4 Overtredelsesgebyr
4.1 Gjeldende rett
Et overtredelsesgebyr kan karakteriseres som et pengebeløp et forvaltningsorgan pålegger en privatperson eller et foretak å betale til det offentlige som følge av overtredelse av en handlingsnorm som er fastsatt i lov eller forskrift, jf. Sanksjonsutvalgets utredning NOU 2003: 15 Fra bot til bedring side 64 og 367.
Datatilsynet har etter gjeldende rett ikke hjemmel til å ilegge overtredelsesgebyr for brudd på personopplysningslovens regler. Personopplysningsloven gir i dag hjemmel for at Datatilsynet kan gi pålegg om at ulovlig behandling skal opphøre eller stille vilkår som må oppfylles for at behandlingen skal være i samsvar med loven, jf. § 46. Pålegget kan følges opp med en tvangsmulkt, som løper inntil pålegget er oppfylt, jf. § 47. Noen overtredelser er straffbare etter § 48. Dette gjelder ikke brudd på grunnkravene for å behandle personopplysninger, jf. §§ 8, 9 og 11.
4.2 Forslaget i høringsnotatet
Fornyings- og administrasjonsdepartementet foreslo i høringsnotatet å innføre en generell bestemmelse om overtredelsesgebyr i personopplysningsloven § 46 etter mønster av forslaget fra Sanksjonsutvalget i NOU 2003:15 side 367. Bakgrunnen for forslaget var at lovens sanksjonsmidler - pålegg, tvangsmulkt og straff - ikke er tilstrekkelige for effektiv håndhevelse av loven.
Fra høringsnotat side 21 hitsettes:
«Personopplysningsloven gir i dag svært begrensede muligheter for tilsynet til å reagere mot overtredelser av grunnvilkårene for å kunne behandle personopplysninger, jf. loven §§ 8, 9 og 11. Slike overtredelser er ikke straffbare, jf. § 48. Begrunnelsen for det var at disse bestemmelsene var svært skjønnsmessig utformet, jf. Ot.prp. nr. 92 (1998-99) side 97. Dette er et hensyn som fortsatt gjør seg gjeldende. I tillegg kommer at samfunnet bør vise tilbakeholdenhet med å bruke straff dersom andre og mindre inngripende sanksjoner er tilstrekkelige, jf. den prinsipielle drøftelsen i Ot.prp. nr. 90 (2003-2004) om lov om straff side 88 flg.
(...)
Pålegg og etterfølgende tvangsmulkt, jf. §§ 46 og 47, vil kunne være egnede reaksjoner i en del tilfeller, særlig dersom det dreier seg om en vedvarende ulovlig behandling av personopplysninger. Datatilsynet kan da pålegge den behandlingsansvarlige å stanse en behandling av personopplysninger som ikke er i samsvar med loven eller forskriftene, og fastsette en tvangsmulkt som løper for hver dag behandlingen fortsetter til tross for pålegget. Pålegg og tvangsmulkt er imidlertid lite hensiktsmessige reaksjoner mot enkeltstående overtredelser av loven.»
Fornyings- og administrasjonsdepartementet la i høringsnotatet vekt på Datatilsynets erfaring med at de med dagens sanksjonsmuligheter i mange tilfeller kommer til kort. Fra høringsnotatet side 21 hitsettes:
«Datatilsynet har ved flere anledninger erfart at en behandlingsansvarlig åpent innrømmer å ha behandlet personopplysninger selv om vilkårene i §§ 8, 9 eller 11 ikke har vært oppfylt, uten at det er mulig for tilsynet å reagere på annen måte enn å påpeke at det er begått et lovbrudd. Det fremstår som lite tilfredsstillende, både for de registrerte og tilsynsmyndigheten, fordi det ofte er brudd på disse bestemmelsene som føles som den største krenkelsen av personvernet for de registrerte. Mangelen på en mulighet til å kunne reagere med rettslige virkemidler mot slike lovbrudd kan i verste fall bidra til å undergrave respekten for loven og tilsynet, og departementet er enig med Datatilsynet i at det er behov for en reaksjon. Reglene i §§ 8, 9 og 11 er en vesentlig del av loven, selv om enkelte av vilkårene er skjønnsmessige.»
I høringsnotatet drøftes det videre om et eventuelt overtredelsesgebyr bør standardiseres (i alle tilfeller utgjøre det samme beløpet), eller om det bør fastsettes i den enkelte sak. Departementets konklusjon var at den siste løsningen er å foretrekke, særlig fordi lovovertredelsene det skal reageres mot, kan tenkes å være av høyst ulik karakter.
Departementet foreslo i høringsnotatet at overtredelsesgebyr skulle innkreves av Statens innkrevingssentral.
4.3 Høringsinstansenes syn
Få høringsinstanser har merknader til forslaget om å innføre overtredelsesgebyr som et nytt sanksjonsmiddel i personopplysningsloven. Flertallet av høringsinstansene som har merknader, er positive til forslaget. Dette gjelder Datatilsynet, Akademikerne, Hovedorganisasjonen for universitets- og høyskoleutdannede (Unio), Juss-Buss, Landsorganisasjonen, Norges Rederiforbund, Norwegian UNIX User Group og Næringslivets sikkerhetsråd.
Til støtte for lovforslaget er det særlig hensynet til effektiv håndheving av loven som trekkes frem. Om behovet for overtredelsesgebyr som et nytt sanksjonsmiddel uttaler Datatilsynet:
«Adgangen til å kreve at den behandlingsansvarlige straffes, eller ilegges et erstatningsansvar, har i praksis vist seg å være begrenset. Dersom brudd på personopplysningsloven er avsluttet etter kort tid, kan det synes som om den behandlingsansvarlige løper liten risiko for sanksjoner. Dette gjelder selv der den behandlingsansvarlige erkjenner å ha brutt loven, ja kanskje enda til har gjort det med hensikt.
Den preventive effekten av straffe- og erstatningsbestemmelsene alene synes å ha vært begrenset, og det er behov for å kunne reagere også overfor lovbrudd som er avsluttet. Tilsynet støtter derfor endringene i personopplysningslovens § 46, som gir tilsynet adgang til å ilegge overtredelsesgebyr også for avsluttede ulovlige behandlinger.»
Hovedorganisasjonen for universitets- og høyskoleutdannede (Unio) og Juss-Buss mener en adgang for Datatilsynet til å ilegge overtredelsesgebyr vil ha en positiv signaleffekt. Unio uttaler:
«Unio støtter forslaget om å innføre et overtredelsesgebyr fordi vi mener det er viktig å slå ned på lovbrudd slik at det gis en signaleffekt som kan bidra til å etablere en kulturendring blant arbeidsgivere og forsiktighet med å skaffe seg innsyn i e-post og andre elektroniske dokumenter som disponeres av arbeidstaker.»
Et mindretall av høringsinstansene som har avgitt realitetsmerknader, mener overtredelsesgebyr ikke bør kunne ilegges mot overtredelser av personopplysningsloven. Dette gjelder Arbeidsgiverorganisasjon for samvirkeforetak, Finansnæringens Arbeidsgiverforening, Handels- og Servicenæringens Hovedorganisasjon og Landbrukets Arbeidsgiverforening. Hovedinnvendingen er at forslaget harmonerer dårlig med de sanksjonsmidlene som ellers er tilgjengelige i arbeidslivet. Finansnæringens Arbeidsgiverforening uttaler:
«Til dels alvorlige brudd på arbeidsmiljøloven er ikke forbundet med tilsvarende virkemiddel, og det vil da være galt om det i forhold til noe som må karakteriseres som mindre alvorlige overtredelser på arbeidslivsområdet, skal innføres overtredelsesgebyr.»
Finansnæringens Arbeidsgiverforening viser også til at det er en mangelfull klageadgang. Foreningen uttaler i denne anledning blant annet at
«Et annet forhold når det gjelder overtredelsesgebyr er at det må være en anke- eller klageadgang. Dette står det intet om i den foreslåtte § 46 til personopplysningsloven og det er ikke foreslått endringer i lovens § 47.
(...)
Dessuten fremkommer det ikke hvilket organ eller instans som i så fall skal være klageorgan.»
Politidirektoratet og Troms politidistrikt tar til orde for at bruk av overtredelsesgebyr mot de overtredelsene av personopplysningsloven som er straffesanksjonert, bør unngås. Troms politidistrikt uttaler:
«At det er få saker som er anmeldt og dermed få saker som har endt med straffereaksjon, begrunner ikke forslaget om [at] Datatilsynet skal gis anledning til å gi overtredelsesgebyr. Det frarådes herfra at Datatilsynet blir gitt en slik fullmakt. Dog bør det være slik at Datatilsynet gir pålegg og gir advarsler ved mindre alvorlige overtredelser av loven. Dersom ulovlig virksomhet ikke opphører til tross for advarsel og pålegg, må forholdet anmeldes til polititet/påtalemyndigheten. Dersom enkeltstående overtredelser er av alvorlig karakter som bør påtales, bør bevissikring, etterforskning og spørsmål om straff overlates til påtalemyndigheten. Det pønale område krever en egen kompetanse hvor kontradiksjon og rettssikkerhet er sentrale begreper. Dette ivaretas best av etater som har dette som sitt sentrale arbeidsområde.»
