Personvernnemndas avgjørelse av 12.01.2004 (Jon Bing, Gro Hillestad Thune, Per Anders Stalheim, Hanne Bjurstrøm, Dag Elgesem, Tore Andreas Hauglie, Sidsel Rogde).
1. Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak av 07.05.03. Saken gjelder spørsmålet om det i Datatilsynets konsesjon til klager skal kunne stilles vilkår om at det ikke uten kundenes samtykke skal tillates at et konsernkunderegister innholder opplysninger om hvilke type tjenester og produkter kunden har avtale om hos de ulike selskaper i konsernet.
2. Saksgang
Gjensidige Nor Sparebank ASA (GNS) søkte 29.12.2001 Datatilsynet om konsesjon etter konsesjonsbestemmelsen i personopplysningsforskriften § 7-3. Datatilsynet ga konsesjon i vedtak av 16.12.2002 for deler av konsesjonssøknaden. GNS klaget på vedtaket i brev av 10.02.2003. Datatilsynet foretok en fornyet behandling av saken den 07.05.2003 som resulterte i at tre av klagers fire anførsler delvis ble etterkommet. I brev av 03.06.2003 opprettholder GNS klagen for den del som ikke ble omgjort av Datatilsynet og akseptert av GNS. Saken ble oversendt Personvernnemnda 11.08.03 i brev av 06.08.03. Personvernnemnda har mottatt brev fra GNS av 27.08.2003 med ytterligere kommentarer i saken.
Gjensidige Nor Sparebank ASA ble 19.01.2004 formelt fusjonert med Den norske Bank ASA. Den nye bankenhetens navn er DnB NOR Bank ASA.
3. Faktum
Konsesjonsplikten for banker og andre finansinstitusjoner følger av personopplysningsforskriften § 7-3 som er gitt med hjemmel i personopplysningsloven § 33 andre ledd, jf § 3 fjerde ledd. Konsesjonsområdet som er nærmere beskrevet i forskriftsbestemmelsen, er " ... behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av banktjenester .". Datatilsynet ga konsesjon for deler av søknaden. Vedtaket ble påklaget, og Datatilsynet foretok en fornyet behandling som resulterte i at tre av klagers fire anførsler delvis ble etterkommet. For Nemnda behandles bare kravet om at konsesjon til GNS konsernkunderegister skal kunne inneholde opplysninger om produkttype.
Datatilsynet begrenser konsesjonen til å gjelde overføring av opplysninger om produktkategori, det tillates ikke at det overføres opplysninger om produkttype. Produktkategorien er delt i tre; betalingsformidling, spare- og innskuddsprodukter, lån og kredittgivning. Datatilsynets vedtak innebærer for eksempel at opplysninger om at kunden har lån tillates registrert, men at det ikke tillates overført opplysninger om type lån (for eksempel fastrentelån).
GNS er behandlingsansvarlig for konsernkunderegisteret. Her er alle opplysningene i registeret tilgjengelig for alle selskapene uten tilgangsbegrensning selskapene i mellom. I det eksisterende system blir opplysninger om produkttype automatisk generert til konsernkunderegisteret når en avtale registreres i bankens kunderegister. Endring av systemet til ikke å inneholde produkttype, vil forutsette bruk av betydelige ressurser. Det er i dag registrert over en million kunder på konsernbasis, og det er enda flere produkttyperegistreringer. Alle kundene som er registrert i dag har mottatt brev om konsernkunderegisteret og retten til å reservere seg mot direkte markedsføring. I løpet av en periode på flere år opplyser GNS å ha mottatt ca 10 klager fra kunder på at opplysninger om kundeforholdet er del av konsernregisteret, og at noen hundre har reservert seg mot direkte markedsføring.
Bankkommisjonen har utarbeidet forslag til lovregulering av informasjonsutveksling mellom selskaper i finanskonsern, jf NOU 2001: 23 Finansforetakenes virksomhet (lovutkastet § 13-8). Forslaget er nå til behandling i Finansdepartementet. Datatilsynet finner ikke å kunne utsette sitt vedtak fram til forslaget er behandlet i Stortinget.
4. Anførslene
Grunnlaget for utlevering av opplysninger til felles konsernkunderegister er etter GNS oppfatning personopplysningsloven § 8 bokstav f, avveiningen av behandlingsinteressen mot den enkeltes personvern, og tolkninger av taushetsplikten anvendt i konsernforhold. GNS anfører derfor at den praksis som er etablert ved blant annet Justisdepartementets vedtak i CBK-saken i 1995 må legges til grunn. Vedtaket tillot Christiania Bank- og Kreditkasse (CBK) å registrere opplysninger om produkttype. Ved tolkningen av personopplysningslovens § 8 bokstav f skal den enkeltes kontroll med egne personopplysninger vektes mot behandlers berettigede interesse i bruk. Det fremgår ikke av Datatilsynets begrunnelse at en slik interesseavveining er foretatt. Konsesjonene som er gitt for etablering av konsernkunderegistre etter gammel lovgivning, bygger på en slik avveining og tillater registrering av produkttype. Datatilsynet har ansett etablert praksis uproblematisk i egen konsesjonspraksis inntil nylig, også i tiden etter at personopplysningsloven trådte i kraft. I personopplysningsloven er personvernet styrket ved at loven introduserte nye krav ved blant annet skjerpet innsynsrett, informasjonsplikter og det forhold at manuelle behandling som hovedregel omfattes. Dette taler ikke for Datatilsynets tolkning.
Det anføres at Datatilsynets tolkning strider mot Kredittilsynets vurdering og praktisering av taushetspliktbestemmelser i finanslovgivningen, jf rundskriv 11/2000 og brev av 27.04.2001 med presiserende fortolkninger. Kredittilsynet tillater at opplysninger om produkttype utleveres eller registreres. GNS kan ikke se at personopplysningsloven fordrer en ytterligere innstramming av grensene for bankenes utlevering konsernkunderegister, jf Ot.prp. nr 92 (1998-99) s 63.
GNS bemerker at Datatilsynets tolkning er i utakt med Banklovkommisjonens forslag til ny lovregulering av informasjonsutveksling i finanskonsern. I forslaget gis det adgang til å registrere både produkttype og omfang i konsernkunderegister. Det er ikke praktisk gjennomførbart for GNS å innhente samtykke fra kundene om å registrere produkttype i konsernkunderegisteret.
Forbud mot å registrere produkttype vil innebære at et register med over en million registrerte kunder på konsernbasis, og mangfoldige flere produkttyperegistreringer må undergis en totalrevisjon. Ressursbruken vil være høy fordi et meget stort antall produkter og et stort antall avtaler må segmenteres på produktkategori og installeres på nytt. GNS anser forbud mot å registrere produkttype som unødvendig da alle kunder som omfattes har fått personlig brev om konsernkunderegisteret og sin rett til å reservere seg mot direkte markedsføring. Erfaringen er at det store flertall av kundene setter pris på at det på konsernbasis foreligger en viss kunnskap mht hva kundeforholdet i GNF totalt omfatter, og at de fleste også forventer dette. Dessuten har GNF i årenes løp mottatt svært få klager.
5. Datatilsynets vurdering
Datatilsynet mener at overføring av opplysninger om produkttype til konsernkunderegisteret vil være i strid med prinsippet om at enhver skal ha kontroll med egne personopplysninger. Ved å tillate overføring av opplysninger om produkttype vil en utvidet mengde personopplysninger overføres, og alle i konsernet vil få tilgang til svært mye informasjon om den enkelte kunde. Forbudet mot å overføre informasjon om produkttype til konsernregister gjelder uavhengig av formål.
Datatilsynet er av den oppfatning at innføringen av personopplysningsloven innebærer et skifte i personvernretten. Herunder at personopplysningslovens fokus på den registrertes rett til kontroll med egne personopplysninger og samtykke som rettslig hovedgrunnlag medførte en innskrenkning av etablert praksis på enkelte områder. Dette begrunnes i at lovgiver i forarbeidene tydelig ga uttrykk for at den enkeltes selvbestemmelsesrett skulle håndheves i størst mulig grad, jf Ot.prp. (1998-99) nr 92 s.108. Denne tolkning innebærer at Datatilsynet ikke rutinemessig legger tidligere praksis og uttalelser fra Justisdepartementet til grunn. Vedtaket fra Justisdepartementet i CBK-saken av 1995 er derfor av mindre betydning da det bygger på personregisterloven.
Datatilsynet har i høringsuttalelse til Finansdepartementet vedrørende Banklovkommisjonens delutredning 6 kritisert store deler av forslaget, herunder den omfattende informasjonsflyten det legges opp til. Datatilsynet ser derfor ikke at Banklovkommisjonens oppfatning er et argument for endring av tilsynets standpunkt. Datatilsynet finner ikke å kunne utsette vedtaket frem til at Banklovkommisjonens arbeid ferdigstilles fordi tilsynet mener at iverksettelse av vedtaket trolig får mindre konsekvenser enn forutsatt av GNS da registrering av produkttype gjelder registeret som helhet og ikke kun for bruk av opplysninger til markedsføringsformål.
I forhold til Kredittilsynets tolkning av taushetspliktbestemmelser i finanslovgivningen mener Datatilsynet at personvernhensyn tilsier at interesseavveiningen i personopplysningsloven § 8 bokstav f ikke kan strekkes så langt til fordel for kommersielle interesser hos den behandlingsansvarlige på bekosting av den enkelte kundes kontroll med egne personopplysninger.
6. Personvernnemndas vurderinger
Personvernnemnda vil innledningsvis bemerke at Datatilsynets opprinnelige konsesjonsbrev av 16.12.02 inneholder flere unøyaktigheter når det gjelder regelverkshenvisninger, henvisninger til konsesjonsgrunnlag og gjengivelse av konsesjonsområdet etter personopplysningsforskriften § 7-3, uten at dette har hatt betydning for nemndas vurdering av klagen.
Datatilsynet skriver i omgjøringsvedtaket av 07.05.2003 (pkt 4 og 4.2) at tilsynet ikke har funnet grunnlag for å endre vilkåret i konsesjonsvedtaket fra desember 2002 om at opplysninger om produkttype ikke skal kunne registreres konsernkunderegisteret til GNS. Personvernnemnda kan vanskelig se at Datatilsynet i det opprinnelige konsesjonsvedtaket tilstrekkelig presist nedla et generelt forbud (uavhengig av formål) mot å tillate registrering av produkttyper i konsernkunderegisteret. Slik Personvernnemnda leser det opprinnelige konsesjonsvedtakets pkt 4 ("Utlevering") og Datatilsynets tolkningsuttalelse i merknadene pkt 3, ble krav om kundens samtykke til registrering av produkttype begrenset til det formål at opplysningene skulle brukes til markedsføring. Datatilsynets vilkår og merknader må etter Personvernnemndas vurdering kunne oppfattes slik at registrering av dybdeopplysninger i konsernkunderegisteret til bruk for andre formål enn markedsføring, ville kunne skje med grunnlag i personopplysningsloven § 8. Nemnda mener således at det opprinnelige konsesjonsvilkåret i pkt 4 ("Utlevering") ikke begrenset GNSs adgang til å registrere dybdeopplysninger i konsernkunderegisteret, men satte kun et forbud mot bruk av registrerte opplysningene i markedsføringsøyemed. Etter Personvernnemndas oppfatning innebærer omgjøringsvedtaket av 07.05.2003 at Datatilsynet har skjerpet vilkårene i forhold til det opprinnelige konsesjonsvedtaket av 16.12.2002 som er påklaget av GNS. Et vedtak kan som hovedregel ikke endres til skade for klageren, jf forvaltningsloven § 34 tredje ledd.
Personvernnemnda konstaterer at Datatilsynets vedtak 07.05.2003 i spørsmålet om produkttype innskrenker tidligere praksis som ble nedfelt av Justisdepartementet i den såkalte CBK-saken og Datatilsynets senere konsesjonspraksis. Denne praksis er også blitt vektlagt av Kredittilsynet gjennom uttalelser om rekkevidden av finansinstitusjoners taushetsplikt ved utlevering av kundeopplysninger til andre konsernselskaper. Personvernnemnda er i utgangspunktet enig med Datatilsynet i at personopplysningsloven i sterkere grad enn etter tidligere regime skal vektlegge betydningen av den registrertes kontroll over egne personopplysninger, men vil fremheve at tilfredsstillende egenkontroll ikke nødvendigvis må innebære et krav om uttrykkelig samtykke til behandlingen så fremt andre virkemidler på en betryggende måte ivaretar den registrertes personverninteresser. Produkttype er ikke en sensitiv opplysning etter lovens § 2 nr 8, og så lenge GNS benytter et behandlingsgrunnlag hjemlet i lovens § 8, jf § 10, kombinert med andre lovbestemte virkemidler og personvernfremmende tiltak, så som informasjonsplikt i §§ 19 og 20 og reservasjonsretten etter § 26 andre ledd ved direkte markedsføring, vil registrering av produkttype etter Nemndas vurdering ikke krenke tungtveiende personverninteresser.
Personvernnemnda er kjent med at Finansdepartementet er i ferd med følge opp Banklovkommisjonens forslag i NOU 2001:23 Finansforetakenes virksomhet til egne lovbestemmelser vedrørende utveksling av kundeopplysninger mellom konsernselskaper (utk § 13-8). Finansdepartementet har i brev 19.12.03 til Finansnæringens Hovedorganisasjon (FNH) og Sparebankforeningen i Norge varslet en lovproposisjon i løpet av vårsesjonen 2004. Personvernnemnda tar her ikke stilling til de materielle vilkår som Banklovkommisjonen har foreslått for utveksling av kundeopplysninger innenfor et finanskonsern, men nøyer seg med å konstatere at Finansdepartementets varslede lovinitiativ vil kunne medføre en relativ rask avklaring innenfor det rom som følger av personopplysningsloven § 5.
For GNS (og den nye sammenslåtte bankenheten DnB NOR Bank ASA) vil en omlegging av konsernkunderegisteret til kun å inneholde opplysninger om produktkategori, kreve betydelige ressurser. Bruk av slike omleggingsressurser tett opp til en relativt nær forestående lovavklaring av et spørsmål som frem til i dag har vært i overensstemmelse med myndighetenes konsesjoner og praksis, vil etter Personvernnemndas vurdering ikke være i tråd med samfunnets interesse i forsvarlig ressursbruk.
Personvernnemnda mener at det i denne saken ikke foreligger tilstrekkelig sterke personvernmessige grunner for å endre rettstilstanden før det foreligger en generell lovavklaring om adgangen til å utveksle kundeopplysninger innenfor finanskonsern.
7. Vedtak
Klagen tas tilfølge. Opplysninger om produkttype tillates inntatt i konsernregisteret.
For Personvernnemnda
Jon Bing
Leder