Journalnummer: 2015-082-0134
1.
Ved e-mail af 26. januar 2015 rettede Danmarks Nationalbank (herefter Nationalbanken) henvendelse til Datatilsynet i anledning af, at Nationalbanken og Finanstilsynet i fællesskab påtænker at etablere et såkaldt kreditregister.
Ved afklarende møder i Datatilsynet den 25. februar og 9. juni 2015 redegjorde Nationalbanken og Finanstilsynet for de foreløbige overvejelser i forbindelse med etableringen af registeret.
Efterfølgende har Nationalbanken i brev af 28. august 2015 anmodet Datatilsynet om at vurdere den påtænkte håndtering af de særlige problemstillinger, der gør sig gældende for kreditregisteret.
2. En nærmere gennemgang af sagen følger nedenfor:
2.1.
Det fremgår af de foreliggende oplysninger, at formålet med at etablere et kreditregister er at forbedre det statistiske grundlag for Nationalbankens overvågning af den finansielle stabilitet og at udvide datagrundlaget for Finanstilsynets tilsynsvirksomhed.
Nationalbanken har oplyst, at kreditregisteret vil komme til at indeholde detaljerede oplysninger om penge- og realkreditinstitutternes udlån til alle typer af låntagere og for alle typer af lån. Adgangen til disse mikrodata vil være et vigtigt bidrag i udviklingen af Nationalbankens og Finanstilsynets arbejde med at sikre den finansielle stabilitet.
Det er desuden oplyst, at eurolandene tidligere har besluttet at oprette et tilsvarende kreditregister med virkning fra januar 2018. Med oprettelsen af det danske register sikres det, at Danmark følger med det øvrige Europa.
Oplysningerne i registeret, som vil omfatte oplysninger om juridiske og fysiske personers lån, herunder oplysninger om f.eks. rente, afdragsprofil, sikkerhed og kreditrisiko, vil blive baseret på kvartalsvise indberetninger fra penge- og realkreditinstitutterne. Den tekniske platform til brug for indsamling, kvalitetssikring og berigelse af kreditregisterets oplysninger vil være det fælles indberetningssystem (FIONA).
Nationalbanken vil foretage en kvalitetssikring (validering) af de indberettede oplysninger. I kvalitetssikringen vil Nationalbanken tjekke gyldighed af debitor CVR-numre mod det offentligt tilgængelige CVR-register samt sammenholde de indsamlede data med tilsvarende aggregerede oplysninger fra Nationalbankens MFI-statistik. MFI indeholder hverken data på CPR- eller CVR-niveau.
Når de indberettede data er kvalitetssikret, bliver de overført til Nationalbankens datavarehus, hvorefter data (for indenlandske låntagere) beriges med oplysninger fra fire eksterne, offentligt tilgængelige kilder:
- Erhvervsregisteret – der beriges med CVR-registeret samt to offentligt tilgængelige variable fra Danmarks Statistiks erhvervsstatistiske register,
- Regnskabsdata – der beriges med regnskabsdata enten fra Experian eller Erhvervsstyrelsen,
- Ejerregisteret – der beriges med oplysninger fra det offentlige ejerregister for at belyse de bagvedliggende ejermæssige forhold bag låntagers virksomhed gennem relation til eventuelt moderselskab,
- Tingbogen – der beriges med oplysninger fra Tingbogen med henblik på at kunne belyse prioritetsrækkefølgen af hæftelserne i fast ejendom på BBR-niveau.
Når den forberedende fase med indsamling, kvalitetssikring og berigelse er foretaget, overføres data til Finanstilsynets datavarehus, og Nationalbankens datavarehus åbnes op for intern brug i Nationalbanken. Denne proces vil blive gentaget for hver ny indberetningsperiode.
2.2. Hjemmelsgrundlaget
Det fremgår af sagen, at kreditregisteret etableres og data indsamles med hjemmel i såvel lov om Danmarks Nationalbank § 14 a, stk. 1, for Nationalbankens vedkommende og lov om finansiel virksomhed § 347, stk. 1, for Finanstilsynets vedkommende. Der vil således ikke blive videregivet oplysninger fra Nationalbanken til Finanstilsynet eller omvendt.
2.2.1.
Nationalbanken har anført, at banken i henhold til § 14 a, stk. 1, i lov om Danmarks Nationalbank har hjemmel til at indsamle, bearbejde og offentliggøre statistiske oplysninger inden for dens kompetenceområde.
Nationalbanken har videre anført, at banken i medfør § 14 a, stk. 1, kan anvende oplysninger indsamlet efter § 14 a til udførelsen af andre opgaver inden for kompetenceområdet, herunder især til overvågningen af den finansielle stabilitet, når det er nødvendigt for opfyldelsen af Nationalbankens formål.
Derudover giver bestemmelsen adgang til at anmode juridiske og fysiske personer om relevante oplysninger, som vedkommende er i besiddelse af, herunder f.eks. kundeoplysninger.
2.2.2.
Finanstilsynet kan efter § 347, stk. 1, i lov om finansiel virksomhed indhente oplysninger, der er nødvendige for tilsynets virksomhed.
Det er Finanstilsynets vurdering, at § 347, stk. 1, kan anvendes til at indhente oplysninger til brug for et kreditregister, så længe de oplysninger, som indhentes, er nødvendige for tilsynets virksomhed. Det er oplyst, at Finanstilsynet blandt andet skal sikre finansiel stabilitet, jf. § 344, stk. 3, i lov om finansiel virksomhed.
Finanstilsynet vurderer ligeledes, at der er hjemmel til at have oplysningerne liggende/registreret i et kreditregister, og tilsynet vil herunder iagttage, at opbevaringen/registreringen er i overensstemmelse med persondatalovens § 5, stk. 2 og 3.
Det fremgår desuden, at det er Finanstilsynets vurdering, at der inden for den gældende lovgivning er hjemmel til at indhente oplysninger til at understøtte den beskrevne anvendelse.
2.3. Dataansvar
Det er oplyst, at Nationalbanken og Finanstilsynet planlægger at indgå i et tæt samarbejde om indsamling og kvalitetssikring af data i kreditregisteret. Formålet er at lette de administrative byrder for myndigheder og for sektoren samt at sikre et konsistent datagrundlag i det myndighedsarbejde, der er forbundet med at sikre den finansielle stabilitet.
Dette vurderes bedst at kunne opnås, hvis kreditregisterets oplysninger indsamles, kvalitetssikres og beriges af én institution. Der er en indbyrdes forståelse om, at det vil være Nationalbanken, der varetager opgaven.
Den tekniske platform til brug herfor vil være det fælles indberetningssystem FIONA, som Nationalbanken og Finanstilsynet har etableret i samarbejde, og som har været i drift siden 2013. Gennem FIONA modtager Nationalbanken og Finanstilsynet i dag indberetninger fra penge- og realkreditinstitutter inden for deres respektive hjemmelsområder.
Da data til brug for kreditregisteret indsamles med en dobbelt hjemmel, vil såvel Nationalbanken som Finanstilsynet være dataansvarlige i henhold til persondataloven for personoplysninger i kreditregisteret i den forberedende fase.
Det er oplyst, at Nationalbanken vil forestå indsamlingen af data på vegne af sig selv og Finanstilsynet for at lette den administrative byrde for indberetterne. For denne del af processen vil Nationalbanken således være databehandler for Finanstilsynet. Nationalbanken er også dataansvarlig for oplysningerne, idet disse tillige er indsamlet med hjemmel i lov om Danmarks Nationalbank.
For at sikre konsistensen af data forestår Nationalbanken ligeledes kvalitetssikringen af oplysningerne. Nationalbanken er således også i denne proces databehandler for Finanstilsynet. Nationalbanken er også dataansvarlig for oplysningerne, som ligeledes er indsamlet med hjemmel i lov om Danmarks Nationalbank.
Berigelsen af data med eksterne, offentligt tilgængelige kilder er en proces, der af hensyn til en effektiv administration og konsistens i datasættet gennemføres og foregår i Nationalbankens datavarehus. Nationalbanken er således også i dette sidste led i den forberedende proces databehandler for Finanstilsynet samt dataansvarlig for de samme oplysninger.
Først når den forberedende fase med indsamling, kvalitetssikring og berigelse er foretaget, overføres data til Finanstilsynets datavarehus, og Nationalbanken ophører med at være databehandler for Finanstilsynet for de overførte oplysninger, som er indsamlet med hjemmel i lov om finansiel virksomhed.
Nationalbanken vil fortsat være dataansvarlig for data, der befinder sig i Nationalbankens datavarehus, og som er indsamlet med hjemmel i lov om Danmarks Nationalbank.
Det er desuden oplyst, at den tekniske løsning understøtter opsplitningen af data efter indsamling, kvalitetssikring og berigelse ved at være baseret på, at data efterfølgende placeres i henholdsvis Nationalbankens og Finanstilsynets it-miljøer, som er fysisk adskilte. Der vil ikke være mulighed for, at Finanstilsynet kan tilgå data i Nationalbanken og vice versa.
3. Datatilsynet skal udtale følgende:
3.1.
Persondataloven1 gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Det fremgår af persondatalovens § 3, nr. 1, at der ved begrebet "personoplysninger" forstås enhver form for information om en identificeret eller identificerbar fysisk person.
Det indebærer, at oplysninger om juridiske personer, såsom aktieselskaber, anpartsselskaber m.v. falder uden for lovens almindelige anvendelsesområde. Derimod er oplysninger om enkeltmandsejede virksomheder omfattet af definitionen. Det samme antages at gælde for interessentskaber, hvis interessenterne er fysiske personer.
Datatilsynet lægger til grund, at persondataloven finder anvendelse på en stor del af de oplysninger, der vil blive behandlet i kreditregisteret.
3.2.
Datatilsynet har noteret sig, at Nationalbanken og Finanstilsynet har vurderet, at disse myndigheders behandling af personoplysninger i forbindelse med kreditregisteret kan ske med hjemmel i henholdsvis § 14 a, stk. 1, i lov om Danmarks Nationalbank og § 347, stk. 1, i lov om finansiel virksomhed.
Datatilsynet har med nærværende udtalelse ikke taget stilling til, om der i de anførte bestemmelser er hjemmel til de omhandlede behandlinger af personoplysninger, men forudsætter, at der er sådan hjemmel.
Endvidere forudsætter Datatilsynet, at der er hjemmel – enten i særlovgivning eller i persondataloven – til den behandling af personoplysninger, der sker i forbindelse med kvalitetssikring (validering) og berigelse af data. Nationalbanken og Finanstilsynet skal således sikre sig, at der foreligger en sådan hjemmel.
Behandlingen af personoplysninger skal herudover ske under iagttagelse af persondatalovens regler om bl.a. datasikkerhed og de registreredes rettigheder. Desuden skal behandlingen leve op til de grundlæggende principper i persondatalovens § 5.
Af persondatalovens § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål. Af § 5, stk. 3, følger endvidere, at oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles.
Disse regler – som implementerer dele af databeskyttelsesdirektivets2 artikel 6 – fører efter Datatilsynets opfattelse til, at Nationalbanken og Finanstilsynet kun må behandle, herunder indsamle og registrere, oplysninger, som den enkelte myndighed selv har et aktuelt og individuelt behov for af hensyn til varetagelsen af egne formål. Den fælles indsamling af oplysninger må således ikke medføre, at der indsamles personoplysninger, som kun den ene myndighed har et sagligt og aktuelt behov for.
Datatilsynet forudsætter i øvrigt, at Nationalbanken og Finanstilsynet lever op til kravet om datakvalitet i persondatalovens § 5, stk. 4, og at sletning af personoplysninger sker i overensstemmelse med persondatalovens § 5, stk. 5, således at oplysningerne ikke foreligger i personhenførbar form i længere tid end nødvendigt for at opfylde formålet med behandlingen.
Endelig forudsætter Datatilsynet, at behandlingen af personoplysninger i øvrigt sker i overensstemmelse med persondatalovens regler. Dette gælder bl.a. reglerne om datasikkerhed i persondatalovens kapitel 11, som nærmere udmøntet i sikkerhedsbekendtgørelsen3 (med tilhørende vejledning4), herunder kravene om logning, autorisation og adgangskontrol.
3.3.
Det fremgår af det oplyste, at Nationalbanken og Finanstilsynet begge vil være dataansvarlige for behandlingen af personoplysninger i kreditregisteret i den forberedende fase, og at de to myndigheder behandler oplysningerne i registeret med hver deres hjemmel og til hvert deres formål.
Nationalbanken vil ifølge det oplyste – udover at være dataansvarlig for sine egne oplysninger i registeret – være databehandler for Finanstilsynet i forbindelse med behandlingen af personoplysninger i den forberedende fase (indsamling, kvalitetssikring (validering) og berigelse af data).
I persondatalovens § 3, nr. 4, er den dataansvarlige defineret som den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
Databehandleren er ifølge lovens § 3, nr. 5, den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler oplysninger på den dataansvarliges vegne.
Datatilsynet forudsætter, at der mellem Nationalbanken og Finanstilsynet bliver indgået en skriftlig aftale i overensstemmelse med persondatalovens § 42, stk. 2, indeholdende klare retningslinjer for Nationalbankens behandling af personoplysninger på vegne af Finanstilsynet.
Datatilsynet forudsætter endvidere, at parterne er opmærksomme på Nationalbankens dobbeltrolle og gør sig klart, hvornår banken behandler egne data som dataansvarlig, og hvornår banken behandler data som databehandler for Finanstilsynet. Det skal i den forbindelse sikres, at Nationalbanken i sin egenskab af databehandler alene behandler oplysninger på vegne af Finanstilsynet og ikke foretager sig noget, som ligger uden for den af Finanstilsynet afgivne instruks og uden for Finanstilsynets behandlingshjemmel.
Datatilsynet har herefter på det foreliggende grundlag ikke umiddelbart indvendinger mod, at Nationalbanken og Finanstilsynet begge er dataansvarlige for behandlingen af personoplysninger i kreditregisteret, og at Nationalbanken i den indledende fase yderligere er databehandler for Finanstilsynet.
Datatilsynet forudsætter herved, at der foreligger klare retningslinjer og instruktionsbeføjelser for så vidt angår behandlingen af oplysningerne, og at de registrerede kan gøres deres rettigheder efter persondatalovens afsnit III gældende over for begge dataansvarlige myndigheder.
I den forbindelse skal Datatilsynet også henlede opmærksomheden på lovens kapitel 8 om den dataansvarliges pligt til at orientere de registrerede om behandlingen af personoplysninger.
3.4.
For så vidt angår Nationalbankens behandling af personoplysninger i kreditregisteret forudsætter Datatilsynet, at behandlingen sker i overensstemmelse med Datatilsynets udtalelse af 29. juni 2015 til Nationalbankens anmeldelse af ”Videnskabelige og statistiske undersøgelser hos statslige myndigheder”, j.nr. 2015-57-0045.
Endelig forudsætter Datatilsynet, at Finanstilsynet sikrer, at den påtænkte behandling af personoplysninger, som Finanstilsynet er dataansvarlig for, er korrekt anmeldt til Datatilsynet, jf. persondatalovens kapitel 12.
4. Afsluttende bemærkninger
Sagen giver ikke umiddelbart Datatilsynet anledning til øvrige bemærkninger, men tilsynet forbeholder sig sin stillingtagen i tilfælde af en eventuel klage- eller tilsynssag.
Datatilsynet foretager sig herefter ikke yderligere i anledning af sagen.
Det skal for en god ordens skyld oplyses, at tilsynet forventer at offentliggøre dette brev på sin hjemmeside.
1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer
2 Europaparlamentets og Rådets direktiv 95/46EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger
3 Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning
4 Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning