15 Datatilsynets kompetanse
15.1 Gjeldende rett
Etter gjeldende rett fører Datatilsynet tilsyn med etterlevelse av kredittopplysningsreglene ved behandling av opplysninger om både fysiske og juridiske personer. Dette følger av personopplysningsloven 2000 § 42 tredje ledd nr. 3 jf. § 3 siste ledd.
I personopplysningsforskriften § 4-7 finnes en bestemmelse om at Datatilsynet, når særlige grunner taler for det, kan frita den behandlingsansvarlige fra plikter fastsatt i loven. Bestemmelsen er ment som en sikkerhetsventil for tilfeller der den virksomheten som drives skiller seg vesentlig fra alminnelig kredittopplysningsvirksomhet, og derfor bør reguleres annerledes.
15.2 Forordningen
Etter personvernforordningen artikkel 51 skal landene utpeke minst ett organ som skal føre tilsyn med etterlevelse av forordningens regler om behandling av personopplysninger. Tilsynsmyndighetens oppgaver og kompetanse er regulert i forordningen artikkel 52 til 58. Det følger av bestemmelsene at det eller de utpekte nasjonale tilsynsorganene har omfattende myndighet til å føre kontroll med etterlevelse av personvernreglene.
15.3 Forslaget i høringsnotatet
Høringsnotatet viste til at det følger av personvernforordningen at Datatilsynet skal føre tilsyn med kredittopplysningsforetakenes etterlevelse av forordningens regler ved behandling av kredittopplysninger om fysiske personer, siden dette er behandling av personopplysninger som faller inn under forordningens saklige virkeområde. Departementet anså det som hensiktsmessig at ett og samme organ fører tilsyn med etterlevelse av reglene om behandling av opplysninger i kredittopplysningsvirksomhet uansett hvem den registrerte er. I høringsnotatet anbefalte departementet derfor at Datatilsynet fører tilsyn med etterlevelse av kredittopplysningsloven i samsvar med reglene i den nye personopplysningsloven og personvernforordningen artikkel 55 til 58. Datatilsynet vil da ha samme kompetanse og myndighet på kredittopplysningsområdet som ved all annen behandling av personopplysninger etter forordningen. I tillegg vil dette innebære at Datatilsynet fører tilsyn med etterlevelse av reglene om behandling av kredittopplysninger om juridiske personer.
Departementet foreslo i høringen ikke å videreføre bestemmelsen i personopplysningsforskriften § 4-7 om adgang til, i særlige situasjoner, å frita den behandlingsansvarlige fra plikter fastsatt i loven.
15.4 Høringsinstansenes syn
Det er kun Datatilsynet selv som har uttalt seg om tilsynsmyndighetens kompetanse. Tilsynsmyndigheten viser til at det i det daværende forslaget til ny personopplysningslov, jf. Prop. 56 LS, § 20 var inntatt en tilpasningsbestemmelse om den norske tilsynsmyndighetens tilsynskompetanse, og at denne måtte hensyntas i kredittopplysningsloven. Høringsinstansen påpekte også at gjennomføring av tilsyn vanskeliggjøres når konsesjonsplikt for kredittopplysningsvirksomhet bortfaller, da det blir vanskeligere for tilsynsmyndigheten å ha oversikt over markedet.
15.5 Departementets vurderinger
Ingen av høringsinstansene har uttrykt seg kritisk til at Datatilsynet er foreslått som tilsynsmyndighet for etterlevelse av kredittopplysningsloven. Departementet viser dessuten til det som er sagt i Prop. 56 LS kapittel 25.5 om viktigheten av å ha en uavhengig tilsynsmyndighet som fører tilsyn med behandling av personopplysninger. Basert på dette, legger departementet til grunn at det er viktig for etterlevelse av kredittopplysningsreglene at det etableres en velfungerende tilsynsordning. Tilsynskompetansen bør, etter departementets oppfatning, omfatte behandling av opplysninger om juridiske personer så vel som fysiske personer.
Departementet mener Datatilsynet er godt rustet til å ivareta tilsynsfunksjonen. Datatilsynet vil føre tilsyn på dette området på samme måte som de fører tilsyn med etterlevelse av andre særregler om behandling av personopplysninger hvoretter de er tillagt tilsynskompetanse. Slik tilsynskompetanse har Datatilsynet blant annet etter regler om behandling av personopplysninger etter helselovgivningen, etter politiregisterloven og etter arbeidsmiljøloven. Datatilsynet har videre lang erfaring med å føre tilsyn med kredittopplysningsforetakenes behandling av opplysninger, og vil kunne dra nytte av denne erfaringen i sitt fremtidige tilsynsarbeid.
Departementet går derfor inn for at Datatilsynet er tilsynsmyndighet etter lov om behandling av opplysninger i kredittopplysningsvirksomhet, og at denne kompetansen utøves i samsvar med reglene i personopplysningsloven og personvernforordningen, se lovforslaget § 28. Departementet har merket seg Datatilsynets merknad om at tilsynsmyndighetens kompetanse etter kredittopplysningsloven må tilpasses tilsvarende kompetanse etter personopplysningsloven. Dette er det tatt høyde for i lovforslaget, ved at det er inntatt en henvisning til personopplysningsloven § 20.
Personopplysningsloven § 20 siste ledd inneholder en bestemmelse om at Kongen kan gi forskrift om dekning av Datatilsynets kostnader ved kontroll. Det følger av lovforslaget at personopplysningslovens regler gjelder tilsvarende for behandling av opplysninger om juridiske personer bare der det følger uttrykkelig av lovforslaget. Tilsyn med behandling av opplysninger om juridiske personer faller, slik departementet ser det, på utsiden av Datatilsynets oppgaver etter personopplysningsloven og personvernforordningen. Det er dermed ikke gitt at personvernforordningens regler om dekning av kostnader ved kontroll vil gjelde tilsvarende når kontrollen omfatter behandling av kredittopplysninger om juridiske personer. Samtidig anser departementet at nettopp fordi tilsyn med behandling av virksomhetsrelaterte opplysninger faller utenfor de oppgavene Datatilsynet er tillagt i personvernforordningen og personopplysningsloven, vil det kunne være naturlig å vurdere om kredittopplysningsforetakene bør bidra økonomisk til gjennomføring av tilsyn. Departementet finner det derfor hensiktsmessig å åpne eksplisitt for at det kan gis forskrift om dekning av kostnader til kontroll med behandling av kredittopplysninger også om juridiske personer. En bestemmelse tilsvarende personopplysningsloven § 20 siste ledd er derfor inntatt i lovforslagets bestemmelse om forskrifter, se lovforslaget § 29 andre ledd.
Departementet har merket seg Datatilsynets innspill om at gjennomføring av tilsyn vanskeliggjøres når konsesjonsplikten for kredittopplysningsvirksomhet bortfaller, og det blir vanskeligere for tilsynsmyndigheten å ha oversikt over markedet. Departementet er enig i denne vurderingen, men påpeker at dette vil gjøre seg gjeldende på alle samfunnsområder. Systemet etter personvernforordningen er at det i de fleste tilfeller ikke kreves forhåndskontroll og godkjenning for å kunne behandle personopplysninger. Det synes ikke å være særegne forhold ved kredittopplysningsforetakenes behandling av personopplysninger som tilsier at den bør underlegges andre mekanismer for forhåndsgodkjenning enn andre behandlinger. Departementet kan derfor ikke se at det er grunn til å fravike personvernforordningens hovedregel, og pålegge forhåndskontroll på kredittopplysningsområdet. Samtidig må kredittopplysningsforetakene selv vurdere om deres behandling av personopplysninger er så inngripende at de faller inn under bestemmelsene om forhåndsdrøfting i personvernforordningen artikkel 36.
Departementet har videre vurdert at både Datatilsynet og Personvernnemnda må kunne skaffe seg tilgang til nødvendig informasjon for gjennomføring av sine plikter etter kredittopplysningsloven. Slik tilgang til informasjon kan være avgjørende for at de skal kunne foreta nødvendige undersøkelser og fatte vedtak på godt opplyst grunnlag. Departementet vurderer det derfor som hensiktsmessig at personopplysningsloven § 23 om tilgang til informasjon som ledd i utøvelse av oppgaver etter personopplysningsloven og personvernforordningen gis tilsvarende anvendelse når Datatilsynet og Personvernnemnda utfører sine oppgaver etter kredittopplysningsloven. Bestemmelsen i lovforslaget § 28 ivaretar dette.