Vinnsla persónuupplýsinga af hálfu Creditinfo Lánstrausts hf. og Inkasso-Momentum ehf.

Mál nr. 2023121926

17.12.2024

Úrskurður

Persónuverndar frá 29. nóvember 2024 um kvörtun yfir vinnslu persónuupplýsinga af hálfu Creditinfo Lánstrausts hf. og Inkasso-Momentum ehf., í máli nr. 2023121926:

Málsmeðferð

1. Hinn 1. desember 2023 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vöktun Inkasso-Momentum ehf. (Inkasso) á kennitölu hans með vanskilavakt Creditinfo Lánstrausts hf. (Creditinfo). Einnig var kvartað yfir því að Creditinfo hafi hvorki tilkynnt honum um upphaf vöktunarinnar né brugðist við athugasemdum hans um að vöktunin væri óheimil.
2. Persónuvernd bauð Creditinfo og Inkasso að tjá sig um kvörtunina með bréfum 21. mars 2024 og bárust svör Creditinfo með tölvupósti 8. apríl s.á. og svör Inkasso með tölvupósti 17. s.m. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Creditinfo og Inkasso með bréfi 18. s.m. og bárust þær með tölvupósti 2. maí s.á. Creditinfo og Inkasso var auk þess boðið að tjá sig um athugasemdir kvartanda með bréfum 3. s.m. og bárust svör Creditinfo með tölvupósti 22. s.m. og svör Inkasso með tölvupósti 21. júní s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.
   
   

   Ágreiningsefni

3. Ágreiningur er um heimild Inkasso til að vakta kennitölu kvartanda í vanskilaskrá Creditinfo og hvort Creditinfo hafi borið að tilkynna kvartanda samstundis um upphaf vöktunarinnar. Að auki er ágreiningur um hvort Creditinfo hafi brugðist á fullnægjandi hátt við athugasemdum kvartanda um að vöktun Inkasso væri óheimil. Við meðferð málsins hjá Persónuvernd óskaði kvartandi þess að stofnunin myndi einnig taka til skoðunar misvísandi og ófullnægjandi upplýsingagjöf Creditinfo vegna breytinga á skýrslu um lánshæfi hans.
   
   

   Atvik máls og fyrirliggjandi gögn

4. Kvartandi varð þess áskynja 26. október 2023 að lánshæfi hans hjá Creditinfo hafði farið úr flokki A1 í C3. Á þjónustuvef Mitt Creditinfo hafi verið veittar þær skýringar að eitt af því sem drægi niður lánshæfi hans væri virk vöktun á kennitölu hans á vegum Inkasso. Kvartandi kannaðist ekki við að vera í viðskiptasambandi við Inkasso og gerði því athugasemdir við vöktunina 30. sama mánaðar.
5. Með kvörtuninni fylgdu tölvupóstsamskipti kvartanda við Creditinfo í kjölfar athugasemda hans, dagana 31. október til 16. nóvember 2023. Samkvæmt tölvupóstsamskiptunum var kvartandi meðal annars upplýstur um að virk krafa hafi verið í kerfi Inkasso þegar uppfletting á kennitölu hans fór fram og því hafi Inkasso haft lögvarða hagsmuni fyrir uppflettingunni. Kvartandi óskaði nánari skýringa á vöktuninni sem Creditinfo svaraði síðar sama dag, á þann veg að Inkasso hafi verið með kröfu á hendur honum í innheimtu og að félagið væri ekki lengur að vakta hann. Kvartanda var jafnframt leiðbeint um að hafa samband við Inkasso varðandi upplýsingar um kröfuna. Í öðrum tölvupósti til Creditinfo áréttaði kvartandi að hann hefði ekki verið í viðskiptum við Inkasso og hygðist ekki stofna til samskipta við félagið. Creditinfo upplýsti kvartanda í framhaldinu um að samkvæmt Inkasso hafi umrædd krafa, sem félagið hafði til innheimtu, stafað frá Myllusetri ehf. Krafan hafi verið uppgreidd 27. október s.á. og Inkasso hætt vöktun 28. s.m. Einnig var kvartandi upplýstur um að viðvarandi láns- og reikningsviðskipti heimili vöktun kennitölu og að innheimtuaðilar hafi slíka heimild við innheimtu gjaldfallinna krafna. Samkvæmt fyrirliggjandi upplýsingum hafi umrædd krafa Mylluseturs ehf. fallið í eindaga 16. október 2023 og verið send Inkasso til innheimtu sama dag. Með tölvupósti, dags. 8. nóvember 2023, veitti Creditinfo kvartanda þær upplýsingar að lánshæfismat hans hefði farið aftur í fyrra horf eftir þessa tímabundnu vöktun af hálfu Inkasso.
6. Með kvörtuninni fylgdu einnig tölvupóstsamskipti kvartanda við Inkasso. Með tölvupósti 14. nóvember 2023 óskaði kvartandi meðal annars eftir rökstuðningi Inkasso fyrir því að vöktunin hefði verið nauðsynleg vegna innheimtu umræddrar kröfu. Í svari Inkasso frá 22. s.m. er vísað til þess að vöktun sé almennt nauðsynleg vegna innheimtu krafna þar sem upplýsingar sem þannig eru sóttar geti haft áhrif á hvernig staðið skuli að innheimtu í samræmi við góða innheimtuhætti sbr. innheimtulög nr. 95/2008.
7. Með skýringum Creditinfo til Persónuverndar fylgdi afrit af tilkynningu félagsins til kvartanda vegna vöktunar Inkasso, dags. 6. nóvember 2023. Tilkynningin ber fyrirsögnina Tilkynning um uppflettingu. Þar er tilgreint að vöktun vanskila og opinberra gjörða af hálfu Inkasso-Momentum ehf. sé hætt. Einnig er þar að finna staðlaðan texta þar sem meðal annars er vakin athygli á því yfirlit vaktana og uppflettinga sé aðgengilegt á þjónustuvef Mitt Creditinfo og þar sé einnig hægt að gera athugasemd við uppflettingu.
8. Við meðferð málsins hjá Persónuvernd óskaði kvartandi þess að stofnunin myndi einnig taka til skoðunar misvísandi og ófullnægjandi upplýsingagjöf Creditinfo vegna breytinga á skýrslu um lánshæfi hans. Fyrir liggur að Creditinfo upplýsti kvartanda um að lánshæfi hans myndi breytast í fyrra horf eftir að vöktun Inkasso lyki, þ.e. í flokk A1. Kvartandi hafi hins vegar kannað stöðu lánshæfis síns 16. febrúar 2024 en þá hafi það verið í flokki A2. Creditinfo hafi veitt þær skýringar að vöktun Inkasso 26. október 2023 hefði haft neikvæð áhrif á lánshæfið. Kvartandi hafi óskað nánari skýringa frá Creditinfo vegna þessa og fengið þau svör að Inkasso væri ekki lengur að vakta kennitölu hans og því hefði vöktunin ekki neikvæð áhrif á lánshæfið. Kvartandi hafi kannað lánshæfi sitt aftur 8. mars s.á. og það hafi enn verið óbreytt, í flokki A2. Hann hafi því aftur óskað skýringa frá Creditinfo og fengið þau svör að afstaða félagsins lægi fyrir og hefði ekki breyst.
   
   

   Sjónarmið aðila

   Helstu sjónarmið kvartanda

9. Kvartandi byggir á því að umrædd vöktun Inkasso á kennitölu hans hafi verið óheimil. Að mati kvartanda veiti innheimta kröfu ekki sjálfkrafa heimild til vöktunar heldur þurfi að meta hvort vöktun sé nauðsynleg hverju sinni. Taka þurfi tillit til fjárhæðar kröfu, tímalengdar vanskila og fyrri viðskiptasögu skuldara. Kvartandi vísar til þess að hann hafi greitt Myllusetri ehf. u.þ.b. eitt hundrað sinnum fyrir áskrift að Viðskiptablaðinu, fjárhæð kröfunnar hafi verið innan við 1% af dæmigerðum launum í landinu og vanskil hafi varað í sjö daga frá útgáfu kröfu fram að eindaga. Vöktun kennitölu sé íþyngjandi úrræði sem geti haft afdrífaríkar afleiðingar í för með sér. Lánshæfi kvartanda hafi farið úr flokki A1 í C3. Hann hafi farið úr því að vera nánast áhættulaus viðskiptavinur yfir í það að vera áhættusamur viðskiptavinur sem sé líklegur til að verða hafnað um lánafyrirgreiðslu hjá hefðbundnum fjármálastofnunum og um reikningsviðskipti hjá þeim sem bjóða upp á slíkt.
10. Þá byggir kvartandi á því að Creditinfo hafi ekki sinnt tilkynningarskyldu sinni í samræmi við 3. mgr. 11. gr. reglugerðar nr. 606/2023, um vinnslu upplýsinga um fjárhagsmálefni og lánstraust, en þar segir meðal annars að fjárhagsupplýsingastofa skuli samstundis og eigi síðar en innan mánaðar gera hinum skráða viðvart um hvaða áskrifandi hóf vöktun kennitölu hans og í hvaða tilgangi. Með sama hætti skuli hinum skráða gert viðvart þegar látið er af vöktun kennitölu. Kvartandi hafi ekki fengið tilkynningu frá Creditinfo þegar Inkasso hóf vöktun kennitölu hans. Þá hafi það kostað mikinn eftirrekstur af hans hálfu að fá viðhlítandi skýringar á vöktuninni frá Creditinfo.
11. Kvartandi telur jafnframt að Creditinfo hafi borið að kanna hvort Inkasso hafi metið hagsmuni hans á móti hagsmunum kröfuhafa og hvernig vöktunin hafi verið talin nauðsynleg samkvæmt skilyrði vöktunar í starfsleyfi félagsins.
12. Loks telur kvartandi að Creditinfo hafi veitt honum misvísandi og ófullnægjandi upplýsingar um breytingar á lánshæfi hans eftir að vöktuninni lauk, sbr. umfjöllun í efnisgrein 8.
    
    

    Helstu sjónarmið Inkasso

13. Í svörum Inkasso er byggt á því að vinnsla persónuupplýsinga kvartanda, sem fólst í umræddri vöktun, hafi verið heimil og að meðalhófs hafi verið gætt við vinnsluna.
14. 14 Vöktunin hafi verið nauðsynleg til að fullnægja lagaskyldu sem hvíli á félaginu, sbr. 3. tölul 9. gr. laga nr. 90/2018. Er í því sambandi vísað til 2. mgr. 6. gr. innheimtulaga nr. 95/2008 um góða innheimtuhætti, þar sem fram kemur að það teljist brjóta í bága við góða innheimtuhætti að valda óþarfa tjóni. Það sé hluti af skyldunni um góða innheimtuhætti að neyta úrræða sem vernda kröfuhafa fyrir mögulegu greiðslufalli greiðanda á meðan á innheimtu gjaldfallinnar skuldar standi. Öflun og vöktun upplýsinga frá fjárhagsupplýsingastofu sé liður í þeirri vernd. Að auki vísar Inkasso til þess að vinnslan hafi verið í samræmi við samning félagsins við kröfuhafa. Vísað er til þess að vöktun kennitölu kvartanda hafi ekki stuðst við heimild 6. tölul. 9. gr. laga nr. 90/2018, sem vísi til lögmætra hagsmuna, og því hafi ekki þurft að fara fram það hagsmunamat sem ákvæðið áskilji. Inkasso hafi ekki val um hvort innheimtuaðgerðir fara fram eða ekki heldur einungis með hvaða hætti aðgerðir eru framkvæmdar.
15. Í skýringum Inkasso segir einnig að um leið og kvartandi hafi greitt kröfuna hafi öll vinnsla vegna hennar verið stöðvuð. Að mati Inkasso verði því ekki ályktað annað en að vinnslan hafi verið nægileg, viðeigandi og ekki umfram það sem nauðsynlegt var miðað við tilgang hennar, sem sé að haga innheimtu í samræmi við góða innheimtuhætti, jafnt kröfuhafa og greiðanda til góðs.
    
    

    Helstu sjónarmið Creditinfo

16. Í svörum Creditinfo segir að í kjölfar athugasemda kvartanda, dags. 30. október 2023, hafi félagið kannað vöktun Inkasso á kennitölu hans. Creditinfo hafi beint fyrirspurnum til Inkasso sem hafi veitt þau svör að krafa á hendur kvartanda væri virk í kerfi félagsins. Kvartanda hafi verið veittar upplýsingar um ástæður vöktunar með tölvupóstum 31. október, 2., 3. og 8 nóvember 2023. Lagt hafi verið til grundvallar að krafan væri réttmæt, enda hafði kvartandi ekki haft uppi mótbárur hvað varðaði efnislegt lögmæti kröfunnar, og að Inkasso hafi verið að gæta lögmætra hagsmuna kröfuhafa með innheimtu hennar en samkvæmt fyrirliggjandi gögnum höfðu vanskil kröfunnar staðið í 11 daga. Vísað er til þess að áskrifendum sé heimil vöktun vegna innheimtu krafna samkvæmt 3. mgr. 6. gr. reglugerðar 606/2023 og 5. mgr. 4. gr. starfsleyfis Creditinfo frá 1. mars 2023. Þá sé Inkasso ábyrgðaraðili samkvæmt lögum nr. 90/2018 vegna vöktunar kennitölu á vanskilaskrá hjá fjárhagsupplýsingastofu og beri sjálfstæða ábyrgð á því að vinnsla þeirra persónuupplýsinga byggist á fullnægjandi vinnsluheimild og að látið sé af vöktun þegar ekki eru lengur fyrir hendi lögmætir hagsmunir af vöktuninni.
17. Hvað varðar tilkynningu til kvartanda um vöktun kennitölu hans umrætt sinn vísar Creditinfo til þess að upphaf og lok vöktunar Inkasso hafi verið með stuttu millibili innan sama mánaðar, þ.e. frá 26. til 28. október 2023. Creditinfo hafi fylgt því fyrirkomulagi sem gerir ráð fyrir að uppsafnaðar tilkynningar samkvæmt 3. mgr. 11. gr. reglugerðar 606/2023 séu sendar einu sinni í mánuði, vegna uppflettinga/vöktunar mánuðinn á undan. Undir hefðbundnum kringumstæðum hefði kvartandi fengið tilkynningu um upphaf vöktunar Inkasso innan mánaðar en fyrir það tímabil lauk jafnframt vöktuninni. Með hliðsjón af því hafi eitt og sama bréfið verið sent kvartanda, 6. nóvember 2023, innan mánaðar frá dagsetningu upphafs og loka vöktunar innheimtuaðila. Að mati Creditinfo telst slíkt fyrirkomulag innan heimildar 3. mgr. 11. gr. reglugerðar nr. 606/2023, en samkvæmt orðanna hljóðan takmarki ákvæðið skyldu fjárhagsupplýsingastofa við eins mánaðar tímamörk. Fyrirkomulagið verði einnig að teljast í samræmi við starfsleyfi Persónuverndar frá 1. mars 2023, sbr. 1. mgr. 5.1.4 gr., þar sem kveðið er á um að slík tilkynning skuli send hinum skráða eigi síðar en mánuði frá uppflettingu í skrá um fjárhagsmálefni og lánstraust. Hinir skráðu geti þar að auki ávallt séð sundurliðaðar uppfærðar upplýsingar um vöktun áskrifenda á uppflettiyfirliti á þjónustuvef Mitt Creditinfo. Á sama stað geti hinir skráðu óskað eftir því að fá tilkynningar í tölvupósti um bréf vegna skráninga og uppflettinga. Í slíkum tilkynningum séu ekki efnislegar upplýsingar úr gagnagrunni heldur vísi þær inn á þjónustuvefinn.
18. Loks segir í svörum Creditinfo að enginn áskrifandi hafi flett upp lánshæfi kvartanda, né vaktað það, á því tímabili sem lánshæfið var í flokki C3. Því verði ekki séð að það hafi haft nokkur áhrif á kvartanda. Lánshæfi kvartanda hafi farið aftur í sama horf og það var fyrir vöktun, þ.e. í flokk A1, degi eftir að vöktun Inkasso lauk, hinn 30. október 2023. Þá kemur fram að Creditinfo hafi hins vegar framkvæmt uppfærslu á lánshæfislíkani félagsins 24. nóvember s.á. og við það hafi lánshæfi kvartanda farið úr flokki A1 í A2. Í þeirri uppfærslu hafi meðal annars verið horft til þess hvort aðili hafi verið settur í vakt hjá innheimtuaðila. Samkvæmt nýja lánshæfislíkaninu minnki neikvæð áhrif með tímanum sem líður frá því viðkomandi var í vakt innheimtuaðila. Creditinfo tekur undir með kvartanda að þetta hafi ekki verið skýrt fyrir honum þegar hann hafði samband 16. febrúar og 8. mars 2024 og óskaði skýringa á breyttu lánshæfi. Creditinfo biðst velvirðingar á því og kveðst hafa breytt því hvernig þessi áhrifaþáttur birtist á þjónustuvef Mitt Creditinfo til að gera þetta skýrara.
    
    

    Forsendur og niðurstaða

    Lagaumhverfi

19. Mál þetta lýtur að vöktun Inkasso á kennitölu kvartanda í vanskilaskrá Creditinfo og réttindum kvartanda þar að lútandi. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 2. mgr. 1. gr., 1. mgr. 4. gr. og 1. mgr. 39. gr. laganna.
20. Ábyrgðaraðili vinnslu persónuupplýsinga er einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnsluna, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679, og ber hann ábyrgð á að vinnslan uppfylli kröfur laganna, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.
21. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt þeim getur vinnsla meðal annars verið heimil ef hún er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins, og ef hún er nauðsynleg vegna lögmætra hagsmuna, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins. Eins og hér háttar til verður að mati Persónuverndar ekki séð að aðrar vinnsluheimildir samkvæmt fyrrgreindum ákvæðum geti komið til greina.
22. Þegar vinnsla persónuupplýsinga fer fram á grundvelli 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þarf vinnslan jafnframt að uppfylla kröfur 3. mgr. 6. gr. reglugerðarinnar. Þar segir að mæla skuli fyrir um grundvöll vinnslunnar í lögum og tilgangur vinnslu skuli ákvarðaður á þeim lagagrundvelli. Lagagrundvöllurinn geti meðal annars verið sértæk ákvæði til að aðlaga beitingu reglna reglugerðarinnar, t.m.a. um: almenn skilyrði varðandi lögmæta vinnslu ábyrgðaraðilans, tegund gagna sem vinnslan varðar, hlutaðeigandi skráða einstaklinga, hvaða stofnanir megi fá persónuupplýsingarnar í hendur og í hvaða tilgangi, takmörkun vegna tilgangs, varðveislutímabil og vinnsluaðgerðir og verklag við vinnslu, þ.m.t. ráðstafanir til að tryggja að vinnsla fari fram á lögmætan og sanngjarnan hátt.
23. Til þess að vinnsla geti talist heimil á grundvelli lögmætra hagsmuna, sbr. 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þarf þremur skilyrðum að vera fullnægt. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir. Í öðru lagi þarf vinnslan að vera nauðsynleg í þágu hinna lögmætu hagsmuna. Í þriðja lagi mega hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hinir lögmætu hagsmunir sem vísað er til. Með þriðja skilyrðinu er gerður áskilnaður um hagsmunamat, þar sem hinir lögmætu hagsmunir af því að vinnslan fari fram eru vegnir andspænis hagsmunum hins skráða. Áður en vinnsla persónuupplýsinga hefst á grundvelli þessarar heimildar þarf ábyrgðaraðili að ganga úr skugga um að skilyrði ákvæðisins séu uppfyllt, meðal annars með því að framkvæma það hagsmunamat sem vísað er til í ákvæðinu, og þarf að geta sýnt fram á það, eftir atvikum með því að skjalfesta niðurstöður hagsmunamatsins.
24. Við mat á heimild til vinnslu verður einnig að líta til ákvæða annarra laga sem við eiga hverju sinni. Í því máli sem hér er til umfjöllunar er að líta til innheimtulaga nr. 95/2008, sem Inkasso hefur vísað til sem lagagrundvöll fyrir vöktun kennitölu kvartanda í vanskilaskrá Creditinfo.
25. Innheimtulög nr. 95/2008 gilda um frum- og milliinnheimtu gjaldfallinna peningakrafna fyrir aðra eða vegna eigin starfsemi, sbr. 1. gr. laganna. Samkvæmt 3. gr. laganna mega þeir aðeins stunda innheimtu fyrir aðra sem hafa fengið til þess leyfi samkvæmt 4. og 15. gr. laganna. Í 4. gr. laganna er fjallað um skilyrði leyfisveitingar og í 15. gr. um þá sem fara með leyfisveitingar og eftirlit með leyfishöfum samkvæmt lögunum. Samkvæmt 1. mgr. 6. gr. laganna skal innheimta vera í samræmi við góða innheimtuhætti og samkvæmt 2. mgr. sömu greinar telst það meðal annars brjóta í bága við góða innheimtuhætti að beita óhæfilegum þrýstingi eða valda óþarfa tjóni eða óþægindum. Í athugasemdum við 6. gr. í frumvarpi að lögunum segir að krafan um góða innheimtuhætti gildi bæði um samskipti innheimtuaðila við skuldara og kröfuhafa og að gæta verði góðra innheimtuhátta við sérhverja ráðstöfun eða athöfn sem sé þáttur í innheimtunni.
26. Hvað viðkemur vöktun kennitölu einstaklinga segir í 3. mgr. 6. gr. reglugerðar nr. 606/2023 um vinnslu upplýsinga um fjárhagsmálefni og lánstraust, sem sett er með stoð í 2. mgr. 15. gr. laga nr. 90/2018, að fjárhagsupplýsingastofu sé heimilt að veita áskrifanda þjónustu sem felst í vöktun kennitölu einstaklinga ef vöktunin er nauðsynleg fyrir áskrifandann, m.a. til að innheimta kröfu á hendur honum. Í c-lið 1. mgr. 4. gr. reglugerðarinnar, þar sem mælt er fyrir um samning fjárhagsupplýsingastofu við áskrifanda, segir að með slíkum samningi skuli m.a. tryggja að áskrifandi sem vaktar kennitölu einstaklings láti af vöktun hennar þegar ekki eru lengur fyrir hendi lögmætir hagsmunir af vöktuninni.
27. Auk vinnsluheimildar verður vinnsla persónuupplýsinga ávallt að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins. Ábyrgðaraðili vinnslu ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli umrædda meginreglu og skal hann geta sýnt fram á það, sbr. 2. mgr. laga- og reglugerðarákvæðisins.
28. Fjallað er um viðvörunar- og fræðsluskyldu fjárhagsupplýsingastofu í 11. gr. reglugerðar nr. 606/2023 og 1. mgr. 5.1.4 gr. starfsleyfis Creditinfo frá 1. mars 2023. Samkvæmt 3. mgr. reglugerðarákvæðisins skal fjárhagsupplýsingastofa samstundis og eigi síðar en innan mánaðar gera hinum skráða viðvart um hvaða áskrifandi hóf vöktun kennitölu hans og í hvaða tilgangi. Með sama hætti skal skráðum einstaklingi gert viðvart þegar látið er af vöktun kennitölu. Samkvæmt starfsleyfisákvæðinu skal fjárhagsupplýsingastofa upplýsa hinn skráða um það þegar áskrifandi hefur vöktun kennitölu hans, enda hafi hann ekki þegar fengið fræðslu þar að lútandi, sbr. 5. mgr. 3. gr. starfsleyfisins, svo og þegar látið er af vöktun. Skal tilkynning um framangreint send hinum skráða eigi síðar en mánuði frá upphafi vöktunar, í fyrsta sinn í bréfpósti á skráð lögheimili hans samkvæmt þjóðskrá. Síðari tilkynningar er heimilt að gera hinum skráða aðgengilegar á sérstöku og öruggu vefsvæði, svo sem í heimabanka, enda hafi hinn skráði veitt samþykki sitt fyrir því.
29. Í 12. gr. reglugerðar nr. 606/2023 er fjallað um upplýsinga- og aðgangsrétt hins skráða. Þar segir meðal annars að hinn skráði eigi rétt á að kalla eftir upplýsingum frá fjárhagsupplýsingastofu um vægi breytna við útreikning á líkindum í skýrslu um lánshæfi hans og þau rök sem liggja þar að baki, sbr. 2. mgr. ákvæðisins. Í starfsleyfi Creditinfo frá 1. mars 2023 er einnig vikið að upplýsinga- og aðgangsrétti hins skráða, en samkvæmt 1. mgr. 5.5. gr. þess er fjárhagsupplýsingastofu hvenær sem er skylt að verða við ósk hins skráða um svör um vinnslu persónuupplýsinga um sig. Er framangreind regla í samræmi við upplýsinga og aðgangsrétt hins skráða samkvæmt 1. og 2. mgr. 17. gr. laga nr. 90/2018 og 15. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. reglugerðarákvæðisins er meðal annars kveðið á um að skráður einstaklingur skuli eiga rétt á að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að upplýsingum um meðal annars eftirtalin atriði: tilgang vinnslunnar (a-liður); viðkomandi flokka persónuupplýsinga (b-liður); að fyrir liggi réttur til að fara fram á það við ábyrgðaraðila að láta leiðrétta persónuupplýsingar, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar eða til að andmæla vinnslu (e-liður) og, ef persónuupplýsinga er ekki aflað hjá hinum skráða, allt sem fyrir liggur um uppruna þeirra (g-liður).
30. Samkvæmt 14. gr. reglugerðar 606/2023 og 5.4. gr. starfsleyfis Creditinfo frá 1. mars 2023 skal hinn skráði eiga rétt á að andmæla vinnslu persónuupplýsinga um sig í samræmi við 1. mgr. 21. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 21. gr. laga nr. 90/2018, og ber fjárhagsupplýsingastofu að bregðast við í samræmi við sömu ákvæði. Samkvæmt 1. mgr. 21. gr. laganna er hinum skráða heimilt að andmæla vinnslu persónuupplýsinga um sig sem byggist á e- eða f-lið 1. mgr. 6. gr. reglugerðarinnar, þ.m.t. gerð persónusniðs.
31. Þá er fjallað um eftirlitsskyldu fjárhagsupplýsingastofu gagnvart áskrifendum í 2. mgr. 4. gr. reglugerðar nr. 606/2023 og 2. mgr. 6. gr. starfsleyfis Creditinfo frá 1. mars 2023. Samkvæmt ákvæðunum skal fjárhagsupplýsingastofa hafa eftirlit með því að áskrifandi fari að áskriftarsamningi og verði fjárhagsupplýsingastofu kunnugt um að áskrifandi hafi brotið gegn skilmálum samningsins ber henni að tilkynna Persónuvernd það án tafar.
    
    

    Niðurstaða

    Vöktun Inkasso á kennitölu kvartanda

32. Í framkvæmd sinni hefur Persónuvernd litið svo á að þeir aðilar sem afla upplýsinga úr skrám fjárhagsupplýsingastofa, svo sem með uppflettingu eða vöktun, teljist vera ábyrgðaraðilar þeirrar vinnslu persónuupplýsinga, sbr. t.d. úrskurði stofnunarinnar frá 10. mars 2021, í máli nr. 2020010537, og 4. apríl 2022, í máli nr. 2020010731. Eins og hér háttar til telst Inkasso vera ábyrgðaraðili þeirrar vinnslu sem fólst í vöktun kennitölu kvartanda í gagnagrunni Creditinfo, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
33. Inkasso byggir vöktun kennitölu kvartanda á lagaskyldu og vísar í því sambandi til 2. mgr. 6. gr. innheimtulaga nr. 95/2008. Fyrir liggur að Inkasso starfar á grundvelli innheimtulaga og ber þá meginskyldu samkvæmt lögunum að iðka góða innheimtuhætti. Að mati Persónuverndar verður þó ekki ráðið að skyldan til að iðka góða innheimtuhætti feli í sér lagaskyldu til að vakta kennitölu skuldara á vanskilaskrá Creditinfo við innheimtu kröfu. Líkt og Inkasso bendir á hefur félagið val um þær innheimtuaðgerðir sem það beitir hverju sinni. Tilvísað lagaákvæði veitir því ekki nægilega skýran lagagrundvöllur fyrir þeirri vinnslu persónuupplýsinga sem fólst í vöktun kennitölu kvartanda, líkt og áskilið er í 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. og 3. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. umfjöllun í efnisgrein 22.
34. Í 3. mgr. 6. gr. reglugerðar nr. 606/2023 er ekki tekið af skarið um á hvaða vinnsluheimild vöktun kennitölu skuli byggjast. Í c-lið 1. mgr. 4. gr. reglugerðarinnar er hins vegar vísað til þess að áskrifandi sem vaktar kennitölu skuli láta af vöktun hennar þegar ekki eru lengur fyrir hendi lögmætir hagsmunir af vöktuninni, sbr. umfjöllun í efnisgrein 26. Að mati Persónuverndar bendir ákvæðið til þess að vöktun kennitölu einstaklinga geti byggt á vinnsluheimild 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sem kveður á um að vinnsla sé nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Er það einnig í samræmi við úrskurðaframkvæmd Persónuverndar, sbr. t.d. fyrrgreindan úrskurð stofnunarinnar í máli nr. 2020010731. Áður en vinnsla persónuupplýsinga hefst á grundvelli þessarar heimildar þarf ábyrgðaraðili að ganga úr skugga um að skilyrði ákvæðisins séu uppfyllt, meðal annars með því að framkvæma það hagsmunamat sem vísað er til í ákvæðinu sbr. umfjöllun í efnisgrein 23.
35. Það er hlutverk ábyrgðaraðila að tryggja að vinnsla persónuupplýsinga á hans vegum sé lögmæt, sbr. 1. tölul. 1. mgr. og 2. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í því felst að vinnsla persónuupplýsinga þarf að byggja á viðeigandi vinnsluheimild og þarf ábyrgðaraðili að geta sýnt fram á að skilyrðum tiltekinnar vinnsluheimildar sé fullnægt. Það má til að mynda gera með því að skjalfesta niðurstöður hagsmunamats samkvæmt áðurnefndu ákvæði 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar. Af svörum Inkasso er ljóst að félagið framkvæmdi ekki slíkt hagsmunamat. Eins og hér háttar til er því ekki unnt að byggja á því að Inkasso hafi metið sérstaklega þá lögmætu hagsmuni sem félagið gætir, hvort vinnslan hafi verið nauðsynleg í þágu þeirra hagsmuna eða hvernig lögmætir hagsmunir þess af umræddri vinnslu hafi vegið þyngra en hagsmunir hins skráða.
36. Með hliðsjón af framangreindu telur Persónuvernd að vinnsla Inkasso á persónuupplýsingum kvartanda hafi ekki verið heimil samkvæmt 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þegar af þeirri ástæðu er niðurstaða Persónuverndar sú að vinnslan hafi ekki samrýmst lögunum og reglugerðinni.
37. Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, beinir Persónuvernd því til Inkasso að gæta eftirleiðis að því að vinnsla persónuupplýsinga í tengslum við vöktun kennitölu einstaklinga sé studd viðeigandi vinnsluheimild. Þegar svo háttar til að vinnsla persónuupplýsinga byggir á 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, ber félaginu að viðhafa það hagsmunamat sem áskilið er í ákvæðunum.
    
    

    Upplýsingaskylda Creditinfo og viðbrögð við athugasemdum kvartanda

38. Creditinfo telst vera ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fólst í því að veita Inkasso aðgang að upplýsingum um kvartanda með vöktun á kennitölu hans á vanskilaskrá og þeirri vinnslu sem fólst í breytingum á skýrslu um lánshæfi kvartanda, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
39. Kemur fyrst til skoðunar hvort Creditinfo hafi brugðist við andmælum kvartanda um vöktun Inkasso í samræmi við 14. gr. reglugerðar nr. 606/2023 og 5. mgr. 4. gr. starfsleyfis Creditinfo frá 1. mars 2023 og uppfyllt eftirlitsskyldu sína samkvæmt 2. mgr. 4. gr. sömu reglugerðar og 2. mgr. 6. gr. starfsleyfisins.
40. Persónuvernd hefur litið svo á að framangreind ákvæði reglugerðar nr. 606/2023 og starfsleyfis Creditinfo frá 1. mars 2023 feli einnig í sér skyldu til að kanna réttmæti athugasemda frá skráðum einstaklingum varðandi lögmæti vinnslu af hálfu áskrifanda. Vísast í þessu sambandi meðal annars til úrskurðar stofnunarinnar frá 4. apríl 2022, í máli nr. 2020010731. Bar Creditinfo því að kanna réttmæti athugasemda kvartanda að því er varðar lögmæti vöktunar Inkasso, sbr. framangreinda umfjöllun í efnisgrein 30 og 31. Í því sambandi verður ekki talið nægjanlegt að leiðbeina hinum skráða um að afla skýringa frá áskrifanda heldur ber fjárhagsupplýsingastofu að afla viðeigandi upplýsinga og meta hvort skilyrði vöktunar séu fyrir hendi, þ.e. í þessu tilviki hvort til staðar er réttmæt krafa í innheimtu hjá áskrifanda. Ekki hefur hins vegar verið gerð krafa um að Creditinfo kalli eftir eða endurskoði það hagsmunamat sem áskrifanda ber að framkvæma samkvæmt 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, enda getur félagið ekki borið ábyrgð á því mati. Þá hefur Persónuvernd talið að Creditinfo megi almennt treysta upplýsingum áskrifenda án þess að sannreyna þær frekar með gögnum, sbr. t.d. áðurnefndan úrskurð í máli nr. 2020010731.
41. Fyrir liggur að Creditinfo aflaði upplýsinga um þá kröfu sem var til innheimtu hjá Inkasso og lagði mat á réttmæti hennar, sbr. umfjöllun í efnisgreinum 5 og 16. Að því virtu telur Persónuvernd að félagið hafi brugðist við andmælum kvartanda í samræmi við 14. gr. reglugerðar nr. 606/2023 og 5. mgr. 4. gr. starfsleyfis Creditinfo frá 1. mars 2023 og uppfyllt eftirlitsskyldu sína samkvæmt 2. mgr. 4. gr. sömu reglugerðar og 2. mgr. 6. gr. starfsleyfisins.
42. Reynir næst á hvort Creditinfo hafi uppfyllt skyldur sínar samkvæmt 3. mgr. 11. gr. reglugerðar nr. 606/2023 og 1. mgr. 5.1.4 gr. starfsleyfis Creditinfo frá 1. mars 2023, um að gera hinum skráða viðvart um hvaða áskrifandi hóf vöktun kennitölu hans og í hvaða tilgangi, innan mánaðar frá því að vöktunin hófst, og með sama hætti þegar látið er af vöktun kennitölu.
43. Er hér um að ræða fræðslutilkynningu sem leiðir af grunnreglu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 um sanngjarna og gagnsæja vinnslu persónuupplýsinga. Þegar litið er til sérstaks eðlis þeirrar vinnslu persónuupplýsinga sem fram fer hjá Creditinfo og mögulegra áhrifa vinnslunnar fyrir hinn skráða er mikilvægt að félagið hagi vinnslu sinni þannig að hinum skráða sé veitt vitneskja um vinnslu persónuupplýsinga án þess að hann þurfi að leita sérstaklega eftir því sjálfur. Þó telur Persónuvernd einnig að líta þurfi til þess mikla fjölda vinnsluaðgerða sem Creditinfo þarf að upplýsa um, þ.e. um öll tilvik þar sem skráðum einstaklingi er flett upp, skýrslu aflað um lánshæfi hans eða kennitala hans sett í vöktun og tekin úr vöktun hjá áskrifanda. Má í því sambandi hafa hliðsjón af þeirri undantekningu frá fræðsluskyldunni sem mælt er fyrir um í b-lið 5. mgr. 14. gr. reglugerðar (ESB) 2016/679, þess efnis að fræðsluskyldan eigi ekki við kosti hún óhóflega fyrirhöfn. Að þessu virtu gerir Persónuvernd ekki athugasemd við það fyrirkomulag sem Creditinfo viðhefur varðandi tilkynningar samkvæmt 3. mgr. 11. gr. reglugerðar 606/2023 og 1. mgr. 5.1.4 gr. starfsleyfisins, sbr. umfjöllun í efnisgrein 17, enda sé hinum skráða tilkynnt um upphaf og lok vöktunar innan mánaðar frá því vöktunin hófst.
44. Eins og hér háttar til, þar sem upphaf og lok vöktunar kennitölu kvartanda var með stuttu millibili og innan sama mánaðar, og með hliðsjón af því að Creditinfo tilkynnti kvartanda um lok vöktunar innan mánaðar frá því hún hófst, ásamt því að kvartandi hafði þegar fengið tilteknar skýringar frá Creditinfo í kjölfar þess að hann gerði athugasemdir við vöktunina, sbr. umfjöllun í efnisgreinum 4-5 hér að framan, telur Persónuvernd að Creditinfo hafi uppfyllt skyldur sínar samkvæmt 3. mgr. 11. gr. reglugerðar nr. 606/2023 og 1. mgr. 5.1.4 gr. starfsleyfisins frá 1. mars 2023.
45. Loks reynir á hvort Creditinfo hafi veitt kvartanda fullnægjandi upplýsingar vegna breytinga á lánshæfi hans, í samræmi við 2. mgr. 12. gr. reglugerðar nr. 606/2023. Samkvæmt ákvæðinu bar Creditinfo að veita kvartanda upplýsingar um vægi einstakra breytna við útreikning á líkindum í skýrslu um lánshæfi hans og þau rök sem lágu þar að baki. Ágreiningslaust er að upplýsingagjöf Creditinfo til kvartanda hafi ekki verið nægilega skýr að þessu leyti, sbr. umfjöllun í efnisgrein 8 og 18. Upplýsingagjöf Creditinfo hvað þetta varðar samrýmdist því ekki 2. mgr. 12. gr. reglugerðar 606/2023. Persónuvernd telur þar af leiðandi að upplýsinga- og aðgangsréttur kvartanda, samkvæmt 15. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018, hafi ekki verið virtur umrætt sinn.
    
    

    Ákvörðun um beitingu valdheimilda

46. Persónuvernd getur lagt stjórnvaldssektir á þá sem brjóta, af ásetningi eða gáleysi, gegn einhverju þeirra ákvæða reglugerðar (ESB) 2016/679 sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 1. og 5. mgr. þeirrar lagagreinar. Samkvæmt 1. og 2. tölul. 3. mgr. 46. gr. eru þar á meðal ákvæði um grundvallarreglur vinnslu, meðal annars samkvæmt a-lið 1. mgr. 5. gr. reglugerðarinnar, og um réttindi skráðra einstaklinga, meðal annars samkvæmt 15. reglugerðarinnar.
47. Við ákvörðun um hvort framangreindum ákvæðum um sektarheimild skal beitt, sem og um fjárhæð sektar, ber að líta til 1. mgr. 47. gr. laga nr. 90/2018 þar sem kveðið er á um þau atriði sem ýmist geta verið metin hlutaðeigandi til málsbóta eða honum í óhag. Meðal þeirra atriða sem líta ber til er hvers eðlis, hversu alvarlegt og langvarandi brotið er, með tilliti til eðlis, umfangs eða tilgangs vinnslunnar og fjölda skráðra einstaklinga og hversu alvarlegu tjóni þeir urðu fyrir (1. tölul). Að virtum þeim sjónarmiðum sem tilgreind eru í tilvísuðu ákvæði og málsatvikum öllum, svo og að teknu tilliti til reglna um meðalhóf, sbr. 1. mgr. 83. gr. reglugerðar (ESB) 2016/679 og 12. gr. stjórnsýslulaga nr. 37/1993, þykja ekki næg efni til að leggja stjórnvaldssekt á Inkasso eða Creditinfo, eða veita félögunum áminningu, vegna brota þeirra gegn persónuverndarlöggjöfinni.

Ú r s k u r ð a r o r ð:

Vinnsla Inkasso-Momentum ehf. á persónuupplýsingum [A], sem fólst í vöktun kennitölu hans í gagnagrunni Creditinfo Lánstrausts hf., samrýmdist ekki 1. mgr. 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Creditinfo Lánstrausts hf. brást við andmælum kvartanda í samræmi við 14. gr. reglugerðar nr. 606/2023 og 5. mgr. 4. gr. starfsleyfis frá 1. mars 2023 og uppfyllti eftirlitsskyldu sína samkvæmt 2. mgr. 4. gr. reglugerðarinnar og 2. mgr. 6. gr. starfsleyfisins. Að auki uppfyllti Creditinfo Lánstraust hf. skyldur sínar samkvæmt 3. mgr. 11. gr. reglugerðar nr. 606/2023 og 1. mgr. 5.1.4 gr. starfsleyfisins.

Upplýsingagjöf Creditinfo Lánstrausts hf. hvað varðar breytingar á skýrslu um lánshæfi kvartanda var ekki í samræmi við 2. mgr. 12. gr. reglugerðar nr. 606/2023 og 15. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018.

Persónuvernd, 29. nóvember 2024

Edda Þuríður Hauksdóttir                                 Harpa Halldórsdóttir