Journalnummer: 2010-082-0143
Vedrørende systematiseret udveksling af kreditoplysninger i Kreditoversigten
1.
Datatilsynet vender hermed tilbage til sagen vedrørende Finans og Leasings ønske om at etablere et nyt produkt "Kreditoversigten".
Den påtænkte løsning vil give teknisk adgang til oplysninger om en låneansøgers eksisterende kreditengagementer hos andre selskaber, som er tilsluttet systemet. En sådan databehandling skal leve op til persondatalovens regler. Persondataloven indebærer efter Datatilsynets opfattelse, at databehandlingen kun kan finde sted med følgende begrænsninger og under iagttagelse af følgende forudsætninger:
- De tilsluttede virksomheder er hver især dataansvarlige for enhver behandling af personoplysninger, som sker i tilknytning til den pågældende virksomheds brug af løsningen.
- Oplysninger om gældsforhold må alene videregives på baggrund af et udtrykkeligt samtykke, der lever op til persondatalovens1 krav.
- Indsamling af oplysninger via Kreditoversigten må alene ske i forbindelse med aktuel behandling/kreditgivning.
- Indsamling af oplysninger via Kreditoversigten må alene ske efter en konkret vurdering af, om dette er nødvendigt i det enkelte tilfælde.
- Finans og Leasing skal i den forbindelse beskrive situationer, hvor det ikke vil være nødvendigt for kreditgiver at indhente oplysninger via systemet, og meddele de tilsluttede virksomheder disse situationer i vejledningsmaterialet.
- Kun de nødvendige oplysninger må i givet fald udveksles - ud over identifikationsoplysninger er det lånetype, hovedstol af lånet/kreditrammen, stiftelsestidspunkt og aktuel saldo.
- Oplysninger indsamlet fra Kreditoversigten må alene anvendes til kreditvurdering, herunder i relation til ansvarlig långivning.
- Oplysninger indsamlet fra Kreditoversigten må ikke anvendes til andre formål, heller ikke internt hos kreditgiver.
- Borgernes adgang til indsigt i registrerede oplysninger i Kreditoversigten via selvbetjeningsløsningen er et supplement til den almindelige ret til indsigt efter persondataloven.
- De tilsluttede virksomheder skal overholde persondatalovens øvrige bestemmelser ved anvendelsen af Kreditoversigten, herunder bl.a.:
- pligten til at sikre datakvalitet og ajourføring, jf. § 5, stk. 4,
- sletning af forældede personoplysninger, jf. § 5, stk. 5.
- Den registrerede borgers rettigheder skal sikres, herunder:
- oplysningspligt, jf. § 28 og § 29,
- indsigtsretten, jf. § 31,
- indsigelsesret, jf. § 35,
- ret til at få berigtiget, slettet eller blokeret urigtige eller vildledende oplysninger, jf. § 37,
- ret til at trække et samtykke tilbage, jf. § 38,
- ret til at gøre indsigelse mod edb-behandlede individuelle afgørelser, jf. § 39,
- ret til at klage til vedkommende tilsynsmyndighed, jf. § 40.
- De nødvendige sikkerhedsforanstaltninger skal sikres, jf. § 41, stk. 3, herunder bl.a.:
- tildeling af brugeradgang begrænses til medarbejdere hos de deltagende virksomheder, for hvem adgangen er nødvendig i forbindelse med deres jobfunktion,
- kontrol med, at de autoriserede personer til stadighed opfylder betingelserne,
- instruktion af de medarbejdere, der får adgang til løsningen,
- registrering (logning) af alle anvendelser af personoplysninger i Kreditoversigten,
- logningen skal leve op til § 19, stk. 1, i sikkerhedsbekendtgørelsen2,
- sikkerhed for den registreredes rette identitet ved egen acces,
- kryptering ved transmission af oplysninger om gældsforhold og lignende via internet,
- databehandleraftale mellem udbyderen af Kreditoversigten og den tilsluttede kreditgiver, jf. § 42, stk. 2.
- Anden relevant lovgivning skal overholdes, herunder bl.a.
- lov om finansiel virksomhed3
- kreditaftaleloven4
- bekendtgørelse om pengeinstitutters afgivelse af kreditoplysninger5
En nærmere gennemgang af sagen følger nedenfor.
2. Sagsfremstilling
2.1. Ved e-post af 15. februar og 3. marts 2010 har Finans og Leasing rettet henvendelse til Datatilsynet vedrørende organisationens påtænkte produkt "Kreditoversigten". Der har været afholdt et møde mellem repræsentanter for Finans og Leasing og Datatilsynet den 22. februar 2010. Der er desuden indhentet supplerende oplysninger telefonisk.
Der er den 21. januar 2010 - til brug for en anden sag - indhentet en udtalelse fra Finansrådet om pengeinstitutternes praksis for afgivelse af kreditoplysninger. Udtalelsen har også været forelagt Finans og Leasing, som i e-posten af 3. marts 2010 er fremkommet med bemærkninger bl.a. til denne.
Ved brev af 11. juni 2010 er Forbrugerombudsmanden efter anmodning fra Datatilsynet fremkommet med en udtalelse til sagen, som Finans og Leasing har kommenteret ved e-post af 27. juli 2010.
2.2. Det fremgår herefter af sagen, at Finans og Leasing ønsker at "etablere adgang til et overblik over en låneansøgende forbrugers eksisterende gæld hos de selskaber, som er tilsluttet systemet, til brug for kreditvurdering af kunden".
Finans og Leasing har uddybende anført, at formålene med Kreditoversigten er:
- at beskytte den enkelte forbruger mod overgældsætning,
- at skabe et bedre grundlag for kreditvurdering af den enkelte kunde med henblik på bedst muligt at kunne leve op til kravet i forbrugerkreditdirektivet artikel 8 m.v. om en forudgående vurdering af kundens evne til at tilbagebetale lånet,
- at beskytte kreditgiver mod en låneansøger, der bevidst eller ubevidst afgiver urigtige eller upræcise oplysninger om sine eksisterende gældsforpligtelser, samt
- at låneansøger via egen acces nemmere kan få oplyst et korrekt, fyldestgørende og opdateret billede af deres gældsforpligtelser.
Finans og Leasing har videre anført, at formålet er forankret i det nye krav til kreditgivere i forbrugerkreditdirektivets artikel 8. Reglen medfører, at en kreditgiver forud for indgåelsen af en kreditaftale skal vurdere forbrugerens kreditværdighed på baggrund af "fyldestgørende oplysninger".
Finans og Leasing har oplyst, at konceptet primært er tiltænkt Finans og Leasings medlemmer, hvilket er leasingselskaber, selskaber med blankolån, selskaber med billån og selskaber, der både har forbrugs- og billån. Flere af Finans og Leasings medlemmer er finansielle virksomheder, der er omfattet af lov om finansiel virksomhed. Andre kreditgivere kan muligvis også anvende konceptet.
Det er endnu ikke fastlagt, hvem der skal udbyde tjenesten, men ifølge Finans og Leasing vil der være tale om en databehandlerkonstruktion, således at udbyderen alene behandler oplysninger på vegne af de tilsluttede selskaber.
2.3. I konceptet ønskes behandlet oplysninger om kundens navn, adresse og fødselsdato/personnummer samt oplysninger om deres eksisterende kreditengagementer i form af hovedstol af lånet og/eller kreditrammen, lånetypen (generisk bestemt fx blanco, sikret ved pant el.lign.), dato for stiftelse af lånet/kreditrammen og aktuel saldo.
Den tilsluttede kreditgiver får spejlet oplysninger om sine kunders navn, adresse og fødselsdato/personnummer ind på et "hotelværelse" hos et hostingselskab. Ved registrering af låneansøgers samtykke kan de førnævnte kreditoplysninger ligeledes indlægges i "hotelværelset". Når en kreditgiver senere efter indhentelse af låneansøgers samtykke foretager en søgning via konceptet, vil låneansøgers eksisterende kreditgivere tilbagesende disse kreditoplysninger. Det vil ikke fremgå, hvem der er kreditgiver.
Finans og Leasing har videre anført, at oplysningerne ajourføres, således at en kreditgiver altid får adgang til retvisende oplysninger. Når et lån er afviklet, slettes oplysningerne fra "hotelværelset".
Finans og Leasing har endelig anført, at der til opfyldelse af persondatalovens § 31 påtænkes etableret indsigtsret for låneansøgeren via netadgang under anvendelse af digital signatur eller evt. anden løsning, der skaber den fornød-ne sikkerhed imod integritetskrænkelse.
3. Forbrugerombudsmandens udtalelse
Forbrugerombudsmanden har i sin udtalelse af 11. juni 2010 til Datatilsynet bl.a. anført følgende om forbrugerkreditdirektivet:
Artikel 8 i Europa-Parlamentets og Rådets direktiv 2008/8/EF af 23. april 2008 om forbru-gerkreditaftaler og om ophævelse af Rådets direktiv 87/102/EØF (herefter: forbrugerkreditdirektivet) indfører en forpligtelse for en kreditgiver til dels inden indgåelse af en kreditaftale, dels før enhver væsentlig forhøjelse af det samlede kreditbeløb at vurdere forbrugerens kreditværdighed. Vurderingen skal ske "på grundlag af fyldestgørende oplysninger, der hvor det er relevant, indhentes hos forbrugeren og, hvor det er nødvendigt, ved søgning i den relevante database", jf. artikel 8, stk. 1.
Forbrugerkreditdirektivet regulerer ikke spørgsmålet om, hvorvidt sådanne databaser skal indføres, men lader det være op til national ret i den enkelte medlemsstat. Direktivet fastsætter som nævnt alene, at i det omfang en relevant database i øvrigt findes, skal kreditgiver foretage en søgning i denne, når det er nødvendigt for at vurdere forbrugerens kreditværdighed, ligesom direktivet stiller krav om adgang til sådanne databaser på ikke-diskriminerende vilkår for kreditgivere fra andre medlemsstater, jf. artikel 9. Direktiver tillader endelig, at eventuelle forpligtelser fastsat i en medlemsstats lovgivning i relation til at vurdere en forbrugers kreditværdighed på grundlag af en søgning i relevante databaser kan opretholdes.
Forbrugerkreditdirektivet er gennemført i dansk ret ved lov nr. 535 af 26. maj 2010 om ændring af lov om kreditaftaler og lov om markedsføring. Der er herunder indsat en ny § 7 c i kreditaftaleloven om kreditgivers forpligtelse til at vurdere forbrugerens kreditværdighed. Loven træder, for så vidt angår bl.a. denne bestemmelse, i kraft den 1. november 2010.
Herefter gengiver Forbrugerombudsmanden ordlyden af kreditaftalelovens § 7 c og henviser herefter til lovbemærkningerne til § 7 c, hvoraf følgende fremgår:
Den foreslåede § 7 c svarer til dels til forbrugerkreditdirektivets artikel 8 og fastslår, at kreditgiveren vil være forpligtet til at vurdere forbrugerens kreditværdighed inden en kreditaftale indgås. Kreditvurdering af forbrugeren er ikke reguleret i den gældende kreditaftalelov.
Bestemmelsen indebærer, at kreditgiveren altid vil skulle indhente fyldestgørende oplysninger og på baggrund af disse oplysninger foretage en vurdering af forbrugerens kreditværdighed. Oplysningerne kan efter kreditgiverens skøn indhentes hos forbrugeren og ved søgning i relevante databaser, f.eks. hos kreditoplysningsbureauer.
Bestemmelsen skal ses i sammenhæng med forbrugerkreditdirektivets overordnede formål om at øge forbrugerbeskyttelsen, og vurderingen af forbrugerens kreditværdighed skal derfor ske med henblik på at vurdere, om forbrugeren på baggrund af dennes økonomiske situation ved hjælp af f.eks. løbende indtægter, låneomlægning eller realisation af aktiver vil være i stand til at betale de forudsatte afdrag på kreditbeløbet, og ikke med henblik at vurdere kreditgivers tabsrisiko.
Forbrugerombudsmanden anfører endvidere, at han i medfør af markedsføringslovens § 1, stk. 1, om god markedsføringsskik fører tilsyn med overholdelsen af den civilretlige forbrugerbeskyttelseslovgivning. Således fremgår det også af lovbemærkningerne, at bl.a. Forbrugerombudsmanden fører tilsyn med, hvorvidt en kreditgiver foretager en kreditvurdering i henhold til § 7 c.
I forhold til Finans og Leasings koncept "Kreditoversigten" bemærker Forbrugerombudsmanden:
Til grund for Forbrugerombudsmandens udtalelse ligger det materiale, som Datatilsynet fremsendte med brev af 15. april 2010. Forbrugerombudsmanden har derudover efter anmodning afholdt møde med Finans og Leasing.
[…]
I relation til samtykket er det oplyst, at dette vil blive indhentet i overensstemmelse med persondatalovens regler. Af materialet fremgår videre, at "såfremt forbrugeren ikke vil give sit samtykke, vil der ikke kunne opnås lån". Det er også af Finans og Leasing bekræftet over for Forbrugerombudsmanden, at samtykke til søgning i databasen i praksis vil blive en betingelse for at opnå et lån.
