Personvernnemndas avgjørelse av 28. april 2017 (Mats Wilhelm Ruland, Gisle Hannemyr, Hans Marius Graasvold, Line Coll, Ellen Blinkenberg)
1 Innledning
Saken gjelder klage på vedtak om overtredelsesgebyr ilagt bilverkstedet Bertram Bil AS for urettmessig kredittvurdering av en privatperson.
2 Sakens bakgrunn
Datatilsynet mottok en klage fra en privatperson (anonymisert av Personvernnemnda til «A») etter at hun den 2. mai 2016 hadde mottatt et gjenpartsbrev fra Bisnode om at hun var blitt kredittvurdert av Bertram Bil AS. Det forelå ikke et kundeforhold mellom A og virksomheten. A sendte derfor en klage til Bertram Bil AS på kredittvurderingen, og ba om en redegjørelse for hvorfor det ble foretatt kredittvurdering.
Bertram Bil AS svarte i brev av 28. juni 2016 at en slektning av A, som var medeier og daglig leder i Bertram Bil AS, hadde benyttet virksomhetens tilgang hos Bisnode til å kredittvurdere A i forbindelse med As lån av en hytte som vedkommende eide. Bertram Bil AS mente at dette oppfylte kravet til saklig behov for kredittvurdering.
I brev av 6. september 2016 sendte Datatilsynet varsel om vedtak om overtredelsesgebyr til Bertram Bil AS for å ha utført kredittvurdering i strid med personopplysningsloven og forskriften.
Bertram Bil besvarte varselet i brev av 29. september 2016. Tilsynet fant ikke grunn til å endre det varslede vedtaket og fattet følgende vedtak 25. oktober 2016:
Bertram Bil AS pålegges å betale et overtredelsesgebyr til statskassen, pålydende 75 000 kr – kroner syttifemtusen – for å ha foretatt en kredittvurdering uten å ha oppfylt kravet til et saklig behov, jf. personopplysningsforskriften § 4-3 ved at det gjennom bedriftens tilgang hos Bisnode ble innhentet en kredittvurdering av A til tross for at dette kun hadde et privat formål.
Bertram Bil AS påklaget vedtaket den 15. november 2016.
Saken ble oversendt Personvernnemnda 8. februar 2017, som mottok saken 14. februar 2017. Klager ble orientert om dette i brev fra nemnda datert 15. februar 2017, med frist til uttalelse innen 1. mars 2017.
Klager Bertram Bil AS har ikke inngitt ytterligere merknader. A har kommentert saken i brev av 16. februar 2017 til Datatilsynet, videresendt fra Datatilsynet til Personvernnemnda den 8. mars 2017.
3 Klagers anførsler
3.1 Saklig behov
Klager anfører at Datatilsynet tar feil i sin vurdering av saklig behov for kredittvurdering i denne saken. Det anføres at medeieren i Bertram Bil AS mente at han hadde saklig grunn til å foreta en kredittvurdering av A idet A skulle benytte en hytte som han eier. Han trengte således sikkerhet for As betalingsevne. Det var da naturlig for han å benytte verktøyet som han hadde vært med på å anskaffe som daglig leder i Bertram Bil AS. Det anføres at det ikke står noe i Bisnodes vilkår som hindrer slik bruk. Videre beklager Bertram Bil AS episoden og opplyser at rutiner er blitt strammet inn slik at privat bruk ikke lenger skal forekomme.
3.2 Overtredelsesgebyret
Klager anfører videre at det er feil og sterkt urimelig at Bertram Bil AS skal betale en erstatning for den kredittundersøkelse en av deres ansatte har gjort. Videre vises det til en lignende sak hvor det kun ble gitt advarsel, med henvisning til at like saker skal behandles likt. Det bes om at overtredelsesgebyret frafalles eller gjøres om til en advarsel.
4 Datatilsynets vurdering
4.1 Kravet til saklig behov
Datatilsynet har vurdert om Bertram Bil AS hadde saklig behov for å kredittvurdere A etter personopplysningsforskriften § 4-3. Ettersom det ikke forelå noe kundeforhold eller annen relasjon mellom A og virksomheten på tidspunktet for kredittvurderingen konkluderte tilsynet med at kravet til saklig behov ikke var oppfylt.
I denne saken var det en medarbeider og medeier som benyttet seg av virksomhetens verktøy for å kredittvurdere en privatperson. Den riktige fremgangsmåten i tilfeller hvor denne har saklig behov for det, hadde vært at medarbeideren som privatperson henvendte seg direkte til kredittvurderingsselskapet for å søke om kredittvurdering. I tilfeller hvor en medarbeider har saklig behov, men feilaktig bruker virksomhetens tilgang, ville det ikke vært naturlig å reagere like strengt. Tilsynet vurderte imidlertid situasjonen dithen at medarbeideren ikke hadde saklig behov for å kredittvurdere A. Tilsynet legger da vekt på at det ikke foreligger et element av kreditt på tidspunktet for kredittvurderingen eller øvrige elementer som tilsier at det foreligger saklig behov.
4.2 Overtredelsesgebyret
Datatilsynet fant det nødvendig å reagere på overtredelsene, og fattet vedtak om overtredelsesgebyr, jf personopplysningsloven § 46.
Tilsynet anfører at overtredelsesgebyr ikke er å anse som en straff, men en administrativ sanksjon, men at det er å anse som straff etter EMK art 6, og i samsvar med Høyesteretts praksis, jf. Rt. 2012 s 1556, legger Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr.
Datatilsynet finner det klart at Bertram Bil AS har foretatt kredittvurdering uten å ha oppfylt kravet til et saklig behov, jf personopplysningsforskriften § 4-3.
4.2.1 Vurdering av § 46 andre ledd bokstav a
Datatilsynet fremhever at hvem som kan innhente en kredittopplysning er særlig regulert i personopplysningsforskriften § 4-3, og det viser at loven (med forskrift) yter et særlig vern til enkeltpersoner. Datatilsynet finner det ikke godtgjort at medeier oppfylte kravet til saklig behov. Medeier og A er i slekt, og dette bidrar til at overtredelsen oppleves enda mer krenkende. Datatilsynet konkluderer derfor med at Bertram Bil AS har krenket de interesser loven skal verne.
4.2.2 Vurdering av § 46 andre ledd bokstav b
Det fremkommer av forarbeidene til bestemmelsen (Ot.prp. nr. 71 (2007-2008)), at det med graden av skyld siktes til hvor klanderverdig handlingen er. Dette vil for eksempel være om den bærer preg av et uhell eller om den har et mer systematisk eller planmessig preg.
I denne saken har en medeier i Bertram Bil AS bevisst foretatt en kredittvurdering i privat øyemed. På bakgrunn av det finner Datatilsynet det overveiende sannsynlig at virksomheten ikke har laget rutiner for å sikre at kredittvurdering foretas i samsvar med lovens krav. En profesjonell virksomhet plikter å sette seg inn i relevant regelverk. Det foreligger et særlig ansvar for å gjøre seg kjent med reglene for kredittvurdering. Datatilsynet legger til grunn at det er uaktsomt av en medeier i Bertram Bil ikke å kjenne reglene for når man kan innhente en kredittopplysning.
4.2.3 Vurdering av § 46 andre ledd bokstav h
Tilsynet presiserer at virksomhetens økonomi tillegges mindre betydning hvis overtredelsen er vurdert som grov. Tilsynet har påpekt at virksomheten hadde negativt årsregnskap i 2015, men likevel en god soliditet. Bertram Bil AS anses derfor for å ha tilstrekkelig økonomi til å bære et overtredelsesgebyr.
4.2.4 Konklusjon
Datatilsynet kan ikke se at de øvrige momentene som loven fremhever gjør seg gjeldende i nevneverdig grad. Datatilsynet konkluderer med at overtredelsesgebyr bør ilegges.
4.3 Vurdering av gebyrets størrelse
Tilsynet peker på at de omtalte forhold taler for et gebyr av en viss størrelse. Gebyret bør settes så høyt at det får den nødvendige virkning også utover den konkrete saken. Samtidig må gebyrets størrelse stå i et rimelig forhold til overtredelsen. Etter en helhetsvurdering av sakens alvorlighetsgrad og virksomhetens økonomisk evne satte tilsynet overtredelsesgebyret til kr 75 000.
5 Personvernnemnda bemerker
Nemnda har kommet til samme resultat som Datatilsynet og kan i det vesentlige slutte seg til tilsynets merknader.
5.1 Rettslig utgangspunkt
Nemnda skal vurdere ileggelse av overtredelsesgebyr for kredittvurdering uten saklig grunn, jf. personopplysningsloven § 46 og eventuelt størrelsen på gebyret.
Datatilsynet har lagt til grunn at kredittvurderingen var i strid med personopplysningsforskriften § 4-3. Bestemmelsen sier at «Kredittopplysning kan bare gis til den som har saklig behov for den».
I Datatilsynets merknader til personopplysningsforskriften § 4-3 er det uttalt følgende om saklig behov:
Etter en streng tolkning av § 4-3 skulle kredittopplysningsbyråene kontrollert at hvert enkelt søk i deres database er basert på et saklig behov. Gjennom dagens praksis med online tilgang, fremstår dette som særdeles vanskelig og lite praktisk gjennomførbart. Datatilsynet har derfor lempet på tolkningen; Kredittopplysningsbyrået oppfyller sin kontroll av kravet til saklig behov ved å vurdere sine kunder ved inngåelse av avtale om online tilgang til kredittopplysningsdatabasen. Dersom kunden i sin daglige virksomhet har et saklig behov for tilgang til kredittopplysninger, kan slik abonnementsavtale inngås. Abonnementsavtalen må derfor informere om at kunden selv har et ansvar for at kravet til saklig behov er oppfylt ved hvert søk. Kunden må utforme interne retningslinjer for bruk av databasen.
Vilkåret «saklig behov» er blitt tolket av Personvernnemnda i tidligere avgjørelser, blant annet i PVN-2006-03. Nemnda uttalte der følgende:
Formålet med en kredittvurdering er normalt å kartlegge hvorvidt en potensiell kunde er kredittverdig, og dermed om selskapet ønsker å inngå avtale med vedkommende. Det vil si at når det bes om kredittopplysninger vil saklighetskravet være oppfylt når bestilleren skal benytte kredittopplysningene i forbindelse med sin vurdering av kredittrisiko, for eksempel ved et tilsagn om lån eller avtale om løpende ytelser som faktureres etterskuddsvis, typisk mobiltelefonabonnement, abonnement på satellittfjernsyn etc.
Videre uttalte nemnda i PVN-2010-05 følgende:
I denne saken skal Personvernnemnda vurdere hvorvidt det foreligger saklig behov for å kredittvurdere en person i forbindelse med registrering av en ny inkassosak. Det følger av personopplysningsforskriftens § 4-3 at kredittopplysninger bare kan utleveres til den som har «saklig behov» for opplysningene. I motivene til den gamle personregisterloven § 17 (Sandvik-utvalget NOU 1974:22) ble det uttalt at dette bør tolkes «romslig». Denne romsligheten ble illustrert ved at det ble uttalt at det motsatte av «saklig behov» var «nysgjerrighet og kikkermentalitet». Personopplysningsforskriften § 4-3 videreførte bestemmelsen i den gamle personregisterloven § 17 og uttalelsene i motivene til personregisterloven § 17 har derfor fortsatt relevans.
5.2. Spørsmålet om Bertram Bil AS har brutt personopplysningsloven og -forskriften
I foreliggende sak har daglig leder og medeier i Bertram Bil AS brukt virksomhetens onlinetilgang til Bisnode for et privat formål, nemlig å kredittvurdere en slektning i forbindelse med bruk av en hytte som daglig leder er eier av. Det foreligger ikke et kundeforhold mellom A og Bertram Bil AS. Nemnda mener at denne bruk av tjenesten fra Bisnode er i strid med loven og forskriften da det ikke oppfyller kravet til saklig behov. Nemnda er enig med tilsynet i at kredittvurderingen innebærer en krenkelse av As grunnleggende personvernrettigheter. Nemnda tiltrer tilsynets resonnement og konkluderer på samme måte som tilsynet med at det ikke forelå rettslig grunnlag for å kredittvurdere A.
Det foreligger dermed brudd på personopplysningsforskriften § 4-3. Bertram Bil AS, ved daglig leder, har således handlet i strid med personopplysningsloven.
5.3 Vurdering av gebyrets størrelse
Etter personopplysningsloven § 46 første ledd kan Datatilsynet pålegge den som har overtrådt personopplysningsloven eller forskrifter i medhold av loven å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger folketrygdens grunnbeløp. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Personopplysningsloven § 46 andre ledd angir momenter som særlig skal vektlegges ved vurderingen av om gebyr skal ilegges og ved utmålingen av gebyrets størrelse.
Etter bokstav a) skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I denne saken besto overtredelsen i å foreta en kredittvurdering uten saklig grunn. Etter nemndas syn representerer dette en krenkelse av de interesser som personopplysningsloven verner, slik som grunnleggende personvernhensyn, herunder personlig integritet og retten til privatliv, jf § 1 annet ledd.
Når det gjelder graden av skyld, jf § 46 bokstav b), skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. Her har daglig leder i Bertram Bil AS med viten og vilje gjennomført kredittvurdering uten å sette seg inn i reglene i personopplysningsforskriften kapittel 4.
Videre skal det ifølge § 46 bokstav c) legges vekt på om overtredelsen kunne vært forebygget ved retningslinjer, instruks, opplæring, kontroll eller andre tiltak. Bertram Bil AS har opplyst at det ikke forelå rutiner for privat bruk av onlinetilgangen til Bisnode forut for hendelsen, men at dette er på plass nå. Klager kunne således forebygget hendelsen ved internkontroll og rutiner for forsvarlig behandling av personopplysninger.
I følge § 46 bokstav d) skal det vektlegges om overtredelsen er begått for å sikre overtrederens interesser. Nemnda er av den oppfatning at når daglig leder gjør dette for å avdekke en slektnings økonomi i forbindelse med bruk av en hytte som han har medeierskap i, så er det gjort for å sikre overtrederens interesser.
Videre skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, jf bokstav e). Nemnda viser her til drøftelsen under punkt d).
Det følger av § 46 bokstav f) at det skal vektlegges om det foreligger gjentakelse. Etter nemndas oppfatning var overtredelsen mest sannsynlig et engangstilfelle.
Det skal legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, jf bokstav g). Det er ikke tilfelle i denne saken.
Endelig skal det legges vekt på overtrederens økonomiske evne, jf bokstav h). Klager har et negativt resultat for regnskapsåret 2015, men har god omsetning. Nemnda kan ikke se at økonomi er utslagsgivende i denne saken.
Nemnda er enig med tilsynet i at det skal ilegges et gebyr i denne saken. Ved utmålingen av gebyret har Datatilsynet uttalt at det er utmålt hensett til både allmenn- og individual-preventive hensyn. Nemnda finner at utmålingen er lagt på linje med Datatilsynets gebyrpraksis i sammenlignbare saker, jf PVN-2017-01, PVN-2015-14, PVN-2016-07 og PVN-2016-09. Nemnda ser ikke grunnlag for å endre gebyrets størrelse.
6 Vedtak
Klagen tas ikke til følge.
Oslo, 28. april 2017
Mats Wilhelm Ruland
Leder