Gerð skýrslna um lánshæfismat á grundvelli samþykkis, tengsl við fyrirtæki og upplýsinga- og aðgangsréttur kvartanda hjá Creditinfo Lánstrausti hf.

Mál nr. 2020010675

8.2.2021

Úrskurður

Hinn 28. janúar 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010675 (áður mál nr. 2019091820):

I.

Málsmeðferð

1.

Tildrög máls

Hinn 29. september 2019 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga um sig hjá Creditinfo Lánstrausti hf. (Creditinfo) í tengslum við gerð skýrslna um lánshæfismat hans.

Með bréfi, dags. 7. október 2019, var Creditinfo tilkynnt um framangreinda kvörtun og veittur kostur á að tjá sig um hana. Svarbréf Creditinfo barst Persónuvernd 27. október s.á. Með bréfi, dags. 20. janúar 2020, var kvartanda boðið að tjá sig um svar Creditinfo. Svarbréf kvartanda barst Persónuvernd 16. febrúar s.á. Með bréfi, dags. 23. júní s.á., óskaði Persónuvernd eftir frekari upplýsingum frá kvartanda. Svarbréf kvartanda barst Persónuvernd 30. júlí s.á. Með bréfi, dags. 27. október s.á., óskaði Persónuvernd eftir nánari upplýsingum frá Creditinfo. Var bréfið sent bæði vegna kvörtunar sama kvartanda í máli nr. 2020010634 og vegna þeirrar kvörtunar sem hér er til úrlausnar. Svarbréf fyrirtækisins barst 5. nóvember s.á. Með tölvupósti 19. nóvember s.á. og símtali 20. s.m. óskaði Persónuvernd frekari skýringa frá Creditinfo. Svör Creditinfo bárust 19. og 20. s.m. Með tölvupósti, dags. 27. s.m., óskaði Persónuvernd frekari skýringa frá Creditinfo. Svör Creditinfo bárust með tölvupósti 28. s.m. og 1. desember 2020.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð þessa máls hefur dregist vegna mikilla anna hjá Persónuvernd.

2.

Nánar um kvörtun

Kvartandi kveðst hafa komist að því að þrátt fyrir að enginn ætti kröfu á hendur honum hafi lánshæfismat hans hjá Creditinfo verið dregið niður þegar hann tók að sér að sitja í stjórn fyrirtækisins [X] ehf. Vísar kvartandi til þess að hann eigi ekkert félag og hafi aldrei verið stjórnarmaður eða eigandi í félagi sem hafi orðið gjaldþrota. Telur kvartandi það mikilvægt að persónulegum fjárhag starfsmanna sé haldið utan félaga er þeir starfa að einhverju eða öllu leyti hjá eða fyrir. Hafa skuli í huga að lánshæfismat Creditinfo sé ávallt lagt til grundvallar allri persónulegri fyrirgreiðslu eða viðskiptum hjá lánastofnunum hérlendis. Einstaklingur verði að samþykkja aðgang fjármálafyrirtækja að lánshæfismati sínu. Sé lánshæfismat ranglega skráð hjá Creditinfo eigi viðkomandi ekki nokkurn möguleika á að sitja í stjórnum félaga til að sinna þar störfum sínum, né heldur geti viðkomandi stundað eigin viðskipti er kunni að þarfnast fjármögnunar hjá lánastofnunum.

Þá gerir kvartandi athugasemdir við framgöngu Creditinfo og telur að fyrirtækið sýni enga tilburði til að beita meðalhófi, rökstyðja eða tilgreina heimildir sínar. Eins og sjáist af samskiptum hans við Creditinfo hafi persónuverndarfulltrúi fyrirtækisins lengi reynt að koma sér undan því að svara. Það hafi þæft málið og borið af sér sakir án þess að bera fyrir sig eða vísa til heimildar í starfsleyfi sínu. Tekur kvartandi fram að honum hafi ekki verið sent afrit starfsleyfis Creditinfo fyrr en 30. ágúst 2019. Hann hafi fengið sent bréf með einhvers konar framlengingu á starfsleyfi, dags. 28. júní s.á. Honum hafi verið hulið að finna mætti þetta starfsleyfi á Netinu og enginn hafi bent á það fyrr.

