3 Gjeldende rett
3.1 Taushetsplikten etter forvaltningsloven § 13
Etter forvaltningsloven § 13 første ledd nr. 1 har enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, taushetsplikt om det de i forbindelse med tjenesten får vite om «noens personlige forhold», og etter nr. 2 gjelder det samme for opplysninger om «tekniske innretninger og framgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde». Taushetsplikten gjelder også etter at vedkommende har avsluttet tjenesten eller arbeidet, og opplysninger underlagt taushetsplikt kan ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre, jf. § 13 tredje ledd.
Taushetsplikten for opplysninger om «personlige forhold» i § 13 første ledd nr. 1 omfatter bare opplysninger om fysiske personer. Det må dreie seg om opplysninger som det med god grunn er vanlig å ønske å holde for seg selv. Dette kan dreie seg om opplysninger som gjelder en persons egenskaper eller utførte handlinger som er egnet til å karakterisere en person. At en opplysning er regnet som en personopplysning etter personopplysningsloven, medfører ikke at den også må regnes som en opplysning om et «personlig forhold» etter forvaltningsloven § 13 første ledd.
I § 13 andre ledd første punktum listes det opp en rekke opplysninger om enkeltpersoner som ikke regnes som personlige forhold. Listen er ikke uttømmende, og bestemmelsen skal ikke forstås slik at opplysninger som ikke nevnes der, er omfattet av taushetsplikten. Derimot er det klare utgangspunktet at opplysninger som etter sin art ikke er mer sensitive enn de som er nevnt i bestemmelsen, heller ikke er å regne som «personlige forhold».
Typiske eksempler på opplysninger som omfattes av taushetsplikten, er opplysninger om fysisk og psykisk helse, seksuell legning, følelsesliv og personlig karakter og politisk eller religiøs overbevisning. Opplysninger om kriminelle handlinger og lovbrudd har tradisjonelt blitt ansett som personlige forhold, men dette må i dag bero på en nærmere vurdering, blant annet av om lovbruddet har skjedd i privat sammenheng, i forbindelse med næringsvirksomhet eller under utøvelse av offentlig virksomhet eller andre stillinger som krever særlig tillit. Dersom opplysningene gjelder mistanke om lovbrudd, vil det typisk gjelde taushetsplikt.
Det må vurderes konkret om en opplysning angår et «personlig forhold», og det kan ofte oppstå tvilstilfeller. I vurderingen må det blant annet legges vekt på om opplysningen, alene eller sammen med andre tilgjengelige opplysninger, kan skade eller utlevere en person, om den er gitt i fortrolighet, og om utlevering kan skade tilliten til forvaltningen. Det må også legges en viss vekt på allmennhetens interesse i opplysningen.
Taushetsplikten for opplysninger om «drifts- eller forretningsforhold» i § 13 nr. 2 vil først og fremst omfatte opplysninger som direkte er knyttet til utøving av næringsvirksomhet, slik som opplysninger om produksjonsmetoder, planlagte produkter, kontraktsvilkår, markedsføringsstrategier, analyser og prognoser som er knyttet til virksomheten. Den sentrale avgrensningen av taushetsplikten ligger her i vilkåret om at det må være av «konkurransemessig betydning» for virksomheten å hemmeligholde opplysningene. For at opplysningene skal være taushetsbelagte, må det kunne føre til et økonomisk tap eller redusert gevinst for virksomheten dersom de blir kjent. Taushetsplikten kan også gjelde andre typer opplysninger enn de nevnte, men det skal da generelt nokså mye til.
Det avgjørende er uansett om opplysningene etter sin art kan ha en slik skadevirkning dersom de kommer ut, ikke om den konkrete mottakeren kan ha nytte av dem. Dette må avgjøres ut fra en konkret vurdering.
3.2 Forvaltningslovens regler om deling av taushetsbelagte opplysninger
Taushetsplikten etter forvaltningsloven § 13 første ledd er til hinder for at taushetsbelagte opplysninger gjøres kjent for «andre», noe som dermed også regulerer deling av opplysninger innenfor forvaltningen. Opplysningene kan bare deles med personer i eget organ eller med andre forvaltningsorganer når det er adgang til det etter lov eller forskrift med hjemmel i lov. Forvaltningsloven §§ 13 a og 13 b inneholder i dag en rekke bestemmelser som kan gi grunnlag for slik informasjonsdeling. Bestemmelsene gir en adgang, men i utgangspunktet ingen plikt, til å videreformidle opplysninger.
Bestemmelsene i forvaltningsloven § 13 a nr. 1 til 4 begrenser taushetsplikten i bestemte situasjoner som har til felles at det ikke anses å være behov for beskyttelse av de interessene taushetsplikten skal ivareta. Langt på vei dekker paragrafen situasjoner der opplysningene ikke lenger vil anses taushetsbelagte. § 13 a nr. 1 omfatter tilfeller der opplysninger gjøres kjent for dem som de direkte gjelder, eller der den som har krav på taushet, samtykker til deling, mens nr. 2 gjelder tilfeller der behovet for beskyttelse må anses varetatt ved at opplysningene gis i statistisk form eller ved at individualiserende kjennetegn utelates på annen måte. I de sistnevnte tilfellene gjelder det egentlig ingen taushetsplikt. Videre følger det av nr. 3 at opplysningene kan brukes når ingen berettiget interesse tilsier at de holdes hemmelig, f.eks. når de er alminnelig kjent eller alminnelig tilgjengelige. Etter nr. 4 kan opplysninger om at en navngitt domfelt eller bøtelagt er benådet eller ikke, og hvilke reaksjoner personen eventuelt blir benådet til, gis ut.
