14 Sanksjoner
14.1 Gjeldende rett
Etter pregl § 8 har Datatilsynet adgang til å gi den registeransvarlige pålegg om å rette, slette eller supplere et personregister som inneholder uriktige eller ufullstendige opplysninger, opplysninger som det ikke er adgang til å registrere eller opplysninger som ikke lenger har betydning. Tilsynet har ikke anledning til å følge opp gjennomføringen av pålegget med virkemidler som f eks tvangsmulkt.
Personregisterloven § 40 pålegger objektivt erstatningsansvar for kredittopplysningsforetak som meddeler opplysninger i strid med lovens regler eller opplysninger som viser seg uriktige eller åpenbart misvisende. Erstatningsansvaret omfatter påvist økonomisk tap. For andre virksomheter enn kredittopplysningsforetak finnes det ingen erstatningsregel i personregisterloven, slik at det er det alminnelige ulovfestede uaktsomhetsansvaret som gjelder. Personregisterloven gir ikke grunnlag for å kreve erstatning for skade som ikke har resultert i noe økonomisk tap. Oppreisningsregelen i skadeserstatningsloven § 3-6 gjelder bare ved ærekrenkelser og krenking av privatlivets fred slik disse begrepene brukes i straffeloven §§ 246 flg og 390.
Personregisterloven § 38 setter straff for forsettlige og uaktsomme overtredelser av visse nærmere angitte bestemmelser i loven. Begrunnelsen for at ikke alle lovens bestemmelser omfattes av straffetrusselen, er at enkelte av dem ble ansett for å være for skjønnsmessige til at overtredelser burde straffes, jf Ot prp nr 2 (1977-78) s 79. § 38 retter seg mot enhver som overtrer loven, både ansatte, innleide konsulenter og andre. Med hjemmel i straffeloven § 48 a kan man også bøtelegge foretak som overtrer straffebestemmelsen i personregisterloven § 38. Foretaket kan videre fradømmes retten til å utøve virksomheten eller forbys å utøve den i visse former.
14.2 Internasjonale regler
Artikkel 24 i EU-direktivet pålegger medlemsstatene å fastsette sanksjoner for overtredelse av de nasjonale bestemmelser som gis til gjennomføring av direktivet. Bestemmelsen har som formål å sikre at direktivet gjennomføres i fullt omfang, men den enkelte stat står relativt fritt til selv å avgjøre hvilke sanksjoner som bør benyttes.
Artikkel 23 nr 1 i direktivet pålegger medlemsstatene å gi regler om at enhver som har lidt skade som følge av ulovlig behandling av personopplysninger, skal ha rett til erstatning fra den behandlingsansvarlige for den skade som er voldt. Det åpnes samtidig i artikkel 23 nr 2 for at den behandlingsansvarlige helt eller delvis kan fritas for ansvar dersom han godtgjør at han ikke er skyld i den begivenheten som førte til skaden. Det er naturlig å oppfatte direktivet slik at det oppstiller en erstatningsplikt bygget på et skyldansvar med omvendt bevisbyrde.
Det synes å være et åpent tolkningsspørsmål om direktivbestemmelsen også omfatter erstatning for skade som ikke resulterer i økonomisk tap. I medhold av enkelte forarbeider til direktivet kan det hevdes at art 23 forplikter til å innføre en regel som også gir rett til å kreve erstatning for ikke-økonomisk tap.
14.3 Justiskomiteens anmodning i Innst S nr 80 (1991-92 )
I Innst S nr 80 (1991-92) fra justiskomiteen om personvern, erfaringer og utfordringer og om Datatilsynets årsmelding for 1990 ber komiteen regjeringen vurdere om det er ønskelig å utvide den objektive erstatningsregelen for kredittforetak til andre typer registre og om det bør innføres en egen lovhjemmel for oppreisningserstatning i personregisterloven.
