Vöktun Netgíró ehf. á kennitölum hjá Creditinfo Lánstrausti
Mál nr. 2020010477
Með bréfi, dags. 30. mars 2020 (mál 2020010477 (áður 2017091260), lauk Persónuvernd athugun á vöktun Netgíró ehf. á kennitölum viðskiptavina sinna hjá Creditinfo Lánstrausti hf. Litið var til þess að vöktunin fór fram til að stýra áhættu við veitingu fjárhagslegrar fyrirgreiðslu. Þá var litið til fræðslu sem viðskiptavinum er veitt, þ. á m. um að þeir gætu afturkallað heimild til vöktunar hvenær sem væri. Taldi Persónuvernd Netgíró ehf. hafa heimild til vöktunarinnar en lagði áherslu á að vöktun færi aðeins fram að því marki sem nauðsyn krefði, að ávallt yrði veitt skýr fræðsla, þ. á m. um hvernig slíta mætti viðskiptasambandi, svo og að vinnsla persónuupplýsinga samrýmdist skilmálum sem Persónuvernd setti í starfsleyfi Creditinfo Lánstrausts hf. hverju sinni.
Efni: Vöktun Netgíró ehf. á upplýsingum hjá Creditinfo Lánstrausti hf.
Persónuvernd vísar til fyrri samskipta af tilefni ábendingar um vöktun Netgíró ehf. á færslum í skrá Creditinfo Lánstrausts hf. um fjárhagsmálefni og lánstraust einstaklinga, sem og á skýrslum sama fyrirtækis um lánshæfismat þeirra. Liggur fyrir að starfsemi Netgíró ehf. felur í sér að viðskiptavinir fyrirtækisins fá vilyrði frá fyrirtækinu um lánsheimild til nota í viðskiptum sem einkum fara fram á Netinu. Borist hafa skýringar frá Netgíró ehf., m.a. í kjölfar bréfs stofnunarinnar til lögmanns fyrirtækisins, Áslaugar Bjarkar Björnsdóttur hdl., dags. 19. júlí 2019. Svarað var með bréfi lögmannsins, dags. 27. ágúst s.á. Þar er áréttað að starfsemi fyrirtækisins feli í sér fjárhagslega fyrirgreiðslu og er því lýst að eina undantekningin frá því sé þegar viðskiptavinir nýta þjónustu við komu í verslanir, en þá sé unnt að staðgreiða.
Svo að vinnsla persónuupplýsinga sé heimil þarf hún ávallt að falla undir heimild samkvæmt 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Þar kemur meðal annars fram að vinna má með persónuupplýsingar sé það nauðsynlegt til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, sbr. 2. tölul. ákvæðisins. Einnig kemur fram að vinnsla persónuupplýsinga er heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða, sbr. 6. tölul. ákvæðisins.
Að auki þarf að fara að öllum grunnreglum 1. mgr. 8. gr. laga nr. 90/2018 við vinnslu persónuupplýsinga, þ. á m. að gæta þess að upplýsingar séu fengnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
Framangreindar grunnreglur 8. gr. laga nr. 90/2018 eru útfærðar nánar í öðrum ákvæðum laganna. Má þar nefna að í 2. mgr. 17. gr. laganna, sbr. nánari ákvæði í 13. gr. reglugerðar (ESB) 2016/679, eru tilgreindar kröfur til fræðslu til hins skráða þegar persónuupplýsinga er aflað frá honum sjálfum. Fyrir liggur að þegar einstaklingar skrá sig sem viðskiptavini Netgíró ehf. samþykkja þeir skilmála þar sem fram kemur að veitt er umboð til að kalla eftir upplýsingum um lánshæfismat frá Creditinfo Lánstrausti hf. og að skrá viðkomandi í lánshæfisvöktun, sem og að heimildir og kjör breytast til samræmis við breytingar á lánshæfismati. Þá kemur meðal annars fram að viðskiptavini er heimilt að afturkalla heimild til vöktunar hvenær sem er og að afturköllun tekur þegar gildi þegar Netgíró ehf. hefur sannanlega móttekið hana, auk þess sem tilgreint er að heimild til öflunar upplýsinga ljúki þegar viðskiptasambandi sé slitið. Netgíró ehf. geti hafnað frekari viðskiptum sé heimild afturkölluð.
Í ljósi framangreinds telur Persónuvernd að Netgíró ehf. hafi heimild samkvæmt lögum nr. 90/2018 til að vakta viðskiptavini fyrirtækisins hjá Creditinfo Lánstrausti hf. Lögð er áhersla á að vöktunin fari aðeins fram að því marki sem hún er nauðsynleg í ljósi starfsemi Netgíró ehf. og fari ekki fram úr því sem nauðsyn krefur. Þá er lögð áhersla á að viðskiptavinum verði ávallt veitt skýr fræðsla um þá vinnslu persónuupplýsinga sem í vöktuninni felst og hvernig ljúka megi viðskiptasambandi við fyrirtækið, sem og að vinnsla persónuupplýsinga samrýmist þeim skilmálum sem Persónuvernd setur í starfsleyfi til Creditinfo Lánstrausts hf. hverju sinni, sbr. 1. mgr. 15. gr. laga nr. 90/2018.
F.h. Persónuverndar,
Þórður Sveinsson Steinunn Birna Magnúsdóttir