Journalnummer: 2005-631-0143
Datatilsynet anmodede i brev af 4. maj 2005 Experian A/S (RKI) om en redegørelse for produkterne Kreditvagten og Aktiv Kreditsikring.
Ved brev af 10. maj 2005 er Experian A/S fremkommet med en redegørelse og i forlængelse heraf blev der afholdt et møde i Datatilsynet den 23. maj 2005. Ved brev af 24. maj 2005 har Experian A/S’ advokat fremsendt Finanstilsynets udtalelser af henholdsvis 3. juni 1998 og 25. juni 2004 til Datatilsynet.
Datatilsynet har endvidere afholdt et møde med Finanstilsynet den 8. juni 2005 vedrørende forholdet til lov om finansiel virksomhed. Ved e-post af 29. juni 2005 har Finanstilsynet fremsendt et notat af 21. juni 2005 til brug for sagen.
I forlængelse af mødet i Datatilsynet den 23. maj 2005 er Experian A/S ved brev af 5. august 2005 fremkommet med supplerende oplysninger til sagen.
Produktet Kreditvagten er udviklet af RKI i 1996. Registertilsynet blev opmærksom på produktet under en inspektion hos RKI og foretog en nærmere vurdering af det. Sagen, som er omtalt i Registertilsynets årsberetning for 1996 side 100-101, blev behandlet to gange i Registerrådet. Efter at RKI i forbindelse med sagens behandling havde ændret produktet, havde tilsynet ingen indvendinger mod ordningen.
Produktet Aktiv Kreditsikring blev efterfølgende udviklet af RKI og forelagt Registertilsynet i 1999. Sagen er omtalt i Registertilsynets årsberetning for 1999 side 63-66.
Aktiv Kreditsikring fungerer på den måde, at Experian A/S har oprettet og driver et edb-servicebureau, hvor abonnenternes kunderegistre bliver lagt ind. Denne del af Experian A/S’ virksomhed betegnes RKI Servicebureau A/S. Abonnenterne til- og framelder selv de personer, som abonnenten løbende ønsker at få kreditoplysninger på.
Registertilsynet fandt efter behandling i Registerrådet, at produktet kunne anvendes i forhold til personer eller virksomheder, som var egentlige kunder hos RKI’s abonnent, og hvor der var etableret et kreditforhold mellem den enkelte kunde og abonnenten. Registreringen måtte endvidere accepteres, når der var udstedt et betalingskort til kunden. Derimod måtte RKI’s abonnenter ikke bruge produktet til at indhente og registrere oplysninger om såkaldte kundeemner og kunder, som der ikke var etableret et egentligt kreditforhold til.
Experian A/S kan som kreditoplysningsbureau få oplysninger fra CPR-registret om personer, som bureauet forud har identificeret enkeltvis. Experian A/S har oplyst, at virksomheden via CPR-registret får verificeret navne- og adresseoplysninger for alle registrerede betalingsanmærkninger, og samtidig får tilmeldt de verificerede oplysninger i en abonnementsordning hos CPR, således at oplysningerne, så længe de er registreret hos Experian A/S, automatisk opdateres i forbindelse med flytning, ændring af navn, udvandring eller sletning ved dødsfald.
En forudsætning for at kunne give korrekte oplysninger tilbage til de abonnenter, der har tilmeldt oplysninger om kunder i Aktiv Kreditsikring, er ifølge Experian A/S, at abonnenternes oplysninger tillige er verificerede. Derfor drøftede Experian A/S dette ønske med CPR kontoret, hvorefter CPR kontoret godkendte, at Experian Servicebureau A/S på de enkelte abonnenters vegne ligeledes fik mulighed for at kunne verificere og få sat verificerede oplysninger i abonnement. Denne løsning er nu fuldt ud implementeret, hvilket betyder, at abonnenterne ikke kan tilmelde oplysninger om kunder til Aktiv Kreditsikring, hvis oplysningerne ikke kan verificeres af CPR.
I takt med udviklingen af Aktiv Kreditsikring er Kreditvagten på vej til at blive udfaset, således at den fremtidige løsning udelukkende baserer sig på en elektronisk kreditvagt og Aktiv Kreditsikring, hvor abonnenterne selv foretager tilmelding og framelding af oplysninger, og hvor alle tilmeldte oplysninger om kunder er verificerede.
Det er desuden oplyst, at det altid har været et krav fra Experian A/S’ side, at selskabets kunder (abonnenterne) – herunder de kunder, der benytter Aktiv Kreditsikring og Kreditvagten – efterlever persondatalovens krav. Dette indebærer bl.a., at kunderne i forbindelse med opslag i CPR-registret, som Experian A/S forestår på kundernes vegne, skal sørge for at give meddelelse i henhold til persondatalovens § 29. For at undgå enhver tvivl om, hvem der bærer ansvaret for denne forpligtelse, har Experian A/S besluttet at uddybe selskabets standardkontrakter, således at en henvisning til informationspligten vil blive indarbejdet, og således at det vil fremgå, at iagttagelsen heraf er kundens ansvar. Arbejdet med at omformulere kontrakterne er igangsat, men endnu ikke tilendebragt.
Datatilsynet skal – efter sagen er blevet behandlet på et møde i Datarådet – udtale følgende:
1. På baggrund af Experian A/S’ beskrivelse af produkterne Kreditvagten og Aktiv Kreditsikring er det Datatilsynets opfattelse, at Experian A/S ikke råder over de indlagte oplysninger i datahotellet på en sådan selvstændig måde, at virksomheden kan betragtes som dataansvarlig for oplysningerne. Datatilsynet har i den forbindelse lagt vægt på, at Experian A/S alene opbevarer oplysningerne på vegne af de enkelte virksomheder (abonnenter), som fortsat har den fulde råderet over de indlagte oplysninger, hvilket bl.a. kommer til udtryk ved, at de enkelte abonnenter selv fra- og tilmelder deres oplysninger.
På den baggrund er det Datatilsynets opfattelse, at abonnenternes indlæggelse af oplysninger i datahotellet er en overladelse i forhold til persondataloven, og at dataansvaret for oplysningerne således er hos hver enkelt abonnent i forhold til dennes kunder.
Efter Datatilsynets opfattelse giver det ikke anledning til en ændret vurdering af dette spørgsmål i forhold til persondataloven, at der er tale om en videregivelse i henhold til lov om finansiel virksomhed.
2. Ved anvendelse af Kreditvagten og Aktiv Kreditsikring sker der behandlinger af oplysninger om personer og virksomheder i form af overladelse, samkøring, løbende behandlinger i form daglige ajourføringer ved opslag i ”RKI-systemet” samt videregivelse af oplysning om ”RKI status”.
Experian A/S’ behandlinger i form af videregivelse af eventuelle betalingsanmærkninger sker inden for rammerne af persondatalovens § 23, hvorimod abonnenternes behandlinger skal vurderes efter behandlingsreglerne i persondatalovens kapitel 4.
En oplysning om, at en person er registreret i kreditoplysningsbureauet Experian A/S, er efter Datatilsynets opfattelse en almindelig, ikke-følsom oplysning omfattet af persondatalovens § 6.
Efter § 6, stk. 1, nr. 7, må behandling finde sted, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.
En betingelse for at kunne anvende bestemmelsen er, at den dataansvarlige har foretaget en vurdering af, hvorvidt hensynet til den registreredes interesser overstiger hensynet til de interesser, der ønskes forfulgt med behandlingen, og at denne vurdering falder ud til fordel for de interesser, der ønskes forfulgt. Den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, vil også kunne forfølge andre end deres egne interesser. En forudsætning herfor er dog, at der er tale om andres berettigede interesser.
Vurderingen af behandlingens nødvendighed afhænger af, hvilken form for behandling, der er tale om. Det vil således skulle vurderes separat, om det er nødvendigt, at oplysninger indsamles, registreres, videregives, m.v. Der vil endvidere skulle henses til, hvilken type oplysninger der er tale om.
Spørgsmålet om, hvornår en behandling - her i form af indsamling - er nødvendig for, at abonnenterne kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, beror på en konkret vurdering i det enkelte tilfælde.
Experian A/S har i forbindelse med behandling af denne sag oplyst, at såvel Kreditvagten som Aktiv Kreditsikring er skabt for at tilgodese kundernes ønske om en proaktiv kreditpolitik med henblik på at minimere tab på dårlige betalere, og at det er virksomhedens vurdering, at abonnenterne har et behov dels for løbende at indhente kreditoplysninger/soliditetsoplysninger på eksisterende kunder, som de har et kreditforhold til, dels at indhente oplysninger på nye kunder, som de ønsker at etablere et kreditforhold til.
På den baggrund kan det efter Datatilsynets opfattelse ikke anses som stridende mod § 6, stk. 1, nr. 7, at den enkelte abonnent på Kreditvagten og Aktiv Kreditsikring undersøger, om deres kunder er blevet registreret i Experian A/S, forudsat at der er tale om kreditkunder eller kunder, hvortil der er udstedt et betalingskort.
Datatilsynets har herved lagt vægt på, at sådanne oplysninger må anses for nødvendige i forbindelse med en forsvarlig og rationel administration og for at beskytte sig mod tab på kunder, der er eller bliver registreret hos Experian A/S.
Det er endvidere Datatilsynets opfattelse, at abonnenternes behandlinger ved brug af produkterne Kreditvagten og Aktiv Kreditsikring i form af daglige ajourføringer såvel som de omhandlede samkøringer ligeledes ikke kan anse for at være i strid med § 6, stk. 1, nr. 7. Datatilsynet har herved bl.a. lagt vægt på, at de tilsvarende behandlinger af Registertilsynet er fundet i overensstemmelse med registerlovgivningen.
Datatilsynet må dog samtidig understrege, at en abonnent kun er berettiget til at indsamle oplysninger om ”RKI registrering” i forbindelse med brug af Kreditvagten eller Aktiv Kreditsikring, når der er tale om egentlige kunder hos abonnenten, og hvor der er etableret et kreditforhold mellem den enkelte kunde og abonnenten. Indsamlingen må endvidere ske, når der er udstedt et betalingskort til kunden.
Det er desuden en klar forudsætning for Datatilsynets vurdering af de to produkters forenelighed med persondataloven, at abonnenternes kunder, om hvem der overføres oplysninger med henblik på overvågning ved brug af produkterne, forinden modtager klar og udtrykkelig information herom. Datatilsynet kan herved også henvise til reglerne om god databehandlingsskik i persondatalovens § 5, stk. 1.
Datatilsynet skal i forlængelse heraf anmode Experian A/S om i sine vilkår for anvendelse af produkterne Kreditvagten og Aktiv Kreditsikring at gøre abonnenterne opmærksomme på, at det en forpligtelse i henhold til persondataloven, at abonnenten giver hver enkelt kunde (debitor) forudgående klar og udtrykkelig information om, at abonnenten anvender Experian A/S’ produkter Kreditvagten og/eller Aktiv Kreditsikring, og at virksomheden herved overvåger, om den pågældende kunde bliver registreret i Experian A/S med en betalingsanmærkning.
Datatilsynet skal endvidere anmode Experian A/S om i forlængelse af denne sag at gøre sine abonnenter på produkterne opmærksomme på, at de snarest må give de kunder, der ikke tidligere måtte være orienteret herom, klar og udtrykkelig information om brugen af Kreditvagten og/eller Aktiv Kreditsikring.
3. Med hensyn til forholdet mellem RKI Kredit Information A/S’ og RKI Servicebureau A/S er det oplyst, at selv om de to dele af virksomheden optræder under forskellige navne, er de begge del af samme juridiske enhed, nemlig Experian A/S Danmark. Vedrørende RKI Servicebureau A/S’ fysiske indretning har Experian A/S oplyst, at begge virksomheder har samme adresse. De ansatte er ansat i selve Experian A/S, og der er tale om cirka 10 ansatte, der både har adgang til ”RKI-systemet” og datahotellet. Adskillelsen mellem de forskellige enheder sikres bl.a. ved ansættelseskontrakter. Ud over en systemmæssig adskillelse er der tillige en fysisk adskillelse. Produktion og IT-støtte (PIT), som er for både ”RKI-systemet” og servicebureauet, er placeret i en bygning for sig selv med adgangskoder. Der findes kontrol af de PIT-ansatte i driftssituationen.
Med hensyn til Experian A/S’ sikkerhedspolitik har virksomheden oplyst, at den ikke har en skriftligt formuleret dansk sikkerhedspolitik. Selskabets moderselskab har imidlertid udarbejdet en sikkerhedsforskrift, der er dækkende for alle koncernselskaber, herunder det danske. Denne forskrift er i øjeblikket ved at blive udmøntet i en egentlig dansk sikkerhedspolitik. Forskriften indeholder dels organisatoriske tiltag, der skal implementeres, dels egentlige forskrifter for medarbejdernes behandling af personoplysninger og rapporteringsregler for disse samt regler for godkendelse af og kontrol med sikkerhedsniveauet.
Som led i implementeringen er der etableret egentlige introduktions- og uddannelsesforløb for samtlige de medarbejdere, der behandler personoplysninger, ligesom der vil blive afholdt opfølgende opdateringskurser. Experian A/S mener hermed at sikre, at medarbejderne stedse er bekendte med og efterlever gældende lovgivning.
Det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske eller organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
På den baggrund skal Datatilsynet anmode Experian A/S, såvel i forhold til kreditoplysningsbureauet RKI Kredit Information A/S som servicebureauet RKI Servicebureau A/S, om i medfør af persondatalovens § 41, stk. 3, at udfærdige interne skriftlige sikkerhedsregler, der som minimum lever op til det krav om uddybende sikkerhedsregler, der gælder for offentlige myndigheder efter § 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
Herudover er det Datatilsynets opfattelse, at der må sikres en edb-teknisk adskillelse mellem kreditoplysningsbureauets oplysninger og de oplysninger, der indgår i abonnenternes datahoteller i servicebureauet.
4. Datatilsynets skal anmode Experian A/S om at oplyse, hvilke foranstaltninger selskabet har iværksat i anledning af tilsynets udtalelse.
Kopi af dette brev er sendt til Finanstilsynet til orientering.
Datatilsynet forventer at offentliggøre dette brev på sin hjemmeside.