Veiledning om taushetsplikt
Rundskriv/veiledninger
Publisert: 18. mars 2019
Sist endret: 6. september 2022
Dokumentnummer: 3/2019
Utskriftsversjon
Rundskrivet gjelder for:
- Finansforetak
- Verdipapirforetak
- Forvaltningsselskaper for verdipapirfond
- Forvaltere av alternative investeringsfond
1 Innledning
Veiledningen behandler enkelte problemstillinger vedrørende taushetsplikten om kunders forhold og erstatter Finanstilsynets rundskriv 11/2000 og 10/2007. Den omfatter taushetsplikten etter finansforetaksloven, verdipapirhandelloven (så langt det gjelder verdipapirforetak), verdipapirfondloven og lov om alternative investeringsfond. Fremstillingen avgrenses mot pliktene som følger av personopplysningsloven og andre spesialregler slik som kravene til forsvarlig behandling av innsideinformasjon etter verdipapirhandelloven, se Finanstilsynets rundskriv 4/2015.
2 Generelt utgangspunkt
Foretakene har en vidtgående taushetsplikt om kunders og andres forhold som de blir kjent med under utøvelsen av sin virksomhet. Ordlyden i lovbestemmelsene om taushetsplikt er noe ulik utformet, men innholdet i taushetsplikten er i hovedtrekk lik for foretakene.
Sentrale formål med bestemmelsene er å beskytte kundene, å forhindre at kundeopplysninger misbrukes og å ivareta det overordnede hensynet til allmennhetens tillit til det enkelte foretaket og finansmarkedet som helhet.
Alle opplysninger om kunders og andres (heretter benevnt kunder) personlige og forretningsmessige forhold er omfattet at taushetsplikten. For verdipapirforetak, forvaltningsselskaper og AIF-forvaltere er loven videre ved at taushetsplikten omfatter kjennskap til andres forhold mer generelt. For finansforetak som har tillatelse til å yte investeringstjenester m.m., vil taushetspliktsbestemmelsen i verdipapirhandelloven gjelde for investeringstjenestevirksomheten.
Forretningsmessige forhold omfatter opplysninger om foretaks økonomiske, tekniske eller administrative forhold, forretningsplaner, kontrakter, oppfinnelser og forretningsstrategier.
Plikten til å bevare taushet omfatter tillitsvalgte og ansatte i foretaket samt foretakets oppdragstakere. For verdipapirforetak og fondsforvaltere omfatter taushetsplikten også aksjeeiere med bestemmende innflytelse i foretaket.
Utlevering av taushetsbelagte opplysninger fra foretaket krever samtykke eller lovhjemmel.
Taushetsplikten gjelder selv om opplysningene senere blir offentlig tilgjengelige. Eksempler på dette kan være:
- Hvis det blir offentlig kjent at en person har benyttet tjenester fra et foretak, skal foretaket ikke bekrefte dette med mindre opplysningene stammer fra kunden.
- Selv om opplysninger om en kundes erverv av aksjer blir allment tilgjengelige i aksjeeierregisteret, skal ikke foretaket uttale seg om eierskapet.
Lovbestemt opplysningsplikt går foran taushetsplikten der dette fremgår av eller er forutsatt i opplysningspliktbestemmelsen. Finanstilsynet legger til grunn at dette bare gjelder norske bestemmelser. Ved opplysningsplikt etter utenlandske regler, må det vurderes konkret om den som har krav på opplysninger, kan anses som "vedkommende" for de aktuelle opplysningene.
I punkt 2 omtales hvem som kan anses som uvedkommende i relasjon til taushetsplikten. Unntak fra taushetsplikt er omtalt i punkt 3. Taushetsplikt i konsern omtales i punkt 4, og i punkt 5 knyttes det noen kommentarer til oppdragstakere.
3 Uvedkommende
Taushetsplikten gjelder overfor uvedkommende. I finansforetaksloven fremgår dette uttrykkelig, mens det må innfortolkes i de andre taushetspliktbestemmelsene. Finansforetaksloven har videre konkrete unntak fra taushetsplikten, jf. punkt 3 under.
Hvem som ikke er "uvedkommende", må avgjøres konkret. Vurderingstemaet er om mottakeren har et saklig og naturlig begrunnet behov for opplysningen.
Foretakene må ha et bevisst forhold til hvilke ansatte som til enhver tid skal ha tilgang til taushetsbelagte opplysninger, herunder vurdere om det bør være særlige begrensninger med hensyn til hvilke ansatte som skal ha tilgang til opplysninger om enkelte kunder eller kundegrupper. Verdipapirforetak skal organisere seg og ha rutiner for å hindre spredning av konfidensiell informasjon; se omtalen av særskilte regler om informasjonssperrer i Finanstilsynets rundskriv 4/2015.
Det konkrete oppdraget fra en kunde kan innebære utlevering av kundeopplysninger, som for eksempel:
- Oppdrag om betalingsformidling innebærer at banken utleverer og overfører de kundeopplysningene som er nødvendige for å utføre det aktuelle oppdraget.
- Verdipapirforetak som tilrettelegger emisjoner, gir som ledd i dette opplysninger om de kundene som tegner seg / får tildeling, til utsteder av aksjene. Ved obligasjonsutstedelse kan opplysninger om verdipapirforetakets kunder gis når utsteder har forbeholdt seg rett til innsyn i hvem som har tegnet seg og/eller er tildelt obligasjoner.
Forsikringsforetak kan utlevere opplysninger om skadelidte til skadevolder i den utstrekning det er nødvendig for at skadevolder skal kunne ta stilling til et regresskrav fra foretaket.
Arvinger som har fått formuesfullmakt fra tingretten (eller Oslo byfogdembete), anses ikke som uvedkommende når det gjelder opplysninger om avdødes formuesforhold. Disse kan gis opplysninger om innskudd, gjeld og beholdninger av finansielle instrumenter. Det kan ikke gis opplysninger om gjennomførte transaksjoner før det foreligger skifteattest.
Kausjonister anses ikke som uvedkommende for opplysninger om lånekunden. Hvilke opplysninger som kan gis, fremgår av finansavtaleloven § 62 flg. Utlevering av andre opplysninger forutsetter samtykke fra kunden.
4 Unntak fra taushetsplikt
4.1 Samtykke
Taushetsplikten er ikke til hinder for at opplysninger utleveres etter samtykke fra dem som har krav på taushet. Dette må innfortolkes i de enkelte taushetspliktsbestemmelsene, og det fremgår uttrykkelig av finansforetaksloven. Det kreves et aktivt samtykke.
Ved innhenting av samtykke skal det opplyses om at kunden har et fritt valg, at kunden til enhver tid kan trekke samtykket tilbake og hvordan det i tilfelle skal gjøres.
Det kan ikke innhentes et generelt samtykke fra kunden til å utlevere kundeopplysninger. Det må spesifiseres hvilke opplysninger samtykket vil gjelde og hva opplysningene skal brukes til. Kunden skal også opplyses om hvem opplysningene skal kunne utleveres til. Ved utlevering av kundeopplysninger til andre foretak i samme konsern, skal det fremgå hvilke foretak i konsernet samtykket gjelder og formålet med utleveringen av opplysninger. Samtykke kan ikke være et vilkår for å få en tjeneste.
Finansforetaksloven stiller krav til skriftlig samtykke. Finanstilsynet legger til grunn at skriftlighetskravet innebærer at samtykket må kunne dokumenteres. Så lenge det kan dokumenteres, kan samtykke gis via ulike tekniske løsninger. Det samme gjelder på verdipapirområdet.
4.2 Lovbestemte unntak for finansforetak
Etter finansforetaksloven1) er taushetsplikten ikke til hinder for at et finansforetak "i særlige tilfeller" gir et annet finansforetak kundeopplysninger dersom:
- formålet er å avdekke eller motvirke økonomisk kriminalitet eller annen alvorlig kriminalitet,
- formålet er å gjennomføre kundeoppdrag og oppgjør av krav fra eller mot kunder, eller annen berettiget ivaretakelse av finansforetakets eller dets kunders interesser, eller
- det er nødvendig å meddele opplysninger om kunders helseforhold og andre personopplysninger til et annet finansforetak, unntatt når annet følger av bestemmelser i personopplysningsloven.
Utlevering av slike opplysninger krever styrevedtak i foretaket. Styrets kompetanse kan delegeres. Finanstilsynet mener at et generelt delegeringsvedtak i slike saker må spesifisere hvilke "særlige tilfeller" delegeringen omfatter, herunder hvilke typetilfeller den vil omfatte.
Unntaket knyttet til kriminalitet (punkt 1) kan omfatte opplysninger om svindelforsøk fra en kunde som foretaket forventer at vil forsøke det samme overfor andre finansforetak.
Unntaket knyttet til ivaretakelse av finansforetakets eller dets kunders interesser (punkt 2) vil kunne dekke ulike situasjoner. Unntaket der formålet er "annen berettiget ivaretakelse av finansforetakets eller dets kunders interesser" kan dekke:
- opplysninger som er nødvendige for å ivareta bankers interesser i forbindelse med tapsutsatte kundeengasjementer
- opplysninger som er nødvendige for å foreta konsolidering i kapitalkravsammenheng, eller ved beregningen av høyeste engasjement med en enkeltkunde på konsernbasis
- forsikringssaker der det er mistanke om svik (kan også omfattes av punkt 1)
Adgangen til å utlevere opplysninger om helseforhold og andre personopplysninger (punkt 3), gjelder både ved inngåelse av forsikringsavtale og ved et eventuelt skadeoppgjør. Formålet med unntaket er å motvirke forsikringssvindel.
4.3 Særlig om forvaltningsselskaper, AIF-forvaltere og verdipapirforetak
Som for finansforetak kan det oppstå et behov f.eks. i et verdipapirforetak for å utlevere opplysninger til andre norske foretak når formålet er å avdekke eller motvirke alvorlig kriminalitet. Finanstilsynet legger til grunn at andre foretak i særlig tilfeller vil kunne være ikke-uvedkommende for kundeopplysninger. Dette vil ikke hjemle f.eks. etablering av en "svarteliste" med dårlig betalere. Forutsetningen er at det må dreie seg om alvorlig kriminalitet. Det må for øvrig være et vilkår at mottaker er underlagt tilsyn av Finanstilsynet, er omfattet av en lovbestemt taushetsplikt og at utleveringen av opplysninger for øvrig ikke kan anses betenkelig. Beslutningen om utlevering må kreve en forsvarlig intern behandling.
Verdipapirforetak, forvaltningsselskaper og AIF-forvaltere kan også i andre situasjoner ha et behov for opplysninger fra andre slike foretak eller fra finansforetak i forbindelse med ivaretakelse av foretakenes eller kundenes interesser. Dette gjelder eksempelvis ved verdipapirforetaks investeringsrådgivning, der foretakene har plikt til å gjennomføre en test av om produktet er egnet for kunden. Finanstilsynet legger til grunn at det i tilfelle må foreligge et samtykke fra kunden til å utlevere disse opplysningene. Det må fremgå hvilke foretak og hvilke konkrete opplysninger et slikt samtykke gjelder.
5 Taushetsplikt i konsern
Finansforetaksloven § 18-5 har regler om utveksling av kundeinformasjon mellom konsernforetak. Bestemmelsen gjelder et finansforetaks adgang til å utveksle opplysninger med annet finansforetak i konsernet.
Opplysninger om kundeforhold kan utleveres når det er påkrevd for at styrings-, kontroll- eller rapporteringskrav for virksomheten i finanskonsernet skal kunne oppfylles.2) Eksempler på dette er banker som bruker interne modeller som omfatter engasjementer med kunder som er kunde i flere konsernselskaper. Kundens estimerte sannsynlighet for mislighold (PD) skal være lik for alle engasjementene. Konsernselskapene kan utveksle de kundeopplysningene som er nødvendige for å sikre dette.
Finansforetak har en generell adgang til å utlevere følgende opplysninger om en bestemt kunde til et annet finansforetak i konsernet3):
- kundens navn og organisasjonsnummer
- fødselsdato for privatkunder
- hvordan kunden kan kontaktes (omfatter alle kontaktpunkter kunden har gitt foretaket)
- hvilke typer finansielle tjenester eller produkter foretakets kundeforhold omfatter
De nevnte kundeopplysningene kan registreres i et felles kunderegister. Kunderegisteret kan utlevere de samme opplysningene om en bestemt kunde til andre finansforetak i konsernet, samt opplysninger om hvilke konsernforetak kunden har et kundeforhold til. Finansforetaket kan bare utlevere en personkundes fødselsnummer til et felles kunderegister for finanskonsernet når formålet med registreringen av fødselsnummeret er foretakets administrasjon av kundeforholdet.
Nærmere opplysninger om innholdet av kundeforholdet, som for eksempel innskudd, lån og forsikringsvilkår, omfattes av taushetsplikten og kan ikke utleveres til et konsernkunderegister uten samtykke fra kunden. Kunden kan ikke samtykke til at foretaket registrerer helseopplysninger i forsikringsforhold i et felles konsernkunderegister. Helseopplysninger skal behandles særskilt etter personvernforordningen (sensitive opplysninger).
Selv om Finanstilsynet ser at det kan være et behov for å etablere et felles kunderegister i konsernet, legges det til grunn at de respektive taushetsbestemmelsene ikke åpner for at verdipapirforetak, forvaltningsselskaper og AIF-forvaltere kan utveksle "nøytrale" kundeopplysninger med andre foretak i et finanskonsern, noe som er grunnlaget for et felles kunderegister.
Ved felles sentralt kunderegister må foretaket ha betryggende systemer for autorisasjon og tilgangskontroll til registeret.
6 Særlig om oppdragstakere
Alle oppdragstakere som får taushetsbelagte opplysninger, omfattes av taushetsplikten. Taushetsplikten omfatter bl.a. IKT-konsulenter, innleide takstfolk i forbindelse med skadeoppgjør, eksterne leger og advokater.
Foretakene skal gjøre oppdragstakere kjent med taushetsplikten. Oppdragstakere skal undertegne taushetserklæring før oppdraget påbegynnes. Der oppdragstaker er et foretak, skal taushetserklæring undertegnes av alle foretakets ansatte som gis tilgang til taushetsbelagt informasjon.
Foretakene skal ha kontroll med at oppdragstakeres taushetsplikt overholdes. Oppdragstakere skal bare ha tilgang til opplysninger som er nødvendige for gjennomføring av oppdraget.
______
Noter:
1) § 16-2
2) § 18-5 første ledd
3) § 18-5 annet ledd