Moteris savo skunde Valstybinei duomenų apsaugos inspekcijai (VDAI) nurodė, kad „CreditInfo Lietuva“ renka jos duomenis, siekdama apskaičiuoti ir sukurti kredito reitingą, duomenis tvarko, keičia, tačiau ji neturi jokių skolų ar įsipareigojimų. Moters manymu, taip bendrovė neteisėtai tvarko jos duomenis apie kredito reitingą, jo klasę.
Ir inspekcija neatrado pagrindo, kad bendrovė turėtų teisę tvarkyti duomenis sudarinėjant kreditingumo ataskaitas ar kredito reitingo sudarymo tikslais.
„Bendrovė neįrodė, kad turi duomenų valdytojų (pvz., bankų – LOGIN.LT) įpareigojimus tvarkyti šiuos asmens duomenis kreditingumo ataskaitos sudarymo ir kredito reitingo paskaičiavimo tikslu“, – rašoma VDAI sprendime.
Institucija įvertino, kad vartotojos duomenys apie turimus finansinius įsipareigojimus buvo panaudoti neteisėtai, be to, pažeidimo mastas gerokai platesnis, nei minėtos moters situacija.
„Padarytas pažeidimas siejamas su pagrindinių duomenų tvarkymo principų pažeidimais pagal BDAR 5, 6 straipsnius ir pagal savo pobūdį priskirtinas sunkesnių pažeidimų kategorijai, taip pat į tai, kad nustatytas pažeidimas yra sisteminis, susijęs ne su pavieniu asmeniu, tęstinio pobūdžio ir truko ilgą laiką. Inspekcija Bendrovės veiksmus tvarkant duomenis apie finansinius įsipareigojimus kitais tikslais nei numatyta vertino kaip tyčinius ir laikė tai atsakomybę sunkinančiu veiksniu“, – rašoma sprendime.
Už tai pernai metų pabaigoje „CreditInfo Lietuva“ skirta 20-ies tūkstančių eurų bauda. Tačiau galutinį tašką šioje istorijoje turės padėti teismas.
Paprašyta pagrįsti – pagrindimo nepateikė
„CreditInfo Lietuva“ skundo nagrinėjimo metu paaiškino, kad kreditingumo ataskaitos sudarymas, kredito reitingo skaičiavimas yra kompleksinė duomenų tvarkymo operacija ir šiai ataskaitai naudojama iš skirtingų šaltinių ir skirtingais pagrindais gaunama informacija.
Informaciją apie finansinius įsipareigojimus „CreditInfo Lietuva“ gauna tiesiogiai iš finansinių institucijų ir šiuos duomenis tvarko jų pavedimu, veikdama kaip duomenų tvarkytojas, ne valdytojas. Kitus duomenis, pvz., mokėjimų istoriją, nepadengtus įsiskolinimus įmonė tvarko kaip savarankiškas duomenų valdytojas, o tikslas – kreditingumo vertinimas ir įsiskolinimų valdymas, dėstoma VDAI medžiagoje.
Tačiau kai inspekcija paprašė įmonės pateikti visų su duomenų valdytojais sudarytų sutarčių kopijas, kur būtų matyti, kad „CreditInfo Lietuva“ yra įpareigota duomenų valdytojų vardu tvarkyti asmenų duomenis kreditingumo ataskaitos sudarymo ir kredito reitingo skaičiavimo tikslais, bendrovė jų inspekcijai nepateikė.
VDAI konstatavo, kad bendrovė viršijo duomenų valdytojų duodamus nurodymus dėl asmens duomenų tvarkymo ir atitinkamai, kai pradėjo naudoti duomenis apie turimus įsipareigojimus kitais tikslais nei numatyta asmens duomenų tvarkymo sutartyse, tapo šių duomenų valdytoja, kuriai kilo pareiga pagrįsti asmens duomenų tvarkymo teisėtumą, tačiau Bendrovė jo nepagrindė.
Kreipėsi į teismą
„Creditinfo“ atstovai informavo, kad dėl VDAI sprendimo vyksta teisminis ginčas. Tiesiogiai vykstančio ginčo bendrovė nekomentavo, kol nėra jų rezultatų.
„Kredito biuro veikla susijusi su duomenų rinkimu ir analize. Prieš daugiau kaip 20 metų kredito biurą „Creditinfo Lietuva“ sukūrė kelios finansų ir kitą veiklą vykdančios bendrovės, kurių veiklai užtikrinti reikėjo kredito biuro duomenų. Kredito biuro veiklos reikia ir Lietuvos gyventojams – surinktų ir apibendrintų duomenų pagrindu jiems įvairios finansų, lizingo ir kitos kredituojančios bendrovės teikia paskolas, leidžia įsigyti prekių išsimokėtinai“, – paaiškina „Creditinfo Lietuva“ vadovas Aurimas Kačinskas.
Skaičiuojant reitingą yra vertinama, kada atsirado skola, kada ji buvo padengta, ar dažnai asmuo kreipiasi dėl vartojimo paskolų ne į bankus, ir pan., paaiškina jis. Kredito biuras duomenis gauna pagal dviejų tipų sutartis: pozityviems duomenis, apie prisiimtus ir vykdomus įsipareigojimus, kurie jokios įtakos fizinių asmenų kredito reitingams neturi, bei negatyviems duomenims, apie nevykdomus įsipareigojimus, pvz., skolas bankams, telekomunikacijos, energetikos, komunalinių paslaugų ar kitoms verslo įmonėms.
„Duomenims teikti su visomis šalimis yra sudaromos sutartys, kurias abi šalys pasirašo siekdamos įgyvendinti savo tikslus. Kredito biurui teikti duomenis nėra privalu – juos privaloma teikti tik Lietuvos banko PRBD (paskolų rizikos duomenų bazei). Tačiau mes, kredito biuro atstovai, labai skatiname visas šalis dalintis duomenimis – kuo platesnius duomenis turime, tuo tiksliau galime įvertinti kiekvieno kliento rizikingumą ir padėti visoms šalims priimti pagrįstus sprendimus. Pvz., apsaugoti įmones nuo nepatikimų klientų, išvengti „domino efekto“, kai dėl vieno skolininko į skolas įklimpsta vis daugiau kitų asmenų ar įmonių“, – dėsto A. Kačinskas.
Jis pastebi, kad gyventojai į kredito biurą gyventojai dažniausiai kreipiasi tada, kai iš kreditorių gauna informaciją, jog jų nevykdomi įsipareigojimai perduodami į kredito biuro sistemą (KBS), t. y. patenka į įmonės vidinę skolininkų duomenų bazę.
„Kredito biuro vaidmuo – surinkti ir apdoroti kreditingumo nustatymui reikalingą informaciją taip, kad finansiškai drausmingi, patikimi klientai galėtų kuo paprasčiau naudotis finansavimo paslaugomis, o apie nepatikimus klientai kreditoriai laiku gautų reikiamą informaciją ir galėtų priimti sprendimą, ar jie nori tokį klientą finansuoti ir kokiomis sąlygomis tai sutiktų daryti“, – pabrėžė vadovas.
Jis pabrėžė, kad norint geresnio reitingo svarbu tvarkingai mokėti sąskaitas, nes vos kelių eurų skola gali tapti didelės problemos šaltiniu.
VDAI neginčija, kad mokumo vertinimo tikslais duomenis gali rinkti
Valstybinės duomenų apsaugos inspekcija LOGIN.LT pakomentavo: „Priimtas sprendimas yra susijęs su neteisėtu asmens duomenų tvarkymu ir Bendrajame duomenų apsaugos reglamente (toliau – BDAR) įtvirtintu tikslo apribojimo principo pažeidimu“.
VDAI nagrinėjo asmens duomenų tvarkymo teisėtumo klausimus: ar duomenų valdytojas tvarkė asmens duomenis teisėtu tikslu, teisėtu pagrindu, užtikrindamas teisėto asmens duomenų tvarkymo principų įgyvendinimą, ir ar gali tai įrodyti.
„Šiuo konkrečiu atveju VDAI nusprendė, kad duomenys apie turimus finansinius įsipareigojimus, kurie turėtų būti tvarkomi tik besikreipiančio į finansų įstaigą asmens mokumo įvertinimo tikslu, negalėjo būti naudojami kreditingumo ataskaitos ir kredito reitingo sudarymo tikslu, kadangi šis asmens duomenų panaudojimo tikslas nebuvo nurodytas duomenų tvarkymo sutartyje su finansų institucija ir bendrovė neįrodė, kad turi duomenų valdytojų įpareigojimus tvarkyti šiuos asmens duomenis kreditingumo ataskaitos sudarymo ir kredito reitingo paskaičiavimo tikslu“, – pabrėžia VDAI.
Šis sprendimas savaime nereiškia, kad ir kiti duomenų valdytojai, nustatydami kredito reitingus, daro pažeidimą. Svarbu įrodyti, kad duomenų valdytojai turi pareigą arba teisę duomenis tvarkyti atitinkamais tikslais.
Kokias teises šiuo atveju turi gyventojai – BDAR suteikia teisę susipažinti su tvarkomais asmens duomenimis, teisę reikalauti ištaisyti netikslius duomenis, teisę reikalauti ištrinti duomenis.
Tačiau teisės nėra absoliučios, BDAR taip pat nustato sąlygas, kurioms esant suteikiamos teisės gali būt (ne)įgyvendinamos.
Anot VDAI, automatiškai apskaičiuotą kredito reitingą galima užginčyti.
„Kai asmens duomenų tvarkymas susijęs su automatizuotu sprendimų priėmimu, duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį. Automatizuoto duomenų tvarkymo atveju duomenų subjektai turi teisę iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą“, – vertina institucija.
Teisininkė įžvelgia, kad renkama neproporcingai daug duomenų
Advokatų profesinės bendrijos COBALT vyresnioji teisininkė Renata Vasiliauskienė įsitikinusi, kad kreditų biurai leidžia sau per daug. Anot jos, kreditų biuras turi teisę tam tikrus duomenis tvarkyti be žmonių sutikimo, nes turi aukštesnį teisėtą interesą įvertinti asmens mokumą apibrėžtais atvejais. Tačiau teisės nėra absoliučios.
