10 Databehandlers taushetsplikt
10.1 Gjeldende rett
Etter politiregisterloven § 18 tredje ledd første punktum skal den som er ansatt hos eller utfører tjeneste eller arbeid for databehandler, og som får tilgang til opplysninger som er underlagt taushetsplikt i henhold til politiregisterloven, pålegges taushetsplikt etter politiregisterloven § 35. Bestemmelsen hjemler pålegg om taushetsplikt når mottaker får opplysninger undergitt taushetsplikt i forbindelse med at de uttaler seg til, eller på annen måte bistår, politiet eller påtalemyndigheten. Av særmerknaden til § 18 tredje ledd i Ot.prp. nr. 108 (2008–2009), punkt 21.4, fremgår at databehandlerne «skal pålegges taushetsplikt, og at dette spørsmål alltid skal fremgå eller være regulert i avtalen eller instruksen mellom den behandlingsansvarlige og databehandleren».
Videre følger det av § 18 tredje ledd at taushetsplikt for den som er ansatt hos eller utfører tjeneste eller arbeid for databehandler skal fremgå av avtalen med den behandlingsansvarlige. Bestemmelsen angir også at databehandler plikter å oppgi hvem som får tilgang til de taushetsbelagte opplysningene.
Verken § 18 eller § 35 sier noe om omfanget av taushetsplikten som skal pålegges. Det fremstår derfor som noe uklart om taushetsplikten som pålegges må være identisk med taushetsplikten etter politiregisterloven § 23, eller om det er rom for tilpasninger. Uttalelser i forarbeidene kan tyde på at taushetsplikten skal være sammenfallende med den som følger av § 23 om omfanget av taushetsplikten. I Ot.prp. nr. 108 (2008–2009) punkt 10.4.4 er det uttalt at det er «viktig at det for databehandlerne gjelder de samme taushetspliktsreglene som for politiet når de behandler opplysninger på vegne av politiet».
Av LED artikkel 22 nr. 3 bokstav b følger det at databehandler, i avtalen med den behandlingsansvarlige, skal være forpliktet til å påse at de som behandler data enten er underlagt lovfestet eller avtalefestet taushetsplikt. Direktivet legger ellers ikke føringer for omfanget av taushetsplikten.
10.2 Forslaget i høringsnotatet
I høringsnotatet anførte departementet at det burde være rom for at omfanget av den taushetsplikten som databehandler skal påse, og som er regulert i databehandleravtalen, ikke fullt ut sammenfaller med politiregisterlovens taushetsplikt. Det sentrale er at opplysningenes konfidensialitet vernes. Departementet foreslo derfor endringer i politiregisterloven § 18 slik at omfanget av taushetsplikten skal fremgå av databehandleravtalen. En slik formulering ville gi større fleksibilitet, samtidig som kravet i LED artikkel 22 om at det må foreligge en avtalefestet taushetsplikt ligger fast.
Departementet viste videre til at dagens ordlyd i politiregisterloven § 18 tredje ledd første punktum kan misforstås, ettersom den gir inntrykk av at den behandlingsansvarlige skal pålegge den enkelte ansatte hos databehandleren taushetsplikt. Departementet foreslo derfor å omformulere bestemmelsen noe for å gjøre det klart at det av databehandleravtalen skal fremgå at de ansatte mv. hos databehandleren skal være underlagt taushetsplikt. I høringsnotatet ble det presisert at endringen ikke innebærer noen realitetsendring.
Departementet foreslo også en endring i § 18 tredje ledd fjerde punktum, slik at plikten til å opplyse om hvem som får tilgang til opplysningene, kun gjelder ved forespørsel.
10.3 Høringsinstansenes syn
Datatilsynet stiller seg positivt til den foreslåtte endringen, og har ikke innvendinger mot at det åpnes for at taushetsplikten som reguleres i databehandleravtalen ikke fullt ut må sammenfalle med taushetsplikten som følger av politiregisterloven. Datatilsynet deler departementets vurdering av at det sentrale må være at opplysningenes konfidensialitet vernes.
Advokatforeningen er prinsipielt enig i at det er uheldig at dagens ordlyd i § 18 er uklar med hensyn til omfanget av taushetsplikten databehandler skal påse. Foreningen har ingen innvendinger mot at fastsettelsen av taushetsplikten vurderes konkret i det enkelte tilfellet og at den kan avvike fra taushetsplikten i politiregisterloven. Advokatforeningen påpeker likevel at det fremstår som uklart hvordan forslaget til ny ordlyd skal løse utfordringen knyttet til standardiserte vilkår som benyttes av store og internasjonale selskaper i rollen som databehandler. Foreningen ber departementet vurdere om det er behov for å justere den foreslåtte ordlyden for å sikre at taushetsplikten i alle tilfeller må fastsettes slik at den i tilstrekkelig grad hensyntar mengden og arten av opplysningene som skal behandles.
Politidirektoratet støtter en endring i politiregisterloven § 18 tredje ledd hvor plikten til å pålegge databehandler taushetsplikt etter politiregisterloven § 35 bortfaller, men med noen presiseringer. Direktoratet forstår forslaget slik at det gir rom for at deler av taushetsplikten som følger av § 23 ikke nødvendigvis skal gjelde for databehandler, og uttaler i denne sammenheng at det bør fremgå tydelig av bestemmelsens ordlyd og lovens forarbeider at det ikke er adgang til å fravike omfanget av taushetsplikten som er fastsatt i politiregisterloven § 23 i en databehandleravtale.
Direktoratet støtter at plikten til å opplyse om hvem som får tilgang til opplysningene hos databehandler kun skal gjelde ved forespørsel.
Kripos støtter de foreslåtte endringene, og anser at de vil gi større fleksibilitet til å tilpasse databehandlers taushetsplikt til de opplysninger som behandles. Kripos har selv fremmet behovet for lovendringene, og viser til at bakgrunnen for det er todelt. For det første vil det i noen tilfeller der det benyttes utenlandske databehandlere gi bedre sikkerhetsmessig utbytte å forhandle om andre økte sikkerhetstiltak enn å fastholde en lovbestemt taushetsplikt i databehandleravtalevilkårene som eneste alternativ. For det andre kan det overfor databehandlere som opererer med standardavtaler, typisk større selskaper med et stort antall ansatte som opererer fra forskjellige land, være vanskelig å gjennomføre pålegg om krav til lovbestemt taushetsplikt.
Kripos påpeker at det nærmere innholdet i og omfanget av taushetsplikten vil måtte inngå i en overordnet vurdering av om valget av databehandler vil gi tilfredsstillende informasjonssikkerhet, jf. politiregisterloven § 15. Pålegg om lovbestemt taushetsplikt er, slik Kripos ser det, et viktig tiltak for å sikre dette i en del tilfeller. Det er imidlertid andre tiltak som i vel så stor grad kan sikre tilfredsstillende informasjonssikkerhet, særlig når opplysningene behandles i utlandet. Det er viktig at politiet gis adgang til å differensiere kravene ut fra avtalen som skal inngås.
10.4 Departementets vurderinger
Departementet merker seg at ingen av høringsinstansene har hatt vesentlige innvendinger mot endringsforslaget, som opprettholdes. Som det fremgår av høringsnotatet innebærer forslaget at det åpnes for større fleksibilitet i måten opplysningenes konfidensialitet sikres i ulike databehandleravtaler. Departementet er enig med Kripos i at også andre sikkerhetstiltak vil kunne være viktig for å sikre tilfredsstillende informasjonssikkerhet, og at taushetspliktens innhold og omfang må inngå i en helhetlig vurdering. Der vil også mengden og arten av opplysningene som skal behandles være et moment, slik Advokatforeningen påpeker. Departementet mener imidlertid at det ikke er behov for endringer i lovbestemmelsen for å ivareta dette.
Dersom omfanget av taushetsplikten fremgår av databehandleravtalen fremfor å pålegges etter politiregisterloven § 35, vil brudd på taushetsplikten ikke kunne straffes etter straffeloven § 209 om brudd på taushetsplikt. Straffeloven § 209 rammer brudd på taushetsplikt i henhold til lov eller forskrift, men ikke krenkelser av avtalebasert taushetsplikt. Overfor ansatte i større utenlandske IT-selskaper vil strafforfølging for brudd på taushetsplikten uansett være lite praktisk. Politiet vil etter endringen fortsatt kunne pålegge databehandlere taushetsplikt med hjemmel direkte i politiloven § 35 første ledd om mottakere som får opplysninger undergitt taushetsplikt i forbindelse med at de uttaler seg til eller på annen måte bistår politiet eller påtalemyndigheten. Departementet mener derfor at det vil ha begrensede negative konsekvenser at taushetsplikten for databehandler fremover kan være avtalefestet fremfor lovbestemt.