Enkelte høringsinstanser tar til orde for at et overtredelsesgebyr bør knyttes til brudd på nærmere bestemte regler i personopplysningsloven. IKT-Norge uttaler om dette:
«Overtredelsesgebyr er et inngrep som kan få stor betydning for den enkelte virksomhet. Bestemmelsen innebærer at Datatilsynet gis en kompetanse som innebærer et stort element av forvaltningsskjønn. Rettssituasjonen fremstår som lite forutberegnelig med hensyn til at det kan ilegges gebyr for alle bestemmelser etter loven og forskrifter hjemlet i denne. IKT-Norge kan ikke se at det er nødvendig med så vidtrekkende sanksjonsmulighet, og ber departementet spesifisere nærmere hvilke bestemmelser hvor brudd vil kunne resultere i gebyr.»
En slik tankegang støttes også av Politidirektoratet, som uttaler:
«Det kan alternativt vurderes å plukke ut enkelte typer overtredelser som Datatilsynet skal kunne ilegge overtredelsesgebyr for, som for eksempel overtredelse av noen av de forskriftsbestemmelsene høringssaken ellers gjelder. Slike overtredelser bør da til gjengjeld ikke være straffbare.»
Bare Politidirektoratet har innvendinger mot forslaget om at overtredelsesgebyrets størrelse skal fastsettes i den enkelte sak:
«Begrunnelsen for at overtredelser av §§ 8, 9 og 11 ikke er gjort straffbare tilsier også at overtredelse ikke kvalifiserer for gebyr opp mot 10 ganger grunnbeløpet. Det bør heller vurderes standardsatser, og disse bør være relativt lave. Hvis det ikke vedtas standardsatser, bør betydningen av de momentene som er listet opp i bestemmelsen utredes og beskrives nærmere. Det bør ikke overlates til Datatilsynet alene å utvikle gebyrnivået.»
4.4 Departementets vurdering
Departementet går inn for å endre personopplysningsloven § 46 slik at Datatilsynet får hjemmel til å ilegge overtredelsesgebyr for brudd på personopplysningsloven og forskrifter gitt i medhold av denne. Forslaget er i all hovedsak i tråd med forslaget i høringsnotatet, som fikk støtte av et flertall av høringsinstansene.
Gjeldende sanksjonsmuligheter - pålegg, tvangsmulkt og straff - er etter departementets syn av flere grunner ikke tilstrekkelige virkemidler for en effektiv håndhevelse av loven. For det første er reaksjonene pålegg og tvangsmulkt etter §§ 46 og 47 ikke egnet for enkeltovertredelser av loven. For det andre er de overtredelsene som det i praksis har vist seg størst behov for å kunne ilegge overtredelsesgebyr mot (§§ 8, 9 og 11), i dag ikke straffesanksjonert. Departementet har vurdert om også overtredelser av disse bestemmelsene burde belegges med straff fremfor å gi hjemmel for Datatilsynet til å ilegge overtredelsesgebyr, men har kommet til at det ikke er ønskelig. Departementet fastholder at disse bestemmelsene er så generelt og skjønnsmessig utformet at de ikke bør straffesanksjoneres, jf. Ot.prp. nr. 92 (1998-99) side 97. Etter departementets syn tilsier også de kriminaliseringsprinsipper som er lagt til grunn i arbeidet med straffeloven 2005, jf. Ot.prp. nr. 90 (2003-2004) side 82 flg., at overtredelsesgebyr bør foretrekkes fremfor straff som sanksjon mot overtredelser av personopplysningsloven §§ 8, 9 og 11.
Departementet viderefører forslaget fra høringsnotatet om ikke å knytte overtredelsesgebyret til overtredelser av nærmere utvalgte bestemmelser i personopplysningsloven. Departementet er ikke enig med Politidirektoratet i at hjemmelen bør begrenses til overtredelser som ikke allerede er straffbare. Straff bør bare brukes som en subsidiær reaksjonsform - der andre reaksjoner ikke finnes eller ikke har en tilstrekkelig preventiv virkning, se Sanksjonsutvalgets utredning NOU 2003: 15 side 20 og 144 - 145 samt Ot.prp. nr. 90 (2003-2004) side 92. Etter Sanksjonsutvalgets syn bør det i spesiallovgivning som straffesanksjonerer lovbrudd, også være en alternativ administrativ reaksjonsmulighet, jf. utredningen side 160. Departementet slutter seg til dette synspunktet. Parallelle sanksjonssystemer er for øvrig ikke uvanlig i lovgivningen i dag, jf. NOU 2003: 15 side 158. Sanksjonsutvalgets utredning er nå til oppfølging i departementet.
Etter departementets syn bør en bestemmelse om overtredelsesgebyr ha et minst like bredt virkeområde som lovens straffebestemmelse. Dette er i tråd med Sanksjonslovutvalgets anbefalinger. Departementet foreslår derfor at overtredelsesgebyr skal kunne ilegges ikke bare den behandlingsansvarlige, men enhver som har overtrådt personopplysningsloven eller forskrifter gitt i medhold av denne, jf. tilsvarende angivelse i personopplysningsloven § 48 om straff.
Tilsynsmyndighetene står etter departementets forslag ikke fritt i vurderingen av om overtredelsesgebyr skal ilegges. I tråd med Sanksjonsutvalgets anbefalinger gir lovutkastet føringer for vurderingen. Etter forslaget skal det - både med hensyn til om gebyr skal ilegges og eventuelt hvor stort det skal være - særlig legges vekt på blant annet hvor alvorlig overtredelsen er og om andre reaksjoner blir ilagt overtrederen eller noen som handler på dennes vegne, jf. lovutkastet § 46 annet ledd bokstav a og g. Bokstav g er en presisering av forslaget i høringsnotatet. Det skal også særlig legges vekt på blant annet graden av skyld, jf. bokstav b, og på om det foreligger gjentakelse, jf. bokstav f. Forslaget gir den nødvendige fleksibilitet for Datatilsynet til å vurdere i hvilke situasjoner overtredelsesgebyr er en egnet reaksjonsmåte, og i hvilke tilfeller det anses nødvendig å anmelde forholdet. Samtidig er den enkeltes rettssikkerhet ivaretatt ved at tilsynsmyndighetens skjønn er underlagt klare føringer gjennom de momenter som skal tillegges vekt i vurderingen av om gebyr skal ilegges og hvor stort gebyret skal være.
Departementet viderefører forslaget i høringsnotatet om at overtredelsesgebyret ikke bør være standardisert, dvs. lyde på et bestemt beløp, men fastsettes i den enkelte sak. Departementet legger til grunn at lovovertredelsene og -overtrederne vil kunne være svært ulike. Lovovertrederen kan for eksempel være en fysisk person som behandler personopplysninger, eller et kommersielt foretak med stor omsetning. Også ved utmålingen av gebyret må Datatilsynet følge de retningslinjene som er angitt over. Det innebærer at det skal legges vekt på de momentene som angis i lovutkastet (hvor alvorlig overtredelsen er, graden av skyld osv.).
Enkelte høringsinstanser har vært opptatt av spørsmålet om adgangen til å klage på overtredelsesgebyr ilagt av Datatilsynet. Vedtak som fattes av Datatilsynet med hjemmel i personopplysningsloven § 46, kan etter § 42 fjerde ledd påklages til Personvernnemnda. Når hjemmelen for å pålegge overtredelsesgebyr tas inn i § 46, vil klageadgangen også omfatte slike vedtak. Det er etter dette ikke behov for å foreslå ytterligere endringer av personopplysningsloven for å sikre en klageadgang.
Overtredelsesgebyr er ikke straff i internrettslig forstand, men vil kunne bli ansett som straff etter den europeiske menneskerettskonvensjon (EMK) artikkel 6. For ikke å krenke forbudet mot gjentatt strafforfølgning i EMKs tilleggsprotokoll nr. 7 artikkel 4 bør Datatilsynet derfor bevisst velge om det enten skal anmelde forholdet eller selv reagere med et overtredelsesgebyr, se nærmere Sanksjonsutvalgets drøftelse i NOU 2003: 15 side 160 flg.
Enkelte høringsinstanser har vist til at det ikke finnes tilsvarende sanksjonsmuligheter etter arbeidsmiljøloven eller andre lover av betydning for arbeidslivet. Etter departementets oppfatning er ikke dette avgjørende for om overtredelsesgebyr skal innføres som et nytt generelt sanksjonsmiddel for brudd på personopplysningsloven. Adgangen til å ilegge overtredelsesgebyr vil ikke være begrenset til brudd på bestemmelser om arbeidsgiveres rett til innsyn i ansattes e-post mv.
Departementet foreslår å gi Statens innkrevingssentral en begrenset særnamsmyndighet for innkreving av overtredelsesgebyr, slik det også foreslås for innkreving av tvangsmulkt, se punkt 5.4. Begrunnelsen er hensynet til best mulig utnytting av offentlige ressurser og til effektiviteten av Datatilsynets nye sanksjonsmiddel.