3 Bør det fastsettes nasjonale regler om behandling av personopplysninger i kredittopplysningsvirksomhet?
3.1 Gjeldende regulering av kredittopplysningsvirksomhet
Kredittopplysningsvirksomhet er, etter personopplysningsforskriften § 4-2 første ledd, virksomhet som består i å belyse enkeltpersoners og virksomheters betalingsevne og -vilje. Tidligere fantes det rettslige grunnlaget for å fastsette nærmere bestemmelser om behandling av personopplysninger i kredittopplysningsvirksomhet i personopplysningsloven 2000 § 3 fjerde ledd andre punktum. I medhold av denne bestemmelsen har kredittopplysningsvirksomhet vært regulert i personopplysningsforskriften kapittel 4 og konsesjoner fra Datatilsynet med hjemmel i personopplysningsloven 2000 §§ 34 og 35, jf. personopplysningsforskriften § 4-5.
De generelle reglene i personopplysningsloven 2000 gjaldt for behandling av opplysninger i kredittopplysningsvirksomhet med mindre noe annet var bestemt i personopplysningsforskriften. I samsvar med personopplysningsforskriften § 4-1 andre ledd gjelder reglene om kredittopplysningsvirksomhet også for behandling av kredittopplysninger om andre enn enkeltpersoner, det vil si om juridiske personer. All behandling av personopplysninger måtte ha et rettslig grunnlag i personopplysningsloven 2000 § 8, og eventuelt § 9 dersom det ble behandlet sensitive personopplysninger. Departementet legger til grunn at behandling av kredittopplysninger har skjedd med grunnlag i personopplysningsloven 2000 § 8 første ledd bokstav d, det vil si utførelse av en oppgave av allmenn interesse.
Det er etter gjeldende rett ikke adgang til å behandle verken person- eller næringsopplysninger i kredittopplysningsvirksomhet uten tillatelse fra Datatilsynet. Tillatelse til behandling av opplysninger i kredittopplysningsvirksomhet er gitt som standardkonsesjoner, slik at alle virksomheter som har konsesjon til å behandle opplysninger i kredittopplysningsvirksomhet, har likelydende konsesjoner. Konsesjonene regulerer hvilke opplysninger som kan behandles, hvilke kilder de kan innhentes fra, hvordan og til hvem de kan utleveres, slettefrister, og når og på hvilken måte informasjon skal gis til de registrerte. Standardkonsesjonen er inntatt som vedlegg til denne proposisjonen.
Det er departementets erfaring at dagens regelverk har fungert tilfredsstillende. I det følgende vil det likevel bli vurdert om det er ønskelig å gjøre endringer i de eksisterende reglene, og om det er behov for å supplere de gjeldende reglene med nye bestemmelser. Samtidig vil departementet vurdere om videreføring av eksisterende bestemmelser er i samsvar med krav i personvernforordningen og personopplysningsloven.
3.2 Regulering av kredittopplysningsvirksomhet i enkelte andre land
Flere andre europeiske land har frem til nå hatt særregler om kredittopplysningsvirksomhet. Sverige har hatt en egen lov om kredittopplysningsvirksomhet, kreditupplysningslagen 1973:1173. Det samme har Finland, se kreditupplysningslagen 11.05.2007/527. Den danske persondataloven 31.05.2000 nr. 429 hadde regler om kredittopplysningsvirksomhet i kapittel 5 og 6. Disse regelsettene omfattet også langt på vei behandling av kredittopplysninger om juridiske personer. Også i Storbritannia har personvernregelverket, nærmere bestemt Data Protection Act fra 1998, inneholdt regler om kredittopplysningsvirksomhet.
3.2.1 Sverige
Det svenske Justitiedepartementet la 6. mars 2018 frem proposisjon 2017/18:120 Kreditupplysningslagen och dataskyddsförordningen, om hvordan kredittopplysningsreglene kan tilpasses personvernforordningen. Det ble anbefalt å videreføre den svenske kredittopplysningsloven fra 1973 med de tilpasninger som er nødvendige for å imøtekomme forordningens krav. Blant annet ble det foreslått å videreføre regler om gjenpartsplikt, begrensninger i adgangen til å behandle sensitive opplysninger, og krav om at mottaker av opplysningene skal ha saklig behov for dem. Det ble også anbefalt å videreføre ordningen der kredittopplysningsreglene også regulerer behandling av opplysninger om juridiske personer. Dessuten ble det foreslått enkelte henvisninger til bestemmelsene i personvernforordningen for å understreke at disse gjelder i tillegg til særreguleringen. Dette gjelder blant annet forordningens bestemmelser om innsynsrett for de registrerte og om tilsyn. Lovforslaget ble behandlet og vedtatt i Riksdagen 25. april 2018, og regelendringene trådte i kraft samtidig som personvernforordningen, den 25. mai 2018.
3.2.2 Danmark
Det danske Justitsministeriet la frem sitt forslag til ny databeskyttelseslov 7. juli 2017. Der ble det foreslått å videreføre de gjeldende reglene om kredittopplysningsvirksomhet med de tilpasningene som personvernforordningen nødvendiggjør. I kapittel 5 (§§ 19-21) gis det bestemmelser om hvilke opplysninger som kan behandles i kredittopplysningsvirksomhet samt hvordan og til hvem disse opplysningene kan utleveres. Ordningen med at det må innhentes tillatelse fra det danske Datatilsynet før behandling av personopplysninger i kredittopplysningsvirksomhet, ble foreslått videreført. Videre ble det foreslått at forordningen artikkel 12 til 19 (rettigheter for de registrerte) skulle gjelde når kredittopplysningsforetakene behandler opplysninger om juridiske personer. I tillegg inneholdt kapittel 4 i lovforslaget enkelte bestemmelser om kredittopplysningsforetakenes tilgang til opplysninger om gjeld til det offentlige. Lovforslaget ble behandlet og vedtatt i Folketinget 17. mai 2018, og trådte i kraft 25. mai samme år.
3.3 Personvernforordningen og nasjonalt handlingsrom for regulering av kredittopplysningsvirksomhet
3.3.1 Åpner personvernforordningen for regulering av kredittopplysningsvirksomhet i norsk rett?
Personvernforordningen inneholder ingen særskilte bestemmelser om kredittopplysningsvirksomhet. Behandling av personopplysninger som ledd i kredittopplysningsvirksomhet vil i utgangspunktet derfor være underlagt forordningens alminnelige regler. Forordningens alminnelige regler om behandling av personopplysninger er grundig omtalt i Prop. 56 LS om gjennomføring av personvernforordningen i norsk rett, og det vises til denne for en nærmere redegjørelse for reglene.
Forordningen inneholder heller ikke noen konkret hjemmel for fastsettelse av nasjonale regler om kredittopplysningsvirksomhet. Forordningen artikkel 6 nr. 2 bestemmer imidlertid at medlemsstatene kan «opprettholde eller innføre mer spesifikke bestemmelser for å tilpasse anvendelsen av forordningens regler med henblikk på å sikre samsvar med artikkel 6 nr. 1 bokstav c og e, ved nærmere å fastsette særlige krav til behandlingen samt andre tiltak som har som mål å sikre en lovlig og rettferdig behandling». Etter ordlyden i artikkel 6 nr. 2 er adgangen til å gi nasjonale særregler avgrenset til tilfeller hvor den aktuelle behandlingen av personopplysninger enten er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige (bokstav c), eller der behandlingen er nødvendig for å utføre en oppgave i allmenhetens interesse eller utøve offentlig myndighet (bokstav e). Når det gjelder kredittopplysningsvirksomhet, legger departementet til grunn at det relevante grunnlaget for nasjonal lovgivning vil være at behandlingen er nødvendig for å utføre en oppgave i allmenhetens interesse (bokstav e). For å fastslå om forordningen åpner for nasjonale regler om kredittopplysningsvirksomhet må det derfor vurderes om kredittopplysningsvirksomhet, etter forordningen, kan sies å være «en oppgave i allmennhetens interesse».
Forordningen selv gir ingen veiledning om hva som er en oppgave av allmenn interesse. Både i den svenske utredningen om kreditupplysningslagen og i det danske forslaget til ny databeskyttelseslov legges det til grunn at kredittopplysningsvirksomhet må anses som «en oppgave i allmennhetens interesse». Det vises til at det er av vesentlig betydning for så vel fysiske som juridiske personer at behandling av opplysninger i kredittopplysningsvirksomhet skjer på en saklig og lovlig måte, og at ulovlige behandlinger på dette området kan få alvorlige skadevirkninger for de involverte partene. Samfunnet som sådan har behov for kredittopplysningsvirksomhet, og har en sterk interesse i at denne virksomheten på en effektiv måte fyller sin kredittbeskyttende funksjon.
Departementet slutter seg til denne argumentasjonen. Dette synet innebærer også en videreføring av gjeldende rett, der personopplysningsloven 2000 § 8 bokstav d har vært ansett som det rettslige grunnlaget for behandling av opplysninger i kredittopplysningsvirksomhet. Kredittopplysningsvirksomhet er en tjeneste som er viktig for en velfungerende økonomi. Virksomheten er viktig både for kreditors evne til å beskytte seg mot tap, og for låntakers mulighet til å få kreditt. Også fra et samfunnsøkonomisk perspektiv er det viktig at kredittgivning fungerer så smidig som mulig. Høy gjeldsbyrde og mange dårlige betalere kan føre til betydelige samfunnsproblemer. Dette er en av årsakene til at regjeringen la frem Prop. 87 L (2016–2017) Lov om gjeldsinformasjon ved kredittvurdering av privatpersoner (gjeldsinformasjonsloven), og at Stortinget 16. juni 2017 vedtok lov om gjeldsinformasjon ved kredittvurdering av privatpersoner.
Finansregelverket forutsetter at finansinstitusjoner foretar risikovurderinger på godt opplyst grunnlag før det ytes kreditt. Også i forbindelse med netthandel, som ofte skjer på kreditt, og annen handelsaktivitet er det av stor betydning for selger å ha mulighet til å kredittvurdere kjøper. Tilgang til opplysninger fra kredittopplysningstjenester har stor verdi i denne sammenhengen. Det er departementets vurdering at tilgang til kredittopplysninger er av stor samfunnsmessig betydning og at kredittopplysningsvirksomhet derfor kan sies å være «en oppgave i allmennhetens interesse» i samsvar med personvernforordningen.
Det å gi nasjonale regler om kredittopplysningsvirksomhet vil ha betydning for det rettslige grunnlaget for behandling av kredittopplysninger. Dersom det gis nasjonale regler, vil kredittopplysninger kunne behandles etter artikkel 6 nr. 1 bokstav e. Dersom det ikke gis nasjonale regler, vil slike opplysninger måtte behandles på grunnlag av et annet av de behandlingsgrunnlagene personvernforordningen angir. Det mest praktiske vil trolig være artikkel 6 nr. 1 bokstav f. Etter departementets vurdering er artikkel 6 nr. 1 bokstav f imidlertid en svak hjemmel for behandling av en type opplysninger som mange opplever som svært beskyttelsesverdige. Behandlingsgrunnlag i artikkel 6 nr. 1 bokstav f gir heller ingen mulighet til å fastsette nærmere detaljregler i nasjonal rett for å ivareta hensynene til de registrerte. Dette i seg selv kan være en indikasjon på at dette behandlingsgrunnlaget kun bør anvendes for lite inngripende behandlinger. Departementets vurdering er derfor at forordningen artikkel 6 nr. 1 bokstav e fremstår som det mest hensiktsmessige behandlingsgrunnlaget for behandling av personopplysninger i kredittopplysningsvirksomhet.
3.3.2 Hva kan det fastsettes nasjonale regler om?
Det følger av forordningen artikkel 6 nr. 2 at medlemsstatene kan opprettholde eller innføre «mer spesifikke bestemmelser» for å tilpasse anvendelsen av forordningens regler med henblikk på å sikre samsvar med artikkel 6 nr. 1 bokstav e, og at dette kan gjøres ved å «fastsette særlige krav til behandling samt andre tiltak som har som mål å sikre en lovlig og rettferdig behandling». Det følger også av artikkel 6 nr. 2 at de nasjonale reglene skal «sikre en lovlig og rettferdig behandling» av opplysningene. Videre følger det av artikkel 6 nr. 3 at de nasjonale reglene blant annet kan inneholde «de generelle vilkårene som skal gjelde for lovligheten av den behandlingsansvarliges behandling, hvilken type opplysninger som skal behandles, berørte registrerte, enhetene som personopplysningene kan utleveres til, og formålene med dette, formålsbegrensning, lagringsperioder samt behandlingsaktiviteter og framgangsmåter for behandling, herunder tiltak for å sikre lovlig og rettferdig behandling, slik som dem fastsatt med henblikk på andre særlige behandlingssituasjoner som nevnt i forordningen kapittel IX». Siden forordningen eksplisitt angir at landene «blant annet» kan fastsette bestemmelser om opplistede forhold, legger departementet til grunn at listen ikke er uttømmende. Departementet forstår forordningen slik at det er anledning til å spesifisere forordningens regler i nasjonal rett for å tilpasse de generelle reglene til behandling av kredittopplysninger. Det vises for øvrig til den nærmere redegjørelsen for innholdet i artikkel 6 i kapittel 7 i Prop. 56 LS (2017–2018) om gjennomføring av personvernforordningen.
Departementet påpeker også at personvernforordningens fortalepunkt 8 åpner for at det i tilknytning til nasjonale bestemmelser som presiserer eller begrenser forordningens regler, kan innarbeides «elementer fra» forordningen når det er nødvendig for sammenhengen eller av pedagogiske grunner. Etter departementets syn gir dette rom for å innta bestemmelser eller deler av bestemmelser fra forordningen i et eventuelt nasjonalt regelverk om behandling av kredittopplysningsopplysninger dersom dette gir en bedre sammenheng i regelverket.
3.3.3 Departementets vurdering
Kredittopplysningsvirksomhet omfatter både opplysninger om juridiske personer, og opplysninger om hoveddelen av den norske, voksne befolkningen, det vil si fysiske personer. Som ledd i denne virksomheten behandles opplysninger som svært mange opplever som beskyttelsesverdige. Dette er både nøytrale opplysninger om for eksempel inntekt, formue og skatt, og det er negative opplysninger som betalingsanmerkninger. Formålet med innsamling og behandling av opplysningene er at de skal utleveres og brukes av kredittytere i deres risikovurderinger. Etter departementets vurdering er det viktig med gode regler for behandling av så store mengder personopplysninger som tilfellet er i kredittopplysningsvirksomhet. Det er blant annet ønskelig å ha regler om hvilke opplysninger som kan brukes i virksomheten, hvilke kilder opplysninger kan innhentes fra, vilkår for utlevering og regler om informasjon til de registrerte.
Kredittopplysningsvirksomhet er i dag regulert av et sett detaljregler i personopplysningsforskriften 2000 kapittel 4 og i Datatilsynets standardkonsesjon som er særskilt tilpasset denne type virksomhet. Tilsvarende regler gjenfinnes ikke i forordningens generelle regler. Dette gjelder for eksempel reglene om gjenpartsplikt ved utlevering av personopplysninger, det gjelder regler om hvilke kilder opplysninger kan hentes fra og hvilke opplysninger det er adgang til å bruke i kredittopplysningsvirksomhet, og det gjelder konkrete regler om lagringstid og slettefrister. Slik departementet ser det, balanserer reglene på en god måte de registrertes interesse i beskyttelse av person- og næringsopplysninger med næringslivets behov for kredittopplysninger til bruk i risikovurderinger. Dagens regler er utarbeidet over tid i god dialog med bransjen og er godt innarbeidet i virksomhetene. Etter det departementet kjenner til, er det generell aksept og forståelse for de gjeldende reglene.
Konsekvensene ved urettmessig spredning og bruk av opplysninger om privatøkonomi, næringsøkonomi og kredittverdighet kan være svært negative for de registrerte. Fordi kredittopplysningsvirksomheten går ut på å samle inn opplysninger de fleste ikke ønsker å eksponere, er det gode grunner til å supplere forordningens generelle regler med detaljerte regler om hvilke opplysninger som kan brukes i virksomheten og hvordan de skal behandles. Særregler vil også bidra til å legitimere kredittopplysningsvirksomhet som sådan.
Departementet vurderer at særregulering av behandling av personopplysninger i kredittopplysningsvirksomhet bør videreføres for å sikre at de registrertes personvern ivaretas på en god måte. Forordningens generelle regler gir etter departementets syn verken de registrerte eller de behandlingsansvarlige tilstrekkelig veiledning for ivaretakelse av de særlige hensyn som gjør seg gjeldende ved behandling av personopplysninger i kredittopplysningsvirksomhet. Et annet moment som taler for en særregulering er ønsket om å videreføre reguleringen av behandling av kredittopplysninger om juridiske personer (se mer om dette i kapittel 4.2). Etter departementets vurdering vil det være hensiktsmessig å videreføre en samlet regulering av behandling av kredittopplysninger om både fysiske og juridiske personer i ett regelverk, slik det er gjort i både Danmark og Sverige.
3.3.3.1 Lovens funksjon som supplerende rettsgrunnlag
Ved å fastsette nasjonale særregler om behandling av kredittopplysninger etableres et sikkert nasjonalt rettsgrunnlag for slike behandlinger. Det følger av personvernforordningen artikkel 6 nr. 3 at for slike supplerende rettsgrunnlag skal, for så vidt gjelder behandlinger omfattet av artikkel 6 nr. 1 bokstav e, formålet med behandlingen være fastsatt i rettsgrunnlaget. Departementet vurderer at det er viktig å uforme bestemmelser som på en god måte setter klare rammer for behandling av opplysningene. Artikkel 6 nr. 3 gir også nasjonalt handlingsrom til å fastsette «særlig bestemmelser for å tilpasse anvendelsen» av forordningen på det konkrete området. På denne måten åpner forordningen for at det fastsettes bestemmelser som ivaretar personvernet i møte med de utfordringene kredittopplysningsvirksomheten representerer.
Et særlig spørsmål er om kredittopplysningsforetakene har anledning til å velge å basere sin behandling av personopplysninger på et annet grunnlag enn det departementet har valgt som grunnlag for nasjonal særregulering. Som det fremgår i punkt 3.3.1 kan personvernforordningen artikkel 6 nr. 1 bokstav f muligens være et alternativt behandlingsgrunnlag. Departementet mener likevel at det må kunne legges til grunn at når behandling for et gitt formål er vurdert å falle inn i en kategori som forutsetter nasjonal lovgivning, må behandlinger for dette formålet alltid skje i samsvar med de nasjonale særreglene. I disse tilfellene er behandlingen vurdert som lovlig etter forordningen artikkel 6 nr. 1 bokstav a til e, og skal følge de særreglene som eventuelt er fastsatt i medhold av forordningens bestemmelser. Det er først dersom behandlingen ikke kan henføres under ett av de nevnte behandlingsgrunnlagene, at det er relevant å vurdere om behandlingen kan skje med grunnlag i artikkel 6 nr. 1 bokstav f om berettiget interesse. Departementet vurderer etter dette at all behandling av opplysninger som ledd i kredittopplysningsvirksomhet skal skje i samsvar med bestemmelsene i lovforslaget, supplert av bestemmelsene i personvernforordningen og de norske tilpasningsreglene i personopplysningsloven.
3.3.3.2 Valg av reguleringsform
Det er departementets inntrykk at gjeldende regulering i forskrift og standardkonsesjon fungerer tilfredsstillende. Et spørsmål er likevel i hvilken form nye regler bør fastsettes. Da Stortinget vedtok personopplysningsloven, ble personopplysningsloven 2000 opphevet. Dermed ble også den generelle konsesjonsordningen som fulgte av personopplysningsloven 2000 avviklet fordi en slik ordning ikke anses å være i samsvar med forordningen. Personvernforordningen artikkel 36 nr. 5 åpner imidlertid for at medlemsstatene kan fastsette nasjonale regler som pålegger forhåndsdrøftinger med, og forhåndsgodkjenning (konsesjon) fra, tilsynsmyndighetene når behandlingen foretas som ledd i utførelsen av en oppgave i allmennhetens interesse. Slike regler ble ikke fastsatt da personopplysningsloven ble vedtatt. Begrunnelsen var at forordningens alternative virkemidler anses å gi et vel så godt personvern som en ordning med omfattende forhåndsgodkjenning. Samtidig kan det være kostnadsbesparende for både Datatilsynet og de behandlingsansvarlige å avvikle konsesjonsinstituttet. På bakgrunn av dette vurderer departementet at dagens ordning med noen overordnede bestemmelser om kredittopplysningsvirksomhet i forskrift, samt detaljregulering i standardkonsesjon, ikke er en tilfredsstillende løsning som kan eller bør videreføres. Departementet mener derfor det mest hensiktsmessige vil være å lovregulere behandling av opplysninger i kredittopplysningsvirksomhet.
En alternativ reguleringsmåte, som personvernforordningen artikkel 40 åpner for, er bruk av atferdsnormer (codes of conduct). Atferdsnormene utvikles av bransjene selv i dialog med tilsynsmyndigheten. Normene skal godkjennes av tilsynsmyndigheten eller andre som er gitt godkjenningsmyndighet, og etterlevelse kan håndheves enten av tilsynsmyndigheten eller et annet godkjent organ. En fordel med en slik løsning er dels at det kan søkes å oppnå europeisk rettsenhet på området, dels at det kan gi større fleksibilitet til å endre reglene ved behov. Samtidig vil vi kunne oppleve at vi får et lavere beskyttelsesnivå ved behandling av kredittopplysninger enn vi har hatt i Norge, fordi andre europeiske land aksepterer et lavere beskyttelsesnivå for kredittopplysninger. En annen ulempe ved bruk av atferdsnormer er svekket offentlig kontroll med, og håndhevelse av, vilkårene for virksomheten. Dessuten er det viktig å være oppmerksom på at det er frivillig å slutte seg til en atferdsnorm. Selv om det kan foreligge et viss press i bransjen for å slutte seg til en norm, vil også store virksomheter kunne se seg tjent med den friheten det innebærer å stå utenfor.
Lovregulering, på sin side, gir forutberegnelighet både for de registrerte og de behandlingsansvarlige. En lovregulering er også et uttrykk for at myndighetene mener kredittopplysningsvirksomhet er en viktig virksomhet, samtidig som det er nødvendig å regulere behandlingen av opplysninger slik at de registrertes personvern ikke krenkes.
En ren detaljregulering i atferdsnormer vil videre innebære at personvernforordningen artikkel 6 nr. 1 bokstav e ikke kan anvendes som behandlingsgrunnlag, da det ikke vil foreligge et slikt nasjonalt rettsgrunnlag som kreves etter forordningen artikkel 6 nr. 3. Det er imidlertid mulig å fastsette et grunnlag for behandlingen i nasjonal rett med hjemmel i personvernforordningen artikkel 6 nr. 3, men overlate den videre reguleringen av de nærmere vilkårene for behandling til atferdsnormer. Man kunne også tenke seg ulike mellomløsninger, der noen bestemmelser tas inn i lov (eller forskrift), mens andre reguleres i atferdsnormer.
Et annet spørsmål departementet har vurdert er om en lovregulering av kredittopplysningsvirksomhet bør skje i personopplysningsloven eller i en særlig lov om behandling av opplysninger i kredittopplysningsvirksomhet. Etter departementets vurdering vil det mest hensiktsmessige være å fastsette en egen lov om behandling av opplysninger i kredittopplysningsvirksomhet, med adgang for Kongen til å fastsette nærmere bestemmelser i forskrift. Begrunnelsen for dette er at personopplysningsloven også i fremtiden kun bør angi de generelle og sektorovergripende reglene for behandling av personopplysninger, mens særregler for ulike sektorer fortsatt bør plasseres i egne regelverk. Samtidig vil det være unaturlig å regulere behandling av kredittopplysninger om juridiske personer i personvernregelverket.
De høringsinstansene som har uttalt seg om reguleringsformen, støtter i det alt vesentlige departementets forslag om lovregulering. Blant annet Skatteetaten, Datatilsynet, Forbrukerrådet og Juristforbudet mener dette vil gi de beste juridiske rammene for virksomheten. Ingen av høringsinstansene har uttalt seg negativt til lovregulering. Ingen av høringsinstansene har gitt innspill til spørsmål om det bør vedtas en særlov om behandling av kredittopplysninger, eller om reguleringen bør inntas i personopplysningsloven.
Med grunnlag i høringsinnspillene og den ovenstående argumentasjonen, foreslår departementet i proposisjonen her å fastsette de mest sentrale og grunnleggende bestemmelsene om behandling av opplysninger i kredittopplysningsvirksomhet i særlov. Samtidig åpnes det for en viss fleksibilitet gjennom adgang til å fastsette detaljer i forskrift. Lovforslaget viderefører i all hovedsak gjeldende rett for behandling av kredittopplysninger. Det er likevel foreslått noen tilpasninger for å bringe reglene i samsvar med personvernforordningen, slik den er gjennomført i norsk rett.
Av hensyn til regelverkets omfang har departementet vurdert at det ikke er hensiktsmessig å gjenta de av bestemmelsene i personopplysningsloven og personvernforordningen som også vil gjelde for kredittopplysningsvirksomhet. De mest sentrale definisjonene er likevel av pedagogiske hensyn inntatt i lovforslaget, se § 3. For øvrig vises det til den generelle personopplysningslovens og personvernforordningens regler om blant annet den behandlingsansvarliges plikter og ansvar, sikring av opplysningene, Datatilsynets myndighet og administrative sanksjoner.