Datatilsynet advarer mot altfor vidt lovforslag
Datatilsynet støtter målet om å bekjempe økonomisk kriminalitet, men advarer mot å gi bankene for vide fullmakter til å dele personopplysninger.
Fredag kom Datatilsynets høringssvar til Finansdepartementets forslag om endringer i reglene om finansforetakenes taushetsplikt.
Datatilsynet slutter seg til formålet, og sier innledningsvis at økonomisk kriminalitet er et økende samfunnsproblem som rammer både enkeltindivider og virksomheter med de alvorlige følgene det fører med seg. Og at de har lært:
«Gjennom de felles prosjektene i Datatilsynets og Finanstilsynets regulatoriske sandkasser har vi fått bedre innsikt i de regulatoriske utfordringene finansnæringen opplever i arbeidet med å bekjempe økonomisk kriminalitet.»
Og videre:
Annonse
«Datatilsynet anerkjenner behovet for at finansforetak i større grad enn i dag kan dele personopplysninger både seg imellom og med andre aktører for å forebygge og avdekke økonomisk kriminalitet som rammer foretakene og deres kunder.»
Vil begrense loven til bedrageri
I sitt høringssvar stiller Datatilsynet likevel spørsmål ved om Finanstilsynets forslag til nye regler i finansforetaksloven går for langt. Forslaget åpner for at banker og finansforetak i større grad skal kunne dele opplysninger med hverandre, politiet og andre aktører for å forebygge og avdekke økonomisk kriminalitet.
Datatilsynet mener imidlertid at behovet som beskrives i høringsnotatet primært handler om svindel og bedrageri, og ikke «annen alvorlig kriminalitet».
«Det er vanskelig å se at behovet for deling i særlig grad strekker seg utover å forebygge og avdekke bedrageri», skriver Datatilsynet, og peker på at andre former for økonomisk kriminalitet som korrupsjon og underslag «fremstår som langt mindre relevante områder».
«Datatilsynet er ikke overbevist om at behovet for å forebygge og avdekke annen økonomisk kriminalitet som korrupsjon, underslag og utroskap gjennom deling av opplysninger kan anses sammenlignbart med behovet for deling for å forebygge og avdekke bedrageri – der en typisk modus operandi kan være at et svindelforsøk først rettes mot én bank, deretter en annen og så en tredje, og hvor informasjonsdeling kan ha stor betydning for å forebygge og avdekke slike forsøk.»
Annonse
Tilsynet foreslår derfor å avgrense den nye delingsbestemmelsen i § 16-2 fjerde ledd til nettopp bedrageri i stedet for å dekke «økonomisk kriminalitet og annen alvorlig kriminalitet» generelt. De åpner imidlertid døra på gløtt for å inkludere hvitvasking og terrorfinansiering.
Tilsynet er også usikre på hvor mye deling av data kan bidra med:
«Til bildet hører det at problemene som skisseres i høringsnotatet trolig stikker dypere enn det et tiltak om økt delingsadgang kan bøte på, blant annet knyttet til utfordringer med etablering og (mis)bruk av eID. Antagelig vil økt delingsadgang kun bidra et stykke på veien for å adressere det underliggende problemet knyttet til særlig digitalt bedrageri.»
Ønsker klare rammer og proporsjonalitet
Datatilsynet understreker at personvernregelverket ikke er til hinder for økt informasjonsdeling. Dette samsvarer med det direktør Lene Coll sa til Økonomi24 etter Arendalsuka, hvor deling var et stort tema.
I høringssvaret skriver tilsynet at deling likevel krever tydelige hjemler og klare rammer:
Annonse
«Det er viktig at adgangen til å behandle personopplysninger står i et rimelig forhold til målet som søkes oppnådd, og at hensynet til de registrertes rettigheter og friheter er tilstrekkelig ivaretatt.»
Ifølge tilsynet vil klare lovrammer bidra til å opprettholde tilliten til at finansforetak behandler både egne kunders og tredjeparts personopplysninger på en forsvarlig måte.
Finansforetak kan allerede i dag dele opplysninger med hverandre i «særlige tilfelle» og etter styrevedtak, ifølge gjeldende § 16-2 tredje ledd. Datatilsynet mener denne adgangen kan videreføres for andre typer kriminalitet enn bedrageri, slik at deling utenfor svindelområdet fortsatt skjer på kvalifiserte vilkår.
«Dersom departementet opprettholder det vide formålet som foreslått, må det foretas en mer eksplisitt avveining mellom behovet for utvidet delingsadgang og inngrepet i personvernet», skriver tilsynet.
Etterlyser bedre vern for sensitive data
I høringsuttalelsen peker Datatilsynet også på behovet for strengere vern ved behandling av sensitive opplysninger, som helse, etnisitet eller opplysninger om straffedommer.
Annonse
«Departementet bør vurdere å innta ytterligere tiltak og garantier for å sikre de registrertes grunnleggende rettigheter og friheter», skriver tilsynet, og viser til EU-regelverk som hvitvaskingsforordningen og utkastet til ny betalingstjenesteforordning som eksempler på hvordan slike garantier kan utformes.
Datatilsynet anbefaler dessuten at det etableres en generell lovhjemmel som gir finansforetak rett til ikke bare å utlevere, men også å behandle denne typen personopplysninger når det er nødvendig for å bekjempe økonomisk kriminalitet.
Skeptiske til deling med utlandet
Et annet punkt Datatilsynet løfter fram, er deling av opplysninger med utenlandske finansforetak. Selv om tilsynet «har forståelse for behovet for internasjonalt samarbeid», advarer de mot at norske personopplysninger kan havne i land uten tilsvarende rettssikkerhetsrammer.
«Det er viktig å sikre at utenlandske finansforetak som mottar opplysninger er underlagt tilsvarende rammer for behandlingen som finansforetak som er underlagt finansforetaksloven», skriver Datatilsynet.