Bestemmelsene i forvaltningsloven § 13 b første ledd gir adgang til å dele taushetsbelagte opplysninger i situasjoner der private eller offentlige interesser tilsier det. Flere av hjemlene her skal tilrettelegge for nødvendig deling av informasjon mellom ulike deler av forvaltningen, og samlet gir disse bestemmelsene i dag en forholdsvis vid adgang til deling av taushetsbelagte opplysninger mellom forvaltningsorganer.
Etter § 13 b første ledd nr. 1 kan taushetsbelagte opplysninger gjøres kjent for sakens parter og deres representanter. § 13 andre ledd regulerer nærmere i hvilken grad en part kan bruke slike opplysninger.
Det følger av § 13 b første ledd nr. 2 at taushetsbelagte opplysninger kan brukes «for å oppnå det formål de er gitt eller innhentet for», og det er presisert at de bl.a. kan brukes «i forbindelse med saksforberedelse, avgjørelse, gjennomføring av avgjørelsen, oppfølging og kontroll». Loven oppstiller ingen begrensninger for hvem som kan gjøres kjent med opplysningene. De kan derfor formidles både til personer i andre forvaltningsorganer og i prinsippet også til andre. Vilkåret om at opplysningene må brukes for å oppnå det formålet de er gitt eller innhentet for, fører likevel til at bestemmelsen først og fremst er aktuell for informasjonsdeling under de forskjellige trinnene av behandlingen eller oppfølgingen av den saken opplysningene er innhentet i forbindelse med.
Etter § 13 b første ledd nr. 3 kan opplysninger gjøres tilgjengelig for andre tjenestemenn «innen organet eller etaten» i den utstrekning som trengs for en «hensiktsmessig arbeids- og arkivordning, bl.a. til bruk ved vegledning i andre saker». Etatsbegrepet har ingen klar definisjon, men blir brukt som en samlebetegnelse på ulike organer innen samme gren av forvaltningen. For informasjonsdeling innenfor etaten stilles det ikke andre krav enn at delingen må skje innenfor rammene av det som trengs for en hensiktsmessig arbeids- og arkivordning. Dette gir en forholdsvis vid adgang til å dele opplysninger, men bestemmelsen kan ikke brukes til å formidle opplysninger til organer som ikke tilhører samme etat som avgiverorganet.
§ 13 b første ledd nr. 4 åpner for at opplysninger brukes til «statistisk bearbeiding, utrednings- og planleggingsoppgaver, eller i forbindelse med revisjon eller annen form for kontroll med forvaltningen». Heller ikke denne bestemmelsen er knyttet til bestemte mottakere, slik at opplysningene kan deles med andre forvaltningsorganer som skal bruke disse til statistikk eller utrednings- og planleggingsoppgaver, eller til organer som skal stå for revisjon eller kontroll med avgiverorganet.
Etter § 13 b første ledd nr. 5 kan et organ gi «andre forvaltningsorganer opplysninger om en persons forbindelse med organet og om avgjørelser som er truffet og ellers slike opplysninger som det er nødvendig å gi for å fremme avgiverorganets oppgaver etter lov, instruks eller oppnevningsgrunnlag». Unntaket er ikke begrenset til organer i etaten, og det omfatter dermed en videre mottakergruppe enn bestemmelsen i nr. 3. Bestemmelsen i nr. 5 gir tre alternative muligheter for deling: Det kan dreie seg om opplysninger om «en persons forbindelse med organet», opplysninger om «avgjørelser som er truffet», eller opplysninger som det er nødvendig å gi for å fremme avgiverorganets oppgaver. Bestemmelsen kan derimot ikke brukes til å gi opplysninger kun for å fremme mottakerorganets oppgaver.
Bestemmelsen i § 13 b første ledd nr. 6 gir et forvaltningsorgan adgang til å anmelde eller gi opplysninger om lovbrudd til påtalemyndigheten eller kontrollmyndigheter. Kontrollmyndigheter er særlige forvaltningsorganer som håndhever spesiell lovgivning, jf. Ot.prp. nr. 3 (1976–77) side 35. Bestemmelsen åpner bare for å gi opplysninger der dette «finnes ønskelig av allmenne omsyn» eller der «forfølgning av lovbruddet har naturlig sammenheng med avgiverorganets oppgaver».
I § 13 b første ledd nr. 7 og nr. 8 er det fastsatt særlige regler for deling av informasjon til henholdsvis andre forvaltningsorganer som forutsatt i oppgaveregisterloven, og til forvaltningsorganer i en annen EØS-stat som forutsatt i tjenesteloven.
Det følger av forvaltningsloven § 13 f første ledd at med mindre noe annet er bestemt i eller i medhold av lov, gjelder §§ 13 til 13 e som utfyllende regler når noen som utfører tjeneste eller arbeid for et forvaltningsorgan er pålagt taushetsplikt i annen lov, forskrift eller instruks av hensyn til private interesser. De omtalte reglene om informasjonsdeling vil dermed supplere bestemmelser om forvaltningsrettslig taushetsplikt i annen lovgivning, med mindre noe annet følger av den loven som etablerer taushetsplikten. Det er også antatt at forvaltningslovens regler vil gjelde som utfyllende regler når det handler om taushetsplikt til vern av offentlige interesser.
3.3 Regler om deling av opplysninger underlagt forvaltningsmessig taushetsplikt i særlovgivningen
3.3.1 Innledning
En rekke lover inneholder regler om adgang til å dele taushetsbelagte opplysninger som fraviker eller supplerer reglene i forvaltningsloven. Redegjørelsen her er begrenset til regler i særlovgivningen som gjelder deling av opplysninger underlagt taushetsplikt etter forvaltningsloven §§ 13 flg., og som er relevante for de forslagene som følges opp i proposisjonen her, jf. punkt 2.5.
Høringsnotatet inneholdt en mer omfattende redegjørelse om delingsregler i særlovgivningen som kan være til hinder for en slik deling av opplysninger til andre forvaltningsorganer som følger av Forvaltningslovutvalgets forslag. I tillegg til de lovbestemmelsene som omtales nedenfor, ble det i høringsnotatet redegjort for taushetspliktreglene etter næringsberedskapsloven, regler om utlevering av opplysninger etter folkeregisterloven og særlige taushetspliktsregler for personer som utfører arbeid eller tjeneste for Statens jernbanetilsyn eller Statens havarikommisjon.
3.3.2 Helse- og omsorgstjenesteloven og spesialisthelsetjenesteloven
Etter spesialisthelsetjenesteloven § 6-1 tredje ledd og helse- og omsorgstjenesteloven § 12-1 tredje ledd kanopplysninger bare gis til andre forvaltningsorganer etter forvaltningsloven § 13 b første ledd nr. 5 og 6 når dette er nødvendig for å bidra til løsning av oppgaver etter de respektive lovene, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.
Bestemmelsen medfører at personer i helse- og omsorgstjenesten ikke har den samme generelle adgangen til å gi opplysninger om «en persons forbindelse med organet» eller om «avgjørelser som er truffet», som ellers følger av forvaltningsloven § 13 b første ledd nr. 5. De har heller ikke adgang til å anmelde eller gi opplysninger om lovbrudd til påtalemyndigheten eller en kontrollmyndighet når det finnes ønskelig av «allmenne omsyn», slik forvaltningsloven § 13 b første ledd nr. 6 ellers gir adgang til, men kun når det er nødvendig for å bidra til løsning av helse- og omsorgstjenestens oppgaver, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.
For helsepersonell i spesialisthelsetjenesten og den kommunale helse- og omsorgssektoren gjelder også den profesjonsbaserte taushetsplikten etter helsepersonelloven §§ 21 flg., og deres delingsadgang for opplysninger som gjelder «noens personlige forhold», vil derfor følge denne loven. Begrepet «personlige forhold» i helsepersonelloven § 21 omfatter det samme som etter forvaltningsloven § 13 første ledd nr. 1.
Helsepersonelloven kapittel 5 inneholder særskilte regler for når helsepersonell kan gi ut slike opplysninger. Etter § 22 første ledd første punktum gjelder i utgangspunktet tilsvarende delingsadgang som etter forvaltningsloven § 13 a nr. 1, men dette nyanseres og presiseres noe i første ledd andre punktum og andre og tredje ledd. § 23 nr. 1 sier at opplysningene kan gis til personer som kjenner dem fra før, mens § 23 nr. 2 og nr. 3 oppstiller tilsvarende regler som forvaltningsloven § 13 a nr. 3 og nr. 2. Etter § 23 nr. 4 kan slike opplysninger gis videre når «tungtveiende private eller offentlige interesser» gjør dette rettmessig, og etter § 23 nr. 5 gjelder det samme når «helsepersonell gjennom sin yrkesutøvelse har grunn til å tro at dyr blir utsatt for slik mishandling eller alvorlig svikt vedrørende miljø, tilsyn og stell at det anses rettmessig å gi opplysningene videre til Mattilsynet eller politiet». Etter §§ 31 til 33 foreligger det på bestemte vilkår opplysningsplikt overfor henholdsvis politi og brannvesen, den kommunale helse- og omsorgstjenesten og barnevernet. For øvrig gir flere andre bestemmelser i loven adgang eller plikt til å dele taushetsbelagte opplysninger i mer direkte tilknytning til utøvelsen av yrket som helsepersonell eller driften av den aktuelle virksomheten. Etter helsepersonelloven § 23 nr. 6 er taushetsplikten etter § 21 heller ikke til hinder for at opplysningene gis videre etter regler fastsatt i eller i medhold av lov når det er uttrykkelig bestemt eller klart forutsatt at taushetsplikten ikke skal gjelde. Dette ville uansett fulgt av de aktuelle lovbestemmelsene.
Etter helseregisterloven § 17 har enhver som behandler helseopplysninger etter denne loven, eller «som får adgang eller kjennskap til helseopplysninger fra helseregistre», taushetsplikt etter helsepersonelloven §§ 21 flg. Det følger av pasientjournalloven § 15 at det samme gjelder dem som behandler helseopplysninger etter pasientjournalloven, eller «som får adgang eller kjennskap til helseopplysninger fra et behandlingsrettet helseregister».
3.3.3 Sosialtjenesteloven
Etter sosialtjenesteloven § 44 tredje ledd kan opplysninger til andre forvaltningsorganer bare gis etter forvaltningsloven § 13 b første ledd nr. 5 og 6 når dette er nødvendig for å fremme kommunen i arbeids- og velferdsforvaltningens oppgaver, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse. Bestemmelsene begrenser således delingsadgangen på samme måte som spesialisthelsetjenesteloven § 6-1 tredje ledd og helse- og omsorgstjenesteloven § 12-1 tredje ledd, jf. punkt 3.3.2.
3.3.4 NAV-loven
Etter NAV-loven § 7 første ledd tredje punktum gjelder forvaltningsloven § 13 b første ledd nr. 5 og 6 ikke for personer som utfører tjeneste eller arbeid for Arbeids- og velferdsetaten. Etter § 7 tredje ledd kan opplysninger gis til andre forvaltningsorganer når det er «nødvendig for å fremme Arbeids- og velferdsetatens oppgaver, for å forebygge vesentlig fare for liv eller alvorlig skade på noens helse, eller for å hindre at noen urettmessig får utbetalt offentlige midler eller unndrar midler fra innbetaling til det offentlige». Bestemmelsen medfører at heller ikke personer som omfattes av NAV-loven, har adgang til å gi opplysninger etter forvaltningsloven § 13 b første ledd nr. 5 om «en persons forbindelse med organet» eller om «avgjørelser som er truffet», eller til å anmelde eller gi opplysninger om lovbrudd til påtalemyndighet eller kontrollmyndighet når det finnes ønskelig av «allmenne omsyn», slik forvaltningsloven § 13 b første ledd nr. 6 ellers gir adgang til.
Etter § 7 fjerde ledd kan departementet bestemme at opplysninger kan utleveres til offentlige myndigheter i andre tilfeller enn nevnt i tredje ledd når det er «godtgjort at opplysningene er nødvendige for at disse myndighetene skal kunne løse pålagte offentlige oppgaver». Etter fjerde ledd andre punktum gjelder dette likevel ikke for opplysninger om etnisitet, politisk eller religiøs oppfatning, helseforhold, misbruk av rusmidler eller seksuelle forhold.
Videre inneholder § 7 femte ledd en bestemmelse som sier at «taushetsplikten etter første ledd er ikke til hinder for utveksling av informasjon som forutsatt i lov 6. juni 1997 nr. 35 om Oppgaveregisteret eller annen utlevering av opplysninger til forvaltningsorganer som har hjemmel til å kreve opplysninger uten hinder av taushetsplikt». Første alternativ her svarer til forvaltningsloven § 13 b første ledd nr. 7.
3.3.5 Barnevernloven
Etter barnevernloven § 6-7 tredje ledd kan opplysninger bare gis til andre forvaltningsorganer etter forvaltningsloven § 13 b første ledd nr. 5 og 6 når dette er nødvendig for å «fremme barneverntjenestens, institusjonens, senteret for foreldre og barns eller omsorgssenteret for mindreåriges oppgaver, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse». Bestemmelsene begrenser således delingsadgangen på samme måte som spesialisthelsetjenesteloven § 6-1 tredje ledd og helse- og omsorgstjenesteloven § 12-1 tredje ledd, jf. punkt 3.3.2.
3.3.6 Krisesenterlova
Etter krisesenterlova § 5 tredje ledd kan opplysninger bare gis til andre forvaltningsorganer etter forvaltningsloven § 13 b første ledd nr. 5 og 6 når dette er nødvendig for å «fremme oppgåvene til kommunen etter denne lova, eller for å førebyggje vesentleg fare for liv eller alvorleg skade på helsa til nokon». Bestemmelsen begrenser dermed delingsadgangen etter forvaltningsloven på samme måte som barnevernloven § 6-7 tredje ledd, spesialisthelsetjenesteloven § 6-1 tredje ledd og helse- og omsorgstjenesteloven § 12-1 tredje ledd, jf. punkt 3.3.2 og 3.3.5.
3.3.7 Andre områder der forvaltningslovens taushetspliktregler gjelder
Departementet har ellers identifisert følgende lovbestemmelser som sier at forvaltningsloven §§ 13 til 13 e eller §§ 13 til 13 f helt eller delvis gjelder, og hvor det kan være relevant å gi lovforslaget § 13 b første ledd nr. 7 og § 13 g anvendelse:
Lov 13. august 1915 nr. 5 om domstolene § 63 a andre ledd
Lov 12. mai 1972 nr. 28 om atomenergivirksomhet § 53 tredje ledd
Lov 4. august 1995 nr. 53 om politiet § 24 første ledd andre punktum
Lov 21. juni 1995 nr. 38 om statlig naturoppsyn § 6 første ledd første punktum
Lov 5. mars 2004 nr. 12 om konkurranse mellom foretak og kontroll med foretakssammenslutninger § 27 tredje ledd
Lov 7. mai 2004 nr. 21 om Riksrevisjonen § 15 tredje ledd
Lov 1. april 2005 nr. 4 om universiteter og høyskoler § 4-17 andre ledd tredje punktum og § 7-6 første ledd
Lov 17. juni 2005 nr. 62 om arbeidsmiljø, arbeidstid og stillingsvern mv. § 2 A-7 andre ledd andre punktum og § 18-2 andre ledd andre punktum
Lov 17. juni 2005 nr. 64 om barnehager § 44
Lov 16. juni 2007 nr. 40 om reindrift § 18 tredje ledd andre punktum
Lov 29. juni 2007 nr. 44 om Folketrygdfondet § 6 andre ledd fjerde punktum
Lov 29. juni 2007 nr. 75 om verdipapirhandel § 11-13 første ledd tredje punktum
Lov 15. mai 2008 nr. 35 om utlendingers adgang til riket og deres opphold her § 77 åttende ledd andre punktum
Lov 20. juni 2015 nr. 49 om konfliktrådsbehandling § 9 andre ledd andre punktum
Lov 22. mai 2015 nr. 33 om Norges nasjonale institusjon for menneskerettigheter § 13 tredje ledd
Lov 16. juni 2017 nr. 48 om adopsjon § 35 andre ledd første punktum
Lov 8. juni 2018 nr. 28 om høyere yrkesfaglig utdanning § 14 a andre ledd tredje punktum
Lov 22. juni 2018 nr. 83 om kommuner og fylkeskommuner § 24-2 femte ledd
Lov 21. juni 2019 nr. 31 om Norges Bank og pengevesenet mv. § 5-2 femte ledd
Lov 19. juni 2020 nr. 77 om Etterretningstjenesten § 11-1
3.3.8 Områder der forvaltningslovens taushetspliktregler ikke gjelder
Enkelte andre lovbestemmelser som regulerer forvaltningsmessig taushetsplikt, bestemmer uttrykkelig at reglene i forvaltningsloven §§ 13 til 13 e ikke gjelder for behandling av opplysninger etter loven eller etter bestemte bestemmelser i loven. Dette gjelder følgende bestemmelser:
Lov 16. desember 1966 nr. 9 om anke til Trygderetten § 34 andre ledd andre punktum
Lov 18. desember 1987 nr. 93 om kontroll med eksport av strategiske varer, tjenester og teknologi m.v. § 2 sjette ledd
Lov 4. desember 1992 nr. 132 om legemidler m.v. § 30 sjette punktum
Lov 6. juni 1997 nr. 32 om innførsel- og utførselregulering § 2 tredje ledd andre punktum
Lov 16. juli 1999 nr. 66 om Schengen informasjonssystem (SIS) § 14 andre ledd
Lov 21. desember 2007 nr. 119 om toll og vareførsel § 12-1 femte ledd
Lov 25. november 2011 nr. 44 om verdipapirfond § 11-8 første ledd andre punktum
Lov 1. juni 2018 nr. 23 om tiltak mot hvitvasking og terrorfinansiering § 45 første ledd andre punktum
Lov 21. juni 2019 nr. 32 om offisiell statistikk og Statistisk sentralbyrå § 8 femte ledd
3.4 Andre former for forvaltningsrelatert taushetsplikt
Lovgivningen oppstiller taushetsplikt på en rekke andre områder enn det forvaltningsrettslige. Dette gjelder for eksempel taushetsplikt for eiendomsmeglere, ansatte i forsikringsselskaper, bankansatte og ansatte i andre typer finansinstitusjoner. Disse reglene omtales ikke nærmere her. Det samme gjelder pressens rett til kildevern.
