Úrlausnir

Úrskurður um notkun upplýsinga sem fyrirhugað var að færa á vanskilaskrá við gerð skýrslna um lánshæfi

Mál nr. 2017/537

11.7.2018

Persónuvernd hefur úrskurðað um að Creditinfo Lánstrausti hf. hafi verið heimilt að nýta nýta upplýsingar um færslu á vanskilaskrá fyrirtækisins, auk upplýsinga úr skattskrá, við gerð skýrslna um lánshæfi. Vinnsla fyrirtækisins í sama skyni á upplýsingum, sem ráðgert var að færa á framangreinda vanskilaskrá en fóru ekki á skrána þar sem hún hafði greitt viðkomandi kröfu, var óheimil. 

 

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 31. maí 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/537:

I.
Málsmeðferð

1.
Tildrög máls

Þann 23. mars 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi), yfir vinnslu persónuupplýsinga um hana hjá Creditinfo Lánstrausti hf. í tengslum við gerð skýrslna um lánshæfismat. Í kvörtuninni segir m.a. að lánshæfismat hennar hafi tekið breytingum margoft, s.s. vegna uppflettinga, vaktana á kennitölu hennar og vegna fyrirhugaðra færslna á skrá Creditinfo um fjárhagsmálefni og lánstraust einstaklinga, þ.e. svokallaða vanskilaskrá. Í kvörtun segir einnig að skuldir hennar hafi farið lækkandi, hún sé ekki í vanskilum og gæti hún þess að lenda ekki á vanskilaskrá.

Með kvörtun fylgdu tölvupóstsamskipti milli kvartanda og Creditinfo þann 28. júlí 2017 þar sem kemur m.a. fram að helstu áhrifaþættir til lækkunar á lánshæfismati kvartanda sé vöktun vanskila af hálfu innheimtufyrirtækja, uppflettingar í vanskilaskrá fyrirtækisins af hálfu innheimtuaðila og fyrrum skráningar á  sömu skrá. Í tölvupóstsamskiptum mótmælir kvartandi því að fyrirhugaðar færslur upplýsinga á skrána, þ.e. um kröfur sem voru greiddar eftir að tilkynning barst frá Creditinfo og áður en upplýsingunum var miðlað í fyrsta sinn, hafi áhrif til lækkunar á lánshæfismati.

2.
Bréfaskipti

Með bréfi, dags. 19. júní 2017, var Creditinfo boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf Creditinfo er dagsett 4. júlí s.á. Þar segir m.a.:

 

„Það liggur í hlutarins eðli að tölfræðileg spá um atburði í framtíðinni verður að byggja á sögulegum upplýsingum, s.s. skilvísi og greiðslusögu. [...] Við vinnslu lánshæfismats er ekki verið að miðla upplýsingum af vanskilaskrá þar sem breytur (upplýsingar) sem ráða niðurstöðu lánshæfismats eru ekki birtar þeim sem sækir lánshæfismatið.

Lánshæfismatið metur líkur á greiðslufalli og skráningu næstu tólf mánuði. Lánshæfismatið er tölfræðilíkan sem uppfærist einu sinni á sólahring miðað við þær forsendur sem liggja fyrir hverju sinni auk þess sem Creditinfo framkvæmir reglulegar uppfærslur á þeim þáttum sem liggja til grundvallar matinu til að tryggja sem best áreiðanleika matsins. Vægi einstakra þátta getur þannig breyst, eftir atvikum aukist eða minnkað.

Eins og komið hefur fram í  svörum Creditinfo til kvartanda eru helstu áhrifaþættir í lánshæfismati hans fyrrum skráningar á vanskilaskrá, að auki hafa áhrif á matið uppflettingar og vanskilavaktanir af hálfu innheimtufyrirtækja. Aðrir áhrifaþættir eru m.a. aldur, búseta, hjúskaparstaða og fjöldi uppflettinga á vanskilaskrá.

Reiknilíkan lánshæfismatsins hefur staðfest að mjög auknar líkur eru á skráningu á vanskilaskrá þegar hinn skráði hefur fengið tilkynningu um fyrirhugaða skráningu. Slík tilkynning getur því lækkað lánshæfismatið, en matið hækkar ef hinn skráði gerir upp kröfuna og hafa skráningar kvartanda á framangreindu tímabili haft áhrif á lánshæfismatið til lækkunar.“

 

Í bréfinu segir að skráningar á nafni kvartanda á vanskilaskrá Creditinfo, sem hafi áhrif á lánshæfismat hennar, séu skráðar á tímablinu 1. janúar 2016 til 30. júní 2017 og séu því yngri en fjögurra ára, en bæði aldur og fjöldi skráninga á vanskilaskrá hafi áhrif til lækkunar.

