Ifølge et notat til Folketinget skal den danske regjeringen avgi innlegg i en sak for EU-domstolen (sak C-634/21) som konkret omhandler kredittvurdering av en tysk borger. På bakgrunn av kredittscoren ble dennes lånesøknad avvist, og borgeren anla sak mot datatilsynsmyndigheten i den tyske delstaten Hessen fordi det lokale datatilsynet ikke tok borgerens klage om innsikt i og sletting av kredittopplysningene til følge. Klagen ble avvist grunnet en nasjonalt fastsatt regel som angir nærmere betingelser for anvendelse av en kredittvurdering. De konkrete betingelsene fremgår altså ikke av selve personvernforordningen.

Innhenting av kredittopplysninger om privatpersoner er å anse som behandling av personopplysninger, som reguleres i personvernforordningen («GDPR») artikkel 6. Spørsmålet EU-domstolen skal ta stilling til, er hvorvidt det i artikkel 6 eksisterer et handlingsrom som tillater slike nasjonale særregler som er innført i Tyskland.

Den danske regjeringen er av den oppfatning at medlemslandene har et betydelig nasjonalt handlingsrom etter artikkel 6 nr. 2 og 3 til å konkretisere anvendelsen av GDPR artikkel 6 nr. 1 bokstav c og e. Bestemmelsen åpner blant annet for behandling av personopplysninger når c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige eller e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.

Regjeringen mener derfor at saken reiser overordnede prinsipielle spørsmål vedrørende medlemslandenes nasjonale handlingsrom etter GDPR utover sakens konkrete spørsmål knyttet til kredittverdighet. Danmark har benyttet seg av dette potensielle handlingsrommet og innført en rekke nasjonale særregler om lovlig behandling av personopplysninger. Dommen kan i så måte få betydning for adgangen til å innføre slike regler. 

Norske myndigheter synes å dele danskenes oppfatning om adgangen til å fastsette nasjonale særregler med hjemmel i forordningens artikkel 6, jf. prop 56 LS (2017-2018) s. 35 flg. og Prop. 139 L om kredittopplysningsloven s. 13. I sistnevnte skriver justisdepartementet at når det gjelder kredittopplysningsvirksomhet, vil det relevante grunnlaget for nasjonal lovgivning være at behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse, jf. artikkel 6 nr. 1 bokstav e. Videre at «Forordningen selv gir ingen veiledning om hva som er en oppgave av allmenn interesse. Både i den svenske utredningen om kreditupplysningslagen og i det danske forslaget til ny databeskyttelseslov legges det til grunn at kredittopplysningsvirksomhet må anses som «en oppgave i allmennhetens interesse». Det vises til at det er av vesentlig betydning for så vel fysiske som juridiske personer at behandling av opplysninger i kredittopplysningsvirksomhet skjer på en saklig og lovlig måte, og at ulovlige behandlinger på dette området kan få alvorlige skadevirkninger for de involverte partene. Samfunnet som sådan har behov for kredittopplysningsvirksomhet, og har en sterk interesse i at denne virksomheten på en effektiv måte fyller sin kredittbeskyttende funksjon. Departementet slutter seg til denne argumentasjonen. […] Finansregelverket forutsetter at finansinstitusjoner foretar risikovurderinger på godt opplyst grunnlag før det ytes kreditt. Også i forbindelse med netthandel, som ofte skjer på kreditt, og annen handelsaktivitet er det av stor betydning for selger å ha mulighet til å kredittvurdere kjøper. Tilgang til opplysninger fra kredittopplysningstjenester har stor verdi i denne sammenhengen. Det er departementets vurdering at tilgang til kredittopplysninger er av stor samfunnsmessig betydning og at kredittopplysningsvirksomhet derfor kan sies å være «en oppgave i allmennhetens interesse» i samsvar med personvernforordningen». 

Datatilsynet har samtidig ilagt flere større bøter i 2021 for overtredelse av GDPR, blant annet for overtredelse av forordningens artikkel 6.