Om taushetsplikt, utlån til barn og erstatningsansvar

Taushetsplikt og personopplysninger

Forvaltningsloven

Det er forvaltningsloven § 13 som regulerer taushetsplikten i forvaltningen. Første ledd i denne bestemmelsen sier at «enhver som utfører tjeneste eller arbeid for et forvaltningsorgan» har taushetsplikt når det gjelder informasjon om 1) «noens personlige forhold». Denne regelen sikrer retten til privatliv, stadfestet i Grunnloven § 102 og Den europeiske menneskerettskonvensjon (EMK) artikkel 8.

Taushetsplikten innebærer at man har en plikt til «å hindre at andre går adgang eller kjennskap til det [vedkommende] i forbindelse med tjeneste eller arbeide får vite om». Her siktes det først og fremst til andre mennesker, men taushetsplikten vil også gjelde overfor datasystemer.

Et «forvaltningsorgan» er «et hvert organ for stat eller kommune» jf. forvaltningsloven § 1, og vil i prinsippet omfatte alle offentlige organer på alle nivåer. Både kommunale og fylkeskommunale bibliotek vil være omfattet, så vel som Nasjonalbiblioteket som er statlig. Taushetsplikten vil da gjelde for alle bibliotekansatte, samt andre som gjennom arbeid eller tjeneste hos biblioteket får kunnskap om taushetsbelagte opplysninger.

Det kan være verdt å merke seg at taushetsplikten er en personlig forpliktelse som hviler på den enkelte som utfører arbeid for et forvaltningsorgan, ikke forvaltningsorganet i seg selv. Den enkelte kan derfor bli straffet for brudd på taushetsplikten jf. straffeloven §§ 209 og 210. Taushetsplikten gjelder også etter at man har avsluttet tjenesten eller arbeidet jf. forvaltningsloven § 13, tredje ledd.

Når det gjelder forståelsen av begrepet «noens personlige forhold» er det klart at dette favner vidt. I forvaltningsloven § 13 andre ledd har lovgiver listet opp noen opplysninger som ikke faller innunder dette begrepet: «fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted». Det som i hovedsak faller innunder begrepet vil derfor være sosiale, helsemessige, følelsesmessige, religiøse, politiske, kriminelle, økonomiske og familiære opplysninger.

Ved usikkerhet om informasjonen er underlagt taushetsplikt skal det legges vekt på om «opplysningane – åleine eller saman med andre tilgjengelige opplysninger – kan skade eller utlevere en person, om opplysningene er gitt i trumål, og om utlevering kan skade tilliten til forvaltninga» jf. Justisdepartementets veileder til offentleglova s. 79. Man skal også legge vekt på hvilken interesse allmenheten har i å bli kjent med opplysningene.

Videre har man taushetsplikt for «tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som vil være av konkurransemessig betydning å hemmeligholde i hensyn til den som opplysningen angår» jf. forvaltningsloven § 13, første ledd, nr. 2).

Det kan også være interessant å vite at det foreligger en rekke bestemmelser om taushetsplikt i særlovgivningen, for eksempel i barnevernsloven. Vi har bestemmelser om yrkesmessig taushetsplikt for blant andre helsepersonell, advokater og revisorer. Det foreligger også taushetsplikt i sikkerhetslovgivningen for personer som får tilgang til sikkerhetsgradert informasjon. Ved konflikt mellom reglene i særlovgivningen og den mer generelle forvaltningsloven får særlovgivningen forrang jf. prinsippet om lex specialis. I noen tilfeller vil også arbeidsgiver gå inn og regulere en særskilt taushetsplikt gjennom arbeids- eller oppdragsavtaler. Da er det snakk om en avtalebasert taushetsplikt, som ofte vil være et resultat av at arbeidsgiver ikke anser at reglene i forvaltningsloven går langt nok.

Personopplysningsloven

I tillegg til reglene i forvaltningslovgivninger vil også reglene i personopplysningsloven om behandling av personopplysninger gjelde. Disse reglene ivaretar de samme hensynene, men har et litt bredere virkeområde som taushetsplikten. Det omfatter både helt eller delvis automatisert behandling, og ikke-automatisert behandling som inngår i eller skal inngå i et register jf. personopplysningsloven § 2. Ved konflikt vil personvernreglene gå foran bestemmelser i annen lov som regulerer samme forhold, se personopplysningsloven § 2 jf. EØS-loven § 2.