14.4 Utvalgets forslag
Utvalget har med bakgrunn i justiskomiteens anmodning og bestemmelsene i EU-direktivet vurdert hvilke sanksjoner som skal kunne ilegges når den nye loven eller vedtak som fattes i medhold av denne ikke blir etterlevd.
14.4.1 Sivilrettslige sanksjonsmidler
Utvalget går inn for å utvide Datatilsynets adgang til å gi pålegg overfor de behandlingsansvarlige og foreslår en bestemmelse som gir Datatilsynet generell hjemmel til å gi pålegg om at behandling av personopplysninger i strid med lovens regler skal opphøre eller bare kunne fortsette på nærmere bestemte vilkår, jf § 40 i utvalgets lovutkast.
Etter utvalgets oppfatning er det også behov for å sikre Datatilsynets muligheter for å sikre at påleggene blir etterlevd. Utvalget viser da til at strafforfølgning er ressurskrevende og ofte kan ta lang tid, mens erstatningssanksjonen forutsetter at skadelidte selv gjør sitt krav gjeldende. Utvalget foreslår på denne bakgrunn at Datatilsynet får kompetanse til å ilegge en løpende tvangsmulkt når dette er nødvendig for å sikre at pålegg som er gitt i medhold av loven om behandling av personopplysninger blir etterlevd. Vedtak om tvangsmulkt vil være et enkeltvedtak som kan påklages til Personvernnemnda. Vedtaket skal også være tvangsgrunnlag etter tvangsloven § 7-2 bokstav e.
14.4.2 Erstatning
Utvalget drøfter om det skal være et objektivt eller subjektivt erstatningsansvar når noen påføres økonomisk tap som følge av at personopplysninger behandles i strid med loven. Utvalget går inn for en mellomløsning der den behandlingsansvarlige skal være ansvarlig for økonomisk tap som han forvolder, med mindre han eller hun godtgjør at vedkommende ikke har utvist uaktsomhet (skyldansvar med omvendt bevisbyrde). For kredittopplysningsforetak foreslår imidlertid utvalget at det på samme måte som idag skal være et objektivt ansvar. På s 123 i utredningen begrunner utvalget forslaget slik:
«Objektivt erstatningsansvar blir tradisjonelt benyttet der det er en stadig, typisk og ekstraordinær skaderisiko ved virksomheten. I slike tilfelle kan virksomheten innkalkulere ansvaret som en driftsutgift, og objektivt ansvar kan ha en gunstig preventiv effekt.
For de fleste typer virksomheter som omfattes av loven er det lite naturlig å tale om at behandlingen av personopplysninger i seg selv utgjør en stadig, typisk og ekstraordinær skaderisiko. Behandlingen er et nødvendig ledd i en«hovedvirksomhet», og ikke noe mål i seg selv. Et unntak er kredittopplysningsvirksomhet, hvor misbruk av personopplysninger nettopp utgjør en slik risiko.»
Utvalget uttrykker tvil med hensyn til spørsmålet om det bør innføres en særlig regel som gir erstatning for ikke-økonomisk tap (oppreisning). Om dette heter det nærmere på s 124 i utredningen:
«Utvalget er i tvil om det er behov for en oppreisningsregel. Erstatningsregler har tradisjonelt både et preventivt og reparerende formål. Om det av preventive grunner er behov for en oppreisningsregel, kommer blant annet an på hvor effektivt en mener at de eksisterende sanksjonsmidlene virker. Den objektive erstatningsregelen i personregisterloven § 40 er svært sjelden brukt, selv om den kan ha virket som«et ris bak speilet». Straffereglene har heller ikke blitt mye brukt. Den mest effektive sanksjonen i dag er trolig at Datatilsynet kan trekke tilbake personregisterkonsesjonen. Om en oppreisningsregel vil styrke prevensjonen utover dette, kommer blant annet an på hvor stor risiko det er for at det rettes krav mot en, og hvor alvorlig en venter at reaksjonen vil bli.
For den skadelidte vil en oppreisningssum til en viss grad kunne virke reparerende, selv om det ikke alltid vil være like passende å bøte skaden med penger.
En fare med en oppreisningsregel kan være at oppreisningssummen blir meget høy, med de uheldige virkninger dette kan ha. Sett hen til de gjennomgående lave beløp norske domstoler har tilkjent i oppreisningsaker hittil, er det imidlertid liten grunn til å frykte en slik utvikling. Og under enhver omstendighet kan det dersom det er behov lovfestes regler om maksimalt oppreisningsbeløp.»
Etter nøye overveielse går utvalget inn for å frarå at det innføres en oppreisningsregel i den nye loven om behandling av personopplysninger. Utvalget legger da avgjørende vekt på at det er svært vanskelig å finne et dekkende økonomisk uttrykk for denne type skade som ikke har ført til noe økonomisk tap. Etter utvalgets oppfatning vil det fra skadelidtes synsvinkel jevnt over være mer tilfredsstillende dersom skadevolderen pålegges å sørge for at skaden blir minst mulig. Utvalget går derfor inn for at gjenopprettingsplikten for skadevolderen i personregisterloven § 8 første ledd siste punktum videreføres og videreutvikles, slik at skadevolderen har plikt til å sørge for at feilen så vidt mulig ikke får betydning for den registrerte, jf § 25 første ledd i utvalgets lovutkast.
14.4.3 Straff
Utvalget går inn for å sette straff for overtredelse av en rekke av reglene i forslaget til ny personopplysningslov, jf § 42 i utvalgets lovutkast. Enkelte mer generelle regler om behandling av personopplysninger anser utvalget for å være for lite presise til å belegges med straff, jf s 122 i utredningen. Både forsettlige og uaktsomme overtredelser skal kunne straffes, og også medvirkning vil rammes. Etter utvalgets oppfatning bør strafferammen i større grad enn i dag tilpasses straffverdigheten av overtredelsen. Utvalget foreslår derfor at straffen under særdeles skjerpende omstendigheter kan settes til fengsel inntil to år, mens strafferammen ellers er ett år.
14.5 Høringsinstansenes syn
Det er generell oppslutning blant høringsinstansene om å skjerpe og utvide dagens sanksjonsbestemmelser.
Flere høringsinstanser gir uttrykkelig tilslutning til forslaget om å gi Datatilsynet generell kompetanse til å utferdige påleggom opphør av personopplysningsbehandlinger som er i strid med lovens regler, kombinert med en mulighet til å ilegge tvangsmulktdersom påleggene ikke blir fulgt: Den norske lægeforening, Norsk Markedsanalyse Forening, Den norske Advokatforening, Forbrukerombudet,og Datatilsynet.Det påpekes at de nye reglene vil gi Datatilsynet kraftigere virkemidler og gjøre det mulig for tilsynet å handle raskt overfor den behandlingsansvarlige uten å måtte gå veien om politi, påtalemyndighet og domstoler. Datatilsynetog Skattedirektoratetreiser imidlertid spørsmål om påleggsbestemmelsen gir tilstrekkelig adgang til å gripe inn mot personopplysningsbehandlinger som krenker personvernet. Om dette uttaler Datatilsynet blant annet:
«Påleggsadgangen knytter seg til «behandling av personopplysninger i strid med denne loven». Lovligheten av behandlingen knytter seg bl a mot forslagets § 7. Datatilsynet ser som nevnt i merknadene til § 7 problemer i forhold til en vurdering av lovlighet etter denne bestemmelsen.
Forslagets § 7 setter tre krav til lovlighet; lovlig formål, saklighet og relevans. Personregisterlovens nåværende bestemmelser om videoovervåkning har vist at saklighetskriteriet er svært vanskelig å håndtere. Relevanskravet er også vanskelig å prøve. Den behandlingsansvarlige vil sjelden legge særlig arbeide i å registrere opplysninger som vedkommende ikke finner relevante.
Dette betyr at det i praksis svært ofte bare vil være lovligheten som begrenser behandlingsformålet for meldepliktige registre. Dette vil etter Datatilsynets mening gi en dårlig beskyttelse mot behandling av personopplysninger som for den enkelte kan virke krenkende, selv om formålet i og for seg er lovlig. Tilsynet vil derfor påpeke viktigheten av at det åpnes en mulighet for å stanse behandlinger som etter sitt omfang eller art vil kunne bli en uforholdsmessig belastning for den enkelte. En slik bestemmelse vil også kunne fange opp en utvikling som vi i dag ikke har oversikt over.
Lovforslaget legger opp til flere vurderingstema på den behandlingsansvarliges hånd, bl a i forslagets § 20 om innsynsrett. Ved en generell påleggsadgang vil det være mulig å gripe inn i ettertid mot vurderinger som er uforenlige med lovens formål om et godt personvern.
En slik bestemmelse vil også utfylle forslagets bestemmelser i § 34, 4. ledd og § 33 om hvilke registre som skal være konsesjonspliktige. Som nevnt i merknadene til § 33 finner Datatilsynet det ikke i alle sammenhenger tilstrekkelig kun å knytte konsesjonsplikten opp mot sensitive opplysninger og enkeltavgjørelser. At konsesjonsplikten unntaksvis kan utvides i enkeltvedtaks form, avhjelper disse betenkelighetene.»
Datatilsynet foreslår på denne bakgrunn en regel som gir tilsynet adgang til å gi pålegg om at behandlinger av personopplysninger som på grunn av sitt omfang eller art vil virke krenkende for den enkelte, skal opphøre, eller bare kunne gjennomføres på nærmere bestemte vilkår.
Norges Forsikringsforbund mener at adgangen til å ilegge tvangsmulkt er et sterkt virkemiddel som skal kunne benyttes på virksomheter som for en stor del er regulert gjennom særlovgivning. Forbundet gir uttrykk for at Datatilsynet bør vise tilbakeholdenhet og utvise stor varsomhet med å ilegge tvangsmulkt ved skjønnsmessige vurderinger og vurderinger som har grenseflater mot områder som Datatilsynet ikke har spesiell kompetanse på.
Ingen av høringsinstansene tar til orde for et generelt objektivt erstatningsansvar. Det har ikke kommet innvendinger mot forslaget om å innføre et erstatningsansvar basert på skyld, der skadevolderen pålegges å godtgjøre at han eller hun ikke kan lastes for skade som er oppstått som følge av brudd på loven. LO, Forbrukerombudet, Forbrukerrådet, Den Norske Dataforeningog Den norske Advokatforeningtar til orde for at det også bør kunne gis erstatning for ikke-økonomisk tap. De peker blant annet på det forhold at det som regel er vanskelig å dokumentere økonomisk tap som følge av at personvernet er krenket, og at behovet derfor er ekstra sterkt for å kunne kreve oppreisning. Enkelte fremhever også at eventuelle problemer med å utmåle en dekkende sum ikke bør være til hinder for å åpne for en form for oppreisning. F eks heter det i uttalelsen fra Den norske Advokatforening:
«Advokatforeningen er ikke enig i utvalgets vurderinger som ligger til grunn for at utvalget på s. 124, s 1, siste avsnitt konkluderer med ikke å ville ta inn i lovutkastet en regel om oppreisning.
Det kan ikke være større problemer med å utmåle beløp til oppreisning på dette området, enn f eks ved ærekrenkelser. Advokatforeningen er ikke enig i at eventuelle problemer med fastsettelse av beløp skal medføre at man viker tilbake for å utforme en bestemmelse om oppreisning.
Advokatforeningen støtter fullt ut det syn som uttrykkes av Jon Bing og Cato Schiøtz i den refererte artikkel i Jussens Venner 1977 s 241-270.
Advokatforeningen mener at nettopp oppreisning er en reaksjonsform som vil kunne være et viktig reaksjonsmiddel ved overtredelser av Persondataloven, og som er egnet til å gi en viss kompensasjon for eventuelle overtredelser som enkeltpersoner utsettes for. Foreningen vil derfor anbefale at det utformes en bestemmelse om oppreisning i tilknytning til erstatningsbestemmelsen i § 43.»
Den Norske Dataforening mener at det følger av forarbeidene til EU-direktivet at erstatningsregelen i artikkel 23 er ment å omfatte både økonomisk og ikke-økonomisk tap. Foreningen uttaler om dette:
«Når det gjelder EU-direktivets krav er DND enig i at art. 23 er uklar på dette punktet. Men det finnes nokså klare bevis i forarbeidene til direktivet for at artikkelen er ment å omfatte både økonomisk og ikke-økonomisk skade (jf. COM (90) 314 final - SYN 287, 13.9.1990, s 40:»(t)he cencept of damage covers both physical and non-physical damage». I den tyske versjonen refereres det til«immateriell Schaden; i den franske versjonen til«le préjudice moral». Se også COM (92) 422 final - SYN 287. 15.10.1992, 33:»Article 23 (1), like Article 21 (1) in the initial proposal, places a liability on the controller to compensate any damage caused to any person..»»...Schadenersatz für jeden Schaden einer Person zu leisten»). På grunn av uklarheten i direktivets tekst på dette punktet er det mulig at disse uttalelsene vil tas i betraktning av Europadomstolen.»
Relativt få høringsinstanser har kommentert forslaget til straffebestemmelse.ØKOKRIM reiser spørsmål om strafferammen ved særdeles skjerpende omstendigheter bør økes til tre år istedenfor to som utvalget har foreslått. ØKOKRIM viser til at utbredelsen av datasystemer er inne i en eksplosiv utvikling, at informasjonen kan spres, f eks over internett, og at skadevirkningene kan bli svært omfattende hvis personopplysninger kommer på avveie. ØKOKRIM viser også til at tre år er strafferammen ved regnskapsovertredelser under særlig skjerpende omstendigheter, jf strl § 286.
14.6 Departementets syn
Et bredere spekter av sanksjonsmidler er et viktig ledd i styrkingen av personvernet og fremstår som en sentral del av utvalgets forslag til en ny og mer tidsmessig måte å regulere behandlingen av personopplysninger på. Departementet slutter seg derfor i hovedsak til forslagene om å utvide og skjerpe sanksjonsmulighetene.
På samme måte som utvalget går departementet inn for å gi Datatilsynet generell adgang til å gi påleggom at ulovlige behandlinger skal opphøre eller stille vilkår for at behandlingene skal være i samsvar med loven. En slik utvidet adgang til å gi pålegg er sentral når man går over til å fokusere sterkere på etterfølgende kontroll.
Etter departementets oppfatning bør det så klart som mulig fremgå av loven hvilke behandlingsregler som gjelder, blant annet for å sikre forutberegnelighet for de behandlingsansvarlige. En utbygging av påleggsadgangen slik Datatilsynet tar til orde for under høringen, vil gi Datatilsynet adgang til å stanse lovlige behandlinger som oppfattes som en uforholdsmessig belastning for den enkelte, og vil om den skal nå sin hensikt nødvendigvis måtte basere seg på skjønnsmessige vurderinger fra tilsynets side. Som flere høringsinstanser har pekt på, får Datatilsynet gjennom lovforslaget til dels vide fullmakter. En supplerende hjemmel til ut fra en helhetsvurdering å sette særlige vilkår for særskilte behandlinger av personopplysninger vil i realiteten fremstå som en generell fullmakt for tilsynet til å gjøre unntak fra og supplere lovens behandlingsregler. En slik adgang vil kunne skape uklarhet og uoversiktlighet. Den synes dessuten lite forenlig med EU-direktivets bestemmelser. Datatilsynet har bl a begrunnet sitt forslag med at det bare er lovlighetskriteriet i utvalgets utkast til § 7 som tilsynet i praksis vil kunne etterprøve og følge opp med pålegg. Med de presiseringene som departementet foreslår i § 8 om generelle vilkår for å behandle personopplysninger og i § 11 om grunnkrav til behandlingen vil Datatilsynet kunne kontrollere flere grunnleggende behandlingskriterier og følge opp med pålegg i den grad kriteriene ikke er oppfylt. Datatilsynet vil i tillegg kunne gripe inn med pålegg ved brudd på andre regler i lovforslaget som f eks bestemmelsene om innsyn, varsling og krav til sikring. Som følge av forslaget til konsesjonsbestemmelse i § 33, vil Datatilsynet også ha adgang til å sette nærmere vilkår for behandlinger som oppfattes som særlig inngripende og belastende for den enkeltes personvern. Departementet går på denne bakgrunn ikke inn for å gi Datatilsynet en skjønnsmessig adgang til å stanse eller sette vilkår også for behandlinger som er lovlige.
Departementet går derimot inn for å gi Datatilsynet anledning til å ilegge tvangsmulktder dette er nødvendig for å sikre at de vedtakene som er truffet i medhold av loven blir etterlevd. Muligheten for å gripe til tvangsmulkt vil gi Datatilsynets pålegg en helt annen tyngde og virkning, samtidig som den gjør det mulig for tilsynet gripe inn raskt overfor de behandlingsansvarlige.
Departementet slutter seg også til forslaget om å innføre en generell erstatningsregelbygget på et skyldansvar med omvendt bevisbyrde. For kredittopplysningsforetak bør erstatningsansvaret fremdeles være objektivt. I motsetning til utvalget mener departementet at det er behov for en oppreisningsbestemmelse. Misbruk av personopplysninger kan få alvorlige konsekvenser for den skadelidte både personlig og sosialt. Som såvel utvalget og flere høringsinstanser peker på, vil det ofte være vanskelig for skadelidte å påvise noe økonomisk tap ved personvernkrenkelser, noe som gjør det særlig påkrevet å vurdere en oppreisningsadgang for denne typen overtredelser. En slik gjenopprettingsregel som utvalget foreslår, kan nok et stykke på vei reparere de skader som er påført, men vil ofte kunne oppleves som utilstrekkelig av den skadelidte. På samme måte som ved ærekrenkelser bør det være mulig å finne frem til et passende erstatningsbeløp for den skaden som er påført. Departementet ser ikke grunn til å frykte en oppblåsing av erstatningsbeløpene. Som det fremgår av utredningen s 124 viser erfaringer fra Sverige, Danmark og Finland, som allerede har oppreisningsregler for misbruk av personopplysninger, at det har vært få saker med krav om oppreisning og at erstatningsbeløpene gjennomgående har vært lave. Departementet går på denne bakgrunn inn for en bestemmelse om at det kan gis erstatning for ikke-økonomisk tap, jf § 49 i lovforslaget.
Selv om Datatilsynet med utvidete sivilrettslige sanksjonsmidler vil få mulighet til å håndheve lovens regler mer effektivt enn i dag, er det fremdeles behov for å belegge en del av bestemmelsene med straff. Departementet er enig med utvalget i at en del av reglene i lovforslaget er så generelt og skjønnsmessig utformet at de ikke bør straffesanksjoneres. Dette gjelder f eks behandlingsreglene i §§ 8, 9 og 11 og reglene i §§ 29 og 30 om overføring til utlandet. Departementet har derfor utformet en bestemmelse som i hovedsak tilsvarer utvalgets forslag, jf § 48 i lovforslaget og merknadene til denne bestemmelsen. I motsetning til utvalget finner ikke departementet grunn til å straffesanksjonere innsynsreglene. Departementet viser bl a til det forhold at innsynsreglene i forvaltningsloven og offentlighetsloven ikke er belagt med straff. Ettersom det kan synes urimelig strengt å straffe uaktsomme overtredelser f eks av varslingsreglene, har departementet samtidig valgt å skjerpe skyldkravet til å omfatte forsettlige og grovt uaktsomme brudd på lovens regler.
Strafferammen for særlig grove overtredelser av den nye loven bør slik departementet ser det settes til tre år.