Vinnsla persónuupplýsinga hjá Creditinfo Lánstrausti hf.
Mál nr. 2021030710
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir söfnun og miðlun Creditinfo Lánstrausts hf. á persónuupplýsingum. Nánar tiltekið var kvartað yfir því að Creditinfo safni og miðli fjárhagslegum upplýsingum til þriðja aðila án samþykkis.
Niðurstaða Persónuverndar var sú að vinnsla Creditinfo væri í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga og jafnframt í samræmi við fyrri úrlausnir stofnunarinnar um samsvarandi álitaefni.
Úrskurður
Hinn 24. júní 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2021030710:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 18. mars 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir söfnun og miðlun Creditinfo Lánstrausts hf. (Creditinfo) á upplýsingum um hann án samþykkis. Með bréfi, dags. 14. júní 2021, var Creditinfo veitt færi á að tjá sig um kvörtunina og svaraði fyrirtækið með bréfi, dags. 25. s.m. Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna, þó að ekki sé gerð sérstaklega grein fyrir þeim í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Kvartandi vísar til þess að Creditinfo safni og miðli fjárhagslegum upplýsingum um sig til þriðju aðila. Kvartandi hafi aldrei gefið samþykki fyrir því að nafn hans fari á vanskilaskrá og að gefið sé út lánshæfismat á hann persónulega hjá Creditinfo. Telur kvartandi almenning eiga rétt á því að fjárhagslegum upplýsingum um einstaklinga sé ekki safnað af einkafyrirtæki og þær seldar áfram til þriðja aðila og setur fyrirvara við lögmæti starfsemi Creditinfo.
3.
Sjónarmið Creditinfo
Creditinfo vísar til 15. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga þar sem kveðið er á um að starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning og gerð lánshæfismats, í því skyni að miðla þeim til annarra, sé bundin leyfi Persónuverndar. Tekur Creditinfo fram að fyrirtækið sé fjárhagsupplýsingastofa sem starfi á grundvelli starfsleyfis útgefins af Persónuvernd þar sem meðal annars sé kveðið á um skilyrði til vinnslu fjárhagsupplýsinga um einstaklinga. Gildandi starfsleyfi hafi tekið gildi 10. maí 2021 (mál nr. 20202041404 hjá Persónuvernd).
Upplýsingum um vanskil og lánshæfi sé einungis miðlað til áskrifenda Creditinfo sem hafi gert áskriftarsamning við fyrirtækið. Upplýsingar af vanskilaskrá sé einungis heimilt að sækja hafi viðkomandi áskrifandi lögvarða hagsmuni af öflun þeirra. Lánshæfismat sé sótt til Creditinfo af áskrifendum sem hafi móttekið beiðni þess efnis frá einstaklingum í tengslum við lánafyrirgreiðslu. Að öðru leyti vísar Creditinfo til fyrri úrskurða Persónuverndar um sambærilegar kvartanir og hér um ræðir, sbr. úrskurði stofnunarinnar í máli nr. 20151111457 og máli nr. 2020010708.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Mál þetta lýtur að söfnun og miðlun Creditinfo á persónuupplýsingum um kvartanda. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Creditinfo vera ábyrgðaraðili að umræddri vinnslu.
2.
Niðurstaða
Í tengslum við athugasemdir kvartanda um heimildir Creditinfo til að safna um sig upplýsingum og miðla þeim áfram reynir á 15. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Samkvæmt því ákvæði er starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning og gerð lánshæfismats, í því skyni að miðla þeim til annarra, bundin leyfi Persónuverndar. Starfsemi Creditinfo fellur að miklu leyti undir þetta ákvæði og hefur Persónuvernd veitt fyrirtækinu starfsleyfi í samræmi við það. Þegar kvörtun barst Persónuvernd var í gildi starfsleyfi, dags. 3. maí 2020, með síðari breytingum. Núgildandi starfsleyfi tók gildi eftir að kvörtun barst, eða þann 10. maí 2021 (mál nr. 2020041404 hjá Persónuvernd), og kemur því ekki til umfjöllunar í úrskurði þessum.
Lánshæfismat Creditinfo metur líkur á greiðslufalli og skráningu á vanskilaskrá til nánustu framtíðar. Persónuvernd hefur í fyrri úrlausnum sínum ekki gert athugasemdir við að tölfræðileg spá um atburði í framtíðinni byggi á sögulegum upplýsingum, svo sem um skilvísi, vanskil og greiðslusögu, að því gefnu að vinnslan samrýmist starfsleyfi fyrirtækisins hverju sinni, enda hafi slíkar upplýsingar forspárgildi um líkur á vanskilum í framtíðinni.
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna 6. tölul. ákvæðisins, sbr. e-lið 1. mgr. 6. gr. reglugerðarinnar, en þar kemur fram að vinnsla persónuupplýsinga er heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Telur Persónuvernd þetta ákvæði eiga við um þá vinnslu persónuupplýsinga sem fer fram í upplýsingakerfum Creditinfo í tengslum við gerð skýrslna um lánshæfi. Þá verður ekki séð að vinnslan brjóti í bága við meginreglur 8. gr. sömu laga, sem fjalla meðal annars um sanngirni, meðalhóf og tilgang með viðkomandi vinnslu.
Þá er til þess er að líta að Persónuvernd hefur áður úrskurðað í málum þar sem reynt hefur á samsvarandi álitamál og í kvörtun kvartanda greinir, þ.e. þar sem kvartað var með almennum hætti yfir söfnun og miðlun Creditinfo á upplýsingum um einstaklinga án samþykkis skráðra einstaklinga. Í því sambandi má t.d. nefna úrskurð í máli nr. 2015/1457 og úrskurð í máli nr. 2020010708.
Í báðum framangreindum úrskurðum komst Persónuvernd að þeirri niðurstöðu að ekki væri hægt að verða við kröfu kvartenda um að vinnsla upplýsinga um þá hjá Creditinfo yrði stöðvuð og skráningu á vanskilaskrá fyrirtækisins yrði hætt nema þeir heimiluðu hana.
Persónuvernd telur sömu sjónarmið eiga við í því máli sem hér er til úrlausnar. Um nánari rökstuðning fyrir niðurstöðunni vísast því til framangreindra úrskurða.
Að öllu framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla Creditinfo á persónuupplýsingum kvartanda, sem felst í söfnun og miðlun upplýsinga um hann án hans samþykkis, samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vinnsla Creditinfo Lánstrausts hf. á persónuupplýsingum um [A], sem felst í söfnun og miðlun upplýsinga um hann án hans samþykkis, samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
F.h. Persónuverndar,
Helga Sigríður Þórhallsdóttir Steinunn Birna Magnúsdóttir