Dold påverkan på kreditbeslut - En studie av kreditupplysningsverksamhetens rättsliga kompetens enligt artikel 22 i GDPR

Abedighavidel, Ali

Dold påverkan på kreditbeslut - En studie av kreditupplysningsverksamhetens rättsliga kompetens enligt artikel 22 i GDPR

Mark

Abedighavidel, Ali ^LU (2025) HARH13 20251
Department of Business Law

Abstract: This study analyzes the application of Article 22 of Regulation (EU) 2016/679 of the European Parliament and of the Council (GDPR) to the credit assessment practices of the credit reporting businesses in the form of credit score. The main focus is on identifying the legal opportunities and challenges in these processes. Particular attention is paid to the transparency provisions in Articles 13–15 of the GDPR. Automated tools for credit reporting are based on simple algorithms and can deliver faster and more accurate creditworthiness. At the same time, such non-autonomous technologies can create challenges for both data controllers and data subjects, especially with regard to data quality, fairness, and the protection of the data subject’s... (More); This study analyzes the application of Article 22 of Regulation (EU) 2016/679 of the European Parliament and of the Council (GDPR) to the credit assessment practices of the credit reporting businesses in the form of credit score. The main focus is on identifying the legal opportunities and challenges in these processes. Particular attention is paid to the transparency provisions in Articles 13–15 of the GDPR. Automated tools for credit reporting are based on simple algorithms and can deliver faster and more accurate creditworthiness. At the same time, such non-autonomous technologies can create challenges for both data controllers and data subjects, especially with regard to data quality, fairness, and the protection of the data subject’s rights.
The study emphasizes that, under Swedish national legislation, credit reference agencies are normally not defined as data controllers, but under certain circumstances they may nevertheless fall within the rules on automated decision-making. In such cases, they must provide information about their creditworthiness. To safeguard their legitimate interests, the credit reporting industry will keep its credit assessment process confidential, which runs counter to the data subject’s legitimate interests.
Ultimately, the question of how this legal gap can be addressed when a credit reporting business acts as a data controller will be answered. This presupposes risk management measures to enable better transparency for the data subject. (Less)
Abstract (Swedish): Denna studie analyserar tillämpningen av artikel 22 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) på kreditupplysningsverksamhetens kreditbedömning i form av kreditbetyg. Fokus är att identifiera juridiska möjligheter och utmaningar i dessa processer. Särskild vikt läggs vid transparensbestämmelserna i artiklarna 13–15 i GDPR. Automatiserade verktyg för kreditupplysningar är baserade på enkla algoritmer och har förmåga att ge snabbare och mer träffsäkra kreditbedömningar. Samtidigt kan sådana icke-autonoma teknologier skapa utmaningar för både personuppgiftsansvariga och den registrerade, särskilt rörande datakvalitet, rättvisa och skyddet för den registrerades rättigheter.
Studien betonar att kreditupplysningsföretag... (More); Denna studie analyserar tillämpningen av artikel 22 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) på kreditupplysningsverksamhetens kreditbedömning i form av kreditbetyg. Fokus är att identifiera juridiska möjligheter och utmaningar i dessa processer. Särskild vikt läggs vid transparensbestämmelserna i artiklarna 13–15 i GDPR. Automatiserade verktyg för kreditupplysningar är baserade på enkla algoritmer och har förmåga att ge snabbare och mer träffsäkra kreditbedömningar. Samtidigt kan sådana icke-autonoma teknologier skapa utmaningar för både personuppgiftsansvariga och den registrerade, särskilt rörande datakvalitet, rättvisa och skyddet för den registrerades rättigheter.
Studien betonar att kreditupplysningsföretag enligt nationell lagtext normalt inte är personuppgiftsansvariga men under vissa omständigheter ändå kan omfattas av reglerna om automatiserade beslut. De måste då tillhandahålla information om sin kreditbedömningsprocess. Kreditupplysningsverksamheten kommer att sekretessbelägga sin kreditbedömningsprocess för att bevara sina berättigade intressen, vilket strider mot den registrerades berättigade intressen.
I slutändan kommer det att besvaras hur denna rättsliga lucka kan tillgodoses när en kreditupplysningsverksamhet kommer att agera som personuppgiftsansvarig. Detta förutsätter riskhanteringsåtgärder för att möjliggöra bättre transparensmöjligheter för den registrerade. (Less)

Please use this url to cite or link to this publication: http://lup.lub.lu.se/student-papers/record/9214940

author

Abedighavidel, Ali ^LU

supervisor

Jonas Ledendal ^LU

organization

Department of Business Law

course

HARH13 20251

year

2025

type

M2 - Bachelor Degree

subject

Law and Political Science

keywords

GDPR, profilering, kreditbetyg, kreditbedömning

language

Swedish

id

9214940

date added to LUP

2025-11-06 08:01:06

date last changed

2025-11-06 08:01:06

@misc{9214940,
  abstract     = {{This study analyzes the application of Article 22 of Regulation (EU) 2016/679 of the European Parliament and of the Council (GDPR) to the credit assessment practices of the credit reporting businesses in the form of credit score. The main focus is on identifying the legal opportunities and challenges in these processes. Particular attention is paid to the transparency provisions in Articles 13–15 of the GDPR. Automated tools for credit reporting are based on simple algorithms and can deliver faster and more accurate creditworthiness. At the same time, such non-autonomous technologies can create challenges for both data controllers and data subjects, especially with regard to data quality, fairness, and the protection of the data subject’s rights.
The study emphasizes that, under Swedish national legislation, credit reference agencies are normally not defined as data controllers, but under certain circumstances they may nevertheless fall within the rules on automated decision-making. In such cases, they must provide information about their creditworthiness. To safeguard their legitimate interests, the credit reporting industry will keep its credit assessment process confidential, which runs counter to the data subject’s legitimate interests.
Ultimately, the question of how this legal gap can be addressed when a credit reporting business acts as a data controller will be answered. This presupposes risk management measures to enable better transparency for the data subject.}},
  author       = {{Abedighavidel, Ali}},
  language     = {{swe}},
  note         = {{Student Paper}},
  title        = {{Dold påverkan på kreditbeslut - En studie av kreditupplysningsverksamhetens rättsliga kompetens enligt artikel 22 i GDPR}},
  year         = {{2025}},
}

LUP Student Papers

LUND UNIVERSITY LIBRARIES

Dold påverkan på kreditbeslut - En studie av kreditupplysningsverksamhetens rättsliga kompetens enligt artikel 22 i GDPR