Personvernsforordningen (GDPR) gjelder for enhver form for behandling av personopplysninger. Av personvernsforordningen artikkel 4, nr. 2 følger det at en behandling er «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning, eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring». Altså gjelder en svært vid forståelse av begrepet, omtrent alle handlinger du foretar på personopplysninger vil være behandling i personvernlovgivningens forstand.

Artikkel 5 nr. 1 i forordningen fastsetter seks generelle prinsipper for behandling av personopplysninger. Det kan være greit å merke seg at behandlingen av personopplysninger skal være «lovlig, rettferdig og åpen» etter bokstav a. At innsamlingen og viderebehandlingen av disse opplysningene være etter «spesifikke, uttrykkelig angitte og berettigede formål». At man ikke skal behandle flere personopplysninger enn «det som er nødvendig for formålene» etter bokstav c. At personopplysningene skal være «korrekte og om nødvendig oppdaterte» etter bokstav d. At de ikke skal være lagret lengre enn «det som er nødvendig for formålene» etter bokstav e. Og til slutt at personopplysningene skal være tilstrekkelig sikret etter bokstav f.

Det følger av personvernforordningen artikkel 6 nr. 1 at en behandling er lovlig når det foreligger et behandlingsgrunnlag. At «den registrerte har samtykket til behandling av sine personopplysninger» vil være et slikt behandlingsgrunnlag etter bokstav a i denne bestemmelsen. Av bokstav e følger det at behandlingen vil være lovlig når den er «nødvendig for å utføre en oppgave i allmennhetens interesse». Etter folkebibliotekloven § 1 er en av bibliotekenes sentrale oppgaver er å «stille bøker og andre medier gratis til disposisjon». For å kunne låne med seg bøker hjem kan man anskaffe et lånekort. Dette baserer seg på en låneavtale der brukeren godkjenner at biblioteket lagrer nødvendig informasjon som kontaktinformasjon, lånesummer, passord, utlåns- og bestillingsinformasjon, lånehistorikk, purregebyrer og meldinger til bruker for å nevne noe.

Når en virksomhet behandler personopplysninger, har enhver har rett på innsyn i deres personopplysninger jf. personvernforordningen artikkel 15. Denne retten strekker seg også til informasjon om formålet med behandlingen og hvem disse opplysningene eventuelt bli utlevert til og hvor lenge de er lagret. Artikkel 16 gir rett til å få rettet uriktige opplysninger. I artikkel 17 finner vi regler om sletting personopplysninger der de ikke lenger er nødvendig for formålet, eller der samtykke blir trukket, når samtykke var eneste behandlingsgrunnlag. Når behandlingen er nødvendig for å utføre en oppgave i allmenhetens interesse eller utøve offentlig myndighet kan man derimot nekte sletting jf. artikkel 17 nr. 3 bokstav b. Ytringsfrihet og offentlighetsprinsippet

Reglene om taushetsplikt må avveies mot offentlighetsprinsippet i stat og kommune som er forankret i Grunnloven § 100, femte ledd. Etter offentlighetsloven § 3 er hovedregelen at alle skal kunne kreve innsyn i saksdokument, journaler og lignende register i offentlige organer. For at man skal kunne nekte innsyn i dokumentene trengs det hjemmel i lov eller forskrift. Det er ikke alltid like klart hvilke opplysninger som må ansees å være av privat art og ikke. Grensedragningen mellom retten til ytringsfrihet og informasjonsfrihet på den ene siden og retten til personvern på den andre siden vil alltid være et evigvarende dilemma.

I forvaltningsretten har vi to former for begrensninger av taushetsplikten. Den ene gjelder for forhold der det ikke er behov for beskyttelse, mens den andre gir en viss adgang til å dele taushetsbelagte opplysninger når private eller offentlige interesser tilsier det. Det mest aktuelle for bibliotekansatte å bite seg merke i er at forvaltningsloven § 13 a tillater deling av taushetsbelagte opplysninger med dem det direkte gjelder, eller til andre når det foreligger samtykke fra dem opplysningene omhandler. Man vil også kunne dele opplysninger som allerede er allment kjent eller tilgjengelig andre steder etter forvaltningsloven § 13 a. Av forvaltningsloven § 13 b følger det at taushetsplikten heller ikke til hinder for at andre ansatte i biblioteket gjøres kjent med dem, når det er nødvendig for å utføre nærmere bestemte oppgaver.

