Brev til kreditoplysningsbureauer om praksisændringer

Publiceret 11-06-2015
Historisk afgørelse

Journalnummer: 2014-221-0285

1. Praksisændring vedrørende finansielle nøgletal

I forbindelse med flere aktuelle sager1 har Datatilsynet nu konkluderet, at videregivelse af standardmæssige finansielle nøgletal ikke skal anses for en aktivitet, der kræver iagttagelse af kapitel 6 i persondataloven.

Datatilsynet har herved bl.a. lagt vægt på, at nøgletallene er beregnet efter almindelige anerkendte formler, og at formidlingen af oplysningerne i dag sker ganske anderledes, end da tilsynet (Registertilsynet) i midten af 1990’erne afgjorde lignende sager.
 
Det vil derfor fremover være tilsynets generelle praksis i forhold til virksomheder, der videregiver standardmæssige finansielle nøgletal (beregnet efter almindelige anerkendte formler), at denne aktivitet ikke anses for omfattet af kapitel 6 i persondataloven om kreditoplysningsbureauer. 

Det er endvidere Datatilsynets opfattelse, at en grafisk præsentation samt en eventuel inddeling i overordnede kategorier (f.eks. ”meget god”, ”god”, ”tilfredsstillende”, etc.) ikke bringer videregivelsen af finansielle nøgletal ind under lovens kapitel 6.

Det er i den forbindelse en afgørende forudsætning, at der ved præsentationen anvendes en standardmæssig inddeling af nøgletallene, og at hjemmesiden indeholder en tydelig forklaring på, hvordan tallene inddeles, ligesom en eventuel farveindeksering eller lignende tydeligt skal være forklaret på hjemmesiden.

2. Datatilsynet tilbyder at indsætte et nyt vilkår 10, stk. 2

Datatilsynet har modtaget henvendelser fra kreditoplysningsbureauer om, hvorvidt det er muligt at fremsende registreringsmeddelelser via e-mail.

Der er blandt andet henvist til, at hovedparten af danske virksomheder i dag kan kontaktes via e-mail. Dette er en konsekvens af, at virksomhederne siden november 2013 har været forpligtet til at modtage digital post fra offentlige myndigheder.

Datatilsynet vil fremadrettet kunne acceptere, at kreditoplysningsbureauer fremsender oplysninger via internettet uden kryptering, når disse alene vedrører registrering og videregivelse af oplysninger fra offentlige tilgængelige kilder.

Dette forudsætter imidlertid en tilføjelse til det gældende vilkår 102  i Datatilsynets tilladelser til kreditoplysningsbureauerne.

Hvis kreditoplysningsbureauet ønsker det, vil Datatilsynet ændre bureauets tilladelse og indsætte et vilkår 10, stk. 2, med følgende formulering:

10. stk. 2.
”Der gælder dog ikke krav om kryptering, hvis der udelukkende fremsendes oplysninger fra offentligt tilgængelige kilder.”

Det er en forudsætning, at bureauet ved eventuel fremsendelse af registreringsmeddelelser via e-mail skal sikre sig, at den anvendte e-mailadresse er korrekt f.eks. ved, at der anvendes e-mailadresser fra CVR.

Det er endvidere en forudsætning, at registreringsmeddelelserne fra kreditoplysningsbureauet ikke antager karakter af reklame/spam-mails i konflikt med markedsføringslovens regler3.

3. Afsluttende bemærkninger

Kreditoplysningsbureauer, der ønsker det nye vilkår 10, stk. 2, indsat i deres tilladelse fra Datatilsynet, bedes meddele tilsynet dette.

Hvis der er tvivl om fortolkningen eller rækkevidden af dette brev, kan forespørgsler rettes til Datatilsynet, gerne telefonisk til fuldmægtig Mads Toftgaard Nielsen på telefonnummer 33 19 32 29.

 

1 Udtalelserne i sagerne med BiQ (j.nr. 2013-631-0069) og Eniro (j.nr. 2013-631-0040) kan ses på tilsynets hjemmeside
2 De vilkår, som Datatilsynets standardmæssigt meddeler kreditoplysningsbureauerne, omfatter bl.a. følgende vilkår:
10. Fremsendelse af oplysninger over det åbne internet må alene sker i forsvarlig krypteret form.
3 Lovbekendtgørelse nr. 58 af 20. januar 2012 med senere ændringer