Finansnæringens Hovedorganisasjon (FNH) og Sparebankforeningen viser til Datatilsynets høringsbrev 5. juli 2001 med utkast til veiledning for konsesjonssøknad for banker og finansinstitusjoner etter personopplysningsforskriften (pof) § 7-3.

Synspunkter på behandlingsmåten

Som kjent tok FNH ved nyttårstider et initiativ overfor Datatilsynet med sikte på en nærmere dialog om oppfølgingen av personopplysningsforskriftens krav om generell konsesjon for bankers, finansieringsselskapers og forsikringsselskapers behandling av personopplysninger. Det ble i den forbindelse avholdt et møte 24. januar mellom Datatilsynet, FNH, Sparebankforeningen og Finansieringsselskapenes Forening.

I møtet ba vi om Datatilsynets vurdering av om det kunne være grunnlag for et samarbeid om utarbeidelse av konsesjonssøknader og standardkonsesjoner som er særlig tilpasset virksomheten i banker og finansieringsselskaper. Datatilsynet avviste et slikt forslag, men fant at det kunne være hensiktsmessig å utarbeide i samarbeid med finansnæringen en særskilt veiledning til konsesjonssøknaden tilpasset banker og finansinstitusjoner. Sentralt i denne forbindelse ville være å kartlegge bankenes ulike virksomhetsformer og aktiviteter for bedre å kunne angi i konsesjonene aktuelle formål med behandlingen av kundeopplysningene. Vi ga vår tilslutning til en slik samarbeidsform.

Datatilsynets generelle veiledning skulle foreligge i slutten av januar, og arbeidet med en tilpasset veiledning skulle etter planen påbegynnes i løpet av februar. Arbeidet ble imidlertid ikke igangsatt som forutsatt. Etter flere påminnelser, senest ved vårt brev 8. juni, mottok vi først i begynnelsen av juli et utkast til veiledning for en kort høringsrunde. Høringsfristen var opprinnelig satt til 15. august, men vi fikk den utsatt til 14. september.

Vårt generelle inntrykk er at Datatilsynet ønsker samarbeid med næringsorganisasjoner ved utarbeidelse av for eksempel bransjevise atferdsnormer og veiledninger av denne type. Vi hadde derfor forventninger om at resurspersoner i Datatilsynet og finansnæringen i fellesskap skulle kunne utarbeide en veiledning som reelt sett ville være et nyttig verktøy for bankene i forbindelse med konsesjonssøknader. Dette strandet som kjent. En veiledning i samsvar med det foreliggende utkastet vil fremstå som et rent minimum, den vil være dårlig tilpasset bankenes virksomhet, og den vil gi begrenset veiledning for banker og finansinstitusjoner når de skal utarbeide konsesjonssøknader. Der er således en nærliggende risiko for at disse søknadene ikke vil være så utførlige og dekkende som Datatilsynet har behov for, noe som igjen kan medføre ekstrarunder med fremleggelse av nye opplysninger og derved merarbeid både for institusjonene og Datatilsynet.

Vi finner grunn til å understreke at den veiledningen som nå er i ferd med å ferdigstilles, helt og holdent er Datatilsynets eget produkt. Vi verken vil eller kan etter dette påta oss noe medansvar for utformingen av veiledningen.

Generelle kommentarer til veiledningsutkastet

Vårt generelle hovedinntrykk er at utkastet til veiledning er for lite tilpasset virksomheten til banker og finansinstitusjoner. Finansinstitusjonenes virksomhet er mangfoldig, men samtidig sterkt regulert gjennom egen institusjons-, virksomhets- og avtalelovgivning. Dette er i betydelig grad lovpålagte behandlinger som det er nødvendig for bankene å utføre som følge av krav fra tilsynsmyndighetene samt lov- og kontraktsmessige forpliktelser overfor kundene. Det er videre all mulig grunn til å understreke at alle de behandlingsformer som det skal søkes konsesjon om etter personopplysningsforskriften, ligger innenfor institusjonenes lovlige virksomhetsområder, jf forretningsbankloven § 19, sparebankloven § 24 og finansieringsvirksomhetsloven § 3-16.

