Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde.

Like dokumenter
Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

Vedrørende pkt. 2 Bør det fastsettes nasjonale regler om behandling av personopplysninger i kredittopplysningsvirksomhet?

Utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet - høringsuttalelse

Høringsnotat behandling av opplysninger i kredittopplysningsvirksomhet

Dato: Versjon: 1.0 Forfatter: Berit Hartviksen Arkivref:

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Norske Kredittopplysningsbyråers Forening

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

PERSONVERN I FINANSSEKTOREN

Finansdepartementet 10. april Høringsnotat

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Personvernforordningen

Høring om utkast til ny personopplysningslov gjennomføring av personvernforordningen i norsk rett

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Personvernforordningen

Ny personopplysningslov. Per Bruvold Sikkerhetssjef/Personvernombud UNN, KVALUT oktober 2018

EUs nye forordning for personvern

FORSLAG TIL ENDRINGER I SJØLOVEN OG FORSKRIFT OM DISPASJØRER - KOMPETANSEKRAV MV. FOR DISPASJØRER

NYHETSBREV. Forslag til ny personopplysningslov. 7. juli 2017

OM PERSONVERN TRONDHEIM. Mai 2018

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Regelrådets uttalelse. Om: Høyring av forslag om endringar i reglane om informasjonshandsaminga i Skatteetaten Ansvarlig: Finansdepartementet

Regelrådets uttalelse. Om: Høring diverse endringer i luftfartsloven droner gjennomføring av ny basisforordning Ansvarlig: Samferdselsdepartementet

Forslag til ny lov om behandling av personopplysninger

Ny personopplysningslov. Leif Erik Nohr Juridisk rådgiver UNN, KVALUT juni 2018

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

EUs personvernforordning og norsk personopplysningsrett

HØRING OM NY PERSONOPPLYSNINGSLOV - GJENNOMFØRING AV PERSONVERNFORORDNINGEN I NORSK RETT

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Personvernforordningen

Digital protokoll over behandlinger

Nye personvernregler

Ansvarlig myndighet: Kommunal- og moderniseringsdepartementet Regelrådets vurdering: Gul: Utredningen har svakheter

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

Kunngjort 16. juni 2017 kl PDF-versjon 19. juni 2017

Nye personvernregler

Registrerte og personopplysninger som behandles

Ny forordning om behandling av personopplysninger. Hvordan går det med pasienten?

Regelrådets uttalelse

Ny postregulering - høringsuttalelse

Uttalelse fra Regelrådet til forslag til ny verdipapirregisterlov og regler om innsyn i hvem som eier obligasjoner

Ny personvernlovgivning

Informasjonssikkerhet i forordningen

Instruks om utredning av statlige tiltak (utredningsinstruksen)

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Høring - Advokatlovutvalgets utredning NOU 2015: 3 Advokaten i samfunnet

Nye personvernregler fra mai 2018 Personvern og medlemslister Knut B. Kaspersen - Datatilsynet 12. desember 2017

Uansett hvor man står, ikke bli stående! Nye personvernregler fra mai 2018

Personvernforordningen

Samtidig foreslås å oppheve forskrift nr. 309 om norsk ansvarlig organ for

2. Kommentarer til de forslagene hvor dere særskilt ber om innspill

Høringssvar om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

NRK vil nedenfor kommentere lovforslaget i samme rekkefølge som høringsnotatet, og følgende forhold vil bli tatt opp:

Høringsnotat: Enklere tilgang til helseopplysninger for kvalitetssikring av helsehjelp og egen læring

Prosedyre for personvern

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Personvern for mobilkunder hos Fjordkraft

Personvern-rett H2016

Norm for behandling av personopplysninger ved kommunal revisjon og kontrollutvalgssekretariat

POLITIET KRIPOS HØRINGSUTTALELSE FORSLAG TIL KRAV OM POLITIATTEST FOR PERSONELL I DEN KOMMUNALE HELSE OG OMSORGSTJENESTEN

Hvilken betydning har personvernforordningen på helseområdet

Nye personvernregler Gullik Gundersen juridisk rådgiver

Høring - NOU 2016:21 Stiftelsesloven

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

0030 Oslo 16. oktober 2017

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Databehandleravtale. Charlotte Lindberg Difi

NORID - Registrarseminar 26. april 2017

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

GDPR - Personvern

Personvernforordningen og utfordringer i dagens helsetjeneste

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

GDPR FOR EIENDOMSSELSKAPER

Underbygger lovverket kravene til en digital offentlighet

Krav til informasjonssikkerhet i nytt personvernregelverk

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Forslag til forskrift om gjennomføring av havneforordningen i norsk rett

«Skremsler» kunne og leseveiledning ha til blitt den som vil sette seg Slik inn kan i personvernforordningenbli. Dag Wiese Schartum

FORSLAG TIL FORSKRIFT OM BETALINGSTJENESTER HØRINGSUTTALELSE FRA KLARNA BANK AB

Min bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...

Regelrådets uttalelse. Om: Forslag om endring av reaksjonshjemlene i produktkontrolloven Ansvarlig: Miljødirektoratet

Regelverk. Endringer i regelverk for digital forvaltning

Vår referanse (bes oppgitt ved svar)

Innkalling til styremøte 9/2018. Aktuelle organisasjonspolitiske saker og aktivitet

Ny personvernforordning Hvordan reguleres informasjonssikkerhet

Nye personvernregler fra mai 2018, hva nå?

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Høringssvar fra Utlendingsdirektoratet politiets tilgang til utlendingsmyndighetenes registre

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

Rusmiddeltesting i arbeidslivet et personvernperspektiv

Nye personvernregler fra 2018

Transkript:

Kommunal- og moderniseringsdepartementet (KMD) Oslo 19. mars 2018 Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet høringsuttalelse fra Juristforbundet Det vises til at Kommunal- og moderniseringsdepartementet (KMD) den 19. desember 2017 sendte ut «Høringsnotat behandling av opplysninger i kredittopplysningsvirksomhet». Juristforbundets fagutvalg for personvern bistår Juristforbundet i spørsmål om personvern og gjennomgår høringssaker innenfor utvalgets fagområde. For tiden har fagutvalget følgende medlemmer: - Partner/advokat Kristin Haram Førde, Bull & co advokatfirma - Direktør/advokatfullmektig Christine Ask Ottesen, Advokatfirmaet PwC - Partner/advokat Claude A. Lenth, Advokatfirma Hjort - Partner/advokat Kari Gimmingsrud, Advokatfirma Haavind Hovedstyret i Juristforbundet slutter seg til denne høringsuttalelsen. 1. Innledning og bakgrunn Kommunal- og moderniseringsdepartementet (heretter forkortet departementet) har fremmet forslag om ny lov om behandling av opplysninger i kredittopplysningsvirksomhet. Denne typen virksomhet er i dag særskilt regulert i forskrift om behandling av personopplysninger (personopplysningsforskriften) kapittel 4 og konsesjon fra Datatilsynet med hjemmel i personopplysningsloven 34 og 35 jf. personopplysningsforskriften 4-5. Som følge av at forordning EU 2016/679 (personvernforordningen) skal gjennomføres i norsk rett, jf. Justis- og beredskapsdepartementets forslag til ny personopplysningslov, vil dagens personopplysningslov og personopplysningsforskrift oppheves, herunder særreguleringen av kredittopplysningsvirksomhet. Departementets forslag innebærer en regulering av hvordan behandling av opplysninger om personer og næringsdrivende kan behandles i kredittopplysningsvirksomhet når personvernforordningen gjennomføres i norsk rett. 2. Generelle merknader Norges Juristforbund Juristenes Hus Kristian Augusts gate 9 0164 Oslo Sentralbord 40 00 24 25 www.juristforbundet.no Org. nr. 970 168 087 1/5

