08.02.2021
Vinnsla Creditinfo Lánstrausts hf. í tengslum við gerð skýrslna um lánshæfi
Mál númer 2020010634
Persónuvernd hefur úrskurðað um samþykki kvartanda við notkun Creditinfo á viðbótarupplýsingum við gerð skýrslna um lánshæfi kvartanda hafi uppfyllt skilyrði samkvæmt 10. gr. laga nr. 90/2018 og þar með hafi Creditinfo verið heimilt til gerðar lánshæfismats um hann. Jafnframt er komist að þeirri niðurstöðu að Creditinfo hafi verið heimilt að nota upplýsingar um fyrndar kröfur við gerð lánshæfismats um kvartanda. Þá hafi Creditinfo verið heimilt að notast við upplýsingar um skuldastöðu kvartanda við gerð lánshæfismats um hann þar sem hann hafði sjálfur samþykkt slíka vinnslu. Loks er komist að þeirri niðurstöðu að Creditinfo hafi virt upplýsingarétt kvartanda þegar honum voru veittar upplýsingar um lánshæfismat hans.
Úrskurður
Hinn 28. janúar 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010634 (áður 2019051072):
I.
Málsmeðferð
1.
Upphaf máls og bréfaskipti
Hinn 19. maí 2019 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga um hann hjá Creditinfo Lánstrausti hf. (Creditinfo) í tengslum við gerð skýrslna um lánhæfi hans.
Með bréfi, dags. 30. ágúst 2019, var Creditinfo boðið að tjá sig um kvörtunina. Svarað var með bréfi, dags. 24. september s.á. Með bréfi, dags. 23. október s.á., var kvartanda boðið að tjá sig um efni svarbréfs Creditinfo. Svarbréf kvartanda barst Persónuvernd 12. nóvember s.á. Með bréfi, dags. 23. júní 2020 óskaði Persónuvernd eftir tilteknum skýringum frá kvartanda. Svarbréf kvartanda barst Persónuvernd 31. júlí s.á. Með bréfi, dags. 27. október s.á. óskaði Persónuvernd eftir nánari upplýsingum frá Creditinfo. Svar Creditinfo barst Persónuvernd 5. nóvember s.á. Með tölvupósti 19. s.m. og símtali daginn eftir óskaði Persónuvernd frekari skýringa frá Creditinfo. Svör Creditinfo bárust með tölvupósti 19., 20. og 23. s.m. Með tölvupósti 27. s.m. óskaði Persónuvernd frekari skýringa frá Creditinfo. Svör Creditinfo bárust með tölvupósti 28. s.m. og 1. desember 2020.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð þessa máls hefur dregist vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Í fyrsta lagi lýtur kvörtun að því að kvartandi hafi þurft að samþykkja tilteknar forsendur um upplýsingaöflun Creditinfo um sig til að geta skoðað sjálfur lánshæfismat sitt á vef fyrirtækisins, þ.e. mitt.creditinfo.is. Telur kvartandi þá upplýsingaöflun Creditinfo of víðtæka.
Í öðru lagi er kvartað yfir því að Creditinfo hafi notast við upplýsingar um fyrndar kröfur og upplýsingar úr skuldastöðukerfi fyrirtækisins við útreikning á lánshæfismati kvartanda. Vísar hann til þess að hann hafi verið úrskurðaður gjaldþrota [dags.] 2016. Gjaldþrotaskiptin hafi þá verið skráð á vanskilaskrá Creditinfo en jafnframt afskráð árið 2018. Hins vegar hafi gjaldþrotið enn haft áhrif til lækkunar á lánshæfismati kvartanda rúmu ári eftir að réttaráhrifum vegna þess hafi lokið [vegna] tveggja ára fyrningartíma slíkra krafna samkvæmt lögum nr. 21/1991, um gjaldþrotaskipti o.fl. Telur kvartandi að fyrnd krafa ætti að hafa sömu réttaráhrif og greidd krafa milli kröfuhafa og skuldara. Réttaráhrifum kröfu hafi því átt að ljúka tveimur árum eftir að kvartandi var úrskurðaður gjaldþrota. Creditinfo hafi því ekki haft heimild til að viðhalda skráningu um hann í fjögur ár frá því að gjaldþrotaskiptin voru fyrst skráð á vanskilaskrá fyrirtækisins. Creditinfo telji sig hafa heimild til að halda skráningu í „allt að“ fjögur ár, sbr. það sem fram kemur í tölvupósti Creditinfo til kvartanda frá 15. apríl 2019 sem fylgdi með kvörtun. Framangreind skýring Creditinfo sanni að til grundvallar háttsemi fyrirtækisins sé lagt huglægt mat. Vísar kvartandi til þess að ef beita á huglægu mati verði það að þjóna tilgangi og vera lögmætt ásamt því að lögvarðir hagsmunir verði að búa að baki. Creditinfo hafi ekki sýnt fram á það og hafi reynt að villa um fyrir kvartanda, koma sök á aðra og beina honum á rangar brautir. Fyrirtækið hafi ekki rökstutt hvers vegna það telji réttmætt að lækka lánshæfismat hans í fjögur ár frá því að gjaldþrotaskiptin voru fyrst skráð eða tveimur árum lengur en réttaráhrifa upphaflegra skráninga gætir, sbr. áðurnefnd lög nr. 21/1991. Líta verði til eðlis krafnanna sem fyrndar séu og skoða hvort þær kunni að hafa verið af völdum kvartanda þó að þær kunni að hafa verið á hans ábyrgð. Vísar kvartandi til hruns fjármálakerfisins 2008 í því sambandi og telur það rangt að lánshæfismatið gefi rétta mynd af skilvísi og greiðslusögu. Gerir kvartandi því þá kröfu að Creditinfo verði bannað að notast við eða áætla eitthvað sem kunni að byggjast á slíkum ágiskunum.
Jafnframt telur kvartandi að Creditinfo hafi tekið við upplýsingum um fyrndar kröfur á hendur honum frá fjármálastofnunum í gegnum skuldastöðukerfi sem fyrirtækið rekur, og nýtt þær upplýsingar við gerð lánshæfismats um hann. Vísar hann í því sambandi til þess að Creditinfo hafi gefið þær skýringar að það væru fjármálastofnanir sem miðluðu upplýsingum til fyrirtækisins og á því bæri fyrirtækið enga ábyrgð. Telur kvartandi það rangt og telur hann að Creditinfo sé ábyrgðaraðili og raunar hafi upplýsingar um skuldastöðu hans verið notaðar við útreikning á lánshæfismati hans. Það sé því á ábyrgð Creditinfo að skýra og greina kvartanda frá því hverjir miðli upplýsingum um hann óski hann þess. Fyrirtækinu hafi því ekki verið heimilt að synja honum um beiðni hans sem laut að því að fyrirtækið afhenti honum lista með yfirliti yfir þá sem miðluðu upplýsingum um hann í kerfið, sbr. tölvupóst kvartanda til Creditinfo frá 16. ágúst 2019. Creditinfo eigi að eigin frumkvæði að sannreyna réttmæti þeirra upplýsinga sem fyrirtækið taki við, nýti við gerð lánshæfismats um hann og selji áfram. Fyrirtækinu sé jafnframt skylt að hafa virka milligöngu um leiðréttingar við viðkomandi fjármálafyrirtæki sé þess óskað með rökstuddum hætti eins og kvartandi kveðst hafa gert.
Í þriðja lagi er kvartað yfir því að kvartandi hafi ekki fengið skýringar á lánshæfismati sínu frá Creditinfo, auk þess sem hann gerir athugasemdir við að hafa ekki verið upplýstur um breytingar á lánshæfismati sínu á meðan á samskiptum hans við Creditinfo stóð. Kvartandi kveðst hafa leitast við að fá skýringar á matinu allt frá því í desember 2018 en án árangurs. Lánshæfismat hans hafi verið í flokki D1 í lok apríl 2019. Það sé skráð nú C1 en hafi verið í D3 til loka febrúar 2019, eða 10 mánuðum eftir að réttaráhrifum lauk [dags.]. Creditinfo hafi ekki viljað gefa upp á hverju fyrirtækið byggi mat sitt, eða hvaða hagsmunir búi að baki er það metur þá þætti er snúa að persónu kvartanda við útreikning lánshæfismats. Þá vísar hann til þess að ekki hafi verið gert einstaklingsmiðað mat á fjárhagslegri getu persónu sinnar, þrátt fyrir að hann hafi oft beðið um það. Hann eigi þrjár íbúðir, einbýlishús, lausafé, o.fl. og því sé ekkert sem gefi til kynna að hann sé ekki lánshæfur.
3.
Sjónarmið Creditinfo Lánstrausts hf.
Varðandi þann þátt kvörtunarinnar er lýtur að gerð lánshæfismats um kvartanda vísar Creditinfo til þess að með 15. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga var gerð lánshæfismats, í því skyni að miðla því til annarra, gerð starfsleyfisskyld. Þann 16. júlí 2018, hafi Creditinfo fengið útgefið leyfi frá Persónuvernd til vinnslu lánshæfismats (mál nr. 2018/1229 hjá Persónuvernd). Leyfið hafi síðast verið endurnýjað 28. júní 2019 (mál nr. 2019/1202). Upplýst samþykki einstaklings, skv. 1. tölul. 9. gr. laga nr. 90/2018, þurfi að liggja fyrir þegar lánshæfismat sé sótt af lánveitanda.
Lánshæfismat Creditinfo meti líkur á greiðslufalli og skráningu á vanskilaskrá næstu tólf mánuði. Tölfræðileg spá um atburði í framtíðinni verði að byggja á sögulegum upplýsingum, svo sem um skilvísi og greiðslusögu. Eigi upplýsingar um vanskil og greiðslusögu í fortíðinni ekki að hafa áhrif á lánshæfismat sé grundvellinum kippt undan gagnsemi matsins. Slíkt mat myndi ekki fullnægja ákvæðum 5. gr. laga nr. 33/2013 um neytendalán og færi þvert gegn ummælum með 10. gr. í frumvarpi því sem varð að þeim lögum, en þar sé tiltekið að lánshæfismat geti meðal annars byggst á skilvísi og greiðslusögu. Það hafi sýnt sig að að sögulegar upplýsingar um skilvísi, vanskil og greiðslusögu hafi mikið forspárgildi um líkur á vanskilum í framtíðinni. Ljóst sé samkvæmt lögum nr. 33/2013 að rík áhersla sé lögð á að gert sé áreiðanlegt lánshæfismat í aðdraganda samnings um neytendalán og skýrslum Creditinfo sé ætlað að nýtast til gerðar slíks mats.
Persónuvernd hafi litið svo á að það feli ekki í sér óheimila miðlun upplýsinga um vanskilakröfur, sem komið hafi verið í skil, að þær hafi áhrif á niðurstöðu skýrslna um lánshæfi, innan þeirra tímamarka sem starfsleyfi Creditinfo, ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 og ákvæði reglugerðar nr. 246/2001 setja, enda liggi fyrir að upplýsingarnar sjálfar berist ekki viðtakendum matsins. Vísað er til þess að í 1. mgr. greinar 2.7. í gildandi starfsleyfi Creditinfo frá 29. desember 2017 (mál nr. 2017/1541), sem endurnýjað hafi verið þann 28. júní 2019 (mál nr. 2019/1202), er fjallað um eyðingu upplýsinga. Þar segi meðal annars að eyða skuli upplýsingum um einstakar skuldir sé vitað að þeim hafi verið komið í skil. Þá skuli eyða upplýsingum af skránni þegar þær verði fjögurra ára gamlar. Í greininni komi einnig fram að félagið megi geyma upplýsingar í þrjú ár til viðbótar og megi nýta upplýsingarnar til að verða við beiðnum frá skráðum einstaklingum um vitneskju um vinnslu persónuupplýsinga um sig og til að leysa úr ágreiningi um réttmæti skráningar. Að hámarki þar til fjögur ár séu liðin frá skráningu upplýsinga á vanskilaskrá sé einnig heimilt að nýta þær til gerðar lánshæfismats að beiðni hins skráða, enda sé ekki miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum, sbr. 2. mgr. greinar 2.7.
Kvartandi hafi fengið þau svör frá Creditinfo að fyrri skráningar hafi áhrif á lánshæfismat hans, sbr. framangreint, í allt að fjögur ár frá skráningu. Einnig hafi komið fram í svörum til hans að áhrif fyrri skráninga á lánshæfismat fari minnkandi eftir því sem tíminn líði frá skráningu þeirra. Þær skráningar sem hafi haft áhrif á lánshæfismat kvartanda þegar kvörtunin var lögð fram hafi allar verið yngri en fjögurra ára. Þá hafi kvartanda verið bent á að upplýsingar sem væri miðlað í skuldastöðukerfið hefðu ekki áhrif á lánshæfismat hans.
Fjallar Creditinfo í kjölfarið um þann hluta kvörtunarinnar sem varðar skuldastöðukerfi fyrirtækisins. Sú lýsing fyrirtækisins samrýmist þeim upplýsingum sem Persónuvernd hefur áður fengið varðandi kerfið við meðferð annarra kvörtunarmála þar sem reynt hefur á álitaefni í tengslum við skuldastöðukerfi Creditinfo, sbr. t.d. úrskurð Persónuverndar, dags. 3. apríl 2020, í máli 2020010600, og vísast til skýringar Creditinfo þar um í kafla I.3. í þeim úrskurði.
Kvartanda hafi ítrekað verið gerð grein fyrir að Creditinfo gæti ekki gert leiðréttingar eða breytingar á upplýsingum sem birtar væru á skuldastöðuyfirliti, enda væru upplýsingarnar ekki skráðar hjá félaginu, heldur sóttar í rauntíma til þátttakenda þegar einstaklingur veitti aðila heimild til að sækja upplýsingarnar eða sækti þær sjálfur á þjónustuvefinn mitt.creditinfo.is. Þá hafi kvartanda verið bent á að athugasemdum við birtar upplýsingar á skuldastöðuyfirliti skyldi koma á framfæri við viðkomandi fyrirtæki, stofnun eða sjóð sem miðlaði upplýsingum í kerfið. Einnig hafi kvartanda verið bent á úrskurði Persónuverndar sem staðfestu að ábyrgðaraðila væri óheimilt að miðla þangað upplýsingum um fyrndar kröfur.
Þá fjallar Creditinfo um þann hluta kvörtunarinnar sem lýtur að því að kvartandi þurfi að samþykkja gagnaöflun fyrirtækisins til að hann geti skoðað lánshæfismat sitt á vef Creditinfo. Vísar fyrirtækið til þess að það vinni lánshæfismat um einstaklinga og fyrirtæki með vísan til 15. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og starfsleyfis Persónuverndar útgefins með vísan til þeirrar greinar. Þau fyrirtæki sem geri áskriftarsamning við Creditinfo geti sótt lánshæfismat einstaklinga ef viðkomandi samþykki slíka upplýsingaöflun. Í samræmi við ákvæði starfsleyfis sé einungis miðlað til áskrifenda lánshæfiseinkunn viðkomandi en ekki upplýsingum um hvaða áhrifaþættir hafi áhrif á matið. Í samræmi við ákvæði persónuverndarlaga fái hinn skráði endurgjaldslausan aðgang að öllum upplýsingum um vinnsluna, þar á meðal upplýsingar um hvaða breytur séu lagðar til grundvallar lánshæfismati. Persónuverndaðar upplýsingar séu ávallt aðgengilegar hinum skráðu á aðgangsstýrðum þjónustuvef Creditinfo (mitt.creditinfo.is), auk þess sem hægt sé að fá slíkar upplýsingar sendar á skráð lögheimili samkvæmt Þjóðskrá.
Tekur Creditinfo fram að lánshæfismat fyrirtækisins sé vara framleidd með miklum tilkostnaði, enda sé um að ræða flókið reiknilíkan sem sé í stöðugri þróun og viðhaldi hjá sérfræðingum fyrirtækisins. Ekki verði séð að sú skylda hvíli á fjárhagsupplýsingastofu, skv. gildandi lögum, reglum eða ákvæðum starfsleyfis, að afhenda afurð sem framleidd sé með þessum hætti endurgjaldslaust án nokkurra takmarkana. Creditinfo bjóði einstaklingum að kaupa lánshæfiseinkunn sína á þjónustuvefnum mitt.creditinfo.is. Matið kosti nú 1790 krónur og einnig sé hægt að kaupa lánshæfiseinkunn og fá hana senda á skráð lögheimili skv. Þjóðskrá.
Þar sem ekki sé heimilt að vinna með jákvæðar upplýsingar við gerð lánshæfismats án samþykkis bjóði Creditinfo einstaklingum að miðla viðbótarupplýsingum við gerð matsins. Slíkar upplýsingar séu einungis notaðar hafi einstaklingur veitt upplýst og sannanlegt samþykki sitt til þess á aðgangsstýrða þjónustuvefnum mitt.creditinfo.is. Þær viðbótarupplýsingar sem nú séu notaðar við gerð matsins séu upplýsingar um fjölda uppflettinga og upplýsingar um uppflettingar og vaktanir af innheimtuástæðu í skrám Creditinfo. Það að einstaklingi hafi ekki verið flett upp af innheimtuástæðu í skrám fyrirtækisins gefi sterka vísbendingu um að hann sé ekki í vanskilum. Í slíkum tilfellum geti miðlun viðbótarupplýsinga því haft jákvæð áhrif á matið sem lúti að líkum á greiðslufalli og skráningu upplýsinga á vanskilaskrá næstu tólf mánuði. Samþykki einstaklingur að miðla viðbótarupplýsingum við gerð lánshæfismats bjóði Creditinfo upp á endurgjaldslausan aðgang að matinu. Samþykki til notkunar viðbótarupplýsinga sé með einföldum hætti hægt að afturkalla inni á þjónustuvefnum mitt.creditinfo.is og þá sé matið endurreiknað miðað við fyrri forsendur á innan við klukkustund.
Með vísan til framangreinds telji Creditinfo sig hafa farið að ákvæðum starfsleyfis útgefins af Persónuvernd, lögum um persónuvernd og vinnslu persónuupplýsinga, svo og reglum settum á grundvelli þeirra laga.
4.
Gögn máls og könnun Persónuverndar
Samkvæmt upplýsingum frá Creditinfo og sjálfstæðri könnun Persónuverndar varðandi upplýsingasöfnun Creditinfo við innskráningu á vefsvæðið mitt.creditinfo.is er ljóst að viðskiptavinum Creditinfo stendur til boða að samþykkja viðbótarskilmála fyrirtækisins við innskráningu á vef þess. Auk þess er óskað samþykkis notenda fyrir ákveðnum almennum notendaskilmálum en eins og atvikum er hér háttað þykir ekki tilefni til að rekja þá nánar. Viðbótarskilmálarnir veita Creditinfo heimild til að notast við ákveðnar viðbótarupplýsingar við útreikning á lánshæfismati viðkomandi. Nánar tiltekið er þá matið byggt á gögnum sem Creditinfo telur sig hafa heimild til að vinna með samkvæmt starfsleyfi fyrirtækisins, auk þeirra upplýsinga sem viðkomandi notandi samþykkti að það mætti nota við gerð skýrslna um lánshæfi hans. Samþykki notandi viðbótarskilmála fyrirtækisins er matið reiknað fyrir hann án endurgjalds en annars þarf hann að greiða fyrir það.
Persónuvernd óskaði upplýsinga frá Creditinfo um það hvort kvartandi hefði samþykkt viðbótarskilmála fyrirtækisins og hefði svo verið, hvaða viðbótarskilmála hann hefði samþykkt. Samkvæmt þeim upplýsingum sem fengust frá Creditinfo varðandi framangreint er ljóst að kvartandi samþykkti ákveðna viðbótarskilmála í desember 2018. Í upphafi þeirra skilmála sem hann samþykkti var að finna lýsingu á eðli lánshæfismats Creditinfo og á hvaða upplýsingum matið byggðist. Fjallað var nánar um heimild einstaklinga til að samþykkja aðgang Creditinfo að viðbótarupplýsingum og heimild fyrirtækisins til að nýta þær við útreikning lánshæfismats. Þá var vísað til þess að notkun viðbótarupplýsinga gæti eftir atvikum komið til hækkunar eða lækkunar á lánshæfismatinu. Fjallað var um það hvað nákvæmlega fælist í viðkomandi samþykki, í hvaða tilgangi viðbótarupplýsingarnar yrðu notaðar, þ.e. til gerðar lánshæfismats, og að slíku lánshæfismati yrði miðlað til viðskiptavina Creditinfo sem sæktu og notuðu lánshæfismat einstaklinga með upplýstu samþykki þeirra. Farið var yfir hvaða upplýsingum væri ekki miðlað og hversu lengi samþykkið væri vistað. Þá var að finna heimild notanda til að afturkalla viðkomandi samþykki hvenær sem væri og til vistunar slíkrar afturköllunar. Vísað var til þess að eftir að afturköllun á samþykki fyrir notkun viðbótarupplýsinga hefði verið móttekin byggðist lánshæfismat á upplýsingum sem Creditinfo hefði aðgang að hverju sinni og væri heimilt að nota við vinnslu matsins. Í kjölfarið var að finna útlistun á þeim viðbótarupplýsingum sem til stæði að nota við gerð lánshæfismats viðkomandi og við tilgreiningu á hverri tegund upplýsingavinnslu var kassi sem viðkomandi notandi þurfti sjálfur að haka í. Þær viðbótarupplýsingar sem um ræddi voru upplýsingar um hvaða aðilar vöktuðu kennitölu notandans og hefðu vaktað hana á síðastliðnum fjórum árum og upplýsingar um hvaða aðilar hefðu flett honum upp á sama tímabili. Jafnframt var um að ræða upplýsingar um skuldastöðu notandans sem sóttar voru í skuldastöðukerfi Creditinfo og upplýsingar um greiðsluhegðun hans sem sóttar voru í kröfupott Reiknistofu bankanna. Við hverja og eina tegund upplýsingavinnslu var að finna nánari skýringu og tilgreiningu á þeim upplýsingum sem unnið var með og um tímamörk notkunar þeirra.
Gögn málsins sýna jafnframt þær upplýsingar sem kvartandi fékk frá Creditinfo í kjölfar fyrirspurnar hans um nánari upplýsingar um lánshæfismat sitt. Þær upplýsingar sem kvartandi fékk frá Creditinfo voru veittar með tölvupósti 7. desember 2018. Í tölvupóstinum vísaði Creditinfo til þess að fyrirtækið starfar á grundvelli starfsleyfa frá Persónuvernd, sbr. 15. gr. laga nr. 90/2018, og meðfylgjandi var hlekkur sem vísaði beint á núgildandi starfsleyfi fyrirtækisins. Vísaði Creditinfo auk þess til leyfis til handa Creditinfo til vinnslu persónuupplýsinga í þágu gerðar lánshæfismats og var meðfylgjandi hlekkur sem vísaði beint á það leyfi. Fór fyrirtækið í kjölfarið yfir skyldur lánveitenda samkvæmt lögum nr. 33/2013 um neytendalán til að meta lánshæfi neytenda áður en samningur um neytendalán er gerður. Vísað var til þess að lánshæfismat Creditinfo væri tölfræðilíkan sem mæti líkur á greiðslufalli og skráningu á VOG vanskilaskrá næstu tólf mánuði. Áhættuflokkar væru birtir á kvarðanum A-E, þar sem í A væru hlutfallslega minnstar líkur á greiðslufalli en í E mestar. Innan hvers lánshæfisflokks væru kvarðar frá 1-3 sem sýndu stöðu innan áhættuflokks og vísaði fyrirtækið á hlekk sem innihélt nánari upplýsingar um lánshæfismat fyrirtækisins á vefsíðu þess. Þá var kvartandi upplýstur um að meðal áhrifaþátta til lækkunar á lánshæfismati væru fyrrum skráningar á vanskilaskrá og vísaði fyrirtækið síðan í grein 2.7. í starfsleyfinu sem heimilar nýtingu slíkra upplýsinga í þrjú ár frá afskráningu en þó ekki lengur en í fjögur ár frá skráningu. Creditinfo leiðbeindi kvartanda um að hann gæti séð lánshæfismat sitt á þjónustuvef fyrirtækisins og meðfylgjandi var hlekkur sem vísaði beint á vefsvæðið mitt.creditinfo.is. Þar gæti hann séð hvaða þættir hefðu áhrif á mat hans og ef um fyrrum skráningar væri að ræða gæti hann séð hvenær þær hefðu verið skráðar. Auk framangreinds var að finna upplýsingar um eðli og virkni skuldastöðukerfis Creditinfo og upplýsingar um að fyrirtækið væri vinnsluaðili upplýsinga í kerfinu en þátttakendur ábyrgðaraðilar. Fyrirtækið gæti því ekki gert leiðréttingar eða breytingar á upplýsingum sem birtar væru í skuldastöðuyfirliti enda væru slíkar upplýsingar sóttar í rauntíma til þátttakenda. Var kvartanda því leiðbeint um að koma athugasemdum við birtar upplýsingar á skuldastöðuyfirliti á framfæri við viðkomandi fyrirtæki, stofnun eða sjóð sem miðlaði í kerfið. Að lokum vísaði Creditinfo til þess að einstaklingar gætu andmælt vinnslu persónuupplýsinga teldu þeir vinnsluna ekki í samræmi við lög, reglur og heimildir í starfsleyfi frá Persónuvernd sem Creditinfo starfaði eftir. Fyrirtækið svaraði andmælum eigi síðar en að fjórtán dögum liðnum frá móttöku andmæla og ef ekki væri fallist á andmæli var kvartanda leiðbeint um að hann gæti kvartað til Persónuverndar.
Samskipti kvartanda við Creditinfo, sem fylgdu með kvörtun, sýna að hann gerði síðan aftur athugasemdir við lánshæfismat sitt með tölvupósti til Creditinfo 13. apríl 2019. Svaraði Creditinfo kvartanda með tölvupósti 15. s.m. og vísaði þar í fyrri svör fyrirtækisins, þ.e. þau sem hann hefði fengið með tölvupósti 7. desember 2018. Auk þess var hann upplýstur um að upplýsingar um skuldastöðu hefðu ekki áhrif á lánshæfismat hans. Var hann einnig í svari Creditinfo upplýstur um heimild til notkunar viðbótarupplýsinga við gerð lánshæfismats og honum leiðbeint um að hann gæti samþykkt slíka vinnslu og afturkallað hana á mitt.creditinfo.is. Nokkur samskipti áttu sér stað eftir þetta en ekki þykir tilefni til að rekja þau nánar hér. Þess má hins vegar geta að sjá má af skjáskoti af vefsvæði kvartanda á mitt.creditinfo.is, sem fylgdi athugasemdum hans 13. apríl 2019, að hann hafði þar verið upplýstur um það sem fyrr greinir um að upplýsingar um skuldastöðu hefðu ekki áhrif á lánshæfismat hans, svo og að upplýsingar um greiðsluhegðun hefðu ekki slík áhrif.
Könnun Persónuverndar sýnir einnig að á mitt.creditinfo.is er að finna nákvæmari umfjöllun um það hvað ákvarði lánshæfiseinkunn, hvernig hægt sé að bæta lánshæfismat sitt ásamt upplýsingum um það hvenær lánshæfismat uppfærist.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að vinnslu persónuupplýsinga um kvartanda við gerð skýrslna um lánshæfi hans hjá Creditinfo og um aðgang hans að upplýsingum vegna þeirrar vinnslu. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar.
Creditinfo hefur yfir að ráða upplýsingakerfum um fjárhagsmálefni og lánstraust og vinnur með upplýsingar í þeim í því skyni að miðla þeim til áskrifenda. Sú vinnsla er á ábyrgð Creditinfo og telst því fyrirtækið vera ábyrgðaraðili að þeirri vinnslu sem fólst í notkun upplýsinga um kvartanda, sem þar höfðu verið skrásettar, til gerðar skýrslna fyrirtækisins um mat á lánshæfi kvartanda. Auk framangreinds telst Creditinfo ábyrgðaraðili að álitaefnum í tengslum við aðgang kvartanda að lánshæfismati sínu á vefsvæði fyrirtækisins, auk upplýsinga um það, eftir að hann óskaði nánari skýringa þar um.
Varðandi það hver telst ábyrgðaraðili að þeirri vinnslu sem fram fer í skuldastöðukerfi Creditinfo, er ljóst að það er viðkomandi áskrifandi, sem miðlar upplýsingum í kerfið sem telst ábyrgðaraðili að þeirri vinnslu. Persónuvernd telur Creditinfo vera vinnsluaðila upplýsinga í skuldastöðukerfinu, sbr. 7. tölul. 3. gr. laga nr. 90/2018, og vinna persónuupplýsingar í kerfinu á vegum áskrifendanna.
2.
Starfsleyfi Creditinfo Lánstrausts hf.
Starfræksla fjárhagsupplýsingastofa og vinnsla upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, þ.m.t. vanskilaskráning og gerð lánshæfismats, í því skyni að miðla þeim til annarra, skal bundin leyfi Persónuverndar, sbr. 15. gr. laga nr. 90/2018. Starfsemi Creditinfo fellur að miklu leyti undir framangreint ákvæði og hefur Persónuvernd veitt fyrirtækinu starfsleyfi í samræmi við það, sbr. nú hvað einstaklinga varðar starfsleyfi Creditinfo vegna vinnslu upplýsinga um fjárhagsmálefni og lánstraust, dags. 29. desember 2017 (mál nr. 2017/1541), og starfsleyfi til bráðabirgða vegna vinnslu persónuupplýsinga í þágu gerðar lánshæfismats, dags. 23. ágúst 2018 (mál nr. 2018/1229).
Til þess er að líta að starfsleyfisskylda vegna gerðar lánshæfismats samkvæmt 15. gr. laga nr. 90/2018 er nýmæli og var hana ekki að finna í sambærilegu ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Það bráðabirgðastarfsleyfi sem nú er í gildi hefur hins vegar ekki að geyma ákvæði sem hafa í för með sér breytingar frá þeirri framkvæmd sem mótast hefur í úrlausnum Persónuverndar varðandi lánshæfismat. Nú sem áður ber Creditinfo því að gæta að því að þær upplýsingar sem skráðar eru á grundvelli starfsleyfa, sem Persónuvernd hefur veitt, má ekki nýta í þágu gerðar lánshæfismats á þann hátt að brjóti gegn útgefnum leyfum eða gildandi lögum almennt.
3.
Lögmæti vinnslu
3.1.
Samþykki viðbótarskilmála Creditinfo Lánstrausts hf. við innskráningu á vef fyrirtækisins
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Þær heimildir sem einkum koma til álita hér eru að hinn skráði hafi gefið samþykki sitt fyrir vinnslu persónuupplýsinga um sig í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. tölul. 9. gr. laganna, eða að vinnslan hafi verið nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir og grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra, sbr. 6. tölul. sama ákvæðis.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja meginreglum 1. mgr. 8. gr. laga nr. 90/2018. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum (4. tölul.); og að þær skuli unnar með þeim hætti að viðeigandi öryggis þeirra sé tryggt (6. tölul.).
Persónuvernd hefur talið ákvæði 6. tölul. 9. gr. eiga við um þá vinnslu persónuupplýsinga sem fer fram í upplýsingakerfum Creditinfo í tengslum við gerð skýrslna um lánshæfi einstaklinga, þegar það er gert fyrir hönd viðkomandi í tengslum við lánveitingu eða fyrirgreiðslu af einhverju tagi, sbr. t.d. úrskurð Persónuverndar, dags. 31. maí 2018, í máli nr. 2017/537. Í úrskurðinum vísaði Persónuvernd til þess að ljóst væri, þegar litið væri til laga nr. 33/2013 um neytendalán, að skylt væri að meta lánshæfi lántaka áður en lán væri veitt og því gæti kvartandi í málinu ekki komist hjá því að það yrði metið. Það að til staðar væri raunverulegt val einstaklings væri skilyrði þess að kröfum til samþykkis væri fullnægt og taldi stofnunin að við umræddar aðstæður skorti á að svo væri. Með vísan til þess hefði vinnslan ekki getað farið fram á grundvelli heimildar samkvæmt 1. tölul. 9. gr. laganna.
Hins vegar liggur fyrir í máli þessu að gerð skýrslna um lánshæfismat kvartanda af hálfu Creditinfo fór ekki fram í tengslum við lánveitingu eða fyrirgreiðslu af einhverju tagi, heldur fyrir tilstilli kvartanda sjálfs. Nánar tiltekið sýna gögn máls að kvartandi skráði sig sjálfur inn á vefsvæði Creditinfo, þ.e. mitt.creditinfo.is, samþykkti þar almenna notendaskilmála og viðbótarskilmála fyrirtækisins á því tímabili sem hér um ræðir og fékk þar reiknað lánshæfismat sitt.
Í því sambandi vísast til yfirlits frá Creditinfo yfir innskráningar kvartanda á vefsvæði fyrirtækisins, ásamt því hvaða skilmála hann samþykkti og hvenær hann dró samþykki sitt til baka. Ljóst er að kvartandi samþykkti almenna notendaskilmála fyrirtækisins hinn 6. desember 2018 og samdægurs samþykkti hann viðbótarskilmála Creditinfo. Frá tímabilinu frá desember 2018 – maí 2019 átti hann í samskiptum við Creditinfo þar sem hann m.a. gerði athugasemdir við lánshæfismat sitt. Samþykkið var síðan dregið til baka 15. október 2019.
Með vísan til framangreinds reynir því hér á hvort heimild Creditinfo til gerðar lánshæfismats um kvartanda umrætt sinn hafi getað byggst á 1. tölul. 9. gr. laganna, sbr. a-lið 6. gr. reglugerðarinnar.
Samþykki er skilgreint sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig, sbr. 8. tölul. 3. gr. laganna. Þegar vinnsla er byggð á samþykki skal ábyrgðaraðili geta sýnt fram á að skráður einstaklingur hafi samþykkt vinnslu persónuupplýsinga sinna samkvæmt nánari skilyrðum 7. og 8. gr. reglugerðarinnar, sbr. 1. mgr. 10. gr. laganna. Þá segir í 2. mgr. sama ákvæðis að ef hinn skráði gefur samþykki sitt með skriflegri yfirlýsingu sem einnig varðar önnur málefni, skuli beiðnin um samþykki vera sett fram á þann hátt að hún sé auðgreinanleg frá hinum málefnunum, á skiljanlegu og aðgengilegu formi og á skýru og einföldu máli. Þá segir í 3. mgr. ákvæðisins að skráður einstaklingur eigi rétt á að draga samþykki sitt til baka hvenær sem er. Afturköllun samþykkis ætti ekki að hafa áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni. Í 4. mgr. segir að þegar metið sé hvort samþykki sé gefið af fúsum og frjálsum vilja, skuli taka ýtrasta tillit til þess hvort það sé skilyrði fyrir framkvæmd samnings að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem ekki sé nauðsynleg vegna samningsins. Í athugasemdum við 10. gr. í frumvarpi því sem varð að lögum nr. 90/2018 segir að til þess að samþykki teljist upplýst eigi skráður einstaklingur að vita deili á a.m.k. ábyrgðaraðilanum og vera kunnugt um tilgang þeirrar vinnslu sem persónuupplýsingunum er ætlað að þjóna.
Vikið er jafnframt að skilyrðum samþykkis í nokkrum liðum formála reglugerðar (ESB) 2016/679. Í 32. lið hennar kemur fram að samþykki skuli veitt með skýrri staðfestingu, t.d. skriflegri yfirlýsingu, þar á meðal með rafrænum hætti, eða munnlegri yfirlýsingu, á því að fyrir liggi óþvinguð, afmörkuð, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki vinnslu persónuupplýsinga sem varða hann sjálfan. Dæmi af þessum toga gæti t.d. falið í sér að haka við reit þegar farið er inn á vefsetur á netinu eða athöfn sem gefur skýrt til kynna í þessu samhengi að skráður einstaklingur samþykki fyrirhugaða vinnslu á persónuupplýsingum um sig. Vísað er til þess að þögn, reitir sem þegar er búið að haka við eða aðgerðaleysi eiga samkvæmt þessu ekki að geta falið í sér samþykki. Þá segir í umræddum lið formálans að samþykki ætti að ná til allrar vinnslustarfsemi sem fram fer í þágu sama markmiðs, eins eða fleiri. Þegar vinnsla sé í margvíslegum tilgangi ætti að gefa samþykki fyrir hverjum og einum þeirra. Sé um að ræða samþykki við rafrænni beiðni verði beiðnin að vera skýr og skilmerkileg og megi ekki raska óþarflega notkun þjónustunnar sem samþykkið er veitt fyrir. Í 42. lið formála reglugerðar (ESB) 2016/679 er tekið fram að ekki eigi að telja að samþykki hafi verið veitt af fúsum og frjálsum vilja ef hinn skráði hefur ekki raunverulegt val eða frjálst val eða getur ekki neitað eða dregið til baka samþykki án þess að verða fyrir tjóni. Þá segir í 43. lið formálans að til þess að tryggja að samþykki sé veitt af fúsum og frjálsum vilja ætti það ekki að teljast gildur lagagrundvöllur fyrir vinnslu persónuupplýsinga í tilteknu tilviki þar sem skýr aðstöðumunur er milli hins skráða og ábyrgðaraðila.
Við mat á því hvort samþykki kvartanda á viðbótarskilmálum Creditinfo hafi uppfyllt framangreindar kröfur til samþykkis samkvæmt lögum nr. 90/2018 og þar með reglugerð (ESB) 2016/679 þarf að taka mið af þeirri vinnsluaðferð sem fyrirtækið notaði við öflun samþykkis kvartanda og efni þeirra viðbótarskilmála sem hann samþykkti, sbr. umfjöllun þar um í kafla I.4. Eins og atvikum er háttað í því sambandi telur Persónuvernd þá aðferð sem Creditinfo notaði við að bjóða kvartanda upp á að samþykkja umrædda viðbótarskilmála hafa verið á skiljanlegu, auðgreinanlegu og aðgengilegu formi. Creditinfo gat sýnt fram á að samþykkið hefði verið veitt og kvartandi gat hvenær sem var afturkallað samþykki sitt, auk þess sem matið endurreiknaðist þá samkvæmt skilmálunum þannig að ekki væri notast við viðbótarupplýsingar við útreikninginn. Ekki verður séð að samþykkið hafi verið skilyrði fyrir framkvæmd samnings, en kvartandi var ekki tilneyddur til að samþykkja notkun viðbótarskilmála og hann gat neitað því og fengið samt reiknað lánshæfismat um sig, sem þá byggði á gögnum sem Creditinfo hafði heimild til að nota við gerð lánshæfismats.
Fellst Persónuvernd á þau sjónarmið Creditinfo að ekki sé óeðlilegt að krefjast þess að skráðir einstaklingar greiði fyrir aðgang að lánshæfismati fyrirtækisins, sem sé afurð sem sé framleidd hjá því með einhverjum tilkostnaði. Er þá byggt á að um ræði nýtt, uppfært mat sem til verði þegar hinn skráði leitar eftir því en ekki upplýsingar sem þegar voru fyrirliggjandi þannig að við eigi 5. mgr. 12. gr. reglugerðar (ESB) 2016/679, þess efnis að beiðnir frá hinum skráða um meðal annars aðgang að persónuupplýsingum um sig, sbr. 15. gr. reglugerðarinnar, skuli afgreiddar án endurgjalds. Þá er litið til þess að skráðir einstaklingar eiga þess alltaf kost að sjá hvaða upplýsingar það eru sem fyrirtækið notar við gerð lánshæfismats.
Með vísan til framangreinds telur Persónuvernd að samþykki kvartanda hafi uppfyllt skilyrði samkvæmt 10. gr. laga nr. 90/2018 og að þar með hafi Creditinfo haft heimild samkvæmt 1. tölul. 9. gr. laganna til gerðar skýrslna um lánshæfismat kvartanda. Telur Persónuvernd jafnframt að vinnslan hafi verið í samræmi við meginreglur 8. gr. laganna.
Að framangreindu virtu er niðurstaða Persónuverndar sú að sú vinnsla Creditinfo, sem fólst í að útbúa lánshæfismat um kvartanda á grundvelli samþykkis hans, hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Reynir hins vegar jafnframt á hvort Creditinfo hafi verið heimilt að notast við upplýsingar um fyrndar kröfur og úr skuldastöðukerfi Creditinfo við gerð skýrslna um lánshæfismat kvartanda. Upplýsingar um fyrndar kröfur voru ekki hluti af þeim viðbótarupplýsingum sem kvartandi samþykkti að yrðu notaðar við útreikning á lánshæfismati hans, sbr. framangreint. Telur Persónuvernd því Creditinfo ekki hafa getað byggt vinnslu umræddra upplýsinga á heimild 1. tölul. 9. gr. laganna um samþykki sem vinnsluheimild. Verður hér í framhaldinu því lagt mat á heimildir Creditinfo til skráningar og notkunar þessara upplýsinga við gerð skýrslna um lánshæfismat kvartanda.
3.2.
Notkun upplýsinga um fyrndar kröfur og úr skuldastöðukerfi Creditinfo við gerð lánshæfismats
Eins og áður hefur komið fram gerir kvartandi athugasemdir við að kröfur, sem fyrndar eru vegna þess að tveggja ára fyrningarfrestur þeirra er liðinn samkvæmt 2. mgr. 165. gr. laga nr. 21/1991 um gjaldþrotaskipti o.fl., hafi áhrif á útreikning lánshæfismats um hann í fjögur ár frá skráningu þeirra á vanskilaskrá. Sú heimild sem einkum reynir á í því sambandi er að vinnslan hafi verið nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir og grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vegi þyngra, sbr. 6. tölul. 9. gr. laga nr. 90/2018.
Í ljósi framangreinds ber að líta til þess að Creditinfo er heimilt að skrá upplýsingar um töku búa til gjaldþrotaskipta, sbr. 4. tölul. í grein 2.2.2. í starfsleyfi fyrirtækisins (mál nr. 2017/1541). Í 2. mgr. greinar 2.1. segir að séu upplýsingar, sem mæla gegn lánshæfi hins skráða, orðnar fjögurra ára gamlar, megi ekki miðla þeim. Þá segir í 1. mgr. í grein 2.7. í núgildandi starfsleyfi Creditinfo að eyða skuli upplýsingum um einstakar skuldir sé vitað að þeim hafi verið komið í skil, sem og upplýsingum sem orðnar eru fjögurra ára gamlar. Hins vegar kemur einnig fram að geyma má upplýsingar í þrjú ár til viðbótar ef þær lúta ströngum aðgangstakmörkunum og þess er vandlega gætt að engir aðrir hafi aðgang að þeim en þeir starfsmenn Creditinfo sem þess þurfa nauðsynlega starfs síns vegna. Að þeim tíma liðnum skal upplýsingunum eytt. Þá segir meðal annars í 2. mgr. í grein 2.7. í starfsleyfinu að heimilt sé að nýta upplýsingar í þágu gerðar lánshæfismats að beiðni hins skráða að hámarki þar til fjögur ár eru liðin frá skráningu upplýsinganna og að því gefnu að ekki sé miðlað neinum upplýsingum um kröfurnar sjálfar heldur eingöngu tölfræðilegum niðurstöðum.
Persónuvernd hefur nokkrum sinnum áður tekið þá afstöðu að Creditinfo hafi verið heimilt að notast við upplýsingar um fyrri skráningar á vanskilaskrá við gerð lánshæfismats um einstaklinga. Vísast um það nú síðast til úrskurðar Persónuverndar, dags. 11. september 2020, í máli nr. 2020010592. Í þeim úrskurði kemst Persónuvernd að þeirri niðurstöðu að Creditinfo sé heimilt að nýta upplýsingar um færslu á vanskilaskrá félagsins við gerð skýrslna um lánshæfi kvartanda, að hámarki í fjögur ár frá skráningu þeirra upplýsinga, sbr. ákvæði í starfsleyfi Creditinfo þar um. Varðandi rökstuðning Persónuverndar þar að lútandi vísast til framangreinds úrskurðar stofnunarinnar en Persónuvernd telur sömu sjónarmið og þar eiga við í því máli sem hér er til úrlausnar.
Varðandi athugasemdir kvartanda um að notast eigi við annað tímamark um kröfur vegna gjaldþrotaskipta við gerð lánshæfismats er til þess að líta að afleiðingar þess að krafa fyrnist eða henni er komið í skil eru þær sömu, þ.e. ekki er hægt að innheimta þær eftir þau tímamörk. Þá er ljóst að ástæða að baki skráninga upplýsinga á vanskilaskrá er jafnframt sú sama óháð uppruna þeirra krafna sem þar liggja að baki, þ.e. skuldari gat ekki staðið í skilum vegna skuldarinnar. Verður því ekki talið að rök standi til þess að Creditinfo hafi borið að miða við annað tímamark við notkun upplýsinga um fyrri vanskil kvartanda vegna gjaldþrotaskiptanna en mælt er fyrir um í starfsleyfi.
Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla Creditinfo á upplýsingum um gjaldþrot kvartanda við gerð lánshæfismats um hann hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Kvartandi gerir auk þess athugasemdir við að Creditinfo synjaði beiðni hans um yfirlit yfir þá sem miðluðu til fyrirtækisins upplýsingum um fyrndar kröfur á kennitölu hans, sbr. tölvupóst hans til Creditinfo 16. apríl 2019. Svo virðist sem sá hluti kvörtunarinnar sé á því byggður að Creditinfo hafi aflað upplýsinga frá fjármálastofnunum um fyrndar kröfur á hendur kvartanda í gegnum skuldastöðukerfi Creditinfo, og hafi nýtt þær upplýsingar við gerð skýrslu um lánshæfismat hans. Eins og áður hefur komið fram er í gögnum máls að finna skjáskot af vefsvæði kvartanda hjá Creditinfo í tölvupósti hans til fyrirtækisins 13. apríl 2019. Var þar að finna upplýsingar um að skuldastaða og greiðsluhegðun kvartanda hefðu ekki áhrif á lánshæfismat hans.
Jafnframt liggur hins vegar fyrir að kvartandi samþykkti notkun Creditinfo á slíkum upplýsingum, sbr. það sem fram kemur í kafla I.4., og verður því að telja að Creditinfo hafi haft heimild samkvæmt 1. tölul. 9. gr. til að notast við slíkar upplýsingar við gerð lánshæfismats um kvartanda. Hafi upplýsingar, sem miðlað var til Creditinfo, verið rangar eða ófullkomnar er það á ábyrgð viðkomandi kröfuhafa, en hann telst ábyrgðaraðili að miðlun upplýsinganna, sbr. það sem áður hefur komið fram. Eins og áður hefur einnig komið fram voru upplýsingar um fyrri skráningar á vanskilaskrá þær sem helst höfðu áhrif til lækkunar og þær voru ekki sóttar úr skuldastöðukerfi Creditinfo. Hefur ekki komið fram að þær hafi verið unnar þannig að í bága færi við starfsleyfi fyrirtækisins (mál nr. 2017/1541), sbr. einkum 2. mgr. í grein 2.7. í leyfinu.
Varðandi athugasemd kvartanda um að hann hafi ekki fengið lista með yfirliti yfir þá sem miðluðu um hann upplýsingum í skuldastöðukerfi Creditinfo er til þess að líta að kvartandi hefur aflað sér aðgangs að vefsvæði fyrirtækisins en þar er þessar upplýsingar að finna og hefði hann því sjálfur getað sótt þær. Eins og atvikum er hér háttað verður því ekki talið að Creditinfo hafi borið að afhenda kvartanda slíkan lista, sbr. þá undanþágu frá upplýsingarétti hins skráða á grundvelli 15. gr. reglugerðarinnar, sbr. nánari umfjöllun í kafla II.3.3. hér á eftir, sem mælt er fyrir 5. mgr. 12. gr. hennar. Í því ákvæði kemur meðal annars fram að séu beiðnir frá skráðum einstaklingi augljóslega tilefnislausar eða óhóflegar, sé ábyrgðaraðila heimilt að neita að verða við beiðninni, sbr. b-lið ákvæðisins. Fram kemur í sama ákvæði að ábyrgðaraðila ber að sýna fram á að beiðni sé tilefnislaus eða óhófleg. Í því sambandi er til þess að líta að Creditinfo hafði upplýst kvartanda um að hann gæti nálgast þessar upplýsingar á vefsvæði sínu hjá fyrirtækinu, sbr. m.a. tölvupóst frá Creditinfo til kvartanda, 29. apríl 2019. Í ljósi þess og atvika máls að öðru leyti telur Persónuvernd að ekki hafi hvílt á Creditinfo skylda til að afhenda honum umræddan lista.
3.3.
Notkun upplýsinga um eignir – Aðgangs- og upplýsingaréttur
Varðandi athugasemd kvartanda um að Creditinfo hafi ekki leiðrétt eða gert einstaklingsmiðað mat á fjárhagslegri getu hans, þar sem hann eigi þrjár íbúðir, einbýlishús, lausafé, o.fl., er til þess að líta að Persónuvernd hefur áður úrskurðað í máli þar sem reyndi á hvort Creditinfo væri skylt að líta til tekna og eigna skráðra einstaklinga við mat á lánshæfi, sbr. úrskurð, dags. 22. júní 2020, í máli nr. 2020010678. Í málinu komst Persónuvernd að þeirri niðurstöðu að lög gerðu ekki þá kröfu að Creditinfo ætti að líta til slíkra upplýsinga við gerð skýrslna um lánshæfi einstaklinga. Það félli fremur í hlut viðkomandi lánveitanda að taka mið af þess háttar upplýsingum þegar greiðslugeta viðkomandi lántaka væri skoðuð í tengslum við gerð greiðslumats. Á það sama við í máli þessu og verður því ekki talið að Creditinfo hafi borið skylda að líta til umræddra upplýsinga.
Við mat á réttindum kvartanda er nauðsynlegt að fjalla fyrst um þá vinnslu sem býr að baki gerð skýrslna um lánshæfismat hjá Creditinfo. Persónuvernd hefur áður fjallað um upplýsinga- og aðgangsrétt skráðra einstaklinga í tengslum við það mat. Vísast um það til úrskurðar, dags. 11. september 2020, í máli nr. 2020010592. Í úrskurðinum er farið yfir upplýsingar um lánshæfismat Creditinfo á vefsíðu fyrirtækisins, þar sem fram kemur á hverju það byggist, tilgang þess og hvernig það er metið. Er komist að þeirri niðurstöðu að vinnsla Creditinfo á persónuupplýsingum í tengslum við gerð skýrslna um lánshæfismat einstaklinga feli í sér gerð persónusniðs í skilningi 10. tölul. 3. gr. laga nr. 90/2018. Bent er á að slík vinnsla geti verið íþyngjandi fyrir hinn skráða, einkum þegar honum er neitað um vörur eða þjónustu á grundvelli persónusniðsins. Við slíkar aðstæður þurfi því sérstaklega að gæta að ákvæðum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB), sbr. einnig þau réttindi sem kvartanda eru tryggð í III. kafla laga nr. 90/2018, sbr. III. kafla reglugerðar (ESB) 2016/679. Framangreind réttindi geti hinn skráði nýtt gagnvart ábyrgðaraðilanum sem búi til persónusniðið, þ.e. Creditinfo, og eftir atvikum þeim ábyrgðaraðila sem tekur ákvörðun á grundvelli slíkra upplýsinga frá Creditinfo. Í málinu reyndi með sambærilegum hætti og í þessu máli einungis á skyldur Creditinfo í því sambandi sem ábyrgðaraðila þeirrar vinnslu sem kvartað þar yfir, þ.e. á hvort Creditinfo hefði veitt kvartanda fullnægjandi upplýsingar um lánshæfismat hans þegar hann óskaði þess.
Telur Persónuvernd sömu sjónarmið og að framan greinir eiga við í því máli sem nú er til úrlausnar og verður upplýsinga- og aðgangsréttur kvartanda því metinn á grundvelli framangreindra sjónarmiða hér í framhaldinu.
Samkvæmt 2. mgr. 17. gr. laga nr. 90/2018 á skráður einstaklingur rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.-15. gr. reglugerðar (ESB) 2016/679. Eins og áður segir er ljóst að kvartandi óskaði eftir upplýsingum um lánshæfismat sitt þegar það lá fyrir hjá Creditinfo. Um rétt hins skráða til aðgangs að upplýsingum fer samkvæmt 15. gr. reglugerðarinnar um rétt skráðs einstaklings til aðgangs að upplýsingum. Í því ákvæði er meðal annars kveðið á um að skráður einstaklingur skuli hafa rétt til að fá staðfestingu á því frá ábyrgðaraðila hvort unnar séu persónuupplýsingar sem varða hann sjálfan og sé svo, rétt til aðgangs að upplýsingum um meðal annars eftirtalin atriði: tilgang vinnslunnar (a-liður); viðkomandi flokka persónuupplýsinga (b-liður); ef mögulegt er, hversu lengi fyrirhugað er að varðveita persónuupplýsingarnar eða, ef það reynist ekki mögulegt, þær viðmiðanir sem notaðar eru til að ákveða það (d-liður); að fyrir liggi réttur til að fara fram á það við ábyrgðaraðila að láta leiðrétta persónuupplýsingar, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar eða til að andmæla vinnslu (e-liður); ef persónuupplýsinga er ekki aflað hjá hinum skráða, allar fyrirliggjandi upplýsingar um uppruna þeirra (g-liður); og hvort fram fari sjálfvirk ákvarðanataka, þ.m.t. gerð persónusniðs og þá marktækar upplýsingar um þau rök sem þar liggja að baki og einnig um þýðingu fyrirhugaðrar vinnslu fyrir hinn skráða (h-liður).
Leggja þarf mat á hvort þær upplýsingar sem kvartandi fékk með tölvupósti frá Creditinfo 7. desember 2018 og 15. apríl 2019, sbr. nánari könnun Persónuverndar þar um sem lýst er í kafla I.4, uppfylltu framangreind skilyrði samkvæmt 15. gr. reglugerðar (ESB) 2016/679.
Í 63. lið formálsorða reglugerðarinnar er meðal annars vísað til þess að sérhver skráður einstaklingur ætti að hafa rétt til að fá vitneskju og tilkynningu um tilganginn með vinnslu persónuupplýsinga, vinnslutímabil upplýsinganna ef unnt er, viðtakendur þeirra, hvaða rök liggja að baki sjálfvirkri vinnslu persónuupplýsinga og um afleiðingar slíkrar vinnslu, sérstaklega þegar hún er byggð á gerð persónusniðs. Kemur þar jafnframt fram að ábyrgðaraðili ætti að veita hinum skráða fjaraðgang að öruggu kerfi sem veiti honum beinan aðgang að persónuupplýsingum um sig. Er þar síðan vísað til þess að sá réttur ætti þó ekki að hafa neikvæð áhrif á réttindi eða frelsi annarra, þ.m.t. viðskiptaleyndarmál eða hugverkaréttindi og þá einkum höfundarrétt til verndar hugbúnaðinum. Vísað er til þess að niðurstaða þessara atriða ætti þó ekki að vera sú að skráðum einstaklingi sé neitað um allar upplýsingar.
Ljóst er að Creditinfo veitti kvartanda allar þær upplýsingar sem fyrirtækinu er skylt að veita samkvæmt 15. gr. reglugerðar (ESB) 2016/679, sbr. einnig 63. lið formálsorða reglugerðarinnar, bæði í tölvupósti til hans og með þeim upplýsingum sem honum var vísað á, á þjónustusvæði Creditinfo. Ekki verður séð að sú skylda hvíli á Creditinfo samkvæmt 15. gr. eða öðrum ákvæðum persónuverndarlaga að upplýsa kvartanda, og þar með alla notendur vefsvæðis fyrirtækisins, um breytingar sem verða á mati, hverju sinni. Þá skal tekið fram að Persónuvernd telur 5. mgr. 12. gr. reglugerðar (ESB) 2016/ESB, hafa átt við þegar kvartandi óskaði eftir lista yfir þá sem miðluðu um hann upplýsingum í skuldastöðukerfi Creditinfo, sbr. umfjöllun þar að lútandi í kafla II.3.2. hér að framan.
Að framangreindu virtu er niðurstaða Persónuverndar sú að upplýsingaréttur kvartanda samkvæmt 15. gr. reglugerðar (ESB) hafi verið virtur þegar honum voru veittar upplýsingar um lánshæfismat hans. Vinnslan hafi því samrýmst 2. mgr. 17. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. 15. gr. reglugerðar (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vinnsla Creditinfo Lánstrausts hf. á persónuupplýsingum um [A] vegna gerðar skýrslu um lánshæfismat hans og upplýsingaöflun fyrirtækisins í því skyni samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Afgreiðsla Creditinfo Lánstrausts hf. á beiðni [A] um aðgang að upplýsingum um það hvernig vinnsla persónuupplýsinga um hann fór fram samrýmdist lögum nr. 90/2018 og reglugerð (ESB) 2016/679.
Í Persónuvernd, 28. janúar 2021
Ólafur Garðarssonformaður
Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson