Gerð lánshæfismats og skráning á vanskilaskrá

5.4.2017

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 26. janúar 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/950:

 

I.

Málsmeðferð

 

1.

Tildrög máls

Þann 21. júní 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir skráningu hans á skrá Creditinfo Lánstrausts hf. (Creditinfo) um fjárhagsmálefni og lánstraust einstaklinga. Í kvörtuninni segir að honum hafi ekki verið veitt viðeigandi fræðsla og að hann hafi ekki fengið þá 14 daga aðvörun sem um er getið í starfsleyfi Creditinfo. Þá lýtur kvörtunin einnig að því að starfsfólk Creditinfo hafi neitað að eyða áhrifum skráningarinnar, sem hafi veruleg áhrif á lánshæfismat hans. Hann hafi því verið skráður á umrædda skrá án þess að geta mótmælt fyrirhugaðri skráningu og án þess að fá möguleika á að koma meintum vanskilum í skil.

 

2.

Bréfaskipti

Með bréfi, dags. 5. júlí 2016, var Creditinfo boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarað var með bréfi, dags. 14. s.m. Þar segir að kvartanda hafi verið sent bréf, dags. 10. maí 2016, um fyrirhugaða færslu upplýsinga um hann á umrædda skrá Creditinfo, á skráð lögheimili hans. Bréfið hafi ekki verið endursent til félagsins. Afrit af umræddu bréfi til kvartanda fylgdi svarbréfi Creditinfo til Persónuverndar. Þá hafi tilkynning um fyrirhugaða skráningu verið vistuð inn á öruggt vefsvæði kvartanda hjá Creditinfo. Færsla með upplýsingum um kvartanda hafi verið sett á umrædda skrá Creditinfo þann 27. maí 2016, eða 17 dögum eftir dagsetningu bréfsins.

Í svari Creditinfo segir einnig að kvartandi hafi sent tölvupóst til fyrirtækisins að kvöldi 9. júní 2016 þar sem m.a. kom fram að honum hefði ekki borist tilkynning um fyrirhugaða skráningu hans.

Að morgni 10. júní 2016 hafi Creditinfo sent tölvupóst til kvartanda og greint honum frá því að honum hefði verið tilkynnt, með bréfi dags. 10. maí s.á., um fyrirhugaða skráningu upplýsinga um hann. Í bréfinu hafi honum m.a. verið gert viðvart um að upplýsingar um vanskil kröfunnar yrðu skráðar í gagnagrunn Creditinfo 17 dögum eftir dagsetningu bréfsins.

Með bréfi, dags. 20. júlí 2016, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Creditinfo. Svarað var með tölvupósti, dags. 4. ágúst 2016. Þar ítrekar kvartandi að honum hafi aldrei verið send tilkynning um fyrirhugaða skráningu.

Með bréfi, dags. 24. ágúst 2016, óskaði Persónuvernd frekari svara frá Creditinfo varðandi þann þátt kvörtunarinnar sem snýr að synjun Creditinfo um að eyða áhrifum umræddrar skráningar og því hvort félagið telji að vinnsla fyrirtækisins á persónuupplýsingum um kvartanda hafi verið í samræmi við grein 2.6 í starfsleyfi Persónuverndar, dags. 28. desember 2015 (mál nr. 2015/1428). Svarað var með bréfi, dags. 1. september 2016. Þar segir meðal annars:

„Þegar Creditinfo Lánstraust hf. hefur fengið staðfestingu á að krafa sé greidd eða henni hafi verið komið í skil er skráningu eytt af vanskilaskrá Creditinfo. Það sama er gert ef skráning verður fjögurra ára án þess að kröfu hafi verið komið í skil. Í báðum tilfellum er færslum eytt – þær afskráðar – af vanskilaskránni en til verða upplýsingar um viðskiptasögu hins skráða sem hægt er að nota í tölfræðilegum tilgangi líkt og gert er í lánshæfismati Creditinfo Lánstrausts hf. Eftir að færslur hafa verið afskráðar af vanskilaskrá er þeim ekki miðlað hvort sem þær eru afskráðar vegna uppgreiðslu eða vegna aldurs á skránni.“

