Lov om register over reelle rettighetshavere – kan allmennheten gis tilgang til registrerte opplysninger etter nylig avsagt dom i EU-domstolen?
1. Innledning
Den norske loven om register over reelle rettighetshavere(1)LOV-2019-03-01-2 har som formål å legge til rette for tilgang til opplysninger om hvilke fysiske personer som direkte eller indirekte kontrollerer en virksomhet. Loven inneholder bestemmelser om innhenting av opplysninger om reelle rettighetshavere, og bestemmer at opplysningene skal registreres i et offentlig register der allmennheten skal ha tilgang. Bestemmelsene om registrering har imidlertid ennå ikke trådt i kraft.
I en fersk avgjørelse fra EU-domstolen, avsagt i storkammer 22. november 2022, ble den tilsvarende direktivbestemmelsen om tilgang for allmennheten kjent ugyldig, i lys av EU-charterets bestemmelser om rett til respekt for privatlivet og beskyttelse av personopplysninger. Spørsmålet er hvilken betydning denne dommen får for de norske bestemmelsene om registrering av reelle rettighetshavere og særlig om allmennhetens tilgang til opplysningene.
2. Det norske registeret over reelle rettighetshavere
Formålet med loven er etter § 1 å «legge til rette for rapporteringspliktiges, myndighetenes og andres tilgang til opplysninger om reelle rettighetshavere». En slik åpenhet rundt eierskapet til og kontrollen av juridiske personer eller arrangementer omtales i forarbeidene som «et vesentlig tiltak for å motvirke misbruk av disse enhetene til hvitvasking, terrorfinansiering og annen kriminalitet»(2)Innst. 143 L (2018–2019) side 1..
Reelle rettighetshavere defineres som «de fysiske personene som anses å ha endelig eierskap til eller kontroll over juridiske personer eller juridiske arrangementer, slik som selskaper».(3)Innst. 143 L (2018–2019) side 1.
Lov om register over reelle rettighetshavere ble kunngjort 1. mars 2019. Loven har delvis trådt i kraft, ved at virksomheter som omfattes av loven fra 1. november 2021 ble pålagt å innhente opplysninger over hvilke fysiske personer som er reelle rettighetshavere i den enkelte virksomhet, og på forespørsel å utlevere disse til offentlige myndigheter og rapporteringspliktige etter hvitvaskingsloven. Bestemmelsen i lovens kapittel 3 om registrering av opplysninger om reelle rettighetshavere i et offentlig register har ennå ikke trådt i kraft. Oppgaven med å føre register over reelle rettighetshavere er gitt til Brønnøysundregistrene, som foreløpig ikke har ferdigstilt de nødvendige tekniske løsningene for slik registrering. Det er imidlertid varslet at løsningene vil kunne være klare i løpet av 2023.
Hvitvaskingsutvalget foreslo opprinnelig at registeret som utgangspunkt kun skulle være tilgjengelig for offentlige myndigheter og andre med et legitimt behov for opplysningene, men dette ble på et senere tidspunkt i lovgivningsprosessen endret.(4)NOU 2016:27 side 248 og Prop. 109 L (2017–2018) side 26. Slik bestemmelsen nå er utformet, skal «enhver» ha tilgang til de registrerte opplysningene, med unntak av opplysninger om fødselsnummer og D-nummer, som bare er tilgjengelig for offentlige myndigheter og rapporteringspliktige, jf. forskriften(5)FOR-2021-06-21-2056 § 3-9 fjerde ledd. § 3-9(2).
Det følger videre av § 3-9(4) at registerfører etter søknad kan gjøre unntak fra tilgang til opplysninger dersom det foreligger «en konkret, ekstraordinær og uforholdsmessig risiko for at den fysiske personen søknaden gjelder, utsettes for bedrageri, utpressing, trakassering, vold eller trusler».
Spørsmålet er hvilken betydning denne dommen får for de norske bestemmelsene om registrering av reelle rettighetshavere og særlig om allmennhetens tilgang til opplysningene.
3. Forente saker C-37/20 og C-601/20 LBR
Avgjørelsen i forente saker C-37/20 og C-601/20 LBR omhandler gyldigheten av endringsdirektiv 2018/843 (EUs femte hvitvaskingsdirektiv) artikkel 1 (15) bokstav c, som endret artikkel 30 (5) i direktiv 2015/849 (EUs fjerde hvitvaskingsdirektiv), i lys av retten til respekt for privatlivet og beskyttelse av personopplysninger, jf. EU-charteret artikkel 7 og 8. Endringen innebar at opplysningene i registeret over reelle rettighetshavere skulle være tilgjengelige for enhver – ikke bare de som kunne dokumentere en legitim interesse, slik direktivet ga anvisningen på før endringen.
