Personvernnemndas avgjørelse av 17. desember 2008 (Jon Bing, Gro Hillestad Thune, Leikny Øgrim, Siv Bergit Pedersen, Jostein Halgunset, Hanne I Bjurstrøm, Tom Bolstad)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vedtak av 6.2.2008. Datatilsynet har gitt Lindorff Decision AS (heretter ”Lindorff”) pålegg om å ikke benytte opplysninger om tidligere adresser i kredittvurdering av en privatperson.
2 Saksgang
Datatilsynet mottok 12.12.2006 en klage fra en person som hadde fått negativt utfall i en kredittvurdering fra Lindorff. Kredittopplysningsforetakets begrunnelse var at vedkommende var delansvarlig i et selskap, hadde flyttet det siste året og var under 35 år.
Datatilsynet henvendte seg til Lindorff i brev av 12.3.3007 og ba om en redegjørelse for hvorfor tidligere adresser blir brukt i vurderingen, noe som tilsynet mener ikke er tillatt.
Lindorff besvarte henvendelsen i brev av 14.5.2007 og forklarte at adressestabilitet er en forklarende og relevant variabel, sammen med næringsinteresser og alder.
Datatilsynet skrev til Lindorff 23.7.2007 og varslet vedtak med følgende pålegg:
Lindorff kan ikke benytte opplysninger om tidligere adresser knyttet til en kredittvurdering av en privatperson, da denne opplysningstypen ikke er nevnt i selskapets kredittopplysningskonsesjon.
Brevet ble besvart av Lindorff 28.9.2007 på vegne av Lindorff og bransjen (Norske Kredittopplysningsbyråers Forening). Datatilsynet besvarte brevet 2.11.2007 og ba om en redegjørelse for bruk av adressehistorikk. Lindorff besvarte brevet 13.12.2007.
Datatilsynet gjorde i brev av 6.2.2008 til Lindorff det klart at det ville utferdige et pålegg for så vidt gjaldt bruk av tidligere adresser. Samme dag ga Datatilsynet Lindorff pålegg om at Lindorff ikke kan benytte opplysninger om tidligere adresser i en kredittvurdering av en privatperson.
Lindorff besvarte brevet 28.2.2008 og ba om utsettelse av klagefrist til 15.4.2008. Utsatt frist ble innvilget 6.3.2008. Klagefristen ble ytterligere forlenget til 30.4.2008. Klage ble inngitt 30.4.2008 fra Lindorff. Norske Kredittopplysningsbyråers Forening støtter klagen.
Personvernnemnda mottok saken fra Datatilsynet 16.7.2008. Klager ble orientert om dette i brev fra nemnda 19.8.2008, med frist til uttalelse innen 10.9.2008. Lindorff svarte i brev av 9.9.2008.
3 Faktum
Lindorff er et kredittopplysningsforetak som har en standardkonsesjon fra Datatilsynet til å drive kredittopplysningsvirksomhet. Konsesjonen setter begrensninger for hvilke opplysninger et kredittopplysningsforetak har adgang til å benytte i sin virksomhet, herunder en kredittvurdering. Fødselsdato og næringsinteresser er opplysninger som kredittopplysningsforetaket kan registrere. Hvorvidt kredittopplysningsforetaket kan registrere hvor mange ganger en person har flyttet, er temaet for denne saken.
Det følger av punkt 1.1.1 nr 2 i konsesjonen at kontaktopplysninger kan registreres. Med kontaktopplysninger menes adresse, anropsnummer for teletjenester og elektroniske adresser. Spørsmålet er om tidligere adresser omfattes av begrepet ”kontaktopplysninger”.
Praksis i dag er at tidligere adresser lagres i fire år, jf reglene om sletting i konsesjonens pkt 4.1. Opplysningen benyttes til tre ulike formål;
- For å etablere unike treff ved enkeltoppslag i kredittopplysningsdatabasen
- I forbindelse med kredittvurdering og ajourføring av inkassoselskapenes porteføljer
- Som en eller flere variabler i kredittvurdering av den registerte
Datatilsynet har tillatt bruk av tidligere adresser til formål nr 1 og 2. Datatilsynet tillater ikke bruk av tidligere adresser til formål nr 3.
4 Klagers anførsler
Klager anfører at bruk av tidligere adresser i forbindelse med kredittvurdering ikke er i strid med personopplysningsloven eller konsesjonen. Det er ikke tale om å registrere tidligere adresser, men å oppbevare den registrertes tidligere adresse, som på et tidligere tidspunkt var korrekt registrert, også etter at personen har flyttet, og å bruke denne opplysningen i ulike sammenhenger.
Kredittopplysningsbyråene har konsesjon med følgende formål: ”Utøvelse av virksomhet som består i å gi meddelelser som belyser kredittverdigheten eller økonomisk vederheftighet, …”
Konsesjonen regulerer hvilke opplysningstyper som kan behandles (registerets innhold), hvilke kilder som kan benyttes, tidspunkter for registrering og sletting, samt varslingsplikter. Konsesjonen regulerer ikke hvordan de tillatte opplysningstyper nærmere kan behandles innenfor rammen av behandlingsformålet. Rammene for behandlingen følger av formålet og personopplysningslovens alminnelige regler.
Kontaktopplysninger kan registreres, jf konsesjonens pkt 1.1.1 nr 2. Opplysninger som er korrekt registrert i henhold til konsesjonen kan, innenfor den øvre ramme for oppbevaringstid som er fastsatt (fire år), behandles og lagres så lenge de er relevante, tilstrekkelig oppdatert og nødvendige ut fra formålet med behandlingen, jf personopplysningsloven §§ 11 og 28. Lindorff oppbevarer en persons tidligere adresse i opptil fire år, for blant annet å se om personen har hatt stabil bopel eller flytter hyppig.
Tidligere adresse er en relevant og korrekt opplysning i flere sammenhenger. Datatilsynet støtter kredittopplysningsbyråenes oppfatning når det gjelder to av tre anførte måter å bruke opplysningene på (oppslag og oppdatering).
Opplysning om historisk adresse utover den siste adressen er relevant i forbindelse med kredittvurdering og kan følgelig behandles også for dette formålet. Forskjellen i risiko mellom en person som ikke har flyttet og en person som har flyttet to eller flere ganger innen et visst tidsrom er meget signifikant. Den statistiske sannsynligheten for mislighold er tilnærmet dobbelt så stor for gruppen med mange adresseendringer sammenlignet med de som ikke har adresseendring.
Opplysningstypen benyttes som en av flere variabler i forbindelse med kredittvurdering. Til alle variabler er det knyttet vekter basert på statistisk sannsynlighet for mislighold. Selv om vektene for den enkelte variabel (opplysningstype) er basert på statistisk materiale, vil variablene samlet gi grunnlag for individuelt å beregne kredittrisiko for den enkelte registrerte. Det høye antall opplysningstyper og statistiske og individuelle parametre bidrar til å gjøre kredittvurderingen presis og relatert til den enkeltes situasjon. Det å fjerne opplysningstyper fra denne vurderingen vil innebære at man får et mindre treffsikkert verktøy.
Personer som nylig har flyttet blir hyppig kredittvurdert. Det skyldes høy kredittaktivitet i perioden rundt flytting, blant annet knyttet til kjøp av ny bolig, flytting og nytegning av abonnementer mv. Det høye antallet forespørsler om kredittvurdering av personer som har flyttet, og at de langt fleste kommer ut med en positiv kredittvurdering, viser at variabelen fungerer slik den skal og at den vektes korrekt i scoremodellene.
5 Datatilsynets vurdering
Datatilsynet er av den oppfatning at konsesjonen av 1.3.2006 ikke gir adgang til å registrere tidligere adresser eller såkalte historiske adresser. Teksten i konsesjonsvilkårene og merknadene til konsesjonen sikter til nåværende kontaktopplysninger. Datatilsynet vil etter eget initiativ endre konsesjonen slik at opplysningene om tidligere adresser kan brukes for formål nr 1 og 2 ovenfor.
Datatilsynet er av den oppfatning at opplysninger om tidligere adresser ikke kan brukes som ledd i en kredittvurdering, herunder risikoklassifisering. Dette gjelder både antall ganger en person har flyttet, samt selve adressen knyttet til geografi. Datatilsynet mener at det samme må gjelde navneendringer.
Datatilsynet viser til personopplysningsloven § 11 bokstav d og e. Tilsynet mener at tidligere adresser ikke er relevant i forhold til en vurdering av en persons betalingsevne eller vilje.
Videre mener tilsynet at en opplysning om tidligere adresser hører fortiden til og dermed ikke lenger kan betraktes som saklig, jf personopplysningsloven § 11 bokstav b. Tidligere adresser kan heller ikke sies å være en oppdatert opplysning etter § 11 bokstav e. Det vises til PVN-2004-05 pkt 6.2, der Personvernnemnda slutter seg til at fordringer som er gjort opp ikke kan benyttes i kredittvurderingen fordi det blant annet vil stride mot personopplysningsloven § 11 bokstav e.
Datatilsynet viser til brev fra NKF av 28.9.2007, hvor det fremgår at bransjen er av den oppfatning at en person som nettopp har flyttet gjerne blir gjenstand for hyppige kredittvurderinger. Datatilsynet viser i den forbindelse til en avgjørelse fra Justisdepartementet, referert i ”Personvern i praksis” (Lee Bygrave) side 105, sak 29. Justisdepartementet sluttet seg til Datatilsynets vurdering om at antall tidligere forespørsler om en kredittvurdering ikke var å anse som en opplysning som nødvendigvis belyser kredittverdighet. Departementet uttalte at selv ”om den anførte statistiske undersøkelse viser at hyppige søknader om lån eller kreditt kan være tegn på svak betalingsevne, finner departementet det lite betryggende å benytte en slik statistisk tendens som et kriterium i en konkret vurdering av enkelttilfeller”.
Det følger av konsesjonens pkt 1.6 at opplysninger om tidligere forespørsler om kredittopplysninger ikke kan benyttes i kredittopplysningsøyemed.
Datatilsynet mener at det har hjemmel til å sette en begrensning for bruk av tidligere adresser, slik at opplysningen kan tillates registrert for spesifikke formål, samtidig som det settes forbud mot bruk som ledd i risikoklassifisering, jf personopplysningsforskriftens § 4-5, jf personopplysningsloven § 35.
Det danske datatilsynet tillater ikke at kredittvurdering eller ”score” utelukkende bygger på opplysninger om postnummer, dato for seneste adresseendring og fødselsår, jf ”Delphi scoring-saken”.
6 Personvernnemndas merknader
Problemstillingen for Personvernnemnda er om standardkonsesjonen for kredittopplysnings-foretak tillater at Lindorff lagrer en database over tidligere adresser på den registrerte og bruker den som en variabel i kredittvurderingen. Nemnda vil tolke den gjeldende konsesjonen, jf også personopplysningsloven §§ 11 og 28. Nemnda har merket seg at partene er enige om at adressehistorikk kan lagres og brukes til oppslag og ajourføring. Datatilsynet opplyser at de på eget initiativ skal endre konsesjonen slik at bruk til formål nummer 1 og 2 (oppslag og ajourføring) blir tillatt, men ikke formål 3 (variabel i kredittvurderingen). Dermed kan klager eventuelt klage inn den nye konsesjonen, uansett hva Personvernnemnda kommer til i nærværende sak. I vår sak skal nemnda imidlertid holde seg til gjeldende konsesjon og spørsmålet blir derfor hvorvidt Lindorff etter denne konsesjonen kan lagre og bruke adressehistorikk som en variabel i kredittvurdering.
Personvernnemnda har forstått det slik at kredittopplysningsforetakene har tatt i bruk en type opplysning – adressehistorikk for de siste fire år – som variabel i kredittvurderingen. Lindorff mener at denne variabelen er nyttig og relevant i kredittvurdering. Hvorvidt det faktum at en person har flyttet flere ganger korrelerer med lav betalingsevne og/eller betalingsvilje, er et empirisk spørsmål, og som sådan ikke gjenstand for vurdering. Det er imidlertid ikke sikkert at kredittopplysningskonsesjonen tillater at denne opplysningstypen brukes på en slik måte.
Datatilsynet har regulert kredittopplysningsvirksomhet i en standardkonsesjon av 1.3.2006. Konsesjonen regulerer hvilke opplysninger registeret kan inneholde, hvilke kilder opplysningene i registeret kan hentes fra, informasjon til den registrerte og sletting. Datatilsynet mener at konsesjonen er til hinder for at adressehistorikk kan brukes som en variabel i kredittvurdering. Tilsynet mener at det bare er aktuelle kontaktopplysninger som kan registreres.
Personvernnemnda har vurdert standardkonsesjonen. Konsesjonen har en fireårsfrist for sletting av opplysninger, jf konsesjonens pkt 4.1. Det betyr at det eventuelt kun er tale om å lagre og behandle den registrertes adresser fra de fire siste år. Etter hva nemnda kan se, legger konsesjonen begrensninger på bruken av enkelte opplysningstyper. For eksempel kan ikke inkassoopplysninger som stammer fra en omtvistet fordring brukes i kredittopplysningsøyemed, jf konsesjonens pkt 1.3.1. Ut over dette regulerer ikke konsesjonen selve bruken av personopplysninger. Personopplysningsloven § 11 bokstavene b, c og e, jf § 28, blir derfor avgjørende. Etter disse bestemmelsene kan innsamlede personopplysninger bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, og personopplysningene kan ikke senere brukes til formål som er uforenelig med det opprinnelige formålet med innsamlingen uten at den registrerte samtykker. Videre skal ikke personopplysningene lagres lenger enn det som er nødvendig ut fra formålet med behandlingen og de registrerte opplysningene skal være korrekte og oppdaterte.
I standardkonsesjonen er adresse ikke nevnt eksplisitt. Adresse faller imidlertid naturlig inn under det konsesjonen kaller ”kontaktopplysninger”. Opplysningstypen ”kontaktopplysninger” er klassifisert som ”grunndata”, jf konsesjonens pkt 1.1.1. Spørsmålet er om det ligger noen begrensning – rettslig eller faktisk – i at adresse faller inn under kontaktopplysning og grunndata. Etter nemndas mening kan dette bety følgende:
Registrering. At bare nåværende (eller sist kjente) adresse kan være oppført i registeret fordi det er den vedkommende kan kontaktes på. Med andre ord må eldre adresser slettes fordi de ikke kan brukes til å oppnå kontakt.
Bruk. At adressen bare kan brukes til kontakt. Det vil si at adressen, nåværende eller historisk, ikke kan brukes som en variabel i kredittvurdering.
Det kan hevdes at dersom man ønsket å begrense bruken av opplysningstypen adresse til kun kontaktformål, ikke som en variabel i kredittvurdering, burde dette ha vært sagt tydeligere i konsesjonen. Imidlertid er nemnda av den oppfatning at når adresse er klassifisert under ”kontaktopplysninger”, så må dette bety at det bare er nåværende adresse som er en korrekt og relevant opplysning. Etter nemndas syn er det en rimelig tolkning av konsesjonen at adresse bare skal brukes til kontakt, ikke som variabel i kredittvurdering. Konsekvensen av dette er at adresseopplysninger skal oppdateres med en gang de endres, jf personopplysningsloven §§ 11 bokstav e og 28. Som kilde kan kredittopplysningsforetaket bruke Folkeregisteret, jf konsesjonens pkt 1.2 nr 6. Personopplysninger skal være korrekte og oppdaterte, og når formålet for lagring av adresse er ”kontakt”, finnes det etter nemndas syn ingen hjemmel, verken i nåværende konsesjon eller loven, for å lagre gamle adresser. Nemnda mener derfor at Lindorff lagrer adressehistorikk i strid med den gjeldende konsesjonens ordlyd.
Et mindretall(Siv B Pedersen, Tom Bolstad og Jostein Halgunset) mener at man ikke kan utlede fra konsesjonens ordlyd at også bruken av adresse er begrenset til kontakt. Mindretallet er enig med flertallet i at bare nåværende eller sist kjente adresse kan være oppført i registeret. Imidlertid mener mindretallet at den aktuelle adressen kan brukes som variabel i kredittvurdering.
7 Vedtak
Klagen tas ikke til følge. Datatilsynets vedtak opprettholdes.
Oslo, 17. desember 2008
Jon Bing
Leder