Utvalgte hurtiglenker

    Høringer

    Datatilsynet

    Høringssvar | | Finansdepartementet

    Høringsuttalelse - forslag til gjennomføring av betalingstjenestedirektivet i norsk rett mv.


    Datatilsynet viser til Finansdepartementets høringsbrev av 22. juni 2009 vedrørende forslag til gjennomføring av betalingstjenestedirektivet i norsk rett (offentligrettslig bestemmelser) m.v. Høringsfrist er satt til 15. september i år, og senere forlenget grunnet sykdom.

    Innledningsvis ønsker Datatilsynet nok en gang å uttrykke bekymring knyttet til ønsket om å gi en private aktører, her betalingsforetak, etterforskningsoppgaver. Det er et prinsipielt spørsmål hvem som bør befatte seg med slike oppgaver. Forebygging, etterforskning og avsløring av betalingsbedrageri er etter Datatilsynets oppfatning oppgaver som bør tillegges politiet.

    Datatilsynets merknader til de foreslåtte bestemmelsene som er av særlig betydning for personvernet følger nedenfor.

    Forslag til finansvirksomhetsloven § 4b-3


    Det er særlig implementering av betalingstjenestedirektivet artikkel 79, sammenholdt med fortalens punkt 48, som reiser personvernspørsmål. Betalingsdirektivet legger opp til at tilbydere av betalingstjenester skal gis rett til innsamling, bearbeiding og utveksling seg imellom av transaksjonsopplysninger og betalingsinformasjon som er nødvendig for å forebygge, etterforske og avdekke betalingsbedrageri.

    Direktivets bestemmelse foreslås implementert i finansvirksomhetsloven § 4b-3. Første setning i den foreslåtte § 4b-3 bokstav a fremstår som en særregulering i henhold til personopplysningslovens § 5. Datatilsynet stiller spørsmål ved om trusselbildet knyttet til betalingsbedrageri er så tungtveiende at de grunnleggende personvernhensynene bør settes til side. Dette selv om annen setning i nevnte bestemmelse presiserer at den øvrige behandlingen av de aktuelle personopplysningene skal behandles i henhold til personopplysningslovens bestemmelser.
     
    Alternativt dersom man skal tillate utveksling av personopplysninger for dette formålet, bør det gjennomføres på en forsvarlig måte personvernmessig.

    Utveksling, innsamling og bearbeiding av personopplysninger kan kun skje ved konkret mistanke om betalingsbedrageri.

    Datatilsynet vil sterkt fraråde at foretak med rett til å yte betalingstjenester gis en blancofullmakt på særdeles vage kriterier, som foreslått i finansvirksomhetsloven § 4b-3. Når kan betalingsforetakene lovlig utveksle opplysninger? Hva ligger i kriteriet "sikre forebygging" og hva menes med "annen betalingsinformasjon"?

    Lovforslaget medfører en utstrakt utveksling av kundeinformasjon uten at kunden selv er klar over det. Datatilsynet kan ikke se at sentrale spørsmål, som eksempelvis hvordan denne informasjonen skal lagres, hvor lenge skal den lagres og hvem skal ha tilgang til informasjonen, er behandlet i høringsnotatet. Hva med informasjonsplikt og innsynsrett i forhold til de personopplysningene omhandler?

    Dersom man foreslår en bestemmelse som har så vidt stor betydning for personvernet, bør man samtidig vurdere de personvernmessige konsekvensene på en betryggende måte. Det vises i denne forbindelse til veileder til utredningsinstruksen "Vurdering av personvernkonsekvenser".

    Er det vurdert tiltak for å avhjelpe personverntruslene ved et slikt lovforslag som:

    • kortere lagringstid
    • avidentifisering
    • forhindre overskuddsinformasjon
    • innsynsrett
    • informasjonsplikt
    • redusert tilgang til informasjonen
    • sikring av opplysninger


    Behandling av personopplysninger knyttet til betalingsbedrageri vil være konsesjonspliktig etter personopplysningsloven §§ 33, jf personopplysningsforskriften § 7-3.
    Det vil være naturlig å utvide eksisterende konsesjon for bankers og finansinstitusjoners behandling av personopplysninger. Dette er allerede gjort i forbindelse med hvitevaskingsregelverket. Denne konsesjonen sendes ut i disse dager. Datatilsynet vil i forbindelse med konsesjonen måtte vurdere vilkår som er nødvendig for å begrense ulempene behandlingen ellers ville medføre for den registrerte, jf personopplysningsloven § 35. Tiltakene som nevnt over vil være relevant ved vurdering av slike vilkår.

    Dokumentasjonsplikt


    KIart ubegrunnede beskyldninger om betalingsbedrageri bør av personvernhensyn slettes innen kort tid, men likevel slik at den registrerte gis informasjon etter personopplysningsloven eventuelt innsynsrett etter personopplysningsloven §§ 18 - 20. Slik Datatilsynet ser det vil ingen av unntakene i personopplysningsloven § 23 kunne komme til anvendelse i slike tilfeller.

    Avsluttende kommentarer


    Dersom den foreslåtte § 4b-3 skulle bli vedtatt, anmoder Datatilsynet om å bli kontaktet ved utarbeidelse av videre regler for behandling av personopplysninger med hjemmel i bestemmelsens punkt (2).

    Datatilsynet minner i den anledning på ny om veileder til utredningsinstruksen "Vurdering av personvernkonsekvenser".
     

    datatilsynet.pdf
    Til toppen