Foreldre/foresattes erstatningsplikt for tapte eller ødelagte bøker

Etter skadeerstatningsloven § 1-2, nr. 2 er foreldre objektiv ansvarlig for skade forvoldt av deres hjemmeboende barn for verdi av inntil 5.000 kr. Dette erstatningsansvaret kan ikke gjøres gjeldende overfor eventuelle purregebyr da dette ikke vil være en «skade» etter lovens forstand, men det kan rettes krav om erstatning for ødelagt eller tapt biblioteksbok.

Foresattes krav på innsyn i barns utlån

Har foreldre/foresatte rett til å vite hva egne barn under 15 år har lånt? Hva med barn mellom 15 og 18 år? Foreldre har rett til å utøve innsynsretten på vegne av mindreårige barn de har ansvar for. Vurderingen gjelder om det bør gå en grense ved 15 år for denne innsynsretten. Dette er som kjent alderen barn kan inngå låneavtale med bibliotekene uten signatur fra foreldrene.

Hvordan skal man gå frem for å best ivareta barnets personvern? Kan man levere ut lånehistorikken til den mindreårige når det foreligger et erstatningskrav fra bibliotekene?

Når det gjelder innsynrett og personvernet til barn er det klart at det foreligger glidende overganger for hvor mye og hvilken type informasjon foreldrene har krav på å få se. Det er viktig å holde klart at grensen vil variere avhengig av type informasjon det er snakk om. For helseopplysninger har foreldrene innsynsrett frem til barnet er fylt 16 år jf. pasient- og brukerrettighetsloven § 3-4. Av pragmatiske grunner er det naturlig å sette en generell regel om innsynsnekt når barnet har fylt 15 år som både vi og Datatilsynet har argumentert for. For å kunne levere ut personinformasjon om lånehistorikk ved erstatningskrav må man derfor ha et behandlingsgrunnlag etter personvernlovgivningen. 

Det følger av personvernsforordningen artikkel 6, nr. 1, bokstav f) at behandlingen er lovlig når den er «er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn». Man må her foreta en interesseavveiing mellom behovet for å vareta en «berettiget interesse» virksomheten har, og hensynet til den enkeltes personvern.

På datatilsynets nettsider står det at den «berettiget interessen må være lovlig, klart definert på forhånd, reell og saklig begrunnet i virksomheten» (https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/behandlingsgrunnlag/veileder-om-behandlingsgrunnlag/nodvendig-for-a-ivareta-legitime-interesser—interesseavveiing/). For at man skal kunne levere ut informasjon om lånehistorikk ved krav om tapt biblioteksbok må denne behandlingen av personopplysninger være nødvendig for å oppnå formålet. Hvis det finnes en annen måte å oppnå samme resultat som bedre ivaretar personvernet skal denne behandlingen velges. Vi har vært i kontakt med veiledningen hos Datatilsynet og vi var begge enige om at på generell basis vil den økonomiske interessen som ligger i å få innkrevet erstatning for tapt eller ødelagt bok veie tyngre enn personvernet. Dette må forøvrig sees i sammenheng med hvilken bok det kreves erstatning for. For vanlig skjønnlitteratur vil det antagelig ikke være noe problem, men hvis informasjon om boken medfører at informasjon om sensitive personopplysninger vil bli utlevert kan ikke dette behandlingsgrunnlaget påberopes. For informasjon om hvilke personopplysninger som kategoriseres som sensitive se https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/behandlingsgrunnlag/veileder-om-behandlingsgrunnlag/spesielt-om-sarlige-kategorier-av-personopplysninger-sensitive-personopplysninger-og-unntak/-.

For behandling av sensitive personopplysninger må vi gå til personvernforordningen artikkel 9. Det følger av denne bestemmelsens nr. 2 bokstav f) at utlevering av sensitive personopplysninger vil være lovlig når det «er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav». Et rettskrav er et sivilt krav som er underlagt rettslig regulering og som kan reises som sak for domstolene jf. tvisteloven § 1-3. Krav om erstatning for tapt eller ødelagt bok er et rettskrav etter lovens forstand. Artikkel 9, nr. 2, bokstav f) kan derfor legitimere utlevering av lånehistorikk også når det er tale om sensitiv litteratur.

