Udtalelse om Experian A/S' produkt "KreditStatus"

Publiceret 02-12-2010
Historisk afgørelse Private virksomheder

Journalnummer: 2009-220-0001

Vedrørende systematiseret udveksling af kreditoplysninger i KreditStatus

Datatilsynet vender hermed tilbage til sagen vedrørende Experian A/S' ønske om at etablere et nyt produkt "KreditStatus".

Den påtænkte løsning vil give teknisk adgang til oplysninger om en låneansøgers eksisterende kreditengagementer hos andre selskaber, som er tilsluttet systemet. En sådan databehandling skal leve op til persondatalovens regler. Persondataloven indebærer efter Datatilsynets opfattelse, at databehandlingen kun kan finde sted med følgende begrænsninger og under iagttagelse af følgende forudsætninger:

  • De tilsluttede virksomheder er hver især dataansvarlige for enhver behandling af personoplysninger, som sker i tilknytning til den pågældende virksomheds brug af løsningen.
  • Oplysninger om gældsforhold må alene videregives på baggrund af et udtrykkeligt samtykke, der lever op til persondatalovens1 krav.
  • Indsamling af oplysninger via KreditStatus må alene ske i forbindelse med aktuel behandling/kreditgivning.
  • Indsamling af oplysninger via KreditStatus må alene ske efter en konkret vurdering af, om dette er nødvendigt i det enkelte tilfælde.
  • Experian A/S skal i den forbindelse beskrive situationer, hvor det ikke vil være nødvendigt for kreditgiver at indhente oplysninger via systemet, og meddele de tilsluttede virksomheder disse situationer i vejledningsmaterialet.
  • Kun de nødvendige oplysninger må i givet fald udveksles - ud over identifikationsoplysninger er det lånetype, hovedstol af lånet/kreditrammen, stiftelsestidspunkt og aktuel saldo.
  • Oplysninger indsamlet fra KreditStatus må alene anvendes til kreditvurdering, herunder i relation til ansvarlig långivning.
  • Oplysninger indsamlet fra KreditStatus må ikke anvendes til andre formål, heller ikke internt hos kreditgiver.
  • Borgernes adgang til indsigt i registrerede oplysninger i KreditStatus via selvbetjeningsløsningen er et supplement til den almindelige ret til indsigt efter persondataloven.
  • De tilsluttede virksomheder skal overholde persondatalovens øvrige bestemmelser ved anvendelsen af KreditStatus, herunder bl.a.:
    - pligten til at sikre datakvalitet og ajourføring, jf. § 5, stk. 4,
    - sletning af forældede personoplysninger, jf. § 5, stk. 5.
  • Den registrerede borgers rettigheder skal sikres, herunder:
    - oplysningspligt, jf. § 28 og § 29,
    - indsigtsretten, jf. § 31,
    - indsigelsesret, jf. § 35,
    - ret til at få berigtiget, slettet eller blokeret urigtige eller vildledende oplysninger, jf. § 37,
    - ret til at trække et samtykke tilbage, jf. § 38,
    - ret til at gøre indsigelse mod edb-behandlede individuelle afgørelser, jf. § 39,
    - ret til at klage til vedkommende tilsynsmyndighed, jf. § 40.
  • De nødvendige sikkerhedsforanstaltninger skal sikres, jf. § 41, stk. 3, herunder bl.a.:
    -  tildeling af brugeradgang begrænses til medarbejdere hos de deltagen-de virksomheder, for hvem adgangen er nødvendig i forbindelse med deres jobfunktion,
    -  kontrol med, at de autoriserede personer til stadighed opfylder betingelserne,
    -  instruktion af de medarbejdere, der får adgang til løsningen,
    -  registrering (logning) af alle anvendelser af personoplysninger i KreditStatus,
    - logningen skal leve op til § 19, stk. 1, i sikkerhedsbekendtgørelsen2,
    -  sikkerhed for den registreredes rette identitet ved egen acces,
    - edb-teknisk adskillelse, hvis der hos Experian A/S skal foretages sammenstilling af data på vegne af den registrerede i forbindelse med egen acces,
    - kryptering ved transmission af oplysninger om gældsforhold og lignende via internet,
    - databehandleraftale mellem udbyderen af KreditStatus og den tilsluttede kreditgiver, jf. § 42, stk. 2.
  • Anden relevant lovgivning skal overholdes, herunder bl.a.
    - lov om finansiel virksomhed3
    - kreditaftaleloven4
    - bekendtgørelse om pengeinstitutters afgivelse af kreditoplysninger5.

En nærmere gennemgang af sagen følger nedenfor.

2. Sagsfremstilling

2.1. Ved e-post af 2. november 2009 har advokat Pia Kristine Voldmester på vegne af Experian A/S rettet henvendelse til Datatilsynet vedrørende virksomhedens nye koncept - KreditStatus. Der har været afholdt møde mellem repræsentanter for Experian A/S og Datatilsynet den 16. november 2009. Der er desuden ved e-post meddelelser af henholdsvis 19. november, 3. og 18. december 2009 udvekslet yderligere bemærkninger.

Der er den 21. januar 2010 indhentet en udtalelse fra Finansrådet om pengeinstitutternes praksis for afgivelse af kreditoplysninger. Experian A/S har ved e-post af 16. februar 2010 efter anmodning fra Datatilsynet kommenteret denne.

Ved brev af 11. juni 2010 er Forbrugerombudsmanden fremkommet med en udtalelse til sagen, som Experian A/S har kommenteret ved e-post af 17. juni 2010.

2.2. Det fremgår herefter af sagen, at Experian A/S ønsker at etablere en løsning (KreditStatus), der giver kreditgivere inden for den finansielle sektor mulighed for at anvende forskellige kreditvurderingsredskaber, herunder udveksling af positive kreditoplysninger.

Konceptet er en fortsættelse af en engagementsregisterservice, CAIS, hvis oprettelse tidligere er blevet vurderet af Finanstilsynet i henhold til lov om finansiel virksomhed6. Finanstilsynet fandt i den forbindelse, at oprettelsen af registret og dermed videregivelsen af oplysninger til Experian A/S var berettiget efter lovens § 117, idet videregivelsen var baseret på et udtrykkeligt samtykke. Finanstilsynet fandt endvidere, at en forelagt samtykkeerklæring levede op til persondatalovens § 3, nr. 8.

Efter et møde med Forbrugerombudsmanden har Experian A/S præciseret, at den løsning, som Datatilsynet bedes vurdere, giver mulighed for udveksling af kreditoplysninger mellem tilsluttede kreditgivere forud for indgåelse af en kreditaftale baseret på den låneansøgendes udtrykkelige samtykke.

Experian A/S har oplyst, at formålet med KreditStatus er:

  • at bidrage til, at kreditgivere kan leve op til ånden i forbrugerkreditdirektivet og dermed være i stand til at kunne rådgive låneansøger i overensstemmelse med direktivets bestemmelser, navnlig i forhold til ansvarlig långivning og forbrugerbeskyttelse,
  • at forenkle processen for låneansøgere, der frem for selv at fremskaffe den nødvendige dokumentation kan give kreditgiver samtykke til at indhente oplysningerne nemt og smidigt.

Experian A/S har endvidere oplyst, at Experian A/S er databehandler for de oplysninger, der behandles i KreditStatus, idet Experian A/S på en forespørgende virksomheds vegne via en switch trækker kreditoplysninger om låneansøger hos virksomheder, som er tilsluttet KreditStatus, og sender disse til den forespørgende virksomhed.

De tilsluttede kreditgivere, der består af finansielle virksomheder, er dataansvarlige for de kreditoplysninger, som de behandler i KreditStatus.

2.3. Experian A/S har oplyst, at det endnu ikke i detaljer fremgår, hvilke typer af oplysninger der udveksles, men at det f.eks. kan være oplysninger om øvrige kreditengagementers størrelse, balance, afdragsprofiler og status på engagementet. Der vil ikke af de udvekslede oplysninger, som kreditgiveren modtager, fremgå navnet på låneansøgerens øvrige kreditgivere.

