9 Pålegg, tvangsmulkt og overtredelsesgebyr
9.1 Gjeldende rett
I mange sektorer er det etablert sektorregelverk som har sanksjonsbestemmelser. Som det fremgår over er det samtidig for mange sektorer uklart om gjeldende regelverk stiller krav om digital sikkerhet. Dermed er det også uklart om sanksjonsbestemmelsene omfatter digital sikkerhet. Enkelte sektorregelverk har ikke sanksjonsbestemmelser. Under følger en gjennomgang av et utvalg relevante tverrsektorielle regelverk med sanksjonsbestemmelser.
Sikkerhetsloven kapittel 11 regulerer sanksjoner og straff. Tilsynsmyndigheten gis hjemmel for å fastsette tvangsmulkt og ilegge overtredelsesgebyr. Loven fastsetter ikke spesifikke beløp, men gir vurderingskriterier for fastsettelse av beløpenes størrelse. Det skal særlig legges vekt på «overtredelsens grovhet, overtredelsens varighet, utvist skyld og virksomhetens omsetning.» Forsettlige og uaktsomme overtredelser av nærmere bestemte forpliktelser er dessuten straffbelagt, jf. § 11-4.
Personopplysningsloven kapittel 7 regulerer sanksjoner og tvangsmulkt. Hovedregelen om overtredelsesgebyr er personvernforordningen artikkel 83, og det fremgår der i hvilke tilfeller dette kan ilegges. Det fremgår også av bestemmelsen at det kan gis gebyrer på opp til både 10 millioner euro og 20 millioner euro avhengig av overtredelsens karakter. Det følger av artikkel 83 at det skal foretas en konkret vurdering av hver enkelt sak ved vurderingen av om overtredelsesgebyr skal ilegges og det eventuelle gebyrets størrelse.
I tillegg følger det av personopplysningsloven at Datatilsynet også kan ilegge overtredelsesgebyr ved overtredelse av forordningen artikkel 10 om behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak og artikkel 24 om internkontroll. Personopplysningsloven § 29 gir i tillegg Datatilsynet hjemmel til å fastsette tvangsmulkt for oppfyllelse av pålegg etter loven.
Forvaltningsloven har generelle bestemmelser om forvaltningsorganers mulighet til å ilegge administrative sanksjoner, herunder både overtredelsesgebyr og tvangsmulkt.
Det er ingen bestemmelser om sanksjonering av overtredelse av eForvaltningsforskriften.
9.2 Direktivet
Artikkel 21 bestemmer at EØS-statene skal fastsette regler om sanksjoner ved brudd på de forpliktelsene som følger av nasjonal lovgivning, som er vedtatt i henhold til direktivet. Sanksjonene skal være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Bestemmelsen skiller ikke mellom tilbydere av henholdsvis samfunnsviktige og digitale tjenester.
Bestemmelsen kommenteres ikke i fortalen til direktivet, men i en kommunikasjon fra EU-kommisjonen Making the most of NIS. Det uttales i kommunikasjonen vedlegg I punkt 3.7 at EØS-statene i prinsippet står fritt til å bestemme maksimalbeløp ved overtredelser, men at det bør være rom for en konkret vurdering av hver enkelt sak som grunnlag for å ilegge et passende gebyr. Det bør legges vekt på blant annet forholdets alvorlighetsgrad og om det er snakk om gjentakende overtredelser.
9.3 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet at ved overtredelse av bestemmelser gitt i eller i medhold av loven kan tilsynsmyndigheten gi tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester pålegg om at forholdet skal bringes i orden. Videre at tilsynsmyndigheten kan sette en frist for oppfyllelse av pålegget.
Det ble foreslått at tilsynsmyndigheten gis hjemmel til å ilegge tvangsmulkt, der formålet er å sikre oppfyllelse av pålegg fastsatt i lovforslaget. Videre at vedtak om tvangsmulkt kan fastsettes samtidig med pålegget.
Det ble foreslått at departementet er klageinstans på vedtak om tvangsmulkt og at Kongen kan gi forskrift om tvangsmulkt, herunder om mulktens størrelse og varighet og om gjennomføring av tvangsmulkten.
Departementet foreslo at tilsynsmyndigheten kan pålegge en virksomhet overtredelsesgebyr dersom virksomheten eller noen som handler på dennes vegne har overtrådt bestemmelser gitt i eller i medhold av loven eller har gitt uriktige eller ufullstendige opplysninger til tilsynsmyndigheten, også der ansvaret for overtredelsen ikke kan rettes mot noen enkeltperson. I høringsnotatet fremgår det at det bare kan ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser.
Ved fastsettelse av overtredelsesgebyrets størrelse ble det foreslått at det skal særlig legges vekt på overtredelsens grovhet, overtredelsens varighet, utvist skyld og virksomhetens omsetning.
