12.5.1 Bruk av opplysninger i kreditt-opplysningsvirksomhet
For å forhindre at negative kredittopplysninger benyttes urimelig lenge i kredittopplysningsvirk-somhet, og på den måten forhindrer effektiv han-del og kredittgivning, vurderer departementet at det er nødvendig å fastsette konkrete regler om hvor lenge opplysninger kan lagres og benyttes i kredittopplysningsvirksomhet. Bestemmelser om slettefrister er en presisering av reglene om datakvalitet i personvernforordningen artikkel 5, og departementet vurderer at slike bestemmelser også er i samsvar med de krav som stilles til nasjo-nale regler i forordningen artikkel 6 nr. 3 jf. ordly-den «lagringsperioder». Når det i lovforslaget og omtalen i merknadene her legges til grunn at opp-lysninger skal slettes fra kredittopplysningsregis-teret, kan opplysningene likevel overføres til his-torisk database forutsatt at de er korrekte.
Basert på høringsinstansenes innspill legger departementet til grunn at de gjeldende reglene om brukstid og slettefrister for ulike opplysnings-typer er godt innarbeidet og velfungerende.
Departementet anbefaler derfor at gjeldende rett videreføres og lovfestes. I hovedtrekk innebærer dette at registrerte kredittopplysninger ikke kan benyttes i kredittopplysningsvirksomheten i mer enn fire år, se lovforslaget § 21. Tidsperioden reg-nes fra den dato opplysningen første gang ble lov-lig registrert. Fra denne hovedregelen mener departementet det bør gjøres enkelte unntak.
For det første bør opplysninger om heftelser i fast eiendom og løsøre kunne benyttes i kreditt-opplysningsvirksomheten så lenge de er regis-trert og tilgjengelige i det relevante offentlige registeret. Departementet finner det ikke tvilsomt at disse opplysningene vil kunne ha betydning for kredittvurdering i hele den perioden de er regis-trert i det offentlige registeret. En fordring som ikke kan tvangsinndrives, kan benyttes i en ny fireårsperiode dersom det tas nye rettslige skritt i saken. En bestemmelse om dette fremgår av lov-forslaget § 22.
Videre mener departementet at opplysninger om forhold som gjøres opp ikke lenger skal kunne benyttes i kredittopplysningsvirksomheten. Opp-lysninger om oppgjorte forhold skal slettes fra kredittopplysningsregisteret omgående, og even-tuelt overføres til foretakets historiske database.
Dette fremgår av lovforslaget § 24. Slik sletting/
overføring til historisk database vil kunne virke som et incitament for de med enkeltstående
inkas-sosaker/betalingsanmerkninger til å gjøre opp utestående fordringer. Personer med gjenta-kende betalingsvansker vil trolig ha betalingsan-merkninger registrert på seg til enhver tid, slik at disse vil finnes i kredittopplysningsregistrene selv om de gjør opp en enkelt sak.
Departementet foreslår også at registreringer som på et tidligere tidspunkt blir rettet eller slettet hos kilden for opplysningene, f.eks. fordi de er uriktige, skal rettes eller slettes i kredittopplys-ningsregisteret så snart den behandlingsansvar-lige blir kjent med endringen hos kilden. Slik plikt til retting og sletting vil blant annet være i sam-svar med reglene om datakvalitet i personvernfor-ordningen artikkel 5, og være en naturlig konse-kvens av reglene i personvernforordningen artik-kel 19 om at kilden skal orientere mottakere (dvs.
kredittopplysningsforetaket) om sletting av opp-lysninger. Bestemmelsen i lovforslaget § 21 andre ledd vil bidra til å holde god datakvalitet i kreditt-opplysningsforetakenes registre.
Opplysninger om åpning av gjeldsforhandlin-ger eller fastsatt gjeldsordning vil være viktig informasjon i kredittvurderingssammenheng.
Dette gjelder ikke minst fordi skyldner vil ha begrensninger i adgangen til å påta seg nye øko-nomiske forpliktelser i gjeldsforhandlingsperio-den, jf. gjeldsordningsloven § 3-5. Det har ikke kommet merknader i høringsrunden knyttet til de gjeldende fristene for bruk av opplysninger om fastsatt gjeldsordning eller åpnet gjeldsforhand-ling. Departementet anbefaler derfor å videreføre gjeldende rett for så vidt gjelder adgangen til å bruke informasjon om åpnet gjeldsforhandling i kredittopplysningsvirksomhet, se lovforslaget
§ 23. Opplysninger om åpnet gjeldsforhandling kan maksimalt benyttes i kredittopplysningsvirk-somheten i ett år.
Opplysningen om åpnet gjeldsforhandling skal likevel slettes tidligere dersom visse forhold inn-treffer. Presiseringene fremgår i lovforslaget § 23 første ledd bokstav a til c. For det første skal opp-lysningene slettes dersom gjeldsforhandlingene heves i samsvar med reglene i gjeldsordningslo-ven § 3-7. I disse tilfellene foreligger det omstendigheter som er til hinder for at det etable-res en gjeldsordning, og det vil være åpenbart at forhandlingene ikke vil føre frem. Dernest skal opplysning om åpnet gjeldsforhandling slettes når en gjeldsordning er fastsatt. Da er det informasjon om gjeldsordningen som skal benyttes i kreditt-opplysningsvirksomheten, og ikke opplysning om åpning av gjeldsforhandlinger. Til slutt skal opp-lysning om åpning av gjeldsforhandling slettes dersom gjeldsforhandlingsperioden avsluttes uten
at det er mottatt melding fra Løsøreregisteret om at en gjeldsordning er fastsatt. Dette gjelder både der gjeldsforhandlingene avsluttes etter normal gjeldsforhandlingsperiode, og der perioden for-lenges. Gjeldsforhandlingsperioden kan under ingen omstendighet vare i mer enn ett år, jf. gjeld-sordningsloven § 5-1 femte ledd. Dette betyr at også i situasjoner der gjeldsforhandlingsperioden forlenges, vil slettetidspunktet inntre senest ett år etter at gjeldsforhandlingene ble åpnet.
For registrerte gjeldsordninger foreslår depar-tementet at opplysninger om disse kan benyttes i kredittopplysningsvirksomheten så lenge ordnin-gen varer. Det kan være ulike årsaker til at en gjeldsordning oppheves jf. gjeldsordningsloven
§ 6-2. Blant annet kan skyldners økonomiske situ-asjon ha bedret seg. Under enhver omstendighet vil han eller hun ikke lenger være underlagt begrensningene i gjeldsordningsloven når ordningen oppheves. Dersom en fastsatt gjelds-ordning oppheves, skal derfor opplysning om gjeldsordningen slettes fra kredittopplysningsre-gisteret, og ikke lenger brukes i kredittopplys-ningsvirksomheten.
Gjeldsopplysninger skal slettes fra kredittopp-lysningsregisteret i samsvar med reglene i gjelds-informasjonsforskriften § 10 jf. § 5. Dette inne-bærer at gjeldsopplysninger som kredittopplys-ningsforetaket har mottatt i medhold av gjeldsin-formasjonsforskriften § 5, skal slettes så snart kre-dittscoremodellen er ferdigstilt eller oppdatert og nødvendig validering er gjennomført. Gjeldsopp-lysningene kan uansett ikke benyttes i kredittopp-lysningsvirksomheten lenger enn tre måneder fra de ble mottatt. Når sletteplikten inntrer, kan opp-lysningene overføres til historisk database og bru-kes blant annet til analyseformål.
Norske kredittopplysningsbyråers forening har, som eneste høringsinstans, bemerket at det de omtaler som positive opplysninger bør kunne bru-kes lenger enn fire år. Ingen andre høringsinstan-ser har kommentert bruken av denne type opplys-ninger i kredittopplysningsvirksomhet. På denne bakgrunn har departementet ikke funnet grunn til å endre gjeldende rett, men viderefører den gene-relle fireårsfristen også for denne type opplysnin-ger.
12.5.2 Historisk arkiv
Departementet mener det er hensiktsmessig å videreføre adgangen til å overføre opplysninger som ikke lenger kan benyttes i kredittopplys-ningsvirksomheten (historisk informasjon) til et historisk arkiv, se lovforslaget § 25. Som flere
høringsinstanser har pekt på, benyttes opplysnin-gene fra historisk arkiv blant annet i utarbeidelse av modeller for beregning av kredittscore, som grunnlag for finansieringsinstitusjonenes risiko-vurderinger, og som grunnlag for arbeidet med IFRS. Opplysningene i det historiske arkivet kan dessuten være nødvendige ved et eventuelt søks-mål eller erstatningskrav mot kredittopplysnings-virksomheten for uriktig behandling av kreditt-opplysninger.
