Utvalgte hurtiglenker

    Høringer

    Datatilsynet

    Høringssvar | | Finansdepartementet

    Høring - forslag til endringer i verdipapirforskriftens regler om lydopptak



    Datatilsynet viser til Finansdepartementets høringsbrev om forslag til endringer i verdipapirforskriftens regler om lydopptak av 19. september 2008. Høringsfristen er satt til 19. desember i år.

    Generelt

    Kredittilsynet har på oppdrag fra Finansdepartementet vurdert behov for endringer i de allerede eksisterende bestemmelsene om lydopptak i verdipapirforskriften.

    Det foreslås i høringsnotatet at plikten til å foreta lydopptak utvides til å omfatte alle telefonsamtaler i tilknytning til investeringstjenester. Dette omfatter også tjenestene investeringsrådgivning, samt mottak og formidling av ordre. Videre innebærer det foreliggende forslaget også en utstrakt plikt for verdipapirforetak til å dokumentere innholdet i annen kommunikasjon med sine kunder, så som bruk av e-post, sms, Bloomberg, Reuters Messenger og ulike chatkanaler på Internett.

    I høringsnotatets punkt 9 vurderes personvernkonsekvensene ved forslaget. Konklusjonen av denne vurderingen er at samfunnets interesse i velfungerende verdipapirmarkeder og investorenes beskyttelse mot irregulær opptreden fra mellommennene i verdipapirhandelen er "så vesentlig at eventuelle personvernsmessige betenkeligheter bør stå tilbake."

    Utvidelsen av verdipapirforskriftens regler er hovedsakelig begrunnet i hensynet til økt investorbeskyttelse og Kredittilsynets kontroll. Datatilsynet deler ikke Kredittilsynets og Finansdepartementets vurdering med hensyn til de personvernmessige konsekvenser av de foreslåtte endringene. Tvert imot er Datatilsynet av den oppfatning at forslaget går for langt. Begrunnelsen for en utvidelse kan neppe ses å stå i forhold til de til dels store utfordringer for personvernet forslaget medfører, både for de ansatte i foretakene og for kundene.

    Sviktende proporsjonalitetsvurdering

    Det følger av personverndirektivets artikkel 6 nummer 1 bokstav c, at personopplysninger skal være adekvate, relevante og ikke for omfattende i forhold til de formål de er innsamlet for og/eller senere behandles for. Bestemmelsen er implementert i norsk rett i personopplysningslovens § 11 bokstav d.

    Det er Datatilsynets klare oppfatning at et så omfattende "dokumentasjonsregime" som forslaget legger opp til, vil kollidere med de her nevnte bestemmelsene. Rådgivningsvirksomhet gjennomføres i hovedsak ikke gjennom i telefonsamtaler, men gjennom kundemøter, ref høringsuttalelsen fra Finansnæringens Hovedorganisasjon og Sparebankforeningens Servicekontor i denne sak. Finansdepartementets ønske om å gjøre lydopptak og stille krav til øvrig dokumentasjon for å oppnå økt investorbeskyttelse og kontrollmulighet for Kredittilsynet vil ikke kunne oppnås gjennom det ønskede tiltaket. Etter Datatilsynets oppfatning taler dette faktum klart mot en så omfattende dokumentasjonsordning som det legges opp til. Datatilsynet anser således at forslaget ikke står i et rimelig forhold til de konsekvenser ordningen vil få for de berørtes personvern.

    Omfattende kontroll av ansatte


    For ansatte i banker som utøver investeringstjenester sammen med andre banktjenester, medfører trolig forslaget at det må skje opptak av samtlige inngående og utgående telefonsamtaler. En løsning med dedikerte telefoner til investeringssamtaler fremstår som lite praktisk i disse tilfellene. Her gjør også problematikken med mobiltelefoner som benyttes i jobbsammenheng seg gjeldende, særlig i de tilfeller det også er adgang til å benytte mobilen i privat sammenheng. De samme hensynene vil gjøre seg gjeldende i forhold til streng kontroll av øvrige kommunikasjonskanaler.

    Datatilsynet understreker at arbeidsgiver ikke har saklig grunn til å føre kontroll med den ansattes private korrespondanse.

    I denne forbindelse vises det også til avgjørelsen fra Den europeiske menneskerettighetsdomstolen i sak Copland v. The United Kingdom. Av saken og domstolens rettspraksis fremgår det at telefonsamtaler fra forretningslokaler åpenbart faller inn under begrepene "privatliv" og "korrespondanse" i menneskerettskonvensjonen artikkel 8. Retten mener det dermed også er logisk at e-post sendt fra arbeidsplassen og logger over besøkte internettsider har liknende beskyttelse.

    Menneskerettsdomstolen understreker at de ikke ser bort fra at innsyn og overvåkning i noen tilfeller kan være nødvendig, men understreker at inngrepene må være i samsvar med loven og nødvendige av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.

    Øvrige bemerkninger knyttet til personopplysningslovens bestemmelser

    Det følger av personopplysningslovens § 8 at det må foreligge et gyldig grunnlag for å behandle personopplysninger. Hjemmel i lov vil, som omtalt i høringsnotatet, være et gyldig behandlingsgrunnlag i denne sammenheng. Det forutsettes selvsagt at hjemmelen må være tilstrekkelig klar for at denne typen omfattende overvåking skal kunne gjennomføres.

    Personopplysningslovens § 19 pålegger den behandlingsansvarlige en informasjonsplikt når det samles inn personopplysninger fra den registrerte. Bestemmelsen medfører av informasjon skal gis før behandlingen settes i gang, eksempelvis før lydopptakets oppstart. Plikten innebærer at den enkelte blant annet skal informeres om hvem som er ansvarlig for behandlingen av personopplysninger, formålet med behandlingen og hvem opplysningene eventuelt skal utleveres til. Informasjonsplikten vil gjelde både overfor de ansatte og kunder, samt andre det blir gjort lydopptak av.

    Informasjonsplikten er en sentral bestemmelse i personopplysningsloven. Gjennom tilfredsstillende informasjon blir den enkelte satt i stand til å ivareta sine øvrige rettigheter etter personopplysningsloven. Datatilsynet kan ikke se at spørsmål knyttet til informasjonsplikt er vurdert i høringsnotatet.

    Personopplysninger skal ikke lagres lenger enn det som er nødvendig ut i fra formålet med behandlingen. Når formålet er oppnådd skal opplysningene slettes, jf personopplysningslovens § 11 bokstav e og § 28. Heller ikke behovet for lagring av opplysningene er omtalt nærmere i forslaget.

    Datatilsynet av den oppfatning at forholdet til informasjonsplikten og slettebestemmelser, av personvernhensyn, må utredes nærmere før forslaget til endringer i verdipapirforskriftens regler om lydopptak eventuelt kan vedtas.

    Avsluttende kommentarer

    Datatilsynet er av den klare oppfatning at forslagets formål ikke er proporsjonalt med tiltakene som innføres. Særlig er oppfatningen basert på at omfattende opptaks- og dokumentasjonskrav ikke vil være tilstrekkelige for å sørge for beskyttelse av investorer og økt kontrollmulighet. Tiltaket kan således ikke antas å være formålstjenlig.

    Tilsynet antar at alternative løsninger for å oppnå formålet kan være minst like hensiktsmessig. Typisk kan det stilles krav om at investeringssamtaler gjennomføres på en klart fastsatt måte. Å sikre seg gjennom opptak og kontroll av samtlige kommunikasjonsmidler, når man antar at flesteparten av samtalene foregår gjennom kundemøter, virker i så måte urimelig og i strid med grunnleggende personvernhensyn.

    I tillegg ønsker Datatilsynet å peke på de personvernkonsekvenser den mengden av overskuddsinformasjon som vil bli lagret, vil føre med seg. Slik informasjon, vil trolig inneholde personopplysninger av ulik karakter, fra de helt nøytrale opplysninger til de mer følsomme og sensitive. Behandling av denne typen overskuddsinformasjon vil verken være saklig eller relevant, jf personopplysningslovens § 11 bokstav b og d.
     
    Datatilsynet deler med andre ord ikke Finansdepartementets oppfatning av at "eventuelle personvernsmessige betenkeligheter bør stå tilbake."

     

    datatilsynet.pdf
    Til toppen