Journalnummer: 2016-221-0552
Datatilsynet vender hermed tilbage til sagen, hvor virksomhed A har klaget over Creditsafe Denmark ApS.
Datatilsynet har forstået klagers henvendelse som en klage over, at Creditsafe Denmark ApS har registreret virksomhed A i Creditsafe Denmark ApS’ erhvervsdatabase, og at Creditsafe Denmark ApS har kreditvurderet virksomhed A uden at være i besiddelse af tilstrækkelige oplysninger til at foretage en korrekt vurdering.
Datatilsynets afgørelse
Datatilsynet finder ikke anledning til at udtale kritik af Creditsafe Denmark ApS’ registrering af virksomhed A i erhvervsdatabasen.
Datatilsynet finder det derimod kritisabelt, at Creditsafe Denmark ApS’ kreditvurdering af virksomhed A ikke har levet op til persondatalovens § 20.
På den baggrund skal Datatilsynet anmode Creditsafe Denmark ApS om at slette den foretagne kreditvurdering inden 4 uger fra dette brevs dato, samt orientere tilsynet, når sletningen er foretaget.
En nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse følger nedenfor
Sagsfremstilling
Klager har den 20. september 2016 klaget til Datatilsynet over registrering hos Creditsafe Denmark ApS.
Creditsafe Denmark ApS er den 2. januar 2017 fremkommet med en udtalelse til sagen, som klager har kommenteret ved e-mail af 23. januar 2017.
Det fremgår af sagen, at virksomhed A ved e-mail af 12. september 2016 har modtaget meddelelse fra Creditsafe Denmark ApS om, at virksomheden er registreret i Creditsafe Denmark ApS’ erhvervsdatabase.
Det fremgår endvidere af sagen, at klager ved e-mail af 12. september 2016 har rettet henvendelse til Creditsafe Denmark ApS med en anmodning om, at virksomheden bliver slettet i erhvervsdatabasen, idet klager ikke ønsker virksomheden registreret heri.
Herudover fremgår det af sagen, at Creditsafe Denmark ApS ved e-mail af 13. september 2016 har meddelt klager, at Creditsafe Denmark ApS ikke agter at slette oplysningerne om virksomhed A i erhvervsdatabasen.
Ydermere fremgår det af sagen, at Creditsafe Denmark ApS har foretaget en kreditvurdering af virksomhed A.
Kreditvurderingen af virksomhed A fremstår som en rapport indeholdende informationer om virksomhedens nuværende og tidligere navne, CVR-nummer, klagers virksomheds startdato, virksomhedsformen, branchekoden, adresse, herunder e-mailadresse, telefonnummer og antal medarbejdere fordelt efter årstal.
Hertil kommer, at virksomhed A er angivet med [udeladt], som international score, samt [udeladt], som lokal score, hvilket beskrives som en moderat risiko, ligesom der er fastsat en kreditbegrænsning på 25.000 kr. for virksomheden.
Creditsafe Denmark ApS har anført, at virksomhed A er registreret med hjemmel i persondatalovens § 20, stk. 1, og at Creditsafe Denmark ApS har tilladelse fra Datatilsynet til at drive kreditoplysningsvirksomhed, herunder registrere erhvervsvirksomheder.
Creditsafe Denmark ApS har endvidere anført, at Creditsafe Denmark ApS foretager kreditbedømmelser/kreditscores af bl.a. danske enkeltmandsvirksomheder på baggrund af oplysninger fra CVR, og at for enkeltmandsvirksomhederne indgår der dagligt opdateret informationer fra Virk.dk.
I tilfælde af, at en virksomhed ikke har udarbejdet et årsregnskab, vil parametrene – der indgår i beregningen af kreditscoren – være informationer om den enkelte virksomheds stiftelsestidspunkt, branchekode, ledelse, antal medarbejdere, beliggenhed, virksomhedsform, tid på adressen samt om virksomheden indgår i en koncern.
Desuden har Creditsafe Denmark ApS anført, at informationerne samles i en ratingmodel, hvor den enkelte virksomhed angives med en lokal og en international score samt en angivelse af risikoen. Den internationale score angives i et interval fra A til E, hvor A angives som en lav risiko. Den lokale score angives i et interval indtil 100, der tilsvarende angives som en lav risiko.
Klager har anført, at klager ikke ønsker, at virksomhed A skal være registreret i Creditsafe Denmark ApS’ erhvervsdatabase.
