Datatilsynets referanse: 16/01850-9/TJU

PVN-2017-12 Fredensborg – kredittvurdering av leietakere 

Klage på Datatilsynets vedtak om overtredelsesgebyr for å ha innhentet kredittvurdering uten saklig behov

Personvernnemndas avgjørelse av 25. september 2017 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Line Coll, Ellen Blinkenberg, Hans Marius Tessem)

1 Innledning

Saken gjelder klage på Datatilsynets vedtak om overtredelsesgebyr for Fredensborg Norge AS for å ha innhentet kredittvurderinger av potensielle leietakere uten saklig behov, jf. personopplysningsforskriften § 4-3 første ledd, jf. personopplysningsloven § 3 siste ledd.

Saken omhandler profesjonelle utleieres adgang til å kredittvurdere en potensiell leietaker før leieavtale inngås i situasjoner hvor leietakeren stiller depositum som sikkerhet for leieavtalen.

2 Saksgangen

Den 16. november 2016 mottok Datatilsynet en henvendelse fra Forbrukerombudet. Forbrukerombudet hadde oppdaget at Fredensborg Norge AS (heretter omtalt som Fredensborg), som driver med utleie av leiligheter, kredittvurderte potensielle leietakere, og ombudet ba Fredensborg om å slutte med sin praksis under henvisning til PVN 2006-03 KLP og PVN 2008-01 Utleiemegleren.

Fredensborg mente at Forbrukerombudet ikke hadde kompetanse til å vurdere om praksisen var ulovlig, og ønsket at Datatilsynet skulle ta stilling til saken.

Forbrukerombudet og Datatilsynet ble enige om at tilsynet skulle ta saken videre, og den 17. januar 2017 varslet tilsynet vedtak. Fredensborg ble varslet om pålegg om opphør av kredittvurderinger av potensielle leietakere som stiller depositum som sikkerhet, samt varslet om ileggelse av overtredelsesgebyr på kr 250 000.

Fredensborg stilte oppfølgingsspørsmål om innhenting av kredittopplysninger ved inngåelse av leieavtale med leiegaranti. Tilsynet besvarte spørsmålet i epost den 19. januar 2017.

Fredensborg kom med merknader til varsel om overtredelsesgebyr og pålegg den 8. februar 2017. Av merknadene fremgikk det at Fredensborg nå hadde opphørt å kredittvurdere potensielle leietakere som stiller depositum som sikkerhet.

Den 27. mars 2017 fattet tilsynet følgende vedtak:

«1.  Fredensborg Norge AS pålegges å betale et overtredelsesgebyr til statskassen stort 250 000 — to hundre og femti tusen — kroner for å ha innhentet kredittvurdering uten saklig behov, jf. personopplysningsforskriften § 4-3 første ledd, jf. personopplysningsloven § 3 siste ledd, ved å kredittvurdere potensielle leietakere som stiller depositum som sikkerhet.»

Vedtaket ble påklaget den 18. april 2017.

Datatilsynet vurderte klagen og opprettholdt sitt vedtak. Personvernnemnda mottok saken 5. juli 2017. Fredensborg ble orientert om dette i brev fra nemnda, med frist for uttalelse.

Fredensborg ga sin uttalelse i brev av 22. august 2017.

3 Sakens faktum og bakgrunn

Fredensborg AS er et skandinavisk eiendomsselskap med ca. 27 000 leiligheter for utleie i Norge, Sverige og Danmark. Fredensborg Norge AS driver med utleie av leiligheter i Norge. På deres nettside er det opplyst at de tilbyr mer enn 4 000 leiligheter. Fredensborg tilbyr leiligheter i to grupper: møblerte leiligheter for korttidsutleie og umøblerte for langtidsutleie. Ved korttidsutleie foretas det ikke kredittvurderinger av leietakerne, det gjøres bare ved langtidsleie.

Ved langtidsleie krever Fredensborg at leieren stiller sikkerhet for skyldig husleie og andre krav som reiser seg av husleieavtalen. Husleieloven §§ 3-5 og 3-6 åpner for to former for sikkerhetsstillelse, enten depositum deponert på egen bankkonto i leietakers navn eller leiegaranti. Tidligere var depositum den dominerende form for sikkerhet blant leietakerne. Utleiemegleren var i 2010 den første aktøren som tilbød leietakerne å kjøpe leiegaranti fra et garantiselskap. I 2014 inngikk Fredensborg avtale med Gable Insurance AG om å tilby leiegaranti til leietakerne. Fredensborg opplyser at statistikken viser at de fleste leietakere nå ønsker leiegaranti fra et garantiselskap fremfor depositum. Det er rundt 40 utleiere i det norske markedet som i likhet med Fredensborg formidler leiegaranti til sine leietakere.

Leietakere som ønsker leiegaranti betaler garantiselskapet for å stille som garantist. Garantibeløpet er tilsvarende fire månedsleier. Prisen for en leiegaranti kan variere, men er vanligvis ca. 12 % av garantibeløpet. De leietakerne som velger leiegaranti, tegner denne på kontoret til Fredensborg samtidig som de underskriver kontrakten. For å kunne tegne leiegaranti fra Gable krever Gable at det foreligger kredittvurdering uten betalingsanmerkning. Vilkåret om kredittvurdering fremkommer flere steder i avtalen mellom Fredensborg og Gable.

