Prentað þann 25. nóv. 2024
246/2001
Reglugerð um söfnun og miðlun upplýsinga um fjárhagsmálefni og lánstraust.
I. KAFLI Markmið, gildissvið og skilgreiningar.
1. gr. Markmið og gildissvið.
Markmið reglugerðar þessarar er að tryggja öryggi, áreiðanleika og gæði vinnslu upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga, fyrirtækja og annarra lögaðila. Reglugerðin tekur ekki til starfsemi sem felst í útgáfu skýrslna um lánshæfi.
Reglugerðin á einvörðungu við um vinnslu í því skyni að miðla upplýsingum til annarra um fjárhagsmálefni og lánstraust. Ef ekki er stofnað til vinnslu í slíkum tilgangi fellur hún utan gildissviðs reglugerðarinnar. Það á t.d. við um vinnslu sérhvers banka og sérhvers sparisjóðs á slíkum upplýsingum sem einvörðungu er til eigin nota.
II. KAFLI Skyldur ábyrgðaraðila.
2. gr. Skyldur fjárhagsupplýsingastofa.
Söfnun og skráning upplýsinga sem varða fjárhagsmálefni og lánstraust einstaklinga og lögaðila, í því skyni að miðla þeim til annarra, er óheimil án starfsleyfis sem Persónuvernd veitir. Þeim einum má veita slíkt starfsleyfi sem að mati Persónuverndar er líklegur til að geta fullnægt skyldum ábyrgðaraðila samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga, þ. á m. samkvæmt reglum sem Persónuvernd hefur sett um trúnað, áreiðanleika, öryggi og innra eftirlit við vinnslu persónuupplýsinga. Er handhafi slíks leyfis í reglum þessum nefndur fjárhagsupplýsingastofa.
Persónuvernd getur bundið slíkt starfsleyfi þeim skilmálum sem hún telur vera nauðsynlega hverju sinni. Skal hún þá m.a. taka mið af þeim atriðum er greinir í 35. gr. laga um persónuvernd og meðferð persónuupplýsinga. Ef sérstaklega stendur á að mati Persónuverndar, getur stofnunin vikið frá ákvæðum reglugerðarinnar við veitingu starfsleyfis.
3. gr. Persónuupplýsingar sem fjárhagsupplýsingastofu er heimilt að vinna með.
Fjárhagsupplýsingastofu er einungis heimilt að vinna með upplýsingar sem eðli sínu samkvæmt hafa afgerandi þýðingu við mat á fjárhag og lánstrausti hins skráða. Aldrei er þó heimilt að vinna með viðkvæmar persónuupplýsingar, sbr. 8. tl. 2. gr. laga um persónuvernd og meðferð persónuupplýsinga.
Fjárhagsupplýsingastofu er heimilt að vinna með upplýsingar um nafn manns eða lögaðila, heimilisfang, kennitölu, félagsform, stöðu og atvinnu eða aðrar upplýsingar sem hægt er að fá úr opinberum skrám. Upplýsingar um skuldastöðu aðila má ekki veita með þeim hætti að þær geti verið grundvöllur mats á fjárhagslegri stöðu annars en þess er upplýsingarnar varða beinlínis.
Persónuvernd getur veitt fjárhagsupplýsingastofu sérstaka heimild til að safna og vinna með upplýsingar um önnur atriði en þau sem greind eru í 2. mgr.
Upplýsingar um fjárhagsmálefni og lánstraust, sem eldri eru en fjögurra ára, er fjárhagsupplýsingastofu óheimilt að skrá eða miðla nema ótvírætt sé að viðkomandi upplýsingar hafi enn verulega þýðingu við mat á fjárhag eða lánstrausti hins skráða.
4. gr. Viðvörunar- og fræðsluskylda.
Þegar fjárhagsupplýsingastofa safnar fjárhagsupplýsingum frá öðrum en hinum skráða skal hún samtímis gera hinum skráða viðvart og skýra honum frá eftirtöldum atriðum:
- hvert sé nafn og heimilisfang fjárhagsupplýsingastofu;
- hver beri daglega ábyrgð á því að fullnægt sé skyldum ábyrgðaraðila samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga og reglum sem settar hafa verið á grundvelli þeirra;
- hver sé tilgangur vinnslunnar;
- hvaða persónuupplýsingar um viðkomandi verði unnið með;
- hvaðan upplýsingar koma;
- hverjir verði viðtakendur upplýsinga, þar á meðal um hvort ætlunin sé að miðla upplýsingum um netið eða flytja þær með öðrum hætti úr landi, hvernig og til hverra.
Fjárhagsupplýsingastofu ber að senda viðvörun skv. 1. mgr. eigi síðar en 14 dögum áður en upplýsingunum er miðlað í fyrsta sinn. Slík skylda á ekki við ef ætla má að hinum skráða sé þegar kunnugt um vinnsluna, svo sem vegna þess að hann hafi fengið tilkynningu þegar nafn hans var í fyrsta sinn fært á umrædda skrá, enda hafi ekki lengri tími en eitt ár liðið frá síðustu skráningu. Persónuvernd getur mælt fyrir um víðtækari eða einfaldari viðvörunarskyldu.
Ef upplýsingar um fjárhagsmálefni og lánstraust eru fengnar hjá hinum skráða skal fjárhagsupplýsingastofa fræða hann um hver sé ábyrgðaraðili, hvert sé markmið söfnunarinnar, hvernig auðkenningu upplýsinga verði hagað, hverjum upplýsingarnar verði afhentar, hvort honum sé skylt eða valfrjálst að veita umbeðnar upplýsingar og hvaða afleiðingar það kunni að hafa í för með sér geri hann það ekki. Fræðsluskyldan hvílir á forsvarsmanni viðkomandi fjárhagsupplýsingastofu, eða eftir atvikum starfsmanni hans eða vinnsluaðila, en fellur brott hafi hinn skráði þegar fengið vitneskju um þessi atriði.
Frekari fræðslu skal veita ef það er nauðsynlegt til að tryggja að hinn skráði geti gætt hagsmuna sinna, t.d. fræða hann um upplýsingarétt sinn samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga.
5. gr. Leiðrétting og eyðing persónuupplýsinga.
Hafi fjárhagsupplýsingastofa unnið með upplýsingar sem eru rangar, villandi eða ófullkomnar, eða hafi persónuupplýsingar verið skráðar án tilskilinnar heimildar, skal hún sjá til þess að upplýsingarnar verði leiðréttar, þeim eytt eða við þær aukið ef umræddur annmarki getur haft áhrif á hagsmuni hins skráða. Hafi slíkum upplýsingum verið miðlað eða þær notaðar ber ábyrgðaraðila, eftir því sem honum er frekast unnt, að hindra að það hafi áhrif á hagsmuni hins skráða.
Ef eyðing eða breyting þeirra upplýsinga sem um ræðir í 1. mgr. er óheimil samkvæmt ákvæðum annarra laga getur Persónuvernd bannað notkun upplýsinganna.
Eyða skal jafnharðan úr skrám fjárhagsupplýsingastofu upplýsingum sem eru eldri en fjögurra ára, nema annað sé sérstaklega heimilað í starfsleyfi frá Persónuvernd.
Um eyðingu og bann við notkun persónuupplýsinga sem hvorki eru rangar né villandi fer samkvæmt 26. gr. laga um persónuvernd og meðferð persónuupplýsinga.
6. gr. Hvernig má miðla upplýsingum.
Upplýsingar um fjárhag og atriði er varða mat á lánstrausti má láta öðrum í té skriflega eða með netlínutengingu við áskrifendur, sem gerir þeim kleift að fletta upp einstökum aðilum (einum í einu). Skal þess gætt að viðhafa nauðsynlegar öryggisráðstafanir til að fyrirbyggja að áskrifendur geti afritað skrána, samtengt hana við aðrar skrár eða unnið með hana á annan hátt en til uppflettingar. Að öðru leyti skal Persónuvernd tilgreina nánar í starfsleyfi með hvaða aðferð hlutaðeigandi fjárhagsupplýsingastofu er heimilt að láta frá sér upplýsingar.
Upplýsingar um nafn og heimilisfang fyrirspyrjanda skal ávallt skrá, svo og hverjum fyrirspyrjandi hefur flett upp. Varðveita skal gögn um þetta í a.m.k. 2 ár.
Óheimilt er að miðla upplýsingum um nafn aðila ef fjárhagsupplýsingastofu er kunnugt um að sú krafa, er liggur skráningu til grundvallar, hafi verið greidd eða henni komið í skil með öðrum hætti. Á þetta við hvort heldur um er að ræða almennt aðgengilegar upplýsingar eða ekki. Sýni skráður aðili fjárhagsupplýsingastofu fram á að umrædd krafa hafi verið að fullu greidd, eða henni komið í skil með öðrum hætti, ber fjárhagsupplýsingastofu að stöðva alla frekari miðlun umræddra upplýsinga. Þetta gildir þó ekki um skráðar upplýsingar um gjaldþrotaúrskurði og skiptalok.
III. KAFLI Réttur hins skráða.
7. gr. Upplýsingaréttur hins skráða.
Nú telur aðili að unnið sé með fjárhagsupplýsingar um hann og er fjárhagsupplýsingastofu þá skylt að skýra honum frá því, óski hann þess. Skal það gert sem fyrst og eigi síðar en innan tveggja vikna frá því að ósk kom fram. Skal í svari fjárhagsupplýsingastofunnar greint frá þeim upplýsingum sem hún hefur unnið með og látið frá sér fara á síðustu tveimur árum um hagi beiðanda.
Samkvæmt 1. mgr. á hinn skráði m.a. rétt á að fá upplýsingar um:
- hvaða upplýsingar um hann er eða hefur verið unnið með;
- tilgang vinnslunnar;
- hver fær, hefur fengið eða getur fengið upplýsingar um hann;
- hvaðan upplýsingarnar hafa komið;
- hvaða öryggisráðstafanir eru og verði viðhafðar við vinnslu.
Hafi fjárhagsupplýsingastofan í vörslum sínum frekari upplýsingar um hinn skráða en þær sem beiðnin lýtur að er fjárhagsupplýsingastofu skylt að gera beiðanda grein fyrir þeim og jafnframt fyrir rétti hans til að kynna sér efni gagna af eigin raun.
Hinn skráði getur gert kröfu um að fá svör skv. 1.–3. mgr. frá ábyrgðaraðila, eða eftir atvikum fulltrúa hans, ef það á við, skriflega.
8. gr. Andmælaréttur hins skráða.
Þegar hinum skráða berst frá fjárhagsupplýsingastofu viðvörun skv. 4. gr. er honum heimilt að andmæla vinnslu slíkra upplýsinga um sjálfan sig, ef hann hefur til þess lögmætar og knýjandi ástæður. Beri aðili fram slík andmæli, og eigi þau rétt á sér, er fjárhagsupplýsingastofu óheimilt að miðla upplýsingunum. Berist fjárhagsupplýsingastofu slík beiðni en telji hana ekki eiga rétt á sér skal hún greina frá niðurstöðu sinni með skriflegum hætti, eigi síðar en innan 14 daga frá því beiðnin barst henni. Í synjun skal leiðbeina hinum skráða um rétt hans til að kæra synjunina til Persónuverndar innan þriggja mánaða.
IV. KAFLI Gildistaka o.fl.
9. gr.
Reglugerð þessi, sem sett er samkvæmt heimild í 2. mgr. 45. gr. laga um persónuvernd og meðferð persónuupplýsinga, nr. 77 23. maí 2000, öðlast þegar gildi.
Dóms- og kirkjumálaráðuneytinu, 13. mars 2001.
Sólveig Pétursdóttir.
Björn Friðfinnsson.
Fyrirvari
Reglugerðir eru birtar í B-deild Stjórnartíðinda skv. 3. gr. laga um Stjórnartíðindi og Lögbirtingablað, nr. 15/2005, sbr. reglugerð um útgáfu Stjórnartíðinda nr. 958/2005.
Sé misræmi milli þess texta sem birtist hér í safninu og þess sem birtur er í útgáfu B-deildar Stjórnartíðinda skal sá síðarnefndi ráða.