Home
ANONYMISERT VERSJON

PVN-2022-03 Kredittvurdering uten rettslig grunnlag - overtredelsesgebyr

Datatilsynets referanse: 
20/02375-9

Personvernnemndas vedtak 21. juni 2022 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Malin Tønseth)

Saken gjelder klage fra X AS på Datatilsynets vedtak 21. september 2021 om ileggelse av overtredelsesgebyr på 125 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag.

Sakens bakgrunn

A mottok et gjenpartsbrev fra kredittopplysningsbyrået Experian AS med opplysning om at X AS hadde foretatt en kredittvurdering av henne 27. august 2019.

A skrev til Datatilsynet 18. september 2019 og meldte fra om det hun oppfattet som ulovlig kredittsjekk fra X AS. Hun opplyste at hun aldri har hatt noen forretningsforbindelse med X AS.

Datatilsynet skrev til X AS og ba om en redegjørelse.Daglig leder i X AS, B, redegjorde i brev 29. april 2020 for at han foretok kredittsjekken av A i forbindelse med en privat arvetvist. B er sønn av As avdøde ektemann og det er tvist om arveoppgjøret etter han. B foretok en kredittsjekk av A for å se om hun ville kunne få lån til å overta huset, slik hun ønsker. Han benyttet selskapets abonnement på kredittopplysningstjenester i den forbindelse.

Datatilsynet varslet 21. desember 2020 X AS, org.nr. […], om pålegg om å etablere internkontroll og rutiner for kredittvurdering, samt ileggelse av overtredelsesgebyr på 175 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag og for manglende etterlevelse av ansvarlighetsprinsippet, jf. personvernforordningen artikkel 6 nr. 1 bokstav f og artikkel 5 nr. 2.

X AS ga sin uttalelse til varselet 11. januar 2021, og hadde blant annetinnsigelser til grunnlaget og størrelsen på det varslede overtredelsesgebyret.

Datatilsynet fattet følgende vedtak 21. september 2021:

«1. Med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav i ilegger vi [X AS, org.nr. …], et overtredelsesgebyr til statskassen på 125 000 kroner for å ha innhentet kredittopplysninger uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1.

2. Med hjemmel i personvernforordningen art. 58 nr. 2 bokstav d pålegges X AS å utarbeide skriftlige rutiner for kredittvurdering, jf. personvernforordningen artikkel 24, da virksomheten ikke hadde dette på kontrolltidspunktet.»

X AS klaget rettidig på vedtakets pkt. 1 (ileggelse av gebyr) 4. oktober 2021. Selskapet innga tilleggskommentarer til klagen 15. oktober 2021. Selskapet har oppfylt pålegget i vedtakets pkt. 2 ved oversendelse til Datatilsynet 6. januar 2022.

Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sitt vedtak. Saken ble oversendt Personvernnemnda 4. februar 2022. Partene ble orientert om saken i brev fra nemnda 7. februar 2022 og fikk anledning til å komme med kommentarer. Ingen av partene har inngitt kommentarer.

Saken ble behandlet i nemndas møte 20. juni 2022. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin og Malin Tønseth. Sekretariatsleder Anette Klem Funderud var også til stede.

Datatilsynets vurdering i hovedtrekk

Behandlingsansvarlig

Kredittvurderingen ble gjennomført av daglig leder i X AS via selskapets tilgang til kredittopplysningsselskapet Experian. Det er derfor X AS som er behandlingsansvarlig for kredittvurderingen, jf. Personvernnemndas vedtak i PVN-2017-02 og PVN-2020-21 som støtter tilsynets plassering av behandlingsansvar.

Etter kredittvurderingen ble gjennomført har selskapet fusjonert med et annet selskap.

Datatilsynet legger til grunn at det overtakende selskapet (X AS, org.nr. […]), har overtatt det overdragende selskapet (X AS, org.nr. […]) sine eiendeler, rettigheter og forpliktelser, herunder det overdragende selskapets behandlingsansvar for behandling av personopplysninger i selskapet. X AS, org.nr. […], er dermed behandlingsansvarlig for det overdragende selskapets kredittvurdering av A og vedtaket om pålegg og overtredelsesgebyr er rettet mot X AS, org.nr. […].

Behandlingsgrunnlag for innhenting av kredittopplysninger

Det relevante behandlingsgrunnlaget for X AS' innhenting av kredittopplysninger om A er personvernforordningen artikkel 6 nr. 1 bokstav f (nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart).

