Innstilling fra kommunal- og forvaltningskomiteen om Lov om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven)

Dette dokument

Til Stortinget

1. Sammendrag

1.1 Proposisjonens hovedinnhold

Kommunal- og moderniseringsdepartementet foreslår i proposisjonen en ny lov om behandling av opplysninger i kredittopplysningsvirksomhet. Bestemmelsene vil gjelde som supplement til den generelle personopplysningsloven for så vidt gjelder behandling av personopplysninger, og vil inneholde sektortilpasset regulering innenfor det generelle personvernregelverkets rammer. Hensikten er å ivareta personvernet samtidig som det legges til rette for et velfungerende kredittopplysningsmarked. Loven skal også sette rammer for behandling av opplysninger om juridiske personer i kredittopplysningsvirksomhet.

Departementets forslag til bestemmelser skal erstatte bestemmelsene om behandling av både person- og næringsopplysninger i kredittopplysningsvirksomhet slik de fremkommer i forskrift om behandling av personopplysninger 15. desember 2000 nr. 1265 kapittel 4 og konsesjoner gitt i medhold av forskriften § 4-5. Disse reglene gjelder, jf. overgangsregler om behandling av personopplysninger fastsatt ved kgl.res. 15. juni 2018, inntil videre.

1.2 Nærmere om forslagene

1.2.1 Bakgrunn for forslaget

Etter gjeldende rett er kredittopplysningsvirksomhet regulert i forskrift og konsesjoner gitt av Datatilsynet. Bestemmelsene regulerer behandling av kredittopplysninger om både næringsdrivende (juridiske personer) og enkeltpersoner (fysiske personer). 25. mai 2018 trådte EUs forordning om behandling av personopplysninger, forordning EU 2016/679 (personvernforordningen), i kraft. Forordningen erstatter og opphever EUs direktiv 95/46 (personverndirektivet). Ny lov om behandling av personopplysninger (lov 15. juni 2018 nr. 38) gjennomfører personvernforordningen i norsk rett. Loven trådte i kraft 20. juli 2018.

Proposisjonen inneholder departementets vurdering av om og hvordan behandling av opplysninger om fysiske og juridiske personer i kredittopplysningsvirksomhet bør reguleres med hjemmel i personvernforordningen og personopplysningsloven. Departementet foreslår i proposisjonen å videreføre store deler av det materielle innholdet i den gjeldende reguleringen av kredittopplysningsvirksomhet. Bestemmelsene vil supplere de generelle reglene i personvernforordningen og personopplysningsloven for så vidt gjelder behandling av personopplysninger. Dette betyr at de særskilte reglene som følger av lovforslaget, vil gjelde i tillegg til reglene i personopplysningsloven om blant annet behandlingsgrunnlag, sikring av personopplysninger og administrative sanksjoner forutsatt at man er innenfor det saklige virkeområdet til personopplysningsloven.

Også juridiske personer kan rammes hardt av uriktig behandling av kredittopplysninger om dem. Departementet foreslår at reglene om behandling av opplysninger i kredittopplysningsvirksomhet skal gjelde behandling av kredittopplysninger om både fysiske og juridiske personer. Lovforslaget går derfor ut på at enkelte av bestemmelsene i personopplysningsloven også skal gis tilsvarende anvendelse for behandling av opplysninger om juridiske personer.

Høringen

Departementet sendte 19. desember 2017 på høring et forslag om ny lov om behandling av opplysninger i kredittopplysningsvirksomhet. Departementet mener det er gode grunner som taler for fortsatt å regulere blant annet hvilke opplysninger som kan behandles i kredittopplysningsvirksomhet, hvor lenge opplysninger kan behandles, vilkår for utlevering og når og hvordan de registrerte skal motta informasjon om behandling av opplysninger. Dette synet har fått bred tilslutning i høringsrunden, både fra myndighets- og næringsaktører. Det opplyses at ingen av høringsinstansene har uttalt seg negativt til en fortsatt regulering av dette området.

1.3 Behovet for nasjonale regler om behandling av personopplysninger i kredittopplysningsvirksomhet

1.3.1 Gjeldende regulering av kredittopplysningsvirksomhet

Det er etter gjeldende rett ikke adgang til å behandle verken person- eller næringsopplysninger i kredittopplysningsvirksomhet uten tillatelse fra Datatilsynet. Tillatelse til behandling av opplysninger i kredittopplysningsvirksomhet er gitt som standardkonsesjoner, slik at alle virksomheter som har konsesjon til å behandle opplysninger i kredittopplysningsvirksomhet, har likelydende konsesjoner. Konsesjonene regulerer hvilke opplysninger som kan behandles, hvilke kilder de kan innhentes fra, hvordan og til hvem de kan utleveres, slettefrister og når og på hvilken måte informasjon skal gis til de registrerte. Standardkonsesjonen er inntatt som vedlegg til proposisjonen.

1.3.2 Regulering av kredittopplysningsvirksomhet i enkelte andre land

Det redegjøres i proposisjonen for at flere andre europeiske land har, og har hatt, særregler om kredittopplysningsvirksomhet. Sverige har hatt en egen lov om kredittopplysningsvirksomhet, kreditupplysningslagen 1973:1173. Det samme har Finland, kreditupplysningslagen 11.05.2007/527. Den danske persondataloven 31.05.2000 nr. 429 hadde regler om kredittopplysningsvirksomhet i kapittel 5 og 6. Disse regelsettene omfattet også langt på vei behandling av kredittopplysninger om juridiske personer. Også i Storbritannia har personvernregelverket, nærmere bestemt Data Protection Act fra 1998, inneholdt regler om kredittopplysningsvirksomhet. Departementet viser videre til at Sverige og Danmark har vedtatt å videreføre regelverket med de tilpasninger personvernforordningen krever. Nytt lovverk trådte i kraft 25. mai 2018.

1.3.3 Personvernforordningen og nasjonalt handlingsrom for regulering av kredittopplysningsvirksomhet

Departementet viser til at personvernforordningen ikke inneholder særskilte bestemmelser om kredittopplysningsvirksomhet. Behandling av personopplysninger som ledd i kredittopplysningsvirksomhet vil i utgangspunktet derfor være underlagt forordningens alminnelige regler.

Forordningen inneholder ikke noen konkret hjemmel for fastsettelse av nasjonale regler om kredittopplysningsvirksomhet. Forordningen artikkel 6 nr. 2 bestemmer imidlertid at medlemsstatene kan «opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av forordningens regler med henblikk på å sikre samsvar med artikkel 6 nr. 1 bokstav c og e, ved nærmere å fastsette særlige krav til behandlingen samt andre tiltak som har som mål å sikre en lovlig og rettferdig behandling».

Departementet forstår forordningen slik at det er anledning til å spesifisere forordningens regler i nasjonal rett for å tilpasse de generelle reglene til behandling av kredittopplysninger. Det vises i den forbindelse til den nærmere redegjørelsen for innholdet i artikkel 6 i kapittel 7 i Prop. 56 LS (2017–2018) om gjennomføring av personvernforordningen.

Departementet påpeker også at personvernforordningens fortalepunkt 8 åpner for at det i tilknytning til nasjonale bestemmelser som presiserer eller begrenser forordningens regler, kan innarbeides «elementer fra» forordningen når det er nødvendig for sammenhengen eller av pedagogiske grunner. Etter departementets syn gir dette rom for å innta bestemmelser eller deler av bestemmelser fra forordningen i et eventuelt nasjonalt regelverk om behandling av kredittopplysninger dersom dette gir en bedre sammenheng i regelverket.

Departementet mener at særregulering av behandling av personopplysninger i kredittopplysningsvirksomhet bør videreføres for å sikre at de registrertes personvern ivaretas på en god måte. Forordningens generelle regler gir etter departementets syn verken de registrerte eller de behandlingsansvarlige tilstrekkelig veiledning for ivaretakelse av de særlige hensyn som gjør seg gjeldende ved behandling av personopplysninger i kredittopplysningsvirksomhet. Konsekvensene ved urettmessig spredning og bruk av opplysninger om privatøkonomi, næringsøkonomi og kredittverdighet kan være svært negative for de registrerte. Fordi kredittopplysningsvirksomheten går ut på å samle inn opplysninger de fleste ikke ønsker å eksponere, er det gode grunner til å supplere forordningens generelle regler med detaljerte regler om hvilke opplysninger som kan brukes i virksomheten, og hvordan de skal behandles. Særregler vil også bidra til å legitimere kredittopplysningsvirksomhet som sådan.

Etter departementets vurdering vil det være hensiktsmessig å videreføre en samlet regulering av behandling av kredittopplysninger om både fysiske og juridiske personer i ett regelverk, slik det er gjort i både Danmark og Sverige.