Departementet foreslo at dersom den ansvarlige for overtredelsesgebyret er en virksomhet som inngår i et konsern, hefter foretakets morselskap og morselskapet i det konsern selskapet er en del av, subsidiært for beløpet.
Departementet foreslo at adgangen til å pålegge overtredelsesgebyr foreldes etter fem år, men at fristen avbrytes når tilsynsmyndigheten meddeler virksomheten at denne er mistenkt for overtredelse av loven eller vedtak fastsatt med hjemmel i loven.
Departementet foreslo at vedtak om overtredelsesgebyr kan påklages til departementet. Videre at Kongen kan gi forskrift om overtredelsesgebyr, herunder om vilkår for å ilegge overtredelsesgebyr, om størrelsen på overtredelsesgebyret, om rente og tilleggsgebyr dersom overtredelsesgebyret ikke blir betalt ved forfall og om frafall av ilagt overtredelsesgebyr.
9.4 Høringsinstansenes syn
Skatteetaten mener det fremstår som hensiktsmessig at tilsynsmyndigheten gis anledning til å sanksjonere manglende etterlevelse på en effektiv måte. Skatteetaten anser det imidlertid som en fordel at det stilles tydelige krav knyttet til sikkerhet og varsling.
Enkelte høringsinstanser trekker frem at anvendelse av sanksjonsbestemmelsene må klargjøres nærmere for å skape forutsigbarhet for de som underlegges loven, blant andre Advokatforeningen og Kartverket.
Helsedirektoratet og Direktoratet for e-helse mener det må presiseres nærmere hvilke sanksjonsbestemmelser som skal gjelde når bestemmelsene i både personvernforordningen og en lov som gjennomfører NIS-direktivet skal anvendes.
9.5 Departementets vurderinger
I lovforslaget § 15 foreslår departementet å gi tilsynsmyndigheten kompetanse til å pålegge den som overtrer lovens bestemmelser å bringe de ulovlige forholdene til opphør. Det fremgår at pålegg kan gis i tilknytning til brudd på loven og forskrifter gitt i medhold av loven. Påleggskompetansen er ikke avgrenset til grove eller gjentatte brudd på loven. Pålegg kan gis uavhengig av lovovertrederens subjektive skyld.
Departementet foreslår i lovforslaget § 16 at tilsynsmyndigheten gis hjemmel til å ilegge tvangsmulkt. Det fremgår av forslaget at formålet med tvangsmulkten er å sikre oppfyllelse av pålegg fastsatt i medhold av lovforslaget § 15.
Departementet mener at tvangsmulkt kan fastsettes i tilknytning til alle pålegg om tiltak. Tvangsmulkt kan således ilegges uavhengig av subjektiv skyld og uavhengig av omfanget av overtredelsen.
Departementet mener at tvangsmulktens størrelse fastsettes under hensyn til hvor viktig det er at pålegget blir gjennomført og hvilke kostnader det antas å medføre. Tvangsmulkt skal fungere som et pressmiddel, og utgangspunktet er at mulkten skal være så stor at den er effektiv uten å være urimelig.
Gjennomgangen av gjeldende rett viser at det er svært ulike regler om overtredelsesgebyr. Noen regelverk er dekkende for direktivets krav, noen er kanskje dekkende, mens andre igjen helt klart ikke er dekkende. Med dette som utgangspunkt foreslår departementet i lovforslaget § 17 bestemmelser om overtredelsesgebyr som gjelder alle tilbyderne som omfattes av loven.
Overtredelsesgebyr er ment å ivareta både individuelle og allmennpreventive hensyn. Mens bestemmelsene om pålegg og tvangsmulkt bare har som formål å bringe det ulovlige forholdet til opphør, vil et overtredelsesgebyr også ha som formål å hindre framtidige overtredelser. Etter departementets syn er det behov for å kunne reagere med overtredelsesgebyr både ved brudd på plikten til å sikre nettverks- og informasjonssystemer, ved brudd på plikten til å varsle om hendelser og der det er gitt uriktige eller ufullstendige opplysninger til tilsynsmyndigheten.
Ved høringen ble det foreslått at bestemmelsen om overtredelsesgebyr ikke nærmere skulle angi hvilke bestemmelser etter loven som vil utløse et overtredelsesgebyr ved overtredelse. Av hensyn til forutberegnelighet foreslår departementet at det i § 17 angis hvilke bestemmelser som kan utløse overtredelsesgebyr ved overtredelse. Departementet foreslår at overtredelsesgebyr etter lovforslaget § 17 kan ilegges ved overtredelse av bestemmelsene om krav til sikkerhet (§§ 7 og 10), krav til varsling (§§ 8 og 11) og der det er gitt uriktige eller ufullstendige opplysninger til tilsynsmyndigheten (§ 14). Overtredelsesgebyr retter seg først og fremst mot den enkelte tilbyderen som er pliktsubjekt etter loven. Etter forslaget kan imidlertid overtredelsesgebyr ilegges fysiske personer som opptrer på vegne av en tilbyder dersom det er nødvendig i det enkelte tilfellet.
