Synjun um breytingu á starfsleyfi

Efni: Vinnsla persónuupplýsinga í tengslum við tölufræðilegt mat á ógjaldfærni einstaklinga

Persónuvernd vísar til erindis Lánstrausts hf, dags. 20. desember sl., varðandi fyrirhugaða vinnslu persónuupplýsinga í tengslum við tölfræðilegt mat á líkum á ógjaldfærni einstaklinga. Í erindinu er óskað afstöðu Persónuverndar til þess hvort stofnunin telji vinnsluna rúmast innan laga nr. 77/2000, og ef svo er þá er þess óskað að starfsleyfi félagsins verði breytt á þá lund að umrætt mat rúmist innan marka leyfðrar starfsemi. Síðan segir:

Í erindinu eru einnig raktar þær heimildir sem Lánstraust hf. telur standa til vinnslunnar. Þar segir m.a.:

Í skýrslu sem fylgdi erindinu er fyrirhugaðri framkvæmd vinnslunnar lýst nánar og að hvaða marki hún félagið telji að hún muni verða sambærileg við framkvæmd á hinum Norðurlöndunum. Að mati félagsins/skýrsluhöfunda er heimild til vinnslunnar að finna í 7. tl. 1. mgr. 8. gr. laga nr. 77/2000, en samkvæmt því ákvæði er vinnsla almennra persónuupplýsinga heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Þá er vísað til 3. gr. reglugerðar um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust (nr. 246/2001) þar sem segir að fjárhagsupplýsingastofu sé heimilt að vinna með upplýsingar sem eðli sínu samkvæmt hafa afgerandi þýðingu við mat á fjárhag á lánstrausti hins skráða.

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, skv. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið "vinnsla" er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, skv. 2. tölul. 2. gr. laganna. Með vinnslu er t.d. átt við söfnun og skráningu og undir það fellur m.a. rafræn vöktun, flokkun, varðveisla, breyting, leit, miðlun, samtenging eða hver sú aðferð sem nota má til að gera upplýsingar tiltækar, sbr. athugasemdir í greinargerð með frumvarpi því er varð síðar að lögum nr. 77/2000.

Málið var rætt á fundi stjórnar Persónuverndar þann 25. janúar sl. og talið að sú vinnsla sem lýst er í erindi Lánstrausts hf. sé vinnsla persónuupplýsinga í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Af því sem fram kemur í erindi Lánstrausts hf. og meðfylgjandi gögnum verður ráðið að óskað er leyfis til að mega vinna, með öðrum hætti en tíðkast hefur, með þær upplýsingar sem félaginu er þegar heimilt að safna og miðla í samræmi við reglugerð nr. 246/2001 og starfsleyfi Persónuverndar. Auk þess verður unnið með almennar lýðskrárupplýsingar, t.d. um nafn, aldur, heimilisfang (póstnúmer), hjúskaparstöðu og fjölskyldustærð. Verða þessar upplýsingar færðar inn í reiknilíkan og niðurstöður notaðar til að spá fyrir um gjaldfærni viðkomandi einstaklings. Fram kemur að meðal þess sem hafa muni áhrif þar á sé kynferði manns, hjúskaparstaða og barnafjöldi. Ætlunin er að niðurstöðum verði miðlað í formi svokallaðra lánshæfiseinkunna ásamt upplýsingum um helstu breytur sem höfðu áhrif á þær einkunnir.

Að mati stjórnar má ætla að vinnsla í tengslum við gerð umrædds lánshæfismats muni, þegar fram líða stundir, verða mjög víðtæk, þ.e. muni ná til afar stórs hluta landsmanna. Þá verður, af þeim gögnum sem fylgja erindi yðar, ráðið að unnið verði með viðurhlutamiklar upplýsingar sem bæði er erfitt að sjá fyrir hvernig notaðar verði auk þess sem vinnslan á sér hvorki afmarkað upphaf né endi. Af því leiðir að raun lýtur erindi yðar í raun að vinnslu sem sambærileg við gerð gagnagrunns með persónuupplýsingum.

Öll vinnsla persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Einkum þarf að huga að ákvæðum 1. mgr. 8. gr. laganna sem gilda um vinnslu almennra persónuupplýsinga og ákvæðum 1. mgr. 9. gr. sem gilda um vinnslu viðkvæmra persónuupplýsinga, en úrslitum ræður þó að hér á landi hafa framangreind heimildarákvæði ekki verið túlkuð á þann veg að gerð slíkra gagnagrunna verði á þeim byggð.

Vegna athugasemdar yðar um að umrædd vinnsla eigi sér stoð í 7. tölul. 8. gr. skal tekið fram að í framkvæmd hefur ákvæði sambærilegt við 7. tl. 8. gr. laga nr. 77/2000 hvorki hér, né á öðrum Norðurlöndum, eitt og sér verið túlkað sem viðhlítandi lagastoð undir slíka vinnslu. Í Danmörku er fjallað sérstaklega um vinnslu fjárhagsupplýsingastofa í 5. og 6. kafla persónuupplýsingalaganna (Lov om behandlingar af personoplysninger nr. 429/2000). Þar er m.a. mælt fyrir um það hvaða upplýsingum er heimilt að safna og miðla, hvernig skuli farið með upplýsingarnar, hversu lengi er heimilt að varðveita þær og um réttindi hinna skráðu. Að auki er mælt fyrir um nauðsyn þess að fjárhagsupplýsingastofa fái starfsleyfi frá Datatilsynet áður en heimilt er að hefja vinnsluna. Í Noregi til sérstök reglugerð (Forskrift om behandling av personopplysninger nr. 2000-12-15-1265) sem hefur að geyma sérstakan kafla um hvernig fjárhagsupplýsingastofur skuli fara með upplýsingar um fjárhagsmálefni og lánstraust og um nauðsyn þess að fjárhagsupplýsingastofa fái heimild frá Datatilsynet áður en vinnslan hefst. Þá hafa í Svíþjóð verið, allt frá árinu 1973, í gildi sérstök lög um vinnslu fjárhagsupplýsinga (Kreditupplysningslag nr. 1973:1173). Tekið er fram að almenn lög um meðferð persónuupplýsinga (personuppgiftslagen nr. 1998:204) geti einnig eftir atvikum átt við um slíka vinnslu. Síðarnefndu lögin gilda um meðferð fjárhagsupplýsingastofa á upplýsingum um fjárhagsmálefni og lánstrausti einstaklinga og þar er m.a. tiltekið hvaða upplýsingum heimilt er að safna, um varðveislutíma upplýsinganna um miðlun þeirra, upplýsingarétt skráðra aðila og um fræðsluskyldu ábyrgðaraðila.

Samkvæmt 33. gr. laga nr. 77/2000 getur Persónuvernd, enda þótt vinnsla uppfylli eitthvert af skilyrðum 1. mgr. 8. gr., ákveðið að hún megi ekki hefjast fyrr en hún hefur verið athuguð af stofnuninni og samþykkt með útgáfu sérstakrar heimildar. Með vísun til þessa, og að því virtu að vinnsla upplýsinga um fjárhagsmálefni og lánstraust lögaðila er háð leyfi Persónuverndar, sbr. 2. mgr. 45. gr. laganna, hefur Persónuvernd ákveðið að sama gildi um upplýsingar um fjárhagsmálefni og lánstraust einstaklinga. Kemur þessi afstaða hennar fram í 4. tölul. 1. mgr. 7. gr. reglna nr. 698/2004 um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga, sem settar eru samkvæmt heimild í 31., 32. og. 33. gr. laga nr. 77/2000. Lánstrausti hf. hafa verið veitt slík leyfi en sérstaklega tekið fram að þau taki ekki til þess að vinna lánshæfiseinkunnir og breytur sem hafa áhrif þar á. Í reglugerð nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust um lögaðila er og sérstaklega tekið fram að hún taki ekki til starfsemi sem felist í útgáfu skýrslna um lánshæfi. Þá er ekki er sérstaklega fjallað um slíka vinnslu persónuupplýsinga í lögum nr. 77/2000, þannig að ályktað verði að fyrir liggi afstaða löggjafans til slíkrar vinnslu.

Með vísun til framangreinds, og þess að stjórn Persónuverndar lítur svo á að túlka beri þröngt valdheimildir stofnunarinnar til að heimila smíði gagnagrunna sem hafa að geyma fjölþættar persónuupplýsingar, sem unnið er með án samþykkis hlutaðeigandi einstaklinga, telur hún sig ekki hafa heimild að gildandi lögum til þess að verða við erindi Lánstrausts hf. um að gefa út umbeðið leyfi.