Úrskurður

um kvörtun yfir vinnslu Creditinfo Lánstrausts hf. á persónuupplýsingum, í máli nr. 2025020669 (áður 2023121978):

Málsmeðferð

1. Hinn 7. desember 2023 barst Persónuvernd kvörtun, ásamt fylgigögnum, frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga hennar við gerð skýrslu um lánshæfi hjá Creditinfo Lánstrausti hf. (hér eftir Creditinfo).

2. Persónuvernd bauð Creditinfo að tjá sig um kvörtunina með bréfi, dags. 26. mars 2024, og bárust svör félagsins þann 16. apríl s.á. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör Creditinfo með bréfi, dags. 21. maí s.á., og bárust þær með tölvupósti 10. júní s.á. Með bréfi, dags. 21. nóvember 2025, óskaði Persónuvernd eftir nánari skýringum frá Creditinfo, auk þess sem félaginu var boðið að tjá sig um efnisatriði framangreinds tölvupósts kvartanda. Svör félagsins bárust með bréfi, dags. 1. desember s.á. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör Creditinfo með tölvupósti 2. s.m. og bárust þær með tölvupósti dags. 8. s.m.

3. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó svo að ekki sé gerð sérstaklega grein fyrir þeim öllum í úrskurði þessum.

Ágreiningsefni

4. Ágreiningur er um hvort Creditinfo hafi verið heimilt, við gerð skýrslu um lánshæfi kvartanda, að vinna upplýsingar um tvær kröfur sem afskráðar höfðu verið úr vanskilaskrá í kjölfar eftirgjafar kröfuhafa á umræddum kröfum með greiðsluaðlögunarsamningi.

Sjónarmið aðila

Helstu sjónarmið kvartanda

5. Samkvæmt kvörtun má rekja upphaf málsins til þess að kvartandi var skráð á vanskilaskrá Creditinfo vegna vanskila á láni sem hún tók hjá [X] hf. árið [ártal]. Fram kemur að endanlegur kröfuhafi lánsins, [Y] hf., hafi stefnt kvartanda árið [ártal] og gert árangurslaust fjárnám hjá henni árið [ártal]. Þann [dags.] hafi kvartandi undirritað greiðsluaðlögunarsamning hjá umboðsmanni skuldara þar sem allar samningskröfur á hendur henni hafi verið felldar niður að fullu, þ.m.t. kröfur [Y] hf., en þær hafi verið tilkomnar vegna lánveitingar á grundvelli óheiðarlegra viðskiptahátta.

6. Með kvörtun fylgdi afrit af tölvupóstsamskiptum kvartanda og Creditinfo [dags.], en þar kemur fram í svörum Creditinfo að kvartandi væri ekki skráð á vanskilaskrá. Þar segir einnig að fyrrum skráningar á vanskilaskrá hefðu áhrif til lækkunar á lánshæfismati í tólf mánuði frá afskráningu kröfunnar af skránni. Sú tilhögun var í samræmi við 1. og 2. mgr. ákvæðis 5.3 í starfsleyfi Persónuverndar til Creditinfo, dags. 3. maí 2021 (mál nr. 2020041404), sem í gildi var á umræddum tíma. Af kvörtun má ráða að þegar liðnir hafi verið tólf mánuðir frá afskráningu kröfunnar hafi lánshæfismat kvartanda hækkað í samræmi við framangreint.

7. Eftir gildistöku reglugerðar nr. 606/2023 um vinnslu upplýsinga um fjárhagsmálefni og lánstraust, þann 1. september 2023, hafi Creditinfo uppfært tölfræðilíkan sitt, sem leitt hafi til þess að lánshæfismat kvartanda hafi lækkað, vegna notkunar félagsins á upplýsingum um söguleg vanskil sem heimilt hafi verið að nota í lengri tíma en tólf mánuði samkvæmt hinni nýju reglugerð. Kvartandi byggir á því að framangreindar upplýsingar uppfylli ekki skilyrði 9. gr. áðurnefndrar reglugerðar, enda sé ekki um að ræða áreiðanlegar upplýsingar sem hafi afgerandi þýðingu og veiti áreiðanlegar vísbendingar um líkindi þess að einstaklingur geti efnt lánssamning. Upplýsingarnar sem unnið var með hafi verið úreltar og rangar og búið hafi verið að taka þær af vanskilaskrá. Lög megi auk þess ekki vera afturvirk. Um hafi verið að ræða fyrirvaralausa, íþyngjandi og afturvirka beitingu reglugerðar nr. 606/2023. Kvartandi kveðst eftir lækkun lánshæfismatsins hafa þurft að forðast vanskil með því að taka smálán með háum vöxtum. Hún kveður vinnsluna hafa valdið sér miklu tjóni sem hún hafi enn ekki jafnað sig á. Þá gangi ákvörðun Creditinfo í berhögg við 5. og 8. gr. sömu reglugerðar.

8. Kvartandi vísar til 20. gr. laga nr. 90/2018 um rétt hins skráða til eyðingar og leiðréttingar. Bankarnir hafi staðfest eyðingu upplýsinga hjá sér, en Creditinfo notist þrátt fyrir það við upplýsingar um söguleg vanskil við útreikning lánshæfismats, en hvorki sé sanngjarnt né viðeigandi að nota þau gögn í dag.

Helstu sjónarmið Creditinfo

9. Í svörum Creditinfo segir að kvörtun lúti að ákvörðun fyrirtækisins um að nota lengri vanskilasögu sem breytu í skýrslu um lánshæfi kvartanda. Uppfærsla tölfræðilíkans félagsins, þann 23. nóvember 2023, hafi verið í samræmi við ákvæði reglugerðar nr. 606/2023, einkum 9. gr. hennar. Við mat á lánshæfi sé félaginu eingöngu heimilt að afla og vinna upplýsingar úr opinberum gögnum og skrám sínum, þ. á m. gögnum úr vanskilaskrá Creditinfo, að því marki sem nauðsynlegt sé til að framkvæma áreiðanlegt mat.

10. Byggt er á því af hálfu Creditinfo að athafnir félagsins verði að samrýmast gildandi rétti. Félaginu hafi verið skylt, samkvæmt reglugerð nr. 606/2023, lögum nr. 33/2013 um neytendalán og lögum nr. 118/2016 um fasteignalán, að meta hvaða gögn og upplýsingar væru til þess fallin að veita áreiðanlegar vísbendingar um líkindi þess að einstaklingur gæti efnt lánssamning. Ekki hafi verið um að ræða ólögmæta afturvirkni í vinnslu lánshæfismats kvartanda þó svo að krafa, sem ekki hafði lengur áhrif samkvæmt fyrra lagaumhverfi, hafi aftur öðlast vægi sem áhrifaþáttur í lánshæfismati eftir gildistöku framangreindrar reglugerðar. Þá hafi Persónuvernd jafnframt bent á að ákvæði reglugerðarinnar gengju framar ákvæðum starfsleyfis Persónuverndar til Creditinfo að því leyti sem ósamræmi kynni að vera þar á milli. Ólíkt eldri reglugerð og starfsleyfi Persónuverndar kveði reglugerð nr. 606/2023 ekki á um tímamörk við vinnslu upplýsinga. Þá hafi Persónuvernd litið svo á að það félli ekki undir starfssvið stofnunarinnar að ákveða hvernig mat á lánshæfi skyldi gert og hvert vægi einstakra þátta skyldi vera.

11. Creditinfo byggir á því að hið nýja lánshæfismatslíkan uppfylli skilyrði laga nr. 90/2018, sbr. reglugerð (ESB) 2016/679, sem og skilyrði 9. gr. reglugerðar nr. 606/2023 um notkun áreiðanlegra upplýsinga. Við uppfærslu þess hafi sérfræðingar félagsins meðal annars metið hvaða upplýsingar um fyrri vanskil hefðu afgerandi þýðingu við mat á líkum þess að einstaklingur stæði við skuldbindingar sínar. Ákveðið hafi verið að líta til fyrrum skráninga á vanskilaskrá í allt að fjögur ár frá afskráningu, þar sem þær hafi verulegt spágildi um vanskil í náinni framtíð eins og útreikningar að baki lánshæfismatslíkani fyrirtækisins sýni. Lánshæfiseinkunn kvartanda hafi því þann [dags.] lækkað þar sem litið hafi verið til tveggja fyrrum skráninga krafna á vanskilaskrá sem báðar hafi verið [dags.].

12. Um mikilvægi notkunar á gögnum um söguleg vanskil við gerð skýrslna um lánshæfi vísar Creditinfo meðal annars til forsendna í niðurstöðu úrskurðar Persónuverndar í máli nr. 2016/950. Líta beri til skyldu lánveitanda samkvæmt 10. gr. laga nr. 33/2013 og 20. gr. laga nr. 118/2016 og meginhlutverks Creditinfo samkvæmt reglugerð nr. 606/2023. Jafnframt hafi uppfærsla lánshæfismatslíkansins byggst á ítarlegu og faglegu mati sérfræðinga Creditinfo í fjárhagsupplýsingum með það að markmiði að uppfylla ákvæði reglugerðar nr. 606/2023. Þá hafi dómstólar vakið athygli á að gæta þyrfti varfærni við endurmat á tilgangi og nauðsyn vinnslu sem byggist á matskenndum þáttum sem lúta að tiltekinni sérfræðiþekkingu, sbr. dóm Héraðsdóms Reykjavíkur frá 5. febrúar 2024 í máli nr. E-4081/2023.

13. Creditinfo byggir á því að vinnsla félagsins á persónuupplýsingum sé í samræmi við meginreglur persónuverndarlöggjafarinnar. Notkun upplýsinga um söguleg vanskil við gerð lánshæfismats sé mikilvæg og lögbundin forsenda líkindamats. Einstaklingar megi almennt gera ráð fyrir að vanskil hafi áhrif á lánshæfi til framtíðar. Á meðan tölfræðin standist skoðun sé vinnsla Creditinfo sanngjörn. Hvað gagnsæi varðar hafi hinir skráðu fengið fræðslu um vinnsluna á heimasíðu félagsins, auk þess sem bent hafi verið á leiðir til að bæta niðurstöðu matsins. Samkvæmt tölfræðilíkani félagsins sé tíðni vanskila, í hópi einstaklinga sem eiga álíka gömul vanskil og kvartandi, þ.e. frá því að vera sex mánuðum yngri til sex mánuðum eldri, og eru á sama tuttugu ára aldursbili, tæplega tólf sinnum hærri en hjá þeim einstaklingum sem eigi enga sögu um vanskil. Þá bendir Creditinfo á að skoðun á vanskilatíðni einstaklinga, sem fengið hafi samþykkta umsókn um greiðsluaðlögun, sýni að þeir séu allt að 2,5 sinnum líklegri til að fara aftur í vanskil heldur en þeir einstaklingar sem ekki hafi farið í gegnum greiðsluaðlögun en eigi upplýsingar um söguleg vanskil. Þá sýni tölfræðin jafnframt að einstaklingar sem fari í gegnum greiðsluaðlögun séu um tuttugu sinnum líklegri til að fara í vanskil á næstu misserum, samanborið við þá sem enga sögu eigi um fjárhagsleg vandræði. Við gerð skýrslu um lánshæfi sé hins vegar ekki tekið sérstaklega tillit til þess hvort söguleg vanskilamál hafi verið afskráð vegna greiðsluaðlögunar, en þeir einstaklingar séu fáir sem notið hafi úrræðisins og hafi ekki þótt tilefni til að flækja tölfræðilíkanið vegna þeirra.

14. Byggt er á því af hálfu Creditinfo að vinnsla upplýsinga um söguleg vanskil kvartanda hafi verið nauðsynleg miðað við tilgang vinnslunnar, en nauðsyn ráðist af tölfræðilegri fylgni og þar með hlutlægum forsendum. Áreiðanleiki upplýsinga sé tryggður með því að veita einstaklingum aðgang að lista yfir öll vanskilamál sem komi til álita við matið, auk þess að bjóða þeim að koma á framfæri athugasemdum og andmælum. Óáreiðanlegum eða ófullkomnum skráningum sé eytt án tafar. Kvartandi hafi hvorki gert athugasemdir um notkun óáreiðanlegra né rangra upplýsinga. Upplýsingarnar um greiðsluaðlögun kvartanda hafi komið úr Lögbirtingarblaðinu og upplýsingar um árangurslaust fjárnám sem gert hafi verið hjá kvartanda hafi komið frá sýslumanni. Tölfræðilíkan Creditinfo sé uppfært reglulega og upplýsingarnar komi úr opinberum gögnum og skrám Creditinfo.

Forsendur og niðurstaða

Lagaumhverfi

15. Mál þetta lýtur að notkun Creditinfo á upplýsingum um söguleg vanskil kvartanda, við gerð lánshæfismats, sem afmáðar höfðu verið úr vanskilaskrá. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 2. mgr. 1. gr., 1. mgr. 4. gr. og 1. mgr. 39. gr. laganna.

16. Creditinfo telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

17. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Í framkvæmd hefur vinnsla persónuupplýsinga í starfsemi Creditinfo almennt verið studd við vinnsluheimild byggða á nauðsyn vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

18. Til þess að vinnsla geti talist heimil á grundvelli tilvitnaðra ákvæða þarf þremur skilyrðum að vera fullnægt. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir. Í öðru lagi þarf vinnslan að vera nauðsynleg í þágu hinna lögmætu hagsmuna. Í þriðja lagi mega hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hinir lögmætu hagsmunir sem vísað er til. Með þriðja skilyrðinu er gerður áskilnaður um hagsmunamat, þar sem hinir lögmætu hagsmunir af því að vinnslan fari fram eru vegnir andspænis hagsmunum hins skráða.

19. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins og a-liður reglugerðarákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi (2. tölul. lagaákvæðisins og b-liður reglugerðarákvæðisins); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilganginn (3. tölul. lagaákvæðisins og c-liður reglugerðarákvæðisins); að þær skuli vera áreiðanlegar (4. tölul. lagaákvæðisins og d-liður reglugerðarákvæðisins); og að þær skuli ekki varðveittar lengur en þörf krefur miðað við tilgang vinnslunnar (5. tölul. lagaákvæðisins og e-liður reglugerðarákvæðisins). Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli umræddar meginreglur og skal hann geta sýnt fram á það, sbr. 2. mgr. laga- og reglugerðarákvæðisins.

20. Fjallað er um rétt hins skráða, eftir því sem við á, til að fá óáreiðanlegar upplýsingar sínar leiðréttar, svo og að fá upplýsingum eytt eða vinnslu þeirra takmarkaða, í 13. gr. reglugerðar nr. 606/2023, sbr. 1. mgr. 20. gr. laga nr. 90/2018, sbr. 17. gr. reglugerðar (ESB) 2016/679. Samkvæmt 1. mgr. síðastnefnda ákvæðisins er ábyrgðaraðila skylt að eyða persónuupplýsingum án ótilhlýðilegrar tafar meðal annars ef upplýsingarnar eru ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra eða annarri vinnslu þeirra (a-liður) og ef hinn skráði andmælir vinnslunni samkvæmt 1. mgr. 21. gr. reglugerðarinnar og ekki eru fyrir hendi lögmætar ástæður fyrir vinnslunni sem ganga framar andmælunum (c-liður).

21. Við mat á lögmæti vinnslu persónuupplýsinga verður einnig að líta til ákvæða í öðrum lögum og réttarheimildum sem við eiga hverju sinni.

22. Lánveitendum er skylt að meta lánshæfi neytenda áður en gerður er samningur um neytendalán og fasteignalán, sbr. 10. og 11. gr., sbr. k-lið 5. gr. laga nr. 33/2013 um neytendalán, og 20. og 28. gr., sbr. 17. tölul. 4. gr. laga nr. 118/2016 um fasteignalán til neytenda.

23. Eins og rakið hefur verið hafði kvartandi í máli þessu fengið samþykkta greiðsluaðlögun, en þar er um að ræða lögbundið úrræði, þ.e. samkvæmt lögum nr. 101/2010 um greiðsluaðlögun einstaklinga. Í 1. gr. laganna er það sagt markmið þeirra að gera einstaklingum í verulegum greiðsluerfiðleikum kleift að endurskipuleggja fjármál sín og koma á jafnvægi milli skulda og greiðslugetu þannig að raunhæft sé að skuldari geti staðið við skuldbindingar sínar um fyrirsjáanlega framtíð. Í því sambandi segir jafnframt í athugasemdum frumvarpsgreinargerðar við umrætt ákvæði að með greiðsluaðlögun eigi að gera fólki kleift að ná tökum á fjármálum sínum og byrja upp á nýtt. Þá liggur fyrir að margvísleg skilyrði eru sett fyrir því að einstaklingur fái greiðsluaðlögun. Meðal þess sem þau lúta að er undanfarandi háttsemi einstaklings sem segja má að gefi vísbendingu um hvort hann hafi til að bera greiðsluvilja eða leitist við að sýna ábyrgð í fjármálum, sbr. m.a. e-, h-, og k-liði 6. gr. laganna, en slíkir þættir geta komið til skoðunar í tengslum við lánshæfi einstaklings.

