Starfsleyfi Creditinfo Lánstrausts hf. vegna vinnslu upplýsinga um einstaklinga

Persónuvernd hefur gefið út nýtt starfsleyfi til Creditinfo Lánstrausts hf. til vinnslu upplýsinga um fjárhagsmálefni og lánstraust einstaklinga. Leyfið gildir til 1. des. 2018.

 

 

STARFSLEYFI

 

Persónuvernd hefur hinn 29. desember 2017 tekið eftirfarandi ákvörðun í máli nr. 2017/1541:

 

1.

Um leyfisskyldu

Creditinfo Lánstraust hf. (LT) er fjárhagsupplýsingastofa sem er háð starfsleyfi frá Persónuvernd samkvæmt reglugerð nr. 246/2001, sbr. 45. gr. laga nr. 77/2000. Það á bæði við um þá vinnslu sem LT stendur að sem ábyrgðaraðili og sem vinnsluaðili. Í starfsleyfisskyldu felst m.a. að á starfsleyfishafa hvíla, auk þeirra skyldna sem fram koma í lögum nr. 77/2000, og reglum settum á grundvelli þeirra, þær skyldur er greinir í skilmálum starfsleyfis þessa. Brot geta m.a. leitt til þess að fjárhagsupplýsingastofa teljist að mati Persónuverndar ekki líkleg til að geta fullnægt skyldum sínum og verður henni þá ekki veitt endurnýjað starfsleyfi.

 

Handhafi slíks leyfis er nefndur fjárhagsupplýsingastofa, sbr. 2. gr. reglugerðar nr. 246/2001. Í  2. mgr. 2. gr. hennar er ákvæði sem hljóðar svo:

 

„Persónuvernd getur bundið slíkt starfsleyfi þeim skilmálum sem hún telur vera nauðsynlega hverju sinni. Skal hún þá m.a. taka mið af þeim atriðum er greinir í 35. gr. laga um persónuvernd og meðferð persónuupplýsinga. Ef sérstaklega stendur á að mati Persónuverndar, getur stofnunin vikið frá ákvæðum reglugerðarinnar við veitingu starfsleyfis.“

 

Í samræmi við 2. málsl. 1. mgr. 1. gr. umræddrar reglugerðar tekur leyfi þetta ekki til útgáfu skýrslna um lánshæfi. Þá tekur leyfi þetta ekki til öflunar upplýsinga um skuldastöðu einstaklings samkvæmt beiðni hans.

 

2.

Leyfi og leyfisskilmálar

Persónuvernd hefur fallist á að veita fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf. umbeðið starfsleyfi með eftirfarandi skilmálum:

 

2.1.

Almennt um heimila vinnslu

Vinnsla persónuupplýsinga skal ávallt, óháð því hver ber ábyrgð á henni, uppfylla eitthvert af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Aðeins má vinna með persónuupplýsingar sem eðli sínu samkvæmt geta haft þýðingu við mat á fjárhag og lánstrausti hins skráða. Gert er að skilyrði að löginnheimta sé hafin gegn hinum skráða, s.s. að stefna hafi verið birt eða að hann hafi skriflega viðurkennt fyrir kröfuhafa að skuld sé fallin í gjalddaga. Aldrei má taka á skrá viðkvæmar persónuupplýsingar, sbr. 8. tölul. 2. gr. laga nr. 77/2000.

 

Heimil er vinnsla upplýsinga sem hafa verið löglega birtar í opinberum auglýsingum, þó ekki um greiðsluaðlögun þegar greiðsluaðlögunartímabili, sbr. 2. mgr. 16. gr. laga nr. 101/2010 um greiðsluaðlögun einstaklinga, er lokið. Ef upplýsingar, sem mæla gegn lánshæfi hins skráða, eru orðnar 4 ára gamlar, má ekki miðla þeim.

 

Óheimil er vinnsla upplýsinga um umdeildar skuldir. Það á við ef skuldari hefur sannanlega komið andmælum við skuld á framfæri við kröfuhafa, greint honum frá ástæðu andmælanna og skuldin hefur ekki verið staðfest með aðfararhæfum dómi eða aðfararhæfri ákvörðun sýslumanns sem kunngjörð hefur verið í opinberri auglýsingu. Fallist sýslumaður, að tekinni slíkri ákvörðun, á andmæli skuldara þannig að fullnustugerð nái ekki fram að ganga telst skuldin aftur vera umdeild.

 

Fjárhagsupplýsingastofa skal ávallt hafa á reiðum höndum nauðsynleg skjöl til að geta sýnt að framangreind skilyrði séu uppfyllt. Ekki er þó gerð krafa um að hún varðveiti skjöl, s.s. ljósrit af skuldaviðurkenningum eða stefnum, lengur en í þrjá mánuði, enda gæti hún þess, í samskiptum sínum við áskrifendur, að þeir geti lagt þau fram ef þörf krefji.

 

2.2.

Nánar um söfnun upplýsinga

Starfsleyfi þetta heimilar söfnun upplýsinga um nöfn einstaklinga, heimilisföng þeirra og kennitölur auk fjárhagsupplýsinga. Þeirra má afla með eftirfarandi hætti:

 

2.2.1.

Upplýsingar frá áskrifendum

Frá áskrifendum má safna upplýsingum um skuldir einstaklinga sem nema a.m.k. kr. 50.000,- að höfuðstóli, enda hafi leyfishafi fengið óyggjandi skriflegar upplýsingar er staðfesti tilvist viðkomandi skuldar og um að a.m.k. eitt eftirfarandi skilyrða sé uppfyllt:

 

1. Skuldari hafi skriflega gengist við því fyrir kröfuhafa (áskrifanda) að krafa sé í gjalddaga fallin.

 

2. Skuldari hafi fallist á að greiða skuldina með sátt sem er aðfararhæf samkvæmt 1. gr. aðfararlaga nr. 90/1989.

 

3. Skuldara hafi með dómi, úrskurði eða áritaðri stefnu verið gert að greiða skuldina.

 

4. Skuldara hafi sannanlega verið birt boðun í fyrirtöku fjárnámsgerðar sem ekki hefur verið unnt að ljúka vegna fjarveru hans.

 

5. Skuldara hafi sannanlega verið birt greiðsluáskorun vegna skuldarinnar, enda uppfylli hún:

 

5.1.Öll skilyrði 7. gr. laga nr. 90/1989, og fyrir liggi að frestur samkvæmt því ákvæði sé liðinn.

 

5.2. Öll skilyrði 9. gr. laga nr. 90/1991 um nauðungarsölu, og fyrir liggi að frestur samkvæmt því ákvæði sé liðinn.

 

6. Fyrir liggi sannanlega vanefndur nauðasamningur, samningur eða nauðasamningur til greiðsluaðlögunar sem skuldari hefur gert og áskrifandi er aðili að.

 

7. Skuldari hafi með sérstakri yfirlýsingu í láns- eða skuldaskjali, sem skuldin er sprottin af, fallist á að áskrifandi óski skráningar leyfishafa á vanskilunum, enda séu skilyrði til þeirrar heimildar uppfyllt. Slík heimild skal vera áberandi og skýr í skjalinu og við það miðuð að vanskil hafi varað í a.m.k. 40 daga. Áskrifandi sem óskar skráningar á grundvelli slíkrar heimildar skal um leið ábyrgjast að honum sé ekki kunnugt um að skuldari hafi nokkrar réttmætar mótbárur gegn greiðslu skuldarinnar. Beiðni um skráningu skal undirrituð af lögmanni í þjónustu áskrifanda eða fulltrúa hans.

 

8. Skuldari hafi með áritun á svonefnda eignaleysisyfirlýsingu skv. 4. tölul. 2. mgr. 65. gr. laga nr. 21/1991 fallist á að kröfuhafi óski skráningar hennar hjá leyfishafa, enda sé slík heimild skýr og áberandi í skjalinu.

