Uppfletting og vöktun vanskilaskrár hjá Lögheimtunni ehf., Motusi ehf. og Creditinfo Lánstrausti hf
Mál nr. 2020010731
Reykjavík, 4. apríl 2022
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir uppflettingu og vöktun vanskilaskrár af hálfu Creditinfo Lánstrausts hf., Lögheimtunnar ehf. og Motusar ehf. Nánar tiltekið laut kvörtunin í fyrsta lagi að því að Motus ehf. hefði unnið með persónuupplýsingar kvartanda án heimildar. Í öðru lagi laut hún að því að vinnslan hefði ekki verið gagnsæ af hálfu Creditinfo Lánstrausts hf., Motusar ehf. og Lögheimtunnar ehf. í ljósi þess að kvartandi hefði ekki verið upplýstur um endanlegan viðtakanda upplýsinganna í samskiptum sínum við fyrirtækin. Í þriðja lagi laut kvörtunin að viðbrögðum Creditinfo Lánstrausts hf. við athugasemdum kvartanda og því að fyrirtækið hefði ekki lokað fyrir aðgang Motusar ehf. að upplýsingum um kvartanda sem skráðar voru í vanskilaskrá.
Niðurstaða Persónuverndar var að Lögheimtunni hefði verið heimilt að fletta upp og vakta upplýsingar um kvartanda í vanskilaskrá Creditinfo Lánstrausts hf. Hins vegar hefði Lögheimtan ekki uppfyllt upplýsingaskyldu sína eða farið að sanngirnis- og gagnsæiskröfum persónuverndarlaganna. Þá taldi Persónuvernd að upplýsingagjöf Creditinfo Lánstrausts hf. til kvartanda hefði ekki samrýmst kröfum í starfsleyfi fyrirtækisins eða sanngirniskröfu laganna, auk þess sem fyrirtækið hefði ekki uppfyllt könnunarskyldu sína samkvæmt starfsleyfinu í kjölfar athugasemda kvartanda.
Úrskurður
um kvörtun yfir vinnslu persónuupplýsinga í tengslum við uppflettingu og vöktun vanskilaskrár af hálfu Creditinfo Lánstrausts hf., Lögheimtunnar ehf. og Motusar ehf. í máli nr. 2020010731 (áður 2018081291):
I.
Málsmeðferð
1.
Tildrög máls – Bréfaskipti
Hinn 20. júlí 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir uppflettingum og vöktun Motusar ehf. á vanskilaskrá kvartanda hjá Creditinfo Lánstrausti hf. Síðar var staðfest að kvörtuninni væri einnig beint að Lögheimtunni ehf. Kvörtuninni fylgdu afrit samskipta kvartanda við Creditinfo Lánstraust hf., Motus ehf. og Lögheimtuna ehf., auk uppfletti- og vaktyfirlita frá Creditinfo Lánstrausti hf., frá 20. júlí 2018.
Með bréfum, dags. 6. mars 2019, var fyrirtækjunum tilkynnt um framangreinda kvörtun og þeim veittur kostur á að tjá sig um hana. Svarað var af hálfu Creditinfo Lánstrausts hf. með bréfi, dags. 20. s.m., og af hálfu Lögheimtunnar ehf., í eigin nafni og fyrir hönd Motusar ehf., með bréfi, dags. 21. s.m. Með bréfi, dags. 12. apríl 2019, var kvartanda boðið að tjá sig um svör fyrirtækjanna og svaraði hann með bréfi, dags. 23. s.m.
Með bréfi, dags. 30. september 2019, óskaði Persónuvernd eftir frekari skýringum frá Motusi ehf. og Lögheimtunni ehf. um tengsl og samstarf félaganna. Svarað var með bréfi, dags. 21. október s.á. Með bréfi, dags. 6. nóvember 2019, óskaði Persónuvernd eftir tilteknum samningum félaganna sem vísað var til í svarbréfi þeirra, þ.m.t. vinnslusamningi. Svarað var með bréfi, dags. 27. nóvember s.á., og fylgdu því umbeðin gögn.
Með bréfi, dags. 16. apríl 2020, var kvartandi upplýstur um framkomin svör Lögheimtunnar ehf. og Motusar ehf., og þá afstöðu Persónuverndar að til skoðunar gæti komið að Lögheimtan ehf. teldist ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem kvartað var yfir. Var kvartanda því boðið að beina kvörtun sinni jafnframt að Lögheimtunni ehf. Að auki upplýsti Persónuvernd kvartanda um að henni hefðu borist afrit samninga fyrirtækjanna en að stofnunin teldi að svo stöddu ekki tilefni til að afhenda þau kvartanda. Kvartandi svaraði með tölvupósti 11. maí 2020 þar sem hann óskaði eftir að beina kvörtun sinni að Lögheimtunni ehf. og krafðist þess jafnframt að fá afrit umræddra samninga. Með bréfi, dags. 26. júlí 2021, upplýsti Persónuvernd Lögheimtuna ehf. og Motus ehf. meðal annars um framkomna kröfu kvartanda um aðgang og kallaði eftir afstöðu félaganna til þess að kvartanda yrði veittur aðgangur að samningunum með þeim takmörkunum sem stofnunin taldi geta átt við. Svarað var af hálfu Lögheimtunnar ehf., fyrir hönd beggja fyrirtækja, með bréfi, dags. 7. september 2021, þar sem fyrirhugaðri afgreiðslu Persónuverndar á kröfu kvartanda var andmælt. Með bréfi, dags. 9. nóvember s.á., veitti Persónuvernd fyrirtækjunum færi á að tjá sig á ný um fyrirhugaða afgreiðslu kröfunnar, að teknu tilliti til þeirra andmæla sem stofnunin taldi rétt að taka til greina. Svarað var af hálfu Lögheimtunnar ehf., fyrir hönd beggja fyrirtækja, með bréfi, dags. 23. s.m. þar sem meðal annars kom fram að þau gerðu ekki athugasemdir við fyrirhugaða afgreiðslu kröfunnar.
Með bréfi, dags. 24. nóvember 2021, ítrekuðu með bréfi, dags. 17. desember s.á., var kvartanda veitt færi á að tjá sig um svör Lögheimtunnar ehf. og Motusar ehf. og um umrædda samninga. Kvartandi svaraði með tölvupósti 3. janúar 2022 þar sem meðal annars kom fram ný efnisleg staðhæfing um málavexti og málsástæða henni tengd. Með tölvupósti 19. s.m. fór Persónuvernd þess á leit við kvartanda að hann léti stofnuninni í té upplýsingar eða gögn til staðfestingar á réttmæti staðhæfingar sinnar. Kvartandi svaraði með bréfi, dags. 25. s.m. Með bréfi, dags. 18. febrúar 2022 var Lögheimtunni ehf. og Motusi ehf. boðið að tjá sig um svör kvartanda. Svarað var með bréfi 25. s.m.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó að ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Af hálfu kvartanda hefur komið fram að Motus ehf. hafi flett upp upplýsingum um hann í vanskilaskrá Creditinfo Lánstrausts hf. og viðhaft svokallaða vöktun á hreyfingum hans á skránni. Hann hafi fengið vitneskju um þessa vinnslu þann 1. nóvember 2017 með skoðun á vefsvæði sínu hjá Creditinfo Lánstrausti hf., auk þess sem hann hafi fengið upplýsingar um aðra uppflettingu með annarri skoðun á vefsíðunni þann 6. febrúar 2018. Af uppflettiyfirliti sem fylgdi kvörtun er ljóst að Motus ehf. fletti sex sinnum upp upplýsingum um kvartanda í vanskilaskrá Creditinfo Lánstrausts hf., fyrst þann 2. ágúst 2017 og síðast þann 2. mars 2018, og var ástæða allra uppflettinganna tilgreind „Uppfletting á greiðanda“.
Kvartandi hafi ítrekað gert athugasemdir við þessa vinnslu við Creditinfo Lánstraust hf. í ljósi þess að hann hafi ekki átt í viðskiptum við Motus ehf. og fyrirtækið hafi ekki haft til innheimtu gjaldfallna kröfu á hendur honum. Kvartandi hafi jafnframt farið fram á það við Creditinfo Lánstraust hf. að lokað yrði á aðgang Motusar hf. að upplýsingum hans sem skráðar voru á vanskilaskrá en hann fái ekki séð að Creditinfo Lánstraust hf. hafi kannað forsendur vöktunarinnar sérstaklega þrátt fyrir ítrekaðar athugasemdir hans. Skýringar Creditinfo Lánstrausts hf. hafi upphaflega verið á þá leið, eftir að hafa aflað skýringa frá Motusi ehf., að uppflettingarnar hafi verið gerðar þegar krafa á hendur kvartanda hafi verið til innheimtu og að kvartanda hafi verið leiðbeint um að beina fyrirspurn sinni að fyrirtækinu. Síðar hafi frekari skýringar verið veittar af hálfu Creditinfo Lánstrausts hf., eftir frekari upplýsingar frá Motusi ehf., á þá leið að uppfletting hafi verið framkvæmd vegna kröfu sem væri til innheimtu og málareksturs í tengslum við hana. Kvartandi hafi ítrekað mótmælt þessu í ljósi þess að eini málareksturinn sem gæti komið til greina í þessu sambandi væri dómsmál kvartanda og Landsbankans hf. sem Lögheimtan ehf. ræki fyrir hönd bankans. Ljóst er af gögnum málsins að þessi samskipti áttu sér stað á frá 2. nóvember 2017 til 5. júní 2018.
Eftir að kvartandi mótmælti vinnslunni við Motus ehf. hafi honum að lokum verið veittar þær skýringar að uppflettingar fyrirtækisins væru sameiginlegar með Lögheimtunni ehf., ásamt því að vísað hafi verið til fyrrgreinds dómsmáls. Ljóst er af gögnum málsins að þessi samskipti áttu sér stað dagana 5.-8. júní 2018.
Kvartandi telur umrædda vinnslu ekki hafa varðað hagsmuni Motusar ehf. heldur hagsmuni annars aðila og því ekki grundvallast á vinnsluheimild samkvæmt persónuverndarlögum. Þá hafi framsetning á upplýsingum um endanlegan viðtakanda upplýsinganna ekki verið skýr, þ.m.t. í upplýsingakerfi Creditinfo Lánstrausts hf. Einnig verði að gera kröfur til gagnsæis vinnslu af hálfu Motusar ehf. í þessu tilliti í ljósi þess að fyrirtækið stundi jafnframt sjálft innheimtustarfsemi, sem sé frábrugðin innheimtustarfsemi Lögheimtunnar ehf.
Þá byggir kvartandi á því að umrætt dómsmál hans og Landsbankans hf. hafi varðað ógildingu skuldabréfs sem Lögheimtan ehf. hafði til innheimtu en hafi ekki varðað innheimtu þess sem slíka eða aðra fjárkröfu, að málskostnaði frátöldum. Í ljósi þess að hann hafi verið felldur niður, sbr. dóm […], eigi hvorki Lögheimtan ehf. né Landsbankinn hf. kröfu á hendur kvartanda á grundvelli dómsins.
Loks byggir kvartandi á því að sú krafa, sem mál þetta á rætur að rekja til og Lögheimtan ehf. hafði til innheimtu, hafi fallið niður vegna fyrningar í mars 2019 en Motus ehf. hafi ekki látið af vöktun á hreyfingum hans á vanskilaskránni fyrr en meira en ári síðar.
3.
Sjónarmið Creditinfo Lánstrausts hf.
Í bréfi Creditinfo Lánstrausts hf., dags. 20. mars 2019, kemur meðal annars fram að fyrirtækið álíti sig ábyrgðaraðila að þeirri vinnslu sem felist í varðveislu skráninga á vanskilaskrá í upplýsingakerfum þess og því að gera slíkar upplýsingar aðgengilegar, þ. á. m. með því að veita kost á vöktun kennitalna. Hlutaðeigandi innheimtuaðili beri á hinn bóginn ábyrgð á þeirri vinnslu sem felst í vöktun á skráningu vanskila og uppflettingum í vanskilaskrá.
Í starfsleyfi félagsins frá Persónuvernd komi fram að hafi áskrifandi að þjónustu Creditinfo Lánstrausts hf. brotið gegn þjónustusamningi beri félaginu að grípa til ráðstafana til að hindra að slík brot endurtaki sig. Hins vegar hafi engar vísbendingar borist fyrirtækinu um að Motus ehf. hafi ekki haft lögvarða hagsmuni af þeim uppflettingum í vanskilaskrá og þeirri vöktun vanskila kvartanda sem mál þetta varðar. Þannig hafi Motus ehf. staðfest bæði skriflega og símleiðis að félagið hafi haft til innheimtu kröfu á hendur kvartanda. Kvartanda hafi jafnframt verið bent á að leita skýringa um umrædda kröfu til Motusar ehf. Hins vegar telji Creditinfo Lánstraust hf. sér ekki skylt að kalla eftir gögnum að baki þeim kröfum sem séu til innheimtu hjá áskrifendum félagsins, enda teljist áskrifendur ábyrgðaraðilar þeirrar vinnslu persónuupplýsinga sem felst í uppflettingum í vanskilaskrá og vöktun vanskilaskráningar. Þá telji félagið ekki verða ráðið af starfsleyfum þess eða reglum varðandi persónuvernd og vinnslu persónuupplýsinga að áskrifendum sé skylt að afhenda fyrirtækinu gögn sem unnið er með fyrir hönd umbjóðenda þeirra við innheimtu vanskilakrafna.
4.
Sjónarmið Lögheimtunnar ehf. og Motusar ehf.
Í bréfi Lögheimtunnar ehf., í eigin nafni og fyrir hönd Motusar ehf., dags. 21. mars 2019, kemur fram að félögin starfi náið saman á grundvelli samninga. Motus ehf. annist að nokkru leyti vinnslu fyrir hönd Lögheimtunnar ehf., þ.m.t. uppflettingar í skrám sem haldið er úti af fjárhagsupplýsingastofum. Þessi verk séu unnin eftir skýrum fyrirmælum Lögheimtunnar ehf., auk þess sem lögmenn fyrirtækisins hafi yfirumsjón og beri faglega ábyrgð á að við slíka vinnslu sé fylgt ákvæðum laga. Lögheimtan sé því ábyrgðaraðili vegna þeirrar vinnslu sem hér er til umfjöllunar en Motus ehf. vinnsluaðili. Vísa fyrirtækin til samstarfssamninga og vinnslusamnings sem þau hafa gert um þessi atriði.
Þegar þær uppflettingar sem mál þetta varðar voru gerðar og vöktun hófst hafi verið í gildi samstarfssamningur Lögheimtunnar ehf. og Motusar ehf., dags. 29. október 2001. Samkvæmt 5. gr. samningsins hafi Motus ehf. tekið að sér að annast fyrir Lögheimtuna ehf. alla afgreiðslu, sem aðrir en lögfræðingar gátu annast, og að hafa til taks starfsfólk til að annast skjalagerð, ljósritun og aðra vinnslu en þá sem krafðist lögfræðimenntunar. Sá samningur hafi verið leystur af hólmi með nýjum samstarfssamningi sem tók gildi þann 1. maí 2019, auk þess sem fyrirtækin hafi gert með sér samning um vinnslu persónuupplýsinga þann 1. september s.á. Samkvæmt 3. gr. samstarfssamningsins beri Motus ehf., í þjónustu við sameiginlega viðskiptavini fyrirtækjanna, að annast framkvæmd allra þeirra þjónustuþátta sem falli innan þjónustuframboðs fyrirtækisins, sem taki meðal annars til svonefndrar kröfuvaktar, sbr. 1. mgr. 2. gr. samningsins.
Í grein 1.1. í vinnslusamningnum sé kveðið á um að Motus ehf. hafi með höndum ýmsa vinnslu fyrir Lögheimtuna ehf., meðal annars almenna vinnslu í lögfræðiinnheimtu aðra en þá sem lögmenn hafi með höndum, þ.m.t. uppflettingar í skrám, bæði opinberum skrám og skrám fjárhagsupplýsingastofa. Í grein 1.2. segi að Motus ehf. vinni með persónuupplýsingar sem nauðsynlegar séu í því skyni að veita umrædda þjónustu. Samkvæmt grein 1.3. skuli Motus ehf. almennt teljast vinnsluaðili vegna þjónustunnar en Lögheimtan ehf. ábyrgðaraðili. Í grein 5.1. sé mælt fyrir um að fyrirtækin skuli í sameiningu bregðast við beiðnum skráðra einstaklinga sem óski þess að neyta réttinda sinna samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga.
Af svörum fyrirtækjanna verður ráðið að Lögheimtan ehf. hafi tekið til innheimtu fjárkröfu samkvæmt veðskuldabréfi sem kvartandi hafi gefið út til Landsbanka Íslands hf. Síðar hafi Landsbankinn hf. eignast bréfið. Frumrit bréfsins hafi glatast og því hafi dómsmál verið höfðað til ógildingar þess. Kvartandi hafi meðal annars gert ágreining um eignarhald bankans á bréfinu. Bréfið sem slíkt hafi verið ógilt af dómstólum en unnt sé að byggja rétt til greiðslu kröfunnar á dóminum sjálfum.
Í tengslum við innheimtu veðskuldabréfsins hafi nafn kvartanda verið vaktað hjá Creditinfo Lánstrausti hf. og í einhverjum tilvikum hafi kvartanda verið flett upp í vanskilaskrá fyrirtækisins af hálfu Motusar ehf., í samræmi við fyrrgreint samkomulag, fyrir hönd Lögheimtunnar ehf. Á því er byggt að báðar vinnsluaðgerðir hafi byggst á lögmætum hagsmunum kröfuhafa sem sé umbjóðandi Lögheimtunnar ehf.
Af hálfu fyrirtækjanna hefur komið fram að látið hafi verið af vöktun á hreyfingum kvartanda á vanskilaskrá Creditinfo Lánstrausts hf. þann 14. ágúst 2020. Nokkrum dögum fyrr, þ.e. 6. s.m., hafi fyrirtækin hins vegar áréttað þá afstöðu sína við kvartanda að krafan væri réttmæt. Aftur á móti sé uppi ágreiningur um hvort krafan hafi fallið niður vegna fyrningar en úr því atriði hafi ekki verið leyst fyrir dómi. Telja fyrirtækin þann ágreining ekki leiða til þess að óheimilt hafi verið að afla upplýsinga um kvartanda úr skrám Creditinfo Lánstrausts hf. Þá er vísað til þess að í dómi […] hafi ekki verið talið rétt að vísa málinu frá eða synja um ógildingu á þeirri forsendu að augljóst væri að engin réttindi fylgdu veðskuldabréfi því sem mál þetta er risið af.
II.
Niðurstaða
1.
Afmörkun máls og lagaskil
Mál þetta varðar uppflettingar á upplýsingum um kvartanda og vöktun á hreyfingum á vanskilaskrá Creditinfo Lánstraust hf. af hálfu Motusar ehf. fyrir hönd Lögheimtunnar ehf.
Nánar tiltekið lýtur kvörtunin í fyrsta lagi að því að Motus ehf. hafi í heimildarleysi framkvæmt umrædda vinnslu á persónuupplýsingum um kvartanda. Í öðru lagi lýtur hún að því að vinnslan hafi ekki verið gagnsæ af hálfu Creditinfo Lánstrausts hf., Motusar ehf. og Lögheimtunnar ehf. í ljósi þess að kvartandi hafi ekki verið upplýstur um endanlegan viðtakanda upplýsinganna í samskiptum sínum við fyrirtækin. Í þriðja lagi lýtur kvörtunin að viðbrögðum Creditinfo Lánstrausts hf. við athugasemdum kvartanda og því að fyrirtækið hafi ekki lokað fyrir aðgang Motusar ehf. að upplýsingum um kvartanda sem skráðar voru í vanskilaskrá.
Uppflettingarnar voru framkvæmdar og vöktun hafin í gildistíð laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, auk þess sem kvartandi hafði uppi athugasemdir og óskaði eftir upplýsingum um vinnsluna í gildistíð þeirra laga. Vöktuninni lauk hins vegar eftir gildistöku laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, auk þess sem kvartandi aflaði uppfletti- og vaktyfirlita frá Creditinfo Lánstrausti hf. eftir gildistöku þeirra laga. Verður því leyst úr málinu á grundvelli fyrrnefndu laganna en litið til hinna síðarnefndu því samhliða, eftir því sem við á.
2.
Gildissvið - Ábyrgðaraðilar og vinnsluaðili
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 3. gr. og 1. mgr. 37. gr. laganna, tók meðal annars til rafrænnar vinnslu persónuupplýsinga. Gildissvið laga nr. 90/2018 og valdsvið Persónuverndar samkvæmt þeim er hliðstætt, sbr. 1. mgr. 4. gr. 1. mgr. 39. gr. þeirra laga, sbr. einnig 1. mgr. 2. gr. reglugerðar (ESB) 2016/679.
Til persónuupplýsinga samkvæmt lögum nr. 77/2000 töldust upplýsingar um persónugreindan eða persónugreinanlegan einstakling, þ.e. upplýsingar sem beint eða óbeint mátti rekja til tiltekins einstaklings, sbr. 1. tölul. 2. gr. laganna. Með vinnslu var átt við aðgerð eða röð aðgerða þar sem unnið var með persónuupplýsingar, hvort heldur sem vinnslan var handvirk eða rafræn, sbr. 2. tölul. sama ákvæðis. Sambærilegar skilgreiningar eru í 2. og 4. tölul. 3. gr. laga nr. 90/2018 og 1. og 2. tölul. 4. gr. reglugerðar (ESB) 2016/679.
Mál þetta lýtur að uppflettingu og vöktun á skráningu upplýsinga um kvartanda í vanskilaskrá Creditinfo Lánstrausts hf. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem bar ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 var nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna var þar átt við þann aðila sem ákvað tilgang vinnslu persónuupplýsinga, þann búnað sem notaður var, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Sá sem vann með persónuupplýsingar á vegum ábyrgðaraðila var hins vegar nefndur vinnsluaðili, sbr. 5. tölul. ákvæðisins. Vinnsla persónuupplýsinga af hálfu vinnsluaðila var háð því að gerður hefði verið skriflegur samningur um að vinnsluaðila hefði verið falið að annast vinnslu persónuupplýsinga fyrir ábyrgðaraðila, sbr. 1. og 2. mgr. 13. gr. laganna. Var vinnsluaðila einungis heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæltu fyrir á annan veg, sbr. 4. mgr. ákvæðisins. Sambærilegar skilgreiningar og efnisreglur eru í 6. og 7. tölul. 3. gr. laga nr. 90/2018 og 7. og 8. tölul. 4. gr. reglugerðar (ESB) 2016/679, svo og 25. gr. laga nr. 90/2018, sbr. nánari ákvæði í 28. gr. reglugerðarinnar.
Kvörtun þeirri sem mál þetta varðar er beint að Creditinfo Lánstrausti hf., Motusi ehf. og Lögheimtunni ehf.
Í framkvæmd sinni hefur Persónuvernd litið svo á að Creditinfo Lánstraust hf. beri ábyrgð á þeirri vinnslu persónuupplýsinga sem felst í varðveislu skráninga í upplýsingakerfi fyrirtækisins og því að gera þær aðgengilegar þar, þ. á m. með því að veita kost á vöktun á hreyfingum vanskilaskráningar. Í þessu sambandi vísast til dæmis til úrskurðar stofnunarinnar frá 10. mars 2021 í máli nr. 2020010537. Verður samkvæmt þessu lagt til grundvallar að Creditinfo Lánstraust hf. teljist ábyrgðaraðili að þeirri vinnslu eins og að framan er lýst.
Hins vegar hefur Persónuvernd litið svo á að þeir aðilar sem afla upplýsinga úr skrám fjárhagsupplýsingastofa, svo sem með uppflettingu eða vöktun, teljist ábyrgðaraðilar þeirrar vinnslu persónuupplýsinga. Í þessu sambandi vísast til dæmis til úrskurða stofnunarinnar frá 29. maí 2015 í máli nr. 2014/1397, frá 16. desember 2019 í máli nr. 2017/1446, og fyrrnefnds úrskurðar í máli nr. 2020010537.
Af skýringum Lögheimtunnar ehf. og Motusar ehf. verður ráðið að síðarnefnda fyrirtækið hafi annast þá vinnslu sem mál þetta varðar, þ.e. uppflettingu og vöktun hreyfinga á vanskilaskráningu, samkvæmt fyrirmælum Lögheimtunnar ehf. Telur Persónuvernd ljóst að ákvarðanir um að hefja vinnsluna hafi verið teknar í gildistíð samstarfssamnings fyrirtækjanna frá 29. október 2001. Ákvæði samningsins voru almenn og geymdu ekki bein fyrirmæli um þá vinnslu persónuupplýsinga sem hér er til umfjöllunar. Að því leyti samrýmdist samningurinn ekki kröfum 13. gr. laga nr. 77/2000. Hins vegar telur Persónuvernd ekkert framkomið í málinu sem bendir til annars en að vinnslan hafi í reynd farið fram samkvæmt ákvörðun og á vegum Lögheimtunnar ehf. og að Motusi ehf. hafi verið falið að annast hana. Samkvæmt þessu verður lagt til grundvallar að Lögheimtan ehf. teljist ábyrgðaraðili vinnslunnar en Motus ehf. vinnsluaðili í skilningi áðurnefndra lagaákvæða.
3.
Lagaumhverfi
Vinnsla persónupplýsinga var háð því að fyrir henni væri heimild samkvæmt 8. gr. laga nr. 77/2000, sbr. einnig 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679. Í framkvæmd sinni hefur Persónuvernd litið svo á að uppflettingar upplýsinga og vöktun skráninga á vanskilaskrá hafi einkum getað stuðst við 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þar var kveðið á um að vinnsla persónuupplýsinga væri heimil væri hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, gætu gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem bar að vernda samkvæmt lögum vægju þyngra. Sambærilegt ákvæði er nú í 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Auk heimildar samkvæmt framangreindu var vinnsla persónuupplýsinga háð því að þær væru unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra væri í samræmi við vandaða vinnsluhætti, sbr. 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, og að þær væru fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. ákvæðisins. Bar ábyrgðaraðili ábyrgð á því að vinnsla persónuupplýsinga uppfyllti ávallt framangreind ákvæði, sbr. 2. mgr. sömu greinar. Hliðstæð ákvæði eru nú í 1. og 2. tölul. 1. mgr. og 2. mgr. 8. gr. laga nr. 90/2018, sbr. a- og b-liði 1. mgr. og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Við mat á lögmæti vinnslu samkvæmt tilvitnuðum ákvæðum ber jafnframt að líta til annarra ákvæða laga nr. 77/2000, sem átt gátu við um vinnslu. Samkvæmt 1. mgr. 16. laganna var ábyrgðaraðila skylt að veita hverjum sem þess óskaði almenna vitneskju um þá vinnslu persónuupplýsinga sem fram fór á hans vegum. Jafnframt bar meðal annars að veita þeim sem þess óskaði vitneskju um nafn og heimilisfang ábyrgðaraðila, sbr. 1. tölul. 2. mgr. ákvæðisins. Afgreiða bar slíkt erindi svo fljótt sem verða mátti og eigi síðar en innan mánaðar frá móttöku þess, sbr. 1. mgr. 14. gr. laganna.
Þá ber loks að líta til starfsleyfa Persónuverndar til Creditinfo Lánstrausts hf. til vinnslu upplýsinga um fjárhagsmálefni og lánstraust einstaklinga sem í gildi voru þegar sú vinnsla sem hér er til umfjöllunar fór fram, sbr. leyfi, dags. 28. febrúar 2017 (mál nr. 2016/1626 hjá Persónuvernd) og síðar leyfi, dags. 29. desember s.á. (mál nr. 2017/1541 hjá stofnuninni). Í ákvæði 2.8 í báðum starfsleyfum var mælt fyrir um skyldu Creditinfo Lánstrausts hf. til að verða hvenær sem væri við ósk hins skráða um að fá vitneskju um vinnslu persónuupplýsinga um sig, meðal annars varðandi það hver hefði flett honum upp, fyrir hvern og til hvers. Veita bar slíkar upplýsingar innan tveggja vikna frá móttöku beiðni hins skráða.
Í 2. mgr. ákvæðis 2.9. í báðum starfsleyfum sagði jafnframt að kæmi í ljós að áskrifandi hefði brotið gegn skilmálum í áskriftarsamningi bæri Creditinfo Lánstrausti hf. að grípa til viðhlítandi ráðstafana með það fyrir augum að hindra að brot endurtækju sig. Persónuvernd hefur litið svo á að í þessu hafi falist skylda fyrirtækisins til að kanna réttmæti athugasemda frá skráðum einstaklingum sem því bærust varðandi lögmæti vinnslu af hálfu áskrifenda. Vísast í þessu sambandi til úrskurðar stofnunarinnar frá 18. september í máli nr. 2017/676.
Að auki má til hliðsjónar líta til 4. mgr. ákvæðis 2.1 í leyfunum, þess efnis að fjárhagsupplýsingastofu bæri að tryggja að áskrifendur gætu lagt fram tiltekin gögn, svo og 2. mgr. ákvæðis 2.5 í leyfunum um heimild fjárhagsupplýsingastofu til athugunar hjá áskrifanda á réttmæti upplýsinga sem hinn skráði drægi í efa. Verður séð af þessum ákvæðum, jafnt sem 2. mgr. ákvæðis 2.9 í leyfunum, að gert var ráð fyrir að fjárhagsupplýsingastofa kannaði með virkum hætti hvort áskrifendur héldu sig innan ramma áskriftar- og starfsleyfisskilmála.
4.
Heimild til uppflettingar og vöktunar
Í málinu er í fyrsta lagi deilt um hvort heimild hafi staðið til þeirrar vinnslu sem til umfjöllunar er í málinu, þ.e. uppflettingar á upplýsingum um kvartanda og vöktunar á vanskilaskráningu hans af hálfu Motusar ehf. fyrir hönd Lögheimtunnar ehf.
Að mati Persónuverndar verður af gögnum málsins ekki annað ráðið en að Lögheimtan ehf. hafi haft til innheimtu fjárkröfu á hendur kvartanda, þrátt fyrir að síðar hafi risið ágreiningur um hvort umbjóðandi Lögheimtunnar ehf. væri réttur kröfuhafi, svo og um hvort krafan væri fyrnd. Dómstólar hafa skorið úr fyrra atriðinu, sbr. dóm […], með ógildingu þess veðskuldabréfs sem krafan grundvallaðist á en réttaráhrif ógildingarinnar eru þau að umbjóðandi Lögheimtunnar ehf. gat sem dómhafi byggt sama rétt á dómnum og hann hefði getað á grundvelli umrædds bréfs. Samkvæmt þessu verður ekki annað séð en að réttur kröfuhafi hafi staðið að innheimtunni og verður samkvæmt því ekki lagt til grundvallar að um innheimtu umdeildrar kröfu hafi verið að ræða að þessu leyti, enda liggur ekkert fyrir í málinu um að kvartandi hafi haft uppi mótbárur hvað varðaði efnislegt lögmæti kröfunnar. Ágreiningur stendur á hinn bóginn enn um hvort krafan sé fyrnd eða ekki.
Persónuvernd telur að leggja verði til grundvallar að með innheimtu umræddrar fjárkröfu hafi Lögheimtan ehf. gætt lögmætra hagsmuna kröfuhafa. Ekki verður annað séð en að sú vinnsla sem hér er til umfjöllunar hafi veri nauðsynleg í þágu þeirrar hagsmunagæslu, t.d. í þágu þess að meta greiðslufærni kvartanda. Þá telur Persónuvernd ekki augljóst af gögnum málsins að krafan hafi fyrnst áður en látið var af vöktun á hreyfingum á vanskilaskráningu kvartanda. Þykir samkvæmt þessu ekki fært að líta svo á að hagsmunir kröfuhafa hafi verið óvirkir hluta þess tíma sem vöktunin fór fram, þ.e. frá því tímamarki sem kvartandi telur að miða beri fyrningu við.
Er það því niðurstaða Persónuverndar að vinnslan hafi verið heimil á grundvelli 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, sbr. síðar sambærilegt ákvæði í 6. tölul. 9. gr. laga nr. 90/2018. Enga þýðingu hefur í því sambandi að vinnslan hafi í reynd verið framkvæmd af hálfu Motusar ehf., enda fór vinnslan sem fyrr greinir fram á grundvelli fyrirmæla Lögheimtunnar ehf., á ábyrgð fyrirtækisins og í þágu hagsmuna umbjóðanda þess.
5.
Sanngirni vinnslu og tilgreining tilgangs
Reynir næst á hvort Creditinfo Lánstraust hf. annars vegar og Lögheimtan ehf. og Motus ehf. hins vegar hafi gætt að kröfum laga nr. 77/2000 og nr. 90/2018, sbr. og reglugerð (ESB) 2016/679, um sanngirni og gagnsæi vinnslu og tilgreiningu tilgangs gagnvart kvartanda.
Fyrir liggur að kvartandi gerði fyrst athugasemdir og leitaði skýringa frá Creditinfo Lánstrausti hf. vegna þeirrar vinnslu persónuupplýsinga hans sem hér er til umfjöllunar. Fyrirtækið veitti kvartanda upplýsingar um að Motus ehf. hefði framkvæmt þá vinnslu sem mál þetta varðar og í hvaða tilgangi, bæði í tölvupóstsamskiptum, sem fram fóru í gildistíð laga nr. 77/2000, og á yfirlitum sem kvartandi aflaði frá fyrirtækinu eftir gildistöku laga nr. 90/2018. Í gögnum málsins liggur hins vegar ekkert fyrir um að fyrirtækið hafi með beinum hætti kannað nánar og veitt kvartanda upplýsingar um fyrir hvern vinnslan var framkvæmd, heldur dró hann sjálfur þá ályktun á grundvelli upplýsinga sem hann fékk um tilgang vinnslunnar.
Samkvæmt framangreindu samrýmdist upplýsingagjöf Creditinfo Lánstrausts hf. ekki öllum þeim kröfum sem til hennar voru gerðar í greinum 2.8. í þágildandi starfsleyfum Persónuverndar til fyrirtækisins, þ.e. um það fyrir hvern upplýsinga um kvartanda var aflað úr vanskilaskrá fyrirtækisins. Var vinnslan ekki gagnsæ gagnvart kvartanda af hálfu fyrirtækisins að þessu leyti og samrýmdist því ekki sanngirniskröfu 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000.
Jafnframt liggur fyrir að kvartandi leitaði síðar til Motusar ehf. með athugasemdir og beiðni um skýringar vegna þeirrar vinnslu sem hér um ræðir. Þau samskipti fóru fram í gildistíð laga nr. 77/2000. Að mati Persónuverndar gáfu erindi kvartanda til fyrirtækisins tilefni til þess að hann yrði upplýstur um að umrædd vinnsla færi fram samkvæmt fyrirmælum Lögheimtunnar ehf. og á ábyrgð hennar og að fyrirtækið teldist samkvæmt því ábyrgðaraðili vinnslunnar, í skilningi laga nr. 77/2000. Kvartandi fékk hins vegar engar upplýsingar um ábyrgðaraðila vinnslunnar, ef frá eru taldar upplýsingar þess efnis að uppflettingar fyrirtækjanna væru sameiginlegar, í kjölfar umfangsmikilla samskipta hans við Creditinfo Lánstraust hf. og síðar Motus ehf. og Lögheimtuna ehf.
Þá er til þess að líta að sú vinnsla sem hér um ræðir var framkvæmd af og í nafni Motusar ehf. sem hefur jafnframt með höndum sjálfstæða innheimtustarfsemi sem er ekki tengd Lögheimtunni ehf. með beinum hætti. Að mati Persónuverndar gaf sú staðreynd, að bæði fyrirtæki annast innheimtustarfsemi, Lögheimtunni ehf., eða Motusi ehf. í hennar umboði, jafnframt tilefni til veita upplýsingar um að Lögheimtan ehf. hefði í reynd staðið að þeirri vinnslu sem hér er til umfjöllunar en ekki Motus ehf. Til dæmis hefði verið unnt að veita slíkar upplýsingar með því að framkvæma vinnsluaðgerðirnar á aðgangi Lögheimtunnar ehf. í stað aðgangs Motusar ehf.
Að framangreindu virtu verður Lögheimtan ehf., eða Motus ehf. í hennar umboði, ekki talin hafa fullnægt þeirri skyldu sem á fyrirtækinu hvíldi samkvæmt 1. mgr. og 1. tölul. 2. mgr. 16. gr. laga nr. 77/2000, um að veita kvartanda upplýsingar um ábyrgðaraðila þeirrar vinnslu persónuupplýsinga sem hér um ræðir. Þrátt fyrir að erindum kvartanda hafi ekki verið svarað með efnislega fullnægjandi hætti að þessu leyti benda gögn málsins hins vegar ekki til annars en að þeim hafi verið svarað innan þeirra tímamarka sem mælt var fyrir um í 1. mgr. 14. gr. laganna.
Í ljósi framangreinds telur Persónuvernd verða að líta svo á að sú vinnsla sem hér er til umfjöllunar hafi ekki verið gagnsæ gagnvart kvartanda af hálfu Lögheimtunnar ehf. og hafi því ekki samrýmst sanngirniskröfu 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, sbr. 2. mgr. sömu greinar.
Hins vegar liggur fyrir í gögnum málsins að kvartandi var í samskiptum sínum við Motus ehf. upplýstur um tilgang þeirrar vinnslu sem hér er til umfjöllunar, þ.e. að hún tengdist innheimtu kröfu, auk þess sem tilgangur uppflettinganna var tilgreindur sem „Uppfletting á greiðanda“ á uppfletti- og vaktyfirlitum frá Creditinfo Lánstrausti hf. Telur Persónuvernd að í ljósi þessa hafi Lögheimtan ehf., eða Motus ehf. í hennar umboði, fullnægt kröfu 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000 og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, um að persónuupplýsingar skuli fengnar í yfirlýstum, skýrum og málefnalegum tilgangi. Í því sambandi er litið til þess að vinnslan tengdist í reynd innheimtu kröfu óháð því að láðst hefði að tilgreina ábyrgðaraðila með réttum hætti, sbr. það sem að framan greinir.
6.
Viðbrögð Creditinfo Lánstrausts hf. við athugasemdum kvartanda
Loks reynir á hvort Creditinfo Lánstraust hf. hafi brugðist við athugasemdum kvartanda á réttan hátt, þ.m.t. hvort fyrirtækinu hafi borið að loka fyrir aðgang Motusar ehf. að upplýsingum um kvartanda sem skráðar voru í vanskilaskrá.
Ljóst er af gögnum málsins að Creditinfo Lánstraust hf. aflaði skýringa frá Motusi ehf. vegna vinnslu fyrirtækisins með upplýsingar kvartanda sem skráðar höfðu verið í vanskilaskrá. Hins vegar verður ekki séð að fyrirtækið hafi sérstaklega óskað upplýsinga um það fyrir hvern upplýsinga um kvartanda var aflað af hálfu Motusar ehf. Telur Persónuvernd að athugasemdir og ítrekanir kvartanda hafi gefið Creditinfo Lánstrausti hf. tilefni til að óska eftir skýringum um þetta atriði frá Motusi ehf., þrátt fyrir að almennt megi fyrirtækið treysta upplýsingum áskrifenda án þess að sannreyna þær sérstaklega með gögnum. Athugast í því sambandi að frekari upplýsingaöflun, í því tilviki sem er hér til umfjöllunar, var forsenda þess að veita mætti kvartanda upplýsingar í samræmi við skyldu fyrirtækisins samkvæmt starfsleyfum, sbr. umfjöllun þar að lútandi í kafla II.5.
Í ljósi framangreinds verður að leggja til grundvallar að Creditinfo Lánstraust hf. hafi ekki uppfyllt könnunarskyldu sína samkvæmt ákvæðum greina 2.9 í starfsleyfum nr. 2016/1626 og nr. 2017/1541, sbr. til hliðsjónar 4. mgr. ákvæðis 2.1 og 2. mgr. ákvæðis 2.5 í leyfunum, þar sem fyrirtækið óskaði ekki eftir nægjanlegum upplýsingum frá Motusi ehf., meðal annars að teknu tilliti til skyldu ábyrgðaraðila til að haga vinnslu í samræmi við vandaða vinnsluhætti, sbr. 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000.
Hins vegar telur Persónuvernd að atvik málsins hafi ekki gefið Creditinfo Lánstrausti hf. sérstakt tilefni til að grípa til frekari ráðstafana gegn Motusi ehf., einkum að teknu tilliti til þess sem að framan greinir um að vinnsla fyrirtækisins, sem til umfjöllunar er í þessu máli, studdist í reynd við heimild í 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Ú r s k u r ð a r o r ð:
Lögheimtunni ehf. var heimilt samkvæmt 8. gr. laga nr. 77/2000, sbr. 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679, að fletta upp og vakta upplýsingar um [A] sem skráðar voru í vanskilaskrá Creditinfo Lánstrausts hf. í tengslum við innheimtu kröfu í eigu Landsbankans hf.
Lögheimtan ehf. fullnægði ekki þeirri skyldu, sem á fyrirtækinu hvíldi samkvæmt 1. mgr. og 1. tölul. 2. mgr. 16. gr. laga nr. 77/2000, að veita [A] upplýsingar um ábyrgðaraðila vinnslu. Þá var ekki farið að sanngirniskröfu 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 og sanngirnis- og gagnsæiskröfu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. nú a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Hins vegar tilgreindi Lögheimtan ehf. tilgang vinnslunnar nægjanlega, sbr. 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000 og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. b-lið 1. mgr. 5. gr. reglugerðarinnar.
Upplýsingagjöf Creditinfo Lánstrausts hf. til [A] samrýmdist ekki kröfum greina 2.8 í starfsleyfum Persónuverndar til fyrirtækisins nr. 2016/1626 og nr. 2017/1541 og sanngirniskröfu 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, sbr. nú 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Creditinfo Lánstraust hf. uppfyllti ekki könnunarskyldu sína samkvæmt ákvæðum 2.9 í starfsleyfum nr. 2016/1626 og nr. 2017/1541, sbr. jafnframt kröfu 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um vandaða vinnsluhætti, í kjölfar athugasemda [A].
Persónuvernd, 4. apríl 2022
Helga Sigríður Þórhallsdóttir Þórður Sveinsson