PERSONVERN I FINANSSEKTOREN

Transkript

1 CHRISTINE ASK OTTESEN KATRINE BERG BLIXRUD PERSONVERN I FINANSSEKTOREN å GYLDENDAL AKADEMISK

2 Innhold Introduksjon 19 Innledning 21 DEL I EN GENERELL INNFØRING I PERSONOPPLYSNINGSLOVEN 23 KAPITTEL 1 Rettskildebildet Personverndirektivet Personopplysningsloven Personopplysningsforskriften Andre relevante rettskilder 25 KAPITTEL 2 Sentrale personvemorganer og personvemombud Datatilsynet Personvernnemnda Personvernkommisjonen Artikkel 29-gruppen Personvemombud 31 KAPITTEL 3 Sentrale begreper Personopplysning Direkte og indirekte identifiserbare personopplysninger Avidentifiserte personopplysninger Pseudonyme personopplysninger Opplysninger som faller utenfor personopplysningsbegrepet Sensitiv personopplysning Rasemessig eller etnisk bakgrunn. Politisk, filosofisk eller religiøs oppfatning Straffbare handlinger Helseforhold Seksuelle forhold Medlemskap i fagforeninger Begrepet personopplysning i personverndirektivet 48

3 1O INNHOLD 3.4 Behandlingsansvarlig Databehandler Behandling av personopplysninger Den registrerte 59 KAPITTEL 4 Personopplysningslovens virkeområde Saklig virkeområde Unntak fra det saklige virkeområdet Personlige eller private formål Hensynet til ytringsfriheten Øvrige unntak Geografisk virkeområde 69 KAPITTEL 5 Behandlingsgrunnlag - tillatt å behandle personopplysninger? Samtykke Kravtil et gyldig samtykke Formkrav Samtykkekompetanse Lovhjemmel Nødvendighetskriteriene Avtale Rettslig forpliktelse Vitale interesser Allmenn interesse Utøvelse av offentlig myndighet Berettiget interesse Er samtykke hovedregelen? Tilleggsvilkår for behandling av sensitive personopplysninger 87 KAPITTEL 6 Grunnkrav til behandling av personopplysninger Behandlingsgrunnlag Uttrykkelig formålsangivelse som er saklig begrunnet Bruk til andre formål Tilstrekkelige og relevante personopplysninger Korrekte og oppdaterte personopplysninger 97 KAPITTEL 7 Innsynsrett og informasjonsplikt Retten til innsyn Allmennhetens innsynsrett Den enkeltes innsynsrett Plikten til å gi informasjon Når inntrer informasjonsplikten - innsamling av opplysninger fra den enkelte Når inntrer informasjonsplikten - innsamling av opplysninger fra andre kilder 107

4 INNHOLD Sammenslåing av informasjonspliktene i 19 og Hva skal det informeres om Hvordan skal informasjonsplikten ivaretas Unntak fra informasjonspliktene Bruk av personprofiler - utvidet informasjonsplikt Hva er en personprofil Når inntrer informasjonsplikten Hvaskal det informeres om Unntak fra innsynsretten og informasjonsplikten 114 KAPITTEL 8 Retting og sletting av personopplysninger Retting Når skal opplysningene rettes Hvordan skal retting skje Sletting Når skal personopplysninger slettes Unntak fra slettereglene Hvordan slette i praksis 121 KAPITTEL 9 Fødselsnummer og biometri Fødselsnummer Når kan fødselsnummer behandles Biometri Når kan biometri behandles 128 KAPITTEL 1O Konsesjons- og meldeplikt Konsesjonsplikt Unntak fra konsesjonsplikten Meldeplikt Hvordan det skal meldes Når det skal meldes Begrunnelse for meldeplikten 136 KAPITTEL 11 Sanksjoner Overtredelsesgebyr Tvangsmulkt Straff Erstatning 143 KAPITTEL 12 Kameraovervåking og lydopptak Kameraovervåking Når er det lov å kameraovervåke Plikter ved kameraovervåking Overvåking av ansatte Lydopptak 156

5 12 INNHOLD Regler for bruk av lydopptak Typetilfeller av lydopptak Innsyn i e-post mv Arbeidsgivers rettigheter Prosedyrer ved innsyn Sletting av personopplysninger ved opphør av arbeidsforholdet Adgang til å fravike bestemmelsene 169 KAPITTEL 13 Direkte markedsføring Ny markedsføringslov - konsekvenser Supplerende regler i personopplysningsloven 175 KAPITTEL 14 Overføring av personopplysninger til utlandet Innledning Overføringsbegrepet Hovedregelen Overføring i EU/EØS Stater godkjent av EU-kommisjonen Forsvarlig behandling Unntaksbestemmelsene Samtykke til overføringen Nødvendigfor oppfyllelse av en avtale Avtale med tredjeperson Fastsette, gjøre gjeldende eller forsvare et rettskrav Oppsummering av unntakene i 30 første ledd Garantier fra den behandlingsansvarlige EU-kommisjonens standardavtaler Binding corporate rules Safe Harbor Særskilt om melde- og konsesjonsplikt 202 KAPITTEL 15 Internkontroll og informasjonssikkerhet Innledning Internkontroll Hva er internkontroll? Styrende del Gjennomførende del Kontrollerende del Revisjon av internkontrollen Et eksempel - den allmenne innsynsretten En tilgjengelig internkontroll Internkontroll hos databehandleren Informasjonssikkerhet Hva er informasjonssikkerhet? Om konfidensialitet, integritet og tilgjengelighet 214

6 INNHOLD Forholdsmessighet og krav fra Datatilsynet Sikkerhetsmål og - strategi, ledelsens gjennomgang Risikovurdering Avvikshåndtering og sikkerhetsrevisjon Organisering, personell og taushetsplikt Fysisk sikring Sikkerhetstiltak Dokumentasjon Andre virksomheter Svakheter i finanssektoren 222 DEL II KREDITTOPPLYSNING 225 KAPITTEL 1 Kredittopplysningsvirksomhet Rettskildebildet Begrepet kredittopplysning Skillet mellom næringsdrivende og enkeltperson 231 KAPITTEL 2 Kredittopplysningsforetaket - leverandøren av opplysninger Kredittopplysningsvirksomhet Unntak fra reglene om kredittopplysningsvirksomhet Konsesjonsplikt Standardkonsesjon til å drive kredittopplysningsvirksomhet Hvilke kilder kan det innhentes opplysninger fra Hvordan kan opplysningene hentes fra kildene? Opplysninger det er adgang til å registrere Grunndata Opplysninger om enkeltpersoner Opplysninger om næringsdrivende Særlig om betalingsanmerkninger Særlig om bruk av rating og risikoprofiler Opplysninger det eksplisitt ikke er adgang til å registrere Opplysninger om tidligere forespørsler Sensitive opplysninger Korrekte og oppdaterte opplysninger Retting av opplysninger Sletting av opplysninger Slettefrist for oppgjorte fordringer Slettefrist for opplysninger som ikke er oppgjorte Særlige slettefrister Forhåndsvarsel Hvem forhåndsvarsel skal sendes til og hva det skal inneholde Når skal forhåndsvarsel sendes og når er det mottatt Unntak fra plikten til å sende forhåndsvarsel 284

7 14 INNHOLD 2.12 Utlevering av kredittopplysninger Hvem kan det utleveres kredittopplysninger til - kravet til saklig behov Hvordan utleveringen kan skje Loggføringsplikt for utleveringen Plikten til å sende gjenpartsbrev Hvem skal gjenpartsbrevet sendes til Når skal gjenpartsbrevet sendes Krav til gjenpartsbrevets innhold Hvordan skal gjenpartsbrevet sendes Unntak fra plikten til å sende gjenpartsbrev 297 KAPITTEL 3 Etterspørrer - den som innhenter kredittopplysninger Hvem kan innhente kredittopplysninger - kravet til saklig behov Fra romslig til streng tolkning av kravet til saklig behov? Hva innebærer kravet til saklig behov Kan et samtykke avhjelpe manglende grunnlag for kredittvurdering? Eksisterer det en beløpsgrense for innhenting av kredittopplysninger? Tidspunkt for innhenting av kredittopplysning Hvem kan kredittvurderes Praksis Rettslige skritt Ansettelse Teleselskaper Leietakere og andelshavere Oppdatering og innhenting av informasjon Journalistisk virksomhet Konkurrenter Som kilde for inntektsopplysninger Kredittvurdering ved åpning av brukskonto Produktet overvåking Behandlingsgrunnlag for bruk av kreditopplysninger Informasjonsplikt Plikt til å gi innsyn, samt redegjøre for det saklige behovet Advokater som kredittvurderer på vegne av etterspørrer Innhenting av kredittopplysninger over internert Utlevering av kredittopplysninger over disk Utlevering av kredittopplysninger til andre Sletting av kredittvurderinger Relevante kredittopplysninger 334 KAPITTEL 4 Omspurte - den som blir kredittvurdert Retttil innsyn Innsyn i hvem det er utlevert kredittopplysninger til Kredittvurdering av seg selv Retten til å sperre seg selv mot kreditt 340

8 INNHOLD Korrigering og sletting av kredittopplysninger Erstatning 341 KAPITTEL 5 Sentralt gjeldsregister 343 DEL III BANK 347 KAPITTEL 1 Innledning Rettskildebildet Konsesjonsregulering Tilsynsprosjekter 352 KAPITTEL 2 Generelle regler for bank Krav til behandlingsgrunnlag Lovhjemlet behandling av kundeopplysninger Samtykkebasert behandling av kundeopplysninger Behandling av kundeopplysninger basert på avtale Behandling av kundeopplysninger for å forsvare et rettskrav Behandling av kundeopplysninger etter en interesseaweining Kunders retttil innsyn Innsyn i elektroniske oppslag Krav til innsynsbegjæringen og gjennomføring av innsynet Unntak fra plikten til å gi innsyn i oppslag Bankens informasjonsplikt Swiftsaken Sletting av opplysninger Sletteregler Sletting og bruk av kundeopplysninger til andre formål Praksis Tilgangsbegrensninger Tilsynsprosjektene Regulering i nåværende og ny bankkonsesjonen Utlevering av personopplysninger Generelt om utlevering Utlevering til et konsernkunderegister Opplysningskvalitet Personregisterforskriften Praksis 388 KAPITTEL 3 Særlige forhold for bank Markedsføring Regulering i konsesjon Definisjon av markedsføring og kundepleie Markedsføring rettet mot egne kunder 393

9 16 INNHOLD Markedsføring rettet mot konsernkunder Bruk av personprofiler Fjernsynsovervåking Risikoklassifisering Forholdet til personopplysningsloven Regulering i konsesjon Utlevering fra kredittopplysningsforetakene Sletting Tilgangsbegrensning Informasjonsplikt Kunders mislighold Behandling av opplysninger om misbruk Bruk av fødselsnummer og biometri 413 DEL IV INKASSO 415 KAPITTEL 1 Innledning Tilsynsprosjektet mot inkassobransjen Bransjenormen 419 KAPITTEL 2 Konsesjons- eller meldeplikt 421 KAPITTEL 3 Behandlingsansvar 423 KAPITTEL 4 Grunnkrav og behandlingsgrunnlag Innsamling av personopplysninger om skyldneren Innsamling av opplysninger fra fordringshaver Innsamling av opplysninger fra skyldneren Innsamling av opplysninger fra leverandører Utlevering av personopplysninger om skyldneren Utlevering av opplysninger til fordringshaveren Utlevering av opplysninger til kredittopplysningsforetak Utlevering av opplysninger til et annet inkassoselskap Utlevering av opplysninger til øvrige Oppdaterte og korrekte opplysninger 438 KAPITTEL 5 Innsyn Den enkeltes innsynsrett Ektefellers og samboeres innsynsrett Fordringshaveres krav på innsyn Publikums generelle innsynsrett 442

10 INNHOLD 17 KAPITTEL 6 Informasjonsplikt Når personopplysninger samles inn fra skyldneren Når personopplysninger samles inn fra andre enn skyldneren 445 KAPITTEL 7 Sletting Sletteregler i bransjenormen Regnskapsmateriale Ordinære inkassokrav Offentlige krav Krav fra bank- finansvirksomhet IFRS Rutiner for sletting 452 KAPITTEL 8 Bruk av kredittvurderinger Kredittvurdering av skyldneren Registrering av nytt inkassokrav For å vurdere om rettslig skritt skal igangsettes Oppdatering av kontaktopplysninger Utsendelse av gjenpartsbrev Videreformidling av kredittopplysninger 459 Vedlegg: Hvordan forberede seg til tilsyn? 461 Litteratur 463 Forarbeider 464 Saksregister Stikkord 471