Valg av reguleringsform

Det vises i proposisjonen til at da Stortinget vedtok personopplysningsloven, ble personopplysningsloven 2000 opphevet. Dermed ble også den generelle konsesjonsordningen som fulgte av personopplysningsloven 2000, avviklet fordi en slik ordning ikke anses å være i samsvar med forordningen. Personvernforordningen artikkel 36 nr. 5 åpner imidlertid for at medlemsstatene kan fastsette nasjonale regler som pålegger forhåndsdrøftinger med, og forhåndsgodkjenning (konsesjon) fra, tilsynsmyndighetene når behandlingen foretas som ledd i utførelsen av en oppgave i allmennhetens interesse. Slike regler ble ikke fastsatt da personopplysningsloven ble vedtatt. Begrunnelsen var at forordningens alternative virkemidler anses å gi et vel så godt personvern som en ordning med omfattende forhåndsgodkjenning. Samtidig kan det være kostnadsbesparende for både Datatilsynet og de behandlingsansvarlige å avvikle konsesjonsinstituttet. På bakgrunn av dette vurderer departementet at dagens ordning med noen overordnede bestemmelser om kredittopplysningsvirksomhet i forskrift, samt detaljregulering i standardkonsesjon, ikke er en tilfredsstillende løsning som kan eller bør videreføres.

Etter departementets vurdering vil det mest hensiktsmessige være å fastsette en egen lov om behandling av opplysninger i kredittopplysningsvirksomhet, med adgang for Kongen til å fastsette nærmere bestemmelser i forskrift. Begrunnelsen for dette er at personopplysningsloven også i fremtiden kun bør angi de generelle og sektorovergripende reglene for behandling av personopplysninger, mens særregler for ulike sektorer fortsatt bør plasseres i egne regelverk. Samtidig vil det etter departementets syn være unaturlig å regulere behandling av kredittopplysninger om juridiske personer i personvernregelverket.

De høringsinstansene som har uttalt seg om reguleringsformen, støtter i det alt vesentlige departementets forslag om lovregulering. Det vises i proposisjonen til at blant annet Skatteetaten, Datatilsynet, Forbrukerrådet og Juristforbudet mener dette vil gi de beste juridiske rammene for virksomheten. Det opplyses at ingen av høringsinstansene har uttalt seg negativt til lovregulering. Ingen av høringsinstansene har gitt innspill til spørsmål om det bør vedtas en særlov om behandling av kredittopplysninger, eller om reguleringen bør inntas i personopplysningsloven.

Med grunnlag i høringsinnspillene og den ovenstående argumentasjonen, foreslår departementet i proposisjonen å fastsette de mest sentrale og grunnleggende bestemmelsene om behandling av opplysninger i kredittopplysningsvirksomhet i særlov. Samtidig åpnes det for en viss fleksibilitet gjennom adgang til å fastsette detaljer i forskrift.

1.4 Reglenes saklige og geografiske virkeområde

1.4.1 Reglenes geografiske virkeområde

Departementet ser det som ønskelig at nytt kredittopplysningsregelverk, så langt det er mulig, gis samme geografiske anvendelse som det generelle personopplysningsregelverket. Det foreslås i proposisjonen at loven skal gjelde for behandling av kredittopplysninger i virksomheten til behandlingsansvarlig i Norge. Dette gjelder uavhengig av om selve behandlingen skjer i eller utenfor Norge. Virksomhetsbegrepet skal forstås på samme måte som i personopplysningsloven og personvernforordningen. Departementet viser til Prop. 56 LS (2017–2019) kapittel 5 og forarbeidene og merknadene til personopplysningsloven § 4 første ledd.

Forslaget innebærer at kredittopplysningsvirksomhet etablert utenfor Norge vil være dekket av personvernforordningens generelle regler, men ikke av de nasjonale kredittopplysningsreglene. Det foreslås imidlertid å regulere at opplysningstyper underlagt taushetsplikt bare skal kunne utleveres til bruk i kredittopplysningsvirksomhet som utøves i samsvar med forslaget til kredittopplysningslov. Departementet mener dette vil forhindre at kredittopplysningsvirksomhet med relevans for norske brukere flyttes ut av Norge i den hensikt å omgå de nasjonale særreglene.

Det er departementets vurdering at det bør være adgang til å gi kredittopplysningsregelverket anvendelse på Svalbard og Jan Mayen, og det foreslås at dette kan fastsettes i forskrift etter mønster av personopplysningsloven § 4 fjerde ledd.

1.4.2 Reglenes saklige virkeområde

De gjeldende reglene om behandling av personopplysninger i kredittopplysningsvirksomhet gjelder også for behandling av opplysninger om næringsdrivende. Som næringsdrivende regnes etter de gjeldende kredittopplysningskonsesjonene «foretak som er registrert i Foretaksregisteret eller Merverdiavgiftsregisteret samt foretak som er registrert i arbeidsgiverdelen i Arbeidsgiver- og arbeidstakerregisteret, dersom de etter en konkret vurdering kan sies å utøve næringsvirksomhet».

Departementet peker i proposisjonen på at bestemmelsene om personvernforordningens saklige virkeområde ikke har noen betydning for spørsmålet om kredittopplysningsreglene skal omfatte behandling av opplysninger om andre enn fysiske personer. Norge står derfor fritt til å fastsette regler også for behandling av kredittopplysninger om juridiske personer.

Departementet mener det er gode grunner som taler for å videreføre regulering av behandling av kredittopplysninger også om juridiske personer. For å skape klarhet og forutsigbarhet, både for de som driver kredittopplysningsvirksomhet, for deres kunder og ikke minst for de registrerte, foreslås det imidlertid å gå bort ifra begrepet næringsdrivende og heller benytte begrepet juridisk person. Dette innebærer at enkeltpersonforetak vil være omfattet av reglene om behandling av opplysninger om fysiske personer, og medfører at lovforslaget setter noe strammere rammer for behandling av kredittopplysninger om enkeltpersonforetak enn det som følger av gjeldende rett. Departementet mener det fremdeles vil være god tilgang til informasjon om enkeltpersonforetakene, og kan ikke se at endringene vil få negative konsekvenser av betydning for kredittmarkedet.

Det redegjøres samtidig for at departementet mener at det er riktig å legge vekt på at det er svært ulike hensyn som gjør seg gjeldende ved regulering av behandling av kredittopplysninger om henholdsvis fysiske og juridiske personer. Departementet foreslår på denne bakgrunn at reglene i personvernforordningen og personopplysningsloven bare skal gjelde for behandling av kredittopplysninger om juridiske personer der dette eksplisitt fremgår av kredittopplysningsloven.

1.5 Lovens formål

Departementet redegjør i proposisjonens kapittel 5 for behovet for å klargjøre formålet med behandling av kredittopplysninger. Det bør fremkomme tydelig av loven hva den tar sikte på å regulere, og således hva opplysningene kan benyttes, herunder utleveres, til. Departementet mener imidlertid at det ikke er nødvendig at loven inneholder en særskilt formålsbestemmelse. Formålet med behandling av opplysninger vil i stedet fremgå ved å sammenholde lovforslagets bestemmelse om saklig virkeområde i § 1, bestemmelsen som definerer henholdsvis kredittopplysning i § 3 bokstav b og kredittopplysningsvirksomhet i § 3 bokstav d, og kravet om saklig behov i lovforslagets utleveringsbestemmelse i § 14 første ledd.

Det sentrale for om behandlingen faller inn under lovens virkeområde og formålet med lovutkastet, foreslås å være om opplysningene skal behandles i den hensikt å belyse noens kredittevne. Behandling av de samme opplysningene for andre formål, for eksempel Arbeids- og velferdsetatens behandling for tildeling av ulike typer stønader, er ikke omfattet av lovforslaget.

Departementet viderefører ikke forslaget i høringsnotatet om at formålet med kredittopplysningsvirksomhet er å motvirke uforsvarlig gjeldsbyrde for den enkelte. Det er gode kreditt- og risikovurderinger i kredittinstitusjonene som skal bidra til å motvirke uforsvarlig gjeldsbyrde. Kredittopplysningsvirksomheten skal legge til rette for at disse kredittvurderingene kan foretas på et så godt og fullstendig grunnlag som mulig. Departementet mener det gir regelverket økt og ønskelig fleksibilitet når lovutkastet er mindre knyttet til virkninger i kredittmarkedet. Dette kan åpne for utlevering av kredittopplysninger også i andre situasjoner enn rene kredittsituasjoner, forutsatt at mottakers behov fremstår som saklig fundert.

1.6 Opplysningstyper

Proposisjonens kapittel 6 omhandler forslag til regulering av hvilke opplysninger som kan behandles i kredittopplysningsvirksomhet – og hvilke opplysninger som ikke kan brukes.

Departementet finner, basert på høringsinnspillene, ikke grunn til å videreføre dagens detaljerte regulering av hvilke opplysningstyper som kan benyttes i kredittopplysningsvirksomhet. Detaljert lovregulering vil etter departementets vurdering gi et lite fleksibelt regelverk og dermed hyppige behov for lovendringer. Dette vurderes å være lite ønskelig både for næringslivet og lovgiver. Samtidig bør loven sette klare rammer for innholdet i en eventuell forskriftsregulering, slik at det er lovgiver som tar stilling til hvilke hovedkategorier av opplysninger det skal være anledning til å benytte i virksomheten. Departementet foreslår derfor, i tråd med høringsforslaget, at det i loven angis hvilke hovedkategorier av opplysninger som kan behandles i kredittopplysningsvirksomhet om henholdsvis fysiske og juridiske personer, og at opplysningskategoriene kan detaljeres i forskrift. Forslag til lovbestemmelse er inntatt i lovutkastet § 6.