KreditStatus omfatter udveksling af oplysninger om kreditengagementer for både privatkunder og erhvervskunder, dvs. både fysiske og juridiske personer.

Løsningen tager afsæt i den situation, hvor en låneansøger ønsker at optage kredit hos en tilsluttet kreditgiver. Udvekslingen er betinget af, at låneansøgeren har givet sit udtrykkelige samtykke til udvekslingen.

Praktisk sker udvekslingen af oplysninger ved en spejling af låneansøgers engagementsoplysninger på en særlig server, som står hos kreditgiver selv, og som Experian A/S' switch trækker fra oplysninger fra ved fremsættelse af en anmodning om udveksling fra en forespørgende virksomhed.

Experian A/S har videre oplyst, at oplysningerne opdateres løbende, og at det ikke er muligt at hente kredithistorik, men alene oplysninger om aktuelle kreditforhold.

Experian A/S har endelig oplyst, at løsningen indeholder en facilitet, hvor låneansøgeren til enhver tid via Experian A/S' online løsning "DinInfo" eller ved henvendelse til Experian A/S kan få adgang til egne oplysninger. Låneansøgeren oplyses herom i samtykkeerklæringen.

3. Forbrugerombudsmandens udtalelse

Forbrugerombudsmanden har i sin udtalelse af 11. juni 2010 til Datatilsynet bl.a. anført følgende om forbrugerkreditdirektivet:

Artikel 8 i Europa-Parlamentets og Rådets direktiv 2008/8/EF af 23. april 2008 om forbrugerkreditaftaler og om ophævelse af Rådets direktiv 87/102/EØF (herefter: forbrugerkreditdirektivet) indfører en forpligtelse for en kreditgiver til dels inden indgåelse af en kreditaftale, dels før enhver væsentlig forhøjelse af det samlede kreditbeløb at vurdere forbrugerens kreditværdighed. Vurderingen skal ske "på grundlag af fyldestgørende oplysninger, der hvor det er relevant, indhentes hos forbrugeren og, hvor det er nødvendigt, ved søgning i den relevante database", jf. artikel 8, stk. 1.

Forbrugerkreditdirektivet regulerer ikke spørgsmålet om, hvorvidt sådanne databaser skal indføres, men lader det være op til national ret i den enkelte medlemsstat. Direktivet fastsætter som nævnt alene, at i det omfang en relevant database i øvrigt findes, skal kreditgiver foretage en søgning i denne, når det er nødvendigt for at vurdere forbrugerens kreditværdighed, ligesom direktivet stiller krav om adgang til sådanne databaser på ikke-diskriminerende vilkår for kreditgivere fra andre medlemsstater, jf. artikel 9. Direktiver tillader endelig, at eventuelle forpligtelser fastsat i en medlemsstats lovgivning i relation til at vurdere en forbrugers kreditværdighed på grundlag af en søgning i relevante databaser kan opretholdes.

Forbrugerkreditdirektivet er gennemført i dansk ret ved lov nr. 535 af 26. maj 2010 om ændring af lov om kreditaftaler og lov om markedsføring. Der er herunder indsat en ny § 7 c i kreditaftaleloven om kreditgivers forpligtelse til at vurdere forbrugerens kreditværdighed. Loven træder, for så vidt angår bl.a. denne bestemmelse, i kraft den 1. november 2010.

Herefter gengiver Forbrugerombudsmanden ordlyden af kreditaftalelovens § 7 c og henviser herefter til lovbemærkningerne til § 7 c, hvoraf følgende fremgår:

Den foreslåede § 7 c svarer til dels til forbrugerkreditdirektivets artikel 8 og fastslår, at kreditgiveren vil være forpligtet til at vurdere forbrugerens kreditværdighed inden en kreditaftale indgås. Kreditvurdering af forbrugeren er ikke reguleret i den gældende kreditaftalelov.

Bestemmelsen indebærer, at kreditgiveren altid vil skulle indhente fyldestgørende oplysninger og på baggrund af disse oplysninger foretage en vurdering af forbrugerens kreditværdighed. Oplysningerne kan efter kreditgiverens skøn indhentes hos forbrugeren og ved søgning i relevante databaser, f.eks. hos kreditoplysningsbureauer.

Bestemmelsen skal ses i sammenhæng med forbrugerkreditdirektivets overordnede formål om at øge forbrugerbeskyttelsen, og vurderingen af forbrugerens kreditværdighed skal derfor ske med henblik på at vurdere, om forbrugeren på baggrund af dennes økonomiske situation ved hjælp af f.eks. løbende indtægter, låneomlægning eller realisation af aktiver vil være i stand til at betale de forudsatte afdrag på kreditbeløbet, og ikke med henblik at vurdere kreditgivers tabsrisiko.

Forbrugerombudsmanden anfører endvidere, at han i medfør af markedsføringslovens § 1, stk. 1, om god markedsføringsskik fører tilsyn med overholdelsen af den civilretlige forbrugerbeskyttelseslovgivning. Således fremgår det også af lovbemærkningerne, at bl.a. Forbrugerombudsmanden fører tilsyn med, hvorvidt en kreditgiver foretager en kreditvurdering i henhold til § 7 c.

I forhold til Experian A/S' koncept "KreditStatus" bemærker Forbrugerombudsmanden:

Det bemærkes, at konceptet efter det oplyste er rettet mod finansielle virksomheder. Efter § 348 i lov om finansiel virksomhed kan Forbrugerombudsmanden anlægge sag mod finansielle virksomheder vedrørende handlinger, der strider mod redelig forretningsskik og god praksis, jf. § 43, stk. 1 og 2, herunder sag om forbud, påbud, erstatning og tilbagesøgning af uretmæssigt opkrævede beløb, og Forbrugerombudsmanden kan således også på det finansielle område tage stilling til god skik-spørgsmål, herunder eventuelle overtrædelser af kreditaftaleloven.

Til grund for Forbrugerombudsmandens udtalelse ligger det materiale, som Datatilsynet fremsendte med brev af 15. april 2010. Forbrugerombudsmanden har derudover efter anmodning afholdt møde med Experian A/S. Experian A/S har efter dette møde telefonisk og ved e-mail orienteret Forbrugerombudsmanden om visse ændringer i konceptet. Denne information lægges også til grund i det følgende.

[…]

Forbrugerombudsmandens vurdering

For god ordens skyld bemærkes indledningsvis, at forhold vedrørende etableringen og driften af databasen samt angående den modtagende virksomheds behandling af oplysningerne ikke behandles i det følgende, men forudsættes behandlet efter de persondataretlige regler, jf. også nedenfor.

Når det gælder Datatilsynets spørgsmål om samtykke til systematiseret udveksling af oplysninger om kreditengagementer som betingelse for indgåelse af en kreditaftale, kan bemærkes, at hverken forbrugerkreditdirektivet og kreditaftaleloven som ændret lov nr. 535 af 26. maj 2010 regulerer selve spørgsmålet om, hvorvidt en database som omhandlet kan eller skal oprettes, men at dette er overladt til national ret. I relation til dansk ret er vi ikke bekendt med anden relevant lovgivning end persondataloven.

I den forbindelse kan også henvises til den kommenterede høringsoversigt fra behandlingen af forslaget til ændring af kreditaftaleloven og markedsføringsloven (L 91 - bilag 2 fra Folketingets Retsudvalg, samling 2009-10). Det anføres bl.a. heri: "Forbrugerkreditdirektivets artikel 8 og 9 vedrørende kreditgivers vurdering af kreditværdighed medfører efter Justitsministeriets opfattelse ikke nogen forpligtelse for medlemsstaterne til at give kreditgiverne øget adgang til offentlige registre eller til udveksling af oplysninger om forbrugeres økonomiske forhold. Persondataloven, der gennemfører direktiv 95/46/EF, fastsætter sammen med de eventuelle særregler, der måtte gælde for de pågældende registre, rammerne for videregivelse af personoplysninger fra registre. Justitsministeriet finder, at de gældende regler i persondataloven på en hensigtsmæssig måde afbalancerer hensynet til beskyttelsen af de registrerede personers privatliv over for hensynet til dataudveksling med henblik på kreditværdighedsvurdering.