Með bréfi, dags. 18. ágúst 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Creditinfo til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svar barst með tölvupósti þann 21. september s.á. Í svarinu segir m.a. að kvartandi hafi árangurslaust reynt að fá svör frá Creditinfo um upplýsingar sem varða lánshæfismat hennar og að lánshæfismat hennar hafi farið lækkandi á síðustu árum án þess að ástæða sé fyrir þeirri lækkun. Samkvæmt upplýsingum sem hún hafi fengið frá Creditinfo var ástæða þess sú að Creditinfo hefði breytt vinnureglum sínum. Kvartandi hafi síðar lækkað úr lánshæfiseinkunn D í E vegna uppflettinga og tveggja fyrirhugaðra skráninga á vanskilaskrá sem hún hafi greitt þegar hún hafi fengið tilkynningu um fyrirhugaða færslu upplýsinga á skrána.

Einnig segir að samkvæmt upplýsingum frá Creditinfo sé hún skráður eigandi í fyrirtæki og sitji í stjórn þess sem hafi neikvæð áhrif á lánshæfismat hennar þar sem strangari kröfur séu gerðar til eigenda fyrirtækja. Kvartandi mótmælir því að hafa setið í stjórn fyrirtækis og segir að eignarhlutur hennar í fyrirtækinu [X] hf. hafi verið keyptur á 50.000 krónur og nemi 1,307% af heildar útgefnu hlutafé félagsins, en með tölvupóstinum sendi kvartandi Persónuvernd vottorð úr fyrirtækjaskrá, þar sem fram kemur að hún sitji ekki í stjórn félagsins, og hluthafaskrá, dags. 31. desember 2014, þar sem fram kemur að eignarhlutur hennar nemi 1,307% af útgefnu hlutafé. Einnig segir að hún sé ósátt við að Creditinfo nýti upplýsingar úr skattskrá við gerð skýrslna um lánshæfismat.

Með bréfi, dags. 31. október 2017, var Creditinfo veittur kostur á að tjá sig um þær upplýsingar sem fram komu í tölvupósti frá kvartanda sem bárust Persónuvernd þann 21. september s.á., en sérstaklega var spurt hvort stjórnarseta kvartanda og eignarhlutur hennar í félaginu [X] hf. hefði haft áhrif á lánshæfismat hennar og hvernig Creditinfo teldi þá vinnslu samrýmast 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Einnig var Creditinfo veitt færi á að koma á framfæri áliti félagsins á því hvernig það teldi það samrýmast lögum nr. 77/2000 og starfsleyfi Persónuverndar til handa Creditinfo að nýta fyrirhugaðar skráningar í vanskilaskrá fyrirtækisins við gerð skýrslna um lánshæfismat.

Svar Creditinfo barst með bréfi, dags. 1. desember 2017. Í svarbréfinu segir m.a.:

 

„Eins og komið hefur fram í svörum Creditinfo til kvartanda [...] voru helstu áhrifaþættir í lánshæfismati hans fyrrum skráningar á vanskilaskrá. Að auki höfðu áhrif á matið uppflettingar og vanskilavaktanir af hálfu innheimtufyrirtækja. Aðrir áhrifaþættir sem hafa áhrif á matið eru lýðfræðilegar upplýsingar m.a. aldur, búseta og hjúskaparstaða. [...]

Varðandi uppfærslur á upplýsingum um stjórnir fyrirtækja hjá Creditinfo þá eru þær uppfærðar daglegar skv. upplýsingum frá Fyrirtækjaskrá Ríkisskattstjóra. Kvartandi hefur ekki verið skráður í stjórn [X] skv. upplýsingum úr Fyrirtækjaskrá og upplýsingar um stjórnarsetu kvartanda hjá framangreindu félagi hafa því ekki legið fyrir hjá Creditinfo eins og kvartandi staðhæfir.

Varðandi uppfærslur á upplýsingum um hluthafa þá heldur Creditinfo utan um eigendaupplýsingar um íslensk fyrirtæki. Upplýsingarnar byggja á gögnum úr stofnskrá, ársreikningum, frá Kauphöll Íslands og samtölum við forsvarsmenn fyrirtækja. Í gegnum vefsvæðið Mitt Creditinfo geta einstaklingar sent inn upplýsingar um breytingar á hlutum þeirra í félögum. [...]

