Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.
Størrelse: px
Begynne med side:

Download "Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv."

Transkript

1 Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv. Veileder

2 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: Telefon: Faks: Forsidefoto: Shutterstock

3 1 Innledning I forskrift av 16. desember 2009 nr ble det gjort endringer av verdipapirforskriften med hensyn til krav om å gjøre lydopptak, rutiner for dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler, samt krav til gjenfinning av dokumentasjon i tilknytning til ytelse av investeringstjenester som nevnt i verdipapirhandelloven 2-1, 1. ledd nr Personopplysningsloven gjelder utfyllende. Endringene innebærer blant annet at plikten til å foreta lydopptak utvides til å omfatte alle telefonsamtaler i tilknytning til investeringstjenester, herunder investeringsrådgivning, samt mottak og formidling av ordre. Videre foreligger det en utstrakt plikt til å dokumentere innholdet i annen kommunikasjon med sine kunder, så som bruk av e-post, SMS, Bloomberg, Reuters Messenger og ulike chatkanaler på Internett. Reglene trer i kraft 1. januar Personopplysningsloven stiller krav om at opplysninger som behandles skal være relevante for formålet med behandlingen, og at disse ikke lagres lenger enn det som er nødvendig for å oppnå formålet. Kravene innebærer begrensninger i adgangen til å oppbevare dokumentasjon som ikke omfattes av opptaksplikten overskuddsinformasjon. Endringene medfører utfordringer knyttet til ivaretakelsen av personvernet til ansatte i institusjonene som omfattes av forskriftens virkeområde, kunder av disse foretakene samt tredjepersoner. Datatilsynet har fått henvendelser fra flere finansforetak som berøres av endringene samt fra arbeidstakere som har uttrykt bekymring. Datatilsynet har på bakgrunn av dette sett et klart behov for en klargjøring av hvordan det omtalte regelverket skal forstås, med særlig fokus på hvordan ivaretakelsen av personvernet til ansatte, kunder og tredjepersoner skal sikres. Ytre grense vern om kommunikasjon/rett til privatliv Det følger av den europeiske menneskerettskonvensjon (EMK) artikkel 8 at enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. Vernet er generelt og gjelder følgelig også på arbeidsplassen. Dette fremgår uttrykkelig i to saker som er behandlet av Den europeiske menneskerettsdomstol (EMD), hvor det fastslås at vern mot overvåking av telefonsamtaler, telefonlogger, e-postkasse og Internettlogger omfattes av bestemmelsen. Domsreferanser fra Menneskerettsdomstolen: Halford vs. United Kingdom, sak 20605/92 og Copland vs. United Kingdom, sak 62617/00.

4 Virkeområde avgrensning Hovedhensynene bak endringene i forskriften er blant annet at lydopptak er et sentralt virkemiddel i forbindelse med undersøkelser knyttet til mistanke om markedsmisbruk, samt at lydopptak av telefonsamtaler i tilknytning til investeringstjenester er et element av investorbeskyttelse og et virkemiddel ved undersøkelser av mistanker om overtredelser av kravene til god forretningsskikk. Det fremgår av verdipapirforskriften at samtlige telefonsamtaler i tilknytning til ytelse av nærmere angitte investeringstjenester skal tas opp. Dette begrepet skal i henhold til merknadene tolkes vidt. Dersom samtalen dreier seg om investeringstjenester i tillegg til tilknyttede tjenester, vil samtalen omfattes av plikten til å gjøre lydopptak. Samtaler som utelukkende dreier seg om tilknyttede tjenester faller imidlertid klart utenfor. Det gjøres for ordens skyld oppmerksom på at tolkningen av forskriften faller utenfor Datatilsynets kompetanseområde. For en nærmere avklaring av virkeområdet til forskriftens nye bestemmelser, se brev fra Finanstilsynet til Finansdepartementet datert 9. april SIDE 4

5 2 Regelverk aktuelle bestemmelser Krav i verdipapirforskriften Dokumentasjon (1) Verdipapirforetak skal foreta lydopptak av alle telefonsamtaler i tilknytning til ytelse av investeringstjenester som nevnt i verdipapirhandelloven 2-1 første ledd nr. 1 til 6. (2) Verdipapirforetak skal etablere betryggende rutiner for dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler når disse benyttes i tilknytning til ytelse av investeringstjenester som nevnt i første ledd Gjenfinning av dokumentasjon (1) Lydopptak skal minst kunne gjenfinnes etter følgende søkekriterier: a) Inngående og utgående telefonnummer b) Tidspunkt for samtalen og c) Ansatte hos foretaket som utførte samtalen. (2) Dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler skal minst kunne gjenfinnes etter følgende søkekriterier: a) Kundens identitet b) Tidspunkt for kommunikasjon og c) Ansatte hos foretaket som utførte kommunikasjonen Informasjonsplikt (1) Verdipapirforetaket skal ved etablering av kundeforholdet skriftlig opplyse alle kunder om: a) at det gjøres lydopptak av alle telefonsamtaler som omfattes av første ledd, b) at dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler enn telefon i tilknytning til ytelse av investeringstjenester også oppbevares, c) at oppbevaringstiden er minst tre år, og d) at lydopptaket kan gjenfinnes etter særskilte kriterier. Hvilke kriterier som kan benyttes for gjenfinning skal særskilt angis. Lov om verdipapirhandel (verdipapirhandelloven) av 29. juni 2007 nr Investeringstjenester og tilknyttede tjenester (1) Med investeringstjenester menes 1. mottak og formidling av ordre på vegne av kunde i forbindelse med ett eller flere finansielle instrumenter som definert i 2-2, 2. utførelse av ordre på vegne av kunde, 3. omsetning av finansielle instrumenter for egen regning, SIDE 5

6 4. aktiv forvaltning av investorers portefølje av finansielle instrumenter på individuell basis og etter investors fullmakt, 5. investeringsrådgivning som definert i 2-4 første ledd, 6. plassering av offentlige tilbud som nevnt i kapittel 7, plassering av emisjoner, samt garantistillelse for fulltegning av emisjoner eller tilbud om kjøp av finansielle instrumenter, Personopplysningsloven begreper Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson. Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige. Det følger av personopplysningsloven 11 jf. 8 at det kreves et behandlingsgrunnlag ved all behandling av personopplysninger. Behandlingen av personopplysninger vil for dette tilfellet ha hjemmel i forskrift. SIDE 6

7 3 Grunnkrav relevans Krav til relevans - overskuddsinformasjon Personopplysningsloven 11 oppstiller grunnkrav til behandling av personopplysninger. Den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, og ikke senere brukes til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker. Opplysningene skal videre være tilstrekkelige og relevante for formålet med behandlingen, samt korrekte og oppdaterte. Kravet til at personopplysningene skal være tilstrekkelige og relevante for formålet med behandlingen, skaper særlige vanskeligheter da faren for innhenting av overskuddsinformasjon er overhengende. Opptak av telefonsamtaler mv. I praksis stilles det krav om at det må etableres en opptaksløsning for medarbeidere som yter investeringstjenester per telefon. Mange ansatte vil erfaringsmessig ha arbeidsoppgaver som både faller innenfor og utenfor opptaksplikten. Kravet stilles også til medarbeidere som bare tidvis yter investeringstjenester. Et opplagt problem er at den ansatte som hovedregel ikke vil kjenne innholdet av en samtale før den har startet. Det kan da være utfordrende å sette opp systemer hvor det utelukkende gjøres opptak av samtaler som faller innenfor opptaksplikten. Plikten til å foreta lydopptak omfatter opptak av telefonsamtaler som sådan, enten de skjer til eller fra fasttelefon eller mobiltelefon. For ansatte som omfattes av reglene, vil endringene kunne medføre at det skjer opptak av samtlige inngående og utgående telefonsamtaler, med mindre man iverksetter tiltak for å hindre dette. Videre vil det være problematisk med opptak av samtlige samtaler i de tilfeller hvor mobiltelefoner som benyttes i jobbsammenheng også kan benyttes til private formål. De samme hensynene vil gjøre seg gjeldende ved bruk av øvrige kommunikasjonskanaler. Behovet for å foreta endringer i systemet samt rekkevidden av endringene kan gjennom organisatoriske grep begrenses, blant annet ved å fastsette retningslinjer om at investeringstjenester ikke skal ytes per telefon. Et annet alternativ kan være å operere med dedikerte telefoner til investeringssamtaler, for eksempel ved å fastsette retningslinjer om at investeringstjenester kun skal ytes fra et begrenset antall bestemte telefoner, fortrinnsvis fasttelefoner. Dette fordrer at den ansatte har tilgang til å ta jobbrelaterte telefoner som klart ikke omfattes av opptaksplikten samt private samtaler fra annen telefon, som det altså ikke gjøres opptak av. Et annet tiltak som kan iverksettes er at den enkelte gis anledning til å forhåndsdefinere en liste med nummer som rent private, slik at det ikke gjøres opptak av telefonsamtaler eller lagres meldinger til og fra disse numrene. For en nærmere avklaring se brev fra Finanstilsynet til Finansdepartementet datert 9. april SIDE 7

8 Det følger av brev fra Finanstilsynet til Finansdepartementet av 9. april 2010 at: Mange foretak vil derfor sannsynligvis ta opp flere samtaler enn det som er påkrevet, og det vil nødvendigvis tas opp overskuddsinformasjon. De personvernmessige utfordringer knyttet til denne informasjonen vil et stykke på vei kunne avhjelpes ved å innrette søkemulighetene slik at overskuddsinformasjonen blir mindre tilgjengelig. Det er heller ikke lagringsplikt knyttet til slik overskuddsinformasjon. Datatilsynet er av den oppfatning at en etterfølgende innrettelse av søkemulighetene i materialet alene ikke vil tilfredsstille grunnkravet i personopplysningsloven 11 bokstav d jf. bokstav e. Da det ikke er muligheter til å forhåndsklassifisere telefonsamtaler på en slik måte at man unngår opptak av overskuddsinformasjon, det ikke foreligger noen plikt til å dokumentere slik informasjon, og siden det er et uttrykkelig krav om at opplysningene som lagres skal være relevante i personopplysningsloven 11 bokstav d, fordrer det at det er en adgang til å slette informasjon om samtaler som åpenbart faller utenfor virkeområdet til bestemmelsene, eksempelvis samtaler av rent privat karakter. Den ansatte bør følgelig gis anledning til å markere samtaler/meldinger mv. som skal slettes. Notoritetshensyn kan tilsi at rutiner for sletting bør inneholde et krav om at en annen part er tilstede under sletting, særlig for å unngå situasjoner hvor viktig dokumentasjon slettes av den ansatte selv. Hvordan slike sletterutiner kan innrettes på en måte som tilfredsstiller Finanstilsynets krav om dokumentasjon må avklares nærmere. Bruk av e-post eller andre elektroniske kommunikasjonsmedier Forskriften oppstiller videre krav til kommunikasjon gjennom andre medier, eksempelvis e-post, chat, MSN mv., hvoretter det skal etableres betryggende rutiner for dokumentasjon. Personopplysningslovens bestemmelser vil gjelde også for slik kommunikasjon, noe som betyr at det må etableres rutiner for å sikre at det primært lagres relevant informasjon. I praksis innebærer dette at den behandlingsansvarlige er avskåret fra å innhente all innkommet og utgående kommunikasjon. Det er særlig hensynet til at arbeidstaker ikke har kontroll for innkomne meldinger mv., at det vil foregå kommunikasjon mellom arbeidstaker og andre som åpenbart faller utenfor virkeområdet til forskriften samt at arbeidstakere ofte tillates å bruke elektroniske kommunikasjonskanaler også til private formål som gjør slik innhenting/videresending/datafangst i strid med regelverket etter personopplysningsloven. Den behandlingsansvarlige må forutsetningsvis utarbeide rutiner for når dokumentasjon skal lagres, i hvilke tilfeller/hvor ofte materialet skal gjennomgås, hvor slik lagring skal skje, hvem som skal ha tilgang til lagret materiale mv. Plikten kan minne om den tradisjonelle arkivplikten, hvoretter det foretas en fortløpende vurdering av hvilket materiale som er arkivverdig, og hvordan dette senere skal lagres. SIDE 8

9 Innsyn i e-post er direkte regulert i kapittel 9 i personopplysningsforskriften. Forskriften gjelder arbeidsgivers rett til innsyn i arbeidstakers e-postkasse og tilsvarende for adgangen til gjennomsøking av og innsyn i arbeidstakers personlige område i virksomhetens datanettverk og i andre elektroniske kommunikasjonsmedier eller elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet. Reglene er preseptoriske, og kan følgelig ikke fravikes til ugunst for arbeidstaker, jf. personopplysningsforskriften 9-5. Dersom det er arbeidsgiver som står for undersøkelser knyttet til markedsmisbruk eller øvrige undersøkelser som knyttes til formålet med bestemmelsene, vil reglene om innsyn i e-post komme til anvendelse. Vilkår for innsyn i personopplysningsforskriften 9-2 må da være oppfylt. Om det på den annen side er Finanstilsynet som krever dokumentasjon i forbindelse med tilsyn eller annen virksomhet som ligger innenfor deres myndighetsområde, vil imidlertid dokumentasjon måtte overleveres når det foreligger dekkende hjemler for slik innhenting av informasjon. Lagring sletting Det følger av personopplysningsloven 28 at den behandlingsansvarlige ikke skal lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. I henhold til verdipapirforskriften 10-34, 1. ledd bokstav c, som omtaler informasjonsplikt, skal dokumentasjonen som omfattes av lagringsplikten oppbevares i tre år. Plikten til å lagre materiale i tre år gjelder imidlertid kun relevante opplysninger. Den behandlingsansvarlige må av denne grunn etablere rutiner for å søke å hindre opptak/innhenting av overskuddsinformasjon, jf. over. SIDE 9

10 4 Informasjon rettigheter Informasjonsplikt Etter verdipapirforskriften skal verdipapirforetaket ved etablering av kundeforholdet skriftlig opplyse alle kunder om: at det gjøres lydopptak av alle telefonsamtaler som omfattes av første ledd, at dokumentasjon av kommunikasjon gjennom andre kommunikasjonskanaler enn telefon i tilknytning til ytelse av investeringstjenester også oppbevares, at oppbevaringstiden er minst tre år, og at lydopptaket kan gjenfinnes etter særskilte kriterier. Hvilke kriterier som kan benyttes for gjenfinning skal særskilt angis. Plikten til å informere ansatte, samt plikten til å informere tredjeparter (personer som ikke defineres som kunder, jf. over) fremgår ikke av forskriften, og personopplysningslovens regler om informasjonsplikt vil da inntre. Det følger av personopplysningsloven 19 at den behandlingsansvarlige har informasjonsplikt overfor den registrerte når det samles inn opplysninger fra den registrerte selv. Før registrering skal det informeres om navn og adresse på den behandlingsansvarlige, formålet med behandlingen, om opplysningene vil bli utlevert, og eventuelt til hvem, om det er frivillig å gi fra seg opplysningene, og annet som skal gjøre den enkelte i stand til å ivareta sine rettigheter etter loven. Plikten til å gi informasjon gjelder her før lydopptak settes i gang, eksempelvis før lydopptakets oppstart. Den behandlingsansvarlige (arbeidsgiver) vil etter dette ha et ansvar for å gi grunnleggende informasjon om behandlingen av opplysninger til ansatte og tredjeparter, utarbeide rutinebeskrivelser for slik innhenting og lagring av informasjon samt informere de ansatte behørig om disse rutinene, jf. plikten til å etablere internkontroll i personopplysningsloven 14. Innsyn Den registrerte, som ved lydopptak vil være både den ansatte, kunden eller andre aktører, har rett til innsyn i registrerte opplysninger om vedkommende, jf. personopplysningsloven 18, 2. ledd. Generelt gjelder det ingen krav til begrunnelse for spørsmål om innsyn i opplysninger om den registrerte. Den behandlingsansvarlige skal svare på henvendelser som innsyn uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn, jf. personopplysningsloven 16. Unntak fra retten til informasjon og retten til innsyn er regulert i personopplysningsloven 23. SIDE 10

11 Innsyn for den ansatte Den ansatte har krav på innsyn i registrerte opplysninger, herunder lydopptak og annen dokumentasjon av vedkommendes arbeidsutførelse ved tjenester i tilknytning til investering. Den ansatte vil videre ha krav på innsyn i loggføring av aktiviteter i datasystemer mv. som er knyttet til vedkommende som bruker av systemet. Dersom arbeidsgiver gjør innsyn i e-postkasse eller annet elektronisk utstyr med sikte på kontroll av arbeidstaker, vil reglene om prosedyrer ved slikt innsyn sikre at arbeidstaker som hovedregel gis adgang til varsel om innsyn samt adgang til å være tilstede under gjennomgangen, jf. personopplysningsforskriften 9-3. Innsyn for kunden/andre registrerte Kunden eller andre registrerte vil ha innsynsrett etter personopplysningsloven 18, 2. ledd. SIDE 11

12 5 Krav til informasjonssikkerhet, internkontroll mv. Internkontroll Rutinebeskrivelse - 14 Det følger av personopplysningsloven 14 at den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av loven. Tiltak skal dokumenteres. Kravene til internkontroll vil være et viktig virkemiddel i arbeidet med å skape forutberegnlighet for de ansatte. Informasjonssikkerhet Etter personopplysningsloven 13 skal den behandlingsansvarlige og databehandleren sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger, gjennom planlagte og systematiske tiltak. Informasjonssystemet og sikkerhetstiltakene skal dokumenteres. Øvrige krav til informasjonssikkerhet er regulert i personopplysningsforskriftens kapittel 2. Utkontraktering databehandler Dersom en virksomhet velger å utkontraktere sine forpliktelser etter verdipapirhandelloven, herunder lydopptaksforpliktelsen, vil oppdragshaveren fungere som en databehandler etter personopplysningslovens begrepsbruk. Etter personopplysningsloven 15 skal det da foreligge en databehandleravtale som regulerer behandlingen av personopplysninger, herunder informasjonssikkerhetstiltak, jf. personopplysningsloven 13. Avtaleskisser og veileder finnes på SIDE 12

Like dokumenter
2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding