Datatilsynet har bötfällt Elektro & Automasjon Systemer AS (EAS) med 250 000 norska kronor, som därefter sänktes till 200 000 norska kronor, för överträdelse av artikel 6.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet tagit emot ett klagomål från den registrerade om att EAS genomfört en kreditupplysning av den registrerade trots att den registrerade inte hade något samarbete, kundförhållande eller annan koppling till EAS:s verksamhet som kunde motivera kreditupplysningen.
EAS har under Datatilsynets granskning bekräftat att den registrerade inte var kund och inte hade någon annan direkt relation till EAS, och att kreditupplysningen av den registrerade måste ha skett av misstag på grund av den verkställande direktörens bristande förståelse för Bisnode AB:s verktyg för kreditupplysningar.
Enligt Datatilsynet har kravet på ett berättigat intresse i artikel 6.1 (f) GDPR inte varit uppfyllt, varför EAS inte haft någon rättslig grund för att behandla den registrerades kreditinformation. Datatilsynet klargjorde dessutom att även om EAS inte lagrade kreditinformationen i företaget så uppstår skadan i det ögonblick som kreditinformationen samlas in och behandlas av någon utan rättslig grund för behandlingen.
Datatilsynet framhöll vidare att kreditinformation är en typ av personlig information som är särskilt skyddsvärd och att enskilda personer har förväntningar på att sådana uppgifter inte samlas in av företag, om det inte är objektivt motiverat i deras relation med dem. Datatilsynet klargjorde således att EAS:s överträdelse var allvarlig till sin karaktär eftersom den registrerade inte hade någon relation med EAS som skulle ha gjort det förutsebart att EAS skulle behandla kreditinformation om den registrerade. Datatilsynet konstaterade dessutom att EAS, genom sin verkställande direktör, visat försumlighet när det gäller att inhämta kreditinformation.
Slutligen framhöll Datatilsynet att andra försvårande omständigheter bland annat innefattade bristen på tekniska och organisatoriska åtgärder för att följa integritetsbestämmelserna samt bristande kunskap om kreditbedömningsverktyget och riktlinjer för när kreditbedömning kan utföras.
Mot bakgrund av det inträffade beslutade Datatilsynet att EAS skulle betala 250 000 norska kronor i sanktionsavgift. Datatilsynet sänkte emellertid bötesbeloppet på grund av EAS:s ekonomiska situation till följd av COVID-19-pandemin och ålade EAS 200 000 norska kronor i sanktionsavgift för att ha inhämtat kreditinformation utan rättslig grund. Dessutom ålade Datatilsynet EAS att förbättra företagets interna kontroller och rutiner för kreditbedömningar för att förhindra att olagliga kreditprövningar upprepas. EAS har tre veckor på sig att överklaga beslutet.