7.1
Kreditupplysningslagen
Kreditupplysningslagen tillämpas på insamling, produktion, registrering, utlämnande och annan behandling av kreditupplysningar. Både personkreditupplysningar och företagskreditupplysningar registreras i enlighet med lagen. Det får dessutom göras sammanställningar som kopplar de upplysningar som gäller ett företags ansvarspersoner till företagskreditupplysningarna. Sådan behandling av personuppgifter som hänför sig till verksamhet enligt lagen omfattas till alla delar av dataskyddsförordningen och av dataskyddslagen, som kompletterar förordningen. Rättslig grund för behandlingen av personuppgifter föreslås i första hand vara artikel 6.1 e i dataskyddsförordningen. I 4 § i dataskyddslagen anpassas artikeln som behandlingsgrund. Enligt 4 § 1 punkten i dataskyddslagen får personuppgifter behandlas i enlighet med artikel 6.1 e i dataskyddsförordningen, om det är fråga om uppgifter som beskriver en persons ställning samt uppdrag och skötseln av detta inom ett offentligt samfund, näringslivet, organisationsverksamhet eller någon annan motsvarande verksamhet, i den mån som syftet med behandlingen är förenligt med allmänt intresse och behandlingen står i proportion till det legitima mål som eftersträvas. Vid tillämpningen av behandlingsgrunden ska det anses att de intressen som tryggar en persons integritetsskydd inte väger tyngre än den personuppgiftsansvariges eller en utomståendes intressen. Grunden för behandling av de personuppgifter som avses i kreditupplysningslagen ska inte ge rätt att behandla dem för vilket ändamål som helst. I lagen finns också detaljerade bestämmelser om de ändamål för vilka kreditupplysningar får lämnas ut.
Sådan verksamhet som avses i lagen kan också inbegripa sådan behandling av personuppgifter som i enlighet med artikel 6.1 f är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen. Till den del det är fråga om exempelvis kreditgivarnas behandling av personuppgifter kan den rättsliga grunden för behandlingen av personuppgifter också vara artikel 6.1 a, b eller c. I en sådan situation ska den personuppgiftsansvarige tillämpa bestämmelserna i dataskyddsförordningen. Användningen av det nationella handlingsutrymmet i kreditupplysningslagen föreslås dock grunda sig på artikel 6.1 e. Handlingsutrymmet enligt artikel 6.3 i dataskyddsförordningen har använts för att utfärda detaljerade bestämmelser i synnerhet om registrering, lagringstider och utlämnande, men också om annan behandling av personuppgifter. Med beaktande av att regleringen delvis gäller behandlingen av olika slags uppgifter om betalningsstörningar, som kan ha negativa konsekvenser för den registrerades verksamhetsmöjligheter, kan en detaljerad och noggrant avgränsad reglering anses vara behövlig med tanke på riskerna. Syftet enligt 2 § i kreditupplysningslagen är nödvändigt för att utföra en uppgift av allmänt intresse i enlighet med artikel 6.3 i dataskyddsförordningen, särskilt med beaktande av behovet att skydda kreditgivningen mot de risker som är förenade med den och med beaktande av fysiska personers och företags rätt att bli bedömda på ett korrekt sätt. I lagen föreslås sådana bestämmelser om behandling av personuppgifter som kompletterar bestämmelserna i dataskyddsförordningen till den del bestämmelserna är nödvändiga med tanke på riskerna för den registrerades rättigheter. I lagen stryks sådana detaljer som det anses att det finns tillräckliga bestämmelser om i den allmänna lagen. Syftet med den detaljerade regleringen är att säkerställa att den är transparent för den registrerade, vilket främjar tillgodoseendet av den registrerades rättigheter.
Den valda rättsliga grunden medför att den registrerades rättigheter i dataskyddsförordningen ska tillämpas fullt ut. Den registrerade har också rätt till radering av personuppgifter i enlighet med artikel 17 i dataskyddsförordningen och rätt att göra invändningar mot behandling av personuppgifter i enlighet med artikel 21 i dataskyddsförordningen. Det är dock möjligt att begränsa dessa rättigheter i enlighet med artikel 23 i dataskyddsförordningen, förutsatt att det finns en sådan grund för begränsningen som avses i artikel 23.1 och att det föreskrivs om begränsningen i lag. Lagstiftningsåtgärden ska uppfylla kriterierna i artikel 23.2. I kreditupplysningslagen ingår bestämmelser om lagringstider för identifieringsuppgifter och för uppgifter om handlingsbehörighet samt bestämmelser om lagringstider för anteckningar om betalningsstörningar och för kreditvärderingsuppgifter, vilka utgör begränsningar i den rätt till radering av uppgifter som registrerade har enligt artikel 17 i dataskyddsförordningen. Genom vissa justeringar av lagringstiderna för uppgifter om fysiska personers betalningsstörningar säkerställs det att bestämmelserna är proportionella i enlighet med kravet i artikel 6.3 i dataskyddsförordningen.
Bedömningen av proportionaliteten hos de bestämmelser om behandling av personuppgifter som finns i kreditupplysningslagen påverkas utöver av lagringstiderna särskilt av bestämmelserna om informationsinnehållet i register över personkreditupplysningar och de tillåtna ändamålen för utlämnande av uppgifter. I 12 och 13 § i kreditupplysningslagen finns en uttömmande förteckning över de uppgifter som får föras in i registren som personkreditupplysningar. Informationsinnehållet i registren är tämligen omfattande, men man har strävat efter att detaljerat och noggrant avgränsa det till sådana uppgifter som har betydelse för bedömningen av kreditvärdigheten. Kreditupplysningsregistren omfattas också av ett krav på tillförlitlighet. I registrens informationsinnehåll har man beaktat behovet att säkerställa tillgången för de ändamål som anges i lagen. För att trygga kreditupplysningarnas kvalitet behöver det dessutom i registren lagras vissa kompletterande uppgifter, såsom uppgifter om betalning av en fordran. Genom sådana uppgifter tryggas också den registrerades rätt att bli bedömd utifrån aktuella och exakta uppgifter. Ändamålen för utlämnande av personkreditupplysningar är tämligen omfattande i jämförelse med andra EU-medlemsstater. Största delen av de ändamål för utlämnande av uppgifter som anges i lagen har dock ett nära samband med de ursprungliga ändamålen för behandling av kreditupplysningar i enlighet med vad som förutsätts i artikel 5.1 b och artikel 6.4 i dataskyddsförordningen.
I 19 § i kreditupplysningslagen tillåts ett antal användningsändamål som ligger längre bort från kreditupplysningarnas ursprungliga användningsändamål, i synnerhet 19 § 1 mom. 1, 5, 6 och 8 punkten. Det förstnämnda förutsätter dock att det stiftas särskilda bestämmelser i lag, i samband med vilket kraven på noggrant avgränsade och proportionella bestämmelser ska beaktas. De vanligaste myndighetsrelaterade ändamål (1 punkten) för vilka kreditupplysningar lämnas ut är säkerhetsutredningar, ändamål som hänför sig till polisens förundersökningar samt de utredningar av tvivelaktiga transaktioner i anslutning till penningtvätt och finansiering av terrorism som genomförs av centralen för utredning av penningtvätt vid Centralkriminalpolisen. Hyresavtal (5 punkten) kan som ändamål inte helt jämställas med kreditgivning. När det gäller hyresavtal är det emellertid fråga om avtal som till sin karaktär är fortlöpande skuldförhållanden och där hyresvärdens möjligheter att försäkra sig om den andra partens förmåga att uppfylla sina åtaganden kan anses vara ett godtagbart ändamål. I praktiken är personkreditupplysningar också det enda sätt att försäkra sig om saken som står till buds för privata hyresvärdar. Fastställande av avtalsvillkor (6 punkten) syftar på sådana avtal som en näringsidkare inte kan vägra ingå. Dessa fall är tämligen begränsade, även om bestämmelsen närmast har fogats till lagen för tydlighetens skull. Utlämnandet av kreditupplysningar som gäller arbetssökande eller arbetstagare (8 punkten) hänför sig direkt till lagen om integritetsskydd i arbetslivet (759/2004), där det finns uttömmande bestämmelser om i vilka situationer kreditupplysningar får användas. Dessa situationer har delvis också samband med de ovannämnda säkerhetsutredningarna. Även om de nämnda ändamålen för utlämnande av uppgifter inte kan jämställas med kreditgivning, finns det motiverade och godtagbara orsaker att använda kreditupplysningar för de ändamål som anges i lagen, och det finns detaljerade och noggrant avgränsade bestämmelser om saken.
Med tanke på bedömningen av bestämmelsernas proportionalitet är dessutom arten av de uppgifter som lämnas ut av betydelse i enlighet med artikel 6.4 c i dataskyddsförordningen. Bestämmelserna om utlämnande av uppgifter omfattar inte de i dataskyddsförordningen avsedda särskilda kategorierna av personuppgifter eller personuppgifterna som rör fällande domar i brottmål eller överträdelser. Särskilt den omfattande möjligheten att lämna ut uppgifter om betalningsstörningar har dock konsekvenser för den registrerade på det sätt som avses i artikel 6.4 d. Utlämnandet av dessa uppgifter har till och med betydande konsekvenser för skyddet för den registrerades privatliv och personuppgifter. Särskilt med tanke på de risker som är förenade med kreditgivningen är det ändå nödvändigt att behandla dessa uppgifter, med beaktande även av lagens syfte att säkerställa tillgången till sådana uppgifter. Med beaktande av de risker som är förenade med utlämnandet av dessa uppgifter föreslås det i lagen flera uttryckliga bestämmelser som stärker skyddet för dessa uppgifter. Den föreslagna regleringen uppfyller således kravet på nödvändighet och proportionalitet. Regleringens nödvändighet för att motivera en inskränkning av de grundläggande fri- och rättigheterna bedöms närmare i propositionens avsnitt om lagstiftningsordningen.
Det föreslås att sådana bestämmelser som överlappar bestämmelserna i dataskyddsförordningen och som inte bedöms ligga inom ramen för det nationella handlingsutrymmet stryks ur lagen. Dessutom föreslås det att sådana bestämmelser i lagen stryks som är obehövliga i förhållande till dataskyddslagen, vilken tillämpas som allmän lag, och att vissa bestämmelser preciseras, bland annat bestämmelser om utlämnande i synnerhet av uppgifter om bedömning av kreditvärdighet och av uppgifter om näringsförbud.
1 §.Lagens tillämpningsområde. Enligt förarbetena till kreditupplysningslagen gäller merparten av lagens bestämmelser utlämnande av kreditupplysningar till utomstående samt kreditupplysningsregister som förs för detta ändamål. Bestämmelserna i 2 kap. gäller emellertid också kreditgivare och andra som deltar i behandlingen av kreditupplysningar, såsom de företag som lämnar ut uppgifter för användning som kreditupplysningar. Dessutom tillämpas bestämmelserna om användning av personkreditupplysningar på kreditgivare och andra som använder kreditupplysningar. Avgränsningen av tillämpningsområdet framgår dock inte tydligt av bestämmelserna i lagen, vilket är problematiskt med tanke på de olika rättsliga grunderna för behandlingen av personuppgifter. Särskilt med tanke på kreditgivarna är det ändamålsenligt att lagstiftningen förtydligas så att regleringen blir så enhetlig som möjligt på EU:s inre marknad. Den otydliga avgränsningen av tillämpningsområdet skapar också oklarhet i fråga om utövandet av de tillsynsbefogenheter som avses i lagen. Det föreslås att paragrafens 1 mom. ändras så att den avgränsning av tillämpningsområdet som framgår av förarbetena till lagen tas in i momentet. Tillämpningen av lagen avgränsas i 1 mom. så att den i huvudsak gäller endast dem som bedriver kreditupplysningsverksamhet. Till momentet fogas en mening enligt vilken bestämmelserna i 2 kap. och i 19 § 5 och 6 mom. tillämpas på dem som bedriver kreditupplysningsverksamhet och dessutom på dem som använder kreditupplysningar och dem som annars behandlar kreditupplysningar. I de nämnda bestämmelserna inkluderas sådant som det inte finns tillräckligt detaljerade bestämmelser om i annan lagstiftning. Också i andra bestämmelser i kreditupplysningslagen görs tekniska ändringar som begränsar deras tillämpningsområde. Det föreslås att paragrafens 2 mom. upphävs som obehövligt. Momentet innehåller en hänvisning till den upphävda personuppgiftslagen, och det är inte nödvändigt att i kreditupplysningslagen ta in någon allmän informativ hänvisning till dataskyddsförordningen eller dataskyddslagen. I vissa bestämmelser i lagen tas det däremot in materiella eller informativa hänvisningar som preciserar bestämmelsernas förhållande till dataskyddsförordningen.
2 §.Lagens syfte. Det föreslås att orden ”den personliga integriteten” ersätts med orden ”skyddet för privatlivet och skyddet för personuppgifter”. Genom den ändrade ordalydelsen beaktas innehållet i 10 § 1 mom. i grundlagen bättre.
3 §.Definitioner. Det föreslås att 4 punkten upphävs. Definitionen av en registrerad framgår av dataskyddsförordningens artikel 4.1, enligt vilken en registrerad avser en fysisk person som personuppgifter hänför sig till. Definitionen i kreditupplysningslagen omfattar också registrerade företag. Den registrerade kan inte i den nationella lagstiftningen definieras på ett sätt som avviker från dataskyddsförordningen. Definitionen av den registrerade får inte heller upprepas i den nationella lagstiftningen. Registrerade fysiska personer kan i vissa fall också vara företags ansvarspersoner eller ägare som avses i kreditupplysningslagen.
Den föreslagna ändringen av definitionen beaktas i de andra bestämmelserna i kreditupplysningslagen så att ordet ”registrerad” beroende på kontexten ersätts med antingen ”fysisk person” eller ”företag” eller bådadera. I vissa bestämmelser är det också möjligt att ersätta ordet ”registrerad” med ordet ”gäldenär”. Med fysisk person avses en person som har införts i ett register över personkreditupplysningar. Med företag avses i enlighet med paragrafens 2 punkt en fysisk person som bedriver näringsverksamhet samt andra enheter som enligt 3 § 1 mom. 1–5 punkten i företags- och organisationsdatalagen (244/2001) ska registreras i företags- och organisationsdatasystemet. Sådana näringsidkare, som har FO-nummer, registreras i ett sådant register över företagskreditupplysningar som avses i kreditupplysningslagen.
5 §.God kreditupplysningssed. Paragrafen om god kreditupplysningssed har ett omfattande tillämpningsområde. Enligt förarbetena till lagen gäller bestämmelserna utöver dem som bedriver kreditupplysningsverksamhet även andra som behandlar eller använder kreditupplysningar. Det föreslås att det inledande stycket i paragrafen delas upp i två delar så att endast den skyldighet att handla omsorgsfullt som det föreskrivs om i paragrafen gäller alla som behandlar eller använder kreditupplysningar. De mest detaljerade skyldigheterna, som i huvudsak motsvarar punkterna i den gällande paragrafen, ska gälla dem som bedriver kreditupplysningsverksamhet och andra som bedriver näringsverksamhet och använder eller annars behandlar kreditupplysningar. Därigenom säkerställer man att exempelvis sådana hyresvärdar som är fysiska personer och som behandlar personkreditupplysningar i verksamhet av privat natur eller i verksamhet som har samband med det egna hushållet inte omfattas av oskäliga skyldigheter som de i praktiken inte har möjlighet att iaktta. Enligt dataskyddsförordningens bestämmelser om tillämpningsområdet tillämpas förordningen inte på sådan behandling av personuppgifter som en fysisk person utför som ett led i sådan verksamhet som är av rent privat natur eller har samband med hans eller hennes hushåll och som inte är kopplad till någon yrkesmässig eller kommersiell verksamhet. Med stöd av 19 § i kreditupplysningslagen får dock personkreditupplysningar lämnas ut även till privata hyresvärdar, varvid det också i fråga om sådana personer är skäl att i lagen bevara vissa skyldigheter när det gäller skyddet för privatlivet för fysiska personer som registrerats i ett register över personkreditupplysningar. I 1 och 3 punkten ersätts ordet ”registrerad” med orden ”fysisk person” och ”företag”. I 2 punkten ersätts ”registrerad” endast med ”fysisk person”. Genom ändringarna beaktas det att definitionen av registrerad stryks ur 3 §. I 2 punkten ersätts dessutom ”personlig integritet” med ”privatliv”. Enligt motiveringen till kreditupplysningslagen har också företag rätt till saklig behandling av uppgifter och rätt att bli bedömda utifrån korrekta och relevanta uppgifter. Däremot kan skyddet för privatlivet, som avses i 2 punkten, endast gälla fysiska personer.
6 §.Kreditupplysningarnas kvalitet och informationskällor. Bestämmelserna i paragrafen gäller utöver dem som bedriver kreditupplysningsverksamhet även andra som behandlar eller använder kreditupplysningar. Bestämmelserna om kreditupplysningarnas informationskällor har således tillämpats särskilt också i samband med kreditgivning. I 1 mom. ersätts ”den registrerades” med ”den fysiska personens eller företagets”. Genom ändringen beaktas det att definitionen av registrerad stryks ur 3 §. Dessutom föreslås det att den andra meningen i momentet stryks. Enligt den gällande bestämmelsen får sådana känsliga personuppgifter som avses i 11 § i personuppgiftslagen användas eller behandlas på annat sätt endast om det i lag eller i ett med stöd av lag fattat beslut föreskrivs om rätten att använda uppgifterna. De känsliga personuppgifter som avses i 11 § i den upphävda personuppgiftslagen är som begrepp mer omfattande än de särskilda kategorier av personuppgifter som avses i dataskyddsförordningen. De som bedriver kreditupplysningsverksamhet har inga lagstadgade rättigheter att behandla känsliga personuppgifter. Strykningen av meningen ur momentet innebär i fråga om särskilda kategorier av personuppgifter att de som bedriver kreditupplysningsverksamhet och kreditgivarna i sin behandling av personuppgifter ska tillämpa bestämmelserna i artikel 9 i dataskyddsförordningen. I enlighet med de allmänt tillämpliga författningarna är behandling av särskilda kategorier av personuppgifter i regel förbjuden, om det inte är fråga om något föreskrivet undantag. Varken de som bedriver kreditupplysningsverksamhet eller kreditgivarna har uttryckligen beaktats i undantagen i dataskyddsförordningen och dataskyddslagen, men behandlingen kan grunda sig till exempel på den registrerades uttryckliga samtycke. Det är heller inte längre nödvändigt att, som i 6 § 1 mom. i den gällande kreditupplysningslagen, hänvisa till beslut som fattats med stöd av lag, eftersom avsikten har varit att göra det möjligt att få uppgifter ur så kallade missbruksregister. Dessa uppgifter har baserat sig på datasekretessnämndens beslut, som har ersatts med de gällande bestämmelserna i kreditinstitutslagen och lagen om betalningsinstitut, som möjliggör motsvarande register. Missbruksuppgifter har också kunnat behandlas med stöd av betaltjänstlagen. Varken i dessa lagar eller någon annanstans i lag föreskrivs dock om rätten att lämna ut uppgifter ur missbruksregister till dem som bedriver kreditupplysningsverksamhet. Datasekretessnämndens beslut gällde inte heller dem som bedriver kreditupplysningsverksamhet. I momentets svenska språkdräkt görs dessutom en språklig korrigering.
I paragrafens 2 mom. ersätts ”den registrerade” med ”den fysiska personen eller företaget”. Genom ändringen beaktas det att definitionen av registrerad stryks ur 3 §. Ur den första meningen i momentet stryks orden ”eller i ett med stöd av lag fattat beslut”. Ett med stöd av lag fattat beslut har närmast avsett de ovan avsedda tillstånden av datasekretessnämnden, som inte längre tillämpas. Det föreslås att den andra meningen i momentet stryks som obehövlig. I Finland ingår bestämmelser om utlämnande av personuppgifter, på grund av sekretessbestämmelserna i lagen om offentlighet i myndigheternas verksamhet, i flera speciallagar. Bestämmelserna gäller utlämnande av uppgifter mellan myndigheter och inte nödvändigtvis uttryckligen behandling av personuppgifter. Sådana bestämmelser om utlämnande av uppgifter som följer av sekretessbestämmelserna ingår också i annan lagstiftning, men inte i den allmänt tillämpliga lagstiftningen om behandling av personuppgifter. När det gäller rätten för dem som bedriver kreditupplysningsverksamhet och för kreditgivarna att få information, har kravet på att bestämmelser ska utfärdas genom lag beaktats i tillräckligt hög grad i momentets första mening. Strykningen av meningen begränsar dock inte i synnerhet kreditgivarnas rätt att förvärva och behandla sådana uppgifter som behövs för beviljande av kredit eller bedömning av kreditvärdigheten i enlighet med dataskyddsförordningen eller annan lagstiftning. Det faktum att meningen stryks utgör inte heller något hinder för att också andra informationskällor, såsom inkomstuppgifter, behandlas med den registrerades samtycke. Bestämmelser om villkoren för samtycke finns i artikel 7 i dataskyddsförordningen, inklusive rätten att när som helst återkalla samtycket. De föreslagna ändringarna medför ingen förändring av nuläget. Dessutom görs en språklig korrigering i momentets svenska språkdräkt.
7 §.Datasäkerhet. Bestämmelserna i paragrafens 1 mom. överlappar i fråga om behandlingen av personuppgifter de bestämmelser i dataskyddsförordningen som gäller datasäkerheten vid behandlingen av personuppgifter. Till dessa bestämmelser hör i synnerhet bestämmelserna i artikel 25 om inbyggt dataskydd och dataskydd som standard samt bestämmelserna i avsnitt 2 om säkerhet i samband med behandlingen av personuppgifter och om anmälan av personuppgiftsincidenter. I momentet föreslås det att ordet ”kreditupplysningar” ersätts med ordet ”företagskreditupplysningar”. Dessutom stryks i slutet av momentet kravet på att ta hänsyn till vilken betydelse behandlingen av uppgifterna har med avseende på de registrerades personliga integritet och rättssäkerhet, vilket gäller endast fysiska personer. I fråga om fysiska personer tillämpas bestämmelserna i dataskyddsförordningen. Vidare föreslås vissa preciseringar i den svenska språkdräkten i momentet. Det föreslås att paragraftexten i 2 mom. ersätts med en hänvisningsbestämmelse enligt vilken artiklarna 25 och 32 i dataskyddsförordningen tillämpas på säkerhet i samband med behandlingen av personuppgifter. Genom bestämmelsen preciseras regleringens förhållande till dataskyddsförordningen. Ur momentet stryks den andra meningen, enligt vilken momentet inte gäller behandling av information om företagskopplingar som avses i 12 § 2 punkten. Med beaktande av paragrafens omfattande tillämpningsområde flyttas den bestämmelse i momentet, enligt vilken det ska ses till att uppgifter om behandlingen av personkreditupplysningar som har registrerats i ett kreditupplysningsregister lagras i datasystemet, till 12 och 13 §, som gäller register över personkreditupplysningar. Kravet gäller inte uppgifter om företagskopplingar, och den föreslagna regleringen motsvarar alltså nuläget.
Kraven på datasäkerhet enligt paragrafen har i enlighet med förarbetena till lagen tillämpats på alla som behandlar eller använder kreditupplysningar. Kraven är omfattande särskilt när det gäller aktörer som inte behandlar kreditupplysningar i samband med närings- eller yrkesverksamhet. Eftersom paragrafens innehåll begränsas till att gälla endast företagskreditupplysningar, är bestämmelserna ändå inte längre problematiska med tanke på dem som använder dessa kreditupplysningar. I fråga om personkreditupplysningar tillämpas dataskyddsförordningens krav på datasäkerhet i den omfattning som följer av dataskyddsförordningens tillämpningsområde. Dataskyddsförordningen tillämpas inte på behandling av personuppgifter som en fysisk person utför som ett led i sådan verksamhet som är av rent privat natur eller har samband med hans eller hennes hushåll.
10 §.Förpliktelser som avser tjänster. I 1 mom. ersätts enligt förslaget ”en registrerad” med ”en fysisk person eller ett företag”. Genom ändringen beaktas det att definitionen av registrerad stryks ur 3 §. Det föreslås att den svenska språkdräkten i 2 mom. ändras så att ”på begäran” ersätts med ”till den som ber om sådana upplysningar”. Av den föreslagna formuleringen framgår tydligare till vem upplysningarna ska lämnas ut. I den finska språkdräkten i 2 mom. stryks enligt förslaget ordet ”henkilölle”. Till följd av den terminologiska ändringen i kreditupplysningslagen finns det risk för att bestämmelsen förväxlas med den registrerades rätt att få tillgång till uppgifter som rör den registrerade själv. Enligt förarbetena till momentet är syftet med bestämmelsen att säkerställa att kreditupplysningar finns tillgängliga också för personer och företag som inte ständigt behöver sådana och som sålunda inte har möjligheter eller behov av att med en teknisk anslutning hämta information ur ett kreditupplysningsregister. Momentet gäller således inte den registrerades rättigheter och tillämpas inte heller enbart på fysiska personer. Bestämmelserna om behandlingen av personuppgifter i 3 mom. överlappar artikel 15.3 i dataskyddsförordningen, enligt vilken den registrerade ska ha rätt att få en kopia av de personuppgifter som är under behandling. Även bestämmelser om den personuppgiftsansvariges rätt att ta ut en rimlig avgift för ytterligare kopior finns i den artikeln. Ändamålet med den registrerades rätt enligt artikel 15.3 i dataskyddsförordningen är dock ett annat än ändamålet med utdraget med kreditupplysningar. Den registrerade kan använda ett utdrag med mindre omfattande innehåll till exempel för att ingå ett hyresavtal. Den som bedriver kreditupplysningsverksamhet kan ta ut en skälig ersättning för utdraget. I fråga om detta bör det dock noteras att uttaget av en avgift enligt bestämmelsen endast gäller utdrag med kreditupplysningar. När den registrerade utövar sin rätt enligt artikel 15 i dataskyddsförordningen, har den personuppgiftsansvarige inte rätt att ta ut avgift för en enskild kopia. Det föreslås att momentet kvarstår. Med beaktande av att momentet endast gäller den registrerades rätt att få personkreditupplysningar som gäller honom eller henne, föreslås det att ordet ”registrerad” ersätts med ”fysisk person” och att orden ”den registrerade” ersätts med ”personen”.
11 §.Jämlikt bemötande av fysiska personer och företag. I paragrafens rubrik och innehåll görs en terminologisk ändring, där ordet ”registrerade” ersätts med ”fysiska personer och företag”. Genom ändringen beaktas det att definitionen av registrerad stryks ur 3 §.
12 §.Identifieringsuppgifter och uppgifter om handlingsbehörighet. Paragrafen innehåller bestämmelser om registrering av uppgifter om fysiska personer i kreditupplysningsregister. Med beaktande av att de uppgifter som det föreskrivs om i paragrafen ska kunna kopplas till uppgifter om betalningsstörningar, som bedöms vara förenade med särskilda risker med tanke på skyddet för den registrerade, föreslås det att registrets informationsinnehåll huvudsakligen bibehålls. Eftersom det i paragrafen ändå föreskrivs om uppgifter som i regel antingen är offentliga eller lämnade av den registrerade själv, räcker det att det i paragrafen föreskrivs om kategorier av uppgifter. En detaljerad förteckning över identifieringsuppgifter om personer behövs, utifrån en bedömning av riskerna, emellertid inte. Personuppgifter definieras i artikel 4 i dataskyddsförordningen. Principen om uppgiftsminimering, som det föreskrivs om i artikel 5.1 c i dataskyddsförordningen, är direkt tillämplig på all behandling av personuppgifter. Med beaktande av att den föreslagna bestämmelsen ändå inte är uttömmande, ska rätten att registrera uppgifter gälla uttryckligen nödvändiga identifieringsuppgifter. I 29 § 2 mom. i dataskyddslagen finns det redan bestämmelser om behandling av personbeteckningar i kreditupplysningsverksamhet, och det behöver därför inte föreskrivas om behandling av personbeteckningar i kreditupplysningslagen. Det föreslås att paragrafens struktur ändras så att den gällande paragrafen ersätts med två nya moment, där de uppgifter som får registreras anges enligt kategori av uppgifter, och så att det till paragrafen dessutom fogas ett nytt moment med ett krav på lagring av uppgifter om behandlingen. I det föreslagna 1 mom. föreskrivs det om registrering av nödvändiga identifieringsuppgifter (inledande stycket) samt på motsvarande sätt som i nuläget om registrering av uppgifter om handlingsbehörighet och uppgifter om kreditförbud. Nödvändiga identifieringsuppgifter enligt det inledande stycket kan på motsvarande sätt som i nuläget vara en fysisk persons namn och kontaktuppgifter samt personbeteckning eller födelsetid och födelseort. Genom omnämnandet av nödvändighet beaktas principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen.
Den gällande paragrafens 1 och 2 punkt stryks. Paragrafens nuvarande 3 punkt blir 1 punkt och den nuvarande 4 punkten blir 2 punkt. I den nya 1 punkten föreskrivs det om uppgifter om handlingsbehörighet. Bestämmelsen motsvarar nuläget. Den hänvisning till det upphävda 67 § 1 mom. i lagen om förmyndarverksamhet (442/1999) som finns i den gällande punkten ersätts dock med en hänvisning till 10 § 2 mom. i lagen om vissa personregister vid Myndigheten för digitalisering och befolkningsdata (1156/2019) och det register över förmynderskapsärenden som det föreskrivs om i den lagen. I den nya 2 punkten föreskrivs det på motsvarande sätt som i nuläget om uppgifter om kreditförbud som personen själv har lämnat. Uppgifter om kreditförbud ska enligt 17 § 1 mom. 4 punkten på motsvarande sätt som i nuläget raderas så snart den fysiska personen begär det. Med beaktande av att behandlingen av uppgifter om kreditförbud till skillnad från andra uppgifter förutsätter den registrerades samtycke, ska behandlingen uppfylla de villkor för samtycke som anges i artikel 7 i dataskyddsförordningen, även i fråga om återkallande av samtycke. Ytterligare närmare bestämmelser om samtycke behöver inte utfärdas, med beaktande av att bestämmelserna i dataskyddsförordningen är direkt tillämpliga. Vidare stryks i 1 punkten ”de registrerades”, och i 2 punkten ersätts ”de registrerade själva” med ”personen själv”. Genom ändringarna beaktas det att definitionen av registrerad stryks ur 3 §. Vidare korrigeras den svenska språkdräkten i 2 punkten.
I paragrafens nya 2 mom. föreskrivs det om registrering av uppgifter om företagskopplingar. Innehållet i momentet är motsvarande som i 2 punkten i den gällande paragrafen. Uppgifter om företagskopplingar är till sin natur en kategori av uppgifter som avviker från de uppgifter som det enligt förslaget ska föreskrivas om i 1 mom. och vars användning i lagen inte kopplas till vissa användningsändamål. Principen om ändamålsbegränsning ska dock beaktas i de fall där uppgifter om företagskopplingar behandlas för samma ändamål som de uppgifter som avses i 1 mom. eller i 13 §.
Det föreslås att det till paragrafen fogas ett nytt 3 mom. med stöd av vilket den som bedriver kreditupplysningsverksamhet ska se till att uppgift om behandlingen av de uppgifter som avses i 1 mom. lagras i datasystemet, när uppgifterna registreras eller annars behandlas. Kravet motsvarar nuläget och avgränsas till att gälla andra uppgifter än uppgifter om företagskopplingar. Det omnämnande av registrering som fogas till bestämmelsen gör inte tillämpningsområdet mer omfattande, eftersom termen ”behandling”, som används i den gällande lagen, som sådan inbegriper bland annat registrering av personuppgifter. Även om kravet på lagring av uppgifter om behandlingen inte heller i fortsättningen ska gälla uppgifter om företagskopplingar, gäller datasäkerhetskraven enligt dataskyddsförordningen alla personuppgifter. Bestämmelsen överlappar inte dataskyddsförordningen. Det är fråga om en sådan i artikel 6.3 i dataskyddsförordningen avsedd särskild bestämmelse om typer av behandling genom vilken tillämpningen av artikel 5.1 f, artikel 32.2 och artikel 25.2 i dataskyddsförordningen anpassas. Syftet med bestämmelsen är att underlätta efterlevnaden av dataskyddsförordningen.
Med tanke på tillämpningen av dataskyddsförordningen bör det beaktas att behandling av personuppgifter är ett brett begrepp som även omfattar framtagning, läsning och utlämnande av uppgifter. Eftersom det i dataskyddsförordningen inte uttryckligen föreskrivs om logguppgifter, kan den gällande lagens krav på lagring av uppgifter om behandlingen i praktiken innebära att den personuppgiftsansvarige ska föra tillräckliga logguppgifter för att kunna följa användningen och utlämnandet av uppgifterna och för att kunna visa tillsynsmyndigheten på vilket sätt den har sörjt för att uppgifterna har behandlats till exempel för de ändamål som anges i 19 §.
13 §.Uppgifter om betalningsstörningar samt kompletterande information. Paragrafen innehåller bestämmelser om uppgifter om fysiska personers betalningsstörningar som får registreras som personkreditupplysningar. I synnerhet behandlingen av uppgifter om fysiska personers betalningsstörningar för de ändamål som anges i lagen, inklusive utlämnande av personuppgifter, har avsevärda konsekvenser för skyddet för privatlivet och för fysiska personers möjligheter att verka i samhället, och de omfattande ändamålen för de uppgifter som behandlas är förenade med särskilda risker med tanke på dataskyddet för fysiska personer. Det ska fortfarande finnas detaljerade och noggrant avgränsade bestämmelser om de kategorier av uppgifter som får registreras och behandlas på annat sätt.
För att förenhetliga terminologin med i synnerhet de lagar som nämns i de två första punkterna i paragrafen föreslås det att ”den registrerade” ersätts med ”gäldenären” i 1 mom. 1–3 och 8 punkten och i 2 och 3 mom. samt i den svenska språkdräkten i 1 mom. 6 punkten. Den föråldrade hänvisningen till 87 § i lagen om skuldsanering för privatpersoner (57/1993) ersätts i momentets 2 punkt med en hänvisning till lagen om skuldsaneringsregistret (368/2017). I den finska språkdräkten i paragrafens 1 mom. 6 punkt föreslås det att ordet ”hän” ändras till ”velallinen” och att ordet ”rekisteröidyn” stryks. Dessutom görs språkliga preciseringar i den finska språkdräkten i punkten. Genom ändringarna beaktas det att definitionen av registrerad stryks ur 3 §.
Vidare föreslås det i 1 mom. 8 punkten och i 2 och 3 mom. att ”den registeransvarige” ersätts med ”den som bedriver kreditupplysningsverksamhet”. I kreditupplysningslagen definieras varken den registeransvarige eller den personuppgiftsansvarige, som är den term för samma begrepp som används i dataskyddsförordningen. Det föreslås dock att det ur lagen stryks sådana bestämmelser som överlappar dataskyddsförordningen och som gäller registerföring, den registrerades rättigheter och tillsyn över behandlingen av personuppgifter. Lagen ska huvudsakligen innehålla bestämmelser om tillsyn över dem som bedriver kreditupplysningsverksamhet. I 3 § 7 punkten i lagen definieras dessutom bedrivande av kreditupplysningsverksamhet. Därför är det skäl att i lagen systematiskt använda termen ”den som bedriver kreditupplysningsverksamhet” om näringsidkare. Termändringen görs i flera paragrafer nedan. I 1 mom. 8 punkten görs dessutom en språklig korrigering i den svenska språkdräkten. I paragrafens 2 och 3 mom. ersätts ordet ”registret” för tydlighetens skull med ”kreditupplysningsregistret”. I den svenska språkdräkten i paragrafens 2 mom. föreslås dessutom vissa ändringar för att formuleringarna ska motsvara formuleringarna i lagens 24 § 3 mom.
Vidare görs ett förtydligande i 1 mom. 3 punkten. Enligt den gällande punkten får i ett kreditupplysningsregister såsom personkreditupplysningar registreras bland annat uppgifter om betalningsstörning som konstaterats av en myndighet, innefattande uppgifter om en betalningsförsummelse som har konstaterats genom en domstols lagakraftvunna dom. I och med den föreslagna ändringen blir en förutsättning för registrering av en sådan uppgift uttryckligen att betalningskravet inte bestridits med avseende på grunden eller beloppet. Domregistret, där uppgifter om lagakraftvunna domar registreras, förs av Rättsregistercentralen. Till domregistret sänds alla lagakraftvunna domar som har meddelats i mål som inletts genom en summarisk stämningsansökan, oberoende av deras innehåll. Till domregistret sänds således även de domar i vilka talan har förkastats eller har bifallits helt eller delvis. Uppgifter om alla domar i vilka talan helt eller delvis bifallits lämnades tidigare ut till dem som bedriver kreditupplysningsverksamhet. Även de domar som gällde en fordran som med fog hade bestridits och där talan helt eller delvis bifallits ledde följaktligen till en anteckning om betalningsstörning. I ett fordringsmål är det ändå inte nödvändigtvis alltid fråga om försummelse av betalning när grunden för betalningen är tvistig.
Rättsregistercentralen har genomfört en systemändring genom vilken det ovan beskrivna problemet åtgärdades. Det föreslås ändå att bestämmelsen i momentet förtydligas i fråga om de domstolsavgöranden som registreras. I och med den föreslagna preciseringen ska endast uppgifter om sådana lagakraftvunna domar som de facto visar att gäldenären är insolvent eller ovillig att betala lämnas ut till dem som bedriver kreditupplysningsverksamhet. Därmed leder endast dessa till en anteckning om betalningsstörning. I och med ändringen motsvarar ordalydelsen det förfarande som tillämpas i nuläget. Samtidigt säkerställs det att regleringen är transparent för den registrerade i enlighet med kravet i artikel 5.1 a i dataskyddsförordningen.
Det föreslås att det till paragrafen fogas ett nytt 4 mom. med stöd av vilket den som bedriver kreditupplysningsverksamhet ska se till att uppgift om behandlingen av de uppgifter som avses i 1 mom. lagras i datasystemet, när uppgifterna registreras eller annars behandlas. Liksom i fråga om det 3 mom. som fogas till 12 § är det också här fråga om en sådan i artikel 6.3 i dataskyddsförordningen avsedd särskild bestämmelse om typer av behandling genom vilken tillämpningen av artikel 5.1 f, artikel 32.2 och artikel 25.2 i dataskyddsförordningen anpassas. Syftet med bestämmelsen är att underlätta efterlevnaden av dataskyddsförordningen.
Till paragrafen fogas enligt förslaget ett nytt 5 mom. som innehåller den bestämmelse i den gällande 29 § med stöd av vilken den registrerade ska informeras om vilken betydelse betalningen av en fordran har för uppgiftens lagringstid. Det föreslås dock att bestämmelsen med beaktande av riskerna avgränsas till att gälla uppgifter om betalningsstörningar. Enligt det nya momentet ska en fysisk person om vilken en i 1 mom. avsedd uppgift för första gången förts in i kreditupplysningsregistret informeras om vilken betydelse betalningen av fordran har för uppgiftens lagringstid. I fråga om andra uppgifter som behandlas är bestämmelserna i dataskyddsförordningen direkt tillämpliga när det gäller den information som ska lämnas till registrerade fysiska personer. Det föreslagna momentet är samtidigt en skyddsåtgärd vid behandlingen av uppgifter om betalningsstörningar, som är förenade med särskilda risker med tanke på skyddet för den registrerades rättigheter.
14 §.Särskilda bestämmelser om betalningsstörningar som borgenären anmält. I det inledande stycket i paragrafens 1 mom. föreslås det att ”den registeransvarige” ska ersättas med ”den som bedriver kreditupplysningsverksamhet”. Motsvarande ändring görs även i 1 mom. 1 punkten och i 2 mom. I det inledande stycket i 1 mom. föreslås dessutom en språklig korrigering av den svenska språkdräkten.
16 §.Bedömning av kreditvärdighet. Den gällande paragrafen innehåller bestämmelser om vilka slags uppgifter som får användas vid bedömningen av en fysisk persons kreditvärdighet. Med bedömning av kreditvärdighet avses att personuppgifter används för att utarbeta olika modeller som används för kreditvärdighetsklassificering eller för bildande av målgrupper för marknadsföring. Sådana system för kreditvärdighetsklassificering och poängsättning av kreditsökande som baserar sig på statistiska metoder (credit scoring, kreditvärdighetsklassificering) samt sådana tjänster där tjänsteleverantören bedömer kreditsökandenas kreditvärdighet med hjälp av sina egna register utgör tjänster för bedömning av kreditrisker.
Vid bedömningen av konsekvenserna av profileringen enligt kreditupplysningslagen har man särskilt beaktat de europeiska dataskyddsmyndigheternas riktlinjer (artikel 29-arbetsgruppen för uppgiftsskydd, Riktlinjer om automatiserat individuellt beslutsfattande och profilering enligt förordning (EU) 2016/679, granskade den 6 februari 2018) och förarbetena till kreditupplysningslagen, där de statistiska metoder som används för bedömning av kreditvärdighet beskrivs. Utifrån detta material har man vid beredningen av propositionen kommit fram till en annan bedömning av karaktären hos profileringen i anslutning till kreditupplysningsverksamheten än i exempelvis Sverige. För det första innehåller Sveriges lag inga bestämmelser som motsvarar 16 § i Finlands kreditupplysningslag. För det andra tillåter 19 § också att bedömningar av kreditvärdighet lämnas ut för olika ändamål i större utsträckning än vad som är möjligt enligt svensk lag. Således blir konsekvenserna av bedömningarna av kreditvärdighet större i Finland. Uppgifter om bedömning av kreditvärdighet lagras enligt kreditupplysningslagen dessutom tills övriga anteckningar har raderats ur registret. Vidare sker bedömning av kreditvärdighet i enlighet med 16 § i kreditupplysningslagen i regel helt automatiserat.
Fysiska personer orsakas inte nödvändigtvis direkta konsekvenser till följd av att den som bedriver kreditupplysningsverksamhet utför profilering. En fysisk persons kreditvärdighetsklass kan dock inverka på exempelvis om en kreditgivare som är kund hos den som bedriver kreditupplysningsverksamhet beviljar personen kredit, varvid bedömningen av kreditvärdigheten kan påverka den registrerade i betydande grad. Bedömningarna av kreditvärdigheten produceras också automatiskt utan att en fysisk person deltar i processen. I motsats till den profilering som avses i artikel 22 i dataskyddsförordningen utesluter inte profilering enligt definitionen i artikel 4.4 att bedömningen utförs av en människa. Profilering ska i enlighet med motiveringen till dataskyddsförordningen förstås i vid bemärkelse så att den avser varje form av automatisk behandling av personuppgifter med bedömning av personliga egenskaper hos en fysisk person (skäl 71). I motiveringen nämns som exempel att analysera eller förutse aspekter avseende den registrerades ekonomiska situation. Av ingressen till dataskyddsförordningen framgår inte närmare vad som i artikel 22 avses med att behandlingen påverkar den registrerade i betydande grad. De europeiska dataskyddsmyndigheterna tar dock ställning till frågan i sina riktlinjer (s. 22). Även om den registrerades rättsliga ställning inte ändras kan han eller hon påverkas tillräckligt mycket för att behöva skydd enligt artikel 22. För att databehandling i betydande grad ska påverka någon måste beslutet eller profilen kunna påverka de registrerades omständigheter, beteende eller valmöjligheter i betydande grad, ha långvariga eller permanenta konsekvenser för den registrerade eller i värsta fall leda till att den registrerade utestängs eller diskrimineras. Det kan enligt anvisningarna bland annat vara fråga om beslut som påverkar någons finansiella situation, till exempel deras kreditmöjligheter.
Det föreslås att paragrafen ändras så att kraven i artikel 22 i dataskyddsförordningen beaktas. I förslaget håller man sig ändå till de krav som hänför sig till utnyttjandet av handlingsutrymmet enligt artikel 22. I 1 mom. ändras hänvisningen till 12 § med beaktande av ändringarna i den paragrafen, så att hänvisningen motsvarar nuläget. När kreditvärdigheten bedöms ska man inte heller i fortsättningen få använda uppgifter av vilka framgår till exempel kön eller ålder. På detta sätt förebyggs eventuella diskriminerande konsekvenser av profileringen. I paragrafen beaktas dessutom särskilt de skyddsåtgärder som avses i artikel 22.2 b. Artikeln tillåter beslutsfattande som grundar sig på automatiserad behandling, inbegripet profilering, och som har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den registrerade, om beslutet tillåts enligt unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.
Det föreslås att det till paragrafen fogas ett nytt 2 mom. enligt vilket en fysisk person har rätt att uttrycka sin åsikt om kreditvärdighetsklassen och att kräva att den som bedriver kreditupplysningsverksamhet gör en ny bedömning av kreditvärdighetsklassen, om personens kreditvärdighetsklass fastställs enbart utifrån automatiserad behandling av uppgifter. Denna skyddsåtgärd uppfyller samtidigt dataskyddsförordningens krav på att en människa ska delta i behandlingen av uppgifter hos den som bedriver kreditupplysningsverksamhet. Genom den föreslagna ändringen utnyttjas handlingsutrymmet att föreskriva om de skyddsåtgärder som ska tillämpas i enlighet med artikel 22.2 b i dataskyddsförordningen. Paragrafen ska inte tillämpas på kreditgivare eller andra som använder kreditupplysningar, utan bara på dem som bedriver kreditupplysningsverksamhet, i fråga om vilka profileringen inte grundar sig på ett kundförhållande eller på samtycke av den registrerade. Exempelvis kreditinstitut tillämpar direkt artikel 22 i dataskyddsförordningen på automatiserat beslutsfattande i sin egen verksamhet. Det gällande 2 mom. blir 3 mom.
En fysisk person vars kreditvärdighet bedöms omfattas dessutom av vad som i dataskyddsförordningen föreskrivs om den registrerades rättigheter. Den som bedriver kreditupplysningsverksamhet ska se till att de registrerade får tillräcklig information i enlighet med kraven i dataskyddsförordningen, inbegripet information om profileringsmetoder och om för vilka ändamål bedömningar av kreditvärdigheten kan lämnas ut och användas. Den som bedriver kreditupplysningsverksamhet ska dessutom iaktta vad som i artikel 19 i dataskyddsförordningen föreskrivs om anmälningsskyldighet. I vart fall ska den som bedriver kreditupplysningsverksamhet på begäran av en fysisk person meddela för vilka ändamål en bedömning av personens kreditvärdighet har lämnats ut. Den som bedriver kreditupplysningsverksamhet ska i samband med profileringen även särskilt se till att exakta och aktuella uppgifter används för ändamålet. När det gäller automatiserad behandling enligt artikel 22 bör den personuppgiftsansvarige också se till att de matematiska eller statistiska förfaranden den använder är lämpliga för att säkerställa att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och risken för fel minimeras (skäl 71 i dataskyddsförordningen). Om de uppgifter som används vid det automatiserade beslutsfattandet eller i profileringsprocessen är felaktiga, blir de beslut som fattas eller de profiler som utarbetas på basis av dem felaktiga. Till följd av detta skulle beslut kunna komma att fattas på basis av föråldrade uppgifter eller en felaktig tolkning av externa uppgifter. Felaktiga uppgifter kan leda till inkorrekta prognoser eller utlåtanden om kreditrisker.
Vid bedömning av kreditvärdighet ska det enligt lagen även vara tillåtet att använda uppgifter om kreditförbud som en fysisk person själv har lämnat. Samtycke till behandlingen kan dock återkallas i enlighet med 17 § 1 mom. 4 punkten i kreditupplysningslagen och artikel 7.3 i dataskyddsförordningen. De föreslagna skyddsåtgärderna har således betydelse också med tanke på tillgodoseendet av denna rättighet.
17 §.Lagringstider för identifieringsuppgifter och uppgifter om handlingsbehörighet. I det inledande stycket i 1 mom. ersätts ”om en registrerad” med ”som gäller en fysisk person” och ”registret” med ”kreditupplysningsregistret”. I 1 och 2 punkten i momentet ersätts ”den registrerade” med ”personen”, och i 4 punkten ersätts ”en registrerad” och ”den registrerade” med ”en fysisk person” och ”personen”. Genom ändringarna beaktas det att definitionen av registrerad stryks ur 3 §. Dessutom görs språkliga preciseringar i den svenska språkdräkten i 2 och 4 punkten.
18 §.Lagringstider för anteckningar om betalningsstörningar och kreditvärderingsuppgifter. I paragrafen utnyttjas handlingsutrymmet enligt artikel 6.3 i dataskyddsförordningen att utfärda närmare bestämmelser om lagringstiderna för att anpassa tillämpningen av artikel 5.1 e. Enligt artikel 5.1 e får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Genom de föreslagna ändringarna av lagringstiderna säkerställer man att bestämmelserna bättre uppfyller kravet på öppen behandling enligt artikel 5.1 a i dataskyddsförordningen och också beaktar kravet på uppgiftsminimering enligt artikel 5.1 c, i enlighet med vilket personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Samtidigt säkerställer man att regleringen är proportionell i enlighet med artikel 6.3.
Det föreslås att lagringstiden enligt 1 mom. 1 punkten ändras så att uppgifter om konkurs ska avföras inom en månad från det att uppgifterna har avförts ur konkurs- och företagssaneringsregistret, dock senast fem år från konkursens början. Lagringstiden för uppgifterna ska vara den kortare av dem. I enlighet med den gällande bestämmelsen har uppgifterna avförts inom fem år från konkursens början, dock inom en månad efter det att uppgifterna om konkursärendet har avförts ur konkurs- och företagssaneringsregistret på grund av att konkursansökan har avslagits, avvisats utan prövning eller avskrivits eller konkursen har lagts ned. Lagringstiden har med stöd av gällande 18 § 2 mom. kunnat förlängas på grund av en ny anteckning, men alla anteckningar om konkurs ska ändå avföras inom tre månader från det att uppgifterna om den senaste konkursanteckningen har avförts ur företagssanerings- och konkursregistret. Det föreslåsatt lagringstiden tydligare kopplas till lagringstiden i konkurs- och företagssaneringsregistret. Enligt lagen om konkurs- och företagssaneringsregistret (137/2004) ska uppgifterna om en fysisk persons konkursärende avföras ur registret senast fem år efter det att konkursen började.
