For virksomheter som driver med kredittvurdering

Kredittopplysningsvirksomheter er selv ansvarlige for å innrette seg i tråd med regelverket. Her vil vi gå gjennom de viktigste reglene og endringene som følger av den nye kredittopplysningsloven med forskrift.

Ny kredittopplysningslov og kredittopplysningsforskrift trådte i kraft 1. juli 2022. Samtidig ble § 4 i overgangsbestemmelsene om behandling av personopplysninger (lovdata.no) opphevet. Den nye loven og forskriften regulerer behandling av opplysninger i kredittopplysningsvirksomhet, og erstatter den tidligere ordningen med konsesjon fra Datatilsynet.

Alle aktive konsesjoner fra Datatilsynet til å behandle personopplysninger i kredittopplysningsvirksomhet opphørte samtidig som den nye loven og forskriften trådte i kraft. Kredittopplysningsvirksomheter som tidligere har hatt konsesjon fra Datatilsynet, kan fortsette virksomheten sin så lenge de overholder det nye regelverket. Nye kredittopplysningsvirksomheter trenger ikke lenger søke konsesjon fra Datatilsynet før virksomheten starter opp.

Reglene retter seg mot kredittopplysningsvirksomhetene, og disse er selv ansvarlige for å innrette virksomheten sin i tråd med regelverket. Datatilsynet fører tilsyn med at regelverket overholdes, og brudd på reglene kan medføre overtredelsesgebyr eller andre sanksjoner.

Ved behandling av personopplysninger i kredittopplysningsvirksomhet, gjelder i tillegg reglene i personopplysningsloven og personvernforordningen.

Noen av pliktene som er beskrevet i denne veiledningen følger direkte av ordlyden i loven, mens andre er utledet av forarbeidende til loven.

Enkeltpersonforetak skal behandles som fysiske personer

Enkeltpersonforetak skal likestilles med fysiske personer. Tidligere ble det trukket et skille mellom enkeltpersonforetak registrert i Foretaksregisteret og enkeltpersonforetak som ikke er registrert. Dette skillet dannet grunnlag for å skille mellom enkeltpersonforetak som skulle behandles som næringsdrivende, og enkeltpersonforetak som skulle behandles som fysiske personer i kredittopplysningssammenheng. Dette skillet gjelder ikke lenger, og alle enkeltpersonforetak skal nå behandles som fysiske personer.

Dette innebærer at alle enkeltpersonforetak får samme rettigheter som fysiske personer til blant annet innsyn og informasjon. Plikten til å sende gjenpartsbrev vil dermed også gjelder når et enkeltpersonforetak blir kredittvurdert. Endringen medfører også en viss innskrenking både av hvilke kilder som kan brukes for å innhente informasjon om enkeltpersonforetak, og hvilke opplysningstyper som kan registreres.

Vær også oppmerksom på at inkassoopplysninger om enkeltpersonforetak ikke lenger kan brukes i kredittopplysningsvirksomhet før en måned etter at inkassoforetaket har sendt stevning eller begjæring om rettslige skritt i saken.

Frivillig kredittsperre for alle

Retten til å registrere kredittsperre gjelder nå uttrykkelig for alle som er registrert hos en kredittopplysningsvirksomhet, også juridiske personer. Kredittopplysningsvirksomheter som ikke har hatt løsninger for frivillig kredittsperre for enkeltpersonforetak og andre næringsdrivende tidligere, har nå en plikt til å tilby en slik tjeneste.

Lovgiver har besluttet at alle som ønsker å registrere eller oppheve en kredittsperre, må legitimere seg ved bruk av elektronisk ID.

Saklig behov som vilkår for utlevering av opplysninger

Kredittopplysningsvirksomheter har kun lov til å utlevere kredittopplysninger til mottakere som har saklig behov for opplysningene i forbindelse med vurdering av kredittevne. Den enkelte kredittopplysningsvirksomhet er selv ansvarlig for at kredittopplysninger ikke utleveres til andre enn mottakere som oppfyller kravet til saklig behov.

Dette innebærer at kredittopplysningsvirksomhetene må iverksette tiltak for å sikre at det kun skjer utlevering til virksomheter som har et saklig behov. I merknaden til bestemmelsen er det vist til at et tiltak kan være å begrense adgangen til direkte oppslag i kredittopplysningsregisteret for kunder som har misbrukt tilgangen sin. Et annet eksempel på tiltak som etter Datatilsynets vurdering vil være hensiktsmessig, er gode rutiner for å gi informasjon og opplæring til foretakets kunder om hva som ligger i kravet til saklig behov. 

Les mer om kravet til saklig behov hos den som bestiller en kredittvurdering.

Gjenpartsbrev

Plikten til å sende gjenpartsbrev ved kredittvurderinger, videreføres i det nye regelverket.

Gjenparten til den registrerte skal inneholde de samme opplysningene som er utlevert til kredittopplysningsvirksomhetens kunde. Dersom kunden kun har fått utlevert en kredittscore, skal gjenpartsbrevet også inneholde personopplysningene som ligger til grunn for kredittscoren. Den registrerte skal i tillegg få en overordnet forklaring av logikken som ligger til grunn for en eventuell kredittscore. Forklaringen skal være egnet til å sette den registrerte i stand til å forstå hovedprinsippene bak scoringsberegningen.

Gjenpartsbrevet skal videre inneholde informasjon om hvilke kilder de aktuelle opplysningene er hentet fra, hvem som er mottaker av opplysningene og dato for kredittvurderingen.

Kredittopplysningsvirksomhetens navn og kontaktinformasjon, og kontaktinformasjon til kredittopplysningsvirksomhetens personvernombud skal også fremgå tydelig av gjenpartsbrevet.

Gjenpartsbrev kan sendes enten som fysisk eller elektronisk post. Dersom gjenpartsbrevet sendes som fysisk post, skal det benyttes nøytral konvolutt uten kredittopplysningsforetakets navn eller logo. Ved bruk av elektroniske løsninger må kredittopplysningsvirksomheten både sikre at informasjonen sendes til riktig mottaker, og at den registrerte faktisk mottar opplysningene.

Kilder som kan benyttes

Reglene for hvilke kilder som lovlig kan benyttes i kredittopplysningsvirksomhet er i all hovedsak en videreføring av gjeldende rett, men med enkelte unntak.

Opplysninger om offentlig tilgjengelige grunndata skal bare hentes fra Brønnøysundregistrene. Dette gjelder både for fysiske og juridiske personer. SSB kan ikke lenger benyttes som kilde i kredittopplysningsvirksomhet.

I opplistingen av lovlige kilder er samlebetegnelsen "offentlige tilgjengelige kilder" Tatt inn. I tillegg til å omfatte de offentlig tilgjengelige kildene som tidligere var uttrykkelig angitt i opplistingen, omfatter dette begrepet også andre offentlig tilgjengelige kilder. Dette er en utvidelse fra tidligere, men både reglene for hvilke opplysningstyper som kan registreres og personvernforordningens grunnleggende prinsipp om riktighet, vil i praksis begrense hvilke kilder som kan benyttes. 

Media som offentlig tilgjengelig kilde kan ikke benyttes ved innhenting av kredittopplysninger om fysiske personer. Dette omfatter også enkeltpersonforetak.

Opplysningstyper som kan registreres

Reglene for hvilke opplysningstyper som kan behandles i kredittopplysningsvirksomhet, er også i all hovedsak en videreføring av gjeldende rett. For enkeltpersonforetak vil det likevel være noen endringer siden de skal behandles som fysiske personer. 

Særlige kategorier personopplysninger skal ikke behandles i kredittopplysningsvirksomhet. Det samme gjelder opplysninger om straffedommer og lovovertredelser, med unntak av opplysninger om overtredelser av straffeloven §§ 392 til 394 (regnskapsovertredelser).

Inkassoopplysninger som gjelder en omtvistet fordring skal heller ikke behandles i kredittopplysningsvirksomhet. En fordring skal regnes som omtvistet dersom skyldneren har bestridt kravet. Det er i utgangspunktet skyldnerens subjektive forståelse av situasjonen som skal legges til grunn ved vurdering av om en fordring er omtvistet, med mindre innsigelsene fra skyldner er åpenbart grunnløse.

Den nye loven krever at all utlevering av kredittopplysninger skal skje skriftlig. Det er derfor ikke lenger adgang til å levere ut opplysninger muntlig.

Krav til sletting

Reglene for brukstid og sletting av opplysninger er videreført i den nye loven.

Opplysninger skal i utgangspunktet ikke behandles i kredittopplysningsvirksomhet lenger enn fire år fra opplysningen første gang ble lovlig registrert.

Dersom en opplysning rettes eller slette hos kilden før det har gått fire år, skal rettes eller slettes også hos kredittopplysningsvirksomheten så snart virksomheten får kjennskap til endringen. En fordring som er gjort opp, skal ikke lenger brukes i kredittopplysningsvirksomhet, og må slettes eller flyttes til historisk arkiv.

Opplysninger om tvangsforretning i fast eiendom eller løsøre, kan behandles så lenge de er registrert i det relevante offentlige registeret. Fordringer som ikke kan tvangsinndrives, kan behandles i kredittopplysningsvirksomhet i en ny fireårsperiode, dersom kreditor har tatt nye rettslige skritt i saken

Opplysning om åpning av gjeldsforhandling etter gjeldsordningsloven kan ikke behandles lenger enn ett år fra åpningtidspunktet. Opplysningen må likevel slettes tidligere dersom en av følgende tre situasjoner inntrer før det har gått ett år:

  • Saken om gjeldsordning er hevet
  • Gjeldsordning er fastsatt
  • Gjeldsforhandlingsperioden er avsluttet uten at det er mottatt melding om at gjeldsordning er fastsatt

Opplysninger om registrert gjeldsordning i henhold til gjeldsordningsloven § 7-1, kan behandles i kredittopplysningsvirksomhet så lenge ordningen varer.

Historisk arkiv

Reglene om historisk arkiv videreføres, men med den presiseringen at opplysningene i historisk arkiv skal slettes eller anonymiseres når det ikke lenger er nødvendig for formålet at opplysningene lagres i identifiserbar form. Den absolutte fristen på 10 år for sletting eller anonymisering av opplysninger i historisk arkiv videreføres.

Krav til personvernombud

Kredittopplysningsvirksomheter vil normalt ha en plikt til å ha et personvernombud. Vi har mer informasjon om Les om ordningen med personvernombud.

Kontaktopplysningene til virksomhetens personvernombud skal meldes til Datatilsynet.