24. Kveðið var á um gerð skýrslna um lánshæfi einstaklinga í 3. gr. starfsleyfis Persónuverndar til Creditinfo, dags. 1. mars 2023, sem í gildi var á þeim tíma er mat á lánshæfi kvartanda, sem hér er til umfjöllunar, fór fram. Í 1. málsl. 1. mgr. 3. gr. starfsleyfisins sagði að fjárhagsupplýsingastofu væri heimilt, í samræmi við skilyrði 3. gr., að gera skýrslur um lánshæfi einstaklinga á grundvelli tölfræðilíkans sem mæti líkur á greiðslufalli og færslu upplýsinga á skrá um fjárhagsmálefni og lánstraust einstaklinga. Þá sagði í 1. málsl. 2. mgr. sama ákvæðis að fjárhagsupplýsingastofu væri heimilt að vinna með upplýsingar úr opinberum gögnum við gerð skýrslna um lánshæfi, auk upplýsinga sem hinn skráði samþykkti með óþvingaðri, sértækri, upplýstri og ótvíræðri viljayfirlýsingu að notaðar væru við gerð slíkra skýrslna. Í 2. málsl. 2. mgr. ákvæðis 5.3 í starfsleyfinu sagði meðal annars að heimilt væri að nýta upplýsingar um kröfur, sem afskráðar hefðu verið af vanskilaskrá, í þágu gerðar skýrslna um lánshæfi að beiðni hins skráða, í að hámarki eitt ár frá því að kröfu hefði verið komið í skil eða skráning á henni náð fjögurra ára aldri.

25. Reglugerð nr. 606/2023 var sett í gildistíð framangreinds starfsleyfis Creditinfo. Í 5. gr. reglugerðarinnar, þar sem fjallað er almennt um heimila vinnslu, segir að fjárhagsupplýsingastofu sé einungis heimilt að vinna með persónuupplýsingar sem séu áreiðanlegar og hafi afgerandi þýðingu við mat á fjárhagsstöðu og lánstrausti einstaklings eða lögaðila, sbr. 1. mgr. ákvæðisins. Í 2. mgr. sama ákvæðis segir að fjárhagsupplýsingastofa skuli tryggja að farið sé að öllum meginreglum um vinnslu persónuupplýsinga og geta á hverjum tíma sýnt fram á það, sbr. 8. gr. laga nr. 90/2018 og 5. gr. reglugerðar (ESB) 2016/679, þ. á m. að þær upplýsingar sem unnið er með og útreikningur á grundvelli þeirra veiti sem réttasta mynd af fjárhagsstöðu og lánstrausti viðkomandi og að ekki séu unnar aðrar upplýsingar en þær sem eru nauðsynlegar miðað við tilgang vinnslunnar. Í 1. mgr. 9. gr. reglugerðarinnar segir að fjárhagsupplýsingastofu sé heimilt að gera skýrslu um lánshæfi og miðla henni til þriðja manns. Í 2. mgr. sama ákvæðis segir að skýrsla um lánshæfi skuli byggjast á áreiðanlegum upplýsingum sem hafi afgerandi þýðingu og veiti áreiðanlegar vísbendingar um líkindi þess hvort viðkomandi einstaklingur eða lögaðili geti efnt lánssamning. Í 3. mgr. segir að við mat á lánshæfi einstaklings sé fjárhagsupplýsingastofu eingöngu heimilt að afla og vinna upplýsingar úr opinberum gögnum og skrám sínum skv. III. kafla og aðeins að því marki sem nauðsynlegt sé til að framkvæma áreiðanlegt mat. Sá kafli reglugerðarinnar kveður annars vegar á um skrá um opinberar gjörðir, sbr. 7. gr., og hins vegar vanskilaskrá, sbr. 8. gr. reglugerðarinnar.

26. Tekið skal fram að vinnslu persónuupplýsinga hjá fjárhagsupplýsingastofu, sem fram fór eftir gildistöku reglugerðar nr. 606/2023, verður að meta í ljósi þeirrar reglugerðar eins og hana ber að túlka í samræmi við lög nr. 90/2018 og reglugerð (ESB) 2016/679. Fyrrnefnt starfsleyfi 1. mars 2023 var reist á eldri reglugerð nr. 246/2001 og er ljóst, að framangreindu gættu, að atriði í leyfinu, sem ekki fá samrýmst hinni nýrri reglugerð, víkja fyrir ákvæðum hennar að því marki sem á slíkt kann að reyna hverju sinni, sbr. og fyrri umfjöllun Persónuverndar þar að lútandi, m.a. bréf til Neytendasamtakanna og VR, dags. 6. desember 2023 (mál nr. 2023111903).

Niðurstaða

27. Í framkvæmd sinni hefur Persónuvernd litið svo á að vinnsla persónuupplýsinga sem fram fer í upplýsingakerfum Creditinfo, í tengslum við gerð skýrslna um lánshæfi, geti verið heimil á grundvelli 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. t.d. úrskurði stofnunarinnar frá 11. september 2020 (mál nr. 2020010592) og 24. júní 2022 (mál nr. 2021030710).

28. Til þess að heimilt sé að vinna með persónuupplýsingar á grundvelli tilvitnaðra ákvæða um lögmæta hagsmuni sem vinnsluheimild þurfa þrjú skilyrði að vera uppfyllt, sbr. umfjöllun í efnisgrein 18. Við mat á því hvort fyrsta skilyrðinu er fullnægt, þ.e. hvort lögmætir hagsmunir ábyrgðaraðila eða þriðja manns séu fyrir hendi, hefur meginþýðingu hvort hagsmunirnir samrýmast gildandi rétti. Creditinfo vinnur lánshæfismat fyrir lánveitendur samkvæmt lögum nr. 33/2013 og 118/2016, sbr. reglugerð nr. 606/2023, þ.m.t. um kvartanda, gegn endurgjaldi. Er því um viðskiptahagsmuni félagsins að ræða sem styðjast við gildandi rétt, en jafnframt hagsmuni lánveitenda af að standa að lánveitingum á ábyrgan og lögmætan hátt. Verður samkvæmt því að leggja til grundvallar að Creditinfo, auk einstakra lánveitenda, hafi lögmæta hagsmuni af vinnslunni.

29. Hvað annað skilyrðið varðar, þ.e. hvort vinnslan er nauðsynleg í þágu hinna lögmætu hagsmuna, telur Persónuvernd ljóst að vinnsla persónuupplýsinga við gerð skýrslna um lánshæfi sé grundvöllur þess að Creditinfo geti veitt lánveitendum þjónustu í tengslum við lagaskyldu sem á þeim hvílir til að meta lánshæfi neytenda, sbr. 10. og 11. gr. laga nr. 33/2013 og 20. og 28. gr. laga nr. 118/2016. Þá áskilur 2. mgr. 9. gr. reglugerðar nr. 606/2023 að skýrsla fjárhagsupplýsingastofu um lánshæfi sé reist á áreiðanlegum upplýsingum sem hafi afgerandi þýðingu og veiti áreiðanlegar vísbendingar um líkindi þess að viðkomandi einstaklingur eða lögaðili geti efnt lánssamning. Slíkar vísbendingar geta komið fram í viðskiptasögu eða upplýsingum úr gagnagrunnum um fjárhagsmálefni og lánstraust, sbr. til hliðsjónar k-lið 5. gr. laga nr. 33/2013 og 17. tölul. 4. gr. laga nr. 118/2016. Teljast upplýsingar um söguleg vanskil því geta verið fjárhagsupplýsingastofu nauðsynlegar í þágu lögmætra hagsmuna af gerð umræddra skýrslna.

30. Við mat á lögmætum hagsmunum af vinnslu andspænis hagsmunum hins skráða, samkvæmt þriðja skilyrði beitingar vinnsluheimildarinnar, verður auk framangreinds að líta til almannahagsmuna af ábyrgum lánveitingum og hindrun á óhóflegri skuldsetningu neytenda. Þessir almannahagsmunir eiga samleið með áðurnefndum hagsmunum lánveitenda af að geta farið að neytendalöggjöf og þeim viðskiptahagsmunum Creditinfo sem því tengjast. Jafnframt ber hins vegar að líta til hagsmuna hins skráða af því að hafa aðgengi að lánafyrirgreiðslu án verulega íþyngjandi takmarkana, t.d. aukins vaxtaálags, en slíkt getur verið fólki mikilvægt í daglegu lífi, þ. á m. vegna húsnæðisöryggis og óvæntra útgjalda sem upp geta komið. Getur það einnig fallið undir almannahagsmuni að hugað sé að slíku en nefna má að samkvæmt norrænni réttarframkvæmd er hliðstæð vinnsla og hér er til umfjöllunar álitin geta verið heimil á grundvelli e-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, enda byggist hún þá jafnframt á ítarlegum lagaákvæðum, sbr. 3. mgr. sömu greinar, gagnstætt því sem er hér á landi.

31. Í tengslum við framangreint hagsmunamat verður að líta til meginreglna 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, sbr. umfjöllun í efnisgrein 19, með hliðsjón af þeim umkvörtunarefnum sem fram koma í kvörtun. Athugast í því sambandi að kvartandi var upplýst um forsendurnar að baki lánshæfismati sínu auk þess sem henni var veitt færi á að gera athugasemdir við allar skráningar og óska leiðréttingar, en í ljósi þess verða ekki gerðar sérstakar athugasemdir við gagnsæi vinnslunnar. Hvað sanngirni vinnslunnar varðar hefur Creditinfo gert sennilegt með tölfræðilíkani sínu að tíðni vanskila í hópi einstaklinga sem eiga álíka gömul vanskil og kvartandi, sé umtalsvert hærri en hjá þeim einstaklingum sem eiga enga sögu um vanskil. Fyrir liggur að kvartandi hafði fengið samþykkta greiðsluaðlögun og getur í því sambandi reynt á markmið laga um það úrræði, nr. 101/2010 með hliðsjón af þeim skilyrðum sem umsækjendur um það verða að uppfylla, sbr. umfjöllun í efnisgrein 23. Í þeim efnum verður ekki litið framhjá skýringum Creditinfo um verulega auknar líkur á vanskilum þeirra sem notið hafa úrræðisins, en þær hljóta að hafa þýðingu í málinu, m.a. í ljósi sjónarmiða um jafnræði einstaklinga úr þeim hópi og annarra einstaklinga sem sæta vinnslu upplýsinga um lánshæfi sitt. Telur Persónuvernd umrædd lög því ekki hafa sérstök áhrif í máli þessu hvað snertir sanngirni vinnslunnar, enda verður ekki séð að markmið laganna sé að gera einstaklingum kleift að stofna til nýrra fjárhagsskuldbindinga, eftir að greiðsluaðlögunarsamningur kemst á, án þess að vanskilasaga þeirra kæmi til skoðunar.

32. Tilgangur vinnslunnar telst jafnframt skýrt afmarkaður með vísan til laga nr. 33/2013 og 118/2016 og reglugerðar nr. 606/2023, líkt og rakið er í efnisgreinum 22, 24 og 25, og hefur ekkert komið fram sem bendir til þess að Creditinfo hafi notað annars konar upplýsingar um söguleg vanskil kvartanda en þær sem talist geta nauðsynlegar í þágu þess tilgangs. Til að tryggja áreiðanleika var kvartanda veittur fullur aðgangur að lista yfir þau vanskilamál sem kæmu til álita við mat á lánshæfi og jafnframt veitt tækifæri til að andmæla, líkt og áður segir. Þær upplýsingar sem unnar voru vörðuðu kröfur á hendur kvartanda sem voru gefnar eftir með greiðsluaðlögunarsamningi, sem liggur fyrir í málinu. Samkvæmt grein 5.7 í þeim samningi voru engar kröfur umdeildar. Þær kröfur sem samningurinn náði til voru samkvæmt þessu óumdeildar, óháð þeim athugasemdum sem kvartandi hefur að öðru leyti gert í tengslum við þær, og teljast því áreiðanlegar í þeim tilgangi sem þær voru nýttar. Þá verður ekki séð, m.a. í ljósi skýringa Creditinfo varðandi líkur á vanskilum þeirra sem fá greiðsluaðlögun, að eins og hér háttar til hafi verið unnið með upplýsingar umfram eðlileg tímamörk í ljósi tilgangs vinnslunnar. Með hliðsjón af umræddum skýringum, og því sem fyrr greinir um gildi starfsleyfisins 1. mars 2023 gagnvart hinni nýju reglugerð nr. 606/2023, sbr. efnisgrein 26, verður jafnframt ekki séð að 5. gr. leyfisins hafi haft þýðingu í þeim efnum.