Klager har endvidere anført, at Creditsafe Denmark ApS foretager en bedømmelse af virksomhed As kreditevne, og at Creditsafe Denmark ApS – efter klagers opfattelse – ikke ligger inde med tilstrækkelige oplysninger til at kunne foretage en sådan bedømmelse, og at klager ønsker mulighed for at kunne fravælge registreringen i Creditsafes erhvervsdatabase.
Datatilsynets begrundelse
1. Persondataloven1 gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Personoplysninger er i lovens § 3, nr. 1, defineret som enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). Det bemærkes herved, at oplysninger vedrørende enkeltmandsejede virksomheder anses for personoplysninger omfattet af loven.
Datatilsynet lægger til grund, at der i forbindelse med Creditsafe Denmark ApS’ behandling af oplysninger om virksomhed A sker transmission, bearbejdning og videregivelse af oplysninger om personer. Der er derfor tale om en behandling af oplysninger inden for rammerne af persondatalovens anvendelsesområde, jf. persondatalovens § 3, nr. 2, jf. § 1, stk. 1.
Behandlingen af oplysninger om virksomhed A i kreditoplysningsøjemed er således omfattet af persondataloven, jf. lovens § 1, stk. 1.
2. I persondatalovens kapitel 6 er der fastsat særlige regler for kreditoplysningsbureauers virksomhed.
Det følger af lovens § 20, stk. 1, at kreditoplysningsbureauer kun må behandle oplysninger, som efter deres art er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed. Bestemmelsen fastlægger, hvilke typer af oplysninger et kreditoplysningsbureau må registrere og videregive.
Oplysninger, som er af betydning for bedømmelse af økonomisk soliditet og kreditværdighed, og som dermed kan registreres og videregives, kan være af negativ eller positiv karakter, dvs. tale henholdsvis imod eller for den pågældendes kreditværdighed.
Et kreditoplysningsbureau er ikke forpligtet til at indhente samtykke fra den registrerede til behandling af de pågældende oplysninger.
Oplysninger eller bedømmelser, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges, jf. persondatalovens § 24.
Persondatalovens § 20 – sammenholdt med § 24 – indebærer, at kreditoplysninger og kreditbedømmelser (vurderinger) ikke må være urigtige eller vildledende. En kreditvurdering skal således give læseren et retvisende billede af den undersøgte persons eller virksomheds økonomiske soliditet og kreditværdighed.
Det indebærer efter Datatilsynets opfattelse et krav om, at de oplysninger og vurderinger, som kreditoplysningsbureauer behandler, herunder videregiver, så vidt muligt skal indeholde en retvisende bedømmelse af den konkrete registreredes økonomiske soliditet – og tillige fremstå som sådan.
Creditsafe Denmark ApS’ registrering af virksomhed A i erhvervsdatabasen
Det er Datatilsynets vurdering, at Creditsafe Denmark ApS med hjemmel i persondatalovens § 20, stk. 1, kan behandle oplysninger om virksomhed A i form af bl.a. stamdata trukket fra CVR.
Datatilsynet har herved lagt vægt på, at tilsynet ikke umiddelbart kan tilsidesætte Creditsafe Denmark ApS' vurdering af, om oplysningerne efter deres art er af betydning for bedømmelsen af virksomhed As økonomiske soliditet og kreditværdighed.
Idet der efter det oplyste ikke er tale om, at de oplysninger, Creditsafe Denmark ApS behandler om virksomhed A, er urigtige eller vildledende, kan Datatilsynet således ikke pålægge Creditsafe Denmark ApS at slette oplysningerne fra bureauets database.
Creditsafe Denmark ApS’ kreditvurdering af virksomhed A
Efter en gennemgang af sagen finder Datatilsynet, at Creditsafe Denmark ApS’ kreditvurdering af virksomhed A ikke har levet op til persondatalovens § 20.
Datatilsynet har herved lagt vægt på, at der i scoren ikke indgår økonomiske oplysninger, hvormed der efter Datatilsynets opfattelse ikke gives et retvisende billede af virksomhedens kreditværdighed og betalingsevne i et fremtidigt skyldforhold.
Afsluttende bemærkninger
Kopi af Datatilsynets brev af dags dato til klager vedlægges.
______________________________________
1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger. En sammenskrevet udgave af loven kan ses på Datatilsynets hjemmeside www.datatilsynet.dk under punktet ”lovgivning”.