Datatilsynet har den siste tiden ilagt og varslet flere overtredelsesgebyrer for ulovlige kredittvurderinger. Ulovlige kredittvurderinger kan få store økonomiske konsekvenser, og gebyrene varierer i størrelsesordenen 100 000 kroner til 1 000 000, avhengig av hva som har skjedd i den enkelte saken og hvem som har gjennomført kredittvurderingen.
Veldig private opplysninger
I Personvernundersøkelsen 2019/2020 kom det fram at vi opplever opplysninger om privatøkonomien vår som særlig beskyttelsesverdig, faktisk mer enn opplysninger om hvem vi kommuniserer med på telefon og e-post, og opplysninger om hvor vi har vært og hvor vi beveger oss.
En kredittvurdering av en enkeltperson eller et enkeltpersonforetak, sier veldig mye om enkeltpersoners privatøkonomi. For eksempel sier den noe om inntekt, eventuelle betalingsanmerkninger, og gjeldsgrad. I tillegg inneholder kredittvurderingen en poengsum som angir sannsynligheten for at personen vil kunne betale for seg.
En kredittvurdering inneholder altså veldig private opplysninger om oss, og de fleste vil derfor oppleve det som veldig ubehagelig å bli kredittvurdert av et selskap vi ikke har noe forhold til. Både det at opplysningene i seg selv er veldig private, og at det oppleves veldig ubehagelig for den enkelte, er også grunnen til at Datatilsynet ser alvorlig på denne typen lovbrudd og vanligvis reagerer med overtredelsesgebyr.
Kan ikke benyttes til private formål
Mange virksomheter har avtaler med kredittopplysningsselskaper, og har fri tilgang til å kredittvurdere enkeltpersoner og enkeltpersonforetak gjennom en nettportal eller integrert API i regnskapssystemet sitt. Selv om en virksomhet har tilgang til å gjøre kredittvurderinger, er det ikke fritt frem. Vi ser ofte at virksomhetenes adgang brukes av de ansatte til å foreta kredittvurderinger for mer private formål, for eksempel naboer eller tidligere ektefeller. Selv om virksomheten har et kredittvurderingsverktøy, betyr ikke det at man kan bruke det til private formål.
Når du som ansatt eller eier av en virksomhet vil kredittvurdere noen, er det viktig at dere holder dere innenfor personvernforordningens rammer. Det aller viktigste er at virksomheten må ha et rettslig grunnlag for å kredittvurdere den aktuelle personen.
Når Datatilsynet vurderer om en kredittvurdering er lovlig vil vurderingstemaet ofte være om virksomheten som har gjort kredittvurderingen (den behandlingsansvarlige) hadde en «berettiget interesse», eller et «saklig behov» som det het i den opphevede personopplysningsforskriften, for å kredittvurdere akkurat denne personen (den registrerte). Vi ser da blant annet på forholdet mellom den behandlingsansvarlige og den registrerte, og om det var påregnelig for den registrerte å bli kredittvurdert av virksomheten.
Et kjapt søk kan fort bli dyrt
En nylig avgjørelse fra Personvernnemnda er illustrerende. I nemndas sak PVN-2020-21 hadde daglig leder i «Flisleggingssenter AS» kredittvurdert naboen sin. Daglig leder var bekymret for at naboen ikke skulle kunne betale for eventuelle skader på hans eiendom i forbindelse med byggearbeider på naboeiendommen. Han mente altså at han som privatperson hadde et saklig behov for å kredittvurdere naboen sin, og brukte derfor jobbens kredittvurderingsverktøy til å kredittvurdere naboen.
Personvernnemnda konkluderte, i likhet med Datatilsynet, med at Flisleggingssenter AS ikke hadde en «berettiget interesse» i å kredittvurdere naboen – kort oppsummert fordi personen aldri hadde hatt noe med flisleggingssenteret å gjøre. Nemnda uttalte at daglig leders kredittvurdering til private formål åpenbart var i strid med loven, og at saken innebar en grunnleggende krenkelse av naboen personvernrettigheter. Flisleggingssenteret ble ilagt et gebyr på 150 000 kroner, og pålagt å lage bedre skriftlige rutiner.
Hvis den som blir kredittvurdert aldri har hatt noe med virksomheten å gjøre, men kun har blitt kredittvurdert fordi noen i virksomheten personlig mente å ha et saklig behov for dette, så er veien kort til å konkludere med at loven er brutt. Hvis du mener å ha behov for en kredittvurdering som privatperson må du gjøre det på riktig måte, og kontakte kredittopplysningsselskapet direkte som privatperson.
En ubetenksom kredittvurdering kan bli veldig dyr. I saken med flisleggingssenteret indikerte Personvernnemnda at gebyret på 150 000 kroner i alle fall ikke var for høyt. Det kan derfor tenkes enda høyere gebyrer for ulovlige kredittvurderinger i fremtiden avhengig av saken.
Viktig med skriftlige rutiner
For å forhindre lovbrudd og sørge for at kredittvurderinger bare skjer innenfor lovens rammer bør alle virksomheter som bruker kredittvurderingsverktøy lage skriftlige rutiner som sier noe om når det er lov å kredittvurdere og ikke. Det er viktig at slike rutiner også følges opp med god opplæring.
Husk at kredittvurderinger alltid skal ha et rettslig grunnlag, og at det som kanskje kan virke som en praktisk løsning for å finne ut av om noen kan betale for seg fort kan bli veldig dyrt.