4 Reglenes saklige og geografiske virkeområde
4.1 Reglenes geografiske virkeområde
Bestemmelsene om kredittopplysningsvirksomhet som departementet anbefaler i denne proposisjonen, er basert på at personvernforordningen gir rettslig grunnlag for reguleringen. Departementet ser det derfor som ønskelig at nytt kredittopplysningsregelverk, så langt det er mulig, gis samme geografiske anvendelse som det generelle personopplysningsregelverket.
Det er lagt til grunn at loven skal gjelde for behandling av kredittopplysninger i virksomheten til en behandlingsansvarlig i Norge. Dette gjelder uavhengig av om selve behandlingen skjer i eller utenfor Norge. Virksomhetsbegrepet skal forstås på samme måte som i personopplysningsloven og personvernforordningen, se særlig fortalepunkt 22. Departementet viser til Prop. 56 LS (2017–2018) kapittel 5 og forarbeidene og merknadene til personopplysningsloven § 4 første ledd for så vidt gjelder reglenes anvendelse for behandling som skjer som ledd i virksomheten til en behandlingsansvarlig i Norge. Det som der er sagt gjelder tilsvarende for kredittopplysningsreglenes anvendelse for virksomhet i Norge.
Personvernforordningen gjelder all behandling av personopplysninger i hele EU-/EØS-området. Kredittopplysningsvirksomhet etablert utenfor Norge vil dermed være dekket av forordningens generelle regler, men ikke av de nasjonale kredittopplysningsreglene. Departementet er likevel ikke bekymret for at dette kan innebære at kredittopplysningsvirksomhet etableres utenfor Norge i den hensikt å omgå de særnorske reglene om behandling av kredittopplysninger. I kredittopplysningsvirksomhet behandles mange typer opplysninger som er taushetsbelagte hos primærkilden, og som kun utleveres etter særskilt hjemmel. Dette gjelder for eksempel opplysninger om inkassosaker, opplysninger om skattefastsetting og gjeldsinformasjon. Behandlingsansvarlig for primærkildene kan etter gjeldende rett utlevere opplysninger til kredittopplysningsvirksomhet som drives i samsvar med reglene om slik virksomhet i eller i medhold av personopplysningsloven 2000. De ulike lov- og forskriftsbestemmelsene er i lovforslaget foreslått oppdatert slik at de vil vise til kredittopplysningsloven. Dette medfører at opplysningstyper underlagt taushetsplikt bare kan utleveres til bruk i kredittopplysningsvirksomhet som skjer i samsvar med forslaget til kredittopplysningslov. Etter departementets vurdering vil dette forhindre at kredittopplysningsvirksomhet med relevans for norske brukere flyttes ut av Norge i den hensikt å omgå de nasjonale særreglene.
Det følger av personopplysningsloven § 4 fjerde ledd at Kongen kan bestemme at personopplysningsloven og personvernforordningen skal gjelde på Svalbard og Jan Mayen. Det er departementets vurdering at det også bør være adgang til å gi kredittopplysningsregelverket anvendelse på Svalbard og Jan Mayen. Det legges opp til at regelverkets anvendelse på Svalbard og Jan Mayen kan fastsettes i forskrift.
4.2 Reglenes saklige virkeområde: Bør reglene om kredittopplysningsvirksomhet omfatte andre enn fysiske personer?
4.2.1 Gjeldende rett
De gjeldende reglene om behandling av personopplysninger i kredittopplysningsvirksomhet gjelder også for behandling av opplysninger om næringsdrivende. Som næringsdrivende regnes etter de gjeldende kredittopplysningskonsesjonene «foretak som er registrert i Foretaksregisteret eller i Merverdiavgiftsregisteret samt foretak som er registrert i arbeidsgiverdelen i Arbeidsgiver- og arbeidstakerregisteret, dersom de etter en konkret vurdering kan sies å utøve næringsvirksomhet». Hensynet bak regelen er at uriktige kredittopplysninger om virksomheten, eller uriktig bruk av slike opplysninger, kan være vel så skadelig for en juridisk person som uriktig bruk av personopplysninger kan være for en fysisk person. Alle reglene om behandling av opplysninger i kredittopplysningsvirksomhet gjelder likevel ikke for behandling av opplysninger om juridiske personer. Det er blant annet gjort unntak fra gjenpartsplikten, som kun gjelder ved utlevering av opplysninger om fysiske personer. Også de øvrige informasjonsreglene gjelder ulikt for fysiske og juridiske personer. Tilsvarende gjelder ulike regler for hvilke opplysninger det er anledning til å bruke i kredittopplysningsvirksomhet om henholdsvis fysiske og juridiske personer.
4.2.2 Forordningen
Bestemmelsene om personvernforordningens saklige virkeområde har ingen betydning for spørsmålet om kredittopplysningsreglene skal omfatte behandling av opplysninger om andre enn fysiske personer. Norge står derfor fritt til å fastsette regler også for behandling av kredittopplysninger om juridiske personer.
4.2.3 Forslaget i høringsnotatet
I høringsnotatet la departementet til grunn at det er gode grunner som taler for å videreføre regulering av behandling av kredittopplysninger også om næringsdrivende. Samtidig pekte departementet på at næringsdrivende ikke er en ensartet gruppe, og at det kan være gode grunner til å fastsette noe ulike regler for ulike kategorier næringsdrivende. Det ble vist til at i mange tilfeller vil det kunne være vanskelig å skille foretakets økonomi fra eiers private økonomi. Enkeltpersonforetak kan derfor i mange sammenhenger best behandles som fysiske personer i kredittopplysningssammenheng, og dermed få tilsvarende rettigheter som fysiske personer. Et slikt skille er trukket i gjeldende rett, der det skilles mellom enkeltpersonforetak som er registrert i Foretaksregisteret og de som ikke er det, slik at de enkeltpersonforetakene som ikke er registrert blir behandlet som fysiske personer. Dette følger blant annet av kredittopplysningskonsesjonens regler om forhåndsvarsel, og det følger av konsesjonens merknader som sier at opplysninger om betalte fakturaer ikke kan registreres for enkeltpersonforetak som ikke er registrert i foretaksregisteret. Departementet anbefalte i høringsnotatet at dette skillet ble videreført, slik at når høringsforslaget henviste til næringsdrivende, var det tale om foretak som er registrert i Foretaksregisteret, Merverdiavgiftsregisteret, eller i arbeidsgiverdelen av Arbeidsgiver-og arbeidstakerregisteret.
For så vidt gjelder registrering i Arbeidsgiver- og arbeidstakerregisteret anbefalte departementet ikke å videreføre gjeldende regel om at det skal foretas en konkret vurdering av om det utøves næringsvirksomhet for å avgjøre om foretaket skal regnes som næringsdrivende. Departementet pekte på at en slik regel forutsetter individuell vurdering av hvert foretak, og kan gi seg utslag i ulikt resultat hos de ulike kredittopplysningsforetakene. For å skape mest mulig klarhet og forutsigbarhet, gikk departementet derfor inn for at alle foretak som er registrert i Arbeidsgiver- og arbeidstakerregisteret skal regnes som næringsdrivende.
Videre foreslo departementet at reglene i personvernforordningen og personopplysningsloven bare skal gjelde for behandling av kredittopplysninger om næringsdrivende der dette eksplisitt fremgår av kredittopplysningsloven.
4.2.4 Høringsinstansenes syn
Relativt få av høringsinstansene har gitt merknader til spørsmålet om hvorvidt kredittopplysningsreglene bør gjelde for behandling av kredittopplysninger om næringsdrivende. Flere høringsinstanser tar ikke stilling til hvorvidt regelverket bør omfatte behandling av kredittopplysninger om næringsdrivende. Samtidig gir de uttrykk for at hvis næringsdrivende skal omfattes, må det finnes en fornuftig balanse i reguleringen, og personopplysningsloven må ikke gis tilsvarende rekkevidde som for fysiske personer.
Blant de høringsinstansene som har gitt merknader til spørsmålet om hvorvidt kredittopplysningsreglene bør regulere behandling av kredittopplysninger om næringsdrivende, er synet delt. Skatteetaten støtter departementets forslag, og begrunner dette med at «bruk av kredittopplysninger kan være vel så skadelig for en næringsdrivende som for en privatperson». Datatilsynet og Juristforbundet deler dette synet.
Presseorganisasjonene ogFinansieringsselskapenes Forening er derimot negative til å la reglene omfatte næringsdrivende. Presseorganisasjonene mener det vil ha en nedkjølende effekt på samfunnets informasjonstilgang om personvernforordningens regler gis anvendelse for behandling av kredittopplysninger om næringsdrivende.
4.2.5 Departementets vurderinger
4.2.5.1 Begrepsbruk
Departementet knytter innledningsvis noen kommentarer til begrepsbruk for å skille ulike kategorier registrerte fra hverandre. I høringsutkastet ble begrepene næringsdrivende og enkeltpersoner benyttet. Dette innebar en videreføring av gjeldende rett. Enkeltpersonforetak ble omtalt som en særlig kategori, og behandling av opplysninger om disse ble i høringsutkastet foreslått å følge reglene om behandling av opplysninger om enkeltpersoner. Særlig begrepet næringsdrivende, og kategorisering av enkeltpersonforetak som en gruppe som tidvis behandles som næringsdrivende og tidvis som fysiske personer i kredittopplysningssammenheng, har historisk sett gitt opphav til uklarheter. Etter en nærmere vurdering er departementet kommet til at en mer hensiktsmessig begrepsbruk vil være å omtale enkeltpersoner som fysiske personer, og benytte juridisk person som betegnelse for det som i høringsutkastet ble omtalt som næringsdrivende. Dette skillet fremgår av lovforslaget § 3 bokstav b.
Bruk av begrepet fysisk person innebærer at begrepsbruken i lovforslaget samsvarer med begrepsbruken i personopplysningsloven og personvernforordningen. Etter personvernforordningen artikkel 4 nr. 1 er «enhver opplysning om en identifisert eller identifiserbar fysisk person» en personopplysning. Opplysninger om et enkeltpersonforetak vil derfor være opplysninger om en fysisk person. Etter personvernforordningen er det ikke anledning til å gi fysiske personer dårligere personvern enn det som følger av forordningen. Fordi opplysninger om enkeltpersonforetak er å anse som opplysninger om eier, må opplysningene om enkeltpersonforetaket derfor, så langt forordningen rekker, behandles etter reglene i personvernforordningen. Enkeltpersonforetak er dessuten i norsk rett ikke ansett å være en juridisk person. Det gir derfor god sammenheng i regelverket å behandle opplysninger om enkeltpersonforetak som opplysninger om en fysisk person.
Etter gjeldende konsesjoner er det trukket et skille mellom enkeltpersonforetak registrert i Foretaksregisteret og enkeltpersonforetak som ikke er registrert. Dette skillet danner grunnlag for skille mellom enkeltpersonforetak som etter gjeldende rett skal behandles som næringsdrivende og enkeltpersonforetak som skal behandles som fysiske personer i kredittopplysningssammenheng. Departementet kan i utgangspunktet ikke se at det, fra et personvernståsted, er gode grunner for å skille mellom enkeltpersonforetak på denne måten. Opplysninger om foretaket kan knyttes direkte til innehaver uavhengig av registrering. Departementet er dessuten i tvil om personvernforordningen gir adgang til å trekke dette skillet. Alle opplysninger som kan knyttes til en identifiserbar fysisk person skal behandles etter reglene i forordningen. Så lenge det er identifikasjon mellom økonomien i enkeltpersonforetaket og økonomien til den fysiske personen som eier foretaket, vil opplysningene om foretakets økonomi være personopplysninger i personvernforordningens forstand. Departementet mener det vil skape uklare regler og vanskeliggjøre regeletterlevelsen dersom enkeltpersonforetak, som i dag, skal behandles som juridiske personer i noen sammenhenger og som fysiske personer i andre. Tilsvarende skaper det uklarhet at noen enkeltpersonforetak konsekvent skal regnes som juridiske personer, mens andre konsekvent skal regnes som fysiske personer. Dette gjelder ikke minst når enkeltpersonforetak ellers i norsk rett ikke er å anse som juridiske personer. Departementet mener etter dette at det vil skape klarhet å behandle opplysninger om alle enkeltpersonforetak som opplysninger om fysiske personer i kredittopplysningsvirksomhet.
Begrepet juridisk person vil dekke næringsvirksomhet organisert i alle andre selskapsformer enn som enkeltpersonforetak. Det vil også dekke foreninger og andre sammenslutninger som ikke driver næringsvirksomhet, men som er registrert i Enhetsregisteret og tildelt organisasjonsnummer.
I lovforslaget, og i departementets vurderinger i proposisjonen før øvrig, benyttes derfor begrepet fysisk person der høringsforslaget benyttet enkeltperson. Tilsvarende benyttes begrepet juridisk person der høringsutkastet benyttet begrepet næringsdrivende. Enkeltpersonforetak faller uten unntak i kategorien fysisk person. I enkelte sammenhenger der det har særskilt betydning, benyttes høringsutkastets begreper.
4.2.5.2 Vurderinger
Også juridiske personer kan rammes hardt dersom uriktige økonomiske opplysninger om dem spres. Dette gjelder særlig små virksomheter. Men også større virksomheter og organisasjoner kan lide under spredning av uriktige opplysninger om dem, og det kan være ressurskrevende å få ryddet opp i feil. Slik departementet ser det, er det derfor gode grunner som taler for å videreføre regulering av behandling av kredittopplysninger også om juridiske personer. Dette er gjenspeilet i lovforslaget § 1 sammenholdt med § 3 bokstav b.
Det er viktig at regelverket skaper klarhet og forutsigbarhet både for de som driver kredittopplysningsvirksomhet, deres kunder og ikke minst for de registrerte. Ved å gå bort fra å bruke begrepet næringsdrivende, vil man unngå å videreføre dagens uklarhet knyttet til behandling av kredittopplysninger om enkeltpersonforetak. Enkeltpersonforetak eies av en fysisk person, og drives for vedkommendes regning og risiko. Innehaver har ubegrenset personlig ansvar, og enkeltpersonforetaket er ikke å regne som en juridisk person. I stedet vil enkeltpersonforetak være omfattet av reglene om behandling av opplysninger om fysiske personer. Sammenliknet med gjeldende rett, fører dette til at lovforslaget setter noe strammere rammer for behandling av kredittopplysninger om enkeltpersonforetak. Departementet mener det fremdeles vil være god tilgang til informasjon om enkeltpersonforetakene, og kan ikke se at endringen vil få negative konsekvenser av betydning for kredittmarkedet.
I høringsutkastet foreslo departementet å ikke videreføre gjeldende regel om at det skal foretas en konkret vurdering av om det utøves næringsvirksomhet i en virksomhet registrert i Arbeidsgiver- og arbeidstakerregisteret for å avgjøre om foretaket skal regnes som næringsdrivende. Det er ingen høringsinstanser som har kommentert temaet. Problemstillingen er kun relevant dersom registreringen har betydning for vurderingen av enkeltpersonforetak. Fordi departementet har konkludert med at alle enkeltpersonforetak i kredittopplysningssammenheng skal behandles som fysiske personer, er det ikke nødvendig å foreta en nærmere vurdering av spørsmålet om registrering i Arbeidsgiver- og arbeidstakerregisteret.
Departementet mener, i likhet med flere av høringsinstansene, at det er riktig å legge vekt på at det er svært ulike hensyn som gjør seg gjeldende ved regulering av behandling av kredittopplysninger om henholdsvis fysiske og juridiske personer. Det er ikke gitt at alle bestemmelsene i personvernforordningen og personopplysningsloven bør gjelde for behandling av kredittopplysninger om juridiske personer. Det bør derfor foretas en konkret vurdering av hvilke regler som skal kunne påberopes av juridiske personer. Departementet foreslår at reglene i personvernforordningen og personopplysningsloven bare skal gjelde for behandling av kredittopplysninger om juridiske personer der dette eksplisitt fremgår av kredittopplysningsloven. Hvilke av reglene som skal gis anvendelse vurderes konkret i forbindelse med behandling av de ulike rettslige problemstillingene i denne proposisjonen.