Når kan det kredittvurderes?

I denne artikkelen vil vi redegjøre for hvilke krav GDPR stiller til innhenting av kredittvurderinger av privatpersoner og enkeltpersonforetak, og i hvilke tilfeller man kan innhente kredittvurderinger. Avslutningsvis vil vi kort se på Datatilsynets overtredelsesgebyr.

Advokatfullmektig
Carl Emil Bull-Berg

Associate Advokatfirmaet Wiersholm

Advokatfullmektig
Emilie Sverdrup

Associate Advokatfirmaet ­Wiersholm

Kredittvurderinger av privatpersoner kan være nødvendig i flere sammenhenger, for eksempel når en virksomhet selger varer på kreditt eller utsteder kredittkort. Det kan også være nyttig for en virksomhet å kredittvurdere en privatperson selv om virksomheten ikke skal yte kreditt til personen selv, for eksempel dersom en virksomhet vurderer å ansette en person som skal inneha en sentral funksjon i et selskap, med et stort økonomisk ansvar.

Det siste året har vi sett et økende antall overtredelsesgebyrer fra Datatilsynet til private virksomheter som har innhentet kredittvurderinger av privatpersoner. En stor andel av alle publiserte overtredelsesgebyr fra Datatilsynet i 2022 har vært tilknyttet ulovlige kredittvurderinger.

En kredittvurdering er en analyse av en persons kredittverdighet. Resultatet er basert på en sammenstilling av personopplysninger fra flere kilder. En kredittvurdering vil også vise detaljer om personens privatøkonomi, herunder eventuelle betalingsanmerkninger, frivillige pantstillelser og gjeldsgrad.

Krav om behandlingsgrunnlag

Innhenting av kredittopplysninger om enkeltpersoner utgjør en behandling av personopplysninger. Det samme gjelder for enkeltpersonforetak, ettersom opplysningene sier noe om innehaverens økonomi. Virksomheten må derfor ha et behandlingsgrunnlag. Aktuelt i denne sammenhengen er GDPR artikkel 6 (1) bokstav f), berettiget interesse. Berettiget interesse-vurderingen består av tre kumulative vilkår. For det første må behandlingen være for én eller flere berettigede interesser. For det andre må behandlingen være nødvendig for å oppnå disse berettigede interessene. For det tredje må det gjennomføres en interesseavveining, der virksomhetens interesse i behandlingen må overstige hensynet til den enkeltes personvern.

Den tidligere personopplysningsforskriften oppstilte som tilleggsvilkår for innhenting av kredittvurderinger, at virksomheten måtte ha saklig behov for kredittopplysningene. Til tross for at personopplysningsforskriften er opphevet, er disse reglene videreført etter overgangsreglene. Videre er ny kredittopplysningslov på vei, den viderefører også kravet om saklig behov. Datatilsynet har imidlertid bemerket i flere avgjørelser at det ikke er nasjonalt handlingsrom for å særregulere den enkelte mottakers behandling av kredittopplysninger. Virksomheters innhenting vil derfor, både før og etter ny kredittopplysningslov trår i kraft, være regulert av artikkel 6 nr. 1 bokstav f.

Datatilsynet har samtidig fremhevet at vurderingene tilknyttet «saklig behov» har nær sammenheng med vurderingen etter artikkel 6 nr. 1 bokstav f. Følgelig vil også gammel praksis tilknyttet «saklig behov» være relevant.

Krav om internkontrollrutiner og informasjon

Virksomheter må dokumentere at kredittvurderinger innhentes i samsvar med GDPR. Dette kan gjøres gjennom dokumenterte rutiner til ansatte som skal innhente kredittvurderinger. Rutinene bør vise til hvilke vilkår i GDPR som må være oppfylt for at virksomheten skal kunne gjøre en kredittvurdering av kunden. Herunder har Datatilsynet uttalt at rutinene bør fremheve det relevante rettslige grunnlaget i artikkel 6, samt sørge for organisatoriske tiltak som sikrer at kravene i GDPR er oppfylt før man innhenter kredittvurderingen. Slike organisatoriske tiltak kan for eksempel være opplæring av ansatte med ansvar for kredittvurdering.

Når kan man innhente kredittvurderinger?

Vedtak fra Datatilsynet og Personvernnemnda viser at det må foreligge en tilknytning mellom virksomheten og personen som blir kredittvurdert. Slik tilknytning kan være et kunde- eller leverandørforhold. De klare tilfellene hvor virksomheten vil kunne ha en berettiget interesse i å kredittvurdere, er når virksomheten skal yte den aktuelle personen kreditt.

Det har vært et økende antall overtredelsesgebyrer fra Datatilsynet til private virksomheter som har innhentet kredittvurderinger av privatpersoner.

Personvernnemnda har uttalt at formålet med kredittvurdering normalt er å kartlegge hvorvidt en potensiell kunde er kredittverdig, og dermed om virksomheten ønsker å inngå avtale med vedkommende. Saklighetskravet vil dermed være oppfylt når virksomheten skal bruke kredittopplysningene i forbindelse med sin vurdering av kredittrisiko, for eksempel ved et tilsagn om lån eller avtale om løpende ytelser som faktureres etterskuddsvis, slik som mobilabonnement. I slike tilfeller er det også normalt påregnelig for den som blir kredittvurdert at virksomheten ønsker å vite noe om vedkommendes betalingsevne.

I andre tilfeller, hvor behovet ikke er like opplagt, er det viktig at virksomheten vurderer sitt behov for å gjennomføre kredittvurderingen grundig. Kredittopplysninger er ikke sensitive personopplysninger, men er likevel ansett av mange som private opplysninger, fordi de sier noe om personens privat­økonomi. Overtredelsesgebyrene fra Datatilsynet viser at personvernhensynet veier tungt i vurderingen av om virksomheten har en berettiget interesse.

Eksempler på tilfeller hvor kredittvurdering skjer uten noen form for tilknytning, er når kredittvurderingen er begrunnet i kikkermentalitet og nysgjerrighet. Personvernnemnda har uttalt at dette er det motsatte av saklig behov. Når kredittvurderingen bærer preg av nysgjerrighet og påfølgende vilkårlighet, vil berettiget interesse klart nok ikke foreligge.

Overtredelsesgebyrenes størrelse

Ved vurderingen av om det skal ilegges overtredelsesgebyr og ved utmålingen, skal det tas hensyn til en rekke momenter, blant annet karakteren, alvorlighetsgraden, varigheten av overtredelsen og om virksomheten har implementert egnede tekniske og organisatoriske tiltak, for eksempel gode internkontrollrutiner.

Datatilsynet uttaler i sine vedtak at overtredelsesgebyret skal være virk­ningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Gjennomgående i kredittvurderingsvedtakene er at Datatilsynet vektlegger at personopplysningene som innhentes er svært beskyttelsesverdige, og som individene har en forventning om at ikke innhentes med mindre det er saklig begrunnet.

Overtredelsesgebyrene har vært i størrelsesordenen 40 000 til én million kroner.