Prop. 139 L (2018–2019)

Lov om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven)

Til innholdsfortegnelse

11 Innsyn og informasjon til de registrerte

11.1 Gjeldende rett – overblikk

Etter gjeldende rett er det særlig tre rettigheter og plikter som skal sikre at de registrerte får informasjon og kunnskap om den aktuelle behandlingen av deres kredittopplysninger. Dette er retten til innsyn, gjenpartsplikten og retten til forhåndsvarsel ved registrering av opplysninger i et kredittopplysningsregister. Rettighetene følger dels av personopplysningsforskriften 2000 § 4-4 og dels av Datatilsynets konsesjoner for behandling av kredittopplysninger, punkt 3.1 og 3.2. Reglene er noe mer detaljerte enn de alminnelige reglene om innsyn og informasjon som fulgte av personopplysningsloven 2000 §§ 18 til 20. De registrertes rett til innsyn og informasjon er ansett å være viktig for at de skal kunne ivareta sine øvrige rettigheter i personvernsammenheng.

11.2 Forordningen

I personvernforordningen er de registrertes rett til innsyn og informasjon regulert i artikkel 13 til 15. I tillegg gir artikkel 12 visse generelle regler om gjennomføringen av den registrertes rettigheter. I kredittopplysningssammenheng er det særlig artikkel 14, som regulerer informasjonsplikten når opplysninger samles inn fra andre enn den registrerte, og artikkel 15 om innsynsrett, som er relevante. Reglene innebærer i det vesentlige en videreføring av rettstilstanden etter personopplysningsloven 2000, men med noe mer utfyllende krav til informasjon. Artikkel 13 til 15 åpner ikke for å fastsette nasjonale supplerende bestemmelser, men artikkel 23 åpner for at medlemsstatene på nærmere vilkår kan begrense de registrertes rettigheter. Det vises til den nærmere redegjørelsen for artiklene i Prop. 56 LS om lov om behandling av personopplysninger kapittel 10, og om unntakene fra innsyns- og informasjonsrettighetene i personopplysningsloven §§ 16 og 17. Samtidig åpner personvernforordningen artikkel 6 nr. 2 og 3 jf. nr. 1 bokstav e for at det i nasjonal rett kan fastsettes særlige regler for å sikre lovlig og rettferdig behandling av opplysningene.

11.3 Forslaget i høringsnotatet

Departementet ga i høringsnotatet uttrykk for at det fortsatt bør fremgå eksplisitt av kredittopplysningsregelverket at de registrerte har rett til innsyn, gjenpart og forhåndsvarsling. Det ble samtidig anført at det vil være å gå for langt å gjenta personvernforordningens bestemmelser i den nye kredittopplysningsloven, jf. forordningens fortalepunkt 8. Det ble i stedet lagt opp til henvisninger til de relevante artiklene i forordningen der det ble ansett nødvendig.

Departementet foreslo, av pedagogiske årsaker, at loven presiserer at de alminnelige reglene om fysiske personers rett til innsyn og informasjon i personopplysningsloven jf. personvernforordningen artikkel 12 til 15 gjelder i kredittopplysningsvirksomhet. Høringsnotatet la samtidig opp til at det for næringsdrivende kun er bestemmelsene i artikkel 15 som skal gjelde. Dette innebar at juridiske personer etter høringsforslaget ikke ville ha krav på informasjon etter artikkel 13 og 14, men selv aktivt måtte be om innsyn hos kredittopplysningsforetakene. Departementet foreslo at bestemmelsen i personvernforordningen artikkel 12 nr. 5 om at innsyn skal være gratis for de registrerte, også skulle gis anvendelse overfor juridiske personer. Høringsforslaget la til grunn at det i samsvar med forordningen artikkel 12 nr. 5 likevel kunne tas et rimelig gebyr for å gi innsyn dersom innsynshenvendelsene er åpenbart grunnløse eller gjentakende. Gebyret må da stå i forhold til kostnadene forbundet med å gi innsyn.

I kapittel 11.4 til 11.6 redegjøres det for særskilte tilpasninger av innsyns- og informasjonsreglene.

11.4 Særregler om innsyn

11.4.1 Gjeldende rett

Etter gjeldende rett har de registrerte innsynsrett i samsvar med personopplysningsloven 2000 § 18 med de begrensninger som følger av samme lov § 23 om unntak fra innsynsrett. Innsynsretten gjelder tilsvarende ved behandling av kredittopplysninger om andre enn fysiske personer. Dette betyr at både fysiske og juridiske personer i dag har samme rett til innsyn i kredittopplysninger om seg selv.

I tillegg til de ordinære reglene om innsyn i egne personopplysninger, inneholder personopplysningsforskriften 2000 § 4-4 siste ledd en bestemmelse om at de registrerte kan kreve å få opplyst hvilke kredittopplysninger om dem som er utlevert de siste seks månedene og hvem opplysningene er utlevert til. Bestemmelsen gjelder i tillegg til innsynsrett og gjenpartsplikt, og er trolig mest relevant for juridiske personer som ikke mottar ordinær gjenpart ved utlevering av opplysninger.

11.4.2 Forordningen

Personvernforordningen har bestemmelser om innsynsrett i artikkel 15. I kredittopplysningssammenheng gjelder bestemmelsen kun for de registrerte som regnes som fysiske personer. Innsynsbestemmelsen i forordningen artikkel 15 nr. 1 gir de registrerte rett til å kreve innsyn i konkrete registrerte opplysninger. Forordningen artikkel 15 nr. 1 bokstav a til h angir nærmere hvilken informasjon de registrerte har innsynsrett i. Etter forordningen omfatter innsynsretten blant annet informasjon om formålet med behandlingen, berørte kategorier av opplysninger, mottakere eller kategorier av mottakere som opplysningene vil bli utlevert til, lagringstid, retten til å be om retting, sletting eller begrensning i behandlingen, retten til å klage til en tilsynsmyndighet, informasjon om hvor opplysningene er hentet fra, samt om opplysningene benyttes til profilering eller automatiserte avgjørelser. Hvis opplysningene benyttes til profilering eller automatiserte avgjørelser, har den registrerte også rett til å få informasjon om den bakenforliggende logikken og forventede konsekvenser av behandlingen for den registrerte.

Ved begjæring om innsyn skal den registrerte motta en kopi av de registrerte opplysningene. I tillegg til forordningens bestemmelser om innsyn, åpner artikkel 6 nr. 3 for å fastsette nasjonale særbestemmelser når dette er nødvendig for å sikre en lovlig og rettferdig behandling av opplysningene.

11.4.3 Forslaget i høringsnotatet

I høringsutkastet viste departementet til at registrerte fysiske personer, med grunnlag i personvernforordningen artikkel 15, vil ha rett til innsyn i hvem opplysninger om dem er utlevert til de siste seks månedene, og for så vidt også lenger bakover i tid siden artikkel 15 nr. 1 bokstav c ikke setter noen tidsbegrensning for innsynsretten. Departementet la videre til grunn at det likevel er usikkert om bestemmelsen gir rett til å be om innsyn i hvilke konkrete opplysninger som er utlevert til hvilken mottaker. Fordi innsynsretten etter forordningen artikkel 15 er mer omfattende enn de generelle innsynsbestemmelsene i personopplysningsloven 2000 la departementet likevel til grunn at det ikke forelå noe stort behov for å videreføre dagens særbestemmelse om at den enkelte kan be kredittopplysningsforetaket om innsyn i det som er utlevert om ham eller henne de siste seks månedene. Departementet la til grunn at de alminnelige reglene i personvernforordningen og personopplysningsloven om innsyn og informasjon, sammen med en særlig bestemmelse om gjenpartsplikt, ville dekke registrerte fysiske personers behov for informasjon om behandling av kredittopplysninger. For fysiske personer ble det derfor foreslått å vise til de generelle reglene om innsyn og informasjon i personvernforordningen artikkel 12 til 15.

I høringsutkastet ble det videre lagt til grunn at juridiske personer ikke har krav på gjenpartsbrev, og at de derfor vil kunne ha interesse av å be om innsyn i hvilke kredittopplysninger som er utlevert om dem de siste seks månedene, og til hvem opplysningene er utlevert. Fordi det er usikkerhet med hensyn til i hvilken grad juridiske personer benytter denne retten, ga departementet uttrykk for tvil om det for juridiske personers vedkommende er behov for å videreføre bestemmelsen i personopplysningsforskriften 2000 § 4-4 siste ledd. Det ble bedt om høringsinstansenes syn på spørsmålet. Det ble samtidig foreslått en bestemmelse om at juridiske personer skal ha innsynsrett i kredittopplysninger i samsvar med personvernforordningen artikkel 15.

Det ble videre foreslått at innsyn for den registrerte skal være gratis med de begrensning som følger av personvernforordningen artikkel 12 nr. 5.

11.4.4 Høringsinstansenes syn

Det er ingen høringsinstanser som er negative til innsynsrett for registrerte fysiske personer. Datatilsynet har bemerket at det bør presiseres at innsynsretten også gjelder for enkeltpersonforetak. Finans Norge anbefaler at personvernforordningens regler om innsyn og informasjon gjentas i kredittopplysningsloven for å lette tilgjengeligheten.

Flere høringsinstanser, deriblant Datatilsynet, Juristforbundet og Norske kredittopplysningsbyråers forening, har bemerket at retten til å be om innsyn i hvilke opplysninger som er utlevert de siste seks måneder benyttes i liten grad. De påpeker likevel at det kan være grunn til å beholde retten, ikke minst av hensyn til juridiske personer som ikke får gjenpart.

Skatteetaten har bemerket at det i lovforslaget ikke er foreslått noen hjemmel for betaling for innsyn, til tross for at merknadene viser at det skal være en slik adgang. Høringsinstansen har videre påpekt at kredittytere, i tillegg til de registrerte, bør gis innsyn i logikken bak scoremodeller som kredittopplysningsforetakene benytter. Datatilsynet, på sin side, har stilt spørsmål ved om det er kredittopplysningsforetaket eller mottaker av kredittopplysningen som skal gi innsyn i logikken bak kredittscore. Dette er et spørsmål om hvor den automatiserte beslutningen fattes, hos kredittopplysningsforetaket eller hos mottaker av kredittopplysningen.

11.4.5 Departementets vurderinger

Etter departementets vurdering ligger det innenfor handlingsrommet i personvernforordningen artikkel 6 nr. 3 å fastsette særbestemmelser om innsyn i gitte opplysninger eller for et gitt tidsrom, forutsatt at slike regler er nødvendige for å ivareta den enkeltes personvern. Når det gjelder juridiske personers rett til innsyn og informasjon, vil personvernforordningen ikke sette rammer for denne reguleringen.

Departementet vil i det følgende gjøre rede for vurderinger knyttet til innsynsrett for både fysiske og juridiske personer, samt enkelte generelle spørsmål knyttet til innsynsrett.

11.4.5.1 Innsynsrett for fysiske personer

Departementet legger til grunn at de alminnelige reglene om innsyn og informasjon i personvernforordningen og personopplysningsloven vil gjelde også for fysiske personers innsyn i kredittopplysninger om dem. Dette følger av lovforslaget § 4. Fordi enkeltpersonforetak etter lovforslaget skal behandles som fysiske personer, vil bestemmelsene om innsyn og informasjon i personvernforordningen og personopplysningsloven gjelde tilsvarende for enkeltpersonforetak. Departementet mener videre at de generelle reglene dekker den innsynsretten de registrerte i dag har etter personopplysningsforskriften 2000 § 4-4 og gjeldende kredittopplysningskonsesjoner.

Departementet finner det ikke nødvendig, i tillegg til den generelle bestemmelsen om forholdet til personopplysningsloven og personvernforordningen i lovforslaget § 4, å innta en bestemmelse om at personopplysningslovens og personvernforordningens regler om den registrertes rett til innsyn og informasjon også gjelder i kredittopplysningsvirksomhet. For ordens skyld blir likevel forholdet til reglene om innsyn og informasjon i det generelle personvernregelverket omtalt i særmerknaden til lovforslaget § 17.

Når det gjelder den særskilte bestemmelsen om registrerte fysiske personers rett til å be om innsyn i hvilke opplysninger som er utlevert de siste seks måneder, har sentrale høringsinstanser pekt på et behov for videreføre denne. Departementet er av den oppfatning at tilsvarende innsynsrett trolig følger av en fortolkning av personvernforordningen artikkel 15 nr. 1 bokstav c. Etter en vurdering fremstår det likevel hensiktsmessig å videreføre gjeldende rett klart og tydelig for å unngå fremtidige diskusjoner om innsynsrettens rekkevidde. I lovforslaget § 17 tredje ledd er det derfor inntatt en bestemmelse tilsvarende bestemmelsen i personopplysningsforskriften 2000 § 4-4 siste ledd.

11.4.5.2 Innsynsrett for juridiske personer

Departementet har foretatt en nærmere vurdering av om juridiske personer bør ha rett til innsyn og informasjon etter reglene i personvernforordningen artikkel 15, slik det ble foreslått i høringsutkastet. Etter departementets vurdering er det helt andre hensyn som gjør seg gjeldende for eventuell innsynsrett for fysiske personer enn for juridiske personer. Departementet viser i denne sammenheng også til vurderingen av hvem som skal regnes som fysiske personer etter kredittopplysningsregelverket, se kapittel 4.2.5. Næringsvirksomhet etablert som enkeltpersonforetak, der det er identifikasjon mellom foretakets og eiers økonomi, skal etter personvernforordningens regler og departementets lovforslag behandles som fysiske personer i kredittopplysningssammenheng. Dette betyr at disse vil ha rett til innsyn og informasjon i samsvar med personvernforordningens regler.

Det følger av personopplysningsforskriften 2000 § 4-4 andre ledd at næringsdrivende har innsynsrett etter personopplysningsloven 2000 § 18. Personvernforordningen artikkel 15 tilsvarer langt på vei bestemmelsen som fantes i personopplysningsloven 2000 § 18, men gir innsyn i noe mer omfattende informasjon. Det er ingen høringsinstanser som har uttalt seg om forslaget om å videreføre generell innsynsrett for juridiske personer. I og med at ingen har vært negative til å videreføre gjeldende rett på dette området, ser departementet ingen grunn til å foreta endringer. Det foreslås derfor i lovforslaget § 17 andre ledd å lovfeste at juridiske personer har rett til innsyn tilsvarende retten etter personvernforordningen artikkel 15. Dette vil innebære en noe mer omfattende innsynsrett enn etter gjeldende rett, uten at departementet kan se at dette er negativt eller innebærer vesentlige ulemper for noen av de berørte.

Når det gjelder den særskilte bestemmelsen om retten til å be om innsyn i hvilke opplysninger som er utlevert de siste seks måneder, har sentrale høringsinstanser pekt på et behov for videreføre denne for juridiske personer som ikke har rett til gjenpart. Departementet er enig i at denne retten til informasjon kan være nyttig for juridiske personer, til tross for at det fremgår av høringsinnspillene at retten i liten grad benyttes. Det fremstår på denne bakgrunn som lite byrdefullt for kredittopplysningsforetakene om retten videreføres. Norske kredittopplysningsbyråers forening har dessuten tatt til orde for at retten bør videreføres. Bestemmelsen i lovforslaget § 17 tredje ledd er derfor gitt en formulering som innholdsmessig svarer til bestemmelsen i personopplysningsforskriften 2000 § 4-4 siste ledd slik at bestemmelsen også gjelder for juridiske personer.

11.4.5.3 Betaling for innsyn

Hovedregelen etter gjeldende kredittopplysningsregler, og etter personvernforordningen, er at det skal være gratis for den registrerte å benytte sin rett til innsyn og informasjon. Dette følger av personvernforordningen artikkel 12 nr. 5. Bestemmelsen åpner samtidig for at den behandlingsansvarlige, i noen særskilte situasjoner, kan ta betalt for å få dekket sine administrative kostnader ved å gi innsyn, se artikkel 12 nr. 5 bokstav a. Adgangen til å kreve et rimelig gebyr gjelder dersom anmodningene om informasjon eller innsyn er «åpenbart grunnløse eller overdrevne, særlig dersom de gjentas,[…]». Dette betyr for eksempel at dersom samme person gjentatte ganger på kort tid ber om innsyn i de samme opplysningene, kan dette gi kredittopplysningsforetaket hjemmel til å kreve et rimelig gebyr for å etterkomme den registrertes anmodninger.

For fysiske personers innsynsbegjæringer vil retten til å kreve et rimelig gebyr følge direkte av personvernforordningen. Departementet mener tilsvarende bør gjelde for juridiske personer. For å unngå tvil om adgangen til å kreve dekket kostnader forbundet med å gi innsyn, er det presisert i lovforslaget § 17 fjerde ledd at innsyn skal være gratis, men at unntakene i personvernforordningen artikkel 12 nr. 5 gjelder tilsvarende. Kredittopplysningsforetaket har dermed adgang til å kreve et rimelig gebyr uansett hvem den registrerte er, gitt at vilkårene i personvernforordningen artikkel 12 nr. 5 bokstav a er oppfylt. Det samme gjelder for så vidt adgangen til å nekte å etterkomme anmodningen, jf. artikkel 12 nr. 5 bokstav b.

11.4.5.4 Informasjon om logikken bak kredittscore

En kredittscore er en statistisk beregning av kredittrisiko. Kredittscore er en metode/modell som benyttes av mange kredittgivere som et raskere grunnlag for kredittvurdering og beslutning om innvilgelse av kreditt. Modellen sier i utgangspunktet ikke noe om den registrerte, men sammenlikner vedkommende med personer med samme kjennetegn, for eksempel alder, kjønn, inntekt og betalingshistorikk. Kredittscore gir på denne måten en indikasjon på betalingsvilje og -evne til sammenliknbare personer.

En kredittscore kan sammenliknes med profilering. Profilering er definert i personvernforordningen artikkel 4 nr. 4 som

«enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder nevnte fysiske persons arbeidsprestasjoner, økonomiske situasjon, helse, personlige preferanser, interesser, pålitelighet, atferd, plassering eller bevegelser,»

Vurdering av økonomisk situasjon er særskilt nevnt som en type profilering i personvernforordningens fortalepunkt 71. Etter departementets vurdering vil derfor utarbeidelse av en kredittscore være å anse som profilering. De registrerte har, etter personvernforordningen artikkel 22,

«rett til ikke å være gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, herunder profilering, som har rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker vedkommende.»

Det er imidlertid ikke kredittopplysningsforetaket, men foretakets kunde, som fatter (automatiserte) beslutninger på grunnlag av kredittscoren/profilen utarbeidet av kredittopplysningsforetaket. Dette betyr at de registrerte, med grunnlag i personvernforordningen artikkel 22 nr. 1, ikke vil kunne motsette seg utarbeidelse av selve kredittscoren hos kredittopplysningsforetaket. Det vil imidlertid være kredittopplysningsforetaket som er behandlingsansvarlig for selve utarbeidelsen av kredittscoren, og departementet mener derfor det er kredittopplysningsforetaket som skal gi den registrerte innsyn i «relevant informasjon om den underliggende logikken» jf. personvernforordningen artikkel 15 nr. 1 bokstav h.

Departementet mener samtidig det kan stilles spørsmål ved om personvernforordningens bestemmelse gir de registrerte rett til logikkinnsyn hos kredittopplysningsforetaket. For å sikre de registrerte rett til informasjon om hvilke opplysninger som inngår i kredittscoren, foreslår departementet en bestemmelse om registrerte fysiske personers rett til informasjon om logikken bak kredittscore. Departementet foreslår at informasjonen skal inngå som en del av gjenparten når kredittscore utleveres, jf. lovforslaget § 18 andre ledd nr. 6. I tillegg bør den registrerte, på eget initiativ, kunne kreve innsyn i logikken og egne personopplysninger som inngår i scoren jf. lovforslaget § 17 første ledd.

Det må imidlertid vurderes hvor mye informasjon de registrerte har rett til å få om logikken bak scoremodellen. I gjeldende konsesjoner punkt 3.2 fremgår det at de registrerte, i gjenpartsbrev, skal ha rett til å få tilgang til utlevert kredittscore med tilhørende forklaring. Det synes ikke rimelig at kredittopplysningsforetakene skal utlevere selve scoremodellen, med angivelse av hvordan den er bygget opp og hvordan ulike opplysningstyper er vektet. Denne informasjonen kan anses som forretningshemmeligheter som foretakene har et berettiget ønske om å bevare taushet om. Departementet antar likevel at det er rimelig at de registrerte kan be om innsyn i egen kredittscore, samt hvilke opplysningstyper som inngår i modellen, og konkret hvilke opplysninger om vedkommende som er benyttet i beregning av vedkommendes kredittscore. Det må også gis en forklaring på kredittscoren som tilfredsstiller kravene i personvernforordningen artikkel 15 nr. 1 bokstav h. Hvor detaljert forklaringen vil måtte være, avhenger av en tolkning av personvernforordningen, og både nasjonal og europeiske praksis knyttet til denne bestemmelsen vil være relevant. Det følger også av forordningens fortalepunkt 72 at Det europeiske personvernrådet kan gi veiledning om forordningens anvendelse på profilering. Slik veiledning vil i så fall også være relevant på kredittopplysningsområdet.

Departementet er kjent med at flere av kredittopplysningsforetakene i dag tar betalt for å gi innsyn i kredittscore. Det er uklart om dette er i tråd med reglene i personopplysningsloven 2000 § 17, der det fremgår at det skal være gratis for de registrerte å benytte sine rettigheter til blant annet innsyn og informasjon. Det følger nå klart av personvernforordningen artikkel 12 nr. 5 at all informasjon som gis til de registrerte i medhold av artikkel 13 til 22 som hovedregel skal være gratis. Det vises for øvrig til det som er sagt om betaling for innsyn i kapittel 11.4.5.3.

Departementet kan ikke se at det er grunn til å behandle innsyn i kredittscore, herunder i logikken bak kredittscoren, annerledes enn innsyn i andre personopplysninger for så vidt gjelder spørsmålet om betaling. Innsyn i og informasjon om kredittscore skal derfor behandles som all annen informasjon som gis til den registrerte, og gis på samme vilkår. Når informasjon om kredittscore inngår i gjenpartsbrev, vil bestemmelsen i personvernforordningen artikkel 12 nr. 5 om betaling for grunnløse eller overdrevne innsynsforespørsler, ikke være relevant. Dersom det bes om ordinært innsyn i kredittscore, vil imidlertid artikkel 12 nr. 5 kunne komme til anvendelse og gi grunnlag for å kreve et rimelig gebyr.

Skattedirektoratet har tatt til orde for at ikke bare den registrerte, men også kredittgiver, bør ha rett til informasjon om logikken bak en kredittscore. Hensikten med lovforslaget er å legge til rette for god behandling av opplysninger om fysiske og juridiske personer i kredittopplysningsvirksomhet, og sikre de registrertes rettigheter. Departementet mener kredittopplysningsregelverket ikke er egnet til å regulere tilgang til underliggende informasjon om behandlingsprosesser og kredittopplysningsprodukter mellom kredittopplysningsforetaket og foretakets kunder. Dersom kredittopplysningsforetakets kunder ønsker tilgang til informasjon om tilblivelse av kredittopplysningsforetakets produkter, mener departementet dette bør avtales i kontrakt mellom kredittopplysningsforetaket og kunden. For så vidt gjelder rett til innsyn og informasjon, regulerer lovforslaget derfor utelukkende de registrertes rettigheter.

11.5 Gjenpart til fysiske personer

11.5.1 Gjeldende rett

Etter personopplysningsforskriften § 4-4 første ledd skal en registrert fysisk person motta gjenpart, kopi eller annen melding når kredittopplysninger om ham eller henne utleveres eller bekreftes skriftlig. Slik melding skal kredittopplysningsforetaket sende vederlagsfritt. I konsesjoner for virksomheten er bestemmelsen gitt tilsvarende anvendelse ved utlevering av opplysninger om enkeltpersonforetak. Det gjelder en begrensning i gjenpartsplikten når opplysninger utleveres til inkassoforetak, eller til banker og finansieringsforetak som ledd i arbeidet med risikovurderinger.

I Datatilsynets konsesjoner for kredittopplysningsvirksomhet, er det dessuten gitt en del utfyllende/presiserende bestemmelser om hvilken informasjon gjenpartsbrevet skal inneholde. Blant annet fremgår det at når bestilleren utelukkende får utlevert en kredittscore, skal gjenpartsbrevet inneholde informasjon om kredittscoren med en forklaring, samt informasjon om de personopplysningene som er lagt til grunn for beregning av kredittscoren.

11.5.2 Forordningen

Forordningen har ingen konkrete regler om gjenpartsplikt ved utlevering av personopplysninger. Etter forordningen artikkel 13 nr. 1 bokstav e og artikkel 14 nr. 1 bokstav e har den registrerte, i forbindelse med innsamling av personopplysninger, imidlertid rett til å få informasjon om «mottakere eller kategorier av mottakere» som personopplysninger vil bli utlevert til. Denne retten har en viss likhet med gjenpartsplikten. Retten til å motta informasjon gjelder både når opplysninger samles inn fra den registrerte selv, og når de samles inn fra andre. Dessuten åpner artikkel 6 nr. 3 for at det kan fastsettes nasjonale særbestemmelser for å sikre en lovlig og rettferdig behandling av opplysningene.

11.5.3 Forslaget i høringsnotatet

Departementet foreslo i høringsnotatet å videreføre plikten til å sende gjenpart både til fysiske personer og til enkeltpersonforetak, og presiserte også hvilken informasjon gjenparten skal inneholde.

11.5.4 Høringsinstansenes syn

Det er ingen høringsinstanser som har uttalt seg negativt om gjenpartsplikt generelt. Forbrukertilsynet og Datatilsynet uttaler seg positivt om videreføring av gjenpartsplikten. Også Norske kredittopplysningsbyråers forening er positiv til gjenpartsplikten, men mener den, for så vidt gjelder enkeltpersonforetak, bare skal gjelde for de enkeltpersonforetakene som ikke er registrert i Foretaksregisteret.

11.5.5 Departementets vurderinger

At de registrerte får informasjon om hvilke opplysninger som registreres og utleveres om dem, og til hvem, er verdifullt av flere grunner. Det skaper god gjennomsiktighet og bidrar til at de registrerte bedre kan holde oversikt over hvem som til enhver tid besitter opplysninger om dem. Det muliggjør også at de registrerte kan reagere dersom de mener at noen urettmessig har fått tilgang til opplysninger om dem, for eksempel ved snoking i registre. I tillegg gir det den enkelte en mulighet til å kontrollere at opplysningene som registreres og utleveres er korrekte, adekvate og relevante. De registrertes interesser sammenfaller her med kredittopplysningsforetakets og kredittgivernes interesser. For samtlige parter er det vesentlig at informasjonen som behandles er pålitelig og korrekt, og at opplysningene er relevante for kredittvurderingen.

Gjenparten gir blant annet den registrerte mulighet til å bidra til at uriktige opplysninger rettes, og til å reagere dersom de mener opplysninger utleveres uten at det skjer som ledd i kredittvurdering. Departementet vurderer på denne bakgrunn at det ligger innenfor handlingsrommet i personvernforordningen å videreføre bestemmelsen om gjenpartsplikt, jf. ordlyden «framgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling» i forordningen artikkel 6 nr. 3. En bestemmelse om gjenpartsplikt er inntatt i lovforslaget § 18.

Kredittopplysninger er opplysninger de fleste ikke ønsker å eksponere, og det er derfor gode grunner for å fastsette særregler om informasjon som bidrar til at de registrerte i størst mulig grad kan ivareta sine egne rettigheter. Etter personvernforordningen artikkel 13 til 15 har den registrerte rett til å få informasjon ved innsamling av opplysninger, og deretter på særskilt begjæring (innsyn). Gjenpartsplikten supplerer denne innsyns- og informasjonsretten. Gjenpartsbrevet gir den registrerte konkret informasjon om hvilke opplysninger som er videreformidlet når og til hvem uten at den registrerte aktivt må foreta seg noe for å få informasjonen. Gjenpartsplikten bidrar på denne måten til bedre gjennomsiktighet og til at de registrerte bedre kan holde oversikt over hvem som til enhver tid besitter kredittopplysninger om dem. I tillegg gir gjenpartsplikten en mulighet til å reagere dersom den registrerte mener at noen urettmessig har fått tilgang til opplysninger om dem, og til å kontrollere at opplysningene som registreres og utleveres er korrekte, adekvate og relevante. Ved at den registrerte automatisk får et varsel om at kredittopplysninger er utlevert, virker gjenpartsplikten også begrensende på snoking i kredittopplysninger.

Departementet foreslår på denne bakgrunn å lovfeste bestemmelsen i personopplysningsforskriften § 4-4 første ledd om at kredittopplysningsforetaket skal sende gjenpart, kopi eller annen melding om innholdet i kredittopplysningen til den registrerte når det utleveres kredittopplysninger om fysiske personer. En bestemmelse om dette er inntatt i lovforslaget § 18 første ledd. Fordi alle enkeltpersonforetak etter personvernforordningen vil regnes som fysiske personer, gjelder gjenpartsplikten også når kredittopplysningsforetaket utleverer opplysninger om enkeltpersonforetak. Dette innebærer en liten utvidelse av gjenpartsplikten sammenliknet med gjeldende rett.

Fra denne hovedregelen har departementet vurdert at det er hensiktsmessig å videreføre de unntakene som gjelder i dag. Dette betyr for det første at gjenpartsplikt ved utlevering til inkassoforetak kun gjelder ved første gangs utlevering av opplysninger om en registrert skyldner, og deretter kun når det påføres nye kredittopplysninger i en konkret sak. Dette følger av lovforslaget § 18 tredje ledd, som har fått en litt annen ordlyd enn tilsvarende bestemmelse i gjeldende rett. Endringen av ordlyd er ikke ment å innebære noen realitetsendring. Inkassoforetak foretar jevnlige undersøkelser av skyldner i løpende inkassosaker. Det vil kunne virke forvirrende og til dels irriterende for skyldner å motta gjenpart eller varsel hver gang det foretas en rutinemessig kredittvurdering. I slike tilfeller anses det tilstrekkelig at skyldner mottar gjenpart eller liknende første gang inkassoforetaket innhenter kredittopplysninger, og deretter bare når det påføres nye kredittopplysninger.

Det gjelder heller ikke gjenpartsplikt når kredittopplysninger utleveres til banker, kreditt- og finansieringsforetak for bruk i lovpålagte risiko- og soliditetsvurderinger, jf. lovforslaget § 18 fjerde ledd. I disse tilfellene er kredittvurderingen ikke initiert av en endring i forholdet mellom kreditor og skyldner. Opplysningene skal heller ikke brukes på en måte som kan få direkte betydning for den registrerte. Departementet vurderer derfor at behovet for gjenpart ikke er til stede på samme måte som i en ordinær kredittvurderingssituasjon.

Departementet foreslår at gjenparten, som i dag, skal inneholde de samme opplysningene som er utlevert som ledd i kredittopplysningsvirksomheten. Det innebærer blant annet at den registrerte skal få tilgang til en eventuell kredittscore med tilhørende forklaringer. Dersom kunden bare får tilgang til en kredittscore, skal den registrerte, i tillegg til selve kredittscoren, også få tilgang til personopplysningene som ligger til grunn for kredittscoren. Gjenpartsbrevet skal i tillegg inneholde informasjon om kildene som de utleverte opplysningene er hentet fra, hvem som har etterspurt kredittvurderingen, og dato for når kredittvurderingen er foretatt. Informasjon om hvem som har etterspurt kredittvurderingen må være så detaljert at det er mulig for den registrerte å kontrollere om mottaker hadde et saklig behov for opplysningene. Dette innebærer at det for store selskaper kan være nødvendig å oppgi hvilken avdeling eller filial som har fremsatt forespørselen. I tillegg skal gjenparten inneholde den kontaktinformasjonen som er angitt i forordningen artikkel 13 nr. 1 bokstav a og b slik at den registrerte enkelt kan komme i kontakt med den behandlingsansvarlige eller vedkommendes personvernombud. Spesifikasjon av gjenpartens innhold er inntatt i lovforslaget § 18 andre ledd.

11.6 Forhåndsvarsel

11.6.1 Gjeldende rett

Det følger av Datatilsynets standardkonsesjon for behandling av opplysninger i kredittopplysningsvirksomhet pkt. 3.1 at registrerte fysiske personer skal motta forhåndsvarsel ved registrering av opplysninger. Forhåndsvarselet skal inneholde en kopi av de registrerte opplysningene. Unntak gjelder ved registrering av opplysninger om skattefastsetting, næringsinteresser fra Brønnøysundregistrene eller ved oppdatering av grunndata. Plikten til å sende forhåndsvarsel gjelder heller ikke ved innhenting av opplysninger om utlegg og innhenting av opplysninger om utleggsforretning og andre tvangsforretninger når varsel om slik innhenting er gitt i forbindelse med utsendelse av namsboken.

11.6.2 Forordningen

Etter personvernforordningen artikkel 14 skal den registrerte motta informasjon om innsamling og behandling av personopplysninger når opplysninger innsamles fra andre enn den registrerte selv. Det skal gis informasjon om formålet med behandlingen, berørte kategorier av personopplysninger, mottakere eller kategorier av mottakere av opplysninger, lagringstid, retten til å be om retting, sletting eller begrensning i behandlingen, retten til å klage til en tilsynsmyndighet, informasjon om hvor opplysningene er hentet fra, samt om opplysningene benyttes til profilering eller automatiserte avgjørelser. Det er verdt å merke seg at det etter personvernforordningen ikke er noe krav om at informasjonen til den registrerte inneholder kopi av de registrerte opplysningene. Artikkel 14 nr. 5 og artikkel 23 åpner for å gjøre unntak fra retten til informasjon i visse nærmere definerte tilfeller. I tillegg til forordningens bestemmelser om informasjon ved registrering, åpner artikkel 6. nr. 3 for å fastsette nasjonale særbestemmelser når dette er nødvendig for å sikre en lovlig og rettferdig behandling av opplysningene.

11.6.3 Forslaget i høringsnotatet

Departementet foreslo i høringsutkastet å videreføre bestemmelsen i Datatilsynets standardkonsesjon om at fysiske personer og enkeltpersonforetak skal motta forhåndsvarsel når det registreres nye kredittopplysninger om dem. Innholdet i forhåndsvarselet ble foreslått å være de informasjonselementene som fremgår av personvernforordningen artikkel 14. Forhåndsvarselet skulle dessuten inneholde de konkrete opplysningene som er registrert i kredittopplysningsregisteret.

Departementet la videre til grunn at de gjeldende unntakene fra plikten til forhåndsvarsling er i samsvar med personvernforordningen artikkel 14 nr. 5 bokstav a, og kravene som stilles i forordningen artikkel 23 nr. 1 bokstav i. Det ble derfor foreslått å videreføre disse unntakene. Forslaget innebar at plikten til forhåndsvarsling ikke ville gjelde ved registrering av opplysninger om skattefastsetting fra Skattedirektoratet, ved registrering av næringsinteresser eller ved oppdatering av grunndata. Departementet la i høringsnotatet til grunn at dette er opplysninger som er offentlig tilgjengelige, og som normalt vil være kvalitetssikret på annen måte enn gjennom forhåndsvarsel fra kredittopplysningsforetaket. Plikten til forhåndsvarsling skulle heller ikke gjelde ved innhenting av opplysninger om utlegg, eller innhenting av opplysninger om utleggsforretning og andre tvangsforretninger når varsel om slik innhenting er gitt i forbindelse med utsendelse av namsboken.

Høringsforslaget gikk dessuten ut på å videreføre gjeldende rett om at den registrerte, i forhåndsvarselet, skal oppfordres til å rette eventuelle feil overfor kredittopplysningsforetaket i løpet av 14 dager.

11.6.4 Høringsinstansenes syn

Kun noen få høringsinstanser har kommentert forslaget om å videreføre gjeldende regler om forhåndsvarsling. Datatilsynet har i sin høringsuttalelse påpekt at alle enkeltpersonforetak må ha samme rett til forhåndsvarsel som fysiske personer. Tilsynet viser til at dette er en konsekvens av at opplysninger om enkeltpersonforetak er personopplysninger etter personvernforordningen artikkel 4 nr. 1. Høringsinstansen har også påpekt at forhåndsvarselet må sendes uten kostnad for den registrerte.

Norske kredittopplysningsbyråers forening har gitt innspill om at det må lovfestes at skyldner må dokumentere eventuelle påstander om at en sak som fremkommer av forhåndsvarselet er oppgjort. Slik dokumentasjon vil sikre forsvarlig saksbehandling og forhindre feil hos kredittopplysningsforetaket. Finans Norge har kommentert at personvernforordningens regler om forhåndsvarsling bør inntas i kredittopplysningsloven for å sikre at reglene er lett tilgjengelige.

11.6.5 Departementets vurderinger

Forhåndsvarsel er viktig for å sikre god opplysningskvalitet i kredittopplysningsforetakenes registre. Den behandlingsansvarlige er ansvarlig for at opplysningene som skal brukes i kredittopplysningsvirksomheten er korrekte. Både forhåndsvarsling og gjenpartsplikt vil derfor være et ledd i oppfyllelsen av den behandlingsansvarliges selvstendige plikt til å ha tilfredsstillende datakvalitet, fordi de registrerte oppfordres til å korrigere eventuelle feil eller mangler ved opplysningene. Departementet vurderer at personvernforordningen artikkel 6 nr. 3, særlig formuleringene om at det kan fastsettes nærmere nasjonale regler om «hvilke typer opplysninger som kan behandles» og «fremgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling» gir tilfredsstillende rettsgrunnlag for å fastsette nasjonale regler om forhåndsvarsling.

Personvernforordningen artikkel 14 nr. 1 fastslår at når personopplysninger ikke samles inn fra den registrerte selv, skal den behandlingsansvarlige gi den registrerte nærmere angitt informasjon om behandlingen. Slik departementet ser det, vil informasjonen som inngår i dagens forhåndsvarsel, med unntak av de konkrete registrerte opplysningene, være ivaretatt av informasjonsplikten i forordningen artikkel 14 nr. 1, og dels nr. 2. Av forordningen artikkel 14 nr. 3 bokstav c følger imidlertid at dersom opplysningene skal utleveres til en annen mottaker, er det tilstrekkelig at den behandlingsansvarlige gir informasjon til den registrerte første gang opplysningene utleveres. Denne regelen medfører at informasjon om registrering av nye kredittopplysninger jf. forordningens bestemmelser, ikke nødvendigvis tilflyter den registrerte før opplysningene utleveres i kredittopplysningsvirksomheten. En slik praksis vil ikke gjøre det mulig for den registrerte å reagere på eventuelle feil eller mangler i de registrerte opplysningene før de allerede er utlevert. Dette kan igjen gå ut over opplysningskvaliteten, og innebære et tilbakeskritt som vil gi dårligere personvern enn gjeldende rett.

Departementet vurderer på denne bakgrunn at personvernforordningen artikkel 14 ikke i seg selv vil bidra til tilstrekkelig informasjon om registrering, og opplysningskvalitet i kredittopplysningsforetakenes registre. For å sikre at de registrerte gjøres kjent med registrering av kredittopplysninger, og gis mulighet til å rette eventuelle feil, mener departementet det er nødvendig å videreføre gjeldende regler om forhåndsvarsling til fysiske personer. Plikten til forhåndsvarsling vil også omfatte alle enkeltpersonforetak. Utkast til lovbestemmelse er inntatt i lovforslaget § 19.

I gjeldende rett finnes flere unntak fra hovedregelen om forhåndsvarsling. Disse bidrar til at det ikke sendes forhåndsvarsel om opplysninger den registrerte allerede er kjent med, for eksempel gjennom varsling fra den opprinnelige kilden. Dette gjelder særlig informasjon fra offentlige registre som Brønnøysundregistrene og informasjon om skattefastsetting fra Skattedirektoratet. Disse opplysningene vil den registrerte ha hatt flere oppfordringer om og anledninger til å rette hos kilden, og det må kunne legges til grunn at de er riktige når de benyttes i kredittopplysningsvirksomhet. Det samme gjelder opplysninger om utleggsforretninger og andre tvangsforretninger. Det anses derfor som tilstrekkelig at de registrerte mottar varsel om disse opplysningene gjennom utsendelse av gjenpart. Departementet legger på dette grunnlaget opp til å videreføre de gjeldende unntakene fra plikten til å sende forhåndsvarsel, se lovforslaget § 19 andre og tredje ledd.

Datatilsynet har i sin høringsuttalelse kommentert at forhåndsvarsel må sendes kostnadsfritt til de registrerte. Dersom forhåndsvarselet hadde vært en direkte konsekvens av personvernforordningen artikkel 14, ville plikten til å sende gratis forhåndsvarsel fulgt av forordningen artikkel 12 nr. 5. Plikten til å sende forhåndsvarsel går imidlertid noe lenger enn plikten til å gi informasjon etter personvernforordningen artikkel 14, i og med at kredittopplysningsforetakene plikter å varsle straks nye opplysninger med betydning for kredittvurderingen er registrert. Denne varslingen er et ledd i å sikre kredittopplysningsforetakets opplysningskvalitet. Samtidig er den viktig for at de registrerte skal være godt orientert om behandling av opplysninger som kan få inngripende konsekvenser for dem. Fordi kredittopplysningsforetaket vil tjene penger på å utlevere de aktuelle personopplysningene, mener departementet også det er rimelig at de bærer kostnadene ved å informere de registrerte om behandlingen. Det er derfor kredittopplysningsforetaket som skal dekke kostnaden ved utsendelse av det lovpålagte varselet. Etter departementets vurdering er det naturlig at den som en lovpålagt plikt retter seg mot også skal dekke kostnadene ved å oppfylle plikten. Dette er derfor ikke eksplisitt inntatt i lovforslaget, men fremgår av særmerknadene til lovforslaget § 19.

Departementet viser samtidig til at plikten til å sende forhåndsvarsel bare gjelder ved registrering av enkelte kategorier negative kredittopplysninger. Dette innebærer at plikten til forhåndsvarsling på langt nær omfatter alle registreringer hos kredittopplysningsforetakene. Kredittopplysningsforetakene har etablerte systemer og innarbeidede rutiner for utsendelse av forhåndsvarsel. Stadig flere gjenparter og forhåndsvarsler sendes elektronisk. Kostnaden ved slik elektronisk utsendelse er lav, og utsendelse er lite ressurskrevende for kredittopplysningsforetaket. Departementet vurderer derfor at kostnaden for foretakene er vesentlig mindre enn fordelen for de registrerte.

I forhåndsvarselet skal den registrerte oppfordres til å gi tilbakemelding til kredittopplysningsforetaket innen en fastsatt frist dersom opplysningene ikke er korrekte. Dersom det er uenighet mellom den registrerte og kredittopplysningsforetaket om de aktuelle opplysningene, må uoverensstemmelsen avklares før opplysningene kan brukes i kredittopplysningsvirksomheten. Det er den behandlingsansvarlige, det vil si kredittopplysningsforetaket, som er ansvarlig for at de opplysningene som benyttes i virksomheten holder en tilfredsstillende opplysningskvalitet, herunder er korrekte og relevante for formålet jf. personvernforordningen artikkel 5 nr. 1. Det er derfor foretaket som vil ha ansvaret for at opplysningene som benyttes er korrekte, og som skal kunne påvise dette.

Hvis et forhold ordnes innen den fristen som er satt for tilbakemelding, vil det ikke lenger foreligge noe mislighold. Opplysningen skal da ikke brukes i kredittopplysningsvirksomheten. I situasjoner der den registrerte anfører at en opplysning skal slettes fordi forholdet er gjort opp eller ordnet, kan det etter departementets vurdering være hensiktsmessig å oppfordre vedkommende om å underbygge påstanden med dokumentasjon. Dette vil i de fleste tilfeller ikke være urimelig krevende, da det vil foreligge dokumentasjon på oppgjøret/betalingen, for eksempel i form av utskrift fra nettbanken. Slik dokumentasjon fra den registrerte vil skape ryddighet i saksbehandlingen hos kredittopplysningsforetaket, slik Norske kredittopplysningsbyråers forening har påpekt i sitt høringssvar. Departementet mener samtidig at det ikke kan kreves fremlagt dokumentasjon for påstand om at en opplysning er uriktig. Det er den behandlingsansvarlige som er ansvarlig for og skal kunne påvise at registrerte opplysninger er korrekte. Det vises for øvrig til drøftelsen om omtvistede fordringer i kapittel 6.2.5.4.

Departementet understreker at en oversittelse av den fastsatte fristen for å melde fra om feil ikke vil innebære at den registrerte mister noen av rettighetene sine etter personvernforordningen, herunder retten til korrigering eller sletting i artikkel 16 og 17. Oppfordringen til å rette eventuelle feil innen en fastsatt frist er kun ment å bidra til at opplysninger som brukes i kredittopplysningsvirksomhet er korrekte, oppdaterte og relevante. Dette er både i den registrertes, kredittopplysningsvirksomhetens og kundenes interesse. Departementet anbefaler på denne bakgrunn å videreføre bestemmelsene om forhåndsvarsling av enkeltperson i gjeldende rett, se lovforslaget §§ 19 og 20. Reglenes saklige virkeområde utvides samtidig noe som følge av at opplysninger om enkeltpersonforetak skal behandles som opplysninger om fysiske personer. Dette betyr at noen flere vil få forhåndsvarsel etter lovforslaget enn etter gjeldende rett.

Til forsiden