Det föreslås att 1 mom. 4 punkten kompletteras så att utsökningsuppgifter ska avföras också så snart utsökningen upphör därför att skulden har preskriberats slutgiltigt med stöd av 13 a § i lagen om preskription av skulder. Utsökningsbalken har genom lag 60/2018 redan ändrats så att utmätningsmannen på gäldenärens begäran ska göra återtagningsanmälan om de uppgifter som utmätningsmannen har gett till den som bedriver kreditupplysningsverksamhet, oberoende av om fordran har preskriberats slutgiltigt på basis av att utsökningsgrundens tidsfrist har löpt ut eller på basis av att fordran har preskriberats. Genom den föreslagna ändringen beaktas ändringen i utsökningsbalken.
Det föreslås att 2 mom. ändras så att om den registeransvarige har fått besked om att den fordran betalats som en anteckning baserad på en borgenärs anmälan eller en i 1 mom. 6 punkten avsedd anteckning avser, ska uppgiften om betalningsstörning avföras inom en månad från mottagandet av beskedet. Besked om att fordran betalats förkortar således lagringstiden för följande anteckningar om betalningsstörning som registreras som personkreditupplysningar: uppgifter om en borgenärs anmälan om betalningsstörning, uppgifter om betalningsstörning som konstaterats av en myndighet och utsökningsuppgifter (13 § 1 mom. 3, 4 och 5 punkten i kreditupplysningslagen). I 1 mom. 4 punkten och i 2 mom. föreslås det dessutom att ”den registeransvarige” ersätts med ”den som bedriver kreditupplysningsverksamhet”.
Det gällande 3 mom. stryks, och det gällande 4 mom. blir nytt 3 mom. Det att momentet stryks ur lagen innebär att en ny anteckning om betalningsstörning inte längre förlänger lagringstiden för de anteckningar om betalningsstörning som avses i 1 mom. 1 och 6 punkten, det vill säga uppgifter om konkurs samt av en myndighet konstaterade uppgifter om betalningsstörning och utsökning. Till följd av ändringen beräknas lagringstiden för varje uppgift om betalningsstörning självständig.
19 §.Allmänna förutsättningar för utlämnande och användning av personkreditupplysningar. Enligt artikel 5.1 b i dataskyddsförordningen ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. I 19 § 1 mom. föreskrivs det om det ursprungliga ändamål för vilket personkreditupplysningar får lämnas ut och användas. I paragrafens 2 mom. preciseras dessutom för vilka ändamål personkreditupplysningar trots 1 mom. får lämnas ut och användas. Dessa ändamål ska betraktas som sådan förenlig behandling som avses i artikel 5.1 b och artikel 6.4 i dataskyddsförordningen. I paragrafen utnyttjas handlingsutrymmet enligt artikel 6.3 för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen i fråga om ändamålsbegränsning.
Det föreslås att paragrafens 1 mom. ändras så att det i momentet i stället för till personkreditupplysningar hänvisas till uppgifter som avses i 12 § 1 mom. och uppgifter som avses i 13 §, och dessutom görs en språklig precisering i momentet. Med beaktande av det gällande 3 mom., där det föreskrivs om undantag i fråga om uppgifter om företagskopplingar, motsvarar bestämmelsen nuläget. Ordalydelsen i det ändrade 1 mom. är mer noggrant avgränsad än i det gällande momentet.
Ordalydelsen i det inledande stycket i 2 mom. preciseras. I paragrafens 2 mom. 2 och 7 punkt ersätts ordet ”registrerad” med ordet ”person”. Genom ändringarna beaktas det att definitionen av registrerad stryks ur 3 §. I 7 punkten görs dessutom en lagstiftningsteknisk ändring av hänvisningen till dem som är rapporteringsskyldiga enligt penningtvättslagen. Ändamålet för användning av kreditupplysningar, som enligt den gällande punkten är ”uppfyllande av förpliktelser i samband med förhindrande eller avslöjande av penningtvätt”, ersätts med det mer noggrant avgränsade ändamålet ”fullgörande av skyldigheter i fråga om åtgärder för kundkontroll”. I samband med att den nya penningtvättslagen stiftades gjordes det en terminologisk justering, med stöd av vilken det i lagen föreskrivs om förhindrande av penningtvätt och av finansiering av terrorism, medan avslöjande och utredning i en separat lag föreskrivs för centralen för utredning av penningtvätt. Lagen gäller också förhindrande av finansiering av terrorism. De rapporteringsskyldiga är med stöd av 3 kap. 4 § i penningtvättslagen skyldiga att inhämta uppgifter om sina kunders och deras verkliga förmånstagares verksamhet, arten och omfattningen av deras affärsverksamhet och grunderna för att en tjänst eller produkt används. De rapporteringsskyldiga har ålagts en skyldighet att aktivt och fortlöpande följa upp och utreda kundförhållandet. Genom den tekniska ändringen utvidgas eller inskränks inte de rapporteringsskyldigas möjligheter att med stöd av kreditupplysningslagen få uppgifter om kunder och deras verkliga förmånstagare.
I momentets 10 punkt görs en teknisk justering som beaktar att personuppgiftslagen, som nämns i punkten, har upphävts. Det föreslås att den första meningen i paragrafens 3 mom. stryks som obehövlig. Enligt meningen hindrar det som föreskrivs i momentet inte att uppgifter om företagskopplingar lämnas ut. Undantaget i fråga om uppgifter om företagskopplingar beaktas i lagförslaget i det inledande stycket i 1 mom. Bestämmelsen överlappar dessutom delvis bestämmelserna i 26 §. Eftersom uppgifter om företagskopplingar i princip är offentliga, behöver det inte föreskrivas om utlämnande av dem i den paragraf som gäller ändamålsbegränsning vid utlämnande av personuppgifter. Kravet på ändamålsbegränsning ska dock iakttas i det fall att uppgifter om företagskopplingar lämnas ut i en sammanställning med sådana uppgifter som omfattas av förutsättningarna i 19 §.
Till paragrafen fogas enligt förslaget ett nytt 4 mom., enligt vilket en fysisk person har rätt att få information om till vem sådana uppgifter om personen som avses i 12 § 1 mom. eller i 13 § har lämnats ut under det senaste året. Bestämmelsen har flyttats från 29 § och motsvarar nuläget. Bestämmelsen gäller dem som bedriver kreditupplysningsverksamhet. Till övriga delar ska bestämmelserna i dataskyddsförordningen tillämpas på informationen till registrerade. Genom 4 mom. anpassas förfarandena enligt artikel 13.1 i enlighet med artikel 6.3, med beaktande av de risker för den registrerades rättigheter som är förenade med utlämnande av personkreditupplysningar och särskilt uppgifter om betalningsstörningar.
Det föreslås att det till paragrafen fogas ett nytt 5 mom., enligt vilket den som inhämtar personkreditupplysningar ur ett kreditupplysningsregister för att använda dem vid beviljande av kredit eller för ändamål som anges i 2 mom. 4–6 punkten ska se till att den registrerade på förhand kan få information om att personkreditupplysningarna används och om ur vilket kreditupplysningsregister uppgifterna hämtas. Bestämmelsen har flyttats från 29 § 2 mom., och dess innehåll motsvarar nuläget. Momentet har ett brett tillämpningsområde som omfattar utlämnande av uppgifter inte bara för beviljande av kredit, utan också för godkännande och ställande av borgen och tredjemanspant, för hyresavtal för en bostadslägenhet eller annan lokal samt för fastställande av avtalsvillkor i olika privaträttsliga avtal, om det är fråga om ett avtal som det enligt lag inte är möjligt att vägra ingå. I fråga om kreditgivare som erbjuder konsumentkrediter som har samband med bostadsegendom har artikel 18.5 b i direktivet om bostadskrediter genomförts genom bestämmelsen. Eftersom ingen motsvarande bestämmelse ingår i konsumentskyddslagen, bör skyldigheten att på förhand ge information ingå i kreditupplysningslagen även i fortsättningen. Skyldigheten är också mer detaljerad och noggrant avgränsad än dataskyddsförordningens allmänt tillämpliga bestämmelser om information till den registrerade, vilka anpassas med stöd av det handlingsutrymme som artikel 6.3 medger. Att denna bestämmelse bevaras i lagen är viktigt också eftersom utlämnandet av uppgifter om betalningsstörningar för de ändamål som anges i paragrafens 2 mom. 4–6 punkt har långtgående konsekvenser för en fysisk persons privatliv.
Till paragrafen fogas även ett nytt 6 mom., enligt vilket den, som inhämtat personkreditupplysningar ur ett kreditupplysningsregister och som avslår en ansökan om kredit utifrån uppgifter som avses i 12 § 1 mom. eller i 13 §, omedelbart efter beslutet ska informera den fysiska personen om användningen av kreditupplysningarna och om ur vilket register uppgifterna har hämtats. Bestämmelsen har flyttats från 29 § 2 mom., och dess innehåll motsvarar nuläget. Bestämmelsen gäller kreditgivare. På lämnandet av information om behandlingen av personuppgifter tillämpas i regel bestämmelserna i dataskyddsförordningen som sådana. Förfarandena enligt 13 § 1 punkten behöver anpassas i enlighet med artikel 6.3 i dataskyddsförordningen. Artikel 9.2 i konsumentkreditdirektivet och artikel 18.5 c andra meningen i direktivet om bostadskrediter har genomförts genom bestämmelsen. Eftersom ingen motsvarande skyldighet ingår i konsumentskyddslagen, bör bestämmelsen ingå i kreditupplysningslagen även i fortsättningen.
Bestämmelserna i de nya momenten flyttas enligt förslaget från 29 § därför att 29 § även innehåller sådana bestämmelser som inte är förenliga med dataskyddsförordningen. Tillämpningsområdet för bestämmelserna i den paragrafen är också för närvarande oklart. Om bestämmelserna ingår i den paragraf där det föreskrivs om ändamålen för behandling av personkreditupplysningar, är regleringen tydligare med tanke på dem som använder kreditupplysningarna och med tanke på tillsynen. Exempelvis kreditgivare behandlar kreditupplysningar på andra rättsliga grunder än de som bedriver kreditupplysningsverksamhet. I synnerhet utlämnandet av uppgifter om betalningsstörningar påverkar vid sidan av lagringstiderna i betydande grad den registrerades rättigheter, varvid en tydligare placering av bestämmelserna inom samma helhet även gör regleringen mera öppen i enlighet med kravet i artikel 5.1 a i dataskyddsförordningen. Den registrerades rättigheter i samband med utlämnande av uppgifter framgår tydligare än tidigare av lagen, varvid skyddet för den registrerades rättigheter också stärks.
20 §.Utlämnande av personkreditupplysningar i elektronisk form. I paragrafen föreskrivs det om utlämnande av personkreditupplysningar genom teknisk anslutning för sådana ändamål som nämns i 19 §. Det föreslås att det inledande stycket i paragrafen preciseras på motsvarande sätt som 19 § 1 mom., så att det hänvisas till uppgifter som avses i 12 § 1 mom. och uppgifter som avses i 13 §. Villkoren för utlämnande av uppgifter i elektronisk form ska på motsvarande sätt som i nuläget gälla alla uppgifter som avses i paragraferna, med undantag för utlämnande av uppgifter om företagskopplingar. Samtidigt föreslås paragrafens 3 mom. bli upphävt.
Momentet motiveras i förarbetena till lagen med att obegränsat utlämnande av uppgifter om en persons företagskopplingar inte kan anses äventyra skyddet för privatlivet enligt 10 § 1 mom. i grundlagen, eftersom det är fråga om information som har samband med en persons verksamhet inom ett företag eller i en annan motsvarande roll. I enlighet med 12 § klassificeras dessa uppgifter dock som personkreditupplysningar, och i förarbetena till lagen har det inte framförts några särskilda motiveringar till varför de skulle kunna lämnas ut på lindrigare grunder än andra personkreditupplysningar. EU-domstolen har ansett att begreppet privatliv inte ska tolkas restriktivt och att det inte finns något principiellt skäl som talar emot att yrkesverksamhet ska kunna omfattas av begreppet (t.ex. de förenade målen C-465/00, C-138/01 och C-139/01, Österreichischer Rundfunk m.fl., EU:C:2003:294, punkt 73). Med beaktande av proportionalitetsprincipen får undantag från de rättigheter och friheter som föreskrivs i stadgan om de grundläggande rättigheterna ändå göras, om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller mot behovet av skydd för andra människors rättigheter och friheter (t.ex. de förenade målen C‑439/14 och C‑488/14, Star Storage m.fl., EU:C:2016:688, punkt 49, och mål C‑601/15 PPU, N., EU:C:2016:84, punkt 50). Lagstiftaren ska således försäkra sig om att inskränkningen av skyddet för privatlivet är nödvändig och proportionerlig. En större tillgång till uppgifter om företagskopplingar än till andra personuppgifter kan anses svara mot ett mål av allmänt samhällsintresse som särskilt hänför sig till bekämpningen av grå ekonomi.
Utlämnandet av personuppgifter via ett allmänt datanät kan dock alltid vara förenat med risker för fysiska personers rättigheter, även om uppgifterna i princip är offentliga. Dessa risker hänför sig i synnerhet till att det går lätt och snabbt att få tillgång till personuppgifter i ett allmänt datanät och att koppla dem till andra informationskällor. Också uppgifter om företagskopplingar kan vara förenade med oväntade negativa konsekvenser för den registrerade. Detta kan vara fallet till exempel om en person har lovat att formellt medverka i styrelsen för ett annat företag utan någon faktisk möjlighet att påverka företagets ekonomi.
För att proportionaliteten i riskerna för fysiska personers verksamhetsmöjligheter och i inskränkningen av skyddet för privatlivet ska kunna säkerställas, ska undantaget för uppgifter om företagskopplingar inte få tillämpas om de lämnas ut samtidigt som eller i en sammanställning med uppgifter om betalningsstörningar eller andra personkreditupplysningar. Detta motsvarar nuläget, där undantaget endast gäller uppgifter om företagskopplingar. Motsvarande princip har också uttryckligen beaktats i 26 §, enligt vilken uppgifter om ett företags ansvarspersoners betalningsstörningar får lämnas ut genom teknisk anslutning eller på något annat elektroniskt sätt, om förutsättningarna enligt 19 § uppfylls.
21 §.Basuppgifter om företag. I det inledande stycket i paragrafen ersätts ”en registrerad” med ”ett företag eller dess representant eller ansvarsperson”. Genom ändringen beaktas det att definitionen av registrerad stryks ur 3 §. Ett företags rättigheter kan utövas också av företagets ansvarsperson eller en annan representant, som ska kunna ge sitt samtycke till att även andra basuppgifter än de som nämns i paragrafen registreras. Utövandet av rättigheter på ett företags vägnar har redan beaktats i det gällande 30 § 1 mom. En definition av termen ”företags ansvarsperson” finns i 3 § 3 punkten. Vad som avses med representant fastställs från fall till fall för varje enskilt företag i enlighet med den lagstiftning som gäller företaget i fråga. Representanten kan i praktiken vara någon av dem som avses i definitionen av ansvarsperson, men utöver dem som uttryckligen nämns i lagen behöver det också finnas en möjlighet till representanter som har rätt att företräda företaget antingen i egenskap av anställd eller på basis av ett avtalsförhållande.
22 §.Anteckning som avviker från myndighetsregister. Paragrafens rubrik ändras så att den bättre motsvarar bestämmelsernas innehåll. I paragrafen utnyttjas det handlingsutrymme som artikel 6.3 i dataskyddsförordningen medger för att anpassa bestämmelserna i artikel 5.1 d i dataskyddsförordningen om personuppgifters riktighet. Enligt artikeln är den registeransvarige skyldig att vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. I paragrafen föreslås det att ”den registeransvarige” ersätts med ”den som bedriver kreditupplysningsverksamhet”. I den svenska språkdräkten i paragrafen föreslås vissa ytterligare språkliga preciseringar.
23 §.Uppgifter om näringsförbud. Paragrafen innehåller bestämmelser om rätten att i ett kreditupplysningsregister registrera uppgifter om personer som har meddelats näringsförbud. Enligt paragrafen får uppgiften också lämnas ut genom teknisk anslutning eller på något annat elektroniskt sätt. I 21 § i lagen om näringsförbud (1059/1985) föreskrivs det om Rättsregistercentralens register, där uppgifterna om gällande näringsförbud är offentliga och var och en har rätt att ur registret få uppgifter om gällande näringsförbud även i form av kopior eller utskrifter. Utlämnandet av uppgifter genom teknisk anslutning är dock begränsat till vissa syften. Den som bedriver kreditupplysningsverksamhet har rätt att genom teknisk anslutning få information för sin egen verksamhet. I kreditupplysningslagen har det inte föreskrivits om någon motsvarande begränsning i fråga om syftena med utlämnande av uppgifter ur näringsförbudsregistret, även om det är fråga om vidareutlämnande av uppgifter. Dessutom är de uppgifter i näringsförbudsregistret som gäller näringsförbud som upphört sekretessbelagda. De får trots sekretessen lämnas ut, men endast för begränsade syften. I kreditupplysningslagen har utlämnandet av dessa uppgifter inte begränsats alls.
Det föreslås att paragrafen ändras så att den som bedriver kreditupplysningsverksamhet får lämna ut uppgift om ett gällande näringsförbud till den som använder kreditupplysningar, om det behövs för ett ändamål som anges i 19 §. Utlämnandet av uppgifter binds således till gällande näringsförbud. Uppgifter om näringsförbud som upphört ska inte få lämnas vidare. Med beaktande av att elektroniskt utlämnande av uppgifter ur det ursprungliga registret är bundet till syftet, bör paragrafen också innehålla en begränsning i fråga om syftet. Eftersom uppgifter om gällande näringsförbud är offentliga och de uppgifter som lämnas ut har specificerats, kan utlämnandet av uppgifter bindas till att uppgifterna behövs för ett ändamål som anges i 19 §.
24 §.Uppgifter om företags betalningsstörningar samt kompletterande uppgifter. I 1 mom. 1 och 2 punkten ersätts ”den registrerade” med ”gäldenären”. I 4 och 6 punkten föreslås motsvarande ändringar. Dessutom görs språkliga justeringar i 1 och 4 punkten. Också i 3 och 4 mom. ersätts ”den registrerade” med ”gäldenären”. Genom ändringarna beaktas det att definitionen av registrerad stryks ur 3 §. I 3 och 4 mom. ersätts dessutom ”den registeransvarige” med ”den som bedriver kreditupplysningsverksamhet” och för tydlighetens skull ”registret” med ”kreditupplysningsregistret”. Vidare görs vissa justeringar i den svenska språkdräkten i momenten för att formuleringarna ska motsvara formuleringarna i lagens 13 § 2 och 3 mom.
26 §.Behandling av personkreditupplysningar om företags ansvarspersoner. I paragrafen föreslås det att ”den som ansvarar för ett kreditupplysningsregister” ersätts med ”den som bedriver kreditupplysningsverksamhet”.
27 §.Information som används för bedömning av företags kreditvärdighet. I 1 mom. föreslås det att ”den registeransvarige” ersätts med ”den som bedriver kreditupplysningsverksamhet”. Dessutom görs en språklig korrigering i momentets svenska språkdräkt.
28 §.Lagringstider för registeranteckningar. Det föreslås att 1 mom. 1 punkten ändras så att uppgifter om konkurs ska avföras inom en månad från det att uppgifterna har avförts ur konkurs- och företagssaneringsregistret, dock senast fem år från konkursens början. Lagringstiden ska vara den kortare av dem. Enligt den gällande bestämmelsen ska uppgifter om konkurs avföras inom fem år från konkursens början, dock inom en månad efter det att uppgifterna om konkursärendet har avförts ur konkurs- och företagssaneringsregistret på grund av att konkursansökan har avslagits, avvisats utan prövning eller avskrivits eller konkursen har lagts ned. Lagringstiden har kunnat förlängas på grund av en ny anteckning, dock så att uppgifterna ska avföras inom tre månader från det att uppgifterna om den senaste konkursanteckningen har avförts ur konkurs- och företagssaneringsregistret. Lagringstiden ska tydligare kopplas till konkurs- och företagssaneringsregistret, dock så att uppgifterna om ett företags konkurs på motsvarande sätt som uppgifterna om en fysisk person ska avföras senast fem år från konkursens början.
I 1 mom. 4 punkten föreslås det att ”den registeransvarige” ersätts med ”den som bedriver kreditupplysningsverksamhet”. I 5 punkten ersätts ”den registrerade” med ”gäldenären”. Genom ändringen beaktas det att definitionen av registrerad stryks ur 3 §.
Lagringstiden för anteckningar om näringsförbud enligt 1 mom. 8 punkten ändras så att en anteckning ska avföras ur kreditupplysningsregistret när näringsförbudet upphör. Ändringen behövs eftersom det samtidigt föreslås att det enligt lagen ska bli förbjudet att lämna ut uppgifter om näringsförbud som upphört.
Paragrafens 2 mom. ändras så att om den som bedriver kreditupplysningsverksamhet har fått besked om att den fordran betalats som en i 24 § 1 mom. 2, 3, 5 eller 7 punkten avsedd anteckning avser, ska uppgiften om betalningsstörning avföras inom en månad från mottagandet av beskedet. Ändringen gäller sådana uppgifter om företags betalningsstörningar som registrerats på följande grunder: uppgifter om betalningsförsummelser som har konstaterats genom en domstols lagakraftvunna dom eller tredskodom eller genom protest av en växel som den registrerade accepterat, enligt ärende specificerade uppgifter om utsökningsärenden i vilka har utfärdats hinderintyg eller lämnats uppgifter om långvarig utsökning, av en skattemyndighet offentliggjorda uppgifter om sådana skattefordringar eller av en försäkringsanstalt lämnade uppgifter om försummelse av en sådan på en lagstadgad försäkring baserad fordran som kan utmätas utan dom eller beslut samt uppgift om en borgenärs betalningsuppmaning med anledning av en ostridig fordran som förfallit till betalning. Momentet ändras dessutom så att lagringstiden för de anteckningar som avses i 1 mom. 1 och 7 punkten inte längre förlängs på grund av en ny anteckning. Detta innebär att lagringstiden för varje anteckning om betalningsstörning som registreras som företagskreditupplysning är oberoende av senare anteckningar.
7 kap. – Rätt att få information samt rättelse av fel. Det föreslås att kapitlet får ny rubrik. Rubriken ”Registrerades rättigheter och tillgodoseendet av dem” i den gällande lagen ger intryck av att regleringen överlappar dataskyddsförordningens bestämmelser om registrerades rättigheter. Den nya rubriken omfattar de bestämmelser i kapitlet som behöver bevaras för att den övriga rätt till information och rättelse av fel som avses i lagen ska tryggas. I lagen ska det fortfarande föreskrivas om företags rätt att få information, om inskränkning av den registrerades rättigheter och om rättelse av andra fel än felaktiga personuppgifter. Ur kapitlet stryks sådana bestämmelser som överlappar bestämmelserna i dataskyddsförordningen.
29 §.Information till registrerade. Paragrafen föreslås bli upphävd. Paragrafens innehåll överlappar delvis artikel 12 i dataskyddsförordningen. Enligt artikeln har den registeransvarige en skyldighet att aktivt informera den registrerade. På motsvarande sätt är syftet med 29 § i kreditupplysningslagen att beakta situationer där den som ansvarar för ett kreditupplysningsregister och den som använder kreditupplysningar aktivt ska ge den registrerade information om behandlingen av kreditupplysningarna. Paragrafen gäller fysiska personer.
Den gällande 29 § innehåller dock närmare bestämmelser än artikel 12 i dataskyddsförordningen. Bestämmelserna i lagen anger närmare i vilka situationer det föreligger en skyldighet att informera. Informationsskyldigheten är i viss mån också mer omfattande. Av dataskyddsförordningen följer inte direkt en skyldighet att informera den registrerade om hur betalningen av en fordran påverkar anteckningarna i kreditupplysningsregistret. Den information som avses i paragrafen kan lämnas till exempel i samband med marknadsföring, i kundbrev eller i standardavtal.
Informationsskyldigheten enligt 1 mom. överlappar delvis den personuppgiftsansvariges skyldighet enligt artikel 14 i dataskyddsförordningen. Den i momentet föreskrivna skyldigheten att sända uppgifter om vilken betydelse betalningen av en fordran har för anteckningarna i kreditupplysningsregistret flyttas till 18 §, där det föreskrivs om lagringstider för anteckningar om betalningsstörningar. Paragrafens 2 mom. innehåller bestämmelser om den informationsskyldighet som åligger dem som använder kreditupplysningar. De som använder uppgifter är inte personuppgiftsansvariga i fråga om kreditupplysningsregistret, men de kan vara personuppgiftsansvariga i fråga om personuppgifter som behandlas i deras egen verksamhet. Momentet handlar om utlämnande av uppgifter för beviljande av kredit eller för de syften som anges i 19 § 2 mom. 4–6 punkten, det vill säga för godkännande eller ställande av borgen eller tredjemanspant, för hyresavtal för en bostadslägenhet eller annan lokal samt för fastställande av avtalsvillkor, om det är fråga om ett avtal som det enligt lag inte är möjligt att vägra ingå. Den första och andra meningen i momentet är samtidigt bestämmelser som hänför sig till genomförandet av direktivet om bostadskrediter och konsumentkreditdirektivet, och bestämmelserna flyttas till lagens 19 §. Det föreslås också att den sista meningen stryks som obehövlig. Det undantag för uppgifter om företagskopplingar som föreskrivs i momentet behöver inte kvarstå. Detta påverkar inte nuläget. I de flyttade bestämmelserna är informationsskyldigheten begränsad till uppgifter som avses i 12 § 1 mom. och uppgifter som avses i 13 §.
