6 Forholdet til personvernet og avveining mot personvernhensyn
6.1 Innledning
Personvernet kan karakteriseres som vernet av interessen den enkelte har i å ha kontroll og oversikt over behandlingen og spredningen av opplysninger om seg selv. Interessen i et personvern bygger på forutsetningen om at alle har behov for et privatliv skjermet fra omverdenens innsyn og kontroll. Kjernen i personvernet er den enkeltes behov for å utøve en viss kontroll over innsamling, registrering, spredning og bruk av informasjon som omhandler en selv.
Departementet erkjenner at forslaget om et register over opplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge reiser vanskelige spørsmål om forholdet mellom personvernhensyn på den ene siden og ønsket om en effektiv kriminalitetsbekjempelse på den andre. Den elektroniske utviklingen muliggjør i stor grad registrering av transaksjoner og opplysninger som kan være av interesse for arbeidet med å avdekke økonomisk kriminalitet. Samtidig er det viktig å ivareta den enkeltes legitime krav på en privatsfære som andre ikke uten videre skal kunne samle opplysninger om.
Valutaregisteret vil både inneholde personopplysninger og opplysninger som ikke kan knyttes til en enkeltperson. De fleste transaksjonene som skal rapporteres fra bankene vil være opplysninger knyttet til foretak og virksomheter, mens rapporteringene fra kortselskapene hovedsakelig vil inneholde personopplysninger. Det er derfor ikke minst i forhold til kortselskapenes rapporteringer at hensynet til personvernet blir sentralt.
Regler for behandling av personopplysninger finnes i personopplysningsloven, i særlover og i forvaltningsloven. I tillegg er Norge gjennom EØSavtalen bundet av Europaparlamentets og rådets direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. Personopplysningsloven og forvaltningsloven er generelle lover som i utgangspunktet gjelder all behandling av personopplysninger, hvis ikke annet følger av vedkommende særlov.
6.2 Rapporteringer fra kortselskapene
6.2.1 Gjeldende rett
I medhold av valutaforskriften kapittel 16 plikter kortselskap å oppfylle de rapportkrav Norges Bank måtte pålegge med hensyn til beløp for totale debiteringer foretatt av innlendinger i utlandet samt detaljert liste over korthavere som har brukt kortet i utlandet til enkeltbetalinger over et visst beløp. Dersom det utstedes kort til utlendinger, plikter kortselskapet også å oppfylle rapportplikten over utenlandske korthaverers kortbruk i Norge.
Nordmenns bruk av internasjonale betalingskort i utlandet rapporteres til Norges Bank av de enkelte kortselskaper. Det rapporteres aggregerte summer pr. kort/måned dersom det samlede forbruk overstiger NOK 20 000 pr. måned. Det rapporteres kun på papir.
6.2.2 Høringsnotatet
I høringsnotatet ble det lagt til grunn at samtlige enkelttransaksjoner skulle rapporteres når det gjaldt nordmenns bruk av kredittkort i utlandet og utlendingers bruk av kredittkort i Norge. Bakgrunnen for dette var hensynet til en samordnet rapportering til både kontroll-, etterforsknings- og statistikkformål. En samordnet rapportering ville lette byrden for de rapporteringspliktige, og det var kun mulig med rapportering av alle enkelttransaksjoner.
Det er brukt formuleringer som «nordmenns bruk av kort i utlandet» og «utlendingers bruk av kort i Norge". Bruk i utlandet vil gjelde kreditt- og betalingskort som er utstedt i Norge av en norsk bank eller norsk filial av utenlandsk bank, et norsk kortselskap eller norsk avdeling av internasjonalt kredittkortselskap. De rapporteringspliktige kortselskapene skal rapportere transaksjoner fra utenlandsutstedte kort brukt i Norge.
6.2.3 Høringsinstansenes merknader
Statistisk sentralbyrå anser det som svært positivt at de nå for første gang får tilgang til opplysninger fra kortselskapene i elektronisk form. Dersom registeret dekker alle transaksjoner, vil det være til meget god hjelp for å få oversikt over husholdningssektorens relasjoner til utlandet.
