Vinnsla persónuupplýsinga í tengslum við gerð skýrslu um lánshæfismat hjá Creditinfo Lánstrausti hf.
Mál nr. 2020010738
Persónuvernd hefur úrskurðað um að vinnsla persónuupplýsinga hjá Creditinfo Lánstrausti hf., í tengslum við gerð skýrslu um lánshæfismat, hafi verið lögmæt. Í málinu reyndi meðal annars á það hvort félaginu hefði verið heimilt að lækka lánshæfiseinkunn kvartanda á tilteknu tímabili. Taldi Persónuvernd vinnsluna hafa verið heimila á grundvelli 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og að ekki hefði komið fram að brotið hefði verið gegn grunnkröfu 4. tölul. 1. mgr. 7. gr. laganna. Þá taldi stofnunin að vinnslan hefði samrýmst lögum nr. 77/2000 að öðru leyti.
Úrskurður
Hinn 12. mars 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010738
(áður 2018020224):
I.
Málsmeðferð
1.
Kvörtun og málsatvik
Hinn 24. janúar 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir vinnslu persónuupplýsinga hans af hálfu Creditinfo Lánstrausts hf. í tengslum við gerð lánshæfismats. Þar segir meðal annars að kvartað sé yfir því að Creditinfo Lánstraust hf. hafi lækkað lánshæfismat hans á tímabilinu 27. febrúar 2017 til 22. janúar 2018 en á umræddu tímabili hafi kvartandi ekki verið í vanskilum.
Jafnframt segir í kvörtuninni að kvartandi hafi staðið við allar sínar skuldbindingar í tæp fjögur ár, með þeirri undantekningu að gert hafi verið hjá honum árangurslaust fjárnám fyrir skattaskuld. Við gerð fjárnámsins hafi hann þó samið um skuldina og greitt hana í samræmi við það samkomulag.
Líkt og fram kemur í skýringum Creditinfo Lánstrausts hf., sem að neðan eru raktar, hafði fjárnámið verið skráð á vanskilaskrá félagsins en áfram haft áhrif á lánshæfismat kvartanda eftir afskráningu í kjölfar greiðslu á skuldinni.
2.
Bréfaskipti
Með bréfi, dags. 15. febrúar 2018, var Creditinfo Lánstrausti hf. boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 1. mars 2018. Þar segir að samkvæmt 10. gr. laga nr. 33/2013 um neytendalán sé lánveitanda skylt að meta lánshæfi neytenda áður en samningur um neytendalán er gerður. Í lögunum sé fjallað um framkvæmd lánshæfismats. Hugtakið lánshæfismat sé skilgreint í k-lið 5. gr. laganna sem mat lánveitanda á lánshæfi lántaka byggt á upplýsingum sem séu til þess fallnar að veita áreiðanlegar vísbendingar um líkindi þess hvort lántaki geti efnt lánssamning. Þar segi jafnframt að lánshæfismat skuli byggt á viðskiptasögu aðila á milli og/eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust. Í reglugerð nr. 920/2013 um lánshæfis- og greiðslumat sé nánar fjallað um gerð lánshæfismats og segi í 5. gr. reglugerðarinnar að lánshæfismat skuli byggt á viðskiptasögu milli lánveitanda og lántaka og/eða upplýsingum úr gagnagrunni um fjárhagsmálefni og lánstraust. Þá segi enn fremur í reglugerðarákvæðinu að í þeim tilfellum þar sem engri viðskiptasögu sé til að dreifa á milli lánveitanda og lántaka sé lánveitanda heimilt, að fengnu samþykki lántaka, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, að byggja mat sitt eingöngu á upplýsingum úr gagnagrunni þriðja aðila um fjárhagsmálefni og lánstraust.
Margir lánveitendur hafi ekki eigin upplýsingar til að byggja lánshæfismat á þar sem ekki sé til að dreifa viðskiptasögu við væntanlegan lántaka. Lánveitendur nýti sér því í auknum mæli lánshæfismat Creditinfo Lánstrausts hf. sem sé áreiðanlegt tölfræðilíkan sem meti líkur á greiðslufalli og skráningu á vanskilaskrá næstu tólf mánuði. Áhættuflokkar séu birtir á kvarðanum A-E, þar sem í A séu hlutfallslega minnstar líkur á greiðslufalli en í E séu mestar líkur á greiðslufalli. Allir einstaklingar 18 ára og eldri með skráð lögheimili á Íslandi og enga virka skráningu á vanskilaskrá fái reiknað og birt lánshæfismat. Forsendur lánshæfismatsins séu ekki birtar þeim sem það sæki heldur einungis áhættuflokkur væntanlegs lántaka. Viðskiptavinir Creditinfo Lánstrausts hf. hafi einungis heimild til að nota lánshæfismat félagsins hafi skráður einstaklingur óskað eftir og veitt samþykki sitt fyrir slíkri vinnslu.
