Kundregister hos banker Datainspektionens rapport December 1998
Innehållsförteckning Inledning 3 Regler om registrering och behandling av kunduppgifter 3 Allmänt om innehållet i kundregistren hos de inspekterade bankerna 4 Kommentar 5 Användning av kreditupplysningsuppgifter vid kreditprövning 5 Kommentar 6 Slutsatser 6 2
Inledning Under tiden den 31 mars 1998 den 10 september 1998 genomförde Datainspektionen inspektioner med stöd av datalagen (1973:289) hos följande banker: Den Danske Bank Aktieselskab, Danmark, Sverige Filial FöreningsSparbanken Aktiebolag HSB Bank Aktiebolag GE Capital Bank Aktiebolag Nordbanken Aktiebolag Skandia Banken Aktiebolag Skandinaviska Enskilda Banken Aktiebolag Svenska Handelsbanken Aktiebolag Syftet med inspektionerna var att undersöka vilka uppgifter bankerna registrerar om sina kunder, framför allt vad gäller uppgifter om kundens betalningsvilja/förmåga samt hur dessa uppgifter används. Regler om registrering och behandling av kunduppgifter Före den 1 juli 1982 krävdes tillstånd enligt datalagen för att inrätta och föra kundregister. För att underlätta för bankerna utformade Datainspektionen en mall för ansökningar från banker, den s.k. bankmallen. Tre av de inspekterade bankerna har sådana tillstånd. Uppgifter om t.ex. skötselstatistik antal påminnelser/krav, antal överränteberäkningar, antal övertrasseringar samt antal anstånd - och uppgifter om att en fordran blivit nödlidande samt om lagsökningar, utmätningar och konkurser får registreras enligt bankmallen. Kravet på tillstånd enligt datalagen för kundregister upphörde den 1 juli 1982. Däremot krävdes det även i fortsättningen tillstånd för registrering av s.k. känsliga uppgifter (t.ex. uppgifter om brott och straff) samt för att registrera personuppgifter som hade hämtats från andra personregister. Även uppgifter som utgör omdömen eller andra värderande upplysningar i ett kundregister krävde tillstånd. Datainspektionen har i sin tillståndspraxis inte godtagit att uppgifter om enskilda personers ekonomi hämtas från kreditupplysningsföretag för att registreras i kundregister. Däremot har ett sådant inhämtande kunnat ske inom ramen för särskilda tillstånd, för kreditmallsprövning eller credit scoring, där uppgifter från kreditansökan eller kundreskontran sambearbetas med kreditupplysningsuppgifter hos ett kreditupplysningsföretag som underlag för kreditprövning. För den typen av tillstånd har Datainspektionen meddelat föreskrifter om bl.a. information till den registrerade och korta bevarandetider. 3
Personuppgiftslagen (1998:204) trädde i kraft den 24 oktober 1998 samtidigt som datalagen upphörde att gälla. Enligt personuppgiftslagens övergångsregler gäller dock datalagen till och med den 30 september 2001 för behandlingar av personuppgifter som påbörjats före ikraftträdandet. Datalagen gäller således fortfarande för de inspekterade registren. Enligt personuppgiftslagen är huvudregeln att personuppgifter endast får behandlas om den registrerade, efter att ha fått information, samtyckt till behandlingen. Samtycke krävs dock inte om behandlingen är nödvändig för att ett avtal med den registrerade skall kunna fullgöras. Enligt personuppgiftslagen är ett omdöme om en registrerad inte en känslig uppgift. De uppgifter som skall behandlas skall vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Uppgifter om lagöverträdelser får i princip bara behandlas av myndigheter. Allmänt om innehållet i kundregistren hos de inspekterade bankerna Förutom sedvanliga identitetsuppgifter och annat som hör till ett kundförhållande kunde det finnas olika siffer/status/krav-koder eller markeringar som krav, nödlidande eller inkasso som kan peka på att ett betalningsdröjsmål förelåg. Hos två av de inspekterade bankerna användes uppgiften nödlidande. I det ena fallet markerades krediten som nödlidande 60 dagar efter förfallodagen. Markeringen togs bort vid betalning. I det andra fallet fanns uppgiften om att kunden hade haft ett nödlidande konto kvar. Hos en av inspektionsobjekten överfördes krediten till