Personvernnemndas avgjørelse av 18. mai 2009 (Eva I. E. Jarbekk, Arve Føyen, Tom Bolstad, Leikny Øgrim, Ann R Sætnan, Jostein Halgunset, Ørnulf Rasmussen)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vedtak av 7.1.2009, hvor tilsynet beslutter at det ikke har kompetanse til å vurdere vektingen av opplysninger som kredittopplysningsvirksomheter har adgang til å innhente i forbindelse med en kredittvurdering.
2 Saksgang
Datatilsynet mottok 5.11.2008 en henvendelse fra VEF Entreprenør AS. Henvendelsen gikk ut på at selskapet ble klassifisert med karakteren 1 etter en kredittvurdering foretatt av Lindorff Decision AS. Årsaken til den lave karakteren var blant annet at selskapet hadde skiftet daglig leder, samt et negativt årsresultat.
Datatilsynet redegjorde for regelverket for kredittopplysningsvirksomhet i brev av 3.12.2008. VEF Entreprenør AS besvarte brevet den 22.12.2008 og krevde at Datatilsynet skulle pålegge en retting av den foretatte vurderingen.
Datatilsynet vedtok i brev av 7.1.2009 at det ikke har kompetanse til å foreta en konkret vekting av de aktuelle momenter i en kredittvurdering.
VEF Entreprenør AS påklaget beslutningen i brev av 15.1.2009.
Personvernnemnda mottok saken fra Datatilsynet 6.2.2009. Klager ble orientert om dette i brev fra nemnda samme dag, med frist til uttalelse innen 26.2.2009. Klager opplyste deretter per telefon at de ikke ønsket å komme med ytterligere uttalelser.
3 Faktum
VEF Entreprenør AS ble i oktober 2008 klassifisert med karakteren ”1 – kreditt kun mot sikkerhet” av Lindorff Decision AS.
I følge Lindorff Decision AS er årsaken til den lave karakteren at VEF Entreprenør AS har skiftet daglig leder og har et negativt årsresultat. Lindorff Decision AS opplyser at de vurderer risiko for uerholdelighet ut fra en statistisk modell. Modellen benytter både økonomiske og ikke-økonomiske faktorer. Ved skifte av daglig leder, har selskapets statistiske risiko for uerholdelighet økt. Da daglig leder fratrådte, gikk selskapet ned fra karakteren 3 (kredittverdig) til 1 (kreditt kun mot sikkerhet). Selv om det ble registrert en ny daglig leder, opplyser Lindorff Decision AS at denne endringen blir man ”trukket for” i ett år fra fratredelsen skjedde. Videre opplyser Lindorff Decision AS at når en nøkkelperson fratrer, kan man høyest få karakter 2. Årsaken til at VEF Entreprenør fikk karakteren 1, var at de i tillegg har et negativt årsresultat.
VEF Entreprenør AS påklaget denne vurderingen til Lindorff Decision AS, uten resultat.
Den lave karakteren har medført at VEF Entreprenør AS ikke kan delta i enkelte anbudskonkurranser og prekvalifiseringer for entreprisekonkurranser. Forskrift om offentlige anskaffelser krever for eksempel at den økonomiske stillingen blir vurdert. Det er et vanlig vilkår fra byggherren at firmaet må ha karakteren 3 eller bedre ved kredittvurdering. VEF Entreprenør AS vil dermed være utelukket fra slike konkurranser i ett år.
4 Klagers anførsler
VEF Entreprenør AS påklager kredittvurderingen som er foretatt av Lindorff Decision AS. Det er riktig at daglig leder fratrådte sin stilling 12.9.2008. Ny daglig leder ble registrert 11.10.2008. Klager mener at det ikke er noen dramatikk knyttet til skiftet av daglig leder.
Klager mener at Lindorffs vurdering er feil og den oppleves som sterkt belastende. Klager ber om at vurderingen blir rettet. Klager viser til personopplysningsloven § 28, 3. ledd, hvor den registrerte kan kreve sletting av opplysning som er sterkt belastende for ham.
5 Datatilsynets vurdering
Datatilsynet viser til at VEF Entreprenør AS klager på vektingen av de ulike momenter som kredittopplysningsvirksomhetene har anledning til å benytte ved en kredittvurdering, samt Datatilsynets kompetanse i forbindelse med dette.
Datatilsynet har kompetanse til å vurdere hvorvidt kravet til saklig behov for en kredittvurdering er oppfylt, jf personopplysningsforskriften § 4-3.
De kilder som kredittopplysningsvirksomheten har anledning til å benytte seg av er regulert i konsesjon om behandling av personopplysninger i kredittopplysningsvirksomhet av 1.3.2006.
Det følger av konsesjonens punkt 1.5 at det kun er tillatt å bruke opplysninger som er tilknyttet det aktuelle foretaket. I følge konsesjonens punkt 1.1.1. kan registeret blant annet inneholde opplysninger om ”offentlig tilgjengelige grunndata om enheten innhentet fra Brønnøysundregistrene”. Videre heter det i konsesjonens punkt 1.1.2 at det kan innhentes opplysninger om ”aktuelle hendelser av faktisk og økonomisk karakter som åpenbart er av betydning”.
Verken personopplysningsloven, personopplysningsforskriften eller standardkonsesjonen for kredittopplysningsvirksomhet regulerer vektingen av de ulike opplysningene som man lovlig kan innhente. Datatilsynet har ikke kompetanse til å vurdere vektleggingen av de ulike momenter.
Det følger av personopplysningsloven § 28, 3. ledd at den registrerte kan kreve at opplysninger som er ”sterkt belastende for ham” skal slettes. Forarbeidene (Ot prp nr 92 (1998-99) s 124) sier om bestemmelsen ”(…) at de uriktige eller ufullstendige personopplysningene kan gi et så uheldig og stigmatiserende bilde av den registrerte at markering og supplering åpenbart ikke gir noen tilfredsstillende løsning for den registrerte”. Det følger videre (s 125) at ”Vilkårene for dette er (…) strenge (…) Hva som må anses som ”sterkt belastende” må i utgangspunktet vurderes objektivt – det må spørres om oppbevaringen av denne type opplysninger ville oppleves som sterkt belastende av folk flest”. Datatilsynet bemerker at terskelen for slik sletting er høy. Den situasjonen klager har kommet i, hvor faktiske opplysninger om selskapet har medført at det får en dårlig kredittrating, vil ikke falle inn under anvendelsesområdet for bestemmelsen.
Datatilsynet legger til grunn at kredittvurderingen er basert på oppdaterte opplysninger om vedkommende som kredittvurderes. Resultatet av en kredittvurdering vil således ikke lagres for senere bruk, da det må foretas en ny vurdering på bakgrunn av de opplysninger som foreligger.
6 Personvernnemndas merknader
Kredittopplysningsvirksomhet er regulert i personopplysningsforskriftens kapittel 4. Denne saken gjelder en klage fra et aksjeselskap. Det følger av forskriftens § 4-1, 2. ledd at personopplysningsloven også gjelder for behandling av kredittopplysninger om juridiske personer.
Datatilsynet har regulert kredittopplysningsvirksomhet i en standardkonsesjon av 1.3.2006. Konsesjonen regulerer hvilke opplysninger registeret kan inneholde, hvilke kilder opplysningene i registeret kan hentes fra, informasjon til den registrerte og sletting.
I denne saken har Lindorff Decision AS i en kredittvurdering (rating) blant annet lagt vekt på at klager har skiftet daglig leder og har et negativt årsresultat. Skifte av daglig leder blir man i følge Lindorff Decision AS, rutinemessig ”trukket for” i ett år.
Datatilsynet har fattet et avvisningsvedtak hvor det konkluderer med at tilsynet ikke har kompetanse til å vurdere vektingen av opplysninger som kredittopplysningsvirksomheter har adgang til å innhente i forbindelse med en kredittvurdering.
Personvernnemnda påpeker at klagen gjelder Datatilsynets saksbehandling, ikke kommunens vilkår i anbudskonkurranser. Nemnda kan ikke ta stilling til om kommunen setter korrekte og lovlige vilkår for sine anbudskonkurranser.
Personvernnemnda skal bemerke at Lindorff Decision AS har adgang til å bruke de nevnte opplysningene om klager i en kredittvurdering av klager, jf konsesjonens punkt 1.1.2 ”for næringsdrivende” pkt nr 9, hvor det fremgår at det kan innhentes opplysninger om ”aktuelle hendelser av faktisk og økonomisk karakter som åpenbart er av betydning”.
Når det gjelder den metoden Lindorff Decision AS benytter seg av, med automatisk ”trekk” for skifte av daglig leder i ett år, skal imidlertid nemnda bemerke at det følger av grunnkravene i personopplysningsloven § 11 bokstav d) at personopplysningene skal være tilstrekkelige og relevante for formålet med behandlingen. Man kan derfor stille spørsmålet om en metode hvor daglig leders fratreden gir trekk i et år uten at relevans og tilstrekkelighet tilsynelatende er vurdert kan være i samsvar med personopplysningslovens grunnkrav til behandling av personopplysninger. For klager kan det se ut som om Lindorff automatisk legger til grunn opplysningen om skifte av daglig leder som negativ, uten å knytte det til opplysninger om årsaken til skiftet. Skiftet kan jo være positivt. Nemnda har imidlertid ikke myndighet til å overprøve Lindorffs valg av metoder. Kredittopplysningsbyråene bruker statistiske metoder basert på empiri, ikke individuelle vurderinger. Denne matematiske metoden kan ikke overprøves av nemnda. På denne bakgrunn er Personvernnemnda enig med Datatilsynet i kompetansevurderingen. Datatilsynet og Personvernnemnda kan bare treffe vedtak om hvorvidt bruken av personopplysninger er lovlig etter gjeldende lovgivning, ikke metoden eller den konkrete vektingen av lovlig innhentede opplysninger. Imidlertid fremhever nemnda at konsesjonsmyndigheten (Datatilsynet) har kompetanse til å gjøre endringer eller korrigeringer i konsesjonen, noe som særlig kan være aktuelt dersom konsesjonen viser seg å ikke fungere tilfredsstillende i henhold til personopplysningslovens grunnkrav.
Klager har videre påberopt seg at vurderingen (ratingen) skal rettes etter personopplysningsloven § 27 eller opplysningen om skifte av daglig leder skal slettes etter personopplysningsloven § 28. Disse bestemmelsene regulerer at uriktige eller ufullstendige opplysninger skal rettes og unødvendige eller sterkt belastende opplysninger skal slettes. Personvernnemnda mener at disse grunnlagene ikke kan føre frem. Opplysningen om daglig leders fratredelse er en lovlig innhentet opplysning som kredittopplysningsbyrået kan legge vekt på i kredittvurderingen. Det at en rating er negativ, kan oppleves belastende for den det gjelder, jf personopplysningsloven § 28, 3. ledd, men det betyr ikke at den kan kreves slettet av den grunn.
7 Vedtak
Klagen tas ikke til følge. Datatilsynets vedtak opprettholdes.
Oslo, 18. mai 2009
Eva I. E. Jarbekk
Leder