Creditinfo vinnur lánshæfismat einstaklinga og fyrirtækja. Hvað varðar einstaklinga er um að ræða tvö reiknilíkön þar sem annað líkanið á við um einstaklinga sem eru með tengsl við félög en hitt um einstaklinga sem ekki hafa slík tengsl. Í núverandi reiknilíkani þeirra sem eru með tengsl við félög þarf eignarhlutur að nema í það minnsta 10% og hefur því orðið breyting á því skilyrði frá því að kvartandi lagði fram kvörtun sína. Tengsl kvartanda við félagið [X] hf., þ.e. eignarhlutur hans, hafði þau áhrif að lánshæfismat hans var metið í því líkani einstaklinga sem eru með tengsl við félög. Upplýsingar um það fyrirtæki sem kvartandi hafði tengsl við höfðu þó ekki áhrif á lánshæfiseinkunn hans til lækkunar.“

 

Um notkun fyrirhugaðra skráninga í vanskilaskrá Creditinfo segir í bréfinu:

„Starfsleyfi Creditinfo heimilar félaginu söfnun og miðlun upplýsinga um fjárhagsmálefni einstaklinga. Daglega eru skráðar á vanskilaskrá Creditinfo upplýsingar um vanskil frá áskrifendum svo og upplýsingar um vanskil samkvæmt opinberum gögnum í samræmi við heimildir í grein 2.2. í starfsleyfinu. Um leið og upplýsingar hafa verið færðar á skrá Creditinfo getur hinn skráði séð skráninguna á aðgangsstýrða vefsvæðinu Mitt Creditinfo og getur þar gert athugasemdir við hana.

 

Eins og segir í grein 2.4. í starfsleyfi Creditinfo á hinn skráði rétt á fræðslu frá félaginu um að það hafi fært nafn hans á skrá sem það ber ábyrgð á. Þar segir ennfremur að slíka fræðslu skuli félagið veita honum eigi síðar en fjórum vikum eftir að það skráir upplýsingar um hann. Þó megi fresta því þar til 14 dögum áður en fjárhagsupplýsingastofa miðlar upplýsingunum í fyrsta sinn. Ákvæði starfsleyfisins er í samræmi við það sem kveðið er á um í 21. gr. laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000 svo og 4. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust.“

Með bréfi, dags. 10. janúar 2018, ítrekuðu með bréfi dags. 15. mars s.á. var kvartanda veittur kostur á að tjá sig um framkomin svör Creditinfo. Engin svör bárust frá kvartanda.

II.
Forsendur og niðurstaða

1.
Gildissvið laga nr. 77/2000
Ábyrgðaraðili – Afmörkun máls

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Fyrir liggur að við gerð skýrslna um lánshæfi kvartanda var notast við upplýsingar um færslu á skrá Creditinfo Lánstrausts hf. um fjárhagsmálefni og lánstraust einstaklinga, þ.e. svonefnda vanskilaskrá. Af framangreindu er ljóst að þar ræðir um meðferð persónuupplýsinga um kvartanda sem fellur undir valdsvið Persónuverndar. Hvað varðar þann þátt kvörtunar í máli þessu, sem lýtur að notkun upplýsinga frá Fyrirtækjaskrá Ríkisskattstjóra, þ.e. upplýsinga um stjórnarsetu kvartanda og eignarhlut hennar í félaginu [X] hf. segir í bréfi Creditinfo, dags. 1. desember 2017, annars vegar að kvartandi hafi ekki verið skráður í stjórn félagsins skv. upplýsingum frá Fyrirtækjaskrá og því hafi engar upplýsingar um stjórnarsetu kvartanda legið fyrir hjá Creditinfo og hins vegar að upplýsingar um tengsl kvartanda við félagið hafi ekki haft áhrif á lánshæfismat hennar til lækkunar. Þar sem úrlausn í kvörtunarmáli getur aðeins lotið að atriðum, sem kvartandinn hefur sérstaka og einstaklingsbundna hagsmuni sem aðili máls af að skorið sé úr um, verður hér því ekki fjallað efnislega um þessi atriði.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Við mat á því hver sé ábyrgðaraðili í þessum skilningi getur þurft að líta til ákvæða í öðrum lögum eins og við á hverju sinni. Eins og hér háttar til reynir á lög nr. 33/2013 um neytendalán í því samhengi. Samkvæmt 2. mgr. 10. gr. þeirra laga skal lánveitandi, áður en samningur um neytendalán er gerður, meta lánshæfi neytanda. Samkvæmt i-lið 5. gr. laganna er þar um að ræða mat lánveitanda á lánshæfi lántaka byggt á upplýsingum sem eru til þess fallnar að veita áreiðanlegar upplýsingar um líkindi þess hvort lántaki geti efnt lánssamning. Lánshæfismat skuli byggt á viðskiptasögu aðila á milli og/eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust.

Creditinfo hefur yfir að ráða upplýsingakerfum um fjárhagsmálefni og lánstraust sem meðal annars lánveitendur afla sér upplýsinga úr þegar metið er lánshæfi þeirra sem æskja fjárhagslegrar fyrirgreiðslu. Ljóst má telja að viðkomandi lánveitendur séu ábyrgðaraðilar að þeirri vinnslu sem þeir sjálfir viðhafa við gerð slíks mats. Það að koma þess háttar upplýsingakerfum á fót og vinna með upplýsingar í þeim í því skyni að miðla þeim til lánveitenda telst hins vegar vera á ábyrgð þess aðila sem hefur rekstur upplýsingakerfanna með höndum. Samkvæmt því telst Creditinfo vera ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem fólst í notkun upplýsinga, sem þar hafa verið skrásettar, til gerðar skýrslna fyrirtækisins um lánshæfi kvartanda.

2.
Starfsleyfi Creditinfo Lánstrausts hf.

Söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, þarf að byggjast á starfsleyfi Persónuverndar, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust sem sett er með stoð í 45. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Starfsemi Creditinfo fellur að miklu leyti undir framangreind ákvæði og hefur Persónuvernd veitt fyrirtækinu leyfi í samræmi við þau, sbr. nú leyfi, dags. 29. desember 2017 (mál nr. 2017/1541). Varðandi þá vinnslu, sem um ræðir í máli þessu, verður hins vegar að líta til 1. mgr. 1. gr. áðurnefndrar reglugerðar, en þar segir að hún taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi. Hér ræðir um slíka starfsemi og fellur hún samkvæmt þessu ekki undir umrædd leyfi. Hins vegar skal tekið fram að upplýsingar, sem skráðar hafa verið á grundvelli starfsleyfanna, sbr. kafla 3.2 og 3.4 hér á eftir, má ekki nýta í þágu starfsemi, sem fellur utan gildissviðs þeirra, nema það fái samrýmst gildandi lögum og að því gefnu að einstök leyfisákvæði standi því ekki í vegi.

3.
Lögmæti vinnslu – Fyrirmæli
3.1.
Almennt

Svo að vinnsla persónuupplýsinga sé heimil þarf ávallt að vera fullnægt einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Samkvæmt 1. tölul. þeirrar málsgreinar er vinnsla persónuupplýsinga heimil á grundvelli samþykkis. Fyrir liggur að áður en skýrslu um lánshæfi er miðlað frá Creditinfo ritar hinn skráði undir beiðni um gerð lánshæfismats. Þá er til þess að líta að í reglugerð nr. 920/2013 um lánshæfis- og greiðslumat, sbr. b-lið 1. mgr. 27. gr. laga nr. 33/2013 um neytendalán, ræðir um samþykki fyrir gerð lánshæfismats, sbr. m.a. 2. mgr. 5. gr. reglugerðarinnar. Í ljósi almennra grunnreglna um mismunandi rétthæð réttarheimilda er hins vegar ljóst að þessi hugtakanotkun reglugerðarinnar getur ekki ráðið úrslitum um hvort samþykki teljist veitt samkvæmt lögum nr. 77/2000. Svo að slíkt samþykki teljist liggja fyrir þarf að vera skýrt að fullnægt sé skilyrðinu um fúsan og frjálsan vilja hins skráða, sbr. m.a. 7. tölul. 2. gr. laga nr. 77/2000, sbr. og h-lið 2. gr. persónuverndartilskipunarinnar, 95/46/EB, sem innleidd var í íslenskan rétt með lögunum. Ljóst er hins vegar, m.a. þegar litið er til laga nr. 33/2013 um neytendalán, að vilji einstaklingur eiga tiltekin viðskipti getur hann ekki komist hjá því að lánshæfi hans sé metið. Það að til staðar sé raunverulegt val einstaklings er skilyrði þess að kröfum til samþykkis sé fullnægt og telur Persónuvernd að eins og hér háttar til geti skort á að svo sé. Jafnframt skal þó tekið fram að stofnunin telur engu að síður mikilvægt að í aðdraganda gerðar lánshæfismats liggi fyrir yfirlýsing frá hinum skráða um að honum sé kunnugt um gerð matsins og þá vinnslu persónuupplýsinga sem í því felst, m.a. í ljósi sjónarmiða um sanngirni vinnslu, sbr. það sem síðar greinir um 7. gr. laga nr. 77/2000, og til að fullnægjandi fræðsla sé veitt, sbr. 20. og 21. gr. sömu laga.

Samkvæmt 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Þá er vinnsla heimil samkvæmt 3. tölul. sömu málsgreinar sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, en slík lagaskylda getur falist í lögum nr. 33/2013. Telja má þessar tvær vinnsluheimildir geta rennt stoðum undir vinnslu persónuupplýsinga í tengslum við gerð lánshæfismats hjá lánveitanda sem metur lánshæfi einstaklings sem æskir fjárhagslegrar fyrirgreiðslu. Fyrirtæki, sem útbýr skýrslur um lánshæfi í því skyni að miðla þeim til lánveitenda, er aftur á móti ekki aðili að samningi um þess háttar fyrirgreiðslu, auk þess sem lagaskylda samkvæmt lögum nr. 33/2013 hvílir ekki á því. Framangreindar tvær vinnsluheimildir geta því ekki átt við um Creditinfo.  Til þess er hins vegar að líta að samkvæmt 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna, þ. á m. þeirra aðila sem upplýsingum er miðlað til, nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Telur Persónuvernd þetta ákvæði einkum geta átt við um þá vinnslu persónuupplýsinga sem fram fer í upplýsingakerfum Creditinfo vegna gerðar skýrslna um lánshæfi.

Auk þess sem heimild þarf að vera fyrir vinnslu persónuupplýsinga í 8. gr. laga nr. 77/2000 verður öllum grunnkröfum 1. mgr. 7. gr. sömu laga að vera fullnægt við slíka vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og vera í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli vera varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

3.2.
Vinnsla upplýsinga um afskráða færslu

Hér reynir á hvort við gerð skýrslna um lánshæfi kvartanda hafi Creditinfo mátt notast við upplýsingar um færslu á vanskilaskrá fyrirtækisins sem eytt hafði verið af þeirri skrá á grundvelli leyfis til starfrækslu skrárinnar. Til þess álitaefnis hefur þegar verið tekin afstaða í framkvæmd Persónuverndar í máli þar sem málsatvik voru sambærileg og í því máli sem hér er til úrlausnar. Vísast um það til úrskurðar, dags. 28. september 2017, í máli nr. 2016/1138, þar sem meðal annars var vísað til ákvæða um eyðingu skráðra upplýsinga að heimilum varðveislutíma liðnum í viðeigandi starfsleyfum sem í gildi voru þegar sú vinnsla átti sér stað sem um ræddi í málinu. Eru þau ákvæði sambærileg við grein 2.7 í því starfsleyfi, dags. 28. febrúar 2017 (mál nr. 2016/1626), sem í gildi var þegar sú kvörtun sem hér er til úrlausnar barst Persónuvernd, , sem og grein 2.7 í núgildandi leyfi, dags. 29. desember s.á. (mál nr. 2017/1541).

Einnig var í úrskurði Persónuverndar vísað til þess að samkvæmt 3. mgr. 5. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sbr. 45. gr. laga nr. 77/2000, er svigrúm til þess að upplýsingar, sem ekki má lengur miðla til áskrifenda, megi engu að síður varðveita lengur á grundvelli sérstakrar heimildar. Rakið var í því sambandi að slík heimild hefði verið veitt Creditinfo, þ.e. til þriggja ára viðbótarvarðveislu í því skyni meðal annars að leysa úr ágreiningi sem upp kynni að rísa um réttmæti skráningar. Að auki voru rakin ákvæði í lögum nr. 33/2013 um neytendalán, þ.e. i-liður (nú k-liður) 5. gr. og 10. gr. sem áskilja að lánshæfi neytanda sé metið áður en neytendalán er veitt og kemur meðal annars fram að notast má við upplýsingar úr gagnagrunnum fjárhagsupplýsingastofa í því skyni. Voru í því sambandi einnig rakin ákvæði úr tilskipun 2008/48/EB um lánasamninga fyrir neytendur þar sem lögð er á það áhersla að lánastarfsemi skuli vera ábyrg, að lán samkvæmt tilskipuninni skuli ekki veita án þess að áður hafi verið aflað mats á lánshæfi og að ákvarða skuli nauðsynleg úrræði til að beita þá lánveitendur viðurlögum sem það geri.

Með vísan til þessa segir í umræddum úrskurði:

„Af framangreindu er ljóst að rík áhersla er á það lögð að gert sé áreiðanlegt lánshæfismat í aðdraganda samnings um neytendalán. Einnig liggur fyrir, eins og áður greinir, að skýrslum Creditinfo Lánstrausts hf. er ætlað að nýtast við gerð slíks mats. Þá verður ekki litið svo á að það feli í sér óheimila miðlun upplýsinga um vanskilakröfur, sem komið hefur verið í skil, að þær hafi áhrif á niðurstöðu skýrslna um lánshæfi, enda liggur fyrir að upplýsingarnar sjálfar berast ekki viðtakendum matsins. Þegar litið er til þessa telur Persónuvernd vinnslu Creditinfo Lánstrausts hf. á þeim upplýsingum um afskráðar færslur á umræddri skrá, sem um ræðir í máli þessu og fram fór á gildistíma fyrrnefnds starfsleyfis, dags. 28. desember 2015, hafa átt stoð í áðurgreindu ákvæði 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en auk þess telur stofnunin ekki hafa komið fram að farið hafi verið gegn kröfum annarra ákvæða laganna, þ. á m. 1. mgr. 7. gr. sömu laga um meðal annars sanngirni, meðalhóf, áreiðanleika og varðveislutíma við vinnslu persónuupplýsinga. Telst vinnslan því hafa samrýmst lögunum.

 

Í öðru lagi reynir hér á hvort umrædd vinnsla teljist hafa verið heimil eftir að núgildandi starfsleyfi, dags. 28. febrúar 2017 (mál nr. 2016/1626), tók gildi. Við veitingu þess var litið til þeirra sjónarmiða sem að framan eru rakin, sbr. grein 2.7 í leyfinu þar sem fjallað er um eyðingu upplýsinga. Segir þar meðal annars að eyða skuli upplýsingum um einstakar skuldir sé vitað að þeim hafi verið komið í skil, auk þess sem eyða skuli upplýsingum, sem mæli gegn lánshæfi hins skráða, þegar þær verði fjögurra ára gamlar. Þó megi geyma upplýsingar í þrjú ár til viðbótar, enda lúti þær ströngum aðgangstakmörkunum og þess sé vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn sem þess nauðsynlega þurfi starfs síns vegna. Á meðan á þeirri varðveislu standi megi nýta þær til að verða við beiðnum frá skráðum einstaklingum um vitneskju um vinnslu persónuupplýsinga um sig og til að […] leysa úr ágreiningi um réttmæti skráningar. Að hámarki þar til fjögur ár séu liðin frá skráningu upplýsinganna sé einnig heimilt að nýta þær í þágu gerðar lánshæfismats að beiðni hins skráða, enda sé ekki miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum. Önnur notkun upplýsinganna sé óheimil.“

 

Persónuvernd telur sömu rök og að framan greinir eiga við í því máli sem nú er til úrlausnar. Þá liggur ekki fyrir að farið hafi verið gegn þeim starfsleyfisfyrirmælum, sbr. nú grein 2.7 í fyrrnefndu leyfi, dags. 29. desember 2017, sem rakin eru í tilvitnuðum texta. Í ljósi þess, sem og með vísan til þeirra laga- og reglugerðarákvæða sem fyrr eru rakin, telur stofnunin umrædda vinnslu upplýsinga um afskráða færslu á skrá samkvæmt starfsleyfinu samrýmast lögum nr. 77/2000.

3.3.
Vinnsla upplýsinga um fyrirhugaðar skráningar

Hér reynir á hvort við gerð skýrslna um lánshæfi kvartanda hafi Creditinfo mátt notast við upplýsingar um fyrirhugaðar færslur á vanskilaskrá fyrirtækisins, þ.e. upplýsingar um kröfur sem voru greiddar eftir að tilkynning barst frá Creditinfo og áður en upplýsingunum var miðlað í fyrsta sinn.

Í grein 2.4 í starfsleyfi Creditinfo er fjallað um fræðsluskyldu fjárhagsupplýsingastofu gagnvart hinum skráða. Þar segir m.a. að hinn skráði eigi rétt á fræðslu fjárhagsupplýsingastofu um að hún hafi fært nafn hans á skrá sem hún ber ábyrgð á. Slíka fræðslu skal stofan veita honum eigi síðar en fjórum vikum eftir að hún skráir upplýsingar um hann, þó má hún fresta því þar til 14 dögum áður en hún miðlar upplýsingunum í fyrsta sinn. Þetta ákvæði starfsleyfis Creditinfo byggist á 2. mgr. 21. gr. laga nr. 77/2000, þar sem segir að ábyrgðaraðili sem annast miðlun upplýsinga um fjárhagsmálefni og lánstraust skuli láta hinn skráða vita 14 dögum áður en slíkum upplýsingum er miðlað í fyrsta sinn, og 2. mgr. 4. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust.

Í framangreindum ákvæðum er fjallað um skyldu fjárhagsupplýsingastofu til að fræða hinn skráða áður en upplýsingum er miðlað í fyrsta sinn. Í ákvæði starfsleyfisins er vísað til þess að áður hafi upplýsingarnar verið skráðar hjá Creditinfo. Er þar átt við skráningu sem nauðsynleg er í því skyni að senda hinum skráðu tilkynningar samkvæmt framangreindu áður en upplýsingum er fyrst miðlað, þ.e. þegar upplýsingarnar verða aðgengilegar áskrifendum. Tilgangurinn með slíkum tilkynningum er að veita hinum skráðu kost á andmælum þannig að þeir geti hagsmuna sinna, þ.e. annaðhvort með því að benda á að um ræði óáreiðanlegar eða rangar upplýsingar sem ekki beri að skrá eða að þeir hafi komið viðkomandi kröfu í skil og að því eigi ekki að koma til miðlunar upplýsinganna. Ekki fyrr en veitt hefur verið færi á slíku má færa upplýsingarnar á þá skrá sem aðgengileg er áskrifendum þannig að upplýsingunum verði miðlað til þeirra. Í ljósi kröfunnar um sanngirni við vinnslu persónuupplýsinga ber auk þess að líta svo á að fram að því hafi ekki komið til skráningar sem sérstök réttaráhrif séu bundin við, í þessu tilviki að upplýsingar megi nota við eiginlega vanskilaskráningu og við gerð skýrslna um lánshæfismat, sbr. 2. mgr. greinar 2.7 í því starfsleyfi Persónuverndar til handa Creditinfo, dags. 28. febrúar 2017, sem gilti þegar kvörtun barst, sem og núgildandi starfsleyfi, dags. 29. desember s.á.

Með vísan til framangreinds telur Persónuvernd Creditinfo hafa verið óheimilt, við gerð skýrslna um lánshæfismat, að nota upplýsingar um fyrirhugaða skráningu upplýsinga um kvartanda í máli þessu á þá skrá yfir vanskil einstaklinga sem aðgengileg er áskrifendum að upplýsingakerfum fyrirtækisins, en fyrir liggur að viðkomandi krafa var greidd eftir að tilkynning barst kvartanda um ráðgerða skráningu og áður en til umræddrar skráningar kom.

3.4.
Vinnsla upplýsinga úr skattskrá

Í tengslum við vinnslu upplýsinga úr skattskrá við gerð skýrslna um lánshæfi ber að líta til 2. mgr. 98. gr. laga nr. 90/2003 um tekjuskatt. Segir þar að þegar lokið sé álagningu skatta og meðferð á kærum á álagningu skuli ríkisskattstjóri semja og leggja fram skattskrá fyrir hvert sveitarfélag, en í henni skuli tilgreina álagðan tekjuskatt hvers gjaldanda og aðra skatta eftir ákvörðun ríkisskattstjóra. Einnig segir meðal annars að skattskrá skuli liggja frammi til sýnis í tvær vikur á hentugum stað. Ólíkt því sem gildir um álagningarskrár, sbr. 1. mgr. 98. gr. laga nr. 90/2003, heimilar 2. mgr. sömu greinar auk þess opinbera birtingu á upplýsingum um álagða skatta, sem fram koma í skattskrá, svo og útgáfu upplýsinganna í heild eða að hluta.

Einnig ber hér að líta til 1. og 2. tölul. 2. mgr. 6. gr. reglugerðar nr. 920/2013 um lánshæfis- og greiðslumat, en fram kemur í þessum reglugerðarákvæðum að við framkvæmd lánshæfismats vegna afgreiðslu umsóknar um neytendalán skuli lánveitandi meðal annars afla staðfests afrits af síðasta skattframtali, auk staðfestingar á tekjum síðustu þriggja mánaða. Telur Persónuvernd í því ljósi ekki ómálefnalegt að aðili, sem starfrækir gagnagrunn um fjárhagsmálefni og lánstraust og veitir upplýsingar í þágu gerðar matsins, sbr. i-lið 5. gr. laga nr. 33/2013, vinni mat sitt á grundvelli skattskrárupplýsinga sem lögum samkvæmt eru opinberar.

Í ljósi framangreinds, sem og á grundvelli meðal annars 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, telur Persónuvernd notkun upplýsinga úr skattskrá við gerð skýrslna Creditinfo um lánshæfi samrýmast lögum nr. 77/2000.

3.5.
Vinnsla upplýsinga um uppflettingar

Hvað varðar vinnslu upplýsinga um uppflettingar í vanskilaskrá Creditinfo vísast til fyrrnefnds úrskurðar Persónuverndar, dags. 28. september 2017, í máli nr. 2016/1138. Er þar vísað til skyldu fjárhagsupplýsingastofa til að skrá upplýsingar um nöfn og heimilisföng fyrirspyrjenda, svo og hverjum viðkomandi fletti upp, samkvæmt 2. mgr. 6. gr. reglugerðar nr. 246/2001. Einnig er vísað til ákvæðis í starfsleyfi sem í gildi var þegar sú vinnsla átti sér stað sem um ræddi í málinu, en það ákvæði er sambærilegt við grein 2.10 í því starfsleyfi, dags. 28. febrúar 2017, sem í gildi var þegar sú kvörtun sem hér er til úrlausnar barst Persónuvernd, sem og grein 2.7 í núgildandi leyfi, dags. 29. desember s.á. Að auki er vikið að þeim tilgangi með slíkri skráningu og hér um ræðir, sem jafnan er kölluð aðgerðaskráning, að tryggja öryggi persónuupplýsinga, þ.e. tryggja rekjanleika þeirra til að sporna við uppflettingum án nægs tilefnis og gera það kleift að bregðast við þeim. Þá er vísað til þeirrar grunnreglu 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000 að persónuuplýsingar skulu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi. Tekið er fram að á reyni hvort farið sé að þessari reglu og vísað til þess að vegna aðgerðaskráningar geta upplýsingar skráðst hjá viðkomandi ábyrgðaraðila sem eru umfram þær sem að öllu jöfnu mætti gera ráð fyrir að hann byggi yfir. Með vísan til þessa alls segir:

„Eins og hér háttar til er þar meðal annars um að ræða upplýsingar um að krafa á hendur einstaklingi sé í vanskilainnheimtu, en fram hefur komið af hálfu Creditinfo að það séu fyrst og fremst uppflettingar innheimtuaðila sem hafi áhrif á niðurstöður skýrslna um lánshæfi. Slíkir aðilar eru bundnir þagnarskyldu samkvæmt 13. gr. innheimtulaga nr. 95/2008 og 1. mgr. 22. gr. laga nr. 77/1998 um lögmenn. Af því leiðir jafnframt að Creditinfo ætti ekki að búa yfir upplýsingum um vanskilainnheimtu á hendur einstaklingi nema fyrir þá sök að samkvæmt aðgerðaskráningu hafi innheimtuaðili flett honum upp í umræddri skrá. Svigrúm til vinnslu þessara upplýsinga, auk annarra upplýsinga sem til verða við aðgerðaskráningu, umfram það sem felst í eftirliti með lögmæti uppflettinga í skránni, ber að túlka þröngt. Verður þá meðal annars að líta til þess hvort ákvæði í lögum og reglum með stoð í þeim renni stoðum undir slíka vinnslu, en ákvæðum, sem mæla fyrir um heimild til þess, er hér ekki til að dreifa.“

Í ljósi framangreinds telur Persónuvernd notkun Creditinfo Lánstrausts hf. á slíkum upplýsingum um kvartanda og hér um ræðir, við gerð skýrslna um lánshæfi hennar, ekki hafa samrýmst fyrrnefndu ákvæði 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um bann við vinnslu persónuupplýsinga í tilgangi sem ósamrýmanlegur er upphaflegum vinnslutilgangi.

3.6.
Fyrirmæli

Með vísan til 1. mgr. 40. gr. laga nr. 77/2000 og þess sem greinir í köflum 3.3 og 3.5 hér að framan er hér með lagt fyrir Creditinfo Lánstraust hf. að senda Persónuvernd, eigi síðar en 15. júlí nk., staðfestingu á því að upplýsingar um fyrirhugaðar færslur á vanskilaskrá fyrirtækisins, auk upplýsinga um uppflettingar í sömu skrá, hafi ekki áhrif á skýrslur um lánshæfi kvartanda.

 

Ú r s k u r ð a r o r ð:

Creditinfo Lánstrausti hf. var heimilt að nýta upplýsingar um færslu á vanskilaskrá fyrirtækisins, auk upplýsinga úr skattskrá, við gerð skýrslna um lánshæfi [A]. Vinnsla fyrirtækisins í sama skyni á upplýsingum, sem ráðgert var að færa á framangreinda vanskilaskrá en fóru ekki á skrána þar sem hún hafði greitt viðkomandi kröfu, var óheimil. Sama máli gegnir um upplýsingar um uppflettingar á nafni hennar í sömu skrá. Skal Creditinfo Lánstraust hf. eigi síðar en 15. júlí nk. senda Persónuvernd staðfestingu á því að framangreindar upplýsingar hafi ekki áhrif á skýrslur um lánshæfi hennar.

 



Var efnið hjálplegt? Nei