Sekt á hendur eCommerce 2020 ApS vegna skráningar upplýsinga hjá Creditinfo Lánstrausti

Mál nr. 2022111927

4.7.2023

Ákvörðun

Hinn 27. júní 2023 tók stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2022111927, þ.e. vegna athugunar á skráningu upplýsinga um vanskil svonefndra smálána af hálfu eCommerce 2020 ApS:

I.
Málsmeðferð
1.
Tildrög máls – Málsmeðferð

Upphaf þessa máls má rekja til þess að hinn 16. júní 2020 barst Persónuvernd kvörtun frá Neytendasamtökunum yfir vinnslu persónuupplýsinga hjá fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf. í tengslum við svokölluð smálán (mál nr. 2020061901), en þau voru meðal annars veitt á vegum eCommerce 2020 ApS.

Kvörtun Neytendasamtakanna sneri að því að Creditinfo Lánstraust hf. hefði skráð kröfur um slík lán þrátt fyrir að vextir og kostnaður af lánunum hefðu brotið gegn neytendalöggjöf. Bréfaskipti áttu sér stað um það atriði milli Persónuverndar og Creditinfo Lánstrausts hf., þ.e. varðandi það hvort skráning vanskila á lánunum hefði verið lögmæt. Var málið afmarkað við tiltekið tímabil sem hófst við gildistöku laga nr. 90/2018, og þar með sektarheimilda Persónuverndar, og þar til stofnunin taldi mega ætla að veiting lánanna hefði verið færð til samræmis við lög.

Hinn 18. nóvember 2022 var í Landsrétti kveðinn upp dómur í máli nr. 646/2021, en þar var komist að þeirri niðurstöðu að dönsk lög en ekki íslensk hefðu gilt um vexti og kostnað af umræddum lánum á framangreindu tímabili. Af þeirri dómsniðurstöðu var ljóst að umrædd skráning gat ekki talist fara í bága við fyrrnefnda kröfu um lögmæti með vísan til þess að lánin hefðu brotið gegn hérlendri neytendalöggjöf.

Í kjölfar rannsóknar framangreinds máls vegna kvörtunar frá Neytendasamtökunum reynir hins vegar nú á nýtt úrlausnaratriði, þ.e. um skilmála umræddra lána í tengslum við 7. tölul. liðar 2.2.1 í því starfsleyfi Persónuverndar sem í gildi var þegar atvik máls áttu sér stað, þ.e. leyfi, dags. 29. desember 2017 (mál nr. 2017/1541), sbr. 7. tölul. liðar 2.2.2 í núgildandi starfsleyfi, dags. 1. mars 2023 (mál nr. 2022111817). Hefur starfsleyfisákvæðið að geyma þá reglu að hjá Creditinfo Lánstrausti hf. sé heimilt að skrá vanskil þegar í láns- eða skuldaskjali, sem skuld er sprottin af, er mælt fyrir um heimild til skráningar vanskila sem varað hafa í 40 daga, sbr. og nánari skilyrði ákvæðisins í þeim efnum. Hefur Persónuvernd talið ljóst að skráning á vanskilum á umræddum lánum hafi einkum getað helgast af ákvæði sem þessu í lánaskilmálum. 

Samskipti Persónuverndar og Creditinfo Lánstrausts hf., í þágu rannsóknar máls vegna kvörtunar Neytendasamtakanna, leiddu í ljós að frá gildistöku laga nr. 90/2018, þann 15. júlí 2018, til 23. maí 2019 skorti ákvæði sem þetta í skilmála lána á vegum eCommerce 2020 ApS en að upplýsingar um þau voru engu að síður sendar til vanskilaskráningar. Kemur fram í gögnum málsins, þ.e. skýringum sem Creditinfo Lánstraust hf. veitti í tölvupósti 16. og 20. júní 2022, að um 2.000 skráningar frá eCommerce 2020 ApS höfðu þá fundist frá 15. júlí 2018 til nóvemberloka 2019, í samræmi við þær forsendur sem þá var byggt á. Var gerður fyrirvari um eyðingu upplýsinga vegna reglna um hámarksvarðveislutíma og verður því að gera ráð fyrir að skráningarnar hafi verið fleiri.