Personvernforordningen artikkel 4 definerer personopplysninger som «enhver opplysning om en identifisert eller identifiserbar fysisk person». Dette dekker alle opplysninger som kan knyttes til fysiske personer. Opplysningene om lånehistorikk tilknyttet et lånekort vil derfor være en personopplysning. Som FNs barnekonvensjon slår fast i artikkel 16 vil også barn ha krav på privatliv og skal dermed skjermes mot at personopplysninger villig deles. Informasjon av lånehistorikk er derfor av konfidensiell art og skal ikke deles med mindre foreldrene utøver innsynsretten på vegne av barna. Foreldre vil ha rett og plikt til å ta avgjørelser på vegne av barn innenfor grensene som følger av §§ 31-33 jf. barneloven § 30. Av vergemålsloven § 9 følger det at en mindreårig ikke selv kan «foreta rettslige handlinger eller råde over sine midler, med mindre annet er særlig bestemt». Personer under 18 år vil følgelig være mindreårige jf. vergemålsloven § 8.

Det er ikke slik at foreldreansvaret gjelder 100 % frem til barnet fyller 18 år. Det følger av barneloven § 33 at barnet skal få større selvråderett med alderen frem til 18-årsdagen. Det vil si en gradvis begrensning av foreldreansvaret fram til myndighetsalder. Etter barneloven § 31 har barn rett til å være med på beslutninger: Fra de er syv år har de rett til å si sine meninger hva angår personlige forhold, og fra de er 12 år skal deres mening ilegges stor vekt. Fra de er 15 år har de rett til å selv velge utdanning, samt innmelding og utmelding av foreninger jf. barneloven § 32. Disse hjemlene illustrerer at også mindreårige har et privatliv som skal respekteres og at de selv må kunne ta egne beslutninger angående forhold av svært personlig art uten innblanding fra foreldre.

Det vil derfor foreligge en glidende overgang av hvilken informasjon foreldrene har krav på å få innsyn i og hva som vil ligge innenfor den mindreåriges personlige sfære. Dette må selvfølgelig vurderes ut fra barnets alder og type informasjon. Jo mer sensitiv informasjonen må ansees å være jo mindre innsynsrett har foreldrene. Når barnet har fylt 15 år har det opparbeidet seg en rekke rettigheter og plikter som gjør at det vil være naturlig å sette grensen for foreldrenes innsynsrett der. Særlig siden barn ansees for å ha generell beslutningsmyndighet når det gjelder inngåing av generelle avtaler fra 15-årsalderen: Etter vergemålsloven § 10 kan de inngå arbeidsavtaler, etter vergemålsloven § 11 kan de drive næringsvirksomhet og etter vergemålsloven § 12 har de råderett over egne midler. Det er disse bestemmelsene som hjemler 15-åringens alminnelige disposisjonsrett som gjør at de kan inngå avtale om lånekort med bibliotekene uten foreldres samtykke. Det bør derfor også være rett alder for å nekte foreldrene innsyn i lånehistorikk.   

I en sak fra 2014 konkluderte datatilsynet med at foreldrene til barn over 15 år ikke har innsynsrett i aktivitetslogg fra datasystem på skolen hvor barnet var elev. Avgjørelsen kan leses her: https://personvernnemnda.no/pvn-2014-05. Denne problemstillingen har store likhetstrekk med typetilfellet innsynsrett i lånehistorikk. Datatilsynet gjorde her en helhetlig vurdering av hvilke rettigheter barns oppnår i de ulike aldrene. De konkluderte generelt med at 15-åringer vil normalt være «såpass reflektert at vedkommende i stor grad kan ivareta egne rettslige interesser. Dette taler for at innsynsretten er gått fra foresatte til mindreårig ved fylte 15 år.» De presiserer også at foreldre kan utøve innsynsrett på vegen av barna når barna samtykker til dette.

Ved forespørsel om innsyn i barns lånehistorikk kan det være greit å være bevisst at avgjørelsen vil være et formelt vedtak, med de krav dette medfører av forvaltningen. Da vil datatilsynet være rett klageorgan om en forelder likevel vil kreve innsyn i lånehistorikken.