Social scoring, en metod för kreditupplysning där privatpersoners beteende på sociala medier och internet överlag analyseras, är ett omdiskuterat ämne.

Det svenska fintechbolaget Emric har som första aktör på den svenska marknaden valt att lansera metoden, som Realtid.se tidigare har rapporterat om.

Datainspektionens generaldirektör, Kristina Svahn Starrsjö, är dock tveksam till om social scoring ens bör betraktas som lagligt.

– Man kan ju använda sig av uppgifter från Facebook eller likande för att göra en bedömning av kreditvärdigheten, men jag har svårt att se att man skulle få ihop det med de rättsliga grunderna för personregister. Man får ju inte ha register över vad som helst, säger Kristina Svahn Starrsjö.

Frågor som rör den personliga integriteten i samband med kreditupplysningsverksamhet regleras i både kreditupplysningslagen och personuppgiftslagen. Där finns ett antal rättsliga grunder som måste uppfyllas för att man ska få inhämta och lagra personuppgifter.

Exempelvis ska uppgifterna vara relevanta för ändamålet. Dessutom ska inte fler personuppgifter än nödvändigt inhämtas med hänsyn till ändåmålet.

– Man får ju göra saker som är integritetskränkande, så länge det är förenligt med lagstiftningen. Hela personuppgiftslagen och kreditupplysningslagen grundas ju på en form av intresseavvägning, där man väger det man ska uppnås med uppgifterna mot det intrång som sker i den personliga integriteten. Det finns fall där man får tåla ett intrång i den personliga integriteten därför att det av andra skäl är viktigt att ett sådant intrång görs, säger Kristina Svahn Starrsjö.

Att social scoring per definition skulle falla utanför vad som enligt lagen är tillåtet är dock inget Kristina Svahn Starrsjö vill skriva under på.

– Det är svårt att svara på ifall det [social scoring] skulle vara okej eller inte. Det beror på situationen, hur länge man sparar uppgifterna och vilken tillgång man har till dem. I en viss situation kanske det är lagligt, och i en annan situation inte, säger hon.

Kristina Svahn Starrsjö påpekar dock att sannoliketen att stöta på uppgifter som saknar relevans för ändamålet är hög när man bedömer kreditvärdigheten genom analys av beteende på internet och sociala medier. Då är det viktigt att man har koll på vad som gäller avseende lagring och inhämtning av uppgifter, menar hon.

– Om man använder sig av olika typer av social medier, exempelvis i form av Facebook, så finns det massvis av uppgifter där som överhuvudtaget inte är relevanta för kreditupplysningsverksamhet, säger Kristina Svahn Starrsjö.

I mitten av 2018 ersätts personuppgiftslagen av EU:s dataskyddsförordning. Då kan den juridiska spelplanen komma att förändras för de bolag som väljer att bedriva kreditupplysningsverksamhet med hjälp av social scoring.

– De grundläggande bestämmelserna i EU:s dataskyddsförordning gällande vilka personuppgifter som man får behandla och hur de behandlas är ganska lika de som finns i svensk lagstiftning. Men det finns särskilda bestämmelser som är nya, och de går längre. Som helhet kan man säga att den nya förordningen ger ett större skydd för personuppgifter än vad som är fallet idag. Det är en rättighetsstärkande lagstiftning, säger Kristina Svahn Starrsjö.