7 Særlige regler for visse virksomheter
7.1 Gjeldende rett
Etter personregisterloven er følgende fire virksomheter særskilt regulert: kredittopplysningsvirksomhet, databehandlingsvirksomhet for andre, adresserings- og distribusjonsvirksomhet og markeds- og opinionsundersøkelser. Det er fastsatt regler om den enkelte virksomhetstype i kapitlene 5, 6, 7 og 8 i loven. Felles for dem alle er at det kreves konsesjon for å drive virksomheten. For øvrig gjelder personregisterlovens alminnelige regler for de registrene som føres innenfor de ulike virksomhetene. Særreglene og bakgrunnen for dem er nærmere beskrevet på s 88 og 89 i utredningen.
7.2 Internasjonale regler
EU-direktivet har ingen særregler for visse typer virksomheter slik som personregisterloven har, men er ikke til hinder for at det enkelte land fastsetter særlige regler for ulike virksomheter.
I artikkel 17 nr 2 og 3 har direktivet bestemmelser som skal sikre en forsvarlig behandling av personopplysninger i de tilfeller der behandlingen foretas av en annen enn den behandlingsansvarlige. De krav som reglene stiller til den behandlingsansvarlige og databehandleren er i stor grad sammenfallende med reglene i personregisterloven om databehandlingsforetak, jf personregisterloven §§ 23 og 24. EU-direktivets avgrensning av databehandler rekker imidlertid videre enn til personregisterlovens databehandlingsforetak og vil derfor omfatte et bredere spekter av virksomheter som på forskjellig måte får tilgang til andres personopplysninger gjennom de tjenestene som de tilbyr.
7.3 Utvalgets forslag
Utvalget ønsker ikke å videreføre en slik særskilt regulering av visse virksomheter som det personregisterloven legger opp til i dag. Etter utvalgets syn er det ikke lenger slik at det alltid er innenfor de virksomhetene som personregisterloven særbehandler at det reiser seg flest spørsmål knyttet til behandling av personopplysninger. Fordi utvalget foreslår en rekke nye materielle regler for behandling av personopplysninger i loven, blir dessuten behovet for særregulering mindre. Utvalget foreslår likevel en forskriftshjemmel som kan benyttes til å gi særregler ved forskrift dersom det skulle vise seg å oppstå behov for å særregulere personopplysningsbehandlingen i enkelte typer virksomheter, jf § 45 i utvalgets lovutkast.
Etter utvalgets syn bør den foreslåtte forskriftshjemmelen benyttes til å gi en del supplerende regler for kredittopplysningsvirksomhet. På s 90 begrunner utvalget dette slik:
«Kredittopplysningsvirksomhet skiller seg ut fra de andre virksomhetstypene i personregisterloven ved at opplysningene som behandles som regel ikke er sensitive etter loven, men at de av de registrerte ofte oppfattes som nettopp det. De kredittanmerkningene og vurderingene som foretas kan dessuten få store konsekvenser for de registrerte i mange sammenhenger. Det er derfor et særskilt behov for å sikre at opplysningene er korrekte, at det bare registreres opplysninger som det er saklig grunn for og at opplysningene ikke utleveres og brukes av andre enn de som kan sies å ha et saklig behov for dette.»
Utvalget foreslår også en særlig regel om databehandlerens rådighet over personopplysninger i de tilfeller der en behandlingsansvarlig gir en annen i oppdrag å behandle opplysninger på vegne av seg, jf § 13 i utvalgets lovutkast.
7.4 Høringsinstansenes syn
Norsk Redaktørforeningog Datatilsynettar til orde for at kredittopplysningsvirksomhet bør særreguleres ved lov og ikke gjennom forskrift som utvalget foreslår. Datatilsynet viser blant annet til behovet for også å kunne regulere behandling av kredittopplysninger om juridiske personer. Om dette heter det i høringsuttalelsen:
«Forskriftsregulering av kredittopplysningsvirksomhet innebærer imidlertid ett problem, nemlig at regelverket kun vil omfatte kredittopplysningsvirksomhet der den omspurte er en privatperson. Personopplysningsloven legger opp til at regelverket kun skal gjelde behandling av opplysninger om fysiske personer, jf utkastet § 2 nr 1. Med hjemmel i personopplysningsloven vil det derfor kun være mulig å gi regler om behandling av opplysninger om fysiske personer.
Det er Datatilsynets erfaring at problemer i forbindelse med kredittopplysningsvirksomhet ikke bare rammer/gjelder fysiske personer. Problemer med dårlig opplysningskvalitet, angivelse av opplysninger uten at spørrer har saklig behov for opplysningene, sammenblanding av personer etc rammer også juridiske personer, og kan gjøre stor skade for de som utsettes for feilene. Trolig er kredittopplysningsområdet det området vi har flest henvendelser om fra registrerte næringsdrivende.»
Den norske Advokatforeningser ikke behov for noen utstrakt særregulering av kredittopplysningsvirksomhet, men reiser spørsmål om det er grunn til å innta noen flere materielle regler om kredittopplysningsvirksomhet i personopplysningsloven.
Norske Kredittopplysningsbyråers Foreninguttaler at de ikke har prinsipielle motforestillinger mot å forskriftsregulere kredittopplysningsvirksomhet, men ber om at rammene for fullmaktshjemmelen blir nærmere beskrevet for å sikre forutberegneligheten for kredittopplysningsbyråene.
7.5 Departementets vurdering
Departementet slutter seg til utvalgets betraktninger om at det i utgangspunktet ikke er hensiktsmessig å videreføre personregisterlovens system med særlige lovbestemmelser for databehandlingsvirksomhet for andre, adresserings- og distribusjonsvirksomhet og markeds- og opinionsundersøkelser. For databehandleres rådighet over opplysninger foreslås det en generell regel i § 15 i lovforslaget som viderefører og utvider bestemmelsen i personregisterloven § 23.
For kredittopplysningsvirksomhet er det behov for å gi særlige regler. Kredittanmerkninger oppfattes av mange som sensitive og kan få store konsekvenser i ulike sammenhenger. Departementet ser det som nødvendig å foreta en grundig gjennomgang av hvilke særlige regler det er behov for, blant annet i lys av lovforslagets alminnelige bestemmelser. Selv om kredittopplysningsvirksomhet har så stor praktisk betydning og berører så mange mennesker at regulering i lov kan ha gode grunner for seg, finner departementet det i første omgang mest hensiktsmessig å gi særlige regler ved forskrift til personopplysningsloven. Når forskriften blir forberedt, vil det være mulig å gå grundig gjennom hvilke særlige regler det er behov for. Gjennom høringsbehandling av forskriften vil man også kunne innhente synspunkter fra de berørte miljøer og sikre forutberegnelighet både for de behandlingsansvarlige og de registrerte. På sikt bør det imidlertid vurderes om reglene for kredittopplysningsvirksomhet bør lovfestes, enten som del av den nye personopplysningsloven eller ved en egen lov om behandling av kredittopplysninger.
Som utvalget peker på, vil det i en forskrift om kredittopplysningsvirksomhet bl a være nødvendig å gi nærmere regler om:
formålet med kredittopplysningsvirksomhet
hva slags opplysninger som kan registreres
hvilke kilder som kan brukes når personopplysninger skal innhentes
hvilke opplysninger som skal inngå i eller danne grunnlag for ulike beregninger som for eksempel risikoprofiler
hvem kredittopplysninger kan utleveres til og hvordan de kan utleveres
sletting av kredittanmerkninger
omfanget av og innholdet i informasjon til den registrerte
taushetsplikt for de ansatte i kredittopplysningsbyrået.
Som det er redegjort for under punkt 4.2.5, foreslår departementet å åpne for at personopplysningsloven med supplerende forskrifter kan gjelde kredittopplysninger også om juridiske personer.