Personvernnemndas vedtak 9. mars 2021 (Mari Bø Haugstad, Bjørnar Borvik, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin)
Saken gjelder klage fra Flisleggingsfirma AS på Datatilsynets vedtak 25. september 2020 om ileggelse av overtredelsesgebyr på 150 000 kroner for å ha foretatt kredittvurdering uten rettslig grunnlag, samt pålegg om å utbedre sine systemer for internkontroll vedrørende bruk av kredittsjekk.
Sakens bakgrunn
A mottok et gjenpartsbrev fra kredittopplysningsbyrået Bisnode AS med opplysning om at Flisleggingsfirma AS 1. april 2019 hadde foretatt en kredittvurdering av hennes enkeltpersonforetak. A, som ikke hadde bedt om kreditt og ikke hadde noen forretningsforbindelse med Flisleggingsfirma AS, varslet Bisnode om forholdet 10. april 2019.
Bisnode kontaktet daglig leder i Flisleggingsfirma AS, B, og ba om en redegjørelse for hvilket saklig behov Flisleggingsfirma AS hadde hatt for å kredittsjekke A. B svarte Bisnode samme dag at det hele var en feiltakelse. Etter en ny henvendelse fra Bisnode ble svaret neste dag utdypet med at kredittsjekk ikke var formålet men at han «hadde behov for å sjekke selskapets inntekter».
Bisnode vurderte forholdet som et brudd på personopplysningssikkerheten og sendte avviksmelding til Datatilsynet 25. april 2019.
A skrev til Datatilsynet 21. mai 2019 og meldte fra om det hun oppfattet som ulovlig kredittsjekk fra Flisleggingsfirma AS .
Datatilsynet skrev til Flisleggingsfirma AS og ba om en redegjørelse. Daglig leder i Flisleggingsfirma AS, B redegjorde i brev 2. januar 2020 for at han foretok kredittsjekken av As enkeltpersonforetak og at dette ble gjort av han som privatperson. Han forklarte at han er nabo av A og at han var bekymret for iverksatte byggearbeider på As tomt som han var redd for også kunne påvirke hans eiendom. Han ønsket derfor å finne ut om A hadde økonomi til å ordne opp dersom byggearbeidene viste seg å medføre problemer.
Datatilsynet varslet Flisleggingsfirma AS 12. juni 2020 om pålegg om å etablere internkontroll for kredittvurdering, samt ileggelse av overtredelsesgebyr på 300 000 kroner for innhenting av kredittopplysninger uten rettslig grunnlag, jf. forvaltningsloven § 16.
Flisleggingsfirma AS ga sin uttalelse til varselet 4. juli 2020, og hadde blant annet innsigelser til størrelsen på det varslede overtredelsesgebyret.
Datatilsynet fattet følgende vedtak 25. september 2020.
«1. Med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav i pålegges [Flisleggingsfirma AS], org. nr.[…], å betale et overtredelsesgebyr til statskassen på 150 000 kroner for å ha innhentet kredittopplysninger uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1 bokstav f.
2. Med hjemmel i personvernforordningen art. 58 nr. 2 bokstav d pålegges [Flisleggingsfirma AS] å utbedre sin internkontroll om kredittvurdering, jf. personvernforordningen artikkel 24, da denne er mangelfull.»
Flisleggingsfirma AS klaget på vedtaket 27. oktober 2020. Datatilsynet la til grunn at klagen var rettidig.
Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sitt vedtak. Saken ble oversendt Personvernnemnda 16. november 2020. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med kommentarer. Begge parter har inngitt kommentarer henholdsvis 8. og 9. desember 2020.
Saken ble behandlet i nemndas møte 9. mars 2021. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem og Morten Goodwin. Sekretariatsleder Anette Klem Funderud var også tilstede.
Datatilsynets vurdering i hovedtrekk
Plikten til internkontroll og ansvarlighetsprinsippet
Datatilsynet legger til grunn at virksomheten har manglende forståelse for reglene for innhenting av kredittopplysninger. Den manglende regelverkforståelsen, at det utfra redegjørelsen virker som om Flisleggingsfirma AS kredittvurderer kunder ofte, samt at det har skjedd et brudd på regelverket i denne saken tilsier etter Datatilsynets vurdering at virksomheten pålegges å etablere internkontroll for kredittvurderinger.
Datatilsynet vurderer den framlagte rutinen for kredittvurderinger som mangelfull. Datatilsynet påpeker at rutinen ikke har noen henvisning til hvilke vilkår i personvernforordningen som må være oppfylt for at virksomheten skal kunne kredittvurdere kunder. Den inneholder hverken beskrivelse av kravet til rettslig grunnlag etter artikkel 6, eller informasjon om hvem det kan innhentes kredittopplysninger om.
Utbedring av rutinene vil etter Datatilsynets syn kunne virke preventivt mot at det senere blir gjennomført urettmessige kredittvurderinger. Dette er bakgrunnen for at Datatilsynet i vedtaket påla Flisleggingsfirma AS å utarbeide rutiner for kredittvurdering, jf. personvernforordningen artikkel 58 nr. 2 bokstav d. Frist for gjennomføring av vedtaket ble satt til 30. oktober 2020.
I klageomgangen framla Flisleggingsfirma AS en ny skriftlig rutine for kredittvurdering 26. oktober 2020, som tilsynet fortsatt mener er mangelfull.
Datatilsynet fastslår at Flisleggingsfirma AS ikke har synliggjort tilstrekkelig i rutinene at innhenting av kredittopplysninger om enkeltpersonforetak innebærer behandling av personopplysninger, jf. personvernforordningen artikkel 4 nr. 1 og 2. Det er heller ikke tilstrekkelig synliggjort at Flisleggingsfirma AS nå oppfyller kravet til rettslig grunnlag i personvernforordningen artikkel 6 for at kredittvurdering av enkeltpersonforetak skal være lovlig.
Behandlingsgrunnlag for innhenting av kredittopplysninger
Datatilsynet tar utgangspunkt i at all behandling av personopplysninger skal ha et rettslig grunnlag (behandlingsgrunnlag), og at det relevante behandlingsgrunnlaget for Flisleggingsfirma AS' innhenting av kredittopplysninger om As enkeltpersonforetak er personvernforordningen artikkel 6 nr. 1 bokstav f (nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige).
Datatilsynet viser til at det etter den gamle personopplysningsloven 2000 gjaldt et tilleggskrav om at virksomheten måtte ha «saklig behov» for å innhente kredittopplysninger, jf. personopplysningsforskriften § 4-3, som i henhold til overgangsreglene er videreført som gjeldende rett. Etter bestemmelsen må det foreligge saklig behov hos den som mottar kredittopplysningene for at kredittopplysningsbyråene lovlig kan utlevere opplysninger. Vurderinger knyttet til om en virksomhet har «saklig behov» har nær sammenheng med vurderingen om «berettiget interesse» etter artikkel 6 nr. 1 bokstav f. Tidligere praksis knyttet til «saklig behov» er derfor fortsatt relevant ved vurdering av «berettiget interesse» som behandlingsgrunnlag, jf. for eksempel PVN-2006-03, PVN-2010-05 og PVN-2017-02.
Datatilsynet vurderer deretter om vilkårene i artikkel 6 nr. 1 bokstav f er oppfylt, og legger til grunn at Flisleggingsfirma AS ikke har en berettiget interesse i å innhente As kredittopplysninger. Når kravet til «berettiget interesse» ikke er oppfylt, vil innhentingen heller ikke være «nødvendig». Tilsynet viser til at det ikke foreligger noe kundeforhold, kontakt eller annen tilknytning mellom virksomheten og A. Innhentingen er ikke saklig begrunnet i virksomheten, men har derimot skjedd for et formål helt utenfor Flisleggingsfirma AS' drift. A hadde ingen forventning om at virksomheten skulle behandle hennes kredittopplysninger, og det var ikke påregnelig for henne på innsamlingstidspunktet, jf. forordningens fortalepunkt 47.
Datatilsynet fastslår videre i en interesseavveining at As personvern veier tyngre enn Flisleggingsfirma AS' behov for å innhente kredittopplysninger til daglig leders personlige bruk til formål helt utenfor virksomhetens forretningsområde, og vil ikke oppfylle interesseavveiningen i artikkel 6 nr. 1 bokstav f.
Datatilsynet konkluderer med at Flisleggingsfirma AS ikke har behandlingsgrunnlag i artikkel 6 nr. 1 bokstav f for å innhente As kredittopplysninger.
Overtredelsesgebyr
Datatilsynet har ved vurderingen av om det skal ilegges gebyr og ved utmålingen tatt hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.
Datatilsynet kom, etter en gjennomgang av de ulike momentene, til at Flisleggingsfirma AS skal ilegges overtredelsesgebyr. Flisleggingsfirma AS hadde ikke behandlingsgrunnlag for innhentingen av kredittopplysningene (lovlighetsprinsippet), og manglet tekniske og organisatoriske tiltak for etterlevelse av personvernregelverket (ansvarlighetsprinsippet).
I forhåndsvarsel etter forvaltningsloven § 16 varslet Datatilsynet et gebyr på 300 000 kroner. Etter at Flisleggingsfirma AS redegjorde for og vedla dokumentasjon for hvordan pandemien påvirket bransjen og virksomheten, anså tilsynet, etter en skjønnsmessig helhetsvurdering, at et gebyr på 150 000 kroner ville være tilstrekkelig virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende, jf. personvernforordningen artikkel 83 nr. 1.
I utmålingen la tilsynet vekt på virksomhetens økonomi, hvilke personopplysninger som er berørt og hvilke tiltak virksomhetens ledelse har satt i verk for å sikre etterlevelse av forordningen, jf. artikkel 83 nr. 2. I varsel om vedtak 12. juni 2020 punkt 6.2 og 6.3 og vedtak 25. september 2020 punkt 7.3 har tilsynet redegjort nærmere for hvilke momenter de har vektlagt ved utmåling av gebyrets størrelse.
I oversendelsen av saken til nemnda 16. november 2020 utdyper Datatilsynet dette slik:
«En kredittvurdering er et resultat av sammenstilling av personopplysninger fra mange ulike kilder, og viser et tall som angir sannsynligheten for at en person eller et enkeltpersonforetak vil betale en fordring. En kredittvurdering vil også vise detaljer om foretakets økonomi, herunder eventuelle betalingsanmerkninger, frivillige pantstillelser og gjeldsgrad. Kredittopplysninger om enkeltpersonforetak kan brukes til å utlede opplysninger om eierens privatøkonomi. Det er altså snakk om ulovlig innhenting av personopplysninger av svært privat karakter, som den registrerte har en høy forventning om at ikke innhentes med mindre det er saklig begrunnet i deres forhold til en behandlingsansvarlig.
Overtredelsen i vår sak er i tillegg begått av daglig leder, som i sin redegjørelse og vedlagte korrespondanse med Bisnode utviser liten kunnskap om de kravene i personvernforordningen som må være oppfylt for å innhente kredittopplysninger. Innhentingen av kredittopplysninger har skjedd for et formål helt utenfor virksomhetens forretningsområde, og til daglig leders personlige bruk. Dette vektlegger vi i skjerpende retning, ettersom personvernforordningen forutsetter en sterk forankring hos den behandlingsansvarliges ledelse, jf. ansvarlighetsprinsippet i artikkel 5 nr. 2.»
Flisleggingsfirma AS' syn på saken i korte trekk
Pålegg om å utbedre sin internkontroll for kredittvurderinger
Etter Datatilsynets pålegg har Flisleggingsfirma AS utbedret sin internkontroll for innhenting av kredittvurderinger i nye rutiner 26. oktober 2020. Rutinene, som er gjennomgått med de ansatte, er i samsvar med kravene i personvernforordningen artikkel 24.
Selskapet bruker Bisnode til å kredittsjekke nye kunder, som søker om kreditt. Det er kun daglig leder som har tilgang til Bisnode via portal med brukernavn og passord. Alle kunder som kredittsjekkes har søkt om konto og kreditt hos Flisleggingsfirma AS, se skjema «søknad om konto og kreditt hos Flisleggingsfirma AS ».
Innhenting av kredittopplysninger
Det var virksomhetens daglige leder (B) som kredittsjekket As enkeltpersonforetak hos Bisnode. Det var en beklagelig feil fra Bs side.
Formålet med oppslaget var ikke å kredittsjekke, men å få informasjon om A hadde økonomiske ressurser til å ordne opp dersom noe skulle skje på Bs private eiendom under byggeperioden på As nabotomt. B trodde at As virksomhet var et AS. Da han fikk opp en pop up-melding om gjenpart, trykket han på OK og ikke avbryt. Da var det ingen vei tilbake. Søket skulle vært avbrutt da han fikk meldingen om gjenpart og selskapsform.
Overtredelsesgebyr
Et gebyr på 150 000 kroner er urimelig høyt under korona-pandemien, og ikke på linje med gebyrer for liknede forseelser ellers i samfunnet. De har aldri tidligere vært involvert i overtredelsessaker. Et gebyr på 30 000 kroner vil være virkningsfullt og avskrekkende.
De selger hovedsakelig til byggeprosjekter med fastpris-kontrakter inngått lang tid på forhånd. Prisen er basert på en gjennomsnittlig kalkulert euro-kurs mot norske kroner. Euro-kursen styrket seg mot norske kroner i 2020, og har påvirket økonomien negativt.
Pandemien har i 2020 medført økte kostpriser, økte kostnader på grunn av smitteverntiltak i bedriften, høyere transportkostnader fra Europa, og overtid i virksomheten fordi ansatt har vært i karantene i 14 dager. Alt dette slår negativ ut på resultatet.
Virksomheten klarer et underskudd i 2020, men den største faren er smellen som bygg- og anleggsbransjen vil få i 2021, se vedlagte artikkel fra entreprenørforeningen – bygg og anlegg 30. juni 2020, som beskriver problemene bransjen møter i årene framover. I artikkelen anslås det at 1/3 av markedet kan bli borte og 20 000 arbeidsplasser forsvinne i 2021. Da trenger virksomheten hver eneste krone av opptjent egenkapital.
Opptjent egenkapital gjennom 17 år, er bundet opp i varelager og utestående fordringer. Skal regninger betales ved forfall, med langt lavere resultat i 2020 og markedsutsiktene i 2021 kan lønnskostnader påvirkes og oppsigelse av ansatte vil bli nødvendig.
As syn på saken i korte trekk
Hverken hun eller hennes foretak har handlet med Flisleggingsfirma AS eller bedt om kreditt. Hun opplever kredittsjekken som et brudd på privatlivets fred. Det er i strid med loven at B gjennom Flisleggingsfirma AS bruker Bisnode for å få innsyn eller uthente hennes personlige data.
Hun har grunn til å tro at B har delt informasjon om henne fra Bisnode med andre naboer.
Bs bekymring vedrørende kloakken har kommet i ettertid av det ulovlige kredittsøket. Det ulovlige kredittsøket er kun utløst av Bs irritasjon over byggetiltaket hun søker om.
Personvernnemnda bør opprettholde pålegget om overtredelsesgebyr på 300 000 kroner. Den ulovlige skattesjekken ble utført i 2019, ikke i koronaåret 2020. Det framgår av sakens dokumenter at B har betydelige økonomiske ressurser.
Personvernnemndas vurdering
Nemnda legger til grunn at Flisleggingsfirma AS' klage på Datatilsynets vedtak er framsatt rettidig, jf. forvaltningsloven § 29.
Behandlingsgrunnlag for innhenting av kredittopplysninger
Kredittopplysninger om et enkeltpersonforetak er å anse som personopplysninger, jf. personvernforordningen artikkel 4 nr. 1. Innhenting av slike opplysninger representerer en behandling av personopplysninger som må ha rettslig grunnlag for å være lovlig, jf. personvernforordningen artikkel 6 nr. 1. I personvernforordningen artikkel 6 nr. 1 bokstav a til f er det oppstilt alternative rettslige grunnlag for behandling av personopplysninger. Det aktuelle behandlingsgrunnlaget for innhenting av kredittopplysninger i dette tilfellet er artikkel 6 nr. 1 bokstav f.
Behandlingsgrunnlag etter personvernforordningen artikkel 6 nr. 1 bokstav f krever at tre kumulative vilkår er oppfylt. For det første må det foreligge en berettiget interesse, normalt hos den behandlingsansvarlige, eventuelt hos en tredjepart. Ved vurderingen av om det foreligger en berettiget interesse, skal det tas hensyn til om den registrerte med rimelighet kan forvente at personopplysningene blir anvendt til det aktuelle formålet mv. jf. fortalepunkt 47 til forordningen der det blant annet uttales:
«[…] Det kan f.eks. foreligge en slik berettiget interesse når det er et relevant og passende forhold mellom den registrerte og den behandlingsansvarlige, f.eks. dersom den registrerte er kunde av den behandlingsansvarlige eller i vedkommendes tjeneste. En berettiget interesse krever i alle tilfeller en nøye vurdering, herunder av om en registrert på tidspunktet for og i forbindelse med innsamling av personopplysninger med rimelighet kan forvente at disse behandles for nevnte formål […].»
Etter artikkel 6 nr. 1 bokstav f er det for det annet et krav om at behandlingen av personopplysningene er nødvendig «for formål knyttet til de berettigede interessene», og for det tredje skal det foretas en interesseavveining mellom den registrertes interesse i privatliv på den ene side og den behandlingsansvarliges berettigede interesse i behandle personopplysningene på den andre.
Lovens krav om at behandlingen (innhentingen av kredittopplysningene) må være nødvendig for formål knyttet til den behandlingsansvarliges berettigede interesse, innebærer at interessen som ivaretas av den behandlingsansvarlige må være lovlig og reelt begrunnet.
Det er Flisleggingsfirma AS som kjøper tjenester av Bisnode og det er derfor Flisleggingsfirma AS som må ha en berettiget interesse i å sjekke kredittopplysningene om A. Det foreligger ikke noe kundeforhold mellom A og Flisleggingsfirma AS og Flisleggingsfirma AS har åpenbart ingen berettiget interesse i å foreta en kredittvurdering av A. Det er i dette tilfellet daglig leder i Flisleggingsfirma AS, B, som har brukt virksomhetens onlinetilgang til Bisnode for private formål, nemlig å kredittvurdere en nabo for å undersøke hennes økonomiske situasjon fordi han var bekymret for om de igangsatte byggearbeidene på nabotomten ville påføre hans eiendom økonomisk skade som han ville kreve kompensasjon for.
Bs bruk av tjenesten fra Bisnode til private formål er åpenbart i strid med loven. Nemnda er enig med Datatilsynet i at kredittvurderingen innebærer en grunnleggende krenkelse av As personvernrettigheter. Nemnda tiltrer tilsynets vurdering og konkluderer på samme måte som tilsynet med at det ikke forelå rettslig grunnlag for å kredittvurdere A.
Når Flisleggingsfirma AS ikke har en berettiget interesse i behandlingen, er det ikke nødvendig for nemnda å vurdere de øvrige vilkårene i artikkel 6 nr. 1 bokstav f, da alle vilkårene må være oppfylt for å tilfredsstille lovens krav til behandlingsgrunnlag.
Ved brudd på personvernforordningen kan Datatilsynet beslutte korrigerende tiltak etter artikkel 58 nr. 2. I dette tilfellet har Datatilsynet pålagt den behandlingsansvarlige å utarbeide rutiner for kredittvurdering som sikrer at selskapets innhenting av kredittopplysninger skjer i samsvar med personvernforordningen, jf. artikkel 58 nr. 2 bokstav d. I tillegg har Datatilsynet ilagt overtredelsesgebyr i henhold til artikkel 58 nr. 2 bokstav i, jf. artikkel 83.
Pålegg om å utarbeide rutiner for kredittvurderinger for bedre internkontroll i selskapet
Nemnda deler Datatilsynets vurdering om at både selskapets redegjørelse til tilsynet og den framlagte korrespondansen med Bisnode, tyder på at virksomheten har manglende forståelse for reglene for innhenting av kredittopplysninger, herunder det helt åpenbare at innhenting av kredittopplysninger må være begrunnet i et reelt behov hos Flisleggingsfirma AS, og ikke kan begrunnes i private formål for virksomhetens ansatte. Nemnda er også enig med tilsynet i at en utarbeidelse av skriftlige rutiner på dette området mest sannsynlig vil medføre økt bevissthet og virke preventivt mot senere urettmessige kredittvurderinger.
Datatilsynet kan etter artikkel 58 nr. 2 bokstav d pålegge den behandlingsansvarlige å sørge for at behandlingsaktivitetene skjer i samsvar med bestemmelsene i personvernforordningen. Etter artikkel 24 skal den behandlingsansvarlige gjennomføre egnede organisatoriske tiltak for å sikre at behandlingen utføres i samsvar med forordningen, og tiltakene skal omfatte egnede retningslinjer for vern av personopplysninger dersom det står i et rimelig forhold til behandlingsaktivitetene. Rutinen skal sikre og dokumentere etterlevelse av forordningen, og må synliggjøre kravene forordningen stiller til behandling av personopplysninger, herunder det aktuelle rettslige grunnlaget for kredittvurderinger av enkeltpersonforetak.
Nemnda er enig med Datatilsynet i at Flisleggingsfirma AS' skriftlige rutine for kredittvurdering 26. oktober 2020 er mangelfull, og at den derfor må utbedres slik Datatilsynet har redegjort for.
Datatilsynets pålegg om å utarbeide rutiner for innhenting av kredittvurderinger for å bedre virksomhetens internkontroll opprettholdes. Den videre oppfølgingen av dette vil ligge hos Datatilsynet.
Ileggelse av overtredelsesgebyr
I tillegg til korrigerende tiltak som nevnt i artikkel 58 nr. 2 bokstav d kan den behandlingsansvarlige etter artikkel 58 nr. 2 bokstav i, jf. artikkel 83 ilegges overtredelsesgebyr. Ved vurderingen av om det skal ilegges gebyr og ved utmålingen av gebyret, skal det i hvert enkelt tilfelle tas hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k. Det følger av artikkel 83 nr. 1 at tilsynsmyndigheten ved sin vurdering skal sikre at ileggelse av overtredelsesgebyr er virkningsfullt, står i et rimelig forhold til overtredelsen og virker avskrekkende.
Nemnda er enig med Datatilsynet i at det skal ilegges et overtredelsesgebyr og finner etter en vurdering av de ulike momentene at et gebyr på 150 000 kroner i alle fall ikke er for høyt. Nemnda har under henvising til forvaltningsloven § 34 tredje ledd begrenset adgang til å sette gebyret høyere. Nemnda har for sin vurdering lagt vekt på følgende forhold:
Det dreier seg om en alvorlig overtredelse av personvernforordningen. Lovlighetsprinsippet i artikkel 5 nr. 1 og kravet til behandlingsgrunnlag i artikkel 6 representerer grunnleggende krav til behandling av personopplysninger. Disse er brutt. Privatpersoner har en forventning om at virksomheter ikke innhenter kredittopplysninger om dem uten at dette er begrunnet i en berettiget interesse hos virksomheten som følge av et reelt kundeforhold. Innhentingen av kredittopplysninger har i dette tilfellet skjedd for et formål helt utenfor virksomhetens forretningsområde og til daglig leders personlige bruk utenfor virksomheten. Han har uten tvil handlet forsettlig. En eventuell villfarelse om rettsreglene er ikke unnskyldelig, jf. prinsippet i straffeloven § 26.
Nemnda er enig med Datatilsynet i at det må vektlegges i skjerpende retning at overtredelsen ble utført av daglig leder i virksomheten, og at virksomheten, under hans daglige ledelse, ikke hadde iverksatt tilstrekkelige organisatoriske tiltak for å hindre slike brudd på personopplysningssikkerheten.
Selv om opplysningene som er berørt av overtredelsen ikke tilhører gruppen særlig kategorier av opplysninger i artikkel 9, så representerer kredittopplysninger om enkeltpersoner opplysninger av privat karakter som den enkelte kan ha grunn til å ønske forblir privat. Også dette er derfor et moment i skjerpende retning.
Når det gjelder utmåling av gebyrets størrelse så legger nemnda til grunn at personvernforordningen legger opp til et høyere gebyrnivå enn det som gjaldt etter personopplysningsloven fra 2000. Tidligere praksis vedørende gebyrets nivå har derfor begrenset vekt. Det framgår av opplysninger på proff.no at virksomheten hadde et driftsresultat i 2019 på ca. 1,9 millioner kroner. Selskapets økonomi er, slik nemnda ser det, ikke et forhold som tilsier noen reduksjon av det gebyret Datatilsynet har satt til 150 000 kroner. De økonomiske utfordringene virksomheten har hatt som følge av koronapandemien er hensyntatt ved tilsynets utmåling.
Flisleggingsfirma AS får ikke medhold i klagen.
Konklusjon
Datatilsynets vedtak om å ilegge Flisleggingsfirma AS overtredelsesgebyr på 150 000 kroner, samt pålegge virksomheten å utarbeide rutiner for bedre internkontroll vedrørende innhenting av kredittvurderinger, opprettholdes.
Vedtaket er enstemmig.
Oslo, 9. mars 2021
Mari Bø Haugstad
Leder