Unntak fra rett til informasjon og innsyn i personopplysninger av hensyn til etterforskning mv. av straffbare handlinger
1. Innledning
EUs personvernforordning (EU) 2016/679 (heretter bare «forordningen») er gjennomført i norsk rett gjennom personopplysningsloven § 1. Forordningen gir registrerte personer rett til blant annet å bli informert når personopplysninger om dem samles inn og få innsyn i personopplysningene og informasjon om bruken av dem, jf. artiklene 13, 14 og 15. Etter personopplysningsloven er det imidlertid en rekke unntak fra rett til å motta informasjon og kunne få innsyn.
Et prinsipielt viktig unntak fra retten til informasjon og innsyn, er at «det er påkrevd å hemmeligholde [opplysninger] av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger», jf. personopplysningsloven § 16 første ledd bokstav b. Unntaket favner vidt, og knytter seg ikke til nærmere behandlingsformål, kategorier av behandling, kategorier av personopplysninger eller lagringsperioder.(1)Se Prop. 56 LS (2017–2018) s. 62, jf. forordningen artikkel 23 nr. 2 bokstav a, b og f.
Et prinsipielt viktig unntak fra retten til informasjon og innsyn, er at «det er påkrevd å hemmeligholde [opplysninger] av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger
Reguleringen er i hovedsak en videreføring av personopplysningsloven 2000 § 23 første ledd bokstav b.(2)Prop. 56 LS (2017–2018) s. 62. Unntaket er utformet innenfor rammene av adgangen til å gi unntak etter artikkel 23 nr. 1 bokstav d, som gjelder «forebygging, etterforskning, avsløring eller straffeforfølgning av straffbare forhold».
Bestemmelsen er utvilsomt viktig, siden informasjons- og innsynsrett i noen tilfeller kan spolere avdekking og forfølging av straffbare handlinger, f.eks. hvis mistenkte personer får innsyn i at de overvåkes eller at sak forberedes mot dem.
Under vil jeg gi en redegjørelse for unntakets innhold og rekkevidde.
2. Hvilke handlinger kan gi grunnlag for å benytte unntaket?
Unntaket vil kunne begrunne hemmelighold av opplysninger ved nær sagt enhver handling som skjer for å avdekke eller forfølge straffbare forhold. Personvernrådet synes å uttrykke at forordningen tillater å lage unntak for en rekke ulike aktiviteter, og nevner at art. 23 nr. bokstav d «is relevant for instance in the framework of anti-money laundering or the activities of forensic laboratories».
«Forebygging» vil trolig omfatte de fleste preventive tiltak for å redusere kriminalitet, f.eks. ulike former for logging eller registrering av mistenkelig aktivitet.
I Norge har «etterforskning» tradisjonelt blitt tolket snevert, til etterforskning i straffeprosesslovens forstand.(3)Ot.prp.nr.92 (1998–1999) s. 121. I EU-domstolens dom av 7. november 2013 (C-473/12, Institut professionel des agents immobiliers), synes imidlertid retten å gå langt i å mene at man skal forstå aktivitetene vidt. Retten vurderte om det tilsvarende unntaket i personverndirektivet omfattet en privatdetektiv som opptrer for et profesjonsorgan for å etterforske og avsløre brudd på etiske regler for et lovregulert yrke. EU-domstolen kom til at organet og privatdetektivene som opptrer på vegne av organet, ikke vil være underlagt plikten til å gi informasjon til den registrerte personen, gitt at en stat har implementert et slik unntak ved forebygging, avsløring mv. Jeg antar at denne forståelsen også vil gjelde «etterforskning» og «avsløring» etter dagens personopplysningslov, særlig siden det nå er klart at private behandlingsansvarlige er omfattet av unntaket, se punkt 3 under.
Videre kan nevnes Personvernnemndas sak PVN-2021-02, der person ba om innsyn hos Justis- og beredskapsdepartementet. Departementet behandlet personopplysninger om en mann og hans familie i forbindelse med en internasjonal etterlysningssak og en utleveringssak fra utlandet til Norge. Departementet avviste innsyn blant annet fordi det var det nødvendig å unnta de aktuelle personopplysningene av hensyn til at den pågående straffesaken. Nemnda aksepterte at unntaket kunne forankres i personopplysningsloven § 16 første ledd bokstav b, og viste til at den manglet forutsetninger for å foreta en annen vurdering av unntaket for innsynsrett enn fagmyndigheten i dette konkrete tilfellet.
«Avsløring» av straffbare forhold vil sannsynligvis også favne bredt. Aktuelle aktiviteter er f.eks. sammenkobling av informasjon og deling av data mellom behandlingsansvarlige for å identifisere avvik.
3. Hvilke behandlingsansvarlige kan benytte unntaket?
I utgangspunktet åpner ordlyden i bestemmelsen for at enhver behandlingsansvarlig kan unnta informasjon og avstå fra å gi innsyn begrunnet avdekking av straffbare handlinger mv. I juridisk teori som gjelder personopplysningsloven av 2000 har det imidlertid vært antatt at private aktører, som f.eks. et forsikringsselskap, ikke kan benytte unntaket.(4) Line Coll, i samarbeid med Dag Wiese Schartum, Rettslige spørsmål knyttet til innsamling og bruk av digitale bevis, 2004, s. 22-23. Se også Kommunal- og moderniseringsdepartementet, Informasjonsplikt og innsynsrett etter personopplysningsloven; Veileder for offentlig sektor, 2015, s. 23: «I slike tilfeller følger innsynsretten og informasjonsplikten reglene i straffeprosessloven.» Johansen m.fl. viser til at personverndirektivet synes å knytte unntaksadgang til straffesaker, og at uttalelsene i forarbeidene tilsier at kun politi og kontrolletater kan benytte det.(5)Michal Wiik Johansen, Knut-Brede Kaspersen og Åste Marie Bergseng Skullerud, Personopplysningsloven; Kommentarutgave, 2001, s. 177. I Ot.prp. 92 (1998-1999) s. 121 påpekte departementet at:
«Første ledd bokstav b gjør unntak for opplysninger som det er påkrevet å hemmeligholde av hensyn til å forebygge, etterforske, avsløre eller rettslig forfølge straffbare handlinger. Med etterforskning menes slik etterforskning som reguleres av straffeprosessloven kapittel 18. Bestemmelsen åpner også for unntak for å avdekke straffbare forhold som ledd i andre kontrolletaters virksomhet, jf f.eks toll- og ligningsvesenet.»
I forarbeidene til dagens personopplysningslov ble det imidlertid presisert at unntakets anvendelsesområde ikke «begrenses til nærmere bestemte kategorier av behandlingsansvarlige».(6)Prop. 56 LS (2017–2018) s. 62.
Forordningen artikkel 23 nr. 1 bokstav d, som dagens bestemmelse er utformet innenfor rammene av, er heller ikke begrenset til noen bestemte kategorier av behandlingsansvarlige.
Også Datatilsynet legger til grunn at private aktører kan benytte unntaket, og nevner som eksempel at en arbeidsgiver kan ha behov for å vente med å gi informasjon til registrerte i forbindelse med påståtte straffbare forhold, for eksempel økonomisk kriminalitet. I et slikt tilfelle kan det være tillatt å vente med å gi informasjon til saken er meldt til politiet og etterforsket.(7)Datatilsynet, Unntak frå retten til informasjon og innsyn. Lest 30. august 2022: https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/intern-varsling/unntak-fra-retten-til-informasjon-og-innsyn/
Også Datatilsynet legger til grunn at private aktører kan benytte unntaket, og nevner som eksempel at en arbeidsgiver kan ha behov for å vente med å gi informasjon til registrerte i forbindelse med påståtte straffbare forhold, for eksempel økonomisk kriminalitet.
4. Hva omfattes av «straffbare handlinger»?
Uttrykket «straffbare handlinger» vil trolig samsvare med handlinger (eller unnlatelser) som kan medføre sanksjon som er klassifisert som straff etter nasjonal lov.
I utgangspunktet er det avgjørende om lovgivningen betegner en rettsfølge som straff, jf. bl.a. straffeloven §§ 29 og 30 og militær straffelov § 12. Selv om en reaksjon ikke er straff i henhold til straffeloven mv., kan den likevel bli ansett som «straff» etter Grunnloven § 96. Jeg antar at det er tilstrekkelig at handlingen kan sanksjoneres med «straff» i Grunnlovens forstand. Den tradisjonelle oppfatningen er at lovgivers karakteristikk av en sanksjon normalt er avgjørende også i forholdet til Grunnloven.(8)NOU 2003: 15 side 54 flg. Pønalt formål bak en sanksjon er ikke tilstrekkelig til å klassifisere den som straff etter Grunnloven § 96, jf. Rt. 2014 s. 620 avsnitt 53.
Et særskilt spørsmål er imidlertid om handlinger som kan medføre administrative sanksjoner (eksempelvis overtredelsesgebyrer) som ikke anses som straff i henhold til straffelovene eller Grl. § 96, også kan være omfattet av«straffbare handlinger». Slike sanksjoner kan være«straff» i henhold til praksis fra Den europeiske menneskerettighetsdomstolen.(9)I henhold til Den europeiske menneskerettsdomstols avgjørelse Engel mfl. mot Nederland og etterfølgende praksis, skal det tas utgangspunkt i tre kriterier som skal vektlegges i vurderingen av om en sanksjon anses som «straff»: Klassifikasjonen etter nasjonal rett, den overtrådte handlingsnorms karakter, og innholdet og alvorligheten av reaksjonen. Se også Prop. 62 L (2015– 2016) s. 28.Den europeiske menneskerettskonvensjon med protokoller «skal gjelde som norsk lov», jf. menneskerettsloven§ 2 nr. 1.
Personopplysningslovens formuleringer gir ingen klare svar. Problemstillingen er heller ikke omtalt i praksis, forarbeider eller teori, men bestemmelsens historikk og uttalelser tyder på at lovgiver så for seg at den internrettslige klassifiseringen i lov skulle være førende, jf. forarbeidenes uttalelser om unntak ved etterforskning etter straffeprosessloven.(10)Ot.prp.nr.92 (1998–1999) s. 121. Jeg hadde også en samtale med Datatilsynets veiledningstjeneste, som pekte på dette forhold, selv om en slik kort rådslagning ikke er avgjørende for tilsynets standpunkt om problemstillingen kommer på spissen.
Svaret er imidlertid ikke åpenbart, og artikkel 23 nr. 1 bokstav d (som unntaket er utformet innenfor) åpner for å gjøre unntak i forbindelse med å avdekke og forfølge «criminal offences». Sistnevnte uttrykk vil fange opp også handlinger som medfører administrative sanksjoner, men som ikke formelt er kategorisert som «straff» i et lands nasjonale klassifikasjoner.(11)EU-domstolens avgjørelse i sak C-439/19.
5. Hva menes med at unntak må være «påkrevd»?
Den behandlingsansvarlige kan bare gjøre unntak i den utstrekning det er «påkrevd» i det enkelte tilfellet. Departementet mener kriteriet sørger for at unntaket er i tråd med kravene til nødvendighet og forholdsmessighet i forordningen artikkel 23 nr. 1.(12)Prop. 56 LS (2017–2018) s. 62.
Datatilsynet har i sin praksis påpekt at «uttrykket ”påkrevd” er et skjerpet nødvendighetsvilkår, som tilsier at unntaket skal anvendes med stor forsiktighet».(13)Endelig kontrollrapport fra Datatilsynet som gjelder NAV-direktoratet, saksnr. 12/00116, rapportdato 22. august 2012. Tilsynet har derfor lagt til grunn at «påkrevd» er et «meget strengt vilkår», som «normalt innebærer en skjerpelse sammenlignet med uttrykket ”nødvendig”».(14)Datatilsynets brev av 2. oktober 2009, referansenr. 09/01032-6/CBR. Det må trolig foreligge konkrete holdepunkter for at oppnåelse av formålet ellers blir vanskelig- eller umuliggjort. Antageligvis vil det her være relevant å se hen til hvor stor skaden eventuelt vil bli ved å gi innsyn.(15)Line M. Coll og Claude A. Lenth, Personopplysningsloven – en håndbok, 2000, s. 85. Litt enkelt sagt, vil dette innebære også at ulike former for oppfølging for å håndtere straffbare handlinger, ikke kan legitimere hemmelighold dersom det ikke er grunn til å frykte bevisforspillelse, vitnetilpasning osv.(16)Datatilsynet skriver på sine nettsider at: «Dersom arbeidsgivaren kan undersøkje saka utan å halde varselet hemmeleg, er det ikkje grunnlag for å gjere unntak.»
Tilsynet har derfor lagt til grunn at «påkrevd» er et «meget strengt vilkår», som «normalt innebærer en skjerpelse sammenlignet med uttrykket ”nødvendig”
Et særskilt spørsmål er om bruken av unntaket kan differensieres på bakgrunn av hvem som skal ha informasjon eller begjærer innsyn. Coll og Lenth har antatt at: «Personopplysningsloven må trolig forstås slik at dersom den behandlingsansvarlige mener at dette unntaket er nødvendig, så må det gjennomføres overfor alle som i utgangspunktet har rett til informasjon.»(17)Line M. Coll og Claude A. Lenth, Personopplysningsloven – en håndbok, 2000, s. 85.Selv er jeg tvilende til at det eksisterer et slikt «likhetsprinsipp», og at det sentrale er å vurdere hvorvidt unntaket er «påkrevd» opp mot den enkelte registrerte.
6. Må behandlingsansvarlig gi innsyn og informasjon når det ikke lenger er behov for unntak?
Et særlig spørsmål er om informasjonsplikten aktualiseres på nytt når hensynet til hemmelighold ikke lenger gjør seg gjeldende, for eksempel ved avsluttet etterforskning. Det er tenkelig at behandlingsansvarlig da, når unntaket ikke lenger er påkrevd, må informere den registrerte i samsvar med forordningen artiklene 13 og 14.
Departementet fastslo at et «slikt krav ikke [bør] fastsettes uten nærmere utredning, da det vil kunne innebære mye merarbeid for den behandlingsansvarlige». Det ble derfor ikke foreslått en informasjonsplikt i denne omgang. På bakgrunn av dette, har Jarbekk m.fl. antatt at: «Bokstav b inneholder på samme måte etter bokstav a ikke en plikt for den behandlingsansvarlige til å underrette den registrerte når hensynet til hemmelighold ikke lenger gjør seg gjeldende.»(18)Eva Jarbekk (red.), Personopplysningsloven og personvernforordningen (GDPR) med kommentarer, 2019, s. 68.
Etter mitt skjønn blir en slik konklusjon for enkel, siden den ikke tar hensyn til forordningens systematikk og adgang til å gi unntak for innsyn og informasjon.(19) Det kan synes som om dette er en oppfatning som også støttes av Åste Marie Bergseng Skullerud m.fl., Personopplysningsloven. Lovkommentar, § 16. Unntak fra retten til informasjon og innsyn og plikten til underretning om brudd på personopplysningssikkerheten, Juridika(kopiert 30. august 2022). Forfatterne viser til at: «Det kan … anføres at det ikke er nødvendig å pålegge en slik plikt i nasjonal rett, slik departementet synes å legge til grunn.» Det påpekes videre at «det ikke bør fastsettes videre unntak enn hva som er nødvendig for å ivareta det hensynet som begrunner unntaket», og at «unntaksbestemmelsene skal tolkes med varsomhet, herunder at man skal unngå utvidende tolkning av ordlyden».
Trolig er adgangen til å gjøre unntak for å ivareta hensynene i bestemmelsen begrenset til tidsperioden det er nødvendig («påkrevd»). Personvernrådet har lagt til grunn at unntak forankret i artikkel 23 nr. 1 bokstav d kun vil gjelde for å ivareta hensynene som begrunner unntak fra informasjonsplikten, og at informasjonsplikten (re)aktiveres så snart etterforskningen mv. ikke lenger kan spoleres:(20) Personvernrådet, Guidelines 10/2020 on restrictions under Article 23 GDPR, s. 8.
«[T]he omitted information shall, in accordance with the case law of the CJEU, be provided once and if it is no longer possible for it to jeopardise the investigation being carried out. This means that a specific (tailor-made) data protection notice should be given to the data subject as soon as possible, stating the different rights such as access, rectification etc.»
Dette er også i samsvar med EU-domstolens Opinion 1/15av 26. juli 2017 om utkast til PNR-avtale mellom Canada og EU.
Noter
- Se Prop. 56 LS (2017–2018) s. 62, jf. forordningen artikkel 23 nr. 2 bokstav a, b og f.
- Prop. 56 LS (2017–2018) s. 62.
- Ot.prp.nr.92 (1998–1999) s. 121.
- Line Coll, i samarbeid med Dag Wiese Schartum, Rettslige spørsmål knyttet til innsamling og bruk av digitale bevis, 2004, s. 22-23. Se også Kommunal- og moderniseringsdepartementet, Informasjonsplikt og innsynsrett etter personopplysningsloven; Veileder for offentlig sektor, 2015, s. 23: «I slike tilfeller følger innsynsretten og informasjonsplikten reglene i straffeprosessloven.»
- Michal Wiik Johansen, Knut-Brede Kaspersen og Åste Marie Bergseng Skullerud, Personopplysningsloven; Kommentarutgave, 2001, s. 177.
- Prop. 56 LS (2017–2018) s. 62.
- Datatilsynet, Unntak frå retten til informasjon og innsyn. Lest 30. august 2022: https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/intern-varsling/unntak-fra-retten-til-informasjon-og-innsyn/
- NOU 2003: 15 side 54 flg.
- I henhold til Den europeiske menneskerettsdomstols avgjørelse Engel mfl. mot Nederland og etterfølgende praksis, skal det tas utgangspunkt i tre kriterier som skal vektlegges i vurderingen av om en sanksjon anses som «straff»: Klassifikasjonen etter nasjonal rett, den overtrådte handlingsnorms karakter, og innholdet og alvorligheten av reaksjonen. Se også Prop. 62 L (2015– 2016) s. 28.
- Ot.prp.nr.92 (1998–1999) s. 121. Jeg hadde også en samtale med Datatilsynets veiledningstjeneste, som pekte på dette forhold, selv om en slik kort rådslagning ikke er avgjørende for tilsynets standpunkt om problemstillingen kommer på spissen.
- EU-domstolens avgjørelse i sak C-439/19.
- Prop. 56 LS (2017–2018) s. 62.
- Endelig kontrollrapport fra Datatilsynet som gjelder NAV-direktoratet, saksnr. 12/00116, rapportdato 22. august 2012.
- Datatilsynets brev av 2. oktober 2009, referansenr. 09/01032-6/CBR.
- Line M. Coll og Claude A. Lenth, Personopplysningsloven – en håndbok, 2000, s. 85.
- Datatilsynet skriver på sine nettsider at: «Dersom arbeidsgivaren kan undersøkje saka utan å halde varselet hemmeleg, er det ikkje grunnlag for å gjere unntak.»
- Line M. Coll og Claude A. Lenth, Personopplysningsloven – en håndbok, 2000, s. 85.
- Eva Jarbekk (red.), Personopplysningsloven og personvernforordningen (GDPR) med kommentarer, 2019, s. 68.
- Det kan synes som om dette er en oppfatning som også støttes av Åste Marie Bergseng Skullerud m.fl., Personopplysningsloven. Lovkommentar, § 16. Unntak fra retten til informasjon og innsyn og plikten til underretning om brudd på personopplysningssikkerheten, Juridika(kopiert 30. august 2022). Forfatterne viser til at: «Det kan … anføres at det ikke er nødvendig å pålegge en slik plikt i nasjonal rett, slik departementet synes å legge til grunn.» Det påpekes videre at «det ikke bør fastsettes videre unntak enn hva som er nødvendig for å ivareta det hensynet som begrunner unntaket», og at «unntaksbestemmelsene skal tolkes med varsomhet, herunder at man skal unngå utvidende tolkning av ordlyden».
- Personvernrådet, Guidelines 10/2020 on restrictions under Article 23 GDPR, s. 8.