Vinnsla persónuupplýsinga af hálfu Creditinfo Lánstrausts, Netgíró ehf og ÍL-sjóðs
Mál nr. 2020122992
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir vinnslu persónuupplýsinga í tengslum við gerð skýrslna um lánshæfni af hálfu Creditinfo Lánstrausts hf., yfir notkun Netgíró ehf. á slíkum skýrslum og niðurfellingu heimildar kvartanda hjá fyrirtækinu á grundvelli þeirra, sem og vegna miðlunar ÍL-sjóðs á upplýsingum um kvartanda í skuldastöðukerfi Creditinfo.
Niðurstaða Persónuverndar var sú að vinnsla Creditinfo á upplýsingum um skuldastöðu kvartanda hafi samrýmst ákvæðum um heimildir og grunnkröfur til vinnslu samkvæmt persónuverndarlögum, vinnsla Netgíró ehf. á upplýsingum um lánshæfnismat hafi jafnframt samrýmst lögunum og að miðlun ÍL-sjóðs á upplýsingum kvartanda í skuldastöðukerfi Creditinfo hafi einnig samrýmst lögunum.
Úrskurður
um kvörtun yfir vinnslu persónuupplýsinga af hálfu Creditinfo Lánstrausts hf., Netgíró ehf. og ÍL-sjóðs í máli nr. 2020122992.
I.
Málsmeðferð
1.
Tildrög máls
Hinn 2. desember 2020 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga um sig í tengslum við gerð skýrslna um lánshæfi sitt af hálfu Creditinfo Lánstrausts hf. (Creditinfo), yfir notkun Netgíró ehf. á slíkum skýrslum og niðurfellingu heimildar sinnar hjá fyrirtækinu á grundvelli þeirra, svo og vegna miðlunar ÍL-sjóðs á upplýsingum um sig í skuldastöðukerfi Creditinfo.
Persónuvernd bauð Creditinfo, Netgíró ehf. og ÍL-sjóði að tjá sig um kvörtunina með bréfum, dags. 10. ágúst 2021. Bárust svör Creditinfo s.m., svör ÍL-sjóðs 1. september 2021 og svör Netgíró ehf. 8. október s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
Ágreiningur er um heimildir Creditinfo til notkunar á viðbótarupplýsingum um kvartanda við útreikning á lánshæfiseinkunn hans og hvort Creditinfo hafi notast við rangar upplýsingar úr skuldastöðukerfi fyrirtækisins við útreikninginn. Þá er ágreiningur um það hvort ÍL-sjóður hafi miðlað röngum upplýsingum í skuldastöðukerfi Creditinfo. Að lokum lýtur ágreiningur að því hvort Netgíró ehf. hafi verið heimilt að notast við upplýsingar um lánshæfiseinkunn kvartanda við ákvörðun um niðurfellingu heimildar hjá fyrirtækinu án fyrirfram tilkynningar til hans.
2.Sjónarmið kvartanda
Kvartandi vísar til þess að þann 1. desember 2020 hafi hann ætlað að nota heimild sína hjá Netgíró ehf. en þá hafi hann orðið þess var að búið væri að fella niður heimildina vegna lánshæfiseinkunnar hans hjá Creditinfo.
Kvartandi lýsir því að til að fá aðgang að upplýsingum um sig hjá Creditinfo hafi hann orðið að samþykkja notkun fyrirtækisins á tilteknum viðbótarupplýsingum úr skuldastöðukerfi þess við útreikning á lánshæfismati sínu. Creditinfo hafi jafnframt notað rangar upplýsingar úr skuldastöðukerfinu við útreikninginn þar sem ÍL-sjóður hafi miðlað upplýsingum í kerfið um skuld kvartanda við sjóðinn þrátt fyrir að hann hafi þegar greitt viðkomandi skuld.
Telur kvartandi jafnframt þá háttsemi Netgíró ehf. hafa verið óheimila að notast við upplýsingar um lánshæfismat Creditinfo, sem hafi verið ranglega reiknað, og að fyrirtækinu beri skylda til þess að tilkynna lántökum um það fyrirfram þegar til stendur að fella niður heimild lántaka vegna breytinga á lánshæfiseinkunn hjá Creditinfo.
3.
Sjónarmið Creditinfo
Því er lýst af hálfu Creditinfo að í kjölfar fyrirspurnar frá kvartanda, dags. 2. desember 2020, hafi hann verið upplýstur um að hann hefði veitt samþykki sitt fyrir notkun viðbótarupplýsinga við gerð lánshæfismats og verið bent á að hann gæti afturkallað samþykki sitt. Creditinfo hafi upplýst kvartanda um að þeir þættir sem reiknuðust til lækkunar lytu að gögnum sem kvartandi hefði sjálfur samþykkt að notuð yrðu við gerð matsins, þ. á m. upplýsingum úr skuldastöðukerfi sem sóttar voru 2. desember 2020 og sýndu meðal annars lán í vanskilum við ÍL-sjóð. Hafi kvartandi jafnframt verið upplýstur um að Creditinfo teldist vinnsluaðili að skuldastöðukerfinu þar sem sýnd væri raunstaða allra skuldbindinga viðkomandi samkvæmt upplýsingakerfum lánveitanda. ÍL-sjóður bæri ábyrgð á birtingu upplýsinga í kerfinu og ætti kvartandi að leita til hans vegna málsins. Bendir Creditinfo jafnframt á að þegar vanskil kvartanda við ÍL-sjóð voru gerð upp í byrjun desember 2020 reiknaðist lánshæfismat hans að nýju.
4.
Sjónarmið ÍL-sjóðs
Því er lýst af hálfu ÍL-sjóðs að innheimtukrafa hafi stofnast á kvartanda, dags. 1. nóvember 2020, vegna láns kvartanda hjá sjóðnum með gjalddaga 1. nóvember s.á. og eindaga 4. s.m. Samkvæmt upplýsingum úr greiðslukerfi stofnunarinnar hafi krafan verið greidd 2. desember 2020 klukkan 01:56. Upplýsingar um greiddar kröfur á lánum hjá ÍL-sjóði uppfærist daglega klukkan 22:30 eftir að dagslokauppgjör sé framkvæmt. Greiðslur sem séu framkvæmdar eftir kl 21:00 skili sér hins vegar ekki í uppfærsluna klukkan 22:30 þar sem bankadegi hjá Reiknistofu bankanna ljúki klukkan 21:00. Hafi krafa verið greidd 2. desember 2020 hafi upplýsingar um hinn skráða uppfærst samdægurs, að kvöldi til, að því gefnu að hún hafi verið greidd fyrir klukkan 21:00 þann dag. Upplýsingar sem sé miðlað í skuldastöðukerfi Creditinfo taki mið af dagslokauppgjöri. Skuldastaða kvartanda hafi verið sótt 2. desember 2020 í skuldastöðukerfið en miðlun upplýsinga á þeim tíma hafi tekið mið af dagslokauppgjöri 1. s.m. Uppfærslur á greiddum kröfum séu ekki í rauntíma og miðlun upplýsinga í skuldastöðukerfið taki þannig mið af dagslokauppgjöri dagsins á undan.
ÍL-sjóður hafnar því að hafa miðlað röngum upplýsingum í kerfið. Upplýsingarnar hafi verið réttar sé tekið mið af þeim tæknilausnum og kerfum sem notast sé við. Ekki megi gera óraunhæfar kröfur til uppfærslu upplýsinga milli kerfa. Með daglegri uppfærslu upplýsinga sé stuðlað að því að réttum upplýsingum sé miðlað á hverjum tíma.
5.
Sjónarmið Netgíró ehf.