Þá liggur einnig fyrir að á vegum eCommerce 2020 ApS voru skráðar kröfur þrátt fyrir að höfuðstóll þeirra væri undir lágmarksfjárhæð krafna sem skrá mátti samkvæmt skilmálum starfsleyfis, sbr. upphaf liðar 2.2.1 í starfsleyfinu 2017, sbr. upphaf liðar 2.2.2 í núgildandi leyfi, en samkvæmt umræddum skýringum Creditinfo Lánstrausts hf. voru kröfur af hálfu félagsins á hendur 577 einstaklingum afskráðar af þessum sökum hjá fjárhagsupplýsingastofunni í ágúst 2019.

Í ljósi framangreinds taldi Persónuvernd að tilefni gæti gefist til að leggja stjórnvaldssekt á eCommerce 2020 ApS. Var félaginu því sent bréf, dags. 6. desember 2022, þar sem veittur var andmælaréttur um það atriði, auk þess sem aðgangur var veittur að viðeigandi gögnum, þ. á m. úr máli vegna áðurnefndrar kvörtunar Neytendasamtakanna yfir Creditinfo Lánstrausti hf. Tekið var fram að sekt gæti numið 15.000.000 króna, m.a. í ljósi fjölda hinna skráðu.

Svarað var f.h. félagsins með bréfi frá lögmanni þess, dags. 27. febrúar 2023. Í bréfinu var meðal annars gerð athugasemd við að með bréfi Persónuverndar, dags. 6. desember 2022, hefði ekki fylgt afrit af kvörtun Neytendasamtakanna til Persónuverndar, dags. 16. júní 2020, og afrit af bréfi Persónuverndar til Creditinfo Lánstrausts hf., dags. 30. desember 2021, þar sem veittur var andmælaréttur um sektir vegna skráningar umræddra krafna hjá fjárhagsupplýsingastofunni. Með tölvupósti 1. mars 2023 var lögmanni eCommerce 2020 ApS veittur aðgangur að framangreindum gögnum og gefinn kostur á að koma að frekari athugasemdum í málinu. Með bréfi, dags. 10. s.m., bárust viðbótarsvör frá lögmannsstofunni.

Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna þó svo að ekki sé gerð sérstaklega grein fyrir öllu efni þeirra í ákvörðun þessari.

2.
Sjónarmið eCommerce 2020 ApS

Í bréfi lögmanns eCommerce 2020 ApS, dags. 27. febrúar 2023, er vísað til þess að samkvæmt dómi Héraðsdóms Reykjavíkur 11. ágúst 2021 í máli nr. E-5637/2020, sem staðfestur var með dómi Landsréttar 18. nóvember 2022 í máli nr. 646/2021, giltu dönsk lög um starfsemi eCommerce 2020 ApS. Var þar með felld úr gildi ákvörðun Neytendastofu 21. ágúst 2019 í máli nr. 31/2019, þess efnis að félagið hefði brotið gegn ýmsum ákvæðum laga nr. 33/2013.

Tekið er fram í bréfinu að samkvæmt þessu sé félagið ekki bundið af íslenskri neytendalánalöggjöf. Þá segir að sektarákvörðun gagnvart félaginu verði því ekki grundvölluð á því að íslensk lög og annars konar hérlendar reglur geri ráð fyrir tilteknum skilyrðum, þ. á m. um að íslensk félög geti einungis safnað upplýsingum um skuldir einstaklinga sem nemi tiltekinni fjárhæð ef senda eigi kröfu til vanskilaskráningar hjá fjárhagsupplýsingastofu.

Einnig er byggt á því að félagið geti ekki borið ábyrgð á þeim kröfum sem gerðar eru til Creditinfo Lánstrausts hf. í starfsleyfi til fjárhagsupplýsingastofunnar. Hvergi sé þar vísað til þess að aðrir aðilar, t.a.m. þeir sem skrá kröfur hjá stofunni, geti borið ábyrgð á þeim kröfum eða skilyrðum sem sett eru fram í starfsleyfinu.

Að auki segir að á grundvelli fyrirliggjandi gagna sé ekki unnt að staðfesta að umrætt ákvæði í lánaskilmálum hafi skort í skilmála eCommerce 2020 ApS á því tímabili sem til athugunar er. Óumdeilt sé að eftir 23. maí 2019 hafi slíkt ákvæði verið í lánaskilmálum félagsins. Liggi aðeins fyrir dæmi um lánaskilmála með gildistíma frá 3. september 2018 og staðalaðar neytendaupplýsingar frá einingunni Hraðpeningum innan eCommerce 2020 ApS, dags. 24. apríl 2019, þar sem ákvæði sem þetta hafi vantað. Að mati félagsins séu þær upplýsingar ekki nægilegar til staðfestingar á því að ákvæðið hafi ávallt vantað í lánasamninga þess.

Jafnframt er tekið fram að allar kröfur sem félagið hefur sent til vanskilaskráningar hjá Creditinfo Lánstrausti hf. hafi verið gerðar í samráði við fjárhagsupplýsingastofuna. Hún hafi borið ábyrgð á því að birta ekki upplýsingar um kröfur sem væru undir lágmarkshöfuðstól krafna sem færa mætti á skrá samkvæmt starfsleyfi hennar og persónuverndarlögum.

Loks er mótmælt þeirri sektarupphæð sem Persónuvernd hefur tilgreint. Vísað er til þess að eCommerce 2020 ApS hafi verið óstarfhæft vegna málaferla í tengslum við framangreinda ákvörðun Neytendastofu frá 21. ágúst 2019, en málaferlunum hafi lokið með dómi Landsréttar, í máli nr. 646/2021, þann 18. nóvember 2022. Samdráttur hafi því orðið í veltu félagsins og þar sé ekki við það sjálft að sakast. Tekið er fram að telji Persónuvernd hins vegar tilefni til beitingar viðurlagaheimilda í formi sektar hafi þáttur félagsins verið minni háttar og er því jafnframt hafnað að sú mikla vinnsla sem Persónuvernd vísar til í bréfi 6. desember 2022 eigi að hafa áhrif á fjárhæð sektar. Þá er lögð á það áhersla að um leið og félagið hafi verið upplýst um þörf á umræddu ákvæði í lánaskilmálum hafi skjöl félagsins verið lagfærð.

Með bréfi lögmanns félagsins, dags. 10. mars 2023, voru fyrri sjónarmið eCommerce ApS 2020 ítrekuð en jafnframt tekið fram að óháð orðalagi í lánaskilmálum og lánasamningum félagsins á hverjum tíma hafi lántökum ávallt verið skýrlega gerð grein fyrir afleiðingum þess að lán þeirra færu í vanskil. Þannig hafi ávallt verið til staðar ákvæði í lánaskilmálum félagsins um að ef lán færi í vanskil hefði lánveitandi rétt á að fela þriðja aðila að innheimta lánið. Lántökum hafi einnig verið tilkynnt í lánasamningum að ef lán færi í vanskil myndi lánveitandi sækja kröfu sína fyrir dómstólum ef nauðsyn krefði. Enginn ásetningur hafi verið hjá félaginu að sleppa tilteknum ákvæðum eða orðalagi í lánaskjölum sínum.

II.
Forsendur og niðurstaða
1.
Gildissvið – Afmörkun máls

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 4. gr. laganna og 1. mgr. 2. gr. reglugerðarinnar.

Mál þetta lýtur að sendingu upplýsinga um vanskil einstaklinga til skráningar hjá fjárhagsupplýsingastofunni Creditinfo Lánstrausti hf. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Úrlausnarefni málsins afmarkast við það hvort eCommerce 2020 ApS hafi við sendingu upplýsinga til vanskilaskráningar hjá Creditinfo Lánstrausti hf. gætt að skilyrðum fyrir skráningunni, sbr. umfjöllun í 3. kafla hér á eftir. Það tímabil sem til skoðunar er vegna álagningar sektar nær frá gildistöku sektarheimildar samfara birtingu núgildandi persónuverndarlöggjafar, þ.e. 15. júlí 2018, til annars vegar 23. maí 2019, hvað varðar kröfur sem sendar voru til vanskilaskráningar hjá Creditinfo Lánstrausti hf. þó svo að skilmála þar að lútandi hafi vantað í lánaskilmála, og hins vegar 29. ágúst 2019, hvað varðar kröfur sem sendar voru til vanskilaskráningar þrátt fyrir að vera undir lágmarkshöfuðstól krafna sem færi mátti á skrá.

Að mati Persónuverndar hefur sú dómsniðurstaða ekki þýðingu að dönsk lög hafi gilt um vexti og kostnað af lánum á vegum eCommerce 2020 ApS á framangreindu tímabili, sbr. dóm Héraðsdóm Reykjavíkur 11. ágúst 2021 í máli nr. E-5637/2020 og dóm Landsréttar 18. nóvember 2022 í máli nr. 646/2021. Fyrir liggur að við innheimtu lána á vegum eCommerce 2020 ApS nýtti félagið sér innheimtuþjónustu innlendra innheimtufyrirtækja og vanskilaskráningu hjá Creditinfo Lánstrausti hf. Um slíkt gilda íslensk lög og reglur, sbr. meðal annars innheimtulög, nr. 95/2008, og starfsleyfi Persónuverndar til handa Creditinfo Lánstrausti hf., sbr. 2. mgr. 15. gr. laga nr. 90/2018.

Að auki skal tekið fram að til skoðunar hefur komið hvort mál þetta beri að reka á grundvelli reglna um vinnslu yfir landamæri, sbr. 56. gr. reglugerðar (ESB) 2016/679, í ljósi þess að félagið eCommerce 2020 ApS er skráð í Danmörku. Í samskiptum íslensku og dönsku persónuverndarstofnunarinnar í tölvupósti 10. og 15. nóvember 2022 var komist að niðurstöðu um að þess þyrfti ekki, enda væri um að ræða vinnslu persónuupplýsinga sem alfarið fór fram á Íslandi, sbr. 2. mgr. 56. gr. reglugerðarinnar.

2.
Ábyrgðaraðili

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar.

Fyrir liggur að lán á vegum eCommerce 2020 ApS, sem veitt voru á tímabilinu frá 15. júlí 2018 til 23. maí 2019, voru veitt í gegnum ákveðin vörumerki á vegum félagsins, þ.e. 1909, Hraðpeninga, Smálán og Múla. Ekki verður séð að þann tíma sem vörumerkin voru í eigu eCommerce 2020 ApS hafi þar verið um sjálfstæða aðila að ræða og hefur félagið haft fyrirsvar í málum vegna lánveitinganna, þ. á m. fyrir dómi, en í því sambandi má nefna mál nr. E-5637 fyrir Héraðsdómi Reykjavíkur, sem lauk þar með dómi 11. ágúst 2021, svo og mál nr. 646/2021 fyrir Landsrétti vegna áfrýjunar héraðsdómsins þangað, sbr. nú dóm Landsréttar 18. nóvember 2022.

Að mati Persónuverndar bera áskrifendur að upplýsingakerfum fjárhagsupplýsingastofu, sem miðla upplýsingum til skráningar þar, ábyrgð á að heimild standi til þeirrar miðlunar og skráningar. Afmarkað er með mjög skýrum hætti í starfsleyfisskilmálum hvaða skilyrði þurfa að vera uppfyllt svo að áskrifendum sé heimilt að skrá vanskil, sbr. lið 2.2.1 í því starfsleyfi Persónuverndar sem í gildi var þegar atvik máls áttu sér stað, þ.e. leyfi, dags. 29. desember 2017 (mál nr. 2017/950), sbr. lið 2.2.2 í núgildandi starfsleyfi, dags. 3. maí 2021 (mál nr. 2020041404). Er það á ábyrgð áskrifenda að tryggja að skilyrðum í þeim efnum sé fullnægt. Er sú niðurstaða í samræmi við fyrri framkvæmd Persónuverndar, sbr. m.a. úrskurð dags. 24. febrúar 2016, í máli nr. 2015/1519, og úrskurð, dags. 18. janúar 2018, í máli nr. 2016/1687. Þá komst spænska persónuverndarstofnunin að sambærilegri niðurstöðu í úrskurði, dags. 7. júní 2021, í máli nr. PS/00140/2021, þ.e. að kröfuhafi hefði borið ábyrgð á að tryggja að skilyrði væru til skráningar vanskila hjá fjárhagsupplýsingastofu og að hann skyldi greiða sekt vegna misbresta á því.

Þá er jafnframt til þess að líta að samkvæmt starfsleyfisskilmálum ber áskrifendum að upplýsingakerfum fjárhagsupplýsingastofu að fara að skilmálum í áskriftarsamningi sem fjárhagsupplýsingastofa gerir við þá. Var þannig í lið 2.9. í starfsleyfinu 2017 mælt fyrir um að Creditinfo Lánstraust hf. skyldi gera áskriftarsamning við áskrifendur, með nánar tilteknum ákvæðum, svo og grípa til viðhlítandi ráðstafana ef í ljós kæmu brot áskrifenda gegn ákvæðum samningsins. Sambærilegt ákvæði er að finna í 6. gr. núgildandi starfsleyfis, en þar er jafnframt gert ráð fyrir að Persónuvernd beiti valdheimildum sínum, svo sem álagningu stjórnvaldssektar, gegn áskrifanda sem ekki hefur farið að skilmálum áskriftarsamnings.

Í ljósi framangreinds telur Persónuvernd verða að leggja til grundvallar að eCommerce 2020 ApS hafi stöðu ábyrgðaraðila vegna vinnslu persónuupplýsinga í tengslum við umrædd lán, þ. á m. hvað snertir upplýsingagjöf um vinnsluna í lánaskilmálum.

3.
Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Hefur verið litið svo á að vinnsla upplýsinga um fjárhagsmálefni og lánstraust einstaklinga geti meðal annars átt sér stoð í 6. tölul. 1. mgr. ákvæðis laganna, sbr. f-lið ákvæðis reglugerðarinnar, þ.e. á þeim grundvelli að vinnsla sé nauðsynleg í þágu lögmætra hagsmuna nema hagsmunir eða grundvallarréttindi og frelsi hins skráða vegi þyngra.

Auk heimildar verður vinnsla persónuupplýsinga ávallt að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðarinnar. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins.

Starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning, í því skyni að miðla þeim til annarra, er bundin leyfi Persónuverndar, sbr. 1. mgr. 15. gr. laga nr. 90/2018, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust. Við mat á því hvort vinnsla persónuupplýsinga í tengslum við vanskilaskráningu samrýmist framangreindum ákvæðum 8. og 9. gr. laga nr. 90/2018, sbr. 5. og 6. gr. reglugerðar (ESB) 2016/679, ber að líta til viðeigandi skilmála í starfsleyfi til fjárhagsupplýsingastofu.

Í starfsleyfisskilmálum er að finna upptalningu á því hvenær skrá má upplýsingar um vanskil hjá Creditinfo Lánstrausti hf., en þar má nefna heimild til skráningar á grundvelli sérstakrar yfirlýsingar þar að lútandi í láns- eða skuldaskjali, sbr. 7. tölul. liðar 2.2.1 í því starfsleyfi sem í gildi var þegar atvik máls áttu sér stað, þ.e. leyfi, dags. 29. desember 2017 (mál nr. 2017/1541), sbr. 7. tölul. liðar 2.2.2 í núgildandi starfsleyfi, dags. 1. mars 2023 (mál nr. 2022111817). Meðal þess sem fram kemur í þessari skráningarheimild er að yfirlýsing um skráningu skal vera áberandi og skýr og að vanskil skulu hafa varað í a.m.k. 40 daga. Svo sem fyrr greinir verður einkum talið að skráning vanskila á umræddum lánum hafi getað helgast af ákvæði sem þessu í lánaskilmálum, en það var einnig þáttur í gagnsæi gagnvart hinum skráða.

Í þágu rannsóknar framangreinds vegna kvörtunar frá Neytendasamtökunum aflaði Persónuvernd sýnishorna af lánaskilmálum lána á vegum eCommerce 2020 ApS, bæði frá Creditinfo Lánstrausti hf. og frá Neytendasamtökunum. Ásamt skilmálunum bárust staðlaðar neytendaupplýsingar frá 24. júlí 2019 sem ekki höfðu að geyma tilgreint ákvæði um vanskilaskráningu, en í ljósi þess að umrætt starfsleyfisákvæði tekur ekki til neytendaupplýsinga sem þessara verður hér ekki litið sérstaklega til þess. Öðru máli gegnir um þá þrenna lánaskilmála sem bárust, en þeir höfðu gildistíma frá 3. september 2018, 25. mars 2019 og 23. maí s.á. og höfðu aðeins þeir síðastnefndu að geyma umrætt ákvæði um vanskilaskráningu, sbr. einnig lánaskilmála með þess háttar ákvæði sem Persónuvernd hafði áður aflað frá innheimtuaðila umræddra krafna, þ.e. Almennri innheimtu ehf., hinn 22. október 2019. Jafnframt liggur einnig fyrir að 4. júní s.á. staðfesti eCommerce 2020 ApS í tölvupósti til Creditinfo Lánstrausts hf., þar sem fjárhagsupplýsingastofan óskaði skýringa í tengslum við lánaskilmála eCommerce 2020 apS, að ákvæði sem þetta hefði ekki verið í lánaskilmálum félagsins frá júlí 2018, auk þess sem félagið áréttaði að umræddir skilmálar hefðu verið ætlaðir til notkunar yfir landamæri. Þá var tekið fram að lánasamningar hefðu nú verið lagfærðir og væri skýrt tekið fram að vanskil í 40 daga leiddu til vanskilaskráningar hjá Creditinfo Lánstrausti hf., sbr. og fyrrnefnda skilmála frá 23. maí 2019.

Auk þess sem umræddan skilmála vantaði fram að þessu getur reynt sérstaklega á hvort hann hafi verið settur fram með nægilega áberandi og skýrum hætti þegar hann á annað borð hafði verið færður inn í lánaskilmála. Ekki verður talið að hugsanlegir annmarkar í þeim efnum gætu, eins og hér háttar til, haft þýðingu við sektarálagningu. Í samræmi við afmörkun máls, sbr. 1. kafla hér að framan, gefst því ekki tilefni til frekari umfjöllunar um þetta atriði, en hins vegar gæti komið til þess síðar. Óháð því er hins vegar ljóst að þegar umræddan skilmála vantaði alfarið voru möguleikar hins skráða til að taka upplýsta ákvörðun við lántöku verulega skertir.

Til þess er einnig að líta að samkvæmt starfsleyfisskilmálum verða upplýsingar um kröfur ekki skráðar á grundvelli fyrrnefnds starfsleyfisákvæðis nema þær nái tiltekinni lágmarksupphæð, sbr. upphaf liðar 2.2.1 í starfsleyfinu 2017, sbr. upphaf liðar 2.2.2 í núgildandi starfsleyfi. Líkt og að framan greinir hefur verið leitt í ljós að í ágúst 2019 afskráði Creditinfo Lánstraust hf. kröfur af hálfu eCommerce 2020 ApS á hendur 577 einstaklingum þar sem höfuðstóll þeirra var undir þáverandi lágmarksfjárhæð krafna, þ.e. 50.000 krónum.

Samkvæmt því sem hér hefur verið rakið voru kröfur sendar frá eCommerce 2020 ApS til vanskilaskráningar hjá Creditinfo Lánstrausti hf. þó svo að nauðsynlegan skilmála þar að lútandi hafi vantað í lánaskilmála, sbr. áðurnefnt ákvæði 7. tölul. liðar 2.2.1 í starfsleyfi fjárhagsupplýsingastofunnar, dags. 29. desember 2017 (mál nr. 2017/1541). Þá liggur fyrir að þar til í ágúst 2019 sendi eCommerce 2020 ApS kröfur til vanskilaskráningar þrátt fyrir að þær væru undir lágmarkshöfuðstól krafna sem færa mátti á skrá, sbr. upphaf sama liðar leyfisins.

Af öllu framangreindu leiðir að umrædd vinnsla persónuupplýsinga af hálfu eCommerce 2020 ApS samrýmdist ekki kröfum 6. tölul. 9. gr. laga nr. 90/2018 og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, þ.e. um heimild til vinnslu á grundvelli lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða. Þar sem aðrar vinnsluheimildir samkvæmt 9. gr. laganna og 6. gr. reglugerðarinnar gátu ekki átt hér við brast vinnsluna samkvæmt þessu heimild, en að auki var ekki farið að grunnreglunni um lögmæta, sanngjarna og gagnsæja vinnslu, sbr. 1. tölul. 1. mgr. 8. gr. og a-lið 1. mgr. 5. gr. reglugerðarinnar, sbr. og 2. mgr. beggja ákvæðanna.

4. 
Sjónarmið um beitingu viðurlaga

Kemur næst til skoðunar hvort leggja skuli stjórnvaldssekt á eCommerce 2020 ApS, sbr. 46. gr. laga nr. 90/2018, sbr. einnig 83. gr. reglugerðar (ESB) 2016/679. Eins og fram kemur í 1. mgr. 46. gr. laganna getur Persónuvernd meðal annars lagt stjórnvaldssekt á hvern þann ábyrgðaraðila eða vinnsluaðila samkvæmt 4. mgr. ákvæðisins sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. þess.

Nánar tiltekið kemur hér til skoðunar hvort leggja skuli sekt á eCommerce 2020 ApS fyrir brot gegn áðurnefndum ákvæðum a-liðar 1. mgr. og 2. mgr. 5. gr. og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. sektarheimild í 1. mgr. og 1. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. 2. mgr. og a-lið 5. mgr. 83. gr. reglugerðarinnar.

Við ákvörðun þar að lútandi og um fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag og verður hér fjallað um þau sem á reynir í máli þessu.

a. Hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er

Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brotið var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir.

Eins og atvikum er hér háttað liggur fyrir, þ.e. í gögnum máls vegna kvörtunar Neytendasamtakanna yfir Creditinfo Lánstrausti hf., að fjöldi hinna skráðu var allmikill. Samkvæmt skýringum frá Creditinfo Lánstrausti hf. í tölvupósti 16. og 20. júní 2022 voru þeir nánar tiltekið um 2.000 talsins, en skýringarnar voru veittar með fyrirvara um eyðingu upplýsinga vegna reglna um hámarksvarðveislutíma.

Skrá Creditinfo Lánstrausts hf. um fjárhagsmálefni einstaklinga er eina slíka skráin á Íslandi og uppfletting í skránni iðulega grunnforsenda fyrir fyrirgreiðslu fjármálafyrirtækja, t.d. viðskiptabanka. Ólögmæt skráning á slíka skrá verður því að teljast sérlega íþyngjandi og geta gert hinum skráða ókleift að fá fyrirgreiðslu frá lánastofnunum, svo sem vegna íbúðarkaupa eða ófyrirséðra útgjalda. Má því ætla að þeir einstaklingar sem skráningin hafði áhrif á kunni að hafa orðið fyrir alvarlegu tjóni.

Með vísan til framangreinds verður að telja sjónarmið um umfang vinnslu og fjölda hinna skráðu hafa íþyngjandi áhrif við beitingu sektarheimildar.

b. Umfang ábyrgðar með tilliti til tæknilegra og skipulagslegra ráðstafana

Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana.

Sú vinnsla persónuupplýsinga sem hér um ræðir tengdist kjarnastarfsemi eCommerce2020 ApS á þeim tíma sem vinnslan átti sér stað, þ.e. lánveitingum. Verður því að gera ríkar kröfur til félagsins um tæknilegar og skipulagslegar ráðstafanir til að framfylgja meginreglum um persónuvernd og vernda réttindi skráðra einstaklinga, bæði þegar ákveðnar eru aðferðir við vinnsluna og þegar vinnslan sjálf fer fram.

Ekki telst hafa verið farið nægilega að þessum kröfum og hefur það íþyngjandi áhrif við beitingu sektarheimildar.

c. Flokkar persónuupplýsinga

Samkvæmt 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvaða flokka persónuupplýsinga brot hafði áhrif á.

Þær upplýsingar sem hér um ræðir teljast ekki til viðkvæmra persónuupplýsinga, sbr. 3. tölul. 3. gr. laga nr. 90/2018 og 1. mgr. 9. gr. reglugerðar (ESB) 2016/679. Hins vegar lúta þær að fjárhagslegum vandamálum einstaklinga, auk þess sem unnið er með þær í íþyngjandi samhengi fyrir hinn skráða. Er slíkt til þess fallið að hafa íþyngjandi áhrif.

d. Aðrir íþyngjandi eða mildandi þættir sem varða kringumstæður málsins

Samkvæmt 11. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. k-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til annarra íþyngjandi eða mildandi þátta en þeirra sem taldir eru upp fyrr í ákvæðinu, svo sem hagnaðar sem fékkst eða taps sem komist var hjá, með beinum eða óbeinum hætti, vegna brots.

Eins og hér háttar til verður það talið hafa íþyngjandi áhrif við beitingu sektarheimildar að umrædd vinnsla fór fram sem liður í starfsemi sem skila átti hagnaði, óháð því hvort vinnslan sem slík hafði í för með sér hagnað eða ekki.

Jafnframt er til þess að líta að eCommerce 2020 ApS bætti ekki við fræðslu um vanskilaskráningu í lánaskilmála sína fyrr en að fengnum ábendingum utanaðkomandi og verður það einnig talið hafa íþyngjandi áhrif við beitingu sektarheimildar.

5.
Niðurstaða um álagningu og fjárhæð sektar

Líkt og að framan greinir getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila eða vinnsluaðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679. Í 1. tölul. 3. mgr. lagaákvæðisins, sbr. a-lið 5. mgr. reglugerðarákvæðisins, kemur fram að brot gegn grundvallarreglum um vinnslu samkvæmt 5., 6., 7. og 9. gr. reglugerðarinnar geta varðað stjórnvaldssektum.

Eins og rakið er í 3. kafla hér að framan liggur fyrir að eCommerce 2020 ApS braut gegn a-lið 1. mgr. og 2. mgr. 5. gr. og 6. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af öllu framangreindu er niðurstaða Persónuverndar sú að leggja beri stjórnvaldssekt á félagið.

Samkvæmt 3. mgr. 46. gr. laga nr. 90/2018, sbr. 5. mgr. 83. gr. reglugerðarinnar getur fjárhæð stjórnvaldssektir fyrir brot gegn fyrrgreindum ákvæðum numið frá 100 þúsund krónum til 2,4 milljarða króna eða, ef um er að ræða fyrirtæki, allt að 4% af árlegri heildarveltu þess á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.

Að mati Persónuverndar verður fjárhæð sektar að endurspegla alvarleika brots. Í því sambandi telur Persónuvernd hið íþyngjandi eðli vinnslunnar hafa sérstakt vægi og að líta beri til allra atvika og þeirra sjónarmiða sem rakin eru hér að framan, þ. á m. þess að vinnslan tengdist kjarnastarfsemi félagsins.

Ljóst er að eCommerce 2020 ApS naut mikils rekstrarhagnaðar á árinu 2018 samkvæmt fyrirliggjandi ársreikningi félagsins, þ.e. 10.525.067 dönskum krónum, en starfsemi þess hefur þó dregist verulega saman síðustu ár og varð tap á rekstri félagsins að fjárhæð -310.390 danskar krónur árið 2021. Við ákvörðun sektarfjárhæðar er tekið tillit til þessa samdráttar, sem og þess að samkvæmt framkomnum skýringum hefur félagið verið óstarfhæft í kjölfar ákvörðunar Neytendastofu 21. ágúst 2019 í máli nr. 31/2019.

Að öllu framangreindu virtu þykir stjórnvaldssekt vera hæfilega ákveðin 7.500.000 króna.

Á k v ö r ð u n a r o r ð:

Vinnsla eCommerce 2020 ApS, sem fólst í sendingu krafna til vanskilaskráningar hjá Creditinfo Lánstrausti hf. án þess að skilyrði til skráningar vanskila samkvæmt gildandi starfsleyfi fyrirtækisins væru uppfyllt, samrýmdist ekki ákvæðum 1. tölul. 1. mgr. og 2. mgr. 8. gr. og. 9. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. og 2. mgr. 5. gr. og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Lögð er 7.500.000 króna stjórnvaldssekt á eCommerce 2020 ApS. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018.

Persónuvernd, 27. júní 2023

Ólafur Garðarsson

formaður

Árnína Steinunn Kristjánsdóttir                   Björn Geirsson

Vilhelmína Haraldsdóttir                           Þorvarður Kári Ólafsson