Personvernnemndas vedtak 21. januar 2020 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Hans Marius Tessem, Heidi Talsethagen, Audhild Gregoriusdotter Rotevatn)
Saken gjelder klage fra X Advokatfirma (heretter X) på Datatilsynets vedtak 6. mai 2019 om ileggelse av overtredelsesgebyr på 75 000 kroner for å ha foretatt kredittvurdering av et enkeltpersonforetak uten saklig behov.
Sakens bakgrunn
A kontaktet Datatilsynet 6. juni 2017 etter at han hadde mottatt flere brev fra kredittopplysningsbyrået Bisnode Norge AS (heretter Bisnode) henholdsvis 22. mars, 4., 5. og 21. april 2017 om at X hadde foretatt en kredittvurdering av hans enkeltpersonforetak, Y Advokatkontor uten saklig grunn.
Advokat B, som er en av advokatfirmaet Xs partnere hadde på tidspunktet for kredittsjekkene et abonnement hos Bisnode.
På anmodning fra Datatilsynet redegjorde X for saken i brev 14. september 2017. X bestrider at advokatfirmaet har foretatt kredittvurderingene av enkeltpersonforetaket, og viser til at de ikke hadde noen saklig grunn for det. X mener at kredittvurderingene skyldes en systemsvikt hos Bisnode.
Bisnode ga deretter sin redegjørelse 27. september 2017 hvor de redegjorde for at deres undersøkelser bekreftet at X hadde søkt opp enkeltpersonforetaket og deretter søkt kredittopplysninger.
Datatilsynet varslet X om vedtak om overtredelsesgebyr 2. februar 2018.
X ga sine merknader til varselet i brev til Datatilsynet 28. februar 2018. X mente at tilsynet ukritisk hadde lagt Bisnode sin beskrivelse av saken til grunn og at tilsynet måtte utrede saken bedre. X fastholdt at de ikke hadde foretatt kredittsjekk på enkeltpersonforetaket Y Advokatkontor.
Tilsynet la til grunn at saken var godt nok opplyst, og fattet 6. mai 2019 følgende vedtak om overtredelsesgebyr:
«Med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav i, pålegges X Advokatfirma etter en vurdering av personopplysningsloven § 46 første ledd å betale et overtredelsesgebyr til statskassen pålydende 75 000 kroner for å ha innhentet kredittvurderinger uten saklig behov, jf. personopplysningsforskriften § 4-3 første ledd, jf. personopplysningsloven § 3 siste ledd.»
I vedtaket ble X også pålagt å utarbeide rutiner for internkontroll for kredittsjekk.
Etter å ha fått innvilget forlenget klagefrist framsatte X rettidig klage på vedtaket 7. juni 2019.
Datatilsynet vurderte klagen og frafalt pålegget om å utarbeide rutiner for internkontroll ettersom X ikke lenger utførte kredittsjekk. For øvrig opprettholdt de sitt vedtak. Saken ble oversendt til Personvernnemnda 29. november 2019.
Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. X har i brev til nemnda 3. og 17. januar 2020 gitt sine kommentarer. A har i brev til nemnda 8. januar 2020 også inngitt kommentarer. Nemnda har i e-post til Bisnode 8. januar 2020 stilt noen oppfølgingsspørsmål knyttet til klargjøring av faktum. Bisnode bevarte henvendelsen 10. januar 2020. X har i brev til nemnda 15. januar 2020 gitt sine merknader til Bisnodes forklaring.
Saken ble behandlet i nemndas møte 21. januar 2020. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Hans Marius Graasvold, Hans Marius Tessem, Heidi Talsethagen og Audhild Gregoriusdotter Rotevatn. Nemndas sekretær, Anette Klem Funderud var også tilstede.
X Advokatfirma har i hovedsak anført
X har ikke foretatt kredittvurderingene av enkeltpersonforetaket, og har heller ikke hatt noen saklig grunn for det. De trykket aldri på «den blå knappen» i Bisnodes system som utløser en slik sjekk. De utløste kredittvurderingene skyldes en systemsvikt hos Bisnode. X har heller ikke mottatt kredittopplysninger om enkeltpersonforetaket i Bisnode sin web-løsning, per e-post, brev eller på annen måte, og det er ikke holdepunkter for å konstatere at X har begått brudd på personvernreglene.
Det finnes ikke noe motiv eller grunn i denne saken som kan forklare at en advokatvirksomhet som har drevet etisk og lovlig advokatvirksomhet i over 20 år, skulle utføre slike gjentatte handlinger mot en advokatkollega.
Den 22. mars 2017 ble det gjort et adresseoppslag på Y, org.nr. […] av X. Grunnen til dette var for å finne adressen til A i forbindelse med en sak i Disiplinærnemnden for advokater der A hadde klaget inn to av X’ advokater. Begge advokatene ble frifunnet av Disiplinærnemnden.
X ble oppmerksom på at A hadde mottatt gjenpartsbrev fra Bisnode 4. april 2017. X ringte Bisnode samme dag for å undersøke hendelsesforløpet 22. mars 2017. Det er ulogisk at X skal ha trykket på «den blå knappen» og bestilt to nye kredittvurderinger av enkeltpersonforetaket den samme dagen med omtrent 20 minutters mellomrom, etter at selskapet ble kjent med klagen til A, og vel vitende om at det rettslige grunnlaget for å gjøre dette, ikke var oppfylt.
Når det gjelder søkene som ifølge Bisnode skal ha skjedd 5. og 21. april 2017, er også disse helt uforståelige for X. X var i telefonkontakt med Bisnode også disse to datoene for å undersøke saken. X fastholder at det ikke ble trykket på «den blå knappen» verken 5. eller 21. april 2017. X har ikke fått utlevert noen kredittopplysninger om enkeltpersonforetaket i Bisnode sin web-løsning, per e-post, brev eller på annen måte disse dagene.
Også Disiplinærnemnden la til grunn at det har formodningen mot seg at B under samtaler med Bisnode bevisst og flere ganger skulle ha innhentet kredittopplysninger om A og hans enkeltpersonforetak. Disiplinærnemnden skriver i sin beslutning at det ikke er tilstrekkelig klart om kredittvurderingene i saken beror på feil bruk eller feil ved selve tjenesten. Momentene som Disiplinærnemnden trekker fram, må være avgjørende også i saken for Personvernnemnda.
Søkene, ifølge Bisnode sine loggdetaljer, skal ha funnet sted samme dato og tidspunkt som kundekonsulenter hos Bisnode har vært på telefon med X. Som eksempel på dette kan vises til «loggdetaljene» for 4. april 2017, hvor tidspunkt for søk er registrert av kl. 09:18 og 09:41. I e-post fra Bisnode til X 4. april 2017 kl. 09:57 vises det til samtale og dette taler for at påståtte søkene skyldes en systemsvikt hos Bisnode, som X ikke kan lastes for.
Datatilsynet legger feil faktum til grunn når det fastslås at X har foretatt flere kredittvurderinger av det aktuelle enkeltpersonforetaket ved flere anledninger. Datatilsynet har heller ikke utredet saken tilstrekkelig. X og Bisnode gir ulike opplysninger om hendelsesforløpet i denne saken, og da må Datatilsynet sørge for å klargjøre faktum slik at resultatet i saken blir riktig, særlig i en så alvorlig sak som å ilegge overtredelsesgebyr. Saksbehandlingstiden hos tilsynet har vært svært lang. Hensynet til rask saksbehandling forklarer ikke hvorfor det ikke er innhentet nødvendige opplysninger om faktum.
Tilsynet har i sin saksbehandling ikke klarlagt hvilken IP-adresse Bisnode har registrert forespørslene om kredittsjekk fra, dato og klokkeslett for når de angivelige forespørslene er gjort, og hvorfor X ikke har mottatt noen rapporter eller annen dokumentasjon fra Bisnode for de angivelig gjennomførte kredittsjekkene.
Datatilsynet har i hovedsak basert sine konklusjoner på opplysninger fra Bisnode, som ikke er etterprøvbare. Bisnodes redegjørelser i e-post til X 4. april, 4. mai, 21. og 22. august 2017 inneholder ingen dokumentasjon som kan bekrefte at X faktisk har foretatt kredittsjekk av det aktuelle enkeltpersonforetaket. Bisnode har en egeninteresse i saken som er egnet til å svekke tilliten til deres uttalelser.
Beviskravet er i foreliggende sak «klar sannsynlighetsovervekt», jf. flertallet i Rt-1999-14, og Rt-2012-1556. Det foreligger ikke klar sannsynlighetsovervekt for at X har trykket på «den blå knappen» som utløser en kredittsjekk, og det er da ikke hjemmel for å ilegge overtredelsesgebyr.
Det er ikke riktig at Xs forklaringer har vært sprikende og har endret seg underveis. X har hele tiden hevdet at de aldri har foretatt noen kredittsjekk av det aktuelle enkeltpersonforetaket. Det har ingen sentral betydning i denne saken hvorvidt X kan ha misforstått hvordan tjenestene til Bisnode brukes og vilkårene for tjenesten.
At det tidligere har skjedd uforklarlige kredittvurderinger av enkeltpersonforetak hos Bisnode, jf. tilsynets sak 17/99973 taler for at dette også kan ha skjedd i foreliggende sak.
Subsidiært anføres at Datatilsynets skjønnsutøvelse ved utmålingen av overtredelsesgebyr er mangelfull. Tilsynet vektlegger ikke tilstrekkelig den lave graden av personvernkrenkelse som har funnet sted i saken, manglende motiv for overtredelse av personopplysningsloven og de interesser loven verner.
As kredittopplysninger er aldri gjort tilgjengelig, brukt, lagret eller på annen måte behandlet hos X, da X aldri har mottatt noe rapport om klagers økonomi fra Bisnode. X har ikke på noe tidspunkt fått kunnskap om klagers inntekt, gjeld eller betalingsanmerkninger. X har ivaretatt As rettigheter etter personopplysningsloven, da han på et tidlig stadium av saken ble informert om at X ikke har mottatt noen rapport om hans privatøkonomi eller anså seg berettiget til å hente ut slike opplysninger hos Bisnode.
Den lave graden av personvernkrenkelse taler sammen med fravær av motiv for å krenke de interessene personopplysingsloven verner, for at det ikke skal reageres med overtredelsesgebyr.
Datatilsynets henvisning til at gebyret i saken gjenspeiler praksis i liknende saker, bestrides også, da samtlige saker som tilsynet viser til ikke er sammenlignbare med nåværende sak. I sakene Datatilsynet refererer til, har den ulovlige behandlingen av personopplysninger vært handlinger som har vært utført med viten og vilje av klager.
Datatilsynets vurdering i korte trekk
Datatilsynet har utredet saken grundig, og har bedt både Bisnode og X om å redegjøre for saken. Tilsynet har mottatt gjenpartsbrev, dokumentasjon på dialog mellom X og Bisnode, dokumentasjon på avtaleinngåelsen og logg over utløste kredittsjekker hos Bisnode. Tilsynet har i tillegg stilt de spørsmålene vi mener er relevante for å opplyse saken.
Det er ikke holdepunkter for at kredittsjekkene skyldes systemsvikt fra Bisnodes side, og det er framlagt tilstrekkelige opplysninger og dokumentasjon for at hendelsesforløpet tilsynet har lagt til grunn er korrekt. Det er heller ikke holdepunkter for at Bisnode har gitt feilaktig forklaring. Tilsynet har ikke funnet grunnlag for, eller sett at det er mulig, å kontrollere opplysningene som er gitt ytterligere.
X’ forklaringer, som har vært sprikende, er tillagt mindre vekt. Det er lite troverdig å gi ulike forklaringer på hvorfor kredittvurderingene kan ha skjedd.
X hevder at de foretok flere søk for å finne ut hvorfor kredittvurdering ble gjort, og privatpersonen mottok flere gjenpartsbrev, i alt fem stykker. Det framstår som lite troverdig at flere kredittvurderinger ble gjort for å sjekke om tjenesten fungerer som den skal. X skulle uansett ikke kredittvurdert en tredjeperson.
Videre framstår det lite troverdig at X egentlig skulle finne en adresse, og ved en feil utførte en kredittvurdering. Bisnode har egne tjenester for adresseoppslag, og det finnes også mange andre adressetjenester som X kunne brukt. Både avtalen og brukervilkårene forklarer hvordan tjenesten fungerer, og selve systemet gjør det også klart at man foretar en kredittvurdering ved å trykke på knappen som utløser kredittvurdering.
Det virker usannsynlig at alle kredittvurderingene skjedde grunnet datatekniske feil, særlig fordi kredittvurderingene skjedde ved ulike tidspunkter.
X har opplyst at det ikke var etablert skriftlige rutiner for kredittvurdering, all den tid det i all hovedsak er daglig leder som benytter tjenesten, og har samtidig opplyst at andre ansatte advokater i få tilfeller innhenter kredittopplysninger i nye konkursbooppdrag.
Det kan se ut som om X har misforstått hvordan tjenesten lovlig kan brukes og ikke har satt seg inn i vilkårene for å bruke tjenesten. Det kan virke som at X har ment at kredittvurdering av enkeltpersonforetak ikke er det samme som kredittvurdering av privatperson, og det kan derfor være at X ikke med forsett har ment å kredittvurdere en privatperson, men ved grov uaktsomhet likevel har gjort dette.
Det foreligger klar sannsynlighetsovervekt for at X faktisk har foretatt kredittvurderinger av As enkeltpersonforetak. Det er nødvendig å reagere på overtredelsene med et gebyr.
Datatilsynet har i sitt vedtak 6. mai 2019 redegjort nærmere for hvilke momenter de har vektlagt ved utmåling av gebyrets størrelse, og har etter en helhetsvurdering begrunnet gebyrets størrelse slik:
«Etter en helhetsvurdering av saken og graden av alvorlighet i overtredelsen, har vi kommet frem til at et overtredelsesgebyr på 75 000 kroner anses riktig. Vi legger særlig vekt på at kredittvurderingen er foretatt flere ganger, og at kredittvurderingen ikke har skjedd ved et uhell. Vi legger også stor vekt på at virksomheten ikke har hatt internkontroll for å forebygge at slike hendelser skjer.
Utmålingen er lagt på linje med Datatilsynets gebyrpraksis i sammenlignbare saker, jf. PVN- 2015-14 Viken Økonomi, PVN-2016-07 Synkron Media, PVN-2016-09 Codex advokat, PVN-2017-01 Hareid Hus og PVN-2017-02 Bertram Bil. Virksomhetens økonomiske evne gir ikke grunn til å fravike dette utgangspunktet.»
Personvernnemndas vurdering
X ble av Datatilsynet ilagt overtredelsesgebyr for å ha innhentet kredittopplysninger av et enkeltpersonforetak i mars og april 2017 uten saklig grunn. På dette tidspunktet gjaldt personopplysningsloven 2000 med tilhørende forskrift, personopplysningsforskriften 2000 (forskrift 15. desember 2000 nr. 1265).
Ny lov om behandling av personopplysninger (personopplysningloven 2018) trådte i kraft 20. juli 2018. Fra samme tidspunkt ble personopplysningsloven 2000 opphevet.
Etter personopplysningsloven 2018 § 33 skal de materielle reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet legges til grunn når det treffes vedtak om overtredelsesgebyr, med mindre lovgivningen på tidspunktet for avgjørelsen fører til et gunstigere resultat for den behandlingsansvarlige.
Det følger av forskrift om overgangsregler om behandling av personopplysninger (forskrift 15. juni 2018 nr. 877) § 4 at personopplysningsforskriften 2000 kapittel 4 om kredittopplysningsvirksomhet forsetter å gjelde etter personopplysningsloven 2018. Nemnda er enig med Datatilsynet i at personopplysningsloven 2018 ikke fører til et gunstigere resultat for den behandlingsansvarlige, og legger derfor personopplysningsloven 2000 med tilhørende forskrift til grunn for sin vurdering av denne saken.
Overtredelsesgebyr etter personopplysningsloven er å anse som en administrativ sanksjon som har karakter av straff etter EMK artikkel 6. Etter rettspraksis stilles det da krav om klar sannsynlighetsovervekt for at skyldkravet er oppfylt, både i subjektivt og objektivt henseende, jf. Rt-2008-1409 og Rt-2012-1556. Det betyr i praksis at det er det faktumet som X selv beskriver som skal legges til grunn, med mindre det foreligger klare holdepunkter i de foreliggende bevisene for at det forholder seg på en annen måte. Det er med andre ord ikke tilstrekkelig med sannsynlighetsovervekt for å legge et annet faktum til grunn enn det X selv forklarer, med mindre overvekten er «klart» mer enn 50 %. Det betyr også at der det er usikkerhet om faktum, skal det faktumet som er mest gunstig for X legges til grunn.
Etter de undersøkelser som er foretatt i saken mener nemnda at det foreligger klar sannsynlighetsovervekt for at noen av de ansatte hos X har innhentet kredittopplysninger om A. At dette skjedde uten saklig grunn er ikke omtvistet. Partenes uenighet handler om hvorvidt det faktisk er innhentet kredittopplysninger, subsidiært hvorvidt dette er skjedd ved et uhell eller har skjedd som følge av en villet handling.
Det er ingen holdepunkter for at systemet hos Bisnode har produsert og sendt ut melding om at kredittopplysninger er innhentet, uten at dette er foranlediget av et søk fra en eller flere ansatte hos X. Det er foretatt fem søk i løpet av et par uker og det skjedde i en periode hvor enkelte av advokatene hos X var i en konflikt med A, som hadde klaget to av advokatene hos X inn for Disiplinærnemnden for advokater. Nemnda legger til grunn at det ikke ble bestilt noen utskrift eller e-post av kredittvurderingene, men at disse kun framkom på skjermen og dermed kunne bli lest av den eller de som foretok søket.
Som et moment i bevisvurderingen har nemnda også sett hen til at X har manglet klare interne rutiner for bruk av tjenesten fra Bisnode. Det er redegjort for at det ble foretatt et søk på A fra X den 22. mars 2017, men at dette kun var et søk for å finne fram til rett adresse, ikke et søk for å innhente kredittopplysninger. Det er videre redegjort for at det i hovedsak er advokat B som benytter tjenesten på grunn av sin rolle som bostyrer i konkursbo, men at det også i noen få tilfeller er noen av de ansatte advokatene som tar ut rapporter i nye konkursoppdrag. Det betyr at det har vært flere personer som bruker samme brukeridentitet og passord, i strid med Bisnodes retningslinjer. Nemnda viser til Bisnodes redegjørelse om dette i e-post til X 4. mai 2017:
«Vi har nå foretatt en gjennomgang av den tekniske løsningen som er benyttet i dette søket, og ser ut fra dette at det foreligger kredittsøk i tillegg til oppslag mot adresse i dette tilfellet. Det gjøres også oppmerksom på at det alltid er privatpersonens økonomi som legges til grunn i kredittsøk mot enkeltpersonsforetak. I tillegg går det gjenpartsbrev til de foretakene der selskapet kun er registrert i enhetsregisteret og ikke i foretaksregisteret.
Vi forstår ut i fra deres tilbakemelding at man ikke har vært oppmerksom på at søk har gått mot kredittopplysning. I den forbindelse ønsker jeg å legge til en merknad som ligger til grunn for bruk av våre kredittopplysningstjenester.
I vilkårene i tjenesten som benyttes framgår det at kredittopplysning ikke kan benyttes til andre formål, og det skal foreligge saklig behov. Adresseoppslag er «annet formål», og denne type søk skal kun gjøres der det er behov for kredittopplysninger. Altså en verifisering av korrekt objekt før man tar ut ytterligere informasjon.
Har man behov for tjenester som dekker kun adresseoppslag har vi andre produkttilbud for dette.
Ut fra din mail leser jeg at det muligens er flere personer som benytter samme ident og passord i kredittopplysningstjenesten. Dette strider i så fall mot de juridiske retningslinjene i konsesjon og i vilkårene. Identen er personlig, og kan ikke overdras.
For å sikre at dette ikke skjer ber vi om at du kontakter kundeservice hos oss for å resette passord, og evt opprette flere brukere. Da vil man trolig minske omfanget av evt misforståelser.»
Nemnda finner det videre klart sannsynliggjort at den eller de som har foretatt søkene hos X har gjort dette forsettlig. Det kan godt være at vedkommende person eller personer ikke har vært kjent med reglene og kanskje heller ikke kjent med tjenesten, herunder ikke kjent med at søk på enkeltpersonforetak vil utløse gjenpartsbrev. Uvitenhet om rettsreglene er imidlertid ikke unnskyldelig med mindre den anses som aktsom, jf. prinsippet i straffeloven § 26, som nemnda legger til grunn må gjelde tilsvarende her. Uvitenheten i dette tilfellet anses ikke aktsom og kunne enkelt vært unngått med opplæring og gode rutiner.
Personvernnemnda er etter dette enig med Datatilsynet i at X har innhentet kredittopplysninger om A uten saklig grunn, jf. personopplysningsforskriften 2000 § 4-3. Etter personopplysningsloven 2000 § 46 kan den behandlingsansvarlige da ilegges overtredelsesgebyr.
Personopplysningsloven 2000 § 46 andre ledd angir momenter som særlig skal vektlegges ved vurderingen av om gebyr skal ilegges og ved utmålingen av gebyrets størrelse. Om fastsettelsen av overtredelsesgebyrets størrelse sier departementet i Ot.prp. nr.71 (2007-2008) pkt. 4.4:
«Departementet viderefører forslaget i høringsnotatet om at overtredelsesgebyret ikke bør være standardisert, dvs. lyde på et bestemt beløp, men fastsettes i den enkelte sak. Departementet legger til grunn at lovovertredelsene og -overtrederne vil kunne være svært ulike. Lovovertrederen kan for eksempel være en fysisk person som behandler personopplysninger, eller et kommersielt foretak med stor omsetning. Også ved utmålingen av gebyret må Datatilsynet følge de retningslinjene som er angitt over. Det innebærer at det skal legges vekt på de momentene som angis i lovutkastet (hvor alvorlig overtredelsen er, graden av skyld osv.).»
Etter personopplysningsloven 2000 § 46 bokstav a skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I dette ligger et krav om å vurdere overtredelsens karakter, herunder varigheten av overtredelsen, omfanget av den og hvilke typer opplysninger det dreier seg om.
Personopplysningsforskriften § 4-3 fastslår at kredittopplysninger bare kan gis til den som har «saklig behov», og oppstiller således et særlig vern mot utlevering av kredittopplysninger. Nemnda er enig med tilsynet i at overtredelsen utgjorde et inngrep i personens integritet og privatliv. Selv om de fire etterfølgende søkene er gjort for å finne ut hvordan systemet fungerte medfører ikke det at søkene blir rettmessige.
Når det gjelder graden av skyld, jf. § 46 bokstav b, skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. Datatilsynet mener at X har brukt kredittopplysningstjenesten på en måte som ikke er tillatt og at det er utvist grov uaktsomhet i den forbindelse. Nemnda finner det klart sannsynliggjort at det er handlet forsettlig og at den manglende kunnskapen om rettsreglene ikke er aktsom og derfor ikke får betydning ved vurderingen av skyldgraden. Nemnda viser til at det er søkt gjentatte ganger, hvilket betyr at man har fått fram kredittopplysningene på skjermen flere ganger. X har forklart at i alle fall et par av søkene ble foretatt for å undersøke om det var feil med tjenesten. Det er åpenbart en forsettlig handling.
Videre skal det ifølge § 46 bokstav c legges vekt på om overtredelsen kunne vært forebygget ved retningslinjer, instruks, opplæring, kontroll eller andre tiltak. Det er kartlagt manglende kunnskap både om reglene som gjelder for tjenesten og manglende kunnskap om hvordan tjenesten fungerer. Det kunne enkelt vært forebygget med opplæring og klare retningslinjer.
I følge § 46 bokstav d skal det vektlegges om overtredelsen er begått for å sikre overtrederens interesser. Det er det ikke grunnlag for å si i denne saken. Heller ikke at overtrederen har hatt noen fordel ved overtredelsen, jf. bokstav e.
Det følger av § 46 bokstav f at det skal vektlegges om det foreligger gjentakelse. Det foreligger ingen opplysninger om at X er ilagt gebyr fra Datatilsynet for tilsvarende overtredelse tidligere.
Det skal legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, jf. bokstav g. I dette tilfellet ble advokat B klaget inn for Disiplinærnemnden for advokater for å ha kredittsjekket en annen advokat uten saklig grunn. Disiplinærnemndens avgjørelse er svært kort og konkluderer med at det ikke foreligger et brudd på god advokatskikk. B ble derfor frifunnet. Hadde Disiplinærnemnden konkludert annerledes og ilagt en reaksjon, kritikk el.l, kunne dette hatt betydning også for nemndas vurdering. Med det resultatet Disiplinærnemnden kom til, har det etter nemndas vurdering ingen betydning for den vurderingen nemnda skal foreta i saken.
Endelig skal det legges vekt på overtrederens økonomiske evne, jf. bokstav h. Datatilsynet har i sitt vedtak redegjort for virksomhetens økonomiske situasjon. Virksomheten hadde i 2016 et årsresultat på 2 131 000 kroner og 1 855 000 kroner i 2017. Nemnda er enig med Datatilsynet i at virksomheten har økonomi til å bære et overtredelsesgebyr og at overtredelsesgebyr bør ilegges. Ved fastsettelsen av gebyrets størrelse er det de samme momentene som skal vektlegges.
Datatilsynet har satt overtredelsesgebyret til 75 000 kroner og har blant annet vist til PVN-2017-02. Nemnda er enig i at det er en sammenlignbar sak som tilsier at gebyret også her bør settes til 75 000 kroner.
Nemnda vil avslutningsvis bemerke at den lange saksbehandlingstiden er svært uheldig. Den urettmessige kredittvurderingen ble foretatt i mars/april 2017 og A brakte saken inn for Datatilsynet i juni samme år. Datatilsynet traff sitt vedtak i saken først to år senere, 6. mai 2019. Etter at X framsatte rettidig klage på vedtaket foretok Datatilsynet en ny vurdering av saken og opprettholdt sin avgjørelse. Saken ble oversendt Personvernnemnda 19. november 2019 og endelig vedtak i saken treffes nå snart 2 år og 8 måneder etter at den ulovlige kredittvurderingen skjedde.
X får etter dette ikke medhold i sin klage.
Vedtaket er enstemmig.
Vedtak
Datatilsynets vedtak opprettholdes.
Oslo, 21. januar 2020
Mari Bø Haugstad
Leder