18 Konsekvenser av forslaget
18.1 Økonomiske og administrative konsekvenser
Lovforslaget innebærer ikke vesentlige endringer i de materielle reglene om kredittopplysningsvirksomhet. Departementet legger til grunn at forslaget derfor ikke innebærer vesentlige økonomiske eller administrative konsekvenser verken for de som benytter kredittopplysninger i sine beslutningsgrunnlag eller for kredittopplysningsforetakene.
18.1.1 Bortfall av konsesjonsplikt
Lovforslaget innebærer at konsesjonsplikten for å behandle opplysninger i kredittopplysningsvirksomhet bortfaller. Dette vil medføre at kredittopplysningsforetakene spares for prosesskostnadene knyttet til søknad om konsesjon. De slipper også å avvente behandling av kredittopplysninger til forhåndsgodkjenning fra Datatilsynet foreligger. Det må legges til grunn at dette vil ha gunstige økonomiske og administrative konsekvenser for kredittopplysningsforetakene.
Bortfall av konsesjonsplikt vil medføre mindre arbeid i Datatilsynet med denne type saker. Dette omtales nærmere i kapittel 18.1.6.
18.1.2 Enkeltpersonforetak skal behandles som fysiske personer
Det følger av personvernforordningen artikkel 4 nr. 1 at alle opplysninger som kan knyttes til en identifisert eller identifiserbare fysisk person er personopplysninger. Denne type opplysninger skal behandles i samsvar med personvernforordningens regler. Dette innebærer at opplysninger om enkeltpersonforetak også vil være å anse som personopplysninger. I kredittopplysningssammenheng må derfor opplysninger om enkeltpersonforetak behandles etter de samme reglene som gjelder for behandling av opplysninger om fysiske personer. Dette kan medføre behov for noe omlegging i kredittopplysningsforetakenes systemer og registre, men kostnadene knyttet til dette antas å være relativt beskjedne, og samtidig være engangskostnader.
Økte kostnader knyttet til overholdelse av utvidet informasjonsplikt omtales nærmere i kapittel 18.1.3.
18.1.3 Informasjonsplikt
Lovforslaget legger opp til at personvernforordningens regler om informasjon til de registrerte skal gjelde også i kredittopplysningsvirksomhet. I og med at enkeltpersonforetak etter loven skal behandles som fysiske personer, vil kretsen av de som skal motta informasjon i samsvar med forordningen utvides noe sammenliknet med gjeldende rett. Dette innebærer at kredittopplysningsforetakene i fremtiden vil måtte utlevere informasjon til flere registrerte, noe som antas å medføre noe økte kostnader for virksomhetene.
Selv om kostnadene ved å oppfylle informasjonspliktene vil øke noe, antas de i det vesentlige å knytte seg til tilrettelegging av systemer for å gi innsyn eller sende ut informasjon om behandling av kredittopplysninger. Departementet antar videre at en betydelig del av informasjonsplikten kan oppfylles ved elektroniske løsninger som den registrerte selv kan benytte. Slike løsninger benyttes allerede av flere kredittopplysningsforetak. Departementet legger derfor til grunn at en vesentlig del av kostnadene vil være engangskostnader knyttet til etablering av løsninger, i den grad slike ikke allerede eksisterer. Fordi kredittopplysningsforetakene allerede i dag er underlagt relativt omfattende informasjonskrav, legger departementet til grunn at de løpende kostnadene til å gi informasjon neppe vil øke vesentlig.
Departementet understreker samtidig at denne utvidede plikten til å gi informasjon og innsyn ikke vil følge av lovforslaget alene, men er en konsekvens av definisjonen av begrepet «personopplysninger» i personvernforordningen artikkel 4 nr. 1. Når denne definisjonen også omfatter opplysninger om enkeltpersonforetak, utvides kretsen av de som har krav på informasjon. Kostnadene knyttet til informasjonsplikten er, med unntak av den relativt begrensede opplysningsplikten overfor registrerte juridiske personer, kostnader som følger av at personvernforordningen er gjennomført i norsk rett. Disse kostnadene ville derfor påløpt uavhengig av forslaget til lov om behandling av opplysninger i kredittopplysningsvirksomhet.
18.1.4 Personvernombud
Etter personvernforordningen artikkel 37 nr. 1 bokstav b skal behandlingsansvarlige og databehandlere, hvis kjernevirksomhet består i «behandlingsaktiviteter som på grunn av sin art, sitt omfang og/eller formål krever regelmessig og systematisk monitorering i stor skala av registrerte», utpeke personvernombud. I samsvar med lovforslaget gjelder bestemmelsen for behandling av personopplysninger i kredittopplysningsvirksomhet.
Det er ikke usannsynlig at behandling av personopplysninger i kredittopplysningsvirksomhet vil være slike behandlinger som innebærer at den behandlingsansvarlige er underlagt personvernforordningens plikt til å etablere personvernombud. Hver enkelt behandlingsansvarlig må imidlertid selv vurdere om de faller inn under denne plikten. Å etablere en personvernombudsfunksjon vil ha en kostnad for den behandlingsansvarlige. Hvor stor kostnaden er, avhenger særlig av virksomhetens omfang, og derigjennom arbeidsoppgaver for ombudet, og om den behandlingsansvarlige fra før har etablert frivillig personvernombud. Ordningen med personvernombud etter forordningen er uansett langt mer omfattende enn den frivillige ordningen med personvernombud som gjaldt etter personopplysningsloven 2000.
Departementet legger til grunn at etablering av personvernombud i kredittopplysningsforetakene vil innebære en kostnad for de behandlingsansvarlige. Kostnaden er imidlertid knyttet til etterlevelse av personvernforordningen, og er ikke direkte relatert til forslaget til lov om behandling av opplysninger i kredittopplysningsvirksomhet.
18.1.5 Forhåndsdrøfting
Dersom et kredittopplysningsforetak, etter å ha gjennomført en vurdering av personvernkonsekvenser i samsvar med bestemmelsene i personvernforordningen artikkel 35, mener at en behandling av personopplysninger vil medføre høy risiko, skal det gjennomføres forhåndsdrøftinger med Datatilsynet før behandlingen igangsettes. Dette følger av forordningen artikkel 36. Gjennomføring av slike forhåndsdrøftinger kan medføre økt arbeidsbyrde og innebære en kostnad både for Datatilsynet og for kredittopplysningsforetaket. Departementet anser imidlertid at kostnaden er knyttet til etterlevelse av personvernforordningen, og ikke er direkte relatert til forslaget til lov om behandling av opplysninger i kredittopplysningsvirksomhet.
18.1.6 Konsekvenser for Datatilsynet
For Datatilsynet vil bortfall av konsesjonsplikt ikke medføre noen nevneverdig ressursbesparelse. De gjeldende kredittopplysningskonsesjonene er standardkonsesjoner. Når konsesjonen har blitt endret, er den endret likt for alle konsesjonsinnehaverne (som er et relativt lite antall virksomheter). Dette gjøres relativt sjelden, og bortfall av konsesjonsplikten vil derfor ikke redusere Datatilsynets arbeidsbyrde i vesentlig grad.
Når konsesjonsplikten faller bort, vil kredittopplysningsforetakene ikke lenger være registrert hos Datatilsynet som innehavere av konsesjon for behandlinger av personopplysninger. Det kan derfor bli noe mer krevende for Datatilsynet å skaffe oversikt over mulige tilsynsobjekter. Departementet legger likevel til grunn at bransjen er liten og relativt oversiktlig, og at konsekvensene for tilsynsmyndighetens virksomhet således er relativt små. Bortfall av konsesjonsplikt etter personopplysningsregelverket gjelder dessuten generelt, og skaper neppe særegne konsekvenser og utfordringer på kredittopplysningsområdet.
18.1.7 Tilsyn
Tilsyn med kredittopplysningsforetakenes behandling av kredittopplysninger vil, i samsvar med lovforslaget, fremdeles høre til Datatilsynets arbeidsoppgaver. Som følge av at de materielle reglene om behandling av opplysninger i kredittopplysningsvirksomhet i det vesentlige videreføres, vil tilsynsoppgaven neppe endres i særlig grad.
18.2 Personvernkonsekvenser
Departementets forslag innebærer ikke vesentlige endringer i de materielle reglene om kredittopplysningsvirksomhet. Fordi hovedelementene i etablert rettstilstand videreføres, legger departementet til grunn at forslaget ikke vil ha negative konsekvenser for personvernet. Tvert om, vurderer departementet det slik at en særregulering av behandling av personopplysninger i kredittopplysningsvirksomhet bidrar til å sikre at de registrertes personvern, herunder de særlige hensyn som gjør seg gjeldende i kredittopplysningsvirksomhet, fortsatt ivaretas på en god måte. For innehavere av enkeltpersonforetak vil lovforslaget innebære noe styrking av personvernet, ved at opplysninger om dem skal behandles som personopplysninger uavhengig av om de er registrert i Foretaksregisteret og/eller Arbeidsgiver- og arbeidstakerregisteret, eller ikke.
Departementet mener at regulering i lov og forskrift, slik lovforslaget legger opp til, på en god måte vil sikre ivaretakelse av de registrertes rettigheter og gjøre regelverket tilgjengelig og kjent. Departementet har vurdert om deler av kredittopplysningsreguleringen burde inntas i atferdsnormer fremfor i lov og forskrift, men har konkludert med at dette kunne medført negative konsekvenser for personvernet. Atferdsnormene utvikles av bransjen selv i dialog med tilsynsmyndigheten. Man vil i en slik situasjon kunne få mindre klare regler, større rom for ulik praktisering hos ulike aktører, og dermed et svakere personvern enn lovforslaget legger opp til. Dette ville etter departementets vurdering ikke være i samsvar med hensynet bak revisjonen av den generelle personvernreguleringen. Samtidig kan brudd på bransjenormer ikke følges opp og sanksjoneres av tilsynsmyndigheten på samme måte som brudd på lov og forskrift kan, noe som ville kunne få en negativ effekt på regeletterlevelsen.