Konsesjon til å behandle personopplysninger Banktjenester Med hjemmel i personopplysningsforskriftens 7-3, personopplysningslovens 33 første og andre ledd, gir Datatilsynet konsesjon for å behandle personopplysninger til følgende formål: Kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester Markedsføring og kundeoppfølging Risikoklassifisering av kunder og kredittporteføljer Forebygging og avdekking av straffbare handlinger I tillegg gir Datatilsynet ved denne konsesjonen en dispensasjon med tilhørende vilkår, jf. personopplysningsforskriftens 8-4 siste ledd, for: Utvidet lagringstid for fjernsynsovervåking for forebygging og oppklaring av straffbare forhold knyttet til bankvirksomhet. Dispensasjonen er avgrenset til områder i umiddelbar nærhet til betalingsterminaler for bank i butikk og frittstående minibanker. Konsesjonen er gitt under forutsetning av at behandlingen foretas i henhold til søknaden, fastlagte konsesjonsvilkår, vedlagte merknader og de bestemmelser som følger av Personopplysningsloven med forskrifter. Navn- og organisasjonsendringer må skriftlig underrettes til Datatilsynet. Dersom det skjer endringer i behandlingen i forhold til de opplysninger som er gitt i søknaden, må det fremmes ny konsesjonssøknad. I medhold av personopplysningslovens 35, fastsettes i tillegg følgende vilkår for behandlingen: 1. Informasjonsplikt og innsynsrett Banken skal gi informasjon og innsyn til kunden i henhold til kapittel III i personopplysningsloven. Banken skal sørge for at generell informasjon om bankens rutiner for behandling av personopplysninger er lett tilgjengelig for kunder og publikum til enhver tid. Slik oppdatert informasjon vil tilfredsstille personopplysningslovens 18 første ledd dersom den legges ut på bankens hjemmeside, tilgjengeliggjøres i den enkelte kundes nettbank eller gis i papirbasert form. Alle kunder har krav på innsyn i de registrerte personopplysningene om seg selv etter personopplysningslovens 18 andre ledd, jf. 2 nr 1. Dette omfatter også antall elektroniske oppslag samt tidspunktet for oppslaget som ansatte i banken eller bankens oppdragstakere har foretatt i kontoer eller øvrige kundeengasjement. Innsynsretten i elektroniske oppslag gjelder for et tidsrom på minst tre måneder etter oppslaget. 2. Tilgangsbegrensninger Banken skal påse og jevnlig kontrollere at kun ansatte, databehandlere og andre som utfører oppgaver på vegne av banken, er autorisert for tilgang til, og har innsynsrett i, de registrerte personopplysningene. Tilgangen skal knyttes til en vurdering av den enkeltes tjenstlige behov. Banken skal gjennom stikkprøver, eller andre former for kontroll,
undersøke om ansatte gjør innsyn i personopplysninger uten at det er begrunnet i tjenstlig behov, jf. personopplysningsforskriftens 2-14. Ansattes elektroniske oppslag i personopplysninger skal loggføres og oppbevares på elektronisk medium i minst tre måneder, jf. personopplysningslovens 2-16. Avdekkes innsyn som ikke er begrunnet i den ansattes tjenstlige behov, eller annen form for uautorisert innsyn, skal banken behandle hendelsen som avvik etter personopplysningsforskriftens 2-6. Resultatet av avviksbehandlingen skal dokumenteres og rapporteres til Datatilsynet uten ugrunnet opphold. Dersom en kunde har mistanke om slikt uautorisert innsyn i vedkommendes personopplysninger i løpet av de seneste tre måneder, og kunden skriftlig begrunner dette overfor banken, skal banken gjennomføre interne undersøkelser for å få bekreftet eller avkreftet mistanken. Banken skal gi kunden en skriftlig redegjørelse om resultatet av undersøkelsen. Dersom det er foretatt innsyn i kundens personopplysninger som ikke er begrunnet i tjenstlige behov, skal kunden også gjøres oppmerksom på at banken har avviksrapportert forholdet til Datatilsynet, jf. personopplysningsforskriftens 2-6. Banken skal utarbeide tiltak som ivaretar enkeltkunders særlige behov for at kun et begrenset antall ansatte i banken skal ha tilgang til, og innsyn i, kundens personopplysninger. Tiltakene skal dokumenteres. Banken skal informere sine kunder om muligheten for å begrense tilgang til personopplysninger i henhold til punkt 1. 3. Utlevering Banken kan utlevere personopplysninger når et av vilkårene i personopplysningslovens 8 og eventuelt 9 er oppfylt. Bankansatte mv. og databehandleres tjenstlige tilgang til personopplysninger regnes ikke som utlevering. Personopplysninger kan utleveres til et annet foretak i finanskonsernet eller konserngruppen, så fremt utlevering er nødvendig for å tilfredsstille konsernbaserte styrings-, kontroll- og/eller rapporteringskrav fastsatt i lov, eller i medhold av lov. Det forutsettes at behandlingen av personopplysningene er underlagt en lovbestemt taushetsplikt i det foretaket opplysningene utleveres til. Banken kan utlevere følgende opplysninger til annet foretak i konsernet eller konsernkunderegister til bruk for markedsføring og finansiell rådgivning uten samtykke: Kundens navn, kontaktopplysninger, fødselsdato samt hvilket selskap og hvilke tjenester eller produkter kunden har inngått avtale om. Fødselsnummer kan utleveres til og registreres i et felles konsernkunderegister når formålet er administrasjon av kundeforholdet, jf. personopplysningslovens 12. 4. Sletting Banken skal slette personopplysningene når formålet med den enkelte behandling er oppfylt, jf. personopplysningslovens 28 og 11. Sletting betyr at personopplysningene skal tilintetgjøres fysisk eller anonymiseres. Når personopplysningene skal slettes i henhold til personopplysningslovens 28, vil det kunne oppstå tilfeller hvor opplysningene likevel lovlig kan behandles for andre formål. I
slike tilfeller kan kravet om sletting være oppfylt dersom det treffes tiltak som medfører at opplysningene ikke lenger kan behandles for det opprinnelige formålet. Banken må utarbeide konkrete sletterutiner for hvert behandlingsformål, og rutinene skal dokumenteres i tråd med personopplysningslovens 14 og personopplysningsforskriftens 3-1 andre ledd og tredje ledd bokstav c. Når et behandlingsformål opphører generelt, eller i forhold til enkeltkunder, skal banken vurdere om de personopplysningene som har vært behandlet for formålet må slettes, eller om opplysningene fortsatt kan behandles for andre lovlige formål. Er det adgang til fortsatt behandling, må de tiltak som iverksettes i forhold til det opphørte behandlingsformål være tilstrekkelige til å sikre at behandlingen opphører. Banken skal jevnlig vurdere om behandlingsformålet er opphørt, herunder om opplysningene kan behandles til et nytt lovlig formål, om det skal gjøres tilgangsbegrensninger eller hvorvidt opplysningene skal slettes. Med jevnlig menes det at banken minimum årlig må foreta en gjennomgang. Ved gjennomgangen skal banken etterprøve at de sletterutiner som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. 5. Særlig om markedsføring og kundeoppfølging Med markedsføring menes her aktivitet der formålet er å inngå tjenesteavtale med nye eller eksisterende kunder om et produkt i en ny produktkategori. Bankens produkter deles i følgende kategorier: Betalingstjenester Spare- og innskuddsprodukter Lån og andre kreditter Egne kunder Følgende nøytrale opplysninger kan benyttes til markedsføring og finansiell rådgivning uten samtykke fra kunden: Kundens navn, kontaktopplysninger, fødselsdato og hvilke tjenester eller produkter kunden har inngått avtale om. Markedsføres det produkter innen en annen produktkategori enn den som banken og kunden har inngått avtale om, kreves det samtykke fra kunden for å benytte andre kundeopplysninger enn de nøytrale. Det er dermed anledning til å drive aktiv kundeoppfølging ved at banken informerer om produkter innen de produktkategoriene hvor det allerede foreligger et avtaleforhold mellom kunden og banken. Dersom banken i markedsføringsøyemed utarbeider en personprofil om kunden og bruker opplysninger utover de nøytrale i denne sammenheng, skal det foreligge et behandlingsgrunnlag som nevnt i personopplysningslovens 8. Kunden skal informeres, i samsvar med kravene i personopplysningslovens 21, når personprofilen benyttes. Informasjonsplikten gjelder også når profilen er utarbeidet kun på bakgrunn av nøytrale personopplysninger.
