2. Forholdet til personvernet og avveining mot personvernhensyn
- 2.1 Innledning
- 2.2 Rapporteringer fra kortselskapene
- 2.3 Rapporteringer av andre transaksjonstyper
- 2.4 Valutaregisterets karakter
- 2.5 Den registrertes rett til innsyn
- 2.6 Frist for sletting av opplysninger
Forslaget om et register over opplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge reiser vanskelige spørsmål om forholdet mellom personvernhensyn på den ene siden og ønsket om en effektiv kriminalitetsbekjempelse på den andre. Den elektroniske utviklingen muliggjør i stor grad registrering av transaksjoner og opplysninger som kan være av interesse for arbeidet med å avdekke økonomisk kriminalitet. Samtidig er det viktig å ivareta den enkeltes legitime krav på en privatsfære som andre ikke uten videre skal kunne samle opplysninger om.
Valutaregisteret vil både inneholde personopplysninger og opplysninger som ikke kan knyttes til en enkeltperson. De fleste transaksjonene som skal rapporteres fra bankene vil være opplysninger knyttet til foretak og virksomheter, mens rapporteringene fra kortselskapene hovedsakelig vil inneholde personopplysninger. Det er derfor ikke minst i forhold til kortselskapenes rapporteringer at hensynet til personvernet blir sentralt.
Regler for behandling av personopplysninger finnes i personopplysningsloven, i særlover og i forvaltningsloven. I tillegg er Norge gjennom EØS-avtalen bundet av Europaparlamentets og rådets direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. Personopplysningsloven og forvaltningsloven er generelle lover som i utgangspunktet gjelder all behandling av personopplysninger, hvis ikke annet følger av vedkommende særlov.
Komiteen viser til merknader under de enkelte avsnitt nedenfor.
Det er i proposisjonen redegjort for gjeldende rett og høringsinstansenes merknader når det gjelder rapportering fra kortselskapene.
Departementet er opptatt av at hensynet til den enkeltes personvern skal ivaretas på best mulig måte. Inngrepet i personvernet blir større jo mer detaljert rapportering det legges opp til. Samtidig vil et detaljert register kunne være til bedre hjelp for kontrolletatene i deres arbeid.
Departementet har merket seg høringsinstansenes merknader om at forslaget går langt når det gjelder rapporteringer fra kortselskapene. Rapportering av samtlige enkelttransaksjoner vil gi et register med detaljerte opplysninger om den enkeltes bruk av kredittkort. Som det fremgår av høringsnotatet var bakgrunnen for dette forslaget hensynet til en samordnet rapportering med statistikkmyndighetene, for å unngå å pålegge doble rapporteringsplikter. I det videre arbeidet er det imidlertid avklart at det av statistikkhensyn ikke er avgjørende med rapportering av samtlige enkelttransaksjoner. For kontrolletatene er det heller ikke behov for så detaljert rapportering og registrering. Sterke personvernhensyn taler også mot slik rapportering, fordi det vil gå unødig langt i å registrere den enkeltes pengeforbruk. Ved å legge inn en nedre beløpsgrense for når enkelttransaksjoner skal rapporteres, unngår man en detaljert registrering av den enkeltes kortbruk.
Departementet foreslår at ordningen med rapportering av aggregerte summer videreføres, og at kun transaksjoner over en viss beløpsgrense rapporteres enkeltvis. Beløpsgrensen foreslås satt til NOK 25 000. Grensen heves da i forhold til dagens beløpsgrense. Videre blir det samsvar med grensen for rapportering av inn- og utførsel av kontanter, som også er på NOK 25 000. En slik beløpsgrense innebærer at det ikke vil bli rapportert enkelttransaksjoner på lavere beløp. Enkelttransaksjoner på NOK 25 000 eller mer, vil bli rapportert og registrert. For korttransaksjoner med beløp under beløpsgrensen vil det bli foretatt aggregeringer, det vil si at det rapporteres samlesummer pr. kort pr. måned pr. land for nordmenns bruk i utlandet, og pr. kort pr. måned for utlendingers bruk i Norge. For rapportering av aggregerte månedssummer vil det ikke bli registrert hvilket brukersted kortet er benyttet, bare i hvilket land og med hvilket samlet beløp i løpet av perioden (og antallet transaksjoner).
Departementet foreslår at det i loven gis hjemmel til å fastsette beløpsgrenser for rapporteringer fra kortselskapene. Beløpsgrensen på NOK 25 000 vil bli fastsatt i forskrift.
Komiteen slutter seg til departementets vurderinger.
Når det gjelder rapporteringer om grensekryssende betalingsoverføringer gjennom bankene, foreslås i utgangspunktet å videreføre dagens ordning med rapportering av samtlige transaksjoner innen internasjonal betalingsformidling med sporbar informasjon om mottaker og avsender. Opplysninger om hva beløpet gjelder vil imidlertid kun bli obligatorisk ved utgående transaksjoner på over NOK 100 000. Personvernhensynet gjør seg sterkere gjeldende når det også skal registreres hva beløpet gjelder, og ikke bare mer nøytrale opplysninger om beløpets størrelse og mellom hvem betalingen overføres. Det legges til grunn at det hovedsakelig vil være virksomheter og bedrifter som foretar betalinger på beløp over grensen på NOK 100 000, og personvernhensynet gjør seg da i mindre grad gjeldende.
Valutavekslinger skal rapporteres dersom beløpet overstiger NOK 5 000. Her vil det ikke bli registrert hva beløpet gjelder, men hvem som har vekslet, hvor vekslingen har funnet sted og beløpet. Dette antas ikke å reise særlige personvernmessige problemer. Den kontrollmessige interesse ligger her særlig i å kunne avdekke serievekslinger som i sum betyr erverv av en stor, privat valutabeholdning.
Inn- og utførsel av kontanter med mer enn NOK 25 000 skal meldes til toll- og avgiftsetaten, og også registreres i valutaregisteret. Her skal det oppgis hva beløpet gjelder. Departementet legger til grunn at de personvernmessige betenkeligheter her må vike for toll- og avgiftsetatens (og de øvrige brukere av valutaregisteret) behov for disse kontrollopplysningene.
Komiteen slutter seg til departementets vurderinger.
Det er i proposisjonen redegjort for gjeldende rett og høringsinstansenes merknader når det gjelder valutaregisterets karakter.
Etter departementets syn må det skilles mellom på den ene siden mer omfattende registrering hvor det fremgår til hvilket brukersted beløpet er overført (kredittkorttransaksjoner) og overføringer via bank hvor det fremgår hva beløpet gjelder, og på den annen side mer begrenset registrering av transaksjoner hvor disse opplysningene ikke fremkommer. Ved registreringer i det siste tilfellet, hvor det ikke angis til hvilket brukersted pengene er overført eller hva beløpet gjelder, vil det ikke være tale om registrering av sensitive opplysninger.
Det foreslås ikke lenger at enhver enkelttransaksjon med kredittkort skal rapporteres, jf. punkt 6.2.4 i proposisjonen. For bruk av kredittkort til betaling av beløp under NOK 25 000, vil det ikke bli registrert hvilket brukersted betalingen gjelder, bare sum beløp pr. måned og pr. land. Registeret vil derfor ikke inneholde opplysninger om for eksempel kjøp av apotekvarer og legebesøk. Når det gjelder banktransaksjoner, er det først ved utgående overføringer av beløp på over NOK 100 000 at opplysninger om hva beløpet gjelder, blir obligatorisk. Hva beløpet gjelder (betalingsart) vil for øvrig bli registrert med relativt vide kategorier for betalingsart (kjøp/salg av varer, kjøp/salg av tjenester, arv/gave, kjøp/salg av aksjer osv.).
Dersom et kredittkort brukes til å betale for eksempel et kostbart sykehusopphold i utlandet (mer enn NOK 25 000), vil det bli registrert at vedkommende kortkunde har brukt sitt kort til en betaling til det aktuelle sykehuset. Etter departementets syn kan dette likevel ikke karakteriseres som registrering av opplysning om "helseforhold". Det følger av forarbeidene til personopplysningsloven, Ot.prp. nr. 92 (1998-1999) s. 104 at uttrykket helseforhold omfatter "opplysninger om en persons tidligere, nåværende og fremtidige fysiske eller psykiske tilstand, inkludert opplysninger om medisin- og narkotikamisbruk. Uttrykket omfatter dessuten genetiske opplysninger". Opplysningene som vil bli registrert i valutaregisteret gjelder kun selve betalingsoverføringen, og ikke helseforholdet. Selv om forholdene kan ligge slik an at det etter omstendighetene kan gjøres visse antakelser om helseforholdet på grunnlag av betalingsopplysningen (for eksempel dersom sykehuset er et spesialsykehus som kun ufører en viss type behandling), vil det etter departementets syn hefte usikkerhetsmomenter ved slike slutninger, som gjør det unaturlig å karakterisere betalingsopplysningen som en sensitiv helseopplysning.
Departementet kan heller ikke se at registeret vil inneholde opplysninger om seksuelle forhold. Når det gjelder opplysninger om straffbare forhold, vises det til at bøter og forelegg i Norge kreves inn av Statens Innkrevingssentral. Statens Innkrevingssentral krever også inn en rekke andre offentligrettslige fordringer, og registrering av en betaling til Innkrevingssentralen røper i utgangspunktet ikke et straffbart forhold. Andre land kan ha andre måter å drive inn strafferettslige krav på. Som nevnt er det kun ved bankoverføringer på over NOK 100 000 at det skal oppgis hva beløpet gjelder. Departementet legger til grunn at det i praksis vil være virksomheter eller bedrifter som ilegges bøter i en slik størrelsesorden, og at en eventuell grensekryssende betaling av slike bøter derfor ikke reiser personvernspørsmål.
Komiteen slutter seg til departementets vurderinger.
Det er i proposisjonen redegjort for gjeldende rett og høringsinstansenes merknader når det gjelder den registrertes rett til innsyn.
En persons rett til å få informasjon om behandlingen av personopplysninger om seg selv er en grunnleggende rettighet etter personopplysningsloven. Personopplysningsloven inneholder egne innsynsregler som på visse vilkår gir rett til informasjon om behandlingen av personopplysninger. Personopplysningsloven skiller mellom allmennhetens rett til innsyn (enhver) og innsynsrett for den det er registrert opplysninger om. Enhver har rett til informasjon om hva slags behandling av personopplysninger som blir gjort innenfor alle offentlige etater og organer. Personer som er registrert hos den behandlingsansvarlige, har i tillegg til den alminnelige innsynsretten rett til innsyn i alle opplysninger som gjelder vedkommende selv. Kunnskap om hvilke opplysninger som er registrert er en forutsetning for å kunne ivareta sitt personvern.
Internasjonale regelsett har også betydning for utformingen av norske regler om behandling av personopplysninger. Eventuelle begrensninger i personopplysningslovens regler må være forenlig med de krav som stilles til utformingen av norsk lovgivning på området, blant annet kravene i EU-direktivet om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (Europaparlamentet og rådets direktiv 95/46/EF, inntatt i EØS-avtalen ved beslutning 25. juni 1999).
Departementet ser at tungtveiende hensyn taler mot å begrense den enkeltes rett til innsyn i de registrerte opplysningene om seg selv. Mange høringsinstanser har uttalt seg negativt til dette forslaget, og det vises til innvendingene som er referert ovenfor. Hvorvidt det skal være alminnelig rett til innsyn for den enkelte, eller en mer begrenset innsynsrett i begrunnede tilfeller, har også en kostnadsmessig side. Erfaringene fra BRAVO-registeret tilsier at det vil bli en del henvendelser om innsyn. Det er imidlertid vanskelig å anslå på forhånd hvor store ressurser som må påregnes for å kunne håndtere en alminnelig innsynsrett. På denne bakgrunn, og i lys av høringsinstansenes merknader, legger derfor departementet til grunn at de personvernmessige hensynene må veie tyngst.
Departementet foreslår etter dette å fjerne § 6 fjerde ledd i lovutkastet som ble sendt på høring. Personopplysningslovens alminnelige regler om innsyn vil da gjelde.
Spesifikke personvernhensyn knyttet til etatenes tilgang til valutaregisterets lagrede opplysninger er behandlet i punkt 7 i proposisjonen.
Komiteen slutter seg til departementets vurderinger.
Det er i proposisjonen redegjort for gjeldende rett og høringsinstansenes merknader når det gjelder frist for sletting av opplysninger.
Den relativt korte oppbevaringstiden som til nå har vært praktisert for opplysningene som er lagret i BRAVO, må sees i lys av at statistikkformålet har vært det primære hensyn bak registeret. I en egen lov om valutaregister hvor det bærende hensyn er kontroll- og etterforskningsformål, er det grunn til å vurdere fristens lengde på nytt. Ut fra rene kontrollhensyn vil det være gunstig med forholdsvis lang oppbevaringstid. Samtidig taler personvernhensyn for en mer begrenset lagringstid. Jo lengre tidsperiode opplysningene lagres, desto flere personopplysninger om den enkelte vil til enhver tid kunne være registrert.
Departementet har kommet til at personvernhensyn tilsier en kortere oppbevaringstid enn opprinnelig foreslått. Departementet foreslår at opplysningene ikke skal lagres i mer enn fem år etter registreringsåret. Det innebærer en lengre lagringstid enn etter dagens system, men samtidig blir opplysningene ikke lagret lengre enn opplysningene i ØKOKRIMs register over transaksjoner som kan mistenkes å ha tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffelovens § 147 a eller § 147 b (hvitvaskingsregisteret). Disse opplysningene skal slettes senest fem år etter utløpet av registreringsåret, jf. hvitvaskingsloven § 10. Det kan være hensiktsmessig at enkelte opplysninger slettes før denne fristen, for eksempel opplysninger om beløp under en viss grense. Behandlingsansvarlig kan da foreta slik sletting.
Komiteen slutter seg til departementets vurderinger og til forslaget til § 7 i valutaregisterloven.