Forbrugerombudsmandens vurdering af, hvorvidt der herefter er noget til hinder for, at en lånegiver som betingelse for en kreditaftale kræver et samtykke til en systematiseret udveksling af oplysninger om forbrugerens øvrige kreditengagementer, sker på grundlag af markedsføringslovens § 1, stk. 1, om god markedsføringsskik, jf. Forbrugerombudsmandens føromtalte tilsyn med overholdelsen af den civilretlige forbrugerbeskyttelseslovgivning i medfør af denne bestemmelse.

I relation til markedsføringsloven mere generelt optræder spørgsmålet om samtykke specifikt i § 6 om uanmodet henvendelse til bestemte aftagere ("spam" m.m.), hvor det efter forarbejderne til bestemmelsen kræves, at et samtykke skal være informeret og konkretiseret. Efter Forbrugerombudsmandens opfattelse må indgåelse af en aftale desuden ikke være betinget af, at forbrugeren giver samtykke til at modtage markedsføring fra den erhvervsdrivende. Denne opfattelse skal ses i sammenhæng med, at samtykket til enhver tid vil kunne tilbagekaldes, hvorfor en sådan fremgangsmåde også af denne grund ikke er praktisk anvendelig. Forbrugerombudsmanden finder dog ikke denne situation uden videre analog med den situation, som Datatilsynets forespørgsel angår, pga. den tættere sammenhæng mellem samtykkets indhold og aftalens genstand, hvortil kommer den forpligtelse, kreditgiver vil være underlagt til at foretage en kreditvurdering.

I relation til det foreliggende spørgsmål om samtykke til systematiseret udveksling af oplysninger om kreditengagementer kan bemærkes, at forbrugerkreditdirektivets artikel 8, stk. 1, som også gennemført ved § 7 c efter sin ordlyd synes at hvile på en forudsætning om, at der foretages en konkret vurdering af, hvordan oplysningerne til brug for kreditgivers vurdering af forbrugerens kreditværdighed indhentes, jf. også de ovenfor citerede lovbemærkninger. Det er Forbrugerombudsmandens opfattelse, at en sådan konkret vurdering må føre til, at det ikke i alle tilfælde vil være nødvendigt og relevant at foretage en søgning i en database med oplysninger om kreditengagementer, og at det derfor heller ikke vil være sagligt at betinge indgåelse af en kreditaftale af, at forbrugeren giver samtykke hertil.

I vurderingen af, hvordan oplysningerne indhentes, kan lånebeløbets størrelse indgå som en faktor, ligesom anden sikkerhed som ved fx køb med ejendomsforbehold evt. også kan være af betydning, idet det i sidste ende må bero på en konkret vurdering af de samlede omstændigheder, hvordan kreditgiver skal opfylde sin forpligtelse efter § 7 c.

Der er med kreditaftalelovens § 7 c tale om en endnu ikke ikrafttrådt og i dansk ret ny bestemmelse, hvis anvendelse der følgelig ikke har været anledning til nærmere at vurdere i praksis. På det foreliggende grundlag er det dog som anført Forbrugerombudsmandens opfattelse, at det ikke vil være foreneligt med § 7 c og dermed heller ikke i overensstemmelse med god markedsføringsskik i alle tilfælde at kræve samtykke til systematiseret udveksling af oplysninger om kreditengagementer som betingelse for indgåelse af en kreditaftale.

Således som sagen på nuværende tidspunkt foreligger oplyst for Forbrugerombudsmanden, jf. ovenfor, hvor en kreditgiver ikke vil kunne blive tilsluttet konceptet, såfremt forbrugerens samtykke til søgning i databasen stilles som en betingelse for at opnå et lån, ses konceptet ikke som sådan at give anledning til bemærkninger i relation til Datatilsynets spørgsmål om samtykke til systematiseret udveksling af oplysninger om kreditengagementer.

Det kan endelig oplyses, at Forbrugerombudsmanden ikke fra sin tilsynsvirksomhed er be-kendt med fortilfælde om andre, lignende systematiserede udvekslinger af oplysninger om forbrugere.

4. Experian A/S' synspunkter

Experian A/S har hertil påpeget, at udvekslingen af kreditoplysninger alene sker på baggrund af låneansøgers udtrykkelige samtykke. Experian A/S vil endvidere alene facilitere udvekslingen i det omfang, afgivelsen af samtykket ikke er en betingelse for etablering af en kreditfacilitet hos den forespørgende virksomhed.

5. Datatilsynet, som har behandlet sagen i Datarådet, skal udtale følgende:

5.1. Datatilsynet har noteret sig, at de virksomheder, som videregiver og indhenter oplysninger ved brug af løsningen, er dataansvarlige7 for deres egne databehandlinger. Herefter må Experian A/S, som efter det oplyste skal udbyde løsningen, efter tilsynets opfattelse anses for databehandler8.

Med hensyn til fortolkningen af forbrugerkreditdirektivet, kreditaftaleloven og markedsføringsloven lægger Datatilsynet svaret fra Forbrugerombudsmanden til grund.

5.2. Experian A/S har oplyst, at behandling, herunder videregivelse, af kreditengagementsoplysninger sker på baggrund af låneansøgers samtykke, der lever op til persondatalovens § 3, nr. 8.

Hvis oplysningerne om kreditengagementer afgives af en virksomhed, der er omfattet af lov om finansiel virksomhed, finder denne lovs §§ 117-124 anvendelse.

Efter § 117 må kundeoplysninger ikke uberettiget videregives. Finanstilsynet har udtalt9, at finansielle virksomheders indlæggelse af detaljerede oplysninger om kunders engagementer i et datahotel samt videregivelse af oplysninger fra datahotellet til brug for kreditvurdering alene kan ske med de berørte personers forudgående samtykke, jf. lov om finansiel virksomhed § 117, stk. 1.

I den foreliggende situation vil der derfor først ved kundens/låneansøgers samtykke kunne ske en udveksling af engagementsoplysninger.

Når der er tale om virksomheder, som ikke er omfattede af lov om finansiel virksomhed, finder persondataloven anvendelse. I dette tilfælde lovens § 6, stk. 1, nr. 1-7, idet oplysninger, som udveksles i den påtænkte løsning, er almindelige ikke-følsomme oplysninger.

Behandling kan herefter bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.

Efter Datatilsynets opfattelse er oplysninger om gældsforhold af en sådan privat og fortrolig karakter, at de ikke kan videregives uden samtykke efter interesseafvejningsreglen i § 6, stk. 1, nr. 7. Oplysningerne om gældsforhold kan således alene videregives på baggrund af udtrykkeligt samtykke, jf. § 6, stk. 1, nr. 1.

Datatilsynet forudsætter derfor, at udvekslingen af engagementsoplysninger kun sker, når der foreligger et udtrykkeligt samtykke fra den berørte person. Det afgivne samtykke skal både, hvor det afgives efter lov om finansiel virksomhed § 117 og efter persondatalovens § 6, stk. 1, nr. 1, overholde persondatalovens § 3, nr. 8, dvs. samtykket skal være frivilligt, specifikt og informeret.

Datatilsynet har i øvrigt noteret sig, at Finanstilsynet tidligere har accepteret videregivelse af kundeoplysninger på baggrund af kundens udtrykkelige samtykke, jf. ovenfor under pkt. 2.2.

5.3. I persondatalovens § 5 fastsættes en række grundlæggende principper for den dataansvarliges behandling af oplysninger.

Efter lovens § 5, stk. 2, skal indsamlingen af oplysninger ske til udtrykkeligt angivne og saglige formål, og senere behandling af oplysninger må ikke være uforenelig med disse formål.

Efter lovens § 5, stk. 3, skal oplysningerne, der behandles, være relevante og tilstrækkelige, og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne er indsamlet, og de formål, hvortil oplysningerne senere behandles.

Datatilsynet må lægge til grund, at ansvarlig långivning og forbrugerbeskyttelse er saglige formål, der kan begrunde behandling af en række økonomiske oplysninger om en låneansøger. Datatilsynet lægger herved vægt på, at en finansiel virksomhed lovgivningsmæssigt er forpligtet til at anmode en kunde om at oplyse om sin økonomiske situation m.v., før virksomheden rådgiver10.

For at opfylde persondatalovens krav om saglighed er det imidlertid efter Datatilsynets opfattelse en afgørende forudsætning, at de tilsluttede virksomheder kun anvender KreditStatus til aktuel behandling/kreditgivning, og at udvekslede oplysninger ikke anvendes til andre formål, heller ikke internt hos kreditgiver.

Experian A/S må således i betingelserne for brug af tjenesten sikre sig, at løsningen alene anvendes til kreditvurdering i en aktuel sag, herunder i relation til ansvarlig långivning, og ikke til markedsføring eller andre formål.

Ud fra de foreliggende oplysninger - herunder udtalelsen fra Forbrugerombudsmanden - finder Datatilsynet, at udveksling af oplysninger om en låneansøgers eksisterende kreditengagementer på grundlag af udtrykkeligt samtykke må antages at opfylde kravet om proportionalitet i persondatalovens § 5, stk. 3, i en række tilfælde, hvor en långiver overvejer at etablere eller udvide en kreditramme.

Om indsamling af oplysninger kan finde sted, må imidlertid efter Datatilsynets opfattelse bero på en konkret vurdering af, om dette er nødvendigt i det enkelte tilfælde.

Datatilsynet skal i den forbindelse anmode Experian A/S om - allerede før systemet tages i brug - at beskrive situationer, hvor det ikke vil være nødvendigt for kreditgivere at indhente oplysninger via systemet. Der kan i den forbindelse peges på situationer med mindre låneforhøjelser eller etablering af mindre kreditengagementer, hvor den samlede kredit ikke overstiger et vist beløb. Beskrivelsen af de situationer, hvor der ikke er grundlag for at indhente oplysninger, bør indgå i vejledningsmaterialet til brugerne/de tilsluttede virksomheder.

Det er endvidere en forudsætning, at udveksling af oplysninger begrænses mest muligt og kun omfatter de oplysninger, som er nødvendige i forhold til formålet. Datatilsynet lægger til grund, at det ud over identifikationsoplysninger alene omfatter lånetype, hovedstol af lånet/kreditrammen, stiftelsestidspunkt og aktuel saldo.

5.4. Persondataloven indeholder i kapitel 8 og 9 den registreredes rettigheder.

Rettighederne omfatter bl.a. efter lovens § 28 og § 29 oplysningspligt over for den registrerede ved indsamling af oplysninger.

Der er desuden ret til indsigt efter § 31, indsigelsesret efter § 35, ret til berigtigelse, sletning eller blokering efter § 37, ret til at tilbagekalde sit samtykke efter § 38, ret til at gøre indsigelse mod edb-behandlede individuelle afgørelser efter § 39 samt ret til at klage til vedkommende tilsynsmyndighed efter § 40.

Herunder er der i bekendtgørelse om pengeinstitutters afgivelse af kreditoplysninger bestemmelser, der giver rettigheder for kunder i forbindelse med et pengeinstituts afgivelse af kreditoplysninger om den registrerede.

Experian A/S påtænker efter det oplyste at indrette løsningen således, at de registrerede får adgang til oplysninger om dem selv via en online løsning på internettet eller via henvendelse til Experian A/S.

I den forbindelse lægger Datatilsynet til grund, at Experian A/S som databehandler vil give indsigt i oplysninger, der udveksles i løsningen, på vegne af de dataansvarlige virksomheder, som ved brug af løsningen henholdsvis indhenter og videregiver personoplysninger. Datatilsynet lægger endvidere til grund, at der er tale om en privatlivsfremmende funktionalitet, der som supplement til indsigtsretten efter persondataloven vil øge transparensen og gennemsigtigheden for de registrerede borgere.

Datatilsynet forudsætter, at data, som Experian A/S formidler som databehandler for de tilsluttede virksomheder, holdes adskilt fra de data, som Experian A/S i øvrigt behandler som dataansvarlig. Der henvises til det i pkt. 5.5. anførte om it-teknisk adskillelse.

Datatilsynet skal understrege, at de enkelte dataansvarlige, som benytter ordningen, fortsat har pligt til at besvare indsigtsanmodninger i overensstemmelse med persondatalovens § 31. Det er endvidere de tilsluttede virksomheder, som har ansvaret for at overholde de øvrige regler om registreredes rettigheder.

5.5. Persondatalovens kapitel 11 indeholder en række regler om behandlingssikkerhed.

Kapitlet indeholder bl.a. § 41, stk. 3, hvorefter den dataansvarlige skal træffe de fornødne tekniske og organisatoriske foranstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

I medfør af persondatalovens § 41, stk. 5, er der i sikkerhedsbekendtgørelsen fastsat nærmere krav til de sikkerhedsforanstaltninger, som offentlige myndigheder skal iagttage.

Det er Datatilsynets opfattelse, at Experian A/S skal etablere en sikkerhed, der som udgangspunkt lever op til sikkerhedskravene i sikkerhedsbekendtgørelsen.

Efter Datatilsynets opfattelse medfører persondatalovens sikkerhedskrav desuden, at der må sikres edb-teknisk adskillelse mellem oplysninger, der behandles af Experian A/S som databehandler i KreditStatus, og de oplysninger, som Experian A/S behandler i andre sammenhænge som kreditoplysningsbureau.

Datatilsynet henviser herved til sine tidligere tilkendegivelser om løsninger, hvor Experian A/S håndterer personoplysninger som databehandler.

5.6. Ud over persondatalovens regler og reglerne i lov om finansiel virksomhed forudsætter Datatilsynet ligeledes, at anden relevant lovgivning overholdes.

Der kan i den forbindelse navnlig henvises til kreditaftaleloven og markedsføringsloven, jf. Forbrugerombudsmandens udtalelse.

Desuden forudsætter Datatilsynet, at deltagende pengeinstitutter iagttager bekendtgørelse om pengeinstitutters afgivelse af kreditoplysninger, som er udstedt i medfør af persondataloven.

6. Afsluttende bemærkninger

Datatilsynet forudsætter, at Experian A/S meddeler de virksomheder, som ønsker at tilslutte sig løsningen, at brugen heraf kun lovligt kan ske med de begrænsninger og under de forudsætninger, som Datatilsynet har opstillet.

Datatilsynet forventer at offentliggøre/omtale denne udtalelse på tilsynets hjemmeside.

 

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer

2 Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, udstedt i medfør af person-dataloven

3 Lovbekendtgørelse nr. 467 af 29. april 2010 om finansiel virksomhed

4 Bekendtgørelse nr. 157 af 25. februar 2009 af lov om kreditaftaler

5 Bekendtgørelse nr. 531 af 15. juni 2000 om pengeinstitutters afgivelse af kreditoplysninger, udstedt i medfør af persondataloven, udstedt i medfør af persondataloven

6 Lovbekendtgørelse nr. 793 af 20. august 2009 om lov om finansiel virksomhed

7 jf. persondatalovens § 3, nr. 4

8 jf. persondatalovens § 3, nr. 5

9 Finanstilsynets udtalelse af 25. juni 2004

10 "Kend-din-kunde-princippet", jf. bekendtgørelse nr. 965 af 30. september 2009 om god skik for finansielle virksomheder"