Høringsnotatet inneholdt også omtale av ulike former for taushetsplikt som gjelder de samme gruppene som er underlagt forvaltningsloven, eller virksomhet som har en relativt nær tilknytning til forvaltningen. Dette gjelder profesjonsbasert taushetsplikt for helsepersonell, advokater, prester mv., taushetsplikt for dommere og andre som utfører arbeid for domstolene, politi og påtalemyndighet, taushetsplikt for innsideinformasjon etter verdipapirhandelloven, taushetsplikt til vern av allmenne interesser etter blant annet energiloven og taushetsplikt for informasjon som er sikkerhetsgradert etter sikkerhetsloven.
Utenom forslagene til henvisningsendringer omtalt i punkt 6.6 nedenfor, foreslås det ingen endringer i lovene som regulerer disse formene for taushetsplikt. Disse lovene omtales derfor ikke nærmere i proposisjonen her. Se punkt 3.3.2 om taushetsplikten for helsepersonell.
3.5 Brudd på taushetsplikt
Brudd på lovbestemt taushetsplikt er straffbart etter straffeloven § 209 første ledd. Det heter her at
«Med bot eller fengsel inntil 1 år straffes den som krenker taushetsplikt som han eller hun har i henhold til lovbestemmelse eller forskrift, eller utnytter en opplysning han eller hun har taushetsplikt om med forsett om å skaffe seg eller andre en uberettiget vinning.»
Straffansvaret gjelder i utgangspunktet for all lovfestet taushetsplikt. Når taushetsplikten har bakgrunn i tjeneste eller arbeid for et statlig eller kommunalt organ, følger det av § 209 andre ledd at det samme gjelder ved brudd på taushetsplikt som følger av en gyldig instruks for tjenesten eller arbeidet. Etter tredje ledd gjelder straffansvaret også ved brudd på taushetsplikten etter at tjenesten eller arbeidet er avsluttet.
Departementet understreker at straffansvaret ikke vil ramme alle former for uberettiget utlevering av taushetsbelagte opplysninger eller andre tilfeller der noen «krenker» sin taushetsplikt. Etter straffeloven § 21 straffes bare forsettlige lovbrudd, om ikke noe annet er bestemt. § 22 regulerer hva som regnes som forsett. Når det gjelder brudd på taushetsplikt, følger det av straffeloven § 209 fjerde ledd at også grov uaktsom overtredelse straffes. Dette innebærer at en utilsiktet publisering av taushetsbelagte opplysninger, typisk fordi man antar at det ikke foreligger taushetsplikt, bare vil være straffbar dersom det foreligger grov uaktsomhet. Har man gjort en forsvarlig vurdering av spørsmålet om taushetsplikt, vil det altså ikke medføre straffansvar om andre senere skulle komme til at de aktuelle opplysningene likevel var omfattet av taushetsplikt. Tilsvarende skyldkrav vil gjelde ved andre krenkinger av taushetsplikten. Det kan for eksempel stille seg annerledes om et dokument med taushetsbelagte opplysninger oppbevares i et skap eller lignende som andre skaffer seg uberettiget tilgang til, enn om et slikt dokument ligger fritt tilgjengelig på et bord eller lignende.
Etter § 209 femte ledd er medvirkning til brudd på taushetsplikt ikke straffbart. Dette innebærer at personer som selv ikke publiserer taushetsbelagte opplysninger, men som for eksempel oppfordrer til å publisere slike opplysninger, eller feilaktig oppgir at bestemte opplysninger ikke omfattes av taushetsplikt, ikke kan straffes etter § 209. Et eventuelt straffansvar for slike handlinger må følge av andre straffebud.
Etter straffeloven § 210 kan grove brudd på taushetsplikt straffes strengere. Strafferammen er da tre års fengsel.
Mange lover har egne strafferegler som avviker fra reglene i straffeloven. Brudd på taushetsplikt som følger av en særlov, kan således være underlagt andre regler. Det kan også være fastsatt andre reaksjoner for lovbrudd. Se her for eksempel helsepersonelloven kapittel 11, der § 67 regulerer straff for brudd på loven, mens andre bestemmelser fastsetter reaksjoner som advarsel og tilbakekall eller begrensning av autorisasjon.
3.6 Forretningsrelaterte opplysninger
Direktiv (EU) 2016/943 om beskyttelse av fortrolig knowhow og fortrolige forretningsopplysninger (forretningshemmeligheter) mot ulovlig tilegnelse, bruk og utlevering (forretningshemmelighetsdirektivet) ble vedtatt 8. juni 2016 og er gjennomført i norsk rett i lov 27. mars 2020 nr. 15 om vern av forretningshemmeligheter (forretningshemmelighetsloven).
Det følger av artikkel 1 nr. 2 bokstav b i direktivet at det ikke berører anvendelsen av nasjonale regler som krever at innehavere av forretningshemmeligheter formidler disse til offentlige myndigheter, slik at disse kan ivareta sine oppgaver. Det følger videre av artikkel 1 nr. 2 bokstav c at direktivet ikke berører anvendelsen av nasjonale regler som krever eller tillater at offentlige myndigheter videreformidler forretningshemmeligheter som de har mottatt fra private, for å ivareta offentlige interesser. Forretningshemmelighetsdirektivet er derfor ikke til hinder for deling av forretningshemmeligheter mellom forvaltningsorganer, så lenge delingen skjer i henhold til nasjonale regler og ivaretar relevante offentlige interesser.
I Prop. 5 LS (2019–2020) punkt 5.1.7 på side 25 er det uttalt at forretningshemmelighetsloven «har ikke hatt til hensikt å utvide taushetsplikten i forvaltningsloven § 13 første ledd nr. 2, og departementet kan heller ikke se at forslaget har en slik virkning».
Ut fra dette legger departementet til grunn at direktivet heller ikke er til hinder for at opplysninger som er omfattet av taushetsplikt etter forvaltningsloven § 13 første ledd nr. 2, kan deles etter forslaget til de nye forvaltningsloven § 13 b første ledd nr. 7 og § 13 g.
3.7 Personvernregelverket
3.7.1 Innledning
Forvaltningsorganers adgang til deling av taushetsbelagte personopplysninger begrenses av retten til privatliv etter Grunnloven § 102 og EMK artikkel 8. Delingsadgangen begrenses videre av reglene om behandling av personopplysninger i personvernforordningen (Europarlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF). Forordningen gjelder som norsk lov etter personopplysningsloven § 1.
Disse begrensningene vil i all hovedsak gjelde opplysninger om noens «personlige forhold», jf. forvaltningsloven § 13 første ledd nr. 1, men det samme vil gjelde dersom personopplysninger omfattes av § 13 første ledd nr. 2 om taushetsbelagte drifts- og forretningsforhold.
3.7.2 Grunnloven § 102 og EMK artikkel 8
Ved utformingen av alminnelig lovgivning må staten holde seg innenfor de grensene som trekkes opp av Grunnloven og internasjonale menneskerettskonvensjoner. De mest sentrale konvensjonene er Den europeiske menneskerettskonvensjon 4. november 1950 (EMK) og FNs konvensjon om sivile og politiske rettigheter 16. desember 1966 (SP), som begge ble gjennomført i norsk rett ved lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven), jf. menneskerettsloven § 2. Konvensjonene skal ved motstrid gå foran bestemmelser i annen norsk lovgivning, jf. menneskerettsloven § 3.
Utlevering av personopplysninger vil kunne utgjøre et inngrep i retten til privatliv etter Grunnloven § 102 første ledd første punktum, EMK artikkel 8 nr. 1 og SP artikkel 17. Når det gjelder offentlige myndigheters behandling av personopplysninger, har EMD lagt til grunn en lav terskel for hva som er et inngrep. Offentlige myndigheters lagring av personopplysninger som knytter seg til privatlivet i bestemmelsens forstand, utgjør et inngrep i retten etter EMK artikkel 8 nr. 1, se Amann mot Sveits, saksnr. 27798/95, 16. februar 2000 avsnitt 65 og S. og Marper mot Storbritannia, saksnr. 30562/04 og 30566/04, 4. desember2008 avsnitt 67. Det er uten betydning om personopplysningene er av sensitiv karakter, eller hvorvidt behandlingen medfører ulemper for den registrerte, jf. Amann mot Sveits avsnitt 70. Begrepet «privatliv» skal etter EMDs praksis tolkes vidt, se S. og Marper mot Storbritannia avsnitt 66 til 67 med videre henvisninger.
På denne bakgrunnen legger departementet til grunn at utlevering av personopplysninger fra et forvaltningsorgan i de aller fleste tilfeller må oppfylle kravene i Grunnloven § 102 og EMK artikkel 8 nr. 2. Slik utlevering av personopplysninger må følgelig ha tilstrekkelig hjemmel, forfølge et legitimt formål og være forholdsmessig, jf. EMK artikkel 8 nr. 2 og Rt-2014-1105 avsnitt 28. Det er ikke holdepunkter for at Grunnloven § 102 første ledd første punktum stiller strengere krav enn EMK artikkel 8 i denne sammenheng, jf. Prop. 56 LS (2017–2018) punkt 6.4 side 34. Se ellers Rt-2014-1105 avsnitt 28 og Rt-2015-93 avsnitt 60 om kravene etter Grunnloven.
Når det gjelder hjemmelskravet, vises det til redegjørelsen i Prop. 56 LS (2017–2018) punkt 6.4 side 34 til35 med videre henvisninger. Det følger av EMDs praksis at rettsgrunnlaget skal være tilgjengelig og forutberegnelig, blant annet at det er formulert med tilstrekkelig presisjon, og at det sikrer et vern mot misbruk og vilkårlighet, se L.H. mot Latvia, saksnr. 52019/07, 29. april 2014 avsnitt 47. Grunnlaget må derfor sørge for tilstrekkelig klare rammer for myndighetenes skjønnsutøvelse. Hvorvidt rettsgrunnlaget tilfredsstiller disse kravene, vil bero på en konket vurdering av blant annet hvor inngripende den aktuelle behandlingen av personopplysninger er.
