Datatilsynets referanse: 15/01066-4/RBT

PVN-2015-17 Bisnode Norge AS

Klage over avvisningsvedtak – søknad om endring av kredittopplysningskonsesjon

Personvernnemndas avgjørelse av 13. mai 2016 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Marta Ebbing, Ann R Sætnan, Gisle Hannemyr)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på avvisningsvedtak. Saken gjelder søknad om endring av kredittopplysningskonsesjon.

2 Saksgang og faktum

Datatilsynet har avvist å behandle søknad fra Bisnode Norge AS (heretter «Bisnode») om utvidelse av gjeldende standardkonsesjon for kredittopplysningsvirksomhet slik at det tillates å bruke historikk om tidligere forespørsler. Dette er per i dag ikke tillatt, jf konsesjonen punkt 1.6: Tidligere forespørsler om kredittopplysninger kan ikke benyttes i kredittopplysningsvirksomhet.
     Konkret gjelder søknaden opphevelse av forbudet mot å bruke opplysninger om tidligere forespørsler som en parameter ved kredittvurdering av næringsdrivende. Søknaden omfatter ikke bruk av slike opplysninger ved kredittvurdering av enkeltpersoner.
     Datatilsynet avviste i vedtak av 26.8.2015 å behandle saken med den begrunnelse at spørsmålet søknaden omhandler har blitt endelig avgjort av Personvernnemnda i klagesak PVN-2012-07. Avvisningsvedtaket lød:

Søknaden fra Bisnode om utvidelse av standardkonsesjon for kredittopplysningsvirksomhet tas ikke opp til realitetsbehandling i Datatilsynet da spørsmålet søknaden omhandler er endelig avgjort av Personvernnemnda i vedtak 2012/07.

Avvisning er definert som et enkeltvedtak som kan påklages, jf. forvaltningsloven § 28 første ledd, jf. § 2 tredje ledd. Bisnode har rettidig påklaget vedtaket. Saken sendes derfor over til Personvernnemnda for vurdering, jf personopplysningsloven § 42 fjerde ledd.
     Saken ble oversendt Personvernnemnda 16. november 2015, som mottok saken 26. november 2015. Klager ble orientert om saken i brev fra nemnda samme dag, med frist til uttalelse innen 21. desember 2015. Klager har ikke kommentert saken innen fristen.

3 Klagers anførsler

Prinsipalt ber Bisnode om at Personvernnemnda opphever Datatilsynets avvisningsvedtak og sender det tilbake til tilsynet for realitetsbehandling, jf personopplysningsloven §§ 34 og 35, jf også personopplysningsloven § 42 tredje ledd nr. 2.
     Bisnode mener spørsmålet om bruk av tidligere historikk om kredittforespørsler reelt sett kun har vært vurdert av Datatilsynets klageorganer med hensyn til enkeltpersoner – ikke med hensyn til næringsdrivende. Bisnode anfører at eksemplene som ble brukt da Justisdepartementet, og senere da Personvernnemnda tok stilling til spørsmålet, kun passer på enkeltpersoner og ikke på næringsdrivende. Bisnode mener Datatilsynet derfor må vurdere dette punktet i konsesjonen på nytt, fordi dette reelt sett ikke har vært underlagt Personvernnemndas vurdering tidligere.
     Bisnode anfører at andre hensyn gjør seg gjeldende ved kredittvurdering av næringsdrivende, for eksempel beskyttelse av kreditorene. Selskapet viser til at både foretak og enkeltpersoner kan påta seg mer gjeld enn det som er sunt for vedkommende selv og markedet. Forskjellen er imidlertid at enkeltpersoner vil hefte ved gjelden resten av livet, mens næringsdrivende kan slå seg konkurs og la tapet bæres av kreditorene. Bisnode hevder denne forskjellen viser at det er klare forskjeller i hva som er saklig å registrere om en enkeltperson kontra en næringsdrivende.
     Subsidiært ber Bisnode Personvernnemnda om å presisere vedtaket PVN-2012-07 og eventuelt omgjøre vedtaket, etter bestemmelsen i forvaltningsloven § 35. Omgjøring er aktuelt dersom Personvernnemnda er enig med Datatilsynet i at spørsmålet som denne saken gjelder ble endelig avgjort i vedtaket fra 2012.
     Bisnode anfører at antall spørringer om kredittverdighet på et selskap kan gi indikasjoner på om en virksomhet er på vei ut i en uheldig økonomisk situasjon. Dette er vanskelig med dagens regelverk, hvor det foreligger en treghet i systemet som ikke gir tidlig nok indikasjon på at en næringsdrivende er på vei ut i økonomiske problemer. Bisnode viser til at dette kan påføre kreditorene unødvendige tap.
     I lys av dette er det etter Bisnodes syn behov for å vurdere punkt 1.6 i konsesjonen på nytt når det gjelder næringsdrivende.

