Journalnummer: 2005-631-0161
1. På baggrund af medieomtale har Datatilsynet undersøgt Experian A/S’ produkter Consumer Delphi score og Commercial Delphi score.
Efter anmodning fra Datatilsynet er Experian A/S og De som advokat for virksomheden fremkommet med redegørelser for produkterne i breve af 10. og 24. august 2005, samt ved e-post af 19., 23. og 24. august 2005. Der har desuden været afholdt et afklarende møde.
Ved brev af 2. september 2005 afgav Datatilsynet – på baggrund af en foreløbig drøftelse i Datarådet – udtalelse om en række af de spørgsmål, som produkterne rejser i forhold til persondataloven. Tilsynet anmodede endvidere Experian A/S om at overveje nogle forhold og fremkomme med en udtalelse over for Datatilsynet.
Ved breve af 15. september, 20. og 31. oktober 2005 er De herefter fremkommet med oplysninger om de foranstaltninger, Experian A/S har iværksat i anledning af Datatilsynets udtalelse af 2. september 2005, og de overvejelser, virksomheden har gjort sig i sagen. De er endelig fremkommet med supplerende oplysninger ved brev af 5. december 2005.
2. Experian A/S’ beskrivelse af produkterne Consumer og Commercial Delphi score
2.1. Experian A/S har oplyst, at Delphi score er et statistisk værktøj, som understøtter en virksomheds kreditpolitik. Delphi udregner en score, der angiver sandsynligheden for, at en person eller virksomhed bliver registreret med en åben betalingsanmærkning (dvs. en betalingsanmærkning, der opfylder betingelserne for videregivelse i henhold til persondatalovens § 23, stk. 3) indenfor et år. Sammen med scoren angives et antal stjerner, hvor fem stjerner er det bedste.
Delphi score er ifølge Experian A/S et supplerende kreditvurderingsværktøj, som RKI Kredit Information A/S’ (herefter RKI) kunder kan bruge i sammenhæng med andre former for kreditvurdering som f.eks. at søge oplysninger om betalingsanmærkninger hos RKI. Experian A/S går ud fra, at abonnenten vil basere sin kreditvurdering på de oplysninger, den kreditsøgende afgiver samt kreditoplysninger fra KOB A/S (herefter KOB) og RKI (kun åbne registreringer) - herunder en eventuel Delphi score rapport.
Det statistisk beregnende pointsystem er ifølge det oplyste blevet til ved at analysere eksisterende data hos RKI og KOB. Herved har Experian A/S kunnet konstruere et scorekort, der angiver den statistiske sandsynlighed for, at en given person eller virksomhed bliver registreret i RKI med en åben betalingsanmærkning indenfor et år.
2.2. I Consumer Delphi (scoring på privatpersoner) indgår informationer -vedrørende den enkelte person - om dato for seneste adresseændring sammen med postnummer, fødselsår, eventuelle åbne og/eller lukkede registreringer, antal registreringer og tidspunktet herfor samt registreringernes værdi på registreringstidspunktet. Scoringen fremkommer efter det oplyste på grundlag af RKI’s statistiske erfaringsgrundlag sammenholdt med de individuelle forhold vedrørende den pågældende person. Efter bureauets opfattelse indgår der således både positive og negative forhold i scoringen.
I Commercial Delphi (scoring på virksomheder) indgår informationer, vedrørende den enkelte virksomhed, om KOB- og RKI-registreringer, betalingsmønster fra KOB, oplysninger fra Consumer Delphi ved scoring af privat ejede firmaer, firmaets alder, antal ansatte, branche og økonomiske nøgletal for selskaber (sidstnævnte oplysninger ligeledes fra KOB’s registre).
2.3. Experian A/S har oplyst, at abonnenterne ved brug af produktet Consumer Delphi score indtaster oplysninger om navn (dvs. for- og efternavn), adresse, fødselsdato og køn i et skærmbillede i en web-baseret løsning.
Experian A/S foretager herefter et opslag i CPR-registret med henblik på verificering af oplysningerne. Oplysningerne, der går tilbage til Experian A/S, består bl.a. af kommunekode, vejkode, reklamebeskyttelse, adresse og dato for sidste adresseændring.
Personer med beskyttede adresser verificeres tillige. Experian A/S modtager selve den beskyttede adresse i sin egenskab af kreditoplysningsbureau, men videregiver den ikke til sine abonnenter.
Verificeringen er ifølge Experian A/S nødvendig, fordi man ved udfærdigelse af kreditrapporten slår op i RKI-systemet og undersøger, om der er registreringer om pågældende. Såfremt oplysningerne ikke kan verificeres, bliver der ikke udfærdiget en Delphi score. I rapporten gengives svaret fra CPR-registret for så vidt angår navn, adresse og dato for sidste adresseændring. Beskyttet navn og adresse fremgår ikke af rapporten, som i sådanne tilfælde vil indeholde en henvisning til, at den pågældende har adressebeskyttelse.
2.4. Delphi score er et øjebliksbillede, som genereres, når en kunde aktivt bestiller en Delphi rapport, og scoringen bliver ifølge det oplyste ikke genbrugt. Resultatet af Delphi scoringen bliver logget for en periode på 6 måneder i Experian A/S’ dokumentationsdatabase med henblik på at kunne opfylde den enkeltes ønske om indsigt i, hvilke oplysninger og bedømmelser Experian A/S har videregivet indenfor de seneste 6 måneder i henhold til persondatalovens § 22.
2.5. Experian A/S har oplyst, at virksomheden i anledning af Datatilsynets udtalelse af 2. september 2005 foreløbigt har indstillet behandlingen af personnumre i forbindelse med produktet Delphi. Selskabets søgebillede er pr. 5. september 2005 ændret, således at Experian A/S’ kunder ikke længere kan indtaste personnummer i forbindelse med bestilling af en Delphi score rapport.
2.6. Experian A/S har endvidere oplyst, at selskabet er indstillet på at udsende behandlingsmeddelelse til de personer, der udarbejdes Delphi score på, og som ikke allerede har modtaget meddelelse i henhold til persondataloven § 21. Vedrørende fremtidige scoringer vil persondatalovens § 21 tillige blive iagttaget.
2.7. I forlængelse heraf har Experian A/S desuden meddelt, at Delphi score fremover skal kommunikeres til kunderne under et andet navn end ”RKI Kreditrapport”. Målet hermed er at signalere, at der ikke er tale om en kreditrapport i traditionel forstand. Selskabet oplyser, at navneovervejelserne endnu ikke er tilendebragt, men at det ligger fast, at hverken ”RKI betegnelsen” eller ordet ”kredit” kommer til at indgå i det nye rapportnavn.
I selve rapportteksten vil den forklarende tekst under scoren blive formuleret således:
”Delphi scoring er et statistisk værktøj, som understøtter Experians kunders kreditpolitik. Det udtrykker sandsynligheden for, at en person bliver dårlig betaler inden for de næste 12 måneder. Delphi Scoring bygger på oplysninger fra RKIs lukkede og åbne register, samt forskellige kombinationer af personens alder, postnummer og dato for seneste adresseændring. Delphi scoren bør anvendes som supplement til de øvrige oplysninger, som kreditgiveren måtte have om kreditansøger. Oplysninger om personens indkomst og formueforhold indgår ikke i Delphi scoren”
Experian A/S har i den forbindelse påpeget, at teksten efter selskabets opfattelse oplyser kunderne om grundlaget for Delphi scoren – herunder at der kan indgå lukkede registreringer. Derimod oplyses det ikke, om der i det konkrete tilfælde findes sådanne lukkede registreringer.
2.8. Experian A/S har oplyst, at langt størstedelen af de af selskabets abonnenter, der bruger scoringssystemer som en del af kreditværdighedsvurderingen, ud over Delphi score baserer deres samlede kreditvurdering på oplysninger om fast ejendom, samlivsforhold, andre kontokort mv. Er det en virksomhed, der skal kreditvurderes, vil abonnenterne også typisk være i besiddelse af oplysninger om årsregnskab, likviditetsbudgetter, almindelige budgetter m.v.
Nogle af Experian A/S abonnenter har ikke umiddelbart adgang til alle de nævnte oplysninger, hvorfor de i højere grad baserer deres vurdering på betalingsanmærkninger og eventuelle oplysninger om boligforhold, samlivsforhold samt eventuelt lokalkendskab til den pågældende kreditansøger.
Det er selskabets vurdering, at det for alle abonnenter gælder, at en Delphi score ikke kommer til at stå alene. Selskabet har desuden ydet en stor indsats for at gøre sine abonnenter opmærksomme på, at Delphi score alene er ment som et støtteværktøj.
3. Datatilsynet skal – efter sagen har været behandlet på et møde i Datarådet – i forlængelse af sin udtalelse af 2. september 2005 udtale følgende:
3.1. Consumer Delphi
3.1.1. Videregivelse af Consumer Delphi score sker i en rapport med overskriften ”Consumer Delphi rapport”.
I en sådan rapport indeholdende en Consumer Delphi score videregives oplysninger om navn, adresse, dato for sidste adresseændring, idet det anføres, at ”Din kundes oplysninger er bekræftet via ”CPR-registeret” Der videregives ikke oplysninger om beskyttede navne og adresser.
Herudover indeholder rapporten den såkaldte Consumer Delphi score. Scoren har form af en brøk, f.eks. 186/283 eller 225/333. Sammen med scoren angives et antal stjerner, hvor fem stjerner er det bedste.
Det anføres endvidere, hvordan denne score må betragtes. Det kan eksempelvis fremgå, at ”Risikoen er lavere end risikoen for gennemsnittet af danske personer”.
Derudover beskrives det under scoren og stjernerne, hvilken sandsynlighed der er for, at en person med den pågældende score bliver dårlig betaler i forhold til en gennemsnitsperson. Der kan eksempelvis være anført: ”Sandsynligheden for, at en person med denne score bliver dårlig betaler i løbet af de næste 12 måneder, er 0,7 %, hvilket er 3,1 gange mindre end sandsynligheden er for en gennemsnitsperson”.
Endvidere oplyses det i rapporten, at Delphi scoring er et statistisk værktøj, som understøtter Experians kunders kreditpolitik. Det udtrykker sandsynligheden for, at en person bliver dårlig betaler inden for de næste 12 måneder. Delphi scoring bygger på oplysninger fra RKI’s lukkede og åbne registre, samt forskellige kombinationer af personens alder, postnummer og dato for seneste adresseændring. Delphi scoren bør anvendes som supplement til de øvrige oplysninger, som kreditgiveren måtte have om kreditansøger. Oplysninger om personens indkomst og formueforhold indgår ikke i Delphi scoren.
Endvidere fremgår det af rapporten, om der findes betalingsanmærkninger (kun de åbne registreringer – dvs. de, der kan videregives efter persondatalovens § 23, stk. 3) i RKI om den person, rapporten er udfærdiget om.
Parametrene, der indgår i beregningen af Consumer Delphi score er informationer - vedrørende den enkelte person - om eventuelle åbne og lukkede registreringer, postnummer, dato for seneste adresseændring og fødselsår.
3.1.2. Efter persondatalovens § 20, stk. 1, må kreditoplysningsbureauer som eksempelvis RKI kun behandle oplysninger, som efter deres art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed.
Det afgørende for, om en oplysning må behandles af et kreditoplysningsbureau, er efter Datatilsynets opfattelse, om oplysningen har betydning for vurderingen af den registreredes betalingsevne i andre fremtidige skyldforhold.
Det følger endvidere – som anført i Datatilsynets brev af 2. september 2005 –af persondatalovens § 20 sammenholdt med § 24, at kreditoplysninger og kreditbedømmelser (vurderinger) ikke må være urigtige eller vildledende. En kreditvurdering skal således give læseren et retvisende billede af den undersøgte persons eller virksomheds økonomiske soliditet og kreditværdighed.
Det indebærer efter Datatilsynets opfattelse krav om, at de oplysninger og vurderinger, som kreditoplysningsbureauerne behandler, herunder videregiver, så vidt muligt skal indeholde en retvisende bedømmelse af den konkrete enkeltpersons økonomiske soliditet – og tillige fremstå som sådan.
Datatilsynet finder, at Consumer Delphi Scoring i produktets nuværende form ikke i alle tilfælde kan siges at leve op til dette krav. Det er således Datatilsynets opfattelse, at en Consumer Delphi score, der videregives som en enkeltstående oplysning, efter tilsynets opfattelse ikke i alle tilfælde er en oplysning, som er af betydning for bedømmelsen af den pågældende enkeltpersons økonomisk soliditet. Hertil kommer, at hverken en lav eller høj Consumer Delphi score nødvendigvis giver et retvisende billede af den konkrete enkeltpersons kreditværdighed.
Dette skyldes, at Experian A/S kun i de tilfælde, hvor der foreligger betalingsanmærkninger, dvs. åbne og/eller lukkede registreringer i RKI, tager oplysninger om den konkrete persons økonomiske forhold i betragtning ved scoringen. Hvis der ikke foreligger betalingsanmærkninger, beregnes scoren således udelukkende på grundlag af oplysninger om dato for seneste adresseændring, postnummer og fødselsår for den pågældende person.
I forlængelse af de ovenfor anførte betragtninger har Datatilsynet overvejet, under hvilke omstændigheder tilsynet vil finde en videregivelse af en Consumer Delphi score forenelig med persondataloven.
Det må på baggrund af det anførte efter Datatilsynets opfattelse være nødvendigt, at en konkret Consumer Delphi score ikke udelukkende bygger på oplysninger om postnummer, dato for seneste adresseændring og fødselsår. I vurderingen skal indgå oplysninger, der udsiger noget om den pågældendes økonomiske forhold. Hvis sådanne oplysninger alene hidrører fra det lukkede register, må det sikres, at eventuelle uberettigede registreringer ikke resulterer i en fejlbedømmelse. For at skabe det fornødne sikre vurderingsgrundlag, finder Datatilsynet, at der i vurderingsgrundlaget skal indgå mindst 3 lukkede registreringer (betalingsanmærkninger) fra mindst 2 forskellige kreditorer eller mindst 1 åben registrering.
Det vil sige, at der efter Datatilsynets opfattelse må indgå mindst 3 lukkede registreringer fra mindst 2 forskellige kreditorer eller mindst 1 åben registrering samt de vægtede oplysninger om postnummer, dato for seneste adresseændring og fødselsår i grundlaget, før en Consumer Delphi score kan videregives.
Ved denne vurdering har Datatilsynet taget i betragtning, at Experian A/S har foretaget ændringer i tekstforklaringen i Consumer Delphi rapporten, således at det nu fremgår, dels hvilke parametre, der indgår i beregningen, dels at oplysninger om personens formue- og indkomstforhold forhold ikke indgår i scoren.
3.1.3. Det tilføjes, at Datatilsynet i forbindelse med sin behandling af eventuelle konkrete klager over Consumer Delphi score i en ændret form under alle omstændigheder forventer at ville stille krav om, at Experian A/S skal oplyse, hvad der har været udslagsgivende for den konkrete rapports resultat.
3.2. Commercial Delphi
En Commercial Delphi rapport vedrørende et anpartsselskab eller en enkeltmandsejet virksomhed indeholder oplysning om virksomhedsprofil og en Consumer Delphi score. Som oplyst af Experian A/S er Commercial Delphi score bl.a. udarbejdet på grundlag af oplysninger fra KOB.
For et anpartsselskab er disse oplysninger: Virksomhedsprofil, betalingsanmærkninger, betalingsmønstre, økonomiske data, herunder nøgletal, oplysning om ledelse, kreditfaciliteter, koncern og ejerforhold, hændelsesoversigt (dvs. registrerede hændelser i virksomheden de seneste 6 måneder), presseomtale og rating med angivelse af risikogruppe.
For en enkeltmandsejet virksomhed er disse oplysninger: Virksomhedsprofil, betalingsanmærkninger, økonomiske data, ejendomsoplysninger, ledelse, kreditfaciliteter, historik, koncern og ejerforhold, øvrige virksomhedsnavne, hændelsesoversigt (dvs. registrerede hændelser i virksomheden de seneste 6 måneder), ”pressenyt” og en rating med angivelse af risikogruppe.
Det følger af persondatalovens § 1, stk. 3, at loven gælder for behandling af oplysninger om virksomheder, hvis denne behandling udføres for kreditoplysningsbureauer. Som følge heraf gælder persondatalovens § 20 også for virksomheder, jf. det ovenfor under pkt. 3.1.2. anførte.
På baggrund af det til sagen oplyste er det Datatilsynets opfattelse, at Commercial Delphi score fremstår som en isoleret oplysning, der efter sin art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed vedrørende den enkelte virksomhed. Commercial Delphi score lever efter Datatilsynets opfattelse op til persondatalovens krav, jf. § 20, stk. 1. Dette gælder uanset, om scoren beregnes og videregives som en isoleret oplysning eller i en rapport sammen med andre oplysninger.
Datatilsynet har ved sin vurdering af Commercial Delphi score lagt vægt på, at denne score beregnes på grundlag af en bred vifte af kriterier omfattende oplysninger om KOB- og RKI-registreringer (herunder evt. betalingsanmærkninger), betalingsmønstre fra KOB, Consumer Delphi score ved enkeltmandsejet virksomheder, firmaets alder, antal ansatte, branche og økonomiske nøgletal for selskaber.
3.3. Oplysningspligt
3.3.1. Ifølge persondatalovens § 21 skal kreditoplysningsbureauer i overensstemmelse med § 28, stk. 1, eller § 29, stk. 1, meddele de oplysninger, der er nævnt i disse bestemmelser, til den, der behandles oplysninger om.
I sin udtalelse af 2. september 2005 meddelte Datatilsynet, at Experian A/S efter tilsynets opfattelse indsamler og behandler oplysninger om de personer og virksomheder, på hvem der beregnes en Delphi score, og at dette sker som en del af virksomhedens aktiviteter som kreditoplysningsbureau.
Experian A/S skal således iagttage persondatalovens § 21, jf. §§ 28 og 29, i forhold til de personer og virksomheder, der er udarbejdet en Delphi score på.
Datatilsynet fandt derfor, at Experian A/S er forpligtet til at udsende meddelelse i henhold til persondatalovens § 21 til de personer og virksomheder, der er udarbejdet en Delphi score på, og som ikke allerede har fået meddelelse i henhold til persondatalovens § 21.
I anledning af Datatilsynets udtalelse udsendte Experian A/S den 30. september 2005 ifølge det oplyste meddelelse til de ca. 15.000 personer, som selskabet på daværende tidspunkt havde udarbejdet en Delphi score på, og som ikke allerede havde fået meddelelse i henhold til persondatalovens § 21.
I sin udtalelse af 2. september 2004 oplyste Datatilsynet endvidere, at tilsynet endnu ikke havde taget stilling til, hvorvidt de personer og virksomheder, der alene har fået en registreringsmeddelelse, hvori RKI ikke oplyser, at registreringen i det lukkede register kan indgå i bredere bedømmelser, har fået tilstrækkelig underretning.
Den registreringsmeddelelse, som personer og virksomheder modtog ved registrering i det lukkede register forud for lanceringen af Delphi score i maj 2005, og som tilsynet har fået udleveret ved sidste inspektion, indeholder ikke oplysning om, at registreringen vil kunne blive anvendt ved udformning af bredere bedømmelser.
Det anføres i meddelelsen, at "Registreringen hos RKI bliver anvendt af Experian A/S, som består af RKI Kredit Information A/S og KOB A/S.” I teksten er anført, at "På nuværende tidspunkt kan RKI's kunder ikke se denne registrering. Den vil dog uden yderligere varsel kunne videregives senere, hvis betingelserne i persondatalovens § 23, stk. 3, bliver opfyldt. Registreringen vil så kunne blive videregivet til vores kunder, der er et bredt udsnit af det danske erhvervsliv, lige fra den lokale forretningsmand til hele den finansielle sektor."
Datatilsynet bekendt indeholder den registreringsmeddelelse, som virksomheder modtager ved optagelse i KOB’s database, ej heller information om, at bureauet benytter sig af registreringer fra RKI’s lukkede register.
3.3.2. Efter persondatalovens § 29, stk. 1, nr. 2, skal der gives den registrerede meddelelse om formålene med den behandling, hvortil oplysningerne er bestemt.
I Datatilsynets vejledning om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger2 er bl.a. anført, at det i kravet om formålsangivelse ligger, at der skal gives den registrerede tilstrækkelig information til, at den pågældende bliver klar over, hvad der er baggrunden for, at der indsamles oplysninger om den pågældende.
Hvilke krav der i det enkelte tilfælde skal stilles til formålsangivelsen, vil bero på en vurdering af de konkrete omstændigheder omkring behandlingen af oplysningerne.
Da hensigten med bestemmelsen er at skabe åbenhed omkring behandlingen af oplysninger, må det dog kræves, at den dataansvarlige - som minimum -underretter den registrerede om, hvad de indsamlede oplysninger skal bruges til eller påtænkes brugt til på indsamlingstidspunktet. Indsamlede oplysninger kan herefter i den periode, som er nødvendig hertil, behandles i disse øjemed.
Oplysningerne vil endvidere i almindelighed kunne behandles (benyttes) til andre, efterfølgende saglige formål, uden at den dataansvarlige på ny skal give den registrerede meddelelse, hvis behandlingen ikke er uforenelig med det eller de formål, som oprindeligt er oplyst til den registrerede i forbindelse med opfyldelsen af oplysningspligten.
Kun i særlige tilfælde vil der påhvile den dataansvarlige en pligt til efterfølgende at oplyse om (nye) behandlingsformål, som ikke er omfattet af den oprindelige meddelelse, og som aktualiseres efter tidspunktet for indsamlingen af oplysninger.
Anvendelsen af de lukkede registreringer til bredere bedømmelser kan efter Datatilsynets opfattelse ikke anses for uforeneligt med de formål, hvortil oplysningerne er registreret. Det er endvidere tilsynets opfattelse, at anvendelse af RKI’s lukkede registreringer til beregning af Consumer Delphi score og Commercial Delphi score ikke medfører krav om ny registreringsmeddelelse til de personer og/eller virksomheder, der allerede er registeret med en betalingsanmærkning hos selskabet.
4. Det tilføjes, at Datatilsynet uafhængigt af denne sag påtænker at revidere de indholdsmæssige krav til de meddelelser, som kreditoplysningsbureauer, herunder Experian A/S, er forpligtet til at udsende i medfør af persondatalovens § 21, herunder på hvilken måde bureauerne skal oplyse, hvad oplysninger vil blive brugt til, og om hvordan de registrerede kan få slettet de pågældende oplysninger, hvis de f.eks. bestrider en anmeldt fordrings rigtighed.
5. Datatilsynet skal anmode Experian A/S om at oplyse, hvad virksomheden foretager sig i anledning af tilsynets udtalelse.
6. Datatilsynet forventer i løbet af kort tid at offentliggøre dette brev på sin hjemmeside.