8 Informasjonsdeling med andre lands myndigheter, EU og FN
8.1 Bakgrunn
Utenriksdepartementet mottar og innhenter informasjon fra enkeltpersoner og bedrifter. Noe informasjon innhentes med hjemmel i sanksjonsregelverket som pålegger ulike rapporteringsforpliktelser for private aktører. Annen informasjon mottas fordi noen søker om tillatelser, unntak, dispensasjon eller lignende etter sanksjonsregelverket. Videre mottas informasjon gjennom henvendelser til departementet om behov for veiledning om, og tolkning av, sanksjonsregelverket.
En forutsetning for at sanksjonene skal være effektive, er at flere land står sammen om tiltakene og at de håndheves mest mulig likt. Saker etter sanksjonsloven vil ofte innebære et grensekryssende element. For eksempel mottar departementet søknader om å få gjennomføre en handel, transaksjon eller andre overføringer over landegrensene. I tillegg er sanksjonsregimene som er gjennomført i Norge basert på sanksjoner vedtatt av FNs sikkerhetsråd eller EU. Dette medfører at det i visse tilfeller kan være behov for å dele informasjon med andre lands myndigheter, EU og FN og deres organer.
Norge er folkerettslig forpliktet til å gjennomføre sanksjoner vedtatt av FNs sikkerhetsråd. Utenriksdepartementet kan i noen tilfeller gjøre unntak fra enkelte forbud i de aktuelle sanksjonsforskriftene under forutsetning av at den aktuelle sanksjonskomiteen i FN er underrettet og ikke har fremmet innsigelser mot avgjørelsen innen en viss tid. Det kan derfor være nødvendig å dele informasjon med den aktuelle sanksjonskomiteen.
Etter dagens praksis deler norske myndigheter noe informasjon med andre lands myndigheter, for eksempel når informasjonen er tilstrekkelig anonymisert eller etter samtykke fra parten. Dette kan gjelde saker hvor tillatelser er nødvendig i flere land, eller når informasjonen gis i form av statistikk.
EU har bestemmelser i ulike sanksjonsforordninger som gir EUs medlemsland muligheter til å dele informasjon på tvers av landegrensene. Et eksempel er forordning (EU) 833/2014 om restriktive tiltak på bakgrunn av Russlands handlinger som destabiliserer situasjonen i Ukraina. Forordningen har bestemmelser om informasjonsdeling mellom myndigheter i EU blant annet i artikkel 2d, 3ec, 3m og artikkel 6. Tilsvarende bestemmelser er ikke inntatt i den norske Ukraina-forskriften fordi de er vurdert som EU-interne.
8.2 Gjeldende rett
8.2.1 Sanksjonsloven og forvaltningsloven
Deling av opplysninger med andre lands myndigheter, EU og FN og deres organer i saker etter sanksjonsloven er ikke regulert i sanksjonsloven i dag.
I forvaltningsloven § 13 b er det hjemmel til å dele opplysninger med andre forvaltningsorganer på nærmere bestemte vilkår, uten hinder av taushetsplikt. Videre kan det deles opplysninger med forvaltningsorganer i andre EØS-stater, der dette er forutsatt i lov 19. juni 2009 nr. 103 om lov om tjenestevirksomhet (tjenesteloven).
I forvaltningsloven § 13 g er det også hjemmel for å gi forskrift om adgang til informasjonsdeling og annen behandling i forbindelse med slik deling av taushetsbelagte opplysninger.
Hjemlene i forvaltningsloven kan ikke benyttes til deling av opplysninger med andre lands myndigheter, EU og FN og deres organer i saker etter sanksjonsloven.
En rekke lover inneholder regler om adgang til å dele taushetsbelagte opplysninger som fraviker eller supplerer reglene i forvaltningsloven. Prop. 166 L (2020–2021) punkt 3.3 gir en nærmere oversikt over disse.
Et annet eksempel er utlendingsloven § 98, som åpner for at opplysninger kan deles med FNs høykommissær for flyktninger og andre lands myndigheter. Utfyllende regler er gitt i utlendingsforskriften §§ 17-30 til 17-33.
8.2.2 Personvernregelverket
Forvaltningsorganers adgang til deling av taushetsbelagte personopplysninger begrenses av retten til privatliv etter Grunnloven § 102 og Den europeiske menneskerettskonvensjon (EMK) artikkel 8. EMK er gjort gjeldende som norsk lov gjennom lov 21. mai 1999 nr. 30 om styrking av menneskerettighetenes stilling i norsk rett (menneskerettsloven) § 2.
Delingsadgangen begrenses videre av reglene om behandling av personopplysninger i forordning (EU) 2016/679 (personvernforordningen). Forordningen gjelder som norsk lov, med noen tilpasninger, etter lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) § 1.
Personopplysningsloven og personvernforordningen gjelder ikke når annet er bestemt i eller med hjemmel i lov jf. personopplysningsloven § 2 første ledd annet punktum.
En «personopplysning» er enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. personvernforordningen artikkel 4 nr. 1.
Behandling av personopplysninger skal skje på en lovlig, rettferdig og åpen måte, jf. personvernforordningen artikkel 5 nr. 1. Det må foreligge et gyldig rettslig grunnlag, et såkalt behandlingsgrunnlag, etter personvernforordningen artikkel 6 før behandling av personopplysninger kan skje.
Deling er en form for «behandling» av personopplysninger i henhold til personvernforordningens artikkel 4 nr. 2 og forutsetter derfor behandlingsgrunnlag etter artikkel 6. Behandlingen må enten bygge på samtykke, jf. artikkel 6 nr. 1 bokstav a, eller være «nødvendig» for å oppfylle et av formålene i artikkel 6 nr. 1 bokstav b til f. Bokstav e antas å være mest relevant her:
«e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,»
Lovlig behandling av personopplysninger med grunnlag i artikkel 6 nr. 1 e) forutsetter imidlertid at det foreligger et supplerende rettsgrunnlag i nasjonal lovgivning, jf. artikkel 6 nr. 3. Dette innebærer at det kreves egen hjemmel i norsk rett og at artikkel 6 nr. 1 e) ikke alene kan utgjøre behandlingsgrunnlaget. Forordningen krever ikke at det supplerende rettsgrunnlaget regulerer behandlingen uttrykkelig. Generelt bør det rettslige grunnlaget likevel være tydelig og presist, og anvendelsen av regelverket bør være forutsigbar for personer som omfattes av det, i samsvar med rettspraksisen til Den europeiske unions domstol og Den europeiske menneskerettighetsdomstol, se personvernforordningen fortalepunkt 41. Forordningens krav om supplerende rettsgrunnlag for behandlingen må derfor tolkes og anvendes i tråd med de menneskerettslige kravene til rettsgrunnlag for inngrep i retten til privatliv.
Personopplysninger kan kun samles inn til spesifikke, uttrykkelig angitte og berettigede formål. Konkrete formålsangivelser er særlig viktig, da det i utgangspunktet er forbudt å viderebehandle opplysninger på en måte som er uforenlig med det opprinnelige formålet (formålsbegrensing). Personvernforordningen oppstiller unntak fra forbudet mot å viderebehandle personopplysninger til uforenelige formål i artikkel 6 nr. 4. Dersom viderebehandlingen bygger på «samtykke eller på unionsretten eller medlemsstatenes nasjonale rett som utgjør et nødvendig og forholdsmessig tiltak i et demokratisk samfunn for å sikre oppnåelse av målene nevnt i artikkel 23 nr. 1», vil uforenlig viderebehandling være tillatt. Det må i så fall foreligge et særskilt rettsgrunnlag knyttet til selve viderebehandlingen.
Reglene om overføring kommer i tillegg til de alminnelige kravene som forordningen stiller til enhver behandling. Etter personopplysningsloven § 13 kan Kongen gi forskrift om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.
8.2.3 Regelverk om forretningshemmeligheter
Direktiv (EU) 2016/943 (forretningshemmelighetsdirektivet) er gjennomført i norsk lov ved lov 27. mars 2020 nr. 15 om vern av forretningshemmeligheter (forretningshemmelighetsloven).
I Prop. 5 LS (2019–2020) punkt 5.1.7 (side 25) er det uttalt at forretningshemmelighetsloven «ikke [har] hatt til hensikt å utvide taushetsplikten i forvaltningsloven § 13 første ledd nr. 2, og departementet kan heller ikke se at forslaget har en slik virkning».
Direktivet berører ikke anvendelsen av regler som enten pålegger offentlige myndigheter, eller gir offentlige myndigheter adgang til, å gi videre opplysninger de har, jf. Prop. 5 LS (2019–2020) punkt 3.1 (side 11) og forretningshemmelighetsdirektivet artikkel 1 nr. 2 bokstav c.
8.3 Forslaget i høringsnotatet
Høringsnotatet inneholdt et forslag om en ny forskriftshjemmel i sanksjonsloven § 8 fjerde ledd. Forslaget lød: «Kongen kan gi forskrift om adgangen til å dele opplysninger med andre land, Den europeiske union og FNs sikkerhetsråd og deres organer.»
Departementet mente det var ønskelig å åpne for at norske myndigheter kan dele informasjon med myndigheter i andre land når det er nødvendig for å sikre en effektiv håndheving av sanksjonene. Sanksjonsfeltet er i stadig utvikling. Dette gjelder også på området for informasjonsdeling og internasjonalt samarbeid. For å ta høyde for den til enhver tid gjeldende utvikling vil det etter departementets syn være bedre å fastsette slike regler i forskrift. En slik løsning vil også muliggjøre at erfaringen fra en mer omfattende taushetsplikt kan spille inn på utformingen av reglene. Departementet foreslo derfor at det inntas en fullmaktsbestemmelse om at det kan gis nærmere bestemmelser om deling av informasjon til andre land, EU og FN i forskrifts form.
8.4 Høringsinstansenes syn
Datatilsynets merknader knytter seg til de personvernrettslige sidene av forslaget. Datatilsynetmener at det er behov for å vurdere forslaget opp mot kravene i personvernforordningen, da særlig kravene i artikkel 5 nr. 1 bokstav b og artikkel 6 nr. 4.
Ingen av de øvrige høringsinstansene kommenterte på denne delen av forslaget.
8.5 Departementets vurdering
Departementet viser til redegjørelsen fra høringsnotatet, nevnt i punkt 8.1, om behovet for en hjemmel for deling av informasjon med andre lands myndigheter, FN og EU.
Siden det foreslås en egen bestemmelse om taushetsplikt i sanksjonsloven, er det også hensiktsmessig å åpne for deling av informasjon i tilfeller som ikke reguleres av forvaltningsloven.
Adgangen til å dele personopplysninger med andre lands myndigheter, FN og EU begrenses også av personvernregelverket. I henhold til personvernforordningen artikkel 5 nr. 1 bokstav b må ikke opplysninger viderebehandles på en måte som er uforenlig med innsamlingsformålet. Det kreves da et grunnlag i lov, jf. personvernforordningen artikkel 6 nr. 4. I tillegg må kravene i kapittel V om nødvendige garantier for overføring av personopplysninger til internasjonale organisasjoner være oppfylt.
Etter en helhetsvurdering jf. artikkel 6 nr. 4 og kravene i kapittel V, anser departementet det hensiktsmessig med en lovhjemmel for å kunne dele opplysninger som er taushetsbelagt etter sanksjonsloven. Siden sanksjonsfeltet er i rask endring, er det vanskelig å forutsi om hvert tilfelle av deling med internasjonale organisasjoner vil være forenelig med det opprinnelige formålet til behandling av opplysningene. Av den grunn mener departementet at det er nødvendig med et supplerende rettsgrunnlag.
Det supplerende rettsgrunnlaget som artikkel 6 nr. 4 krever vil her bestå av sanksjonsloven og forskrifter gitt i medhold av loven. Disse gir samlet sett rammer for hvilke personopplysninger som kan utleveres.
Vilkåret i artikkel 6 nr. 4 om at et slikt rettsgrunnlag bare kan brukes for å sikre oppnåelse av målene nevnt i personvernforordningen artikkel 23 nr. 1 er oppfylt. Viderebehandlingen må være et nødvendig og forholdsmessig tiltak, jf. personvernforordningen artikkel 6 nr. 4. Som nevnt i punkt 8.2.2, omfatter målene blant annet «den nasjonale sikkerhet» (bokstav a), «den offentlige sikkerhet» (bokstav c), og «andre viktige mål av generell allmenn interesse for Unionen eller en medlemsstat» (bokstav e).
Etter departementets vurdering kan det være nødvendig å dele informasjon for å sikre overholdelse av sanksjonsregelverket og oppnåelse av et eller flere av målene nevnt over. Norge er folkerettslig forpliktet til å gjennomføre FNs sanksjoner og velger å slutte opp om de fleste av EUs sanksjonsregimer. Dersom disse sanksjonene skal gjennomføres effektivt, er det behov for å dele informasjon med andre lands myndigheter, EU og FN og deres organer.
Etter innspill fra Datatilsynet foreslår departementet å legge til en presisering i forslag til § 8 fjerde ledd om at deling kan skje «i den utstrekning det er nødvendig for effektiv gjennomføring av sanksjoner etter loven».
I en eventuell forskrift må forholdet til personvernregelverket vurderes nærmere. Siden personvernforordningen er inkorporert i norsk rett ved personopplysningsloven, er det ikke nødvendig å gjenta forordningens krav i forskriften. Dette må imidlertid veies mot behovet for å synliggjøre vilkårene, eventuelt oppstille ytterligere skranker for deling.
Det må fastsettes både materielle og prosessuelle vilkår for delingen og den etterfølgende behandlingen av opplysningene. Det anses ikke hensiktsmessig å ytterligere begrense adgangen til deling i selve lovhjemmelen.
En eventuell forskrift vil være gjenstand for grundig behandling, i samråd med relevante aktører.
Departementet opprettholder forslaget om å fastsette en forskriftshjemmel om adgangen til å dele opplysninger med andre land, Den europeiske union og FNs sikkerhetsråd og deres organer. Departementet foreslår å legge til i § 8 fjerde ledd at deling kan skje «i den utstrekning det er nødvendig for effektiv gjennomføring av sanksjoner etter loven».