Ákvörðun Persónuverndar um að synja beiðni Lánstrausts
Ákvörðun
Hinn 10. desember 2007 komst stjórn Persónuverndar að svohljóðandi niðurstöðu í máli nr. 2007/555:
I.
Persónuvernd barst erindi frá Lánstrausti hf. (hér eftir LT), dags. 27. júlí 2007, um breytingar á starfsleyfum. Meðal annars var sótt um að mega vinna upplýsingar um greiðsluhegðun einstaklinga. Með bréfi, dags. 13. september 2007, óskaði Persónuvernd nánari skýringa þannig að ljóst væri í hverju vinnslan myndi felast. Persónuvernd barst síðar sérstök leyfisumsókn frá LT, dags. 5. nóvember. Af henni mátti ráða að upplýsingum yrði safnað frá kröfuhöfum um greiddar kröfur. Safnað yrði upplýsingum um kennitölu greiðanda, gjalddaga eða eindaga og greiðsludag kröfu. Þetta yrði fært í kerfi („greiðsluhegðunarkerfi") sem myndi sýna hegðun viðkomandi - þ.e. hversu mörgum dögum fyrir eða eftir gjalddaga eða eindaga hann greiði reikninga sína á hverjum ársfjórðungi. Sýndur yrði dagafjöldi reiknaður út frá meðaltali en fram kæmi hversu margir reikningar lægju til grundvallar upplýsingum hvers ársfjórðungs.
LT vísaði til 7. tl. 8. gr. laga nr. 77/2000, sem og 1. mgr. 3. gr. reglna nr. 246/2001. Í 7. tl. 1. mgr. 8. gr. er að finna lagaheimild til vinnslu almennra persónuupplýsinga, þ.e. að vinnslan sé heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Segir að upplýsingar um það hvernig einstaklingur hafi hagað sér í fortíðinni séu taldar geta gefið vísbendingar um framtíðarhegðun hans, bæði um greiðsluhegðun og aðra þætti. LT telur upplýsingarnar í eðli sínu vera jákvæðar þar sem þær feli í sér upplýsingar um greiðslugetu og greiðsluvilja viðkomandi og lítil sem engin hætta sé á að krafa reynist umdeild hafi hún þegar verið greidd.
II.
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið „vinnsla" er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Með vinnslu er t.d. átt við söfnun og skráningu og undir það fellur m.a. rafræn vöktun, flokkun, varðveisla, breyting, leit, miðlun, samtenging eða hver sú aðferð sem nota má til að gera upplýsingar tiltækar, sbr. athugasemdir í greinargerð með frumvarpi því er varð síðar að lögum nr. 77/2000.
Miðlun upplýsinga um greiðsluhegðun einstaklinga telst vera vinnsla persónuupplýsinga í framangreindum skilningi. Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Upplýsingar um fjárhagsmálefni og lánstraust eru ekki skilgreindar sem viðkvæmar persónuupplýsingar í skilningi laganna, sbr. 8. tölul. 2. gr. laga nr. 77/2000. Þarf vinnslan því aðeins að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. Hefur verið talið að söfnun og miðlun fjárhagsupplýsinga um einstaklinga í því skyni að miðla þeim til annarra geti, að viðeigandi skilyrðum uppfylltum, átt sér stoð í 1., 2., 3. eða 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Enda þótt fyrir liggi að uppfyllt sé eitthvert af framangreindum skilyrðum getur Persónuvernd ákveðið að vinnsla skuli engu að síður teljast leyfisskyld, sbr. 33. gr. laganna. Með vísun til þessa, og að því virtu að vinnsla upplýsinga um fjárhagsmálefni og lánstraust lögaðila er háð leyfi Persónuverndar, sbr. 2. mgr. 45. gr. laganna, hefur Persónuvernd ákveðið að sama gildi um upplýsingar um fjárhagsmálefni og lánstraust einstaklinga. Kemur þessi afstaða hennar fram í 4. tölul. 1. mgr. 7. gr. reglna nr. 698/2004 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, sem settar eru samkvæmt heimild í 31., 32. og. 33. gr. laga nr. 77/2000. Af framanrituðu leiðir að forsenda þess að Persónuvernd veiti leyfi til vinnslu, á grundvelli reglna nr. 698/2004, er að hún eigi sér stoð í einhverju af heimildarákvæðum 1. mgr. 8. gr.
III.
Af hálfu LT hefur verið vísað til heimildarákvæðis 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þar kemur fram að vinnsla almennra persónuupplýsinga er heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Við beitingu þessa ákvæðis þarf að vega og meta hvort vegi þyngra; annars vegar hagsmunir af því að vinnslan fari fram fram og hins vegar hagsmunir af því að hún geri það ekki. Við það mat er m.a. litið til ákvæðis 1. gr. laganna um að markmið þeirra sé að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs.
Við mat á því hvort heimildarákvæðið sé uppfyllt ber m.a. að líta til meginreglna 7. gr. laganna. Í 1. tl. 1. mgr. 7. gr. kemur fram að við meðferð persónuupplýsinga skuli gæta þess að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti. Í 2. tl. er mælt fyrir um að við meðferð persónuupplýsinga skuli gæta þess gætt að þeirra sé aflað í yfirlýstum, skýrum og málefnalegum tilgangi. Í því felst m.a. að tilgangur með vinnslu persónuupplýsinga sé skýrt skilgreindur og afmarkaður, sem og að hún sé í samræmi við eðli starfseminnar og helgist af einhverjum lögmætum hagsmunum. Í 3. tl. kemur fram að þess skuli gætt við vinnslu persónuupplýsinga að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Í því felst að vinnslu persónuupplýsinga eru settar ákveðnar skorður, þ. á m. að ekki sé unnið með meiri persónuupplýsingar en þörf krefur til að gæta lögvarinna hagsmuna.
Ljóst er að sú vinnsla sem erindi LT lýtur að er líkleg til að verða mjög umfangsmikil. Má ætla að ef af verði muni upplýsingar verða unnar um greiðsluhegðun meginþorra þjóðarinnar. Af þeim sökum má ætla að aðstæður þeirra, sem upplýsingarnar varða, séu um margt ólíkar og vinnslan komi því mjög misjafnlega við þá. Í athugasemdum við frumvarp það, er varð að lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, kemur fram að 7. tl. 8. gr. verði ekki beitt nema ábyrgðaraðili hafi viðhaft mat á því hvort hagsmunir hins skráða af því að vinnslan fari ekki fram vegi þyngra en þeir hagsmunir sem mæla með vinnslunni. Þar sem ekki hefur verið sýnt fram á að slíkt mat hafi farið fram og fyrir liggur rökstudd niðurstaða um að hagsmunir af vinnslu slíkra upplýsinga um einstaklinga séu meiri en af því að hún fari ekki fram verður ekki fallist á fyrirliggjandi beiðni um að breyta starfsleyfi til handa Lánstrausti hf. í samræmi við framangreint.
Á k v ö r ð u n a r o r ð:
Synjað er umsókn Lánstrausts hf. um leyfi til að safna og miðla upplýsingum um greiðsluhegðun einstaklinga.