Flere høringsinstanser har imidlertid uttalt seg kritisk til at alle enkelttransaksjoner med kredittkort skal rapporteres.
Datatilsynet er negativ til lovforslaget som helhet, og finner det «særlig problematisk at det ikke er godtgjort at nytten av overvåkingen er proporsjonal med ofringen av lovlydige borgeres grunnleggende demokratiske rettigheter». Datatilsynet er også uenig i at registeret ikke vil inneholde sensitive opplysninger. Om dette skriver tilsynet: «Ettersom betalingsmottaker også skal registreres, vil registeret inneholde opplysninger som kan knyttes til kjøp av apotekvarer, legebesøk og sykehusopphold. Dette er registreringer som enkeltvis ikke nødvendigvis vil anses som sensitive, men samlet over flere år er det lite tvilsomt at det vil kunne si noe om mange av de registrertes helseforhold. Det vil også kunne tenkes registrert opplysninger om seksuelle preferanser og straffbare forhold.»
Nærings- og handelsdepartementet mener kravet til rapportering av valutatransaksjoner mellom Norge og utlandet er berettiget, men at forslaget er mer omfattende enn det som er nødvendig for å ivareta de aktuelle hensynene. Departementet mener det bør innføres en nedre beløpsgrense for hvilke transaksjoner som skal rapporteres.
Finansnæringens hovedorganisasjon(FNH) og Sparebankforeningen fremholder at personvernet har en egenverdi, og at også den lovlydige borger har en beskyttelsesverdig interesse i vern om sin private sfære, at ikke alt skal blottstilles, og at ikke offentlige myndigheter skal ha fri tilgang til alle opplysninger og fri adgang til samkjøring av ulike registre. Etter FNHs skjønn bør det overveies nøye om innrapportering og registrering bør begrenses til større beløp, i tråd med dagens BRAVO-rapportering. Av hensyn til forutberegnelighet og tydelighet bør slik begrensning i følge FNH ligge i selve loven, og ikke i forskrift.
Finansieringsselskapenes forening har forståelse for ønsket om å bedre myndighetenes muligheter for å avdekke økonomisk kriminalitet. Tiltakene må imidlertid stå i forhold til kostnadene og prinsipielle mothensyn knyttet til generell overvåking av lovlydige borgeres aktiviteter. Finansieringsselskapenes forening stiller seg tvilende til at myndighetenes kontrollbehov kan rettferdiggjøre en oppbygging av et register der all valutaveksling og samtlige betalingstransaksjoner inn og ut av Norge skal registreres i et søkbart, personidentifiserbart register. Det å ha et omfattende og detaljert register for å undersøke om det kan være begått straffbare handlinger, er etter foreningens oppfatning å gå for langt.
Norges Fondsmeglerforbund kan vanskelig se at det foreligger et saklig behov for å samle inn informasjon om samtlige nordmenns restaurantbesøk og handel med dagligvarer og annet normalt forbruk i utlandet. Hensynet til kriminalitetsbekjempelsen kan etter forbundets syn ikke begrunne et så vidt omfattende inngrep. Forbundet anbefaler at det oppstilles minstebeløp for hva som skal rapporteres.
6.2.4 Departementets vurdering
Departementet er opptatt av at hensynet til den enkeltes personvern skal ivaretas på best mulig måte. Inngrepet i personvernet blir større jo mer detaljert rapportering det legges opp til. Samtidig vil et detaljert register kunne være til bedre hjelp for kontrolletatene i deres arbeid.
Departementet har merket seg høringsinstansenes merknader om at forslaget går langt når det gjelder rapporteringer fra kortselskapene. Rapportering av samtlige enkelttransaksjoner vil gi et register med detaljerte opplysninger om den enkeltes bruk av kredittkort. Som det fremgår av høringsnotatet var bakgrunnen for dette forslaget hensynet til en samordnet rapportering med statistikkmyndighetene, for å unngå å pålegge doble rapporteringsplikter. I det videre arbeidet er det imidlertid avklart at det av statistikkhensyn ikke er avgjørende med rapportering av samtlige enkelttransaksjoner. For kontrolletatene er det heller ikke behov for så detaljert rapportering og registrering. Sterke personvernhensyn taler også mot slik rapportering, fordi det vil gå unødig langt i å registrere den enkeltes pengeforbruk. Ved å legge inn en nedre beløpsgrense for når enkelttransaksjoner skal rapporteres, unngår man en detaljert registrering av den enkeltes kortbruk.
Departementet foreslår at ordningen med rapportering av aggregerte summer videreføres, og at kun transaksjoner over en viss beløpsgrense rapporteres enkeltvis. Beløpsgrensen foreslås satt til NOK 25 000. Grensen heves da i forhold til dagens beløpsgrense. Videre blir det samsvar med grensen for rapportering av inn- og utførsel av kontanter, som også er på NOK 25 000. En slik beløpsgrense innebærer at det ikke vil bli rapportert enkelttransaksjoner på lavere beløp. Enkelttransaksjoner på NOK 25 000 eller mer, vil bli rapportert og registrert. For korttransaksjoner med beløp under beløpsgrensen vil det bli foretatt aggregeringer, det vil si at det rapporteres samlesummer pr. kort pr. måned pr. land for nordmenns bruk i utlandet, og pr. kort pr. måned for utlendingers bruk i Norge. For rapportering av aggregerte månedssummer vil det ikke bli registrert hvilket brukersted kortet er benyttet, bare i hvilket land og med hvilket samlet beløp i løpet av perioden (og antallet transaksjoner).
Departementet foreslår at det i loven gis hjemmel til å fastsette beløpsgrenser for rapporteringer fra kortselskapene. Beløpsgrensen på NOK 25 000 vil bli fastsatt i forskrift.
6.3 Rapporteringer av andre transaksjonstyper
Når det gjelder rapporteringer om grensekryssende betalingsoverføringer gjennom bankene, foreslås i utgangspunktet å videreføre dagens ordning med rapportering av samtlige transaksjoner innen internasjonal betalingsformidling med sporbar informasjon om mottaker og avsender. Opplysninger om hva beløpet gjelder vil imidlertid kun bli obligatorisk ved utgående transaksjoner på over NOK 100 000. Personvernhensynet gjør seg sterkere gjeldende når det også skal registreres hva beløpet gjelder, og ikke bare mer nøytrale opplysninger om beløpets størrelse og mellom hvem betalingen overføres. Det legges til grunn at det hovedsakelig vil være virksomheter og bedrifter som foretar betalinger på beløp over grensen på NOK 100 000, og personvernhensynet gjør seg da i mindre grad gjeldende.
Valutavekslinger skal rapporteres dersom beløpet overstiger NOK 5 000. Her vil det ikke bli registrert hva beløpet gjelder, men hvem som har vekslet, hvor vekslingen har funnet sted og beløpet. Dette antas ikke å reise særlige personvernmessige problemer. Den kontrollmessige interesse ligger her særlig i å kunne avdekke serievekslinger som i sum betyr erverv av en stor, privat valutabeholdning.
Inn- og utførsel av kontanter med mer enn NOK 25 000 skal meldes til toll- og avgiftsetaten, og også registreres i valutaregisteret. Her skal det oppgis hva beløpet gjelder. Departementet legger til grunn at de personvernmessige betenkeligheter her må vike for toll- og avgiftsetatens (og de øvrige brukere av valutaregisteret) behov for disse kontrollopplysningene.
6.4 Valutaregisterets karakter
6.4.1 Gjeldende rett
Personopplysningsloven stiller strengere krav til behandlingen av «sensitive personopplysninger» enn til behandling av andre personopplysninger. Sensitive personopplysninger er definert i personopplysningsloven § 2 nr. 8, og omfatter blant annet opplysninger om rasemessig eller etnisk bakgrunn, opplysninger om politisk eller religiøs oppfatning, opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling og opplysninger om helseforhold og seksuelle forhold.
6.4.2 Høringsnotatet
I høringsnotatet er det lagt til grunn at valutaregisteret ikke vil inneholde sensitive personopplysninger i henhold til personopplysningsloven § 2.
6.4.3 Høringsinstansenes merknader
Datatilsynet er uenig i at registeret ikke vil inneholde sensitive opplysninger. Tilsynet skriver om dette: «Ettersom betalingsmottaker også skal registreres, vil registeret inneholde opplysninger som kan knyttes til kjøp av apotekvarer, legebesøk og sykehusopphold. Dette er registreringer som enkeltvis ikke nødvendigvis vil anses som sensitive, men samlet over flere år er det lite tvilsomt at det vil kunne si noe om mange av de registrertes helseforhold. Det vil også kunne tenkes registrert opplysninger om seksuelle preferanser og straffbare forhold».
6.4.4 Departementets vurdering
Etter departementets syn må det her skilles mellom på den ene siden mer omfattende registrering hvor det fremgår til hvilket brukersted beløpet er overført (kredittkorttransaksjoner) og overføringer via bank hvor det fremgår hva beløpet gjelder, og på den annen side mer begrenset registrering av transaksjoner hvor disse opplysningene ikke fremkommer. Ved registreringer i det siste tilfellet, hvor det ikke angis til hvilket brukersted pengene er overført eller hva beløpet gjelder, vil det ikke være tale om registrering av sensitive opplysninger.
Det foreslås ikke lenger at enhver enkelttransaksjon med kredittkort skal rapporteres, jf. punkt 6.2.4. For bruk av kredittkort til betaling av beløp under NOK 25 000, vil det ikke bli registrert hvilket brukersted betalingen gjelder, bare sum beløp pr. måned og pr. land. Registeret vil derfor ikke inneholde opplysninger om for eksempel kjøp av apotekvarer og legebesøk. Når det gjelder banktransaksjoner, er det først ved utgående overføringer av beløp på over NOK 100 000 at opplysninger om hva beløpet gjelder, blir obligatorisk. Hva beløpet gjelder (betalingsart) vil for øvrig bli registrert med relativt vide kategorier for betalingsart (kjøp/salg av varer, kjøp/salg av tjenester, arv/gave, kjøp/salg av aksjer osv.)
Dersom et kredittkort brukes til å betale for eksempel et kostbart sykehusopphold i utlandet (mer enn NOK 25 000), vil det bli registrert at vedkommende kortkunde har brukt sitt kort til en betaling til det aktuelle sykehuset. Etter departementets syn kan dette likevel ikke karakteriseres som registrering av opplysning om «helseforhold». Det følger av forarbeidene til personopplysningsloven, Ot.prp. nr. 92 (1998-1999) s. 104 at uttrykket helseforhold omfatter «opplysninger om en persons tidligere, nåværende og fremtidige fysiske eller psykiske tilstand, inkludert opplysninger om medisin- og narkotikamisbruk. Uttrykket omfatter dessuten genetiske opplysninger». Opplysningene som vil bli registrert i valutaregisteret gjelder kun selve betalingsoverføringen, og ikke helseforholdet. Selv om forholdene kan ligge slik an at det etter omstendighetene kan gjøres visse antakelser om helseforholdet på grunnlag av betalingsopplysningen (for eksempel dersom sykehuset er et spesialsykehus som kun ufører en viss type behandling), vil det etter departementets syn hefte usikkerhetsmomenter ved slike slutninger, som gjør det unaturlig å karakterisere betalingsopplysningen som en sensitiv helseopplysning.
Departementet kan heller ikke se at registeret vil inneholde opplysninger om seksuelle forhold. Når det gjelder opplysninger om straffbare forhold, vises det til at bøter og forelegg i Norge kreves inn av Statens Innkrevingssentral. Statens Innkrevingssentral krever også inn en rekke andre offentligrettslige fordringer, og registrering av en betaling til innkrevingssentralen røper i utgangspunktet ikke et straffbart forhold. Andre land kan ha andre måter å drive inn strafferettslige krav på. Som nevnt er det kun ved bankoverføringer på over NOK 100 000 at det skal oppgis hva beløpet gjelder. Departementet legger til grunn at det i praksis vil være virksomheter eller bedrifter som ilegges bøter i en slik størrelsesorden, og at en eventuell grensekryssende betaling av slike bøter derfor ikke reiser personvernspørsmål.
6.5 Den registrertes rett til innsyn
6.5.1 Gjeldende rett
Personopplysningsloven inneholder innsynsregler som på visse vilkår gir rett til informasjon om behandlingen av personopplysninger. Den som krever innsyn etter personopplysningsloven, har rett til innsyn i visse opplysninger vedrørende behandlingen. Den det er registrert opplysninger om, kan kreve innsyn i flere opplysninger enn det allmennheten kan gjøre. Den registrerte har etter personopplysningsloven § 18 rett til innsyn i alle opplysninger som gjelder vedkommende selv.
Regler om innsyn i BRAVO-registeret er gitt i Datatilsynets konsesjon til Norges Bank. I konsesjonen er det inntatt nærmere regler om rett til innsyn etter den tidligere personregisterloven.
6.5.2 Høringsnotatet
I høringsnotatet ble det foreslått å gjøre unntak fra personopplysningsloven § 18, slik at det ikke blir innsynsrett i selve registeret (lovforslaget § 6 fjerde ledd). I høringsnotatet står det:
«Det vil være offentlighet rundt registerets eksistens. Den enkelte vil derfor kunne vite at opplysninger om mottatte eller sendte grensekryssende betalinger blir registrert. I dag informerer også bankene om at utenlandstransaksjoner meldes til BRAVO-registeret (informasjon om dette er inntatt på kundens avregningsoppgave/bilag fra banken). Denne ordningen foreslås videreført, og vil bli nærmere regulert i forskrift. Vedkommende som det registreres opplysninger om vil således også bli informert om dette i det enkelte tilfellet fra den rapporteringspliktige.
Departementet foreslår at det gjøres unntak fra personopplysningsloven § 18, slik at det ikke blir innsynsrett i selve registeret. Det legges til grunn at den registrertes behov for informasjon blir dekket ved at det gis alminnelig informasjon om rapporteringen gjennom offentlighet rundt registeret og gjennom informasjon fra bankene. Det skal ikke foretas noen vurdering eller bearbeiding av opplysningene i forbindelse med registreringen, det dreier seg om registrering av objektive og i utgangspunktet nøytrale opplysninger. Det vil med andre ord ikke bli registrert opplysninger som ikke er gjort kjent for den opplysningene gjelder. Det vil medføre en uforholdsmessig stor belastning dersom den enkelte person eller virksomhet skal kunne henvende seg til behandlingsansvarlig og få opplysninger om hva som til en hver tid er registrert.
Behandlingsansvarlig kan i enkelttilfelle allikevel innrømme innsynsrett. Dersom det for eksempel er reell grunn til å anta at opplysninger i registeret ikke er korrekte, bør innsyn gis.
Dersom politiet eller kontrollorganet henter ut opplysninger i registeret til bruk for sin etterforskning eller saksbehandling, vil opplysningene inngå som en saksopplysning i vedkommende etat. Innsynsrett for vedkommende som saken gjelder for vil da reguleres av de respektive etaters regler om saksbehandlingen.
Ut over dette har departementet ikke sett behov for å begrense personopplysningslovens anvendelse på registeret som skal opprettes. Departementet legger til grunn at personopplysningsloven får anvendelse der særlovgivningen ikke gjør unntak. Det vises derfor til reglene i personopplysningsloven og ses ikke som nødvendig eller hensiktsmessig å ta inn egne regler om forhold som styres av personopplysningsloven.»
6.5.3 Høringsinstansenes merknader
Ligningsutvalget er enig i at det gjøres unntak fra innsynsretten i personopplysingsloven og at ordningen med melding til kunden om registrering av transaksjonen videreføres.
Skattedirektoratetstøtter også forslaget på dette punktet:
«§ 6 i lovutkastet åpner for at behandlingsansvarlig i særlige tilfelle skal kunne gi innsyn i registeret. Merknadene til bestemmelsen viser at det særlig er risikoen for at registeret kan inneholde feil departementet her har hatt for øye. Både de private parter som er involvert i overføringstransaksjonen og registrerte brukere har interesse av at feil blir rettet opp. Skattedirektoratet ser det derfor som ønskelig at det blir etablert faste rutiner for behandling av feilmeldinger fra interesserte, herunder for tilbakemelding om utfallet av den registeransvarliges undersøkelse av påstand om feil i registeret. I kombinasjon med retten til å få melding om hva som er rapportert inn i registeret og den aktinnsikt som vil kunne utløses ved at registeropplysninger inngår i brukeretatens saksgrunnlag, vil Skattedirektoratet mene at slike feilmeldingsrutiner bør kunne dekke alle rimelige innsynsbehov. Det vil ligge utenfor lovens formål og de ressursmessige rammer for registeret å gjøre det til en dokumentbase overføringstransaksjonens parter kan ty til som et reservearkiv.»
Flere høringsinstanser er imidlertid negative til forslaget.
Datatilsynet skriver:
«Videre fremstår forslaget om unntak fra den enkeltes rett til innsyn i registeret etter personopplysningsloven som unødvendig og lite skjønnsom. Etter Datatilsynets oppfatning er det ingen hensyn som tilsier at den registrerte ikke skal ha rett til innsyn i opplysninger om seg selv i registeret. Ettersom opplysninger som ønskes registrert ikke skal ha grunnlag i mistanke om straffbare forhold, kun at en for eksempel har betalt en alminnelig vare med kredittkort i utlandet, vil det ikke være nødvendig å holde opplysningene skjult for den det gjelder av hensyn til etterforskning eller lignende. Retten til innsyn er også et viktig aspekt for å sikre at opplysningene i størst mulig grad er korrekte. Dette kan ha betydning for eksempel ved bruk av stjålne kort eller falsk ID, da lovforslaget ikke klart redegjør for hvordan feil skal rettes.»
Justisdepartementet uttaler om dette:
«Forslaget om å begrense innsynsretten reiser to spørsmål. For det første kan det spørres om begrunnelsen for å gjøre unntak fra innsynsretten er tungtveiende nok etter en internrettslig rettspolitisk vurdering. Retten til innsyn i opplysninger om seg selv er en grunnleggende personverninteresse som lovgiverne bør være varsomme med å gjøre unntak fra. Justisdepartementet ser det for sin del som tvilsomt om begrunnelsen for å gjøre unntak fra innsynsretten er god nok. I den nærmere avveiningen av de motstridende interessene står antallet innsynsbegjæringer sentralt. Opplysningenes art, slik som beskrevet i høringsnotatet side 16, skulle tilsi at antallet innsynsbegjæringer vil være begrenset. I så fall er det betenkelig å avskjære innsyn på grunn av ressurshensyn. Det må imidlertid også tas hensyn til at dersom opplysningene blir brukt i en forvaltningssak eller straffesak, vil vedkommende få innsyn i disse sakene.
Det andre spørsmålet som reiser seg, er om det foreslåtte unntaket lar seg forene med kravene i direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, se særlig artikkel 3 om direktivets anvendelsesområde og artikkel 12 og 13 om innsynsrett og begrensninger i denne. Spørsmålet er ikke om personopplysningsloven § 5 eller andre bestemmelser i denne loven gir hjemmel til å begrense innsynsretten gjennom særlovgivning, jf. i denne retning høringsnotatet side 27, men om forslaget om å begrense innsynretten er forenlig med de krav direktivet stiller til utformingen av norsk lovgivning på området.
Høringsnotatet synes ikke å inneholde noen vurdering av forholdet til direktivet (inntatt som vedlegg til Ot.prp. nr. 92 (1998-99) Om lov om behandling av personopplysninger). Vi har ikke utredet spørsmålet som ledd i arbeidet med høringsuttalelsen, og tilrår at det i det videre arbeidet med lovforslaget vurderes nærmere om direktivet artikkel 13 gir adgang til å begrense innsynsretten så kraftig som forslaget legger opp til, jf. særlig artikkel 13 nr. 1 bokstav f. Det bør også vurderes nærmere om direktivet får anvendelse, men unntaket fra anvendelsesområdet i artikkel 3 nr. 2 første strekpunkt (statens aktiviteter på det strafferettslige området) er neppe vidtfavnende nok til at også personopplysningsbehandling som ledd i annen kontroll er unntatt fra direktivets virkeområde. Vår umiddelbare vurdering er altså at direktivet får anvendelse, slik at lovforslaget må utformes innenfor de rammene direktivet setter.»
Arbeids- og administrasjonsdepartementet er uenig i Finansdepartementets vurdering, og fremholder at innsyn i registrerte opplysninger er en grunnleggende rettighet for den enkelte der det er nødvendig å lagre personopplysninger, og et nødvendig virkemiddel for å undersøke om det er registrert feil opplysninger.
Finansieringsselskapenes Forening fremholder at retten til innsyn i opplysninger om seg selv er sentral i personvernlovgivningen, og foreningen kan ikke se behov for noe unntak fra dette viktige prinsippet.
Finansnæringens Hovedorganisasjonog Sparebankforeningenkan ikke se at det er grunnlag for å gjøre unntak fra personopplysningsloven § 18 om den registrertes innsynsrett. FNH fremholder at innsynsretten er generelt viktig, både fordi åpenhet om alle registrerte opplysninger føles som en rettsikkerhetsgaranti for de registrerte, og fordi innsynsretten vil kunne være en kilde til å få avdekket og rettet opp feil i registeret.
Norges Fondsmeglerforbund er bekymret for at det enkelte individ normalt ikke skal få innsyn i hva som er registrert om vedkommende. Fondsmeglerforbundet mener borgerne må sikres en ubetinget rett til innsyn.
6.5.4 Departementets vurdering
En persons rett til å få informasjon om behandlingen av personopplysninger om seg selv er en grunnleggende rettighet etter personopplysningsloven. Personopplysningsloven inneholder egne innsynsregler som på visse vilkår gir rett til informasjon om behandlingen av personopplysninger. Personopplysningsloven skiller mellom allmennhetens rett til innsyn (enhver) og innsynsrett for den det er registrert opplysninger om. Enhver har rett til informasjon om hva slags behandling av personopplysninger som blir gjort innenfor alle offentlige etater og organer. Personer som er registrert hos den behandlingsansvarlige, har i tillegg til den alminnelige innsynsretten rett til innsyn i alle opplysninger som gjelder vedkommende selv. Kunnskap om hvilke opplysninger som er registrert er en forutsetning for å kunne ivareta sitt personvern.
Internasjonale regelsett har også betydning for utformingen av norske regler om behandling av personopplysninger. Eventuelle begrensninger i personopplysningslovens regler må være forenlig med de krav som stilles til utformingen av norsk lovgivning på området, blant annet kravene i EU-direktivet om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (Europaparlamentet og rådets direktiv 95/46/EF, inntatt i EØS-avtalen ved beslutning 25. juni 1999).
Departementet ser at tungtveiende hensyn taler mot å begrense den enkeltes rett til innsyn i de registrerte opplysningene om seg selv. Mange høringsinstanser har uttalt seg negativt til dette forslaget, og det vises til innvendingene som er referert ovenfor. Hvorvidt det skal være alminnelig rett til innsyn for den enkelte, eller en mer begrenset innsynsrett i begrunnede tilfeller, har også en kostnadsmessig side. Erfaringene fra BRAVO-registeret tilsier at det vil bli en del henvendelser om innsyn. Det er imidlertid vanskelig å anslå på forhånd hvor store ressurser som må påregnes for å kunne håndtere en alminnelig innsynsrett. På denne bakgrunn, og i lys av høringsinstansenes merknader, legger derfor departementet til grunn at de personvernmessige hensynene må veie tyngst.
Departementet foreslår etter dette å fjerne § 6 fjerde ledd i lovutkastet som ble sendt på høring. Personopplysningslovens alminnelige regler om innsyn vil da gjelde.
Spesifikke personvernhensyn knyttet til etatenes tilgang til valutaregisterets lagrede opplysninger er behandlet i punkt 7.
6.6 Frist for sletting av opplysninger
6.6.1 Gjeldende rett
Gjeldende valutaforskrift inneholder ingen bestemmelser om oppbevaringstid for de opplysninger den krever rapportert. I Datatilsynets konsesjon for BRAVO-registeret heter det at den registeransvarlige skal slette/anonymisere opplysninger som ikke lenger har betydning. Praksis inntil nå har vært å oppbevare inneværende og de tre foregående års rapporter.
6.6.2 Høringsnotatet
I høringsnotatet er det lagt til grunn at det er behov for en lengre oppbevaringstid når det nå blir kontrollformål og ikke statistikkformål som blir bærende for registeret. Regnskapsloven 17. juli 1998 nr. 56 § 2-7 fastsetter at regnskapsmateriale skal oppbevares i Norge i 10 år etter regnskapsårets slutt. I utkastet til ny bokføringslov (NOU 2002: 20) er 10-årskravet foreslått videreført som hovedregel. Oppbevaringspliktens lengde har særlig sammenheng med skatte-, avgifts- og strafferettslige foreldelsesregler. Sak om endring av likning må tas opp innen 10 år etter utløpet av inntektsåret og fastsettelse av merverdiavgift kan foretas innen 10 år etter utløpet av vedkommende avgiftstermin. I høringsnotatet ble det foreslått at opplysningene i registeret skal slettes senest etter 10 år.
6.6.3 Høringsinstansenes merknader
Til forslagets § 8 om plikt til å slette opplysninger, skriver Datatilsynet:
«Det er i bestemmelsen foreslått en frist for å slette opplysningene først 10 år etter utløpet av registreringsåret. Dette er en vesentlig utvidelse i forhold til dagens praksis med BRAVO-registeret, hvor opplysningene slettes etter tre år. Datatilsynet tiltrer den oppfatning at det i en eventuell lov bør være en bestemmelse om oppbevaringstidens lengde, men finner den her foreslåtte 10 års regel unødvendig lang. Tilsynet kan vanskelig se at det er behov for å forlenge det som er praksis i dag. Det vises for øvrig til den nylig vedtatte hvitvaskingsloven (lov av 20.06.2003), hvor plikt til å slette opplysningene er satt til 5 år, jf. § 10. Det er i samme lov presisert at opplysningene skal slettes snarest mulig dersom det ikke foreligger straffbar handling. Hensynet til proporsjonalitet og et enhetlig lovverk tilsier at opplysninger om legale valutatransaksjoner bør oppbevares i et kortere tidsrom.»
Øvrige høringsinstanser har ikke uttalt seg spesielt om dette.
6.6.4 Departementets vurdering
Den relativt korte oppbevaringstiden som til nå har vært praktisert for opplysningene som er lagret i BRAVO, må sees i lys av at statistikkformålet har vært det primære hensyn bak registeret. I en egen lov om valutaregister hvor det bærende hensyn er kontroll- og etterforskningsformål, er det grunn til å vurdere fristens lengde på nytt. Ut fra rene kontrollhensyn vil det være gunstig med forholdsvis lang oppbevaringstid. Samtidig taler personvernhensyn for en mer begrenset lagringstid. Jo lengre tidsperiode opplysningene lagres, desto flere personopplysninger om den enkelte vil til en hver tid kunne være registrert.
Departementet har kommet til at personvernhensyn tilsier en kortere oppbevaringstid enn opprinnelig foreslått. Departementet foreslår at opplysningene ikke skal lagres i mer enn fem år etter registreringsåret. Det innebærer en lengre lagringstid enn etter dagens system, men samtidig blir opplysningene ikke lagret lengre enn opplysningene i ØKOKRIMs register over transaksjoner som kan mistenkes å ha tilknytning til utbytte av en straffbar handling eller til forhold som rammes av straffelovens § 147 a eller § 147 b (hvitvaskingsregisteret). Disse opplysningene skal slettes senest fem år etter utløpet av registreringsåret, jf. hvitvaskingsloven § 10. Det kan være hensiktsmessig at enkelte opplysninger slettes før denne fristen, for eksempel opplysninger om beløp under en viss grense. Behandlingsansvarlig kan da foreta slik sletting.