Úrskurður um vinnslu vegna skýrslna um lánshæfismat
Mál nr. 2016/1138
Persónuvernd hefur úrskurðað að Creditinfo Lánstrausti hf. hafi verið heimilt að nýta upplýsingar úr skattskrá, sem og um að kvartandi hafði verið á skrá fyrirtækisins um vanskil einstaklinga, í þágu gerðar skýrslu um lánshæfi hans. Samkvæmt úrskurðinum var hins vegar óheimilt að notast við upplýsingar um uppflettingar á vanskilaskránni í sama skyni.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 28. september 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1138:
I.
Málsmeðferð
1.
Tildrög máls – Kvörtun
Persónuvernd hefur borist kvörtun frá [A], dags. 10. ágúst 2016, yfir gerð skýrslna um lánshæfi einstaklinga hjá Creditinfo Lánstrausti hf. sem seldar eru viðskiptavinum fyrirtækisins. Í kvörtun er vitnað til upplýsinga á vefsíðu fyrirtækisins, þess efnis að við gerð slíkra skýrslna séu notaðar upplýsingar um fyrrum færslur á skrá þess um fjárhagsmálefni og lánstraust einstaklinga, uppflettingar innheimtuaðila í þeirri skrá og á skýrslum um lánshæfi, auk upplýsinga úr skattskrá.
Í tengslum við umrædda skrá um fjárhagsmálefni og lánstraust einstaklinga er í kvörtun vísað til starfsleyfis Persónuverndar til Creditinfo Lánstrausts hf. til að starfrækja þá skrá, sbr. leyfi, dags. 28. desember 2015 (mál nr. 2015/1428), sem í gildi var þegar kvörtunin barst Persónuvernd, sbr. nú leyfi, dags. 28. febrúar 2017 (mál nr. 2016/1626). Þá segir í kvörtuninni að leyfið heimili ekki söfnun og miðlun upplýsinga um fyrri færslur á skránni, enda muni þær eyðast út af henni að fjórum árum liðnum eða fyrr sé krafa gerð upp. Þar af leiðandi hljóti það að brjóta gegn lögum um friðhelgi einkalífsins að lögaðili geti safnað upplýsingum til miðlunar til þriðja aðila. Þá er lýst þeirri afstöðu að hið sama gildi um söfnun upplýsinga um fjölda þeirra þeirra fyrirtækja sem fletta einstaklingum upp í umræddri skrá, auk miðlunar þeirra í ákveðnu formi til þriðju aðila.
Hvað varðar skattskrá segir í kvörtun að skattskýrslur einstaklinga séu einkamál hvers og eins og því hljóti að vakna sú spurning hvernig Creditinfo Lánstraust hf. geti nálgast gögn úr skattskrá nema öllum einstaklingum sé handflett upp í þeim bókum sem liggja fyrir hjá skattyfirvöldum eftir birtingu álagningarseðla.
2.
Skýringar Creditinfo Lánstrausts hf.
Með bréfi, dags. 8. september 2016, veitti Persónuvernd Creditinfo Lánstrausti hf. færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 27. s.m. Þar segir meðal annars að þegar fyrirtækið hafi fengið staðfestingu á að krafa hafi verið greidd eða henni komið í skil sé færslu um hana eytt af skrá um fjárhagsmálefni og lánstraust einstaklinga. Hið sama sé gert þegar færsla sé orðin fjögurra ára gömul án þess að kröfu hafi verið komið í skil. Upplýsingum um afskráðar færslur sé ekki miðlað, en til verði upplýsingar um viðskiptasögu hins skráða sem unnt sé að nota í tölfræðilegum tilgangi líkt og við gerð skýrslu um lánshæfi. Sé um slíkt að ræða í tilfelli kvartanda vegna færslna sem afskráðar hafi verið árunum 2014 og 2016.
Einnig segir að gerð skýrslna um lánshæfi styðjist við samþykki hins skráða sem taki meðal annars til þess að notaðar séu breytur sem byggist á sögulegum upplýsingum um vanskil. Jafnframt er lýst þeirri afstöðu að með afhendingu umræddra skýrslna sé ekki miðlað upplýsingum af skrá um fjárhagsmálefni og lánstraust einstaklinga, enda séu þær breytur, sem ráði niðurstöðu skýrslnanna, ekki birtar þeim sem sæki þær. Þá er vísað til skyldu til að meta lánshæfi áður en samningur um neytendalán er gerður, sbr. 10. gr. laga nr. 33/2013 um neytendalán. Í því sambandi segir:
„Það liggur í hlutarins eðli að tölfræðileg spá um atburði í framtíðinni verður að byggja á sögulegum upplýsingum, s.s. um skilvísi og greiðslugetu. Lánshæfislíkan Creditinfo Lánstrausts hf. er tölfræðilegt spálíkan líkt lánshæfislíkönum sem notuð eru víða um heim. Alls staðar í heiminum þar sem lánveitendur nota lánshæfismat eru sögulegar upplýsingar nýttar í þeim tilgangi að auka áreiðanleika slíks mats. Ef upplýsingar um greiðslusögu í fortíðinni eiga ekki að hafa áhrif á lánshæfismat væri grundvellinum kippt undan gagnsemi matsins. Slíkt mat myndi augljóslega ekki fullnægja ákvæðum 5. gr. laga nr. 33/2013 og færi þvert gegn ummælum með 10. gr. lagafrumvarpsins þar sem tiltekið er að lánshæfismat geti m.a. byggt á skilvísi og greiðslusögu en það hefur sýnt sig að sögulegar upplýsingar um skilvísi, vanskil og greiðslusögu hafa mikið forspárgildi um líkur á vanskilum í framtíðinni.“
Með vísan til þessa segir í bréfinu að lögvarðir hagsmunir lánveitanda, sbr. 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, vegi hér þyngra en grundvallarréttindi og frelsi hins skráða samkvæmt sama ákvæði. Þá segir að löggjöf um neytendalán sé ætlað að vernda hagsmuni neytenda á þann hátt að þeir skuldsetji sig ekki umfram greiðslugetu. Skýrslur Creditinfo Lánstrausts hf. um lánshæfi styðji slík markmið, en lánshæfismat, sem augljóslega ofmæti lánshæfi einstaklings, væri skaðlegt hagsmunum lántaka og lánveitanda og gengi þvert gegn markmiðum laga nr. 33/2013.
