Sekt á hendur Almennri innheimtu ehf. (nú A.I.C. ehf.) vegna sendingar upplýsinga til skráningar hjá Creditinfo Lánstrausti
Mál nr. 2023050850
Almennt verður vinnsla persónuupplýsinga að vera með lögmætum, sanngjörnum og gagnsæjum hætti. Starfræksla fjárhagsupplýsingastofu og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning, í því skyni að miðla þeim til annarra, er bundin leyfi Persónuverndar. Auk þess bera áskrifendur að upplýsingakerfum fjárhagsupplýsingastofu, sem miðla upplýsingum til skráningar þar, ábyrgð á að heimild standi til þeirrar miðlunar og skráningar.
Í þessu tilviki sendi Almenn innheimta ehf. (nú A.I.C. ehf.) upplýsingar um vanskil lána sem veitt voru af eCommerce 2020 ApS til skráningar hjá fjárhagsupplýsingastofu án þess að nauðsynlegir skilmálar þar að lútandi hefðu verið í lánaskilmálum eCommerce 2020 ApS. Þá voru upplýsingar um kröfur sendar til skráningar þó svo að þær væru undir gildandi lágmarksfjárhæð.
-----
Persónuvernd hefur lagt stjórnvaldssekt, að upphæð 3.500.000 krónur, á A.I.C. ehf. (áður Almenn innheimta ehf.) vegna skráningar á vanskilum krafna vegna svonefndra smálána hjá fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf. á tilteknu tímabili án þess að skráningarskilyrðum væri fullnægt.
Við ákvörðun um álagningu sektar og fjárhæð hennar var litið til fjölda hinna skráðu, þess að vinnslan tengdist kjarnastarfsemi félagsins, þess að starfseminni var ætlað að skila hagnaði, svo og hins sérlega íþyngjandi eðlis vinnslunnar, m.a. í tengslum við möguleika hinna skráðu á lánafyrirgreiðslu vegna íbúðakaupa eða ófyrirséðra útgjalda. Jafnframt var höfð til hliðsjónar stjórnvaldssekt sem lögð var á eCommerce 2020 ApS með ákvörðun Persónuverndar, dags. sama dag. Hafði mikill rekstrarhagnaður, sem það félag naut vegna umræddra lánveitinga, þar sérstakt vægi, og var litið til þess að ársreikningar A.I.C. ehf. sýndu ekki slíkan hagnað. Þá var tekið tillit til þess, við afmörkun sektarfjárhæðar, að veruleg lækkun hafði orðið á veltu félagsins frá því að atvik máls áttu sér stað.
Ákvörðun
Hinn 27. júní 2023 tók stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2023050850, þ.e. vegna athugunar á skráningu upplýsinga um vanskil svonefndra smálána af hálfu Almennrar innheimtu ehf. (nú A.I.C ehf.):
I.
Málsmeðferð
1.
Tildrög máls – Málsmeðferð
Upphaf þessa máls má rekja til þess að hinn 16. júní 2020 barst Persónuvernd kvörtun frá Neytendasamtökunum yfir vinnslu persónuupplýsinga hjá fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf. í tengslum við svokölluð smálán (mál nr. 2020061901), en á þeim tíma voru lánin til innheimtu hjá Almennri innheimtu ehf. (nú A.I.C. ehf.).
Kvörtun Neytendasamtakanna sneri að því að Creditinfo Lánstraust hf. hefði skráð kröfur um slík lán þrátt fyrir að vextir og kostnaður af lánunum hefðu brotið gegn neytendalöggjöf. Bréfaskipti áttu sér stað um það atriði milli Persónuverndar og Creditinfo Lánstrausts hf., þ.e. varðandi það hvort skráning vanskila á lánunum hefði verið lögmæt. Var málið afmarkað við tiltekið tímabil sem hófst við gildistöku laga nr. 90/2018, og þar með sektarheimilda Persónuverndar, og þar til stofnunin taldi mega ætla að veiting lánanna hefði verið færð til samræmis við lög.
Hinn 18. nóvember 2022 var í Landsrétti kveðinn upp dómur í máli nr. 646/2021, en þar var komist að þeirri niðurstöðu að dönsk lög en ekki íslensk hefðu gilt um vexti og kostnað af umræddum lánum á framangreindu tímabili. Af þeirri dómsniðurstöðu var ljóst að umrædd skráning gat ekki talist fara í bága við fyrrnefnda kröfu um lögmæti með vísan til þess að lánin hefðu brotið gegn hérlendri neytendalöggjöf.
Í kjölfar rannsóknar framangreinds máls vegna kvörtunar frá Neytendasamtökunum reynir hins vegar nú á nýtt úrlausnaratriði, þ.e. um skilmála umræddra lána í tengslum við 7. tölul. liðar 2.2.1 í því starfsleyfi Persónuverndar sem í gildi var þegar atvik máls áttu sér stað, þ.e. leyfi, dags. 29. desember 2017 (mál nr. 2017/1541), sbr. 7. tölul. liðar 2.2.2 í núgildandi starfsleyfi, dags. 1. mars 2023 (mál nr. 2022111817). Hefur starfsleyfisákvæðið að geyma þá reglu að hjá Creditinfo Lánstrausti hf. sé heimilt að skrá vanskil þegar í láns- eða skuldaskjali, sem skuld er sprottin af, er mælt fyrir um heimild til skráningar vanskila sem varað hafa í 40 daga, sbr. og nánari skilyrði ákvæðisins í þeim efnum. Hefur Persónuvernd talið ljóst að skráning á vanskilum á umræddum lánum hafi einkum getað helgast af ákvæði sem þessu í lánaskilmálum.
Samskipti Persónuverndar og Creditinfo Lánstrausts hf., í þágu rannsóknar máls vegna kvörtunar Neytendasamtakanna, leiddu í ljós að frá gildistöku laga nr. 90/2018, þann 15. júlí 2018, til 23. maí 2019 skorti ákvæði sem þetta í skilmála lána á vegum eCommerce 2020 ApS. Engu að síður sendi Almenn innheimta ehf. upplýsingar um þau til vanskilaskráningar hjá Creditinfo Lánstrausti hf. Kemur fram í gögnum málsins, þ.e. skýringum sem fjárhagsupplýsingastofan veitti í tölvupósti 16. og 20. júní 2022, að um 2.000 skráningar vegna lána frá eCommerce 2020 ApS höfðu þá fundist frá 15. júlí 2018 til nóvemberloka 2019, í samræmi við þær forsendur sem þá var byggt á. Var gerður fyrirvari um eyðingu upplýsinga vegna reglna um hámarksvarðveislutíma og verður því að gera ráð fyrir að skráningarnar hafi verið fleiri.
Þá liggur einnig fyrir að Almenn innheimta ehf. sendi upplýsingar til Creditinfo Lánstrausts hf. um vanskil krafna þrátt fyrir að höfuðstóll þeirra væri undir lágmarksfjárhæð krafna sem skrá mátti samkvæmt skilmálum starfsleyfis, sbr. upphaf liðar 2.2.1 í starfsleyfinu 2017, sbr. upphaf liðar 2.2.2 í núgildandi leyfi, en samkvæmt umræddum skýringum Creditinfo Lánstrausts hf. voru kröfur vegna lána eCommerce 2020 ApS á hendur 577 einstaklingum afskráðar af þessum sökum hjá fjárhagsupplýsingastofunni í ágúst 2019.
Í ljósi framangreinds taldi Persónuvernd að tilefni gæti gefist til að leggja stjórnvaldssekt á Almenna innheimtu ehf. (nú A.I.C ehf.). Var því leitast við að senda félaginu bréf, þar sem veita átti félaginu andmælarétt um það atriði og aðgang að viðeigandi gögnum, þ. á m. úr máli vegna áðurnefndrar kvörtunar Neytendasamtakanna yfir Creditinfo Lánstrausti hf., ásamt því að upplýsa félagið um að sekt gæti numið 5.000.000 króna, m.a. í ljósi fjölda hinna skráðu. Bréf, dags. 6. desember 2022, var sent með ábyrgðarpósti á skráð pósthólf og lögheimili A.I.C. ehf. samkvæmt fyrirtækjaskrá Skattsins. Í hvorugt skiptið var bréfið sótt og það endursent Persónuvernd. Þann 13. febrúar 2023 var bréfið sent skráðum varamanni í stjórn félagsins, samkvæmt vottorði úr fyrirtækjaskrá, en heimilisfang aðalmanns er ekki gefið upp í vottorðinu. Með tölvupósti, dags. 17. s.m., barst svar f.h. skráðs varamanns í stjórn þar sem fram kom að honum hefði ekki verið kunnugt um stöðu sína sem stjórnarmanns og hefði jafnframt sagt sig úr stjórn félagsins. Var þá leitast við að afhenda A.I.C. ehf. bréfið á skráð lögheimili félagsins með stefnuvotti og var það afhent skráðum viðtakanda þann 13. mars 2023. Engin svör bárust hins vegar frá A.I.C. ehf. við bréfi Persónuverndar. Að síðustu birti Persónuvernd loks áskorun í Lögbirtingablaði þar sem skorað var á A.I.C. ehf. að sækja tilgreint bréf á skrifstofu Persónuverndar og félaginu jafnframt veittur frestur, til 30. mars 2023, til þess að tjá sig um efni þess. Engin viðbrögð bárust af hálfu A.I.C. ehf. og lítur Persónuvernd svo á að leitað hafi verið allra þeirra leiða til að koma bréfi, dags. 6. desember 2022, til félagsins sem sanngjarnt er að gera kröfu um. Í þágu rannsóknar málsins var ennfremur fyrrum stjórnarformanni og eiganda Almennrar innheimtu ehf. sent bréfið, dags. 6. desember 2022, og fylgigögn og honum veitt færi á að koma með athugasemdir sínar í tengslum við málið. Engin svör bárust hins vegar innan uppgefins frests. Telur Persónuvernd því að andmælaréttar hafi verið nægilega gætt gagnvart félaginu, sbr. 13. gr. stjórnsýslulaga nr. 37/1993, og að jafnframt hafi verið veittur fullnægjandi aðgangur að gögnum, sbr. 15. gr. sömu laga.
II.
Forsendur og niðurstaða
1.
Gildissvið – Afmörkun máls
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 4. gr. laganna og 1. mgr. 2. gr. reglugerðarinnar.
Mál þetta lýtur að sendingu upplýsinga um vanskil einstaklinga til skráningar hjá fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Úrlausnarefni málsins afmarkast við það hvort Almenn innheimta ehf., nú A.I.C. ehf., hafi við sendingu upplýsinga til vanskilaskráningar hjá Creditinfo Lánstrausti hf. gætt að skilyrðum fyrir skráningunni, sbr. umfjöllun í 3. kafla hér á eftir. Það tímabil sem til skoðunar er vegna álagningar sektar nær frá gildistöku sektarheimildar samfara birtingu núgildandi persónuverndarlöggjafar, þ.e. 15. júlí 2018, til annars vegar 23. maí 2019, hvað varðar kröfur sem sendar voru til vanskilaskráningar hjá Creditinfo Lánstrausti hf. þó svo að skilmála þar að lútandi hafi vantað í lánaskilmála, og hins vegar 29. ágúst 2019, hvað varðar kröfur sem sendar voru til vanskilaskráningar þrátt fyrir að vera undir lágmarkshöfuðstól krafna sem færi mátti á skrá.
