Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

20/12/2017 Kommunal- og moderniseringsdepartementet (KMD) sender med dette på høring utkast til lov om behandling av opplysninger i kredittopplysningsvirksomhet. Loven skal erstatte gjeldende forskrifts- og konsesjonsregulering, som bortfaller når nytt personvernregelverk, som blant annet gjennomfører EUs personvernforordning (EU 2016/679), trer i kraft våren 2018.

Status: På høring

Høringsfrist: 19.03.2018

 

  • Høringsbrev

    Vår ref.: 17/3091

    2564300Kommunal- og moderniseringsdepartementet (KMD) sender med dette på høring utkast til lov om behandling av opplysninger i kredittopplysningsvirksomhet. Loven skal erstatte gjeldende forskrifts- og konsesjonsregulering, som bortfaller når nytt personvernregelverk, som blant annet gjennomfører EUs personvernforordning (EU 2016/679), trer i kraft våren 2018. I sakens anledning vises det også til Justis- og beredskapsdepartementets forslag til gjennomføring av forordningen i norsk rett sendt på høring 6. juli 2017.

    Vedlagte høringsnotat innebærer i det vesentlige en lovregulering av gjeldende rett. På enkelte områder har det vært nødvendig å foreta tilpasninger for å bringe reguleringen i samsvar med kravene i EUs personvernforordning.

    Frist for å sende inn høringssvar er 19. mars 2018.

    Vi ber om at adressatene forelegger høringsbrevet med vedlegg for berørte underliggende etater og organer som ikke er oppført på adressatlisten.

    Høringsuttalelser skal avgis digitalt på regjeringen.no. Dette gjøres under «Send inn høringssvar» nederst på denne siden. Alle kan avgi høringsuttalelse.

    Høringsuttalelser er offentlige etter offentleglova og blir publisert sammen med øvrige høringsuttalelser.

    Med hilsen

    Cathrin Sætre (e.f.)
    ekspedisjonssjef    		Åste Marie Skullerud
    avdelingsdirektør

    Vedlegg:  

    • Høringsnotat
    • Datatilsynets standardkonsesjon for behandling av opplysninger i kredittopplysningsvirksomhet
    • Høringsliste

1 Innledning og bakgrunn for forslaget

1.1 Kort om kredittopplysningsvirksomhet

Kredittopplysninger er opplysninger som gir grunnlag for å trekke slutninger om kredittverdighet. Kredittopplysningsvirksomhet går ut på å samle inn og strukturere opplysninger om de registrertes økonomiske forhold. Alle personer over 18 år som har hatt skattbar inntekt er i dag registrert hos kredittopplysningsforetakene. Kredittopplysningsforetakene behandler også økonomiske opplysninger om næringsdrivende. I tillegg til at kredittopplysningene som sådan kan utleveres til kredittopplysningsforetakets kunder, kan opplysningene danne grunnlag for beregning av såkalt kredittscore eller rating. Dette er en statistisk beregning av den registrertes evne og vilje til å betjene gjeld. Kredittscore og rating beregnes automatisk av algoritmer der ulike informasjonselementer vektes i forhold til hverandre.

Kredittopplysninger benyttes i utstrakt grad ved salg på kreditt. Opplysningene utgjør et viktig element i selgers beslutningsgrunnlag. Som hovedregel skjer kredittvurderingen helautomatisk. Ved kjøp av varer på nett er ofte kredittvurderingen en integrert del av betalingsprosessen. Den registrerte (kunden) merker ikke at kredittvurderingen gjennomføres, men får informasjon i etterkant ved at han mottar en kopi (gjenpart) av den utleverte kredittopplysningen. Innhenting av kredittopplysninger er i dag integrert i svært mange e-handelsløsninger og andre nettbaserte søknadsprosesser.

Kredittopplysninger er, som angitt ovenfor, opplysninger om økonomiske forhold både av relativt nøytral karakter (lønn og utlignet skatt) og opplysninger av negativ karakter (f.eks. misligholdte fordringer). Opplysningene er ikke definert som sensitive i personopplysningsloven § 2 nr. 8. Uansett hvilken kategori opplysninger det dreier seg om, oppleves økonomiske opplysninger likevel som beskyttelsesverdige av svært mange. Formålet med kredittopplysningsvirksomheten er å samle inn, sammenstille, analysere og utlevere kredittopplysninger. Virksomheten innebærer således en betydelig spredning av opplysninger som den registrerte har interesse i å beskytte.

I Norge er det gitt konsesjon til 14 kredittopplysningsforetak. Fire av dem kredittvurderer både privatpersoner og næringsdrivende1, mens de ti andre selskapene kun kredittvurderer virksomheter/næringsdrivende2.

1.2 Bakgrunn for høringsforslaget

Kredittopplysningsvirksomhet er i dag regulert i forskrift og konsesjoner i medhold av personopplysningsloven. Bestemmelsene regulerer behandling av kredittopplysninger om både næringsdrivende og privatpersoner. I april 2016 vedtok EU ny forordning om behandling av personopplysninger, forordning EU 2016/679, heretter omtalt som forordningen eller personvernforordningen. Forordningen erstatter og opphever EUs [forts. side 4]

1 Bisnode Norge AS, Creditsafe Norway AS, Experian AS og Evry AS.
2 Assessment Global – Norsk Verdivurdering AS, Altradius, Proff AS, Kredinor SA, Kredittopplysningen AS, KO International AS, Kredittfakta AS, Lindorff AS, Regnskapstall 1881 AS og Sergel Norge AS.

Side 4:

gjeldende personverndirektiv 95/46, i det følgende omtalt som 95-direktivet eller direktivet, som er innlemmet i EØS-avtalen og gjennomført i norsk rett i personopplysningsloven. Forordningen er EØS-relevant, og det legges opp til at den skal innlemmes i EØS-avtalen og gjennomføres i norsk rett. Justis- og beredskapsdepartementet (JD) sendte 6. juli 2017 ut et høringsnotat som presenterer JDs forslag til gjennomføring av forordningen i norsk rett.3

Justis- og beredskapsdepartementet foreslår at det gis en ny personopplysningslov som gjennomfører forordningen, og at den någjeldende personopplysningsloven og personopplysningsforskriften oppheves. Dette innebærer også at de gjeldende forskriftsbestemmelsene om behandling av personopplysninger i kredittopplysningsvirksomhet oppheves. Dette høringsnotatet inneholder Kommunal- og moderniseringsdepartementets vurdering av om og hvordan behandling av person- og næringsopplysninger i kredittopplysningsvirksomhet kan reguleres når forordningen gjennomføres i norsk rett.

1.3 Hva som foreslås og hvorfor

Kredittopplysningsvirksomhet innebærer behandling av store mengder opplysninger. De negative konsekvensene ved uriktig behandling kan bli betydelige for den enkelte. Departementet mener derfor det er gode grunner som taler for fortsatt å regulere blant annet hvilke opplysninger som kan behandles i kredittopplysningsvirksomhet, hvor lenge opplysninger kan behandles, vilkår for utlevering, og når og hvordan de registrerte skal motta informasjon om behandling av opplysninger.

Departementet foreslår i dette høringsnotatet å videreføre store deler av det materielle innholdet i den gjeldende reguleringen av kredittopplysningsvirksomhet. Bestemmelsene vil supplere de generelle reglene i den nye personopplysningsloven, herunder personvernforordningen, når denne vedtas. Dette betyr at personopplysningslovens regler om blant annet behandlingsgrunnlag, sikring av personopplysninger og administrative sanksjoner vil gjelde i tillegg til de særskilte reglene som foreslås i dette høringsnotatet.

Det foreslås at regler om behandling av opplysninger i kredittopplysningsvirksomhet skal gjelde behandling av kredittopplysninger både om enkeltpersoner og om næringsdrivende.

[...]

7 Frivillig sperre mot utlevering av kredittopplysninger

7.1 Gjeldende rett

Det følger av gjeldende kredittopplysningskonsesjon at de registrerte skal ha mulighet til å sperre seg mot kredittvurdering. I praksis betyr dette at kredittopplysninger er registrert, men ikke kan utleveres. Dersom det anmodes om opplysninger om en registrert som har sperret seg mot kredittvurdering, er det bare informasjon om kredittsperren som kan utleveres.

7.2 Forordningens bestemmelser

Forordningen artikkel 21 nr. 1 åpner dessuten for at de registrerte kan motsette seg behandling av opplysninger som har grunnlag i artikkel 6 nr. 1 bokstav e, som vil være tilfellet for behandling av opplysninger i kredittopplysningsvirksomhet. Etter forordningen artikkel 6 nr. 3 jf. nr. 1 bokstav e kan det i nasjonal rett fastsettes særskilte bestemmelser for å sikre lovlig og rettferdig behandling.

7.3 Departementets vurderinger

En vanlig årsak til å ønske å registrere en frivillig kredittsperre er at man søker å motvirke negative konsekvenser av id-tyveri. Det kan også være aktuelt å legge inn en kredittsperre på seg selv dersom man ønsker å forhindre at andre skal få innsyn i kredittopplysninger om seg selv, eller dersom man har stor gjeld eller er bekymret for egen pengebruk.

I dag følger en slik rett til frivillig sperre mot utlevering av kredittvurderinger ikke av lov- eller forskriftsbestemmelser, men av kredittopplysningskonsesjonen pkt. 4.2. Alle de fire norske kredittopplysningsvirksomhetene som behandler personopplysninger tilbyr registrerte enkeltpersoner en rett til å motsette seg at opplysninger om ham eller henne utleveres i kredittopplysningsvirksomhet (kredittsperre). Dersom en person har sperret sin identitet mot kredittvurdering, er det kun opplysning om kredittsperren som kan utleveres ved forespørsel om kredittopplysning. Det vil ikke kunne utleveres kredittvurderinger eller kredittopplysninger om vedkommende, og opplysningene vil ikke kunne brukes som grunnlag for å yte kreditt. Det kan likevel registreres opplysninger om vedkommende i kredittopplysningsregisteret.

Departementet vurderer at det ligger innenfor handlingsrommet i artikkel 6 nr. 3 å åpne for at den registrerte kan begrense kredittopplysningsforetakenes behandling på en slik måte som kredittsperre innebærer. En bestemmelse om retten til kredittsperre kan også sies å ha nærhet til innsigelsesretten i forordningen artikkel 21. Departementet foreslår derfor å videreføre gjeldende rett for så vidt gjelder enkeltpersoners adgang til å sperre seg mot kredittvurdering. En bestemmelse om dette er inntatt i lovforslaget § 17. Departementet legger til grunn at konsekvensen av en kredittsperre vil være at den registrerte ikke blir ytt kreditt. Så lenge vedkommende er klar over dette, bør det, i tråd med retten til å råde over egne personopplysninger, være opp til den enkelte om han eller hun ønsker å motsette seg at personopplysningene brukes til kredittvurdering.

Samtidig kan lovfesting av retten til kredittsperre ha uheldige virkninger for samfunnet ved at det påvirker effektiviteten i kredittgivning. Før eller siden vil de aller fleste ha et reelt behov for å bli kredittvurdert. Dette kan for eksempel være i forbindelse med søknad om boliglån. I slike tilfeller vil det være mulig å oppheve kredittsperren for deretter å sette en ny sperre når søknadsprosessen er ferdig. Dette kan imidlertid medføre noe arbeid for den registrerte. Samtidig er departementet kjent med at flere kredittopplysningsforetak tilbyr elektroniske løsninger for å sette og heve kredittsperre, slik at dette både kan gå raskt og innebære lite arbeid. Departementet har foreslått at adgangen til å registrere kredittsperre skal gjelde for registrerte privatpersoner. Vi ser samtidig at også næringsdrivende kan ha interesse av å registrere slik kredittsperre. Det bes derfor om høringsinstansenes syn hvorvidt det bør tas inn en bestemmelse om kredittsperre for næringsdrivende i den foreslåtte loven, jf. lovutkastet § 17.

[...]

12 Datatilsynets kompetanse

12.1 Gjeldende rett

Etter gjeldende rett fører Datatilsynet tilsyn med etterlevelse av kredittopplysningsreglene både ved behandling av personopplysninger og næringsopplysninger. Dette følger av personopplysningsloven 42 tredje ledd nr. 3 jf § 3. siste ledd i.f.

I personopplysningsforskriften § 4-7 finnes en bestemmelse om at Datatilsynet, når særlige grunner taler for det, kan frita den behandlingsansvarlige fra plikter fastsatt i loven. Bestemmelsen er ment som en sikkerhetsventil for tilfeller der den virksomheten som drives skiller seg vesentlig fra alminnelig kredittopplysningsvirksomhet.

12.2 Forordningen
Etter forordningen art. 51 skal landene utpeke minst ett organ som skal føre tilsyn med etterlevelse av forordningen. Tilsynsmyndighetens oppgaver og kompetanse er regulert i art. 52 til 58. Det følger av bestemmelsene at det eller de utpekte nasjonale tilsynsorganene har omfattende myndighet til å føre kontroll med etterlevelse av personvernreglene.

12.3 Departementets vurderinger

Slik departementet ser det, følger det av forordningen at Datatilsynet skal føre tilsyn med kredittopplysningsbyråenes etterlevelse av forordningens regler ved behandling av kredittopplysninger om enkeltpersoner. Det er hensiktsmessig at ett og samme organ fører tilsyn med etterlevelse av reglene om behandling av opplysninger i kredittopplysningsvirksomhet uansett hvem den registrerte er. Det foreslåtte regelverket for kredittopplysning har også en så nær sammenheng med det generelle personvernregelverket at det er naturlig at samme organ fører tilsyn med etterlevelse av regelverket uansett hvem den registrerte er.

Departementet har ingen indikasjoner på at dagens ordning der Datatilsynet fører tilsyn med hele kredittopplysningsregelverket, ikke er hensiktsmessig, og ser derfor ingen grunn til å endre dette. Departementet anbefaler i samsvar med dette å innta en bestemmelse i lovforslaget § 29 om at Datatilsynet fører tilsyn med etterlevelse av loven i samsvar med reglene i den nye personopplysningsloven og forordningen artikkel 55 – 58. Dette innebærer at Datatilsynet vil ha samme kompetanse og myndighet på kredittopplysningsområdet som ved all annen behandling av personopplysninger etter forordningen, og at Datatilsynet også vil føre tilsyn med etterlevelse av reglene om behandling av kredittopplysninger om næringsdrivende.

Som nevnt under pkt. 12.1 finnes i dag en bestemmelse i personopplysningsforskriften § 4-7 om at Datatilsynet, når særlige grunner taler for det, kan frita den behandlingsansvarlige fra plikter fastsatt i loven. Dette er ment som en sikkerhetsventil for tilfeller der den virksomheten som drives skiller seg vesentlig fra alminnelig kredittopplysningsvirksomhet. Departementet er ikke kjent med at bestemmelsen er benyttet i senere tid. Når forordningen gjennomføres i norsk rett skal all behandling av personopplysninger være i samsvar med forordningens bestemmelser, eller eventuell særregulering fastsatt innenfor rammene av forordningen. Adgangen til å gjøre unntak fra lovens regler for så vidt gjelder behandling av kredittopplysninger om enkeltperson må derfor antas å være snever. Departementet vurderer etter dette at det er liten grunn til å videreføre bestemmelsen i personopplysningsforskriften § 4-7 om adgang til å gjøre unntak fra lovens, herunder forordningens, regler.

[...]

14.1.3 Personvernrådgiver

Det følger av forordningen artikkel 37 nr. 1 bokstav b at behandlingsansvarlige og databehandlere hvis hovedvirksomhet består av behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte, skal utpeke personvernrådgiver. I samsvar med lovutkastet § 5 første ledd gjelder bestemmelsen for behandling av personopplysninger i kredittopplysningsvirksomhet, og det er ikke usannsynlig at kredittopplysningsbyråenes virksomhet vil være omfattet av plikten til å etablere personvernrådgiver.

Å etablere en personvernrådgiverfunksjon vil ha en kostnad for virksomheten. Hvor stor kostnaden er, avhenger særlig av virksomhetens størrelse og om de fra før har etablert frivillig personvernombud. Ordningen med personvernrådgiver etter forordningen er uansett langt mer omfattende enn dagens frivillige ordning med personvernombud etter personopplysningsloven. Departementet legger til grunn at etablering av personvernrådgivere i kredittopplysningsvirksomhetene vil innebære en kostnad for de behandlingsansvarlige.

14.1.4 Konsekvenser for Datatilsynet

For Datatilsynet vil bortfall av konsesjonsplikt ikke medføre noen nevneverdig ressursbesparelse. De gjeldende kredittopplysningskonsesjonene er standardkonsesjoner. Når konsesjonen endres, endres den likt for alle konsesjonsinnehaverne (som er et relativt lite antall virksomheter). Dette gjøres relativt sjelden, og bortfall av konsesjonsplikten vil derfor ikke redusere Datatilsynets arbeidsbyrde i nevneverdig grad.

[...]

14.1.7 Tilsyn

Tilsyn med kredittopplysningsbyråenes behandling av personopplysninger vil, i samsvar med forordningens regler, fremdeles høre til Datatilsynets arbeidsoppgaver. Denne oppgaven endres neppe i særlig grad forutsatt at de materielle reglene i det vesentlige videreføres.

14.2 Personvernkonsekvensene av forslaget

Departementets forslag innebærer ikke vesentlige endringer i de materielle reglene om kredittopplysningsvirksomhet. Forutsatt at hovedelementene i gjeldende rett videreføres,
legger departementet til grunn at forslaget ikke vil ha negativ betydning for personvernet. Tvert om vurderer departementet det slik at en særregulering av behandling av personopplysninger i kredittopplysningsvirksomhet bidrar til å sikre at de registrertes personvern fortsatt ivaretas på en god måte.

Dersom det besluttes at deler av kredittopplysningsreguleringen skal inntas i bransjenormer fremfor i lov og/eller forskrift, vil det kunne medføre konsekvenser for personvernet. Bransjenormene utvikles eventuelt av bransjen selv i dialog med tilsynsmyndigheten, og den endelige reguleringen vil derfor kunne avvike fra departementets forslag. Det er vanskelig på nåværende tidspunkt å vurdere personvernkonsekvensene av en slik løsning. Departementet legger imidlertid til grunn at Datatilsynet vil bidra til at de registrertes personvern ivaretas på en tilstrekkelig og god måte ved utvikling av en eventuell bransjenorm.

[...]

Vedlegg:

Standardkonsesjon (PDF)