Sekt á hendur Creditinfo Lánstrausti hf. vegna skráningar upplýsinga um vanskil lána sem veitt voru af eCommerce 2020 ApS

Mál nr. 2020061901

4.7.2023

Úrskurður

Hinn 27. júní 2023 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2020061901, þ.e. vegna kvörtunar Neytendasamtakanna yfir skráningu upplýsinga um vanskil svonefndra smálána hjá Creditinfo Lánstrausti hf.:

I.
Málsmeðferð
1.
Kvörtun og málsmeðferð

Hinn 16. júní 2020 barst Persónuvernd kvörtun frá Neytendasamtökunum yfir vinnslu persónuupplýsinga hjá fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf. í tengslum við svokölluð smálán. Kvörtunin sneri að því að stofan hefði skráð kröfur um slík lán þrátt fyrir að vextir og kostnaður af lánunum hefðu brotið gegn neytendalöggjöf. Bréfaskipti áttu sér stað um það atriði og með bréfi, dags. 30. desember 2021, veitti Persónuvernd stofunni andmælarétt um það hvort lögð skyldi á hana stjórnvaldssekt í ljósi þess að skráningin hefði ekki samrýmst kröfunni um lögmæti vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í því sambandi var vísað til fjölmargra úrlausna þar til bærra aðila um að við veitingu lánanna hefði verið brotið gegn lögum, en Persónuvernd taldi að í ljósi þessara úrlausna hefði sérstakrar árvekni verið þörf í tengslum við skráningu umræddra krafna. Nánar tiltekið var þar litið til skráninga frá gildistöku laga nr. 90/2018, hinn 15. júlí 2018, þar til líða tók á árið 2019, en þá taldi Persónuvernd mega ætla að veiting lánanna hefði verið færð til samræmis við þessar úrlausnir. Voru lánin á þessum tíma, og frá því nokkru fyrir gildistöku laganna, veitt af félagi skráðu í Danmörku, þ.e. eCommerce 2020 ApS, í gegnum einingar innan félagsins sem nefndust 1909, Hraðpeningar, Múli og Smálán.

Hvað snertir upplýsingar um kröfur þessa félags og eininga þess skal tekið fram að áður en kvörtun Neytendasamtakanna barst hafði Persónuvernd hafið athugun á vinnslu upplýsinganna og sent Creditinfo Lánstrausti hf. bréf, dags. 27. apríl 2020 (mál nr. 2020010436 hjá stofnuninni), þar sem með vísan til 6. tölul. 1. mgr. 42. gr. laga nr. 90/2018 var lagt bann við færslu upplýsinga frá innheimtuaðilum um kröfurnar á meðan athugunin stæði yfir. Þá sendi Persónuvernd fjárhagsupplýsingastofunni bréf, dags. 20. maí 2021, þar sem þess var óskað að upplýst yrði hvort kröfur vegna svonefndra smálána hefðu borist til skráningar í framhaldinu og hvernig við því hefði verið brugðist. Svarað var með bréfi stofunnar, dags. 4. júní s.á., en þar segir að frá og með 19. febrúar 2020 hafi ekki verið í gildi samningur vegna skráningar umræddra krafna við innheimtuaðila og að síðan hafi því engar slíkar kröfur verið færðar á skrá, auk þess sem öllum skráningum vegna þess háttar krafna hafi verið eytt og áhrif þeirra afmáð.

Hinn 18. nóvember 2022 var í Landsrétti kveðinn um dómur í máli nr. 646/2021, en þar var komist að þeirri niðurstöðu að dönsk lög en ekki íslensk hefðu gilt um vexti og kostnað af umræddum lánum á framangreindu tímabili. Af þeirri dómsniðurstöðu var ljóst að umrædd skráning gat ekki talist fara í bága við fyrrnefnda kröfu um lögmæti með vísan til þess að lánin hefðu brotið gegn hérlendri neytendalöggjöf. Hins vegar reyndi nú á nýtt úrlausnaratriði, þ.e. í tengslum við upptalningu í skilmálum starfsleyfis Creditinfo Lánstrausts hf. á því hvenær færa má kröfur á skrá.

Ljóst má telja að slíkt hafi einkum getað byggst á ákvæði í lánaskilmálum þess efnis að við tiltekin vanskil yrði krafa send til skráningar hjá Creditinfo Lánstrausti hf., sbr. 7. tölul. liðar 2.2.1 í því starfsleyfi Persónuverndar til handa fjárhagsupplýsingastofunni, dags. 29. desember 2017 (mál nr. 2017/1541), sem í gildi var á því tímabili sem til skoðunar var í því sambandi. Eins og Neytendasamtökin höfðu hins vegar bent á, sbr. umfjöllun í 2. og 4. kafla hér á eftir, hafði ákvæði sem þetta vantað í lánaskilmála eCommerce 2020 ApS. Var þar nánar tiltekið um að ræða tímabilið frá því að lög nr. 90/2018 tóku gildi og þar til ákvæði eins og hér er lýst hafði verið bætt við lánaskilmála félagsins, en þar er miðað við dagsetninguna 23. maí 2019 svo sem síðar greinir. Þá lá fyrir að upplýsingar um kröfur voru ekki afskráðar strax og í ljós kom að umrætt ákvæði í lánaskilmálum skorti. Með fyrirvara um afskráningu krafna vegna reglna um hámarksvarðveislutíma báru skýringar þess í stað með sér, sbr. 3. kafla hér á eftir, að til afskráningar hefði ekki komið fyrr en síðar, þ.e. annars vegar í ágúst 2019 þegar upplýsingum um kröfur á hendur 577 einstaklingum með höfuðstól undir 50.000 krónum var eytt og hins vegar í kjölfar riftunar Creditinfo Lánstrausts hf. á samningi við innheimtuaðila umræddra krafna í febrúar 2020, sbr. skýringar sem bárust frá fyrirtækinu 6. apríl s.á.

Á grundvelli framangreinds taldi Persónuvernd enn reyna á hvort skráning Creditinfo Lánstrausts hf. hefði fullnægt lögmætiskröfu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Í þessu fólst að miðað við gögn málsins taldi Persónuvernd að skort kynni að hafa á að fjárhagsupplýsingastofan kannaði lánaskilmála eCommerce 2020 ApS til að ganga úr skugga um að skráningarskilyrðum samkvæmt 7. tölul. liðar 2.2.1 í starfsleyfinu 2017 væri fullnægt. Jafnframt taldi Persónuvernd reyna á hvort nægilega hefði verið farið að kröfu upphafs sama liðar leyfisins um lágmarksupphæð krafna sem taka mátti á skrá, þ.e. fyrrnefnda upphæð höfuðstóls. Að auki taldi Persónuvernd verða að líta til þeirrar kröfu áðurnefndra ákvæða laganna og reglugerðarinnar að vinnsla persónuupplýsinga skal vera gagnsæ, en í því sambandi var vísað til þess að samkvæmt fyrrnefndu starfsleyfisákvæði um skráningu vanskila á grundvelli ákvæðis í lánaskilmálum skal slíkt ákvæði vera áberandi og skýrt. Þá leit Persónuvernd til ábyrgðarskyldu samkvæmt 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar, þ.e. skyldu ábyrgðaraðila til að geta sýnt fram á að farið sé að grunnkröfum persónuverndarlöggjafarinnar, en Persónuvernd taldi þá könnun á lánaskilmálum sem fyrr greinir geta talist þátt í að fara að þeirri skyldu. Sendi stofnunin því fjárhagsupplýsingastofunni bréf, dags. 14. nóvember 2022, þar sem henni var aftur veitt færi á andmælum við álagningu stjórnvaldssektar sem gert var ráð fyrir að gæti numið allt að 60.571.040 krónum, þ.e. 4% af heildarveltu fyrirtækisins á árinu 2021, sbr. 3. mgr. 46. gr. laga nr. 90/2018 og 5. mgr. 83. gr. reglugerðar (ESB) 2016/679.

Svarað var af hálfu Creditinfo Lánstrausts hf. með bréfi [A] lögmanns, dags. 5. desember 2022. Í 5. kafla hér á eftir verður efni þess bréfs rakið. Áður verður farið yfir athugun á skilmálum lána eCommerce 2020 ApS og það sem hún hefur leitt í ljós, sbr. 2. kafla, það sem fram hefur komið um varðveislu upplýsinga um vanskil á lánunum, sbr. 3. kafla, og athugasemdir frá Neytendasamtökunum sem hafa sérstakt vægi hér, sbr. 4. kafla. Skal tekið fram í því sambandi að í úrskurði þessum eru ekki rakin öll efnisatriði úr bréfaskiptum, en leitast hefur verið við að afmarka málið við þau atriði sem í ljósi alvarleika geta orðið tilefni til álagningar sektar eins og hér háttar til. Hins vegar getur komið til athugunar á öðrum atriðum síðar, svo sem í tengslum við frumkvæðiseftirlit Persónuverndar.

2.
Öflun sýnishorna af lánaskilmálum eCommerce 2020 ApS og tengd atriði

Í kjölfar bréfaskipta vegna kvörtunar í máli þessu taldi Persónuvernd þörf á öflun sýnishorna af skilmálum eCommerce 2020 Aps, þ.e. til könnunar á því í hvaða mæli kostnaður af lánum frá félaginu hefði brotið gegn neytendalöggjöf miðað við túlkun lögbærra aðila á henni. Var Creditinfo Lánstrausti hf. því sent bréf, dags. 8. júlí 2022, þar sem vísað var til skýrslunnar „Starfsumhverfi smálánafyrirtækja á Íslandi og tillögur til úrbóta“ sem sérstakur starfshópur skilaði til ferðamála-, iðnaðar- og nýsköpunarráðherra í janúar 2019 og sem birt var á vefsíðu Stjórnarráðsins 19. febrúar s.á., ásamt frétt um hana. Var tekið fram að miðað við skýrsluna og fréttina væri ljóst að stjórnvöld hefðu talið þörf sérstakra viðbragða vegna umræddra lána og gæti í því sambandi reynt á lögmætiskröfu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-liðar 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 vegna skráningar upplýsinga um þau hjá Creditinfo Lánstrausti hf. Þá var þess óskað í bréfinu að fjárhagsupplýsingastofan sendi Persónuvernd sýnishorn af skilmálum sem hún kynni að hafa aflað frá umræddu félagi til athugunar á lögmæti þeirra, en jafnframt var Neytendasamtökunum sent bréf, dags. 8. júlí 2022, þar sem einnig var óskað sýnishorna af skilmálum félagsins sem samtökunum kynnu að hafa borist frá einstökum lántökum.

Creditinfo Lánstraust hf. svaraði með bréfi, dags. 22. júlí 2022, og Neytendasamtökin með bréfi, dags. 29. s.m. Með bréfi Creditinfo Lánstrausts hf. fylgdu staðlaðar neytendaupplýsingar sem fyrirtækið hafði aflað frá einingunni Hraðpeningum innan eCommerce 2020 ApS, með gildistíma frá 24. júlí 2019. Þá fylgdu tvennir lánaskilmálar með bréfi Neytendasamtakanna, með gildistíma frá annars vegar 3. september 2018 og hins vegar 25. mars 2019, en fyrri skilmálarnir voru frá einingunni 1909 og hinir síðarnefndu frá einingunni Smálán.

Eins og Neytendasamtökin vöktu athygli á í bréfi sínu höfðu skilmálarnir, sem hjálagðir voru með því, ekki að geyma slíkt ákvæði um vanskilaskráningu og fyrr greinir og hið sama gilti um neytendaupplýsingarnar sem meðfylgjandi voru bréfi Creditinfo Lánstrausts hf. Taldi Persónuvernd þetta kalla á frekari rannsókn og sendi því fjárhagsupplýsingastofunni bréf, dags. 13. september 2022, þar sem spurt var hvort stofan hefði í samskiptum við eCommerce 2020 ApS kannað grundvöll þess að kröfur voru sendar þaðan til vanskilaskráningar, þ. á m. hvort lánaskilmálar hefðu að geyma umrætt ákvæði. Tekið var fram að óskað væri tæmandi yfirlits yfir athuganir sem þessar, ásamt afritum allra samskipta og gagna vegna þeirra, þ. á m. lánaskilmála sem stofan kynni að hafa aflað.

Svarað var með bréfi, dags. 30. september 2022. Með því fylgdu lánaskilmálar með gildistíma frá 23. maí 2019 frá einingunni Hraðpeningum innan eCommerce 2020 ApS, en skilmálarnir hafa að geyma ákvæði eins og hér um ræðir. Þá fylgdu tölvupóstsamskipti dagana 8. maí til 4. júní 2019 milli annars vegar Creditinfo Lánstrausts hf. og hins vegar eCommerce 2020 ApS og innheimtuaðila þess félags, þ.e. Almennrar innheimtu ehf. Í þessum samskiptum vakti Creditinfo Lánstraust hf. máls á því, í ljósi fyrirspurna sem fjárhagsupplýsingastofunni höfðu borist, að ákvæði sem þetta þyrfti að vera í lánaskilmálum eCommerce 2020 ApS, sbr. og tilvísun í samskiptunum til ábendingar stofunnar þar að lútandi til Almennrar innheimtu ehf. í tölvupósti 6. maí 2019. Einnig lýsti fjárhagsupplýsingastofan því, þ.e. í tölvupósti 29. maí s.á., að hún hefði farið í gegnum áðurnefnda skilmála hjá Hraðpeningum og komið auga á þetta ákvæði þar. Óskaði stofan eldri útgáfna af skilmálunum sem staðfestu að ákvæðið hefði verið þar frá því í júlí 2018 en fékk það svar frá eCommerce 2020 ApS, þ.e. í tölvupósti 4. júní 2019, að svo hefði ekki verið en að skilmálarnir hefðu nú verið lagfærðir að þessu leyti.

Þess skal getið að auk framangreinds hafa Persónuvernd borist samningsskilmálar frá eCommerce 2020 ApS í tengslum við mál (nr. 2019061308) vegna fyrirspurnar frá Neytendasamtökunum um lögmæti vanskilaskráningar vegna umræddra lána. Bárust þessir skilmálar í tölvupósti 22. október 2019 frá fyrrnefndum innheimtuaðila, Almennri innheimtu ehf. Hafa skilmálarnir, sem ekki eru auðkenndir tiltekinni einingu innan félagsins, að geyma ákvæði um að við vanskil geti komið til vanskilaskráningar, ólíkt þeim skilmálum sem fyrr eru nefndir.

3.
Um varðveislutíma upplýsinga um kröfur eCommerce 2020 ApS

Í samskiptum á fyrri stigum hefur komið fram hvenær kröfur frá eCommerce 2020 ApS hafa verið afskráðar hjá Creditinfo Lánstrausti hf. Annars vegar vísast þar til samskipta varðandi fjölda hinna skráðu, en Persónuvernd óskaði þess að upplýst yrði um hann með bréfi til Creditinfo Lánstrausts hf., dags. 13. júní 2022, þ.e. á tímabilinu 15. júlí 2018 til nóvemberloka 2019 í samræmi við þær forsendur sem þá var byggt á varðandi vexti og kostnað af lánum, sbr. umfjöllun í 1. kafla hér að framan. Svar barst við bréfinu í tölvupósti frá fjárhagsupplýsingastofunni 16. og 20. júní 2022 þar sem því var lýst að finna mætti skráningar frá umræddu tímabili vegna 2.149 einstaklinga, þar af 1.919 sem skráningin hefði ekki haft raunveruleg áhrif á vegna mála frá öðrum kröfuhöfum. Þá var gerður fyrirvari um eyðingu skráningar í ljósi hámarksvarðveislutíma þeirra og tekið fram að í ágúst 2019 hefðu allar kröfur frá fyrrnefndum aðilum verið rýndar. Hefðu þá kröfur á hendur 577 einstaklingum verið afskráðar, en í ljós hefði komið að höfuðstóll þeirra væri undir 50.000 krónum.

Hins vegar er upplýsingar um afskráningu að finna í máli nr. 2020021020 þar sem fjallað var um sendingu tiltekinna krafna til vanskilaskráningar á vegum innheimtuaðila umræddra krafna. Hafði athugun Creditinfo Lánstrausts hf. leitt í ljós að kröfurnar höfðu verið sendar frá honum til skráningar án fullnægjandi heimildar og sendi fyrirtækið af því tilefni tilkynningu til Persónuverndar um öryggisbrest, dags. 21. febrúar 2020. Kröfurnar sem hér um ræddi voru ekki tengdar eCommerce 2020 ApS, en því var jafnframt lýst í tölvupósti til Persónuverndar 6. apríl 2020 að allar skráningar frá umræddum innheimtuaðila hefðu verið afmáðar, óháð því hver kröfuhafinn væri.

4.
Athugasemdir frá Neytendasamtökunum í tengslum við heimild til skráningar

Á grundvelli 15. gr. stjórnsýslulaga nr. 37/1993 var bréf Creditinfo Lánstrausts hf. til Persónuverndar, dags. 30. september 2022, sbr. umfjöllun í 2. kafla hér að framan, sent Neytendasamtökunum ásamt fylgiskjölum með því. Var þetta gert að fenginni gagnabeiðni frá samtökunum í tölvupósti 6. október 2022 sem svarað var 13. og 24. s.m., en í kjölfar þess barst bréf frá samtökunum, dags. 28. s.m.

Í bréfinu vekja samtökin athygli á að í tilteknum skilmálum og stöðluðum neytendaupplýsingum eCommerce 2020 ApS, sem Persónuvernd höfðu borist frá Creditinfo Lánstrausti hf., skorti ákvæði um vanskilaskráningu. Þá er áréttað að í skilmálum, sem Neytendasamtökin höfðu sent Persónuvernd, var þess háttar ákvæði ekki heldur að finna.

Tekið er fram að í áðurnefndum tölvupóstsamskiptum 6. maí til 4. júní 2019, þar sem Creditinfo Lánstraust hf. óskaði skýringa í tengslum við lánaskilmála eCommerce 2020 ApS, sé að finna viðurkenningu síðarnefnda félagsins á vöntun á umræddum skilmála, sbr. það sem fyrr greinir um að 4. júní 2019 hafi félagið sagt skilmálana nú hafa verið lagfærða að þessu leyti. Segir að þessi viðurkenning taki til tímabilsins frá júlí 2018 til maí 2019, en að Neytendasamtökin telji að í reynd hafi verið um lengra tímabil að ræða og að úrbætur hafi aðeins verið takmarkaðar og afmarkast við eininguna Hraðpeninga innan eCommerce 2020 ApS. Þá hafi verið veruleg áhöld um að upplýsingagjöf í skilmálum þeirrar einingar uppfylltu kröfur um að vera áberandi og skýrar.

Einnig segir meðal annars að hvergi sé að finna upplýsingar um það í afhentum gögnum að Creditinfo Lánstraust hf. hafi, í kjölfar framangreindra tölvupóstsamskipta, eytt ólögmætum vanskilaskráningum, tilkynnt lántökum um ranga og ólöglega skráningu eða gripið til aðgerða til að leiðrétta eigin gagnagrunna, svo sem að eyða öllum færslum og skráningum hlutaðeigandi einstaklinga. Að því gefnu að það sé rétt sé um að ræða alvarlegt brot á lögum um persónuvernd, sérstaklega þegar horft sé til þess að samkvæmt afhentum gögnum hafi Creditinfo Lánstraust ehf. ekki gripið til aðgerða í tengslum við skráningar umræddra krafna fyrr en í maí 2019.

5.
Athugasemdir fyrir hönd Creditinfo Lánstrausts hf.

Í bréfi [A] lögmanns fyrir hönd Creditinfo Lánstrausts hf., dags. 5. desember 2022, er farið yfir sjónarmið í tengslum við ábyrgð á vinnslu persónuupplýsinga vegna vanskilaskráningar. Segir í því sambandi að gera verði greinarmun á þeim vinnsluaðgerðum sem felast annars vegar í miðlun og skráningu á vanskilum og hins vegar varðveislu þeirra skráninga í gagnagrunni fjárhagsupplýsingastofunnar og frekari vinnslu, þ.m.t. veitingu aðgangs að upplýsingum til þriðju aðila. Tekið er fram að áskrifendur að upplýsingakerfum stofunnar, sem miðli upplýsingum til skráningar þar, beri ábyrgð á að heimild standi til þeirrar miðlunar og skráningar. Afmarkað sé með mjög skýrum hætti í starfsleyfi og áskriftarsamningi hvers konar kröfur hér um ræði og sé það á ábyrgð áskrifenda að tryggja að skilyrðum í þeim efnum sé fullnægt, en þetta sé staðfest í framkvæmd Persónuverndar, sbr. úrskurð, dags. 24. febrúar 2016, í máli nr. 2015/1519, og úrskurð, dags. 18. janúar 2018, í máli nr. 2016/1687. Jafnframt hafi spænska persónuverndarstofnunin komist að sambærilegri niðurstöðu í úrskurði, dags. 7. júní 2021, í máli nr. PS/00140/2021, þ.e. að kröfuhafi hefði borið ábyrgð á að tryggja að skilyrði væru til skráningar vanskila hjá fjárhagsupplýsingastofu og að hann skyldi greiða sekt vegna misbresta á því. Þá fáist ekki annað séð af orðalagi starfsleyfis Creditinfo Lánstrausts hf. en að Persónuvernd geri beinlínis ráð fyrir að áskrifendur og kröfuhafar beri ábyrgð á að skilyrði til skráningar séu uppfyllt, sbr. ákvæði 2.9 í áðurnefndu starfsleyfi 29. desember 2017 sem í gildi var á því tímabili sem hér er til umfjöllunar. Hafi þar verið mælt fyrir um áskriftarsamning með nánar tilteknum ákvæðum sem fjárhagsupplýsingastofan skyldi gera við áskrifendur og bæri henni að grípa til viðhlítandi ráðstafana ef í ljós kæmu brot þeirra gegn þessum ákvæðum til að hindra að slíkt endurtæki sig. Sambærilegt ákvæði sé að finna í síðara starfsleyfi, dags. 3. maí 2021 (mál nr. 2020041404), en þar sé gert ráð fyrir að Persónuvernd beiti valdheimildum sínum, svo sem álagningu stjórnvaldssektar, gegn áskrifanda sem ekki hefur farið að áskriftarskilmálum. Að mati Creditinfo Lánstrausts hf. sé því alveg skýrt að þeir áskrifendur sem sendu umræddar kröfur til skráningar hjá fjárhagsupplýsingastofnunni, þ.e. lánveitandinn eCommerce 2020 ApS og innheimtuaðilinn Almenn innheimta ehf., hafi verið ábyrgðaraðilar í skilningi persónuverndarlöggjafar. Samkvæmt því hafi þeir borið ábyrgð á að aðeins væru skráð vanskil að uppfylltum kröfum þeirrar löggjafar og kröfum í starfsleyfi stofunnar. Tekið er fram í þessu sambandi að hún beri ábyrgð á varðveislu upplýsinganna og frekari vinnslu, þ.m.t. hvað snertir aðgang þriðju aðila, en mál þetta virðist hins vegar ekki að nokkru leyti snúast um þær vinnsluaðgerðir heldur einungis það hvort heimilt hafi verið að skrá umrædd vanskil.

Um heimild fyrir umræddri vinnslu er vísað til 6. tölul. 9. gr. laga nr. 90/2018, þess efnis að vinna megi með persónuupplýsingar á grundvelli lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða. Segir í því sambandi að Creditinfo Lánstraust hf. hafi framkvæmt hagsmunamat í tengslum við vinnsluna og gripið til ýmissa ráðstafana til að gæta að hagsmunum hinna skráðu í samræmi við þetta mat. Þá er vísað til heimildar sem fjárhagsupplýsingastofan hafði samkvæmt starfsleyfinu 2017 til skráningar upplýsinga um skuldir einstaklinga sem námu a.m.k. 50.000 krónum að höfuðstól, enda hefði stofan fengið óyggjandi skriflegar upplýsingar er staðfestu tilvist viðkomandi skuldar, auk þess sem einu níu tilgreindra skilyrða væri fullnægt, sbr. lið 2.2.1 í leyfinu.

Tekið er fram að hinn 22. apríl 2016 hafi stofan gert samning um skráningu og meðferð upplýsinga um vanskil við Collectum ehf., síðar Almenna innheimtu ehf., en afrit af samningnum var hjálagt með bréfi lögmannsins. Segir að samningurinn hafi haft að geyma skýr ákvæði sem endurspegluðu skilyrði þess starfsleyfis sem í gildi var við undirritun samnings. Vísað er til 1. gr. samningsins, þar sem fjallað var um skyldu Almennrar innheimtu ehf. til að hafa ávallt undir höndum skrifleg gögn um tilvist og vanskil á kröfum sem sendar væru til skráningar; 2. gr. samningsins, þar sem meðal annars var mælt fyrir um 50.000 króna lágmarksfjárhæð skuldar og það áréttað að skráning þyrfti að falla undir heimild í starfsleyfi, svo og að ef byggt væri á ákvæði í lánaskilmálum um vanskilaskráningu þyrfti yfirlýsing þar að lútandi að vera áberandi og skýr og tilgreina a.m.k. 40 daga vanskil; og 5. gr. samningsins, þar sem mælt var fyrir um rétt Creditinfo Lánstrausts hf. til fá gögn frá Almennri innheimtu ehf. um kröfur sem skráðar hefðu verið í því skyni að kanna réttmæti og áreiðanleika gagna.

Því er lýst að áskrifendur að vanskilaupplýsingum hjá Creditinfo Lánstrausti hf. skrái upplýsingar sjálfir inn í kerfin, ýmist í gegnum fyrirtækjavef fjárhagsupplýsingastofunnar eða vefþjónustutengingu sem oft sé beintengd inn í innheimtukerfi viðkomandi áskrifanda. Í báðum tilvikum beri áskrifendum að færa inn upplýsingar um annars vegar fjárhæð kröfu og hins vegar á hvaða grundvelli skráning byggi með því að haka við viðeigandi heimild úr starfsleyfi stofunnar, en að öðrum kosti sé skráningu hafnað. Liggi þannig fyrir skrifleg staðfesting áskrifenda á framangreindum atriðum. Þá hafi sú krafa hvergi verið gerð í starfsleyfi að stofan skoðaði frumgögn, í þessu tilviki samningsskilmála, vegna hverrar og einnar kröfu frá áskrifendum til að kanna hvort skilyrðum til skráningar væri fullnægt vegna kröfunnar sem slíkrar. Bent er á að á því tímabili sem umræddar kröfur voru skráðar var gert ráð fyrir heimild þar að lútandi í níu tegundum tilvika, sbr. lið 2.2.1 í leyfinu 2017, og að aðeins ein þessara heimilda byggðist á ákvæði þar að lútandi í lánaskilmálum. Segir að ekki verði séð á hvaða lögmætisgrundvelli Creditinfo Lánstraust hf. hefði átt að kalla eftir undirliggjandi skjölum í einstökum tilvikum, svo sem þegar skráning byggðist á því að skuld væri í gjalddaga fallin, að nauðasamningur hefði verið vanefndur eða að skuldari hefði undirritað eignaleysisyfirlýsingu. Jafnframt verði ekki séð á hvaða lögmætisgrundvelli áskrifandi hefði getað miðlað slíkum upplýsingum til fjárhagsupplýsingastofunnar, en í því sambandi er vísað til ákvæða um bankaleynd í lögum nr. 161/2002 um fjármálafyrirtæki sem margir kröfuhafar séu bundnir af. Að auki sé það í samræmi við meðalhófsreglu persónuverndarlaga að vinnsla frumskjala sé hjá áskrifanda og fullnægjandi sé að hann staðfesti það skriflega við stofuna hvaða heimild til skráningar samkvæmt starfsleyfi sé uppfyllt í tengslum við einstakar kröfur. Skuli því haldið til haga í því sambandi að á áðurnefndu tímabili hafi verið skráðar um 20.000 vanskilakröfur og hefði skoðun á undirliggjandi frumskjölum vegna þeirra allra kallað á mjög umfangsmikla vinnslu. Þá hafi Persónuvernd jafnframt staðfest að óraunhæft hefði verið fyrir Creditinfo Lánstraust hf. að búa ávallt yfir frumgögnum, sbr. 6. kafla bréfs Persónuverndar til fjárhagsupplýsingastofunnar, dags. 7. október 2020 (mál nr. 2020041404 hjá stofnuninni), sem sent var ásamt drögum að stöðluðum skilmálum í starfsleyfum til slíkra stofa sem settir voru í umsagnarferli degi síðar, en í umræddum kafla var gerð breyting á drögunum í ljósi framangreinds sjónarmiðs.

Farið er yfir að samkvæmt starfsleyfisskilmálum ber Creditinfo Lánstrausti hf. að senda einstaklingi tilkynningu um fyrirhugaða skráningu áður en upplýsingar eru færðar á skrá. Vísað er til 2. mgr. liðar 2.4.1 í starfsleyfinu 2017, þess efnis að í fræðslutilkynningu skyldi upplýst um rétt til eyðingar upplýsinga um kröfu eða fjárhæð hennar ef ekki lægi fyrir staðfest réttargerð þar að lútandi. Segir að samkvæmt þessu hafi starfsleyfið beinlínis gert ráð fyrir að ekki lægi í öllum tilvikum fyrir réttargjörð sem staðfesti réttleika upplýsinga um vanskil. Jafnframt segir að í samræmi við framangreint hafi Creditinfo Lánstraust hf. ávallt sent tilkynningu til viðkomandi einstaklings sem hafi haft rétt á að andmæla skráningu, munnlega sem skriflega. Hafi krafa jafnframt verið afskráð um leið ef staðfestingu með opinberri réttargjörð hafi skort, en samkvæmt því hafi fjárhagsupplýsingastofan ekki lagt neitt mat á andmæli heldur afskráð kröfur óháð því hvort andmælin ættu við rök að styðjast eður ei. Þá verði að líta til þess að upplýsingarnar hafi tengst samningssambandi áskrifanda og hins skráða, en því hafi stofan orðið að reiða sig á upplýsingagjöf frá þessum aðilum. Megi þar nefna að starfsleyfið hafi bannað skráningu umdeildra skulda sem hinn skráði hefði andmælt við kröfuhafa, sbr. 3. mgr. ákvæðis 2.1 í leyfinu, en stofan hafi því orðið að treysta því að annaðhvort kröfuhafinn, þ.e. áskrifandinn, eða hinn skráði kæmi andmælunum áfram til sín.

Í þessu sambandi er vísað til áðurnefnds bréfs Persónuverndar til Creditinfo Lánstrausts hf., dags. 7. október 2020, þ.e. 5. kafla bréfsins, en þar var fjallað um þá tillögu fjárhagsupplýsingastofunnar að hún gæti hafnað skráningu á kröfu teldi hún vafa leika á um lögmæti hennar jafnvel þótt skuldari hefði ekki hreyft við andmælum. Tók Persónuvernd fram að þó svo að ekki væri kveðið á um þetta í þágildandi starfsleyfi frá 2017 mætti telja ljóst að stofan hefði þessi heimild. Hins vegar væri til bóta að taka af skarið um þetta í starfsleyfisskilmálum og væri eðlilegt að ekki aðeins væri þá heimilt heldur jafnframt skylt að hafna skráningu. Er þeim skilningi lýst í bréfi lögmannsins að samkvæmt þessu hafi það alls ekki verið skýrt að lögmæti vinnslu Creditinfo Lánstrausts hf. væri bundið mati fjárhagsupplýsingastofunnar á lögmæti undirliggjandi kröfu. Segir jafnframt að leggja verði til grundvallar þá réttarstöðu sem var við lýði á því tímabili sem hér er til umfjöllunar og sé því ekki hægt að taka mið af síðari starfsleyfisskilmálum né heldur viðbótarskýringum Persónuverndar og kröfum sem stofnunin hefur gert til stofunnar eftir umrætt tímabil.

Með vísan til framangreinds er því alfarið hafnað að lögmæti vinnslu persónuupplýsinga hjá Creditinfo Lánstrausti hf. hafi verið bundið mati á lögmæti þeirrar kröfu sem áskrifandi óskaði skráningar á sem kröfuhafi. Þá segir að með öllu sé skýrt að slík krafa hafi engan veginn endurspeglast í starfsleyfi og sýni gögn málsins að það hafi ekki verið fyrr en eftir umrætt tímabil, í aðdraganda veitingar starfsleyfisins 3. maí 2021, sem Persónuvernd hafi talið ástæðu til að breyta frá fyrri framkvæmd þannig að fjárhagsupplýsingastofu væri ekki aðeins heimilt að hafna skráningu ef vafi léki á um lögmæti hennar heldur skyldi skráningin þá vera óheimil.

Að svo búnu er vikið að kröfu um lágmarksfjárhæð höfuðstóls, sbr. upphaf liðar 2.2.1 í starfsleyfi Creditinfo Lánstrausts hf. 2017, og tekið fram að fjárhagsupplýsingastofan hafi, í ljósi áskriftarsamnings við Almenna innheimtu ehf., verið í góðri trú um að höfuðstóll krafna samrýmdist þeirri kröfu. Vegna ágreinings, sem uppi hafi verið í ágúst 2019 um lögmæti kostnaðar af lánum eCommerce 2020 APS, með hliðsjón af ákvæðum neytendalöggjafar, hafi stofan jafnframt gert úttekt á skráningum félagsins. Í kjölfar þeirrar úttektar hafi verið afskráðar samtals 577 kröfur þar sem upphaflegur höfuðstóll hafi reynst vera lægri en 50.000 krónur.

Í framhaldi af þessu er fjallað um skilmála í lánum eCommerce 2020 ApS í tengslum við hvort skort hafi þar ákvæði um að tiltekin vanskil yrðu skráð hjá Creditinfo Lánstrausti hf., sbr. 7. tölul. liðar 2.2.1 í starfsleyfinu 2017. Er Persónuvernd í því sambandi sögð ganga út frá því sem staðreynd að heimild til vanskilaskráningar hafi ekki verið í skilmálum eCommerce 2020 ApS og tengdra aðila á tímabilinu 15. júlí 2018 til 29. maí 2019. Því er hafnað að ganga megi út frá þessu, enda liggi fullnægjandi upplýsingar ekki fyrir. Tekið er fram í því sambandi að engir skilmálar liggi fyrir í málinu fyrir tímabilið 15. júlí til 3. september 2018, auk þess sem engir skilmálar liggir fyrir í tengslum við þá einingu innan félagsins sem nefnd er Múli. Enn fremur liggi aðeins fyrir einn lánasamningur við tiltekinn lántaka, þ.e. frá einingunni Smálán, dags. 25. mars 2019. Þá vanti upplýsingar í málinu um hvaða lánaskjöl þeir einstaklingar skrifuðu undir sem skráðir voru vegna vanskila hjá Creditinfo Lánstrausti hf. af hálfu eCommerce 2020 ApS og tengdra aðila á hinu skilgreinda tímabili, en tekið er fram að ekki verði útilokað að viðkomandi einstaklingar hafi skrifað undir lánaskjöl frá þriðja aðila sem síðan hafi framselt kröfu sína til eCommerce 2020 ApS eða einingar innan þess félags. Skorti samkvæmt þessu töluvert upp á málatilbúnað varðandi það meinta brot Creditinfo Lánstrausts hf. að taka á skrá ólögmætar kröfur.

Hvað snertir kröfu persónuverndarlöggjafarinnar um gagnsæi, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, er því alfarið mótmælt að Creditinfo Lánstraust hf. hafi getað borið ábyrgð á því að lánaskilmálar eCommerce 2020 ApS og tengdra aðila fullnægðu því skilyrði. Fjárhagsupplýsingastofan hafi enga stjórn á hvernig áskrifendur og kröfuhafar stilli upp lána- og skuldaskjölum sínum, jafnvel þótt skýrt sé af áskriftarsamningi hvaða kröfur gerðar séu til slíkra skjala. Fyrrnefnt starfsleyfisákvæði um heimild til skráningar á grundvelli ákvæðis í lánaskilmálum lúti jafnframt að lögmæti miðlunar upplýsinga til fjárhagsupplýsingastofunnar frá áskrifendum, en þeir beri ábyrgð á að kröfum sé fullnægt í þeim efnum. Að því marki sem í starfsleyfisákvæðinu felist sjálfstæð fræðsluskylda gagnvart hinum skráða sé einnig á því byggt að áskrifendum beri að veita þá fræðslu. Á Creditinfo Lánstrausti hf. hvíli hins vegar ábyrgð á að tryggja gagnsæi og fræðslu varðandi þær vinnsluaðgerðir sem fjárhagsupplýsingastofan beri ábyrgð, þ.e. í tengslum við varðveislu vanskilaupplýsinga og frekari vinnslu, þ.m.t. aðgang þriðju aðila að upplýsingum, sbr. m.a. ákvæði 2.4 í starfsleyfinu 2017. Er í þessu sambandi vísað til viðvörunar- og fræðsluskyldu samkvæmt 4. gr. reglugerðar nr. 246/2001 og tekið fram að Creditinfo Lánstraust hf. hafi farið að því ákvæði, bæði með bréfum sem send hafi verið hinum skráðu og með persónuverndarstefnu sem aðgengileg hafi verið á heimasíðu fjárhagsupplýsingastofunnar. Ekkert í málinu bendi til þess að stofan hafi vanefnt fræðsluskyldu sína eða að skort hafi á gagnsæi hvað varðar þær vinnsluaðgerðir sem hún ber ábyrgð og sé því alfarið hafnað að hún hafi brotið gegn umræddri kröfu um gagnsæi.

Varðandi ábyrgðarskyldu samkvæmt 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, þ.e. skyldu ábyrgðaraðila til að geta sýnt fram á farið sé að grunnkröfum persónuverndarlöggjafarinnar, er áréttuð sú afstaða að skyldur í tengslum við skráningu vanskilakrafna hafi hvílt á áskrifendum og kröfuhöfum en ekki Creditinfo Lánstrausti hf. Því sé það ekki fjárhagsupplýsingastofunnar að sýna fram á að farið hafi verið að þeim skyldum með því að taka út lánaskjöl áskrifenda og kröfuhafa, auk fjárhæðar höfuðstóls. Jafnframt er hins vegar tekið fram að fjárhagsupplýsingastofan hafi í reynd sinnt slíku eftirliti og gripið til viðeigandi úrræða.

Einnig er í þessu sambandi vísað til þess sem fyrr greinir um mikinn fjölda úrlausna þar til bærra aðila um að við veitingu svonefndra smálána hafi verið brotið gegn lögum, en Persónuvernd taldi að í ljósi þessara úrlausna hefði þurft að gæta sérstakrar árvekni við skráningu krafna vegna þessara lána. Því er lýst að af úrlausnum Neytendastofu hvað þetta varðar árið 2019 hafi ein lotið að eCommerce 2020 ApS en hinar að aðilum sem veittu umrædd lán áður en félagið hóf starfsemi. Jafnframt vísast til þess að því máli sem þar um ræddi hafi ekki lokið endanlega fyrr en með áðurnefndum dómi Landsréttar 18. nóvember 2022 í máli nr. 646/2021, þess efnis að lánasamningar eCommerce 2020 ApS hefðu ekki falið í sér brot gegn íslenskri neytendalöggjöf. Tekið er fram að samkvæmt þessu hafi réttarstaðan í tengslum við undirliggjandi samningssamband eCommerce 2020 ApS við lántaka verið óljós. Þá segir að þetta undirliggjandi samningssamband, auk mögulegs brots kröfuhafa og áskrifenda á gildandi lögum, geti ekki haft þau áhrif að Creditinfo Lánstraust hf. þurfi að endurmeta lögmæti þess að skrá vanskil á kröfu nema fram komi andmæli frá hinum skráða sem taka verði tillit til. Þá verði ekki krafist ráðstafana af hálfu fjárhagsupplýsingastofunnar nema ágreiningur aðila hafi verið leiddur endanlega til lykta.

Vikið er að fyrrnefndri tilvísun Persónuvernd til skýrslunnar „Starfsumhverfi smálánafyrirtækja á Íslandi og tillögur til úrbóta“ sem starfshópur skilaði til ferðamála-, iðnaðar- og nýsköpunarráðherra í janúar 2019. Hvað það snertir að stjórnvöld hafi talið ástæðu til sérstakra viðbragða vegna svonefndra smálána er vísað til laga nr. 163/2019 þar sem meðal annars lögum nr. 33/2013 um neytendalán var breytt í tengslum við umrædd lán. Því er lýst í bréfi lögmannsins að breytingalögin hafi tekið gildi 17. desember 2019, þ.e. eftir það tímabil þar sem miðað sé við af hálfu Persónuverndar að brot kunni að hafa átt sér stað í starfsemi Creditinfo Lánstrausts hf. Þá er vísað til áðurnefnds dóms Landsréttar 18. nóvember 2022 og það sagt skýrt að í ljósi dómsins hafi umrædd breytingalög ekki tekið til þeirra krafna eCommerce 2020 ApS sem hér um ræðir.

Tekið er fram að þrátt fyrir þetta hafi Creditinfo Lánstraust hf. reglulega tekið stikkprufur af skilmálum viðskiptavina sinna til að tryggja að áskriftarsamningur væri uppfylltur, þ.m.t. til könnunar á hvort skráning á grundvelli lánaskilmála fullnægði kröfum í þeim efnum. Hafi skoðun starfsfólks farið þannig fram að fylgt hafi verið lánaferli viðkomandi viðskiptavinar og þær upplýsingar skoðaðar sem aðgengilegar voru væntanlegum lántökum. Jafnframt hafi starfsfólk Creditinfo Lánstrausts hf. verið í samskiptum við forsvarsmenn eCommerce 2020 ApS og tiltekinnar einingar innan félagsins, þ.e. Hraðpeninga, frá maí til ágúst 2019 og hafi allar kröfur frá þessum aðilum verið rýndar í ágúst 2019. Í kjölfar þess hafi fjárhagsupplýsingastofan afskráð tilteknar kröfur félagsins, í ljósi þess að ágreiningur hafi verið uppi um lögmæti kostnaðar af lánunum, og er því hafnað að eftirlitshlutverki stofunnar hafi ekki verið sinnt. Segir í því sambandi að á þessum tíma hafi hins vegar ekki verið kveðið með skýrum hætti á um eftirlit sem þetta, þ.e. með því að farið sé að áskriftarsamningum, ólíkt sem síðar hafi orðið, þ.e. með 2. mgr. 6. gr. starfsleyfisins 3. maí 2021. Jafnframt segir að óháð þessu sé eftirlitsskylda á grundvelli starfsleyfis allt annars eðlis en skyldur samkvæmt grunnreglum og ábyrgðarskyldu samkvæmt persónuverndarlöggjöfinni, svo og kröfum þeirrar löggjafar um vinnsluheimildir.

Í tengslum við þá hámarkssektarfjárhæð sem tilgreind er í andmælaréttarbréfi frá Persónuvernd 14. nóvember 2022, þ.e. 60.571.040 krónur, er fjallað um þau mál þar sem stofnunin hefur lagt á stjórnvaldssekt til þessa. Bent er á að í þeim tveimur málum þar sem sekt hefur orðið hæst nam hún annars vegar 7.500.000 króna, sbr. ákvörðun 23. nóvember 2021 í máli nr. 2020092288, og hins vegar 5.000.000 króna, sbr. ákvörðun 3. maí 2022 í máli nr. 2021040879. Vísað er til þess að í fyrra málinu hafði 226.158 einstaklingum verið veitt ófullnægjandi fræðsla um vinnslu persónuupplýsinga og að í síðara málinu hafði verið unnið með upplýsingar um börn, þ. á m. viðkvæmar persónuupplýsingar. Tekið er fram í því sambandi að sú vinnsla persónuupplýsinga sem hér er til umfjöllunar hafi farið fram á mjög takmörkuðu tímabili. Þá segir að eingöngu afmarkaður hópur einstaklinga hefði mögulega getað orðið fyrir áhrifum af vinnslunni, en auk þess hafi ekki verið um að ræða viðkvæmar persónuupplýsingar. Í ljósi þessa, auk annarra atriða sem leiða ættu til lækkunar sektarfjárhæðar, fáist engan veginn séð hvers vegna sekt í máli þessu ætti að vera átta til tólf sinnum hærri en hæstu sektir Persónuverndar hingað til.

Nánar segir að því meira íþyngjandi sem stjórnvaldsákvörðun sé, þeim mun strangari kröfur verði almennt að gera til stjórnvalds um að það gangi úr skugga um að upplýsingar sem búa þar að baki séu sannar og réttar. Af dómaframkvæmd Mannréttindadómstóls Evrópu, 1. mgr. 7. gr. mannréttindasáttmála Evrópu og 1. mgr. 69. gr. stjórnarskrárinnar sé jafnframt ljóst að heimildin til að ákveða viðurlög verði að vera skýr og það fyrirsjáanlegt til hvaða háttsemi hún nái. Leiki einhver vafi á um atvik máls, þær lagaskyldur sem til skoðunar séu og viðurlagaheimildina fáist ekki séð að sekt verði beitt. Í því sambandi beri að líta til ákvörðunar Persónuverndar 28. nóvember 2018 í máli nr. 1507/2018, en þar hafi stofnunin talið að í ljósi grunnreglunnar um skýrleika og fyrirsjáanleika við beitingu refsiheimilda væru ekki forsendur til álagningar sekta. Í því máli sem hér er til úrlausnar eigi við sömu sjónarmið, en í besta falli hafi vafi leikið á um skyldu Creditinfo Lánstrausts hf. til að leggja mat á lögmæti þeirra krafna sem sendar voru til vanskilaskráningar af áskrifendum og kröfuhöfum á því tímabili sem um ræðir í málinu. Þá leiki vafi á um að hvaða leyti undirliggjandi lánaskjöl kröfuhafa hafi ekki uppfyllt skilyrði starfsleyfisskilmála á þessu tímabili, enda liggi ekki fyrir afrit af skilmálum allra viðeigandi eininga innan eCommerce 2020 ApS á tímabilinu, auk þess sem lögmæti krafna þess félags hafi varið vafa undirorpið allt þar til Landsréttur kvað upp fyrrnefndan dóm 18. nóvember 2022. Í því samhengi vilji Creditinfo Lánstraust hf. árétta mikilvægi þess að Persónuvernd gæti að stjórnsýslulögum, en meðal annars hafi stofnunin ekki að neinu leyti rökstutt þá niðurstöðu sína að fjárhagsupplýsingastofan teljist hér vera ábyrgðaraðili. Sökum óljóss málatilbúnaðar og skorts á rökstuðningi eigi stofan erfiðara um vik en ella væri með að nýta andmælarétt sinn og sé slík málsmeðferð ekki í samræmi við stjórnsýslulög.

Í framhaldi af þessu er farið yfir þau einstöku atriði sem líta ber til við beitingu viðurlagaheimilda Persónuverndar í ljósi 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Hvað snertir eðli og alvarleika brots (1. tölul. lagaákvæðisins) segir að hafa verði til hliðsjónar að hinum skráðu hafi ávallt verið veittur 17 daga frestur til þess að andmæla skráningu áður en til hennar kom. Hafi ekkert mat farið fram af hálfu Creditinfo Lánstrausts hf. að fengnum slíkum andmælum heldur hafi skráning einfaldlega verið tekin út. Aldrei hafi fjárhagsupplýsingastofan neitað að taka til greina andmæli frá skráðum einstaklingum vegna vanskilaskráninga frá eCommerce 2020 ApS og tengdum aðilum. Jafnframt hafi sú vinnsla sem hér er til umfjöllunar átt sér stað á stuttu tímabili sem samkvæmt afmörkun Persónuverndar hafi verið 16 mánuðir, þ.e frá 15. júlí 2018 til nóvemberloka 2019, en í ljósi þess að ákvæði um vanskilaskráningu var komið inn í lánaskilmála Hraðpeninga í maí 2019 megi telja það skemmra, eða um tíu mánuði. Þá sé óumdeilt að tilgangurinn með vanskilaskráningu sé lögmætur, auk þess sem meint brot hafi haft áhrif á tiltölulega afmarkaðan hóp einstaklinga, eða um 2.149 að tölu. Í því sambandi er það sagt engan veginn liggja fyrir í málinu hversu margar kröfur sem tengdust þessum einstaklingum hafi ekki fullnægt skilyrðum til vanskilaskráningar, en aðeins liggi fyrir lánaskilmálar fyrir hluta þess tímabils sem um ræðir, auk þess sem lánstími geti verið mislangur og vanskil komið upp hvenær sem er á lánstíma. Sem fyrr segir sé heldur ekki hægt að útiloka að eCommerce 2020 ApS og tengdir aðilar hafi fengið framseldar kröfur frá þriðja aðila og lántakar þannig skrifað undir skilmála frá aðila sem engar upplýsingar liggi fyrir um. Að þessu virtu liggi fjöldi skráðra einstaklinga ekki fyrir og geti þeir allt eins verið umtalsvert færri en fyrr greinir. Þá hafi ekkert komið fram um að þeir hafi orðið fyrir tjóni, en í því sambandi sé áréttað að Creditinfo Lánstraust hf. hafi aldrei neitað að taka tillit til andmæla skráðs einstaklings.

Varðandi það hvort brot hafi verið framið af ásetningi eða gáleysi (2. tölul. 1. mgr. 47. gr. laga nr. 90/2018) er tekið fram að enginn ásetningur hafi staðið til brota gegn persónuverndarlöggjöfinni, en Creditinfo Lánstraust hf. hafi ávallt lagt sig fram um að vinna með persónuupplýsingar í samræmi við lög. Í tengslum við aðgerðir til að draga úr tjóni skráðra einstaklinga (3. tölul. ákvæðisins) er tekið fram að gripið hafi verið til aðgerða í ágúst 2019, þegar í ljós hafi komið ágreiningur um lögmæti krafna frá eCommerce 2020 ApS, í því skyni að draga úr mögulegu tjóni, auk þess sem áskriftarsamningi hafi verið rift við Almenna innheimtu ehf. í febrúar 2020 í sama skyni. Hvað snertir ábyrgð með tilliti til tæknilegra og skipulegra ráðstafana (4. tölul. ákvæðisins, segir að ekkert hafi skort á slíkar ráðstafanir og um það hvort fyrri brot eigi að hafa áhrif (5. tölul. ákvæðisins) er tekið fram að ekki reyni á nein slík brot sem máli skipti. Varðandi umfang samvinnu við Persónuvernd (6. tölul. ákvæðisins) segir að brugðist hafi verið við öllum fyrirspurnum Persónuverndar vegna málsins innan uppgefinna tímafresta, en jafnframt hafi verið svarað með eins nákvæmum hætti og unnt hafi verið og allar umbeðnar upplýsingar veittar. Um flokka persónuupplýsinga sem brot hefur áhrif á (7. tölul.) er því lýst að ekki hafi verið um neinar viðkvæmar upplýsingar að ræða heldur aðeins almennar og um það hvernig Persónuvernd var gert viðvart um brot (8. tölul.) er vísað til kvörtunar Neytendasamtakanna og tekið fram að það geti ekki talist íþyngjandi að hún hafi orðið tilefni málsins. Hvað varðar fylgni við fyrirmæli um ráðstafanir til úrbóta (9. tölul.) er vísað til banns við skráningu svonefndra smálánakrafna samkvæmt bréfi frá Persónuvernd, dags. 27. apríl 2020 (mál nr. 2020010436 hjá stofnuninni), og er tekið fram að farið hafi verið að þessu banni, svo og að ekki sé um frekari fyrirmæli frá stofnuninni að ræða í þessu sambandi. Í tengslum við fylgni við viðurkenndar hátternisreglur eða viðurkennt vottunarfyrirkomulag (10. tölul.) segir að engar hátternisreglur liggi fyrir en að unnið sé að innleiðingu á upplýsingaöryggisstaðlinum ISO 27001/2021 í starfsemi Creditinfo Lánstrausts hf. Þá segir um aðra íþyngjandi eða mildandi þætti, svo sem hagnað sem orðið hafi af broti (11. tölul.), að fjárhagsupplýsingastofan hafi ekki notið neins hagnaðar af skráningu umræddra krafna, enda fái hún ekki greitt fyrir þær kröfur sem henni séu sendar til vanskilaskráningar.

Í lok bréfs lögmanns Creditinfo Lánstrausts hf. eru dregin saman helstu atriði sem fjárhagsupplýsingastofan leggur áherslu á. Segir að fordæmi Persónuverndar og annarra eftirlitsstofnana í Evrópu séu skýr um að ábyrgð á lögmæti kröfu og á að farið sé að skilyrðum fyrir vanskilaskráningu hvíli á áskrifendum fjárhagsupplýsingastofu og kröfuhöfum. Í gildi hafi verið áskriftarsamningur við innheimtuaðila umræddra krafna með skýrum ákvæðum um heimildir til skráningar, þ. á m. lágmarksfjárhæð kröfu, og hafi ábyrgð á skráningum verið skýr og hvílt á herðum áskrifenda og kröfuhafa en ekki Creditinfo Lánstrausts hf. Með vísan til þess er því alfarið hafnað að fjárhagsupplýsingastofan hafi brotið gegn meginreglum persónuverndarlöggjafarinnar og skilyrðum um lögmæti vinnslu.

Jafnframt er áréttað að í því starfsleyfi, sem í gildi var þegar atvik máls urðu, var ekki sérstaklega mælt fyrir um eftirlit fjárhagsupplýsingastofu með að farið væri að áskriftarsamningum, sbr. hins vegar 2. mgr. 6. gr. starfsleyfisins 3. maí 2021. Segir að telji stofnunin engu að síður að fyrir útgáfu þess leyfis hafi hvílt víðtæk eftirlitsskylda á stofunni sé til þess að líta að eftirlit hafi verið viðhaft, svo og þess að mikill munur sé á skyldu til slíks eftirlits annars vegar og því að fjárhagsupplýsingastofa beri ábyrgð á lögmæti allra vanskilaskráninga hins vegar. Að auki sé Persónuvernd ekki bær til þess að beita sektarheimildum samkvæmt 46. gr. laga nr. 90/2018 vegna brota á starfsleyfisskilmálum.

Þá segir að töluvert skorti á málatilbúnað og grundvöll málsins. Aðeins liggi fyrir skilmálar fyrir hluta af því tímabili sem miðað sé við og aðeins fyrir hluta þeirra kröfuhafa sem málið varðar. Ekkert liggi heldur fyrir um hvaða lánaskilmála þeir einstaklingar skrifuðu undir sem sættu skráningu á vanskilum af hálfu eCommerce 2020 ApS og tengdra aðila á umræddu tímabili.

Með vísan til framangreinds segir að Persónuvernd hafi ekki forsendur til þess að leggja á sekt vegna meintra brota Creditinfo Lánstrausts hf. Telji stofnunin hins vegar fullnægjandi grundvöll vera fyrir álagningu sektar sé ljóst, þegar litið sé til eðlis og umfangs brots og annarra þátta, að fjárhæð hennar, geti aldrei orðið nálægt þeirri upphæð sem tilgreind hafi verið í andmælaréttarbréfi 14. nóvember 2022. Í því sambandi skipti ekki síst máli kröfur stjórnsýslulaga um meðalhóf og jafnræði, en um yrði að ræða átta til tólf sinnum hærri sektarfjárhæð en mest hefur orðið hingað til. Þá segir að Creditinfo Lánstraust hf. leggi gríðarlega áherslu á það í allri starfsemi sinni að unnið sé með gögn og persónugreinanlegar upplýsingar í samræmi við gildandi löggjöf, þ.m.t. persónuverndarlög. Öllum ábendingum um hvað betur megi fara sé því tekið fagnandi, en fjárhagsupplýsingastofan sé því ekki sammála að brotið hafi verið gegn persónuverndarlöggjöf og hvað þá að slíkt brot gæti réttlætt þá sektarfjárhæð sem Persónuvernd hefur boðað.

II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili – Afmörkun máls

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 4. gr. laganna og 1. mgr. 2. gr. reglugerðarinnar.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Kvörtun í máli þessu lýtur að færslu upplýsinga um vanskil á svonefndum smálánum á skrá Creditinfo Lánstrausts hf. um fjárhagsmálefni og lánstraust. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Creditinfo Lánstraust hf. vera ábyrgðaraðili að fyrrnefndri vinnslu, þ.e. því að taka við upplýsingum um vanskil frá áskrifendum að upplýsingakerfum sínum og færa þær á skrá, en í því felast meðal annars skyldur til að kanna hvort skilyrðum til skráningar upplýsinga er fullnægt eins og rakið er í 3. kafla hér á eftir.

Tekið skal fram að í úrskurði þessum afmarkast umfjöllun Persónuverndar við það hvort heimilt hafi verið að taka upplýsingarnar á skrá og tengd atriði, þ.e. í ljósi annars vegar vöntunar á ákvæði í lánaskilmálum sem skráningin hefði helst getað stuðst við og hins vegar kröfu um lágmarksfjárhæð krafna sem teknar eru á skrá, sbr. umfjöllun í 3. kafla. Í því felst að fjallað er um þau atriði sem Persónuvernd telur að í ljósi alvarleika geti orðið tilefni til álagningar sektar eins og hér háttar til, sbr. og niðurlag 1. kafla I. hluta. Það áréttast sem þar segir um að komið getur til athugunar á öðrum atriðum síðar, svo sem í tengslum við frumkvæðiseftirlit Persónuverndar.

Að auki skal tekið fram að til skoðunar hefur komið hvort mál þetta beri að reka á grundvelli reglna um vinnslu yfir landamæri, sbr. 56. gr. reglugerðar (ESB) 2016/679, í ljósi þess að félagið eCommerce 2020 ApS er skráð í Danmörku. Í samskiptum íslensku og dönsku persónuverndarstofnunarinnar í tölvupósti 10. og 15. nóvember 2022 var komist að niðurstöðu um að þess þyrfti ekki, enda væri um að ræða vinnslu persónuupplýsinga sem alfarið fór fram á Íslandi, sbr. 2. mgr. 56. gr. reglugerðarinnar.

2.
Aðild Neytendasamtakanna

Samkvæmt 2. mgr. 39. gr. laga nr. 90/2018 getur sérhver skráður einstaklingur, sem telur vinnslu persónuupplýsinga um sig brjóta í bága við lögin eða reglugerð (ESB) 2016/679, lagt fram kvörtun hjá Persónuvernd. Hið sama gildir um fulltrúa hins skráða. Þá geta stofnun, samtök eða félag samkvæmt 80. gr. reglugerðarinnar lagt fram kvörtun hjá Persónuvernd hafi þau ástæðu til að ætla að réttindi skráðs einstaklings hafi verið brotin.

Í 1. mgr. 80. gr. reglugerðarinnar er nánar kveðið á um skilyrði aðildar samkvæmt framangreindu. Segir þar að til að njóta aðildar þurfi stofnun, samtök eða félag að vera stofnuð í samræmi við lög aðildarríkis, hafa lögboðin markmið í þágu almannahagsmuna og vera virk á sviði verndar réttinda og frelsis skráðra einstaklinga hvað snertir vernd persónuupplýsinga um þá.

Á vefsíðu Neytendasamtakanna má meðal annars finna grunnstefnu samtakanna sem samþykkt var á aðalfundi þeirra 26. október 2019. Þar segir að Neytendasamtökin séu frjáls félagasamtök sem standi vörð um og efli réttindi neytenda og nálgist neytendamál á breiðum grundvelli. Samtökin séu sjálfstæð og óháð einstaklingum, félögum, fyrirtækjum, samtökum, stjórnmálaflokkum og opinberum aðilum. Í umfjöllun um aðferðir samtakanna segir auk þess að Neytendasamtökin séu til staðar fyrir neytendur og upplýsi þá um réttindi þeirra gagnvart fyrirtækjum og hinu opinbera, með það fyrir augum að hjálpa þeim að taka meðvitaðar ákvarðanir. Neytendasamtökin annist milligöngu fyrir félagsmenn til að ná fram rétti sínum og vinni þannig að því að hafa bein áhrif á fyrirtæki og stjórnvöld. Jafnframt segir í 2. gr. laga Neytendasamtakanna að tilgangur þeirra sé að gæta hagsmuna neytenda í þjóðfélaginu. Þá segir í 3. tölul. 3. gr. laga samtakanna að meðal þeirra aðferða sem þau beiti til að ná tilgangi sínum sé að styðja réttmætar kröfur félagsmanna og berjast fyrir því að réttur almennra neytenda sé virtur.

Ljóst er að Neytendasamtökin voru stofnuð í samræmi við hérlend lög og að þau eru ekki rekin í hagnaðarskyni. Þá hafa samtökin lögboðin markmið í þágu almannahagsmuna, þ.e. vegna neytendaverndar sem sett hafa verið lög til að standa vörð um, sbr. m.a. lög nr. 33/2013 um neytendalán. Af kvörtun samtakanna, dags. 16. júní 2020, verður ráðið að hún sé lögð fram fyrir hönd félagsmanna almennt en ekki fyrir hönd nafngreindra einstaklinga. Jafnframt liggur fyrir að Neytendasamtökin hafa látið svonefnd smálán sig miklu varða, auk þess sem telja má ljóst að kvörtunin lúti að úrlausnarefni sem hafi þýðingu fyrir breiðan hóp einstaklinga.

Helsta álitamálið varðandi aðild Neytendasamtakanna að því kvörtunarmáli sem hér er til umfjöllunar lýtur að því hvort félagið geti talist virkt á sviði verndar réttinda og frelsis skráðra einstaklinga að því er varðar vernd persónuupplýsinga. Líkt og að framan greinir er hlutverk samtakanna skilgreint með afar víðtækum hætti í grunnstefnu þeirra og lögum. Þá verður ekki ráðið af stefnunni og lögunum að það teldist ósamrýmanlegt hlutverki Neytendasamtakanna að gæta hagsmuna félagsmanna sinna með því að leggja fram kvörtun hjá Persónuvernd.

Í ljósi alls framangreinds telur Persónuvernd að eins og hér háttar til fullnægi Neytendasamtökin skilyrðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679 til að koma fram fyrir hönd félagsmanna sinna í máli þessu án þess að fyrir liggi sérstakt umboð þar að lútandi.

3.
Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Hefur verið litið svo á að vinnsla upplýsinga um fjárhagsmálefni og lánstraust einstaklinga geti meðal annars átt sér stoð í 6. tölul. 1. mgr. ákvæðis laganna, sbr. f-lið ákvæðis reglugerðarinnar, þ.e. á þeim grundvelli að vinnsla sé nauðsynleg í þágu lögmætra hagsmuna nema hagsmunir eða grundvallarréttindi og frelsi hins skráða vegi þyngra.

Auk heimildar verður vinnsla persónuupplýsinga ávallt að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðarinnar. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins. Þá er í 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar mælt fyrir um það sem nefnt er ábyrgðarskylda, þ.e. að ábyrgðaraðili skuli bera ábyrgð á að vinnsla persónuupplýsinga uppfylli umræddar meginreglur og að hann skuli geta sýnt fram á það.

Starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning, í því skyni að miðla þeim til annarra, er bundin leyfi Persónuverndar, sbr. 1. mgr. 15. gr. laga nr. 90/2018, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust. Við mat á því hvort vinnsla persónuupplýsinga í tengslum við vanskilaskráningu samrýmist framangreindum ákvæðum 8. og 9. gr. laga nr. 90/2018, sbr. 5. og 6. gr. reglugerðar (ESB) 2016/679, ber líta til viðeigandi skilmála í starfsleyfi til fjárhagsupplýsingastofu.

Í starfsleyfisskilmálum er að finna upptalningu á því hvenær skrá má upplýsingar um vanskil hjá Creditinfo Lánstrausti hf., en þar má nefna heimild til skráningar á grundvelli sérstakrar yfirlýsingar þar að lútandi í láns- eða skuldaskjali, sbr. 7. tölul. liðar 2.2.1 í því starfsleyfi sem í gildi var þegar atvik máls áttu sér stað, þ.e. leyfi, dags. 29. desember 2017 (mál nr. 2017/1541), sbr. 7. tölul. liðar 2.2.2 í núgildandi starfsleyfi, dags. 1. mars 2023 (mál nr. 2022111817). Meðal þess sem fram kemur í þessari skráningarheimild er að yfirlýsing um skráningu skuli vera áberandi og skýr og að vanskil skuli hafa varað í a.m.k. 40 daga. Svo sem fyrr greinir verður einkum talið að skráning vanskila á umræddum lánum hafi getað helgast af ákvæði sem þessu í lánaskilmálum, en það var einnig þáttur í því að gætt væri gagnsæis gagnvart hinum skráða.

Í þágu rannsóknar framangreinds vegna kvörtunar frá Neytendasamtökunum, aflaði Persónuvernd sýnishorna af skilmálum lána á vegum eCommerce 2020 ApS, bæði frá Creditinfo Lánstrausti hf. og frá Neytendasamtökunum. Ásamt skilmálunum bárust staðlaðar neytendaupplýsingar frá 24. júlí 2019 sem ekki höfðu að geyma tilgreint ákvæði um vanskilaskráningu, en í ljósi þess að umrætt starfsleyfisákvæði tekur ekki til neytendaupplýsinga sem þessara verður hér ekki litið sérstaklega til þess. Öðru máli gegnir um þá þrenna lánaskilmála sem bárust, en þeir höfðu gildistíma frá 3. september 2018, 25. mars 2019 og 23. maí s.á. og höfðu aðeins þeir síðastnefndu að geyma umrætt ákvæði um vanskilaskráningu, sbr. einnig lánaskilmála með þess háttar ákvæði sem Persónuvernd hafði áður aflað frá innheimtuaðila umræddra krafna, þ.e. Almennri innheimtu ehf., hinn 22. október 2019. Jafnframt liggur einnig fyrir að 4. júní s.á. staðfesti eCommerce 2020 ApS í tölvupósti til Creditinfo Lánstrausts hf. að ákvæði sem þetta hefði ekki verið í lánaskilmálum félagsins frá júlí 2018, auk þess sem félagið áréttaði að umræddir skilmálar hefðu verið ætlaðir til notkunar yfir landamæri. Þá var tekið fram að lánasamningar hefðu nú verið lagfærðir og væri skýrt tekið fram að vanskil í 40 daga leiddu til vanskilaskráningar hjá Creditinfo Lánstrausti hf., sbr. og fyrrgreinda skilmála frá 23. maí 2019.

Auk þess sem umrætt ákvæði vantaði fram að útgáfu þessara síðastnefndu skilmála getur reynt sérstaklega á hvort hann hafi verið settur fram með nægilega áberandi og skýrum hætti þegar hann á annað borð hafði verið færður inn í lánaskilmála. Ekki verður talið að hugsanlegir annmarkar í þeim efnum gætu, eins og hér háttar til, haft þýðingu við sektarálagningu. Í samræmi við afmörkun máls, sbr. 1. kafla hér að framan, gefst því ekki tilefni til frekari umfjöllunar um þetta atriði, en hins vegar gæti komið til þess síðar. Óháð því er hins vegar ljóst að þegar umræddan skilmála vantaði alfarið voru möguleikar hins skráða til að taka upplýsta ákvörðun við lántöku verulega skertir.