Þá er sú dómsniðurstaða ekki talin hafa þýðingu hvað úrlausnarefni málsins varðar að dönsk lög hafi gilt um vexti og kostnað af lánum á vegum eCommerce 2020 ApS á framangreindu tímabili, sbr. dóm Héraðsdóm Reykjavíkur 11. ágúst 2021 í máli nr. E-5637/2020 og dóm Landsréttar 18. nóvember 2022 í máli nr. 646/2021. Um innheimtuþjónustu innlendra innheimtufyrirtækja og vanskilaskráningu hjá Creditinfo Lánstrausti hf. gilda íslensk lög og reglur, sbr. meðal annars innheimtulög, nr. 95/2008, 24. gr. a í lögum nr. 77/1998 um lögmenn og starfsleyfi Persónuverndar til handa Creditinfo Lánstrausti hf., sbr. 2. mgr. 15. gr. laga nr. 90/2018.
2.
Ábyrgðaraðili
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar.
Fyrir liggur að að Almenn innheimta ehf. (nú A.I.C. ehf.) sendi upplýsingar um vanskil á umræddum lánum sem veitt voru á vegum eCommerce 2020 ApS, á tímabilinu frá 15. júlí 2018 til 23. maí 2019, til skráningar hjá Creditinfo Lánstrausti hf. Sú miðlun upplýsinga var þáttur í störfum félagsins sem innheimtuaðila fyrir eCommerce 2020 ApS og varð að samrýmast upptalningu starfsleyfisskilmála á hvenær skrásetja má upplýsingar um vanskil sem berast frá áskrifendum að upplýsingakerfum fjárhagsupplýsingastofu, sbr. lið 2.2.1 í því starfsleyfi Persónuverndar sem í gildi var þegar atvik máls áttu sér stað, þ.e. leyfi, dags. 29. desember 2017 (mál nr. 2017/950), sbr. lið 2.2.2 í núgildandi starfsleyfi, dags. 1. mars 2023 (mál nr. 2022111817). Í því felst að sem áskrifandi hjá Creditinfo Lánstrausti hf. varð Almenn innheimta ehf. að tryggja að skilyrðum í þessum efnum væri fullnægt, en sú niðurstaða er í samræmi við fyrri framkvæmd Persónuverndar, sbr. m.a. úrskurð dags. 24. febrúar 2016, í máli nr. 2015/1519, og úrskurð, dags. 18. janúar 2018, í máli nr. 2016/1687. Þá komst spænska persónuverndarstofnunin að sambærilegri niðurstöðu í úrskurði, dags. 7. júní 2021, í máli nr. PS/00140/2021, þ.e. að kröfuhafi hefði borið ábyrgð á að tryggja að skilyrði væru til skráningar vanskila hjá fjárhagsupplýsingastofu og að hann skyldi greiða sekt vegna misbresta á því.
Þá er jafnframt til þess að líta að samkvæmt starfsleyfisskilmálum ber áskrifendum að upplýsingakerfum fjárhagsupplýsingastofu að fara að skilmálum í áskriftarsamningi sem fjárhagsupplýsingastofa gerir við þá. Var þannig í lið 2.9 í starfsleyfinu 2017 mælt fyrir um að Creditinfo Lánstraust hf. skyldi gera áskriftarsamning við áskrifendur, með nánar tilteknum ákvæðum, svo og grípa til viðhlítandi ráðstafana ef í ljós kæmu brot áskrifenda gegn ákvæðum samningsins. Sambærilegt ákvæði er að finna í 6. gr. núgildandi starfsleyfis, en þar er jafnframt gert ráð fyrir að Persónuvernd beiti valdheimildum sínum, svo sem álagningu stjórnvaldssektar, gegn áskrifanda sem ekki hefur farið að skilmálum áskriftarsamnings.
Í ljósi framangreinds telur Persónuvernd verða að leggja til grundvallar að Almenn innheimta ehf. hafi stöðu ábyrgðaraðila, ásamt lánveitanda, vegna vinnslu persónuupplýsinga í tengslum við umrædd lán.
3.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Hefur verið litið svo á að vinnsla upplýsinga um fjárhagsmálefni og lánstraust einstaklinga geti meðal annars átt sér stoð í 6. tölul. 1. mgr. ákvæðis laganna, sbr. f-lið ákvæðis reglugerðarinnar, þ.e. á þeim grundvelli að vinnsla sé nauðsynleg í þágu lögmætra hagsmuna nema hagsmunir eða grundvallarréttindi og frelsi hins skráða vegi þyngra.
Auk heimildar verður vinnsla persónuupplýsinga ávallt að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðarinnar. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins.
Starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning, í því skyni að miðla þeim til annarra, er bundin leyfi Persónuverndar, sbr. 1. mgr. 15. gr. laga nr. 90/2018, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust. Við mat á því hvort vinnsla persónuupplýsinga í tengslum við vanskilaskráningu samrýmist framangreindum ákvæðum 8. og 9. gr. laga nr. 90/2018, sbr. 5. og 6. gr. reglugerðar (ESB) 2016/679, ber að líta til viðeigandi skilmála í starfsleyfi til fjárhagsupplýsingastofu.
Í starfsleyfisskilmálum er að finna upptalningu á því hvenær skrá má upplýsingar um vanskil hjá Creditinfo Lánstrausti hf., en þar má nefna heimild til skráningar á grundvelli sérstakrar yfirlýsingar þar að lútandi í láns- eða skuldaskjali, sbr. 7. tölul. liðar 2.2.1 í því starfsleyfi sem í gildi var þegar atvik máls áttu sér stað, þ.e. leyfi, dags. 29. desember 2017 (mál nr. 2017/1541), sbr. 7. tölul. liðar 2.2.2 í núgildandi starfsleyfi, dags. 1. mars 2023 (mál nr. 2022111817). Meðal þess sem fram kemur í þessari skráningarheimild er að yfirlýsing um skráningu skal vera áberandi og skýr og að vanskil skulu hafa varað í a.m.k. 40 daga. Svo sem fyrr greinir verður einkum talið að skráning vanskila á umræddum lánum hafi getað helgast af ákvæði sem þessu í lánaskilmálum, en það var einnig þáttur í gagnsæi gagnvart hinum skráða.
Í þágu rannsóknar framangreinds vegna kvörtunar frá Neytendasamtökunum aflaði Persónuvernd sýnishorna af lánaskilmálum lána á vegum eCommerce 2020 ApS, bæði frá Creditinfo Lánstrausti hf. og frá Neytendasamtökunum. Ásamt skilmálunum bárust staðlaðar neytendaupplýsingar frá 24. júlí 2019 sem ekki höfðu að geyma tilgreint ákvæði um vanskilaskráningu, en í ljósi þess að umrætt starfsleyfisákvæði tekur ekki til neytendaupplýsinga sem þessara verður hér ekki litið sérstaklega til þess. Öðru máli gegnir um þá þrenna lánaskilmála sem bárust, en þeir höfðu gildistíma frá 3. september 2018, 25. mars 2019 og 23. maí s.á. og höfðu aðeins þeir síðastnefndu að geyma umrætt ákvæði um vanskilaskráningu, sbr. einnig lánaskilmála með þess háttar ákvæði sem Persónuvernd hafði áður aflað frá Almennri innheimtu ehf., hinn 22. október 2019. Jafnframt liggur einnig fyrir að 4. júní s.á. staðfesti eCommerce 2020 ApS í tölvupósti til Creditinfo Lánstrausts hf., þar sem fjárhagsupplýsingastofan óskaði skýringa í tengslum við lánaskilmála eCommerce 2020 ApS, að ákvæði sem þetta hefði ekki verið í lánaskilmálum félagsins frá júlí 2018, auk þess sem félagið áréttaði að umræddir skilmálar hefðu verið ætlaðir til notkunar yfir landamæri. Þá var tekið fram að lánasamningar hefðu nú verið lagfærðir og væri skýrt tekið fram að vanskil í 40 daga leiddu til vanskilaskráningar hjá Creditinfo Lánstrausti hf., sbr. og fyrrnefnda skilmála frá 23. maí 2019.
Auk þess sem umræddan skilmála vantaði fram að þessu getur reynt sérstaklega á hvort hann hafi verið settur fram með nægilega áberandi og skýrum hætti þegar hann á annað borð hafði verið færður inn í lánaskilmála. Ekki verður talið að hugsanlegir annmarkar í þeim efnum gætu, eins og hér háttar til, haft þýðingu við sektarálagningu. Í samræmi við afmörkun máls, sbr. 1. kafla hér að framan, gefst því ekki tilefni til frekari umfjöllunar um þetta atriði, en hins vegar gæti komið til þess síðar. Óháð því er hins vegar ljóst að þegar umræddan skilmála vantaði alfarið voru möguleikar hins skráða til að taka upplýsta ákvörðun við lántöku verulega skertir.
Til þess er einnig að líta að samkvæmt starfsleyfisskilmálum verða upplýsingar um kröfur ekki skráðar á grundvelli fyrrnefnds starfsleyfisákvæðis nema þær nái tiltekinni lágmarksupphæð, sbr. upphaf liðar 2.2.1 í starfsleyfinu 2017, sbr. upphaf liðar 2.2.2 í núgildandi starfsleyfi. Líkt og að framan greinir hefur verið leitt í ljós að í ágúst 2019 afskráði Creditinfo Lánstraust hf. kröfur í eigu eCommerce 2020 ApS á hendur 577 einstaklingum þar sem höfuðstóll þeirra var undir þáverandi lágmarksfjárhæð krafna, þ.e. 50.000 krónum.
Samkvæmt því sem hér hefur verið rakið voru kröfur sendar frá Almennri innheimtu ehf. til vanskilaskráningar hjá Creditinfo Lánstrausti hf. þó svo að nauðsynlegan skilmála þar að lútandi hafi vantað í lánaskilmála eCommerce 2020 ApS, sbr. áðurnefnt ákvæði 7. tölul. liðar 2.2.1 í starfsleyfi fjárhagsupplýsingastofunnar, dags. 29. desember 2017 (mál nr. 2017/1541). Þá liggur fyrir að þar til í ágúst 2019 sendi Almenn innheimta ehf. kröfur í eigu eCommerce 2020 ApS til vanskilaskráningar þrátt fyrir að þær væru undir lágmarkshöfuðstól krafna sem færa mátti á skrá, sbr. upphaf sama liðar leyfisins.
Af öllu framangreindu leiðir að umrædd vinnsla persónuupplýsinga af hálfu Almennrar innheimtu ehf. samrýmdist ekki kröfum 6. tölul. 9. gr. laga nr. 90/2018 og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þ.e. um heimild til vinnslu á grundvelli lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða. Þar sem aðrar vinnsluheimildir samkvæmt 9. gr. laganna og 6. gr. reglugerðarinnar gátu ekki átt hér við brast vinnsluna samkvæmt þessu heimild, en að auki var ekki farið að grunnreglunni um lögmæta, sanngjarna og gagnsæja vinnslu, sbr. 1. tölul. 1. mgr. 8. gr. og a-lið 1. mgr. 5. gr. reglugerðarinnar, sbr. og 2. mgr. beggja ákvæðanna.
4.
Sjónarmið um beitingu viðurlaga
Kemur næst til skoðunar hvort leggja skuli stjórnvaldssekt á A.I.C. ehf., áður Almenna innheimtu ehf., sbr. 46. gr. laga nr. 90/2018, sbr. einnig 83. gr. reglugerðar (ESB) 2016/679. Eins og fram kemur í 1. mgr. 46. gr. laganna getur Persónuvernd meðal annars lagt stjórnvaldssekt á hvern þann ábyrgðaraðila eða vinnsluaðila samkvæmt 4. mgr. ákvæðisins sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. þess.
Nánar tiltekið kemur hér til skoðunar hvort leggja skuli sekt á A.I.C. ehf. fyrir brot gegn áðurnefndum ákvæðum a-liðar 1. mgr. og 2. mgr. 5. gr. og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. sektarheimild í 1. mgr. og 1. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. 2. mgr. og a-lið 5. mgr. 83. gr. reglugerðarinnar.
Við ákvörðun þar að lútandi og um fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag og verður hér fjallað um þau sem á reynir í máli þessu.
a. Hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er
Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brotið var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir.
Eins og atvikum er hér háttað liggur fyrir, þ.e. í gögnum máls vegna kvörtunar Neytendasamtakanna yfir Creditinfo Lánstrausti hf., að fjöldi hinna skráðu var allmikill. Samkvæmt skýringum frá, Creditinfo Lánstrausti hf. í tölvupósti 16. og 20. júní 2022, voru þeir nánar tiltekið um 2.000 talsins, en skýringarnar voru veittar með fyrirvara um eyðingu upplýsinga vegna reglna um hámarksvarðveislutíma.
Skrá Creditinfo Lánstrausts hf. um fjárhagsmálefni einstaklinga er eina slíka skráin á Íslandi og uppfletting í skránni iðulega grunnforsenda fyrir fyrirgreiðslu fjármálafyrirtækja, t.d. viðskiptabanka. Ólögmæt skráning á slíka skrá verður því að teljast sérlega íþyngjandi og geta gert hinum skráða ókleift að fá fyrirgreiðslu frá lánastofnunum, svo sem vegna íbúðarkaupa eða ófyrirséðra útgjalda. Má því ætla að þeir einstaklingar sem skráningin hafði áhrif á kunni að hafa orðið fyrir alvarlegu tjóni.
Með vísan til framangreinds verður að telja sjónarmið um umfang vinnslu og fjölda hinna skráðu hafa íþyngjandi áhrif við beitingu sektarheimildar.
b. Umfang ábyrgðar með tilliti til tæknilegra og skipulagslegra ráðstafana
Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana.
Sú vinnsla persónuupplýsinga sem hér um ræðir tengdist kjarnastarfsemi Almennrar innheimtu ehf., nú A.I.C. ehf., á þeim tíma sem vinnslan átti sér stað, þ.e. innheimtu krafna. Verður því að gera ríkar kröfur til félagsins um tæknilegar og skipulagslegar ráðstafanir til að framfylgja meginreglum um persónuvernd og vernda réttindi skráðra einstaklinga, bæði þegar ákveðnar eru aðferðir við vinnsluna og þegar vinnslan sjálf fer fram.
Ekki telst hafa verið farið nægilega að þessum kröfum og hefur það íþyngjandi áhrif við beitingu sektarheimildar.
c. Flokkar persónuupplýsinga
Samkvæmt 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvaða flokka persónuupplýsinga brot hafði áhrif á.
Þær upplýsingar sem hér um ræðir teljast ekki til viðkvæmra persónuupplýsinga, sbr. 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679. Hins vegar lúta þær að fjárhagslegum vandamálum einstaklinga, auk þess sem unnið er með þær í íþyngjandi samhengi fyrir hinn skráða. Er slíkt til þess fallið að hafa íþyngjandi áhrif.
d. Aðrir íþyngjandi eða mildandi þættir sem varða kringumstæður málsins
Samkvæmt 11. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. k-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til annarra íþyngjandi eða mildandi þátta en þeirra sem taldir eru upp fyrr í ákvæðinu, svo sem hagnaðar sem fékkst eða taps sem komist var hjá, með beinum eða óbeinum hætti, vegna brots.
Eins og hér háttar til verður það talið hafa íþyngjandi áhrif við beitingu sektarheimildar að vinnslan sem hér um ræðir fór fram sem liður í starfsemi sem skila átti hagnaði, óháð því hvort vinnslan sem slík hafði í för með sér hagnað eða ekki.
Jafnframt er til þess að líta að nauðsynlegri fræðslu um vanskilaskráningu var ekki bætt við lánaskilmála eCommerce 2020 ApS fyrr en að fengnum ábendingum utanaðkomandi og verður það einnig talið hafa íþyngjandi áhrif við beitingu sektarheimildar.
5.
Niðurstaða um álagningu og fjárhæð sektar
Líkt og að framan greinir getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila eða vinnsluaðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679. Í 1. tölul. 3. mgr. lagaákvæðisins, sbr. a-lið 5. mgr. reglugerðarákvæðisins, kemur fram að brot gegn grundvallarreglum um vinnslu samkvæmt 5., 6., 7. og 9. gr. reglugerðarinnar geta varðað stjórnvaldssektum.
Eins og rakið er í 3. kafla hér að framan liggur fyrir að Almenn innheimta ehf. braut gegn a-lið 1. mgr. og 2. mgr. 5. gr. og 6. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af öllu framangreindu er niðurstaða Persónuverndar sú að leggja beri stjórnvaldssekt á félagið.
Samkvæmt 3. mgr. 46. gr. laga nr. 90/2018, sbr. 5. mgr. 83. gr. reglugerðarinnar getur fjárhæð stjórnvaldssektir fyrir brot gegn fyrrgreindum ákvæðum numið frá 100 þúsund krónum til 2,4 milljarða króna eða, ef um er að ræða fyrirtæki, allt að 4% af árlegri heildarveltu þess á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.
Í því sambandi verður að líta til þess að miðað við ársreikninga hefur velta A.I.C. ehf., áður Almennrar innheimtu ehf., lækkað verulega síðastliðin ár, en hún nam 200.423.521 krónu árið 2019 samanborið við 9.764.707 krónur árið 2021. Að mati Persónuverndar verður fjárhæð sektar hins vegar að endurspegla alvarleika brots. Í því sambandi telur Persónuvernd hið íþyngjandi eðli vinnslunnar hafa sérstakt vægi og að líta beri til allra atvika og þeirra sjónarmiða sem rakin eru hér að framan, þ. á m. þess hvaða áhrif vinnslan gat haft á hagsmuni hinna skráðu og þess að vinnslan tengdist kjarnastarfsemi félagsins. Þá ber að hafa hliðsjón af stjórnvaldssekt sem lögð er á eCommerce 2020 ApS með ákvörðun Persónuverndar, dags. í dag. Hefur mikill rekstrarhagnaður, sem það félag naut vegna umræddra lánveitinga, þar sérstakt vægi, en ársreikningar A.I.C. ehf., áður Almennrar innheimtu ehf., sýna ekki slíkan hagnað.
Að öllu framangreindu virtu þykir stjórnvaldssekt vera hæfilega ákveðin 3.500.000 króna.
Á k v ö r ð u n a r o r ð:
Vinnsla A.I.C. ehf., áður Almennrar innheimtu ehf., sem fólst í sendingu krafna til vanskilaskráningar hjá Creditinfo Lánstrausti hf. án þess að skilyrði til skráningar vanskila samkvæmt gildandi starfsleyfi fyrirtækisins væru uppfyllt, samrýmdist ekki ákvæðum 1. tölul. 1. mgr. og 2. mgr. 8. gr. og. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. og 2. mgr. 5. gr. og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Lögð er 3.500.000 króna stjórnvaldssekt á A.I.C. ehf. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018.
Persónuvernd, 27. júní 2023
Ólafur Garðarsson
formaður
Árnína Steinunn Kristjánsdóttir Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson