2 Bakgrunn for lovforslaget
2.1 Kort om kredittopplysningsvirksomhet
Kredittopplysninger er opplysninger som gir grunnlag for å trekke slutninger om kredittverdighet eller kredittevne. Kredittopplysningsvirksomhet går ut på å samle inn, strukturere, til en viss grad bearbeide, og utlevere opplysninger om de registrertes økonomiske forhold. Alle personer over 18 år som har hatt skattbar inntekt er registrert hos kredittopplysningsforetakene. Kredittopplysningsforetakene behandler også økonomiske opplysninger om juridiske personer. I tillegg til at kredittopplysningene som sådan kan utleveres til kredittopplysningsforetakets kunder, kan opplysningene danne grunnlag for beregning av såkalt kredittscore eller rating. Dette er en statistisk beregning av den registrertes evne og vilje til å betjene gjeld. Kredittscore og rating beregnes automatisk av algoritmer der ulike informasjonselementer vektes i forhold til hverandre.
Kredittopplysninger benyttes i utstrakt grad ved salg på kreditt. Opplysningene utgjør et viktig element i selgers beslutningsgrunnlag. Det er vanlig at kredittvurderinger skjer helautomatisk. Ved kjøp av varer på nett er gjerne kredittvurderingen en integrert del av betalingsprosessen. Den registrerte (kredittkunden) merker ikke at kredittvurderingen gjennomføres, men får informasjon i etterkant ved mottak av kopi (gjenpart) av den utleverte kredittopplysningen. Innhenting av kredittopplysninger er i dag integrert i svært mange e-handelsløsninger og andre nettbaserte søknadsprosesser.
Kredittopplysninger er opplysninger om økonomiske forhold både av relativt nøytral karakter (lønn, utlignet skatt, eierskap i fast eiendom) og opplysninger av negativ karakter (f.eks. misligholdte fordringer). Denne type opplysninger var ikke definert som sensitive i personopplysningsloven 2000 § 2 nr. 8, og er heller ikke omfattet av begrepet «særlige kategorier av personopplysninger» slik dette er beskrevet i personvernforordningen artikkel 9 nr. 1. Uansett hvilken kategori opplysninger det dreier seg om, oppleves økonomiske opplysninger som beskyttelsesverdige av svært mange. Formålet med kredittopplysningsvirksomheten er å samle inn, sammenstille, analysere og utlevere kredittopplysninger. Virksomheten innebærer således en betydelig spredning av opplysninger som den registrerte kan ha interesse i å beskytte.
I Norge er det gitt konsesjon til å behandle opplysninger i kredittopplysningsvirksomhet til 14 kredittopplysningsforetak. Fire av disse kredittvurderer både fysiske og juridiske personer, mens de ti øvrige selskapene kun kredittvurderer juridiske personer.
2.1.1 Bakgrunn for forslaget
Etter gjeldende rett er kredittopplysningsvirksomhet regulert i forskrift og konsesjoner gitt av Datatilsynet. Bestemmelsene regulerer behandling av kredittopplysninger om både næringsdrivende (juridiske personer) og enkeltpersoner (fysiske personer). 25. mai 2018 trådte EUs forordning om behandling av personopplysninger, forordning EU 2016/679, heretter omtalt som forordningen eller personvernforordningen, i kraft. Forordningen erstatter og opphever EUs direktiv 95/46, i det følgende omtalt som personverndirektivet. Dette direktivet er innlemmet i EØS-avtalen og gjennomført i norsk rett i personopplysningsloven 2000. Personvernforordningen er EØS-relevant. Justis- og beredskapsdepartementet la 23. mars 2018 frem Prop. 56 LS (2017–2018) med forslag til gjennomføring av forordningen i norsk rett. Ny lov om behandling av personopplysninger (lov 15. juni 2018 nr. 38) trådte i kraft 20. juli 2018.
2.1.2 Hva som foreslås og hvorfor
Personopplysningsloven 2018 gjennomfører personvernforordningen i norsk rett, og opphever personopplysningsloven 2000 og forskrifter fastsatt i medhold av denne. I forskrift om overgangsregler om behandling av personopplysninger fastsatt ved kgl.res. 15. juni 2018 § 4 er det imidlertid besluttet at de kredittopplysningsspesifikke reglene i den ellers opphevede forskriften fra 2000 videreføres. De nevnte reglene gjelder inntil nye regler er vedtatt og satt i kraft.
Denne proposisjonen inneholder Kommunal- og moderniseringsdepartementets vurdering av om og hvordan behandling av opplysninger om fysiske og juridiske personer i kredittopplysningsvirksomhet bør reguleres med hjemmel i personvernforordningen og personopplysningsloven.
Kredittopplysningsvirksomhet innebærer behandling av store mengder opplysninger. De negative konsekvensene ved uriktig behandling kan bli betydelige for den enkelte og for næringslivet. Departementet mener derfor det er gode grunner som taler for fortsatt å regulere blant annet hvilke opplysninger som kan behandles i kredittopplysningsvirksomhet, hvor lenge opplysninger kan behandles, vilkår for utlevering, og når og hvordan de registrerte skal motta informasjon om behandling av opplysninger. Dette synet har fått bred tilslutning i høringsrunden, både fra myndighets- og næringsaktører. Det er ingen av høringsinstansene som har uttalt seg negativt til en fortsatt regulering av dette området.
Departementet anbefaler i proposisjonen å videreføre store deler av det materielle innholdet i den gjeldende reguleringen av kredittopplysningsvirksomhet. Bestemmelsene vil supplere de generelle reglene i personvernforordningen og personopplysningsloven for så vidt gjelder behandling av personopplysninger. Dette betyr at de særskilte reglene som følger av lovforslaget i denne proposisjonen vil gjelde i tillegg til reglene i personopplysningsloven om blant annet behandlingsgrunnlag, sikring av personopplysninger og administrative sanksjoner forutsatt at man er innenfor det saklige virkeområdet til personopplysningsloven.
Også juridiske personer kan rammes hardt av uriktig behandling av kredittopplysninger om dem. Det foreslås derfor at reglene om behandling av opplysninger i kredittopplysningsvirksomhet skal gjelde behandling av kredittopplysninger både om fysiske og juridiske personer. Departementets lovforslag går derfor ut på at enkelte av bestemmelsene i personopplysningsloven også skal gis tilsvarende anvendelse for behandling av opplysninger om juridiske personer.
2.1.3 Begrepsbruk i proposisjonen
I denne proposisjonen vises det både til den opphevede personopplysningsloven 14. april 2000 nr. 31 og til den nye personopplysningsloven 15. juni 2018 nr. 38. For å unngå sammenblanding og forveksling, henvises det til henholdsvis «personopplysningsloven 2000» når det er tale om den opphevede loven, og til «personopplysningsloven» når det er tale om den gjeldende loven. Der det henvises til personopplysningsforskriften, er dette forskriften fastsatt i medhold av personopplysningsloven 2000.
2.2 Høringen
Kommunal- og moderniseringsdepartementet sendte 19. desember 2017 på høring et forslag om ny lov om behandling av opplysninger i kredittopplysningsvirksomhet. Høringen ble sendt til følgende mottakere:
Departementene
Arbeidstilsynet
Barneombudet
Brønnøysundregistrene
Datatilsynet
Departementenes sikkerhets- og serviceorganisasjon (DSS)
Direktoratet for arbeidstilsynet
Direktoratet for forvaltning og IKT (DIFI)
Direktoratet for samfunnssikkerhet og beredskap
Domstoladministrasjonen
Finanstilsynet
Forbrukerombudet
Forbrukerrådet
Fylkesmennene
Konkurransetilsynet
Medietilsynet
Nasjonal kommunikasjonsmyndighet (Nkom)
Nasjonal sikkerhetsmyndighet (NSM)
Nasjonalbiblioteket
Norges Bank
Politidirektoratet
Politiets sikkerhetstjeneste (PST)
Regelrådet
Regjeringsadvokatembetet
Riksadvokatembetet
Riksarkivet
Skattedirektoratet
Statens arbeidsmiljøinstitutt STAMI
Statens Innkrevingssentral
Statens lånekasse for utdanning
Statens sivilrettsforvaltning
Statistisk sentralbyrå
Stortingets ombudsmann for forvaltningen (Sivilombudsmannen)
Sysselmannen på Svalbard
Teknologirådet
Toll- og avgiftsdirektoratet
Utdanningsdirektoratet
Utlendingsdirektoratet (UDI)
Økokrim
Senter for rettsinformatikk (SERI)
Universitetene
Advokatforeningen
Atradius
Assessment Global – Norsk verdivurdering AS
Bedriftsforbundet
Bilimportørenes Landsforening
Bisnode Norge AS
Civita
Creditsafe Norge AS
Den norske Dataforening
Den norske Dommerforening
EVRY Norge AS
Experian
Finans Norge
Forskningsstiftelsen FAFO
Frivillighet Norge
Hovedorganisasjonen Virke
Human Rights Alert Norway
ICJ Norge
IKT-Norge
Institutt for samfunnsforskning
Juridisk rådgivning for kvinner (JURK)
Juss-Buss
Jussformidlingen i Bergen
Jusshjelpa i Midt-Norge
Jusshjelpa i Nord-Norge
KO International AS
Kommunesektorens organisasjon (KS) (Kommunenes Sentralforbund)
Kredinor AS
Kredittfakta AS
Kredittopplysningen AS
Landkreditt Bank
Landsorganisasjonen i Norge (LO)
Landsrådet for Norges barne- og ungdomsorganisasjoner
Lederne
Lindorff AS
NORDMA
Norges forskningsråd
Norges Ingeniør- og Teknologiorganisasjon
Norges Juristforbund
Norges Rederiforbund
Norges miljø- og biovitenskapelige universitet
Norges Taxiforbund
Norsk Journalistlag
Norsk Presseforbund
Norsk Redaktørforening
Norsk samfunnsvitenskapelig datatjeneste
Norsk senter for informasjonssikring (NorSIS)
Norsk senter for menneskerettigheter
Næringslivets Hovedorganisasjon
Næringslivets Sikkerhetsorganisasjon
Næringslivets Sikkerhetsråd
Proff AS
Regnskapstall 1881 AS
SAMFO – Arbeidsgiverforening for samvirkeforetak
Sekretariatet for konfliktrådene
Sergel Norge AS
Sparebankforeningen i Norge
Telenor ASA
Telia Norge AS
Transportøkonomisk Institutt
UNIO Universitets og høyskoleutdannedes forbund
Yrkesorganisasjonenes Sentralforbund (YS)
Høringsfrist var 19. mars 2018. Ved høringsfristens utløp hadde departementet mottatt høringssvar med realitetsmerknader fra:
Finansdepartementet
Justis- og beredskapsdepartementet
Datatilsynet
Forbrukerrådet
Forbrukertilsynet
Fylkesmannen i Oslo og Akershus
Norges Bank
Regelrådet
Skatteetaten
Statistisk Sentralbyrå
Finans Norge
Finansieringsselskapenes forening
Norges Juristforbund
Norsk Journalistlag, Norsk Presseforbund og Norsk Redaktørforening (samlet, omtales i proposisjonen som presseorganisasjonene)
Norske kredittopplysningsbyråers forening
Thomas Henden
Virke Inkasso