30 §.Företags rätt att få information. Den gällande paragrafens rubrik ”Rätt till insyn” överlappar den registrerades rättigheter enligt artikel 15 i dataskyddsförordningen till den del det är fråga om behandling av personuppgifter. Det föreslås att rubriken ersätts med en ny rubrik där endast företags rätt att få information beaktas. Enligt det gällande 1 mom. har ett företag, dess representant eller ansvarsperson rätt att få veta vilka uppgifter om företaget och dess ansvarspersoner som registrerats i ett kreditupplysningsregister samt källan för den registrerade informationen. Den föreslagna bestämmelsen motsvarar nuläget. Med tanke på tillämpningen av lagen behöver det dock klargöras att rätten att få information inte omfattar sådana uppgifter om betalningsstörning som gäller en annan fysisk person och som har behandlats som personkreditupplysningar, om inte uppgiften om betalningsstörning har anknytning till företagsverksamheten.
Med beaktande av att dataskyddsförordningen är direkt tillämplig till den del det är fråga om fysiska personers rätt att få information om registrering av personuppgifter som gäller dem själva, är hänvisningen till dataskyddsförordningen inte nödvändig. För tydlighetens skull ska saken dock beaktas genom en ny informativ hänvisningsbestämmelse. Den föråldrade hänvisningen till personuppgiftslagen stryks som obehövlig. I momentet ersätts också ”den registeransvarige” med ”den som bedriver kreditupplysningsverksamhet”. Dessutom görs vissa ändringar i den svenska språkdräkten i momentet.
Det föreslås att 2 mom. ersätts med ett nytt moment och att 3 mom. upphävs. Det nya 2 mom. innehåller en informativ hänvisningsbestämmelse till dataskyddsförordningen, där det föreskrivs om den registrerades rätt att bli informerad. Bestämmelsen omfattar utöver de rättigheter som ett företags representanter och ansvarspersoner har enligt det gällande 1 mom. även de rättigheter att få viss information om utlämnandet av uppgifter som avses i det gällande 2 och 3 mom. På dessa fall tillämpas bestämmelserna i dataskyddsförordningen som sådana. Eftersom bestämmelser om den registrerades rätt till insyn inte längre ska ingå i kreditupplysningslagen, finns det inte heller behov av några bestämmelser om begränsning av den registrerades rätt till insyn i enlighet med gällande 2 mom. Den registrerades rätt till insyn har i den gällande lagen begränsats till den del det är fråga om rätten att få information om utlämnande av uppgifter om företagskopplingar. Det ska ändå vara möjligt att begränsa rätten till insyn i enskilda fall med stöd av 34 § 1 mom. i dataskyddslagen, om utlämnandet av informationen till exempel kan försvåra utredningen av ett brott. Ordalydelsen i artikel 15.1 c i dataskyddsförordningen innehåller också en möjlighet att ge den registrerade information om de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut. Det föreslås att den begränsning av den registrerades rätt till insyn som föreskrivs i 3 mom. tas in i den nya 30 a §.
30 a §.Begränsning av den registrerades rätt att få information. Den föreslagna paragrafens 1 mom. motsvarar till innehållet 30 § 3 mom. i den gällande lagen. Enligt det föreslagna momentet ska en i dataskyddsförordningen avsedd registrerad inte ha rätt att få information om den till vilken personkreditupplysningar om den registrerade har lämnats ut, om uppgifterna har lämnats ut till en rapporteringsskyldig som avses i penningtvättslagen för fullgörande av utredningsskyldigheten i fråga om avvikande transaktioner eller om uppgifterna har lämnats ut till centralen för utredning av penningtvätt för att förhindra, avslöja eller utreda penningtvätt eller finansiering av terrorism. Genom den föreslagna begränsningen av den registrerades rättigheter beaktas det att rapporteringsskyldiga enligt 4 kap. i penningtvättslagen är skyldiga att till centralen för utredning av penningtvätt rapportera tvivelaktiga transaktioner som omfattas av tystnadsplikt. Det gällande 30 § 3 mom. har ursprungligen fogats till kreditupplysningslagen år 2008. Bestämmelsen gäller enbart utlämnande av uppgifter ur registret hos den som bedriver kreditupplysningsverksamhet för de syften som anges i penningtvättslagen. Till den del det är fråga om den registrerades rätt att få information om sådana utlämnade uppgifter som har registrerats i ett personregister som förs av en rapporteringsskyldig som avses i 2 kap. 1 § i penningtvättslagen ska bestämmelserna i penningtvättslagen tillämpas på den registrerades rätt till insyn. På den registrerades rätt till insyn i uppgifter i det register som förs av centralen för utredning av penningtvätt tillämpas bestämmelserna i lagen om centralen för utredning av penningtvätt (445/2017). Momentet utgör i kreditupplysningslagens gällande 30 § en del av den lagstiftningshelhet som genomförde Europaparlamentets och rådets direktiv (EU) 2015/849 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism.
Den inskränkning i rätten till insyn som föreskrivs i paragrafen är fortfarande möjlig med stöd av artikel 23.1 d i dataskyddsförordningen, för att man ska kunna säkerställa förebyggande, utredning och avslöjande eller lagföring av penningtvätt, av finansiering av terrorism och av förbrott i fråga om penningtvätt eller verkställighet av straffrättsliga påföljder. En lagstiftningsåtgärd som innebär en inskränkning ska dock uppfylla villkoren i artikel 23.2. De ändamål med behandlingen, de kategorier av personuppgifter och den omfattning som begränsningen avser framgår av den föreslagna begränsningsbestämmelsen. För att säkerställa att inskränkningen är proportionerlig gäller den endast personkreditupplysningar som lämnats ut för fullgörande av utredningsskyldigheten i fråga om avvikande transaktioner. De övriga förutsättningarna i artikel 23.2 bedöms vara uppfyllda genom allmänna bestämmelser i dataskyddsförordningen, som i synnerhet gäller datasäkerhet. Det föreslås dock att det till paragrafen för tydlighetens skull fogas ett 2 mom. där det hänvisas till den tillämpliga allmänna lagen, i vilken det föreskrivs att den registrerade ska informeras om orsaken till begränsningen, om detta inte äventyrar syftet med begränsningen, och att den registrerade har möjlighet att utöva sina rättigheter via dataombudsmannen. Detta är motiverat med beaktande av att olika allmänna lagar tillämpas på de instanser som tar emot personuppgifter i de situationer som avses i 1 mom. Centralen för utredning av penningtvätt omfattas av dataskyddslagen avseende brottmål.
Specialbestämmelserna i paragrafen behövs fortfarande, eftersom det i de fall som bestämmelserna gäller inte är möjligt att tillämpa bestämmelserna i 34 § i dataskyddslagen, med stöd av vilka den registrerade inte har i artikel 15 i dataskyddsförordningen avsedd rätt att få tillgång till uppgifter som samlats in om honom eller henne. Enligt 34 § 1 mom. i dataskyddslagen kan den registrerades rättigheter begränsas bland annat om lämnandet av informationen kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott. Bestämmelserna tillämpas oftast på utlämnande av uppgifter till förundersökningsmyndigheter och Skyddspolisen.
31 §.Rättelse av fel. Det föreslås att paragrafens ordalydelse ändras, eftersom den delvis överlappar dataskyddsförordningen, och samtidigt blir den ändrade paragrafen nytt 1 mom. I den gällande paragrafen föreskrivs det om rättelse av fel i ett kreditupplysningsregister eller kreditomdöme, men i bestämmelsen begränsas inte rättelsen av fel till personuppgifter. Enligt den gällande paragrafen ska den registeransvarige utan obefogat dröjsmål rätta felaktig, bristfällig eller annars vilseledande information i ett kreditupplysningsregister eller kreditomdöme samt på begäran av den registrerade underrätta den som fått felaktig personkreditupplysning om rättelsen. Vidare ska den som den registrerade uppgett har fått en felaktig företagskreditupplysning underrättas om rättelsen på den registrerades begäran. Bestämmelsen gäller således utöver registrerade fysiska personer också företag och är central med tanke på den registrerades rättsskydd i fråga om både personkreditupplysningar och företagskreditupplysningar. Därför föreslås det att bestämmelsen till stor del kvarstår för att trygga att den personuppgiftsansvarige också ska rätta andra felaktiga uppgifter som påverkar den registrerades rättigheter än sådana felaktiga personuppgifter som avses i artikel 5.1 d i dataskyddsförordningen. Den personuppgiftsansvarige är enligt dataskyddsförordningen skyldig att antingen rätta eller radera en sådan uppgift på begäran av den registrerade eller på eget initiativ. Det föreslås dock att ur momentet stryks den personuppgiftsansvariges skyldighet, som överlappar bestämmelserna i dataskyddsförordningen, att underrätta den som fått felaktig personkreditupplysning om rättelsen. På sådana fall tillämpas bestämmelserna i artikel 19 i dataskyddsförordningen som sådana. I den första meningen i momentet ersätts ”kreditomdöme” med ”en bedömning av kreditvärdighet”, som är det uttryck som används i 16 och 27 §. I momentets andra mening, som endast gäller företagskreditupplysningar, ersätts dessutom ”den registrerade” med ”företaget eller dess representant eller ansvarsperson”. Genom ändringen beaktas det att definitionen av registrerad stryks ur 3 §. Samtidigt görs en språklig precisering i meningen. Med rättelse av fel avses i 1 mom. rättelse av olika sakfel och tekniska fel. Med rättelse av sakfel avses ändring av ett sådant beslut av en aktör som bedriver kreditupplysningsverksamhet som grundar sig på en klart oriktig eller bristfällig utredning eller på uppenbart oriktig tillämpning av lag eller ett nytt beslut. Ett tekniskt fel avser exempelvis ett skriv- eller räknefel, ett tekniskt betingat fel eller ett annat jämförbart fel. Rättelse av fel omfattar således också sådana fel som har skett vid bedömning av kreditvärdighet och som inte gäller enbart personuppgifter. Paragrafen gäller således andra uppgifter än personuppgifter enligt dataskyddsförordningen. Bestämmelsen ska också i fortsättningen omfatta sådana fel vid behandling av företagskreditupplysningar som inte har ett entydigt samband med behandling av personuppgifter.
Det föreslås att det till paragrafen fogas en hänvisningsbestämmelse (2 mom.), enligt vilken bestämmelser om rättelse av felaktiga personuppgifter finns i dataskyddsförordningen. Personkreditupplysningar och uppgifter om företagskopplingar är sådana personuppgifter som avses i dataskyddsförordningen. En informativ bestämmelse behövs för att precisera förhållandet mellan den föreslagna regleringen och dataskyddsförordningen.
31 a §.Negativt beslut. Det föreslås att till lagen fogas en ny 31 a §, till vilken innehållet i det gällande 32 § 2 mom., som föreslås bli upphävt, överförs till den del det gäller lösningar i fråga om lämnande av sådana uppgifter om företag som registrerats i ett kreditupplysningsregister och ändring av felaktig information. Enligt den föreslagna paragrafen ska den som bedriver kreditupplysningsverksamhet och som vägrar lämna ett företag information enligt 30 § eller vägrar rätta felaktig information enligt 31 § 1 mom. meddela ett skriftligt beslut om saken. Av beslutet ska framgå vilka bestämmelser och fakta vägran baseras på. Till beslutet ska fogas information om rätten att få saken behandlad av dataombudsmannen. På behandlingen av fysiska personers begäranden om rättelse av personuppgifter tillämpas dataskyddsförordningen. Att bestämmelserna bevaras är viktigt för att trygga fysiska personers rättsskydd och företags rättigheter i de fall som inte omfattas av bestämmelserna i dataskyddsförordningen.