Til þess er einnig að líta að samkvæmt starfsleyfisskilmálum verða upplýsingar um kröfur ekki skráðar á grundvelli fyrrnefnds starfsleyfisákvæðis nema þær nái tiltekinni lágmarksupphæð, sbr. upphaf liðar 2.2.1 í starfsleyfinu 2017, sbr. upphaf liðar 2.2.2 í núgildandi starfsleyfi. Líkt og að framan greinir hefur verið leitt í ljós að í ágúst 2019 afskráði Creditinfo Lánstraust hf. kröfur af hálfu eCommerce 2020 ApS á hendur 577 einstaklingum þar sem höfuðstóll þeirra var undir þáverandi lágmarksfjárhæð krafna, þ.e. 50.000 krónum.

Ljóst er af framangreindu að til 23. maí 2019 voru kröfur frá eCommerce 2020 ApS teknar á skrá hjá Creditinfo Lánstrausti hf. þó svo að nauðsynlegan skilmála þar að lútandi hafi vantað í lánaskilmála, sbr. áðurnefnt ákvæði 7. tölul. liðar 2.2.1 í starfsleyfi fyrirtækisins, dags. 29. desember 2017 (mál nr. 2017/1541), sbr. og sama tölulið liðar 2.2.2 í núgildandi leyfi. Jafnframt liggur fyrir að þar til í ágúst 2019 voru kröfur frá sama aðila teknar á skrá þrátt fyrir að þær væru undir lágmarkshöfuðstóli krafna sem skrásetja mátti, sbr. upphaf sama liðar leyfisins.

Í þessu sambandi ber að líta sérstaklega til ábyrgðarskyldunnar samkvæmt 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679. Má telja að kannanir fjárhagsupplýsingastofu á skilmálum lána, sem til skráningar koma hjá henni vegna vanskila, geti talist þáttur í að farið sé að þessari kröfu.

Um slíkar kannanir vísast einnig til þess starfsleyfisskilmála að við skráningu upplýsinga frá áskrifendum skuli fjárhagsupplýsingastofa hafa fengið óyggjandi skriflegar eða rafrænar upplýsingar er staðfesti tilvist viðkomandi skuldar og um að fullnægt sé skilyrði fyrir skráningu, sbr. upphaf liðar 2.2.1 í leyfinu frá 29. desember 2017, sbr. og upphaf liðar 2.2.2 í núgildandi leyfi.

Þennan skilmála má samkvæmt orðalagi sínu skilja á þann veg að þegar krafa frá áskrifanda er tekin til skráningar verði ávallt að skoða frumgögn og taka afstöðu til þess hvort skilyrðum til skráningar sé fullnægt vegna kröfunnar sem slíkrar. Í því fælist meðal annars að skráning á kröfu í ljósi samningsskilmála þar að lútandi færi ekki fram nema samningsskilmálar væru skoðaðir sérstaklega vegna hverrar og einnar einstakrar kröfu. Hvað það snertir skal tekið fram að eftir atvikum kann að mega komast hjá málsmeðferð sem þessari ef viðkomandi áskrifandi sýnir fram á með óyggjandi hætti að hann fari að skilyrðum fyrir vanskilaskráningu í starfsemi sinni. Má þar nefna að lagðir séu fram staðlaðir skilmálar sem hann notar við lánveitingar. Svo að fyrirkomulag sem þetta teljist fullnægjandi er ljóst að fjárhagsupplýsingastofa þarf að sýna ákveðið frumkvæði í samskiptum við áskrifendur, svo sem með reglubundnum könnunum á hvernig skilmálar eru úr garði gerðir.

Í þessum efnum telur Persónuvernd ekki verða litið framhjá þeirri miklu umræðu sem um nokkurt skeið hafði átt sér stað þegar vinnsla upplýsinga um umræddar kröfur, þ.e. bæði skráning og eftirfarandi varðveisla, átti sér stað, en þar má nefna gagnrýni á þessi lán í skýrslunni „Starfsumhverfi smálánafyrirtækja á Íslandi og tillögur til úrbóta“ sem sérstakur starfshópur skilaði til ferðamála-, iðnaðar- og nýsköpunarráðherra í janúar 2019 og sem birt var á vefsíðu Stjórnarráðsins 19. febrúar s.á., ásamt frétt um hana. Jafnframt telur Persónuvernd verða að líta til þess mikla fjölda úrlausna sem þar til bærir aðilar gáfu út á þessum tíma og skömmu fyrr um að viðkomandi lánveitendur hefðu brotið gegn lögum við veitingu lánanna, en þar má nefna úrskurð áfrýjunarnefndar neytendamála 21. janúar 2015 í máli nr. 14/2014, úrskurð sömu nefndar 24. júlí s.á. í máli nr. 3/2015, ákvörðun Neytendastofu 15. febrúar 2016 í máli nr. 7/2016, úrskurð áfrýjunarnefndar neytendamála 14. apríl 2016 í máli nr. 16/2015, dóm Héraðsdóms Reykjavíkur 9. júní 2016 í máli nr. E-1934, úrskurð áfrýjunarnefndar neytendamála 16. september s.á. í máli nr. 3/2016, úrskurð sömu nefndar 6. nóvember 2017 í máli nr. 5/2017, dóm Héraðsdóms Reykjavíkur 27. febrúar 2019 í máli nr. E-2895 og úrskurð áfrýjunarnefndar neytendamála 29. apríl 2020 í máli nr. 6/2019.

Nánar tiltekið telur Persónuvernd að í ljósi ofanritaðs hafi Creditinfo Lánstrausti hf. gefist sérstakt tilefni til að kanna hvort kröfum til skráningar krafna frá aðilum á vegum eCommerce 2020 ApS væri fullnægt, og þá óháð ábendingum frá utanaðkomandi aðilum um að misbrestir kynnu að vera á starfsemi þessara aðila. Þá telur Persónuvernd að óhóflegur dráttur hafi orðið á gerð könnunar sem þessarar, en þrátt fyrir að fyllsta tilefni hafi gefist til athugunar á skilmálum umrædds fyrirtækis frá því fyrir gildistöku núgildandi persónuverndarlöggjafar 15. júlí 2018 fór hún fyrst fram skömmu fyrir mitt ár 2019, sbr. þau tölvupóstsamskipti 6. maí til 4. júní það ár sem lýst er í 2. kafla I. hluta.

Af öllu framangreindu leiðir að umrædd vinnsla persónuupplýsinga af hálfu Creditinfo Lánstrausts hf. samrýmdist ekki kröfum 6. tölul. 9. gr. laga nr. 90/2018 og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þ.e. um heimild til vinnslu á grundvelli lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða. Þar sem önnur heimildarákvæði gátu ekki átt hér við brast vinnsluna samkvæmt þessu heimild, en að auki var ekki farið að grunnreglunni um lögmæta, sanngjarna og gagnsæja vinnslu, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, né heldur ábyrgðarskyldunni samkvæmt 2. mgr. beggja ákvæðanna.

4.
Sjónarmið um beitingu viðurlaga

Kemur næst til skoðunar hvort leggja skuli stjórnvaldssekt á fjárhagsupplýsingastofuna Creditinfo Lánstraust hf., sbr. 46. gr. laga nr. 90/2018, sbr. einnig 83. gr. reglugerðar (ESB) 2016/679. Eins og fram kemur í 1. mgr. 46. gr. laganna getur Persónuvernd meðal annars lagt stjórnvaldssekt á hvern þann ábyrgðaraðila eða vinnsluaðila skv. 4. mgr. ákvæðisins sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. þess. Hvað snertir þá athugasemd lögmanns fjárhagsupplýsingastofunnar að ekki verði sektað fyrir brot á starfsleyfisskilmálum skal í því sambandi tekið fram að slík brot geta einnig talist varða við eitthvert þessara reglugerðarákvæða og getur þá sekt komið til álita.

Að þessu virtu kemur hér nánar tiltekið til skoðunar hvort leggja skuli sekt á Creditinfo Lánstraust hf. fyrir brot gegn áðurnefndum ákvæðum a-liðar 1. mgr. og 2. mgr. 5. gr. og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. sektarheimild í 1. mgr. og 1. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. 2. mgr. og a-lið 5. mgr. 83. gr. reglugerðarinnar. Þá skal bent á, í tengslum við það að margir viðkomandi einstaklinga hafi einnig verið á skrá vegna annarra krafna, að hver ný vanskilaskráning getur lengt veru viðkomandi á skrá og þar með aukið þau íþyngjandi áhrif sem því fylgja.

Við ákvörðun þar að lútandi og um fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag og verður hér fjallað um þau sem á reynir í máli þessu.

a. Hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er

Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brotið var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir.

Fyrir liggur að fjöldi hinna skráðu var allmikill. Samkvæmt skýringum frá Creditinfo Lánstrausti hf. í tölvupósti 16. og 20. júní 2022 voru þeir nánar tiltekið um 2.000 talsins, en skýringarnar voru veittar með fyrirvara um eyðingu upplýsinga vegna reglna um hámarksvarðveislutíma. Hvað það snertir að skráningarnar hafi getað tengst kröfum, sem framseldar höfðu verið eCommerce 2020 ApS frá þriðju aðilum, skal jafnframt tekið fram að veiting svonefnda smálána fól í sér kjarnastarfsemi félagsins og verður að gera ráð fyrir að skráningar, sem Creditinfo Lánstrausti hf. bárust frá því, hafi einkum tengst þeirri starfsemi.

Til þess er auk þess að líta að upplýsingum um skráða einstaklinga var ekki eytt strax og í ljós kom að heimild brysti til skráningar, sbr. þau tölvupóstsamskipti í maí og júní 2019 sem rakin eru í 3. kafla hér að framan og 2. kafla I. hluta. Með fyrirvara um áðurnefndar reglur um hámarksvarðveislutíma var upplýsingum þess í stað ekki eytt fyrr en annars vegar í ágúst 2019, þegar upplýsingar um 577 einstaklinga voru teknar af skrá vegna of lágs höfuðstóls krafna, og hins vegar í kjölfar riftunar Creditinfo Lánstrausts hf. á samningi við innheimtuaðila eCommerce 2020 ApS í febrúar 2020.

Skrá Creditinfo Lánstrausts hf. um fjárhagsmálefni einstaklinga er eina slíka skráin á Íslandi og uppfletting í skránni iðulega grunnforsenda fyrir fyrirgreiðslu fjármálafyrirtækja, t.d. viðskiptabanka. Ólögmæt skráning á slíka skrá verður því að teljast sérlega íþyngjandi og geta gert hinum skráða ókleift að fá fyrirgreiðslu frá lánastofnunum, svo sem vegna íbúðarkaupa eða ófyrirséðra útgjalda. Má því ætla að þeir einstaklingar sem skráningin hafði áhrif á kunni að hafa orðið fyrir alvarlegu tjóni.

Með vísan til framangreinds verður að telja sjónarmið um umfang vinnslu og fjölda hinna skráðu hafa íþyngjandi áhrif við beitingu sektarheimildar.

b. Huglæg afstaða

Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi.

Hvað þetta snertir telur Persónuvernd það til gagnrýnisverðs aðgerðaleysis, og þar með gáleysis, að lánaskilmálar eCommerce 2020 ApS voru ekki skoðaðir fyrr en að fengnum utanaðkomandi ábendingum þrátt fyrir það tilefni sem fyrr hafði gefist til slíkrar skoðunar, sbr. einnig umfjöllun í j-lið hér á eftir. Sama máli gegnir um það hversu langur tími leið frá staðfestingu eCommerce 2020 ApS á að umrætt ákvæði um vanskilaskráningu vantaði í lánaskilmála félagsins, þ.e. 4. júní 2019, þar til upplýsingum um skráningar frá félaginu var eytt, sbr. umfjöllun í a-lið hér að framan.

c. Aðgerðir til að draga úr tjóni skráðra einstaklinga

Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga.

Fyrir liggur samkvæmt skýringum Creditinfo Lánstrausts að skráningum var eytt og séð til þess að þær hefðu ekki áhrif á hagsmuni hinna skráðu og telst það vera fjárhagsupplýsingastofunni til málsbóta. Það hefur hins vegar íþyngjandi áhrif á móti hversu það tafðist að grípa til slíkra aðgerða, sbr. a- og b-liði hér að framan.

d. Umfang ábyrgðar með tilliti til tæknilegra og skipulagslegra ráðstafana

Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana.

Sú vinnsla persónuupplýsinga sem hér um ræðir tengdist kjarnastarfsemi Creditinfo Lánstrausts hf., þ.e. skráningu upplýsinga um fjárhagsmálefni einstaklinga í því skyni að miðla þeim til annarra. Verður því að gera ríkar kröfur til fyrirtækisins um tæknilegar og skipulagslegar ráðstafanir til að framfylgja meginreglum um persónuvernd og vernda réttindi skráðra einstaklinga, bæði þegar ákveðnar eru aðferðir við vinnsluna og þegar vinnslan sjálf fer fram.

Ekki telst hafa verið farið nægilega að þessum kröfum og hefur það íþyngjandi áhrif við beitingu sektarheimildar. Skal tekið fram í því sambandi að ábyrgð áskrifenda að upplýsingakerfum Creditinfo Lánstrausts hf. á því að þær kröfur séu skráningartækar, sem sendar eru til skráningar hjá fjárhagsupplýsingastofunni, dregur ekki úr ábyrgð hennar á að tryggja lögmæti vinnslu.

Eins og rakið er í 3. kafla hér að framan verður þó talið óraunhæft að fjárhagsupplýsingastofa skoði sérstaklega hverja og eina kröfu sem kemur til skráningar hjá henni og ber ábyrgð fjárhagsupplýsingastofu að skoðast í því ljósi. Í því felst nánar að gripið sé til almenns eftirlits gagnvart áskrifendum til að kanna skráningarskilyrði, en fyrir liggur að það var gert vegna þeirra krafna sem hér um ræðir. Taka verður tillit til þess þó svo að þetta almenna eftirlit hefði mátt eiga sér stað fyrr, sbr. j-lið hér á eftir.

e. Fyrri brot ábyrgðaraðila

Samkvæmt 5. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. e-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fyrri brota ábyrgðaraðila eða vinnsluaðila sem máli skipti, ef einhver eru.

Í framkvæmd Persónuverndar hefur verið leyst úr fjölda mála þar sem kvartað er yfir Creditinfo Lánstrausti hf. og hafa úrskurðir ýmist fallið fjárhagsupplýsingastofunni í vil eða ekki. Ekki verður séð að niðurstöður þessara mála ættu að hafa sérstök áhrif við sektarákvörðun, hvorki sem íþyngjandi þáttur né sem málsbætur.

f. Umfang samvinnu við Persónuvernd

Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess.

Tekið skal fram í þessu sambandi að Creditinfo Lánstraust hf. hefur sýnt mikinn samstarfsvilja, en það birtist í því að erindum, þ. á m. upplýsinga- og gagnabeiðnum, hefur verið greiðlega svarað og innan þeirra fresta sem Persónuvernd hefur veitt. Er ljóst að það telst fjárhagsupplýsingastofunni til málsbóta.

g. Flokkar persónuupplýsinga

Samkvæmt 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvaða flokka persónuupplýsinga brot hafði áhrif á.

Þær upplýsingar sem hér um ræðir teljast ekki til viðkvæmra persónuupplýsinga, sbr. 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679. Hins vegar lúta þær að fjárhagslegum vandamálum einstaklinga, auk þess sem unnið er með þær í íþyngjandi samhengi fyrir hinn skráða. Er slíkt til þess fallið að hafa íþyngjandi áhrif.

h. Með hvaða hætti Persónuvernd var gert viðvart um brot

Samkvæmt 8. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. h-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess með hvaða hætti Persónuvernd var gert kunnugt um brot, einkum hvort, og þá að hvaða leyti, ábyrgðaraðili eða vinnsluaðili tilkynnti um brotið.

Mál þetta er tilkomið vegna kvörtunar yfir Creditinfo Lánstrausti hf., en jafnframt hafði Persónuvernd tekið skráningu upplýsinga vegna svonefndra smálána til athugunar að eigin frumkvæði, sbr. i-lið hér á eftir. Þetta tvennt verður ekki talið hafa sérstök áhrif í umræddu samhengi.

Þá skal tekið fram að mál vegna frumkvæðisathugunarinnar fellur saman við mál vegna kvörtunar þessarar og hefur því þar af leiðandi verið lokað. Hins vegar kann að verða opnað nýtt mál ef sérstakt tilefni verður talið gefast til þess.

i. Fylgni við fyrirmæli um ráðstafanir til úrbúta

Samkvæmt 9. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. i-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta hafi fyrirmælum um slíkar ráðstafanir áður verið beint til hlutaðeigandi ábyrgðaraðila eða vinnsluaðila varðandi það efni sem mál lýtur að.

Í máli, sem Persónuvernd opnaði að eigin frumkvæði til að kanna skráningu upplýsinga á vanskilum svonefndra smálána, var fyrirmælum beint til Creditinfo Lánstrausts hf. um að skrá ekki lán vegna slíkra krafna, sbr. bréf frá Persónuvernd, dags. 27. apríl 2020 (mál nr. 2020010436 hjá stofnuninni). Athuguninni var ætlað að kanna hvort kröfunni um lögmæti vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, væri fullnægt í tengslum við kostnað af lánum. Liggur ekki annað fyrir en að farið hafi verið eftir banninu á þessum grundvelli eins og það ber að skilja með hliðsjón af dómaframkvæmd, sbr. dóm Landsréttar 18. nóvember 2022 í máli nr. 646/2021, sbr. áður dóm Héraðsdóms Reykjavíkur 11. ágúst 2021 í máli nr. E-5637/2020 og fyrrnefndan úrskurð áfrýjunarnefndar neytendamála 29. apríl 2020 í máli nr. 6/2019.

j. Aðrir íþyngjandi eða mildandi þættir sem varða kringumstæður málsins

Samkvæmt 11. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. k-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til annarra íþyngjandi eða mildandi þátta en þeirra sem taldir eru upp fyrr í ákvæðinu, svo sem hagnaðar sem fékkst eða taps sem komist var hjá, með beinum eða óbeinum hætti, vegna brots.

Eins og hér háttar til verður það talið hafa íþyngjandi áhrif við beitingu sektarheimildar að umrædd vinnsla fór fram sem liður í starfsemi sem skila átti hagnaði, óháð því hvort vinnslan sem slík hafði í för með sér hagnað eða ekki. Jafnframt verður það ekki talið skipta máli að ekki sé tekið sérstakt gjald þegar upplýsingar um vanskil eru skráðar hjá Creditinfo Lánstrausti hf., enda nýtast skráningarnar til myndunar á hagnaði, þ.e. við að gera þær aðgengilegar gegn gjaldi. 

Jafnframt er til þess að líta að Creditinfo Lánstraust hf. skoðaði ekki lánaskilmála eCommerce 2020 ApS fyrr en að fengnum ábendingum utanaðkomandi, auk þess sem í ljósi mikillar umræðu um lán á vegum félagsins gat tilefni gefist til athugunar á skilmálum þeirra fyrr en raun varð á. Verður þetta einnig talið hafa íþyngjandi áhrif við beitingu sektarheimildar.

5.
Niðurstaða um álagningu og fjárhæð sektar

Líkt og að framan greinir getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila eða vinnsluaðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679. Í 1. tölul. 3. mgr. lagaákvæðisins, sbr. a-lið 5. mgr. reglugerðarákvæðisins, kemur fram að brot gegn grundvallarreglum um vinnslu samkvæmt 5., 6., 7. og 9. gr. reglugerðarinnar geta varðað stjórnvaldssektum.

Eins og rakið er í 3. kafla hér að framan liggur fyrir að fjárhagsupplýsingastofan Creditinfo Lánstraust hf. braut gegn a-lið 1. mgr. og 2. mgr. 5. gr. og 6. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af öllu framangreindu er niðurstaða Persónuverndar sú að leggja beri stjórnvaldssekt á stofuna.

Samkvæmt 3. mgr. 46. gr. laga nr. 90/2018, sbr. 5. mgr. 83. gr. reglugerðarinnar, getur fjárhæð stjórnvaldssektar fyrir brot gegn fyrrgreindum ákvæðum numið frá 100 þúsund krónum til 2,4 milljarða króna eða, ef um er að ræða fyrirtæki, allt að 4% af árlegri heildarveltu þess á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.

Við ákvörðun sektarfjárhæðar hefur hið íþyngjandi eðli vinnslunnar sérstakt vægi, svo og það að hún fór fram í hagnaðarskyni og er kjarnaþáttur í starfsemi Creditinfo Lánstrausts hf. Þá ber að líta til þeirrar tafar sem varð á eyðingu skráninga frá eCommerce 2020 ApS eftir að í ljós kom að heimild til þeirra brast. Fyrir liggur að skoðun á skráningunum hófst ekki fyrr en að fengnum ábendingum utanaðkomandi, en engu að síður ber að taka tillit til þess að um ræddi almennt eftirlit með áskrifendum að upplýsingakerfum Creditinfo Lánstrausts hf. sem fjárhagsupplýsingastofan greip til af sjálfsdáðum. Eins og rakið er í andmælaréttarbréfi til stofunnar hefur verið til skoðunar að miða fjárhæð sektar við hlutfall af veltu og nýta heimild þar að lútandi allt að 4% hámarkinu, en í ljósi þessa og allra atvika telur Persónuvernd efni til að víkja frá því og ákvarða nokkru lægri sektarfjárhæð en sem því næmi, þ.e. miðað við 2,5% af veltu. Verður þar að líta til síðasta birts ársreiknings frá fjárhagsupplýsingastofunni, þ.e. fyrir árið 2021, en þar var gefin upp heildarveltan 1.514.276.000 krónur.

Að þessu virtu ákveðst sektin 37.856.900 krónur.

Ú r s k u r ð a r o r ð:

Vinnsla Creditinfo Lánstrausts hf., þ.e. skrásetning upplýsinga um vanskil frá eCommerce 2020 ApS án þess að skilyrði til skráningar vanskila samkvæmt gildandi starfsleyfi fjárhagsupplýsingastofunnar væru uppfyllt, samrýmdist ekki ákvæðum 1. tölul. 1. mgr. og 2. mgr. 8. gr. og 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. og 2. mgr. 5. gr. og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Lögð er 37.856.900 króna stjórnvaldssekt á Creditinfo Lánstraust hf. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018. 

Persónuvernd, 27. júní 2023

Ólafur Garðarsson

formaður

Árnína Steinunn Kristjánsdóttir               Björn Geirsson

Vilhelmína Haraldsdóttir                          Þorvarður Kári Ólafsson