Offentlig elektronisk postjournal - ansvarssubjekt ved eventuelle feil
Tolkningsuttalelse | Dato: 04.02.2011 | Justis- og beredskapsdepartementet
Opprinnelig utgitt av: Justis- og politidepartementet
Tolkningsuttalelse fra lovavdelingen
Mottaker:
Fornyings-, administrasjons- og kyrkjedepartementet
Vår referanse:
201002256 EO KRY/OKL
Saksnr. 201002256 EO KRY/OKL
Dato: 12.03.2010
Offentlig elektronisk postjournal – ansvarssubjekt ved eventuelle feil
Det vises til spørsmål om eventuelt erstatnings- og straffansvar i tilknytning til publisering i Offentlig elektronisk postjournal (OEP) i brev 22. januar og 1. februar 2010 fra Fornyings-, administrasjons- og kirkedepartementet (FAD).
1. Kort om OEP-ordningen
I forordet til veilederen for innholdslerevandører til OEP heter det følgende om ordningen:
”Med den nye offentlighetsforskriften er det innført en plikt til å gjøre elektronisk journal tilgjengelig for allmennheten på Internett.
For dette formål er det utviklet en felles elektronisk postjournaltjeneste for alle organer som blir omfattet av den nye plikten. Dette gjelder departementene, statlige direktorater og tilsyn samt fylkesmannsembetene. Disse blir innholdsleverandører til en felles elektronisk journaldatabase med omfattende søkefunksjoner.”
Innholdsleverandørene (departementene mv.) sender selv det aktuelle uttrekket av journalen til OEP. Difi skal være et bindeledd mellom de ulike innholdsleverandørene og ha et daglig administrasjonsansvar for den operative tekniske delen av tjenesten, mens selve driften settes ut til et profesjonelt driftsselskap. FAD har ingen rolle i disse operasjonene.
De vanlige reglene i arkivforskriften § 2-7 om utforming og skjerming av journalen gjelder også for den journalutgaven som blir å finne i OEP. Det følger ellers av offentlighetsforskriften § 7 annet ledd, jf. § 6 fjerde ledd, hvilke opplysninger som ikke skal gjøres tilgjengelige på Internett. Den enkelte innholdsleverandøren er ansvarlig for at alle opplysninger som ikke skal publiseres, skjermes før journalen sendes til OEP-basen.
2. Problemstillinger
Hvis opplysninger som ikke skal ut, likevel går frem av OEP, vil det kunne oppstå spørsmål om erstatnings- og straffeansvar.
Feil kan tenkes i ulike sammenhenger. Det kan være tale om én enkeltinnførsel som f.eks. røper taushetsbelagt informasjon, informasjonen kan finnes ved en sammenstilling innenfor én journal, eller den kan følge av et søk i journaler fra flere innholdsleverandører.
Informasjonen som forårsaker en eventuell skade, kan bestå i personopplysninger eller næringsopplysninger. Publiseringen av personopplysninger faller inn under personopplysningsloven og vil omfattes av regler om straff og erstatning i denne loven. Forholdet til personopplysningsloven vil bli omtalt i punkt 4 nedenfor. Utenfor personopplysningslovens virkeområde vil spørsmålene måtte løses ut fra alminnelig erstatningsrett og strafferett.
Ansvarsspørsmål må i utgangspunktet vurderes konkret i hvert enkelt tilfelle. Vi nøyer oss derfor med å trekke opp noen rammer for vurderingen, og antyde hvilke momenter som kan være relevante.
2. Erstatning
Hovedregelen i norsk rett er at en person eller virksomhet som har voldt en skade ved en uaktsom handling, blir erstatningsansvarlig overfor skadelidte for det tapet som er påført vedkommende (culpa-ansvar). Culpa-ansvaret kan følge av ulovfestet rett eller av lovregler om culpa-ansvar, f.eks. i skadeserstatningsloven § 2-1 om arbeidsgiveransvaret. Aktsomhetsvurderingen blir i all hovedsak den samme i begge tilfeller.
For at erstatning skal bli aktuelt, må det som hovedregel foreligge et økonomisk tap. Det må videre være en påregnelig årsakssammenheng mellom handlingen, her publiseringen, og skaden som fører til det økonomiske tapet. Økonomisk tap kan tenkes, særlig ved rettsstridig publisering av taushetsbelagt næringsinformasjon. Ser man bort fra et eventuelt personlig ansvar hos involverte tjenestemenn, er det staten som er det ansvarlige rettssubjekt. Vi vil imidlertid knytte noen betraktninger til spørsmålet om hvilket organ som kan anses for å ha pådratt staten ansvar.
Også rettsstridig publisering av personopplysninger kan tenkes å føre til økonomisk tap. I slike tilfeller vil det imidlertid i første rekke være erstatningsbestemmelsen i personopplysningsloven som er av interesse, jf. punkt 4 nedenfor.
Et sentralt moment i aktsomhetsvurderingen må antas å være om vedkommende organ har fulgt reglene i lov og forskrifter ved utformingen og kontrollen av journalen. Videre vil det være av betydning om retningslinjene i veilederen for innholdsleverandører er fulgt. Retningslinjene er utformet nettopp med sikte på å unngå at opplysninger som ikke skal ut, likevel går frem av OEP – direkte eller ved sammenkopling av informasjon. Veilederen er distribuert til alle innholdsleverandørene til OEP, og det er holdt kurs hvor retningslinjene har blitt gjennomgått.
Hvis den aktuelle informasjonen fremgår av én journalinnførsel, og skaden skyldes brudd på de ovennevnte reglene, er det mye som taler for at innholdsleverandøren for journalen må være erstatningsansvarlig for et eventuelt tap. Vi antar at det samme må bli løsningen dersom informasjonen enkelt kan hentes frem ved en sammenstilling innenfor én og samme journal.
Spørsmålet blir mer komplisert dersom den aktuelle informasjonen hentes frem ved en sammenstilling av journaler fra to eller flere innholdsleverandører. Vi finner grunn til å presisere at problemstillingen ikke er ny. Man kan etter reglene i offentleglova kreve innsyn i flere journaler, og mange organer legger allerede i dag journalen ut på internett. Innføringen av OEP kan imidlertid gjøre slike søk enklere.
Når flere innholdsleverandører er involvert, vil et sentralt spørsmål være om én kan sies å ha opptrådt uaktsomt. Vurderingen vil bli den samme som ovenfor. Sentrale momenter vil være om vedkommende har fulgt lov, forskrift og retningslinjene i veilederen ved utformingen av journalen. Hvis en av innholdsleverandørene har fraveket rutinene, og det er dette som gjør det mulig å få frem den aktuelle informasjonen, er det denne som må pekes ut som den som har pådratt staten ansvar. Et eksempel illustrerer:
Tre departementer har skjermet navnene som ellers taushetsbelagte opplysninger er knyttet til. Dette er i tråd med retningslinjene i veilederen. Et fjerde departement har latt navnet stå og heller valgt å skjerme dokumenttittelen. Dette gjør at navnet kan kobles sammen med dokumenttittelen, slik at taushetsbelagte opplysninger blir kjent. I en slik situasjon er det naturlig å peke ut det fjerde departementet som det skyldige. Det forutsettes som nevnt at de øvrige vilkårene for erstatning er oppfylt.
Det kan tenkes tilfeller hvor alle innholdsleverandørene har fulgt gjeldende regler og retningslinjer, men hvor man likevel ved en sammenstilling av innførsler i OEP kan få opp informasjon som ikke skal ut. Vår umiddelbare refleksjon er at dette vil være en uunngåelig konsekvens av et legitimt lov- og forskriftsfestet system som staten ikke er erstatningsansvarlig for. Det kan imidlertid ikke utelukkes at man på mer fritt grunnlag vil anta at staten er objektivt ansvarlig.
Noe grunnlag for å anse FAD eller Difi for å ha pådratt staten ansvar ved uaktsomhet, synes ikke å foreligge:
Det er ikke lagt opp til at FAD eller Difi skal ha noe ansvar for å kontrollere journalene som kommer inn til OEP før de legges ut på nettportalen. En slik ordning ville neppe heller latt seg gjennomføre i praksis. Når regler og retningslinjer er fulgt, og ingen av innholdsleverandørene har opptrådt uaktsomt, er det dessuten tvilsomt om FAD eller Difi kunne avverget situasjonen. I slike tilfeller vil man trolig måtte ha kjennskap til den aktuelle saken for å kunne avdekke informasjon som ikke skal gå frem av OEP. FAD har som nevnt publisert og distribuert en egen veileder for innholdsleverandører til OEP og avholdt kurs hvor sentrale regler og retningslinjer har blitt gjennomgått. I tillegg er det gitt regler i offentlighetsforskriften § 6 fjerde ledd og § 7 annet ledd som skal redusere faren for misbruk av OEP-ordningen.
3. Straff
Det følger av straffeloven § 121 første ledd at den som ”forsettlig eller grovt uaktsomt” krenker lovbestemt taushetsplikt, kan straffes med bøter eller fengsel inntil seks måneder. I tillegg kan forsettlig overtredelse eller forsømmelse av tjenesteplikter føre til straff etter straffeloven § 324. Foretaksstraff etter straffeloven § 48 a kan i prinsippet være aktuelt ved begge bestemmelser. For et personlig ansvar er det avgjørende om vedkommende person selv har opptrådt på en måte som tilfredsstiller den objektive og subjektive gjerningsbestemmelsen i straffebudet. For foretaksstraff er det avgjørende om tjenestemenn innen organet alene eller til sammen har opptrådt slik.
4. Særlig om ansvar etter personopplysningsloven
Det rettslige utgangspunktet er at publisering av personopplysninger i OEP er omfattet av reglene i personopplysningsloven. Det følger av personopplysningsloven at den omfatter behandling av personopplysninger som skjer helt eller delvis med elektroniske hjelpemidler, jf. personopplysningsloven § 3 første ledd bokstav a. I lovens forstand regnes alle opplysninger og vurderinger som kan knyttes til en enkeltperson, som personopplysninger, jf. loven § 2 nr. 1. Opplysninger om juridiske personer regnes ikke som personopplysninger i lovens forstand. Begrepet ”behandling av personopplysninger” omfatter ”enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter”, jf. loven § 2 nr. 2.
Et vilkår for behandling av personopplysninger som faller innenfor personopplysningslovens virkeområde, er at det ”er fastsatt i lov at det er adgang til slik behandling”, jf. loven § 8 første ledd. Det samme følger av § 9 første ledd bokstav b dersom det gjelder sensitive personopplysninger, jf. definisjon i loven § 2 nr. 8. Offentlighetsloven § 10 tredje ledd gir slik lovhjemmel for publisering av personopplysninger i OEP.
Ansvaret for behandling av personopplysninger påhviler den som anses som behandlingsansvarlig. Begrepet ”behandlingsansvarlig” er definert i personopplysningsloven § 2 nr. 4 som ”den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes”.
Plikten til å føre journal påhviler det organet som korrespondansen gjelder, jf. arkivforskriften § 2-6 første ledd første og annet punktum, jf. offentlighetsloven § 10 første ledd. Det er også dette organet som skal anses som behandlingsansvarlig etter personopplysningsloven. At organet gjør journalen tilgjengelig på OEP og i den forbindelse setter ut denne oppgaven til et annet organ, innebærer ikke at vedkommende organ opphører å være behandlingsansvarlig etter personopplysningsloven. Dette er nærmere omtalt i forarbeidene til personopplysnings-loven (Ot.prp. nr. 92 (1998-1999) om lov om behandling av personopplysninger (personopplysningsloven) i særmerknadene til personopplysningsloven § 2 nr. 4 på side 103) hvor det heter:
”Selv om den behandlingsansvarlige setter bort behandlingsoppdrag til andre (« outsourcing »), vil man fortsatt være behandlingsansvarlig. Den som utfører arbeid for den behandlingsansvarlige, vil være databehandler, jf § 2 nr 5 i lovforslaget.”
Den registrerte skal således fortsatt ta kontakt med den behandlingsansvarlige når vedkommende for eksempel ønsker å slette personopplysninger eller rette mangelfulle personopplysninger.
Som databehandler regnes ”den som behandler personopplysninger på vegne av den behandlingsansvarlige”, jf. personopplysningsloven § 2 nr. 5. Det organet som står for publisering av journaler på internett i OEP, vil falle inn under dette begrepet.
En databehandler har visse oppgaver og et visst ansvar etter personopplysningsloven, jf. personopplysningsloven § 15:
”En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 13.”
Den behandlingsansvarlige og databehandleren har ulike oppgaver og ulikt ansvar etter personopplysningsloven. Men begge skal sørge for overholdelse av de kravene til informasjonssikkerhet som er nedfelt i personopplysningsloven § 13.
Tilsyn med overholdelse av personopplysningsloven tilligger Datatilsynet, jf. personopp-lysningsloven § 42. I visse tilfeller vil manglende overholdelse av lovens bestemmelser, herunder vilkår fastsatt i en konsesjon etter loven, kunne medføre straff, jf. personopp-lysningsloven § 48. Det følger av disse bestemmelsene at både den behandlingsansvarlige og databehandleren er underlagt tilsyn og kan pådra seg straffansvar.
Det er derimot kun den behandlingsansvarlige som kan pådra seg et lovfestet erstatningsansvar etter personopplysningsloven, jf. loven § 49 første ledd som lyder:
”Den behandlingsansvarlige skal erstatte skade som er oppstått som følge av at personopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den behandlingsansvarliges side.”
Den behandlingsansvarlige har således et skyldansvar med omvendt bevisbyrde. Erstatningen skal som utgangspunkt svare til det økonomiske tapet som skadelidte har blitt påført, jf. loven § 49 tredje ledd. Dersom feilen skyldes forhold som kan tilbakeføres til databehandler, kan det imidlertid bli aktuelt med et etteroppgjør mellom den behandlingsansvarlige og databehandler. Ovennevnte bestemmelse kan ikke forstås som en hindring for at den behandlingsansvarlige kan vende seg mot førstnevnte og kreve regress. Hvordan man statlige organer imellom vil håndtere belastningen ved et eventuelt erstatningsansvar, er et annet spørsmål hvor personopplysningslovens bestemmelser ikke er avgjørende.