Úrskurður Persónuverndar í máli nr. 2016/580
Mál nr. 2016/580
Úrskurður
Á fundi stjórnar Persónuverndar hinn 6. desember 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/580:
I.
Bréfaskipti
1.
Persónuvernd hefur borist kvörtun frá [A] (hér eftir nefnd „kvartandi“), dags. 16. mars 2016, yfir notkun Creditinfo Lánstrausts hf. á upplýsingum, sem teknar hafa verið af skrá um fjárhagsmálefni og lánstraust einstaklinga, við gerð skýrslu um lánshæfi. Í kvörtuninni segir meðal annars að upplýsingarnar séu notaðar við gerð slíks mats í fjögur ár eftir að þær hafi verið fjarlægðar af umræddri skrá. Þá segir meðal annars:
„Creditinfo er bundið af starfsleyfi sínu til að mega halda vanskilaskrá og þar stendur í gr. 2.6 að þeim ber að eyða upplýsingum um skuld ef þeim er tilkynnt að hún sé uppgreidd. Það stendur ekkert um það að þeir megi halda áhrifum af skráningunni í 4 ár í viðbót við það.
Það getur ekki verið að þeir megi skerða lánshæfismatið vegna uppgreiddrar skuldar og að það skaði mann í 4 ár eða jafnlengi og þá sem greiða ekki skuld sem skráðir eru á vanskilaskrá. Gr. 2.6 verður ekki skilin öðruvísi en svo en að það beri að eyða upplýsingum um skuld sem er uppgreidd á sama hátt og eyða ber út upplýsingum eftir 4 ár.“
Í þessu sambandi er í kvörtun vísað til 2. mgr. 6. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, en þar er mælt fyrir um bann við miðlun úr skrá samkvæmt reglugerðinni þegar kröfu hefur verið komið í skil. Með vísan til þessa segir í kvörtun að Creditinfo Lánstrausti hf. sé með öllu óheimilt að miðla upplýsingum um skuld ef fyrirtækið viti að henni hafi verið komið í skil. Það að upplýsingar um slíkar skuldir hafi áhrif á lánshæfismat feli í sér miðlun upplýsinganna.
2.
Hinn 27. apríl 2016 óskaði Persónuvernd eftir því í tölvupósti að kvartandi upplýsti hvort Creditinfo Lánstraust hf. hefði unnið með upplýsingar um hana. Hún svaraði því til í tölvupósti samdægurs að tilefni kvörtunarinnar væri lánshæfismat hennar sjálfrar. Að fengnu því svari sendi Persónuvernd Creditinfo Lánstrausti hf. bréf, dags. s.d., þar sem fyrirtækinu var veittur kostur á að tjá sig um framkomna kvörtun. Svarað var með bréfi, dags. 24. maí 2016. Þar er vísað til þess að samkvæmt 10. gr. laga nr. 33/2013 um neytendalán er lánveitanda skylt að meta lánshæfi neytenda áður en samningur um neytendalán er gerður. Einnig er vísað til skilgreiningar i-liðar 5. gr. laganna á lánshæfismati, þess efnis að átt sé við mat lánveitanda á lánshæfi lántaka byggt á upplýsingum sem eru til þess fallnar að veita áreiðanlegar vísbendingar um líkindi þess hvort lántaki geti efnt lánssamning, en slíkt mat skuli byggt á viðskiptasögu aðila á milli og/eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust. Þá segir meðal annars í bréfinu:
„Lánshæfismat Creditinfo er líkt lánshæfismötum sem notuð eru víða um heim. Spágeta líkansins er mæld með svonefndum GINO-stuðli. Líkanið er endurmetið reglulega út frá sögulegum gögnum um vanskil og breytur uppfærðar eftir atvikum og vægi þeirra aðlagað til að bæta spágetu líkansins. Upplýsingar um söguleg vanskil eru án efa með mikilvægustu breytum í líkaninu en vægi þeirra fer minnkandi eftir því sem upplýsingarnar verða eldri.“
Að auki segir að ef og þegar lánveitandi geti sjálfur skoðað eigin viðskiptasögu gagnvart lánsumsækjanda sé annað óhugsandi en að hann horfi einna helst til þess hvort umsækjandinn hafi á síðustu misserum eða árum komist í vanskil með fyrri lánveitingar. Annað væri á allan hátt ósamrýmanlegt við góða viðskiptahætti og venjur. Einnig liggi í hlutarins eðli að það komi oft upp að lánveitandi hafi ekki áður átt í viðskiptum við lánsumsækjanda og hafi því ekki kost á að kanna viðskiptasögu hans gagnvart sér. Þegar viðskiptasögu sé ekki til að dreifa hjá lánveitanda verði hann að treysta á lánshæfismat þriðja aðila. Þar komi að lánshæfismati Creditinfo og þar með mikilvægi upplýsinga um söguleg vanskil.
Tekið er fram í bréfinu að ef í ljós komi að krafa að baki færslu á skrá um fjárhagsmálefni og lánstraust einstaklinga sé sannanlega óréttmæt sé áhrifum hennar eytt þannig að hún hafi ekki áhrif á lánshæfismat. Þá segir að þær breytur, sem ráði lánshæfismati, séu ekki aðgengilegar þeim notanda sem sæki það. Aðeins viðkomandi einstaklingur sjálfur geti fengið þær upplýsingar. Því sé ekki um að ræða miðlun upplýsinga um fyrrum færslur á skrá um fjárhagsmálefni og lánstraust einstaklinga. Þess í stað sé einungis miðlað upplýsingum um áhættuflokk viðkomandi einstaklings og prósentutölu sem greini frá líkum á skráningu upplýsinga um vanskil næstu 12 mánuði.
Vísað er til þess í bréfinu að samkvæmt úrskurði Persónuverndar, dags. 29. maí 2015 í máli nr. 2014/1524, sé við gerð lánshæfismats leyfilegt að notast við upplýsingar sem geti haft þýðingu við mat á fjárhag og lánstrausti hins skráða og hafi verið birtar í opinberum auglýsingum. Þá segir meðal annars:
„Þær opinberu upplýsingar um kvartanda, sem skráðar voru á vanskilaskrá Creditinfo Lánstrausts hf., hafa áhrif á lánshæfismat hans enda eru þær hluti af sögulegum vanskilum kvartanda og greiðslusögu og skipta því máli við gerð lánshæfismats, rétt eins og viðskiptasaga hans myndi gera ef henni væri til að dreifa hjá lánveitanda. Framangreindar upplýsingar eru vanskilafærslur sem eru yngri en fjögurra ára.“
Fram kemur í bréfinu að með vísan til framangreinds telji Creditinfo Lánstraust hf. að sú notkun á upplýsingum um vanskil kvartanda, sem hér um ræðir, sé lögmæt.
3.
Með bréfi, dags. 2. júní 2016, veitti Persónuvernd kvartanda færi á að tjá sig um framangreint svar Creditinfo Lánstrausts hf., dags. 24. maí s.á. Kvartandi svaraði með bréfi, dags. 16. júní s.á. Þar kemur fram að kröfur á hendur henni hafa þrisvar verið færðar á skrá Creditinfo Lánstrausts hf. um fjárhagsmálefni og lánstraust einstaklinga. Segir að fyrsta færslan hafi verið vegna skuldar við viðskiptabanka hennar og ætti að vera búið að afmá hana af skránni í kjölfar fjárhagslegrar endurskipulagningar þar sem gerð hafi verið leiðrétting í tengslum við fjármál hennar. Annað skiptið hafi verið vegna greiðslukortaskuldar sem ekki hafi skuldfærst af reikningi hennar eins og ráð hafi verið fyrir gert, en hún hafi nú verið gerð upp. Þriðja skiptið hafi verið vegna námskeiða sem hún hafi þurft að hætta við vegna veikinda en skráð sig of seint úr þannig að veikindavottorð hafi ekki verið tekið gilt. Hafi verið fallist á að lækka kröfuna eftir að gengið hafi verið alla leið í innheimtuferlinu.
Einnig hafnar kvartandi því að fyrrnefndur úrskurður Persónuverndar geti átt við hér, enda hafi ekki verið um að ræða upplýsingar í Lögbirtingablaðinu. Sé óheimilt að hafa þær á umræddri skrá Creditinfo Lánstrausts hf. þar sem þær lúti að skuldum sem hafi verið uppgreiddar. Þá beri að túlka lög eftir orðanna hljóðan og leiðrétta ranga lagatúlkun, en hvergi komi fram í reglugerðum og lagaákvæðum að færslur á skránni geti haft áhrif þegar skuldum hafi verið komið í skil.
4.
Með bréfi, dags. 29. júlí 2016, óskaði Persónuvernd nánari skýringa frá Creditinfo Lánstrausti hf. Í bréfinu vísaði stofnunin til 1. mgr. greinar 2.6 í leyfi Persónuverndar, dags. 28. desember 2015 (mál nr. 2015/1428), til að halda skrá um fjárhagsmálefni og lánstraust einstaklinga. Nánar tiltekið vísaði stofnunin til þess að samkvæmt því ákvæði ber að eyða upplýsingum af skránni sem komið hefur verið í skil. Bent var á að svo að unnt væri við lánshæfismat að notast við slíkar upplýsingar yrði hins vegar að varðveita upplýsingarnar. Var þess óskað að fram kæmi hvernig Creditinfo Lánstraust hf. teldi slíka varðveislu horfa við framangreindu leyfisákvæði, sem og ákvæði 2. mgr. 6. gr. reglugerðar nr. 246/2001. Creditinfo Lánstraust hf. svaraði með bréfi, dags. 31. ágúst 2016. Þar segir meðal annars:
„Þegar Creditinfo Lánstraust hf. hefur fengið staðfestingu á að krafa sé greidd eða henni hafi verið komið í skil er skráningu eytt af vanskilaskrá Creditinfo. Það sama er gert ef skráning verður fjögurra ára án þess að kröfu hafi verið komið í skil. Í báðum tilfellum er færslum eytt – þær afskráðar – af vanskilaskránni en til verða upplýsingar um viðskiptasögu hins skráða sem hægt er að nota í tölfræðilegum tilgangi líkt og gert er í lánshæfismati Creditinfo Lánstrausts hf. Eftir að færslur hafa verið afskráðar af vanskilaskrá er þeim ekki miðlað hvort sem þær eru afskráðar vegna uppgreiðslu eða vegna aldurs á skránni.“
Einnig segir að vinnsla lánshæfismats styðjist við samþykki hins skráða, m.a. til þess að notaðar séu breytur sem byggist á sögulegum upplýsingum um vanskil. Einnig er áréttuð sú afstaða Creditinfo Lánstrausts hf. að með lánshæfismati sé ekki miðlað upplýsingum af skrá um fjárhagsmálefni og lánstraust einstaklinga, enda séu þær breytur, sem ráða niðurstöðu lánshæfismats, ekki birtar þeim sem sæki matið. Þá er áréttað það sem fyrr greinir um skyldu til að meta lánshæfi áður en samningur um neytendalán er gerður, sbr. 10. gr. laga nr. 33/2013 um neytendalán. Í því sambandi segir:
„Það liggur í hlutarins eðli að tölfræðileg spá um atburði í framtíðinni verður að byggja á sögulegum upplýsingum, s.s. um skilvísi og greiðslugetu. Lánshæfislíkan Creditinfo Lánstrausts hf. er tölfræðilegt spálíkan líkt lánshæfislíkönum sem notuð eru víða um heim. Alls staðar í heiminum þar sem lánveitendur nota lánshæfismat eru sögulegar upplýsingar nýttar í þeim tilgangi að auka áreiðanleika slíks mats. Ef upplýsingar um greiðslusögu í fortíðinni eiga ekki að hafa áhrif á lánshæfismat væri grundvellinum kippt undan gagnsemi matsins. Slíkt mat myndi augljóslega ekki fullnægja ákvæðum 5. gr. laga nr. 33/2013 og færi þvert gegn ummælum með 10. gr. lagafrumvarpsins þar sem tiltekið er að lánshæfismat geti m.a. byggt á skilvísi og greiðslusögu en það hefur sýnt sig að sögulegar upplýsingar um skilvísi, vanskil og greiðslusögu hafa mikið forspárgildi um líkur á vanskilum í framtíðinni.“
Með vísan til þessa segir í bréfinu að lögvarðir hagsmunir lánveitanda, sbr. 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, vegi hér þyngra en grundvallarréttindi og frelsi hins skráða. Þá segir að löggjöf um neytendalán sé ætlað að vernda hagsmuni neytenda á þann hátt að þeir skuldsetji sig ekki umfram greiðslugetu. Lánshæfismat Creditinfo Lánstrausts hf. styðji slík markmið, en lánshæfismat, sem augljóslega ofmæti lánshæfi einstaklings, væri skaðlegt hagsmunum lántaka og lánveitanda og gengi þvert gegn markmiðum laga nr. 33/2013.
Að auki er áréttað í bréfinu það sem fyrr segir um úrskurð Persónuverndar, dags. 29. maí 2015 í máli nr. 2014/1524. Segir að í tilfelli kvartanda hafi færslur frá 2013, sem afskráðar voru á því ári og árið 2014, haft áhrif á lánshæfismat, en annars vegar ræði um upplýsingar úr opinberum skrám en hins vegar áritaðar stefnur. Þá segir að með vísan til framangreinds sé Creditinfo Lánstrausti hf. heimilt að nota upplýsingarnar til grundvallar útreikningi á lánshæfismati kvartanda.
II.
Forsendur og niðurstaða
1.
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Við mat á því hver sé ábyrgðaraðili í þessum skilningi getur þurft að líta til ákvæða í öðrum lögum eins og við á hverju sinni. Eins og hér háttar til reynir á lög nr. 33/2013 um neytendalán í því samhengi. Samkvæmt 2. mgr. 10. gr. þeirra laga skal lánveitandi, áður en samningur um neytendalán er gerður, meta lánshæfi neytanda. Samkvæmt i-lið 5. gr. laganna er þar um að ræða mat lánveitanda á lánshæfi lántaka byggt á upplýsingum sem eru til þess fallnar að veita áreiðanlegar upplýsingar um líkindi þess hvort lántaki geti efnt lánssamning. Lánshæfismat skuli byggt á viðskiptasögu aðila á milli og/eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust.
Creditinfo Lánstraust hf. hefur yfir að ráða upplýsingakerfum um fjárhagsmálefni og lánstraust sem meðal annars lánveitendur afla sér upplýsinga úr þegar metið er lánshæfi þeirra sem æskja fjárhagslegrar fyrirgreiðslu. Ljóst má telja að viðkomandi lánveitendur séu ábyrgðaraðilar að þeirri vinnslu sem þeir sjálfir viðhafa við gerð slíks mats. Það að koma þess háttar upplýsingakerfum á fót og að framan greinir og vinna með upplýsingar í þeim í því skyni að miðla þeim til lánveitenda telst hins vegar vera á ábyrgð þess aðila sem hefur rekstur upplýsingakerfanna með höndum. Samkvæmt því telst Creditinfo Lánstraust hf. vera ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem fólst í notkun upplýsinga, sem þar hafa verið skrásettar, til gerðar skýrslna fyrirtækisins um mat á lánshæfi kvartanda.
2.
Söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, þarf að byggjast á starfsleyfi Persónuverndar, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust sem sett er með stoð í 45. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Starfsemi Creditinfo Lánstrausts hf. fellur að miklu leyti undir framangreind ákvæði og hefur Persónuvernd veitt fyrirtækinu leyfi í samræmi við þau, sbr. nú leyfi, dags. 28. desember 2015 (mál nr. 2015/1428). Varðandi þá vinnslu, sem um ræðir í máli þessu, verður hins vegar að líta til 1. mgr. 1. gr. áðurnefndrar reglugerðar, en þar segir að hún taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi. Slíkt lánshæfismat og hér um ræðir felur í sér gerð slíkra skýrslna og fellur því ekki undir framangreint leyfi. Jafnframt er þó ljóst að upplýsingar, sem falla undir leyfið, má ekki nýta í þágu gerðar lánshæfismats á þann hátt að brjóti gegn leyfinu.
3.
Svo að vinnsla persónuupplýsinga sé heimil þarf ávallt að vera fullnægt einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Samkvæmt 1. tölul. þeirrar málsgreinar er vinnsla persónuupplýsinga heimil á grundvelli samþykkis. Fyrir liggur að áður en gerð er skýrsla um lánshæfi hjá Creditinfo Lánstrausti hf. liggur fyrir beiðni hins skráða. Við mat á því hvort hún teljist fela í sér samþykki er til þess að líta að það þarf að vera veitt af fúsum og frjálsum vilja, sbr. 7. tölul. 2. gr. laga nr. 77/2000. Ljóst er hins vegar, m.a. þegar litið er til laga nr. 33/2013 um neytendalán, að vilji einstaklingur eiga tiltekin viðskipti getur hann ekki komist hjá því að lánshæfi hans sé metið. Það að til staðar sé raunverulegt val einstaklings er skilyrði þess að kröfum til samþykkis sé fullnægt og telur Persónuvernd að eins og hér háttar til geti skort á að svo sé. Jafnframt skal þó tekið fram að stofnunin telur engu að síður mikilvægt að í aðdraganda gerðar lánshæfismats liggi fyrir beiðni hins skráða, m.a. í ljósi sjónarmiða um sanngirni vinnslu, sbr. það sem síðar greinir um 7. gr. laga nr. 77/2000, og til að fullnægjandi fræðsla sé veitt, sbr. 20. og 21. gr. sömu laga.
Samkvæmt 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Þá er vinnsla heimil samkvæmt 3. tölul. sömu málsgreinar sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, en slík lagaskylda getur falist í lögum nr. 33/2013. Telja má þessar tvær vinnsluheimildir geta rennt stoðum undir vinnslu persónuupplýsinga í tengslum við gerð lánshæfismats hjá lánveitanda sem metur lánshæfi einstaklings sem æskir fjárhagslegrar fyrirgreiðslu. Fyrirtæki, sem útbýr skýrslur um lánshæfi í því skyni að miðla þeim til lánveitenda, er ekki aðili að samningi um þess háttar fyrirgreiðslu, auk þess sem lagaskylda samkvæmt lögum nr. 33/2013 hvílir ekki á því. Framangreindar tvær vinnsluheimildir geta því ekki átt við um Creditinfo Lánstraust hf. sem slíkt fyrirtæki. Til þess er hins vegar að líta að samkvæmt 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Telur Persónuvernd þetta ákvæði einkum geta átt við um þá vinnslu persónuupplýsinga sem fram fer í upplýsingakerfum Creditinfo Lánstrausts hf. vegna gerðar skýrslna um lánshæfi.