 

9. Skuldari hafi ekki innan 3 vikna orðið við áskorun lánardrottins, sem birt hefur verið honum eftir sömu reglum og gilda um birtingu stefnu í einkamáli, um að lýsa því skriflega yfir að hann verði fær um að greiða skuld við hlutaðeigandi lánardrottinn eða innan skamms tíma ef hún er þegar gjaldfallin, sbr. 5. tölul. 2. gr. laga nr. 21/1991 um gjaldþrotaskipti o.fl., sbr. lög nr. 95/2010.

 

2.2.2.

Upplýsingar úr opinberum gögnum

Úr skrám sem aðgengilegar eru almenningi má starfsleyfishafi safna:

 

1. Upplýsingum dómstóla um skuldara skv. uppkveðnum dómum, eða skv. áritunum dómara á stefnur í málum þar sem ekki hefur verið mætt fyrir stefnda við þingfestingu máls eða þingsókn hefur síðar fallið niður af hans hálfu, sbr. 113. gr. laga nr. 91/1991. Slíkar upplýsingar má aðeins skrá ef um er að ræða skuld eða skuldir sama skuldara við tiltekinn kröfuhafa sem nema a.m.k. kr. 50.000,- að höfuðstóli hver skuld.

 

2. Upplýsingum um framkvæmd fjárnáms, skv. málaskrám um fjárnámsbeiðnir sem sýslumenn halda í samræmi við 4. gr. reglugerðar nr. 17/1992. Upplýsingar um árangurslaus fjárnám má þó skrá án tillits til fjárhæðar fjárnámskrafna, en um fjárnám með árangri því aðeins að fjárhæð viðkomandi fjárnámskröfu nemi a.m.k. kr. 50.000,-.

 

3. Upplýsingum um uppboð sem sýslumaður hefur þegar auglýst í Lögbirtingablaðinu, í dagblöðum eða á annan hátt í samræmi við 1. mgr. 20. gr. og 2. mgr. 26. gr. laga nr. 90/1991. Einnig er heimilt að skrá upplýsingar um framhald nauðungarsölu sem sýslumaður hefur auglýst í Lögbirtingablaði samkvæmt 5. mgr. 35. gr. sömu laga, enda verði þá allar undangengnar uppboðsauglýsingar, er varða sömu eign, fjarlægðar úr safni upplýsinga um hinn skráða.

 

4. Upplýsingum um töku búa til gjaldþrotaskipta sem fengnar eru úr skrám þeim um gjaldþrotaskipti, sem héraðsdómstólar halda í samræmi við reglugerð nr. 226/1992. Heimild þessi tekur eingöngu til þeirra upplýsinga sem tilgreindar eru í 2., 3., 6. og 8. tölul. 4. gr. reglugerðarinnar.

 

5. Upplýsingar um nauðasamningsumleitanir, staðfesta nauðasamninga, innkallanir og skiptalok sem birtar hafa verið í Lögbirtingablaðinu, sbr. 5. mgr. 85. gr. og 2. mgr. 162. gr. laga nr. 21/1991.

 

6. Upplýsingar um greiðslustöðvanir sem fengnar eru í skrám þeim um gjaldþrotaskipti sem héraðsdómstólar halda í samræmi við reglugerð nr. 226/1992. Aðeins er átt við þær upplýsingar sem tilgreindar eru í 2. gr. reglugerðarinnar.

 

7. Upplýsingum frá hlutafélagaskrá um stofnendur, stjórnarmenn og framkvæmdastjóra hlutafélaga og einkahlutafélaga, enda hafi þeir staðið að a.m.k. tveimur slíkum félögum sem úrskurðuð hafa verið gjaldþrota síðastliðin 4 ár.

 

Sé félag án stjórnar eða framkvæmdastjórnar við uppkvaðningu úrskurðar um töku bús til gjaldþrotaskipta er heimilt að safna upplýsingum um þá einstaklinga sem síðast voru skráðir í fyrirsvari fyrir félagið allt að sex mánuðum áður en úrskurður var kveðinn upp.

