Leiðbeinandi álit og nýtt starfsleyfi fyrir Creditinfo Lánstraust hf.
LEIÐBEINANDI ÁLIT
Persónuvernd hefur hinn 18. september 2012 tekið eftirfarandi ákvörðun í máli nr. 2012/266:
I.
Efni máls
Efni máls
Málið varðar söfnun og skráningu upplýsinga um fjárhagsmálefni og lánstraust einstaklinga í því skyni að miðla þeim til annarra; vinnslu sem Creditinfo Lánstraust hf. (LT) stendur að – ýmist sem ábyrgðaraðili eða sem vinnsluaðili.
Persónuvernd ákvað að taka vinnsluna til athugunar og hefur í dag gefið þetta leiðbeinandi álit um lögmæti hennar og ábyrgð á henni. Álitið nær annars vegar til Skuldastöðukerfis fyrir fjármálastofnanir, hins vegar til gagnagrunns, eða skráar sem kölluð er Vog, og miðast við þann skilning á eðli þeirra sem rakinn er í áliti þessu. Það nær ekki til notkunar á þeim í tengslum við markhópagerð, mat á lánshæfi (e. credit-score), innheimtur eða stjórnsýsluframkvæmd.
Persónuvernd ákvað að taka vinnsluna til athugunar og hefur í dag gefið þetta leiðbeinandi álit um lögmæti hennar og ábyrgð á henni. Álitið nær annars vegar til Skuldastöðukerfis fyrir fjármálastofnanir, hins vegar til gagnagrunns, eða skráar sem kölluð er Vog, og miðast við þann skilning á eðli þeirra sem rakinn er í áliti þessu. Það nær ekki til notkunar á þeim í tengslum við markhópagerð, mat á lánshæfi (e. credit-score), innheimtur eða stjórnsýsluframkvæmd.
1.
Bréfaskipti
Bréfaskipti
Hinn 7. ágúst 2012 sendi Persónuvernd LT bréf um afmörkun sína á umfjöllunarefni. Þar segir að það lúti að Skuldastöðukerfi og Vog en að samkvæmt skilningi Persónuverndar felist sú vinnsla í eftirfarandi:
- Rekstri svokallaðs Skuldastöðukerfis fyrir fjármálastofnanir. Það er lokað kerfi sem LT hvorki leggur persónuupplýsingar í né ráðstafar þeim að öðru leyti, heldur stofnanirnar. Þær leggja persónuupplýsingarnar til og gera þær þar með tímabundið aðgengilegar öðrum fjármálastofnunum, sem einnig hafa samið við LT. Um er að ræða upplýsingar um yfirdráttarlán, stöðu kreditkortareikninga, lánasamninga o.fl. Einstakar fjármálastofnanir ákveða hvort þær leggi persónuupplýsingar í kerfið, taki þær úr því aftur eða geri fyrirspurnir. Þegar fyrirspurn er gerð eru upplýsingarnar sóttar til annarra stofnana og dregnar saman á yfirlit/lánshæfisskýrslur sem birtast fyrirspyrjanda.
- Rekstri á svokallaðri Vog. Á þeirri skrá eru fjárhagsupplýsingar um einstaklinga sem koma frá þeim sjálfum, frá áskrifendum og úr opinberum gögnum (frá dómstólum og úr auglýsingum í Lögbirtingablaðinu og dagblöðum). Á henni eru – auk vanskilaupplýsinga – upplýsingar um kaupmála, lögræðissviptingar og um einstaklinga sem hafa verið í tilteknum stjórnunarstöðum (stofnendur, stjórnarmenn eða framkvæmdastjórar) hjá hlutafélögum og einkahlutafélögum, enda hafi þeir staðið að a.m.k. tveimur slíkum félögum sem úrskurðuð hafa verið gjaldþrota á sl. fjórum árum. Á skránni eru engar upplýsingar eldri en fjögurra ára. Áskrifendur sækja sér upplýsingar úr henni með uppflettingum og með vöktun. Þeir sem standa á Skuldastöðukerfi geta einnig fengið upplýsingar úr henni þannig að á lánshæfisskýrslum birtist upplýsingar um það hvort maður sé á Vanskilaskránni (aðeins samandregnar upplýsingar).
LT svaraði með bréfi, dags. 15. ágúst 2012. Þar segir m.a.:
„Miðlunin á umræddum upplýsingum er tvíþætt, annars vegar uppflettiaðgangur og hins vegar vöktun (sbr. e. liður 4. gr. núg. starfsleyfis). Uppflettiaðgangurinn er þannig að áskrifandi flettir upp tiltekinni kennitölu í Vog eða Vanskilaskrá sem, eftir atvikum, hafa að geyma umræddar upplýsingar.
Vöktun fer þannig fram að áskrifandi, sem hefur samþykkt hinn skráða í lánsviðskipti eða reikningsviðskipti, getur óskað eftir því við félagið að hinn skráði (viðskiptavinurinn) fari í sérstaka vöktun. Verði breyting á stöðu hins skráða á meðan viðskiptum stendur fær áskrifandi senda tilkynningu um slíkt. Ef hinn skráði, sem áskrifandi hefur óskað vöktunar á, hefur enga færslu á Vanskilaskrá þegar stofnað er til viðskiptasambandsins, en slík færsla er færð á skrá 2 mánuðum síðar, svo dæmi sé tekið, þá fengi áskrifandi rafræna tilkynningu um slíkt. Umrædd vöktun tekur eingöngu til færslna á Vanskilaskrá en ekki þeirra viðbótarupplýsinga sem eru í Vog.“
LT svaraði með bréfi, dags. 15. ágúst 2012. Þar segir m.a.:
„Miðlunin á umræddum upplýsingum er tvíþætt, annars vegar uppflettiaðgangur og hins vegar vöktun (sbr. e. liður 4. gr. núg. starfsleyfis). Uppflettiaðgangurinn er þannig að áskrifandi flettir upp tiltekinni kennitölu í Vog eða Vanskilaskrá sem, eftir atvikum, hafa að geyma umræddar upplýsingar.
Vöktun fer þannig fram að áskrifandi, sem hefur samþykkt hinn skráða í lánsviðskipti eða reikningsviðskipti, getur óskað eftir því við félagið að hinn skráði (viðskiptavinurinn) fari í sérstaka vöktun. Verði breyting á stöðu hins skráða á meðan viðskiptum stendur fær áskrifandi senda tilkynningu um slíkt. Ef hinn skráði, sem áskrifandi hefur óskað vöktunar á, hefur enga færslu á Vanskilaskrá þegar stofnað er til viðskiptasambandsins, en slík færsla er færð á skrá 2 mánuðum síðar, svo dæmi sé tekið, þá fengi áskrifandi rafræna tilkynningu um slíkt. Umrædd vöktun tekur eingöngu til færslna á Vanskilaskrá en ekki þeirra viðbótarupplýsinga sem eru í Vog.“
II.
Niðurstaða
1.
Lögmæti vinnslu
Niðurstaða
1.
Lögmæti vinnslu
Öll vinnsla almennra persónuupplýsinga verður að fullnægja einhverri af kröfum 1. mgr. 8. gr. laga nr. 77/2000. Ef um er að ræða viðkvæmar persónuupplýsingar þarf einnig að uppfylla eitthvert af skilyrðum 1. mgr. 9. gr. Upplýsingar um fjárhagsmálefni, s.s. um hvort maður hafi gert kaupmála, eða sé á vanskilaskrá, eru ekki viðkvæmar, sbr. 8. tölul. 2. gr. laganna. Nægir því að vinnsla með þær uppfylli eitt af skilyrðum 1. mgr. 8. gr.
Vinnslan getur eftir atvikum uppfyllt skilyrði 1. tölul., þ.e. ef að til hennar stendur gilt samþykki hins skráða. Þá koma önnur ákvæði til álita. Vera kann lögskylt að gera slíka ráðstöfun og þá gæti 3. töluliður 1. mgr. 8. gr. átt við. Eins gæti 2. tölul. átt við ef vinnsla er nauðsynleg til að efna samning sem hinn skráði er aðili að, eða til að gera ráðstafanir að hans beiðni áður en samningur er gerður. Í því sambandi er bent á 1. mgr. 8. gr. Evróputilskipunar nr. 48/2008/EB, um neytendalánasamninga, um skyldu til að tryggja að fyrir gerð lánssamnings sé lánshæfi neytanda metið á grundvelli fullnægjandi upplýsinga. Tilskipunin hefur ekki verið innleidd í íslenskan rétt, en hún hefur verið tekin upp í EES-samninginn, sbr. gr. 7h í XIX. viðauka við samninginn, sbr. ákvörðun Sameiginlegu EES-nefndarinnar nr. 16/2009 frá 19. mars 2009. Ber að líta til hennar að því marki sem af því leiðir.
Loks geta skilyrði 7. tölul. 1. mgr. 8. gr. verið uppfyllt. Það á við ef vinnsla er nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber samkvæmt lögum, vegi þyngra. Forsenda þess að ábyrgðaraðili geti byggt á þessu ákvæði er því að hann hafi framkvæmt mat á því hvort tillitið til hagsmuna hins skráða vegi þyngra en þeir hagsmunir sem mæla með vinnslunni. Hann gæti viljað fylgja eftir öðrum hagsmunum en sínum eigin – en þeir hagsmunir verða einnig að vera lögmætir. Ákvæði 7. tölul. á ekki við nema vinnslan sé nauðsynleg. Við mat á því skiptir t.d. máli hvort áskrifandi hafi tekið hinn skráða í láns- eða reikningsviðskipti og þurfi að fá upplýsingar um hann meðan þau viðskipti vara. Þá skiptir bæði máli hvers konar upplýsingar um er að ræða og hvers konar vinnslu, s.s. hvort aðeins sé um einstaka uppflettingu að ræða eða viðvarandi vöktun.
Meta þarf nauðsyn og lögmæti hvers og eins vinnsluþáttar, hverrar vinnsluaðgerðar. Svarið við því hvort hún uppfylli eitthvert af skilyrðum 1. mg. 8. gr, sé nauðsynleg og heimil, ræðst af tilviksbundnu mati. Niðurstaðan fer eftir því hver á hlut að máli, enda verður ekki tekin afstaða til lögmætis vinnslu nema fyrir liggi í hvaða tilgangi hún fer fram, hvernig og af hverjum.
Vinnslan getur eftir atvikum uppfyllt skilyrði 1. tölul., þ.e. ef að til hennar stendur gilt samþykki hins skráða. Þá koma önnur ákvæði til álita. Vera kann lögskylt að gera slíka ráðstöfun og þá gæti 3. töluliður 1. mgr. 8. gr. átt við. Eins gæti 2. tölul. átt við ef vinnsla er nauðsynleg til að efna samning sem hinn skráði er aðili að, eða til að gera ráðstafanir að hans beiðni áður en samningur er gerður. Í því sambandi er bent á 1. mgr. 8. gr. Evróputilskipunar nr. 48/2008/EB, um neytendalánasamninga, um skyldu til að tryggja að fyrir gerð lánssamnings sé lánshæfi neytanda metið á grundvelli fullnægjandi upplýsinga. Tilskipunin hefur ekki verið innleidd í íslenskan rétt, en hún hefur verið tekin upp í EES-samninginn, sbr. gr. 7h í XIX. viðauka við samninginn, sbr. ákvörðun Sameiginlegu EES-nefndarinnar nr. 16/2009 frá 19. mars 2009. Ber að líta til hennar að því marki sem af því leiðir.
Loks geta skilyrði 7. tölul. 1. mgr. 8. gr. verið uppfyllt. Það á við ef vinnsla er nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber samkvæmt lögum, vegi þyngra. Forsenda þess að ábyrgðaraðili geti byggt á þessu ákvæði er því að hann hafi framkvæmt mat á því hvort tillitið til hagsmuna hins skráða vegi þyngra en þeir hagsmunir sem mæla með vinnslunni. Hann gæti viljað fylgja eftir öðrum hagsmunum en sínum eigin – en þeir hagsmunir verða einnig að vera lögmætir. Ákvæði 7. tölul. á ekki við nema vinnslan sé nauðsynleg. Við mat á því skiptir t.d. máli hvort áskrifandi hafi tekið hinn skráða í láns- eða reikningsviðskipti og þurfi að fá upplýsingar um hann meðan þau viðskipti vara. Þá skiptir bæði máli hvers konar upplýsingar um er að ræða og hvers konar vinnslu, s.s. hvort aðeins sé um einstaka uppflettingu að ræða eða viðvarandi vöktun.
Meta þarf nauðsyn og lögmæti hvers og eins vinnsluþáttar, hverrar vinnsluaðgerðar. Svarið við því hvort hún uppfylli eitthvert af skilyrðum 1. mg. 8. gr, sé nauðsynleg og heimil, ræðst af tilviksbundnu mati. Niðurstaðan fer eftir því hver á hlut að máli, enda verður ekki tekin afstaða til lögmætis vinnslu nema fyrir liggi í hvaða tilgangi hún fer fram, hvernig og af hverjum.
2.
Um ábyrgðaraðila vinnslu
Um ábyrgðaraðila vinnslu
Samkvæmt 4. tölul. 2. gr. laganna er ábyrgðaraðili sá sem ákveður tilgang vinnslu, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Þegar ákvarðað er hver hafi borið ábyrgð á vinnslu er skoðað hver það var sem í raun hafði ákvörðunarvald um framangreind atriði.
Í bréfum LT segir að bæði Skuldastöðukerfi og Vanskilaskrá sé ætlað að koma til móts við markmið áskrifenda um að reka fyrirbyggjandi lánastefnu og lágmarka áhættu sína af útlánatapi. Til þess þurfi þeir að hafa aðgang að upplýsingum um fjárhagsmálefni og lánstraust einstaklinga sem eiga í reikningsviðskiptum við sig, bæði um einstaklinga sem þegar eru í slíkum viðskiptum og um verðandi viðskiptavini.
Almennt getur skilyrði 7. tölul. 1. mgr. 8. gr. laganna verið uppfyllt þegar áskrifandi aflar sér slíkra upplýsinga vegna ákvarðatöku um lánveitingu, eða útgáfu greiðslukorts, ef þær teljast vera honum nauðsynlegar fyrir góða og skynsamlega fjármálastjórnun, og til að verjast tapi af viðskiptum við vanskilamenn. Skilyrðið um nauðsyn er háð því að um sé að ræða raunverulegan viðskiptavin og að vinnslan fari fram vegna lögmætra hagsmuna. Það geta verið hagsmunir þess sem tekur við upplýsingunum.
Í hvert sinn sem ábyrgðaraðili tekur ákvörðun um vinnslu ber hann ábyrgð á sinni ákvörðun og því að uppfyllt sé eitthvert af skilyrðum 1. mgr. 8. gr. laganna. Svarið við því hver er ábyrgðaraðili ræðst því af tilviksbundnu mati. Þar skiptir máli hver tók ákvörðun um hana, en það er oft sá sem átti frumkvæðið að henni.
Í bréfum LT segir að bæði Skuldastöðukerfi og Vanskilaskrá sé ætlað að koma til móts við markmið áskrifenda um að reka fyrirbyggjandi lánastefnu og lágmarka áhættu sína af útlánatapi. Til þess þurfi þeir að hafa aðgang að upplýsingum um fjárhagsmálefni og lánstraust einstaklinga sem eiga í reikningsviðskiptum við sig, bæði um einstaklinga sem þegar eru í slíkum viðskiptum og um verðandi viðskiptavini.
Almennt getur skilyrði 7. tölul. 1. mgr. 8. gr. laganna verið uppfyllt þegar áskrifandi aflar sér slíkra upplýsinga vegna ákvarðatöku um lánveitingu, eða útgáfu greiðslukorts, ef þær teljast vera honum nauðsynlegar fyrir góða og skynsamlega fjármálastjórnun, og til að verjast tapi af viðskiptum við vanskilamenn. Skilyrðið um nauðsyn er háð því að um sé að ræða raunverulegan viðskiptavin og að vinnslan fari fram vegna lögmætra hagsmuna. Það geta verið hagsmunir þess sem tekur við upplýsingunum.
Í hvert sinn sem ábyrgðaraðili tekur ákvörðun um vinnslu ber hann ábyrgð á sinni ákvörðun og því að uppfyllt sé eitthvert af skilyrðum 1. mgr. 8. gr. laganna. Svarið við því hver er ábyrgðaraðili ræðst því af tilviksbundnu mati. Þar skiptir máli hver tók ákvörðun um hana, en það er oft sá sem átti frumkvæðið að henni.
3.
Um fræðsluskyldu og aðrar skyldur ábyrgðaraðila
Um fræðsluskyldu og aðrar skyldur ábyrgðaraðila
Hinn skráði á ávallt rétt á fræðslu í samræmi við ákvæði laga nr. 77/2000, reglugerðar nr. 246/2001 og skilmála gildandi starfsleyfis. Þar er skilyrði lögmætis vinnslu að réttindi hans séu virt, bæði til að fá fræðslu og að öðru leyti. Sú skylda hvílir á ábyrgðaraðila.
Þegar fjárhagsupplýsingastofan sjálf hefur stöðu ábyrgðaraðila hvílir skyldan á henni en í öðrum tilvikum vekur hún athygli áskrifenda á þeirri fræðsluskyldu sem á þeim hvílir. Þeim ber m.a. að greina viðskiptavinum sínum frá því, með skýrum og greinargóðum hætti, hvort og með hvaða hætti þeir notfæri sér þá þjónustu stofan veitir, þ. á m. um notkun vanskilavaktar.
Á áskrifendum, eða eftir atvikum fjárhagsupplýsingastofu, hvíla einnig aðrar þær skyldur sem almennt hvíla á ábyrgðaraðilum samkvæmt lögum nr. 77/2000, þ. á m. til að gæta öryggisákvæða 11. og 12. gr. laganna og til skriflegrar samningsgerðar í samræmi við 13. gr. laganna. Þeir bera einnig ábyrgð á því að sú vinnsla sem þeir ákveða samrýmist meginreglum 1. mgr. 7. gr. laganna og að einungis sé unnið með upplýsingar sem hafa raunverulega þýðingu fyrir mat á fjárhag hins skráða á þeim tíma þegar fyrirspurn eða önnur vinnsla fer fram.
Þegar fjárhagsupplýsingastofan sjálf hefur stöðu ábyrgðaraðila hvílir skyldan á henni en í öðrum tilvikum vekur hún athygli áskrifenda á þeirri fræðsluskyldu sem á þeim hvílir. Þeim ber m.a. að greina viðskiptavinum sínum frá því, með skýrum og greinargóðum hætti, hvort og með hvaða hætti þeir notfæri sér þá þjónustu stofan veitir, þ. á m. um notkun vanskilavaktar.
Á áskrifendum, eða eftir atvikum fjárhagsupplýsingastofu, hvíla einnig aðrar þær skyldur sem almennt hvíla á ábyrgðaraðilum samkvæmt lögum nr. 77/2000, þ. á m. til að gæta öryggisákvæða 11. og 12. gr. laganna og til skriflegrar samningsgerðar í samræmi við 13. gr. laganna. Þeir bera einnig ábyrgð á því að sú vinnsla sem þeir ákveða samrýmist meginreglum 1. mgr. 7. gr. laganna og að einungis sé unnið með upplýsingar sem hafa raunverulega þýðingu fyrir mat á fjárhag hins skráða á þeim tíma þegar fyrirspurn eða önnur vinnsla fer fram.