10 Forholdet til personopplysningslovgivningen
10.1 Nærmere om lovforslaget
Direktivet stiller krav til informasjonen som skal kunne benyttes ved bruk av IRB-modeller. Det er viktig at regelverket om personopplysninger ikke er til hinder for at institusjonene kan utvikle IRB-systemer som er i tråd med direktivkravene.
Kredittilsynet foreslo i sitt høringsforslag datert 22. juni 2005 å ta inn en forskriftshjemmel i finansieringsvirksomhetsloven § 2-9A og tilsvarende i verdipapirhandelloven som regulerer IRB-metoden og forholdet til personvernlovgivningen. Bestemmelsen var uendret i det forslaget som ble sendt ut på høring fra departemente, lovforslaget del III (finansieringsvirksomhetsloven) § 2-9 c andre ledd og del IV (verdipapirhandelloven) § 8-10 andre ledd. Det fremgår av hjemmelen at departementet i forskrift kan fastsette bestemmelser om krav til dokumentasjon, herunder bestemmelser som gjør unntak fra personopplysningsloven.
10.2 Høringsinstansenes merknader
Finansnæringens Hovedorganisasjon (FNH) uttaler i sin høringsuttalelse at de
«støtter fullt ut at det i finansieringsvirksomhetsloven og verdiapapirhandelloven fastsettes en hjemmel til å gi utfyllende bestemmelser på det aktuelle området, herunder bestemmelser som gjør unntak fra personopplysningsloven. Både hensynet til nødvendig klarhet i regelverket, hensynet til en best mulig måling av risiko gjennom interne målemetoder for kredittrisiko på personkundeområdet, og hensynet til oppfyllelse av det reviderte kredittinstitusjonsdirektivets krav til IRB-metoder, gjør det helt nødvendig at det fastsettes nærmere offentligrettslige bestemmelser på dette området. Slike bestemmelser må gjøre det mulig å lagre og bruke personopplysninger i tilknytning til interne målemetoder for kredittrisiko ut over det Datatilsynets konsesjoner gjør i dag.»
FNH og Sparebankforeningen siterer i sin høringsuttalelse fra et fellesbrev til Kredittilsynet datert 16.01.06. Det fremgår i det siterte at foreningene
«støtter forslaget om en forskriftshjemmel i loven, men anbefaler at det utarbeides et selvstendig lovgrunnlag for bruk av personopplysninger i et IRB-system i form av nye paragrafer som supplerer forslaget til finsvl ny § 2-9A og vphl § 8-10A.»
Foreningene mener at lovbestemmelser bør angi behandlingsformålet og trekke opp hovedrammer for behandlingen av personopplysninger i forbindelse med etablering og bruk av IRB-systemer. Foreningene kommer også med forslag til slike bestemmelser.
Datatilsynet uttaler i sin høringsuttalelse:
«Selv om det ikke er mulig å opplyse utrykkelig hvilke opplysninger som kan behandles, er tilsynet av den oppfatning at grensene bør konkretiseres. Det bør klart fremgå fra hvilke kilder finansinstitusjonene kan hente opplysningene. Hvilke opplysninger som skal behandles bør fastsettes ut fra det reelle behovet for kapitaldekning, men slik at hensynet til personvernet ivaretas på en best mulig måte. Datatilsynet legger til grunn at et detaljnivå ned på personidentifiserbar betalingshistorikk, ikke vil være nødvendig for å sikre den nødvendige kvalitet. (...) Personvernprinsipper tilsier at dersom opplysningene ikke kan behandles fullstendig anonymt, skal opplysninger ikke være mer detaljerte enn hva som er nødvendig for å oppnå en tilstrekkelig kvalitet.»
Datatilsynet skriver også i sin høringsuttalelse at informasjonsplikten er en viktig grunnforutsetning i personverndirektivet.
«Tilsynet kan ikke se at økonomiske kostnader skal tilsi at det gjøres unntak fra det klare utgangspunkt om at den enkelte skal informeres før det samles inn personopplysninger.»
10.3 Departementets vurdering
Departementet er enig med Datatilsynet i at unntak fra personopplysningsloven kun vil være aktuelt i de tilfeller det er nødvendig for å oppfylle IRB-forskriften og at personopplysningslovens regler gjelder med mindre det gjøres konkrete unntak i forskrift. Ettersom departementet legger til grunn at det kun i begrenset grad vil være nødvendig med unntak fra personopplysningsloven, anses den foreslåtte forskriftshjemmelen i utkast til ny § 2-9 c i finansieringsvirksomhetsloven og § 8-10 c i verdipapirhandelloven å være tilstrekkelig behandlingsgrunnlag for personopplysninger jf. personopplysningsloven § 8.
Kjennskap til innhenting av personopplysninger er viktig for at den registrerte skal kunne bruke sine rettigheter etter loven, og er også med på å sikre at opplysningene som er registrert er korrekte. Dette innebærer at departementet i tråd med uttalelser fra Datatilsynet ikke ser at det foreligger tilstrekkelig grunnlag for å gjøre generelt unntak fra personopplysningsloven §§ 19 til 21 slik FNH og Sparebankforeningen foreslår i sine forslag til lovbestemmelser.
Departementet vil også understreke at personopplysninger som er samlet inn til bruk for oppfyllelse av IRB-forskriften, ikke kan brukes til andre formål enn til oppfyllelse av IRB-forskriften.