Finansnæringens Hovedorganisasjon (FNH) og Sparebankforeningen viser til Finansdepartementets høringsbrev 14. mars 2005 vedlagt Kredittilsynets notat 7. februar med forslag til ny § 2-17 i finansieringsvirksomhetsloven om behandling av kundeopplysninger i konsern.
Vi viser også til telefonsamtale med deres rådgiver Karl Rosén 3. juni om forlengelse av høringsfristen til 17. juni.
FNH og Sparebankforeningen vil innledningsvis under pkt 1 nedenfor gi noen hovedsynspunkter på det foreliggende lovforslaget fra Kredittilsynet. Under pkt 2 vil vi gi en nærmere generell redegjørelse om bakgrunnen for de initiativer bank- og finansnæringen har tatt de siste ti årene med sikte på klargjøring av rettstilstanden om konsernintern utveksling av kundeopplysninger. Våre konkrete merknader og endringsforslag til ny § 2-17 i finansieringsvirksomhetsloven vil bli kommentert nedenfor under pkt 3.
1. Generelle synspunkter på lovforslaget fra Kredittilsynet
FNH og Sparebankforeningen er tilfredse med at det nå foreligger et konkret anbefalt lovforslag fra Kredittilsynet om utlevering av kundeopplysninger i konsern mv. Det ligger således godt til rette for at finansforetakene nå endelig vil kunne øyne et bedre koordinert regelverk på dette området.
Bankene, forsikringsselskapene og de øvrige finansforetakene hadde store forhåpninger til Banklovkommisjonens innstilling i NOU 2001: 23 (Finansforetakenes virksomhet) hvor det som kjent ble fremmet en egen bestemmelse i utk § 13-8 om slik konsernintern utvekslingsadgang. Etter vår mening hadde Banklovkommisjonen i dette lovutkastet funnet en hensiktsmessig balanse mellom konsernselskapenes behov for uveksling av kundeopplysninger og kundenes behov for konfidensialitet og ivaretakelse av personverninteresser. Også Kredittilsynet og Norges Bank støttet i sin tid Banklovkommisjonens lovforslag på dette området. Med begrunnelse om at adgangen til å kunne utveksle kundeopplysninger mellom selskaper i samme konsern er viktig ut fra hensynet til effektiv drift og kvalitet i beslutningsgrunnlag samt muligheten for å kunne realisere kostnads- og inntektssynergier, ba som kjent FNH og Sparebankforeningen i februar 2003 Finansdepartementet om å forsere behandlingen av Banklovkommisjonens lovforslag på dette området.
Vurdert opp mot Banklovkommisjonens opprinnelige lovforslag, er Kredittilsynets forslag til ny § 2-17 i finansieringsvirksomhetsloven etter vår mening ikke tilstrekkelig for å dekke finansforetakenes behov for å kunne nyttiggjøre seg allerede registrerte kundeopplysninger i konsernforhold og innenfor avtalebaserte allianser og andre samarbeidsgrupperinger. På den annen side er en lovregulering med utgangspunkt i forslaget fra Kredittilsynet en bedre og mer forutsigbar løsning enn praksis basert på Datatilsynets konsesjoner etter personopplysningsloven og de foreliggende tolkninger av taushetsreglene.
Av hensyn til fremdriften og nødvendigheten av en rask avklaring av rettstilstanden på dette området finner FNH og Sparebankforeningen etter en totalvurdering å kunne slutte seg til hovedlinjene i det anbefalte forslaget fra Kredittilsynet med de merknader og endringsforslag som er nærmere omtalt i pkt 3 nedenfor.
Av innvendinger til det konkrete lovforslaget i ny § 2-17 fra Kredittilsynet vil vi særlige fremheve:
-Avgrensningen i virkeområdet mot banker og andre finansinstitusjoner som er etablert i utlandet (første ledd)
-Innføring av reservasjonsrett for fysiske og juridiske personer (femte ledd)
-Begrensninger i utleveringsadgangen innenfor samarbeidende finansgrupperinger (sjuende ledd).
Vi ber om at lovsaken gis høy prioritet i Finansdepartementet.
2. Om behovet for en rask lovavklaring
Bank- og finansnæringen har siden vedtagelsen av lovreglene om finanskonsern i finansieringsvirksomhetsloven kapittel 2a i 1991 og således dannelsen av det formelle grunnlaget for etableringen av blandet finanskonsern, hatt spesiell fokus på utlevering av kundeopplysninger innenfor finanskonsern som bl.a. grunnlag for etablering av sentrale konsernkunderegistre.
Det er bl.a. vist til at behandling av kundeopplysninger på tvers av konsernselskapene ville gi mer effektiv kundeadministrasjon, mer målrettet oppfølging av kontraktsforpliktelser og supplerende rådgivning samt muligheter for realisasjon av synergier på både kostnads- og inntektssiden. Videre ville finansinstitusjonene få bedre kvalitet i sine beslutningsgrunnlag, ikke minst i forbindelse med behandlingen av kredittsøknader.
Bankforeningen (nå FNH) tok allerede i 1993 et initiativ overfor Datatilsynet om å styrke grunnlaget for å anvende en unntaksbestemmelse i hovedforskriften til dagjeldende personregisterlov av 9. juni 1978 nr 48 som ga banker og andre finansinstitusjoner adgang til å utlevere kundeopplysninger til annet selskap innenfor samme konsern. Basert på de samme hensyn som utgjorde grunnlaget for vedtagelsen av lovreglene om finanskonsern i 1991, utstedte Datatilsynet et par år senere konsesjoner til flere blandete finanskonserner med tillatelse til å etablere felles konsernkunderegister. Disse konsesjonene dannet grunnlaget for dagens utleveringspraksis på området.
Den nye personopplysningsloven som trådte i kraft 1. januar 2001 inneholder ikke på samme måte som den tidligere personregisterlov egne regler for utlevering av kundeopplysninger til annet konsernselskap. I hvilken grad konsernselskaper vil kunne videreføre sin utleveringspraksis etter det nye reguleringsregimet har derfor vært et omdiskutert og uavklart spørsmål.
I et rundskriv fra Kredittilsynet 17. april 2000 (nr. 11/2000) ble det redegjort for rekkevidden av taushetsreglene i forretningsbankloven § 18, sparebankloven § 21, finansieringsvirksomhetsloven § 3-14, forsikringsvirksomhetsloven § 1-3, verdipapirhandelloven § 9-8 og verdipapirfondloven § 2-9. Kredittilsynet satte i forhold til gjeldende utleveringspraksis snevre rammer for utleveringsadgangen etter nevnte lovbestemmelser, med den konsekvens at utlevering av kundeopplysninger til annet konsernselskap ikke skulle kunne finne sted uten uttrykkelig samtykke fra kunden.
Kredittilsynets restriktive lovtolkning representerte således en unødvendig og uforutsett innskjerping av finanskonsernenes rammevilkår på dette område. Dette forholdet, samt at Banklovkommisjonen på det tidspunktet arbeidet med forslag til særskilte regler om utveksling og bruk av kundeopplysninger mellom konsernselskaper, var bakgrunnen for at FNH i 2001 presenterte en rekke motforestillinger til deler av tilsynets lovforståelse om adgangen til å utlevere kundeopplysninger til annet konsernselskap uten samtykke fra kunden.
I en uttalelse 27. april 2001 endret Kredittilsynet etter en fornyet vurdering sitt syn på enkelte viktige punkter. Adgangen til å utveksle såkalte ”nøytrale kundeopplysninger” mellom konsernselskaper uten krav om samtykke fra kunden, ble utvidet til også å omfatte angivelse av kundeforholdets art, dvs. generelle opplysninger om hvilke produkter og tjenester kunden har inngått finans- og forsikringsavtaler om. Videre lempet Kredittilsynet i visse sammenhenger på kravene til form og innhold når det gjelder innhenting av informert aktivt samtykke fra kunden. FNH og Sparebankforeningen har i arbeidet med tilpasning av finansbedriftenes standardkontrakter til de aktuelle bestemmelsene i personopplysningsloven, lagt betydelig vekt på den seneste uttalelsen fra Kredittilsynet.
I mars 2004 fikk banker og finansieringsselskaper nye konsesjonerfra Datatilsynet for ”behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av banktjenester”, jf personopplysningsforskriften § 7-3. Konsesjonene som er likt utformet for alle banker og finansieringsselskaper inneholder vilkår som i betydelig grad strammer inn på tidligere praksis og uttalelser fra Datatilsynet når det gjelder behandling av kundeopplysninger utover de ”nøytrale” opplysningene. Vi viser her til bank- og finansnæringens syn som er gjengitt av Kredittilsynet i nøringsnotat pkt 6.2.
Konsesjonsvilkårene gir finansinstitusjonene adgang til uten krav om samtykke fra kundene å utlevere til sentralt konsernkunderegister ”nøytrale” personopplysninger samt opplysninger om selskapstilknytning og hvilke produkter og tjenester kunden har inngått avtale om (i høringsnotatet omtalt som ”registeropplysninger”). Også utlevering av andre typer personopplysninger mellom konsernselskapene vil kunne skje uten kundesamtykke dersom det finnes et behandlingsgrunnlag i personopplysningsloven §§ 8 og/eller 9, men som tidligere nevnt har gjeldende taushetspliktregler etter finanslovgivningen begrenset utleveringsadgangen innenfor konsern.
Hovedutfordringen for finansnæringen har således vært mangel på koordinering av taushetspliktregler og behandlingsreglene i personopplysningsloven. Kredittilsynet og Datatilsynet har på hvert sitt regulerings- og tilsynsområde hatt tydelige, dog ikke alltid sammenfallende, oppfatninger om grensedragningen. At finansinstitusjonene må forholde seg til to reguleringsregimer og to tilsynsorganer på dette området har utvilsomt ikke bidratt til å gjøre regelsituasjonen lettere for finansforetakene. Finansforetakene vil med en spesialregel som foreslått fra Kredittilsynet fortsatt måtte forholde seg til taushetsregler og personvernlovgivning, men en slik regel vil kunne utgjøre et klarere rettsgrunnlag for behovsbegrunnet utlevering av kundeopplysninger innenfor konsern og konsernlignende finansgrupperinger.
Vi viser for øvrig til bank- og finansnæringens syn på de ulike problemstillinger som er referert og omtalt av Kredittilsynet i høringsnotat.
3. Kommentarer til lovforslaget fra Kredittilsynet
Kredittilsynet har i notat av 7. februar 2005 til Finansdepartementet foreslått en egen bestemmelse i finansieringsvirksomhetsloven § 2-17 om behandling av kundeopplysninger i konsern.
Etter å ha innhentet synspunkter fra Datatilsynet og finansnæringen, gir Kredittilsynet i sitt oversendelsesbrev 17. februar til Finansdepartementet uttrykk for at de ikke har ”kunnet se hvordan de ulike synspunkter skal kunne forenes fullt ut. Etter Kredittilsynets oppfatning innebærer det fremlagte lovutkast en rimelig avveining av hensynet til personvern, konfidensialitet og det behov som gjør seg gjeldende innen denne sektoren sett fra finansnæringens side.” FNH og Sparebankforeningen tar Kredittilsynets vurdering til etterretning, men mener likevel at lovutkastet kan forbedres ytterligere uten at kundenes personverninteresser svekkes.
FNH og Sparebankforeningen vil nedenfor kommentere enkelte ledd i Kredittilsynets forslag til ny § 2-17 og samtidig foreslå enkelte justeringer og presiseringer. Som tidligere opplyst kan vi i det vesentlige slutte oss til Kredittilsynet lovforslag og vil derfor begrense oss til å kommentere de forhold i høringsnotatet og utkastet som vi er mener bør endres før det fremlegges en lovproposisjon for Stortinget.
a) Til første ledd (om virkeområdet)
Særlig om selskaper etablert i utlandet
Utkastet til ny § 2-17 først ledd fastsetter den ytre ramme for hvilke foretak som skal kunne utlevere kundeopplysninger uten hinder av lovbestemt taushetsplikt. Utleveringsadgangen er foreslått å gjelde for foretak som inngår i konsern eller konserngruppe etter finansvl § 2a-17 forutsatt at mottakerforetaket er underlagt lovbestemt taushetsplikt. Hvilke foretak som kan utveksle kundeopplysninger er således ikke begrenset til foretakstyper som kan inngå i et finanskonsern etter definisjonen i finansieringsvirksomhetsloven § 2a-2 litra a).
Under punkt 2.6 (sidene 6-8) foretar Kredittilsynet en drøftelse og avgrensning av konsernbegrepet. Her omhandles bl.a. adgangen til å utveksle kundeopplysninger mellom samarbeidende finansinstitusjoner, herunder forholdet mellom eierforetak og eierforetakets forhold til ”gruppen”. Lovbestemmelsen vil etter Kredittilsynets forslag få anvendelse på foretak med hovedsete i Norge (med konsesjon fra norske tilsynsmyndigheter), herunder norske foretaks filialer i utlandet.
Kredittilsynet opplyser under punkt 2.6.3 (side 7) at bestemmelsen ikke er ment å gjelde for foretak som er etablert i utlandet, enten som datterselskap av norske foretak eller som eier av norsk foretak. Det er blant annet vist til at de utenlandske selskapene vil være underlagt regulering og tilsyn i de landene de måtte være etablert i. Det anføres videre at det vil være vanskelig å føre kontroll med den behandling som finner sted i de utenlandske selskapene.
Denne begrensningen harmonerer ikke med de regler som gjelder for overføring av personopplysninger etter personopplysningsloven. Personopplysningsloven § 29 gir direkte adgang til utlevering av opplysninger til andre land innenfor EØS-området, idet disse anses å oppfylle kravene til en forsvarlig behandling av personopplysninger. Det stilles ikke ytterligere krav til kontroll fra Norges side av behandlingen av disse opplysningene. Dersom norske myndigheters behov for kontroll er større etter taushetspliktreglene enn etter personopplysningsloven burde dette vært begrunnet nærmere.
Vi ber Finansdepartementet endre utk 2-17slik at den også vil omfatte foretak som er etablert i utlandet, enten som datterselskap av norske foretak eller som eier av norsk foretak.
Særlig om forholdet til filialer i Norge av utenlandske foretak
At utenlandske foretak vil falle utenfor bestemmelsen innebærer at også filialer i Norge av utenlandske foretak ikke vil omfattes av bestemmelsen. Basert på Kredittilsynet resonnement vil bestemmelsen da heller ikke gjelde for en filial i Norge av utenlandsk foretak som er morselskap i et finanskonsern bestående av norske foretak, jf § 2a-5 litra a) jf § 1-4. Avgrensningen mot filialer i Norge av utenlandske foretak er ikke nærmere begrunnet av Kredittilsynet utover at tilsynet ikke ser behovet for ytterligere vertslandsregulering av slike filialers behandling av kundeopplysninger i konsernforhold i Norge!
Hensett til at formålet med utk § 2-17 er å skape et mer presist og sikkert lovgrunnlag for konsernselskapers utlevering og annen behandling av kundeopplysninger som finner sted i Norge, kan det etter vår vurdering ikke være grunnlag for å diskriminere utenlandske filialer og norske foretak som eies og inngår i konsern med slike filialer i Norge. Dersom utk § 2-17 ikke blir gjort anvendelig for utveksling av kundeopplysninger mellom slike filialer og deres konsernselskaper i Norge, vil filialen for sin virksomhet i Norge fortsatt måtte forholde seg til den problematiske dobbeltreguleringen ved at norske taushetsregler og norsk personopplysningslov kommer til anvendelse på forholdet, jf filialforskriftene og personopplysningsloven § 4. I tillegg må filialen i Norge også forholde seg hjemlandets lovgivning på området! Etter vår vurdering vil slik forskjellsbehandling utgjøre en klar konkurransemessig ulempe for filialen i Norge og deres norske konsernselskaper.
Filialforskriften og det konsoliderte bankdirektivet (2000/12/EF) bygger på et system der det skal legges minst mulig hindringer i veien for en fri konkurranse innenfor finanssektoren. Av fortalen til Direktivet pkt. 2 følger (i dansk tekst):
"I medfør av traktaten er enhver forskelsbehandling med hensyn til etablering og udveksling av tjenesteydelser, der er begrundet i enten nationalitet eller det forhold, at foretagendet ikke er etableret i den medlemsstat, hvor tjenesteydelsen finder sted, forbudt."
På denne bakgrunn ber vi Finansdepartementet utarbeide en vertslandsregulering gjennom en presisering i utk § 2-17 og/eller en tilføyelse i filialforskriftene, slik at filialer i Norge av utenlandske foretak og deres norske konsernselskaper blir omfattet av de samme regler for utlevering og annen behandling av kundeopplysninger som selskaper med hovedsete i Norge. For filialer av utenlandske kredittinstitusjoner kan dette gjøres gjennom en tilføyelse i filialforskriftens § 6 andre ledd og tilsvarende i § 10 i forskriften som regulerer virksomheten til filialer av utenlandske forsikringsselskaper i Norge. De norske filialforskriftene har nettopp som formål å regulere den utenlandske filialens virksomhet i Norge.
b) Til femte ledd (om informasjonsplikt og reservasjonsrett)
Kredittilsynet foreslår i utk § 2-17 femte ledd en svært vidtgående informasjonsplikt for konsernforetakene og en tilhørende reservasjonsrett for alle kunder (både fysiske og juridiske personer). Informasjons- og reservasjonsretten skal ikke bare gjelde ved behandling av kundeopplysninger som nevnt i fjerde ledd, men også ved utlevering av ”nøytrale” kundeopplysninger mv etter tredje ledd.
Informasjonsplikt
At konsernforetakene skal informere sine personkunder om utlevering og annen behandling av kundeopplysninger følger allerede i dag av personopplysningsloven §§ 19 og 20 samt pkt 3 og 4 i Datatilsynets konsesjon til banker og finansieringsselskaper. Denne delen av bestemmelsen i femte ledd tar vi således til etterretning.
Vi kan derimot ikke se at det foreligger tungtveiende grunner for at juridiske personer på dette området skal nyte godt av de samme omfattende verneregler og beskyttelsesmekanismer som fysiske personer. Etter vår mening må en informasjonsplikt være begrunnet i personvernhensyn, noe som ikke er tilfellet for juridiske personer. En informasjonsplikt utover de opplysningspliktregler som allerede foreligger etter finansavtaleloven, forsikringsavtaleloven, kredittkjøpsloven, angrerettloven, e-handelsloven osv, vil innebære betydelige merkostnader for finansforetakene. Vi går således klart i mot Kredittilsynets forslag om å innføre en generell informasjonsplikt overfor juridiske personer (næringskunder).
Reservasjonsrett
FNH og Sparebankforeningen er videre sterkt uenig i Kredittilsynets forslag om å innføre en reservasjonsrett for både fysiske og juridiske personer slik at finansinstitusjonen blir avskåret fra å kunne foreta utlevering av kundeopplysninger til annet konsernselskap med bl.a. sikte på registrering i sentralt konsernkunderegister.
Innføres en slik reservasjonsrett vil den i så fall bli mer omfattende enn den reservasjonsrett som allerede følger av personopplysningsloven § 26 for fysiske personer, og klart begrense finansforetakenes handlefrihet i forhold til gjeldende rett. Etter vår oppfatning bryter forslaget om en reservasjonsrett med etablert rettstilstand og praksis på et meget viktig punkt: Finanskonsernets behov for å kunne ha en fullstendig oversikt over hvem som har kundeforhold til ett eller flere selskap i konsernet. Ved å innføre en reservasjonsrett bortfaller konsernets mulighet til å kunne ha en dekkende og troverdig kundeoversikt som er felles for de ulike konsernforetak, idet adgangen til reservasjon nødvendigvis må medføre usikkerhet med hensyn til hvor riktig og pålitelig konsernkunderegisteret er, uavhengig av hvor mange som benytter reservasjonsretten.
Den reservasjonsrett som gjelder i dag, innenfor rammen av det som kan registreres uten aktivt samtykke, er knyttet til markedsføring. Det forutsettes i personopplysningsloven § 26 at
behandlingsansvarlig skal opprette et reservasjonsregister og det er antatt at det samme må gjelde opplysninger som deles med andre konsernselskap gjennom konsernkunderegister. Men en slik formålsbegrenset reservasjon er ikke til hinder for at kunden er registrert og inngår i selve konsernkunderegisteret. Ikke minst i forhold til analyse- og styringsformål der personopplysningene anonymiseres og er uten interesse for behandlingsformålet er det viktig å ha grunnlagstall som er pålitelige. Når lovforslaget i praksis innebærer at dette ikke lenger vil gjelde, så er det en endring av dagens rettstilstand som ikke synes godt begrunnet i personvern eller alminnelige konfidensialitetshensyn.
Forslaget er også uklart med hensyn til om reservasjonen kan gjøres generell og hvordan dette i så fall skal håndteres i ulike sammenhenger der utleveringsgrunnlaget er basert på viktige hensyn, som kunden kanskje i utgangspunktet ikke har ønsket å imøtegå eller overstyre av hensyn til den behandlingsinteresse som foreligger. Dette kan selvsagt også gjelde i forhold til reservasjoner mot enkeltutleveringer, og vi kan ikke se at lovforslaget er tilstrekkelig gjennomtenkt når det gjelder rekkevidden av reservasjonsretten. Etter sin ordlyd legger femte ledd opp til at person- og næringskunder uavhengig av motivasjon og begrunnelse kan reservere seg mot utleveringen, også der utleveringen fremstår som svært viktig for de involverte konsernselskaper og der kundene ikke ser konsekvensene av en reservasjon (for eksempel at et felles call-senter ikke får tilgang til nøytrale kundeopplysninger). Vi kan således ikke akseptere at det innføres et system som går mye lenger enn personopplysningsloven og som gir kunder en ”vetorett” der personopplysningsloven tillater utlevering av personopplysninger etter § 8 samt sensitive personopplysninger etter § 9, for eksempel for å "fastsette, gjøre gjeldende eller forsvare et rettskrav", jf bokstav e).
Etter vår mening vil en bestemmelse om informasjonsplikt og reservasjonsrett som forelått i femte ledd bli svært ressurskrevende for finansforetakene å følge opp. For finansforetakene vil en eventuell reservasjonsrett som også omfatter næringskunder medføre betydelige administrasjons- og distribusjonskostnader. Det vil herunder måtte medgå kostnader til vedlikehold og oppdatering av informasjonen for at kundene skal kunne anvende reservasjonsretten ”til enhver tid”. Videre må det bygges opp egne og nye reservasjonsregistre og kundene vil måtte plasseres i ulike mottakergrupper basert på hvilke typer kundeopplysinger som ikke skal kunne utleveres etter utk § 2-17 femte ledd og hva som fortsatt skal kunne utleveres etter gjeldende taushetspliktregler. En slik ressursbruk vil måtte inndekkes gjennom høyere prising av tjenestene.
Oppsummering
FNH og Sparebankforeningens prinsipale holdning er at reglene i utkastets femte ledd om reservasjonsrett bør utgå i sin helhet.
Dersom Finansdepartementet velger å ikke støtte finansnæringens innvendinger til innføring av en generell reservasjonsrett, ber vi departementet vurdere en mindre omfattende reservasjonsrett som er begrenset til fysiske personer (personkunder) og utlevering av personopplysninger som nevnt i utkastets fjerde ledd. Vi viser i denne forbindelse til Datatilsynets konsesjonsvilkår og merknader til vilkåret om utlevering av opplysninger (dvs merknadene pkt 3). Datatilsynet har her med grunnlag i personopplysningsloven § 8 litra f) akseptert konsernintern utlevering (til et sentralt konsernkunderegister) av ”nøytrale opplysninger”, opplysninger om selskapstilknytning og om hvilke produkt- og tjenesteavtaler som er inngått. Tilsvarende skille i opplysningstyper har Kredittilsynet lagt til grunn i sin uttalelse 27. april 2001 om taushetsplikt til de største finanskonsernene og FNH.
c) Til sjuende ledd (om samarbeidende finansinstitusjoner)
Kredittilsynet har i sjuende ledd i utk § 2-17 foreslått at kundeopplysninger kan utleveres i kraft av visse tilfeller av samarbeidsavtaler mellom finansinstitusjoner, dvs uten at det foreligger et konsernforhold etter aksjelovgivningen. Det er svært positivt med en kodifisering av utleveringsadgangen også i andre samarbeidskonstellasjoner enn konsern, men Kredittilsynet har etter vår vurdering lagt altfor mange unødvendige begrensninger og forutsetninger inn i regelforslaget i sjuende ledd.
For det første kan vi i høringsnotatet ikke se begrunnelsen for at opplysninger som nevnt i fjerde ledd ikke skal kunne utleveres på linje med de øvrige opplysninger i sjuende ledd. Selskaper som vil kunne utlevere opplysninger etter sjuende ledd bør etter vår oppfatning kunne likestilles med konsernselskaper og få samme adgang til utlevering.
Kredittilsynet har begrenset virkeområdet for bestemmelsen slik at eierforetakene bare skal kunne gis tilgang til (motta) felles kundeopplysninger som ligger lagret i det underliggende konsernkunderegister. Kredittilsynet har ikke begrunnet denne begrensningen nærmere. Med henvisning til behovet for likebehandling med konsernintern utveksling av opplysninger, mener vi at eierforetakene og de underliggende konsernselskaper må kunne få adgang til gjensidig utveksling, med andre ord at utleveringen også må kunne skje fra det underliggende konsernet til eierforetaket som fra eierforetaket til konsernet.
Videre har Kredittilsynet begrenset eierforetakets innsyn i opplysninger om ligger lagret i det underliggende konsernkunderegister (såkalte ”registeropplysninger”). Produktselskapene i det underliggende konsernet og det enkelte eierforetak har normalt et nært samarbeid om oppfølging av kontraktsforpliktelser overfor felles kunder og i forbindelse med markedsføring mot nye kunder. Etter vår mening må det også her åpnes direkte i sjuende ledd for gjensidig utlevering av andre opplysninger enn registeropplysninger mellom eierforetaket og de aktuelle produktselskaper i det underliggende konsernet.
I forlengelsen av våre merknader i avsnittet ovenfor er vi usikre på Kredittilsynets begrunnelse for å kreve at den finansinstitusjon (mottakerselskapet) som mottar opplysningene eller har innsyn i konsernkunderegisteret skal ha direkte eierandeler i utleverende finansinstitusjon. Etter vår mening må det også kunne åpnes for andre tilknytningsformer enn eierandeler, for eksempel i de tilfeller det sentrale konsernkunderegisteret legges til et produktselskap og ikke til morselskapet (gruppespissen) i det underliggende konsernet.
Videre kan det etter vår vurdering ikke være nødvendig at eierforholdet eller en annen tilknytningsform skal være basert på en ”strategisk” samarbeidsavtale godkjent etter finansieringsvirksomhetsloven § 2-17. Vi er enige i at samarbeidsavtalen skal være godkjent for å skape legitimitet, men formålet med samarbeidsavtalen bør kunne være tuftet på andre grunner enn rent strategiske. Vi viser i denne forbindelse til at to nært tilknyttede finansforetak (for eksempel en bank og et forsikringsselskap) som bygger sitt samarbeid på et forretningsmessig grunnlag, bl.a. gjennom felles merkevarebygging, salg, kundeoppfølging og call-senter, bør få tilsvarende adgang til etablering av felles kunderegister. En slik utvidelse kan tas inn i sjuende ledd, alternativt at paragrafen gis anvendelse på slike samarbeidsavtaler etter åttende ledd.
Vi tillater oss å foreslå følgende tekst i sjuende ledd:
”Reglene i paragrafen gjelder også utlevering av kundeopplysninger mellom finansinstitusjoner og foretak i underliggende konsern når tilknytningen mellom finansinstitusjonen og konsernet er basert på en godkjent samarbeidsavtale etter § 2-7.”
Med vennlig hilsen
for Finansnæringens Hovedorganisasjon for Sparebankforeningen i Norge
Tore A. Hauglie Olav Breck
Avdelingsdirektør Avdelingsdirektør