Epilog je ovo slučaja otvorenog pred norveškim nadzornim tijelom po prigovoru vlasnika tvrtke nezadovoljnog što je bez ikakve informacije njegova tvrtka bila predmetom nekoliko procjena kreditne sposobnosti unatoč tome što tvrtka koja je izrađivala takve procjene nije imala nikakvu poveznicu niti suradnju s procijenjenom tvrtkom.
Naravno, na prvu bismo pomislili da obrada podataka o poslovnom subjektu ne može nikako potpasti pod GDPR odnosno pod termin osobnih podataka koji se odnose na fizičku osobu.
No, ako bolje pogledamo definiciju osobnog podatka iz članka 4. GDPR-a, vidjet ćemo da je istom definirano da je osobni podatak svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi, izravno ili neizravno, uz pomoć dodatnih parametara koji se odnose na njegov fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet.
Ako znamo da je neka tvrtka u 100%-tnom vlasništvu jedne osobe i s obzirom da nije problem danas doći do podataka o vlasniku, jasno je da se i procjena platežne moći takve tvrtke, uključujući i njezine financijske pokazatelje, zapravo odnosi na pokazatelje financijskog stanja samog vlasnika kao fizičke osobe, koja na kraju krajeva uzima dobit tvrtke ili iz svog džepa "krpa" poslovne dubioze.
Norveško nadzorno tijelo utvrdilo je da procjena kreditnog rejtinga tvrtke u 100%-tnom vlasništvu jedne osobe spada u režim GDPR-a.
Ovo je ozbiljno upozorenje svim danas prisutnim agencijama za procjenjivanje kreditne sposobnosti da moraju uzeti u obzir i pronalaženje valjanog pravnog temelja za takvu obradu iz GDPR-a.
Više o norveškom slučaju:
https://gdprhub.eu/index.php?title=Datatilsynet_-_20/02042&mtc=today