Lánshæfismat Creditinfo Lánstrausts hf. sé byggt á gögnum sem félagið hafi aðgang að og sé heimilt að nota við gerð lánshæfismats á hverjum tíma. Í starfsleyfi þess, dags. 29. desember 2017 (mál nr. 2017/1541 hjá Persónuvernd), sé kveðið á um að nýta megi upplýsingar úr vanskilaskrá í þágu gerðar lánshæfismats að beiðni hins skráða, enda sé ekki miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum en að hámarki þar til fjögur ár séu liðin frá skráningu upplýsinganna, sbr. 2. mgr. greinar 2.7.
Af þeim gögnum sem Creditinfo Lánstraust hf. hafi aðgang að og sé heimilt að nota við gerð lánshæfismats séu upplýsingar um söguleg vanskil vafalaust meðal mikilvægustu áhrifaþátta í líkaninu en vægi þeirra fari minnkandi eftir því sem upplýsingarnar verði eldri. Í greinargerð með frumvarpi sem varð að lögum nr. 33/2013 komi fram að eitt af því sem byggja megi lánshæfismat á sé skilvísi og greiðslusaga.
Creditinfo Lánstraust hf. framkvæmi reglulega uppfærslur á matinu í heild til að tryggja áreiðanleika þess og í uppfærslum geti vægi einstakra þátta sem liggja matinu til grundvallar minnkað eða aukist. Í kjölfar úrskurðar Persónuverndar í máli nr. 2016/1138, dags. 28. september 2017, hafi verið gerð uppfærsla á lánshæfismatinu, þar sem Persónuvernd hafi komist að þeirri niðurstöðu að notkun Creditinfo Lánstrausts hf. á uppflettingum við gerð skýrslna um lánshæfi samrýmdist ekki ákvæði 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Fyrir þann tíma hafi uppflettingar í skrám Creditinfo Lánstrausts hf. verið meðal áhrifaþátta í lánshæfismati einstaklinga, en um hafi verið að ræða upplýsingar sem veitt hafi að mati félagsins áreiðanlegar vísbendingar um líkindi þess hvort einstaklingur færi í vanskil á næstu 12 mánuðum. Upplýsingar um uppflettingar vegna innheimtu hafi áður getað haft neikvæð áhrif á lánshæfismat en einnig jákvæð. Þannig hafi uppflettingar af hálfu innheimtuaðila veitt sterkar vísbendingar um vanskil, en jafnframt hefðu upplýsingar um að einstaklingi hefði ekki verið flett upp af innheimtuaðila eða vegna innheimtu bent til þess að líkur stæðu til þess að hann stæði í skilum með skuldbindingar sínar.
Ástæða lækkunar á lánshæfismati kvartanda hafi tengst því að í kjölfar úrskurðar Persónuverndar í máli nr. 2016/1138 hafi vægi fyrri skráninga á vanskilaskrá verið aukið í matinu, þ.e. að ekki hafi lengur verið unnt að greina frá þá sem staðið hefðu í skilum frá því að þeir voru skráðir á vanskilaskrá. Kvartandi vísi til þess að hann hafi staðið í skilum með skuldbindingar sínar en matið hafi engu að síður lækkað á nefndu tímabili. Creditinfo Lánstraust hf. hafi ekki heimild til að nýta upplýsingar um greiðslusögu við gerð lánshæfismats og hafi ekki aðgang að slíkum gögnum.
Með bréfum, dags. 3. maí 2018, 1. ágúst 2018 og 3. október 2019, var kvartanda veitt færi á athugasemdum við framangreindar skýringar Creditinfo Lánstrausts hf. Í athugasemdum kvartanda, dags. 18. október 2019, segir meðal annars að kvartandi hafni því að mat Creditinfo Lánstrausts hf. sé áreiðanlegt, meðal annars af þeirri ástæðu að félagið hafi ekki upplýsingar um greiðslusögu einstaklinga. Þá segir í bréfinu að kvartandi telji stakt frávik frá skilvísum greiðslum hans hafa haft of mikið vægi við mat á lánshæfi hans hjá félaginu og að hann telji félagið verða að líta heildstætt til greiðslusögu hans við slíkt mat. Í bréfinu er jafnframt almenn gagnrýni kvartanda á starfshætti Creditinfo Lánstrausts hf.
II.
Forsendur og niðurstaða
1.
Lagaskil
Mál þetta varðar kvörtun sem lýtur að atvikum sem áttu sér stað fyrir gildistöku núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga hinn 15. júlí 2018. Umfjöllun og efni þessa úrskurðar takmarkast því við ákvæði eldri laga, nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en ekki er um efnislegar breytingar að ræða í lögum nr. 90/2018 á þeim reglum laganna sem hér reynir á.
2.
Gildissvið laga nr. 77/2000 og afmörkun máls
Lög nr. 77/2000 giltu um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem voru eða áttu að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar voru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint mátti rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla var skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið var með persónuupplýsingar, hvort heldur vinnslan var handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna.
Fyrir liggur að við gerð skýrslna um lánshæfi kvartanda var notast við upplýsingar um færslu á skrá Creditinfo Lánstrausts hf. um fjárhagsmálefni og lánstraust einstaklinga, þ.e. svonefnda vanskilaskrá. Af framangreindu er ljóst að þar ræðir um vinnslu persónuupplýsinga um kvartanda sem fellur undir valdsvið Persónuverndar.
Sá sem bar ábyrgð á að vinnsla persónuupplýsinga samrýmdist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna var þar átt við þann sem ákvað tilgang vinnslu persónuupplýsinga, þann búnað sem notaður var, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Creditinfo Lánstraust hf. vera ábyrgðaraðili að þeirri vinnslu sem kvartað er yfir, þ.e. vinnslu persónuupplýsinga við gerð lánshæfismats kvartanda.
3.
Um leyfisskyldu
Söfnun og skráning upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, þarf að styðjast við starfsleyfi Persónuverndar, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust sem sett var með stoð í 45. gr. laga nr. 77/2000. Starfsemi Creditinfo Lánstrausts hf. fellur að miklu leyti undir framangreind ákvæði og hefur Persónuvernd veitt fyrirtækinu starfsleyfi í samræmi við þau, sbr. nú leyfi, dags. 29. desember 2017 (mál nr. 2017/1541).
Varðandi þá vinnslu, sem um ræðir í máli þessu, verður hins vegar að líta til 1. mgr. 1. gr. áðurnefndrar reglugerðar, en þar segir að hún taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi. Hér ræðir um slíka starfsemi og fellur hún samkvæmt þessu ekki undir umrædd leyfi. Hins vegar skal tekið fram að upplýsingar, sem skráðar hafa verið á grundvelli starfsleyfanna má ekki nýta í þágu starfsemi, sem fellur utan gildissviðs þeirra, nema það fái samrýmst gildandi lögum og að því gefnu að einstök leyfisákvæði standi því ekki í vegi.
4.
Lögmæti vinnslu
Í máli þessu reynir á hvort við gerð skýrslna um lánshæfi kvartanda hafi Creditinfo Lánstraust hf. mátt notast við upplýsingar um færslu á vanskilaskrá fyrirtækisins sem eytt hafði verið af þeirri skrá á grundvelli leyfis til starfrækslu skrárinnar af þeirri ástæðu að skuldinni hafði verið komið í skil. Til að svo væri þurfti að vera heimild til vinnslunnar, en einkum gat þar komið til greina 7. tölul. 1. mgr.7. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, þess efnis að vinnsla persónuupplýsinga væri heimil á grundvelli lögmætra hagsmuna sem vægju þyngra en grundvallarréttindi og frelsi hins skráða. Að öðru leyti skal tekið fram að til umrædds álitaefnis hefur þegar verið tekin afstaða í framkvæmd Persónuverndar í máli þar sem málsatvik voru sambærileg og í því máli sem hér er til úrlausnar. Vísast um það til úrskurðar, dags. 28. september 2017, í máli nr. 2016/1138 og úrskurðar, dags. 31. maí 2018, í máli nr. 2017/537. Í hinum fyrrnefnda úrskurði var meðal annars vísað til ákvæða um eyðingu skráðra upplýsinga að heimilum varðveislutíma liðnum í viðeigandi starfsleyfum sem í gildi voru þegar sú vinnsla átti sér stað sem um ræddi í málinu. Eru þau ákvæði sambærileg við grein 2.7 í núgildandi leyfi, dags. 29. desember s.á. (mál nr. 2017/1541).
Einnig var í umræddum úrskurði Persónuverndar vísað til þess að samkvæmt 3. mgr. 5. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sbr. 45. gr. laga nr. 77/2000, er svigrúm til þess að upplýsingar, sem ekki má lengur miðla til áskrifenda, megi engu að síður varðveita lengur á grundvelli sérstakrar heimildar. Rakið var í því sambandi að slík heimild hefði verið veitt Creditinfo Lánstrausti hf., þ.e. til þriggja ára viðbótarvarðveislu í því skyni meðal annars að leysa úr ágreiningi sem upp kynni að rísa um réttmæti skráningar. Að auki voru rakin ákvæði í lögum nr. 33/2013 um neytendalán, þ.e. i-liður (nú k-liður) 5. gr. og 10. gr. sem áskilja að lánshæfi neytanda sé metið áður en neytendalán er veitt og kemur meðal annars fram að notast má við upplýsingar úr gagnagrunnum fjárhagsupplýsingastofa í því skyni. Voru í því sambandi einnig rakin ákvæði úr tilskipun 2008/48/EB um lánasamninga fyrir neytendur þar sem lögð er á það áhersla að lánastarfsemi skuli vera ábyrg, að lán samkvæmt tilskipuninni skuli ekki veita án þess að áður hafi verið aflað mats á lánshæfi og að ákvarða skuli nauðsynleg úrræði til að beita þá lánveitendur viðurlögum sem það geri.
Með vísan til þessa segir í umræddum úrskurði:
„Af framangreindu er ljóst að rík áhersla er á það lögð að gert sé áreiðanlegt lánshæfismat í aðdraganda samnings um neytendalán. Einnig liggur fyrir, eins og áður greinir, að skýrslum Creditinfo Lánstrausts hf. er ætlað að nýtast við gerð slíks mats. Þá verður ekki litið svo á að það feli í sér óheimila miðlun upplýsinga um vanskilakröfur, sem komið hefur verið í skil, að þær hafi áhrif á niðurstöðu skýrslna um lánshæfi, enda liggur fyrir að upplýsingarnar sjálfar berast ekki viðtakendum matsins. Þegar litið er til þessa telur Persónuvernd vinnslu Creditinfo Lánstrausts hf. á þeim upplýsingum um afskráðar færslur á umræddri skrá, sem um ræðir í máli þessu og fram fór á gildistíma fyrrnefnds starfsleyfis, dags. 28. desember 2015, hafa átt stoð í áðurgreindu ákvæði 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en auk þess telur stofnunin ekki hafa komið fram að farið hafi verið gegn kröfum annarra ákvæða laganna, þ. á m. 1. mgr. 7. gr. sömu laga um meðal annars sanngirni, meðalhóf, áreiðanleika og varðveislutíma við vinnslu persónuupplýsinga. Telst vinnslan því hafa samrýmst lögunum.
Í öðru lagi reynir hér á hvort umrædd vinnsla teljist hafa verið heimil eftir að núgildandi starfsleyfi, dags. 28. febrúar 2017 (mál nr. 2016/1626), tók gildi. Við veitingu þess var litið til þeirra sjónarmiða sem að framan eru rakin, sbr. grein 2.7 í leyfinu þar sem fjallað er um eyðingu upplýsinga. Segir þar meðal annars að eyða skuli upplýsingum um einstakar skuldir sé vitað að þeim hafi verið komið í skil, auk þess sem eyða skuli upplýsingum, sem mæli gegn lánshæfi hins skráða, þegar þær verði fjögurra ára gamlar. Þó megi geyma upplýsingar í þrjú ár til viðbótar, enda lúti þær ströngum aðgangstakmörkunum og þess sé vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn sem þess nauðsynlega þurfi starfs síns vegna. Á meðan á þeirri varðveislu standi megi nýta þær til að verða við beiðnum frá skráðum einstaklingum um vitneskju um vinnslu persónuupplýsinga um sig og til að […] leysa úr ágreiningi um réttmæti skráningar. Að hámarki þar til fjögur ár séu liðin frá skráningu upplýsinganna sé einnig heimilt að nýta þær í þágu gerðar lánshæfismats að beiðni hins skráða, enda sé ekki miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum. Önnur notkun upplýsinganna sé óheimil.“
Persónuvernd telur sömu rök og að framan greinir eiga við í því máli sem nú er til úrlausnar. Þá liggur ekki fyrir að farið hafi verið gegn þeim starfsleyfisfyrirmælum, sbr. nú grein 2.7 í fyrrnefndu leyfi, dags. 29. desember 2017, sem rakin eru í tilvitnuðum texta. Í ljósi þess, sem og með vísan til þeirra laga- og reglugerðarákvæða sem fyrr eru rakin, telur stofnunin umrædda vinnslu upplýsinga um afskráða færslu á skrá samkvæmt starfsleyfinu hafa stuðst við fullnægjandi heimild samkvæmt fyrrnefndu ákvæði 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.
Ljóst er að vinnslan þurfti einnig að samrýmast grunnreglum 1. mgr. 7. gr. sömu laga, þ. á m. um að persónuupplýsingar skyldu vera áreiðanlegar, og uppfærðar eftir þörfum og að persónuupplýsingar, sem væru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skyldi afmá eða leiðrétta, sbr. 4. tölul. ákvæðisins. Persónuvernd telur ekki hafa komið fram að brotið hafi verið gegn þessu ákvæði. Þá telur stofnunin umrædda vinnslu hafa samrýmst lögum nr. 77/2000 að öðru leyti.
Ú r s k u r ð a r o r ð:
Vinnsla Creditinfo Lánstrausts hf. á persónuupplýsingum um [A] í tengslum við gerð skýrslu um lánshæfi hans samrýmdist lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Í Persónuvernd, 12. mars 2020
Helga Þórisdóttir Þórður Sveinsson