logoRevisjon og regnskap

Logg på for å laste ned PDF
Selskapsrett
Advokatfullmektig
Carl Emil Bull-Berg

Associate Advokatfirmaet Wiersholm

Advokatfullmektig
Emilie Sverdrup

Associate Advokatfirmaet ­Wiersholm

Når kan det kredittvurderes?

I denne artikkelen vil vi redegjøre for hvilke krav GDPR stiller til innhenting av kredittvurderinger av privatpersoner og enkeltpersonforetak, og i hvilke tilfeller man kan innhente kredittvurderinger. Avslutningsvis vil vi kort se på Datatilsynets overtredelsesgebyr.

Kredittvurderinger av privatpersoner kan være nødvendig i flere sammenhenger, for eksempel når en virksomhet selger varer på kreditt eller utsteder kredittkort. Det kan også være nyttig for en virksomhet å kredittvurdere en privatperson selv om virksomheten ikke skal yte kreditt til personen selv, for eksempel dersom en virksomhet vurderer å ansette en person som skal inneha en sentral funksjon i et selskap, med et stort økonomisk ansvar.

Det siste året har vi sett et økende antall overtredelsesgebyrer fra Datatilsynet til private virksomheter som har innhentet kredittvurderinger av privatpersoner. En stor andel av alle publiserte overtredelsesgebyr fra Datatilsynet i 2022 har vært tilknyttet ulovlige kredittvurderinger.

En kredittvurdering er en analyse av en persons kredittverdighet. Resultatet er basert på en sammenstilling av personopplysninger fra flere kilder. En kredittvurdering vil også vise detaljer om personens privatøkonomi, herunder eventuelle betalingsanmerkninger, frivillige pantstillelser og gjeldsgrad.

Krav om behandlingsgrunnlag

Innhenting av kredittopplysninger om enkeltpersoner utgjør en behandling av personopplysninger. Det samme gjelder for enkeltpersonforetak, ettersom opplysningene sier noe om innehaverens økonomi. Virksomheten må derfor ha et behandlingsgrunnlag. Aktuelt i denne sammenhengen er GDPR artikkel 6 (1) bokstav f), berettiget interesse. Berettiget interesse-vurderingen består av tre kumulative vilkår. For det første må behandlingen være for én eller flere berettigede interesser. For det andre må behandlingen være nødvendig for å oppnå disse berettigede interessene. For det tredje må det gjennomføres en interesseavveining, der virksomhetens interesse i behandlingen må overstige hensynet til den enkeltes personvern.

Den tidligere personopplysningsforskriften oppstilte som tilleggsvilkår for innhenting av kredittvurderinger, at virksomheten måtte ha saklig behov for kredittopplysningene. Til tross for at personopplysningsforskriften er opphevet, er disse reglene videreført etter overgangsreglene. Videre er ny kredittopplysningslov på vei, den viderefører også kravet om saklig behov. Datatilsynet har imidlertid bemerket i flere avgjørelser at det ikke er nasjonalt handlingsrom for å særregulere den enkelte mottakers behandling av kredittopplysninger. Virksomheters innhenting vil derfor, både før og etter ny kredittopplysningslov trår i kraft, være regulert av artikkel 6 nr. 1 bokstav f.

Datatilsynet har samtidig fremhevet at vurderingene tilknyttet «saklig behov» har nær sammenheng med vurderingen etter artikkel 6 nr. 1 bokstav f. Følgelig vil også gammel praksis tilknyttet «saklig behov» være relevant.