9 Lovfesting av rett til behandling av sensitive personopplysninger ifm. autorisasjonsordning for ansatte i verdipapirforetak, verdipapirfond og finansinstitusjoner mv.
9.1 Bakgrunn
Flere næringsorganisasjoner innen finansnæringen har ulike autorisasjonsordninger for ansatte i organisasjonens medlemsbedrifter. Blant annet har Verdipapirforetakenes Forbund (VPFF) (tidl. Norges Fondsmeglerforbund) en autorisasjonsordning for ansatte i visse definerte stillinger i sine medlemsbedrifter. Tilsvarende har Finans Norge og Verdipapirfondenes forening (VFF) en felles autorisasjonsordning for finansielle rådgivere (AFR). Det er frivillig for medlemsbedriftene å slutte seg til AFR, men per i dag er alle medlemsforetak av Finans Norge, samt de fleste i VFF, som yter investeringstjenester etter verdipapirhandelloven, tilsluttet ordningen. For å drifte ordningen er det etablert et AFR-sekretariat med tre ansatte i en egen juridisk enhet.
Det eksisterer også autorisasjonsordninger innen forsikring. Godkjenningsordningen for selgere og rådgivere i skadeforsikring (GOS) administreres av AFR-sekretariatet. Tre ulike autorisasjonsordninger for hhv. forsikringsrådgivere, personforsikringskonsulenter og skadebehandlingskonsulenter drives i samarbeid mellom Finans Norge og Handelshøyskolen BI.
Norske Finansanalytikeres Forening (NFF) har også en autorisasjonsordning for sine medlemmer. Det er personlig medlemskap i NFF, og medlemmene skal følge foreningens etiske regler. Brudd på regelverket kan sanksjoneres overfor den enkelte av Etisk komité i NFF.
Felles for VPFFs autorisasjonsordning og AFR er at ansatte må gjennomgå et undervisningsopplegg og bestå en kunnskapsprøve/eksamen for å kunne arbeide i en såkalt «autorisasjonskrevende stilling» i medlemsforetakene. Formålet med autorisasjonsordningene er å bidra til at ansatte i medlemsforetakene har høy faglig kompetanse, nødvendig kunnskap om regelverk og etterlever organisasjonenes regelverk og relevant lovgivning. Ansatte som ikke overholder relevant regelverk og/eller organisasjonens etiske retningslinjer, kan gis advarsel eller i alvorlige tilfeller få autorisasjonen inndratt. Saksbehandlingen ved eventuell ileggelse av sanksjon er lagt opp slik at den ansatte får anledning til å uttale seg før vedtak fattes. Etter innledende saksbehandling av henholdsvis VPFF eller AFR-sekretariatet, oversendes saken til henholdsvis VPFF disiplinærnemnd eller Autorisasjonsnemnda for AFR, som avgjør om, og eventuelt hvilken, sanksjon som skal ilegges. Vedtak om sanksjon kan påklages til henholdsvis styret i VPFF og et særskilt klageorgan for AFR.
I behandlingen av en sanksjonssak i autorisasjonsordningene kan blant annet følgende opplysninger/dokumenter inngå:
Personens navn, personnummer, e-post og adresse
Melding fra tilsluttet bedrift med beskrivelse av saken, rådgivers uttalelse til saken, partenes skriftlige redegjørelser.
Eventuelle interne undersøkelsesdokumenter
Referat fra henholdsvis VPFFs eller AFFRs samtale med aktuelle ansatt
Eventuelle tilleggskommentarer
Sekretariatets fremstilling av saken og autorisasjonsnemndas behandling
Utkast til sanksjonsbrev, kommentarer til sanksjonsbrev fra den det gjelder
Sanksjonsbrev/svarbrev til rådgiver og til bedrift
Opplysninger som ligger til grunn for å vurdere sanksjoner i forbindelse med autorisasjonsordningene, vil kunne være å anse som sensitive personopplysninger etter personopplysningsloven (pol.) § 2 nr. 8. Bestemmelsen omfatter etter sin ordlyd opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, men har i praksis vært fortolket slik at mulige straffbare forhold kan være å anse som sensitive personopplysninger, slik at opplysninger om ansattes overtredelse av regelverket kan være sensitive, selv om sanksjonsmidlene ikke er å anse som straff i seg selv. Sensitive personopplysninger kan bare behandles dersom nærmere angitte vilkår i pol. § 9, jf. § 8, jf. § 33 er oppfylt.
9.2 Gjeldende rett
Vilkår for behandling av sensitive personopplysninger etter pol. § 9, jf. § 8 innebærer at det bl.a. enten må foreligge samtykke til behandling, lovhjemmel eller at Datatilsynet har gitt midlertidig konsesjon etter pol. § 9 tredje ledd. I tillegg til et behandlingsgrunnlag som nevnt, vil det være krav om konsesjon fra Datatilsynet etter pol. § 33 første ledd, med mindre Datatilsynet mener konsesjon for behandling vil være åpenbart unødvendig, jf. pol. § 33 tredje ledd.
Det følger videre av personopplysningsloven med tilhørende forskrifter at det er strenge regler for hvordan sensitive personopplysninger skal behandles, slik at grunnleggende personvernhensyn ikke blir krenket. Dette omfatter blant annet krav til konfidensialitet, oppbevaring, sletting mv.
Per i dag foreligger det ingen lovhjemmel for behandling av sensitive personopplysninger for de nevnte autorisasjonsordningene. Samtykke fra de registrerte til å behandle sensitive personopplysninger anses ikke som et aktuelt grunnlag for behandling, blant annet fordi et avgitt samtykke kan trekkes tilbake og frata autorisasjonsordningen muligheten for å ilegge sanksjon.
Datatilsynet innvilget i 2009 VPFF (daværende Norges Fondsmeglerforbund) midlertidig konsesjon etter unntaksbestemmelsen i pol. § 9 tredje ledd. Datatilsynet begrunnet konsesjonen blant annet med at det var et behov for et slikt autorisasjonsregister ut i fra viktige samfunnsinteresser, og at det ikke fantes offentlige alternativer til Norges Fondsmeglerforbunds register. Konsesjonen har siden blitt forlenget, sist med tidsbegrensning til 1. januar 2015. I forbindelse med tildelingen av den midlertidige konsesjonen i 2009 oppfordret Datatilsynet Norges Fondsmeglerforbund om å arbeide for at forbundets registrering/behandling av sensitive opplysninger i tilknytning til autorisasjonsordningen, får nødvendig lov- eller forskriftshjemmel. Datatilsynet har presisert at ytterligere forlengelser av den midlertidige konsesjonen ikke vil gis med mindre det er igangsatt en prosess for lovfesting av adgangen til å behandle sensitive personopplysninger.
Justis- og beredskapsdepartementet ga i brev til Finansdepartementet 26. april 2012 utrykk for at personopplysningsloven er generell, og at lovfesting av adgangen til å behandle sensitive personopplysninger for ansatte i nærmere angitte virksomheter på finansområdet må gjøres i særlovgivningen, og ikke i personopplysningsloven eller forskrifter til denne.
9.3 Høring
På denne bakgrunn ble det utarbeidet et høringsnotat med utkast til en bestemmelse i lov 29. juni 2007 nr. 75 om verdipapirhandel om at næringsorganisasjon eller annen institusjon som gir opplæring til og autoriserer ansatte i verdipapirforetak, kan behandle personopplysninger som faller innenfor definisjonen av sensitive personopplysninger i personopplysningsloven (pol.) § 2 nr. 8 bokstav b. Finansdepartementet sendte notatet på høring 26. juni 2013, med høringsfrist 15. september 2013. Høringsnotatet ble sendt til følgende høringsinstanser:
Fornyings-, administrasjons- og kirkedepartementet
Justis- og beredskapsdepartementet
Nærings- og handelsdepartementet
Olje- og energidepartementet
Brønnøysundregistrene
Datatilsynet
Finanstilsynet
Folketrygdfondet
Forbrukerombudet
Norges Bank
ØKOKRIM
Den Norske Advokatforening
Den norske Revisorforening
Finans Norge
Finansforbundet
Finansieringsselskapenes Forening
Forbrukerrådet
Handelshøyskolen BI
Nasdaq OMX Oslo ASA
Norges Fondsmeglerforbund
Norges Handelshøyskole
Norske Forsikringsmegleres Forening
Norsk Tillitsmann ASA
Norske Finansanalytikeres Forening
Næringslivets Hovedorganisasjon
Oslo Børs ASA
Oslo ClearingASA
Verdipapirfondenes forening
Verdipapirsentralen
Følgende instanser har gitt merknader til forslaget i høringsnotatet:
Norske Finansanalytikeres Forening
Folketrygdfondet
Finansforbundet
Verdipapirforetakenes Forbund
Oslo Børs
Justis- og beredskapsdepartementet
Datatilsynet
Verdipapirfondenes forening
Finanstilsynet
Finans Norge
9.4 Høringsinstansenes syn
Norske Finansanalytikeres Forening («NFF») er enige i at det bør innføres en hjemmel for at næringsorganisasjoner kan behandle sensitive personopplysninger i tilknytning til autorisasjonsordninger og anfører at «for at slike autorisasjonsordninger skal kunne ha praktisk betydning, er det vesentlig at det også finnes sanksjoner, typisk at autorisasjonen kan trekkes tilbake», og at behandling av eventuelle sanksjonssaker nødvendigvis vil innebære behov for å kunne behandle sensitive personopplysninger. NFF påpeker imidlertid at de har personlig medlemskap og at medlemskapet også gjelder for personer som ikke er ansatt i verdipapirforetak. NFF viser til at en eventuell begrensning av hjemmelen til å gjelde de ordninger hvor autoriserte personer må være ansatt i verdipapirforetak, kan medføre at NFF ikke får samme mulighet til å behandle personopplysninger for alle sine medlemmer. NFF foreslår derfor at hjemmelen utvides til også å omfatte autorisasjonsordninger innen finanssektoren generelt, og ikke kun for ansatte i verdipapirforetak.
Folketrygdfondet støtter forslaget om å lovfeste rett for næringsorganisasjoner som gir opplæring til og autoriserer ansatte i verdipapirforetak til å behandle sensitive personopplysninger i tråd med autorisasjonsordningens formål. I likhet med NFF viser imidlertid Folketrygdfondet til at NFFs autorisasjonsordning er personlig og ikke betinget av at man er ansatt i et verdipapirforetak, og at de selv for eksempel ikke er et verdipapirforetak, men har mange ansatte som er autoriserte finansanalytikere. Folketrygdfondet mener derfor at retten til å behandle sensitive opplysninger i forbindelse med autorisasjonsordninger bør knyttes til den organisasjonen som gir opplæring og autoriserer, og ikke hvor den som er autorisert er ansatt.
Finansforbundet mener lovutkastet har fått en for generell utforming, og at det herunder bør vurderes om lovbestemmelsen skal begrenses til å gjelde behandling av sensitive personopplysninger for opplæring og autorisasjon innenfor verdipapirhandellovens virkeområde. Finansforbundet peker i den sammenheng på viktigheten av å begrense personvernulempene ved utforming av bestemmelser som åpner for enklere tilgang til sensitive personopplysninger.
Verdipapirforetakenes Forbund (tidligere Norges Fondsmeglerforbund) slutter seg til forslaget i høringsnotatet og bemerker at autorisasjonsordningen har allmennpreventiv virkning som bidrar til å opprettholde markedets integritet.
Oslo Børs gir sin tilslutning til forslaget om ny vphl. § 9-28 og den begrunnelse som fremgår i høringsnotatet. Børsen bemerker at de etter handelsreglene har krav til kompetanse hos ansatte i verdipapirforetak som handler på Oslo Børs’ markedsplasser, og at børsen i noen utstrekning gir opplæring på eget initiativ eller i kurs arrangert av Norges Fondsmeglerforbund som ledd i dennes autorisasjonsordning.
Justis- og beredskapsdepartementet bemerker at det i proposisjonen bør fremgå tydelig hvilke opplysninger som vil lagres ved behandling i forbindelse med autorisasjonsordningene, og som lovforslaget er ment å omfatte. Videre bør det under omtalen av gjeldende rett sies noe mer om grunnvilkårene for behandling, og for å gi konsesjon til behandling av sensitive personopplysninger etter personopplysningsloven, og hvorfor lovhjemmel for behandlingen er ønskelig i denne sammenheng.
Datatilsynet bemerker at den foreslåtte nye bestemmelsen i verdipapirhandelloven vil være et gyldig behandlingsgrunnlag for behandling av sensitive personopplysninger, jf. personopplysningsloven § 9 første ledd bokstav b, og således erstatte behovet for at konsesjonen fra Datatilsynet tjener som behandlingsgrunnlag. Utover det har Datatilsynet ingen nærmere merknader til bestemmelsens utforming.
Verdipapirfondenes forening slutter seg til forslaget om at næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer ansatte får en lovhjemmel til å behandle sensitive opplysninger i tilknytning til autorisasjonsordningen. Verdipapirfondenes forening er imidlertid bekymret for at lovforslaget synes å være begrenset til kun å gjelde oppbevaring av sensitive opplysninger knyttet til ansatte i verdipapirforetak som er underlagt ordningen. Verdipapirfondenes forening legger til grunn at lovforslaget er ment å gi hjemmel til oppbevaring av opplysninger i tilknytning til autorisasjonsordningen for samtlige som autoriseres som finansielle rådgivere, herunder ansatte i forvaltningsselskap for verdipapirfond, og at dette er forhold som bør omtales i proposisjonen.
Finanstilsynet mener det bør vurderes å begrense hjemmelen til opplæring og autorisering innenfor verdipapirområdet. Finanstilsynet gir uttrykk for at private autorisasjonsordninger bidrar til å styrke kompetansenivået og integriteten til de ansatte og den generelle tilliten til verdipapirmarkedet. Finanstilsynet viser imidlertid til at de har gitt utrykk for at en lovhjemmel som utelukkende har som hensikt å regulere private bransjeorganisasjoners mulighet til å innhente og behandle sensitive personopplysninger ikke hører hjemme i verdipapirhandelloven, og det er Finanstilsynets vurdering at verdipapirhandelloven burde begrenses til offentligrettslige krav, og at autorisasjonsordningene burde tilpasses innenfor de alminnelige rammer personopplysningsloven gir for behandling av sensitive personopplysninger. Når det gjelder selve lovutkastet kommenterer Finanstilsynet at utkastet leses dithen at det kun gir hjemmel for å behandle personopplysninger knyttet til personer ansatt i et verdipapirforetak. Finanstilsynet gjør oppmerksom på at svært mange av de foretakene som er tilknyttet AFR-ordningen, er mindre banker uten egen konsesjon etter verdipapirhandelloven, men som opptrer som tilknyttet agent for et verdipapirforetak eller bank med egen konsesjon etter verdipapirhandelloven. Finanstilsynet legger til grunn at hjemmelen til å behandle sensitive personopplysninger også skal gjelde for ansatte i tilknyttede agenter. Tilsvarende har AFR-ordningen også forvaltningsselskaper for verdipapirfond som medlemmer, og hjemmelen bør også gjelde for ansatte i forvaltningsselskaper som er omfattet av ordningen.
Finans Norge støtter prinsipielt lovfesting av rett til behandling av sensitive personopplysninger for næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring og autorisasjon til ansatte. Finans Norge mener lovfesting er et helt nødvendig tiltak for å kunne opprettholde autorisasjonsordninger som bidrar til høy faglig kompetanse, nødvendig kunnskap om regelverk, kunnskap om etiske regler og bransjestandarder, samt etterlevelse av regelverk og relevant lovgivning blant de ansatte i finansnæringen. Finans Norge mener imidlertid at plasseringen av bestemmelsen i verdipapirhandelloven sett i sammenheng med ordlyden «som gir opplæring til og autoriserer ansatte i verdipapirforetak» gjør det uklart i hvilket omfang sekretariatet rent faktisk kan behandle sensitive personopplysninger. Finans Norge påpeker for det første at det ikke bare er personer som er ansatt i verdipapirforetak som gjennomfører autorisering som finansiell rådgiver. Blant dem som gjennomfører autoriseringen er det også ansatte i finansinstitusjoner som ikke har konsesjon som verdipapirforetak eller er tilknyttet agent. Finans Norge legger til grunn at formålet med den foreslåtte hjemmelen er å åpne for at AFR skal kunne behandle sensitive personopplysninger om alle som autoriseres som finansielle rådgivere.
For det annet påpeker Finans Norge at finansnæringen har flere autorisasjons- og godkjennelsesordninger, herunder Godkjenningsordningen i skadeforsikring samt tre andre autorisasjonsordninger i forsikring. En felles bransjenorm for god rådgivningsskikk gjelder for alle ordningene. Slik disse autorisasjonsordningene/godkjenningsordningene i dag er organisert, vil brudd på god rådgivningsskikk i AFR og i Godkjenningsordningen i skadeforsikring kunne medføre at autorisert rådgiver fratas autorisasjonen. Finans Norge uttaler:
«Etter Finans Norges oppfatning er det svært viktig for ordningenes effektivitet og allmennhetens tillit til ordningene, at Finansnæringens autorisasjonsordninger får mulighet til å behandle saker derigjennom også sensitive personopplysninger – der det er mistanke om brudd på god rådgivningsskikk uavhengig av hvilken autorisasjonsordning den ansatte har gjennomført og uavhengig av hvilken type finansforetak rådgiveren er ansatt i. En fragmentering av regelverket vil vanskeliggjøre det kompetanseløft som nå gjøres i hele næringen gjennom Finansnæringens autorisasjonsordninger. Vi vil også legge til at det også vil være svært upraktisk for Finansnæringens autorisasjonsordninger å måtte håndtere personopplysninger ulikt innen de forskjellige autorisasjons- og godkjennelsesordningene. På denne bakgrunn ber Finans Norge Finansdepartementet om å presisere bestemmelsens rekkevidde. […].»
9.5 Departementets vurdering
Finansdepartementet mener at autorisasjonsordningene i regi av næringsorganisasjonene er nyttige supplement til offentligrettslig regulering på finansområdet, og at ordningene bidrar til økt faglig og etisk kompetanse, nødvendig kunnskap om regelverk og bransjestandarder og etterlevelse av relevant lovgivning.
Som nevnt over legger departementet til grunn at næringsorganisasjonene må ha lovhjemmel for å kunne behandle sensitive personopplysninger i forbindelse med autorisasjonsordninger for ansatte i verdipapirforetak jf. pol § 9 første ledd bokstav b), og at en eventuell lovhjemmel bør innarbeides i særlovgivningen. Departementet mener det bør gis en slik hjemmel i verdipapirhandelloven. Se forslag til ny § 9-28.
Departementet mener hjemmelen også bør inkludere juridisk enhet tilknyttet næringsorganisasjon som gir opplæring og autoriserer ansatte i verdipapirforetak, jf. eksempelvis AFR-sekretariatet som er etablert som en egen juridisk enhet.
Departementet viser videre til høringsmerknader fra Finanstilsynet og Finans Norge om at flere av medlemmene i AFRs ordning for finansielle rådgivere er agenter for verdipapirforetak. Departementet er enig med disse høringsinstansene i at tilknyttede agenter også bør inntas i bestemmelsen, slik at det ikke er avgjørende om rådgiveren er ansatt i verdipapirforetaket eller hos en tilknyttet agent. Slik departementet ser det er det videre naturlig å inkludere filial av utenlandske foretak som yter investeringstjenester i Norge.
Finans Norge og Verdipapirfondenes forening påpeker at finansielle rådgivere autorisert av AFR også arbeider i finansinstitusjoner som verken har konsesjon som verdipapirforetak eller er tilknyttede agenter for verdipapirforetak. Tall departementet har fått fra Finans Norge viser at dette omfatter ca. 13 % av det totale antall finansielle rådgivere tilsluttet autorisasjonsordningen. Videre viser Finans Norge til at de også har autorisasjonsordninger for forsikringer.
Departementet mener at alle finansielle rådgivere som autoriseres i henhold til AFR-ordningen bør omfattes av hjemmelsgrunnlag for behandling av sensitive personopplysninger. Departementet mener videre at de samme hensyn gjør seg gjeldende også for autorisasjonsordningene innen forsikring.
Departementet foreslår på denne bakgrunn at næringsorganisasjoner som gir opplæring til og autoriserer ansatte i forvaltningsselskap for verdipapirfond, tilknyttet agent, finansinstitusjon, foretak som opptrer som agent eller annen formidler for finansinstitusjon, samt utenlandsk finansinstitusjon som skal drive eller driver virksomhet gjennom filial her i riket, gis hjemmel til å behandle sensitive personopplysninger som ledd i vurderingen av om autorisasjonen skal tilbakekalles for ansatte i foretakene. Se forslag til ny § 1-6 i verdipapirfondloven og § 5-4 i finansieringsvirksomhetsloven.
Folketrygdfondet og NFF gir i sine høringsmerknader uttrykk for at også finansanalytikere som autoriseres av NFF, bør omfattes av hjemmelen til å behandle sensitive personopplysninger. Autorisasjonsordningen for finansanalytikere er personlig og uavhengig av om de autoriserte arbeider i virksomhet som er underlag konsesjon. Et lovgrunnlag for behandling av sensitive opplysninger for autorisasjonsordningene som sådan, uavhengig av hvor de ansatte/medlemmene arbeider, ville kreve et saklig avgrensningskrav knyttet til selve autorisasjonsordningen, og ikke til nærmere angitte lovregulerte virksomheter. Dette ville kreve en mer omfattende lovregulering enn det foreliggende lovforslaget. Departementet følger på denne bakgrunn ikke nå opp forslaget fra NFF og Folketrygdfondet om at retten til å behandle sensitive opplysninger i forbindelse med autorisasjonsordninger bør knyttes til den organisasjonen som gir opplæring og autoriserer, og ikke hvor den som er autorisert er ansatt. Departementet vil vurdere nærmere om det også bør legges frem forslag som følger opp høringsmerknadene fra NFF og Folketrygdfondet.
Departementet vil understreke at forslaget om å gi lovhjemlet behandlingsgrunnlag for behandling av sensitive personopplysninger ikke har som konsekvens at tilsynsoppgaver flyttes fra Finanstilsynet og over til private næringsorganisasjoner. Finanstilsynets oppgaver ligger fast, herunder tilsyn med at foretakene overholder plikten til å ansette medarbeidere med nødvendig kompetanse og kunnskap, og til anmeldelse av ansatte i foretakene til påtalemyndigheten, dersom Finanstilsynet mener det er grunnlag for dette.