Úrlausnir

Miðlun Creditinfo Lánstrausts hf. á netfangi kvartanda til þriðju aðila

Mál nr. 2018/166

25.11.2019

Persónuvernd hefur úrskurðað að Creditinfo Lánstrausti hf. hafi ekki verið heimilt að miðla netfangi kvartanda til þriðju aðila, sem flettu kvartanda upp í skrám fyrirtækisins. Netfangi kvartanda hafði verið miðlað vegna athugasemda kvartanda við uppflettingar af þeirra hálfu. Taldi Persónuvernd að ekki yrði ráðið að kvartanda hafi mátt vera kunnugt um að netfangi hans kynni að verða miðlað í kjölfar athugasemda hans og því hafi skilyrði 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um sanngjarna vinnslu persónuupplýsinga ekki verið uppfyllt. Þegar af þeirri ástæðu taldi Persónuvernd miðlun netfangsins hafa verið óheimila. Creditinfo hafði, með hliðsjón af athugasemdum kvartanda, látið af miðlun netfanga til þriðju aðila við þessar aðstæður og með hliðsjón af því taldi Persónuvernd ekki tilefni til þess að leggja fyrir Creditinfo fyrirmæli um breytt verklag.  

Úrskurður


Hinn 4. nóvember 2019 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2018/0166:

I.

Málsmeðferð

1.

Tildrög máls

Hinn 23. janúar 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) vegna miðlunar Creditinfo Lánstrausts hf. (hér eftir Creditinfo) á netfangi hans. Í kvörtuninni segir m.a. að 29. nóvember 2017 hafi kvartandi farið inn á vefsvæðið Mitt Creditinfo (mittcreditinfo.is) til þess að skoða hverjir hefðu flett kennitölu hans upp í skrám fyrirtækisins. Hann hafi í kjölfarið nýtt sér athugasemdahnapp á vefsvæðinu til þess að gera athugasemdir við alls fimm uppflettingar. Þegar svör hafi borist frá þeim aðilum, sem stóðu að uppflettingunum, hafi honum orðið ljóst að Creditinfo hefði miðlað netfangi hans til þessara aðila án samþykkis hans eða vitneskju. Á umræddri vefsíðu hafi hvergi verið tekið fram að persónuupplýsingar á borð við netfang væru áframsendar með þessum hætti.

Þá greinir kvartandi frá því að hann hafi gert athugasemdir við fyrrgreind vinnubrögð Creditinfo með tölvupósti til fyrirtækisins 20. desember 2017. Samdægurs hafi borist svar þess efnis að netföng aðila, í tengslum við aðgang þeirra að vefsvæðinu Mitt Creditinfo, yrðu framvegis fjarlægð úr tölvupóstsamskiptum til þriðja aðila. Kvartandi hafi í kjölfarið óskað eftir frekari skýringum og meðal annars fengið upplýsingar um að Creditinfo notaði netföng tengd aðgangi notenda vefsíðunnar eingöngu í þeim tilgangi að eiga samskipti við þá. Netföngum væri ekki miðlað til þriðja aðila í atvinnuskyni eða á nokkurn hátt til öflunar tekna. Samkvæmt verklagi Creditinfo væru athugasemdir vegna skráninga á vanskilaskrá og uppflettinga áframsendar eftir atvikum til kröfuhafa, umboðsmanns kröfuhafa eða þess fyrirtækis sem hefði framkvæmt uppflettingu. Notendur vefsíðunnar væru upplýstir um það verklag þegar fyrirspurn hefði verið send. Verklaginu væri ætlað að tryggja rétta miðlun upplýsinga og flýta afgreiðslu fyrirspurna eins og frekast væri unnt. Þá hefði komið fram í svari Creditinfo að tilgangur þess að netfang kvartanda hefði verið framsent hefði eingöngu verið að hann fengi afrit af svari við fyrirspurn Creditinfo til þess sem stóð að uppflettingunni á sama tíma og svarið bærist fyrirtækinu.

Í kvörtuninni kemur jafnframt fram að kvartandi telji ómálefnalegt og með öllu óþarft að Creditinfo miðli upplýsingum um netfang þess sem sendir inn athugasemd vegna uppflettingar til þess sem að uppflettingunni stóð og athugasemdin beinist gegn. Sá aðili hafi ekkert með þær upplýsingar að gera og eigi ekki að geta sett sig í beint samband við einstaklinginn.

2.

Bréfaskipti

Með bréfi, dags. 15. febrúar 2018, var Creditinfo boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi Creditinfo, dags. 5. mars 2018, er meðal annars vísað til upplýsingaréttar hins skráða samkvæmt 18. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Segir að Creditinfo bjóði einstaklingum að nálgast upplýsingar sínar á vefsvæðinu Mitt Creditinfo en þar sé meðal annars hægt að sjá yfirlit uppflettinga. Á yfirlitinu megi sjá hverjir hafi framkvæmt uppflettingar í skrám fyrirtækisins, dagsetningar uppflettinga og ástæður þeirra. Hinir skráðu geti gert athugasemdir við uppflettingarnar á vefsíðunni telji þeir þær ekki eiga rétt á sér. Þeir svari þá fjórum spurningum, þ.e. hvort þeir séu í viðskiptum við aðilann sem stóð að uppflettingunni, í persónulegum ábyrgðum fyrir annan lántaka hjá viðkomandi aðila, hafi óskað tilboða eða sótt um lán hjá viðkomandi aðila og hvort þeir eigi ógreidda eða gjaldfallna kröfu hjá honum. Sé öllum spurningunum svarað neitandi sé athugasemd send á þjónustu- og lögfræðisvið Creditinfo til afgreiðslu. Hinn skráði fái tilkynningu á vefsíðunni um að athugasemdin verði áframsend til þess aðila sem framkvæmdi uppflettinguna og að svar muni berast á uppgefið netfang hins skráða, sem hann hafi skráð við stofnun aðgangs á vefsíðunni, eins fljótt og auðið verði.

Í svarbréfi Creditinfo eru jafnframt áréttaðar upplýsingar sem veittar voru í svörum fyrirtækisins til kvartanda, sem áður var greint frá. Þá segir að ákveðið hafi verið í kjölfar athugasemdar kvartanda að breyta verklaginu á þann hátt að fyrirspurnir sem berist af áðurnefndri vefsíðu séu framsendar til kröfuhafa, umboðsmanna þeirra eða til þeirra sem framkvæmdu uppflettingu án netfanga fyrirspyrjenda, enda sé afgreiðsla fyrirspurna hröð hjá félaginu og fyrirspyrjendur án undantekninga búnir að fá sent svar innan sólarhrings frá því að svar berst Creditinfo frá þeim sem athugasemdin beinist að. Kvartandi hafi þegar verið upplýstur um breytt verklag, bæði munnlega og skriflega.

Með bréfi, dags. 11. maí 2018, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Creditinfo Lánstrausts hf. til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svari kvartanda, sem barst Persónuvernd í tölvupósti þann 13. s.m., leggur hann áherslu á að tryggt verði að verklagi Creditinfo hafi verið breytt með fullnægjandi hætti. Með tölvupósti þann 13. ágúst 2018 óskaði Persónuvernd í ljósi þessa eftir að kvartandi skýrði nánar hvort í svari hans fælist ósk um að málið yrði fellt niður hjá stofnuninni. Í símtali þann 7. febrúar 2019 óskaði kvartandi eftir því að kvörtuninni yrði haldið til streitu og að úrskurðað yrði í málinu. Með tölvupósti samdægurs til kvartanda staðfesti Persónuvernd, með vísan til símtals við hann, að kvörtunin yrði tekin til hefðbundinnar afgreiðslu.

II.

Forsendur og niðurstaða

1.

Lagaskil

Mál þetta varðar kvörtun sem barst Persónuvernd þann 23. janúar 2018 og lýtur að atvikum sem gerðust fyrir gildistöku núgildandi laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, þann 15. júlí 2018. Er því hér byggt á ákvæðum eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

2.

Gildissvið

Gildissvið laga nr. 77/2000, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga, sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru skilgreindar sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölulið 2. gr. laganna, og vinnsla sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölulið sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Creditinfo Lánstraust hf. vera ábyrgðaraðili að umræddri vinnslu.

3.

Niðurstaða

Svo að vinnsla persónuupplýsinga sé heimil verður ávallt að vera fullnægt einhverju af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Einkum kemur hér til skoðunar 7. tölul. ákvæðisins sem heimilar vinnslu persónuupplýsinga sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra.

Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 til gæða gagna og vinnslu. Þar er meðal annars mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

Þá skal ábyrgðaraðili, samkvæmt 20. gr. laga nr. 77/2000, meðal annars upplýsa hinn skráða um tilgang vinnslu persónuupplýsinga og veita aðrar upplýsingar, að því marki sem þær eru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna, svo sem upplýsingar um viðtakendur eða flokka viðtakenda upplýsinganna.

Kvörtun í máli þessu lýtur að því að Creditinfo hafi miðlað netfangi kvartanda til þriðju aðila, sem flettu kvartanda upp í skrám fyrirtækisins. Samkvæmt þeim upplýsingum sem Creditinfo hefur veitt í málinu eru netföng, sem tengd eru aðgangi notenda að vefsvæðinu Mitt Creditinfo, eingöngu notuð í þeim tilgangi að eiga samskipti við notendur, sem sendi inn fyrirspurnir og athugasemdir, og til að upplýsa notendur um nýtt eða breytt framboð á þjónustu eða vörum á þjónustuvef. Þá er greint frá því að tilgangur miðlunar netfangsins hafi eingöngu verið sá að kvartandi fengi svar við fyrirspurn frá þeim sem framkvæmdu uppflettingarnar á sama tíma og svar bærist Creditinfo.

Í 4. kafla notendaskilmála vefsvæðisins er tekið fram að þegar notandi óski eftir aðgangi að vefsvæðinu séu skráðar upplýsingar um fullt nafn hans og kennitölu. Kjósi notandinn að nýta sér þjónustu á vefsvæðinu sem felur í sér sendingu tilkynninga á netfang notanda eða í farsíma hans sé einnig nauðsynlegt að safna upplýsingum um netfang og/eða farsímanúmer notanda. Þá sé skráning og vistun á netfangi nauðsynleg ef notandi kjósi að eiga samskipti við Creditinfo í formi fyrirspurna og athugasemda sem sendar séu af vefsvæðinu. Aftar í sama kafla notendaskilmálanna segir svo að ofannefndum upplýsingum frá notanda sé aldrei deilt með þriðja aðila. Þá segir að með því að skrá sig fyrir þjónustu vefsvæðisins og samþykkja skilmála þess veiti notandinn Creditinfo meðal annars réttindi til að nota netfang hans í samskiptum í tölvupósti í þeim tilvikum sem notandi sendir fyrirspurnir eða athugasemdir af vefsvæðinu.

Í athugasemdum við 7. gr. í frumvarpi því, sem síðar varð að lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, kemur fram að vinnsla persónuupplýsinga geti vart talist sanngjörn nema hinn skráði geti fengið vitneskju um hana og eigi, þegar söfnun upplýsinganna á sér stað, kost á fullnægjandi upplýsingum um vinnubrögð, vinnuferli og annað er lýtur að vinnslunni. Af öllu framansögðu verður ekki ráðið að kvartanda hafi mátt vera kunnugt um að netfangi hans kynni að verða miðlað til áskrifenda hjá Creditinfo vegna athugasemda hans við uppflettingar af þeirra hálfu, sbr. m.a. áðurnefnt ákvæði 20. gr. laga nr. 77/2000 um fræðsluskyldu ábyrgðaraðila gagnvart hinum skráða. Er það því mat Persónuverndar að skilyrði 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um sanngjarna vinnslu persónuupplýsinga hafi ekki verið uppfyllt. Þegar af þeirri ástæðu er ljóst að miðlun netfangsins taldist óheimil.

Creditinfo Lánstraust hf. hefur, sem fyrr segir, upplýst að í kjölfar athugasemda frá kvartanda er lutu að miðlun netfangs hans til þriðju aðila hafi fyrirtækið ákveðið að breyta verklagi sínu á þann hátt að fyrirspurnir sem berist af vefsvæðinu Mitt Creditinfo séu framsendar til kröfuhafa, umboðsmanna þeirra eða til þeirra sem framkvæmdu uppflettingar án netfanga fyrirspyrjenda. Með hliðsjón af því er ekki tilefni til þess að Persónuvernd leggi fyrir ábyrgðaraðila fyrirmæli um breytt verklag.

Meðferð máls þessa hefur dregist vegna anna hjá Persónuvernd.

Ú r s k u r ð a r o r ð:

Miðlun Creditinfo Lánstrausts hf. á netfangi kvartanda til þriðju aðila samrýmdist ekki lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

Í Persónuvernd, 4. nóvember 2019

Helga Þórisdóttir                 Þórður Sveinsson Var efnið hjálplegt? Nei