Av grunner som nevnt i avsnittet ovenfor utelukker vi ikke at mange banker og finansinstitusjoner vil finne det noe underlig at det må søkes konsesjon fra Datatilsynet for å kunne utføre lov- og kontraktsbestemte behandlinger innenfor bankenes kjerneområder. Etter vår mening bør Datatilsynet i veiledningen gi en kort redegjørelse om bakgrunnen for og formålet med egen konsesjon fra Datatilsynet (også) for behandlinger som banken etter finanslovgivningen er pålagt å utføre.

Ad Utarbeidelse av internkontrollsystem

Vi har ingen innvendinger til at internkontrollsystemer på HMS-området eventuelt kan benyttes som modell for oppfyllelse av pol § 14 og at nærmere informasjon er tilgjengelig på tilsynets webside.

Vi vil imidlertid gjøre Datatilsynet oppmerksom på at banker også etter kreditttilsynsloven er pålagt å utarbeide og dokumentere rutiner/systemer for internkontroll, jf forskrift av 20.06.1997 nr. 1057 om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll (gitt med hjemmel i kredittilsynsloven § 4). Det er etter vår mening naturlig at Datatilsynet i en veiledning som retter seg mot banker og finansinstitusjoner også henleder oppmerksomheten mot dette regelverket og de internkontrollsystemer som allerede er utarbeidet av den enkelte institusjon i nær dialog med Kredittilsynet.

For øvrig er Datatilsynet kjent med at banker og finansinstitusjoner har lang erfaring med og gode rutiner for å behandle taushetsbelagte opplysninger.

Ad Innledning

Det fremgår av andre avsnitt i innledningspunktet at den behandlingsansvarlige på søknadsskjemaets første del skal gi informasjon om virksomheten, jf også til punkt E nedenfor der den behandlingsansvarlige skal gi en beskrivelse av hva slags virksomhet som den ansvarlige driver i vid forstand. Som kjent er bankenes og finansinstitusjonenes virksomhet svært omfattende (vanligvis) med et vidt spekter av tjenester og produkter. Vi legger til grunn at det i selve konsesjonssøknaden ikke kan være hensiktsmessig og formålstjenlig å gi detaljerte redegjørelser over alle aktiviteter i banken, men at banken her må kunne nøye seg med å gi en oversikt over virksomheten slik at Datatilsynet får tilstrekkelig informasjon til å kunne avgjøre om banken er en "universalbank" som tilbyr alle tjenesteformer eller en "nisjebank" med utvalgte spesialtjenester rettet mot spesielle kundegrupper.

Ad Til punkt C: Daglig ansvar for å oppfylle den behandlingsansvarliges plikter

Etter vår vurdering er den beskrivelse av rollen som "behandlingsansvarlige" som er gitt i Ot. prp. nr. 92 (1998-99) s. 102 nederst på høyre spalte, jf pol § 2 nr. 4, mer dekkende enn det som er inntatt i veiledningsutkastet. Det må kunne være daglig leder av virksomheten som forestår den interne arbeidsfordelig og som utpeker den eller de i ledende posisjoner/stillinger som reelt har daglig innflytelse på de behandlinger som foretas. Vi anbefaler at teksten i forarbeidene benyttes i veiledningen.

Ad Til punkt E: Gi en beskrivelse av hva slags virksomhet som den behandlingsansvarlige driver i vid forstand

Vi viser her til våre kommentarer til innledningspunktet ovenfor om at virksomhetsbeskrivelsen bør holdes på et nøkternt nivå. Det sentrale i denne sammenheng må være slik også Datatilsynet gir uttrykk for, at informasjon skal gi tilsynet en forståelse av hva slags virksomhet den behandlingsansvarlige driver.

Ad Til punkt F: I hvilken del av virksomheten skal behandlingen foretas?

