Vinnsla Landsbankans hf. á persónuupplýsingum um fyrndar kröfur á hendur kvartanda samrýmdist ekki persónuverndarlögum

Mál nr. 2020010600

17.4.2020

Úrskurður

Hinn 3. apríl 2020 var kveðinn upp svohljóðandi úrskurður í máli nr. 2020010600 (áður mál nr. 2019030654):

I.

Málsmeðferð

1.

Tildrög máls

Hinn 12. mars 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir skráningu upplýsinga um fyrndar kröfur og vanskil kvartanda í skuldastöðukerfi Creditinfo Lánstrausts hf. (hér eftir Creditinfo) og miðlun þeirra í gegnum skuldastöðukerfið til Íslandsbanka hf.

Með bréfum, dags. 25. júní 2019, var Creditinfo og Landsbankanum boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var af hálfu Creditinfo með bréfi, dags. 1. júlí s.á. Þá barst svar Landsbankans með bréfi, dags. 31. júlí s.á. Með bréfi, dags. 29. ágúst 2019, var kvartanda veitt færi á að tjá sig um efni svarbréfa Creditinfo og Landsbankans. Svarað var með bréfi, dags. 19. september s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.

Nánar um kvörtun

Kvartandi vísar til þess að bú hans hafi verið tekið til gjaldþrotaskipta með úrskurði, dags. […]. Skiptum búsins hafi lokið […] og hafi þá tveggja ára fyrningarfrestur byrjað að líða, skv. 2. mgr. 165. gr. laga nr. 21/1991 um gjaldþrotaskipti o.fl. Sá frestur hafi runnið út […] og hafi þá allar kröfur á hendur kvartanda fallið niður sökum fyrningar.

Þrátt fyrir það hafi Íslandsbanki neitað honum um kortaviðskipti þar sem bankinn hafi sent fyrirspurn inn í skuldastöðukerfi Creditinfo og séð töluverð vanskil skráð vegna eldri lána. Honum hafi verið afhent útprentun sem hafi sýnt að Landsbankinn hf. hafi á þeim tíma miðlað inn í skuldastöðukerfið upplýsingum um lán sem var fallið niður vegna fyrningar, þar á meðal upplýsingum um fjárhæð eftirstöðva og fjárhæð vanskila, greiðslubyrði og dagsetningu elstu vanskila.

Kvartandi telur það brjóta í bága við ákvæði laga að miðla upplýsingum um kröfur sem séu fallnar niður og af þeim sökum ekki lengur til staðar. Slík miðlun persónuupplýsinga brjóti gegn meginreglum persónuverndarlaganna, sbr. 8. gr. laga nr. 90/2018. Upplýsingarnar hafi ekki verið áreiðanlegar heldur beinlínis rangar og villandi og vinnslan hvorki sanngjörn né lögmæt. Að auki hafi ekki verið til staðar heimild til vinnslu upplýsinganna.

3.

Sjónarmið Creditinfo Lánstrausts hf.

Creditinfo vísar í bréfi sínu í úrskurði Persónuverndar í málum nr. 2014/753 og 2015/1036 og byggir á því að samkvæmt þeim séu þær fjármálastofnanir sem miðli upplýsingum í skuldastöðukerfið ábyrgðaraðilar vinnslunnar. Fjallar fyrirtækið í kjölfarið um eðli, tilgang og virkni skuldastöðukerfisins. Vísar Creditinfo til þess að skuldastöðukerfið sé kerfi sem miðlar upplýsingum um skuldir og ábyrgðir einstaklinga og fyrirtækja, sem byggja á gögnum frá lánveitendum, eða þeim aðilum sem eru þátttakendur í skuldastöðukerfinu. Einungis þeir lögaðilar sem starfi undir eftirliti Seðlabanka Íslands og sem miðli gögnum í kerfið geti fengið aðgang að því. Tilgangur kerfisins sé að gera fjármálafyrirtækjum kleift að sjá skuldastöðu viðskiptavina sinna, en lánveitandi skal m.a. afla upplýsinga um eftirstöðvar og greiðslubyrði allra skulda við framkvæmd greiðslumats, sbr. reglugerð nr. 920/2013 um gerð lánshæfis- og greiðslumats. Þegar fyrirspurn sé gerð í skuldastöðukerfið sé staða lána og ábyrgða sótt til þátttakenda og þeirri stöðu miðlað áfram til fyrirspyrjanda. Fyrirspurn verði ekki gerð nema með upplýstu og sannanlegu samþykki þess aðila er fyrirspurn varðar. Með samþykki sínu veiti hinn skráði fyrirspyrjanda heimild til að sækja upplýsingar til allra þátttakenda kerfisins.

Vísar Creditinfo til þess að fyrirtækið sé vinnsluaðili í þessu samhengi og að meðal annars hafi verið undirritaður vinnslusamningur við Landsbankann hf. um vinnslu persónuupplýsinga í skuldastöðukerfi Creditinfo. Ekki sé um að ræða skráningu á upplýsingum í kerfi Creditinfo heldur séu það fjármálafyrirtæki, sem miðli upplýsingum sín á milli í gegnum kerfið og hafi til þess heimild, sem beri ábyrgð á því að miðlunin samrýmist grunnreglum 1. mgr. 8. gr. laga nr. 90/2018, m.a. því að upplýsingar sem miðlað er í kerfið séu réttar.

4.

Sjónarmið Landsbankans hf.

Landsbankinn hf. byggir á því að hann hafi ekki miðlað persónuupplýsingum um kvartanda beint til Íslandsbanka heldur hafi einungis verið um gagnaskil í skuldastöðukerfið að ræða.

Varðandi gagnaskil Landsbankans í skuldastöðukerfið er vísað til þess að kvartandi hafi verið úrskurðaður gjaldþrota […] og hafi bankinn lýst kröfu í þrotabúið. Skiptum á búi kvartanda hafi lokið þann […] án þess að greiðsla fengist upp í almennar kröfur. Þær hafi í kjölfarið verið afskrifaðar og felldar niður úr lánakerfum bankans og þar af leiðandi ekki birst í skuldastöðukerfinu.

Kvartandi og maki hans hafi hins vegar bæði verið skuldarar að veðskuldabréfi áhvílandi á eign þeirra og þar sem innheimtuaðgerðum gagnvart maka kvartanda hafi ekki verið lokið, þrátt fyrir að bú kvartanda hefði verið tekið til gjaldþrotaskipta, hafi ekki verið mögulegt að afskrifa skuldina fyrr en að fullnustu lokinni. Því hafi upplýsingar um skuldastöðu áhvílandi veðlána birst í skuldastöðukerfinu.

Í kjölfar þess að fullnustugerðum lauk með því að bankinn leysti til sín 50% eignarhlut maka í fasteigninni hafi eftirstöðvar lánsins sem ekki fengust greiddar við uppgjör eignarinnar verið afskrifaðar að fullu og felldar niður í lánakerfum bankans þann […]. Eftir að uppgjöri hafi lokið hafi fyrirspurnir úr skuldastöðukerfinu til bankans ekki skilað neinum niðurstöðum um skuldbindingar kvartanda við bankann. Í bréfinu er það síðan áréttað að þótt krafa fyrnist gagnvart einum af fleiri skuldurum hafi það ekki áhrif gagnvart öðrum skuldurum, sbr. 1. mgr. 25. gr. laga nr. 150/2007, um fyrningu kröfuréttinda, og hafi bankinn því haft lögmæta hagsmuni af því að fá kröfuna efnda.

Vísað er til þess að í almennum viðskiptaskilmálum bankans komi fram að bankanum sé nauðsynlegt að hafa virkt eftirlit með útlánum og skuldastöðu viðskiptavina og maka þeirra þegar um sameiginlegar skuldbindingar er að ræða og í þeim tilgangi séu meðal annars sóttar upplýsingar frá Creditinfo. Í persónuverndarstefnu bankans komi fram að bankinn kunni að afhenda persónuupplýsingar til þriðju aðila og séu fjárhagsupplýsingastofur nefndar sem dæmi um slíka aðila. Bankinn hafi hvorki miðlað persónuupplýsingum um kvartanda að fyrra bragði né óskað eftir afriti af skuldbindingum hans úr skuldastöðukerfi Creditinfo. Upplýsingum um virkar skuldbindingar á eign sem kvartandi og maki hans bjuggu í hafi hins vegar verið miðlað í skuldastöðukerfið þegar fyrirspurnir þar að lútandi bárust frá þriðju aðilum. Kvartandi hafi verið upplýstur um vinnslu persónuupplýsinga í tilefni vanskila í almennum viðskiptaskilmálum bankans og síðar persónuverndarstefnu hans, auk þess sem hann hafi, með upplýstu samþykki sínu, heimilað öðrum lánveitendum að senda fyrirspurn um skuldastöðu hans í gegnum kerfið.

Vísar bankinn til þess að almennt sé fyrndum kröfum ekki miðlað í skuldastöðukerfið og að almennt nái bankinn að ljúka innheimtu á þeim tveimur árum sem líða frá skiptalokum skuldara. Hins vegar séu atvik í því máli sem hér sé til skoðunar afar fátíð, þ.e. að tveir útgefendur séu að láni og annar verði gjaldþrota og innheimtu ljúki ekki á tveimur árum frá skiptalokum. Í slíkum tilvikum hafi skuldbinding ekki verið felld niður gagnvart hinum gjaldþrota aðila fyrr en að innheimtu lokinni. Ástæðan fyrir því sé sú að ef annar útgefandi er felldur niður sem skuldari í lánakerfum áður en innheimtu er lokið gefi viðskiptasaga viðkomandi ekki rétta mynd af afskriftum og uppgjöri skuldbindinga sem viðkomandi hafi sannanlega tekist á hendur gagnvart bankanum.

Í bréfinu er vísað til þess að samkvæmt 17. gr. laga nr. 161/2002, um fjármálafyrirtæki, skuli fjármálafyrirtæki á hverjum tíma hafa yfir að ráða tryggu eftirlitskerfi með áhættu í tengslum við starfsemi sína eins og Persónuvernd hafi staðfest, og er vísað í úrskurð stofnunarinnar í máli nr. 2013/431 því til stuðnings.

Þá segir að til að koma í veg fyrir miðlun upplýsinga í skuldastöðukerfið um fyrndar kröfur eins af fleiri útgefendum þyrfti bankinn handvirkt að fella nafn viðkomandi brott úr lánakerfum bankans í kjölfar fyrningar. Slíkt myndi hafa neikvæð áhrif á eftirlitskerfi bankans og viðskiptasögu viðkomandi þar sem niðurfelling þurfi að haldast í hendur við niðurfellingu skuldbindingar hvort sem það sé vegna uppgreiðslu eða afskrifta.

Að lokum segir að þrátt fyrir framangreint muni bankinn taka til endurskoðunar miðlun í sambærilegum tilvikum og hér um ræðir svo koma megi í veg fyrir að upplýsingum um fyrndar kröfur sé miðlað í skuldastöðukerfið. Að öllum líkindum muni slík endurskoðun kalla á kerfislegar breytingar sem fyrirsjáanlegt sé að taki einhvern tíma.

5.

Svarbréf kvartanda

Í svarbréfi kvartanda, dags. 19. september 2019, er vísað til þess að Landsbankanum hf., sem ábyrgðaraðila, hafi borið að tryggja að vinnsla persónuupplýsinga um kvartanda væri í samræmi við meginreglur 8. gr. laga nr. 90/2018. Í því fælist að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að vinnslan uppfyllti kröfur laganna, sbr. 23. og 24. gr. þeirra, þar með talið að leiðrétta og eftir atvikum eyða röngum, villandi eða óáreiðanlegum persónuupplýsingum, sbr. 20. gr. laganna.

Í bréfinu er vísað í málatilbúnað Landsbankans þar sem því er haldið fram að bankinn hafi ekki miðlað persónuupplýsingum um kvartanda beint til Íslandsbanka heldur hafi eingöngu verið um að ræða gagnaskil í skuldastöðukerfi. Bankinn hafi haldið því fram að hann hafi ekki miðlað upplýsingunum að fyrra bragði né óskað eftir afriti af skuldbindingum hans úr skuldastöðukerfinu. Vísar kvartandi til þess að sá málatilbúnaður sé villandi, meðal annars með vísan til þess að það sé Landsbankinn sem sé ábyrgðaraðili þeirra persónuupplýsinga sem hann skrái og deili í gegnum skuldastöðukerfið. Landsbankinn beri því ábyrgð á því að upplýsingarnar séu réttar, uppfærðar, viðeigandi og ekki umfram það sem nauðsynlegt er. Í þessu felist einnig að bankinn beri ábyrgð á miðlun persónuupplýsinganna, óháð því hvaða aðili sæki upplýsingarnar í kerfið.

Þá er ekki fallist á þá málsástæðu Landsbankans að ekki sé hægt að afskrifa og fella niður viðkomandi kröfu vegna meðskuldara og að slíkt myndi gera það að verkum að viðskiptasaga viðkomandi gæfi ekki rétta mynd af afskriftum og uppgjöri skuldbindinga gagnvart bankanum. Vísað er til þess að það gefi ekki síður ranga mynd að halda til haga upplýsingum um kröfur sem séu fallnar niður. Allar kröfur á hendur kvartanda hafi verið fallnar niður fyrir fyrningu og engu breyti þótt kröfurnar hafi enn verið til staðar á hendur meðskuldara. Ekki sé efast um heimild bankans til að varðveita viðskiptasögu viðskiptavina sinna en takmörk séu sett fyrir miðlun slíkra upplýsinga til þriðju aðila, og um það snúist einmitt kvörtunin.

Þá telur kvartandi ljóst af svörum bankans að hægt hefði verið að leiðrétta umræddar upplýsingar og að aðeins hefði verið um tæknilega útfærslu að ræða. Ekki verði annað ráðið af svörum bankans en að leiðrétta hefði þurft skráninguna handvirkt. Í þessu felist viðurkenning af hálfu bankans á því að hægt hefði verið að leiðrétta skráninguna og að bankanum sé ljóst að skráningin hafi verið röng og gefið ranga og villandi mynd af stöðu kvartanda, enda hafi afleiðingarnar verið þær að kvartanda hafi verið synjað um viðskipti í öðrum banka.

Til viðbótar er á það bent að þótt viðkomandi persónuupplýsingar hafi verið sóttar af hálfu Íslandsbanka úr skuldastöðukerfi Landsbankans á grundvelli samþykkis hins skráða, þá víki það ekki til hliðar skyldum bankans samkvæmt 8. gr. laga nr. 90/2018. Vinnsla persónuupplýsinga, sem brjóti í bága við meginreglur 8. gr. laganna, teljist ekki lögmæt þótt samþykkis hafi verið aflað fyrir henni. Vinnslan þurfi alltaf að samræmast meginreglum 8. gr. óháð þeirri heimild sem hún sé studd við.

Að lokum er þess óskað að Persónuvernd skoði beitingu viðurlaga vegna meintra brota Landsbankans, þar með talið sekta.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Athugun Persónuverndar í máli þessu lýtur að því hvort Landsbankinn hf. hafi miðlað upplýsingum um kvartanda í gegnum skuldastöðukerfi Creditinfo Lánstrausts hf. í andstöðu við lög nr. 90/2018. Mál þetta fellur þar af leiðandi undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Landsbankinn vera ábyrgðaraðili að umræddri vinnslu.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að byggjast á heimild samkvæmt 9. gr. laga nr. 90/2018. Miðlun upplýsinga um kvartanda í skuldastöðukerfi Creditinfo gæti einkum stuðst við 6. tölul. 1. mgr. þeirrar greinar, en ákvæðið er samhljóða f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sem mælir fyrir um að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra.

Í ljósi þessa ákvæðis má telja fjármálastofnunum heimilt að miðla upplýsingum í skuldastöðukerfi Creditinfo svo að þær megi gera aðgengilegar annarri fjármálastofnun sem hefur til meðferðar umsókn einstaklings um fyrirgreiðslu. Þeirri fjármálastofnun skal þó hafa borist beiðni viðkomandi einstaklings um uppflettingu, en auk þess verður miðlunin að samrýmast grunnreglum 1. mgr. 8. gr. laga nr. 90/2018, þ. á m. 3. tölul. um að við vinnslu persónuupplýsinga skuli þess gætt að upplýsingarnar séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Það ákvæði hefur í för með sér að fjármálastofnun, sem miðlar upplýsingum inn í umrætt kerfi, ber að gæta þess að um sé að ræða gildar kröfur, en upplýsingum um fyrndar kröfur á því ekki að miðla. Samkvæmt 2. mgr. 165. gr. laga nr. 21/1991 um gjaldþrotaskipti o.fl., sbr. lög nr. 142/2010, fyrnast kröfur á tveimur árum frá því að gjaldþrotaskiptum lýkur. Ljóst er að þegar kröfur eru fyrndar á grundvelli þessa ákvæðis stríðir miðlun þeirra í umrætt skuldastöðukerfi gegn fyrrgreindu ákvæði 8. gr. laga nr. 90/2018.

Fyrir liggur að kröfur Landsbankans á hendur kvartanda, sem miðlað var í umrætt skuldastöðukerfi, voru fyrndar samkvæmt framangreindu. Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla Landsbankans á persónuupplýsingum um kvartanda hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Ú r s k u r ð a r o r ð:

Vinnsla Landsbankans hf. á persónuupplýsingum um fyrndar kröfur á hendur kvartanda samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í Persónuvernd, 3. apríl 2020

Helga Þórisdóttir                                                 Helga Sigríður Þórhallsdóttir