särskild reskontra 60 dagar efter förfallodagen. I en del fall förekommer det att ärendet överförs till en särskild reskontra dagen efter sista betalningsdagen, vilket markerades i kundregistret. Uppgifterna togs bort ur båda registren tre år efter slutbetalning. I kundregister finns även uppgifter om antal automatuttag, använda checkar, sena inbetalningar, påminnelser, krav, övertrasseringar och dagar för sen betalning. Hos tre av de inspekterade bankerna upplystes det att uppgifter om övertrasseringar fanns för innevarande kalenderår, att betalningshistoriken gallrades när ett lån slutbetalades, och att antalsuppgifter om checker och automatuttag gallrades efter ett år samt att antalet övertrasseringsperioder fanns angivna under kontots livstid. Uppgift om konkurs och skuldsanering förekom i kundregistren. Hos en av bankerna upplystes det om att uppgift om avslutad konkurs och avslutad skuldsanering sparades i tre år. Det förekommer lönsamhetsbedömningar i form av koder och plus- eller minus- belopp vilka ändrades fortlöpande. 4
En av de inspekterade registrerade uppgifter som hämtades från domar i brottmål om bl.a. målnummer, brottsrubricering och domstol. Uppgifterna skulle enligt bankens interna instruktion alltid kontrolleras vid kreditbedömning. När det gäller noteringar i fritextfält har bankerna ofta fastställt interna regler som säger att det skall vara fråga om relevanta fakta. Inga bedömningar eller känsliga uppgifter fick förekomma. I ett fall kontrollerades uppgifterna i fritextfält varje månad. Kommentar Enligt datalagens lydelse sedan 1982 har det varit nödvändigt för bankerna att göra en gränsdragning mellan uppgifter som är rena faktauppgifter och uppgifter som utgör omdömen. En sifferkod som anger att en faktisk åtgärd vidtagits (t.ex. en betalningspåminnelse skickats ut) får anses vara en faktauppgift. Även uppgifter som anger storleken/antalet för något som förekommit är faktauppgifter. Datainspektionen har i ett tillståndsbeslut ansett att uppgifter om riskklasser och skötselkoder får finnas i ett register som skall användas för bl.a. bankens egen kreditprövning. Uppgifterna har i det fallet inte ansetts som omdömen utan tillståndsplikten har förelegat på annan grund. Användning av uttryck som nödlidande kan vanligtvis uppfattas som ett omdöme men i detta sammanhang kan det inte anses vara ett omdöme eftersom det är ett vedertaget uttryck inom bankerna. Enligt föreskrifter utfärdade av Finansinspektionen skall nödlidande krediter definieras och särredovisas. Registrering av brottsuppgifter får endast ske efter särskilt tillstånd från Datainspektionen. I ett av de inspekterade fallen sker sådan registrering. Den inspekterade skall beredas tillfälle att yttra sig i ärendet. Påpekande har gjorts till en av de inspekterade bankerna att den gallringsföreskrift som meddelats i tillståndet angående avslutad konkurs och avslutad skuldsanering inte följs. Användning av kreditupplysningsuppgifter vid kreditprövning Uppgifter i de egna kundsystemen används vid kreditprövning som avser befintliga kunder. I tre fall användes därutöver inte kreditmall eller credit scoring utan här togs oftast en vanlig kreditupplysning. I fyra fall användes kreditmall eller credit scoring. I ett fall, där kreditmallen inte tagits i bruk ännu, togs en vanlig kreditupplysning. 5
Kommentar Erforderliga tillstånd finns. En av de inspekterade behöver dock ansöka om ändring av aktuellt tillstånd eftersom banken i fråga registrerar fler uppgifter än vad tillståndet medger. Slutsatser Inspektionerna visar att bankerna i stor utsträckning följer datalagen vid registrering i kundregister och kreditmallsregister. Endast tre fel har konstaterats: registrering av brottsuppgifter, en gallringsföreskrift som inte följs och ett kreditmallsregister som innehåller fler uppgifter än vad tillståndet medger. 6
Besöksadress: Fleminggatan 14, plan 9 Postadress: Box 8114, 104 20 Stockholm Beställningar: 657 61 42 (telefonsvarare) E-post: datainspektionen@din.se Fax: 08-652 85 52 Tel: 08-657 61 00