Prop. 139 L (2018–2019)

Lov om behandling av opplysninger i kredittopplysningsvirksomhet (kredittopplysningsloven)

Til innholdsfortegnelse

9 Hvordan kan opplysninger utleveres

9.1 Gjeldende rett

Hovedregelen i personopplysningsforskriften § 4-3 annet ledd er at kredittopplysninger skal gis skriftlig, enten elektronisk eller papirbasert. Etter gjeldende praksis gis privatpersoner ikke tilgang til direkte søk/elektronisk oppslag i kredittopplysningsregistre. Dersom privatpersoner skal gis tilgang til kredittopplysninger, skal behovet for opplysningene godtgjøres skriftlig overfor kredittopplysningsforetaket, og opplysningene skal deretter utleveres skriftlig.

Opplysninger som ikke inneholder noe som kan bli anført mot den registrerte kan utleveres muntlig. I så fall skal opplysningene samt mottakers navn og adresse oppbevares i minst seks måneder. Også i hastesituasjoner kan opplysninger utleveres muntlig. Dersom de utleverte opplysningene inneholder noe som kan anføres mot den registrerte, skal de i etterkant bekreftes skriftlig. Ved hasteutleveringer skal også de utleverte opplysningene og mottakers navn og adresse oppbevares i minst seks måneder.

Etter merknadene til gjeldende konsesjoner skal kredittopplysninger gis på grunnlag av søkekriterier som gir unike treff.

Videre følger det av personopplysningsforskriften § 4-3 fjerde ledd at avtaler som går ut på at bestilleren skal få vite det kredittopplysningsforetaket blir kjent med i fremtiden, bare kan omfatte opplysninger om næringsdrivende.

9.2 Forordningen

Forordningen inneholder ikke særskilte bestemmelser om hvordan personopplysninger kan utleveres. I samsvar med forordningen artikkel 6 nr. 3 kan landene fastsette nærmere regler om hvem opplysninger kan utleveres til, formålet med utleveringen og andre tiltak som er nødvendige for å sikre lovlig og rettferdig behandling.

9.3 Forslaget i høringsnotatet

I høringsnotatet ga departementet uttrykk for at det er nødvendig å gi nærmere regler om hvordan kredittopplysninger kan utleveres for å ivareta de registrertes personvern på en god måte. Departementet la til grunn at personvernforordningen artikkel 6 nr. 3 åpner for å fastsette slike regler om utlevering. Lovforslaget inneholdt av pedagogiske grunner visse elementer fra forordningen, noe som anses å være i samsvar med forordningens fortalepunkt 8.

Etter gjeldende praksis må direkte søk/elektronisk oppslag i kredittopplysningsregistre, av hensyn til farene for sammenblanding av de registrerte, skje ved hjelp av fullt fødselsnummer (elleve siffer) eller organisasjonsnummer, såfremt spørrer lovlig kan registrere og behandle dette. Dersom spørrer ikke har anledning til å gjøre direkte søk på fysiske personer ved hjelp av fødselsnummer, har kredittopplysningsforetaket ikke anledning til å oppgi en liste over personer dersom det er flere som tilfredsstiller søkekriteriene som er brukt. Søket må i disse tilfellene spesifiseres slik at det bare gir ett enkelt treff i kredittopplysningsregisteret. Dette kan gjøres ved kombinasjon av ulike søkekriterier, for eksempel navn, fødselsår og adresse forutsatt at kombinasjonen gir et unikt treff. Som et ledd i å sikre en lovlig og rettferdig behandling, vurderte departementet at det kunne være behov for en bestemmelse om at søk i kredittopplysningsregistre skal foregå på en måte som gir et unikt treff. Dette vil i så fall gjelde uavhengig av om det gjøres direkte søk/elektronisk oppslag i registeret, eller om man henvender seg til kredittopplysningsforetaket på annen måte. Departementet ba om høringsinstansenes syn på dette spørsmålet.

Departementet foreslo å videreføre gjeldende rett om at utlevering fra kredittopplysningsregistre skal skje skriftlig. Både elektronisk og papirbasert utlevering tilfredsstiller skriftlighetskravet. Etter gjeldende praksis kan opplysninger i visse tilfeller gis muntlig, for eksempel dersom det er nødvendig av tidshensyn. Dersom opplysningen inneholder negativ informasjon, skal den så raskt som mulig bekreftes skriftlig. For opplysninger som er utlevert muntlig, skal kredittopplysningsforetaket oppbevare logg i minst seks måneder slik at de kan besvare eventuelle innsynshenvendelser fra den registrerte. Departementet ga i høringsutkastet uttrykk for ikke å kjenne til i hvilket omfang kredittopplysninger utleveres muntlig, og ba derfor om høringsinstansenes innspill på om det er behov for å videreføre adgangen til å, i visse tilfeller, utlevere kredittopplysninger muntlig.

Videre foreslo departementet at det skulle inntas en egen bestemmelse i den nye loven om at det kun er næringsdrivende som kan gis tilgang til direkte søk/elektronisk oppslag i kredittopplysninger. Forslaget innebærer en videreføring av regelen som i dag fremgår av merknader til gjeldende kredittopplysningskonsesjoner. Dersom privatpersoner skal gis tilgang til kredittopplysninger, skal behovet for opplysningene godtgjøres skriftlig overfor kredittopplysningsforetaket, og opplysningene skal deretter utleveres skriftlig. Departementet vurderte i høringsnotatet at denne løsningen er et godt tiltak for å redusere snoking i kredittopplysninger.

I høringsutkastet foreslo departementet å lovfeste at kredittopplysninger kan utleveres i form av kredittrating eller kredittscore, det vil si en poengberegning eller kode som gir uttrykk for en statistisk beregnet kredittevne. Også dette innebar en videreføring av gjeldende rett.

Det ble dessuten foreslått å videreføre bestemmelsen i personopplysningsforskriften § 4-3 fjerde ledd om at avtaler som går ut på at bestilleren skal få vite det kredittopplysningsforetaket blir kjent med i fremtiden, bare kan omfatte opplysninger om næringsdrivende. Dette betyr at det ikke er adgang til å abonnere på lister med oppdaterte kredittopplysninger om privatpersoner. Departementet ga i høringsnotatet uttrykk for at det syntes hensiktsmessig å videreføre denne bestemmelsen, blant annet for å forhindre at fysiske personer utsettes for detaljert økonomisk overvåkning.

9.4 Høringsinstansenes syn

Justis- og beredskapsdepartementet har påpekt at offentlige virksomheter, i likhet med næringsdrivende, bør kunne gis tilgang til direkte søk/elektronisk oppslag i kredittopplysningsregistre. Høringsinstansen har også påpekt at det bør vurderes å stille vilkår for at en virksomhet skal gis tilgang til direkte søk, men uten at det er angitt noe nærmere om hva slike vilkår kan eller bør gå ut på.

Norske kredittopplysningsbyråers forening mener det bør vurderes om også privatpersoner kan gis tilgang til direkte søk ved bruk av sikker identifisering, for eksempel bankID, forutsatt at vedkommende har saklig behov for kredittopplysninger. Høringsinstansen påpeker videre at det må fremgå av regelverket at også opplysninger om næringsdrivende kan utleveres i form av kredittscore. Dessuten ber foreningen om at det vurderes å åpne for at bank- og finanssektoren kan benytte kredittopplysningsforetakenes registre som grunnlag for kredittovervåking av privatpersoner.

Norges Juristforbund har i sin høringsuttalelse tatt til orde for at utlevering av kredittopplysninger på grunnlag av elektroniske søk bare kan skje der søket har gitt et unikt treff. Muntlig utlevering må, som i dag, bekreftes skriftlig, og loggføres.

Datatilsynet på sin side mener det kun bør tillates skriftlig utlevering av kredittopplysninger, og viser til at de ikke kjenner til at adgangen til muntlig utlevering benyttes i dag. Tilsynet påpeker videre at algoritmer for kredittscore må tilfredsstille personvernforordningens krav til gjennomsiktighet og rettferdighet.

9.5 Departementets vurderinger

9.5.1 Unike treff

Det er ingen høringsinstanser som har tatt til orde for at opplysninger om fysiske personer skal kunne utleveres i form av lister. Departementet finner derfor ingen grunn til å endre regelen om at opplysninger om fysiske personer bare kan utleveres på grunnlag av søk som gir unike treff, se lovforslaget § 14 andre ledd. Som hovedregel skal søk på fysiske personer skje ved hjelp av fullt fødselsnummer. Har spørrer ikke lovlig tilgang til fødselsnummer, skal søk skje på bakgrunn av et sett andre opplysninger som gir et unikt treff i kredittopplysningsregisteret. Dersom det ikke er mulig å foreta unik identifikasjon av den omspurte, kan kredittopplysninger ikke utleveres. Lovforslaget innebærer på dette punktet en videreføring av gjeldende rett.

9.5.2 Direkte søk

Departementet har merket seg innspillet fra Justis- og beredskapsdepartementet om at ikke bare næringsdrivende, men også offentlige virksomheter bør kunne gis tilgang til direkte søk i kredittopplysningsregistre. Departementet er enig i at det kan være hensiktsmessig for offentlige virksomheter som benytter kredittopplysninger i stort omfang å ha tilgang til direkte oppslag. Hovedregelen etter lovforslaget er derfor at alle som jevnlig har et saklig behov for kredittopplysninger kan gis tilgang til direkte søk dersom de ønsker dette.

Norske kredittopplysningsbyråers forening har tatt til orde for at også privatpersoner bør kunne gis tilgang til direkte søk i kredittopplysningsregistre. Departementet ser at slik tilgang kan være hensiktsmessig for eksempel i situasjoner der privatpersoner skal inngå større avtaler med næringsdrivende, for eksempel om leie av fast eiendom eller håndverkeroppdrag, og ønsker å forsikre seg om deres evne til å levere i henhold til avtale. I slike situasjoner vil privatpersonen ha saklig behov for kredittopplysninger om den næringsdrivende. Tilgang til kredittopplysninger forutsetter at det er foretatt en viss forhåndskontroll av at spørrer har saklig behov for opplysningene. De fleste privatpersoner vil ha behov for kredittopplysninger så sjelden at det neppe kan etableres en generell sannsynlighet for at de vil ha saklig behov for opplysningene de etterspør. Snarere vil de fleste privatpersoner, slik departementet ser det, bare unntaksvis ha saklig behov for kredittopplysninger. Det vil være svært krevende å vurdere om det foreligger saklig behov for opplysningene ved det enkelte oppslag. Departementet har merket seg at Norske kredittopplysningsbyråers forening peker på at privatpersoner kan identifisere seg ved bruk av elektronisk id for å få elektronisk tilgang til kredittopplysninger. Etter departementets vurdering er det ikke kontroll av spørrers identitet som skaper de største utfordringene ved en eventuell elektronisk tilgang for privatpersoner. Derimot vil kontroll av om det foreligger saklig behov for kredittopplysninger representere en utfordring. Som Norske kredittopplysningsbyråers forening skriver i sin høringsuttalelse, forutsetter elektronisk tilgang at spørrer har saklig behov. Det er vanskelig å se hvordan kontroll av dette vilkåret skal gjennomføres for privatpersoner som etterspør kredittopplysninger en sjelden gang. Departementet har derfor kommet til at det ikke er hensiktsmessig at privatpersoner gis tilgang til å foreta direkte søk/elektronisk oppslag i kredittopplysningsregistre. Dette er gjenspeilet i lovutkastet § 14 tredje ledd.

Etter en vurdering er departementet kommet til at det er mer hensiktsmessig å foreta en avgrensning som innebærer at privatpersoner ikke kan gis tilgang til direkte søk i kredittopplysningsregistre, enn å foreta en positiv opplisting av de som kan gis tilgang, se lovforslaget. På denne måten legges det til rette for at alle som driver virksomhet, herunder offentlige virksomheter, vil kunne få elektronisk tilgang til å foreta direkte søk i kredittopplysningsregistre. Departementet vurderer at også enkeltpersonforetak kan ha behov for direkte søk i kredittopplysningsregistre. Dette innebærer at også disse bør kunne gis elektronisk tilgang til å søke i kredittopplysningsregistre. Departementet har derfor bevisst valgt å benytte et annet begrep enn «fysisk person», som etter lovforslaget også omfatter enkeltpersonforetak, ved utforming av avgrensningsbestemmelsen. Slik departementet ser det, vil bruk av begrepet «privatperson» i utleveringsbestemmelsen ikke skape rettslige utfordringer, da det her dreier seg om personen som bestiller av kredittopplysninger, og ikke om personen som registrert.

Justis- og beredskapsdepartementet har videre stilt spørsmål ved om det er «behov for eller ønskelig at alle næringsdrivende eller alle offentlige virksomheter skal kunne få elektronisk tilgang til direkte søk». I forlengelse av dette skriver Justis- og beredskapsdepartementet at det «trolig bør fastsettes vilkår for at en næringsdrivende eller en offentlig virksomhet skal kunne få slik tilgang». Høringsinstansen har ikke begrunnet forslaget nærmere. Det er et grunnvilkår for all tilgang til kredittopplysninger at spørrer har saklig behov for opplysningene i virksomheten sin. Dersom det er fastslått et saklig behov, kan departementet ikke se at det er grunn til å lovregulere særskilte vilkår for at en virksomhet, offentlig eller privat, skal kunne foreta direkte søk i kredittopplysningsregistre. Det er den behandlingsansvarlige som er ansvarlig for at opplysninger behandles i samsvar med de generelle reglene i personopplysningsloven og personvernforordningen, og de særlige reglene om kredittopplysningsvirksomhet. Etter departementets oppfatning er det derfor de behandlingsansvarlige som må vurdere hvilke tiltak de vil iverksette for å forsikre seg om at opplysninger ikke utleveres eller gjøres tilgjengelig for noen som ikke tilfredsstiller lovens vilkår. Departementet foreslår etter dette ikke å lovfeste særskilte vilkår for at offentlig og privat virksomhet skal gis tilgang til direkte søk i kredittopplysningsregistre.

9.5.3 Skriftlig utlevering

I høringsnotatet ba departementet om høringsinstansenes syn på om det fortsatt bør være adgang til å utlevere kredittopplysninger muntlig. Med unntak av Datatilsynet, som mener det ikke lenger bør være adgang til å utlevere kredittopplysninger muntlig, er det ingen høringsinstanser som har uttalt seg om dette spørsmålet.

Det er departementets erfaring at muntlig utlevering av kredittopplysninger ikke praktiseres i dag. Etter departementets vurdering kan muntlig utlevering blant annet skape utfordringer knyttet til informasjon til de registrerte, praktisering av innsynsrett og etterfølgende kontroll med opplysningenes riktighet. I og med at det er lite som tyder på at noen av kredittopplysningsforetakene i dag utleverer kredittopplysninger muntlig, har departementet kommet til at det ikke er hensiktsmessig å videreføre denne adgangen.

Departementet legger til grunn at skriftlig utlevering, enten på papir eller elektronisk, skaper trygghet både for den som bestiller opplysninger og for den registrerte. Lovforslaget legger derfor til grunn at kredittopplysninger skal utleveres skriftlig, se lovutkastet § 14 tredje ledd. Skriftlig utlevering kan skje enten på papir eller elektronisk.

9.5.4 Kredittscore

Kredittscore er en modell for statistisk beregning av den registrertes kredittevne. Modellen kan benyttes både for fysiske og juridiske personer. Departementet er derfor enig med Norske kredittopplysningsbyråers forening i at kredittscore må kunne utleveres om både fysiske og juridiske personer. Det synes ikke å være gode grunner til å skille mellom de to kategoriene registrerte på dette punktet.

I sin høringsuttalelse har Datatilsynet pekt på at kredittscore er en form for profilering, jf. personvernforordningen artikkel 4 nr. 4. Utvikling av scoremodeller må derfor oppfylle personvernforordningens krav til åpenhet og rettferdighet. Departementet har ikke funnet grunn til å innta en særskilt bestemmelse om dette i lovforslaget. Det følger av lovforslaget at de generelle bestemmelsene i personopplysningsloven gjelder for behandling av kredittopplysninger dersom ikke annet er sagt. Departementet legger derfor til grunn at personvernforordningens krav til åpenhet og rettferdighet gjelder for all behandling av personopplysninger som skjer i regi av et kredittopplysningsforetak, også for utvikling av scoremodeller. Departementet finner på denne bakgrunn ikke grunn til å innta en særskilt bestemmelse i lovforslaget om åpenhet og rettferdighet for scoremodeller. Det er redegjort nærmere for retten til innsyn i logikken bak kredittscore/kredittrating i proposisjonen punkt 11.4.5.4.

9.5.5 Kredittovervåking av privatpersoner

Norske kredittopplysningsbyråers forening har tatt til orde for at det bør åpnes for kredittovervåking av fysiske personer, i alle fall for bank- og finanssektoren. Imidlertid har ingen av høringsinstansene som representerer finansnæringen tatt til orde for at det bør åpnes for løpende kredittovervåking av privatpersoner. Så lenge finansnæringen selv ikke har trukket frem et behov for løpende overvåking av privatkundeporteføljen ved bruk av kredittopplysningsregistre, ser departementet ikke at det er godtgjort et behov for den utvidelsen Norske kredittopplysningsbyråers forening tar til orde for. Dette innspillet er derfor ikke fulgt opp i lovforslaget. Lovforslaget § 14 femte ledd viderefører forbudet mot kredittovervåking av fysiske personer.

Til forsiden