UC AB
Diarienummer:
DI-2020-7118
Datum:
2021-12-21
Box 8114
104 20 Stockholm
Webbplats:
E-post:
Telefon:
00-000 00 00
Beslut efter tillsyn enligt kreditupplysningslagen – UC AB
Integritetsskyddsmyndighetens beslut
Integritetsskyddsmyndigheten konstaterar att UC AB lämnar ut uppgifter om fysiska personers studielån i kreditupplysningar utan att säkerställa att uppgifterna är riktiga och uppdaterade. UC AB har därmed inte vidtagit alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. UC AB har därmed behandlat personuppgifter i strid med artikel 5.1 d i dataskyddsförordningen1.
Integritetsskyddsmyndigheten förelägger med stöd av artikel 58.2 d i dataskyddsförordningen UC AB att, senast tre månader från det att detta beslut har vunnit laga kraft, behandla uppgifter om studielån på följande sätt.
När uppgifter om studielån lämnas ut i en kreditupplysning ska uppgift om aktuellt studielån som uppdaterats under den senaste trettioendagarsperioden ingå.
Redogörelse för ärendet
Integritetsskyddsmyndigheten (IMY) har uppmärksammat att UC AB (UC) börjat registrera och lämna ut uppgifter om enskildas CSN-lån i sin kreditupplysningsverksamhet.
IMY har inlett tillsyn mot UC i syfte att utreda vilka uppgifter som behandlas, hur uppgifterna samlas in och till vem uppgifterna lämnas ut samt hur behandlingen förhåller sig till artikel 5 i dataskyddsförordningen och de villkor enligt kreditupplysningslagen (1973:1173) som IMY meddelat UC i beslut den 5 december 2001 (dnr 543-2000).
UC har yttrat sig över IMY:s förelägganden och i huvudsak uppgett följande.
UC behandlar information om vilka lån som en individ har och som registreras hos CSN (annuitetslån, studielån och/eller studiemedelslån) (fortsättningsvis studielån) samt återstående betalningstid i antal år. UC samlar in informationen från årsbesked avseende individens kreditengagemang i förhållande till CSN. Information om eventuella bidrag behandlas inte. Insamlingen av uppgifterna om CSN-lån sker på så
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för
fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
vis att CSN tillhandahåller informationen på fysiskt papper som UC sedan läser in i digitalt format.
UC lämnar ut uppgifterna om CSN-lån till sådana mottagare som ingått avtal med UC avseende uppgifterna samt som har legitimt behov i enlighet med 9 § kreditupplysningslagen. Tilläggstjänsten CSN-lån går att lägga till inom ramen för att kunden köper personupplysningar. Det innebär att UC inte lämnar ut uppgifter om CSN-lån i företagsupplysningar såsom vid utlämnande av information om en enskild näringsidkare, handelsbolagsman eller näringsanknuten person. När kunden har valt att köpa tilläggstjänsten CSN-lån så kommer även den informationsposten att synas i personupplysningen som kunden beställt. UC har hittills lämnat ut uppgift om studielån till banker, kreditmarknadsbolag och konsumentkreditföretag.
UC delar upp CSN-information och kreditengagemang i två separata tilläggstjänster. Uppdelningen av olika informationsposter sker dels som en följd av kommersiella överväganden avseende intäkter och kostnader och dels som en följd av att kunder har olika behov av information. Det innebär att det sedan lång tid tillbaka har funnits olika mängd information i olika kreditupplysningsrapporter och det finns också en prisskillnad mellan de olika kreditupplysningarna.
Av UC:s kreditupplysningstillstånd som beslutades den 5 december 2001 (543-2000) framgår på sidan 3 under punkt 5 att UC får behandla uppgifter om fysiska personers kreditengagemang. Eftersom CSN-lån är kreditengagemang så anser UC att det följer av kreditupplysningstillståndet att UC får behandla den aktuella informationen.