Departementet viser til at det i gjeldende konsesjoner er eksplisitt fastsatt at det ikke er adgang til å behandle sensitive personopplysninger i kredittopplysningsvirksomhet. Etter personopplysningsloven 2000 ble blant annet opplysninger om helseforhold, straffbare forhold, etnisk bakgrunn og religiøs oppfatning regnet som sensitive opplysninger. Konsesjonen inneholder også bestemmelser som setter visse begrensninger på registrering og behandling av inkassoopplysninger og opplysninger om gjeldsordning. Ut over dette er det den positive oppregningen av hvilke opplysninger som kan registreres, som setter rammen for hvilke opplysninger det er adgang til å behandle.

Departementet mener personvernforordningen artikkel 6 nr. 3 kan tolkes slik at den ikke bare åpner for å fastsette regler om hvilke personopplysninger som kan behandles, men at den også åpner for å avgrense mot behandling av bestemte opplysninger. I den svenske utredningen om særregulering av behandling av opplysninger i kredittopplysningsvirksomhet, Ds 2017:26, har det svenske Justitiedepartementet i kapittel 5.5 vurdert at personvernforordningen artikkel 6 nr. 2 og 3 gir nasjonalt handlingsrom til å fastsette bestemmelser som forbyr behandling av særlig kategorier av personopplysninger i kredittopplysningsvirksomhet. Basert på dette foreslår departementet at det avgrenses mot bruk av bestemte opplysningstyper i kredittopplysningsvirksomhet, og at det for andre opplysningstyper settes begrensninger for bruken. Det er nærmere redegjort for hvilke opplysninger dette gjelder, i proposisjonen kapittel 6.2.

1.7 Hvilke kilder kan opplysningene hentes fra

Personopplysningsforskriften kapittel 4 inneholder i dag ikke angivelse av hvilke kilder eller kategorier av kilder kredittopplysningsforetakene har anledning til å hente opplysninger fra. Gjeldende konsesjoner inneholder imidlertid en opplisting over hvilke kilder kredittopplysningsforetakene kan innhente opplysninger fra. Kildene inkluderer blant annet inkassoforetak og andre som driver virksomhet i henhold til inkassoloven, Ambita AS og Statens kartverk, Brønnøysundregistrene, Norsk lysingsblad, Statistisk sentralbyrå, Det sentrale folkeregisteret, Skattedirektoratet, domstolene, andre kredittopplysningsforetak, media, den registrerte selv, teleselskaper og offentlige tilbydere av kontaktinformasjon.

Departementet vurderer at personvernforordningen ikke er til hinder for at det i nasjonal rett reguleres hvilke kilder det lovlig kan innhentes opplysninger fra i kredittopplysningsvirksomhet. I høringsnotatet la departementet seg på en linje der angivelse av hvilke opplysninger som kan benyttes i kredittopplysningsvirksomhet, om både fysiske og juridiske personer, var angitt på et meget overordnet nivå. Samtidig var den detaljerte kildeangivelsen fra gjeldende konsesjoner foreslått videreført. Departementet la i høringen til grunn at de to elementene sammen ville sette en god ramme for hvilke opplysninger som kan benyttes i kredittopplysningsvirksomheten.

Departementet mener det ikke vil være heldig å angi både opplysningstyper og kilder på et helt overordnet nivå. Dette vil gi de registrerte dårlig forutberegnelighet og kunne føre til svært ulik praksis mellom de ulike tilbyderne av kredittopplysninger.

Angivelse av de opplysningstyper som lovlig skal kunne brukes, og hvilke kilder opplysningene skal kunne hentes fra, henger tett sammen. Dersom den ene oversikten detaljeres, kan den andre være mindre detaljert. En detaljert liste over opplysninger vil legge premisser for hvilke kilder som kan benyttes. På den annen side vil en detaljert kildeangivelse sette rammer for hvilke opplysninger som kan innhentes. Et av målene med regulering av kredittopplysningsvirksomhet er å sette gode rammer for behandling av opplysninger og sikre forutberegnelighet for de registrerte. Departementet har kommet til at den mest hensiktsmessige reguleringen er en overordnet angivelse av opplysningskategorier i loven, kombinert med en relativt detaljert kildeangivelse. En lovbestemmelse som angir lovlige kilder for informasjonsinnhenting i kredittopplysningsvirksomhet, fremgår i lovforslaget § 9.

1.8 Hvem kan opplysninger utleveres til

Proposisjonens kapittel 8 behandler spørsmålet om hvem opplysninger kan utleveres til. Det fremgår av personopplysningsforskriften § 4-3 første ledd at kredittopplysninger bare kan gis mottakere med «saklig behov» for opplysningene i sin virksomhet. Det er ikke sagt noe nærmere om hva som anses som saklig behov. Praksis tilsier likevel at opplysningene normalt skal benyttes til å foreta en vurdering av om den registrerte har nødvendig betalingsevne og -vilje i forbindelse med kredittgivning.

Det saklige behovet for opplysninger må vurderes både generelt for de virksomhetene som gis elektronisk tilgang til å søke i kredittopplysningsforetakenes registre, og konkret for hver enkelt forespørsel om opplysninger. Det er klarlagt gjennom Datatilsynets og Personvernnemndas praksis at selv om en virksomhet som sådan kan ha saklig behov for kredittopplysninger på generelt grunnlag, vil det kunne oppstå konkrete situasjoner der uthenting av opplysninger ikke var saklig.

Det er departementets vurdering at det med grunnlag i personvernforordningen artikkel 6 nr. 3 jf. nr. 1 bokstav e og artikkel 5 er adgang til å fastsette nærmere regler i nasjonal rett om utlevering av kredittopplysninger. Slike regler anses nødvendige for å tilpasse anvendelsen av forordningen på dette konkrete området og ivareta de registrertes behov for konfidensialitet.

Departementet peker på at det har vært en utvikling i praksis over tid med hensyn til hva som anses som saklig behov for kredittopplysninger. Uttalelser i Personvernnemndas vedtak kan tyde på at Datatilsynet har lagt til grunn en strengere tolkning av begrepet de senere årene enn det som var tenkt da begrepet første gang ble introdusert i personregisterloven (1978). Samtidig har tilgangen til, og ønske om tilgang til, personopplysninger økt enormt de senere årene. Grunnlaget for å ta beslutninger i dag er i de fleste sammenhenger et helt annet og bedre enn i 1978.

Departementet finner ikke at det isolert sett er grunn til å gå bort fra dette begrepet. Krav om saklig behov er godt innarbeidet i kredittopplysningssammenheng. Forutsatt at begrepet anvendes i sammenheng med og i lys av lovens definisjon av kredittopplysningsvirksomhet, mener departementet det bør videreføres. Lovens hovedregel vil derfor fremdeles være at kredittopplysninger bare kan utleveres til mottakere som har saklig behov, se lovforslaget § 14 første ledd.

Departementet peker på at gode kredittvurderinger kan ha stor betydning for både kreditor og skyldner. For kreditor er det av stor viktighet at skyldner kan betjene de økonomiske forpliktelsene vedkommende påtar seg, slik at kreditor unngår tap. For skyldner kan det også ha betydning at kreditor foretar en god kredittvurdering og eventuelt fraråder eller nekter skyldner en kreditt vedkommende trolig ikke vil kunne betjene. Når betalingsproblemer er oppstått, er det viktig for inkassoforetakene å ha tilgang til oppdatert informasjon om skyldners økonomiske situasjon for å kunne drive effektiv håndtering av krav. Et godt kredittopplysningsregelverk skal legge til rette for at disse hensynene kan ivaretas.

Departementet mener at ved å tolke kravet om saklig behov for kredittopplysninger slik at det omfatter mer enn rene kredittsituasjoner, vil man få det nødvendige handlingsrommet til å benytte kredittopplysningene blant annet ved administrasjon av offentlige tilskuddsordninger, som nettopp var ett av de bruksområdene høringsnotatet la til grunn at det kunne være hensiktsmessig å lovhjemle. Departementet vurderer derfor at det ikke er behov for en egen lovbestemmelse som åpner for utlevering av kredittopplysninger med hjemmel i lov, slik det var foreslått i høringsutkastet. Vurderingskriteriet vil i alle sammenhenger være om mottaker har saklig behov for opplysninger for å vurdere den registrertes kredittevne.

Departementet viser videre til at et særspørsmål gjelder for utlevering av kredittopplysninger til tredjestater eller internasjonale organisasjoner.

Personvernforordningens generelle regler gjelder for behandling av kredittopplysninger om fysiske personer med mindre det i særlovgivningen er bestemt noe annet. Departementet mener det derfor verken er nødvendig eller hensiktsmessig med en egen bestemmelse i loven som eksplisitt viser til personvernforordningens regler om overføring av personopplysninger til tredjestater. En slik særbestemmelse om utlevering av opplysninger til tredjestater vil dessuten kunne skape uklarheter om gyldigheten av de øvrige generelle reglene i personvernforordningen og personopplysningsloven som kredittopplysningsloven ikke henviser til.

Et annet spørsmål er om det bør fastsettes grenser for adgangen til å utlevere kredittopplysninger om juridiske personer til mottakere i tredjestater. Uten særskilt regulering vil utlevering av opplysninger om juridiske personer ikke begrenses av reglene i personvernforordningen kapittel 5. Departementet kan i utgangspunktet ikke se at det foreligger behov for slik begrensning. Det er ingen andre høringsinstanser enn Datatilsynet som har tatt til orde for at reglene om overføring av kredittopplysninger til tredjestater bør være like for opplysninger om fysiske og juridiske personer.

Det er imidlertid, som alltid ved utlevering av kredittopplysninger om juridiske personer, en klar forutsetning for utlevering til mottakere i tredjeland at det kan godtgjøres at mottaker har et saklig behov for opplysningene i sin virksomhet.

Basert på det ovenstående konkluderer departementet med at det ikke er behov for særskilte regler om utlevering av kredittopplysninger til mottakere i land utenfor EU-/EØS-området.

1.9 Hvordan kan opplysninger utleveres

Spørsmålet om hvordan opplysninger kan utleveres, behandles i proposisjonens kapittel 9.

I høringsnotatet ga departementet uttrykk for at det er nødvendig å gi nærmere regler om hvordan kredittopplysninger kan utleveres for å ivareta de registrertes personvern på en god måte. Departementet la til grunn at personvernforordningen artikkel 6 nr. 3 åpner for å fastsette slike regler om utlevering. Lovforslaget inneholdt av pedagogiske grunner visse elementer fra forordningen, noe som anses å være i samsvar med forordningens fortalepunkt 8.

Etter gjeldende praksis må direkte søk/elektronisk oppslag i kredittopplysningsregistre, av hensyn til farene for sammenblanding av de registrerte, skje ved hjelp av fullt fødselsnummer (elleve siffer) eller organisasjonsnummer, såfremt spørrer lovlig kan registrere og behandle dette. Dersom spørrer ikke har anledning til å gjøre direkte søk på fysiske personer ved hjelp av fødselsnummer, har kredittopplysningsforetaket ikke anledning til å oppgi en liste over personer dersom det er flere som tilfredsstiller søkekriteriene som er brukt. Søket må i disse tilfellene spesifiseres slik at det bare gir ett enkelt treff i kredittopplysningsregisteret. Dette kan gjøres ved kombinasjon av ulike søkekriterier, for eksempel navn, fødselsår og adresse forutsatt at kombinasjonen gir et unikt treff.

Det er ingen høringsinstanser som har tatt til orde for at opplysninger om fysiske personer skal kunne utleveres i form av lister. Departementet finner derfor ingen grunn til å endre regelen om at opplysninger om fysiske personer bare kan utleveres på grunnlag av søk som gir unike treff, se lovforslaget § 14 andre ledd. Som hovedregel skal søk på fysiske personer skje ved hjelp av fullt fødselsnummer. Har spørrer ikke lovlig tilgang til fødselsnummer, skal søk skje på bakgrunn av et sett andre opplysninger som gir et unikt treff i kredittopplysningsregisteret. Dersom det ikke er mulig å foreta unik identifikasjon av den omspurte, kan kredittopplysninger ikke utleveres. Lovforslaget innebærer på dette punktet en videreføring av gjeldende rett.

Departementet har merket seg innspillet fra Justis- og beredskapsdepartementet om at ikke bare næringsdrivende, men også offentlige virksomheter bør kunne gis tilgang til direkte søk i kredittopplysningsregistre. Departementet er enig i at det kan være hensiktsmessig for offentlige virksomheter som benytter kredittopplysninger i stort omfang, å ha tilgang til direkte oppslag. Hovedregelen etter lovforslaget er derfor at alle som jevnlig har et saklig behov for kredittopplysninger, kan gis tilgang til direkte søk dersom de ønsker dette.

Det er et grunnvilkår for all tilgang til kredittopplysninger at spørrer har saklig behov for opplysningene i virksomheten sin. Dersom det er fastslått et saklig behov, kan departementet ikke se at det er grunn til å lovregulere særskilte vilkår for at en virksomhet, offentlig eller privat, skal kunne foreta direkte søk i kredittopplysningsregistre. Det er den behandlingsansvarlige som er ansvarlig for at opplysninger behandles i samsvar med de generelle reglene i personopplysningsloven og personvernforordningen og de særlige reglene om kredittopplysningsvirksomhet. Etter departementets oppfatning er det derfor de behandlingsansvarlige som må vurdere hvilke tiltak de vil iverksette for å forsikre seg om at opplysninger ikke utleveres eller gjøres tilgjengelig for noen som ikke tilfredsstiller lovens vilkår. Departementet foreslår etter dette ikke å lovfeste særskilte vilkår for at offentlig og privat virksomhet skal gis tilgang til direkte søk i kredittopplysningsregistre.

Departementet legger til grunn at skriftlig utlevering, enten på papir eller elektronisk, skaper trygghet både for den som bestiller opplysninger, og for den registrerte. Lovforslaget legger derfor til grunn at kredittopplysninger skal utleveres skriftlig, se lovutkastet § 14 tredje ledd. Skriftlig utlevering kan skje enten på papir eller elektronisk.

1.10 Frivillig sperre mot utlevering av kredittopplysninger

Departementet vurderer at det ligger innenfor handlingsrommet i personvernforordningen artikkel 6 nr. 3 å åpne for at den registrerte kan begrense kredittopplysningsforetakenes behandling på en slik måte som kredittsperre innebærer. En bestemmelse om retten til kredittsperre kan også sies å ha nærhet til innsigelsesretten i forordningen artikkel 21. Departementet foreslår derfor å lovfeste gjeldende rett for så vidt gjelder fysiske personers adgang til å motsette seg utlevering av kredittopplysninger, se lovforslaget § 16 første ledd. Departementet legger til grunn at konsekvensen av en kredittsperre vil være at den registrerte ikke blir ytt kreditt. Så lenge vedkommende er klar over dette, bør det, i tråd med retten til å råde over egne personopplysninger, være opp til den enkelte om han eller hun ønsker å motsette seg at personopplysningene brukes til kredittvurdering.

For juridiske personer vil kredittsperre kunne skape enkelte utfordringer i samhandlingen med andre juridiske personer, blant annet ved å påvirke muligheten til å få leverandørkreditt. Dette er imidlertid en risiko den registrerte selv må vurdere. Departementet mener derfor ikke at det er grunn til å nekte juridiske personer å registrere kredittsperre, og legger til grunn at regelverket kan praktiseres likt uavhengig av hvem den registrerte er. Lovforslaget § 16 første ledd er basert på denne vurderingen.

Frivillig kredittsperre skal tjene flere hensyn ved at den kan bidra både til å redusere de negative konsekvensene ved identitetstyveri og til å forhindre uønsket gjeldsopptak. Samtidig er det viktig at løsningen ikke hindrer finansforetak i å gjennomføre lovpålagte risikovurderinger. Også inkassoforetak må ha tilgang til kredittopplysninger for løpende å kunne vurdere porteføljen sin og mulighetene for inndrivelse av krav. Denne muligheten til porteføljekontroll er viktig for effektiv drift og gode risikovurderinger. Etter gjeldende rett er det lagt til grunn at kredittsperren kun gjelder for enkeltoppslag i kredittopplysningsregisteret.

Departementet mener det er hensiktsmessig å videreføre gjeldende praksis, slik at en registrert kredittsperre ikke får negative konsekvenser for kredittmarkedet. For at det ikke skal være noen tvil om rekkevidden av en registrert kredittsperre, anser departementet det som hensiktsmessig at begrensningen inntas direkte i lovforslaget § 16 andre ledd.

Departementet ser det ikke som hensiktsmessig å pålegge bransjen å benytte én eller flere bestemte legitimasjonsløsninger. Etter departementets syn bør det være opp til kredittopplysningsforetaket, eller virksomhetene i bransjen i samarbeid, å vurdere hvilket sikkerhetsnivå de vil kreve ved registrering og oppheving av kredittsperre, og hvilke løsninger de ønsker å implementere for å ivareta et tilfredsstillende sikkerhetsnivå. Departementet går likevel inn for at det lovfestes en plikt til å sørge for sikker legitimasjon og sikre innloggingsløsninger uavhengig av hvilken løsning som velges, se lovforslaget § 16 tredje ledd.

Departementet peker på at enkelte høringsinstanser, herunder Forbrukertilsynet, Datatilsynet og Finansdepartementet, har etterlyst et sentralt register over kredittsperrer. Etter departementets syn er det i utgangspunktet hensiktsmessig at et eventuelt sentralt sperreregister etableres og driftes av bransjen selv. Departementet viser videre til at opprettelse av et eventuelt offentlig sperreregister må utredes grundig før det kan legges frem forslag om et eventuelt slikt register. Departementet foreslår derfor ikke i proposisjonen å etablere et offentlig driftet sentralt register for registrering av frivillig kredittsperre.

1.11 Innsyn og informasjon til de registrerte

Proposisjonen kapittel 11 omhandler innsyn og informasjon til de registrerte.

Departementet redegjør for at det etter gjeldende rett særlig er tre rettigheter og plikter som skal sikre at de registrerte får informasjon og kunnskap om den aktuelle behandlingen av deres kredittopplysninger. Dette er retten til innsyn, gjenpartsplikten og retten til forhåndsvarsel ved registrering av opplysninger i et kredittopplysningsregister.

Departementet foreslår at det fortsatt skal fremgå eksplisitt av kredittopplysningsregelverket at de registrerte har rett til innsyn, gjenpart og forhåndsvarsling, slik det også følger av gjeldende rett. Departementet opplyser at ingen av høringsinstansene har vært negative til dette, og redegjør i proposisjonen kapittel 11 nærmere for forslagene til videreføring og presisering av gjeldende regulering.

1.12 Hvor lenge kan opplysninger benyttes i kredittopplysningsvirksomheten

Personvernforordningen har ingen konkrete bestemmelser om hvor lenge registrerte opplysninger kan behandles. Det følger imidlertid av prinsippet om dataminimering i artikkel 5 nr. 1 bokstav c at det bare kan behandles opplysninger som er adekvate og relevante, og som er nødvendige for formålet. Etter artikkel 5 nr. 1 bokstav d skal opplysningene være korrekte og oppdaterte. Det følger av artikkel 6 nr. 3 at det, om nødvendig, er adgang til å fastsette nasjonale regler om lagringsperioder for å sikre en lovlig og rettferdig behandling av personopplysninger.

Basert på høringsinstansenes innspill legger departementet til grunn at de gjeldende reglene om brukstid og slettefrister for ulike opplysningstyper er godt innarbeidet og velfungerende. Departementet anbefaler derfor at gjeldende rett videreføres og lovfestes. I hovedtrekk innebærer dette at registrerte kredittopplysninger ikke kan benyttes i kredittopplysningsvirksomheten i mer enn fire år, se lovforslaget § 21. Tidsperioden regnes fra den dato opplysningen første gang ble lovlig registrert. Fra denne hovedregelen mener departementet det bør gjøres enkelte unntak. Det gjøres nærmere rede for disse i proposisjonen kapittel 12.5.

Departementet forslår videre å lovfeste den gjeldende regelen om at om at opplysninger i kredittopplysningsforetakenes historiske arkiv skal slettes eller anonymiseres senest ti år etter at opplysningene første gang lovlig ble registrert i kredittopplysningsvirksomhet. I tillegg foreslås det å lovfeste en plikt til å slette alle opplysninger som behandles hos kredittopplysningsforetaket, når virksomheten opphører, samt at Datatilsynet gis myndighet til å fatte vedtak med pålegg om sletting dersom foretaket ikke på eget initiativ sletter opplysninger ved opphør av virksomheten.

1.13 Informasjonssikkerhet og den behandlingsansvarliges ansvar

I proposisjonen kapittel 13 behandles bestemmelser om informasjonssikkerhet og internkontroll.

Gjeldende konsesjoner for kredittopplysningsvirksomhet inneholder ikke særskilte bestemmelser om informasjonssikkerhet og internkontroll. Imidlertid har kredittopplysningsforetakene vært underlagt de alminnelige reglene i personopplysningsloven 2000 §§ 13 til 15 med forskrifter. Dette betyr at kredittopplysningsforetakene har plikt til å iverksette de informasjonssikkerhetstiltakene som vurderes nødvendige ut fra hensynet til opplysningenes konfidensialitet, integritet og tilgjengelighet. Informasjonssikkerhetstiltakene skal dokumenteres. Etter personopplysningsloven 2000 § 14 gjaldt også plikt til å etablere internkontroll for å sikre etterlevelse av personvernregelverkets krav.

Departementet mener det er viktig at behandlingsansvarlige som behandler kredittopplysninger, sørger for god informasjonssikkerhet, slik at opplysningenes integritet, tilgjengelighet og konfidensialitet sikres. Dette gjelder uansett om det behandles opplysninger om fysiske eller juridiske personer. Det må etableres rutiner for gjennomføring av risikovurderinger, tiltak for ivaretakelse av informasjonssikkerheten og opprettelse av personvernombud der dette vurderes som nødvendig.

Departementet viser til at det kun er to høringsinstanser som har kommentert forslaget i høringsnotatet om å la et utvalg av bestemmelsene om behandlingsansvarliges og databehandlers ansvar gjelde ved behandling av kredittopplysninger om juridiske personer. Begge disse støtter at personvernforordningens bestemmelser i artikkel 24 og 26 til 34 gis generell anvendelse for all behandling av kredittopplysninger.

Ansvar for behandlingen og kontroll med informasjonssikkerheten vurderes å være vel så relevant ved behandling av virksomhetsrelaterte opplysninger som ved behandling av personopplysninger. Departementet vurderer at når det foreslås å regulere behandling av kredittopplysninger om juridiske personer, er det samtidig riktig og naturlig å sørge for gode rammer og ansvar for etterlevelse og oppfølging av sikkerheten rundt behandlingen. Det foreslås derfor i lovforslaget § 5 at personvernforordningens bestemmelser om den behandlingsansvarliges ansvar, felles behandlingsansvar, bruk av databehandler, protokoller over behandlingsaktiviteter og samarbeid med tilsynsmyndigheten gjelder for all behandling av opplysninger i kredittopplysningsvirksomhet. Også forordningens bestemmelser i artikkel 32 til 34 om personopplysningssikkerhet er foreslått å gjelde fullt ut for behandling av opplysninger i kredittopplysningsvirksomhet.

Samtidig vurderer departementet, i tråd med forslaget i høringsnotatet, at det ikke er nødvendig å gi bestemmelsene i artikkel 35 til 39 anvendelse for behandling av opplysninger om juridiske personer. Dette er bestemmelser om vurdering av personvernkonsekvenser, om forhåndsdrøfting med Datatilsynet og om personvernombud. Disse bestemmelsene er svært personvernspesifikke, og det synes derfor mindre naturlig å gi dem anvendelse ved behandling av opplysninger om juridiske personer.

Når det gjelder forordningens regler om sertifisering og atferdsnormer i artikkel 40 til 43, ser departementet at det kan være praktiske utfordringer knyttet til å la disse reglene gjelde også for behandling av kredittopplysninger om juridiske personer. Bestemmelsene åpner for frivillige godkjenningsordninger, men forutsetter samtidig at både sertifiseringskriterier og bransjenormer godkjennes av et sertifiseringsorgan og/eller tilsynsmyndigheten. Departementet ser at det vil kunne føre til merarbeid for Datatilsynet dersom de skal godkjenne ordninger som kun gjelder for behandling av opplysninger om juridiske personer. En slik rolle ville gå ut over tilsynsmyndighetens oppgaver etter personvernforordningen artikkel 57.

Departementet er kommet til at det ikke synes hensiktsmessig å gi bestemmelsene i personvernforordningen artikkel 40 til 43 anvendelse ved behandling av opplysninger om juridiske personer.

1.14 Ansvar og sanksjoner

Etter gjeldende rett kan overtredelser av kredittopplysningsreglene sanksjoneres likt uavhengig av om krenkelsen gjelder en registrert fysisk eller juridisk person. Reglene i personopplysningsloven 2000 § 46 om overtredelsesgebyr, § 47 om tvangsmulkt og § 48 om straff gjelder tilsvarende.

Etter personvernforordningen artikkel 82 har den som lider skade som følge av overtredelser av forordningens bestemmelser, krav på erstatning fra den behandlingsansvarlige eller databehandleren. Erstatningsplikten gjelder, jf. artikkel 82 nr. 3, ikke dersom den behandlingsansvarlige kan godtgjøre at han på ingen måte er ansvarlig for hendelsen som førte til skaden. Videre følger det av artikkel 83 at det kan ilegges overtredelsesgebyr for en rekke overtredelser av regelverket, herunder for overtredelser av de grunnleggende prinsippene for behandling av opplysninger fastsatt i artikkel 5, 6, 7 og 9. Bestemmelsene i forordningen overlater ikke handlingsrom til medlemsstatene.

Departementet mener overtredelser av særreglene om behandling av kredittopplysninger om fysiske personer bør kunne sanksjoneres og være grunnlag for erstatning. Når området er vurdert som så viktig at det fastsettes særregulering, mener departementet dette tilsier at sanksjonsreglene ikke bør være mindre strenge etter særreguleringen enn etter den generelle personvernreguleringen. På bakgrunn av høringsinnspillene vurderer departementet at brudd på kredittopplysningslovens bestemmelser om behandling av personopplysninger bør kunne sanksjoneres og være grunnlag for erstatning på lik linje med brudd på de generelle reglene i personvernforordningen og personopplysningsloven. For at det ikke skal oppstå noen tvil om at forordningens og personopplysningslovens bestemmelser om overtredelsesgebyr, tvangsmulkt og erstatning kommer til anvendelse, har departementet valgt å formulere lovforslaget § 27 slik at det omfatter alle brudd på kredittopplysningslovens regler om behandling av personopplysninger.

Bestemmelsene i personvernforordningen og personopplysningsloven om erstatning og sanksjoner gjelder, i samsvar med personopplysningslovens saklige virkeområde, kun ved overtredelser av reglene om behandling av opplysninger om fysiske personer. Dersom man mener det er ønskelig at også brudd på reglene om behandling av kredittopplysninger om juridiske personer skal kunne sanksjoneres, må dette fastsettes særskilt.

Departementet mener at det er hensiktsmessig å bygge videre på gjeldende rett og la erstatnings- og sanksjonsbestemmelsene i personvernforordningen og personopplysningsloven gjelde tilsvarende for overtredelser av bestemmelsene om behandling av kredittopplysninger om juridiske personer. Bestemmelsen i lovforslaget § 27 er utformet slik at den dekker overtredelser av alle bestemmelsene i lovforslaget, uavhengig av om den registrerte er en juridisk eller fysisk person.

Når det gjelder videreføring av bestemmelsen i personopplysningsloven 2000 § 48 om at regelbrudd kan sanksjoneres med fengsel eller bøter, foreslås denne ikke videreført. Overtredelser av det generelle personvernregelverket kan ikke lenger sanksjoneres med bøter eller fengsel. Departementet har vurdert at det er gode grunner for å harmonisere reaksjonene på kredittopplysningsområdet med reaksjonene etter de generelle personvernreglene. Med de relativt strenge reaksjonene som kan ilegges etter personvernforordningen og personopplysningsloven, og tatt i betraktning at bestemmelsen i personopplysningsloven 2000 om bøter og fengsel i svært liten grad er blitt benyttet, finner departementet det ikke hensiktsmessig å videreføre disse reaksjonsformene.

1.15 Datatilsynets kompetanse

Etter gjeldende rett fører Datatilsynet tilsyn med etterlevelse av kredittopplysningsreglene ved behandling av opplysninger om både fysiske og juridiske personer. Dette følger av personopplysningsloven 2000 § 42 tredje ledd nr. 3 jf. § 3 siste ledd.

I personopplysningsforskriften § 4-7 finnes en bestemmelse om at Datatilsynet, når særlige grunner taler for det, kan frita den behandlingsansvarlige fra plikter fastsatt i loven. Bestemmelsen er ment som en sikkerhetsventil for tilfeller der den virksomheten som drives, skiller seg vesentlig fra alminnelig kredittopplysningsvirksomhet og derfor bør reguleres annerledes.

Etter personvernforordningen artikkel 51 skal landene utpeke minst ett organ som skal føre tilsyn med etterlevelse av forordningens regler om behandling av personopplysninger. Tilsynsmyndighetens oppgaver og kompetanse er regulert i forordningen artikkel 52 til 58. Det følger av bestemmelsene at det eller de utpekte nasjonale tilsynsorganene har omfattende myndighet til å føre kontroll med etterlevelse av personvernreglene.

Departementet legger til grunn at det er viktig for etterlevelse av kredittopplysningsreglene at det etableres en velfungerende tilsynsordning. Tilsynskompetansen bør, etter departementets oppfatning, omfatte behandling av opplysninger om juridiske personer så vel som fysiske personer.

Departementet mener Datatilsynet er godt rustet til å ivareta tilsynsfunksjonen. Datatilsynet vil føre tilsyn på dette området på samme måte som de fører tilsyn med etterlevelse av andre særregler om behandling av personopplysninger hvoretter de er tillagt tilsynskompetanse. Slik tilsynskompetanse har Datatilsynet blant annet etter regler om behandling av personopplysninger etter helselovgivningen, etter politiregisterloven og etter arbeidsmiljøloven. Datatilsynet har videre lang erfaring med å føre tilsyn med kredittopplysningsforetakenes behandling av opplysninger og vil kunne dra nytte av denne erfaringen i sitt fremtidige tilsynsarbeid.

Departementet går derfor inn for at Datatilsynet er tilsynsmyndighet etter lov om behandling av opplysninger i kredittopplysningsvirksomhet, og at denne kompetansen utøves i samsvar med reglene i personopplysningsloven og personvernforordningen, se lovforslaget § 28. Departementet har merket seg Datatilsynets merknad om at tilsynsmyndighetens kompetanse etter kredittopplysningsloven må tilpasses tilsvarende kompetanse etter personopplysningsloven. Dette er det tatt høyde for i lovforslaget ved at det er inntatt en henvisning til personopplysningsloven § 20.

Departementet har videre merket seg Datatilsynets innspill om at gjennomføring av tilsyn vanskeliggjøres når konsesjonsplikten for kredittopplysningsvirksomhet bortfaller, og det blir vanskeligere for tilsynsmyndigheten å ha oversikt over markedet. Departementet er enig i denne vurderingen, men påpeker at dette vil gjøre seg gjeldende på alle samfunnsområder. Systemet etter personvernforordningen er at det i de fleste tilfeller ikke kreves forhåndskontroll og godkjenning for å kunne behandle personopplysninger. Det synes ikke å være særegne forhold ved kredittopplysningsforetakenes behandling av personopplysninger som tilsier at den bør underlegges andre mekanismer for forhåndsgodkjenning enn andre behandlinger. Departementet kan derfor ikke se at det er grunn til å fravike personvernforordningens hovedregel og pålegge forhåndskontroll på kredittopplysningsområdet. Samtidig må kredittopplysningsforetakene selv vurdere om deres behandling av personopplysninger er så inngripende at den faller inn under bestemmelsene om forhåndsdrøfting i personvernforordningen artikkel 36.

1.16 Klage

Proposisjonen kapittel 16 omhandler klage.

I samsvar med reglene i personopplysningsloven 2000 § 42 kan vedtak fattet av Datatilsynet overfor kredittopplysningsforetakene påklages til Personvernnemnda.

Personvernforordningen artikkel 78 gir enhver fysisk eller juridisk person rett til et effektivt rettsmiddel overfor en rettslig bindende avgjørelse som gjelder dem, og som er truffet av en tilsynsmyndighet med grunnlag i personvernforordningens regler.

Departementet har kommet til at den mest hensiktsmessige løsning er å videreføre gjeldende rett, slik at alle klager over Datatilsynets vedtak om behandling av opplysninger i kredittopplysningsvirksomhet skal behandles av Personvernnemnda, se lovforslaget § 28. Det antas ikke at dette vil medføre vesentlig merarbeid verken for Datatilsynet eller Personvernnemnda, da løsningen innebærer en videreføring av gjeldende rett.

Departementet foreslår videre at Datatilsynet og Personvernnemnda gis samme partsstilling ved søksmål knyttet til tilsyn med eller vedtak om behandling av kredittopplysninger som de er gitt ved behandling av personopplysninger etter personopplysningsloven. Dette følger av henvisningen til personopplysningsloven § 25 i lovforslaget § 28. Det vises ellers til det som er sagt om organenes partsstilling i Prop. 56 LS (2017–2018).

1.17 Gyldighet av konsesjoner gitt i medhold av personopplysningsloven

Departementet redegjør i kapittel 17 for at forskrift om overgangsregler om behandling av personopplysninger 15. juni 2018 nr. 877 § 4 vil bli opphevet samtidig med at ny lov om behandling av kredittopplysninger trer i kraft.

1.18 Konsekvenser av forslaget

I proposisjonen kapittel 18 redegjøres det for økonomiske og administrative konsekvenser av forslaget. Departementet viser til at lovforslaget ikke innebærer vesentlige endringer i de materielle reglene om kredittopplysningsvirksomhet, og at det derfor legges til grunn at forslaget ikke innebærer vesentlige økonomiske eller administrative konsekvenser – verken for dem som benytter kredittopplysninger i sine beslutningsgrunnlag, eller for kredittopplysningsforetakene. Departementet legger også til grunn at forslaget ikke vil ha negative konsekvenser for personvernet. Etter departementets syn vil en regulering i lov og forskrift, slik lovforslaget legger opp til, på en god måte sikre ivaretagelse av de registrertes rettigheter og gjøre regelverket tilgjengelig og kjent.

1.19 Endringer i annen lovgivning

Proposisjonen kapittel 19 omtaler forslag til endringer i annen lovgivning. Departementet redegjør for at det anses hensiktsmessig å foreslå noen mindre, tekniske endringer i andre lover: tinglysingsloven, inkassoloven, enhetsregisterloven og gjeldsinformasjonsloven. Endringene framgår av lovforslaget § 31. Forholdet til personopplysningsloven er også foreslått regulert.

2. Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Masud Gharahkhani, Kjell-Idar Juvik, Stein Erik Lauvås og Siri Gåsemyr Staalesen, fra Høyre, Norunn Tveiten Benestad, Mari Holm Lønseth, Olemic Thommessen og Ove Trellevik, fra Fremskrittspartiet, Jon Engen-Helgheim og Kari Kjønaas Kjos, fra Senterpartiet, Kari Anne Bøkestad Andreassen og Heidi Greni, fra Sosialistisk Venstreparti, lederen Karin Andersen, og fra Kristelig Folkeparti, Torhild Bransdal, viser til proposisjonen. Komiteen viser til at det foreslås en egen kredittopplysningslov samt endringer i annen lovgivning for tilpasning til lovforslaget.

Komiteen merker seg at departementets forslag til bestemmelser skal erstatte forskrift om behandling av personopplysninger 15. desember 2002 nr. 1256 kapittel 4 og konsesjoner gitt i medhold av forskriften § 4-5. Den nevnte forskriften er gitt i medhold av personopplysningsloven av 2000. Komiteen viser til at Stortinget har vedtatt en ny personopplysningslov. Den nye personopplysningsloven opphever personopplysningsloven 2000 og forskrifter i medhold av denne, med noen unntak. Nevnte forskrift som regulerer kredittopplysningsvirksomhet gjelder frem til nytt regelverk er vedtatt.

Komiteen viser til at forslag til lov om kredittopplysningsvirksomhet har vært på høring. Komiteen registrerer at forslaget har fått bred tilslutning i høringsrunden.

Komiteen merker seg at lovforslaget ikke innebærer vesentlige endringer i de materielle reglene om kredittopplysningsvirksomhet.

3. Komiteens tilråding

Komiteens tilråding fremmes av en samlet komité.

Komiteen har for øvrig ingen merknader, viser til proposisjonen og råder Stortinget til å gjøre følgende

vedtak til lov

om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven)

Kapittel 1. Virkeområde
§ 1 Saklig virkeområde

Loven gjelder for utlevering og annen behandling av opplysninger som ledd i kredittopplysningsvirksomhet dersom annet ikke er bestemt i eller i medhold av lov.

Følgende regnes ikke som kredittopplysningsvirksomhet:

  • a) meldinger fra offentlige registre om rettigheter og heftelser i fast eiendom eller løsøre,

  • b) meldinger til den opplysningene gjelder,

  • c) Brønnøysundregistrenes behandling av lovpålagte registre,

  • d) meldinger fra Løsøreregisteret om registrerte utleggstrekk og forretninger om «intet til utlegg».

§ 2 Geografisk virkeområde

Loven gjelder for behandling av kredittopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig i Norge, uavhengig av om behandlingen finner sted i Norge eller ikke.

Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen.

§ 3 Definisjoner

I denne loven menes med

  • a) personopplysning: enhver opplysning om en identifisert eller identifiserbar fysisk person; en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet,

  • b) kredittopplysning: opplysning som belyser kredittevnen til en fysisk eller juridisk person,

  • c) gjeldsopplysning: opplysninger som nevnt i gjeldsinformasjonsloven § 2 bokstav d,

  • d) kredittopplysningsvirksomhet: virksomhet som består i ervervsmessig eller stadig utlevering av kredittopplysninger i den hensikt å belyse kredittevne,

  • e) kredittopplysningsregister: enhver strukturert samling av opplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på et funksjonelt eller geografisk grunnlag, og som brukes i kredittopplysningsvirksomhet,

  • f) behandling: enhver operasjon eller rekke av operasjoner som gjøres med opplysninger om fysiske eller juridiske personer, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring,

  • g) kredittrating og kredittscore: matematisk beregnet poengsum eller kode som beskriver risikoprofil og som brukes til å bedømme kredittevne,

  • h) inkassoforetak: foretak som driver inkassovirksomhet i henhold til inkassoloven.

§ 4 Forholdet til personopplysningsloven og personvernforordningen

Personopplysningsloven og personvernforordningen gjelder for behandling av personopplysninger i kredittopplysningsvirksomhet dersom annet ikke følger av denne loven.

Kapittel 2. Behandling av opplysninger i kredittopplysningsvirksomhet
§ 5 Behandlingsansvarliges og databehandlers ansvar

Personvernforordningen artikkel 24, 26 og 28 til 34 om behandlingsansvarliges og databehandleres ansvar gjelder tilsvarende for behandling av opplysninger om juridiske personer i kredittopplysningsvirksomhet.

§ 6 Opplysninger som kan behandles i kredittopplysningsvirksomhet

I kredittopplysningsvirksomhet kan det behandles grunndata, kredittopplysninger og gjeldsopplysninger fra gjeldsinformasjonsforetak.

§ 7 Særlige kategorier av personopplysninger

Personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, jf. personvernforordningen artikkel 9 nr. 1, kan ikke brukes i kredittopplysningsvirksomhet.

§ 8 Opplysninger om straffedommer og lovovertredelser

Opplysninger om fysiske eller juridiske personers straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak kan ikke brukes i kredittopplysningsvirksomhet.

Første ledd gjelder likevel ikke opplysninger om overtredelser av straffeloven §§ 392 til 394.

§ 9 Kilder

Kredittopplysninger kan innhentes fra følgende kilder:

  • 1. offentlig tilgjengelige kilder,

  • 2. inkassoforetak,

  • 3. Statens kartverk og virksomheter som videreformidler eiendomsopplysninger fra Statens kartverk i henhold til forskrift om utlevering, viderebruk og annen behandling av opplysninger fra grunnboken og matrikkelen,

  • 4. Folkeregisteret,

  • 5. Skattedirektoratet,

  • 6. gjeldsinformasjonsforetak,

  • 7. den registrerte selv,

  • 8. register over kredittsperrer, jf. § 16.

Opplysninger om konkurs, akkord og gjeldsforhandlinger kan bare hentes fra Brønnøysundregistrene og Norsk lysingsblad.

§ 10 Inkassoopplysninger

Inkassoopplysninger om krav mot fysiske personer kan ikke brukes i kredittopplysningsvirksomhet før en måned etter at inkassoforetaket har sendt stevning eller begjæring om rettslige skritt i saken. Ved eventuelt brudd på en nedbetalingsavtale som er inngått med et inkassoforetak, gjelder ikke denne begrensningen. Dersom betalingsavtalen gjenopptas, skal bruddet ikke registreres som en betalingsanmerkning.

Registrerte inkassoopplysninger om juridiske personer kan ikke brukes i kredittopplysningsvirksomhet før en måned etter at inkassoforetaket har sendt krav om inndrivelse av gjelden.

Dersom flere inkassoopplysninger knytter seg til samme krav, skal opplysningene registreres som én anmerkning.

§ 11 Omtvistet fordring

Inkassoopplysninger som stammer fra en omtvistet fordring, skal ikke brukes i kredittopplysningsvirksomhet. Fordringen skal anses som omtvistet dersom skyldneren har innsigelser mot denne, med mindre innsigelsene er åpenbart grunnløse.

En fordring er ikke lenger å regne som omtvistet når det foreligger tvangsgrunnlag, jf. tvangsfullbyrdelsesloven § 4-1. En rettskraftig avgjørelse som er foranlediget av en omtvistet fordring, skal ikke brukes i kredittopplysningsvirksomhet dersom den registrerte gjør opp for seg innenfor domstolens fastsatte frist.

§ 12 Kredittrating eller kredittscore av juridiske personer

Som grunnlag for kredittrating eller kredittscore av juridiske personer er det bare tillatt å gjøre bruk av opplysninger om den juridiske personen.

Opplysninger om personer i ledende stillinger hos den juridiske personen kan likevel brukes som grunnlag for utarbeidelse av kredittrating eller kredittscore frem til første regnskap er tilgjengelig.

§ 13 Opplysninger om tidligere forespørsler

Opplysninger om tidligere forespørsler om kredittopplysninger kan ikke brukes i kredittopplysningsvirksomhet.

Kapittel 3. Utlevering av kredittopplysninger
§ 14 Utlevering av kredittopplysninger

Kredittopplysninger kan bare utleveres til mottakere som har saklig behov for opplysningene i forbindelse med vurdering av kredittevne.

Kredittopplysninger kan bare utleveres på grunnlag av søkekriterier som gir unike treff i kredittopplysningsregisteret.

Kredittopplysninger skal utleveres skriftlig. Tilgang til direkte søk i kredittopplysninger skal ikke gis til privatpersoner.

Kredittopplysninger kan utleveres i form av kredittrating eller kredittscore for juridiske personer eller kredittscore for fysiske personer.

Avtaler som går ut på at mottakeren skal få utlevert fremtidige kredittopplysninger (kredittovervåking), kan bare omfatte opplysninger om juridiske personer.

Første ledd er ikke til hinder for at kredittopplysninger utleveres

  • a) for bruk til journalistiske formål. Kredittopplysninger om fysiske personer kan bare utleveres til journalistiske formål i samsvar med personopplysningsloven § 3 dersom mottaker kunne innhentet de samme opplysningene fra en offentlig tilgjengelig kilde,

  • b) til Statistisk sentralbyrå, Norges Bank og Finanstilsynet for analyse-, overvåkings- og statistikkformål. Slik utlevering skal skje vederlagsfritt for mottaker.

§ 15 Utlevering av gjeldsopplysninger

Gjeldsopplysninger om fysiske personer kan bare utleveres i samsvar med gjeldsinformasjonsloven § 13.

§ 16 Adgang til å motsette seg utlevering av opplysninger (kredittsperre)

Den registrerte har rett til å motsette seg at opplysninger utleveres i kredittopplysningsvirksomhet (kredittsperre). Dersom den registrerte har registrert kredittsperre, er det kun informasjon om kredittsperren som kan utleveres.

Kredittopplysninger kan likevel utleveres til bank, kreditt- eller finansieringsforetak som ledd i gjennomføring av deres lovpålagte risikovurderinger og til inkassoforetak.

Den som ønsker å registrere eller oppheve en kredittsperre, skal legitimere seg ved bruk av elektronisk ID.

Kapittel 4. Innsyn og informasjon til den registrerte
§ 17 Innsynsrett og informasjon til den registrerte

Fysiske personer har rett til å få en forklaring på eventuell kredittscore. Forklaringen skal tilfredsstille kravene i personvernforordningen artikkel 15 nr. 1 bokstav h.

Juridiske personer har rett til innsyn tilsvarende retten etter personvernforordningen artikkel 15.

Både fysiske og juridiske personer kan kreve å få opplyst hvilke opplysninger som er utlevert om dem de siste seks måneder, hvem opplysningene ble utlevert til, og hvilke kilder opplysningene er hentet fra.

Innsyn skal være gratis for den registrerte. Unntakene i personvernforordningen artikkel 12 nr. 5 gjelder tilsvarende.

§ 18 Gjenpartsplikt

Ved utlevering av kredittopplysninger om fysiske personer skal gjenpart, kopi eller annen melding om innholdet i kredittopplysningene samtidig sendes vederlagsfritt til den registrerte.

Gjenpartsbrevet skal i tillegg inneholde informasjon om:

  • 1. identiteten og kontaktopplysningene til den behandlingsansvarlige for utleveringen og eventuelt den behandlingsansvarliges representant,

  • 2. kontaktopplysninger til personvernombudet, dersom dette er relevant,

  • 3. kilden som de utleverte opplysningene er hentet fra,

  • 4. hvem som har etterspurt kredittopplysninger,

  • 5. personopplysningene som ligger til grunn for en eventuell kredittscore,

  • 6. forklaring på den underliggende logikken i beregningen av en eventuell kredittscore,

  • 7. dato for når kredittvurderingen ble foretatt.

Plikten til å sende gjenpart gjelder ikke når kredittopplysninger utleveres til et inkassoforetak som tidligere har fått utlevert disse opplysningene i forbindelse med inndrivingen av den samme fordringen.

Plikten til å sende gjenpart gjelder ikke når kredittopplysninger utleveres til bank, kreditt- og finansieringsforetak til bruk i risiko- og soliditetsvurderinger.

§ 19 Forhåndsvarsel til fysiske personer

Når kredittopplysninger om en fysisk person registreres i et kredittopplysningsregister, skal den behandlingsansvarlige straks sende kopi av opplysningene til den registrerte. Forhåndsvarselet skal, i tillegg til den registrerte kredittopplysningen, inneholde den informasjonen som fremgår i personvernforordningen artikkel 14.

Plikten til forhåndsvarsling gjelder ikke ved registrering av opplysninger om skattefastsetting fra Skattedirektoratet, ved registrering av næringsinteresser fra Brønnøysundregistrene eller ved oppdatering av grunndata.

Plikten til forhåndsvarsling gjelder heller ikke ved innhenting av opplysninger om utlegg og innhenting av opplysninger om utleggsforretning og andre tvangsforretninger når varsel om slik innhenting er gitt i forbindelse med utsendelse av namsboken.

§ 20 Retting av uriktige opplysninger

Registrerte fysiske personer skal i forhåndsvarselet etter § 19 oppfordres til å be om retting av eventuelle uriktige opplysninger innen 14 dager fra mottak av forhåndsvarselet. De nyregistrerte opplysningene kan ikke brukes i kredittopplysningsvirksomhet før fristen er utløpt. Opplysninger om at gjeldsordning eller konkurs er åpnet, kan likevel brukes samtidig med at varsel sendes.

Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at opplysninger om både fysiske og juridiske personer som behandles som ledd i kredittopplysningsvirksomhet, er korrekte og om nødvendig oppdaterte.

Kapittel 5. Tidsrommet opplysningene kan behandles
§ 21 Brukstid

En opplysning skal ikke behandles i kredittopplysningsvirksomhet lenger enn fire år regnet fra den dato opplysningen første gang ble lovlig registrert med mindre annet følger av dette kapitlet.

Opplysninger som på et tidligere tidspunkt rettes eller slettes hos kilden for opplysningene, skal rettes eller slettes i kredittopplysningsvirksomheten så snart den behandlingsansvarlige får kjennskap til endringen hos kilden.

§ 22 Fordring med lengre brukstid

Opplysninger om tvangsforretning i fast eiendom eller løsøre kan behandles i kredittopplysningsvirksomhet så lenge de er registrert i det relevante offentlige registeret.

En fordring som ikke kan tvangsinndrives, kan behandles i kredittopplysningsvirksomhet i ytterligere fire år, dersom det tas nye rettslige skritt.

§ 23 Gjeldsordning

Opplysning om åpning av gjeldsforhandling etter gjeldsordningsloven kan ikke behandles i kredittopplysningsvirksomhet dersom

  • a) saken om gjeldsordning er hevet,

  • b) gjeldsordning er fastsatt,

  • c) gjeldsforhandlingsperioden er avsluttet uten at det er mottatt melding om at gjeldsordning er fastsatt.

Opplysning om åpning av gjeldsforhandling kan ikke behandles i kredittopplysningsvirksomhet lenger enn ett år fra åpningtidspunktet.

Opplysning om registrert gjeldsordning i henhold til gjeldsordningsloven § 7-1 kan behandles i kredittopplysningsvirksomhet så lenge ordningen varer.

§ 24 Fordring som er oppgjort

Når en fordring er gjort opp, skal registreringen av fordringen ikke lenger brukes i kredittopplysningsvirksomhet.

§ 25 Historisk arkiv

Opplysninger som ikke lenger kan behandles i kredittopplysningsvirksomhet, jf. §§ 21 til 24, skal slettes eller overføres til historisk arkiv.

Opplysningene i historisk arkiv skal slettes eller anonymiseres når det ikke lenger er nødvendig for formålet med behandlingen at opplysningene lagres i identifiserbar form, og senest når det er gått ti år fra det tidspunktet opplysningen første gang ble registrert i kredittopplysningsvirksomheten.

§ 26 Opphør av virksomhet

Dersom virksomheten opphører, skal opplysningene slettes.

Kapittel 6. Avsluttende bestemmelser
§ 27 Overtredelsesgebyr, tvangsmulkt og erstatning

Ved overtredelse av bestemmelsene i denne loven, gjelder personvernforordningen artikkel 82 og 83 nr. 5 og personopplysningsloven §§ 26 til 30 tilsvarende.

§ 28 Tilsyn og klage

Personvernforordningen artikkel 55 til 58 og personopplysningsloven §§ 20 til 25 gjelder tilsvarende for tilsyn og klage etter denne loven.

§ 29 Forskrifter

Kongen kan i forskrift gi nærmere regler om kredittopplysningsvirksomhet og behandling av opplysninger i slik virksomhet, herunder hvilke opplysninger som kan behandles etter § 6, og hvilke kilder opplysningene kan innhentes fra i henhold til § 9.

Kongen kan gi forskrift om dekning av Datatilsynets kostnader ved kontroll med etterlevelse av denne loven.

Kapittel 7. Ikrafttredelse. Endringer i andre lover
§ 30 Ikrafttredelse

Loven trer i kraft fra den tid Kongen bestemmer.

§ 31 Endringer i andre lover

Fra den tiden loven her trer i kraft, gjøres følgende endringer i andre lover:

1. I lov 7. juni 1935 nr. 2 om tinglysing skal § 34 a tredje ledd lyde:

Opplysninger om utleggstrekk og beslutninger om intet til utlegg kan bare gis til advokater, finansinstitusjoner, inkassobyråer, foretak som driver kredittopplysningsvirksomhet etter kredittopplysningsloven, samt offentlige myndigheter med taushetsplikt etter forvaltningsloven eller annen lov. Opplysningene kan bare gis ut skriftlig.

2. I lov 13. mai 1988 nr. 26 om inkassovirksomhet og annen inndriving av forfalte pengekrav skal § 28 andre ledd lyde:

Første ledd hindrer ikke at opplysninger overlates til eller lovlig brukes i foretak som driver kredittopplysningsvirksomhet i samsvar med kredittopplysningsloven.

3. I lov 3. juni 1994 nr. 15 om Enhetsregisteret skal § 22 andre ledd lyde:

Enhver har rett til å få tilgang til og utskrift av opplysninger registrert i Enhetsregisteret, og elektronisk kopi av dokumenter registrert i registeret. Dette gjelder likevel ikke fødselsnummer og D-nummer. Slike opplysninger kan likevel utleveres til intern bruk i kredittopplysningsvirksomhet, jf. kredittopplysningsloven.

4. I lov 16. juni 2017 nr. 47 om gjeldsinformasjon ved kredittvurdering av privatpersoner gjøres følgende endringer:

§ 2 bokstav c skal lyde:
  • c) kredittopplysningsforetak: foretak som driver kredittopplysningsvirksomhet i samsvar med kredittopplysningsloven,

§ 19 skal lyde:
§ 19 Forholdet til personopplysningsloven og kredittopplysningsloven

Personopplysningsloven gjelder så langt ikke annet følger av denne loven.

Departementet kan i forskrift gi nærmere regler om forholdet til personopplysningsloven og kredittopplysningsloven.

Oslo, i kommunal- og forvaltningskomiteen, den 3. desember 2019

Karin Andersen

Mari Holm Lønseth

leder

ordfører