Journalnummer: 2019-431-0034
Resume
Datatilsynet har truffet afgørelse i sag, hvor tilsynet af egen drift i oktober 2019 valgte at undersøge Nordea Danmarks (Nordea) videregivelse af personoplysninger om bankens kunder i forbindelse med salg af fordringer til det luxembourgske selskab Ultimo Portfolio S.A (UPI) i oktober 2018. Datatilsynet blev opmærksom på forholdet efter behandling af en konkret klagesag.
Under sagen kom det frem, at Nordea bl.a. havde videregivet oplysninger om bankens kunders personnumre i forbindelse med salget.
Datatilsynet fandt efter en gennemgang af sagen, hvor tilsynet bl.a. har indhentet to udtalelser fra Skattestyrelsen, at Nordeas videregivelse af sine kunders personnumre er sket i overensstemmelse med lovgivningen, idet videregivelsen af oplysningerne var nødvendig af hensyn til UPI’s – som erhvervende kreditor af fordringerne – indberetningspligt efter skatteindberetningslovens regler.
Datatilsynet fandt endvidere, at Nordeas øvrige behandling af personoplysninger er sket i overensstemmelse med reglerne, da Nordea i medfør af skatteindberetningslovens regler har været retligt forpligtet til at videregive identifikationsoplysninger om deres kunder i forbindelse med salget af fordringer.
Afgørelsen
Datatilsynet vender hermed tilbage til sagen om Nordea Danmarks (Nordea) videregivelse af personoplysninger om bankens kunder i forbindelse med bankens salg af fordringer til det luxembourgske selskab Ultimo Portfolio S.A (UPI) i oktober 2018.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at Nordeas videregivelse af sine kunders personnumre er sket i overensstemmelse med databeskyttelseslovens[1] § 11, stk. 2, nr. 1.
Datatilsynet finder endvidere, at Nordeas øvrige behandling af personoplysninger er sket i overensstemmelse med reglerne i databeskyttelsesforordningen[2], jf. forordningens artikel 6, stk. 1.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Datatilsynet er i forbindelse med behandlingen af en konkret klagesag blevet opmærksom på, at Nordea i oktober 2018 solgte en række fordringer til UPI. Det fremgår, at Nordea er en dansk filial af den finske bank Nordea Bank Abp.
Det fremgår endvidere, at det er aftalt mellem Nordea og UPI, at UPI benytter Nordic Debt Collection A/S som inkassovirksomhed i Danmark, således at Nordic Debt Collection A/S både inddriver og administrerer de solgte fordringer på vegne af UPI. Nordea er af Nordic Debt Collection A/S blevet oplyst, at UPI og Nordic Debt Collection A/S har indgået en samarbejdsaftale og en databehandleraftale.
Datatilsynet har ved brev af 3. oktober 2019 stillet Nordea en række spørgsmål med henblik på Datatilsynets behandling af sagen. Nordea har den 31. oktober 2019 indsendt sine bemærkninger til tilsynet, som Datatilsynet har modtaget den 7. november 2019.
Nordea er den 11. februar 2020 fremkommet med en supplerende udtalelse til Datatilsynet.
2.1. Nordeas bemærkninger
Ad udtalelse af 7. november 2019
Nordea har overordnet anført, at videregivelsen af personoplysninger om bankens kunder til UPI og Nordic Debt Collection A/S er sket med henblik på at kunne dokumentere Nordeas fordringer, hvorfor det var nødvendigt at videregive personoplysninger som led i salgsprocessen. Videregivelsen af personoplysninger var nødvendig for, at køber kunne forfølge en berettiget interesse, og hensynet til de registrerede oversteg ikke denne interesse.
Videregivelsen af oplysninger om bankens kunder er foretaget med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra b og litra f, med det formål at kunne dokumentere Nordeas fordringer og gøre Nordic Debt Collection A/S i stand til at foretage inddrivelse af kundernes gæld på vegne af UPI. De specifikke personoplysninger om Nordeas fordringer mod de omfattede kunder har været nødvendige for at foretage almindelig inkassobehandling og for at dokumentere krav i forbindelse med eventuel tvangsfuldbyrdelse.
Vedrørende videregivelse af kundernes personnumre har Nordea indledningsvis anført, at oplysningerne er blevet videregivet med hjemmel i databeskyttelseslovens § 11, stk. 2, nr. 3. Nordea har i den forbindelse henvist til de almindelige bemærkninger til forslag til lov om behandling af personoplysninger til den ophævede persondatalov fra 1999, hvoraf følgende fremgår:
” […], videregivelse af personnummer ligesom efter den gældende lov om private registre bør kunne finde sted uden samtykke, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede, eller videregivelsen kræves af en offentlig myndighed.”
Nordea har endvidere henvist til flertallet i betænkning nr. 1345 fra 1997 om behandling af personoplysninger, hvoraf det fremgår, at det generelt bør være tilladt for private virksomheder m.v. at behandle personnumre, hvis det er sagligt begrundet og af betydning for en entydig identifikation. Af betænkningen fremgår yderligere:
”Som andre eksempler kan nævnes erhvervsdrivende, der får en fordring mod en person overdraget, advarselsregistre og kreditoplysningsbureauer, idet det i sådanne tilfælde må anses for vigtigt at have en entydig identifikation af den pågældende skyldner m.v., men hvor indhentelse af samtykke til registrering af personnummer i praksis vil være vanskeligt og i mange tilfælde umuligt.”
Nordea har anført, at videregivelse af et personnummers første seks cifre ikke alene vil kunne sikre en entydig identifikation af personen, hvorfor en sådan videregivelse ikke vil være tilstrækkelig i forbindelse med inddrivelse af en konkret fordring og eventuel efterfølgende domstolsbehandling.
Ad udtalelse af 11. februar 2020
Nordea har ved supplerende udtalelse af 11. februar 2020 til Datatilsynet overordnet anført, at skatteindberetningslovens §§ 13, stk. 2, og 52, stk. 1, hjemler en ret for Nordea til at videregive oplysninger om personnumre.
Nordea har i den forbindelse henvist til, at den tidligere skattekontrollov indeholdt en lang række indberetningsregler om, at den, der skal indberettes om, skal give den indberetningspligtige oplysninger til identifikation af den pågældende. Den nuværende skattekontrollov trådte i kraft den 1. januar 2019 og en række regler fra den tidligere skattekontrollov blev videreført i den nye skatteindberetningslov, som også trådte i kraft den 1. januar 2019.
Nordea har anført, at skatteindberetningsloven er bygget op på samme måde, som den tidligere skattekontrollov, og at det af lovens § 13, stk. 2, følger, at pligten til at indberette til told– og skatteforvaltningen indebærer, at den indberetningspligtige skal give oplysninger til identifikation af hver enkelt låntager og oplysninger om konto– og låneforholdet.
Nordea har endvidere anført, at det af skatteindberetningslovens § 52, stk. 1, fremgår, at den, der skal indberettes om efter loven eller regler udstedt i medfør heraf, skal oplyse den indberetningspligtige om sine identifikationsoplysninger herunder sit cpr-nummer.
På den baggrund har Nordea gjort gældende, at det længe har været gældende ret, at indberetning af en persons cpr-nummer er udslagsgivende for en entydig identifikation, og at Nordea, i kraft af skatteindberetningslovens regler, er retligt forpligtet til at videregive oplysninger om deres kunders personnumre.
Nordea har oplyst, at udgangspunktet i dansk ret er, at et kreditorskifte ikke kræver debitors samtykke, da det ikke gør nogen forskel for debitor, om vedkommende skal opfylde en forpligtelse over for den ene eller den anden kreditor. Ved salg af misligholdte fordringer aftaler Nordea med køber, at køber indtræder på samme vilkår, som da Nordea var kreditor. Dette betyder, at køber får overdraget alle låne– og kreditorrettigheder, og at indberetningspligten som følge heraf overtages af den, der får låne– og kreditorrettigheder vedrørende de misligholdte fordringer.
På den baggrund har Nordea anført, at det er nødvendigt, at køber modtager oplysning om låntagers cpr-nummer, idet køberen ellers ikke har mulighed for at indberette i overensstemmelse med skatteindberetningsreglerne.
2.2. Udtalelse fra Skattestyrelsen
Datatilsynet har i forbindelse med sagens behandling ved brev af 20. august 2020 indhentet en udtalelse fra Skattestyrelsen.
Ved brev af 26. august 2020 har Skattestyrelsen afgivet en udtalelse i sagen, hvor bl.a. følgende fremgår:
”Indberetningspligten efter SIL § 13 [skatteindberetningsloven]
Skattestyrelsen bemærker, at det fremgår af SIL § 13, at den, der som led i sin virksomhed yder eller formidler lån, årligt skal indberette en række oplysninger om låneforholdet, herunder om renterne ved lånet, gældens størrelse etc. til Skatteforvaltningen.
Den indberetningspligtige skal indberette om identifikationen af hver enkelt låntager og oplysninger om konto- og låneforholdet. For det enkelte låneforhold og de enkelte låntagere skal bl.a. oplyses om tilskrevne eller forfaldne renter, ske markering af renter i låneforhold, hvor der er ubetalte forfaldne renter vedrørende det tidligere kalenderår, samt om der sket eftergivelse af gæld mv. Se SIL § 13.
Identifikationsoplysninger om låntager
Det må antages, at en kreditor ud fra det civilretlige låneforhold mellem parterne selv har en interesse i at sikre sig korrekte og fuldt tilstrækkelige identifikationsoplysninger om låntageren, og at kreditor ikke yder et lån eller ønsker at erhverve en fordring/overtage lånet, før der er tilstrækkelige oplysninger om debitor og deraf følgende sikkerhed for, at lånet, renter, gebyrer mv. kan betales af og inddrives hos denne.
Ud over kreditors egen interesse i at være i besiddelse af identifikationsoplysninger om låntageren, stiller SIL (skatteindberetningsloven) § 52 krav om, at den, der indberettes om (låntageren), skal oplyse den indberetningspligtige om sine identifikationsoplysninger, herunder sit cpr-nummer mv.
Det fremgår videre af skatteindberetningsbekendtgørelsen, jf. bekendtgørelse nr. 888 af 1. juni 2020 om skatteindberetning m.v. (SIB), at den, der skal indberettes om efter SIL § 13 mv., til brug for indberetningen skal oplyse den indberetningspligtige om navn, adresse - ved udenlandsk adresse tillige hjemland - og cpr-nummer, eller hvis vedkommende ikke har cpr-nummer, skal der oplyses om cvr-nummer, SE-nummer, identifikationsnummer efter reglerne i den pågældendes bopælsstat, fødselsdato, fødselssted etc. Ved afgivelse af identifikationsoplysninger skal der forevises fornøden legitimation.
Den indberetningspligtige skal sikre sig disse oplysninger om låntageren, som der skal indberettes om, og skal sikre sig korrektheden heraf ved at kræve fremvisning af fornøden legitimation.
Oprettelse og overtagelse af lån
Det er videre i SIL § 52, stk. 2, fastsat, at afgiver den, hvorom der skal indberettes, ikke identifikationsoplysninger, må et lån omfattet af SIL §§ 13 eller 15 ikke etableres eller overtages. Kreditor må således ikke oprette et lån, før de krævede identifikationsoplysninger er indhentet.
…
En kreditor, der erhverver en fordring, er i lighed med den oprindelige långiver forpligtet til at indberette om lånet efter SIL § 13, idet indberetningsbestemmelsen også omfatter de tilfælde, hvor der er sket erhvervelse af kreditorrettighederne. Den nye kreditor skal ligesom en tidligere kreditor indberette om lånet, og i den forbindelse skal der også indberettes om låntagerens identitet, herunder dennes personnummer.
Skatteindberetningslovens muligheder for pålæg og sanktioner
Når en virksomhed i strid med SIL § 52 enten har etableret eller overtaget et lån, kan Skatteforvaltningen efter SIL § 57, stk. 3, pålægge den indberetningspligtige at indhente de manglende identifikationsoplysninger og pålægge tvangsbøder, hvis denne ikke indhenter de påkrævede identifikationsoplysninger.”
[…]
Datatilsynet har den 8. marts 2021 anmodet Skattestyrelsen om en supplerende udtalelse. Det fremgår heraf bl.a.:
”Fsva. Datatilsynets spørgsmål 3, om der således kan være nogle tredjeparter – som erhverver en fordring – der ikke vil være omfattet af skatteindberetningslovens § 13, skal Skattestyrelsen oplyse, at det er en forudsætning for indberetningspligt, at der er indgået aftale om lån mod forrentning, og hvor kreditgivning og erhvervelse af kreditorrettigheder også falder ind under bestemmelsen. Udlånet skal imidlertid være som led i udlånerens eller formidlerens virksomhed, dvs. som led i kreditors virksomhedsudøvelse. Indberetningsbestemmelsen om lånet gælder, uanset om virksomheden udøves af en fysisk eller juridisk person.
Det følger heraf, at såfremt der er tale om en persons udlån eller erhvervelse af en fordring, uden at lånet har tilknytning til personens virksomhedsudøvelse, vil fordringshaver ikke være omfattet af indberetningspligten efter skatteindberetningslovens § 13. En persons udlån til fx familiemedlemmer etc. vil således ikke være omfattet af skatteindberetningslovens § 13. Anvendelsesområdet for indberetningsbestemmelsen er derimod banker, sparekasser, andelskasser, pensionskasser, forsikringsselskaber, vekselerere, bankierer og advokater etc., der som led i deres virksomhed yder eller formidler udlån mod forrentning.”
[…]
Kopi af Skattestyrelsens udtalelser vedlægges denne afgørelse.
3. Begrundelse for Datatilsynets afgørelse
3.1. Datatilsynet lægger til grund, at Nordea ved overdragelsen af fordringerne til UPI videregav personoplysninger om sine kunder omfattet af databeskyttelsesforordningens artikel 6, og oplysninger om kundernes personnumre omfattet af databeskyttelseslovens § 11.
Datatilsynet finder, at Nordeas behandling af personoplysninger omfattet af databeskyttelsesforordningens artikel 6 skal vurderes efter forordningens artikel 6, stk. 1, litra c.
For at en behandling af personoplysninger kan anses for at være hjemlet i databeskyttelsesforordningens artikel 6, stk. 1, litra c, skal behandlingen være nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.
Af skatteindberetningslovens § 13, stk. 2[3], følger det, at den indberetning, der skal ske til told- og skatteforvaltningen ved ydelse eller formidling af et lån, skal indeholde oplysninger til identifikation af hver enkelt låntager og oplysninger om konto- og låneforholdet.
Det følger endvidere af skatteindberetningslovens § 52, stk. 1, at den, der skal indberettes om efter denne lov eller regler udstedt i medfør heraf, skal oplyse den indberetningspligtige om sine identifikationsoplysninger, herunder sit cpr-nummer.
Datatilsynet finder, at Nordea ved salg af fordringerne til UPI har videregivet personoplysninger om sine kunder, som har været nødvendige for at overholde en retlig forpligtelse i form af skatteindberetningslovens regler.
Datatilsynet finder på den baggrund, at Nordea videregivelse af sine kunders personoplysninger, er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra c, jf. skatteindberetningslovens §§ 13, stk. 2 og 52, stk. 1.
3.2. For så vidt angår Nordeas behandling af debitorernes personnumre følger det af skatteinddrivelsesloven og de tidligere tilsvarende gældende regler, at Nordea som kreditor har haft pligt til at foretage indberetning vedrørende låneforholdene til Skatteforvaltningen, og at Nordea derfor som kreditor kunne behandle oplysninger om debitorenes personnumre på grundlag af databeskyttelseslovens § 11, stk. 2, nr. 1.
På grundlag af sagens oplysninger har Datatilsynet lagt til grund, at UPI i forbindelse med kreditorskiftet indtrådte som kreditor på tilsvarende vilkår som Nordea, idet Nordea overdrog alle låne– og kreditorrettigheder, således at indberetningspligten som følge heraf blev overtaget af UPI vedrørende de misligholdte fordringer.
Det fremgår af Skattestyrelsens udtalelse i sagen, at en kreditor, der erhverver en fordring, i lighed med den oprindelige långiver, er forpligtet til at indberette om lånet efter skatteinddrivelseslovens § 13, idet indberetningsbestemmelsen også omfatter de tilfælde, hvor der er sket erhvervelse af kreditorrettighederne. Den nye kreditor skal ligesom en tidligere kreditor således indberette om lånet, og i den forbindelse skal der indberettes om låntagerens identitet, herunder dennes personnummer.
På denne baggrund er det Datatilsynets opfattelse, at Nordeas videregivelse af sine kunders personnumre skal vurderes efter databeskyttelseslovens § 11, stk. 2, nr. 1, hvoraf det fremgår, at private må behandle oplysninger om personnummer, når det følger af lovgivningen.
Datatilsynet finder således, at Nordea ved salget af fordringer til UPI med hjemmel i databeskyttelseslovens § 11, stk. 2, nr. 1, kunne videregive oplysninger om bankens kunders personnumre af hensyn til den nye kreditors opfyldelse af den medfølgende indberetningspligt, jf. skatteinddrivelseslovens §§ 13, stk. 2, og 52, stk. 1.
[1] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[3] Lov nr. 1536 af 19. december 2017