3.
Athugasemdir kvartanda
Bréfaskipti í tengslum við þær
Með bréfi, dags. 7. október 2016, veitti Persónuvernd kvartanda færi á að tjá sig um framangreindar skýringar Creditinfo Lánstrausts hf. Svarað var með bréfi, dags. 17. október s.á. Þar segir meðal annars að þrátt fyrir að það komi ekki beint fram í skýrslum um lánshæfi byggist þær að stórum hluta á sögulegum upplýsingum úr skrá um fjárhagsmálefni og lánstraust einstaklinga. Ekki sé gerður greinarmunur á annars vegar ábyrgðarskuldbindingum sem skuldari semji sérstaklega um, auk skulda sem felldar séu niður vegna mistaka, og hins vegar skuldum sem raunverulega fari í vanskil. Í því sambandi segir að persónulega hafi kvartandi orðið fyrir því að skuldir hafi fallið á hann vegna mistaka sem nú sé búið að leiðrétta. Þá segir:
„Ég get því ekki tekið undir svar Creditinfo Lánstrausts hf. um að fyrirtækið sé ekki að miðla umræddum upplýsingum úr vanskilaskrá þar sem niðurstaða lánshæfismatsins byggir að mestu á umræddum gögnum og sögu úr þeirri skrá. Þetta er brot á 3. mgr. 6. gr. reglugerðar nr. 246/2001, þar sem fjallað er um að óheimilt sé að miðla upplýsingum um kröfur sem greiddar hafa verið eða komið í skil.“
Einnig segir í bréfi kvartanda að samþykki til gerðar skýrslu um lánshæfi sé ekki gefið af fúsum og frjálsum vilja. Hinn skráði sé í raun þvingaður til að samþykkja vinnsluna, en að öðrum kosti geti hann ekki átt viðskipti við viðkomandi fyrirtæki.
Með vísan til framangreinds er þess krafist í bréfi kvartanda að skýrslur Creditinfo Lánstrausts hf. um lánshæfi verði framvegis seldar án þess að þeim fylgi sögulegar upplýsingar um einstaklinga úr umræddri skrá. Þá er sú afstaða kvartanda áréttuð að Creditinfo Lánstrausti hf. sé óheimilt að afla upplýsinga úr skattskrá til gerðar slíkra skýrslna.
Með bréfi til kvartanda, dags. 8. desember 2016, óskaði Persónuvernd þess að skýrt yrði nánar það sem fyrr greinir um að fyrir mistök hefðu skuldir fallið á hann. Svarað var í tölvupósti hinn 20. s.m., en þar segir meðal annars að í árslok 2015 hafi tilteknar kröfur verið endurvaktar fyrir misskilning, en áður hafi verið búið að semja um þær og greiða þær með annarri kröfu. Kvartandi hafi farið fram á leiðréttingu og hafi hann fengið hana fram að fullu um miðjan ágúst 2016. Á meðan á þessu ferli hafi staðið hafi Creditinfo Lánstraust hf. hins vegar fengið upplýsingar um kröfurnar og fært á skrá um fjárhagsmálefni og lánstraust einstaklinga, en það hafi haft áhrif á lánshæfismat kvartanda.
Óskað var skýringa Creditinfo Lánstrausts hf. í tengslum við framangreint með bréfi Persónuverndar, dags. 3. janúar 2017, en þar vísaði stofnunin meðal annars til skyldu til eyðingar eða leiðréttingar rangra eða villandi upplýsinga, sbr. grein 2.4 í þágildandi starfsleyfi, dags. 28. desember 2015, til að halda skrá um fjárhagsmálefni og lánstraust einstaklinga (sbr. grein 2.5 í núgildandi leyfi, dags. 28. febrúar 2017). Svarað var með bréfi, dags. 16. janúar 2015, þar sem segir að Creditinfo Lánstraust hf. hafi haft samband við viðkomandi kröfuhafa sem hafi staðfest að innheimta krafnanna sem um ræðir og færsla þeirra á umrædda skrá hafi átt rétt á sér. Jafnframt segir að kvartandi hafi haft samband við kröfuhafann eftir greiðslufall krafnanna, viðurkennt tilvist þeirra og óskað eftir að semja um greiðslu. Þegar skuldirnar hafi verið uppgreiddar hafi þær verið afmáðar af skránni. Þar sem um réttmætar kröfur hafi verið að ræða verði áhrif skráninga hins vegar ekki afmáð.
Með bréfi, dags. 25. janúar 2017, veitti Persónuvernd kvartanda færi á að tjá sig um framangreint svar Creditinfo Lánstrausts hf. Svarað var með bréfi, dags. 30. s.m. Þar áréttar kvartandi þá afstöðu sína að Creditinfo Lánstrausti hf. sé óheimilt að nýta upplýsingar um kröfur, sem hafa verið færðar á umrædda skrá en síðar komist í skil, við gerð skýrslna um lánshæfi. Þá mótmælir hann því að um hafi verið að ræða réttmætar kröfur. Jafnframt segir hins vegar að kvörtunin lúti að notkun sögulegra upplýsinga við gerð umræddra skýrslna en ekki því hvort upplýsingar um kröfurnar hafi réttilega verið færðar á skrá um fjárhagsmálefni og lánstraust einstaklinga.
4.
Frekari bréfaskipti
Vinnsla upplýsinga um uppflettingar
Með bréfi, dags. 23. febrúar 2017, óskaði Persónuvernd frekari skýringa frá Creditinfo Lánstrausti hf., þ.e. varðandi tilhögun á því hvernig upplýsingar um uppflettingar í skrá um fjárhagsmálefni og lánstraust einstaklinga eru nýttar við gerð skýrslna um lánshæfi. Einkum var óskað svara við því hvernig slíkt væri talið samrýmast kröfum um sanngirni og meðalhóf samkvæmt 1. og 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Svarað var með bréfi, dags. 13. mars 2017. Þar segir meðal annars að vinnslan byggist á samþykki hins skráða. Þær uppflettingar, sem hafi mest áhrif á niðurstöður skýrslna um lánshæfi, séu uppflettingar lögmanna og innheimtufyrirtækja. Uppflettingar annarra en innheimtufyrirtækja af innheimtuástæðum hafi einnig áhrif, en þegar áskrifendur fletti einstaklingum upp í skránni sé ástæðum uppflettinga skilað með fyrirspurnum. Aðrar uppflettingar hafi lítil áhrif á niðurstöður skýrslnanna og notkun upplýsinga við lánshæfismat takmarkist nær eingöngu við uppflettingar sem gerðar séu í tengslum við innheimtur á gjaldföllnum kröfum.
Einnig segir að upplýsingar um uppflettingar, sem mæli gegn lánshæfi, séu ekki nýttar eftir að þær verði þriggja ára gamlar. Mest áhrif hafi þær uppflettingar sem gerðar hafi verið síðustu 12 mánuði en eftir þann tíma minnki áhrifin.
Tekið er fram í bréfinu að þær breytur, sem ráði niðurstöðum skýrslna um lánshæfi, séu ekki aðgengilegar þeim notendum sem sæki þær. Einungis viðkomandi einstaklingur sjálfur geti fengið þær upplýsingar. Upplýsingar um uppflettingar í skrá um fjárhagsmálefni og lánstraust einstaklinga séu ekki veittar þeim sem sæki skýrslur um lánshæfi, hvorki hversu margar þær séu né hvaða aðilar hafi flett viðkomandi upp. Sá sem sæki slíka skýrslu fái eingöngu upplýsingar um áhættuflokk viðkomandi einstaklings og prósentutölu sem greini frá líkum á vanskilaskráningu næstu tólf mánuði.
Persónuvernd taldi frekari skýringa þörf, þ. á m. hvernig Creditinfo Lánstraust hf. teldi umrædda vinnslu samrýmast kröfum til áreiðanleika persónuupplýsinga samkvæmt 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Svarað var með bréfi, dags. 10. apríl 2017. Þar segir meðal annars að skýrslur Creditinfo Lánstrausts hf. um lánshæfi hafi staðfest að uppflettingar í umræddri skrá hafi mikið forspárgildi um það hvort einstaklingur fari í vanskil á næstu tólf mánuðum. Sé notkun upplýsinganna við gerð slíkra skýrslna nauðsynleg til að ná settu marki við vinnsluna miðað við tilgang hennar. Sé því um að ræða notkun upplýsinga sem séu til þess fallnar að veita áreiðanlegar vísbendingar um hvort viðkomandi lántaki geti staðið í skilum við lánssamning. Þá segir meðal annars:
„Notkun upplýsinga um uppflettingar í lánshæfismati takmarkast nær eingöngu við uppflettingar sem gerðar eru í tengslum við innheimtur á gjaldföllnum kröfum. Upplýsingar eru nýttar í ákveðinn tíma og eins og að framan greinir eru það uppflettingar sem gerðar eru af innheimtuástæðum sem hafa mest áhrif á lánshæfismatið og er því verið að takmarka vinnsluna og gæta meðalhófs við meðferð þeirra. Áskrifendum er skylt við uppflettingar að skrá ástæður þeirra og áreiðanleiki upplýsinga því m.a. tryggður. Einstaklingar fá tilkynningar um uppflettingar áskrifenda félagsins og geta sótt uppflettiyfirlit sér að kostnaðarlausu á sérstakt vefsvæði félagsins.“
Með bréfi, dags. 30. júní 2017, veitti Persónuvernd kvartanda kost á að tjá sig um framkomin svarbréf Creditinfo Lánstrausts hf., dags. 13. mars 2017 og 10 apríl s.á. Þá óskaði stofnunin þess í tölvupósti hinn 27. júlí s.á. að hann upplýsti hvort við gerð skýrslna um lánshæfi hans hefði verið notast við upplýsingar um uppflettingar í skrá um fjárhagsmálefni og lánstraust einstaklinga, sem og að stofnuninni yrðu þá send gögn sem til kynnu að vera þar að lútandi, s.s. svar við beiðni um upplýsingar um forsendur lánshæfismats. Svarað var með bréfi, dags. 5. ágúst 2017. Í svarbréfinu áréttar kvartandi fyrri röksemdir. Með svari kvartanda fylgdi jafnframt afrit af svari Creditinfo Lánstrausts hf., dags. 1. ágúst 2017, við beiðni hans um upplýsingar um forsendur mats á lánshæfi hans. Í svarinu segir að helsti áhrifaþáttur til lækkunar matsins sé fyrrum færsla á áðurnefndri skrá, en ekki kemur fram hvort við gerð skýrslna um lánshæfi hans hafi verið notast við upplýsingar um uppflettingar í skránni.
Í símtali hinn 18. ágúst 2017 óskaði Persónuvernd eftir svörum frá Creditinfo Lánstrausti hf. um hvort upplýsingar um uppflettingar í umræddri skrá hefðu haft áhrif á niðurstöðu mats fyrirtækisins á lánshæfi kvartanda, einkum á tímabilinu 1. til 10. ágúst 2016, þ.e. stuttu áður en kvartandi sendi inn kvörtun til Persónuverndar. Svarað var með bréfi, dags. 22. ágúst 2017. Í bréfinu staðfestir Creditinfo Lánstraust hf. að uppflettingar hafi haft slík áhrif á lánshæfiseinkunn kvartanda á umræddu tímabili.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000Ábyrgðaraðili
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Við mat á því hver sé ábyrgðaraðili í þessum skilningi getur þurft að líta til ákvæða í öðrum lögum eins og við á hverju sinni. Eins og hér háttar til reynir á lög nr. 33/2013 um neytendalán í því samhengi. Samkvæmt 2. mgr. 10. gr. þeirra laga skal lánveitandi, áður en samningur um neytendalán er gerður, meta lánshæfi neytanda. Samkvæmt i-lið 5. gr. laganna er þar um að ræða mat lánveitanda á lánshæfi lántaka byggt á upplýsingum sem eru til þess fallnar að veita áreiðanlegar upplýsingar um líkindi þess hvort lántaki geti efnt lánssamning. Lánshæfismat skuli byggt á viðskiptasögu aðila á milli og/eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust.
Creditinfo Lánstraust hf. hefur yfir að ráða upplýsingakerfum um fjárhagsmálefni og lánstraust sem meðal annars lánveitendur afla sér upplýsinga úr þegar metið er lánshæfi þeirra sem æskja fjárhagslegrar fyrirgreiðslu. Ljóst má telja að viðkomandi lánveitendur séu ábyrgðaraðilar að þeirri vinnslu sem þeir sjálfir viðhafa við gerð slíks mats. Það að koma þess háttar upplýsingakerfum á fót og vinna með upplýsingar í þeim í því skyni að miðla þeim til lánveitenda telst hins vegar vera á ábyrgð þess aðila sem hefur rekstur upplýsingakerfanna með höndum. Samkvæmt því telst Creditinfo Lánstraust hf. vera ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem fólst í notkun upplýsinga, sem þar hafa verið skrásettar, til gerðar skýrslna fyrirtækisins um lánshæfi kvartanda.
2.
Starfsleyfi Creditinfo Lánstrausts hf.
Söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, þarf að byggjast á starfsleyfi Persónuverndar, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust sem sett er með stoð í 45. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Starfsemi Creditinfo Lánstrausts hf. fellur að miklu leyti undir framangreind ákvæði og hefur Persónuvernd veitt fyrirtækinu leyfi í samræmi við þau, sbr. nú leyfi, dags. 28. febrúar 2017 (mál nr. 2016/1626). Varðandi þá vinnslu, sem um ræðir í máli þessu, verður hins vegar að líta til 1. mgr. 1. gr. áðurnefndrar reglugerðar, en þar segir að hún taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi. Hér ræðir um slíka starfsemi og fellur hún samkvæmt þessu ekki undir umrædd leyfi. Hins vegar skal tekið fram að upplýsingar, sem skráðar hafa verið á grundvelli leyfanna, sbr. kafla 3.2. og 3.4 hér á eftir, má ekki nýta í þágu starfsemi, sem fellur utan gildissviðs þeirra, nema það fái samrýmst gildandi lögum og að því gefnu að einstök leyfisákvæði standi því ekki í vegi.
3.
Lögmæti vinnslu
3.1.
Almennt
Svo að vinnsla persónuupplýsinga sé heimil þarf ávallt að vera fullnægt einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Samkvæmt 1. tölul. þeirrar málsgreinar er vinnsla persónuupplýsinga heimil á grundvelli samþykkis. Fyrir liggur að áður en skýrslu um lánshæfi er miðlað frá Creditinfo Lánstrausti hf. ritar hinn skráði undir beiðni um gerð lánshæfismats. Þá er til þess að líta að í reglugerð nr. 920/2013 um lánshæfis- og greiðslumat, sbr. b-lið 1. mgr. 27. gr. laga nr. 33/2013 um neytendalán, ræðir um samþykki fyrir gerð lánshæfismats, sbr. m.a. 2. mgr. 5. gr. reglugerðarinnar. Í ljósi almennra grunnreglna um mismunandi rétthæð réttarheimilda er hins vegar ljóst að þessi hugtakanotkun reglugerðarinnar getur ekki ráðið úrslitum um hvort samþykki teljist veitt samkvæmt lögum nr. 77/2000. Svo að slíkt samþykki teljist liggja fyrir þarf að vera skýrt að fullnægt sé skilyrðinu um fúsan og frjálsan vilja hins skráða, sbr. m.a. 7. tölul. 2. gr. laga nr. 77/2000, sbr. og h-lið 2. gr. persónuverndartilskipunarinnar, 95/46/EB, sem innleidd var í íslenskan rétt með lögunum. Ljóst er hins vegar, m.a. þegar litið er til laga nr. 33/2013 um neytendalán, að vilji einstaklingur eiga tiltekin viðskipti getur hann ekki komist hjá því að lánshæfi hans sé metið. Það að til staðar sé raunverulegt val einstaklings er skilyrði þess að kröfum til samþykkis sé fullnægt og telur Persónuvernd að eins og hér háttar til geti skort á að svo sé. Jafnframt skal þó tekið fram að stofnunin telur engu að síður mikilvægt að í aðdraganda gerðar lánshæfismats liggi fyrir yfirlýsing frá hinum skráða um að honum sé kunnugt um gerð matsins og þá vinnslu persónuupplýsinga sem í því felst, m.a. í ljósi sjónarmiða um sanngirni vinnslu, sbr. það sem síðar greinir um 7. gr. laga nr. 77/2000, og til að fullnægjandi fræðsla sé veitt, sbr. 20. og 21. gr. sömu laga.
Samkvæmt 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Þá er vinnsla heimil samkvæmt 3. tölul. sömu málsgreinar sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, en slík lagaskylda getur falist í lögum nr. 33/2013. Telja má þessar tvær vinnsluheimildir geta rennt stoðum undir vinnslu persónuupplýsinga í tengslum við gerð lánshæfismats hjá lánveitanda sem metur lánshæfi einstaklings sem æskir fjárhagslegrar fyrirgreiðslu. Fyrirtæki, sem útbýr skýrslur um lánshæfi í því skyni að miðla þeim til lánveitenda, er aftur á móti ekki aðili að samningi um þess háttar fyrirgreiðslu, auk þess sem lagaskylda samkvæmt lögum nr. 33/2013 hvílir ekki á því. Framangreindar tvær vinnsluheimildir geta því ekki átt við um Creditinfo Lánstraust hf. Til þess er hins vegar að líta að samkvæmt 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna, þ. á m. þeirra aðila sem upplýsingum er miðlað til, nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Telur Persónuvernd þetta ákvæði einkum geta átt við um þá vinnslu persónuupplýsinga sem fram fer í upplýsingakerfum Creditinfo Lánstrausts hf. vegna gerðar skýrslna um lánshæfi.
Auk þess sem heimild þarf að vera fyrir vinnslu persónuupplýsinga í 8. gr. laga nr. 77/2000 verður öllum grunnkröfum 1. mgr. 7. gr. sömu laga að vera fullnægt við slíka vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og vera í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli vera varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.)
3.2.
Vinnsla upplýsinga um afskráða færslu
Hér reynir á hvort við gerð skýrslna um lánshæfi kvartanda hafi Creditinfo Lánstraust hf. mátt notast við upplýsingar um færslu á skrá um fjárhagsmálefni og lánstraust einstaklinga sem eytt hafði verið af þeirri skrá á grundvelli leyfis til starfrækslu skrárinnar.
Í fyrsta lagi verður þá að líta til þess starfsleyfis fyrirtækisins sem í gildi var á þeim tíma sem kvörtun í máli þessu barst Persónuvernd, sbr. leyfi, dags. 28. desember 2015 (mál nr. 2015/1428). Samkvæmt grein 2.6 í því starfsleyfi var skylt að eyða upplýsingum um einstakar skuldir af skránni væri vitað að þeim hefði verið komið í skil, sem og upplýsingum sem orðnar voru fjögurra ára gamlar. Hins vegar kom fram að geyma mátti síðarnefndu upplýsingarnar í þrjú ár til viðbótar ef þær lutu ströngum aðgangstakmörkunum og ef þess var vandlega gætt að engir aðrir hefðu aðgang en þeir starfsmenn Creditinfo Lánstrausts hf. sem þess þyrftu nauðsynlega starfs síns vegna. Að þeim tíma liðnum skyldi upplýsingunum eytt. Þessi heimild til þriggja ára viðbótarvarðveislu upplýsinga, sem byggist á 3. mgr. 5. gr. reglugerðar nr. 246/2001, var fyrst tekin upp í starfsleyfi til handa Creditinfo Lánstrausti hf. (þá Lánstrausti hf.) útgefið hinn 17. október 2002 (mál nr. 2002/371), þ.e. 4. gr. þess. Var byggt á rökstuðningi frá fyrirtækinu sem fram kom í bréfi þess, dags. 17. september s.á., en þar var umræddrar varðveislu sögð þörf þar sem skráðir einstaklingar kynnu að óska eftir upplýsingum um gögn sem skráð hefðu verið um þá og ágreiningur kynni að rísa um réttmæti skráningar.
Sé umrætt starfsleyfisákvæði túlkað samkvæmt orðanna hljóðan telst öll vinnsla upplýsinga hjá Creditinfo Lánstrausti hf. hafa verið óheimil ef viðkomandi kröfu hafði verið komið í skil. Er þá litið til þeirra fyrirmæla ákvæðisins að upplýsingum um slíkar kröfur skyldi eytt af skrá samkvæmt starfsleyfinu, sem og til þess að heimild til þriggja ára viðbótarvarðveislu undir ströngum aðgangstakmörkunum átti ekki við um þær. Hins vegar verður hér einnig að líta til ákvæða reglugerðar nr. 246/2001, en ákvæði í starfsleyfum frá Persónuvernd verða að vera innan þess ramma sem sú reglugerð afmarkar. Um eyðingu upplýsinga er fjallað í 3. mgr. 5. gr. reglugerðarinnar, en þar segir að eyða skuli jafnharðan úr skrám fjárhagsupplýsingastofu upplýsingum sem eru eldri en fjögurra ára nema annað sé sérstaklega heimilað í starfsleyfi frá Persónuvernd. Ekki er að finna ákvæði í reglugerðinni um eyðingu upplýsinga sem komið hefur verið í skil. Þess í stað segir í 2. mgr. 6. gr. reglugerðarinnar að óheimilt sé að miðla slíkum upplýsingum. Af því verður ráðið að varðveisla þeirra sé eftir sem áður heimil þar til fjögurra ára fresturinn er liðinn, en ætla verður að slík varðveisla geti þjónað málefnalegum tilgangi, s.s. þeim að leysa úr ágreiningi af tilefni skráningar. Telur Persónuvernd samkvæmt þessu að fyrirmæli greinar 2.6 í umræddu starfsleyfi um eyðingu upplýsinga um kröfur, sem vitað var að komnar væru í skil, hafi ekki átt að túlkast á þann veg að þeim skyldi eytt alfarið heldur þannig að þeim skyldi eytt af þeirri skrá sem notuð væri til miðlunar. Samkvæmt því, og í samræmi við reglugerð nr. 246/2001, var varðveisla þeirra því heimil áfram utan þeirrar skrár þar til þær næðu fjögurra ára aldri, enda væri viðeigandi öryggis gætt, þ. á m. með aðgangshindrunum, í samræmi við 11. gr. laga nr. 77/2000.
Þær upplýsingar, sem hér um ræðir, lúta að kröfum sem komið hefur verið í skil en eru ekki enn orðnar fjögurra ára gamlar. Í samræmi við það taldist varðveisla þeirra, utan þeirrar skrár sem Creditinfo Lánstraust hf. notar til miðlunar á grundvelli umrædds starfsleyfis, enn vera heimil samkvæmt fyrrnefndu starfsleyfi þegar þær voru nýttar til gerðar skýrslna um lánshæfi kvartanda. Reynir þá á hvort notkun upplýsinganna í slíkum tilgangi gat jafnframt talist vera heimil. Ákvæði reglugerðar nr. 246/2001 og umrædds starfsleyfis útiloka það ekki, en jafnframt er ljóst að afmarka verður þröngt í hvaða skyni vinna megi með upplýsingar sem safnað er á grundvelli reglugerðarinnar og leyfis með stoð í henni. Eins og hér háttar til hefur það vægi að skýrslum Creditinfo Lánstrausts hf. um lánshæfi er ætlað að nýtast við lánshæfismat á grundvelli framangreinds ákvæðis i-liðar 5. gr. og 10. gr. laga nr. 33/2013. Þau lög voru meðal annars sett til innleiðingar á tilskipun 2008/48/EB um lánasamninga fyrir neytendur, en samkvæmt 1. mgr. 8. gr. þeirrar tilskipunar skal tryggja að áður en slíkur samningur er gerður meti lánveitandi lánshæfi neytandans á grundvelli fullnægjandi upplýsinga sem eru, þegar við á, fengnar frá neytandanum og á grundvelli leitar í viðeigandi gagnasafni ef þörf krefur, sbr. einnig áðurnefnt ákvæði i-liðar 5. gr. laga nr. 33/2013. Í 26. lið formála tilskipunarinnar er fjallað nánar um slíkt lánshæfismat, en þar segir meðal annars að gerðar skuli viðeigandi ráðstafanir til að stuðla að ábyrgum starfsháttum í öllum þáttum lánveitinga. Kemur fram að áhætta, sem fylgi vanskilum og skuldasöfnun, skipti máli í því sambandi og að einkum sé mikilvægt að lánveitendur stundi ekki óábyrga lánastarfsemi eða veiti lán án þess að hafa áður fengið mat á lánshæfi. Segir einnig að ákvarða skuli nauðsynleg úrræði til að beita þá lánveitendur viðurlögum sem það geri.
Af framangreindu er ljóst að rík áhersla er á það lögð að gert sé áreiðanlegt lánshæfismat í aðdraganda samnings um neytendalán. Einnig liggur fyrir, eins og áður greinir, að skýrslum Creditinfo Lánstrausts hf. er ætlað að nýtast við gerð slíks mats. Þá verður ekki litið svo á að það feli í sér óheimila miðlun upplýsinga um vanskilakröfur, sem komið hefur verið í skil, að þær hafi áhrif á niðurstöðu skýrslna um lánshæfi, enda liggur fyrir að upplýsingarnar sjálfar berast ekki viðtakendum matsins. Þegar litið er til þessa telur Persónuvernd vinnslu Creditinfo Lánstrausts hf. á þeim upplýsingum um afskráðar færslur á umræddri skrá, sem um ræðir í máli þessu og fram fór á gildistíma fyrrnefnds starfsleyfis, dags. 28. desember 2015, hafa átt stoð í áðurgreindu ákvæði 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en auk þess telur stofnunin ekki hafa komið fram að farið hafi verið gegn kröfum annarra ákvæða laganna, þ. á m. 1. mgr. 7. gr. sömu laga um meðal annars sanngirni, meðalhóf, áreiðanleika og varðveislutíma við vinnslu persónuupplýsinga. Telst vinnslan því hafa samrýmst lögunum.
Í öðru lagi reynir hér á hvort umrædd vinnsla teljist hafa verið heimil eftir að núgildandi starfsleyfi, dags. 28. febrúar 2017 (mál nr. 2016/1626), tók gildi. Við veitingu þess var litið til þeirra sjónarmiða sem að framan eru rakin, sbr. grein 2.7 í leyfinu þar sem fjallað er um eyðingu upplýsinga. Segir þar meðal annars að eyða skuli upplýsingum um einstakar skuldir sé vitað að þeim hafi verið komið í skil, auk þess sem eyða skuli upplýsingum, sem mæli gegn lánshæfi hins skráða, þegar þær verði fjögurra ára gamlar. Þó megi geyma upplýsingar í þrjú ár til viðbótar, enda lúti þær ströngum aðgangstakmörkunum og þess sé vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn sem þess nauðsynlega þurfi starfs síns vegna. Á meðan á þeirri varðveislu standi megi nýta þær til að verða við beiðnum frá skráðum einstaklingum um vitneskju um vinnslu persónuupplýsinga um sig og til að til leysa úr ágreiningi um réttmæti skráningar. Að hámarki þar til fjögur ár séu liðin frá skráningu upplýsinganna sé einnig heimilt að nýta þær í þágu gerðar lánshæfismats að beiðni hins skráða, enda sé ekki miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum. Önnur notkun upplýsinganna sé óheimil.
Persónuvernd telur ekki hafa komið fram að við vinnslu upplýsinga um kvartanda hjá Creditinfo Lánstrausti hf. hafi verið farið gegn þessum fyrirmælum. Í ljósi þess, sem og með vísan til þeirra laga- og reglugerðarákvæða sem fyrr eru rakin, telur stofnunin umrædda vinnslu upplýsinga um afskráða færslu á skrá samkvæmt framangreindu starfsleyfi samrýmast lögum nr. 77/2000.
3.3.
Vinnsla upplýsinga úr skattskrá
Í tengslum við vinnslu upplýsinga úr skattskrá við gerð skýrslna um lánshæfi ber að líta til 2. mgr. 98. gr. laga nr. 90/2003 um tekjuskatt. Segir þar að þegar lokið sé álagningu skatta og meðferð á kærum á álagningu skuli ríkisskattstjóri semja og leggja fram skattskrá fyrir hvert sveitarfélag, en í henni skuli tilgreina álagðan tekjuskatt hvers gjaldanda og aðra skatta eftir ákvörðun ríkisskattstjóra. Einnig segir meðal annars að skattskrá skuli liggja frammi til sýnis í tvær vikur á hentugum stað. Ólíkt því sem gildir um álagningarskrár, sbr. 1. mgr. 98. gr. laga nr. 90/2003, heimilar 2. mgr. sömu greinar auk þess opinbera birtingu á upplýsingum um álagða skatta, sem fram koma í skattskrá, svo og útgáfu upplýsinganna í heild eða að hluta.
Einnig ber hér að líta til 1. og 2. tölul. 2. mgr. 6. gr. reglugerðar nr. 920/2013 um lánshæfis- og greiðslumat, en fram kemur í þessum reglugerðarákvæðum að við framkvæmd lánshæfismats vegna afgreiðslu umsóknar um neytendalán skuli lánveitandi meðal annars afla staðfests afrits af síðasta skattframtali, auk staðfestingar á tekjum síðustu þriggja mánaða. Telur Persónuvernd í því ljósi ekki ómálefnalegt að aðili, sem starfrækir gagnagrunn um fjárhagsmálefni og lánstraust og veitir upplýsingar í þágu gerðar matsins, sbr. i-lið 5. gr. laga nr. 33/2013, vinni mat sitt á grundvelli skattskrárupplýsinga sem lögum samkvæmt eru opinberar.
Í ljósi framangreinds, sem og á grundvelli meðal annars 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, telur Persónuvernd notkun upplýsinga úr skattskrá við gerð skýrslna Creditinfo Lánstrausts hf. um lánshæfi samrýmast lögum nr. 77/2000.
3.4.
Vinnsla upplýsinga um uppflettingar
Hvað varðar vinnslu upplýsinga um uppflettingar í skrá um fjárhagsmálefni og lánstraust einstaklinga ber að líta til 2. mgr. 6. gr. reglugerðar nr. 246/2001, en þar segir að upplýsingar um nafn og heimilisfang fyrirspyrjanda skuli ávallt skrá, svo og hverjum fyrirspyrjandi fletti upp, en að auki er tekið fram að gögn um þetta skuli varðveita í a.m.k. tvö ár. Í fyrrnefndu starfsleyfi, dags. 28. desember 2015, sem í gildi var þegar kvörtun barst, var þetta ákvæði reglugerðarinnar útfært nánar í grein 2.9. Samkvæmt 2. mgr. þeirrar greinar bar meðal annars að tryggja rekjanleika uppflettinga þannig að í hvert skipti sem uppfletting ætti sér stað, eða fyrirspurn væri gerð, skráðist hver gerði hana, hvaða upplýsingar voru unnar, hvernig og hvenær. Þá var mælt fyrir um tveggja ára varðveislutíma þessara upplýsinga. Í gildandi starfsleyfi, dags. 28. febrúar 2017, er að finna samhljóða ákvæði, þ.e. í 2. mgr. greinar 2.10.
Skráningu, líkt og að framan greinir, sem jafnan er kölluð aðgerðaskráning, er ætlað að tryggja öryggi persónuupplýsinga, þ.e. tryggja rekjanleika þeirra til að sporna við uppflettingum án nægs tilefnis og gera það kleift að bregðast við þeim. Eins og fyrr greinir skulu persónuupplýsingar fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Hér reynir á hvort notkun umræddra upplýsinga við gerð skýrslna um lánshæfi teljist fara fram í tilgangi sem samrýmist þeim upphaflega. Í því sambandi er til þess að líta að aðgerðaskráning getur leitt til þess að hjá viðkomandi ábyrgðaraðila skráist upplýsingar sem eru umfram þær sem að öllu jöfnu mætti gera ráð fyrir að hann byggi yfir. Eins og hér háttar til er þar meðal annars um að ræða upplýsingar um að krafa á hendur einstaklingi sé í vanskilainnheimtu, en fram hefur komið af hálfu Creditinfo Lánstrausts hf. að það séu fyrst og fremst uppflettingar innheimtuaðila sem hafi áhrif á niðurstöður skýrslna um lánshæfi. Slíkir aðilar eru bundnir þagnarskyldu samkvæmt 13. gr. innheimtulaga nr. 95/2008 og 1. mgr. 22. gr. laga nr. 77/1998 um lögmenn. Af því leiðir jafnframt að Creditinfo Lánstraust hf. ætti ekki að búa yfir upplýsingum um vanskilainnheimtu á hendur einstaklingi nema fyrir þá sök að samkvæmt aðgerðaskráningu hafi innheimtuaðili flett honum upp í umræddri skrá. Svigrúm til vinnslu þessara upplýsinga, auk annarra upplýsinga sem til verða við aðgerðaskráningu, umfram það sem felst í eftirliti með lögmæti uppflettinga í skránni, ber að túlka þröngt. Verður þá meðal annars að líta til þess hvort ákvæði í lögum og reglum með stoð í þeim renni stoðum undir slíka vinnslu, en ákvæðum, sem mæla fyrir um heimild til þess, er hér ekki til að dreifa.
Í ljósi framangreinds telur Persónuvernd notkun Creditinfo Lánstrausts hf. á slíkum upplýsingum um kvartanda og hér um ræðir, við gerð skýrslu um lánshæfi hans, ekki hafa samrýmst fyrrnefndu ákvæði 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um bann við vinnslu persónuupplýsinga í tilgangi sem ósamrýmanlegur er upphaflegum vinnslutilgangi.
Meðferð máls þessa hefur dregist vegna anna hjá stofnuninni.
Ú r s k u r ð a r o r ð:
Creditinfo Lánstrausti hf. var heimilt að nýta upplýsingar um færslu á skrá um fjárhagsmálefni og lánstraust einstaklinga, auk upplýsinga úr skattskrá, við gerð skýrslu um lánshæfi [A]. Vinnsla fyrirtækisins á upplýsingum um uppflettingar á nafni hans í fyrrnefndu skránni, sem fram fór í sama skyni, var óheimil.