Datatilsynet vurderer deretter om vilkårene i artikkel 6 nr. 1 bokstav f er oppfylt, og legger til grunn at X AS ikke har en berettiget interesse i å innhente As kredittopplysninger. Den berettigede interessen må være begrunnet i selskapets saklige behov og interesse. Når kravet til «berettiget interesse» ikke er oppfylt, vil innhentingen heller ikke være «nødvendig». Kredittvurderingen ble gjennomført på bakgrunn av en privat arvetvist mellom daglig leder og A. Tilsynet viser til at det ikke foreligger noe kundeforhold mellom selskapet og A. X AS driver med bearbeiding av metall og plastmateriell og innhentingen er ikke saklig begrunnet i virksomheten, men har derimot skjedd for et formål helt utenfor selskapets drift. A hadde ingen forventning om at virksomheten skulle behandle hennes kredittopplysninger, og det var ikke påregnelig for henne på innsamlingstidspunktet, jf. forordningens fortalepunkt 47. Datatilsynet viser til PVN-2020-21 der nemnda la til grunn at daglig leders bruk av selskapets kredtittvurderingsverktøy til personlige formål åpenbart var i strid med loven.

X AS kan ikke høres i sin anførsel om at selskapet kredittvurderte på vegne av en tredjepart og dennes berettigede interesse. Tilsynet påpeker at selskapet har anført at daglig leder både er selskapet, samtidig som de anfører at daglig leder er en tredjepart som selskapet har kredittvurdert på vegne av.

Datatilsynet konkluderer med at X AS ikke hadde rettslig grunnlag i artikkel 6 nr. 1 bokstav f for å innhente As kredittopplysninger.

Overtredelsesgebyr

Datatilsynet legger til grunn at kredittvurderingen, som ble utført av daglig leder på vegne av selskapet, var en bevisst og villet handling og at skyldkravet (alminnelig uaktsomhet), er oppfylt, jf. HR-2021-797A. Uvitenhet om reglene er ikke unnskyldelig, jf. straffeloven § 26.

Datatilsynet har ved vurderingen av om det skal ilegges gebyr og ved utmålingen tatt hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.

Datatilsynet kom til at X AS skal ilegges overtredelsesgebyr av en viss størrelse. Selskapet hadde ikke behandlingsgrunnlag for innhentingen av kredittopplysningene (lovlighetsprinsippet), og manglet tekniske og organisatoriske tiltak for etterlevelse av personvernregelverket (ansvarlighetsprinsippet). Tilsynet viser til at kredittopplysninger er en type personopplysninger som er særlig beskyttelsesverdige på grunn av opplysningenes private karakter, og at den ulovlige innhentingen ikke kan reverseres, skaden er allerede skjedd. Personvernforordningen forutsetter at etterlevelse av regelverket er særlig forankret hos ledelsen i en virksomhet, jf. artikkel 5 nr. 2. Med henvisning til PVN-2020-21, legger tilsynet derfor til grunn at overtredelsen er alvorlig.

At X AS har bidratt til sakens opplysning ved å svare på Datatilsynets krav om redegjørelse, kan ikke tillegges vekt i formildende retning ved utmålingen av gebyr. Det fremgår direkte av artikkel 58 nr. 1 at Datatilsynet har myndighet til å pålegge en behandlingsansvarlig å framlegge all informasjon den trenger for å kunne utføre sine oppgaver. Det samme er lagt til grunn i Personvernrådets (EDBP) retningslinjer for fastsettelse og utmåling av overtredelsesgebyr.

I forhåndsvarsel etter forvaltningsloven § 16 varslet Datatilsynet et gebyr på 175 000 kroner for den aktuelle overtredelsen. Tilsynet viste til PVN-2020-21 der nemnda uttalte at et overtredelsesgebyr på 150 000 kr for en ulovlig kredittvurdering av et enkeltpersonforetak «i alle fall ikke er for høyt». Med henvisning til Personvernnemndas praksis, reduserte Datatilsynet gebyret til 125 000 kroner på grunn av lang saksbehandlingstid. Det var da gått ca. 10 måneder siden tilsynet varslet X AS om gebyr og ett og et halvt år siden tilsynet kontaktet X AS første gang med anmodning om å redegjøre for saken.

Ved utmålingen la tilsynet vekt på virksomhetens økonomi, hvilke personopplysninger som er berørt og at overtredelsene var utført av daglig leder, jf. artikkel 83 nr. 2. Datatilsynet viste til at X AS ifølge offentlige dokumenter er registrert med en omsetning i 2019 på 20 158 000 kroner, et årsresultat på 3 191 000 kroner, og at selskapet er registrert med meget god soliditet.

Datatilsynet anså, etter en skjønnsmessig helhetsvurdering, at et gebyr på 125 000 kroner ville være tilstrekkelig virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende, jf. personvernforordningen artikkel 83 nr. 1.

X AS' syn på saken i korte trekk

Innhenting av kredittopplysninger

Det var selskapets daglige leder (B) som foretok kredtittsøk på A ved å bruke kredittsøketjenesten Experian. X AS hadde da allerede forpliktet seg til følge personopplysningsloven i kontrakten med Experian AS, hvor det framgår at kredittsjekk kun kan skje etter «saklig grunn», jf. personopplysningsforskriften § 4-3. Dette var daglig leder klar over. Det er kun daglig leder som har tilgang til kredittsøketjenesten.

Kredittsøket daglig leder foretok var rettmessig, i tråd med balansetesten og lovens vilkår, jf. personvernforordningen artikkel 6 nr. 1 bokstav f.

Det framgår klart av ordlyden at det å begrense vurderingen utelukkende til «behandlingsansvarlig», ikke er en tilstrekkelig vurdering. Datatilsynet har ikke foretatt en tilstrekkelig vurdering av «tredjepart» i artikkel 6 nr. 1 bokstav f. Det er nødvendig å vurdere bredere for eventuelt å konstatere overtredelse av bokstav f. Det er feil å stanse den rettslige vurderingen allerede før konvensjonens øvrige rettsgrunnlag er vurdert. Artikkel 6 inneholder flere selvstendige (ikke kumulative) lovgrunnlag.

I dette tilfellet forelå det a) legitim interesse, det var b) nødvendig for å forfølge denne interessen og c) den registrertes rettigheter gikk ikke foran. Loven stenger ikke for utlevering til tredjepart, i dette tilfellet daglig leder selv. Tredjepart fulgte en legitim interesse i en rettstvist med den registrerte da han benyttet selskapets kredittsøketjeneste. Tredjepart hadde lovlig adgang til å be om kredittsjekk. Dette tilsier at det ikke bør ilegges gebyr.

I Wessel-Aas/Ødegård, Personvern - publisering og behandling av personopplysninger (2018), side 152 flg. vises det til at EU-domstolen i Rigas satiksme-dommen uttalte at det kan være den behandlingsansvarlige eller tredjemann som opplysningene gis til, som må forfølge en legitim interesse.

Staten plikter å foreta en konkret vurdering, jf. EU-domstolens avgjørelse i Beyer-dommen, C-582/14 premiss 62. Videre vises det til PVN-2017-02 med et liknende saksforhold, men hvor vedkommende manglet et legitimt formål.

Datatilsynet har vist til den registrertes forventninger og kun gjengitt fortalepunkt 47, uten å anvende den på sakens faktum. Det er én eier og en daglig leder som utgjør ledelsen i samme bedrift. Den registrerte var godt klar over koblingen mellom selskapet og personen, noe som er dokumentert via den anmeldelse hun innleverte. Det er derfor bevist at det her ikke var slik at den registrerte misforstod eller kunne misforstå. Faktum i PVN-2020-21, som tilsynet viser til, skiller seg fra foreliggende sak og er derfor ikke direkte relevant.

Reaksjonsfastsettelsen - overtredelsesgebyr

Subsidiært anføres at reaksjonen er for streng. Gebyret står ikke i rimelig forhold til overtredelsens karakter.

Ved en eventuell utmåling av gebyr må det særskilt vektlegges:

  • Forhåndsvarselet fra Datatilsynet var en siktelse i EMKs forstand, sml. Ot. prp. 62L (2015-2016). Et åpent og fullt samarbeid, skal virke formildende, sml. straffeloven § 78 bokstav f.
  • Selskapet aksepterer et pålegg om forbedring av rutiner og påklager ikke det. Tilsynet har således allerede hatt virkning.
  • Overtredelsen gjelder en enkeltstående kredittsjekk av kun én fysisk person.
  • Ingen varig karakter.
  • Den skjedde i tilknytning til en alminnelig og i utgangspunktet helt legitim kredittsjekk av en person/motpart i søksmål.
  • Det foreligger intet forsett, i betydningen ikke et forsettlig brudd på personvernreglene.
  • Kredittsjekken var ikke resultat av verken nysgjerrighet eller kikkermentalitet men hadde en helt legitim forklaring.
  • Kredittsjekken har ikke påført noe påviselig økonomisk tap for den aktuelle personen.
  • Ved fellelse, har overtredelsen karakter av å være en persons feilvurdering av hjemmelsgrunnlaget og det at inngåtte kontrakter ga tilstrekkelige føringer. Personen har ikke dette som spesifikt fagfelt selv om han leder selskapet.
  • Selskapet har ikke overtrådt personvernreglene tidligere.
  • Verken bedriften eller privatpersonen oppnådde noen økonomiske fordeler som følge av søket.

Selskapet forstår hvorfor tilsynet ser alvorlig på saken. Noe tilsvarende vil ikke skje igjen.

As syn på saken i korte trekk

Hun føler seg trakassert av B som har kredittvurdert henne personlig.

Hun har aldri hatt noe å gjøre med X AS som privatperson.

Kredittvurderingen må anses som snoking og hevn, da hun og B ligger i en arvestrid. De bor i en liten bygd. Nå vil sladderen gå om hennes lave inntekt. Dette har gått tungt inn på henne.

Personvernnemndas vurdering

Saken gjelder spørsmål om X AS hadde rettslig grunnlag for å kredittvurdere A. Hvis kredittvurderingen var ulovlig, om det etter personvernforordningen artikkel 83 nr. 5, jf. artikkel 83 nr. 2 skal ilegges et overtredelsesgebyr, og dersom det skal ilegges gebyr, hvor stort gebyret skal være.

X AS har i sin klage 4. oktober 2021 begjært oppsettende virkning av vedtaket.

Det følger av personopplysningsloven § 27 første ledd at oppfyllelsesfristen for et vedtak om overtredelsesgebyr er fire uker fra vedtaket er endelig. Bestemmelsen skiller seg fra forvaltningsloven § 44 femte ledd som knytter oppfyllelsesfristen for overtredelsesgebyr til når vedtaket ble truffet, jf. Prop. 56 LS (2017-2018) kapittel 38. Det er derfor ikke behov for å vurdere spørsmål om oppsettende virkning.

Behandlingsansvarlig

Den aktuelle kredittvurderingen ble gjennomført av daglig leder i X AS via selskapets avtale med og tilgang til kredittopplysningsselskapet Experian. Det er selskapet som er behandlingsansvarlig for personopplysninger som innhentes via kredittopplysningsselskapet, jf. personvernforordningen artikkel 4 nr. 7 og som er ansvarlig for at personopplysninger behandles på en lovlig måte, jf. artikkel 5 nr. 1 bokstav a og nr. 2. Tilsvarende plassering av behandlingsansvar er lagt til grunn i PVN-2017-02 og PVN-2020-21.

Kredittvurderingen ble gjennomført før selskapet fusjonerte med et annet selskap. Nemnda slutter seg til Datatilsynets vurdering om at det overtakende selskapet (X AS, org.nr. […]), har overtatt det overdragende selskapets (X AS, org.nr. […]) forpliktelser, herunder behandlingsansvaret for behandling av personopplysninger i det overdragende selskapet, jf. aksjeloven § 13-2.

Behandlingsgrunnlag for innhenting av kredittopplysninger

Innhenting av kredittopplysninger om personer er en behandling av personopplysninger som må ha rettslig grunnlag for å være lovlig, jf. personvernforordningen artikkel 6 nr. 1. I personvernforordningen artikkel 6 nr. 1 bokstav a til f er det oppstilt alternative rettslige grunnlag for behandling av personopplysninger. Det aktuelle behandlingsgrunnlaget for innhenting av kredittopplysninger i dette tilfellet er artikkel 6 nr. 1 bokstav f.

Behandlingsgrunnlag etter personvernforordningen artikkel 6 nr. 1 bokstav f krever at tre kumulative vilkår er oppfylt. For det første må det foreligge en berettiget interesse, normalt hos den behandlingsansvarlige, eventuelt hos en tredjepart. Ved vurderingen av om det foreligger en berettiget interesse, skal det tas hensyn til om den registrerte med rimelighet kan forvente at personopplysningene blir anvendt til det aktuelle formålet mv. jf. fortalepunkt 47 til forordningen der det blant annet uttales:

«[…] Det kan f.eks. foreligge en slik berettiget interesse når det er et relevant og passende forhold mellom den registrerte og den behandlingsansvarlige, f.eks. dersom den registrerte er kunde av den behandlingsansvarlige eller i vedkommendes tjeneste. En berettiget interesse krever i alle tilfeller en nøye vurdering, herunder av om en registrert på tidspunktet for og i forbindelse med innsamling av personopplysninger med rimelighet kan forvente at disse behandles for nevnte formål […].»

Etter artikkel 6 nr. 1 bokstav f er det for det annet et krav om at behandlingen av personopplysningene er nødvendig «for formål knyttet til de berettigede interessene», og for det tredje skal det foretas en interesseavveining mellom den registrertes interesse til privatliv på den ene side og den behandlingsansvarliges/tredjeparts berettigede interesse i å behandle personopplysningene på den andre.

Lovens krav om at behandlingen (innhentingen av kredittopplysningene) må være nødvendig for formål knyttet til den behandlingsansvarliges berettigede interesse, innebærer at interessen som ivaretas av den behandlingsansvarlige må være lovlig og reelt begrunnet.

Det følger videre av overgangsregler om behandling av personopplysninger § 4 at forskrift 15. desember 2000 nr. 1265 om behandling av personopplysninger kapittel 4 om kredittopplysningsvirksomhet fortsatt gjelder (erstattes av ny kredittopplysningslov lov-2019-12-20-109 1. juli 2022). Det følger av forskriften § 4-3 at kredittopplysninger bare kan gis til den som har saklig behov for den.

Det er selskapet X AS som har en avtale med kredittopplysningsselskapet Experian AS om online-tilgang til kredittopplysninger om selskaper og personer X AS har saklig behov for å innhente kredittopplysninger om. X AS driver med bearbeiding av metall og plastmateriell og har ikke noe kundeforhold til A. Det er åpenbart at daglig leders innhenting av kredittopplysninger om A til bruk i en privat arvetvist ikke er saklig begrunnet i selskapets virksomhet. Nemnda har lagt tilsvarende betraktninger til grunn i PVN-2017-02 og PVN-2020-21.

X AS har ikke adgang til å bruke sin online-tilgang til kredittopplysningsselskapet Experian AS til å innhente kredittopplysninger om A på grunnlag av daglig leders private arvetvist. Som daglig leder identifiseres B med selskapet som er behandlingsansvarlig og saken reiser ikke en problemstilling knyttet til tredjeparts interesse, jf. artikkel 4 nr. 10. At selskapet hevder å ha en adgang basert på tredjeparts interesse bygger på en åpenbar misforståelse av reglene.

Daglig leders bruk av tjenesten fra Experian AS til private formål er åpenbart i strid med loven. Om A forstod hvem i X AS som hadde innhentet opplysninger om henne og hvorfor, er helt uten betydning.

Nemnda er enig med Datatilsynet i at kredittvurderingen innebærer en krenkelse av As personvernrettigheter. Nemnda tiltrer tilsynets vurdering og konkluderer på samme måte som tilsynet med at det ikke forelå rettslig grunnlag for å kredittvurdere A.

Når selskapet ikke har saklig behov for å innhente kredittopplysningene, har det heller ikke berettiget interesse i behandlingen, jf. artikkel 6 nr. 1 bokstav f. Det er da ikke nødvendig for nemnda å vurdere de øvrige vilkårene bestemmelsen, da alle vilkårene må være oppfylt for å tilfredsstille lovens krav til behandlingsgrunnlag.

Ved brudd på personvernforordningen kan Datatilsynet beslutte korrigerende tiltak etter artikkel 58 nr. 2. I dette tilfellet har Datatilsynet pålagt den behandlingsansvarlige å utarbeide rutiner for kredittvurdering og innhenting av kredittopplysninger i samsvar med personvernforordningen, jf. artikkel 58 nr. 2 bokstav d. Denne delen av vedtaket er ikke påklaget.

I tillegg har Datatilsynet ilagt overtredelsesgebyr i henhold til artikkel 58 nr. 2 bokstav i, jf. artikkel 83. Det er ileggelsen av overtredelsesgebyr som er bragt inn for nemnda.

Ileggelse av overtredelsesgebyr

Etter artikkel 58 nr. 2 bokstav i, jf. artikkel 83 kan den behandlingsansvarlige ilegges et overtredelsesgebyr. Ved vurderingen av om det skal ilegges gebyr og ved utmålingen av gebyret, skal det i hvert enkelt tilfelle tas hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k. Det følger av artikkel 83 nr. 1 at tilsynsmyndigheten ved sin vurdering skal sikre at ileggelse av overtredelsesgebyr er virkningsfullt, står i et rimelig forhold til overtredelsen og virker avskrekkende.

Nemnda er enig med Datatilsynet i at det skal ilegges et overtredelsesgebyr. Nemnda har for sin vurdering lagt vekt på følgende forhold:

Det dreier seg om en alvorlig overtredelse av personvernforordningen. Lovlighetsprinsippet i artikkel 5 nr. 1 og kravet til behandlingsgrunnlag i artikkel 6 representerer grunnleggende krav til behandling av personopplysninger. Disse er brutt. Privatpersoner har en forventning om at virksomheter ikke innhenter kredittopplysninger om dem uten at dette er begrunnet i en berettiget interesse i selskapet som følge av et reelt kundeforhold. Innhentingen av kredittopplysninger har i dette tilfellet skjedd for et formål helt utenfor selskapets forretningsområde og til daglig leders personlige bruk utenfor virksomheten. Han har uten tvil handlet forsettlig. En villfarelse om rettsreglene er ikke unnskyldelig, jf. prinsippet i straffeloven § 26.

Nemnda er enig med Datatilsynet i at det må vektlegges i skjerpende retning at overtredelsen ble utført av daglig leder i virksomheten, og at virksomheten, under hans daglige ledelse, ikke hadde iverksatt tilstrekkelige organisatoriske tiltak for å hindre slike brudd på personopplysningssikkerheten. Det er opplyst at selskapet nå har utarbeidet rutiner som er oversendt Datatilsynet. Anførslene i denne saken tilsier likevel at selskapsledelsen har et stykke å gå for å forstå reglene.

Selv om opplysningene som er innhentet ikke tilhører gruppen særlig kategorier av opplysninger i artikkel 9, så representerer kredittopplysninger om enkeltpersoner opplysninger av privat karakter som den enkelte kan ha grunn til å ønske forblir privat. Også dette er derfor et moment i skjerpende retning.

Artikkel 83 nr. 2 bokstav f fastslår at det skal legges vekt på graden av samarbeid med tilsynsmyndigheten for å bøte på overtredelsen og redusere de mulige negative virkningene av den. Nemnda tiltrer Datatilsynets vurdering om at selskapets redegjørelse for saken til Datatilsynet ikke kan tillegges vekt i formildende retning. Selv om selskapet har utarbeidet nye rutiner for kredittvurderinger for å bedre informasjonssikkerheten, i tråd med tilsynets pålegg, reduserer ikke det alvoret i den ulovlige informasjonsinnhentingen. Den behandlingsansvarlige har en lovpålagt plikt til å framlegge all informasjon tilsynsmyndigheten trenger for å utføre sine oppgaver, jf. personvernforordningen artikkel 58 nr. 1 og personopplysningsloven § 23.

Når det gjelder utmåling av gebyrets størrelse har Datatilsynet i vedtaket vist til at selskapet, ifølge offentlige tilgjengelige dokumenter i 2019, er registrert med en omsetning på 20 158 000 kroner, og et årsresultat på kr 3 191 000. I tillegg er selskapet registrert med meget god soliditet. Selskapet har ikke gitt nemnda informasjon om selskapets økonomi eller endringer i denne.

Selskapets økonomi er etter dette ikke et forhold som tilsier noen reduksjon av det gebyret Datatilsynet har fastsatt.

Datatilsynet la opprinnelig til grunn et gebyr på 175 000 kroner, men reduserte dette til 125 000 kroner på grunn av den lange saksbehandlingstiden. Den ulovlige informasjonsinnhentingen skjedde i august 2019, saken ble brakt inn for Datatilsynet i september 2019 og varsel om vedtak ble sendt i desember 2020. Endelig vedtak ble deretter først truffet i september 2021. Etter rettidig klage ble saken sendt nemnda i januar 2022. Nemnda er enig med Datatilsynet i at den lange saksbehandlingstiden må hensyntas ved utmålingen av gebyret, jf. artikkel 83 nr. 2 bokstav k.

Nemnda er enig med Datatilsynet i at utmålingen av gebyret må ta utgangspunkt i selskapets økonomi. Datatilsynets utgangspunkt på 175 000 kroner er da i alle fall ikke for høyt. Nemnda er enig i at den lange saksbehandlingstiden tilsier en reduksjon av gebyret.

Overtredelsesgebyrets størrelse settes etter dette i tråd med Datatilsynets vedtak til 125 000 kroner.

X AS får ikke medhold i klagen.

Konklusjon

Datatilsynets vedtak om å ilegge X AS et overtredelsesgebyr på 125 000 kroner opprettholdes.

Vedtaket er enstemmig.

Hamar, 21. juni 2022

Mari Bø Haugstad
Leder