20 Merknader til de enkelte bestemmelsene
20.1 Ny kredittopplysningslov
Til § 1 Saklig virkeområde
Første ledd slår fast at loven gjelder for utlevering og annen behandling av opplysninger om fysiske og juridiske personer som skjer som ledd i kredittopplysningsvirksomhet. Dette betyr samtidig at behandling av de samme opplysningene for andre formål ikke reguleres av denne loven, men skal følge de generelle reglene i personopplysningsloven og personvernforordningen, eller eventuell annen særregulering. Det fremgår også av bestemmelsen at loven bare gjelder så langt annet ikke er fastsatt i eller i medhold av lov. Med lov menes både lov om behandling av kredittopplysninger og annen lovgivning.
Det følger av bestemmelsen at loven gjelder behandling av opplysninger. Av definisjonen i § 3 bokstav f følger at behandling omfatter enhver operasjon som gjøres med opplysninger. Dette inkluderer utlevering av opplysninger. Det er likevel presisert at loven gjelder for utlevering av opplysninger, siden utlevering er hovedformålet med behandling av opplysninger i kredittopplysningsvirksomhet.
Lovforslaget gjelder kun behandling av opplysninger som ledd i kredittopplysningsvirksomhet, og gjelder således ikke deling av opplysninger internt i et foretak eller konsern dersom dette skjer utenfor rammene av kredittopplysningsvirksomhet. Tilsvarende bestemmelse i personopplysningsforskriften 2000 § 4-2 fremgår imidlertid ikke eksplisitt av lovforslaget. Heller ikke personopplysningsforskriften 2000 § 4-2 første ledd tredje punktum om at loven ikke gjelder utlevering av opplysninger til andre som driver kredittopplysningsvirksomhet foreslås inntatt i lovforslaget. Utveksling av opplysninger mellom to behandlingsansvarlige som skal benytte opplysningene i sin kredittopplysningsvirksomhet skjer ikke i den hensikt å belyse kredittevne. Slik utlevering faller derfor utenfor det saklige virkeområdet for lovforslaget. Det er den behandlingsansvarlige som utleverer kredittopplysningene til en mottaker med saklig behov jf. lovforslaget § 14 som faktisk benytter opplysningene i sin kredittopplysningsvirksomhet, og som skal overholde alle pliktene i lovforslaget. Lovforslaget viderefører gjeldende rett selv om de nevnte unntakene ikke fremgår uttrykkelig av lovforslaget.
Andre ledd inneholder en oversikt over visse typer utleveringer av opplysninger om økonomiske forhold som klart kan bidra til å belyse kredittevne, men der utgivelse likevel ikke skal regnes som kredittopplysningsvirksomhet. Dette er, i samsvar med bokstav a, for det første opplysninger om rettigheter i fast eiendom og løsøre når meldingen gis fra et offentlig register. Slike meddelelser og utleveringer er regulert av særlov, for eksempel lov om eigedomsregistrering (matrikkellova, 17. juni 2005 nr. 101) eller lov om tinglysing (tinglysingsloven, 7. juni 1935 nr. 2) med forskrifter. I disse tilfellene er det særreguleringen for det offentlige registeret som regulerer utlevering av opplysninger fra registeret. Kredittopplysningsforetakenes utlevering av tilsvarende opplysninger følger imidlertid reglene i kredittopplysningsloven.
I bokstav b fremgår det at avgivelse av meldinger til den registrerte ikke regnes som kredittopplysningsvirksomhet. Dette betyr for eksempel at det ikke gjelder gjenpartsplikt dersom det utleveres opplysninger til den registrerte selv på bakgrunn av en innsynsforespørsel. Av bokstav c og d fremgår at heller ikke Brønnøysundregistrenes behandling av lovpålagte registre, eller meldinger fra Løsøreregisteret om registrerte utleggstrekk eller «intet til utlegg» skal regnes som kredittopplysningsvirksomhet. Det betyr at heller ikke slike behandlinger skal tilpasses de særlige reglene i kredittopplysningsloven, men kan følge enten annen særregulering eller de generelle reglene i personopplysningsloven og personvernforordningen.
Til § 2 Geografisk virkeområde
Det følger av første ledd at loven omfatter behandling av opplysninger som skjer som ledd i aktivitetene ved virksomheten til en behandlingsansvarlig i Norge, uavhengig av om behandlingen finner sted i Norge eller ikke. Bestemmelsen er utformet etter samme prinsipp som tilsvarende bestemmelse i personopplysningsloven § 4 første ledd. «Virksomheten» skal forstås på samme måte som tilsvarende begrep i personopplysningsloven § 4, som igjen må forstås som en «establishment», jf. personvernforordningens fortalepunkt 22. Dette betyr blant annet at loven legger til grunn etableringslandsprinsippet, slik at den vil omfatte behandling av kredittopplysninger som skjer i som ledd i kredittopplysningsvirksomheten til en behandlingsansvarlig etablert i Norge.
Det er ikke avgjørende om opplysningene behandles i Norge eller et annet land. Også kredittopplysningsforetak som velger å foreta hele eller deler av behandlingen i et annet land, eller benytte en databehandler etablert i et annet land, skal følge reglene i loven.
Det følger av andre ledd at Kongen kan bestemme at loven helt eller delvis skal gjelde på Svalbard og Jan Mayen. Det vil være naturlig å se hen til den generelle personopplysningslovens virkeområde når kredittopplysningslovens anvendelse på Svalbard og Jan Mayen vurderes.
Det vises ellers til merknadene til personopplysningsloven § 4 første og fjerde ledd i Prop. 56 LS (2017–2018)
Til § 3 Definisjoner
Bestemmelsen definerer sentrale begreper som benyttes i loven.
I bokstav a defineres «personopplysning». Personopplysninger er opplysninger som kan knyttes til en fysisk person. Definisjonen er en speiling av tilsvarende definisjon i personvernforordningen artikkel 4 nr. 1, og skal forstås på samme måte som denne. Eventuelle nasjonale og europeiske tolkningsuttalelser om forståelsen av begrepet må legges til grunn også ved anvendelse av definisjonen i denne loven.
I bokstav b gis en kort definisjon av begrepet «kredittopplysning». En kredittopplysning er en opplysning som belyser den registrertes kredittevne. Bestemmelsen angir at behandling av opplysninger i kredittopplysningsvirksomhet skal legge grunnlag for vurdering av de registrertes evne til å håndtere (ytterligere) kreditt. Dette betyr for det første at kredittevne vil dekke begrepet «kredittverdighet» slik dette ble brukt i personopplysningsforskriften 2000 § 4-2.
Begrepet kredittevne skal også dekke innholdet i begrepet «økonomisk vederheftighet» som ble benyttet i personopplysningsforskriften 2000 § 4-2. En vurdering av noens økonomiske vederheftighet kan være aktuelt også i situasjoner der det ikke skal ytes kreditt. Dette kan for eksempel være i forbindelse med ansettelse i en stilling med betydelig økonomisk ansvar, ved vurdering av tildeling av offentlige tilskudd som forutsetter bruk av midler i samsvar med gitte retningslinjer, eller andre situasjoner der det kan være av stor betydning å vurdere noens generelle økonomiske situasjon eller pålitelighet. Kredittevne er således ment å omfatte både den registrertes betalingsevne og -vilje, og vedkommendes generelle økonomiske pålitelighet.
Definisjonen vil omfatte enhver opplysning som er egnet til å belyse kredittevne, uavhengig av om opplysningene direkte gjelder økonomiske forhold eller på annen måte direkte eller indirekte er egnet til å si noe om den registrertes evne til å håndtere kreditt.
Definisjonen omfatter opplysninger om både fysiske og juridiske personer. Begrepet «fysisk person» skal forstås på samme måte som i personopplysningsloven og personvernforordningen. Det er samtidig grunn til å presisere at enkeltpersonforetak i norsk rett ikke er å anse som juridiske personer. Spesielt for enkeltpersonforetak er at det drives for eiers regning og risiko, og at vedkommende har et ubegrenset personlig ansvar. Opplysninger om enkeltpersonforetak vil, på denne bakgrunn, være å anse som opplysninger om den fysiske personen som eier enkeltpersonforetaket. Alle andre typer sammenslutninger eller organisasjoner, enten de er offentlige eller private, vil være å anse som juridiske personer i kredittopplysningssammenheng.
En gjeldsopplysning er en særskilt type kredittopplysning. I henhold til bokstav c skal gjeldsopplysning i kredittopplysningsloven forstås på samme måte som i gjeldsinformasjonsloven, og definisjonen av begrepet viser til denne lovens definisjonsbestemmelse. Dette innebærer at forståelsen av begrepet «gjeldsopplysning» vil være avhengig av tolkning og anvendelse av tilsvarende begrep i gjeldsinformasjonsloven.
I bokstav d defineres begrepet kredittopplysningsvirksomhet. Kredittopplysningsvirksomhet er virksomhet som består i å utlevere kredittopplysninger i den hensikt å belyse noens kredittevne. Dette innebærer at innsamling og behandling av opplysninger som belyser kredittevne utelukkende for intern bruk hos den behandlingsansvarlige, ikke er å anse som kredittopplysningsvirksomhet. Det er en forutsetning at opplysningene skal utleveres for at behandlingen skal være omfattet av virksomhetsbegrepet i loven.
For at utleveringen skal anses som virksomhet må den dessuten ha et visst omfang. Bestemmelsen benytter samme formulering som inkassoloven § 2 første ledd, ved at utleveringen må skje ervervsmessig eller stadig. Bruk av begrepet «stadig» innebærer at utlevering må foregå med en viss regelmessighet. Kun leilighetsvis utlevering av opplysninger vil ikke være å anse som kredittopplysningsvirksomhet. Videre vil utleveringen anses for å har skjedd som ledd i kredittopplysningsvirksomhet dersom den skjer ervervsmessig, dvs. at den behandlingsansvarlige mottar en form for gjenytelse ved utlevering. Dersom dette er tilfellet, stilles det ikke krav om utleveringen skal skje «stadig».
Det vises for øvrig til merknaden i Ot.prp. nr. 2 (1987–88) til inkassoloven, der Finansdepartementet slutter seg til følgende uttalelse om begrepene fra Inkassolovutvalget i NOU 1983: 8 s. 93 uttaler:
«Med ervervsmessig menes bl. a. at virksomheten må ha et økonomisk siktemål og et preg av å være forretningsmessig organisert. Det er ikke nødvendig at inkassator mottar penger for sine tjenester, selv om dette vil være det vanlige. Også godtgjørelse i andre former omfattes. Det må kreves at virksomheten har et visst omfang. Dette følger både av virksomhetsbegrepet selv og av kravet om at virksomheten skal skje ervervsmessig. Her tenkes både på omsetningens størrelse, antall oppdrag og til en viss grad også på om virksomheten har kontinuerlig preg.
Det andre alternativet i annet ledd er inkassovirksomhet som drives til stadighet. Slik virksomhet vil altså være bevillingspliktig selv om den ikke er ervervsmessig. Utvalget har ikke ment at det skal stilles for strenge krav for at dette alternativet er oppfylt. På denne måten kan eventuelle forsøk på å omgå ervervsmessighetsvilkåret unngås.»
Bokstav e inneholder en definisjon av «kredittopplysningsregister». Definisjonen bygger på definisjonen av register i personvernforordningen artikkel 4 nr. 6. Et kredittopplysningsregister er et slikt register som definert i forordningen, og som benyttes i kredittopplysningsvirksomhet, jf. bokstav d. Både nasjonale og EU-rettslige fortolkninger av registerbegrepet vil være relevante for forståelsen av «kredittopplysningsregister».
I bokstav f defineres begrepet «behandling». Definisjonen er en gjengivelse av definisjonen av tilsvarende begrep i personvernforordningen artikkel 4 nr. 2, og skal forstås på samme måte som dette begrepet. Som for begrepet «personopplysning» vil både nasjonale og EU-rettslige fortolkninger måtte legges til grunn for forståelsen av begrepet.
I bokstav g er det inntatt en definisjon av begrepene kredittrating og kredittscore. Disse begrepene henspeiler på en matematisk beregnet poengsum eller en kode som angir den registrertes risikoprofil. Poengsummen eller koden predikerer den registrertes kredittevne basert på sammenlikning med andre registrerte med tilsvarende kjennetegn. Kredittrating eller kredittscore gir altså ikke et nøyaktig bilde av den registrerte basert på opplysninger om vedkommende. Derimot gir den en vurdering av vedkommendes sannsynlige kredittevne basert på erfaringer med andre registrerte med tilsvarende kredittprofil. I lovforslaget brukes både begrepene kredittrating og kredittscore om opplysninger om juridiske personer, mens kun kredittscore brukes i relasjon til fysiske personer. Begrepsbruken speiler begrepsbruken i bransjen.
Bokstav h gir en definisjon av begrepet inkassoforetak. Begrepet skal i bestemmelsen omfatte alle som kan drive inkassovirksomhet etter inkassoloven. Begrepet benyttes i lovforslaget der gjeldende rett benytter både begrepene «inkassoforetak» og «inkassator». Det ligger ingen realitetsendring i valg av ett begrep til erstatning for de to begrepene som benyttes i gjeldende rett.
Til § 4 Forholdet til personopplysningsloven og personvernforordningen
Bestemmelsen regulerer forholdet til personopplysningsloven og personvernforordningen for så vidt gjelder behandling av personopplysninger. Det følger av bestemmelsen at reglene i personopplysningsloven og personvernforordningen gjelder for all behandling av personopplysninger i kredittopplysningsvirksomhet med mindre noe annet er eksplisitt bestemt i kredittopplysningsloven. Dette betyr at de spesielle reglene i kredittopplysningsloven gjelder som supplement til de generelle bestemmelsene i personopplysningsloven og personvernforordningen. Det vil derfor være nødvendig for de behandlingsansvarlige å sette seg inn i og etterleve krav og plikter i begge regelsettene.
For behandling av kredittopplysninger om juridiske personer er utgangspunktet det motsatte. Verken personopplysningsloven og personvernforordningen gjelder for behandling av kredittopplysninger om juridiske personer med mindre det fremgår eksplisitt av kredittopplysningsloven. Utgangspunktet er således at det kun er bestemmelsene i kredittopplysningsloven som gjelder for behandling av kredittopplysninger om juridiske personer. Det fremgår likevel av enkelte av bestemmelsene i kredittopplysningsloven at utvalgte bestemmelser i personopplysningsloven og personvernforordningen får tilsvarende anvendelse ved behandling av opplysninger om juridiske personer. Dette gjelder blant annet enkelte av personvernregelverkets bestemmelser om rett til innsyn og informasjon.
Til § 5 Behandlingsansvarliges og databehandlers ansvar
Bestemmelsen angir at enkelte av personvernforordningens regler om den behandlingsansvarliges ansvar gjelder tilsvarende for kredittopplysningsforetakets behandling av opplysninger om juridiske personer. Bestemmelsene det vises til må leses og forstås i samsvar med uttalelser og praksis knyttet til personvernforordningen også når de gis anvendelse på behandling av opplysninger om juridiske personer.
For det første fremgår det at forordningen artikkel 24 om plikt til å iverksette tiltak for å ivareta informasjonssikkerhet og internkontroll skal gjelde. De krav forordningen setter til ivaretakelse av informasjonssikkerhet og internkontroll ved behandling av personopplysninger skal således gis tilsvarende anvendelse for kredittopplysningsforetakenes behandling av opplysninger om juridiske personer. Det følger av dette at de samme krav til informasjonssikkerhet og internkontroll gjelder for all behandling av opplysninger i kredittopplysningsvirksomhet.
Videre følger det at forordningens bestemmelser om felles behandlingsansvar i personvernforordningen artikkel 26 skal gis tilsvarende anvendelse ved behandling av kredittopplysninger om juridiske personer. Bestemmelsen pålegger de behandlingsansvarlige å ha klar fordeling av ansvar for oppfyllelse av lovens krav seg imellom. Dette kravet er like relevante ved behandling av opplysninger om juridiske personer som ved behandling av personopplysninger, og skal tolkes og anvendes på samme måte uavhengig av hvilken type opplysninger som behandles.
Personvernforordningen artikkel 28 om bruk av databehandler og databehandlerens rettigheter og plikter skal også gis anvendelse ved behandling av opplysninger om juridiske personer. Dette innebærer at databehandlere skal ivareta samme sikkerhet og samme konfidensialitet uavhengig av om det behandles opplysninger om fysiske eller juridiske personer. Også bestemmelsen i forordningen artikkel 29 om handlingsrommet til de ansatte hos den behandlingsansvarlige og databehandleren som kommer i befatning med kredittopplysninger skal gjelde ved behandling av opplysninger om juridiske personer.
Personvernforordningen artikkel 30 regulerer den behandlingsansvarliges og databehandlerens plikt til å føre protokoll over behandlingsaktivitetene. Slik protokoll vil kunne inngå som en naturlig del av virksomhetens internkontrollsystem, og være like nødvendig ved behandling av opplysninger om juridiske personer som ved behandling av opplysninger om fysiske personer.
Det bestemmes i kredittopplysningsloven § 28 at Datatilsynet skal føre tilsyn med all behandling av kredittopplysninger. For å lette dette arbeidet, er personvernforordningen artikkel 31 om samarbeid med tilsynsmyndigheten gitt tilsvarende anvendelse for behandling av opplysninger om juridiske personer.
Sist, men ikke minst, er bestemmelsene om ivaretakelse av informasjonssikkerhet i personvernforordningen artikkel 32, og om melding til både tilsynsmyndigheten og de registrerte ved eventuelle brudd på personopplysningssikkerheten i artikkel 33 og 34 gitt tilsvarende anvendelse ved behandling av opplysninger om juridiske personer som ved behandling av personopplysninger. Dette medfører at informasjonssikkerheten skal være den samme for all behandling av opplysninger i kredittopplysningsvirksomheten, og at meldeplikten ved eventuelle avvik også er uavhengig av om avviket gjelder opplysninger om fysiske eller juridiske personer.
Ved å gi de nevnte bestemmelsene i personvernforordningen lik anvendelse for all behandling av kredittopplysninger unngår man at kredittopplysningsforetakene innretter seg med ulike systemer og rutiner, og har ulikt ansvar, avhengig av hvilke opplysninger som behandles. Alle bestemmelsene skal anvendes på samme måte ved behandling av opplysninger om juridiske personer som de skal ved behandling av personopplysninger jf. personvernforordningen.
Til § 6 Opplysninger som kan behandles i kredittopplysningsvirksomhet
Bestemmelsen angir hvilke opplysningskategorier som kan behandles i kredittopplysningsvirksomhet. Bestemmelsen er ment å være en videreføring av rettstilstanden slik den lød etter personopplysningsforskriften 2000 kapittel 4 og konsesjoner meddelt av Datatilsynet i medhold av dette regelverket.
Det er rimelig å anta at det over tid vil kunne skje en endring i hvilke opplysninger som vurderes som relevante i kredittopplysningsvirksomheten. For å gi et mest mulig fleksibelt regelverk vil detaljert angivelse av opplysningstyper egne seg best for nærmere regulering i forskrift. Det vil derfor være hensiktsmessig å spesifisere de konkrete opplysningstypene nærmere i forskrift. I dette arbeidet vil det være naturlig å se hen til spesifiseringen av opplysningstyper i de tidligere konsesjonene samtidig som det også sees hen til hvilke kilder som tillates brukt i virksomheten.
Det følger av bestemmelsen at det skal være adgang til å behandle grunndata om både fysiske og juridiske personer. Som grunndata regnes opplysninger som kan identifisere den registrerte, herunder navn, fødselsnummer, organisasjonsnummer og bransjekoder. Også kontaktopplysninger og grunnleggende informasjon om juridiske personer fra offentlige registre vil være å regne som grunndata som kan brukes i kredittopplysningsvirksomheten. Slike opplysninger må, som all annen informasjon, hentes fra kilder med god datakvalitet for å sikre opplysningskvaliteten hos kredittopplysningsforetaket.
Videre angir bestemmelsen at det kan behandles kredittopplysninger om både fysiske og juridiske personer. Kredittopplysninger vil være opplysninger som sier noe om den registrertes kredittevne. Både gjeldende konsesjoner og lovens angivelse av hvilke kilder kredittopplysninger kan hentes fra, vil gi nyttig veiledning når det i forskrift skal spesifiseres hvilke opplysninger som er kredittopplysninger det er adgang til å behandle.
For fysiske personer vil opplysninger om skattefastsetting være en kredittopplysning som finnes for alle med skattbar inntekt, og denne opplysningen vil være grunnleggende i kredittopplysningssammenheng. Videre synes det klart at både frivillige heftelser og tvangsforretninger i fast eiendom og løsøre vil være relevante. Også opplysninger om inkassosaker/betalingsanmerkninger, og eventuelle rettskraftige dommer kan ha relevans i kredittopplysningsvirksomheten.
For fysiske personer kan det videre være relevant å registrere opplysninger om næringsinteresser og eventuell ilagt konkurskarantene, om utleggstrekk eller «intet til utlegg» etter tvangsfullbyrdelsesloven, og om åpning av gjeldsforhandlinger. Også opplysninger om hvorvidt en person er umyndiggjort kan være relevante opplysninger i kredittopplysningssammenheng, siden dette kan si noe om vedkommendes økonomiske handleevne.
Som kredittopplysninger om juridiske personer kan det være relevant å registrere flere av de samme opplysningskategoriene som for fysiske personer. I tillegg vil det kunne være relevant å behandle opplysninger om konkurs og akkord, om årsoppgjør og andre økonomiske forhold i selskapet som er tilgjengelig fra offentlig tilgjengelige kilder. Det kan dessuten være aktuelt å registrere og behandle opplysninger om aktuelle faktiske og økonomiske hendelser av betydning for kredittvurderingen. Dette er en opplysningstype som for eksempel kan hentes fra pressen. Dette vil imidlertid stille særlige krav til kontroll av kvaliteten på de innhentede opplysningene. Det følger dessuten av gjeldende konsesjoner for behandling av opplysninger i kredittopplysningsvirksomhet at opplysninger om nøkkeltall fra innleverte regnskap, kredittgrense, informasjon om bank- og forsikringsforbindelse og informasjon om betalte fakturaer kan benyttes i kredittopplysningsvirksomheten. Disse opplysningstypene vil det kunne være naturlig å vurdere å videreføre i forskrift.
Videre følger det av bestemmelsen at det også er adgang til å behandle gjeldsinformasjon fra gjeldsinformasjonsforetak. Denne opplysningskategorien er kun aktuell for fysiske personer som følge av at gjeldsinformasjonsloven kun omfatter registrering av opplysninger om «enkeltpersoner». Gjeldsopplysninger er opplysninger om en enkeltpersons gjeld eller ubenyttet kredittramme, som ikke er sikret ved registrert panterett i formuesgode som tilhører vedkommende, jf. lovforslaget § 3 bokstav c og gjeldsinformasjonsloven § 2 bokstav d. Opplysningene kan bare benyttes i samsvar med reglene i gjeldsinformasjonsloven.
Også det som i kredittopplysningsbransjen omtales som positive kredittopplysninger kan behandles i virksomheten. Dette kan for eksempel være eierskap i motorvogn.
Kredittopplysningsforetakene kan, som det fremgår, behandle opplysninger som innhentes utenfra. Samtidig kan foretaket generere opplysninger selv. Dette kan være rating, risikoprofil, kredittscore og eventuelle kredittvurderinger i prosatekst. Også slike opplysninger kan behandles i kredittopplysningsvirksomheten. For juridiske personer kan det, etter gjeldende rett, dessuten behandles opplysninger om historisk rating. Dette er opplysninger som kan si noe om utvikling av kredittevnen over tid, og det er naturlig at også denne opplysningstypen videreføres.
Angivelsen av opplysningskategorier er ikke å anse som uttømmende. Opplysningskategoriene i lovforslaget kan derfor suppleres eller på annen måte tilpasses i forskrift jf. lovforslaget § 29. Opplysningskategoriene kan blant annet spesifiseres for å klargjøre hvilke opplysningstyper som anses å falle i de ulike kategoriene.
Til § 7 Særlige kategorier av personopplysninger
Det følger av bestemmelsen at ingen av de opplysningstypene som er omfattet av behandlingsforbudet i personvernforordningen artikkel 9 nr. 1 kan benyttes i kredittopplysningsvirksomhet. Opplysningstypene samsvarer langt på vei med den type opplysninger som var klassifisert som sensitive personopplysninger etter personopplysningsloven 2000 § 2 nr. 8 bokstav a, c, d og e. Av pedagogiske hensyn er listen over opplysningstyper som nevnt i personvernforordningen artikkel 9 nr. 1 inntatt direkte i lovbestemmelsen. Henvisningen til den aktuelle bestemmelsen i personvernforordningen angir at begrepene i loven skal forstås på samme måte som de tilsvarende begrepene i forordningen. For så vidt gjelder begrepet rasemessig opprinnelse vises det til personvernforordningen fortalepunkt 51 som understreker at bruken av begrepet «ikke innebærer at Unionen godtar teorier som søker å fastslå at det finnes forskjellige menneskeraser». Begrepet er likevel inntatt i lovutkastet for å gi godt samsvar med personvernforordningens regler.
Opplysninger om seksuell orientering, rasemessige forhold, religiøs eller politisk oppfatning er åpenbart uten betydning for noens kredittevne. Med grunnlag i personvernforordningens generelle bestemmelse om at all behandling av personopplysninger skal være relevant og saklig begrunnet i virksomheten (personvernforordningen artikkel 5 nr. 1 bokstav c), vil de nevnte opplysningstypene ikke kunne behandles i kredittopplysningsvirksomhet. Det samme gjelder behandling av biometriske eller genetiske opplysninger for identifikasjonsformål. Når det gjelder helseopplysninger, vil det imidlertid kunne hevdes at dette er en opplysningstype som kan påvirke den registrertes kredittevne. Langvarig sykdom vil for eksempel kunne føre til nedsatt inntekt. Det vil imidlertid være opplysninger om selve inntekten, og eventuelle betalingsanmerkninger som følge av sviktende inntekt, som skal benyttes som grunnlag for vurdering av kredittevne. Helseopplysningene i seg selv skal ikke benyttes i kredittopplysningsvirksomhet.
Det oppstilles ikke unntak fra behandlingsforbudet i § 7 tilsvarende unntakene i personvernforordningen artikkel 9 nr. 2. Dette betyr at forbudet mot behandling av særlige kategorier av personopplysninger i kredittopplysningsvirksomhet er absolutt. Bestemmelsen innebærer en videreføring av gjeldende rett.
Til § 8 Opplysninger om straffedommer og lovovertredelser
Det følger av første ledd at det ikke er adgang til å behandle opplysninger om verken fysiske eller juridiske personers straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak i kredittopplysningsvirksomhet. Etter personopplysningsloven 2000 § 2 nr. 8 var opplysninger om hvorvidt noen har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling en sensitiv personopplysning som ikke kunne benyttes i kredittopplysningsvirksomhet. Denne opplysningstypen inngår ikke i oppregningen i personvernforordningen artikkel 9 nr. 1 over særlige kategorier av personopplysninger. Behandlingsforbudet i kredittopplysningsloven § 7 vil derfor ikke omfatte opplysninger om straffedommer og lovovertredelser. Samtidig inneholder personvernforordningen artikkel 10 en bestemmelse som setter klare begrensinger i adgangen til å behandle slike opplysninger.
Etter lovforslaget gjelder fremdeles et generelt forbud mot behandling av opplysninger om straffedommer og lovovertredelser i kredittopplysningsvirksomhet. Forbudet gjelder opplysninger om både fysiske og juridiske personer. Med grunnlag i personvernforordningen artikkel 10 vil behandling av opplysninger om straffedommer og lovovertredelser, eller tilknyttede sikkerhetstiltak, om fysiske personer trolig ikke kunne skje som ledd i kredittopplysningsvirksomhet. For å unngå tvil, og også for at behandlingsforbudet skal omfatte slike opplysninger om juridiske personer, er det inntatt en bestemmelse i første ledd som klargjør at det ikke er anledning til å behandle opplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak i kredittopplysningsvirksomhet. Begrepene «straffedommer», «lovovertredelser» og «tilknyttede sikkerhetstiltak» skal forstås på samme måte som de tilsvarende begrepene i personvernforordningen artikkel 10.
Enkelte typer lovovertredelser kan imidlertid ha særlig relevans i kredittvurderingssammenheng. I andre ledd er det derfor gjort et unntak fra hovedregelen i første ledd. Unntaket gjelder opplysninger om overtredelser av bestemmelser om bokføring og dokumentasjon av regnskapsopplysninger, årsregnskap, årsberetning eller regnskapsoppbevaring som er fastsatt i lov eller forskrift i medhold av lov inntatt i straffeloven (2005) §§ 392 til 394. Denne type overtredelser kan ha klar sammenheng med økonomisk uorden, og vil dermed kunne si noe om virksomhetens kredittevne. Fordi det dreier seg om næringsopplysninger, vurderer departementet personverntrusselen som begrenset samtidig som informasjonen vurderes som klart relevant i kredittvurderingssammenheng. Informasjonen om manglende utarbeidelse og innlevering av regnskap og årsberetning vil dessuten fremgå av Regnskapsregisteret i Brønnøysundregistrene, og er dermed en offentlig tilgjengelig opplysning fra myndighetenes side som kredittopplysningsforetakene kan innhente med grunnlag i lovforslagets bestemmelser om lovlige kilder og opplysningstyper.
Til § 9 Kilder
I første ledd er det inntatt en liste over kilder som kredittopplysningsforetakene kan hente opplysninger fra. Dette er både kilder som er åpne og inneholder offentlig tilgjengelig informasjon, og det er kilder som ikke er allment tilgjengelige. I det vesentlige viderefører bestemmelsen kildeangivelsen som finnes i de gjeldende konsesjonene for behandling av opplysninger i kredittopplysningsvirksomhet. Listen inntatt i lovforslaget er likevel noe mindre detaljert. Departementet legger til grunn at detaljering best vil kunne gjøres i forskrift, da dette gir noe større fleksibilitet enn lovregulering.
Bestemmelsen tar sikte på å videreføre de kildene som Datatilsynets konsesjoner har åpnet for å benytte i kredittopplysningsvirksomhet. Departementet legger til grunn at de kildene som ikke er eksplisitt videreført fra gjeldende konsesjonsregulering, faller inn under hovedkategorien «offentlig tilgjengelige kilder». Dette gjelder for eksempel Norsk lysingsblad og Brønnøysundregistrene. Når det gjelder grunndata om juridiske personer, som hittil er hentet fra registre hos SSB, bør disse i fremtiden hentes fra Brønnøysundregistrene. Registrene i Brønnøysund er offentlige registre med god kvalitet, og det er naturlig at all tilgengelig og relevant informasjon om juridiske personer hentes fra disse registrene.
Begrepet «offentlig tilgjengelige kilder» i første ledd nr. 1 er vidt, og kan omfatte flere ulike typer kilder. Det vil blant annet omfatte alle typer medier, og departementet mener det bør være adgang til å hente opplysninger både fra redaktørstyrte medier og medier uten redaktør. Det skal likevel bemerkes at kredittopplysningsforetakene er ansvarlige for å påse at den informasjonen de benytter i sin virksomhet er korrekt, og holder nødvendig kvalitet i forhold til formålet. Bruk av uriktige opplysninger kan føre til at kredittopplysningsforetaket pådrar seg erstatningsansvar for eventuelle feil. Det vil derfor være kredittopplysningsforetakets ansvar å forsikre seg om at den informasjonen som innhentes er korrekt, uavhengig om den hentes fra redaktørstyrte medier eller andre typer medier.
I første ledd nr. 2 videreføres adgangen til å hente opplysninger fra inkassoforetak. Jf. definisjonen av inkassoforetak i lovforslaget § 3 bokstav h omfatter begrepet inkassoforetak også andre som driver inkassovirksomhet i henhold til inkassoloven. Når det vurderes om en kilde lovlig kan benyttes i henhold til lovforslaget § 9 første ledd nr. 2 må det derfor legges avgjørende vekt på om virksomheten drives i henhold til inkassoloven.
Kilder for innhenting av eiendomsinformasjon er regulert i første ledd nr. 3. Opplysninger fra grunnboken har kredittopplysningsforetakene tidligere kunnet hente fra Statens kartverk eller Ambita AS. Nå er det åpnet for at flere kan inngå avtale med Statens kartverk om distribusjon av eiendomsinformasjon. Lovforslaget åpner derfor også for at kredittopplysningsforetakene kan velge å kjøpe eiendomsinformasjon fra en hvilken som helst distributør av eiendomsinformasjon jf. forskrift 18. desember 2013 nr. 1599 om utlevering, viderebruk og annen behandling av opplysninger fra grunnboken og matrikkelen.
Det følger av første ledd nr. 4 og 5 at kredittopplysningsforetakene kan inngå avtaler med Folkeregisteret om kjøp av grunndata og med Skattedirektoratet for kjøp av opplysninger om skattefastsetting.
I nr. 6 er det åpnet for innhenting av gjeldsopplysninger for fysiske personer fra gjeldsinformasjonsforetak. Hvilke opplysninger dette er, fremgår av lov om gjeldsinformasjon ved kredittvurdering av privatpersoner (gjeldsinformasjonsloven, lov 16. juni 2017 nr. 47).
Av nr. 7 fremgår det at det er adgang til å hente opplysninger fra den registrerte selv. Dette kan for eksempel være relevant der den registrerte bidrar med oppdaterte eller korrigerte versjoner av opplysninger, eller ber om å få registrert særskilte opplysninger om seg selv. Registrering og bruk av slike opplysninger forutsetter at opplysningene kan kvalitetssikres på samme måte som all annen informasjon som behandles i virksomheten.
I nr. 8 åpnes det for innhenting av opplysninger fra register over kredittsperrer. Det finnes ikke noe sentralt eller felles sperreregister. Bestemmelsen innebærer derfor at kredittopplysningsforetakene kan hente opplysninger fra sine interne registre over personer som har motsatt seg at kredittopplysninger om dem utleveres. Dersom ett eller flere kredittopplysningsforetak, eller eksterne tilbydere, beslutter å opprette registre over kredittsperrer og tilby tilgang til disse, vil kredittopplysningsforetakene kunne innhente opplysninger om kredittsperre fra slike registre.
I tillegg til kildeangivelsen i lovforslaget, kan det fastsettes nærmere regulering av lovlige kilder i forskrift, jf. § 29. I forskrift vil det for eksempel kunne fastsettes mer detaljerte regler om hva som anses som «offentlig tilgjengelige kilder» dersom erfaring skulle tilsi at det er behov for dette. Samtidig vil regulering i forskrift åpne for å fastsette nærmere regulering av hvilke opplysningstyper som kan innhentes fra hvilke kilder. Dessuten kan det i forskrift fastsettes at også andre kilder enn de som fremgår av lovforslaget kan benyttes i kredittopplysningsvirksomhet. Dette kan være særlig aktuelt dersom det besluttes å åpne for behandling av opplysningstyper som ikke er tilgjengelige fra de kildene som er angitt i lovforslaget.
I andre ledd er det inntatt en spesialbestemmelse som regulerer innhenting av opplysninger om konkurs, akkord og gjeldsforhandlinger. Denne type opplysninger kan få store konsekvenser for den registrerte enten den registrerte er en fysisk eller juridisk person. Det er derfor spesielt viktig for den registrerte at opplysningene er korrekte og oppdaterte. For å sikre at opplysningene er oppdaterte og holder tilfredsstillende kvalitet, følger det av bestemmelsen at slike opplysninger bare kan hentes fra Brønnøysundregistrene og Norsk lysingsblad. Disse kildene vil alltid være oppdaterte.
Til § 10 Inkassoopplysninger
Bestemmelsen om registrering og bruk av inkassoopplysninger om fysiske personer i første ledd innebærer en videreføring av gjeldende rett. Som inkassoopplysning regnes opplysninger fra et inkassoforetak om krav som drives inn i henhold til inkassoloven, og som inkassoforetaket har adgang til å utlevere til bruk i kredittopplysningsvirksomhet jf. inkassoloven § 28 andre ledd. Det følger av bestemmelsen at opplysninger om inkassokrav mot fysiske personer ikke kan brukes i kredittopplysningsvirksomhet før en måned etter at inkassoforetaket har sendt stevning eller begjæring om rettslige skritt i saken. Den registrerte vil ha fått flere purringer og anledninger til å gjøre opp kravet før det tas rettslige skritt for å drive inn gjelden. Når saken er kommet så langt at det tas rettslige skritt, og det så går en måned uten at skyldner gjør opp, fremstår det som rimelig at opplysningen kan legges til grunn ved vurdering av skyldners kredittevne.
Det fremgår videre av første ledd, andre punktum at dersom skyldner har inngått nedbetalingsavtale med inkassoforetaket, og bryter denne avtalen, gjelder ikke bruksbegrensningen i første punktum. Dette betyr at ved brudd på nedbetalingsavtale kan informasjon om inkassosaken brukes i kredittopplysningsvirksomheten så snart bruddet er et faktum. Videre følger det av tredje punktum at dersom betalingsavtalen gjenopptas, kan bruddet ikke registreres og benyttes som en særskilt betalingsanmerkning. Da anses det igjen å foreligge en betalingsavtale som er til hinder for at opplysningen om det midlertidige betalingsmisligholdet benyttes i kredittopplysningsvirksomhet. For å unngå at det oppstår vanskelige dokumentasjons- og bevissituasjoner, presiseres at bestemmelsen kun omfatter nedbetalingsavtaler gjort med inkassoforetaket.
Andre ledd presiserer tidspunktet for når opplysninger om inkassokrav mot juridiske personer kan benyttes i kredittopplysningsvirksomhet. For disse opplysningene gjelder at de ikke kan benyttes i kredittopplysningsvirksomheten før det er gått en måned fra inkassoforetaket sendte krav om inndrivelse av gjelden. Dette betyr at opplysninger om inkassosaken kan benyttes i kredittopplysningsvirksomheten en måned etter at inkassoforetaket har sendt betalingsoppfordring til skyldner. Inkassoopplysninger om juridiske personer kan således benyttes i kredittopplysningsvirksomhet på et tidligere tidspunkt enn tilsvarende opplysninger om fysiske personer.
I tredje ledd fremgår den praktisk viktige bestemmelsen om at flere inkassoopplysninger som knytter seg til samme krav, bare kan registreres som én sak, eller én betalingsanmerkning. Det er viktig både for fysiske og juridiske personer at de ikke stilles i et dårligere lys enn det som er reelt. Dette betyr at dersom det først er registrert en inkassosak, og det så faller rettskraftig dom i sak om det samme kravet, skal dommen registreres som en opplysning om samme krav som det underliggende inkassokravet. Ett krav skal således bare fremkomme som én betalingsanmerkning i kredittopplysningsregisteret.
Til § 11 Omtvistet fordring
Det følger av første ledd at inkassoopplysninger knyttet til fordringer som skyldner bestrider, ikke kan brukes i kredittopplysningsvirksomhet. Disse fordringene omtales som «omtvistede fordringer» i lovforslaget. Skyldner kan bestride fordringen frem til rettskraftig dom i saken foreligger. Det er i utgangspunktet skyldners subjektive forståelse av situasjonen som skal legges til grunn ved vurdering av om fordringen er å anse som omtvistet. Dette innebærer en videreføring av gjeldende rett.
Bestemmelsen stiller ingen formkrav til skyldners påstand om at en fordring er omtvistet. Det kan være praktisk at det fremlegges skriftlig dokumentasjon dersom dette finnes. Imidlertid må også en muntlig innsigelse anses tilfredsstillende.
I samsvar med ansvaret for opplysningskvalitet i lovforslaget § 20 andre ledd, er det den behandlingsansvarlige som er ansvarlig for og må påvise at en fordring ikke er omtvistet dersom den skal brukes i kredittopplysningsvirksomhet. Fordringen skal likevel ikke anses som omtvistet dersom skyldners innsigelser er åpenbart grunnløse. I vurderingen av om en innsigelse er åpenbart grunnløs kan det blant annet legges vekt på om påstanden fra den registrerte er i strid med skriftlig dokumentasjon.
Av bestemmelsens andre ledd fremgår det at en fordring ikke lenger er å anse som omtvistet når det foreligger tvangsgrunnlag etter tvangsfullbyrdelsesloven § 4-1. Tvangsfullbyrdelsesloven § 4-1 dekker både alminnelige og særlige tvangsgrunnlag, og er etter departementets vurdering dekkende for den type avgjørelser som vil kunne avslutte en prosess om hvorvidt en fordring er omtvistet eller ikke.
Det fremgår videre av andre ledd, andre punktum at en rettskraftig avgjørelse som fastslår et omtvistet krav, ikke kan brukes i kredittopplysningsvirksomheten dersom skyldner gjør opp kravet innen den betalingsfrist domstolen har fastsatt. Det skal være anledning til å bestride et krav, uten at dette skal få negative konsekvenser for vurderingen av den registrertes kredittevne. Forutsatt at kravet gjøres opp i henhold til den rettskraftige avgjørelsen, skal saken derfor ikke registreres og brukes i kredittvurderingen.
Til § 12 Kredittrating eller kredittscore av juridiske personer
Første ledd inneholder bestemmelsens hovedregel om at kredittrating eller kredittscore av juridiske personer bare kan bygge på opplysninger som gjelder den juridiske personen. Både kredittrating og kredittscore av juridiske personer gir et overordnet bilde av kredittverdighet, og er en skjematisk angivelse av kredittevnen uttrykt i en tall- eller bokstavkode. Departementet mener kredittrating og kredittscore av juridiske personer bør baseres på opplysninger om den juridiske personens økonomiske situasjon forutsatt at slike opplysninger er tilgjengelige.
For nystartede foretak vil det ta noe tid før det foreligger offentlig tilgjengelige regnskapstall som kan inngå som grunnlag ved beregning av kredittrating eller kredittscore. Manglende tilgang til opplysninger kan føre til at det ikke gis kreditt. For å unngå at nyetablerte foretak kommer i en vanskelig økonomisk situasjon frem til regnskapstall er tilgjengelige, åpner andre ledd for at kredittrating og kredittscore av juridiske personer i en perioden kan bygge på opplysninger om personer i ledende stillinger hos den juridiske personer. Dette betyr at for eksempel opplysninger om daglig leder, økonomiansvarlig eller styreleder kan legges til grunn ved beregning av kredittrating eller kredittscore for nyetablerte virksomheter. Dette betyr samtidig at så snart virksomheten har levert regnskap, og dette er tilgjengelig i Brønnøysundregistrene, er det denne informasjonen, sammen med eventuelle betalingsanmerkninger og andre opplysninger knyttet til selve næringsvirksomheten, som skal danne grunnlag for beregning av rating. Fra det tidspunktet regnskapstall er tilgjengelig, skal opplysninger om personer i ledende stillinger ikke lenger benyttes som grunnlag for kredittvurdering av den juridiske personen. Det er den behandlingsansvarlige for kredittopplysningsvirksomheten som må kunne påvise at opplysninger om personer i utvalgte ledende stillinger er relevante for kredittvurderingen.
