Vinnsla Creditinfo Lánstrausts hf. með upplýsingar um fyrri skráningar á vanskilaskrá við gerð skýrslna um lánshæfi kvartanda

Mál nr. 2020010613

5.6.2020

Úrskurður

Hinn 27. maí 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010613 (áður 2019040838):

I.

Málsmeðferð

1.

Kvörtun og bréfaskipti

Hinn 9. apríl 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) yfir vinnslu persónuupplýsinga um sig hjá Creditinfo Lánstrausti hf. (Creditinfo), í tengslum við gerð lánshæfismats.

Nánar tiltekið telur kvartandi notkun Creditinfo á upplýsingum um vanskil sín við gerð lánshæfismats um sig, í fjögur ár frá skráningu upplýsinganna, ólögmæta. Telur kvartandi flokkaskipulag Creditinfo ekki samrýmast persónuverndarlögum og að það feli í sér brot á öllum eðlilegum viðskiptareglum.

Með bréfi, dags. 28. ágúst 2019, var Creditinfo tilkynnt um framangreinda kvörtun og veittur kostur á að tjá sig um hana. Svarbréf Creditinfo barst 16. september 2019.

Með bréfi, dags. 2. október 2019, var kvartanda boðið að tjá sig um framkomin svör Creditinfo. Svör kvartanda bárust Persónuvernd með tölvupósti, dags. 21. desember 2019.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.

Sjónarmið Creditinfo

Creditinfo vísar meðal annars til þess að Persónuvernd hafi litið svo á að það feli ekki í sér óheimila miðlun upplýsinga um vanskilakröfur, sem komið hefur verið í skil, að þær hafi áhrif á niðurstöðu skýrslna um lánshæfi, enda sé nánar tilteknum skilyrðum fullnægt. Er í því sambandi vísað til þess að notkun upplýsinganna í umræddu skyni þurfi að eiga sér stað innan þeirra tímamarka sem starfsleyfi Creditinfo, ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 og ákvæði reglugerðar nr. 246/2001 setja, sem og að upplýsingarnar sjálfar megi ekki berast viðtakendum matsins.

Fjallar Creditinfo í kjölfarið meðal annars um viðeigandi ákvæði í starfsleyfi Creditinfo sem fjalla um eyðingu upplýsinga, geymslutíma upplýsinga og hversu lengi megi nýta upplýsingarnar í þágu gerðar lánshæfismats að beiðni hins skráða, sem sé í fjögur ár frá skráningu upplýsinganna.

Þá fjallar félagið um það hvaða upplýsingar megi skrá skv. grein 2.2. í starfsleyfi Creditinfo og að samkvæmt þeirri grein sé meðal annars heimilt að skrá upplýsingar frá áskrifanda um skuldir ef skuldari hefur fallist á að greiða skuldina með sátt sem sé aðfararhæf skv. 1. gr. aðfaralaga nr. 90/1989.

Creditinfo kveðst hafa sent bréf á kvartanda um fyrirhugaða skráningu á lögheimili hennar og að í bréfinu hafi verið bent á að ekki yrði af skráningu ef félagið fengi staðfestingu á uppgreiðslu kröfunnar innan 17 daga frá dagsetningu bréfsins og jafnframt hafi kvartanda verið bent á rétt hennar til að andmæla. Engin andmæli hafi borist og hafi færslan því verið birt á vanskilaskrá.

Telur Creditinfo það mega ráða af kvörtun kvartanda að krafan hafi sannanlega farið í vanskil og hafi ekki verið óréttmæt. Fer Creditinfo í kjölfarið yfir eðli lánshæfismats og vísar til þess að það liggi í hlutarins eðli að tölfræðileg spá um atburði í framtíðinni verði að byggja á sögulegum upplýsingum, svo sem um skilvísi og greiðslusögu. Hefðu upplýsingar um vanskil og greiðslusögu í fortíðinni ekki áhrif á lánshæfismat væri grundvellinum kippt undan gagnsemi matsins. Myndi slíkt mat ekki fullnægja ákvæðum 5. gr. laga nr. 33/2013 og færi þvert gegn ummælum í athugasemdum við 10. gr. þess frumvarps sem varð að þeim lögum þar sem tiltekið sé að lánshæfismat geti m.a. byggst á þeim sjónarmiðum sem að framan greinir. Þá hafi lánshæfislíkan Creditinfo staðfest að fyrrum skráningar á vanskilaskrá hafi mikið forspárgildi um vanskil í framtíðinni.

Vísar Creditinfo að lokum til þess að skráning um vanskil kvartanda hafi áhrif á lánshæfismat hennar í allt að fjögur ár frá skráningu. Áhrif fyrrum skráninga minnki eftir því sem líði frá dagsetningu skráningar og falli niður í síðasta lagi að fjórum árum liðnum.

Telur félagið sig því hafa farið að ákvæðum starfsleyfis útgefins af Persónuvernd, lögum um persónuvernd og vinnslu persónuupplýsinga, svo og reglum settum á grundvelli þeirra laga.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að skráningu og notkun Creditinfo á upplýsingum um vanskil kvartanda. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Creditinfo Lánstraust hf. vera ábyrgðaraðili að þeirri vinnslu sem kvartað er yfir, þ.e. vinnslu persónuupplýsinga við gerð lánshæfismats.

2.

Starfsleyfi Creditinfo Lánstraust hf.

Starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning og gerð lánshæfismats, í því skyni að miðla þeim til annarra, skal bundin leyfi Persónuverndar, sbr. 15. gr. laga nr. 90/2018. Starfsemi Creditinfo fellur að miklu leyti undir framangreint ákvæði og hefur Persónuvernd veitt fyrirtækinu starfsleyfi í samræmi við það, sbr. nú starfsleyfi Creditinfo Lánstrausts hf. vegna vinnslu upplýsinga um einstaklinga, dags. 29. desember 2017 (mál nr. 2017/1541) og nú starfsleyfi til bráðabirgða vegna vinnslu persónuupplýsinga í þágu gerðar lánshæfismats, dags. 23. ágúst 2018 (mál nr. 2018/1229).

Til þess er að líta að tilvísun 15. gr. laga nr. 90/2018 til vinnslu upplýsinga sem fer fram við gerð lánshæfismats og að slík vinnsla þurfi að byggjast á leyfi Persónuverndar er nýmæli og var ekki að finna í sambærilegu ákvæði þágildandi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þá tekur reglugerð nr. 46/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust, sem sett var með stoð í 45. gr. laga nr. 77/2000, einungis til vinnslu í því skyni að miðla upplýsingum til annarra um fjárhagsmálefni og lánstraust og tekur því ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi. Framangreint bráðabirgðaleyfi breytir þó engu um það að nú sem áður, ber Creditinfo að gæta að því þær upplýsingar sem skráðar eru á grundvelli starfsleyfa sem Persónuvernd hefur veitt, má ekki nýta í þágu gerðar lánshæfismats á þann hátt að brjóti gegn útgefnum leyfum eða gildandi lögum almennt.

3.

Lögmæti vinnslu

Í máli þessu reynir á hvort við gerð skýrslna um lánshæfi kvartanda hafi Creditinfo mátt notast við upplýsingar um færslu á vanskilaskrá félagsins sem eytt hafði verið af þeirri skrá á grundvelli leyfis til starfrækslu skrárinnar af þeirri ástæðu að skuldinni hafði verið komið í skil.

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Kemur hér helst til skoðunar 6. tölul. 9. gr. laganna, sbr. e-liður 1. mgr. 6. gr. reglugerðarinnar, en þar kemur fram að vinnsla persónuupplýsinga er heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Telur Persónuvernd þetta ákvæði eiga við um þá vinnslu persónuupplýsinga sem fer fram í upplýsingakerfum Creditinfo í tengslum við gerð skýrslu um lánshæfi kvartanda.

Persónuvernd hefur áður tekið afstöðu til umrædds álitaefnis með úrskurði, sbr. í því sambandi úrskurður, dags. 26. janúar 2017, í máli nr. 2016/950, úrskurður, dags. 6. desember 2016, í máli nr. 2016/580, úrskurður, dags. 28. september 2017, í máli nr. 2016/1138 og úrskurður, dags. 31. maí 2018, í máli nr. 2017/537. Í öllum framangreindum úrskurðum taldi Persónuvernd að Creditinfo væri heimilt að nýta upplýsingar um færslu á vanskilaskrá félagsins við gerð skýrslna um lánshæfi kvartenda, í fjögur ár frá skráningu slíkra upplýsinga. Í einum af framangreindum úrskurðum Persónuverndar, mál nr. 2016/1138 var meðal annars vísað til ákvæða um eyðingu skráðra upplýsinga að heimilum varðveislutíma liðnum í viðeigandi starfsleyfum sem í gildi voru þegar sú vinnsla átti sér stað sem um ræddi í málinu. Eru þau ákvæði sambærileg við grein 2.7 í núgildandi leyfi, dags. 29. desember s.á. (mál nr. 2017/1541). Að auki voru rakin ákvæði í lögum nr. 33/2013 um neytendalán, þ.e. i-liður (nú k-liður) 5. gr. og 10. gr. sem áskilja að lánshæfi neytanda sé metið áður en neytendalán er veitt og kemur meðal annars fram að notast má við upplýsingar úr gagnagrunnum fjárhagsupplýsingastofa í því skyni. Voru í því sambandi einnig rakin ákvæði úr tilskipun 2008/48/EB um lánasamninga fyrir neytendur þar sem lögð er á það áhersla að lánastarfsemi skuli vera ábyrg, að lán samkvæmt tilskipuninni skuli ekki veita án þess að áður hafi verið aflað mats á lánshæfi og að ákvarða skuli nauðsynleg úrræði til að beita þá lánveitendur viðurlögum sem það geri.

Með vísan til þessa segir í umræddum úrskurði:

„Af framangreindu er ljóst að rík áhersla er á það lögð að gert sé áreiðanlegt lánshæfismat í aðdraganda samnings um neytendalán. Einnig liggur fyrir, eins og áður greinir, að skýrslum Creditinfo Lánstrausts hf. er ætlað að nýtast við gerð slíks mats. Þá verður ekki litið svo á að það feli í sér óheimila miðlun upplýsinga um vanskilakröfur, sem komið hefur verið í skil, að þær hafi áhrif á niðurstöðu skýrslna um lánshæfi, enda liggur fyrir að upplýsingarnar sjálfar berast ekki viðtakendum matsins. Þegar litið er til þessa telur Persónuvernd vinnslu Creditinfo Lánstrausts hf. á þeim upplýsingum um afskráðar færslur á umræddri skrá, sem um ræðir í máli þessu og fram fór á gildistíma fyrrnefnds starfsleyfis, dags. 28. desember 2015, hafa átt stoð í áðurgreindu ákvæði 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, en auk þess telur stofnunin ekki hafa komið fram að farið hafi verið gegn kröfum annarra ákvæða laganna, þ. á m. 1. mgr. 7. gr. sömu laga um meðal annars sanngirni, meðalhóf, áreiðanleika og varðveislutíma við vinnslu persónuupplýsinga. Telst vinnslan því hafa samrýmst lögunum.

Í öðru lagi reynir hér á hvort umrædd vinnsla teljist hafa verið heimil eftir að núgildandi starfsleyfi, dags. 28. febrúar 2017 (mál nr. 2016/1626), tók gildi. Við veitingu þess var litið til þeirra sjónarmiða sem að framan eru rakin, sbr. grein 2.7 í leyfinu þar sem fjallað er um eyðingu upplýsinga. Segir þar meðal annars að eyða skuli upplýsingum um einstakar skuldir sé vitað að þeim hafi verið komið í skil, auk þess sem eyða skuli upplýsingum, sem mæli gegn lánshæfi hins skráða, þegar þær verði fjögurra ára gamlar. Þó megi geyma upplýsingar í þrjú ár til viðbótar, enda lúti þær ströngum aðgangstakmörkunum og þess sé vandlega gætt að engir aðrir hafi aðgang en þeir starfsmenn sem þess nauðsynlega þurfi starfs síns vegna. Á meðan á þeirri varðveislu standi megi nýta þær til að verða við beiðnum frá skráðum einstaklingum um vitneskju um vinnslu persónuupplýsinga um sig og til að […] leysa úr ágreiningi um réttmæti skráningar. Að hámarki þar til fjögur ár séu liðin frá skráningu upplýsinganna sé einnig heimilt að nýta þær í þágu gerðar lánshæfismats að beiðni hins skráða, enda sé ekki miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum. Önnur notkun upplýsinganna sé óheimil.“

Persónuvernd telur sömu rök og að framan greinir eiga við í því máli sem nú er til úrlausnar. Þá liggur ekki fyrir að farið hafi verið gegn þeim starfsleyfisfyrirmælum, sbr. nú grein 2.7 í fyrrnefndu leyfi, dags. 29. desember 2017, sem rakin eru í tilvitnuðum texta. Í ljósi þess, sem og með vísan til þeirra laga- og reglugerðarákvæða sem fyrr eru rakin, telur stofnunin umrædda vinnslu upplýsinga um afskráða færslu á skrá samkvæmt starfsleyfinu hafa stuðst við fullnægjandi heimild samkvæmt fyrrnefndu ákvæði 6. tölul. 9. gr. laganna, sbr. e-liður 1. mgr. 6. gr. reglugerðarinnar.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.) og að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Ekki verður séð að brotið hafi verið gegn þessu ákvæði. Þá telur stofnunin umrædda vinnslu hafa samrýmst lögum nr. 90/2018 að öðru leyti.

Ú r s k u r ð a r o r ð:

Vinnsla Creditinfo Lánstrausts hf. á persónuupplýsingum um kvartanda í tengslum við gerð skýrslu um lánshæfi hennar samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í Persónuvernd, 27. maí 2020

Helga Þórisdóttir                   Þórður Sveinsson