Úrskurður

um kvörtun yfir vinnslu Creditinfo Lánstrausts hf. á persónuupplýsingum, í máli nr. 2025020530 (áður 2024121791):

Málsmeðferð

1. Hinn 29. nóvember 2024 barst Persónuvernd kvörtun frá [B] lögmanni, f.h. [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga hennar við gerð skýrslu um lánshæfi hjá Creditinfo Lánstrausti hf. (hér eftir Creditinfo).

2. Persónuvernd bauð Creditinfo að tjá sig um kvörtunina með bréfi 20. ágúst 2025, og bárust svör 10. september s.á. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör Creditinfo með bréfi 17. s.m. og bárust þær með bréfi, 1. október 2025.

3. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í úrskurði þessum.

Ágreiningsefni

4. Ágreiningur er um hvort Creditinfo hafi verið heimilt, við gerð skýrslu um lánshæfi kvartanda, að vinna upplýsingar um söguleg vanskil hennar, þ.e. í fjögur ár frá afskráningu upplýsinganna af vanskilaskrá félagsins. Einnig er ágreiningur um hvort upplýsingagjöf Creditinfo til kvartanda í tengslum við vinnslu persónuupplýsinga hennar hafi verið í samræmi við lög.

Atvik máls og fyrirliggjandi gögn

5. Mál þetta má rekja til þess að kvartandi var úrskurðuð gjaldþrota í maí 2020. Fram kemur í kvörtun að í aðdraganda gjaldþrotsins hafi nokkrar færslur verið skráðar á vanskilaskrá kvartanda hjá Creditinfo er lutu meðal annars að árangurslausu fjárnámi, greiðsluáskorun Innheimtustofnunar sveitarfélaga og innköllun vegna gjaldþrotaskiptanna. Framangreindar skráningar fóru fram á tímabilinu frá maí 2018 til maí 2020. Allar vanskilaskráningar kvartanda voru afskráðar þegar tvö ár voru liðin frá skiptalokum, þ.e. þann 4. maí 2022.

6. Þann 23. nóvember 2023 uppfærði Creditinfo lánshæfismat einstaklinga og gerði breytingar á áhrifaþáttum í samræmi við nýja reglugerð nr. 606/2023, sem tók gildi 1. september 2023. Í kjölfar þeirrar uppfærslu lækkaði lánshæfismat kvartanda og fór niður um samtals sex flokka. Vegna framangreinds óskaði kvartandi skýringa hjá Creditinfo með tölvupósti 27. nóvember 2023. Í kjölfarið áttu sér stað samskipti milli kvartanda og Creditinfo, sem rakin eru hér að neðan að því marki sem þau hafa þýðingu fyrir úrlausn málsins.

7. Fyrir liggur að Creditinfo upplýsti kvartanda, 27. nóvember 2023, um að eftir fyrrnefnda uppfærslu Creditinfo á lánshæfismati einstaklinga hafi þær breytingar verið gerðar að fyrrum vanskil hefðu nú áhrif til lækkunar í fjögur ár frá afskráningu upplýsinganna af vanskilaskrá. Kvartandi var jafnframt upplýst um hvar hún gæti fundið áhrifaþætti í sínu lánshæfismati. Sama dag óskaði kvartandi eftir yfirliti yfir allar skráningar sem hefðu áhrif og hvenær þær hefðu verið skráðar. Með erindi kvartanda fylgdi skjáskot yfir fyrrum skráningar kvartanda á vanskilaskrá. Kvartandi fékk þá þau svör frá Creditinfo að allar fyrrum skráningar væri að finna á lánshæfismati hennar og henni bent á að matið uppfærðist daglega. Kvartanda var jafnframt leiðbeint um að nánari upplýsingar um áhrifaþætti væri að finna á þjónustuvefnum Mitt Creditinfo.

8. Kvartandi hafði aftur samband 29. nóvember 2023 í gegnum fyrirspurnarkerfi Creditinfo og óskaði enn skýringa á framangreindri lækkun á lánshæfismati sínu. Samdægurs tilkynnti Creditinfo kvartanda um að síðasta afskráða vanskilamál hennar frá maí 2022 hefði haft mest áhrif og í allt að fjögur ár. Samdægurs svaraði kvartandi og benti meðal annars á að framangreind færsla tilheyrði afskráningu frá árinu 2020 og óskaði eftir að hún yrði fjarlægð. Þann 30. s.m. svaraði Creditinfo og benti henni á að hún væri að misskilja svar félagsins og henni leiðbeint um að fyrrum skráð vanskil hefðu áhrif til lækkunar í allt að fjögur ár frá afskráningu af vanskilaskrá félagsins. Creditinfo leiðbeindi þar kvartanda jafnframt um að þessi áhrif á lánshæfismatið færu dvínandi eftir því sem lengri tími liði frá afskráningunni, og lánshæfismatið ætti að hækka samhliða því.

9. Þann 9. desember s.á. óskaði kvartandi upplýsinga sem notaðar væru til að reikna lánshæfismat, m.a. um vægi einstakra breytna og rök sem þar lægju að baki. Creditinfo sendi kvartanda í kjölfarið skýrslu sem sýndi áhrifaþætti og vægi þeirra í lánshæfismati á skráð lögheimili hennar 18. s.m. Samkvæmt skýringum Creditinfo var skýrslan endursend af Íslandspósti til Creditinfo 3. janúar 2024.

10. Kvartandi ítrekaði fyrrnefnda beiðni 16. janúar 2024. Samdægurs var kvartanda send skýrslan að nýju, nú með rafrænum hætti, auk upplýsinga um að áhrif fyrrum skráningar vegi þyngst í hennar tilviki. Kvartanda voru jafnframt sendar almennar upplýsingar um áðurnefnda uppfærslu Creditinfo, auk tilvísunar á vef félagsins með skýringum um að þar væri nánari upplýsingar að finna. Í framhaldinu óskaði kvartandi nánari skýringa, þ.e. hvers vegna lánshæfismat hennar hafi lækkað svo verulega við heildarendurskoðun lánshæfismatsins sem hafi verið birt 23. nóvember 2023. Creditinfo svaraði kvartanda sama dag og upplýsti hana um að ekki yrðu veittar nánari upplýsingar um framkvæmd og útreikninga lánshæfismatsins með vísan til hugverkaréttinda félagsins.

11. Þann 15. apríl 2024 óskaði kvartandi enn frekari upplýsinga ásamt aðgangi að gögnum frá Creditinfo. Degi síðar sendi Creditinfo kvartanda skýrslu sem innihélt afrit upplýsinga auk skýrslu með útskýringum á lánshæfismati hennar, vægi breytna og skýringum á breytum. Samkvæmt skýringum Creditinfo er hin síðarnefnda skýrsla sú sama og send var fyrst á skráð lögheimili kvartanda, 18. desember 2023, og aftur í kjölfar ítrekunar kvartanda 16. janúar 2024, sbr. umfjöllun í efnisgreinum 9-10 hér að framan. Kvartandi óskaði enn frekari skýringa þann 3. júlí s.á. og svör Creditinfo bárust 5. s.m., þar sem kvartanda var afhent skýrsla með útskýringum á lánshæfismati hennar, vægi breytna og skýringum á breytum auk ítarlegri útskýringa á þeim áhrifavöldum sem reiknuðust til lækkunar á lánshæfismatinu.

Sjónarmið aðila

Helstu sjónarmið kvartanda

12. Kvartandi telur skýringar Creditinfo sýna að við gerð skýrslu um lánshæfi hennar í kjölfar uppfærslu félagsins 23. nóvember 2023 hafi félagið sett nýja reglu um að leggja ætti megináherslu á afskráningu upplýsinga af vanskilaskrá í fjögur ár frá afskráningu. Telur kvartandi skýra lagastoð hafa skort fyrir slíkri vinnslu. Kvartandi fái vandséð hvernig upplýsingar um afskráningu af vanskilaskrá geti haft meiri, frekari og lengri áhrif á lánshæfismat heldur en gjaldþrotið sjálft.

13. Kvartandi telur jafnframt að Creditinfo hafi verið óheimilt að beita slíkri reglu með afturvirkum hætti. Nánar tiltekið hafi Creditinfo verið óheimilt að nýta gögn sem voru í gagnagrunni og skrám félagsins fyrir gildistöku reglugerðar nr. 606/2023 um vinnslu upplýsinga um fjárhagsmálefni og lánstraust 1. september 2023, líkt og félagið hafi gert í kjölfar uppfærslunnar 23. nóvember 2023.

14. Þá er það mat kvartanda að skort hafi á gagnsæi við vinnslu persónuupplýsinganna í andstöðu við skilyrði 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. 2. mgr. 5. gr. reglugerðar nr. 606/2023 og að engar upplýsingar hafi legið fyrir frá Creditinfo um hvaða reglur hafi gilt við vinnslu persónuupplýsinga við gerð lánshæfismats sem birtist í skýrslu um lánshæfi.

15. Kvartandi telur jafnframt að Creditinfo hafi hvorki fært rök fyrir því að vinnsla upplýsinga, sem hafi verið afskráðar af vanskilaskrá fyrir tveimur árum, réttlæti slíka lækkun á lánshæfiseinkunn hennar né að þær veiti sem réttustu mynd af fjárhagsstöðu og lánstrausti hennar. Með vísan til þess hafi Creditinfo brotið gegn 2. mgr. 9. gr., sbr. 5. gr., reglugerðar nr. 606/2023 með vinnslunni.

16. Að mati kvartanda hafi vinnsla Creditinfo jafnframt brotið gegn 5.3. gr. í starfsleyfi félagsins, sem mæli fyrir um skyldu félagsins til að afskrá upplýsingar af vanskilaskrá þegar kröfum hefur verið komið í skil eða þegar 4 ár eru liðin frá skráningu. Ákvæðið beri að skilja svo að Creditinfo beri ávallt að afskrá upplýsingarnar þegar 4 ár eru liðin frá skráningunni. Það feli þannig ekki í sér heimild til handa Creditinfo að láta afskráninguna sjálfa hafa sérstakt neikvætt vægi sem gildi í 4 ár frá afskráningu. Með þessu hafi Creditinfo ákveðið að láta skráningu á vanskilaskrá halda gildi sínu í allt að 8 ár frá skráningu, þ.e. fyrst á grundvelli skráningarinnar sjálfrar í 4 ár og svo aftur á grundvelli afskráningar í önnur 4 ár. Kvartandi telur þessa vinnslu ekki eiga sér stoð í reglugerð nr. 606/2023 og vera andstæða fyrrgreindum fyrirmælum í starfsleyfi félagsins og meginreglum persónuverndarlöggjafarinnar.

17. Loks er það mat kvartanda að svör Creditinfo hafi ekki uppfyllt kröfur 2. mgr. 12. gr. reglugerðar nr. 606/2023. Creditinfo hafi ekki veitt umbeðnar upplýsingar innan tilskilins tíma og rökstuðningur félagsins varðandi vægi einstakra breytna við útreikning á lánshæfismati hafi verið fullnægjandi. Nánar tiltekið hafi ekkert komið fram í svörum Creditinfo sem hafi getað gefið kvartanda færi á að reikna út eða gera sér grein fyrir hvernig mat á lánshæfi væri ákvarðað. Þá væri ómögulegt að átta sig á hvernig tímalengd frá afskráningu á vanskilaskrá lækki lánshæfismatið og þá um hversu marga flokka. Áréttar kvartandi hina ríku upplýsingaskyldu Creditinfo, sérstaklega þegar um ræði sjálfvirka ákvörðunartöku sem hafi verulega íþyngjandi áhrif á einstaklinga. Creditinfo sé í einokunarstöðu á markaði og hafi afgerandi áhrif á réttindi kvartanda. Creditinfo hafi því ekki getað hafnað að verða við beiðni hennar um fullnægjandi upplýsingar um þá aðferðarfræði sem lögð er til grundvallar við útreikning á lánshæfismati hennar með vísan til hugverkaréttinda.

Helstu sjónarmið Creditinfo Lánstrausts hf.

18. Creditinfo byggir á því að félagið hafi heimild til að vinna með persónuupplýsingar um fjárhagsmálefni og lánstraust einstaklinga á grundvelli reglugerðar nr. 606/2023, sbr. 15. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Creditinfo starfi samkvæmt gildandi starfsleyfi Persónuverndar og lúti eftirliti stofnunarinnar að því marki sem kveðið sé á um í fyrrgreindri reglugerð.

19. Creditinfo vísar til þess að samkvæmt lögum nr. 33/2013 um neytendalán og lögum nr. 118/2016 um fasteignalán til neytenda hvíli lagaskylda á lánveitendum til að meta lánshæfi lántaka áður en lán er veitt. Til að uppfylla þá skyldu sé nauðsynlegt að unnt sé að leggja mat á lánshæfi á grundvelli áreiðanlegra upplýsinga, þar á meðal upplýsinga um fyrri vanskil. Slíkar upplýsingar séu mikilvægasti einstaki þátturinn við mat á því hvort einstaklingur muni standa við skuldbindingar í framtíðinni og séu því óhjákvæmilegar til að tryggja ábyrga lánastarfsemi.

20. Hvað varðar heimild Creditinfo til að vinna með upplýsingar um fyrri vanskil við gerð skýrslna um lánshæfi skráðra einstaklinga vísar félagið til þess að með setningu reglugerðar nr. 606/2023 hafi fyrirkomulag vinnslu breyst frá því sem áður var. Reglugerðin leggi áherslu á að heimilt sé að nota áreiðanlegar og marktækar upplýsingar sem hafi afgerandi þýðingu við mat á fjárhagsstöðu og lánstrausti, án þess að tiltekið sé tímamark um hversu langt aftur megi líta. Tímamörk sem áður voru í eldri reglugerð nr. 246/2001 hafi verið felld brott, og mat á því hvaða upplýsingar hafi afgerandi þýðingu í þessu sambandi sé nú í höndum fjármálaupplýsingastofu, líkt og Creditinfo.

21. Vísar Creditinfo til þess sögulegar upplýsingar um vanskil hafi mest afgerandi þýðingu og veiti áreiðanlegustu vísbendinguna um líkindi þess hvort einstaklingur muni efna lánssamning í framtíð. Tölfræðilegir útreikningar Creditinfo, sem byggja á tölfræði til ágúst 2025, sýni að almennt séu aðilar sem fóru af vanskilaskrá fyrir 12-24 mánuðum tíu sinnum líklegri til að lenda á vanskilaskrá á næstu 12 mánuðum en aðilar sem eigi enga sögu um fyrri vanskil. Útreikningarnir sýni jafnframt að aðilar sem fóru af vanskilaskrá fyrir 24-36 mánuðum séu almennt rúmlega sjö sinnum líklegri til að lenda á vanskilaskrá á næstu 12 mánuðum en aðilar sem eigi enga sögu um fyrri vanskil. Loks sýni útreikningarnir fram á að aðilar sem fóru á vanskilaskrá fyrir 36-48 mánuðum séu tæplega sex sinnum líklegri til að lenda á vanskilaskrá á næstu 12 mánuðum en aðilar sem eigi enga sögu um fyrri vanskil.

22. Með vísan til framangreinds meti Creditinfo sem svo að tölfræðin staðfesti að sögulegar upplýsingar um vanskil, í allt að fjögur ár frá afskráningu þeirra hafi afgerandi þýðingu við mat á lánshæfi einstaklinga. Vægi breytunnar breytist þannig eftir aldri upplýsinganna og við mat á lánshæfi taki Creditinfo líka tillit til skráningardagsetningar mála og að almennt séð minnki áhrif líka eftir því sem lengra líði frá skráningu máls á skrá.

23. Vísar Creditinfo til þess að í tilviki kvartanda hafi verið unnið með upplýsingar um vanskil hennar sem skráð voru á vanskilaskrá félagsins. Síðast hafi það verið upplýsingar um skiptalok sem voru auglýst í Lögbirtingarblaðinu. Gögnin hafi verið áreiðanleg enda hafi þau byggst á opinberri auglýsingu af hálfu skiptastjóra og hafi afgerandi þýðingu, eins og fyrrnefndir tölfræðilegir útreikningar sýni. Umræddar tölfræðilegar niðurstöður hafi legið til grundvallar þegar lánshæfismatið var endurþjálfað í uppfærslunni í nóvember 2023. Það hafi verið gert til að tryggja áreiðanleika við matið. Vinnsla Creditinfo á upplýsingum um fyrri vanskil kvartanda höfðu því afgerandi þýðingu við mat á fjárhagsstöðu og lánstrausti hennar, og þær upplýsingar einnig verið langmikilvægasti áhrifaþátturinn við matið. Vanskilatíðni einstaklinga sem eiga sér vanskilasögu sem sé sambærileg þeim sem áttu við í tilfelli kvartanda þegar atvik urðu er kvörtun lýtur að, væri um þrettán sinnum hærri en hjá einstaklingum sem ekki væru með nein merki um fyrri vanskil.

24. Hvað varði kröfur um lögmæti, sanngirni og gagnsæi vinnslunnar, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, áréttar Creditinfo að líta þurfi heildstætt á málið. Ákvæði 9. gr. reglugerðar nr. 606/2023 veiti skýra heimild til að nýta upplýsingar sem þegar séu til staðar í gagnagrunnum og skrám Creditinfo. Auk þess stefni reglugerð nr. 606/2023, ákvæði laga nr. 33/2013 og laga nr. 118/2016 um fasteignalán til neytenda að því sameiginlega markmiði að stuðla að ábyrgum lánveitingum og koma í veg fyrir ofskuldsetningu. Áreiðanlegar vísbendingar um líkindi þess hvort lántaki geti efnt lánssamning sé lögbundið skilyrði þess að lánveitandi geti varist því að brjóta ákvæði laga með ólögmætum lánveitingum. Hagsmunir lántaka séu þeir sömu, enda sé honum enginn greiði gerður með lántöku, séu auknar líkur á greiðslufalli.

25. Að mati Creditinfo sé vinnslan því í samræmi við meginreglur 8. gr. laga nr. 90/2018 og 5. gr. reglugerðar nr. 606/2023, þar sem unnið sé með lögmætum, sanngjörnum og gagnsæju hætti, á grundvelli lögmætra hagsmuna samkvæmt 6. tölul. 9. gr. laganna. Notkun sögulegra gagna sé nauðsynleg til að tryggja áreiðanlegt mat og til að koma í veg fyrir óábyrgar lánveitingar, sem samræmist markmiðum reglugerðarinnar og hagsmunum neytenda sjálfra.

26. Creditinfo leggi áherslu á gagnsæi í samskiptum við einstaklinga og í tengslum við uppfærslu lánshæfismatsins í nóvember 2023 hafi Creditinfo veitt ítarlegar upplýsingar, meðal annars með tilkynningu á vefsíðu sinni 23. nóvember 2023 og með svörum við algengum spurningum. Á þjónustuvef einstaklinga (Mitt Creditinfo) sé einnig að finna upplýsingar sem séu sérsniðnar þeim sem skrái sig þar inn um áhrifaþætti í lánshæfismati þeirra. Varðandi athugasemdir í kvörtun um ófullnægjandi upplýsingagjöf til kvartanda vísar Creditinfo til þess að kvartanda hafi verið veitt ítarleg skýrsla með upplýsingum um vægi einstakra breytna og rök að baki lánshæfismati hennar, auk aðgangsskýrslu með yfirliti yfir allar persónuupplýsingar sem unnið væri með hjá félaginu.

27. Í þeirri skýrslu sem Creditinfo sendi kvartanda, fyrst 18. desember 2023, svo 16. janúar 2024 og aftur 16. apríl s.á., sbr. umfjöllun í efnisgreinum 10-11 og 13 að framan, hafi verið að finna upplýsingar um vægi einstakra breytna í lánshæfismati hennar. Nánar tiltekið væri í þeirri skýrslu að finna yfirlitstöflu sem sýni áhrifaþætti/breytur í lánshæfismati viðkomandi, vægi þeirra og útskýringu á vægi. Sem dæmi geti áhrifaþátturinn/breytan „Vanskil“, haft vægið „neikvæð áhrif“ og lækkun á lánshæfismati um 3-5 flokka. Áhrifaþátturinn/breytan „Lýðfræði“ geti hins vegar haft „jákvæði áhrif“ og hækkun á lánshæfismati um 3-5 flokka. Í umræddri skýrslu væri jafnframt að finna skýringu um vægi áhrifaþátta í lánshæfismati, þar sem tekið væri dæmi um einstakling sem lítið væri vitað um og hann fengi lánshæfismatið B2, þar sem sýnt væri hvernig mismunandi vægi hefði áhrif til hækkunar eða lækkunar á lánshæfismati hans. Auk framangreinds væri í skýrslunni að finna almennar upplýsingar um hvað lánshæfismat einstaklinga væri og vísun á ítarefni á vef Creditinfo ásamt upplýsingum um möguleikann til að skrá sig á vefinn Mitt Creditinfo til að fá nákvæmar upplýsingar um hvaða vanskilaskráningar, flettingar, vaktanir, o.fl. séu að hafa áhrif. Í skýrslunni væri jafnframt að finna rökstuðning fyrir þeim áhrifaþáttum/breytum sem notaðar væru í lánshæfismati einstaklinga almennt og þar kæmi m.a. fram að sterkasti þátturinn við mat á því hvort einstaklingar stæðu við skuldbindingar sínar væru upplýsingar um hvort þeir hefðu alltaf gert það í fortíð og að söguleg vanskil hefðu mjög neikvæð áhrif sem minnkuðu eftir því sem lengra liði frá vanskilum.

28. Í fyrrnefndri aðgangsskýrslu, sem Creditinfo sendi kvartanda 16. apríl 2024, hafi svo verið að finna yfirlit og almennar útskýringar á öryggisráðstöfunum hjá Creditinfo, vinnslu, tilgangi og lagagrundvelli persónuupplýsinga sem unnið væri með, hverjir væru viðtakendur persónuupplýsinganna og hver uppruni upplýsinganna væri, ásamt upplýsingum um ábyrgð og flokka persónuupplýsinganna. Að sögn Creditinfo var í þeirri skýrslu jafnframt t.d. tafla með öllum uppflettingum sem hefðu verið framkvæmdar á viðkomandi, dagsetningu og viðtakanda upplýsinganna, yfirlit yfir vaktanir sem viðkomandi væri í, skráningar á vanskilaskrá og/eða skrá um opinberar gjörðir, upplýsingar um skráða eignarhluti í félögum og félagaþátttöku, skuldastöðuyfirlit ef viðkomandi miðlaði viðbótarupplýsingum í lánshæfismati, upplýsingar um lánshæfismat og áhrifaþætti, hvort viðkomandi væri skráður í áhættuhóp vegna stjórnmálalegra tengsla og fleira.

29. Creditinfo kveðst hafa sent kvartanda framangreindar upplýsingar innan lögboðins frests og með fullnægjandi hætti. Creditinfo hafi því í öllu tilliti uppfyllt skyldur sínar samkvæmt 12. gr. reglugerðar nr. 606/2023.

30. Að lokum hafnar Creditinfo sjónarmiðum um að óheimilt hafi verið að nýta gögn sem þegar voru til í gagnagrunnum félagsins fyrir gildistöku reglugerðar nr. 606/2023. Vísað er til þess að framangreind reglugerð setji ekki tímamörk fyrir notkun gagna, heldur kveði á um að upplýsingar skuli vera réttar, áreiðanlegar og viðeigandi, óháð aldri þeirra. Vinnsla slíkra gagna sé því heimil að því marki sem þau uppfylla framangreind skilyrði og hafi raunverulega þýðingu við mat á lánshæfi.

Forsendur og lagaumhverfi

31. Mál þetta lýtur að notkun Creditinfo á upplýsingum um söguleg vanskil kvartanda, við gerð lánshæfismats, sem afmáðar höfðu verið úr vanskilaskrá. Auk þess lýtur málið að því hvort Creditinfo hafi gert viðeigandi ráðstafanir til að tryggja réttindi kvartanda til upplýsinga og aðgangs að persónuupplýsingum hennar sem unnar voru hjá félaginu. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 2. mgr. 1. gr., 1. mgr. 4. gr. og 1. mgr. 39. gr. laganna.

32. Creditinfo telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

33. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Í framkvæmd hefur vinnsla persónuupplýsinga í starfsemi Creditinfo almennt verið studd við vinnsluheimild byggða á nauðsyn vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

34. Til þess að vinnsla geti talist heimil á grundvelli tilvitnaðra ákvæða þarf þremur skilyrðum að vera fullnægt. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir. Í öðru lagi þarf vinnslan að vera nauðsynleg í þágu hinna lögmætu hagsmuna. Í þriðja lagi mega hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hinir lögmætu hagsmunir sem vísað er til. Með þriðja skilyrðinu er gerður áskilnaður um hagsmunamat, þar sem hinir lögmætu hagsmunir af því að vinnslan fari fram eru vegnir andspænis hagsmunum hins skráða.

35. Við mat á lögmæti vinnslu persónuupplýsinga verður einnig að líta til ákvæða í öðrum lögum og réttarheimildum sem við eiga hverju sinni.

36. Kemur til skoðunar í því sambandi skylda lánveitenda til að meta lánshæfi neytenda áður en gerður er samningur um neytendalán og fasteignalán, sbr. 10. og 11. gr., sbr. k-lið 5. gr. laga nr. 33/2013 um neytendalán, og 20. og 28. gr., sbr. 17. tölul. 4. gr. laga nr. 118/2016 um fasteignalán til neytenda.

37. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins og a-liður reglugerðarákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi (2. tölul. lagaákvæðisins og b-liður reglugerðarákvæðisins); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilganginn (3. tölul. lagaákvæðisins og c-liður reglugerðarákvæðisins); að þær skuli vera áreiðanlegar (4. tölul. lagaákvæðisins og d-liður reglugerðarákvæðisins); og að þær skuli ekki varðveittar lengur en þörf krefur miðað við tilgang vinnslunnar (5. tölul. lagaákvæðisins og e-liður reglugerðarákvæðisins). Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli umræddar meginreglur og skal hann geta sýnt fram á það, sbr. 2. mgr. laga- og reglugerðarákvæðisins.

38. Kveðið var á um gerð skýrslna um lánshæfi einstaklinga í 3. gr. starfsleyfis Persónuverndar til Creditinfo, dags. 1. mars 2023, sem í gildi var á þeim tíma er sú vinnsla persónuupplýsinga sem hér er til umfjöllunar fór fram. Í 1. málsl. 1. mgr. 3. gr. starfsleyfisins sagði að fjárhagsupplýsingastofu væri heimilt, í samræmi við skilyrði 3. gr., að gera skýrslur um lánshæfi einstaklinga á grundvelli tölfræðilíkans sem mæti líkur á greiðslufalli og færslu upplýsinga á skrá um fjárhagsmálefni og lánstraust einstaklinga. Þá sagði í 1. málsl. 2. mgr. sama ákvæðis að fjárhagsupplýsingastofu væri heimilt að vinna með upplýsingar úr opinberum gögnum við gerð skýrslna um lánshæfi, auk upplýsinga sem hinn skráði samþykkti með óþvingaðri, sértækri, upplýstri og ótvíræðri viljayfirlýsingu að notaðar væru við gerð slíkra skýrslna. Í 2. málsl. 2. mgr. ákvæðis 5.3 í starfsleyfinu sagði meðal annars að heimilt væri að nýta upplýsingar um kröfur, sem afskráðar hefðu verið af vanskilaskrá, í þágu gerðar skýrslna um lánshæfi að beiðni hins skráða, í að hámarki eitt ár frá því að kröfu hefði verið komið í skil eða skráning á henni náð fjögurra ára aldri.

39. Reglugerð nr. 606/2023 um vinnslu persónuupplýsinga um fjárhagsmálefni og lánstraust var sett í gildistíð framangreinds starfsleyfis Creditinfo. Í 5. gr. reglugerðarinnar, þar sem fjallað er almennt um heimila vinnslu, segir að fjárhagsupplýsingastofu sé einungis heimilt að vinna með persónuupplýsingar sem séu áreiðanlegar og hafi afgerandi þýðingu við mat á fjárhagsstöðu og lánstrausti einstaklings eða lögaðila, sbr. 1. mgr. ákvæðisins. Í 2. mgr. sama ákvæðis segir að fjárhagsupplýsingastofa skuli tryggja að farið sé að öllum meginreglum um vinnslu persónuupplýsinga og geta á hverjum tíma sýnt fram á það, sbr. 8. gr. laga nr. 90/2018 og 5. gr. reglugerðar (ESB) 2016/679, þ. á m. að þær upplýsingar sem unnið er með og útreikningur á grundvelli þeirra veiti sem réttasta mynd af fjárhagsstöðu og lánstrausti viðkomandi og að ekki séu unnar aðrar upplýsingar en þær sem eru nauðsynlegar miðað við tilgang vinnslunnar. Í 1. mgr. 9. gr. reglugerðarinnar segir að fjárhagsupplýsingastofu sé heimilt að gera skýrslu um lánshæfi og miðla henni til þriðja manns. Í 2. mgr. sama ákvæðis segir að skýrsla um lánshæfi skuli byggjast á áreiðanlegum upplýsingum sem hafi afgerandi þýðingu og veiti áreiðanlegar vísbendingar um líkindi þess hvort viðkomandi einstaklingur eða lögaðili geti efnt lánssamning. Í 3. mgr. segir að við mat á lánshæfi einstaklings sé fjárhagsupplýsingastofu eingöngu heimilt að afla og vinna upplýsingar úr opinberum gögnum og skrám sínum skv. III. kafla og aðeins að því marki sem nauðsynlegt sé til að framkvæma áreiðanlegt mat. Sá kafli reglugerðarinnar kveður annars vegar á um skrá um opinberar gjörðir, sbr. 7. gr., og hins vegar vanskilaskrá, sbr. 8. gr. reglugerðarinnar.

40. Tekið skal fram að vinnslu persónuupplýsinga hjá fjárhagsupplýsingastofu, sem fram fór eftir gildistöku reglugerðar nr. 606/2023, verður að meta í ljósi þeirrar reglugerðar eins og hana ber að túlka í samræmi við lög nr. 90/2018 og reglugerð (ESB) 2016/679. Fyrrnefnt starfsleyfi 1. mars 2023 var reist á eldri reglugerð nr. 246/2001 og er ljóst, að framangreindu gættu, að atriði í leyfinu, sem ekki fá samrýmst hinni nýrri reglugerð, víkja fyrir ákvæðum hennar að því marki sem á slíkt kann að reyna hverju sinni, sbr. og fyrri umfjöllun Persónuverndar þar að lútandi, m.a. bréf til Neytendasamtakanna og VR, dags. 6. desember 2023 (mál nr. 2023111903).

41. Eins og áður kom fram lýtur kvörtunin jafnframt að því hvort upplýsingagjöf Creditinfo til kvartanda í tengslum við vinnslu persónupplýsinga hafi verið í samræmi við fyrirmæli laga.

42. Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.-15. gr. reglugerðar (ESB) 2016/679. Eins og áður hefur komið fram óskaði kvartandi eftir upplýsingum um lánshæfismat sitt þegar það lá fyrir hjá Creditinfo. Um rétt kvartanda til slíkra upplýsinga fer samkvæmt 15. gr. reglugerðarinnar um rétt skráðs einstaklings til aðgangs að upplýsingum. Í 1. mgr. reglugerðarákvæðisins er meðal annars kveðið á um að skráður einstaklingur skuli eiga rétt á að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og, sé svo, rétt til aðgangs að upplýsingum um meðal annars eftirtalin atriði: tilgang vinnslunnar (a-liður); viðkomandi flokka persónuupplýsinga (b-liður); að fyrir liggi réttur til að fara fram á það við ábyrgðaraðila að láta leiðrétta persónuupplýsingar, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar eða til að andmæla vinnslu (e-liður), ef persónuupplýsinga er ekki aflað hjá hinum skráða, allt sem fyrir liggur um uppruna þeirra (g-liður), og hvort fram fari sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs sem um getur í 1. og 4. mgr. 22. gr. og a.m.k. í þeim tilvikum, marktækar upplýsingar um þau rök sem þar liggja að baki og einnig þýðingu og fyrirhugaðar afleiðingar slíkrar vinnslu fyrir hinn skráða (h-liður). Upplýsingar um aðgerðir sem gripið er til vegna beiðni samkvæmt 15. gr. reglugerðar (ESB) 2016/679, skal veita skráðum einstaklingi án ótilhlýðilegrar tafar og hvað sem öðru líður innan mánaðar frá viðtöku beiðninnar, sbr. 3. mgr. 12. gr. reglugerðarinnar.

43. Mælt er fyrir um skyldu ábyrgðaraðila til að gera viðeigandi ráðstafanir til að tryggja skráðum einstaklingi tilkynningar skv. 15.-22. gr. í tengslum við vinnslu á gagnorðu, gagnsæju, skiljanlegu og aðgengilegu formi og á skýru og einföldu máli, sbr. 1. mgr. 12. gr. reglugerðar (ESB) 2016/679. Samkvæmt 2. mgr. sama ákvæðis skal ábyrgðaraðili auðvelda skráðum einstaklingi að neyta réttar síns skv. 15.-22. gr. reglugerðarinnar. Af 63. lið formálsorða reglugerðar nr. 2016/679 má ráða að ábyrgðaraðili geti risið undir þeirri skyldu með því að gera skráðum einstaklingum kleift að njóta aðgangsréttar með fjaraðgangi að öruggu upplýsingakerfi.

44. Í 12. gr. reglugerðar nr. 606/2023 er fjallað um upplýsinga- og aðgangsrétt hins skráða. Í 1. mgr. ákvæðisins kemur fram að fjárhagsupplýsingastofa skuli, sem fyrst og eigi síðar en 14 dögum eftir að sett er fram beiðni þar um, afhenda skráðum einstaklingi afrit þeirra upplýsinga sem eru í vinnslu samkvæmt reglugerðinni og upplýsingar um vinnsluna. Þá segir í 2. mgr. sama ákvæðis að hinn skráði eigi rétt á að kalla eftir upplýsingum frá fjárhagsupplýsingastofu um vægi breytna við útreikning á líkindum í skýrslu um lánshæfi hans og þau rök sem liggja þar að baki, sbr. 2. mgr. ákvæðisins. Loks er í 3. mgr. ákvæðisins vísað til þess að skráðir einstaklingar skulu að öðru leyti eiga rétt til aðgangs að upplýsingum sínum og fá allar þær upplýsingar um vinnslu þeirra sem greinir í 1. mgr. 15. gr. reglugerðar (ESB) 2016/679, sbr. 17. gr. laga nr. 90/2018.

45. Í starfsleyfi Creditinfo frá 1. mars 2023, sem var í gildi á þeim tíma er samskipti kvartanda við Creditinfo áttu sér stað, var loks vikið að upplýsinga- og aðgangsrétti hins skráða. Samkvæmt 1. mgr. 5.5. gr. leyfisins var fjárhagsupplýsingastofu hvenær sem var skylt að verða við ósk hins skráða um svör um vinnslu persónuupplýsinga um sig. Var framangreind regla í samræmi við upplýsinga og aðgangsrétt hins skráða samkvæmt 1. og 2. mgr. 17. gr. laga nr. 90/2018 og 15. gr. reglugerðar (ESB) 2016/679.

Niðurstaða

Notkun upplýsinga um fyrri vanskil við gerð lánshæfismats

46. Persónuvernd hefur þegar tekið til úrlausnar sambærilegt álitaefni og hér reynir á, þ.e. notkun Creditinfo á upplýsingum um söguleg vanskil við gerð skýrslu um lánshæfi. Með úrskurði Persónuverndar frá 18. desember 2025 í máli nr. 2025020669 var komist að þeirri niðurstöðu að Creditinfo hefði sýnt fram á nauðsyn vinnslunnar og áreiðanleika upplýsinganna og samkvæmt ítarlegu hagsmunamati voru lögmætir hagsmunir félasins af vinnslunni taldir vega þyngra en hagsmunir kvartanda. Meðal þess sem Persónuvernd vísaði til í rökstuðningi sínum var að í ljósi skýringa Creditinfo yrði ekki séð að unnið hafi verið með upplýsingar umfram eðlileg tímamörk í ljósi tilgangs vinnslunnar. Var því niðurstaða Persónuverndar sú að umrædd vinnsla Creditinfo á upplýsingum um söguleg vanskil kvartanda við gerð skýrslu um lánshæfi hennar hefði verið heimil samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Til nánari rökstuðnings vísast meðal annars til umfjöllunar í efnisgreinum 27-32 og efnisgrein 35 í framangreindum úrskurði. Í ljósi framangreinds, auk skýringa Creditinfo um tölfræðilega staðfestingu þess að upplýsingar um vanskil í allt að fjögur ár frá afskráningu þeirra hafi afgerandi þýðingu við mat á lánshæfi einstaklinga, sbr. umfjöllun í efnisgreinum 23-24 hér að framan, telur Persónuvernd sömu sjónarmið eiga við í því máli sem hér er til úrlausnar.