 

8. Upplýsingum um gerða kaupmála og fjárræðissviptingar sem birtar hafa verið í Lögbirtingablaðinu, sbr. 2. mgr. 86. gr. hjúskaparlaga nr. 31/1993 og 3. tölul. 14. gr. lögræðislaga nr. 71/1997.

 

Starfsleyfi þetta heimilar söfnun ofangreindra upplýsinga í eitt miðlægt gagnasafn og miðlun þeirra í samræmi við grein 2.3 í leyfi þessu.

 

2.3.

Miðlun persónuupplýsinga

Miðla má upplýsingum um fjárhagsmálefni og lánstraust einstaklinga skriflega eða með stafrænum hætti (með öruggri fjartengingu). Þá má miðla samandregnum upplýsingum til áskrifenda símleiðis. Með samandregnum upplýsingum er átt við upplýsingar sem ekki eru tæmandi heldur t.d. um það hvort maður sé á vanskilaskrá eða ekki.

 

Óheimilt er að miðla upplýsingum nema skuld sé a.m.k. 50.000 krónur. Þá er óheimil miðlun upplýsinga um skuld sé fjárhagsupplýsingastofu kunnugt um að hún sé ekki lengur í vanskilum – s.s. vegna skuldajöfnuðar, þess að hún hafi verið felld niður, greidd eða henni komið í skil með öðrum hætti.

 

Óheimilt er að miðla upplýsingum um hve oft tilteknum einstaklingi eða einstaklingum hefur verið flett upp.

 

Um miðlun fer að öðru leyti að 6. gr. reglugerðar nr. 246/2001.

 

2.4.

Fræðsluskylda

Hinn skráði á rétt á fræðslu fjárhagsupplýsingastofu um að hún hafi fært nafn hans á skrá sem hún ber ábyrgð á. Slíka fræðslu skal stofan veita honum eigi síðar en fjórum vikum eftir að hún skráir upplýsingar um hann. Þó má hún fresta því þar til 14 dögum áður en hún miðlar upplýsingunum í fyrsta sinn. Hún skal veita honum þá fræðslu sem hann þarf til að geta gætt hagsmuna sinna. Það skal gert skriflega og honum að kostnaðarlausu.

 

2.4.1.

Um hvað á að fræða?

Í fræðslu skal greina frá upplýsinga- og andmælarétti hins skráða, rétti hans til að fá rangar upplýsingar leiðréttar og til að bera ákvarðanir fjárhagsupplýsingastofu undir Persónuvernd. Að öðru leyti er vísað til 1. mgr. 4. gr. reglugerðar nr. 246/2001, þar sem segir:

 

„Þegar fjárhagsupplýsingastofa safnar fjárhagsupplýsingum frá öðrum en hinum skráða skal hún samtímis gera hinum skráða viðvart og skýra honum frá eftirtöldum atriðum:

1. hvert sé nafn og heimilisfang fjárhagsupplýsingastofu;

2. hver beri daglega ábyrgð á því að fullnægt sé skyldum ábyrgðaraðila samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga og reglum sem settar hafa verið á grundvelli þeirra;

3. hver sé tilgangur vinnslunnar;

4. hvaða persónuupplýsingar um viðkomandi verði unnið með;

5. hvaðan upplýsingar koma;

6. hverjir verði viðtakendur upplýsinga, þar á meðal um hvort ætlunin sé að miðla upplýsingum um Netið eða flytja þær með öðrum hætti úr landi, hvernig og til hverra.“

 

Ef ekki liggur fyrir nein réttargjörð, sem staðfestir réttleika upplýsinga um vanskil, skal geta þess í fræðslu að þeim verði eytt af skránni, snúi viðkomandi sér til stofunnar og andmæli tilvist kröfu eða fjárhæð hennar. Greina skal frá því að slíkri mótbáru megi koma á framfæri munnlega eða skriflega.

 

Sé skuldsetning þess eðlis að ekki verði gefnar samandregnar upplýsingar um hana, þótt taka megi mið af henni við mat á lánshæfi, skal geta þess í fræðslu að upplýsingum um hana verði ekki miðlað. Fræðsla skal innihalda skýra og greinargóða almenna lýsingu á þeim breytum sem teknar eru með í reikninginn við mat á lánshæfi o.þ.h.

 

2.4.2.

Hvernig skal fræða?

Senda skal fræðslutilkynningu á skráð lögheimili samkvæmt þjóðskrá. Auk þess er heimilt að senda hana með rafrænum hætti á sérstakt og öruggt vefsvæði, s.s. í heimabanka. Verði fjárhagsupplýsingastofa þess vör að fræðsla hafi ekki komist til skila, eða hafi hún ástæðu til að ætla að svo sé, skal hún senda hinum skráða aðra tilkynningu.

 

Þegar fjárhagsupplýsingastofa er ábyrgðaraðili, og fræðsluskyldan hvílir á henni sjálfri, ber henni að veita fræðslu í samræmi við ófrávíkjanlegt ákvæði 2. mgr. 21. gr. laga nr. 77/2000. Í því felst þó ekki að aldrei megi hafa mann á skrá nema hann hafi sannanlega fengið fræðslu í hendur. Hafi fræðslutilkynning verið endursend, og fjárhagsupplýsingastofa kannað hvort hann hafi fengið nýtt heimilisfang samkvæmt þjóðskrá, og reynt að senda honum nýja tilkynningu þangað, en hún verið endursend, eða send um hæl með áritun um að hann hafi ekki vitjað sendingar, eða neitað að veita henni viðtöku, má stofan hafa nafn hans á skrá.

 

Velji fjárhagsupplýsingastofa að fylgja framangreindu verkferli skal hún ávallt hafa undir höndum gögn er staðfesti að hún hafi gert það og geta framvísað þeim að ósk Persónuverndar.

 

2.4.3.

Þegar upplýsinga er aflað frá hinum skráða

Þegar upplýsinga er aflað hjá hinum skráða sjálfum ber fjárhagsupplýsingastofu að veita honum fræðslu í samræmi við ákvæði 20. gr. laganna. Það á við þótt upplýsingaöflunin gerist símleiðis eða í viðtali við hann. M.a. skal fræða hann um rétt sinn til að svara ekki og hvaða afleiðingar það geti haft. Að öðru leyti er vísað til  4. gr. reglugerðar nr. 246/2001 þar sem segir m.a.:

 

„Ef upplýsingar um fjárhagsmálefni og lánstraust eru fengnar hjá hinum skráða skal fjárhagsupplýsingastofa fræða hann um hver sé ábyrgðaraðili, hvert sé markmið söfnunarinnar, hvernig auðkenningu upplýsinga verði hagað, hverjum upplýsingarnar verði afhentar, hvort honum sé skylt eða valfrjálst að veita umbeðnar upplýsingar og hvaða afleiðingar það kunni að hafa í för með sér geri hann það ekki. […] Frekari fræðslu skal veita ef það er nauðsynlegt til að tryggja að hinn skráði geti gætt hagsmuna sinna, t.d. fræða hann um upplýsingarétt sinn samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga.“

 

2.5.

Rangar eða villandi upplýsingar

Persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða – eða breyta þeim til leiðréttingar. Það skal gert tafarlaust eða svo fljótt sem verða má. Sé óheimilt að eyða þeim eða breyta, vegna ákvæða annarra laga, getur Persónuvernd bannað áframhaldandi notkun á þeim.

 

Þegar hinn skráði dregur áreiðanleika upplýsinga í efa, og greinir t.d. frá því að skuld hafi verið komið í skil, með greiðslu eða annarri aðferð, getur fjárhagsupplýsingastofa hvorki gert þá kröfu til hans að hann beri erindið upp skriflega né sett sem skilyrði að hann leggi fram skrifleg gögn máli sínu til sönnunar. Hún má þó gera athugun hjá viðkomandi ábyrgðaraðila á réttmæti fullyrðingar hins skráða (skuldarans).

 

Hafi röngum, villandi eða ófullkomnum upplýsingum verið miðlað, eða þær notaðar á annan hátt, ber fjárhagsupplýsingastofu, eftir því sem henni er frekast unnt, að hindra að það hafi áhrif á hagsmuni hins skráða. Í því skyni skal hún senda skriflega leiðréttingu til allra sem fengu slíkar upplýsingar á síðastliðnu hálfu ári. Hún skal einnig fræða hinn skráða um það hverjir hafa fengið upplýsingarnar á því tímabili og hvaðan þær hafi komið.

 

2.6.

Um andmælarétt hins skráða

Hinn skráði á rétt á að andmæla vinnslu persónuupplýsinga um sig. Ef andmæli hans lúta að því að upplýsingar séu óáreiðanlegar skal fjárhagsupplýsingastofa ganga úr skugga um áreiðanleika þeirra og getur hvorki ætlast til þess að hann leggi fram skrifleg andmæli né skrifleg gögn þeim til staðfestingar.

 

Svara skal andmælum skriflega og ekki síðar en að fjórtán dögum liðnum. Þetta á bæði við þegar hinn skráði telur upplýsingar vera rangar eða villandi – og fer fram á eyðingu, leiðréttingu eða lokun fyrir notkun á þeim – og ef hann telur vinnsluna vera óheimila. Haldi hann því fram að skuld sé greidd, eða henni hafi með öðrum hætti verið komið í skil, er fjárhagsupplýsingastofu heimilt að gera athugun á réttmæti þess. Það má hún t.d. gera með því að bera málið undir viðkomandi áskrifanda/kröfuhafa og eftir atvikum fá færsluna bakfærða.

 

Fallist fjárhagsupplýsingastofa ekki á andmæli hins skráða skal hún greina honum frá því skriflega og skýra honum frá rétti sínum til að kæra synjunina til Persónuverndar innan 3 mánaða.

 

Að öðru leyti gilda ákvæði 8. gr. reglugerðar nr. 246/2001.

 

2.7.

Eyðing upplýsinga

Eyða skal upplýsingum um einstakar skuldir sé vitað að þeim hafi verið komið í skil – og um skráðan kaupmála ef þau hjón sem hann gerðu eru skilin að lögum. Þá skal eyða úr skrám fjárhagsupplýsingastofu upplýsingum, sem mæla gegn lánshæfi hins skráða, þegar þær verða 4 ára gamlar. Stofan má þó geyma upplýsingar í 3 ár til viðbótar ef þær lúta ströngum aðgangstakmörkunum og ef þess er vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn stofunnar sem þess þurfa nauðsynlega starfs síns vegna. Að þeim fresti liðnum skal þeim eytt.

 

Upplýsingar, sem varðveittar eru í 3 ár til viðbótar í samræmi við framangreint, má nýta til að verða við beiðnum frá skráðum einstaklingum um vitneskju um vinnslu persónuupplýsinga um sig og til að til leysa úr ágreiningi um réttmæti skráningar. Að hámarki þar til 4 ár eru liðin frá skráningu upplýsinganna er einnig heimilt að nýta þær í þágu gerðar lánshæfismats að beiðni hins skráða, enda sé ekki miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum. Önnur notkun upplýsinganna er óheimil.

 

Um eyðingu og leiðréttingu rangra eða villandi persónuupplýsinga gilda að öðru leyti ákvæði 5. gr. reglugerðar nr. 246/2001, en um eyðingu og bann við notkun persónuupplýsinga, sem hvorki eru rangar né villandi, fer samkvæmt 26. gr. laga um persónuvernd og meðferð persónuupplýsinga.

 

2.8.

Um upplýsingarétt hins skráða

Fjárhagsupplýsingastofu er hvenær sem er skylt að verða við ósk hins skráða um að fá vitneskju um vinnslu persónuupplýsinga um sjálfan sig. Hann á rétt á að fá að vita hver hafi flett sér upp, fyrir hvern og til hvers. Einnig um það hvort aðeins hafi verið miðlað upplýsingum um staðreyndir eða einhvers konar mati á honum.

 

Samkvæmt 7. gr. reglugerðar nr. 246/2001 á hann rétt á að vita um eftirfarandi atriði:


„1. hvaða upplýsingar um hann er eða hefur verið unnið með;

2. tilgang vinnslunnar;

3. hver fær, hefur fengið eða getur fengið upplýsingar um hann;

4. hvaðan upplýsingarnar hafa komið;

5. hvaða öryggisráðstafanir eru og verða viðhafðar við vinnslu.“

 

Hinn skráði getur gert kröfu um að fá skrifleg svör. Þá er fjárhagsupplýsingastofu skylt að afhenda honum endurrit eða ljósrit af þeim upplýsingum sem hún hefur undir höndum. Um endurgjald fer að 15. gr. laga nr. 77/2000.

 

Verða skal við ósk hins skráða svo fljótt sem verða má og eigi síðar en innan tveggja vikna frá móttöku hennar. Valdi sérstakar ástæður því að ómögulegt sé fyrir fjárhagsupplýsingastofu að afgreiða erindið innan þessa frests má hún þó gera það síðar – en þá skal hún, innan frestsins, útskýra ástæðu tafarinnar og hvenær svars sé að vænta.

 

Hafi fjárhagsupplýsingastofa undir höndum aðrar upplýsingar um hinn skráða en þær sem beiðni hans lýtur að skal hún greina honum frá því og upplýsa hann um rétt sinn til að kynna sér þau gögn af eigin raun.

 

2.9.

Samningsgerð við áskrifendur

Fjárhagsupplýsingastofa skal gera skriflega samninga við áskrifendur sína. Hún ber ábyrgð á því að í áskriftarsamningum komi eftirfarandi fram:

 

a. - Að í hvert sinn sem áskrifandi fletti einstaklingi upp skuli tilgreina og skrá til hvers það sé gert. Það getur einkum verið til að kanna lánstraust tiltekins einstaklings vegna væntanlegra eða yfirstandandi lána- og reikningsviðskipta.

 

b. - Að ábyrgðaraðili noti persónuupplýsingar ekki við ráðningar í störf, óháð því hvort hinn skráði hafi gefið samþykki sitt fyrir því, nema um alveg sérstakt trúnaðarstarf sé að ræða og nauðsynlegt sé, eðlis starfsins vegna, að afla upplýsinganna.

 

c. - Að áskrifandi láti fjárhagsupplýsingastofu vita ef skuld er greidd eða henni komið í skil með öðrum hætti.

 

d. - Að áskrifandi megi ekki afrita skrá fjárhagsupplýsingastofu, samtengja hana við aðrar skrár eða vinna hana á nokkurn annan hátt, þótt hann kunni að fá tækifæri til slíks, t.d. vegna tæknibilunar eða fyrir mistök.

 

e. - Að áskrifandi, eða hver starfsmaður hans, skuli hafa eigið aðgangsorð sem honum sé óheimilt að láta öðrum í té eða endurnýta, t.d. við starfsmannaskipti.

 

f. - Að hinum skráða verði ávallt veitt lögskyld fræðsla. Í því felst m.a. að þegar áskrifandi afli sér persónuupplýsinga um hinn skráða verði hann látinn vita af því. Skal tilkynning þar að lútandi send hinum skráða eigi síðar en mánuði frá uppflettingu.

 

h. - Að synji áskrifandi hinum skráða um lánveitingu, vegna upplýsinga sem komi úr þeim skrám sem starfsleyfi þetta tekur til, verði honum greint frá því.

 

i. - Að allar uppflettingar verði rekjanlegar.