När det handlar om hur behandlingen förhåller sig till artikel 5 i dataskyddsförordningen gäller följande:
Vad gäller artikel 5.1 a om laglighet, öppenhet och korrekthet konstaterar UC att det inte har skett någon ändring av kreditupplysningstillståndet avseende rätten att behandla uppgifter om kreditengagemang sedan kreditupplysningslagen anpassades till dataskyddsförordningen. UC behandlar sedan åtskilliga decennier uppgifter om lån/kreditengagemang om fysiska personer, exempelvis bostadslån, blankolån och konsumentkrediter. Behandlingen av lån har ansetts ske i enlighet med lagstiftningen och kreditupplysningstillståndet både innan och efter dataskyddsförordningens ikraftträdande. Det framgår därtill uttryckligen av 5 a § kreditupplysningslagen att krediter, som lyder under banksekretess, får behandlas i kreditupplysningsverksamhet. CSN-lån är ett kreditengagemang och UC behandlar också i övriga avseenden uppgiften om CSN-lån i enlighet med kreditupplysningslagens och kreditupplysningstillståndet. UC anser att det följer av lagstiftningen och de föreskrifter som IMY meddelat att behandlingen av CSN-lån är laglig och korrekt. UC anser också att uppgifterna behandlas på ett öppet sätt i förhållande till de registrerade på så vis att 11 § kreditupplysningslagen om kopieplikt tillämpas.
Regeringen klargör i prop. 2017/18:120 sidan 53 att 5 § andra stycket kreditupplysningslagen preciserar artikel 5 i dataskyddsförordningen. Eftersom UC behandlar CSN-lån för kreditupplysningsändamål enligt 5 § andra stycket kreditupplysningslagen bedömer UC att artikel 5.1 b i dataskyddsförordningen efterlevs.
Uppgifterna i ett kreditupplysningsregister ska vara adekvata och relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Av förarbetena till kreditupplysningslagen framgår att kreditupplysningsverksamhet sedan
kreditupplysningslagens tillkomst har ansetts ha stor betydelse för det svenska samhället. Angående informationstillgången framgår att det anses nödvändigt för kreditgivarna att ha tillgång till ett gott underlag för sin kreditbedömning för att kreditgivningen ska fungera så friktionsfritt som möjligt och att möjligheten att inhämta information om de lånesökande inte ska begränsas i allt för hög grad eftersom kreditgivningen hämmas och kreditförlusterna ökar.
Av 12 § konsumentkreditlagen följer att en kreditgivare är ansvarig för att göra en kreditprövning innan en kredit beviljas. Kreditprövningen ska grundas på tillräckliga uppgifter. I prop. 2009/2010:242 s. 100-101 förklaras att ”Uttrycket ”tillräckliga uppgifter” är hämtat från direktivet. Med det avses att näringsidkaren måste samla in så många uppgifter att konsumentens betalningsförmåga för krediten i fråga kan bedömas med en hög grad av säkerhet. Näringsidkaren är i allmänhet skyldig att skaffa sig en helhetsbild av konsumentens ekonomiska situation. Uppgifterna ska normalt alltid omfatta konsumentens inkomster och övriga kreditåtaganden… Flera uppgiftskällor kan behöva användas. Uppgifter kan inhämtas från konsumenten, från en kreditupplysning, från en databas som förs av en myndighet, t.ex.
Kronofogdemyndigheten, eller från kreditgivarens eget register eller databas. Informationskällorna är delvis överlappande och vilka informationskällor som ska användas vid en viss kreditprövning får avgöras mot kravet på att prövningen ska grundas på tillräckliga uppgifter. Konsumenten bör normalt tillfrågas om sina ekonomiska förhållanden, men i praktiken är det sällan tillräckligt med uppgifter endast från konsumenten. Konsumentens uppgifter bör alltid kontrolleras, t.ex. med hjälp av en aktuell kreditupplysning. Om näringsidkaren inhämtar en kreditupplysning, är den information som näringsidkaren då får, tillsammans med informationen från konsumenten, i allmänhet tillräcklig, naturligtvis beroende på hur fullständig och aktuell informationen i kreditupplysningen är.”
Konsumentverket har beslutat om allmänna råd, KOVFS 2020:1, som trädde i kraft den 1 juli 2020. Av de allmänna råden avseende kreditprövning anges att uppgifter om skulder bör inhämtas från konsumenten samt att ”inhämtade uppgifter om konsumentens krediter bör kontrolleras mot en kreditupplysning. Om det av kreditupplysningen framgår att konsumenten har ansökt om eller beviljats andra krediter än konsumenten uppgivit bör näringsidkaren kontrollera detta med konsumenten” (se KOVFS 2020:1 under rubriken Till 12-13 §§ - Kreditprövning).
Av uttalandena följer att lagstiftaren att kreditupplysning är en relevant källa att gå till inom ramen för en kreditprövning. Även om uttalandena inte nämner vilka skulder som bör finnas med i en kreditupplysning, så ska uttalandena läsas utifrån perspektivet att lagstiftaren dels vill åstadkomma en kreditprövningsprocess som motverkar överskuldsättning, dels syftar till att upprätthålla institutens soliditet och likviditet och ytterst den finansiella stabiliteten.
CSN-lånen är vanligt förekommande hos låntagare då 1 605 000 hade CSN-lån per 31 december 2019. Totalt CSN-lånebelopp uppgick till 231,8 miljarder och snittskuld per individ 144 000 kronor per 31 december 2019. Totalbeloppet 231,8 miljarder kan likställas med svenska hushållens konsumentkrediter som var 255 miljarder per juni 2020 enligt SCB:s finansmarknadsstatistik.
Ur ett kreditgivningsperspektiv har CSN-lån betydelse för att bedöma individen ur ett ekonomiskt hänseende och en framtida återbetalningsförmåga och är viktig information för att ha ett bra beslutsunderlag som därmed bidrar till att minska
överskuldsättning i samhället. Studielån är en utgift som individen har och som en kreditgivare även behöver väga in i kvar-att-leva-på-kalkylen.
Eftersom CSN-lån kan utgöra en betydande del av en individs skuldsättning och kan på individnivå uppgå till flera hundra tusen kronor, dvs. vid sidan av bostadslån ett av de största lån som en individ tar under sitt liv, så är det av stor vikt att uppgiften framgår av en kreditupplysning för att uppfylla ovan angivna syften.
UC anser inte heller att uppgifternas art skiljer sig från andra kreditengagemang på sätt att de skulle vara mer integritetskränkande i jämförelse med övriga krediter eller att CSN-lån är en mer privat angelägenhet jämfört med blankolån, bostadslån eller andra högkostnadskrediter såsom SMS-lån. Sammanfattningsvis anser UC att behandlingen av CSN-lån är adekvat, relevant och inte för omfattande i förhållande till kreditupplysningsverksamheten.
Av kreditupplysningstillståndet framgår på sidan 7 att IMY inte föreskriver från vilka källor uppgifter får inhämtas men inspektionen förutsätter att de källor som används kommer att vara tillförlitliga och korrekta och att de uppgifter som inhämtas är relevanta för kreditupplysningsverksamheten. UC har inte ansett att CSN såsom myndighet bör särbehandlas negativt i förhållande till övriga myndigheter som tillhandahåller information till UC. UC har tvärt om gjort bedömningen att CSN är en källa som lämnar tillförlitliga och korrekta uppgifter samt att uppgifterna är relevanta för kreditupplysningsverksamheten. Informationen hämtas från de årsbesked som CSN levererar och genomgår sedan UC:s kvalitetsgranskningsrutiner. Individen har precis samma möjlighet att som avseende andra uppgifter i kreditupplysningsregistret att begära att missvisande information eller felaktig information korrigeras enligt 12 § kreditupplysningslagen. Detta innebär att UC utan dröjsmål vidtar åtgärder för att radera eller rätta eventuellt felaktig information. UC anser därför att principen om riktighet efterlevs.
För närvarande uppdateras uppgifterna om studielån och återbetalningstid en gång per år i samband med att nästkommande årsbesked tillhandahålls från CSN. Uppdatering sker därmed under perioden januari/februari efterföljande år.
UC strävar alltid efter att tillhandahålla förändringar som sker efter det att informationens tillgängliggjorts från informationskällan. Ibland är sådana uppdateringar från källan mer frekvent och ibland mindre frekvent. Uppdateringsfrekvensen avseende taxerad inkomst är exempelvis en gång per år. Om det i framtiden är möjligt att uppdatera CSN-lån mer frekvent så kommer UC att se över rutinerna för att åstadkomma detta. Eftersom uppdateringsfrekvensen är årligen så anger UC tydligt att informationen kommer från årsbeskedet och det som redovisas är studielånets saldo vid årets start och saldot vid årets slut. På så vis görs mottagaren av informationen uppmärksam på när informationen uppdaterades och kan vidta de åtgärder som anses nödvändiga i det enskilda fallet.
Regeringen klargör i prop. 2017/18:120 sidan 53 att 8 § kreditupplysningslagen preciserar artikel 5 GDPR vilket i detta fall innebär att UC enligt 8 § kreditupplysningslagen gallrar informationen efter 36 månader. UC bedömer att detta är i enlighet även med artikel 5.1 e. Den nu nämnda gallringstiden möjliggör för UC att i kreditupplysningen tillhandahålla information om CSN-lån för de två senaste åren.
Uppgifterna från CSN behandlas utifrån ett säkerhetsperspektiv på samma sätt som andra uppgifter i kreditupplysningsregistret. UC bedömer att de tekniska och
organisatoriska åtgärder som vidtas är lämpliga och inbegriper skydd mot otillåten eller otillbörlig behandling och mot förlust, förstöring eller skada. Det bör även i detta sammanhang nämnas att kreditupplysningslagen innehåller en lagstadgad sekretess för de uppgifter som behandlas i kreditupplysningsverksamheten.
Motivering av beslutet
Tillämpliga bestämmelser i kreditupplysningslagen och dataskyddsförordningen
I 5 § första stycket kreditupplysningslagen anges att kreditupplysningsverksamhet ska bedrivas så att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut. För sådan behandling av personuppgifter som omfattas av dataskyddsförordningen gäller i stället artikel 5 i den förordningen.
Av 5 a § första stycket kreditupplysningslagen framgår att vad som gäller om tystnadsplikt i verksamheten hos svenska kreditinstitut, betalningsinstitut, institut för elektroniska pengar, värdepappersbolag och företag som med tillstånd driver verksamhet enligt lagen (2014:275) om viss verksamhet med konsumentkrediter eller lagen (2016:1024) om verksamhet med bostadskrediter, hindrar inte att uppgifter om lämnade krediter, betalningsförsummelser och kreditmissbruk utväxlas för kreditupplysningsändamål inom en krets som utgörs av dessa företag samt sådana företag som har tillstånd av Integritetsskyddsmyndigheten enligt 3 § första stycket. Av andra stycket framgår att även vissa utländska kreditinstitut ingår i den slutna kretsen.
Det framgår av artikel 5.1 a i dataskyddsförordningen att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
Av artikel 5.1 c framgår att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
Enligt artikel 5.1 d dataskyddsförordningen ska personuppgifter som behandlas vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).
IMY:s ställningstaganden avseende uppgift om kreditengagemang för kreditupplysningsändamål i tidigare beslut
IMY (vid tidpunkten Datainspektionen) meddelade den 9 oktober 1975 UC tillstånd att föra ett register för kreditupplysningsändamål enligt den då gällande datalagen (1973:289) (dnr 1829-75). UC medgavs i samband därmed tillstånd att registrera uppgift om avbetalningskrediter och motsvarande. Uppgifterna fick hämtas in endast från ”finansieringsföretag”.
Tillståndet förnyades den 2 februari 1987 (dnr 212-86). Uppgifterna fick även fortsättningsvis hämtas in endast från ”finansieringsföretag”. En särskild föreskrift meddelades med innebörd att uppgift om beviljade bankkrediter/kontokort, bankförbindelser samt checklönekonto/personkonto som avslutats på grund av missbruk endast fick användas för bankintern kreditupplysning. UC överklagade den
nya föreskriften till dåvarande besvärsmyndigheten, regeringen. Regeringen ändrade IMY:s beslut på så sätt att dels begränsningen av användning av ifrågavarande uppgifter till intern bankverksamhet upphävdes, dels att en ny föreskrift togs in av innehåll att uppgifter om beviljade krediter och kontokort fick lämnas ut endast till s.k. ”slutna användargrupper”.
I Kreditupplysningsutredningens (Ju 1991:06) slutbetänkande Integritet ocheffektivitet på kreditupplysningsområdet (SOU 1993:110) föreslogs att en bestämmelse motsvarande IMY:s föreskrift om att uppgifter om kreditengagemang endast får spridas inom en sluten användarkrets ska införas i kreditupplysningslagen. Regeringen delade utredningens uppfattning och en bestämmelse om informationsutbyte infördes i kreditupplysningslagen (5 a §). Bestämmelsen trädde i kraft den 1 juli 1997.
Datalagen ersattes av personuppgiftslagen (1998:204) den 24 oktober 1998. Efter önskemål från UC utarbetade IMY den 10 mars 2000 ett förslag till omarbetade villkor och föreskrifter för den kreditupplysningsverksamhet UC bedrev. Förslaget var tänkt att ersätta tidigare beslut om villkor och föreskrifter för verksamheten.
Den 5 december 2001 beslutade IMY med stöd av 4 § kreditupplysningslagen ändring av villkor för hur UC:s kreditupplysningsverksamhet ska bedrivas (dnr 543-2000).
Tidigare meddelade föreskrifter, villkor och medgivanden upphörde därmed att gälla. Beslutet överklagades inte. Villkoren som beslutades gäller således fortfarande.
Sedan den 25 maj 2018 gäller dataskyddsförordningen (GDPR), som då ersatte personuppgiftslagen. Denna förändring med avseende på personuppgiftsbehandling har inte någon betydelse för det villkor som gäller enligt kreditupplysningslagen.
Tillämpligt villkor som meddelats i beslut den 5 december 2001 enligt kreditupplysningslagen
I villkor A.1-7 regleras vilka uppgifter som får behandlas rörande fysiska personer. Uppgift om kreditengagemang regleras i villkor A.5:
A.5 Uppgifter om fysiska personers kreditengagemang
Utöver allmänna uppgifter enligt A.2 ovan får följande uppgifter om kreditengagemang behandlas:
• Kreditgivare
• Typ av kredit
• Datum då krediten beviljades
• Kredittid
• Kreditens, kreditlimitens och den ursprungliga kreditens storlek inklusive utnyttjad kredit, och
• Kontrakts- eller kontonummer
På sidan 12 i beslutet sägs följande i skälen om uppgifter om fysiska personers kreditengagemang:
UC får enligt detta beslut behandla uppgifter som har samband med kreditengagemang. Av 5 a § KuL framgår att vad som gäller om tystnadsplikt i bankers, kreditmarknadsföretags och värdepappersbolags verksamhet hindrar inte att uppgifter om lämnade krediter, betalningsförsummelser och kreditmissbruk utväxlas
för kreditupplysningsändamål inom en krets som utgörs av dessa företag samt sådana företag som har tillstånd att bedriva kreditupplysningsverksamhet. Uppgifterna om bl.a. kreditmissbruk är mycket integritetskänsliga. Datainspektionen förutsätter att dessa uppgifter inte sprids utanför den krets som nämns i bestämmelsen.
Integritetsskyddsmyndighetens bedömning
IMY:s bedömning av om uppgift om studielån är en sådan uppgift som får behandlas enligt de villkor som reglerar UC:s verksamhet
UC får behandla uppgifter om kreditengagemang enligt villkor A.5. När villkoret beslutades avsåg IMY med kreditengagemang sådana krediter som lämnas av de företag som omfattas av den slutna krets av företag som räknas upp i bestämmelsen om informationsutbyte i 5 a § kreditupplysningslagen. Bestämmelserna i 5 a § innebär att sådan tystnadsplikt som gäller i olika finansiella företags verksamhet, exempelvis 1 kap. 10 § lagen (2004:297) om bank- och finansieringsrörelse, inte hindrar att uppgifter om krediter, betalningsförsummelser och kreditmissbruk utväxlas för kreditupplysningsändamål inom en krets som utgörs av dessa företag samt kreditupplysningsföretag. IMY påpekar därför i skälen till villkor A.5 att myndigheten förutsätter att engagemangsuppgifterna inte sprids utanför den krets som nämns i bestämmelsen. Denna begränsning togs inte med i själva villkoret. Villkoret begränsar heller inte från vilka källor uppgift om kreditengagemang får hämtas in.
Uppgift om studielån kan ses som en form av kreditengagemang. Det är däremot inte en kredit som lämnas av sådana finansiella företag som ingår i den slutna kretsen i 5 a
§ kreditupplysningslagen. CSN är en statlig myndighet vars utlåningsverksamhet regleras i studiestödslagen (1999:1395) och studiestödsförordningen (2000:655). CSN:s verksamhet omfattas inte av sådan tystnadsplikt som sägs i 5 a §. CSN ingår inte i den slutna krets av företag som kan utbyta information med varandra enligt 5 a §. IMY bedömer dock att villkoret A.5 getts en sådan utformning att även uppgift om studielån som lämnats av CSN får anses utgöra en sådan uppgift om kreditengagemang som UC får behandla med stöd av villkor A.5.
IMY:s bedömning av om UC:s behandling av uppgift om studielån lever upp till principen om uppgiftsminimering (artikel 5.1 c)
När en kreditgivare står inför att pröva om en sökt kredit ska beviljas är det betydelsefullt för kreditgivaren att ha kännedom om vilka kreditengagemang som den kreditsökande har sedan tidigare. IMY har därför sedan kreditupplysningslagens tillkomst tillåtit att uppgifter om kreditengagemang behandlas för kreditupplysningsändamål. Uppgifterna har fått spridas till kreditgivare inom den finansiella sektorn.
IMY bedömer att även uppgift om kredittagarens studielån är en adekvat och relevant och inte för omfattande uppgift för kreditupplysningsändamål när en kreditupplysning lämnas ut för att ligga till grund för en kreditbedömning av ett företag inom den finansiella sektorn.
Av motiveringen till villkor A.5 framgår att IMY anser att uppgifter om kreditengagemang är mycket känsliga och att IMY därför förutsätter att dessa uppgifter inte sprids utanför den krets som nämns i 5 a §. IMY anser att även en uppgift om studielån är en integritetskänslig uppgift om kreditengagemang som enligt artikel 5.1 c
i dataskyddsförordningen inte bör få lämnas ut i kreditupplysningar i andra fall än när en kreditbedömning ska göras av ett finansiellt företag inom den slutna kretsen i 5 a §.
När kreditupplysningar lämnas ut för att i andra sammanhang ligga till grund för bedömning av någon annans kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hänseende är uppgiften om studielån inte nödvändig och alltför omfattande. En sådan behandling skulle därför strida mot principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen.
UC uppger att uppgifter om studielån hittills endast lämnats ut till företag som ingår i den slutna användarkretsen i 5 a § kreditupplysningslagen. IMY konstaterar mot den bakgrunden att UC:s hittillsvarande hantering är förenlig med principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen.
IMY:s bedömning av om UC:s behandling av uppgift om studielån lever upp till principen om riktighet (artikel 5.1 d)
UC har enligt uppgift lämnat ut uppgift om studielån i kreditupplysningar till banker, kreditmarknadsbolag och konsumentkreditföretag för kreditupplysningsändamål. Uppgifterna har således legat till grund för kreditbedömningar inom den finansiella sektorn.
Enligt artikel 5.1 d i dataskyddsförordningen ska personuppgifter som behandlas vara riktiga och om nödvändigt uppdaterade.
UC samlar in information om studielån från de årsbesked som CSN lämnar till låntagarna. Uppgifterna uppdateras en gång per år i samband med att nästkommande årsbesked tillhandahålls från CSN. Uppdatering sker under perioden januari/februari efterföljande år.
Som IMY redan konstaterat kan det vara betydelsefullt för en kreditgivare att ha kännedom om vilka kreditengagemang som den kreditsökande har sedan tidigare i samband med att kreditgivaren ska pröva om en ny kredit ska beviljas. En förutsättning för att uppgifter om kreditengagemang ska anses vara riktiga för kreditupplysningsändamål är enligt IMY:s mening att uppgifterna är aktuella. UC uppdaterar uppgift om studielån en gång om året. IMY konstaterar att en uppgift om studielån som är upp till tolv månader gammal i många fall inte längre är aktuell. En låntagare kan välja att när som helst betala tillbaka hela eller delar av sitt studielån till CSN. Till detta kommer att från det att låntagaren ska betala tillbaka studielånet ska detta ske med visst belopp som fastställs av CSN för varje kalenderår. Det innebär att en person som har betalat tillbaka hela eller delar av sitt studielån i början av året och/eller följer en fastställd betalningsplan kommer att belastas av negativ kreditupplysningsinformation i UC:s kreditupplysningar i åtskilliga månader efter det att informationen blivit inaktuell. Det finns därmed risk för att en kreditgivare som tagit del av UC:s kreditupplysning fattar ett kreditbeslut som baseras på felaktiga uppgifter om kredittagarens studielån.
Frågan om risk för intrång i den personliga integriteten i samband med utlämnande av uppgift om kreditengagemang har varit föremål för diskussioner mellan IMY och UC i tidigare tillsynsärenden. XXX har ansett att UC minskat risken för intrång i personlig integritet genom innehållet i de upplysningar som förmedlas på ett godtagbart sätt genom att uppdatera uppgift om kreditengagemang en gång i månaden (dnr
1264-2002 och 1212-2005). En uppgift om en enskild persons kreditengagemang inom finansiell sektor har således av IMY tidigare bedömts riktig för ett kreditupplysningsändamål om uppgiften uppdateras åtminstone en gång i månaden.
XXX anser att det saknas anledning att göra någon annan bedömning när det gäller ett kreditengagemang som avser studielån. När en uppgift om studielån lämnas ut i en kreditupplysning ska uppgiften därför vara uppdaterad åtminstone under den senaste månaden, dvs. under den senaste trettioendagarsperioden, för att anses vara riktig för ett kreditupplysningsändamål. Av detta följer även att det är oriktigt att lämna ut uppgift om ”historiskt studielån” i en kreditupplysning, utan att samtidigt ange hur stort det aktuella studielånet är. Den omständigheten att UC uppmärksammar kunden på att uppgiften om studielån kan vara inaktuell sedan upp till ett år tillbaka innebär inte att uppgiften är riktig för ett kreditupplysningsändamål. Det är inte kundens ansvar att uppdatera uppgifter i en kreditupplysning. UC har därmed inte vidtagit alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
IMY konstaterar att UC har behandlat personuppgifter som inte är riktiga i förhållande till ett kreditupplysningsändamål genom att lämna ut uppgifter om enskilda personers studielån som kan vara inaktuella sedan upp till ett år tillbaka i tiden. UC har därmed inte följt principen om riktighet i artikel 5.1 d i dataskyddsförordningen.
