LEI og GDPR: hvilke data publiseres, og hva er offentlig tilgjengelig?

For mange virksomheter virker LEI og personvern som to helt ulike temaer. Det ene handler om identifikasjon i finansmarkedet, det andre om vern av opplysninger. Likevel møtes de raskt i praksis, fordi en LEI-post er laget for å være offentlig tilgjengelig.

Det sentrale spørsmålet er derfor ikke bare om data publiseres, men hvilke data som blir synlige, og når opplysninger i en LEI-post også kan regnes som personopplysninger etter GDPR. Svaret er ganske klart for de fleste selskaper, men mer nyansert for enkeltpersonforetak, små enheter og virksomheter som bruker privat adresse som registrert adresse.

Hvilke LEI-data er offentlige i Global LEI Index

LEI-systemet er bygget som en åpen referansedatabase for juridiske enheter som deltar i finansielle transaksjoner. Når en enhet får tildelt en LEI-kode, blir opplysningene knyttet til denne koden normalt publisert i Global LEI Index. Det betyr at dataene kan søkes opp av banker, meglere, motparter, tilsynsmyndigheter og andre som trenger å verifisere hvem enheten er.

Dette gjelder først og fremst det som gjerne omtales som referansedata om enheten. Målet er å gjøre identifikasjon enklere og mer pålitelig, ikke å publisere private profiler om personer bak virksomheten.

Typiske offentlige LEI-data er:

  • LEI-kode
  • juridisk navn
  • registrert adresse
  • hovedkontoradresse
  • registreringsland og jurisdiksjon
  • registreringsmyndighet og registreringsnummer
  • status for LEI-koden
  • dato for utstedelse, siste oppdatering og neste fornyelse
  • morselskapsinformasjon når den kan publiseres

Det er denne åpenheten som gjør LEI nyttig. Når alle ser samme standardiserte opplysninger, blir kontroll, rapportering og oppgjør enklere på tvers av markeder og land.

Forskjellen mellom LEI nivå 1-data og nivå 2-data

For å forstå hva som er offentlig, er det nyttig å skille mellom to nivåer i LEI-systemet. Nivå 1 beskriver selve enheten. Nivå 2 beskriver eierskaps- eller konsolideringsforhold når slike opplysninger skal rapporteres.

Nivå 1 omtales ofte som virksomhetens “visittkort”. Her finner man navn, adresse, jurisdiksjon og andre grunnopplysninger som svarer på spørsmålet: Hvem er denne juridiske enheten?

Det er på nivå 2 personvernhensyn oftest blir mest synlige.

Kort fortalt kan forskjellen oppsummeres slik:

  • Nivå 1: opplysninger om hvem enheten er
  • Nivå 2: opplysninger om hvem som eier eller konsoliderer enheten
  • Rapporteringsunntak: enkelte relasjoner publiseres ikke fullt ut når regelverket åpner for begrensning

For ordinære aksjeselskaper er dette ofte ukomplisert. For mindre enheter og spesielle strukturer kan nivå 2 være langt mer følsomt, særlig hvis offentliggjøring indirekte peker mot en fysisk person.

Når offentlige LEI-data også kan være personopplysninger etter GDPR

LEI er laget for juridiske enheter, ikke privatpersoner. Det er utgangspunktet, og i de fleste tilfeller fungerer det godt. Et aksjeselskap med forretningsadresse, organisasjonsnummer og tydelig selskapsstruktur vil normalt ha en LEI-post som består av rene virksomhetsdata.

Likevel stopper ikke GDPR-vurderingen der. Etter personvernreglene er det ikke avgjørende hva et felt kalles, men om opplysningen kan knyttes til en identifisert eller identifiserbar fysisk person. Det er her LEI kan få en personverndimensjon.

Dette er særlig aktuelt i noen typiske situasjoner:

  • Enkeltpersonforetak: virksomheten og innehaveren er tett knyttet sammen
  • Privat adresse som registrert adresse: en offentlig LEI-post kan samtidig publisere hjemmeadressen
  • Firmanavn med personnavn: juridisk navn kan i realiteten identifisere en person direkte
  • Eierinformasjon i nivå 2: enkelte relasjoner kan peke mot en fysisk person eller ikke-offentlige strukturer

For enkeltpersonforetak er dette ekstra tydelig. Når foretakets navn, nummer og adresse i realiteten identifiserer innehaveren, kan dataene være personopplysninger selv om de brukes i en virksomhetskontekst. Det samme gjelder små foreninger, stiftelser eller andre enheter som er registrert på en privat boligadresse.

Dette betyr ikke at LEI og GDPR står i konflikt. Det betyr bare at vurderingen må være presis. Offentlig virksomhetsdata kan i enkelte tilfeller også være persondata.

Tabell over vanlige LEI-felter og offentlig tilgjengelighet

En praktisk oversikt gjør det enklere å se hvor personvernspørsmålene faktisk oppstår.

Datafelt i LEINormalt offentlig?Kan være personopplysning?Kommentar
LEI-kodeJaSjeldentIdentifiserer LEI-posten, ikke personen i seg selv
Juridisk navnJaAv og tilGjelder særlig når navnet inneholder fullt personnavn
Registrert adresseJaJaMer følsomt hvis adressen er en privat bolig
HovedkontoradresseJaJaSamme vurdering som for registrert adresse
Jurisdiksjon / landJaSjeldentNormalt ren virksomhetsinformasjon
RegistreringsmyndighetJaSjeldentOffentlig referanseinformasjon
RegistreringsnummerOfteAv og tilKan identifisere eier indirekte i enkelte foretaksformer
LEI-statusJaSjeldentViser om LEI er aktiv, fornyet eller utløpt
Utstedelsesdato og oppdateringsdatoJaSjeldentNormalt administrative metadata
MorselskapsforholdNår relevantJa, i noen tilfellerKan begrenses med rapporteringsunntak

Tabellen viser et viktig poeng: De fleste LEI-felter er offentlige fordi systemet er ment å være åpent. GDPR-spørsmålet oppstår først når opplysningene samtidig sier noe om en konkret person.

Hvilke opplysninger er vanligvis ikke offentlige i en LEI-post

Det er lett å blande sammen to ulike typer data: opplysningene som blir publisert i LEI-registeret, og opplysningene en registreringsagent eller LEI-utsteder trenger for å håndtere søknaden. Disse er ikke det samme.

Side-ved-side-sammenligning av offentlige LEI-felter i Global LEI Index og ikke-offentlige kontakt- og søknadsdata hos registreringsagenten.

Når en virksomhet søker om LEI, vil det ofte behandles kontaktdata for bestiller eller administrator. Det kan være navn, e-postadresse, telefonnummer, fakturainformasjon og korrespondanse om saken. Slike opplysninger er normalt ikke del av den offentlige LEI-posten.

Vanligvis er disse dataene ikke offentlige i Global LEI Index:

  • navn på kontaktperson
  • e-postadresse
  • telefonnummer
  • intern korrespondanse
  • fakturadetaljer
  • betalingsopplysninger
  • kundeadministrative notater
  • eventuell dokumentasjon brukt i valideringen

Dette skillet er viktig i møte med GDPR. En virksomhet kan ha få personvernutfordringer i den offentlige LEI-posten, men fortsatt måtte forholde seg nøye til hvordan kundedata behandles hos registreringsagenten eller utstederen.

GDPR og LEI-data: hvilke begrensninger gjelder

Det finnes ikke et eget, separat GDPR-regelsett som bare gjelder LEI. Vurderingen følger de vanlige personvernprinsippene, kombinert med LEI-systemets egne mekanismer for å begrense enkelte typer offentliggjøring.

I praksis betyr det at behandling av data må ha et saklig formål, være begrenset til det som trengs, være korrekte og oppdaterte, og være tydelig forklart for den som søker. Det er en god modell, fordi LEI-systemet nettopp er laget for presis identifikasjon og standardiserte datafelt.

Noen prinsipper er særlig relevante:

  • Formål: opplysningene skal brukes til identifikasjon av juridisk enhet
  • Dataminimering: det skal ikke publiseres mer enn det systemet krever
  • Korrekthet: feil data bør rettes raskt
  • Åpenhet: virksomheten bør vite hva som blir offentlig
  • Lagringsbegrensning: kundedata hos leverandører må ikke oppbevares lenger enn nødvendig

På nivå 2 finnes det også en tydelig personvernventil. Dersom informasjon om morselskap eller konsolideringsforhold ikke kan publiseres fordi den gjelder fysiske personer eller ikke-offentlige forhold, kan systemet registrere et rapporteringsunntak i stedet for å vise hele relasjonen. Her brukes blant annet kategorier som peker på at relasjonen gjelder en fysisk person eller at opplysningen ikke er offentlig.

Det er en nyttig sikkerhetsmekanisme. Den viser at LEI-systemet er åpent, men ikke uten grenser.

Offentlighet varierer mellom ulike typer juridiske enheter

Et ordinært aksjeselskap vil som regel ha en LEI-post som oppleves helt naturlig offentlig. Selskapsnavn, registrert forretningsadresse og organisasjonsnummer er allerede kjente virksomhetsopplysninger. I slike tilfeller er det liten friksjon mellom LEI og GDPR.

For enkeltpersonforetak er bildet annerledes. Her kan samme datasett ha større personvernvekt, fordi virksomheten er tett bundet til innehaveren. En LEI-post kan da publisere opplysninger som i praksis peker direkte på en privatperson.

Fond, filialer, foreninger og stiftelser havner ofte et sted imellom. Dataene er fortsatt offentlige, men innholdet varierer med juridisk struktur, registreringsform og hvilke relasjoner som faktisk skal rapporteres.

Praktiske vurderinger før virksomheten søker LEI

Før en søknad sendes inn, er det klokt å see på hvilke opplysninger som allerede ligger i offentlige registre, og hvordan disse vil fremstå i en internasjonal LEI-post. Mange blir overrasket over hvor enkelt data kan søkes opp når alt samles på ett sted.

Har virksomheten privat boligadresse som registrert adresse, bør dette vurderes nøye. Gjelder det et enkeltpersonforetak eller en liten forening, kan spørsmålet være ekstra relevant. Da er det lurt å avklare hva som faktisk blir publisert, og om det finnes strukturelle forhold som påvirker nivå 2-rapportering.

En enkel tommelfingerregel er nyttig: Tenk på LEI som en offentlig identitetsprofil for enheten, ikke som et internt register.

Fremhevet sitat om at LEI bør forstås som en offentlig identitetsprofil for virksomheten, ikke som et internt register.

For mange er det også klokt å stille noen tydelige spørsmål før bestilling:

  • Hva blir offentlig: hvilke felter havner i LEI-indeksen
  • Hva blir internt: hvilke kontaktdata brukes bare til saksbehandling
  • Hva kan oppdateres: hvordan feil eller endringer håndteres
  • Hva krever unntak: når nivå 2-data kan begrenses

En registreringsagent med tydelig prosess og tilgjengelig kundestøtte kan gjøre denne avklaringen enklere, særlig for virksomheter med uvanlig struktur eller høy personvernsensitivitet.

Retting, fornyelse og offentlig historikk i LEI-registeret

LEI er ikke en engangsregistrering som bør glemmes etter utstedelse. Koden må fornyes, og dataene skal holdes oppdatert. Det er bra både for markedet og for virksomheten selv, fordi feil eller utdaterte opplysninger svekker verdien av LEI-posten.

Hvis en adresse endres, enheten omorganiseres eller registreringsdata oppdateres, bør dette reflekteres i LEI-informasjonen. Her spiller fornyelse og validering en viktig rolle. Mange bruker også registreringsagent for å gjøre denne delen enklere og raskere.

Samtidig er det verdt å være klar over at offentlig LEI-data ikke alltid kan “slettes” på samme måte som rene kundedata i et internt system. LEI er en offentlig referansestruktur for markedsidentifikasjon, og historikk og statusopplysninger har en funksjon i seg selv. Det gjør skillet mellom retting, oppdatering og full fjerning viktig.

Derfor er det ofte mest presist å tenke slik: Kundedata kan ha én personvernvurdering, mens selve LEI-posten har en annen. Når virksomheter forstår dette skillet tidlig, blir både registrering, fornyelse og intern etterlevelse langt mer forutsigbar.

back to top