Úrlausnir
Sala Creditinfo á upplýsingum um áhættumat á einstaklingum
Ákvörðun
Hinn 12. október 2011 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2011/968:
Í bréfi Creditininfo Lánstrausts hf. er vísað til 1. mgr. 8. gr. tilskipunar Evrópusambandsins nr. 2008/48/EB um neytendalán, en þar er mælt fyrir um skyldu til að tryggja að áður en lánssamningur er gerður sé lánshæfi neytanda metið á grundvelli fullnægjandi upplýsinga. Með vísan til þess ákvæðis segir í bréfi félagsins:
Vísað er til 26. gr. inngangsorða umræddrar tilskipunar um neytendalán í tengslum við framangreint. Nánar tiltekið er vísað til þess að samkvæmt ákvæðinu eiga aðildarríki að stuðla að ábyrgum starfsháttum á öllum stigum lánastarfsemi, vara neytendur við þeirri áhættu sem fylgir of mikilli skuldasöfnun, girða fyrir að lánveitendur stundi óábyrga lánastarfsemi eða veiti lán án þess að hafa áður fengið mat á lánshæfi, stuðla að því að lánveitendur beri ábyrgð á að lánshæfi neytenda sé athugað í hverju einstöku tilviki og sjá til þess að lánveitendur geti ekki aðeins notað upplýsingar, sem neytandi veitir, meðan á undirbúningi viðkomandi lánssamnings stendur heldur einnig á meðan langvarandi viðskiptasamband varir.
Í niðurlagi bréfsins segir:
Í 1. mgr. 8. gr. Evróputilskipunar nr. 48/2008/EB, um neytendalánasamninga, er mælt fyrir um skyldu til að tryggja að áður en lánssamningur sé gerður sé lánshæfi neytanda metið á grundvelli fullnægjandi upplýsinga. Tilskipunin hefur ekki verið innleidd í íslenskan rétt, en hún hefur hins vegar verið tekin upp í EES-samninginn, sbr. gr. 7h í XIX. viðauka við samninginn, sbr. ákvörðun Sameiginlegu EES-nefndarinnar nr. 16/2009 frá 19. mars 2009. Hvílir því sú skylda á Íslandi að laga íslenskan rétt að tilskipuninni. Að því marki er litið til hennar við úrlausn máls þessa.
Að virtum efnislegum ákvæðum tilskipunar 48/2008/EB, og þeim sjónarmiðum sem hún byggist á og fram koma í formálsorðum hennar, telur Persónuvernd mega fallast á það að gerð áhættumats, til að undirbúa samning um neytendalán geti uppfyllt skilyrði 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000, enda sé hún nauðsynleg ráðstöfun til að undirbúa samningsgerð við hinn skráða og fari fram að hans ósk.
Í sanngirnisreglu 1. töluliðar 7. gr. felst m.a. að við vinnslu persónupplýsinga skal þess gætt að hún sé gagnsæ gagnvart hinum skráða. Til samræmis er mælt fyrir um fræðsluskyldu ábyrgðaraðila í 20. og 21. gr. Saman leiða þær til þeirrar niðurstöðu að gera þarf hinum skráða aðvart og veita honum fræðslu til tryggja sanngjarna vinnslu. Þá er sérregla um aðvaranir í 23. gr. laga nr. 77/2000. Hún á við þegar persónusnið er lagt til grundvallar við töku sértækra ákvarðana, en ákvarðanir um lánveitingar teljast til slíkra ákvarðana. Ákvæðið á við þegar persónusnið er lagt til grundvallar við töku ákvörðunar, en jafna má notkun áhættumats til þess. Á grundvelli 2. tölul. 1. mgr. þeirrar greinar skal gera hinum skráða viðvart og hvílir skyldan til þess á ábyrgðaraðila.
Lánveitendur eiga samskipti við hinn skráða og bera ábyrgð á samningsgerð við hann. Þeir eru ábyrgðaraðilar þeirrar vinnslu persónuupplýsinga sem fram fer um hinn skráða á þeirra vegum og er þeim nauðsynleg í þágu samningsgerðarinnar. Þeir skulu ganga úr skugga um að umrædd ráðstöfun, þ.e. öflun áhættumats, fari fram að beiðni hins skráða vegna samningsgerðarinnar og tryggja að fyrir liggi gögn þar að lútandi. Þá skulu þeir, sbr. 2. tl. 1. mgr. 23. gr., tryggja að hinn skráði fái fullnægjandi fræðslu um það hvaða upplýsingar lánveitandinn noti og hvaðan þær komi - m.a. um öflun áhættumats frá Creditinfo Lánstrausti hf.
Ljóst er að Creditinfo Lánstraust hf. tekur einnig veigamiklar ákvarðanir um vinnsluna. Það ákveður á hvaða staðreyndum mat þess byggist og ber ábyrgð á gæðum þess og áreiðanleika. Í þeim skilningi hefur félagið einnig stöðu ábyrgðaraðila í skilningi laga nr. 77/2000. Því ber þ.a.l. að ganga úr skugga um að heimild standi til vinnslu og óska stafestingar frá lánveitanda um að öflun mats byggist á beiðni hins skráða. Þá ber félaginu, sbr. 2. tl. 1. mgr. 23. gr., að senda hinum skráða tilkynningu um að það hafi gert mat á honum og bjóða honum að fá afrit af því.
Vinnsla persónuupplýsinga í tengslum við gerð áhættumats á manni, sem sótt hefur um neytendalán til fyrirtækis er lýtur eftirlitsvaldi FME, getur átt sér stoð í 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000, enda fari vinnslan fram að beiðni hins skráða áður en samið er við hann um lánveitinguna og hann fengið viðhlítandi fræðslu um vinnsluna.
Lánveitandi skal veita hinum skráða fullnægjandi fræðslu, þ. á m. um notkun áhættumats og hvaðan það komi. Creditinfo Lánstraust hf. ber ábyrgð á gæðum áhættumats og áreiðanleika. Því ber að gera hinum skráða aðvart um að það hafi gert áhættumat á honum og bjóða honum að fá afrit af því.
Creditinfo Lánstraust hf. ber að senda Persónuvernd tilkynningu um gerð áhættumats í samræmi við 31. gr. laga nr. 77/2000. Sama á við um einstaka lánveitendur sem afla slíkra persónuupplýsinga um einstaklinga og vinna með þær.
I.
Bréfaskipti
Persónuvernd vísar til bréfs Creditinfo Lánstrausts hf., dags. 9. september 2011, varðandi sölu upplýsinga um áhættumat sitt á einstaklingum. Í bréfinu segir:Bréfaskipti
„Creditinfo Lánstraust hf. (hér eftir félagið) vísar til úrskurðar Persónuverndar í máli nr. 2010/331 þar sem stofnunin komst að þeirri niðurstöðu að félagið hafi borið ábyrgð á því að vinnsla um lánshæfi (áhættumat) hafi ekki byggst á upplýstu samþykki áskrifanda félagsins. Í rökstuðningi stofnunarinnar var vísað til þess að félagið bæri ábyrgð á því að gripið væri til viðhlýtandi ráðstafana til að fyrirbyggja misnotkun.
Félagið hefur nú ákveðið að bjóða umrædda þjónustu aðeins til fyrirtækja er lúta eftirlitsvaldi FME, þ.e. fjármálafyrirtækja, í ljósi þess að í lögum er kveðið á um ríkar skyldur um aðgang starfsmanna þeirra að upplýsingum um viðskiptavini, sbr. t.d. 19.b og 58. gr. laga nr. 161/2002. Brjóti starfsmenn fjármálafyrirtækis þær reglur sem viðkomandi fjármálafyrirtæki hafa sett og lúta að upplýsingum um viðskiptamenn, þá getur slíkt varðað tilfærslu og/eða brottvikningu úr starfi.
Félagið mun eftir sem áður senda tilkynningu til hins skráða ef fjármálafyrirtæki hefur skoðað áhættumat hlutaðeigandi hjá félaginu. Slíkt er til þess fallið að fyrirbyggja heimildarlausa notkun og tryggir algert gagnsæi í umræddri vinnslu.
Með þessari breytingu verður framkvæmdin sú sama og í tilviki svokallaðs FE-yfirlits Reiknistofu bankanna. Þá er framkvæmdin jafnframt að þessu leyti í samræmi við notkun svokallaðs Skuldastöðukerfis skv. 3. gr. starfsleyfis félagsins þar sem hinum skráða er tilkynnt um uppflettingu sem framkvæmd er á grundvelli upplýsts samþykkis.“
Í bréfi Creditininfo Lánstrausts hf. er vísað til 1. mgr. 8. gr. tilskipunar Evrópusambandsins nr. 2008/48/EB um neytendalán, en þar er mælt fyrir um skyldu til að tryggja að áður en lánssamningur er gerður sé lánshæfi neytanda metið á grundvelli fullnægjandi upplýsinga. Með vísan til þess ákvæðis segir í bréfi félagsins:
„Þrátt fyrir að framangreind tilskipun hafi ekki verið innleidd í íslenskan rétt þá telur félagið að túlka beri íslensk lög með hliðsjón af framangreindu ákvæði. Af því leiðir að fjármálafyrirtæki ber að afla upplýsinga frá neytanda eða þriðja aðila til að meta lánshæfi hlutaðeigandi. Telur félagið að neytandinn hafi val um það að afla slíkra gagna sjálfur eða veita fjármálafyrirtæki heimild til að sækja slíkar upplýsingar á grundvelli upplýsts samþykkis. Fjármálafyrirtæki munu hins vegar ekki geta látið hjá líða að afla slíkra upplýsinga þar sem slíkt slíkt gæti verið metið sem óábyrg lánveiting […].“
Vísað er til 26. gr. inngangsorða umræddrar tilskipunar um neytendalán í tengslum við framangreint. Nánar tiltekið er vísað til þess að samkvæmt ákvæðinu eiga aðildarríki að stuðla að ábyrgum starfsháttum á öllum stigum lánastarfsemi, vara neytendur við þeirri áhættu sem fylgir of mikilli skuldasöfnun, girða fyrir að lánveitendur stundi óábyrga lánastarfsemi eða veiti lán án þess að hafa áður fengið mat á lánshæfi, stuðla að því að lánveitendur beri ábyrgð á að lánshæfi neytenda sé athugað í hverju einstöku tilviki og sjá til þess að lánveitendur geti ekki aðeins notað upplýsingar, sem neytandi veitir, meðan á undirbúningi viðkomandi lánssamnings stendur heldur einnig á meðan langvarandi viðskiptasamband varir.
Í niðurlagi bréfsins segir:
„Það er von félagins að fyrrgreint fyrirkomulag teljist tilhlýðilegt að mati Persónuverndar og sé í samræmi við góða viðskiptahætti enda er notkun áhættumats til þess fallin að draga úr skuldsetningu umfram greiðslugetu […].“
II.
Forsendur og niðurstaða
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.2.
Söfnun og skráning upplýsinga, sem varða fjárhagsmálefni og lánstraust einstaklinga, í því skyni að miðla þeim til annarra, þarf að byggjast á starfsleyfi Persónuverndar. sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust sem sett er með stoð í 45. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Starfsemi Creditinfo Lánstrausts hf. fellur að miklu leyti undir framangreind ákvæði og hefur Persónuvernd veitt félaginu leyfi í samræmi við þau, sbr. nú leyfi, dags. 10. maí 2011 (mál nr. 2010/1029). Varðandi þá vinnslu, sem um ræðir í máli þessu, verður hins vegar að líta til 1. mgr. 1. gr. áðurnefndrar reglugerðar, en þar segir að hún taki ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi. Gerð áhættumats, sem felur í sér gerð slíkra skýrslna, er því ekki leyfisskyld. Hún er hins vegar tilkynningarskyld og ber félaginu að senda um hana sérstaka tilkynningu í samræmi við 31. gr. laga nr. 77/2000.3.
Vinnsla persónuupplýsinga í tengslum við gerð áhættumats verður að fullnægja öllum kröfum laga nr. 77/2000. Það felur m.a. í sér að fullnægt þarf að vera einhverju skilyrðanna í 1. mgr. 8. gr. laganna eins og ávallt við vinnslu persónuupplýsinga. Verði slíkt áhættumat lögskylt gæti 3. töluliður 1. mgr. 8. gr. átt við. Þá getur, að því marki sem umsækjandi um neytendalán á í raun val um það hvort áhættumat fari fram, komið til skoðunar að grundvalla slíka vinnslu á ákvæði 1. tölul. 1. mgr. 8. gr. Verður samþykki þá í raun að vera upplýst, frálst og ótvírætt. Í öðrum tilvikum kemur til álita ákvæði 2. tölul. 1. mgr. 8. gr. um vinnsla persónuupplýsinga sem er heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.Í 1. mgr. 8. gr. Evróputilskipunar nr. 48/2008/EB, um neytendalánasamninga, er mælt fyrir um skyldu til að tryggja að áður en lánssamningur sé gerður sé lánshæfi neytanda metið á grundvelli fullnægjandi upplýsinga. Tilskipunin hefur ekki verið innleidd í íslenskan rétt, en hún hefur hins vegar verið tekin upp í EES-samninginn, sbr. gr. 7h í XIX. viðauka við samninginn, sbr. ákvörðun Sameiginlegu EES-nefndarinnar nr. 16/2009 frá 19. mars 2009. Hvílir því sú skylda á Íslandi að laga íslenskan rétt að tilskipuninni. Að því marki er litið til hennar við úrlausn máls þessa.
Að virtum efnislegum ákvæðum tilskipunar 48/2008/EB, og þeim sjónarmiðum sem hún byggist á og fram koma í formálsorðum hennar, telur Persónuvernd mega fallast á það að gerð áhættumats, til að undirbúa samning um neytendalán geti uppfyllt skilyrði 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000, enda sé hún nauðsynleg ráðstöfun til að undirbúa samningsgerð við hinn skráða og fari fram að hans ósk.
4.
Í 1. mgr. 7. gr. laga nr. 77/2000 er mælt fyrir um grunnkröfur um gæði gagna og vinnslu sem ávallt þarf að vera fullnægt við vinnslu persónuuplýsinga. Þar er m.a. mælt fyrir um. að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og vera í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að persónuupplýsingar skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.).Í sanngirnisreglu 1. töluliðar 7. gr. felst m.a. að við vinnslu persónupplýsinga skal þess gætt að hún sé gagnsæ gagnvart hinum skráða. Til samræmis er mælt fyrir um fræðsluskyldu ábyrgðaraðila í 20. og 21. gr. Saman leiða þær til þeirrar niðurstöðu að gera þarf hinum skráða aðvart og veita honum fræðslu til tryggja sanngjarna vinnslu. Þá er sérregla um aðvaranir í 23. gr. laga nr. 77/2000. Hún á við þegar persónusnið er lagt til grundvallar við töku sértækra ákvarðana, en ákvarðanir um lánveitingar teljast til slíkra ákvarðana. Ákvæðið á við þegar persónusnið er lagt til grundvallar við töku ákvörðunar, en jafna má notkun áhættumats til þess. Á grundvelli 2. tölul. 1. mgr. þeirrar greinar skal gera hinum skráða viðvart og hvílir skyldan til þess á ábyrgðaraðila.
5.
Með ábyrgðaraðila er átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000.Lánveitendur eiga samskipti við hinn skráða og bera ábyrgð á samningsgerð við hann. Þeir eru ábyrgðaraðilar þeirrar vinnslu persónuupplýsinga sem fram fer um hinn skráða á þeirra vegum og er þeim nauðsynleg í þágu samningsgerðarinnar. Þeir skulu ganga úr skugga um að umrædd ráðstöfun, þ.e. öflun áhættumats, fari fram að beiðni hins skráða vegna samningsgerðarinnar og tryggja að fyrir liggi gögn þar að lútandi. Þá skulu þeir, sbr. 2. tl. 1. mgr. 23. gr., tryggja að hinn skráði fái fullnægjandi fræðslu um það hvaða upplýsingar lánveitandinn noti og hvaðan þær komi - m.a. um öflun áhættumats frá Creditinfo Lánstrausti hf.
Ljóst er að Creditinfo Lánstraust hf. tekur einnig veigamiklar ákvarðanir um vinnsluna. Það ákveður á hvaða staðreyndum mat þess byggist og ber ábyrgð á gæðum þess og áreiðanleika. Í þeim skilningi hefur félagið einnig stöðu ábyrgðaraðila í skilningi laga nr. 77/2000. Því ber þ.a.l. að ganga úr skugga um að heimild standi til vinnslu og óska stafestingar frá lánveitanda um að öflun mats byggist á beiðni hins skráða. Þá ber félaginu, sbr. 2. tl. 1. mgr. 23. gr., að senda hinum skráða tilkynningu um að það hafi gert mat á honum og bjóða honum að fá afrit af því.
Á l i t s o r ð:
Vinnsla persónuupplýsinga í tengslum við gerð áhættumats á manni, sem sótt hefur um neytendalán til fyrirtækis er lýtur eftirlitsvaldi FME, getur átt sér stoð í 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000, enda fari vinnslan fram að beiðni hins skráða áður en samið er við hann um lánveitinguna og hann fengið viðhlítandi fræðslu um vinnsluna.
Lánveitandi skal veita hinum skráða fullnægjandi fræðslu, þ. á m. um notkun áhættumats og hvaðan það komi. Creditinfo Lánstraust hf. ber ábyrgð á gæðum áhættumats og áreiðanleika. Því ber að gera hinum skráða aðvart um að það hafi gert áhættumat á honum og bjóða honum að fá afrit af því.
Creditinfo Lánstraust hf. ber að senda Persónuvernd tilkynningu um gerð áhættumats í samræmi við 31. gr. laga nr. 77/2000. Sama á við um einstaka lánveitendur sem afla slíkra persónuupplýsinga um einstaklinga og vinna með þær.