Kravet om legitimt formål etter EMK artikkel 8 nr. 2 innebærer at inngrepet må være nødvendig av hensyn til «den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter».
Kravet om at inngrepet må være «nødvendig i et demokratisk samfunn» er i EMDs praksis tolket slik at det må foreligge «a pressing social need», og at det må være forholdsmessighet mellom det legitime formålet og inngrepet, jf. blant annet Kopp mot Sveits, saksnr. 23224/95, 25. mars 1998 avsnitt 78. I likhet med vurderingen av hjemmelskravet og kravet om legitimt formål knytter proporsjonalitetskravet seg til en konkret vurdering av det enkelte inngrepet, og i utgangspunktet ikke til lovbestemmelsen som sådan. Vurderingen av proporsjonalitet etter EMK artikkel 8 nr. 2 må dermed, når det gjelder generelle bestemmelser om informasjonsdeling, i første rekke dreie seg om hvordan proporsjonalitet skal sikres i det enkelte tilfelle.
3.7.3 Personvernforordningens krav om behandlingsgrunnlag og supplerende rettsgrunnlag
Som nevnt ovenfor gjelder personvernforordningen som norsk lov, jf. personopplysningsloven § 1. Etter personvernforordningen artikkel 6 nr. 1 er behandling av personopplysninger bare lovlig når behandlingen kan forankres i ett eller flere av behandlingsgrunnlagene angitt i bokstav a til f. Bokstav c åpner for behandling som er nødvendig for å oppfylle en rettslig forpliktelse, og bokstav e åpner for behandling for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet.
Disse behandlingsgrunnlagene kan ikke anvendes alene; det er nødvendig med et supplerende rettsgrunnlag. Etter forordningen artikkel 6 nr. 3 skal «[g]runnlaget for behandlingen» nevnt i nr. 1 bokstav c og e «fastsettes» i unionsretten eller nasjonal rett.
Det er noe uklart hvilke krav forordningen stiller til det supplerende rettsgrunnlaget. I Prop. 56 LS (2017–2018) punkt 6.3.2 side 32 og 33 legges det til grunn at forordningens ordlyd ikke tilsier at det gjelder særlig strenge krav til hvor spesifikt et rettslig grunnlag bør være, men at forordningen på dette punktet også må tolkes og anvendes i tråd med de menneskerettslige kravene til rettsgrunnlag for inngrep i retten til privatliv. Det kan derfor etter omstendighetene kreves et mer spesifikt grunnlag enn det som kan synes å være minimumskravene etter forordningens ordlyd.
3.7.4 Forordningens regler om særlige kategorier av personopplysninger og personopplysninger om straffedommer og lovovertredelser
Personvernforordningen artikkel 9 oppstiller ytterligere krav ved behandling av enkelte kategorier av personopplysninger som regnes som særlig sensitive, såkalte «særlige kategorier av personopplysninger». Dette gjelder blant annet personopplysninger om helse, etnisitet, politisk oppfatning og religion. Etter artikkel 9 nr. 1 er behandling av slike personopplysninger som utgangspunkt forbudt. Artikkel 9 nr. 2 bokstav a til j oppstiller nærmere avgrensede unntak fra forbudet.
Forordningen artikkel 9 nr. 2 bokstav g åpner for behandling som er nødvendig av hensyn til «viktige allmenne interesser». Behandlingen må her skje på «grunnlag av» unionsretten eller nasjonal rett, som skal «stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser». Personopplysningsloven § 7 første ledd åpner for behandling etter bokstav g, men bare etter tillatelse fra Datatilsynet. Andre grunnlag for behandling etter artikkel 9 nr. 2 bokstav g må følge av annen lovgivning.
Det er usikkert hvor klare eller spesifikke slike nasjonale grunnlag for behandling av særlige kategorier av personopplysninger må være. I Prop. 56 LS (2017–2018) punkt 7.1.3 side 40 gis det uttrykk for at det, på tilsvarende måte som for kravet til supplerende rettsgrunnlag etter forordningen artikkel 6 nr. 3, må foretas en konkret vurdering av om en bestemmelse gir tilstrekkelig grunnlag for en gitt behandling av personopplysninger. Det bør også tas i betraktning at forordningen artikkel 9 nr. 1 skal sikre særlige kategorier av personopplysninger et særskilt vern.
Videre er det uklart hva som ligger i kravet om egnede og særlige tiltak etter blant annet forordningen artikkel 9 nr. 2 bokstav g. I Prop. 56 LS (2017–2018) punkt 7.1.3 side 41 uttaler departementet følgende:
«Etter departementets syn er det mest nærliggende å ta utgangspunkt i at tiltakene eller garantiene skal ha som sitt primære formål å sørge for at behandlingen skjer i tråd med de grunnleggende prinsippene for behandling av personopplysninger, tatt i betraktning opplysningenes sensitivitet, behandlingens formål, risikoen ved behandlingen mv. Hva garantiene eller tiltakene kan og må gå ut på, vil kunne variere betydelig. Departementet legger til grunn at én mulig form for tiltak er spesifiserende regler om behandlingen, for eksempel om hvilke personopplysninger som kan samles inn for et gitt formål, hvor opplysningene skal hentes fra, hvordan de skal lagres, nøyaktig hvor lenge de kan lagres, hvem personopplysningene kan utleveres til mv. Der det ikke er mulig å gi detaljerte regler om slike forhold, for eksempel fordi reglene skal omfatte mange ulike kategorier av behandlingsansvarlige og behandlinger, blir det nødvendig å fastsette mer generelle regler. Et eksempel på et slikt tiltak er et krav om at personopplysninger skal pseudonymiseres så langt formålet med behandlingen kan nås på den måten. Slike regler vil gjerne stille større krav til den behandlingsansvarliges egne vurderinger.