Einnig segir að vinnsla lánshæfismats styðjist við samþykki hins skráða, m.a. til þess að notaðar séu breytur sem byggist á sögulegum upplýsingum um vanskil. Einnig er áréttuð sú afstaða Creditinfo að með lánshæfismati sé ekki miðlað upplýsingum af skrá um fjárhagsmálefni og lánstraust einstaklinga, enda séu þær breytur, sem ráða niðurstöðu lánshæfismats, ekki birtar þeim sem sæki matið. Þá er áréttað það sem fyrr greinir um skyldu til að meta lánshæfi áður en samningur um neytendalán er gerður, sbr. 10. gr. laga nr. 33/2013 um neytendalán. Í því sambandi segir:

„Það liggur í hlutarins eðli að tölfræðileg spá um atburði í framtíðinni verður að byggja á sögulegum upplýsingum, s.s. um skilvísi og greiðslugetu. Lánshæfislíkan Creditinfo Lánstrausts hf. er tölfræðilegt spálíkan líkt lánshæfislíkönum sem notuð eru víða um heim. Alls staðar í heiminum þar sem lánveitendur nota lánshæfismat eru sögulegar upplýsingar nýttar í þeim tilgangi að auka áreiðanleika slíks mats. Ef upplýsingar um greiðslusögu í fortíðinni eiga ekki að hafa áhrif á lánshæfismat væri grundvellinum kippt undan gagnsemi matsins. Slíkt mat myndi augljóslega ekki fullnægja ákvæðum 5. gr. laga nr. 33/2013 og færi þvert gegn ummælum með 10. gr. lagafrumvarpsins þar sem tiltekið er að lánshæfismat geti m.a. byggt á skilvísi og greiðslusögu en það hefur sýnt sig að sögulegar upplýsingar um skilvísi, vanskil og greiðslusögu hafa mikið forspárgildi um líkur á vanskilum í framtíðinni.“

Með vísan til þessa segir í bréfinu að lögvarðir hagsmunir lánveitanda, sbr. 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, vegi hér þyngra en grundvallarréttindi og frelsi hins skráða. Þá segir að löggjöf um neytendalán sé ætlað að vernda hagsmuni neytenda á þann hátt að þeir skuldsetji sig ekki umfram greiðslugetu. Lánshæfismat Creditinfo styðji slík markmið, en lánshæfismat, sem augljóslega ofmæti lánshæfi einstaklings, væri skaðlegt hagsmunum lántaka og lánveitanda og gengi þvert gegn markmiðum laga nr. 33/2013.

Að auki er áréttað í bréfinu að áhrifum skráninga sé ekki eytt nema krafa hafi verið óréttmæt. Í tilfelli kvartanda eru færslur sem hafa áhrif á lánshæfismat yngri en þriggja ára og afskráðar á árunum 2015 og 2016.

Kvartanda var veittur kostur á að tjá sig um framkomin svör Creditinfo með bréfi Persónuverndar, dags. 5. september 2016. Svarað var með tölvupósti, dags. 20. s.m., en þar ítrekar kvartandi að honum hafi aldrei borist tilkynning um fyrirhugaða skráningu hjá Creditinfo á lögheimili sitt.

Með bréfi, dags. 13. desember 2016, var Creditinfo veittur kostur á að koma á framfæri athugasemdum við framkomnar athugasemdir kvartanda um að umrædd tilkynning hafi ekki verið send á lögheimili hans. Jafnframt var óskað svara um hvaða ráðstafanir Creditinfo geri til að tryggja sönnun um að bréf um fyrirhugaða skráningu á áðurnefnda skrá hafi borist viðtakanda. Svarað var með bréfi, dags. 29. s.m. Þar segir m.a.:

„[...] var kvartanda í samræmi við ákvæði 21. gr. laga nr. 77/2000 [...], sbr. 4. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust og starfsleyfis Creditinfo Lánstrausts hf. sent bréf þann 10. maí sl. - tilkynning um fyrirhugaða skráningu á vanskilaskrá Creditinfo Lánstrausts hf. - á skráð lögheimili [...]. Einnig var tilkynningin vistuð inn á öruggt vefsvæði kvartanda hjá Creditinfo Lánstrausti hf.“

Varðandi ráðstafanir Creditinfo til að tryggja sönnur um að bréf berist kvartanda segir m.a.:

„Ekki er unnt að sýna fram á að bréf hafi verið móttekið á lögheimili hins skráða nema með því að senda bréf með ábyrgðarpósti eða öðrum viðlíka hætti. Ekki verður ráðið af ákvæði 21. gr. laga nr. 77/2000 [...], greinargerð með lögunum, 4. gr. reglugerðar nr. 246/2001 [...] eða gr. 2.3. í starfsleyfi Creditinfo Lánstraust hf. sem fjalla um fræðsluskyldu að gerð sé krafa um að tilkynning til hins skráða sé send með ábyrgðarbréfi eða öðrum þeim þætti sem tryggir sönnun um móttöku. Þvert á móti gerir starfsleyfið ráð fyrir því að í sumum tilfellum sé ekki unnt að koma fræðslutilkynningu til skila og tekur sérstaklega á því að slíkt hindri ekki skráningu á vanskilaskrá.“

Með símtali hinn 24. janúar 2017 óskaði Persónuvernd eftir gögnum frá Creditinfo sem staðfesti að fjárhagsupplýsingastofan hefði fylgt verkferli við útsendingu bréfa samkvæmt grein 2.3.2 í fyrrnefndu starfsleyfi Persónuverndar til handa Creditinfo. Svar Creditinfo barst Persónuvernd með tölvupósti sama dag.

Meðfylgjandi svari Creditinfo var yfirlit úr aðgerðaskráningu í tölvukerfi fyrirtækisins þar sem rakinn er ferill tilkynningar til kvartanda um fyrirhugaða skráningu vanskila. Einnig var meðfylgjandi færsla úr aðgerðaskráningunni um svokallaðan bréfapakka með tilteknum fjölda bréfa og blaðsíðna sem sendur var Umslagi ehf. sem hefur milligöngu um prentun, pökkun og póstlagningu bréfa f.h. Creditinfo. Að auki var meðfylgjandi færsla úr skrá yfir hvaða bréf voru í bréfapakkanum, en samkvæmt færslunni var bréfið til kvartanda þar að finna. Meðfylgjandi var einnig fylgiskjal með fjöldasendingu bréfa í bréfapakkanum, en þar kemur fram að um ræði sama fjölda og aðgerðaskráningin tilgreinir. Þá var meðfylgjandi staðfesting frá Umslagi á því að bréfin hefðu verið póstlögð, sem og að fjöldi bréfanna og blaðsíðna í þeim hafi verið sá sami og samkvæmt aðgerðaskráningunni.

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Við mat á því hver sé ábyrgðaraðili í þessum skilningi getur þurft að líta til ákvæða í öðrum lögum eins og við á hverju sinni. Eins og hér háttar til reynir á lög nr. 33/2013 um neytendalán í því samhengi. Samkvæmt 2. mgr. 10. gr. þeirra laga skal lánveitandi, áður en samningur um neytendalán er gerður, meta lánshæfi neytanda. Samkvæmt i-lið 5. gr. laganna er þar um að ræða mat lánveitanda á lánshæfi lántaka byggt á upplýsingum sem eru til þess fallnar að veita áreiðanlegar upplýsingar um líkindi þess hvort lántaki geti efnt lánssamning. Lánshæfismat skuli byggt á viðskiptasögu aðila á milli og/eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust.

Creditinfo hefur yfir að ráða upplýsingakerfum um fjárhagsmálefni og lánstraust sem meðal annars lánveitendur afla sér upplýsinga úr þegar metið er lánshæfi þeirra sem æskja fjárhagslegrar fyrirgreiðslu. Ljóst má telja að viðkomandi lánveitendur séu ábyrgðaraðilar að þeirri vinnslu sem þeir sjálfir viðhafa við gerð slíks mats. Það að koma þess háttar upplýsingakerfum á fót og að framan greinir og vinna með upplýsingar í þeim í því skyni að miðla þeim til lánveitenda telst hins vegar vera á ábyrgð þess aðila sem hefur rekstur upplýsingakerfanna með höndum. Samkvæmt því telst Creditinfo vera ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem fólst í notkun upplýsinga, sem þar hafa verið skrásettar, til gerðar skýrslna fyrirtækisins á lánshæfi kvartanda.

 

2.

Starfsleyfi Creditinfo Lánstrausts hf.

Söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, þarf að byggjast á starfsleyfi Persónuverndar, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust sem sett er með stoð í 45. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Starfsemi Creditinfo fellur að miklu leyti undir framangreind ákvæði og hefur Persónuvernd veitt fyrirtækinu leyfi í samræmi við þau, sbr. nú leyfi, dags. 28. desember 2015 (mál nr. 2015/1428). Varðandi þá vinnslu, sem um ræðir í máli þessu, verður hins vegar að líta til 1. mgr. 1. gr. áðurnefndrar reglugerðar, en þar segir að hún taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi. Slíkt lánshæfismat og hér um ræðir felur í sér gerð slíkra skýrslna og fellur því ekki undir framangreint leyfi. Jafnframt er þó ljóst að upplýsingar, sem falla undir leyfið, má ekki nýta í þágu gerðar lánshæfismats á þann hátt að brjóti gegn leyfinu.

 

3.

Lögmæti vinnslu

Svo að vinnsla persónuupplýsinga sé heimil þarf ávallt að vera fullnægt einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Samkvæmt 1. tölul. þeirrar málsgreinar er vinnsla persónuupplýsinga heimil á grundvelli samþykkis. Fyrir liggur að áður en gerð var skýrsla um lánshæfi hjá Creditinfo lá fyrir beiðni hins skráða. Við mat á því hvort beiðnin feli í sér samþykki er til þess að líta að samþykki þarf að vera veitt af fúsum og frjálsum vilja, sbr. 7. tölul. 2. gr. laga nr. 77/2000. Ljóst er hins vegar, m.a. þegar litið er til laga nr. 33/2013 um neytendalán, að vilji einstaklingur eiga tiltekin viðskipti getur hann ekki komist hjá því að lánshæfi hans sé metið. Það að til staðar sé raunverulegt val einstaklings er skilyrði þess að kröfum til samþykkis sé fullnægt og telur Persónuvernd að eins og hér háttar til geti skort á að svo sé. Jafnframt skal þó tekið fram að stofnunin telur engu að síður mikilvægt að í aðdraganda gerðar lánshæfismats liggi fyrir beiðni hins skráða, m.a. í ljósi sjónarmiða um sanngirni vinnslu, sbr. það sem síðar greinir um 7. gr. laga nr. 77/2000, og til að fullnægjandi fræðsla sé veitt, sbr. 20. og 21. gr. sömu laga.

Samkvæmt 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Þá er vinnsla heimil samkvæmt 3. tölul. sömu málsgreinar sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, en slík lagaskylda getur falist í lögum nr. 33/2013. Telja má þessar tvær vinnsluheimildir geta rennt stoðum undir vinnslu persónuupplýsinga í tengslum við gerð lánshæfismats hjá lánveitanda sem metur lánshæfi einstaklings sem æskir fjárhagslegrar fyrirgreiðslu. Fyrirtæki, sem útbýr skýrslur um lánshæfi í því skyni að miðla þeim til lánveitenda, er ekki aðili að samningi um þess háttar fyrirgreiðslu, auk þess sem lagaskylda samkvæmt lögum nr. 33/2013 hvílir ekki á því. Framangreindar tvær vinnsluheimildir geta því ekki átt við um Creditinfo sem slíkt fyrirtæki. Til þess er hins vegar að líta að samkvæmt 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Telur Persónuvernd þetta ákvæði einkum geta átt við um þá vinnslu persónuupplýsinga sem fram fer í upplýsingakerfum Creditinfo vegna gerðar skýrslna um lánshæfi.

Auk þess sem heimild þarf að vera fyrir vinnslu persónuupplýsinga í 8. gr. laga nr. 77/2000 verður öllum grunnkröfum 1. mgr. 7. gr. sömu laga að vera fullnægt við slíka vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og vera í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli vera varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

Hér reynir á hvort við gerð skýrslna um lánshæfi kvartanda hafi Creditinfo mátt notast við færslur á skrá um fjárhagsmálefni og lánstraust einstaklinga sem eytt hafði verið af þeirri skrá á grundvelli greinar 2.6 í starfsleyfi fyrirtækisins til að halda skrána, sbr. leyfi, dags. 29. september 2014 (mál nr. 2014/1640), og fyrrnefnt leyfi, dags. 28. desember 2015, sem í gildi voru á þeim tíma sem færslur um kvartanda voru afskráðar. Samkvæmt þessu ákvæði skal eyða upplýsingum um einstakar skuldir af skránni sé vitað að þeim hafi verið komið í skil, sem og upplýsingum sem orðnar eru fjögurra ára gamlar. Hins vegar kemur fram að geyma má síðarnefndu upplýsingarnar í þrjú ár til viðbótar ef þær lúta ströngum aðgangstakmörkunum og ef þess er vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn Creditinfo sem þess þurfa nauðsynlega starfs síns vegna. Að þeim tíma liðnum skal þeim eytt. Þessi heimild til þriggja ára viðbótarvarðveislu upplýsinga, sem byggist á 3. mgr. 5. gr. reglugerðar nr. 246/2001, var fyrst tekin upp í starfsleyfi hjá Creditinfo (þá Lánstrausti hf.) útgefnu hinn 17. október 2002 (mál nr. 2002/371), þ.e. 4. gr. þess. Var byggt á rökstuðningi frá fyrirtækinu sem fram kom í bréfi þess, dags. 17. september s.á., en þar var umræddrar varðveislu sögð þörf þar sem skráðir einstaklingar kynnu að óska eftir upplýsingum um gögn sem skráð hefðu verið um þá og ágreiningur kynni að rísa um réttmæti skráningar.

Sé umrætt starfsleyfisákvæði túlkað nákvæmlega eftir orðalagi sínu telst öll vinnsla upplýsinga samkvæmt því hjá Creditinfo óheimil hafi viðkomandi kröfu verið komið í skil. Er þá litið til þeirra fyrirmæla ákvæðisins að upplýsingum um slíkar kröfur skal eytt af skrá samkvæmt starfsleyfinu, sem og til þess að heimild til þriggja ára viðbótarvarðveislu undir ströngum aðgangstakmörkunum á ekki við um þær. Hins vegar verður hér einnig að líta til ákvæða reglugerðar nr. 246/2001, en ákvæði í starfsleyfum frá Persónuvernd verða að vera innan þess ramma sem sú reglugerð afmarkar. Um eyðingu upplýsinga er fjallað í 3. mgr. 5. gr. reglugerðarinnar, en þar segir að eyða skuli jafnharðan úr skrám fjárhagsupplýsingastofu upplýsingum sem eru eldri en fjögurra ára nema annað sé sérstaklega heimilað í starfsleyfi frá Persónuvernd. Ekki er að finna ákvæði í reglugerðinni um eyðingu upplýsinga sem komið hefur verið í skil. Þess í stað segir í 2. mgr. 6. gr. reglugerðarinnar að óheimilt sé að miðla slíkum upplýsingum. Af því verður ráðið að varðveisla þeirra sé eftir sem áður heimil þar til fjögurra ára fresturinn er liðinn, en ætla verður að slík varðveisla geti þjónað málefnalegum tilgangi, s.s. þeim að leysa úr ágreiningi af tilefni skráningar. Telur Persónuvernd samkvæmt þessu að fyrirmæli greinar 2.6 um eyðingu upplýsinga, sem komið hefur verið í skil, skuli ekki túlkast á þann veg að þeim skuli eytt alfarið heldur þannig að þeim skuli eytt af þeirri skrá sem notuð er til miðlunar. Samkvæmt því, og í samræmi við reglugerð nr. 246/2001, er varðveisla þeirra því heimil áfram utan þeirrar skrár þar til þær hafa náð fjögurra ára aldri, enda sé viðeigandi öryggis gætt, þ. á m. með aðgangshindrunum, í samræmi við 11. gr. laga nr. 77/2000.

Þær upplýsingar, sem hér um ræðir, lúta að kröfum sem komið hefur verið í skil en eru ekki enn orðnar fjögurra ára gamlar. Í samræmi við það taldist varðveisla þeirra, utan þeirrar skrár sem Creditinfo notar til miðlunar á grundvelli umrædds starfsleyfis, enn vera heimil þegar þær voru nýttar til gerðar skýrslu um lánshæfi kvartanda. Reynir þá á hvort notkun upplýsinganna í slíkum tilgangi geti jafnframt talist vera heimil. Ákvæði reglugerðar nr. 246/2001 og fyrrnefnds starfsleyfis útiloka það ekki, en jafnframt er ljóst að afmarka verður þröngt í hvaða skyni vinna megi með upplýsingar sem safnað er á grundvelli reglugerðarinnar og leyfisins. Eins og hér háttar til hefur það vægi að skýrslum Creditinfo um lánshæfi er ætlað að nýtast við lánshæfismat á grundvelli framangreinds ákvæðis 10. gr. laga nr. 33/2013. Þau lög voru meðal annars sett til innleiðingar á tilskipun 2008/48/EB um lánasamninga fyrir neytendur, en samkvæmt 1. mgr. 8. gr. þeirrar tilskipunar skal tryggja að áður en slíkur samningur er gerður meti lánveitandi lánshæfi neytandans á grundvelli fullnægjandi upplýsinga sem eru, þegar við á, fengnar frá neytandanum og á grundvelli leitar í viðeigandi gagnasafni ef þörf krefur. Í 26. lið formála tilskipunarinnar er fjallað nánar um slíkt lánshæfismat, en þar segir meðal annars að gerðar skuli viðeigandi ráðstafanir til að stuðla að ábyrgum starfsháttum í öllum þáttum lánveitinga. Kemur fram að áhætta, sem fylgi vanskilum og skuldasöfnun, skipti máli í því sambandi og að einkum sé mikilvægt að lánveitendur stundi ekki óábyrgða lánastarfsemi eða veiti lán án þess að hafa áður fengið mat á lánshæfi. Segir einnig að ákvarða skuli nauðsynleg úrræði til að beita þá lánveitendur viðurlögum sem það geri.

Af framangreindu er ljóst að rík áhersla er á það lögð að gert sé áreiðanlegt lánshæfismat í aðdraganda samnings um neytendalán. Einnig liggur fyrir, eins og áður greinir, að skýrslum Creditinfo er ætlað að nýtast til gerðar slíks mats. Þá verður ekki litið svo á að það feli í sér óheimila miðlun upplýsinga um vanskilakröfur, sem komið hefur verið í skil, að þær hafi áhrif á niðurstöðu skýrslna um lánshæfi, enda liggur fyrir að upplýsingarnar sjálfar berast ekki viðtakendum matsins. Þegar litið er til þessa telur Persónuvernd vinnslu Creditinfo á þeim upplýsingum um kvartanda, sem um ræðir í máli þessu, hafa átt stoð í áðurgreindu ákvæði 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en auk þess telur stofnunin ekki hafa komið fram að farið hafi verið gegn kröfum 1. mgr. 7. gr. sömu laga um meðal annars sanngirni, meðalhóf, áreiðanleika og varðveislutíma við vinnslu persónuupplýsinga. Jafnframt minnir stofnunin hins vegar á mikilvægi þess að við slíka upplýsingavinnslu og hér um ræðir sé ávallt viðhaft virkt innra eftirlit samkvæmt 12. gr. laganna til að tryggja að farið sé að þessum kröfum, sem og að öryggi sé fullnægjandi og að farið sé að lögum að öðru leyti.

 

4.

Fræðsla til kvartanda

Kvörtun snýr einnig að því hvort kvartanda hafi verið veitt fræðsla í aðdraganda skráningar upplýsinga um hann á skrá Creditinfo um fjárhagsmálefni og lánstraust einstaklinga.

Í 1. mgr. 21. gr. laga nr. 77/2000 segir að þegar ábyrgðaraðili afli persónuupplýsinga frá öðrum en hinum skráða skuli hann samtímis láta hinn skráða vita af því og greina honum frá þeim atriðum sem talin eru upp í 3. mgr. sömu greinar. Samkvæmt 2. mgr. ákvæðisins skal ábyrgðaraðili, sem annast miðlun upplýsinga um fjárhagsmálefni og lánstraust, láta hinn skráða vita 14 dögum áður en slíkum upplýsingum er miðlað í fyrsta sinn.

Sú regla er áréttuð í grein 2.3 í fyrrgreindu starfsleyfi Creditinfo frá 28. desember 2015. Þá segir í 1. mgr. greinar 2.3.2 í starfsleyfinu að senda skuli fræðslutilkynningu á skráð lögheimili samkvæmt Þjóðskrá, en auk þess sé heimilt að senda hana með rafrænum hætti á sérstakt og öruggt vefsvæði, s.s. í netbanka. Ef fjárhagsupplýsingastofa verði þess vör að fræðsla hafi ekki komist til skila, eða hafi hún ástæðu til að ætla að svo sé, skuli hún senda hinum skráða aðra tilkynningu.

Í 2. mgr. sömu greinar segir að þrátt fyrir að fyrirtækinu beri að veita fræðslu í samræmi við ófrávíkjanlegt ákvæði 2. mgr. 21. gr. laga nr. 77/2000 þá felist ekki í því að aldrei megi hafa mann á skrá nema hann hafi sannarlega fengið fræðslu í hendur. Ef fræðslutilkynning hafi verið endursend, og fjárhagsupplýsingastofa hafi kannað hvort hann hafi fengið nýtt heimilisfang samkvæmt Þjóðskrá, og reynt að senda honum nýja tilkynningu þangað, en hún verið endursend eða send um hæl með áritun um að hann hafi ekki vitjað sendingar, eða neitað að veita henni viðtöku, megi stofan hafa nafn hans á skrá. Í 3. mgr. sömu greinar segir að ef fjárhagsupplýsingastofa velji að fylgja framangreindu verkferli þá skuli hún ávallt hafa undir höndum gögn er staðfesti að hún hafi gert það og geta framvísað þeim að ósk Persónuverndar.

Eins og fyrr greinir hefur komið fram af hálfu Creditinfo að kvartanda hafi verið sent bréf, dags. 10. maí 2016, þar sem honum var tilkynnt um fyrirhugaða skráningu vanskila. Einnig hefur komið fram af hálfu fyrirtækisins að bréfið hafi ekki verið endursent. Um réttmæti þess stendur orð gegn orði og er Persónuvernd ekki kleift að greiða úr ágreiningi um staðreyndir málsins hvað það varðar. Hins vegar getur stofnunin tekið afstöðu til þess hvort fullnægjandi vinnuferli hafi verið fylgt við veitingu fræðslu í ljósi framangreinds starfsleyfisákvæðis.

Í því sambandi er til þess að líta að eins og lýst er í niðurlagi I. þáttar hér að framan sendi Creditinfo Persónuvernd gögn hinn 24. janúar 2016 um hvernig staðið var að sendingu umrædds bréfs, m.a. skráningu á því að bréfið hefði tilheyrt svonefndum bréfapakka, sem og að fjöldi bréfa og blaðsíðna í honum hefði ekki breyst í því vinnuferli sem fylgt var við útsendingu bréfanna. Telur Persónuvernd þetta vinnuferli við veitingu fræðslu hafa verið fullnægjandi í ljósi laga og framangreindra starfsleyfisskilmála.

 

5.

Niðurstaða

Þegar litið er til framangreinds telur Persónuvernd vinnslu Creditinfo á þeim upplýsingum um kvartanda, sem um ræðir í máli þessu, hafa átt stoð í áðurgreindu ákvæði 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.

Hvað varðar þann þátt kvörtunarinnar sem lýtur að sendingu tilkynningar til kvartanda telur Persónuvernd að í ljósi skýringa Creditinfo og þeirra gagna sem félagið hefur lagt fram að Creditinfo hafi fullnægt skyldum sínum samkvæmt starfsleyfi Persónuverndar til handa fyrirtækinu, reglugerðar nr. 246/2001 og lögum nr. 77/2000 hvað varðar fræðslu til kvartanda.

Auk þess telur stofnunin ekki hafa komið fram að farið hafi verið gegn kröfum 1. mgr. 7. gr. sömu laga um meðal annars sanngirni, meðalhóf, áreiðanleika og varðveislutíma við vinnslu persónuupplýsinga. Jafnframt minnir stofnunin hins vegar á mikilvægi þess að við slíka upplýsingavinnslu og hér um ræðir er brýnt að viðhafa ávallt virkt innra eftirlit samkvæmt 12. gr. laganna til að tryggja að farið sé að þessum kröfum, sem og að öryggi sé fullnægjandi og að farið sé að lögum að öðru leyti.

 

 

Ú r s k u r ð a r o r ð:

Verklag Creditinfo Lánstrausts hf. við veitingu fræðslu til [A] um skráningu vanskila, sem og vinnsla fyrirtækisins á upplýsingum um hann við gerð lánshæfismats, þ.e. á upplýsingum úr skrá um fjárhagsmálefni og lánstraust einstaklinga um kröfur sem komið hafði verið í skil, samrýmdist lögum og skilmálum í starfsleyfi til handa fyrirtækinu.