 

Komi í ljós að áskrifandi hafi brotið gegn skilmálum í áskriftarsamningi ber starfsleyfishafa að grípa til viðhlítandi ráðstafana með það fyrir augum að hindra að slíkt endurtaki sig. Í því felst að starfsleyfishafi skal hækka gjald áskrifanda fyrir notkun á skrá í óheimilum tilgangi. Fyrir eitt tilvik skal hækka gjald er svarar til 50% af mánaðarlegu gjaldi skv. verðskrá starfsleyfishafa á hverjum tíma. Fyrir tvö tilvik skal hækka gjald um 100%, enda líði minna en 6 mánuðir á milli tilvika. Verði slík tilvik 3 á innan við 12 mánuðum skal starfsleyfishafi segja upp áskriftarsamningi við viðkomandi. Að liðnum 6 mánuðum má semja við hann að nýju. Verði áskrifandi aftur uppvís að óheimilli notkun innan 6 mánaða frá gerð nýs samnings skal honum sagt upp og ekki gefa honum kost á nýjum samningi fyrr en að 12 mánuðum liðnum.

 

2.10.

Öryggisráðstafanir o.fl.

Fjárhagsupplýsingastofa skal, við alla meðferð persónuupplýsinga, sem leyfi þetta tekur til, gæta þess að haga henni með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga.

 

Gera skal nauðsynlegar ráðstafanir, tæknilegar og skipulagslegar, til að hindra misnotkun persónuupplýsinga og vernda þær gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Tryggja skal rekjanleika uppflettinga þannig að í hvert skipti sem uppfletting á sér stað, eða fyrirspurn er gerð, skráist hver gerði hana, hvaða upplýsingar voru unnar, hvernig og hvenær. Varðveita skal upplýsingar úr slíkri atvikaskrá í 2 ár.

 

Öll gagnaskipti milli fjárhagsupplýsingastofu og áskrifenda, um óvarið internet, skulu vera á dulkóðuðu formi. Nota skal öruggar fjartengingar. Fái áskrifendur aðgang að gögnum fjárhagsupplýsingastofu í gegnum tiltekna vefsíðu skal stofan viðhafa allar nauðsynlegar tæknilegar ráðstafanir til að tryggja öryggi og vernd gegn óleyfilegum aðgangi, s.s. hafa sérstök aðgangsstýrð vefsvæði.

 

Hver sá sem starfar hjá fjárhagsupplýsingastofu er þagnarskyldur um þau atriði sem hann kemst að í starfi sínu, og leynt eiga að fara. Hann skal undirrita þagnarheit.

 

2.11.

Skýrslugjöf til Persónuverndar

Starfsleyfishafi skal ársfjórðungslega tilkynna Persónuvernd um hve margir hafi aðgang að skrám hans og hverjir það eru, hve margir einstaklingar eru á skránum og hve mikið sé skráð af hverri tegund upplýsinga.

 

3.

Um breytingar, gildistíma o.fl.

Skilmálar leyfis þessa gilda þar til annað hefur verið ákveðið. Persónuvernd tekur þá til endurskoðunar telji hún ástæðu til þess. Þeir standa við hlið ákvæða laga nr. 77/2000, og reglna settra á grundvelli þeirra, og eru þeim til fyllingar.

 

Meiri háttar breytingar á vinnslu persónuupplýsinga eru háðar leyfi Persónuverndar en minni háttar breytingar nægir að tilkynna. Það má gera eftir á en þó ekki síðar en 4 vikum eftir að þær eru gerðar. Stöðvun á rekstri og vinnslu skal tilkynna þegar í stað.

 

Fjárhagsupplýsingastofu er heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hún sjálf ber ábyrgð á enda hafi hún áður sannreynt að hann geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit.

 

Hverjum þeim er starfar í umboði fjárhagsupplýsingastofu eða vinnsluaðila, að vinnsluaðila sjálfum meðtöldum, og sem hefur aðgang að persónuupplýsingum, er aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli í vinnslusamningi nema lög mæli fyrir á annan veg.

 

Leyfi þetta öðlast gildi 1. janúar 2018 og gildir til 31. desember s.á.

 

Athugasemd

Gildistími leyfisins hefur verið framlengdur, nú síðast til 10. maí 2021.Var efnið hjálplegt? Nei