Der ses ikke at foreligge oplysninger om, hvorvidt samtykket vil omfatte andre forhold end udvekslingen af oplysningerne fra databasen, fx et samtidigt samtykke til at modtage markedsføringsmateriale fra virksomheden og evt. andre enheder inden for samme koncern.
Forbrugerombudsmandens vurdering
For god ordens skyld bemærkes indledningsvis, at forhold vedrørende etableringen og driften af databasen samt angående den modtagende virksomheds behandling af oplysningerne ikke behandles i det følgende, men forudsættes behandlet efter de persondataretlige regler, jf. også nedenfor.
Når det gælder Datatilsynets spørgsmål om samtykke til systematiseret udveksling af oplys-ninger om kreditengagementer som betingelse for indgåelse af en kreditaftale, kan bemærkes, at hverken forbrugerkreditdirektivet og kreditaftaleloven som ændret lov nr. 535 af 26. maj 2010 regulerer selve spørgsmålet om, hvorvidt en database som omhandlet kan eller skal oprettes, men at dette er overladt til national ret. I relation til dansk ret er vi ikke bekendt med anden relevant lovgivning end persondataloven.
I den forbindelse kan også henvises til den kommenterede høringsoversigt fra behandlingen af forslaget til ændring af kreditaftaleloven og markedsføringsloven (L 91 - bilag 2 fra Folketingets Retsudvalg, samling 2009-10). Det anføres bl.a. heri: "Forbrugerkreditdirektivets artikel 8 og 9 vedrørende kreditgivers vurdering af kreditværdighed medfører efter Justitsministeriets opfattelse ikke nogen forpligtelse for medlemsstaterne til at give kreditgiverne øget adgang til offentlige registre eller til udveksling af oplysninger om forbrugeres økonomiske forhold. Persondataloven, der gennemfører direktiv 95/46/EF, fastsætter sammen med de eventuelle særregler, der måtte gælde for de pågældende registre, rammerne for videregivelse af personoplysninger fra registre. Justitsministeriet finder, at de gældende regler i persondataloven på en hensigtsmæssig måde afbalancerer hensynet til beskyttelsen af de registrerede personers privatliv over for hensynet til dataudveksling med henblik på kreditværdighedsvurdering."
Forbrugerombudsmandens vurdering af, hvorvidt der herefter er noget til hinder for, at en lånegiver som betingelse for en kreditaftale kræver et samtykke til en systematiseret udveksling af oplysninger om forbrugerens øvrige kreditengagementer, sker på grundlag af markedsføringslovens § 1, stk. 1, om god markedsføringsskik, jf. Forbrugerombudsmandens føromtalte tilsyn med overholdelsen af den civilretlige forbrugerbeskyttelseslovgivning i medfør af denne bestemmelse.
I relation til markedsføringsloven mere generelt optræder spørgsmålet om samtykke specifikt i § 6 om uanmodet henvendelse til bestemte aftagere ("spam" m.m.), hvor det efter forarbejderne til bestemmelsen kræves, at et samtykke skal være informeret og konkretiseret. Efter Forbrugerombudsmandens opfattelse må indgåelse af en aftale desuden ikke være betinget af, at forbrugeren giver samtykke til at modtage markedsføring fra den erhvervsdrivende. Denne opfattelse skal ses i sammenhæng med, at samtykket til enhver tid vil kunne tilbagekaldes, hvorfor en sådan fremgangsmåde også af denne grund ikke er praktisk anvendelig. Forbrugerombudsmanden finder dog ikke denne situation uden videre analog med den situation, som Datatilsynets forespørgsel angår, pga. den tættere sammenhæng mellem samtykkets indhold og aftalens genstand, hvortil kommer den forpligtelse, kreditgiver vil være underlagt til at foretage en kreditvurdering.
I relation til det foreliggende spørgsmål om samtykke til systematiseret udveksling af oplysninger om kreditengagementer kan bemærkes, at forbrugerkreditdirektivets artikel 8, stk. 1, som også gennemført ved § 7 c efter sin ordlyd synes at hvile på en forudsætning om, at der foretages en konkret vurdering af, hvordan oplysningerne til brug for kreditgivers vurdering af forbrugerens kreditværdighed indhentes, jf. også de ovenfor citerede lovbemærkninger. Det er Forbrugerombudsmandens opfattelse, at en sådan konkret vurdering må føre til, at det ikke i alle tilfælde vil være nødvendigt og relevant at foretage en søgning i en database med oplysninger om kreditengagementer, og at det derfor heller ikke vil være sagligt at betinge indgåelse af en kreditaftale af, at forbrugeren giver samtykke hertil.
I vurderingen af, hvordan oplysningerne indhentes, kan lånebeløbets størrelse indgå som en faktor, ligesom anden sikkerhed som ved fx køb med ejendomsforbehold evt. også kan være af betydning, idet det i sidste ende må bero på en konkret vurdering af de samlede omstændigheder, hvordan kreditgiver skal opfylde sin forpligtelse efter § 7 c.
Der er med kreditaftalelovens § 7 c tale om en endnu ikke ikrafttrådt og i dansk ret ny bestemmelse, hvis anvendelse der følgelig ikke har været anledning til nærmere at vurdere i praksis. På det foreliggende grundlag er det dog som anført Forbrugerombudsmandens opfattelse, at det ikke vil være foreneligt med § 7 c og dermed heller ikke i overensstemmelse med god markedsføringsskik i alle tilfælde at kræve samtykke til systematiseret udveksling af oplysninger om kreditengagementer som betingelse for indgåelse af en kreditaftale således som forudsat i Finans og Leasings koncept.
Det kan endelig oplyses, at Forbrugerombudsmanden ikke fra sin tilsynsmyndighed er be-kendt med fortilfælde om andre, lignende systematiserede udvekslinger af oplysninger om forbrugere.
4. Finans og Leasings synspunkter
4.1. I brevet af 27. juli 2010 har Finans og Leasing bl.a. anført, at organisationen ikke er enig i Forbrugerombudsmandens synspunkt om, at der ud af forbrugerkreditdirektivets artikel 8 eller markedsføringsloven kan læses et forbud mod, at kreditgiver betinger sig at indhente oplysninger i en database, hvis dette efter kreditgivers opfattelse er nødvendigt for at have et fyldestgørende grundlag for kreditvurderingen.
Efter foreningens opfattelse er det afgørende en vurdering af ordene "på grundlag af fyldestgørende oplysninger" i direktivets art. 8 (kreditaftalelovens § 7 c). Hvis en vurdering af dette krav fører til, at det er nødvendigt med oplysninger om eksisterende gæld, må disse oplysninger efter foreningens opfattelse kunne indhentes af kreditgiver hos forbrugeren, i databaser, via offentlige kilder mv., alt efter hvad der giver den største sikkerhed for korrekte og opdaterede oplysninger og dermed det bedst mulige grundlag for kreditvurdering til gavn for låneansøger netop som forudsat i forbrugerkreditdirektivets bestemmelser om "responsible lending".
Ordene "Hvor det er relevant, indhentes hos forbrugeren og, hvor det er nød-vendigt, ved søgning i relevante databaser", som Forbrugerombudsmanden lægger vægt på i sin fortolkning, skal efter foreningens opfattelse læses på en helt anden måde. Anvendelse af ordet nødvendigt er efter foreningens opfattelse alene en understregning af, at kreditgiver ikke nødvendigvis er forpligtet til at konsultere enhver database.
Det ses ikke sjældent, at en person i løbet af ganske kort tid - dvs. inden for samme indkomstår - samler sig en stor gæld via optagelse af mange mindre lån hos forskellige udbydere. Det er foreningens opfattelse, at mange af de tilfælde af overgældsætning, der er set de senere år, og som har været flittigt omtalt i medierne, vil kunne blive stoppet via opslag i "Kreditoversigten". Det bliver vanskeliggjort, hvis ikke kreditgiver som betingelse for at foretage kreditvurdering kan få adgang til valide oplysninger om eksisterende gæld hos andre låneudbydere. Det er på den baggrund foreningens opfattelse, at Forbrugerombudsmandens synspunkt vil føre til en svækkelse af den beskyttelse af forbrugerne, som ellers er tilsigtet med bestemmelsen.
4.2. Finans og Leasing anfører videre, at Forbrugerombudsmanden alene har anskueliggjort problemstillingen ud fra forbrugerkreditdirektivets nye krav om responsible lending. Hertil kommer efter foreningens opfattelse også det forhold, at der ikke er kontraheringspligt for kreditgiver til at yde lån, hvoraf følger, at det er op til kreditgiver at fastsætte krav (selvsagt rimelige og saglige) til, hvorledes han ønsker at foretage sin kreditgivning med henblik på at beskytte sig bedst muligt imod at yde lån, som ikke tilbagebetales.
Ifølge Finans og Leasing er et godt eksempel finansiering af en bil via ejendomsforbehold, hvor debitor i tilfælde af misligholdelse ved tilbagelevering af bilen ifølge kreditaftaleloven er fritaget for at hæfte for restgælden. I dette tilfælde har kreditgiver en overordentlig stor egeninteresse i at foretage en tilbundsgående kreditvurdering, da udviklingen på brugtvognsmarkedet uagtet kreditaftalelovens krav om 20 pct. i udbetaling kan bevirke, at bilens gensalgsværdi er langt under restgælden.
Det er Finans og Leasings subsidiære opfattelse, at selv hvis man ikke kan sige, at det følger af forbrugerkreditdirektivet, at der er krav om/mulighed for at indhente de ønskede oplysninger om eksisterende gæld via en database af hensyn til at beskytte lånansøger, så følger denne mulighed af kreditgivers saglige interesse i at beskytte sig selv.
4.3. Uanset at Finans og Leasing finder grundlaget for Forbrugerombudsmandens synspunkter meget tvivlsomme, vil foreningen under alle omstændigheder i det videre arbejde med etablering af Kreditoversigten indrette sig på Forbrugerombudsmandens opfattelse af de krav, der måtte følge af kreditaftaleloven og/eller markedsføringsloven. Foreningen har anmodet om, at dette bliver lagt til grund for Datatilsynets behandling af sagen.
I forhold til Datatilsynets brev til Forbrugerombudsmanden erklærer Finans og Leasing sig uenige i forhold til den deri beskrevne vurdering af forbrugerkreditdirektivet eller den foreslåede ændring af kreditaftaleloven, idet foreningen mener, at kravet om ansvarlig långivning "i allerhøjeste grad lægger op til, at kreditgiver anvender relevante databaser for at gøre kreditvurderingen så god som mulig". Der henvises i den forbindelse til, at 16 EU-lande allerede har positive kreditoplysningssystemer, herunder 6 via en offentlig løsning.
4.4. Finans og Leasing erklærer sig afslutningsvis uenige med Forbrugerrådet, der i en offentlig debat om emnet medio maj 2010 har udtalt, at de eksisterende offentlige registre over dårlige betalere giver danske virksomheder en unik mulighed for at foretage pålidelige og sikre kreditvurderinger af deres kunder. Finans og Leasing påpeger i den forbindelse, at SKATs system ikke indeholder oplysninger om aktuelle låneforhold i modsætning til foreningens påtænkte løsning.
5. Datatilsynet, som har behandlet sagen i Datarådet, skal herefter udtale følgende:
5.1. Datatilsynet har noteret sig, at de virksomheder, som videregiver og indhenter oplysninger ved brug af løsningen, er dataansvarlige6 for deres egne databehandlinger. Herefter må Finans og Leasing eller den hostingvirksomhed, som efter det oplyste skal udbyde løsningen, efter tilsynets opfattelse anses for databehandler7.
Med hensyn til fortolkningen af forbrugerkreditdirektivet, kreditaftaleloven og markedsføringsloven lægger Datatilsynet svaret fra Forbrugerombudsmanden til grund.
5.2. Finans og Leasing har oplyst, at behandling, herunder videregivelse, af kreditengagementsoplysninger sker på baggrund af låneansøgers samtykke, der lever op til persondatalovens § 3, nr. 8.
Hvis oplysningerne om kreditengagementer afgives af en virksomhed, der er omfattet af lov om finansiel virksomhed, finder denne lovs §§ 117-124 anvendelse.
Efter § 117 må kundeoplysninger ikke uberettiget videregives. Finanstilsynet har udtalt8, at finansielle virksomheders indlæggelse af detaljerede oplysninger om kunders engagementer i et datahotel samt videregivelse af oplysninger fra datahotellet til brug for kreditvurdering alene kan ske med de berørte personers forudgående samtykke, jf. lov om finansiel virksomhed § 117, stk. 1.
I den foreliggende situation vil der derfor først ved kundens/låneansøgers samtykke kunne ske en udveksling af engagementsoplysninger.
Når der er tale om virksomheder, som ikke er omfattede af lov om finansiel virksomhed, finder persondataloven anvendelse. I dette tilfælde lovens § 6, stk. 1, nr. 1-7, idet oplysninger, som udveksles i den påtænkte løsning, er almindelige ikke-følsomme oplysninger.
Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.
Efter Datatilsynets opfattelse er oplysninger om gældsforhold af en sådan privat og fortrolig karakter, at de ikke kan videregives uden samtykke efter interesseafvejningsreglen i § 6, stk. 1, nr. 7. Oplysningerne om gældsforhold kan således alene videregives på baggrund af udtrykkeligt samtykke, jf. § 6, stk. 1, nr. 1.
Datatilsynet forudsætter derfor, at udvekslingen af engagementsoplysninger kun sker, når der foreligger et udtrykkeligt samtykke fra den berørte person. Det afgivne samtykke skal både, hvor det afgives efter lov om finansiel virksomhed § 117 og efter persondatalovens § 6, stk. 1, nr. 1, overholde persondatalovens § 3, nr. 8, dvs. samtykket skal være frivilligt, specifikt og informeret.
Datatilsynet har i øvrigt noteret sig, at Finanstilsynet i en anden sag tidligere har accepteret videregivelse af kundeoplysninger i et lignende system på baggrund af kundens udtrykkelige samtykke.
5.3. I persondatalovens § 5 fastsættes en række grundlæggende principper for den dataansvarliges behandling af oplysninger.
Efter lovens § 5, stk. 2, skal indsamlingen af oplysninger ske til udtrykkeligt angivne og saglige formål, og senere behandling af oplysninger må ikke være uforenelig med disse formål.
Efter lovens § 5, stk. 3, skal oplysningerne, der behandles, være relevante og tilstrækkelige, og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne er indsamlet, og de formål, hvortil oplysningerne senere behandles.
Datatilsynet må lægge til grund, at ansvarlig långivning, herunder forbrugerbeskyttelse samt ansvarlig låntagning, er saglige formål, der kan begrunde behandling af en række økonomiske oplysninger om en låneansøger. Datatilsynet lægger herved vægt på, at en finansiel virksomhed lovgivningsmæssigt er forpligtet til at anmode en kunde om at oplyse om sin økonomiske situation m.v., før virksomheden rådgiver9.
For at opfylde persondatalovens krav om saglighed er det imidlertid efter Datatilsynets opfattelse en afgørende forudsætning, at de tilsluttede virksomheder kun anvender Kreditoversigten til aktuel behandling/kreditgivning, og at udvekslede oplysningerne ikke anvendes til andre formål, heller ikke internt hos kreditgiver.
Finans og Leasing må således i betingelserne for brug af tjenesten sikre sig, at løsningen alene anvendes til kreditvurdering i en aktuel sag, herunder i relation til ansvarlig långivning, og ikke til markedsføring eller andre formål.
Ud fra de foreliggende oplysninger - herunder udtalelsen fra Forbrugerombudsmanden - finder Datatilsynet, at udveksling af oplysninger om en låneansøgers eksisterende kreditengagementer på grundlag af udtrykkeligt samtykke må antages at opfylde kravet om proportionalitet i persondatalovens § 5, stk. 3, i en række tilfælde, hvor en långiver overvejer at etablere eller udvide en kreditramme.
Om indsamling af oplysninger kan finde sted, må imidlertid efter Datatilsynets opfattelse bero på en konkret vurdering af, om dette er nødvendigt i det enkelte tilfælde.
Datatilsynet skal i den forbindelse anmode Finans og Leasing om - allerede før systemet tages i brug - at beskrive situationer, hvor det ikke vil være nødvendigt for kreditgivere at indhente oplysninger via systemet. Der kan i den forbindelse peges på situationer med mindre låneforhøjelser eller etablering af mindre kreditengagementer, hvor den samlede kredit ikke overstiger et vist beløb. Beskrivelsen af de situationer, hvor der ikke er grundlag for at indhente oplysninger, bør indgå i vejledningsmaterialet til brugerne/de tilsluttede virksomheder.
Det af Finans og Leasing anførte, herunder at forbrugerkreditdirektivet lægger op til, at kreditgiver anvender relevante databaser for at gøre kreditvurderingen så god som mulig, kan efter Datatilsynets opfattelse ikke føre til, at kravet om en konkret vurdering i det enkelte tilfælde fraviges.
Det er endvidere en forudsætning, at udvekslingen af oplysninger begrænses mest muligt og kun omfatter de oplysninger, som er nødvendige i forhold til formålet. Datatilsynet lægger til grund, at det ud over identifikationsoplysninger alene omfatter lånetype, hovedstol af lånet/kreditrammen, stiftelsestidspunkt og aktuel saldo.
5.4. Persondataloven indeholder i kapitel 8 og 9 den registreredes rettigheder.
Rettighederne omfatter bl.a. efter lovens § 28 og § 29 oplysningspligt over for den registrerede ved indsamling af oplysninger.
Der er desuden ret til indsigt efter § 31, indsigelsesret efter § 35, ret til berigtigelse, sletning eller blokering efter § 37, ret til at tilbagekalde sit samtykke efter § 38, ret til at gøre indsigelse mod edb-behandlede individuelle afgørelser efter § 39 samt ret til at klage til vedkommende tilsynsmyndighed efter § 40.
Herunder er der i bekendtgørelse om pengeinstitutters afgivelse af kreditoplysninger bestemmelser, der giver rettigheder for kunder i forbindelse med et pengeinstituts afgivelse af kreditoplysninger om den registrerede.
Finans og Leasing påtænker efter det oplyste at indrette løsningen således, at de registrerede får adgang til oplysninger om dem selv via internettet.
I den forbindelse lægger Datatilsynet til grund, at Finans og Leasing - eller hostingvirksomheden - som databehandler vil give indsigt i oplysninger, der udveksles i løsningen, på vegne af de dataansvarlige virksomheder, som ved brug af løsningen henholdsvis indhenter og videregiver personoplysninger. Datatilsynet lægger endvidere til grund, at der er tale om en privatlivsfremmende funktionalitet, der som supplement til indsigtsretten efter persondataloven vil øge transparensen og gennemsigtigheden for de registrerede borgere.
Datatilsynet skal understrege, at de enkelte dataansvarlige, som benytter ordningen, fortsat har pligt til at besvare indsigtsanmodninger i overensstemmelse med persondatalovens § 31. Det er endvidere de tilsluttede virksomheder, som har ansvaret for at overholde de øvrige regler om registreredes rettigheder.
5.5. Persondatalovens kapitel 11 indeholder en række regler om behandlingssikkerhed.
Kapitlet indeholder bl.a. § 41, stk. 3, hvorefter den dataansvarlige skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
I medfør af persondatalovens § 41, stk. 5, er der i sikkerhedsbekendtgørelsen fastsat nærmere krav til de sikkerhedsforanstaltninger, som offentlige myndigheder skal iagttage.
For at leve op til det generelle krav om datasikkerhed i persondatalovens § 41, stk. 3, må Finans og Leasing eller den, der udbyder tjenesten, efter Datatilsynets opfattelse etablere en sikkerhed, der som udgangspunkt lever op til de sikkerhedskrav, der er beskrevet i sikkerhedsbekendtgørelsen.
5.6. Ud over persondatalovens regler og reglerne i lov om finansiel virksomhed forudsætter Datatilsynet ligeledes, at anden relevant lovgivning overholdes.
Der kan i den forbindelse navnlig henvises til kreditaftaleloven og markedsføringsloven, jf. Forbrugerombudsmandens udtalelse.
Desuden forudsætter Datatilsynet, at deltagende pengeinstitutter iagttager bekendtgørelse om pengeinstitutters afgivelse af kreditoplysninger, som er udstedt i medfør af persondataloven.
6. Afsluttende bemærkninger
Datatilsynet forudsætter, at Finans og Leasing meddeler de virksomheder, som ønsker at tilslutte sig løsningen, at brugen heraf kun lovligt kan ske med de begrænsninger og under de forudsætninger, som Datatilsynet har opstillet.
Datatilsynet forventer at offentliggøre/omtale denne udtalelse på tilsynets hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, udstedt i medfør af persondataloven
3 Lovbekendtgørelse nr. 467 af 29. april 2010 om finansiel virksomhed
4 Bekendtgørelse nr. 157 af 25. februar 2009 af lov om kreditaftaler
5 Bekendtgørelse nr. 531 af 15. juni 2000 om pengeinstitutters afgivelse af kreditoplysninger, udstedt i medfør af persondataloven, udstedt i medfør af persondataloven
6 jf. persondatalovens § 3, nr. 4
7 jf. persondatalovens § 3, nr. 5
8 Finanstilsynets udtalelse af 25. juni 2004
9 "Kend-din-kunde-princippet", jf. bekendtgørelse nr. 965 af 30. september 2009 om god skik for finansielle virksomheder"