Departementet har vurdert, blant annet i lys av den tilsynelatende store effekten av at det i medhold av personvernforordningen kan gis relativt store bøter, om det også i dette lovforslaget bør kunne reageres med høye overtredelsesgebyrer ved overtredelse. Det er ulike løsninger i forskjellige EØS-stater. Departementet foreslår at bestemmelsen om overtredelsesgebyr i lovforslaget ikke angir hvilken størrelse på gebyret som er aktuelt. Det kommer an på hva slags overtredelse det er snakk om, om det har skjedd over tid og om det er tale om gjentakende og gjenstridige handlinger. Det vil måtte bero på en konkret helhetsvurdering i hver enkelt sak hva som er et passende gebyr der også den aktuelle tilbyderens omsetning kan vektlegges. Det vil dessuten kunne variere over tid hva som er passende beløpsmessige rammer. Blant annet kan dette påvirkes av rettsutviklingen i EØS. Departementet foreslår derfor at de beløpsmessige rammene fastsettes i forskrift, men vil i forskrift angi en øvre ramme for overtredelsesgebyrets størrelse slik som forutsatt i forvaltningsloven § 44 andre ledd.
Helsedirektoratet og Direktoratet for e-helse mener at det må presiseres nærmere hvilke sanksjonsbestemmelser som skal gjelde når bestemmelsene i både personvernforordningen og en lov som gjennomfører NIS-direktivet kan anvendes. Departementet viser i den sammenheng til forvaltningsloven § 47 om samordning av sanksjonssaker. I bestemmelsens andre ledd fremgår det at:
«Dersom et forvaltningsorgan har grunn til å anta at det også for et annet organ kan være aktuelt å ilegge administrativ sanksjon mot samme forhold, må forvaltningsorganet sørge for en samordning av behandlingen av spørsmålet om å ilegge sanksjoner.»
Forvaltningslovens regler gjelder «når ikke annet er bestemt i lov eller i medhold av lov» jf. forvaltningsloven § 1 første punktum. Departementet foreslår ikke at forvaltningslovens regler fravikes i ny lov om digital sikkerhet. Forvaltningslovens bestemmelser om administrative sanksjoner, vil derfor gjelde for forvaltningsorganers virksomhet etter denne loven, jf. forvaltningsloven § 1. Tilsvarende gjelder forvaltningsloven § 51 ved vedtak om tvangsmulkt. Disse reglene vil supplere reglene om overtredelsesgebyr og tvangsmulkt etter denne loven.
Enkelte høringsinstanser trekker frem at anvendelse av sanksjonsbestemmelsene må klargjøres nærmere for å skape forutsigbarhet for de som underlegges loven. Advokatforeningen viser blant annet til at det vil føre til svært stor uforutsigbarhet å vedta en lov med slike sanksjoner, som også kan anvendes på fysiske personer, uten nærmere detaljer om hvilke krav som vil stilles til risikovurderingene som pålegges pliktsubjektene og hvilke tiltak som anses som tilstrekkelig ut fra ulike risikoer.
Til dette viser departementet til at adgangen til å ilegge overtredelsesgebyr vil gjelde for overtredelser av §§ 7 og 10 om krav til sikkerhet, §§ 8 og 11 om krav om varsling og § 14 om opplysningsplikt. Overtredelse av bestemmelsene om krav til varsling og til å gjennomføre en risikovurdering vil etter departementets syn være tilstrekkelig enkelt å fastslå. Kravet om å iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak og krav om tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser kan det være vanskeligere å vurdere om det foreligger en overtredelse, og derfor være mindre forutberegnelig for tilbyderne. Departementet vil spesifisere kravene til sikkerhet som stilles til tilbydere av samfunnsviktige tjenester nærmere i forskrift, og for tilbydere av digitale tjenester presiseres kravene til sikkerhet i gjennomføringsforordningen som departementet vil gjennomføre i forskrift. Se nærmere om dette i punkt 6.5.
Etter departementets syn vil lovens krav, sammenholdt med bestemmelser i forskrift som presiserer kravene, gi en tilstrekkelig klar beskrivelse. Når det gjelder fastsettelse av klageinstans, ser departementet behov for å åpne for en viss fleksibilitet og vil derfor ikke i loven fastslå at departementet er fast klageinstans slik det var foreslått i høringen. Nærmere regler om klage vil da måtte fastsettes i forskrift.