Vinnsla Creditinfo Lánstrausts hf. á persónuupplýsingum í tengslum við gerð lánshæfismats og aðgangs- og upplýsingaréttur vegna gerðar skýrslna um lánshæfismat

Mál nr. 2020010592

22.9.2020

Úrskurður

Hinn 11. september 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010592 (áður 2019020468):

I.

Málsmeðferð

1.

Tildrög máls og bréfaskipti

Hinn 10. febrúar 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir vinnslu persónuupplýsinga um sig hjá Creditinfo Lánstrausti hf. (Creditinfo). Nánar tiltekið kvartar hann yfir því að hafa ekki fengið fullnægjandi rökstuðning frá Creditinfo fyrir því hvernig lánshæfismat hans hafi verið reiknað út og kveður hann fyrirtækið hafa neitað sér um aðgang að þeim upplýsingum. Þá kvartar hann yfir því að Creditinfo hafi aðgang að upplýsingum úr skattskrá sem fyrirtækið hafi notað við útreikning á lánshæfismati sínu. Að lokum kvartar hann yfir því að upplýsingum um sig hafi verið miðlað í skuldastöðukerfi Creditinfo án heimildar.

Með bréfi, dags. 11. apríl 2019, var Creditinfo boðið að tjá sig um kvörtunina. Svarað var með bréfi, dags. 24. apríl 2019. Með bréfi, dags. 21. maí s.á., var kvartanda boðið að tjá sig um efni svarbréfs Creditinfo. Svarbréf kvartanda barst 4. ágúst s.á.

Með tölvupósti, dags. 17. mars 2020, óskaði Persónuvernd eftir afstöðu kvartanda í tengslum við síðasta hluta kvörtunarinnar, sem varðar miðlun upplýsinga um hann úr skuldastöðukerfi Creditinfo. Með tölvupósti, dags. 15. apríl 2020, upplýsti kvartandi starfsmann Persónuverndar um að hann óskaði ekki efnislegrar umfjöllunar um þann hluta kvörtunarinnar þar sem aðalefni hennar lyti að gerð lánshæfismats um sig af hálfu Creditinfo.

Við úrlausn málsins hefur verið tekið tilliti til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði með mjög ítarlegum hætti.

Meðferð málsins hefur dregist vegna mikilla anna hjá Persónuvernd.

2.

Nánar um kvörtun

Kvartandi telur sig ekki hafa fengið fullnægjandi rökstuðning frá Creditinfo fyrir því hvernig lánshæfismat hans hafi verið reiknað og vísar til þess að Creditinfo hafi neitað honum um aðgang að þeim upplýsingum. Í kvörtuninni eru gerðar athugasemdir við það hvernig Creditinfo ákveður forsendur við gerð lánshæfismats hans, sem hann telur rangar í sínu tilviki. Vísar hann til þess að hann hafi margítrekað óskað eftir upplýsingum um það hvernig útreikningur við gerð lánshæfismats færi fram. Telur hann sig ekki hafa fengið fullnægjandi upplýsingar um framangreint heldur einungis almennar upplýsingar um forsendur við gerð slíks mats og því hafi hann ekki getað andmælt vinnslunni. Í fylgigögnum með kvörtun er meðal annars að finna tölvupóstsamskipti kvartanda við Creditinfo. Í tölvupósti Creditinfo, dags. 31. ágúst 2017, til kvartanda, vísaði fyrirtækið til þess að helstu áhrifaþættir til lækkunar á lánshæfismati hans hefðu verið fyrrum skráningar á vanskilaskrá, sérstaklega þær sem hefðu verið inni á síðustu 24 mánuðum, uppflettingar í vanskilaskrá af hálfu innheimtuaðila og áhrif vegna tengsla við fyrirtækið [X] ehf. sem væri á vanskilaskrá. Bendir Creditinfo þar einnig á aðra áhrifaþætti, svo sem aldur, tengsl við fyrirtæki, fjölda uppflettinga í vanskilaskrá og lánshæfismati, upplýsingar úr skattskrá, búsetu og hjúskaparstöðu.

Kvartandi gerir auk þess athugasemdir við að Creditinfo hafi aðgang að upplýsingum um sig úr skattskrá sem fyrirtækið noti síðan við útreikning á lánshæfismati hans. Bendir kvartandi í því sambandi á ákvörðun Persónuverndar í frumkvæðismáli vegna gagnagrunns með upplýsingum úr skattskrám fyrir árið 2016 sem gerður var aðgengilegur á vefsíðunni tekjur.is (mál nr. 2018/1507).

Telur kvartandi sig ekki vera vanskilamann, hann hafi ávallt greitt allar sínar skuldir og flest alla reikninga á réttum tíma. Hins vegar sé því ekki að leyna að hann hafi keypt húsnæði á árinu 2007 og lent í miklum vandræðum í hruninu. Hann hafi meðal annars farið í mál við Arion banka sem hafi endað með samkomulagi haustið 2017 og þar séu eftirstöðvar upp á u.þ.b. 2,5 milljónir króna. Vísar kvartandi til þess að alla tíð hafi hann borgað alla aðra reikninga en þó hafi lánshæfismat hans lækkað verulega frá því að framangreint samkomulag var gert við bankann. Bendir kvartandi á að hann hafi boðið bankanum að semja um eftirstöðvarnar en að bankinn hafi ekki haft áhuga á neinu nema fullnaðargreiðslu. Vísar kvartandi til þess að hann hafi borgað tryggingar, fasteignagjöld og annað í þau níu ár sem hann hafi staðið í dómsmáli.

Telur kvartandi lánshæfismat Creditinfo því rangt og hann rengir þær forsendur sem fyrirtækið gefur sér og telur það sjálfsagt mál að það veiti honum upplýsingar um það hvernig útreikningurinn fari fram. Spyr hann hvort Persónuvernd hafi á einhvern hátt sannreynt það hvort sú reikniformúla sem fyrirtækið notast við standist, hvort hún sé byggð á nægjanlegum gögnum og hvort líkindamat Creditinfo í því sambandi standist almennt.

Kvartandi telur að ef hann þurfi að taka lán sé eðlilegt að hann fari til viðkomandi lánveitanda og veiti honum aðgang að þeim upplýsingum sem hann óski eftir, t.d. skattframtali, launaseðlum, skráðum félögum og svo framvegis.

3.

Sjónarmið Creditinfo Lánstrausts hf.

Creditinfo vísar til þeirra skyldna sem lagðar eru á lánveitendur samkvæmt lögum nr. 33/2013 um neytendalán sem meðal annars hafi það að markmiði að koma í veg fyrir lánveitingar til einstaklinga sem séu líklegir til að lenda í vanskilum. Vísar Creditinfo til þess að lánveitendum beri að viðhafa ábyrga útlánastefnu og nýta áreiðanlegar upplýsingar til að fyrirbyggja yfirskuldsetningu einstaklinga, sem endurspeglist í vanskilum og afskriftum krafna. Framangreind sjónarmið endurspeglist í 10. gr. laganna, þar sem tiltekin sé sú meginregla að lánveitanda sé óheimilt að veita lán ef lánshæfis- og/eða greiðslumat bendi til þess að lántaki hafi ekki fjárhagslega burði til að standa í skilum með lán.

Vísar Creditinfo til þess að í athugasemdum við 10. gr. í frumvarpi því sem varð að lögum nr. 33/2013 sé sérstaklega vikið að lánshæfismati, en þar sé tiltekið að slíkt mat geti meðal annars byggst á skilvísi og greiðslusögu. Creditinfo sé veitt heimild til vinnslu lánshæfismats samkvæmt starfsleyfi fyrirtækisins og með vísan til 15. gr. laga nr. 90/2018. Vísar Creditinfo til þess að lánshæfismatið sé tölfræðilíkan sem uppfærist einu sinni á sólarhring miðað við þær forsendur sem liggi fyrir hverju sinni, auk þess sem félagið framkvæmi reglulegar uppfærslur á þeim þáttum sem liggi til grundvallar matinu til að tryggja sem best áreiðanleika matsins. Vægi einstakra þátta geti þannig breyst, eftir atvikum aukist eða minnkað. Vísað er til þess að lánshæfismat Creditinfo sé líkt slíkum mötum sem notuð séu víða um heim og að spágeta líkansins sé mæld reglulega. Líkanið sé endurmetið reglulega út frá sögulegum gögnum um vanskil og breytur uppfærðar eftir atvikum og vægi þeirra aðlagað til að bæta spágetu líkansins.

Varðandi aðgang að upplýsingum um forsendur lánshæfismats vísar Creditinfo til þess að á aðgangsstýrða þjónustuvefnum mitt.creditinfo.is hafi einstaklingar aðgang að upplýsingum um áhrifaþætti í sínu lánshæfismati og að þar séu meðal annars upplýsingar um þær fyrrum skráningar sem hafi áhrif á matið. Í starfsleyfi Creditinfo sé kveðið á um að nýta megi upplýsingar úr vanskilaskrá í þágu gerðar lánshæfismats að beiðni hins skráða, enda sé ekki miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum en að hámarki þar til 4 ár eru liðin frá skráningu upplýsinganna, sbr. 2. mgr. greinar 2.7. í starfsleyfi félagsins. Áskrifendum Creditinfo sem nýti lánshæfismat félagsins sé skylt að afla samþykkis einstaklings áður en lánshæfismat sé sótt.

4.

Svarbréf kvartanda

Kvartandi vísar til ummæla í svarbréfi Creditinfo þar sem fyrirtækið vísar til þess að spálíkan þess sé endurmetið reglulega út frá sögulegum gögnum um vanskil og að breytur séu uppfærðar eftir atvikum, ásamt því að vægi þeirra sé aðlagað til að bæta spágetu líkansins. Með vísan til framangreinds hafi kvartandi óskað eftir að fá senda þróun lánshæfismats síns frá upphafi til dagsins í dag, hvenær það hafi breyst, hvers vegna og hvaða þættir og breytingar hafi haft þar áhrif. Engin svör hafi borist sem hafi sýnt fram á breytingar út frá sögulegum gögnum. Vísar kvartandi til þess að Creditinfo sé treyst fyrir því að grunnurinn sé réttur og að ekkert eftirlit sé með matinu. Þá mótmælir kvartandi því að eiga ekki kost á að leggja fram gögn til þess að bæta lánshæfismat sitt. Vísar kvartandi til þess að það hafi haft verulega slæm áhrif á lánshæfismat hans að Arion banki hafi gert árangurslaust fjárnám hjá honum og að hann hafi ítrekað bent Creditinfo á þá staðreynd að um ágreining hafi verið að ræða á milli Arion banka og kvartanda sem hafi verið leystur með tilteknu samkomulagi. Ekkert tillit hafi verið tekið til framangreinds í lánshæfismati Creditinfo.

Í bréfinu er að lokum gerð sú krafa að Creditinfo verði bannað með öllu að selja lánshæfismat einstaklinga þangað til ítarleg úttekt opinbers aðila á nákvæmni matsins sem sýni með fullnægjandi hætti fram á áreiðanleika þess hafi farið fram. Einnig er sú krafa gerð að Creditinfo verði gert að afhenda kvartanda allar upplýsingar um það hvernig útreikningi á lánshæfismati hans sé háttað, þannig að hann fái tækifæri til að leggja fram gögn og fá fram leiðréttingu á matinu sem hann telur vera rangt.

II.

Forsendur og niðurstaða

1.

Lagaskil og afmörkun máls

Mál þetta varðar kvörtun sem barst Persónuvernd þann 5. febrúar 2019. Kvörtun þessi lýtur bæði að atvikum sem gerðust fyrir og eftir gildistöku laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Kvartað er yfir vinnslu persónuupplýsinga um kvartanda árið 2017 í tengslum við gerð lánshæfismats um hann og telur hann sig ekki enn hafa fengið fullnægjandi svör frá Creditinfo í tengslum við forsendur við gerð lánshæfismats hans og þróun þess. Þá kemur fram í gögnum máls að kvartandi er enn ósáttur við útreikning Creditinfo á lánshæfismati sínu og að lokum gerir kvartandi þær kröfur að Creditinfo verði bannað með öllu að selja lánshæfismat einstaklinga þangað til ítarleg úttekt opinbers aðila á nákvæmni matsins sem sýni með fullnægjandi hætti fram á áreiðanleika þess hafi farið fram. Þannig varir það ástand enn sem kvörtunin lýtur að varðandi vinnslu persónuupplýsinga um kvartanda tengdri mati á lánshæfi hans.

Með vísan til framangreinds, auk þess sem þær reglur laga um persónuvernd sem á reynir hafa ekki breyst á þann hátt að það hafi efnislega þýðingu, verður leyst úr málinu á grundvelli laga nr. 90/2018.

2.

Gildissvið - Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda við gerð skýrslna um lánshæfi hans hjá Creditinfo. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Í kvörtun er einnig óskað upplýsinga um það hvort Persónuvernd hafi sannreynt hvort sú reikniformúla sem Creditinfo notist við standist, hvort hún sé byggð á nægjanlegum gögnum og hvort líkindamat Creditinfo í því sambandi standist almennt. Í því sambandi er til þess að líta að verkefnum Persónuverndar er nánar lýst í 39. gr. laga nr. 90/2018 og samkvæmt því hefur stofnunin eftirlit með því að vinnsla samrýmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679, sérákvæðum í lögum sem fjalla um vinnslu persónuupplýsinga og öðrum reglum um efnið. Með vísan til þess verður ekki séð að eftirlit Persónuverndar nái til þess að endurskoða stærðfræðilega reikniformúlu og líkindamat Creditinfo í tengslum við útreikning á lánhæfismati einstaklinga. Verður því að telja þann hluta kvörtunarinnar falla utan gildissviðs persónuverndarlaga og þar með valdsviðs Persónuverndar. Hins vegar fellur það í hlut Persónuverndar að leggja mat á þær forsendur sem lagðar eru til grundvallar við gerð lánshæfismats um einstaklinga, svo sem hvort Creditinfo sé heimilt að notast við upplýsingar úr skattskrá, fyrri skráningar á vanskilaskrá eða uppflettingar við slíkan útreikning.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Creditinfo Lánstraust hf. vera ábyrgðaraðili að þeirri vinnslu sem kvartað er yfir, þ.e. vinnslu persónuupplýsinga við gerð lánshæfismats um kvartanda.

3.

Starfsleyfi Creditinfo Lánstrausts hf.

Starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning og gerð lánshæfismats, í því skyni að miðla þeim til annarra, skal bundin leyfi Persónuverndar, sbr. 15. gr. laga nr. 90/2018. Starfsemi Creditinfo fellur að miklu leyti undir framangreint ákvæði og hefur Persónuvernd veitt fyrirtækinu starfsleyfi í samræmi við það, sbr. nú hvað einstaklinga varðar starfsleyfi Creditinfo vegna vinnslu upplýsinga um fjárhagsmálefni og lánstraust, dags. 29. desember 2017 (mál nr. 2017/1541), og starfsleyfi til bráðabirgða vegna vinnslu persónuupplýsinga í þágu gerðar lánshæfismats, dags. 23. ágúst 2018 (mál nr. 2018/1229).

Til þess er að líta að starfsleyfisskylda vegna gerðar lánshæfismats samkvæmt 15. gr. laga nr. 90/2018 er nýmæli og var hana ekki að finna í sambærilegu ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Það bráðabirgðastarfsleyfi sem nú er í gildi hefur hins vegar ekki að geyma ákvæði sem hafa í för með sér breytingar frá þeirri framkvæmd sem mótast hefur í úrlausnum Persónuverndar varðandi lánshæfismat.

4.

Lögmæti vinnslu

4.1

Skráning, varðveisla og notkun upplýsinga við gerð lánshæfismats

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna 6. tölul. ákvæðisins, sbr. e-lið 1. mgr. 6. gr. reglugerðarinnar, en þar kemur fram að vinnsla persónuupplýsinga er heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Telur Persónuvernd þetta ákvæði eiga við um þá vinnslu persónuupplýsinga sem fer fram í upplýsingakerfum Creditinfo í tengslum við gerð skýrslna um lánshæfi kvartanda.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

Samkvæmt gögnum málsins fékk kvartandi upplýsingar um þá almennu þætti sem höfðu áhrif á lánshæfismat hans, þ.e. aldur, tengsl við fyrirtæki, fjölda uppflettinga í vanskilaskrá og lánshæfismati, upplýsingar úr skattskrá, búsetu og hjúskaparstöðu. Að auki fékk hann upplýsingar um þá þætti sem helst höfðu áhrif til lækkunar á lánshæfismatinu, þ.e. eldri skráningar á vanskilaskrá, sérstaklega þær sem voru inni á síðustu 24 mánuðum, uppflettingar í vanskilaskrá af hálfu innheimtuaðila og áhrif vegna tengsla við ákveðið fyrirtæki sem var á vanskilaskrá. Kvartandi fékk auk þess aðrar upplýsingar sem nánar verður fjallað um í kafla 4.2.

Verður hér í framhaldinu lagt mat á heimild Creditinfo til skráningar og notkunar framangreindra þátta sem helst höfðu áhrif til lækkunar á lánshæfismati kvartanda.

4.1.1. Afskráðar færslur á vanskilaskrá

Líkt og áður kom fram gerir kvartandi athugasemdir við að Creditinfo hafi mögulega nýtt upplýsingar um árangurslaust fjárnám í eign hans í þágu gerðar lánshæfismats, þrátt fyrir að hann hafi samið við viðkomandi kröfuhafa, þ.e. Arion banka, um skuldina. Kveðst kvartandi ítrekað hafa bent Creditinfo á að um ágreining hafi verið að ræða á milli hans og bankans sem síðar hafi verið leystur með samkomulagi.

Í ljósi framangreinds ber að líta til þess að Creditinfo er meðal annars heimilt að skrá upplýsingar úr opinberum gögnum, svo sem upplýsingum um framkvæmd fjárnáms samkvæmt málaskrám um fjárnámsbeiðnir sem sýslumenn halda í samræmi við 4. gr. reglugerðar nr. 17/1992, sbr. grein 2.2.2. í starfsleyfi Creditinfo (mál nr. 2016/1626) sem í gildi var þegar atvik máls áttu sér upphaflega stað. Sambærilegt ákvæði er að finna í grein 2.2.2. í núgildandi leyfi Creditinfo (mál nr. 2017/1541).

Varðandi tilvísun kvartanda til þess að ágreiningur hafi staðið um kröfu Arion banka er til þess að líta að í grein 2.1. í núgildandi starfsleyfi Creditinfo nr. 2017/1541, sbr. sömu grein í eldra leyfinu sem nefnt er hér að ofan, kemur fram að vinnsla upplýsinga um umdeildar skuldir er óheimil. Þá segir að skuld teljist umdeild ef skuldari hefur sannanlega komið andmælum við skuld á framfæri við kröfuhafa, greint honum frá ástæðum andmælanna og skuldin hefur ekki verið staðfest með aðfararhæfum dómi eða aðfararhæfri ákvörðun sýslumanns sem kunngjörð hefur verið í opinberri auglýsingu. Segir svo að fallist sýslumaður, að tekinni slíkri ákvörðun, á andmæli skuldara þannig að fullnustugerð nái ekki fram að ganga teljist skuldin aftur vera umdeild. Ekki er annað fram komið í málinu en að tekin hafi verið ákvörðun um árangurslaust fjárnám hjá sýslumanni og er því ljóst að umrædd skuld getur ekki talist umdeild í framangreindum skilningi.

Eins og fyrr er rakið vísar kvartandi til þess að komist hafi verið að samkomulagi um skuldina. Þá sýna gögn málsins að kvartandi hafði óskað eftir upplýsingum hjá Creditinfo um hvaða áhrif það myndi hafa á lánshæfismat hans þegar viðkomandi skuld yrði greidd. Má í því sambandi benda á 1. mgr. í grein 2.7. í núgildandi starfsleyfi Creditinfo, sbr. sömu grein í því starfsleyfi sem í gildi var á undan því. Þar kemur meðal annars fram að eyða skuli upplýsingum um einstakar skuldir sé vitað að þeim hafi verið komið í skil, sem og upplýsingum sem orðnar eru fjögurra ára gamlar. Hins vegar kemur einnig fram að geyma má upplýsingar í þrjú ár til viðbótar ef þær lúta ströngum aðgangstakmörkunum og þess er vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn Creditinfo sem þess þurfa nauðsynlega starfs síns vegna. Að þeim tíma liðnum skal þeim eytt. Þá segir meðal annars í 2. mgr. í grein 2.7. í núgildandi starfsleyfi Creditinfo, sbr. sömu málsgrein sömu greinar í áðurnefndu eldra starfsleyfi, að heimilt sé að nýta upplýsingar í þágu gerðar lánshæfismats að beiðni hins skráða að hámarki þar til fjögur ár eru liðin frá skráningu upplýsinganna og að því gefnu að ekki sé miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum.

Sé umrætt starfsleyfisákvæði túlkað nákvæmlega eftir orðalagi sínu telst öll vinnsla upplýsinga samkvæmt því hjá Creditinfo óheimil hafi viðkomandi kröfu verið komið í skil. Er þá litið til þeirra fyrirmæla ákvæðisins að upplýsingum um slíkar kröfur skal eytt af skrá samkvæmt starfsleyfinu, sem og til þess að heimild til þriggja ára viðbótarvarðveislu undir ströngum aðgangstakmörkunum á ekki við um þær. Hins vegar verður hér einnig að líta til ákvæða reglugerðar nr. 246/2001, en ákvæði í starfsleyfum frá Persónuvernd verða að vera innan þess ramma sem sú reglugerð afmarkar. Um eyðingu upplýsinga er fjallað í 3. mgr. 5. gr. reglugerðarinnar, en þar segir að eyða skuli jafnharðan úr skrám fjárhagsupplýsingastofu upplýsingum sem eru eldri en fjögurra ára nema annað sé sérstaklega heimilað í starfsleyfi frá Persónuvernd. Ekki er að finna ákvæði í reglugerðinni um eyðingu upplýsinga sem komið hefur verið í skil. Þess í stað segir í 2. mgr. 6. gr. reglugerðarinnar að óheimilt sé að miðla slíkum upplýsingum. Af því verður ráðið að varðveisla þeirra sé eftir sem áður heimil þar til fjögurra ára fresturinn er liðinn, en ætla verður að slík varðveisla geti þjónað málefnalegum tilgangi, s.s. þeim að leysa úr ágreiningi af tilefni skráningar. Telur Persónuvernd samkvæmt þessu, að fyrirmæli greinar 2.7. um eyðingu upplýsinga, sem komið hefur verið í skil, skuli ekki túlkast á þann veg að þeim skuli eytt alfarið heldur þannig að þeim skuli eytt af þeirri skrá sem notuð er til miðlunar. Samkvæmt því, og í samræmi við reglugerð nr. 246/2001, er varðveisla þeirra því heimil áfram utan þeirrar skrár þar til þrjú ár eru liðin frá afskráningu, auk þess sem nota má þær við útreikning á lánshæfismati einstaklinga þar til þær hafa náð fjögurra ára aldri.

Óháð því hvort skráning kvartanda á vanskilaskrá átti rætur að rekja til áðurnefnds fjárnáms sem fram fór árið 2017 eða ekki, er til þess að líta að samkvæmt svörum Creditinfo til kvartanda voru upplýsingar um afskráðar færslur á vanskilaskrá síðustu 24 mánuði meðal helstu áhrifaþátta félagsins í tengslum við gerð lánshæfismats um kvartanda. Þær upplýsingar voru því ekki enn orðnar fjögurra ára gamlar og í samræmi við það telur Persónuvernd notkun þeirra við gerð lánshæfismats um kvartanda samkvæmt starfsleyfinu samrýmast lögum nr. 90/2018, sbr. 6. tölul. 9. gr. þeirra laga. Ekki verður séð að vinnslan brjóti að öðru leyti í bága við meginreglur 8. gr. sömu laga, sem fjalla meðal annars um sanngirni, meðalhóf og tilgang með viðkomandi vinnslu.

4.1.2. Uppflettingar af hálfu innheimtuaðila

Telja verður að Creditinfo hafi verið óheimilt að nýta upplýsingar um uppflettingar af hálfu innheimtuaðila með þeim hætti sem fyrirtækið gerði við gerð skýrslna um lánshæfismat kvartanda árið 2017, sbr. niðurstöðu Persónuverndar í úrskurði í máli nr. 2016/1138. Þar vísaði Persónuvernd til greinar 2.9. um uppflettingar í því starfsleyfi er þá var í gildi og fól í sér nánari útfærslu á 2. mgr. 6. gr reglugerðar nr. 246/2001. Í reglugerðarákvæðinu segði að upplýsingar um nafn og heimilisfang fyrirspyrjanda skyldi ávallt skrá, svo og hverjum fyrirspyrjandi hefði flett upp, en að auki væri tekið fram að gögn um þetta skyldi varðveita í a.m.k. tvö ár. Þá tók Persónuvernd fram að í 2. mgr. greinar 2.9. væri kveðið á um að tryggja ætti rekjanleika uppflettinga þannig að í hvert skipti sem uppfletting ætti sér stað, eða fyrirspurn væri gerð, skráðist hver gerði hana, hvaða upplýsingar væru unnar, hvernig og hvenær. Vísaði Persónuvernd í kjölfarið til þess að slíkri skráningu væri ætlað að tryggja öryggi persónuupplýsinga, þ.e. tryggja rekjanleika þeirra til að sporna við uppflettingum án nægs tilefnis og gera það kleift að bregðast við þeim. Við mat á því hvort notkun upplýsinganna við gerð skýrslna um lánshæfi teldist fara fram í tilgangi sem samrýmdist þeim upphaflega, sbr. 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000 (nú 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018), væri rétt að líta til þess að aðgerðaskráning gæti leitt til þess að hjá viðkomandi ábyrgðaraðila skráðust upplýsingar sem væru umfram þær sem allajafna mætti gera ráð fyrir að hann byggi yfir. Vísaði stofnunin til þess að þar væri meðal annars um að ræða upplýsingar um að krafa á hendur einstaklingi væri í vanskilainnheimtu, en fram hefði komið af hálfu Creditinfo að það væru fyrst og frest uppflettingar innheimtuaðila sem hefðu áhrif á niðurstöður skýrslna um lánshæfi. Slíkir aðilar væru bundnir þagnarskyldu samkvæmt 13. gr. laga nr. 95/2008 og 1. mgr. 22. gr. laga nr. 77/1998 um lögmenn. Af því leiddi jafnframt að Creditinfo ætti ekki að búa yfir upplýsingum um vanskilainnheimtu á hendur einstaklingi nema fyrir þá sök að samkvæmt aðgerðaskráningu hefði innheimtuaðili flett honum upp í umræddri skrá. Benti Persónuvernd að lokum á að svigrúm til vinnslu slíkra upplýsinga, auk annarra upplýsinga sem til yrðu við aðgerðarskráningu, umfram það sem fælist í eftirliti með lögmæti uppflettinga í skránni, bæri að túlka þröngt. Yrði þá meðal annars að líta til þess hvort ákvæði í lögum og reglum með stoð í þeim renndu stoðum undir slíka vinnslu, en að ákvæðum, sem mæltu fyrir um heimild til þess, væri ekki til að dreifa.

Hvað varðar notkun upplýsinga um uppflettingar nú er til þess að líta að samkvæmt upplýsingum á vefsíðu Creditinfo hefur sú uppfærsla verið gerð hjá fyrirtækinu varðandi uppflettingar sem áhrifaþátt við útreikning lánshæfismats að þær hafi ekki lengur sjálfkrafa þýðingu við útreikninginn, heldur þurfi skráður einstaklingur sérstaklega að samþykkja notkun slíkra viðbótarupplýsinga við útreikning lánshæfismats um sig, á þjónustuvef fyrirtækisins. Slíkar viðbótarupplýsingar geta ýmist komið til lækkunar eða hækkunar. Telur Persónuvernd að með því geti heimild staðið til slíkrar vinnslu, þ.e. þar sem samþykki viðkomandi liggi henni að baki, sbr. 1. tölul. 9. gr. laga nr. 90/2018. Á vefsíðu Creditinfo kemur fram að skráður einstaklingur þurfi að haka í sérstakan reit til að samþykkja umrædda vinnslu ásamt því að hann geti afturkallað samþykkið hvenær sem er og við það uppfærist lánshæfismat hans að nýju miðað við fyrri forsendur. Til þess er hins vegar einnig að líta að um skeið þurfti að greiða fyrir aðgang að lánshæfismati ef ekki var fallist á framangreint. Samkvæmt 8. tölul. 3. gr. laga nr. 90/2018 er samþykki ekki gilt nema yfirlýsing um það sé óþvinguð. Í ljósi kröfunnar um greiðslu er það sérstakt álitaefni hvort kröfum til samþykkis var þar fullnægt. Þar sem kvörtun lýtur ekki að þessu atriði verður ekki tekin afstaða til þess hér, en málið er til skoðunar hjá Persónuvernd.

4.1.3. Tengsl við fyrirtæki á vanskilaskrá

Creditinfo hefur heimild til söfnunar og skráningar upplýsinga, sem varða fjárhagsmálefni og lánstraust fyrirtækja, samkvæmt starfsleyfi Persónuverndar, dags. 29. desember 2017 (mál nr. 2017/1541). Þetta starfsleyfi er bundið því skilyrði að við meðferð upplýsinga sé í einu og öllu farið að ákvæðum reglugerðar nr. 246/2001. Í 3. gr. þeirrar reglugerðar er fjallað um persónuupplýsingar sem fjárhagsupplýsingastofu er heimilt að vinna með. Í 1. mgr. þeirrar greinar kemur fram að fjárhagsupplýsingastofu er einungis heimilt að vinna með upplýsingar sem eðli sínu samkvæmt hafa afgerandi þýðingu við mat á fjárhag og lánstrausti hins skráða. Í 2. mgr. sömu greinar segir svo að fjárhagsupplýsingastofu sé meðal annars heimilt að vinna með upplýsingar um nafn manns eða lögaðila. Reynir hér á hvort Creditinfo hafi mátt notast við upplýsingar um tengsl kvartanda við félagið [X] ehf., sem upplýsingar höfðu verið skráðar um á vanskilaskrá í samræmi við framangreint, við gerð skýrslna um lánshæfi hans. Samkvæmt gögnum máls er ljóst að kvartandi er einn eigenda viðkomandi félags.

Eins og hér háttar til hefur það vægi að skýrslum Creditinfo um lánshæfi er ætlað að nýtast við lánshæfismat á grundvelli 10. gr. laga nr. 33/2013, sem nánar verður fjallað um síðar. Þau lög voru meðal annars sett til innleiðingar á tilskipun 2008/48/EB um lánasamninga fyrir neytendur, en samkvæmt 1. mgr. 8. gr. þeirrar tilskipunar skal tryggja að áður en slíkur samningur er gerður meti lánveitandi lánshæfi neytandans á grundvelli fullnægjandi upplýsinga sem eru, þegar við á, fengnar frá neytandanum og á grundvelli leitar í viðeigandi gagnasafni ef þörf krefur. Í 26. lið formála tilskipunarinnar er fjallað nánar um slíkt lánshæfismat, en þar segir meðal annars að gerðar skuli viðeigandi ráðstafanir til að stuðla að ábyrgum starfsháttum í öllum þáttum lánveitinga. Kemur fram að áhætta, sem fylgi vanskilum og skuldasöfnun, skipti máli í því sambandi og að einkum sé mikilvægt að lánveitendur stundi ekki óábyrga lánastarfsemi eða veiti lán án þess að hafa áður fengið mat á lánshæfi Af framangreindu er ljóst að rík áhersla er á það lögð að gert sé áreiðanlegt lánshæfismat í aðdraganda samnings um neytendalán. Einnig liggur fyrir, eins og áður greinir, að skýrslum Creditinfo er ætlað að nýtast við gerðar slíks mats. Eins og atvikum er hér háttað verður að telja eignarhald kvartanda í félaginu leiða til þess að ekki sé óeðlilegt að tekið sé mið af fjárhagsstöðu þess við mat á greiðsluvilja og skilvísi kvartanda sjálfs. Telur Persónuvernd því slíkar upplýsingar hafa umtalsverða þýðingu við mat á fjárhag og lánstrausti kvartanda, sbr. framangreint orðalag í 1. mgr. 3. gr. reglugerðar nr. 246/2001 og notkun þeirra við gerð skýrslna um lánshæfismat kvartanda í samræmi við ofangreindan tilgang með gerð lánshæfismats.

Með vísan til framangreinds telur Persónuvernd vinnslu Creditinfo á umræddum upplýsingum hafa átt stoð í 6. tölul. 9. gr. laga nr. 90/2018. Ekki verður að öðru leyti séð að farið hafi verið gegn kröfum 8. gr. sömu laga um meðal annars sanngirni, meðalhóf og áreiðanleika við vinnsluna.

4.1.4. Upplýsingar úr skattskrá

Líkt og áður kom fram er í kvörtun gerð athugasemd við það að Creditinfo hafi aðgang að upplýsingum um kvartanda úr skattskrá, sem fyrirtækið síðan notar við útreikning á lánshæfismati sínu.

Persónuvernd hefur áður tekið afstöðu til þess hvort Creditinfo sé heimilt að vinna upplýsingar úr skattskrá í þágu gerðar lánshæfismats um einstaklinga. Um var að ræða úrskurð í máli nr. 2016/1138 og úrskurð í máli nr. 2017/537. Í báðum úrskurðunum komst Persónuvernd að þeirri niðurstöðu að Creditinfo væri heimilt að nota upplýsingar úr skattskrá við gerð skýrslna fyrirtækisins um lánshæfi. Vísaði Persónuvernd í því sambandi til 2. mgr. 98. gr. laga nr. 90/2003 um tekjuskatt, en þar kemur fram að þegar lokið er álagningu skatta og meðferð á kærum á álagningu skuli ríkisskattstjóri semja og leggja fram skattskrá fyrir hvert sveitarfélag, en í henni skuli tilgreina álagðan tekjuskatt hvers gjaldanda og aðra skatta eftir ákvörðun ríkisskattstjóra. Einnig segir meðal annars að skattskrá skuli liggja frammi til sýnis í tvær vikur á hentugum stað. Vísaði Persónuvernd síðan til þess að ólíkt því sem gilti um álagningarskrár, sbr. 1. mgr. 98. gr. sömu laga, heimilaði 2. mgr. sama ákvæðis auk þess opinbera birtingu á upplýsingum um álagða skatta, sem fram kæmu í skattskrá, svo og útgáfu upplýsinganna í heild eða að hluta. Benti Persónuvernd í framhaldi af því á að einnig bæri að líta til 1. og 2. tölul. 2. mgr. 6. gr. reglugerðar nr. 920/2013, um lánshæfis- og greiðslumat, en fram kæmi í þessum reglugerðarákvæðum að við framkvæmd lánshæfismats vegna afgreiðslu umsóknar um neytendalán skyldi lánveitandi meðal annars afla staðfests afrits af síðasta skattframtali, auk staðfestingar á tekjum síðustu þriggja mánaða. Með vísan til framangreinds taldi Persónuvernd því ekki ómálefnalegt að aðili, sem starfrækti gagnagrunn um fjárhagsmálefni og lánstraust og veitti upplýsingar í þágu gerðar matsins, sbr. i-lið 5. gr. laga nr. 33/2013, ynni mat sitt á grundvelli skattskrárupplýsinga sem lögum samkvæmt væru opinberar. Í ljósi framangreinds, sem og á grundvelli meðal annars 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 (sbr. 6. tölul. 9. gr. núgildandi persónuverndarlaga nr. 90/2018), komst Persónuvernd að þeirri niðurstöðu að notkun upplýsinga úr skattskrá við gerð skýrslna Creditinfo um lánshæfi samrýmdist lögum nr. 77/2000.

Í tengslum við framangreint er til þess að líta að 6. gr. reglugerðar nr. 920/2013 fjallar um það hvað felist í greiðslumati og hvaða upplýsinga lánveitanda beri að afla við framkvæmd þess. Verður því, við nánari athugun, ekki séð að ákvæðið geti haft þýðingu við mat á heimild Creditinfo til vinnslu upplýsinga úr skattskrá við gerð lánshæfismats, þrátt fyrir að umræddar upplýsingar séu opinberar samkvæmt áðurnefndu ákvæði 98. gr. laga nr. 90/2003.

Í 10. gr. laga nr. 33/2013 er fjallað um skyldu til þess að framkvæma greiðslumat samhliða lánshæfismati að uppfylltum ákveðnum skilyrðum, en í athugasemdum við ákvæðið í frumvarpi því sem varð að lögum nr. 33/2013 segir að með lánshæfismati sé leitast við að staðreyna greiðsluviljann en greiðslugetu með greiðslumati. Lánshæfismat er síðan skilgreint í k-lið 5. gr. laga nr. 90/2013 sem mat lánveitanda á lánshæfi lántaka byggt á upplýsingum sem séu til þess fallnar að veita áreiðanlegar vísbendingar um líkindi þess hvort lántaki geti efnt lánssamning. Kemur þar jafnframt fram að lánshæfismat skuli byggt á viðskiptasögu aðila á milli og/eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust. Að lokum segir að lánshæfismat feli ekki í sér greiðslumat nema slíkt sé áskilið sérstaklega. Greiðslumat er skilgreint í e-lið 5. gr. sömu laga sem útreikningur á greiðslugetu lántaka, miðað við eignir, skuldir, gjöld og tekjur, sem meðal annars byggist á opinberum neysluviðmiðum. Nánar er fjallað um það hvaða upplýsinga lánveitanda beri að afla við framkvæmd greiðslumats í áðurnefndu ákvæði 6. gr. reglugerðar nr. 920/2013 og kemur þar meðal annars fram að hann skuli afla staðfests afrits af síðasta skattframtali og staðfestingar á tekjum síðustu þriggja mánaða, sbr. 1. og 2. tölul. ákvæðisins.

Í ljósi þess sem fyrr er rakið er það því mat Persónuverndar að Creditinfo hafi ekki verið heimilt að notast við upplýsingar úr skattskrá við útreikning á lánshæfismati kvartanda. Telur Persónuvernd það málefnalegt og í samræmi við framangreind ákvæði laga nr. 33/2013 og reglugerðar nr. 920/2013 að slíkar upplýsingar eigi frekar að hafa þýðingu þegar greiðslugeta viðkomandi lántaka er skoðuð í tengslum við gerð greiðslumats. Creditinfo hafði því ekki lögmæta hagsmuni, sbr. 6. tölul. 9. gr. laga nr. 90/2018, af því að framkvæma umrædda vinnslu.

4.2.

Upplýsinga- og aðgangsréttur kvartanda

Kvartandi telur sig ekki hafa fengið fullnægjandi upplýsingar frá Creditinfo um lánshæfismat sitt og þær forsendur sem fyrirtækið gefur sér við gerð slíks mats. Við mat á réttindum kvartanda er nauðsynlegt að fjalla fyrst um þá vinnslu sem býr að baki gerð skýrslna um lánshæfismat hjá Creditinfo. Á vefsíðu Creditinfo kemur fram að lánshæfismat fyrirtækisins byggist á stærsta safni viðskiptaupplýsinga hérlendis og meti líkur á vanskilum tólf mánuði fram í tímann. Þá kemur þar fram að notkun lánshæfismats tryggi að ekki fari fram huglægt mat við ákvarðanatöku um viðskipti heldur sé byggt á hlutlægum upplýsingum frá óháðum aðila. Það auðveldi jafnframt samskipti við viðskiptamenn því ákvarðanataka sé rökstudd með tölulegum gögnum fremur en persónulegu mati. Kemur þar einnig fram að lánshæfi einstaklinga sé metið á kvarðanum A1-E3, þar sem A1 sé besta mögulega einkunn og E3 sú lakasta. Í því sambandi er til þess að líta að í 10. tölul. 3. gr. laga nr. 90/2018, sbr. 4. tölul. 4. gr. reglugerðar (ESB) 2016/679, er fjallað um gerð persónusniðs. Er það skilgreint sem hvers kyns vinnsla persónuupplýsinga sem felst í því að nota persónuupplýsingar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, smekk, áhugamál, áreiðanleika, hegðun, staðsetningu eða hreyfanleika.

Með vísan til framangreinds verður að telja vinnslu Creditinfo í tengslum við gerð skýrslna um lánshæfismat einstaklinga felast í því að nota fjárhagsupplýsingar þeirra til að greina eiginleika þeirra og flokka þá út frá því eftir ákveðnum einkunnum. Eins og áður kom fram fela einkunnirnar síðan í sér spádóm um líkur á vanskilum á næstu tólf mánuðum.

Af þessu er ljóst að vinnslan felur í sér gerð persónusniðs í skilningi 10. tölul. 3. gr. laga nr. 90/2018, en slík vinnsla getur verið íþyngjandi fyrir hinn skráða, einkum þegar honum er neitað um vörur eða þjónustu á grundvelli persónusniðsins. Við slíkar aðstæður þarf því að gæta sérstaklega að ákvæðum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB), sbr. einnig þau réttindi sem kvartanda eru tryggð í III. kafla laga nr. 90/2018, sbr. III. kafla reglugerðar (ESB) 2016/679. Framangreind réttindi í tengslum við gerð persónusniðs getur hinn skráði nýtt gagnvart ábyrgðaraðilanum sem býr til persónusniðið, í þessu tilviki Creditinfo, og eftir atvikum ábyrgðaraðila sem tekur ákvörðun á grundvelli slíkra upplýsinga frá Creditinfo. Reynir hér einungis á skyldur Creditinfo í því sambandi, sem telst ábyrgðaraðili vegna þeirrar vinnslu sem kvartað er yfir, þ.e. að Creditinfo hafi ekki veitt kvartanda fullnægjandi upplýsingar um lánshæfismat hans þegar hann óskaði þess.

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.-15. gr. reglugerðar (ESB) 2016/679. Eins og áður sagði liggur fyrir að kvartandi óskaði eftir upplýsingum um lánshæfismat sitt þegar það lá fyrir hjá Creditinfo. Um slík réttindi fer samkvæmt 15. gr. reglugerðarinnar um rétt skráðs einstaklings til aðgangs að upplýsingum. Í því ákvæði er meðal annars kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og sé svo, rétt til aðgangs að upplýsingum um meðal annars eftirtalin atriði: tilgang vinnslunnar (a-liður); viðkomandi flokka persónuupplýsinga (b-liður); ef mögulegt er, hversu lengi fyrirhugað er að varðveita persónuupplýsingarnar eða, ef það reynist ekki mögulegt, þær viðmiðanir sem notaðar eru til að ákveða það (d-liður); að fyrir liggi réttur til að fara fram á það við ábyrgðaraðila að láta leiðrétta persónuupplýsingar, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar eða til að andmæla vinnslu (e-liður); ef persónuupplýsinga er ekki aflað hjá hinum skráða, allar fyrirliggjandi upplýsingar um uppruna þeirra (g-liður); og hvort fram fari sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs og þá marktækar upplýsingar um þau rök sem þar liggja að baki og einnig þýðingu fyrirhugaðrar vinnslu fyrir hinn skráða (h-liður).

Eins og áður hefur komið fram sýna gögn málsins þær upplýsingar sem kvartandi fékk frá Creditinfo í kjölfar fyrirspurnar hans um nánari upplýsingar um lánshæfismat sitt. Þær upplýsingar sem kvartandi fékk frá Creditinfo í kjölfar fyrirspurnar hans voru veittar með tölvupósti, dags. 31. ágúst 2017. Í tölvupóstinum er að finna útlistun á þeim þáttum sem helst höfðu haft áhrif til lækkunar á lánshæfismati kvartanda, sem hafi verið eins og áður hefur komið fram, eldri skráningar á vanskilaskrá, einkum þær sem voru inni á síðustu 24 mánuðum, uppflettingar af hálfu innheimtuaðila, og áhrif vegna tengsla við fyrirtæki, þ.e. [X] ehf., sem væri á vanskilaskrá. Þar fékk hann einnig upplýsingar um að yfirlit uppflettinga og vaktana væri aðgengilegt á þjónustuvef fyrirtækisins. Þá er þar að finna stutta skilgreiningu á lánshæfismati fyrirtækisins og það skilgreint sem tölfræðilíkan sem meti líkur á greiðslufalli og skráningu á VOG-vanskilaskrá næstu tólf mánuði. Vísað er til þess í því sambandi að lánveitendur og önnur fyrirtæki sem stunda reikningsviðskipti noti m.a. lánshæfismatið til að meta útlánaáhættu, svo sem við mat á úttektarheimildum og fjárhæðum útlána. Í tölvupóstinum er síðan bent á hlekk sem vísar á vefsíðu fyrirtækisins til nánari upplýsinga um lánshæfismat. Því næst er fjallað um starfsleyfi Creditinfo hjá Persónuvernd, og að það heimili fyrirtækinu að vinna með persónuupplýsingar um fjárhagsmálefni og lánstraust einstaklinga. Leyfið sé gefið út á grundvelli 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust einstaklinga, sbr. 45. gr. laga nr. 77/2000. Í kjölfarið er farið yfir lögmæti vinnslunnar og vísað til þess að fyrirtækið hafi litið svo á að vinnsla upplýsinga um fjárhagsmálefni og lánstraust geti m.a. átt stoð í 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 á þeim grundvelli að vinnslan væri nauðsynleg í þágu lögmætra hagsmuna. Bendir fyrirtækið kvartanda á að þeir aðilar sem kvartandi eigi í viðskiptum við eða beri persónulega ábyrgð á lánveitingu eða reikningsviðskiptum til tryggingar efndum lántaka, hvort sem það séu lánastofnanir eða aðrir lánveitendur, hafi lögvarða hagsmuni af því að skoða stöðu kvartanda á vanskilaskrá í upphafi viðskipta og til að vakta hana á meðan viðskiptin vari. Þá hafi innheimtuaðilar lögvarða hagsmuni af því að sækja stöðu þess sem sé í vanskilum á vanskilaskrá. Að lokum er kvartanda bent á að kvörtunum um verklag og vinnubrögð Creditinfo skuli beina til Persónuverndar.

Könnun Persónuverndar sýnir að þjónustuvefurinn mitt.creditinfo.is, sem kvartanda var bent á í fyrrnefndum tölvupósti, er vettvangur einstaklinga til að sækja yfirlit og upplýsingar um stöðu sína og fyrirtækja sem þeir tengjast. Einstaklingar geta þar skoðað fyrirhugaðar skráningar á vanskilaskrá og einnig þær skráningar sem eru virkar. Ef engar skráningar eru virkar fær hinn skráði reiknað lánshæfismat. Fari einstaklingur inn á lánshæfismat sitt getur hann ávallt séð hvaða áhrifaþættir það eru sem hafa áhrif á lánshæfismat hans. Ef fyrri skráningar hafa áhrif á matið, þ.e. skráningar sem eru innan við fjögurra ára gamlar frá skráningu, þá getur viðkomandi séð hvaða skráningar það eru, frá hvaða tíma og hvaða kröfuhafa. Á sama stað getur viðkomandi séð uppflettingar síðustu sex mánaða á uppflettiyfirliti og allar vaktanir sem eru virkar á vaktayfirliti. Þá er á vefsíðunni fjallað um hvað felist í lánshæfismati og kemur þar fram að um sé að ræða markvissa ákvarðanatöku, nánar tiltekið að með notkun lánshæfismats sé það tryggt að huglægt mat sé ekki lagt til grundvallar við ákvarðanatöku um viðskipti heldur sé byggt á hlutlægum upplýsingum frá óháðum aðila. Vísað er til þess á sama stað að það auðveldi samskipti við viðskiptamenn því ákvarðanatakan sé rökstudd með tölulegum gögnum fremur en persónulegu mati. Könnun Persónuverndar sýnir einnig að á mitt.creditinfo.is sé að finna nákvæmari umfjöllun um það hvað ákvarði lánshæfiseinkunn, hvernig hægt sé að bæta lánshæfismat sitt ásamt upplýsingum um það hvenær lánshæfismatið uppfærist.

Leggja þarf mat á það hvort framangreindar upplýsingar uppfylltu skilyrði samkvæmt 15. gr. reglugerðar (ESB) 2016/679. Í 63. lið formálsorða reglugerðarinnar er meðal annars vísað til þess að sérhver skráður einstaklingur ætti að hafa rétt til að fá vitneskju og tilkynningu um tilganginn með vinnslu persónuupplýsinganna, vinnslutímabil upplýsinganna ef unnt er, viðtakendur þeirra, hvaða rök liggja að baki sjálfvirkri vinnslu persónuupplýsinga og afleiðingar slíkrar vinnslu, sérstaklega þegar hún er byggð á gerð persónusniðs. Kemur þar jafnframt fram að ábyrgðaraðili ætti að veita hinum skráða fjaraðgang að öruggu kerfi sem myndi veita honum beinan aðgang að persónuupplýsingum um sig. Er þar síðan vísað til þess að sá réttur ætti þó ekki að hafa neikvæð áhrif á réttindi eða frelsi annarra, þ.m.t. viðskiptaleyndarmál eða hugverkaréttindi og þá einkum höfundarrétt til verndar hugbúnaðinum. Vísað er til þess að niðurstaða þessara atriða ætti þó ekki að vera sú að skráðum einstaklingi sé neitað um allar upplýsingar.

Ljóst er að Creditinfo veitti kvartanda flestar þeirra upplýsinga sem fyrirtækinu er skylt að veita samkvæmt 15. gr. reglugerðar (ESB), sbr. einnig 63. lið formálsorða reglugerðar (ESB) 2016/679, bæði í tölvupósti til hans og með þeim upplýsingum sem honum var vísað á, á þjónustusvæði Creditinfo. Ekki verður þó séð að Creditinfo hafi upplýst kvartanda með skýrum hætti um rétt hans til að fara fram á að láta leiðrétta persónuupplýsingar, eyða þeim eða takmarka vinnslu þeirra eða um rétt hans til að andmæla vinnslu, sbr. skilyrði e-liðar 1. mgr. 15. gr. reglugerðar (ESB). Til þess er þó að líta að þegar kvartandi óskaði eftir upplýsingum frá Creditinfo hafði hann þegar nýtt rétt sinn samkvæmt ákvæðinu að nokkru leyti. Eins og hér háttar til verður því ekki fullyrt með óyggjandi hætti að réttur kvartanda samkvæmt ákvæðinu hafi verið virtur að vettugi. Hins vegar er rétt að árétta mikilvægi þess að Creditinfo gæti að ákvæðum 15. gr., sem og 13. og 14. gr. reglugerðarinnar eftir því sem við á, til þess að tryggja það að réttindi einstaklinga samkvæmt framangreindum ákvæðum verði framvegis virt að fullu.

Að framangreindu virtu er niðurstaða Persónuverndar sú að upplýsingaréttur kvartanda samkvæmt 15. gr. reglugerðar (ESB) hafi verið virtur þegar honum voru veittar upplýsingar um gerð skýrslna um lánshæfismat hans. Vinnslan hafi því samrýmst 2. mgr. 17. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. 15. gr. reglugerðar (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Notkun Creditinfo Lánstrausts hf. á upplýsingum um færslu um [A] á skrá um fjárhagsmálefni og lánstraust einstaklinga, ásamt upplýsingum um tengsl hans við fyrirtækið [X] ehf., við gerð skýrslu um lánshæfi hans samrýmdist lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Vinnsla Creditinfo Lánstrausts hf. á upplýsingum um uppflettingar á [A] í fyrrnefndri skrá, sem og á upplýsingum um hann úr skattskrá, við gerð lánshæfismats um hann samrýmdist ekki lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Afgreiðsla Creditinfo Lánstrausts hf. á beiðni [A] um aðgang að upplýsingum um það hvernig vinnsla persónuupplýsinga um hann fór fram samrýmdist lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Í Persónuvernd, 11. september 2020

Björg Thorarensen f.h. stjórnar                     Helga Þórisdóttir