23 Straff
23.1 Gjeldende rett
Etter personopplysningsloven § 48 kan forsettlige eller grovt uaktsomme overtredelser av de der angitte bestemmelsene straffes med bøter eller fengsel inntil ett år eller begge deler. Straffansvaret omfatter unnlatelse av å sende melding etter § 31 (meldeplikt), behandling av personopplysninger uten nødvendig konsesjon etter § 33 (konsesjonsplikt), overtredelse av vilkår fastsatt etter § 35 (vilkår i konsesjon) eller § 46 (overtredelsesgebyr og pålegg om endring eller opphør av ulovlige behandlinger), unnlatelse av å etterkomme pålegg fra Datatilsynet etter § 12 (bruk av fødselsnummer m.v.), § 27 (retting av mangelfulle personopplysninger), § 28 (forbud mot å lagre unødvendige personopplysninger) eller § 46 (overtredelsesgebyr og pålegg om endring eller opphør av ulovlige behandlinger), behandling av personopplysninger i strid med § 13 (informasjonssikkerhet), § 15 (databehandlerens rådighet over personopplysninger), § 26 (opphevet) eller § 39 (tilleggsvilkår for utlevering av opptak gjort ved kameraovervåking), eller unnlatelse av å gi opplysninger etter § 19 (informasjonsplikt når det samles inn opplysninger fra den registrerte), § 20 (informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte), § 21 (informasjonsplikt ved bruk av personprofiler), § 40 (tilsynsmyndighetens tilgang til opplysninger) eller § 44 (tilleggsvilkår om varsel om at overvåking finner sted). Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Medvirkning straffes på samme måte.
Etter personopplysningsforskriften § 10-3 første ledd kan den som forsettlig eller grovt uaktsomt unnlater å følge reglene i forskriften kapittel 2–7, samt §§ 8-2, 8-3, 8-4 andre til sjette ledd eller § 8-5, straffes med bøter eller fengsel inntil ett år eller begge deler. Medvirkning straffes på samme måte, jf. annet ledd.
Departementet er kun kjent med et begrenset antall straffedommer for overtredelse av personopplysningsloven og forskriften. I de dommene departementet har kjennskap til, er det blant annet domfelt for brudd på meldeplikten etter personopplysningsloven § 31, brudd på informasjonsplikten i § 20 og brudd på bestemmelsen i § 40 om tilleggsvilkår om varsel om at kameraovervåking finner sted.
23.2 Forordningen
Forordningen artikkel 84 overlater til nasjonal rett å fastsette om brudd på forordningens bestemmelser skal være straffesanksjonert.
23.3 Forslaget i høringsnotatet
Departementet stilte i høringsnotatet spørsmål om straffebestemmelsen i personopplysningsloven burde oppheves, og viste til at det samme i så fall bør gjelde for straffebestemmelser i særlovgivningen som bygger på forordningen. Departementet viste til at forordningens sanksjonsregime med administrative gebyrer og mulighet for nasjonale regler om administrativ inndragning vil ha den nødvendige avskrekkende effekt, og at en straffetrussel dermed ikke vil ha ytterligere allmennpreventiv eller individualpreventiv effekt.
23.4 Høringsinstansenes syn
Høringsinstansene har vært delte i synet på om overtredelse av den nye personopplysningsloven og forordningen bør være straffbelagt. En rekke høringsinstanser mener straffansvaret bør oppheves, mens andre høringsinstanser tar til orde for videreføring av straffansvaret, men da slik at det kun er de groveste overtredelsene som skal kunne straffes. Ingen høringsinstanser har tatt til orde for en straffebestemmelse som retter seg mot overtredelser av loven og forordningen generelt.
Arkivverket, Advokatforeningen, Arbeids- og velferdsdirektoratet, Juristforbundet, Arbeidsgiverforeningen Spekter, Hovedorganisasjonen Virke, Telia Norge AS, Brønnøysundregistrene, Coop Norge SA, Norsk rikskringkasting, SAMFO – Arbeidsgiverforening for samvirkeforetak, Næringslivets Hovedorganisasjon og Brækhus Advokatfirma DA støtter opphevelse av straffansvaret. Advokatforeningen uttaler at foreningen deler departementets vurdering om at forordningens bestemmelser er lite egnet for straffsanksjonering, og at Datatilsynets kompetanse til å ilegge gebyr, og etter omstendighetene administrativ inndragning, antas å ha tilfredsstillende preventiv og pønal effekt. Juristforbundet uttaler at mange av forordningens bestemmelser er svært skjønnspregede og hensynet til legalitetsprinsippet tilsier at bestemmelsene er lite egnet for sanksjonering med straff, og at de alminnelige bestemmelsene i straffeloven vil ivareta pønale hensyn. Arbeidsgiverforeningen Spekter støtter også opphevelse av straffebestemmelsen i personopplysningsloven og særlovgivningen, men uttrykker samtidig at dette ikke må få innvirkning på gebyrstørrelsen. Næringslivets Hovedorganisasjon mener også at straffansvaret ikke bør videreføres og uttaler:
«Når en ordning med overtredelsesgebyr er pålagt etter forordningen, blir spørsmålet om loven i tillegg skal ha straffebestemmelser, ved siden av bestemmelsene i straffeloven. En grunn til å beholde straffebestemmelser, er at det sikrer at saker blir behandlet med høyere grad av rettssikkerhet enn i forvaltningssaker. Vi mener likevel at ordningen i forordningen kombinert med gode garantier for rettssikkerhet for behandlingsansvarlige gjør at det ikke er nødvendig å ha straffebestemmelser i tillegg.»
Brækhus Advokatfirma DA støtter også forslaget om å ikke videreføre en straffebestemmelse og uttaler i denne forbindelse følgende:
«I tillegg har fokuset på personvern tatt en helt ny retning i forhold til den tiden da dagens personopplysningslov ble vedtatt. Både offentlig og private aktørers og publikums kunnskap om personvern har økt, hvilket har bidratt til at publikums krav om gode personvernrutiner og aktørenes konkurranse om å være best på personvern har blitt et sentralt insentiv for å overholde personvernlovgivningen, særlig i privat sektor. Personvern har blitt et konkurransefortrinn og skyver insentivet om å unngå straff lenger bak i rekka.»
For det tilfelle at det foreslås å videreføre straffansvar, mener Brækhus Advokatfirma DA at straff kun bør ilegges ved de aller groveste overtredelsene slik som forsettlig eller grov uaktsom behandling av sensitive personopplysninger.
Datatilsynet mener det bør utredes nærmere om det bør kunne ilegges straff for visse overtredelser, og uttaler at departementet ikke har utredet dette tilstrekkelig. Datatilsynet viser til at det for eksempel kan være vanskelig å knytte straff til overtredelse av artikkel 13 og 14 om informasjonsplikt generelt, men at grove brudd hvor det ikke er gitt noe informasjon overhodet og det hele har karakter av skjult behandling av personopplysninger, kunne vært skilt ut som en straffbar handling. Datatilsynet mener det ikke kan legges ensidig vekt på de administrative sanksjonene som et argument mot straffansvar og uttaler:
«Etter vår forståelse blir dette en for enkel vurdering av tiltak som kan sikre effektiv etterlevelse og håndheving av reglene, noe som er en sentral målsetning bak forordningen. For eksempel bør man også se hen til at politiet, med sine ressurser og hjemler for å etterforske en sak, etter omstendighetene kan bidra til å oppklare regelbrudd. Vi mener således at det kan ligge en avskrekkende virkning at man kan risikere politietterforskning, tatt i betraktning at Datatilsynet er et relativt lite organ. Det er vel også grunn til å hevde at trusselen om fengselsstraff vil kunne ha ekstra avskrekkende virkning overfor de personer som har det øverste ansvaret. Forordningen legger opp til ansvarliggjøring og at personopplysningsvern skal opp på det høyeste nivået hos behandlingsansvarlig, og trusselen om straff kan bidra til at slike personer tar personopplysningsvernet på største alvor.»
KS mener at det bør vurderes nærmere hvilke konsekvenser det vil få dersom straffebestemmelsene oppheves, og særlig om dette vil øke virksomhetenes risikoaksept.
Landsorganisasjonen i Norge, Politidirektoratet, Helse Stavanger HF, Oslo kommune, Vestfold fylkeskommune og Universitetssykehuset Nord-Norge HF mener det bør videreføres et straffansvar i den nye personopplysningsloven. Politidirektoratet uttaler:
«Departementet foreslår at gjeldende straffebestemmelser i personopplysningsloven § 48 ikke videreføres. Synspunktet begrunnes med at det øvrige sanksjonsregimet etter forordningen antas å ha tilstrekkelig individualpreventiv og allmennpreventiv effekt, og at enkelte av straffelovens bestemmelser vil kunne få anvendelse. Flere av direktoratets underliggende organ påpeker at straffebestemmelsen bør opprettholdes for særlig grove og gjentatte brudd som kan medføre store personvernkonsekvenser. Det vises blant annet til høringsuttalelsene fra Kripos, Troms og Sør-Øst politidistrikt. Videre støtter direktoratet uttalelsen fra Politihøgskolen på dette punktet. Politihøgskolen uttaler blant annet følgende: «Straff er samfunnets ultimate måte å markere klander på. For overtredelser som skal sanksjoneres med et gebyr på opptil ti millioner Euro, må det kunne sies at det er grunnlag for klander. En opphevelse av straffebestemmelsen kan ha en uheldig symboleffekt.» Etter direktoratets vurdering vil, slik som Nordland politidistrikt uttaler, straffesanksjoneringen også gi en bedre mulighet til å avdekke straffbare forhold gjennom bruk av straffeprosessuelle virkemidler i en etterforskingsfase. I tillegg vil det gi grunnlag for strafferettslig inndragning, se omtale nedenfor.»
Universitetssykehuset Nord-Norge HF uttaler at det er vanskelig å se noen god begrunnelse for hvorfor forsettlige eller grovt uaktsomme behandlinger av personopplysninger i strid med forordningen ikke lenger skal straffesanksjoneres. Vestfold fylkeskommune foreslår å videreføre straffansvar for overtredelse av lovutkastet §§ 6, 9, 15 og 20.
23.5 Departementets vurdering
Departementet foreslår at overtredelser av den nye personopplysningsloven ikke skal være straffesanksjonert. I det følgende redegjøres det nærmere for departementets vurdering på dette punkt.
Ved vurderingen av om det bør gjelde et straffansvar for brudd på bestemmelsene i den nye personopplysningsloven, har departementet tatt utgangspunkt i de anbefalingene for bruk av administrative sanksjoner som er stilt opp i Prop. 62 L (2015–2016) punkt 7.4.3 side 52 flg. og prinsippene for bruk av straff i Ot.prp. nr. 90 (2003–2004) punkt 7.5 side 88 flg. Det fremgår av disse anbefalingene at i valget mellom administrative sanksjoner og straffansvar eller en kombinasjon av disse sanksjonsformene bør lovgiver, der formålet kan oppnås på flere måter, velge det minst inngripende virkemiddelet. Videre bør valg av sanksjoner vurderes ut fra hver enkelt handlingsnorm det aktuelle regelverket oppstiller, og det bør være en forutsetning for sanksjonering at sanksjonen i praksis vil bli søkt håndhevet.
I lys av disse anbefalingene vil departementet innledningsvis peke på at et eventuelt straffansvar for overtredelser av bestemmelsene i personopplysningsloven bare bør knyttes til nærmere angitte bestemmelser der behovet for straffansvar gjør seg gjeldende, og ikke generelt til overtredelser av loven. Departementet viser til de forannevnte anbefalingene i Prop. 62 L (2015–2016) punkt 7.4.3 side 52 flg., hvor departementet uttaler at spørsmålet om en overtredelse skal sanksjoneres bør vurderes ut fra hver enkelt handlingsnorm. Departementet viser i denne forbindelse også til at ingen høringsinstanser har tatt til orde for en straffebestemmelse som generelt retter seg mot overtredelser av bestemmelsene i den nye personopplysningsloven.
Spørsmålet departementet skal ta stilling til, er på denne bakgrunn om det, i tillegg til de administrative sanksjonene som loven og forordningen hjemler, bør videreføres et straffansvar for brudd på nærmere angitte bestemmelser i personopplysningsloven og forordningen.
I høringsnotatet fremholdt departementet at forordningens sanksjonsregime med administrative gebyrer og mulighet for nasjonale regler om administrativ inndragning vil ha den nødvendige avskrekkende effekt. Dette taler etter departementets syn for å ikke i tillegg å straffesanksjonere overtredelser av loven, jf. de forannevnte anbefalingene. Dette gjelder selv om departementet ikke går inn for å gi regler om administrativ inndragning på det nåværende tidspunkt. Som departementet har redegjort for i kapittel 20, kan overtredelser av bestemmelsene i den nye personopplysningsloven møtes med administrative gebyrer med vesentlig høyere beløp enn etter gjeldende rett. I tillegg til de overtredelser som angis direkte i artikkel 83, foreslår departementet i proposisjonen her at også overtredelser av artikkel 10 og 24 skal kunne sanksjoneres med overtredelsesgebyr, se omtalen over i punkt 20.5 og lovforslaget § 26 første ledd. Etter departementets vurdering sikrer artikkel 83 og lovforslaget § 26 til sammen at det vil være adgang for Datatilsynet til å ilegge overtredelsesgebyr for de overtredelser av personopplysningsloven hvor det er et praktisk behov for dette.
Høringsinstansene er delte i synet på om overtredelse av personopplysningsloven fremdeles bør være straffbelagt. En rekke høringsinstanser mener straffansvaret bør oppheves, mens andre høringsinstanser tar til orde for videreføring av straffansvaret, men da slik at det kun er de groveste overtredelsene som skal kunne straffes. Departementet har særlig vurdert om det, slik enkelte høringsinstanser påpeker, vil kunne ha en uheldig signaleffekt å ikke videreføre straffansvar i den nye personopplysningsloven. I Prop. 62 L (2015–2016) punkt 7.4.3.5 side 55 flg. viste departementet til at avkriminalisering av allerede kriminaliserte lovbrudd kan gi et uheldig signal i retning av at samfunnet vurderer disse lovbruddene som mindre alvorlige. Samme sted viser departementet til at det bør vises tilbakeholdenhet med å endre etablerte og velfungerende ordninger, for eksempel der politi og påtalemyndighet har bygd opp stor kompetanse og en velfungerende organisasjon, eller der det er utviklet langvarig rettspraksis om tvilsspørsmål. Departementet har sett hen til disse hensynene, men kan ikke se at de i avgjørende grad taler for å straffesanksjonere brudd på den nye personopplysningsloven. Departementet viser i denne forbindelse til at de administrative gebyrene som vil kunne ilegges etter den nye personopplysningsloven, vil kunne være vesentlig høyere enn etter dagens lov, og at det derfor neppe kan sies å sendes noe signal i retning av at en overtredelse av loven er mindre alvorlig enn i dag. Videre viser departementet til at det er begrenset strafferettslig praksis om personopplysningsloven og de tolkningsspørsmål som loven reiser i strafferettslig sammenheng, slik at heller ikke dette hensynet kan sies å ha noen avgjørende vekt i retning av å videreføre et straffansvar.
Departementet understreker at selv om det ikke videreføres et straffansvar for overtredelser av bestemmelsene i personopplysningsloven, vil handlinger som er i strid med personopplysningsloven samtidig kunne være overtredelser av en eller flere bestemmelser i straffeloven. Dette gjelder for eksempel straffeloven § 266 om hensynsløs atferd, § 266 a om alvorlig personforfølgelse, § 267 om krenkelse av privatlivets fred og §§ 209 til 211 om brudd på taushetsplikt. Straffeloven §§ 209 og 210 vil også omfatte brudd på taushetspliktsbestemmelsen for personvernombud som foreslås i proposisjonen her, jf. lovforslaget § 18.