Konsernkunder Nøytrale opplysninger som nevnt over kan innhentes fra et eventuelt felles konsernkunderegister og benyttes til markedsføring og finansiell rådgivning uten samtykke fra kunden. Den adgang banken har til å benytte kundeopplysninger til markedsføring og kundeoppfølging overfor egne kunder etter vilkårene foran i punkt 5, gjelder tilsvarende overfor låntakere som har fått overdratt sitt boliglån til boligkredittforetak innenfor samme finanskonsern som banken. Lånekunden skal informeres i samsvar med kravene i personopplysningsloven 21. 6. Særlig om risikoklassifisering av kunder og kredittporteføljer Banken kan behandle personopplysninger ved bruk av interne målemetoder for klassifisering og kvantifisering av kunder og kredittrisiko når dette følger av kapitalkravsreglene i finansieringsvirksomhetslovens 2-9 og 2-9a 2-9d. Personopplysninger til dette formålet kan innhentes fra kredittopplysningsforetak. Før banken innhenter personopplysninger fra andre eksterne kilder, skal bankens tolkning av personopplysningslovens 8 sendes til Datatilsynet. Banken må utarbeide rutiner for sletting av opplysningene i tråd med vilkår 4, og innføre tilfredsstillende tilgangsbegrensninger i henhold til punkt 2. I generell kundeinformasjon, se punkt 1, og ved førstegangsetablering av et kredittengasjement, skal banken på en klar og forståelig måte informere kunden om formålet med, og de viktigste egenskaper ved, et system for interne målemetoder og kredittklassifisering av kunder. 7. Særlig om forebygging og avdekking av straffbare handlinger Banken skal gi generell kundeinformasjon om behandling av personopplysninger for forebygging og avdekking av straffbare handlinger i tråd med personopplysningslovens 18 og punkt 1. Det kan gjøres unntak fra retten til innsyn og plikten til informasjon, jf. personopplysningslovens 23 bokstav f. Banken må konkret vurdere hvorvidt unntaket kommer til anvendelse både hva gjelder tidsrom og omfang. Personopplysninger som registreres om kunden med det formål å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger mot banken eller annet selskap i konsernet eller konserngruppen, skal slettes senest ti år etter registreringen. Se punkt 4. 8. Særlig om utvidet lagringstid for fjernsynsovervåking Datatilsynet gir med dette en dispensasjon for oppbevaring av billedopptak i inntil tre måneder, når opptak er gjort i forbindelse med bankvirksomhet og med det formål å avdekke og oppklare straffbare forhold, jf. personopplysningslovens 37 jf. 8 bokstav f. Dispensasjonen er gitt med hjemmel i personopplysningsforskriftens 8-4 siste ledd. Banken skal vurdere hvorvidt det foreligger et særlig behov for utvidet lagringstid i det enkelte overvåkingstilfellet. Et slikt særlig behov for utvidet lagringstid skal
dokumenteres, jf. personopplysningslovens 14 og personopplysningsforskriftens 3-1 andre ledd. Dispensasjonen gjelder for den fjernsynsovervåkingen som banken selv er behandlingsansvarlig for, og er kun knyttet til bankvirksomhet. Banken må selv ha kontroll, eventuelt gjennom en databehandleravtale, over overvåkningsutstyret som benyttes. Dersom banken benytter en databehandler til å foreta fjernsynsovervåkingen, skal det inngås en databehandleravtale jf. personopplysningslovens 15. Eventuelle opptak skal lagres adskilt fra eventuelle opptak som butikken selv er behandlingsansvarlig for. Det må fremgå klart av skiltingen/merkingen i henhold til personopplysningslovens 40, at det er banken som er ansvarlig for overvåkingen. Utveksling av opptak mellom banken som behandlingsansvarlig og butikken som behandlingsansvarlig, vil være å regne som utlevering av billedopptak etter personopplysningslovens 39. Med hilsen Kim Ellertsen (sign) avdelingsdirektør Christine Ask Ottesen seniorrådgiver
MERKNADER BANKKONSESJON Datatilsynet er av den oppfatning at det av pedagogiske hensyn vil være en fordel for bankene med en samlekonsesjon, i det en mer samlet oversikt over regulering av bransjen på denne måten kan forefinnes på et sted. Utvidelse av konsesjonen til å gjelde flere formål vil etter tilsynets vurdering heller ikke medføre en uforholdsmessig byrde for den enkelte konsesjonshaver, sett i forhold til dagens praksis. De vilkår som er gitt i konsesjonen er satt for å begrense kundens personvernulemper. Vilkårene er ment å supplere eller presisere personopplysningsloven med tilhørende forskrifter. Merknadene som følger forklarer og utdyper de vilkårene som er satt i konsesjonen. Konsesjonen setter begrensninger for bruk av personopplysninger til andre formål enn de som er angitt i konsesjonen. Datatilsynet har derfor funnet det hensiktsmessig å kommentere tilgrensende behandlinger av opplysningene som skjer til andre formål. Kommentarene må således betraktes som Datatilsynets tolkning av personopplysningslovens anvendelse på disse behandlingene. Nærmere kommentarer til de ulike formålene som er angitt i konsesjonen Behandlingsformålene i konsesjonen er, med unntak av kundeadministrasjon, fakturering og gjennomføring av bank og finansieringstjenester, fastsatt på grunnlag av Datatilsynets forvaltningspraksis og de senere års tilsyn med banker og finanskonserner. Behovet for utvidelse av konsesjonens virkeområde omtales nærmere nedenfor. Følgende fem formål er regulert i konsesjonen: a) Kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester Formålet tilsvarer personopplysningsforskriftens 7-3, som pålegger konsesjonsplikt for bankers- og finansinstitusjoners behandling av personopplysninger, jf. personopplysningslovens 33. b) Markedsføring og finansiell rådgivning Banker og finansinstitusjoner driver en utstrakt grad av markedsføring og finansiell rådgivning. Denne behandlingen er i seg selv ikke konsesjonspliktig. Datatilsynet har likevel valgt å konsesjonsregulere behandling av personopplysninger til markedsføring og rådgivning i tråd personopplysningslovens 33 andre ledd. Av bestemmelsen følger det at Datatilsynet kan pålegge konsesjonsplikt for behandling av ikke-sensitive personopplysninger dersom behandlingen ellers åpenbart vil krenke tungtveiende personverninteresser. Hensynene bak bestemmelsen om konsesjonsplikt for kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester taler også for konsesjonsregulering av markedsføring og finansiell rådgivning. Banker og finansieringsvirksomheter behandler store mengder personopplysninger av følsom karakter. Disse opplysningene benyttes og videreforedles til bruk i markedsføring, og det er Datatilsynets oppfatning at slik behandling av personopplysninger bør konsesjonsreguleres. De fastsatte konsesjonsvilkårene om bruk av personopplysninger i markedsføringsøyemed viker ikke fra dagens forvaltningspraksis, og vil i praksis ikke medføre endringer for virksomhetene.