Jo bredere nedslagsfelt reglene har, jo vanskeligere vil det være å utforme spesifikke tiltak eller garantier. Som nevnt over kan forordningen neppe anses å være til hinder for at det i nasjonal rett åpnes for behandling av særlige kategorier av personopplysninger gjennom generelle bestemmelser, det vil si bestemmelser med omtrent samme anvendelsesområde som artikkel 9 nr. 2 bokstav b, g, h, i og j. I slike tilfeller kan det være et alternativ å fastsette mekanismer eller prosedyrer som den behandlingsansvarlige skal følge for å sikre etterlevelse av regelverket. Forhåndsgodkjenning fra tilsynsmyndigheten er et eksempel på en slik mekanisme, og et annet eksempel er at den enkelte behandlingen skal vurderes av personvernombud før behandlingen begynner.»
Personvernforordningen artikkel 10 regulerer behandling av personopplysninger om «straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak». Etter bestemmelsens første punktum oppstilles det ingen særlige krav for behandling av slike personopplysninger når behandlingen skjer «under en offentlig myndighets kontroll». Adgangen til behandling beror i slike tilfeller kun på artikkel 6. Dersom behandlingen ikke skjer under en offentlig myndighets kontroll, må behandlingen derimot være «tillatt i henhold til unionsretten eller medlemsstatenes nasjonale rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter».
Når en offentlig myndighet utleverer slike personopplysninger til andre enn offentlige myndigheter, vil det for den offentlige myndighetens vedkommende trolig være avgjørende at utleveringen skjer under en offentlig myndighets kontroll. For mottakerens del må både innhentingen og den videre bruken ha et rettsgrunnlag som oppfyller kravene i artikkel 10.
3.7.5 Forordningens formålsbegrensning og krav om særskilt grunnlag for viderebehandling
Det følger av personvernforordningen artikkel 5 nr. 1 bokstav b at personopplysninger skal samles inn for «spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene».
Med viderebehandling menes behandling av personopplysninger for nye formål, det vil si andre formål enn innsamlingsformålet. Viderebehandlingen kan være forenlig eller uforenlig med innsamlingsformålet. Artikkel 6 nr. 4 angir følgende ikke-uttømmende liste med momenter som skal vektlegges i vurderingen av om viderebehandlingen er forenlig med innsamlingsformålet:
«a) enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen,
b) i hvilken sammenheng personopplysningene er blitt samlet inn, særlig med hensyn til forholdet mellom de registrerte og den behandlingsansvarlige,
c) personopplysningenes art, især om særlige kategorier av personopplysninger behandles, i henhold til artikkel 9, eller om personopplysninger om straffedommer og lovovertredelser behandles, i henhold til artikkel 10,
d) de mulige konsekvensene av den tiltenkte viderebehandlingen for de registrerte,
e) om det foreligger nødvendige garantier, som kan omfatte kryptering eller pseudonymisering»
Hvis viderebehandlingen består i utlevering fra en behandlingsansvarlig til en annen, skjer det en viderebehandling hos begge parter. Den som utleverer, viderebehandler i form av utlevering. Den som innhenter, viderebehandler i form av innhenting og eventuell videre bruk.
Etter fortalepunkt 50 i forordningen krever ikke forenlig viderebehandling «et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysninger». Slik viderebehandling kan altså skje uten et særskilt viderebehandlingsgrunnlag.
En viderebehandling som er uforenlig med innsamlingsformålet, er i utgangspunktet forbudt, jf. forordningen artikkel 5 nr. 1 bokstav b. Forbudet gjelder uavhengig av hvem som foretar viderebehandlingen.
For at en viderebehandling som er uforenlig med innsamlingsformålet, skal være lovlig, må den enten ha et særskilt rettsgrunnlag i nasjonal rett eller være basert på samtykke fra den registrerte, jf. forordningen artikkel 6 nr. 4. I Prop. 56 LS (2017–2018) punkt 6.6 side 37 er det lagt til grunn at et slikt særskilt rettsgrunnlag må knytte seg til selve viderebehandlingen:
«Dersom det nye formålet ikke er forenlig med innsamlingsformålet, må viderebehandlingen ha grunnlag i lov eller samtykke. At viderebehandlingen må ha grunnlag i lov eller samtykke, innebærer at lovgrunnlaget eller samtykket må knytte seg til selve viderebehandlingen for uforenlige formål. Det er med andre ord ikke tilstrekkelig med et alminnelig behandlingsgrunnlag og et eventuelt supplerende rettslig grunnlag i den forbindelse; det kreves i tillegg et grunnlag for viderebehandlingen. Konsekvensen av at det ikke finnes et grunnlag for viderebehandlingen, er at opplysningene må samles inn på nytt dersom de skal behandles for det nye formålet.»
Et rettsgrunnlag som skal åpne for viderebehandling for uforenlige formål, må etter artikkel 6 nr. 4 utgjøre «et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1». Dette omfatter blant annet «andre viktige mål av generell allmenn interesse», jf. artikkel 23 nr. 1 bokstav e.
Personopplysningsloven § 12 a første ledd gir et slikt grunnlag for utlevering av personopplysninger mellom offentlige myndigheter i forbindelse med bekjempelse av arbeidslivskriminalitet, men etter andre ledd gir ikke dette grunnlaget adgang til utlevering av opplysninger som er omfattet av lovbestemt taushetsplikt.
Reglene om behandlingsgrunnlag i artikkel 6 nr. 1 og 3 og viderebehandling i nr. 4 og om særlige kategorier av personopplysninger i artikkel 9 gjelder side om side. En uforenlig viderebehandling av særlige kategorier av personopplysninger, for eksempel helseopplysninger, vil kreve at det foreligger et grunnlag etter alle tre bestemmelsene, men én og samme lovbestemmelse vil kunne oppfylle kravene til slikt grunnlag.