I denne veiledningen presenterer vi tolkningen vår av reglene for behandling av personopplysninger i historiske arkiver. Veiledningen retter seg hovedsakelig mot deg som driver kredittopplysningsvirksomhet.
Kredittopplysningsregelverket inneholder spesialregler om behandling av personopplysninger i historiske arkiver. Et historisk arkiv inneholder opplysninger som du ikke lenger kan behandle i kredittopplysningsvirksomhet.
Veiledningen er basert på funn fra tilsyn med utvalgte kredittopplysningsforetak sin behandling av personopplysninger i historiske arkiver. Last ned samlerapporten nederst i denne artikkelen.
Du kan behandle tre ulike kategorier av opplysninger i kredittopplysningsvirksomhet:
Med grunndata om fysiske personer menes opplysninger som navn, adresse, telefonnummer, fødselsnummer, D-nummer, status i Folkeregisteret m.m.
Kredittopplysninger er i denne sammenheng definert som opplysninger som belyser kredittevnen til en fysisk eller juridisk person.
Gjeldsopplysninger er definert som opplysninger om enkeltpersoners gjeld eller ubenyttet kredittramme. Pantesikret gjeld anses ikke som gjeldsopplysninger i denne sammenheng.
Du skal slette eller overføre opplysninger som ikke lenger kan behandles i kredittopplysningsvirksomhet til historiske arkiver. Dette gjelder ikke gjeldsopplysninger, som du må slette senest tre måneder etter at kredittopplysningsforetaket ditt mottok dem. Dette er særregulert i forskriften til gjeldsinformasjonsloven. Du kan derfor ikke overføre gjeldsopplysninger til historiske arkiver.
Et historisk arkiv kan med andre ord bare inneholde grunndata og kredittopplysninger.
Du kan som hovedregel ikke behandle kredittopplysninger i kredittopplysningsvirksomhet lengre enn fire år fra første gang opplysningene ble registrert hos kredittopplysningsforetaket ditt. Du må slette eller overføre kredittopplysningene til et historisk arkiv fire år etter at disse opplysningene ble registrert.
Du kan behandle noen typer kredittopplysninger i tilknytning til kredittopplysningsvirksomhet lengre enn hovedregelen på fire år fra opplysningene ble registrert for første gang. Andre typer kredittopplysninger kan bare bli behandlet i en kortere tidsperiode. Dette innebærer at du både kan overføre kredittopplysninger til historiske arkiver på et tidligere eller på et senere tidspunkt enn det som følger av hovedregelen. For eksempel kan du ikke lenger bruke et misligholdt krav (en betalingsanmerkning) i kredittopplysningsvirksomhet etter at det har blitt betalt. Du må derfor slette eller overføre en opplysning om en betalingsanmerkning til et historisk arkiv når kravet er betalt, selv om det har gått mindre enn fire år fra kravet ble registrert.
Kredittopplysningsregelverket har ikke særskilt regulering av hvor lenge du kan behandle grunndata i kredittopplysningsvirksomhet. Dette innebærer at brukstiden for behandling av grunndata om fysiske personer i kredittopplysningsvirksomhet reguleres av de alminnelige personvernreglene.
Personvernforordningens prinsipper om riktighet og lagringsbegrensning innebærer at kredittopplysningsforetaket ditt må sørge for at grunndata som behandles i kredittopplysningsvirksomhet til enhver tid er korrekte og oppdaterte. Dette betyr at du umiddelbart må oppdatere grunndata dersom det skjer endringer i opplysningene, for eksempel en adresseendring. Du kan likevel fortsatt ha behov for å behandle utdaterte grunndata i kredittopplysningsvirksomheten, for eksempel bruke dem som «nøkkel» for å koble kredittopplysninger til riktig person. Du må slette eller overføre grunndata som ikke lenger er nødvendig å behandle i kredittopplysningsvirksomhet til historiske arkiver.
Du kan lovlig behandle opplysninger i historiske arkiver for følgende formål:
Du har ikke lov å behandle opplysninger i historiske arkiver til andre formål enn det som er nevnt ovenfor. Dette betyr for eksempel at du ikke kan bruke opplysninger fra et historisk arkiv til kredittvurderinger.
Du skal slette eller anonymisere opplysninger i historiske arkiver når det ikke lenger er nødvendig at opplysningene lagres i identifiserbar form, og senest når det er gått ti år fra tidspunktet som opplysningene ble registrert for første gang for kredittopplysningsvirksomhet.
Du må foreta en vurdering av lagringstiden opp mot formålet, og slette eller anonymisere opplysningene når formålet ikke lenger tilsier lagring av identifiserende opplysninger. Dette gjelder selv om det er kortere enn ti år siden du registrerte opplysningene for første gang.
Grunndata skiller seg fra kredittopplysninger ved at opplysningene allerede kan være langt eldre enn ti år på tidspunktet når det blir aktuelt å overføre opplysningene til historiske arkiver, for eksempel ved navne- eller adresseendringer.
Vi legger til grunn at grunndata kan lagres i historiske arkiver inntil ti år etter at opplysningene ble endret.
Veiledningen er basert på funn fra tilsyn med utvalgte kredittopplysningsforetak sin behandling av personopplysninger i historiske arkiver. I samlerapporten finner du en detaljert rettslig redegjørelse av reglene.