Datatilsynets forslag til veiledning til dette punkt F er etter vår mening et klart eksempel på at veiledningen ikke i tilstrekkelig grad er tilpasset de fleste banker, jf uttalelsen om at dersom virksomheten består av flere avdelinger, skal de redegjøres for hvilken avdeling som skal foreta behandlingen, samt hvilken funksjon denne avdelingen har i den totale virksomheten.

Vi vil anta at de fleste former for behandling av kundeopplysninger i en bank vil være konsesjonspliktig etter pof § 7-3. Behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av banktjenester skjer i de fleste ledd i en bankorganisasjon, som består av seksjoner, avdelinger, kontorer, filialer, divisjoner osv. Hva Datatilsynet legger i betegnelsen "avdeling" er for det første noe uklart, men vi legger til grunn at tilsynet her er ute etter organisasjonsenheter av en viss størrelse. Videre vil det etter vår vurdering bli et altfor omfattende arbeid å skulle redegjøre for virksomhetene og funksjonene til alle enheter i banken. Det bør etter vår oppfatning holde med en grovoversikt både når gjelder de ulike organisasjonsenheter og de funksjoner disse enheter har i den totale virksomheten.

Ad Til punkt 1.3: Hva er formålet med behandlingen?

I tredje avsnitt er det i veiledningsutkastet til punkt 1.3 gitt noen eksempler på aktuelle behandlinger eller beskrivelser av underformål for avgrensing av behandlinger i banker og finansinstitusjoner. Sett i relasjon til de behandlinger som er konsesjonspliktige etter pof § 7-3 ("kundeadministrasjon, fakturering og gjennomføring av banktjenester .."), kan det stilles spørsmål om de utvalgte eksempler er adekvate selv om vi isolert sett har stor sympati for Datatilsynets eksempelliste.

Med unntak av første strekpunkt som er en "pliktig" behandling som konsekvens av en avtaleslutning, er resten eksempler på behandlinger som banken i utgangspunktet selv velger å utføre av hensyn til kunde- og markedspleie. De aller fleste behandlinger av opplysninger i bank knytter seg som tidligere nevnt til lovbestemte krav fra myndighetene og oppfølging av kontraktsmessige forpliktelser med kunden. For å kunne gjennomføre en banktjeneste må det nødvendigvis måtte utføres behandlinger av mer rutinemessig karakter, for eksempel kontroll av om oppgitte identitetsopplysninger i en søknad er korrekte, om et betalingsoppdrag oppfyller vilkårene, om en kunde skal frarådes å oppta lån eller lånedokumenter overføres til depotavdelingen for tinglysing av sikkerheter.

At banken i konsesjonssøknaden skal oppgi behandlinger i form av markedsføring og utarbeidelse av kundeprofiler anser vi naturlig dersom banken ønsker å foreta denne type behandlinger, men hva med alle de behandlinger innenfor kjerneområdet som banken må utføre for oppfyllelse av slike lov- og kontraktsbestemte krav? Etter vår vurdering ville det være en stor lettelse dersom banker og finansinstitusjoner kunne slippe å beskrive alle de ordinære lov- og kontraktsbestemte behandlinger og som i hovedsak er felles for alle banker, samtidig som samtykkeklausuler skal vedlegges søknaden. De behandlingsansvarlige bør kunne konsentrere seg om å beskrive behandlinger av mer ekstraordinær og "kampanjemessig" karakter slik som eksemplene til Datatilsynet. Det er særlig her de mer personvernmessige problemstillinger er fremtredende. Spørsmålet om avgrensning mot behandlinger som følge av lov- og kontraktsmessige krav, kunne etter vår vurdering vært unngått ved bruk av standardkonsesjon!

Datatilsynet bes i veiledningen gi en nærmere redegjørelse for om og i tilfellet hvilket omfang også de mer ordinære og rutinepregede lov- og kontraktsbestemte behandlinger skal beskrives, for eksempel i tilknytning til de enkelte tjenestetyper (så som innlån, utlån, betalingsformidling og investeringstjenester).

Ad Til punkt 1.5: Hvordan skal opplysningene brukes?

I utkastet til veiledning til punkt 1.5 i søknadsblanketten skriver Datatilsynet at eventuelle nye bruksmåter som ikke er angitt i (denne, dvs den første) søknaden vil kunne medføre en ny behandling som krever ny konsesjon. Vi har i punktet overfor berørt forholdet til de lovbestemte behandlinger, dvs behandlinger som banken er pliktig til å gjennomføre som følge av krav i lovgivningen. Vi stiller i denne forbindelse spørsmål om dersom det i lovgivning stilles nye krav til banken, for eksempel ved utføring av investeringstjenester som medfører at kundeopplysningene må brukes på en annen måte enn tidligere, vil utløse behov for ny konsesjon fra Datatilsynet.

På verdipapirområdet trer lovbestemmelser ofte i kraft straks for å få hurtig gjennomslag i markedet. Skal banken i en slik situasjon avvente konsesjon fra Datatilsynet om den nye bruksmåten før banken kan etterleve den nye bestemmelsen i verdipapirhandelloven? Et annet aktuelt eksempel som for tiden vurderes etter forslag fra Rikstrygdeverket, er om bankene skal pålegges lovbestemt opplysningsplikt overfor Rikstrygdeverket med hensyn til kundeopplysninger ved mistanke om trygdemisbruk. Skal utlevering ikke skje før konsesjon er innhentet fra Datatilsynet?

Vi ber Datatilsynet avklare dette spørsmålet nærmere i veiledningen.

Ad Til punkt 1.6: Overføring av personopplysninger til utlandet

Vi legger til grunn at bankene i konsesjonssøknaden vil kunne gi en formålstjenlig oversikt over hvilke land som opplysninger av rutinemessige og regulær karakter overføres til, for eksempel de land der holdingselskap, søsterbanker, filialer, datasentraler, samarbeidspartnere osv er etablert.

Situasjonen er imidlertid at kundeopplysninger (kundens navn, overføringsbeløp og banktilknytning) også overføres til banker i land over hele verden i forbindelse med gjennomføring av betalingsoppdrag. Vi antar at Datatilsynet ikke har ment at denne type overføringer av opplysninger til utlandet skal oppgis i konsesjonssøknaden.

Ad Til punkt 1.7: Personopplysningene hentes fra

Vi stiller spørsmål om det i enhver situasjon er mulig å navngi og beskrive aktuelle kilder. Dersom kunden har samtykket vil banken for eksempel kunne innhente opplysninger om kunden fra et tidligere forretningsforhold i en bank. Det vil neppe være formålstjenlig verken i samtykkeerklæringen eller i konsesjonssøknaden å oppgi navnet på rundt 150 banker. Et mer ekstremt eksempel er samtykke til innhenting av opplysninger fra arbeidsgivere i forbindelse med kontroll av en lånesøknad. Opplysninger om eksterne kilder i samtykkeerklæringer/avtaler og i konsesjonssøknaden må derfor kunne angis i mer generelle former.

Ad Til Samtykke

Til orientering skal opplyses at FNH og Sparebankforeningen i disse dager avslutter et arbeid med å utarbeide såkalte mønstre for samtykkeerklæringer og avtalevilkår etter personopplysningsloven. Mønstrene vil om kort tid bli oversendt bankene og Forbrukerombudet.

Ad Til punkt 1.10: Har virksomheten utarbeidet et internkontrollsystem?

Vi viser her til våre kommentarer til Ad Utarbeidelse av internkontrollsystem foran.

Ad Til punkt 2.1: Kravet om tilstrekklighet og relevans

Vi legger til grunn at det for de lovbestemte behandlinger er tilstrekkelig å vise til de adekvate lovbestemmelser. Det samme må gjelde behandlinger som er avledet av og nødvendig for oppfyllelsen av lovkravet.

Med vennlig hilsen
Finansnæringens Servicekontor                         Sparebankforeningens Servicekontor
Tore A. Hauglie                                              Sven L´Abée-Lund