Val av korrigerande åtgärder
Om det skett en överträdelse av dataskyddsförordningen har IMY ett antal korrigerande befogenheter att tillgå enligt artikel 58.2 a-j i dataskyddsförordningen. Tillsynsmyndigheten kan bland annat förelägga den personuppgiftsansvarige att se till att behandlingen sker i enlighet med förordningen och om så krävs på ett specifikt sätt och inom en specifik period. Av artikel 58.2 följer att IMY i enlighet med artikel 83 ska påföra sanktionsavgifter utöver eller i stället för andra korrigerande åtgärder som avses i artikel 58.2, beroende på omständigheterna i varje enskilt fall. I artikel 83.2 anges de faktorer som ska beaktas för att bestämma om en administrativ sanktionsavgift ska påföras, men också vad som ska påverka sanktionsavgiftens storlek. Av central betydelse för bedömningen av överträdelsens allvar är dess karaktär, svårighetsgrad och varaktighet. Om det är fråga om en mindre överträdelse får tillsynsmyndigheten, enligt skäl 148 i dataskyddsförordningen, utfärda en reprimand i stället för att påföra en sanktionsavgift.
IMY ska välja en korrigerande åtgärd som är effektiv och avskräckande, men samtidigt proportionell, dvs. rimlig i förhållande till typen av överträdelse, hur allvarlig överträdelsen är och vilka följder den får.
IMY anser att de brister avseende riktighet som konstaterats i ärendet kan åtgärdas genom att UC med stöd av artikel 58.2 d i dataskyddsförordningen föreläggs att behandla uppgift om studielån på ett sådant sätt att behandlingen sker i enlighet med kraven i artikel 5.1 d i dataskyddsförordningen.
UC ska därför föreläggas att endast lämna ut uppgifter om studielån i en kreditupplysning om det i upplysningen ingår uppgifter om aktuellt studielån som uppdaterats under den senaste trettioendagarsperioden.
XXX anser att det är rimligt att UC ges möjlighet att inom tre månader från det att beslutet vinner laga kraft införa nödvändiga rutiner för att efterleva föreläggandet.
Detta beslut har fattats av generaldirektören Xxxx Xxxxxxxx Schelin efter föredragning av avdelningsdirektören Xxxx Xxxxxxx. Vid den slutliga handläggningen har även rättschefen Xxxxx Xxxxxxxx och enhetschefen Xxxxxxxxx Xxxxxxxxx medverkat.
Xxxx Xxxxxxxx Xxxxxxx, 2021-12-21 (Det här är en elektronisk signatur)
Bilaga
Besvärshänvisning
Kopia till:
Justitiekanslern
Hur man överklagar
Om ni vill överklaga beslutet ska ni skriva till Integritetsskyddsmyndigheten. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Integritetsskyddsmyndigheten senast tre veckor från den dag ni fick del av beslutet. Integritetsskyddsmyndigheten sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning, om myndigheten inte själv ändrar beslutet på det sätt ni har begärt. Även Justitiekanslern får överklaga beslutet för att tillvarata allmänna intressen. Tiden för överklagande för Justitiekanslern räknas dock från den dag beslutet meddelades.
Ni kan e-posta överklagandet till Integritetsskyddsmyndigheten om det inte innehåller några integritetskänsliga personuppgifter eller uppgifter som kan omfattas av sekretess. Myndighetens kontaktuppgifter framgår av beslutets första sida.