Auk framangreinds gerir kvartandi athugasemdir við að Creditinfo notist við samþykki sem heimild fyrir vinnslunni, sbr. það sem fram kemur í svarbréfi fyrirtækisins og fjallað er um í kafla I.3. Hann sé neyddur til að samþykkja lánshæfismatsútreikning við innskráningu á vef Creditinfo, ella fái hann ekki að sjá hvað fyrirtækið hafi skráð um hann. Samþykki hann ekki, þ.e. haki ekki við alla kassa sem Creditinfo setji upp sem skilyrði fyrir því að hann fái að sjá lánshæfismat sitt, komist hann ekki áfram. Þar á meðal sé það skilyrði að Creditinfo fái heimild til að reikna greiðslusögu viðkomandi, og geti notast við upplýsingar þar að lútandi við útreikninginn einnig.

3.

Sjónarmið Creditinfo Lánstrausts hf.

Creditinfo vísar til þeirra skyldna sem lagðar eru á lánveitendur samkvæmt lögum nr. 33/2013 um neytendalán og þess markmiðs laganna að koma í veg fyrir lánveitingar til einstaklinga sem eru líklegir til að lenda í vanskilum. Tekur Creditinfo fram að lánveitendum beri að viðhafa ábyrga útlánastefnu og nýta áreiðanlegar upplýsingar til að fyrirbyggja yfirskuldsetningu einstaklinga, sem endurspeglist í vanskilum og afskriftum krafna. Framangreind sjónarmið endurspeglist í 10. gr. laganna, þar sem tiltekin sé sú meginregla að lánveitanda sé óheimilt að veita lán ef lánshæfis- og/eða greiðslumat bendi til þess að lántaki hafi ekki fjárhagslega burði til að standa í skilum með lán. Í 5. gr. reglugerðar um lánshæfis- og greiðslumat nr. 920/2013 segi að lánshæfismat skuli byggt á viðskiptasögu milli lánveitanda og lántaka og/eða upplýsingum úr gagnagrunni um fjárhagsmálefni og lánstraust. Þar segi ennfremur að í þeim tilvikum sem engri viðskiptasögu sé til að dreifa milli lánveitanda og lántaka sé lánveitanda heimilt, að fengnu samþykki lántaka að byggja mat sitt eingöngu á upplýsingum úr gagnagrunni þriðja aðila um fjárhagsmálefni og lánstraust.

Með 15. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga hafi gerð lánshæfismats verið gert starfsleyfisskylt. Þann 16. júlí 2018 (mál nr. 2018/1229), degi eftir að framangreind lög hafi tekið gildi, hafi Creditinfo fengið útgefið leyfi frá Persónuvernd til vinnslu lánshæfismats. Leyfið hafi síðast verið endurnýjað þann 28. júní sl. (mál nr. 2019/1202). Framangreint ákvæði geri ráð fyrir setningu reglugerðar sem mæli nánar fyrir um skilyrði fyrir vinnslu. Sú reglugerð hafi ekki verið sett og sé því enn í gildi reglugerð nr. 246/2001, en í 1. mgr. 1. gr. hennar er tekið fram að reglugerðin taki ekki til starfsemi sem felist í útgáfu skýrslna um lánshæfi.

Creditinfo kveðst byggja vinnslu lánshæfismats á heimild í 1. tölul. 9. gr. laga nr. 90/2018 en áskrifendur Creditinfo geti ekki aflað lánshæfismats nema fyrir liggi samþykki viðkomandi einstaklings. Í samþykki komi fram að það veiti lánveitanda heimild til öflunar lánshæfismats hjá Creditinfo sem byggi á upplýsingum sem Creditinfo safni og/eða miðli, svo sem upplýsingum úr vanskilaskrá, hlutafélagaskrá, skattskrá o.fl. Farið er yfir eðli og hlutverk lánshæfismats Creditinfo, og hvaða áhrifaþætti fyrirtækið noti við gerð lánshæfismats um einstaklinga. Því sé heimilt að notast við upplýsingar um fyrrum skráningar á vanskilaskrá í þágu gerðar lánshæfismats, sbr. heimildir í starfsleyfi þess. Auk þess notist fyrirtækið við aðra lýðfræðilega áhættuþætti, svo sem aldur, búsetu, hjúskaparstöðu og einnig upplýsingar úr skattskrá, svo og upplýsingar um tengsl einstaklinga við atvinnulífið. Söguleg gögn um vanskil sýni að einstaklingar sem tengjast fyrirtækjum í fjárhagslegum vandræðum séu mun líklegri en aðrir til að lenda í vanskilum á næstu 12 mánuðum, þeim mun líklegri eftir því sem tengslin séu sterkari. Bent er á að tengsl einstaklinga við fyrirtæki séu þeim oftar en ekki til framdráttar en tengingar við fjárhagslega sterk fyrirtæki sem ekki séu með opin vanskil geti haft jákvæð áhrif á lánshæfismat viðkomandi. Creditinfo framkvæmi reglulegar uppfærslur á þeim þáttum sem liggi til grundvallar matinu til að tryggja sem best áreiðanleika þess. Vægi einstakra þátta geti þannig breyst, eftir atvikum aukist eða minnkað.

Eins og fram hafi komið í svari til kvartanda, hafi notkun upplýsinga í tengslum við fyrirtæki ekki verið áhrifaþáttur til lækkunar í mati hans. Eins og jafnframt hafi komið fram í svörum til kvartanda séu söguleg vanskil helsti áhrifaþáttur í lánshæfismati hans. Ekki hafi komið fram í máli kvartanda að skort hafi á samþykki eða beiðni hans við öflun lánshæfismats. Eins og áður hafi verið lýst sé lánshæfismat einungis afhent þriðja aðila ef fyrir liggi samþykki viðkomandi einstaklings.

Með vísan til framanritaðs telji Creditinfo fyrirtækið hafa farið að ákvæðum starfsleyfis útgefnu af Persónuvernd, lögum um persónuvernd og vinnslu persónuupplýsinga, svo og reglum settum á grundvelli þeirra laga.

4.

Samskipti Persónuverndar við kvartanda og afmörkun máls

Í bréfi kvartanda 16. febrúar 2020 voru gerðar athugasemdir við önnur atriði en upphaflega hafði verið kvartað yfir, svo sem við að Creditinfo gæti fengið afhentar gamlar upplýsingar um hann frá lánveitendum án samþykkis. Lánveitendur hans hefðu aldrei aflað leyfis til að skrá persónuupplýsingar um sig í fortíð og viðskiptasaga lánastofnana gæti verið einsleit og hlutdræg í garð lántaka. Virðist kvartandi hafa gert framangreindar athugasemdir vegna ummæla í svarbréfi Creditinfo um að lánshæfismat skuli byggt á viðskiptasögu milli lánveitanda og lántaka og/eða upplýsingum úr gagnagrunni um fjárhagsmálefni og lánstraust, sbr. 5. gr. reglugerðar nr. 920/2013. Í greininni segi ennfremur að í þeim tilfellum sem engri viðskiptasögu sé til að dreifa á milli lánveitanda og lántaka sé lánveitanda heimilt, að fengnu samþykki lántaka, að byggja mat sitt eingöngu á upplýsingum úr gagnagrunni þriðja aðila um fjárhagsmálefni og lánstraust.

Var kvartandi í ljósi framangreinds upplýstur um það af hálfu Persónuverndar með bréfi, dags. 23. júní 2020 og það áréttað að rannsókn stofnunarinnar beindist einkum að því hvort Creditinfo hefði farið að ákvæðum persónuverndarlaga við vinnslu persónuupplýsinga um hann, nánar tiltekið hvort fyrirtækinu hefði verið heimilt að notast við upplýsingar um tiltekin tengsl við fyrirtæki við útreikning lánshæfismats um hann, og hvort málsmeðferð Creditinfo í tengslum við framangreinda vinnslu hefði samrýmst persónuverndarlögum, sbr. það sem fram hefði komið í kvörtun hans. Var hann jafnframt upplýstur um að ef hann teldi viðskiptasögu sína hjá tilteknu fjármálafyrirtæki ranga gæti hann óskað eftir leiðréttingu hjá því fyrirtæki. Hann gæti síðan beint kvörtun vegna afgreiðslu fyrirtækisins á slíkri beiðni til Persónuverndar eftir atvikum.

Jafnframt óskaði Persónuvernd eftir nánari upplýsingum um það hver tengsl kvartanda væru við fyrirtækið [X] ehf. Þar á meðal var óskað upplýsinga um það hvaða stöðu eða stöðum hann gegndi eða hefði gegnt í því.

Í svarbréfi kvartanda 30. júlí 2020 var vísað til þess að hann kynni að hafa tekið að sér tímabundna stjórnarsetu í einhverjum fyrirtækjum, en þau störf við fyrirtækin sem málið varðaði, og sem féllu undir þann tímaramma er kvörtun hans varðaði, hefðu verið húsvarðarstörf við tvö fyrirtæki frá 2012 annars vegar og hins vegar lögfræðistörf og önnur verkefni í hlutastarfi við hin fyrirtækin. Ekki var vísað til fyrirtækisins [X] ehf.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda við gerð skýrslna um lánshæfi hans hjá Creditinfo. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Creditinfo Lánstraust hf. vera ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem fólst í notkun upplýsinga um kvartanda, sem hjá fyrirtækinu hafa verið skrásettar, til gerðar skýrslna fyrirtækisins um mat á lánshæfi hans.

2.

Starfsleyfi Creditinfo Lánstrausts hf.

Starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning og gerð lánshæfismats, í því skyni að miðla þeim til annarra, skal bundin leyfi Persónuverndar, sbr. 1. mgr. 15. gr. laga nr. 90/2018. Starfsemi Creditinfo fellur að miklu leyti undir þetta ákvæði og hefur Persónuvernd veitt fyrirtækinu starfsleyfi í samræmi við það, sbr. nú hvað einstaklinga varðar starfsleyfi Creditinfo vegna vinnslu upplýsinga um fjárhagsmálefni og lánstraust, dags. 29. desember 2017 (mál nr. 2017/1541 hjá Persónuvernd). Persónuvernd hefur jafnframt veitt fyrirtækinu starfsleyfi til vinnslu upplýsinga um lögaðila, dags. 23. desember 2016 (mál nr. 2016/1822 hjá Persónuvernd), og starfsleyfi til bráðabirgða vegna vinnslu persónuupplýsinga í þágu gerðar lánshæfismats, dags. 23. ágúst 2018 (mál nr. 2018/1229 hjá Persónuvernd).

Til þess er að líta að starfsleyfisskylda vegna gerðar lánshæfismats samkvæmt 15. gr. laga nr. 90/2018 er nýmæli og var hana ekki að finna í gildistíð laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Það bráðabirgðastarfsleyfi, sem nú er í gildi vegna vinnslu persónuupplýsinga í þágu gerðar lánshæfismats, hefur hins vegar ekki að geyma ákvæði sem hafa í för með sér breytingar frá þeirri framkvæmd sem mótast hefur í úrlausnum Persónuverndar varðandi lánshæfismat, þ.e. að Creditinfo beri að gæta að því að þær upplýsingar, sem skráðar eru á grundvelli starfsleyfa sem Persónuvernd hefur veitt, megi ekki nýta í þágu gerðar lánshæfismats á þann hátt að brjóti gegn útgefnum leyfum eða gildandi lögum almennt.

3.

Lögmæti vinnslu

3.1.

Samþykki viðbótarskilmála Creditinfo við innskráningu á vef fyrirtækisins

Öll vinnsla persónuupplýsinga, verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Þær heimildir sem einkum koma til álita hér eru að hinn skráði hafi gefið samþykki sitt fyrir vinnslu persónuupplýsinga um sig í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. 9. gr., eða að vinnslan hafi verið nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir og grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra, sbr. 6. tölul. sama ákvæðis.

Persónuvernd hefur talið ákvæði 6. tölul. 9. gr. eiga við um þá vinnslu persónuupplýsinga sem fer fram í upplýsingakerfum Creditinfo í tengslum við gerð skýrslna um lánshæfi einstaklinga, þegar það er gert fyrir hönd einstaklings í tengslum við lánveitingu eða fyrirgreiðslu af einhverju tagi, sbr. t.d. úrskurð Persónuverndar, dags. 31. maí 2018, í máli nr. 2017/537. Í úrskurðinum vísaði Persónuvernd til þess að ljóst væri, þegar litið væri til laga nr. 33/2013 um neytendalán, að skylt væri að meta lánshæfi lántaka áður en lán væri veitt og því gæti hann ekki komist hjá því að það yrði metið. Það að til staðar væri raunverulegt val einstaklings væri skilyrði þess að kröfum til samþykkis væri fullnægt og taldi stofnunin að við slíkar aðstæður skorti á að svo væri. Með vísan til framangreinds hefði vinnslan ekki getað farið fram á grundvelli heimildar samkvæmt 1. tölul. 9. gr. laganna.

