Rökstuðningur Persónuverndar fyrir synjun vegna tilgreindra atriða
Svar við bréfum Lánstrausts hf., dags. 13. og 25. mars 2009,
með ósk um rökstuðning vegna tilgreindra atriða.
I.
Forsaga málsins
Með bréfi, dags. 27. október 2008, vakti Persónuvernd athygli Lánstrausts hf. á að starfsleyfi þess til söfnunar og miðlunar fjárhagsupplýsinga um einstaklinga myndi renna út í byrjun janúar 2009. Samhliða gaf Persónuvernd félaginu kost á því að koma á framfæri sínum athugasemdum í tengslum við málið.
Með bréfi, dags. 15. desember 2008, sendi félagið bréf til Persónuverndar. Þar komu fram fjölþættar athugasemdir og tillögur að nýmælum í nýju starfsleyfi.
Meðal helstu tillagna var að félagið myndi mega a) vinna upplýsingar um greiðsluhegðun einstaklinga, b) að félagið mætti vinna tölfræðiupplýsingar úr eigin gögnum félagsins sem ekki yrði unnt að persónugreina, c) að endurskoðaðar yrðu viðmiðunarfjárhæðir vegna skráningar í vanskilaskrá, d) að félagið mætti miðla upplýsingum um tengsl tveggja eða fleiri lögaðila sem fyrirfram yrðu skilgreindir og e) að mega reikna út líkur á að einstaklinga muni lenda í alvarlegum vanskilum. Þá var vikið að vinnslu tölfræðiupplýsinga þar sem notaðir yrðu gagnagrunnar félagsins.
Þann 20. janúar sl. mættu fulltrúar félagsins á fund með forstjóra og starfsmanni stofnunarinnar. Var farið yfir framangreind atriði. Forstjóri Persónuverndar útskýrði að hvaða marki hluti þeirra atriða sem sem félagið hafði nefnt rúmaðist þegar innan heimilda félagsins. Einnig að viss atriði, s.s. varðandi lögaðila, yrðu tekin til skoðunar þegar kæmi að útgáfu starfsleyfis varðandi upplýsingar um þá. Þá rifjaði forstjóri upp að Persónuvernd hefði þegar svarað erindum félagsins um vinnslu greiðsluhegðunarupplýsinga og reifaði í þeirri umræðu niðurstöður mála 2007/555 og 2008/482. Vegna athugasemdar um ópersónugreinanlegar tölfræðiupplýsingar fór forstjóri yfir gildissvið laga nr. 77/2000 og útskýrði að ópersónugreinanlegar upplýsingar falla utan þess. Loks tók forstjóri fram að ósk félagsins um að mega reikna út líkur á að einstaklingar muni lenda í alvarlegum vanskilum hefði áður verið svarað af hálfu stofnunarinnar með rökum, en yrði rædd aftur í tengslum við útgáfu nýs starfsleyfis.
Í kjölfar fundarins sendi Persónuvernd félaginu drög að nýju starfsleyfi, með bréfi dags. 2. febrúar sl., og gaf félaginu kost á að tjá sig um drögin. Þann 5. febrúar óskaði stofnunin jafnframt eftir afstöðu félagsins til hugmyndar Persónuverndar um hækkun viðmiðunarfjárhæðar.
Félagið sendi Persónuvernd bréf, dags. 19. febrúar 2009. Kom fram að það taldi tilgangslaust að víkja aftur að eldri athugasemdum en gerði hins vegar athugasemdir við hugmynd um breytta viðmiðunarfjárhæð. Félagið sagði varðandi lágmarksfjárhæðir vegna skráningar á vanskilaskrá, að tekjur og skuldbindingar hins skráða ráði mestu um hvort tiltekin fjárhæð kröfu sé líkleg til að hafa afgerandi þýðingu við mat á fjárhag hans og vísar félagið til 3. gr. reglugerðar nr. 246/2001 þar sem tiltekið er að einungis sé heimilt að vinna með fjárhagsupplýsingar sem hafa afgerandi þýðingu við mat á fjárhag og lánstrausti hins skráða. Telur félagið af þessum sökum tímalengd greiðsludráttar og innheimtuaðgerðir betri mælikvarða á vanskil heldur en upphæð.
Persónuvernd ákvað síðar að falla, að svo stöddu, frá hugmynd um hækkun viðmiðunarfjárhæðar og við útgáfu nýs leyfis var henni haldið óbreyttri. Þarfnast þetta atriði því ekki frekari umræðu.
2.
Óskir Lánstrausts hf.
Rök/svör Persónuverndar
Með framangreindu bréfi Lánstrausts hf., dags. 19. febrúar 2009, vék það enn að óskum sínum um rýmri heimildir til vinnslu persónuupplýsinga. Þær voru þessar:
a) Að mega vinna markhópalista úr þeim gögnum sem félagið vinnur með á grundvelli þess starfsleyfis sem gildir á hverjum tíma.
b) Að mega miðla til áskrifanda upplýsingum um það ef einstaklingur fer af vanskilaskrá.
c) Að mega miðla upplýsingum um það hversu oft einstaklingi er flett upp í vanskilaskrá, en telur félagið þær ekki vera fjárhagsupplýsingar.
d) Að gerð yrði breyting á ákvæði í leyfisdrögum varðandi viðurlög vegna misnotkunar á skrám félagsins.
e) Að mega taka gjald fyrir að veita hinum skráða upplýsingar, í gegnum heimabanka, um hverjir hafi flett honum upp í vanskilaskrá.
f) Að mega vinna áhættumat um einstakling án hans samþykkis og finna hversu líklegt sé að tiltekinn einstaklingur lendi inn á eða fari út af vanskilaskrá innan tiltekins tíma. Er þess óskað að slík vinnsla megi fara fram án samþykkis hins skráða.
Fulltrúar félagsins, þeir Hákon Stefánsson og Reynir Grétarsson, mættu á fund stjórnar Persónuverndar þann 23. febrúar sl. Var farið yfir öll framangreind atriði og sjónarmið skýrð, þ. á m. áréttuð fyrri svör Persónuverndar um framangreind atriði. Fram kom að fulltrúar félagsins teldu sig nú geta fallist á hugmynd Persónuverndar um samningsbundið févíti og því væri ein af óskum þeirra (sbr. d-lið hér að framan) dregin til baka. Daginn eftir barst Persónuvernd síðan tölvubréf frá félaginu þar sem félagið gerði ákveðnar tillögur að útfærslum á ákvæðum leyfisins. Jafnframt var óskað eftir aðlögunartíma vegna breytinga á starfsleyfi félagsins. Persónuvernd varð við þeirri ósk, sbr. bréf dags. 13. mars sl.
Þann 11. mars sl. var útgefið nýtt starfsleyfi til félagsins. Þann 13. og 25. mars sl. óskaði félagið, með tölvubréfi, eftir bréflegum rökstuðningi vegna þeirra atriða sem það hafði óskað eftir að mega gera en ekki verið leyft. Þau eru þessi:
a) Að mega vinna markhópalista úr þeim upplýsingum sem félagið vinnur með á grundvelli þess starfsleyfis sem gildir á hverjum tíma.
b) Að mega miðla til áskrifanda upplýsingum um það ef einstaklingur fer af vanskilaskrá.
c) Að mega miðla upplýsingum um það hversu oft einstaklingi er flett upp í vanskilaskrá, en telur félagið þær ekki vera fjárhagsupplýsingar.
d) Að mega taka gjald fyrir að veita hinum skráða upplýsingar, í gegnum heimabanka, um hverjir hafi flett honum upp í vanskilaskrá.
e) Að mega vinna áhættumat um einstakling án hans samþykkis og finna hversu líklegt sé að tiltekinn einstaklingur lendi inn á eða fari út af vanskilaskrá innan tiltekins tíma. Er þess óskað að slík vinnsla megi fara fram án samþykkis hins skráða.
Verða hér að neðan enn veitt umbeðin svör um framangreind atriði, í þeirri röð sem þau eru þar talin upp:
2.1.
Vinnsla markhópalista úr þeim gögnum sem félagið vinnur
með á grundvelli starfsleyfis sem gildir á hverjum tíma.
Í 1. gr. gildandi starfsleyfis er skýrt tekið fram að starfsleyfishafa sé óheimilt að vinna markhópalista á grundvelli þeirra upplýsinga sem hann má vinna á grundvelli starfsleyfisins. Sama regla hefur gilt fram að útgáfu þess. Er afstaða Persónuverndar því enn óbreytt og vísast m.a. um skýringar til niðurstöðu dags. 18.08.2008 í máli 2008/359.
2.2.
Að mega miðla til áskrifanda upplýsingum um það ef einstaklingur fer af vanskilaskrá.
Af erindi félagsins að dæma þá yrði miðlað upplýsingum til aðila um að einstaklingur hafi farið af vanskilaskrá. Að mati Persónuverndar telst slík vinnsla ekki nauðsynleg til að félagið eða þriðji aðili, eða aðili sem upplýsingunum yrði miðlað til, geti gætt lögmætra hagsmuna sinna, sbr. 7. tl. 8. gr. laga nr. 77/2000. Að mati Persónuverndar getur umrædd vinnsla því ekki farið fram nema með samþykki hins skráða.
2.3.
Að mega miðla upplýsingum um það hversu oft einstaklingi er flett upp í vanskilaskrá,
því það séu ekki fjárhagsupplýsingar um viðkomandi
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og handvirka vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, sbr. 1. tölul. 2. gr. laganna. Af því leiðir að upplýsingar um það hversu oft einstaklingi hefur verið flett upp í vanskilaskrá LT teljast til persónuupplýsinga um hann, í skilningi laganna þar sem þær geta varpað ljósi á stöðu hans, þ. á m. hve margir hafa aflað sér upplýsinga um lánstraust hans.
Vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Af því leiðir að miðlun þeirra telst vera vinnsla í skilningi laganna. Af framangreindu er ljóst að miðlun upplýsinga um það hversu oft einstaklingi er flett upp í vanskilaskrá er „vinnsla persónuupplýsinga" í skilningi laga nr. 77/2000.
Ennfremur ber að hafa í huga að ekki verða af upplýsingum um fjölda uppflettinga ráðnar áreiðanlegar upplýsingar um lánstraust viðkomandi.
Til enn frekari skýringar minnir Persónuvernd á að öll vinnsla almennra persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000. Þá kann hún og að vera leyfisskyld en um það fer nú eftir reglum nr. 712/2008, áður reglum nr. 698/2004. Í 4. tl. 4. gr. gildandi reglna segir að söfnun persónuupplýsinga um fjárhagsmálefni og lánstraust einstaklinga í þeim tilgangi að miðla þeim til annarra sé háð leyfi Persónuverndar. Í útgefnum leyfum hefur alltaf verið að finna tæmandi talningu á þeim upplýsingum sem starfsleyfishafi má safna og miðla. Upplýsingar um fjölda uppflettinga hafa aldrei verið þar á meðal og miðlun þeirra því aldrei verið heimil. Til öryggis var minnt á þetta við útgáfu síðasta leyfis en þar segir nú í 2. mgr. 5. gr. að óheimilt sé að miðla upplýsingum um hve oft tilteknum einstaklingi eða einstaklingum hefur verið flett upp í skrám starfsleyfishafa.
2.4.
Taka gjalds fyrir að veita hinum skráða upplýsingar um hverjir hafi flett honum upp í vanskilaskrá,
þ.e. ef hann sækir þessar upplýsingar gegnum heimabanka.
Um upplýsingarétt hins skráða fer eftir 18. gr. laga nr. 77/2000. Samkvæmt greininni á hinn skráði rétt á að fá frá ábyrgðaraðila vitneskju um eftirtalin atriði:
1. hvaða upplýsingar um hann er eða hefur verið unnið með,
2. tilgang vinnslunnar,
3. hver fær, hefur fengið eða mun fá upplýsingar um hann,
4. hvaðan upplýsingarnar koma,
5. hvaða öryggisráðstafanir eru viðhafðar við vinnslu, enda skerði það ekki öryggi vinnslunnar.
Samkvæmt 15. gr. laga nr. 77/2000 skal verða við erindi samkvæmt ákvæðum 16., 18., 22., 25., 26., 27. og 28. gr. án þess að taka fyrir það sérstakt gjald. Þó má, ef um er að ræða mikinn kostnað, svo sem vegna ljósritunar skjala, taka greiðslu fyrir samkvæmt gjaldskrá sem ákveðin er af dómsmálaráðherra með reglugerð. Slík reglugerð hefur ekki verið sett og því engin heimild til að taka gjald fyrir að rækja þá skyldu sem hvílir á ábyrgðaraðila skv. 18. gr. laganna. Af því leiðir að ekki verður tekið gjald af þeim sem snúa sér beint til Lánstrausts hf., hvort heldur er bréfleiðis eða símleiðis, og óska vitneskju. Um gjald fyrir alla þjónustu umfram lagaskyldu fer samkvæmt lögmálum samningaréttar milli aðila, enda sé ekki farið í bága við lög.
2.5.
Að mega vinna áhættumat um einstakling án hans samþykkis og finna hversu líklegt
sé að hann lendi inn á eða fari út af vanskilaskrá innan tiltekins tíma.
Persónuvernd hefur áður afgreitt erindi félagsins um framangreint og með rökstuddum hætti synjað félaginu um leyfi. Er hér enn vísað til þeirra röksemda. Þær koma m.a. fram í niðurstöðu dags. 6. febrúar 2006 í máli nr. 2005/715, en þar kemur m.a. fram að túlka beri þröngt valdheimildir Persónuverndar til að heimila smíði gagnagrunna sem hafa að geyma fjölþættar persónuupplýsingar sem unnið er með án samþykkis hlutaðeigandi einstaklinga.
Í Persónuvernd 28. apríl 2009