32 §.Rätt att använda sitt eget språk. I den gällande paragrafens 1 mom. föreskrivs det om den registrerades rätt att använda sitt modersmål, antingen finska eller svenska, när den registrerade utövar sin rätt till insyn eller framställer en begäran om rättelse av fel. Den registrerade har i Finland direkt med stöd av språklagen (423/2003) rätt att använda sitt eget språk vid kontakt med myndigheterna. Om en offentlig förvaltningsuppgift genom lag eller med stöd av lag hör till en enskild, gäller för denne i uppdraget det som i språklagen föreskrivs om myndigheter. Det föreslås att momentet kvarstår eftersom de som bedriver kreditupplysningsverksamhet inte är myndigheter och den allmänt tillämpliga dataskyddsförordningen och dataskyddslagen inte innehåller några bestämmelser om den registrerades rätt att använda sitt eget språk. Bestämmelserna i kreditupplysningslagen har inte motiverats i förhållande till 124 § i grundlagen. När det gäller kreditupplysningslagen har man inte heller i ljuset av förarbetena bedömt om kreditupplysningsverksamheten kan handla om att en offentlig förvaltningsuppgift uppdras åt en enskild i enlighet med 25 § i språklagen, varvid kraven i språklagen skulle gälla den enskilda. Att kreditupplysningslagen innehåller bestämmelser om den registrerades rätt att använda sitt eget språk kan däremot motiveras med kreditupplysningsverksamhetens konsekvenser för den registrerades rättigheter och rättsskydd. Det föreslås att momentet preciseras så att det hänvisas till en fysisk person som utövar sina rättigheter i egenskap av registrerad i enlighet med dataskyddsförordningen eller sina rättigheter i enlighet med 31 § i kreditupplysningslagen och till ett företag som utövar sina rättigheter i enlighet med 30 eller 31 §. I momentet ändras formuleringen ”i ett ärende som gäller insynsrätt eller rättelse” till ”i egen sak”. Samtidigt ändras den svenska språkdräkten i momentet för att motsvara språklagen, så att formuleringen ”sitt modersmål” ersätts med formuleringen ”sitt eget språk”. Fysiska personer och företag ska ha rätt att i sina ärenden använda sitt eget språk, antingen finska eller svenska, samt att få handlingarna på detta språk. Bestämmelsen avser inte allmänna förfrågningar, utan situationer där ett företag eller en fysisk person behöver få uppgifter om sig själv utlämnade eller rättade. När det gäller företag avses med eget språk den juridiska personens protokollsspråk, om det är finska eller svenska.
Det föreslås att 2 mom. upphävs, eftersom det överlappar bestämmelserna i dataskyddsförordningen och dataskyddslagen. Enligt momentet ska en registeransvarig som vägrar ge den registrerade insynsrätt eller vägrar ändra en registeruppgift ge ett skriftligt beslut, av vilket ska framgå vilka lagrum och fakta vägran baseras på. Samtidigt föreslås det att paragrafens rubrik ändras så att den motsvarar innehållet i 1 mom., som bevaras. Den reglering som behövs tas in i den nya 31 a §.
8 kap. – Tillsyn. Kapitlet innehåller bestämmelser om tillsynen över kreditupplysningsverksamheten, som enligt 33 § utövas av dataombudsmannen. Bestämmelserna i det gällande kapitlet överlappar delvis tillsynen enligt dataskyddsförordningen och dataskyddslagen, och därför föreslås det att paragraferna i kapitlet ses över till vissa delar. Tillsynen enligt kreditupplysningslagen är dock inte till alla delar enbart tillsyn över behandlingen av personuppgifter, utan det är fråga om ett mer omfattande tillsynsansvar. Därför behöver största delen av bestämmelserna kvarstå. Omfattande bestämmelser om tillsynen är också av betydelse särskilt med tanke på tryggandet av den registrerades rättsskydd när det gäller utarbetandet av de bedömningar av kreditvärdighet som avses i 16 §.
Det är inte möjligt att göra samma avgränsning i kreditupplysningslagen som i Sveriges lag, enligt vilken dataskyddsmyndighetens tillsyn inte omfattar sådana kreditinstitut vars behandling av kreditupplysningar grundar sig på ett tillstånd beviljat av en annan myndighet. För det första finns det i Finland tills vidare ingen annan tillsynsmyndighet som utövar tillsyn över behandlingen av kreditupplysningar i enlighet med kreditupplysningslagen. För det andra är de tillåtna ändamålen för användning av kreditupplysningar enligt kreditupplysningslagen betydligt mer omfattande än de ändamål som anges i den svenska lagen. I en del av de gällande bestämmelserna om tillsyn i 8 kap. är det tydligt att de gäller dem som bedriver kreditupplysningsverksamhet, medan det i andra bestämmelser inte har gjorts motsvarande avgränsning. Dataombudsmannen har dock möjlighet att anpassa tillsynsåtgärderna i enlighet med vad som är ändamålsenligt i förhållande till den som använder kreditupplysningar och arten av den behandling som denne utför. De bestämmelser om tillsyn som finns i kreditupplysningslagen behöver till största delen bevaras, särskilt med beaktande av de fall som inte omfattas av bestämmelserna i dataskyddsförordningen och dataskyddslagen.
33 §.Tillsynsmyndighet. Med beaktande av preciseringarna i bestämmelserna om lagens tillämpningsområde föreslås det att paragrafen om tillsynsmyndigheten preciseras på motsvarande sätt. Det gällande uttrycket ”allmän tillsyn” är inexakt. Enligt den föreslagna paragrafen utövas tillsynen över bedrivande av kreditupplysningsverksamhet och annan behandling av kreditupplysningar enligt kreditupplysningslagen av dataombudsmannen. Tillsynen gäller i huvudsak dem som bedriver kreditupplysningsverksamhet och omfattar i fråga om dem både tillsyn över näringsverksamheten och tillsyn över behandlingen av kreditupplysningar. I fråga om kreditgivare och andra användare av kreditupplysningar gäller tillsynen i synnerhet iakttagandet av de förpliktelser som avses i 2 kap. och i 19 § 5 och 6 mom. I fråga om de näringsidkare som nämns i 4 § omfattar tillsynen behandlingen av kreditupplysningar också i sådana fall där kreditupplysningar behandlas i enlighet med den paragrafen. Sådana näringsidkare är exempelvis de aktörer som bedriver indrivningsverksamhet.
34 §.Dataombudsmannens rätt att få information och göra inspektioner. I paragrafen föreskrivs det om dataombudsmannens rätt att för tillsynen över efterlevnaden av kreditupplysningslagen få tillgång till uppgifter om behandling av kreditupplysningar och om dataombudsmannens rätt att ur bötesregistret få de uppgifter som behövs för att utreda tillförlitligheten hos ett tillsynsobjekts styrelseledamöter och ersättare för dem samt verkställande direktör och dennes ställföreträdare. Rätten att få information i enlighet med bestämmelserna är mer omfattande än rätten enligt dataskyddsförordningen och dataskyddslagen att övervaka att behandlingen av personuppgifter är laglig. Paragrafens 1 mom. överlappar delvis bestämmelserna om tillsyn som grundar sig på dataskyddsförordningen och dataskyddslagen. Det föreslås att momentet ändras så att rätten att få information gäller uppgifter som är nödvändiga för tillsynen över bedrivandet av kreditupplysningsverksamhet och över annan behandling av kreditupplysningar. Genom ändringen förtydligas förhållandet mellan tillsynen över näringsverksamheten och tillsynen över behandlingen av personuppgifter. Dessutom kopplas rätten att få information till uppgifternas nödvändighet, med beaktande av att bestämmelsen har formulerats så att den är öppen och de uppgifter som ska lämnas ut inte har specificerats. För att förtydliga förhållandet mellan bestämmelserna och ifrågavarande lagstiftning om behandling av personuppgifter föreslås det dock att det till paragrafen fogas ett nytt 3 mom., enligt vilket bestämmelser om dataombudsmannens rätt att få information och göra inspektioner när det gäller tillsynen över behandling av personuppgifter finns i dataskyddsförordningen och dataskyddslagen. Genom denna informativa hänvisning förtydligas det att 1 mom. tillämpas på erhållande av andra uppgifter. I den svenska språkdräkten i momentet föreslås dessutom vissa språkliga preciseringar.
35 §.Föreskrifter. Med stöd av artikel 58.2 i dataskyddsförordningen har dataombudsmannen bland annat befogenhet att förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt dataskyddsförordningen. Bestämmelsen överlappar den gällande 35 § 1 punkten i kreditupplysningslagen till den del det är fråga om befogenheter i anslutning till tillsynen över behandlingen av personuppgifter. Det föreslås att punkten ändras så att dataombudsmannens har rätt att bestämma att den som bedriver kreditupplysningsverksamhet ska tillgodose ett företags rätt att få information enligt 30 § eller rätta en felaktig uppgift enligt 31 § 1 mom. Den ändrade bestämmelsen ska således inte tillämpas på den registrerades rättigheter enligt dataskyddsförordningen. Bestämmelsen omfattar dock till exempel sådana fall i anslutning till tillämpningen av 16 § som dataskyddsförordningen inte gäller. Det föreslås också att ”den registeransvarige” ersätts med ”den som bedriver kreditupplysningsverksamhet”. Paragrafens 2 och 3 punkt gäller annan tillsyn över kreditupplysningsverksamheten än tillsyn över behandlingen av personuppgifter, och därför föreslås det att de ska kvarstå oförändrade. Dessutom föreslås det i paragrafen ett nytt 2 mom. enligt vilket bestämmelser om dataombudsmannens befogenheter när det gäller tillsynen över behandling av personuppgifter finns i dataskyddsförordningen och dataskyddslagen. Genom denna informativa hänvisningsbestämmelse preciseras förhållandet mellan regleringen och dataskyddsförordningen.
9 kap. – Särskilda bestämmelser. I kapitlet föreskrivs det om registrering av uppgifter i vissa fall, om anmälan om kreditupplysningsverksamhet, om tystnadsplikt, om skadeståndsansvar, om ändringssökande, om hänvisningar till straffbestämmelser i strafflagen och personuppgiftslagen och om kreditupplysningsförseelse.
37 §.Registrering av uppgifter i vissa fall. I paragrafen föreslås det att ”den som ansvarar för ett kreditupplysningsregister” ersätts med ”den som bedriver kreditupplysningsverksamhet”. Dessutom ersätts ”kreditomdömen” med ”fastställande av uppgifter om bedömning av kreditvärdighet” för att motsvara de uttryck som används i 16 och 27 §. I paragrafen görs en teknisk ändring genom att hänvisningen till 30 och 31 § ändras till en hänvisning till 30–31 §, eftersom en del av innehållet i 30 § flyttas till den nya 30 a §. Den svenska språkdräkten i paragrafen korrigeras även i enlighet med den finska språkdräkten så att det hänvisas till 24 § 4 mom.
39 §.Tystnadsplikt. I 1 mom. föreslås det att ”en registrerads” ersätts med ”en fysisk persons eller ett företags”. Genom ändringen beaktas det att definitionen av registrerad stryks ur 3 §.
40 §.Skadeståndsansvar. I 1 mom. ersätts ”en registrerad” med ”en fysisk person eller ett företag”. Genom ändringen beaktas det att definitionen av registrerad stryks ur 3 §. I momentet ersätts dessutom ”den som ansvarar för ett kreditupplysningsregister” och ”den registeransvarige” med ”den som bedriver kreditupplysningsverksamhet”. Ändringen motsvarar nuläget, eftersom registerbestämmelserna enligt förarbetena till lagen gäller bara dem som bedriver kreditupplysningsverksamhet. Det görs även en språklig korrigering i momentets svenska språkdräkt. I 2 mom. i den gällande paragrafen finns en informativ hänvisning till personuppgiftslagen, där det föreskrivs om ersättning av skador som orsakats genom felaktiga personkreditupplysningar och lagstridig behandling av personkreditupplysningar. I artikel 82 i dataskyddsförordningen föreskrivs det om ansvar och rätt till ersättning i fall där en registrerad lidit skada till följd av en överträdelse av förordningen. Bestämmelserna i dataskyddsförordningen är direkt tillämpliga också i de situationer som avses i kreditupplysningslagens gällande 40 § 2 mom. Det föreslås att momentets informativa hänvisningsbestämmelse bibehålls för tydlighetens skull. Enligt den ändring som föreslås i momentet finns bestämmelser om rätten till skadestånd i dataskyddsförordningen, när det gäller skada som uppkommit till följd av en överträdelse av bestämmelserna om behandling av personuppgifter. På skadestånd ska till övriga delar på motsvarande sätt som i nuläget tillämpas skadeståndslagen (412/1974).
42 §.Hänvisning till strafflagen. Den gällande paragrafen innehåller hänvisningar till straffbestämmelser i strafflagen och personuppgiftslagen. Det föreslås att paragrafen ändras så att den beaktar det nya dataskyddsbrottet enligt 38 kap. 9 § i strafflagen. Dessutom preciseras bestämmelserna i fråga om brottsbeteckningarna så att momentets första mening motsvarar ordalydelsen i dataskyddslagen. Dessutom föreslås det att paragrafens rubrik preciseras.
43 §.Kreditupplysningsförseelse. I 1 punkten ersätts ”registrerade” med ”företag”. Genom ändringen beaktas det att definitionen av registrerad stryks ur 3 § och att 30 § ändras. Enligt förslaget ändras den paragrafen så att rätten att få information enligt kreditupplysningslagen endast gäller företag, medan dataskyddsförordningen tillämpas på information till fysiska personer. Dessutom ersätts i 2 punkten för tydlighetens skull ”dataskyddsmyndigheten” med ”dataombudsmannen”. I den svenska språkdräkten i paragrafen föreslås även vissa språkliga preciseringar.