c) Risikoklassifisering av kunder og kredittporteføljer Kapitalkravreglene i finansieringsvirksomhetsloven har regler om bankers forpliktelse til å risikoklassifisere kunder og kredittporteføljer. Finansdepartementet har etter finansieringsvirksomhetsloven 2-9c hjemmel til i forskrift å fastsette nærmere bestemmelser som gjør unntak fra personopplysningsloven. Slik forskrift er ennå ikke fastsatt. Ettersom det foreløpig er uklart hvilke opplysninger som kan benyttes ved risikoklassifisering har Datatilsynet vurdert det slik at denne behandlingen bør underlegges konsesjonsplikt i tråd med personopplysningslovens 33 andre ledd. d) Forebygging og avdekking av straffbare handlinger Banker og finansinstitusjoner behandler personopplysninger også med det formål å forebygge og avdekke straffbare handlinger. Slike opplysninger er sensitive, og behandlingen vil derfor utløse en selvstendig konsesjonsplikt i tråd med personopplysningslovens 33 jf. 2 nr 8 bokstav b. Det gjøres oppmerksom på at det ikke gjelder konsesjonsplikt for hvitvaskingsregistret og tilknyttet behandling av personopplysninger, jf. personopplysningsforskriftens 7-24. På tross av at behandling av personopplysninger for dette formålet er vanlig praksis i banker, har Datatilsynet kun mottatt konsesjonssøknader fra to banker i denne forbindelse. Tilsynet finner det derfor nødvendig å klargjøre bankenes plikt på dette området. e) Utvidet lagringstid for fjernsynsovervåking for forebygging og oppklaring av straffbare forhold Det følger av personopplysningsforskriftens 8-4 første ledd at billedopptak skal slettes når det ikke lenger er saklig grunn for oppbevaring, jf personopplysningslovens 28. Av personopplysningsforskriftens 8-4 andre ledd fremgår det videre at opptakene skal slettes senest syv dager etter at opptak er gjort. For billedopptak gjort i post- eller banklokaler er det gitt en utvidet lagringsfrist. Etter forskriftens 8-4 tredje ledd skal disse opptakene slettes senest innen tre måneder. Datatilsynet har, etter henvendelse fra Finansnæringenes Hovedorganisasjon og Sparebankforeningen, funnet å kunne gi en dispensasjon for lagring av billedopptak gjort i forbindelse med bankvirksomhet i inntil tre måneder. Begrunnelsen for å gi en dispensasjon er at bankene skal slippe å søke dispensasjon for en kurant bruk og lagring av fjernsynsovervåking, som er ment omfattet av den utvidede lagringsfristen i personopplysningsforskriftens 8-4 tredje ledd. Dispensasjonen er gjort på nærmere vilkår, se punkt 8 og tilhørende merknader.
Datatilsynet utfyllende merknader til konsesjonsvilkårene Til punkt 1. Informasjonsplikt og innsynsrett I forbindelse med opprettelse av et kundeforhold skal banken gi slik informasjon som følger av personopplysningslovens kapittel III. Dersom opplysningene senere skal benyttes til andre lovlige formål, og det foreligger et gyldig behandlingsgrunnlag for dette, er det viktig at kunden enkelt kan skaffe seg en oversikt over behandlingene. Konsesjonen stiller derfor i tillegg krav til at banken til enhver tid skal ha en oversikt, som er lett tilgjengelig, over de ulike behandlingene med tilhørende formål og hvilke typer personopplysninger som behandles med mer. Banken er forpliktet til uoppfordret å gjøre opplysninger som nevnt i personopplysningslovens 18 første ledd kjent både for kunder og publikum. Det følger av personopplysningslovens 24 at informasjon og innsyn kan kreves skriftlig. For de kundene som har en nettbankavtale, kan informasjonen gjøres tilgjengelig via nettbanken. Informasjonen kan også tilgjengeliggjøres på bankens hjemmeside. Dersom kunden ikke kan lese elektroniske dokumenter skal informasjonen gis i papirform. Det følger av Datatilsynets praksis knyttet til personopplysningsforskriftens 2-8, 2-14 og 2-16 tredje ledd, at banken skal registrere elektroniske oppslag som er foretatt i kundens konto og kundeengasjement. Bestemmelsene skal sikre at behandling av personopplysninger skjer innenfor regelverkets rammer, herunder at det kun er ansatte mv som har tjenstlig behov som har tilgang, og at det kun gjøres oppslag ved saklig behov. Oppslagene vil knyttes til kundens personopplysninger, og vil dokumentere hvem som har benyttet en tilgang til opplysningene. Det er et viktig personvernprinsipp at den enkelte gis en mulighet til å kontrollere og etterprøve hvem som har tilgang til ens opplysninger. Innsynsretten må derfor også gis i disse tilfellene, jf. personopplysningslovens 18 andre ledd. Innsynretten gjelder også antall ganger og tidspunktet for når banken har gjort oppslag i kundens elektronisk lagrede personopplysninger. Retten til innsyn gjelder likevel ikke for oppslag som er begrunnet i systemteknisk og driftsmessige forhold, for eksempel av IT-avdelingen. Personvernhensyn taler for at kunden skal kunne ha en mulighet for å kontrollere hvorvidt ansatte og oppdragstakere i banken går utover sine fullmakter/autorisasjoner eller ikke. Av hensyn til den bankansattes personvern har kunden i utgangspunktet likevel ikke rett til å få vite hvem som faktisk har gjort oppslaget. Denne begrensningen i innsynretten tilsvarer tilsynets praksis når det gjelder innsyn hos kredittopplysningsbyråene. Til punkt 2. Tilgangsbegrensninger Tilgang til personopplysninger skal bare gis til bankens ansatte mv. som har tjenstlig behov for slike opplysninger. I utgangspunktet er det banken selv som må definere og autorisere de som skal ha tilgang til personopplysninger basert på tjenstlig behov. En kunde skal kunne be banken om å begrense ansattes tilgang til sine personopplysninger ved særlige behov. Det vil være opp til den enkelte bank hvordan et slikt ønske skal gjennomføres i praksis. Banken plikter jevnlig å kontrollere hvorvidt behov for tilgang fortsatt er tilstede. For eksempel kan behovet for tilgang endre seg ved bytte av stilling internt. Banken må selv vurdere konkret hvor ofte det vil være behov for en slik gjennomgang av tildelte autorisasjoner. Rutinene skal dokumenteres i internkontrollsystemet.
For å hindre at ansatte mv. benytter tilgangen i strid med det som det faktisk er behov for, skal banken foreta stikkprøver eller lignende. Av personvernhensyn er det viktig å være oppmerksom på uautoriserte oppslag hvor tilgangen kun benyttes til å lese informasjonen. Banken må ha rutiner for hvordan en slik kontroll skal skje og hvor ofte denne skal gjennomføres, jf. personopplysningsforskriftens kapittel 2 og 3. Videre kan kunden be om at banken foretar en intern undersøkelse av forholdet, se punkt 2 tredje ledd i konsesjonsvilkårene. Vilkårene er ment å virke preventive og skape et tillitsforhold mellom kunden og banken. Det følger av personopplysningsforskriftens 2-16 siste ledd, at registrering av autorisert bruk av informasjonssystemet, og av forsøk på uautorisert bruk, skal lagres i minst tre måneder. Banken kan kreve skriftlig begrunnelse dersom en kunde henvender seg til banken på bakgrunn av mistanke om uautorisert innsyn, jf. personopplysningslovens 24. I den forbindelse kan det også stilles krav om at vedkommende redegjør for hvorfor han eller hun har en slik mistanke. Banken kan ikke avslå kravet fordi begrunnelsen ikke er god nok, med mindre det er åpenbart at henvendelsen er rettet mot banken i ren sjikanehensikt. Mistanken skal likevel begrunnes og bør begrenses i tid. Fordi den enkelte har krav på å få vite antall oppslag kan det være naturlig at kunden starter med å be om innsyn i nettopp dette. Kunden har som omtalt foran under merknadene til punkt 1, ikke uten videre krav på å få vite hvem av bankens ansatte som eventuelt har gått utover kravet til saklig behov for opplysningene. Dersom kunden er i tvil om at banken faktisk har redegjort for det korrekte resultatet, kan saken klages videre til Datatilsynet. Til punkt 3. Utlevering Utlevering av personopplysninger er en behandling som nødvendiggjør et behandlingsgrunnlag etter personopplysningslovens 8 og eventuelt 9 dersom opplysningene er sensitive. Ansattes mv. tilgang til personopplysninger for utføring av tjenstlige gjøremål anses ikke som utlevering. Datatilsynet har lagt til grunn at utlevering av personopplysninger til annet foretak i samme finanskonsern eller konserngruppe som banken, kan være i overensstemmelse personopplysningslovens 8 og 9. Dette gjelder så fremt utlevering er nødvendig for å tilfredsstille konsernbaserte styrings-, kontroll- og/eller rapporteringskrav som er fastsatt i lov eller i medhold av lov, for eksempel kapitalkravsreglene i finansieringsvirksomhetsloven, og opplysningene vil være underlagt lovbestemt taushetsplikt i det foretak de utleveres til. Videre vil nærmere angitte nøytrale personopplysninger kunne utleveres innenfor konsernet/konserngruppen i markedsføringsøyemed uten samtykke fra kunden. Se mer om dette i punkt 5 i konsesjonen. Det gjøres spesielt oppmerksom på at fødselsnummer som utveksles mellom banken og konsernet bare kan benyttes til administrasjon av kundeforholdet, og kan følgelig ikke brukes i forbindelse med markedsføring. I tråd med personopplysningslovens 19 må banken sørge for å informere kunden om hvem det vil bli utlevert kundeopplysninger til og hvilke opplysninger som blir utlevert i den forbindelse.
Til punkt 4. Sletting Personopplysningsloven setter begrensninger for hvor lenge bankene kan oppbevare personopplysninger om sine kunder. Loven 11 bokstav d bestemmer at personopplysninger ikke skal lagres lenger enn nødvendig ut fra formålet med behandlingen. Personopplysningslovens 28 setter et generelt forbud mot å lagre unødvendige personopplysninger. Dersom annen lovgivning inneholder særlige krav til oppbevaring av personopplysninger vil slike spesialregler gå foran slettereglene i personopplysningsloven, jf. lovens 5. Nedenfor følger noen eksempler på lovbestemmelser som pålegger bankene å oppbevare opplysninger en viss tid. Regler som direkte bestemmer at banken skal oppbevare informasjon er bl.a.: Bokføringsloven har i 13 bestemmelser om oppbevaring av diverse regnskapsmateriale. Avhengig av hva slags type regnskapsmateriale det er, pålegger annet ledd en oppbevaringstid på hhv ti år eller tre år og seks måneder, regnet fra regnskapsårets slutt Hvitvaskingsloven 8 bestemmer at banken skal oppbevare kopi av informasjon som er brukt i forbindelse med legitimasjonskontroll i fem år etter at kundeforholdet er opphørt. Opplysninger fra en mistenkelig transaksjon som banken har undersøkt nærmere etter loven 7 skal oppbevares i fem år etter at transaksjonen er gjennomført Det er imidlertid også lovregler som mer indirekte innebærer at banken må oppbevare dokumenter som inneholder personopplysninger. Slike bestemmelser finnes for eksempel i ligningsloven og foreldelsesloven. Til punkt 5. Nærmere vilkår for behandlingsformålet markedsføring og kundeoppfølging Hvilke personopplysninger banken kan benytte i markedsføringsøyemed er bl.a. betinget av om tjenesten eller produktet som tilbys faller innenfor eller utenfor den produktkategori hvor det allerede foreligger en avtale mellom bank og kunde. I konsesjonen er angitt tre produktkategorier: Betalingstjenester omfatter både manuelle tjenester som sjekk, giroinnbetaling og brevgiro, og elektroniske tjenester som betalingskort, nettbank, telefonbank, mobilbank, e-faktura, Avtalegiro og andre debiteringstjenester Spare- og innskuddsprodukter omfatter bl.a. ordinære bankinnskudd, kapitalinnskudd i verdipapirfond, sammensatte spareprodukter og plasseringer i andre finansielle instrumenter Lån og andre kreditter omfatter bl.a. kontokreditter, fakturerings- og kredittkort, boliglån, alle former for forbrukslån med/uten sikkerhet og garantier/kausjoner I konsesjonen skilles det videre mellom såkalte nøytrale opplysninger om kunden og andre typer personopplysninger som banken allerede har registrert i sitt kunderegister, eller som banken innhenter eksternt for et bestemt formål. Følgende opplysninger er i konsesjonen angitt som nøytrale: Kundens navn, kontaktopplysninger (så som postadresse, telefonnumre og e-postadresse), fødselsdato og hvilke tjenester eller produkter kunden har inngått avtale om. Banken kan, uten kundens samtykke, benytte slike nøytrale personopplysninger til markedsføring og kundeoppfølging overfor egne kunder og kunder i andre foretak i
samme konsern/konserngruppe som banken. Slik bruk av nøytrale opplysninger gjelder uavhengig av om tjenesten eller produktet som tilbys faller innenfor en produktkategori hvor det allerede foreligger et avtaleforhold mellom kunden og banken. Banken kan videre i forbindelse med kundeoppfølging benytte også andre personopplysninger enn de nøytrale. Med kundeoppfølging menes å informere kunden om tjenester/produkter innenfor en produktkategori hvor det allerede foreligger et avtaleforhold mellom kunden og banken. Eksempel på kundeoppfølging er informasjon til en nettbankkunde om muligheten til å benytte e-faktura eller andre betalingstjenester. Dersom banken skal markedsføre tjenester og produkter som ligger innenfor en annen produktkategori enn den banken og kunden tidligere har inngått avtale om, og banken i den forbindelse ønsker å benytte flere personopplysninger enn de nøytrale, kreves samtykke fra kunden etter grunnvilkårene i personopplysningslovens 8, 9 og 11, jf. 2 nr. 7. Når en virksomhet kombinerer opplysninger og ut i fra disse knytter visse antagelser om adferd, evner, preferanser eller behov, kalles dette en personprofil. For eksempel vil opplysninger om navn, adresse, varegruppekjøp, pris på vare og tidspunkt for kjøp sammen kunne danne grunnlaget for en personprofil. En ekstra informasjonsplikt inntrer dersom disse opplysningene brukes til å skreddersy henvendelser til kunden, eller treffe avgjørelser overfor en enkeltperson. Når kundeinformasjonen kun brukes til statistikk, vil det ikke være personprofiler. Da kan man imidlertid heller ikke lagre informasjonen på en slik måte at man kan finne tilbake til de personene opplysningene stammer fra. På det tidspunkt personprofilen benyttes til markedsføring skal kunden også informeres i samsvar med personopplysningsloven 21. Det gjøres spesielt oppmerksom på at markedsføringsloven gir den enkelte en rett til å reservere seg mot markedsføring i det sentrale reservasjonsregisteret i Brønnøysund, og at banken må respektere at vedkommende ikke ønsker markedsføringshenvendelser. Unntak gjelder der banken har et kundeforhold til vedkommende. Det følger videre av markedsføringsloven at banken må ha et internt register hvor aktive kunder kan reservere seg mot markedsføringshenvendelser. Frem til 1.6.2009 var retten til å reservere seg mot markedsføringsloven forankret i personopplysningslovens 26. Siste avsnitt i vilkårene punkt 5 er en spesialbestemmelse som bare gjelder for bruk av opplysninger fra boliglån som ved etableringen ble inngått mellom bankene og lånekunden, men som senere er overdratt til et særskilt kredittforetak (boligkredittforetak) som utsteder obligasjoner med fortrinnsrett (OMF). Boligkredittforetakene er normalt eid 100% av de respektive banker. Overdragelsen av boliglån er primært en fundingoperasjon, da boligkredittforetakene kan oppnå gunstige innlånsbetingelser gjennom utstedere av OMF er. Overdragelsen av boliglån innebærer at kundeforholdet hva gjelder lånet består mellom kunden og boligkredittforetaket. Normalt vil kunden fortsatt ha et kundeforhold med banken etter overførselen av boliglånet. I de fleste tilfeller vil kunden minimum ha en innskuddskonto i banken hvor det foretas automatiske trekk av lånets terminbeløp fra. Videre er den overdagende banken normalt agent for boligkredittforetaket og håndterer all kundekontakt, oppfølging av lån og inndrivelse ved mislighold. I forhold til personopplysningsloven skal agentavtalene inneholde en databehandleravtale med banken som databehandler og boligkredittforetaket som behandlingsansvarlig, jf. personopplysningsloven 15.
Til punkt 6. Særlig om behandlingsformålet risikoklassifisering av kunder og kredittporteføljer Banker og andre finansinstitusjoner er med grunnlag i kapitalkravreglene i finansieringsvirksomhetsloven 2-9 og 2-9a 2d forpliktet til å risikoklassifisere kunder og kredittporteføljer. Nærmere detaljerte regler er fastsatt av Finansdepartementet i kapitalkravsforskriften av 14. desember 2006 nr. 1506. Formålet med klassifiseringen er å reflektere den langsiktige risikoen ved engasjementet. Klassifiseringen legges til grunn for innvilgelse og fornyelse av engasjementer. Normalt vil slik risikoklassifisering skje årlig, med mindre annet følger av kapitalkravsforskriften. For massemarkedsengasjementer, herunder for enkeltpersoner, vil den årlige risikoklassifiseringen kunne baseres på et representativt utvalg av engasjementer i hver risikoklasse. Konsesjonen gir banken anledning til å anvende kredittopplysninger og andre personopplysninger til slik risikoklassifisering, så langt kapitalkravsreglene bestemmer. Personopplysningslovens regler får anvendelse i de tilfeller kapitalkravsreglene ikke regulerer behandlingen. Finansdepartementet har etter finansieringsvirksomhetsloven 2-9c annet ledd bokstav d) fått hjemmel til i forskrift å fastsette nærmere bestemmelser som gjør unntak fra personopplysningsloven, men denne forskriftshjemmelen er så langt ikke anvendt. Det fremgår av konsesjonen at kredittopplysningsbyråene er en tillatt kilde for risikoklassifisering av kunder og kredittporteføljer. Etter Datatilsynets vurdering følger en slik behandling forutsetningsvis av kapitaldekningsregelverkt. Hvorvidt kredittopplysningsbyrået skal sende de angjeldende kunder et gjenpartsbrev om kredittvurderingen, vil bero på om Datatilsynet i vedtaks form har gjort unntak fra plikten til å sende gjenpart. Dersom banken innhenter opplysninger fra andre eksterne kilder, og innhentingen ikke har hjemmel i lov, må personopplysningslovens 8 bokstav f vurderes. Denne tolkningen må sendes Datatilsynet sammen med en redegjørelse for hvilke opplysninger som skal benyttes, sett opp mot kravet til relevans i personopplysningslovens 11bokstav d. Dersom Datatilsynet har forhåndsgodkjent kilden og de opplysninger som skal kunne innhentes, er det ikke nødvendig å sende en slik henvendelse. Det presiseres at opplysningene som lagres til risikoklassifiseringsformål ikke skal benyttes til andre formål. Tilgangen må søkes avgrenset til de ansatte som jobber med utvikling og kontroll av modellene samt intern revisjonen. Utover dette bør tilgangen vurderes konkret i hvert enkelt tilfelle, eller tilgang bare gjelde anonyme opplysninger. Konsesjonen pålegger også banken å utarbeide adekvat kundeinformasjon om risikoklassifisering og rutiner for sletting av opplysningene. Til punkt 7. Særlig om for behandlingsformålet forebygging og avdekking av straffbare handlinger Unntaket etter personopplysningsloven 23 første ledd bokstav b for kundens innsyn i eller informasjon om bankens behandling av personopplysninger med formål å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger fritar ikke banken fra å holde tilgjengelig generell informasjon. Informasjonen skal inneholde opplysninger om formålet med slik behandling, hvilke typer
personopplysninger som behandles, hvor opplysningene hentes fra, om personopplysningene vil bli utlevert og eventuelt hvem som er mottaker. Slik generell kundeinformasjon skal, som et minstekrav ligge lett tilgjengelig på bankens hjemmeside, jf. punkt 1. 8. Til punkt 8. Særlig om behandlingsformålet utvidet lagringstid for fjernsynsovervåking Banker har etter personopplysningsforskriften 8-4 tredje ledd rett til å oppbevare billedopptak gjort i post- og banklokaler i inntil tre måneder. Typisk gjelder dette billedopptak fra fjernsynsovervåking av ekspedisjonslokaler og av minibanker plassert i og rett utenfor banklokalet. Den ordinære slettefristen for andre former for billedopptak, er syv dager, jf. forskriftens 8-4 andre ledd første punktum. Datatilsynet har funnet det hensiktsmessig å fastsette en generell dispensasjon for oppbevaring av billedopptak som er gjort i forbindelse med bankvirksomhet i inntil tre måneder, jf. personopplysningsforskriften 8-4 siste ledd. Den forlengede oppbevaringstiden er begrunnet ut i fra kriminalitetsforebyggende og oppklaringsmessige hensyn, tilsvarende som for billedopptak gjort i post- og banklokaler. Rekognosering av ekspedisjonssteder som ledd i forberedelse av ran samt gjennomførte alvorlige forbrytelser eller forsøk på samme, for eksempel bedragerier, oppdages ofte på et senere tidspunkt. Det samme gjelder nyere former for IT-kriminalitet som rettsstridig montering av lese- og videoutstyr på minibankene med det formål å fange opp kortets magnetstripe og ta opptak ved inntasting av PIN-kode. Felles for slike situasjoner er at banken og/eller fornærmede først blir oppmerksom på forholdet etter slettefristen på syv dager. Utover billedopptak av ordinære ekspedisjonssteder, minibanker plassert i og rett utenfor banklokalet, vil dispensasjonen om utvidet lagringstid til tre måneder bl. a. dekke opptak gjort av frittstående minibanker og betalingsterminaler knyttet til bank i butikk tjenesten. Lagring i tre måneder vil kun være tillatt av det området av butikklokalet hvor kunder ekspederes for bank i butikk -tjenester. Ved billedopptak i lokaler (for eksempel i forbindelse med bank i butikk ) og av terminaler/automater som ikke direkte blir kontrollert av banken, skal banken som behandlingsansvarlig for opptaket, inngå en databehandleravtale med den som har utplassert og/eller drifter kameraet, jf. personopplysningslovens 15. Videre skal det tydelig fremgå av merkingen i lokalet og på terminalen at banken er ansvarlig for overvåkingen, jf. personopplysningslovens 40. Personopplysningslovens 38 oppstiller krav om at det skal foreligge et særskilt behov for overvåking av et sted hvor en begrenset krets av personer ferdes jevnlig. Overvåking av ansatte, enten bankens eller butikkens ansatte i bank i butikk - tjenester, må således oppfylle kravet til et særskilt behov, i tillegg til arbeidsmiljølovens kapittel 9 om kontrolltiltak i virksomheten. Utvidet lagringstid ved fjernsynsovervåking, anses som en personvernulempe både for ansatte og kunder. Det stilles i den forbindelse krav til banken om at overvåking med utvidet lagringstid begrenses til et minimum, jf. personopplysningslovens 11 bokstav b. Typisk bør overvåking av bank i butikk være begrenset til dedikerte kasser.