Kredittopplysningsvirksomhet innebærer en omfattende behandling av opplysninger. Personopplysninger om økonomiske forhold er ikke å regne som sensitive/særlig kategorier av personopplysninger, jf. personopplysningsloven 2 nr. 8 og personvernforordningen art. 9. Denne type opplysninger oppleves likevel som beskyttelsesverdige av svært mange. I tillegg kan konsekvensene for de berørte være betydelige om opplysningene ikke behandles på en tilfredsstillende måte. Juristforbundet støtter derfor departementets forslag om å regulere kredittopplysningsvirksomhet særskilt i ny lov, hvor det blant annet klart fremgår hvilke og hvor lenge opplysninger kan behandles for kredittopplysningsvirksomhet, vilkår for utlevering av slike opplysninger og informasjon til de registrerte om behandlingen av opplysninger i denne sammenheng. Juristforbundet støtter også departementets vurdering av om det er nasjonalt handlingsrom for å regulere kredittopplysningsvirksomhet i norsk rett i tråd med personvernforordningen art. 6 nr. 2 jf. art. 6 nr. 1 bokstav e. Forslaget til ny lov om behandling av personopplysninger i kredittopplysningsvirksomhet er i stor grad en videreføring av gjeldende rett. Juristforbundet ønsker likevel å berømme departementet for et grundig og dekkende høringsnotat som gir godt grunnlag for en vurdering av forslagets innhold. Juristforbundet har for øvrig merknader til følgende bestemmelser i høringsnotatet: 3. Valg av reguleringsform, punkt 2.4.2 3.1 Bransjenorm vs. lov/forskrift Departementet ber om høringsinstansenes syn på hvorvidt det bør tas sikte på at nærmere regler om kredittopplysningsvirksomhet fastsettes i bransjenormer. Juristforbundet støtter som nevnt over, departementets forslag om å regulere kredittopplysningsvirksomhet særskilt i ny lov, hvor det blant annet klart fremgår hvilke og hvor lenge opplysninger kan behandles for kredittopplysningsvirksomhet, vilkår for utlevering av slike opplysninger og informasjon til de registrerte om behandlingen av opplysninger i denne sammenheng. Juristforbundet støtter også departementets vurdering av om det er nasjonalt handlingsrom for å regulere kredittopplysningsvirksomhet i norsk rett i tråd med personvernforordningen art. 6 nr. 2 jf. art. 6 nr. 1 bokstav e. Juristforbundet mener likevel at det kan være gode grunner for å åpne for mellomløsninger, der noen bestemmelser tas inn i lov (eller forskrift), mens andre reguleres i bransjenormer. Dette også fordi det i personvernforordningen i stor grad oppfordres til å utarbeide bransjenormer, som skal bidra til riktig anvendelse av personvernforordningen i det det tas hensyn til de forskjellige behandlingssektorene som har behov for særskilt rettledning. Videre slutter vi oss til departementets vurderinger om bransjenormer, med hensyn til fordelene med å oppnå europeisk rettsenhet på området, dels at det kan gi større fleksibilitet til å endre reglene ved behov. Juristforbundet legger til grunn at den offentlige kontrollen med bransjenorm vil være godt dekket etter reglene i personvernforordningens artikkel 41. Selv om det kan være frivillig å slutte seg til bransjenormen, vil en slik norm være en god veiledning for bransjen, og en god rettesnor for riktig etterlevelse av personopplysningsloven og en eventuell ny særlov for kredittopplysningsvirksomhet. En mellomløsning vil gi forutberegnelighet både for de registrerte og de behandlingsansvarlige. 3.2 Særlov eller inkludert i den nye POL? Det bes om høringsinstansenes syn på hvorvidt det bør fastsettes en særlig lov om kredittopplysningsvirksomhet. Kredittopplysningsvirksomhet innebærer en omfattende behandling av opplysninger. Personopplysninger om økonomiske forhold er ikke å regne som sensitive/særlig kategorier av personopplysninger, jf. personopplysningsloven 2 nr. 8 og personvernforordningen art. 9. Denne type opplysninger oppleves likevel som beskyttelsesverdige av svært mange. I tillegg kan konsekvensene for de berørte være betydelige om opplysningene ikke behandles på en tilfredsstillende måte 2/5

Juristforbundet støtter derfor departementets forslag om å regulere kredittopplysningsvirksomhet særskilt i ny lov, hvor det blant annet klart fremgår hvilke og hvor lenge opplysninger kan behandles for kredittopplysningsvirksomhet, vilkår for utlevering av slike opplysninger og informasjon til de registrerte om behandlingen av opplysninger i denne sammenheng. Juristforbundet støtter også departementets vurdering av om det er nasjonalt handlingsrom for å regulere kredittopplysningsvirksomhet i norsk rett i tråd med personvernforordningen art. 6 nr. 2 jf. art. 6 nr. 1 bokstav e. 4. Reglenes saklige virkeområde, punkt 3.2: Bør reglene om kredittopplysningsvirksomhet omfatte andre enn fysiske personer? Departementet ber om høringsinstansenes syn på spørsmålet om behandling av kredittopplysninger om næringsdrivende fortsatt bør reguleres. Juristforbundet mener det er gode grunner for å videreføre regulering av behandling av kredittopplysninger også om næringsdrivende. En stor andel av de næringsdrivende i Norge er små virksomheter, og i mange tilfeller vil det være en nær tilknytning mellom eier som næringsdrivende og enkeltperson, for eksempel ved advokatvirksomhet. Også næringsdrivende kan rammes hardt dersom uriktige økonomiske opplysninger om dem spres. Det at både det svenske Justisdepartementet og det danske Justitsministeriet i sine respektive utredninger og lovforslag har foreslått å videreføre ordningen der kredittopplysningsreglene også regulerer behandling av opplysninger om næringsdrivende, taler også for at det norske lovforslaget bør åpne for dette, men med enkelte tilpasninger, se nedenfor. 5. Hvilke kilder opplysningene kan hentes fra, punkt 5 Etter gjeldende rett er det også anledning til å hente opplysninger om næringsdrivende fra media. I lovforslaget 9 er det foreslått at «mediebegrepet» erstattes med «offentlig tilgjengelig kilder» for så vidt gjelder innhenting av opplysninger om næringsdrivende. Dette er begrunnet med utbredelsen av blant annet sosiale medier og formålet med lovforslaget er slik Juristforbundet oppfatter det å åpne for at kredittopplysningsforetak heretter også skal kunne innhente opplysninger om næringsdrivende fra sosiale medier. I praksis innebærer lovforslaget på dette punkt en vesentlig utvidelse av hvilke kilder kredittopplysningsfirmaene kan hente opplysninger fra. Juristforbundet mener det ikke bør åpnes for at kredittopplysningsforetak heretter også skal kunne innhente opplysninger om næringsdrivende fra sosiale medier. Begrunnelsen er at den informasjon som formidles via sosiale medier i næringsvirksomhet har et formål og et format som forutsetningsvis ikke vil være forenlig med kravene til datakvalitet og som ligger til grunn for de øvrige kildene som er listet opp i lovforslaget 9. Videre vises til at det er et betydelig problem med falske profiler og informasjon om både private og næringsdrivende. Vektlegging av slik informasjon kan derfor føre til uriktig resultat. 6. Utlevering av kredittopplysninger, punkt 6 Juristforbundet støtter lovforslaget 15 (2) om at kredittopplysninger bare kan utleveres på grunnlag av søkekriterier som gir unike treff i kredittopplysningsdatabasen. Dersom det skulle være grunnlag for å videreføre dagens praksis om at kredittopplysninger i visse tilfeller kan gis muntlig, mener Juristforbundet at opplysningene uansett også må bekreftes skriftlig, og uavhengig av hva opplysningene inneholder, for å sikre dokumentasjon. Det er da også hensiktsmessig å videreføre en plikt for kredittopplysningsforetaket å oppbevare en logg for besvarelse av eventuelle etterfølgende innsynshenvendelser fra den registrerte. 3/5

7. Frivillig sperre mot utlevering av kredittopplysninger, punkt 7 Juristforbundet er enig i at enkeltpersoner skal ha adgang til å sperre seg mot kredittvurdering. Dette er en viktig rettighet i tråd med retten til å råde over egne personopplysninger, og et viktig tiltak for å begrense konsekvensene av eventuelt identitetstyveri. Når det gjelder næringsdrivende, vil Juristforbundet påpeke at en kredittsperre kan ha uheldige virkninger for næringslivet ved at det påvirker effektiviteten i kredittgivning. Videre mener Juristforbundet at slike opplysninger bør være tilgjengelig, i likhet med at regnskapene er offentlig. Dette sikrer andre næringsdrivende og offentligheten innsyn i virksomheters økonomi. 8. Innsyn og informasjon til de registrerte, punkt 8 Departementet ber om høringsinstansenes syn på om næringsdrivende skal ha rett til innsyn i hvilke kredittopplysninger som er gitt om virksomheten. En stor andel av de næringsdrivende i Norge er små virksomheter, og i mange tilfeller vil det være en nær tilknytning mellom eier som næringsdrivende og enkeltperson, for eksempel ved advokatvirksomhet. Også næringsdrivende kan rammes hardt dersom uriktige økonomiske opplysninger spres. Av denne grunn mener Juristforbundet at det er fornuftig å videreføre en bestemmelse hvor næringsdrivende har en rett til å be om informasjon om hvilke kredittopplysninger som er gitt om virksomheten de siste seks måneder, hvem disse er gitt til og hvor de er innhentet fra. 9. Sletting av opplysninger, punkt 9 Juristforbundet støtter forslaget om å videreføre dagens regler om konkrete lagringsperioder og slettefrister. Dersom forslaget om å åpne opp for innhenting av informasjon fra sosiale medier («offentlig tilgjengelig kilder») blir videreført, bør det av hensyn til datakvaliteten settes en kortere absolutt slettefrist enn dagens 4 års regel. Se også punkt 6 ovenfor. 10. Informasjonssikkerhet og den behandlingsansvarliges ansvar, punkt 10 Gjeldende konsesjoner om kredittopplysningsvirksomhet fra Datatilsynet gir ikke særlige bestemmelser om informasjonssikkerhet og internkontroll. De alminnelige bestemmelsene i personopplysningsloven 13-15 og personopplysningsforskriften kap. 2 og 3 kommer imidlertid til anvendelse også for denne typen virksomhet. Krav til informasjonssikkerhet er sentralt for en tilfredsstillende sikker behandling av personopplysninger, og tilsvarende bidrar krav til internkontroll til at virksomheter setter rammer som sørger for at behandlingen av opplysninger skjer i samsvar med gjeldende regelverk. For kredittopplysningsvirksomhet hvor det behandles personopplysninger, vil de kommende kravene i personvernforordningen kap. IV gi tilstrekkelige føringer for ivaretakelse av kravene til internkontroll og informasjonssikkerhet. Tilsvarende gjelder ikke for kredittopplysningsvirksomhet rettet mot behandling av opplysninger om næringsdrivende, med unntak for enkeltpersonsforetak. Departementet foreslår i lovutkast 6 at deler av bestemmelsene i personvernforordningen kap. IV skal gis anvendelse også for behandling av opplysninger om næringsdrivende. Dette gjelder særlig ansvar for etterlevelse av regelverket, delt behandlingsansvar, bruk av databehandlere og databehandlers ansvar, føring av protokoll for behandlingsaktiviteter, samarbeid med tilsynsmyndigheter og informasjonssikkerhet. 4/5

Juristforbundet støtter forslaget til ny 6. All den tid konsekvensene også for næringsdrivende må sies å kunne være betydelige ved en uriktig behandling av opplysninger, kan ikke Juristforbundet se at det er mindre grunn til å oppstille rammer for etterlevelse og kontroll på dette området. Til dette kommer at kredittopplysningsvirksomhet rettet mot næringsdrivende i stor grad er pålagt å følge tilsvarende bestemmelser per i dag, slik at det ikke kan anses særlig byrdefullt at tilsvarende regulering videreføres. 11. Ansvar og sanksjoner, punkt 11 Juristforbundet mener at personvernforordningens erstatnings- og sanksjonsbestemmelser ikke skal få anvendelse for næringsdrivende. Regelverket er utformet med sikte på vern av privatpersoner og deres grunnleggende rettigheter og friheter. Næringsdrivende har i mange tilfeller ikke det samme behovet for vern som enkeltpersoner, og vil uansett kunne ha et erstatningsrettslig vern etter alminnelige regler. Departementet peker selv på en rekke motforestillinger i høringsnotatet side 33 og viser til at næringsdrivende vil kunne håndtere regelbrudd lettere enn privatpersoner. I tillegg er sanksjonsbestemmelsene i forordningen på et nivå langt utover erstatningsreglene. Juristforbundet mener at dersom erstatnings- og sanksjonsbestemmelsene i forordningene skal få anvendelse for næringsdrivende, bør konsekvensene av en slik endring utredes nærmere før en slik lov vedtas. Juristforbundet er for øvrig enig med departementet i at gjeldende regler om fengsel eller bøter (personopplysningsloven 48) ikke bør videreføres. 12. Avslutning Juristforbundet støtter i hovedsak forslag til lov om behandling av opplysninger i kredittopplysningsvirksomhet. Avslutningsvis vil Juristforbundet fremheve at det bør vurderes hensiktsmessige overgangsregler, se punkt 13 i høringsnotatet. Vennlig hilsen Curt A. Lier president 5/5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding