Datatilsynets referanse: 16/00671-7/TJU

PVN-2017-03 Axactor

Klage på Datatilsynets vedtak om overtredelsesgebyr – kredittopplysningsvirksomhet uten konsesjon

Personvernnemndas avgjørelse av 11. mai 2017 (Mats Wilhelm Ruland, Gisle Hannemyr, Hans Marius Graasvold, Line Coll, Ellen Blinkenberg, Hans Marius Tessem)

1 Innledning

Saken gjelder klage på overtredelsesgebyr som er ilagt Axactor Norway AS for å drive kredittopplysningsvirksomhet uten konsesjon.

2 Sakens bakgrunn

Problemstillingen er om Axactor Norway AS (Axactor), tidligere Ikas Norge AS (Ikas), har drevet kredittopplysningsvirksomhet og hvorvidt det skal ilegges et gebyr for overtredelse av personopplysningsloven, samt størrelse på et eventuelt gebyr.

Den 19. april 2016 mottok Datatilsynet en klage på usaklig kredittvurdering. En privatperson hadde mottatt et gjenpartsbrev fra Experian AS (Experian), der Ikas var oppgitt som mottaker av kredittopplysningene. Ved henvendelse til Ikas fikk personen vite at Ikas innhentet opplysningene på bestilling fra Verktøy & Maskin AS i Narvik (VMAS), og at opplysningene ble formidlet til VMAS. Det er ikke omstridt at den bestilte kredittvurderingen fra VMAS var usaklig, og Datatilsynet har forfulgt den usaklige kredittvurderingen overfor VMAS i en egen sak.

På Ikas’ daværende nettsider fremgikk det at Ikas tilbød advokattjenester, fakturatjenester og innfordring. I tillegg var kredittvurdering oppført som en egen tjeneste. Kundene kunne henvende seg til Ikas, som så ville utlevere kredittopplysninger om de omspurte virksomhetene eller personene.

Datatilsynet konkluderte med at Ikas’ kredittvurderingstjeneste falt innenfor lovens definisjon av kredittvurderingsvirksomhet. Opprinnelig varslet Datatilsynet et overtredelsesgebyr på kr 150 000. Av Axactors tilsvar fremgikk det at kredittvurderingspraksisen har foregått siden før personopplysningsloven trådte i kraft, det vil si i 17 år. På den annen side anførte Axactor at kredittvurdering hadde skjedd i lite omfang. På grunn av at krenkelsen hadde foregått over så lang tid valgte Datatilsynet å øke overtredelsesgebyret til kr 250 000.

Datatilsynet fattet vedtak den 16. november 2016:

Axactor Norway AS pålegges å betale et overtredelsesgebyr til statskassen stort 250 000 kroner for å ha utøvd kredittopplysningsvirksomhet uten konsesjon, jf personopplysningsforskriften § 4-2 og 4-5 første ledd, jf. personopplysningsloven § 3 siste ledd, ved å bestille kredittvurdering på vegne av kunder.

Den 5. desember 2016 påklaget Axactor vedtaket.

Saken ble oversendt Personvernnemnda 16. februar 2017, som mottok saken 22. februar 2017. Klager ble orientert om dette i brev fra nemnda datert 22. februar 2017, med frist til uttalelse innen 20. mars 2017.

Klager kommenterte saken i brev av 15. mars 2017.

3 Klagers anførsler

3.1 Oppsummerte anførsler

Axactor anfører at Datatilsynet har lagt til grunn feil forståelse av personopplysningsforskriften § 4-2. Axactor har ikke drevet konsesjonspliktig kredittopplysningsvirksomhet slik det er definert i forskriften. Datatilsynet har ikke hjemmel til å ilegge overtredelsesgebyr. Dersom nemnda skulle komme til at Axactor har drevet kredittopplysningsvirksomhet uten konsesjon, anføres at utmålingen av overtredelsesgebyret er basert på gale forutsetninger og dessuten er satt for høyt.

3.2 Mangel ved begrunnelsen

Axactor har anført at det utgjør en mangel ved vedtaket at Datatilsynet ikke begrunner hvorfor Axactors videreformidling og meddelelse av kredittopplysninger er å anse som kredittopplysningsvirksomhet. Axactor mener vedtaket ikke er tilstrekkelig begrunnet, jf. forvaltningsloven § 25. Kravet til Datatilsynets begrunnelse skjerpes når det gjelder et vedtak som er så inngripende med hensyn til både økonomisk belastning og betydelig omdømmetap.

3.3 Videreformidling av kredittopplysninger

Axactor er uenig i Datatilsynets tolkning av forskriften § 4-2. Bestemmelsen kan ikke tolkes utelukkende ut fra vilkåret om meddelelse, da dette må leses i sammenheng med den "virksomhet" som rent faktisk drives av et foretak, herunder hvorvidt meddelelse av kredittopplysninger er formålet med virksomheten. Dette er også i overenstemmelse med lovens forarbeider jf. Ot.prp. nr. 2 (1977-1978) s. 84. Det er altså ikke selve meddelelsen som fremheves som det sentrale, men virksomheten bestående av innhenting og sammenstilling av opplysninger og utarbeidelse av kredittvurderinger, med det formål å selge disse tjenestene til aktører som har behov for å belyse en tredjeparts kredittverdighet eller økonomiske vederheftighet. De foretak som i dag har konsesjon til å drive kredittopplysningsvirksomhet (Bisnode, Experian, m.fl.) er nettopp foretak som har som sin kjernevirksomhet å tilby et produkt som er resultatet av slik systematisk innsamling og sammenstilling av opplysninger. En slik forståelse av hva som utgjør kredittopplysningsvirksomhet er også i tråd med innholdet i Datatilsynets standardkonsesjon, hvor det blant annet stilles krav til omfattende registerføring, bruk av gjenpartsbrev og rutiner for sletting.

Axactor har ikke innhentet og sammenstilt opplysninger om den kredittvurderte, og således ikke foretatt selve kredittvurderingen eller drevet virksomhet med formål om å selge eller meddele kredittopplysninger. Axactor har utelukkende, på vegne av sine kunder, bestilt et ferdig produkt fra et foretak som har konsesjon til å drive kredittopplysningsvirksomhet. Det er også av særlig betydning at Axactor har bestilt kredittvurderinger ved svært få anledninger og, i likhet med sakene i PVN-2008-01 og PVN-2010-04, utelukkende i forbindelse med konkrete oppdrag fra kunden for å løse inkassosaker eller yte løpende rådgivning, hvor Axactors kunde har bedt om det.

Videre har Axactor ikke drevet med en systematisk videreformidling av kredittopplysninger utenfor konkrete oppdrag. Datatilsynet har gitt en feilaktig fremstilling av Axactors virksomhet.

Axactor mener sakene i PVN-2008-01 og PVN-2010-04 har overføringsverdi. Sakene gjaldt spørsmålet om det var saklig behov for å innhente kredittvurderinger, og ikke hvorvidt den som handlet på vegne av kunden hadde adgang til å videreformidle kredittvurderingen til sin kunde. Sistnevnte var ikke problematisert overhodet, verken av Datatilsynet eller nemnda. Axactor fremholder at sakene har overføringsverdi for å belyse at det å innhente opplysninger i forbindelse med utførelse av konkrete oppdrag på vegne av kunder ikke utgjør kredittopplysningsvirksomhet iht. forskriften § 4-2, og i alle tilfeller at slik praksis ikke tidligere har vært problematisert av Datatilsynet.

Det er en feilslutning at Axactor ikke representerte VMAS ved avtaleinngåelsen. Axactor innhentet opplysningene på vegne av VMAS og representerte på denne måten VMAS. Det stilles dessuten ingen krav til at Axactor er pålagt å sende ut løpende oppdragsbekreftelser eller skriftlige avtaler for alle tjenester en kunde ber om i løpende kundeforhold om innfordring og rådgivning. Det kan da heller ikke ha betydning at innhenting av kredittvurdering i forbindelse med konkrete saker ikke fremgår av den skriftlige avtalen om kundeforholdet mellom VMAS og Axactor. Tvert imot viser dette at Axactor verken tilbyr eller driver med videreformidling av kredittopplysninger utenfor konkrete oppdrag.

Hensynet bak forskriftens § 4-3 undergraves ikke ved at Axactor innhenter en kredittvurdering på vegne av kunden. Det at en ansatt hos en av Axactors kunder tilsynelatende ikke hadde et saklig behov for kredittopplysninger er beklagelig, men endrer ikke arten eller karakteren av den virksomheten Axactor har drevet, nemlig innfordring på vegne av kunder og relatert rådgivning. For øvrig vil heller ikke kredittopplysningsvirksomheter med konsesjon kunne motvirke usaklige kredittvurderinger i slike situasjoner, selv om kunden gis informasjon om at kredittvurdering krever saklig grunnlag.

Når det gjelder Axactors tidligere nettside, innser Axactor at formuleringen kan være uheldig. Det fremgår imidlertid tydelig av nettsiden at Experian (kredittopplysningsbyrå med konsesjon) er Axactors samarbeidspartner og at det er Experian som leverer kredittvurderinger. Det samme gjelder advokattjenester som også er nevnt samme sted. Til sammenligning må det anses klart at det ikke er Axactor som driver advokatvirksomhet, som krever bevilling og vil være underlagt Tilsynsrådet for Advokatvirksomhet. Det avgjørende i denne sammenheng må være de reelle forhold, og som redegjort for ovenfor har ikke Axactor drevet kredittopplysningsvirksomhet. Følgelig kreves heller ikke konsesjon.

Datatilsynets forståelse av bestemmelsen vil medføre at langt mer enn det som i dag tradisjonelt forstås med kredittopplysningsvirksomhet, omfattes av definisjonen i forskriften § 4-2. Datatilsynets syn innebærer at mange norske foretak i dag rent faktisk driver konsesjonspliktig virksomhet uten konsesjon. Det å ha mulighet til å innhente kredittvurderinger på vegne av en kunde i forbindelse med et konkret oppdrag står sentralt og er en del av det daglige virke for mange foretak, herunder alle foretak som driver med inkassovirksomhet og relatert rådgivning. Dersom slik bruk av kredittvurderinger sidestilles med den virksomhet som drives av kredittopplysningsbyråer og dermed krever konsesjon, vil dette medføre et stort omstillingsbehov i markedet bl.a. for inkassovirksomhet. Det at bransjen som sådan legger til grunn en tolkning av kredittopplysningsvirksomhet som er avvikende fra Datatilsynets tolkning, illustreres også av at det i dag kun er 17 foretak som har konsesjon til å drive kredittopplysningsvirksomhet i Norge. Datatilsynets syn kan innebære at 40-50 norske foretak umiddelbart må søke om konsesjon.
 
Axactors innhenting av kredittvurderinger på oppdrag fra sine kunder utgjør ikke konsesjonspliktig kredittopplysningsvirksomhet. Axactor har følgelig ikke opptrådt i strid med lov eller forskrift om behandling av personopplysninger, og Datatilsynet har dermed ikke hjemmel til å ilegge overtredelsesgebyr.

3.4 Det forvaltningsrettslige legalitetsprinsippet

Subsidiært anføres at innholdet i forskriften § 4-2 og hva som rent faktisk utgjør konsesjonspliktig virksomhet er uklart. Det følger av legalitetsprinsippet i forvaltningsretten at et slikt inngripende vedtak som å ilegge overtredelsesgebyr krever en klar og tydelig lovbestemmelse slik at det er forutberegnelig hva som utgjør et brudd på regelverket og dermed når sanksjon kan ilegges. I lys av legalitetsprinsippet er det heller ikke tilstrekkelig forutberegnelig å forankre tolkningen av en påbudsbestemmelse i forarbeidene til en annen lov som ble opphevet for 17 år siden, slik Datatilsynet ser ut til å gjøre.

3.5 Det forvaltningsrettslige krav om ensartet praksis

Under enhver omstendighet, dersom Axactors bruk av kredittopplysninger utgjør en overtredelse av forskriften, anføres at det er i strid med etablert praksis å ilegge gebyr for en slik overtredelse som saken gjelder. Det følger av personopplysningsloven § 46 at Datatilsynet "kan" ilegge gebyr ved overtredelser. Når forvaltningen gis slikt skjønn til å bestemme hvorvidt det skal ilegges en sanksjon, er det avgjørende at det finnes en ensartet praksis slik at det ikke får preg av tilfeldighet om det ilegges sanksjon eller ikke. Som Datatilsynet selv skriver i vedtaket har de ikke behandlet liknende saker tidligere. Videre fremgår det at Datatilsynet ønsker å sette et eksempel ved denne saken, jf. tilsynets formulering "vi mener det er viktig at gebyret settes så høyt at det får virkning også ut over denne konkrete saken." Ettersom mange foretak faktisk benytter kredittopplysninger slik Axactor har gjort, uten at Datatilsynet har slått ned på dette tidligere eller gitt utrykk i sine veiledninger for at slik bruk av kredittopplysninger krever konsesjon, oppleves det som tilfeldig og usaklig forskjellsbehandling at Datatilsynet i denne saken velger å ilegge gebyr, fremfor å iverksette mindre inngripende tiltak som veiledning, advarsel eller pålegg.

3.6 Utmålingen

Atter subsidiært anføres det at gebyret er uforholdsmessig høyt. Axactor har unntaksvis og ved få anledninger bestilt kredittvurderinger på vegne av sine kunder i forbindelse med konkrete oppdrag som springer ut av Axactors virksomhet. Opplysningene har aldri blitt benyttet for andre formål eller blitt delt "fritt" utenfor representasjonsforhold.

Datatilsynets gjengivelse av Axactors aktiviteter er feilaktig. Axactor har ikke på noe tidspunkt utført kredittvurderinger, men unntaksvis bestilt kredittvurderinger fra kredittopplysningsforetak med konsesjon, utelukkende i representasjonsforhold og i forbindelse med løsning av konkrete saker for Axactors kunder. Det er videre uriktig at Axactor har drevet slik virksomhet "systematisk over svært lang tid".

All den tid ordlyden i forskriften og veiledningen på Datatilsynets nettsider er uklar med hensyn til definisjonen av kredittopplysningsvirksomhet, kan en overtredelse av den art det her er tale om verken anses som alvorlig eller klanderverdig. Det kan derfor heller ikke vektlegges at Axactor selv kunne unngått overtredelsen ved hjelp av interne retningslinjer, siden disse i all hovedsak er basert på Datatilsynets retningslinjer.

Datatilsynet har sett bort fra de formildende omstendighetene, og utelukkende lagt vekt opplysningene som innledningsvis ble gitt av Axactor. Dette oppleves som lite tillitsvekkende og i strid med god forvaltningsskikk. Det må antas at overtredelsesgebyr er å anse som straff etter EMK art. 6. Etter EMK kan man også utlede et vern mot at noen tvinges til å gi opplysninger som kan bidra til egen "domfellelse" i saker som må anses å innebære en straffesiktelse i konvensjonens forstand. Med dette bærer også en opplysningsplikt for forvaltningen når det er aktuelt å ilegge sanksjoner. Datatilsynet har foretatt en ensidig vurdering, og lagt avgjørende og skjerpende vekt på en formulering avgitt av en samarbeidsvillig part.

Axactor mener uklarhetene i loven, forskriften og Datatilsynets egen veileder burde vektlegges i formildende retning. Ileggelse og utmåling av overtredelsesgebyr etter personopplysningsloven § 46 "skal bero på en skjønnsmessig helhetsvurdering", i tillegg til momentene angitt i loven. Basert på opplysningene i saken mener Axactor at en skjønnsmessig helhetsvurdering burde resultere i et vesentlig lavere gebyr.

4 Datatilsynets vurdering

4.1 Utmåling av overtredelsesgebyr

Datatilsynet mener det er nødvendig å reagere på overtredelsen og ilegge overtredelsesgebyr, jf personopplysningsloven § 46.

Adgangen til å ilegge overtredelsesgebyr er gitt som et virkemiddel for å sikre effektiv etterlevelse og håndhevelse av personopplysningsloven. Overtredelsesgebyr er ikke å anse som en straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er anse som straff etter EMK (den europeiske menneskerettighetskonvensjonen) art 6, og i samsvar med Høyesteretts praksis, jf. Rt. 2012 side 1556, legger Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr.

Datatilsynet finner det klart at Axactor har utøvd kredittopplysningsvirksomhet uten konsesjon, jf. personopplysningsloven §§ 4-2 og 4-5 første ledd, jf. personopplysningsloven § 3 siste ledd.

I vurderingen av om overtredelsesgebyr skal ilegges, legger Datatilsynet særlig vekt på at overtredelsene betydelig har krenket grunnleggende interesser som loven verner, jf. § 46 annet ledd bokstav a. Loven verner om grunnleggende personverninteresser som den personlige integritet og privatlivets fred, jf. lovens § 1.

Datatilsynet legger her særlig vekt på at en kredittvurdering inneholder mange beskyttelsesverdige opplysninger om en person. Dette er opplysninger som de fleste anser som private, og det kan oppleves som krenkende dersom de deles fritt. Dette er bakgrunnen for særreglene i personopplysningsforskriften kapittel fire, jf. personopplysningsloven § 3 siste ledd.

Videre har lovgiver bestemt at enkelte behandlinger av personopplysninger er så inngripende i den personlige integritet at de krever forhåndsgodkjennelse i form av konsesjon fra Datatilsynet. Kredittopplysningsvirksomhet er en slik behandling.

Det er derfor en betydelig krenkelse av grunnleggende personverninteresser når Axactor har behandlet denne typen personopplysninger i strid med loven.

Når det gjelder graden av skyld, jf. personopplysningsloven § 46 annet ledd bokstav b, forklarer lovens forarbeider at det med graden av skyld siktes til hvor klanderverdig handlingen er, for eksempel om den bærer preg av et uhell eller om den har et mer systematisk eller planmessig preg. I dette tilfellet har kredittopplysningsvirksomheten foregått systematisk og over svært lang tid. Axactor har utført ulovlige kredittvurderinger siden dagens regler om kredittvurdering trådte i kraft 1.1.2001. Virksomheten har med andre ord ikke satt seg inn i eller fulgt reglene i 17 år. Dette er sterkt klanderverdig, og Datatilsynet legger stor vekt på dette.

Tilsynet legger også vekt på at overtredelsen kunne vært unngått ved hjelp av retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak, jf. personopplysningsloven § 46 annet ledd bokstav c. Virksomheten må ha systemer som sikrer at den etterlever relevante lover, herunder rutiner som sikrer at personopplysningslovens regler for behandling av personopplysninger følges, jf. personopplysningsloven § 14. En såpass langvarig overtredelse som det er snakk om her, ville neppe vært mulig hvis virksomheten hadde hatt interne tiltak for revisjon av etterlevelse.

Tilsynet legger videre vekt på at overtredelsen er begått for å fremme Axactors interesser, jf. personopplysningsloven § 46 annet ledd bokstav d. Det fremstår for Datatilsynet som at Axactor har utøvd kredittopplysningsvirksomhet som en ekstratjeneste for sine kunder.
Videre kan det ikke utelukkes at dette har ført til en fordel for Axactor, jf. personopplysningsloven § 46 annet ledd bokstav e. Kredittopplysningsvirksomheten har formodentlig ført til at Axactors kunder har ytt kreditt til personer som det er lettere å inndrive krav fra senere. På den annen side er det på det rene at det ikke er tatt direkte betalt for tjenesten.

Det skal også legges vekt på overtrederens økonomiske evne, jf. personopplysningsloven § 46 annet ledd bokstav h. Dette er særlig relevant for vurderingen av utmåling. Axactor Norway AS (Ikas Norge AS) hadde i 2015 driftsinntekter på kr 44 196 000 og årsresultat etter skatt på kr 18 386 000.

Datatilsynet kan ikke se at de andre momentene i § 46 annet ledd gjør seg gjeldende i særlig grad.

Datatilsynet er etter dette kommet til at overtredelsesgebyr bør ilegges.

Når det gjelder gebyrets størrelse, skal de samme momenter som ved vurdering av om gebyr skal ilegges, tillegges særlig vekt. Momentene over tilsier et gebyr av en viss størrelse.
Opplistingen av momenter i § 46 annet ledd er imidlertid ikke uttømmende. Tilsynet legger også svært stor vekt på allmennpreventive hensyn, siden det er snakk om en alvorlig krenkelse av loven. Tilsynet mener det er viktig at gebyret settes så høyt at det får virkning også ut over den konkrete saken.

Datatilsynet finner at denne saken står i en særstilling. Det er snakk om en overtredelse som i seg selv er grov. Videre har overtredelsen foregått i snart 17 år. Datatilsynet har ikke behandlet liknende saker tidligere.

Etter en helhetsvurdering av saken og graden av alvorlighet i overtredelsen, har tilsynet kommet frem til at et overtredelsesgebyr på kr 250 000 anses riktig. Virksomhetens økonomiske evne gir ikke grunn til å fravike dette utgangspunktet.

4.2 Mangler ved begrunnelsen

Datatilsynet kan ikke se at begrunnelsen ikke oppfyller kravene i forvaltningsloven § 25.

For øvrig gjorde Datatilsynet også rede for disse elementene i varselet om vedtak etter forvaltningsloven § 16. Axactors tilsvar ga klart inntrykk av at Axactor forsto begrunnelsen.

4.3 Videreformidling av kredittopplysninger

Utgangspunktet for tolkningen av hvorvidt Axactor har utført konsesjonspliktig kredittopplysningsvirksomhet, er personopplysningsforskriftens ordlyd.

Formidling av kredittopplysninger er definert som konsesjonspliktig kredittopplysningsvirksomhet. Axactor skriver selv i sin klage at de har formidlet kredittopplysninger. Isolert sett tilsier dette at Axactor har utført konsesjonspliktig kredittopplysningsvirksomhet.

Axactor har videre vist til praksis fra Personvernnemnda.

Axactor representerte ikke VMAS ved avtaleinngåelse. Etter Datatilsynets syn foreligger det ikke et tilsvarende fullmaktsforhold som i PVN-2008-01 og PVN-2010-04. Derimot har det funnet sted formidling av kredittopplysninger utenfor representasjonsforhold og over lang tid. Nemndas praksis kan derfor ikke tas til inntekt for Axactors syn.

Datatilsynet er ikke enig i Axactors påstand om at personopplysningsforskriften og konsesjonens krav ivaretas. Denne saken er et eksempel på problemene som oppstår ved bruk av mellomledd. For det første, siden mellomleddet ikke opptrådte slik kredittopplysningsselskaper ellers skal, kunne en ansatt hos VMAS lett hente ut kredittopplysninger uten saklig behov. Ikas krevde ikke at forespørsler om kredittopplysninger ble foretatt skriftlig, og skriver selv til Datatilsynet at de ikke ser hvordan de kan motvirke usaklige kredittvurderinger. Mellomleddkonstellasjonen fører således til en viss grad av ansvarspulverisering. For det andre har kredittopplysningsvirksomheter plikt til å informere om kravet til saklig behov når de gir tilgang til kredittopplysninger, jf. standardkonsesjonen for kredittopplysningsvirksomhet punkt 4.2. I mellomledds-konstellasjonen som Axactor skisserer, vil ikke mellomleddet ha en tilsvarende plikt, noe som vil undergrave hensynet bak regelen. For det tredje fikk privatpersonen et gjenpartsbrev der Ikas var oppgitt som mottaker. Personen måtte så selv prøve å finne ut hvem som egentlig hadde bestilt kredittvurderingen. Hensynene bak reglene om gjenpartsbrev blir derfor også uthulet. Lovgiver har bestemt at kredittopplysningsvirksomhet skal underlegges konsesjonsplikt nettopp for å unngå den typen situasjon som denne saken omhandler.

Det er ikke en forutsetning om å ha egne registre for å falle innenfor definisjonen av kredittopplysningsvirksomhet. Dette utgangspunktet har støtte i ordlyden i § 4-2 og har videre blitt lagt til grunn i juridisk teori. Datatilsynet kjenner til at enkelte kredittopplysningsvirksomheter i praksis henter opplysninger fra hverandres registre. Forarbeidene til personopplysningsloven inneholder ingen forklaring til definisjonen av kredittopplysningsvirksomhet, men definisjonen i personopplysningsforskriften bygger på en tilsvarende bestemmelse i personregisterloven. I forarbeidene til personregisterloven går man bort fra å begrense definisjonen til «innsamling og meddelelse» fordi det er virksomhet som består i meddelelse man har ønsket å regulere.

Axactor mener at VMAS var behandlingsansvarlig, Experian databehandler og Axactor mellommann. For det første er Experian en selvstendig behandlingsansvarlig for den behandlingen av personopplysninger som virksomheten foretar for å kunne tilby kredittopplysningstjenester. For det andre er det uklart hva Axactor mener med at de verken er behandlingsansvarlig eller databehandler. Axactors videreformidling av kredittopplysninger innebærer en behandling av personopplysninger, og virksomheter som behandler personopplysninger må forholde seg til personopplysningsloven enten som behandlingsansvarlig eller databehandler med databehandleravtale.

5 Personvernnemnda bemerker

Innledning
Nemnda skal vurdere Datatilsynets ileggelse av overtredelsesgebyr.

Problemstillingen er hvorvidt Axactor har drevet med kredittopplysningsvirksomhet etter personopplysningsforskriften § 4-2.

Nemnda har kommet til at Datatilsynets vedtak må oppheves. Nemnda mener Datatilsynet ikke har oppfylt utredningsplikten etter forvaltningsloven § 17, og at vedtakets begrunnelse er mangelfull slik at vedtaket ikke oppfyller kravene i forvaltningsloven § 25.

Rettslig utgangspunkt
Kredittopplysningsvirksomhet er definert i personopplysningsforskriften § 4-2 første ledd som lyder slik:

Med kredittopplysningsvirksomhet menes i kapittelet her virksomhet som består i å gi meddelelser som belyser kredittverdighet eller økonomisk vederheftighet (kredittopplysning). Kapittelet gjelder ikke bruk av opplysninger innen et foretak, og heller ikke i forhold til foretak innen samme konsern med mindre opplysningene blir gitt av et foretak som driver kredittopplysningsvirksomhet. Det gjelder heller ikke avgivelse av opplysninger til annet kredittopplysningsforetak som loven gjelder for, dersom opplysningene skal brukes i dette foretakets kredittopplysningsvirksomhet.

I bestemmelsens andre ledd avgrenses kredittopplysningsvirksomhet mot følgende virksomhet:

Følgende virksomheter regnes ikke som kredittopplysningsvirksomhet:

  1. meldinger fra offentlige registre om rettigheter og heftelser i fast eiendom eller løsøre,
  2. meldinger fra banker, jf. sentralbankloven, husbankloven, sparebankloven og forretningsbankloven, og fra finansieringsselskaper, jf. finansieringsvirksomhetsloven, i forbindelse med uttak fra konto og utføring av betalingstjenester. Det samme gjelder når slike meldinger formidles for bank eller finansieringsselskap av et utenforstående foretak,
  3. meldinger til den opplysningene gjelder,
  4. utgivelse av offentlig utlagt ligning i henhold til ligningsloven § 8-8,
  5. Brønnøysundregistrenes behandling av lovpålagte registre,
  6. meldinger fra Løsøreregisteret om registrerte utleggstrekk og forretninger om «intet til utlegg».

Behandling av personopplysninger i kredittopplysningsvirksomhet krever konsesjon fra Datatilsynet etter personopplysningsforskriften § 4-5.

Ved overtredelse av personopplysningsloven og personopplysningsforskriften kan Datatilsynet pålegge den som har overtrådt loven og/eller forskriften å betale et overtredelsesgebyr på inntil 10 ganger folketrygdens grunnbeløp, jf. personopplysningsloven § 46 første ledd. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll. Personopplysningsloven § 46 andre ledd bokstav a – h gir anvisning på hvilken momenter som særlig skal legges vekt på ved utmålingen av et gebyr.

Spørsmålet om Axactor har drevet kredittopplysningsvirksomhet
Axactor har anført at deres praksis er en «videreformidling» av kredittopplysninger som faller utenfor forskriftens definisjon.

Etter nemndas syn er det uklart om Axactor har drevet kredittopplysningsvirksomhet. Denne uklarheten kan i betydelig utstrekning tilskrives opplysninger gitt av Axactor selv. Axactor har på egen hjemmeside tidligere oppgitt at de tilbyr kredittopplysningsvirksomhet som tjeneste. Axactor har også tidligere bekreftet dette direkte til Datatilsynet. Disse opplysningene taler for at Axactor faktisk har drevet med kredittopplysningsvirksomhet.

Samtidig er det klare holdepunkter for at Axactor "kun" har drevet en form for mellommannsvirksomhet, der de på oppdrag fra kunder har innhentet kredittopplysninger (rapporter) fra kredittopplysningsbyrået Experian. Rapporten blir deretter formidlet videre til kunden. Nemnda viser her til at gjenpartsbrevet sendes fra Experian direkte til den som kredittvurderes. Dette underbygger med styrke at Axactors beskrivelse av mellommannsvirksomheten er korrekt. Det er også vanlig for et selskap som Axactor å markedsføre tjenester som reelt kjøpes fra andre leverandører. En slik fremgangsmåte benyttes i mange bransjer i næringslivet for å dekke alle behovene til kundene.

I vedtaket av 16. november 2016 skriver tilsynet at det «finner det klart at dere har gitt slike meddelelser». Samme formulering står i varsel om vedtak av 14. september 2016. Datatilsynets vurdering av dette spørsmålet er svært knapp. Slik nemnda ser det har ikke Datatilsynet vurdert tilstrekkelig grundig om Axactors praksis er "videreformidling" av kredittopplysninger, og om dette er omfattet av personopplysningsforskriften eller faller utenfor forskriftens definisjon. Nemnda viser her til kravene til et enkeltvedtak som følger av forvaltningsloven § 17 (forvaltningens utredningsplikt) og § 25 (begrunnelsens innhold).

Videre mener nemnda at Datatilsynets vedtak har ytterligere innholdsmessige mangler. Spørsmålet om "videreformidling" av kredittopplysninger er ikke løst direkte i loven og nemnda kan ikke se at det er omtalt i forarbeidene. Det er for øvrig sparsomt med rettskilder. Problemstillingen er behandlet i boken «Personvern i finanssektoren» (Blixrud/Ottesen 2010).  På s. 242 skriver forfatterne at Datatilsynet har mottatt søknad om konsesjon fra virksomheter som oppgir at de vil innhente kredittopplysninger fra kredittopplysningsforetak, for så å videreformidle opplysningene til de som etterspør kredittopplysninger. Forfatterne konkluderer med at:

Slik videreformidling vil ikke være kredittopplysningsvirksomhet i personopplysningsforskriftens forstand.

Videre uttales det at Datatilsynet i denne type saker har konkludert med at det ikke kreves konsesjon, men at det er krav om databehandleravtale. I boken vises det til fire konkrete saker i Datatilsynet om videreformidling; DT 05/00483, DT 06/00568, DT 05/00781 og DT 05/01397.

Nemnda finner at også denne problemstillingen er mangelfullt utredet og begrunnet, og bør vurderes på nytt av tilsynet. Nemnda mener Datatilsynet bør vurdere grundigere om Axactors praksis faktisk er kredittopplysningsvirksomhet eller "kun" videreformidling. Det kan synes som tilsynets vedtak i denne saken avviker fra tidligere praksis, noe som skjerper kravet til begrunnelse.  Datatilsynet har i drøftelsen av om Axactor driver kredittopplysningsvirksomhet, heller ikke vurdert om selskapet gjennom en eventuell videreformidlingen er behandlingssansvarlig eller databehandler. Også dette spørsmålet bør behandles av Datatilsynet. Tilsynet bør vurdere saken opp mot egen praksis vedrørende videreformidling, herunder vurdere hvorvidt databehandleravtale kreves, samt eventuelt avklare hvor langt plikten til databehandleravtale rekker. Av hensyn til kontradiksjonen, finner ikke nemnda grunnlag for å fatte realitetsavgjørelse, jf forvaltningsloven § 34.

På denne bakgrunn er nemnda kommet til at vedtaket lider av mangler som medfører at vedtaket må oppheves og saken sendes tilbake til tilsynet for ny behandling.

6 Vedtak

Datatilsynets vedtak oppheves. Saken sendes tilbake til Datatilsynet til ny behandling.

 

 

Oslo, 11. mai 2017

Mats Wilhelm Ruland
Leder