Uppfletting Samskipa hf. á upplýsingum um kennitölu kvartanda hjá Creditinfo Lánstrausti hf.

Mál nr. 2020010537

12.4.2021

Úrskurður

Hinn 10. mars 2021 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2020010537 (áður 2019102002):

I.

Málsmeðferð

1.

Tildrög máls

Hinn 29. október 2019 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir uppflettingu og vöktun Samskipa hf. á kennitölu hans hjá Creditinfo Lánstrausti hf. (Creditinfo).

Með bréfi, dags. 18. desember 2019, tilkynnti Persónuvernd Creditinfo og Samskipum hf. um kvörtunina og veitti þeim kost á að tjá sig um hana. Svar Samskipa hf. barst með tölvupósti, dags. 27. desember 2019, og Creditinfo svaraði með bréfi, dags. 7. janúar 2020.

Með bréfi, dags. 3. apríl 2020, var kvartanda boðið að tjá sig um framkomin svör Creditinfo og Samskipa. Svör kvartanda bárust Persónuvernd með tölvupósti, dags. 4. júní s.á.

Með bréfi, dags. 24. júní 2020, var óskað frekari upplýsinga frá Samskipum hf. Svör félagsins bárust með tölvupósti, dags. 1. júlí s.á.

Með bréfum, dags. 3. nóvember 2020, var óskað frekari upplýsinga frá Samskipum hf. og Jónum Transport hf. Svar Samskipa f.h. beggja fyrirtækjanna barst með tölvupósti 25. nóvember s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.

Sjónarmið kvartanda

Kvartað er yfir því að Samskip hf. hafi flett kennitölu kvartanda upp hjá Creditinfo hinn 1. október 2019 og sett hana í vöktun. Vísar kvartandi til þess að hann hafi aldrei gefið leyfi fyrir uppflettingu á kennitölu sinni og að hann hafi ekki verið í viðskiptum við Samskip hf. á þessum tímapunkti. Nokkur ár hafi verið liðin frá því að hann hafi síðast verið í viðskiptum við félagið og þá hafi eingöngu verið um staðgreiðsluviðskipti að ræða. Því hafi verið óþarfi að skoða kennitölu kvartanda á þeim grundvelli að um vanskil og/eða reikningsviðskipti hafi verið að ræða. Hann hafi verið í viðskiptum við Jóna Transport hf. sem sé dótturfélag Samskipa hf. í mörg ár og hann hafi aldrei verið settur í vöktun þar né honum flett upp í vanskilaskrá áður, enda hafi hann aldrei verið í vanskilum gagnvart hinu fyrrnefnda félagi. Bendir kvartandi á að svo virðist sem Samskip hf. hafi undir höndum viðskiptaskrá Jóna Transport hf. sem sé annað fyrirtæki og Samskip hf. hafi enga hagsmuni haft af því að fletta kvartanda upp því hann skuldi þeim ekkert og hafi aldrei gert.

Telur kvartandi framangreint fela í sér brot á persónuverndarlögum. Vísar hann til þess að hann hafi ítrekað óskað eftir því við Samskip hf. að vöktuninni yrði hætt hjá Creditinfo og kveðst hafa óskað eftir skýringum frá Samskipum hf. á því hvers vegna honum hafi verið flett upp en hann hafi ekki fengið viðunandi svar.

Með vísan til framangreinds óskar kvartandi eftir afstöðu Persónuverndar auk þess sem hann gerir þá kröfu að Samskipum hf. verði ekki lengur heimilað að vakta kennitölu hans á vefsvæði Creditinfo.

3.

Sjónarmið Samskipa hf.

Samskip hf. vísa til þess að kvartandi hafi verið viðskiptavinur Jóna Transport hf. sem sé dótturfélag Samskipa hf. Þann 1. október 2019 hafi verið gerð uppfærsla á viðskiptamannavakt Samskipa hf. og dótturfélaga og þá hafi Creditinfo framkvæmt uppflettingu á grunnstöðu eins og sé alltaf gert þegar aðili er settur á vakt. Bendir félagið á að Samskip hf./Jónar Transport hf. hafi ekki verið að framkvæma uppflettingu á kvartanda heldur hafi verið um að ræða keyrslu sem fram hafi farið hjá Creditinfo vegna fyrrgreindrar uppfærslu.

4.

Sjónarmið Creditinfo

Creditinfo telur kvörtunina lúta að því að Samskip hf. hafi flett upp kennitölu kvartanda á vanskilaskrá hinn 1. október 2019 og sett hana í vöktun samdægurs án hans samþykkis. Þá sé kvartað yfir því að vinnslan hafi verið framkvæmd af hálfu aðila sem kvartandi hafi ekki átt í viðskiptum við á þeim tíma sem vinnslan hafi verið framkvæmd.