Því er lýst af hálfu Netgíró ehf. að vinnslan hafi farið fram á grundvelli 1., 2. og 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018. Fyrirtækið sæki lánshæfismat viðskiptavina sinna til að uppfylla lagaskyldu samkvæmt öðrum lögum, svo sem lögum um neytendalán nr. 33/2013.
Tekið er fram að fyrirtækið óski aðeins eftir þeim upplýsingum sem séu nauðsynlegar og lög og reglur kveði á um að afla skuli. Strax við upphaf viðskipta fallist viðskiptavinur á skilmála fyrirtækisins og samþykki sérstaklega öflun lánshæfismats þar sem hann heimili öflun upplýsinga úr gagnagrunni Creditinfo og að hann sé þar skráður í lánshæfis- og vanskilavöktun.
Telur Netgíró ehf. að fyrirtækið beri ekki ábyrgð á miðlun annarra fyrirtækja í skuldastöðukerfi Creditinfo. Netgíró ehf. tekur fram að af gögnum, sem fylgdu með bréfi fyrirtækisins 8. október 2021, megi sjá að fyrirtækið hafi brugðist við breyttu lánshæfismati kvartanda um leið og upplýsingar þar að lútandi bárust. Vísar fyrirtækið jafnframt til skjáskots með yfirliti yfir samþykki kvartanda á skilmálum fyrirtækisins, meðal annars um heimild þess til að afla upplýsinga um lánshæfi kvartanda.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Mál þetta lýtur að vinnslu fjárhagsupplýsinga um kvartanda. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar[1] Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 og reglugerð (ESB) 2016/679 er nefndur ábyrgðaraðili.
Eins og hér háttar til telst Creditinfo vera ábyrgðaraðili að þeirri vinnslu sem fólst í notkun upplýsinga, sem skrásettar eru hjá fyrirtækinu, til gerðar skýrslna á lánshæfi kvartanda.
ÍL-sjóðurinn telst hins vegar vera ábyrgðaraðili að þeirri vinnslu sem fólst í miðlun upplýsinga um kvartanda í skuldastöðukerfi Creditinfo. Persónuvernd telur Creditinfo hins vegar vera vinnsluaðila upplýsinga í skuldastöðukerfinu, sbr. 7. tölul. 3. gr. laga nr. 90/2018.
Að lokum telst Netgíró ehf. vera ábyrgðaraðili að þeirri vinnslu sem fyrirtækið viðhafði sjálft við mat á lánshæfi kvartanda þegar hann óskaði fjárhagslegrar fyrirgreiðslu hjá því.
2.
Starfsleyfi Creditinfo
Varðandi þátt Creditinfo er til þess að líta að Persónuvernd hefur veitt fyrirtækinu starfsleyfi vegna vinnslu upplýsinga um fjárhagsmálefni og lánstraust, sbr. 15. gr. laga nr. 90/2018. Í því ákvæði er nánar tiltekið mælt fyrir um leyfisskyldu vegna starfrækslu fjárhagsupplýsingastofu og vinnslu upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráningu og gerð lánshæfismats, í því skyni að miðla þeim til annarra. Þegar atvik í þessu máli áttu sér stað var í gildi starfsleyfi Creditinfo vegna vinnslu upplýsinga um fjárhagsmálefni og lánstraust, dags. 29. desember 2017 (mál nr. 2017/1541).
3.
Niðurstaða
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Þær heimildir sem hér koma einkum til álita eru að hinn skráði hafi gefið samþykki sitt fyrir vinnslu persónuupplýsinga um sig í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. 9. gr. laganna, eða að vinnslan hafi verið nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir og grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra, sbr. 6. tölul. sama ákvæðis.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðarinnar. Í því felst meðal annars að gæta verður þess að unnið sé með persónuupplýsingar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. ákvæðis laganna); að þær séu nægilegar viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær séu áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingum, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli eytt eða þær leiðréttar án tafar (4. tölul.) og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Fyrir liggur að áður en sótt var eftir upplýsingum um lánshæfi kvartanda hjá Creditinfo hafði kvartandi samþykkt umboð Netgíró ehf. til að kalla eftir slíkum upplýsingum í tengslum við lánafyrirgreiðslu. Þegar lánshæfismat kvartanda var síðan reiknað hjá Creditinfo var notast við upplýsingar um skuldastöðu hans en ljóst er af gögnum máls að kvartandi samþykkti notkun Creditinfo á þess háttar viðbótarupplýsingum við gerð skýrslna um lánshæfismat hans. Samkvæmt tölvupóstsamskiptum kvartanda við Creditinfo er jafnframt ljóst að hann var upplýstur um hvað fælist í slíku samþykki og um heimildir hans til að afturkalla það. Samkvæmt því verður ekki séð að hann hafi orðið að samþykkja notkun Creditinfo á slíkum upplýsingum eins og í kvörtun greinir, en einnig vísast hér til 38. kafla í skjalinu „Greinargerð með stöðluðum skilmálum í starfsleyfum til fjárhagsupplýsingastofa“ frá 3. maí 2021 sem finna má á heimasíðu Persónuverndar.
Persónuvernd hefur áður úrskurðað í máli þar sem reyndi á heimildir Creditinfo til gerðar skýrslna um lánshæfismat með notkun svokallaðra viðbótarupplýsinga á grundvelli samþykkis skráðra einstaklinga, sbr. úrskurð stofnunarinnar, dags. 28. janúar 2021, í máli nr. 2020010634. Í málinu komst Persónuvernd að þeirri niðurstöðu að samþykki kvartanda á viðbótarskilmálum Creditinfo hefði uppfyllt skilyrði samkvæmt 10. gr. laga nr. 90/2018 um samþykki og þar með hefði Creditinfo haft heimild samkvæmt 1. tölul. 9. gr. laganna til gerðar skýrslna um lánshæfismat kvartanda. Taldi Persónuvernd jafnframt að vinnslan hefði verið í samræmi við meginreglur 8. gr. laganna. Vísast til kafla 4. og 3.1. í úrskurðinum til nánari rökstuðnings þar um.
Telur Persónuvernd ofangreind sjónarmið í máli nr. 2020010634 eiga við í því máli sem hér er til úrlausnar. Tölvupóstsamskipti Creditinfo við kvartanda og fræðsla fyrirtækisins að öðru leyti í ofangreindum úrskurði eru að miklu leyti sambærileg þessu máli. Telur Persónuvernd Creditinfo því hafa haft heimild samkvæmt 1. tölul. 9. gr. laga nr. 90/2018 til að notast við viðbótarupplýsingar um kvartanda við gerð lánshæfismats um hann. Ekki verður séð að vinnslan hafi að öðru leyti brotið í bága við 8. gr. laga nr. 90/2018. Eins og áður kom fram er Creditinfo vinnsluaðili að skuldastöðukerfinu og séu upplýsingar þar rangar er það á ábyrgð þess sem miðlar upplýsingum í kerfið, þ.e. ÍL-sjóðs í þessu tilfelli.
Varðandi miðlun ÍL-sjóðs á upplýsingum um kvartanda í skuldastöðukerfi Creditinfo vísast til 6. tölul. 9. gr. laga nr. 90/2018 sem Persónuvernd hefur talið renna stoðum undir þess háttar vinnslu, en sem endranær verður miðlunin að samrýmast áðurnefndum grunnkröfum 8. gr. laganna, þ. á m. 4. tölul. 1. mgr. um áreiðanleika persónuupplýsinga og uppfærslu þeirra eftir þörfum. Það ákvæði hefur í för með sér að fjármálastofnun, sem miðlar upplýsingum inn í umrætt kerfi, ber að gæta þess að um sé að ræða gildar kröfur.
Ljóst er að þegar kvartandi fékk fyrst upplýsingar um niðurfellingu heimildar hjá Netgíró ehf. vegna lánshæfismats hans hjá Creditinfo, þ.e. þann 1. desember 2020, var umrædd skuld hans við ÍL-sjóði ógreidd. Er því óumdeilt að við útreikning á lánshæfismatinu þá hafi gildum upplýsingum um kröfu ÍL-sjóðs verið miðlað í skuldastöðukerfið.
Könnun kvartanda leiddi í ljós að daginn eftir, þ.e. 2. s.m., hafði engin breyting orðið á lánshæfismati hans og að upplýsingar um umrædda kröfu voru enn í skuldastöðukerfi Creditinfo. Samkvæmt gögnum máls er þó ljóst að kvartandi greiddi kröfuna fyrst klukkan 01:56 þann dag. Eins og fram kom í svarbréfi ÍL-sjóðs, dags. 1. september 2021, tekur miðlun upplýsinga í skuldastöðukerfi Creditinfo mið af dagslokauppgjöri, þ.e. stöðu krafna klukkan 21:00 þess dags. Séu kröfur greiddar eftir þann tíma eru þær því ekki í dagslokauppgjöri viðkomandi dags, heldur dagsins þar á eftir. Telur Persónuvernd framangreint verklag ÍL-sjóðs ekki í andstöðu við ákvæði 8. gr. laga nr. 90/2018, sbr. einkum kröfu 4. tölul. 1. mgr. þeirrar greinar um uppfærslu upplýsinga eftir þörfum, en stofnunin telur verða að fallast á sjónarmið ÍL-sjóðs um að ekki megi gera óraunhæfar kröfur á uppfærslu upplýsinga milli kerfa.
Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla ÍL-sjóðs á persónuupplýsingum um kvartanda hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Varðandi þátt Netgíró ehf. er til þess að líta að samkvæmt 3. tölul. 9. gr. laga nr. 90/2018 má vinna með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu. Við mat á heimild til vinnslu verður að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Í 1. mgr. 10. gr. laga nr. 33/2013 um neytendalán kemur fram að lánveitanda er skylt að meta lánshæfi neytanda áður en samningur um neytendalán er gerður. Í k-lið 5. gr. sömu laga segir meðal annars að lánshæfismat skuli byggt á viðskiptasögu aðila á milli og/eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust.
Með vísan til framangreinds telur Persónuvernd að öflun Netgíró ehf. á upplýsingum um lánshæfi kvartanda hafa farið fram á grundvelli framangreindra ákvæða laga nr. 33/2013, og geti því stuðst við heimild í 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018. Þá verður að mati Persónuverndar ekki séð að ákvæði 8. gr. laga nr. 90/2018 eða önnur ákvæði laganna geri þær kröfur að Netgíró ehf. tilkynni lántökum fyrirfram um niðurfellingu heimildar, hafi lánshæfismat breyst. Ljóst er að fyrirtækið brást strax við breyttu lánshæfi með hækkun á heimild kvartanda þegar upplýsingar um það lágu fyrir.
Ú r s k u r ð a r o r ð:
Vinnsla Creditinfo Lánstrausts hf. á upplýsingum um skuldastöðu kvartanda við gerð lánshæfismats um kvartanda samrýmdist ákvæðum um heimildir og grunnkröfur til vinnslu í lögum nr. 90/2018 og reglugerð (ESB) 2016/679.
Miðlun ÍL-sjóðs á upplýsingum um kvartanda í skuldastöðukerfi Creditinfo Lánstrausts hf. samrýmdist sömu ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679.
Vinnsla Netgíró ehf. á upplýsingum um lánshæfismat kvartanda samrýmdist sömu ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679.
Persónuvernd, 9. nóvember 2022
Þórður Sveinsson Inga Amal Hasan
[1] Persónuvernd annast eftirlit með framkvæmd laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, reglugerðar (ESB) 2016/679 (almennu persónuverndarreglugerðarinnar) og laga nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi.