Journalnummer: 2005-631-0161
På baggrund af medieomtale har Datatilsynet indledt en nærmere undersøgelse af Experian A/S’ produkt Consumer og Commercial Delphi – det såkaldte Delphi Scoring.
Ved brev af 29. juli 2005 anmodede Datatilsynet Experian A/S om en redegørelse for produktet.
Ved brev af 10. august 2005 er Experian A/S fremkommet med en redegørelse vedhæftet et eksempel på en Consumer Delphi Scoring rapport.
I forlængelse heraf blev der afholdt et afklarende møde i Datatilsynet den 18. august 2005.
Ved e-post af 19., 23. og 24. august 2005 samt ved brev af 24. august 2005 er Experian A/S og virksomhedens advokat fremkommet med supplerende oplysninger om de omhandlede produkter.
Experian A/S’ beskrivelse af produktet Delphi Scoring
Experian A/S har oplyst, at Delphi er et statistisk værktøj, som understøtter virksomhedens kreditpolitik. Delphi udtrykker sandsynligheden for, at en person eller en virksomhed bliver dårlig betaler eller får betalingsproblemer indenfor et år. Delphi er således et supplerende kreditvurderingsværktøj, som RKI’s kunder kan bruge i sammenhæng med andre former for kreditvurdering, som f.eks. at søge oplysninger om betalingsanmærkninger hos RKI.
Det statistisk beregnende pointsystem er blevet til ved at analysere eksisterende data hos RKI og KOB. Herved har Experian A/S kunnet konstruere et scorekort, der angiver den statistiske sandsynlighed for, at en given person eller virksomhed bliver registreret i RKI med en åben betalingsanmærkning (dvs. en betalingsanmærkning, der opfylder betingelserne for videregivelse i henhold til persondatalovens § 23, stk. 3) indenfor et år.
Vedrørende produktets parametre er det oplyst, at der for fysiske personer kan ind gå personens alder (fødselsår), personens postnummer, dato for sidste adresseændring, eventuelle åbne og lukkede registreringer hos RKI, herunder dato for registrering og gældens størrelse på registreringstidspunktet.
For juridiske personer i form af selskaber kan der indgå oplysninger om alder, juridisk virksomhedsform, KOB- og RKI-anmærkninger, antal ansatte, branche, fast ejendom, økonomiske nøgletal og betalingsmønster.
For enkeltmandsejede virksomheder kan der indgå alder, KOB- og RKIanmærkninger, antal ansatte, branche, betalingsmønster og RKI Consumer Delphi-score.
Experian A/S har bl.a. anført, at scoringen fremkommer på grundlag af virksomhedens statistiske erfaringsgrundlag sammenholdt med de individuelle forhold vedrørende den pågældende person. Efter virksomhedens opfattelse indgår der således både positive og negative forhold i scoringen.
Såkaldt lukkede RKI registreringer indgår i Delphi scoren som en del af en bredere vurdering, men først fire uger efter, at de er blevet registreret. Experian A/S’ kunder får ikke at vide, hvorvidt den scorede konkret har lukkede registreringer eller ej, og kan heller ikke se det ud af den viste Delphi Scoring.
Bureauet har desuden oplyst, at baggrunden for brugen af de lukkede registreringer er, at Experian A/S ud fra den statistiske analyse ved, at cirka hver 7. privatperson, der er registreret med en lukket betalingsanmærkning, vil få en såkaldt åben betalingsanmærkning inden for et år. Lukkede registreringer har således efter Experian A/S’ opfattelse en stor forudsigelsesgrad, og derfor får det indvirkning på kreditværdigheden. Det er vigtigt at holde sig for øje, at det stadig kun er ét ud af flere parametre, så man kan således godt have en lukket registrering og samtidig få en høj score og dermed god kreditværdighed.
Inden systemet kan foretage en Delphi Scoring, skal personen eller virksomheden identificeres i henholdsvis CPR eller CVR registret. Hvis personen eller virksomheden ikke kan identificeres entydigt, vil den pågældende ikke kunne scores. CPR kræver i den forbindelse, at køn oplyses, men køn indgår ifølge det oplyste ikke som et parameter ved udregningen af scoren.
Når de indtastede oplysninger er blevet verificeret, vil Delphi udregne en score, der er udtryk for sandsynligheden for, at vedkommende bliver registreret med en åben betalingsanmærkning indenfor et år. Sammen med scoren angives et antal stjerner, hvor fem stjerner er det bedste. 90 % af de scorede vil ifølge det oplyste få mellem tre til fem stjerner.
En Delphi Scoring er ifølge Experian A/S’ konceptbeskrivelse ikke beregnet til at stå alene, men skal bruges som et supplerende element i kreditvurderingen. Experian A/S går således ud fra, at kunden vil basere sin kreditvurdering på baggrund af de oplysninger, den kreditsøgende afgiver samt kreditoplysninger fra KOB og RKI (kun åbne registreringer) og herunder en eventuel Delphi Scoring.
Delphi Scoring er et øjebliksbillede, hvorfor den kun bliver genereret i det øjeblik, en kunde aktivt bestiller en Delphi Scoring. Delphi Scoringen bliver således ikke genbrugt.
Når der foretages en Delphi Scoring, vil resultatet blive logget for en periode på 6 måneder i RKI’s dokumentationsdatabase med henblik på at kunne opfylde den enkeltes ønske om indsigt i, hvilke oplysninger og bedømmelser RKI har videregivet indenfor de seneste 6 måneder.
Experian A/S har oplyst, at abonnenterne ved brug af produktet Consumer Delphi indtaster oplysninger om navn dvs. for- og efternavn, adresse, fødselsdato og køn i et skærmbillede i en web-baseret løsning. Såfremt abonnenten er i besiddelse af personnummer på deres kunde, kan dette også indtastes.
Experian A/S foretager herefter et opslag i CPR-registret med henblik på verificering af oplysningerne. Oplysningerne, der går tilbage til Experian A/S, består bl.a. af kommunekode, vejkode, reklamebeskyttelse, adresse og dato for sidste adresseændring.
Personer med beskyttede adresser verificeres tillige. Experian A/S modtager selve den beskyttede adresse i sin egenskab af kreditoplysningsbureau, men videregiver den ikke til sine abonnenter.
Verificeringen er ifølge Experian A/S nødvendig, fordi man ved udfærdigelse af kreditrapporten slår op i RKI-systemet og undersøger, om der er registreringer om pågældende. Såfremt oplysningerne ikke kan verificeres, bliver der ikke udfærdiget en Delphi Scoring. I rapporten gengives svaret fra CPR-registret for så vidt angår navn, adresse og dato for sidste adresseændring. Beskyttet navn og adresse fremgår ikke af rapporten, som i sådanne tilfælde vil indeholde en henvisning til, at den pågældende har adressebeskyttelse.
Det er endvidere oplyst, at der ikke umiddelbart er mulighed for at inddrage yderligere oplysninger i scoringen, f.eks. aktuelle indtægts- og formueforhold. Experian A/S går ud fra, at scoringen indgår som ét element blandt flere i en virksomheds kreditvurdering af en given person.
Vedrørende meddelelser til de personer, der bliver udfærdiget en kreditrapport om, har Experian A/S oplyst, at de personer, der allerede er registreret med en betalingsanmærkning i RKI, har fået meddelelse om, at disse kan indgå i bredere bedømmelser i RKI’s § 21 meddelelse. For så vidt angår de personer, der ikke er registreret med betalingsanmærkninger, får de pågældende på nuværende tidspunkt ikke meddelelse om, at Experian A/S har lavet en kreditrapport vedrørende dem.
Datatilsynet skal – efter sagen har været behandlet på et møde i Datarådet – udtale følgende:
1. Efter persondatalovens § 3, nr. 2, defineres begrebet behandling som enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for.
Mens de tidligere registerlove i det væsentlige kun omfattede oplysninger i registre, bygger persondataloven på det langt videre behandlingsbegreb. Omfattet af begrebet behandling er ikke blot som efter den tidligere registerlovgivning registrering, opbevaring, videregivelse og samkøring af oplysninger, men derimod enhver form for håndtering af oplysninger.
Af lovens § 1, stk. 3, fremgår endvidere, at loven endvidere gælder for behandling af oplysninger om virksomheder m.v., jf. stk. 1 og 2, hvis denne behandling udføres for kreditoplysningsbureauer.
I forbindelse med brug af produktet Delphi Scoring sker der såvel transmission, bearbejdning til brug for udfærdigelse af en kreditrapport og videregivelse af oplysninger om virksomheder og personer. Da dette sker som led i Experian A/S’ aktiviteter som kreditoplysningsbureau, er det Datatilsynets opfattelse, at der sker en behandling inden for rammerne af persondatalovens anvendelsesområde, jf. § 3, nr. 2, jf. § 1, stk. 1, jf. § 1, stk. 3.
2. Efter persondatalovens § 3, nr. 4, defineres den dataansvarlige som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
Efter lovens § 3, nr. 5, defineres en databehandler som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne. Det er karakteristisk for en databehandler, at denne ikke selv kan disponere over de modtagne oplysninger til egne formål eller i øvrigt uden den dataansvarliges accept.
Det er Datatilsynets opfattelse, at Experian A/S råder over oplysningerne, som behandles i forbindelse med Delphi Scoring på en sådan selvstændig måde, at Experian A/S skal betragtes som dataansvarlig for disse. Datatilsynet lægger herved navnlig vægt på, at abonnenten efter afgivelse af oplysninger ved indtastning i den web-baseret løsning reelt er afskåret fra at råde over oplysningerne, at det ved verificering af oplysningerne ved CPR-registret er RKI’s eget abonnement i sin egenskab af kreditoplysningsbureau, der anvendes, samt at scoringen indgår i forskellige kreditrapporter, som videregives af de to kreditoplysningsbureauer RKI og KOB. På denne baggrund er det desuden Datatilsynets opfattelse, at scoren ligeledes må betragtes som en kreditoplysning/bedømmelse.
3. Experian A/S har oplyst, at abonnenterne ved indtastning af oplysninger i forbindelse med bestilling af en kreditrapport kan vælge mellem at indtaste navn, adresse og fødselsdato eller alternativt personnummer, hvis abonnenten er retmæssig i besiddelse heraf.
Af persondatalovens § 23, stk. 2, 2. led, følger, at kreditoplysningsbureauers publikationer ikke må indeholder oplysning om de registreredes personnummer.
På baggrund af det til sagen oplyste kan Datatilsynet konstatere, at de Delphi score rapporter, der videregives som svar på abonnenternes søgning, og som bl.a. indeholder oplysninger om Consumer Delphi score, ikke indeholder oplysning om personnummer.
Spørgsmålet om kreditoplysningsbureauers behandling af personnummer ses i øvrigt ikke at være behandlet andre steder end i § 23, stk. 2, i lovens kapitel 6, og det er som følge heraf Datatilsynets opfattelse, at Experian A/S’ behandling af oplysninger om personnummer skal vurderes efter persondatalovens øvrige regler.
Efter lovens § 11, stk. 2, må private behandle oplysninger om personnummer, når
- det følger af lov eller bestemmelser fastsat i henhold til lov,
- den registrerede har givet sit udtrykkelige samtykke hertil, eller
- behandlingen finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om en videregivelse af oplysninger om personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheden m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede, eller videregivelsen kræves af en offentlig myndighed.
Som nævnt overfor anser Datatilsynet Experian A/S som dataansvarlig for de behandlinger, der sker i tilknytning til produktet. Experian A/S indsamler oplysninger om personnummer og anvender disse til opslag i CPR-registret. Fra CPR-registret modtager bureauet herefter oplysninger, som anvendes ved beregning af Delphi scoren.
Experian A/S ses hverken at have hjemmel i lov til indsamling og brug af personnummer eller udtrykkeligt samtykke hertil. Det er som følge heraf Datatilsynets opfattelse, at Experian A/S ikke har den fornødne hjemmel til at behandle oplysningen om personnummer på de personer, der udarbejdes en score på. Det er i den forbindelse ikke afgørende, om bureauet foretager en egentlig registrering af personnummeret, idet § 11 taler om ”behandling”, og der sker efter Datatilsynets opfattelse klart en behandling, som Experian A/S er dataansvarlig for.
Datatilsynet skal på den baggrund anmode Experian A/S om at ophøre med at behandle oplysninger om personnumre i forbindelse med produktet Delphi Scoring.
4. Datarådet har på grundlag af de modtagne oplysninger haft en foreløbig drøftelse af Delphi Scores forenelighed med persondatalovens regler om, hvilke oplysninger kreditoplysningsbureauer må behandle og videregive. I den forbindelse skal Datatilsynet henlede opmærksomheden på følgende:
Det følger efter Datatilsynets opfattelse af persondatalovens § 20 sammenholdt med § 24, at kreditoplysninger og kreditbedømmelser (vurderinger) ikke må være urigtige eller vildledende. En kreditvurdering skal således give læseren et retvisende billede af den undersøgte persons eller virksomheds økonomiske soliditet og kreditværdighed.
Registertilsynets og siden Datatilsynets accept af, at RKI registrerede oplysninger om ikke-fastslåede skyldforhold i et ”lukket ” register, var endvidere – som bekendt – betinget af, at disse oplysninger alene indgik i bredere kreditvurderinger. Brugen af oplysningerne fra dette lukkede register i forbindelse med alle Delphi-score vurderinger, rejser derfor spørgsmål om, hvorvidt de hidtil opstillede betingelser for registrering og den måde, RKI underretter de registrerede om, hvordan de kan kræve sig slettet af det lukkede register, kan opretholdes. Det gælder navnlig i forhold til kreditvurderinger, hvor oplysninger fra det lukkede register indgår i en Delphi score som den eneste oplysning ved siden af oplysningerne om personens alder, seneste flytning og postnummer.
Før Datatilsynet tager endelig stilling til produktets forenelighed med persondatalovens regler, skal tilsynet anmode Experian A/S om at overveje og beskrive, hvorledes de parametre, som er indgået i beregningen af scoren, kan beskrives på en klar og udtrykkelig måde i den enkelte rapport. For at sikre, at læseren af vurderingen forstår dens begrænsninger, bedes det overvejet, om det med henblik herpå udtrykkelig kan angives, at de oplysninger, som normalt er af central betydning bedømmelsen af økonomisk soliditet og kreditværdighed – navnlig personens indkomst og formueforhold – ikke indgår i vurderingsgrundlaget.
Ved angivelsen af disse parametre må det dog samtidig være en forudsætning, at videregivelsesreglen om summariske oplysninger om skyldforhold i § 23, stk. 3, overholdes. Dette rejser efter tilsynets opfattelse et selvstændigt spørgsmål om, hvorvidt de såkaldt lukkede registreringer kan indgå i beregningen af scoren.
I lyset af de overvejelser, som Experian A/S fremkommer med, vil Datatilsynet bl.a. overveje de fremtidige vilkår for registrering i det lukkede register.
5. Ifølge persondatalovens § 21 skal kreditoplysningsbureauer i overensstemmelse med § 28, stk. 1, eller § 29, stk. 1, meddele de oplysninger, der er nævnt i disse bestemmelser, til den, der behandles oplysninger om.
Det er Datatilsynets vurdering, at Experian A/S indsamler og behandler oplysninger om de personer og virksomheder, på hvem der beregnes en Delphi score, og at dette sker som en del af virksomhedens aktiviteter som kreditoplysningsbureau. Experian A/S skal således iagttage § 21, jf. §§ 28 og 29, i forhold til de personer og virksomheder, der er udarbejdet en Delphi Score på, og som ikke allerede har fået meddelelse i henhold til § 21. Datatilsynet har endnu ikke taget stilling til, hvorvidt de personer og virksomheder der alene har fået en registreringsmeddelelse, hvori RKI ikke oplyser, at registreringen i det lukkede register kan indgå i bredere bedømmelser, har fået tilstrækkelig underretning.
6. Datatilsynets endelige stillingtagen til produktets forenelighed med persondataloven afventer herefter en tilbagemelding fra Experian A/S vedrørende det under punkt 4 anførte