Til § 13 Opplysninger om tidligere forespørsler
Bestemmelsen i § 13 er videreføring av gjeldende rett, og fastslår at opplysninger om tidligere forespørsler etter kredittopplysninger ikke kan brukes som grunnlag for kredittvurdering. Slik informasjon gir ingen sikre opplysninger om den registrertes kredittevne, men er bare en opplysning om at den registrerte har blitt kredittvurdert. Informasjon om at det har vært foretatt en forespørsel etter kredittopplysninger sier ikke noe om hvorvidt den registrerte har fått, og eventuelt akseptert, et kredittilbud. Informasjonen sier heller ikke noe om den eventuelle kredittens størrelse. Slik informasjon om hvor aktiv en registrert er i kredittmarkedet, bør ikke få konsekvenser for vurdering av vedkommendes kredittevne. Kredittvurderingen bør legge vekt på faktisk innvilget kreditt fremfor forespørsler om kredittopplysninger om vedkommende.
Til § 14 Utlevering av kredittopplysninger
Det følger av første ledd at kredittopplysninger bare kan utleveres til mottakere som har saklig behov for opplysningen. Bestemmelsen er en videreføring av gjeldende rett, og gjelder både ved utlevering av opplysninger om fysiske og juridiske personer. Vurdering av om det foreligger saklig behov skal knyttes til lovens saklige virkeområde i § 1 jf. § 3 bokstav d, det vil si vurdering av den registrertes kredittevne.
Saklig behov for kredittopplysninger vil for det første foreligge i situasjoner der det skal ytes kreditt, eller der mottaker av opplysningene på annen måte vurderer å påta seg en økonomisk risiko ved å inngå avtale med den registrerte. Departementet viser her til Personvernnemndas uttalelse i PVN-2006-03 der nemnda uttalte at det «ikke alltid [vil] være tilstrekkelig at det foreligger et kredittelement dersom den forretningsmessige risiko er lav og motsatt vil det ikke alltid være nødvendig med et kredittelement dersom den forretningsmessige risiko er høy». Denne uttalelsen legger på en god måte til rette for konkrete vurderinger av det saklige behovet for kredittopplysninger i den enkelte situasjon. Det er i regelverket ikke satt noen nedre beløpsgrense for når det kan foreligge saklig behov, og heller ikke satt noen begrensninger i type tjenester kreditten kan knyttes til. Det vil derfor være opp til kreditor og kredittopplysningsforetaket å vurdere om den risikoen kreditor påtar seg er av en slik art at den tilsier behov for kredittvurdering.
Gode kredittvurderinger kan ha stor betydning både for kreditor og skyldner. For kreditor er det av stor viktighet at skyldner kan betjene de økonomiske forpliktelsene vedkommende påtar seg, slik at kreditor unngår tap. For skyldner kan det også ha betydning at kreditor foretar en god kredittvurdering, og eventuelt fraråder eller nekter skyldner en kreditt vedkommende trolig ikke vil kunne betjene. Bestemmelsen skal legge til rette for at potensielle kreditorer har tilgang til nødvendig og riktig informasjon som grunnlag for sine kredittvurderinger.
Samtidig skal bestemmelsen bidra til å forhindre unødig spredning av opplysninger de fleste registrerte opplever som beskyttelsesverdige. Krav om saklig behov vil derfor bidra til å hindre snoking i økonomiske opplysninger.
Lovforslagets bestemmelse om saklig virkeområde sammenholdt med definisjonen av kredittopplysningsvirksomhet i lovforslaget § 3 bokstav d legger til grunn at kredittopplysningsvirksomhet har som formål å belyse de registrertes kredittevne. Begrepet kredittevne skal forstås slik at det omfatter både det som etter gjeldende rett omtales som betalingsevne og -vilje, og innholdet i begrepet økonomisk vederheftighet. I lys av dette, vil derfor saklig behov for kredittopplysninger også kunne foreligge i situasjoner ut over rene kredittsituasjoner. Bestemmelsens ordlyd åpner således for at det er adgang til å utlevere kredittopplysninger til mottakere som skal benytte opplysningene i en vurdering av den registrertes økonomiske situasjon, og denne vurderingen har nær og naturlig sammenheng med en aktivitet mottaker driver. Dette kan for eksempel være i forbindelse med ansettelse i stillinger der økonomisk orden er av stor betydning, herunder i stillinger der den registrerte vil få et betydelig økonomisk ansvar. Om ansvaret er så omfattende at det er saklig behov for å foreta kredittvurdering, må også her vurderes konkret. I en slik vurdering kan det blant annet legges vekt på stillingens art, hvor betydelig den økonomiske risikoen er og konsekvenser av ev. misligheter eller tap. Utlevering av kredittopplysninger kan også være aktuelt ved utleie av fast eiendom fordi den økonomiske risikoen for utleier kan være betydelig, jf. praksis fra Personvernnemnda (blant annet PVN-2017-12).
Også offentlige organer som tildeler tilskudd, eller i andre sammenhenger har behov for å forsikre seg om at en registrert har ordnet økonomi, vil kunne ha saklig behov for å vurdere kredittevne. For eksempel kan det være relevant å vurdere økonomien i en organisasjon, eller til sentrale personer i en organisasjon eller virksomhet, før det utbetales offentlige tilskudd. Tildeling av slike midler innebærer bruk av fellesskapets ressurser, og det er rimelig at det offentlige, så godt det lar seg gjøre, kan forsikre seg om at de som tildeles midler forvalter dem på en god måte. Bruk av kredittopplysninger i slike sammenhenger tilfredsstiller derfor kravet om at mottaker skal ha saklig behov for kredittopplysningene.
Samtidig åpner bestemmelsen ikke for utlevering av kredittopplysninger i situasjoner der mottaker av opplysningene ikke har saklig grunn til å foreta en økonomisk vurdering av den registrerte. Selv om en spørrer generelt kan ha saklig behov for kredittopplysninger, kan det likevel oppstå situasjoner der det ikke foreligger saklig behov. En slik situasjon er omtalt i Personvernnemndas vedtak PVN-2017-02, der en verkstedeier ikke ble ansett for å ha saklig behov for kredittopplysninger om en slektning når det verken forelå en reell kredittvurderingssituasjon eller andre forhold som innebar behov for kredittopplysninger. Hvorvidt det foreligger saklig behov for kredittopplysninger vil derfor måtte bero på en konkrete vurdering i den enkelte situasjonen. Det er kredittopplysningsforetaket som er ansvarlig for at det ikke utleveres kredittopplysninger i strid med kravet om saklig behov. Foretaket må derfor iverksette slike tiltak det mener er nødvendig for å kunne ivareta dette ansvaret. Blant annet vil det kunne være aktuelt å begrense adgangen til å foreta direkte oppslag i kredittopplysningsregisteret for spørrere som misbruker slik tilgang.
I andre ledd slås det fast at kredittopplysninger bare kan utleveres på grunnlag av søkekriterier som gir unike treff. Dette skal forhindre sammenblanding av registrerte, og utlevering av opplysninger om feil registrert. Unike treff kan best oppnås ved bruk av fullt fødselsnummer for fysiske personer eller organisasjonsnummer for juridiske personer. Slike unike identifikasjonsnumre skal derfor fortrinnsvis benyttes ved søk i kredittopplysningsregistre. Men også kombinasjon av andre søkekriterier, for eksempel navn og adresse, kan gis unike treff. Der kombinasjon av flere søkekriterier gir unike treff, kan slike benyttes. Dette betyr samtidig at det ikke er anledning til å utlevere lister med kredittopplysninger for eksempel på bakgrunn av rene navnesøk. Bestemmelsen innebærer en videreføring av gjeldende rett.
Det følger videre av tredje ledd at kredittopplysninger skal utleveres skriftlig. Det har tidligere også vært anledning til å utlevere kredittopplysninger muntlig. Av hensyn til opplysningskvalitet og etterprøvbarhet er muntlig utlevering av kredittopplysninger ikke en god løsning. Bestemmelsen slår derfor fast at all utlevering av kredittopplysninger skal foregå skriftlig. All elektronisk utlevering vil tilfredsstille skriftlighetskravet. Det samme vil en papirutskrift av de etterspurte opplysningene.
I tredje ledd, andre punktum slås det fast at privatpersoner ikke skal gis tilgang til direkte søk i kredittopplysningsregistre. Privatpersoner skal her ikke forstås på samme måte som regelverkets begrep «fysisk person». Begrepet fysisk person vil også omfatte enkeltpersonforetak i kredittopplysningssammenheng. Enkeltpersonforetak kan likevel ha behov for elektronisk tilgang til direkte søk i kredittopplysninger. Bestemmelsen er imidlertid bare ment å innskrenke privatpersoners adgang til å foreta direkte søk i kredittopplysningsforetakenes registre. Begrensningen er satt som følge av at fysiske personer i egenskap av å opptre som privatpersoner bare helt unntaksvis vil ha saklig behov for kredittopplysninger, for eksempel i forbindelse med utleie av bolig. Det er viktig å legge til rette for god kontroll med spørrers saklige behov for opplysninger, og å forhindre misbruk av kredittopplysninger. Departementet mener derfor at privatpersoner i situasjoner der de har saklig behov for kredittopplysninger, kan henvende seg til kredittopplysningsforetaket på annen måte enn ved direkte søk i kredittopplysningsregisteret.
Avgrensningen innebærer samtidig at alle andre enn fysiske personer i egenskap av å være privatperson, kan gis adgang til å etablere elektronisk tilgang til å foreta direkte søk i kredittopplysninger. Forutsetningen er at de kan påvise et saklig behov for kredittopplysninger. Adgangen til å foreta direkte søk i kredittopplysninger vil således være åpen for alle typer foretak og organisasjoner, både de som er juridiske personer og de som ikke er det, og for offentlige organer med saklig behov.
Fjerde ledd åpner for utlevering av kredittopplysninger i form av kredittrating eller kredittscore, og innebærer en videreføring av gjeldende rett. Både kredittrating og kredittscore bygger på en statistisk modell der informasjon om den registrerte sammenliknes med opplysninger om andre med tilsvarende kjennetegn. Slike modeller kan benyttes både for fysiske og juridiske personer. Bestemmelsen tillater slik statistisk beregning av kredittevne og utlevering av opplysningen som er resultatet av beregningen. Beregning av kredittrating eller kredittscore er en form for profilering av den registrerte. Slik profilering er definert i personvernforordningen artikkel 4 nr. 4. For så vidt gjelder modeller for beregning av kredittscore for fysiske personer, må disse, på samme måte som all behandling av personopplysninger, tilfredsstille de alminnelige kravene i personvernforordningen. Dette gjelder blant annet kravene til åpenhet og rettferdighet, noe som omtales nærmere i merknadene til § 18 om gjenpartsplikt.
Femte ledd åpner for kredittovervåking av juridiske personer. I henhold til denne bestemmelsen er det mulig å inngå avtaler om at mottaker skal få tilgang til opplysninger kredittopplysningsforetaket fremover blir kjent med. På denne måten åpnes det for løpende overvåking av kredittkunder som er juridiske personer. Bestemmelsen innebærer en videreføring av gjeldende rett. Tilsvarende kredittovervåking av fysiske personer er ikke tillatt.
Sjette ledd inneholder to unntak fra hovedregelen om at kredittopplysninger bare kan utleveres til mottakere som har saklig behov for opplysningene i samsvar med bestemmelsens første ledd. I sjette ledd bokstav a er det presisert at kravet om saklig behov for kredittopplysninger, ikke er til hinder for at opplysninger utleveres for bruk til journalistiske formål. Begrepet «journalistiske formål» skal forstås på samme måte som tilsvarende begrep i personopplysningsloven § 3 for så vidt gjelder utlevering av opplysninger om både juridiske og fysiske personer. Det vises til merknadene til personopplysningsloven § 3 i Prop. 56 LS (2017–2018). Det er viktig at pressen har tilgang til informasjon i sitt arbeid, og dette gjelder også kredittopplysninger. Det er ikke ønskelig å hindre pressens tilgang til kredittopplysninger for bruk til journalistiske formål. Samtidig påpeker departementet at kredittopplysningsforetakenes virksomhet ikke er ment å åpne tilgang for pressen til taushetsbelagte personopplysninger. Heller ikke etter gjeldende rett har pressen fri tilgang til taushetsbelagte personopplysninger fra kredittopplysningsforetakene for bruk i journalistisk virksomhet. For så vidt gjelder kredittopplysninger om fysiske personer, er det presisert at unntaket fra kravet om «saklig behov» derfor bare gjelder for utlevering av personopplysninger som pressen også kunne hentet fra en kilde som er offentlig tilgjengelig, men som pressen av praktiske årsaker ønsker å hente fra et kredittopplysningsforetak. Dette kan for eksempel være opplysninger om heftelser i fast eiendom og løsøre som er tilgjengelig fra Brønnøysundregistrene. Opplysninger om fysiske personers betalingsanmerkninger kan, med grunnlag i bestemmelsen, ikke utleveres til bruk i journalistisk virksomhet. Tilsvarende begrensning gjelder ikke for pressens tilgang til opplysninger om juridiske personer.
I sjette ledd bokstav b åpnes det for at kredittopplysninger, på begjæring, kan utleveres til Statistisk sentralbyrå, Norges Bank og Finanstilsynet for analyse-, overvåkings- og statistikkformål. Mottakerne kan bruke opplysningene utelukkende til de nevnte formålene. Dette innebærer at opplysningene i identifiserbar form kun er ment for intern bruk. Statistisk sentralbyrå, Norges Bank og Finanstilsynet har følgelig ikke anledning til å videreformidle kredittopplysningene i identifiserbar form til tredjeparter. Dette er likevel ikke til hinder for at kredittopplysninger som Norges Bank eller Finanstilsynet har innhentet, kan utveksles mellom Norges Bank og Finanstilsynet.
At kredittopplysningene er ment for intern bruk, er ikke til hinder for at det utarbeides og utleveres statistikk eller opplysninger som på annen måte er sammenstilt og aggregert slik at verken fysiske eller juridiske personer kan identifiseres. Statistisk sentralbyrå, Norges Bank og Finanstilsynet må behandle opplysningene i samsvar med kravene i personopplysningsloven, særlig § 8 og personvernforordningen, særlig artikkel 89. Blant annet skal opplysningene være omfattet av nødvendige garantier i samsvar med forordningen for å ivareta den registrertes rettigheter og friheter. For ordens skyld understrekes at begrensningen i adgang til å utlevere identifiserbare opplysninger til utenforstående ikke er til hinder for at Statistisk sentralbyrå, Norges Bank eller Finanstilsynet benytter ekstern databehandler som ledd i behandling av opplysningene. Utlevering av opplysninger til Statistisk sentralbyrå, Norges Bank og Finanstilsynet skal skje vederlagsfritt for mottakerne. Bestemmelsen i bokstav b er ny, og er ment å legge til rette for god informasjonstilgang i myndighetens arbeid med analyser og overvåking av utviklingen i kredittmarkedet.
Til § 15 Utlevering av gjeldsopplysninger
Bestemmelsen viser til gjeldsinformasjonsloven § 13, og angir at gjeldsopplysninger bare kan utleveres i samsvar med denne bestemmelsen. Med grunnlag i gjeldsinformasjonsloven § 13 gjelder det begrensinger både med hensyn til hvem gjeldsopplysninger kan utleveres til og i hvilken form de kan utleveres fra kredittopplysningsforetaket. Det vises ellers til merknadene til gjeldsinformasjonsloven § 13 i Prop. 87 L (2016–2017).
Bestemmelsen har utelukkende pedagogisk verdi.
Til § 16 Adgang til å motsette seg utlevering av kredittopplysninger (kredittsperre)
Etter første ledd skal den registrerte ha adgang til å motsette seg at opplysninger om vedkommende utleveres i kredittopplysningsvirksomhet (kredittsperre). Bestemmelsen tilsvarer det som i gjeldende rett er omtalt som «sperre mot kredittvurdering», og innebærer en videreføring av gjeldende rett. Retten til å registrere kredittsperre gjelder for både fysiske og juridiske personer, selv om retten trolig vil være mest praktisk for fysiske personer. For juridiske personer vil kredittsperre kunne skape enkelte utfordringer i samhandlingen med andre juridiske personer. Dette er imidlertid en risiko den registrerte selv må vurdere. Regelverket kan derfor praktiseres likt uavhengig av hvem den registrerte er.
Det følger av andre punktum at konsekvensen av å registrere en kredittsperre, er at det ikke vil bli utlevert opplysninger om vedkommende i kredittopplysningsvirksomheten. Ved forespørsel om kredittopplysninger om den registrerte, har kredittopplysningsforetaket kun adgang til å bekrefte at det er registrert en kredittsperre. De underliggende opplysningene vil være registrert, men kan ikke utleveres. Det kan heller ikke utarbeides og utleveres kredittrating eller kredittscore om registrerte som har registrert kredittsperre.
Av andre ledd fremgår det at registrert kredittsperre ikke er til hinder for at kredittopplysninger utleveres til banker, kreditt- eller finansieringsforetak for bruk i deres lovpålagte risikovurderinger, og til inkassoforetak. Banker, kreditt- og finansieringsforetak skal forstås på samme måte som i finansforetaksloven § 1-3 (1) bokstav a til c. Bestemmelsen innebærer for det første at de registrerte ikke kan hindre lovbestemt risikovurdering ved å registrere en frivillig kredittsperre. En slik ordning ville undergrave de lovpålagte pliktene til å foreta gode risikovurderinger, og vil kunne skape utfordringer i kredittmarkedet. For det andre kan en ordning med frivillig sperre ikke benyttes for å hindre inkassoforetak i å få tilgang til informasjon som er nødvendig i deres arbeid med inndriving av forfalt gjeld. Disse to gruppene mottakere har således et behov for kredittopplysninger som skiller seg fra alminnelige kredittytere, og det er etter departementets vurdering ikke naturlig at den registrerte selv skal kunne forhindre at de får tilgang til kredittopplysninger. Utlevering etter denne bestemmelsen kan bare skje for bruk til de formålene bestemmelsen omfatter, nemlig lovpålagt risikovurdering og inkassovirksomhet.
Tredje ledd pålegger den som ønsker å registrere eller oppheve en kredittsperre å legitimere seg med elektronisk ID. I dag har de aller fleste personer over 18 år en eller annen form for elektronisk ID. Kravet om autentisering ved bruk av elektronisk ID antas dermed ikke å utgjøre noe praktisk hinder for registrering av kredittsperre. Praksis er allerede i dag at de fleste kredittopplysningsforetakene benytter løsninger som krever innlogging med BankID for registrering av kredittsperre. Departementet tar ikke stilling til hvilken type elektronisk ID som skal benyttes ved registrering og oppheving av kredittsperre. Ulike typer elektronisk ID kan gi ulik grad av sikkerhet i løsningen. Det må være opp til kredittopplysningsforetakene selv å vurdere hvilken sikkerhet som er nødvendig, og dermed hvilken ID-løsning de vil benytte. For å ivareta nødvendig opplysningskvalitet, legger bestemmelsen opp til at det skal benyttes samme innloggingsløsning både for registrering og oppheving av kredittsperren.
Til § 17 Innsynsrett og informasjon til den registrerte
Bestemmelsen regulerer registrerte fysiske personers rett til informasjon og innsyn i enkelte særlige situasjoner, og registrerte juridiske personers rett til innsyn og informasjon generelt. Det følger av lovforslaget § 4 at personvernregelverkets alminnelige regler om innsyn og informasjon gjelder for registrerte fysiske personer. For en nærmere redegjørelse for disse bestemmelsene vises det til personvernforordningen, personopplysningsloven og Prop. 56 LS (2017–2018). Fordi personvernforordningens bestemmelser om behandling av opplysninger også omfatter alle registrerte enkeltpersonforetak, vil innsynsrett i samsvar med bestemmelsene i forordningen artikkel 12 til 15 også gjelde alle enkeltpersonforetak.
I § 17 første ledd presiseres det særskilt at registrerte fysiske personer har rett til å få informasjon om logikken bak en kredittscore og hvilken betydning kredittscoren kan ha for vurdering av vedkommendes kredittevne. Bestemmelsen i § 17 første ledd går noe lenger enn plikten til å gi informasjon etter forordningen artikkel 15 nr. 1 bokstav h, ved at plikten i § 17 første ledd gjelder for den behandlingsansvarlige for kredittopplysningsvirksomheten. Dette er ofte ikke den samme som den som fatter den automatiserte avgjørelsen om å innvilge eller avslå kreditt, og som har informasjonsplikt etter bestemmelsen i personvernforordningen. For å unngå tvil om kredittopplysningsvirksomhetens plikt til å gi innsyn i samsvar med personvernforordningen art. 15 nr. 1 bokstav h, er plikten presisert i § 17 første ledd i lovforslaget. Informasjonen som gis skal tilfredsstille kravene i personvernforordningen artikkel 15 nr. 1 bokstav h. Forståelsen av personvernforordningen artikkel 15 nr. 1 bokstav h, herunder om detaljeringsnivå på den informasjonen som skal gis, skal legges til grunn for utarbeidelse av informasjon om beregning av kredittscore. Informasjon om scoremodellen sammen med informasjon om hvilke opplysninger om den registrerte som er lagt inn i modellen, skal sette den registrerte i stand til å forstå grunnlaget for beregning av kredittscoren. Retten til informasjon om scoremodellen etter § 17 første ledd favner noe videre enn den plikten kredittopplysningsforetaket har til å gi informasjon om logikken bak kredittscoren i gjenpartsbrevet etter § 18 andre ledd nr. 6.
Reglene i personvernforordningen om innsyn og informasjon gjelder ikke for juridiske personer med mindre dette er eksplisitt fastsatt. Juridiske personer har ikke det samme behovet for innsyn og informasjon som fysiske personer. Samtidig kan det være av interesse også for juridiske personer å kunne skaffe seg informasjon om hvilke kredittopplysninger som utleveres om dem og som gir grunnlag for forretningsvilkårene de blir tilbudt. For at også juridiske personer skal kunne skaffe seg informasjonen om behandling av kredittopplysninger om dem, legger andre ledd opp til at de, på begjæring, skal ha rett til å få utlevert den informasjonen som fremgår av bestemmelsen om innsynsrett i personvernforordningen artikkel 15.
I tredje ledd fremgår en særbestemmelse om innsynsrett for både fysiske og juridiske personer. Bestemmelsen er en videreføring av gjeldende rett, og innebærer at de registrerte kan kreve å få vite hvilke opplysninger om dem som er utlevert de siste seks månedene, hvem opplysningene er utlevert til, og hvilke kilder opplysningene er hentet fra. Fysiske personer har rett til å motta gjenpart når det utleveres kredittopplysninger om dem. På denne måten får de god informasjon om utlevering av kredittopplysninger. Bestemmelsen i § 17tredje ledd vil derfor ha størst betydning for juridiske personer som ikke mottar gjenpart.
Bestemmelsen i tredje ledd åpner for at alle registrerte skal kunne henvende seg til kredittopplysningsvirksomheten og be om kopi av de opplysningene som er utlevert om dem de siste seks månedene, og hvilke kilder opplysningene er hentet fra. I tillegg skal det gis informasjon om hvem opplysningene er utlevert til. Denne informasjonen skal være så detaljert at den registrerte har mulighet til å vurdere om mottaker av opplysningene hadde saklig behov for dem. Dette betyr at i store konsern vil det ikke være tilfredsstillende å oppgi konsernets hovedkontor. Den enheten som har innhentet kredittopplysninger må spesifiseres, for eksempel ned til filial eller avdeling dersom dette er nødvendig og relevant.
Innsynsretten etter tredje ledd skiller seg fra den generelle innsynsretten etter personvernforordningen artikkel 15, ved at den gir rett til informasjon om hvilke opplysninger som er utlevert i en gitt periode bakover i tid (seks måneder). Dette kan være viktig informasjon for både fysiske og juridiske personer, og denne retten er derfor eksplisitt fastsatt i lovforslaget § 17 tredje ledd, som et supplement til den generelle innsynsretten i personvernforordningen artikkel 15 og lovforslaget § 17 andre ledd.
Det følger av bestemmelsens fjerde ledd at informasjon og innsyn skal gis uten kostnad for den registrerte. Dette er, for registrerte fysiske personer, i samsvar med reglene i personvernforordningen. For juridiske personer innebærer fjerde ledd en lovfesting av denne retten. Kredittopplysningsforetakene har som forretningsidé å tjene penger på salg av opplysninger. Informasjonssymmetri tilsier at de som berøres av denne virksomheten kostnadsfritt skal kunne få informasjon om hvilke opplysninger kredittopplysningsforetaket behandler om dem for formålet. Også juridiske personer skal derfor kunne benytte innsynsretten kostnadsfritt. Samtidig følger det av andre punktum at unntaket i personvernforordningen artikkel 12 nr. 5 skal gjelde. Dette unntaket innebærer at kredittopplysningsforetaket likevel kan ta et rimelig gebyr for å dekke administrative kostnader, eller nekte å etterkomme anmodningen, dersom begjæringer om innsyn og informasjon er åpenbart grunnløse eller overdrevne. Dette vil blant annet være tilfellet dersom de gjentas ofte. Bestemmelsen viser til personvernforordningen artikkel 12 nr. 5. Tolkningsuttalelser og praksis knyttet til denne bestemmelsen vil derfor måtte legges til grunn når kredittopplysningsforetakene anvender dette unntaket. Samtidig vil grensen for hva som er åpenbart grunnløse innsynsanmodninger kunne være ulik for fysiske og juridiske personer. Derfor vil blant annet den registrertes behov for informasjon måtte vurderes konkret dersom det oppstår spørsmål om innsynsanmodninger faller inn under unntaket i personvernforordningen artikkel 12 nr. 5.
Til § 18 Gjenpartsplikt
Det følger av første ledd at når kredittopplysningsforetaket utleverer en kredittopplysning skal det samtidig sende kopi, gjenpart eller annen type melding om innholdet til den registrerte. Dette omtales som gjenpartsplikt. Gjenpartsplikten gjelder kun ved utlevering av kredittopplysninger om fysiske personer. Plikten til å sende gjenpart innebærer at den registrerte skal motta samme informasjon som er utlevert til den som har bestilt kredittopplysninger. Dette er sentralt for at den registrerte skal vite hvilken informasjon som distribueres om vedkommende. Samtidig gir det et incitament til å kontakte kredittopplysningsforetaket om eventuelle feil eller mangler i de registrerte opplysningene. Gjenpartsbrevets øvrige innhold er presisert i andre ledd.
Gjenpartsplikten kan oppfylles både ved utsendelse av papirbrev i alminnelig post, eller ved utsendelse av elektronisk varsel. Ved bruk av elektroniske løsninger må kredittopplysningsforetaket påse at informasjonen sendes til rette vedkommende, og at gjenparten faktisk mottas av den registrerte.
Det følger videre av første ledd at gjenpart skal sendes vederlagsfritt til den registrerte. Dette betyr at det ikke kan være forbundet med noen form for kostnader for den registrerte å motta gjenpart. Bestemmelsen er en videreføring av gjeldende rett, men omfatter nå noen flere registrerte som følge av at alle enkeltpersonforetak er å anse som fysiske personer i kredittopplysningssammenheng.
Av andre ledd fremgår hvilken informasjon som skal finnes i gjenpartsbrevet i tillegg til kopi av de utleverte opplysningene. Det følger av andre ledd nr. 1 at identiteten og kontaktinformasjon til den behandlingsansvarlige og eventuelle representanter vedkommende benytter skal fremgå. Det vil være kredittopplysningsforetaket som er den behandlingsansvarlige. En representant kan for eksempel være en som har avtale med kredittopplysningsvirksomheten om å distribuere opplysninger på vegne av den behandlingsansvarlige, en slags forhandler. Navn og kontaktinformasjon både for den behandlingsansvarlig og eventuelle representanter skal fremgå tydelig av gjenpartsbrevet.
I samsvar med nr. 2 skal navn og kontaktinformasjon til kredittopplysningsforetakets personvernombud fremgå av gjenpartsbrevet. Dette gjelder kun i de tilfeller det er oppnevnt personvernombud. Hvorvidt det skal oppnevnes ombud må vurderes ut fra bestemmelsene i personvernforordningen artikkel 37. Kontaktinformasjon til personvernombudet er praktisk informasjon for den registrerte, fordi det gjerne vil være personvernombudet vedkommende henvender seg til om eventuelle feil, mangler eller spørsmål.
Gjenpartsbrevet skal, i henhold til nr. 3, også inneholde kildene opplysningene er hentet fra. Kildeangivelsen skal være så presis at den er mulig for den registrerte å etterprøve.
I nr. 4 fremgår det at gjenparten skal inneholde informasjon om hvem som har bestilt kredittopplysningen, det vil si hvem den er utlevert til. Dette er viktig informasjon for at den registrerte skal ha kontroll med flyt av opplysninger om seg selv. Samtidig er det grunnleggende informasjon for kontroll av om bestilleren har saklig behov for opplysningen. Bestillers identitet skal derfor angis så presis at det er mulig for den registrerte å kontrollere om bestilleren har saklig behov for opplysningene. Dersom bestilleren er et stort konsern, vil det være relevant å oppgi avdeling eller filial i gjenpartsbrevet. Kredittopplysningsforetaket må uansett lagre opplysninger om konkret hvilken bruker/terminal forespørselen er kommet fra, slik at dette kan kontrolleres på eventuell begjæring fra den registrerte.
Etter nr. 5 har den registrerte rett til å få kopi av de opplysningene som ligger til grunn for beregning av kredittscore, dersom slik kredittscore er utlevert.
Etter nr. 6 skal den registrerte dessuten få en forklaring på den underliggende logikken i beregningen av kredittscore/scoremodellen. Denne forklaringen skal være på et overordnet nivå, og sette den registrerte i stand til å forstå hovedprinsippene i scoreberegningen.
Sist, men ikke minst, skal gjenparten angi dato for når kredittvurderingen ble foretatt. Dette vil i de fleste tilfeller være samme tidspunkt som opplysningen ble utlevert. Plikten til å angi dato for kredittvurderingen fremgår av andre ledd nr. 7.
Det følger av tredje ledd at gjenpartsplikten er noe begrenset ved utlevering av kredittopplysninger til inkassoforetak. Inkassoforetak etterspør jevnlig opplysninger til bruk i vurdering av løpende inkassosaker. Det vil ikke være relevant for den registrerte å motta gjenpart hver gang inkassoforetaket kvalitetssikrer sine opplysninger. Det følger derfor av bestemmelsen at gjenpartsplikt ikke gjelder når kredittopplysninger utleveres til et inkassoforetak som tidligere har fått utlevert de samme opplysningene. Gjenpartsplikt ved utlevering av kredittopplysninger til inkassoforetak gjelder derfor bare første gang kredittopplysninger knyttet til inndrivelsen av en fordring utleveres. Deretter skal det sendes gjenpart bare når det utleveres nye eller endrede opplysninger om den registrerte for bruk i inkassoforetakets inndrivingsprosess. Nye eller endrede opplysninger kan for eksempel være opplysninger om at det har vært utvikling i en sak, og at skyldig beløp er endret. Det kan også være opplysninger om endret status i sak om åpning av gjeldsforhandlinger. Når slike endringer utleveres til inkassoforetak, skal det sendes gjenpart til den registrerte. Dersom inkassoforetak kun får bekreftet allerede innhentede kredittopplysninger til bruk i den samme inndrivelsesprosessen, er det derimot ikke nødvendig å sende gjenpart til den registrerte.
Til slutt følger det av fjerde ledd at det ikke gjelder gjenpartsplikt når kredittopplysninger utleveres til banker, kreditt- og finansieringsforetak til bruk i deres risiko- og soliditetsvurderinger. Banker, kreditt- og finansieringsforetak skal forstås på samme måte som i finansforetaksloven § 1-3 (1) bokstav a til c. Risiko- og soliditetsvurderinger er vurderinger der den enkelte registrerte ikke nødvendigvis er gjenstand for oppmerksomhet, men der opplysninger om den enkelte inngår i en større sammenheng og vurdering av institusjonens portefølje eller deler av den. I disse situasjonene vil opplysningene ikke bli brukt direkte overfor den enkelte registrerte, og gjenpartsbrev vil kunne virke mer forvirrende enn oppklarende. Unntak fra gjenpartsplikt for banker, kreditt- og finansieringsforetak gjelder utelukkende når opplysningene skal benyttes i arbeidet med risiko- og soliditetsvurderinger etter gjeldende regelverk. Når de samme institusjonene innhenter kredittopplysninger til andre formål, gjelder gjenpartsplikt jf. første og andre ledd.
De registrertes rett til innsyn og informasjon jf. § 17 gjelder ubegrenset også ved utlevering av opplysninger til bruk i risiko- og soliditetsvurderinger. De registrerte vil med grunnlag i § 17 tredje ledd kunne be om å få opplyst hvilke opplysninger som er utlevert om dem til banker og finansinstitusjoner de siste seks måneder, og på den måten skaffe seg tilgang til informasjon som ikke er omfattet av gjenpartsplikten.
Til § 19 Forhåndsvarsel til fysiske personer
Bestemmelsen om kredittopplysningsforetakets plikt til å sende forhåndsvarsel til en registrert fysisk person er en videreføring av gjeldende rett. Bestemmelsen får imidlertid et noe større nedslagsfelt ved at alle enkeltpersonforetak vil være å anse som fysiske personer etter regelverket.
Når den behandlingsansvarlige registrer nye kredittopplysninger om en fysisk person følger det av første ledd at det samtidig skal sendes kopi av opplysningene til den registrerte. Forutsetningen er at de nye opplysningene har betydning for vurdering av kredittevnen jf. lovforslaget § 3 første ledd bokstav b. Det er imidlertid vanskelig å tenke seg at det i kredittopplysningsvirksomhet vil bli registrert opplysninger som ikke har betydning for vurdering av kredittevnen. Dette kan eventuelt være navneendringer. Ut over dette må det antas at de opplysningene som registreres i kredittopplysningsregistre vil ha relevans for vurdering av den registrertes kredittevne.
I første ledd andre punktum fremgår hvilken informasjon forhåndsvarselet skal inneholde. For det første skal varselet inneholde de registrerte opplysningene. Dernest skal forhåndsvarselet inneholde den informasjonen som fremgår at personvernforordningen artikkel 14 om informasjon som skal gis til den registrerte når opplysninger ikke innhentes fra ham eller henne. Dette vil sikre den registrerte god informasjon om behandling av opplysninger om vedkommende i kredittopplysningsvirksomhet. Rekkevidden av bestemmelsen vil være den samme som for personvernforordningen artikkel 14, og det vises til praksis og tolkningsuttalelser knyttet til denne bestemmelsen.
Forhåndsvarsel skal sendes kostnadsfritt til den registrerte. Dette fremgår ikke eksplisitt av bestemmelsen. Dette må likevel legges til grunn, da plikten til å sende forhåndsvarsel er en lovpålagt plikt, og således ikke er noe den behandlingsansvarlige kan kreve at den registrerte dekker. Plikten til å sende forhåndsvarsel kostnadsfritt for den registrerte er en videreføring av gjeldende rett. Dersom det er praktisk mulig å gjennomføre, og kredittopplysningsforetaket kan forsikre seg om at varselet kommer frem til rette vedkommende, kan forhåndsvarsel sendes elektronisk.
Etter andre ledd gjelder plikten til forhåndsvarsling ikke ved registrering av opplysninger om skattefastsetting fra Skattedirektoratet, ved registrering av næringsinteresser hentet fra Brønnøysundregistrene, eller ved oppdatering av grunndata. Både opplysninger fra Skattedirektoratet og Brønnøysundregistrene forutsettes å være grundig kvalitetskontrollert hos kilden. Sannsynligheten for feil ved registrering hos kredittopplysningsforetaket synes derfor liten. Dette er dessuten opplysninger som vil være kjent for den registrerte etter dialog med den opprinnelige behandlingsansvarlige, og behovet for forhåndsvarsel fra kredittopplysningsforetaket synes mindre. Når det gjelder oppdatering av grunndata vil dette normalt skje fra Folkeregisteret. Kvaliteten i dette registeret forutsettes å være god. Kredittopplysningsforetakene skal legge folkeregistrert navn og adresse til grunn i sin virksomhet. Det vil således normalt ikke være behov for å rette grunndata hos kredittopplysningsforetaket. Samlet tilsier dette at det er unødvendig å sende forhåndsvarsel ved oppdatering av grunndata.
Videre følger det av tredje ledd at forhåndsvarsel heller ikke skal sendes når det registreres opplysninger om utlegg, utleggsforretninger eller tvangsforretninger. Forutsetningen er at den registrerte er varslet om at opplysningene vil bli benyttet i kredittopplysningsvirksomhet i forbindelse med utsendelse av namsboken. I slike tilfeller antas den registrerte å være tilfredsstillende varslet. Eventuelle feil i namsboken bør dessuten kommuniseres til namsmannen, og ikke til kredittopplysningsforetaket. Nytt forhåndsvarsel fra kredittopplysningsforetaket synes derfor unødvendig.
Til § 20 Retting av uriktige opplysninger
Av første leddførste punktum fremgår det at registrerte fysiske personer skal oppfordres til å be om retting av uriktige opplysninger som fremgår av forhåndsvarsel de har mottatt jf. § 19. Oppfordringen om å be om retting skal fremgå av forhåndsvarselet. Den registrerte skal oppfordres til å fremsette anmodning om eventuell retting innen 14 dager fra forhåndsvarsel er mottatt. Mange, men ikke alle forhåndsvarsler sendes elektronisk til den registrerte. Elektroniske varsler vil anses mottatt når de er tilgjengelige i den registrertes elektroniske postkasse. For de forhåndsvarslene som sendes i ordinær post, må alminnelig leveringstid ved normal postgang legges til grunn ved vurdering av når forhåndsvarselet skal anses mottatt. Det følger av andre punktum at i denne 14-dagersperioden kan de nyregistrerte kredittopplysningene ikke brukes i kredittopplysningsvirksomheten. 14-dagersfristen fungerer i så måte som en sperrefrist for bruk av opplysningene i virksomheten. Samtidig betyr ikke dette at de registrerte mister sin rett til å kreve rettet feil eller mangler etter 14-dagersperioden. Slike rettekrav kan den registrerte fremsette når som helst.
Videre følger det av første ledd tredje punktum at sperrefristen i andre punktum ikke gjelder for bruk av opplysninger om åpning av gjeldsforhandlinger eller konkurs. Disse opplysningene antas å ha god kvalitet idet de kommer fra et offentlig register. Dessuten har de grunnleggende betydning for vurdering av de registrertes rett til å påta seg nye betalingsforpliktelser. Det er derfor forutsatt at de kan brukes i kredittopplysningsvirksomheten så snart de er registrert og forhåndsvarsel er sendt.
Den behandlingsansvarlige skal alltid påse at de opplysningene som behandles er korrekte, og har et ansvar for å rette eventuelle feil og mangler. Kredittopplysningsforetakets ansvar følger av andre ledd. Av denne bestemmelsen fremgår det at den behandlingsansvarlige skal sørge for, og kunne påvise, at opplysningene som benyttes er korrekte. Følgelig må de til enhver tid ta hensyn til innvendinger eller anmodninger om retting som mottas fra den registrerte, og foreta en grundig vurdering av om eventuelle innsigelser skal hensyntas. Dersom den behandlingsansvarlige velger å benytte opplysninger i kredittopplysningsvirksomheten på tross av innsigelser fra den registrerte, må den behandlingsansvarlige kunne påvise at opplysningene er korrekte. Plikten til å sørge for, og kunne påvise, at opplysningene er korrekte, er den samme som plikten som følger av personvernforordningen artikkel 5 nr. 1 bokstav d jf. nr. 2, og gjelder også for behandling av opplysninger om juridiske personer.
Det vil ofte være i den registrertes interesse å dokumentere en påstand om at en opplysning ikke er korrekt. Dersom den registrerte ikke fremlegger dokumentasjon, vil det likevel være den behandlingsansvarlige som er ansvarlig for, og som skal kunne påvise, at de registrerte opplysningene er korrekte. Dokumentasjon fra den registrerte vil således bidra til å lette arbeidet for den behandlingsansvarlige. Mangel på dokumentasjon fra den registrerte kan imidlertid ikke tolkes slik at det fritar den behandlingsansvarlige fra ansvar. Det vises for øvrig til merknaden til lovforslaget § 11 første ledd.
Bestemmelsen i § 20 fastsetter ikke hvordan den registrerte skal fremsette krav om retting eller påstand om feil. Bestemmelsen har imidlertid en klar likhet med bestemmelsen i personvernforordningen artikkel 16 om retting. For krav om retting gjelder prosedyrereglene i personvernforordningen artikkel 12. For behandling av kredittopplysninger om fysiske personer gjelder personvernforordningen artikkel 16 jf. artikkel 12 i tillegg til bestemmelsene i § 20. Departementet legger derfor til grunn at prosedyrereglene i personvernforordningen artikkel 12 også vil danne grunnlag for hvorledes krav om retting etter § 20 skal fremsettes. Det følger blant annet av artikkel 12 nr. 2 at den behandlingsansvarlige skal legge til rette for at de registrerte skal kunne utøve sine rettigheter etter blant annet artikkel 16.
I mangel av tilrettelagte kanaler for tilbakemelding, må det forutsettes at kredittopplysningsforetaket håndterer tilbakemeldinger og krav om retting i den formen de får dem. Samtidig må de forsikre seg om at tilbakemeldingen kommer fra rette vedkommende, og også at opplysningene er korrekte før de benyttes i kredittopplysningsvirksomheten. På samme måte som når den registrerte påstår at en fordring er omtvistet, jf. § 11, vil det kunne være hensiktsmessig å oppfordre til at krav om retting fremsettes skriftlig for å sikre etterprøvbarhet.
Til § 21 Brukstid
Hovedregelen om brukstid for kredittopplysninger i første ledd er at registrerte kredittopplysninger ikke kan benyttes i kredittopplysningsvirksomheten lenger enn fire år fra opplysningene første gang lovlig ble registrert. Bestemmelsen er en videreføring av gjeldende rett. Det følger av ordlyden at det ikke bare er utlevering, men også all annen behandling av kredittopplysningene som ledd i kredittopplysningsvirksomhet, som er begrenset av fireårsregelen. Også bruk av opplysninger i beregning av kredittrating eller kredittscore skal følge fireårsregelen. Det er dato for første gangs registrering av en sak som skal danne grunnlag for beregning av brukstiden. Dette betyr at dersom en sak endrer karakter, for eksempel fra inkassosak til rettssak, er det tidspunktet da inkassosaken første gang lovlig ble registrert, som danner utgangspunkt for fristberegningen.
I andre ledd finnes en spesialbestemmelse om tidligere sletting eller retting av enkelte opplysninger. Det følger av bestemmelsen at opplysninger som slettes eller rettes hos den opprinnelige kilden for opplysningene før det er gått fire år, også skal slettes eller rettes i kredittopplysningsregisteret. Retting eller sletting kan for eksempel være aktuelt dersom det viser seg at opplysningene har vært registrert på feil person, eller dersom det har vært registrert uriktige beløp. Sletting i denne sammenheng betyr at opplysningene ikke lenger kan behandles, herunder utleveres, i kredittopplysningsvirksomheten. Opplysningene kan imidlertid overføres til historisk arkiv, jf. lovforslaget § 25. Det følger av bestemmelsen i andre ledd at opplysningene skal rettes eller slettes hos kredittopplysningsforetaket så snart den behandlingsansvarlige får kjennskap til at opplysningene er rettet eller slettet hos kilden. Dette innebærer at den behandlingsansvarlige må ha rutiner for å rette eller slette opplysningene så snart kredittopplysningsforetaket blir gjort kjent med endringen, enten direkte fra sin kilde eller på annen måte. Bestemmelsen er en naturlig konsekvens av kravet til opplysningskvalitet.
Til § 22 Fordring med lengre brukstid
Enkelte opplysninger er av natur av en slik art at de har relevans for vurdering av kredittevne ut over den generelle fireårsgrensen. Slike opplysninger bør kunne brukes i kredittopplysningsvirksomhet ut over fireårsperioden. Bestemmelsene i lovforslaget § 22 er en videreføring av gjeldende rett.
I første ledd slås det fast at tvangsforretninger i fast eiendom og løsøre kan brukes i kredittopplysningsvirksomheten så lenge de er registrert i det relevante offentlige registeret. Dette betyr at så lenge opplysningen er registrert i det offentlige registeret, er det ikke nødvendig for kredittopplysningsforetaket å foreta en vurdering av om opplysningen er relevant. Samtidig betyr det at dersom heftelsen bortfaller før det er gått fire år, skal saken anmerkes som oppgjort i kredittopplysningsregisteret.
Av andre ledd følger at opplysninger om fordringer som ikke kan tvangsinndrives, kan benyttes i to fireårsperioder. Det er imidlertid en forutsetning at kreditor tar nye rettslige skritt i saken. Når det tas nye rettslige skritt, innebærer dette at kreditor vil forsøke å inndrive sitt krav, og at det således fremdeles er en forpliktelse som påhviler den registrerte og påvirker vedkommendes kredittevne. Opplysningene vil derfor ha betydning for kredittvurderingen ut over den opprinnelige fireårsperioden.
Til § 23 Gjeldsordning
Opplysninger om åpning av gjeldsforhandlinger eller registrert gjeldsordning vil være viktig informasjon i kredittvurderingssammenheng. Opplysningene om åpning av gjeldsforhandlinger kan ha ulik verdi avhengig av utfallet av forhandlingene. I bestemmelsens første ledd angis ulike slettefrister for opplysninger om åpnet gjeldsforhandling avhengig av resultatet av forhandlingene. Opplysninger om åpnet gjeldsforhandling kan maksimalt benyttes i kredittopplysningsvirksomheten i ett år. Opplysningen skal likevel slettes tidligere dersom visse forhold inntreffer på et tidligere stadium.
For det første følger det av bokstav a at opplysningen skal slettes dersom forhandlingene om gjeldsordning heves i samsvar med reglene i gjeldsordningsloven § 3-7. I disse tilfellene foreligger det omstendigheter som er til hinder for at det etableres en gjeldsordning, og det vil være åpenbart at forhandlingene ikke vil føre frem. I slike tilfeller kan opplysningen om åpnet gjeldsforhandling ikke brukes i kredittopplysningsvirksomheten etter at det er konstatert at det ikke er grunnlag for å komme frem til en ordning, og forhandlingene er hevet.
Etter bokstav b skal opplysning om åpnet gjeldsforhandling slettes når en gjeldsordning er fastsatt. Med «fastsatt» gjeldsordning menes gjeldsordning som enten er vedtatt av kreditorene eller stadfestet av retten. Når gjeldsordning er fastsatt er det informasjon om den etablerte gjeldsordningen som skal benyttes i kredittopplysningsvirksomheten, og ikke opplysning om åpning av gjeldsforhandlinger. For å unngå dobbeltregistrering, med de negative konsekvensene det kan få for den registrerte, skal derfor opplysning om åpnet gjeldsforhandling slettes hos kredittopplysningsforetaket når gjeldsordningen er fastsatt.
Til slutt følger det av bokstav c at opplysning om åpning av gjeldsforhandling skal slettes dersom gjeldsforhandlingsperioden avsluttes uten at det er mottatt melding fra Løsøreregisteret om at en gjeldsordning er fastsatt. Dette gjelder både der gjeldsforhandlingene avsluttes etter normal gjeldsforhandlingsperiode, og der perioden forlenges. Gjeldsforhandlingsperioden kan under ingen omstendighet vare i mer enn ett år, jf. gjeldsordningsloven § 5-1 femte ledd. Dette betyr at også i situasjoner der gjeldsforhandlingsperioden forlenges, vil slettetidspunktet inntre senest ett år etter at gjeldsforhandlingene ble åpnet.
For ordens skyld er den maksimale brukstiden for opplysninger om åpnet gjeldsforhandling presisert i andre ledd. Der fremgår det klart at opplysning om åpnet gjeldsforhandling under ingen omstendighet kan brukes i kredittopplysningsvirksomheten lenger enn ett år fra det tidspunktet gjeldsforhandlinger ble åpnet. Det er altså ikke registreringstidspunktet hos kredittopplysningsforetaket som er avgjørende for brukstiden, men det tidspunktet forhandling ble registrert åpnet. Dersom det skulle skje at opplysning om åpning av gjeldsforhandling ikke er slettet i samsvar med første ledd, vil sletting etter andre ledd således senest inntre når det er gått ett år fra åpningen ble registrert i Løsøreregisteret jf. gjeldsordningsloven § 7-1 første ledd første punktum.
I tredje ledd reguleres brukstid for opplysninger om registrert gjeldsordning. Opplysninger om inngått gjeldsordning i samsvar med gjeldsordningsloven § 7-1 kan være av stor betydning for kredittvurderingen i hele den perioden gjeldsordningen varer. Blant annet er det etter gjeldsordningsloven § 3-5 begrensninger i skyldners adgang til å stifte ny gjeld i gjeldsordningsperioden. Informasjon om gjeldsordningen vil derfor være av avgjørende betydning for den registrertes kredittevne. Det følger av bestemmelsen i tredje ledd at opplysninger om inngått og registrert gjeldsordning kan brukes i kredittopplysningsvirksomheten i hele gjeldsordningsperioden. Dette er et unntak fra hovedregelen i lovforslaget § 21 om at opplysninger bare kan benyttes i kredittopplysningsvirksomhet i inntil fire år fra den dato de første gang ble lovlig registrert.
Til § 24 Fordring som er oppgjort
Det følger av bestemmelsen at når en fordring er oppgjort, skal den omgående slettes fra kredittopplysningsregisteret. At forholdet er oppgjort betyr at skyldner ikke lenger skylder penger i henhold til den underliggende betalingsforpliktelsen. At opplysninger ikke lenger skal brukes i kredittopplysningsvirksomhet når forholdet er oppgjort, vil kunne virke som et incitament for den registrerte til å gjøre opp for seg. Dette gjelder særlig for de med en enkeltstående inkassosak.
Det fremgår av bestemmelsen at når gjelden er nedbetalt/oppgjort, skal opplysninger om saken ikke lenger behandles i kredittopplysningsvirksomhet. Dette betyr at opplysningen ikke lenger kan utleveres som ledd i eller benyttes som beslutningsgrunnlag i kredittopplysningsvirksomheten. Den må da slettes fra kredittopplysningsregisteret som brukes i den løpende kredittopplysningsvirksomheten. Opplysningen kan samtidig overføres til historisk arkiv, se merknader til lovforslaget § 25.
Bestemmelsen åpner ikke for å gjøre unntak fra hovedregelen om brukstid/sletting i lovforslaget § 21. Dette betyr at fordringer knyttet til saker som enda ikke er avsluttet fire år etter at de første gang ble registrert i kredittopplysningsregisteret, likevel må slettes eller overføres til historisk arkiv. Dette innebærer en videreføring av gjeldende rett.
Til § 25 Historisk arkiv
Det følger av første ledd at opplysninger som ikke lenger kan brukes i kredittopplysningsvirksomheten i samsvar med bestemmelsene i lovforslaget §§ 21 til 24 kan overføres til historisk arkiv. Dette arkivet kan ikke benyttes i kredittopplysningsvirksomheten, men kun tjene som dokumentasjon for ev. fremtidige krav om erstatning på grunnlag av feil, eller for intern analyse og tjenesteutvikling. Det historiske arkivet vil være en egen behandling av opplysninger, og all behandling av personopplysninger må derfor følge de alminnelige reglene i personopplysningsloven og personvernforordningen.
I andre ledd er det presisert at opplysningene i det historiske arkivet ikke kan behandles i identifiserbar form lenger enn behandlingsformålet tilsier. Bestemmelsen er, for så vidt gjelder behandling av personopplysninger, en presisering av det som ellers følger av personvernforordningen artikkel 5 nr. 1 bokstav c og e. For så vidt gjelder behandling av opplysninger om juridiske personer i det historiske arkivet, har bestemmelsen i andre ledd selvstendig betydning. Når det ikke lenger er behov for opplysninger i identifiserbar form, skal de enten slettes eller anonymiseres.
Den maksimale lagringstiden på ti år er en videreføring av gjeldende rett. Bestemmelsen om sletting dersom behandlingsformålet ikke tilsier videre lagring på identitet, innebærer en innstramming for så vidt gjelder opplysninger om juridiske personer. Disse opplysningene kunne tidligere, med grunnlag i konsesjon fra Datatilsynet, lagres i inntil ti år uten nærmere vurdering av om dette var i samsvar med behandlingsformålet. Nå må kredittopplysningsforetaket imidlertid foreta vurdering av lagringstiden opp mot behandlingsformålet, og slette eller anonymisere opplysningene når formålet ikke lenger tilsier lagring på identitet. For så vidt gjelder behandling av personopplysninger innebærer bestemmelsen en videreføring av rettstilstanden etter personopplysningsloven 2000 og konsesjoner gitt i medhold av denne.
Sletting eller anonymisering skal uansett skje når det er gått ti år fra opplysningene første gang ble registrert. Slettefristen regnes fra det tidspunktet opplysningen første gang lovlig ble registrert for bruk i kredittopplysningsvirksomheten. Tidspunktet for overføring til den historiske databasen, påvirker således ikke slettefristen.
Til § 26 Opphør av virksomhet
Det følger av bestemmelsen at dersom kredittopplysningsvirksomheten opphører, skal opplysningene slettes. Dersom den behandlingsansvarlige beslutter å legge ned deler av kredittopplysningsvirksomheten, skal de opplysningene som er knyttet til denne delen av virksomheten slettes. Dette kan for eksempel være tilfellet dersom kredittopplysningsforetaket behandler opplysninger om både fysiske og juridiske personer, og beslutter å legge ned den delen av virksomheten som gjelder behandling av personopplysninger. I så fall skal opplysningene om fysiske personer, som ikke lenger vil være nødvendige i virksomheten, slettes.
Med sletting menes at opplysningene skal tilintetgjøres slik at de ikke kan rekonstrueres. Dette skal gjøres på en sikker måte slik at uvedkommende ikke kan skaffe seg tilgang til opplysningene. Det er den behandlingsansvarlige som er ansvarlig for at slettingen gjøres forsvarlig. Dette gjelder også i tilfeller der selve behandlingen skjer hos en databehandler.
Datatilsynet har, etter lovforslaget § 28 jf. personvernforordningen artikkel 58, kompetanse til å fatte pålegg om sletting av opplysninger ved opphør av virksomhet. Dette kan være aktuelt dersom virksomheten legges ned, men uten at den behandlingsansvarlige selv tar initiativ til å slette registrerte kredittopplysninger, herunder historisk arkiv.
Til § 27 Overtredelsesgebyr, tvangsmulkt og erstatning
Det følger av bestemmelsen at overtredelser av alle bestemmelser i kredittopplysningsloven kan sanksjoneres i samsvar med utvalgte bestemmelser i personvernforordningen og personopplysningsloven.
For det første slår bestemmelsen fast at reglene i personvernforordningen artikkel 82 om erstatning skal gjelde tilsvarende. Dette betyr at rett til erstatning som etter personvernforordningen gjelder for registrerte fysiske personer, også gjelder for registrerte juridiske personer. Bestemmelsen inneholder dessuten henvisning til personopplysningsloven § 30 som gir erstatningsreglene i personvernforordningen artikkel 82 tilsvarende anvendelse for skade av ikke-økonomisk art (oppreisningserstatning). Behandling og utlevering av uriktige kredittopplysninger kan få alvorlige konsekvenser for de registrerte, og føre til både økonomisk tap og omdømmetap. Erstatning for så vel økonomisk som ikke-økonomisk tap kan derfor være aktuelt både for registrerte fysiske og juridiske personer. Bestemmelsen om erstatning skal tolkes og forstås på samme måte som bestemmelsen i forordningen for så vidt gjelder behandling av opplysninger om både fysiske og juridiske personer. Tolkning og rettspraksis knyttet til forordningen artikkel 82 vil derfor være relevant ved anvendelse av bestemmelsen også i kredittopplysningssammenheng.
Videre følger det av bestemmelsen at reglene om overtredelsesgebyr i personvernforordningen artikkel 83 nr. 5 skal gjelde tilsvarende for overtredelser av kredittopplysningsloven. Bestemmelsen skal gjelde ved overtredelse av reglene om behandling av opplysninger om både fysiske og juridiske personer. Praksis knyttet til både ileggelse og utmåling av overtredelsesgebyr etter personopplysningsloven i andre sammenhenger vil være relevant også når reglene skal anvendes i kredittopplysningssammenheng.
Samtidig vil det åpenbart være ulike hensyn som gjør seg gjeldende ved overtredelse av reglene om behandling av personopplysninger og ved overtredelse av reglene som gjelder behandling av kredittopplysninger om juridiske personer. Juridiske personer vil i mange sammenhenger ikke ha det samme behovet for vern som fysiske personer, og konsekvensene av regelbrudd kan være mindre alvorlige enn de vil oppleves for fysiske personer. Juridiske personer vil også lettere enn fysiske personer kunne håndtere utfordringer forbundet med uriktig behandling av kredittopplysninger. Dette gir grunnlag for å tilpasse reaksjonene etter hvem som er skadelidt i saken. Allerede etter gjeldende rett er det praksis for å reagere mildere ved overtredelser som gjelder virksomhetsrelaterte opplysninger enn overtredelser som gjelder personopplysninger. Det følger dessuten av personvernforordningen artikkel 83 nr. 2 bokstav a at overtredelsens alvorlighetsgrad skal tillegges vekt når overtredelsesgebyr ilegges. Mange av de øvrige momentene som etter forordningen artikkel 83 skal tillegges vekt ved vurdering av om, og i hvilken størrelsesorden, administrative sanksjoner skal ilegges, vil kunne innebære mildere sanksjoner når den registrerte/skadelidte er en juridisk person. Det vil innenfor rammene av personvernforordningen være opp til Datatilsynet, Personvernnemnda og domstolene å fastsette rimelige reaksjoner som tar hensyn til de ulike vurderingskriteriene i forordningen artikkel 83.
Datatilsynet har etter regelverket ikke noen plikt til å ilegge sanksjoner eller benytte tvangsmulkt ved brudd på reglene om behandling av opplysninger i kredittopplysningsvirksomhet. Det er derfor opp til Datatilsynet å vurdere om og i hvilket omfang overtredelser skal sanksjoneres.
For det tredje viser bestemmelsen til sanksjonsreglene i personopplysningsloven §§ 26 til 30. I samsvar med personopplysningsloven § 26 kan også overtredelse av behandlingsforbudet i personvernforordningen artikkel 10 og overtredelser av bestemmelsen om den behandlingsansvarliges ansvar i artikkel 24 sanksjoneres med overtredelsesgebyr etter personvernforordningen artikkel 83 nr. 4. Sanksjoner etter denne bestemmelsen er noe mildere enn etter artikkel 83 nr. 5. Både overtredelse av forbudet mot å behandle opplysninger om straffedommer og lovovertredelser i forordningen artikkel 10, og unnlatelse av å ivareta ansvaret for informasjonssikkerhet og internkontroll i artikkel 24 er alvorlige overtredelser ved behandling av opplysninger i kredittopplysningsvirksomhet. Både Datatilsynet og domstolene bør derfor ha mulighet til å reagere på slike overtredelser. Samtidig bemerker departementet at for så vidt gjelder forbudet mot å behandle opplysninger om straffedommer og lovovertredelser følger dette også av lovforslaget § 8. Henvisningen i § 28 til personopplysningsloven § 26 får derfor selvstendig betydning bare i relasjon til overtredelse av personvernforordningen § 24.
Personopplysningsloven §§ 26 og 27 er prosessuelle regler om oppfyllelsesfrister og domstolsprøving i saker om overtredelsesgebyr, og om foreldelse av Datatilsynets adgang til å ilegge gebyr. Henvisningen innebærer at de nevnte reglene i personopplysningsloven skal gis tilsvarende anvendelse for overtredelser og overtredelsesgebyr i kredittopplysningsvirksomhet.
Personopplysningsloven § 29 gir Datatilsynet en adgang til å ilegge tvangsmulkt for å fremtvinge etterlevelse av pålegg gitt i medhold av loven. Bestemmelsen er gitt tilsvarende anvendelse for eventuelle vedtak Datatilsynet fatter etter kredittopplysningsloven.
Til § 28 Tilsyn og klage
Bestemmelsen slår fast at personvernforordningen artikkel 55 til 58 og personopplysningsloven §§ 20 til 25 gjelder tilsvarende for tilsyn og klage etter forslaget til kredittopplysningslov. Datatilsynets tilsynskompetanse er den samme som etter personopplysningsloven § 20 og personvernforordningen artikkel 55 til 58. Dette betyr at Datatilsynet skal ha samme kompetanse til å føre tilsyn, etterspørre opplysninger og fatte vedtak om pålegg ved behandling av opplysninger i kredittopplysningsvirksomhet som for annen behandling av personopplysninger som er omfattet av personopplysningsloven og personvernforordningen. Rekkevidden av kompetansen skal være den samme for behandling av opplysninger om juridiske personer som for behandling av personopplysninger.
Datatilsynet skal ha tilgang til opplysninger i sin tilsynsvirksomhet etter kredittopplysningsloven tilsvarende det som følger av personopplysningsloven § 23. Dette innebærer at Datatilsynet skal gis tilgang til all informasjon tilsynet ber om som ledd i tilsynet med etterlevelse av loven. Hensikten med å vise til personopplysningsloven § 23 i tillegg til personvernforordningen artikkel 58, er at den norske loven eksplisitt angir at Datatilsynet skal ha tilgang til taushetsbelagte opplysninger. Dette betyr at kredittopplysningsforetak, eller deres databehandlere, ikke kan unndra seg tilsyn og kontroll under henvisning til at de opplysningene Datatilsynet etterspør er taushetsbelagte. Bestemmelsen skal ellers forstås på samme måte ved tilsyn med behandling av opplysninger i kredittopplysningsvirksomhet som ved behandling av personopplysninger generelt.
Datatilsynets vedtak etter loven kan påklages til og behandles av Personvernnemnda. Personvernnemndas kompetanse er den samme som etter personopplysningsloven § 22. Dette betyr at nemnda kan prøve alle sider av Datatilsynets vedtak etter kredittopplysningsloven.
Personvernnemnda skal ha samme tilgang til opplysninger når nemnda behandler saker etter kredittopplysningsloven som når den behandler saker etter personopplysningsloven. Bestemmelsen henviser til personopplysningsloven § 23 om Personvernnemndas tilgang til opplysninger, og gir denne tilsvarende anvendelse. Nemndas tilgang til opplysninger skal være uhindret av taushetsplikt, på samme måte som for Datatilsynet. Rekkevidden av nemndas tilgang til opplysninger i kredittopplysningssaker må forstås på samme som i saker etter personopplysningsloven.
Dersom det tas ut søksmål knyttet til tilsynsvirksomheten etter kredittopplysningsloven opptrer Datatilsynet som part i saken på samme måte som tilsynet kan opptre som part i saker som gjelder tilsynsvirksomheten etter personopplysningsloven § 25 første ledd. Tilsvarende er det staten ved Personvernnemnda som er rette saksøkte i saker som gjelder gyldigheten av nemndas vedtak. Bestemmelsen skal praktiseres på samme måte og ha samme rekkevidde som den tilsvarende bestemmelsen i personopplysningsloven § 25 andre ledd.
Til § 29 Forskrifter
Flere av bestemmelsene i loven bør suppleres med forskrifter for å gi et fullstendig og fleksibelt regelverk. Dette gjelder blant annet lovens regler om hvilke opplysninger som kan behandles i virksomheten, og hvilke kilder opplysningene kan hentes fra. Første ledd gir Kongen adgang til å gi forskrift om disse og andre forhold i loven som bør spesifiseres i forskrift. Forskriftene kan blant annet både utvide og presisere oversikten over opplysningstyper og kilder opplysningene kan hentes fra.
I medhold av andre ledd kan Kongen fastsette bestemmelser om dekning av kostnader forbundet med tilsyn etter loven. Dette vil særlig være aktuelt for så vidt gjelder tilsyn med kredittopplysningsforetakenes behandling av opplysninger om juridiske personer, som ikke vil være dekket av tilsvarende bestemmelse i personopplysningsloven § 20 fjerde ledd. Det vises for øvrig til merknadene til denne bestemmelsen i Prop. 56 LS (2017–2018).
Til § 30 Ikrafttredelse
Det følger av bestemmelsen at loven trer i kraft fra den tid Kongen bestemmer. Forskrift om overgangsregler om behandling av personopplysninger 15. juni 2018 nr. 877 § 4 viderefører forskriftsbestemmelsene og konsesjonene som gjaldt for behandling av kredittopplysninger etter personopplysningsloven 2000. Overgangsbestemmelsen er ment å ha tidsbegrenset varighet i påvente av ny lov om behandling av opplysninger i kredittopplysningsvirksomhet. Denne bestemmelsen vil derfor bli opphevet samtidig som den nye loven trer i kraft.
20.2 Endringer i annen lovgivning
Til endringen i lov 7. juni 1935 nr. 2 om tinglysing
Tinglysingsloven § 34 a tredje ledd åpner for utlevering av opplysninger om utleggstrekk og intet til utlegg til bruk i kredittopplysningsvirksomhet. Bestemmelsen åpnet tidligere for å utlevere denne type opplysninger til «kredittopplysningsbyrå». Ved ikrafttredelse av ny kredittopplysningslov vil dette begrepet ikke benyttes i reguleringen av kredittopplysningsvirksomhet. I stedet brukes begrepene «behandlingsansvarlig» og «kredittopplysningsvirksomhet». For å unngå tvil om henvisningen i tinglysingsloven, er begrepsbruken i tinglysingsloven endret slik at den samsvarer med begrepsbruken i forslaget til kredittopplysningslov. Bestemmelsen er formulert slik at opplysninger kan utleveres til bruk i virksomhet som drives i samsvar med kredittopplysningsloven. Endringen i ordlyd medfører ikke endringer i praksis.
Til endringen i lov 13. mai 1988 nr. 26 om inkassovirksomhet og annen inndriving av forfalte pengekrav
Inkassoopplysninger er sentrale opplysninger i kredittopplysningsvirksomhet. Inkassoloven § 28 andre ledd legger til rette for at opplysninger kan utleveres til bruk i slik virksomhet. Tidligere viste loven til at opplysninger kunne utleveres til kredittopplysningsvirksomhet som ble drevet i samsvar med personopplysningsloven. Når ny kredittopplysningslov trer i kraft skal kredittopplysningsvirksomhet drives i samsvar med særreguleringen i kredittopplysningsloven. Den endrede ordlyden i inkassoloven innebærer at opplysninger fra inkassovirksomhet kan utleveres til kredittopplysningsvirksomhet som drives i samsvar med kredittopplysningsloven. Endringen viderefører praksis ved at de som ønsker tilgang til inkassoopplysninger for bruk i kredittopplysningsvirksomhet må drive virksomhet i samsvar med gjeldende sektorregelverk.
Til endringen i lov 3. juni 1994 nr. 15 om Enhetsregisteret § 22
Endringen i § 22 andre ledd tredje punktum er gjort for å bringe bestemmelsen i samsvar med kredittopplysningsloven. Endringen medfører ingen endring i praksis, men er en konsekvens av at Datatilsynet, når kredittopplysningsloven trer i kraft, ikke lenger ha vil kompetanse til å godkjenne avtaler om tilgang til data som ledd i utstedelse av konsesjoner for behandling av personopplysninger. Oppheving av konsesjonsplikten er i samsvar med de generelle personvernreglene. Den endrede ordlyden innebærer at fødselsnummer og D-nummer fra Enhetsregisteret fremdeles vil kunne utleveres til intern bruk i kredittopplysningsvirksomhet, selv om mottaker ikke har inngått avtale om informasjonstilgang som er godkjent av Datatilsynet. Forutsetningen er at kredittopplysningsvirksomheten drives i samsvar med kredittopplysningsloven. Endringen i bestemmelsens ordlyd er ikke ment å innebære endringer i praksis.
Til endringene i lov 16. juni 2017 nr. 47 om gjeldsinformasjon ved kredittvurdering av privatpersoner
Til § 2 bokstav c
Gjeldsinformasjonsloven § 2 bokstav c definerer kredittopplysningsforetak. Begrepsbruken i bestemmelsen er endret for å gi samsvar med begrepsbruken i kredittopplysningsloven. Gjeldsinformasjonsloven angir nå at kredittopplysningsforetak er foretak som driver kredittopplysningsvirksomhet i samsvar med kredittopplysingsloven. Dette innebærer at de bestemmelsene i gjeldsinformasjonsregelverket som gir særskilte rettigheter til kredittopplysningsforetak, bare omfatter foretak som etterlever reglene i kredittopplysningsloven. Endringen i bestemmelsens ordlyd er av rent teknisk karakter, og er en konsekvens av at kredittopplysningsreglene fastsatt i medhold av personopplysningsloven 2000 er opphevet, og ikke lenger gir behandlingsgrunnlag i kredittopplysningsvirksomhet. Endringen innebærer ingen endring i praksis.
Til § 19 Forholdet til personopplysningsloven og kredittopplysningsloven
Gjeldsinformasjonsloven § 19 omhandler forholdet til annet regelverk som gjelder behandling av personopplysninger. For klarere å angi hvilket regelverk det siktes til, er bestemmelsens tittel endret slik at den ikke viser generelt til «regelverket om personopplysninger», men i stedet konkret viser til personopplysningsloven. Dette gir et klarere regelverk, og mindre rom for tvil om hvilke regler bestemmelsen sikter til. Endringen i paragraftittelen er dessuten i samsvar med ordlyden i første ledd, som direkte henviser til personopplysningsloven.
Hensikten med registrering av gjeldsinformasjon er å legge til rette for bedre kredittvurderinger av privatpersoner. For å utnytte dette potensialet, kan det være behov for særlige tilpasninger mellom regelverkene i forskrift. § 19 andre ledd viser derfor både til personopplysningsloven og kredittopplysningsloven. Dette gir departementet mulighet til å fastsette nærmere regler i forskrift om forholdet både til personopplysningsloven og kredittopplysningsreglene.