„Aš pati savo darbe labai dažnai susiduriu su tokiu klausimu – jeigu aš vadovavau įmonei, kuri bankrutavo prieš 10 metų, tai dabartinei mano įmonei užkerta kelią daryti verslą“, – nusistebėjo R. Vasiliauskienė.
Jau ir šiuo metu ES Teisingumo teismas nagrinėja tris bylas, susijusias su kreditingumo vertinimu, tik galutinių sprendimų dar nėra.
„Kiekvienas priežiūros institucijos ar teismo sprendimas, kuris suvaržo privačios kredito reitingų įmonės galias, žmonėms reiškia daugiau privatumo. Tai reiškia, kad liks mažiau galimybių legaliai naudoti duomenis ir su jais kažką daryti“, – pažymi teisininkė.
Ji papasakojo pavyzdį, kad Vokietijoje automatizuotu būdu sudarytas kredito reitingas žmogui, kuris neturi skolų, lėmė tai, kad negalėjo sudaryti sutarties su elektros energijos tiekėju.
Ir ES Teisingumo teisme generalinis advokatas jau išdėstė savo vertinimą, kad Vokietijos kreditų biuras „Schufa“, tvarkydamas 68 mln. klientų duomenis, pažeidė BDAR. Anot jo, kreditų biuras negali laikyti informacijos ilgiau, nei jie laikomi viešuose registruose. Vokietijoje pagal Nemokumo kodeksą informacija apie skolininką turi būti išbraukta iš viešo registro ne vėliau kaip per šešis mėnesius nuo bankroto bylos nutraukimo arba bankroto bylos užbaigimo įsiteisėjimo. Tuo metu „Schufa“ informaciją saugojo net trejus metus po bankroto pabaigos.
Tai dar nėra nuosprendis teisme, tačiau „Schufa“ pati, nelaukdama teismo pabaigos, terminą sutrumpino iki 6 mėn., rašo pinsentmasons.com.
Teisininkė R. Vasiliauskienė paaiškina, kad paprastai ES Teisingumo teismas atsižvelgia į generalinio advokato vertinimą. Jei nusistovės nauja europinė praktika, ji turės ateiti ir į Lietuvą.
„Kredito reitingų agentūra, šiuo atveju „CreditInfo“, veikia dviem skirtingais vaidmenimis. Kartais jie veikia kaip duomenų tvarkytojas ir tvarko duomenis dėl to, kad finansų įstaigos – bankai, „fintechai“ ir kt. – turi įpareigojimus tuos duomenis tvarkyti. O kartais jie vis dėlto tampa valdytojais – reiškia, patys taip nusprendžia. Ir ką inspekcija pasakė, kad dėl pirmosios dalies, kai duomenis tvarko pagal reikalavimus, kaip tvarkytojai, nebuvo rasta pažeidimų. Pažeidimai rasti toje dalyje, kur jie yra laikomi duomenų valdytojais“, – VDAI sprendimą apžvelgia R. Vasiliauskienė.
Įstatymuose nustatyti atvejai, kada finansų įstaigos privalo atpažinti savo klientus, kada ir kaip vertinti jų mokumą, užkirsti kelią pinigų plovimui ir pan.
„Tokia paslauga kaip kažkoks kreditingumo vertinimas turės likti. Tik jis turi būti objektyvus. Jei pasibaigus byloms bus nuspręsta, kad negalima ataskaitų sudarinėti automatiškai apie visus, tai reiškia, kad turėsime daugiau galimybių. Galėsime kreiptis į tą patį „CreditInfo“ ir klausti: žiūrėkit, noriu sužinoti, kaip jūs sudarėte mano reitingą, koks jis. Dabar jie tokių dalykų neatskleidžia. O šis klausimas labai svarbus, jis turi lemiamą reikšmę priimant įvairius gyvenimiškus sprendimus. Jeigu turėtumėte prastą kredito reitingą dėl neaišku kokių priežasčių, jūs tiesiog negautumėte paslaugų, kreditų“, – pažymėjo R. Vasiliauskienė.
Ji įsitikinusi, kad 10 metų įvykiai dažnai nebeatspindi dabartinės situacijos, tokios informacijos kaupimas yra neproporcingas – tai neturėtų veikti žmonių gyvenimų ar įmonių veiklos.
„VDAI savo trumpame pranešime taip ir pasakė: mes sutinkame, kad dalis duomenų jums reikalingi, jūs turite teikti bankams paslaugas pagal sutartis, ir čia bankai yra duomenų valdytojai, arba savininkai, jūs tuos duomenis tvarkote formaliai. Bet yra daugybė duomenų, kuriuos jūs patys generuojate, ir kredito reitingas yra vienas iš jų. Mes jūsų klausėme, bet jūs nepasakėte, kokį pagrindą jūs turite. <...> O jei jie valdytojai – jie turi pagrįsti, kam ir kodėl tuos duomenis turi“, – apibendrino COBALT teisininkė.