33. Hvað varðar umkvörtunarefni, er lúta að afturvirkni ákvæða reglugerðar nr. 606/2023, hefur það grundvallarsjónarmið verið talið gilda í íslenskum rétti að réttarstaða einstaklinga ákvarðist af gildandi rétti hverju sinni, þó svo að atvik sem ráði beitingu lagareglu hafi átt sér stað fyrir gildistöku hennar. Persónuvernd telur verða að leggja til grundvallar að Creditinfo hafi í umrætt sinn beitt gildandi rétti við vinnslu sem fram fór af hálfu félagsins þann 24. nóvember 2023, eftir gildistöku reglugerðarinnar, annars vegar í samræmi við þá lagaskyldu sem hvíldi á lánveitendum og hins vegar í samræmi við þá skyldu sem hvíldi á félaginu samkvæmt 1. mgr. 5. gr. og 2. mgr. 9. gr. sömu reglugerðar um að byggja skýrslu um lánshæfi kvartanda á áreiðanlegum upplýsingum sem hefðu afgerandi þýðingu og veittu áreiðanlegar vísbendingar um líkindi þess hvort einstaklingur gæti efnt lánssamning. Ekki verður séð að Creditinfo hefði verið stætt á því að veita einstaklingum ólíka meðferð við mat á lánshæfi þeirra, eftir því hvenær kröfur þeirra voru afskráðar af vanskilaskrá m.t.t. gildistöku reglugerðar nr. 606/2023. Vinnsla á slíkum forsendum myndi að mati Persónuverndar geta talist andstæð áðurnefndum lögum og stjórnvaldsfyrirmælum. Ekki verður því séð að við gildistöku reglugerðar nr. 606/2023 hafi verið raskað varanlegum réttindum kvartanda sem til hafi stofnast í gildistíð eldri reglugerðar og starfsleyfis.

34. Hvað snertir þann hluta kvörtunarinnar er lýtur að því að Creditinfo hafi borið að eyða upplýsingunum varanlega og ekki nota þær áfram, sbr. umfjöllun í efnisgreinum 8 og 20, er til þess að líta að Persónuvernd hefur nokkrum sinnum áður tekið þá afstöðu að Creditinfo hafi verið heimilt að notast við upplýsingar um afmáðar skráningar á vanskilaskrá við gerð lánshæfismats um einstaklinga. Vísast um það nú síðast til úrskurðar Persónuverndar, dags. 18. mars 2021 í máli nr. 2020010708, sbr. einnig bréf stofnunarinnar til Neytendasamtakanna og VR, dags. 6. desember 2023 (mál nr. 2023111903). Persónuvernd telur sömu sjónarmið hafa átt við í því máli sem hér er til úrlausnar, miðað við það tímabil sem kvörtun lýtur að, og byggt var á í tilvísuðum málum.

35. Að öllu framangreindu virtu er það niðurstaða Persónuverndar að vinnsla Creditinfo á upplýsingum um söguleg vanskil kvartanda við gerð skýrslu um mat á lánshæfi hennar hafi byggst á heimild samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þá telur Persónuvernd vinnsluna að öðru leyti hafa samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679, sbr. einkum meginreglur 8. gr. laganna og 5. gr. reglugerðarinnar.

Ú r s k u r ð a r o r ð:

Vinnsla Creditinfo Lánstrausts hf. á persónuupplýsingum um [A], við gerð skýrslu um lánshæfismat hennar, samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Persónuvernd, 18. desember 2025

Dóra Sif Tynes
formaður

Árnína Steinunn Kristjánsdóttir

Gunnar Ingi Ágústsson

Jónas Sturla Sverrisson

Thor Aspelund