Sakene gjaldt to prejudisielle foreleggelser fra en kretsdomstol i Luxembourg. På tidspunktet for søksmålene var rettstilstanden i Luxembourg at allmennheten kunne få tilgang til opplysninger om den reelle rettighetshavers navn, statsborgerskap, fødselsdato og bopelsland samt arten og omfanget av de aktuelle rettighetene. En registrert enhet eller reell rettighetshaver kunne i ekstraordinære situasjoner anmode at opplysningene skulle begrenses til nasjonale myndigheter.
Begge sakene gjaldt Luxembourg Business Registers’ (LBR) nektelse av å forhindre at allmennheten fikk tilgang til informasjon om to selskapers reelle rettighetshavere. Kretsdomstolen i Luxembourg mente utleveringen av opplysninger om de reelle rettighetshaverne kunne innebære et uforholdsmessig inngrep i deres rettigheter etter EU-charteret, og stilte derfor en rekke spørsmål til EU-domstolen. Det første, og eneste, spørsmålet domstolen drøfter, er gyldigheten av bestemmelsen om allmennhetens tilgang til registeret over reelle rettighetshavere.
Som et utgangspunkt for vurderingen av gyldighetsspørsmålet legger domstolen raskt til grunn at allmennhetens tilgang til registeret utgjør et alvorlig inngrep i de grunnleggende rettighetene til respekt for privatlivet og beskyttelse av personopplysninger, nedfelt i henholdsvis artikkel 7 og 8 i EU-charteret. Dette begrunnes med at opplysningene gjør det mulig for et potensielt ubegrenset antall personer å finne ut av blant annet den finansielle situasjonen til rettighetshaveren. De mulige konsekvensene av misbruk av personopplysninger forsterkes videre av at opplysningene ikke bare kan konsulteres, men også beholdes og spres. Rettighetshavernes muligheter til å beskytte seg mot misbruk blir dermed vanskelig – «or even illusory».
Domstolen går så over til å vurdere om dette inngrepet i de grunnleggende rettighetene kan rettferdiggjøres, altså om det overholder legalitetsprinsippet, respekterer det vesentlige innhold i rettighetene, ivaretar en allmenn interesse og er egnet, nødvendig og forholdsmessig.
Domstolen kommer, uten særlig inngående drøftelser, til at inngrepet har hjemmel i nedskreven rett og respekterer det vesentlige innholdet i rettighetene som følger av charterets artikkel 7 og 8. Når det gjelder spørsmålet om inngrepet ivaretar en allmenn interesse, er domstolen klar i sin sak; målet om å forhindre hvitvasking og terrorfinansiering er av slik allmenn interesse at det kan rettferdiggjøre selv alvorlige inngrep i rettighetene til respekt for privatliv og beskyttelse av personopplysninger.
Endringen innebar at opplysningene i registeret over reelle rettighetshavere skulle være tilgjengelige for enhver – ikke bare de som kunne dokumentere en legitim interesse.
Det som gjenstår for domstolen å vurdere er dermed om inngrepet er egnet, nødvendig og forholdsmessig. Domstolen ser først på kravet til egnethet, og kommer til at allmennhetens tilgang informasjon om reelle rettighetshavere er egnet til å forebygge hvitvasking og terrorfinansiering. Dette begrunnes i at slik tilgang for allmennheten vil bidra til å skape et miljø som i mindre grad kan anvendes til slike formål.
Domstolen går deretter over til å vurdere om inngrepet er strengt nødvendig for å oppnå det angitte formålet. I denne forbindelse hadde Rådet og Kommisjonen anført at fraværet av en ensartet definisjon av begrepet «legitim interesse», som tidligere var et vilkår for å få tilgang til registeret, hadde medført praktiske vanskeligheter og at dette var bakgrunnen for endringen. Dette kunne ikke løses ved å foreslå en ensartet definisjon av begrepet, ettersom begrepet vanskelig kunne defineres juridisk.
Dette er ikke EU-domstolen enig i. Etter domstolens syn kan ikke vanskeligheter ved å oppstille presise betingelser for tilgang til registeret begrunne at offentligheten får tilgang til dette. Domstolen viser deretter til tilfeller hvor det vil foreligge en slik legitim interesse og konkluderer med at inngrepet i charterets artikkel 7 og 8 ikke er begrenset til det strengt nødvendige.
Ikke nok med det, inngrepet var heller ikke forholdsmessig. Domstolen viser her til at formålet med inngrepet riktignok kan begrunne selv alvorlige inngrep i de grunnleggende rettigheter, men at bekjempelse av hvitvasking og terrorfinansiering hovedsakelig påhviler det offentlige, samt enheter som kredittinstitusjoner og finansieringsinstitutter. En regel som gir enhver tilgang til opplysningene, utgjør et mer alvorlig inngrep enn hva de oppnådde fordeler kan rettferdiggjøre.
Domstolen konkluderer etter dette med at direktivbestemmelsen om at registeret skulle være tilgjengelig for allmennheten, er ugyldig.
En regel som gir enhver tilgang til opplysningene, utgjør et mer alvorlig inngrep enn hva de oppnådde fordeler kan rettferdiggjøre.
4. Konsekvenser av avgjørelsen under norsk rett
Saken vil antakelig få konsekvenser for den norske loven om register over reelle rettighetshavere, som gjennomfører deler av direktiv 2015/849. Bestemmelsen i lovens § 11 om at enhver skal ha tilgang til registrerte opplysninger tilsvarer langt på vei regelen som ble ansett som ugyldig av EU-domstolen. Selv om EU-charteret ikke er en del av EØS-avtalen, kan de grunnleggende rettighetene som ugyldigheten begrunnes i uansett gjenfinnes i norsk rett, både i Grunnlovens kapittel E og Norges internasjonale forpliktelser etter menneskerettsloven, særlig EMK artikkel 8 om retten til respekt for privatliv og familieliv.
Vi ser ikke bort fra at departementet ville vurdert spørsmålet annerledes etter avklaringen i den nye dommen fra EU-domstolen.
Dessuten kan man spørre, slik EU-domstolen kort er inne på, om regelen også er i strid med GDPR. EU-domstolen viser til at GDPR kommer til anvendelse for behandling av personopplysninger som skjer under hvitvaskingsdirektivet. Kretsdomstolen i Luxembourg stilte bl.a. spørsmål om offentlig tilgang til personopplysningene er i samsvar med grunnprinsippene for behandling av personopplysninger i GDPR artikkel 5, nærmere bestemt bestemmelsene om formålsbegrensning i bokstav b, bestemmelsen om dataminimering i bokstav c, bestemmelsen om integritet og konfidensialitet i bokstav f, og om slik tilgang oppfyller bestemmelsen om personvern som standardinnstilling i artikkel 25(2). EU-domstolen besvarte ikke dette spørsmålet direkte, ut over å slå fast at GDPR kommer til anvendelse.
I lovgivningsprosessen foretok departementet en vurdering av lovligheten av en generell bestemmelse om tilgang til registeret i lys av EMK og personvernforordningen.(6)Prop. 109 L (2017–2018) side 26 flg. Departementet konkluderte med at verken EMK eller forordningen innebar skranker for nasjonale myndigheters valg om å gi en slik generell tilgang, og la her vekt på at en slik tolkning «synes dessuten vanskelig å forene med EUs egen regulering på dette området, herunder i revidert fjerde hvitvaskingsdirektiv». Vi ser ikke bort fra at departementet ville vurdert spørsmålet annerledes etter avklaringen i den nye dommen fra EU-domstolen. LBR-avgjørelsen foranlediger uansett en ny vurdering av dette spørsmålet.
Basert på dette er det altså grunn til å tro at den norske bestemmelsen om allmennhetens tilgang til opplysninger om reelle rettighetshavere må endres som følge av avgjørelsen fra EU-domstolen, og at tilgangen til opplysninger om reelle rettighetshavere derfor må begrenses til mottakere som har et dokumentert behov for tilgang. Dette vil typisk være offentlige myndigheter og virksomheter som er underlagt hvitvaskingsloven og som har plikt til å innhente opplysninger om reelle rettighetshavere i forbindelse med gjennomføring av kundetiltak.
Noter
- LOV-2019-03-01-2
- Innst. 143 L (2018–2019) side 1.
- Innst. 143 L (2018–2019) side 1.
- NOU 2016:27 side 248 og Prop. 109 L (2017–2018) side 26.
- FOR-2021-06-21-2056 § 3-9 fjerde ledd.
- Prop. 109 L (2017–2018) side 26 flg.