Hins vegar liggur fyrir í máli þessu að gerð skýrslna um lánshæfismat kvartanda af hálfu Creditinfo fór ekki fram í tengslum við lánveitingu eða fyrirgreiðslu af einhverju tagi, heldur fyrir tilstilli kvartanda sjálfs. Nánar tiltekið sýna gögn máls að kvartandi skráði sig sjálfur inn á vefsvæði Creditinfo, þ.e. mitt.creditinfo.is, samþykkti þar viðbótarskilmála fyrirtækisins á því tímabili sem hér um ræðir og fékk þar reiknað lánshæfismat sitt.

Á sama álitaefni reyndi í úrskurði í máli nr. 2020010634 sem varðaði kvörtun sama kvartanda. Í málinu kvartaði kvartandi jafnframt yfir víðtækri gagnasöfnun Creditinfo við gerð lánshæfismats um hann við innskráningu á vef fyrirtækisins. Eins og atvikum er hér háttað telur Persónuvernd rétt að vísa til niðurstöðu stofnunarinnar þar um, en stofnunin telur sömu sjónarmið eiga við í þessu máli varðandi umrætt álitaefni. Í báðum málum hafði kvartandi samþykkt sömu viðbótarskilmála Creditinfo og ekki afturkallað það samþykki fyrr en 15. október 2019 eða rúmlega tveimur vikum eftir að kvörtun í þessu máli barst.

Með vísan til framangreinds telur Persónuvernd því Creditinfo hafa haft heimild til að útbúa lánshæfismat um kvartanda með notkun viðbótarupplýsinga á grundvelli samþykkis hans, sbr. 1. tölul. 9. gr. laga nr. 90/2018.

Reynir hins vegar jafnframt á hvort Creditinfo hafi verið heimilt að notast við upplýsingar um tiltekin tengsl kvartanda við fyrirtæki við útreikning á lánshæfismati hans og hvort málsmeðferð fyrirtækisins í tengslum við framangreinda vinnslu hafi samrýmst persónuverndarlögum. Slíkar upplýsingar voru ekki hluti af þeim viðbótarupplýsingum sem kvartandi samþykkti að yrðu notaðar við útreikning á lánshæfismati hans, sbr. framangreint. Telur Persónuvernd því Creditinfo ekki hafa getað byggt þá vinnslu á heimild 1. tölul. 9. gr. laganna um samþykki. Verður hér í framhaldinu því lagt mat á aðrar heimildir til skráningar og notkunar persónuupplýsinga við gerð skýrslna um lánshæfismat.

3.2.

Tengsl við fyrirtæki

Rétt er að geta þess að samkvæmt gögnum máls voru tengsl við fyrirtæki ekki þáttur til lækkunar á lánshæfismati kvartanda, sbr. tölvupóst Creditinfo til kvartanda 19. ágúst 2019. Kvartandi er þar einnig upplýstur um að mat hans hafi raunar verið betra með notkun þeirrar breytu, en án. Auk framangreinds þykir rétt að geta þess að samkvæmt samskiptum Persónuverndar við kvartanda undir rekstri máls er óljóst hvort kvartandi kvarti einungis yfir því að stjórnarseta hans í fyrirtækinu [X] ehf. hafi haft áhrif á lánshæfismat hans eins og í kvörtun greinir, eða hvort um ræði stjórnarsetu hans í fleiri fyrirtækjum, sbr. efni tölvupósts 19. ágúst 2019. Þar spyr kvartandi Creditinfo meðal annars hvers vegna lánshæfismat hans hafi lækkað þegar hann tók að sér stjórnarsetu í nokkrum félögum. Auk framangreinds virðist kvartandi einnig telja að önnur fyrirtæki sem hann starfaði hjá hefðu verið notuð við útreikning á lánshæfismati hans, sbr. svarbréf kvartanda sem rakið er í kafla I.4.

Ætla verður að tengsl kvartanda við önnur fyrirtæki en [X] ehf. kunni einhvern tíma að hafa haft áhrif á lánshæfismat hans. Til þess er hins vegar að líta á að kvörtun í máli þessu varðar tengsl hans við fyrirtækið [X] ehf. Þá segir í tölvupósti Creditinfo til kvartanda í kjölfar athugasemda hans til fyrirtækisins sem fylgdi með kvörtun að um hafi rætt tengsl hans við félagið [X] ehf., þar sem hann hafi verið skráður prókúruhafi í fyrirtækjaskrár Ríkisskattstjóra og sem stjórnarmaður síðar. Ekki liggja fyrir gögn sem sýna fram á að Creditinfo hafi notast við upplýsingar um önnur fyrirtæki við útreikning á því lánshæfismati sem kvartandi kvartar yfir í þessu máli. Í því sambandi vísast aftur til þess sem að framan greinir um að lánshæfismat Creditinfo er breytilegt og uppfærist daglega. Telur Persónuvernd því nauðsynlegt að afmarka umkvörtunarefnið við það hvort Creditinfo hafi haft heimild til að nota upplýsingar um tengsl kvartanda við fyrirtækið [X] ehf. við mat á lánshæfi hans í umrætt sinn.

Sú heimild til vinnslu persónuupplýsinga sem kemur til álita í því sambandi er að vinnslan hafi verið nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir og grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra, sbr. 6. tölul. 9. gr. laga nr. 90/2018.

Creditinfo hefur veitt Persónuvernd upplýsingar um það hvernig staða fyrirtækja er almennt skoðuð í þessu samhengi. Tekur Creditinfo fram að bæði sé horft til þess hvort fyrirtæki séu með virkar skráningar á vanskilaskrá, sem og þess í hvaða lánshæfisflokki þau séu. Lánshæfi fyrirtækja hjá Creditinfo sé metið á kvarðanum 1-10, þar sem mestar líkur séu á að fyrirtæki með lánshæfiseinkunn 10 fái skráningu á vanskilaskrá næstu 12 mánuði en minnstar líkur hjá fyrirtækjum með lánshæfiseinkunn 1.

Til þess er að líta að Persónuvernd hefur áður tekið afstöðu til þess hvort Creditinfo hafi verið heimilt að notast við upplýsingar um tengsl skráðs einstaklings við ákveðið félag við mat á lánshæfi hans, sbr. í því sambandi úrskurður, dags. 11. september 2020, í máli nr. 2020010592. Kvartandi í því máli var einn eigenda félags sem skráð var á vanskilaskrá. Í úrskurðinum komst Persónuvernd að þeirri niðurstöðu að vinnsla upplýsinga þar að lútandi hefði átt stoð í 6. tölul. 9. gr. laga nr. 90/2018 og að ekki hefði verið farið gegn kröfum 8. gr. sömu laga um meðal annars sanngirni, meðalhóf og áreiðanleika við vinnslu persónuupplýsinga. Í rökstuðningi Persónuverndar var vísað til þess að Creditinfo hefði heimild til söfnunar og skráningar upplýsinga, sem vörðuðu fjárhagsmálefni og lánstraust fyrirtækja, samkvæmt starfsleyfi frá stofnuninni til vinnslu slíkra upplýsinga, dags. 29. desember 2017 (mál nr. 2017/1541). Starfsleyfið væri bundið því skilyrði að við vinnslu upplýsinga væri farið í einu og öllu að ákvæðum reglugerðar nr. 246/2001. Í 3. gr. þeirrar reglugerðar væri fjallað um persónuupplýsingar sem fjárhagsupplýsingastofu væri heimilt að vinna með og í 1. mgr. þeirrar greinar segði að henni væri einungis heimilt að vinna með upplýsingar sem eðli sínu samkvæmt hefðu afgerandi þýðingu við mat á fjárhag og lánstrausti hins skráða. Vísaði Persónuvernd til þess að það hefði vægi að skýrslum Creditinfo um lánshæfi væri ætlað að nýtast við lánshæfismat á grundvelli 10. gr. laga nr. 33/2013 um neytendalán. Rík áhersla væri á það lögð að gert væri áreiðanlegt lánshæfismat í aðdraganda samnings um neytendalán, og vísaði Persónuvernd í því sambandi til 26. liðar formálsorða tilskipunar 2008/48/EB um lánasamninga fyrir neytendur, en lög nr. 33/2013 hefðu verið sett til innleiðingar á þeirri tilskipun. Taldi Persónuvernd eignarhald kvartanda í félaginu leiða til þess að ekki væri óeðlilegt að tekið væri mið af fjárhagsstöðu þess við mat á greiðsluvilja og skilvísi kvartanda sjálfs. Taldi stofnunin því að slíkar upplýsingar hefðu umtalsverða þýðingu við mat á fjárhag og lánstrausti kvartanda, sbr. orðalag í 1. mgr. 3. gr. reglugerðar nr. 246/2001, og að notkun þeirra við gerð skýrslna um lánshæfi kvartanda samrýmdist tilganginum með gerð lánshæfismats.

Persónuvernd telur sömu rök og að framan greinir eiga við í því máli sem nú er til úrlausnar. Upplýsingar um stöðu fyrirtækja sem hinn skráði tengist, þ.e. um lánshæfiseinkunn þeirra og hvort þau séu skráð á vanskilaskrá, verður að telja hafa afgerandi þýðingu við mat á fjárhag hans og lánstrausti séu tengslin sterk. Telur Persónuvernd í því sambandi málefnalegt að Creditinfo hafi notast við upplýsingar um tengsl kvartanda við félagið [X] ehf. þar sem hann hafi verið skráður prókúruhafi og stjórnarmaður á þeim tíma sem um ræðir, svo og með 100% eignarhlut í félaginu samkvæmt fyrirtækjaskrá RSK.

Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla Creditinfo Lánstrausts hf. á upplýsingum um eignarhlut kvartanda í umræddu félagi hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

3.3.

Upplýsinga- og aðgangsréttur kvartanda

Eins og komið hefur fram gerir kvartandi athugasemdir við framgöngu Creditinfo og telur að fyrirtækið sýni enga tilburði til að beita meðalhófi, rökstyðja eða tilgreina heimildir sínar. Þá tekur hann fram að hann ekki fengið afrit af starfsleyfi fyrirtækisins eins og hann hafi ítrekað beðið um fyrr en löngu eftir að hann óskaði þess.

Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.-15. gr. reglugerðar (ESB) 2016/679. Eins og áður segir liggur fyrir að kvartandi óskaði eftir upplýsingum um lánshæfismat sitt þegar það lá fyrir hjá Creditinfo. Um réttinn til að fá upplýsingar þar að lútandi fer samkvæmt 15. gr. reglugerðarinnar. Í 1. mgr. þeirrar greinar er meðal annars kveðið á um að skráður einstaklingur skuli eiga rétt á að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að upplýsingum um meðal annars eftirtalin atriði: tilgang vinnslunnar (a-liður); viðkomandi flokka persónuupplýsinga (b-liður); ef mögulegt er, hversu lengi fyrirhugað er að varðveita persónuupplýsingar eða, ef ekki reynist mögulegt að upplýsa um það, þær viðmiðanir sem notaðar eru til ákvörðunar á því (d-liður); að fyrir liggi réttur til að fara fram á það við ábyrgðaraðila að láta leiðrétta persónuupplýsingar, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar eða til að andmæla vinnslu (e-liður); ef persónuupplýsinga er ekki aflað hjá hinum skráða, allt sem fyrir liggur um uppruna þeirra (g-liður); og hvort fram fari sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs, og þá með marktækum hætti þau rök sem þar liggja að baki og einnig hver sé þýðing fyrirhugaðrar vinnslu fyrir hinn skráða (h-liður).

Athugasemd kvartanda vegna lánshæfismats hans barst Creditinfo 6. ágúst 2019 og er ljóst samkvæmt gögnum málsins að Creditinfo svaraði kvartanda með tölvupósti 19. ágúst s.á. Í þeim tölvupósti var kvartandi upplýstur um að lánshæfismat fyrirtækja væri notað við útreikning á lánshæfismati ef viðkomandi væri skráður í stjórn félags samkvæmt skráningu fyrirtækjaskrár RSK. Tengsl við fyrirtæki væru ekki notuð ef fyrir lægi, og ef Creditinfo bærist staðfesting þess efnis, að stjórnarseta viðkomandi væri á forsendu og að beiðni stjórnar til að tryggja hagsmuni kröfuhafa félags sem ættu í fjárhagslegum erfiðleikum og svo kynni að fara að kröfuhafar eða stjórn félagsins myndu að lokum fara fram á gjaldþrotaskipti þess, eða leita annarra úrræða. Var kvartandi jafnframt upplýstur um að tengsl við fyrirtæki væri áhrifaþáttur í lánshæfismati hans. Um væri að ræða tengsl við fyrirtækið [X] ehf. þar sem hann væri skráður sem prókúruhafi samkvæmt skráningu fyrirtækjaskrár RSK. Í júlí hefði hann verið skráður sem stjórnarmaður hjá sama félagi, og styrkti það þannig enn frekar tengsl við félagið. Notkun upplýsinga um tengsl við fyrirtæki hefði ekki verið áhrifaþáttur til lækkunar, heldur hefði matið verið betra með notkun þeirrar breytu en án. Var hann jafnframt upplýstur um að notkun lánshæfismats væri eingöngu heimil viðskiptavinum Creditinfo sem undirritað hefðu áskriftarsamning með ströngum skilyrðum er vörðuðu öflun, notkun og meðferð gagna. Heimildir til uppflettinga á lánshæfismati væri háð upplýstu samþykki viðkomandi einstaklings. Upplýst samþykki gæti ýmist verið undirritað skjal eða rafrænt samþykki. Samþykkið þyrfti að vera sannarlegt, vistað á öruggum stað og tiltækt, væri þess óskað. Creditino kvaðst reikna og birta lánshæfismat því fyrirtæki eða stofnun sem hefði slíkt samþykki einstaklings, auk þess sem einstaklingar hefðu aðgang að sínu mati á þjónustuvef fyrirtækisins. Nokkur samskipti áttu sér stað í kjölfarið og var kvartanda meðal annars leiðbeint um að hann gæti kvartað til Persónuverndar teldi hann að Creditinfo hefði farið gegn ákvæðum starfsleyfis fyrirtækisins eða hefði brotið gegn persónuverndarlögum.

Við mat á því hvort Creditinfo hafi gætt að upplýsinga- og aðgangsrétti kvartanda í þessu máli þykir verða að líta til þess að kvartandi hafði verið í miklum samskiptum við fyrirtækið, sbr. úrskurð Persónuverndar í máli nr. 2020010634, áður en hann gerði athugasemdir við lánshæfismat sitt eins og það var reiknað í þessu máli. Eins og áður hefur komið fram reyndi á kvörtun sama kvartanda í umræddum úrskurði og kvartaði hann þar einnig yfir upplýsingum sem hann fékk frá Creditinfo vegna lánshæfismats síns eins og það var þá reiknað. Samkvæmt gögnum málsins hafði hann fyrst fengið upplýsingar frá Creditinfo í desember 2018 vegna lánshæfismats síns og aftur í apríl 2019. Í úrskurðinum komst Persónuvernd að þeirri niðurstöðu að upplýsinga- og aðgangsréttur kvartanda samkvæmt 15. gr. reglugerðar (ESB) 2016/679 hefði verið virtur þegar honum voru veittar upplýsingar um lánshæfismat sitt. Vinnslan hefði því samrýmst 2. mgr. 17. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Eins og fram kemur í gögnum þessa máls gerði kvartandi athugasemdir við lánshæfismat sitt með tölvupósti til Creditinfo í ágúst 2019, eða nokkrum mánuðum eftir að hann hafði fengið ítarlegar skýringar á lánshætismati sínu eins og lýst er í framangreindum úrskurði. Þær upplýsingar sem kvartanda voru veittar þá voru metnar fullnægjandi af Persónuvernd og vísast til rökstuðnings stofnunarinnar þar að lútandi í úrskurðinum. Varðandi athugasemdir kvartanda um að hann hafi ekki fengið upplýsingar um starfsleyfi Creditinfo fyrr en seint og um síðir vísast til tölvupósts Creditinfo 7. desember 2018 þar sem honum var vísað beint á þau starfsleyfi sem fyrirtækið starfaði eftir.

Telur Persónuvernd þær upplýsingar sem kvartandi fékk með tölvupósti frá Creditinfo 19. ágúst 2019 og áður, sbr. framangreint mál sama kvartanda, leiða til þess að upplýsinga- og aðgangsréttur hans hafi verið virtur í þessu máli, samkvæmt 15. gr. reglugerðarinnar, sbr. 2. mgr. 17. gr. laga nr. 90/2018.

Ú r s k u r ð a r o r ð:

Vinnsla Creditinfo Lánstrausts hf. á persónuupplýsingum um [A] vegna gerðar skýrslna um lánshæfismat hans samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Afgreiðsla Creditinfo Lánstrausts hf. á beiðni [A] um aðgang að upplýsingum um það hvernig vinnsla persónuupplýsinga um hann fór fram samrýmdist lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Í Persónuvernd, 28. janúar 2021

Ólafur Garðarsson
formaður

Björn Geirsson

Vilhelmína Haraldsdóttir                       Þorvarður Kári Ólafsson