallarréttindi og frelsi hins skráða vegi þyngra.
Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er meðal annars mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
2.1
Lögmæti uppflettinga Borgunar hf. í skrá Creditinfo
Fyrst ber að meta hvort öflun upplýsinganna hafi verið heimil á þeim grundvelli að vinnslan hafi verið liður í ráðstöfunum að beiðni hins skráða áður en samningur er gerður, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Ljóst er að kvartandi undirritaði raðgreiðslusamning við Borgun hjá Dekkjahöllinni. Í samningnum segir að með undirritun sinni heimili lántakandi að framkvæmt verði lánshæfismat sem byggi m.a. á upplýsingum frá Creditinfo. Verður því talið að í samningnum felist beiðni um ráðstöfun af hálfu Borgunar, þ. á m. um uppflettingu í skrám Creditinfo. Sú aðgerð Borgunar að fletta kvartanda upp í kerfi Creditinfo á grundvelli samnings um raðgreiðslur hjá Dekkjahöllinni telst því samrýmast 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Raðgreiðslusamningur kvartanda hjá Ferðaskrifstofu Íslands var hins vegar óundirritaður og verður því ekki talið að í honum felist beiðni til uppflettingar í kerfum Creditinfo. Getur sú vinnsla því ekki stuðst við framangreint ákvæði 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Kemur þá til skoðunar hvort uppfyllt séu skilyrði 7. tölul. 1. mgr. 8. gr. sömu laga.
Uppflettingar í skrám Creditinfo geta stuðst við 7. tölul. 1. mgr. 8. gr., ef vinnsla persónuupplýsinganna er nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Í því tilviki sem hér um ræðir liggur fyrir að kvartandi óskaði eftir raðgreiðslusamningi við Borgun vegna viðskipta við Ferðaskrifstofu Íslands, og var það ástæða uppflettingar Borgunar á honum í skrá Creditinfo. Liggur því fyrir að Borgun hafi verið að gæta lögmætra hagsmuna sinna þegar kvartanda var flett upp í skrá Creditinfo, sbr. 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Með vísan til framangreinds telur Persónuvernd að uppfletting Borgunar á kvartanda í skrá Creditinfo Lánstrausts hf. hafi samrýmst lögum nr. 77/2000.
Ú r s k u r ð a r o r ð:
Uppflettingar Borgunar hf. á [A] í skrá Creditinfo Lánstrausts hf. samrýmdust lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.