Det fremgår av dokumentene at Datatilsynet aksepterer at Fredensborg kan innhente kredittopplysninger om en potensiell leietaker på vegne av garantisten, forutsatt at det foreligger «et klart fullmakts- eller representasjonsforhold som har nær, saklig sammenheng med den aktuelle kredittvurderingen, og at det foreligger en databehandleravtale». Datatilsynet har på denne bakgrunn, slik Personvernnemnda forstår det, ikke hatt innvendinger mot Fredensborgs fremgangsmåte i disse sakene.

Ved inngåelse av leieavtale hvor leietaker stiller depositum som sikkerhet, krever Fredensborg et depositum tilsvarende tre måneders leie. Depositumets størrelse (tre måneders leie) er i samsvar med vanlig praksis i utleiemarkedet. Før det inngås en slik leieavtale har Fredensborg hatt som praksis (frem til januar 2017) at det innhentes kredittvurdering av den potensielle leietakeren. Det er Datatilsynets vurdering at utleier (som profesjonell aktør) ikke har saklig behov for å innhente kredittopplysninger om en potensiell leietaker som stiller depositum som sikkerhet. Datatilsynets ileggelse av gebyr i denne saken er begrunnet i Fredensborgs praksis i disse situasjonene.

Datatilsynets praksis bygger på to tidligere avgjørelser fra Personvernnemnda: PVN 2006-03 KLP og PVN 2008-01 Utleiemegleren. I PVN 2006-03 kom nemndas flertall til at en boligutleier ikke hadde saklig grunn til å kredittvurdere en potensiell leietaker. Det ble vist til at den økonomiske risikoen slik utleie innebar representerte en normal risiko ved all forretningsdrift. Det ble videre vist til at boliger til privatpersoner står i en særstilling fordi husvære er et nødvendighetsgode. I PVN 2008-01 modifiserte nemnda dette utgangspunktet noe. Her kom nemnda til at Utleiemegleren hadde saklig grunn til å innhente kredittopplysninger om potensielle leietagere på vegne av utleieren. Det ble lagt vekt på at Utleiemegleren handlet på vegne av enkeltpersoner og at privatpersoner ikke har den samme muligheten til å pulverisere tapet som et foretak har.

I foreliggende sak er spørsmålet om det er grunn til å opprettholde dette skillet mellom profesjonelle og private utleiere, og om det er grunn til å vurdere situasjonen, i relasjon til kriteriet «saklig grunn», annerledes der leietaker innbetaler depositum som sikkerhet for leien enn den situasjonen der leietaker stiller med leiegaranti fra en garantist.

4 Klagers anførsler

Etter personopplysningsforskriften § 4-3 første ledd første punktum kan kredittopplysninger bare gis til den som har saklig behov. Verken personopplysningsloven eller personopplysningsforskriften gir svar på hva som ligger i «saklig behov». Regelen representerer en videreføring av tidligere rett slik den fulgte av personregisterloven § 17. Uttalelsene i forarbeidene til personregisterloven er derfor fortsatt relevante. I personregisterlovens forarbeider, NOU 1974:22 side 51, uttales det at kriteriet «saklig grunn» skal tolkes romslig og avgrenses mot «nysgjerrighet og kikkermentalitet».

Personvernnemnda har i PVN 2010-04 lagt til grunn at personopplysningsforskriften § 3-4 videreførte bestemmelsen i den tidligere personregisterloven § 17 og at uttalelsene i forarbeidene fortsatt har relevans. Det samme er lagt til grunn i PVN 2010-05. Uttalelsene i forarbeidene er klare og bør tillegges stor vekt.

Harmoniseringen av personvernretten innebærer at det får betydning for forståelsen av de norske reglene hvordan de tilsvarende reglene praktiseres i andre nordiske land. Ordlyden i lovreglene om innhenting av kredittvurderinger er tilsvarende i Norge, Sverige og Danmark. I både Danmark og Sverige er bestemmelsene forstått slik at det er tillatt for boligutleiere å innhente kredittopplysninger om potensielle leietakere. I Sverige har den svenske Datainspektionen nevnt som eksempel på hjemmesiden at en boligutleier (hyresvärd) kan ha et legitimt behov for å innhente kredittopplysning ved inngåelse av leiekontrakt. I Danmark er den tilsvarende danske bestemmelsen forstått slik at næringsdrivendes oppslag i RKI (et register over dårlige betalere) for å sjekke potensielle leietakeres kredittverdighet, anses for å ha et saklig formål. At man både i Danmark og Sverige har tolket de tilsvarende bestemmelsene slik at næringsdrivende boligutleiere kan kredittsjekke potensielle leietakere, taler med stor vekt for at man løser spørsmålet på samme måte i Norge.

Personvernnemnda har vurdert spørsmålet om saklig behov for å kredittvurdere potensielle leietakere to ganger tidligere; PVN 2006-03 KLP og PVN 2008-01 Utleiemegleren.

I KLP-saken begrunnet flertallet i nemnda sin avgjørelse med at faren for økonomisk tap ikke var tilstrekkelig til å kunne konstatere saklig behov for kredittvurdering. Det er riktig at en kredittvurdering ikke fjerner risikoen for tap, men det er ingen tvil om at risikoen for tap blir betydelig redusert ved innhenting av kredittvurderinger.

I saken om Utleiemegleren kom nemnda til at argumentasjonen i KLP-saken ikke gjaldt i forhold til privatpersoner, og uttalte:

«Privatpersoner leier typisk ut ett eller et fåtall objekter via Utleiemegleren. Når utleier er en privatperson har ikke hun eller han samme mulighet til å pulverisere tapet som et stort foretak har. En privatperson kan ikke fordele risikoen på en større virksomhet, og er dermed mer sårbar ved utleie. Nemnda antar at dette også er en av grunnene til at privatpersoner velger å bruke Utleiemegleren. Argumentet om at faren for økonomisk tap dersom kunden ikke betaler er «en normal risiko ved all forretningsdrift» gjør seg derfor ikke gjeldende når utleier er en privatperson. En privatperson er tvert imot utsatt dersom han eller hun leier ut boligen til en som ikke betaler.»

Det er uklart hva nemnda mener med begrepene «stort foretak» og «større virksomhet». En del privatpersoner har en, to, tre eller fire boliger som de leier ut. Skatteetaten har lagt til grunn at fem eller flere boliger til utleie er næring. De kan neppe likevel anses som en «større virksomhet». Den typiske utleier vil bare ha noen titalls leietakere, og i beste fall et par hundre leietakere, å fordele sine tap på. Nemndas uttalelser i saken om Utleiemegleren om mulighet for pulverisering av tap, er ikke riktig for utleiere av normal størrelse.

Profesjonelle boligutleiere har samme saklige behov for kredittvurderinger for å begrense sine tap som mindre virksomheter og enkeltpersoner.

Datatilsynet har argumentert med at det er uten betydning at de fleste næringsdrivende utleiere er så små at de ikke kan pulverisere sitt tap, fordi denne saken gjelder Fredensborgkonsernet som etter Datatilsynets oppfatning er så store at de kan pulverisere sitt tap. Det er uheldig dersom det skal være ulike regler for næringsdrivende boligutleiere ettersom hvor store de er. Det vil gi et urimelig konkurransefortrinn for de mindre og mellomstore aktørene.

Det kan heller ikke oppstilles et krav om at det potensielle tapet må være av en viss størrelse i forhold til utleiers omsetning for at det skal foreligge saklig behov. Det vises til PVN 2010-05 hvor nemnda uttaler:

«Etter nemndas syn foreligger det saklig behov nærmest uavhengig av beløpets størrelse.»

Med bakgrunn i PVN 2008-01 og PVN 2010-05 anføres det at Personvernnemnda gradvis har fjernet seg fra flertallets konklusjon i KLP-saken (PVN 2006-03). Reelle hensyn tilsier også at man ikke bør la størrelsen på utleiers omsetning være avgjørende for om utleier skal få lov til å innhente kredittvurderinger for å redusere den økonomiske risikoen.

I PVN-2006-03 uttaler nemnda at det finnes «gode» alternativer til kredittvurdering slik som «referanser, bankgaranti, kommunal garanti eller depositum». Dette er ikke i samsvar med hvordan utleiemarkedet fungerer i virkeligheten. Kredittvurdering er noe som innhentes før man avgjør om det skal inngås avtale om bankgaranti eller depositum. Det er dessuten ingen tvil om at et depositum på 3 måneder ikke er tilstrekkelig til å dekke det tapet som typisk oppstår ved betalingsmislighold. Det er også lagt til grunn av nemnda i PVN 2008-01.

Som del av sin begrunnelse viser flertallet i PVN-2006-03 til at bolig er et nødvendighetsgode. Rettskildene gir ikke holdepunkt for å tolke begrepet saklig behov strengere ved avtaler om nødvendighetsgoder. Argumentet ble heller ikke nevnt i PVN 2008-01. Strømleverandører kan fakturere strøm for opptil ti uker forskuddsvis. Utleiere av bolig kan kun fakturere husleie forskuddsvis for en måned av gangen. Strømleverandører har altså større adgang til å kreve forskudd, samtidig som de får lov til å innhente kredittopplysninger.

Datatilsynet har i vedtaket uttalt at kredittvurdering av alle leietakere kan føre til at grupper som ikke blir funnet kredittverdige blir utestengt fra boligmarkedet. Fredensborg er ikke enig i dette. De med svakest økonomi eller betalingshistorikk får tilbud om kommunale boliger eller leiegaranti fra kommunen. Fredensborg har leietakere som ikke er kredittverdige, men som har kommunal garanti.

En samlet vurdering av de ovennevnte forhold taler for at Fredensborg og andre næringsdrivende utleiere, har saklig behov for å innhente skriftlige kredittopplysninger om leietakere som ønsker å inngå avtale om depositum.

Subsidiært anføres det at det ilagte gebyret er satt for høyt. Overtredelsesgebyret må settes vesentlig lavere enn 250 000 kroner. Det må tas utgangspunkt i hva slags type personopplysninger det dreier seg om, og at det her er det snakk om generell og offentlig tilgjengelig informasjon. Innhenting av kredittvurderinger i strid med personopplysningsforskriften § 4-3 er således ikke blant de alvorligste krenkelser av personvernet og gebyrets størrelse må avspeile dette.

Fredensborg var inntil denne saken startet med brev fra Forbrukerombudet den 27. oktober 2016, ukjent med den strenge tolkningen av begrepet saklig behov. På bakgrunn av Datatilsynets brev til Forbrukerombudet i januar 2017 avsluttet Fredensborg sin praksis med å kredittvurdere leietakere og har etter dette ikke foretatt kredittsjekk av leietakere som velger depositum.

Når det gjelder antall kredittvurderinger så bestrider klager at det har vært så mange som 1000-2000 som Datatilsynet hevder. Det er uklart for Fredensborg hvor Datatilsynet har hentet dette tallet fra.

5 Datatilsynets vurdering

Fredensborg som profesjonell utleier hadde ikke saklig behov for å kredittvurdere potensielle leietakere som velger depositum som sikkerhet. Datatilsynet bygger dette direkte på Personvernnemndas vedtak i PVN-2006-03 og PVN 2008-01.

Det har funnet sted usaklig kredittvurdering over lang tid og det må antas at mellom 1000 og 2000 personer er blitt kredittvurdert av Fredensborg siden 2014. Dette representerer en alvorlig overtredelse av relativt klar praksis, noe som må medføre et overtredelsesgebyr.

Datatilsynet er enig med klager i at forarbeidene til personregisterloven er relevante. Datatilsynet mener imidlertid at forarbeidene har begrenset vekt. Forarbeidene har uansett allerede blitt tatt hensyn til i Personvernnemndas praksis (som harmoniserer rettskildefaktorene), og Datatilsynet slutter seg til denne praksisen.

Dagens bestemmelse sier at kredittopplysning bare kan gis til den som har saklig behov for den. Bestemmelsen synes å oppstille en høyere terskel for når kredittopplysninger kan gis. Mens personregisterloven § 17 var negativt formulert, slik at kredittopplysning skulle nektes i enkelte tilfeller, sier personopplysningsforskriften § 4-3 at kredittopplysninger «bare kan gis» i enkelte tilfeller. Dette har betydning for vekten av forarbeidene til § 17.

Fredensborgs påstand om at Innst. O. nr. 51 (1999-2000) ønsket å videreføre regelen, er ikke korrekt. Innstillingen sier at det er formålstjenlig å fortsatt ha særregulering for kredittvurdering, men den sier ikke at de konkrete reglene skulle videreføres slik de var. Den aktuelle kommentaren i innstillingen punkt 7 lyder:

«Når det gjelder kredittopplysningsvirksomhet, mener imidlertid komiteen at denne virksomheten fremdeles bør særreguleres ved lov. I første omgang kan det gjøres ved forskrift som departementet foreslår, men komiteen forutsetter at det igangsettes et arbeid for at de særregler som bør gis for kredittopplysningsvirksomhet gis i lovs form.»

Det foreligger lang og ensartet forvaltningspraksis som sier hvordan kravet om «saklig behov» skal tolkes etter personopplysningsforskriften. Personvernnemnda uttaler for eksempel i sak PVN-2006-03 at kredittopplysninger ofte vil innhentes når det foreligger et kredittelement, men at kredittelementet hverken er tilstrekkelig eller nødvendig og at den forretningsmessige risikoen må tillegges vekt. Dette har blitt lagt til grunn i etterfølgende praksis.

Tilsynet viser også til at kredittopplysningsvirksomhet i dag innebærer mer inngripende analyser (profilering basert på kompliserte datamodeller) og sannsynligvis finner sted i større omfang enn i 1974. Forvaltningspraksis har tatt høyde for dette og holdt tritt med den teknologiske utviklingen og økte delingen av kredittopplysninger.

Hensynet til forutsigbarhet og likebehandling tilsier at man skal utvise forsiktighet med å fravike etablert og langvarig forvaltningspraksis. Datatilsynet tillegger derfor forvaltningspraksis betydelig vekt.

Det fremgår av PVN-2006-03 at formålet med kredittvurderingene var å redusere sannsynligheten for leietakere som ikke betaler husleie. Datatilsynet kan ikke se at hvorvidt nemnda mente at kredittvurdering fjerner eller reduserer risiko er egnet til å påvirke konklusjonen i særlig grad. Derimot kan det tale mot Fredensborgs sak at kredittvurdering bare reduserer risikoen, siden dette viser at Fredensborg uansett utfallet av saken må akseptere risiko for tap som del av sin virksomhet. Datatilsynet mener uansett at den språklige distinksjonen Fredensborg viser til har begrenset vekt.
 
Datatilsynets rolle er begrenset til å vurdere hvorvidt Fredensborg har adgang til å kredittvurdere potensielle leietakere. Tilsynet er derfor tilbakeholdne med å si noe om hvor grensene skal gå eller gi en generell regel. Tilsynet bemerker at Fredensborg har over 4000 leiligheter til leie og at virksomheten i 2015 hadde et årsresultat på kr 14 693 000. Uavhengig av hvordan situasjonen er for andre utleiere, vil Fredensborg ha mulighet til å pulverisere tap slik nemnda forutsatte.

Datatilsynet har undersøkt flere profesjonelle utleiere, og oppdaget at flere av dem ikke kredittvurderer potensielle leietakere som velger depositum som sikkerhet. Undersøkelsen viser at kredittvurdering av potensielle leietakere ikke er avgjørende for driften.

Når det gjelder argumentet om forskjellsbehandling, medfører nemndas vedtak at næringsdrivende utleiere behandles likt.

PVN-2010-05 omhandlet inkassobransjens adgang til kredittvurdering. Datatilsynets vurdering var at inkassobyråer som hovedregel har adgang til å innhente kredittopplysninger ved opprettelse av ny inkassosak fordi byrået trenger denne informasjonen i forbindelse med inndrivelse av kravet. Det forelå også en bransjenorm og etablert praksis. Nemnda tiltrådte Datatilsynets syn og uttalte at inkassobeløpets størrelse var av liten betydning. Siden saken handlet om de spesifikke forholdene i en bestemt sektor, har den ikke uten videre overføringsverdi til dette saksforholdet. Avgjørelsen kan ikke forstå slik at man alltid har lov til å kredittvurdere hvis det er risiko for tap, uavhengig av risikoens størrelse i og med at PVN-2006-03 sier det motsatte.

PVN-2008-01 modifiserer eller utfyller PVN-2006-03. Sonderingen nemnda gjør mellom Utleiemegleren og KLP skyldes at mens KLP leier ut egen eiendom, leverer Utleiemegleren eiendomsmeglertjenester på vegne av privatpersoner. Det innebærer ikke at Personvernnemnda har fraveket eller beveget seg bort fra utgangspunktet i PVN-2006-03.

Personvernnemnda uttalte i PVN-2006-03 at profesjonelle utleiere må akseptere en viss forretningsmessig risiko. Nemnda tok altså høyde for at det kunne oppstå tap. Ved depositum vil risikoen reduseres, men ikke elimineres. Kredittvurdering i kombinasjon med depositum vil redusere ytterligere, men heller ikke det eliminere, den forretningsmessige risikoen. Datatilsynet mener at risikoen for Fredensborg i denne saken ligger innenfor det en næringsdrivende må akseptere.

Datatilsynet er fortsatt av den oppfatning at kredittvurdering av potensielle leietakere som velger depositum, vil være ekskluderende og at det er relevant å legge vekt på at bolig er et nødvendighetsgode. Dersom kredittvurdering nå tillates av nemnda, er det sannsynlig at de øvrige utleierne i Norge også vil begynne med dette. Det kan gjøre det vanskelig for enkelte grupper å skaffe bolig. Ikke alle kan få tilbud om kommunal bolig og ulike kommuner oppstiller ulike krav som søker må oppfylle for å få tildelt bolig. Kommunale boliger har heller ikke samme beliggenhet eller standard som leieboliger på det frie markedet. Ofte er boligene «belastende». Dessuten er det et begrenset antall boliger tilgjengelig, og slik reglene er nå har ikke-kredittverdige leietakere alternativer på det frie markedet.

Det følger av personverndirektivet, som personopplysningsloven bygger på, at behandling av personopplysninger må ha grunnlag i et av de opplistede behandlingsgrunnlagene. Foreløpig er det uklart hvilket behandlingsgrunnlag som kommer til anvendelse, og det er ikke sikkert at § 8 bokstav f er det korrekte rettslige grunnlaget. Dersom man anser personopplysningsloven § 8 bokstav d som det relevante grunnlaget, må behandlingen være nødvendig for å utføre en oppgave av allmenn interesse. Dersom effekten av en kredittvurdering er at utsatte grupper får dårligere tilgang til nødvendighetsgoder, er det ikke sikkert at behandlingen av personopplysninger (kredittvurderingen) kan sies å være i allmenn interesse.

Selv om behandlingsgrunnlaget skulle være § 8 bokstav f, er det adgang til å ta videre hensyn. Personopplysningsloven § 8 er ment å inkorporere personverndirektivets artikkel 7 i norsk rett. Personopplysningsloven § 8 bokstav f må tolkes harmonerende med direktivbestemmelsen, som altså legger opp til en videre vurdering der ikke bare personvernet skal vektlegges.

Når det gjelder strøm, vises det til at nettselskapene har leveringsplikt, jf. energiloven § 3-3. Plikten går blant annet ut på at nettselskapene (som ikke er det samme som alminnelige strømleverandører) må levere strøm til kundene innenfor en geografisk krets. Med andre ord vil også ikke-kredittverdige personer få strøm. For strøm er det altså etablert en ordning for alternativ tilgang til nødvendighetsgodet. Uansett har Datatilsynet ikke formelt behandlet noen sak om strømselskapers adgang til å kredittvurdere kunder.

Datatilsynet understreker at en endring av etablert praksis kan ha uforutsette konsekvenser.

Kredittopplysninger representerer private opplysninger, som det vil føles ubehagelig blir delt i stor grad. En kredittvurdering gir en helhetlig vurdering av en persons økonomiske situasjon, herunder opplysninger om blant annet inntekt, formue, eierskap i bil eller bolig, gjeld, inkassosaker, betalingsanmerkninger, utleggstrekk, gjeldsforhandling og næringsinteresser. I tillegg gis personen en kredittscore som utvikles av kredittopplysningsselskapet. Denne sammenstillingen er beskyttelsesverdig, og det følger allerede av standardkonsesjonen punkt 1.1.3.1. at ikke alle opplysningene stammer fra offentlig tilgjengelige kilder.

Datatilsynet er uenig i Fredensborgs beskrivelse av rettstilstanden. Et kredittopplysningsbyrå kan ikke utlevere muntlige personopplysninger som det ikke er adgang til å dele og på den måte omgå lovens regler.

Datatilsynet mener at gebyret skal settes til kr 250 000. Det vises til PVN-2017-02 (Bertram Bil), hvor Datatilsynet ila overtredelsesgebyr på 75 000 kroner for en enkeltstående usaklig kredittvurdering. Gebyret var begrunnet med at usaklig utlevering av kredittopplysninger er en betydelig personvernkrenkelse samt at tilsynet mottar et økende antall klager på dette. Personvernnemnda opprettholdt Datatilsynets vedtak.

I dette tilfellet er det snakk om usaklig kredittvurdering av i alle fall ca. 1000 personer over tid. Dette taler for at overtredelsesgebyret må settes vesentlig høyere enn 75 000. Det vises til personopplysningsloven § 46 annet ledd bokstav a, som sier at det ved utmålingen særlig skal legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. Det er på det rene at usaklig kredittvurdering krenker interessene loven verner. Etter tilsynets vurdering er Fredensborgs krenkelse av disse interessene mer alvorlig enn Bertram Bils krenkelse (PVN-2017-02) fordi den usaklige kredittvurderingen har skjedd i større omfang, krenket svært mange registrertes rettigheter og potensielt kan ha hatt større konsekvenser for den enkelte.
 
Det er sterkt klanderverdig at en stor og profesjonell aktør som Fredensborg har handlet i strid med klar praksis fra Personvernnemnda og at overtredelsen har skjedd planmessig og systematisk, jf. personopplysningsloven § 46 annet ledd bokstav b.

6 Personvernnemndas syn

Personvernnemnda vil først si noe om behandlingsgrunnlaget for å innhente kredittopplysninger, jf. personopplysningsloven §§ 8 og 11.

Innhenting av kredittvurdering av en person hos et kredittopplysningsforetak representerer en behandling av personopplysninger som må ha et behandlingsgrunnlag i § 8, samt at grunnkravene til behandling av personopplysninger i § 11 må være oppfylt. Personvernnemnda legger til grunn at rett behandlingsgrunnlag i denne saken er personopplysningsloven § 8 bokstav a. Det innebærer at personopplysningene kan behandles når behandlingen «er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås».

Nemnda viser til PVN-2008-01 (Utleiemegleren) hvor dette er lagt til grunn. For sammenhengens skyld gjentas vurderingen og begrunnelsen her.

Om behandlingsgrunnlaget i § 8 bokstav a uttales det følgende i merknaden til bestemmelsen i Ot.prp. nr. 92 (98-99) på side 109:

«Bokstav a gir også adgang til å behandle personopplysninger når dette er nødvendig for å utføre gjøremål som den registrerte har bedt om før han eller hun inngår en avtale med den behandlingsansvarlige, jf bokstav a annet alternativ. Et typisk eksempel her er behandling av personopplysninger som er nødvendig for å kunne gi et tilbud til den registrerte - f eks kredittvurderinger som ledd i finansieringsvirksomhet.»

I JDLOV-2005-9112 uttaler lovavdelingen følgende om denne uttalelsen:

«Ordlyden synes å forutsette at den registrerte (kunden) har et eget ønske om gjøremålet (kredittvurderingen) for at det i den forbindelse skal være adgang til å behandle personopplysninger etter bestemmelsen. I merknaden til bestemmelsen heter det til og med at den registrerte skal ha «bedt om» at gjøremålet utføres før han eller hun inngår avtalen. Eksemplet om kredittvurderinger tyder imidlertid på at det - i hvert fall i disse tilfellene - er tilstrekkelig at gjøremålet utføres i den registrertes (kundens) interesse når dette er en forutsetning for at den registrerte skal oppnå en ønsket avtale med den behandlingsansvarlige. I forbindelse med en søknad om lån vil det typisk være i kundens interesse at banken foretar en kredittvurdering, siden banken gjerne ikke vil gi noe tilbud om lån uten en forutgående kredittvurdering. Selv om det kanskje ikke er helt treffende å si at kredittvurderingen i disse tilfellene utføres «etter den registrertes ønske», legger vi på bakgrunn av den klare uttalelsen i forarbeidene til grunn at bestemmelsen gir adgang til behandling av personopplysninger i forbindelse med kredittvurderinger når kredittvurderingen er en forutsetning for at banken skal være villig til å gi et lånetilbud til den registrerte.»

Lovavdelingens uttalelse gjelder en kredittinstitusjons innhenting av personopplysninger i forbindelse med søknad om lån, men vurderingen vil etter nemndas vurdering være tilsvarende også ved innhenting av kredittvurdering i forbindelse med inngåelse av boligleieavtale. Med bakgrunn i lovforarbeidenes klare uttalelse, mener nemnda det må legges til grunn at behandlingsgrunnlaget i denne saken er personopplysningsloven § 8 bokstav a.  Personopplysningsloven § 11 oppstiller i tillegg en rekke grunnkrav som også må være oppfylt, blant annet at opplysningene som behandles er relevante for formålet med behandlingen. For behandling av personopplysninger i kredittopplysningsvirksomhet er disse bestemmelsene igjen presisert og utdypet i personopplysningsforskriften kapittel 4, som er gitt med hjemmel i personopplysningsloven § 3 fjerde ledd.

Personopplysningsforskriften § 4-3 første ledd lyder:

«Kredittopplysning kan bare gis til den som har saklig behov for den.»

Justiskomiteen uttalte i Innst.O. nr. 51 (1999-2000) at det er ønskelig med en ny lovregulering av kredittopplysningsvirksomhet. I påvente av ny lovregulering valgte man å videreføre reglene om kredittopplysningsvirksomhet i personregisterloven og personregisterforskriften. Nemnda kan ikke se at det fremgår verken av ordlyden eller forarbeidene at det skjedde en innstramming da personopplysningsloven ble vedtatt. Den gamle personregisterloven § 17 lød:

«Kredittopplysning må ikke gis når det etter det som foreligger, går fram at bestilleren ikke har saklig behov for den.»

Ordlyden i bestemmelsen ble, slik det fremgår, omformulert fra en negativ til en positiv angivelse, men den materielle regelen ble, etter det nemnda legger til grunn, videreført i personopplysningsforskriften § 4-3. Uttalelsene i motivene til personregisterloven § 17 er derfor fortsatte relevante og skal tillegges vekt ved tolkning av bestemmelsen. Personvernnemnda har lagt dette til grunn i flere saker, herunder PVN-2006-03, PVN-2008-01, PVN-2010-04 og PVN-2010-05.

I personregisterlovens forarbeider, NOU 1974:22 side 51, uttales det:

«Bestemmelsen gir kreditt- og personopplysningsforetak rett og plikt til å nekte å gi opplysninger i tilfelle hvor det må anses på det rene at bestilleren ikke har saklig behov for dem, men bare er ledet av nysgjerrighet og kikkermentalitet. Utvalget vil likevel peke på at det neppe bør stilles for snevre skranker for adgangen til å få opplysninger; kriteriet «saklig grunn» bør derfor her tolkes romslig.»

Departementet gjengir og støtter uttalelsen i Ot.prp. nr. 2 (1977-78), side 89.

Etter nemndas vurdering har disse uttalelsene i forarbeidene både relevans og skal tillegges vekt ved tolkning av personopplysningsforskriften § 4-3.

Personvernnemnda legger videre til grunn at kravet om «saklig grunn» betyr at det ikke alltid vil være tilstrekkelig at det foreligger et kredittelement dersom den forretningsmessige risiko er lav og motsatt vil det ikke alltid være tilstrekkelig at det foreligger et kredittelement dersom den forretningsmessige risiko er høy, jf. også nemndas uttalelse i PVN-2006-03 og PVN-2008-01.

Personvernnemnda har for sin vurdering av om profesjonelle boligutleiere har saklig behov for å foreta en kredittvurdering av potensielle leietakere, kommet til et annet resultat enn tidligere, særlig flertallet i PVN-2006-03 KLP. Personvernnemnda vil redegjøre for sin vurdering i det følgende.

For det første mener nemnda at det foreligger et betydelig økonomisk risikoelement ved utleie av bolig. Utleie av bolig til privatpersoner står i en særstilling fordi ytelsen ikke uten videre kan stoppes. Utkastelse forutsetter tvangsgrunnlag etter tvangsfullbyrdelsesloven § 13-2 og loven har regler om saksbehandlingen hos henholdsvis namsmannen eller tingretten, avhengig av type tvangsgrunnlag. Det kreves varsel til leietaker før det kan sendes begjæring til namsmannen. Saksbehandlingstiden hos namsmannen vil variere. Personvernnemnda legger også til grunn at leiligheter hvor det er behov for namsmannens bistand for utkastelse ofte vil være i en slik tilstand at den ikke uten videre er klar for ny annonsering med visning for nye leietakere. Det er derfor risiko for et ikke uvesentlig økonomisk tap dersom leietaker nekter å flytte. I tillegg overlater utleier betydelige verdier i leietakers varetekt ved utleie av bolig.

Et depositum som normalt tilsvarer et beløp tilsvarende tre måneders husleie, vil sjelden dekke både skyldig leie, eventuelle skader på boligen, utgifter ved fravikelse av bolig og andre krav som reiser seg av leieavtalen. Den forretningsmessige risiko er derfor høy ved boligutleie, og klart høyere enn ved for eksempel inngåelse av mobiltelefonabonnement som etter nemndas mening har en lavere forretningsmessig risiko og hvor tjenestetilbyder lovlig innhenter kredittvurdering.

Personvernnemnda er enig med Datatilsynet i at det alltid vil foreligge en alminnelig forretningsrisiko ved inngåelse av denne typen avtaler, og at en eventuell kredittvurdering ikke vil kunne eliminere dette. Personvernnemda finner det imidlertid sannsynliggjort at en kredittvurdering av potensielle leietakere bidrar til å redusere den økonomiske risikoen som utleier har. Selv om dette ikke er avgjørende er det åpenbart av betydning når man skal vurdere om utleier har «saklig behov».

Nemnda mener, i motsetning til hva flertallet av nemndas medlemmer mente i PVN-2006-03, at utleier ved boligutleie utsettes for mer enn hva man må akseptere som «alminnelig forretningsrisiko». Nemnda mener videre at det er vanskelig å begrunne en slik forskjellsbehandling av private og profesjonelle utleiere som det legges opp til PVN-2008-01 Utleiemegleren. De hensyn som nemnda der vektlegger når den kommer til at Utleiemegleren har saklig behov for å kredittvurdere sine potensielle leietakere, gjør seg også gjeldende overfor en lang rekke utleiere, som riktignok driver med utleie som næring, men som likevel ikke driver i et slikt omfang at de kan pulverisere sine tap på en rekke forskjellige kunder. Etter nemndas vurdering må dette hensyntas i vurderingen fordi det må legges til grunn at avgjørelsen i denne saken også vil få betydning for andre tilsvarende saker. Nemnda er enig med Fredensborg i at det vil være uheldig med ulike regler for næringsdrivende boligutleiere avhengig av størrelsen på virksomheten. De momenter som det legges avgjørende vekt på her, må derfor antas å gjelde for alle næringsdrivende. En annen differensiering ville være vanskelig å gjennomføre.

Videre finner nemnda det vanskelig å begrunne differensieringen mellom leietakere som stiller garanti (som kan kredittvurderes) og leietakere som stiller depositum som sikkerhet, (som ikke kan kredittvurderes). Forskjellen er av Datatilsynet begrunnet med at garantisten pådrar seg en betydelig risiko ved å påta seg å legge ut garantibeløpet for en kunde. Det er blant annet vist til at den kunden som velger leiegaranti fremfor depositum ofte gjør det fordi vedkommende ikke klarer å fremskaffe et depositum. Datatilsynet har akseptert at dette produktet ikke ville kunne tilbys på markedet dersom garantisten ikke kunne sjekke kundens kredittverdighet på noen måte. Etter Personvernnemndas vurdering vil den økonomiske risikoen for en boligutleier ofte være minst like stor som risikoen for en garantist, hvis først boligutleieren velger en leietaker som ikke klarer å betale leien. For en garantist er det potensielle tapet begrenset til garantibeløpet, det vil si fire måneders husleie. For en utleier som leier ut en bolig mot depositum er tapsrisikoen ofte langt større, jf. det som er sagt ovenfor om dette.

Datatilsynet har vist til at bolig er et nødvendighetsgode og at kredittvurdering av potensielle leietakere som velger depositum kan virke ekskluderende, ved at noen ikke klarer å skaffe seg bolig. Personvernnemnda mener at personopplysningsforskriften, som stiller krav om «saklig behov» hos den som innhenter kredittopplysninger, ikke åpner for en slik bred interesseavveining hvor boligpolitiske hensyn skal vurderes opp mot en utleiers behov for å kredittvurdere en potensiell leietaker for å redusere sin økonomiske risiko. Dersom innføring av en mulighet for kredittvurdering av potensielle leietakere medfører at noen faller utenfor boligmarkedet, må dette ivaretas på annen måte enn gjennom en innskrenkende tolkning av kriteriet «saklig behov» i personopplysningsforskriften § 4-3.

Nemnda har etter dette kommet til at Fredensborg Norge AS har saklig behov for å innhente kredittopplysninger om potensielle leietakere, jf. personopplysningsforskriften § 4-3. Personvernnemnda forutsetter at kredittopplysninger bare innhentes om de leietakerne man vurderer å inngå leieavtale med, og at opplysningene slettes når avtale er inngått, jf. personopplysningsloven § 11.

Klager har ikke brutt personopplysningsloven og det skal ikke ilegges gebyr.

7 Vedtak

Klagen tas til følge.

 

 

Oslo, 25. september 2017

Mari Bø Haugstad
Leder