Auk þess sem heimild þarf að vera fyrir vinnslu persónuupplýsinga í 8. gr. laga nr. 77/2000 verður öllum grunnkröfum 1. mgr. 7. gr. sömu laga að vera fullnægt við slíka vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og vera í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli vera varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Hér reynir á hvort við gerð skýrslna um lánshæfi kvartanda hafi Creditinfo Lánstraust hf. mátt notast við færslur á skrá um fjárhagsmálefni og lánstraust einstaklinga sem eytt hafði verið af þeirri skrá á grundvelli greinar 2.6 í starfsleyfi fyrirtækisins til að halda þá skrá, sbr. leyfi, dags. 19. september 2012 (mál nr. 2012/266), og síðar leyfi, dags. 19. desember 2013 (mál nr. 2013/1169), sem í gildi voru á þeim tíma sem færslur um kvartanda voru afskráðar, sbr. nú fyrrnefnt leyfi, dags. 28. desember 2015. Samkvæmt þessu ákvæði skal eyða upplýsingum um einstakar skuldir af skránni sé vitað að þeim hafi verið komið í skil, sem og upplýsingum sem orðnar eru fjögurra ára gamlar. Hins vegar kemur fram að geyma má síðarnefndu upplýsingarnar í þrjú ár til viðbótar ef þær lúta ströngum aðgangstakmörkunum og ef þess er vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn Creditinfo Lánstrausts hf. sem þess þurfa nauðsynlega starfs síns vegna. Að þeim tíma liðnum skuli þeim eytt. Þessi heimild til þriggja ára viðbótarvarðveislu upplýsinga, sem byggist á 3. mgr. 5. gr. reglugerðar nr. 246/2001, var fyrst tekin upp í starfsleyfi hjá Creditinfo Lánstrausti hf. (þá Lánstrausti hf.) útgefnu hinn 17. október 2002 (mál nr. 2002/371), þ.e. 4. gr. þess. Var byggt á rökstuðningi frá fyrirtækinu sem fram kom í bréfi þess, dags. 17. september s.á., en þar var umræddrar varðveislu sögð þörf þar sem skráðir einstaklingar kynnu að óska eftir upplýsingum um gögn sem skráð hefðu verið um þá og ágreiningur kynni að rísa um réttmæti skráningar.
Sé umrætt starfsleyfisákvæði túlkað nákvæmlega eftir orðalagi sínu telst öll vinnsla upplýsinga samkvæmt því hjá Creditinfo Lánstrausti hf. óheimil hafi viðkomandi kröfu verið komið í skil. Er þá litið til þeirra fyrirmæla ákvæðisins að upplýsingum um slíkar kröfur skal eytt af skrá samkvæmt starfsleyfinu, sem og til þess að heimild til þriggja ára viðbótarvarðveislu undir ströngum aðgangstakmörkunum á ekki við um þær. Hins vegar verður hér einnig að líta til ákvæða reglugerðar nr. 246/2001, en ákvæði í starfsleyfum frá Persónuvernd verða að vera innan þess ramma sem sú reglugerð afmarkar. Um eyðingu upplýsinga er fjallað í 3. mgr. 5. gr. reglugerðarinnar, en þar segir að eyða skuli jafnharðan úr skrám fjárhagsupplýsingastofu upplýsingum sem eru eldri en fjögurra ára nema annað sé sérstaklega heimilað í starfsleyfi frá Persónuvernd. Ekki er að finna ákvæði í reglugerðinni um eyðingu upplýsinga sem komið hefur verið í skil. Þess í stað segir í 2. mgr. 6. gr. reglugerðarinnar að óheimlt sé að miðla slíkum upplýsingum. Af því verður ráðið að varðveisla þeirra sé eftir sem áður heimil þar til fjögurra ára fresturinn er liðinn, en ætla verður að slík varðveisla geti þjónað málefnalegum tilgangi, s.s. þeim að leysa úr ágreiningi af tilefni skráningar. Telur Persónuvernd samkvæmt þessu að fyrirmæli greinar 2.6 um eyðingu upplýsinga, sem komið hefur verið í skil, skuli ekki túlkast á þann veg að þeim skuli eytt alfarið heldur þannig að þeim skuli eytt af þeirri skrá sem notuð er til miðlunar. Samkvæmt því, og í samræmi við reglugerð nr. 246/2001, er varðveisla þeirra því heimil áfram utan þeirrar skrár þar til þær hafa náð fjögurra ára aldri, enda sé viðeigandi öryggis gætt, þ. á m. með aðgangshindrunum, í samræmi við 11. gr. laga nr. 77/2000.
Þær upplýsingar, sem hér um ræðir, lúta að kröfum sem komið hefur verið í skil en eru ekki enn orðnar fjögurra ára gamlar. Í samræmi við það taldist varðveisla þeirra, utan þeirrar skrár sem Creditinfo Lánstraust hf. notar til miðlunar á grundvelli umrædds starfsleyfis, enn vera heimil þegar þær voru nýttar til gerðar skýrslu um lánshæfi kvartanda. Reynir þá á hvort notkun upplýsinganna í slíkum tilgangi geti talist jafnframt vera heimil. Ákvæði reglugerðar nr. 246/2001 og fyrrnefnds starfsleyfis útiloka það ekki, en jafnframt er ljóst að afmarka verður þröngt í hvaða skyni vinna megi með upplýsingar sem safnað er á grundvelli reglugerðarinnar og leyfisins. Eins og hér háttar til hefur það vægi að skýrslum Creditinfo Lánstrausts hf. um lánshæfi er ætlað að nýtast við lánshæfismat á grundvelli framangreinds ákvæðis 10. gr. laga nr. 33/2013. Þau lög voru meðal annars sett til innleiðingar á tilskipun 2008/48/EB um lánasamninga fyrir neytendur, en samkvæmt 1. mgr. 8. gr. þeirrar tilskipunar skal tryggja að áður en slíkur samningur er gerður meti lánveitandi lánshæfi neytandans á grundvelli fullnægjandi upplýsinga sem eru, þegar við á, fengnar frá neytandanum og á grundvelli leitar í viðeigandi gagnasafni ef þörf krefur. Í 26. lið formála tilskipunarinnar er fjallað nánar um slíkt lánshæfismat, en þar segir meðal annars að gerðar skuli viðeigandi ráðstafanir til að stuðla að ábyrgum starfsháttum í öllum þáttum lánveitinga. Kemur fram að áhætta, sem fylgi vanskilum og skuldasöfnun, skipti máli í því sambandi og að einkum sé mikilvægt að lánveitendur stundi ekki óábyrga lánastarfsemi eða veiti lán án þess að hafa áður fengið mat á lánshæfi. Segir einnig að ákvarða skuli nauðsynleg úrræði til að beita þá lánveitendur viðurlögum sem það geri.
Af framangreindu er ljóst að rík áhersla er á það lögð að gert sé áreiðanlegt lánshæfismat í aðdraganda samnings um neytendalán. Einnig liggur fyrir, eins og áður greinir, að skýrslum Creditinfo Lánstrausts hf. er ætlað að nýtast til gerðar slíks mats. Þá verður ekki litið svo á að það feli í sér óheimila miðlun upplýsinga um vanskilakröfur, sem komið hefur verið í skil, að þær hafi áhrif á niðurstöðu skýrslna um lánshæfi, enda liggur fyrir að upplýsingarnar sjálfar berast ekki viðtakendum matsins. Þegar litið er til þessa telur Persónuvernd vinnslu Creditinfo Lánstrausts hf. á þeim upplýsingum um kvartanda, sem um ræðir í máli þessu, hafa átt stoð í áðurgreindu ákvæði 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en auk þess telur stofnunin ekki hafa komið fram að farið hafi verið gegn kröfum 1. mgr. 7. gr. sömu laga um meðal annars sanngirni, meðalhóf, áreiðanleika og varðveislutíma við vinnslu persónuupplýsinga. Jafnframt minnir stofnunin hins vegar á mikilvægi þess að við slíka upplýsingavinnslu og hér um ræðir er brýnt að viðhafa ávallt virkt innra eftirlit samkvæmt 12. gr. laganna til að tryggja að farið sé að þessum kröfum, sem og að öryggi sé fullnægjandi og að farið sé að lögum að öðru leyti.
Ú r s k u r ð a r o r ð:
Vinnsla Creditinfo Lánstrausts hf. á upplýsingum um [A] við gerð lánshæfismats, þ.e. á upplýsingum úr skrá um fjárhagsmálefni og lánstraust einstaklinga um kröfur sem komið hafði verið í skil, samrýmdist lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.