-0.2 C
Reykjavik
Laugardagur - 4. febrúar 2023
Auglýsing

Vinnsla Creditinfo á persónuupplýsingum ekki í samræmi við lög

Auglýsing

Auglýsing

Nýjar fréttir

Auglýsing

Persónuvernd barst kvörtun yfir notkun Creditinfo á upplýsingum um fyrri vanskil kvartanda við gerð lánshæfismats hjá fyrirtækinu. Creditinfo taldi umrædda kröfu ekki vera eldri en fjögurra ára en sbr. ákvæði í starfsleyfi fyrirtækisins er ekki heimilt að vinna með kröfur eldri en það.

Creditinfo er eina félagið á Íslandi sem heldur utan um viðskiptaupplýsingar einstaklinga og félaga og er metið á a.m.k. um 20 milljarða virði. Erlendis er virk samkeppni á upplýsingamarkaði og mörg félög sem bjóða slíka þjónustu í hverju landi.

Miðaði fyrirtækið við sömu dagsetningu og krafan var skráð í vanskilaskrá af kröfuhafa. Kvartandi kvaðs hafa sent Creditinfo ábendingu um að kröfuhafi hefði skráð vanskilin um tveimur árum eftir að Hæstiréttur felldi dóm sinn sem krafan var sprottin af.

Taldi kvartandi að Creditinfo hefði borið að miða fjögurra ára frestinn við það tímamark er upplýsingar um umræddan dóm urðu til, þ.e. við uppkvaðningu og birtingu hans á vefsíðu Hæstaréttar en ekki dagsetningu skráningar á vanskilaskrá.

Að framangreindu virtu úrskurðaði Persónuvernd um að vinnsla Creditinfo á upplýsingum um fyrri vanskil kvartanda hefðu ekki samrýmst lögum um persónuvernd og vinnslu persónuupplýsinga. Jafnframt var lagt fyrir Creditinfo að eyða upplýsingum um kröfuna úr skrám sínum.

Úrskurður

Hinn 22. september 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020020909:

Kvörtun og bréfaskipti

Creditinfo er eina félagið á Íslandi sem heldur utan um allar viðskiptaupplýsingar einstaklinga við lánastofnanir

Hinn 5. febrúar 2020 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga um hann hjá Creditinfo Lánstrausti hf. (Creditinfo) í tengslum við gerð skýrslna um lánshæfi hans.  Með bréfi, dags. 8. maí 2020, var Creditinfo tilkynnt um framangreinda kvörtun og veittur kostur á að tjá sig um hana. Svarbréf Creditinfo barst Persónuvernd 28. maí 2020.

Með bréfi, dags. 2. júní 2020, var kvartanda boðið að tjá sig um framangreint svar Creditinfo. Kvartandi svaraði með bréfi, dags. 19. júní s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna þótt ekki sé gerð grein fyrir þeim öllum sérstaklega í úrskurðinum.  Meðferð þessa máls hefur dregist vegna verulegra anna hjá Persónuvernd.

 

Uppflettingar og notkun gagna á forsendu upplýsts samþykkis getur ýmist verið undirritað skjal eða rafrænt samþykki. Samþykkið þarf að vera sannarlegt, vistað á öruggum stað og tiltækt, sé þess óskað. Ef lána- eða reikningsumsækjandi er lögaðili eru uppflettingar á forsvarsmönnum eða eigendum óheimilar, nema ef sá sem í hlut á beri persónulega ábyrgð á lánveitingu eða reikningsviðskiptum til tryggingar efndum lántaka. Uppfletting á maka lána- og reikningsumsækjanda er óheimil, nema makinn sé þá sömuleiðis á umsókninni t.d. sem ábyrgðarmaður.                             ——————————————————————————————————————————–
Creditinfo heldur utan um viðkvæmar upplýsingar á Íslandi

Kvartað er yfir notkun Creditinfo á upplýsingum um fyrri vanskil kvartanda við gerð lánshæfismats hjá fyrirtækinu. Um sé að ræða vanskil sem eigi rætur að rekja til Hæstaréttardóms sem var kveðinn upp [dags. …]. Kveðst kvartandi hafa sent tölvupóst til Creditinfo í janúar 2020 með athugasemdum við skráningu vegna vanskilanna og mótmælt henni á þeim forsendum að upplýsingarnar væru eldri en fjögurra ára, sbr. ákvæði í starfsleyfi fyrirtækisins. Þessu hafi Creditinfo mótmælt á þeirri forsendu að upplýsingarnar hefðu verið skráðar [dags. …] og væru því ekki eldri en fjögurra ára.

Kvartandi telur því að ráða megi af fyrirliggjandi upplýsingum að Landsbankinn hf., sem kröfuhafi hinnar skráðu færslu, hafi látið undir höfuð leggjast að skrá upplýsingar um dóminn í vanskilaskrá Creditinfo í um tvö ár frá því hann féll.

Telur kvartandi að Creditinfo hafi borið að miða fjögurra ára frestinn við það tímamark er upplýsingar um umræddan dóm hafi orðið til, þ.e. við uppkvaðningu og birtingu hans á vefsíðu Hæstaréttar [dags. …], en ekki dagsetningu skráningar á vanskilaskrá.

Jafnframt er þess krafist að Creditinfo verði gert að eyða upplýsingum um dóminn úr skrám sínum, sbr. 3. mgr. 5. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust.

Sjónarmið Creditinfo

Creditinfo heldur utan um persónulegar upplýsingar á Íslandi

Creditinfo vísar til þess að krafan hafi verið skráð af Lögheimtunni ehf., f.h. Landsbanka Íslands hf., [dags. …]. Í samræmi við ákvæði í starfsleyfi Creditinfo hafi kvartanda verið send tilkynning um fyrirhugaða skráningu [dags. …] og honum gefinn 17 daga frestur til andmæla. Þann [dags. …] hafi færslan verið skráð á vanskilaskrá en hún hafi svo verið afskráð [dags. …] af Lögheimtunni ehf. á grundvelli uppgreiðslu.

Samkvæmt starfsleyfi Creditinfo (mál nr. 2016/1626 hjá Persónuvernd), sem í gildi hafi verið þegar framangreind krafa hafi verið skráð hjá vanskilaskrá, hafi áskrifendur heimild skv. 3. tölul. greinar 2.2.1. til að skrá á vanskilaskrá upplýsingar um að skuldara hafi verið með dómi gert að greiða skuld. Í grein 2.1. í starfsleyfinu segi að ekki megi miðla upplýsingum sem mæli gegn lánshæfi hins skráða þegar þær séu orðnar fjögurra ára gamlar. Þá segi í grein 2.7. að eyða skuli upplýsingum um einstaka skuldir sé vitað að þeim hafi verið komið í skil og að eyða skuli úr skrám fjárhagsupplýsingastofu upplýsingum þegar þær verði fjögurra ára gamlar.

Framangreind skráning hafi lotið að kröfu, sem hafi verið óumdeild, þ.e. um hana hafði gengið endanleg niðurstaða dómstóls, krafan hafi enn verið í vanskilum á skráningardegi og hafi á þeim degi ekki verið orðin fjögurra ára gömul. Að mati Creditinfo hafi því verið heimilt að skrá hana á vanskilaskrá með vísan til ákvæða starfsleyfis fyrirtækisins. Viðkomandi skráning hafi verið afskráð áður en hún hafi orðið fjögurra ára gömul eða þann [dags. …] þegar krafan hafi verið greidd.

Uppflettingar og notkun gagna á forsendu lögvarðra hagsmuna er eingöngu heimil í þeim tilgangi að meta lánshæfi eða greiðsluhæfi í tengslum við fyrirgreiðslu af einhverju tagi, svo sem vegna umsókna, fyrirhugaðra eða yfirstandandi láns- eða reikningsviðskipta eða vegna innheimtu ógreiddra krafna. Ef lána- eða reikningsumsækjandi er lögaðili eru uppflettingar á forsvarsmönnum eða eigendum óheimilar, nema ef sá sem í hlut á beri persónulega ábyrgð á lánveitingu eða reikningsviðskiptum til tryggingar efndum lántaka. Uppfletting á maka lána- og reikningsumsækjanda er óheimil, nema makinn sé þá sömuleiðis á umsókninni til dæmis sem ábyrgðarmaður.

Starfsleyfi Creditinfo (mál nr. 2016/1626 hjá Persónuvernd) taki ekki til útgáfu skýrslna um lánshæfi. Leyfið veiti þó fyrirtækinu heimild til að nýta fyrri skráningar á vanskilaskrá við gerð lánshæfismats. Í grein 2.7. komi fram að félaginu sé heimilt að hámarki þar til fjögur ár séu liðin frá skráningu upplýsinganna að nýta þær í þágu gerðar lánshæfismats enda sé upplýsingum um kröfuna sjálfa ekki miðlað. Bendir Creditinfo á að krafan sem um ræði hafi verið skráð á vanskilaskrá þann [dags. …]. Eins og að framan greini sé Creditinfo heimilt að nýta upplýsingar um fyrri skráningar í allt að fjögur ár frá skráningu upplýsinganna í þágu gerðar lánshæfismats. Ekki hafi verið liðin fjögur ár frá skráningu kröfunnar og því hafi hún enn haft áhrif á lánshæfismat kvartanda.

Creditinfo telur því að fyrirtækið hafi farið að ákvæðum starfsleyfisins, lögum um persónuvernd og vinnslu persónuupplýsinga svo og reglum settum á grundvelli þeirra laga.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Mál þetta lýtur að skráningu og notkun Creditinfo á upplýsingum um vanskil kvartanda við gerð lánshæfismats um hann hjá fyrirtækinu. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Eins og hér háttar til telst Creditinfo vera ábyrgðaraðili að þeirri vinnslu sem kvartað er yfir, þ.e. skráningu og notkun upplýsinga um vanskil kvartanda við gerð lánshæfismats um hann.

Starfsleyfi Creditinfo Lánstrausts hf.

Starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning og gerð lánshæfismats, í því skyni að miðla þeim til annarra, skal bundin leyfi Persónuverndar, sbr. 15. gr. laga nr. 90/2018, sbr. 1. mgr. 2. gr. reglugerðar nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust.

Starfsemi Creditinfo fellur að miklu leyti undir framangreind ákvæði og hefur Persónuvernd veitt fyrirtækinu starfsleyfi í samræmi við þau, sbr. hvað einstaklinga varðar starfsleyfi Creditinfo vegna vinnslu upplýsinga um fjárhagsmálefni og lánstraust, dags. 29. desember 2017 (mál nr. 2017/1541), og starfsleyfi til bráðabirgða vegna vinnslu persónuupplýsinga í þágu gerðar lánshæfismats, dags. 23. ágúst 2018 (mál nr. 2018/1229), sem í gildi voru þegar atvik máls þessa áttu sér stað.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Hefur Persónuvernd talið að vinnsla persónuupplýsinga sem fram fer í upplýsingakerfum Creditinfo um fjárhagsmálefni og lánstraust geti átt sér stoð í 6. tölul. 9. gr. laganna, sbr. e-lið 1. mgr. 6. gr. reglugerðarinnar, á þeim grundvelli að vinnslan sé nauðsynleg í þágu lögmætra hagsmuna nema hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga ávallt að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðarinnar. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum og að persónuupplýsingum sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang þeirra, skuli eyða eða leiðrétta án tafar (4. tölul.).

Hér reynir á hvort Creditinfo hafi verið heimilt að notast við upplýsingar um færslu á vanskilaskrá við gerð skýrslna um lánshæfi kvartanda í fjögur ár frá skráningu upplýsinganna á vanskilaskrá eða hvort Creditinfo hafi borið að miða fjögurra ára frestinn við uppkvaðningu dóms Hæstaréttar sem krafan er sprottin af.

Persónuvernd hefur nokkrum sinnum áður komist að þeirri niðurstöðu að Creditinfo hafi verið heimilt að notast við upplýsingar um fyrri skráningar á vanskilaskrá við gerð lánshæfismats um einstaklinga. Vísast um það t.d. til úrskurðar Persónuverndar, dags. 11. september 2020, í máli nr. 2020010592. Í þeim úrskurði komst Persónuvernd að þeirri niðurstöðu að Creditinfo væri heimilt að nýta upplýsingar um færslu á vanskilaskrá félagsins við gerð skýrslna um lánshæfi kvartanda, að hámarki í fjögur ár frá skráningu þeirra upplýsinga, sbr. ákvæði í starfsleyfi Creditinfo þar um. Varðandi rökstuðning Persónuverndar þar að lútandi vísast til framangreinds úrskurðar stofnunarinnar en Persónuvernd telur sömu sjónarmið eiga við í því máli sem hér er til úrlausnar.

Eins og atvikum er háttað í þessu máli er hins vegar ljóst að viðkomandi kröfuhafi lét undir höfuð leggjast að skrá viðkomandi kröfu á vanskilaskrá í tvö ár frá því að dómur vegna hennar féll. Um þetta var Creditinfo upplýst, m.a. með tölvupósti frá kvartanda 27. janúar 2020 þar sem hann gerði athugasemdir við skráninguna. Með vísan til sjónarmiða um sanngirni, áreiðanleika og meðalhóf, sbr. 1., 3. og 4. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og samsvarandi ákvæði í 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, verður að telja að Creditinfo hafi borið skylda til að bregðast við athugasemdum kvartanda og miða fjögurra ára frestinn við þann dag er dómurinn féll en ekki skráningardag kröfunnar. Almennt verður að gera ráð fyrir því að ekki líði langur tími frá uppkvaðningu dóma fram að skráningu upplýsinga um kröfur á grundvelli þeirra, meðal annars þar sem slíkt gæti orðið til þess að slíkar kröfur hafi áhrif við gerð skýrslna um lánshæfi skráðra einstaklinga mun lengur en ráðgert var við útgáfu starfsleyfisins, sbr. framangreint.

Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla Creditinfo á upplýsingum um fyrri vanskil kvartanda frá og með […] hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í samræmi við þessa niðurstöðu, og með vísan til 6. og 7. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Creditinfo að eyða upplýsingum um viðkomandi kröfu úr gagnagrunni sínum, hafi það ekki þegar verið gert. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 22. október 2021.

Ú r s k u r ð a r o r ð:

Vinnsla Creditinfo á persónuupplýsingum um [A] samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Í samræmi við þessa niðurstöðu, og með vísan til 6. og 7. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Creditinfo að eyða upplýsingum um viðkomandi kröfu úr gagnagrunni sínum. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 22. október 2021.

Skráning umdeildra skulda á vanskilaskrá er óheimil – Lögheimtan og Creditinfo