Logo og hjelpeverktøy

Hovedmeny

For virksomheter som ønsker å bestille en kredittvurdering

Den som bestiller en kredittvurdering, må ha et rettslig grunnlag for å ta den imot og bruke den. Her går vi gjennom hvilke regler som gjelder for den som bestiller en kredittvurdering. 

For virksomheter som ønsker å bestille en kredittvurdering
For virksomheter som ønsker å bestille en kredittvurdering

Kredittvurdering

En kredittvurdering er et resultat av sammenstilling av personopplysninger fra mange ulike kilder, og viser et tall som angir sannsynligheten for at en fysisk person vil betale en fordring.

En kredittvurdering betyr i tillegg at den behandlingsansvarlige får utlevert opplysninger om en fysisk persons inntekt, gjeldsgrad, eventuelle betalingsanmerkninger og frivillige pantsettelser, samt kredittverdighet.

Dette er private opplysninger som enkeltpersoner har en høy forventning om at virksomheter ikke henter inn med mindre det er saklig begrunnet i for eksempel et kundeforhold. 

Mange virksomheter har avtale med en kredittopplysningsvirksomhet, og det er veldig enkelt å kredittvurdere noen når man først har slik tilgang. Gjennom en slik avtale har virksomhetene typisk tilgang til en nettportal eller de har en integrert funksjon i eget regnskapssystem der de kan søke opp fysiske personer eller enkeltpersonsforetak.

Selv om det er enkelt å kredittvurdere noen, er det imidlertid ikke fritt frem. Personvernforordningen krever at virksomheten har et rettslig grunnlag når den skal kredittvurdere en fysisk person eller et enkeltpersonforetak.

Vi vil her forklare hvilke regler som gjelder for den som bestiller en kredittvurdering. Vi har laget en egen veiledning om reglene som gjelder for kredittopplysningsvirksomhetene.

Vi har også laget utfyllende veiledning om kredittvurderinger av potensielle arbeidstakere

Rettslig grunnlag

Virksomheten som kredittvurderer noen er i utgangspunktet å regne som behandlingsansvarlig etter personvernforordningen. Det betyr at virksomheten har ansvaret for å oppfylle kravene i personvernregelverket.

Å bestille eller innhente en kredittvurdering, innebærer en behandling av personopplysninger. Dette gjelder også kredittvurderinger av enkeltpersonforetak (ENK).

Kredittopplysningsvirksomhetene skal ha et rettslig grunnlag for å utlevere kredittvurderingen i kredittopplysningsloven, og den som bestiller kredittvurderingen skal ha et rettslig grunnlag for å ta den imot og bruke den.

Før personvernforordningen (GDPR) trådte i kraft i 2018, var kredittvurderinger spesialregulert i personopplysningsforskriften kapittel 4. Forskriften krevde at den som skulle kredittvurdere noen hadde et "saklig behov" for dette.

Den nye kredittopplysningsloven viderefører også kravet om "saklig behov" for utlevering av kredittopplysninger. Personvernforordningen gir imidlertid ikke nasjonalt handlingsrom for å særregulere den enkelte mottakers behandling av kredittopplysninger. Den nye kredittopplysningsloven har derfor kun kredittopplysningsvirksomhetene som pliktsubjekt, og ikke den enkelte virksomheten som bestiller en kredittvurdering.

Konsekvensen av dette er at saklig behov ikke direkte er et tilleggsvilkår for den enkelte virksomheten som innhenter kredittopplysninger.

Praksis fra Datatilsynet og Personvernnemnda knyttet til det tidligere kravet i personopplysningsforskriften, er imidlertid fortsatt relevant når virksomheten vurderer om de har en berettiget interesse. Dette fordi vurderingen av saklig behov og berettiget interesse har nær sammenheng.

Virksomheten som kredittvurderer noen må ha et rettslig grunnlag i personvernforordningen artikkel 6 nr. 1. Bestemmelsen inneholder flere alternative rettslige grunnlag, og den som skal bestille en kredittvurdering må sjekke at et av grunnlagene er oppfylt før de kredittvurderer noen.

For mange virksomheter vil artikkel 6 nr. 1 bokstav f, interesseavveining, være det mest aktuelle rettslige grunnlaget for å kredittvurdere. Noen virksomheter kan også ha en rettslig forpliktelse til å kredittvurdere.

I følge personvernforordningen kan en virksomhet behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen må være lovlig, klart definert på forhånd, reell, og saklig begrunnet i virksomheten.

Artikkel 6 nr. 1 bokstav f inneholder tre vilkår som alle må være oppfylt for at en kredittvurdering skal være lovlig:

  1. Den som kredittvurderer må ha en berettiget interesse
  2. Kredittvurderingen må være nødvendig for å oppfylle den berettigede interessen, og
  3. Virksomhetens interesse i å kredittvurdere må veie tyngre enn personvernulempene for den som blir kredittvurdert (interesseavveining).

For kredittvurdering av juridiske personer, gjelder kravet til saklig behov som fremgår av kredittopplysningsloven.

1. Berettiget interesse

For det første må man altså ha en berettiget interesse å kredittvurdere noen. Kredittvurderingen må være saklig begrunnet i virksomheten, og knyttet til et konkret og reelt behov.

Dette vil typisk være oppfylt dersom en person handler på kreditt eller med faktura fra en virksomhet. Handel på kreditt utgjør en økonomisk risiko for den enkelte virksomheten. Virksomheten har i dette tilfellet en berettiget interesse i å senke denne økonomiske risikoen gjennom å kunne forsikre seg om at en person som handler på kreditt kan betale for varene eller tjenesten vedkommende har kjøpt.

Eksempel

Et typisk eksempel på en kredittsituasjon er teleoperatøren som yter telefonitjenester til en abonnent, der abonnenten betaler etter at tjenesten er levert.

Daglig leder eller andre i virksomheten har ikke lov til å kredittvurdere noen for bruk til egne formål. En virksomhets tilgang til kredittvurderingsverktøy skal kun brukes for saklige begrunnede formål i virksomheten. Dersom man som privatperson mener å ha behov for en kredittvurdering må man kontakte et kredittopplysningsselskap direkte, og ikke bruke virksomhetens tilgang til dette. Datatilsynet har i flere saker ilagt overtredelsesgebyr til virksomheter der daglig leder har kredittvurdert noen for egen privat bruk.

Det er ofte kravet om berettiget interesse som ikke har vært oppfylt i de sakene der vi har kommet til at en kredittvurdering er ulovlig.

Eksempel 2

Daglig leder i X AS har en nabo som skal utføre byggearbeider på sin eiendom. I den forbindelse er daglig leder redd for skader på egen eiendom, og om naboen kan betale for eventuelle skader. X AS har abonnement hos et kredittopplysningsselskap, og daglig leder bruker derfor sin tilgang til å søke opp naboen og sjekke privatøkonomien. Denne kredittvurderingen er ikke lovlig.

Eksempel 3

Daglig leder i Z ASA er midt i et skillsmisseoppgjør. Hun lurer i den forbindelse på hvordan det egentlig står til med økonomien til den tidligere ektefellen. Hun bruker derfor selskapets abonnement hos et kredittopplysningsselskap til å søke opp eksen slik at hun kan bruke denne informasjonen i skilsmissen. Å bruke virksomhetens tilgang på denne måten er ikke lovlig. 

2. Nødvendighet

Nødvendighetsvilkåret innebærer at kredittvurderingen må være nødvendig for formål knyttet til den berettigede interessen. Den behandlingsansvarlige må vurdere om den kan oppnå formålet på en måte som bedre ivaretar personvernet, og må velge den behandlingen som er minst inngripende. Vilkåret innebærer også at behandlingen må være egnet for å oppnå formålet.

3. Interesseavveining

Den behandlingsansvarlige må foreta en interesseavveining for å avgjøre om den enkeltes personvern veier tyngre enn virksomhetens berettigede interesse i å kredittvurdere. Hvilke type opplysninger det er aktuelt å behandle, for eksempel om innhenting av de aktuelle opplysningene kan oppleves krenkende, og hvilke forventninger enkeltpersonen har til behandlingen av personopplysningene, er relevante momenter i interesseavveiningen.

En kredittvurdering utgjør som nevnt over et betydelig inngrep i en enkeltpersons rett til personvern.

På den andre siden innebærer det en økonomisk risiko for en virksomhet når den tillater handel på kreditt. Den behandlingsansvarlige har da en tungtveiende interesse i senke denne økonomiske risikoen gjennom å kunne forsikre seg om at en person som handler på kreditt kan betale for varene eller tjenesten vedkommende har kjøpt. Handel på kreditt vil altså være en situasjon der virksomheten typisk oppfyller interesseavveiningen.

Særlig om samtykke

Samtykke fra den registrerte er et av de rettslige grunnlagene i personvernforordningen. Regelverket inneholder imidlertid strenge regler for hva som er et gyldig samtykke.

Et samtykke skal blant annet være gitt frivillig fra den registrerte. I situasjoner der man ønsker å kredittvurdere noen, kan det være utfordrende å sikre at et samtykke er frivillig fra den som skal kredittvurderes og virksomheten bør derfor som hovedregel ikke bruke samtykke som rettslig grunnlag ved kredittvurdering.

Dersom enkeltpersoner for eksempel ikke får kjøpt varer eller tjenester fordi de ikke samtykker til kredittvurdering, vil de negative konsekvensene av å ikke samtykke og presset om å samtykke i situasjonen gjøre at et eventuelt samtykke ikke oppfyller kravet til frivillighet.

Gjenpartsbrev og informasjonsplikt

Når en virksomhet kredittvurderer noen, skal den som blir kredittvurdert få tilsendt et gjenpartsbrev fra den aktuelle kredittopplysningsvirksomheten. Gjenpartsbrevet sier hvilken virksomhet som har gjennomført kredittvurderingen, og viser hvilken informasjon som har blitt utlevert.

Virksomheten som bestiller en kredittvurdering, har etter personvernforordningen også en egen informasjonsplikt overfor den de kredittvurderer.

Informasjonsplikten innebærer blant annet at en virksomhet må gi den registrerte informasjon om hvorfor det blir kredittvurdert, hvilket rettslig grunnlag det er for kredittvurderingen, og hva kredittvurderingen skal brukes til.

Personvernforordningen artikkel 12 og 14 inneholder krav til hvilken informasjon som skal gis, og sier at informasjonen må være enkelt tilgjengelig og lett for den registrerte å forstå.
Les mer om virksomhetenes informasjonsplikt. 

Skriftlige rutiner

Virksomheten må sikre at det bare blir innhentet kredittopplysninger når det er lov, og bør derfor ha skriftlige rutiner for når den kan kredittvurdere noen. Skriftlige rutiner skal gjøre det enklere å følge regelverket, og kan for eksempel inneholde typiske situasjoner som den ansatte kan sjekke når de har behov for å kredittvurdere noen.

Tilgangsstyring

Det er kun personer med tjenstlig behov som skal ha tilgang til kredittvurderingsverktøy. Den behandlingsansvarlige må sørge for at ikke flere enn nødvendig har tilgang til å gjennomføre kredittvurderinger.

Kredittvurdering