Forslag til forskrift om opplysningsplikt for transaksjonsdata
1 Innledning
Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser.
Advokatforeningens høringsarbeid er organisert i 29 lovutvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.
Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser og gode lover.
2 Sakens bakgrunn
Vi viser til høringen fra Statistisk sentralbyrå publisert 8. april 2026.
Høringen gjelder forslag til forskrift om opplysningsplikt for transaksjonsdata, hvor det foreslås at banker og store dagligvareaktører skal rapportere transaksjonsdata til Statistisk sentralbyrå for utvikling, utarbeidelse og formidling av offisiell statistikk om forbruk og kosthold.
Denne høringsuttalelsen er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Gry Cathrine Steen Hvidsten (leder), Ole Martin Moe, Henriette Standnes Brochmann, Knut-Erik Jakhelln, Odd Randgaard Kleiva, Eli Karine Navestad, Torunn Hellvik Olsen og Kjetil Wick Sætre, som alle har lang erfaring og kompetanse innenfor det aktuelle rettsområdet.
Advokatforeningen begrenser sine merknader til spørsmål om personvern, informasjonssikkerhet, rettssikkerhet, forholdsmessighet og reguleringens klarhet. Hvorvidt SSB bør utvikle ny forbruks- og kostholdsstatistikk basert på transaksjonsdata, er i stor grad et politisk spørsmål som Advokatforeningen ikke tar stilling til.
3 Overordnede merknader
Advokatforeningen anerkjenner at offisiell statistikk kan ivareta viktige samfunnsformål. Forslaget reiser likevel prinsipielle personvern- og rettssikkerhetsspørsmål fordi det legger opp til omfattende innsamling av detaljerte betalings- og kjøpsdata fra private aktører til en offentlig myndighet.
Forslaget innebærer at SSB skal motta alle gjennomførte debetkorttransaksjoner fra bankene, med blant annet transaksjonstidspunkt, brukersted, kontonummer og beløp. Forslaget innebærer også at dagligvareaktører skal rapportere alle enkelttransaksjoner fra kassapunktene, med blant annet varelinjer, pris, mengde, unik bong-ID, butikknavn, totalsum, betalingsmåte og tidspunkt for handelen.
Advokatforeningen vil fremheve at slike data kan være avslørende også der de ikke direkte gjelder økonomiske forhold. Varelinjer og bongdata kan gi grunnlag for slutninger om blant annet helse, legemiddelbruk, graviditet, prevensjon, kosthold, livssituasjon og andre private forhold. Også rene betalingsdata, som brukersted, tidspunkt og beløp, kan etter omstendighetene avsløre sensitive eller beskyttelsesverdige forhold, for eksempel gjennom gjentatte betalinger til lege, apotek, sykehus, interesseorganisasjoner eller særskilte typer virksomheter. Dette understreker behovet for en grundig vurdering av om inngrepet er nødvendig og forholdsmessig.
Selv om høringsnotatet beskriver flere tiltak som skal redusere personvernulempene, innebærer forslaget at en statlig aktør vil motta svært detaljerte transaksjonsdata fra både banker og dagligvareaktører. Den rettslige vurderingen bør derfor ikke bare knyttes til hvilken sammenstilling SSB planlegger å gjennomføre, men også til hvilke data som faktisk innhentes, hvor detaljerte dataene er, hvor lenge de foreligger i koblingsbar form, og hvilke garantier som er bindende fastsatt.
Advokatforeningen mener at høringsnotatet ikke i tilstrekkelig grad drøfter den samlede risikoen ved slik sentralisert innsamling. Dette gjelder særlig risikoen for formålsutglidning, misbruk, uautorisert tilgang og konsekvenser av utilsiktede hendelser som sikkerhetsbrudd eller cyberangrep.
4 Kommentarer til forslaget
4.1 Virkeområde og pliktsubjekter
Etter Advokatforeningens syn er forskriftens virkeområde og pliktsubjekter ikke tilstrekkelig presist angitt. Forslaget retter seg mot de store, landsdekkende dagligvareaktørene, og høringsnotatet identifiserer NorgesGruppen, Coop Norge, Rema 1000 Norge og Bunnpris som aktører som i dag omfattes.
Samtidig er kriteriene utformet dynamisk, slik at nye aktører eller omorganiserte aktører kan omfattes uten forskriftsendring. Når forskriften etablerer en vidtgående opplysningsplikt med potensielt store personvernkonsekvenser, bør det fremgå klart av forskriften hvilke virksomheter som omfattes, når rapporteringsplikten inntrer, og hvilken prosess som gjelder ved tvil.
Det er også vist til at rapporteringspliktige aktører må ta kontakt med SSB for å avklare når og hvordan rapportering skal gjennomføres. Etter Advokatforeningens syn bør kravene til innsamlingen være tilstrekkelig klare til at både pliktsubjektene og de registrerte kan forutse hva ordningen innebærer.
4.2 Behov for klarere hjemmel og rettssikkerhetsgarantier
Forslaget innebærer innsamling av omfattende transaksjonsdata fra både banker og dagligvareaktører, herunder alle enkelttransaksjoner fra dagligvareaktørenes kassapunkter og alle gjennomførte debetkorttransaksjoner fra bankene.
Advokatforeningen merker seg at høringsnotatet beskriver flere tiltak for å redusere personvernulempene, blant annet forsinket rapportering, utvalgstrekking, sletting, pseudonymisering og skjult sammenstilling.
Personvernkonsekvensene er likevel potensielt så betydelige at sentrale begrensninger og rettssikkerhetsgarantier som et minimum bør fastsettes tydelig i forskrift. Dette gjelder for eksempel regler om tilgangsstyring, logging, sletting, sammenstilling, formålsbegrensning og forbud mot bruk utover de angitte statistikkformålene.
Advokatforeningen stiller også spørsmål ved om en så omfattende innsamling av transaksjonsdata fra banker og dagligvareaktører bør hjemles direkte i lov, med den lovprosessen det innebærer, fremfor i forskrift alene.
Dette er særlig viktig fordi høringsnotatet selv legger til grunn at elektroniske spor fra kvitteringsdata og betalingstransaksjonsdata er særlig inngripende i den private sfære, og at bruken av statistikkloven § 10 må vurderes konkret i hvert enkelt tilfelle.
Advokatforeningen anbefaler derfor at SSB og departementet enten vurderer (1) om forslaget bør fremmes som lovsak, eller (2) at forskriften før vedtakelse suppleres med klarere og mer detaljerte rettslige begrensninger og garantier.
4.3 Tilbakevirkende rapportering og informasjon til de registrerte
Forslaget legger opp til at forskriften trer i kraft 1. august 2026, samtidig som aktører som omfattes ved ikrafttredelsen skal levere data etterskuddsvis fra 1. januar 2026.
Advokatforeningen mener at innsamling av transaksjonsdata for en periode før forskriften er trådt i kraft krever en særskilt begrunnelse. Dette gjelder særlig i lys av kravene til åpenhet, forutberegnelighet og informasjon til de registrerte.
Retten til informasjon er grunnleggende for personvernet. En ordning som innebærer etterfølgende utlevering av transaksjonsdata kan oppleves særlig inngripende for den enkelte, selv om informasjon eventuelt gis før data utleveres fra de rapporteringspliktige til SSB.
Advokatforeningen anbefaler at forskriften ikke gis virkning for transaksjoner gjennomført før ikrafttredelsen, med mindre det gis en tydelig og særskilt begrunnelse for hvorfor dette er nødvendig og forholdsmessig.
4.4 Personvernkonsekvensvurdering og samlet forholdsmessighet
Høringsnotatet legger til grunn at sentrale vurderinger av nødvendighet, forholdsmessighet og ulempereduserende tiltak allerede er foretatt på forskriftsnivå, og at SSBs personvernkonsekvensvurdering i hovedsak vil beskrive hvordan forskriftens krav skal gjennomføres i praksis.
Advokatforeningen mener at personvernkonsekvensene ved forslaget tilsier at personvernkonsekvensvurderingen bør foreligge før behandlingen starter, og at hovedpunktene bør gjøres offentlig tilgjengelige så langt dette kan skje uten å svekke informasjonssikkerheten.
Det bør også foretas en samlet forholdsmessighetsvurdering av den kumulative personvernulempen ved innsamling av både betalingsdata og kvitteringsdata, herunder risikoen for at slike data kan gi grunnlag for slutninger om helse, livssituasjon, bevegelsesmønstre, organisasjonstilknytning og andre private forhold. Vurderingen bør uttrykkelig behandle risikoen ved sentralisert datainnsamling, formålsutglidning, uautorisert tilgang og konsekvenser ved sikkerhetsbrudd. Vurderingen bør også omfatte om ordningen kan ha en nedkjølende effekt på hva enkeltpersoner velger å kjøpe, hvor de velger å handle, eller om de avstår fra lovlige private disposisjoner fordi transaksjonene kan bli rapportert til en offentlig myndighet.
5 Oppsummering
Advokatforeningen anbefaler at forslaget bearbeides før forskriften vedtas. Advokatforeningen anbefaler særlig at:
- den samlede forholdsmessighetsvurderingen styrkes. Særlig vekt må legges på risikoen ved sentralisert innsamling av detaljerte betalings- og kjøpsdata,
- sentrale personvern- og rettssikkerhetsgarantier tas tydeligere inn i forskriftsteksten,
- forskriften presiserer formålsbegrensning og forbud mot bruk eller kobling utover de angitte statistikkformålene,
- virkeområdet og pliktsubjektene klargjøres,
- tilbakevirkende rapportering fra 1. januar 2026 vurderes på nytt, og
- personvernkonsekvensvurdering og hovedpunktene i risikovurderingen foreligger før behandlingen starter.
Advokatforeningen stiller i tillegg spørsmål ved om en så omfattende og prinsipielt inngripende datainnsamling bør behandles som lovsak, fremfor å hjemles i forskrift alene.
Vennlig hilsen
Siri Teigum Merete Smith
leder generalsekretær