47. Kvartandi hefur jafnframt byggt á því að Creditinfo hafi með vinnslunni brotið gegn grein 5.3. í starfsleyfi félagsins frá 1. mars 2023. Líkt og rakið er í efnisgrein 40 hér að framan víkja atriði í starfsleyfinu frá 1. mars 2023 fyrir atriðum sem ekki fá samrýmst hinni nýju reglugerð nr. 606/2023, að því marki sem slíkt kann að reyna á hverju sinni. Í reglugerð nr. 606/2023 er ekki mælt fyrir um tiltekin tímamörk varðandi eyðingu upplýsinga úr vanskilaskrá, andstætt því sem áðurnefnt ákvæði 5.3. í starfsleyfi félagsins frá 1. mars 2023 mælti fyrir um. Í 4. mgr. 8. gr. reglugerðar nr. 606/2023 er eingöngu kveðið á um að fjárhagsupplýsingastofa skuli gæta þess að eyða upplýsingum af vanskilaskrá þegar þær uppfylla ekki lengur skilyrði 1. og 2. mgr. 5. gr. reglugerðarinnar. Með hliðsjón af framangreindu, ásamt skýringum Creditinfo og því sem fyrr greinir um gildi starfsleyfisins frá 1. mars 2023 gagnvart hinni nýju reglugerð nr. 606/2023, verður því ekki séð að 5.3. gr. leyfisins hafi haft þýðingu í þeim efnum. Í fyrrgreindum úrskurði Persónuverndar í máli nr. 2025020669 reyndi jafnframt á álitaefni er laut að því hvort Creditinfo hafi beitt reglugerð nr. 606/2023 með afturvirkum hætti við uppfærslu reiknilíkans síns, líkt og reynir á í fyrirliggjandi máli. Hafnaði Persónuvernd efnislega hliðstæðum málatilbúnaði, sbr. efnisgrein 33 í tilvísuðum úrskurði. Hefur sú afstaða verið staðfest í síðari úrskurðum stofnunarinnar um hliðstætt efni. Telur Persónuvernd sömu sjónarmið eiga við í því máli sem hér er til úrlausnar.

48. Með vísan til alls framangreinds, auk þeirra laga- og reglugerðarákæða sem rakin eru í efnisgreinum 33-40 hér að framan, telur Persónuvernd þá vinnslu upplýsinga af hálfu Creditinfo sem hér er til umfjöllunar hafa stuðst við fullnægjandi heimild samkvæmt fyrrnefndu ákvæði 6. tölul. 9. gr. laganna og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Einnig er niðurstaða Persónuverndar að uppfylltar hafi verið meginreglur 8. gr. laganna og 5. gr. reglugerðarinnar umrætt sinn.

Upplýsingaskylda Creditinfo

49. Eins og komið hefur fram gerir kvartandi athugasemdir við upplýsingagjöf Creditinfo í kjölfar beiðni hennar um nánari skýringar á lánshæfismati hennar. Í því sambandi þarf að leggja mat á hvort skýringar og viðbrögð Creditinfo vegna athugasemda kvartanda, sem að framan eru rakin í efnisgrein 17 hér að framan hafi uppfyllt skilyrði er lúta að rétti hennar til upplýsinga og aðgangs að persónuupplýsingum sínum samkvæmt ákvæðum reglugerðar nr. 606/2023, laga nr. 90/2018 og reglugerð (ESB) 2016/679, sbr. umfjöllun þar að lútandi í efnisgreinum 42-45 hér að framan.

50. Að mati Persónuverndar sýna gögn málsins að Creditinfo brást við beiðni kvartanda um skýringar um lánshæfismat hennar innan 14 daga, meðal annars með því að afhenda henni skýrslu sem sýndi áhrifaþætti og vægi þeirra í lánshæfismati hennar, auk almennra skýringa um lánshæfismat einstaklinga.Að auki var henni bent á vefsíðu og þjónustuvef félagsins, þar sem nánari upplýsingar var að finna, s.s. um þær persónuupplýsingar kvartanda sem væru í vinnslu hjá Creditinfo, um áhrifaþættina og um réttindi hennar í tengslum við gerð skýrslu um lánshæfismat hennar. Á vefsíðu Creditinfo voru jafnframt birtar almennar upplýsingar um uppfært lánshæfismat einstaklinga, með útskýringum um áhrif þeirrar uppfærslu. Auk framangreinds var henni sent yfirlit yfir allar skráningar hennar hjá félaginu þegar hún lagði fram beiðni þar að lútandi.

51. Með vísan til alls framangreinds verður talið að Creditinfo hafi uppfyllt skyldur um upplýsingagjöf til kvartanda um vinnslu persónuupplýsinga hans samkvæmt 12. gr. og 15. gr. reglugerðar (ESB) 2016/679 og 1. og 2. mgr. 12. gr. reglugerðar nr. 606/2023.

Ú r s k u r ð a r o r ð:

Vinnsla Creditinfo Lánstrausts hf. á persónuupplýsingum um [A], við gerð skýrslu um lánshæfismat hennar, var heimil samkvæmt 6. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 og samrýmdist 1. mgr. 8. gr. laganna, sbr. 1. mgr. 5. gr. reglugerðarinnar.

Upplýsingagjöf Creditinfo Lánstrausts hf. til [A] um vinnslu persónuupplýsinga hennar samrýmdist 12. gr. og 15. gr. reglugerðar (ESB) 2016/679 og 1. og 2. mgr. 12. gr. reglugerðar nr. 606/2023 um vinnslu upplýsinga um fjárhagsmálefni og lánstraust.

Persónuvernd, 9. mars 2026

Edda Þuríður Hauksdóttir Inga Amal Hasan