Vísar Creditinfo til þess að eins og fram hafi komið í úrskurðum Persónuverndar geti uppflettingar á vanskilaskrá einkum stuðst við 6. tölul. 9. gr. laga nr. 90/2018 þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Þeir lögaðilar sem gerist áskrifendur og gangist undir áskriftarskilmála hjá Creditinfo geti flett einstaklingum upp í VOG vanskilaskrá og vaktað kennitölur á skránni, hafi þeir lögvarða hagsmuni af slíkri vinnslu. Vinnslan byggi á lögvörðum hagsmunum og vísar Creditinfo til þess að við slíkar aðstæður sé ekki þörf á samþykki viðkomandi einstaklings.

Uppflettingar á grundvelli lögvarinna hagsmuna séu heimilar í þeim tilgangi að meta lánshæfi eða greiðsluhæfi í tengslum við fyrirgreiðslu af einhverju tagi, svo sem vegna umsókna, fyrirhugaðra eða yfirstandandi láns- eða reikningsviðskipta eða vegna innheimtu ógreiddra krafna. Á sömu forsendum sé vöktun kennitölu á vanskilaskrá heimil. Í þeim tilfellum sem kennitala sé vöktuð fái áskrifandi einungis upplýsingar um þær breytingar sem verði á skránni, þ.e. upplýsingar um nýjar skráningar eða afskráningar. Bendir Creditinfo á að margir áskrifendur fyrirtækisins hafi þann hátt á að fletta viðkomandi upp í vanskilaskrá við upphaf viðskipta eða innheimtu og setji í framhaldinu viðkomandi kennitölu í vakt og vakti kennitöluna á meðan lögvarðir hagsmunir séu til staðar. Þegar slíkir hagsmunir eru ekki lengur til staðar, viðskiptasambandi lýkur eða krafa í innheimtu að fullu greidd beri áskrifanda að taka kennitölu viðkomandi úr vöktun.

Creditinfo vísar til úrskurðar í máli nr. 2017/679, þar sem fram komi að líta beri svo á að hlutaðeigandi aðili beri ábyrgð á þeirri vinnslu sem felist í vöktun hans á skráningum sem tengjast tilteknum kennitölum á vanskilaskrá. Samskip hf. sé því ábyrgðaraðili uppflettingar og vöktunar á kennitölu kvartanda.

Bendir Creditinfo á að líkt og fram hafi komið í svörum Samskipa hf. hafi kvartandi verið viðskiptavinur Jóna Transport hf. sem sé dótturfélag Samskipa hf. Í svörunum hafi einnig komið fram að uppfærsla hafi farið fram á viðskiptamannavakt félagsins þann 1. október 2019 og að þá hafi Creditinfo gert uppflettingu á grunnstöðu eins og sé alltaf gert þegar aðili sé settur í vakt.

Vísar Creditinfo til þess að samkvæmt upplýsingum frá Samskipum hf. hafi uppfærsla verið gerð á viðskiptamannavaktinni vegna uppfærslu kerfa innanhúss hjá félaginu. Af þeim sökum hafi verið nauðsynlegt að framkvæma grunnstöðuuppflettingu á viðskiptavinum félagsins, sem sé gerð áður en kennitala sé sett í vakt. Bendir Creditinfo á að Samskip hf. sé sá aðili sem framkvæmdi uppflettinguna og setti kennitölu kvartanda í vakt en ekki Creditinfo, enda skuli uppfletting framkvæmd af þeim aðila sem hafi lögvarða hagsmuni af því að afla upplýsinga af vanskilaskrá. Viðkomandi einstaklingur fái tilkynningu frá Creditinfo um uppflettingu af hálfu Samskipa hf. og uppflettingin sé birt á uppflettiyfirliti á þjónustuvefnum mitt.creditinfo.is.

Creditinfo kveðst hafa farið yfir málið með Samskipum hf. og ítrekað að uppfletting þurfi að fara fram hjá þeim áskrifanda sem hafi lögvarða hagsmuni af öflun og notkun upplýsinga af vanskilaskrá, þ.e. Jónum Transport hf. í þessu tilfelli. Að lokum bendir Creditinfo á að Samskip hf. hafi tekið kennitölu kvartanda úr vöktun hjá félaginu.

5.

Frekari bréfaskipti

Persónuvernd óskaði eftir upplýsingum um það frá Samskipum hf. hvort gerður hefði verið vinnslusamningur við Jóna Transport hf., sbr. 3. mgr. 25. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Vegna framangreinds vísuðu Samskip hf. til þess að kvartandi hefði aldrei verið vaktaður af Jónum Transport hf., enda væru viðskiptamenn Jóna Transport hf., Samskipa innanlands og Samskipa allir undir sömu vakt hjá Samskipum hf. Meðfylgjandi svörum Samskipa hf. var að finna afrit af áskriftarsamningi Samskipa hf. við Creditinfo og var í svari Samskipa hf. bent á að hann ætti við í tilviki kvartanda, þar sem hann hefði verið vaktaður af Samskipum hf. á sínum tíma.

Persónuvernd óskaði eftir nánari upplýsingum frá Samskipum hf. vegna kvörtunarinnar. Var óskað upplýsinga um það hvort Samskip hf. teldu sig vera ábyrgðaraðila vegna þeirrar vinnslu sem kvartað var yfir, sbr. 6. tölul. 3. gr. laga nr. 90/2018; vinnsluaðila, sbr. 7. tölul. sama ákvæðis, eða sameiginlegan ábyrgðaraðila með Jónum Transport hf., sbr. m.a. 26. gr. reglugerðar (ESB) 2016/679. Auk þess var óskað eftir upplýsingum um það hvernig Samskip hf. hefðu fengið aðgang að upplýsingum um viðskiptavini/viðskiptamannaskrá Jóna Transport ehf. Að lokum var óskað eftir upplýsingum um það hversu mörgum viðskiptavinum Jóna Transport hf. hefði verið flett upp og kennitala þeirra sett í vöktun af Samskipum hf. hjá Creditinfo, ásamt upplýsingum um það hversu margir þeirra væru einstaklingar.

Persónuvernd óskaði jafnframt eftir upplýsingum frá Jónum Transport hf. vegna kvörtunarinnar. Var óskað upplýsinga um það hvort Jónar Transport hf. teldu sig vera ábyrgðaraðila vegna þeirrar vinnslu, vinnsluaðila eða sameiginlegan ábyrgðaraðila með Samskipum hf., með tilvísun í viðeigandi lagagreinar, sbr. framangreint. Þá var óskað eftir upplýsingum um það hvernig Samskip hf. hefðu fengið aðgang að viðskiptamannaskrá Jóna Transport hf. og á hvaða lagagrundvelli miðlun þeirra upplýsinga til Samskipa hf. hefði verið byggð, sbr. m.a. 9. gr. laga nr. 90/2018. Að lokum var óskað eftir upplýsingum um það hversu mörgum viðskiptavinum Jóna Transport hf. hefði verið flett upp og kennitala þeirra vöktuð af hálfu Samskipa hf. hjá Creditinfo, ásamt upplýsingum um það hversu margir þeirra væru einstaklingar. Var Jónum Transport hf. jafnframt veittur kostur á að tjá sig um kvörtunina að öðru leyti.

Í svari Samskipa hf., f.h. beggja fyrirtækjanna, kom fram að Samskip hf. teldu sig vera ábyrgðaraðila vegna þeirrar vinnslu sem tengdist reikningsviðskiptum. Eingöngu lítill hópur starfsmanna Samskipa hefði upplýsingar um hvaða viðskiptavinir væru í vöktun hjá Creditinfo hverju sinni og þeir fylgdu þar þeim reglum sem um uppflettingar giltu. Í umræddri keyrslu sem kvörtunin lyti að hefði 148 kennitölum viðskiptavina Jóna Transport hf. verið flett upp af hálfu Samskipa hf. og þær settar í vöktun. Þar af hefðu verið fimm einstaklingar.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að uppflettingu og vöktun á kennitölu kvartanda í gagnagrunni Creditinfo. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar.

Kvörtun þessari er beint að Creditinfo og Samskipum hf. Eins og að framan greinir vísuðu Samskip hf. til þess að framkvæmd hefði verið uppfletting á kvartanda vegna uppfærslu á viðskiptamannavakt Samskipa hf. og dótturfélaga þess. Kvað félagið þá Creditinfo gera uppflettingu á grunnstöðu eins og væri alltaf gert þegar aðili væri settur í vakt. Samskip hf./Jónar Transport hf. hefðu því ekki framkvæmt uppflettingu á kvartanda heldur væri um að ræða keyrslu sem fram færi hjá Creditinfo vegna uppfærslu á viðskiptamannavaktinni. Í svarbréfi Creditinfo segir þó að það hafi verið Samskip hf. sem framkvæmdu uppflettinguna og settu kennitölu kvartanda í vakt, enda sé uppfletting framkvæmd af þeim aðila sem hafi lögvarða hagsmuni af því að afla upplýsinga af vanskilaskrá. Bendir Creditinfo á að viðkomandi einstaklingur fái tilkynningu frá Creditinfo um uppflettingu af hálfu Samskipa hf. og að uppflettingin sé birt á uppflettiyfirliti á þjónustuvefnum mitt.creditinfo.is. Í fylgigögnum með kvörtun er að finna skjáskot af vefsvæði kvartanda á mitt.creditinfo.is og er þar að finna yfirlit yfir þá aðila sem vakta kennitölu hans ásamt uppflettiyfirliti. Í báðum tilvikum kemur þar fram að það séu Samskip hf. sem vakti kvartanda og að sama félag hafi flett honum upp í umrætt sinn.

Creditinfo ber ábyrgð á þeirri vinnslu sem felst í varðveislu skráninga í upplýsingakerfi fyrirtækisins og því að gera þær aðgengilegar þar, þ. á m. með því að veita kost á vöktun kennitalna. Hins vegar verður að líta svo á að Samskip hf. hafi farið með ákvörðunarvald um að setja kennitölu kvartanda í vakt hjá Creditinfo og um að framkvæma þá uppflettingu sem hér er til skoðunar, sbr. það sem að framan greinir. Eins og hér háttar til teljast því Samskip hf. vera ábyrgðaraðili að þeirri vinnslu sem kvörtunin tekur til.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Þarf einhverri af kröfum þess ákvæðis ávallt að vera fullnægt við slíka vinnslu, þ. á m. við uppflettingar í skrá Creditinfo Lánstrausti hf. um fjárhagsmálefni og lánstraust einstaklinga, þ.e. vanskilaskrá, en hún er haldin samkvæmt starfsleyfi frá Persónuvernd, sbr. 2. gr. reglugerðar nr. 246/2001, um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, og 15. gr. laga nr. 90/2018. Er framangreint sérstaklega áréttað í grein 2.1. í starfsleyfi Persónuverndar til starfrækslu skrárinnar, dags. 29. desember 2017 (mál nr. 2017/1541), sem í gildi var þegar atvik málsins áttu sér stað. Uppflettingar í framangreindri skrá geta einkum stuðst við 6. tölul. 9. gr. laga nr. 90/2018, þar sem fram kemur að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra.

Í því tilviki sem hér er til skoðunar var kennitala kvartanda sett í vakt og uppfletting gerð vegna uppfærslu á viðskiptamannavakt Samskipa hf. og dótturfélaga þess. Hins vegar er það óumdeilt að kvartandi var ekki í viðskiptum við Samskip hf. heldur Jóna Transport hf. Eins og fram hefur komið óskaði Persónuvernd eftir upplýsingum um það frá Samskipum hf. hvort gerður hefði verið vinnslusamningur við Jóna Transport hf. Stofnunin fékk ekki upplýsingar um slíkan samning en einungis afrit af áskriftarsamningi félagsins við Creditinfo.

Eins og atvikum er hér háttað verður því þegar af þeirri ástæðu að telja að Samskip hf. hafi skort heimild til þess að framkvæma þá vinnslu sem kvartað er yfir, enda verður ekki séð að Samskip hf. hafi haft lögvarða hagsmuni af vinnslu persónuupplýsinga um kvartanda, en fyrir liggur að hann var ekki í beinum viðskiptum við það félag.

Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla Samskipa hf. á persónuupplýsingum um kvartanda hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Samskip hf. að setja verklagsreglur um uppflettingar og vöktun á kennitölum einstaklinga í skrám Creditinfo. Þá er lagt fyrir Samskip hf., með vísan til 7. tölul. sama ákvæðis, að eyða þeim upplýsingum um kvartanda sem aflað var með uppflettingum eða vöktun á kennitölu hans hjá Creditinfo. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 10. apríl 2021.

Ú r s k u r ð a r o r ð:

Vinnsla Samskipa hf. á persónuupplýsingum um [A], sem fólst í uppflettingu og vöktun á kennitölu hans í skrá Creditinfo Lánstrausts hf., samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Með vísan til 4. tölul. 42. gr. laga nr. 90/2018 er lagt fyrir Samskip hf. að setja sér verklagsreglur um uppflettingar og vöktun á kennitölum einstaklinga í skrám Creditinfo Lánstrausts hf. Þá er lagt fyrir Samskip hf., með vísan til 7. tölul. sama ákvæðis, að eyða þeim upplýsingum um kvartanda sem aflað var með uppflettingum eða vöktun á kennitölu hans hjá Creditinfo Lánstrausti hf.

Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 10. apríl 2021.

Í Persónuvernd, 10. mars 2021

 

Ólafur Garðarsson
starfandi formaður

 

Björn Geirsson                        Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson