14 Ansvar og sanksjoner
14.1 Gjeldende rett
Etter gjeldende rett kan overtredelser av kredittopplysningsreglene sanksjoneres likt uavhengig av om krenkelsen gjelder en registrert fysisk eller juridisk person. Reglene i personopplysningsloven 2000 § 46 om overtredelsesgebyr, § 47 om tvangsmulkt og § 48 om straff gjelder tilsvarende.
Det fulgte av personopplysningsloven 2000 § 49 andre ledd at kredittopplysningsforetaket har et objektivt ansvar for å erstatte tap som følge av utlevering av uriktige eller åpenbart misvisende kredittopplysninger.
14.2 Forordningen
Etter personvernforordningen artikkel 82 har den som lider skade som følge av overtredelser av forordningens bestemmelser krav på erstatning fra den behandlingsansvarlige eller databehandleren. Erstatningsplikten gjelder, jf. artikkel 82 nr. 3, ikke dersom den behandlingsansvarlige kan godtgjøre at han på ingen måte er ansvarlig for hendelsen som førte til skaden. Videre følger det av artikkel 83 at det kan ilegges overtredelsesgebyr for en rekke overtredelser av regelverket, herunder for overtredelser av de grunnleggende prinsippene for behandling av opplysninger fastsatt i artikkel 5, 6, 7 og 9. Bestemmelsene i forordningen overlater ikke handlingsrom til medlemsstatene.
14.3 Forslaget i høringsnotatet
Etter personvernforordningen artikkel 83 nr. 5 bokstav a kan det ilegges sanksjoner for overtredelser av forordningens grunnleggende prinsipper slik disse følger av artikkel 5, 6, 7 og 9. Høringsnotatets utkast til regler om behandling av personopplysninger i kredittopplysningsvirksomhet hadde grunnlag i forordningen artikkel 6 nr. 3 jf. nr. 1 bokstav e. Flere av bestemmelsene i høringsforslaget ivaretok dessuten prinsipper nedfelt i forordningen artikkel 5. Departementet la derfor i høringsnotatet til grunn at forordningens sanksjonsregler ville komme til anvendelse ved overtredelse av kredittopplysningslovens bestemmelser.
Departementet anbefalte i høringsnotatet at skader som følge av uriktig behandling av kredittopplysninger underlegges de samme erstatningsreglene som andre feil som følge av behandling av personopplysninger. Reglene skulle gjelde likt uavhengig av om den skadelidte var en fysisk eller juridisk person.
Av hensyn til regelverkets omfang, fant departementet det ikke hensiktsmessig å gjenta i lovutkastet de av bestemmelsene i personvernforordningen som også vil gjelde for kredittopplysningsvirksomhet. Personvernforordningen gjelder imidlertid bare behandling av personopplysninger i kredittopplysningsvirksomhet. For at forordningens og personopplysningslovens bestemmelser om sanksjoner, tvangsmulkt og erstatning skal komme til anvendelse ved uriktig behandling av kredittopplysninger om juridiske personer, foreslo departementet å gi bestemmelsene tilsvarende anvendelse i kredittopplysningsloven.
14.4 Høringsinstansenes syn
Det er relativt få høringsinstanser som har kommentert bestemmelsene om sanksjoner, tvangsmulkt og erstatning. Datatilsynet gir i sin høringsuttalelse uttrykk for usikkerhet med hensyn til om personvernforordningens og personopplysningslovens generelle regler om sanksjoner og erstatning vil gjelde for brudd på kredittopplysningsregelverket. Datatilsynet påpeker også i sin høringsuttalelse at enkelte av bestemmelsene i departementets høringsutkast er strengere og går lenger enn det som følger av personvernforordningen. Dette betyr at det er uklart om sanksjons- og erstatningsbestemmelsene i forordningen uten videre vil dekke brudd på disse strengere reglene. Høringsinstansen anbefaler derfor at bestemmelsen i kredittopplysningsloven utformes slik at det ikke er noen tvil om at reglene skal gjelde. Datatilsynet mener også det er hensiktsmessig at reglene om sanksjoner og erstatning gjelder ved brudd på reglene om behandling av kredittopplysninger om juridiske personer.
Juristforbundet på sin side mener det er for strengt å la disse bestemmelsene gjelde overtredelse av reglene om behandling av opplysninger om juridiske personer. Høringsinstansen peker på at juridiske personer ikke har samme behov for vern ved behandling av opplysninger som fysiske personer, og at de dessuten vil kunne ha rett til erstatning etter de alminnelige erstatningsreglene. Videre peker Juristforbundet på at sanksjoner etter personvernforordningen og personopplysningsloven nå er langt strengere enn alminnelige norske erstatningsregler, og mener reglene ikke bør gis anvendelse overfor juridiske personer uten at konsekvensene er bedre utredet.
Finans Norge mener personvernforordningens bestemmelser om sanksjoner og erstatning bør gjentas direkte i kredittopplysningsloven slik at de blir mer tilgjengelige, og det ikke er noen tvil om hvilke regler som gjelder på området.
14.5 Departementets vurderinger
Dersom det ikke fastsettes særregulering om sanksjoner og erstatning på kredittopplysningsområdet, vil personvernforordningens og personopplysningslovens alminnelig regler komme til anvendelse for så vidt regelbruddet gjelder behandling av kredittopplysninger om fysiske personer, og det dreier seg om brudd på regler som følger av forordningen. Departementet er enig med Datatilsynet i at det er grunn til å stille spørsmål ved om forordningens sanksjonsbestemmelser vil kunne anvendes ved brudd på særregler i kredittopplysningsloven uten at dette fremgår klart av loven. Det følger av lovutkastet at forordningens bestemmelser bare gjelder for behandling av opplysninger om juridiske personer dersom det fremgår eksplisitt av kredittopplysningsloven. Brudd på reglene om behandling av opplysninger om juridiske personer vil derfor ikke under noen omstendighet være underlagt særskilte sanksjonsregler uten særregulering.
Departementet mener overtredelser av særreglene om behandling av kredittopplysninger om fysiske personer bør kunne sanksjoneres og være grunnlag for erstatning. Når området er vurdert som så viktig at det fastsettes særregulering, mener departementet dette tilsier at sanksjonsreglene ikke bør være mindre strenge etter særreguleringen enn etter den generelle personvernreguleringen. På bakgrunn av høringsinnspillene, vurderer departementet at brudd på kredittopplysningslovens bestemmelser om behandling av personopplysninger bør kunne sanksjoneres og være grunnlag for erstatning på lik linje med brudd på de generelle reglene i personvernforordningen og personopplysningsloven. For at det ikke skal oppstå noen tvil om at forordningens og personopplysningslovens bestemmelser om overtredelsesgebyr, tvangsmulkt og erstatning kommer til anvendelse, har departementet valgt å formulere lovforslaget § 27 slik at det omfatter alle brudd på kredittopplysningslovens regler om behandling av personopplysninger.
Bestemmelsene i personvernforordningen og personopplysningsloven om erstatning og sanksjoner gjelder, i samsvar med personopplysningslovens saklige virkeområde, kun ved overtredelser av reglene om behandling av opplysninger om fysiske personer. Dersom man mener det er ønskelig at også brudd på reglene om behandling av kredittopplysninger om juridiske personer skal kunne sanksjoneres, må dette fastsettes særskilt.
Departementet har merket seg at Finans Norge ikke stiller spørsmål ved hensiktsmessigheten av å la sanksjonsbestemmelsene gjelde ved brudd på reglene om behandling av opplysninger om juridiske personer, men kun peker på at reglene bør fremgå eksplisitt av kredittopplysningsloven i stedet for bare ved en henvisning. Juristforbundet er derimot kritiske til å la de strenge sanksjonsbestemmelsene gjelde ved brudd på reglene om behandling av kredittopplysninger om juridiske personer, og mener konsekvensene av en slik bestemmelse ikke er godt nok utredet.
Departementet er enig i innspillet fra Juristforbundet om at det neppe er riktig å sanksjonere overtredelser av kredittopplysningsreglene som rammer juridiske personer like strengt som overtredelser som rammer fysiske personer. Juridiske personer har i mange sammenhenger ikke det samme behovet for vern som fysiske personer, og konsekvensene av regelbrudd kan være mindre alvorlige enn de vil oppleves for fysiske personer. Juridiske personer vil også lettere enn fysiske personer kunne håndtere utfordringer forbundet med uriktig behandling av kredittopplysninger. Departementet mener samtidig at Datatilsynet, Personvernnemnda og domstolene, ved å utnytte det handlings- og skjønnsrommet som ligger i personvernforordningens og personopplysningslovens bestemmelser om sanksjoner og erstatning, kan tilpasse reaksjonene etter hvem som er skadelidt i saken. Som Datatilsynet har kommentert i sitt høringsinnspill, er det allerede i dag praksis for å reagere mildere ved overtredelser som gjelder behandling av kredittopplysninger om juridiske personer enn overtredelser som gjelder opplysninger om fysiske personer. Det følger også av personvernforordningen artikkel 83 nr. 2 bokstav a at overtredelsens alvorlighetsgrad skal tillegges vekt når overtredelsesgebyr ilegges. Departementet legger til grunn at mange av de øvrige momentene som etter forordningen artikkel 83 skal tillegges vekt ved vurdering av om, og i hvilken størrelsesorden, administrative sanksjoner skal ilegges, vil kunne innebære mildere sanksjoner når den registrerte/skadelidte er en juridiske personer. Departementet legger samtidig til grunn at brudd på reglene om behandling av opplysninger om juridiske personer generelt vil oppfattes som mindre alvorlig enn brudd på personopplysningsreglene, og at Datatilsynet, i samsvar med sin høringsuttalelse, vil ta hensyn til dette når reglene anvendes.
Departementet påpeker for øvrig at Datatilsynet ikke har noen plikt til å ilegge sanksjoner eller benytte tvangsmulkt overfor kredittopplysningsforetakene ved brudd på reglene som gjelder behandling av kredittopplysninger. Eventuelle sanksjoner for overtredelser av bestemmelsene i personvernforordningen skal følge forordningens regler.
Departementet mener på denne bakgrunn at det er hensiktsmessig å bygge videre på gjeldende rett, og la erstatnings- og sanksjonsbestemmelsene i personvernforordningen og personopplysningsloven gjelde tilsvarende for overtredelser av bestemmelsene om behandling av kredittopplysninger om juridiske personer. Bestemmelsen i lovforslaget § 27 er utformet slik at den dekker overtredelser av alle bestemmelsene i lovforslaget, uavhengig av om den registrerte er en juridisk eller fysisk person.
Når det gjelder videreføring av bestemmelsen i personopplysningsloven 2000 § 48 om at regelbrudd kan sanksjoneres med fengsel eller bøter, foreslås denne ikke videreført. Overtredelser av det generelle personvernregelverket kan ikke lenger sanksjoneres med bøter eller fengsel. Departementet har vurdert at det er gode grunner for å harmonisere reaksjonene på kredittopplysningsområdet med reaksjonene etter de generelle personvernreglene. Med de relativt strenge reaksjonene som kan ilegges etter personvernforordningen og personopplysningsloven, og tatt i betraktning at bestemmelsen i personopplysningsloven 2000 om bøter og fengsel i svært liten grad er blitt benyttet, finner departementet det ikke hensiktsmessig å videreføre disse reaksjonsformene.