Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 2 700 000 euro mot Experian Nederland för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att Experian, fram till den 1 januari 2025, upprättade kreditvärdighetsrapporter om individer på begäran av kunder såsom telekomföretag, webbutiker och hyresvärdar. Det rörde sig om personer som ville genomföra köp mot faktura hos dessa organisationer eller ingå avtal, exempelvis om ett telefonabonnemang.
Rapporterna innehöll kreditbetyg som visade i vilken utsträckning en person kunde betala sina räkningar samt risken för betalningsförsummelse. Experians kunder använde dessa betyg som underlag för att avgöra om, och på vilka villkor, en person kunde genomföra ett köp. Ett högre kreditbetyg kunde leda till fördelaktigare villkor, såsom lägre ränta, medan ett lägre betyg kunde innebära att personen nekades som kund eller krävdes på en högre deposition.
AP inledde sin utredning efter att ha mottagit klagomål mot Experian. Under utredningen framkom att Experian samlade in stora mängder personuppgifter från olika källor, både offentliga och icke-offentliga, och därigenom byggde upp en omfattande databas med information om ett stort antal personer i Nederländerna. Företaget kunde dock inte tillräckligt tydligt motivera varför insamlingen av vissa uppgifter var nödvändig.
AP konstaterade att Experian brutit mot reglerna genom att behandla personuppgifter på ett otillbörligt sätt. Bolaget hade även brustit i sin skyldighet att informera de registrerade om hur deras personuppgifter behandlades. AP fann att Experians agerande stred mot artiklarna 5.1 (a), 6.1, 12.1 och 14.1 GDPR.