Etter gjeldende rett skal kredittopplysninger slettes i det historiske arkivet senest ti år etter at opplysningen første gang lovlig kunne registreres i kredittopplysningsvirksomhet. Departementet har merket seg at Norske kredittopplysningsbyråers forening mener det er ønskelig med en noe lenger lagring i historisk arkiv enn etter gjeldende rett.
Høringsinstansen har foreslått å knytte lagringsti-den i historisk arkiv til lagringsti-den datoen opplysningene ble overført til basen, fremfor å knytte den til tids-punktet for første gangs registrering i kredittopp-lysningsregisteret. Dersom man legger hovedre-gelen om fire års brukstid for en ning til grunn, vil samlet lagring i kredittopplys-ningsregisteret og historisk arkiv kunne bli opptil 14 år.
Hovedregelen etter lov om foreldelse av for-dringer § 9 er at et erstatningskrav foreldres tre år fra den dagen den skadelidte fikk eller burde skaffet seg nødvendig kunnskap om skaden og den ansvarlige. Eventuell skade som følge av uriktig behandling av kredittopplysninger vil normalt oppstå og oppdages relativt kort tid etter at behandlingen har funnet sted. Det er dermed god grunn til å anta at eventuelle krav om erstatning på grunn av feil hos kredittopplysningsforetaket vil bli fremsatt i god tid før det er gått tre år fra opplysningene ble overført fra kredittopplysnings-registeret til den historiske databasen. En lagring i tre år i historisk arkiv vil dermed i de fleste tilfel-ler være tilstrekkelig til å kunne fremskaffe nød-vendig dokumentasjon i erstatningssaker.
Depar-tementet kan derfor ikke se at hensynet til doku-mentasjon i erstatningssaker tilsier at opplysnin-ger bør lagres i inntil 14 år. Etter departementets vurdering er det heller ikke fremført andre tungtveiende argumenter for en såpass omfat-tende utvidelse av lagringstiden. Heller ikke høringsinstanser i finansnæringen har tatt til orde for en slik utvidelse, men har sagt seg tilfreds med dagens lagringsregler. I de gjeldende konsesjo-nene for behandling av opplysninger i kredittopp-lysningsvirksomhet vises det dessuten til at slette-fristene i kredittopplysningsforetakenes registre samsvarer med de slettefristene som gjelder for banker og finansinstitusjoners behandling av per-sonopplysninger. Dette tilsier, slik departementet ser det, at heller ikke de dokumentasjonskravene som gjelder for finansieringsinstitusjonene kan begrunne utvidet lagringstid i samsvar med forsla-get fra Norske kredittopplysningsbyråers forening.
Departementet anbefaler på denne bakgrunn å lovfeste den gjeldende regelen om at opplysnin-ger i kredittopplysningsforetakenes historiske arkiv skal slettes eller anonymiseres senest ti år etter at opplysningene første gang lovlig ble regis-trert i kredittopplysningsvirksomheten.
Avvikling av virksomhet vil normalt bety at rettsgrunnlaget for behanding av ninger bortfaller. Ved opphør av kredittopplys-ningsvirksomhet vil det derfor være nødvendig å påse at registrerte kredittopplysninger ivaretas på en tilfredsstillende måte. Departementet foreslår i lovforslaget § 26 å lovfeste en plikt til å slette alle opplysninger som behandles hos kredittopplys-ningsforetaket når virksomheten opphører. Det foreslås videre at Datatilsynet gis myndighet til å fatte vedtak med pålegg om sletting dersom fore-taket ikke på eget initiativ sletter opplysninger ved opphør av virksomhet. Denne kompetansen følger av Datatilsynets allminnelige kompetanse etter lovforslaget § 28.
13 Informasjonssikkerhet og den behandlingsansvarliges ansvar
13.1 Gjeldende rett
Gjeldende konsesjoner for kredittopplysningsvirk-somhet inneholder ikke særskilte bestemmelser om informasjonssikkerhet og internkontroll.
Imidlertid har kredittopplysningsforetakene vært underlagt de alminnelige reglene i personopplys-ningsloven 2000 §§ 13 til 15 med forskrifter. Dette betyr at kredittopplysningsforetakene har plikt til å iverksette de informasjonssikkerhetstiltakene som vurderes nødvendige ut fra hensynet til opp-lysningenes konfidensialitet, integritet og tilgjen-gelighet. Informasjonssikkerhetstiltakene skal dokumenteres. Etter personopplysningsloven 2000 § 14 gjaldt også plikt til å etablere internkon-troll for å sikre etterlevelse av personvernregel-verkets krav.