Lindstrand Trading bötfälls med 100 000 norska kronor på grund av att de har utfört fyra kreditbedömningar utan rättslig grund. Det handlar om en person som har lämnat in klagomål till Datatilsynet. Bakgrunden till klagomålet var att personen hade varit föremål för kreditbedömningar utan att ha någon kundrelation eller annan koppling till företaget. Enligt gällande dataskyddsregler krävs att all behandling av personuppgifter har en rättslig grund.

Måste finnas rättslig grund

En kreditbedömning innehåller detaljer om personlig ekonomi och enligt Datatilsynet kan det upplevas som ett intrång när ett företag använder informationen utan rättsligt grund. Information om en enskild firma är ju också personuppgifter, pekar ut en fysisk person som driver ett företag, och i detta fall företagarens, personens, ekonomiska situation. Enligt Datatilsynet innebär det att det måste finnas en rättslig grund för att bedöma kreditvärdigheten för ett en enskild firma.

Kreditbedömningarna som har utförts i detta fall anser Datatilsynet har gjorts för privata ändamål helt utanför näringsverksamheten och därmed drar Datatilsynet slutsatsen att kreditbedömningarna gjordes utan att kravet på rättslig grund har uppfyllts.

Tillsynet ser allvarligt på den här typen av regelbrott

I beslutet lyfter Datatilsynet särskilt skyldigheten avseende internkontroll och att alla verksamheter har ett ansvar för att kunna påvisa att de behandlar personuppgifter i enlighet med dataskyddsförordningen (artikel 24 respektive artikel 5 punkt 2 avseende ansvarsskyldigheten). Beroende på behandlingsaktiviteterna behöver verksamheter implementera interna riktlinjer till skydd för uppgifterna.

Överträdelserna har i det här fallet begåtts av verksamhetschefen, som ansetts ha endast begränsad kunskap om de kraven i dataskyddsförordningen som behöver vara uppfyllda för att få behandla informationen i kreditupplysningar. Eftersom dataskyddsförordningen förutsätter en stark förankring hos ledningen anses den här omständigheten, och även den omständigheten att verksamheten varken hade på plats tekniska eller organisatoriska åtgärder i form av skriftliga rutiner för att säkra regelefterlevnaden, av Datatilsynet utgöra försvårande omständigheter som påverkar den administrativa sanktionsavgiften i höjande riktning.

Beslutet är överklagat av Lindstrand Trading.

Läs mer här.