Prentað þann 21. des. 2024
606/2023
Reglugerð um vinnslu upplýsinga um fjárhagsmálefni og lánstraust.
I. KAFLI Markmið, gildissvið og skilgreiningar.
1. gr. Markmið og gildissvið.
Markmið reglugerðar þessarar er að tryggja gagnsæi, sanngirni, áreiðanleika, gæði, meðalhóf og öryggi við vinnslu upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila.
Reglugerðin gildir um vinnslu upplýsinga um fjárhagsmálefni og lánstraust einstaklinga og lögaðila í því skyni að miðla þeim til annarra. Reglugerðin gildir því ekki um vinnslu lánveitenda á slíkum upplýsingum einvörðungu til eigin nota eða um vinnslu opinberra aðila sem vinna slíkar upplýsingar í samræmi við lög.
2. gr. Skilgreiningar.
Í þessari reglugerð er merking hugtaka í samræmi við orðskýringar laga um persónuvernd og vinnslu persónuupplýsinga. Þá er merking eftirfarandi orða sem hér segir:
- Fjárhagsupplýsingastofa: Handhafi starfsleyfis Persónuverndar skv. 1. mgr. 15. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
- Áskrifandi: Einstaklingur eða lögaðili sem hefur skráðan aðgang hjá fjárhagsupplýsingastofu á grundvelli skriflegs samnings.
- Löginnheimta: Innheimtuaðferð á grundvelli réttarfarslaga sem framkvæmd er af lögmanni og telst hafin við aðgerðir sem byggjast á réttarfarslögum eða tilkynningum sem samrýmast góðum lögmannsháttum.
- Skrá um opinberar gjörðir: Skrá sem er aðgengileg gegn gjaldi og hefur að geyma upplýsingar sem hafa verið birtar opinberlega, s.s. í Lögbirtingablaði.
- Skýrsla um lánshæfi: Niðurstaða útreiknings fjárhagsupplýsingastofu á líkindum þess hvort aðili mun efna lánssamning.
- Starfsleyfi: Leyfi Persónuverndar skv. 1. mgr. 15. gr. laga nr. 90/2018 til starfrækslu fjárhagsupplýsingastofu og vinnslu upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila í því skyni að miðla þeim til annarra.
- Vanskilaskrá: Skrá sem er aðgengileg gegn gjaldi og hefur að geyma upplýsingar um einstaklinga og lögaðila sem hafa ekki staðið við fjárhagslegar skuldbindingar sínar.
- Vöktun kennitölu: Þjónusta sem felst í því að áskrifandi er látinn vita ef tiltekin kennitala er færð á eða af vanskilaskrá, upplýsingar tengdar kennitölunni eru færðar af vanskilaskrá eða ef breyting verður á skýrslu um lánshæfi viðkomandi.
II. KAFLI Starfsskilyrði fjárhagsupplýsingastofu.
3. gr. Starfsleyfi.
Heimild til að vinna upplýsingar um fjárhagsmálefni og lánstraust einstaklinga og lögaðila í því skyni að miðla þeim til annarra er háð leyfi Persónuverndar. Persónuvernd er eingöngu heimilt að veita þeim aðilum starfsleyfi skv. framangreindu sem stofnunin metur líklega til að geta fullnægt skyldum ábyrgðaraðila samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679, reglugerð þessari og þeim skilmálum sem stofnunin setur.
Persónuvernd getur bundið starfsleyfi skilmálum sem þó mega ekki vera meira íþyngjandi en sem leiðir af lögum nr. 90/2018, reglugerð (ESB) 2016/679 og reglugerð þessari.
Fjárhagsupplýsingastofu er skylt að tilkynna Persónuvernd fyrirhugaðar breytingar á vinnslu persónuupplýsinga sem heyrir undir starfsleyfi. Stöðvun á rekstri og vinnslu skal tilkynna Persónuvernd þegar í stað.
Fjárhagsupplýsingastofu er heimilt að fela öðrum aðila að annast vinnslu persónuupplýsinga sem heyrir undir starfsleyfi, í heild eða að hluta, í samræmi við ákvæði 25. gr. laga nr. 90/2018 og 28. gr. reglugerðar (ESB) 2016/679, enda hafi hún áður upplýst Persónuvernd um það.
Starfsleyfi fjárhagsupplýsingastofu skal vera ótímabundið en Persónuvernd er heimilt að endurskoða skilmála þess eða afturkalla það ef:
- fjárhagsupplýsingastofa fer ekki að ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerðar (ESB) 2016/679, reglugerðar þessarar eða skilmálum í starfsleyfi, eða sýnt þykir að hún uppfylli að öðru leyti ekki lengur skilyrði til þess að hljóta starfsleyfi,
- breytingar verða á lögum og reglum sem um starfsemi fjárhagsupplýsingastofu gilda,
- fjárhagsupplýsingastofa tilkynnir Persónuvernd um fyrirhugaðar breytingar á vinnslu persónuupplýsinga skv. 3. mgr. og stofnunin telur það nauðsynlegt með hliðsjón af fyrirhuguðum breytingum, eða,
- fjárhagsupplýsingastofa hættir starfsemi sem heyrir undir reglugerð þessa.
4. gr. Samningur við áskrifanda.
Fjárhagsupplýsingastofa skal gera skriflega samninga við áskrifendur sína. Með slíkum samningi skal fjárhagsupplýsingastofa m.a. tryggja að:
- áskrifandi byggi vinnslu persónuupplýsinga, sem felst í öflun upplýsinga frá fjárhagsupplýsingastofu, uppflettingu í skrám hennar eða vöktun kennitalna, á fullnægjandi vinnsluheimildum samkvæmt persónuverndarlögum,
- áskrifandi tilgreini og skrái tilgang hverrar uppflettingar í skrám fjárhagsupplýsingastofu, öflunar skýrslu um lánshæfi og vöktunar kennitölu,
- áskrifandi sem vaktar kennitölu einstaklings láti af vöktun hennar þegar ekki eru lengur fyrir hendi lögmætir hagsmunir af vöktuninni,
- áskrifandi ábyrgist að kröfur, sem skuldari hefur sannanlega andmælt, verði ekki sendar til skráningar hjá fjárhagsupplýsingastofu nema ef andmælin eru augljóslega tilefnislaus en þá sé fjárhagsupplýsingastofa engu að síður upplýst um efni andmælanna,
- áskrifandi ábyrgist að honum sé ekki kunnugt um að skuldari geti haft nokkrar réttmætar mótbárur gegn greiðslu skuldar áður en upplýsingar um vanskil eru sendar fjárhagsupplýsingastofu til skráningar,
- áskrifandi upplýsi fjárhagsupplýsingastofu um að skuld sé greidd eða henni komið í skil með öðrum hætti,
- áskrifandi afriti ekki skrár fjárhagsupplýsingastofu, samtengi þær við aðrar skrár eða vinni upplýsingar úr þeim á nokkurn annan hátt, sem er í ósamræmi við umsaminn tilgang vinnslunnar,
- hver sá einstaklingur sem fær aðgang að skrám fjárhagsupplýsingastofu hafi sitt eigið aðgangsorð sem honum sé óheimilt að láta öðrum í té eða nota á vegum annars áskrifanda,
- allar vinnsluaðgerðir hvers notanda verði rekjanlegar,
- áskrifandi ábyrgist að einstakir notendur nýti aðgang sinn að skrám fjárhagsupplýsingastofu, þ. á m. vöktun kennitölu einstaklings, í samræmi við ákvæði laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerðar (ESB) 2016/679 og þessarar reglugerðar, og tilkynni fjárhagsupplýsingastofu um frávik frá lögmætri notkun einstakra notenda á aðgangi sínum,
- áskrifandi veiti hinum skráða ávallt lögbundna fræðslu, og að,
- áskrifandi upplýsi einstakling eða lögaðila ef synjun um lánveitingu byggist á upplýsingum úr skrám fjárhagsupplýsingastofu.
Fjárhagsupplýsingastofa skal hafa eftirlit með því að áskrifandi fari að samningi samkvæmt 1. mgr. Verði fjárhagsupplýsingastofu kunnugt um að áskrifandi hafi brotið gegn skilmálum áskriftarsamnings ber henni að tilkynna Persónuvernd það án tafar.
5. gr. Almennt um heimila vinnslu upplýsinga.
Fjárhagsupplýsingastofu er einungis heimilt að vinna með persónuupplýsingar sem eru áreiðanlegar og hafa afgerandi þýðingu við mat á fjárhagsstöðu og lánstrausti einstaklings eða lögaðila.
Fjárhagsupplýsingastofa skal tryggja að farið sé að öllum meginreglum um vinnslu persónuupplýsinga og geta á hverjum tíma sýnt fram á það, skv. 8. gr. laga nr. 90/2018, og 5. gr. reglugerðar (ESB) 2016/679, þ. á m. að þær upplýsingar sem unnið er með og útreikningur á grundvelli þeirra veiti sem réttasta mynd af fjárhagsstöðu og lánstrausti viðkomandi og að ekki séu unnar aðrar upplýsingar en þær sem eru nauðsynlegar miðað við tilgang vinnslunnar.
Fjárhagsupplýsingastofu er heimilt að vinna með upplýsingar um nafn einstaklings eða lögaðila, heimilisfang, kennitölu, félagaform, stöðu og atvinnu og aðrar upplýsingar sem er hægt að fá úr opinberum skrám eða frá áskrifendum samkvæmt ákvæðum reglugerðar þessarar.
Fjárhagsupplýsingastofu er óheimilt að skrá viðkvæmar persónuupplýsingar og upplýsingar um refsiverða háttsemi.
Fjárhagsupplýsingastofu er óheimilt að skrá og miðla upplýsingum um kröfu ef réttmætur vafi leikur á um lögmæti hennar.
Fjárhagsupplýsingastofu er óheimilt að skrá og miðla upplýsingum um kröfu ef skuldari hefur sannanlega andmælt henni gagnvart kröfuhafa nema ef andmæli skuldara eru augljóslega tilefnislaus.
Fjárhagsupplýsingastofu er óheimilt að miðla upplýsingum um kröfu sem er ekki lengur í vanskilum.
Fjárhagsupplýsingastofu er óheimilt að miðla upplýsingum um hversu oft einstaklingi hefur verið flett upp í skrám hennar.
6. gr. Miðlun persónuupplýsinga.
Fjárhagsupplýsingastofu er heimilt að miðla persónuupplýsingum til áskrifanda samkvæmt reglugerð þessari með stafrænum hætti um örugga fjartengingu. Áskrifanda skal aðeins vera heimilt að fletta upp upplýsingum um einn einstakling í einu og skulu nauðsynlegar öryggisráðstafanir viðhafðar til að fyrirbyggja að áskrifandi geti afritað skrár, samtengt þær við aðrar skrár eða unnið með þær á annan hátt en til uppflettingar.
Fjárhagsupplýsingastofa skal einvörðungu miðla persónuupplýsingum til áskrifanda eða viðtakanda sem er skráður hjá tilteknum áskrifanda og sem hefur auðkennt sig með fullnægjandi hætti og skráð tilgang vinnslunnar. Fjárhagsupplýsingastofa skal að lágmarki varðveita upplýsingar um alla viðtakendur persónuupplýsinga, hvaða upplýsingar þeir hafa fengið, hvenær og í hvaða tilgangi í tvö ár frá viðtöku.
Fjárhagsupplýsingastofu er heimilt að veita áskrifanda þjónustu sem felst í vöktun kennitölu einstaklinga og lögaðila. Vöktun kennitölu einstaklings skal aðeins heimil ef vöktunin er nauðsynleg fyrir áskrifandann til að innheimta kröfu eða kröfur á hendur honum, vegna fjárhagslegrar fyrirgreiðslu áskrifanda til viðkomandi eða vegna annars konar fjárhagslegrar skuldbindingar hans gagnvart áskrifanda.
Fjárhagsupplýsingastofa skal tryggja að áskrifandi geti miðlað til hennar með einföldum hætti afritum frumgagna um tilurð kröfu, hvort sem er á pappír eða í rafrænu formi.
Ef nauðsynlegt er að senda upplýsingar milli fjárhagsupplýsingastofu og áskrifanda um óvarið Netið skulu þær vera dulkóðaðar.
III. KAFLI Skrár fjárhagsupplýsingastofu.
7. gr. Heimil vinnsla upplýsinga í skrá um opinberar gjörðir.
Heimilt er að skrá í skrá um opinberar gjörðir upplýsingar sem hafa verið birtar opinberlega, s.s. í Lögbirtingablaði, og uppfylla skilyrði 5. gr.
Fjárhagsupplýsingastofa skal gæta þess að eyða upplýsingum af skrá um opinberar gjörðir þegar þær uppfylla ekki lengur skilyrði 1. og 2. mgr. 5. gr.
8. gr. Heimil vinnsla persónuupplýsinga í vanskilaskrá.
Heimilt er að skrá upplýsingar um vanskil einstaklings (hinn skráða) í vanskilaskrá ef annað af eftirfarandi á við:
- Upplýsingarnar hafa verið löglega birtar eða gerðar aðgengilegar í opinberum gögnum.
- Upplýsingarnar stafa frá áskrifanda og varða eina eða fleiri kröfur hans á hendur hinum skráða og höfuðstóll þeirra nemur samtals að lágmarki 50.000 krónum og annaðhvort er löginnheimta hafin eða fyrir liggur skrifleg viðurkenning hins skráða á gjaldfallinni skuld.
Fjárhagsupplýsingastofu er heimilt að miðla upplýsingum skv. 1. mgr. til áskrifanda að því marki sem nauðsynlegt telst miðað við tilgang miðlunarinnar, að öðru leyti en því að hafi hinn skráði undirritað samning um greiðsluaðlögun er óheimilt að miðla upplýsingum um þær kröfur sem samningurinn gildir um, hafi ekki komið til vanefnda hans. Við miðlun upplýsinganna skal greina frá því hvaðan þær eru fengnar, hver er kröfuhafi og hver grundvöllur kröfunnar er.
Fjárhagsupplýsingastofu er óheimilt að miðla upplýsingum um nafn hins skráða ef henni er kunnugt um að sú krafa, sem liggur til grundvallar skráningu, hefur verið greidd eða henni verið komið í skil með öðrum hætti. Á þetta við um hvort tveggja, upplýsingar sem eru almennt aðgengilegar og ekki, en þó ekki um upplýsingar um gjaldþrotaúrskurði og skiptalok.
Fjárhagsupplýsingastofa skal gæta þess að eyða upplýsingum af vanskilaskrá þegar þær uppfylla ekki lengur skilyrði 1. og 2. mgr. 5. gr.
IV. KAFLI Skýrsla um lánshæfi.
9. gr. Gerð skýrslu um lánshæfi.
Fjárhagsupplýsingastofu er heimilt að gera skýrslu um lánshæfi einstaklinga og lögaðila og miðla henni til þriðja aðila.
Skýrsla um lánshæfi skal byggjast á áreiðanlegum upplýsingum sem hafa afgerandi þýðingu og veita áreiðanlegar vísbendingar um líkindi þess hvort viðkomandi einstaklingur eða lögaðili getur efnt lánssamning.
Við mat á lánshæfi einstaklings er fjárhagsupplýsingastofu eingöngu heimilt að afla og vinna upplýsingar úr opinberum gögnum og skrám sínum skv. III. kafla og aðeins að því marki sem nauðsynlegt er til að framkvæma áreiðanlegt mat.
Fjárhagsupplýsingastofu er heimilt að vinna aðrar upplýsingar en í 3. mgr. greinir í því skyni að framkvæma áreiðanlegt mat á lánshæfi einstaklings að fengnu samþykki viðkomandi. Samþykki samkvæmt þessu ákvæði þarf að uppfylla skilyrði 10. gr., sbr. 8. tölul. 3. gr. laga nr. 90/2018.
10. gr. Miðlun skýrslu um lánshæfi einstaklings.
Í skýrslu um lánshæfi einstaklings, sem er miðlað til þriðja aðila, skulu eingöngu vera upplýsingar um niðurstöður mats á lánshæfi. Fjárhagsupplýsingastofu er þó heimilt að greina frá því í skýrslu um lánshæfi hvort byggt er á breytum sem hinn skráði hefur sérstaklega samþykkt, skv. 4. mgr. 9. gr.
V. KAFLI Réttindi skráðra einstaklinga og lögaðila.
11. gr. Viðvörunar- og fræðsluskylda fjárhagsupplýsingastofu.
Þegar fjárhagsupplýsingastofa safnar fjárhagsupplýsingum frá öðrum en skráðum einstaklingi eða lögaðila skal hún samtímis og eigi síðar en 14 dögum áður en upplýsingunum er miðlað í fyrsta sinn gera viðkomandi viðvart og veita honum upplýsingar samkvæmt 14. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018, þ. á m. upplýsingar um rétt hans til að fá upplýsingar um vinnslu upplýsinganna og aðgang að þeim, upplýsingar sínar leiðréttar, þeim eytt eða vinnslu þeirra takmarkaða.
Áður en fjárhagsupplýsingastofa gerir og miðlar skýrslu um lánshæfi einstaklings eða lögaðila skal hún greina viðkomandi frá því hvaða upplýsingar og breytur verða notaðar við gerð skýrslunnar.
Þegar áskrifandi aflar upplýsinga um skráðan einstakling eða lögaðila, hvort sem það er með uppflettingu eða öflun skýrslu um lánshæfi, eða hefur vöktun kennitölu viðkomandi skal fjárhagsupplýsingastofa samstundis og eigi síðar en innan mánaðar gera viðkomandi viðvart um hvaða áskrifandi aflaði upplýsinga um hann eða hóf vöktun kennitölu hans og í hvaða tilgangi. Með sama hætti skal skráðum einstaklingi eða lögaðila gert viðvart þegar látið er af vöktun kennitölu.
Fjárhagsupplýsingastofa skal að öðru leyti hafa frumkvæði að því að veita skráðum einstaklingum og lögaðilum, að því leyti sem við á, upplýsingar samkvæmt ákvæðum 12.-14. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018.
12. gr. Upplýsinga- og aðgangsréttur.
Fjárhagsupplýsingastofa skal, sem fyrst og eigi síðar en 14 dögum eftir að sett er fram beiðni þar um, afhenda skráðum einstaklingi eða lögaðila afrit þeirra upplýsinga sem eru í vinnslu samkvæmt reglugerð þessari og upplýsingar um vinnsluna. Þó getur fjárhagsupplýsingastofa neitað að verða við slíkri beiðni ef hún getur sýnt fram á að beiðnin sé tilefnislaus eða óhófleg, þ. á m. ef aðgangs- og upplýsingabeiðni er sett fram af sama aðila með minna en tveggja vikna millibili.
Fjárhagsupplýsingastofa skal, að beiðni skráðs einstaklings, veita honum upplýsingar um vægi einstakra breytna við útreikning á líkindum í skýrslu um lánshæfi hans og þau rök sem liggja þar að baki.
Skráðir einstaklingar og lögaðilar skulu að öðru leyti eiga rétt til aðgangs að upplýsingum sínum og fá allar þær upplýsingar um vinnslu þeirra sem greinir í 1. mgr. 15. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018.
13. gr. Leiðrétting, eyðing og takmörkun á vinnslu.
Fjárhagsupplýsingastofa ber ábyrgð á því að þær upplýsingar sem hún vinnur með séu áreiðanlegar og uppfærðar eftir þörfum og skal eyða eða leiðrétta án tafar upplýsingum sem eru rangar, villandi eða ófullkomnar eða hafi þær að öðru leyti ekki verið skráðar samkvæmt ákvæðum reglugerðar þessarar eða skilmálum starfsleyfis.
Ef óheimilt er að eyða eða breyta upplýsingum, sem eru tilgreindar í 1. mgr., samkvæmt ákvæðum annarra laga eða reglna skal takmarka vinnslu þeirra eins og frekast er unnt.
Ef upplýsingum, sem eru óáreiðanlegar eða ófullkomnar, hefur verið miðlað úr skrám fjárhagsupplýsingastofu eða þær notaðar í skýrslu um lánshæfi ber fjárhagsupplýsingastofu að tilkynna sérhverjum viðtakanda um hvers kyns leiðréttingu eða eyðingu upplýsinganna eða takmörkun á vinnslu og hindra, eftir því sem henni er frekast unnt, að upplýsingarnar hafi áhrif á hagsmuni skráðs einstaklings eða lögaðila.
Skráðir einstaklingar og lögaðilar njóta að öðru leyti og eftir því sem við á réttinda til að fá upplýsingar sínar leiðréttar, þeim eytt eða vinnslu þeirra takmarkaða samkvæmt ákvæðum 16.-18. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 20. gr. laga nr. 90/2018.
14. gr. Andmælaréttur skráðs einstaklings.
Þegar fjárhagsupplýsingastofa gerir skráðum einstaklingi viðvart um vinnslu, skv. 1. mgr. 11. gr., skal hún með skýrum hætti gera honum grein fyrir réttinum til að andmæla vinnslu persónuupplýsinga hans og skal hinn skráði þá þegar eiga rétt á að andmæla vinnslunni í samræmi við ákvæði 1. mgr. 21. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 21. gr. laga nr. 90/2018. Fjárhagsupplýsingastofu ber að bregðast við í samræmi við sömu ákvæði.
Fallist fjárhagsupplýsingastofa ekki á andmæli hins skráða skal hún greina honum frá því með skriflegum hætti eigi síðar en 14 dögum eftir að andmæli bárust henni og leiðbeina honum samtímis um rétt hans til að leita til Persónuverndar.
15. gr. Sérákvæði í starfsleyfi Persónuverndar.
Í skilmálum starfsleyfis getur Persónuvernd mælt fyrir um sérstakar skyldur fjárhagsupplýsingastofu hvað varðar viðvörunar- og fræðsluskyldu hennar, aðgangs- og upplýsingarétt skráðra einstaklinga og lögaðila, rétt þeirra til að fá upplýsingar sínar leiðréttar, þeim eytt og vinnslu þeirra takmarkaða og rétt skráðs einstaklings til að andmæla vinnslu.
VI. KAFLI Lagastoð og gildistaka.
16. gr.
Reglugerð þessi, sem er sett samkvæmt heimild í 2. mgr. 15. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, öðlast gildi 1. september 2023. Á sama tíma fellur brott reglugerð nr. 246/2001 um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust.
Dómsmálaráðuneytinu, 5. júní 2023.
Jón Gunnarsson.
Haukur Guðmundsson.
Fyrirvari
Reglugerðir eru birtar í B-deild Stjórnartíðinda skv. 3. gr. laga um Stjórnartíðindi og Lögbirtingablað, nr. 15/2005, sbr. reglugerð um útgáfu Stjórnartíðinda nr. 958/2005.
Sé misræmi milli þess texta sem birtist hér í safninu og þess sem birtur er í útgáfu B-deildar Stjórnartíðinda skal sá síðarnefndi ráða.