4 Datatilsynets vurdering

4.1 Problemstilling

Personvernnemnda må i denne saken ta stilling til to spørsmål:

  1. Prinsipalt ber Bisnode om at Personvernnemnda opphever Datatilsynets avvisningsvedtak og sender saken tilbake med pålegg om realitetsbehandling av søknaden om konsesjonsendring, jf personopplysningsloven §§ 34 og 35, jf personopplysningsloven § 42 tredje ledd nr. 2.
  2. Subsidiært ber Bisnode om at Personvernnemnda presiserer og eventuelt omgjør sitt eget vedtak i PVN-2012-07 etter bestemmelsen i forvaltningsloven § 35.

4.2 Sakens bakgrunn

Alle virksomheter som vil meddele opplysninger som belyser kredittverdigheten til enkeltpersoner og næringsdrivende må ha tillatelse fra Datatilsynet. Det følger av personopplysningsforskriften § 4-5, jf personopplysningsloven §§ 34 og 35. Per dags dato har tretten virksomheter fått konsesjon fra Datatilsynet til å drive kredittopplysningsvirksomhet.  Bisnode er en av disse.
     Datatilsynet har utarbeidet en standardkonsesjon for kredittopplysningsvirksomhet. Gjeldende konsesjon ble opprinnelig sendt ut i 2009, men trådte ikke i kraft før i 2012.  Årsaken var at flere vilkår i konsesjonen ble påklaget av selskapene knyttet til Norske
Kredittopplysningsbyråers forening (NKF). Bisnode (tidligere AAA Soliditet) var en av klagerne som NKF representerte.
     Et av klagepunktene fra kredittopplysningsbyråene var forbudet i konsesjonen mot å bruke tidligere kredittforespørsler som parameter i kredittvurdering. Spørsmålet ble behandlet av Personvernnemnda i sak PVN-2012-07, under punkt 6.4 i saken.
     Personvernnemnda kom til at forbudet skulle opprettholdes, med henvisning til at det samme spørsmålet hadde vært vurdert av Justisdepartementet i 1991, da Justisdepartementet var klageorgan for Datatilsynet. Nemnda mente at Justisdepartementets uttalelse fremdeles var relevant og at forbudet mot å bruke slike opplysninger i kredittvurdering derfor burde videreføres i den nye standardkonsesjonen.
     Den 14. april 2015 mottok Datatilsynet en søknad fra Bisnode som på ny reiste spørsmål om Datatilsynet kunne vurdere å fjerne forbudet mot å bruke historikk om tidligere forespørsler i kredittopplysningsvirksomhet. Søknaden gjaldt i denne omgang kun overfor næringsdrivende.
     Datatilsynet avviste å behandle søknaden med henvisning til at saken endelig var blitt avgjort av Personvernnemnda i PVN-2012-07.
     Bisnode har påklagd avvisningsvedtaket rettidig, i klage datert 30. september 2015. Bisnode har i klagen lagt til en subsidiær anførsel som går ut på at dersom Personvernnemnda kommer til at spørsmålet som søknaden gjelder ble endelig behandlet i 2012, må Personvernnemnda vurdere å omgjøre dette vedtaket etter bestemmelsen i forvaltningsloven § 35.

4.3 Avvisningsspørsmålet – prinsipal anførsel

Datatilsynet deler ikke Bisnode sin vurdering av at bruk av historiske opplysninger om tidligere kredittforespørsler reelt sett kun har blitt avgjort i relasjon til enkeltpersoner ved tidligere klagebehandling. Tilsynet viser til at klagesakene fra 1991 og 2012 gjaldt bruk av antall spørringer generelt, både ved kredittvurdering av næringsdrivende og av enkeltpersoner. Tilsynet mener det ikke er grunnlag i vedtakene for å hevde at de reelle vurderingene som ble gjort kun er relevante av hensyn til enkeltpersoner.
     I Personvern i praksis (Lee A. Bygrave, 1997, side 105) står det gjengitt om klagens tema da saken ble behandlet i Justisdepartementet i 1991: «Påklaget vedtak: Datatilsynets avslag av 5.12.90 av en søknad fra Esselte Soliditet A/S om tillatelse til å registrere og videreformidle til sine kunder, opplysninger om tidligere forespørsler på personers eller foretaks kredittverdighet/økonomiske vederheftighet». Videre står det sitert fra departementets vedtak: «Selv om den anførte statistiske undersøkelse viser at hyppige søknader om lån eller kreditt kan være tegn på svak betalingsevne, finner departementet det lite betryggende å benytte en slik statistisk tendens som kriterium i en konkret vurdering av enkelttilfeller. Etter departementets syn vil angjeldende opplysninger være for upresise og dårlig egnet som grunnlag for å vurdere den enkeltes kredittverdighet. Slik departementet ser det, vil kravene til kredittopplysningers kvalitet i personregisterloven § 15, første ledd, ikke være oppfylt.»
     Datatilsynet mener departementets uttalelser fra 1991 viser at departementet tok stilling til bruk av antall spørringer generelt, ikke kun overfor enkeltpersoner. Hensynet som departementet trakk frem, om krav knyttet til opplysningenes kvalitet, gjelder i like stor grad overfor næringsdrivende som overfor enkeltpersoner.
     Kravet til opplysningenes kvalitet ble igjen trukket frem som avgjørende argument da spørsmålet på nytt ble behandlet av Personvernnemnda i 2012. Personvernnemnda viste til Justisdepartementets avgjørelse fra 1991 og uttalte under punkt 6.7:

Når det gjelder registrering og bruk av tidligere kredittforespørsler som parameter i kredittvurderingen, er nemnda av den oppfatning at Justisdepartementets uttalelse av 28.8.91 fortsatt er relevant. Nemnda viser til at departementet uttaler at det er lite betryggende å benytte en slik statistisk tendens som kriterium i en konkret vurdering av enkelttilfeller. Antall kredittvurderinger er i dag nærmest utenfor en persons kontroll. Det store antall kredittvurderinger som foretas (ved henvendelse til banker og forsikringsselskap, ved inngåelse av mobiltelefonabonnement, kredittkort tilknyttet supermarkeder etc) og den lave terskelen som foreligger for kredittvurdering, taler imot å benytte dette som parameter ved kredittvurdering, herunder som underlagsopplysning ved beregning av scoring eller risikoprofiler. Nemnda er kommet til at slik behandling kan volde ulemper for den enkelte som ikke kan avhjelpes gjennom bestemmelsene i kapitlene II-V eller vilkår etter § 35. Nemnda er derfor kommet til at konsesjonen ikke skal utvides på dette punkt.

Konsesjonen ble deretter stadfestet med et generelt forbud mot å bruke historikk om tidligere kredittforespørsler som en parameter i kredittopplysningsvirksomhet. Dette kommer klart til uttrykk i konsesjonen punkt 1.6 som gjelder både for enkeltpersoner og næringsdrivende.
     Det er således Datatilsynets vurdering at spørsmålet om adgangen til å bruke tidligere forespørsler om kredittopplysninger ble endelig avgjort i og med Personvernnemndas vedtak PVN-2012-07.

4.4 Omgjøringsspørsmålet – subsidiær anførsel

Datatilsynet viser til at Personvernnemnda har kompetanse til å omgjøre eget vedtak etter bestemmelsen i forvaltningsloven § 35. Dette er en skjønnsmessig bestemmelse som gir forvaltningen – på nærmere vilkår som fremkommer av bestemmelsen i § 35 – anledning til å gjøre om på tidligere avgjørelser.
     Datatilsynets vurdering er at det ikke er behov for en oppmykning av kredittopplysningskonsesjonen på nåværende tidspunkt. Det er ikke lenge siden forrige konsesjon ble ferdig etter en omfattende prosess med innspill fra bransjen.
Etter tilsynets vurdering bør det foreligge gode grunner, slik som endrede samfunnsforhold eller tungtveiende reelle hensyn, for at dette skal være aktuelt å endre betingelsene for kredittopplysningsvirksomhet. Tilsynet kan ikke se at slike hensyn gjør seg gjeldende i denne saken.
     Nemndas argumenterer fra 2012 er like gyldige i dag. Eksempelvis kan konkurranse i kredittmarkedet påvirke antallet søknader eller forespørsler om lån og kreditter og derfor ikke gi en entydig indikasjon på at et selskap er i økonomisk uføre. Det kan like gjerne være en sunn refinansieringsprosess som det motsatte.
     Argumentet Bisnode trekker frem om at foretak lettere kan la kreditorene bære tapet enn enkeltpersoner kan etter tilsynets vurdering like mye tale for at det bør være adgang til å bruke tidligere forespørsler som en parameter for kredittvurdering også av enkeltpersoner. Av hensyn til at gjeldsbyrden kan bli en livsvarig fotlenke og uoverkommelig å innfri bør kredittvurderingen – også av enkeltpersoner – være så omfattende som mulig.
     Det går likevel en grense her, særlig ut fra om kilden opplysningene kommer fra er korrekt og oppdatert, jf grunnkravene i personopplysningsloven § 11. Datatilsynet er enig med Justisdepartementet i at det ikke er betryggende å bruke antall tidligere forespørsler som en egen kilde til kredittvurdering av den registrerte. Dette gjelder uansett om den registrerte er en enkeltperson, et enkeltpersonforetak eller et større selskap.

5 Personvernnemndas syn

5.1 Avvisningsspørsmålet

Nemnda skal vurdere om saken skal sendes tilbake til Datatilsynet for realitetsbehandling. Datatilsynet har avvist å behandle saken med henvisning til at adgangen til å bruke tidligere forespørsler om kredittopplysninger ble endelig avgjort i Personvernnemndas vedtak PVN-2012-07.  
     I vedtaket fra 2012 kom nemnda til at konsesjonen ikke skulle utvides til å omfatte registrering og bruk av tidligere kredittforespørsler som parameter i kredittvurderingen. Nemnda viste i den sammenheng til Justisdepartementets uttalelse av 28.8.1991 og uttalte at det er lite betryggende å benytte en slik statistisk tendens som kriterium i en konkret vurdering av enkelttilfeller. Nemnda behandlet dette på generelt grunnlag og sondret ikke mellom enkeltpersoner og næringsdrivende. Personvernnemnda tok således stilling til spørsmålet i PVN-2012-07 og var enig i Datatilsynets resonnement. Det er ikke dokumentert forhold som endrer denne vurderingen.

5.2 Omgjøringsspørsmålet

Nemnda behøver ikke å ta stilling til den subsidiære anførselen. Personvernnemnda er av samme oppfatning som i PVN-2012-07 og finner ikke grunnlag for å omgjøre eget vedtak etter forvaltningsloven § 35.

6 Vedtak

Klagen tas ikke til følge.

 

 

Oslo, 13. mai 2016

Eva I E Jarbekk
Leder